一种基于DCS分布式控制的蜜罐系统技术方案

技术编号:19486687 阅读:86 留言:0更新日期:2018-11-17 11:30
本发明专利技术实施例公开一种基于DCS分布式控制的蜜罐系统,包括:分布式仿真控制器,用于仿真Modbus协议、S7协议和Profibus‑DP协议,基于所仿真的工业通信协议在蜜罐系统接收到固件信息读取请求时,通过文本解析脚本从本地信息文本中读取所仿真的控制器的固件信息并通过协议解析脚本组成响应报文进行反馈,以及基于所仿真的工业通信协议支持对现场级I/O设备的状态查询和参数修改;仿真I/O设备,为现场级I/O设备,用于作为参与通信的从站,通过状态文本记录从站属性信息及I/O设备状态,以及通过调用Profibus‑DP仿真脚本解析报文并根据所获得的功能码及数据信息对状态文本读写。本发明专利技术实施例能实现分布式仿真控制器与现场级I/O设备的交互功能并记录全部交互数据。

【技术实现步骤摘要】
一种基于DCS分布式控制的蜜罐系统
本专利技术实施例涉及蜜罐系统
,具体涉及一种基于DCS分布式控制的蜜罐系统。
技术介绍
工业控制系统是电力、交通、能源等国家重要基础设施的核心。随着工业化与信息化的不断融合,为了进一步实现业务协同和信息共享,工业控制系统逐渐地开始采用通用的硬件模块、软件系统,以及标准的通信协议,甚至在某些特殊情况下,还会连接至互联网等公共网络中。网络攻击技术快速发展,工业控制系统对安全威胁防护手段落后、防护能力不足,使得工业控制系统在面对越来越多的安全威胁的同时,不能够有效地应对黑客的攻击。传统的网络安全防御技术主要采用防火墙、防病毒、入侵检测等被动防御手段,防御效果有限,很难应对大规模、自动化的网络攻击行为。主动防御技术克服了传统被动防御的不足,能够预测攻击形式、动态加固防御系统、实时响应检测到的网络攻击,是目前重要的研究方向。DCS(分布式控制系统)是一种被广泛地应用在电力、冶金、石化等行业的工业控制系统。DCS系统可被视为一种计算机系统,该系统可分为过程级和过程监控级,以通信网络作为纽带,能够实现分散控制、集中操作、分级管理、配置灵活等,具有连续控制、批量控制、逻辑顺序控制和数据采集等功能。但DCS系统的安全配置薄弱,权限门槛低,且普遍存在系统漏洞,导致其面临着较为严峻的安全性问题,例如易被黑客突破、易被未授权用户非法接入、监听、窃取信息或篡改信息等。但目前针对DCS系统安全问题的研究并不多,无法明确针对DCS系统的黑客攻击行为。为了能够观察和记录针对DCS系统的攻击,揭示未知的攻击方式,现有技术中采用了蜜罐技术。在安全领域的研究中,蜜罐作为一种入侵诱捕的方式,主要作用是引诱攻击者对其进行攻击,并在攻击的过程中对攻击行为进行详细的记录。蜜罐被定义为一种安全资源,只有在被探测、攻击或者摧毁的时候才能够体现蜜罐的价值。也就是说,蜜罐的功能就是伪装成目标系统,以吸引攻击者对其进行探测或攻击,并对其中所有的操作进行监视和记录。蜜罐能够提供较传统入侵检测系统更为详细的攻击信息,且提升了剔除噪声数据的能力,虽然不能直接提升真实系统的安全性能,但却能够提供可用于分析的有价值的数据。目前,通用的蜜罐分类方式有三种:按照使用目的分类、按照实现方式分类及按照交互方式分类。按照使用目的,能够将蜜罐分为研究型蜜罐和商业性蜜罐:研究型蜜罐主要用于研究,帮助研究者吸引攻击且收集攻击数据,以分析攻击目的及攻击手段,对发现新型攻击、研究攻击行为方式、丰富攻击行为特征库等都有较为重要的作用;商业型蜜罐主要由开发商开发,通过伪装目标系统,尽量长时间地吸引攻击者的注意力,为真实系统的防御争取尽可能多的时间。按照实现方式,蜜罐可分为单机和分布式两种:单机蜜罐的目的性较强,仅使用一台主机(一种操作系统)进行服务或漏洞的仿真;分布式蜜罐可以由多个主机采用多种操作系统构成一个真实的网络系统,相较于单机蜜罐,能够收集更加全面的数据,应用范围也相对广泛。但目前还没有针对工业控制蜜罐的权威性分类标准。现有技术中提出了一种基于工控PLC(可编程逻辑控制器)蜜罐的分类方式,将工控PLC设备抽象为一个主机和由该主机运行的一个程序,然后根据攻击者与主机、该主机所运行的程序的交互程度将工控蜜罐分为3类:低交互:攻击者能够与主机进行交互,但不能够与主机中运行的程序进行交互;中交互:攻击者能够与主机和主机中运行的程序进行交互;高交互:攻击者不仅能够与主机和主机中运行的程序进行交互,还能够对主机中运行的程序进行读写操作。但是,目前工控领域的蜜罐研究普遍针对PLC设备,而没有将DCS系统作为研究目标。鉴于此,如何提供一种基于DCS分布式控制的蜜罐系统成为目前需要解决的技术问题。
技术实现思路
由于现有方法存在上述问题,本专利技术实施例提出一种基于DCS分布式控制的蜜罐系统。第一方面,本专利技术实施例提出一种基于DCS分布式控制的蜜罐系统,包括:分布式仿真控制器和仿真I/O设备;所述仿真I/O设备为现场级I/O设备;所述分布式仿真控制器,用于实现对Modbus协议、S7协议和Profibus-DP协议的仿真,并基于所仿真的工业通信协议,在所述蜜罐系统接收到固件信息读取请求时,通过文本解析脚本从本地信息文本中读取所仿真的控制器的固件信息,并将所述固件信息通过协议解析脚本组成响应报文反馈给发送所述固件信息读取请求的终端,以及基于所仿真的工业通信协议,支持对现场级I/O设备的状态查询和参数修改;所述仿真I/O设备,用于作为参与通信的从站,通过一个状态文本记录从站的属性信息及I/O设备状态,以及通过调用Profibus-DP仿真脚本解析报文,并根据所获得的功能码及数据信息对状态文本读写。可选地,所述分布式仿真控制器包括:控制器、第一PLC设备和第二PLC设备;所述控制器连接以太网,所述以太网通过Modbus协议连接所述第一PLC设备,所述以太网通过S7协议连接所述第二PLC设备;所述控制器还连接现场总线,并通过Profibus-DP协议连接所述仿真I/O设备;其中,所述第一PLC设备,用于实现基于以太网的Modbus协议的仿真;所述第二PLC设备,用于实现基于以太网的S7协议的仿真;所述控制器,用于实现基于串口的Profibus-DP协议的仿真。可选地,所述第一PLC设备,包括:Modicon设备。可选地,所述第二PLC设备,包括:S7-300设备。可选地,所述控制器,具体用于Profibus-DP协议解析和Profibus-DP协议仿真实现;其中,所述Profibus-DP协议解析承担所述控制器与所述现场级I/O设备之间的实时数据交换任务;所述Profibus-DP协议仿真实现中Profibus-DP协议的仿真保留了物理层部分,使用软件脚本实现了基于串口的物理层数据的收发;接收相应报文时,首先由物理层脚本从串口读取数据,链路层脚本接收物理层脚本传送的数据并按照规定的报文格式打包成数据帧,继而提交给应用层脚本,最后由调用应用层脚本的仿真设备对不同报文做出响应。可选地,所述分布式仿真控制器基于所仿真的工业通信协议,支持对现场级I/O设备的状态查询和参数修改,包括:所述控制器针对接收到的状态查询/参数修改的命令,通过协议解析脚本生成对应的通信报文,并通过总线或以太网将所述通信报文发送至对应的现场级I/O设备;或者从以太网、总线接收报文,通过协议解析脚本对接收的报文进行解析,并将解析结果显示出来。可选地,所述仿真I/O设备,包括:树莓派。由上述技术方案可知,本专利技术实施例提供的一种基于DCS分布式控制的蜜罐系统,使用Virtual(虚拟)DCS仿真技术设计并实现了一种基于工业DCS控制系统核心控制模块仿真的研究型单机蜜罐,以DCS系统核心控制功能为基础,通过仿真了控制器、现场级I/O(输入/输出)设备和工业通信协议,实现了分布式仿真控制器与仿真的现场级I/O设备的交互功能,能够抓取并记录全部交互数据,以供后续能够基于这些交互数据对DCS系统的安全现状进行分析,揭示针对DCS系统的未知攻击行为,提升DCS系统防御黑客攻击的能力。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下本文档来自技高网
...

【技术保护点】
1.一种基于DCS分布式控制的蜜罐系统,其特征在于,包括:分布式仿真控制器和仿真I/O设备;所述仿真I/O设备为现场级I/O设备;所述分布式仿真控制器,用于实现对Modbus协议、S7协议和Profibus‑DP协议的仿真,并基于所仿真的工业通信协议,在所述蜜罐系统接收到固件信息读取请求时,通过文本解析脚本从本地信息文本中读取所仿真的控制器的固件信息,并将所述固件信息通过协议解析脚本组成响应报文反馈给发送所述固件信息读取请求的终端,以及基于所仿真的工业通信协议,支持对现场级I/O设备的状态查询和参数修改;所述仿真I/O设备,用于作为参与通信的从站,通过一个状态文本记录从站的属性信息及I/O设备状态,以及通过调用Profibus‑DP仿真脚本解析报文,并根据所获得的功能码及数据信息对状态文本读写。

【技术特征摘要】
1.一种基于DCS分布式控制的蜜罐系统,其特征在于,包括:分布式仿真控制器和仿真I/O设备;所述仿真I/O设备为现场级I/O设备;所述分布式仿真控制器,用于实现对Modbus协议、S7协议和Profibus-DP协议的仿真,并基于所仿真的工业通信协议,在所述蜜罐系统接收到固件信息读取请求时,通过文本解析脚本从本地信息文本中读取所仿真的控制器的固件信息,并将所述固件信息通过协议解析脚本组成响应报文反馈给发送所述固件信息读取请求的终端,以及基于所仿真的工业通信协议,支持对现场级I/O设备的状态查询和参数修改;所述仿真I/O设备,用于作为参与通信的从站,通过一个状态文本记录从站的属性信息及I/O设备状态,以及通过调用Profibus-DP仿真脚本解析报文,并根据所获得的功能码及数据信息对状态文本读写。2.根据权利要求1所述的系统,其特征在于,所述分布式仿真控制器包括:控制器、第一PLC设备和第二PLC设备;所述控制器连接以太网,所述以太网通过Modbus协议连接所述第一PLC设备,所述以太网通过S7协议连接所述第二PLC设备;所述控制器还连接现场总线,并通过Profibus-DP协议连接所述仿真I/O设备;其中,所述第一PLC设备,用于实现基于以太网的Modbus协议的仿真;所述第二PLC设备,用于实现基于以太网的S7协议的仿真;所述控制器,用于实现基于串口的Profibus-DP协...

【专利技术属性】
技术研发人员:孙利民陈子琦游建舟
申请(专利权)人:中国科学院信息工程研究所
类型:发明
国别省市:北京,11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1