★山东外事服务保障中心卜钰

关键词：蜜罐;工业互联网;网络安全

1　引言

工业蜜罐技术是工业企业防守者得以观察攻击者行为的新兴网络防御战术，通过诱骗攻击者和恶意应用暴露自身，以便研究人员能够设计出有效的防护措施。工业蜜罐技术提供低误报、高质量的监测数据。因此，工业企业安全人员在构建自身威胁检测能力的时候，应将工业蜜罐技术加入安全防御体系中^[1]。

在Gartner2018年10大战略技术之一的CARTA（持续自适应风险与信任评估）中，蜜罐技术承担了重要的角色，作为运行时风险与信任评估的重要手段之一。目前蜜罐技术与理念已经被成功运用到安全防护体系中^[2]。

2　需求分析

随着信息技术的发展，工业企业已经建立了比较完善的信息系统，提供的服务大大提升了组织的服务效率、延伸了组织的服务能力，但同时也面临黑灰产业利用和APT组织攻击、0day漏洞等未知威胁攻击的风险，围绕着信息系统的安全能力建设需要更偏向实战化，在攻防不平衡的现状下亟需针对威胁提供高效的主动检测防御技术能力，优化企业整体安全防御体系。总结工业企业当前网络安全需求归纳如下：

2.1　攻击延缓需求

攻击者对工业企业进行信息收集到漏洞利用进行攻击整个链条中，工业企业需要在不同阶段提供迷惑攻击视线，延缓攻击进程的能力。让攻击者收集虚假信息，进入内网虚假蜜网环境并和虚假服务器、数据库、业务系统进行交互。

2.2　未知威胁检测需求

面对攻击者的访问，工业企业需要对APT组织攻击及0day漏洞等未知威胁攻击进行有效检测与发现，缺乏有效的监控技术能力来捕获关键恶意行为。

2.3　攻击全过程记录追踪需求

针对攻击者从入侵、安装、控制、意图四个阶段全过程需要进行全面记录，从资产服务端口探测、攻击行为动作、远程攻击命令等行为记录；以攻击者视角对攻击提供智能分析、全面剖析且直观展示攻击链的详细信息。

2.4　威胁快速预警需求

工业企业面对已知和未知的威胁需要有快速预警能力，对威胁进行集中展示，提供多维度展示为企业防守方进行应急响应提供有效信息支撑。

2.5　精准攻击溯源需求

针对传统防御产品无法精准溯源攻击者身份问题，对溯源攻击者能力需求，要能精准获取指纹信息，结合情报信息准确定位攻击者位置或身份，达到溯源目的^[3]。

3　工业蜜罐技术架构及原理

3.1　技术架构

工业蜜罐技术主要由威胁管理系统与威胁感知传感器组成，威胁感知传感器可广泛应用于缺少防护、审计、不便于升级、无法升级改造的工业控制系统中，传感器本身极具扩展性，且工业蜜罐具备分布式、统一威胁管理特性。工业蜜罐架构如图1所示，传感器内部通过虚拟网络仿真模块可以在专用硬件上虚拟海量工控设备、服务、应用，作为干扰项目引导攻击流量，通过对攻击行为展开实时分析，最终实现对各种可疑的网络活动、安全威胁、攻击事件进行实时告警。

图1 技术架构

3.2　技术原理

工业蜜罐基于K8S+docker+KVM等虚拟化技术，结合SDN技术构建业务高度伪装蜜罐服务以及欺骗伪装蜜网；结合客户业务特点，在客户不同业务网络区域部署对应蜜罐服务，迷惑攻击者的同时收集蜜罐获取的攻击行为相关日志进行集中分析、监控、告警，为企业提供攻击行为画像、提供溯源分析和攻击报告^[4]，技术原理如图2所示。

图2 技术原理

4　工业蜜罐技术实现功能

4.1　仿真能力

· 工业蜜罐能够实现针对应用服务的仿真包括：（1）web类:Weblogic、tomcat、thinkphp、wordpress、wiki、wildfly等；（2）数据库类:MySql、phpmyadmin等；（3）系统服务仿真:SSH、Telnet、FTP等等；（4）工业场景类:支持真实工控系统交互仿真、发电站西门子控制器交互、变电站测控装置交互、远动装置交互、调度OMS系统交互等^[5]。

·能够实现针对工业协议的仿真，包括针对IEC61850主要仿真变电站的场景，开放102端口，记录连接的打开和关闭；记录对文件的访问和删除；关键配置定值PTOC1.Set61.setMag.f的修改；针对104协议仿真，主要是对电厂中104协议的服务仿真模拟，记录服务的连接和断开，实现对各种遥控、遥信等命令动作的翻译和记录；针对S7协议主要实现仿真程序主要记录了连接的打开和断开；系统信息的读取；数据的写和读动作记录；块的操作；CPU的相关操作等信息。针对Modbus实现仿真程序主要记录了（1）连接的建立信息（2）读线圈寄存器（3）读离散输入寄存器（4）读保持寄存器（5）读输入寄存器（6）写单个保持寄存器。

· 能够实现漏洞仿真系统默认集成自身带有漏洞的高甜度蜜罐，例如Weblogic、Shiro、Struts2等，保障蜜罐的高仿真度和诱捕能力，可定制热点漏洞的仿真。

4.2　未知威胁检测

基于工业蜜罐技术独特的行为识别，依靠高仿真业务在网络中布下的层层陷阱，当攻击者访问，可对0day及APT等高级攻击与未知威胁进行有效发现。技术上进行驱动层监控，早于入侵者入场，隐藏自身存在，具有先手优势，捕获关键恶意行为。

4.3　智能分析引擎

基于规则链的有限状态自动机原理，可根据规则链从海量进程监控数据中分析截取攻击事件数据。单个分析引擎可接收多个仿真系统产生的数据，可根据规则对不同仿真系统的数据进行区分隔离和融合，分析引擎预留插件接口，可通过插件实现更加复杂和定制化的分析逻辑。

经过智能分析引擎的匹配分析，可从入侵、安装、控制、意图四个阶段直观展示攻击链的详细信息。入侵阶段包括端口扫描、连接端口、登录服务等行为，安装阶段包括注入代码、下载恶意样本、设置注册表自动启动、程序自删除等行为，控制阶段包括连接C&C服务器、黑客远程攻击命令输入等行为，意图包括使用某些特定家族的样本实现数据窃取、勒索等目的的行为。

4.4　威胁感知

工业蜜罐通过配置可对网段、多端口的仿真覆盖，实现恶意的扫描、探测、攻击，可实时感知并快速上报，对于攻击第一时间告警，应用于密级较高的网络场景，进行主动防御防护。

在公开的网站中设置虚假信息，在黑客收集信息阶段对其造成误导，使其攻击目标转向蜜罐，间接保护其他资产^[3]。

主机诱饵需要提前投放到在真实环境中，在其预留一些连接到其他蜜罐的历史操作指令、放置SSH连接蜜罐过程中的公钥记录或在主机诱饵指向的蜜罐上开放有利用价值的端口，在攻击者做嗅探时，可以吸引其入侵并进入蜜罐；类如攻击者偏爱OA、邮件等用户量较大的系统，可在重点区域部署此类诱饵，并通过在真实服务器伪造虚假的连接记录诱导攻击者掉入陷阱，最后将攻击者的攻击视线转移到蜜罐之中。

4.5　溯源反制

攻击行为进入蜜罐后，蜜罐可记录所有的攻击数据，包括攻击报文、攻击样本等攻击过程数据。攻击数据可通过IP、时间等查询，界面可展示攻击者IP、地理位置、来源蜜罐以及攻击的详细信息。

5 工业互联网场景应用

（1）部署在互联网网络出口，模拟Web系统和PLC等，造成IT网络业务系统和生产端暴露在公网的假象，诱惑攻击者进入；

（2）部署企业内网，仿真OA、ERP等系统，对攻击者进行诱捕，同时可有效监测恶意代码扩散等；

（3）部署生产网，仿真PLC等设备，有点监测到恶意代码的扩散、外部攻击的进入以及第三方运维的恶意扫描等行为，工业蜜罐部署场景如图3所示。

图3 工业蜜罐部署场景

6　工业蜜罐价值

6.1自身安全性

上层架构中，业务和管理分离，具有各自独立的命名空间，并处于不同的逻辑交换机下，网络二层隔离，通过蜜罐的网络空间和网络空间的权限的隔离，保障系统内部安全。

工业蜜罐一般具有专有的防逃逸方案，具体如下：

所有运行的蜜罐服务不以root权限运行，对每个服务进程的权限进行精准控制，蜜网中的服务限制主动外连等多种技术手段保障防逃逸。

采用自研的代码框架，各模块在统一的框架平台，按照统一的代码要求进行开发，不但保证了代码的规范，也保证各模块的开发效率。

对自研框架进行持续的维护升级，不断提升安全性。借由框架的安全性，提升产品的整体安全性，框架的升级对各模块子功能完全透明。

6.2　低误报

工业蜜罐的实现原理，决定着低误报的特点，正常操作一般不会进入到蜜罐系统，任何触碰和进入蜜罐的行为均被详细定位和分析，“攻击即报警，响应即处置”^[6]。

6.3　蜜网组建

工业蜜罐具有多种蜜网组建方式，可通过直连和探针两种模式实现不同蜜网的设计，探针适用于Linux、Windows、Mac等系统的部署，适用性强。不同组网方式都可实现网络攻击流量的转发和捕获，形成蜜网，具有高迷惑性，攻击者一旦进入蜜网即会被拖住，且所有操作行为被记录，很难逃脱。蜜网功能与高仿真蜜罐相结合，保障其真实性，进行攻击过程的有效捕获。

6.4　诱捕能力

一般工业企业核心生产环节安全防护能力薄弱：企业安全存在技术上或管理上的薄弱环节，例如发电企业尤其明显，电力攻击队伍更愿意尝试从厂站发起攻击。厂站突破可能影响主站：部分厂站直连主站，为主站安全防护带来压力，主站安全防护亟需进一步提升风险主动识别能力、攻击溯源能力，以及诱捕能力。无论是攻击队还是敌对势力攻击者均会更加关注生产相关系统及突破口，电力监控系统未来将会成为攻击者眼中最为重要的目标，演练中的攻击人员更有分寸，通常不会对生产造成影响，但敌对势力将会以破坏生产为最终目的。

电力企业中生产控制大区设备蜜罐前置到调度三区或者互联网大区的厂网业务区，通过“生产环境前置”的方式欺骗攻击者，达到真正的保护生产业务；可以仿真的变电站监控系统主要包括：监控系统、继电保护、测控装置、故障录波装置、辅助设备监控等^[7]。

7　结论

工业蜜罐技术可以通过溯源、反制等功能获取到攻击者的IP、微信、QQ等社交信息账号，结合攻击过程、攻击报文等信息可以溯源到攻击个人，实现溯源取证；该技术具有强大的业务高仿真和蜜网组建能力，通过在入侵者必经之路上构造陷阱，混淆攻击目标，吸引攻击者进入蜜网，拖住攻击者延缓攻击，从而保护真实系统，为应急响应争取时间^[8]。工业蜜罐技术的低误报特性决定了数据的准确性，获取攻击者的地址、样本、黑客指纹等信息，可掌握其详细攻击路径、攻击工具、终端指纹和行为特征，实现全面取证，精准溯源[6]。同时可通过syslog方式将捕获的数据发送到第三方平台，为整体威胁分析提供有效数据，为攻击研判提供依据。工业蜜罐部署在企业边界与核心PLC/DCS系统网络位置，针对用户工控网路、生产设备、办公网络同时进行针对性模拟，通过牵引攻击行为与重定向攻击流量，最终达到迷惑攻击者和诱捕转移攻击行为的特性。在诱捕过程中，充分模拟工控设备的应用、主机、系统、网络的指纹，以及通讯、协议应用等行为过程，形成海量虚拟设备组成的“仿真系统”区域，保护并隐藏过程控制系统资产，为控制系统网络建立主动积极防御的安全屏障，切实提升电力系统整体的“主动防御”、“入侵检测”、“安全审计”能力提供网络安全预警^[9]。

作者简介：

卜　钰（1979-），男，山东济南人，硕士，现任山东外事服务保障中心信息化主任，主要从事电子政务、网络安全、保密科技等。

参考文献：

[1] 青藤云安全. 一种基于欺骗防御的入侵检测技术研究[EB/OL]. [2019-09-18].  

[2] CSDN. 逐一解读Gartner评出的11大信息安全技术[EB/OL]. [2018-03-05].

[3] 裴辰晔. 网络欺骗防御技术在电厂网络安全中的应用[J]. 网络安全技术与应用, 2022 (10) : 110 - 111.

[4] 陈学亮, 范渊, 黄进. 蜜罐切换方法、系统、计算机及可读存储介质: CN202110917762.8[P]. 2021 - 11 - 16.

[5] 网御星云. 网御星云工业蜜罐: 以场景化主动安全防御思路破局工控安全难题[EB/OL]. [2021-11-19].

[6] 蔡晶晶, 潘柱廷, 张凯, 等. 以平行仿真技术为核心的网络安全蜜罐技术路线[J]. 信息技术与标准化, 2019 (10) : 22 - 26.

[7] 彭志强, 张小易, 袁宇波. 智能变电站间隔层设备仿真系统模块化设计与实现[J]. 电气应用, 2014 (19) : 106 - 110.

[8] 宋波, 李楠, 李雪源, 等. 基于气象信息化发展的网络安全建设[J]. 网络安全技术与应用, 2022 (10) : 111 - 112.

[9] 数世咨询. 蜜罐诱捕能力指南[EB/OL]. [2020-12-11].

摘自《自动化博览》2023年8月刊