基于網(wǎng)絡(luò)蜜罐的工業(yè)網(wǎng)絡(luò)安全防御決策方法

摘要：常規(guī)的工業(yè)網(wǎng)絡(luò)安全防御決策方法以網(wǎng)絡(luò)安全區(qū)域規(guī)劃為主，在惡意代碼、水坑攻擊等方面存在弊端，影響工業(yè)網(wǎng)絡(luò)安全。因此，文章設(shè)計(jì)了基于網(wǎng)絡(luò)蜜罐的工業(yè)網(wǎng)絡(luò)安全防御決策方法。該方法通過(guò)建立工業(yè)網(wǎng)絡(luò)安全防御虛擬蜜罐，在主機(jī)上部署一個(gè)局域網(wǎng)，將黑客引入虛擬蜜罐，避免真實(shí)網(wǎng)絡(luò)受到攻擊?；诰W(wǎng)絡(luò)蜜罐部署網(wǎng)絡(luò)安全防御阻斷機(jī)制，文章利用防火墻與網(wǎng)絡(luò)安全監(jiān)測(cè)模塊，識(shí)別并阻止惡意流量的傳播，阻斷潛在的網(wǎng)絡(luò)攻擊，實(shí)現(xiàn)工業(yè)網(wǎng)絡(luò)安全運(yùn)行。采用對(duì)比實(shí)驗(yàn)對(duì)所提方法進(jìn)行驗(yàn)證，結(jié)果表明該方法的網(wǎng)絡(luò)安全防御效果更佳，能夠被應(yīng)用于實(shí)際生活中。

關(guān)鍵詞：網(wǎng)絡(luò)蜜罐；工業(yè)網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；防御；決策方法

中圖分類(lèi)號(hào)：TP309 "文獻(xiàn)標(biāo)志碼：A

0 引言

工業(yè)網(wǎng)絡(luò)作為一個(gè)網(wǎng)絡(luò)控制系統(tǒng)，對(duì)于管理層與控制層之間的訪問(wèn)安全至關(guān)重要。受安全機(jī)制、訪問(wèn)協(xié)議等問(wèn)題的影響，工業(yè)網(wǎng)絡(luò)內(nèi)部存在一定的漏洞，影響網(wǎng)絡(luò)安全。針對(duì)此類(lèi)問(wèn)題，研究人員設(shè)計(jì)了多種決策方法。其中，基于大數(shù)據(jù)的工業(yè)網(wǎng)絡(luò)安全防御決策方法與基于物聯(lián)網(wǎng)技術(shù)的工業(yè)網(wǎng)絡(luò)安全防御決策方法的應(yīng)用較為廣泛。基于大數(shù)據(jù)的工業(yè)網(wǎng)絡(luò)安全防御決策方法以大數(shù)據(jù)為基礎(chǔ)，設(shè)計(jì)網(wǎng)絡(luò)安全防御架構(gòu)［1］?；谖锫?lián)網(wǎng)技術(shù)的工業(yè)網(wǎng)絡(luò)安全防御決策方法利用可信物聯(lián)網(wǎng)設(shè)備與開(kāi)發(fā)板構(gòu)建原型防御平臺(tái)，保證工業(yè)網(wǎng)絡(luò)防御的全面性［2］。以上2種方法均能夠完成網(wǎng)絡(luò)安全防御任務(wù)，但無(wú)法滿足惡意攻擊、水坑攻擊等類(lèi)別的防御需求，亟須優(yōu)化。

網(wǎng)絡(luò)蜜罐是一種安全資源，能夠代替真實(shí)網(wǎng)絡(luò)數(shù)據(jù)，被掃描、攻擊，從而保障真實(shí)數(shù)據(jù)的安全［3］。因此，本文結(jié)合網(wǎng)絡(luò)蜜罐的優(yōu)勢(shì)，設(shè)計(jì)工業(yè)網(wǎng)絡(luò)安全防御決策方法。

1 工業(yè)網(wǎng)絡(luò)安全防御決策蜜罐方法設(shè)計(jì)

1.1 建立工業(yè)網(wǎng)絡(luò)安全防御虛擬蜜罐

虛擬蜜罐的價(jià)值是被攻擊，以此保證真正資源數(shù)據(jù)的安全。黑客可以攻擊蜜罐，但是不能攻破主機(jī)［4］。本文在主機(jī)上部署一個(gè)局域網(wǎng)，將黑客引入虛擬蜜罐中，避免真實(shí)網(wǎng)絡(luò)受到攻擊。網(wǎng)關(guān)由VMware軟件組成，在其中搭建了Linux虛擬環(huán)境，啟動(dòng)Roo光盤(pán)，更新虛擬蜜罐的資源［5］。虛擬蜜罐獲取入侵交互信息的字段說(shuō)明如表1所示。

如表1所示，在虛擬蜜罐網(wǎng)關(guān)上連接網(wǎng)絡(luò)安全監(jiān)測(cè)設(shè)備，對(duì)攻擊行為特點(diǎn)的流量包生成對(duì)應(yīng)報(bào)警日志，防止真實(shí)資源受到攻擊［6］。在虛擬蜜罐上設(shè)置安全范圍N（P），其表達(dá)式為：

N（P）=QP∈D∧d（P，Q）（1）

其中，P為安全范圍內(nèi)的點(diǎn)，Q為攻擊節(jié)點(diǎn)，D為P的可達(dá)距離，d（P，Q）為P、Q之間的距離。給定自然數(shù)k，計(jì)算出D，其表達(dá)式為：

D=max｛k-N（P），d（P，Q）｝（2）

其中，在N（P）范圍內(nèi)，自然數(shù)k能夠到達(dá)的位置均為安全區(qū)域。由此計(jì)算出Q的可達(dá)密度L（Q），其表達(dá)式為：

L（Q）=N（P）∑kD（3）

將L（Q）與N（P）進(jìn)行分析，劃分出工業(yè)網(wǎng)絡(luò)安全范圍，從而確保工業(yè)數(shù)據(jù)安全。

1.2 基于網(wǎng)絡(luò)蜜罐部署網(wǎng)絡(luò)安全防御阻斷機(jī)制

本文結(jié)合SNMPv3協(xié)議，與聯(lián)動(dòng)控制中心共同作用，完成攻擊阻斷任務(wù)。本文利用防火墻與網(wǎng)絡(luò)安全監(jiān)測(cè)模塊，識(shí)別并阻止惡意流量的傳播，阻斷潛在的網(wǎng)絡(luò)攻擊，從而實(shí)現(xiàn)工業(yè)網(wǎng)絡(luò)安全運(yùn)行［7］。網(wǎng)絡(luò)安全防御阻斷機(jī)制的工作流程如圖1所示。

由圖1可知，①—④為網(wǎng)絡(luò)攻擊阻斷的流程步驟。在①處找出終端設(shè)備與通信設(shè)備端口的對(duì)應(yīng)信息，將攻擊行為連接到網(wǎng)絡(luò)蜜罐上，將物理端口封閉，阻止攻擊行為［8］。在②處將端口鏡像與安全監(jiān)測(cè)設(shè)備相連接，采集工業(yè)網(wǎng)絡(luò)攻擊數(shù)據(jù)。將攻擊數(shù)據(jù)作為異常因子，確定異常因子的局部特征，其表達(dá)式為：

d（Q，k）=dk（Q）（4）

F（Q）=∑kdk（Q）L（Q）/N（P）（5）

在式（4）、（5）中，d（Q，k）為攻擊點(diǎn)Q與自然數(shù)k的距離；dk（Q）為Q的密度特征；F（Q）為異常因子的局部特征。將F（Q）作為基礎(chǔ)值，與其相似的特征均被劃分到攻擊類(lèi)別中，從而阻斷網(wǎng)絡(luò)攻擊。在③處獲取安全監(jiān)測(cè)設(shè)備的鏡像數(shù)據(jù)，分析數(shù)據(jù)的來(lái)源、身份。在④處確定攻擊時(shí)間，將攻擊事件上傳到聯(lián)動(dòng)控制中心，有效地阻斷工業(yè)網(wǎng)絡(luò)攻擊事件。

2 實(shí)驗(yàn)

本文對(duì)上述方法進(jìn)行實(shí)驗(yàn)分析。以熊群毓［1］提出基于大數(shù)據(jù)的工業(yè)網(wǎng)絡(luò)安全防御決策方法、解曉 "盈［2］提出基于物聯(lián)網(wǎng)技術(shù)的工業(yè)網(wǎng)絡(luò)安全防御決策方法作為對(duì)照組，將二者與本文設(shè)計(jì)的基于網(wǎng)絡(luò)蜜罐的工業(yè)網(wǎng)絡(luò)安全防御決策方法進(jìn)行對(duì)比。

2.1 實(shí)驗(yàn)過(guò)程

本次實(shí)驗(yàn)在虛擬服務(wù)器上進(jìn)行，使用Schneider M340 PLC設(shè)備與蜜罐作為參照設(shè)備，保證實(shí)驗(yàn)環(huán)境的真實(shí)性。在服務(wù)器上開(kāi)發(fā)NSL-KDD數(shù)據(jù)集，數(shù)據(jù)集中包含拒絕服務(wù)攻擊、分布式拒絕服務(wù)攻擊、掃描攻擊、入侵攻擊、勒索軟件攻擊、惡意代碼注入攻擊、釣魚(yú)攻擊、水坑攻擊、側(cè)信道攻擊、注入攻擊、會(huì)話劫持攻擊、零日漏洞攻擊等類(lèi)別，攻擊場(chǎng)景多樣化，能夠滿足本次實(shí)驗(yàn)需求。本文使用Nmap中的modicon-info腳本，對(duì)蜜罐進(jìn)行探測(cè)，探測(cè)代碼如圖2所示。

由圖2可知，當(dāng)輸出in response時(shí)，蜜罐資源能夠作為真實(shí)資源，應(yīng)對(duì)腳本掃描，有效地防御網(wǎng)絡(luò)資源攻擊的問(wèn)題。

2.2 實(shí)驗(yàn)結(jié)果

在上述實(shí)驗(yàn)條件下，本文隨機(jī)選取出12組工業(yè)網(wǎng)絡(luò)攻擊類(lèi)別，各類(lèi)數(shù)據(jù)攻擊數(shù)據(jù)量在20000 bit左右。數(shù)據(jù)類(lèi)別可分為攻擊捕獲數(shù)據(jù)量、攻擊次數(shù)、防御成功次數(shù)、防御成功率等指標(biāo)。防御成功率越高，越穩(wěn)定，防御決策效果越佳。在其他條件均已知的情況下，對(duì)比3種方法的防御性能，實(shí)驗(yàn)結(jié)果如表2所示。

由表2可知：在同等條件下，文獻(xiàn)［1］所提方法在某些攻擊上效果不佳，影響工業(yè)網(wǎng)絡(luò)安全；文獻(xiàn)［2］所提方法在整體上優(yōu)于文獻(xiàn)［1］所提方法，但對(duì)惡意代碼和水坑攻擊防御效果仍較低，須優(yōu)化；本文設(shè)計(jì)方法的攻擊數(shù)據(jù)捕獲量約20000 bit，防御成功率高達(dá)99%～100%，能夠應(yīng)對(duì)各類(lèi)攻擊，確保工業(yè)網(wǎng)絡(luò)運(yùn)行安全。由此可見(jiàn)，本文設(shè)計(jì)的方法可以應(yīng)對(duì)各類(lèi)攻擊，給予有效的防御決策，能夠確保工業(yè)網(wǎng)絡(luò)運(yùn)行安全。

3 結(jié)語(yǔ)

近年來(lái)，工業(yè)生產(chǎn)環(huán)境日益復(fù)雜，安裝工業(yè)網(wǎng)絡(luò)能夠?qū)崿F(xiàn)數(shù)字化、雙向多站的通信環(huán)境，提高工業(yè)生產(chǎn)數(shù)據(jù)整合效率。工業(yè)網(wǎng)絡(luò)存在設(shè)備層網(wǎng)絡(luò)、控制層網(wǎng)絡(luò)、管理層網(wǎng)絡(luò)等架構(gòu)，是網(wǎng)絡(luò)攻擊的重要目標(biāo)。一旦發(fā)生工業(yè)網(wǎng)絡(luò)攻擊問(wèn)題，就會(huì)導(dǎo)致嚴(yán)重的生產(chǎn)事故。因此，本文利用網(wǎng)絡(luò)蜜罐，設(shè)計(jì)了工業(yè)網(wǎng)絡(luò)安全防御決策方法。從虛擬蜜罐、防御阻斷機(jī)制2個(gè)方面，本文深入分析工業(yè)網(wǎng)絡(luò)入侵攻擊類(lèi)別，模擬出真實(shí)的網(wǎng)絡(luò)環(huán)境吸引攻擊者，了解其攻擊行為，實(shí)施更具針對(duì)性的防御決策，為工業(yè)網(wǎng)絡(luò)的安全運(yùn)行提供保障。

參考文獻(xiàn)

［1］熊群毓.基于大數(shù)據(jù)的計(jì)算機(jī)網(wǎng)絡(luò)安全防御系統(tǒng)設(shè)計(jì)研究［J］.信息記錄材料，2023（11）：217-219，222.

［2］解曉盈.基于物聯(lián)網(wǎng)技術(shù)的數(shù)字化校園網(wǎng)絡(luò)安全防御系統(tǒng)設(shè)計(jì)［J］.自動(dòng)化與儀器儀表，2023（9）：151-155.

［3］唐亞?wèn)|，劉寅，楊維永.基于等級(jí)保護(hù)網(wǎng)絡(luò)安全體系的新型電力系統(tǒng)風(fēng)險(xiǎn)分析與防范［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2023（12）：130-133.

［4］本刊記者.主動(dòng)出擊，打造工控系統(tǒng)網(wǎng)絡(luò)安全“白環(huán)境”威努特：提供全生命周期縱深防御解決方案和專(zhuān)業(yè)化的安全服務(wù)［J］.信息化建設(shè)，2023（10）：39-40.

［5］李媛，劉海峰，曹博濤.半監(jiān)督環(huán)境下基于AE-ELM模型的工業(yè)網(wǎng)絡(luò)安全防御研究［J］.計(jì)算機(jī)測(cè)量與控制，2023（12）：244-250.

［6］唐澤林，王曉莉，王新.基于攻防博弈模型的網(wǎng)絡(luò)安全測(cè)評(píng)和最優(yōu)主動(dòng)防御分析［J］.現(xiàn)代工業(yè)經(jīng)濟(jì)和信息化，2023（2）：74-75.

［7］蒲建發(fā)，郭敬東，羅富財(cái)，等.面向新型電力系統(tǒng)的光伏電站監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防御體系分析［J］.數(shù)字技術(shù)與應(yīng)用，2023（3）：231-233.

［8］馬翔明，穆煒，董文清.基于數(shù)據(jù)安全網(wǎng)關(guān)的醫(yī)院信息化網(wǎng)絡(luò)安全防御系統(tǒng)設(shè)計(jì)［J］.微型電腦應(yīng)用，2022（7）：99-101，113.

（編輯 王永超編輯）

Industrial network security defense decision method based on network honeypot

ZHANG" Weijun

（Qiandongnan Technician College， Kaili 556000， China）

Abstract： The conventional industrial network security defense decision method is based on network security regional planning， which has disadvantages in malicious code and puddle attacks， and affects industrial network security. Therefore， the industrial network security defense decision method based on the network honeypot is designed. By establishing industrial network security defense virtual honey pot， a local area network on the host is deployed and the hackers into the virtual honey pot is introduced to avoid the real network attacks. Based on the deployment of network security defense and blocking mechanism， the firewall and network security monitoring module are used to identify and prevent the spread of malicious traffic， and block the potential network attacks， so as to realize the safe operation of industrial network. The comparative experiment proves that the network security defense effect of this method is better and can be applied in real life.

Key words： network honeypot; industrial network; network security; defense; decision-making method