今日頭條
官方微信
官方抖音
案例頻道★王智民,劉志剛,單海波,蔣忠軍北京六方云信息技術有限公司
關鍵詞:人工智能安全、工業互聯網安全、鋼鐵縱深防御體系、未知威脅檢測、工業安全態勢監測與風險評估
1 項目概況
1.1 項目背景
隨著國內外工業控制系統網絡信息安全形勢越來越嚴峻,國家工信部陸續發布了《加強工業互聯網安全工作的指導意見》《關于加強工業控制系統信息安全管理的通知》《工業控制系統信息安全防護指南》等一系列的工業信息安全防護文件,強調了加強工業控制系統信息安全管理的重要性和緊迫性,并明確了核設施、鋼鐵、有色、石油石化、電力等與國計民生緊密相關領域的工業控制系統信息安全管理要求。
鋼鐵企業是典型的生產、資金、技術密集型企業,其生產連續性強,生產系統耦合性高,加之近年我國眾多鋼鐵企業不斷推進智能化建設,尤其是在工業控制系統方面大量投入,以實現企業的智能化升級轉型。其主要應用的工業控制系統PCS、DCS、PLC、SCADA等,不僅越來越注重系統開放性設計,且多采用第三方集成,操作端PC化,這一改進大大降低了用戶的投資與維護成本。但與此同時,其面臨的網絡風險也越來越嚴峻。如何有效地防范來自內部或外部的攻擊,做好工控系統網絡安全的防護工作,確保生產系統的穩定可靠,是鋼鐵行業工控系統信息安全亟待解決的問題。從應用案例經驗總結來看,目前鋼鐵行業的工控系統管理缺失、防護手段落后、工業網絡病毒、設備漏洞和后門、持續性威脅APT、無線技術等問題是其重要關注點,這些問題一旦發生,將會導致重大經濟損失,威脅人員安全,造成惡劣的社會影響。
本方案以鋼鐵行業安全現狀為背景,結合某鋼鐵企業現存安全問題,制定了具備前瞻性、可落地性的工業網絡安全防御解決方案。
1.2 項目簡介
本方案將以工信部發布的工業互聯網企業網絡安全分類分級指南相關要求為基礎,結合《工業互聯網安全框架》《數據安全法》《工業互聯網企業分類分級管理試點方案》及《工業互聯網平臺安全總體(防護)要求》,分析工業互聯網鋼鐵類的實際安全需求,結合其業務的實際特性,建立符合系統實際安全需求的網絡安全保障體系框架,設計安全保障體系方案,綜合提升系統的安全保障能力和防護水平,確保系統的安全穩定運行。
工業互聯網安全包括保密性、完整性、可用性、可靠性、彈性和隱私六大目標,這些目標相互補充,共同構成了保障工業互聯網安全的關鍵特性。
(1)保密性:確保信息在存儲、使用、傳輸過程中不會泄漏給非授權用戶或實體。
(2)完整性:確保信息在存儲、使用、傳輸過程中不會被非授權用戶篡改,同時還要防止授權用戶對系統及信息進行不恰當的篡改,保持信息內、外部表示的一致性。
(3)可用性:確保授權用戶或實體對信息及資源的正常使用不會被異常拒絕,允許其可靠而及時地訪問信息及資源。
(4)可靠性:確保工業互聯網系統在其壽命區間內以及在正常運行條件下能夠正確執行指定功能。
(5)彈性:確保工業互聯網系統在受到攻擊或破壞后恢復正常功能。
(6)隱私安全:確保工業互聯網系統內用戶的隱私安全。
1.3 項目目標
本項目根據某鋼鐵企業發展規劃及投資計劃,結合國家關于工業互聯網安全建設相關政策,本著投入產出最大化的原則,結合工業互聯網企業網絡安全分類分級指南聯網工業企業增強級(三級)要求,完善工控安全防護措施。本次企業分類分級安全防護對象包括設備、控制、網絡、應用、數據五大對象,如圖1所示。內容具體包括:
圖1 企業分類分級安全防護對象示意圖
(1)設備安全防護:包括工廠內的智能器件、成套智能終端等智能設備的安全,以及智能產品的安全,具體涉及操作系統/應用軟件安全、終端計算機安全、控制設備安全、存儲介質安全等。
(2)控制安全防護:控制協議安全、控制軟件安全以及控制功能安全,包括工業控制設備間的通信工業控制協議、聯網控制系統安全、組態軟件安全、工業數據庫安全、配置安全、運維安全等。其中,聯網控制系統是指應用工業互聯網服務的工業控制系統。
(3)網絡安全防護:包括組網安全、架構安全、連接安全、網絡設備安全、安全設備安全等。
(4)數據安全防護:涉及采集、傳輸、存儲、處理等各個環節的數據,包括研發域數據、生產域數據、運維域數據、管理域數據、外部域數據、個人信息域數據等。
(5)工業App應用軟件安全防護:包括安裝、卸載、身份認證、口令安全機制、訪問控制、實現安全、升級安全、容錯性、資源占用安全等。
項目建設主要從工業設備安全防護、控制安全防護、網絡安全防護、數據安全防護、工業App應用安全防護等角度進行安全防護設計和建設;針對工控系統內部網絡流量和協議的安全審計層面進行數據安全防護,達到對工業互聯網企業分類分級增強級(三級)安全防護,逐步實施,最終滿足工業聯網企業分類分級管理防護的相關要求。
目標一:建設工業網絡邊界安全防護及工控設備計算環境安全防護,完善安全管理手段。
通過技術手段在工控網絡邊界部署安全產品,以集團分公司為單位,對安全生產業務區域網絡和管理信息區域網絡進行安全域的劃分,明確重要數據的構成及數據流動方向,進行分區分域邊界防護,構建可信工控系統,加強區域之間的訪問控制,加強系統與系統之間通信協議的安全防范,從而防止網絡攻擊與威脅;保證工業生產設備計算環境安全,打造工控安全計算白環境,部署統一運維平臺進行工控網絡安全工作高效可靠管理;建立健全網絡安全責任制度,完善鋼鐵企業工控網絡安全管理體系,將網絡安全納入考核,即利用技術手段和管理手段保證鋼鐵企業安全生產。
目標二:建設完善的安全審計措施和未知威脅檢測與回溯系統,完善縱深防御體系。
通過旁路監聽與智能分析技術,對系統的控制、采集請求、網絡行為進行詳細的審計,對攻擊及時預警;建立事前攻擊的提前發現和預防,事中攻擊的主動檢測、主動防御,事后及時溯源,做到應急響應;同時構建清晰的集團資產互訪拓撲,對攻擊場景進行還原,對每個攻擊階段進行回溯分析,通過豐富的可視化技術進行多維呈現。
目標三:建設網絡安全監測預警與信息通報平臺,制定網絡安全應急預案。
建立針對集團各分公司工業互聯網安全監測預警、信息通報、應急處置手段,提高威脅信息的共享,對監測發現的安全風險隱患及時通報相關企業;實現工業設備資產感知、工業漏洞感知、工業配置感知、工業協議識別和分析、工業連接和網絡行為感知、工業僵尸、木馬、蠕蟲檢測、工業攻擊鏈的監測和分析等安全態勢感知功能,實時識別和預警工業控制網絡和工業互聯網絡的安全威脅,及時與工業安全設備聯動實現協同防護,并提供攻擊回溯取證和安全態勢定期報表,為制定工控安全策略提供支撐,形成安全閉環,進而實現工業控制網絡和工業互聯網絡安全威脅的可視、可控、可管;制定網絡安全應急預案,定期開展應急演練,發現重大網絡安全風險和事件;定期開展網絡安全風險評估,及時采取針對性有效防范措施。
2 項目實施
2.1 方案技術架構
本方案將構建一套基于人工智能的工業網絡安全防護系統,其采用的技術及產品是涉及多個不同安全技術領域的復雜工作。本方案技術架構圖如圖2所示。
圖2 方案技術架構圖
2.1.1 制定鋼鐵企業工業控制系統網絡安全防護建設規劃
鋼鐵行業工業控制網絡拓撲結構復雜,受產品類型、廠商及工業流程等影響,企業內部也會呈現類型各異的網絡接入方式和拓撲架構。因此,對工業網絡的安全防護,需要能夠適應網絡層、應用層及內容層與IT網絡的巨大差異,進行有針對性的識別與控制,并屏蔽工業網絡自身的差異性,實現一致的安全防護效果。
網絡安全防護從防護對象、防護措施及防護管理三個視角構建,形成網絡安全防護框架。該框架針對不同的防護對象部署相應的安全防護措施,并根據實時監測結果發現網絡中存在的或即將發生的安全問題并及時做出響應。同時加強防護管理,明確基于安全目標持續改進的管理方針,保障工業互聯網的持續安全。安全框架如圖3所示。
圖3 網絡安全防護框架
其中,防護對象視角涵蓋設備、控制、網絡、應用和數據五大安全重點;防護措施視角包括威脅防護、監測感知和處置恢復三大環節,如圖4所示,威脅防護環節針對五大防護對象部署主被動安全防護措施,監測感知和處置恢復環節通過信息共享、監測預警、應急響應等一系列安全措施、機制的部署增強動態安全防護能力;防護管理視角根據工業互聯網安全目標對其面臨的安全風險進行安全評估,并選擇適當的安全策略作為指導,實現防護措施的有效部署。
網絡安全防護安全框架的三個防護視角之間相對獨立,但彼此之間又相互關聯。從防護對象視角來看,安全框架中的每個防護對象,都需要采用一組合理的防護措施并配備完備的防護管理流程對其進行安全防護;從防護措施視角來看,每一類防護措施都有其適用的防護對象,并在具體防護管理流程指導下發揮作用;從防護管理視角來看,防護管理流程的實現離不開對防護對象的界定,并需要各類防護措施的有機結合使其能夠順利運轉。工業互聯網安全框架的三個防護視角相輔相成、互為補充,形成一個完整、動態、持續的防護體系。
圖4 防護措施視角示意圖
2.2 方案建設內容
2.2.1 建設基于人工智能技術的網絡安全綜合防御平臺
鋼鐵企業工業網絡安全邊界劃分不明確,并允許從其他安全分區(如辦公內網)甚至可能允許與Internet連接的設備進行訪問。當一個安全區域內的網絡受到攻擊和入侵時,會迅速向其他區域橫向擴散,造成大規模嚴重性安全事件。為此,嚴格劃分網絡區域,并在邊界處部署防護系統是安全建設的基礎。
建設工業網絡安全防護系統。工業控制系統安全防護系統主要針對工業控制設備的安全防護,在PLC等控制設備本身難以快速實現安全能力集成的情況下,通過在接入網絡層增加工業網絡安全防護系統實現防攻擊、防病毒、防入侵、防竊密、防控制能力。
建設工業主機安全防護系統,加強工業App的安全防護。工業主機是工控網絡中較為脆弱的節點,自身漏洞較多,操作版本老舊,往往已經失去了補丁支持;工業App軟件多數是定制開發的,軟件開發程序不規范,具有較多的漏洞和安全風險;操作系統和工業App軟件由人操作帶來惡意操作和誤操作的可能性增加,且性能、更新和兼容性問題導致一般的防病毒機制難以生效。多方面的隱患下,工業主機的極高權限造成一旦攻擊突破單臺設備即可對工控網絡造成嚴重的破壞,對其的防護必須根據工業主機自身的特點進行特殊的功能集合設計,并通過較低的系統開銷,實現對攻擊行為的有效控制。
建設工業數據保護系統。工業應用與數據的保護,其重點在于對主客體的細粒度控制和攻擊洞察,確保被授權人在授權的訪問內妥善地執行業務并操作數據,同時識別并阻斷其中的攻擊行為,實現對工業應用及數據的保護。
2.2.2 建設基于人工智能技術的威脅檢測與安全防護系統
傳統的網絡安全建設往往停留在被動防御狀態,導致網絡安全運維人員無法看清全網網絡安全狀態,無法回答“當前網絡有沒有網絡安全問題,問題的來源在哪里,會不會擴散”等網絡安全治理的本質問題,即使建設了等級保護的技術體系,也無法對未知威脅和高級威脅進行識別和防護,無法抵御高級持續性威脅APT攻擊。本方案將建設一套完整的“事前有防范、事中有應對、事后有追溯”的主動防御的網絡安全技術體系,實現全網的網絡安全狀態快速預警,協調全網安全設備和網絡設備實現持續防護和快速處置。該系統通過挖掘海量數據關聯關系,自動發現企業內網數據資產,建立數據資產臺賬,構建清晰的資產互訪拓撲,并評估資產風險狀況;通過采集各類日志數據、原始流量及元數據(netflow),識別出網絡內資產的源IP地址和目標IP地址、URL數據和SQL語句數據以及特定的數據,結合IP地址識別并過濾出應用服務器和數據庫服務器,利用SQL解析識別出數據表、字段及表間關系,利用URL解析識別出目標頁面,使業務系統中的頁面對應的功能、頁面訪問數據的邏輯,以及數據的組成達到全面掌握,解決數據血緣關系自動識別的工作,從而為數據安全提供保障;針對每個攻擊事件,采用攻擊鏈聚合對每個攻擊階段進行回溯分析,并留存攻擊取證報文,通過豐富的可視化技術進行多維呈現。
2.2.3 建設基于人工智能技術的安全態勢監測與風險評估系統,實時監測安全風險
基于人工智能技術的安全態勢監測與風險評估系統作為構建一體化動態綜合防御體系的基石,是安全綜合防護系統面向安全和系統管理人員進行統一管理、整體趨勢查看、安全事件追溯的綜合辦事中心,應以安全態勢感知為基礎,對日常安全防護中需要的用戶身份、策略調試、遠程運維及資產與漏洞狀態等進行統一的運維管控,并將重要信息報送至安全態勢感知平臺,同時通過態勢感知系統的智能分析與建議功能,全面提高安全防護的水平。
2.3 關鍵技術的難點
2.3.1 工業軟硬件設備安全檢測難
工業企業網絡中設備和軟件的種類繁多,規格、通信協議、數據種類和規約各異,數據密集型應用交互復雜,使得工業企業網絡在軟硬件設備擴展時存在一定的安全隱患。因此,在工業企業進行設備和系統更新與擴展的過程中,需要對工業企業網絡內的軟硬件安全防護進行實時的檢測,保證網絡系統不受到外部攻擊。而安全檢測是一個持續的過程,如何在不妨礙系統正常運行,不破壞完成工作流程的情況下進行安全檢測也是一個亟待解決的難題。
2.3.2 工業網絡安全動態防護難
傳統的工業企業網絡安全防護基于分區、分域、隔離的靜態防護技術,安全策略決策方法主要集中在信息域防護,決策依據相對單一,不能適應工業控制系統信息安全防護需兼顧信息域和物理域安全、成本、性能等多因素平衡的特點,具有一定的滯后性,無法應對層出不窮的未知攻擊。針對工控系統的攻擊,一旦突破到系統現場層,輕則引起產品的減產降質,重則造成重特大安全事故,引起人員傷亡、環境污染,危及公共生活乃至國家安全。工業過程系統的網絡安全防護的核心和焦點是保證過程系統的安全運行,它的防護必須是深度結合系統運行特點,保障工業控制系統的動態安全,具備較高的可行性。
本項目針對工業安全靜態防護響應模式固定、易被攻擊者利用的問題,采用主動安全防護技術,設計了一種動態安全防護架構,在傳統的靜態防護的基礎上,構建安全策略生成、協調與調度方法,利用軟件定義網絡完成對工業控制系統進行實時入侵檢測,實現主動動態防御。
2.3.3 工業網絡入侵樣本分析難
在傳統工業網絡入侵檢測領域普遍應用的隱馬爾可夫模型、遺傳算法、粒子群算法和神經網絡等算法,都是基于經驗風險最小化原理的機器學習算法,其檢測的準確性與獲得樣本的數量有很大的關系,對于獲得的樣本是大樣本、完備的網絡數據檢測效果較好。而網絡入侵數據是一種高維和冗余數據,傳統機器學習檢測方法無法進行很好降維,且基于大樣本數據,入侵檢測率低,導致機器學習方法檢測的實際準確率與理論效果存在一定的差距。而且網絡入侵檢測數據具有較高的維數,因此數據就包含了大量的與網絡入侵檢測無關屬性,大大地降低了工業企業網絡中入侵監測的效率。項目采用基于無監督算法的攻擊行為自動學習技術,采用樣本分析對網絡入侵原始數據進行降維優化,利用工業企業網絡安全的特點建立機器學習引擎,對分析得到的數據自動學習提取新的規則與特征。
2.3.4 人工智能技術本身的安全風險防范難
人工智能技術有巨大的潛能改變人類命運,但同樣可以被惡意攻擊者利用,用以制作高級持續性威脅。即使是人工智能算法本身,也能被惡意攻擊者影響,導致AI系統判斷失準。在工業、醫療、交通、監控等關鍵領域,安全危害尤為巨大;如果AI系統被惡意攻擊,輕則造成財產損失,重則威脅人身安全。
AI安全風險不僅僅存在于理論分析,并且真實地存在于現今各種AI應用中。例如攻擊者通過修改惡意文件繞開惡意文件檢測或惡意流量檢測等基于AI的檢測工具;加入簡單的噪音,致使家中的語音控制系統成功調用惡意應用;刻意修改終端回傳的數據或刻意與聊天機器人進行某些惡意對話,導致后端AI系統預測錯誤;在交通指示牌或其他車輛上貼上或涂上一些小標記,致使自動駕駛車輛的判斷錯誤。
應對上述AI安全風險,AI系統在設計上面臨五大安全挑戰:
(1)軟硬件的安全
在軟件及硬件層面,包括應用、模型、系統和芯片,編碼都可能存在漏洞或后門;攻擊者能夠利用這些漏洞或后門實施高級攻擊。在AI模型層面上,攻擊者同樣可能在模型中植入后門并實施高級攻擊;由于AI模型的不可解釋性,在模型中植入的惡意后門難以被檢測。
(2)數據完整性
在數據層面,攻擊者能夠在訓練階段摻入惡意數據,影響AI模型推理能力;攻擊者同樣可以在判斷階段對要判斷的樣本加入少量噪音,刻意改變判斷結果。
(3)模型保密性
在模型參數層面,服務提供者往往只希望提供模型查詢服務,而不希望暴露自己訓練的模型;但通過多次查詢,攻擊者能夠構建出一個相似的模型,進而獲得模型的相關信息。
(4)模型魯棒性
訓練模型時的樣本往往覆蓋性不足,使得模型魯棒性不強;模型面對惡意樣本時,無法給出正確的判斷結果。
(5)數據隱私
在用戶提供訓練數據的場景下,攻擊者能夠通過反復查詢訓練好的模型獲得用戶的隱私信息。
面向人工智能自身安全風險,本項目系統實現增強AI模型本身的安全性,避免可能的針對人工智能技術的攻擊。
(1)網絡蒸餾:網絡蒸餾技術的基本原理是在模型訓練階段,對多個DNN進行串聯,其中前一個DNN生成的分類結果被用于訓練后一個DNN。有學者發現轉移知識可以一定程度上降低模型對微小擾動的敏感度,提高AI模型的魯棒性,于是提出將網絡蒸餾技術用于防御閃避攻擊,并在MNIST和CIFAR-10數據集上測試,發現該技術可使特定攻擊(如JSMA)的成功率降低。
(2)對抗訓練:該技術的基本原理是在模型訓練階段,使用已知的各種攻擊方法生成對抗樣本,再將對抗樣本加入模型的訓練集中,對模型進行單次或多次重訓練,生成可以抵抗攻擊擾動的新模型。同時,由于綜合多個類型的對抗樣本使得訓練集數據增多,該技術不但可以增強新生成模型的魯棒性,還可以增強模型的準確率和規范性。
(3)對抗樣本檢測:該技術的原理為在模型的使用階段,通過增加外部檢測模型或原模型的檢測組件來檢測待判斷樣本是否為對抗樣本。在輸入樣本到達原模型前,檢測模型會判斷其是否為對抗樣本。檢測模型也可以在原模型每一層提取相關信息,綜合各種信息來進行檢測。各類檢測模型可能依據不同標準來判斷輸入是否為對抗樣本。例如,輸入樣本和正常數據間確定性的差異可以用來當作檢測標準;對抗樣本的分布特征、輸入樣本的歷史都可以成為判別對抗樣本的依據。
(4)輸入重構:該技術的原理是在模型的使用階段,通過將輸入樣本進行變形轉化來對抗閃避攻擊,變形轉化后的輸入不會影響模型的正常分類功能。重構方法包括對輸入樣本加噪、去噪和使用自動編碼器(autoencoder)改變輸入樣本等方法。
(5)DNN模型驗證:類似軟件驗證分析技術,DNN模型驗證技術使用求解器(solver)來驗證DNN模型的各種屬性,如驗證在特定擾動范圍內沒有對抗樣本。但是通常驗證DNN模型是NP完全問題,求解器的效率較低。通過取舍和優化,如對模型節點驗證的優先度選擇、分享驗證信息、按區域驗證等,可以進一步提高DNN模型驗證運行效率。
2.4 關鍵技術的創新點
2.4.1 基于人工智能的主動安全防護技術
本項目在傳統的靜態防護的基礎上,結合工業企業網絡安全防護的需求,設計了一種動態安全防護架構。該防護架構利用OpenFlow協議實現將控制平面與數據平面的分離,通過軟件定義網絡鏡像獲取工業控制系統現場數據,基于LSTM和Snort對工業控制系統進行實時入侵檢測,編程獲取工業控制系統網絡流量進行監測和分析,發現異常后通過軟件定義網絡實現隔離、重定向等安全響應手段,執行端口跳變、拓撲跳變、流量清洗等防護策略,在不更改硬件設備的前提下形成檢測響應的安全閉環,阻止攻擊對系統造成破壞。與此同時,將移動防御技術引入工業控制系統,基于軟件定義網絡實現工業控制系統的拓撲變換和IP/端口跳變,迷惑和欺騙攻擊者,從根源上防止攻擊的發生。通過性能測試和攻防實驗驗證,該防護架構滿足工業控制系統通信時效性要求,能夠保障工業控制系統的動態安全,具備較高的可行性。該架構基于多目標優化的安全策略決策方法,在深入分析攻擊傳播的基礎上,構建覆蓋信息域和物理域的備選安全策略生成方法,確保策略空間的完備性,能夠自適應當前安全態勢,所求最優解具備不可預測的特點,克服了傳統安全防護技術響應模式固定、易被攻擊者利用的不足的缺點。
同時,考慮到大多數工業控制系統為避免關鍵功能失效而部署有功能安全策略,因此項目針對構建的信息安全策略研究功能安全策略的協調與調度方法,負責兩類安全策略的有效實施。針對策略潛在的沖突問題,本項目從系統功能的角度,分析工業控制系統信息安全策略與功能安全策略間的關系,制定策略沖突協調規則,依此動態協調當前安全態勢下所制定的信息安全策略和功能安全策略,獲得無沖突安全相關策略。針對策略實施優化問題,本項目從功能失效風險的角度,評估安全策略對系統防護的作用,以此為目標,在工業控制系統的實時性等多約束條件下,構建無沖突安全相關策略與系統功能性任務間的一體化調度,尋求最優的任務實施方案,保障安全相關策略和系統功能性任務的平滑實施。
2.4.2 鋼鐵行業資產自動識別與可視化技術
工業互聯網安全的頭號威脅是資產可見性,工業互聯網資產體量大、種類多、拓撲復雜,單純依賴人工登記匯總難以梳理。基于一系統、多探針、全場景的系統架構,可以大規模地審計和分析網絡中每一臺資產的鏡像流量、通信協議、設備日志。借助設備指紋技術和高性能聚類等無監督的人工智能算法,并融合網絡準入管理、終端監測與響應EDR、網絡監測與響應NDR、用戶實體行為分析UEBA等數據分析技術,可以無需人工干預地智能生成不同業務資產群集,并自動生成資產之間的拓撲層級,實現高階網絡拓撲的三維可視化。隨著時間的變化,圖形化動態展示資產群集之內和之間的通信行為,用于資產行為深度可視化。
在自動生成資產群集的基礎上,通過對資產群集之間的網絡通信行為基于隱馬爾可夫、生成對抗網絡、時間序列等機器學習算法建模和檢測,可以有效發現異常內聯、異常外聯、賬號失竊、數據泄露等內網高級持續性威脅行為。如在某企業內網中發現某區域一臺資產A與管理區多臺服務器在幾天內進行了多次聯接,并且傳輸了大量數據,雖然從流量中沒有發現任何已知的惡意特征,但人工智能算法仍然能敏銳地覺察,該資產與其同類設備的行為不同,并進一步與該資產的歷史行為進行比較,發現該資產已經被惡意代碼控制。
工業互聯網安全需要統籌考慮信息安全、功能安全與物理安全,聚焦信息安全,主要解決工業互聯網面臨的網絡攻擊等新型風險,并考慮其信息安全防護措施的部署可能對功能安全和物理安全帶來的影響。該系統核心以人工智能技術提供支持,通過被動監控OT和IT的網絡流量,自動為系統中的每個用戶、設備和控制器建模“生活模式”。通過這樣做,它可以學習“正常”行為,然后可以在很早的階段發現潛在問題或網絡威脅,然后再升級為危機或造成重大損害。至關重要的是,該系統實時在線自學習方法意味著它可以學習“正常”行為,無論專有協議或行業應用的類型如何。無需手動調整,定制開發或特殊配置,該技術可適應其安裝的環境和系統,并快速生成有意義的結果。由于數據攝取是被動的,因此該技術在工業互聯網中易于部署,并且不會破壞關鍵ICS(包括工業設備和機器)的正常運行。
2.4.3 鋼鐵行業網絡未知威脅檢測與自主響應技術
在工業互聯網當前形勢下,網絡安全防御體系更加需要對未知的威脅具有檢測、預警、快速響應等主動防御的能力。
本項目以工業設備行為分析為核心,借助人工智能、大數據挖掘等技術,建立工業設備在數字空間的行為基線模型,對現實工業互聯網中的設備資產的行為進行實時在線的機器學習,以發現異常和威脅行為,可以有效降低高級持續性威脅、數據泄漏、病毒感染、操作失誤及其他風險。
本項目通過融合網絡準入管理、終端監測與響應EDR、網絡監測與響應NDR、用戶實體行為分析UEBA等數據分析技術,圍繞資產、用戶、業務應用、時間序列、風險等對象,結合機器學習和人工智能算法,從海量數據中輕松找到用戶行為之間的關聯,為每臺設備和每個用戶畫像,建立起各自的健康模型,形成不同設備和用戶的健康行為邊界。
正常的行為習慣總是相似的,異常的行為各有各的不同。有了對用戶“健康行為”的理解,它就能通過與設備自身歷史行為,以及和同類設備的橫向對比,通過檢測不同行為的偏離度,覺察出惡意滲透、違規操作等值得注意的“未知風險”。同時,使用多維度的分層算法提供可解釋性,無需人工制定規則,算法最終可以清晰呈現出哪臺資產,在什么時候,通過哪種接入方式接入網絡,訪問了哪些網絡資源,使用了哪些程序、軟件,做了什么事情。
本項目自動學習客戶自身的健康行為模式,并不依賴歷史攻擊樣本的特點,決定了其先天對攻擊的各種變種和繞過方式免疫。無論何種攻擊通過何種繞過防御,并感染到客戶的內網,取得C&C服務器地址,采用無法破解的加密算法,本項目能夠準確地發現其與罕見的服務器進行通信與控制,以及其訪問內網的異常端口、異常設備進行橫向滲透和數據收集的蛛絲馬跡。在攻擊被曝光之前,記錄其行為歷史,清晰地呈現出來,幫助客戶準確溯源,及時采取措施,避免損失進一步擴大。健康行為邊界如圖5所示。
圖5 健康行為邊界示意圖
企業將數據控制權移交給人工智能將會產生自然的不確定性,但有實際的好處。使用人工智能進行威脅決策和響應,可以比人類更快地發現威脅,并且可以在事先限定的可接受的范圍內更快地做出反應,以防止或減少損害,而無需手動操作,為人工處理贏得時間,避免產生更大的損失。
系統在經過一段時間的學習之后,可以在無需人工干預的前提下,在預先設定的范圍內立刻與其他網絡設備聯動,針對性對資產的異常數據流行為進行臨時阻斷。
2.4.4 基于人工智能的日志聚類自動化分析技術
基于人工智能技術的威脅檢測與免疫系統貼合工業互聯網實際需求,無需持續升級特征庫及威脅情報,無需連接互聯網。本系統核心為自適應算法,在客戶的實際數據網絡中非侵入式地監控,并實時地、迭代地進行客戶設備行為模式的各種變化的學習,不斷自我優化。隨著時間的推移,算法使它不斷提高,越來越能清楚識別正常的設備行為模式和真實的攻擊。無論是OT還是IT環境,業務系統、安全防護系統都會產生大量的告警日志,但通常面臨如下困境:
大量重復日志,可能會淹沒真正有價值的告警日志;
大量的誤報日志,可能會掩蓋真實攻擊日志;
每條日志揭示的信息是離散的,缺少直觀的關聯關系,一些高級攻擊需要綜合多條告警日志才能夠被發現;
日志來自不同類型設備、不同的型號,遵循不同設備廠家的日志格式,要解析這些海量無格式日志的含義并且對設備的日志進行綜合分析非常困難;
利用人工智能聚類算法和大數據分析,可以對海量日志進行自動分類和特征提取。系統自動識別日志可變字段和固定自動,實時對日志進行分類聚合,甚至可以將一段時間數以百萬計的日志聚合成幾條或幾十條日志,使“人”更容易識別和分析這些日志中蘊含的真正有價值的信息和規律,去分析發現系統存在的安全風險。進而,系統可以對聚合后的日志根據時間周期性地建立模型和動態閾值,學習不同日志之間的統計關系。一旦網絡中出現異常時,系統可以進行快速的故障日志定位,找到異常的根因,為威脅快速定位和處理提供依據。
基于機器學習聚類算法的日志聚合技術,可以進行無格式日志智能分析,實現了海量的復雜日志自動分類和聚合,聚合度提高100倍,分析效率提高6倍,可以快速發現系統威脅。
基于機器學習聚類算法,包括K-Means、層次聚類等,可以進行在線機器學習,實現了海量的復雜日志自動分類和聚合。該算法能及時從海量日志中發現關鍵事件,事件日志量從1萬+條/天聚合到100條/天,查看事件從42天減少到7分鐘,有效解決了現有OT和IT環境中,業務系統、安全防護系統產生大量重復、誤報、離散、無直觀關聯的告警日志,無法及時有效獲得高級攻擊威脅日志信息問題而導致的經濟損失,保護了工業設備安全。
3 案例亮點及創新性
3.1 經濟效益
工業企業信息系統規模不斷擴大、需求不斷更新、自動化程度不斷提高,這些工業信息系統,在給社會和公眾創造效益的同時,它們本身的脆弱性,也給工業企業的發展、國家經濟建設甚至國家安全帶來了嚴重的負面影響。隨著工業信息系統安全狀況與企業經濟效益越來越密切,工業安全問題將直接影響到工業企業的企業經營和形象。本技術方案的實施,能減少工業企業因為工業安全問題造成的經濟損失,間接帶來經濟效益。
若按照近年各行業事故數量和經濟損失統計估算,本技術方案推廣應用可以減少30%的事故,提升了社會的安全穩定,可以減輕企業上億元的經濟損失,保障了人民生活質量;同時有助于各個應用單位保持安全生產的領先地位和夯實創新發展的基礎。
3.2 社會效益
本技術方案適合于當前工控系統信息安全的形勢和政策要求,可提升工業企業網絡安全監測和態勢感知能力,可實現網絡安全事件和風險的監測、分析、審計、追蹤溯源和風險可視化,增強了工業企業網絡安全情報共享和預警通報的能力,實現了跨部門之間信息共享和預警通報的通道,做到了信息共享和預警通報及時、客觀、準確、完整,提升了工業企業網絡安全事件與報警管理能力、全防護能力、評估能力和工控安全威脅感知能力。
本技術方案形成了網絡安全產品可持續為工業企業提供網絡安全預警通報服務及工控網絡安全監測系統服務,提高了工業企業生產系統信息安全保障水平,降低了信息安全風險,保障了生產系統安全運行。
本方案網絡安全技術的應用,會加快網絡安全核心技術和產品的自主研發可控及國產化水平。當前,國內工業企業工控系統核心技術和產品自主可控水平低,高端產品基本被國外壟斷,通過常規防御手段無法完全消除國外產品的后門、漏洞和缺陷,急需我國自主知識產權的工業網絡安全防護產品問世及規模應用。本技術方案通過產品的應用和配合相關標準的推廣,大大提高了我國網絡安全核心技術和產品的國產化水平。
本技術方案在工業企業的應用實施,形成了針對工業企業的典型的產品應用和深度的行業融合,形成了新型工業化產業示范基地(工業信息安全),發揮了先行先試和示范帶動作用。
作者簡介
王智民(1975-),男,四川巴中人,高級工程師,碩士,現就職于北京六方云信息技術有限公司,主要從事理論物理方面的研究。
劉志剛(1984-),男,山東濰坊人,高級工程師,碩士,現就職于北京六方云信息技術有限公司,主要從事工商管理方面的研究。
單海波(1988-),男,河北承德人,中級工程師,學士,現就職于北京六方云信息技術有限公司,主要從事工業自動化方面的研究。
蔣忠軍(1981-),男,遼寧丹東人,學士,現就職于北京六方云信息技術有限公司,主要從事計算機科學與技術方面的研究。
摘自《自動化博覽》2024年1月刊
北京市公安局海淀分局備案號:11010802023656號