颜欣晔 李 昕 张 博 付安民,
1(南京理工大学网络空间安全学院 江苏江阴 214443)
2(北京计算机技术及应用研究所 北京 100854)
3(南京理工大学计算机科学与工程学院 南京 210094)
工业控制系统又称工控系统[1],是由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统.随着工业互联网的快速发展,工业控制系统的安全风险也越来越突出.攻击者可以通过网络攻击入侵工控系统,例如通过漏洞或社会工程学技巧诱骗用户安装恶意软件.攻击者还可以通过绕过访问控制和身份验证获取系统的访问权限.针对工控系统的攻击可能导致工业基础设施瘫痪、生产中断、经济损失和人身伤害等不良后果[2],已对国家安全和经济稳定构成了严重威胁[3].
2021年,攻击者攻破了美国佛罗里达州一个水处理厂的控制系统,并试图大幅提高住宅和商业饮用水中的氢氧化钠含量占比,使公众生命安全面临威胁.2022年,黑客组织Anonymou入侵了白俄罗斯铁路的内部网络,并关闭了其内部网络的所有服务.该攻击对铁路列车的运营秩序和乘客的人身安全都造成极大危害.
工控系统具有多方面重要意义,因此需要采取措施保证工控系统安全.传统的安全措施包括网络防火墙、入侵检测系统和访问控制等,但这些方法往往只能进行被动防御,无法完全解决工控系统安全问题.
基于这样的形势,工控蜜罐作为一种具有欺骗性的解决方案,受到了越来越多的关注.它能够模拟真实工控环境,吸引攻击者进入,提供安全监测和攻击情报收集能力,在应对零日漏洞或新型攻击方式时具有优势.工控蜜罐的目标是吸引攻击者发起攻击,监测攻击者行为并收集相关信息,为后续安全防御提供参考[4].
本文在对工控蜜罐方案进行研究的基础上,首先简要介绍了蜜罐、蜜网的定义以及相关特性,然后讨论了工控蜜罐方案的评估现状,并根据工控蜜罐仿真的方式全面分析了基于协议模拟的方案、基于结构仿真的方案、基于模拟工具的方案以及基于漏洞模拟的方案,从方案和仿真方式2个层面进行了对比与评估,分析了当前工控蜜罐仿真模拟过程面临的挑战.最后,对工控蜜罐仿真方案未来的研究方向进行了讨论和展望.
1.1.1 蜜罐与蜜网
蜜罐技术是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或信息,诱使攻击方实施攻击,从而对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,并通过技术和管理手段增强实际系统的安全防护能力[5].
蜜网的定义较宽泛,以一个蜜罐为基础搭建一套网络拓扑即可视为蜜网.蜜网可以按照真实环境构建,为攻击者提供更丰富的入侵接口和更真实的攻击环境,并记录攻击者的具体攻击过程[6].
目前各类蜜罐技术方案并不具备统一的功能标准,采取的诱骗方式、仿真模拟的内容以及实现的功能均有不同的侧重点.综合来看,一个理想的蜜罐方案应该包含3个主要功能,即仿真交互、数据收集和安全控制,其基本结构如图1所示:
图1 蜜罐模型结构
仿真交互是蜜罐技术中至关重要的功能.它模拟真实计算机系统或系统的部分功能模块,诱骗攻击者发起行动,以有效地捕获攻击行为和发现安全威胁.为了实现仿真交互,蜜罐通常会模拟受保护系统的各种协议、数据包以及部分功能模块.仿真交互使攻击者将蜜罐误认为真实系统发起攻击,从而有效地捕获攻击行为,为后续的数据收集和安全控制提供支持.
数据收集的目的是记录攻击者的所有活动,以便了解攻击方法、推测攻击意图、分析安全威胁以及支持攻击取证.通常收集3类关键数据:防火墙日志(入站出站连接)、网络流量(数据包及其有效负载)和系统活动(攻击者的输入、系统调用、修改的文件等).此外,蜜罐系统为了诱发攻击行动,往往配置较弱的安全措施,因此蜜罐捕获的所有数据需要及时转发到集中的安全数据库中.
安全控制主要用于流量控制和监控蜜罐状态.在流量控制方面,蜜罐通常使用防火墙或其他网络安全设备限制流量进出,从而防止攻击者对蜜罐进行横向渗透或者攻陷蜜罐成为跳板进行外部攻击[7].在监控蜜罐状态方面,一旦发现攻击者利用蜜罐发起攻击行为,蜜罐系统立刻采取措施阻止攻击并回滚至良好状态,避免被攻击者利用展开后续攻击.此外,安全控制还需要保证蜜罐的完整性和可用性,在攻击者占用过多资源或发起破坏性行动时及时恢复蜜罐系统,保障蜜罐的正常运行.
1.1.2 蜜罐的特性
自蜜罐概念首次提出至今,其应用领域不断拓展和深入,逐渐表现出多种特性[8].如表1所示:
表1 蜜罐的特性
主要特性包括交互性、角色、扩展性、资源类型和适应性5种.
1) 交互性[9]:指蜜罐的交互能力.交互能力极大地影响蜜罐在仿真模拟中表现出来的真实性.根据交互性由弱到强,可以将蜜罐划分为低、中和高交互蜜罐[10].
2) 角色[11]:指蜜罐在多层体系结构中的位置.根据角色可将蜜罐分为服务器蜜罐和客户端蜜罐.服务器蜜罐通过模拟服务器端的软硬件吸引攻击者,检测和监控攻击行为,一般被动地等待攻击的到来.客户端蜜罐则具有主动性,可以模拟浏览恶意网站、下载文件等操作,从而引诱攻击者接触蜜罐.
3) 扩展性:指蜜罐模拟的设备或服务的数量能否动态变化.根据扩展性可将蜜罐分为可扩展蜜罐和不可扩展蜜罐.不可扩展的蜜罐只具备固定数量(1个或多个)诱饵的仿真模拟能力,如XPOT[12];而可扩展蜜罐可以动态地部署多个诱饵,如IoTCandyJar[13].
4) 资源类型[14]:指蜜罐的实现形式,也就是蜜罐作为诱饵的实际存在状态.根据资源类型可将蜜罐分为物理蜜罐、虚拟蜜罐和混合蜜罐3类.物理蜜罐是指运行在真实物理机器上的控制系统,具有高交互性和真实性.但单个物理蜜罐只有1个IP地址,在大规模系统中为每个IP地址或设备部署物理蜜罐代价过高.而虚拟蜜罐使用虚拟系统作为诱饵,可以在1台物理机器上同时托管多个虚拟IP地址.混合蜜罐将两者结合,在与攻击者交互时优先使用虚拟蜜罐进行欺骗,当仿真响应欺骗性不足时由物理设备进行弥补.
5) 适应性:指蜜罐在变化的环境中自适应地改变配置的能力,分为静态型蜜罐和动态型蜜罐.静态型蜜罐需要事先手动配置,无法适应入侵事件的实时变化.相比之下,动态蜜罐能够实时适应特定的事件和环境变化,提高蜜罐的诱骗效果,为系统提供更好的安全保障.
1.2.1 工控蜜罐
随着工业化程度的不断提高,工控系统的规模越来越大,功能越来越复杂.工控系统组件包括数据采集与监视控制(supervisory control and data acquisition, SCADA)系统[15]和可编程逻辑控制器(programmable logic controller, PLC)[16]等.工控蜜罐的目标可以是仿真工控系统的某一个组件,也可以是构建大型仿真系统模拟整个工控系统.
工控蜜罐的基础是通用型蜜罐.不过,工控蜜罐相比通用型蜜罐存在一些明显区别,主要包括以下3个方面:
1) 工控蜜罐和通用型蜜罐的保护对象不同.通用型蜜罐的保护对象通常是操作系统和程序等虚拟资源,目标是更好地提升系统的安全性[17].而工控系统复杂庞大,架构方式各异,各个设备独立且设备本身就具有价值.因此,工控蜜罐专注于保护实际物理世界中的设备.
2) 工控蜜罐面对的攻击相较于通用型蜜罐更具专业性.工控系统攻击者通常需要具备工业控制和自动化的专业知识,了解特定的工业协议和设备,熟悉控制系统的操作[18].此外,攻击者还需要了解工控网络的拓扑结构,找到弱点从而顺利入侵系统.这样强大的攻击者具有高度危险性和强诱饵识别能力.因此,工控蜜罐一般需要考虑强欺骗性的高交互方案.
3) 工控蜜罐具有高度的定制化需求.工控环境通常由多种类型的工控设备组成,不同设备的结构和设备间通信都具有较大差异性,因此工控蜜罐需要模拟不同型号工控设备支持的协议和不同模块的通信原理,以满足特定的仿真需求.定制化的仿真使得攻击者更难以区分真实工控系统和蜜罐,并进一步降低攻击成功率.
1.2.2 工控蜜罐评估
现有的工控蜜罐方案具有不同的性质、功能和模拟方式.目前,对于工控蜜罐的评估仍缺乏统一的衡量标准.绝大多数工控蜜罐方案在实验评估阶段将工控蜜罐暴露在公网上,根据捕获到恶意流量的数量评估蜜罐的能力,部分工控蜜罐方案会对这些恶意流量的攻击方式、来源等作进一步分析[19].不过,仅仅根据捕获到的恶意流量数量评估工控蜜罐方案是片面的,因为部署位置、部署时长等因素都可能对捕捉到的恶意流量的数量造成影响.
改进型的工控蜜罐方案常常采取对比的评估方式.改进型方案一般是针对之前蜜罐方案的不足作出改进后形成的新方案,因此需要和基础方案进行对比实验.例如,文献[20]与基础方案的对比结果充分显示了其在原方案基础上的改进效果.不过,这无法说明此方案相较于其他众多方案的优势.工控蜜罐需要更丰富的评估指标.
在评估中可以定义工控蜜罐需要具备的各种性质,并将满足的性质种类数量作为衡量工控蜜罐方案技术水平的指标.工控蜜罐的指纹、数据捕获、欺骗性和智能等属性[21]都可以衡量蜜罐水平.除此之外,实时性、可扩展性、易用性等都可以作为评估工控蜜罐方案的参考指标.
欺骗性是工控蜜罐最重要的特性之一,但是难以进行数值化的评估.这是因为欺骗性是基于对攻击者心理预期的理解,需要根据具体的情境和攻击目标来设计和实现.在HoneyPLC[22]的实验评估中使用了Nmap[23]和Shodan[24]2种可对欺骗性进行量化的评估工具对IP地址进行可信度评估并打分.这种方式能够量化地评估工控蜜罐的欺骗性,使用统一工具扫描也会使对比结果更可靠.
目前的工控蜜罐方案大致可以分成基于真实设备的工控蜜罐方案和基于仿真的工控蜜罐方案.其中,基于真实设备的工控蜜罐方案普遍的研究目的是分析捕获到的恶意样本[25].本文重点关注工控蜜罐的结构设计与实现方法,对基于仿真的工控蜜罐方案进行深入分析,并将其分类为基于协议模拟的方案、基于结构仿真的方案、基于模拟工具的方案、基于漏洞模拟的方案和基于混合模拟的方案,本节将介绍各个类别的代表性方案并进行对比.
基于协议模拟的方案是一种主流的工控蜜罐方案.这种方案通常不考虑设备的内部结构,而是把重心放在仿真工控协议的交互功能上,其实现难度主要在于分析并模拟各厂商的私有协议.这些私有协议通常是一套厂商自定的不全部公开的协议标准,一般只适用于本企业的全部或部分产品设备,因此模拟难度较大.
Xiao等人[26]提出了基于西门子S7comm[27]协议的工控蜜罐方案S7commTrace.该方案对S7comm协议的结构和功能码作了详细的研究,因此对西门子S7系列设备的模拟仿真度较高;与开源工控蜜罐Conpot[28]相比,S7CommTrace能够接收更多连接请求,捕获到更多攻击数据;此外,该方案并未被扫描工具Shodan识别为蜜罐,这表示其具有较高交互性和欺骗性.
不过,S7CommTrace的数据来源只有西门子S7-300,并且专注于对S7comm协议的研究和复现.然而即使是来自同一厂商,不同型号PLC之间的差异性也相当大,因此该方案扩展性低,需要通过扩充更多协议功能来进行弥补.
López-Morales等人[22]提出一种基于通用型蜜罐honeyd[29]的方案HoneyPLC,实现了一些主要的协议模拟,包括TCP/IP,S7comm,HTTP,SNMP,方案结构如图2所示:
图2 HoneyPLC方案结构
HoneyPLC致力于提高欺骗性和扩展性.在欺骗性方面,编写了对应的服务器应用程序模拟交互协议;设计了一个配置工具自动生成目标PLC的配置文件,从而增强与攻击者的交互能力.在扩展性方面,HoneyPLC可以模拟西门子S7-300等多个来自不同厂商的PLC,模拟结果与真实PLC非常接近.
不过,从实验结果来看,HoneyPLC对于Allen-Bradley MicroLogix1100[30]和ABBPM554-TP-ETH[31]这2款PLC模拟是不理想的,这是因为方案侧重于复现西门子S7系列的功能,而这2款PLC的配置数据与西门子PLC存在差异.
基于协议模拟的方案基本上都能得到比较理想的结果,往往具有较高的交互和仿真能力.不过,这类方案通常只能在少量协议的模拟中取得良好的表现.需要考虑结合其他模拟仿真方法,或是在模拟协议的数量上作出大型的整合.
基于结构仿真的方案通过模拟工控设备模块功能结构提高蜜罐欺骗性,以尽可能多地与攻击者进行交互,从而收集攻击者的行为信息和攻击策略.
中交互工控蜜罐方案XPOT[12]明确提出实现基于结构仿真工控设备,目标是和攻击者进行最大限度的交互.XPOT仿真西门子S7-300设备,支持攻击者在蜜罐中执行PLC程序.该工控蜜罐支持攻击者下载和上传程序,调试运行中的程序,检查和修改内存区域等.XPOT的优势在于可以提供更加真实的攻击场景,从而更好地吸引攻击者并获得攻击数据.
然而,当使用专业性更强的攻击者数据进行实验时,XPOT和真实PLC诊断输出结果产生差异.由此可见,从底层逻辑结构对物联网设备进行仿真模拟的难度非常大.
基于结构仿真的蜜罐方案可以看作是协议模拟的延伸,它不但包含对协议的模拟,还包括对工控设备底层逻辑的理解与实现.相较于协议模拟方案,基于结构仿真的方案交互性大大增强.在对PLC的诸多攻击方式中,一类具有破坏力的方式是PLC注入攻击[32].而基于结构仿真的工控蜜罐方案在PLC仿真中表现出较强的欺骗性.在面对真实的攻击者时,结构仿真型方案的重要性逐渐凸显.
在对工控环境进行模拟作业时研究人员也会使用网络模拟器创建工控蜜网.涉及的通常有SNAP7[33]模拟器、IMUNES模拟器、SoftGrid[34]工具包、PowerWorld[35]模拟器以及Mininet[36]模拟器.
Mashima等人[37]基于Mininet仿真工具模拟了包括互连变电站在内的整个通信基础设施.这是一个基于电力互联网的高保真电力站蜜网的设计方案,用于模拟和监测针对电力系统的网络攻击和入侵.该蜜网允许攻击者探测电网视图.当攻击者要对电网进行控制时,电流、电压和频率的变化等都将可见.该方案可以有效模拟环形拓扑,同时,基于Nmap和Shodan的测试都表明其具有欺骗性.
Ding等人[38]基于IMUNES模拟了一个工控蜜网,基于可定制的Docker镜像模拟路由器、交换机等设备节点.同时,使用改进的SNAP7工具进行西门子PLC的仿真,实现西门子PLC之间的通信.此方案在实验环节测试了其可用性和蜜罐指纹的欺骗性.实验结果表明,它可以响应和检测各种攻击,为工控系统的安全防护提供了一种新的思路和方案.
基于模拟工具的方案通常借助模拟器的便利性,快速模拟较大数量的虚拟设备,建立虚拟节点.在对大型工控环境进行模拟和仿真时,基于模拟工具的方案往往能够取得较好效果.但在真实性方面,此类方案的实现效果对模拟工具的依赖性大,通常需要考虑改进模拟器功能弥补不足.
基于漏洞模拟的方案可以模拟特定的设备漏洞,吸引攻击者进行检测和攻击,以捕获和分析恶意代码,对擅于利用漏洞的攻击者尤其造成干扰.
Zhang等人[39]聚焦2018年暴露最多的SOAP端口,在CVE-2017-17215漏洞的基础上设计了一个基于漏洞模拟的方案.如图3所示:
图3 基于漏洞模拟的工控蜜罐结构
方案将1个中高交互蜜罐、1个多端口蜜罐和1个高交互蜜罐集成为1个蜜网.其中,中高交互蜜罐利用真实物联网设备的漏洞模拟SOAP服务;由于SOAP漏洞涉及UPnP的设备体系结构、SOAP服务和HTTP协议,攻击者会使用多个端口进行攻击,因此引入多端口蜜罐实现这方面的功能模拟;当模拟协议处理请求失败时,攻击者很可能会中断连接,因此使用真实的物联网设备处理中高交互模拟蜜罐无法处理的请求.不过,此方案测试结果较少,设备的交互能力和设备指纹的仿真功能也难以被验证.
基于漏洞模拟的工控蜜罐方案围绕指定漏洞展开仿真模拟工作,其结果比其他方案更容易吸引恶意流量,在较短时间内获得较多数据.然而这种方案需要考虑时效性,不断更新漏洞以吸引攻击,或者考虑整合高关注度漏洞.
基于混合模拟的方案将蜜罐技术与其他前沿技术结合,核心在于提升蜜罐系统的自身效果.例如将蜜罐技术与机器学习结合,通过学习已有设备的应答,训练最佳应答模式,提高扩展性.
Luo等人[13]提出了智能交互式蜜罐IoTCandyJar,旨在吸引和收集针对物联网设备的攻击,方案结构如图4所示:
图4 IoTCandyJar结构
IoTCandyJar模拟真实设备的行为和响应,理论上可以仿真众多物联网设备,能够根据攻击者的行为动态地改变其欺骗策略,从而更好地欺骗攻击者并收集有价值的攻击数据.此方案在对物联网设备的仿真方式上进行了扩展,采用机器学习的方式制作发送给攻击方的虚假应答,具有很高扩展性,可以模拟多种物联网设备.
如何提升基于混合模拟方案的功能性也是一个不小的挑战.考虑到从网络上学习到的数据中会有正常应答、受到攻击的应答以及虚假应答[40],分析这些应答语义需要更加谨慎.一旦实现结果可靠,工控蜜罐就能具备良好的可扩展性,以便在不同的工控系统和场景中进行部署使用.
工控蜜罐与其他安全防护手段区别开的特点在于其对攻击方的欺骗性有助于获取重要的攻击方恶意代码[41].因此,工控蜜罐的设计应该尽可能提高交互能力,同时,为了更好地捕获攻击者注入的恶意代码,工控蜜罐的设计也需要考虑如何更好地模拟真实系统及软件、硬件和网络环境等,进一步提高工控系统的安全性.
表2对前文中提到的工控蜜罐方案进行了对比分析.下面分别对表2中的7个蜜罐和5类蜜罐方案进行深入分析.
表2 蜜罐方案对比
7个蜜罐方案各自呈现出不同的特性.由于交互性尚不具备规范化的标准,表2中的交互性遵循了方案自身的定义.各方案都以高交互蜜罐为目标,对自身提出了较高的欺骗性要求.其中方案3由于实现效果与预期不符,自评价为中交互蜜罐;捕获能力指工控蜜罐在诱骗后保存交互数据的能力.方案1,2,6,7都捕获了恶意流量并提供给后续分析,而方案3,4,5侧重于吸引攻击为真实系统分担压力,因此未设计数据捕获功能;安全控制指的是工控蜜罐防止被利用或者被攻陷的防护措施,只有方案6进行了安全控制设计.指纹伪造对于工控蜜罐真实性的影响很大.当前各种扫描工具趋于成熟,因此有必要在蜜罐中实现指纹伪造,方案2,4,5,6均考虑了这方面的因素.
通过分析5类基于仿真的工控蜜罐方案,得到如下结论:
1) 基于协议模拟的方案成果比较显著.由于各个厂商都有自己的私有协议,增加了协议模拟的难度,导致协议的具体实现可能和真实环境下存在一些细微差别.不过,随着私有协议的深入研究和复现,对于这些私有协议的模拟难度已经逐渐降低,这也让工控蜜罐方案更具有可行性和实用性.
2) 基于结构仿真的方案目前成果较少,难度较大.最理想的高交互状态是做到和真实工控系统近乎相同的交互能力;在蜜罐和工控系统对同一个输入作出连接应答时,它们的差距越小,越能欺骗攻击者注入恶意代码.而如何从物联网设备的底层逻辑上对其进行仿真是工控蜜罐领域一个很具有挑战性的内容.
3) 使用模拟工具实现仿真功能的蜜罐方案通常更加注重仿真程度.这类方案的目标是通过模拟大型工控环境系统吸引攻击者,并使其相信他们正在攻击真实的工控生产环境.
4) 基于漏洞的方案具有特殊性.一方面,模拟已存在的漏洞会使蜜罐暴露在更多风险下,获得更多资料;另一方面,此类方案具有一定的时效性,因为往往最新的漏洞最容易受到攻击,一个漏洞在引起足够的关注或是被修复之后,蜜罐方案也需要同步升级才能继续实现诱骗能力.
5) 基于混合模拟的方案致力于将不同技术和蜜罐结合在一起.在工控蜜罐领域,出现了将机器学习与蜜罐结合的方案,这种方案理论上具有极高的扩展性,由于目前还不具备较好的方案评估标准,因此未能判定这类方案扩展性的实现程度.
未来,工控蜜罐将面临更加复杂和多样化的攻击,需要更加高效智能的蜜罐技术保护工控系统的安全.在这一点上工控蜜罐技术仍然存在许多不足.本文对工控蜜罐技术的挑战和未来展望总结如下:
1) 高交互的工控蜜罐方案设计.
目前的工控蜜罐提供的交互性有限,例如模拟少量的PLC操作或者响应少量的协议命令,面对逐渐专业化的PLC攻击方式效果不佳[42].未来的工控蜜罐需要支持更丰富的交互操作,通过模拟真实工业控制系统,尽可能还原实际系统的功能和性能,以提高欺骗效果[43].
2) 增加支持协议的种类与整合兼容.
工控系统有其特殊性.工控系统中的设备和网络通信方式与一般的计算机系统不同,不同应用场景中使用的工控协议也不一而足.当前的工控蜜罐领域,模拟工控协议和运用仿真工具的方案已有一定的成果,需要考虑的是在模拟协议的数量上作一个大的整合和兼容.另外,目前的工控蜜罐主要针对S7协议进行模拟,未来的工控蜜罐需要支持更多种类的协议,例如Modbus,DNP3等,以满足更广泛的工控设备的模拟需求.
3) 提出全面的量化评估标准.
纵观工控蜜罐的诸多方案,目前对于方案的性能评估没有一个较好的衡量标准.当前工控蜜罐的评估方式只能证明方案的有效性,但对于功能性没有较为权威性的统一标准,因此方案之间难以对比优劣.可以从2个方向考虑改进:一是整合工控蜜罐的特性,按照一个方案具备特性的数量来作对比,或是参考Shodan等扫描工具,制定权威性的指标对蜜罐的特性进行量化评估.
4) 将蜜罐技术与前沿技术融合.
未来的工控蜜罐需要更加紧密地融合其他前沿技术,以提供更加全面的安全防护和威胁分析能力.通过机器学习等技术,工控蜜罐可以自动学习攻击特征和设备应答,进而实现更加精准和智能的攻击识别和防御.其次,将工控蜜罐与区块链技术相结合,可以提高蜜罐系统的安全性和可信度[44].另外,使用虚拟机和容器化技术可以模拟不同的操作系统和应用程序版本,提高欺骗性.
5) 降低对工控系统实时性的影响.
由于工控系统通常具有高度的实时性和稳定性要求,工控蜜罐需要确保其不会对实际工控系统的运行产生任何负面影响.这就要求工控蜜罐的设计和实现要充分考虑与真实工控系统的兼容性,以保证其对实际系统的影响最小化[45].
随着工控系统的网络化、受攻击方式逐渐多样化,工控蜜罐的重要性逐渐凸显.工控蜜罐方案普遍注重自身的欺骗性,并在交互性、真实性和扩展性等方面各自提出了改进方案.在设计工控蜜罐仿真模拟的功能时,需要克服物理设备上的差异性,为了伪装成真实的工控环境,这些方案采取的仿真模拟方式各有不同.本文对工控蜜罐方案进行了调研和分析,梳理当前模拟和仿真的思路,主要介绍了7种工控蜜罐方案.最后阐述了目前研究中存在的问题和挑战,并对未来的研究与发展方向进行了展望.