[发明专利]基于控制器深度内存仿真的工控蜜罐构建方法及工控蜜罐

说明书

本发明属于工控系统防御技术领域，特别涉及一种基于控制器深度内存仿真的工控蜜罐构建方法及工控蜜罐，收集工控系统上位机和工业控制器PLC之间的通信数据，解析获取通信数据中的协议相关数据；依据工程配置文件和协议相关数据来构建PLC虚拟内存仿真器；并建立用于模拟工控系统控制逻辑及其变化过程的工控内存数据模型，生成相关内存配置文件添加到内存配置文件库中；利用对应内存配置文件将工控系统控制逻辑及其变化过程映射到PLC虚拟内存仿真器中，通过PLC虚拟内存仿真器模拟控制逻辑动态变化来应对攻击者请求。本发明能够提高工控蜜罐系统仿真模拟功能，有效避免攻击者识别，便于捕获更多、更复杂的工控系统攻击行为，保证工控系统的安全稳定性。

技术领域

本发明属于工控系统防御技术领域，特别涉及一种基于控制器深度内存仿真的工控蜜罐构建方法及工控蜜罐。

背景技术

工业控制系统广泛应用于发电、输配电、石油化工、油气传输、智能制造炼油和海水淡化等关键基础设施领域。而随着工业4.0的发展，这些原本隔离的系统开始直接或间接的接入了互联网。由于薄弱的安全措施和重要的军事、经济价值，工业控制系统迅速成为网络攻击的重要目标，面临着越来越大的网络攻击威胁。工业控制器，即可编程逻辑控制器（PLC）作为工业控制系统的大脑，是一种专门用于工业控制的计算机，通过其上运行的控制逻辑代码控制整个系统的运行，PLC代码的安全直接管关系到整个工业控制系统的安全。而现有的蜜罐防御技术主要虚拟的对象则是PLC。蜜罐防御技术是一类重要的欺骗防御技术，旨在检测，转移或以某种方式抵消对未经授权使用工控系统的尝试，主要用于研究面临的威胁和抵御的方法，在真实工控场景的防御中起着非常重要的作用。对于蜜罐来说，不被攻击者识别才能最大限度的发挥作用。因此在构建蜜罐时，如何更好的欺骗攻击者是设计时非常重要的一环。

工控蜜罐的构建往往是以PLC为虚拟化的对象，通过模拟真实PLC的协议栈、私有协议交互、其他服务等以诱骗攻击者发起攻击，进而捕获分析。目前现有的工控蜜罐的构建方法对于PLC私有协议的理解有限，无法模拟真实PLC的深层交互，而且无法对攻击者请求的语义理解和执行，并且没有内存数据模型的支持导致现有的工控蜜罐的数据都是恒定不变的，很容易就被识别；此外，现有的工控蜜罐缺乏对PLC内存的建模和对攻击者上传的恶意逻辑的执行，因此，无法应对并处理复杂的攻击。

发明内容

为此，本发明提供一种基于控制器深度内存仿真的工控蜜罐构建方法及工控蜜罐，通过模拟真实PLC内存结构及控制逻辑，大幅度提高工控蜜罐系统仿真模拟功能，有效避免攻击者识别，便于捕获更多、更复杂的工控系统攻击行为，保证工控系统的安全稳定性。

按照本发明所提供的设计方案，一种基于控制器深度内存仿真的工控蜜罐构建方法，包含如下内容：

收集工控系统上位机和工业控制器PLC之间的通信数据，并通过解析获取通信数据中的协议相关数据；

依据工程配置文件和协议相关数据分析工业控制器PLC内存结构，并构建用于仿真模拟工业控制器PLC内存结构的PLC虚拟内存仿真器；

在PLC虚拟内存仿真器中构建用于模拟工控系统控制逻辑及其变化过程的工控内存数据模型，生成内存配置文件并添加至内存配置文件库中；利用内存配置文件将工控系统控制逻辑及其变化过程映射到PLC虚拟内存仿真器中，通过PLC虚拟内存仿真器模拟控制逻辑动态变化来应对攻击者请求。

作为本发明基于控制器深度内存仿真的工控蜜罐构建方法，进一步地，利用网络抓包工具抓取上位机和工业控制器PLC之间的通信流量包，通过分析来初步划分通信流量包中协议特征，该协议特征至少包含：协议字段、语义及协议数据；并利用反编译工具对上位机软件进行静态逆向分析和动态调试，根据协议特征并通过寻找协议解析库文件来解码通信流量包中协议相关数据，该协议相关数据至少包含：协议字段划分及功能码语义。