TWI703467B - 具有高互動組合工控誘捕系統及其方法 - Google Patents
具有高互動組合工控誘捕系統及其方法 Download PDFInfo
- Publication number
- TWI703467B TWI703467B TW108131137A TW108131137A TWI703467B TW I703467 B TWI703467 B TW I703467B TW 108131137 A TW108131137 A TW 108131137A TW 108131137 A TW108131137 A TW 108131137A TW I703467 B TWI703467 B TW I703467B
- Authority
- TW
- Taiwan
- Prior art keywords
- module
- program
- industrial
- trapping
- industrial control
- Prior art date
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Computer And Data Communications (AREA)
Abstract
一種具有高互動組合工控誘捕系統及其方法,係包括一具有控制複數個遠端控制單元之操作的監督控制模組,同時該複數個遠端控制單元,係以一對一對應複數個設備單元;一組件資訊資料庫,係以儲存該監控之資料;以模擬該工業控制系統以形成一誘捕程式之遠端控制蜜罐模組,以引誘入侵程式,使該入侵程式攻擊該誘捕程式;一工控誘捕偵測模組,係以偵測IP區域以判斷是否為該工業控制系統之設備,並同時偵測該IP區域之型號與地理位置,以判別為工控誘捕偵測模組或真實工控系統;一掃描模組,係以將所掃描之訊號傳送至該工控誘捕偵測模組進行偵測。
Description
本發明係為一種具有高互動組合工控誘捕系統及其方法,尤指一種藉由模擬真實系統以形成一具有模擬控制訊號的誘捕程式,進以誘導外部入侵程式的攻擊,避免真實系統的損害,同時另具有一種藉由偵測一IP區域之系統的型號與地理位置,以給予權重及分數,進以判別為真實系統或該誘捕程式,藉以防止由外部入侵程式的破壞。
近年來,現行的工業控制系統被大量的採用在重要的基礎設施等場所,藉以提高管理與控制的效率,而伴隨著工業控制系統帶來的便利,同時也增加了在重要基礎設施受到網路攻擊的風險,一旦這些關鍵的基礎建設設施受到攻擊而造成的損害是相當巨大。但是,在目前主要的工業控制系統中,所謂的防禦方式只著重在防止攻擊者入侵隔離的工業網路,只能透過網路滲透的方式來達成判斷系統的真偽,也由於目前大多數的入侵攻擊是以個人的攻擊工具軟體為主軸,但在防禦上卻無法提供正確性的判斷真偽攻擊之方式,以及無任何機制可以讓入侵的攻擊者知道工業控制系統中的環境真偽。
另外,由於操作人員的疏忽或是駭客的刻意入侵,使入侵的攻擊者有機會直接從工業網路內部對工業控制系統的設備進行攻擊,
而為了避免系統遭受攻擊,系統管理人員卻無法察覺的任何的情況,也無法了解從外部入侵的攻擊者對工業控制系統的設備進行攻擊的方式,而現行的防禦方式是使用蜜罐偽裝成工業控制系統的設備對攻擊者進行誘捕,但操作攻擊的駭客卻能在利用滲透的方式尋找可攻擊的工業控制系統目標的同時,同時間判斷出由蜜罐偽裝的假工業控制系統設備,如此這些攻擊者就能夠避免對這些蜜罐進行攻擊,使得蜜罐失去了誘捕的作用。
由此可見,上述習用物品仍有諸多缺失,實非一良善之設計者,而亟待加以改良。
因此,如何提供一種偵測模組能夠及時判斷是否為外來的入侵程式,並使自身的誘捕系統能有效引誘外部入侵者的攻擊,同時使內部工業控制系統安全不受到任何攻擊,仍是目前仍需克服技術以及解決之課題。
有鑑於此,本發明的主要目的,在於針對於搜尋偵測時的判斷以及進行分析,並改變了一般傳統的蜜罐功能,使能夠達到更有效的誘捕效果。
為達成上述目的,本發明提供一種一種具有高互動組合工控誘捕系統,藉由模擬真實系統以形成一具有模擬控制訊號的誘捕程式,進以誘導外部入侵程式的攻擊,同時另具有一種藉由一工控誘捕偵測模組進而偵測IP區域以判斷是否為該工業控制系統之設備,並同時偵測該
IP區域之系統的型號與地理位置,以給予權重及分數,進而判別為真實系統或該誘捕程式,以防止外部入侵程式破壞真實系統。
根據上述之目的,本發明提供一種具有高互動組合工控誘捕系統,係包括一工業控制系統,係包括一監督控制模組,係控制複數個遠端控制單元下達對應之複數個設備單元之操作,同時得以取得各該設備單元之監控資料;該複數個設備單元,係為設置於工業現場之設備及感測裝置;該複數個遠端控制單元,係各以一對一監督及控制對應該複數個設備單元,並以取得對應之該設備單元所偵測到之監控資料;一組件資訊資料庫,係以儲存該監督控制模組所取得之該監控資料;一遠端控制蜜罐模組,係以偵測該複數個遠端控制單元,並定時複製並模擬該工業控制系統之該監控資料及行為模式,藉以形成一具有模擬控制訊號的誘捕程式,並將該誘捕程式儲存於該組件資訊資料庫;一工控蜜罐模組,係以偵測工業控制系統,並將該誘捕程式連上工業乙太網,以引誘由工業乙太網進入之入侵程式,並使該入侵程式攻擊該誘捕程式的數據及資料,且藉由該監督控制模組偵測及判斷即時狀態;該工控誘捕偵測模組,係以監控TCP/IP中所偵測的IP區域以判斷是否為該工業控制系統之設備,並同時偵測該IP區域之系統的型號與地理位置,以給予權重及分數,進以判別為真實系統或該誘捕程式,並將該權重及分數與該判別之真實系統或誘捕程式的相關資訊儲存至該歷史軌跡資料庫;一掃描模組,係以掃描工業乙太網之傳輸訊號,並將所掃描之訊號傳送至該工控誘捕偵測模組進行偵測。
在本發明的一個實施例中,該監督控制模組,係具有一網路介面進行數據傳輸與系統控制。
在本發明的一個實施例中,該監督控制模組,係以執行操作該組件資訊資料庫之記錄回放、操作該工業控制系統之實際反應速度及控制調整、以及傳送該遠端控制單元真實之執行動作。
在本發明的一個實施例中,該工控誘捕偵測模組,係藉由該掃描模組偵測到不同形式之行為程式,以即時判定該行為程式之型態與地位理位置是否互相符合,進而判斷該行為程式是否為該工控誘捕偵測模組或是真實工控系統。
在本發明的一個實施例中,該偵測及判斷即時狀態,係包含連線時間、使用之協定、IP來源、執行內容、及該誘捕程式之數據及資料。
在本發明的一個實施例中,該入侵程式,係為外部第三方攻擊程式或軟體,藉由工業乙太網入侵該工業環境模組織內部網路,以取得或破壞該工業環境模組之數據或設備。
在本發明的一個實施例中,該組件資訊資料庫,係與該遠端控制蜜罐模組與該工控蜜罐模組連接,並自動儲存該蜜罐模組之所執行之即時紀錄,並同時藉由工業乙太網即時回報至該監督控制模組。
在本發明的一個實施例中,該誘捕程式,係為一設備程式碼,以接收該入侵程式所發出的試探訊息,並以模擬該工業控制系統回覆之訊息,以使該入侵程式誤認該設備程式碼為真實工業控制系統之回應。
一種具有高互動組合工控誘捕系統,係具有一工業控制系統,其中包括一監督控制模組,係控制複數個遠端控制單元下達對應之複數個設備單元之操作,同時得以取得各該設備單元之監控資料;該複數個設備單元,係為設置於工業現場之設備及感測裝置;該複數個遠端控制單元,係各以一對一監督及控制對應該複數個設備單元,並以取得對應之該設備單元所偵測到之監控資料;一組件資訊資料庫,係以儲存該監督控制模組所取得之監控資料;一遠端控制蜜罐模組,係以偵測該複數個遠端控制單元,並定時複製並模擬該工業控制系統之該監控資料及行為模式,藉以形成一誘捕程式,並將該誘捕程式儲存於該組件資訊資料庫,其中該遠端控制蜜罐模組模擬該工業控制系統係包括:一壓力感測單元,係以一壓力感測程式碼透過改變高低電位之比例,以模擬一電壓值,運用固定時間傳送一次性的封包數值至該監督控制模組,使該監督控制模組得以接收該封包數值;一溫溼度控制單元,係提供一數位信號輸出及編程,以模擬該設備單元之數據及信號,以輸出各一個80毫秒的低信號和高信號,並藉由一溫溼度程式碼將溫溼度轉換成五個位元(byte),再將該五個位元(byte)依序送入該設備單元之函式中;一工控蜜罐模組,係以偵測工業控制系統,並將該誘捕程式連上工業乙太網,以引誘由工業乙太網進入之入侵程式,並使該入侵程式攻擊該誘捕程式的數據及資料,且藉由該監督控制模組偵測及判斷即時狀態。
在本發明的一個實施例中,該監督控制模組,係透過數位輸入(Digital Input,DI)信號、數位輸出(Digital Output,DO)信號、類
比輸入(Analog Input,AI)信號、類比輸出(Analog Output,AO)信號以與各該遠端控制單元、及各該設備單元進行連接。
在本發明的一個實施例中,該監督控制模組,係得以結合複數個數位輸出(DO)信號或類比輸出(AO)介面,以指定傳送特定模擬指令,以代替原有訊號回傳至相對應之訊號。
在本發明的一個實施例中,該監督控制模組,係以藉由該組件資訊資料庫以編輯特定的反應訊號並加以儲存,同時以該反應訊號配合亂數或微調頻之頻率,以產生模擬輸出訊號。
在本發明的一個實施例中,該模擬該設備單元,係透過數位輸入(DI)或類比輸入(AI)介面,將所模擬之訊號回傳給該監督控制模組(110)。
在本發明的一個實施例中,該類比輸入(AI)介面,其傳輸是透過數位類比轉換器(Digital to analog converter,DAC)轉換電路,將方波轉為正常的弦波形態,以強化波形進行模擬。
一種具有高互動組合工控誘捕方法,其中包括:步驟1、一監督控制模組藉由複數個遠端控制單元以一對一監督及控制複數個設備單元,並擷取各該設備單元之真實監控資料;步驟2、一遠端控制蜜罐模組設置於工業控制系統下,得以藉此強化工控蜜罐模組的防護能力,以偵測異常操作之行為;步驟3、該遠端控制蜜罐模組,係以偵測複數個遠端控制單元,並定時複製並模擬該工業控制系統之該監控資料及行為模式,加
以複製並模擬該工業控制系統藉以形成一具有模擬控制訊號之誘捕程式;步驟4、該工控誘捕偵測模組判斷是否為該工業控制系統之訊號,並同時判斷及偵測該IP區域之系統的型號與地理位置之行為程式是否為真實之工業控制系統,並給予權重及分數,若以該權重及分數判斷該行為程式為該入侵程式,將通報該工控蜜罐模組執行誘捕行動;步驟5、一入侵程式藉由工業乙太網入侵工業控制系統並攻擊該設備單元;步驟6、該工控蜜罐測模組,藉由監督控制模組下達誘捕行動之指令;步驟7、該工控蜜罐模組將該誘捕程式連上工業乙太網,觸發誘捕行動,以引誘由工業乙太網進入之該入侵程式,並使該入侵程式攻擊該誘捕程式的數據及資料,且藉由該監督控制模組偵測及判斷即時狀態;步驟8、該入侵程式認定已成功取得或控制該設備單元之數據或設備,並退出該工業乙太網;步驟9、該工控誘捕偵測模組再判斷該工控蜜罐模組是否已執行誘捕完畢;步驟10、該監督控制模組與該工控蜜罐模組將即時之執行紀錄與該入侵程式之資訊傳送至該組件資訊資料庫;
步驟11、該監督控制模組檢查該工業控制系統狀況,並以儲存至組件資訊資料庫。
在本發明的一個實施例中,該步驟1之該真實監控資料,係包含連線時間、使用之協定、IP來源、執行內容、及該監督控制模組回傳至該監督控制模組之數據。
在本發明的一個實施例中,該步驟4之判斷及偵測,係透過TCP/IP偵查該IP的區域及位置,並以判定該地區及位置是否為真實的工業控制系統。
在本發明的一個實施例中,該判定若為否,則判定該地區及位置之行為程式有異常,並以認定為入侵程式。
在本發明的一個實施例中,該步驟6之該誘捕行動,包括:步驟A. 藉由該遠端控制蜜罐模組模擬該工業控制系統之真實數據,以形成一模擬數據並以儲存於該組件資訊資料庫;步驟B. 待該入侵程式進入該工業控制系統,該工控蜜罐模組執行誘捕行動並同時通報該監督控制模組;步驟C. 該入侵程式發出指令至該工業控制系統;步驟D. 該工控蜜罐模組將該模擬數據依照所對應之真實數據回傳至該入侵程式,並重複接收該入侵程式所發出之指令,予以各別回覆;步驟E. 使該入侵程式認定該模擬數據為真實數據並以結束入侵行為。
在本發明的一個實施例中,該步驟10,該監督控制模組同時將該入侵程式之行為儲存至該組件資訊資料庫,以利預測及判斷未來之行為模式。
(100):工業控制系統
(110):監督控制模組
(120):遠端控制單元
(130):設備單元
(140):組件資訊資料庫
(150):遠端控制蜜罐模組
(151):壓力感測單元
(152):溫溼度控制單元
(160):工控蜜罐模組
(210):工控誘捕偵測模組
(220):掃描模組
(S201~S211):步驟
(S2061~S2065):步驟
圖1為本發明具有高互動組合工控誘捕系統及其方法之架構示意圖。
圖2為本發明具有高互動組合工控誘捕系統及其方法之流程圖。
圖3為本發明具有高互動組合工控誘捕系統及其方法之誘捕行動流程圖。
為利 貴審查員瞭解本發明之技術特徵、內容與優點及其所能達成之功效,茲將本發明配合附圖,並以實施例之表達形式詳細說明如下,而其中所使用之圖式,其主旨僅為示意及輔助說明書之用,未必為本發明實施後之真實比例與精準配置,故不應就所附之圖式的比例與配置關係解讀、侷限本發明於實際實施上的權利範圍,合先敘明。
首先,請先參閱圖1所示,為本發明具有高互動組合工控誘捕系統及其方法之架構示意圖,包括一工業控制系統(100)及一工控誘捕偵測模組(210),該工業控制系統(100)主要具有一監督控制模組(110)、複數個遠端控制單元(120)、複數個設備單元(130)、組件資訊資料庫(140)、遠端控制蜜罐模組(150),一工控蜜罐模組(160),其中該監督控
制模組(110),係具有一網路介面進行數據傳輸與系統控制,以控制複數個遠端控制單元(120)下達對應之複數個設備單元(130)之操作,同時得以取得各該設備單元(130)之監控資料,同時執行操作該組件資訊資料庫(140)之記錄回放、操作該工業控制系統(100)之實際反應速度及控制調整、以及傳送各該遠端控制單元(120)真實之執行動作;該複數個設備單元(130),係為設置於工業現場之設備及感測裝置;該複數個遠端控制單元(120),係各以一對一監督及控制對應該複數個設備單元(130),並以取得對應之該設備單元(130)所偵測到之監控資料;該組件資訊資料庫(140),係與該遠端控制蜜罐模組(150)及該工控蜜罐模組(160)連接,並自動即時儲存該遠端控制蜜罐模組(150)及該工控蜜罐模組(160)之所執行之紀錄,並同時藉由工業乙太網回報至該監督控制模組(110),同時儲存該監督控制模組(110)所監控之資料;該遠端控制蜜罐模組(150),係以偵測該複數個遠端控制單元,並定時複製並模擬該工業控制系統(100)之該監控資料及行為模式,藉以形成一誘捕程式,並將該誘捕程式儲存於該組件資訊資料庫,該誘捕程式,係為一設備程式碼,以接收該入侵程式所發出的試探訊息,並以模擬該工業控制系統(100)回覆之訊息,以使該入侵程式誤認該設備程式碼為真實工業控制系統(100)之回應;一工控蜜罐模組,係以偵測工業控制系統,並將該誘捕程式連上工業乙太網,以引誘由工業乙太網進入之入侵程式,並使該入侵程式攻擊該誘捕程式的數據及資料,且藉由該監督控制模組偵測及判斷即時狀態,其包含連線時間、使用之協定、IP來源、執行內容、及該誘捕程式之數據及資料等;該工控誘捕偵測模組(210),係以監控TCP/IP中所偵測的IP區域以判斷是
否為該工業控制系統(100)之設備,並同時偵測該IP區域之系統的型號與地理位置,以給予權重及分數,進以藉由該掃描模組(220)偵測到不同形式之行為程式判別為真實系統或該誘捕程式,同時判定該行為程式之型態與地位理位置是否互相符合,進而判斷該行為程式是否為該工控誘捕偵測模組或是真實工控系統,並將該權重及分數與該判別之真實系統或誘捕程式的相關資訊儲存至該組件資訊資料庫(140),並當判斷為入侵程式時,將藉由該監督控制模組(110)通知該工控蜜罐模組(160)發送該誘捕程式,使該入侵程式認定該誘捕程式為真實之工業控制系統(100);該掃描模組(220),係以掃描工業乙太網之傳輸訊號,並將所掃描之訊號傳送至該工控誘捕偵測模組(200)進行偵測。
再,該工業控制系統(100),其中亦包括一監督控制模組(110),係控制複數個遠端控制單元(120)下達對應之複數個設備單元(130)之操作,同時得以取得各該設備單元(130)之監控資料,並以透過數位輸入(Digital Input,DI)信號、數位輸出(Digital Output,DO)信號、類比輸入(Analog Input,AI)信號、類比輸出(Analog Output,AO)信號以與各該遠端控制單元、及各該設備單元進行連接,且得以結合複數個數位輸出(DO)信號或類比輸出(AO)介面,以指定傳送特定模擬指令,以代替原有訊號回傳至相對應之訊號,並再藉由該組件資訊資料庫以編輯特定的反應訊號並加以儲存,同時以該反應訊號配合亂數或微調頻之頻率,以產生模擬輸出訊號;該複數個設備單元(130),係為設置於工業現場之設備及感測裝置,並透過數位輸入(DI)或類比輸入(AI)介面,將所模擬之訊號回傳給該監督控制模組(110),其中該類比輸入(AI)介面,其傳
輸是透過數位類比轉換器(Digital to analog converter,DAC)轉換電路,將方波轉為正常的弦波形態,以強化波形進行模擬;該複數個遠端控制單元(120),係各以一對一監督及控制對應該複數個設備單元(130),並以取得對應之該設備單元(130)所偵測到之監控資料;一組件資訊資料庫(140),係以儲存該監督控制模組(110)所取得之監控資料;一遠端控制蜜罐模組(150),係以偵測該複數個遠端控制單元,並定時複製並模擬該工業控制系統(100)之該監控資料及行為模式,藉以形成一誘捕程式,並將該誘捕程式儲存於該組件資訊資料庫,其中該遠端控制蜜罐模組(150)模擬該工業控制系統(100)係包括:一壓力感測單元(151),係以一壓力感測程式碼透過改變高低電位之比例,以模擬一電壓值,運用固定時間傳送一次性的封包數值至該監督控制模組(110),使該監督控制模組(110)得以接收該封包數值;一溫溼度控制單元(152),係提供一數位信號輸出及編程,以模擬該設備單元之數據及信號,以輸出各一個80毫秒的低信號和高信號,並藉由一溫溼度程式碼將溫溼度轉換成五個位元(byte),再將該五個位元(byte)依序送入個該設備單元(130)之函式中;一工控蜜罐模組(160),係以偵測工業控制系統(100),並將該誘捕程式連上工業乙太網,以引誘由工業乙太網進入之入侵程式,並使該入侵程式攻擊該誘捕程式的數據及資料,且藉由該監督控制模組(110)偵測及判斷即時狀態。
接著,請參閱圖2所示,一種具有高互動組合工控誘捕方法,其中包括:
步驟1、 (S201)一監督控制模組藉由複數個遠端控制單元以一對一監督及控制複數個設備單元,並擷取各該設備單元之真實監控資料;步驟2、 (S202)一遠端控制蜜罐模組設置於工業控制系統下,得以藉此強化工控蜜罐模組的防護能力,以偵測異常操作之行為;步驟3、 (S203)該遠端控制蜜罐模組,係以偵測複數個遠端控制單元,並定時複製並模擬該工業控制系統之該監控資料及行為模式加以複製並模擬該工業控制系統藉以形成一具有模擬控制訊號之誘捕程式;步驟4、 (S204)該工控誘捕偵測模組判斷是否為該工業控制系統之訊號,並同時判斷及偵測該IP區域之系統的型號與地理位置之行為程式是否為真實之工業控制系統,並給予權重及分數,若以該權重及分數判斷該行為程式為該入侵程式,將通報該工控蜜罐模組執行誘捕行動;步驟5、 (S205)一入侵程式藉由工業乙太網入侵工業控制系統並攻擊該設備單元;步驟6、 (S206)該工控蜜罐測模組,藉由監督控制模組下達誘捕行動之指令;步驟7、 (S207)該工控蜜罐模組將該誘捕程式連上工業乙太網,觸發誘捕行動,以引誘由工業乙太網進入之該入侵程式,並使該入侵程式攻擊該誘捕程式的數據及資料,且藉由該監督控制模組偵測及判斷即時狀態;
步驟8、 (S208)該入侵程式認定已成功取得或控制該設備單元之數據或設備,並退出該工業乙太網;步驟9、 (S209)該工控誘捕偵測模組再判斷該工控蜜罐模組是否已執行誘捕完畢;步驟10、 (S210)該監督控制模組與該工控蜜罐模組將即時之執行紀錄與該入侵程式之資訊傳送至該組件資訊資料庫;步驟11、 (S211)該監督控制模組檢查該工業控制系統狀況,並以儲存至組件資訊資料庫。
其中該步驟1(S201)之該真實監控資料,係包含連線時間、使用之協定、IP來源、執行內容、及該監督控制模組回傳至該監督控制模組之數據;該步驟5(S205)之判斷及偵測,係透過TCP/IP偵查該IP的區域及位置,並以判定該地區及位置是否為真實的工業控制系統,若判定為否,則判定該地區及位置之行為程式有異常,並以認定為入侵程式,判定為是,則為真實的工業控制系統。
再,請參閱其圖3所示,該步驟6(S206)之該誘捕行動,包括:步驟A. (S2061)藉由該遠端控制蜜罐模組模擬該工業控制系統之真實數據,以形成一模擬數據並以儲存於該組件資訊資料庫;步驟B. (S2062)待該入侵程式進入該工業控制系統,該工控蜜罐模組執行誘捕行動並同時通報該監督控制模組;步驟C. (S2063)該入侵程式發出指令至該工業控制系統;
步驟D. (S2064)該工控蜜罐模組將該模擬數據依照所對應之真實數據回傳至該入侵程式,並重複接收該入侵程式所發出之指令,予以各別回覆;步驟E. (S2065)使該入侵程式認定該模擬數據為真實數據並以結束入侵行為。
該步驟10(S210),該監督控制模組同時將該入侵程式之行為儲存至該組件資訊資料庫,以利預測及判斷未來之行為模式。
由上述可知,本發明藉由結合搜尋網判斷的程式組成偵測介面,讓使用者可以透過TCP/IP偵查該IP的區域中有哪些工業控制系統有開啟,並同時判定該工業控制系統是否為模擬的工業系統之設備,更能同時偵測該IP區域之型號與地理位置且給予一定分數或權重判別,而為求提高偵測的強度,將以TCP/IP傳輸轉換成工業通訊網路,以強化滲透的能力,同時具備監控主機、埠開放情況、服務更新時程,並針對工業乙太網的偵測為主力,且偵測不同形式之程式且同時判定該程式型態與地理位置是否符合,例如大型的程式在學校、住宅或工廠中,並給予一定分數或權重偵測,以判斷是否為模擬的工業控制系統。
本案的該遠端控制蜜罐模組可以透過工業乙太網路相容的通訊介面模擬成工業控制系統,以回應擬真的系統資訊讓網路進行掃描,以始外部的入侵程式及攻擊者無從察覺,並可依條件參數,回放監督控制模組的操作結果或將一個或一個以上的模擬裝置,轉送至其對應且相容的真實裝置操作,並於反應時針對操作反應速度及承受能力調整,例如可將設定參數設定為一秒鐘只能處理10個請求,以避免因回應的頻率
太快,被外部入侵程式及攻擊者識破,藉以強化誘捕程式之效果,如下列所述:
由上述列表可知,當外部入侵程式發出對應指令時,工控蜜罐模組所發出的誘捕程式會藉由模擬真實的工業控制系統一對一的回應外部入侵程式的指令,並依據真實的工業控制系統回應方式,使外部入侵程式認定誘捕程式即為真實的工業控制系統回應的訊號。
再,為求提高擬模擬真實的強度在進行模擬時,將類比輸入(AI)介面傳輸透過數位類比轉換器(Digital to analog converter,DAC)轉換電路,將方波轉為正常的弦波形態,以強化波形進行模擬,如下所示:
同時,可串接一個以上的感測裝置,輸入數據群做為基礎,以該基礎數據群的平均或極值,配合亂數或頻率及事件方式微調,產生輸出訊號,例如結合一個以上的AO或DO介面時,可指定當傳入特定指令時,以對應訊號回傳,代替原有訊號,達成高互動模擬元件功能,但若同時具備儲存單元,可錄製特定的反應訊號,以該訊號或其一步配合亂數或頻率微調,產生輸出訊號。
綜上所述,本發明之誘捕系統可藉由一遠端控制蜜罐模組定時複製並模擬該工業控制系統藉以形成一誘捕程式,並以引誘入侵程式,使該入侵程式攻擊該誘捕程式的數據及資料,且藉由該監督控制模組偵測及判斷即時狀態,比保護該工業控制系統之資訊安全。
由上述之實施說明可知,本發明與現有技術與產品相較之下,本發明具有以下優點:
1.本發明之具有高互動組合工控誘捕系統及其方法,可以藉由工控誘捕偵測模組監控TCP/IP中所偵測的IP區域以判斷是否為該工業控制系統之設備,並同時偵測該IP區域之系統的型號與地理位置,以給予權重及分數,進以判別為真實系統或該入侵程式,並將該權重及分數與該判別之真實系統或入侵程式的相關資訊儲存至該歷史軌跡資料庫。
2.本發明之具有高互動組合工控誘捕系統及其方法,可以藉由遠端控制蜜罐模組以及工控蜜罐模組產生誘捕程式,以混淆外部入侵程式或攻擊者,以達到誘捕效果。
3.本發明之具有高互動組合工控誘捕系統及其方法,可藉由組件資訊資料庫所存放的真實、模擬、以及誘捕程式的數據及資料,以了解外部入侵程式或攻擊者入侵工業控制系統後的行動,以預防再次的入侵與攻擊。
具體而言,本發明可藉由偵測一IP區域之系統的型號與地理位置,以給予權重及分數,進以判別為真實系統或該入侵程式,並以工控蜜罐模組產生誘捕程式,以混淆外部入侵程式或攻擊者辨識,以認定誘捕程式為真實的系統訊號,藉以防止由外部入侵程式的破壞。
以上所述,僅為本發明最佳具體實施例,惟本發明之構造特徵並不侷限於此,任何熟悉該項技藝者在本發明領域內,可輕易思及之變化或修飾,皆可涵蓋在以下本案之專利範圍。
綜合上所述,本發明確實具有前所未有之創新構造,其既未見於任何刊物,且市面上亦未見有任何類似的產品,是以,其具有新穎
性應無疑慮。另外,本發明所具有之獨特特徵以及功能遠非習用所可比擬,所以其確實比習用更具有其進步性,而符合我國專利法有關發明專利之申請要件之規定,乃依法提起專利申請。
(100):工業控制系統
(110):監督控制模組
(120):遠端控制單元
(130):設備單元
(140):組件資訊資料庫
(150):遠端控制蜜罐模組
(151):壓力感測單元
(152):溫溼度控制單元
(160):工控蜜罐模組
(210):工控誘捕偵測模組
(220):掃描模組
Claims (10)
- 一種具有高互動組合工控誘捕系統,係包括:一工業控制系統(100),係包括:一監督控制模組(110),係控制複數個遠端控制單元(120)下達對應之複數個設備單元(130)之操作,同時得以取得各該設備單元(130)之監控資料,並由一網路介面進行數據傳輸與系統控制,同時執行操作一組件資訊資料庫(140)之記錄回放、操作該工業控制系統(100)之實際反應速度及控制調整、以及傳送各該遠端控制單元(120)真實之執行動作;該複數個設備單元(130),係為設置於工業現場之設備及感測裝置;該複數個遠端控制單元(120),係各以一對一監督及控制對應該複數個設備單元(130),並以取得對應之該設備單元(130)所偵測到之該監控資料;該組件資訊資料庫(140),係以儲存該監督控制模組(110)所取得之該監控資料,並與該遠端控制蜜罐模組(150)與該工控蜜罐模組(160)連接,並自動儲存該蜜罐模組(150,160)之所執行之即時紀錄,並同時藉由工業乙太網即時回報至該監督控制模組(110);一遠端控制蜜罐模組(150),係以偵測該複數個遠端控制單元(120),並定時複製並模擬該工業控制系統(100)之該監控資料及行為模式,藉以形成一具有模擬控制訊號的誘捕程式,並將該誘捕程式儲存於該組件資訊資料庫(140); 一工控蜜罐模組(160),係以偵測工業控制系統,並將該誘捕程式連上工業乙太網,以引誘由工業乙太網進入之入侵程式,並使該入侵程式攻擊該誘捕程式的數據及資料,且藉由該監督控制模組(110)偵測及判斷即時狀態,其中該偵測及判斷即時狀態,係包含連線時間、使用之協定、IP來源、執行內容、及該誘捕程式之數據及資料;該工控誘捕偵測模組(210),係以監控TCP/IP中所偵測的IP區域以判斷是否為該工業控制系統(100)之設備,並同時偵測該IP區域之系統的型號與地理位置,以給予權重及分數,進以判別為真實系統或該誘捕程式,並將該權重及分數與該判別之真實系統或誘捕程式的相關資訊儲存至該組件資訊資料庫(140),再藉由一掃描模組(220)偵測到不同形式之行為程式,以即時判定該行為程式之型態與地位理位置是否互相符合,進而判斷該行為程式是否為該工控誘捕偵測模組或是真實工控系統;該掃描模組(220),係以掃描工業乙太網之傳輸訊號,並將所掃描之該傳輸訊號傳送至該工控誘捕偵測模組(200)進行偵測。
- 如申請專利範圍第1項所述之具有高互動組合工控誘捕系統,其中該入侵程式,係為外部第三方攻擊程式或軟體,藉由工業乙太網入侵該工業環境模組織內部網路,以取得或破壞該工業環境模組之數據或設備。
- 如申請專利範圍第1項所述之具有高互動組合工控誘捕系統,其中該誘捕程式,係為一設備程式碼,以接收該入侵程式所發出的試探訊息,並以模擬該工業控制系統(100)回覆之訊息,以使該入侵程式誤認該設備程式碼為真實工業控制系統(100)之回應。
- 一種具有高互動組合工控誘捕系統,係具有一工業控制系統(100),其中包括:一監督控制模組(110),係控制複數個遠端控制單元(120)下達對應之複數個設備單元(130)之操作,同時得以取得各該設備單元(130)之監控資料,並透過數位輸入(Digital Input,DI)信號、數位輸出(Digital Output,DO)信號、類比輸入(Analog Input,AI)信號、類比輸出(Analog Output,AO)信號以與各該遠端控制單元、及各該設備單元進行連接,其中該類比輸入(AI)介面,其傳輸是透過數位類比轉換器(Digital to analog converter,DAC)轉換電路,將方波轉為正常的弦波形態,以強化波形進行模擬,再得以結合複數個數位輸出(DO)信號或類比輸出(AO)介面,以指定傳送特定模擬指令,以代替原有訊號回傳至相對應之訊號;該複數個設備單元(130),係為設置於工業現場之設備及感測裝置;該複數個遠端控制單元(120),係各以一對一監督及控制對應該複數個設備單元(130),並以取得對應之該設備單元(130)所偵測到之該監控資料;一組件資訊資料庫(140),係以儲存該監督控制模組(110)所取得之監控資料;一遠端控制蜜罐模組(150),係以偵測該複數個遠端控制單元(120),並定時複製並模擬該工業控制系統(100)之該監控資料及行為模式,藉以形成一具有模擬控制訊號的誘捕程式,並將該誘捕程式儲存於該組件資訊資料庫(140),其中該遠端控制蜜罐模組(150)模擬該工業控制系統(100)係包括: 一壓力感測單元(151),係以一壓力感測程式碼透過改變高低電位之比例,以模擬一電壓值,運用固定時間傳送一次性的封包數值至該監督控制模組(110),使該監督控制模組(110)得以接收該封包數值;一溫溼度控制單元(152),係提供一數位信號輸出及編程,以模擬該設備單元之數據及信號,以輸出各一個80毫秒的低信號和高信號,並藉由一溫溼度程式碼將溫溼度轉換成五個位元(byte),再將該五個位元(byte)依序送入個該設備單元(130)之函式中;一工控蜜罐模組(160),係以偵測工業控制系統,並將該誘捕程式連上工業乙太網,以引誘由工業乙太網進入之入侵程式,並使該入侵程式攻擊該誘捕程式的數據及資料,且藉由該監督控制模組(110)偵測及判斷即時狀態。
- 如申請專利範圍第4項所述之具有高互動組合工控誘捕系統,其中該監督控制模組(110),係以藉由該組件資訊資料庫以編輯特定的反應訊號並加以儲存,同時以該反應訊號配合亂數或微調頻之頻率,以產生模擬輸出訊號。
- 如申請專利範圍第4項所述之具有高互動組合工控誘捕系統,其中該模擬該設備單元(130),係透過數位輸入(DI)或類比輸入(AI)介面,將所模擬之訊號回傳給該監督控制模組(110)。
- 一種具有高互動組合工控誘捕方法,其中包括:步驟1、 (S201)一監督控制模組藉由複數個遠端控制單元以一對一監督及控制複數個設備單元,並擷取各該設備單元之真實監控資料; 步驟2、 (S202)一遠端控制蜜罐模組設置於工業控制系統下,得以藉此強化工控蜜罐模組的防護能力,以偵測異常操作之行為;步驟3、 (S203)該遠端控制蜜罐模組,係以偵測複數個遠端控制單元,並定時複製並模擬該工業控制系統之該監控資料及行為模式,加以複製並模擬該工業控制系統藉以形成一具有模擬控制訊號之誘捕程式;步驟4、 (S204)該工控誘捕偵測模組判斷是否為該工業控制系統之訊號,並同時判斷及偵測一IP區域之系統的型號與地理位置之行為程式是否為真實之工業控制系統,並給予權重及分數,若以該權重及分數判斷該行為程式為一入侵程式,將通報該工控蜜罐模組執行誘捕行動,並透過TCP/IP偵查該IP的區域及位置,並以判定一地區及位置是否為真實工業控制系統,若該判定為否,則判定該地區及位置之行為程式有異常,並以認定為該入侵程式;步驟5、 (S205)該入侵程式藉由工業乙太網入侵工業控制系統並攻擊該設備單元;步驟6、 (S206)該工控蜜罐測模組,藉由監督控制模組下達誘捕行動之指令;步驟7、 (S207)該工控蜜罐模組將該誘捕程式連上工業乙太網,觸發誘捕行動,以引誘由工業乙太網進入之該入侵程式,並使該入侵程式攻擊該誘捕程式的數據及資料,且藉由該監督控制 模組偵測及判斷即時狀態,並即時將該即時狀態傳送至一組件資訊資料庫儲存;步驟8、 (S208)該入侵程式認定已成功取得或控制該設備單元之數據或設備,並退出該工業乙太網;步驟9、 (S209)該工控誘捕偵測模組再判斷該行為程式是否正常;步驟10、 (S210)該監督控制模組與該工控蜜罐模組將即時之執行紀錄與該入侵程式之資訊傳送至該組件資訊資料庫;步驟11、 (S211)該監督控制模組檢查該工業控制系統狀況,並以儲存至組件資訊資料庫。
- 如申請專利範圍第7項所述之具有高互動組合工控誘捕方法,其中該步驟1(S201)之該真實監控資料,係包含連線時間、使用之協定、IP來源、執行內容、及該監督控制模組回傳至該監督控制模組之數據。
- 如申請專利範圍第7項所述之具有高互動組合工控誘捕方法,其中該步驟6(S206)之該誘捕行動,包括:步驟A. (S2061)藉由該遠端控制蜜罐模組模擬該工業控制系統之真實數據,以形成一模擬數據並以儲存於該組件資訊資料庫;步驟B. (S2062)待該入侵程式進入該工業控制系統,該工控蜜罐模組執行誘捕行動並同時通報該監督控制模組;步驟C. (S2063)該入侵程式發出指令至該工業控制系統; 步驟D. (S2064)該工控蜜罐模組將該模擬數據依照所對應之真實數據回傳至該入侵程式,並重複接收該入侵程式所發出之指令,予以各別回覆;步驟E. (S2065)使該入侵程式認定該模擬數據為真實數據並以結束入侵行為。
- 如申請專利範圍第7項所述之具有高互動組合工控誘捕方法,其中該步驟10(S210),該監督控制模組同時將該入侵程式之行為儲存至該組件資訊資料庫,以利預測及判斷未來之行為模式。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW108131137A TWI703467B (zh) | 2019-08-29 | 2019-08-29 | 具有高互動組合工控誘捕系統及其方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW108131137A TWI703467B (zh) | 2019-08-29 | 2019-08-29 | 具有高互動組合工控誘捕系統及其方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI703467B true TWI703467B (zh) | 2020-09-01 |
| TW202109328A TW202109328A (zh) | 2021-03-01 |
Family
ID=73644074
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW108131137A TWI703467B (zh) | 2019-08-29 | 2019-08-29 | 具有高互動組合工控誘捕系統及其方法 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI703467B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114448844A (zh) * | 2022-01-13 | 2022-05-06 | 中国电子科技网络信息安全有限公司 | 一种扫描互联网工业信息***的方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW200842716A (en) * | 2007-02-28 | 2008-11-01 | Microsoft Corp | Spyware detection mechanism |
| CN103051615A (zh) * | 2012-12-14 | 2013-04-17 | 陈晶 | 一种蜜场***中抗大流量攻击的动态防御*** |
| CN108701066A (zh) * | 2016-02-10 | 2018-10-23 | 第三雷沃通讯有限责任公司 | 自动蜜罐供应*** |
| TW201926107A (zh) * | 2017-11-29 | 2019-07-01 | 財團法人資訊工業策進會 | 計算機裝置及辨識其軟體容器行為是否異常的方法 |
| US10341366B2 (en) * | 2015-04-29 | 2019-07-02 | International Business Machines Corporation | Managing security breaches in a networked computing environment |
| US10367832B2 (en) * | 2017-01-27 | 2019-07-30 | Rapid7, Inc. | Reactive virtual security appliances |
-
2019
- 2019-08-29 TW TW108131137A patent/TWI703467B/zh active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW200842716A (en) * | 2007-02-28 | 2008-11-01 | Microsoft Corp | Spyware detection mechanism |
| CN103051615A (zh) * | 2012-12-14 | 2013-04-17 | 陈晶 | 一种蜜场***中抗大流量攻击的动态防御*** |
| US10341366B2 (en) * | 2015-04-29 | 2019-07-02 | International Business Machines Corporation | Managing security breaches in a networked computing environment |
| CN108701066A (zh) * | 2016-02-10 | 2018-10-23 | 第三雷沃通讯有限责任公司 | 自动蜜罐供应*** |
| US10367832B2 (en) * | 2017-01-27 | 2019-07-30 | Rapid7, Inc. | Reactive virtual security appliances |
| TW201926107A (zh) * | 2017-11-29 | 2019-07-01 | 財團法人資訊工業策進會 | 計算機裝置及辨識其軟體容器行為是否異常的方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114448844A (zh) * | 2022-01-13 | 2022-05-06 | 中国电子科技网络信息安全有限公司 | 一种扫描互联网工业信息***的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW202109328A (zh) | 2021-03-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Hodo et al. | Threat analysis of IoT networks using artificial neural network intrusion detection system | |
| CN110430190B (zh) | 基于att&ck的欺骗性防御***、构建方法及全链路防御实现方法 | |
| Lin et al. | Cyber attack and defense on industry control systems | |
| Shun et al. | Network intrusion detection system using neural networks | |
| Serbanescu et al. | ICS threat analysis using a large-scale honeynet | |
| CN112383538B (zh) | 一种混合式高交互工业蜜罐***及方法 | |
| Krishna et al. | Intrusion detection and prevention system using deep learning | |
| CN110460481B (zh) | 一种网络关键资产的识别方法 | |
| Orojloo et al. | Modelling and evaluation of the security of cyber‐physical systems using stochastic Petri nets | |
| Koroniotis et al. | The sair-iiot cyber testbed as a service: A novel cybertwins architecture in iiot-based smart airports | |
| JP2004030286A (ja) | 侵入検知システムおよび侵入検知プログラム | |
| TWI703467B (zh) | 具有高互動組合工控誘捕系統及其方法 | |
| Dehlaghi-Ghadim et al. | Anomaly detection dataset for industrial control systems | |
| Hink et al. | Characterization of cyberattacks aimed at integrated industrial control and enterprise systems: a case study | |
| Abe et al. | Developing deception network system with traceback honeypot in ICS network | |
| Lee et al. | Honeypot Coupled Machine Learning Model for Botnet Detection and Classification in IoT Smart Factory–An Investigation | |
| Turcato et al. | A cloud-based method for detecting intrusions in profinet communication networks based on anomaly detection | |
| Pashaei et al. | Improving the IDS performance through early detection approach in local area networks using industrial control systems of honeypot | |
| CN116781412A (zh) | 一种基于异常行为的自动防御方法 | |
| Khan et al. | Lightweight testbed for cybersecurity experiments in scada-based systems | |
| CN116318783B (zh) | 基于安全指标的网络工控设备安全监测方法及装置 | |
| Lu et al. | Evaluation and Build to honeypot System about SCADA Security for Large-Scale IoT Devices. | |
| CN109802966A (zh) | 一种基于信帧的网络入侵行为分析检测方法 | |
| CN114884744A (zh) | 一种攻击行为的分析方法及电子设备 | |
| Saini et al. | Vulnerability and Attack Detection Techniques: Intrusion Detection System |