【摘 要】本文根据工业互联网的运行特点,提出了一种基于蜜网的工业互联网安全检测评估方法。该方法对于满足工业企业保障网络安全的需求,构建有效的工业互联网安全防护体系具有一定的借鉴意义。
【关键词】工业互联网 蜜网 协同检测
1 引言
工业信息化是世界各国21世纪先进制造业的重要发展方向。为引导制造业升级,近年我国相继发布了《“工业互联网 + 安全生产”行动计划(2021—2023年)》等发展纲要[1],努力实现重点工业领域的智能转型。工业互联网平台作为工业智能化发展的核心载体,实现了海量异构数据汇聚与建模分析、工业制造能力标准化与服务化、工业经验知识软件化与模块化以及各类创新应用开发与运行,支撑了生产智能决策、业务模式创新、资源优化配置和产业生态培育。
而随着工业信息化战略的逐步推进,各种针对工业控制系统的安全攻击事件频发,尤其是“震网”“火焰” “毒区”等APT攻击的出现,充分反映出工业互联网领域中安全威胁日益严峻。现有工业互联网系统架构缺乏有效的安全防护体系,在当前智能开放的大背景下,工业互联网制造生产线中的控制、采集、监控及质量检测设备、现场总线以及ERP,PDM,MES,OA等企业信息系统(EIS)中的核心数据,如工艺数据、生产数据资料、质量测量数据等都随时可能被攻击者窃取或篡改破坏。如何保障工业互联网的安全性,防范工业互联网智能制造生产线中的安全威胁,避免敏感工业数据被不法分子利用,是关系国家安全的重大命题。
本文以工业互联网网络化协同制造平台为研究对象,提出一种基于蜜网的工业互联网协同检测技术,通过在工业互联网的边缘层部署配置多个诱饵蜜罐系统设施[2],利用重定向器将攻击信息进行统一收集和分析,结合上层的威胁特征提取检测技术,建立工业互联网协同检测机制,及时识别威胁、阻断威胁攻击,并针对工业互联网平台安全状态进行安全评估,提升现有工业互联网平台的安全防护和预警能力。
2 系统架构
蜜网是指在同一监测网络中配置多个诱饵节点的蜜罐系统形态。多个蜜罐诱饵节点的设置通常参考真实业务环境,不同的业务场景有不同的网络拓扑、工作流程及状态更新和控制需求。蜜网由于其高复杂度的诱饵环境特点,可为研究监测攻击行为的入侵及传播方式提供更多深层次信息。
基于蜜网的工业互联网协同检测技术的整体设计思想为:通过部署分布式蜜罐系统构建真实工控蜜网场景,诱捕攻击者进行攻击,从而探测发掘异常流量,并将异常流量重定向至安全分析层,结合海量威胁情报进行关联分析,实现对攻击者的多维度画像,获得攻击者和攻击组织最全面的攻击信息。通过对攻击流量特征进行提取,充分融合工业互联网复杂的网络拓扑结构信息,可实现对工业互联网系统的安全态势进行定量分析。
如图1所示,系统整体架构采用的是PDRR分层设计原则,可分为数据捕获、数据存储、安全分析及安全评估4层,各层功能简要描述如下。
(1)数据捕获层:该层主要通过部署在各监控子网的蜜罐系统,结合具有重定向功能监测探针,完成外部攻击行为的数据采集,具体包括:数据记录、数据抓取、数据过滤、数据转发等功能。最终将该网络中所有受监控的可疑流量数据重定向到蜜网控制中心。
(2)数据存储层:针对回传的蜜网攻击行为监测数据,对其进行初步数据清洗、融合等处理,并基于威胁情报、行为解析、事件关联、状态评估等关键技术实现统一蜜网数据融合与存储。
(3)安全分析层:针对工业互联网网络中的潜在威胁,通过在网络中分布式部署蜜网威胁监测体系收集得到的多层次网络流量,运用智能学习分析技术,同时结合数据交互,非法接入识别、非法扫描识别、非法探测、非法操作行为识别等方式,分析识别数据流量中的恶意行为和未知威胁。
(4)安全评估层:梳理关联后的多元化安全行为事件集,构建威胁监测技术体系。从不同粒度对系统的安全状况进行评估,实现从输入状态到输出状态空间的非线性映射,对系统威胁和脆弱性的发展趋势、网络局部和整体安全状况的发展状况进行预测并对实际业务进行预警防护。
3 详细模块设计
3.1 数据捕获层
数据捕获层主要通过部署分布式蜜罐系统形成蜜网,从而构建真实工控场景,诱捕恶意攻击行为,并探测发掘异常流量将其重定向到蜜网控制中心。
蜜网中攻击数据感知与捕获单元由多个不同类型的工控蜜罐组成,这些蜜罐分布于工业互联网系统中,并构建形成真实工控场景,可24小时不间断捕获网络空间中针对工控设备的扫描。分布式蜜罐系统是数据俘获层的基础,是整个系统的数据来源。合理的蜜罐设置及部署,有助于迷惑攻击者,更多地捕获恶意攻击行为数据。为更好捕获恶意攻击行为,蜜网中可联合部署低交互和高交互蜜罐系统。其中低交互蜜罐只是以最简的方式扩展协议类型,诱骗更多的攻击者或空间搜索引擎的扫描,监听工业控制协议端口,不进行任何协议交互,只记录攻击者的协议请求数据包和攻击者IP信息。高交互蜜罐可通过定制开源工业控制蜜罐实现,包含会话管理、协议交互、模板调度和日志配置等。其中会话管理是高交互蜜罐的核心模块,它采用事件队列的方式,将攻击事件保存在队列,对外提供获取会话的方法。协议交互模块提供多种工控协议仿真功能,并对外提供统一调用接口,保证协议服务的调用的统一性。协议交互模块实质上是作为协议实现的服务器实例,通过监听相应的协议端口,处理攻击者发送的请求信息。信息的处理方式采用函数回调机制,保证消息处理的函数自定义化。
数据捕获层工作流程如图2所示,高交互蜜罐的处理流程围绕高交互蜜罐主程序进行,将各个模块进行协同工作,当攻击者连接高交互蜜罐时,会生成连接会话。会话管理服务将每次会话加入会话队列,为不同协议服务提供查询接口。根据不同攻击协议端口,调用不同协议服务实例。每个服务实例都设置线程池,当查询到对应的协议会话时,会开辟新的线程进行处理。处理过程采用回调机制,将处理完的结果返回给主程序。攻击者发送连接数据包或请求数据包时,会话管理和回调函数都会产生日志并本地化,并定向上传到蜜网控制中心。
3.2 数据存储层
工业互联网的蜜网监测流量数据形式复杂多样,呈现典型的数据“多源异构”的特征。不同的蜜网监测单元由于其所在硬件设备及对应操作系统的不同,如有可能来自于多个数据源并涵盖系统的不同层次,这使得其数据的产生时间、使用场所、代码协议,乃至最终蜜网监测数据的存储模式和逻辑结构也差别巨大。
一般来说,实际蜜网监测数据可能同时包含结构化、半结构化和非结构化数据。其中,结构化数据指关系模型数据,即以关系数据库表形式管理的数据;半结构化数据指非关系模型的、有基本固定结构模式的数据,如日志文件、XML文档、JSON文档、E-mail等;而非结构化数据指没有固定模式的数据,如一些传感器数据、文本数据等。不同类型的数据在数据捕获过程中由于缺乏统一的标准,因此造成了数据“异构”的特征。为便于统一存储管理,蜜网在采集时将数据输出格式统一为JSON格式[3]。JSON具有简洁清晰的层次结构,是理想的数据交换语言,易于阅读和编写,同时也易于机器进行生成和对内容进行解析,可有效提升网络传输效率,数据存储流程如图3所示。
鉴于蜜网所采集到的数据质量难以保证,存在数据缺失、错误等问题。同时来自不同系统的数据格式也并不统一,需要先进行数据清洗才能进行后续数据的有效分析。数据清洗目的在于格式化数据,通过数据转换方法将多源异构数据转换成统一的目标数据格式,形成统一规范。而后通过数据筛选、数据修复等手段提高数据的质量,完成对不同数据指标之间的转换计算。有时对工业互联网平台的蜜网数据进行清洗解析所得到的结构化数据中,存在某些多维特征集合共同表征某个特定的含义。因此数据清洗完后,还需要针对多源异构数据集合进行数据融合处理,以使得该特征数据在保留基本信息同时减少冗余。数据归一化存储目的是屏蔽数据之间类型和结构上的差异,解决多源异构数据的来源复杂、结构异构问题,有利于上层对数据管理和分析,实现用户无差别访问,充分发挥数据的价值。在具体数据存储中,合理数据库的选择可以减少数据检索的时间,提高数据查询的准确度,是后续数据关联分析处理的基础。
3.3 安全分析层
安全分析层结合智能学习分析技术,深度识别蜜网数据流量中的恶意行为和未知威胁。本层可分为检测建模和威胁识别两个阶段。其中检测建模阶段,主要采用基于控制行为聚类分析的业务模式智能学习分析技术,结合工业互联网生产网络通信主体控制报文交互特点,通过提取表征工业互联网生产网络通信业务报文的多维特征量,采用k-means聚类算法从大量工业互联网样本数据中挖掘出正常业务控制行为的类簇,建立工业互联网生产网络的正常业务行为特征库。在威胁识别阶段,则利用该特征库对蜜网所捕获的新生报文进行实时监测以判断是不是攻击,安全分析层工作原理如图4所示。
安全分析建模阶段是从大量历史工业互联网通信业务网络报文中提取业务行为的一组类似<控制域、应用层功能码、指令方向、……、指令发送时间>等的n维特征向量,通过对这些特征向量的学习,使用k-means聚类分析算法,构建业务行为模型。通过k-means算法统计分析实际报文特征来进行业务指令行为的数据挖掘,完成聚类分析,使得同一类的业务行为被聚集到了相同的聚类子类中,实现对业务指令行为的功能分类。
k-means聚类子类形成了多类业务指令行为集,通过对明显离群点或重复错误指令形成的聚类子类进行标记过滤,构建出业务的多层次特征集合,采用监督型机器学习算法,如支持向量机算法(Support Vector Machine,SVM),对上述已标记的历史报文集进行学习,构建出正常业务访问模型。
在威胁识别阶段,通过采用单模式匹配算法和DFA相结合的方式进行工业互联网网络流量高速解析及业务还原,构造实际系统运行过程中的业务指令特征向量,利用训练阶段建立的正常业务模型对监测向量进行实时比对,如果新报文不属于任何类簇,则判断发生异常的指令级攻击模式。
3.4 安全评估层
安全评估根据蜜网收集的攻击行为数据,结合安全分析结果,对整体工业互联网网络安全状态进行评估[4]。在本层中主要侧重于工业互联网的设备和通信安全,重点评估系统中的身份认证、访问控制、安全审计、恶意代码防范、资源控制、输入输出控制、漏洞检测与修补、控制系统及应用软件测试与代码审计、设备内置模块检测等方面,并根据工业互联网实际应用场景的业务特点、实体结构和控制协议等进行测评项的细化,使得评估具有针对性,能更精准发现工业互联网的安全漏洞、脆弱性,安全评估层工作流程如图5所示。
在安全评估层主要采用层次分析法的分层思想,通过分析《工业控制系统信息安全防护指南》《信息安全技术 网络等级保护基本要求》《信息安全技术 网络等级保护测评要求》(等保2.0),以及《涉及国家秘密的信息系统分级保护测评指南》(分保)等相关标准和指南,结合目前工业互联网生产线的业务需求及安全需求,结合工业互联网生产线安全架构的特点,每个因素对应的指标将对应工业互联网生产线安全架构中的各类安全机制,具体在应用中将参照等保2.0、分保等标准和指南中的规范,结合“工业互联网漏洞挖掘分析及威胁辨识”等方法和技术对工业互联网生产线进行漏洞挖掘分析和威胁辨识检测,并利用所建立的漏洞库和威胁模型对漏洞和威胁进行定性和定量分析,得到指标层及其打分依据。
4 结语
近年来,工业互联网在高速发展的同时,安全形势也愈发严峻。传统安全防护方法已经不能适应当前工业互联网安全新形势。本文根据工业互联网的运行特点,提出了基于蜜网的工业互联网安全检测评估方法的研究思路。该思路对于满足工业企业保障网络安全的需求,构建有效的工业互联网安全防护体系具有一定借鉴意义。
(原载于《保密科学技术》2021年2月刊)