◆王涵 卜佑军 陈博 张双双 陈韵 蔡翰智

工控蜜罐的拟态化探索与研究

◆王涵1卜佑军2陈博2张双双1陈韵1蔡翰智1

（1.网络通信与安全紫金山实验室 江苏 211100；2.中国人民解放军战略支援部队信息工程大学 河南450002）

随着工业化与信息化的融合发展，原本封闭的工业控制系统在接入互联网后逐渐趋向于开放化和智能化，工业控制系统在提高了生产效率的同时也引入了新的网络安全威胁。由于针对工业控制系统的攻击往往是以系统中的IT网络为突破口，进而影响其OT系统的运行，而当前互联网上存在着大量的攻击，且攻击手段复杂多样，直接影响着工业控制系统的安全。本文针对当前工控网络面临的严峻安全形势，探索工控蜜罐拟态化技术的实现路径，探索突破工控私有协议深度仿真模拟、高仿真蜜网构建、蜜网自动化配置、威胁诱捕与溯源、联动防御、拟态防御等关键核心技术的可行性。

拟态蜜罐；工控蜜罐；异构冗余；攻击诱导

1 引言

随着工业互联网的快速发展，工业互联网技术已广泛运用于工业生产领域和其他公共服务领域，工控网络作为工业互联网的重要构成部分，其面临的安全形势越来越严峻，工控领域的网络安全事件层出不穷[1]。从2014年的Havex事件、2015年的乌克兰电力事件、2017年勒索病毒“WannaCry”感染事件、2019年委内瑞拉水电站攻击事件到2020年的本田汽车遭受Ekans病毒勒索，由此可以看出，全球的工控系统都在面临着前所未有的安全威胁和挑战。

因此，研究工业控制系统网络的防御方法至关重要，而蜜罐技术作为一种新型的主动防御技术，通过模拟真实的工业网络环境，伪装成为具备高价值、存在安全漏洞的工控设备，吸引攻击者的注意力，诱导攻击者对蜜罐进行攻击[2]，一方面可以减少真实设备所受的攻击，从而实现延缓攻击者的攻击进程，争取应急响应时间，保护真实的网络环境；另一方面通过捕获和记录攻击数据，研究分析攻击工具、攻击方法、攻击特征，推测攻击者意图和动机，从而提前制定对应的防御措施，彻底扭转网络攻防过程中的不对称局面。但是，蜜罐如果被攻击者所探测，就会变成一种识破即失效的被动式主动防御手段。所以，本文探索将主动防御中的蜜罐与拟态防御技术相互融合，以增加攻击者探测真实资产的时间，同时利用现有信息安全技术对攻击行为和攻击策略进行审计，从而采取更有针对性的防护手段，确保工业互联网网络环境的安全与稳定[3]。

2 工控蜜罐研究进展

随着信息化技术不断发展，出现了针对不同业务应用场景的蜜罐系统，如：Web蜜罐、数据库蜜罐、移动应用蜜罐、网络协议栈蜜罐、IoT蜜罐等。蜜罐的分类标准多样，基于蜜罐的物理特性，可以分为物理蜜罐和虚拟蜜罐；基于相互作用的方向，可以分为服务器蜜罐和客户端蜜罐；基于攻防交互程度，可以分为低交互蜜罐、中交互蜜罐和高交互蜜罐。近年来，随着工控安全形势的严峻，蜜罐技术被越来越多地应用在工控领域，工控蜜罐作为面向工业控制、工业生产业务环境的新一代蜜罐系统也得到了越来越多的关注，当前主流的工控蜜罐种类很多，包括HosTaGe[4]、Honeyd、Conpot、Honeyd+、SHaPe、CryPLH、S7commTrace[5]、Snap7等，在工控现场环境中，工控蜜罐主要仿真的工控协议包括Modbus、S7、DNP3、IEC104/101等。

下面以几种工控蜜罐为例进行简单介绍，包括所支持的协议、功能。

（1）Conpot蜜罐，属于低交互蜜罐，实现了对HTTP、SNMP、Modbus等协议的仿真，对西门子S7-200 ICS，IPMI等设备的仿真，Conpot部署简单，能够提供5种蜜罐模板；

（2）CryPLH蜜罐，属于高交互蜜罐，实现了对HTTP、SNMP、S7comm等协议的仿真，对西门子S300 PLC、西门子ET200S PLC等设备的仿真，通过nginx/SSH代理等实现一个Web服务，对 SNMP 协议可以使用设置的信息进行响应。

（3）Snap7蜜罐，属于高交互蜜罐，实现了对s7comm协议栈的仿真，对西门子S7-300、S7-400、S7-1200系列PLC的仿真，可以模拟实际设备的信息与状态，与PLC进行互操作。

3 工控蜜罐拟态化探索

工控蜜罐的拟态化探索方向很多，本文重点从蜜罐技术、蜜罐技术在工控领域的应用两个角度进行研究，并从典型工控私有协议深度仿真模拟技术研究到基于动态异构冗余机制的工控拟态蜜罐系统构建共计7个研究方向进行介绍，具体研究思路如图1所示。

（1）针对蜜罐技术，研究典型工控私有协议深度仿真模拟技术、研究基于虚拟化技术的高仿真蜜网构建技术、研究基于Docker的工控蜜网自动化配置技术；

（2）针对蜜罐技术在工控领域的应用，研究基于蜜标技术的威胁诱捕与攻击溯源技术、研究基于蜜罐技术的联动式网络安全防御体系、研究基于蜜网的工控网络安全攻防演练平台、研究基于动态异构冗余机制的工控拟态蜜罐系统。

图1 工控蜜罐研究思路

①典型工控私有协议深度仿真模拟技术研究

针对工控设备生产厂家众多、使用私有协议进行通信、且通信协议格式不对外公布的现状，对所有工控协议进行深度仿真模拟不太实际。本研究主要针对Modbus TCP、S7、DNP3等主流的工控私有协议进行深度仿真模拟研究，提高工控蜜罐与攻击者之间的信息交互能力，当攻击者发起请求时，能够对攻击者的请求进行准确的回应，欺骗诱导攻击继续攻击，以此方式收集到更多有价值的攻击数据，为防御者制定防御策略、溯源取证提供支撑。

② 基于虚拟化技术的高仿真蜜网构建技术研究

单个蜜罐因仿真度和交互性有限，难以吸引和捕获深层次的攻击行为，且很容易被攻击者识别，为了更好地吸引、欺骗攻击者，需要构建一个集网络拓扑、设备、协议以及业务流程为一体的大型虚拟业务系统，但是构建如此庞大的系统，部署成本、部署条件要求较高，不适合大规模部署。本研究基于虚拟网络技术与蜜罐技术深度结合，利用虚拟化技术实现网络拓、设备、协议、流程等资源的虚拟化，通过定制化配置，集中部署在一台主机上，从而实现构建一个具备低成本、高仿真特性的工控蜜网。

③ 基于Docker的工控蜜网自动化配置技术研究

为提升对工控网络威胁监测的覆盖面，一般采用分布式蜜网（由多个蜜罐组成），在网络中多个位置（边界、内网）部署多个诱饵节点，形成面向多工控业务过程的诱饵网络，但是对大规模蜜罐的网络配置、服务管理、蜜罐状态监视以及恢复都是一个难点。本研究基于Docker的工控蜜网自动化配置，使用Docker技术，在容器中部署工控设备服务，这些服务以配置文件的形式展开部署，配置文件中配置厂家信息、功能码信息、操作对象、操作对象值等信息，在业务功能启动后，自动将上述信息全部加载到内存中，使容器成为一个高仿真的工控设备服务器，如果容器被攻击瘫痪，只需要根据已有且配置好的文件再启动一个容器，即可恢复蜜罐，实现了对工控蜜网中蜜罐的自动化配置、部署以及管理。

④ 基于蜜标技术的威胁诱捕与攻击溯源技术研究

传统的基于IP的溯源方法对攻击者的身份信息获取十分有限，很难及时对攻击者进行有效溯源和反制。本研究基于蜜标技术的威胁诱捕与攻击溯源技术，针对攻击者感兴趣的文件类型或文件名称（即蜜标文件），通过代码捆绑等技术向蜜标文件中嵌入特定数据和代码，通过构造场景诱导攻击者去访问、下载蜜标文件，当攻击者下载并在本地打开蜜标文件时，就会触发内嵌代码，记录并回传攻击主机和攻击者特征信息，如攻击者的主机IP地址、IP地理位置、网络状态等信息，实现对威胁的诱捕和攻击的精准溯源，同时可根据反馈的攻击者信息制定相应反制措施。

⑤ 基于蜜罐技术的联动式网络安全防御体系研究

传统的以入侵检测系统、防火墙、反病毒等设备为核心的联动防御体系只能检测已知的攻击和威胁，针对高级持续性威胁（APT）攻击无能为力，而蜜罐技术可以识别和捕获0day攻击，因此研究基于蜜罐技术的联动式网络安全防御体十分有必要，将未知的数据流量通过端口重定向技术转发给工控蜜罐，判断是否为攻击数据，如果是攻击数据，工控蜜罐可以对捕获的攻击代码进行特征提取、分析，然后加入到入侵检测、防火墙等边界防护检测设备的特征库中，当同样的攻击再次出现时，即可直接阻断。

⑥ 基于蜜网的工控网络安全攻防演练平台的构建

在现实环境中，对1:1实体环境进行工控网络攻击试验并不实际，存在代价大、成本高、毁伤效果不可逆等问题，构建基于蜜网的工控网络安全攻防演练平台后，可以对模拟的工控蜜罐（如PLC设备）进行各种网络攻击测试，如嗅探、中间人攻击、DDoS等，蜜罐崩溃后只需执行相应的配置文件即可恢复，同时，能够对攻击过程的数据进行采集，学员可对数据进行分析，研究攻击的过程、路径、手法等，提高学员的实战能力。

⑦ 基于动态异构冗余机制的工控拟态蜜罐系统构建

针对攻击者可能利用工控蜜罐内生（非故意暴露）的漏洞，以工控蜜罐为跳板对真实的业务系统进行攻击的现象，研究运用拟态防御思想，基于动态异构冗余机制，构造工控拟态蜜罐（含多个子蜜罐），对工控拟态蜜罐本身进行拟态防护，防止工控蜜罐逃逸攻击。首先构造上层应用（如Web应用）相同而底层基础架构（如操作系统、中间件）不同的异构拟态子蜜罐（拟态子蜜罐A：Windows server操作系统、Nginx程序；拟态子蜜罐B：CentOS 6.2操作系统、Apache程序；拟态子蜜罐C：Ubuntu 18.04操作系统、IIS程序），工控拟态蜜罐默认情况下以拟态子蜜罐A与攻击者进行交换，当拟态子蜜罐A被攻陷时（通过拟态裁决器分析得出），工控拟态蜜罐可通过拟态子蜜罐B或者拟态子蜜罐C给攻击者发送回复信息，同时拟态子蜜罐A快速回滚至初始状态，采用这种设计具有下面几个方面的优点，一是实现了对攻击者的欺骗，拟态子蜜罐B/C回复了攻击者，让攻击者以为没有被识别；二是能够搜集攻击者的所有攻击信息，包括攻击方式、攻击工具和手段等；三是能够保证蜜罐自身的安全，拟态子蜜罐A已回滚，攻击者前期实现的攻击失效。

4 拟态工控蜜罐的价值

以美国能源部的国家SCADA测试系统为例，NSTB（National SCADA Testbed）被用来识别系统级的漏洞，分析漏洞利用的后果以及研究消除脆弱性的方法，能够进行带有破坏性的网络攻防实验[6]。综上所述，拟态工控蜜罐的未来的应用价值主要体现在以下几个方面：

（1）延缓攻击进程，保护真实网络：高交互工控蜜罐具有高甜度，能够诱使攻击者耗费大量时间攻击工控蜜罐设备，工控蜜罐在被攻击时，向用户发出告警，延缓攻击者攻击进程，争取应急响应时间。

（2）实现对APT等未知威胁的检测：传统的基于规则、特征码的方式无法检测到APT等未知威胁攻击，工控蜜罐能够实现新型未知网络威胁、高级持续性威胁（APT）等高层次网络攻击的检测。

（3）实现对网络攻击的溯源与取证：能够全面记录攻击者的攻击过程，对攻击数据可分析，精准刻画攻击者画像，为溯源反制、取证提供支撑。

（4）在虚拟化攻防演练平台中应用：与实物进行攻击测试相比，在虚拟化攻防演练平台中进行攻击测试成本代价低、可多次使用的优势，不必考虑工控蜜罐受到不可逆的毁伤。

（5）增强工控蜜罐自身的安全性方面：采用拟态防御技术，增强了自身的安全性，防止攻击者以工控蜜罐的漏洞/脆弱性为跳板对真实业务系统进行攻击。

5 总结与展望

工控蜜罐是新的网络安全形势下对于主动防御的一种有效手段，可以有效对抗大规模的工控设备的攻击。工控蜜罐的拟态化改造是对工控蜜罐系统进行二次防御，形成双保险，正如本文所述：通过基于动态异构冗余机制，研究基于Docker的工控蜜网自动化配置技术，基于虚拟化技术的高仿真蜜网构建技术，基于蜜标技术的威胁诱捕与攻击溯源技术，对典型工控私有协议深度仿真模拟研究，既可以保证有效捕获工控攻击行为，又可以防止攻击者利用蜜罐系统作为跳板发起二次攻击。

上述工控蜜罐的拟态化改造是基于Docker自动化配置技术实现底层操作系统的异构冗余来保证其安全性。现如今虚拟化逃逸技术越发的成熟，虚拟化安全也是重中之重。在后续的研究中，对于基于虚拟化平台的拟态改造也是趋势之一，对于工控蜜罐的安全问题，打造一个全平台，多系统，全链条的拟态化系统将是研究的重点之一。

[1]GAO H H，PENG Y，DAI Z H，et al. The design of ICS testbedbasedon emulation，physical，and simulation（EPS-ICS Testbed）[J]. NinthInternational Conference on Intelli⁃gent Information Hiding and Multi⁃media Signal Processing，2013，111：420-423.

[2]杜淑琴．主动防御系统蜜罐技术在网络安全中的研究与设计[D]．广州：广东工业大学，2005．

[3]石乐义，刘德莉，邢文娟，冯海杰．基于自适应遗传算法的拟态蜜罐演化策略[C]/ /第二十届全国网络与数据通信学术会议．中国计算机学会网络与数据通信专业委员会．武汉．2014．

[4]Vasilomanolakis，Emmanouil，et al.Multi-stage Attack Detection and Signature Generation with ICS Honeypots[C]. IEEE/IFIPWorkshop on Security for Emerging Distributed Network Technologies IEEE，2016.

[5]Xiao，Feng，E. Chen，and Q. Xu . S7commTrace： A High Interactive Honeypot for Industrial Control System Based on S7Protocol[M].Information and Communications Security. 2018.

[6]锁延锋，王少杰，秦宇，等. 工业控制系统的安全技术与应用研究综述[J]. 计算机科学， 2018，45（4）：25-33.Suo Yanfeng，Wang Shaojie，Qin Yu，et al. Summary ofSecurity Technology and Application in IndustrialControl System[J]. Computer Science，2018，45（4）：25-33.

国家重点研发计划项目（2017YFB0803201，2017YFB0803204，2016YFB0801200）；国家自然科学基金项目（61572519，61802429，61521003）；上海市科学技术委员会科研计划项目（16DZ1120503）；中国博士后基金项目（44595）