本發(fā)明實施例公開一種基于DCS分布式控制的蜜罐系統(tǒng)，包括：分布式仿真控制器，用于仿真Modbus協(xié)議、S7協(xié)議和Profibus?DP協(xié)議，基于所仿真的工業(yè)通信協(xié)議在蜜罐系統(tǒng)接收到固件信息讀取請求時，通過文本解析腳本從本地信息文本中讀取所仿真的控制器的固件信息并通過協(xié)議解析腳本組成響應(yīng)報文進(jìn)行反饋，以及基于所仿真的工業(yè)通信協(xié)議支持對現(xiàn)場級I/O設(shè)備的狀態(tài)查詢和參數(shù)修改；仿真I/O設(shè)備，為現(xiàn)場級I/O設(shè)備，用于作為參與通信的從站，通過狀態(tài)文本記錄從站屬性信息及I/O設(shè)備狀態(tài)，以及通過調(diào)用Profibus?DP仿真腳本解析報文并根據(jù)所獲得的功能碼及數(shù)據(jù)信息對狀態(tài)文本讀寫。本發(fā)明實施例能實現(xiàn)分布式仿真控制器與現(xiàn)場級I/O設(shè)備的交互功能并記錄全部交互數(shù)據(jù)。

技術(shù)領(lǐng)域

本發(fā)明實施例涉及蜜罐系統(tǒng)技術(shù)領(lǐng)域，具體涉及一種基于DCS分布式控制的蜜罐系統(tǒng)。

背景技術(shù)

工業(yè)控制系統(tǒng)是電力、交通、能源等國家重要基礎(chǔ)設(shè)施的核心。隨著工業(yè)化與信息化的不斷融合，為了進(jìn)一步實現(xiàn)業(yè)務(wù)協(xié)同和信息共享，工業(yè)控制系統(tǒng)逐漸地開始采用通用的硬件模塊、軟件系統(tǒng)，以及標(biāo)準(zhǔn)的通信協(xié)議，甚至在某些特殊情況下，還會連接至互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)中。網(wǎng)絡(luò)攻擊技術(shù)快速發(fā)展，工業(yè)控制系統(tǒng)對安全威脅防護(hù)手段落后、防護(hù)能力不足，使得工業(yè)控制系統(tǒng)在面對越來越多的安全威脅的同時，不能夠有效地應(yīng)對黑客的攻擊。傳統(tǒng)的網(wǎng)絡(luò)安全防御技術(shù)主要采用防火墻、防病毒、入侵檢測等被動防御手段，防御效果有限，很難應(yīng)對大規(guī)模、自動化的網(wǎng)絡(luò)攻擊行為。主動防御技術(shù)克服了傳統(tǒng)被動防御的不足，能夠預(yù)測攻擊形式、動態(tài)加固防御系統(tǒng)、實時響應(yīng)檢測到的網(wǎng)絡(luò)攻擊，是目前重要的研究方向。

DCS(分布式控制系統(tǒng))是一種被廣泛地應(yīng)用在電力、冶金、石化等行業(yè)的工業(yè)控制系統(tǒng)。DCS系統(tǒng)可被視為一種計算機(jī)系統(tǒng)，該系統(tǒng)可分為過程級和過程監(jiān)控級，以通信網(wǎng)絡(luò)作為紐帶，能夠?qū)崿F(xiàn)分散控制、集中操作、分級管理、配置靈活等，具有連續(xù)控制、批量控制、邏輯順序控制和數(shù)據(jù)采集等功能。但DCS系統(tǒng)的安全配置薄弱，權(quán)限門檻低，且普遍存在系統(tǒng)漏洞，導(dǎo)致其面臨著較為嚴(yán)峻的安全性問題，例如易被黑客突破、易被未授權(quán)用戶非法接入、監(jiān)聽、竊取信息或篡改信息等。但目前針對DCS系統(tǒng)安全問題的研究并不多，無法明確針對DCS系統(tǒng)的黑客攻擊行為。為了能夠觀察和記錄針對DCS系統(tǒng)的攻擊，揭示未知的攻擊方式，現(xiàn)有技術(shù)中采用了蜜罐技術(shù)。在安全領(lǐng)域的研究中，蜜罐作為一種入侵誘捕的方式，主要作用是引誘攻擊者對其進(jìn)行攻擊，并在攻擊的過程中對攻擊行為進(jìn)行詳細(xì)的記錄。蜜罐被定義為一種安全資源，只有在被探測、攻擊或者摧毀的時候才能夠體現(xiàn)蜜罐的價值。也就是說，蜜罐的功能就是偽裝成目標(biāo)系統(tǒng)，以吸引攻擊者對其進(jìn)行探測或攻擊，并對其中所有的操作進(jìn)行監(jiān)視和記錄。蜜罐能夠提供較傳統(tǒng)入侵檢測系統(tǒng)更為詳細(xì)的攻擊信息，且提升了剔除噪聲數(shù)據(jù)的能力，雖然不能直接提升真實系統(tǒng)的安全性能，但卻能夠提供可用于分析的有價值的數(shù)據(jù)。

目前，通用的蜜罐分類方式有三種：按照使用目的分類、按照實現(xiàn)方式分類及按照交互方式分類。按照使用目的，能夠?qū)⒚酃薹譃檠芯啃兔酃藓蜕虡I(yè)性蜜罐：研究型蜜罐主要用于研究，幫助研究者吸引攻擊且收集攻擊數(shù)據(jù)，以分析攻擊目的及攻擊手段，對發(fā)現(xiàn)新型攻擊、研究攻擊行為方式、豐富攻擊行為特征庫等都有較為重要的作用；商業(yè)型蜜罐主要由開發(fā)商開發(fā)，通過偽裝目標(biāo)系統(tǒng)，盡量長時間地吸引攻擊者的注意力，為真實系統(tǒng)的防御爭取盡可能多的時間。按照實現(xiàn)方式，蜜罐可分為單機(jī)和分布式兩種：單機(jī)蜜罐的目的性較強(qiáng)，僅使用一臺主機(jī)(一種操作系統(tǒng))進(jìn)行服務(wù)或漏洞的仿真；分布式蜜罐可以由多個主機(jī)采用多種操作系統(tǒng)構(gòu)成一個真實的網(wǎng)絡(luò)系統(tǒng)，相較于單機(jī)蜜罐，能夠收集更加全面的數(shù)據(jù)，應(yīng)用范圍也相對廣泛。但目前還沒有針對工業(yè)控制蜜罐的權(quán)威性分類標(biāo)準(zhǔn)。現(xiàn)有技術(shù)中提出了一種基于工控PLC(可編程邏輯控制器)蜜罐的分類方式，將工控PLC設(shè)備抽象為一個主機(jī)和由該主機(jī)運(yùn)行的一個程序，然后根據(jù)攻擊者與主機(jī)、該主機(jī)所運(yùn)行的程序的交互程度將工控蜜罐分為3類：低交互：攻擊者能夠與主機(jī)進(jìn)行交互，但不能夠與主機(jī)中運(yùn)行的程序進(jìn)行交互；中交互：攻擊者能夠與主機(jī)和主機(jī)中運(yùn)行的程序進(jìn)行交互；高交互：攻擊者不僅能夠與主機(jī)和主機(jī)中運(yùn)行的程序進(jìn)行交互，還能夠?qū)χ鳈C(jī)中運(yùn)行的程序進(jìn)行讀寫操作。但是，目前工控領(lǐng)域的蜜罐研究普遍針對PLC設(shè)備，而沒有將DCS系統(tǒng)作為研究目標(biāo)。