LLMPot: Automated LLM-based Industrial Protocol and Physical Process Emulation for ICS Honeypots

工业控制系统（ICS）广泛用于关键基础设施，确保高效、可靠和连续的运行。然而，它们日益增加的连接性和先进功能使它们容易受到网络威胁的攻击，可能导致基本服务的严重中断。在这种情况下，蜜罐在ICS网络内或互联网上充当诱饵目标，有助于检测、记录、分析和开发ICS特定的网络威胁的缓解措施。然而，部署ICS蜜罐具有挑战性，因为需要准确复制工业协议和设备特征，这是有效模拟不同工业系统的独特操作行为的关键要求。此外，这个挑战还因为需要映射PLC将执行的控制逻辑，以捕获旨在破坏关键基础设施运营的攻击流量而导致的重要手动工作而变得更加复杂。在本文中，我们提出了LLMPot，这是一种利用大型语言模型（LLMs）设计ICS网络蜜罐的新方法。LLMPot旨在自动化和优化创建具有供应商无关配置的逼真蜜罐，并针对任何控制逻辑，旨在消除传统上在这个领域需要的手动工作和专业知识。我们进行了广泛的实验，关注了各种参数，证明了我们基于LLM的方法可以有效地创建实现不同工业协议和不同控制逻辑的蜜罐设备。

本论文旨在解决ICS网络中部署蜜罐的挑战，即需要准确复制工业协议和设备特性，以及手动复制PLC将执行的控制逻辑，以便捕获攻击者的流量。

LLMPot是一种新颖的方法，利用大型语言模型（LLMs）自动化和优化创建逼真的蜜罐设备，实现厂商不可知的配置和任何控制逻辑，从而消除了传统领域所需的手动工作和专业知识。

论文进行了广泛的实验，证明了LLMPot可以有效地创建实现不同工业协议和多样化控制逻辑的蜜罐设备。同时，论文还提到了未来工作的方向，如进一步优化蜜罐的性能和安全性。

在相关研究方面，最近的一些研究包括：1.《基于机器学习的ICS安全性评估方法》；2.《一种基于蜜罐的ICS网络安全防御体系结构》；3.《基于深度强化学习的ICS网络安全态势感知方法》。