(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210969614.5 (22)申请日 2022.08.12 (71)申请人 广州大学 地址 510006 广东省广州市大 学城外环西 路230号 (72)发明人 胡宁　张宇锖　罗佳威　邹金财　 陈依兴　黄雅雅　 (74)专利代理 机构 广州高炬知识产权代理有限 公司 44376 专利代理师 刘志敏 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种基于虚拟化的工业控制设备的安全防 护系统 (57)摘要 本发明公开了一种基于虚拟化的工业控制 设备的安全防护系统， 其包括： 数据获取模块、 陷 阱模块、 控制指令模块、 结果分析模块； 所述数据 获取模块动态采集现场设备的状态和数据， 并将 数据提供给所述陷阱模块； 所述陷阱模块通过运 行工控系统的仿真系统以引诱攻击者访问和攻 击； 所述控制指令模块在边缘网关监听所述工业 控制系统中来自上位机的控制指令并将指令转 发给陷阱模块； 所述结果分析模块对 所述仿真系 统的运行结果进行分析， 判断其结果是否安全。 本发明提供的安全防护系统， 能够有效抵御对工 控系统的攻击行为， 保障工厂的生产秩序。 权利要求书1页 说明书4页 附图2页 CN 115549950 A 2022.12.30 CN 115549950 A 1.一种基于虚拟化的工业控制设备的安全防护系统， 其特征在于， 其包括： 数据获取模 块、 陷阱模块、 控制指令模块、 结果分析模块； 所述数据获取模块动态采集现场设备的状态 和数据， 并将数据提供给所述陷阱模块； 所述陷阱模块通过运行工控系统的仿真系统以引 诱攻击者访问和攻击； 所述控制指 令模块在边缘网关监听所述工业控制系统中来自上位机 的控制指 令并将指 令转发给陷阱模块； 所述结果分析模块对所述仿 真系统的运行结果进 行 分析， 判断其结果是否安全。 2.根据权利要求1所述的基于虚拟化的工业控制设备的安全防护系统， 其特征在于， 所 述系统部署于工业服务器上， 并通过虚拟机管理程序并列运行通用的Windows/Linux操作 系统和实时操作系统。 3.根据权利要求2所述的基于虚拟化的工业控制设备的安全防护系统， 其特征在于， 所 述实时操作系统中运行工控系统的仿真系统， 所述仿真系统由多个虚拟控制器组成。 4.根据权利要求3所述的基于虚拟化的工业控制设备的安全防护系统， 其特征在于， 所 述数据获取模块通过在工业控制系统的操作系统上定义通用传感器接口， 使 所述数据获取 模块通过相同的接口访问挂载在该操作系统中的传感器， 进行实时数据采集。 5.根据权利要求4所述基于虚拟化的工业控制设备的安全防护系统， 其特征在于， 所述 通用传感器接口不与具体 硬件设备绑定 。 6.根据权利要求5所述的基于虚拟化的工业控制设备的安全防护系统， 其特征在于， 所 述陷阱模块通过所述数据获取模块的实时采集， 对所述仿 真系统的模型和参数进 行动态更 新， 使所述仿真系统基于真实工控系统状态展开计算， 发现并预测潜在攻击行为。 7.根据权利要求6所述的于虚拟化的工业控制设备的安全防护系统， 其特征在于， 所述 陷阱模块 通过已设定的参数和函数运行 得出所述控制指令模块 转发指令的运行 结果。 8.根据权利要求3所述的基于虚拟化的工业控制设备的安全防护系统， 其特征在于， 所 述陷阱模块通过数据建模、 参数估计、 控制应用程序推演、 异常检测算法等技术方法， 将用 于欺骗者的所述仿真系统串接到真实工控系统中， 使仿真系统与真实工控系统平行执行， 提前推演异常指令的威胁并提出警告。 9.根据权利要求3所述的基于虚拟化的工业控制设备的安全防护系统， 其特征在于， 所 述控制指 令模块在边缘网关监听真实工控系统中来自上位机的控制指 令， 将正常指令和恶 意指令同一转发给陷阱模块中的仿 真系统， 驱动多个虚拟控制器协同运行并构成虚拟的工 控系统。 10.根据权利要求3所述的基于虚拟化的工业控制设备的安全防护系统， 其特征在于， 所述结果分析模块对所述仿 真系统的运行结果进 行分析， 对不符合安全规则的结果进 行威 胁警告， 并记录恶意指令的行为过程。权　利　要　求　书 1/1 页 2 CN 115549950 A 2一种基于虚拟化的工 业控制设 备的安全防护系统 技术领域 [0001]本发明涉及工控安全技术领域， 特别涉及 一种基于虚拟化的工业控制设备的安全 防护系统。 背景技术 [0002]随着物联网、 云计算等新兴技术的不断发展， 以及自动化和信息化融合的持续推 进， 工业控制系统(ICS)中的设备原本缺乏安全考虑的设计使得越来越多的工控系统暴露 出结构脆弱性的严重缺点。 这包括使用不安全的工控协议(如不加密不认证的Modbus协 议)， 不符合安全规范的产品生命周期管理。 工业设备固件、 操作系统和其他软件漏洞频发， 具有此类漏洞的设备会吸引攻击者并成为易受攻击的目标。 随着越来越多的工业环境被连 接到企业内网或I nternet， 导 致针对工控系统网络的攻击事 件层出不穷 。 [0003]为了保护ICS环境免受恶意实体的攻击， 可以采用传统的安全机制， 如密码学、 防 火墙、 入侵检测和防御系统(IDS,IPS)等解决方案。 然而， 这些方案更多 是针对已知的攻击。 对于未知攻击如高隐蔽性的APT攻击， 这些被动防御的手段无法帮助安全研究人员观察和 分析攻击者如何执行攻击， 并提前预测攻击带来的危害。 目前， 越来越多研究人员把重点放 到用于主动防御的蜜 罐的研究中。 蜜 罐是一个应用程序， 用来引诱黑客 发起攻击的诱饵。 在 一个系统上实现的多个蜜 罐组成的模拟网络称为蜜网。 工控蜜罐可以用来模拟多种工控协 议和工控设备， 并全面捕获攻击者的访问流量。 蜜罐主机可以记录访问主机的各类攻击信 息。 而且， 蜜罐部署在旁路可监测网络数据， 通过采集交换机镜像的网络通信数据,对攻击 者的通信数据包进行分析,发现攻击者的网络攻击行为及其数据包。 [0004]现有的蜜罐和蜜网对于真实的ICS面临未知威胁 的防御能力有限， 同时无法模拟 业务逻辑， 难以抵御隐藏性强的APT攻击。 目前大多 数工控蜜 罐和蜜网旁路部署到ICS中， 他 们独立于实际生产系统， 工控蜜罐在部署时往往与真实ICS  差别较大， 容易被攻击者所识 别； 而且由于在部署上是隔离的， 与已有安全机制缺乏联动。 高交互蜜 罐系统能够发现针对 未知漏洞的攻击， 但是仅限于攻击者利用的漏洞存在于构建蜜罐时所用的应用程序， 这限 制了蜜罐的捕获范围。 蜜 罐还具有跳板性， 如果蜜 罐被攻陷， 存在 蜜罐被当作跳板攻击其他 工控设备的风险， 影响ICS的正常工作。 因此， 亟需重新调整工控系统抵御未知APT攻击的安 全策略， 作为工控系统安全研究的重点。 [0005]现有的基于ICS蜜罐和蜜网的攻击识别和防御架构和系统主 要存在四方面 缺点： [0006](1)理论研究居 多， 较少用于生产系统中 [0007]由于ICS中的设备都极力避免中断或停机， 且保证响应时间的实时约束， 使大部分 蜜罐和蜜网都停留在研究目的中， 并未用于真实的生产环境。 [0008](2)仿真度低， 欺骗性 不足 [0009]针对ICS提出的蜜罐和蜜网可以在扫描、 目标协议、 攻击来源和暴力破解等方面发 挥作用， 但是低交 互的蜜罐不足以构建高仿真的工业控制系统网络来欺骗聪明的攻击者。 [0010](3)开源蜜罐少， 限制研究进度说　明　书 1/4 页 3 CN 115549950 A 3