基于蜜罐的工控网络安全防护技术研究进展
信息技术与网络安全 2期
李 实1,万佳蓉2,林显盛3
(1.大亚湾核电运营管理有限责任公司,广东 深圳518124; 2.华北计算机系统工程研究所,北京100083;3.广州中软信息技术有限公司,广东 广州510665)
摘要:摘 要: 工业控制系统是工业生产过程的控制枢纽,在国际网络安全形势愈发严峻的背景下,越来越多的攻击者将目标锁定在工业控制系统上,爆发了一系列造成严重影响的工控网络安全事件。作为一种主动防御技术,工控蜜罐正逐渐成为目前行业的研究热点。在调研现有相关工作的基础上,从蜜罐基本概念、工控蜜罐关键技术、应用实例和发展趋势对目前的研究工作进行梳理,并针对核电DCS系统的网络架构,研究了S7协议、操作系统等“诱惑陷阱”在Docker容器中的虚拟化技术,实现了TXP系统仿真蜜罐的设计。为了验证蜜罐系统的防护效果,在核电TXP系统中进行了蜜罐部署并通过脚本模拟攻击行为,结果表明,系统能够准确捕获攻击流量并对内容进行解析识别,成功诱骗非法渗透内网的攻击者进入由蜜网组成的虚拟环境并进行告警,全面提升TXP系统内发现、记录、溯源攻击行为的威胁感知能力。
中图分类号:TP393.08
文献标识码:A
DOI:10.19358/j.issn.2096-5133.2022.02.004
引用格式: 李实,万佳蓉,林显盛. 基于蜜罐的工控网络安全防护技术研究进展[J].信息技术与网络安全,2022,
41(2):20-26,32.
文献标识码:A
DOI:10.19358/j.issn.2096-5133.2022.02.004
引用格式: 李实,万佳蓉,林显盛. 基于蜜罐的工控网络安全防护技术研究进展[J].信息技术与网络安全,2022,
41(2):20-26,32.
Research progress of honeypot-based ICS security protection technology
Li Shi1,Wan Jiarong2,Lin Xiansheng3
(1.Daya Bay Nuclear Power Operations and Management Co.,Ltd.,Shenzhen 518124,China; 2.National Computer System Engineering Research Institute of China,Beijing 100083,China; 3.Guangzhou CSS Information Technology Co.,Ltd.,Guangzhou 510665,China)
Abstract:Industrial Control System(ICS) is the core of the industrial production process. With the increasingly severe international network security situation, more and more attackers are taking ICS as target and causing a series of terrible security events. As an active defense technology, honeypot for ICS are gradually becoming a research hotspot. On the basis of investigating existing related work, in this paper we sort out the current research content from the concepts of honeypot, key technologies of honeypot, application instances and development trends. Aiming at the architecture of DCS in nuclear power industrial, we investigate the virtualization technology of S7 protocol, operating system and other temptation traps in the Docker container, and design a simulation honeypot for the TXP system. In order to verify the protection effect of the honeypot system, the honeypot is deployed in the TXP system and the attack is simulated through scripts. The results show that the system can accurately capture the attack traffic, analyze and identify the content, successfully trick the attacker who illegally penetrated the intranet into the virtual environment composed of the honeynet and alarm user. Honeypot can comprehensively improve the threat perception ability of the TXP system to detect, record, and trace the attack behavior.
Key words :honeypot;ICS security;system design
0 引言
工业控制系统是工业生产过程的核心控制枢纽,在过去,由于工业控制系统自身的特殊性和重要性,普遍采用内网形式运行,不与外界网络进行通信。然而随着信息化技术的发展和生产工艺要求的提高,工业控制系统的封闭性正在逐渐被打破,暴露在互联网上的工业控制系统数量处于快速攀升状态。国家互联网应急中心在《2020年上半年我国互联网网络安全监测数据分析报告》[1]中指出:监测发现暴露在互联网上的工业设备达4 630台,境内工业控制系统的网络资产持续遭受来自境外的扫描嗅探,日均超过2万次。
目前业界主流针对工业控制系统网络安全的防护手段属于被动防护,例如安装部署防火墙[2]、入侵检测[3]等硬件设备或具有应用白名单功能的防护软件等。被动防护手段主要的不足之处在于只能被动地应对或缓解攻击者所造成的破坏,在网络安全技术快速迭代的背景下,其局限性愈发明显。
蜜罐作为最典型的主动防护手段,是当前学术界和产业界研究的热点。蜜罐与被动防护手段最大的不同在于其扭转了网络安全博弈过程中防御方只能处于被动应对的局面。蜜罐通过诱捕攻击者,使防御方能够主动识别攻击者的攻击手段与攻击意图,进而提前部署防护策略,更加有效地保护工业控制系统稳定运行。由多个相互连接的蜜罐所构成的更为复杂的系统称为蜜网,蜜网对于攻击者具有更强的迷惑性。
本文详细内容请下载:http://www.chinaaet.com/resource/share/2000003946。
作者信息:
李 实1,万佳蓉2,林显盛3
(1.大亚湾核电运营管理有限责任公司,广东 深圳518124;
2.华北计算机系统工程研究所,北京100083;3.广州中软信息技术有限公司,广东 广州510665)
此内容为AET网站原创,未经授权禁止转载。