工控系统安全监测及溯源系统的设计与实现

导读：随着工控系统和互联网的交叉融合与边界模糊，边界部署的安全设备无法进行有效防护。已有的安全检测平台和系统，对工控系统安全事件的理解和整合能力不足。在深入理解工控系统的工业属性以及安全需求的基础上，结合深度数据包检测、网络威胁情报感知、协议解析及数据挖掘等人工智能方法，设计工控网络安全监测分析及溯源系统，实现数据驱动的工业互联网态势感知、检测预警、攻击溯源及反制，有效提升工控系统的安全实时检测、感知预警与防护水平。

DOI：10.19358/j.issn.2096-5133.2019.01.003

文章来源：《信息技术与网络安全》2019年第38卷

第1期：14-19

工控系统安全监测及溯源系统的设计与实现

张玫¹，曾彬²，朱成威³

(1.中南林业科技大学，湖南 长沙 410000；2.湖南友道信息技术有限公司，湖南 长沙 410000;3.中国科学院深海科学与工程研究所，海南 三亚 572000)

关键词：工业控制系统；安全监测；深度数据包检测；攻击溯源

中图分类号：TP393

文献标识码：A

引用格式：张玫，曾彬，朱成威.工控系统安全监测及溯源系统的设计与实现［J］.信息技术与网络安全，2019,38（1）：14-19.

引言

随着工业网络的融合发展，工业控制系统(Industrial Control System， ICS)面临的安全形式愈发严峻，用户遭受的网络攻击越来越复杂和隐蔽^［1-2］。ICS逐步由物理隔离的封闭网络系统实现与IP/IT网络融合，在提升效率的同时，也会造成传统的IP/IT系统攻击行为渗透到工控网络中来，使得工业协议漏洞和工业系统威胁来源日益增加^［3-4］。另一方面，由于ICS工业通信协议相对简单、操作系统和软件缺乏安全性，这些漏洞很容易受到攻击^［5-6］。传统以“防护”为主的安全体系面临极大挑战：各种检测技术从不同的角度发现网络中可能存在的安全问题，但无法准确和有效地找出工控网络中存在的真实威胁，对工业生产系统的通信行为、工控协议漏洞、异常事件的捕捉、数据的真实性、完整性进行有效监控与溯源分析是非常必要的^［7-9］。

1 相关工作

针对工控系统面临的网络安全风险与挑战，欧美等发达国家在技术标准、搭建攻防实验室等方面都加大了投入，比如在 2014年由美国能源部、美国爱荷达国家实验室和Nexdefense公司联合开发的工业异常检测系统(Sophia)正式被宣布为商业化产品^［10］。在国家政策的扶持下，我国的工控安全厂商在工控安全领域也取得了不错的进展，但是就对工控网络的整体防护技术而言，和西方发达国家还有一定的差距。常见工控安全监测分析技术手段主要包括三种：

（1）基于特征库匹配，通过对工控网络中传输数据与所积累入侵模型进行对比，如具有一致性则判断为入侵行为从而产生报警；

（2）基于流量分析，通过采集分析工控网络中的原始通信报文，进行2~7层解码分析，对异常流量进行实时检测和流向跟踪；

（3）基于工控协议解析，针对OPC、S7、Modbus等主流工控协议进行深度解析还原，发现存在的安全漏洞^［11-14］。

总体说来，已有的工控安全监测分析系统，对工业威胁情报的理解、分析和感知能力不足，具体表现为：对工控协议的支持不足；缺少工控安全事件的归一化能力；缺少机器学习等智能算法的理解、分析和关联能力，无法实现工控网络安全态势的多维感知和预测等。

2 系统设计

系统采用全新的分布式协同测量体系架构，支持虚拟化部署与分权分域部署。系统基于“分布式部署、集中化管理”的设计理念，安装部署简单，只在需要监控的网络链路中部署分布式智能探针，用于网络流量的采集和预处理，单台探针也能同时监测多条链路。

2.1 系统组成

系统采用前端分布式监测采集(智能采集探针)与后台集中式综合分析(数据分析中心)的系统结构，充分发挥网络监测探针强大的数据采集、存储与分析能力，提供数据平面与控制平面全面的监控指标与可视化分析。系统整体架构如图1所示。

智能采集探针工作在设备层、数据采集层；数据分析中心工作在分析调度层和交互层。设备层主要用来对链路进行监控，可监控链路层和网络层的流量、应用层协议和链路上的硬件设备；数据采集层采集链路设备上的数据，支持采集流量、设备、会话、业务、性能、安全等多元网络数据，将采集到的数据经过格式化处理后进行存储；分析调度层进行智能关联分析，包括多维度流量透视、协议健康度评价、攻击检测与分析、安全事件回溯、综合态势感知等；交互层提供可视化的管理功能，实现探针管理、策略管理和数据输入输出管理。

数据分析中心子系统统一管理与控制各分布式探针，以轮询方式或接收主动汇报方式采集探针的指标数据，采用B/S方式为用户提供操作界面，提供工控安全事件检测、安全态势感知、流量跟踪溯源、业务健康度分析、故障预警告警与趋势分析等功能，为工业网络运行维护、规划设计、业务部署、协议研究与设备研发提供网络运行实际数据。

2.2 智能采集探针设计

探针通过镜像或分光方式全量捕获流量，这种非侵入式被动监测方式不对工业生产造成影响。除了底层物理层协议的不同之外，上层从IP层开始，所有处理方式类似。不同接口采用不同监测分析板卡实现，如图2所示。将数据包采集、转发与深度分析相分离，专用板卡在收到数据包后立即转发以保证低延迟的同时，通过与主机CPU共享独占内存单元的方式依指定规则将不同组别的数据包HASH到不同的CPU上去。系统利用多核特性并行处理和分析每一个数据包、每一条流、每一次业务流程，可以广泛关联，使得充分的带宽关怀与净化策略扩展成为可能，从包、流、会话、文件、协议元数据、网络行为、文件行为等多个层次进行检测，获得威胁信誉、威胁名称、核心行为等多维度信息，包括指令级的工业控制协议通信记录。

探针系统采用深度包检测技术、Suricata+PF_RING技术，对大流量、高并发网络进行全流量采集和初步分析，如图3所示。PF_RING技术用于数据采集处理捕包过程中减少硬件和操作系统的中断次数和内存在内核空间与用户空间之间的拷贝次数，提升网络流量数据的采集性能，Suricata可以对捕获的数据包进行重组，过滤和初步分析，并将分析结果封装成消息数据后传输给数据分析处理模块。数据分析处理模块基于协议指纹特征进行流量样本库的建立，与系统累积的事件规则标识匹配。未标记的流量数据，运用改进的半监督聚类算法建立工控系统数据�