态势感知技术—全面掌控工控网络安全的“天空之眼” – 作者:中孚信息

“新基建”相关鼓励政策的出台,为工业互联网的发展按下了加速键。IT网络与OT网络的深度融合显著增加了工业控制系统暴露风险。安全作为工业互联网的三大体系之一,是工业互联网发展的重要保障。2019年,工业和信息化部、教育部等十部委关于印发《加强工业互联网安全工作的指导意见》明确指出,建设国家级、省级、企业级三级协同的工业互联网安全技术保障平台。工控网络安全是工业互联网安全的重要组成部分,是工业互联网安全建设的起点。“工控网络安全态势感知技术”是国家监管部门以及相关行业信息中心着重发展并推广应用的一项重要技术。该技术可以分析工控网络当前运行状态并预判未来安全走势,实现对工控网络安全的全局掌控,并在出现安全威胁时通过网络中各类设备的协同联动机制及时进行抑制,阻止安全威胁的继续蔓延。本文主要从技术角度介绍了工控网络安全态势感知的相关技术架构,包括安全数据采集、数据预处理、态势评估分析、态势预测、态势展示、态势告警与响应等6部分。

1

引言

随着工业化和信息化的高度融合,以及国家制造强国战略的推进,越来越多的工业控制系统(简称工控系统)被广泛应用于制造、交通、电力、能源等关键领域。这些工业行业一旦受到网络攻击,就会影响经济发展、社会稳定,甚至危害国家安全。随着工控网络智能化规模的迅速扩大,工控网络安全威胁不断增加,单一的网络安全防护技术已经不能满足行业需要,因此,消除工控安全威胁与隐患,建立科学、系统的安全防护体系成为必然。

鉴于工控网络对于国民生产及社会稳定的重要意义,对于工控网络的安全防护,必须做到在安全威胁对其正常运行造成实质性影响之前及时发现并妥善处置,这就要求今后的工控网络需具备完备的安全态势感知机制,分析工控网络当前运行状态并预判未来安全走势,实现对工控网络安全的全局掌控,并在出现安全威胁时通过网络中各类设备的协同联动机制及时进行抑制,阻止安全威胁的继续蔓延。

随着“中国制造2025”国家战略的稳步推进,工控网络安全态势感知技术成为一个时期以来,国家监管部门以及相关行业信息中心需要着重发展并推广应用的一项重要技术。

2

工控网络安全态势感知技术架构

工控网络安全态势感知是指通过采集工业生产相关网络的关键资产数据、威胁数据和脆弱性数据等,利用统计分析和数据挖掘等方法,根据不同行业特点建立风险模型,依据模型对所采集的数据进行关联和融合分析,识别能引起工控网络安全态势变化的安全要素,展示网络当前的安全状态,并预测未来发展趋势。

工控网络安全态势感知技术架构主要包括安全数据采集、数据预处理、态势评估分析、态势预测、态势展示、态势告警与响应等6部分,如图1所示。

图片[1]-态势感知技术—全面掌控工控网络安全的“天空之眼” – 作者:中孚信息-安全小百科

图1 网络安全态势感知技术架构

2.1 安全数据采集

数据采集是整个态势感知的基础,网络态势感知需要建立在大量的安全相关数据采集的基础上,再结合历史数据、威胁情报、知识库等给出预判性的告警。采集的数据足够全面和准确才能保障网络安全态势评估与预测的准确性。

工控系统中根据需要可以采集的安全数据包括:工业资产数据、日志数据、告警数据、流量数据、终端行为数据、审计数据、终端运行状态数据、漏洞数据、安全事件数据等。在工控系统中特别要注意的是采集这些数据时,尽量不影响终端和网络的可用性。

工控系统中常见的数据采集方法有syslog、SNMP、NetFlow 、VMI、传感器、代理(Agent)、插件(Plugin)等技术,而对于大量多源异构数据,可采用前置数据采集探针的方式,对数据进行集中采集。数据采集探针的类型包括:边界采集探针、流量采集探针、网络内部采集探针、日志采集探针等,以实现对工业控制系统内部多元化的数据采集。

2.2 数据预处理

由于采集的原始数据来源多样,且数据格式、质量、内容千差万别,同时,这些数据中还可能存在大量不完整、不一致,甚至重复、错误或异常的数据,若不对这些原始数据进行预处理,则会严重影响后续数据的分析和挖掘,以及分析的准确性。因此,在态势分析之前,需要对采集的数据进行规范化和结构化的预处理,以改进数据质量,提高数据分析的效率、质量和准确性。

数据预处理采用的方法和技术有很多,如清洗、合并、降维、集成、重构、转换、融合、属性变换、特征子集选择等。

对数据预处理的目的是保证从数据采集、存储直到分析、可视化的整个过程不引入太多错误和无关数据。数据预处理将不同途径、不同来源和不同格式的原始采集数据通过数据清洗、数据融合和数据关联等操作,剔除“脏”数据、形成精确的基础安全数据。在对海量原始数据进行规整的过程中要以网络攻击知识库、网络漏洞库、网络安全情报库等为基础,同步进行数据标注,将异常、报警、威胁、五元组等关键信息标记出来,为态势评估、态势预测提供数据基础。

2.3 态势评估分析

态势评估分析是整个网络安全态势感知全过程的重点和关键环节,主要是对预处理后的数据进行分析挖掘,并与知识库进行关联分析,在构建的安全指标体系的基础上把具有一定相关性、反映某些网络安全事件的特征信息提取出来,建立合适的数学模型,并结合机器学习算法识别网络脆弱性、安全事件、用户行为等,对网络系统整体上所遭受的安全威胁程度进行评估,分析出网络遭受攻击所处阶段以及当前网络的安全状况,进而以安全态势值的形式给出定量或定性的网络安全态势评估结果,从而全面掌握网络整体的安全状况。

态势类别包括:资产态势、网络流量态势、入侵态势、脆弱性态势、威胁态势、安全事件态势、行为态势等,相关态势汇总成全网的态势。

通过态势评估,可以尽早发现网络中的安全隐患和威胁,对这些隐患与威胁的影响范围与严重程度进行充分评估可以帮助网络安全管理人员掌握当前网络的安全状况,以便在网络攻击发生之前针对这些威胁采取遏制和阻止措施,使系统免受攻击和破坏,使网络安全得到充分保护,只有对网络安全态势进行评估,才能明确网络所处的安全状况,从而掌握全网安全态势,也为下一步态势预测提供依据。

安全态势评估是安全态势感知的重点,也是难点,目前还没有一个系统的理论体系,现有针对该领域的研究也比较零散,还没有统一的方法可以较好地用于评估,衡量评估质量的方法和技术也比较缺乏。在现有的理论和技术中一般有数据挖掘和数据融合两类技术可以运用。

2.4 态势预测

态势预测是在分析历史和当前态势数据的基础上,通过建立数据模型,探寻态势数据之间的发展变化规律,然后对网络态势的未来发展趋势和状况进行推理,形成科学的判断、推测和估计,做出定性或定量的描述,发布预警,为安全管理人员制定正确的规划、决策提供指导和参考依据,从而增强网络防御的主动性,尽可能地降低网络攻击的危害。态势预测是实现网络安全主动防御的关键环节。

由于网络攻击的随机性和不确定性,传统的预测模型方法已逐渐不能满足需求,随着人工智能和机器学习技术的发展,态势预测越来越倾向于使用智能预测方法和技术,典型的如神经网络、支持向量机、遗传算法等智能预测方法。该类方法的优点是具有自学习性和自适应性,中短期预测精度较高,需要较少的人工参与等。但该类方法也有一定的局限性,如神经网络存在泛化能力弱,易陷入局部极小值等问题。

另外,随着复合式攻击逐渐成为网络攻击中的主流方式,针对复合式攻击的识别与预测也成为网络安全态势领域面临的一个重要问题。

2.5 态势展示

态势展示利用可视化技术,根据业务特点和需求关注点,将网络中蕴涵的态势状况通过可视化图形的方式直观地展示给用户,并借助于人在图形图像方面强大的处理能力,实现对标识态势、攻击源、攻击事件和工控资产的态势进行可视化展示,并通过可视化界面进行数据关联查询,帮助安全人员分析网络态势,识别安全威胁,为管理决策提供有力的依据。态势的可视化展示不仅能有效解决传统分析方法在处理海量信息时面临的认知负担过重,缺乏对网络安全全局的认识、交互性不强、不能对网络安全事件提前预测和防御等一系列问题,而且通过在人与数据之间实现图像通信,使得人们能够观察到网络安全数据中隐含的模式,为解释事件发展规律和发现潜在的安全威胁提供有力的支持。

2.6态势告警与响应

当监测到安全事件、漏洞或异常行为时,结合威胁情报和预设的安全策略,对符合条件的事件通过邮件、短信或IM的方式进行态势告警,提醒网络管理人员及时采取处理措施,及时将相关信息和处置建议发送到相关部门,并且对重大事件和隐患信息上报上级单位。态势告警应能对不同级别的安全态势进行不同的告警。

3

结束语

当前,国家把工业控制系统网络安全提升到国家安全战略的高度,一直在强化工控安全体系顶层设计和战略布局。国家一方面推动国家级工业互联网安全技术能力提升,构建国家-省-企业三级协同的工业互联网安全态势感知平台,形成“全国一盘棋”的格局。另一方面引导企业提升自身工控系统的网络安全防护能力。工控网络安全态势感知平台能够实时、准确地掌握网络安全态势状况,检测恶意攻击行为,让网络安全工作具有主动性和条理性,是监测和预防网络安全事件的有效途径,也是企业提升自身安全能力的保障。

但是,当前工控网络安全态势感知产品体系化思维缺乏、检测能力不足、产品对接成本高、运营人员匮乏,因此工控网络安全态势感知系统是一个长期持续的能力建设过程,在建设过程中要注重实战化落地,注重对抗、注重运营。

参考文献:

[1] 杜嘉薇,周颖,郭荣华,索国伟. 网络安全态势感知提取、理解和预测[M], 机械工业出版社,2019.6.

[2] 李普玉.浅谈网络安全态势感知技术架构及建设思路[J], 网络安全技术与应用, 2019(5): 13-15

王秋华 /  杭电-中孚保密技术研究院

来源:freebuf.com 2020-08-27 14:05:05 by: 中孚信息

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论