某工業(yè)控制蜜罐系統(tǒng)的設(shè)計(jì)案例目錄TOC\o"1-3"\h\u10509某工業(yè)控制蜜罐系統(tǒng)的設(shè)計(jì)案例 179971.1?系統(tǒng)的設(shè)計(jì)思想 1104841.2蜜罐系統(tǒng)的設(shè)計(jì) 156101.2.1?Conpot蜜罐介紹 29981.2.2?Conpot蜜罐的工作機(jī)制 2250321.2.2?Conpot蜜罐的缺點(diǎn) 5157031.3蜜罐管理系統(tǒng)設(shè)計(jì) 6176551.3.1?MHN的工作機(jī)制 6126361.3.2?MHN系統(tǒng)的缺點(diǎn) 7112171.4工業(yè)控制蜜罐的總體架構(gòu) 71.1?系統(tǒng)的設(shè)計(jì)思想本文所涉及系統(tǒng)的核心思想為：通過工控蜜罐系統(tǒng)，對(duì)所有行為數(shù)據(jù)進(jìn)行捕獲，在蜜罐管理系統(tǒng)中進(jìn)行數(shù)據(jù)分析與可視化處理，為之后探究工業(yè)控制網(wǎng)絡(luò)的對(duì)抗和入侵打好基礎(chǔ)。同時(shí)通過對(duì)蜜罐系統(tǒng)的控制，保障系統(tǒng)的自身安全。如今工業(yè)控制領(lǐng)域中主流的安全措施在網(wǎng)絡(luò)攻擊發(fā)生時(shí)，處于被動(dòng)的局面，只能對(duì)一些不信任的數(shù)據(jù)進(jìn)行隔離，不能做出有效的研究與分析。而利用蜜罐系統(tǒng)中欺騙入侵的思想，可以最大化的吸引空間掃描引擎和入侵者，使數(shù)據(jù)的收集最大化。在對(duì)這些捕獲數(shù)據(jù)進(jìn)行分析、研究后，安全人員能更好的了解入侵者的攻擊行為和入侵模式，而通過不斷的積累這些數(shù)據(jù)，能將入侵者或搜索引擎的各種行為模式化，為之后的預(yù)警提供依據(jù)。1.2蜜罐系統(tǒng)的設(shè)計(jì)蜜罐系統(tǒng)作為所有數(shù)據(jù)的來源，是整個(gè)系統(tǒng)的基礎(chǔ)。如果能進(jìn)行合理的部署、配置，可以對(duì)入侵者造成更大的迷惑作用，進(jìn)而捕獲到更多的數(shù)據(jù)。由于在不同工業(yè)控制領(lǐng)域當(dāng)中，系統(tǒng)存在著巨大的差異，使得工控蜜罐的開發(fā)也更加的困難，而真正暴露在公眾面前的工控系統(tǒng)漏洞攻擊點(diǎn)也比較少，使得開發(fā)難度更近一步提升。本文所涉及的蜜罐系統(tǒng)以結(jié)構(gòu)較為完善的開源conpot蜜罐為基礎(chǔ)，實(shí)現(xiàn)簡單的工業(yè)控制協(xié)議實(shí)現(xiàn)，完成掃描的交互并返回設(shè)備信息，達(dá)到欺騙的目的。1.2.1?Conpot蜜罐介紹作為較為成熟的開源蜜罐系統(tǒng)，conpot由HoneyProject組織安全人員共同開發(fā)[31]。以python語言編寫的conpot，主要的運(yùn)行環(huán)境是Linux系統(tǒng)，是一種低交互蜜罐，可以對(duì)HTTP、modbus、s7comm等協(xié)議進(jìn)行模擬。Conpot蜜罐中的設(shè)備信息以xml形式配置，在擴(kuò)展協(xié)議內(nèi)容時(shí)非常簡便，使得其部署難度較低。但較為低級(jí)的交互，使conpot對(duì)協(xié)議的模擬程度不足，只能欺騙普通的空間搜索引擎或者設(shè)備信息掃描腳本。圖4-1?運(yùn)行中的conpot系統(tǒng)1.2.2?Conpot蜜罐的工作機(jī)制Conpot蜜罐有協(xié)議交互、會(huì)話管理、日志配置和模版調(diào)度等幾大功能，并且在組成上分為6大運(yùn)行模塊與一個(gè)配置文件共同組成，各個(gè)模塊的運(yùn)行都相對(duì)獨(dú)立。圖4-2?conpot的主要模塊分布在所有功能中，采用事件隊(duì)列，將攻擊事件保存的會(huì)話管理是conpot蜜罐的核心。而攻擊模塊所提供的，是應(yīng)對(duì)事件增加與事件本地化儲(chǔ)存的辦法。此外，通過將協(xié)議的交互與會(huì)話管理的結(jié)合，不同協(xié)議之間的交互操作便可以以日志的方式進(jìn)行傳輸和儲(chǔ)存。協(xié)議的交互也是conpot在仿真模擬時(shí)所達(dá)到的基礎(chǔ)功能，通過所提供可以被統(tǒng)一調(diào)用的接口，conpot保證了各個(gè)協(xié)議服務(wù)在調(diào)用時(shí)保持統(tǒng)一。做為工控協(xié)議實(shí)現(xiàn)時(shí)的服務(wù)器實(shí)例，協(xié)議交互會(huì)監(jiān)聽對(duì)應(yīng)協(xié)議的端口，對(duì)入侵者發(fā)出的請(qǐng)求作出處理。模版調(diào)度的目標(biāo)是為不同的協(xié)議，配置對(duì)應(yīng)的返回信息。協(xié)議交互功能和模版調(diào)度功能之間會(huì)相互配合，在協(xié)議服務(wù)實(shí)例創(chuàng)建的同時(shí)，對(duì)相應(yīng)的模版信息進(jìn)行解析、初始化。而協(xié)議交互功能與會(huì)話管理功能都會(huì)使用日志功能，運(yùn)用logging系統(tǒng)模塊，把產(chǎn)生出來的會(huì)話轉(zhuǎn)化為日志。在日志的配置中會(huì)定義會(huì)話格式與信息處理方式。所以，conpot對(duì)信息的捕獲也可以理解為將攻擊數(shù)據(jù)日志化，將攻擊信息通過日志的形式保存。構(gòu)成conpot的各個(gè)功能在結(jié)構(gòu)上雖然是獨(dú)立于彼此存在的，但在工作中是相互依存的。圖4-3?conpot在運(yùn)行中的周期正如圖4-3中所展示的，conpot在運(yùn)行中會(huì)加載不同的模塊，各個(gè)模塊雖然對(duì)功能有所拆分，但在運(yùn)行時(shí)會(huì)對(duì)功能重組。其主要的執(zhí)行程序在bin模塊當(dāng)中，主要的代碼也儲(chǔ)存于bin模塊的conpot文件中。在運(yùn)行前，conpot會(huì)先對(duì)conpot.cfg文件解析，這個(gè)文件中包含的正是daemon中運(yùn)行的mac地址、組和用戶名和hpfriends配置信息等。由此可見，conpot在工作中不只對(duì)工業(yè)控制協(xié)議進(jìn)行了模擬，對(duì)工業(yè)控制設(shè)備也進(jìn)行了模擬，并將有關(guān)設(shè)備的信息通過xml方式保存。此外，一個(gè)統(tǒng)一的接口往往被不同的協(xié)議所采用，在對(duì)協(xié)議和服務(wù)進(jìn)行映射時(shí)，便會(huì)在遍歷的過程中便會(huì)創(chuàng)建并初始化不同的協(xié)議服務(wù)實(shí)例。最后，conpot會(huì)在后臺(tái)運(yùn)行，執(zhí)行多個(gè)子進(jìn)程的監(jiān)聽任務(wù)。圖4-4?conpot對(duì)攻擊響應(yīng)的過程圖4-4所展示的是Conpot在應(yīng)對(duì)攻擊時(shí)的響應(yīng)過程，也展現(xiàn)了六個(gè)模塊啊間的相互合作。入侵者一旦連接到conpot，便會(huì)生成一個(gè)連接會(huì)話，接下來會(huì)話管理服務(wù)會(huì)將新生成的會(huì)話加入會(huì)話隊(duì)列當(dāng)中，提供查詢接口給不同的協(xié)議服務(wù)。針對(duì)于不同的協(xié)議端口，conpot會(huì)選擇相對(duì)應(yīng)的不同協(xié)議服務(wù)。此外，每項(xiàng)協(xié)議服務(wù)都有自己的線程池，每當(dāng)對(duì)相對(duì)應(yīng)的協(xié)議會(huì)話進(jìn)行查詢時(shí)，都會(huì)再次開辟出一條新的線程處理。在處理時(shí)也有一個(gè)回調(diào)機(jī)制，會(huì)把所有處理完的結(jié)果返回到主程序當(dāng)中。所以，每當(dāng)接受到攻擊者發(fā)送的請(qǐng)求數(shù)據(jù)包或者是請(qǐng)求數(shù)據(jù)時(shí)，回調(diào)函數(shù)于會(huì)話管理功能都將產(chǎn)生的日志本地化。1.2.2?Conpot蜜罐的缺點(diǎn)縱使conpot蜜罐身上有許多優(yōu)點(diǎn)，如易擴(kuò)展和結(jié)構(gòu)層次分明，它身上也有非常明顯的缺點(diǎn)。最主要的缺點(diǎn)便是其明顯的指紋信息，存在于其初始模版template.xml中。此外，當(dāng)conpot設(shè)置為模擬s7工控設(shè)備時(shí)，會(huì)使用一串默認(rèn)的數(shù)字作為模塊系列碼。一旦入侵者掌握這段默認(rèn)數(shù)字，便可以輕易的在空間搜索引擎上搜索，將conpot蜜罐系統(tǒng)識(shí)別。圖4-5所展示的便是在shodan中，搜索默認(rèn)模塊碼，得到的conpot蜜罐。圖4-5?shodan識(shí)別出的conpot蜜罐系統(tǒng)此外，conpot蜜罐的HMI模塊在設(shè)計(jì)上較于簡陋，很容易被攻擊者識(shí)別為蜜罐。Conpot在模擬HTTP協(xié)議服務(wù)的同時(shí)，也為入侵者提供了web層面的攻擊點(diǎn)，非常容易遭受到傳統(tǒng)的web攻擊。在協(xié)議交互功能上，conpot蜜罐也只能模擬modbus設(shè)備與s7設(shè)備兩種，缺乏對(duì)深層次協(xié)議操作作出響應(yīng)的功能，而且也只能返回配置的設(shè)備基本信息。對(duì)于bacnet協(xié)議，conpot蜜罐也只能進(jìn)行端口監(jiān)聽。1.3蜜罐管理系統(tǒng)設(shè)計(jì)蜜罐管理系統(tǒng)是整個(gè)入侵捕獲系統(tǒng)的核心，是蜜罐系統(tǒng)監(jiān)控管理的服務(wù)端、對(duì)蜜罐捕獲數(shù)據(jù)進(jìn)行存儲(chǔ)與顯示，涵蓋了蜜罐數(shù)據(jù)監(jiān)控端、數(shù)據(jù)顯示端、數(shù)據(jù)儲(chǔ)存端。作為整個(gè)系統(tǒng)的調(diào)度、處理中心，它協(xié)調(diào)了蜜罐的部署，掌控著這個(gè)系統(tǒng)的功能，并為系統(tǒng)制定統(tǒng)一化的數(shù)據(jù)格式。在蜜罐管理系統(tǒng)的框架選擇上，MHN是一套非常全面的系統(tǒng)，它包含了數(shù)據(jù)的收集模塊、數(shù)據(jù)統(tǒng)計(jì)模塊和數(shù)據(jù)的持久化模塊[32]。盡管它不提供管理方案，但非常適合與集中開發(fā)蜜罐，并為管理系統(tǒng)提供一個(gè)便捷的服務(wù)界面。1.3.1?MHN的工作機(jī)制圖4-6?MHN系統(tǒng)結(jié)構(gòu)如圖4-6所顯示的MHN系統(tǒng)結(jié)構(gòu)，其系統(tǒng)在組成架構(gòu)上主要包含mhnweb、hpfriendsserver、mnemosyne與honeymap幾部分。Hpfeeds不只是是蜜罐數(shù)據(jù)的收集協(xié)議，也是一個(gè)服務(wù)端/客戶端協(xié)議，可以讓多個(gè)客戶端同時(shí)連接。所以在MHN系統(tǒng)中，后臺(tái)會(huì)運(yùn)行hpfeedsserver來對(duì)client的連接與信息傳遞進(jìn)行監(jiān)控。當(dāng)信息發(fā)送到server后，會(huì)對(duì)數(shù)據(jù)進(jìn)行解析，并把解析數(shù)據(jù)傳遞給mnemosyne對(duì)數(shù)據(jù)進(jìn)行本地持久化操作與更深層次的數(shù)據(jù)處理。由此，我們可以發(fā)現(xiàn)MHN本質(zhì)上是一個(gè)web服務(wù)，提供數(shù)據(jù)的顯示平臺(tái)，與honeymap實(shí)時(shí)顯示攻擊的功能結(jié)合后，能通過html展示攻擊產(chǎn)生的數(shù)據(jù)，使之后的管理、分析、查看更加便利。1.3.2?MHN系統(tǒng)的缺點(diǎn)由于MHN系統(tǒng)設(shè)計(jì)時(shí)為了方便擴(kuò)展，使用了模塊組合的原則，導(dǎo)致其在功能上并不完善，只能提供一個(gè)管理蜜罐系統(tǒng)的框架。在設(shè)計(jì)中，MHN系統(tǒng)沒有提出一個(gè)針對(duì)于并發(fā)、異常等問題的容錯(cuò)機(jī)制，僅提供了數(shù)據(jù)的收集與存儲(chǔ)功能。因此，在實(shí)際工作中，往往需要針對(duì)數(shù)據(jù)的收集、存儲(chǔ)、分析和可視化進(jìn)行修改，作出模塊上的增加。針對(duì)于數(shù)據(jù)收集來說，MHN缺少緩沖機(jī)制，導(dǎo)致掃描數(shù)據(jù)一旦超過了hpfeeds中事件隊(duì)列承載量，就可能導(dǎo)致大量數(shù)據(jù)的丟失。此外，hpfeeds客戶端在每一次接受到掃描數(shù)據(jù)時(shí)，都會(huì)與服務(wù)端連接，這樣反復(fù)的連接與斷連會(huì)耗費(fèi)大量的IO資源。在數(shù)據(jù)存儲(chǔ)上，MHN所用的均為非關(guān)系數(shù)據(jù)庫，會(huì)將蜜罐系統(tǒng)收集的所有數(shù)據(jù)存放在同一數(shù)據(jù)庫中。這樣做的后果是，出現(xiàn)異常后，數(shù)據(jù)庫會(huì)因沒有備份而出現(xiàn)更大的問題。當(dāng)設(shè)置了多個(gè)蜜罐系統(tǒng)后，管理系統(tǒng)會(huì)接受到成倍增加的數(shù)據(jù)，對(duì)數(shù)據(jù)庫的性能有更高的要求，如果不做數(shù)據(jù)切片，或者是用多種表達(dá)存儲(chǔ)，會(huì)對(duì)數(shù)據(jù)庫的性能產(chǎn)生極大的影響。在數(shù)據(jù)的分析和可視化層面，MHN大多只有聲明處理函數(shù)，沒有實(shí)現(xiàn)具體的功能。此外，MHN在設(shè)計(jì)時(shí)，只針對(duì)于modbus與web蜜罐，只能手動(dòng)添加對(duì)其他協(xié)議的解析，使數(shù)據(jù)的可視化顯得異常簡單。在數(shù)據(jù)分析時(shí)，最需要的往往是對(duì)于分布式蜜罐數(shù)據(jù)的橫向與縱向?qū)Ρ?，并將關(guān)聯(lián)數(shù)據(jù)關(guān)聯(lián)分析。但MHN中只聲明了一種管理方案，沒有后續(xù)的具體實(shí)現(xiàn)。綜上所述，MHN提供了一個(gè)初步的組合框架，但在具體的應(yīng)用中，需要對(duì)數(shù)據(jù)可視化與數(shù)據(jù)分析添加更多的實(shí)現(xiàn)模塊。因此只有對(duì)整個(gè)框架進(jìn)行修改，才可以適應(yīng)分布式蜜罐的數(shù)據(jù)管理。1.4工業(yè)控制蜜罐的總體架構(gòu)整套系統(tǒng)將在ubuntu系統(tǒng)當(dāng)中開發(fā)，并采用python語言進(jìn)行編寫，通過模塊化的設(shè)計(jì)，方便之后的擴(kuò)展，并集成web功能，對(duì)數(shù)據(jù)實(shí)現(xiàn)統(tǒng)計(jì)與可視化。入侵捕獲系統(tǒng)將對(duì)數(shù)據(jù)進(jìn)行分布式收集，用統(tǒng)一的協(xié)議收集，并集中到蜜罐管理系統(tǒng)處理。采用分布式方式收集，能保證協(xié)議類型的豐富性，更利于從全局角度對(duì)整個(gè)工業(yè)控制系統(tǒng)的安全進(jìn)行分析。圖4-7