基于網(wǎng)絡蜜罐的工業(yè)網(wǎng)絡安全防御決策方法

摘要：常規(guī)的工業(yè)網(wǎng)絡安全防御決策方法以網(wǎng)絡安全區(qū)域規(guī)劃為主，在惡意代碼、水坑攻擊等方面存在弊端，影響工業(yè)網(wǎng)絡安全。因此，文章設(shè)計了基于網(wǎng)絡蜜罐的工業(yè)網(wǎng)絡安全防御決策方法。該方法通過建立工業(yè)網(wǎng)絡安全防御虛擬蜜罐，在主機上部署一個局域網(wǎng)，將黑客引入虛擬蜜罐，避免真實網(wǎng)絡受到攻擊?；诰W(wǎng)絡蜜罐部署網(wǎng)絡安全防御阻斷機制，文章利用防火墻與網(wǎng)絡安全監(jiān)測模塊，識別并阻止惡意流量的傳播，阻斷潛在的網(wǎng)絡攻擊，實現(xiàn)工業(yè)網(wǎng)絡安全運行。采用對比實驗對所提方法進行驗證，結(jié)果表明該方法的網(wǎng)絡安全防御效果更佳，能夠被應用于實際生活中。

關(guān)鍵詞：網(wǎng)絡蜜罐；工業(yè)網(wǎng)絡；網(wǎng)絡安全；防御；決策方法

中圖分類號：TP309 "文獻標志碼：A

0 引言

工業(yè)網(wǎng)絡作為一個網(wǎng)絡控制系統(tǒng)，對于管理層與控制層之間的訪問安全至關(guān)重要。受安全機制、訪問協(xié)議等問題的影響，工業(yè)網(wǎng)絡內(nèi)部存在一定的漏洞，影響網(wǎng)絡安全。針對此類問題，研究人員設(shè)計了多種決策方法。其中，基于大數(shù)據(jù)的工業(yè)網(wǎng)絡安全防御決策方法與基于物聯(lián)網(wǎng)技術(shù)的工業(yè)網(wǎng)絡安全防御決策方法的應用較為廣泛。基于大數(shù)據(jù)的工業(yè)網(wǎng)絡安全防御決策方法以大數(shù)據(jù)為基礎(chǔ)，設(shè)計網(wǎng)絡安全防御架構(gòu)［1］。基于物聯(lián)網(wǎng)技術(shù)的工業(yè)網(wǎng)絡安全防御決策方法利用可信物聯(lián)網(wǎng)設(shè)備與開發(fā)板構(gòu)建原型防御平臺，保證工業(yè)網(wǎng)絡防御的全面性［2］。以上2種方法均能夠完成網(wǎng)絡安全防御任務，但無法滿足惡意攻擊、水坑攻擊等類別的防御需求，亟須優(yōu)化。

網(wǎng)絡蜜罐是一種安全資源，能夠代替真實網(wǎng)絡數(shù)據(jù)，被掃描、攻擊，從而保障真實數(shù)據(jù)的安全［3］。因此，本文結(jié)合網(wǎng)絡蜜罐的優(yōu)勢，設(shè)計工業(yè)網(wǎng)絡安全防御決策方法。

1 工業(yè)網(wǎng)絡安全防御決策蜜罐方法設(shè)計

1.1 建立工業(yè)網(wǎng)絡安全防御虛擬蜜罐

虛擬蜜罐的價值是被攻擊，以此保證真正資源數(shù)據(jù)的安全。黑客可以攻擊蜜罐，但是不能攻破主機［4］。本文在主機上部署一個局域網(wǎng)，將黑客引入虛擬蜜罐中，避免真實網(wǎng)絡受到攻擊。網(wǎng)關(guān)由VMware軟件組成，在其中搭建了Linux虛擬環(huán)境，啟動Roo光盤，更新虛擬蜜罐的資源［5］。虛擬蜜罐獲取入侵交互信息的字段說明如表1所示。

如表1所示，在虛擬蜜罐網(wǎng)關(guān)上連接網(wǎng)絡安全監(jiān)測設(shè)備，對攻擊行為特點的流量包生成對應報警日志，防止真實資源受到攻擊［6］。在虛擬蜜罐上設(shè)置安全范圍N（P），其表達式為：

N（P）=QP∈D∧d（P，Q）（1）

其中，P為安全范圍內(nèi)的點，Q為攻擊節(jié)點，D為P的可達距離，d（P，Q）為P、Q之間的距離。給定自然數(shù)k，計算出D，其表達式為：

D=max｛k-N（P），d（P，Q）｝（2）

其中，在N（P）范圍內(nèi)，自然數(shù)k能夠到達的位置均為安全區(qū)域。由此計算出Q的可達密度L（Q），其表達式為：

L（Q）=N（P）∑kD（3）

將L（Q）與N（P）進行分析，劃分出工業(yè)網(wǎng)絡安全范圍，從而確保工業(yè)數(shù)據(jù)安全。

1.2 基于網(wǎng)絡蜜罐部署網(wǎng)絡安全防御阻斷機制

本文結(jié)合SNMPv3協(xié)議，與聯(lián)動控制中心共同作用，完成攻擊阻斷任務。本文利用防火墻與網(wǎng)絡安全監(jiān)測模塊，識別并阻止惡意流量的傳播，阻斷潛在的網(wǎng)絡攻擊，從而實現(xiàn)工業(yè)網(wǎng)絡安全運行［7］。網(wǎng)絡安全防御阻斷機制的工作流程如圖1所示。

由圖1可知，①—④為網(wǎng)絡攻擊阻斷的流程步驟。在①處找出終端設(shè)備與通信設(shè)備端口的對應信息，將攻擊行為連接到網(wǎng)絡蜜罐上，將物理端口封閉，阻止攻擊行為［8］。在②處將端口鏡像與安全監(jiān)測設(shè)備相連接，采集工業(yè)網(wǎng)絡攻擊數(shù)據(jù)。將攻擊數(shù)據(jù)作為異常因子，確定異常因子的局部特征，其表達式為：

d（Q，k）=dk（Q）（4）

F（Q）=∑kdk（Q）L（Q）/N（P）（5）

在式（4）、（5）中，d（Q，k）為攻擊點Q與自然數(shù)k的距離；dk（Q）為Q的密度特征；F（Q）為異常因子的局部特征。將F（Q）作為基礎(chǔ)值，與其相似的特征均被劃分到攻擊類別中，從而阻斷網(wǎng)絡攻擊。在③處獲取安全監(jiān)測設(shè)備的鏡像數(shù)據(jù)，分析數(shù)據(jù)的來源、身份。在④處確定攻擊時間，將攻擊事件上傳到聯(lián)動控制中心，有效地阻斷工業(yè)網(wǎng)絡攻擊事件。

2 實驗

本文對上述方法進行實驗分析。以熊群毓［1］提出基于大數(shù)據(jù)的工業(yè)網(wǎng)絡安全防御決策方法、解曉 "盈［2］提出基于物聯(lián)網(wǎng)技術(shù)的工業(yè)網(wǎng)絡安全防御決策方法作為對照組，將二者與本文設(shè)計的基于網(wǎng)絡蜜罐的工業(yè)網(wǎng)絡安全防御決策方法進行對比。

2.1 實驗過程

本次實驗在虛擬服務器上進行，使用Schneider M340 PLC設(shè)備與蜜罐作為參照設(shè)備，保證實驗環(huán)境的真實性。在服務器上開發(fā)NSL-KDD數(shù)據(jù)集，數(shù)據(jù)集中包含拒絕服務攻擊、分布式拒絕服務攻擊、掃描攻擊、入侵攻擊、勒索軟件攻擊、惡意代碼注入攻擊、釣魚攻擊、水坑攻擊、側(cè)信道攻擊、注入攻擊、會話劫持攻擊、零日漏洞攻擊等類別，攻擊場景多樣化，能夠滿足本次實驗需求。本文使用Nmap中的modicon-info腳本，對蜜罐進行探測，探測代碼如圖2所示。

由圖2可知，當輸出in response時，蜜罐資源能夠作為真實資源，應對腳本掃描，有效地防御網(wǎng)絡資源攻擊的問題。

2.2 實驗結(jié)果

在上述實驗條件下，本文隨機選取出12組工業(yè)網(wǎng)絡攻擊類別，各類數(shù)據(jù)攻擊數(shù)據(jù)量在20000 bit左右。數(shù)據(jù)類別可分為攻擊捕獲數(shù)據(jù)量、攻擊次數(shù)、防御成功次數(shù)、防御成功率等指標。防御成功率越高，越穩(wěn)定，防御決策效果越佳。在其他條件均已知的情況下，對比3種方法的防御性能，實驗結(jié)果如表2所示。

由表2可知：在同等條件下，文獻［1］所提方法在某些攻擊上效果不佳，影響工業(yè)網(wǎng)絡安全；文獻［2］所提方法在整體上優(yōu)于文獻［1］所提方法，但對惡意代碼和水坑攻擊防御效果仍較低，須優(yōu)化；本文設(shè)計方法的攻擊數(shù)據(jù)捕獲量約20000 bit，防御成功率高達99%～100%，能夠應對各類攻擊，確保工業(yè)網(wǎng)絡運行安全。由此可見，本文設(shè)計的方法可以應對各類攻擊，給予有效的防御決策，能夠確保工業(yè)網(wǎng)絡運行安全。

3 結(jié)語

近年來，工業(yè)生產(chǎn)環(huán)境日益復雜，安裝工業(yè)網(wǎng)絡能夠?qū)崿F(xiàn)數(shù)字化、雙向多站的通信環(huán)境，提高工業(yè)生產(chǎn)數(shù)據(jù)整合效率。工業(yè)網(wǎng)絡存在設(shè)備層網(wǎng)絡、控制層網(wǎng)絡、管理層網(wǎng)絡等架構(gòu)，是網(wǎng)絡攻擊的重要目標。一旦發(fā)生工業(yè)網(wǎng)絡攻擊問題，就會導致嚴重的生產(chǎn)事故。因此，本文利用網(wǎng)絡蜜罐，設(shè)計了工業(yè)網(wǎng)絡安全防御決策方法。從虛擬蜜罐、防御阻斷機制2個方面，本文深入分析工業(yè)網(wǎng)絡入侵攻擊類別，模擬出真實的網(wǎng)絡環(huán)境吸引攻擊者，了解其攻擊行為，實施更具針對性的防御決策，為工業(yè)網(wǎng)絡的安全運行提供保障。

參考文獻

［1］熊群毓.基于大數(shù)據(jù)的計算機網(wǎng)絡安全防御系統(tǒng)設(shè)計研究［J］.信息記錄材料，2023（11）：217-219，222.

［2］解曉盈.基于物聯(lián)網(wǎng)技術(shù)的數(shù)字化校園網(wǎng)絡安全防御系統(tǒng)設(shè)計［J］.自動化與儀器儀表，2023（9）：151-155.

［3］唐亞東，劉寅，楊維永.基于等級保護網(wǎng)絡安全體系的新型電力系統(tǒng)風險分析與防范［J］.網(wǎng)絡安全技術(shù)與應用，2023（12）：130-133.

［4］本刊記者.主動出擊，打造工控系統(tǒng)網(wǎng)絡安全“白環(huán)境”威努特：提供全生命周期縱深防御解決方案和專業(yè)化的安全服務［J］.信息化建設(shè)，2023（10）：39-40.

［5］李媛，劉海峰，曹博濤.半監(jiān)督環(huán)境下基于AE-ELM模型的工業(yè)網(wǎng)絡安全防御研究［J］.計算機測量與控制，2023（12）：244-250.

［6］唐澤林，王曉莉，王新.基于攻防博弈模型的網(wǎng)絡安全測評和最優(yōu)主動防御分析［J］.現(xiàn)代工業(yè)經(jīng)濟和信息化，2023（2）：74-75.

［7］蒲建發(fā)，郭敬東，羅富財，等.面向新型電力系統(tǒng)的光伏電站監(jiān)控系統(tǒng)網(wǎng)絡安全防御體系分析［J］.數(shù)字技術(shù)與應用，2023（3）：231-233.

［8］馬翔明，穆煒，董文清.基于數(shù)據(jù)安全網(wǎng)關(guān)的醫(yī)院信息化網(wǎng)絡安全防御系統(tǒng)設(shè)計［J］.微型電腦應用，2022（7）：99-101，113.

（編輯 王永超編輯）

Industrial network security defense decision method based on network honeypot

ZHANG" Weijun

（Qiandongnan Technician College， Kaili 556000， China）

Abstract： The conventional industrial network security defense decision method is based on network security regional planning， which has disadvantages in malicious code and puddle attacks， and affects industrial network security. Therefore， the industrial network security defense decision method based on the network honeypot is designed. By establishing industrial network security defense virtual honey pot， a local area network on the host is deployed and the hackers into the virtual honey pot is introduced to avoid the real network attacks. Based on the deployment of network security defense and blocking mechanism， the firewall and network security monitoring module are used to identify and prevent the spread of malicious traffic， and block the potential network attacks， so as to realize the safe operation of industrial network. The comparative experiment proves that the network security defense effect of this method is better and can be applied in real life.

Key words： network honeypot; industrial network; network security; defense; decision-making method