船舶工控網(wǎng)絡(luò)安全態(tài)勢監(jiān)測預(yù)警關(guān)鍵技術(shù)研究

王 躍， 武茂浦， 劉鑫宇， 邢衛(wèi)強， 陳端迎

(1.中國船舶集團有限公司第七一六研究所， 江蘇 連云港 222000；2.江蘇杰瑞信息科技有限公司， 江蘇 連云港 222000)

隨著互聯(lián)網(wǎng)信息技術(shù)的發(fā)展普及，船舶建造過程工控系統(tǒng)的安全漏洞和網(wǎng)絡(luò)惡意行為不斷涌現(xiàn)，工控安全事件層出不窮，安全形勢日益嚴(yán)峻。為保障船舶建造過程的工業(yè)控制網(wǎng)絡(luò)安全，工業(yè)防火墻、工控入侵檢測系統(tǒng)等工控安全設(shè)備被部署到網(wǎng)絡(luò)環(huán)境中，在從多方位保護系統(tǒng)的同時，也帶來了設(shè)備獨立運行、缺少協(xié)同合作，難以統(tǒng)一管理、資源無法形成合力最優(yōu)等弊端。此外，安全設(shè)備每天產(chǎn)生海量且夾雜了大量不可靠信息的安全報警，很難提取出有意義的事件，更無法從中得到真正對系統(tǒng)造成威脅的事件，無法評估當(dāng)前系統(tǒng)的整體安全態(tài)勢，大大降低了系統(tǒng)的安全性。

態(tài)勢感知是一種基于環(huán)境的，動態(tài)、整體地洞悉安全風(fēng)險的能力，隨著人工智能技術(shù)尤其是一系列機器學(xué)習(xí)、深度學(xué)習(xí)算法的相繼提出，為有效處理大數(shù)據(jù)問題提供了便利，這些方法為建立更加實用高效的態(tài)勢感知提供了新思路和發(fā)展方向。態(tài)勢感知從全局視角提升對安全威脅的發(fā)現(xiàn)識別、理解分析、響應(yīng)處置能力，負(fù)責(zé)實時全面感知網(wǎng)絡(luò)整體的安全態(tài)勢，并能及時準(zhǔn)確地給出威脅預(yù)警信息，最終是為了決策與行動，是安全能力的落地[1]。故而對安全態(tài)勢監(jiān)測預(yù)警技術(shù)研究既是維護工控安全的基本需要，同樣也是保障國防安全的必然要求。

1 態(tài)勢監(jiān)測預(yù)警技術(shù)框架

船舶工控網(wǎng)絡(luò)安全態(tài)勢監(jiān)測預(yù)警技術(shù)是在船舶建造工業(yè)網(wǎng)絡(luò)環(huán)境中，對能夠引起工控網(wǎng)絡(luò)態(tài)勢發(fā)生變化的所有安全要素進行獲取、理解、顯示以及預(yù)測未來的發(fā)展趨勢，并不局限于單一的安全要素。態(tài)勢監(jiān)測預(yù)警技術(shù)首先對各種影響系統(tǒng)安全性的要素數(shù)據(jù)進行采集，隨后采用分類、歸并、建立數(shù)據(jù)模型、分析等手段對安全信息進行融合，并對融合信息進行綜合要素關(guān)聯(lián)分析，得到網(wǎng)絡(luò)的整體安全狀況評估結(jié)果及其應(yīng)對措施，從而對網(wǎng)絡(luò)安全狀況的發(fā)展趨勢進行預(yù)測，最后為信息安全管理者提供可靠的數(shù)據(jù)參考和決策支持。技術(shù)框架如圖1所示。

圖1 態(tài)勢監(jiān)測預(yù)警技術(shù)框架

1)多源數(shù)據(jù)。多維度、多層次的數(shù)據(jù)源收集，為要素的提取提供數(shù)據(jù)支撐。

2)關(guān)聯(lián)分析。基于多源數(shù)據(jù)支撐，首先進行數(shù)據(jù)預(yù)處理，然后依據(jù)要素指標(biāo)體系提取要素，接著進行數(shù)據(jù)融合，多層次多維度的要素關(guān)聯(lián)分析。

3)態(tài)勢評估。基于要素之間的關(guān)聯(lián)性分析，從多種角度考慮網(wǎng)絡(luò)的安全狀態(tài)，對工業(yè)網(wǎng)絡(luò)過程中的安全態(tài)勢進行綜合性評估，并將結(jié)果用可視化技術(shù)展現(xiàn)出來；基于對網(wǎng)絡(luò)流量、網(wǎng)絡(luò)行為的實時監(jiān)測，通過多層次多粒度要素指標(biāo)關(guān)聯(lián)分析，發(fā)現(xiàn)網(wǎng)絡(luò)異常行為，并進行追蹤審計，通過可視化形式進行預(yù)警，并進行定量、定性分析。

4)態(tài)勢預(yù)測。利用數(shù)據(jù)分析模型實現(xiàn)態(tài)勢預(yù)測，并基于可視化技術(shù)集中展示，提供決策意見，指導(dǎo)安全防御體系的敏捷調(diào)整和持續(xù)運營。

5)系統(tǒng)開發(fā)及驗證。構(gòu)建融合數(shù)據(jù)數(shù)據(jù)庫，開發(fā)系統(tǒng)數(shù)據(jù)接口，采用B/S結(jié)構(gòu)及面向?qū)ο蟮腏ava語言，基于SpringBoot開發(fā)框架搭建網(wǎng)絡(luò)安全態(tài)勢監(jiān)測預(yù)警系統(tǒng)，具備資產(chǎn)管理、用戶管理、風(fēng)險管理、自定義報表、事件處置策略配置等功能，并驗證相關(guān)技術(shù)指標(biāo)的有效性。

2 主要關(guān)鍵技術(shù)

2.1 網(wǎng)絡(luò)安全態(tài)勢要素數(shù)據(jù)提取

針對船舶建造過程態(tài)勢要素數(shù)據(jù)提取問題，結(jié)合船舶網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)安全實際需求制定態(tài)勢要素指標(biāo)體系，將構(gòu)成信息網(wǎng)絡(luò)的各個層次納入考慮范疇，通過態(tài)勢指標(biāo)體系定義需要提取的所有網(wǎng)絡(luò)安全態(tài)勢要素。盡可能全面地獲取反映網(wǎng)絡(luò)安全狀態(tài)的原始數(shù)據(jù)信息，并對采集到的原始數(shù)據(jù)歸類后放入到初始數(shù)據(jù)庫中，以備之后態(tài)勢評估做基礎(chǔ)數(shù)據(jù)支撐。

2.1.1 網(wǎng)絡(luò)安全態(tài)勢指標(biāo)體系構(gòu)建

針對船舶建造過程網(wǎng)絡(luò)中設(shè)備類型的多樣性、數(shù)據(jù)類型紛繁復(fù)雜的情況，建立一個適用于船舶建造的覆蓋廣泛、內(nèi)容全面的網(wǎng)絡(luò)安全態(tài)勢指標(biāo)體系必不可少。結(jié)合船舶建造網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和船舶網(wǎng)絡(luò)安全的實際需求，制定切合實際需求的指標(biāo)體系原則，按照獨立性原則構(gòu)建包括但不限于生存性、威脅性、脆弱性等指標(biāo)，從網(wǎng)絡(luò)承受抗攻擊能力、內(nèi)外部網(wǎng)絡(luò)威脅程度、遭受攻擊后損失程度角度考慮，使網(wǎng)絡(luò)安全態(tài)勢指標(biāo)體系涵蓋整個船舶信息網(wǎng)絡(luò)實體的各個部分，并將信息網(wǎng)絡(luò)的各個層次納入考慮范疇，為網(wǎng)絡(luò)安全態(tài)勢提供全面、準(zhǔn)確的信息支持。

2.1.2 網(wǎng)絡(luò)安全態(tài)勢要素獲取方法

基于船舶建造過程數(shù)據(jù)海量且繁雜性，對網(wǎng)絡(luò)安全態(tài)勢要素數(shù)據(jù)獲取分為兩步：①對原始數(shù)據(jù)獲取與分類保存。根據(jù)船舶建造過程網(wǎng)絡(luò)安全態(tài)勢指標(biāo)體系以及系統(tǒng)的實際需求，目前暫定將原始數(shù)據(jù)按照網(wǎng)元信息、流量信息、漏洞信息、報警信息、靜態(tài)配置信息來分類，如圖2所示，進行規(guī)范化處理，并保存至原始數(shù)據(jù)庫，為態(tài)勢評估、態(tài)勢預(yù)測提供數(shù)據(jù)基礎(chǔ)。②態(tài)勢要素提取。根據(jù)指標(biāo)體系對網(wǎng)絡(luò)反映安全狀態(tài)的數(shù)據(jù)進行全面獲取，標(biāo)明不同態(tài)勢要素所占權(quán)重，最終生成網(wǎng)絡(luò)安全態(tài)勢要素[2]。

圖2 原始數(shù)據(jù)信息分類

2.2 網(wǎng)絡(luò)安全態(tài)勢要素關(guān)聯(lián)分析

網(wǎng)絡(luò)安全態(tài)勢關(guān)聯(lián)分析是在獲取態(tài)勢要素的前提下，對要素信息進行全方位、多角度分析，以獲取各態(tài)勢要素的關(guān)聯(lián)性，為網(wǎng)絡(luò)安全態(tài)勢評估提供關(guān)鍵性支撐。首先通過對原始數(shù)據(jù)信息預(yù)處理，將網(wǎng)絡(luò)安全數(shù)據(jù)信息以統(tǒng)一格式進行范式化、去冗余處理，并結(jié)合預(yù)處理之后的數(shù)據(jù)進行關(guān)聯(lián)規(guī)則挖掘，理清數(shù)據(jù)信息不同項集的依賴性和關(guān)聯(lián)關(guān)系。最后對提取到的關(guān)聯(lián)規(guī)則進行分析，結(jié)合各類事件形成的規(guī)則、邏輯等各項信息選取合適的算法及數(shù)學(xué)模型，建立針對當(dāng)前網(wǎng)絡(luò)安全態(tài)勢的關(guān)聯(lián)分析模型，來提升網(wǎng)絡(luò)安全響應(yīng)與預(yù)防能力。

2.2.1 網(wǎng)絡(luò)安全態(tài)勢要素原始數(shù)據(jù)規(guī)范化、去冗余處理

網(wǎng)絡(luò)安全原始數(shù)據(jù)數(shù)量級多，流量大且類型繁雜，傳統(tǒng)的關(guān)聯(lián)分析對大數(shù)據(jù)量能力處理應(yīng)對不足，無法為規(guī)則挖掘提供明確有效的數(shù)據(jù)準(zhǔn)備，需要對獲取的態(tài)勢要素進行預(yù)處理。利用人工神經(jīng)網(wǎng)絡(luò)、支持向量機方法對態(tài)勢要素進行分類，并結(jié)合粒子群優(yōu)化算法對分類方法參數(shù)或結(jié)構(gòu)等進行優(yōu)化，結(jié)合主成分分析法對數(shù)據(jù)去除冗余屬性，實現(xiàn)對態(tài)勢要素的規(guī)范化和去冗余處理[2]。

2.2.2 安全態(tài)勢要素關(guān)聯(lián)規(guī)則

關(guān)聯(lián)規(guī)則的制定是關(guān)聯(lián)分析模型的基礎(chǔ)。對網(wǎng)絡(luò)安全態(tài)勢要素關(guān)聯(lián)的分析，以態(tài)勢要素預(yù)處理為基礎(chǔ)，將數(shù)據(jù)信息歸類統(tǒng)計后利用機器學(xué)習(xí)等方法提取數(shù)據(jù)信息特征轉(zhuǎn)換為特征數(shù)據(jù)，通過基于相似概率關(guān)聯(lián)原則、情景關(guān)聯(lián)原則和安全事件前因與后果原則分析并找出特征數(shù)據(jù)之間的內(nèi)在聯(lián)系和規(guī)律，制定關(guān)聯(lián)規(guī)則為關(guān)聯(lián)分析模型提供可靠性支撐。

2.2.3 網(wǎng)絡(luò)安全態(tài)勢要素關(guān)聯(lián)分析模型及算法

基于關(guān)聯(lián)分析規(guī)則的研究，其形成關(guān)聯(lián)規(guī)則可能相對固定，各規(guī)則間也缺乏邏輯關(guān)聯(lián)。因此，需要對不同地點、不同時間、不同層次的網(wǎng)絡(luò)安全事件進行關(guān)聯(lián)分析，構(gòu)建合適關(guān)聯(lián)模型能夠代入經(jīng)過提取的關(guān)聯(lián)規(guī)則。通過基于攻擊圖的關(guān)聯(lián)分析、屬性相似度的關(guān)聯(lián)分析、規(guī)則的機器學(xué)習(xí)關(guān)聯(lián)分析等算法來構(gòu)建關(guān)聯(lián)分析模型。在優(yōu)化模型的方法上可以采用結(jié)合多個算法、增加多維度的關(guān)聯(lián)以及加入時序要素等，并通過代入模型規(guī)則及數(shù)據(jù)來評估模型更正模型，提高模型準(zhǔn)確性和可靠性。模型構(gòu)建流程如圖3所示。

圖3 模型構(gòu)建流程

2.3 基于數(shù)據(jù)融合的態(tài)勢評估

網(wǎng)絡(luò)安全態(tài)勢的信息融合主要分為數(shù)據(jù)源信息融合、態(tài)勢要素融合以及關(guān)鍵節(jié)點態(tài)勢的融合3個部分，它們各自起到攻擊概率檢測、安全態(tài)勢評估和綜合計算等作用。信息融合技術(shù)可以精簡多源數(shù)據(jù)、分析信息關(guān)聯(lián)性，將篩選和處理后的信息融合為新的完整信息庫，進而支撐網(wǎng)絡(luò)安全態(tài)勢評估模型的構(gòu)建[3-4]。

2.3.1 數(shù)據(jù)源信息融合

針對信息檢出設(shè)備本身的多樣性和不穩(wěn)定差異，所導(dǎo)致的準(zhǔn)確性下降以及無效性增加等問題，數(shù)據(jù)源信息融合通過對大量數(shù)據(jù)的統(tǒng)計推斷，可以得到檢測設(shè)備對攻擊發(fā)生的支持概率，便于下一步態(tài)勢要素融合的進行。

2.3.2 基于概率的態(tài)勢要素融合

利用得到的攻擊發(fā)生支持概率來計算威脅對主機節(jié)點攻擊的成功支持概率。通過利用安全威脅概率和漏洞數(shù)據(jù)庫進行匹配，得攻擊成功的支持概率，隨后利用攻擊的威脅度參數(shù)，結(jié)合攻擊發(fā)生和成功的支持概率，計算得到攻擊對系統(tǒng)關(guān)鍵節(jié)點的影響值，對網(wǎng)絡(luò)中各個主機的安全影響值進行匯總以后，便可以對關(guān)鍵節(jié)點態(tài)勢進行安全信息融合。

2.3.3 關(guān)鍵節(jié)點態(tài)勢融合

關(guān)鍵節(jié)點態(tài)勢融合是網(wǎng)絡(luò)安全態(tài)勢信息融合最重要的一環(huán)。根據(jù)重要性程度分配每個主機節(jié)點權(quán)重，再將每個關(guān)鍵節(jié)點的威脅影響值與其節(jié)點權(quán)重相乘，得到單個節(jié)點的網(wǎng)絡(luò)安全態(tài)勢值，通過對所有節(jié)點的安全狀況值進行匯總，可以得到網(wǎng)絡(luò)安全狀況的總體值。繪制時間-安全態(tài)勢曲線，可以分析一段時間內(nèi)的安全態(tài)勢，以便網(wǎng)絡(luò)安全管理人員掌握系統(tǒng)過去一段時間，預(yù)測和分析未來一段時間的網(wǎng)絡(luò)安全態(tài)勢。

2.3.4 構(gòu)建網(wǎng)絡(luò)安全態(tài)勢評估模型

網(wǎng)絡(luò)安全態(tài)勢評估模型建立在主機、網(wǎng)絡(luò)和用戶3個層次上，負(fù)責(zé)分析主機系統(tǒng)的運行狀態(tài)，挖掘和關(guān)聯(lián)網(wǎng)絡(luò)安全信息，向用戶發(fā)出網(wǎng)絡(luò)安全預(yù)警等。在主機層中，評估模型根據(jù)主機系統(tǒng)遭受攻擊和威脅的數(shù)據(jù)進行漏洞問題分析；將主機層中的威脅數(shù)據(jù)融合匯集后輸入網(wǎng)絡(luò)層，以威脅數(shù)據(jù)為參照對象，對存在網(wǎng)絡(luò)信息進行對比分析，對信息中潛在的危險特征和危險關(guān)聯(lián)信息進行數(shù)學(xué)建模和評估。

2.4 網(wǎng)絡(luò)復(fù)合式攻擊檢測和預(yù)測模型

通過對安全日志的大數(shù)據(jù)分析，關(guān)聯(lián)挖掘歷史異常報警與已發(fā)生的攻擊行為之間的內(nèi)在聯(lián)系，進而推斷攻擊路徑，揭示其中隱藏的相關(guān)邏輯，構(gòu)建攻擊場景，進而建立復(fù)合式攻擊檢測和預(yù)測模型。當(dāng)系統(tǒng)發(fā)現(xiàn)新的網(wǎng)絡(luò)異常流量或行為，實時推測攻擊者后續(xù)的攻擊步驟，為網(wǎng)絡(luò)安全主動防御提供重要依據(jù)。復(fù)合式攻擊預(yù)測的關(guān)鍵是檢測當(dāng)前已發(fā)生的攻擊行為，進而預(yù)測攻擊者未來可能實施的攻擊步驟[5-6]。

1)推斷攻擊路徑。攻擊路徑是引起系統(tǒng)狀態(tài)變遷的攻擊序列的一種描述，體現(xiàn)了系統(tǒng)狀態(tài)和攻擊動作之間的依賴關(guān)系。通過機器學(xué)習(xí)算法發(fā)現(xiàn)歷史異常報警中隱藏的攻擊行為模式，依據(jù)專家知識、時間序列、異常報警間相似度函數(shù)、邏輯關(guān)聯(lián)等方法構(gòu)建攻擊活動序列，形成過濾或關(guān)聯(lián)規(guī)則，推斷出相應(yīng)的攻擊路徑。

2)構(gòu)建攻擊場景圖。將攻擊路徑集合中的每個映射添加入攻擊場景集合，挖掘不同攻擊事件間轉(zhuǎn)移的內(nèi)在聯(lián)系，構(gòu)建攻擊場景圖，進而建立復(fù)合式攻擊預(yù)測模型。

3)復(fù)合式攻擊預(yù)測。針對新增的異常網(wǎng)絡(luò)流量或行為警告，實時有效地推斷攻擊意圖，計算攻擊路徑，識別攻擊階段，減少不可信報警數(shù)量，幫助網(wǎng)絡(luò)安全管理員更快地找到嫌疑最大的攻擊行為。復(fù)合式攻擊預(yù)測流程如圖4所示。

圖4 復(fù)合式攻擊預(yù)測流程

3 結(jié)論

網(wǎng)絡(luò)安全態(tài)勢感知是當(dāng)今所有世界強國都必須要建設(shè)的網(wǎng)絡(luò)安全保障系統(tǒng)，它能夠彌補原有安全保障設(shè)備的不足，實現(xiàn)工業(yè)企業(yè)網(wǎng)絡(luò)區(qū)域中網(wǎng)絡(luò)整體安全態(tài)勢的實時監(jiān)測和預(yù)測，為保障國家網(wǎng)絡(luò)安全提供決策依據(jù)。結(jié)合船舶建造企業(yè)網(wǎng)絡(luò)特點，構(gòu)建船舶建造過程網(wǎng)絡(luò)安全態(tài)勢監(jiān)測預(yù)警系統(tǒng)，通過船舶網(wǎng)絡(luò)安全態(tài)勢要素提取、網(wǎng)絡(luò)安全態(tài)勢要素關(guān)聯(lián)分析、網(wǎng)絡(luò)安全態(tài)勢評估等技術(shù)手段，提升網(wǎng)絡(luò)安全防護能力，增強工控網(wǎng)絡(luò)安全態(tài)勢感知能力，保證網(wǎng)絡(luò)的安全穩(wěn)定運行，從而避免或減少造船企業(yè)因網(wǎng)絡(luò)安全事件造成的巨大損失。