【技术实现步骤摘要】
本专利技术涉及工业控制系统安全领域和蜜罐领域,具体而言,涉及一种基于在线学习的蜜罐动态配置和蜜网的设计实现方案。
技术介绍
1、近年来,工控系统成为重点攻击目标之一。在保护工控系统的过程中,蜜网作为一种主动防御技术和补充性手段,受到了更多的关注。蜜网通过在工控网络中布置若干个蜜罐来诱骗攻击者,进而保护真实系统免受攻击。
2、保障工控蜜网有效性的前提是设计和实现高质量的蜜网。研究者致力于设计和实现更加复杂、逼真的工控蜜网,以吸引攻击者对蜜网进行攻击。然而,现有的蜜网还存在不足之处。首先,蜜网中的虚拟蜜罐的交互能力不足,缺乏与攻击者的互动。
3、其次,现有蜜网中的蜜罐对真实物理过程的模拟不足,攻击者进入蜜罐后,无法感知到与真实系统相同的物理过程和控制过程。与传统蜜罐相比,工控蜜罐肩负了更多的使命。传统蜜罐只对某一个软件或者系统提供的服务进行模拟。但工控蜜罐除了模拟相关的工控协议和服务,还应该对特有的工控过程进行模拟。对物理过程的模拟越逼真,吸引的攻击者越多,攻击者的水平越高,与蜜罐的交互越深入。因为工控系统过程控制的特殊性,使得现有的对物理过程模拟的蜜罐迁移应用到其他工控场景效果不佳。因此,对于一个工控领域要引入蜜罐对攻击者进行欺骗,亟需蜜罐对工控物理过程模拟的开发。
4、最后,现有蜜网的动态表现力不足,大部分蜜网中的蜜罐是静态的,即安全人员会事先确定蜜罐的配置,然后进行部署。蜜网的配置和部署是固定的,攻击者可以在扫描攻击目标时检测到这些固定特征,从而识别出蜜网。并且静态的蜜网在对网络事件实时响应
技术实现思路
1、有鉴于此,本专利技术实施例的目的在于提供一种面向机场行李处理系统的高交互混合蜜网设计和实现方案以及基于在线学习的蜜罐动态配置方案。
2、本专利技术实施例提供的一种面向机场行李处理系统的高交互混合蜜网设计和实现方案以及基于在线学习的蜜罐动态配置方案,所述高交互混合蜜网架构设计和实现方案包括:
3、虚拟蜜罐模块主要对除行李分拣系统外的其他子系统进行模拟。虚拟蜜罐以honeyplc为基础实现,负责与网络攻击者的侦察探测活动进行初步交互,为攻击者提供基础的协议和服务响应。进一步地,为了提高虚拟蜜罐的交互性和伪装度,本节对虚拟蜜罐的hmi页面进行了扩展开发。提供了动态的hmi显示、丰富的交互行为和真实的siemens s7-1500 plc设备数据模拟。动态的hmi界面可以对攻击者进行干扰并主动诱捕攻击者的数据包、按键行为等信息,以帮助蜜网了解攻击者的行为模式。
4、本节提供的hmi面板支持cpu的状态操作、plc设备参数和运行数据的展示、日志和文件的读取上传等功能。面板主要由以下部分组成:
5、(1)web服务标题:品牌名称,名字,plc本地时间和语言选择;
6、(2)登陆或注销:登陆和权限验证模板;
7、(3)标识页面:它包含正在查看的标准网页标题,模块信息部分在此处显示导航路径;
8、(4)导航栏:切换当前页面到下一个页面;
9、(5)内容:所要查看的特定web页面的内容展示。
10、目前,大部分工控系统的蜜罐缺乏真实物理过程的仿真模拟。本专利技术的物理蜜罐模块主要是为行李分拣系统提供物理过程仿真,负责与攻击者开展深度交互,并获取攻击者的基础信息、渗透技巧和攻击手法等。物理蜜罐以真实的plc设备为基础,同时写入整个分拣过程的控制程序,模拟真实环境中plc设备对流程的控制和数据的处理。
11、本专利技术采用西门子tia protal软件,用于编程、配置和监控plc设备。同时对整个模拟的行李分拣系统进行集成测试和调试,监控系统运行状态,收集和分析系统运行数据。
12、本专利技术对行李分拣控制过程进行了分段模拟,并提供了每个分段程序的模拟输入、处理逻辑和输出。程序段是plc中一段处理逻辑程序的代码块,负责处理输入信号,得出特定输出,相当于计算机程序中的函数块。程序段间通过tia protal软件中的模块化设计进行组合和调用,完成更加完整的控制逻辑。
13、本专利技术证明了蜜网引入对工控网络抑制恶意软件传播的效力,对恶意软件在工控网络和蜜网中的传播进行了建模和讨论。同时得出如何有效地设计和部署立体的蜜网架构。具体地,在设计蜜网时,蜜罐间的连接尽可能的少可以提高蜜罐对攻击者的吸引力。蜜网中的蜜罐暴露尽可能多的漏洞,并对蜜网进行实时监控,但是延迟处理已感染的蜜罐结点,可以使安全人员掌握更多的攻击者信息,提高安全意识,进而降低恶意软件在plc设备间的传播速率。
14、本专利技术的数据收集模块主要对进入蜜网的流量以及与攻击者交互时产生的日志数据进行实时收集,并对数据进行整理和组织,导入mysql。后续将利用mysql中的数据为用户打造可视化界面,以实时监控蜜网中的所有蜜罐活动。对于物理蜜罐,tia portal软件提供了丰富的监控和调试工具,用户可实时对物理蜜罐的状态进行监控。同时,siemens s7-1500 plc支持专门的表格数据流协议(tds),与mysql数据库建立连接并进行通信,获取plc的相关运行日志和设备数据。对于虚拟蜜罐的日志收集,由于honeyplc是基于honeyd实现的,可以使用工具honeyd2mysql对honeyplc中的日志进行提取,并导入mysql。
15、本专利技术为了实现蜜网的动态配置,提高蜜网的真实性、安全性和适应性,本专利技术使用ftrl(follow-the-regularized-leader)在线学习优化算法来动态更新fm模型的参数。在攻击者扫描蜜罐阶段,实现对捕获的攻击特征和蜜罐环境特征的学习,进而预测攻击者的攻击协议,根据预测结果实现蜜罐的动态配置。由于现有机场行李处理系统场景下能够一次性收集的蜜网工控攻击数据较少,而预测领域常使用的深度学习算法为了能够拟合模型需要大量数据。所以,这些算法不适用于本专利技术提出的场景。同时,在线学习优化算法ftrl相较于这些深度学习算法具有更简单、更高效、实时性高、适应性强以及计算复杂度低和解释性良好的特点,适用于蜜网所处的变化的攻击环境。
本文档来自技高网...【技术保护点】
1.本专利对高交互混合蜜网架构中的虚拟蜜罐进行了详细设计,其特征在于,虚拟蜜罐在HoneyPLC的基础上提供了动态的HMI界面,增加了虚拟蜜罐的交互能力,实现了对攻击者的干扰和诱捕。
2.本专利对高交互混合蜜网架构中的物理拟蜜罐进行了详细设计,其特征在于,针对现有蜜罐对真实物理过程模拟不足的问题,为物理蜜罐提供机场行李分拣控制过程和数据处理过程的仿真,保证蜜网的高交互和高伪装能力。
3.本专利针对蜜罐的动态配置问题,创新性地提出基于在线学习模式,结合捕获的攻击特征和蜜罐环境特征预测攻击者的攻击协议,根据预测结果实现蜜罐协议和端口的动态配置,其特征在于:
【技术特征摘要】
1.本专利对高交互混合蜜网架构中的虚拟蜜罐进行了详细设计,其特征在于,虚拟蜜罐在honeyplc的基础上提供了动态的hmi界面,增加了虚拟蜜罐的交互能力,实现了对攻击者的干扰和诱捕。
2.本专利对高交互混合蜜网架构中的物理拟蜜罐进行了详细设计,其特征在于,针对现有蜜罐对真实物理过...
【专利技术属性】
技术研发人员:陈彦如,陶力,夏星毅,郭艳茹,岳凯峰,李卓原,张涵阳,陈良银,
申请(专利权)人:四川大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。