专栏首页FreeBuf工业控制系统蜜罐的初步介绍

工业控制系统蜜罐的初步介绍

随着科技的发展,工业控制系统逐渐的接入互联网,而当前互联网上存在着大量的攻击,直接影响着工业控制系统的安全,工控系统面临的安全形势也越来越严重。2010年的伊朗震网病毒事件、2011年的duqu木马事件、2014年的Havex、2015年的乌克兰电力事件都在用事实证明了工控系统的安全形势严峻。

为了增强工业控制网络安全,很多研究人员都采用蜜罐技术对系统进行防护。蜜罐作为一种主动防御技术可以吸引攻击,分析攻击,推测攻击意图,并将结果补充到防火墙、IDS以及IPS等威胁阻断技术。

蜜罐技术介绍

蜜罐的发展主要分为三个阶段

1.初级阶段,蜜罐思想首次被提出,这是蜜罐的形成阶段; 2.中期阶段,蜜罐工具的大规模开发,比如DTK、honeyd、honeybrid等工具的提出; 3.后期阶段,采用虚拟仿真、真实设备、真实系统、IDS、数据解析工具以及数据分析技术等综合构建的网络体系进行入侵诱捕。

近年来,随着工控安全形势的严峻,蜜罐技术被越来越多的应用在工控领域,从协议的仿真做起到工控环境的模拟,交互能力越来越高,结构也日趋复杂。开源工控蜜罐中,主要针对modbus、s7、IEC-104、DNP3等工控协议进行模拟。其中,conpot和snap7是相对成熟的蜜罐代表,conpot实现了对s7comm、modbus、bacnet、HTTP等协议的模拟,属于低交互蜜罐,conpot部署简单,协议内容扩展方便,并且设备信息是以xml形式进行配置,便于修改和维护。Snap7是专门针对西门子PLC的蜜罐,基本实现了s7comm协议栈。它可以模拟实际设备的信息与状态,而且实现常用PLC操作的交互。但这些这些主流的虚拟蜜罐只能模拟单一工控协议,因此只能捕获单一工控协议的攻击数据。

新型蜜罐技术(主要介绍混合蜜罐)

为提高蜜罐的部署能力,降低蜜罐部署成本,陆续有研究者提出采用低交互蜜罐与高交互蜜罐混合部署的架构,在合适的时候调度合适的蜜罐,在学术领域陈之为混合蜜罐。以下是一些示例

Snort+honeybrid方案

在本方案中,Snort主要进行低高交互流量的鉴别,并通知Honeybrid网关,便于后续步骤的进行。Honeybrid网关包括决策引擎和重定向引擎,负责协调前端和后端之间的过滤和重定向。决策引擎用于选择感兴趣的流量,重定向引擎用于透明地重定向流量。

其中honeybrid是一种典型的混合蜜罐框架,主要有如下四部分模块,示意图如下:

决策引擎 :决定哪些业务是要哪个蜜罐; 重定向引擎:以决定是否有些业务需要被重定向进行更详细的分析; 控制引擎:限制由潜在的被损害蜜罐发送的传出网络流量; 日志引擎:继续处理的数据流,进行详细记录。

这四个组件围绕目标概念进行阐述,目标概念包含基于蜜罐的实验的规范。因此,每当我们想要运行基于蜜罐的新实验时,我们必须考虑我们想要收集的流量类型以及我们想要收集它的方式,即具有多少粒度和控制程度。目标由四个声明组成:一个 过滤规则,它使用tcpdump语法定义此目标应处理的确切流量类型,

一个前端规则,定义哪个蜜罐应该首先与传入的攻击流量进行交互,以及接受此传入流量的标准是什么; 一个可选的后端规则,用于定义流量被重定向到哪个蜜罐以进行更详细的分析,以及决定重定向流量的标准是什么; 一个可选的控制 规则,定义如何限制蜜罐启动的传出流量。

Snort+SDN方案

SDN是软件定义网络,它以下发flowtable的形式完成对流量的控制。右图显示了作者所提出的混合蜜罐架构图。它主要由一个基于 OpenFlow的交换机来管理控制平面,它负责重定向攻击者和不同蜜罐之间的连接。在控制平面中,开源IDSSnort用于分析流量以生成警报,并通过UNIX 套接字将警报消息发送到控制器应用程序。根据警报消息,决策引擎(DE)将决定转发或重定向连接并发信号通知重定向引擎(RE ) 以执行相应的动作。

在上述方案中都是用了Snort工具,Snort是一种入侵检测工具,可以针对数据包进行单包解析,在监听到数据包后首先会对来源数据包进行解析,然后提取特征,匹配规则,从而发出告警信息,示意图如下:

利用在蜜罐框架中,是利用了它的数据解析功能与告警功能;它在匹配到对应的信息后,可以发出信号,从而使得下一步的处理程序可以进行处理。

总结

本文主要对蜜罐技术进行了介绍,从蜜罐的起源到发展,以及工控蜜罐的出现到发展。并描写了典型的蜜罐架构,通过采用这些架构可以较为高效的进行蜜罐部署,同时也让大家对蜜罐技术有一个较为大概对理解。当前蜜罐的能力永远是看向蜜罐交互性这一指标,为了提高蜜罐交互性研究人员采用了很多方法,本文主要介绍了选择合理部署的方式提高整体蜜罐的交互性。

但当前大多数的蜜罐框架仅从技术层面进行了阐述,并为指出无懈可击的理论依据,尚存在诸多问题需要解决,比如合理的调度依据。而缺乏这些依据的原因也是我们缺乏对攻击的了解,无法获取精确且普适性较高的攻击分析方法。

*本文作者:等待未来66大顺,来自FreeBuf.COM

本文分享自微信公众号 - FreeBuf(freebuf),作者:等待未来66大顺

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-06-15

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 一种工控蜜罐识别与反识别技术研究与应用实践

    本文章结合作者在资产探测、入侵检测、网络攻防、蜜罐研究相关工作中大量实践,在此对工控蜜罐识别与反识别的技术进行研究与应用实践与大家进行分享与探讨。

    FB客服
  • T-Pot多蜜罐平台:让蜜罐实现更简单

    这两年蜜罐技术被关注的越来越多,也渐形成低交互、中交互、高交互等交互程度的各类蜜罐,从web业务蜜罐、ssh应用蜜罐、网络协议栈蜜罐到系统主机型蜜罐的各功能型蜜...

    FB客服
  • 基于Docker的蜜罐平台搭建:T-Pot 17.10

    以上内容摘录自 Freebuf.com 失路之人 的文章 T-Pot多蜜罐平台:让蜜罐实现更简单

    FB客服
  • 浅谈物联网蜜罐识别方法

    随着互联网、物联网技术的发展,我们的生活逐渐进入万物互联的时代,但与之而来网络攻击数量和手段也日益增多。传统的安全产品如:防火墙、WAF、IPS等安全产品在网络...

    绿盟科技研究通讯
  • 浅谈蜜罐机制

    众所周知,网络安全的势态逐步提上日程,对于安全防御这块完全就是万金油。(那里不对修那里)。

    7089bAt@PowerLi
  • 一种工控蜜罐识别与反识别技术研究与应用实践

    本文章结合作者在资产探测、入侵检测、网络攻防、蜜罐研究相关工作中大量实践,在此对工控蜜罐识别与反识别的技术进行研究与应用实践与大家进行分享与探讨。

    FB客服
  • 基于Docker的蜜罐平台搭建:T-Pot 17.10

    以上内容摘录自 Freebuf.com 失路之人 的文章 T-Pot多蜜罐平台:让蜜罐实现更简单

    FB客服
  • T-Pot多蜜罐平台:让蜜罐实现更简单

    这两年蜜罐技术被关注的越来越多,也渐形成低交互、中交互、高交互等交互程度的各类蜜罐,从web业务蜜罐、ssh应用蜜罐、网络协议栈蜜罐到系统主机型蜜罐的各功能型蜜...

    FB客服
  • Kippo:一款强大的SSH蜜罐工具

    首先给大家介绍一下蜜罐,蜜罐最为重要的功能是对系统中所有操作和行为进行监视和记录,他可以帮助我们追踪溯源。简单的说蜜罐就是一个“假目标”,故意暴露一个网络中的弱...

    FB客服
  • 基于docker的蜜罐学习

    低交互式蜜罐只是模拟出了真正操作系统的一部分,例如模拟一个FTP服务。虽然低交互式蜜罐容易建立和维护,但模拟可能不足以吸引攻击者,还可能导致攻击者绕过系统发起攻...

    信安之路

扫码关注云+社区

领取腾讯云代金券