今日頭條
官方微信
官方抖音
資訊頻道摘要:工業互聯網正保持著活躍地創新發展態勢,其強調以物理網絡為基礎的萬物互聯互通,因此在這種新模式下,工業信息安全將面臨嚴峻的挑戰。本文首先以歷年代表性的工業安全事件為例,說明了現階段工業控制系統所面臨的安全問題以及威脅形式,并在此基礎上給出了工業互聯網建設時所應重點考慮的安全脆弱性,然后重點論述了人工智能(AI,Artificial Intelligence)算法在工業入侵檢測中的應用以及分類,分析了每類方法的優勢與不足,并提出了全互聯互通模式下工業AI入侵檢測方法的研究重點。
關鍵詞:互聯互通;脆弱性;人工智能;工業入侵檢測
Abstract: Industrial Internet is presenting an active trend of innovation and development,and it celebrates the beautiful interconnection and interoperability of all things based on the physical network. Under this novel pattern, industrial information security is confronted with severe challenges. Based on the representative industrial security incidents in recent years, this paper first illustrates the major security problems and threats in current industrial control systems, and presents key security vulnerabilities when establishing Industrial Internet. After that, this paper discusses the application of various artificial intelligence algorithms in industrial intrusion detection, and analyzes the advantages and disadvantages of these industrial intrusion detection approaches. At last, this paper provides the research emphasis of industrial AI intrusion detection approaches under the interconnection and interoperability pattern.
Key words: Interconnection and interoperability; Vulnerability; Artificial intelligence;Industrial intrusion detection
1 引言
現階段,工業控制系統已經廣泛應用于石油、化工、電力、交通、水利等領域,是關系到國家社會、經濟發展的重要關鍵信息基礎設施。同時,隨著現代通信、計算、網絡和控制技術的發展,各種新興信息技術運用領域的不斷開拓,工業化和信息化的融合已經進入到一個嶄新的階段,工業互聯網勢必成為新一次工業革命的發展方向之一。工業互聯網強調以工業物理設備為中心,實現了各價值鏈節點的全互聯互通,從而高度融合IT技術與OT技術,支持服務網絡的動態配置[1]。目前,工業互聯網作為我國智能制造發展的重要支撐已經得到了國家的高度認可與重視,“十三五”規劃、中國制造2025、“互聯網+”、“深化制造業與互聯網融合發展”等重大戰略都明確提出發展工業互聯網。工業互聯網的建設正處在起步階段,全球工業互聯網平臺市場正保持著活躍創新發展態勢,工業互聯網產業聯盟的《工業互聯網平臺白皮書(2019)》 [2]指出:“工業互聯網平臺對制造業數字化轉型的驅動能力正逐漸顯現,無論是大企業依托平臺開展工業大數據分析以實現更高層次價值挖掘,還是中小企業應用平臺云化工具以較低成本實現信息化與數字化普及,抑或是基于平臺的制造資源優化配置和產融對接等應用模式創新,都正在推動制造業向更高發展水平邁進”。也就是說,工業互聯網的出現為傳統的工業生產制造帶來一場新的變革。
工業互聯網的一個重要特點是以物理網絡為基礎實現萬物互聯互通,因此在這種新模式下,諸如邊緣計算、大數據等新興信息技術將如雨后春筍般涌現在各種工業應用中,不僅完全打破了傳統工業控制系統相對封閉、穩定的運行模式,而且也促使了工業網絡環境變得更加開放多變,勢必為工業信息安全帶來嚴峻的挑戰。在一種全新的網絡平臺建立之初,就將信息安全問題考慮在內,已經得到了工業界和學術界的廣泛認可。就現階段工業控制系統而言,各種網絡攻擊與入侵事件屢見不鮮,根據美國國土安全部下屬的工業控制系統網絡應急響應小組(Industrial ControlSystems Cyber Emergency ResponseTeam,ICS-CERT)的年度安全研究報告顯示,近幾年針對工業控制系統的安全事件呈階梯狀增長態勢[3]。特別是,隨著攻擊手段的更加高明、攻擊方式的更加先進,傳統傻瓜式的網絡攻擊已經逐漸演變成具有“潛伏性”和“持續性”的高級可持續性威脅(AdvancedPersistent Threat, APT)。出現上述信息安全問題的一個重要原因就是工業控制系統在本質上存在著潛在安全漏洞和隱患,而且互聯網的IT安全技術難以適配工業控制系統的特殊性。為此,業界已經開始展開針對現階段工業控制系統的信息安全技術研究,并取得了不錯的成果,主要涉及到脆弱性挖掘、入侵檢測與攻擊防護三個主要的突破口。其中,作為一種旁路監聽方法,入侵檢測能夠在不干擾工業控制系統實時性和可用性的前提下,能夠對網絡中出現的入侵行為以及非授權行為進行識別、檢測與響應,已經得到了業界的一致認可[4,5]。
在全互聯互通的模式引導下,工業網絡體系會以服務為導向進行動態適配,同時也會增加更多的攻擊入口和攻擊途徑,為此入侵檢測也需要引入一些新的技術特征與防護模式。結合現階段工業控制系統行為有限和狀態有限的通信特點,一種探索性的研究思路為:通過人工智能方法,自學習工業網絡通信的規律性和行為特征,并描述為規則或模型形式,同時設計優化的入侵檢測引擎,從而實現高精度的工業入侵檢測[6]。簡單地說,人工智能就是研究利用計算機來模擬人的思維過程和智能行為,其基本思想就是通過研究人類智能活動的規律,利用智能算法使得機器能夠實現原來只有人類才能完成的任務。而在信息安全領域,攻擊與防御往往代表了敵手與保衛者的博弈過程,由于網絡攻擊是不斷演變的,簡單的、不變的防御機制與策略已經不再適用,而人工智能憑借其強大的學習與運算能力脫穎而出。可以說,信息安全已經邁入人工智能時代,特別是在入侵檢測的應用中,人工智能提供了一條全新的思路,不僅能夠檢測已知攻擊,而且能夠在無需預先了解攻擊特征形式的情況下,有效地檢測未知攻擊。尤其是在工業環境中,針對工業控制系統的攻擊行為具有隱蔽性和不可預測性等特點,特征規則的更新要遠遠滯后于常用攻擊手段的變異和新型攻擊方式的產生,工業AI的入侵檢測具有更好地適用性和可行性。
2 全互聯互通模式下的工業安全威脅
在工業控制系統建立之初,業界的研究人員僅僅關注在誤操作、錯誤配置等功能安全,但在2010年“震網”攻擊發生后,來自信息安全的威脅受到了越來越多的關注。而在工業互聯網全互聯互通的模式下,信息安全問題將越發嚴重,具有時間持續性、手段綜合性和目標特定性等特點的高級可持續性威脅將對電力、金融、石化、核設施等關鍵信息基礎設施實施“硬摧毀”。近十年工控領域重要信息安全事件及簡單描述如圖1所示。從這些安全事件我們可以發現,高級可持續性威脅已經成為工業控制系統中最常見、最致命的攻擊模式,其具有明確的攻擊目標,綜合采用多種攻擊手段對目標實施多階段攻擊,既有漏洞利用、惡意代碼等傳統入侵手段,也包括社會工程、內部攻擊等線下手段。之所以高級可持續性威脅頻繁在工業控制系統中發生,主要歸因于如下兩方面:(1)隨著應用環境不同,每種工業控制系統都具有各自的特殊性,如不同的通信協議、系統環境、實時性要求、網絡拓撲等,這就要求攻擊者進行持續性地潛伏與偵查;(2)工業控制系統中存在著通用基礎平臺和工控專用設備,其脆弱性表現不同,這種多目標性往往需要實施多階段的攻擊方式,同時采用多種攻擊手段協同攻擊。
工控安全已經成為“網絡安全、設備安全、控制安全、應用安全、數據安全”的綜合體,根據攻擊目的以及攻擊手段的不同,現階段工業控制系統的一般攻擊可以分為以下幾類:資源耗盡型、信息竊取型以及控制破壞型,如表1所示。這里,本文并沒有將高級可持續性威脅歸為任何一類,因為高級可持續性威脅不僅僅簡單利用0day漏洞、常見攻擊技術等,往往還利用人的因素,系統性地、有針對性地、隱蔽性地發動具有多途徑、持久且有效的破壞性攻擊,震網Stuxnet就是高級可持續性威脅的一個典型實例。簡單來說,高級可持續性威脅的生命周期包含以下幾個階段:社會工程與外部偵查、確定攻擊目標、入侵攻擊、資產與信息搜索、內網擴散、關鍵數據竊取與非法控制以及蹤跡銷毀與隱藏六個階段[7],而每一個階段都伴隨著多種攻擊方式的使用。
在工業互聯網的建設之初,應該重點考慮兩方面的脆弱性:一是繼承的傳統工業控制系統安全隱患,如操作系統、數據庫等基礎平臺的脆弱性、現場控制設備自身脆弱性、工控通信協議的脆弱性等等[8,9],這主要是因為工業互聯網并不是完全顛覆了現有工業控制系統的網絡結構,而是基于現有的工控系統架構,結合新興的信息技術,通過互聯互通互操作的方式提高生產、運營效率。二是新興信息技術可能給工業互聯網帶來新的安全威脅,如云平臺與虛擬化漏洞可能是工業云計算應用的絆腳石[10]、邊緣計算也可能被惡意使用等,這主要是因為新興信息技術應用必然會引起工業軟、硬件以及系統的更新,一方面這種更新可能會與原系統產生安全兼容性問題,另一方面更新后的軟、硬件及系統自身會存在安全漏洞。因此在建設工業互聯網時,不僅要挖掘各種工業互聯網平臺的安全隱患與風險,同時還要展開相應信息安全防御技術的研究。
圖1 近10年工控領域重要信息安全事件
表1 現階段工業控制系統的一般攻擊分類
3 基于AI的工業入侵檢測方法
如圖2所示,工業控制系統的入侵檢測包括誤用檢測和異常檢測兩個方面[11,12],其中誤用檢測理論通過與已知的攻擊行為間的匹配程度實現入侵檢測,對于已知的攻擊,該方法能夠詳細、準確地報告出攻擊類型,但對于未知攻擊的檢測效果有限,并且需要特征規則庫不斷更新;而異常檢測理論通過與正常行為間的匹配程度實現入侵檢測,該方法無需對每種攻擊行為進行預定義,故能有效地檢測未知攻擊。
圖2 入侵檢測的分類
在誤用檢測方面,人工智能方法主要應用在特征匹配的高效模式匹配算法中,例如基于規則的專家系統、分類樹的規則分析機等,如前所述,由于工業控制系統的特殊性,特征規則的更新要遠遠滯后于常用攻擊手段的變異和新型攻擊方式的產生,因此針對工業誤用檢測的相關研究較少。而在異常檢測方面,人工智能方法主要應用集中在特征提取算法與異常檢測引擎的設計上,例如聚類算法、核主成分分析等在特征提取算法中應用,以及機器學習、深度學習等在異常檢測引擎中應用。具體地,根據惡意攻擊行為的攻擊目標、途徑以及模式等特點,工業AI異常檢測方法主要涵蓋基于模型的檢測法、基于知識的檢測法和基于機器學習的檢測法,其中,基于模型的檢測法根據工業控制系統參數建立數學模型,通過預測與實際檢測進行偏差比較,分析出異常攻擊的影響,例如基于智能隱馬爾可夫模型的分類器實現異常判別,這類方法需要對預測輸出與實際檢測進行偏差比較,然而這種偏差的檢測度難以衡量,同時模型的訓練也需要大量的先驗數據作為支撐;基于知識的檢測法也可以稱作基于狀態的檢測法,其主要通過跟蹤系統的狀態變化來判別異常行為,例如采用有限狀態機建立控制系統的狀態模型實現異常判別,這類方法優點在于能夠強關聯系統通信的行為特征或狀態,缺點是所有系統知識需要變化成規則或者狀態形式,易使知識庫過大,造成遍歷事件過長,檢測效率降低;基于機器學習的檢測法往往采用機器學習或者深度學習算法作為異常檢測引擎,例如通過貝葉斯網絡、人工神經網絡、模糊邏輯、遺傳算法、支持向量機等算法作為判決器進行異常判別,這類方法雖然能夠在一定程度上檢測工控系統的異常行為,但誤報率仍然較高,并且在工業通信行為的特征分類、選擇與優化等方面尚存在不足,需要進一步加強研究。總體來說,上述每類方法都有其自身的優勢和不足,尤其是在工業互聯網全互聯互通的模式下,更要注重兩方面的深入研究,其一是需要進一步加強特征的抽象以及關聯性研究,使得特征樣本能夠有效、完整地描述工業控制特性,其二是需要進一步設計高檢測精度與檢測效率的異常檢測引擎。
4 結束語
本文首先給出了近10年來具有代表性的工業信息安全事件,根據這些安全事件,分析了現階段工業控制系統所面臨的安全問題以及相關安全威脅的形式,并在此基礎上,給出了工業互聯網建設初期所應重點考慮的信息安全脆弱性,包括繼承的傳統工業控制系統安全隱患和新興信息技術可能帶來的新的安全威脅。然后說明了人工智能算法在工業入侵檢測中主要的應用形式,特別是在異常檢測方面,人工智能算法常用在特征提取算法與異常檢測引擎的設計上。此外,根據惡意攻擊行為的攻擊目標、途徑以及模式等特點,本文對工業AI異常檢測方法進行了分類,并說明了每類方法的優勢與不足。最后,本文還提出了全互聯互通模式下工業AI入侵檢測方法的重點研究方向。
★基金項目:遼寧省自然科學基金資助計劃項目(2019-MS-149);國家自然科學基金項目(51704138,61501447)。
作者簡介
萬 明(1984-),男,內蒙古通遼人,副研究員,工學博士,畢業于北京交通大學下一代互聯網互聯設備國家工程實驗室,曾就職于中國科學院沈陽自動化研究所,現就職于遼寧大學信息學院,目前為中國工業控制系統信息安全產業聯盟ICSISIA首批智庫專家、遼寧省工業信息安全專家組首批專家、沈陽市拔尖人才。主要研究方向為工業互聯網信息安全、智能計算與機器學習、未來網絡架構與安全。
參考文獻:
[1] 劉譜, 張曉玲, 代學武, 李健, 丁進良, 柴天佑. 工業互聯網體系架構研究綜述及展望[Z]. 第28屆中國過程控制會議(CPCC 2017), 中國重慶, 2017.
[2] 工業互聯網產業聯盟. 工業互聯網平臺白皮書[EB/OL]. http://www.aii-alliance.org/index.php?m=content&c=index&a=show&catid=23&id=673, 2019.
[3]NCCIC/ICS-CERT.NCCIC/ICS-CERT year in review (2016)[EB/OL]. https://ics-cert.us-cert.gov/Year-Review-2016, 2017.
[4] 楊安, 孫利民, 王小山, 石志強. 工業控制系統入侵檢測技術綜述[J]. 計算機研究與發展, 2016, 53 ( 9 ): 2039 - 2054.
[5] 賴英旭, 劉增輝, 蔡曉田, 楊凱翔. 工業控制系統入侵檢測研究綜述[J]. 通信學報, 2017, 38 ( 2 ): 143 - 156.
[6] M. Wan, W. Shang, and P. Zeng. Double behavior characteristics for one-class classification anomaly detection in networked control systems[J]. IEEE Transactions on Information Forensics and Security, 2017, 12 ( 12 ): 3011 - 3023.
[7] I. Ghafir, and V. Prenosil. Advanced persistent threat attack detection: an overview[J]. International Journal of Advancements in Computer Networks and Its Security, 2014, 4 ( 4 ): 50 - 54.
[8] K. Stouffer, J. Falco, and K. Scarfone. Guide to industrial control systems (ics) security[EB/OL]. http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST. SP.800-82.pdf, 2015.
[9] 陶耀東, 李寧, 曾廣圣. 工業控制系統安全綜述[J]. 計算機工程與應用, 2016, 52 ( 13 ): 8 - 18.
[10] 工業互聯網產業聯盟.中國工業互聯網安全態勢報告[EB/OL], http://www.aii-alliance.org/index.php?m=content&c=index&a=show&catid=23&id=726, 2018.
[11] S. M. Papa. A behavioral intrusion detection system for SCADA systems[D]. USA: Southern Methodist University, 2013.
[12] B. Zhu, S. Sastry. SCADA-specific intrusion detection/prevention systems: a survey and taxonomy[Z]. Proceedings of the First Workshop on Secure Control Systems (SCS'10), 2010.
摘自《工業控制系統信息安全專刊(第六輯)》
北京市公安局海淀分局備案號:11010802023656號