蜜网应用之剖析网络钓鱼

与僵尸网络一样，网络钓鱼攻击也是危害广大互联网用户的重大安全威胁。这种攻击方式在近年来兴起，并愈演愈烈。毕竟邪不压正，我们通过蜜网技术以及一些新的蜜罐技术可以对其进行深入的分析和了解，为安全业界抑制和防御其攻击提供支持。     

一种拟态蜜罐系统的设计与研究

互联网一直以来受到各种各样的网络安全威胁,网络攻击方式层出不穷、手段多变且攻击目标各异,特别是高级持续性攻击隐蔽性很强。在攻防过程中,即使一个微小的设计疏忽都可能产生严重的漏洞,攻击者利用这些漏洞攻击系统可能产生严重的危害。而防御者则需要将系统或者节点的防御做到万无一失,才能保证系统的安全。同时防御者对于可以来自网络中的攻击者一无所知,而系统或者节点则通过网络完全暴露在攻击者面前。在这样的攻防博弈环境中,攻击者占据着绝对优势的主动地位,而防御者只能处于被动地位。为打破攻防之间的不平衡态势,本文主要设计了一种将主动防御中的蜜罐与拟态防御技术相融合,实现攻击目标可诱捕,攻击路径可追溯,攻击数据可分析的新型拟态蜜罐威胁感知平台。     

一种基于蜜网的网络安全防御技术*

基于主动防御的蜜网技术虽然在一定程度上克服了传统安全模型被动防御的缺陷,但入侵者仍能通过蜜网对内部网络和外部网络进行攻击,造成蜜网本身也存在一定的不安全因素。为此提出了一种基于蜜网的网络安全防御技术——用DMZ(非武装区)和两层防火墙来防止内部网络被入侵;用NIDS（网络入侵检测系统）和流量控制的方法来防止外部网络被攻击,从而较好地解决了传统网络安全模型存在的一些缺陷。     

城市污水处理厂控制系统可信安全防护设计

随着互联网、大数据、云计算等新兴技术的应用,智慧水务成为市政水处理行业发展的趋势,城市污水处理厂控制系统从自动化走向网络化、智能化。由于工业网络与基于Internet技术的商业网络打通,病毒及黑客威胁随之而来。近年来的工控安全事件表明,工业控制系统日益成为黑客的攻击目标,因此,其信息安全防护设计尤为重要。城市污水处理厂控制系统以往主要重视功能设计,长期忽视信息安全防护设计,而且工业控制系统具有高可用、强实时、高可靠等特点,IT系统的信息安全手段大多无法直接应用于工业控制系统,目前工控安全防护手段远远落后于IT系统。当前针对工控系统的威胁攻击手段日趋复杂多样,原有"封堵查杀"式被动防护难以抵御新型威胁攻击。通过分析城市污水处理厂控制系统的安全现状,提出了一种基于可信计算技术的城市污水处理厂控制系统安全防护设计方案,以密码为基因,通过身份识别、状态度量、数据保护等功能构造了控制系统的"信任链"和对"信任链"上的节点进行"信任度量",建立整个控制系统的可信环境,培育了控制系统的免疫力,可有效抵御未知威胁的攻击,从而保证了整个污水处理工艺生产过程的安全运行。     

基于数据包分片的工控蜜罐识别方法

蜜罐是一种用于安全威胁发现与攻击特征提取的主动防御技术,能够提供高价值且低误报率的攻击流量和样本。蜜罐的应用压缩了网络黑客的隐匿空间,攻击者可通过蜜罐识别技术来发现和规避蜜罐。因此,安全人员有必要从攻击者的角度深入研究蜜罐识别的方法,以便优化蜜罐系统的设计与实现。本文从蜜罐的结构出发,总结了8种蜜罐识别要素,并评估了不同识别要素的准确性和隐蔽性。结合互联网蜜罐分布特点,归纳了一种互联网中的蜜罐识别流程,并基于Conpot工控蜜罐架构的固有缺陷,提出了一种基于数据包分片的工控蜜罐识别方法。通过三次互联网扫描,共发现2432个Conpot工控蜜罐,并进一步分析了其分布特点。     

高交互式工控蜜罐系统设计与实现

随着工业互联网技术在工业行业的广泛应用,工业互联网安全问题也越来越多地暴露在公众视野中。在工业互联网安全领域,攻击和防护之间始终存在着差距。这使得针对工业互联网的安全研究处于一个不利的局面。蜜罐系统作为一种吸引潜在攻击者的陷阱工具,通过服务模拟吸引对象攻击,记录攻击数据、分析攻击行为,研究攻击策略,形成威胁情报数据,在平衡攻击和防护之间差距中起着重要的作用。首先,研究了当前蜜罐系统的背景,分析了不同种类蜜罐系统之间的区别;接着,明确了蜜罐系统的功能需求,提出了基于真实工控环境的高交互式蜜罐系统,完成了蜜罐系统的设计与搭建工作;最后,通过渗透测试验证了蜜罐系统的有效性,为进一步依靠蜜罐系统开展网络安全研究奠定基础。     

智能化煤矿工业控制系统网络安全分析及防护实践

随着煤矿智能化建设工作推进,原来“封闭”的工业控制系统打破壁垒迈向融合,工业控制系统与管理系统协作、工业系统之间集成联动、工业数据外联,延伸了工控系统网络接入范围,增加了工控系统来自外联网、互联网的安全威胁,针对安全问题及新需求,在煤矿智能化建设过程中,同步开展工控系统网络安全建设,基于“等级保护2.0”要求,提出了智能煤矿工控网络安全防护体系框架,建立了以计算环境安全为基础,以区域边界安全、通信网络安全为保障,以安全管理中心为核心的信息安全整体保障体系,确保了煤矿工业控制系统的安全,为煤矿开展工控系统网络安全防护工作提供经验和借鉴。     

工业控制系统信息安全新趋势

随着科学技术的高速发展,工业化与信息化的不断融合,工业控制系统越来越多采用标准、通用的通信协议和软硬件系统,并且以各种方式接入互联网,从而打破了这些系统原有的封闭性和专用性,造成病毒、木马等安全威胁向工控领域迅速扩散。工业控制系统所面临的信息安全问题日益严重,而且呈现出诸多与传统IT系统不同的特点。为了简要介绍目前工控安全研究领域的新趋势和新成果,文章首先从工业控制系统的定义和三层结构出发,引出了工控系统的安全问题,利用详实的数据阐述了该安全问题的分布特点和发展趋势。接下来,文章从学术研究的角度,重点介绍了工业控制系统信息安全领域的专门国际会议ICS-CSR。通过比较已经举办过的两届ICS-CSR会议所收录的论文,就攻击者与攻击途径、网络攻击的检测与响应、系统安全建模与脆弱性分析,以及工控安全的社会-技术性等多个重要问题进行了详细的讨论,总结了工控安全研究中的主要问题、思路、方法和结论,阐述了该领域的当前态势和未来方向。最后,文章提出了纵深防御的安全理念,并以此为指导,构建了由边界系统、防御系统、防危系统等三部分组成的综合防御体系,旨在为工业控制系统提供全方位、多层次、完整生命周期的保护。     

面向工控领域的拟态安全处理机架构

近年来,针对工控系统的攻击越来越多,工业控制系统应用大多涉及国计民生,其安全问题不容忽视。我国工控系统中现场PLC、终端、RTU等控制设备大部分使用国外的控制组件,对于未知的逻辑炸弹和后门基本没有安全防护能力。为此,本文以拟态技术为基础,提出了一种通用的拟态安全处理机架构,采用基于状态保存的两步清洗技术和高可靠判决策略,使得符合该架构规范的应用程序均能借助拟态处理架构防护操作系统、处理机和外围器件可能出现已知或未知的后门/漏洞,最后的仿真验证结果验证了该系统可以有效地抵御多种类型的攻击。     

撒下蜜网，研究黑客

蜜网技术实质上仍是一种蜜罐技术，但它与传统的蜜罐技术相比更具优势。蜜网技术发展至今，已经历了三代。蜜网技术可以对互联网上包括黑客攻击在内的各种安全威胁进行深入的了解与分析，从而为安全防御提供知识和经验支持。     

2015年工业控制系统信息安全态势分析

2015年,工业控制系统信息安全总体形势并不乐观。其一,工业控制系统面临的安全威胁持续增长,工控安全漏洞仍处高发状态,针对工控网络的APT攻击明显增加,已对工业生产运行造成＂实质性＂影响。其二,工业领域虽已关注工控系统的信息安全问题,但受限于工业环境特殊性、安全防护技术成熟度、基层人员安全意识等多种因素的限制,目前我国工业控制系统的信息安全防护水平相对前几年状况并未好转。     

利用蜜网技术检测网站攻击

通过使用蜜网技术,结合网络的组织架构,检测网站攻击,达到防御网站攻击的目的。     

工业控制系统关键组件安全风险综述

随着现代信息技术与通信技术的快速发展,工业控制（简称“工控”）系统已经成为国家关键基础设施的重要组成部分,其安全性关系到国家的战略安全和社会稳定。现代工控系统与互联网越来越紧密的联系,一方面促进了工控技术的快速进步,另一方面为其带来了巨大安全问题。自“震网”病毒事件之后,针对工控系统的攻击事件频发,给全球生产企业造成了巨大经济损失,甚至对很多国家和地区的社会稳定与安全造成重大影响,引起人们对工控系统安全的极大关注。现代工控系统中自动化设备品类和专有协议种类繁多、数据流复杂且发展迅速等,导致对工控关键组件安全的综述难度很大,现有与此相关的综述性文献较少,且大多较为陈旧、论述不全面。针对上述问题,介绍了当前工控系统的主流体系结构和相关组件。阐述并分析了关键工控组件中存在的安全漏洞及潜在的威胁,并重点针对数据采集与监视控制（SCADA）中的控制中心、可编程逻辑控制器、现场设备的攻击方法进行归纳、总结,对近几年文献中实施攻击的前提条件、攻击的对象、攻击的实施步骤及其危害性进行了归纳与分析,并从可用性、完整性和机密性的角度对针对工控网络的攻击进行了分类。给出了针对工控系统攻击的可能发展趋势。     

浅谈工控系统的安全威胁及防护体系建立

随着网络信息技术的发展,工控系统的信息安全也面临着严峻的现实考验。近年来,针对工控系统的安全事件不断攀高。文章介绍了当前安全形势下工控系统的安全威胁,提出对工控网络分层次、分安全风险等级区建设有效的安全防护体系以应对安全攻击,切实保障工控网络的信息安全。     

工控系统脆弱性分析研究

随着工业互联网新技术在工控领域的广泛应用,工控系统由以往的孤岛模式转变为开放系统,通过网络公开的工控态势平台,可以发现大量的工控设备暴露在互联网中,工控系统面临前所未有的安全危胁.通过对工控系统的安全现状与脆弱性进行分析,站在攻击者角度提出了工控系统面临的攻击威胁.结合真实的核电DCS系统,通过安全测试总结此系统的脆弱...     

一种拟态构造的Web威胁态势分析方法

基于裁决差异性判别进行威胁推测是拟态防御系统屏蔽和阻断攻击威胁的重要机制,然而现有的拟态裁决机制无法对拟态防御系统安全态势进行有效归纳分析和威胁管控。为此,以拟态Web服务系统为例,将网络态势感知技术融入到拟态防御架构中,提出一种改进的Web威胁态势分析方法。对多层次的拟态裁决告警日志进行数据关联,挖掘及分类融合提取的特征数据信息,并对不同类型的分类数据进行可视化展示。实验结果表明,该方法能够显示拟态防御系统的安全状态,及时获悉异常执行体的运行情况,从而实现对拟态防御系统的安全态势进行分析与评估。     

拟态安全信息系统测评方法及技术研究

信息系统在社会中发挥着重要的作用,面临的安全问题日益严重。传统信息安全防御技术主要基于已知攻击方法或漏洞进行防御,无法有效应对未知攻击的威胁,难以全面防护Web系统的安全,基于动态异构冗余架构为拟态安全信息系统提供了本质安全和内生安全。研究了拟态信息系统的架构特征,给出了拟态安全信息系统的测评方法,并对拟态属性的验证方法和技术进行了分析。     

工控系统安全监测及溯源系统的设计与实现

随着工控系统和互联网的交叉融合与边界模糊,边界部署的安全设备无法进行有效防护。已有的安全检测平台和系统,对工控系统安全事件的理解和整合能力不足。在深入理解工控系统的工业属性以及安全需求的基础上,结合深度数据包检测、网络威胁情报感知、协议解析及数据挖掘等人工智能方法,设计工控网络安全监测分析及溯源系统,实现数据驱动的工业互联网态势感知、检测预警、攻击溯源及反制,有效提升工控系统的安全实时检测、感知预警与防护水平。     

基于Libpcap的低交互Honeypot诱捕蜜罐的研究与设计

随着计算机网络中攻击风险日益严峻,安全系统面对威胁必须迅速反应以减少损失.提出一种在主动网络防御体系中的Honeypot诱捕蜜罐方案,采用Libpcap底层信包捕获及套接字编程,在Linux平台上研究、设计实现一种模拟一定数量特定服务的低交互Honeypot诱捕蜜罐,实现对自动扫描、病毒等攻击的诱捕,弥补了传统防火墙和入侵检测系统的不足,以尽早发现潜在攻击,提高网络安全性,有效保护网络资源安全.     

动态异构冗余架构下Web实践及安全性分析

当前网络环境下安全事件频发,攻防双方处于极度失衡状态,对其进行解决刻不容缓.针对目前安全领域内缺乏有效的防御手段的现状,对拟态安全防御技术进行分析、探索、实践.在对现有防御技术探讨的基础上,通过对拟态安全防御中核心思想、架构设计的引入与分析,构建一种动态异构冗余架构下的典型Web服务系统,并在实验中证实该系统的安全稳定性.进一步地,从攻击行为模型和安全防护概率角度出发,对系统的安全性进行分析.仿真结果表明,系统在动态异构冗余架构下能够增强防护能力,这对现网环境下网络安全改造方案具有指导意义,为下一步构造安全稳固的系统提供了理论支撑.