CN112182564A

CN112182564A - 一种基于时间序列预测的工控蜜罐交互系统

Info

Publication number: CN112182564A
Application number: CN202010844667.5A
Authority: CN
Inventors: 姚羽; 单垚; 杨巍; 刘莹; 盛川; 李凤来
Original assignee: Northeastern University China
Current assignee: Northeastern University China
Priority date: 2020-08-20
Filing date: 2020-08-20
Publication date: 2021-01-05

Abstract

本发明属于网络安全技术领域，公开了一种基于时间序列预测的工控蜜罐交互系统。本发明是使用预测数据来进行预测，提高了数据的安全性。工控数据多是类周期性的，有一定规律，用预测数据预测，避免了再次输入真实数据，保证了蜜罐交互的实时性。本发明利用时间序列预测方法对工控场景中的真实设备状态变化情况进行长期预测，并结合蜜罐技术完成对工控设备的深度仿真，对攻击者做出符合工控场景的即时响应信息，提高蜜罐的欺骗性，引诱攻击者多次攻击的同时还可以收集攻击信息，有利于对攻击者进行画像，化被动为主动，更好的维护工控网络的安全。

Description

一种基于时间序列预测的工控蜜罐交互系统

技术领域

本发明属于网络安全技术领域，尤其涉及一种基于时间序列预测算法的工控蜜罐交互系统。

背景技术

近年来，随着工业控制系统网络和物联网环境变得更加开放与多变，工业控制系统则相对变得更加脆弱，工业控制系统的各种网络攻击事件日益增多，暴露出工业控制系统在安全防护方面的严重不足。工业控制系统的安全性面临巨大的挑战。

然而，工业控制网络与传统IT信息网络在网络边缘、体系结构和传输内容等方面存在着较大差异。此外，工业控制网络本身在安全防御方面也存在着诸多脆弱性和行业特殊要求。蜜罐技术作为一种主动防御技术，能够在不改变网络结构的基础上检测来自网络系统外部和内部的攻击。虽然国内外专家学者都试图使用不同的蜜罐技术解决网络安全问题，但大多局限于恶意软件、恶意代码样本捕获、僵尸网络溯源及入侵检测等领域，且大多的研究对象为传统IT网络，针对工业控制网络的蜜罐研究相对较少。此外，现有的工控蜜罐在交互能力方面大多以低交互为主，无法结合实际工业控制场景对攻击者的请求进行合理有效的回复，容易被攻击者识破，丧失其实际价值。因此提升工业控制蜜罐系统的交互能力，对于提升工业控制网络的主动防御系统的水平有着重要意义。由于针对工业控制系统的攻击具有很强的目的性，所以攻击者在实施真正攻击之前要对工控设备进行长时间的状态监控，以确定该设备是否为其攻击目标，但目前还没有一种有效的方法能够在攻击者进行设备状态监控时做出符合真实工控设备状态的即时性回复。

发明内容

本发明针对上述现有蜜罐技术中存在的交互能力不足问题，第一次将神经网络模型预测技术和工业控制网络蜜罐交互技术结合，提出了一种基于时间序列预测的工控蜜罐交互优化方案。普通的时间序列预测，都是用真实数据去预测，过长的时延会丧失与攻击者的连接，而本发明是使用预测数据来进行预测，提高了数据的安全性。工控数据多是类周期性的，有一定规律，用预测数据预测，避免了再次输入真实数据，保证了蜜罐交互的实时性。

蜜罐利用时间序列预测方法模拟真实工控设备的状态变化情况，生成合情合理的预测数据。当攻击者入侵，蜜罐接收到攻击者的请求信息时，根据当前时间节点真实设备的预估状态对攻击者做出既经得起推敲，又不暴露真实工控设备的准确工作状态的回复。蜜罐交互的成功吸引着攻击者再次作出攻击，于此同时还能够对攻击者流量信息进行捕获，并解析对应的工控协议数据包，获取攻击者的攻击类型、攻击方式、攻击地址及地理位置信息，生成威胁告警信息，为工控网络安全提供有效的防护策略。

本发明作为一种基于时间序列预测的工控蜜罐交互系统，包含以下模块：

101接口模块：用于实现当前工控网络连接互联网所采用协议的标准接口；当收到通信数据时，蜜罐将应用层为工业协议的数据包过滤出来，丢弃其他无效数据包；

102工控协议解析模块：用于完成对工业协议数据包的解析；当蜜罐接收到含有工业协议的数据包请求时，蜜罐会按照该协议的协议规约对数据包按字段进行拆解，并将原始数据流量和解析结果存入数据库中；

103数据采集模块：负责完成一次对现场工控设备状态变化情况数据的采集；并将采集到的结果按时间戳顺序保存至文件中，为后续预测模块提供数据支持；由于该类工控数据多是类周期性的，有一定规律特点的，同时又为了保证真实工业设备工作状态的安全性，并避免再次输入真实数据带来的操作负担，本发明使用上一次预测的数据结果，作为下一次预测的训练数据。

104预测模块：负责利用时间序列预测模型对数据采集模块所生成数据进行训练并生成长期预测结果；时间序列预测模型由编码和解码两部分组成，在编码阶段，采用双向LSTM网络将输入数据转换为中间向量；在解码阶段利用LSTM网络采用中间向量和上一时刻的输出生成新的预测数据；

105交互模块：用于对攻击者的请求信息进行响应；通过协议解析结果判断攻击者是否试图读取设备的状态信息；若不涉及状态信息的读取则根据协议规约对请求信息进行响应，若涉及状态信息的读取则将预测模块的设备状态预测结果写入响应数据包中，完成与攻击者的深度交互；

106数据存储模块：负责将发送至蜜罐的请求信息记录下来，这些数据将用于威胁情报分析，起到一个威胁预警的效果；根据攻击者请求信息中的IP地址和捕获的网络流数据获取攻击者的地理位置并记录，此外，攻击发生的时间、攻击者所属组织、攻击行为信息也将被记录存储。

进一步地上述的104预测模块：生成新的预测数据具体步骤如下：

1)采用滑动窗口的方式进行数据输入，模型输入为{x_t1,x_t2,...,x_tn},tn代表工控设备状态变化第n个记录时间节点，x_tn代表tn时刻真实工控设备状态变化情况数据值，输出为{x_tn+1,x_tn+2,...,x_tn+m},m为时间步长；

2)将输入数据送入编码端，通过LSTM前向和反向传播计算其隐藏层状态，并对隐藏层状态进行加权平均得到中间向量，公式如下：

其中C为中间向量，h_t为编码阶段第t层隐藏层状态,α_j是根据第j层的掩藏层状态的重要程度生成的0-1的参数，LSTM_enc-for(x,h)是LSTM前向传播计算函数，LSTM_enc-back(x,h)是LSTM反向传播计算函数，中间向量C由tanh激活函数对各时间步的加权隐藏层状态之和计算得出。

3)在解码阶段利用中间向量及前一时刻的输出得到当前的预测数据；公式如下

其中V为初始向量矩阵，h⁰为解码阶段初使隐藏层状态，h_t为解码阶段第t层隐藏层状态，P为模型输出，通过softmax函数选取概率值最大的数值进行输出；

4)将输出数据添加到原始数据中，判断是否达到设定的预测时间步数，若没有达到则重复执行上述过程，直至达到所设定的预测时间步数为止，完成对设备状态的长期预测。

上述工控设备状态变化情况数据包括寄存器值变化情况、线圈值变化情况。

本发明具有以下优点及有益技术效果：

本发明利用时间序列预测方法对工控场景中的真实设备状态变化情况进行长期预测，并结合蜜罐技术完成对工控设备的深度仿真，对攻击者做出符合工控场景的即时响应信息，提高蜜罐的欺骗性，引诱攻击者多次攻击的同时还可以收集攻击信息，有利于对攻击者进行画像，化被动为主动，更好的维护工控网络的安全。

附图说明

图1是本发明的结构示意图。

图2是测试数据集与预测对应时序预测结果折线图

具体实施方式

本发明以提高蜜罐交互能力为目的，提供了一种利用时间序列预测的工控蜜罐交互技术的实现方案。为便于理解，对本发明的技术实现方案以及其特征做如下说明。

使用本发明时，有较频繁的调试修改需求的使用者可以直接将本发明部署在个人的计算机上，没有需求的用户也可选择将其部署在云服务器环境中。在对本产品测试时，选择将个人计算机作为蜜罐主机，将蜜罐系统中的交互行为模块、预测模块、数据采集模块及工控协议解析模块的客户端部署于蜜罐设备，数据存储模块的服务器端部署于数据处理服务器服务器，为了将获得的数据进行展示，额外利用数据可视化模块，将其部署于可视化展示主机。本发明在部署后，便开始工作，等待捕获互联网上的威胁攻击信息数据，对于收集到的数据情报还可用于后续的分析。为完成以上工作，本发明包含以下模块：

101接口模块：

整个系统最先配置便是接口模块。运用Linux系统下的套接字编程技术。建立一个进程，申请一个套接字作为Client-Server结构中的Server。然后初始化套接字地址结构，协议选择TCP/IP，然后配置IP和端口号等待请求连接访问的到来。

102工控协议解析模块：攻击者与蜜罐建立连接后，蜜罐做为服务器端接收攻击者发送的请求报文，保存报文应用层数据的同时，记录攻击者的IP地址并利用GeoLite2-City.mmdb对其进行地理位置的定位，之后进行请求报文的处理过程，对于符合蜜罐所使用的协议规范的报文，提取其功能码字段，分析攻击意图。重复上述步骤直至攻击者与蜜罐系统之间的连接关闭。对于捕获的攻击者信息，数据捕获模块还会将这些信息写入日志文件之中，供用户查看。

103数据采集模块：测试中使用的是SwaT水处理场景下的流量数据作为初始数据。该数据是2015年12月的数据，对于当前时刻的预测

104预测模块：

(1)数据处理

对于原始工控网络流量数据，首先根据流量所产生的具体工业场景进行流量特征提取。测试时，从数据中提取可用于对该场景下工控设备交互响应行为预测的流量信息特征值。再将得到的原始数据信息首先需要进行数据过滤，去除空白数据、错误数据等不合理的数据信息，保证数据的有效性。其次，需要对数据进行归一化处理，方便神经网络模型训练。

(2)模型训练及预测

在编码阶段通过将两个相同时间步长的LSTM神经网络进行堆叠，得到双向LSTM(Bi-LSTM)，从而可以使网络模型可以学习到相邻时间步长及其历史时间步长上数据特征时间的联系，在解码阶段使用单向LSTM神经网络对数值进行预测，网络模型训练使用批大小(batch size)为64，迭代轮数(epoch)20，初始学习率设置为0.002。为防止LSTM神经网络出现梯度爆炸的情况，训练过程中对梯度进行裁剪，裁剪阈值设置为500。网络模型训练过程中使用随机梯度下降算法(Stochastic gradient descent)，在迭代500与1500个batch后，学习率缩小为原来的0.2倍与0.1倍。在神经网络的训练过程中，原始训练数据集需要分成两部分，分别用作模型训练与模型验证。为了保证训练数据的时序性，取前百分之60％时间步的数据作为训练集，前60％-80％时间步数据作为测试集，利用基于LSTM的时间序列预测模型将测试集的输出与按时间排序最后后20％的验证数据作比较，保证所选模型输出预测序列的合理性。

此外为了证明LSTM_enc-dec算法的优越性，实验选用了RNN模型作为实验结果对比，使用平均绝对百分比误差(Mean Absolute Percentage Error，MAPE)作为误差值的衡量标准，较平均平方差(Mean Square Error，MSE)，不仅仅能考虑预测值与真实值的误差，还考虑了误差与真实值的比例。计算公式如下所示。

对比结果如下表格

表1两种模型不同时间步长MAPE误差

如表格所示在多数传感器的不同步长预测数据中，LSTM_enc-dec预测结果多是较优项。

105交互模块：

交互模块的主要功能是完成对访问者的应答。交互模块针对工控协议解析模块得出的攻击意图，根据对于工控协议通信数据帧的解析生成交互数据帧，再利用预测模块对攻击时刻的目标传感器的状态值的预测，将固定数据字段填充，。然后同样利用接口模块的socket进程，将回应数据帧用函数发送回攻击者。

106数据存储模块：

本发明使用的是Mysql数据库的表结构来存储获得的攻击者IP的相关信息，包括攻击时间，攻击IP所在的地理位置。同时为了让这些数据更直观，更形象，本发明还带有可视化界面，对数据库中所获数据进行展示，利用多种图表，从多个角度分析攻击者的信息，有助于下一步的威胁情报分析。

本发明通过使用时间序列预测方法对真实工控设备状态进行长期预测，完成与入侵者的深度交互，优化了工控欺骗环境。本发明对真实工控环境的数据传输过程进行模拟，由蜜罐伪装成工控环境下的工业设备，遵循该环境下使用的协议规约，可以接收指令并进行响应，达到欺骗攻击者，捕获攻击者数据的目的。同时，还能够对攻击者进行溯源追踪，分析其攻击手段和攻击目的。

本发明通过构建使用不同协议的蜜罐来模拟不同的工控环境下的工业设备，包括：Modbus/TCP、Ethernet/IP、Siemens S7、DNP3等近20种工业控制协议。实现了多种协议的工业标准接口，模拟多种通讯过程。在交互阶段，通过时间序列预测方法对攻击者的请求做出符合真实工控环境的响应，增蜜罐对工控设备的仿真性，既提高了诱骗性，又不损害安全性。

需要特殊说明的是，以上描述是结合具体内容提供的一种具体实施方式，并不能认定本发明仅局限于以上描述。凡与本发明方法、结构、装置类似，或在本发明构思下做出若干替换、推演的方式，都应视为本发明的保护范围。

Claims

1.一种基于时间序列预测的工控蜜罐交互系统，其特征在于，包含以下模块：

103数据采集模块：负责完成对现场工控设备状态变化情况数据的采集；并将采集到的结果按时间戳顺序保存至文件中，为后续预测模块提供数据支持；

2.根据权利要求1所述的基于时间序列预测的工控蜜罐交互系统，其特征在于，所述的104预测模块：生成新的预测数据具体步骤如下：

其中C为中间向量，h_t为编码阶段第t层隐藏层状态,α_j是根据第j层的掩藏层状态的重要程度生成的0-1的参数，LSTM_enc-for(x,h)是LSTM前向传播计算函数，LSTM_enc-back(x,h)是LSTM反向传播计算函数，中间向量C由tanh激活函数对各时间步的加权隐藏层状态之和计算得出；

3.根据权利要求1所述的基于时间序列预测的工控蜜罐交互系统，其特征在于，工控设备状态变化情况数据包括寄存器值变化情况、线圈值变化情况。