解析工業互聯網安全態勢感知核心技術*

趙一凡 尹肖棟 林逸風

(浙江省電子信息產品檢驗研究院，浙江杭州 310007)

0 引言

對作為國民經濟命脈與基礎的工業而言，以物聯網和云計算為代表的技術的出現，推動自身朝著信息化、智能化的方向前進，在此背景下，數據互聯、共享與融合，逐漸成為工業發展的主流趨勢。隨著產業鏈協同創新能力的提升，工業互聯網的安全形勢更加嚴峻，如何為工業互聯網的安全性提供有力保障，已引起越來越多人的關注。

1 工業互聯網安全發展現狀

1.1 網絡安全

對工業互聯網而言，網絡安全指的是以通信網絡為載體，對數據進行傳輸時，可能出現的安全問題，例如，控制網絡存在漏洞。如果以互聯網的視角為切入點，對標準標識適用解析系統加以應用，通常存在全新攻擊方式形成的可能；如果以工業企業的視角為切入點，要想增加自身效益，推動網絡朝著一體化和扁平化方向前進是必然選擇，由此而引發的問題，便是為網絡安全提供全面防護的難度不斷增大，僵、木、蠕也擁有了滋生的溫床。

1.2 平臺安全

對工業互聯網適用平臺進行建設所依托技術以邊緣計算為主，該技術可使核心數據得到有效匯聚，例如，物聯網、工業控制系統所提供數據，隨著平臺連接系統與設備數量的增加，對其進行安全防護的難度與日俱增[1]。除此之外，以虛擬化技術為代表的多項技術的出現，同樣加劇了平臺的脆弱性，由此而引發的問題，主要表現為虛擬機逃逸，圍繞其展開討論，現實意義不言而喻。

1.3 控制安全

工業控制系統的應用方向，主要是電力、市政和軌道交通，因此，該系統又被稱為工業生產的大腦。信息時代的到來，加快了信息技術更新換代的速度，以太網技術開始為人們所熟知，與此同時，該系統所存在漏洞的數量也在不斷增加，控制安全受到威脅的情況無法避免。

1.4 設備安全

這里的設備主要是指與工業互聯網相連的終端設備，例如，攝像頭、智能空調等。上文所提及設備均將嵌入式技術視為首選技術，雖然壓縮了設備體積，卻由于無法精確計算所需參數，而導致安全機制始終難以發揮出應有作用，這便是工業互聯網被大批利用，甚至出現僵尸網絡的主要原因[2]。

1.5 其他要素

除上文所提及要素外，數據安全也是不容忽視的部分。工業互聯網所用數據，不僅有常見的生產數據和管理數據，還有測試數據與供應鏈數據。對處于傳輸或存儲環節的數據而言，一旦出現被竊取或篡改的情況，不僅工業生產會受到影響，工人安全也會受到威脅。由此可見，對采集、分析和存儲數據的流程加以規范，根據安全風險評估結果，確定能夠最大程度避免數據外泄的方案，將是未來一段時間研究的重點。

2 安全態勢感知設計思路

在優化網絡現有安全防護能力方面，利用相關技術，對安全態勢感知進行建設，具有重要意義。現階段，智能制造成為社會前進的主要方向，這也使工業呈現出了更為矚目的智能化、數字化與網絡化水平，相關人員應將頂層設計視為工作重心，在現行規范及產業需求的指導下，對感知平臺的架構與能力進行設計，通過對預警通報、安全監測等技術加以利用的方式，確保企業態勢始終處于可感可知狀態，為日后監管工作的開展提供便利。

對感知平臺能否發揮應有功能起決定作用的主體為管理人員，詳細來說，就是以感知平臺得到高效建設為前提，通過全面監管的方式，確保異常情況、安全威脅可獲得及時預警[3]。除此之外，還有兩方面內容需要引起重視：(1)加大管理網絡運營安全性的力度，以實際情況為依據，調整現有管理制度，酌情引入預警機制，確保安全決策科學、應急響應有效。(2)面向管理人員定期組織培訓，使管理人員擁有良好的素質與能力，可快速處理安全事件，真正做到事中阻斷威脅和事后追溯威脅產生源頭，避免類似情況再次出現。

3 安全態勢感知架構與能力

3.1 技術架構

(1)采集數據。對工業數據進行采集的特征是利用現有通信手段，對不同系統、設備及產品進行接入，在確保采集數據滿足深層次、大范圍條件的前提下，根據異構數據獨有邊緣處理和協議轉換，對感知平臺所需數據基礎進行構建。南京某公司研發采集探針，現已得到較大范圍的推廣和利用，該探針可對大部分工業協議進行識別，例如，S7、MMS等，在此基礎上，通過深入剖析相關協議的方式，確保所采集數據能夠被轉換為有效格式，從而達到向平臺進行輸出的目的。(2)處理數據。原始數據無法做到來源統一，其格式、質量及內容均有明顯差異存在，此外，在表達語義、存儲形式等方面，同樣有所不同，異常、重復及錯誤數據均占有一定比重，只有提前對原始數據進行處理，才能避免后續的挖掘與分析環節，受到不必要影響，結果自然更加準確。綜上，對態勢進行正式分析前，工作重心應當放在統一化、規格化處理數據上，這樣做可使數據質量得到改進，日后所開展分析工作的質效及準確性，通常能夠出現較大幅度的提高。現階段，被用來對數據進行預處理的方法，主要是清理算法，該方法可將異構數據轉變為結構數據，在降低處理難度的基礎上，利用聚類分析法，確保報警記錄能夠得到科學壓縮，冗余消除。隨后，以重新審核數據為前提，通過科學篩選并排序的方式，獲得可對數據關系進行準確反映的基礎圖譜。(3)存儲數據。存儲數據為索引提供便利，二者又為日后的監測和匯聚數據提供了便利。對工業互聯網而言，可使安全態勢得到感知的技術，其核心模塊往往是知識庫，而功能完備的知識庫，通常由多個部分組成，例如，漏洞庫與指紋庫，其中，指紋庫的記錄對象，主要有工業設備、惡意組織及行為等[4]。(4)建模分析。建模的意義是對知識庫和經過預處理的數據進行分析，提取可對安全信息加以反映的相關性數據，在建立數學模型的基礎上，利用現有算法，深入分析工業互聯網所涉及資產信息、標識信息與攻擊信息，確保數據關聯、威脅態勢均可得到直觀展示。另外，以獲取表明威脅狀態的數據為前提，先對不同條件及場景進行設定，再綜合考慮網絡歷史、當前安裝狀態，確定分析模型，在網絡威脅、資產脆弱性的輔助下，按部就班的展開態勢預測工作，通常可以取得事半功倍的效果，網絡發展趨勢也能夠得到直觀反映。(5)展示數據。利用可視化技術對態勢感知平臺加以完善，以可視化圖形為依托，向用戶展示網絡態勢狀況，充分利用人類對圖像、圖形加以處理的能力，能夠確保攻擊源、工控資產與攻擊事件得到直觀展示。與此同時，管理人員還可以利用可視化界面，對數據關聯性進行查詢，使后續工作擁有更加明確的目標及方向。

3.2 核心能力

(1)管理資產。工業互聯網用來感知安全態勢的平臺，通常配有資產指紋庫，只需要對比指紋，就能夠準確識別網絡涉及OT及IT信息，以互聯網頁面為載體，對企業網絡拓撲進行實時呈現。將資產信息錄入數據庫所用技術，主要有自動發現IP、識別指紋及數據同步，事實證明，這樣做可使管理范圍擴大，資產流量、活躍情況、訪問行為、協議與端口狀態，均被涵蓋在內，而具備識別條件的資產，也逐漸延伸至工業數據、互聯網平臺和相關軟件等領域。(2)預測安全態勢。眾所周知，要想使網絡主動對安全進行方位，預測安全態勢是不可缺少的重要一環。本文所討論平臺，選擇以大量報警數據為依據，對黑客入侵所遵循規律加以掌握，再結合入侵前奏，對尚未發生的入侵行為進行預測，而預測內容，主要集中在三個方面，分別是：入侵目的，可能發生的入侵行為，給設備帶來的影響。實踐經驗表明，只有做到分析過去，才能使入侵行為得到準確預測，從而采取切實可行的措施，確保入侵行為被及時阻止，避免更嚴重后果的產生。(3)感知僵、木、蠕的態勢。無論是對互聯網，還是企業內部網絡而言，僵尸網絡、木馬、還有蠕蟲病毒、三者所帶來危害均極為巨大。本文所討論平臺，結合僵、木、蠕所展現出傳播特征，對處于傳播狀態的僵木蠕加以識別，通過追蹤控制命令與傳播路徑的方式，確定服務器，在此基礎上，以服務器為載體，對受控主機進行反查，真正做到了感知僵木蠕的態勢，日后所開展打擊行動，自然擁有更加良好的基礎[5]。(4)分析事件態勢及關聯性。經過預處理的安全事件，通常要結合區域防護能力、網絡攻擊情況，完成關聯分析環節，再以互聯網為依托，使分析結果得到直觀顯示。一般來說，對事件關聯進行分析所用技術，以貝葉斯網絡與決策樹為主。如果評估主體是網絡安全態勢，其重點往往是網絡展現出的安全狀態，詳細來說，就是以安全屬性記錄為依據，確保用戶可對網絡狀態進行準確評判，再根據網絡安全未來一段時間的發展方向，為管理人員提供決策制定、準備防護方案所需目標。在條件允許的情況下，以模糊推理和神經網絡為代表的技術，同樣可被用來對態勢進行評估，綜合考慮多方因素，在科學推理規則的前提下，確保所獲得判斷結果真實而有效。(5)監測工業網絡的入侵情況。從本質上來說，工業控制系統是生產運行系統之一，具備可用性、實用性突出的現場控制層，由此可見，針對動態信息對防護結構進行建立很有必要。本文所討論平臺創造性的增加了監測網絡入侵的模塊，通過全面分析入侵數據的方式，確保告警信息可及時傳遞給管理人員。另外，入侵反應以異常警報、攻擊警報為依據，在對安全態勢進行評估的基礎上，擬定切實可行的安全策略，可使入侵攻擊所帶來影響得到緩解。一般來說，入侵反應分為決策制定與執行，前者將監測警報視為基礎，綜合考慮控制系統需要達成的目標和面對的約束，對安全策略進行持續優化。而后者的作用，主要是整合以功能安全、信息安全為主體的策略，確定可發揮出理想作用的實施方案。對上述工作加以落實時，對入侵攻擊可能帶來的危害進行評估很有必要，若系統用于入侵反應的成本高于信息攻擊可能造成的經濟損失，管理人員應考慮反應措施是否有采取的意義，避免過度反應出現。

4 安全態勢感知技術發展方向

在信息社會，要想使現有技術得到快速發展，由大數據所衍生出感知安全態勢的技術，通常發揮著十分重要的作用。由上述內容可知，信息安全面臨著不同以往的挑戰與威脅，這在無形中提高了安全防護的難度，迄今為止，大部分企業均不具備抵御大規模APT攻擊的能力，只有全網聯動，才能使安全防御發揮出應有作用。

若以大數據為基礎，對安全態勢進行感知，其關鍵是將監測節點部署在有監測需求的區域，在實時監控的基礎上，針對潛在攻擊行為做出預警，使規模化防護的設想成為現實。而未來一段時間內，圍繞感知技術展開的研究，將以規模化防護為核心，其研究內容也將集中在以下幾下方面：

(1)流量清洗，通過徹底清洗系統防護設備的方式，對風險進行監控與防御；(2)蜜罐監測，該技術強調以構建蜜罐為前提，在誘捕所存在攻擊的基礎上，采集全新樣本，以此來達到降低風險的目的；(3)云防護網絡，待云防護節點的部署工作告一段落，用戶便可享受到安全預警、抗DDOS服務。

5 結語

通過對上文所敘述內容進行分析能夠看出，在設計初期，工業控制系統便有安全漏洞存在，受多方因素制約，大部分使用者均不會主動選擇改造或升級系統，這便是工控網絡經常受到攻擊的原因。上文所討論平臺，可使網絡安全態勢得到準確且直觀的呈現，通過對惡意攻擊進行監測的方式，凸顯網絡工具的條理性及主動性，事實證明，在預防與監測安全態勢方面，該平臺有十分突出的效能。