基于數據融合的工業互聯網安全態勢感知系統研究

2023-04-29 00:44:03秦琰

信息系統工程 2023年8期

秦琰

摘要：基于多維多層次數據的信息采集，通過對信息的分類、融合、建模、分析等方法，獲取信息的全局安全狀態及相應對策，預測信息的發展趨勢，為工控系統的信息安全提供數據參考與決策支持。通過對工業互聯網絡安全態勢感知平臺建設的必要性進行了分析，重點介紹了該方案的技術框架、主要功能模塊，并討論了該方案在工業控制系統中的應用。

關鍵詞：數據融合；工業互聯網；安全態勢感知

一、前言

伴隨著“互聯網+”科技逐步滲透到了居民生活的每一個角落，網絡安全事件的后果也從簡單的個人信息泄露、交際人脈被利用等初期的后果，上升到了現在可能會對移動支付安全、智能門鎖、車輛定位等個人人身安全產生直接影響等更嚴重的后果[1]。網絡給人們帶來了極大的方便，但也存在著一定的安全隱患，對云服務商來說，更深層次地感知網絡安全態勢是其核心工作內容。早期的網絡安全態勢感知基本上是以硬件防火墻、行為管理設備等為基礎的，但是這些硬件安全體系并不能有效地應對同時出現的各種網絡攻擊。在此基礎上，提出了一種新的信息融合技術[2]。然而，若將人工智能技術與機器學習方法應用于網絡安全情境感知，則數據的覆蓋面與融合程度將成為決定結果的關鍵因素，因此，在各云計算中心中，基于全系統大數據分析的網絡安全態勢感知系統已經被部署，如何實現更高效的網絡安全數據融合，已成為目前技術條件下實現更深度網絡安全態勢感知的核心工作[3]。

二、網絡安全態勢感知中數據融合技術的問題發展方向

（一）存在的問題

技術人員在進行相關的研發工作之前，必須要從現實出發，對當前大數據網絡安全防護中所存在的不足和缺陷進行系統地梳理，并以問題為導向，對有針對性的技術應用和平臺進行改進。經過漫長的發展過程，現在已經形成了有一定能力的防護模型[4]。建立現階段的網絡安全防護體系，雖然可以在一定程度上滿足上網需求，減少網絡安全事故的發生，但其安全性仍有很大的隱患。特別是，在傳統的大數據網絡安全防護中，大多采取了“發現安全威脅—分析安全威脅—制定防御策略—執行”的被動式防御模式。存在著很大的局限性，既不能有效地感知到未知的安全威脅，又不能通過內部的聯動機制來協調應對網絡攻擊，缺乏數據支持，缺乏對網絡攻擊的溯源分析能力，越來越難以滿足大數據網絡環境下的安全防護工作需求。

（二）發展方向

1.通信

隨著互聯網的迅速發展，數據融合技術得到了新的發展機會，對人們的日常生活起到了很大的影響。目前，各種視頻和音頻的傳播速度不斷加快，這對人們的生活和工作方式產生了一定的影響。以往，在文件的傳輸中，經常出現卡頓、丟失等現象，而數據融合技術的信息集成和收集功能，使得信息的傳遞更加準確和快速。

2.衛星跟蹤

數據融合技術有著非常廣闊的應用前景。比如，該技術在衛星跟蹤中起著非常重要的作用，利用數據融合技術，可以及時對地面進行信息收集及監控，明確位置信息等，將數據融合技術應用于電子信息工程，也可以充分利用互聯網所具有的數據分析處理功能，對地面軌跡進行統一規劃，保證運輸的有效性及準確性[5]。將數據融合技術與電子信息工程相結合，既可以提高數據融合技術在實際應用中的穩定性，也可以解決過去由于突發情況處理不及時導致的各類問題。一旦發生了什么事情，衛星就會第一時間將消息傳遞給系統，進行應急處置，當然，因為成本太高，所以并沒有大規模使用。

三、數據融合在網絡安全態勢感知平臺建設中應用的基本方法

在數據預處理階段，利用特征提取、數據融合等手段，對原有的安全數據進行重構，結合攻擊鏈特性、攻擊行為特性等建立大數據分析模型，實現對安全威脅的實時分析和離線分析，挖掘出潛在的、未知的安全風險，建立完整的網絡安全態勢。

（一）數據采集與預處理

有目的地收集網絡的運行和維護管理數據，該領域的數據主要包含了安全風險評估結果、事故處理記錄、安全體系運行記錄等，通過收集這些數據，確保了在數據處理時，安全威脅信息評估的正確性。除以上兩種類型的安全信息外，還需收集外部的威脅信息。比如在一個時間段里，建立起一套完整、系統化的、針對攻擊源頭的 IP、域名、脆弱性信息的數據采集體系[6]。對采集到的資料進行預處理。而實際中，這些數據經過收集后，呈現出一種異質的特性。為保證其在實際應用中的效果，改善數據融合的效果，同時需要對數據的內部結構進行必要的預處理。通過預處理，能夠對數據的內部結構進行有效的識別和完善，剔除安全數據中的重復項和虛報項。

（二）態勢感知指標體系的構建

在此基礎上，在已有的大數據環境下，針對當前大數據環境下的態勢感知問題，構建一套完整的、有效的態勢感知指標，以確保數據采集、預處理等過程中的相關性和真實性。在此思想的指引下，技術人員要對網絡運行中的脆弱性和攻擊者進行評估。

（三）態勢感知指標提取與數據融合

在數據融合時，技術人員需將所獲得的各種態勢感知指標與貝葉斯網絡、D-S證據理論等相結合，并將評價結果以數理形式表示出來，從而更直觀地保證安全防護工作的進行[7]。

四、網絡安全態勢感知平臺技術架構

工業互聯網的安全態勢感知能夠獲取、理解、評估影響工控網絡的各種因素，并預測其發展趨勢，是新一代安全技術研究的熱點。其技術架構如圖1所示。

（一）安全設備信息提取

工業數據采集利用各種通信方式，通過對不同設備、系統、產品的訪問，實現大規模、深度的工業數據的收集，以及對異質數據的協議轉化與邊界處理，為建立面向工業互聯網的安全態勢感知平臺奠定數據基礎。工業數據收集探頭可以將終端行為、原始數據、審計數據、監控數據、威脅告警數據、日志數據、資產數據、元數據等全部收集起來，并能將其以 Syslog，SNMP， TLV， Json等形式輸出到該平臺[8]。

（二）數據預處理

在數據采集過程中，由于數據源的差異，導致了數據的格式、內容、質量、存儲和表示語義等方面的差異。與此同時，大量的數據存在著不完整、不一致、重復、錯誤和異常等問題[9]。如果沒有對這些資料進行好的預處理，將極大地影響到后面的資料分析和挖掘，也會極大地影響到分析的準確性。為了提升數據質量，提升數據分析的效率、質量和精度，有必要對所收集的數據進行規范化和標準化的預處理。在數據的預處理過程中，要通過必要的數據清理算法，將異質數據整理為易于處理的結構化數據，再利用聚類分析等算法對報警記錄進行壓縮，去掉冗余，再對原始數據進行重新審核，篩選，排序，最終形成一個精確的、基本的數據關系圖。

（三）態勢數據建模與分析

將經過預處理后的數據與知識庫展開關聯分析，從中抽取出具有一定相關性，能夠反映出某種安全信息的數據，并對其進行建模。同時，在此基礎上，利用機器學習方法，深度解析工業互聯網中的標識信息、工控資產信息、攻擊事件信息、攻擊來源信息等，實現威脅態勢呈現與數據關聯性挖掘[10]。在已有研究的基礎上，通過對網絡安全現狀和歷史信息的收集，設置不同的場景和條件，建立符合網絡和業務場景的分析模型，進而開展基于網絡威脅和資產脆弱性的態勢預測，揭示網絡安全的發展趨勢。

五、網絡安全態勢感知技術主要能力

（一）網絡安全態勢預測

對網絡進行主動防御的關鍵環節就是對網絡的安全狀態進行預警。在此基礎上，通過對大量報警信息的挖掘，可以揭示出網絡中的入侵規律，并在此基礎上對網絡中的入侵行為進行提前預測，從而可以對網絡中的網絡攻擊、網絡攻擊對象、網絡攻擊方式等進行預測，從而達到“分析過去，預測未來”的目的[11]。只有對入侵者做出正確的預測，才能制定出有針對性的對策，防止入侵者的入侵。

（二）工業網絡入侵檢測

由于工控系統是一種生產運行系統，它的現場控制層對實時性、可用性的要求很高，所以就需要一個動態信息安全保護體系。在工業互聯網環境下，通過構建工業互聯網環境下的環境監測模型，對收集到的環境信息進行監測和分析，并給出預警。基于入侵響應技術，通過實時的入侵檢測，對系統的安全狀態進行分析，制定并執行最優化的安全策略，從而降低入侵的危害。對攻擊的響應主要由兩部分組成，即安全戰略的制定與實施。前者基于監測到的預警信息，對工控系統多方面的約束與目標進行集成，確定最佳的安全策略[12]。在此基礎上，對所制訂的信息保障戰略及可能的職能保障戰略進行協調，并制訂出具體的執行計劃。在安全策略的選擇中，對網絡攻擊危害程度的評價是確定網絡安全策略的一個重要依據。當系統響應入侵代價大于被入侵代價時，應謹慎考慮是否有必要進行響應，避免過度響應。

（三）“僵木蠕”態勢感知

僵尸網絡、木馬、蠕蟲這三種病毒被稱為“僵木蠕”。“僵木蠕”是一種對因特網和公司內網具有很大危害的病毒。基于此，擬在工業互聯網環境下，通過對蠕蟲傳播特性的分析，實現對蠕蟲的識別，跟蹤蠕蟲的傳播路徑和控制路徑，最后跟蹤蠕蟲的源頭。在此基礎上，利用已有的指令，對被指令的服務器進行監控，進而對被指令的主機進行監控，從而掌握“僵木蠕”的網絡狀態，為后續針對“僵木蠕”的攻擊提供依據。

（四）工業控制系統漏洞掃描

漏洞掃描主要包含了兩種功能：一種是對傳統的網絡漏洞進行掃描，另一種是對工業控制系統中的漏洞進行掃描。該系統可對傳統的互聯網和工業控制的互聯網兩種不同類型的互聯網進行漏洞掃描，在傳統的互聯網上，可對操作系統（LINUX、WINDOWS、MAC）進行漏洞掃描，可以對常用的應用程序（例如 HTTP、 FTP、 TELNET、郵箱等），可以對 Oracle、 MSsql、 Mysql、DB2、 Sybase、達夢等主要的數據庫進行漏洞掃描，可對弱口令檢測、配置風險、賬號風險等進行檢測[13]。

六、工業控制系統網絡安全態勢感知系統建設思路

構建網絡安全態勢感知體系是提高網絡安全防御水平的關鍵。在政府監管的層次上，要做好頂層設計，并與國家工業互聯網的產業需要相結合，全面設計國家工業互聯網安全監控技術平臺的功能和體系結構[14]。完善“國家—省—企業”的安全監測和預警報告體系，在工業控制網絡中實現關聯企業的安全態勢可感知、可監測。南京中新賽克技術有限公司是一家為企業提供監控端的企業。對運營者的核心路由器作規則篩選，對行業特定的服務進行甄別，并對這些服務進行鏡像與行業互聯網探針的連接；工業互聯網探針是一種能夠分析工業協議、提取工業設備指紋的技術，是一種對數據流進行預處理的全息記錄[15]。工業互聯網安全監控與態勢感知平臺對全息日志展開了數據治理和數據分析，并與人工智能等技術相結合，對工業資產、工控漏洞、工業云平臺、安全事件進行了監測。具體內容如圖2所示。

要想把網絡安全態勢感知做好，就需要高效的技術平臺、安全運營管理、安全人才的培養。通過構建網絡安全態勢感知技術平臺，來實現對網絡空間的安全持續監測，對各種威脅和異常進行及時預警，并對其進行可視化展示；透過網路安全運作管理的建構，建立并完善各種安全管理系統、安全預警機制等，以達到安全決策與緊急反應的目的；通過對技術人才的培養，來提升網絡安全的工作能力，以及對安全事件的處理能力，從而實現對網絡安全威脅的事中阻斷、事后溯源的目的。隨著科學技術的進步，大數據成為推動社會經濟發展的重要因素。隨著網絡時代的到來，世界上許多國家都開始大力發展數字信息產業。身為一名技術人員，在建立以計算機為基礎的大數據技術的時候，還可以將云計算技術運用到其中，對數據分析系統進行持續的改進，將各個行業中的價值全面挖掘出來，為行業的發展提供數據支撐。因此，提高信息融合技術在信息處理領域的應用，對于保障社會生產力，推動社會經濟的發展有著重要的實際意義。

七、結語

網絡入侵與攻擊呈現出大規模、復雜的態勢。工控系統在設計階段就存在著大量的安全漏洞，而且大部分用戶出于對可用性的需求而不愿意對其進行更新和改造，這使得工控系統極易受到黑客的攻擊。工業互聯網的安全態勢感知平臺能夠實時、準確地掌握網絡的情況，并對惡意攻擊進行探測，使網絡安全工作變得更加主動、有序，是一種對網絡安全事件進行監控和防范的有效手段。

參考文獻

[1]鄧曉東，何慶，許敬偉.大數據網絡安全態勢感知中數據融合技術研究[J]. 網絡安全技術與應用， 2017（8）：79-80.

[2]朱義杰，楊玉龍，李帥.面向大數據環境的網絡安全態勢感知平臺研究[J].網絡安全技術與應用，2018（11）：52-54.

[3]盧慶，文衛疆，陳新. 大數據支持下的網絡安全態勢感知技術探究[J].網絡安全技術與應用， 2018（10）：63-64.

[4]韓曉霞，劉云，張振江.網絡安全態勢感知理論與技術綜述及難點問題研究 [J].信息安全與通信保密， 2019（7）：103- 105.

[5]張松，王行健，魯偉.網絡安全態勢感知研究綜述[J].電子測試， 2017（14）：37-39.

[6]姚曉飛.工業互聯網安全態勢感知系統設計與實現[D].沈陽：中國科學院大學（中國科學院沈陽計算技術研究所），2022.

[7]王恒曉.基于多源數據融合的煤礦安全態勢感知分析平臺研究[J].煤礦安全，2022，53（08）：242-246.

[8]沈溶溶.基于大數據技術的計算機網絡安全態勢感知方法[J].信息與電腦（理論版），2023，35（03）：71-73.

[9]蘇小玉，徐奎奎.網絡安全態勢感知中數據融合算法應用綜述[J].河北省科學院學報，2020，37（02）：37-44.

[10]鄭銳.面向網絡安全態勢感知的多源數據融合系統設計與實現[D].南京：東南大學，2020.

[11]管延生.大數據技術在網絡安全分析中的應用[J].計算機與網絡，2021，47（7）：53.