[发明专利]基于工控业务仿真的PLC蜜罐系统、实现方法及仿真设备

说明书

本发明提供一种基于工控业务仿真的PLC蜜罐系统、实现方法及仿真设备，属于工业控制系统安全技术领域，所述系统包括信息服务仿真模块、过程控制仿真模块以及数据转存模块，信息服务仿真模块用于通过部署蜜罐系统来仿真预设设备，并使用蜜罐内置的预设协议服务器与客户端进行交互；过程控制仿真模块用于提供实时更新的动态生产数据，并在蜜罐系统内构建模拟真实生产现场PLC的工作过程；数据转存模块为所述信息服务仿真模块和所述过程控制仿真模块的交互中转站。本发明通过对工控设备业务逻辑进行仿真，实现了信息服务仿真和控制过程仿真的有效协同，增强了蜜罐系统的业务真实度和可靠性，并且有效提升了PLC蜜罐系统的仿真度和欺骗性。

技术领域

本发明涉及工业控制系统安全技术领域，尤其涉及一种基于工控业务仿真的PLC蜜罐系统、实现方法及仿真设备。

背景技术

PLC(Programmable Logic，可编程逻辑器件)是关键基础设施中的基础控制设备，其安全性涉及整个控制系统的稳定运行。近年来，随着传统工业逐步进行信息化、数字化和智能化的产业升级，工业控制系统在提高了信息化水平的同时，大量工业设备不可避免地接入互联网，使得其信息安全问题也愈加突出。PLC遭受黑客攻击的途径也日趋多样化，各种木马和病毒变体数量不断攀升，威胁着工业控制系统的安全稳定运行和人员生命财产安全。

蜜罐技术是一种用于网络威胁发现的主动防御技术，它通过设置诱饵性质的虚拟系统来吸引攻击者入侵并对其进行威胁行为捕获与分析，蜜罐的核心在于交互能力。为保障工业控制系统安全，应对互联网中潜在的威胁，仅仅依靠被动防御是不够的，应用蜜罐技术进行主动防御是工控安全防护领域的强有力手段。

按照交互程度的深浅，蜜罐分为高交互蜜罐和低交互蜜罐。低交互蜜罐只能将非常有限的信息反馈给攻击者，很多情况下容易被外界识别出来；而高交互蜜罐则是蜜罐技术的另一极，不仅要模拟协议和服务，还需要提供真实的系统以备攻击者探查，从而具备足够的欺骗性以捕获复杂的威胁。而随着蜜罐识别技术的不断发展，对蜜罐的交互能力也提出了越来越高的要求。由于工控系统控制过程的交互特性，现有的传统蜜罐框架难以满足交互需求，同时已有的工控蜜罐也缺乏针对工控业务逻辑的仿真。

发明内容

本发明提供一种基于工控业务仿真的PLC蜜罐系统、实现方法及仿真设备，用以解决现有技术中工控设备缺乏业务逻辑仿真的问题，实现信息服务仿真和控制过程仿真的有效协同，提升了PLC蜜罐系统的仿真度和欺骗性。

本发明提供一种基于工控业务仿真的PLC蜜罐系统，包括信息服务仿真模块、过程控制仿真模块以及数据转存模块，所述数据转存模块包括实时生产数据库和控制指令数据库，其中，

所述信息服务仿真模块，用于通过部署蜜罐系统来仿真预设设备，并使用蜜罐内置的预设协议服务器与客户端进行交互；

所述过程控制仿真模块，用于提供实时更新的动态生产数据，并在蜜罐系统内构建模拟真实生产现场PLC设备的工作过程；

所述数据转存模块，为所述信息服务仿真模块和所述过程控制仿真模块的交互中转站；

其中，所述信息服务仿真模块通过所述数据转存模块的实时生产数据库，读取所述过程控制仿真模块的实时生产数据；所述过程控制仿真模块通过所述数据转存模块的控制指令数据库，实时读取所述信息服务仿真模块下达的指令，并根据所述指令改变生产状态，以实现控制过程仿真运行状况的闭环逻辑。

根据本发明提供的一种基于工控业务仿真的PLC蜜罐系统，所述信息服务仿真模块采用S7comm私有协议服务器与攻击者所在的客户端进行通信，所述信息服务仿真模块包括S7私有服务仿真单元，

所述S7私有服务仿真单元，用于根据攻击者的请求，读取所述数据转存模块中实时生产数据库里的数据并组入响应数据包，或者根据攻击者提供的指令，写入所述控制指令数据库，以满足交互需求。