基于蜜網(wǎng)的工業(yè)互聯(lián)網(wǎng)協(xié)同檢測技術(shù)研究

【摘   要】 本文根據(jù)工業(yè)互聯(lián)網(wǎng)的運行特點，提出了一種基于蜜網(wǎng)的工業(yè)互聯(lián)網(wǎng)安全檢測評估方法。該方法對于滿足工業(yè)企業(yè)保障網(wǎng)絡(luò)安全的需求，構(gòu)建有效的工業(yè)互聯(lián)網(wǎng)安全防護體系具有一定的借鑒意義。

【關(guān)鍵詞】 工業(yè)互聯(lián)網(wǎng) 蜜網(wǎng) 協(xié)同檢測

1 引言

工業(yè)信息化是世界各國21世紀(jì)先進制造業(yè)的重要發(fā)展方向。為引導(dǎo)制造業(yè)升級，近年我國相繼發(fā)布了《“工業(yè)互聯(lián)網(wǎng) + 安全生產(chǎn)”行動計劃（2021—2023年）》等發(fā)展綱要[1]，努力實現(xiàn)重點工業(yè)領(lǐng)域的智能轉(zhuǎn)型。工業(yè)互聯(lián)網(wǎng)平臺作為工業(yè)智能化發(fā)展的核心載體，實現(xiàn)了海量異構(gòu)數(shù)據(jù)匯聚與建模分析、工業(yè)制造能力標(biāo)準(zhǔn)化與服務(wù)化、工業(yè)經(jīng)驗知識軟件化與模塊化以及各類創(chuàng)新應(yīng)用開發(fā)與運行，支撐了生產(chǎn)智能決策、業(yè)務(wù)模式創(chuàng)新、資源優(yōu)化配置和產(chǎn)業(yè)生態(tài)培育。

而隨著工業(yè)信息化戰(zhàn)略的逐步推進，各種針對工業(yè)控制系統(tǒng)的安全攻擊事件頻發(fā)，尤其是“震網(wǎng)”“火焰” “毒區(qū)”等APT攻擊的出現(xiàn)，充分反映出工業(yè)互聯(lián)網(wǎng)領(lǐng)域中安全威脅日益嚴(yán)峻。現(xiàn)有工業(yè)互聯(lián)網(wǎng)系統(tǒng)架構(gòu)缺乏有效的安全防護體系，在當(dāng)前智能開放的大背景下，工業(yè)互聯(lián)網(wǎng)制造生產(chǎn)線中的控制、采集、監(jiān)控及質(zhì)量檢測設(shè)備、現(xiàn)場總線以及ERP，PDM，MES，OA等企業(yè)信息系統(tǒng)（EIS）中的核心數(shù)據(jù)，如工藝數(shù)據(jù)、生產(chǎn)數(shù)據(jù)資料、質(zhì)量測量數(shù)據(jù)等都隨時可能被攻擊者竊取或篡改破壞。如何保障工業(yè)互聯(lián)網(wǎng)的安全性，防范工業(yè)互聯(lián)網(wǎng)智能制造生產(chǎn)線中的安全威脅，避免敏感工業(yè)數(shù)據(jù)被不法分子利用，是關(guān)系國家安全的重大命題。

本文以工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)化協(xié)同制造平臺為研究對象，提出一種基于蜜網(wǎng)的工業(yè)互聯(lián)網(wǎng)協(xié)同檢測技術(shù)，通過在工業(yè)互聯(lián)網(wǎng)的邊緣層部署配置多個誘餌蜜罐系統(tǒng)設(shè)施[2]，利用重定向器將攻擊信息進行統(tǒng)一收集和分析，結(jié)合上層的威脅特征提取檢測技術(shù)，建立工業(yè)互聯(lián)網(wǎng)協(xié)同檢測機制，及時識別威脅、阻斷威脅攻擊，并針對工業(yè)互聯(lián)網(wǎng)平臺安全狀態(tài)進行安全評估，提升現(xiàn)有工業(yè)互聯(lián)網(wǎng)平臺的安全防護和預(yù)警能力。

2 系統(tǒng)架構(gòu)

蜜網(wǎng)是指在同一監(jiān)測網(wǎng)絡(luò)中配置多個誘餌節(jié)點的蜜罐系統(tǒng)形態(tài)。多個蜜罐誘餌節(jié)點的設(shè)置通常參考真實業(yè)務(wù)環(huán)境，不同的業(yè)務(wù)場景有不同的網(wǎng)絡(luò)拓?fù)�、工作流程及狀態(tài)更新和控制需求。蜜網(wǎng)由于其高復(fù)雜度的誘餌環(huán)境特點，可為研究監(jiān)測攻擊行為的入侵及傳播方式提供更多深層次信息。

基于蜜網(wǎng)的工業(yè)互聯(lián)網(wǎng)協(xié)同檢測技術(shù)的整體設(shè)計思想為：通過部署分布式蜜罐系統(tǒng)構(gòu)建真實工控蜜網(wǎng)場景，誘捕攻擊者進行攻擊，從而探測發(fā)掘異常流量，并將異常流量重定向至安全分析層，結(jié)合海量威脅情報進行關(guān)聯(lián)分析，實現(xiàn)對攻擊者的多維度畫像，獲得攻擊者和攻擊組織最全面的攻擊信息。通過對攻擊流量特征進行提取，充分融合工業(yè)互聯(lián)網(wǎng)復(fù)雜的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)信息，可實現(xiàn)對工業(yè)互聯(lián)網(wǎng)系統(tǒng)的安全態(tài)勢進行定量分析。

如圖1所示，系統(tǒng)整體架構(gòu)采用的是PDRR分層設(shè)計原則，可分為數(shù)據(jù)捕獲、數(shù)據(jù)存儲、安全分析及安全評估4層，各層功能簡要描述如下。

（1）數(shù)據(jù)捕獲層：該層主要通過部署在各監(jiān)控子網(wǎng)的蜜罐系統(tǒng)，結(jié)合具有重定向功能監(jiān)測探針，完成外部攻擊行為的數(shù)據(jù)采集，具體包括：數(shù)據(jù)記錄、數(shù)據(jù)抓取、數(shù)據(jù)過濾、數(shù)據(jù)轉(zhuǎn)發(fā)等功能。最終將該網(wǎng)絡(luò)中所有受監(jiān)控的可疑流量數(shù)據(jù)重定向到蜜網(wǎng)控制中心。

（2）數(shù)據(jù)存儲層：針對回傳的蜜網(wǎng)攻擊行為監(jiān)測數(shù)據(jù)，對其進行初步數(shù)據(jù)清洗、融合等處理，并基于威脅情報、行為解析、事件關(guān)聯(lián)、狀態(tài)評估等關(guān)鍵技術(shù)實現(xiàn)統(tǒng)一蜜網(wǎng)數(shù)據(jù)融合與存儲。

（3）安全分析層：針對工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)中的潛在威脅，通過在網(wǎng)絡(luò)中分布式部署蜜網(wǎng)威脅監(jiān)測體系收集得到的多層次網(wǎng)絡(luò)流量，運用智能學(xué)習(xí)分析技術(shù)，同時結(jié)合數(shù)據(jù)交互，非法接入識別、非法掃描識別、非法探測、非法操作行為識別等方式，分析識別數(shù)據(jù)流量中的惡意行為和未知威脅。

（4）安全評估層：梳理關(guān)聯(lián)后的多元化安全行為事件集，構(gòu)建威脅監(jiān)測技術(shù)體系。從不同粒度對系統(tǒng)的安全狀況進行評估，實現(xiàn)從輸入狀態(tài)到輸出狀態(tài)空間的非線性映射，對系統(tǒng)威脅和脆弱性的發(fā)展趨勢、網(wǎng)絡(luò)局部和整體安全狀況的發(fā)展?fàn)顩r進行預(yù)測并對實際業(yè)務(wù)進行預(yù)警防護。

3 詳細(xì)模塊設(shè)計

3.1 數(shù)據(jù)捕獲層

數(shù)據(jù)捕獲層主要通過部署分布式蜜罐系統(tǒng)形成蜜網(wǎng)，從而構(gòu)建真實工控場景，誘捕惡意攻擊行為，并探測發(fā)掘異常流量將其重定向到蜜網(wǎng)控制中心。

蜜網(wǎng)中攻擊數(shù)據(jù)感知與捕獲單元由多個不同類型的工控蜜罐組成，這些蜜罐分布于工業(yè)互聯(lián)網(wǎng)系統(tǒng)中，并構(gòu)建形成真實工控場景，可24小時不間斷捕獲網(wǎng)絡(luò)空間中針對工控設(shè)備的掃描。分布式蜜罐系統(tǒng)是數(shù)據(jù)俘獲層的基礎(chǔ)，是整個系統(tǒng)的數(shù)據(jù)來源。合理的蜜罐設(shè)置及部署，有助于迷惑攻擊者，更多地捕獲惡意攻擊行為數(shù)據(jù)。為更好捕獲惡意攻擊行為，蜜網(wǎng)中可聯(lián)合部署低交互和高交互蜜罐系統(tǒng)。其中低交互蜜罐只是以最簡的方式擴展協(xié)議類型，誘騙更多的攻擊者或空間搜索引擎的掃描，監(jiān)聽工業(yè)控制協(xié)議端口，不進行任何協(xié)議交互，只記錄攻擊者的協(xié)議請求數(shù)據(jù)包和攻擊者IP信息。高交互蜜罐可通過定制開源工業(yè)控制蜜罐實現(xiàn)，包含會話管理、協(xié)議交互、模板調(diào)度和日志配置等。其中會話管理是高交互蜜罐的核心模塊，它采用事件隊列的方式，將攻擊事件保存在隊列，對外提供獲取會話的方法。協(xié)議交互模塊提供多種工控協(xié)議仿真功能，并對外提供統(tǒng)一調(diào)用接口，保證協(xié)議服務(wù)的調(diào)用的統(tǒng)一性。協(xié)議交互模塊實質(zhì)上是作為協(xié)議實現(xiàn)的服務(wù)器實例，通過監(jiān)聽相應(yīng)的協(xié)議端口，處理攻擊者發(fā)送的請求信息。信息的處理方式采用函數(shù)回調(diào)機制，保證消息處理的函數(shù)自定義化。

數(shù)據(jù)捕獲層工作流程如圖2所示，高交互蜜罐的處理流程圍繞高交互蜜罐主程序進行，將各個模塊進行協(xié)同工作，當(dāng)攻擊者連接高交互蜜罐時，會生成連接會話。會話管理服務(wù)將每次會話加入會話隊列，為不同協(xié)議服務(wù)提供查詢接口。根據(jù)不同攻擊協(xié)議端口，調(diào)用不同協(xié)議服務(wù)實例。每個服務(wù)實例都設(shè)置線程池，當(dāng)查詢到對應(yīng)的協(xié)議會話時，會開辟新的線程進行處理。處理過程采用回調(diào)機制，將處理完的結(jié)果返回給主程序。攻擊者發(fā)送連接數(shù)據(jù)包或請求數(shù)據(jù)包時，會話管理和回調(diào)函數(shù)都會產(chǎn)生日志并本地化，并定向上傳到蜜網(wǎng)控制中心。

3.2 數(shù)據(jù)存儲層

工業(yè)互聯(lián)網(wǎng)的蜜網(wǎng)監(jiān)測流量數(shù)據(jù)形式復(fù)雜多樣，呈現(xiàn)典型的數(shù)據(jù)“多源異構(gòu)”的特征。不同的蜜網(wǎng)監(jiān)測單元由于其所在硬件設(shè)備及對應(yīng)操作系統(tǒng)的不同，如有可能來自于多個數(shù)據(jù)源并涵蓋系統(tǒng)的不同層次，這使得其數(shù)據(jù)的產(chǎn)生時間、使用場所、代碼協(xié)議，乃至最終蜜網(wǎng)監(jiān)測數(shù)據(jù)的存儲模式和邏輯結(jié)構(gòu)也差別巨大。

一般來說，實際蜜網(wǎng)監(jiān)測數(shù)據(jù)可能同時包含結(jié)構(gòu)化、半結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)。其中，結(jié)構(gòu)化數(shù)據(jù)指關(guān)系模型數(shù)據(jù)，即以關(guān)系數(shù)據(jù)庫表形式管理的數(shù)據(jù)；半結(jié)構(gòu)化數(shù)據(jù)指非關(guān)系模型的、有基本固定結(jié)構(gòu)模式的數(shù)據(jù)，如日志文件、XML文檔、JSON文檔、E-mail等；而非結(jié)構(gòu)化數(shù)據(jù)指沒有固定模式的數(shù)據(jù)，如一些傳感器數(shù)據(jù)、文本數(shù)據(jù)等。不同類型的數(shù)據(jù)在數(shù)據(jù)捕獲過程中由于缺乏統(tǒng)一的標(biāo)準(zhǔn)，因此造成了數(shù)據(jù)“異構(gòu)”的特征。為便于統(tǒng)一存儲管理，蜜網(wǎng)在采集時將數(shù)據(jù)輸出格式統(tǒng)一為JSON格式[3]。JSON具有簡潔清晰的層次結(jié)構(gòu)，是理想的數(shù)據(jù)交換語言，易于閱讀和編寫，同時也易于機器進行生成和對內(nèi)容進行解析，可有效提升網(wǎng)絡(luò)傳輸效率，數(shù)據(jù)存儲流程如圖3所示。

鑒于蜜網(wǎng)所采集到的數(shù)據(jù)質(zhì)量難以保證，存在數(shù)據(jù)缺失、錯誤等問題。同時來自不同系統(tǒng)的數(shù)據(jù)格式也并不統(tǒng)一，需要先進行數(shù)據(jù)清洗才能進行后續(xù)數(shù)據(jù)的有效分析。數(shù)據(jù)清洗目的在于格式化數(shù)據(jù)，通過數(shù)據(jù)轉(zhuǎn)換方法將多源異構(gòu)數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一的目標(biāo)數(shù)據(jù)格式，形成統(tǒng)一規(guī)范。而后通過數(shù)據(jù)篩選、數(shù)據(jù)修復(fù)等手段提高數(shù)據(jù)的質(zhì)量，完成對不同數(shù)據(jù)指標(biāo)之間的轉(zhuǎn)換計算。有時對工業(yè)互聯(lián)網(wǎng)平臺的蜜網(wǎng)數(shù)據(jù)進行清洗解析所得到的結(jié)構(gòu)化數(shù)據(jù)中，存在某些多維特征集合共同表征某個特定的含義。因此數(shù)據(jù)清洗完后，還需要針對多源異構(gòu)數(shù)據(jù)集合進行數(shù)據(jù)融合處理，以使得該特征數(shù)據(jù)在保留基本信息同時減少冗余。數(shù)據(jù)歸一化存儲目的是屏蔽數(shù)據(jù)之間類型和結(jié)構(gòu)上的差異，解決多源異構(gòu)數(shù)據(jù)的來源復(fù)雜、結(jié)構(gòu)異構(gòu)問題，有利于上層對數(shù)據(jù)管理和分析，實現(xiàn)用戶無差別訪問，充分發(fā)揮數(shù)據(jù)的價值。在具體數(shù)據(jù)存儲中，合理數(shù)據(jù)庫的選擇可以減少數(shù)據(jù)檢索的時間，提高數(shù)據(jù)查詢的準(zhǔn)確度，是后續(xù)數(shù)據(jù)關(guān)聯(lián)分析處理的基礎(chǔ)。

3.3 安全分析層

安全分析層結(jié)合智能學(xué)習(xí)分析技術(shù)，深度識別蜜網(wǎng)數(shù)據(jù)流量中的惡意行為和未知威脅。本層可分為檢測建模和威脅識別兩個階段。其中檢測建模階段，主要采用基于控制行為聚類分析的業(yè)務(wù)模式智能學(xué)習(xí)分析技術(shù)，結(jié)合工業(yè)互聯(lián)網(wǎng)生產(chǎn)網(wǎng)絡(luò)通信主體控制報文交互特點，通過提取表征工業(yè)互聯(lián)網(wǎng)生產(chǎn)網(wǎng)絡(luò)通信業(yè)務(wù)報文的多維特征量，采用k-means聚類算法從大量工業(yè)互聯(lián)網(wǎng)樣本數(shù)據(jù)中挖掘出正常業(yè)務(wù)控制行為的類簇，建立工業(yè)互聯(lián)網(wǎng)生產(chǎn)網(wǎng)絡(luò)的正常業(yè)務(wù)行為特征庫。在威脅識別階段，則利用該特征庫對蜜網(wǎng)所捕獲的新生報文進行實時監(jiān)測以判斷是否是攻擊，安全分析層工作原理如圖4所示。

安全分析建模階段是從大量歷史工業(yè)互聯(lián)網(wǎng)通信業(yè)務(wù)網(wǎng)絡(luò)報文中提取業(yè)務(wù)行為的一組類似<控制域、應(yīng)用層功能碼、指令方向、……、指令發(fā)送時間>等的n維特征向量，通過對這些特征向量的學(xué)習(xí)，使用k-means聚類分析算法，構(gòu)建業(yè)務(wù)行為模型。通過k-means算法統(tǒng)計分析實際報文特征來進行業(yè)務(wù)指令行為的數(shù)據(jù)挖掘，完成聚類分析，使得同一類的業(yè)務(wù)行為被聚集到了相同的聚類子類中，實現(xiàn)對業(yè)務(wù)指令行為的功能分類。

k-means聚類子類形成了多類業(yè)務(wù)指令行為集，通過對明顯離群點或重復(fù)錯誤指令形成的聚類子類進行標(biāo)記過濾，構(gòu)建出業(yè)務(wù)的多層次特征集合，采用監(jiān)督型機器學(xué)習(xí)算法，如支持向量機算法（Support Vector Machine，SVM），對上述已標(biāo)記的歷史報文集進行學(xué)習(xí)，構(gòu)建出正常業(yè)務(wù)訪問模型。

在威脅識別階段，通過采用單模式匹配算法和DFA相結(jié)合的方式進行工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)流量高速解析及業(yè)務(wù)還原，構(gòu)造實際系統(tǒng)運行過程中的業(yè)務(wù)指令特征向量，利用訓(xùn)練階段建立的正常業(yè)務(wù)模型對監(jiān)測向量進行實時比對，如果新報文不屬于任何類簇，則判斷發(fā)生異常的指令級攻擊模式。

3.4 安全評估層

安全評估根據(jù)蜜網(wǎng)收集的攻擊行為數(shù)據(jù)，結(jié)合安全分析結(jié)果，對整體工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全狀態(tài)進行評估[4]。在本層中主要側(cè)重于工業(yè)互聯(lián)網(wǎng)的設(shè)備和通信安全，重點評估系統(tǒng)中的身份認(rèn)證、訪問控制、安全審計、惡意代碼防范、資源控制、輸入輸出控制、漏洞檢測與修補、控制系統(tǒng)及應(yīng)用軟件測試與代碼審計、設(shè)備內(nèi)置模塊檢測等方面，并根據(jù)工業(yè)互聯(lián)網(wǎng)實際應(yīng)用場景的業(yè)務(wù)特點、實體結(jié)構(gòu)和控制協(xié)議等進行測評項的細(xì)化，使得評估具有針對性，能更精準(zhǔn)發(fā)現(xiàn)工業(yè)互聯(lián)網(wǎng)的安全漏洞、脆弱性，安全評估層工作流程如圖5所示。

在安全評估層主要采用層次分析法的分層思想，通過分析《工業(yè)控制系統(tǒng)信息安全防護指南》《信息安全技術(shù) 網(wǎng)絡(luò)等級保護基本要求》《信息安全技術(shù) 網(wǎng)絡(luò)等級保護測評要求》（等保2.0），以及《涉及國家秘密的信息系統(tǒng)分級保護測評指南》（分保）等相關(guān)標(biāo)準(zhǔn)和指南，結(jié)合目前工業(yè)互聯(lián)網(wǎng)生產(chǎn)線的業(yè)務(wù)需求及安全需求，結(jié)合工業(yè)互聯(lián)網(wǎng)生產(chǎn)線安全架構(gòu)的特點，每個因素對應(yīng)的指標(biāo)將對應(yīng)工業(yè)互聯(lián)網(wǎng)生產(chǎn)線安全架構(gòu)中的各類安全機制，具體在應(yīng)用中將參照等保2.0、分保等標(biāo)準(zhǔn)和指南中的規(guī)范，結(jié)合“工業(yè)互聯(lián)網(wǎng)漏洞挖掘分析及威脅辨識”等方法和技術(shù)對工業(yè)互聯(lián)網(wǎng)生產(chǎn)線進行漏洞挖掘分析和威脅辨識檢測，并利用所建立的漏洞庫和威脅模型對漏洞和威脅進行定性和定量分析，得到指標(biāo)層及其打分依據(jù)。

4 結(jié)語

近年來，工業(yè)互聯(lián)網(wǎng)在高速發(fā)展的同時，安全形勢也愈發(fā)嚴(yán)峻。傳統(tǒng)安全防護方法已經(jīng)不能適應(yīng)當(dāng)前工業(yè)互聯(lián)網(wǎng)安全新形勢。本文根據(jù)工業(yè)互聯(lián)網(wǎng)的運行特點，提出了基于蜜網(wǎng)的工業(yè)互聯(lián)網(wǎng)安全檢測評估方法的研究思路。該思路對于滿足工業(yè)企業(yè)保障網(wǎng)絡(luò)安全的需求，構(gòu)建有效的工業(yè)互聯(lián)網(wǎng)安全防護體系具有一定借鑒意義。 

 

（原載于《保密科學(xué)技術(shù)》2021年2月刊）