本文是一篇计算机论文,本此研究虽然从工控蜜罐识别需要综合考虑多种数据源方向考虑,将收集到的共性特征与个性特征进行结合,包括网络流量、系统日志、软件行为等。
第一章绪论
1.1研究背景及意义
随着工业控制系统的标准化、开放化以及信息化程序的不断提高,在当前“互联网+”的大背景下,工控系统安全面临着前所未有的挑战,工控系统安全研究已成为一个重要的安全研究方向。传统信息安全攻防的战场是在计算机和网络构成的信息空间,研究对象和研究工具手段都是针对于计算机和网络设施;而与传统信息系统相比,工控系统的主体不仅包含计算机、网络等信息设施,更重要的主体是工业现场控制装置、数据采集与专用通信线路以及电气、物理、化学相关生产执行设备等专用设施,这就使得其安全问题的广度和复杂度要高于传统信息系统[1]。
自2010年以来,就不断出现了很多关于工业互联网络的安全事故,包括有2010年出现的第一款针对工业设施的病毒“震网”病毒;2011年“Duqu”工业病毒[2];2013年出现的蜻蜓工业病毒纽约大坝事件;2014年“Havex”工业病毒;2015年出现的第一次对主权国家工业网络进行的攻击乌克兰机场和电网遭受到的“Black Energy”攻击[3];2016年美军对ISIS发动的网络战导致的美国网络基础设施瘫痪;2017年勒索攻击“WannaCrypt”蠕虫爆发;2018年“TRITON”蠕虫攻击;2019年印度核电厂遭到攻击;2020年委内瑞拉电厂遭受攻击以及2021年美国和欧洲出现的能源行业勒索。所以工控系统安全研究不仅要研究计算机,还必须考虑其生产环境的控制和电气设备的安全问题。例如,“震网”蠕虫的入侵和破坏过程不仅涉及X86计算机和Windows系统上的漏洞,其核心攻击环节则是完全针对西门子PLC S7-300这一工业控制专用设备。要有效的完成对工业控制系统的威胁感知,可以通过网络流量侧的监控设备进行被动流量监测,也可以用使用工业控制专属的蜜罐进行主动威胁感知。
1.2国内外研究现状
目前,工控蜜罐识别的方法可以大致分为两个方向。一个方式是比较传统的方法,可以通过在部署蜜罐的本身可能存在的一些通用特征来进行识别,或者通过人工经验方式的方法去对可疑设备蜜罐进行数据收集,通过数据上面可能存在的漏洞处对蜜罐进行识别;另一个方式则是通过对于不同类型不同设备的蜜罐进行针对性的漏洞方式进行识别,通过不同类型的蜜罐存在的不同漏洞方式进行数据收集或是通过不同类型蜜罐与真实设备之间的差别来进行识别。
1.2.1工控蜜罐识别
工控蜜罐识别的过程通常由三个部分组成:数据收集及预处理、工控蜜罐识别和系统评估[10]。
(1)数据收集及预处理
由于研究对于工控蜜罐识别通过的就是对于收集到的数据来进行分析处理从而得到对于识别目标是否为工控蜜罐的判定,因此在识别过程中,研究获取的数据特征就变得十分关键。早期的识别研究中都是通过单一的工控蜜罐指纹来进行工控蜜罐识别,但是由于工控蜜罐的不断发展,对于指纹特征的伪造很容易实现,所以单一的使用指纹进行识别很容易被欺骗。
蜜罐的共性特征[11]主要包括两大类:TCP/IP协议栈和网络特征。不同的操作系统和网络协议栈会表现出不同的网络行为,攻击者通常会使用指纹识别工具来引入操作系统和网络协议栈的特定指纹,例如使用Nmap指纹库作为TCP/UDP连接的参考,或者使用Xprobe指纹库作为ICMP包的参考。
蜜罐的个性特征没有主要的类别,但都主要是通过对于蜜罐在模拟真实设备的仿真度上进行的特征化个性识别。
第二章相关技术和理论基础
2.1引言
在工控网络空间中存在着很多的不同类别的蜜罐,根据部署蜜罐的方式方法不同,会将蜜罐划分为不同类别的蜜罐。本章节包含有本文研究的工业控制网络中工控蜜罐设备的定义、分类还有其常见的通信协议。以及研究中使用到的工具(包括Nmap和Masscan等这些工具)来帮助获取研究所需的识别特征的流程和要注意可能存在的问题。在机器学习研究中,当前有着多种分类算法可以用于解决识别二分类问题。本次研究中所使用的分类算法包括有决策树、朴素贝叶斯、支持向量机。同时本研究在对于机器学习模型的训练算法中选择了在过去一些分类算法研究中得到了训练效果较好的半监督学习算法,同时讲述了研究中基分类器所使用的算法以及将多个基分类器进行融合的集成学习算法。
2.2网络空间蜜罐设备
2.2.1蜜罐分类
蜜罐设备是一种用于模拟网络攻击目标的设备,它被设计成看起来像一个真实的系统或应用程序,但实际上是为了吸引攻击者而设置的。它通常包括虚假的操作系统、软件和数据,以及特定的漏洞和安全弱点,可以被攻击者利用。通过监视和记录攻击者的行为,蜜罐设备可以帮助安全团队更好地了解攻击手法并提高整个系统的安全性[29]。
2.2.2根据模拟的对象蜜罐分类
蜜罐设备根据模拟的对象以及特征可以分为不同的种类:
(1)数据库蜜罐
数据库蜜罐是一种专门用于模拟数据库系统的蜜罐设备。它被设置为看起来像一个真实的数据库服务器,但实际上是虚假的,并且没有任何真实数据[30]。攻击者可以尝试使用各种方法来获取蜜罐内部的信息和访问权限,如SQL注入、暴力破解等。通过分析攻击者的行为,安全团队可以更好地识别攻击模式和漏洞,并制定相应的安全策略和措施,以提高整个系统的安全性。
(2)web蜜罐
Web蜜罐是一种虚拟或模拟的Web应用程序,旨在模拟真实的Web应用程序,但实际上没有真实数据。它通常被设置为易受攻击和容易受到注入等攻击的漏洞。通过监视和记录攻击者的行为,Web蜜罐可以帮助安全团队更好地了解攻击手法并提高整个系统的安全性[31]。同时,Web蜜罐还可以用于收集黑客工具、恶意代码以及攻击者的IP地址等信息,并协助安全团队分析这些数据,以便采取相应的措施来阻止未来的攻击。
第三章 工控蜜罐特征加权识别方法 .................................. 27
3.1 工控蜜罐特征收集框架....................................... 27
3.2 数据收集 ................................................... 28
3.3 数据分类与处理 .................................. 38
第四章 基于集成学习的工控蜜罐识别方法 .......................... 51
4.1 工控蜜罐机器学习识别框架方案 .......................... 51
4.2 数据预处理 ................................ 52
4.3 基分类器构建 ................................... 56
第五章 工控蜜罐识别系统设计与实现 .............................. 71
5.1 工控蜜罐识别系统设计................................. 71
5.2 本章小结 ......................................... 74
第五章工控蜜罐识别系统设计与实现
5.1工控蜜罐识别系统设计
5.1.1工控蜜罐识别系统架构
研究将结合共性与个性特征识别方法、机器学习识别方法两者进行结合构成在线工控蜜罐识别系统,具体的系统结构图如图5-1所示,利用特征值对机器学习模型进行训练,通过用户输入的识别目标特征值对目标进行工控蜜罐识别,也可以直接输入识别目标的特征值进行类型判定。
该系统框架主要由三部分组成,工控蜜罐特征提取收集模块、结合共性与个性特征识别模块、机器学习模型识别模块。
(1)工控蜜罐特征提取收集模块
该模块主要是由本研究在第三章中提出的数据收集模块组成,使用Nmap或系统构造好的数据包对识别目标的特征信息进行收集。将收集到的信息分为可识别的特征信息与不可识别的特征信息。
(2)结合共性与个性特征识别模块
将收集到的可识别的特征信息数据进行共性与个性特征识别规则进行匹配后分类处理,得到有关共性特征与个性特征的多维度特征,不可识别的特征信息则进行数据清洗,进行单一缺失值删除或补充、同时将复杂ISP响应包简单化处理。利用特征加权的方式对可识别的数据进行识别处理,将打分值高的识别对象打上对应标签作为机器学习的带标签数据集。
第六章总结与展望
6.1论文总结
随着工业互联网、物联网等技术的不断发展和应用,工控设备已经成为国民经济中重要的组成部分,并在社会生产、生活中扮演着越来越重要的角色。然而,由于缺乏有效的安全措施和监管机制,工控设备面临着越来越多的威胁和攻击。工控蜜罐是一种用于模拟工控设备及网络环境的安全测试系统,可以有效地检测和分析工控设备中存在的漏洞和攻击行为。在当前工控设备面临越来越多的安全威胁的情况下,工控蜜罐通过模拟真实的工控设备和网络环境,工控蜜罐可以有效地检测和分析工控设备中存在的安全漏洞和攻击行为,从而提高安全风险识别和预防的能力。
工控蜜罐识别是指攻击者能否识别出被攻击的目标是一个工控蜜罐,从而采取有针对性的攻击手段。站在防御者的角度,工控蜜罐识别通过不断提高工控蜜罐的隐蔽性和欺骗性,可以促进工控设备安全防护技术的发展和创新,提高工控设备的整体安全性。同时通过识别工控蜜罐,可以发现和修复工控设备中存在的安全漏洞,从而提高整个工业安全生态系统的建设水平,保障国家和社会的利益。
本次研究通过借鉴前人提出的工控蜜罐识别方法,进行共性特征结合个性特征识别方法以及集成学习识别方法的研究。针对了目前工控蜜罐的不断发展,涌现出新的混合蜜罐、高仿真度蜜罐,这些仿真度高的工控蜜罐无法通过某一单一识别方法进行识别,将共性特征与个性特征相结合,引入更多的特征维度,使用特征加权的方式,将共性与个性特征描述相结合,增强对识别对象的识别准确度。其次将匹配识别成功的数据集打上工控蜜罐标签,以此来作为研究中训练、测试用数据集,对机器学习模型进行训练,以此得到一个识别准确度高的工控蜜罐识别模型。最后将共性与个性特征结合方法和集成学习识别方法相融合,设计实现得到工控蜜罐识别系统,利用识别对象的共性特征与个性特征来对识别目标进行是否为蜜罐的判定。
参考文献(略)