基于網絡蜜罐的工業網絡安全防御決策方法

摘要：常規的工業網絡安全防御決策方法以網絡安全區域規劃為主，在惡意代碼、水坑攻擊等方面存在弊端，影響工業網絡安全。因此，文章設計了基于網絡蜜罐的工業網絡安全防御決策方法。該方法通過建立工業網絡安全防御虛擬蜜罐，在主機上部署一個局域網，將黑客引入虛擬蜜罐，避免真實網絡受到攻擊。基于網絡蜜罐部署網絡安全防御阻斷機制，文章利用防火墻與網絡安全監測模塊，識別并阻止惡意流量的傳播，阻斷潛在的網絡攻擊，實現工業網絡安全運行。采用對比實驗對所提方法進行驗證，結果表明該方法的網絡安全防御效果更佳，能夠被應用于實際生活中。

關鍵詞：網絡蜜罐；工業網絡；網絡安全；防御；決策方法

中圖分類號：TP309 "文獻標志碼：A

0 引言

工業網絡作為一個網絡控制系統，對于管理層與控制層之間的訪問安全至關重要。受安全機制、訪問協議等問題的影響，工業網絡內部存在一定的漏洞，影響網絡安全。針對此類問題，研究人員設計了多種決策方法。其中，基于大數據的工業網絡安全防御決策方法與基于物聯網技術的工業網絡安全防御決策方法的應用較為廣泛。基于大數據的工業網絡安全防御決策方法以大數據為基礎，設計網絡安全防御架構［1］。基于物聯網技術的工業網絡安全防御決策方法利用可信物聯網設備與開發板構建原型防御平臺，保證工業網絡防御的全面性［2］。以上2種方法均能夠完成網絡安全防御任務，但無法滿足惡意攻擊、水坑攻擊等類別的防御需求，亟須優化。

網絡蜜罐是一種安全資源，能夠代替真實網絡數據，被掃描、攻擊，從而保障真實數據的安全［3］。因此，本文結合網絡蜜罐的優勢，設計工業網絡安全防御決策方法。

1 工業網絡安全防御決策蜜罐方法設計

1.1 建立工業網絡安全防御虛擬蜜罐

虛擬蜜罐的價值是被攻擊，以此保證真正資源數據的安全。黑客可以攻擊蜜罐，但是不能攻破主機［4］。本文在主機上部署一個局域網，將黑客引入虛擬蜜罐中，避免真實網絡受到攻擊。網關由VMware軟件組成，在其中搭建了Linux虛擬環境，啟動Roo光盤，更新虛擬蜜罐的資源［5］。虛擬蜜罐獲取入侵交互信息的字段說明如表1所示。

如表1所示，在虛擬蜜罐網關上連接網絡安全監測設備，對攻擊行為特點的流量包生成對應報警日志，防止真實資源受到攻擊［6］。在虛擬蜜罐上設置安全范圍N（P），其表達式為：

N（P）=QP∈D∧d（P，Q）（1）

其中，P為安全范圍內的點，Q為攻擊節點，D為P的可達距離，d（P，Q）為P、Q之間的距離。給定自然數k，計算出D，其表達式為：

D=max｛k-N（P），d（P，Q）｝（2）

其中，在N（P）范圍內，自然數k能夠到達的位置均為安全區域。由此計算出Q的可達密度L（Q），其表達式為：

L（Q）=N（P）∑kD（3）

將L（Q）與N（P）進行分析，劃分出工業網絡安全范圍，從而確保工業數據安全。

1.2 基于網絡蜜罐部署網絡安全防御阻斷機制

本文結合SNMPv3協議，與聯動控制中心共同作用，完成攻擊阻斷任務。本文利用防火墻與網絡安全監測模塊，識別并阻止惡意流量的傳播，阻斷潛在的網絡攻擊，從而實現工業網絡安全運行［7］。網絡安全防御阻斷機制的工作流程如圖1所示。

由圖1可知，①—④為網絡攻擊阻斷的流程步驟。在①處找出終端設備與通信設備端口的對應信息，將攻擊行為連接到網絡蜜罐上，將物理端口封閉，阻止攻擊行為［8］。在②處將端口鏡像與安全監測設備相連接，采集工業網絡攻擊數據。將攻擊數據作為異常因子，確定異常因子的局部特征，其表達式為：

d（Q，k）=dk（Q）（4）

F（Q）=∑kdk（Q）L（Q）/N（P）（5）

在式（4）、（5）中，d（Q，k）為攻擊點Q與自然數k的距離；dk（Q）為Q的密度特征；F（Q）為異常因子的局部特征。將F（Q）作為基礎值，與其相似的特征均被劃分到攻擊類別中，從而阻斷網絡攻擊。在③處獲取安全監測設備的鏡像數據，分析數據的來源、身份。在④處確定攻擊時間，將攻擊事件上傳到聯動控制中心，有效地阻斷工業網絡攻擊事件。

2 實驗

本文對上述方法進行實驗分析。以熊群毓［1］提出基于大數據的工業網絡安全防御決策方法、解曉 "盈［2］提出基于物聯網技術的工業網絡安全防御決策方法作為對照組，將二者與本文設計的基于網絡蜜罐的工業網絡安全防御決策方法進行對比。

2.1 實驗過程

本次實驗在虛擬服務器上進行，使用Schneider M340 PLC設備與蜜罐作為參照設備，保證實驗環境的真實性。在服務器上開發NSL-KDD數據集，數據集中包含拒絕服務攻擊、分布式拒絕服務攻擊、掃描攻擊、入侵攻擊、勒索軟件攻擊、惡意代碼注入攻擊、釣魚攻擊、水坑攻擊、側信道攻擊、注入攻擊、會話劫持攻擊、零日漏洞攻擊等類別，攻擊場景多樣化，能夠滿足本次實驗需求。本文使用Nmap中的modicon-info腳本，對蜜罐進行探測，探測代碼如圖2所示。

由圖2可知，當輸出in response時，蜜罐資源能夠作為真實資源，應對腳本掃描，有效地防御網絡資源攻擊的問題。

2.2 實驗結果

在上述實驗條件下，本文隨機選取出12組工業網絡攻擊類別，各類數據攻擊數據量在20000 bit左右。數據類別可分為攻擊捕獲數據量、攻擊次數、防御成功次數、防御成功率等指標。防御成功率越高，越穩定，防御決策效果越佳。在其他條件均已知的情況下，對比3種方法的防御性能，實驗結果如表2所示。

由表2可知：在同等條件下，文獻［1］所提方法在某些攻擊上效果不佳，影響工業網絡安全；文獻［2］所提方法在整體上優于文獻［1］所提方法，但對惡意代碼和水坑攻擊防御效果仍較低，須優化；本文設計方法的攻擊數據捕獲量約20000 bit，防御成功率高達99%～100%，能夠應對各類攻擊，確保工業網絡運行安全。由此可見，本文設計的方法可以應對各類攻擊，給予有效的防御決策，能夠確保工業網絡運行安全。

3 結語

近年來，工業生產環境日益復雜，安裝工業網絡能夠實現數字化、雙向多站的通信環境，提高工業生產數據整合效率。工業網絡存在設備層網絡、控制層網絡、管理層網絡等架構，是網絡攻擊的重要目標。一旦發生工業網絡攻擊問題，就會導致嚴重的生產事故。因此，本文利用網絡蜜罐，設計了工業網絡安全防御決策方法。從虛擬蜜罐、防御阻斷機制2個方面，本文深入分析工業網絡入侵攻擊類別，模擬出真實的網絡環境吸引攻擊者，了解其攻擊行為，實施更具針對性的防御決策，為工業網絡的安全運行提供保障。

參考文獻

［1］熊群毓.基于大數據的計算機網絡安全防御系統設計研究［J］.信息記錄材料，2023（11）：217-219，222.

［2］解曉盈.基于物聯網技術的數字化校園網絡安全防御系統設計［J］.自動化與儀器儀表，2023（9）：151-155.

［3］唐亞東，劉寅，楊維永.基于等級保護網絡安全體系的新型電力系統風險分析與防范［J］.網絡安全技術與應用，2023（12）：130-133.

［4］本刊記者.主動出擊，打造工控系統網絡安全“白環境”威努特：提供全生命周期縱深防御解決方案和專業化的安全服務［J］.信息化建設，2023（10）：39-40.

［5］李媛，劉海峰，曹博濤.半監督環境下基于AE-ELM模型的工業網絡安全防御研究［J］.計算機測量與控制，2023（12）：244-250.

［6］唐澤林，王曉莉，王新.基于攻防博弈模型的網絡安全測評和最優主動防御分析［J］.現代工業經濟和信息化，2023（2）：74-75.

［7］蒲建發，郭敬東，羅富財，等.面向新型電力系統的光伏電站監控系統網絡安全防御體系分析［J］.數字技術與應用，2023（3）：231-233.

［8］馬翔明，穆煒，董文清.基于數據安全網關的醫院信息化網絡安全防御系統設計［J］.微型電腦應用，2022（7）：99-101，113.

（編輯 王永超編輯）

Industrial network security defense decision method based on network honeypot

ZHANG" Weijun

（Qiandongnan Technician College， Kaili 556000， China）

Abstract： The conventional industrial network security defense decision method is based on network security regional planning， which has disadvantages in malicious code and puddle attacks， and affects industrial network security. Therefore， the industrial network security defense decision method based on the network honeypot is designed. By establishing industrial network security defense virtual honey pot， a local area network on the host is deployed and the hackers into the virtual honey pot is introduced to avoid the real network attacks. Based on the deployment of network security defense and blocking mechanism， the firewall and network security monitoring module are used to identify and prevent the spread of malicious traffic， and block the potential network attacks， so as to realize the safe operation of industrial network. The comparative experiment proves that the network security defense effect of this method is better and can be applied in real life.

Key words： network honeypot; industrial network; network security; defense; decision-making method