摘要：随着工业化与信息化的融合发展，联网工控系统和设备数量持续上升，网络攻击手段复杂多变、重大安全事件频繁发生，不断敲响了工业信息安全警钟。工业控制系统蜜罐技术作为被动诱捕手段之一，能够有效捕获针对工业控制系统发起的网络攻击数据，进而分析攻击手段，剖析黑客活动趋势，在工控安全态势感知领域有着极高的实用价值。本文结合国家工控安全监测与态势感知平台应用结果，分析工控蜜罐的具体作用及功能，并阐述当前工控蜜罐遇到的问题及下一步研究方向。

关键词：工控安全；工控蜜罐；态势感知

Abstract:With the integration and development of industrialization and informatization,the number of networked industrial control systems and equipment continues to rise, network attack methods are complex and changeable, and major security incidents occur frequently, which constantly sounds the alarm of industrial information security. As one of the passive entrapment methods, the ICS honeypot technology can effectively capture the network attack data launched against the industrial control system,and then analyze the attack method and the trend of hacker activities. It has extremely high practical value in the field of industrial control security situation awareness. This paper analyzes the specific functions of the ICS honeypot from the perspective of industrial control security situation awareness, combined with the application results of the national industrial information security monitoring and situational awareness platform, and expounds the current problems encountered by the ICS honeypot and the next research directions.

Key words: Industrial control system security; ICS honeypot; Situational awareness

1 引言

云计算、大数据、人工智能等新一代信息技术正加速推进工业化与信息化的融合进程，工业互联网时代下，数字化、网络化、智能化发展趋势使得越来越多原 本处于封闭环境中的工业控制设备暴露于公共互联网，直面来自互联网的攻击威胁^[1]。为应对日趋严峻的网络安全形势，及时洞悉工业控制系统及设备面临的安全风险，研判分析、精准预测整体安全状况，工控安全态势感知技术研究正成为安全领域的一大研究热点。

蜜罐是一种新型的主动防御技术，通过伪装成看似有利用价值的设备、系统等吸引网络黑客对其发起攻击，经捕获和分析攻击行为，了解攻击工具与方法，推测攻击者意图和动机。蜜罐技术的出现，扭转了网络攻防的不对称局面，在传统网络安全态势感知领域取得了较多成功的应用案例。结合工控安全技术特点，将蜜罐技术应用于工控安全态势感知，有效获取针对工业控制系统及设备发起的网络攻击数据，分析攻击手段，剖析黑客活动趋势，有着极高的实用价值。

2 工业控制系统蜜罐技术概述

2.1 蜜罐技术发展进程

世界上第一个被公开使用的蜜罐系统是美国著名计算机安全专家Fred Cohen于1998年研发的DTK（Deception Tool Kit）^[2]，旨在诱导攻击者对存在大量安全漏洞的DTK系统发动网络攻击，Cohen的研究工作为蜜罐技术的发展奠定了基础。2000年计算机蠕虫病毒大爆发，研究人员发现蜜罐系统在捕获网络传播的蠕虫病毒样本、判定传播趋势、溯源攻击黑客等方面有着无可替代的作用。此后蜜罐技术得到广泛关注，出现了大量开源蜜罐系统。

蜜罐技术发展到现在，已出现多种成熟的蜜罐工具。一套成熟的蜜罐系统通常由核心模块和辅助模块两部分组成^[3]：核心功能模块是诱骗与监测攻击方的必需组件，具备构建仿真环境、捕获攻击数据以及威胁分析等功能；辅助模块是蜜罐系统扩展需求，包含系统安全风险控制、配置与管理、反蜜罐侦查等功能。

2.2 蜜罐分类

按照为攻击方提供的交互程度可划分，蜜罐系统可分为低交互性蜜罐、中交互蜜罐和高交互性蜜罐，如表1所示^[4]。低交互性蜜罐通过编程软件构建伪装的系统运行环境，提供简单的服务模拟，交互程度较低；中交互蜜罐以软件模拟方式搭建，可模拟较为复杂的系统服务，为攻击者提供较好的交互环境，可捕获更多的信息数据；高交互蜜罐一般采用真实系统搭建，交互程度高，但由于黑客的攻击行为可对蜜罐本身造成损坏，因此安全风险最大。

表1 不同交互度蜜罐比较

2.3 工控蜜罐研究进展

随着信息技术的发展，出现了针对不同业务应用场景的蜜罐系统，如：web蜜罐、数据库蜜罐、移动应用蜜罐、IoT蜜罐等。工控蜜罐作为面向工业控制、工业生产业务环境的新一代蜜罐系统也得到了越来越多的关注，目前主流的工控蜜罐有Conpot、Snap7、CryPLH、XPOT等，如表2所示。

表2 常见工控系统蜜罐

近年来，国内外安全机构纷纷针对工控蜜罐及其应用场景开展了系列研究。2016德国达姆施塔特工业大学在原移动应用蜜罐的基础上进一步开发出HosTaGe工控蜜罐^[5]，支持Modbus等工业专有协议仿真；2017年，中国科学技术大学大数据分析与应用重点实验室对标西门子S7系列可编程逻辑控制器（PLC），开发出高交互工控蜜罐S7commTrace并取得了较好的应用效果^[6]；2019年，江苏科技大学网络与信息安全团队开发出基于S7、snmp等协议，应用于船舶领域的工控蜜罐^[7]；2019年希腊马其顿大学研发针对电网基础设施的蜜罐系统^[8]，并开展了相关试验验证工作。

2.4 工控蜜罐的功能

工控蜜罐的主要功能包括：

（1）收集分析互联网上针对工业控制系统发起的恶意行为，在大规模攻击之前提前感知风险，判断攻击趋势；

（2）分散黑客注意力，诱导攻击者对蜜罐系统发动网络攻击，从而保护真实的工业控制系统健康运行，避免对工业生产造成破坏；

（3）高交互蜜罐可诱使攻击者发动真实攻击，挖掘分析工业控制系统零日漏洞。

3 工控蜜罐在工控安全态势感知领域的应用

“态势感知”的概念最早用于军事领域，主要是指在特定时空下对动态环境中各元素或对象的觉察、理解以及对未来状态的预测。随着网络技术的发展，“态势感知”的应用情景更倾向于网络安全，通过广泛采集和汇聚广域网中的安全状态和事件信息，加以处理、分析和展现，从而明确当前网络的总体安全状况，为大范围的预警和响应提供决策支持。为应对当前工控安全面临的严峻形势和挑战，国家工业信息安全发展研究中心利用主动监测、被动诱捕、流量分析、企业侧采集、大数据挖掘等技术手段，建设国家工业信息安全监测与态势感知平台，有效感知全国工业信息安全整体态势，形成全天候、全方位工业互联网安全态势感知能力，其中利用工控蜜罐建设的威胁诱捕系统，为整体感知工业控制系统信息安全态势提供不可或缺的数据支持^[9]。

3.1 系统架构

通过工控蜜罐构建的威胁诱捕系统框架如图1所示。工控蜜罐的部署位置一般选取网络关键节点或工业企业网络出口处，根据蜜罐仿真模式，合理配置仿真的工业控制系统或服务协议，避免被网络空间扫描引擎或有经验的黑客组织轻易识别。当蜜罐遭遇黑客攻击后，会将攻击数据发送至威胁诱捕系统进行存储、处理、分析，系统完成对攻击数据的判定后，将攻击行为进行可视化展示，并将处理结果发送至态势感知平台，为下一步整体安全态势分析提供数据基础。

图1 工控蜜罐在威胁诱捕系统中的应用

工控蜜罐工作原理如图2所示，蜜罐系统由攻击交互模块和设备/服务仿真环境两部分组成。攻击交互模块直接处理黑客与蜜罐的交互，通过流量重定向技术，检测攻击流量中访问的目标类型，在严格过滤DDoS等高危操作后，将对应攻击流量导入适当的设备/服务仿真环境，并将初步分析结果发送至威胁诱捕系统；设备/服务仿真环境在收到攻击交互模块发送的攻击流量后，模拟系统被攻击的真实反应，反馈至交互模块，用于蜜罐与黑客的进一步交互。

威胁诱捕系统通过分析工控蜜罐搜集的攻击数据，研判各类攻击要素，包括攻击工具、恶意文件、攻击来源、攻击步骤等信息，如：攻击者的IP、地理位置、探测工具等。

图2 工控蜜罐工作原理示意图

3.2 捕获数据行为分析

以2020年4月工控蜜罐捕获到的攻击数据为例，该工控蜜罐为中交互蜜罐，模拟Ethernet/IP协议工控设备。通过分析工控蜜罐对攻击流量记录发现，4月21日晚IP地址为202.106.222.26的用户对该蜜罐102端口扫描222次，对44818端口扫描70余次，如图3所示。

图3 某IP地址对蜜罐的扫描记录

经对数据包按照时间顺序进行梳理分析，黑客首先通过SYN发送SYN扫描判断44818端口开放情况，如图4所示，当探测到端口开放状态后，与蜜罐系统建立PSH数据通信链路，如图5所示，并建立Ethernet/IP通信获取session，如图6所示，进而利用session查询设备信息，如图7所示。

图4 黑客发送SYN数据包探测端口开放情况

图5 黑客与蜜罐系统建立PSH数据通信链路

图6 黑客获取蜜罐系统session信息

图7 黑客通过系统session信息查询设备信息

3.3 蜜罐应用情况

根据威胁诱捕系统统计数据，单个工控蜜罐平均每周可捕获2000余次攻击事件，有来自120余个国家和地区对蜜罐系统发起过网络探测与攻击，其中攻击源IP地址地理分布排前5位的分别是美国、中国、荷兰、俄罗斯、英国，攻击占比如图8所示。

图8 工控蜜罐捕获的攻击源分布情况

攻击次数最多的前5名IP地址如表3所示，这些IP地址主要集中在美国、欧洲等发达国家和地区，发起过近千次网络嗅探和攻击行为。

表3 前5名境外攻击IP列表

4 讨论

工控蜜罐作为直接面向黑客攻击的对抗性技术手段之一，在态势感知等领域取得了较好的应用效果。但是与传统网络服务蜜罐相比，工控蜜罐的应用与发展还存在一定困难，主要体现在以下3个方面：

（1）高交互工控蜜罐耗费大量资源，维护成本较高。蜜罐为了构建真实运行的仿真环境，往往需要引入实物系统或设备。工业控制系统及设备成本高且难以复用，即使同类的工控设备在功能、协议、指令等方面也是千差万别，维护工作较为复杂。

（2）纯虚拟工控蜜罐仿真能力有限，极易被黑客识别。目前研发应用的纯虚拟工控蜜罐只对工控协议进行底层模拟仿真，且大部分已经开源，极易被如shodan、zoomeye等网络空间搜索引擎或黑客发现，难以收集有效的攻击数据。

（3）工控设备种类繁多且工控协议多为私有，单一种类的工控蜜罐难以满足应用需求。工业控制系统、工业协议种类繁多，单一形式的工控蜜罐难以囊括多种工控设备的仿真的需求，为工控蜜罐应用带来一定阻力。

综合以上讨论，结合工控蜜罐技术应用方向，工控蜜罐技术可在以下方向开展进一步研究：

（1）工控蜜罐应与新技术应用紧密融合，完善升级模拟仿真与威胁溯源能力。当前人工智能、区块链、边缘计算等新技术发展迅猛，并在传统网络安全领域取得了优秀的应用成果。工控蜜罐融合新一代信息技术，强化模拟仿真、用户交互、威胁溯源等功能，进一步发挥工控蜜罐的防御优势。

（2）进一步挖掘工控蜜罐捕获数据应用, 开展工业信息安全威胁深入追踪与分析研究。工控蜜罐作为主动防御技术，诱捕收集的攻击数据具有很高的参考价值，可反映出黑客组织的攻击意图。在网络流量、主动探测、安全日志、情报信息等数据的基础上，结合工控蜜罐诱捕数据，能够更加深入的分析工业信息安全态势，形成全方位的监测能力。

5 结束语

工控蜜罐技术发展至今，已经成为网络安全研究人员对工业控制系统安全进行风险监测、态势分析、追踪溯源的主要技术手段之一，其主动防御的思想为现代工业信息安全态势感知体系建设提供了强有力的支撑。本论文首先介绍了蜜罐技术背景，梳理蜜罐及工控蜜罐的发展历程，并结合工控蜜罐在国家工业信息安全监测与态势感知平台威胁诱捕系统中的应用，分析蜜罐的重大作用，最后对工控蜜罐技术研究及发展应用存在的问题进行了讨论，阐述了下一步研究重点。

参考文献：

[1] 郭娴,张慧敏,等.2019年工业信息安全态势展望[J].中国信息安全,2019,12(4):51–52.

[2] Spitzner L.Honeypots:Tracking Hackers[M].Boston:Addison-Wesley Longman Publishing Co.,Inc.,2002.

[3] 诸葛建伟,唐勇,等.蜜罐技术研究与应用进展[J].软件学报,2013,24(4):825–842.

[4] Iyatiti Mokube,Michele Adams.Honeypots:Concepts,Approaches,and Challenges[C].USA:ACMSE,2007.

[5] Vasilomanolakis,Emmanouil,etal.Multi-stage Attack Detection and Signature Generation with ICS Honeypots[C].IEEE/IFIP Workshopon Security for Emerging Distributed Network Technologies IEEE, 2016.

[6] Xiao,Feng,E.Chen,andQ.Xu.S7commTrace:A High Interactive Honeypot for Industrial Control System Based on S7 Protocol[M].Information and Communications Security. 2018.

[7] 丁程鹏.船舶网络蜜罐技术研究[D].江苏:江苏科技大学,2019:23-45.

[8] DPliatsios,P Sarigiannidis,et al.A Novel and Interactive Industrial Control System Honeypotfor Critical Smart Grid Infrastructure[C].2019 IEEE 24th International Workshop on Computer Aided Modeling and Design of Communication Links and Networks(CAMAD),2019.

[9] 杨佳宁,陈柯宇,郭娴,等.工业互联网安全态势感知核心技术分析[J].信息安全与技术,2019,010(004):61-66.

作者简介：

陈柯宇（1992-），男，汉族，新疆伊犁人，助理工程师，硕士，毕业于北京邮电大学，现就职于国家工业信息安全发展研究中心，主要研究方向为工控安全、工业互联网安全等。

杨佳宁（1990-），男，汉族，山东临沂人，工程师，硕士，毕业于北京航空航天大学，现就职于国家工业信息安全发展研究中心，主要研究方向为工控安全、工业互联网安全等。

郭 娴（1984-），女，汉族，湖南衡阳人，高级工程师，博士，毕业于中国科学院高能物理研究所，现就职于国家工业信息安全发展研究中心，主要研究方向为工控安全、工业互联网安全等。

摘自《自动化博览》2020年6月刊