51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

工业控制系统蜜罐的初步介绍

作者:等待未来66大顺
安全
随着科技的发展,工业控制系统逐渐的接入互联网,而当前互联网上存在着大量的攻击,直接影响着工业控制系统的安全,工控系统面临的安全形势也越来越严重。

随着科技的发展,工业控制系统逐渐的接入互联网,而当前互联网上存在着大量的攻击,直接影响着工业控制系统的安全,工控系统面临的安全形势也越来越严重。2010年的伊朗震网病毒事件、2011年的duqu木马事件、2014年的Havex、2015年的乌克兰电力事件都在用事实证明了工控系统的安全形势严峻。

为了增强工业控制网络安全,很多研究人员都采用蜜罐技术对系统进行防护。蜜罐作为一种主动防御技术可以吸引攻击,分析攻击,推测攻击意图,并将结果补充到防火墙、IDS以及IPS等威胁阻断技术。

蜜罐技术介绍

蜜罐的发展主要分为三个阶段

  • 初级阶段,蜜罐思想首次被提出,这是蜜罐的形成阶段;
  • 中期阶段,蜜罐工具的大规模开发,比如DTK、honeyd、honeybrid等工具的提出;
  • 后期阶段,采用虚拟仿真、真实设备、真实系统、IDS、数据解析工具以及数据分析技术等综合构建的网络体系进行入侵诱捕。

近年来,随着工控安全形势的严峻,蜜罐技术被越来越多的应用在工控领域,从协议的仿真做起到工控环境的模拟,交互能力越来越高,结构也日趋复杂。开源工控蜜罐中,主要针对modbus、s7、IEC-104、DNP3等工控协议进行模拟。其中,conpot和snap7是相对成熟的蜜罐代表,conpot实现了对s7comm、modbus、bacnet、HTTP等协议的模拟,属于低交互蜜罐,conpot部署简单,协议内容扩展方便,并且设备信息是以xml形式进行配置,便于修改和维护。Snap7是专门针对西门子PLC的蜜罐,基本实现了s7comm协议栈。它可以模拟实际设备的信息与状态,而且实现常用PLC操作的交互。但这些这些主流的虚拟蜜罐只能模拟单一工控协议,因此只能捕获单一工控协议的攻击数据。

新型蜜罐技术(主要介绍混合蜜罐)

为提高蜜罐的部署能力,降低蜜罐部署成本,陆续有研究者提出采用低交互蜜罐与高交互蜜罐混合部署的架构,在合适的时候调度合适的蜜罐,在学术领域陈之为混合蜜罐。以下是一些示例

1. Snort+honeybrid方案

在本方案中,Snort主要进行低高交互流量的鉴别,并通知Honeybrid网关,便于后续步骤的进行。Honeybrid网关包括决策引擎和重定向引擎,负责协调前端和后端之间的过滤和重定向。决策引擎用于选择感兴趣的流量,重定向引擎用于透明地重定向流量。

其中honeybrid是一种典型的混合蜜罐框架,主要有如下四部分模块,示意图如下:

  • 决策引擎 :决定哪些业务是要哪个蜜罐;
  • 重定向引擎:以决定是否有些业务需要被重定向进行更详细的分析;
  • 控制引擎:限制由潜在的被损害蜜罐发送的传出网络流量;
  • 日志引擎:继续处理的数据流,进行详细记录。

这四个组件围绕目标概念进行阐述,目标概念包含基于蜜罐的实验的规范。因此,每当我们想要运行基于蜜罐的新实验时,我们必须考虑我们想要收集的流量类型以及我们想要收集它的方式,即具有多少粒度和控制程度。目标由四个声明组成:一个 过滤规则,它使用tcpdump语法定义此目标应处理的确切流量类型,

  • 一个前端规则,定义哪个蜜罐应该首先与传入的攻击流量进行交互,以及接受此传入流量的标准是什么;
  • 一个可选的后端规则,用于定义流量被重定向到哪个蜜罐以进行更详细的分析,以及决定重定向流量的标准是什么;
  • 一个可选的控制 规则,定义如何限制蜜罐启动的传出流量。

2. Snort+SDN方案

SDN是软件定义网络,它以下发flowtable的形式完成对流量的控制。右图显示了作者所提出的混合蜜罐架构图。它主要由一个基于 OpenFlow的交换机来管理控制平面,它负责重定向攻击者和不同蜜罐之间的连接。在控制平面中,开源IDSSnort用于分析流量以生成警报,并通过UNIX 套接字将警报消息发送到控制器应用程序。根据警报消息,决策引擎(DE)将决定转发或重定向连接并发信号通知重定向引擎(RE ) 以执行相应的动作。

在上述方案中都是用了Snort工具,Snort是一种入侵检测工具,可以针对数据包进行单包解析,在监听到数据包后首先会对来源数据包进行解析,然后提取特征,匹配规则,从而发出告警信息,示意图如下:

利用在蜜罐框架中,是利用了它的数据解析功能与告警功能;它在匹配到对应的信息后,可以发出信号,从而使得下一步的处理程序可以进行处理。

总结

本文主要对蜜罐技术进行了介绍,从蜜罐的起源到发展,以及工控蜜罐的出现到发展。并描写了典型的蜜罐架构,通过采用这些架构可以较为高效的进行蜜罐部署,同时也让大家对蜜罐技术有一个较为大概对理解。当前蜜罐的能力永远是看向蜜罐交互性这一指标,为了提高蜜罐交互性研究人员采用了很多方法,本文主要介绍了选择合理部署的方式提高整体蜜罐的交互性。

但当前大多数的蜜罐框架仅从技术层面进行了阐述,并为指出无懈可击的理论依据,尚存在诸多问题需要解决,比如合理的调度依据。而缺乏这些依据的原因也是我们缺乏对攻击的了解,无法获取精确且普适性较高的攻击分析方法。

 

责任编辑:赵宁宁 来源: FreeBuf
工控安全工业控制网络安全
相关推荐
工业控制系统攻击中APT
针对工业控制系统的攻击,不论在规模宏大的网络战(Cyberwar),还是在一般的网络犯罪(Cybercrime)中,都可以发现APT的影子。

2014-06-23 10:22:18

聊聊如何保护工业控制系统
对您的组织进行威胁建模将有助于回答其中一些问题,以确定哪些系统对于提供基本服务至关重要,并允许适当地设置网络安全活动的优先级和预算。

2022-03-17 00:07:00

工业控制系统
工业控制系统网络应防范“内鬼”
来自内部的安全威胁可能比很多外部攻击更强烈,更有破坏力。对于管理着关键基础架构和制造过程的工业控制系统网络来说,尤其如此。一个不怀好意的雇员或是了解工厂并能够访问网络的前雇员就可以引起多种破坏,从而导致产品损坏、财务损失、设备破坏,甚至威胁人的生命。

2017-09-01 06:45:37

工业控制系统相关漏洞统计分析
工业控制系统相关漏洞的分析数据主要依据绿盟科技安全漏洞库中所收录的漏洞信息整理而成。截止到2012年11月底,绿盟科技安全漏洞库中共收录到216个与工业控制系统相关的漏洞。本文我们主要按发布时间、威胁类型、厂商分布等几个角度对这些漏洞进行统计分析,结果如下:

2014-06-04 09:42:41

工业控制系统APT
市政工业控制系统安全性研究
伴随着工业化与信息化的融合,市政相关的工业控制系统(自来水、污水处理、燃气输送等)的重要性日益重要,并日益成为网络攻击者的目标。近年来国内外均出现了不少相关的入侵攻击事件,如下表所示:

2014-06-23 13:26:53

工业控制系统应怎样进行安全防护
随着工业化与信息化的融合推进,以及以太网技术在工业控制系统中的大量应用,病毒和木马对SCADA系统的攻击事件频发,直接影响到公共基础设施的安全,造成的损失不可估量。因此,目前国内外生产企业都是否重视工业控制系统的安全防护建设。

2014-06-20 14:07:49

信息安全新焦点——工业控制系统安全
2010年10月发生在伊朗核电站的"震网"(Stuxnet)病毒,为工业生产控制系统安全敲响了警钟。现在,国内外生产企业都把工业控制系统安全防护建设提上了日程。

2012-03-01 14:31:30

为什么攻击者会瞄准工业控制系统
以前,ICS基于特定的操作系统和特定的通信协议是标准的。然而,近年来,通过实现基于通用OS和标准通信协议的网络连接,降低了系统开发成本并提高了生产率。

2018-12-11 08:04:59

工业控制系统ICS攻击
工业控制系统安全防护可以这样做
工业控制系统安全的重要性及其普遍安全防护措施不足的现实,使得加强工业控制系统的安全性来说无疑是一项相对艰巨的任务。因为当面临攻击者的持续关注时,任何疏漏都可能导致灾难。对此,我们在参考信息安全业内的最佳实践的基础上,结合工业控制系统自身的安全问题,提出了一些安全建议,期望能够有效地降低工业控制系统所面临的攻击威胁。

2013-07-01 14:51:22

从震网病毒看工业控制系统安全
在机场、酒店大堂、时尚的咖啡厅,可以看到人们很自在地用笔记本电脑享受着上网冲浪的便捷,同时电信运营商们也在积极推广城市热点的接入覆盖访问。但随着无线网络嗅探变得轻而易举,你是否考虑过网络环境是否安全

2012-06-28 16:09:30

用于工业控制系统安全坚固物联网网关
尽管使用防火墙或DPI等标准IT网络安全设备保护这一关键的工业4.0网络基础设施似乎是合乎逻辑的,但在工业环境中,标准IT设备存在许多不利情况。

2021-12-26 07:40:42

物联网网关工业控制系统安全IIOT
工业控制系统攻击五大经验教训
令人担忧的是,过去五年间,ICS攻击频频得手,攻击后果也愈趋严重。下面我们就列出从以往ICS攻击中可以学到的五大重要安全经验。

2021-08-10 08:18:29

工控安全网络攻击ICS攻击
通过构建更安全运营环境保护工业控制系统
所有行业领域基本都部署了易受攻击的OT系统,包括运输、石油、天然气、制造和能源及公用事业。

2021-07-29 18:48:55

办公
工业控制系统信息安全产品标准及测评方法
当前工控系统信息安全形势严峻。根据监测数据显示,我国很多重要控制系统都暴露在互联网上,涉及市政供水供热、能源、水利等关键基础设施领域,一旦被攻击,后果将非常严重。

2016-07-01 10:15:31

2021年上半年工业控制系统漏洞分析
根据Claroty最新发布的报告,随着针对关键基础设施和工业企业的高调网络攻击将工业控制系统(ICS)安全问题提升为一个主流问题,工业控制系统的漏洞披露也急剧增加。

2021-09-03 13:58:28

漏洞工业控制系统ICS
我国工业控制系统普遍存在严重安全问题
工业控制系统脆弱的安全状况以及日益严重的攻击威胁,已经引起了国家的高度重视,甚至提升到国家安全战略的高度,并在政策、标准、技术、方案等方面展开了积极应对。绿盟科技最近推出的《2013工业控制系统及其安全性研究报告指出,目前工业控制系统普遍存在一些严重的安全问题。

2013-07-01 14:38:41

工业控制系统中安全组态工程保护技术实现
组态工程加解密实现的方法有很多种,本文提供的方法只是一个简单的例子,读者可以举一反三,探索出适合自己的加解密方式。

2020-05-26 09:05:29

工控安全加密网络攻击
勒索软件下一个热门目标:工业控制系统
SolarWinds供应链APT攻击的风暴正在席卷全球,同时也为工控系统安全敲响警钟。

2020-12-24 16:51:05

勒索软件工业控制系统网络攻击
PTC发布Kepware工业互联平台新版本加强工业控制系统安全性
PTC公司旗下负责开发工业互联软件的公司Kepware今天宣布推出KEPServerEX6.5版工业互联平台。通过此版本,PTC展示了其对工业控制系统(ICS)安全性的承诺,并为其客户提供了支持纵深防御计划的工具和最佳实践。

2018-07-04 10:59:33

网络物理系统安全之​CPS域之工业控制系统
工业控制系统代表了连接到物理世界的各种网络信息技术系统[157]。根据应用的不同,这些控制系统在化学工业中也称为过程控制系统(PCS),如果用于监督和控制的设备是使用整体架构采购的,则称为分布式控制系统(DCS)。

2023-04-05 00:08:03

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服