解析工业互联网安全态势感知核心技术*

2020-11-30 07:06赵一凡尹肖栋林逸风
数字技术与应用 2020年12期
关键词:态势工业

赵一凡 尹肖栋 林逸风

(浙江省电子信息产品检验研究院,浙江杭州 310007)

0 引言

对作为国民经济命脉与基础的工业而言,以物联网和云计算为代表的技术的出现,推动自身朝着信息化、智能化的方向前进,在此背景下,数据互联、共享与融合,逐渐成为工业发展的主流趋势。随着产业链协同创新能力的提升,工业互联网的安全形势更加严峻,如何为工业互联网的安全性提供有力保障,已引起越来越多人的关注。

1 工业互联网安全发展现状

1.1 网络安全

对工业互联网而言,网络安全指的是以通信网络为载体,对数据进行传输时,可能出现的安全问题,例如,控制网络存在漏洞。如果以互联网的视角为切入点,对标准标识适用解析系统加以应用,通常存在全新攻击方式形成的可能;如果以工业企业的视角为切入点,要想增加自身效益,推动网络朝着一体化和扁平化方向前进是必然选择,由此而引发的问题,便是为网络安全提供全面防护的难度不断增大,僵、木、蠕也拥有了滋生的温床。

1.2 平台安全

对工业互联网适用平台进行建设所依托技术以边缘计算为主,该技术可使核心数据得到有效汇聚,例如,物联网、工业控制系统所提供数据,随着平台连接系统与设备数量的增加,对其进行安全防护的难度与日俱增[1]。除此之外,以虚拟化技术为代表的多项技术的出现,同样加剧了平台的脆弱性,由此而引发的问题,主要表现为虚拟机逃逸,围绕其展开讨论,现实意义不言而喻。

1.3 控制安全

工业控制系统的应用方向,主要是电力、市政和轨道交通,因此,该系统又被称为工业生产的大脑。信息时代的到来,加快了信息技术更新换代的速度,以太网技术开始为人们所熟知,与此同时,该系统所存在漏洞的数量也在不断增加,控制安全受到威胁的情况无法避免。

1.4 设备安全

这里的设备主要是指与工业互联网相连的终端设备,例如,摄像头、智能空调等。上文所提及设备均将嵌入式技术视为首选技术,虽然压缩了设备体积,却由于无法精确计算所需参数,而导致安全机制始终难以发挥出应有作用,这便是工业互联网被大批利用,甚至出现僵尸网络的主要原因[2]。

1.5 其他要素

除上文所提及要素外,数据安全也是不容忽视的部分。工业互联网所用数据,不仅有常见的生产数据和管理数据,还有测试数据与供应链数据。对处于传输或存储环节的数据而言,一旦出现被窃取或篡改的情况,不仅工业生产会受到影响,工人安全也会受到威胁。由此可见,对采集、分析和存储数据的流程加以规范,根据安全风险评估结果,确定能够最大程度避免数据外泄的方案,将是未来一段时间研究的重点。

2 安全态势感知设计思路

在优化网络现有安全防护能力方面,利用相关技术,对安全态势感知进行建设,具有重要意义。现阶段,智能制造成为社会前进的主要方向,这也使工业呈现出了更为瞩目的智能化、数字化与网络化水平,相关人员应将顶层设计视为工作重心,在现行规范及产业需求的指导下,对感知平台的架构与能力进行设计,通过对预警通报、安全监测等技术加以利用的方式,确保企业态势始终处于可感可知状态,为日后监管工作的开展提供便利。

对感知平台能否发挥应有功能起决定作用的主体为管理人员,详细来说,就是以感知平台得到高效建设为前提,通过全面监管的方式,确保异常情况、安全威胁可获得及时预警[3]。除此之外,还有两方面内容需要引起重视:(1)加大管理网络运营安全性的力度,以实际情况为依据,调整现有管理制度,酌情引入预警机制,确保安全决策科学、应急响应有效。(2)面向管理人员定期组织培训,使管理人员拥有良好的素质与能力,可快速处理安全事件,真正做到事中阻断威胁和事后追溯威胁产生源头,避免类似情况再次出现。

3 安全态势感知架构与能力

3.1 技术架构

(1)采集数据。对工业数据进行采集的特征是利用现有通信手段,对不同系统、设备及产品进行接入,在确保采集数据满足深层次、大范围条件的前提下,根据异构数据独有边缘处理和协议转换,对感知平台所需数据基础进行构建。南京某公司研发采集探针,现已得到较大范围的推广和利用,该探针可对大部分工业协议进行识别,例如,S7、MMS等,在此基础上,通过深入剖析相关协议的方式,确保所采集数据能够被转换为有效格式,从而达到向平台进行输出的目的。(2)处理数据。原始数据无法做到来源统一,其格式、质量及内容均有明显差异存在,此外,在表达语义、存储形式等方面,同样有所不同,异常、重复及错误数据均占有一定比重,只有提前对原始数据进行处理,才能避免后续的挖掘与分析环节,受到不必要影响,结果自然更加准确。综上,对态势进行正式分析前,工作重心应当放在统一化、规格化处理数据上,这样做可使数据质量得到改进,日后所开展分析工作的质效及准确性,通常能够出现较大幅度的提高。现阶段,被用来对数据进行预处理的方法,主要是清理算法,该方法可将异构数据转变为结构数据,在降低处理难度的基础上,利用聚类分析法,确保报警记录能够得到科学压缩,冗余消除。随后,以重新审核数据为前提,通过科学筛选并排序的方式,获得可对数据关系进行准确反映的基础图谱。(3)存储数据。存储数据为索引提供便利,二者又为日后的监测和汇聚数据提供了便利。对工业互联网而言,可使安全态势得到感知的技术,其核心模块往往是知识库,而功能完备的知识库,通常由多个部分组成,例如,漏洞库与指纹库,其中,指纹库的记录对象,主要有工业设备、恶意组织及行为等[4]。(4)建模分析。建模的意义是对知识库和经过预处理的数据进行分析,提取可对安全信息加以反映的相关性数据,在建立数学模型的基础上,利用现有算法,深入分析工业互联网所涉及资产信息、标识信息与攻击信息,确保数据关联、威胁态势均可得到直观展示。另外,以获取表明威胁状态的数据为前提,先对不同条件及场景进行设定,再综合考虑网络历史、当前安装状态,确定分析模型,在网络威胁、资产脆弱性的辅助下,按部就班的展开态势预测工作,通常可以取得事半功倍的效果,网络发展趋势也能够得到直观反映。(5)展示数据。利用可视化技术对态势感知平台加以完善,以可视化图形为依托,向用户展示网络态势状况,充分利用人类对图像、图形加以处理的能力,能够确保攻击源、工控资产与攻击事件得到直观展示。与此同时,管理人员还可以利用可视化界面,对数据关联性进行查询,使后续工作拥有更加明确的目标及方向。

3.2 核心能力

(1)管理资产。工业互联网用来感知安全态势的平台,通常配有资产指纹库,只需要对比指纹,就能够准确识别网络涉及OT及IT信息,以互联网页面为载体,对企业网络拓扑进行实时呈现。将资产信息录入数据库所用技术,主要有自动发现IP、识别指纹及数据同步,事实证明,这样做可使管理范围扩大,资产流量、活跃情况、访问行为、协议与端口状态,均被涵盖在内,而具备识别条件的资产,也逐渐延伸至工业数据、互联网平台和相关软件等领域。(2)预测安全态势。众所周知,要想使网络主动对安全进行方位,预测安全态势是不可缺少的重要一环。本文所讨论平台,选择以大量报警数据为依据,对黑客入侵所遵循规律加以掌握,再结合入侵前奏,对尚未发生的入侵行为进行预测,而预测内容,主要集中在三个方面,分别是:入侵目的,可能发生的入侵行为,给设备带来的影响。实践经验表明,只有做到分析过去,才能使入侵行为得到准确预测,从而采取切实可行的措施,确保入侵行为被及时阻止,避免更严重后果的产生。(3)感知僵、木、蠕的态势。无论是对互联网,还是企业内部网络而言,僵尸网络、木马、还有蠕虫病毒、三者所带来危害均极为巨大。本文所讨论平台,结合僵、木、蠕所展现出传播特征,对处于传播状态的僵木蠕加以识别,通过追踪控制命令与传播路径的方式,确定服务器,在此基础上,以服务器为载体,对受控主机进行反查,真正做到了感知僵木蠕的态势,日后所开展打击行动,自然拥有更加良好的基础[5]。(4)分析事件态势及关联性。经过预处理的安全事件,通常要结合区域防护能力、网络攻击情况,完成关联分析环节,再以互联网为依托,使分析结果得到直观显示。一般来说,对事件关联进行分析所用技术,以贝叶斯网络与决策树为主。如果评估主体是网络安全态势,其重点往往是网络展现出的安全状态,详细来说,就是以安全属性记录为依据,确保用户可对网络状态进行准确评判,再根据网络安全未来一段时间的发展方向,为管理人员提供决策制定、准备防护方案所需目标。在条件允许的情况下,以模糊推理和神经网络为代表的技术,同样可被用来对态势进行评估,综合考虑多方因素,在科学推理规则的前提下,确保所获得判断结果真实而有效。(5)监测工业网络的入侵情况。从本质上来说,工业控制系统是生产运行系统之一,具备可用性、实用性突出的现场控制层,由此可见,针对动态信息对防护结构进行建立很有必要。本文所讨论平台创造性的增加了监测网络入侵的模块,通过全面分析入侵数据的方式,确保告警信息可及时传递给管理人员。另外,入侵反应以异常警报、攻击警报为依据,在对安全态势进行评估的基础上,拟定切实可行的安全策略,可使入侵攻击所带来影响得到缓解。一般来说,入侵反应分为决策制定与执行,前者将监测警报视为基础,综合考虑控制系统需要达成的目标和面对的约束,对安全策略进行持续优化。而后者的作用,主要是整合以功能安全、信息安全为主体的策略,确定可发挥出理想作用的实施方案。对上述工作加以落实时,对入侵攻击可能带来的危害进行评估很有必要,若系统用于入侵反应的成本高于信息攻击可能造成的经济损失,管理人员应考虑反应措施是否有采取的意义,避免过度反应出现。

4 安全态势感知技术发展方向

在信息社会,要想使现有技术得到快速发展,由大数据所衍生出感知安全态势的技术,通常发挥着十分重要的作用。由上述内容可知,信息安全面临着不同以往的挑战与威胁,这在无形中提高了安全防护的难度,迄今为止,大部分企业均不具备抵御大规模APT攻击的能力,只有全网联动,才能使安全防御发挥出应有作用。

若以大数据为基础,对安全态势进行感知,其关键是将监测节点部署在有监测需求的区域,在实时监控的基础上,针对潜在攻击行为做出预警,使规模化防护的设想成为现实。而未来一段时间内,围绕感知技术展开的研究,将以规模化防护为核心,其研究内容也将集中在以下几下方面:

(1)流量清洗,通过彻底清洗系统防护设备的方式,对风险进行监控与防御;(2)蜜罐监测,该技术强调以构建蜜罐为前提,在诱捕所存在攻击的基础上,采集全新样本,以此来达到降低风险的目的;(3)云防护网络,待云防护节点的部署工作告一段落,用户便可享受到安全预警、抗DDOS服务。

5 结语

通过对上文所叙述内容进行分析能够看出,在设计初期,工业控制系统便有安全漏洞存在,受多方因素制约,大部分使用者均不会主动选择改造或升级系统,这便是工控网络经常受到攻击的原因。上文所讨论平台,可使网络安全态势得到准确且直观的呈现,通过对恶意攻击进行监测的方式,凸显网络工具的条理性及主动性,事实证明,在预防与监测安全态势方面,该平台有十分突出的效能。

猜你喜欢
态势工业
谁将成为工业互联网的“BAT”?
工业互联网,在路上
2019年12月与11月相比汽车产销延续了增长态势
汇市延续小幅震荡态势
国际金价能否延续上涨态势
我国天然气供需呈现紧平衡态势
2017年化肥用矿稳中向好 2018年或将保持平稳态势
工业人
县乡一体化探索呈加速态势
掌握4大工业元素,一秒变工业风!