数据捕获层工作流程如图2所示,高交互蜜罐的处理流程围绕高交互蜜罐主程序进行,将各个模块进行协同工作,当攻击者连接高交互蜜罐时,会生成连接会话。会话管理服务将每次会话加入会话队列,为不同协议服务提供查询接口。根据不同攻击协议端口,调用不同协议服务实例。每个服务实例都设置线程池,当查询到对应的协议会话时,会开辟新的线程进行处理。处理过程采用回调机制,将处理完的结果返回给主程序。攻击者发送连接数据包或请求数据包时,会话管理和回调函数都会产生日志并本地化,并定向上传到蜜网控制中心。
3.2 数据存储层
工业互联网的蜜网监测流量数据形式复杂多样,呈现典型的数据“多源异构”的特征。不同的蜜网监测单元由于其所在硬件设备及对应操作系统的不同,如有可能来自于多个数据源并涵盖系统的不同层次,这使得其数据的产生时间、使用场所、代码协议,乃至最终蜜网监测数据的存储模式和逻辑结构也差别巨大。
一般来说,实际蜜网监测数据可能同时包含结构化、半结构化和非结构化数据。其中,结构化数据指关系模型数据,即以关系数据库表形式管理的数据;半结构化数据指非关系模型的、有基本固定结构模式的数据,如日志文件、XML文档、JSON文档、E-mail等;而非结构化数据指没有固定模式的数据,如一些传感器数据、文本数据等。不同类型的数据在数据捕获过程中由于缺乏统一的标准,因此造成了数据“异构”的特征。为便于统一存储管理,蜜网在采集时将数据输出格式统一为JSON格式[3]。JSON具有简洁清晰的层次结构,是理想的数据交换语言,易于阅读和编写,同时也易于机器进行生成和对内容进行解析,可有效提升网络传输效率,数据存储流程如图3所示。
鉴于蜜网所采集到的数据质量难以保证,存在数据缺失、错误等问题。同时来自不同系统的数据格式也并不统一,需要先进行数据清洗才能进行后续数据的有效分析。数据清洗目的在于格式化数据,通过数据转换方法将多源异构数据转换成统一的目标数据格式,形成统一规范。而后通过数据筛选、数据修复等手段提高数据的质量,完成对不同数据指标之间的转换计算。有时对工业互联网平台的蜜网数据进行清洗解析所得到的结构化数据中,存在某些多维特征集合共同表征某个特定的含义。因此数据清洗完后,还需要针对多源异构数据集合进行数据融合处理,以使得该特征数据在保留基本信息同时减少冗余。数据归一化存储目的是屏蔽数据之间类型和结构上的差异,解决多源异构数据的来源复杂、结构异构问题,有利于上层对数据管理和分析,实现用户无差别访问,充分发挥数据的价值。在具体数据存储中,合理数据库的选择可以减少数据检索的时间,提高数据查询的准确度,是后续数据关联分析处理的基础。
3.3 安全分析层
安全分析层结合智能学习分析技术,深度识别蜜网数据流量中的恶意行为和未知威胁。本层可分为检测建模和威胁识别两个阶段。其中检测建模阶段,主要采用基于控制行为聚类分析的业务模式智能学习分析技术,结合工业互联网生产网络通信主体控制报文交互特点,通过提取表征工业互联网生产网络通信业务报文的多维特征量,采用k-means聚类算法从大量工业互联网样本数据中挖掘出正常业务控制行为的类簇,建立工业互联网生产网络的正常业务行为特征库。在威胁识别阶段,则利用该特征库对蜜网所捕获的新生报文进行实时监测以判断是否是攻击,安全分析层工作原理如图4所示。
安全分析建模阶段是从大量历史工业互联网通信业务网络报文中提取业务行为的一组类似<控制域、应用层功能码、指令方向、……、指令发送时间>等的n维特征向量,通过对这些特征向量的学习,使用k-means聚类分析算法,构建业务行为模型。通过k-means算法统计分析实际报文特征来进行业务指令行为的数据挖掘,完成聚类分析,使得同一类的业务行为被聚集到了相同的聚类子类中,实现对业务指令行为的功能分类。
k-means聚类子类形成了多类业务指令行为集,通过对明显离群点或重复错误指令形成的聚类子类进行标记过滤,构建出业务的多层次特征集合,采用监督型机器学习算法,如支持向量机算法(Support Vector Machine,SVM),对上述已标记的历史报文集进行学习,构建出正常业务访问模型。
在威胁识别阶段,通过采用单模式匹配算法和DFA相结合的方式进行工业互联网网络流量高速解析及业务还原,构造实际系统运行过程中的业务指令特征向量,利用训练阶段建立的正常业务模型对监测向量进行实时比对,如果新报文不属于任何类簇,则判断发生异常的指令级攻击模式。
3.4 安全评估层
安全评估根据蜜网收集的攻击行为数据,结合安全分析结果,对整体工业互联网网络安全状态进行评估[4]。在本层中主要侧重于工业互联网的设备和通信安全,重点评估系统中的身份认证、访问控制、安全审计、恶意代码防范、资源控制、输入输出控制、漏洞检测与修补、控制系统及应用软件测试与代码审计、设备内置模块检测等方面,并根据工业互联网实际应用场景的业务特点、实体结构和控制协议等进行测评项的细化,使得评估具有针对性,能更精准发现工业互联网的安全漏洞、脆弱性,安全评估层工作流程如图5所示。