◆王涵 卜佑軍 陳博 張雙雙 陳韻 蔡翰智

工控蜜罐的擬態(tài)化探索與研究

◆王涵1卜佑軍2陳博2張雙雙1陳韻1蔡翰智1

（1.網絡通信與安全紫金山實驗室 江蘇 211100；2.中國人民解放軍戰(zhàn)略支援部隊信息工程大學 河南450002）

隨著工業(yè)化與信息化的融合發(fā)展，原本封閉的工業(yè)控制系統(tǒng)在接入互聯網后逐漸趨向于開放化和智能化，工業(yè)控制系統(tǒng)在提高了生產效率的同時也引入了新的網絡安全威脅。由于針對工業(yè)控制系統(tǒng)的攻擊往往是以系統(tǒng)中的IT網絡為突破口，進而影響其OT系統(tǒng)的運行，而當前互聯網上存在著大量的攻擊，且攻擊手段復雜多樣，直接影響著工業(yè)控制系統(tǒng)的安全。本文針對當前工控網絡面臨的嚴峻安全形勢，探索工控蜜罐擬態(tài)化技術的實現路徑，探索突破工控私有協(xié)議深度仿真模擬、高仿真蜜網構建、蜜網自動化配置、威脅誘捕與溯源、聯動防御、擬態(tài)防御等關鍵核心技術的可行性。

擬態(tài)蜜罐；工控蜜罐；異構冗余；攻擊誘導

1 引言

隨著工業(yè)互聯網的快速發(fā)展，工業(yè)互聯網技術已廣泛運用于工業(yè)生產領域和其他公共服務領域，工控網絡作為工業(yè)互聯網的重要構成部分，其面臨的安全形勢越來越嚴峻，工控領域的網絡安全事件層出不窮[1]。從2014年的Havex事件、2015年的烏克蘭電力事件、2017年勒索病毒“WannaCry”感染事件、2019年委內瑞拉水電站攻擊事件到2020年的本田汽車遭受Ekans病毒勒索，由此可以看出，全球的工控系統(tǒng)都在面臨著前所未有的安全威脅和挑戰(zhàn)。

因此，研究工業(yè)控制系統(tǒng)網絡的防御方法至關重要，而蜜罐技術作為一種新型的主動防御技術，通過模擬真實的工業(yè)網絡環(huán)境，偽裝成為具備高價值、存在安全漏洞的工控設備，吸引攻擊者的注意力，誘導攻擊者對蜜罐進行攻擊[2]，一方面可以減少真實設備所受的攻擊，從而實現延緩攻擊者的攻擊進程，爭取應急響應時間，保護真實的網絡環(huán)境；另一方面通過捕獲和記錄攻擊數據，研究分析攻擊工具、攻擊方法、攻擊特征，推測攻擊者意圖和動機，從而提前制定對應的防御措施，徹底扭轉網絡攻防過程中的不對稱局面。但是，蜜罐如果被攻擊者所探測，就會變成一種識破即失效的被動式主動防御手段。所以，本文探索將主動防御中的蜜罐與擬態(tài)防御技術相互融合，以增加攻擊者探測真實資產的時間，同時利用現有信息安全技術對攻擊行為和攻擊策略進行審計，從而采取更有針對性的防護手段，確保工業(yè)互聯網網絡環(huán)境的安全與穩(wěn)定[3]。

2 工控蜜罐研究進展

隨著信息化技術不斷發(fā)展，出現了針對不同業(yè)務應用場景的蜜罐系統(tǒng)，如：Web蜜罐、數據庫蜜罐、移動應用蜜罐、網絡協(xié)議棧蜜罐、IoT蜜罐等。蜜罐的分類標準多樣，基于蜜罐的物理特性，可以分為物理蜜罐和虛擬蜜罐；基于相互作用的方向，可以分為服務器蜜罐和客戶端蜜罐；基于攻防交互程度，可以分為低交互蜜罐、中交互蜜罐和高交互蜜罐。近年來，隨著工控安全形勢的嚴峻，蜜罐技術被越來越多地應用在工控領域，工控蜜罐作為面向工業(yè)控制、工業(yè)生產業(yè)務環(huán)境的新一代蜜罐系統(tǒng)也得到了越來越多的關注，當前主流的工控蜜罐種類很多，包括HosTaGe[4]、Honeyd、Conpot、Honeyd+、SHaPe、CryPLH、S7commTrace[5]、Snap7等，在工控現場環(huán)境中，工控蜜罐主要仿真的工控協(xié)議包括Modbus、S7、DNP3、IEC104/101等。

下面以幾種工控蜜罐為例進行簡單介紹，包括所支持的協(xié)議、功能。

（1）Conpot蜜罐，屬于低交互蜜罐，實現了對HTTP、SNMP、Modbus等協(xié)議的仿真，對西門子S7-200 ICS，IPMI等設備的仿真，Conpot部署簡單，能夠提供5種蜜罐模板；

（2）CryPLH蜜罐，屬于高交互蜜罐，實現了對HTTP、SNMP、S7comm等協(xié)議的仿真，對西門子S300 PLC、西門子ET200S PLC等設備的仿真，通過nginx/SSH代理等實現一個Web服務，對 SNMP 協(xié)議可以使用設置的信息進行響應。

（3）Snap7蜜罐，屬于高交互蜜罐，實現了對s7comm協(xié)議棧的仿真，對西門子S7-300、S7-400、S7-1200系列PLC的仿真，可以模擬實際設備的信息與狀態(tài)，與PLC進行互操作。

3 工控蜜罐擬態(tài)化探索

工控蜜罐的擬態(tài)化探索方向很多，本文重點從蜜罐技術、蜜罐技術在工控領域的應用兩個角度進行研究，并從典型工控私有協(xié)議深度仿真模擬技術研究到基于動態(tài)異構冗余機制的工控擬態(tài)蜜罐系統(tǒng)構建共計7個研究方向進行介紹，具體研究思路如圖1所示。

（1）針對蜜罐技術，研究典型工控私有協(xié)議深度仿真模擬技術、研究基于虛擬化技術的高仿真蜜網構建技術、研究基于Docker的工控蜜網自動化配置技術；

（2）針對蜜罐技術在工控領域的應用，研究基于蜜標技術的威脅誘捕與攻擊溯源技術、研究基于蜜罐技術的聯動式網絡安全防御體系、研究基于蜜網的工控網絡安全攻防演練平臺、研究基于動態(tài)異構冗余機制的工控擬態(tài)蜜罐系統(tǒng)。

圖1 工控蜜罐研究思路

①典型工控私有協(xié)議深度仿真模擬技術研究

針對工控設備生產廠家眾多、使用私有協(xié)議進行通信、且通信協(xié)議格式不對外公布的現狀，對所有工控協(xié)議進行深度仿真模擬不太實際。本研究主要針對Modbus TCP、S7、DNP3等主流的工控私有協(xié)議進行深度仿真模擬研究，提高工控蜜罐與攻擊者之間的信息交互能力，當攻擊者發(fā)起請求時，能夠對攻擊者的請求進行準確的回應，欺騙誘導攻擊繼續(xù)攻擊，以此方式收集到更多有價值的攻擊數據，為防御者制定防御策略、溯源取證提供支撐。

② 基于虛擬化技術的高仿真蜜網構建技術研究

單個蜜罐因仿真度和交互性有限，難以吸引和捕獲深層次的攻擊行為，且很容易被攻擊者識別，為了更好地吸引、欺騙攻擊者，需要構建一個集網絡拓撲、設備、協(xié)議以及業(yè)務流程為一體的大型虛擬業(yè)務系統(tǒng)，但是構建如此龐大的系統(tǒng)，部署成本、部署條件要求較高，不適合大規(guī)模部署。本研究基于虛擬網絡技術與蜜罐技術深度結合，利用虛擬化技術實現網絡拓、設備、協(xié)議、流程等資源的虛擬化，通過定制化配置，集中部署在一臺主機上，從而實現構建一個具備低成本、高仿真特性的工控蜜網。

③ 基于Docker的工控蜜網自動化配置技術研究

為提升對工控網絡威脅監(jiān)測的覆蓋面，一般采用分布式蜜網（由多個蜜罐組成），在網絡中多個位置（邊界、內網）部署多個誘餌節(jié)點，形成面向多工控業(yè)務過程的誘餌網絡，但是對大規(guī)模蜜罐的網絡配置、服務管理、蜜罐狀態(tài)監(jiān)視以及恢復都是一個難點。本研究基于Docker的工控蜜網自動化配置，使用Docker技術，在容器中部署工控設備服務，這些服務以配置文件的形式展開部署，配置文件中配置廠家信息、功能碼信息、操作對象、操作對象值等信息，在業(yè)務功能啟動后，自動將上述信息全部加載到內存中，使容器成為一個高仿真的工控設備服務器，如果容器被攻擊癱瘓，只需要根據已有且配置好的文件再啟動一個容器，即可恢復蜜罐，實現了對工控蜜網中蜜罐的自動化配置、部署以及管理。

④ 基于蜜標技術的威脅誘捕與攻擊溯源技術研究

傳統(tǒng)的基于IP的溯源方法對攻擊者的身份信息獲取十分有限，很難及時對攻擊者進行有效溯源和反制。本研究基于蜜標技術的威脅誘捕與攻擊溯源技術，針對攻擊者感興趣的文件類型或文件名稱（即蜜標文件），通過代碼捆綁等技術向蜜標文件中嵌入特定數據和代碼，通過構造場景誘導攻擊者去訪問、下載蜜標文件，當攻擊者下載并在本地打開蜜標文件時，就會觸發(fā)內嵌代碼，記錄并回傳攻擊主機和攻擊者特征信息，如攻擊者的主機IP地址、IP地理位置、網絡狀態(tài)等信息，實現對威脅的誘捕和攻擊的精準溯源，同時可根據反饋的攻擊者信息制定相應反制措施。

⑤ 基于蜜罐技術的聯動式網絡安全防御體系研究

傳統(tǒng)的以入侵檢測系統(tǒng)、防火墻、反病毒等設備為核心的聯動防御體系只能檢測已知的攻擊和威脅，針對高級持續(xù)性威脅（APT）攻擊無能為力，而蜜罐技術可以識別和捕獲0day攻擊，因此研究基于蜜罐技術的聯動式網絡安全防御體十分有必要，將未知的數據流量通過端口重定向技術轉發(fā)給工控蜜罐，判斷是否為攻擊數據，如果是攻擊數據，工控蜜罐可以對捕獲的攻擊代碼進行特征提取、分析，然后加入到入侵檢測、防火墻等邊界防護檢測設備的特征庫中，當同樣的攻擊再次出現時，即可直接阻斷。

⑥ 基于蜜網的工控網絡安全攻防演練平臺的構建

在現實環(huán)境中，對1:1實體環(huán)境進行工控網絡攻擊試驗并不實際，存在代價大、成本高、毀傷效果不可逆等問題，構建基于蜜網的工控網絡安全攻防演練平臺后，可以對模擬的工控蜜罐（如PLC設備）進行各種網絡攻擊測試，如嗅探、中間人攻擊、DDoS等，蜜罐崩潰后只需執(zhí)行相應的配置文件即可恢復，同時，能夠對攻擊過程的數據進行采集，學員可對數據進行分析，研究攻擊的過程、路徑、手法等，提高學員的實戰(zhàn)能力。

⑦ 基于動態(tài)異構冗余機制的工控擬態(tài)蜜罐系統(tǒng)構建

針對攻擊者可能利用工控蜜罐內生（非故意暴露）的漏洞，以工控蜜罐為跳板對真實的業(yè)務系統(tǒng)進行攻擊的現象，研究運用擬態(tài)防御思想，基于動態(tài)異構冗余機制，構造工控擬態(tài)蜜罐（含多個子蜜罐），對工控擬態(tài)蜜罐本身進行擬態(tài)防護，防止工控蜜罐逃逸攻擊。首先構造上層應用（如Web應用）相同而底層基礎架構（如操作系統(tǒng)、中間件）不同的異構擬態(tài)子蜜罐（擬態(tài)子蜜罐A：Windows server操作系統(tǒng)、Nginx程序；擬態(tài)子蜜罐B：CentOS 6.2操作系統(tǒng)、Apache程序；擬態(tài)子蜜罐C：Ubuntu 18.04操作系統(tǒng)、IIS程序），工控擬態(tài)蜜罐默認情況下以擬態(tài)子蜜罐A與攻擊者進行交換，當擬態(tài)子蜜罐A被攻陷時（通過擬態(tài)裁決器分析得出），工控擬態(tài)蜜罐可通過擬態(tài)子蜜罐B或者擬態(tài)子蜜罐C給攻擊者發(fā)送回復信息，同時擬態(tài)子蜜罐A快速回滾至初始狀態(tài)，采用這種設計具有下面幾個方面的優(yōu)點，一是實現了對攻擊者的欺騙，擬態(tài)子蜜罐B/C回復了攻擊者，讓攻擊者以為沒有被識別；二是能夠搜集攻擊者的所有攻擊信息，包括攻擊方式、攻擊工具和手段等；三是能夠保證蜜罐自身的安全，擬態(tài)子蜜罐A已回滾，攻擊者前期實現的攻擊失效。

4 擬態(tài)工控蜜罐的價值

以美國能源部的國家SCADA測試系統(tǒng)為例，NSTB（National SCADA Testbed）被用來識別系統(tǒng)級的漏洞，分析漏洞利用的后果以及研究消除脆弱性的方法，能夠進行帶有破壞性的網絡攻防實驗[6]。綜上所述，擬態(tài)工控蜜罐的未來的應用價值主要體現在以下幾個方面：

（1）延緩攻擊進程，保護真實網絡：高交互工控蜜罐具有高甜度，能夠誘使攻擊者耗費大量時間攻擊工控蜜罐設備，工控蜜罐在被攻擊時，向用戶發(fā)出告警，延緩攻擊者攻擊進程，爭取應急響應時間。

（2）實現對APT等未知威脅的檢測：傳統(tǒng)的基于規(guī)則、特征碼的方式無法檢測到APT等未知威脅攻擊，工控蜜罐能夠實現新型未知網絡威脅、高級持續(xù)性威脅（APT）等高層次網絡攻擊的檢測。

（3）實現對網絡攻擊的溯源與取證：能夠全面記錄攻擊者的攻擊過程，對攻擊數據可分析，精準刻畫攻擊者畫像，為溯源反制、取證提供支撐。

（4）在虛擬化攻防演練平臺中應用：與實物進行攻擊測試相比，在虛擬化攻防演練平臺中進行攻擊測試成本代價低、可多次使用的優(yōu)勢，不必考慮工控蜜罐受到不可逆的毀傷。

（5）增強工控蜜罐自身的安全性方面：采用擬態(tài)防御技術，增強了自身的安全性，防止攻擊者以工控蜜罐的漏洞/脆弱性為跳板對真實業(yè)務系統(tǒng)進行攻擊。

5 總結與展望

工控蜜罐是新的網絡安全形勢下對于主動防御的一種有效手段，可以有效對抗大規(guī)模的工控設備的攻擊。工控蜜罐的擬態(tài)化改造是對工控蜜罐系統(tǒng)進行二次防御，形成雙保險，正如本文所述：通過基于動態(tài)異構冗余機制，研究基于Docker的工控蜜網自動化配置技術，基于虛擬化技術的高仿真蜜網構建技術，基于蜜標技術的威脅誘捕與攻擊溯源技術，對典型工控私有協(xié)議深度仿真模擬研究，既可以保證有效捕獲工控攻擊行為，又可以防止攻擊者利用蜜罐系統(tǒng)作為跳板發(fā)起二次攻擊。

上述工控蜜罐的擬態(tài)化改造是基于Docker自動化配置技術實現底層操作系統(tǒng)的異構冗余來保證其安全性?，F如今虛擬化逃逸技術越發(fā)的成熟，虛擬化安全也是重中之重。在后續(xù)的研究中，對于基于虛擬化平臺的擬態(tài)改造也是趨勢之一，對于工控蜜罐的安全問題，打造一個全平臺，多系統(tǒng)，全鏈條的擬態(tài)化系統(tǒng)將是研究的重點之一。

[1]GAO H H，PENG Y，DAI Z H，et al. The design of ICS testbedbasedon emulation，physical，and simulation（EPS-ICS Testbed）[J]. NinthInternational Conference on Intelli?gent Information Hiding and Multi?media Signal Processing，2013，111：420-423.

[2]杜淑琴．主動防御系統(tǒng)蜜罐技術在網絡安全中的研究與設計[D]．廣州：廣東工業(yè)大學，2005．

[3]石樂義，劉德莉，邢文娟，馮海杰．基于自適應遺傳算法的擬態(tài)蜜罐演化策略[C]/ /第二十屆全國網絡與數據通信學術會議．中國計算機學會網絡與數據通信專業(yè)委員會．武漢．2014．

[4]Vasilomanolakis，Emmanouil，et al.Multi-stage Attack Detection and Signature Generation with ICS Honeypots[C]. IEEE/IFIPWorkshop on Security for Emerging Distributed Network Technologies IEEE，2016.

[5]Xiao，Feng，E. Chen，and Q. Xu . S7commTrace： A High Interactive Honeypot for Industrial Control System Based on S7Protocol[M].Information and Communications Security. 2018.

[6]鎖延鋒，王少杰，秦宇，等. 工業(yè)控制系統(tǒng)的安全技術與應用研究綜述[J]. 計算機科學， 2018，45（4）：25-33.Suo Yanfeng，Wang Shaojie，Qin Yu，et al. Summary ofSecurity Technology and Application in IndustrialControl System[J]. Computer Science，2018，45（4）：25-33.

國家重點研發(fā)計劃項目（2017YFB0803201，2017YFB0803204，2016YFB0801200）；國家自然科學基金項目（61572519，61802429，61521003）；上海市科學技術委員會科研計劃項目（16DZ1120503）；中國博士后基金項目（44595）