基于流量探针技术的工业企业侧网络安全态势感知模型研究

樊荣

（江西省网络安全研究院，江西 南昌 330019）

0 引言

工业是国民经济发展中重要的基础产业，是经济发展和社会进步的基石。随着我国工业行业由传统产业向数字化、网络化和智能化转型升级，网络安全威胁也日益向工业领域蔓延。然而，当前我国工业信息安全总体形势仍不容乐观。以美国为首的西方国家一方面加大力度进行网络安全建设，不断强化网络安全监管和防御能力，不断壮大网络安全人才队伍，工业信息安全监管迈向落地阶段，并促进工业信息安全供应链本土化，另一方面也利用其领先地位和强大的经济实力不断在网络空间进行渗透。为此，按照国务院《关于深化“互联网+先进制造业”发展工业互联网的指导意见》要求，为加快构建工业互联网安全保障体系，提升工业互联网安全保障能力，促进工业互联网高质量发展，推动现代化经济体系建设，护航制造强国和网络强国战略实施，工业和信息化部、教育部等十部委又印发了关于《加强工业互联网安全工作的指导意见》的通知，通知进一步围绕工业互联网安全技术保障平台建设提出要求，打造整体态势感知能力。从监测对象覆盖范围来看，态势感知能力涉及多个角度，如针对工业互联网网络关键节点的，针对工业互联网平台侧的，针对工业企业侧的等。因此，研究针对企业侧的工业互联网安全态势感知系统，对推进整体态势感知能力，具有重要意义。

1 工业企业侧网络安全态势感知平台模型

1.1 设计目标

工业企业侧网络安全态势感知属于工业互联网安全整体态势感知能力的一部分，侧重于对重要工业企业的重要网络节点及关键位置的网络流量进行全面细致的监听和采集，通过工业互联网环境主网络对工业监控软件、工业组态软件、工业控制器（PLC、RTU、DTU）以及其他工业互联网设备之间的通信数据实现集中监控。同时，还应设计数据通信接口，支持将采集分析的数据同步至区域级或行业级的综合态势感知网络或平台中，为大数据分析提供重要的数据支撑，以便提升数据分析能力和风险研判能力。

1.2 模型框架

工业企业侧网络安全态势感知模型设计，应考虑提供统一、集中的监控分析平台，通过实时收集与统计部署在各个网络节点的流量探针系统上报的各类日志数据，提供海量数据的聚合、分类与可视化集中展现。同时，实现对探针系统的策略、规则集中管理与统一下发，并可以做到资产管理、报告生成等功能。将数据采集、实时上报、关联分析、安全报告等形成闭环。总体模型如下图1所示：

图1 工业企业侧网络安全态势感知模型

其中流量探针系统将工业企业现场控制系统的重要核心节点流量通过镜像方式进行采集，并发送至威胁分析引擎，经过对工控行为与协议的深度解析，匹配行为库规则，对异常行为报警，并将所有日志数据统一采集汇总，集中在数据存储系统中，通过数据检索引擎实现统一检索。

2 流量探针模型

2.1 探针系统架构

因流量探针系统能够采集到工业企业核心网络节点处的数据，如将该部分流量数据实时上传后再全面分析，存在网络被恶意监听、数据被截获解析的风险，造成工业企业生产工艺和关键数据泄露的隐患。此外，大型工业企业往往需要部署大量探针，各探针如果均采用全流量实时上传，将出现带宽瓶颈和后端平台处理性能瓶颈问题。因此，需要在流量探针中设计一套分析系统，实现基础的分析能力。流量探针中的分析系统架构如下图2所示：

图2 流量探针分析系统架构

为了便于部署，流量探针系统可以采用软硬件一体化设计，当然，在使用了虚拟化技术的环境下，也可以用纯软件方式部署在虚拟机中。流量探针以分析系统采集分析组件为核心，实时采集、分析、统计及存储网络数据。同时，还需要设计可视化分析、配置组件、控制台组件与前端服务组件，控制台组件建议采用 C/S技术架构，前端服务组件建议使用B/S技术架构。当用户需要监控分析指定的目标网络时，则可通过控制台连接到服务器，进行远程实时分析和回溯分析，控制台要支持与服务器进行一对多并发连接。用户通过前端服务组件可实现对流量数据的直接管理，并进行各类统计查询。

2.2 探针关键能力设计

部署在工业企业的流量探针系统要充分发挥作用，离不开一些关键能力的实现，主要包括以下几个方面：

（1）工控协议深度检测能力。工业控制系统中各设备厂商大量采用私有协议，导致无法使用传统的IT协议分析技术对其解析，因此需有针对性地采用工业控制协议安全深度解析技术，实现常用工控协议的深度解析，并对所有行为进行指令级解析后做审计，生成完整的行为记录，便于事后回溯。相关解析能力包括：支持OPC协议的深度包检测、OPC动态端口开放，报文格式和完整性检查；支持Ethernet/IP、Modbus/TCP、IEC104、DNP3、Profinet、MMS、S7、GOOSE、SV等工控协议的深度检测，例如报文格式检查、功能码控制、寄存器控制、连接状态控制等的检测。

（2）异常流量检测能力。异常流量检测，应在不影响网络性能的前提下进行，提供对内外部攻击和误操作的实时告警。异常流量检测是通过从工控计算机网络系统中的若干关键点收集信息并对其进行分析，从中发现违反安全策略的行为和遭到攻击的迹象，并做出自动的响应。其主要功能是对用户和系统行为的监测与分析、系统配置和漏洞的审计检查、重要系统和数据文件的完整性评估、已知的攻击行为模式的识别、异常行为模式的统计分析、操作系统的审计跟踪管理及违反安全策略的用户行为的识别。入侵检测通过迅速地检测入侵，在可能造成系统损坏或数据丢失之前，识别并驱除入侵者，使系统尽快迅速恢复正常工作，并且阻止入侵者进一步的行动。同时，收集有关入侵的技术资料，用于改进和增强系统抵抗入侵的能力。

（3）工控行为和协议规则自学习能力。为了提高风险告警的准确度，可使用具有自学习能力的模型和算法，在用户处置告警信息时，对多次忽略或频繁关注的告警信息进行统计分析，动态更新告警黑白名单，更新时还可引入交互确认机制。同时可提供基于元数据的网络行为配置能力，对特定复杂环境下正常和异常的操作行为或场景，使用简单、轻量级的语法规则描述语言进行预设，结合深度解析工控协议能力，降低风险告警的误报率和漏报率。通过综合对多个操作行为进行时间关联分析，按照主动防御的观点来判断其是否实际存在入侵、攻击等威胁，检查潜在威胁在不同组件之间的相互关系。

（4）工控资产梳理及画像能力。通常情况下，想要获取工控资产的详细准确信息，一般是需要发送满足响应协议规范的数据包，并取得目标的返回信息后才能实现，而在采用流量探针技术的情况下，要实现资产的管理和画像，就必须提供便捷的交互通道，开放录入、导入接口。同时设计新增活跃主机预警机制，通过对网络中主机设备通讯情况采集上报分析，及时发现新增活跃主机，基于系统内置标签引擎，对主机 MAC 厂商、IP 特性、数据包分布、传输模式、报文类别、负载特性、操作系统、软件版本、数据方向、会话协议、端口访问、通信频率、通讯模式等网络行为进行标记，形成包含大量工控画像标签的网络画像标签库。通过画像标签构建工控资产画像和资产关系，并提供资产相关的网络画像图谱展示能力，实现端口服务、通讯关系、威胁事件、组件信息多种类型数据分类。为了便于管理，在设计可视化能力时，可以将资产按照预设的网段进行分类，网段内有内访关系的设备用直线进行连接，有外访关系的通过列表展示，以便对资产间的通联访问关系进行清晰直观的展现。

（5）全流量网络回溯分析能力。在异常数据分析发现重要线索时，往往需要再次对历史数据进行异常行为回查才能取得进一步线索，探针的作用其实和视频监控的作用类似，探针设备应具备充足的存储空间，以存储一定时间段内的网络全流量，并在此基础上提供全流量网络回溯分析能力。例如设计对存储的数据流、会话及应用日志等各种统计数据进行快速检索功能，并对已经发生的网络行为、应用数据和主机数据进行回溯分析，为迅速定位问题发生原因提供更全面的分析依据。

3 应用效果

目前，该模型已经在江西省省级工业互联网安全态势感知平台项目中得到应用，并延伸至江西省上饶市、九江市、萍乡市等市级工业互联网安全态势感知平台中进行推广应用。覆盖了对应辖区内数十家规上工业企业，自投运以来，各项功能运行正常，效果良好。

4 结语

本文分析了基于流量探针技术的工业企业侧网络安全态势感知平台层次化模型，重点介绍了流量探针系统的架构和关键功能设计思路，提出了要打造工控协议深度检测、异常流量检测、工控行为和协议规则自学习、工控资产梳理及画像以及全流量网络回溯分析等五大能力。该模型的应用，可以打通工业企业安全数据孤岛，汇集工业企业安全数据，从而实现工业互联网安全监测与感知，在不影响工业企业业务运行的情况下，实现多种技术手段采集数据，建立网络多节点的数据安全交换模式，建成通报预警资源和基础数据平台，做到全天候感知工业企业控制系统安全状况，有效预知威胁信息。