国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

★王智民，劉志剛，單海波，蔣忠軍北京六方云信息技術(shù)有限公司

關(guān)鍵詞：人工智能安全、工業(yè)互聯(lián)網(wǎng)安全、鋼鐵縱深防御體系、未知威脅檢測(cè)、工業(yè)安全態(tài)勢(shì)監(jiān)測(cè)與風(fēng)險(xiǎn)評(píng)估

1　項(xiàng)目概況

1.1　項(xiàng)目背景

隨著國(guó)內(nèi)外工業(yè)控制系統(tǒng)網(wǎng)絡(luò)信息安全形勢(shì)越來(lái)越嚴(yán)峻，國(guó)家工信部陸續(xù)發(fā)布了《加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見(jiàn)》《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》等一系列的工業(yè)信息安全防護(hù)文件，強(qiáng)調(diào)了加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的重要性和緊迫性，并明確了核設(shè)施、鋼鐵、有色、石油石化、電力等與國(guó)計(jì)民生緊密相關(guān)領(lǐng)域的工業(yè)控制系統(tǒng)信息安全管理要求。

鋼鐵企業(yè)是典型的生產(chǎn)、資金、技術(shù)密集型企業(yè)，其生產(chǎn)連續(xù)性強(qiáng)，生產(chǎn)系統(tǒng)耦合性高，加之近年我國(guó)眾多鋼鐵企業(yè)不斷推進(jìn)智能化建設(shè)，尤其是在工業(yè)控制系統(tǒng)方面大量投入，以實(shí)現(xiàn)企業(yè)的智能化升級(jí)轉(zhuǎn)型。其主要應(yīng)用的工業(yè)控制系統(tǒng)PCS、DCS、PLC、SCADA等，不僅越來(lái)越注重系統(tǒng)開放性設(shè)計(jì)，且多采用第三方集成，操作端PC化，這一改進(jìn)大大降低了用戶的投資與維護(hù)成本。但與此同時(shí)，其面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)也越來(lái)越嚴(yán)峻。如何有效地防范來(lái)自內(nèi)部或外部的攻擊，做好工控系統(tǒng)網(wǎng)絡(luò)安全的防護(hù)工作，確保生產(chǎn)系統(tǒng)的穩(wěn)定可靠，是鋼鐵行業(yè)工控系統(tǒng)信息安全亟待解決的問(wèn)題。從應(yīng)用案例經(jīng)驗(yàn)總結(jié)來(lái)看，目前鋼鐵行業(yè)的工控系統(tǒng)管理缺失、防護(hù)手段落后、工業(yè)網(wǎng)絡(luò)病毒、設(shè)備漏洞和后門、持續(xù)性威脅APT、無(wú)線技術(shù)等問(wèn)題是其重要關(guān)注點(diǎn)，這些問(wèn)題一旦發(fā)生，將會(huì)導(dǎo)致重大經(jīng)濟(jì)損失，威脅人員安全，造成惡劣的社會(huì)影響。

本方案以鋼鐵行業(yè)安全現(xiàn)狀為背景，結(jié)合某鋼鐵企業(yè)現(xiàn)存安全問(wèn)題，制定了具備前瞻性、可落地性的工業(yè)網(wǎng)絡(luò)安全防御解決方案。

1.2　項(xiàng)目簡(jiǎn)介

本方案將以工信部發(fā)布的工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級(jí)指南相關(guān)要求為基礎(chǔ)，結(jié)合《工業(yè)互聯(lián)網(wǎng)安全框架》《數(shù)據(jù)安全法》《工業(yè)互聯(lián)網(wǎng)企業(yè)分類分級(jí)管理試點(diǎn)方案》及《工業(yè)互聯(lián)網(wǎng)平臺(tái)安全總體（防護(hù)）要求》，分析工業(yè)互聯(lián)網(wǎng)鋼鐵類的實(shí)際安全需求，結(jié)合其業(yè)務(wù)的實(shí)際特性，建立符合系統(tǒng)實(shí)際安全需求的網(wǎng)絡(luò)安全保障體系框架，設(shè)計(jì)安全保障體系方案，綜合提升系統(tǒng)的安全保障能力和防護(hù)水平，確保系統(tǒng)的安全穩(wěn)定運(yùn)行。

工業(yè)互聯(lián)網(wǎng)安全包括保密性、完整性、可用性、可靠性、彈性和隱私六大目標(biāo)，這些目標(biāo)相互補(bǔ)充，共同構(gòu)成了保障工業(yè)互聯(lián)網(wǎng)安全的關(guān)鍵特性。

（1）保密性：確保信息在存儲(chǔ)、使用、傳輸過(guò)程中不會(huì)泄漏給非授權(quán)用戶或?qū)嶓w。

（2）完整性：確保信息在存儲(chǔ)、使用、傳輸過(guò)程中不會(huì)被非授權(quán)用戶篡改，同時(shí)還要防止授權(quán)用戶對(duì)系統(tǒng)及信息進(jìn)行不恰當(dāng)?shù)拇鄹?，保持信息?nèi)、外部表示的一致性。

（3）可用性：確保授權(quán)用戶或?qū)嶓w對(duì)信息及資源的正常使用不會(huì)被異常拒絕，允許其可靠而及時(shí)地訪問(wèn)信息及資源。

（4）可靠性：確保工業(yè)互聯(lián)網(wǎng)系統(tǒng)在其壽命區(qū)間內(nèi)以及在正常運(yùn)行條件下能夠正確執(zhí)行指定功能。

（5）彈性：確保工業(yè)互聯(lián)網(wǎng)系統(tǒng)在受到攻擊或破壞后恢復(fù)正常功能。

（6）隱私安全：確保工業(yè)互聯(lián)網(wǎng)系統(tǒng)內(nèi)用戶的隱私安全。

1.3　項(xiàng)目目標(biāo)

本項(xiàng)目根據(jù)某鋼鐵企業(yè)發(fā)展規(guī)劃及投資計(jì)劃，結(jié)合國(guó)家關(guān)于工業(yè)互聯(lián)網(wǎng)安全建設(shè)相關(guān)政策，本著投入產(chǎn)出最大化的原則，結(jié)合工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級(jí)指南聯(lián)網(wǎng)工業(yè)企業(yè)增強(qiáng)級(jí)（三級(jí)）要求，完善工控安全防護(hù)措施。本次企業(yè)分類分級(jí)安全防護(hù)對(duì)象包括設(shè)備、控制、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)五大對(duì)象，如圖1所示。內(nèi)容具體包括：

圖1 企業(yè)分類分級(jí)安全防護(hù)對(duì)象示意圖

（1）設(shè)備安全防護(hù)：包括工廠內(nèi)的智能器件、成套智能終端等智能設(shè)備的安全，以及智能產(chǎn)品的安全，具體涉及操作系統(tǒng)/應(yīng)用軟件安全、終端計(jì)算機(jī)安全、控制設(shè)備安全、存儲(chǔ)介質(zhì)安全等。

（2）控制安全防護(hù)：控制協(xié)議安全、控制軟件安全以及控制功能安全，包括工業(yè)控制設(shè)備間的通信工業(yè)控制協(xié)議、聯(lián)網(wǎng)控制系統(tǒng)安全、組態(tài)軟件安全、工業(yè)數(shù)據(jù)庫(kù)安全、配置安全、運(yùn)維安全等。其中，聯(lián)網(wǎng)控制系統(tǒng)是指應(yīng)用工業(yè)互聯(lián)網(wǎng)服務(wù)的工業(yè)控制系統(tǒng)。

（3）網(wǎng)絡(luò)安全防護(hù)：包括組網(wǎng)安全、架構(gòu)安全、連接安全、網(wǎng)絡(luò)設(shè)備安全、安全設(shè)備安全等。

（4）數(shù)據(jù)安全防護(hù)：涉及采集、傳輸、存儲(chǔ)、處理等各個(gè)環(huán)節(jié)的數(shù)據(jù)，包括研發(fā)域數(shù)據(jù)、生產(chǎn)域數(shù)據(jù)、運(yùn)維域數(shù)據(jù)、管理域數(shù)據(jù)、外部域數(shù)據(jù)、個(gè)人信息域數(shù)據(jù)等。

（5）工業(yè)App應(yīng)用軟件安全防護(hù)：包括安裝、卸載、身份認(rèn)證、口令安全機(jī)制、訪問(wèn)控制、實(shí)現(xiàn)安全、升級(jí)安全、容錯(cuò)性、資源占用安全等。

項(xiàng)目建設(shè)主要從工業(yè)設(shè)備安全防護(hù)、控制安全防護(hù)、網(wǎng)絡(luò)安全防護(hù)、數(shù)據(jù)安全防護(hù)、工業(yè)App應(yīng)用安全防護(hù)等角度進(jìn)行安全防護(hù)設(shè)計(jì)和建設(shè)；針對(duì)工控系統(tǒng)內(nèi)部網(wǎng)絡(luò)流量和協(xié)議的安全審計(jì)層面進(jìn)行數(shù)據(jù)安全防護(hù)，達(dá)到對(duì)工業(yè)互聯(lián)網(wǎng)企業(yè)分類分級(jí)增強(qiáng)級(jí)（三級(jí)）安全防護(hù)，逐步實(shí)施，最終滿足工業(yè)聯(lián)網(wǎng)企業(yè)分類分級(jí)管理防護(hù)的相關(guān)要求。

目標(biāo)一：建設(shè)工業(yè)網(wǎng)絡(luò)邊界安全防護(hù)及工控設(shè)備計(jì)算環(huán)境安全防護(hù)，完善安全管理手段。

通過(guò)技術(shù)手段在工控網(wǎng)絡(luò)邊界部署安全產(chǎn)品，以集團(tuán)分公司為單位，對(duì)安全生產(chǎn)業(yè)務(wù)區(qū)域網(wǎng)絡(luò)和管理信息區(qū)域網(wǎng)絡(luò)進(jìn)行安全域的劃分，明確重要數(shù)據(jù)的構(gòu)成及數(shù)據(jù)流動(dòng)方向，進(jìn)行分區(qū)分域邊界防護(hù)，構(gòu)建可信工控系統(tǒng)，加強(qiáng)區(qū)域之間的訪問(wèn)控制，加強(qiáng)系統(tǒng)與系統(tǒng)之間通信協(xié)議的安全防范，從而防止網(wǎng)絡(luò)攻擊與威脅；保證工業(yè)生產(chǎn)設(shè)備計(jì)算環(huán)境安全，打造工控安全計(jì)算白環(huán)境，部署統(tǒng)一運(yùn)維平臺(tái)進(jìn)行工控網(wǎng)絡(luò)安全工作高效可靠管理；建立健全網(wǎng)絡(luò)安全責(zé)任制度，完善鋼鐵企業(yè)工控網(wǎng)絡(luò)安全管理體系，將網(wǎng)絡(luò)安全納入考核，即利用技術(shù)手段和管理手段保證鋼鐵企業(yè)安全生產(chǎn)。

目標(biāo)二：建設(shè)完善的安全審計(jì)措施和未知威脅檢測(cè)與回溯系統(tǒng)，完善縱深防御體系。

通過(guò)旁路監(jiān)聽(tīng)與智能分析技術(shù)，對(duì)系統(tǒng)的控制、采集請(qǐng)求、網(wǎng)絡(luò)行為進(jìn)行詳細(xì)的審計(jì)，對(duì)攻擊及時(shí)預(yù)警；建立事前攻擊的提前發(fā)現(xiàn)和預(yù)防，事中攻擊的主動(dòng)檢測(cè)、主動(dòng)防御，事后及時(shí)溯源，做到應(yīng)急響應(yīng)；同時(shí)構(gòu)建清晰的集團(tuán)資產(chǎn)互訪拓?fù)?，?duì)攻擊場(chǎng)景進(jìn)行還原，對(duì)每個(gè)攻擊階段進(jìn)行回溯分析，通過(guò)豐富的可視化技術(shù)進(jìn)行多維呈現(xiàn)。

目標(biāo)三：建設(shè)網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警與信息通報(bào)平臺(tái)，制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案。

建立針對(duì)集團(tuán)各分公司工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)預(yù)警、信息通報(bào)、應(yīng)急處置手段，提高威脅信息的共享，對(duì)監(jiān)測(cè)發(fā)現(xiàn)的安全風(fēng)險(xiǎn)隱患及時(shí)通報(bào)相關(guān)企業(yè)；實(shí)現(xiàn)工業(yè)設(shè)備資產(chǎn)感知、工業(yè)漏洞感知、工業(yè)配置感知、工業(yè)協(xié)議識(shí)別和分析、工業(yè)連接和網(wǎng)絡(luò)行為感知、工業(yè)僵尸、木馬、蠕蟲檢測(cè)、工業(yè)攻擊鏈的監(jiān)測(cè)和分析等安全態(tài)勢(shì)感知功能，實(shí)時(shí)識(shí)別和預(yù)警工業(yè)控制網(wǎng)絡(luò)和工業(yè)互聯(lián)網(wǎng)絡(luò)的安全威脅，及時(shí)與工業(yè)安全設(shè)備聯(lián)動(dòng)實(shí)現(xiàn)協(xié)同防護(hù)，并提供攻擊回溯取證和安全態(tài)勢(shì)定期報(bào)表，為制定工控安全策略提供支撐，形成安全閉環(huán)，進(jìn)而實(shí)現(xiàn)工業(yè)控制網(wǎng)絡(luò)和工業(yè)互聯(lián)網(wǎng)絡(luò)安全威脅的可視、可控、可管；制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案，定期開展應(yīng)急演練，發(fā)現(xiàn)重大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和事件；定期開展網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，及時(shí)采取針對(duì)性有效防范措施。

2　項(xiàng)目實(shí)施

2.1　方案技術(shù)架構(gòu)

本方案將構(gòu)建一套基于人工智能的工業(yè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，其采用的技術(shù)及產(chǎn)品是涉及多個(gè)不同安全技術(shù)領(lǐng)域的復(fù)雜工作。本方案技術(shù)架構(gòu)圖如圖2所示。

圖2 方案技術(shù)架構(gòu)圖

2.1.1　制定鋼鐵企業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)建設(shè)規(guī)劃

鋼鐵行業(yè)工業(yè)控制網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)復(fù)雜，受產(chǎn)品類型、廠商及工業(yè)流程等影響，企業(yè)內(nèi)部也會(huì)呈現(xiàn)類型各異的網(wǎng)絡(luò)接入方式和拓?fù)浼軜?gòu)。因此，對(duì)工業(yè)網(wǎng)絡(luò)的安全防護(hù)，需要能夠適應(yīng)網(wǎng)絡(luò)層、應(yīng)用層及內(nèi)容層與IT網(wǎng)絡(luò)的巨大差異，進(jìn)行有針對(duì)性的識(shí)別與控制，并屏蔽工業(yè)網(wǎng)絡(luò)自身的差異性，實(shí)現(xiàn)一致的安全防護(hù)效果。

網(wǎng)絡(luò)安全防護(hù)從防護(hù)對(duì)象、防護(hù)措施及防護(hù)管理三個(gè)視角構(gòu)建，形成網(wǎng)絡(luò)安全防護(hù)框架。該框架針對(duì)不同的防護(hù)對(duì)象部署相應(yīng)的安全防護(hù)措施，并根據(jù)實(shí)時(shí)監(jiān)測(cè)結(jié)果發(fā)現(xiàn)網(wǎng)絡(luò)中存在的或即將發(fā)生的安全問(wèn)題并及時(shí)做出響應(yīng)。同時(shí)加強(qiáng)防護(hù)管理，明確基于安全目標(biāo)持續(xù)改進(jìn)的管理方針，保障工業(yè)互聯(lián)網(wǎng)的持續(xù)安全。安全框架如圖3所示。

圖3 網(wǎng)絡(luò)安全防護(hù)框架

其中，防護(hù)對(duì)象視角涵蓋設(shè)備、控制、網(wǎng)絡(luò)、應(yīng)用和數(shù)據(jù)五大安全重點(diǎn)；防護(hù)措施視角包括威脅防護(hù)、監(jiān)測(cè)感知和處置恢復(fù)三大環(huán)節(jié)，如圖4所示，威脅防護(hù)環(huán)節(jié)針對(duì)五大防護(hù)對(duì)象部署主被動(dòng)安全防護(hù)措施，監(jiān)測(cè)感知和處置恢復(fù)環(huán)節(jié)通過(guò)信息共享、監(jiān)測(cè)預(yù)警、應(yīng)急響應(yīng)等一系列安全措施、機(jī)制的部署增強(qiáng)動(dòng)態(tài)安全防護(hù)能力；防護(hù)管理視角根據(jù)工業(yè)互聯(lián)網(wǎng)安全目標(biāo)對(duì)其面臨的安全風(fēng)險(xiǎn)進(jìn)行安全評(píng)估，并選擇適當(dāng)?shù)陌踩呗宰鳛橹笇?dǎo)，實(shí)現(xiàn)防護(hù)措施的有效部署。

網(wǎng)絡(luò)安全防護(hù)安全框架的三個(gè)防護(hù)視角之間相對(duì)獨(dú)立，但彼此之間又相互關(guān)聯(lián)。從防護(hù)對(duì)象視角來(lái)看，安全框架中的每個(gè)防護(hù)對(duì)象，都需要采用一組合理的防護(hù)措施并配備完備的防護(hù)管理流程對(duì)其進(jìn)行安全防護(hù)；從防護(hù)措施視角來(lái)看，每一類防護(hù)措施都有其適用的防護(hù)對(duì)象，并在具體防護(hù)管理流程指導(dǎo)下發(fā)揮作用；從防護(hù)管理視角來(lái)看，防護(hù)管理流程的實(shí)現(xiàn)離不開對(duì)防護(hù)對(duì)象的界定，并需要各類防護(hù)措施的有機(jī)結(jié)合使其能夠順利運(yùn)轉(zhuǎn)。工業(yè)互聯(lián)網(wǎng)安全框架的三個(gè)防護(hù)視角相輔相成、互為補(bǔ)充，形成一個(gè)完整、動(dòng)態(tài)、持續(xù)的防護(hù)體系。

圖4 防護(hù)措施視角示意圖

2.2　方案建設(shè)內(nèi)容

2.2.1　建設(shè)基于人工智能技術(shù)的網(wǎng)絡(luò)安全綜合防御平臺(tái)

鋼鐵企業(yè)工業(yè)網(wǎng)絡(luò)安全邊界劃分不明確，并允許從其他安全分區(qū)（如辦公內(nèi)網(wǎng)）甚至可能允許與Internet連接的設(shè)備進(jìn)行訪問(wèn)。當(dāng)一個(gè)安全區(qū)域內(nèi)的網(wǎng)絡(luò)受到攻擊和入侵時(shí)，會(huì)迅速向其他區(qū)域橫向擴(kuò)散，造成大規(guī)模嚴(yán)重性安全事件。為此，嚴(yán)格劃分網(wǎng)絡(luò)區(qū)域，并在邊界處部署防護(hù)系統(tǒng)是安全建設(shè)的基礎(chǔ)。

建設(shè)工業(yè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)。工業(yè)控制系統(tǒng)安全防護(hù)系統(tǒng)主要針對(duì)工業(yè)控制設(shè)備的安全防護(hù)，在PLC等控制設(shè)備本身難以快速實(shí)現(xiàn)安全能力集成的情況下，通過(guò)在接入網(wǎng)絡(luò)層增加工業(yè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)實(shí)現(xiàn)防攻擊、防病毒、防入侵、防竊密、防控制能力。

建設(shè)工業(yè)主機(jī)安全防護(hù)系統(tǒng)，加強(qiáng)工業(yè)App的安全防護(hù)。工業(yè)主機(jī)是工控網(wǎng)絡(luò)中較為脆弱的節(jié)點(diǎn)，自身漏洞較多，操作版本老舊，往往已經(jīng)失去了補(bǔ)丁支持；工業(yè)App軟件多數(shù)是定制開發(fā)的，軟件開發(fā)程序不規(guī)范，具有較多的漏洞和安全風(fēng)險(xiǎn)；操作系統(tǒng)和工業(yè)App軟件由人操作帶來(lái)惡意操作和誤操作的可能性增加，且性能、更新和兼容性問(wèn)題導(dǎo)致一般的防病毒機(jī)制難以生效。多方面的隱患下，工業(yè)主機(jī)的極高權(quán)限造成一旦攻擊突破單臺(tái)設(shè)備即可對(duì)工控網(wǎng)絡(luò)造成嚴(yán)重的破壞，對(duì)其的防護(hù)必須根據(jù)工業(yè)主機(jī)自身的特點(diǎn)進(jìn)行特殊的功能集合設(shè)計(jì)，并通過(guò)較低的系統(tǒng)開銷，實(shí)現(xiàn)對(duì)攻擊行為的有效控制。

建設(shè)工業(yè)數(shù)據(jù)保護(hù)系統(tǒng)。工業(yè)應(yīng)用與數(shù)據(jù)的保護(hù)，其重點(diǎn)在于對(duì)主客體的細(xì)粒度控制和攻擊洞察，確保被授權(quán)人在授權(quán)的訪問(wèn)內(nèi)妥善地執(zhí)行業(yè)務(wù)并操作數(shù)據(jù)，同時(shí)識(shí)別并阻斷其中的攻擊行為，實(shí)現(xiàn)對(duì)工業(yè)應(yīng)用及數(shù)據(jù)的保護(hù)。

2.2.2　建設(shè)基于人工智能技術(shù)的威脅檢測(cè)與安全防護(hù)系統(tǒng)

傳統(tǒng)的網(wǎng)絡(luò)安全建設(shè)往往停留在被動(dòng)防御狀態(tài)，導(dǎo)致網(wǎng)絡(luò)安全運(yùn)維人員無(wú)法看清全網(wǎng)網(wǎng)絡(luò)安全狀態(tài)，無(wú)法回答“當(dāng)前網(wǎng)絡(luò)有沒(méi)有網(wǎng)絡(luò)安全問(wèn)題，問(wèn)題的來(lái)源在哪里，會(huì)不會(huì)擴(kuò)散”等網(wǎng)絡(luò)安全治理的本質(zhì)問(wèn)題，即使建設(shè)了等級(jí)保護(hù)的技術(shù)體系，也無(wú)法對(duì)未知威脅和高級(jí)威脅進(jìn)行識(shí)別和防護(hù)，無(wú)法抵御高級(jí)持續(xù)性威脅APT攻擊。本方案將建設(shè)一套完整的“事前有防范、事中有應(yīng)對(duì)、事后有追溯”的主動(dòng)防御的網(wǎng)絡(luò)安全技術(shù)體系，實(shí)現(xiàn)全網(wǎng)的網(wǎng)絡(luò)安全狀態(tài)快速預(yù)警，協(xié)調(diào)全網(wǎng)安全設(shè)備和網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)持續(xù)防護(hù)和快速處置。該系統(tǒng)通過(guò)挖掘海量數(shù)據(jù)關(guān)聯(lián)關(guān)系，自動(dòng)發(fā)現(xiàn)企業(yè)內(nèi)網(wǎng)數(shù)據(jù)資產(chǎn)，建立數(shù)據(jù)資產(chǎn)臺(tái)賬，構(gòu)建清晰的資產(chǎn)互訪拓?fù)洌⒃u(píng)估資產(chǎn)風(fēng)險(xiǎn)狀況；通過(guò)采集各類日志數(shù)據(jù)、原始流量及元數(shù)據(jù)（netflow），識(shí)別出網(wǎng)絡(luò)內(nèi)資產(chǎn)的源IP地址和目標(biāo)IP地址、URL數(shù)據(jù)和SQL語(yǔ)句數(shù)據(jù)以及特定的數(shù)據(jù)，結(jié)合IP地址識(shí)別并過(guò)濾出應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器，利用SQL解析識(shí)別出數(shù)據(jù)表、字段及表間關(guān)系，利用URL解析識(shí)別出目標(biāo)頁(yè)面，使業(yè)務(wù)系統(tǒng)中的頁(yè)面對(duì)應(yīng)的功能、頁(yè)面訪問(wèn)數(shù)據(jù)的邏輯，以及數(shù)據(jù)的組成達(dá)到全面掌握，解決數(shù)據(jù)血緣關(guān)系自動(dòng)識(shí)別的工作，從而為數(shù)據(jù)安全提供保障；針對(duì)每個(gè)攻擊事件，采用攻擊鏈聚合對(duì)每個(gè)攻擊階段進(jìn)行回溯分析，并留存攻擊取證報(bào)文，通過(guò)豐富的可視化技術(shù)進(jìn)行多維呈現(xiàn)。

2.2.3　建設(shè)基于人工智能技術(shù)的安全態(tài)勢(shì)監(jiān)測(cè)與風(fēng)險(xiǎn)評(píng)估系統(tǒng)，實(shí)時(shí)監(jiān)測(cè)安全風(fēng)險(xiǎn)

基于人工智能技術(shù)的安全態(tài)勢(shì)監(jiān)測(cè)與風(fēng)險(xiǎn)評(píng)估系統(tǒng)作為構(gòu)建一體化動(dòng)態(tài)綜合防御體系的基石，是安全綜合防護(hù)系統(tǒng)面向安全和系統(tǒng)管理人員進(jìn)行統(tǒng)一管理、整體趨勢(shì)查看、安全事件追溯的綜合辦事中心，應(yīng)以安全態(tài)勢(shì)感知為基礎(chǔ)，對(duì)日常安全防護(hù)中需要的用戶身份、策略調(diào)試、遠(yuǎn)程運(yùn)維及資產(chǎn)與漏洞狀態(tài)等進(jìn)行統(tǒng)一的運(yùn)維管控，并將重要信息報(bào)送至安全態(tài)勢(shì)感知平臺(tái)，同時(shí)通過(guò)態(tài)勢(shì)感知系統(tǒng)的智能分析與建議功能，全面提高安全防護(hù)的水平。

2.3　關(guān)鍵技術(shù)的難點(diǎn)

2.3.1　工業(yè)軟硬件設(shè)備安全檢測(cè)難

工業(yè)企業(yè)網(wǎng)絡(luò)中設(shè)備和軟件的種類繁多，規(guī)格、通信協(xié)議、數(shù)據(jù)種類和規(guī)約各異，數(shù)據(jù)密集型應(yīng)用交互復(fù)雜，使得工業(yè)企業(yè)網(wǎng)絡(luò)在軟硬件設(shè)備擴(kuò)展時(shí)存在一定的安全隱患。因此，在工業(yè)企業(yè)進(jìn)行設(shè)備和系統(tǒng)更新與擴(kuò)展的過(guò)程中，需要對(duì)工業(yè)企業(yè)網(wǎng)絡(luò)內(nèi)的軟硬件安全防護(hù)進(jìn)行實(shí)時(shí)的檢測(cè)，保證網(wǎng)絡(luò)系統(tǒng)不受到外部攻擊。而安全檢測(cè)是一個(gè)持續(xù)的過(guò)程，如何在不妨礙系統(tǒng)正常運(yùn)行，不破壞完成工作流程的情況下進(jìn)行安全檢測(cè)也是一個(gè)亟待解決的難題。

2.3.2　工業(yè)網(wǎng)絡(luò)安全動(dòng)態(tài)防護(hù)難

傳統(tǒng)的工業(yè)企業(yè)網(wǎng)絡(luò)安全防護(hù)基于分區(qū)、分域、隔離的靜態(tài)防護(hù)技術(shù)，安全策略決策方法主要集中在信息域防護(hù)，決策依據(jù)相對(duì)單一，不能適應(yīng)工業(yè)控制系統(tǒng)信息安全防護(hù)需兼顧信息域和物理域安全、成本、性能等多因素平衡的特點(diǎn)，具有一定的滯后性，無(wú)法應(yīng)對(duì)層出不窮的未知攻擊。針對(duì)工控系統(tǒng)的攻擊，一旦突破到系統(tǒng)現(xiàn)場(chǎng)層，輕則引起產(chǎn)品的減產(chǎn)降質(zhì)，重則造成重特大安全事故，引起人員傷亡、環(huán)境污染，危及公共生活乃至國(guó)家安全。工業(yè)過(guò)程系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)的核心和焦點(diǎn)是保證過(guò)程系統(tǒng)的安全運(yùn)行，它的防護(hù)必須是深度結(jié)合系統(tǒng)運(yùn)行特點(diǎn)，保障工業(yè)控制系統(tǒng)的動(dòng)態(tài)安全，具備較高的可行性。

本項(xiàng)目針對(duì)工業(yè)安全靜態(tài)防護(hù)響應(yīng)模式固定、易被攻擊者利用的問(wèn)題，采用主動(dòng)安全防護(hù)技術(shù)，設(shè)計(jì)了一種動(dòng)態(tài)安全防護(hù)架構(gòu)，在傳統(tǒng)的靜態(tài)防護(hù)的基礎(chǔ)上，構(gòu)建安全策略生成、協(xié)調(diào)與調(diào)度方法，利用軟件定義網(wǎng)絡(luò)完成對(duì)工業(yè)控制系統(tǒng)進(jìn)行實(shí)時(shí)入侵檢測(cè)，實(shí)現(xiàn)主動(dòng)動(dòng)態(tài)防御。

2.3.3　工業(yè)網(wǎng)絡(luò)入侵樣本分析難

在傳統(tǒng)工業(yè)網(wǎng)絡(luò)入侵檢測(cè)領(lǐng)域普遍應(yīng)用的隱馬爾可夫模型、遺傳算法、粒子群算法和神經(jīng)網(wǎng)絡(luò)等算法，都是基于經(jīng)驗(yàn)風(fēng)險(xiǎn)最小化原理的機(jī)器學(xué)習(xí)算法，其檢測(cè)的準(zhǔn)確性與獲得樣本的數(shù)量有很大的關(guān)系，對(duì)于獲得的樣本是大樣本、完備的網(wǎng)絡(luò)數(shù)據(jù)檢測(cè)效果較好。而網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)是一種高維和冗余數(shù)據(jù)，傳統(tǒng)機(jī)器學(xué)習(xí)檢測(cè)方法無(wú)法進(jìn)行很好降維，且基于大樣本數(shù)據(jù)，入侵檢測(cè)率低，導(dǎo)致機(jī)器學(xué)習(xí)方法檢測(cè)的實(shí)際準(zhǔn)確率與理論效果存在一定的差距。而且網(wǎng)絡(luò)入侵檢測(cè)數(shù)據(jù)具有較高的維數(shù)，因此數(shù)據(jù)就包含了大量的與網(wǎng)絡(luò)入侵檢測(cè)無(wú)關(guān)屬性，大大地降低了工業(yè)企業(yè)網(wǎng)絡(luò)中入侵監(jiān)測(cè)的效率。項(xiàng)目采用基于無(wú)監(jiān)督算法的攻擊行為自動(dòng)學(xué)習(xí)技術(shù)，采用樣本分析對(duì)網(wǎng)絡(luò)入侵原始數(shù)據(jù)進(jìn)行降維優(yōu)化，利用工業(yè)企業(yè)網(wǎng)絡(luò)安全的特點(diǎn)建立機(jī)器學(xué)習(xí)引擎，對(duì)分析得到的數(shù)據(jù)自動(dòng)學(xué)習(xí)提取新的規(guī)則與特征。

2.3.4　人工智能技術(shù)本身的安全風(fēng)險(xiǎn)防范難

人工智能技術(shù)有巨大的潛能改變?nèi)祟惷\(yùn)，但同樣可以被惡意攻擊者利用，用以制作高級(jí)持續(xù)性威脅。即使是人工智能算法本身，也能被惡意攻擊者影響，導(dǎo)致AI系統(tǒng)判斷失準(zhǔn)。在工業(yè)、醫(yī)療、交通、監(jiān)控等關(guān)鍵領(lǐng)域，安全危害尤為巨大；如果AI系統(tǒng)被惡意攻擊，輕則造成財(cái)產(chǎn)損失，重則威脅人身安全。

AI安全風(fēng)險(xiǎn)不僅僅存在于理論分析，并且真實(shí)地存在于現(xiàn)今各種AI應(yīng)用中。例如攻擊者通過(guò)修改惡意文件繞開惡意文件檢測(cè)或惡意流量檢測(cè)等基于AI的檢測(cè)工具；加入簡(jiǎn)單的噪音，致使家中的語(yǔ)音控制系統(tǒng)成功調(diào)用惡意應(yīng)用；刻意修改終端回傳的數(shù)據(jù)或刻意與聊天機(jī)器人進(jìn)行某些惡意對(duì)話，導(dǎo)致后端AI系統(tǒng)預(yù)測(cè)錯(cuò)誤；在交通指示牌或其他車輛上貼上或涂上一些小標(biāo)記，致使自動(dòng)駕駛車輛的判斷錯(cuò)誤。

應(yīng)對(duì)上述AI安全風(fēng)險(xiǎn)，AI系統(tǒng)在設(shè)計(jì)上面臨五大安全挑戰(zhàn)：

（1）軟硬件的安全

在軟件及硬件層面，包括應(yīng)用、模型、系統(tǒng)和芯片，編碼都可能存在漏洞或后門；攻擊者能夠利用這些漏洞或后門實(shí)施高級(jí)攻擊。在AI模型層面上，攻擊者同樣可能在模型中植入后門并實(shí)施高級(jí)攻擊；由于AI模型的不可解釋性，在模型中植入的惡意后門難以被檢測(cè)。

（2）數(shù)據(jù)完整性

在數(shù)據(jù)層面，攻擊者能夠在訓(xùn)練階段摻入惡意數(shù)據(jù)，影響AI模型推理能力；攻擊者同樣可以在判斷階段對(duì)要判斷的樣本加入少量噪音，刻意改變判斷結(jié)果。

（3）模型保密性

在模型參數(shù)層面，服務(wù)提供者往往只希望提供模型查詢服務(wù)，而不希望暴露自己訓(xùn)練的模型；但通過(guò)多次查詢，攻擊者能夠構(gòu)建出一個(gè)相似的模型，進(jìn)而獲得模型的相關(guān)信息。

（4）模型魯棒性

訓(xùn)練模型時(shí)的樣本往往覆蓋性不足，使得模型魯棒性不強(qiáng)；模型面對(duì)惡意樣本時(shí)，無(wú)法給出正確的判斷結(jié)果。

（5）數(shù)據(jù)隱私

在用戶提供訓(xùn)練數(shù)據(jù)的場(chǎng)景下，攻擊者能夠通過(guò)反復(fù)查詢訓(xùn)練好的模型獲得用戶的隱私信息。

面向人工智能自身安全風(fēng)險(xiǎn)，本項(xiàng)目系統(tǒng)實(shí)現(xiàn)增強(qiáng)AI模型本身的安全性，避免可能的針對(duì)人工智能技術(shù)的攻擊。

（1）網(wǎng)絡(luò)蒸餾：網(wǎng)絡(luò)蒸餾技術(shù)的基本原理是在模型訓(xùn)練階段，對(duì)多個(gè)DNN進(jìn)行串聯(lián)，其中前一個(gè)DNN生成的分類結(jié)果被用于訓(xùn)練后一個(gè)DNN。有學(xué)者發(fā)現(xiàn)轉(zhuǎn)移知識(shí)可以一定程度上降低模型對(duì)微小擾動(dòng)的敏感度，提高AI模型的魯棒性，于是提出將網(wǎng)絡(luò)蒸餾技術(shù)用于防御閃避攻擊，并在MNIST和CIFAR-10數(shù)據(jù)集上測(cè)試，發(fā)現(xiàn)該技術(shù)可使特定攻擊（如JSMA）的成功率降低。

（2）對(duì)抗訓(xùn)練：該技術(shù)的基本原理是在模型訓(xùn)練階段，使用已知的各種攻擊方法生成對(duì)抗樣本，再將對(duì)抗樣本加入模型的訓(xùn)練集中，對(duì)模型進(jìn)行單次或多次重訓(xùn)練，生成可以抵抗攻擊擾動(dòng)的新模型。同時(shí)，由于綜合多個(gè)類型的對(duì)抗樣本使得訓(xùn)練集數(shù)據(jù)增多，該技術(shù)不但可以增強(qiáng)新生成模型的魯棒性，還可以增強(qiáng)模型的準(zhǔn)確率和規(guī)范性。

（3）對(duì)抗樣本檢測(cè)：該技術(shù)的原理為在模型的使用階段，通過(guò)增加外部檢測(cè)模型或原模型的檢測(cè)組件來(lái)檢測(cè)待判斷樣本是否為對(duì)抗樣本。在輸入樣本到達(dá)原模型前，檢測(cè)模型會(huì)判斷其是否為對(duì)抗樣本。檢測(cè)模型也可以在原模型每一層提取相關(guān)信息，綜合各種信息來(lái)進(jìn)行檢測(cè)。各類檢測(cè)模型可能依據(jù)不同標(biāo)準(zhǔn)來(lái)判斷輸入是否為對(duì)抗樣本。例如，輸入樣本和正常數(shù)據(jù)間確定性的差異可以用來(lái)當(dāng)作檢測(cè)標(biāo)準(zhǔn)；對(duì)抗樣本的分布特征、輸入樣本的歷史都可以成為判別對(duì)抗樣本的依據(jù)。

（4）輸入重構(gòu)：該技術(shù)的原理是在模型的使用階段，通過(guò)將輸入樣本進(jìn)行變形轉(zhuǎn)化來(lái)對(duì)抗閃避攻擊，變形轉(zhuǎn)化后的輸入不會(huì)影響模型的正常分類功能。重構(gòu)方法包括對(duì)輸入樣本加噪、去噪和使用自動(dòng)編碼器（autoencoder）改變輸入樣本等方法。

（5）DNN模型驗(yàn)證：類似軟件驗(yàn)證分析技術(shù)，DNN模型驗(yàn)證技術(shù)使用求解器（solver）來(lái)驗(yàn)證DNN模型的各種屬性，如驗(yàn)證在特定擾動(dòng)范圍內(nèi)沒(méi)有對(duì)抗樣本。但是通常驗(yàn)證DNN模型是NP完全問(wèn)題，求解器的效率較低。通過(guò)取舍和優(yōu)化，如對(duì)模型節(jié)點(diǎn)驗(yàn)證的優(yōu)先度選擇、分享驗(yàn)證信息、按區(qū)域驗(yàn)證等，可以進(jìn)一步提高DNN模型驗(yàn)證運(yùn)行效率。

2.4　關(guān)鍵技術(shù)的創(chuàng)新點(diǎn)

2.4.1　基于人工智能的主動(dòng)安全防護(hù)技術(shù)

本項(xiàng)目在傳統(tǒng)的靜態(tài)防護(hù)的基礎(chǔ)上，結(jié)合工業(yè)企業(yè)網(wǎng)絡(luò)安全防護(hù)的需求，設(shè)計(jì)了一種動(dòng)態(tài)安全防護(hù)架構(gòu)。該防護(hù)架構(gòu)利用OpenFlow協(xié)議實(shí)現(xiàn)將控制平面與數(shù)據(jù)平面的分離，通過(guò)軟件定義網(wǎng)絡(luò)鏡像獲取工業(yè)控制系統(tǒng)現(xiàn)場(chǎng)數(shù)據(jù)，基于LSTM和Snort對(duì)工業(yè)控制系統(tǒng)進(jìn)行實(shí)時(shí)入侵檢測(cè)，編程獲取工業(yè)控制系統(tǒng)網(wǎng)絡(luò)流量進(jìn)行監(jiān)測(cè)和分析，發(fā)現(xiàn)異常后通過(guò)軟件定義網(wǎng)絡(luò)實(shí)現(xiàn)隔離、重定向等安全響應(yīng)手段，執(zhí)行端口跳變、拓?fù)涮儭⒘髁壳逑吹确雷o(hù)策略，在不更改硬件設(shè)備的前提下形成檢測(cè)響應(yīng)的安全閉環(huán)，阻止攻擊對(duì)系統(tǒng)造成破壞。與此同時(shí)，將移動(dòng)防御技術(shù)引入工業(yè)控制系統(tǒng)，基于軟件定義網(wǎng)絡(luò)實(shí)現(xiàn)工業(yè)控制系統(tǒng)的拓?fù)渥儞Q和IP/端口跳變，迷惑和欺騙攻擊者，從根源上防止攻擊的發(fā)生。通過(guò)性能測(cè)試和攻防實(shí)驗(yàn)驗(yàn)證，該防護(hù)架構(gòu)滿足工業(yè)控制系統(tǒng)通信時(shí)效性要求，能夠保障工業(yè)控制系統(tǒng)的動(dòng)態(tài)安全，具備較高的可行性。該架構(gòu)基于多目標(biāo)優(yōu)化的安全策略決策方法，在深入分析攻擊傳播的基礎(chǔ)上，構(gòu)建覆蓋信息域和物理域的備選安全策略生成方法，確保策略空間的完備性，能夠自適應(yīng)當(dāng)前安全態(tài)勢(shì)，所求最優(yōu)解具備不可預(yù)測(cè)的特點(diǎn)，克服了傳統(tǒng)安全防護(hù)技術(shù)響應(yīng)模式固定、易被攻擊者利用的不足的缺點(diǎn)。

同時(shí)，考慮到大多數(shù)工業(yè)控制系統(tǒng)為避免關(guān)鍵功能失效而部署有功能安全策略，因此項(xiàng)目針對(duì)構(gòu)建的信息安全策略研究功能安全策略的協(xié)調(diào)與調(diào)度方法，負(fù)責(zé)兩類安全策略的有效實(shí)施。針對(duì)策略潛在的沖突問(wèn)題，本項(xiàng)目從系統(tǒng)功能的角度，分析工業(yè)控制系統(tǒng)信息安全策略與功能安全策略間的關(guān)系，制定策略沖突協(xié)調(diào)規(guī)則，依此動(dòng)態(tài)協(xié)調(diào)當(dāng)前安全態(tài)勢(shì)下所制定的信息安全策略和功能安全策略，獲得無(wú)沖突安全相關(guān)策略。針對(duì)策略實(shí)施優(yōu)化問(wèn)題，本項(xiàng)目從功能失效風(fēng)險(xiǎn)的角度，評(píng)估安全策略對(duì)系統(tǒng)防護(hù)的作用，以此為目標(biāo)，在工業(yè)控制系統(tǒng)的實(shí)時(shí)性等多約束條件下，構(gòu)建無(wú)沖突安全相關(guān)策略與系統(tǒng)功能性任務(wù)間的一體化調(diào)度，尋求最優(yōu)的任務(wù)實(shí)施方案，保障安全相關(guān)策略和系統(tǒng)功能性任務(wù)的平滑實(shí)施。

2.4.2　鋼鐵行業(yè)資產(chǎn)自動(dòng)識(shí)別與可視化技術(shù)

工業(yè)互聯(lián)網(wǎng)安全的頭號(hào)威脅是資產(chǎn)可見(jiàn)性，工業(yè)互聯(lián)網(wǎng)資產(chǎn)體量大、種類多、拓?fù)鋸?fù)雜，單純依賴人工登記匯總難以梳理?；谝幌到y(tǒng)、多探針、全場(chǎng)景的系統(tǒng)架構(gòu)，可以大規(guī)模地審計(jì)和分析網(wǎng)絡(luò)中每一臺(tái)資產(chǎn)的鏡像流量、通信協(xié)議、設(shè)備日志。借助設(shè)備指紋技術(shù)和高性能聚類等無(wú)監(jiān)督的人工智能算法，并融合網(wǎng)絡(luò)準(zhǔn)入管理、終端監(jiān)測(cè)與響應(yīng)EDR、網(wǎng)絡(luò)監(jiān)測(cè)與響應(yīng)NDR、用戶實(shí)體行為分析UEBA等數(shù)據(jù)分析技術(shù)，可以無(wú)需人工干預(yù)地智能生成不同業(yè)務(wù)資產(chǎn)群集，并自動(dòng)生成資產(chǎn)之間的拓?fù)鋵蛹?jí)，實(shí)現(xiàn)高階網(wǎng)絡(luò)拓?fù)涞娜S可視化。隨著時(shí)間的變化，圖形化動(dòng)態(tài)展示資產(chǎn)群集之內(nèi)和之間的通信行為，用于資產(chǎn)行為深度可視化。

在自動(dòng)生成資產(chǎn)群集的基礎(chǔ)上，通過(guò)對(duì)資產(chǎn)群集之間的網(wǎng)絡(luò)通信行為基于隱馬爾可夫、生成對(duì)抗網(wǎng)絡(luò)、時(shí)間序列等機(jī)器學(xué)習(xí)算法建模和檢測(cè)，可以有效發(fā)現(xiàn)異常內(nèi)聯(lián)、異常外聯(lián)、賬號(hào)失竊、數(shù)據(jù)泄露等內(nèi)網(wǎng)高級(jí)持續(xù)性威脅行為。如在某企業(yè)內(nèi)網(wǎng)中發(fā)現(xiàn)某區(qū)域一臺(tái)資產(chǎn)A與管理區(qū)多臺(tái)服務(wù)器在幾天內(nèi)進(jìn)行了多次聯(lián)接，并且傳輸了大量數(shù)據(jù)，雖然從流量中沒(méi)有發(fā)現(xiàn)任何已知的惡意特征，但人工智能算法仍然能敏銳地覺(jué)察，該資產(chǎn)與其同類設(shè)備的行為不同，并進(jìn)一步與該資產(chǎn)的歷史行為進(jìn)行比較，發(fā)現(xiàn)該資產(chǎn)已經(jīng)被惡意代碼控制。

工業(yè)互聯(lián)網(wǎng)安全需要統(tǒng)籌考慮信息安全、功能安全與物理安全，聚焦信息安全，主要解決工業(yè)互聯(lián)網(wǎng)面臨的網(wǎng)絡(luò)攻擊等新型風(fēng)險(xiǎn)，并考慮其信息安全防護(hù)措施的部署可能對(duì)功能安全和物理安全帶來(lái)的影響。該系統(tǒng)核心以人工智能技術(shù)提供支持，通過(guò)被動(dòng)監(jiān)控OT和IT的網(wǎng)絡(luò)流量，自動(dòng)為系統(tǒng)中的每個(gè)用戶、設(shè)備和控制器建?！吧钅Ｊ健?。通過(guò)這樣做，它可以學(xué)習(xí)“正?！毙袨?，然后可以在很早的階段發(fā)現(xiàn)潛在問(wèn)題或網(wǎng)絡(luò)威脅，然后再升級(jí)為危機(jī)或造成重大損害。至關(guān)重要的是，該系統(tǒng)實(shí)時(shí)在線自學(xué)習(xí)方法意味著它可以學(xué)習(xí)“正?！毙袨椋瑹o(wú)論專有協(xié)議或行業(yè)應(yīng)用的類型如何。無(wú)需手動(dòng)調(diào)整，定制開發(fā)或特殊配置，該技術(shù)可適應(yīng)其安裝的環(huán)境和系統(tǒng)，并快速生成有意義的結(jié)果。由于數(shù)據(jù)攝取是被動(dòng)的，因此該技術(shù)在工業(yè)互聯(lián)網(wǎng)中易于部署，并且不會(huì)破壞關(guān)鍵ICS（包括工業(yè)設(shè)備和機(jī)器）的正常運(yùn)行。

2.4.3　鋼鐵行業(yè)網(wǎng)絡(luò)未知威脅檢測(cè)與自主響應(yīng)技術(shù)

在工業(yè)互聯(lián)網(wǎng)當(dāng)前形勢(shì)下，網(wǎng)絡(luò)安全防御體系更加需要對(duì)未知的威脅具有檢測(cè)、預(yù)警、快速響應(yīng)等主動(dòng)防御的能力。

本項(xiàng)目以工業(yè)設(shè)備行為分析為核心，借助人工智能、大數(shù)據(jù)挖掘等技術(shù)，建立工業(yè)設(shè)備在數(shù)字空間的行為基線模型，對(duì)現(xiàn)實(shí)工業(yè)互聯(lián)網(wǎng)中的設(shè)備資產(chǎn)的行為進(jìn)行實(shí)時(shí)在線的機(jī)器學(xué)習(xí)，以發(fā)現(xiàn)異常和威脅行為，可以有效降低高級(jí)持續(xù)性威脅、數(shù)據(jù)泄漏、病毒感染、操作失誤及其他風(fēng)險(xiǎn)。

本項(xiàng)目通過(guò)融合網(wǎng)絡(luò)準(zhǔn)入管理、終端監(jiān)測(cè)與響應(yīng)EDR、網(wǎng)絡(luò)監(jiān)測(cè)與響應(yīng)NDR、用戶實(shí)體行為分析UEBA等數(shù)據(jù)分析技術(shù)，圍繞資產(chǎn)、用戶、業(yè)務(wù)應(yīng)用、時(shí)間序列、風(fēng)險(xiǎn)等對(duì)象，結(jié)合機(jī)器學(xué)習(xí)和人工智能算法，從海量數(shù)據(jù)中輕松找到用戶行為之間的關(guān)聯(lián)，為每臺(tái)設(shè)備和每個(gè)用戶畫像，建立起各自的健康模型，形成不同設(shè)備和用戶的健康行為邊界。

正常的行為習(xí)慣總是相似的，異常的行為各有各的不同。有了對(duì)用戶“健康行為”的理解，它就能通過(guò)與設(shè)備自身歷史行為，以及和同類設(shè)備的橫向?qū)Ρ?，通過(guò)檢測(cè)不同行為的偏離度，覺(jué)察出惡意滲透、違規(guī)操作等值得注意的“未知風(fēng)險(xiǎn)”。同時(shí)，使用多維度的分層算法提供可解釋性，無(wú)需人工制定規(guī)則，算法最終可以清晰呈現(xiàn)出哪臺(tái)資產(chǎn)，在什么時(shí)候，通過(guò)哪種接入方式接入網(wǎng)絡(luò)，訪問(wèn)了哪些網(wǎng)絡(luò)資源，使用了哪些程序、軟件，做了什么事情。

本項(xiàng)目自動(dòng)學(xué)習(xí)客戶自身的健康行為模式，并不依賴歷史攻擊樣本的特點(diǎn)，決定了其先天對(duì)攻擊的各種變種和繞過(guò)方式免疫。無(wú)論何種攻擊通過(guò)何種繞過(guò)防御，并感染到客戶的內(nèi)網(wǎng)，取得C&C服務(wù)器地址，采用無(wú)法破解的加密算法，本項(xiàng)目能夠準(zhǔn)確地發(fā)現(xiàn)其與罕見(jiàn)的服務(wù)器進(jìn)行通信與控制，以及其訪問(wèn)內(nèi)網(wǎng)的異常端口、異常設(shè)備進(jìn)行橫向滲透和數(shù)據(jù)收集的蛛絲馬跡。在攻擊被曝光之前，記錄其行為歷史，清晰地呈現(xiàn)出來(lái)，幫助客戶準(zhǔn)確溯源，及時(shí)采取措施，避免損失進(jìn)一步擴(kuò)大。健康行為邊界如圖5所示。

圖5 健康行為邊界示意圖

企業(yè)將數(shù)據(jù)控制權(quán)移交給人工智能將會(huì)產(chǎn)生自然的不確定性，但有實(shí)際的好處。使用人工智能進(jìn)行威脅決策和響應(yīng)，可以比人類更快地發(fā)現(xiàn)威脅，并且可以在事先限定的可接受的范圍內(nèi)更快地做出反應(yīng)，以防止或減少損害，而無(wú)需手動(dòng)操作，為人工處理贏得時(shí)間，避免產(chǎn)生更大的損失。

系統(tǒng)在經(jīng)過(guò)一段時(shí)間的學(xué)習(xí)之后，可以在無(wú)需人工干預(yù)的前提下，在預(yù)先設(shè)定的范圍內(nèi)立刻與其他網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)，針對(duì)性對(duì)資產(chǎn)的異常數(shù)據(jù)流行為進(jìn)行臨時(shí)阻斷。

2.4.4　基于人工智能的日志聚類自動(dòng)化分析技術(shù)

基于人工智能技術(shù)的威脅檢測(cè)與免疫系統(tǒng)貼合工業(yè)互聯(lián)網(wǎng)實(shí)際需求，無(wú)需持續(xù)升級(jí)特征庫(kù)及威脅情報(bào)，無(wú)需連接互聯(lián)網(wǎng)。本系統(tǒng)核心為自適應(yīng)算法，在客戶的實(shí)際數(shù)據(jù)網(wǎng)絡(luò)中非侵入式地監(jiān)控，并實(shí)時(shí)地、迭代地進(jìn)行客戶設(shè)備行為模式的各種變化的學(xué)習(xí)，不斷自我優(yōu)化。隨著時(shí)間的推移，算法使它不斷提高，越來(lái)越能清楚識(shí)別正常的設(shè)備行為模式和真實(shí)的攻擊。無(wú)論是OT還是IT環(huán)境，業(yè)務(wù)系統(tǒng)、安全防護(hù)系統(tǒng)都會(huì)產(chǎn)生大量的告警日志，但通常面臨如下困境：

大量重復(fù)日志，可能會(huì)淹沒(méi)真正有價(jià)值的告警日志；

大量的誤報(bào)日志，可能會(huì)掩蓋真實(shí)攻擊日志；

每條日志揭示的信息是離散的，缺少直觀的關(guān)聯(lián)關(guān)系，一些高級(jí)攻擊需要綜合多條告警日志才能夠被發(fā)現(xiàn)；

日志來(lái)自不同類型設(shè)備、不同的型號(hào)，遵循不同設(shè)備廠家的日志格式，要解析這些海量無(wú)格式日志的含義并且對(duì)設(shè)備的日志進(jìn)行綜合分析非常困難；

利用人工智能聚類算法和大數(shù)據(jù)分析，可以對(duì)海量日志進(jìn)行自動(dòng)分類和特征提取。系統(tǒng)自動(dòng)識(shí)別日志可變字段和固定自動(dòng)，實(shí)時(shí)對(duì)日志進(jìn)行分類聚合，甚至可以將一段時(shí)間數(shù)以百萬(wàn)計(jì)的日志聚合成幾條或幾十條日志，使“人”更容易識(shí)別和分析這些日志中蘊(yùn)含的真正有價(jià)值的信息和規(guī)律，去分析發(fā)現(xiàn)系統(tǒng)存在的安全風(fēng)險(xiǎn)。進(jìn)而，系統(tǒng)可以對(duì)聚合后的日志根據(jù)時(shí)間周期性地建立模型和動(dòng)態(tài)閾值，學(xué)習(xí)不同日志之間的統(tǒng)計(jì)關(guān)系。一旦網(wǎng)絡(luò)中出現(xiàn)異常時(shí)，系統(tǒng)可以進(jìn)行快速的故障日志定位，找到異常的根因，為威脅快速定位和處理提供依據(jù)。

基于機(jī)器學(xué)習(xí)聚類算法的日志聚合技術(shù)，可以進(jìn)行無(wú)格式日志智能分析，實(shí)現(xiàn)了海量的復(fù)雜日志自動(dòng)分類和聚合，聚合度提高100倍，分析效率提高6倍，可以快速發(fā)現(xiàn)系統(tǒng)威脅。

基于機(jī)器學(xué)習(xí)聚類算法，包括K-Means、層次聚類等，可以進(jìn)行在線機(jī)器學(xué)習(xí)，實(shí)現(xiàn)了海量的復(fù)雜日志自動(dòng)分類和聚合。該算法能及時(shí)從海量日志中發(fā)現(xiàn)關(guān)鍵事件，事件日志量從1萬(wàn)+條/天聚合到100條/天，查看事件從42天減少到7分鐘，有效解決了現(xiàn)有OT和IT環(huán)境中，業(yè)務(wù)系統(tǒng)、安全防護(hù)系統(tǒng)產(chǎn)生大量重復(fù)、誤報(bào)、離散、無(wú)直觀關(guān)聯(lián)的告警日志，無(wú)法及時(shí)有效獲得高級(jí)攻擊威脅日志信息問(wèn)題而導(dǎo)致的經(jīng)濟(jì)損失，保護(hù)了工業(yè)設(shè)備安全。

3　案例亮點(diǎn)及創(chuàng)新性

3.1　經(jīng)濟(jì)效益

工業(yè)企業(yè)信息系統(tǒng)規(guī)模不斷擴(kuò)大、需求不斷更新、自動(dòng)化程度不斷提高，這些工業(yè)信息系統(tǒng)，在給社會(huì)和公眾創(chuàng)造效益的同時(shí)，它們本身的脆弱性，也給工業(yè)企業(yè)的發(fā)展、國(guó)家經(jīng)濟(jì)建設(shè)甚至國(guó)家安全帶來(lái)了嚴(yán)重的負(fù)面影響。隨著工業(yè)信息系統(tǒng)安全狀況與企業(yè)經(jīng)濟(jì)效益越來(lái)越密切，工業(yè)安全問(wèn)題將直接影響到工業(yè)企業(yè)的企業(yè)經(jīng)營(yíng)和形象。本技術(shù)方案的實(shí)施，能減少工業(yè)企業(yè)因?yàn)楣I(yè)安全問(wèn)題造成的經(jīng)濟(jì)損失，間接帶來(lái)經(jīng)濟(jì)效益。

若按照近年各行業(yè)事故數(shù)量和經(jīng)濟(jì)損失統(tǒng)計(jì)估算，本技術(shù)方案推廣應(yīng)用可以減少30%的事故，提升了社會(huì)的安全穩(wěn)定，可以減輕企業(yè)上億元的經(jīng)濟(jì)損失，保障了人民生活質(zhì)量；同時(shí)有助于各個(gè)應(yīng)用單位保持安全生產(chǎn)的領(lǐng)先地位和夯實(shí)創(chuàng)新發(fā)展的基礎(chǔ)。

3.2　社會(huì)效益

本技術(shù)方案適合于當(dāng)前工控系統(tǒng)信息安全的形勢(shì)和政策要求，可提升工業(yè)企業(yè)網(wǎng)絡(luò)安全監(jiān)測(cè)和態(tài)勢(shì)感知能力，可實(shí)現(xiàn)網(wǎng)絡(luò)安全事件和風(fēng)險(xiǎn)的監(jiān)測(cè)、分析、審計(jì)、追蹤溯源和風(fēng)險(xiǎn)可視化，增強(qiáng)了工業(yè)企業(yè)網(wǎng)絡(luò)安全情報(bào)共享和預(yù)警通報(bào)的能力，實(shí)現(xiàn)了跨部門之間信息共享和預(yù)警通報(bào)的通道，做到了信息共享和預(yù)警通報(bào)及時(shí)、客觀、準(zhǔn)確、完整，提升了工業(yè)企業(yè)網(wǎng)絡(luò)安全事件與報(bào)警管理能力、全防護(hù)能力、評(píng)估能力和工控安全威脅感知能力。

本技術(shù)方案形成了網(wǎng)絡(luò)安全產(chǎn)品可持續(xù)為工業(yè)企業(yè)提供網(wǎng)絡(luò)安全預(yù)警通報(bào)服務(wù)及工控網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)服務(wù)，提高了工業(yè)企業(yè)生產(chǎn)系統(tǒng)信息安全保障水平，降低了信息安全風(fēng)險(xiǎn)，保障了生產(chǎn)系統(tǒng)安全運(yùn)行。

本方案網(wǎng)絡(luò)安全技術(shù)的應(yīng)用，會(huì)加快網(wǎng)絡(luò)安全核心技術(shù)和產(chǎn)品的自主研發(fā)可控及國(guó)產(chǎn)化水平。當(dāng)前，國(guó)內(nèi)工業(yè)企業(yè)工控系統(tǒng)核心技術(shù)和產(chǎn)品自主可控水平低，高端產(chǎn)品基本被國(guó)外壟斷，通過(guò)常規(guī)防御手段無(wú)法完全消除國(guó)外產(chǎn)品的后門、漏洞和缺陷，急需我國(guó)自主知識(shí)產(chǎn)權(quán)的工業(yè)網(wǎng)絡(luò)安全防護(hù)產(chǎn)品問(wèn)世及規(guī)模應(yīng)用。本技術(shù)方案通過(guò)產(chǎn)品的應(yīng)用和配合相關(guān)標(biāo)準(zhǔn)的推廣，大大提高了我國(guó)網(wǎng)絡(luò)安全核心技術(shù)和產(chǎn)品的國(guó)產(chǎn)化水平。

本技術(shù)方案在工業(yè)企業(yè)的應(yīng)用實(shí)施，形成了針對(duì)工業(yè)企業(yè)的典型的產(chǎn)品應(yīng)用和深度的行業(yè)融合，形成了新型工業(yè)化產(chǎn)業(yè)示范基地（工業(yè)信息安全），發(fā)揮了先行先試和示范帶動(dòng)作用。

作者簡(jiǎn)介

王智民（1975-），男，四川巴中人，高級(jí)工程師，碩士，現(xiàn)就職于北京六方云信息技術(shù)有限公司，主要從事理論物理方面的研究。

劉志剛（1984-），男，山東濰坊人，高級(jí)工程師，碩士，現(xiàn)就職于北京六方云信息技術(shù)有限公司，主要從事工商管理方面的研究。

單海波（1988-），男，河北承德人，中級(jí)工程師，學(xué)士，現(xiàn)就職于北京六方云信息技術(shù)有限公司，主要從事工業(yè)自動(dòng)化方面的研究。

蔣忠軍（1981-），男，遼寧丹東人，學(xué)士，現(xiàn)就職于北京六方云信息技術(shù)有限公司，主要從事計(jì)算機(jī)科學(xué)與技術(shù)方面的研究。

摘自《自動(dòng)化博覽》2024年1月刊