【摘 要】 本文根据工业互联网的运行特点,提出了一种基于蜜网的工业互联网安全检测评估方法。该方法对于满足工业企业保障网络安全的需求,构建有效的工业互联网安全防护体系具有一定的借鉴意义。
【关键词】 工业互联网 蜜网 协同检测
1 引言
工业信息化是世界各国21世纪先进制造业的重要发展方向。为引导制造业升级,近年我国相继发布了《“工业互联网 + 安全生产”行动计划(2021―2023年)》等发展纲要[1],努力实现重点工业领域的智能转型。工业互联网平台作为工业智能化发展的核心载体,实现了海量异构数据汇聚与建模分析、工业制造能力标准化与服务化、工业经验知识软件化与模块化以及各类创新应用开发与运行,支撑了生产智能决策、业务模式创新、资源优化配置和产业生态培育。
而随着工业信息化战略的逐步推进,各种针对工业控制系统的安全攻击事件频发,尤其是“震网”“火焰” “毒区”等APT攻击的出现,充分反映出工业互联网领域中安全威胁日益严峻。现有工业互联网系统架构缺乏有效的安全防护体系,在当前智能开放的大背景下,工业互联网制造生产线中的控制、采集、监控及质量检测设备、现场总线以及ERP,PDM,MES,OA等企业信息系统(EIS)中的核心数据,如工艺数据、生产数据资料、质量测量数据等都随时可能被攻击者窃取或篡改破坏。如何保障工业互联网的安全性,防范工业互联网智能制造生产线中的安全威胁,避免敏感工业数据被不法分子利用,是关系国家安全的重大命题。
本文以工业互联网网络化协同制造平台为研究对象,提出一种基于蜜网的工业互联网协同检测技术,通过在工业互联网的边缘层部署配置多个诱饵蜜罐系统设施[2],利用重定向器将攻击信息进行统一收集和分析,结合上层的威胁特征提取检测技术,建立工业互联网协同检测机制,及时识别威胁、阻断威胁攻击,并针对工业互联网平台安全状态进行安全评估,提升现有工业互联网平台的安全防护和预警能力。
2 系统架构
蜜网是指在同一监测网络中配置多个诱饵节点的蜜罐系统形态。多个蜜罐诱饵节点的设置通常参考真实业务环境,不同的业务场景有不同的网络拓扑、工作流程及状态更新和控制需求。蜜网由于其高复杂度的诱饵环境特点,可为研究监测攻击行为的入侵及传播方式提供更多深层次信息。
基于蜜网的工业互联网协同检测技术的整体设计思想为:通过部署分布式蜜罐系统构建真实工控蜜网场景,诱捕攻击者进行攻击,从而探测发掘异常流量,并将异常流量重定向至安全分析层,结合海量威胁情报进行关联分析,实现对攻击者的多维度画像,获得攻击者和攻击组织最全面的攻击信息。通过对攻击流量特征进行提取,充分融合工业互联网复杂的网络拓扑结构信息,可实现对工业互联网系统的安全态势进行定量分析。
如图1所示,系统整体架构采用的是PDRR分层设计原则,可分为数据捕获、数据存储、安全分析及安全评估4层,各层功能简要描述如下。
(1)数据捕获层:该层主要通过部署在各监控子网的蜜罐系统,结合具有重定向功能监测探针,完成外部攻击行为的数据采集,具体包括:数据记录、数据抓取、数据过滤、数据转发等功能。最终将该网络中所有受监控的可疑流量数据重定向到蜜网控制中心。
(2)数据存储层:针对回传的蜜网攻击行为监测数据,对其进行初步数据清洗、融合等处理,并基于威胁情报、行为解析、事件关联、状态评估等关键技术实现统一蜜网数据融合与存储。
(3)安全分析层:针对工业互联网网络中的潜在威胁,通过在网络中分布式部署蜜网威胁监测体系收集得到的多层次网络流量,运用智能学习分析技术,同时结合数据交互,非法接入识别、非法扫描识别、非法探测、非法操作行为识别等方式,分析识别数据流量中的恶意行为和未知威胁。
(4)安全评估层:梳理关联后的多元化安全行为事件集,构建威胁监测技术体系。从不同粒度对系统的安全状况进行评估,实现从输入状态到输出状态空间的非线性映射,对系统威胁和脆弱性的发展趋势、网络局部和整体安全状况的发展状况进行预测并对实际业务进行预警防护。
3 详细模块设计
3.1 数据捕获层
数据捕获层主要通过部署分布式蜜罐系统形成蜜网,从而构建真实工控场景,诱捕恶意攻击行为,并探测发掘异常流量将其重定向到蜜网控制中心。
蜜网中攻击数据感知与捕获单元由多个不同类型的工控蜜罐组成,这些蜜罐分布于工业互联网系统中,并构建形成真实工控场景,可24小时不间断捕获网络空间中针对工控设备的扫描。分布式蜜罐系统是数据俘获层的基础,是整个系统的数据来源。合理的蜜罐设置及部署,有助于迷惑攻击者,更多地捕获恶意攻击行为数据。为更好捕获恶意攻击行为,蜜网中可联合部署低交互和高交互蜜罐系统。其中低交互蜜罐只是以最简的方式扩展协议类型,诱骗更多的攻击者或空间搜索引擎的扫描,监听工业控制协议端口,不进行任何协议交互,只记录攻击者的协议请求数据包和攻击者IP信息。高交互蜜罐可通过定制开源工业控制蜜罐实现,包含会话管理、协议交互、模板调度和日志配置等。其中会话管理是高交互蜜罐的核心模块,它采用事件队列的方式,将攻击事件保存在队列,对外提供获取会话的方法。协议交互模块提供多种工控协议仿真功能,并对外提供统一调用接口,保证协议服务的调用的统一性。协议交互模块实质上是作为协议实现的服务器实例,通过监听相应的协议端口,处理攻击者发送的请求信息。信息的处理方式采用函数回调机制,保证消息处理的函数自定义化。