针对工控系统的物联网安全仿真蜜罐开题报告.doc

中国科学技术大学软件学院软件工程实验项目环节开题报告项 目 名 称： 针对工控系统的物联网安全仿真蜜罐 成 员 名 单： 梁陈浩、陈琪瑶、王琳琳、续世鹏、崔人文 导 师： 郭燕 工 程 领 域： 工控网络 研 究 方 向： 工控网络安全 开 题 时 间： 2015年11月1日 中国科学技术大学软件学院填表日期：2015年 11 月 1 日一、 简况名称中文 针对工控系统的物联网安全仿真蜜罐英文 The Simulated Honeypot to Internet of Things of Factory Control System项目组成员名单姓名学号项目中的分工签 章梁陈浩SA15226278实现一个部署在公网上能被网络空间搜索引擎识别为工控设备的软件仿真系统。陈琪瑶SA15226350掌握搜索暴漏在公网上的工控组件的方法，以及对工控组件的识别方法。王琳琳SA15226253掌握工控网络与工控组件工作原理,如Scada系统、PLC设备、HMI设备等。续世鹏SA15226279分析Modbus协议格式、交互方式、协议特征等。崔人文SA15226197分析S7comm协议格式、交互方式、协议特征等。中 英 文 摘 要 随着计算机技术、通信技术和控制技术的发展，传统的控制领域正经历着一场前所未有的变革，开始向网络化方向发展。工控系统中如果需要实现远程数据监控（Scade）就一定离不开通信协议。工控通信协议是工控设备与应用、设备与设备之间沟通的一种重要语言。Scada系统中会使用经由双方约定的协议直接与下层设备或数据采集转换器进行数据通信。随着时代的发展，厂级监控的实时性、可靠性需求增高，工业通信总线通讯速率的不断提升，从RS232/485到工业以太网再到工业实时以太网，工控网络中大量引入了以太网，并且使用TCP/IP或ISO标准封装后进行传输。因为一般的工控协议都经历了长时间的演变与积累，协议在设计之初都没有考虑加密、认证等在当今看来保障用户安全的必要认证条件，如1979年由莫迪康提出的第一个现场总线协议Modbus。所以我们常见的工控网络协议的安全性一直都不高。加上工控协议的特性是面向命令、面向功能、轮询应答式，攻击者只需要掌握协议构造方式，并接入到了工控网络中，便可以通过协议对目标设备的任意数据进行篡改。因此，我们可以实现一个部署在公网上能被网络空间搜索引擎识别为工控设备的软件仿真系统来收集不法分子的攻击代码，对其进行分析然后提出相应解决方案。这对保障工控系统安全有着重要研究和现实意义。 With the development of computer technology, communication technology and control technology, the traditional control field is experiencing an unprecedented change, began to develop in the direction of the network.If you need to implement remote data monitoring in the industrial control system (Scade) must be inseparable from the communication protocol.Industrial control communication protocol is communication between industrial control equipment and application, equipment and an important language.Scada system will be used by the two sides agreed in the agreement directly with the lower equipment or data collection converter for data communication.With the development of The Times, higher real-time and reliability requirements of plant-level monitoring, industrial communication bus communication rate rising, from 485 to industrial Ethernet and RS232 / real-time industrial Ethernet, industrial control network of a large number of Ethernet is introduced, and using TCP/IP or ISO standard package after transmission.For general industrial control protocols have undergone a long evolution and the accumulation of agreement at the beginning of the design are not considered encryption, authentication and so on in todays view to ensure the safety of the users authentication necessary conditions, such as the 1979 first put forward by modicon Modbus fieldbus protocol.So we common industrial control network protocol security has been is not high.Combined with the characteristics of the industrial control protocol is a command and the function, the polling response type, the attacker only needs to master agreement is structured, and access to the industrial control network, can through the agreement to tamper with any data of the target device.Therefore, we can achieve a deployed in public to be on the network space search engine recognition software for industrial control equipment simulation system to collect criminals attack code, to analyze it and then put forward the corresponding solutions.This has important for industrial control system security research and realistic significance.主题词主题词数量不多于三个，主题词之间空一格（英文用“/ ”分隔）中文工控系统 物联网安全 蜜罐英文Industrial Control System/ Internet Security/ Honeypot二、选题依据选题依据： 随着攻击者知识的日趋成熟，攻击工具和方法的日趋复杂多样，单纯的防火墙、入侵检验等策略已经无法满足对安全高度敏感的部门需求。网络的安全防御必须采用一种纵深的、多样的手段。在这样的条件下，蜜罐技术作为一种新型的网络安全技术，得到了国内外很多研究机构和公司的重视，而且已经开始在不同的环境中发挥其关键的作用。随着近年来信息技术的快速发展，工控系统越来越开放，更多的采用通用操作系统、通讯协议和标准，与信息化系统结合也越来越紧密，信息安全的问题也就显得尤为突出。在我国工控系统已经广泛应用于国民经济的各主要行业和领域，成为国家关键基础设施的重要组成，但是绝大部分采用国外产品，一旦出现问题往往是灾难性的，造成的损失也是巨大的，因此工控系统的安全问题是关系国家经济安全和战略安全的重要问题。而蜜罐技术能有效弥补传统信息安全技术的缺陷，使得防护体系更加完善与安全。目前国外的学术界对蜜罐技术的研究最多的是蜜网项目组织，形成了一系列的理论基础，除此之外其他研究机构和公司也已经广泛研究蜜罐及商业化生产。但在国内对蜜罐技术的研究尚处于发展阶段，还没有形成自己的理论体系和流派，也没有成熟的产品。2004年北京大学的狩猎女神项目启动，这是我国第一个正式研究蜜罐技术的组织。技术难点： （1）使黑客无法侦测到数据捕获这个进程的同时搜集尽可能多的数据。（2）黑客们越来越多的使用加密工具来保护他们的传输通道。如果目标机器没有安装加密服务，那么他们也会自己安装上如SSH、加密的GUI客户端或者SSL等服务。如果没有密钥，基于网络的数据捕获工具将无法察看传输的数据。（3）要将收集到的数据通过一个秘密通道汇总到蜜墙中的数据收集服务器。参考文献：1李跃贞，基于蜜罐（Honeypot）技术的网络信息安全研究J.中国安全科学学报.2006(7)2Know Your Enemy：GenII Honeynets-03 Novembe，2003，http：//papers/honeynet/index.html3Mulliner C, Liebergeld S, Lange M. HoneyDroidCreating a smartphone honeypot. In: Butler K, ed. Proc. of the 2011 IEEE Symp. on Security and Privacy (Oakland 2011). Oakland: Oakland Press, 2011.三、课题内容及具体方案1课题内容 本课题主要内容是研究设计一个针对工控系统的物联网安全仿真蜜罐。该蜜罐不断侦听网络数据，并对读写PLC Coil Register值和使用功能码读取PLC设备信息、请求从节点信息以及Modicon PLC信息的请求报文做出与标准通信协议相应的响应，并使用协议扫描来捕获数据，能够识别PLC设备非法的入侵方式，为工控网络安全防御做好准备。2设计思路2.1 协议的学习和理解 Modbus是一个请求/应答协议，基于TCP/IP协议，并且提供功能码规定的服务。Modbus功能码是 Modbus 请求/应答 PDU 的元素。本文件的作用是描述 Modbus 事务处理框架内使用的功能码。西门子S5/S7协议是属于第7层的协议，用于西门子设备之间进行交换数据，通过TSAP，可加载MPI,DP,以太网等不同物理结构总线或网络上，PLC一般可以通过封装好的通讯功能块实现。蜜罐使用以上协议与访问者进行交互，对有威胁的数据访问和改写进行相应操作。2.2 python网络编程使用Python来创建socket，将socket与指定的IP地址和端口进行绑定，使用socket来发送数据，接受数据，实现远程通信。在python的网络编程中可以使用工控协议，使用Python中处理线程，从而编写可以同时处理多个请求的服务器来解析和封装网络通信的数据包。2.3 仿真技术 工控网络中PLC等设备拥有可以交互的服务器，外界可以发送数据包与之交互。设备使用不同的协议，并对相应的操作请求发送对应的数据包。针对这一特性，使用python网络编程技术分析真实的工控设备发送的数据包，并在蜜罐中使用python将虚拟的设备基本信息等数据包存储在python编写的服务器上，在外界查询和鉴别蜜罐身份时封装并发送虚拟的信息，从而达到使外界识别该系统是一个真实的工控设备的目的。3. 技术难度及特色分析蜜罐的甄别方法为技术难点。其中有对于43功能码中的异常数据的应答和对于01功能码中的异常数据的应答等。将模拟工控设备漏洞的部分暴露在工控网络中，并配合conpot更容易被搜索引擎发现。 发现网络空间扫面引擎IP地址，拦截扫描，了解扫描引擎的指纹识别方法，收集信息，掌握黑客的进一步攻击行为，收集异常数据中可能的0-day，健壮的蜜罐系统，使其更难被甄别，更好的伪装。四、工作进度的大致安排阶段时间安排主要工作成果项目开题2015年10月文献调研收集材料整理信息论证项目可行性制定项目初步计划项目初步开发