基于流量探針技術的工業企業側網絡安全態勢感知模型研究

樊榮

（江西省網絡安全研究院，江西 南昌 330019）

0 引言

工業是國民經濟發展中重要的基礎產業，是經濟發展和社會進步的基石。隨著我國工業行業由傳統產業向數字化、網絡化和智能化轉型升級，網絡安全威脅也日益向工業領域蔓延。然而，當前我國工業信息安全總體形勢仍不容樂觀。以美國為首的西方國家一方面加大力度進行網絡安全建設，不斷強化網絡安全監管和防御能力，不斷壯大網絡安全人才隊伍，工業信息安全監管邁向落地階段，并促進工業信息安全供應鏈本土化，另一方面也利用其領先地位和強大的經濟實力不斷在網絡空間進行滲透。為此，按照國務院《關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》要求，為加快構建工業互聯網安全保障體系，提升工業互聯網安全保障能力，促進工業互聯網高質量發展，推動現代化經濟體系建設，護航制造強國和網絡強國戰略實施，工業和信息化部、教育部等十部委又印發了關于《加強工業互聯網安全工作的指導意見》的通知，通知進一步圍繞工業互聯網安全技術保障平臺建設提出要求，打造整體態勢感知能力。從監測對象覆蓋范圍來看，態勢感知能力涉及多個角度，如針對工業互聯網網絡關鍵節點的，針對工業互聯網平臺側的，針對工業企業側的等。因此，研究針對企業側的工業互聯網安全態勢感知系統，對推進整體態勢感知能力，具有重要意義。

1 工業企業側網絡安全態勢感知平臺模型

1.1 設計目標

工業企業側網絡安全態勢感知屬于工業互聯網安全整體態勢感知能力的一部分，側重于對重要工業企業的重要網絡節點及關鍵位置的網絡流量進行全面細致的監聽和采集，通過工業互聯網環境主網絡對工業監控軟件、工業組態軟件、工業控制器（PLC、RTU、DTU）以及其他工業互聯網設備之間的通信數據實現集中監控。同時，還應設計數據通信接口，支持將采集分析的數據同步至區域級或行業級的綜合態勢感知網絡或平臺中，為大數據分析提供重要的數據支撐，以便提升數據分析能力和風險研判能力。

1.2 模型框架

工業企業側網絡安全態勢感知模型設計，應考慮提供統一、集中的監控分析平臺，通過實時收集與統計部署在各個網絡節點的流量探針系統上報的各類日志數據，提供海量數據的聚合、分類與可視化集中展現。同時，實現對探針系統的策略、規則集中管理與統一下發，并可以做到資產管理、報告生成等功能。將數據采集、實時上報、關聯分析、安全報告等形成閉環。總體模型如下圖1所示：

圖1 工業企業側網絡安全態勢感知模型

其中流量探針系統將工業企業現場控制系統的重要核心節點流量通過鏡像方式進行采集，并發送至威脅分析引擎，經過對工控行為與協議的深度解析，匹配行為庫規則，對異常行為報警，并將所有日志數據統一采集匯總，集中在數據存儲系統中，通過數據檢索引擎實現統一檢索。

2 流量探針模型

2.1 探針系統架構

因流量探針系統能夠采集到工業企業核心網絡節點處的數據，如將該部分流量數據實時上傳后再全面分析，存在網絡被惡意監聽、數據被截獲解析的風險，造成工業企業生產工藝和關鍵數據泄露的隱患。此外，大型工業企業往往需要部署大量探針，各探針如果均采用全流量實時上傳，將出現帶寬瓶頸和后端平臺處理性能瓶頸問題。因此，需要在流量探針中設計一套分析系統，實現基礎的分析能力。流量探針中的分析系統架構如下圖2所示：

圖2 流量探針分析系統架構

為了便于部署，流量探針系統可以采用軟硬件一體化設計，當然，在使用了虛擬化技術的環境下，也可以用純軟件方式部署在虛擬機中。流量探針以分析系統采集分析組件為核心，實時采集、分析、統計及存儲網絡數據。同時，還需要設計可視化分析、配置組件、控制臺組件與前端服務組件，控制臺組件建議采用 C/S技術架構，前端服務組件建議使用B/S技術架構。當用戶需要監控分析指定的目標網絡時，則可通過控制臺連接到服務器，進行遠程實時分析和回溯分析，控制臺要支持與服務器進行一對多并發連接。用戶通過前端服務組件可實現對流量數據的直接管理，并進行各類統計查詢。

2.2 探針關鍵能力設計

部署在工業企業的流量探針系統要充分發揮作用，離不開一些關鍵能力的實現，主要包括以下幾個方面：

（1）工控協議深度檢測能力。工業控制系統中各設備廠商大量采用私有協議，導致無法使用傳統的IT協議分析技術對其解析，因此需有針對性地采用工業控制協議安全深度解析技術，實現常用工控協議的深度解析，并對所有行為進行指令級解析后做審計，生成完整的行為記錄，便于事后回溯。相關解析能力包括：支持OPC協議的深度包檢測、OPC動態端口開放，報文格式和完整性檢查；支持Ethernet/IP、Modbus/TCP、IEC104、DNP3、Profinet、MMS、S7、GOOSE、SV等工控協議的深度檢測，例如報文格式檢查、功能碼控制、寄存器控制、連接狀態控制等的檢測。

（2）異常流量檢測能力。異常流量檢測，應在不影響網絡性能的前提下進行，提供對內外部攻擊和誤操作的實時告警。異常流量檢測是通過從工控計算機網絡系統中的若干關鍵點收集信息并對其進行分析，從中發現違反安全策略的行為和遭到攻擊的跡象，并做出自動的響應。其主要功能是對用戶和系統行為的監測與分析、系統配置和漏洞的審計檢查、重要系統和數據文件的完整性評估、已知的攻擊行為模式的識別、異常行為模式的統計分析、操作系統的審計跟蹤管理及違反安全策略的用戶行為的識別。入侵檢測通過迅速地檢測入侵，在可能造成系統損壞或數據丟失之前，識別并驅除入侵者，使系統盡快迅速恢復正常工作，并且阻止入侵者進一步的行動。同時，收集有關入侵的技術資料，用于改進和增強系統抵抗入侵的能力。

（3）工控行為和協議規則自學習能力。為了提高風險告警的準確度，可使用具有自學習能力的模型和算法，在用戶處置告警信息時，對多次忽略或頻繁關注的告警信息進行統計分析，動態更新告警黑白名單，更新時還可引入交互確認機制。同時可提供基于元數據的網絡行為配置能力，對特定復雜環境下正常和異常的操作行為或場景，使用簡單、輕量級的語法規則描述語言進行預設，結合深度解析工控協議能力，降低風險告警的誤報率和漏報率。通過綜合對多個操作行為進行時間關聯分析，按照主動防御的觀點來判斷其是否實際存在入侵、攻擊等威脅，檢查潛在威脅在不同組件之間的相互關系。

（4）工控資產梳理及畫像能力。通常情況下，想要獲取工控資產的詳細準確信息，一般是需要發送滿足響應協議規范的數據包，并取得目標的返回信息后才能實現，而在采用流量探針技術的情況下，要實現資產的管理和畫像，就必須提供便捷的交互通道，開放錄入、導入接口。同時設計新增活躍主機預警機制，通過對網絡中主機設備通訊情況采集上報分析，及時發現新增活躍主機，基于系統內置標簽引擎，對主機 MAC 廠商、IP 特性、數據包分布、傳輸模式、報文類別、負載特性、操作系統、軟件版本、數據方向、會話協議、端口訪問、通信頻率、通訊模式等網絡行為進行標記，形成包含大量工控畫像標簽的網絡畫像標簽庫。通過畫像標簽構建工控資產畫像和資產關系，并提供資產相關的網絡畫像圖譜展示能力，實現端口服務、通訊關系、威脅事件、組件信息多種類型數據分類。為了便于管理，在設計可視化能力時，可以將資產按照預設的網段進行分類，網段內有內訪關系的設備用直線進行連接，有外訪關系的通過列表展示，以便對資產間的通聯訪問關系進行清晰直觀的展現。

（5）全流量網絡回溯分析能力。在異常數據分析發現重要線索時，往往需要再次對歷史數據進行異常行為回查才能取得進一步線索，探針的作用其實和視頻監控的作用類似，探針設備應具備充足的存儲空間，以存儲一定時間段內的網絡全流量，并在此基礎上提供全流量網絡回溯分析能力。例如設計對存儲的數據流、會話及應用日志等各種統計數據進行快速檢索功能，并對已經發生的網絡行為、應用數據和主機數據進行回溯分析，為迅速定位問題發生原因提供更全面的分析依據。

3 應用效果

目前，該模型已經在江西省省級工業互聯網安全態勢感知平臺項目中得到應用，并延伸至江西省上饒市、九江市、萍鄉市等市級工業互聯網安全態勢感知平臺中進行推廣應用。覆蓋了對應轄區內數十家規上工業企業，自投運以來，各項功能運行正常，效果良好。

4 結語

本文分析了基于流量探針技術的工業企業側網絡安全態勢感知平臺層次化模型，重點介紹了流量探針系統的架構和關鍵功能設計思路，提出了要打造工控協議深度檢測、異常流量檢測、工控行為和協議規則自學習、工控資產梳理及畫像以及全流量網絡回溯分析等五大能力。該模型的應用，可以打通工業企業安全數據孤島，匯集工業企業安全數據，從而實現工業互聯網安全監測與感知，在不影響工業企業業務運行的情況下，實現多種技術手段采集數據，建立網絡多節點的數據安全交換模式，建成通報預警資源和基礎數據平臺，做到全天候感知工業企業控制系統安全狀況，有效預知威脅信息。