本發明涉及工業安全技術領域，特別涉及一種工業控制蜜罐安全防護裝置及方法。其中影子系統包括一個IP仿真模塊、一個流量轉移重定向模塊、一個虛擬交換機軟件和若干個虛擬機系統；蜜網系統包括通用協議仿真模塊、工業協議仿真模塊和蜜罐管理配置模塊；工控設備接口提供包括PLC模塊、DSC模塊、RTU模塊、OPC服務、SCADA設備和HMI人機交互系統工控設備的接入；安全防護系統包括日志采集分析模塊、流量采集分析模塊、異常行為分析模塊、溯源取證分析模塊、系統管理模塊和系統數據庫模塊。本發明的有益效果為：無需串接網絡，無需旁路配置端口流量鏡像，不改變用戶物理網絡結構，不影響用戶網絡運行環境，靈活部署環境，即插即用。

技術領域

本發明涉及工業安全技術領域，特別涉及一種工業控制蜜罐安全防護裝置及方法。

背景技術

工業控制系統(Industrial?Control?Systems,ICS)，是由各種自動化控制組件和實時數據采集、監測的過程控制組件共同構成。其組件包括數據采集與監控系統(SCADA)、分布式控制系統(DCS)、可編程邏輯控制器(PLC)、遠程終端終端(RTU)、智能電子設備(IED)，以及確保各組件通信的接口技術。ICS系統廣泛運用于石油、石化、冶金、電力、燃氣、煤礦、煙草以及市政等領域，用于控制關鍵生產設備的運行。這些領域中的工業控制系統一旦遭到破壞，不僅會影響產業經濟的持續發展，更會對國家安全造成巨大的損害。

由于工業控制網絡的開放性，攻擊者可采取多種手段攻擊該網絡，比如利用工控設備漏洞、TCP/IP協議缺陷及工控專用通訊協議漏洞等。蜜網技術的部署和實施已經引起了廣泛的關注。雖然國內外學者都曾嘗試用不同的蜜網解決網絡安全問題，但是當前的蜜網主要用于網絡入侵與惡意代碼檢測、惡意代碼樣本捕獲和僵尸網絡追蹤等用途，而針對工業控制系統的攻擊比較復雜，專門用于工業控制網絡的蜜網則存在工作效率低、交互性差等缺點。隨著種類眾多的入侵手法與攻擊工具的快速更新，蜜網被識別的概率在不斷增大。考慮到工控作業環境十分關鍵，因此防止蜜網本身對工控的影響也至關重要。因而建立能快速有效具有高交互高仿真特性，并能及時更新發現工控網絡中威脅攻擊的蜜罐變得非常迫切。

申請號“202010109410.5”公開了一種智能學習式自應答工業互聯網蜜罐誘導方法及系統，包括樣本數據處理，定期獲取設定時間段內正常情況下工業環境的業務請求命令及響應所述請求命令的設備及響應內容，并處理生成請求響應序列，作為模型訓練樣本數據集；響應預測模型訓練；威脅誘捕，獲取當前攻擊者的請求數據，根據當前響應預測模型查找該請求子序列在概率后綴樹上所在的節點，給予該請求數據的反饋并記錄數據，直至攻擊結束，然后將獲取到的原始攻擊請求響應序列加入到樣本數據集中；重復上述過程。該方法通過對各類工控系統數據交互的深度學習，真實模擬出各類工控系統及業務，能夠欺騙攻擊者且不會暴露自身，從而保障工業互聯網安全。該方法使用深度學習的方式，通過概率樹的子序列，與攻擊目標進行模擬交互，該方式雖然可以提高誘導率以及隱藏蜜罐，但其效率不高，且不能完全誘導攻擊行為。

因此，本申請提出了一種工業控制蜜罐安全防護裝置及方法，可以解決如下幾點技術問題：

1.傳統邊界安全系統可用于阻止初始的外部攻擊，但持續的攻擊（APT）有可能最終通過社會工程、網絡釣魚或其他APT手段獲得成功，并在內網建立跳板。一旦外部威脅進入內網區域，就會通過提升特權、網絡偵察等手段，橫向移動到其他有價值的目標，通過多次攻擊建立多個立足點（傀儡機）。為了有效發現和減緩此類威脅產生的影響，需要了解具體攻擊的TTP(Tatics、Techiniques、?Procedures?)。本蜜罐解決方案會在三個層面上與攻擊進行相互作用，提供對威脅的檢測和對攻擊的緩解措施。

2.由于蜜罐上不存在真實的業務主機及服務，因此任何訪問蜜罐的行為都可以被認為是一個高可信度的威脅。雖然檢測入侵只需要使用低交互度蜜罐進行偽裝，但無法識別威脅使用的TTP。因此需要將全部的入侵行為誘導至蜜罐。