「蜜罐」技術在工控網絡安全檢測中的應用

摘要：隨著網絡技術的快速發展，工業網際網路的網絡安全也隨之受到嚴重威脅。然而傳統的防禦技術存在其固有的被動防禦缺陷。因此類似於「蜜罐」這種主動防禦技術受到越來越廣泛的關注。文章將闡述「蜜罐」技術的工作原理並結合當前工業網絡的架構特點，分析「蜜罐」技術在工業網絡檢測中應用的可行性。

前言

電力、石化、鋼鐵、軌道交通等行業的工業控制系統是國家關鍵信息基礎設施的重要組成部分，其運行狀況可直接影響物理世界，比如在2015年12月烏克蘭停電事件中，黑客攻擊了該國電力公司的主控系統，導致7個110kV的變電站和23個35kV的變電站出現故障，使22.5萬用戶斷電數小時。這是有史以來首次因網絡攻擊而造成的大規模停電事故。黑客能夠通過重重防護措施直接影響國家重要基礎設施，造成不可挽回的損失不得不引起我們的警覺。

隨著兩化融合和「網際網路+」的推進，工業企業在注重控制系統功能安全、環境安全的同時，工控網絡安全也已成為工業領域無法迴避的問題。但由於工控行業網絡安全意識較弱以及工控業務對實時性、可靠性、連續性的極高要求，導致工控安全產品（尤其工業防火牆等串聯設備）在現階段無法大規模部署和使用。如何在不影響當前業務可靠性及網絡結構的前提下，對工業網絡進行工控安全檢測與響應是當前工控安全廠商的研究熱點。

蜜罐技術

蜜罐技術本質上是一種對攻擊方進行欺騙的技術，通過布置一些作為誘餌的主機、網絡服務或者信息，誘使攻擊方對它們實施攻擊，從而可以對攻擊行為進行捕獲和分析，了解攻擊方所使用的工具與方法，推測攻擊意圖和動機，能夠讓防禦方清晰地了解他們所面對的安全威脅，並通過技術和管理手段來增強實際系統的安全防護能力。

雖然蜜罐技術誕生時間不長，但發展非常快，已經由蜜罐發展到蜜網，蜜網是蜜罐技術的延伸和發展，也可以認為是蜜罐的一種形式。蜜網是指採用了另外的技術的蜜罐，能以合理方式記錄下黑客的行動，同時儘量減小或排除對網絡上其他系統造成的風險。蜜網的系統結構一般是在其前端放置一個防火牆，所有的信息包將通過防火牆進來，防火牆能夠對從蜜罐機器往外的每一個連接進行追蹤，當該蜜罐外發的數量達到我們預先設定的上限時，防火牆便會阻塞那些信息包。這樣可以最大程度保證我們的機器在不被濫用的前提下，允許入侵者做儘可能多的他們想做的事。從而避免了蜜罐成為入侵者掃描、探測及攻擊的系統。

蜜罐技術的優勢

蜜罐技術在提高工控網絡的安全防護能力和水平方面有著重要意義，主要有以下方面：

( 1 ) 實現多種黑客入侵方法的主動防禦和檢測。蜜罐技術能夠有效地解決入侵檢測系統在運行過程中存在的漏報和誤報風險。基於蜜罐技術特性，蜜罐上的所有活動都是可疑的，任何形式的蜜罐探測和攻擊活動都會被及時準確地發現，彌補了入侵檢測系統對黑客入侵和攻擊新方法反應不靈敏的缺陷。精準的檢測能力提升了工控系統遭遇黑客或病毒破壞的抵抗能力。

( 2 ) 提高對黑客攻擊的快速反應和保障能力。在複雜的工業網絡安全防護體系中，蜜罐技術的應用能夠通過佔用和耗散黑客網絡資源、計算資源延緩黑客攻破防護系統的節奏，為工控安全人員快速反應和應對提供寶貴時間，從而在一定程度上實現了對系統安全的保障。

( 3 ) 增強了系統反追溯能力。工控系統網絡安全區別於其他系統，獨特的網絡結構、差異化的軟體環境和多系統耦合的運行特點會形成大量的漏洞隱患，蜜罐技術的應用一定程度保障了工控安全技術人員對黑客活動的追溯能力，通過蜜罐對工控系統的異常活動與正常活動精準區分，完整有效地採集黑客活動信息，並為追蹤黑客提供了可能性。

蜜罐技術在工控安全檢測中的應用

目前工控安全審計檢測類產品大多基於旁路網絡流量和產品自身特徵庫等手段進行網絡審計和安全檢測，但由於旁路流量存在丟包以及流量類型不全面、監測位置過於趨向網絡核心層等問題，使旁路檢測類產品難以防範複雜攻擊，且具有較高的誤報率。同時由於工業環境網絡隔離的特性，使產品無法自動更新特徵庫，造成攻擊檢測的嚴重滯後。

蜜罐系統憑藉其獨立性以及對工控系統的無幹擾性，可有效減小現階段工控安全產品對工控網絡、流量以及實時性的影響，解決無法在工控設備、工控主機、工控伺服器內安裝安全代理或安全探針的問題，有效提高安全檢測的精度，降低誤報率。

工業企業網絡架構一般可分為管理信息層、生產管理層、過程監控層、現場控制層以及現場設備層。管理信息層為傳統信息網絡，生產管理層、過程監控層、現場控制層以及現場設備層為工業生產網絡。現階段工業企業在管理信息網與工業生產網之間一般採用物理隔離或邏輯隔離的方式進行網絡分層，針對每種隔離方式存在不同的攻擊類型。

雙網物理隔離環境

針對管理信息網與生產網物理隔離的環境，攻擊者一般採用惡意軟體攻擊與跳板攻擊相結合的方式。惡意軟體攻擊一般藉助社會工程學、水坑攻擊、釣魚郵件攻擊等方式將惡意軟體植入受害者辦公主機內。此類工業企業由於在管理信息網與工業生產網絡之間部署了物理隔離設備，導致惡意軟體不能直接進入生產控制網絡，此時惡意軟體會藉助移動終端、移動存儲介質、第三方終端等方式進入工業生產網主機，並以此主機為「據點」進行後續攻擊操作。此類惡意軟體一般具有較高的自動化特性，可根據目標環境進行設備的自動識別、自動傳播、自動攻擊。

雙網邏輯隔離環境

此環境下，工業企業一般在管理信息網與工業生產網之間部署了防火牆等邏輯隔離設備，或採用單主機雙方卡的形式實現邏輯隔離。由於邏輯隔離沒有阻斷網絡層的連接，極容易導致攻擊者繞過邏輯隔離設備進入生產網絡。在此環境下，攻擊者可以採用惡意軟體以及內網反彈的方式直接獲取內網主機的操控權限，此類攻擊具有較強的靈活性。

目前的網絡攻擊方式大多基於IT架構，因此工業生產網絡內的各工程師站、操作員站、監控站必然成為惡意軟體以及攻擊者進行「下一步」攻擊的「落腳點」。以蠕蟲病毒為例，其攻擊步驟可分為感染主機自動掃描發現漏洞自動傳播。由於蜜罐系統的開放性以及自身存在較多安全漏洞，再配合良好的部署位置，很容易成為攻擊者絕佳的「落腳點」，蜜罐系統通過精心構造的安全攻擊與行為跟蹤檢測功能，可以對攻擊行為進行精確記錄、告警，同時與其他安全平臺聯動，從而實現網絡攻擊的快速檢測、響應，為工業企業調查取證提供依據。

蜜罐部署舉例

安全緩衝區

在管理信息網與工業生產網絡之間設置安全緩衝區，在此區內設置蜜罐系統，對來自管理信息網的操作行為進行檢測分析。此處部署的蜜罐系統作用類似於入侵檢測系統。它可以更詳細地發現並記錄攻擊者的攻擊行為與日誌記錄。

網絡防火牆與入侵檢測系統（IDS）均部署在安全緩衝區處，即防火牆與入侵檢測系統所阻擋是外網用戶對系統的入侵，但是對於內網用戶來說，內部網絡是公開的，所有的安全依賴於作業系統本身的安全保障措施提供。對一般的用戶來講，內網通常是安全的，即這種設計對於內網的用戶應該是可信賴的。但是在工業網絡環境中，存在U盤繞過邊界防護而將病毒帶入內網的情況，使這道安全防護可靠性大大降低。

另一方面，網絡中設置防火牆與入侵檢測系統並不能從根本上解決網絡的安全問題，只能對網絡攻擊者形成一定的阻礙並延長其侵入時間。操作者只要有足夠的耐心並掌握一定的攻擊技術，這些安全設施終有倒塌的可能。

因此，可以在邊界緩衝區部署蜜罐系統來最大可能地延長入侵者攻擊網絡的時間，在入侵雖已發生但尚未造成損失時及時發現入侵並保留入侵者的證據，將其提交有關部門。

生產網絡

在生產網絡內部署蜜罐系統，由於工業生產業務相對固定，蜜罐系統在正常網絡流量下不會被訪問操作，但當出現病毒、木馬、黑客攻擊等操作時，蜜罐系統會表現出攻擊特徵，並發出告警。

( 1 ) 由於蜜罐並沒有向外界提供真正有價值的服務，正常情況下蜜罐系統不被訪問，因此所有對其連結的嘗試都將被視為可疑操作，這樣蜜罐對網絡常見掃描、入侵的反應靈敏度大大提高，有利於對入侵的檢測。

( 2 ) 蜜罐的另一個用途是拖延攻擊者對真正目標的攻擊，讓攻擊者在蜜罐上浪費時間。蜜罐會增加入侵者入侵的目標，當黑客或者病毒入侵生產系統，會降低攻擊真正生產系統的概率。同時，由於蜜罐的漏洞多於正常伺服器，必將更加容易吸引攻擊者注意，讓其首先將時間花在攻擊蜜罐伺服器上。蜜罐伺服器靈敏地檢測並及時報警，這樣可以使網絡管理員及時發現有攻擊者入侵並及時採取措施，從而使最初可能受攻擊的目標得到了保護，真正有價值的內容沒有受到侵犯。

( 3 ) 蜜罐伺服器上安裝了入侵檢測系統，因此它可以及時記錄攻擊者對伺服器的訪問，從而能準確地為追蹤攻擊者提供有用的線索，為起訴攻擊者搜集有效的證據。從這個意義上說，蜜罐就是「誘捕」攻擊者的一個陷阱。

工業防火牆之前

將蜜罐放置在防火牆之前，會消除由於向內部網加入不安全設備引起的安全隱患。由於蜜罐位於防火牆外部，可能吸引到大量的入侵者來對其進行掃描和入侵，而防火牆和內部網絡的入侵檢測系統卻不會對這些入侵事件進行記錄，也不會產生相應的報警信號。如果將蜜罐放置在外部網，那麼大量的入侵事件就會導致工業防火牆和入侵檢測系統產生大量的報警信號。此外，蜜罐部署在工業防火牆之外能減少配置工業防火牆和入侵檢測系統策略的次數與時間。因為這種網絡分布會將蜜罐系統看作局部區域網絡或者生產網之外的網絡設備，這樣就可以在網絡更簡單的前提下運行蜜罐系統。

工業防火牆之後

將蜜罐放置於工業防火牆之後可能會給內部引入新的安全問題以及網絡部署問題。尤其是當蜜罐系統沒有同生產網安全隔離開的時候，蜜罐系統的引入將有可能影響其他網絡設備的安全。但是將蜜罐系統部署在工業防火牆之後也能夠用來檢測源於網絡內部的攻擊，利於分析生產網絡安全態勢。在正確安裝部署蜜罐系統的前提下，同時也能夠用來檢測工業防火牆策略的配置安全性。

結束語

隨著網絡應用規模不斷地擴大，各種各樣的網絡威脅也與日俱增，攻擊方式日新月異。蜜罐技術作為目前網絡安全中一種重要的主動防禦技術，隨著不斷地發展完善，一定能夠在保障工業控制系統平穩可靠運行中發揮重要的作用。