[发明专利]一种模块化工控蜜罐系统

说明书

本发明公开了一种模块化工控蜜罐系统，涉及工业控制系统安全领域，所述蜜罐系统通过模块化的方法构建模块库，所述模块库包括：PLC模块、程序模块、数字孪生模块、HMI模块、外部接口模块和连接模块，其中：所述PLC模块模拟实际的PLC，是所述蜜罐系统中的控制器；所述PLC模块通过所述若干连接模块分别与所述程序模块、所述数字孪生模块、所述HMI模块和所述外部接口模块连接。本发明根据实际物理模型构建对应的数字孪生模型，支持深度交互，具有较高的逼真度，不易被攻击者辨别。本发明实现蜜罐结构和功能的模块化，使得用户能够容易的对蜜罐进行个性化的配置，搭建更符合实际场景的工控蜜罐。本发明通过将蜜罐封装为docker容器，可以方便的实现大规模的部署。

技术领域

本发明涉及工业控制系统安全领域，尤其涉及一种模块化工控蜜罐系统。

背景技术

蜜罐技术是一种主动防御技术，被定义为一类安全资源。蜜罐技术的价值是吸引攻击方对其进行非法使用，作为诱饵对攻击方进行欺骗，捕获攻击样本数据并对攻击方的行为并进行分析。

工业控制系统蜜罐是将蜜罐应用于实际工业控制系统当中，作为一种主动防御的手段对工业控制系统的防御体系进行补充，以实现更好的防御效果。

现有的工业控制系统蜜罐从交互性上可分为低交互蜜罐和高交互蜜罐。低交互蜜罐仅仅实现了工业控制系统中的部分服务和功能，而高交互蜜罐给攻击者提供了完整的环境。现有的低交互工业控制系统蜜罐大部分为通过虚拟化技术实现的一个服务进程，例如conpot是一个低交互蜜罐，实现了对s7comm，modbus，enip，http等协议的模拟，能模拟一个PLC进行简单的数据传输，但在攻击者与其进行更深一步的交互时很容易被识破。而高交互蜜罐需要实现与攻击者一定深度的交互，若采用与实际物理系统完全相同的物理设施作为蜜罐，虽然能产生数据进行交互，但需要使用更多的资源，不易复制和移植，存在将实际工业控制系统暴露于攻击者的风险。

高交互的工控蜜罐对攻击者有着更强的吸引力，能捕获到更多攻击者的行为信息。高交互工控蜜罐需要与实际工业流程紧密结合，针对具体行业进行设计。专利申请CN202010232244.8提出了一种高甜度高交互工控蜜罐装置及方法，增加了conpot蜜罐的交互程度和人机交互接口以及Web页面；专利申请CN202010409377.8提出了一种工控蜜罐方法，主要用于流量监控和报文分析；专利申请CN201910435993.8则提出了一种工控蜜罐系统，用于监听多种工控协议并处理攻击数据。

但现有的技术发明的重点在捕获数据和分析以及对协议交互的补充上，并没有关于蜜罐如何搭建诱捕环境来吸引攻击者的研究。工业控制系统蜜罐需要有高交互性、高逼真度的特点，要尽可能对实际工业控制系统进行模拟以达到对攻击者进行欺骗的效果，因此需要更合理的架构实现工业控制系统蜜罐。

因此，本领域的技术人员致力于开发一种模块化工控蜜罐系统及设计方法，弥补现有技术中关于蜜罐如何搭建诱捕环境来吸引攻击者的研究的缺失。

发明内容

有鉴于现有技术的上述缺陷，本发明所要解决的技术问题是如何克服现有工业控制系统蜜罐交互性不足、逼真度不够高的问题。

为实现上述目的，本发明提供了一种模块化工控蜜罐系统，利用数字孪生技术为蜜罐提供交互所需的拟真的数据信息。数字孪生技术最早用于产品开发阶段对其行为和生命周期进行模拟评估，可以将实际物理过程进行数字化转换，从而实现对实际系统进行监控和预测。

本发明提供的一种模块化工控蜜罐系统，通过模块化的方法构建模块库，所述模块库包括：PLC模块、程序模块、数字孪生模块、HMI模块、外部接口模块和连接模块，其中：

所述PLC模块模拟实际的PLC，是所述蜜罐系统中的控制器；

所述PLC模块通过所述若干连接模块分别与所述程序模块、所述数字孪生模块、所述HMI模块和所述外部接口模块连接。