基于蜜網的工業互聯網協同檢測技術研究

【摘   要】 本文根據工業互聯網的運行特點，提出了一種基于蜜網的工業互聯網安全檢測評估方法。該方法對于滿足工業企業保障網絡安全的需求，構建有效的工業互聯網安全防護體系具有一定的借鑒意義。

【關鍵詞】 工業互聯網 蜜網 協同檢測

1 引言

工業信息化是世界各國21世紀先進制造業的重要發展方向。為引導制造業升級，近年我國相繼發布了《“工業互聯網 + 安全生產”行動計劃（2021—2023年）》等發展綱要[1]，努力實現重點工業領域的智能轉型。工業互聯網平臺作為工業智能化發展的核心載體，實現了海量異構數據匯聚與建模分析、工業制造能力標準化與服務化、工業經驗知識軟件化與模塊化以及各類創新應用開發與運行，支撐了生產智能決策、業務模式創新、資源優化配置和產業生態培育。

而隨著工業信息化戰略的逐步推進，各種針對工業控制系統的安全攻擊事件頻發，尤其是“震網”“火焰” “毒區”等APT攻擊的出現，充分反映出工業互聯網領域中安全威脅日益嚴峻。現有工業互聯網系統架構缺乏有效的安全防護體系，在當前智能開放的大背景下，工業互聯網制造生產線中的控制、采集、監控及質量檢測設備、現場總線以及ERP，PDM，MES，OA等企業信息系統（EIS）中的核心數據，如工藝數據、生產數據資料、質量測量數據等都隨時可能被攻擊者竊取或篡改破壞。如何保障工業互聯網的安全性，防范工業互聯網智能制造生產線中的安全威脅，避免敏感工業數據被不法分子利用，是關系國家安全的重大命題。

本文以工業互聯網網絡化協同制造平臺為研究對象，提出一種基于蜜網的工業互聯網協同檢測技術，通過在工業互聯網的邊緣層部署配置多個誘餌蜜罐系統設施[2]，利用重定向器將攻擊信息進行統一收集和分析，結合上層的威脅特征提取檢測技術，建立工業互聯網協同檢測機制，及時識別威脅、阻斷威脅攻擊，并針對工業互聯網平臺安全狀態進行安全評估，提升現有工業互聯網平臺的安全防護和預警能力。

2 系統架構

蜜網是指在同一監測網絡中配置多個誘餌節點的蜜罐系統形態。多個蜜罐誘餌節點的設置通常參考真實業務環境，不同的業務場景有不同的網絡拓撲、工作流程及狀態更新和控制需求。蜜網由于其高復雜度的誘餌環境特點，可為研究監測攻擊行為的入侵及傳播方式提供更多深層次信息。

基于蜜網的工業互聯網協同檢測技術的整體設計思想為：通過部署分布式蜜罐系統構建真實工控蜜網場景，誘捕攻擊者進行攻擊，從而探測發掘異常流量，并將異常流量重定向至安全分析層，結合海量威脅情報進行關聯分析，實現對攻擊者的多維度畫像，獲得攻擊者和攻擊組織最全面的攻擊信息。通過對攻擊流量特征進行提取，充分融合工業互聯網復雜的網絡拓撲結構信息，可實現對工業互聯網系統的安全態勢進行定量分析。

如圖1所示，系統整體架構采用的是PDRR分層設計原則，可分為數據捕獲、數據存儲、安全分析及安全評估4層，各層功能簡要描述如下。

（1）數據捕獲層：該層主要通過部署在各監控子網的蜜罐系統，結合具有重定向功能監測探針，完成外部攻擊行為的數據采集，具體包括：數據記錄、數據抓取、數據過濾、數據轉發等功能。最終將該網絡中所有受監控的可疑流量數據重定向到蜜網控制中心。

（2）數據存儲層：針對回傳的蜜網攻擊行為監測數據，對其進行初步數據清洗、融合等處理，并基于威脅情報、行為解析、事件關聯、狀態評估等關鍵技術實現統一蜜網數據融合與存儲。

（3）安全分析層：針對工業互聯網網絡中的潛在威脅，通過在網絡中分布式部署蜜網威脅監測體系收集得到的多層次網絡流量，運用智能學習分析技術，同時結合數據交互，非法接入識別、非法掃描識別、非法探測、非法操作行為識別等方式，分析識別數據流量中的惡意行為和未知威脅。

（4）安全評估層：梳理關聯后的多元化安全行為事件集，構建威脅監測技術體系。從不同粒度對系統的安全狀況進行評估，實現從輸入狀態到輸出狀態空間的非線性映射，對系統威脅和脆弱性的發展趨勢、網絡局部和整體安全狀況的發展狀況進行預測并對實際業務進行預警防護。

3 詳細模塊設計

3.1 數據捕獲層

數據捕獲層主要通過部署分布式蜜罐系統形成蜜網，從而構建真實工控場景，誘捕惡意攻擊行為，并探測發掘異常流量將其重定向到蜜網控制中心。

蜜網中攻擊數據感知與捕獲單元由多個不同類型的工控蜜罐組成，這些蜜罐分布于工業互聯網系統中，并構建形成真實工控場景，可24小時不間斷捕獲網絡空間中針對工控設備的掃描。分布式蜜罐系統是數據俘獲層的基礎，是整個系統的數據來源。合理的蜜罐設置及部署，有助于迷惑攻擊者，更多地捕獲惡意攻擊行為數據。為更好捕獲惡意攻擊行為，蜜網中可聯合部署低交互和高交互蜜罐系統。其中低交互蜜罐只是以最簡的方式擴展協議類型，誘騙更多的攻擊者或空間搜索引擎的掃描，監聽工業控制協議端口，不進行任何協議交互，只記錄攻擊者的協議請求數據包和攻擊者IP信息。高交互蜜罐可通過定制開源工業控制蜜罐實現，包含會話管理、協議交互、模板調度和日志配置等。其中會話管理是高交互蜜罐的核心模塊，它采用事件隊列的方式，將攻擊事件保存在隊列，對外提供獲取會話的方法。協議交互模塊提供多種工控協議仿真功能，并對外提供統一調用接口，保證協議服務的調用的統一性。協議交互模塊實質上是作為協議實現的服務器實例，通過監聽相應的協議端口，處理攻擊者發送的請求信息。信息的處理方式采用函數回調機制，保證消息處理的函數自定義化。

數據捕獲層工作流程如圖2所示，高交互蜜罐的處理流程圍繞高交互蜜罐主程序進行，將各個模塊進行協同工作，當攻擊者連接高交互蜜罐時，會生成連接會話。會話管理服務將每次會話加入會話隊列，為不同協議服務提供查詢接口。根據不同攻擊協議端口，調用不同協議服務實例。每個服務實例都設置線程池，當查詢到對應的協議會話時，會開辟新的線程進行處理。處理過程采用回調機制，將處理完的結果返回給主程序。攻擊者發送連接數據包或請求數據包時，會話管理和回調函數都會產生日志并本地化，并定向上傳到蜜網控制中心。

3.2 數據存儲層

工業互聯網的蜜網監測流量數據形式復雜多樣，呈現典型的數據“多源異構”的特征。不同的蜜網監測單元由于其所在硬件設備及對應操作系統的不同，如有可能來自于多個數據源并涵蓋系統的不同層次，這使得其數據的產生時間、使用場所、代碼協議，乃至最終蜜網監測數據的存儲模式和邏輯結構也差別巨大。

一般來說，實際蜜網監測數據可能同時包含結構化、半結構化和非結構化數據。其中，結構化數據指關系模型數據，即以關系數據庫表形式管理的數據；半結構化數據指非關系模型的、有基本固定結構模式的數據，如日志文件、XML文檔、JSON文檔、E-mail等；而非結構化數據指沒有固定模式的數據，如一些傳感器數據、文本數據等。不同類型的數據在數據捕獲過程中由于缺乏統一的標準，因此造成了數據“異構”的特征。為便于統一存儲管理，蜜網在采集時將數據輸出格式統一為JSON格式[3]。JSON具有簡潔清晰的層次結構，是理想的數據交換語言，易于閱讀和編寫，同時也易于機器進行生成和對內容進行解析，可有效提升網絡傳輸效率，數據存儲流程如圖3所示。

鑒于蜜網所采集到的數據質量難以保證，存在數據缺失、錯誤等問題。同時來自不同系統的數據格式也并不統一，需要先進行數據清洗才能進行后續數據的有效分析。數據清洗目的在于格式化數據，通過數據轉換方法將多源異構數據轉換成統一的目標數據格式，形成統一規范。而后通過數據篩選、數據修復等手段提高數據的質量，完成對不同數據指標之間的轉換計算。有時對工業互聯網平臺的蜜網數據進行清洗解析所得到的結構化數據中，存在某些多維特征集合共同表征某個特定的含義。因此數據清洗完后，還需要針對多源異構數據集合進行數據融合處理，以使得該特征數據在保留基本信息同時減少冗余。數據歸一化存儲目的是屏蔽數據之間類型和結構上的差異，解決多源異構數據的來源復雜、結構異構問題，有利于上層對數據管理和分析，實現用戶無差別訪問，充分發揮數據的價值。在具體數據存儲中，合理數據庫的選擇可以減少數據檢索的時間，提高數據查詢的準確度，是后續數據關聯分析處理的基礎。

3.3 安全分析層

安全分析層結合智能學習分析技術，深度識別蜜網數據流量中的惡意行為和未知威脅。本層可分為檢測建模和威脅識別兩個階段。其中檢測建模階段，主要采用基于控制行為聚類分析的業務模式智能學習分析技術，結合工業互聯網生產網絡通信主體控制報文交互特點，通過提取表征工業互聯網生產網絡通信業務報文的多維特征量，采用k-means聚類算法從大量工業互聯網樣本數據中挖掘出正常業務控制行為的類簇，建立工業互聯網生產網絡的正常業務行為特征庫。在威脅識別階段，則利用該特征庫對蜜網所捕獲的新生報文進行實時監測以判斷是否是攻擊，安全分析層工作原理如圖4所示。

安全分析建模階段是從大量歷史工業互聯網通信業務網絡報文中提取業務行為的一組類似<控制域、應用層功能碼、指令方向、……、指令發送時間>等的n維特征向量，通過對這些特征向量的學習，使用k-means聚類分析算法，構建業務行為模型。通過k-means算法統計分析實際報文特征來進行業務指令行為的數據挖掘，完成聚類分析，使得同一類的業務行為被聚集到了相同的聚類子類中，實現對業務指令行為的功能分類。

k-means聚類子類形成了多類業務指令行為集，通過對明顯離群點或重復錯誤指令形成的聚類子類進行標記過濾，構建出業務的多層次特征集合，采用監督型機器學習算法，如支持向量機算法（Support Vector Machine，SVM），對上述已標記的歷史報文集進行學習，構建出正常業務訪問模型。

在威脅識別階段，通過采用單模式匹配算法和DFA相結合的方式進行工業互聯網網絡流量高速解析及業務還原，構造實際系統運行過程中的業務指令特征向量，利用訓練階段建立的正常業務模型對監測向量進行實時比對，如果新報文不屬于任何類簇，則判斷發生異常的指令級攻擊模式。

3.4 安全評估層

安全評估根據蜜網收集的攻擊行為數據，結合安全分析結果，對整體工業互聯網網絡安全狀態進行評估[4]。在本層中主要側重于工業互聯網的設備和通信安全，重點評估系統中的身份認證、訪問控制、安全審計、惡意代碼防范、資源控制、輸入輸出控制、漏洞檢測與修補、控制系統及應用軟件測試與代碼審計、設備內置模塊檢測等方面，并根據工業互聯網實際應用場景的業務特點、實體結構和控制協議等進行測評項的細化，使得評估具有針對性，能更精準發現工業互聯網的安全漏洞、脆弱性，安全評估層工作流程如圖5所示。

在安全評估層主要采用層次分析法的分層思想，通過分析《工業控制系統信息安全防護指南》《信息安全技術 網絡等級保護基本要求》《信息安全技術 網絡等級保護測評要求》（等保2.0），以及《涉及國家秘密的信息系統分級保護測評指南》（分保）等相關標準和指南，結合目前工業互聯網生產線的業務需求及安全需求，結合工業互聯網生產線安全架構的特點，每個因素對應的指標將對應工業互聯網生產線安全架構中的各類安全機制，具體在應用中將參照等保2.0、分保等標準和指南中的規范，結合“工業互聯網漏洞挖掘分析及威脅辨識”等方法和技術對工業互聯網生產線進行漏洞挖掘分析和威脅辨識檢測，并利用所建立的漏洞庫和威脅模型對漏洞和威脅進行定性和定量分析，得到指標層及其打分依據。

4 結語

近年來，工業互聯網在高速發展的同時，安全形勢也愈發嚴峻。傳統安全防護方法已經不能適應當前工業互聯網安全新形勢。本文根據工業互聯網的運行特點，提出了基于蜜網的工業互聯網安全檢測評估方法的研究思路。該思路對于滿足工業企業保障網絡安全的需求，構建有效的工業互聯網安全防護體系具有一定借鑒意義。 

 

（原載于《保密科學技術》2021年2月刊）