经过蜜网和钻石模型对ICS威胁进行分析

蜜网(Honeynets)是一种诱捕网络，利用多个蜜罐经过网络链接在一块儿模拟一个看似易受***的计算机网络，利用其中一部分主机吸引******，另外一部分主机部署监控系统，经过监测、观察***过程，一方面调查***者的来源，另外一方面考察用于防御的安全措施是否有效。是一种用在各类网络环境中收集威胁情报的技术。所以，组织【注：指美国能源部】已经开始使用这种方法来保护网络化的工业控制系统（ICS）。但愿经过该环境观察到企图破坏他们工业系统的***活动和路径，从而对真实的生产网络部署相对应的缓解方案以增强工业网络安全，并防止新出现的威胁活动。

该报告提供了一种分析方法，利用这种方法将从ICS蜜网系统中收集捕获的大约16GB字节的完整数据包进行分析以了解***的活动和路径。这些数据是在其余公开来源的背景下进行分析的，这些信息是已知的对ICS的威胁，以了解对手是如何与网络进行交互的以及他们尝试过的***类型。为了提供更严谨的方法来描述这些威胁行为，该研究采用了著名的***分析钻石模型。她应用这个模型来定义和分类在数据中观察到的几个潜在的威胁行为者。该研究还评估了蜜网做为一种ICS威胁情报工具的有效性。此外，该报告还包含几个关于部署的建议，并强调主动与外部主机进行交互能够产生更高质量的研究数据。

II 简介

保护工业控制系统（ICS）对于保护关键基础设施相当重要。考虑到在网络安全漏洞事件中发生物理影响的可能性很高，“ICS网络”的捍卫者必须了解他们的对手和这些行为者的能力。此外，因为许多组织采用这些工业系统的规模，在部署有效的威胁情报和安全监测时，优先考虑的一个主要问题是感知威胁。支持这一使命的宝贵工具是蜜网，这是一个沙盒式网络，表面上看起来很脆弱，但实质上是利用蜜罐主机模拟工业网络上的生产机器。经过对蜜网系统的正确配置，其能够观察到针对特定环境的高度特定的***活动，好比针对工业环境中的工业网络威胁，这些可能的威胁被蜜网系统捕获并产生能够对网络维护者或安全研究者有价值的数据。可是，这些系统提供的数据量可能很是大，使人生畏，而且在这些数据中提取或生成可操做的有价值的信息变得十分困难。

这个研究分析了一个来自ICS蜜网的非保密数据，试图从数据中生成有用的威胁情报和优先级。咱们应用了Caltagirone，Pendergast和Betz（Caltagirone，Pendergast和Betz 2013）首先描述的***分析钻石模型。该模型容许咱们根据多个维度来描述事件，每一个维度都有潜在的数据点。在这样分析过程当中，咱们有可能发现看似不相关的数据元素之间的关系，从而更好地了解组织的威胁概况，并提供基于这些情报驱动的防护。

III 数据来源

3.1. ICS蜜网捕获的数据包

这个研究的主要数据集是一个完整的网络数据包捕获(PCAP)数据的集合，它是由一个未公开的组织(截止2016未披露)的数据收集而来的。该蜜网系统模仿了一个美国能源领域的公司网络并利用该网络进行工业领域的威胁情报收集活动。在必定程度上，咱们观察到在蜜网上的主机包括Windows和Windows Server机器。除此以外，PCAP数据包没有提供更多的信息使咱们获知这个网络里面的其余设备的配置。

这个网络环境中的传感器捕捉到的全部传入和传出的流量，都是由tcpdump和Wireshark这样的应用程序所使用的标准libpcap格式。这个匿名的数据集显示了在虚拟的0.0.0.0/24子网中由地址表明的10个蜜罐主机，而且网络外部的全部网络协议（IP）地址仍然被网络传感器捕获。PCAP数据集的收集时间范围从2015年6月23日开始，到2016年2月29日结束。在此期间，该蜜网系统数据包捕获机制几乎持续运行，而且将天天的数据包做为单独文件交付保存。总的来讲，这些文件包含大约16 GB的数据。数据集包含来自至少66,936个经过传输控制协议(TCP)、用户数据报协议(UDP)和因特网控制消息协议(ICMP) 进行通讯的独特主机的通讯量，这些数据集总共占据了超过99.999%的数据包。

3.2. 数据问题

3.2.1.活动记录不完整

蜜网和外部主机之间的网络交互是一个很是有用的来源，可是用于此分析的PCAP数据有时缺少上下文。利用这类型的完整数据包有助于在流量中观察到的某些活动以进行更深刻的理解。例如，当观察到受***的恶意软件命令和控制(C2)流量时，没有和外部的网络交互包不可能观察到初始的协商流量。经过对基于外部交互流量的分析，在第一个PCAP接收到的时间，或者在一个加密的链接上最初的协商发生时间，咱们就能够观察到这样的初始协商流量。可是做为从一个较大的正在进行的项目中选择的数据，它缺乏了所述的流量上下文。也许对基于主机的数据包的分析可能会解释这一点，可是这超出了本报告的范围。总的来讲，本次分析的数据集至关丰富，为分析提供了足够的流量。

3.2.2.缺少蜜网配置数据

尽管已经提供了一些关于蜜网的基本细节，而且其余的一些基本上能够经过从包有效载荷的数据中推断出来(见第7.1节)，但本研究把蜜网自己视为一个黑匣子。主机的配置是不明显的，也不可能可靠地肯定他们是如何监听或响应网络流量的。这反过来又使对对手***链的理解变得更加复杂，由于蜜网可能不会以某种方式回应对手探测，从而促使进一步的网络侦察或监视。这在全部类型的蜜网操做中都是一个常见的技术难题，不限于本次研究的这个特定例子。尽管在这个数据集中，效果是很是明显的。

一个相关的特定于ICS的问题是，很难肯定网络试图仿效哪些设备（若是有的话）。虽然这个PCAP数据来源于一个明确的基于ICS的蜜网系统，但没有其余具体的配置细节可用。这对使用钻石模型来分析***事件提出了挑战，由于这个框架使用受害者的数据做为分析的一个组成部分。然而，从PCAP数据得出的信息使咱们可以对受害者做出某些假设，尽管信心较低。

3.2.3.须要手动分析某些数据

因为这项研究寻求对ICS的新兴威胁，所以很难将数据分析中的许多步骤自动化。Caltagirone及其同事指出，这多是钻石模型的一个局限性，由于没有现成的方法来自动分析每一种状况（Caltagirone，Pendergast和Betz 2013）。ICS防护是一个新兴领域，须要对许多专有或专门的协议进行分析；不多有自动化工具可以知足本研究的目标。所以，这项研究包括了手动数据分析，特别是在检查包有效载荷时。尽管有可能针对协议的特征开发出专门的签名，并以此进行自动的有效负载分析，可是在这种签名被开发出来以前，它一般不是一个选项。即便有这种可能性，自动化分析的价值也颇有限，由于负载、流量类型和数据来源的主机的具备至关多样性。最好的方法是结合手工分析和自动化分析的方式，虽然咱们可能会从手工分析中得出有用的结论，但合并更多的自动化可能有助于咱们发现孤立的数据或微妙的模式，这些模式对研究是有价值的。

3.3. WHOIS和DNS数据

在识别蜜网数据中存在的主机时，咱们查询了各类WHOIS和DNS数据库。这些公开的信息收集将主机名与IP地址相关联，并标识出与该地址空间和域名相关的组织。最终维护这些信息的组织是ARIN和RIPE等区域互联网注册管理机构; 咱们采用了在线工具来汇总来自各类开放数据库的信息，包括RobTex和DomainTools等服务。这些服务还为各类DNS数据库，自主系统编号（ASN）和许多主机的黑名单信息提供交叉引用。

3.4. VirusTotal

VirusTotal是一个开源的文件分析数据库，其中包含了众多商业反恶意软件解决方案的检测引擎。除了文件名分析以外，VirusTotal还会扫描和记录各类域和主机上的信息，以跟踪可能源自它们的任何恶意软件。这些信息帮助咱们肯定在蜜网数据中出现的主机是否与恶意软件发布或C2有关系。VirusTotal数据库还包括对相关文件和主机的引用，以及社区提交的信息和可提供其余信息的报告，这些信息和报告能够提供额外的信息(VirusTotal 2016)。

3.5. Palo Alto Networks的威胁情报报告

在2015年底，Palo Alto Networks的42组发布了两篇简短的报告，描述了代号为“Bookworm”的威胁行为者。据报道，这名威胁行为者使用的恶意软件主要针对泰国国内的政府组织。 “Bookworm”的恶意软件和信息结构具备高度的模块化和技术复杂性。题为“Bookworm***：模块化架构模型”和“泰国治理Bookworm病毒***运动”提供了“Bookworm”***的报告，对该组织的战术、技术和程序提供了深刻的分析。此外，它们还包括诸如散列值和域名的折中指标（Scott，Falcone和Cortes 2015）。

3.6. 其余开源信息

各类公开可用的文档为PCAP数据提供了上下文和分析。这些文件包括安全供应商和研究人员的报告，这些报告包含了恶意软件家族、威胁行为者以及所涉及的C2领域的信息，这些领域促进了对某些网络工做流量的分析。供应商文档和经过互联网研究得到的其余公开数据提供了关于应用程序和设备的默认配置的基本信息(好比ICS设备使用的默认端口)。

IV 工具

许多工具备助于快速分析和描述这个大数据集的成员。分析主要发生在Linux环境中，由大量用于网络流量分析的开源工具支持。使用开源数据库进行的研究完善了这些工具生成的工件。这种分析和研究提供了所必需的信息，用以建立使用钻石模型进行分析所需的数据元组。

4.1. GNU核心工具

各类GNU核心实用程序（如grep，cut和cat）在处理大量的网络流量数据方面都颇有用。因为PCAP数据做为单独的文件分发，所以使用这些工具特别有助于对这些文件中的许多或全部文件进行总体分析。

4.2. SiLK和super_mediator

“SiLK”是一套用于分析网络流量的工具，由卡内基梅隆软件工程学院(软件工程研究所)的CERT部门开发的。在整个研究过程当中，咱们使用了各类各样的SiLK工具。SiLK能够查询大量的网络流量数据，并了解外部主机与蜜网相互做用的整体状况，特别是在时间、服务、协议和端口方面。反过来，这个分析也帮助在钻石模型的上下文中对主机和事件进行了描述。在这项研究中最经常使用的SiLK工具包括：rwfilter、rwstats和rwsetbuild。咱们使用了rwp2yaf2silk工具来从PCAP数据中生成流记录。

另外一个由CERT部门开发的工具super_mediator使咱们可以按比例处理来自PCAP文件的有效负载数据。咱们使用super_mediator与YAF组合，经过向应用程序提供Berkeley包过滤器（BPF）规则来提取特定的有效负载数据。该技术做为图形协议分析器（如Wireshark）的替代方案，用于流量的应用层分析（Software Engineering Institute 2016）。

4.3. Shell脚本

咱们使用GNU Bash中实现的shell脚本自动分析了咱们数据集的一些部分。例如将批量的PCAP转换为流记录，从流记录中提取事件元组，组织数据集，以及一次从数据集解析或转换多个项目。

V ***分析钻石模型

5.1. 核心概念

***分析的钻石模型提供了一种正式和标准的方式来描述网络***（Caltagirone，Pendergast和Betz 2013）。钻石模型得名于它用来描述***事件的基本数据结构：对手、能力、基础设施和受害者的四个链接特性图，如图1所示。每一个元素自己都是各类数据点的元组，能够根据正在进行的特定分析进行定制。通常来讲，元组包括组织/行为者（若是已经知道）、IP地址、应用程序、源/目标端口等相关元素（Caltagirone，Pendergast和Betz 2013）。相当重要的是，每一个元素造成一个具备置信水平的有序对，这有助于使用该模型来开发分析产品。此外，一个活动还包括开始和结束时间、阶段、结果、方向、方法和资源等元功能（Caltagirone，Pendergast和Betz 2013）。为了理解PCAP数据，咱们建立了一些事件（包括其必要的子组件）来描述和关联潜在威胁行为者的活动。***分析的钻石模型对元组的使用补充了SiLK使用五元组来捕获网络流元数据，在生成事件数据时促进了这些信息的集成。

图1：钻石模型事件（Caltagirone，Pendergast和Betz 2013）

5.2. 分析主元

该模型的架构师将分析主元描述为一个过程，它容许分析师经过将四种主要元组中的数据与其余情报来源(Caltagirone、Caltagirone和Caltagirone 2013年)的数据结合起来，从而得到丢失的信息。分析主元是这项研究的中心：它使咱们可以收集蜜网所揭示的威胁的细节，使之成为可用的信息。在许多状况下，除了一个数据元组在一个事件中是很明显的，也会有存在数据不完整的状况发生。为了得到丢失的信息，咱们使用在看似彻底不一样的事件中共享数据并以此进行推论。

咱们使用了6.3节中描述的两个方法来枚举和链接这些数据。

5.3. 活动组建立

钻石模型架构师将活动组(AG)描述为“由特征或过程当中的类似性相关的钻石事件和活动线索以及信任加权”(Caltagirone、Betz和Caltagirone2013)。从本质上说，AG是一种将许多事件联系起来的方法，以便掌握明显相关的活动的含义，并经过对潜在的威胁行为者的彻底理解来发展有效的防护。特别是在考虑这么大的数据集时，有一个快速关联事件的方法是很重要的。经过使用突出的特征来造成一个潜在的威胁行为者的总体特征，对分析的支持进行补充。这个过程也使得有可能创建有针对性的、健壮的网络防护系统。

咱们的研究并不试图提供威胁归因，仅仅是对与ICS网络防护相关的可观察活动的描述。此外，咱们缺少将PCAP数据中的技术指标与特定的我的或组织联系在一块儿的证据。虽然在建立AG时可能会有一些事件，但事件自己彻底缺少新的数据来继续支撑并推演下去。Caltagirone及其同事指出，这种缺少数据的状况是大多数钻石模型分析的可能状况。

VI 方法

6.1. 钻石模型使用的变量

表1列出了本研究中使用的变量及其描述。

表1：钻石模型变量

变量	描述
Adv	对手：参与事件的可疑威胁行为者
AGC	活动组建立功能
AGS	事件空间中全部活动组的集合
Cx	特征x的置信度，用做加权因子
Cap	能力：对手使用的工具，技术和程序
E	事件：由对手，能力，基础设施和受害者定义的向量
ET	在数据中设置全部事件和事件线程
FVPR	知足分析问题（PR）的特征向量
Inf	基础设施:用于支持对手的虚拟和物理资源
PR	分析问题
Vic	受害者:在某一事件中被对手***的组织或我的

6.2. ICS蜜网数据的分区和识别

6.2.1.使用SiLK描述网络流量

因为在数据集中识别出大量惟一的外部主机（近67,000个），所以必须以对可能产生有用事件的数据进行优先排序的方式对数据集进行分区。最简单最直接的方法是消除与蜜网没有交换大量流量的主机。请注意，这并不彻底从数据集中排除这些主机。最初排除产生10个或更少流量记录的外部主机将会减小90%以上的设置。

为了进一步减小数据集，咱们检查了最常联系的主机。咱们使用WHOIS数据来肯定联系蜜网的前10名外部主机，包括Google公共域名系统（DNS）服务和各类Microsoft更新服务器。虽然源IP地址可能被欺骗，但对有效载荷数据的粗略检查显示，来自这些主机的流量彷佛是合法的。

6.2.2.检查HTTP POST数据

除了使用SiLK对网络流量进行高级特征描述外，咱们还检查了咱们认为可能产生有用信息的流量数据。其中一个类别是源于蜜罐主机的超文本传输协议（HTTP）的POST请求。咱们把分析集中在这些请求上，由于它们常常被用于恶意软件C2的通讯。在正常的PCAP中指出这样的流量是很困难的，由于恶意的POST请求会被包含在合法的POST请求中。然而，因为这个蜜网的性质，观察到的POST请求要少得多。所以，咱们能够检查由YAF和super_mediator生成的这些请求的有效载荷，以肯定它们是否包含网络上C2流量或其余恶意活动的证据。

6.2.3.对通用ICS端口的流量检查

主要供应商使用的通用的ICS端口也是检查流量的重要参数。在进行开源研究以生成常见ICS端口列表以后，咱们使用SiLK来快速发现那些外部主机常常联系到的这些端口。而后咱们使用super_mediator获取有效载荷数据（相关的数据），并检查这些数据是否存在活动的迹象。

6.2.4.钻石模型事件定义

要正确使用钻石模型，必须定义字符的特定特性，即事件的四个要素。如上所述，事件包括四个要素：对手、能力、基础设施和受害者，每个都与相应的置信水平配对。

除了Caltagirone及其同事提供的事件的基本定义外，咱们能够自由选择与咱们分析相关的数据元组。咱们将事件功能定义以下。首先看对手，这个功能在本研究的上下文中是一个空集。

咱们对能力的定义提供了某些特性的定义，这些特性突出了钻石模型的可扩展性。反过来又将其做为防护专业网络的工具时也颇有用。咱们经过端口扫描使用、开发利用、恶意软件使用、C2使用和ICS意识来定义能力。

能力元组的前四个特征适用于许多网络威胁，而不只仅是针对ICS的网络。用来对付ICS网络的能力与用来对付传统网络的能力有很大的重叠。正如Assante和Lee所说，ICS***链每每采用双级方法，其中第一种方法基本上反映了传统企业网络的***（Assante和Lee 2015）。因为这个缘由，咱们还包含了一个ICS特性，显示对手明显的区分传统网络与ICS网络的能力。咱们能够经过检查诸如ICS特定端口的大量扫描或使用针对控制系统的漏洞的指标来评估此能力。

对于基础设施，咱们包括了一些功能，这些功能说明了典型的威胁行为者所使用的资源，包括那些具备高级功能的人。这些资源包括IP地址、源端口、操做系统、域名或主机名、主机(托管)类型和代理使用。

这些细节描述了对手使用的资源的基本属性。在一些分析中，基础设施还能够包括***者使用的物理资产。这确定与ICS威胁的分析有关。例如，一个设法***到特定组织场所的高级***者能够根据收集的信息安装该组织所具备的ICS硬件或软件。这可能与检查蜜网流量无关。虽然定义基础设施的大部分功能相对简单，但主机（托管）类型值得进一步描述。Caltagirone和他的同事们观察到，有两种主要类型的基础设施：1类是“彻底由对手控制或拥有”，2类彻底由第三方提供基础设施（不管是合法获取仍是被对手侵占））。

与对手不一样的是，咱们对受害者持有大量数据。全部有目标的基础设施都有明确的定义，并有一个单一操做人员。蜜网再次适用于钻石模型的分析，由于它提供了一组已知的常数，有助于进一步探索。在此分析的目的中，咱们根据组织、目标IP地址、目标端口和目标系统来描述受害者。

这些细节再次成为威胁行为者所针对的组织的标准描述。第一个特征（Org）是恒定的，由于全部有目标主机都出如今一个由单个（未公开）组织操做的蜜网内。其余三个特征（目标IP、目标端口和系统）相对容易从PCAP数据得到。

6.3. 分析主元(Pivoting)

在为咱们的钻石模型应用程序定义事件元组以后，咱们提取有用的事件数据，并尝试经过分析主元来查找相关的特征。分析主元的最终目标是建立用于威胁优先级的AG。尽管分析人员一般能够自由地定义事件元组，可是很难肯定哪些事件可能与一个事件相关联。为了简化这些工做，咱们选择了两种主要的方法来识别可操做的事件数据。以主机为中心的方法从一个已知的主机（或一组主机）开始，该主机（或一组主机）被认为具备相关性而且在第3层数据中寻找关联，例如IP地址和主机名。以端口为中心的方法围绕第4层数据（主要是目标TCP和UDP端口组），以了解某些监视和利用活动的目标。这两种技术的例子都在第7.2节中提供。

6.3.1.主机为中心的方法

以主机为中心的分析主元方法主要经过检查流量模式或特征来寻找外部主机之间的关系。它可能产生至关大的数据，特别是在能力和基础设施方面。以主机为中心的方法一般要求有效载荷数据是有效的，由于它依赖于发送和接收数据之间的关系。尽管如此，它是分析主元的更有效的方法之一。它有助于经过其活动来对主机进行归类，并提供主机之间更高可信度的关联，而不是经过通用基础设施（其中许多行为者，恶意软件和其余方式可能共享）进行交互。钻石模型容许咱们协同使用这些特征来发现额外的威胁行为者。

6.3.2.以端口为中心的方法

当咱们缺少足够的信息来进行以主机为中心的分析主元时，咱们能够利用端口之间的关系做为起点。这对于ICS网络特别有用，ICS的通讯设备一般包含在专用端口上，而这些设备使用的端口不多被其余服务使用。所以，以端口为中心的方法能够帮助咱们了解对手的能力，特别是其ICS意识水平。

6.4. 分组潜在的威胁行为者

咱们的研究的基本目标是定义一系列的AG，这些AG反映了数据集中的各类行为者可能对目标组织构成的特定威胁。值得注意的是，咱们并无以一种属性的方式来定义研究的AG。换句话说，单个AG可能包含许多不一样的行为者及其所表明的威胁类型，而不是他们共享的控制、基础设施或技术。

6.4.1.定义活动组建立功能

Caltagirone及其同事根据三个从属变量定义了活动组建立（AGC）功能：分析问题，与考虑的分析问题对齐的特征向量以及构成各类AG的事件集。这种组合产生一组全部的AG。使用标记，钻石模型定义了以下一集（Caltagirone，Pendergast和Betz 2013）。

如前所述，本研究旨在解决分组威胁行为者的分析问题，由于它们潜在地对ICS网络产生不利影响。在这方面，最重要的特征之一是ICS意识。若是一个威胁行为者的行为表现出对ICS的关注，那么相对于那些对这些系统没有明显兴趣的人来讲，他的潜在威胁就更大了。除此以外，能力属性的另外一个特性，能够帮助肯定AG，是一个或多个C2、恶意软件、利用尝试或端口扫描。这组特性有助于根据严重程度对事件进行排序，由于它们按降序对应于网络***链中的步骤。这意味着，拥有C2的行为者在本质上是一个比仅仅从事端口扫描的人具备更高的威胁性。

虽然来自“能力”属性的这两组功能提供了潜在威胁行为者的清晰描述，但咱们能够经过某些基础设施特性进一步阐明潜在的威胁。IP地址和域名在这里尤为相关，由于它们对应于已知(或可疑的)威胁行为者所使用的基础设施。这个信息是在该数据集内的特征对于咱们有所帮助。

再次使用标记，咱们为此分析问题定义特征向量以下

咱们将函数的最终组成部分ET定义为整个蜜网数据集。请注意，AGC功能不须要将每一个事件放入AG。这些未分组的事件被认为是异常值。这个数据集中的大多数事件都属于这个范例，由于绝大多数的外部主机只向蜜网机器发送了几个数据包，与其余行为者没有明显的关系。因为缺少数据，很难以任何有意义的方式对这些主机进行分类。

VII 结果

7.1. 蜜网配置

咱们没有蜜网的配置详细信息。相反，咱们从PCAP数据推断其配置。在蜜网内有10个可观察的主机。每一个都有0.0.0.0/24范围内的匿名IP地址。在全部的实例中，每一个蜜罐机运行的操做系统都不清楚。为了进一步研究这个问题，咱们检查了来自蜜罐主机的流量和其余外部主机的流量，能够对这些细节提供分析。最终，它构成了咱们对钻石模型背景下受害者理解的一个组成部分。

此外，值得注意的是，这些主机在网络交互方面的明显行为。虽然从数据中不清楚蜜网上的主机是如何与更普遍的互联网通讯的，但彷佛大部分收到报文的数据包都没有获得回复。例如，在明显的端口扫描活动中观察到的大多数SYN包都没有接收到应答(ACK)包，也没有像一般预期的那样被从新设置(RST)。如一般所预期的那样。咱们从UDP流量中收集到更丰富的数据，由于该协议的无链接特性意味着不须要成功的握手就能看到交换的大部分流量。蜜网通常不会对它收到的任何数据进行响应，这可能会阻止进一步的数据传输。

从检查流量中能够清楚地看到，许多蜜网主机正在运行微软的Windows。于这些主机交互的流量证明了这一点。这包括已知的Windows更新服务器和Teredo服务(一般在Windows Vista中默认启用，但在其余操做系统上不太常见)。有几个主机生成这种类型的通讯，高度置信地表示它们正在运行的是相似的Windows版本。另一个主机彷佛也充当一个服务器，由于它向端口80上的一些外部主机发送HTTP Stauth Code 200 OK响应。该机器的网络流量头显示它正在运行Microsoft Internet Information Services（IIS）版本7.5。Microsoft IIS的版本与Windows Server 2008 R2或做为服务器的Windows 7主机对齐。默认状况下，两个Microsoft操做系统版本都支持此版本的IIS。

主机0.0.0.20是惟一一个生成足够流量来推断其配置的服务器，而且彷佛不是基于windows的。依据是其余主机向该服务器发出Bro网络安全监控系统的信号数据的请求，Bro系统仅在类unix操做系统上可用。而且该主机生成的其余通讯量，如在线证书状态协议(OCSP)和网络时间协议(NTP)，与Windows主机发出的请求不一样。这些协议能够在多个不一样的平台上实现。

剩下的5个主机没有生成足够的流量来从PCAP文件中肯定它们的配置。虽然这些主机中的几个主机对从外部网络接收的流量作出响应，但所观察到的流量主要由ICMP回复响应组成。ICMP的应答几乎没有透露给定主机的底层操做系统或软件。

主机及其相关配置详细信息的摘要如表2所示。

表2：蜜网主机配置

主机	疑似OS /配置
0.0.0.2	Microsoft Windows Server 2008 R2 / Windows 7 (Microsoft IIS 7.5)
0.0.0.3	Unknown
0.0.0.4	Unknown
0.0.0.5	Microsoft Windows (Vista or later)
0.0.0.6	Unknown
0.0.0.7	Unknown
0.0.0.8	Unknown
0.0.0.9	Microsoft Windows (Vista or later)
0.0.0.20	Linux
0.0.0.21	Microsoft Windows (Vista or later)

7.2. 经过分析主元描述威胁行为者

正如前面所讨论的，咱们在分析中合并了分析主元，做为一种关联可变的事件数据项的方法，这些数据项在初次检查时可能不会出现。经过提供用于肯定特征向量的高质量数据，从而促进了AG的建立。

7.2.1.以主机为中心的方法

在本研究中使用的以主机为中心的分析方法的一个例子是被认为与恶意软件C2相关的流量的特征。这是最初在对捕获的全部HTTP POST请求的检查时发现的。咱们使用一个shell脚本对这些数据进行隔离，该脚本使用YAF和super_mediator自动从80和8080端口上的全部POST请求中提取100个字节的应用程序层数据。

HTTP主机头中，带有一个长编码URI和不熟悉主机名的POST请求代表，这多是值得研究的恶意流量。在VirusTotal的搜索领域中，搜索域名显示了可能与Palo Alto Networks以代号为“Bookworm”（Scott，Falcone and Cortes 2015）报道的***运动的基础设施链接。目前还不清楚这一流量是否与同一名威胁行为者有关，为在公布其活动时，一些***群体倾向于放弃基础设施。尽管如此，它仍是提供了一种以分析方式进行分析的方法的起点。。

基于此信息，咱们构建了进一步的查询来调查PCAP中的活动，并发现更多关于潜在对手的信息。咱们使用了Palo Alto Networks在其报告中提供的IP地址列表，咱们准备了一套用于SiLK的rwfilter工具（Scott，Falcone和Cortes 2015）的文件。而后，咱们搜索了这组用于其余可疑主机的列表，如表3所示。

表3：PCAP数据中观察到的“Bookworm”主机

源IP地址	SiLK 流记录	％的记录	累计％
87.106.149.145	58	84.06	84.06
87.106.20.192	9	13.04	97.10
213.165.83.176	2	2.90	100.00

很明显，PCAP数据中的三个主机可能潜在地涉及到这个怀疑的流量中。使用YAF和super_mediator简要检查有效载荷数据有助于证明这一点。这一通讯代表，另外一个主机经过安全套接字层/传输层安全性(ssl/tls)与潜在的恶意服务器通讯，除了编码C2以外，还进行加密通讯。此外，查询公开的WHOIS IP地址数据库显示，虚拟主机公司拥有这些数据，提供有关该主机基础结构的详细信息。

总而言之，以主机为中心的方法使得有可能进行分析主元，这种分析只在经过使用恶意软件和C2（能力要素）和单个外部主机（基础设施）的低置信度状况下才开始。它揭示了两个附加的主机以及对手的能力的进一步信息，包括使用加密。

7.2.2.以端口为中心的方法

咱们使用SiLK来识别可能正在尝试监视或利用ICS设备和流量到通用ICS端口的外部主机（也就是不属于蜜网的主机）。该过程开始于查看与端口20000通讯的顶级外部主机，总结在表4中。该端口主要用于DNP，这是SCADA网络中使用的一种通用协议。如下SiLK查询显示了许多与此端口进行通讯的主机，主要是看起来是与扫描相关的活动。

表4：在端口20000上进行通讯的主机

源IP地址	SiLK 流记录	％的记录	累计％
66.240.192.138	12	3.592814	3.592814
71.6.135.131	12	3.592814	7.185629
80.82.70.198	12	3.592814	10.77844
62.75.207.109	12	3.592814	14.37126
71.6.165.200	12	3.592814	17.96407
8.8.8.8	10	2.994012	20.95808
198.20.69.98	9	2.694611	23.6527
41.74.182.170	9	2.694611	26.34731
94.102.49.210	8	2.39521	28.74252
60.209.5.30	8	2.39521	31.13773

来自表4中的主机的PCAP数据可能不是特别有用，由于它不包括有效负载数据或甚至TCP标志的信息。经过使用以端口为中心的方法，咱们可能会查询其余常见的ICS端口，开始构建更完整的针对蜜网的侦察活动。第二个SiLK查询检查端口102上的流量。可编程逻辑控制器（PLC）的主要品牌一般将该端口用于控制通讯。咱们交叉引用了与端口20000通讯的主机的输出。

表4中存在的主机在表5中的IP地址旁边显示一个星号。

表5：在端口102上进行通讯的主机

源IP地址	SiLK 流记录	％的记录	累计％
188.138.1.218	32	6.299213	6.299213
80.82.70.198*	30	5.905512	12.20472
125.97.246.5	27	5.314961	17.51969
52.88.94.127	19	3.740157	21.25984
198.20.69.98*	16	3.149606	24.40945
94.102.49.210*	14	2.755906	27.16535
120.119.31.1	14	2.755906	29.92126
71.6.135.131*	13	2.559055	32.48032
131.107.13.100	13	2.559055	35.03937
66.240.192.138*	13	2.559055	37.59843

一样，这种分析方法帮助咱们将可能具备较高的ICS意识的主机优先排序，并相应地提升潜在的威胁级别。好比第一个具备较多ICS端口的主机80.82.70.198，咱们利用SiLK工具将可能的ICS端口都进行了枚举。其中一些端口具备ICS功能，包括表6中列出的几乎全部端口，这些端口描述了外部主机所联系的已知的与ICS相关的端口。

表6：数据集中观察到的常见ICS相关端口

TCP端口	设备或协议
102	Siemens PLC
502	Modbus protocol
1962	Phoenix Contact ILC PLC/ProConOS
2404	IEC 60870-5-104
2455	Wago I/O System
4592	Advantech/Broadwin
4840	Certec Atvise SCADA
9600	Omron PLC
10001	RS-485 to Ethernet
18245	GE PLC
20000	DNP (SCADA/ICS common protocol)
20547	ProConOS/MultiProg PLC
44818	Rockwell Automation Ethernet/IP
49320	Kepware KEPServerEX

主机80.82.70.198仅联系了19个端口，远远低于通用网络映射器（Nmap）工具扫描的目标，该工具扫描一般扫描多达1000个端口。经过使用YAF和super_mediator检查流量有效负载也显示这些仅是TCP Synchronize（SYN）数据包，没有进一步的通讯量，这是一种常常与端口扫描活动相关联的技术。扫描的端口中有超过70％具备与ICS的关联性，其余可能与较不知名或有记录的ICS协议有关。

外部主机80.82.70.198专一于这些端口，显示出高度的ICS意识，有助于描述威胁行为者的能力。然而，这个特定的主机彷佛并无恶意。它是一个中国项目的一部分，“ICS/SCADA/PLC Protocol GlobalCensus,”，正在对通用ICS端口进行扫描。该项目已经对ICS设备进行了研究，包括与表6中列出的端口相关的一些设备。它容许组织经过电子邮件向研究团队发送声明，不对其进行扫描。

这个案例研究显示了以端口为中心的方法的好处。经过使用端口之间的已知关联，分析主元显示对ICS网络的潜在新兴威胁。分析人员能够扩展和自动化此技术，以简化ICS威胁的收集情报。

7.3. 使用蜜网数据来分组威胁行为者

如今咱们已经列举了在AGC中使用的整个功能空间和特征向量，咱们能够提供相关的威胁行为者分组。这样能够以知足分析问题的方式在PCAP数据中提供快速，可操做的行为者特征。整体过程与本研究的目标一致，制定了基于钻石模型对ICS网络的威胁进行分类的完整方法。

7.3.1.主动威胁行为者

咱们将活动的威胁行为者定义为实体，他们的行为提供了一个高可信度的指示，代表他们正在积极地***网络。这与专一于ICS无关，尽管在这个AG中，一个活跃的、以ICS为中心的***是最严重的事件类型。在这一类别中，对手必须证实交付恶意软件或创建C2通讯。

在数据中识别的活动威胁行为者的一个例子是表7所示的对手(前面讨论过)。它被怀疑在蜜网中创建了C2(全部主机的20%)。目前还不清楚这个行为者的目标是什么：其中的一些C2流量是通过加密的，而且没有基于主机的数据可用。然而，这一流量的存在代表了对网络的高度信任。

尽管这是生成可操做的威胁数据的最有用的组，但矛盾的是，咱们的事件最少。一个可能的解释是可能缺少来自蜜罐机器的互动所致。正如第7.1节中提到的，蜜网并无与外部主机进行大量的交互。它也不接受任何端口上的TCP传入链接请求。在这种状况下，若是***者彷佛不多或没有几个端口在监听链接，那么从逻辑上来讲，不多会有人对其进行***。在***者看来，这个服务上不存在该端口的任何服务监听以及链接，也找不到任何防火墙存在的证据。

表7：选定的主动威胁行为者

威胁行为 ID	属性	分组的理由	事件时间表
	IP {87.106.149.145, 87.106.20.192,	High confidence indication	12/16/2015 19:41 -
AT1	213.165.83.176}; Port {80, 443}; Domain {bkmail[.]blogdns[.]org} Malware; C2;	of malware C2 traffic	12/16/2015 20:08
	Proxy; Type 2 Infrastructure

7.3.2.高风险威胁行为者

咱们可能会考虑到高风险行为者的表现或怀疑对ICS网络产生不利影响的能力。这多是因为一些积极但不成功的尝试企图，这些尝试既表现出对ICS的兴趣，又或者对受害者的网络工做很熟悉。彷佛发送普通***相关的流量的行为者并不必定是高风险的威胁行为者。无数的僵尸网络和其余恶意的主机都在不停地引诱那些没有补丁的主机。这不能表明一个组织的高度风险，并适当地采起适当的基线安全措施。

侦察也能够表明高水平的风险。表8中的主机的活动将把它放在高风险的类别中。这个主机(80.82.70.198)被认为是在7.2.2节中提到的“ICS项目”的收集数据。虽然这个特定的主机彷佛与研究活动有关，但事件响应者应该优先考虑这样的主机，以便进一步审查和分类。这种类型的网络活动可能表明了实际***的早期阶段。若是这种有针对性的端口扫描确实是恶意的，它会为事件响应者提供有价值的情报，以对抗对手的能力和利益。

表8：选定的高风险威胁行为者

威胁行为 ID	属性	分组的理由	事件时间表
	IP {80.82.70.198}; Port {[19 common ICS	Focused scanning of known	7/8/2015 05:19 -
HT1	ports]}; Domain {icsresearch[.]plcscan[.]org}; ICS; Port scan	ICS ports without clear mali- cious objective	2/17/2016 16:49

7.3.3.中等风险威胁行为者

中等风险的行为者构成了具备最低风险水平的AG，该风险保留了对网络产生影响的潜力。这些行为者没有积极地尝试利用网络上的主机，而是从事侦察活动。因为许多方面的因素，许多怀有各类目的而开展的扫盲活动激增，许多主机和其余组织都属于中度风险类别。

一组中等风险的行为者是大量参与端口扫描活动的主机的一部分。因为它们都倾向于从端口6000开始扫描活动，所以咱们能够经过以端口为中心的方法进行连接。子网和ASN还以主机为基础链接这些行为者。这些组中的全部主机来自与中国相关的地址空间。当这并非说这些主机是来自中国的，由于这些主机的直接来源能够很容易经过代理或虚拟主机的方式使用。这一关联代表，至关多的流量在基础设施和能力方面具备共同的从属关系。

剩下的高风险行为者都在进行自动化的尝试，以利用众所周知的漏洞。咱们只给这些行为者分配了适度的风险，由于咱们相信他们不会对绝大多数企业构成重大威胁。补丁能够普遍用于修复这些全部利用的漏洞，而且大多数安全解决方案能够在网络边界上检测和阻止这些漏洞。这三个角色(MT2、MT3和MT4在表10中)仍然值得一看，以了解他们活动的特征。

MT2多是这个集合中最有趣的三个部分中的一个。这个组中的主机产生两种不一样类型的流量。第一个是明显的利用有效负载，一个HTTP GET请求(请参阅表9以得到完整的请求)。开源研究并无指出这一流量的性质。一些安全博客和论坛推测，这是一种扫描或***Apache服务器的尝试，尽管目前尚不清楚这是不是一种有效的***。咱们观察了这些包的主人185.130.5.224。这个活动彷佛没有对服务器产生影响，多是由于它运行的是Microsoft IIS，而不是Apache。

另外一种由这个主机产生的流量(以及其余经过主机集中分析)产生的流量，最初相似于尝试利用“Shellshock”漏洞(CVE-2014-6271等)。可是，彷佛这个漏洞利用字符串(见表9)实际上可能代表恶意软件试图破坏设备。如下字符串中的变体彷佛是Linux命令，在PCAP中出现了屡次。尽管包的有效负载相似于一个Shellshock的利用字符串，但它是不一样的，由于它的目标是UDP端口53413，而不是TCP端口80或8080(端口最多见的端口是基于web的Shellshock***)。UDP 53413与任何已创建的服务没有关联。

然而，这与2014年披露的Netcore/Netis品牌路由器的漏洞有关，该漏洞能够经过该端口( Yeh 2014)容许远程shell访问该设备。

表9：观察到的MT2***尝试

描述

利用字符串

未知的利用字符串，可能针对Apache服务器

GET /server- status?HTTP_POST=%”%6346#%#/&#736%”#423|;&HTTP_CGI

_GET=GRESYYK”K&J#L523D2G23H23 HTTP/1.1

可能的Netis/Netcore利用，在gafgy/bashlite恶意软件中发现的字符串

busybox tftp –g –r m.sh 185.130.5.201|| tftp –g –r m.sh 185.130.5.201; busybox chmod +x m.sh

考虑到这个路由器漏洞，咱们在公开分析了一个名为“Bashlite”或“Gafgyt”（VirusTotal 2016）的恶意软件家族附属的恶意软件样本以前，咱们发现了这个字符串。 Avast的研究人员将此恶意软件与由Lizard Squad威胁行为者（Kalnai和Horejsi 2015）发起的分布式拒绝服务（DDoS）***相关联。这项研究和安全记者Brian Krebs的分析代表，该组织开发了一款恶意软件，经过利用家庭路由器（Krebs 2015）的已知漏洞来传播。它从这些设备中建立了一个僵尸网络，而后被用来运行一个非法的在线服务，为雇佣者进行DDoS***（Kalnai和Horejsi 2015）。根据这个恶意软件家族（Malwr Posts 2015）的开源列表，咱们搜索了CERT /协调中心（CERT / CC）的工做目录来匹配样本；并发现9个相似样本。咱们在其中8个样本中遇到了Busybox命令，而且在4个样本中遇到了与PCAP中发现的字符串几乎相同的字符串，从而增长了所观察到的流量与Bashlite或Gafgyt有关的信心。

这一组中的另外两个威胁行为者正在试图利用流行的技术来利用已知的漏洞。第一名威胁行为者MT3发送了试图利用CVE-2013-5122的流量特征。这是Linksys路由器的远程管理界面中的一个漏洞，这种漏洞有助于称之为“TheMoon”的蠕虫病毒的传播。鉴于此流量是企图泄漏Linksys漏洞的一个简单过程。流量有效载荷包含页面tmUnblock.cgi的HTTP POST请求，这与此漏洞密切相关。AG MT4包含试图利用旧版PHP中的几个相关漏洞的主机，容许任意代码执行。其次，利用字符串包含HTTP POST请求，这些请求是利用漏洞的尝试的特征。

在蜜网操做的环境中，建议识别这些主机以供进一步调查。若是将其视为仅仅是网络的常规扫描的一部分，这不太可能构成进一步的威胁，实施阻止这些流量的主机防火墙规则将提升数据集中的信噪比。可是，只有分析人员了解了这些主机对于数据集的影响深度和程度，才会考虑删除这些主机。

表10：选定的中等风险威胁行为者

威胁行为 ID	属性	分组的理由	事件时间表
MT1	IP {[Numerous China-based IP ad- dresses]}; Port {TCP 6000 (source), [Nu- merous common destination ports]}; Port scan IP {185.130.5.224, 185.130.5.201, 46.28.207.30}; Port {TCP 80, UDP 53413};	Extensive scanning of com- mon TCP ports Automated scanning / ex- ploitation attempt targeting	7/8/2015 05:19 –2/17/2016 16:49
MT2	Exploit; Malware IP {69.164.231.228, 77.70.58.205}; Port	Apache Web servers; possi- ble attempted exploitation of ‘Shellshock’ vulnerability (CVE-2014-6271 etc.) Automated attempts to ex	12/23/2015 23:07– 2/22/2016 05:34
MT3	{80}; Port scan; Exploit	ploit TheMoon vulnerability (CVE-2013-5122) in Linksys devices	11/22/2015 17:13– 12/18/2015 19:07
MT4	IP {117.21.226.160, 119.235.66.243}; Port {TCP 23, 80, 8081}; Port scan; Exploit	Automated attempts to ex- ploit CVE-2012-1823/CVE-2012-2311/CVE-2012-2336 in PHP	7/9/2015 03:01 –10/3/2015 12:28

5.3.4.未知风险的威胁行为者/异常值

正在考虑的最后一组事件并不直接构成一个AG。取而代之的是，它包含了全部其余组以外的数据集：异常值。咱们须要了解如何解决威胁潜力的一组异常值。在一组异常值中，许多事件极可能是非恶意的。在PCAP数据中观察到的大量流量链接到用于软件更新，标准DNS查询和WHOIS查找。可是这种传播可能与恶意活动相对应，所以，咱们不该该单独在这种状况下舍弃它。然而，对这一流量的评估强烈地代表，它并不表明威胁。

与异常值组区别的是另外一大组事件，被称为“未知风险”流量。因为缺乏给定主机、端口或应用程序的事件数据，或者由于不可能将特定事件可靠地连接到数据集中的其余人，所以该数据主要属于此类别。将这些数据视为无用或将其分类为确定是非恶意的是不明智的。当更多的信息可用时，从新访问数据集是很重要的。所观察到的流量事件的重大变化可能会严重影响支撑AGC功能的假设。Caltagirone及其同事建议按期审查数据和更新功能，以保持信息的最新和可行性（Caltagirone，Pendergast和Betz 2013）。对于蜜网数据，这固然是一个审慎的建议。。

VIII 讨论

8.1. ICS的具体威胁

蜜网为咱们提供了一个丰富的数据集供咱们参考研究。这些数据为咱们提供了一个机会来查看与成千上万的外部主机交换的超过16 GB的流量的各类不一样的活动。因为这一努力的重点是对ICS的威胁的列举和描述，所以值得讨论这些威胁是如何在被分析的数据中体现出来的。值得注意的是，虽然数据显示了各类恶意流量，可是几乎没有观察到ICS特有的威胁。绝大多数流量是通用扫描一些最经常使用的端口，如Telnet、安全Shell（SSH）、虚拟网络计算（VNC）、服务器消息块（SMB）和其余协议。虽然这与ICS网络防护相关，但它并无必要显示ICS特定的威胁。

分析主元和AG建立揭示了对ICS的潜在威胁。检查通用ICS端口上交换的流量以及参与以ICS为中心的扫描活动的主机是有帮助的。虽然扫描活动能够代表威胁潜力，但它最终会在必定程度上暴露出对手的能力。PCAP对于与ICS设备进行交互，利用漏洞或安装恶意软件的特定尝试，包含的数据不多。一个可能的解释是对手不会直接从互联网泄露ICS设备。大多数ICS***活动遵循两阶段的方法（Assante和Lee 2015）。这致使了第二种可能性：因为蜜网的配置交互性，没有吸引对ICS更深层次的***。

8.2. 配置ICS-蜜网的挑战

这样的配置对其低资源的优点是有利的，同时也下降了拒绝***者的机会，即便是这个孤立的网络也有机会妥协。然而，为了这些好处所作的权衡是，低交互的蜜网一般提供稀疏的***数据。他们不太可能捕捉到“零日”或其余高价值信息(Holz和Holz 2008)的证据。

鉴于缺少以ICS为重点的监控，特别是在PCAP数据中观察到的***，彷佛没有优化蜜网来收集这种类型的数据。如上所述，分析流量显示了几个重要的细节，主要是一些主机彷佛是标准的Windows或Linux机器，没有明显的ICS目的。有些具备未知配置详细信息的主机可能正在仿真ICS设备。然而，数据集中没有足够的证据支持这一观点。根据在数据集中观察到的主机的配置和行为，看起来这个蜜网是一个“低交互”蜜罐。也就是说，蜜罐机器对外部主机的请求提供不多甚至没有任何响应，所以对手一般不会危及主机。 Provos和Holz观察到，这样的配置对其低资源的优点是有利的，同时也下降了拒绝***者的机会。然而，为了这些好处而作出的权衡是低交互性蜜罐一般提供较少的***数据。他们不太可能得到零日漏洞或其余高价值信息（Provos和Holz 2008）。

虽然证据支持这一观点认为这是一种低交互的蜜网，但并不意味着它不会产生关于ICS***的可行信息。咱们突出强调以ICS为中心的网络扫描和明显的恶意软件C2的证据，代表PCAP文件中存在各类有用的威胁数据。然而，彷佛不多有关于ICS防护的新信息能够从蜜网中得到。系统的低交互特性可能致使扫描和枚举工具报告这不是ICS网络。此外，对开源扫描工具的源代码进行粗略的检查代表，这些工具但愿来自主机的很是具体的响应，以确认它是否涉及有问题的设备。这可能会阻止外部行为者进一步采起行动，并进一步可能的试图破坏ICS设备尝试。

8.3. 防护ICS网络的意义

这种蜜网的配置在ICS威胁上产生了相对较少的有用情报。一个有效的ICS蜜网应该采用技术来讲服潜在的对手，它真正地托管了ICS设备。这可能须要与咱们在PCAP数据中观察到的与外部主机的更高级别的交互。也极可能是为了有效，一个ICS的蜜网必须忠实地模拟实际的ICS设备和协议。一个被动的主机能够收集关于扫描和自动***的信息，但这并不能提供丰富的特定于ICS的威胁情报。另外一种选择是将实际的ICS设备放置在蜜网内，这多是收集真实***数据的最大几率。任何一种选择均可能产生有用的信息。而仿真大大增长了配置和维护蜜网的复杂性，而使用真正的ICS设备可能会比无源或仿真设置带来显着更高的成本。然而，这可能反映了使用蜜网固有的困难，这是一种被证明的网络威胁技术。鉴于这种限制，防护者可能但愿权衡在得到的数据价值和维护一个有效的ICS蜜网的复杂性中间进行取舍。

IX 将来工做

考虑到使用蜜网来防护ICS和钻石模型在生成威胁情报方面的应用，为咱们提供了许多有趣的将来研究方向。本研究以后的一个天然问题是咱们的模型是否能够应用于由实际或仿真的ICS设备组成的高互动性蜜罐中生成数据。若是这产生了关于***模式，开发技术和恶意软件的附加信息，咱们能够用更多信息和更高的置信度来填充咱们模型中的数据元组。这又可用于建立经过特定***技术，共享基础架构和其余功能连接的AG。进一步调查的另外一种可能性将是从PCAP数据中产生ICS威胁指标。这将须要更多的信息，用于对手试图***ICS网络的战术，技术和程序。可能从上述高度互动蜜罐获取这些数据。这样一个项目对于它可能产生的至关大的威胁情报将是有价值的。

X 结论

这项研究探讨了一个蜜网能对ICS网络产生威胁情报的方法。利用提供的16 GB PCAP数据以及各类开源数据，咱们应用了***分析的钻石模型，试图理解和推测一个假设的ICS网络的威胁。诸如WHOIS数据库、VirusTotal和来自安全厂商的资源等来源帮助咱们创建了一个了解观察到的流量的重要性的环境。有了这些信息，咱们派生了数据元组，这些元组充分地描述了在数据中观察到的事件，并将其置于一个恰当地表示其威胁的AG中。

虽然咱们开发了一种利用钻石模型对ICS蜜网进行威胁分析的方法，但咱们发现该领域的特殊性质为成功提供收集数据的特定要求提出挑战。最主要的是缺少与外部主机的互动，从而限制了收集到的数据的潜在有用性，特别是在利用漏洞和恶意软件交付方面。在将来的蜜网部署中，咱们认为，与外部主机进行更高层次的互动和ICS设备的高保真仿真（若是不是在隔离网络上实际控制系统的直接放置）将是有用的。

咱们但愿这项研究提供了一个有用的方法来分析从ICS蜜罐收集的数据，以及如何收集这些数据的方式，使其成为威胁情报来源最有用的方式。虽然适当部署所固有的困难可能会下降ICS蜜网在某些状况下的价值主张，可是那些对ICS威胁信息有很高需求的组织极可能会发现咱们的技术是有用的。