论文题目:基于分类算法的工业控制系统蜜罐设计与实现
摘要:随着互联网技术的发展,互联网的应用场景越来越多,在工业控制领域,越来越多的工业控制系统连接入互联网中,使得工业控制网络暴露在许多攻击者角色下,而工业控制系统在设计之初并未考虑到其在互联网的应用场景,因此大多数工业控制系统并没有设置针对互联网攻击的安全防护措施,大量的工业控制系统信息安全问题暴露出来并被互联网上恶意攻击者恶意利用。随着工业4.0、工业互联网等新兴技术、业态的产生,工业化与信息化的深度融合极大提升了工业控制系统自动化、网络化、智能化水平。但给工业控制系统带来便利的同时,也将传统互联网面临的安全攻击带入到工业控制领域中。面对新型信息安全威胁及攻击手段,以防火墙、网闸等为主的传统被动式安全防护已无法完全满足工业控制系统信息安全防护的实际需要,且受到自身技术特点的局限难以实现更大的突破,因此急需开展新型安全防护技术研究。本论文设计的工业诱捕系统主要基于蜜罐技术,能够对攻击数据进行捕捉,并且分析其攻击数据,抓取攻击者的特征,进而做出更好的防御策略,该技术是一种新型主动式网络安全防护技术,主要通过吸引攻击者对其进行攻击,因而能够比其他防御手段捕获到更多的攻击者的信息。一方面,在安全防御和威胁预警能力上,蜜罐系统将自己暴露在攻击者的视线范围下,作为诱饵,吸引攻击者攻击,进而捕获攻击者的指纹信息,转移攻击者视线,进而保护真实的工业控制系统,指导其加固防护措施和策略。其次,由于工业控制系统对实时性要求极高,一些传统的漏洞扫描器可能会对工业控制系统性能造成不必要的影响,细小的时延就会影响工业控制系统的正常生产,因此对于工业控制系统内进行漏洞挖掘通常不被工厂所接受。而蜜罐可以记录所有连接的数据包。蜜罐可以部署于一个独立的网段,不会对工艺流程造成任何影响,不会延缓工业控制系统的连续性。本论文主要基于蜜罐系统设计并实现了工业诱捕系统,通过对Conpot进行改进,增加其相应数据包返回内容,能够更加趋近于真实的工业控制系统,同时增加模拟的协议种类,使蜜罐能够模拟Ethernet/IP协议,使得Conpot提供的服务更加逼真。通过构建解析器,对Conpot模拟的协议进行解析,实现初步的数据化的处理,收集攻击者的信息,同时构架了工业诱捕蜜罐平台。该平台能够对蜜罐捕捉到的流量进行实时分析和可视化,在其蜜罐的能力范围内捕捉嗅探、探视和入侵的攻击行为,感知当前网络空间的安全形势,并不断提供安全分析事件的界面。通过将该平台映射到公网中,已连续不断收集了4个月的数据。由于网上诱捕到的数据比较杂乱,为了实现更好的机器学习,能够更好的对数据进行标签化处理,本实验对蜜罐进行三种形式的攻击,分别是密码暴力破解、SQL注入和DDos攻击,收集蜜罐所诱捕到的攻击数据,并对数据进行可视化处理,进而通过基于t分布的随机近邻嵌入(t-distribution stochastic neighbor embedding,t-SNE)算法对其进行分析,将攻击行为映射到低维空间,实现横向和纵向的关联对比,进行特征值分析,并结合可视化方法展现其紧密程度,为安全人员进行更为有效的防护提供帮助。同时,对收集到的攻击数据使用分类算法进行有监督学习,通过对比gradient boosting和logistics regression算法的优劣性,对攻击者的攻击方式进行分类,实现预测攻击方式的功能,方便网络管理者能够更好的应对风险,制定安全部署策略。
关键词:工业控制系统安全;蜜罐;t-SNE;数据分析;分类算法
学科专业:工程硕士(专业学位)
摘要
ABSTRACT
缩略语对照表
第一章 绪论
1.1 研究背景及意义
1.2 国内外研究现状
1.2.1 工控安全研究现状
1.2.2 蜜罐研究现状
1.2.3 分类算法的研究现状
1.3 主要完成的工作
1.4 本论文的组织结构
第二章 工控系统安全相关介绍
2.1 工业控制系统系统脆弱性分析
2.2 工业控制系统网络的攻击流程
2.3 工业控制系统主要协议现状
2.3.2 西门子S7协议分析
2.3.3 Modbus协议分析
2.3.4 其他工业控制系统协议分析
2.4 本章小结
第三章 工业控制系统蜜罐
3.1 蜜罐介绍
3.2 蜜罐的分类
3.2.1 按照安全目标分类
3.2.2 按照交互程度分类
3.3 研究重点
3.3.1 检测方法
3.3.2 控制数据
3.3.3 数据捕捉和数据存储方式
3.4 工业控制系统蜜罐
3.5 Conpot的工作机制
3.6 本章小结
第四章 工业诱捕系统的设计
4.1 工业诱捕系统的总体设计
4.2 工业控制蜜罐系统的安装和节点部署
4.3 工业诱捕系统数据库
4.4 本章小结
第五章 工业诱捕系统的实现及机器学习算法的应用
5.1 针对于工业蜜罐系统的改进
5.1.1 针对于PLC SCAN探测器的改进
5.1.2 增强S7协议的交互性
5.1.3 增加协议支持
5.1.4 蜜罐的前端界面模拟功能
5.2 实验结果对比
5.2.1 PLC SCAN修改前后对比
5.2.2 S7协议模拟修改实验结果前后对比
5.2.3 协议模拟实验结果图
5.2.4 前端界面修改前后对比
5.3 工业诱捕系统的实现
5.3.0 数据层
5.3.1 数据分析层
5.3.2 界面设计
5.3.3 数据集的收集以及分析
5.3.4 自定义攻击方式
5.4 TSNE算法以及机器学习相关实验
5.4.1 t-SNE算法相关实验
5.4.2 Gradient boosting算法实现分类
5.4.3 Logistics regression算法实现分类
5.4.4 实验结果及分析
5.5 本章小结
第六章 总结和展望
6.1 研究总结
6.2 展望
参考文献
致谢
推荐阅读:
工业控制防护网络信息论文(精选3篇)04-30
工业控制系统信息安全论文提纲11-15
工业控制论文提纲11-15
工业企业成本控制论文提纲11-15
工业控制系统信息安全论文(精选3篇)04-27
成本控制烟草工业论文提纲11-15
工业控制设备软件开发论文提纲11-15
通信企业信息网络安全控制论文05-05
家庭网络系统控制分析论文提纲11-15
信息系统内部控制论文提纲11-15
