解析工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知核心技術(shù)*

趙一凡 尹肖棟 林逸風(fēng)

(浙江省電子信息產(chǎn)品檢驗研究院，浙江杭州 310007)

0 引言

對作為國民經(jīng)濟命脈與基礎(chǔ)的工業(yè)而言，以物聯(lián)網(wǎng)和云計算為代表的技術(shù)的出現(xiàn)，推動自身朝著信息化、智能化的方向前進，在此背景下，數(shù)據(jù)互聯(lián)、共享與融合，逐漸成為工業(yè)發(fā)展的主流趨勢。隨著產(chǎn)業(yè)鏈協(xié)同創(chuàng)新能力的提升，工業(yè)互聯(lián)網(wǎng)的安全形勢更加嚴峻，如何為工業(yè)互聯(lián)網(wǎng)的安全性提供有力保障，已引起越來越多人的關(guān)注。

1 工業(yè)互聯(lián)網(wǎng)安全發(fā)展現(xiàn)狀

1.1 網(wǎng)絡(luò)安全

對工業(yè)互聯(lián)網(wǎng)而言，網(wǎng)絡(luò)安全指的是以通信網(wǎng)絡(luò)為載體，對數(shù)據(jù)進行傳輸時，可能出現(xiàn)的安全問題，例如，控制網(wǎng)絡(luò)存在漏洞。如果以互聯(lián)網(wǎng)的視角為切入點，對標(biāo)準(zhǔn)標(biāo)識適用解析系統(tǒng)加以應(yīng)用，通常存在全新攻擊方式形成的可能；如果以工業(yè)企業(yè)的視角為切入點，要想增加自身效益，推動網(wǎng)絡(luò)朝著一體化和扁平化方向前進是必然選擇，由此而引發(fā)的問題，便是為網(wǎng)絡(luò)安全提供全面防護的難度不斷增大，僵、木、蠕也擁有了滋生的溫床。

1.2 平臺安全

對工業(yè)互聯(lián)網(wǎng)適用平臺進行建設(shè)所依托技術(shù)以邊緣計算為主，該技術(shù)可使核心數(shù)據(jù)得到有效匯聚，例如，物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)所提供數(shù)據(jù)，隨著平臺連接系統(tǒng)與設(shè)備數(shù)量的增加，對其進行安全防護的難度與日俱增[1]。除此之外，以虛擬化技術(shù)為代表的多項技術(shù)的出現(xiàn)，同樣加劇了平臺的脆弱性，由此而引發(fā)的問題，主要表現(xiàn)為虛擬機逃逸，圍繞其展開討論，現(xiàn)實意義不言而喻。

1.3 控制安全

工業(yè)控制系統(tǒng)的應(yīng)用方向，主要是電力、市政和軌道交通，因此，該系統(tǒng)又被稱為工業(yè)生產(chǎn)的大腦。信息時代的到來，加快了信息技術(shù)更新?lián)Q代的速度，以太網(wǎng)技術(shù)開始為人們所熟知，與此同時，該系統(tǒng)所存在漏洞的數(shù)量也在不斷增加，控制安全受到威脅的情況無法避免。

1.4 設(shè)備安全

這里的設(shè)備主要是指與工業(yè)互聯(lián)網(wǎng)相連的終端設(shè)備，例如，攝像頭、智能空調(diào)等。上文所提及設(shè)備均將嵌入式技術(shù)視為首選技術(shù)，雖然壓縮了設(shè)備體積，卻由于無法精確計算所需參數(shù)，而導(dǎo)致安全機制始終難以發(fā)揮出應(yīng)有作用，這便是工業(yè)互聯(lián)網(wǎng)被大批利用，甚至出現(xiàn)僵尸網(wǎng)絡(luò)的主要原因[2]。

1.5 其他要素

除上文所提及要素外，數(shù)據(jù)安全也是不容忽視的部分。工業(yè)互聯(lián)網(wǎng)所用數(shù)據(jù)，不僅有常見的生產(chǎn)數(shù)據(jù)和管理數(shù)據(jù)，還有測試數(shù)據(jù)與供應(yīng)鏈數(shù)據(jù)。對處于傳輸或存儲環(huán)節(jié)的數(shù)據(jù)而言，一旦出現(xiàn)被竊取或篡改的情況，不僅工業(yè)生產(chǎn)會受到影響，工人安全也會受到威脅。由此可見，對采集、分析和存儲數(shù)據(jù)的流程加以規(guī)范，根據(jù)安全風(fēng)險評估結(jié)果，確定能夠最大程度避免數(shù)據(jù)外泄的方案，將是未來一段時間研究的重點。

2 安全態(tài)勢感知設(shè)計思路

在優(yōu)化網(wǎng)絡(luò)現(xiàn)有安全防護能力方面，利用相關(guān)技術(shù)，對安全態(tài)勢感知進行建設(shè)，具有重要意義?，F(xiàn)階段，智能制造成為社會前進的主要方向，這也使工業(yè)呈現(xiàn)出了更為矚目的智能化、數(shù)字化與網(wǎng)絡(luò)化水平，相關(guān)人員應(yīng)將頂層設(shè)計視為工作重心，在現(xiàn)行規(guī)范及產(chǎn)業(yè)需求的指導(dǎo)下，對感知平臺的架構(gòu)與能力進行設(shè)計，通過對預(yù)警通報、安全監(jiān)測等技術(shù)加以利用的方式，確保企業(yè)態(tài)勢始終處于可感可知狀態(tài)，為日后監(jiān)管工作的開展提供便利。

對感知平臺能否發(fā)揮應(yīng)有功能起決定作用的主體為管理人員，詳細來說，就是以感知平臺得到高效建設(shè)為前提，通過全面監(jiān)管的方式，確保異常情況、安全威脅可獲得及時預(yù)警[3]。除此之外，還有兩方面內(nèi)容需要引起重視：(1)加大管理網(wǎng)絡(luò)運營安全性的力度，以實際情況為依據(jù)，調(diào)整現(xiàn)有管理制度，酌情引入預(yù)警機制，確保安全決策科學(xué)、應(yīng)急響應(yīng)有效。(2)面向管理人員定期組織培訓(xùn)，使管理人員擁有良好的素質(zhì)與能力，可快速處理安全事件，真正做到事中阻斷威脅和事后追溯威脅產(chǎn)生源頭，避免類似情況再次出現(xiàn)。

3 安全態(tài)勢感知架構(gòu)與能力

3.1 技術(shù)架構(gòu)

(1)采集數(shù)據(jù)。對工業(yè)數(shù)據(jù)進行采集的特征是利用現(xiàn)有通信手段，對不同系統(tǒng)、設(shè)備及產(chǎn)品進行接入，在確保采集數(shù)據(jù)滿足深層次、大范圍條件的前提下，根據(jù)異構(gòu)數(shù)據(jù)獨有邊緣處理和協(xié)議轉(zhuǎn)換，對感知平臺所需數(shù)據(jù)基礎(chǔ)進行構(gòu)建。南京某公司研發(fā)采集探針，現(xiàn)已得到較大范圍的推廣和利用，該探針可對大部分工業(yè)協(xié)議進行識別，例如，S7、MMS等，在此基礎(chǔ)上，通過深入剖析相關(guān)協(xié)議的方式，確保所采集數(shù)據(jù)能夠被轉(zhuǎn)換為有效格式，從而達到向平臺進行輸出的目的。(2)處理數(shù)據(jù)。原始數(shù)據(jù)無法做到來源統(tǒng)一，其格式、質(zhì)量及內(nèi)容均有明顯差異存在，此外，在表達語義、存儲形式等方面，同樣有所不同，異常、重復(fù)及錯誤數(shù)據(jù)均占有一定比重，只有提前對原始數(shù)據(jù)進行處理，才能避免后續(xù)的挖掘與分析環(huán)節(jié)，受到不必要影響，結(jié)果自然更加準(zhǔn)確。綜上，對態(tài)勢進行正式分析前，工作重心應(yīng)當(dāng)放在統(tǒng)一化、規(guī)格化處理數(shù)據(jù)上，這樣做可使數(shù)據(jù)質(zhì)量得到改進，日后所開展分析工作的質(zhì)效及準(zhǔn)確性，通常能夠出現(xiàn)較大幅度的提高?，F(xiàn)階段，被用來對數(shù)據(jù)進行預(yù)處理的方法，主要是清理算法，該方法可將異構(gòu)數(shù)據(jù)轉(zhuǎn)變?yōu)榻Y(jié)構(gòu)數(shù)據(jù)，在降低處理難度的基礎(chǔ)上，利用聚類分析法，確保報警記錄能夠得到科學(xué)壓縮，冗余消除。隨后，以重新審核數(shù)據(jù)為前提，通過科學(xué)篩選并排序的方式，獲得可對數(shù)據(jù)關(guān)系進行準(zhǔn)確反映的基礎(chǔ)圖譜。(3)存儲數(shù)據(jù)。存儲數(shù)據(jù)為索引提供便利，二者又為日后的監(jiān)測和匯聚數(shù)據(jù)提供了便利。對工業(yè)互聯(lián)網(wǎng)而言，可使安全態(tài)勢得到感知的技術(shù)，其核心模塊往往是知識庫，而功能完備的知識庫，通常由多個部分組成，例如，漏洞庫與指紋庫，其中，指紋庫的記錄對象，主要有工業(yè)設(shè)備、惡意組織及行為等[4]。(4)建模分析。建模的意義是對知識庫和經(jīng)過預(yù)處理的數(shù)據(jù)進行分析，提取可對安全信息加以反映的相關(guān)性數(shù)據(jù)，在建立數(shù)學(xué)模型的基礎(chǔ)上，利用現(xiàn)有算法，深入分析工業(yè)互聯(lián)網(wǎng)所涉及資產(chǎn)信息、標(biāo)識信息與攻擊信息，確保數(shù)據(jù)關(guān)聯(lián)、威脅態(tài)勢均可得到直觀展示。另外，以獲取表明威脅狀態(tài)的數(shù)據(jù)為前提，先對不同條件及場景進行設(shè)定，再綜合考慮網(wǎng)絡(luò)歷史、當(dāng)前安裝狀態(tài)，確定分析模型，在網(wǎng)絡(luò)威脅、資產(chǎn)脆弱性的輔助下，按部就班的展開態(tài)勢預(yù)測工作，通?？梢匀〉檬掳牍Ρ兜男Ч?，網(wǎng)絡(luò)發(fā)展趨勢也能夠得到直觀反映。(5)展示數(shù)據(jù)。利用可視化技術(shù)對態(tài)勢感知平臺加以完善，以可視化圖形為依托，向用戶展示網(wǎng)絡(luò)態(tài)勢狀況，充分利用人類對圖像、圖形加以處理的能力，能夠確保攻擊源、工控資產(chǎn)與攻擊事件得到直觀展示。與此同時，管理人員還可以利用可視化界面，對數(shù)據(jù)關(guān)聯(lián)性進行查詢，使后續(xù)工作擁有更加明確的目標(biāo)及方向。

3.2 核心能力

(1)管理資產(chǎn)。工業(yè)互聯(lián)網(wǎng)用來感知安全態(tài)勢的平臺，通常配有資產(chǎn)指紋庫，只需要對比指紋，就能夠準(zhǔn)確識別網(wǎng)絡(luò)涉及OT及IT信息，以互聯(lián)網(wǎng)頁面為載體，對企業(yè)網(wǎng)絡(luò)拓撲進行實時呈現(xiàn)。將資產(chǎn)信息錄入數(shù)據(jù)庫所用技術(shù)，主要有自動發(fā)現(xiàn)IP、識別指紋及數(shù)據(jù)同步，事實證明，這樣做可使管理范圍擴大，資產(chǎn)流量、活躍情況、訪問行為、協(xié)議與端口狀態(tài)，均被涵蓋在內(nèi)，而具備識別條件的資產(chǎn)，也逐漸延伸至工業(yè)數(shù)據(jù)、互聯(lián)網(wǎng)平臺和相關(guān)軟件等領(lǐng)域。(2)預(yù)測安全態(tài)勢。眾所周知，要想使網(wǎng)絡(luò)主動對安全進行方位，預(yù)測安全態(tài)勢是不可缺少的重要一環(huán)。本文所討論平臺，選擇以大量報警數(shù)據(jù)為依據(jù)，對黑客入侵所遵循規(guī)律加以掌握，再結(jié)合入侵前奏，對尚未發(fā)生的入侵行為進行預(yù)測，而預(yù)測內(nèi)容，主要集中在三個方面，分別是：入侵目的，可能發(fā)生的入侵行為，給設(shè)備帶來的影響。實踐經(jīng)驗表明，只有做到分析過去，才能使入侵行為得到準(zhǔn)確預(yù)測，從而采取切實可行的措施，確保入侵行為被及時阻止，避免更嚴重后果的產(chǎn)生。(3)感知僵、木、蠕的態(tài)勢。無論是對互聯(lián)網(wǎng)，還是企業(yè)內(nèi)部網(wǎng)絡(luò)而言，僵尸網(wǎng)絡(luò)、木馬、還有蠕蟲病毒、三者所帶來危害均極為巨大。本文所討論平臺，結(jié)合僵、木、蠕所展現(xiàn)出傳播特征，對處于傳播狀態(tài)的僵木蠕加以識別，通過追蹤控制命令與傳播路徑的方式，確定服務(wù)器，在此基礎(chǔ)上，以服務(wù)器為載體，對受控主機進行反查，真正做到了感知僵木蠕的態(tài)勢，日后所開展打擊行動，自然擁有更加良好的基礎(chǔ)[5]。(4)分析事件態(tài)勢及關(guān)聯(lián)性。經(jīng)過預(yù)處理的安全事件，通常要結(jié)合區(qū)域防護能力、網(wǎng)絡(luò)攻擊情況，完成關(guān)聯(lián)分析環(huán)節(jié)，再以互聯(lián)網(wǎng)為依托，使分析結(jié)果得到直觀顯示。一般來說，對事件關(guān)聯(lián)進行分析所用技術(shù)，以貝葉斯網(wǎng)絡(luò)與決策樹為主。如果評估主體是網(wǎng)絡(luò)安全態(tài)勢，其重點往往是網(wǎng)絡(luò)展現(xiàn)出的安全狀態(tài)，詳細來說，就是以安全屬性記錄為依據(jù)，確保用戶可對網(wǎng)絡(luò)狀態(tài)進行準(zhǔn)確評判，再根據(jù)網(wǎng)絡(luò)安全未來一段時間的發(fā)展方向，為管理人員提供決策制定、準(zhǔn)備防護方案所需目標(biāo)。在條件允許的情況下，以模糊推理和神經(jīng)網(wǎng)絡(luò)為代表的技術(shù)，同樣可被用來對態(tài)勢進行評估，綜合考慮多方因素，在科學(xué)推理規(guī)則的前提下，確保所獲得判斷結(jié)果真實而有效。(5)監(jiān)測工業(yè)網(wǎng)絡(luò)的入侵情況。從本質(zhì)上來說，工業(yè)控制系統(tǒng)是生產(chǎn)運行系統(tǒng)之一，具備可用性、實用性突出的現(xiàn)場控制層，由此可見，針對動態(tài)信息對防護結(jié)構(gòu)進行建立很有必要。本文所討論平臺創(chuàng)造性的增加了監(jiān)測網(wǎng)絡(luò)入侵的模塊，通過全面分析入侵數(shù)據(jù)的方式，確保告警信息可及時傳遞給管理人員。另外，入侵反應(yīng)以異常警報、攻擊警報為依據(jù)，在對安全態(tài)勢進行評估的基礎(chǔ)上，擬定切實可行的安全策略，可使入侵攻擊所帶來影響得到緩解。一般來說，入侵反應(yīng)分為決策制定與執(zhí)行，前者將監(jiān)測警報視為基礎(chǔ)，綜合考慮控制系統(tǒng)需要達成的目標(biāo)和面對的約束，對安全策略進行持續(xù)優(yōu)化。而后者的作用，主要是整合以功能安全、信息安全為主體的策略，確定可發(fā)揮出理想作用的實施方案。對上述工作加以落實時，對入侵攻擊可能帶來的危害進行評估很有必要，若系統(tǒng)用于入侵反應(yīng)的成本高于信息攻擊可能造成的經(jīng)濟損失，管理人員應(yīng)考慮反應(yīng)措施是否有采取的意義，避免過度反應(yīng)出現(xiàn)。

4 安全態(tài)勢感知技術(shù)發(fā)展方向

在信息社會，要想使現(xiàn)有技術(shù)得到快速發(fā)展，由大數(shù)據(jù)所衍生出感知安全態(tài)勢的技術(shù)，通常發(fā)揮著十分重要的作用。由上述內(nèi)容可知，信息安全面臨著不同以往的挑戰(zhàn)與威脅，這在無形中提高了安全防護的難度，迄今為止，大部分企業(yè)均不具備抵御大規(guī)模APT攻擊的能力，只有全網(wǎng)聯(lián)動，才能使安全防御發(fā)揮出應(yīng)有作用。

若以大數(shù)據(jù)為基礎(chǔ)，對安全態(tài)勢進行感知，其關(guān)鍵是將監(jiān)測節(jié)點部署在有監(jiān)測需求的區(qū)域，在實時監(jiān)控的基礎(chǔ)上，針對潛在攻擊行為做出預(yù)警，使規(guī)?；雷o的設(shè)想成為現(xiàn)實。而未來一段時間內(nèi)，圍繞感知技術(shù)展開的研究，將以規(guī)?；雷o為核心，其研究內(nèi)容也將集中在以下幾下方面：

(1)流量清洗，通過徹底清洗系統(tǒng)防護設(shè)備的方式，對風(fēng)險進行監(jiān)控與防御；(2)蜜罐監(jiān)測，該技術(shù)強調(diào)以構(gòu)建蜜罐為前提，在誘捕所存在攻擊的基礎(chǔ)上，采集全新樣本，以此來達到降低風(fēng)險的目的；(3)云防護網(wǎng)絡(luò)，待云防護節(jié)點的部署工作告一段落，用戶便可享受到安全預(yù)警、抗DDOS服務(wù)。

5 結(jié)語

通過對上文所敘述內(nèi)容進行分析能夠看出，在設(shè)計初期，工業(yè)控制系統(tǒng)便有安全漏洞存在，受多方因素制約，大部分使用者均不會主動選擇改造或升級系統(tǒng)，這便是工控網(wǎng)絡(luò)經(jīng)常受到攻擊的原因。上文所討論平臺，可使網(wǎng)絡(luò)安全態(tài)勢得到準(zhǔn)確且直觀的呈現(xiàn)，通過對惡意攻擊進行監(jiān)測的方式，凸顯網(wǎng)絡(luò)工具的條理性及主動性，事實證明，在預(yù)防與監(jiān)測安全態(tài)勢方面，該平臺有十分突出的效能。