摘要：網(wǎng)絡安全態(tài)勢感知技術在采集多維度、多層次數(shù)據(jù)的基礎上，通過對安全信息分類、歸并、建立數(shù)據(jù)模型、分析等手段進行融合、分析，得到網(wǎng)絡的整體安全狀況及其應對措施，并對網(wǎng)絡安全狀況的發(fā)展趨勢進行預測，從而為工業(yè)控制系統(tǒng)網(wǎng)絡安全提供可靠的數(shù)據(jù)參考和決策支持。本文在分析工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺建設必要性的基礎上，進一步闡釋了態(tài)勢感知平臺的技術架構及主要功能模塊，并探討了工控系統(tǒng)的態(tài)勢感知平臺的建設思路。

關鍵詞：工業(yè)控制系統(tǒng)；網(wǎng)絡安全；態(tài)勢感知

Abstract: On the basis of collecting multi-dimensional and multi-level data, network security situational awareness technology fuses and analyses security information by means of classification, merging, establishing data model and analysis, and obtains the overall security situation of the network and its countermeasures, and forecasts the development trend of network security situation. The development trend of network security status is predicted to provide reliable data reference and decision support for industrial control system network security. Based on the analysis of the

necessity of the construction of industrial Internet security situational awareness platform, this paper further explains the technical framework and main functional modules of the situational awareness platform, and discusses the construction ideas of the situational awareness platform of industrial control system.

Key words: Industrial control system; Network security; Situation awareness

1　工業(yè)控制系統(tǒng)網(wǎng)絡安全現(xiàn)狀

2015年以來，每年發(fā)生的工業(yè)信息安全事件接近300起。暴露的安全漏洞和過去相比大幅度增加。2017年，國家工業(yè)信息安全發(fā)展研究中心監(jiān)測發(fā)現(xiàn)和處理研判的工控安全漏洞達到380個，與2016年相比呈現(xiàn)躍升的趨勢。在這些漏洞中，接近兩成都屬于高危漏洞，對重要工業(yè)控制系統(tǒng)造成了極大威脅，如圖1所示。

圖1 工控系統(tǒng)行業(yè)漏洞危險等級餅狀圖

2018年工業(yè)和信息化部網(wǎng)絡安全管理局對20個工業(yè)互聯(lián)網(wǎng)相關企業(yè)開展安全評估，發(fā)現(xiàn)安全風險2200余處。經(jīng)摸底，企業(yè)主要面臨兩類安全風險：一是企業(yè)存在風險對象公網(wǎng)違規(guī)暴露。二是內外網(wǎng)系統(tǒng)存在大量安全隱患，軟硬件安全漏洞、弱口令等情況普遍存在。三是企業(yè)對安全事件監(jiān)測防范能力較弱，后門、蠕蟲等影響企業(yè)網(wǎng)絡安全事件長期潛伏，行業(yè)整體安全形勢嚴峻，安全監(jiān)管需求日益迫切[1]。

2　網(wǎng)絡安全態(tài)勢感知平臺技術架構

工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知對影響工控網(wǎng)絡安全的諸多要素進行獲取、理解、評估以及預測未來的發(fā)展趨勢，成為下一代安全技術的焦點。網(wǎng)絡安全態(tài)勢感知是對網(wǎng)絡安全性定量分析的一種手段，是對網(wǎng)絡安全性的精細度量。

網(wǎng)絡安全態(tài)勢感知平臺主要是通過提取網(wǎng)絡安全態(tài)勢分析指標體系，建立基于復雜網(wǎng)絡行為模型與模擬的工業(yè)互聯(lián)網(wǎng)網(wǎng)絡安全態(tài)勢分析與預測體系，進而得出量化的或定性的網(wǎng)絡安全態(tài)勢評估結果并通過對歷史態(tài)勢的分析、建模，對未來的網(wǎng)絡安全態(tài)勢演化進行預測，以便網(wǎng)絡安全管理人員對網(wǎng)絡內的安全要素、安全設備、信息系統(tǒng)進行合理的調整、升級，應對網(wǎng)絡安全態(tài)勢的變化。網(wǎng)絡安全態(tài)勢感知平臺主要包括安全設備信息提取、數(shù)據(jù)預處理、數(shù)據(jù)存儲與索引、態(tài)勢數(shù)據(jù)建模與分析、數(shù)據(jù)理解與可視化五個層次，其技術架構如圖2所示。

圖2 工業(yè)網(wǎng)絡安全態(tài)勢感知平臺技術架構

2.1　安全設備信息提取

工業(yè)數(shù)據(jù)采集通過各類通信手段接入不同設備、系統(tǒng)和產(chǎn)品，采集大范圍、深層次的工業(yè)數(shù)據(jù)，以及異構數(shù)據(jù)的協(xié)議轉換與邊緣處理，構建工業(yè)網(wǎng)絡安全態(tài)勢感知平臺的數(shù)據(jù)基礎。南京中新賽克科技有限責任公司自主研發(fā)的工業(yè)數(shù)據(jù)采集探針集成強大的工業(yè)協(xié)議分析引擎，可以識別OPC、Modbus、S7、Ethernet/IP(CIP)、IEC104、MMS、DNP3等多種工業(yè)協(xié)議，并對協(xié)議進行深度解析，支持對包括終端行為、原始流量、審計數(shù)據(jù)、監(jiān)測數(shù)據(jù)、威脅告警數(shù)據(jù)、日志數(shù)據(jù)、資產(chǎn)和元數(shù)據(jù)等各種信息的數(shù)據(jù)采集，并支持以syslog、SNMP、tlv、Json等多種格式輸出至平臺。

2.2　數(shù)據(jù)預處理

由于采集的原始數(shù)據(jù)來源多樣化，其數(shù)據(jù)格式、內容、質量千差萬別，存儲形式、表達的語義也不同，同時，這些數(shù)據(jù)中還存在著大量的不完整、不一致，甚至重復、錯誤或異常的數(shù)據(jù)，如果不對數(shù)據(jù)進行預處理，就會嚴重影響到后續(xù)數(shù)據(jù)的分析和挖掘，以及分析的準確性。因此，在態(tài)勢分析之前，需要對采集的數(shù)據(jù)進行規(guī)格化、統(tǒng)一化的預處理，以改進數(shù)據(jù)質量，提高數(shù)據(jù)分析的效率、質量和準確性。數(shù)據(jù)預處理采用必要的數(shù)據(jù)清理算法，將異構的數(shù)據(jù)整理成易處理的結構化數(shù)據(jù)，通過聚類分析等算法壓縮報警記錄、消除冗余，對原始數(shù)據(jù)進行重新審核、篩選和排序，形成準確、基礎的數(shù)據(jù)關系圖譜[2]。

2.3　數(shù)據(jù)存儲與索引

數(shù)據(jù)存儲與索引實現(xiàn)探測數(shù)據(jù)、監(jiān)測數(shù)據(jù)及知識庫資源的數(shù)據(jù)匯聚、存儲及索引功能，提供開放接口供數(shù)據(jù)建模層進行數(shù)據(jù)獲取。知識庫作為工業(yè)控制網(wǎng)絡安全態(tài)勢感知技術的核心模塊，應該主要包含工業(yè)設備（如各品牌PLC、RTU、IED等）指紋庫、工業(yè)惡意行為指紋庫（比如，支持SiemensS7、Modbus、Bacnet、Ethernet/IP等協(xié)議）、工業(yè)惡意組織指紋庫、工業(yè)網(wǎng)絡漏洞庫等專業(yè)知識庫。

2.4　態(tài)勢數(shù)據(jù)建模與分析

將預處理之后的數(shù)據(jù)與知識庫進行關聯(lián)分析，把具有一定相關性，反映某些安全信息的數(shù)據(jù)提取出來進行建模，結合機器學習算法深入分析工業(yè)互聯(lián)網(wǎng)標識信息、工控資產(chǎn)信息、攻擊事件和攻擊源頭信息，進行威脅態(tài)勢展示和數(shù)據(jù)關聯(lián)挖掘。

在全面獲取網(wǎng)絡威脅相關狀態(tài)數(shù)據(jù)的前提下，設定不同的場景和條件，根據(jù)網(wǎng)絡安全的歷史和當前狀態(tài)信息，建立符合網(wǎng)絡及業(yè)務場景的分析模型，并基于網(wǎng)絡威脅結合資產(chǎn)脆弱性來進行態(tài)勢預測[3]，能夠更好地反映網(wǎng)絡安全在未來一段時間內的發(fā)展趨勢。

2.5　數(shù)據(jù)理解與可視化

網(wǎng)絡安全態(tài)勢感知與可視化技術的結合，將網(wǎng)絡中蘊涵的態(tài)勢狀況通過可視化圖形方式展示給用戶，并借助于人在圖形圖像方面強大的處理能力，實現(xiàn)對標識態(tài)勢、攻擊源、攻擊事件和工控資產(chǎn)的態(tài)勢進行可視化展示，并通過可視化界面進行數(shù)據(jù)關聯(lián)查詢。

3　網(wǎng)絡安全態(tài)勢感知技術主要能力

3.1　資產(chǎn)發(fā)現(xiàn)與管理

工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺內置豐富的資產(chǎn)指紋庫，通過指紋比對等方式可以自動識別網(wǎng)絡中的IT與OT資產(chǎn)信息，并可將被監(jiān)測的工業(yè)企業(yè)的網(wǎng)絡拓撲在頁面上動態(tài)呈現(xiàn)。支持IP自動發(fā)現(xiàn)、指紋自動識別和數(shù)據(jù)同步的方式在系統(tǒng)數(shù)據(jù)庫中錄入資產(chǎn)信息，實現(xiàn)對資產(chǎn)流量監(jiān)視、端口狀態(tài)統(tǒng)計、協(xié)議狀態(tài)統(tǒng)計、資產(chǎn)活躍狀態(tài)監(jiān)視、資產(chǎn)訪問行為監(jiān)視等管理方式，并隨時對資產(chǎn)可能出現(xiàn)的變更或退網(wǎng)方式及時響應。能夠識別的資產(chǎn)種類包括但不限于工業(yè)互聯(lián)網(wǎng)平臺、聯(lián)網(wǎng)設備及系統(tǒng)、工業(yè)APP、工業(yè)數(shù)據(jù)等。

3.2　工業(yè)網(wǎng)絡入侵檢測

工業(yè)控制系統(tǒng)屬于生產(chǎn)運行系統(tǒng)，其現(xiàn)場控制層具有較高的實時性和可用性需求，因此需要動態(tài)信息安全防護結構。工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺內置工業(yè)網(wǎng)絡入侵檢測模塊，針對采集數(shù)據(jù)進行入侵檢測分析，并及時告警。入侵反應根據(jù)實時入侵檢測所感知的系統(tǒng)攻擊警報和異常警報，評估系統(tǒng)安全態(tài)勢，及時的做出并實施最優(yōu)安全策略，以緩解入侵攻擊的影響。

入侵反應包括安全策略決策和策略執(zhí)行兩個部分。前者根據(jù)檢測的警報，綜合工業(yè)控制系統(tǒng)的多方面約束和目標，制定最優(yōu)安全策略；后者協(xié)調制定的信息安全策略和可能的功能安全策略，并制定具體的實施方案。在安全策略決策過程，評估入侵攻擊的危害性對于制定最優(yōu)策略具有重要參考。如果系統(tǒng)的入侵反應成本超過信息攻擊所造成的損失，則要慎重考慮是否需要采取反應措施，以防出現(xiàn)過度反應。

3.3　僵木蠕態(tài)勢感知

僵尸網(wǎng)絡、木馬、蠕蟲病毒三者合稱“僵木蠕”。僵木蠕對互聯(lián)網(wǎng)和企業(yè)內部網(wǎng)絡危害非常巨大。工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺針對僵木蠕的傳播特點，對網(wǎng)絡上傳播的僵木蠕進行識別，并追蹤溯源僵木蠕的傳播路徑、控制命令路徑，最終追蹤溯源發(fā)現(xiàn)命令控制服務器。通過發(fā)現(xiàn)的命令控制服務器，再反查受控主機，最終實現(xiàn)對僵木蠕網(wǎng)絡態(tài)勢的感知，為后續(xù)采取行動打擊僵木蠕創(chuàng)造條件。

3.4　工業(yè)控制系統(tǒng)漏洞掃描

漏洞掃描主要包括兩個方面的能力：傳統(tǒng)網(wǎng)絡的漏洞掃描及工控系統(tǒng)漏洞掃描。系統(tǒng)支持同時對傳統(tǒng)網(wǎng)絡和工控網(wǎng)絡進行漏洞掃描，其中在傳統(tǒng)網(wǎng)絡掃描方面支持對操作系統(tǒng)（LINUX，WINDOWS，MACOS）進行漏洞掃描，包括系統(tǒng)漏洞掃描和配置檢查，支持對通用應用軟件進行漏洞掃描，包括常用的HTTP服務、FTP服務、TELNET服務、郵件服務等進行漏洞掃描，支持對業(yè)界主流的數(shù)據(jù)庫掃描，包括Oracle、MSsql、Mysql、DB2、Sybase、達夢等，能夠對弱口令檢測、配置風險、賬號風險等進行檢測。

在工業(yè)控制系統(tǒng)中，無論是一次系統(tǒng)還是二次系統(tǒng)，以及間隔層還是過程層，業(yè)務的連續(xù)性、健康性是至關重要的，尤其對石化、電力、交通、核工業(yè)、水利等行業(yè)的核心監(jiān)控、生產(chǎn)系統(tǒng)。工控漏洞掃描模塊實現(xiàn)了針對SCADA、現(xiàn)場總線、數(shù)字化設計制造軟件的漏洞掃描，實現(xiàn)了針對Schneider、Siemens、VxWorks等DCS控制器嵌入式軟件（包括PLC等）的漏洞掃描，具備了發(fā)現(xiàn)漏洞、評估漏洞、展示漏洞、跟蹤漏洞等完備的漏洞管理能力。

3.5　安全事件關聯(lián)分析與態(tài)勢評估

在安全事件預處理后，需要將安全事件進行綜合的關聯(lián)分析，考慮到整體網(wǎng)絡攻擊的危害程度和區(qū)域安全防護能力，并將得到的結果以可視化的方式直觀地顯示出來。事件關聯(lián)技術一般采用決策樹、貝葉斯網(wǎng)絡等方法。而網(wǎng)絡安全態(tài)勢評估主要是綜合評估網(wǎng)絡安全狀態(tài)，即利用網(wǎng)絡安全屬性的歷史記錄，為用戶提供一個準確的網(wǎng)絡安全狀態(tài)評判和網(wǎng)絡安全的發(fā)展趨勢，使網(wǎng)絡管理者能夠有目標的進行決策和防護準備。可以將神經(jīng)網(wǎng)絡、模糊推理等方法引入到態(tài)勢評估中，進行合理的規(guī)則推理，得到合理的判斷結果。

3.6　網(wǎng)絡安全態(tài)勢預測

安全態(tài)勢預警是實現(xiàn)網(wǎng)絡安全主動防衛(wèi)的關鍵環(huán)節(jié)。工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺利用海量的報警數(shù)據(jù)，發(fā)現(xiàn)黑客入侵規(guī)律，根據(jù)入侵前奏實現(xiàn)入侵行為的早期預測，預測系統(tǒng)未來可能遭受的入侵行為、黑客入侵目的及可能遭受威脅的設備，即實現(xiàn)“分析過去，預測未來”的目的。只有準確地預測入侵行為，才能采取有效的針對性措施，加以阻止。

4　工業(yè)控制系統(tǒng)網(wǎng)絡安全態(tài)勢感知系統(tǒng)建設思路

網(wǎng)絡安全態(tài)勢感知建設對提升網(wǎng)絡安全防護能力至關重要。從政府監(jiān)管層面來說，應做好頂層設計，結合國家工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)需求，統(tǒng)籌設計國家工業(yè)互聯(lián)網(wǎng)安全監(jiān)測技術平臺功能和架構。加強構建“國家級-省級-企業(yè)級”專業(yè)化安全監(jiān)測和預警通報技術手段，實現(xiàn)工控網(wǎng)絡相關企業(yè)安全態(tài)勢可感、可知、可監(jiān)管。

南京中新賽克科技有限責任公司提供監(jiān)管側工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺解決方案。在運營商核心路由器上做規(guī)則過濾，篩選出工業(yè)專線流量，并通過鏡像方式將流量接入到工業(yè)互聯(lián)網(wǎng)探針；工業(yè)互聯(lián)網(wǎng)探針支持工業(yè)協(xié)議的解析、工業(yè)設備指紋的提取等，對接入的流量進行預處理生成全息日志；工業(yè)互聯(lián)網(wǎng)安全監(jiān)測與態(tài)勢感知平臺對全息日志進行數(shù)據(jù)治理、數(shù)據(jù)分析，并結合人工智能等技術進行工業(yè)資產(chǎn)、工控漏洞、工業(yè)云平臺、安全事件的監(jiān)測，如圖3所示。

圖3 監(jiān)管側工業(yè)互聯(lián)網(wǎng)態(tài)勢感知平臺部署方式

要建好用好網(wǎng)絡安全態(tài)勢感知，離不開有效的技術平臺、安全運營管理和安全人員建設。通過網(wǎng)絡安全態(tài)勢感知技術平臺建設實現(xiàn)網(wǎng)絡空間的安全持續(xù)監(jiān)控能力，及時預警各種威脅與異常，并進行可視化展示；通過網(wǎng)絡安全運營管理建設，建立健全各項安全管理制度、安全預警機制等，實現(xiàn)有效的安全決策和應急響應；通過技術人員建設，提高網(wǎng)絡安全工作能力和安全事件處置能力，達到網(wǎng)絡安全威脅事中阻斷、事后溯源的效果。

5　總結

網(wǎng)絡入侵和攻擊正在向規(guī)模化、復雜化的趨勢發(fā)展。工業(yè)控制系統(tǒng)由于在設計之初就存在大量安全漏洞，且因可用性的要求，絕大多數(shù)使用者都不會對系統(tǒng)進行升級或改造，因此工控網(wǎng)絡往往容易成為網(wǎng)絡攻擊的首選目標。工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺能夠實時、準確地掌握網(wǎng)絡安全態(tài)勢狀況，檢測惡意攻擊行為，讓網(wǎng)絡安全工作具有主動性和條理性，是監(jiān)測和預防網(wǎng)絡安全事件的有效途徑。

作者簡介

湯永田（1990-），男，南京人，碩士，現(xiàn)任南京中新賽克科技有限責任公司產(chǎn)品經(jīng)理，曾就職于中興通訊，主要從事工業(yè)控制系統(tǒng)網(wǎng)絡安全防御技術研究。

參考文獻：

[1] 國家計算機網(wǎng)絡應急技術處理協(xié)調中心. 中國互聯(lián)網(wǎng)網(wǎng)絡安全報告[Z]. 2018.

[2] 陳秀真, 等. 網(wǎng)絡化系統(tǒng)安全態(tài)勢評估的研究[J]. 西安交通大學學報, 2004, 38 ( 4 ) : 404 － 408.

[3] 龔儉, 臧小東, 蘇琪, 等. 網(wǎng)絡安全態(tài)勢感知綜述[J]. 軟件學報, 2017，28 ( 4 ) ：1010 - 1026.

摘自《工業(yè)控制系統(tǒng)信息安全專刊（第六輯）》