物联网(The Internet of Things,简称IoT)是新一代信息技术的重要组成部分,已广泛应用于经济社会发展的各个领域,如工业控制系统、智能家居、智慧城市等。随着物联网应用的爆发式增长,物联网设备被直接暴露在互联网中,成为了黑客攻击的重点目标,并引发了大量安全事件。在多源异构的物联网环境中,传统的入侵检测、防火墙等安全防护工具存在易漏报和易误报的问题。蜜罐作为一种新兴的主动防御技术,通过构建可控的诱饵环境,主动引导黑客攻击,能够捕获高质量的原始攻击数据,从而低误报地发现攻击威胁。本文通过调研大量物联网蜜罐文献,总结了物联网蜜罐的基本概念和技术发展主线,重点介绍了重定向、识别与反识别和数据分析三种关键技术。此外,本文提出了一种基于杀伤链模型的物联网蜜罐评估体系,实现相关蜜罐工作的对比分析,并讨论和展望了物联网蜜罐未来可能的研究方向。
工业控制系统(简称工控)是国家关键基础设施的核心,越来越多的工作开始关注工控系统安全。然而,这些工作的实际应用场景并不统一,因此他们取得的成果无法相互借鉴。为了解决这个问题,在深入研究这些安全技术的基础上,我们提出了工控系统安全态势感知(Situational Awareness for Industrial Control Systems Security,SA-ICSS)框架,该框架由态势觉察、态势理解和态势投射三个阶段构成。在态势觉察阶段,我们首先利用网络测绘和脆弱性发现技术获取完善的目标系统环境要素,如网络拓扑和漏洞信息;其次,我们将入侵检测和入侵诱捕等5种设备部署在目标系统中,以便从控制系统中捕获所有的可疑活动。在态势理解阶段,我们首先基于结构化威胁信息表达(Structured Threat Information Expression,STIX)标准对目标系统进行本体建模,构建了控制任务间的依赖关系以及控制任务与运行设备的映射关系;其次,自动化推理引擎通过学习分析师推理技术,从可疑活动中识别出攻击意图以及目标系统可能受到的影响。在态势投射阶段,我们首先利用攻击图、贝叶斯网络和马尔科夫模型从可疑活动中构建攻击模型;其次,我们利用现有的威胁评估技术从攻击模型中预测可能发生的攻击事件、可能被感染的设备以及可能存在的零日漏洞。我们阐述了SA-ICSS各个阶段的任务范围,并对其中的关键技术进行了分析与总结。最后,我们还探讨了SA-ICSS待解决的若干问题。
