本文是一篇工程硕士论文,论文在蜜罐实验上同时完成了离线与在线实验,离线实验的结果表明蜜罐与真实设备的信息保持高度一致,展现了蜜罐的真实性,使在线部署收获的数据更加具有研究意义;在线实验的交互结果验证了离线实验的有效,以Shodan为代表的搜索探测引擎在对蜜罐进行探测后,识别其为工控系统,而非蜜罐。
1 绪论
1.1 研究背景与意义
工业生产中所使用的工业控制系统(Industrial Control System,简称ICS)是一种控制系统[1],主要用于工业生产,通常包含分布式控制系统、监视控制与数据采集系统,还有在工业部门中较常使用的小型控制系统如可编程逻辑控制器(Programmable Logical Controller,简称PLC)。工控系统在无人直接参与的情况下,利用控制理论、仪器仪表、计算机等学科理论与外加的计算机设备或装置,使工控设备或生产过程的工作状态又或是参数能够自动地按照预先制定的规律运行,它可以让工业生产过程更加流程化、精确化和效率化,并具有可控性[2]。
工控系统被广泛应用于电力、冶金、医疗、材料、能源、通信、交通、互联网、物联网,甚至军事。可见工控系统是关系到国家安全发展建设的重要组成部分。如果工控系统出现了安全问题,将会对国家、社会、人民造成难以估量的损失与危害。因此工控系统的安全问题不容小觑。
早期的工控系统相对独立,还没有接入外部互联网,因此与其他的系统保持着分离关系,此时的工控系统一般仅需考虑自身的稳定性与可控性。随着近年来各种信息技术的发展,为了达到提高产量、保证质量等目标,工控系统也在走向网络化,工业系统的智能化成为了人们研究的主要方向。通过信息化与工业化的融合,许多信息网络技术被应用于工控系统之间的通信交流中,为工控系统难部署、难操作、难维护、更新困难等不足之处带来了解决方案,使生产效率得到提高,但也将互联网的安全问题带入到了工控系统中,使工控系统面临着重大挑战。例如,工业控制系统在协议的采用上吸收了开放的网络协议,改变了传统的工作模式,将不少工业设备接入互联网中,互联网的漏洞使攻击者有机可乘,获得了更多攻击的机会[3]。在此背景下,针对工控系统网络的入侵也变得越来越多,但工控系统安全措施却不够完善,不足以有效抵御入侵。因此,工控系统的网络安全正受到严峻考验。
1.2 国内外研究现状
从前文的叙述中可以看出,工控系统安全防护的形势不容乐观,层出不穷的恶意攻击事件为研究者们敲响了警钟。国内外的研究者们针对工控系统的安全防护开展了一系列研究并提出了多种蜜罐改善方法。
2006年,Digtial Bond 公司[16]开发了一个基于 PLC设备的虚拟工控蜜罐系统。该蜜罐搭载了Modbus、SNMP等协议,均能对这些协议进行仿真,并且可以记录和分析蜜罐与攻击者之间的连接交互。该蜜罐系统通过记录和分析攻击者的 IP 地址,将攻击者的IP地址加入到防火墙黑名单中的操作实现了蜜罐技术和防火墙的有效结合。但从设计之初,该系统就与真实的 PLC设备差别较大,同时并不像真实设备一样对所有功能码都能响应,支持响应的数量太少,在部署过程中消耗的系统资源也较大。
2014 年,Daniel 等人[17]提出了一种 CryPLH 蜜罐,除了可以提供SNMP服务和 HTTP 服务外,该蜜罐从主机的操作系统中,还具备着能够获得网络统计信息的功能。对于STEP7协议的仿真,该蜜罐也搭载了相应的配置。美中不足的是,虽然该蜜罐充分参考了PLC 的高级保护机制,并对该机制进行了模拟,但蜜罐在默认情况下拒绝攻击者的访问,这导致攻击者在与蜜罐的交互中,无法获得更多攻击者想要的信息,看不到攻击价值的攻击者会减少攻击次数,而交互频率的不足也会导致采集的信息量不足。此外,在面对Nmap 等探测软件对操作系统的扫描时,会让攻击者发现蜜罐的操作系统指纹信息与真实的 PLC 不一致,这些缺陷导致很容易让攻击者识别出CryPLH是蜜罐。
2 工控系统安全相关介绍
2.1 工业控制系统威胁情况
工业控制系统与外界的联系变多以后,首先面对的就是攻击者的频繁入侵。所谓入侵,指的是那些用非正常用户所能采取的手段来企图破坏设备或者设备网络完整性、机密性、安全性等特性的行为[25]。针对工业控制系统攻击的案例数不胜数,若想完成定点防护,就要先研究攻击者的典型攻击流程。典型攻击流程如图3所示:
当攻击者确定了攻击目标以后,为了对选定的目标进行攻击,攻击者会充分收集目标设备的所有信息,而网络扫描便是获取网络设备相关数据的重要手段之一。
网络扫描包括主机发现、端口侦测、服务发现、操作系统侦测等工作。通过四个流程,攻击者可以完成对目标设备的信息采集:首先攻击者通过网络扫描的工作可以发现连接在网络上的设备;对这些设备的端口进行探测,获取其端口开放信息;随后可以进行更深层次的扫描探测,获取目标设备上运行的服务版本、服务类型等诸多信息。这是许多黑客进行网络攻击的第一步工作基础。而网络扫描就用到了许多探测平台,如下文介绍的Shodan和Nmap。
2.2 Modbus协议分析
工控系统中各组件之间的数据传输依赖于专有的通讯协议[39]。所谓通讯协议,是指通信双方进行数据传送控制时双方都必须遵守的一种约定和规则。以太网普及后,许多工控设备吸纳了TCP/IP技术,根据不同的设备类型与实际工业应用的场景,对应用层重新设计,因此形成了各种各样的工控协议[40],而Modbus协议就是这些工控协议中的一种。
Modbus由Modicon公司(现属施耐德电气公司)于1979年开发,用在可编程控制器上进行主/从通信的串行通信协议,通过该协议使得不同厂商生产的设备可以相互通信,从而组建工业网络,是应用在工业控制现场的总线协议[41]。Modbus协议拥有简单、协议内容公开开放、无版权要求不需要任何特许授权、易于部署维护、不依赖于专门的硬件等优点,因此被工业领域广泛使用,成为了较为常见的工控系统协议。即使到了今天,该协议在市场中也有5%的占比,足以说明其使用的普遍性。
Modbus协议可以进一步划分为多种类型。最先出现的是基于RS232、RS485接口进行通信的Modbus协议。需要注意的是这一协议并不局限于具体的电气接口,也可利用其他多种介质传输,如光缆等。随着技术发展,进而推出了Modbus Plus协议,它是一种高速现场总线网络,相较于原有协议传输速率更高,但协议内容更为复杂。当TCP/IP以太网技术不断发展变得日趋成熟之后,为了适应以太网的工作环境,串行协议被封装在TCP首部,在默认情况下使用以太网TCP协议的502端口进行传输,这其中诞生的就有论文主要讨论的Modbus TCP协议。它将原有的Modbus协议作为应用层,用以确定消息类型和格式,而把TCP/IP作为下层协议,作为实现传输的手段。
3 蜜罐相关介绍 ................................... 37
3.1 蜜罐起源...................... 37
3.2 蜜罐分类.................................. 38
4 基于UMAS协议的工控蜜罐的设计与实现 ....................... 51
4.1 研究框架............................... 51
4.2 蜜罐构建方法................................ 52
5 蜜罐实验测试与威胁分析 ............................... 65
5.1 实验思想............................................ 65
5.2 实验环境.................................... 65
5 蜜罐实验测试与威胁分析
5.2 实验环境
5.2.1 在线实验环境设置
将构建的蜜罐部署在虚拟服务器上进行在线实验,配置情况如下所示:
在此实验中,实验的指令选择来源于调研和经验,选择的都是较为常见的UMAS指令,但实际上Modbus的私有指令数量要远比论文所介绍的多。因此只能说论文构建的蜜罐系统在指令兼容性上比开源的蜜罐有显著提升,但不能说明论文构建的蜜罐已经能做到以假乱真,完全与真实工控设备一致,但结合后续实验来看,论文构建的蜜罐在功能码数量上已从Conpot支持的8种扩展25种,扩展了212.25%,用来应对脚本已绰绰有余。
6 总结与展望
6.1 论文研究工作总结
工控系统具有专有化的特点,因此公众对于工控安全的警惕性不高,相关的安全体系不健全,配套的安全措施不充分,工控安全事件一旦发生,就会造成严重性后果,因此蜜罐技术因其具有主动防御的能力,渐渐地走入了研究者的眼中,得到研究者的重视。不过,目前的蜜罐技术还有许多可挖掘之处,技术还不完全成熟,真实性与欺骗性不足,这些都是蜜罐在未来需要突破的地方。
为了完善蜜罐技术,蜜罐论文的工作主要是针对工控安全中的蜜罐技术与Modbus协议进行了研究,分析了Modbus中的隐藏功能码0x5a,并将其引入蜜罐系统中,对攻击者在工控蜜罐中的交互情况进行研究。最后为蜜罐设计了相应的蜜罐威胁分析系统。具体而言,论文的主要工作与创新点总结如下:
1.UMAS协议对PLC设备影响重大,目前尚无研究者针对UMAS协议来构建蜜罐,为构建出一个支持UMAS这一私有协议响应的工控蜜罐,提高蜜罐交互能力与真实性,经过理论学习后,论文提出一种针对UMAS私有协议进行模仿响应的方法使工控蜜罐能对UMAS协议报文做出响应,该方法AUC值为0.853,其对正确响应与拒绝响应的分类结果达到预期要求,并在工程设计师完成蜜罐的构建,
