今日頭條
官方微信
官方抖音
資訊頻道摘要:隨著工業(yè)互聯(lián)網(wǎng)的快速發(fā)展,企業(yè)逐步從數(shù)字化向信息化、智能化轉(zhuǎn)變。在生產(chǎn)效率提高的同時(shí),也面臨著網(wǎng)絡(luò)安全威脅不斷增加的問(wèn)題。工控網(wǎng)絡(luò)的態(tài)勢(shì)感知技術(shù)可以全方位實(shí)時(shí)地監(jiān)控整個(gè)行業(yè)或者地域的工控系統(tǒng)網(wǎng)絡(luò)安全狀態(tài),而通過(guò)數(shù)據(jù)采集進(jìn)行高效快速地獲取有用數(shù)據(jù)是整個(gè)態(tài)勢(shì)感知的關(guān)鍵。本文通過(guò)對(duì)態(tài)勢(shì)感知的數(shù)據(jù)需求入手研究,結(jié)合當(dāng)下的數(shù)據(jù)采集技術(shù),對(duì)數(shù)據(jù)采集模塊進(jìn)行了設(shè)計(jì),為工控網(wǎng)絡(luò)態(tài)勢(shì)感知的建設(shè)提供必要的數(shù)據(jù)支持。
關(guān)鍵詞:工控安全;態(tài)勢(shì)感知;數(shù)據(jù)采集
Abstract: With the rapid development of the industrial Internet, enterprises have gradually shifted from digitalization to informationization and intelligence. While increasing production efficiency, it is also facing the problem of increasing network security threats. The situational awareness technology of the industrial control network can monitor the network security status of the industrial control system in the whole industry or region in real time, and the efficient and rapid acquisition of useful data through data collection is the key to the whole situational awareness. In this paper, taking the data acquisition products of Bolean Technology Co., Ltd as an example, we start with the situational awareness data requirements, combines the current data acquisition technology, briefly describes the core concept of Bolean data acquisition product design, and provides necessary data support for the construction of industrial control network situational awareness.
Key words: Industrial control safety; Situational awareness; Data collection
1 前言
80%以上的影響國(guó)計(jì)民生的國(guó)家重要基礎(chǔ)設(shè)施通過(guò)工業(yè)控制系統(tǒng)來(lái)實(shí)現(xiàn)自動(dòng)化作業(yè),工業(yè)控制系統(tǒng)是能源、化工、水利、冶金、電力、交通、航空航天等基礎(chǔ)設(shè)施的“中樞神經(jīng)” [1],是工業(yè)互聯(lián)網(wǎng)的重要組成部分。工業(yè)控制系統(tǒng)隨著逐步接入互聯(lián)網(wǎng),除了要應(yīng)對(duì)傳統(tǒng)的安全威脅,也開(kāi)始面臨越來(lái)越多的網(wǎng)絡(luò)攻擊,攻擊者通過(guò)對(duì)暴露在互聯(lián)網(wǎng)上的工控系統(tǒng)進(jìn)行針對(duì)性的嗅探,在收集足夠的信息后,利用發(fā)現(xiàn)的漏洞或后門(mén),開(kāi)展對(duì)工控系統(tǒng)的攻擊或持續(xù)性威脅,而一旦對(duì)工控系統(tǒng)的攻擊成功,將會(huì)對(duì)國(guó)家利益和人民生活造成巨大的損失和影響[2]。
“十三五”規(guī)劃伊始,網(wǎng)絡(luò)空間安全就已上升至國(guó)家安全戰(zhàn)略,工控網(wǎng)絡(luò)安全作為網(wǎng)絡(luò)安全中薄弱而又非常重要的部分,如何全方位掌握工控系統(tǒng)和網(wǎng)絡(luò)的安全態(tài)勢(shì)變?yōu)榧毙杞鉀Q的重要問(wèn)題之一。《中華人民共和國(guó)網(wǎng)絡(luò)安全法》于2017年6月施行,其規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施和網(wǎng)絡(luò)運(yùn)營(yíng)者是網(wǎng)絡(luò)安全責(zé)任主體,應(yīng)負(fù)責(zé)編制和組織實(shí)施本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施安全規(guī)劃,應(yīng)建立、健全本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度,并保證安全技術(shù)措施的同步規(guī)劃、同步建設(shè)和同步使用。工業(yè)和信息化部在2017年底編制并印發(fā)了《工業(yè)控制系統(tǒng)信息安全行動(dòng)計(jì)劃(2018-2020年)》,行動(dòng)計(jì)劃中明確,要在2020年實(shí)現(xiàn)“一網(wǎng)一庫(kù)三平臺(tái)”的建設(shè)計(jì)劃。其中的“一網(wǎng)”即為全國(guó)工控系統(tǒng)網(wǎng)絡(luò)空間安全在線監(jiān)測(cè)系統(tǒng),目的就是實(shí)現(xiàn)對(duì)全國(guó)重要工業(yè)基礎(chǔ)設(shè)施的工控系統(tǒng)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全、風(fēng)險(xiǎn)隱患等能夠?qū)崟r(shí)感知、精準(zhǔn)預(yù)判以及科學(xué)決策。
2 工控網(wǎng)絡(luò)態(tài)勢(shì)感知數(shù)據(jù)采集介紹
工控網(wǎng)絡(luò)態(tài)勢(shì)感知能夠?qū)た叵到y(tǒng)網(wǎng)絡(luò)空間進(jìn)行持續(xù)監(jiān)控,具備及時(shí)發(fā)現(xiàn)攻擊和異常的能力,通過(guò)態(tài)勢(shì)感知的安全預(yù)警機(jī)制,有效地幫助安全人員不斷完善對(duì)風(fēng)險(xiǎn)的控制,提升整體安全防護(hù)水平[3]。Tim Bass[4]于1999年首次提出通過(guò)大數(shù)據(jù)異構(gòu)分布式采集數(shù)據(jù),實(shí)現(xiàn)網(wǎng)絡(luò)空間的態(tài)勢(shì)感知,并提出網(wǎng)絡(luò)態(tài)勢(shì)感知功能模型,如圖1所示。
圖1 網(wǎng)絡(luò)態(tài)勢(shì)感知功能模型
網(wǎng)絡(luò)態(tài)勢(shì)感知必須要建立在大量的安全相關(guān)數(shù)據(jù)采集的基礎(chǔ)上,再結(jié)合歷史數(shù)據(jù)、威脅情報(bào)、知識(shí)庫(kù)等給出預(yù)判性的告警。其中數(shù)據(jù)采集作為整個(gè)態(tài)勢(shì)感知的前提,其采集的數(shù)據(jù)足夠全面和準(zhǔn)確才能保障網(wǎng)絡(luò)安全態(tài)勢(shì)分析、評(píng)估與預(yù)測(cè)的準(zhǔn)確性。
工控系統(tǒng)主要由工業(yè)控制器、工控主機(jī)、數(shù)據(jù)服務(wù)器、工業(yè)通信設(shè)備、網(wǎng)絡(luò)安全設(shè)備、工業(yè)應(yīng)用軟件、通訊協(xié)議等組件構(gòu)成。工控系統(tǒng)在設(shè)計(jì)之初并未將安全問(wèn)題作為重點(diǎn)考慮,因此工控安全威脅往往隱藏在各組件產(chǎn)生的數(shù)據(jù)之中。工控網(wǎng)絡(luò)態(tài)勢(shì)感知是利用大數(shù)據(jù)技術(shù)對(duì)海量的工控網(wǎng)絡(luò)安全數(shù)據(jù)進(jìn)行自動(dòng)分析關(guān)聯(lián)處理和深度挖掘,對(duì)網(wǎng)絡(luò)空間的安全狀態(tài)進(jìn)行分析總結(jié),從而實(shí)時(shí)感知可能的安全威脅。工控網(wǎng)絡(luò)態(tài)勢(shì)感知基礎(chǔ)也是對(duì)數(shù)據(jù)的采集,要獲得這些數(shù)據(jù),涉及的信息量大、設(shè)備種類(lèi)多、網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜,對(duì)數(shù)據(jù)處理的實(shí)時(shí)性、準(zhǔn)確性和高效性等有很高的要求。
目前國(guó)際上公認(rèn)的解決工控網(wǎng)絡(luò)安全攻防不對(duì)稱問(wèn)題的方法之一,就是通過(guò)數(shù)據(jù)來(lái)驅(qū)動(dòng)安全 [5]。對(duì)于工業(yè)互聯(lián)網(wǎng)企業(yè)來(lái)說(shuō),如果黑客的攻擊方法和攻擊目標(biāo)能被識(shí)別,則一方面企業(yè)可以結(jié)合全網(wǎng)的安全大數(shù)據(jù)和自身的安全大數(shù)據(jù)提前分析,及時(shí)應(yīng)對(duì)。另一方面可以將攻擊信息匯總形成有效的威脅情報(bào),提升整個(gè)行業(yè)的防御能力。
因此,數(shù)據(jù)是工控系統(tǒng)態(tài)勢(shì)感知的關(guān)鍵,而數(shù)據(jù)采集則是整個(gè)系統(tǒng)的基礎(chǔ)[6]。通過(guò)各種數(shù)據(jù)采集方法和技術(shù),如SNMP、WMI、ODBC、NetFlow、Syslog、SSH等,對(duì)各類(lèi)軟硬件設(shè)備進(jìn)行數(shù)據(jù)的采集。采集數(shù)據(jù)后統(tǒng)一進(jìn)行數(shù)據(jù)標(biāo)準(zhǔn)化、格式化、規(guī)范化的操作。輸出處理完成的數(shù)據(jù)將作為應(yīng)用層的輸入數(shù)據(jù),供后續(xù)的工作使用。
3 工控網(wǎng)絡(luò)態(tài)勢(shì)感知數(shù)據(jù)采集的設(shè)計(jì)
3.1 數(shù)據(jù)采集的需求分析
態(tài)勢(shì)感知能實(shí)現(xiàn)全方位監(jiān)測(cè)工控網(wǎng)絡(luò)空間安全的關(guān)鍵是有全面的數(shù)據(jù)作為分析的基礎(chǔ),因此從數(shù)據(jù)的覆蓋角度考慮,確認(rèn)采集以下四種數(shù)據(jù):
(1)節(jié)點(diǎn)數(shù)據(jù)
在工控系統(tǒng)中包括多個(gè)節(jié)點(diǎn),一些非法入侵往往會(huì)對(duì)節(jié)點(diǎn)的數(shù)據(jù)進(jìn)行惡意修改,或者破壞節(jié)點(diǎn)功能,或者制造虛假數(shù)據(jù)影響節(jié)點(diǎn)的正常運(yùn)行,因此節(jié)點(diǎn)數(shù)據(jù)的采集至關(guān)重要。節(jié)點(diǎn)上數(shù)據(jù)的采集主要源自嵌入式系統(tǒng),因此節(jié)點(diǎn)數(shù)據(jù)的采集實(shí)際上就是嵌入式系統(tǒng)上的數(shù)據(jù)采集,概括來(lái)講,嵌入式系統(tǒng)是功能特定,資源有限的專用計(jì)算機(jī)系統(tǒng),對(duì)嵌入式系統(tǒng)上任務(wù)相關(guān)的數(shù)據(jù)進(jìn)行探測(cè),有助于分析系統(tǒng)的網(wǎng)絡(luò)安全問(wèn)題。
(2)網(wǎng)絡(luò)數(shù)據(jù)采集
工控系統(tǒng)往往通過(guò)網(wǎng)絡(luò)將各個(gè)節(jié)點(diǎn)鏈接起來(lái),實(shí)現(xiàn)節(jié)點(diǎn)之間的互聯(lián)通信,網(wǎng)絡(luò)的引入雖然為系統(tǒng)提供了便利,但也引入了問(wèn)題,網(wǎng)絡(luò)具有其自身的功能和性能,非法入侵同樣能夠?qū)W(wǎng)絡(luò)造成干擾和破壞,例如破壞數(shù)據(jù)包、增加網(wǎng)絡(luò)負(fù)載等,造成節(jié)點(diǎn)之間通信速度降低、數(shù)據(jù)破壞甚至導(dǎo)致網(wǎng)絡(luò)癱瘓,網(wǎng)絡(luò)數(shù)據(jù)是否正常直接影響到系統(tǒng)的正常運(yùn)行,因此需要對(duì)網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行采集。
(3)應(yīng)用數(shù)據(jù)采集
工控系統(tǒng)的一大特點(diǎn)就是具有特定的應(yīng)用,一個(gè)系統(tǒng)是否正常最基本的判斷標(biāo)準(zhǔn)就是能否完成其特定的應(yīng)用,因此需要對(duì)應(yīng)用數(shù)據(jù)進(jìn)行探測(cè)。從閉環(huán)控制的角度出發(fā),節(jié)點(diǎn)采集的是閉環(huán)控制內(nèi)部的數(shù)據(jù),應(yīng)用數(shù)據(jù)則為每個(gè)控制的外部表現(xiàn)的數(shù)據(jù)。按照閉環(huán)構(gòu)成,可將應(yīng)用數(shù)據(jù)分為傳感器數(shù)據(jù)、控制器數(shù)據(jù)和執(zhí)行器數(shù)據(jù),而這些數(shù)據(jù)都是模擬量,在工業(yè)控制中還存在一些與應(yīng)用密切相關(guān)的數(shù)字量,例如開(kāi)關(guān)、閥門(mén)的開(kāi)合。
(4)日志數(shù)據(jù)采集
作為工控網(wǎng)絡(luò)態(tài)勢(shì)感知的重要數(shù)據(jù)源之一,日志數(shù)據(jù)是必不可少的,日志可以記錄網(wǎng)絡(luò)系統(tǒng)、設(shè)備、工業(yè)軟件等運(yùn)行的真實(shí)狀態(tài)。對(duì)于系統(tǒng)維護(hù),安全感知至關(guān)重要。數(shù)據(jù)采集設(shè)計(jì)時(shí)需要將多種來(lái)源的日志數(shù)據(jù)進(jìn)行提取,并進(jìn)行匯總和處理,最后形成統(tǒng)一的安全事件格式,為態(tài)勢(shì)感知提供重要數(shù)據(jù)來(lái)源。
3.2 節(jié)點(diǎn)數(shù)據(jù)采集設(shè)計(jì)
節(jié)點(diǎn)數(shù)據(jù)可分為任務(wù)活動(dòng)數(shù)據(jù),節(jié)點(diǎn)資源數(shù)據(jù)和用戶活動(dòng)監(jiān)測(cè)數(shù)據(jù)。
(1)任務(wù)活動(dòng)數(shù)據(jù)采集
任務(wù)的屬性包括:任務(wù)標(biāo)識(shí)號(hào)、調(diào)度信息、狀態(tài)、進(jìn)程間通信、時(shí)間和計(jì)數(shù)器、存儲(chǔ)空間、處理器上下文等。每個(gè)任務(wù)在運(yùn)行時(shí)都需要占用一定的系統(tǒng)資源,數(shù)據(jù)采集任務(wù)運(yùn)行時(shí)需要考慮與被監(jiān)測(cè)任務(wù)的關(guān)系,因其本身也會(huì)占用系統(tǒng)資源,因此要保證數(shù)據(jù)采集任務(wù)占用的資源不可過(guò)大,否則采集的數(shù)據(jù)可能會(huì)受影響,甚至采集的數(shù)據(jù)偏差過(guò)大,不具有分析意義。對(duì)于任務(wù)活動(dòng)數(shù)據(jù)的采集,可以通過(guò)任務(wù)之間的通信,或者獲得任務(wù)共享儲(chǔ)存區(qū)域的數(shù)據(jù),任務(wù)之間的通信包括共享信號(hào)量、消息隊(duì)列和內(nèi)存等。
(2)節(jié)點(diǎn)資源數(shù)據(jù)采集
節(jié)點(diǎn)資源,如CPU利用率,內(nèi)存利用率,硬盤(pán)使用情況等也是體現(xiàn)工控網(wǎng)絡(luò)態(tài)勢(shì)感知狀態(tài)的重要數(shù)據(jù)。采集實(shí)時(shí)的數(shù)據(jù)并將計(jì)算結(jié)果提供給應(yīng)用層是一種理想情況,但這種理想一般情況下難以實(shí)現(xiàn),且由于數(shù)據(jù)采集任務(wù)本身,也會(huì)消耗一定的系統(tǒng)資源,因此對(duì)節(jié)點(diǎn)資源數(shù)據(jù)的采集實(shí)施不能設(shè)計(jì)的過(guò)于復(fù)雜,否則會(huì)對(duì)采集的數(shù)據(jù)有較大的影響。
(3)用戶活動(dòng)監(jiān)測(cè)數(shù)據(jù)采集
用戶活動(dòng)監(jiān)測(cè)數(shù)據(jù)有兩點(diǎn)需要注意,一是含有操作系統(tǒng)的嵌入式系統(tǒng)才具備可監(jiān)測(cè)的用戶活動(dòng),二是用戶活動(dòng)的數(shù)據(jù)量通常較大,因此采集數(shù)據(jù)時(shí)需要注意數(shù)據(jù)采集任務(wù)執(zhí)行的時(shí)間,避免影響工控系統(tǒng)的正常運(yùn)行。同其他節(jié)點(diǎn)數(shù)據(jù)采集設(shè)計(jì)一樣,需要注意數(shù)據(jù)采集任務(wù)本身對(duì)系統(tǒng)的影響。
3.3 網(wǎng)絡(luò)數(shù)據(jù)采集設(shè)計(jì)
網(wǎng)絡(luò)數(shù)據(jù)可分為協(xié)議數(shù)據(jù),報(bào)文數(shù)據(jù)和網(wǎng)絡(luò)性能數(shù)據(jù)。
(1)協(xié)議數(shù)據(jù)采集
協(xié)議的數(shù)據(jù)采集功能要求可以對(duì)數(shù)據(jù)包進(jìn)行深層次的解析,可以從數(shù)據(jù)包的結(jié)構(gòu)中正確的解析出其數(shù)據(jù)的意義。換句話說(shuō),協(xié)議數(shù)據(jù)采集的重點(diǎn)內(nèi)容就是如何從報(bào)文中獲得與協(xié)議相關(guān)的信息,因此必須具備對(duì)工控協(xié)議的深度解析功能。但需要區(qū)分的是,協(xié)議數(shù)據(jù)采集的重點(diǎn)工作并不是抓取足夠多的數(shù)據(jù)包,簡(jiǎn)單的抓取數(shù)據(jù)包通過(guò)被動(dòng)的監(jiān)測(cè)技術(shù)即可實(shí)現(xiàn),協(xié)議數(shù)據(jù)采集要實(shí)現(xiàn)的關(guān)鍵技術(shù)是對(duì)數(shù)據(jù)包的處理,即從每一層的數(shù)據(jù)包中獲取態(tài)勢(shì)感知監(jiān)測(cè)系統(tǒng)需要的關(guān)鍵信息。
(2)報(bào)文數(shù)據(jù)采集
工業(yè)互聯(lián)網(wǎng)絡(luò)通常采取主從的網(wǎng)絡(luò)結(jié)構(gòu),所有的網(wǎng)絡(luò)數(shù)據(jù)傳輸都會(huì)通過(guò)主節(jié)點(diǎn),因此可以在主節(jié)點(diǎn)上進(jìn)行對(duì)報(bào)文的采集,采集的內(nèi)容包括幀序號(hào)、幀順序、幀類(lèi)型、校驗(yàn)和、報(bào)文調(diào)度行為、報(bào)文特征值等。因此報(bào)文數(shù)據(jù)在主節(jié)點(diǎn)上進(jìn)行采集,這樣設(shè)計(jì)的原因在于:
·部署簡(jiǎn)單。如果在從節(jié)點(diǎn)上進(jìn)行數(shù)據(jù)的采集,不僅需要部署多個(gè)采集終端,而且每個(gè)采集終端都需要根據(jù)從節(jié)點(diǎn)的特性(如從節(jié)點(diǎn)不同的操作系統(tǒng)或不同的數(shù)據(jù)接口)進(jìn)行單獨(dú)設(shè)定,才能實(shí)現(xiàn)對(duì)數(shù)據(jù)的提取和存儲(chǔ)處理等,而主節(jié)點(diǎn)統(tǒng)一部署即可進(jìn)行數(shù)據(jù)采集。
·資源使用最大化。在主節(jié)點(diǎn)上進(jìn)行數(shù)據(jù)抓取,數(shù)據(jù)抓取率最高,不會(huì)有在從節(jié)點(diǎn)上部署漏抓的可能。
·資源利用率高。通過(guò)主節(jié)點(diǎn)進(jìn)行數(shù)據(jù)采集,會(huì)更好的利用系統(tǒng)資源,因?yàn)橥ǔV鞴?jié)點(diǎn)的設(shè)備可以應(yīng)對(duì)更大的負(fù)載,而從節(jié)點(diǎn)的處理器性能有限,如在多個(gè)從節(jié)點(diǎn)上進(jìn)行數(shù)據(jù)報(bào)文的采集將會(huì)增大從節(jié)點(diǎn)處理負(fù)擔(dān),影響從節(jié)點(diǎn)的正常業(yè)務(wù)功能和性能。
(3)網(wǎng)絡(luò)性能數(shù)據(jù)采集
通過(guò)探測(cè)依賴矩陣推理可獲知工控網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),明確網(wǎng)絡(luò)結(jié)構(gòu)是測(cè)量采集網(wǎng)絡(luò)性能數(shù)據(jù)的前提。網(wǎng)絡(luò)性能的檢測(cè)主要通過(guò)對(duì)丟包率的推理獲得,通過(guò)對(duì)鏈路上多次進(jìn)行丟包率檢測(cè),最后可以測(cè)得一個(gè)丟包率的統(tǒng)計(jì)值。
3.4 應(yīng)用數(shù)據(jù)采集設(shè)計(jì)
對(duì)于主從結(jié)構(gòu)的工業(yè)控制系統(tǒng)來(lái)說(shuō),應(yīng)用數(shù)據(jù)都是由主節(jié)點(diǎn)進(jìn)行處理計(jì)算后,再下發(fā)至從節(jié)點(diǎn),主節(jié)點(diǎn)主要是數(shù)據(jù)的接收,從節(jié)點(diǎn)主要是數(shù)據(jù)的讀取和發(fā)送。因此應(yīng)用數(shù)據(jù)采集可以在每個(gè)節(jié)點(diǎn)上設(shè)置程序庫(kù),這些程序庫(kù)都具備相同的接口,如數(shù)據(jù)發(fā)送,讀取和接收,本質(zhì)即為填充報(bào)文和解析報(bào)文。應(yīng)用數(shù)據(jù)采集的關(guān)鍵在于:
(1)應(yīng)用數(shù)據(jù)采集時(shí),對(duì)于采集獲取的數(shù)據(jù),都需要有時(shí)間標(biāo)記,記錄數(shù)據(jù)發(fā)出的時(shí)間;
(2)應(yīng)用數(shù)據(jù)采集時(shí),需要對(duì)數(shù)據(jù)進(jìn)行解析。
主從節(jié)點(diǎn)之間應(yīng)用數(shù)據(jù)的收發(fā),可理解為應(yīng)用程序之間的交互。從節(jié)點(diǎn)采集到的應(yīng)用數(shù)據(jù),周期性的向主節(jié)點(diǎn)發(fā)送。需注意的是:
主從之間應(yīng)該具備某種協(xié)議,可自定義,從站上的應(yīng)用數(shù)據(jù)通過(guò)網(wǎng)絡(luò)傳輸至主節(jié)點(diǎn),主節(jié)點(diǎn)能夠獲知哪些數(shù)據(jù)是來(lái)自哪一節(jié)點(diǎn)的什么類(lèi)型的數(shù)據(jù);
接口是提供給應(yīng)用程序的,需要采集什么樣的數(shù)據(jù),應(yīng)用程序可以控制,但是采集數(shù)據(jù)仍然需要驅(qū)動(dòng)程序支持,一般對(duì)于嵌入式系統(tǒng),需要控制的是I/O上的數(shù)據(jù),因此針對(duì)不同的系統(tǒng),如Linux,對(duì)這些I/O的處理機(jī)制不同,需要根據(jù)這些不同編寫(xiě)好驅(qū)動(dòng)程序,以提供設(shè)計(jì)階段接口函數(shù)的實(shí)現(xiàn)。
3.5 日志數(shù)據(jù)采集設(shè)計(jì)
工業(yè)主機(jī)、工業(yè)安全設(shè)備、通信設(shè)備、工控設(shè)備、工業(yè)軟件等在工作過(guò)程中都會(huì)產(chǎn)生大量的真實(shí)操作和安全記錄,因此對(duì)于日志的采集匯總分析是工控系統(tǒng)態(tài)勢(shì)感知的重要一環(huán)。日志的采集可以通過(guò)專用的日志訪問(wèn)協(xié)議,日志輸出接口,日志采集代理等方式實(shí)現(xiàn)。日志采集的設(shè)計(jì)要有定時(shí)自動(dòng)采集并完成的功能,且可以自動(dòng)從控制模塊的配置數(shù)據(jù)中獲得相關(guān)參數(shù),例如采集時(shí)間間隔、日志文件路徑、傳感器編號(hào)、數(shù)據(jù)庫(kù)配置等信息。同時(shí)由于攻擊者入侵成功后,通常都會(huì)修改或刪除和自己攻擊相關(guān)的日志,或者偽造一些虛假日志隱藏自己的真實(shí)目的,給網(wǎng)絡(luò)安全的應(yīng)對(duì)和調(diào)查增加了障礙,面對(duì)日志的這種容易修改破壞的易損性,需要在日志采集數(shù)據(jù)時(shí)增加完整性檢測(cè)功能,可以通過(guò)在日志系統(tǒng)中嵌入完整性檢測(cè)的算法實(shí)現(xiàn)。
由于需要采集的相關(guān)設(shè)備、軟件、系統(tǒng)較多,如果對(duì)全部數(shù)據(jù)進(jìn)行采集分析則可能造成較大的資源浪費(fèi),因此不一定所有采集到的數(shù)據(jù)都要進(jìn)行數(shù)據(jù)分析,可提前根據(jù)安全規(guī)則和行業(yè)特點(diǎn)設(shè)置一定的條件,篩選出有價(jià)值數(shù)據(jù),丟棄冗余或無(wú)價(jià)值數(shù)據(jù)。篩選條件宏觀可以到不同日志類(lèi)型,微觀可以到具體正則表達(dá)式的提取,同時(shí)還可以將篩選后的數(shù)據(jù)經(jīng)過(guò)規(guī)則庫(kù)的匹配,合并指定時(shí)間范圍內(nèi)的重復(fù)日志,去掉冗余的事件信息,使得整個(gè)數(shù)據(jù)采集更有價(jià)值。日志的篩選合并是在采集時(shí)直接解析完成的,先按照規(guī)則庫(kù)對(duì)采集的日志執(zhí)行過(guò)濾操作,再通過(guò)合并算法按照時(shí)間范圍對(duì)日志進(jìn)行合并,最后再將處理后的日志傳給數(shù)據(jù)分析模塊。
4 結(jié)語(yǔ)
通過(guò)對(duì)節(jié)點(diǎn)、網(wǎng)絡(luò)、應(yīng)用和日志四方面數(shù)據(jù)采集的設(shè)計(jì),基本實(shí)現(xiàn)了對(duì)安全相關(guān)數(shù)據(jù)的全面采集,滿足了態(tài)勢(shì)感知平臺(tái)對(duì)基礎(chǔ)數(shù)據(jù)的需求,得以從宏觀尺度實(shí)現(xiàn)全局監(jiān)測(cè)工業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì),形成一套充分具有戰(zhàn)略縱深的工業(yè)網(wǎng)絡(luò)安全數(shù)據(jù)應(yīng)用體系,從而讓安全態(tài)勢(shì)“可見(jiàn)、可管、可控”,能夠有效輔助政府和行業(yè)進(jìn)行安全監(jiān)管,助力企業(yè)提升安全水平,同時(shí)數(shù)據(jù)采集的應(yīng)用,為將來(lái)工控系統(tǒng)網(wǎng)絡(luò)安全的大數(shù)據(jù),人工智能技術(shù)的應(yīng)用奠定基礎(chǔ)。
作者簡(jiǎn)介
郭 賓(1989-),男,浙江杭州人,工程師,現(xiàn)任杭州木鏈物聯(lián)網(wǎng)科技有限公司產(chǎn)品總監(jiān),主要從事工控安全領(lǐng)域前沿產(chǎn)品探索方面的工作。
雷濛(1990-),男,北京人,工程師,現(xiàn)任杭州木鏈物聯(lián)網(wǎng)科技有限公司首席技術(shù)官,主要從事工控安全方向技術(shù)研究。
王得奕(1988-),男,黑龍江雞西人,工程師,現(xiàn)任杭州木鏈物聯(lián)網(wǎng)科技有限公司產(chǎn)品經(jīng)理,主要從事工控安全產(chǎn)品設(shè)計(jì)方面的工作。
參考文獻(xiàn):
[1] 芮明杰. “工業(yè)4.0”:新一代智能化生產(chǎn)方式[J]. 世界科學(xué), 2014, 37 ( 05 ) : 19 - 20.
[2] 彭勇, 江常青, 謝豐, 等. 工業(yè)控制系統(tǒng)信息安全研究進(jìn)展[J]. 清華大學(xué)學(xué)報(bào)自然科學(xué)版, 2012, ( 10 ) : 1396 - 1408.
[3] 中國(guó)信息與通信研究院. 網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)及應(yīng)用發(fā)展藍(lán)皮書(shū)[R]. 2019.
[4] 席榮榮, 云曉春, 金舒原, 等. 網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究綜述[J]. 計(jì)算機(jī)應(yīng)用, 2012, 32 ( 1 ) : 1 - 4.
[5] 張桂剛, 畢婭, 李超, 等. 海量物聯(lián)網(wǎng)數(shù)據(jù)安全處理模型研究[J]. 小型微型計(jì)算機(jī)系統(tǒng), 2013, 34 ( 09 ) : 2090 - 2094.
[6] 柴獲, 閆軍, 等. 一種基于事件驅(qū)動(dòng)的數(shù)據(jù)采集軟件模型[J]. 蘭州交通大學(xué)學(xué)報(bào), 2010, 52 ( 06 ) : 102 - 105.
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第六輯)》
北京市公安局海淀分局備案號(hào):11010802023656號(hào)