[发明专利]一种工业控制蜜罐安全防护装置及方法

说明书

本发明涉及工业安全技术领域，特别涉及一种工业控制蜜罐安全防护装置及方法。其中影子系统包括一个IP仿真模块、一个流量转移重定向模块、一个虚拟交换机软件和若干个虚拟机系统；蜜网系统包括通用协议仿真模块、工业协议仿真模块和蜜罐管理配置模块；工控设备接口提供包括PLC模块、DSC模块、RTU模块、OPC服务、SCADA设备和HMI人机交互系统工控设备的接入；安全防护系统包括日志采集分析模块、流量采集分析模块、异常行为分析模块、溯源取证分析模块、系统管理模块和系统数据库模块。本发明的有益效果为：无需串接网络，无需旁路配置端口流量镜像，不改变用户物理网络结构，不影响用户网络运行环境，灵活部署环境，即插即用。

技术领域

本发明涉及工业安全技术领域，特别涉及一种工业控制蜜罐安全防护装置及方法。

背景技术

工业控制系统(Industrial Control Systems,ICS)，是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成。其组件包括数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端终端(RTU)、智能电子设备(IED)，以及确保各组件通信的接口技术。ICS系统广泛运用于石油、石化、冶金、电力、燃气、煤矿、烟草以及市政等领域，用于控制关键生产设备的运行。这些领域中的工业控制系统一旦遭到破坏，不仅会影响产业经济的持续发展，更会对国家安全造成巨大的损害。

由于工业控制网络的开放性，攻击者可采取多种手段攻击该网络，比如利用工控设备漏洞、TCP/IP协议缺陷及工控专用通讯协议漏洞等。蜜网技术的部署和实施已经引起了广泛的关注。虽然国内外学者都曾尝试用不同的蜜网解决网络安全问题，但是当前的蜜网主要用于网络入侵与恶意代码检测、恶意代码样本捕获和僵尸网络追踪等用途，而针对工业控制系统的攻击比较复杂，专门用于工业控制网络的蜜网则存在工作效率低、交互性差等缺点。随着种类众多的入侵手法与攻击工具的快速更新，蜜网被识别的概率在不断增大。考虑到工控作业环境十分关键，因此防止蜜网本身对工控的影响也至关重要。因而建立能快速有效具有高交互高仿真特性，并能及时更新发现工控网络中威胁攻击的蜜罐变得非常迫切。

申请号“202010109410.5”公开了一种智能学习式自应答工业互联网蜜罐诱导方法及系统，包括样本数据处理，定期获取设定时间段内正常情况下工业环境的业务请求命令及响应所述请求命令的设备及响应内容，并处理生成请求响应序列，作为模型训练样本数据集；响应预测模型训练；威胁诱捕，获取当前攻击者的请求数据，根据当前响应预测模型查找该请求子序列在概率后缀树上所在的节点，给予该请求数据的反馈并记录数据，直至攻击结束，然后将获取到的原始攻击请求响应序列加入到样本数据集中；重复上述过程。该方法通过对各类工控系统数据交互的深度学习，真实模拟出各类工控系统及业务，能够欺骗攻击者且不会暴露自身，从而保障工业互联网安全。该方法使用深度学习的方式，通过概率树的子序列，与攻击目标进行模拟交互，该方式虽然可以提高诱导率以及隐藏蜜罐，但其效率不高，且不能完全诱导攻击行为。

因此，本申请提出了一种工业控制蜜罐安全防护装置及方法，可以解决如下几点技术问题：

1.传统边界安全系统可用于阻止初始的外部攻击，但持续的攻击（APT）有可能最终通过社会工程、网络钓鱼或其他APT手段获得成功，并在内网建立跳板。一旦外部威胁进入内网区域，就会通过提升特权、网络侦察等手段，横向移动到其他有价值的目标，通过多次攻击建立多个立足点（傀儡机）。为了有效发现和减缓此类威胁产生的影响，需要了解具体攻击的TTP(Tatics、Techiniques、 Procedures )。本蜜罐解决方案会在三个层面上与攻击进行相互作用，提供对威胁的检测和对攻击的缓解措施。

2.由于蜜罐上不存在真实的业务主机及服务，因此任何访问蜜罐的行为都可以被认为是一个高可信度的威胁。虽然检测入侵只需要使用低交互度蜜罐进行伪装，但无法识别威胁使用的TTP。因此需要将全部的入侵行为诱导至蜜罐。