CN112578761B - 一种工业控制蜜罐安全防护装置及方法 - Google Patents
一种工业控制蜜罐安全防护装置及方法 Download PDFInfo
- Publication number
- CN112578761B CN112578761B CN202110147317.8A CN202110147317A CN112578761B CN 112578761 B CN112578761 B CN 112578761B CN 202110147317 A CN202110147317 A CN 202110147317A CN 112578761 B CN112578761 B CN 112578761B
- Authority
- CN
- China
- Prior art keywords
- module
- attack
- industrial control
- network
- protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 235000012907 honey Nutrition 0.000 title claims abstract description 48
- 238000000034 method Methods 0.000 title claims abstract description 24
- 238000004458 analytical method Methods 0.000 claims abstract description 69
- 238000004088 simulation Methods 0.000 claims abstract description 50
- 230000003993 interaction Effects 0.000 claims abstract description 11
- 206010000117 Abnormal behaviour Diseases 0.000 claims abstract description 10
- 238000012546 transfer Methods 0.000 claims abstract description 10
- 230000006399 behavior Effects 0.000 claims description 28
- 238000004891 communication Methods 0.000 claims description 11
- 238000005516 engineering process Methods 0.000 claims description 9
- 230000002159 abnormal effect Effects 0.000 claims description 6
- 238000001914 filtration Methods 0.000 claims description 6
- 238000005206 flow analysis Methods 0.000 claims description 6
- 238000013507 mapping Methods 0.000 claims description 6
- 238000001514 detection method Methods 0.000 claims description 5
- 230000009471 action Effects 0.000 claims description 4
- 230000000694 effects Effects 0.000 claims description 4
- 238000000605 extraction Methods 0.000 claims description 3
- 230000005012 migration Effects 0.000 claims description 3
- 238000013508 migration Methods 0.000 claims description 3
- 230000006798 recombination Effects 0.000 claims description 3
- 238000005215 recombination Methods 0.000 claims description 3
- 239000013589 supplement Substances 0.000 claims description 3
- 238000012423 maintenance Methods 0.000 claims description 2
- 230000009286 beneficial effect Effects 0.000 abstract description 2
- 230000008859 change Effects 0.000 abstract description 2
- 230000004044 response Effects 0.000 description 8
- 230000006870 function Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 230000007547 defect Effects 0.000 description 3
- 230000007123 defense Effects 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 238000013135 deep learning Methods 0.000 description 2
- 230000003111 delayed effect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000006698 induction Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000008450 motivation Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 241000208125 Nicotiana Species 0.000 description 1
- 235000002637 Nicotiana tabacum Nutrition 0.000 description 1
- 201000007023 Thrombotic Thrombocytopenic Purpura Diseases 0.000 description 1
- 230000032683 aging Effects 0.000 description 1
- 230000009118 appropriate response Effects 0.000 description 1
- 238000012098 association analyses Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 239000003245 coal Substances 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 238000005520 cutting process Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 230000009189 diving Effects 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 230000001771 impaired effect Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000005272 metallurgy Methods 0.000 description 1
- 230000000116 mitigating effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 239000003348 petrochemical agent Substances 0.000 description 1
- 239000003208 petroleum Substances 0.000 description 1
- 238000004886 process control Methods 0.000 description 1
- 238000012502 risk assessment Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/4185—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/30—Nc systems
- G05B2219/33—Director till display
- G05B2219/33139—Design of industrial communication system with expert system
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Manufacturing & Machinery (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及工业安全技术领域,特别涉及一种工业控制蜜罐安全防护装置及方法。其中影子系统包括一个IP仿真模块、一个流量转移重定向模块、一个虚拟交换机软件和若干个虚拟机系统;蜜网系统包括通用协议仿真模块、工业协议仿真模块和蜜罐管理配置模块;工控设备接口提供包括PLC模块、DSC模块、RTU模块、OPC服务、SCADA设备和HMI人机交互系统工控设备的接入;安全防护系统包括日志采集分析模块、流量采集分析模块、异常行为分析模块、溯源取证分析模块、系统管理模块和系统数据库模块。本发明的有益效果为:无需串接网络,无需旁路配置端口流量镜像,不改变用户物理网络结构,不影响用户网络运行环境,灵活部署环境,即插即用。
Description
技术领域
本发明涉及工业安全技术领域,特别涉及一种工业控制蜜罐安全防护装置及方法。
背景技术
工业控制系统(Industrial Control Systems,ICS),是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成。其组件包括数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端终端(RTU)、智能电子设备(IED),以及确保各组件通信的接口技术。ICS系统广泛运用于石油、石化、冶金、电力、燃气、煤矿、烟草以及市政等领域,用于控制关键生产设备的运行。这些领域中的工业控制系统一旦遭到破坏,不仅会影响产业经济的持续发展,更会对国家安全造成巨大的损害。
由于工业控制网络的开放性,攻击者可采取多种手段攻击该网络,比如利用工控设备漏洞、TCP/IP协议缺陷及工控专用通讯协议漏洞等。蜜网技术的部署和实施已经引起了广泛的关注。虽然国内外学者都曾尝试用不同的蜜网解决网络安全问题,但是当前的蜜网主要用于网络入侵与恶意代码检测、恶意代码样本捕获和僵尸网络追踪等用途,而针对工业控制系统的攻击比较复杂,专门用于工业控制网络的蜜网则存在工作效率低、交互性差等缺点。随着种类众多的入侵手法与攻击工具的快速更新,蜜网被识别的概率在不断增大。考虑到工控作业环境十分关键,因此防止蜜网本身对工控的影响也至关重要。因而建立能快速有效具有高交互高仿真特性,并能及时更新发现工控网络中威胁攻击的蜜罐变得非常迫切。
申请号“202010109410.5”公开了一种智能学习式自应答工业互联网蜜罐诱导方法及系统,包括样本数据处理,定期获取设定时间段内正常情况下工业环境的业务请求命令及响应所述请求命令的设备及响应内容,并处理生成请求响应序列,作为模型训练样本数据集;响应预测模型训练;威胁诱捕,获取当前攻击者的请求数据,根据当前响应预测模型查找该请求子序列在概率后缀树上所在的节点,给予该请求数据的反馈并记录数据,直至攻击结束,然后将获取到的原始攻击请求响应序列加入到样本数据集中;重复上述过程。该方法通过对各类工控系统数据交互的深度学习,真实模拟出各类工控系统及业务,能够欺骗攻击者且不会暴露自身,从而保障工业互联网安全。该方法使用深度学习的方式,通过概率树的子序列,与攻击目标进行模拟交互,该方式虽然可以提高诱导率以及隐藏蜜罐,但其效率不高,且不能完全诱导攻击行为。
因此,本申请提出了一种工业控制蜜罐安全防护装置及方法,可以解决如下几点技术问题:
1.传统边界安全系统可用于阻止初始的外部攻击,但持续的攻击(APT)有可能最终通过社会工程、网络钓鱼或其他APT手段获得成功,并在内网建立跳板。一旦外部威胁进入内网区域,就会通过提升特权、网络侦察等手段,横向移动到其他有价值的目标,通过多次攻击建立多个立足点(傀儡机)。为了有效发现和减缓此类威胁产生的影响,需要了解具体攻击的TTP(Tatics、Techiniques、 Procedures )。本蜜罐解决方案会在三个层面上与攻击进行相互作用,提供对威胁的检测和对攻击的缓解措施。
2.由于蜜罐上不存在真实的业务主机及服务,因此任何访问蜜罐的行为都可以被认为是一个高可信度的威胁。虽然检测入侵只需要使用低交互度蜜罐进行伪装,但无法识别威胁使用的TTP。因此需要将全部的入侵行为诱导至蜜罐。
3.系统一旦检测到入侵威胁信息,意味着攻击进入交互阶段并开始收集信息,这需要使用具有高交互度的蜜罐进行诱骗,蜜罐服务可以是工业资产、服务器、软件服务等,其本质上是各类生产业务系统。在交互阶段可收集详细的威胁TTP,特别是有效载荷、横向移动利用漏洞、账户受损和攻击目标。
4.通过识别攻击者意图和手段,可延缓攻击进程并缓解威胁产生的危害,通常根据交互过程中的TTP进行关联分析并采取适当的响应策略:一是进行告警,二是切断入侵者与被攻击站点的连接,三是增强蜜罐交互程度,并增加对攻击行为的分析和记录等。
发明内容
现有技术中工控网络防护大多为搭建虚拟的资产和生产环境。本发明为了弥补蜜罐交互度低、甜度低、风险分析的效率低的不足,提供了一种工业控制蜜罐安全防护装置及方法,其部分使用真实的系统和设备资产,而不是简单的模拟仿真,其与真实在用的业务系统和服务具有极高的相似度,甚至可以被黑客真实登陆进入,只不过系统里的所有数据都是虚假的。蜜罐被设置成可以全量捕获攻击流量,以便于分析攻击者的动机、手法、技术、过程以及释放的payload等信息。
本发明是通过如下技术方案实现的:
一种工业控制蜜罐安全防护装置,包括影子系统、蜜网系统、工控设备接口、安全防护系统和内部交换网络,其特征在于:
所述影子系统,包括一个IP仿真模块、一个流量转移重定向模块、一个虚拟交换机软件和若干个虚拟机系统;
所述蜜网系统,包括通用协议仿真模块、工业协议仿真模块和蜜罐管理配置模块;
所述工控设备接口,提供包括PLC模块、DSC模块、RTU模块、OPC服务、SCADA设备和HMI人机交互系统工控设备的接入;
所述安全防护系统,包括日志采集分析模块、流量采集分析模块、异常行为分析模块、溯源取证分析模块、系统管理模块和系统数据库模块;
所述内部交换网络,使用可配置的数据交换设备,通过接口连接影子系统主机、安全防护系统主机、蜜网系统主机和若干物理工控设备,在安全防护装置外部设置业务口和管理口,分别用于接入用户交换机的Trunk数据和远程管理维护。
进一步地,为了更好的实现本发明,在所述影子系统中,IP仿真模块可以根据系统虚拟IP地址段的配置,在空闲的IP地址空间中,批量生成多个不同MAC地址的IP虚拟地址;流量转移重定向模块用于根据虚拟IP与系统仿真协议及物理工控设备的映射关系配置,将多个仿真IP地址的流量牵引至由不同的仿真协议及物理设备构成的蜜网系统中;虚拟机系统由系统自动生成,每个虚拟机一侧连接到由虚拟交换机生成的VLAN上,从而与内部交换网络间接相连;另一侧则通过影子系统所在主机的物理接口与内部交换网络相连,并通过内部交换网络连接到整个工控蜜罐防护装置的业务口上。
进一步地,为了更好的实现本发明,在所述蜜网系统中,通用协议仿真模块用于仿真ssh、ftp、mysql、rdp和http等通信协议;工业协议仿真模块用于仿真Modbus、S7和IEC104等工控协议;蜜罐管理配置模块用于对通用协议仿真模块和工业协议仿真模块进行配置和管理,控制以上两个模块可以仿真的协议及相关参数设置。
进一步地,为了更好的实现本发明,在所述安全防护系统中,日志采集分析模块用于将蜜网系统中的通用协议仿真模块和工业协议仿真模块产生的攻击访问日志数据,通过采集日志数据并对其进行匹配、过滤、特征识别,将分析结果记录到系统数据库中;流量采集分析模块用于将攻击行为经过影子系统产生的流量镜像到安全防护系统,并对镜像流量进行流量基于规则的分析,通过动态分析技术,将捕获的数据包进行DPI分析解析,识别若干工业协议内容及工业协议操作指令,将分析结果记录到数据库里;异常行为分析模块,可通过在日志分析模块和流量分析模块的基础上,识别出异常网络攻击行为特征及类型,可提供实时告警并产生攻击路径信息;溯源取证模块可在全程留存所有攻击和探测行为数据的基础上,自动完成攻击行为等级划分,可协助用户完成攻击溯源取证和攻击复盘;系统管理模块统一负责对整个蜜罐安全防护装置的功能管理,包括前端系统界面展示和数据效果呈现、影子系统和蜜网系统的设置;系统数据库模块包括配置数据库、规则数据库和攻击数据库。
进一步地,为了更好的实现本发明,在所述配置数据库中,包含对影子系统及蜜罐系统资产的设置相关数据;所述规则数据库包含用于进行规则匹配、特征识别的数据集合;所述攻击数据库包括攻击源地址、源端口、攻击类型、通信协议、目标地址、目标端口、攻击频率、攻击协议指令和指令结果。
基于上述的工业控制蜜罐安全防护装置,具体的防护方法为:
S1,根据客户现场工控设备及相关系统的部署和使用场景,基于用户实际需求,确定在蜜罐防护装置中需要仿真的各类协议种类及设备类型;
S2,根据客户实际业务VLAN的划分场景,确定好需要仿真的业务地址段和具体地址范围;
S3,在用户核心交换机上,配置业务VLAN的若干trunk口,将本装置的业务口连接到交换机的该trunk口上,从而使本装置能旁路连接到企业的工业控制层网络之中;
S4,在本安全防护装置的网络设置功能中,分别设置需要仿真的每个VLAN的名称、VLAN ID、外部接口地址;
S5,在本安全防护装置的蜜罐设置功能中,分别设置每个VLAN需要批量虚拟的IP地址或范围,以及该地址或范围与需要仿真的通用协议、工控协议、工控设备的映射关系。
S6,影子系统的IP仿真模块,接收到从外部trunk口发来的访问流量后,在流量迁移与重定向模块的作用下,将攻击流量转移与重定向到指定的容器、系统、网络环境内,使其进入“网络黑洞”,或直接将流量转发至工控设备接口;
S7,蜜网系统中的仿真蜜罐及工控设备,会接收到从影子系统转发来的攻击流量,蜜罐系统本身会产生并记录相关访问日志信息。这部分日志信息会被安全防护系统的日志采集分析模块进行捕获并进行初步的过滤和关键信息提取;
S8,安全防护系统会在内部交换网络的转发下,将影子系统重定向到蜜网系统的全部流量镜像到流量采集分析模块,通过基于规则的分析引擎,对流量中符合攻击特征及具备工业协议指令的信息进行抓取和记录;
S9,异常行为分析模块,可通过在日志分析模块和流量分析模块的基础上,识别出异常网络攻击行为特征及类型,可提供实时告警并产生攻击路径信息;攻击溯源取证及分析模块,通过动态分析技术,将捕获的数据包进行DPI分析解析,识别多种工业协议内容,如Modbus, S7, IEC104, BACnet,实时展示攻击者的工业操作指令,并自动完成攻击行为等级划分,并协助用户完成攻击溯源取证和攻击复盘,该模块将分析出的设备类型、协议、指令、攻击情况等信息,并将信息增量更新至攻击数据库,使数据库得到补充和完善。
本发明的有益效果是:
本发明无需串接网络,无需旁路配置端口流量镜像,不改变用户物理网络结构,不影响用户网络运行环境,灵活部署环境,即插即用。
本发明与现有技术相比,存在如下优点:
(1)站在攻击者角度,设置诱饵,在工业内网被单点突破的情况下,让攻击者远离真实资产。智能学习被防御网络,自动化仿真模拟业务场景,构建多样化的吸引攻击者的脆弱环境和信息,引诱攻击者不断深入蜜罐场景,暴露其动机和技术手段,延缓攻击者时效,从而使主动权牢牢掌握在防御方,提升应对突发网络安全事件的应急响应能力和速度。
(2)采用主动欺骗式防御模式,是传统边界防御手段的有效补充。精准定位攻击来源和详细的攻击行为分析,使后期处置快速而高效,尤其针对防御和处置已经绕过边界防护、兼具高危险性和高隐蔽性新型渗透攻击有良好效果。
(3)蜜罐内生诱捕机理,任何触碰和进入蜜罐的行为,均被详细定位和分析,“攻击即报警,响应即处置”,实现零误报。当黑客已经在进行网络扫描与侦察时,本装置可提供大量虚假主机和虚假服务,形成“影子网络”,隐藏原本真实的业务系统,干扰黑客对攻击目标的判断,对入侵行为进行快速响应并获取证据。
(4)高隐蔽性的采集进入蜜罐的攻击者信息,如地址、样本、行为、 黑客指纹等,掌握其详细攻击路径、终端指纹和行为特征,实现全面取证,精准溯源。全程留存所有入侵和攻击行为数据,并自动完成攻击行为等级划分,可协助用户完成攻击溯源取证和攻击复盘。
附图说明
图1为本发明工业控制蜜罐安全防护装置的结构示意图;
图2为本发明工业控制蜜罐安全防护方法的逻辑流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件,可以通过各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述,并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下,所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“设置”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接。可以是机械连接,也可以是电性连接。可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
下面结合附图,对本发明的一些实施方式作详细说明。在不冲突的情况下,下述的实施例及实施例中的特征可以相互组合。
图1-图2为本发明的一种具体实施例,该实施例为一种工业控制蜜罐安全防护装置及方法,本实施例的装置包括一个影子系统,蜜网系统、多个工控设备接口、用于控制和记录攻击入侵日志和流量并进行分析取证的安全防护系统、以及一个用于连接以上诸模块的内部交换网络。
本实施例中的影子系统,包括一个IP仿真模块、一个流量转移重定向模块、一个虚拟交换机软件、多个虚拟机系统。IP仿真模块可以根据系统虚拟IP地址段的配置,在空闲的IP地址空间中,批量生成多个不同MAC地址的IP虚拟地址,由于虚拟的IP地址具有唯一不同的MAC地址,因此在外部访问者看来,就是多个具有唯一网络特征的设备真实存在,从而隐藏原本真实的业务系统,干扰攻击者对攻击目标的判断。流量转移重定向模块用于根据虚拟IP与系统仿真协议及物理工控设备的映射关系配置,将多个仿真IP地址的流量牵引至由不同的仿真协议及物理设备构成的蜜网系统中,使访问仿真IP产生的攻击流量被转移至蜜网“黑洞”区域,将攻击行为与真实工控网络隔离,避免对真实工控网络产生威胁。虚拟交换机软件用于根据用户实际业务VLAN场景,在影子系统中虚拟生成对应的VLAN网络,使客户的VLAN网络与影子系统中的VLAN网络进行匹配对应。多个虚拟机系统由系统自动生成,每个虚拟机一方面连接到由虚拟交换机生成的VLAN上,从而与内部交换网络间接相连;另一方面则通过影子系统所在主机的物理接口与内部交换网络相连,并通过内部交换网络连接到整个工控蜜罐防护装置的业务口上。
本实施例中的蜜网系统,包括用于仿真通用通信协议的模块、用于仿真工业通信协议的模块,以及蜜罐管理配置模块。通用协议仿真模块用于仿真ssh、ftp、mysql、rdp、http等常见通信协议。工业协议仿真模块用于仿真Modbus、S7、IEC104等常见工控协议。蜜罐管理配置模块用于对通用协议仿真模块和工业协议仿真模块进行配置和管理,控制以上两个模块可以仿真的协议及相关参数设置。
本实施例中的工控设备接口,主要提供包括PLC模块、DSC模块、RTU模块、OPC服务、SCADA设备,HMI人机交互系统等工控设备的接入。以上类型的工控设备通过独立的接口,与内部交换网络连接,从而与影子系统主机及蜜网系统主机联通。
本实施例汇总的安全防护系统,包括日志采集分析模块、流量采集分析模块、异常行为分析模块、溯源取证分析模块、系统管理模块、系统数据库模块。日志采集分析模块用于将蜜网系统中的通用协议仿真模块和工业协议仿真模块产生的攻击访问日志数据,通过采集日志数据并对其进行匹配、过滤、特征识别,将分析结果记录到系统数据库中。流量采集分析模块用于将攻击行为经过影子系统产生的流量镜像到安全防护系统,并对镜像流量进行流量基于规则的分析,通过动态分析技术,将捕获的数据包进行DPI分析解析,识别多种工业协议内容(Modbus, S7, IEC104, BACnet等)及工业协议操作指令,将分析结果记录到数据库里。异常行为分析模块,可通过在日志分析模块和流量分析模块的基础上,识别出异常网络攻击行为特征及类型,可提供实时告警并产生攻击路径信息。溯源取证模块可在全程留存所有攻击和探测行为数据的基础上,自动完成攻击行为等级划分,可协助用户完成攻击溯源取证和攻击复盘。系统管理模块统一负责对整个蜜罐安全防护装置的功能管理,包括前端系统界面展示和数据效果呈现、影子系统和蜜网系统的设置等。系统数据库模块包括配置数据库、规则数据库、攻击数据库。配置数据库包含对影子系统及蜜罐系统资产的设置相关数据;规则数据库主要包含用于进行规则匹配、特征识别的数据集合。攻击数据库包括攻击源地址、源端口、攻击类型、通信协议、目标地址、目标端口、攻击频率、攻击协议指令、指令结果等内容。
本实施例中的内部交换网络,采用可配置的高性能的数据交换设备,可在本安全防护装置内部通过接口连接影子系统主机、安全防护主机、蜜网系统主机、以及各种物理工控设备。同时在装置外部提供业务口和管理口,分别用于接入用户交换机的trunk数据和远程对本安全防护装置做管理维护用途。
本实施例部署在空也控制业务系统网络中使用的具体步骤如下:
第一步:根据客户现场工控设备及相关系统的部署和使用场景,基于用户实际需求,确定在蜜罐防护装置中需要仿真的各类协议种类及设备类型。
第二步:根据客户实际业务VLAN的划分场景,确定好需要仿真的业务地址段和具体地址范围。
第三步:在用户核心交换机上,配置业务VLAN的Trunk口(多个),将本装置的业务口连接到交换机的该Trunk口上,从而使本装置能旁路连接到企业的工业控制层网络之中。
第四步:在本安全防护装置的网络设置功能中,分别设置需要仿真的每个VLAN的名称、VLAN ID、外部接口地址。
第五步:在本安全防护装置的蜜罐设置功能中,分别设置每个VLAN需要批量虚拟的IP地址(或范围),以及该地址(或范围)与需要仿真的通用协议、工控协议、工控设备的映射关系。
第六步:影子系统的IP仿真模块,接收到从外部Trunk口发来的访问流量后,在流量迁移与重定向模块的作用下,将攻击流量转移与重定向到指定的容器、系统、网络环境内,使其进入“网络黑洞”,或直接将流量转发至工控设备接口。
第七步:蜜网系统中的仿真蜜罐及工控设备,会接收到从影子系统转发来的攻击流量,蜜罐系统本身会产生并记录相关访问日志信息。这部分日志信息会被安全防护系统的日志采集分析模块进行捕获并进行初步的过滤和关键信息提取。
第八步:安全防护系统会在内部交换网络的转发下,将影子系统重定向到蜜网系统的全部流量镜像到流量采集分析模块,通过基于规则的分析引擎,对流量中符合攻击特征及具备工业协议指令的信息进行抓取和记录。
第九步:异常行为分析模块,可通过在日志分析模块和流量分析模块的基础上,识别出异常网络攻击行为特征及类型,可提供实时告警并产生攻击路径信息。攻击溯源取证及分析模块,通过动态分析技术,将捕获的数据包进行DPI分析解析,识别多种工业协议内容(Modbus, S7, IEC104, BACnet等),实时展示攻击者的工业操作指令,并自动完成攻击行为等级划分,并协助用户完成攻击溯源取证和攻击复盘。该模块将分析出的设备类型、协议、指令、攻击情况等信息,并将信息增量更新至攻击数据库,使数据库得到补充和完善。
最后说明的是,以上实施例仅用以说明本发明的技术方案而非限制,本领域普通技术人员对本发明的技术方案所做的其他修改或者等同替换,只要不脱离本发明技术方案的精神和范围,均应涵盖在本发明的权利要求范围当中。
Claims (4)
1.一种工业控制蜜罐安全防护装置,包括影子系统、蜜网系统、工控设备接口、安全防护系统和内部交换网络,其特征在于:
所述影子系统包括一个IP仿真模块、一个流量转移重定向模块、一个虚拟交换机软件和若干个虚拟机系统;
所述蜜网系统包括通用协议仿真模块、工业协议仿真模块和蜜罐管理配置模块;
所述工控设备接口提供包括PLC模块、DSC模块、RTU模块、OPC服务、SCADA设备和HMI人机交互系统工控设备的接入;
所述安全防护系统包括日志采集分析模块、流量采集分析模块、异常行为分析模块、溯源取证分析模块、系统管理模块和系统数据库模块;
所述内部交换网络,使用配置的数据交换设备,通过接口连接影子系统主机、安全防护系统主机、蜜网系统主机和若干物理工控设备,在安全防护装置外部设置业务口和管理口,分别用于接入用户交换机的Trunk数据和远程管理维护;
在所述安全防护系统中,日志采集分析模块用于将蜜网系统中的通用协议仿真模块和工业协议仿真模块产生的攻击访问日志数据,通过采集日志数据并对其进行匹配、过滤、特征识别,将分析结果记录到系统数据库中;流量采集分析模块用于将攻击行为经过影子系统产生的流量镜像到安全防护系统,并对镜像流量进行流量基于规则的分析,通过动态分析技术,将捕获的数据包进行DPI分析解析,识别若干工业协议内容及工业协议操作指令,将分析结果记录到数据库里;异常行为分析模块,通过在日志分析模块和流量分析模块的基础上,识别出异常网络攻击行为特征及类型,提供实时告警并记录攻击路径信息;溯源取证模块在全程留存所有攻击和探测行为数据的基础上,自动完成攻击行为等级划分,协助用户完成攻击溯源取证和攻击复盘;系统管理模块统一负责对整个蜜罐安全防护装置的功能管理,包括前端系统界面展示和数据效果呈现、影子系统和蜜网系统的设置;系统数据库模块包括配置数据库、规则数据库和攻击数据库;
所述配置数据库包含对影子系统及蜜罐系统资产的设置相关数据;
所述规则数据库包含用于进行规则匹配、特征识别的数据集合;
所述攻击数据库包括攻击源地址、源端口、攻击类型、通信协议、目标地址、目标端口、攻击频率、攻击协议指令和指令结果。
2.根据权利要求1所述的一种工业控制蜜罐安全防护装置,其特征在于:
在所述影子系统中,IP仿真模块根据系统虚拟IP地址段的配置,在空闲的IP地址空间中,批量生成多个不同MAC地址的IP虚拟地址;流量转移重定向模块用于根据虚拟IP与系统仿真协议及物理工控设备的映射关系配置,将多个仿真IP地址的流量牵引至由不同的仿真协议及物理设备构成的蜜网系统中;虚拟机系统由系统自动生成,每个虚拟机一方面连接到由虚拟交换机生成的VLAN上,从而与内部交换网络间接相连;另一方面则通过影子系统所在主机的物理接口与内部交换网络相连,并通过内部交换网络连接到整个工控蜜罐防护装置的业务口上。
3.根据权利要求1所述的一种工业控制蜜罐安全防护装置,其特征在于:
在所述蜜网系统中,通用协议仿真模块用于仿真ssh、ftp、mysql、rdp和http通信协议;工业协议仿真模块用于仿真Modbus、S7和IEC104工控协议;蜜罐管理配置模块用于对通用协议仿真模块和工业协议仿真模块进行配置和管理,控制以上两个模块仿真的协议及相关参数设置。
4.一种工业控制蜜罐安全防护方法,其特征在于:
S1,根据客户现场工控设备及相关系统的部署和使用场景,基于用户实际需求,确定在蜜罐防护装置中需要仿真的各类协议种类及设备类型;
S2,根据客户实际业务VLAN的划分场景,确定好需要仿真的业务地址段和具体地址范围;
S3,在用户核心交换机上,配置业务VLAN的若干trunk口,将本装置的业务口连接到交换机的该trunk口上,从而使本装置能旁路连接到企业的工业控制层网络之中;
S4,在本安全防护装置的网络设置功能中,分别设置需要仿真的每个VLAN的名称、VLANID、外部接口地址;
S5,在本安全防护装置的蜜罐设置功能中,分别设置每个VLAN需要批量虚拟的IP地址或范围,以及该地址或范围与需要仿真的通用协议、工控协议、工控设备的映射关系;
S6,影子系统的IP仿真模块,接收到从外部trunk口发来的访问流量后,在流量迁移与重定向模块的作用下,将攻击流量转移与重定向到指定的容器、系统、网络环境内,使其进入“网络黑洞”,或直接将流量转发至工控设备接口;
S7,蜜网系统中的仿真蜜罐及工控设备,会接收到从影子系统转发来的攻击流量,蜜罐系统本身会产生并记录相关访问日志信息;
这部分日志信息会被安全防护系统的日志采集分析模块进行捕获并进行初步的过滤和关键信息提取;
S8,安全防护系统会在内部交换网络的转发下,将影子系统重定向到蜜网系统的全部流量镜像到流量采集分析模块,通过基于规则的分析引擎,对流量中符合攻击特征及具备工业协议指令的信息进行抓取和记录;
S9,异常行为分析模块,通过在日志分析模块和流量分析模块的基础上,识别出异常网络攻击行为特征及类型,提供实时告警并产生攻击路径信息;攻击溯源取证及分析模块,通过动态分析技术,将捕获的数据包进行DPI分析解析,识别多种工业协议内容,包括Modbus,S7, IEC104, BACnet,实时展示攻击者的工业操作指令,并自动完成攻击行为等级划分,并协助用户完成攻击溯源取证和攻击复盘,该模块将分析出的设备类型、协议、指令、攻击情况信息,并将信息增量更新至攻击数据库,使数据库得到补充和完善。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110147317.8A CN112578761B (zh) | 2021-02-03 | 2021-02-03 | 一种工业控制蜜罐安全防护装置及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110147317.8A CN112578761B (zh) | 2021-02-03 | 2021-02-03 | 一种工业控制蜜罐安全防护装置及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112578761A CN112578761A (zh) | 2021-03-30 |
| CN112578761B true CN112578761B (zh) | 2023-05-26 |
Family
ID=75145362
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110147317.8A Active CN112578761B (zh) | 2021-02-03 | 2021-02-03 | 一种工业控制蜜罐安全防护装置及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112578761B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113328992B (zh) * | 2021-04-23 | 2023-03-24 | 国网辽宁省电力有限公司电力科学研究院 | 一种基于流量分析的动态蜜网系统 |
| CN113612783B (zh) * | 2021-08-09 | 2023-05-19 | 杭州安恒信息安全技术有限公司 | 一种蜜罐防护系统 |
| CN114124523B (zh) * | 2021-11-22 | 2024-01-26 | 中国电子科技集团公司第五十四研究所 | 一种零信任与网络诱捕相结合的网络防御系统及方法 |
| CN114584359B (zh) * | 2022-02-24 | 2023-06-09 | 烽台科技(北京)有限公司 | 安全诱捕方法、装置和计算机设备 |
| CN115549943B (zh) * | 2022-07-12 | 2023-05-23 | 方滨兴 | 一种基于四蜜的一体化网络攻击检测方法 |
| CN114978768B (zh) * | 2022-07-13 | 2023-04-18 | 上海大学 | 一种基于Conpot的网络化控制系统蜜罐 |
| CN117220900A (zh) * | 2023-07-14 | 2023-12-12 | 博智安全科技股份有限公司 | 一种自动检测蜜罐系统的方法和系统 |
| CN117938554A (zh) * | 2024-03-25 | 2024-04-26 | 环球数科集团有限公司 | 一种基于网络安全入侵的预测系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107070929A (zh) * | 2017-04-20 | 2017-08-18 | 中国电子技术标准化研究院 | 一种工控网络蜜罐系统 |
| WO2018044410A1 (en) * | 2016-09-01 | 2018-03-08 | Siemens Aktiengesellschaft | High interaction non-intrusive industrial control system honeypot |
| CN109889488A (zh) * | 2018-12-29 | 2019-06-14 | 江苏博智软件科技股份有限公司 | 一种基于云部署的工控网络蜜网安全防护系统 |
| CN111641634A (zh) * | 2020-05-28 | 2020-09-08 | 东北大学 | 一种基于蜜网的工业控制网络主动防御系统及其方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3414663A1 (en) * | 2016-02-10 | 2018-12-19 | Level 3 Communications, LLC | Automated honeypot provisioning system |
| WO2017156261A1 (en) * | 2016-03-10 | 2017-09-14 | Acalvio Technologies, Inc. | Active deception system |
| CN108322456A (zh) * | 2018-01-22 | 2018-07-24 | 深圳市联软科技股份有限公司 | 一种防网络攻击的幻影设备建立方法、介质及设备 |
| CN110784361A (zh) * | 2019-10-31 | 2020-02-11 | 国网河南省电力公司电力科学研究院 | 虚拟化云蜜网部署方法、装置、系统及计算机可读存储介质 |
| CN110784476A (zh) * | 2019-10-31 | 2020-02-11 | 国网河南省电力公司电力科学研究院 | 一种基于虚拟化动态部署的电力监控主动防御方法及系统 |
-
2021
- 2021-02-03 CN CN202110147317.8A patent/CN112578761B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018044410A1 (en) * | 2016-09-01 | 2018-03-08 | Siemens Aktiengesellschaft | High interaction non-intrusive industrial control system honeypot |
| CN107070929A (zh) * | 2017-04-20 | 2017-08-18 | 中国电子技术标准化研究院 | 一种工控网络蜜罐系统 |
| CN109889488A (zh) * | 2018-12-29 | 2019-06-14 | 江苏博智软件科技股份有限公司 | 一种基于云部署的工控网络蜜网安全防护系统 |
| CN111641634A (zh) * | 2020-05-28 | 2020-09-08 | 东北大学 | 一种基于蜜网的工业控制网络主动防御系统及其方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112578761A (zh) | 2021-03-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112578761B (zh) | 一种工业控制蜜罐安全防护装置及方法 | |
| CN112769821B (zh) | 一种基于威胁情报和att&ck的威胁响应方法及装置 | |
| CN107070929A (zh) | 一种工控网络蜜罐系统 | |
| CN107667505A (zh) | 用于监控和管理数据中心的系统 | |
| CN108111482A (zh) | 一种智能电网工业控制网络安全测试系统和测试方法 | |
| Dalamagkas et al. | A survey on honeypots, honeynets and their applications on smart grid | |
| CN111181998B (zh) | 面向物联网终端设备的蜜罐捕获系统的设计方法 | |
| CN112182564A (zh) | 一种基于时间序列预测的工控蜜罐交互系统 | |
| US10630708B2 (en) | Embedded device and method of processing network communication data | |
| Ajmal et al. | Last line of defense: Reliability through inducing cyber threat hunting with deception in scada networks | |
| Mohammed et al. | Detection and mitigation of field flooding attacks on oil and gas critical infrastructure communication | |
| CN114584359A (zh) | 安全诱捕方法、装置和计算机设备 | |
| Grigoriou et al. | Protecting IEC 60870-5-104 ICS/SCADA systems with honeypots | |
| Nicholson et al. | An initial investigation into attribution in SCADA systems | |
| LaBar et al. | Honeypots: Security by deceiving threats | |
| CN113489694B (zh) | 一种蜜场系统中抗大流量攻击的动态防御系统 | |
| Nguyen | A scheme for building a dataset for intrusion detection systems | |
| Vokorokos et al. | Sophisticated honeypot mechanism-the autonomous hybrid solution for enhancing computer system security | |
| Sharma | Honeypots in Network Security | |
| Abhijith et al. | First Level Security System for Intrusion Detection and Prevention in LAN | |
| Lin et al. | Generating honeypot traffic for industrial control systems | |
| Liu et al. | Extendable ICS honeypot design with modbus/TCP | |
| Anastasiadis et al. | A Novel High-Interaction Honeypot Network for Internet of Vehicles | |
| Arifin et al. | Malicious Activity Recognition on SCADA Network IEC 60870-5-104 Protocol | |
| AU2021103735A4 (en) | A honeypot based network security system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 250014 room 3901, building 1, Zhongrun Century Center, 12111 Jingshi Road, Lixia District, Jinan City, Shandong Province Applicant after: Shandong Yuntian Safety Technology Co.,Ltd. Address before: 250014 39th floor, building 1, Zhongrun shijifeng, 12111 Jingshi East Road, Lixia District, Jinan City, Shandong Province Applicant before: Shandong Yuntian Safety Technology Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |