牛刚 李炜琪 陈春明
摘要:工控系统是工业互联网皇冠上的明珠,它直接决定了系统的稳定性、安全性等指标。技术的发展给工控系统带来技术红利的同时,也带来了一些隐患。在工业控制系统的使用过程当中,遭受到来自传统IT/IP网络的病毒、木马日益增加。本文就工控系统安全监测及溯源系统的相关工作进行了系统性的回顾,相对于欧美扥国家,我国工控系统安全研究上的相对滞缓。在国家政策的导向下,现阶段工控系统得到了长足的发展,在工控系统的安全监测及溯源系统的设计上也得到了不错的发展。基于当前工控系统安全监测和溯源系统的开发现状,在功能开发和性能提升的导向下实现了工控系统安全监测及溯源系统的设计。该系统有两大部分组成,一是由职能采集探针为主的前端采集系统,二是有数据分析中心为主的后台集中分析处理系统。同时,就设计当中采集系统和分析系统的配置、性能及工作原理进行了深度的解读。在工控系统安全监测及溯源系统的设计实测中,该设计较好地实现了预期的设定目标,可以进行设计推广。
关键词:工控系统、安全监测;溯源设计
数字技术的不断发展正在无比深刻地影响着人们的生活。随着工业互联网系统的不断成熟,其在工业体系当中的应用得到了长远的发展。工控系统是工业互联网皇冠上的明珠,它直接决定了系统的稳定性、安全性等指标。随着工控系统的不断深入发展工控系统的复杂程度也在不断地上升。工业控制系统逐步实现了由封闭网络系统向IT/IP网络的融合。这虽然是一种技术上的进步,但同时也诱发了新的问题,传统IT/IP网络的病毒、木马等攻击行为也通过互联网这一通道开始向工控系统内蔓延。在工业控制系统的使用过程当中,遭受到来自传统IT/IP网络的病毒、木马日益增加。就当前攻击的类型来看主要出现在两个方面,一方面是针对工业协议漏洞的攻击,另一方面是针对系统软件的攻击。工业控制系统的安全性面临着极大的挑战。不同于一般的家庭系统或企业系统,一旦工业控制系统遭受到了冲击,其所带来的危害及经济损失时难以估量的。在对这一问题的有效解决过程当中,从源头控制的思维出发来有效降低外部危害是提升工控系统安全性的一个重要途径。因此,基于对工控系统安全性的威胁而展开对安全金监测及溯源系统的设计就新的十分地关键。
1工控系统安全监测及溯源系统的相关工作
工控系统的研究无论是从起步还是成熟度上都要早于、优于我国的工控系统。时至今日,我国在工控系统的设计上距离欧美等发达国家仍有着一定的差距。在针对工控系统安全监测及溯源的研究上也具有着很大的优势。如欧美等国在本世纪初就开始了在工控系统技术标准及防御措施等方面的研究,并建立起来具有高水平的工控系统攻防实验室。其中较为有名的工控系统攻防实验室有美国爱荷达等。我国在2010年左右实现了工控系统安全研究上的发力,在国家政策的导向下,我国工控系统得到了长足的发展,在工控系统的安全监测及溯源系统的设计上也得到了不错的发展。当前,基于系统安全而设计的工控系统安全监测及溯源系统的设计主要有以下三种类型,主要是从特征匹配、流量分析、工控协议三个维度来展开。其中,以特征匹配库而设计的工控系统安全监测和溯源系统,只要是通过对在工控系统内部运行的数据进行监测,并就此对未来数据进行模型的匹配。若匹配不上则认定为入侵数据。而后会启动相应的预警系统进行干预。以流量分析而设计的工控系统安全监测和溯源系统,是通过采集工控系统运转时的正常流量并作为原始通信系统的数据计入到风险控制模块当中,一旦发现工控系统内部单元的流量超过了预警线,将对异常流量展开相应的追踪和监测。以工控协议而设计的工控系统安全监测和溯源系统,采用系统还原的方式来监测系统内部的协议是否存在恶意篡改,并通过打补丁的方式实现对工控系统协议漏洞的修复。从对以上三种安全监测和溯源系统的分析当中可以发现,这些系统处在一个相对低级的阶段,对危险的识别能力及处置能力相对不高,与当前所能够提供的软硬件水平相较很多功能没能够得到深度的开发,如机器学习、风险算法等,这也是当前工控系统安全监测、风险溯源能力不足的主要成因。
2. 工控系统安全监测及溯源系统的系统设计
技术的不断发展为工控系统的升级提供了可能。此次研究当中所设计的安全监测及溯源系统是在现有的软硬件基础之上而采用全新的分布式结构,它能够实效系统内各模块的最大化系统,提升工控系统的集成化管理能力,同时眼能够实现既有软硬件的虚拟分布系统。在应用设计上也相对较为简单,主要是采用流量采集的方式来进行。具体的实现过程当中,主要是在工控系统的网络链路当中布置监测探针,这些探针具有较高的灵敏性且监测性能好,能够对工控系统网络链路当中的异常数据进行采集和预处理。
2.1工控系统安全监测及溯源系统的系统构成
工控系統安全监测及溯源系统的系统组成有两大部分组成,一是由采集探针为主的前端采集系统,二是有数据分析中心为主的后台集中分析处理系统。这样的前台探测+后台处理的分布式布局,能够在精准的采集基础上实现对异常数据的可视化分析,便于工作人员基于工控系统提示而采用及时的干预措施。此次设计当中的前台探测层包括有:数据包、业务流、工业协议指令、网络会话指令、业务性能测试、工业协议测试及主动探测系统等组成,能够对工控系统网络行为展开分析,也能够实现对工控系统中网络安全及异常行为的分析。后台的处理层又可分为分析调度层和交互层两大版块。其中,交互层主要包括了主动探测、多维度动态关系、数据监测、攻击监测、异常监测、大数据平台、安全知识库、通信行为监测、任务调度、数据存储、数据采集、二次分析、网络预警、网络报警等功能单元构成。交互层包括了态势图与人际交互、分析视图查询、分析视图报表、分析视图事件、配置管理以及事件告警等部分组成。
2.2工控系统安全监测及溯源系统的智能探针设计
智能采集探针是该工控系统安全监测和溯源系统设计当中的核心单元,其性能的高低直接决定了数据采集的精度及预警实施的效率。此次研究当中所设计的智能探针在捕获工控系统链路流量的时候,采用的是镜像或分光的方式来进行,能够实现对全链路的覆盖。对于不同的监测口会采用不同的分析板卡以保证智能采集探针的监测质量。同时,为了降低链路传播中的延时问题,采用更为有效的采集、转发及数据分析的三分离设计,保证各探针在采集数据后能够输送至中央处理单元来实现对于安全风险的预警。探针系统采用深度包检测技术、Suricata + PFRING 技术,对大流量、高并发网络进行全流量采集和初步分析。这是该系统能够有着较高安全监测能力和溯源能力的关键。
2.3工控系统安全监测及溯源系统的系统部署
工控系统安全监测及溯源系统的系统部署体现出较高的通用性。用户不需要专门地进行网络的改造,可依托传统的以太网来实现工控系统风险监测及溯源的功能。其中,探针的部署中覆盖面较大,通常地在各单位的网络入口,主干线路及工控现场要进行安装,为保障采集的质量建议用户在汇聚层和接入层也需要安装智慧探针。对于分析数据中心的系统配置而言,要依据企业工控的风险预设进行合理的配置。一般地,需要配备多台服务器及客户终端。这将依据客户的工控规模而定。这是确保工控系统安全监测及溯源系统的设计具有较高适用性的关键。
2.4工控系统安全監测及溯源系统的关键技术
工控系统安全监测及溯源系统的关键技术主要体现在三个方面。首先是工控系统安全监测及溯源系统的协议深度分析系统。在对当前的工控系统安全风险的深度分析当中可以发现,工控系统的多半攻击选定的目标都是工控协议。在对工控系统安全监测系统的设计实践当中也表明,工控系统的安全监测若采用单一的协议解析办法往往不能够起到全面的预警效果,很难保证对于工控系统网络链路中协议的准确识别。因此,此次研究的过程中,工控系统的协议采用的是特征串、协议特征及业务行为匹配三种方式来进行,这样的一种设计能够基本涵盖了主流的工控系统协议。能够在实现对主流业务层协议识别的同时,对于新出现的工控系统协议有着一定的拓展识别能力。这在很大程度上提升了工控系统的适配性,也使得这一系统的分析和解决能力得到了快速的升级。其次是工控系统安全监测及溯源系统的安全预警挖掘。此次设计当中在流量分析的基础上,着力构建了安全预告模块和关联引擎模块。在运行的过程当中,将结合工控系统网络的流量、性能等展开数据建模,并采用关联分析、时序模式分析等多种方式来实现对预警数据的处理。如在工控系统安全监测系统的运行过程当中,一旦出现了工控网络中的实时流量与正常的流量值存在着偏差,将通过对异常流量的监测和分析,并上传分析,而后由系统对是否感染了木马或病毒进行确认。
2.5工控系统安全监测及溯源系统的存储回溯方案。
此次设计的过程当中,极大了对于溯源系统的设计,这是之前多数工控系统所欠缺的。这一方式能够较好地实现对于异常数据的深度识别、解码及分析,这对于安全事件的调查取证有着重要的意义。当前所设计的这一套系统能够实现对150多种工控网络常见运行协议的兼容。这一系统与传统的工控系统相比在数据检索回放上也具有着很大的优势。操作人员通过控制菜单的操作能够随时调阅不同控制单元的历史流量数据、预警信息等。系统中的采集器将对链路中的数据进行实施的捕获,在捕获后为避免产生演示特意添加了KAFKA作为工控系统数据采集的缓冲层。离线的批处理模块主要是对系统中的数据进行深度的挖掘,并将所挖掘到的数据存储到数据的缓冲层。实时在线的处理模块主要对流数据进行处理,并进行在线的分析,同时也会将扩围数据中的非正常数据放到系统的数据存储层当中。实施警告分析模块,主要是在实时在线处理的基础之上来实现退所发现异常数据进行推动,并通过大数据的后期跟踪实现对数据存储的溯源。
3工控系统安全监测及溯源系统的系统实现
为更好地工控系统安全监测和溯源系统的实效,特选取某企业就这一新研发的系统进行了实测。本企业是一个中小型企业工控系统相对较小。在应用的过程当中记忆这样的一种情况进行了优化。从配置上而言,某企业的工控系统安全监测和溯源系统所用的数据包括了以下设备,有互联网探针1探,工控探针1探,数据管理中心1个。数据管理中心设置,主动探测、数据监测、攻击监测、异常监测、大数据平台、通信行为监测、任务调度、数据存储、数据采集、二次分析、网络预警、网络报警等功能单元各一。分析视图查询、分析视图报表、配置管理以及事件告警等功能单元各一。系统搭建完成之后,较好的完成了对于工控网络链路的全流程检测,实现了对工控指令攻击、攻击参数篡改、非法设备接入等行为的记录和存储。在运行的3个月中共发现工控指令攻击1次、攻击参数篡改2次,非法设备接入6次,实现了对工控系统攻击的有效预防。同时,工控协议攻击预防当中,也发挥出了巨大的为例,在运行的过程当中成功捕获一些异常工控协议时间,通过匹配分析最终认定为攻击行为。工控系统协议遭受攻击后,直观的试图分析也使得人员对这一问题有了更为从容的应对。在采取相应的干预措施之后,通过对流量趋势的持续性观测得到了干预措施的直接反馈,实现了对这一问题的妥善解决。同时,通过事后分析系统,对这一攻击行为的来源进行了确定,将相关的攻击数据按流程进行了上报。这次所设计的工控系统安全监测及溯源系统在溯源能力上也显示出了巨大的进步,由上文所提及的在遇到攻击行为之后,链路中的数据开始记录,对原数据包进行存储的同时,对历史数据包也进行了回溯。这为上文中所提及的安全事件的取证提供了巨大的支撑。总体而言,此次工控系统安全监测和溯源系统在实际运行中运作正常能够较好地帮助企业应对来自网络的攻击行为。同时,能够在溯源模块的支撑下实现对攻击源头的定位,并对整个过程进行数据取证。该系统可进行大面积的推广。
4结束语
工控系统安全性极为关键,一旦出现问题将给企业带来不可估量的损失。随着技术的不但发展工控系统的链路变得更为开放,依托于现有互联网网络而搭建起的工控系统获得更大技术加持的同时,也遇到了一些隐性的问题。如传统IT/IP网络的病毒、木马等攻击行为也通过互联网这一通道开始向工控系统内蔓延。因此,需要设计出更加灵敏、更加准确的安全监测和溯源系统来应对这一挑战。此次研究中设计了一个新型的安全监测和溯源系统,它是由采集探针为主的前端采集系统和有数据分析中心为主的后台集中分析处理系统共同组成。探针的部署中覆盖面较大,通常地在各单位的网络入口,主干线路及工控现场要进行安装,为安全监测和溯源提供了强大的支撑。在对这一设计的实测当中发现,该系统能够较好地实现了对工控指令攻击、攻击参数篡改、非法设备接入等行为的记录和存储,完成了对于协议攻击的原始数据取证工作。同时显现出来较高的稳定性。在工控系统分析不断加大的今天,这一系统将拥有更为广阔的应用空间,值得大面积的推广,能够诶工控系统提供强有力的保障。
参考文献:
[1]顾志华,楼立,王小栋,王巧.自动化码头岸边集装箱起重机工控系统信息网络安全防护设计[J].港口装卸,2021(04):24-26.
[2]刘刚,林棋,边学文.工业控制网络安全性分析——以中亚某天然气管道为例[J].石油工业技术监督,2021,37(08):29-32.
[3]唐嘉,赵咏,韩涛.某石油化工企业基于等保2.0的工控系统网络安全评估与建议[J].网络安全和信息化,2021(07):127-129.
[4]王琦. 基于隐半马尔科夫模型的工控系统入侵检测方法研究[D].广东技术师范大学,2021.
[5]张春杰. 基于博弈理论的工控系统信息安全风险评估技术研究[D].长春工业大学,2021.
[6]陈实.浅谈机械制造修理企业工业控制系统网络面临的安全挑战[J].中国管理信息化,2021,24(09):129-132.
[7]于寅虎.工控信息安全体系建设筑牢“新基建”安全底座——专访北京神州慧安科技有限公司首席科学家 张友平[J].信息技术与网络安全,2021,40(03):6-8.
[8]王新,胡良,刘建军,刘虎天,燕云,朱宝岩.主动型全面风险防控系统在整合煤矿安全管理中的应用[J].内蒙古煤炭经济,2021(04):76-78.
[9]杨丙红.探讨基于网络流量异常检测的电网工控系统安全监测技术[J].通信电源技术,2021,38(03):235-238.
[10]景峰,张雪芹.工业控制系统低干扰风险评估技术研究[J].山西电力,2020(06):41-43.
[11]杨航,刘益松,刘贵恒,周飞艳.基于网络流量异常检测的电网工控系统安全监测技术[J].电子技术与软件工程,2020(22):259-260.
[12]李世斌,李婧,唐刚,李艺.基于HMM的工业控制系统网络安全状态预测与风险评估方法[J].信息网络安全,2020,20(09):57-61.
项目基金:本文系2017年度湖南省教育厅重点科研项目:基于监测及控制系统升级设计的轴承压装机改造(项目编号:17A060)研究成果。