“諦聽”工控網絡空間：進展與思考

◎東北大學 姚 羽

信息技術領域具有軍民通用的天然屬性，隨著科技的不斷發展，網絡空間已經成為世界主要國家經濟發展的重點和謀求競爭新優勢的戰略方向。網絡空間信息安全領域也已逐漸成為軍民融合的關鍵領域和戰略制高點，成為全球研發投入最集中、創新最活躍、應用最廣泛、輻射帶動作用最大的技術創新領域。

習近平總書記在今年“兩會”解放軍代表團全體會議上強調，立足經濟社會發展和科技進步的深厚土壤，順勢而為、乘勢而上，深入實施軍民融合發展戰略，開展軍民協同創新，推動軍民科技基礎要素融合，加快建立軍民融合創新體系，下更大氣力推動科技興軍，堅持向科技創新要戰斗力，為我軍建設提供強大科技支撐。網絡強國建設正在進入強筋健體、軍民融合創新發展的新階段，迎來聚合國家戰略共振效應、加速發展的重要契機。

一、關鍵基礎設施及工業控制網絡關乎國家安全命脈

從第一款針對工業設施的震網病毒到針對關鍵基礎設施勒索攻擊的Wannacry蠕蟲，近年來，針對關鍵基礎設施的網絡攻擊密集且危險程度高，直接關乎國家安全命脈。從工控安全發展現狀來看，美國在攻防技術方面起步較早，在國際上處于領先地位。另外，俄羅斯也擁有如卡巴斯基等安全產品，具有較強實力。中國工控安全整體上起步較晚，自習總書記網信工作座談會上發表重要講話之后，國內關鍵基礎設施安全領域得到了業內的廣泛關注和重視。國內科研院所像信通所、東北大學、解放軍信息工程大學等單位做了一些重要的研發工作，360、綠盟、燈塔實驗室、匡恩等企業也都在布局，開展了大量工作，但整體上國內仍處于起步和探索階段，業內存在大量困惑。

二、國家頂層設計層面重視關鍵基礎設施安全

從國家頂層設計來看，“4.19”網信工作座談會上習總書記指出要“全天候全方位感知網絡安全態勢、增強網絡安全防御能力和威懾能力”，對態勢感知和網絡安全的關系做了明確的指示。在剛剛發布的《新一代人工智能發展規劃》中，明確指出“人工智能技術可準確感知、預測、預警基礎設施和社會安全運行的重大態勢”，人工智能和網絡安全也可以說是基礎設施安全的“一體之兩翼，驅動之雙輪”。

三、態勢感知的內涵

《孫子兵法》中講“知己知彼，百戰不殆”。感知是感覺和認知，意味著對整體環境的理解和認知，通過推演對局勢的走向、未來的趨勢能了然于胸，對勝負結果能一手掌控。態勢感知的英文是Situation Awareness，源于美國空軍為提升空戰能力、分析空戰環境信息、快速判斷當前及未來形勢，以做出正確反應而提出的詞匯。后來美國把它提升到Cyberspace Situation Awareness層面，最典型的是美國的“愛因斯坦計劃”，旨在大規模網絡環境中，對能夠引起網絡態勢發生變化的安全要素進行獲取、理解、顯示以及對最近發展趨勢的順延性預測，以此形成網絡空間的態勢感知，進而進行決策與行動。

四、態勢感知的三要素

態勢感知應該具備的最基礎的三個要素：一是態勢認知，即了解當前系統運行狀態，包括狀態識別與確認（攻擊發現），以及對態勢認知所需信息來源和素材的質量評價。二是態勢理解，即分析攻擊的影響、攻擊者的行為和當前態勢產生的原因及方式。可簡單概括為：危害評估、攻擊者畫像、行為分析（攻擊行為的趨勢與意圖分析）和因果分析（包括溯源分析和取證分析）。三是態勢預測，即對態勢發展情況的預測評估。主要包括態勢演化（態勢跟蹤）和影響評估，也就是所謂的情境推演，像攻防沙盤就包含演練的成份在里面。

五、“諦聽”——態勢認知

“諦聽”原是傳說中地藏菩薩案下伏著的通靈神獸，可以通過聽來辨認世間萬物，尤其善于聽人心。東北大學“諦聽”團隊，取“諦聽”辨識萬物之意，意在搜尋暴露在互聯網上的工業控制系統聯網設備，幫助安全廠家維護工控系統安全、循跡惡意企圖人士。通過“諦聽”，可以定位工控設備位置，捕捉開放端口，發現安全漏洞。

“諦聽”團隊前期在各層面做了一些嘗試性的工作，首先是認知層面，新版本“諦聽”系統在情報的獲取、數據的整合、蜜罐的部署、協議識別的數量和數據獲取的準確性方面都比之前版本有很大提升，把這些新的能力都集成到“諦聽之眼”態勢認知的全球視角當中，可以對工控安全做一個初步的展示。

歐美工控設施在互聯網暴露非常多，相比而言中國分布還不是很靠前，因而，工控關鍵基礎設施在互聯網上的暴露程度與一個國家對安全的重視程度不是完全關聯的，而是與這個國家工業發展水平相關的。例如，國內北上廣、長三角等工業發達地區分布較多，東三省排在后面，這是因為表面上看東三省雖是工業大省，但工業發展進程實際上并不是很先進。

“諦聽”——全球視角的工控安全態勢認知

“諦聽”1.0版本主要還是專注認知階段，現在的“諦聽”3.0版本，把理解和預測模塊放到了平臺當中。當數據進入“諦聽”庫，對數據進行整理和分析之后，一方面做關聯分析，即所謂的理解，另一方面通過算法做一些預測，最后通過可視化進行展示。

態勢認知主要做兩件事，一是要獲取互聯網中暴露的工控設施，我們把它叫做“諦聽”的“右耳”，可以進行全網的掃描，不僅包括PLC，也包括監控的設備，還可以對數據進行定位。在對數據捕獲時可以對掃描的進度、程度等進行實時可視化展示，同時還做了精細化的數據分析，比如工控設備是否24小時連續在線，分析得知不同協議得到不同的掃描結果、選擇特殊的時段才能真正拿到某些數據。

諦聽“右耳”的數據掃描

“諦聽”的“左耳”則是蜜罐，對蜜罐進行分析可以對得到的IP地址進行攻擊者畫像，描述一些基礎的信息，包括由哪些時段、從哪些國家發出來的攻擊數據，系統也做了相關的可視化。

標準的情況下，當接收到一個掃描數據時，蜜罐會首先做一個應答處理，把掃描者的信息存儲到數據庫中，但是由于蜜罐自身能力和研發能力有限且工控協議本身比較復雜，對于一些網絡請求，蜜罐有時會不知如何正確應答。通過增加蜜罐自學習模塊，把未知的請求傳給掃描器模塊，掃描器模塊再將數據發送出去。通過學習正確的應答方式，蜜罐再次接收到類似的請求時，就知道應如何回答，這實際上就是“左耳”和“右耳”的聯動，即所謂的自學習蜜罐。

六、態勢理解和預測

態勢認知之上就是對態勢的理解，理解的基礎是數據，我們整合了大量與工控安全以及泛安全相關的威脅情報。首先需要對已有的數據進行處理，目前漏洞數據庫平臺還是比較多的，如國內的CNVD（國家信息安全漏洞共享平臺），國外的CVE、EDB、SVE等平臺，它們會有統一的漏洞標識CVE-ID。但是，這些不同來源的數據會有重復，還有沒有被正確標識的漏洞，這時需要將漏洞庫進行整合，我們也做了一些數據整合處理，比如有無CVE-ID的要分別進行處理，無CVE-ID的比較麻煩，還需進行比對看是不是指向同一漏洞。通過漏洞的融合，可以將這些公共的漏洞整合形成統一標準的漏洞庫。

態勢理解：數據支撐

漏洞庫融合

對數據進行理解，給攻擊者畫像，主要數據來源是蜜罐，現階段主要是針對IP地址進行畫像。可以從多個維度，比如說對數據包基本信息的分析，包括IP地址的國家、城市、經緯度等，還包括掃描時間、報文信息等，進一步還需要分析它用什么樣的掃描工具，甚至評估其危險程度。掃描時間的分析要看是否是周期性掃描，這對于攻擊者的畫像是比較有意義的。對于掃描工具的分析，我們分析獲取了一些掃描器的特征，尤其是公開來源的掃描器，通過掃描工具規則庫來判斷是一個什么樣的工具，最終標記為一個可能性最大的工具，超出某個概率的則認為它是自制工具。對于掃描的危險程度，如果是周期性掃描的話，它的危險程度就高，可以根據報文數、掃描次數、持續時間等算出危險指數，根據危險指數再進行等級劃分，最后可以用雷達圖和扇形圖等進行展示。把這些行為關聯起來之后，就可以看到一些攻擊者的意圖以及危險性。

態勢預測并不是基于大數據的，攻防完全用一個數學模型來描述，然后通過仿真來驗證模型，并不依賴歷史數據。對于暴露的工控設施，一旦發生蠕蟲攻擊，那么它的傳播趨勢是怎樣的？當發現后加入一些響應，比如打補丁、使用防火墻隔離或者斷開網絡連接，會對傳播趨勢有什么樣的影響？這實際上是數學模型可以描述的，可以對攻擊趨勢進行預測分析。