今日頭條
官方微信
官方抖音
資訊頻道摘要:隨著工業(yè)互聯(lián)網(wǎng)的快速發(fā)展,企業(yè)逐步從數(shù)字化向信息化、智能化轉變。在生產(chǎn)效率提高的同時,也面臨著網(wǎng)絡安全威脅不斷增加的問題。工控網(wǎng)絡的態(tài)勢感知技術可以全方位實時地監(jiān)控整個行業(yè)或者地域的工控系統(tǒng)網(wǎng)絡安全狀態(tài),而通過數(shù)據(jù)采集進行高效快速地獲取有用數(shù)據(jù)是整個態(tài)勢感知的關鍵。本文通過對態(tài)勢感知的數(shù)據(jù)需求入手研究,結合當下的數(shù)據(jù)采集技術,對數(shù)據(jù)采集模塊進行了設計,為工控網(wǎng)絡態(tài)勢感知的建設提供必要的數(shù)據(jù)支持。
關鍵詞:工控安全;態(tài)勢感知;數(shù)據(jù)采集
Abstract: With the rapid development of the industrial Internet, enterprises have gradually shifted from digitalization to informationization and intelligence. While increasing production efficiency, it is also facing the problem of increasing network security threats. The situational awareness technology of the industrial control network can monitor the network security status of the industrial control system in the whole industry or region in real time, and the efficient and rapid acquisition of useful data through data collection is the key to the whole situational awareness. In this paper, taking the data acquisition products of Bolean Technology Co., Ltd as an example, we start with the situational awareness data requirements, combines the current data acquisition technology, briefly describes the core concept of Bolean data acquisition product design, and provides necessary data support for the construction of industrial control network situational awareness.
Key words: Industrial control safety; Situational awareness; Data collection
1 前言
80%以上的影響國計民生的國家重要基礎設施通過工業(yè)控制系統(tǒng)來實現(xiàn)自動化作業(yè),工業(yè)控制系統(tǒng)是能源、化工、水利、冶金、電力、交通、航空航天等基礎設施的“中樞神經(jīng)” [1],是工業(yè)互聯(lián)網(wǎng)的重要組成部分。工業(yè)控制系統(tǒng)隨著逐步接入互聯(lián)網(wǎng),除了要應對傳統(tǒng)的安全威脅,也開始面臨越來越多的網(wǎng)絡攻擊,攻擊者通過對暴露在互聯(lián)網(wǎng)上的工控系統(tǒng)進行針對性的嗅探,在收集足夠的信息后,利用發(fā)現(xiàn)的漏洞或后門,開展對工控系統(tǒng)的攻擊或持續(xù)性威脅,而一旦對工控系統(tǒng)的攻擊成功,將會對國家利益和人民生活造成巨大的損失和影響[2]。
“十三五”規(guī)劃伊始,網(wǎng)絡空間安全就已上升至國家安全戰(zhàn)略,工控網(wǎng)絡安全作為網(wǎng)絡安全中薄弱而又非常重要的部分,如何全方位掌握工控系統(tǒng)和網(wǎng)絡的安全態(tài)勢變?yōu)榧毙杞鉀Q的重要問題之一。《中華人民共和國網(wǎng)絡安全法》于2017年6月施行,其規(guī)定關鍵信息基礎設施和網(wǎng)絡運營者是網(wǎng)絡安全責任主體,應負責編制和組織實施本行業(yè)、本領域的關鍵信息基礎設施安全規(guī)劃,應建立、健全本行業(yè)、本領域的網(wǎng)絡安全監(jiān)測預警和信息通報制度,并保證安全技術措施的同步規(guī)劃、同步建設和同步使用。工業(yè)和信息化部在2017年底編制并印發(fā)了《工業(yè)控制系統(tǒng)信息安全行動計劃(2018-2020年)》,行動計劃中明確,要在2020年實現(xiàn)“一網(wǎng)一庫三平臺”的建設計劃。其中的“一網(wǎng)”即為全國工控系統(tǒng)網(wǎng)絡空間安全在線監(jiān)測系統(tǒng),目的就是實現(xiàn)對全國重要工業(yè)基礎設施的工控系統(tǒng)運行狀態(tài)、網(wǎng)絡安全、風險隱患等能夠實時感知、精準預判以及科學決策。
2 工控網(wǎng)絡態(tài)勢感知數(shù)據(jù)采集介紹
工控網(wǎng)絡態(tài)勢感知能夠對工控系統(tǒng)網(wǎng)絡空間進行持續(xù)監(jiān)控,具備及時發(fā)現(xiàn)攻擊和異常的能力,通過態(tài)勢感知的安全預警機制,有效地幫助安全人員不斷完善對風險的控制,提升整體安全防護水平[3]。Tim Bass[4]于1999年首次提出通過大數(shù)據(jù)異構分布式采集數(shù)據(jù),實現(xiàn)網(wǎng)絡空間的態(tài)勢感知,并提出網(wǎng)絡態(tài)勢感知功能模型,如圖1所示。
圖1 網(wǎng)絡態(tài)勢感知功能模型
網(wǎng)絡態(tài)勢感知必須要建立在大量的安全相關數(shù)據(jù)采集的基礎上,再結合歷史數(shù)據(jù)、威脅情報、知識庫等給出預判性的告警。其中數(shù)據(jù)采集作為整個態(tài)勢感知的前提,其采集的數(shù)據(jù)足夠全面和準確才能保障網(wǎng)絡安全態(tài)勢分析、評估與預測的準確性。
工控系統(tǒng)主要由工業(yè)控制器、工控主機、數(shù)據(jù)服務器、工業(yè)通信設備、網(wǎng)絡安全設備、工業(yè)應用軟件、通訊協(xié)議等組件構成。工控系統(tǒng)在設計之初并未將安全問題作為重點考慮,因此工控安全威脅往往隱藏在各組件產(chǎn)生的數(shù)據(jù)之中。工控網(wǎng)絡態(tài)勢感知是利用大數(shù)據(jù)技術對海量的工控網(wǎng)絡安全數(shù)據(jù)進行自動分析關聯(lián)處理和深度挖掘,對網(wǎng)絡空間的安全狀態(tài)進行分析總結,從而實時感知可能的安全威脅。工控網(wǎng)絡態(tài)勢感知基礎也是對數(shù)據(jù)的采集,要獲得這些數(shù)據(jù),涉及的信息量大、設備種類多、網(wǎng)絡結構復雜,對數(shù)據(jù)處理的實時性、準確性和高效性等有很高的要求。
目前國際上公認的解決工控網(wǎng)絡安全攻防不對稱問題的方法之一,就是通過數(shù)據(jù)來驅動安全 [5]。對于工業(yè)互聯(lián)網(wǎng)企業(yè)來說,如果黑客的攻擊方法和攻擊目標能被識別,則一方面企業(yè)可以結合全網(wǎng)的安全大數(shù)據(jù)和自身的安全大數(shù)據(jù)提前分析,及時應對。另一方面可以將攻擊信息匯總形成有效的威脅情報,提升整個行業(yè)的防御能力。
因此,數(shù)據(jù)是工控系統(tǒng)態(tài)勢感知的關鍵,而數(shù)據(jù)采集則是整個系統(tǒng)的基礎[6]。通過各種數(shù)據(jù)采集方法和技術,如SNMP、WMI、ODBC、NetFlow、Syslog、SSH等,對各類軟硬件設備進行數(shù)據(jù)的采集。采集數(shù)據(jù)后統(tǒng)一進行數(shù)據(jù)標準化、格式化、規(guī)范化的操作。輸出處理完成的數(shù)據(jù)將作為應用層的輸入數(shù)據(jù),供后續(xù)的工作使用。
3 工控網(wǎng)絡態(tài)勢感知數(shù)據(jù)采集的設計
3.1 數(shù)據(jù)采集的需求分析
態(tài)勢感知能實現(xiàn)全方位監(jiān)測工控網(wǎng)絡空間安全的關鍵是有全面的數(shù)據(jù)作為分析的基礎,因此從數(shù)據(jù)的覆蓋角度考慮,確認采集以下四種數(shù)據(jù):
(1)節(jié)點數(shù)據(jù)
在工控系統(tǒng)中包括多個節(jié)點,一些非法入侵往往會對節(jié)點的數(shù)據(jù)進行惡意修改,或者破壞節(jié)點功能,或者制造虛假數(shù)據(jù)影響節(jié)點的正常運行,因此節(jié)點數(shù)據(jù)的采集至關重要。節(jié)點上數(shù)據(jù)的采集主要源自嵌入式系統(tǒng),因此節(jié)點數(shù)據(jù)的采集實際上就是嵌入式系統(tǒng)上的數(shù)據(jù)采集,概括來講,嵌入式系統(tǒng)是功能特定,資源有限的專用計算機系統(tǒng),對嵌入式系統(tǒng)上任務相關的數(shù)據(jù)進行探測,有助于分析系統(tǒng)的網(wǎng)絡安全問題。
(2)網(wǎng)絡數(shù)據(jù)采集
工控系統(tǒng)往往通過網(wǎng)絡將各個節(jié)點鏈接起來,實現(xiàn)節(jié)點之間的互聯(lián)通信,網(wǎng)絡的引入雖然為系統(tǒng)提供了便利,但也引入了問題,網(wǎng)絡具有其自身的功能和性能,非法入侵同樣能夠對網(wǎng)絡造成干擾和破壞,例如破壞數(shù)據(jù)包、增加網(wǎng)絡負載等,造成節(jié)點之間通信速度降低、數(shù)據(jù)破壞甚至導致網(wǎng)絡癱瘓,網(wǎng)絡數(shù)據(jù)是否正常直接影響到系統(tǒng)的正常運行,因此需要對網(wǎng)絡的數(shù)據(jù)進行采集。
(3)應用數(shù)據(jù)采集
工控系統(tǒng)的一大特點就是具有特定的應用,一個系統(tǒng)是否正常最基本的判斷標準就是能否完成其特定的應用,因此需要對應用數(shù)據(jù)進行探測。從閉環(huán)控制的角度出發(fā),節(jié)點采集的是閉環(huán)控制內部的數(shù)據(jù),應用數(shù)據(jù)則為每個控制的外部表現(xiàn)的數(shù)據(jù)。按照閉環(huán)構成,可將應用數(shù)據(jù)分為傳感器數(shù)據(jù)、控制器數(shù)據(jù)和執(zhí)行器數(shù)據(jù),而這些數(shù)據(jù)都是模擬量,在工業(yè)控制中還存在一些與應用密切相關的數(shù)字量,例如開關、閥門的開合。
(4)日志數(shù)據(jù)采集
作為工控網(wǎng)絡態(tài)勢感知的重要數(shù)據(jù)源之一,日志數(shù)據(jù)是必不可少的,日志可以記錄網(wǎng)絡系統(tǒng)、設備、工業(yè)軟件等運行的真實狀態(tài)。對于系統(tǒng)維護,安全感知至關重要。數(shù)據(jù)采集設計時需要將多種來源的日志數(shù)據(jù)進行提取,并進行匯總和處理,最后形成統(tǒng)一的安全事件格式,為態(tài)勢感知提供重要數(shù)據(jù)來源。
3.2 節(jié)點數(shù)據(jù)采集設計
節(jié)點數(shù)據(jù)可分為任務活動數(shù)據(jù),節(jié)點資源數(shù)據(jù)和用戶活動監(jiān)測數(shù)據(jù)。
(1)任務活動數(shù)據(jù)采集
任務的屬性包括:任務標識號、調度信息、狀態(tài)、進程間通信、時間和計數(shù)器、存儲空間、處理器上下文等。每個任務在運行時都需要占用一定的系統(tǒng)資源,數(shù)據(jù)采集任務運行時需要考慮與被監(jiān)測任務的關系,因其本身也會占用系統(tǒng)資源,因此要保證數(shù)據(jù)采集任務占用的資源不可過大,否則采集的數(shù)據(jù)可能會受影響,甚至采集的數(shù)據(jù)偏差過大,不具有分析意義。對于任務活動數(shù)據(jù)的采集,可以通過任務之間的通信,或者獲得任務共享儲存區(qū)域的數(shù)據(jù),任務之間的通信包括共享信號量、消息隊列和內存等。
(2)節(jié)點資源數(shù)據(jù)采集
節(jié)點資源,如CPU利用率,內存利用率,硬盤使用情況等也是體現(xiàn)工控網(wǎng)絡態(tài)勢感知狀態(tài)的重要數(shù)據(jù)。采集實時的數(shù)據(jù)并將計算結果提供給應用層是一種理想情況,但這種理想一般情況下難以實現(xiàn),且由于數(shù)據(jù)采集任務本身,也會消耗一定的系統(tǒng)資源,因此對節(jié)點資源數(shù)據(jù)的采集實施不能設計的過于復雜,否則會對采集的數(shù)據(jù)有較大的影響。
(3)用戶活動監(jiān)測數(shù)據(jù)采集
用戶活動監(jiān)測數(shù)據(jù)有兩點需要注意,一是含有操作系統(tǒng)的嵌入式系統(tǒng)才具備可監(jiān)測的用戶活動,二是用戶活動的數(shù)據(jù)量通常較大,因此采集數(shù)據(jù)時需要注意數(shù)據(jù)采集任務執(zhí)行的時間,避免影響工控系統(tǒng)的正常運行。同其他節(jié)點數(shù)據(jù)采集設計一樣,需要注意數(shù)據(jù)采集任務本身對系統(tǒng)的影響。
3.3 網(wǎng)絡數(shù)據(jù)采集設計
網(wǎng)絡數(shù)據(jù)可分為協(xié)議數(shù)據(jù),報文數(shù)據(jù)和網(wǎng)絡性能數(shù)據(jù)。
(1)協(xié)議數(shù)據(jù)采集
協(xié)議的數(shù)據(jù)采集功能要求可以對數(shù)據(jù)包進行深層次的解析,可以從數(shù)據(jù)包的結構中正確的解析出其數(shù)據(jù)的意義。換句話說,協(xié)議數(shù)據(jù)采集的重點內容就是如何從報文中獲得與協(xié)議相關的信息,因此必須具備對工控協(xié)議的深度解析功能。但需要區(qū)分的是,協(xié)議數(shù)據(jù)采集的重點工作并不是抓取足夠多的數(shù)據(jù)包,簡單的抓取數(shù)據(jù)包通過被動的監(jiān)測技術即可實現(xiàn),協(xié)議數(shù)據(jù)采集要實現(xiàn)的關鍵技術是對數(shù)據(jù)包的處理,即從每一層的數(shù)據(jù)包中獲取態(tài)勢感知監(jiān)測系統(tǒng)需要的關鍵信息。
(2)報文數(shù)據(jù)采集
工業(yè)互聯(lián)網(wǎng)絡通常采取主從的網(wǎng)絡結構,所有的網(wǎng)絡數(shù)據(jù)傳輸都會通過主節(jié)點,因此可以在主節(jié)點上進行對報文的采集,采集的內容包括幀序號、幀順序、幀類型、校驗和、報文調度行為、報文特征值等。因此報文數(shù)據(jù)在主節(jié)點上進行采集,這樣設計的原因在于:
·部署簡單。如果在從節(jié)點上進行數(shù)據(jù)的采集,不僅需要部署多個采集終端,而且每個采集終端都需要根據(jù)從節(jié)點的特性(如從節(jié)點不同的操作系統(tǒng)或不同的數(shù)據(jù)接口)進行單獨設定,才能實現(xiàn)對數(shù)據(jù)的提取和存儲處理等,而主節(jié)點統(tǒng)一部署即可進行數(shù)據(jù)采集。
·資源使用最大化。在主節(jié)點上進行數(shù)據(jù)抓取,數(shù)據(jù)抓取率最高,不會有在從節(jié)點上部署漏抓的可能。
·資源利用率高。通過主節(jié)點進行數(shù)據(jù)采集,會更好的利用系統(tǒng)資源,因為通常主節(jié)點的設備可以應對更大的負載,而從節(jié)點的處理器性能有限,如在多個從節(jié)點上進行數(shù)據(jù)報文的采集將會增大從節(jié)點處理負擔,影響從節(jié)點的正常業(yè)務功能和性能。
(3)網(wǎng)絡性能數(shù)據(jù)采集
通過探測依賴矩陣推理可獲知工控網(wǎng)絡系統(tǒng)的網(wǎng)絡拓撲結構,明確網(wǎng)絡結構是測量采集網(wǎng)絡性能數(shù)據(jù)的前提。網(wǎng)絡性能的檢測主要通過對丟包率的推理獲得,通過對鏈路上多次進行丟包率檢測,最后可以測得一個丟包率的統(tǒng)計值。
3.4 應用數(shù)據(jù)采集設計
對于主從結構的工業(yè)控制系統(tǒng)來說,應用數(shù)據(jù)都是由主節(jié)點進行處理計算后,再下發(fā)至從節(jié)點,主節(jié)點主要是數(shù)據(jù)的接收,從節(jié)點主要是數(shù)據(jù)的讀取和發(fā)送。因此應用數(shù)據(jù)采集可以在每個節(jié)點上設置程序庫,這些程序庫都具備相同的接口,如數(shù)據(jù)發(fā)送,讀取和接收,本質即為填充報文和解析報文。應用數(shù)據(jù)采集的關鍵在于:
(1)應用數(shù)據(jù)采集時,對于采集獲取的數(shù)據(jù),都需要有時間標記,記錄數(shù)據(jù)發(fā)出的時間;
(2)應用數(shù)據(jù)采集時,需要對數(shù)據(jù)進行解析。
主從節(jié)點之間應用數(shù)據(jù)的收發(fā),可理解為應用程序之間的交互。從節(jié)點采集到的應用數(shù)據(jù),周期性的向主節(jié)點發(fā)送。需注意的是:
主從之間應該具備某種協(xié)議,可自定義,從站上的應用數(shù)據(jù)通過網(wǎng)絡傳輸至主節(jié)點,主節(jié)點能夠獲知哪些數(shù)據(jù)是來自哪一節(jié)點的什么類型的數(shù)據(jù);
接口是提供給應用程序的,需要采集什么樣的數(shù)據(jù),應用程序可以控制,但是采集數(shù)據(jù)仍然需要驅動程序支持,一般對于嵌入式系統(tǒng),需要控制的是I/O上的數(shù)據(jù),因此針對不同的系統(tǒng),如Linux,對這些I/O的處理機制不同,需要根據(jù)這些不同編寫好驅動程序,以提供設計階段接口函數(shù)的實現(xiàn)。
3.5 日志數(shù)據(jù)采集設計
工業(yè)主機、工業(yè)安全設備、通信設備、工控設備、工業(yè)軟件等在工作過程中都會產(chǎn)生大量的真實操作和安全記錄,因此對于日志的采集匯總分析是工控系統(tǒng)態(tài)勢感知的重要一環(huán)。日志的采集可以通過專用的日志訪問協(xié)議,日志輸出接口,日志采集代理等方式實現(xiàn)。日志采集的設計要有定時自動采集并完成的功能,且可以自動從控制模塊的配置數(shù)據(jù)中獲得相關參數(shù),例如采集時間間隔、日志文件路徑、傳感器編號、數(shù)據(jù)庫配置等信息。同時由于攻擊者入侵成功后,通常都會修改或刪除和自己攻擊相關的日志,或者偽造一些虛假日志隱藏自己的真實目的,給網(wǎng)絡安全的應對和調查增加了障礙,面對日志的這種容易修改破壞的易損性,需要在日志采集數(shù)據(jù)時增加完整性檢測功能,可以通過在日志系統(tǒng)中嵌入完整性檢測的算法實現(xiàn)。
由于需要采集的相關設備、軟件、系統(tǒng)較多,如果對全部數(shù)據(jù)進行采集分析則可能造成較大的資源浪費,因此不一定所有采集到的數(shù)據(jù)都要進行數(shù)據(jù)分析,可提前根據(jù)安全規(guī)則和行業(yè)特點設置一定的條件,篩選出有價值數(shù)據(jù),丟棄冗余或無價值數(shù)據(jù)。篩選條件宏觀可以到不同日志類型,微觀可以到具體正則表達式的提取,同時還可以將篩選后的數(shù)據(jù)經(jīng)過規(guī)則庫的匹配,合并指定時間范圍內的重復日志,去掉冗余的事件信息,使得整個數(shù)據(jù)采集更有價值。日志的篩選合并是在采集時直接解析完成的,先按照規(guī)則庫對采集的日志執(zhí)行過濾操作,再通過合并算法按照時間范圍對日志進行合并,最后再將處理后的日志傳給數(shù)據(jù)分析模塊。
4 結語
通過對節(jié)點、網(wǎng)絡、應用和日志四方面數(shù)據(jù)采集的設計,基本實現(xiàn)了對安全相關數(shù)據(jù)的全面采集,滿足了態(tài)勢感知平臺對基礎數(shù)據(jù)的需求,得以從宏觀尺度實現(xiàn)全局監(jiān)測工業(yè)網(wǎng)絡安全態(tài)勢,形成一套充分具有戰(zhàn)略縱深的工業(yè)網(wǎng)絡安全數(shù)據(jù)應用體系,從而讓安全態(tài)勢“可見、可管、可控”,能夠有效輔助政府和行業(yè)進行安全監(jiān)管,助力企業(yè)提升安全水平,同時數(shù)據(jù)采集的應用,為將來工控系統(tǒng)網(wǎng)絡安全的大數(shù)據(jù),人工智能技術的應用奠定基礎。
作者簡介
郭 賓(1989-),男,浙江杭州人,工程師,現(xiàn)任杭州木鏈物聯(lián)網(wǎng)科技有限公司產(chǎn)品總監(jiān),主要從事工控安全領域前沿產(chǎn)品探索方面的工作。
雷濛(1990-),男,北京人,工程師,現(xiàn)任杭州木鏈物聯(lián)網(wǎng)科技有限公司首席技術官,主要從事工控安全方向技術研究。
王得奕(1988-),男,黑龍江雞西人,工程師,現(xiàn)任杭州木鏈物聯(lián)網(wǎng)科技有限公司產(chǎn)品經(jīng)理,主要從事工控安全產(chǎn)品設計方面的工作。
參考文獻:
[1] 芮明杰. “工業(yè)4.0”:新一代智能化生產(chǎn)方式[J]. 世界科學, 2014, 37 ( 05 ) : 19 - 20.
[2] 彭勇, 江常青, 謝豐, 等. 工業(yè)控制系統(tǒng)信息安全研究進展[J]. 清華大學學報自然科學版, 2012, ( 10 ) : 1396 - 1408.
[3] 中國信息與通信研究院. 網(wǎng)絡安全態(tài)勢感知技術及應用發(fā)展藍皮書[R]. 2019.
[4] 席榮榮, 云曉春, 金舒原, 等. 網(wǎng)絡安全態(tài)勢感知研究綜述[J]. 計算機應用, 2012, 32 ( 1 ) : 1 - 4.
[5] 張桂剛, 畢婭, 李超, 等. 海量物聯(lián)網(wǎng)數(shù)據(jù)安全處理模型研究[J]. 小型微型計算機系統(tǒng), 2013, 34 ( 09 ) : 2090 - 2094.
[6] 柴獲, 閆軍, 等. 一種基于事件驅動的數(shù)據(jù)采集軟件模型[J]. 蘭州交通大學學報, 2010, 52 ( 06 ) : 102 - 105.
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第六輯)》
北京市公安局海淀分局備案號:11010802023656號