基於蜜網的工業網際網路協同檢測技術研究

【摘要】本文根據工業網際網路的執行特點，提出了一種基於蜜網的工業網際網路安全檢測評估方法。該方法對於滿足工業企業保障網路安全的需求，構建有效的工業網際網路安全防護體系具有一定的借鑑意義。

【關鍵詞】工業網際網路蜜網協同檢測

1 引言

工業資訊化是世界各國21世紀先進製造業的重要發展方向。為引導製造業升級，近年我國相繼釋出了《“工業網際網路 + 安全生產”行動計劃(2021—2023年)》等發展綱要[1]，努力實現重點工業領域的智慧轉型。工業網際網路平臺作為工業智慧化發展的核心載體，實現了海量異構資料匯聚與建模分析、工業製造能力標準化與服務化、工業經驗知識軟體化與模組化以及各類創新應用開發與執行，支撐了生產智慧決策、業務模式創新、資源最佳化配置和產業生態培育。

而隨著工業資訊化戰略的逐步推進，各種針對工業控制系統的安全攻擊事件頻發，尤其是“震網”“火焰” “毒區”等APT攻擊的出現，充分反映出工業網際網路領域中安全威脅日益嚴峻。現有工業網際網路系統架構缺乏有效的安全防護體系，在當前智慧開放的大背景下，工業網際網路製造生產線中的控制、採集、監控及質量檢測裝置、現場匯流排以及ERP，PDM，MES，OA等企業資訊系統(EIS)中的核心資料，如工藝資料、生產資料資料、質量測量資料等都隨時可能被攻擊者竊取或篡改破壞。如何保障工業網際網路的安全性，防範工業網際網路智慧製造生產線中的安全威脅，避免敏感工業資料被不法分子利用，是關係國家安全的重大命題。

本文以工業網際網路網路化協同製造平臺為研究物件，提出一種基於蜜網的工業網際網路協同檢測技術，透過在工業網際網路的邊緣層部署配置多個誘餌蜜罐系統設施[2]，利用重定向器將攻擊資訊進行統一收集和分析，結合上層的威脅特徵提取檢測技術，建立工業網際網路協同檢測機制，及時識別威脅、阻斷威脅攻擊，並針對工業網際網路平臺安全狀態進行安全評估，提升現有工業網際網路平臺的安全防護和預警能力。

2 系統架構

蜜網是指在同一監測網路中配置多個誘餌節點的蜜罐系統形態。多個蜜罐誘餌節點的設定通常參考真實業務環境，不同的業務場景有不同的網路拓撲、工作流程及狀態更新和控制需求。蜜網由於其高複雜度的誘餌環境特點，可為研究監測攻擊行為的入侵及傳播方式提供更多深層次資訊。

基於蜜網的工業網際網路協同檢測技術的整體設計思想為：透過部署分散式蜜罐系統構建真實工控蜜網場景，誘捕攻擊者進行攻擊，從而探測發掘異常流量，並將異常流量重定向至安全分析層，結合海量威脅情報進行關聯分析，實現對攻擊者的多維度畫像，獲得攻擊者和攻擊組織最全面的攻擊資訊。透過對攻擊流量特徵進行提取，充分融合工業網際網路複雜的網路拓撲結構資訊，可實現對工業網際網路系統的安全態勢進行定量分析。

如圖1所示，系統整體架構採用的是PDRR分層設計原則，可分為資料捕獲、資料儲存、安全分析及安全評估4層，各層功能簡要描述如下。

(1)資料捕獲層：該層主要透過部署在各監控子網的蜜罐系統，結合具有重定向功能監測探針，完成外部攻擊行為的資料採集，具體包括：資料記錄、資料抓取、資料過濾、資料轉發等功能。最終將該網路中所有受監控的可疑流量資料重定向到蜜網控制中心。

(2)資料儲存層：針對回傳的蜜網攻擊行為監測資料，對其進行初步資料清洗、融合等處理，並基於威脅情報、行為解析、事件關聯、狀態評估等關鍵技術實現統一蜜網資料融合與儲存。

(3)安全分析層：針對工業網際網路網路中的潛在威脅，透過在網路中分散式部署蜜網威脅監測體系收集得到的多層次網路流量，運用智慧學習分析技術，同時結合資料互動，非法接入識別、非法掃描識別、非法探測、非法操作行為識別等方式，分析識別資料流量中的惡意行為和未知威脅。

(4)安全評估層：梳理關聯後的多元化安全行為事件集，構建威脅監測技術體系。從不同粒度對系統的安全狀況進行評估，實現從輸入狀態到輸出狀態空間的非線性對映，對系統威脅和脆弱性的發展趨勢、網路區域性和整體安全狀況的發展狀況進行預測並對實際業務進行預警防護。

3 詳細模組設計

3.1 資料捕獲層

資料捕獲層主要透過部署分散式蜜罐系統形成蜜網，從而構建真實工控場景，誘捕惡意攻擊行為，並探測發掘異常流量將其重定向到蜜網控制中心。

蜜網中攻擊資料感知與捕獲單元由多個不同型別的工控蜜罐組成，這些蜜罐分佈於工業網際網路系統中，並構建形成真實工控場景，可24小時不間斷捕獲網路空間中針對工控裝置的掃描。分散式蜜罐系統是資料俘獲層的基礎，是整個系統的資料來源。合理的蜜罐設定及部署，有助於迷惑攻擊者，更多地捕獲惡意攻擊行為資料。為更好捕獲惡意攻擊行為，蜜網中可聯合部署低互動和高互動蜜罐系統。其中低互動蜜罐只是以最簡的方式擴充套件協議型別，誘騙更多的攻擊者或空間搜尋引擎的掃描，監聽工業控制協議埠，不進行任何協議互動，只記錄攻擊者的協議請求資料包和攻擊者IP資訊。高互動蜜罐可透過定製開源工業控制蜜罐實現，包含會話管理、協議互動、模板排程和日誌配置等。其中會話管理是高互動蜜罐的核心模組，它採用事件佇列的方式，將攻擊事件儲存在佇列，對外提供獲取會話的方法。協議互動模組提供多種工控協議模擬功能，並對外提供統一呼叫介面，保證協議服務的呼叫的統一性。協議互動模組實質上是作為協議實現的伺服器例項，透過監聽相應的協議埠，處理攻擊者傳送的請求資訊。資訊的處理方式採用函式回撥機制，保證訊息處理的函式自定義化。

資料捕獲層工作流程如圖2所示，高互動蜜罐的處理流程圍繞高互動蜜罐主程式進行，將各個模組進行協同工作，當攻擊者連線高互動蜜罐時，會生成連線會話。會話管理服務將每次會話加入會話佇列，為不同協議服務提供查詢介面。根據不同攻擊協議埠，呼叫不同協議服務例項。每個服務例項都設定執行緒池，當查詢到對應的協議會話時，會開闢新的執行緒進行處理。處理過程採用回撥機制，將處理完的結果返回給主程式。攻擊者傳送連線資料包或請求資料包時，會話管理和回撥函式都會產生日誌並本地化，並定向上傳到蜜網控制中心。

3.2 資料儲存層

工業網際網路的蜜網監測流量資料形式複雜多樣，呈現典型的資料“多源異構”的特徵。不同的蜜網監測單元由於其所在硬體裝置及對應作業系統的不同，如有可能來自於多個數據源並涵蓋系統的不同層次，這使得其資料的產生時間、使用場所、程式碼協議，乃至最終蜜網監測資料的儲存模式和邏輯結構也差別巨大。

一般來說，實際蜜網監測資料可能同時包含結構化、半結構化和非結構化資料。其中，結構化資料指關係模型資料，即以關係資料庫表形式管理的資料；半結構化資料指非關係模型的、有基本固定結構模式的資料，如日誌檔案、XML文件、JSON文件、E-mail等；而非結構化資料指沒有固定模式的資料，如一些感測器資料、文字資料等。不同型別的資料在資料捕獲過程中由於缺乏統一的標準，因此造成了資料“異構”的特徵。為便於統一儲存管理，蜜網在採集時將資料輸出格式統一為JSON格式[3]。JSON具有簡潔清晰的層次結構，是理想的資料交換語言，易於閱讀和編寫，同時也易於機器進行生成和對內容進行解析，可有效提升網路傳輸效率，資料儲存流程如圖3所示。

鑑於蜜網所採集到的資料質量難以保證，存在資料缺失、錯誤等問題。同時來自不同系統的資料格式也並不統一，需要先進行資料清洗才能進行後續資料的有效分析。資料清洗目的在於格式化資料，透過資料轉換方法將多源異構資料轉換成統一的目標資料格式，形成統一規範。而後透過資料篩選、資料修復等手段提高資料的質量，完成對不同資料指標之間的轉換計算。有時對工業網際網路平臺的蜜網資料進行清洗解析所得到的結構化資料中，存在某些多維特徵集合共同表徵某個特定的含義。因此資料清洗完後，還需要針對多源異構資料集合進行資料融合處理，以使得該特徵資料在保留基本資訊同時減少冗餘。資料歸一化儲存目的是遮蔽資料之間型別和結構上的差異，解決多源異構資料的來源複雜、結構異構問題，有利於上層對資料管理和分析，實現使用者無差別訪問，充分發揮資料的價值。在具體資料儲存中，合理資料庫的選擇可以減少資料檢索的時間，提高資料查詢的準確度，是後續資料關聯分析處理的基礎。

3.3 安全分析層

安全分析層結合智慧學習分析技術，深度識別蜜網資料流量中的惡意行為和未知威脅。本層可分為檢測建模和威脅識別兩個階段。其中檢測建模階段，主要採用基於控制行為聚類分析的業務模式智慧學習分析技術，結合工業網際網路生產網路通訊主體控制報文互動特點，透過提取表徵工業網際網路生產網路通訊業務報文的多維特徵量，採用k-means聚類演算法從大量工業網際網路樣本資料中挖掘出正常業務控制行為的類簇，建立工業網際網路生產網路的正常業務行為特徵庫。在威脅識別階段，則利用該特徵庫對蜜網所捕獲的新生報文進行實時監測以判斷是否是攻擊，安全分析層工作原理如圖4所示。

安全分析建模階段是從大量歷史工業網際網路通訊業務網路報文中提取業務行為的一組類似<控制域、應用層功能碼、指令方向、……、指令傳送時間>等的n維特徵向量，透過對這些特徵向量的學習，使用k-means聚類分析演算法，構建業務行為模型。透過k-means演算法統計分析實際報文特徵來進行業務指令行為的資料探勘，完成聚類分析，使得同一類的業務行為被聚集到了相同的聚類子類中，實現對業務指令行為的功能分類。

k-means聚類子類形成了多類業務指令行為集，透過對明顯離群點或重複錯誤指令形成的聚類子類進行標記過濾，構建出業務的多層次特徵集合，採用監督型機器學習演算法，如支援向量機演算法(Support Vector Machine，SVM)，對上述已標記的歷史報文集進行學習，構建出正常業務訪問模型。

在威脅識別階段，透過採用單模式匹配演算法和DFA相結合的方式進行工業網際網路網路流量高速解析及業務還原，構造實際系統執行過程中的業務指令特徵向量，利用訓練階段建立的正常業務模型對監測向量進行實時比對，如果新報文不屬於任何類簇，則判斷髮生異常的指令級攻擊模式。

3.4 安全評估層

安全評估根據蜜網收集的攻擊行為資料，結合安全分析結果，對整體工業網際網路網路安全狀態進行評估[4]。在本層中主要側重於工業網際網路的裝置和通訊安全，重點評估系統中的身份認證、訪問控制、安全審計、惡意程式碼防範、資源控制、輸入輸出控制、漏洞檢測與修補、控制系統及應用軟體測試與程式碼審計、裝置內建模組檢測等方面，並根據工業網際網路實際應用場景的業務特點、實體結構和控制協議等進行測評項的細化，使得評估具有針對性，能更精準發現工業網際網路的安全漏洞、脆弱性，安全評估層工作流程如圖5所示。

在安全評估層主要採用層次分析法的分層思想，透過分析《工業控制系統資訊保安防護指南》《資訊保安技術網路等級保護基本要求》《資訊保安技術網路等級保護測評要求》(等保2.0)，以及《涉及國家秘密的資訊系統分級保護測評指南》(分保)等相關標準和指南，結合目前工業網際網路生產線的業務需求及安全需求，結合工業網際網路生產線安全架構的特點，每個因素對應的指標將對應工業網際網路生產線安全架構中的各類安全機制，具體在應用中將參照等保2.0、分保等標準和指南中的規範，結合“工業網際網路漏洞挖掘分析及威脅辨識”等方法和技術對工業網際網路生產線進行漏洞挖掘分析和威脅辨識檢測，並利用所建立的漏洞庫和威脅模型對漏洞和威脅進行定性和定量分析，得到指標層及其打分依據。