工業物聯網蜜罐、蜜網：一種重要的IIoT安全手段

摘要：工業物聯網定義為利用工業通信技術將物聯網技術應用到自動化領域。IIoT環境已經深入我們的城市、交通、制造業、基礎設施等各個領域，同時IIoT也逐漸成為當今黑客發起攻擊的熱門目標。事實證明，蜜罐和蜜網對于了解和抵御對IIoT的攻擊至關重要，它們可以吸引攻擊者并欺騙其認為自己已獲得了對真實系統的訪問。蜜罐和蜜網可以與其他主流安全解決方案（防火墻、入侵檢測系統IDS）形成互補，很好地對惡意行為進行防御。本文對面向IIoT的蜜罐和蜜網的研究進行介紹。

 1、工業物聯網及相似定義

工業物聯網（IIoT, Industrial Internet of Things）的定義是利用工業通信技術將物聯網技術應用到自動化領域^【1】。與之相似的有兩個概念：物聯網和信息物理系統。

1.1 工業物聯網與物聯網

物聯網（IoT, Internet of Things）是一個由互聯網連接的設備組成的網絡，如傳感器、執行器和其他能夠收集數據和進行通信的嵌入式設備。

根據定義，IIoT是IoT利用工業通信技術在自動化領域的應用，而物聯網IoT作為工業物聯網IIoT的基礎，其應用深入我們生活的每個角落。傳感器、執行器、可穿戴設備、嵌入式設備和許多其他IoT設備隨處可見，建筑、城市、交通、汽車、制造業、關鍵(核反應堆、發電廠、煉油廠等)和非關鍵基礎設施以及農業等各種環境中都有IoT的應用。

1.2 信息物理系統

信息物理系統（CPS, Cyber-Physical System）是由傳感器、執行器、可編程邏輯控制器PLC、遠程終端單元RTU、智能電子設備IED和其他嵌入式設備組成的網絡，用于監測和控制關鍵和非關鍵應用領域中的物理過程。

CPS的應用場景包括但不限于工業控制系統ICS、智能電網、其他智能基礎設施（如水、煤氣、建筑自動化）、醫療設備和智能汽車^【2】, ^【3】。總的來說，IIoT因其工作環境的特殊性（封閉系統）而與CPS密不可分。

從定義上看，IoT、CPS和IIoT三個概念其實十分相似，并無太大區別。NIST的一份特別報告中指出，IoT和CPS的不同之處在于，IoT更強調物理世界中的信息與網絡相關技術，而CPS更貼近于一種封閉系統實現，更側重于感知和信息交換控制^【4】。在上述基礎上，IIoT因同時具有兩者的特征而進一步連接了IoT和CPS的定義。

2、工業物聯網蜜罐、蜜網

2.1 常見的工業物聯網安全機制

為了保護IIoT環境下的工業設備，在工業網絡中常采用多種網絡防御手段，如密碼學加密、使用防火墻、搭載入侵檢測系統IDS和入侵防御系統IPS、采用防病毒和反惡意軟件解決方案等。我國現行的工業無線網絡規范國家標準定義的工業網絡協議包含3層：物理層、鏈路層和應用層，它在安全管理上也采用了多種安全機制，如CCM*加密模式（廣泛應用于IEEE 802.x協議和BLE協議），配置基于時間戳和nonce的防重放攻擊手段等安全機制^【5】。

2.2 傳統工業物聯網安全機制面臨的挑戰

因IIoT環境的特殊性，對各設備在資源限制、網絡壽命和QoS等方面有著獨特要求，這也對IIoT環境的安全防御能力發出了巨大的挑戰。IoT是IIoT的基礎，IoT設備通常具有有限的電源、存儲、計算和通信資源，這尤其在IIoT利用工業通信設備在自動化領域部署這一工作環境下，對其能采用的安全機制有著相當的限制。而另一方面，IIoT環境中使用的設備設計之初并沒有考慮安全性。舉例來說，在工業生產中，工業網絡通常需要滿足低時延、低功耗、高可靠性和高穩定性等要求，在這樣的前提下，IIoT/CPS的應用環境都被認為是默認安全且孤立的。這種模糊的安全假設在2010年被廣為人知的“震網”病毒打破。這個例子說明傳統靜態的“隱式信任”模型亟需重構革新，“零信任”在網絡實施中的核心思想——去除隱式信任也同樣是為解決這類問題而生。考慮到零信任相關技術、規范并未發展成熟，且本文主要對IIoT蜜罐和蜜網進行介紹，這里不對零信任原則過多贅述。隨著越來越多的工業環境被連接到互聯網，數十年不會更換的工業設備其安全機制的更新也已成為嚴重問題。

2.3 蜜罐、蜜網及其在工業物聯網的應用

傳統的IIoT安全機制對安全研究人員發現并分析攻擊者攻擊方式（以及防御應對）并不透明。蜜罐用以吸引攻擊者并欺騙其認為自己已獲得了對真實系統的訪問，是一種以被攻擊和可能被破壞為目的而使用的工具，而在一個系統上實現的兩個或多個蜜罐組成一個蜜網^【6】, ^【7】。蜜罐可以與防火墻和IDS集成為IPS，以捕獲攻擊者的有關信息，研究他們的所有行為，并開發可以防止未來可能的攻擊的安全方案。

實際使用時，蜜罐和蜜網可以部署在不同的位置，例如云計算環境、企業網絡的隔離區 （DMZ區）、實際應用程序/生產環境（在IoT、IIoT或CPS網絡中）以及具有公共 IP 地址的私有部署環境中，其基礎蜜網架構如圖1所示^【8】。不同環境的選項有其自身的優點和缺點；此外，部署環境不同，最適合該環境的蜜罐或蜜網類型也不同。

圖1 基礎蜜網架構

IIoT的部署環境十分廣泛，Javier等的研究將蜜網在IIoT的應用環境分為了6個大部分，分別為工業控制系統ICS、智能電網、水系統、燃氣線路、樓宇自動化系統和綜合IIoT蜜網，并從技術發展上對其進行了分類，圖2是適用IIoT的蜜罐、蜜網分類，圖3則描繪了IIoT蜜罐、蜜網的發展歷史[8]。作為現有蜜罐的主要目標應用領域之一，一半以上的IIoT蜜罐都是針對ICS環境而設計。雖然針對特定IIoT應用的餌較少（大多數研究是針對ICS的），但類似的工業設備（如PLC）仍被ICS和智能基礎設施（如電網、水、天然氣）所使用。

圖2 適用IIoT的蜜罐、蜜網分類

圖3 IIoT蜜罐、蜜網的發展

IIoT蜜網始于2004年思科的SCADA HoneyNet項目。SCADA HoneyNet是基于Honeyd的開源蜜罐框架，是一個低交互蜜網，支持模擬在PLC上運行的Modbus/TCP、FTP、Telnet和HTTP服務。Berman在美國空軍技術研究所發布的2012年的論文是在文獻中針對IIoT蜜罐、蜜網進行的第一個研究，次年第二篇該領域論文同樣是在美國空軍技術研究所發布，而這兩篇論文的發布時間正好對應于震網病毒的時代。2013年，史上最受歡迎的ICS蜜罐Conpot開源項目完成，Trend Micro Research的Wilhoit發布了他們的低交互ICS蜜罐白皮書，這也為后來大量的IIoT/CPS方向的蜜罐、蜜網研究實踐注入了新的動力。

IIoT低交互蜜罐可以提供掃描、目標協議、攻擊源和暴力嘗試有關的有價值信息。另一方面，只有通過中/高交互蜜罐，才有可能發現并分析其他更高級的攻擊、對具體工業協議及流程的攻擊。IIoT高交互蜜罐允許攻擊者對系統進行破壞，或利用蜜罐進行一些其他攻擊行為，所以部署高交互蜜罐是一個很危險的行為，尤其是在IIoT這種具有特殊要求的環境，更不用說工業設備的高成本是IIoT蜜罐使用虛擬資源而非物理設備的最大驅動因素之一。

IIoT環境因其獨特的要求和功能，使得包括蜜罐在內的安全工具，即使有著很先進前沿的研究，卻始終難以在這些領域積極部署應用。就蜜罐的用途而言，大多數蜜罐和蜜網都只有著研究目的而沒有生產目的。SCADA設備需要連續工作，能夠中斷和停機的情況少之又少。除此之外，工業設備一般有高度的時效限制，需要嚴格保證響應時間。因此，在未部署蜜罐的ICS生產環境中插入蜜罐，或對已被淘汰或版本落后的蜜罐進行更新是非常困難的，這些行為極大可能影響ICS通信，并對系統有破壞風險（高交互蜜罐）。

最常被用于在IIoT蜜罐、蜜網中檢測/測試的攻擊是掃描（scanning）攻擊。大多數研究都對掃描攻擊進行了不同時間周期的測試，這些蜜罐能統計掃描次數、進行流量分析、借助現有庫判斷掃描源合法性等。除了DoS和DDoS，SSH、暴力嘗試和中間人攻擊也是特定的蜜罐和蜜網環境中的重點檢測對象。一些雖然沒有上述攻擊那么常見的，像勒索軟件、挖礦后臺等惡意軟件和一些針對ICS的特定攻擊，例如HAVEX RAT、PLC Blaster和tank overflow攻擊也是防護重點。

Linux是蜜罐和蜜網主流的操作系統環境，除此之外還有FreeBSD。編程語言上，Python最為流行，C/C++和Java也有使用。這應該與這些語言有支持工業協議的庫有關，例如Python有Modbustk、pymodbus和cpppo EtherNet/IP庫；C/C++有libiec61850和OpenDNP3庫；Java有JAMOD Modbus庫[8]。Conpot蜜罐作為最流行的IIoT/CPS開源蜜罐，也是用Python編寫的。

2.4 總結與啟發

IIoT環境十分特殊，任何蜜罐/蜜網在開發之初，應考慮其目標應用領域、目的、成本、部署環境、所提供/模擬的服務、與攻擊者預期交互程度、所消耗資源、所需工具、指紋識別性以及可能出現的實際責任問題等。此外，IIoT的蜜罐/蜜網從應用到部署，也需要事先進行多方面考量：例如對哪些具體應用、具體工業協議、部署在網絡的位置、資源分配（如何保證工業生產通信、控制資源）等。

IIoT蜜罐/蜜網是一種重要的安全手段，該領域一直以來也是非常活躍的研究領域，如何將現有的前沿研究實際應用至生產環境，與其他安全手段配合，起到更好保護IIoT環境的作用，則是我們未來更需關注的部分。

（本文部分內容翻譯修改自A Survey of Honeypots and Honeynets for Internet of Things, Industrial Internet of Things, and Cyber-Physical Systems (J. Franco et al. 2021)）

參考文獻：

[1] E. Sisinni, A. Saifullah, S. Han, U. Jennehag, M. Gidlund[C]. Industrial Internet of Things: Challenges, opportunities, and directions. IEEE Trans. Ind. Informat.. 2018(4), vol. 14, no. 11, pp. 4724-4734.

[2] B. Bordel, R. Alcarria, T. Robles, D. Martín[C]. Cyber–physical systems: Extending pervasive sensing from control theory to the Internet of Things. Pervasive Mobile Comput. 2017, vol. 40, pp. 156-184.

[3]  A. Humayed, J. Lin, F. Li, B. Luo[C]. Cyber-physical systems security—A survey. IEEE Internet Things J. 2017, vol. 4, no. 6, pp. 1802-1831.

[4] C. Greer, M. Burns, D. Wollman, E. Griffor[DB/OL]. Cyberphysical systems and Internet of Things. NIST, Gaithersburg, MD, USA. 2019, Rep. 1900-202.

[5] GB/T 26790, 工業無線網絡WIA規范[S].

[6] L. Spitzner[DB/OL]. The Value of Honeypots, Part One:Definitions and Values of Honeypots. http://www.symantec.com/connect/articles/value-honeypotspart-onedefinitions-and-values-honeypots/, Apr. 14, 2020.

[7] P. Kumar, R. Verma[J]. A review on recent advances & future trends of security in honeypot. Int. J. Adv. Res. Comput. Sci.. 2017, vol. 8, no. 3, pp. 1108-1113.

[8] J. Franco, A. Aris, B. Canberk, A. S. Uluagac[C]. A Survey of Honeypots and Honeynets for Internet of Things, Industrial Internet of Things, and Cyber-Physical Systems. IEEE Communications Surveys & Tutorials. 2021, vol. 23, no. 4, pp. 2351-2383.