基于蜜罐的工控網絡安全防護技術研究進展
信息技術與網絡安全 2期
李 實1,萬佳蓉2,林顯盛3
(1.大亞灣核電運營管理有限責任公司,廣東 深圳518124; 2.華北計算機系統工程研究所,北京100083;3.廣州中軟信息技術有限公司,廣東 廣州510665)
摘要: 摘 要: 工業控制系統是工業生產過程的控制樞紐,在國際網絡安全形勢愈發嚴峻的背景下,越來越多的攻擊者將目標鎖定在工業控制系統上,爆發了一系列造成嚴重影響的工控網絡安全事件。作為一種主動防御技術,工控蜜罐正逐漸成為目前行業的研究熱點。在調研現有相關工作的基礎上,從蜜罐基本概念、工控蜜罐關鍵技術、應用實例和發展趨勢對目前的研究工作進行梳理,并針對核電DCS系統的網絡架構,研究了S7協議、操作系統等“誘惑陷阱”在Docker容器中的虛擬化技術,實現了TXP系統仿真蜜罐的設計。為了驗證蜜罐系統的防護效果,在核電TXP系統中進行了蜜罐部署并通過腳本模擬攻擊行為,結果表明,系統能夠準確捕獲攻擊流量并對內容進行解析識別,成功誘騙非法滲透內網的攻擊者進入由蜜網組成的虛擬環境并進行告警,全面提升TXP系統內發現、記錄、溯源攻擊行為的威脅感知能力。
中圖分類號: TP393.08
文獻標識碼: A
DOI: 10.19358/j.issn.2096-5133.2022.02.004
引用格式: 李實,萬佳蓉,林顯盛. 基于蜜罐的工控網絡安全防護技術研究進展[J].信息技術與網絡安全,2022,
41(2):20-26,32.
文獻標識碼: A
DOI: 10.19358/j.issn.2096-5133.2022.02.004
引用格式: 李實,萬佳蓉,林顯盛. 基于蜜罐的工控網絡安全防護技術研究進展[J].信息技術與網絡安全,2022,
41(2):20-26,32.
Research progress of honeypot-based ICS security protection technology
Li Shi1,Wan Jiarong2,Lin Xiansheng3
(1.Daya Bay Nuclear Power Operations and Management Co.,Ltd.,Shenzhen 518124,China; 2.National Computer System Engineering Research Institute of China,Beijing 100083,China; 3.Guangzhou CSS Information Technology Co.,Ltd.,Guangzhou 510665,China)
Abstract: Industrial Control System(ICS) is the core of the industrial production process. With the increasingly severe international network security situation, more and more attackers are taking ICS as target and causing a series of terrible security events. As an active defense technology, honeypot for ICS are gradually becoming a research hotspot. On the basis of investigating existing related work, in this paper we sort out the current research content from the concepts of honeypot, key technologies of honeypot, application instances and development trends. Aiming at the architecture of DCS in nuclear power industrial, we investigate the virtualization technology of S7 protocol, operating system and other temptation traps in the Docker container, and design a simulation honeypot for the TXP system. In order to verify the protection effect of the honeypot system, the honeypot is deployed in the TXP system and the attack is simulated through scripts. The results show that the system can accurately capture the attack traffic, analyze and identify the content, successfully trick the attacker who illegally penetrated the intranet into the virtual environment composed of the honeynet and alarm user. Honeypot can comprehensively improve the threat perception ability of the TXP system to detect, record, and trace the attack behavior.
Key words : honeypot;ICS security;system design
0 引言
工業控制系統是工業生產過程的核心控制樞紐,在過去,由于工業控制系統自身的特殊性和重要性,普遍采用內網形式運行,不與外界網絡進行通信。然而隨著信息化技術的發展和生產工藝要求的提高,工業控制系統的封閉性正在逐漸被打破,暴露在互聯網上的工業控制系統數量處于快速攀升狀態。國家互聯網應急中心在《2020年上半年我國互聯網網絡安全監測數據分析報告》[1]中指出:監測發現暴露在互聯網上的工業設備達4 630臺,境內工業控制系統的網絡資產持續遭受來自境外的掃描嗅探,日均超過2萬次。
目前業界主流針對工業控制系統網絡安全的防護手段屬于被動防護,例如安裝部署防火墻[2]、入侵檢測[3]等硬件設備或具有應用白名單功能的防護軟件等。被動防護手段主要的不足之處在于只能被動地應對或緩解攻擊者所造成的破壞,在網絡安全技術快速迭代的背景下,其局限性愈發明顯。
蜜罐作為最典型的主動防護手段,是當前學術界和產業界研究的熱點。蜜罐與被動防護手段最大的不同在于其扭轉了網絡安全博弈過程中防御方只能處于被動應對的局面。蜜罐通過誘捕攻擊者,使防御方能夠主動識別攻擊者的攻擊手段與攻擊意圖,進而提前部署防護策略,更加有效地保護工業控制系統穩定運行。由多個相互連接的蜜罐所構成的更為復雜的系統稱為蜜網,蜜網對于攻擊者具有更強的迷惑性。
本文詳細內容請下載:http://www.j7575.cn/resource/share/2000003946。
作者信息:
李 實1,萬佳蓉2,林顯盛3
(1.大亞灣核電運營管理有限責任公司,廣東 深圳518124;
2.華北計算機系統工程研究所,北京100083;3.廣州中軟信息技術有限公司,廣東 廣州510665)
此內容為AET網站原創,未經授權禁止轉載。