今日頭條
官方微信
官方抖音
資訊頻道摘要:隨著工業互聯網的快速發展,企業逐步從數字化向信息化、智能化轉變。在生產效率提高的同時,也面臨著網絡安全威脅不斷增加的問題。工控網絡的態勢感知技術可以全方位實時地監控整個行業或者地域的工控系統網絡安全狀態,而通過數據采集進行高效快速地獲取有用數據是整個態勢感知的關鍵。本文通過對態勢感知的數據需求入手研究,結合當下的數據采集技術,對數據采集模塊進行了設計,為工控網絡態勢感知的建設提供必要的數據支持。
關鍵詞:工控安全;態勢感知;數據采集
Abstract: With the rapid development of the industrial Internet, enterprises have gradually shifted from digitalization to informationization and intelligence. While increasing production efficiency, it is also facing the problem of increasing network security threats. The situational awareness technology of the industrial control network can monitor the network security status of the industrial control system in the whole industry or region in real time, and the efficient and rapid acquisition of useful data through data collection is the key to the whole situational awareness. In this paper, taking the data acquisition products of Bolean Technology Co., Ltd as an example, we start with the situational awareness data requirements, combines the current data acquisition technology, briefly describes the core concept of Bolean data acquisition product design, and provides necessary data support for the construction of industrial control network situational awareness.
Key words: Industrial control safety; Situational awareness; Data collection
1 前言
80%以上的影響國計民生的國家重要基礎設施通過工業控制系統來實現自動化作業,工業控制系統是能源、化工、水利、冶金、電力、交通、航空航天等基礎設施的“中樞神經” [1],是工業互聯網的重要組成部分。工業控制系統隨著逐步接入互聯網,除了要應對傳統的安全威脅,也開始面臨越來越多的網絡攻擊,攻擊者通過對暴露在互聯網上的工控系統進行針對性的嗅探,在收集足夠的信息后,利用發現的漏洞或后門,開展對工控系統的攻擊或持續性威脅,而一旦對工控系統的攻擊成功,將會對國家利益和人民生活造成巨大的損失和影響[2]。
“十三五”規劃伊始,網絡空間安全就已上升至國家安全戰略,工控網絡安全作為網絡安全中薄弱而又非常重要的部分,如何全方位掌握工控系統和網絡的安全態勢變為急需解決的重要問題之一。《中華人民共和國網絡安全法》于2017年6月施行,其規定關鍵信息基礎設施和網絡運營者是網絡安全責任主體,應負責編制和組織實施本行業、本領域的關鍵信息基礎設施安全規劃,應建立、健全本行業、本領域的網絡安全監測預警和信息通報制度,并保證安全技術措施的同步規劃、同步建設和同步使用。工業和信息化部在2017年底編制并印發了《工業控制系統信息安全行動計劃(2018-2020年)》,行動計劃中明確,要在2020年實現“一網一庫三平臺”的建設計劃。其中的“一網”即為全國工控系統網絡空間安全在線監測系統,目的就是實現對全國重要工業基礎設施的工控系統運行狀態、網絡安全、風險隱患等能夠實時感知、精準預判以及科學決策。
2 工控網絡態勢感知數據采集介紹
工控網絡態勢感知能夠對工控系統網絡空間進行持續監控,具備及時發現攻擊和異常的能力,通過態勢感知的安全預警機制,有效地幫助安全人員不斷完善對風險的控制,提升整體安全防護水平[3]。Tim Bass[4]于1999年首次提出通過大數據異構分布式采集數據,實現網絡空間的態勢感知,并提出網絡態勢感知功能模型,如圖1所示。
圖1 網絡態勢感知功能模型
網絡態勢感知必須要建立在大量的安全相關數據采集的基礎上,再結合歷史數據、威脅情報、知識庫等給出預判性的告警。其中數據采集作為整個態勢感知的前提,其采集的數據足夠全面和準確才能保障網絡安全態勢分析、評估與預測的準確性。
工控系統主要由工業控制器、工控主機、數據服務器、工業通信設備、網絡安全設備、工業應用軟件、通訊協議等組件構成。工控系統在設計之初并未將安全問題作為重點考慮,因此工控安全威脅往往隱藏在各組件產生的數據之中。工控網絡態勢感知是利用大數據技術對海量的工控網絡安全數據進行自動分析關聯處理和深度挖掘,對網絡空間的安全狀態進行分析總結,從而實時感知可能的安全威脅。工控網絡態勢感知基礎也是對數據的采集,要獲得這些數據,涉及的信息量大、設備種類多、網絡結構復雜,對數據處理的實時性、準確性和高效性等有很高的要求。
目前國際上公認的解決工控網絡安全攻防不對稱問題的方法之一,就是通過數據來驅動安全 [5]。對于工業互聯網企業來說,如果黑客的攻擊方法和攻擊目標能被識別,則一方面企業可以結合全網的安全大數據和自身的安全大數據提前分析,及時應對。另一方面可以將攻擊信息匯總形成有效的威脅情報,提升整個行業的防御能力。
因此,數據是工控系統態勢感知的關鍵,而數據采集則是整個系統的基礎[6]。通過各種數據采集方法和技術,如SNMP、WMI、ODBC、NetFlow、Syslog、SSH等,對各類軟硬件設備進行數據的采集。采集數據后統一進行數據標準化、格式化、規范化的操作。輸出處理完成的數據將作為應用層的輸入數據,供后續的工作使用。
3 工控網絡態勢感知數據采集的設計
3.1 數據采集的需求分析
態勢感知能實現全方位監測工控網絡空間安全的關鍵是有全面的數據作為分析的基礎,因此從數據的覆蓋角度考慮,確認采集以下四種數據:
(1)節點數據
在工控系統中包括多個節點,一些非法入侵往往會對節點的數據進行惡意修改,或者破壞節點功能,或者制造虛假數據影響節點的正常運行,因此節點數據的采集至關重要。節點上數據的采集主要源自嵌入式系統,因此節點數據的采集實際上就是嵌入式系統上的數據采集,概括來講,嵌入式系統是功能特定,資源有限的專用計算機系統,對嵌入式系統上任務相關的數據進行探測,有助于分析系統的網絡安全問題。
(2)網絡數據采集
工控系統往往通過網絡將各個節點鏈接起來,實現節點之間的互聯通信,網絡的引入雖然為系統提供了便利,但也引入了問題,網絡具有其自身的功能和性能,非法入侵同樣能夠對網絡造成干擾和破壞,例如破壞數據包、增加網絡負載等,造成節點之間通信速度降低、數據破壞甚至導致網絡癱瘓,網絡數據是否正常直接影響到系統的正常運行,因此需要對網絡的數據進行采集。
(3)應用數據采集
工控系統的一大特點就是具有特定的應用,一個系統是否正常最基本的判斷標準就是能否完成其特定的應用,因此需要對應用數據進行探測。從閉環控制的角度出發,節點采集的是閉環控制內部的數據,應用數據則為每個控制的外部表現的數據。按照閉環構成,可將應用數據分為傳感器數據、控制器數據和執行器數據,而這些數據都是模擬量,在工業控制中還存在一些與應用密切相關的數字量,例如開關、閥門的開合。
(4)日志數據采集
作為工控網絡態勢感知的重要數據源之一,日志數據是必不可少的,日志可以記錄網絡系統、設備、工業軟件等運行的真實狀態。對于系統維護,安全感知至關重要。數據采集設計時需要將多種來源的日志數據進行提取,并進行匯總和處理,最后形成統一的安全事件格式,為態勢感知提供重要數據來源。
3.2 節點數據采集設計
節點數據可分為任務活動數據,節點資源數據和用戶活動監測數據。
(1)任務活動數據采集
任務的屬性包括:任務標識號、調度信息、狀態、進程間通信、時間和計數器、存儲空間、處理器上下文等。每個任務在運行時都需要占用一定的系統資源,數據采集任務運行時需要考慮與被監測任務的關系,因其本身也會占用系統資源,因此要保證數據采集任務占用的資源不可過大,否則采集的數據可能會受影響,甚至采集的數據偏差過大,不具有分析意義。對于任務活動數據的采集,可以通過任務之間的通信,或者獲得任務共享儲存區域的數據,任務之間的通信包括共享信號量、消息隊列和內存等。
(2)節點資源數據采集
節點資源,如CPU利用率,內存利用率,硬盤使用情況等也是體現工控網絡態勢感知狀態的重要數據。采集實時的數據并將計算結果提供給應用層是一種理想情況,但這種理想一般情況下難以實現,且由于數據采集任務本身,也會消耗一定的系統資源,因此對節點資源數據的采集實施不能設計的過于復雜,否則會對采集的數據有較大的影響。
(3)用戶活動監測數據采集
用戶活動監測數據有兩點需要注意,一是含有操作系統的嵌入式系統才具備可監測的用戶活動,二是用戶活動的數據量通常較大,因此采集數據時需要注意數據采集任務執行的時間,避免影響工控系統的正常運行。同其他節點數據采集設計一樣,需要注意數據采集任務本身對系統的影響。
3.3 網絡數據采集設計
網絡數據可分為協議數據,報文數據和網絡性能數據。
(1)協議數據采集
協議的數據采集功能要求可以對數據包進行深層次的解析,可以從數據包的結構中正確的解析出其數據的意義。換句話說,協議數據采集的重點內容就是如何從報文中獲得與協議相關的信息,因此必須具備對工控協議的深度解析功能。但需要區分的是,協議數據采集的重點工作并不是抓取足夠多的數據包,簡單的抓取數據包通過被動的監測技術即可實現,協議數據采集要實現的關鍵技術是對數據包的處理,即從每一層的數據包中獲取態勢感知監測系統需要的關鍵信息。
(2)報文數據采集
工業互聯網絡通常采取主從的網絡結構,所有的網絡數據傳輸都會通過主節點,因此可以在主節點上進行對報文的采集,采集的內容包括幀序號、幀順序、幀類型、校驗和、報文調度行為、報文特征值等。因此報文數據在主節點上進行采集,這樣設計的原因在于:
·部署簡單。如果在從節點上進行數據的采集,不僅需要部署多個采集終端,而且每個采集終端都需要根據從節點的特性(如從節點不同的操作系統或不同的數據接口)進行單獨設定,才能實現對數據的提取和存儲處理等,而主節點統一部署即可進行數據采集。
·資源使用最大化。在主節點上進行數據抓取,數據抓取率最高,不會有在從節點上部署漏抓的可能。
·資源利用率高。通過主節點進行數據采集,會更好的利用系統資源,因為通常主節點的設備可以應對更大的負載,而從節點的處理器性能有限,如在多個從節點上進行數據報文的采集將會增大從節點處理負擔,影響從節點的正常業務功能和性能。
(3)網絡性能數據采集
通過探測依賴矩陣推理可獲知工控網絡系統的網絡拓撲結構,明確網絡結構是測量采集網絡性能數據的前提。網絡性能的檢測主要通過對丟包率的推理獲得,通過對鏈路上多次進行丟包率檢測,最后可以測得一個丟包率的統計值。
3.4 應用數據采集設計
對于主從結構的工業控制系統來說,應用數據都是由主節點進行處理計算后,再下發至從節點,主節點主要是數據的接收,從節點主要是數據的讀取和發送。因此應用數據采集可以在每個節點上設置程序庫,這些程序庫都具備相同的接口,如數據發送,讀取和接收,本質即為填充報文和解析報文。應用數據采集的關鍵在于:
(1)應用數據采集時,對于采集獲取的數據,都需要有時間標記,記錄數據發出的時間;
(2)應用數據采集時,需要對數據進行解析。
主從節點之間應用數據的收發,可理解為應用程序之間的交互。從節點采集到的應用數據,周期性的向主節點發送。需注意的是:
主從之間應該具備某種協議,可自定義,從站上的應用數據通過網絡傳輸至主節點,主節點能夠獲知哪些數據是來自哪一節點的什么類型的數據;
接口是提供給應用程序的,需要采集什么樣的數據,應用程序可以控制,但是采集數據仍然需要驅動程序支持,一般對于嵌入式系統,需要控制的是I/O上的數據,因此針對不同的系統,如Linux,對這些I/O的處理機制不同,需要根據這些不同編寫好驅動程序,以提供設計階段接口函數的實現。
3.5 日志數據采集設計
工業主機、工業安全設備、通信設備、工控設備、工業軟件等在工作過程中都會產生大量的真實操作和安全記錄,因此對于日志的采集匯總分析是工控系統態勢感知的重要一環。日志的采集可以通過專用的日志訪問協議,日志輸出接口,日志采集代理等方式實現。日志采集的設計要有定時自動采集并完成的功能,且可以自動從控制模塊的配置數據中獲得相關參數,例如采集時間間隔、日志文件路徑、傳感器編號、數據庫配置等信息。同時由于攻擊者入侵成功后,通常都會修改或刪除和自己攻擊相關的日志,或者偽造一些虛假日志隱藏自己的真實目的,給網絡安全的應對和調查增加了障礙,面對日志的這種容易修改破壞的易損性,需要在日志采集數據時增加完整性檢測功能,可以通過在日志系統中嵌入完整性檢測的算法實現。
由于需要采集的相關設備、軟件、系統較多,如果對全部數據進行采集分析則可能造成較大的資源浪費,因此不一定所有采集到的數據都要進行數據分析,可提前根據安全規則和行業特點設置一定的條件,篩選出有價值數據,丟棄冗余或無價值數據。篩選條件宏觀可以到不同日志類型,微觀可以到具體正則表達式的提取,同時還可以將篩選后的數據經過規則庫的匹配,合并指定時間范圍內的重復日志,去掉冗余的事件信息,使得整個數據采集更有價值。日志的篩選合并是在采集時直接解析完成的,先按照規則庫對采集的日志執行過濾操作,再通過合并算法按照時間范圍對日志進行合并,最后再將處理后的日志傳給數據分析模塊。
4 結語
通過對節點、網絡、應用和日志四方面數據采集的設計,基本實現了對安全相關數據的全面采集,滿足了態勢感知平臺對基礎數據的需求,得以從宏觀尺度實現全局監測工業網絡安全態勢,形成一套充分具有戰略縱深的工業網絡安全數據應用體系,從而讓安全態勢“可見、可管、可控”,能夠有效輔助政府和行業進行安全監管,助力企業提升安全水平,同時數據采集的應用,為將來工控系統網絡安全的大數據,人工智能技術的應用奠定基礎。
作者簡介
郭 賓(1989-),男,浙江杭州人,工程師,現任杭州木鏈物聯網科技有限公司產品總監,主要從事工控安全領域前沿產品探索方面的工作。
雷濛(1990-),男,北京人,工程師,現任杭州木鏈物聯網科技有限公司首席技術官,主要從事工控安全方向技術研究。
王得奕(1988-),男,黑龍江雞西人,工程師,現任杭州木鏈物聯網科技有限公司產品經理,主要從事工控安全產品設計方面的工作。
參考文獻:
[1] 芮明杰. “工業4.0”:新一代智能化生產方式[J]. 世界科學, 2014, 37 ( 05 ) : 19 - 20.
[2] 彭勇, 江常青, 謝豐, 等. 工業控制系統信息安全研究進展[J]. 清華大學學報自然科學版, 2012, ( 10 ) : 1396 - 1408.
[3] 中國信息與通信研究院. 網絡安全態勢感知技術及應用發展藍皮書[R]. 2019.
[4] 席榮榮, 云曉春, 金舒原, 等. 網絡安全態勢感知研究綜述[J]. 計算機應用, 2012, 32 ( 1 ) : 1 - 4.
[5] 張桂剛, 畢婭, 李超, 等. 海量物聯網數據安全處理模型研究[J]. 小型微型計算機系統, 2013, 34 ( 09 ) : 2090 - 2094.
[6] 柴獲, 閆軍, 等. 一種基于事件驅動的數據采集軟件模型[J]. 蘭州交通大學學報, 2010, 52 ( 06 ) : 102 - 105.
摘自《工業控制系統信息安全專刊(第六輯)》
北京市公安局海淀分局備案號:11010802023656號