【摘要】

物联网（IoT）、工业物联网（IIoT）和网络物理系统（CPS）是关乎国计民生不可或缺的基本生产要素，广泛应用于居家、建筑、城市、健康、交通、制造、基础设施以及农业等各种生活场景。因其固有局限性难以避免引发漏洞，这些系统已成为攻击者的重点关注目标。蜜罐和蜜网欺诈攻击者，伪装成真实的业务环境，能够精准捕获攻击数据，分析攻击行为，有效防御针对IoT、IIoT和CPS环境的攻击，是防火墙和入侵检测系统（IDS）等其他安全解决方案的有力补充。本文全面调研IoT、IIoT和CPS领域中蜜罐和蜜网的相关研究工作，深入分析已知的蜜罐和蜜网，提出一种分类方法，详细阐述最前沿工作的关键要素，明确指出亟待解决的热点问题。

本文贡献如下：

• 对IoT、IIoT和CPS领域蜜罐和蜜网进行分类；
• 全面分析IoT、IIoT和CPS领域的蜜罐和蜜网，总结共性；
• 阐述IoT、IIoT和CPS领域蜜罐和蜜网的关键设计要素；
• 指出IoT、IIoT和CPS领域蜜罐和蜜网亟待解决的热点问题。

本文组织如下：

第一部分为引言；第二部分分析背景研究工作；第三部分描述蜜罐、蜜网及其他相关术语的概念和涵义；第四节给出蜜罐和蜜网特征分类的方法；第五节分类并总结物联网领域蜜罐和蜜网的模型及研究工作；第六部分分类分析现有物联网领域的蜜罐和蜜网模型；第七节分类并总结CPS和IIoT领域蜜罐和蜜网的模型及研究；第八节分类分析现有CPS和IIoT领域的蜜罐和蜜网模型；第九节详细介绍蜜罐和蜜网实现过程中的经验教训和设计注意事项；第十节总结并阐述未来工作方向。

关键字：蜜罐、蜜网、IoT、IIoT、CPS

物联网（IoT）是一个由传感器、执行器和其他能够收集数据并进行通信的嵌⼊式设备等组成的网络。工业物联网（IIoT）是IoT的一个应用场景，旨在基于工业通信技术实现应用的自动化^[1]。网络物理系统（CPS）则是由传感器、执行器、可编程逻辑控制器（PLC）、远程终端单元（RTU）、智能电子设备（IEDs），以及其他在关键和非关键应用领域中用来监控物理过程的嵌⼊式设备等组成的网络。CPS包括但不限于工业控制系统（ICS）、智能电网、智慧医疗、智能汽车，以及水、天然气、智能建筑等其他智能基础设施^[2][3]。由此可见，IoT、IIoT和CPS在概念层面没有本质的区别。Border等人的研究成果^[2]和Greer等人^[4]发布的美国国家标准与技术研究院（NIST）特别报告，从学术的视角分析了IoT和CPS的定义，指出这些概念或者可以一视同仁，或者即使存在差异也有相当一部分的重叠，或者彼此互为子集。Greer等人^[4]指出IoT和CPS是相似的，因为二者均连通了由工程系统构成的物理世界和由通信和信息技术构成的逻辑世界。这两个世界通过传感器连接。传感器负责收集系统中物理组件生产的数据，并将数据传输给逻辑组件和执行器。执行器负责响应逻辑组件，并在物理组件中应用更新。与此同时，Greer等人^[4]指出，IoT和CPS是不同的，因为IoT更关注物理世界的信息技术和网络，而CPS更像是一个封闭系统，侧重于感知和控制物理世界的信息交换。IIoT进一步衔接IoT和CPS的定义，具备二者的特性。

当前，IoT、IIoT以及CPS是实现现代化和智能化的基础支撑。传感器、执行器、可穿戴设备、嵌入式设备以及许多其他设备，正广泛应用在关乎国计民生的各个方面：居家、建筑、城市、健康、交通、汽车、制造、关键和非关键基础设施，以及农业。其中，关键基础设施包括核反应堆、发电厂、炼油厂等。物联网、工控物联网和CPS虽然保证了设备之间的连通性，但其中各种设备在资源限制、网络生命周期和应用程序服务质量（QoS）等方面有特殊的要求，决定了其特殊的安全需求。

物联网设备的供电、存储、计算和通信资源是有限的，无法应用功能丰富的安全机制^[6][7]。另一方面，工业物联网和CPS场景下使用的设备在设计之初并没有考虑安全性。因为这些场景自带隔离属性，默认设备是安全的。这种源于模糊假设的安全性，在Stuxnet（2010）、DuQu（2011）和Flame（2012）攻击事件发生后，已被打破。随着越来越多工业环境接入互联网，安全更新和安全补丁，成为拥有数十年历史的工业设备正在面临的棘手问题^[8]-[11]。

加密、防火墙、入侵检测和入侵防御系统(IDS、IPS)、防病毒、反恶意软件等传统的安全解决方案能够有效防护物联网、工业物联网和CPS环境免受恶意软件实体的侵害。但是，这些安全机制无法明确显式地允许安全研究人员观察分析攻击手段和攻击行为^[12]。蜜罐和蜜网可以诱捕真实的攻击数据，成为一个可行的解决方案。蜜罐的作用在于承受攻击和破坏^[13]。在系统中实现两个或多个蜜罐组成一个蜜网^[14]。蜜罐吸引攻击者，伪装成真实的业务系统，可以与防火墙和IDSs联动，组成一个IPS，以便于收集攻击数据，研究攻击行为，协助开发既能增强安全能力又能阻止未知威胁的防御方法^[12]。

IoT、IIoT或CPS业务场景中现已部署应用了蜜罐和蜜网，但学术界尚未系统性地梳理蜜罐和蜜网的模型，分析模型之间的相似性和差异度，明确物联网、工业物联网和CPS领域蜜罐和蜜网设计与实现的关键要素。为了填补这项研究空白，本文全面调研2002年至2020年期间提出的IoT、IIoT和CPS领域专用的蜜罐和蜜网模型。迄今为止，本文的研究工作在学术界是首创性的。

IoT、IIoT和CPS安全是一个广泛的研究领域，成果众多。其中，最为典型的代表性工作有：Butun等人^[15]和Makhdoom等人^[5]发表的关于漏洞、威胁和攻击的研究综述；Lee等人^[16]针对IoT标准的安全性调研；Granjal等人^[17]开展的现有IoT协议的研究；Neshenko等人^[7]最近发表的IoT安全研究综述；Sikder等人^[18]对IoT传感器威胁的调研；Humayed等人^[3]发表的关于CPS威胁、漏洞、攻击和防御解决方案的研究综述；Al-Garadi等人^[19]提出的解决IoT安全问题的机器学习和深度学习技术；Yu等人^[10]发表的CPS安全研究综述以及Cintuglu等人^[20]对CPS测试平台的研究。此外，Babun等人^[21]提出创新的方法来防护因设备漏洞引发的物联网网络脆弱性。

蜜罐和蜜网始终是一个热门的研究领域。在通用型蜜罐和蜜网方面，Fan等人^[22]提出蜜网解决方案的分类准则和分类方法，分析了每个分类准则的优缺点；2018年，Fan等人^[12]拓展了早期的研究，提出具备诱捕能力的诱饵系统分类方法；Sokol等人^[26][27]分析了蜜罐部署阶段应注意的隐私和责任问题。此外，还有若干针对通用型蜜罐和蜜网解决方案的代表性研究工作^[23][24][25]。在物联网、工业物联网和CPS领域专用蜜罐和蜜网方面，只有少量综述文献。Razali等人^[28]分析了物联网蜜罐的类型、属性和交互级别，并按照交互、资源、目的和角色对蜜网模型进行了分类；Dalamagkas等人^[29]调研了智能电网场景下的蜜罐和蜜网框架；Dowling等人^[30]提出并开发一个以数据为中心的自适应智慧城市蜜网框架，重点关注数据的复杂性、安全性和危险程度。此外，Neshenko等人^[7]发表了物联网安全的调研综述，其中讨论了物联网和CPS蜜罐，但是其研究重点是物联网本身的安全性，未对物联网蜜罐进行深入研究。

在蜜网描述语言以及蜜罐的可检测性方面，Fan等人^[31]提出一种独立于技术且灵活的蜜网描述语言，以及HoneyGen工具，基于VNX和Honeyd平台部署和更新虚拟蜜网。Acien等人^[32]分析了物联网场景中部署蜜罐的有效途径，使其对攻击者而言更像是真实的设备。Surnin等人^[33]研究了SSH和Telnet蜜罐的检测技术，明确指出导致这两类蜜罐易于检测的软件架构及实现相关的问题^[34]。Zamiri-Gourabi等人^[35]提出一种基于指纹的接入互联网的ICS蜜罐检测方法。

与现有工作的差异：尽管近年来蜜罐和蜜网研究有所增加，但本文研究工作的独创性在于首次全面分析现有蜜罐和蜜网模型并重点聚焦 IoT、IIoT 和 CPS业务场景展开系统性的调研，提出蜜罐和蜜网的分类方法，并总结物联网、工业物联网和CPS场景下专用蜜罐和蜜网的设计注意事项，详细阐述其中亟待解决的开放性问题。

本节，介绍蜜罐、蜜网以及其他相关术语。

A. 蜜罐和蜜网

蜜罐是一种欺骗工具，作为诱饵吸引攻击者并伪装成真实系统提供访问权限。蜜网有多种解释：蜜网可以简单地定义为在同一个系统中实现的两个或多个蜜罐^[14]；或者更狭义地理解，蜜网是第一代、第二代或第三代的高交互蜜罐系统^[36]。事实上，大部分研究者即使实现了多个蜜罐，也没有称其为蜜网。只有少数研究^[37]-[41]仅实现了单个蜜罐。因此，本文分析总结时，保留了作者原本的定义。

文献^[42]中描述了三种主要的蜜网架构，也称为“代”。第一代蜜网开发于1999年，由防火墙和IDS组成，其后部署蜜罐，可以捕获丰富的攻击行为数据和未知威胁，但非常容易被攻击者检测识别。第二代蜜网开发于2002年，部署一个蜜网传感器替代第一代蜜网中的防火墙和IDS。这个传感器的工作原理类似网桥，更难被攻击者检测。第三代蜜网开发于2004年，在第二代蜜网架构的基础上改进了部署和管理能力。

图1. 基础的蜜网架构

图1描述一个基础的蜜网架构。蜜网包括三个基本要素：数据控制、数据捕获和数据收集。数据控制，旨在控制数据流，防止攻击者意识到其身处蜜网，并确保即使蜜网被攻陷，也无法作为攻击业务系统的跳板；数据捕获，旨在捕获攻击者在蜜网中实施的攻击行为和行动轨迹^[36]；数据收集，负责将所捕获的数据上传到一个集中管控的平台^[22]。

蜜罐和蜜网的部署位置是多样化的：以Amazon EC2为代表的云计算环境；企业的DMZ区；以IoT、IIoT或CPS为代表的真实业务网络区域；设置了公网IP地址的私有部署环境。每种部署场景都有各自的优缺点。此外，部署场景决定了选择何种蜜罐或蜜网类型最优。

B. 其他相关术语

与物联网、工业物联网和CPS应用场景中的蜜罐和蜜网相关的概念和术语有：测试平台（testbed）、网络模拟器和仿真框架。类似蜜罐和蜜网，此类系统模拟设备和协议，甚至准备一个物理环境，以供CPS设备基于工业协议运行和通信。与蜜罐和蜜网不同的是：这些系统不提供诱捕和分析攻击者行为的能力。蜜罐和蜜网的研究者利用此类工具创建欺骗系统。MiniCPS框架^[43]、IMUNES模拟器^[44]、GridLab-D配电分布式模拟器^[45]、SoftGrid智能电网安全工具包^[46]、PowerWorld模拟器^[47]，以及Mininet模拟器^[48]是其中的经典案例。前端和后端，也是各种研究工作中经常使用的术语。蜜罐/蜜网系统的前端是与攻击者交互并收集攻击数据的部分；后端从前端接收数据，分析数据，解密数据并存储。自适应性是指蜜罐分析攻击数据，根据分析结果调整自身的攻击响应模式或行为方式，以便于更精准有力地诱捕攻击者。

图2. IoT、IIoT和CPS领域蜜罐和蜜网的分类类别，相关文献见[12]、[24]、[25]、[28]，相关工作的详情见表一、二、三。

蜜罐和蜜网可以按照多种方式分类。本文基于已知综述成果^{[12][24][25][28]}对物联网、工业物联网和CPS领域蜜罐和蜜网进行分类，通过分析总结反复出现的关键分类特征，改进增强现有的分类结果。具体而言，如图2所示，本文根据目的、角色、交互级别、可扩展性、资源级别、源码可用性及应用领域，分类总结了IoT、IIoT和CPS领域的蜜罐和蜜网。此外，本文分析了仿真服务、蜜罐和蜜网之间的继承关系、构建蜜罐和蜜网的基础平台以及编程实现语言。

按照用途分类：根据用途，蜜罐和蜜网可以分为研究型蜜罐和生产型蜜罐两类。研究型蜜罐用于收集和分析攻击数据，以增强防御手段；生产型蜜罐用于增强业务网的安全防御能力，防止攻击者侵入企业真实的业务系统^[13]。

按照角色分类：根据主动探测还是被动捕获攻击，蜜罐分为客户端蜜罐和服务器蜜罐。客户端蜜罐可以主动向服务器发起请求以调查恶意程序；服务器蜜罐仅仅等待攻击。绝大多数蜜罐属于服务器蜜罐^[12]。

按照交互级别分类：根据与攻击者的交互程度，蜜罐分为低交互蜜罐、中交互蜜罐、高交互蜜罐和混合蜜罐。低交互蜜罐只仿真一个或多个服务的简单功能，不提供操作系统的访问权限，易于设置，具有低风险、低成本和低运维需求的优点，但保真度低，更容易被攻击者识别，并且只能收集有限的攻击数据^[28]。

高交互蜜罐不仅仿真服务，还允许访问操作系统^[28]。有研究指出，利用真实的物理设备构建高交互蜜罐，也有部分工作是基于虚拟环境实现高交互的设备和服务模拟。高交互蜜罐能够收集攻击者的所有入侵行为和内网渗透的攻击数据，具有极高的保真度。由于高交互蜜罐授权攻击者访问真实的仿真服务和操作系统资源，安全风险也较高。此外，高交互蜜罐设置更复杂，捕获的攻击数据量更大，更难以运行和维护^[28]。一旦被攻陷，必须重建。攻击者可以将高交互蜜罐作为攻击网内其他资源的跳板，威胁全局系统的可靠性。

顾名思义，中交互蜜罐提供了介于低交互蜜罐和高交互蜜罐之间的交互⽔平。中交互蜜罐是否需要仿真真实的操作系统，研究领域存在不同的观点。与低交互蜜罐相比，中交互蜜罐仿真更多的服务功能，交互能力更强，虽然一定程度上增加了安全风险，但也同时提高了被检测的难度。

图3. 蜜罐交互级别与特征

图 3 展示了蜜罐的交互能力随不同特征的演变而变化的程度。其中，交互能力不是某个具体设定的值，而是不断演化的。

在同一系统中实现不同交互级别的蜜罐，称为混合蜜网。混合蜜网能够平衡获得不同类型蜜罐的优点^[29]。

按照可扩展性分类：可扩展性是指蜜罐升级和提供更多诱饵的能力。不可扩展的蜜罐只能提供固定类型的诱饵，无法更改。可扩展的蜜罐可以按需增添其部署和监控的诱饵类型^[12]。与单个蜜罐相比，在蜜网中同时实现不同种类的蜜罐可以增强其安全防护、服务、攻击数据采集以及攻击数据的多样性等各方面的能力。物理蜜罐受限于硬件资源，很难扩展。高交互蜜罐因复杂度较高，可扩展性通常也比较低。

按照资源级别分类：蜜罐可以是物理的，也可以是虚拟的。物理蜜罐系统由运行在物理服务器中的蜜罐组成；虚拟蜜罐系统由托管在一台或多台物理服务器上的虚拟机蜜罐组成。物理蜜罐比虚拟蜜罐的交互性更高，所捕获攻击数据的保真度更高，但成本也更高，占用更多的物理资源。虚拟蜜罐占用的物理资源较少，成本更低。混合蜜网同时部署物理蜜罐和虚拟蜜罐，能够平衡成本和保真度^[22]。

按照源代码的可用性分类：

开源是指软件的源代码允许公开访问和协作开发。并非所有蜜罐和蜜网的作者都提供了源代码。提供源代码有助于其他研究⼈员和开发⼈员了解和改进现有的蜜罐和蜜网。

按照应用领域分类：

应用是指蜜罐所模拟的真实业务系统。根据应用类型，本文将物联网蜜罐分为通用型蜜罐、物联网蜜罐以及智能家居物联网蜜罐。通用型蜜罐是指不仅限于物联网领域的蜜罐，也被应用于物联网蜜罐的研究；物联网蜜罐是指常见物联网领域的专用蜜罐；智能家居物联网蜜罐则是智能家居领域的专用蜜罐。CPS和IIoT蜜罐的应用类型包括：ICS、智能电网、水系统、燃气系统、智能建筑和IIoT。其中，ICS与其他智能基础设施之间的界限并不是很明显，但本文仍坚持原创作者的声明，将其视为一个独立的应用类别。

【作者】

Javier Franco，Ahmet Aris，Berk Canberk，A. Selcuk Uluagac

网络物理系统安全实验室，佛罗里达国际大学，佛罗里达，USA

计算机工程系，伊斯坦布尔技术大学，伊斯坦布尔，土耳其

邮箱：{jfran243, aaris,suluagac}@fiu.edu, [email protected]