针对工控系统的物联网安全仿真蜜罐开题报告 8页

中国科学技术大学软件学院软件工程实验项目环节开题报告项目名称：针对工控系统的物联网安全仿真蜜罐成员名单：梁陈浩、陈琪瑶、王琳琳、续世鹏、崔人文导师：郭燕工程领域：工控网络研究方向：工控网络安全开题时间：2015年11月1日中国科学技术大学软件学院填表日期：2015年11月1日8 一、简况名称中文针对工控系统的物联网安全仿真蜜罐英文TheSimulatedHoneypottoInternetofThingsofFactoryControlSystem项目组成员名单姓名学号项目中的分工签章梁陈浩SA15226278实现一个部署在公网上能被网络空间搜索引擎识别为工控设备的软件仿真系统。陈琪瑶SA15226350掌握搜索暴漏在公网上的工控组件的方法，以及对工控组件的识别方法。王琳琳SA15226253掌握工控网络与工控组件工作原理,如Scada系统、PLC设备、HMI设备等。续世鹏SA15226279分析Modbus协议格式、交互方式、协议特征等。崔人文SA15226197分析S7comm协议格式、交互方式、协议特征等。8 中英文摘要随着计算机技术、通信技术和控制技术的发展，传统的控制领域正经历着一场前所未有的变革，开始向网络化方向发展。工控系统中如果需要实现远程数据监控（Scade）就一定离不开通信协议。工控通信协议是工控设备与应用、设备与设备之间沟通的一种重要语言。Scada系统中会使用经由双方约定的协议直接与下层设备或数据采集转换器进行数据通信。随着时代的发展，厂级监控的实时性、可靠性需求增高，工业通信总线通讯速率的不断提升，从RS232/485到工业以太网再到工业实时以太网，工控网络中大量引入了以太网，并且使用TCP/IP或ISO标准封装后进行传输。因为一般的工控协议都经历了长时间的演变与积累，协议在设计之初都没有考虑加密、认证等在当今看来保障用户安全的必要认证条件，如1979年由莫迪康提出的第一个现场总线协议Modbus。所以我们常见的工控网络协议的安全性一直都不高。加上工控协议的特性是面向命令、面向功能、轮询应答式，攻击者只需要掌握协议构造方式，并接入到了工控网络中，便可以通过协议对目标设备的任意数据进行篡改。因此，我们可以实现一个部署在公网上能被网络空间搜索引擎识别为工控设备的软件仿真系统来收集不法分子的攻击代码，对其进行分析然后提出相应解决方案。这对保障工控系统安全有着重要研究和现实意义。Withthedevelopmentofcomputertechnology,communicationtechnologyandcontroltechnology,thetraditionalcontrolfieldisexperiencinganunprecedentedchange,begantodevelopinthedirectionofthenetwork.Ifyouneedtoimplementremotedatamonitoringintheindustrialcontrolsystem(Scade)mustbeinseparablefromthecommunicationprotocol.Industrialcontrolcommunicationprotocoliscommunicationbetweenindustrialcontrolequipmentandapplication,equipmentandanimportantlanguage.Scadasystemwillbeusedbythetwosidesagreedintheagreementdirectlywiththelowerequipmentordatacollectionconverterfordatacommunication.WiththedevelopmentofTheTimes,higherreal-timeandreliabilityrequirementsofplant-levelmonitoring,industrialcommunicationbuscommunicationraterising,from485toindustrialEthernetandRS232/real-timeindustrialEthernet,industrialcontrolnetworkofalargenumberofEthernetisintroduced,andusingTCP/IPorISOstandardpackageaftertransmission.Forgeneralindustrialcontrolprotocolshaveundergonealongevolutionandtheaccumulationofagreementatthebeginningofthedesignarenotconsideredencryption,authenticationandsoonintoday"sviewtoensurethesafetyoftheuser"sauthenticationnecessaryconditions,suchasthe1979firstputforwardbymodiconModbusfieldbusprotocol.Sowecommonindustrialcontrolnetworkprotocolsecurityhasbeenisnothigh.Combinedwiththecharacteristicsoftheindustrialcontrolprotocolisacommandandthefunction,thepollingresponsetype,theattackeronlyneedstomasteragreementisstructured,andaccesstotheindustrialcontrolnetwork,canthroughtheagreementtotamperwithanydataofthetargetdevice.Therefore,wecanachieveadeployedinpublictobeonthenetworkspacesearchenginerecognitionsoftwareforindustrialcontrolequipmentsimulationsystemtocollectcriminalsattackcode,toanalyzeitandthenputforwardthecorrespondingsolutions.Thishasimportantforindustrialcontrolsystemsecurityresearchandrealisticsignificance.8 主题词主题词数量不多于三个，主题词之间空一格（英文用“/”分隔）中文工控系统物联网安全蜜罐英文IndustrialControlSystem/InternetSecurity/Honeypot8 二、选题依据选题依据：随着攻击者知识的日趋成熟，攻击工具和方法的日趋复杂多样，单纯的防火墙、入侵检验等策略已经无法满足对安全高度敏感的部门需求。网络的安全防御必须采用一种纵深的、多样的手段。在这样的条件下，蜜罐技术作为一种新型的网络安全技术，得到了国内外很多研究机构和公司的重视，而且已经开始在不同的环境中发挥其关键的作用。随着近年来信息技术的快速发展，工控系统越来越开放，更多的采用通用操作系统、通讯协议和标准，与信息化系统结合也越来越紧密，信息安全的问题也就显得尤为突出。在我国工控系统已经广泛应用于国民经济的各主要行业和领域，成为国家关键基础设施的重要组成，但是绝大部分采用国外产品，一旦出现问题往往是灾难性的，造成的损失也是巨大的，因此工控系统的安全问题是关系国家经济安全和战略安全的重要问题。而蜜罐技术能有效弥补传统信息安全技术的缺陷，使得防护体系更加完善与安全。目前国外的学术界对蜜罐技术的研究最多的是蜜网项目组织，形成了一系列的理论基础，除此之外其他研究机构和公司也已经广泛研究蜜罐及商业化生产。但在国内对蜜罐技术的研究尚处于发展阶段，还没有形成自己的理论体系和流派，也没有成熟的产品。2004年北京大学的狩猎女神项目启动，这是我国第一个正式研究蜜罐技术的组织。技术难点：（1）使黑客无法侦测到数据捕获这个进程的同时搜集尽可能多的数据。  （2）黑客们越来越多的使用加密工具来保护他们的传输通道。如果目标机器没有安装加密服务，那么他们也会自己安装上如SSH、加密的GUI客户端或者SSL等服务。如果没有密钥，基于网络的数据捕获工具将无法察看传输的数据。  （3）要将收集到的数据通过一个秘密通道汇总到蜜墙中的数据收集服务器。参考文献：[1]李跃贞，基于蜜罐（Honeypot）技术的网络信息安全研究[J].中国安全科学学报.2006(7)[2]KnowYourEnemy：GenIIHoneynets-03Novembe，2003，http：//www.honeynet.org/papers/honeynet/index.html[3]MullinerC,LiebergeldS,LangeM.HoneyDroid—Creatingasmartphonehoneypot.In:ButlerK,ed.Proc.ofthe2011IEEESymp.onSecurityandPrivacy(Oakland2011).Oakland:OaklandPress,2011.8 三、课题内容及具体方案1．课题内容本课题主要内容是研究设计一个针对工控系统的物联网安全仿真蜜罐。该蜜罐不断侦听网络数据，并对读写PLCCoilRegister值和使用功能码读取PLC设备信息、请求从节点信息以及ModiconPLC信息的请求报文做出与标准通信协议相应的响应，并使用协议扫描来捕获数据，能够识别PLC设备非法的入侵方式，为工控网络安全防御做好准备。2．设计思路2.1协议的学习和理解Modbus是一个请求/应答协议，基于TCP/IP协议，并且提供功能码规定的服务。Modbus功能码是Modbus请求/应答PDU的元素。本文件的作用是描述Modbus事务处理框架内使用的功能码。西门子S5/S7协议是属于第7层的协议，用于西门子设备之间进行交换数据，通过TSAP，可加载MPI,DP,以太网等不同物理结构总线或网络上，PLC一般可以通过封装好的通讯功能块实现。蜜罐使用以上协议与访问者进行交互，对有威胁的数据访问和改写进行相应操作。2.2python网络编程使用Python来创建socket，将socket与指定的IP地址和端口进行绑定，使用socket来发送数据，接受数据，实现远程通信。在python的网络编程中可以使用工控协议，使用Python中处理线程，从而编写可以同时处理多个请求的服务器来解析和封装网络通信的数据包。2.3仿真技术工控网络中PLC等设备拥有可以交互的服务器，外界可以发送数据包与之交互。设备使用不同的协议，并对相应的操作请求发送对应的数据包。针对这一特性，使用python网络编程技术分析真实的工控设备发送的数据包，并在蜜罐中使用python将虚拟的设备基本信息等数据包存储在python编写的服务器上，在外界查询和鉴别蜜罐身份时封装并发送虚拟的信息，从而达到使外界识别该系统是一个真实的工控设备的目的。3.技术难度及特色分析蜜罐的甄别方法为技术难点。其中有对于43功能码中的异常数据的应答和对于01功能码中的异常数据的应答等。将模拟工控设备漏洞的部分暴露在工控网络中，并配合conpot更容易被搜索引擎发现。发现网络空间扫面引擎IP地址，拦截扫描，了解扫描引擎的指纹识别方法，收集信息，掌握黑客的进一步攻击行为，收集异常数据中可能的0-day，健壮的蜜罐系统，使其更难被甄别，更好的伪装。8 四、工作进度的大致安排阶段时间安排主要工作成果项目开题2015年10月文献调研收集材料整理信息论证项目可行性制定项目初步计划项目初步开发计划进度表开发计划进行评审开题报告理论分析2015年11月确定系统运行环境需求规格说明建立系统逻辑模型项目开发计划确定系统功能及性能要求确认项目开发计划概要设计2015年11月建立系统总体结构，划分模块定义各功能模块详细设计2015年12月设计各模块具体实现算法确定模块间详细接口构建可行的软硬件平台制定测试方案实现2016年1月至2016年4月编写程序源代码程序测试bug调试和优化对实现过程及已完成的文档进行评审撰写论文2016年5月撰写论文论文8 导师意见（对选题和工作过程及成果进行说明，并给出成绩。）导师签名：年月日答辩小组意见答辩组长签名：年月日8