Study on the intelligent honeynet model for containing the spread of industrial viruses


一、摘要

本文利用了智能蜜网的特点,提出了一种新型SCADA网络防御机制,为抵抗工业病毒的感染提供了系统级和网络级的防护。

二、相关技术介绍

(一)蜜罐,蜜网

蜜罐是一种安全资源,他的价值就是在于被探测,攻击,损害。设计蜜罐的初衷就是让黑客入侵,借此收集证据,同时隐藏真实的服务器地址。而实际应用的过程中,我们常常会在一个网络里面放很多罐,以增加攻击者猜中蜜罐的几率。简单来说,蜜网就是一大片蜜罐,连成了网。

(二)SCADA网络的防御机制

针对监控和数据采集系统(SCADA)提出的安全方法分为两种,被动防护和主动防护。被动防护主要起检测,分类,阻止网络攻击的作用。主动防护能够提前捕捉和分析新兴的网络威胁,这是对被动防御的一个很好的补充。

下图为SCADA网络的防御机制。在防御机制中包括四种类型的数据:攻击数据,ICS数据,蜜网数据和防御数据。蜜罐有两条路径捕获外部的攻击,如图中的路径1和2。路径1表示的是攻击者直接从外部网络发起的攻击,路径2表示攻击者先捕获一个RTU(Remote Terminal Unit),即远程终端装置,然后通过RTU来对蜜罐发起攻击。
一旦只能蜜网中的蜜罐捕获到新的攻击流量,他将通过路径3将数据传输到数据中心(Data Center)。基于捕获的数据,数据中心会分析这些个攻击数据的逻辑,从而提出针对性和有效的防御策略。
在这里插入图片描述

三、SCADA网络和智能蜜网交互模型的构建

我们首先谈一谈SCADA网络的状态转化过程,我们认为SCADA网络中的RTU存在四种互斥的状态:易感(S)、感染(I)、恢复( R )和监测(M)。我们使用SD,ID,RD,MD 表示SCADA网络中相应状态下的RTU数量。SCADA网络的状态转化图如下:
在这里插入图片描述
SD(易感的RTU)是很脆弱的,可以被感染,感染的概率为β1,感染后变为 ID (感染状态)。通过修补相应的漏洞,采用特点的安全协议可以恢复易感和已经感染的RTU。将ID(感染状态)恢复到RD(恢复状态)的概率为γ1,从SD(易感状态)恢复到RD恢复状态)的概率为γ2。恢复状态只能对感染暂时免疫,一旦感染发生变异,那么又有η的概率变为易感状态。假如一些易感状态的RTU正在执行一些重要的工作时,它是有可能被其他具有传染性的RTU传染的,而这时它是不能立刻被修复的。基于这一点,该防御模型提出了监测状态(MD)。易感状态下的RTU和感染状态下的RTU分别以δ2,δ1的比重进行监控。(我认为这个δ1,δ2的和为1,监控状态按照δ1,δ2的比例分配监控的资源)。该状态通过完善协议,有γ3的概率转变为恢复状态。途中的μ1通过箭头的方向可以理解为连接和断开的RTU数量。

类似地,我们讨论一下智能蜜网的状态转化过程,对于Susceptible-Infectious-Quarantined(SIQ)模型,我们用SH,IH,QH依次表示易感状态的蜜罐数量,感染状态的蜜罐数量,隔离状态的蜜罐数量。蜜网的状态转化图如下:
在这里插入图片描述
SH(易感状态的蜜罐)是可以被传染的,感染的概率为β3。一旦感染后就会处于IH(感染状态)。感染状态下的蜜罐有ε的概率被隔离。由于蜜罐设计之初就是被攻击者攻击的,所以对比SCADA,并没有恢复状态。此外,感染的蜜罐和隔离状态的蜜罐有λ1,λ2的概率会重置为易感状态。

基于前面讨论的两种模型,构建出简化模型如下:
在这里插入图片描述

为了捕获传染的病毒,智能蜜网被连接到SCADA网络上。通过RTU与蜜罐之间的通信联系,易感蜜罐(SH)会以β2概率转变为感染状态(IH),这种转变能够帮助智能蜜网捕获更多的攻击信息。

四、传播模型的状态转换过程

下图总结了整个传播模型的状态转换,包括SCADA和智能蜜网,以及他们之间的作用。工业病毒的传播和防御过程与SCADA网络中的节点和智能蜜网的连接度分布有关。在感染率相同时,易感的RTU连接的感染状态的RTU越多,就越容易被感染。蜜罐也是同样的道理。
在这里插入图片描述

Si,jD(t),Ii,jD(t),Mi,jD(t),Ri,jD(t),分别表示t时刻对应状态的RTU数量,Ni,jD(t)表示t时刻的RTU数量,Ni,jD(t) = Si,jD(t) + Ii,jD(t) + Mi,jD(t) + Ri,jD(t)

类似地,Su,vH(t),Iu,vH(t),Qu,vH(t),表示t时刻对应状态的蜜罐数量。Nu,vH(t)表示t时刻的蜜罐数量。Nu,vH(t) = Su,vH(t) + Iu,vH(t) + Qu,vH(t)。

下标i和j(u和v)表示一个节点与RTU(蜜罐)的连接度,PD(i,j)和PH(u,v)分别表示RTU和蜜罐在两个网络中的联合度分布。我们假设两个网络中节点的连通性是不相关的。

对于RTU而言,连接到一个传染状态的RTU概率为Θ1(t)
在这里插入图片描述
Θ1(t)的计算可以看出,就是用感染的除以总数。后面的都是类似的道理。

对于蜜罐而言,连接到一个传染状态的RTU概率为Θ3(t)
在这里插入图片描述
类似地,RTU连接到传染状态的蜜罐概率为Θ2(t),蜜罐连接到传染状态的蜜罐概率为Θ4(t)
在这里插入图片描述

五、SCADA防护模型有效性评估

SCADA网络提供了两种防御:系统级防护和网络级防护。在我们的模型中,系统级防护的有效性由参数γ2和δ2来表示。参数γ2用于表示RTU从易感状态转换到恢复状态的比例,参数δ2用于表示RTU从易感状态转换到监控状态的的比例。
对于网络攻击,数据中心(Data Center)应该能系统生成对应的病毒签名并将他们发送到IDS,以提高网络级的防护。目前,机器学习技术已经被广泛用于生成此类病毒签名。学习的效率受到训练数据量(即攻击流量)的影响。我们使用IDS的检测率d来表示网络级防护的有效性。检测率d主要受到攻击流量和学习率的影响。攻击流量是指被蜜罐捕获的流量。直观地说,攻击流量越大,就可以提取出更有价值的信息来生成病毒签名。本文利用易感蜜罐的感染率β3来表示攻击流量的量。不难理解,攻击流量越大,感染率就越高,当允许所有来自蜜罐的流量在智能蜂网中传播时,感染率β3将获得其最大值β3*

学习率ω表示由智能蜜网产生的病毒签名的准确性,学习率ω的值域为0到1的闭区间。 检测率d的计算公式如下:
在这里插入图片描述
对于检测率d,感染率β3,学习率ω的关系如下图:
在这里插入图片描述

当检测率d增加时,IDS倾向于过滤掉更多针对RTU的攻击流量,导致易感RTU的感染率β1降低,反之亦然。容易发现感染率β1和检测率d呈反比。β1、β3和ω之间的关系如下图所示:
在这里插入图片描述
在这里插入图片描述