基于流量探針技術(shù)的工業(yè)企業(yè)側(cè)網(wǎng)絡(luò)安全態(tài)勢感知模型研究

樊榮

（江西省網(wǎng)絡(luò)安全研究院，江西 南昌 330019）

0 引言

工業(yè)是國民經(jīng)濟(jì)發(fā)展中重要的基礎(chǔ)產(chǎn)業(yè)，是經(jīng)濟(jì)發(fā)展和社會(huì)進(jìn)步的基石。隨著我國工業(yè)行業(yè)由傳統(tǒng)產(chǎn)業(yè)向數(shù)字化、網(wǎng)絡(luò)化和智能化轉(zhuǎn)型升級(jí)，網(wǎng)絡(luò)安全威脅也日益向工業(yè)領(lǐng)域蔓延。然而，當(dāng)前我國工業(yè)信息安全總體形勢仍不容樂觀。以美國為首的西方國家一方面加大力度進(jìn)行網(wǎng)絡(luò)安全建設(shè)，不斷強(qiáng)化網(wǎng)絡(luò)安全監(jiān)管和防御能力，不斷壯大網(wǎng)絡(luò)安全人才隊(duì)伍，工業(yè)信息安全監(jiān)管邁向落地階段，并促進(jìn)工業(yè)信息安全供應(yīng)鏈本土化，另一方面也利用其領(lǐng)先地位和強(qiáng)大的經(jīng)濟(jì)實(shí)力不斷在網(wǎng)絡(luò)空間進(jìn)行滲透。為此，按照國務(wù)院《關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》要求，為加快構(gòu)建工業(yè)互聯(lián)網(wǎng)安全保障體系，提升工業(yè)互聯(lián)網(wǎng)安全保障能力，促進(jìn)工業(yè)互聯(lián)網(wǎng)高質(zhì)量發(fā)展，推動(dòng)現(xiàn)代化經(jīng)濟(jì)體系建設(shè)，護(hù)航制造強(qiáng)國和網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略實(shí)施，工業(yè)和信息化部、教育部等十部委又印發(fā)了關(guān)于《加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》的通知，通知進(jìn)一步圍繞工業(yè)互聯(lián)網(wǎng)安全技術(shù)保障平臺(tái)建設(shè)提出要求，打造整體態(tài)勢感知能力。從監(jiān)測對(duì)象覆蓋范圍來看，態(tài)勢感知能力涉及多個(gè)角度，如針對(duì)工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)的，針對(duì)工業(yè)互聯(lián)網(wǎng)平臺(tái)側(cè)的，針對(duì)工業(yè)企業(yè)側(cè)的等。因此，研究針對(duì)企業(yè)側(cè)的工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知系統(tǒng)，對(duì)推進(jìn)整體態(tài)勢感知能力，具有重要意義。

1 工業(yè)企業(yè)側(cè)網(wǎng)絡(luò)安全態(tài)勢感知平臺(tái)模型

1.1 設(shè)計(jì)目標(biāo)

工業(yè)企業(yè)側(cè)網(wǎng)絡(luò)安全態(tài)勢感知屬于工業(yè)互聯(lián)網(wǎng)安全整體態(tài)勢感知能力的一部分，側(cè)重于對(duì)重要工業(yè)企業(yè)的重要網(wǎng)絡(luò)節(jié)點(diǎn)及關(guān)鍵位置的網(wǎng)絡(luò)流量進(jìn)行全面細(xì)致的監(jiān)聽和采集，通過工業(yè)互聯(lián)網(wǎng)環(huán)境主網(wǎng)絡(luò)對(duì)工業(yè)監(jiān)控軟件、工業(yè)組態(tài)軟件、工業(yè)控制器（PLC、RTU、DTU）以及其他工業(yè)互聯(lián)網(wǎng)設(shè)備之間的通信數(shù)據(jù)實(shí)現(xiàn)集中監(jiān)控。同時(shí)，還應(yīng)設(shè)計(jì)數(shù)據(jù)通信接口，支持將采集分析的數(shù)據(jù)同步至區(qū)域級(jí)或行業(yè)級(jí)的綜合態(tài)勢感知網(wǎng)絡(luò)或平臺(tái)中，為大數(shù)據(jù)分析提供重要的數(shù)據(jù)支撐，以便提升數(shù)據(jù)分析能力和風(fēng)險(xiǎn)研判能力。

1.2 模型框架

工業(yè)企業(yè)側(cè)網(wǎng)絡(luò)安全態(tài)勢感知模型設(shè)計(jì)，應(yīng)考慮提供統(tǒng)一、集中的監(jiān)控分析平臺(tái)，通過實(shí)時(shí)收集與統(tǒng)計(jì)部署在各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)的流量探針系統(tǒng)上報(bào)的各類日志數(shù)據(jù)，提供海量數(shù)據(jù)的聚合、分類與可視化集中展現(xiàn)。同時(shí)，實(shí)現(xiàn)對(duì)探針系統(tǒng)的策略、規(guī)則集中管理與統(tǒng)一下發(fā)，并可以做到資產(chǎn)管理、報(bào)告生成等功能。將數(shù)據(jù)采集、實(shí)時(shí)上報(bào)、關(guān)聯(lián)分析、安全報(bào)告等形成閉環(huán)?？傮w模型如下圖1所示：

圖1 工業(yè)企業(yè)側(cè)網(wǎng)絡(luò)安全態(tài)勢感知模型

其中流量探針系統(tǒng)將工業(yè)企業(yè)現(xiàn)場控制系統(tǒng)的重要核心節(jié)點(diǎn)流量通過鏡像方式進(jìn)行采集，并發(fā)送至威脅分析引擎，經(jīng)過對(duì)工控行為與協(xié)議的深度解析，匹配行為庫規(guī)則，對(duì)異常行為報(bào)警，并將所有日志數(shù)據(jù)統(tǒng)一采集匯總，集中在數(shù)據(jù)存儲(chǔ)系統(tǒng)中，通過數(shù)據(jù)檢索引擎實(shí)現(xiàn)統(tǒng)一檢索。

2 流量探針模型

2.1 探針系統(tǒng)架構(gòu)

因流量探針系統(tǒng)能夠采集到工業(yè)企業(yè)核心網(wǎng)絡(luò)節(jié)點(diǎn)處的數(shù)據(jù)，如將該部分流量數(shù)據(jù)實(shí)時(shí)上傳后再全面分析，存在網(wǎng)絡(luò)被惡意監(jiān)聽、數(shù)據(jù)被截獲解析的風(fēng)險(xiǎn)，造成工業(yè)企業(yè)生產(chǎn)工藝和關(guān)鍵數(shù)據(jù)泄露的隱患。此外，大型工業(yè)企業(yè)往往需要部署大量探針，各探針如果均采用全流量實(shí)時(shí)上傳，將出現(xiàn)帶寬瓶頸和后端平臺(tái)處理性能瓶頸問題。因此，需要在流量探針中設(shè)計(jì)一套分析系統(tǒng)，實(shí)現(xiàn)基礎(chǔ)的分析能力。流量探針中的分析系統(tǒng)架構(gòu)如下圖2所示：

圖2 流量探針分析系統(tǒng)架構(gòu)

為了便于部署，流量探針系統(tǒng)可以采用軟硬件一體化設(shè)計(jì)，當(dāng)然，在使用了虛擬化技術(shù)的環(huán)境下，也可以用純軟件方式部署在虛擬機(jī)中。流量探針以分析系統(tǒng)采集分析組件為核心，實(shí)時(shí)采集、分析、統(tǒng)計(jì)及存儲(chǔ)網(wǎng)絡(luò)數(shù)據(jù)。同時(shí)，還需要設(shè)計(jì)可視化分析、配置組件、控制臺(tái)組件與前端服務(wù)組件，控制臺(tái)組件建議采用 C/S技術(shù)架構(gòu)，前端服務(wù)組件建議使用B/S技術(shù)架構(gòu)。當(dāng)用戶需要監(jiān)控分析指定的目標(biāo)網(wǎng)絡(luò)時(shí)，則可通過控制臺(tái)連接到服務(wù)器，進(jìn)行遠(yuǎn)程實(shí)時(shí)分析和回溯分析，控制臺(tái)要支持與服務(wù)器進(jìn)行一對(duì)多并發(fā)連接。用戶通過前端服務(wù)組件可實(shí)現(xiàn)對(duì)流量數(shù)據(jù)的直接管理，并進(jìn)行各類統(tǒng)計(jì)查詢。

2.2 探針關(guān)鍵能力設(shè)計(jì)

部署在工業(yè)企業(yè)的流量探針系統(tǒng)要充分發(fā)揮作用，離不開一些關(guān)鍵能力的實(shí)現(xiàn)，主要包括以下幾個(gè)方面：

（1）工控協(xié)議深度檢測能力。工業(yè)控制系統(tǒng)中各設(shè)備廠商大量采用私有協(xié)議，導(dǎo)致無法使用傳統(tǒng)的IT協(xié)議分析技術(shù)對(duì)其解析，因此需有針對(duì)性地采用工業(yè)控制協(xié)議安全深度解析技術(shù)，實(shí)現(xiàn)常用工控協(xié)議的深度解析，并對(duì)所有行為進(jìn)行指令級(jí)解析后做審計(jì)，生成完整的行為記錄，便于事后回溯。相關(guān)解析能力包括：支持OPC協(xié)議的深度包檢測、OPC動(dòng)態(tài)端口開放，報(bào)文格式和完整性檢查；支持Ethernet/IP、Modbus/TCP、IEC104、DNP3、Profinet、MMS、S7、GOOSE、SV等工控協(xié)議的深度檢測，例如報(bào)文格式檢查、功能碼控制、寄存器控制、連接狀態(tài)控制等的檢測。

（2）異常流量檢測能力。異常流量檢測，應(yīng)在不影響網(wǎng)絡(luò)性能的前提下進(jìn)行，提供對(duì)內(nèi)外部攻擊和誤操作的實(shí)時(shí)告警。異常流量檢測是通過從工控計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象，并做出自動(dòng)的響應(yīng)。其主要功能是對(duì)用戶和系統(tǒng)行為的監(jiān)測與分析、系統(tǒng)配置和漏洞的審計(jì)檢查、重要系統(tǒng)和數(shù)據(jù)文件的完整性評(píng)估、已知的攻擊行為模式的識(shí)別、異常行為模式的統(tǒng)計(jì)分析、操作系統(tǒng)的審計(jì)跟蹤管理及違反安全策略的用戶行為的識(shí)別。入侵檢測通過迅速地檢測入侵，在可能造成系統(tǒng)損壞或數(shù)據(jù)丟失之前，識(shí)別并驅(qū)除入侵者，使系統(tǒng)盡快迅速恢復(fù)正常工作，并且阻止入侵者進(jìn)一步的行動(dòng)。同時(shí)，收集有關(guān)入侵的技術(shù)資料，用于改進(jìn)和增強(qiáng)系統(tǒng)抵抗入侵的能力。

（3）工控行為和協(xié)議規(guī)則自學(xué)習(xí)能力。為了提高風(fēng)險(xiǎn)告警的準(zhǔn)確度，可使用具有自學(xué)習(xí)能力的模型和算法，在用戶處置告警信息時(shí)，對(duì)多次忽略或頻繁關(guān)注的告警信息進(jìn)行統(tǒng)計(jì)分析，動(dòng)態(tài)更新告警黑白名單，更新時(shí)還可引入交互確認(rèn)機(jī)制。同時(shí)可提供基于元數(shù)據(jù)的網(wǎng)絡(luò)行為配置能力，對(duì)特定復(fù)雜環(huán)境下正常和異常的操作行為或場景，使用簡單、輕量級(jí)的語法規(guī)則描述語言進(jìn)行預(yù)設(shè)，結(jié)合深度解析工控協(xié)議能力，降低風(fēng)險(xiǎn)告警的誤報(bào)率和漏報(bào)率。通過綜合對(duì)多個(gè)操作行為進(jìn)行時(shí)間關(guān)聯(lián)分析，按照主動(dòng)防御的觀點(diǎn)來判斷其是否實(shí)際存在入侵、攻擊等威脅，檢查潛在威脅在不同組件之間的相互關(guān)系。

（4）工控資產(chǎn)梳理及畫像能力。通常情況下，想要獲取工控資產(chǎn)的詳細(xì)準(zhǔn)確信息，一般是需要發(fā)送滿足響應(yīng)協(xié)議規(guī)范的數(shù)據(jù)包，并取得目標(biāo)的返回信息后才能實(shí)現(xiàn)，而在采用流量探針技術(shù)的情況下，要實(shí)現(xiàn)資產(chǎn)的管理和畫像，就必須提供便捷的交互通道，開放錄入、導(dǎo)入接口。同時(shí)設(shè)計(jì)新增活躍主機(jī)預(yù)警機(jī)制，通過對(duì)網(wǎng)絡(luò)中主機(jī)設(shè)備通訊情況采集上報(bào)分析，及時(shí)發(fā)現(xiàn)新增活躍主機(jī)，基于系統(tǒng)內(nèi)置標(biāo)簽引擎，對(duì)主機(jī) MAC 廠商、IP 特性、數(shù)據(jù)包分布、傳輸模式、報(bào)文類別、負(fù)載特性、操作系統(tǒng)、軟件版本、數(shù)據(jù)方向、會(huì)話協(xié)議、端口訪問、通信頻率、通訊模式等網(wǎng)絡(luò)行為進(jìn)行標(biāo)記，形成包含大量工控畫像標(biāo)簽的網(wǎng)絡(luò)畫像標(biāo)簽庫。通過畫像標(biāo)簽構(gòu)建工控資產(chǎn)畫像和資產(chǎn)關(guān)系，并提供資產(chǎn)相關(guān)的網(wǎng)絡(luò)畫像圖譜展示能力，實(shí)現(xiàn)端口服務(wù)、通訊關(guān)系、威脅事件、組件信息多種類型數(shù)據(jù)分類。為了便于管理，在設(shè)計(jì)可視化能力時(shí)，可以將資產(chǎn)按照預(yù)設(shè)的網(wǎng)段進(jìn)行分類，網(wǎng)段內(nèi)有內(nèi)訪關(guān)系的設(shè)備用直線進(jìn)行連接，有外訪關(guān)系的通過列表展示，以便對(duì)資產(chǎn)間的通聯(lián)訪問關(guān)系進(jìn)行清晰直觀的展現(xiàn)。

（5）全流量網(wǎng)絡(luò)回溯分析能力。在異常數(shù)據(jù)分析發(fā)現(xiàn)重要線索時(shí)，往往需要再次對(duì)歷史數(shù)據(jù)進(jìn)行異常行為回查才能取得進(jìn)一步線索，探針的作用其實(shí)和視頻監(jiān)控的作用類似，探針設(shè)備應(yīng)具備充足的存儲(chǔ)空間，以存儲(chǔ)一定時(shí)間段內(nèi)的網(wǎng)絡(luò)全流量，并在此基礎(chǔ)上提供全流量網(wǎng)絡(luò)回溯分析能力。例如設(shè)計(jì)對(duì)存儲(chǔ)的數(shù)據(jù)流、會(huì)話及應(yīng)用日志等各種統(tǒng)計(jì)數(shù)據(jù)進(jìn)行快速檢索功能，并對(duì)已經(jīng)發(fā)生的網(wǎng)絡(luò)行為、應(yīng)用數(shù)據(jù)和主機(jī)數(shù)據(jù)進(jìn)行回溯分析，為迅速定位問題發(fā)生原因提供更全面的分析依據(jù)。

3 應(yīng)用效果

目前，該模型已經(jīng)在江西省省級(jí)工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺(tái)項(xiàng)目中得到應(yīng)用，并延伸至江西省上饒市、九江市、萍鄉(xiāng)市等市級(jí)工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺(tái)中進(jìn)行推廣應(yīng)用。覆蓋了對(duì)應(yīng)轄區(qū)內(nèi)數(shù)十家規(guī)上工業(yè)企業(yè)，自投運(yùn)以來，各項(xiàng)功能運(yùn)行正常，效果良好。

4 結(jié)語

本文分析了基于流量探針技術(shù)的工業(yè)企業(yè)側(cè)網(wǎng)絡(luò)安全態(tài)勢感知平臺(tái)層次化模型，重點(diǎn)介紹了流量探針系統(tǒng)的架構(gòu)和關(guān)鍵功能設(shè)計(jì)思路，提出了要打造工控協(xié)議深度檢測、異常流量檢測、工控行為和協(xié)議規(guī)則自學(xué)習(xí)、工控資產(chǎn)梳理及畫像以及全流量網(wǎng)絡(luò)回溯分析等五大能力。該模型的應(yīng)用，可以打通工業(yè)企業(yè)安全數(shù)據(jù)孤島，匯集工業(yè)企業(yè)安全數(shù)據(jù)，從而實(shí)現(xiàn)工業(yè)互聯(lián)網(wǎng)安全監(jiān)測與感知，在不影響工業(yè)企業(yè)業(yè)務(wù)運(yùn)行的情況下，實(shí)現(xiàn)多種技術(shù)手段采集數(shù)據(jù)，建立網(wǎng)絡(luò)多節(jié)點(diǎn)的數(shù)據(jù)安全交換模式，建成通報(bào)預(yù)警資源和基礎(chǔ)數(shù)據(jù)平臺(tái)，做到全天候感知工業(yè)企業(yè)控制系統(tǒng)安全狀況，有效預(yù)知威脅信息。