基于蜜網(wǎng)的工業(yè)互聯(lián)網(wǎng)協(xié)同檢測技術研究

【摘   要】 本文根據(jù)工業(yè)互聯(lián)網(wǎng)的運行特點，提出了一種基于蜜網(wǎng)的工業(yè)互聯(lián)網(wǎng)安全檢測評估方法。該方法對于滿足工業(yè)企業(yè)保障網(wǎng)絡安全的需求，構建有效的工業(yè)互聯(lián)網(wǎng)安全防護體系具有一定的借鑒意義。

【關鍵詞】 工業(yè)互聯(lián)網(wǎng) 蜜網(wǎng) 協(xié)同檢測

1 引言

工業(yè)信息化是世界各國21世紀先進制造業(yè)的重要發(fā)展方向。為引導制造業(yè)升級，近年我國相繼發(fā)布了《“工業(yè)互聯(lián)網(wǎng) + 安全生產(chǎn)”行動計劃（2021—2023年）》等發(fā)展綱要[1]，努力實現(xiàn)重點工業(yè)領域的智能轉(zhuǎn)型。工業(yè)互聯(lián)網(wǎng)平臺作為工業(yè)智能化發(fā)展的核心載體，實現(xiàn)了海量異構數(shù)據(jù)匯聚與建模分析、工業(yè)制造能力標準化與服務化、工業(yè)經(jīng)驗知識軟件化與模塊化以及各類創(chuàng)新應用開發(fā)與運行，支撐了生產(chǎn)智能決策、業(yè)務模式創(chuàng)新、資源優(yōu)化配置和產(chǎn)業(yè)生態(tài)培育。

而隨著工業(yè)信息化戰(zhàn)略的逐步推進，各種針對工業(yè)控制系統(tǒng)的安全攻擊事件頻發(fā)，尤其是“震網(wǎng)”“火焰” “毒區(qū)”等APT攻擊的出現(xiàn)，充分反映出工業(yè)互聯(lián)網(wǎng)領域中安全威脅日益嚴峻�，F(xiàn)有工業(yè)互聯(lián)網(wǎng)系統(tǒng)架構缺乏有效的安全防護體系，在當前智能開放的大背景下，工業(yè)互聯(lián)網(wǎng)制造生產(chǎn)線中的控制、采集、監(jiān)控及質(zhì)量檢測設備、現(xiàn)場總線以及ERP，PDM，MES，OA等企業(yè)信息系統(tǒng)（EIS）中的核心數(shù)據(jù)，如工藝數(shù)據(jù)、生產(chǎn)數(shù)據(jù)資料、質(zhì)量測量數(shù)據(jù)等都隨時可能被攻擊者竊取或篡改破壞。如何保障工業(yè)互聯(lián)網(wǎng)的安全性，防范工業(yè)互聯(lián)網(wǎng)智能制造生產(chǎn)線中的安全威脅，避免敏感工業(yè)數(shù)據(jù)被不法分子利用，是關系國家安全的重大命題。

本文以工業(yè)互聯(lián)網(wǎng)網(wǎng)絡化協(xié)同制造平臺為研究對象，提出一種基于蜜網(wǎng)的工業(yè)互聯(lián)網(wǎng)協(xié)同檢測技術，通過在工業(yè)互聯(lián)網(wǎng)的邊緣層部署配置多個誘餌蜜罐系統(tǒng)設施[2]，利用重定向器將攻擊信息進行統(tǒng)一收集和分析，結(jié)合上層的威脅特征提取檢測技術，建立工業(yè)互聯(lián)網(wǎng)協(xié)同檢測機制，及時識別威脅、阻斷威脅攻擊，并針對工業(yè)互聯(lián)網(wǎng)平臺安全狀態(tài)進行安全評估，提升現(xiàn)有工業(yè)互聯(lián)網(wǎng)平臺的安全防護和預警能力。

2 系統(tǒng)架構

蜜網(wǎng)是指在同一監(jiān)測網(wǎng)絡中配置多個誘餌節(jié)點的蜜罐系統(tǒng)形態(tài)。多個蜜罐誘餌節(jié)點的設置通常參考真實業(yè)務環(huán)境，不同的業(yè)務場景有不同的網(wǎng)絡拓撲、工作流程及狀態(tài)更新和控制需求。蜜網(wǎng)由于其高復雜度的誘餌環(huán)境特點，可為研究監(jiān)測攻擊行為的入侵及傳播方式提供更多深層次信息。

基于蜜網(wǎng)的工業(yè)互聯(lián)網(wǎng)協(xié)同檢測技術的整體設計思想為：通過部署分布式蜜罐系統(tǒng)構建真實工控蜜網(wǎng)場景，誘捕攻擊者進行攻擊，從而探測發(fā)掘異常流量，并將異常流量重定向至安全分析層，結(jié)合海量威脅情報進行關聯(lián)分析，實現(xiàn)對攻擊者的多維度畫像，獲得攻擊者和攻擊組織最全面的攻擊信息。通過對攻擊流量特征進行提取，充分融合工業(yè)互聯(lián)網(wǎng)復雜的網(wǎng)絡拓撲結(jié)構信息，可實現(xiàn)對工業(yè)互聯(lián)網(wǎng)系統(tǒng)的安全態(tài)勢進行定量分析。

如圖1所示，系統(tǒng)整體架構采用的是PDRR分層設計原則，可分為數(shù)據(jù)捕獲、數(shù)據(jù)存儲、安全分析及安全評估4層，各層功能簡要描述如下。

（1）數(shù)據(jù)捕獲層：該層主要通過部署在各監(jiān)控子網(wǎng)的蜜罐系統(tǒng)，結(jié)合具有重定向功能監(jiān)測探針，完成外部攻擊行為的數(shù)據(jù)采集，具體包括：數(shù)據(jù)記錄、數(shù)據(jù)抓取、數(shù)據(jù)過濾、數(shù)據(jù)轉(zhuǎn)發(fā)等功能。最終將該網(wǎng)絡中所有受監(jiān)控的可疑流量數(shù)據(jù)重定向到蜜網(wǎng)控制中心。

（2）數(shù)據(jù)存儲層：針對回傳的蜜網(wǎng)攻擊行為監(jiān)測數(shù)據(jù)，對其進行初步數(shù)據(jù)清洗、融合等處理，并基于威脅情報、行為解析、事件關聯(lián)、狀態(tài)評估等關鍵技術實現(xiàn)統(tǒng)一蜜網(wǎng)數(shù)據(jù)融合與存儲。

（3）安全分析層：針對工業(yè)互聯(lián)網(wǎng)網(wǎng)絡中的潛在威脅，通過在網(wǎng)絡中分布式部署蜜網(wǎng)威脅監(jiān)測體系收集得到的多層次網(wǎng)絡流量，運用智能學習分析技術，同時結(jié)合數(shù)據(jù)交互，非法接入識別、非法掃描識別、非法探測、非法操作行為識別等方式，分析識別數(shù)據(jù)流量中的惡意行為和未知威脅。

（4）安全評估層：梳理關聯(lián)后的多元化安全行為事件集，構建威脅監(jiān)測技術體系。從不同粒度對系統(tǒng)的安全狀況進行評估，實現(xiàn)從輸入狀態(tài)到輸出狀態(tài)空間的非線性映射，對系統(tǒng)威脅和脆弱性的發(fā)展趨勢、網(wǎng)絡局部和整體安全狀況的發(fā)展狀況進行預測并對實際業(yè)務進行預警防護。

3 詳細模塊設計

3.1 數(shù)據(jù)捕獲層

數(shù)據(jù)捕獲層主要通過部署分布式蜜罐系統(tǒng)形成蜜網(wǎng)，從而構建真實工控場景，誘捕惡意攻擊行為，并探測發(fā)掘異常流量將其重定向到蜜網(wǎng)控制中心。

蜜網(wǎng)中攻擊數(shù)據(jù)感知與捕獲單元由多個不同類型的工控蜜罐組成，這些蜜罐分布于工業(yè)互聯(lián)網(wǎng)系統(tǒng)中，并構建形成真實工控場景，可24小時不間斷捕獲網(wǎng)絡空間中針對工控設備的掃描。分布式蜜罐系統(tǒng)是數(shù)據(jù)俘獲層的基礎，是整個系統(tǒng)的數(shù)據(jù)來源。合理的蜜罐設置及部署，有助于迷惑攻擊者，更多地捕獲惡意攻擊行為數(shù)據(jù)。為更好捕獲惡意攻擊行為，蜜網(wǎng)中可聯(lián)合部署低交互和高交互蜜罐系統(tǒng)。其中低交互蜜罐只是以最簡的方式擴展協(xié)議類型，誘騙更多的攻擊者或空間搜索引擎的掃描，監(jiān)聽工業(yè)控制協(xié)議端口，不進行任何協(xié)議交互，只記錄攻擊者的協(xié)議請求數(shù)據(jù)包和攻擊者IP信息。高交互蜜罐可通過定制開源工業(yè)控制蜜罐實現(xiàn)，包含會話管理、協(xié)議交互、模板調(diào)度和日志配置等。其中會話管理是高交互蜜罐的核心模塊，它采用事件隊列的方式，將攻擊事件保存在隊列，對外提供獲取會話的方法。協(xié)議交互模塊提供多種工控協(xié)議仿真功能，并對外提供統(tǒng)一調(diào)用接口，保證協(xié)議服務的調(diào)用的統(tǒng)一性。協(xié)議交互模塊實質(zhì)上是作為協(xié)議實現(xiàn)的服務器實例，通過監(jiān)聽相應的協(xié)議端口，處理攻擊者發(fā)送的請求信息。信息的處理方式采用函數(shù)回調(diào)機制，保證消息處理的函數(shù)自定義化。

數(shù)據(jù)捕獲層工作流程如圖2所示，高交互蜜罐的處理流程圍繞高交互蜜罐主程序進行，將各個模塊進行協(xié)同工作，當攻擊者連接高交互蜜罐時，會生成連接會話。會話管理服務將每次會話加入會話隊列，為不同協(xié)議服務提供查詢接口。根據(jù)不同攻擊協(xié)議端口，調(diào)用不同協(xié)議服務實例。每個服務實例都設置線程池，當查詢到對應的協(xié)議會話時，會開辟新的線程進行處理。處理過程采用回調(diào)機制，將處理完的結(jié)果返回給主程序。攻擊者發(fā)送連接數(shù)據(jù)包或請求數(shù)據(jù)包時，會話管理和回調(diào)函數(shù)都會產(chǎn)生日志并本地化，并定向上傳到蜜網(wǎng)控制中心。

3.2 數(shù)據(jù)存儲層

工業(yè)互聯(lián)網(wǎng)的蜜網(wǎng)監(jiān)測流量數(shù)據(jù)形式復雜多樣，呈現(xiàn)典型的數(shù)據(jù)“多源異構”的特征。不同的蜜網(wǎng)監(jiān)測單元由于其所在硬件設備及對應操作系統(tǒng)的不同，如有可能來自于多個數(shù)據(jù)源并涵蓋系統(tǒng)的不同層次，這使得其數(shù)據(jù)的產(chǎn)生時間、使用場所、代碼協(xié)議，乃至最終蜜網(wǎng)監(jiān)測數(shù)據(jù)的存儲模式和邏輯結(jié)構也差別巨大。

一般來說，實際蜜網(wǎng)監(jiān)測數(shù)據(jù)可能同時包含結(jié)構化、半結(jié)構化和非結(jié)構化數(shù)據(jù)。其中，結(jié)構化數(shù)據(jù)指關系模型數(shù)據(jù)，即以關系數(shù)據(jù)庫表形式管理的數(shù)據(jù)；半結(jié)構化數(shù)據(jù)指非關系模型的、有基本固定結(jié)構模式的數(shù)據(jù)，如日志文件、XML文檔、JSON文檔、E-mail等；而非結(jié)構化數(shù)據(jù)指沒有固定模式的數(shù)據(jù)，如一些傳感器數(shù)據(jù)、文本數(shù)據(jù)等。不同類型的數(shù)據(jù)在數(shù)據(jù)捕獲過程中由于缺乏統(tǒng)一的標準，因此造成了數(shù)據(jù)“異構”的特征。為便于統(tǒng)一存儲管理，蜜網(wǎng)在采集時將數(shù)據(jù)輸出格式統(tǒng)一為JSON格式[3]。JSON具有簡潔清晰的層次結(jié)構，是理想的數(shù)據(jù)交換語言，易于閱讀和編寫，同時也易于機器進行生成和對內(nèi)容進行解析，可有效提升網(wǎng)絡傳輸效率，數(shù)據(jù)存儲流程如圖3所示。

鑒于蜜網(wǎng)所采集到的數(shù)據(jù)質(zhì)量難以保證，存在數(shù)據(jù)缺失、錯誤等問題。同時來自不同系統(tǒng)的數(shù)據(jù)格式也并不統(tǒng)一，需要先進行數(shù)據(jù)清洗才能進行后續(xù)數(shù)據(jù)的有效分析。數(shù)據(jù)清洗目的在于格式化數(shù)據(jù)，通過數(shù)據(jù)轉(zhuǎn)換方法將多源異構數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一的目標數(shù)據(jù)格式，形成統(tǒng)一規(guī)范。而后通過數(shù)據(jù)篩選、數(shù)據(jù)修復等手段提高數(shù)據(jù)的質(zhì)量，完成對不同數(shù)據(jù)指標之間的轉(zhuǎn)換計算。有時對工業(yè)互聯(lián)網(wǎng)平臺的蜜網(wǎng)數(shù)據(jù)進行清洗解析所得到的結(jié)構化數(shù)據(jù)中，存在某些多維特征集合共同表征某個特定的含義。因此數(shù)據(jù)清洗完后，還需要針對多源異構數(shù)據(jù)集合進行數(shù)據(jù)融合處理，以使得該特征數(shù)據(jù)在保留基本信息同時減少冗余。數(shù)據(jù)歸一化存儲目的是屏蔽數(shù)據(jù)之間類型和結(jié)構上的差異，解決多源異構數(shù)據(jù)的來源復雜、結(jié)構異構問題，有利于上層對數(shù)據(jù)管理和分析，實現(xiàn)用戶無差別訪問，充分發(fā)揮數(shù)據(jù)的價值。在具體數(shù)據(jù)存儲中，合理數(shù)據(jù)庫的選擇可以減少數(shù)據(jù)檢索的時間，提高數(shù)據(jù)查詢的準確度，是后續(xù)數(shù)據(jù)關聯(lián)分析處理的基礎。

3.3 安全分析層

安全分析層結(jié)合智能學習分析技術，深度識別蜜網(wǎng)數(shù)據(jù)流量中的惡意行為和未知威脅。本層可分為檢測建模和威脅識別兩個階段。其中檢測建模階段，主要采用基于控制行為聚類分析的業(yè)務模式智能學習分析技術，結(jié)合工業(yè)互聯(lián)網(wǎng)生產(chǎn)網(wǎng)絡通信主體控制報文交互特點，通過提取表征工業(yè)互聯(lián)網(wǎng)生產(chǎn)網(wǎng)絡通信業(yè)務報文的多維特征量，采用k-means聚類算法從大量工業(yè)互聯(lián)網(wǎng)樣本數(shù)據(jù)中挖掘出正常業(yè)務控制行為的類簇，建立工業(yè)互聯(lián)網(wǎng)生產(chǎn)網(wǎng)絡的正常業(yè)務行為特征庫。在威脅識別階段，則利用該特征庫對蜜網(wǎng)所捕獲的新生報文進行實時監(jiān)測以判斷是否是攻擊，安全分析層工作原理如圖4所示。

安全分析建模階段是從大量歷史工業(yè)互聯(lián)網(wǎng)通信業(yè)務網(wǎng)絡報文中提取業(yè)務行為的一組類似<控制域、應用層功能碼、指令方向、……、指令發(fā)送時間>等的n維特征向量，通過對這些特征向量的學習，使用k-means聚類分析算法，構建業(yè)務行為模型。通過k-means算法統(tǒng)計分析實際報文特征來進行業(yè)務指令行為的數(shù)據(jù)挖掘，完成聚類分析，使得同一類的業(yè)務行為被聚集到了相同的聚類子類中，實現(xiàn)對業(yè)務指令行為的功能分類。

k-means聚類子類形成了多類業(yè)務指令行為集，通過對明顯離群點或重復錯誤指令形成的聚類子類進行標記過濾，構建出業(yè)務的多層次特征集合，采用監(jiān)督型機器學習算法，如支持向量機算法（Support Vector Machine，SVM），對上述已標記的歷史報文集進行學習，構建出正常業(yè)務訪問模型。

在威脅識別階段，通過采用單模式匹配算法和DFA相結(jié)合的方式進行工業(yè)互聯(lián)網(wǎng)網(wǎng)絡流量高速解析及業(yè)務還原，構造實際系統(tǒng)運行過程中的業(yè)務指令特征向量，利用訓練階段建立的正常業(yè)務模型對監(jiān)測向量進行實時比對，如果新報文不屬于任何類簇，則判斷發(fā)生異常的指令級攻擊模式。

3.4 安全評估層

安全評估根據(jù)蜜網(wǎng)收集的攻擊行為數(shù)據(jù)，結(jié)合安全分析結(jié)果，對整體工業(yè)互聯(lián)網(wǎng)網(wǎng)絡安全狀態(tài)進行評估[4]。在本層中主要側(cè)重于工業(yè)互聯(lián)網(wǎng)的設備和通信安全，重點評估系統(tǒng)中的身份認證、訪問控制、安全審計、惡意代碼防范、資源控制、輸入輸出控制、漏洞檢測與修補、控制系統(tǒng)及應用軟件測試與代碼審計、設備內(nèi)置模塊檢測等方面，并根據(jù)工業(yè)互聯(lián)網(wǎng)實際應用場景的業(yè)務特點、實體結(jié)構和控制協(xié)議等進行測評項的細化，使得評估具有針對性，能更精準發(fā)現(xiàn)工業(yè)互聯(lián)網(wǎng)的安全漏洞、脆弱性，安全評估層工作流程如圖5所示。

在安全評估層主要采用層次分析法的分層思想，通過分析《工業(yè)控制系統(tǒng)信息安全防護指南》《信息安全技術 網(wǎng)絡等級保護基本要求》《信息安全技術 網(wǎng)絡等級保護測評要求》（等保2.0），以及《涉及國家秘密的信息系統(tǒng)分級保護測評指南》（分保）等相關標準和指南，結(jié)合目前工業(yè)互聯(lián)網(wǎng)生產(chǎn)線的業(yè)務需求及安全需求，結(jié)合工業(yè)互聯(lián)網(wǎng)生產(chǎn)線安全架構的特點，每個因素對應的指標將對應工業(yè)互聯(lián)網(wǎng)生產(chǎn)線安全架構中的各類安全機制，具體在應用中將參照等保2.0、分保等標準和指南中的規(guī)范，結(jié)合“工業(yè)互聯(lián)網(wǎng)漏洞挖掘分析及威脅辨識”等方法和技術對工業(yè)互聯(lián)網(wǎng)生產(chǎn)線進行漏洞挖掘分析和威脅辨識檢測，并利用所建立的漏洞庫和威脅模型對漏洞和威脅進行定性和定量分析，得到指標層及其打分依據(jù)。

4 結(jié)語

近年來，工業(yè)互聯(lián)網(wǎng)在高速發(fā)展的同時，安全形勢也愈發(fā)嚴峻。傳統(tǒng)安全防護方法已經(jīng)不能適應當前工業(yè)互聯(lián)網(wǎng)安全新形勢。本文根據(jù)工業(yè)互聯(lián)網(wǎng)的運行特點，提出了基于蜜網(wǎng)的工業(yè)互聯(lián)網(wǎng)安全檢測評估方法的研究思路。該思路對于滿足工業(yè)企業(yè)保障網(wǎng)絡安全的需求，構建有效的工業(yè)互聯(lián)網(wǎng)安全防護體系具有一定借鑒意義。 

 

（原載于《保密科學技術》2021年2月刊）