在为期八个月的 Honeynet 项目中，TUV南德意志集团（以下简称“TUV SUD”）记录了超过60,000次企图闯入虚拟基础设施的尝试。Honeynet 将实际硬件和软件与一个模拟的小型自来水厂环境结合。攻击来自世界各地的服务器，有时攻击还利用伪造IP地址。TUVSUD 的Honeynet项 目证明，对基础设施及生产设施进行的针对性攻击不再是孤立事件。

　　工业4.0使得公司面临的挑战性任务是要自下而上的重新考虑他们的安全策略。数字化和相互连结性的增加使得基础设施及工业设施更为脆弱并给潜在误用（从间谍活动到破坏活动）带来了新的“机会”。TUV SUD 使用一种高互动 Honeynet 获得新的认识，这将使所有行业的公司获益。

图中文字：(control server 控制服务器, log server日志服务器, network log网络日志)

　　尝试访问及攻击的详情分析

　　TUV SUD 策略和创新副总裁 Armin Pfoh 博士表示，Honeynet 是一种设计用于吸引攻击的诱饵网络，从而允许对访问及攻击方法进行详细分析。对此项目，TUV SUD 模拟了德国一个小镇的一个自来水厂的网络。“为此，我们建立了一个高互动 Honeynet，该 Honeynet 将实际硬件和软件与虚拟网络结合起来。”Pfoh 博士解释道。该 Honeynet 的安全措施符合行业的当前水平。为确保该 Honeynet 的系统结构及防护水平与业界一致， TUV SUD的专家在开发和实施期间与基础设施行业的代表进行了合作。

　　图中文字：（ IP访问的前15国家, 唯一IP地址的数目，中国/香港，美国，韩国，日本，俄罗斯，巴西，德国，意大利，印度，台湾，英国，加拿大，墨西哥，法国，土耳其）

　　Honeynet在互联网上总计部署了八个月。首次访问尝试实际上就发生在其“上线”之时。在项目期内，TUV SUD的专家记录了来自逾150个国家的超过60,000次访问尝试。TUV SUD工业信息技术安全高级安全专家及团队经理Thomas Strtkuhl博士说：“这证明即使相对不重要的基础设施也在互联网上吸引注意力并遭到侦测。”访问IP数量占前3的国家分别是中国、美国和韩国。然而，IP地址并非攻击者实际来源的可靠指标。其中一些访问尝试是通过隐藏或伪造IP地址进行的。

　　另一项引人注意的发现是这些访问不仅是通过办公网络的标准通信协议进行的，也通过工业通信协议，如Modbus TCP或S7Comm，进行。Strtkuhl博士解释道：“尽管通过工业通信协议进行的访问尝试的数量明显较少，但是这些尝试也是来自世界各地。”因此，工业信息技术安全专家确信，潜在攻击者在探索工业控制系统中安全结构的漏洞（使得潜在攻击可访问这些系统），潜在攻击包括对若干结构和装置进行的一般攻击及对预先选定系统进行的针对性攻击。

　　明确的报警信号

　　Honeynet 项目的结果是为基础设施所有者及其它工业公司提供了一个明确的报警信号。Thomas Strtkuhl 博士指出“小型或鲜为人知的公司也因互联网上进行的间谍活动而被发现并被侦测”。因此，一般性攻击期间即便并非特定目标的公司也可能成为受害者。“一旦公司因为成为一般间谍活动的目标，就会吸引潜在攻击者的注意力，针对性的攻击可能随之而来”TUV SUD 安全专家解释道。对 TUV SUD 的 Honeynet 进行的尝试攻击（通过各种通信协议发起，一个全球级别的拒绝服务攻击及两个通过两个不同工业通信协议的针对性尝试攻击）也确认了这一说法。

　　监控是制定安全措施的基础

　　TUV SUD 的专家确认以下 Honeynet 项目的主要发现：基础设施及生产设施（即便德国小镇上相对不重要的自来水厂的基础设施及生产设施）都受到了持续侦测。访问尝试可演化成攻击，从而导致重大损害风险——从窃取商业机密到破坏整个基础设施，从而可能人身伤害和环境破坏。安全防范措施未经相应调整的公司和基础设施的所有者相应面临高风险。如果公司要实际评估其风险并制定有效保护措施，则其中一项先决条件就是针对性监控。根据 Honeynet 项目的结果，监控还需延伸至潜在攻击者了解并使用的工业协议。