《工业互联网安全技术基础》课件- 34-工业蜜罐技术

IndustrialInternetsecuritytechnologyfoundation工业互联网安全技术基础《工业互联网安全技术基础》课程组第4章工控网络安全技术工控蜜罐技术1010203工业蜜罐技术工业蜜罐分类主流工控蜜罐介绍目录04蜜罐识别技术一、工业蜜罐技术

蜜罐技术（HoneypotTechnology）是一种对攻击方进行欺骗的技术。在工业控制领域还有一个名称叫做威胁诱捕技术，其应用更多的是故意想要被人探测、发现和攻击。基本原理是故意伪装成有安全漏洞的网络系统，诱使黑客对其进行攻击，

在攻击者不知道的情况下，

对其行为进行监视并记录。攻击恶意服务器大约有3700台西门子S7PLC连接到互联网，其中至少230个蜜罐可以被轻易地识别。一组数据二、工业蜜罐分类不同于普通蜜罐只模拟特定的软件，工业控制系统是通用的计算设备。工控蜜罐允许单独与系统及其加载的程序交互。我们扩展了传统的蜜罐分类来说明：

低交互对手只能与主机交互中等交互对手只能与主机和程序交互高交互对手在中等交互之上能读写程序二、工业蜜罐分类举例低交互中等交互高交互TCP/IP堆栈欺骗读取系统状态列表HTTPSNMP列块读取存储写入存储开始/暂停CPU上传/下载块执行程序Conpot–√–––––––Snap7–√–(√)(√)(√)(√)––CryPLH2(√)√√√√√√√–XPOT√√SNMP√√√√√√二、工业蜜罐分类三、主流工控蜜罐介绍Conpot是一个部署在服务端的低交互ICS蜜罐，能够快速地部署、修改和拓展。开发者通过提供一系列的通用工控协议，使得我们能够非常快速地在我们的系统上构建一套复杂的工控基础设施用于欺骗未知的攻击者。低交互ICS蜜罐——Conpot三、主流工控蜜罐介绍支持协议协议介绍bacnet用于智能建筑的通信协议enip基于通用工业协议ipmi智能平台管理接口，可以智能地监视、控制和自动回报大量服务器的运作状况modbus一种串行通信协议s7comm西门子S7通讯协议簇里的一种http超文本传输协议snmp简单的网络管理协议三、主流工控蜜罐介绍PLC中交蜜罐——SNAP7Snap7是一个基于以太网与西门子S7系列PLC通信的开源库，在工控领域应用很广。主要用于将PC站点与PLC网路完全连接到一起。具有三个对象组件，分别是客户端、服务器和协作者，这三个对象可以同时应用，下图描述了这三个对象之间的联系：服务器协作者客户端

PLC中交蜜罐——SNAP7首个高交互工控蜜罐——XPOT三、主流工控蜜罐介绍XPOT是首个高交互，而且能够用来分散和分析高级对手的PLC蜜罐。由于它是一个基于软件能够运行程序的高交互PLC蜜罐。可扩展性强，并允许大型诱饵或传感器网络。一个可编程的PLC蜜罐可修改的存储器区域可通过监控模式调试可编程的公共IDE执行程序，支持编译和解释欺骗的TCP/IP堆栈模仿操作系统指纹及特征首个高交互工控蜜罐——XPOT(1)IP地址识别

通过查询IP地址对应的ISP，既服务提供运营商，来判断所述IP是否属于云服务器提供商的IP地址。查询IP地址对应的ISP当所述IP属于云服务器，并且开放了PLC的工控协议服务如modbus、s7等可判定IP为工控蜜罐四、蜜罐识别技术(2)操作系统及MAC厂商指纹识别四、蜜罐识别技术

操作系统识别可以使用Nmap和Xprobe2的扫描工具，Nmap是一种开源的工业级扫描工具，Xprobe2是一种操作系统扫描工具。

设备MAC地址会根据不同的设备厂商分配不同的段，工控设备厂商大多也可以从MAC地址来区分。下图MAC为西门子厂商S7300PLC真实设备下图MAC为施耐德厂商M580PLC真实设备一般工控蜜罐，如服务蜜罐大多部署在linuxvmware及docker容器里面，而仿真服务部署在windows系统上面。下图为modbus协议PLC使用vmware，可判断为蜜罐服务。四、蜜罐识别技术四、蜜罐识别技术(3)指纹特征识别这里可以利用nmap扫描工具对目标设备开放的端口和服务进行扫描识别，可以发现openplc默认开放了http8080端口，浏览器访问http://ip:8080查看plc管理页面发现与真实工控plc设备不一样第4章工控网络安全技术工控蜜罐技术2010203工业蜜罐数据采集常见工控蜜罐的组成常见工控蜜罐的应用目录04工控蜜罐实例主机采集网络采集数据采集方式记录主机中的各类信息记录网路中的通信数据一、工业蜜罐数据采集方式工业控制系统蜜罐的数据采集一般有两种方式，分别为主机采集和网络采集，主机采集部署于蜜罐主机中，用于记录主机中的各类信息。网络采集部署于系统网络中，用于记录网络中的全部通信数据，一般为旁路监听的状态。一、工业蜜罐数据采集方式数据采集内容包含蜜罐主机键盘输入、网络通信端口、系统日志、主机文件变化、网络通信数据包、PLC运行状态和远程操作日志。一、工业蜜罐数据采集工业蜜罐主要关注的采集内容包括:主机键盘输入网络通信端口系统日志主机文件变化网络通信数据包……蜜罐主机模块旁路检测模块工业控制系统状态监控模块安全操作员模块工业控制环境模块常见的工控蜜罐主要由右图五个模块构成；其中工业控制系统状态监控模块包括：数据篡改/工艺篡改检测工控系统崩溃检测工控系统部署工业控制环境模块包括：虚拟仿真真实系统二、常见工控蜜罐的组成三、常见工控蜜罐的应用蜜罐部署举例安全缓冲区

在管理信息网与工业生产网络之间设置安全缓冲区，在此区内设置蜜罐系统，对来自管理信息网的操作行为进行检测分析。管理信息网工业生产网安全缓冲区生产网络在生产网络内部署蜜罐系统，由于工业生产业务相对固定，蜜罐系统在正常网络流量下不会被访问操作，但当出现病毒、木马、黑客攻击等操作时，蜜罐系统会表现出攻击特征，并发出告警。三、常见工控蜜罐的应用蜜罐部署举例三、常见工控蜜罐的应用蜜罐部署位置此图展示了几个常见蜜罐部署的位置现场蜜罐

工控系统现场设备和控制器的形式部署，例如PLC、RTU、工业路由器等。DMZ区域

以一个外部应用的方式进行部署，例如Web、FTP、Email、OA、ERP等。三、常见工控蜜罐的应用蜜罐部署位置三、常见工控蜜罐的应用互联网出口

直接以边界网关的形式进行部署。内网蜜罐

可以设置在内网任意可能被访问到的位置，例如无线网关、打印机、研发PC、办公主机等。数据区蜜罐蜜罐部署位置四、工控蜜罐实例SCADA系统结构概述SCADA系统的结构如图所示，主要包括人机界面（HumanMachineInterface,HMI）、SCADA控制器和数据库系统、可编程逻辑控制器（ProgrammableLogicController,PLC）组或远程终端单元（RemoteTerminalUnit,RTU）组、智能电子器件（IntelligentElectronicDevice,IED）四大部分。四、工控蜜罐实例SCADA系统结构概述其中，PLC和RTU负责：收集IED产生的数据并将其传送给SCADA数据库系统；接收来自HMI的操作员指令并向IED执行。人机界面控制器和数据库系统可编程逻辑控制器远程终端单元智能电子器件安全防护解决方案：SCADA+