工业控制系统安全态势感知技术研究

工业控制系统(简称工控)是国家关键基础设施的核心,越来越多的工作开始关注工控系统安全。然而,这些工作的实际应用场景并不统一,因此他们取得的成果无法相互借鉴。为了解决这个问题,在深入研究这些安全技术的基础上,我们提出了工控系统安全态势感知(Situational Awareness for Industrial Control Systems Security,SA-ICSS)框架,该框架由态势觉察、态势理解和态势投射三个阶段构成。在态势觉察阶段,我们首先利用网络测绘和脆弱性发现技术获取完善的目标系统环境要素,如网络拓扑和漏洞信息;其次,我们将入侵检测和入侵诱捕等5种设备部署在目标系统中,以便从控制系统中捕获所有的可疑活动。在态势理解阶段,我们首先基于结构化威胁信息表达(Structured Threat Information Expression,STIX)标准对目标系统进行本体建模,构建了控制任务间的依赖关系以及控制任务与运行设备的映射关系;其次,自动化推理引擎通过学习分析师推理技术,从可疑活动中识别出攻击意图以及目标系统可能受到的影响。在态势投射阶段,我们首先利用攻击图、贝叶斯网络和马尔科夫模型从可疑活动中构建攻击模型;其次,我们利用现有的威胁评估技术从攻击模型中预测可能发生的攻击事件、可能被感染的设备以及可能存在的零日漏洞。我们阐述了SA-ICSS各个阶段的任务范围,并对其中的关键技术进行了分析与总结。最后,我们还探讨了SA-ICSS待解决的若干问题。     

基于工控业务仿真的高交互可编程逻辑控制器蜜罐系统设计实现

工控蜜罐的诱捕能力受仿真程度显著影响,针对现有工控蜜罐缺乏业务逻辑仿真的问题,提出了一种基于工控业务仿真的高交互可编程逻辑控制器（PLC）蜜罐设计框架和搭建方法。首先,基于工控系统的交互层次提出了一种新的工控系统（ICS）蜜罐分类方法;然后,根据工控设备的不同仿真维度,将蜜罐诱捕过程分为过程仿真循环和服务仿真循环;最后,通过定制的数据转存模块将过程数据转换到服务仿真循环中,以实现业务逻辑数据的实时响应。实验以西门子S7-300 PLC设备为参考,结合典型工控蜜罐软件Conpot和建模仿真工具Matlab/Simulink,实现了信息服务仿真和控制过程仿真的协同工作。实验结果表明,相较于Conpot,高交互PLC蜜罐系统新增了11种西门子S7设备私有功能,其中读（04 Read功能码）写（05 Write功能码）操作实现了对PLC的I区7个通道的监测和Q区1个通道的控制。这种全新的蜜罐系统突破了现有交互层次和方式的局限,为工控蜜罐设计拓展了新方向。     

基于工控业务仿真的高交互可编程逻辑控制器蜜罐系统设计实现

工控蜜罐的诱捕能力受仿真程度显著影响，针对现有工控蜜罐缺乏业务逻辑仿真的问题，提出了一种基于工控业务仿真的高交互可编程逻辑控制器（PLC）蜜罐设计框架和搭建方法。首先，基于工控系统的交互层次提出了一种新的工控系统（ICS）蜜罐分类方法；然后，根据工控设备的不同仿真维度，将蜜罐诱捕过程分为过程仿真循环和服务仿真循环；最后，通过定制的数据转存模块将过程数据转换到服务仿真循环中，以实现业务逻辑数据的实时响应。实验以西门子S7-300 PLC设备为参考，结合典型工控蜜罐软件Conpot和建模仿真工具Matlab/Simulink，实现了信息服务仿真和控制过程仿真的协同工作。实验结果表明，相较于Conpot，高交互PLC蜜罐系统新增了11种西门子S7设备私有功能，其中读（04 Read功能码）写（05 Write功能码）操作实现了对PLC的I区7个通道的监测和Q区1个通道的控制。这种全新的蜜罐系统突破了现有交互层次和方式的局限，为工控蜜罐设计拓展了新方向。     

基于数据包分片的工控蜜罐识别方法

蜜罐是一种用于安全威胁发现与攻击特征提取的主动防御技术,能够提供高价值且低误报率的攻击流量和样本。蜜罐的应用压缩了网络黑客的隐匿空间,攻击者可通过蜜罐识别技术来发现和规避蜜罐。因此,安全人员有必要从攻击者的角度深入研究蜜罐识别的方法,以便优化蜜罐系统的设计与实现。本文从蜜罐的结构出发,总结了8种蜜罐识别要素,并评估了不同识别要素的准确性和隐蔽性。结合互联网蜜罐分布特点,归纳了一种互联网中的蜜罐识别流程,并基于Conpot工控蜜罐架构的固有缺陷,提出了一种基于数据包分片的工控蜜罐识别方法。通过三次互联网扫描,共发现2432个Conpot工控蜜罐,并进一步分析了其分布特点。     

物联网蜜罐综述

物联网（The Internet of Things,简称IoT）是新一代信息技术的重要组成部分,已广泛应用于经济社会发展的各个领域,如工业控制系统、智能家居、智慧城市等。随着物联网应用的爆发式增长,物联网设备被直接暴露在互联网中,成为了黑客攻击的重点目标,并引发了大量安全事件。在多源异构的物联网环境中,传统的入侵检测、防火墙等安全防护工具存在易漏报和易误报的问题。蜜罐作为一种新兴的主动防御技术,通过构建可控的诱饵环境,主动引导黑客攻击,能够捕获高质量的原始攻击数据,从而低误报地发现攻击威胁。本文通过调研大量物联网蜜罐文献,总结了物联网蜜罐的基本概念和技术发展主线,重点介绍了重定向、识别与反识别和数据分析三种关键技术。此外,本文提出了一种基于杀伤链模型的物联网蜜罐评估体系,实现相关蜜罐工作的对比分析,并讨论和展望了物联网蜜罐未来可能的研究方向。