本發(fā)明涉及工控系統(tǒng)，尤其涉及一種基于數(shù)字孿生的自適應(yīng)智能化工控高交互蜜罐的構(gòu)建方法。

背景技術(shù)：

1、隨著工業(yè)進入4.0時代，數(shù)字化轉(zhuǎn)型已成為推動制造業(yè)效率和生產(chǎn)力提升的關(guān)鍵驅(qū)動力。這一轉(zhuǎn)型不僅引入了先進的自動化和智能化技術(shù)，還催生了高度互聯(lián)的工業(yè)控制系統(tǒng)(ics)和物聯(lián)網(wǎng)(iot)設(shè)備，從而構(gòu)成了復(fù)雜的工業(yè)互聯(lián)網(wǎng)(i?iot)生態(tài)系統(tǒng)。然而，這種互聯(lián)互通性同時也暴露了工業(yè)基礎(chǔ)設(shè)施于前所未有的網(wǎng)絡(luò)安全風險之中。

2、針對日趨增多的工控安全威脅，傳統(tǒng)的安全防御機制，如防火墻、入侵檢測系統(tǒng)(ids)和反病毒軟件，雖然在一定程度上能夠抵御外部攻擊，但它們往往側(cè)重于預(yù)防和檢測，而對已經(jīng)滲透進內(nèi)部網(wǎng)絡(luò)的攻擊者反應(yīng)滯后，且難以獲取攻擊者的詳細信息和動機。為了更深入地理解攻擊者的策略和操作模式，安全專家需借助更為精妙的工具和技術(shù)。這種情況下，蜜罐技術(shù)作為一種主動防御手段，因其獨特的功能和優(yōu)勢，在工業(yè)控制系統(tǒng)的防護中扮演著越來越重要的角色。

3、蜜罐，實質(zhì)上是一種精心設(shè)計的誘餌系統(tǒng)，其核心使命并非單純防御，而是通過模擬真實的網(wǎng)絡(luò)環(huán)境或系統(tǒng)來故意吸引攻擊者，以便于對其行動進行監(jiān)視和研究。蜜罐根據(jù)工業(yè)服務(wù)仿真水平可分為高交互蜜罐和低交互蜜罐。其中，低交互性蜜罐主要模擬系統(tǒng)中的特定服務(wù)組件，在開發(fā)、部署和加固方面相對簡單，其只提供了一個狹窄的攻擊面。例如，conpot是一個流行的開源低交互蜜罐，專門用于模擬scada系統(tǒng)中的設(shè)備，如可編程邏輯控制器(plc)和人機接口(hmi)。與之相比，高交互性蜜罐則構(gòu)建在真實的操作系統(tǒng)之上，集成了真實的服務(wù)組件或?qū)Σ僮飨到y(tǒng)的關(guān)鍵功能進行了精確模擬，其提供了廣闊的攻擊面。此外，根據(jù)實現(xiàn)方式可以分為虛擬和物理兩種類型。物理蜜罐，它們部署在真實的物理硬件上，可能包括實際的服務(wù)器、工作站或其他網(wǎng)絡(luò)設(shè)備，運行著真實的操作系統(tǒng)和應(yīng)用程序。這類蜜罐的優(yōu)點在于其真實性較高，可以提供更為豐富的攻擊面，但成本較高且維護復(fù)雜。而虛擬蜜罐則是通過軟件模擬真實的操作系統(tǒng)、應(yīng)用程序和服務(wù)。這類蜜罐因其需具備更高的仿真精度而更顯復(fù)雜，它必須足夠逼真，才能夠有效迷惑并吸引高級攻擊者。虛擬蜜罐的成本較低，易于部署和管理，但也面臨著仿真精度的挑戰(zhàn)。

4、數(shù)字孿生是指在數(shù)字空間中創(chuàng)建物理對象的精確虛擬模型，以便于對物理對象進行監(jiān)測、分析和優(yōu)化。數(shù)字孿生技術(shù)利用實時數(shù)據(jù)流和歷史數(shù)據(jù)，通過建模和仿真技術(shù)，能夠在虛擬環(huán)境中準確反映物理實體的狀態(tài)和行為。數(shù)字孿生技術(shù)在工業(yè)領(lǐng)域中的應(yīng)用可以幫助更好地理解設(shè)備的工作狀態(tài)，預(yù)測潛在的問題，并在實際環(huán)境中進行測試和驗證之前進行模擬和決策。在工控蜜罐中，數(shù)字孿生也常被用來對物理過程進行建模以提高蜜罐的仿真程度。

5、目前對于工控蜜罐中的研究，側(cè)重點在提高蜜罐的交互程度以及數(shù)據(jù)的捕獲上。但相關(guān)技術(shù)還存在以下缺點：

6、1、蜜罐的配置在部署時就已經(jīng)確定，沒有考慮后續(xù)運行過程中配置的修改，不夠靈活。

7、2、相關(guān)技術(shù)使用的是物理蜜罐，物理蜜罐依賴于實際的硬件設(shè)備，其遷移及擴展性有限，且在配置的修改上也存在難度。同時，相關(guān)方法基于歷史數(shù)據(jù)和預(yù)設(shè)模型進行威脅識別，對于新攻擊模式的響應(yīng)和適應(yīng)性存在局限。

技術(shù)實現(xiàn)思路

1、本發(fā)明實施例的主要目的在于提出一種基于數(shù)字孿生的自適應(yīng)智能化工控高交互蜜罐的構(gòu)建方法，以提高部署的靈活性以及擴展性，并且能夠提高針對新攻擊模式的響應(yīng)速度和適應(yīng)性。

2、為實現(xiàn)上述目的，本發(fā)明實施例的一方面提出了一種基于數(shù)字孿生的自適應(yīng)智能化工控高交互蜜罐的構(gòu)建方法，包括以下步驟：

3、在蜜罐系統(tǒng)的物理層中，基于min?icps框架構(gòu)造工控服務(wù)模塊中的各個虛擬節(jié)點；收集現(xiàn)場設(shè)備的傳感器數(shù)據(jù)和事件日志；將現(xiàn)場設(shè)備的傳感器數(shù)據(jù)和事件日志提供給數(shù)字孿生模塊，由所述數(shù)字孿生模塊對物理過程進行建模；并由所述數(shù)字孿生模塊將物理過程數(shù)據(jù)傳輸至工控服務(wù)模塊，以提供給攻擊者仿真程度高的工控服務(wù)；

4、在蜜罐系統(tǒng)的數(shù)字孿生層中，通過對原始蜜罐系統(tǒng)收集歷史數(shù)據(jù)以及實時數(shù)據(jù)存儲到存儲庫，構(gòu)建原始蜜罐系統(tǒng)的孿生體，添加額外的監(jiān)控模塊、模擬和測試模塊以及智能化分析模塊，通過監(jiān)控模塊收集蜜罐系統(tǒng)的環(huán)境數(shù)據(jù)以及攻擊者行為數(shù)據(jù)，將收集到的數(shù)據(jù)進行預(yù)處理后發(fā)往智能化分析模塊進行分析得到結(jié)果，對響應(yīng)以及蜜罐配置的修改做出指導(dǎo)。

5、在一些實施例中，所述現(xiàn)場設(shè)備的傳感器數(shù)據(jù)包括傳感器讀數(shù)、操作日志、維護記錄；所述將現(xiàn)場設(shè)備的傳感器數(shù)據(jù)和事件日志提供給數(shù)字孿生模塊，由所述數(shù)字孿生模塊對物理過程進行建模，包括以下步驟：

6、通過傳感器和數(shù)據(jù)采集系統(tǒng)收集傳感器讀數(shù)、操作日志、維護記錄，建立物理過程的精確數(shù)字表示；

7、利用先進的數(shù)學(xué)模型和仿真技術(shù)，將收集到的數(shù)據(jù)轉(zhuǎn)化為虛擬模型；

8、維持數(shù)字孿生體與物理實體之間的實時同步，將物理世界的變化反映在數(shù)字模型中，以提供給攻擊者逼真度較高的工業(yè)現(xiàn)場視圖；

9、其中，虛擬節(jié)點包括hmi模塊、plc模塊。

10、在一些實施例中，所述通過對原始蜜罐系統(tǒng)收集歷史數(shù)據(jù)以及實時數(shù)據(jù)存儲到存儲庫這一步驟中，所述實時數(shù)據(jù)包括系統(tǒng)環(huán)境、配置數(shù)據(jù)、網(wǎng)絡(luò)流量。

11、在一些實施例中，所述智能化分析模塊的模型訓(xùn)練過程包括以下步驟：

12、利用歷史數(shù)據(jù)對模型進行離線訓(xùn)練，建立基礎(chǔ)模型；

13、實時數(shù)據(jù)對所述基礎(chǔ)模型進行在線學(xué)習(xí)，實時更新模型參數(shù)，訓(xùn)練得到智能化分析模塊。

14、在一些實施例中，所述方法還包括：

15、通過采集攻擊者的攻擊行為數(shù)據(jù)和蜜罐環(huán)境數(shù)據(jù)，預(yù)測攻擊者的攻擊目標主機和使用的協(xié)議，根據(jù)預(yù)測的結(jié)果修改網(wǎng)絡(luò)拓撲和目標主機所開放的協(xié)議；

16、使用網(wǎng)絡(luò)流量分析工具從攻擊者的掃描數(shù)據(jù)包中提取攻擊特征；

17、提取的攻擊特征經(jīng)過預(yù)處理并轉(zhuǎn)換為數(shù)字類型，作為模型的輸入特征。

18、在一些實施例中，所述蜜罐環(huán)境數(shù)據(jù)包括操作系統(tǒng)版本、硬件資源、網(wǎng)絡(luò)狀況、網(wǎng)絡(luò)拓撲、開放協(xié)議服務(wù)。

19、在一些實施例中，所述方法還包括以下步驟：

20、根據(jù)智能化分析模塊中的模型的預(yù)測結(jié)果，調(diào)整原始蜜罐系統(tǒng)中開放的工控服務(wù)和網(wǎng)絡(luò)拓撲。

21、在一些實施例中，所述根據(jù)智能化分析模塊中的模型的預(yù)測結(jié)果，調(diào)整原始蜜罐系統(tǒng)中開放的工控服務(wù)和網(wǎng)絡(luò)拓撲，包括以下步驟：

22、智能化分析模塊根據(jù)當前攻擊者的行為和蜜罐的環(huán)境做出預(yù)測后，將預(yù)測結(jié)果以及所需要的歷史數(shù)據(jù)發(fā)往原始蜜罐系統(tǒng)中的sdn控制器；

23、當sdn控制器收到對攻擊行為的預(yù)測后，進行配置的動態(tài)修改；

24、sdn控制器根據(jù)預(yù)測出的蜜罐可能受到的攻擊協(xié)議，開放工控服務(wù)模塊中相應(yīng)的協(xié)議和端口。

25、在一些實施例中，所述當sdn控制器收到對攻擊行為的預(yù)測后，進行配置的動態(tài)修改，包括以下步驟：

26、sdn控制器收到預(yù)測結(jié)果，并根據(jù)預(yù)測結(jié)果開放對應(yīng)的協(xié)議和端口；

27、判斷是否預(yù)測出可能攻擊的目標主機，若是，則為目標主機添加相連的其他節(jié)點，并從歷史數(shù)據(jù)中提取相關(guān)流量注入到所述目標主機，進而完成蜜罐系統(tǒng)的配置修改；若否，則不進行拓撲的修改。

28、為實現(xiàn)上述目的，本發(fā)明實施例的另一方面提出了一種電子設(shè)備，所述電子設(shè)備包括存儲器和處理器，所述存儲器存儲有計算機程序，所述處理器執(zhí)行所述計算機程序時實現(xiàn)前面所述的方法。

29、為實現(xiàn)上述目的，本發(fā)明實施例的另一方面提出了一種計算機可讀存儲介質(zhì)，所述計算機可讀存儲介質(zhì)存儲有計算機程序，所述計算機程序被處理器執(zhí)行時實現(xiàn)前面所述的方法。

30、本發(fā)明實施例還公開了一種計算機程序產(chǎn)品或計算機程序，該計算機程序產(chǎn)品或計算機程序包括計算機指令，該計算機指令存儲在計算機可讀存儲介質(zhì)中。計算機設(shè)備的處理器可以從計算機可讀存儲介質(zhì)讀取該計算機指令，處理器執(zhí)行該計算機指令，使得該計算機設(shè)備執(zhí)行前面的方法。

31、本發(fā)明實施例至少包括以下有益效果：本發(fā)明提供一種基于數(shù)字孿生的自適應(yīng)智能化工控高交互蜜罐的構(gòu)建方法,該方案在蜜罐系統(tǒng)的物理層中，基于min?icps框架構(gòu)造工控服務(wù)模塊中的各個虛擬節(jié)點；收集現(xiàn)場設(shè)備的傳感器數(shù)據(jù)和事件日志；將現(xiàn)場設(shè)備的傳感器數(shù)據(jù)和事件日志提供給數(shù)字孿生模塊，由所述數(shù)字孿生模塊對物理過程進行建模；并由所述數(shù)字孿生模塊將物理過程數(shù)據(jù)傳輸至工控服務(wù)模塊，以提供給攻擊者仿真程度高的工控服務(wù)；在蜜罐系統(tǒng)的數(shù)字孿生層中，通過對原始蜜罐系統(tǒng)收集歷史數(shù)據(jù)以及實時數(shù)據(jù)存儲到存儲庫，構(gòu)建原始蜜罐系統(tǒng)的孿生體，添加額外的監(jiān)控模塊、模擬和測試模塊以及智能化分析模塊，通過監(jiān)控模塊收集蜜罐系統(tǒng)的環(huán)境數(shù)據(jù)以及攻擊者行為數(shù)據(jù)，將收集到的數(shù)據(jù)進行預(yù)處理后發(fā)往智能化分析模塊進行分析得到結(jié)果，對響應(yīng)以及蜜罐配置的修改做出指導(dǎo)。本發(fā)明實施例能夠提高部署的靈活性以及擴展性，并且能夠提高針對新攻擊模式的響應(yīng)速度和適應(yīng)性。