美军利用标准化网络事件分析框架保障关键基础设施安全

编者按

美国约翰·霍普金斯应用物理实验室研究人员开发名为“控制系统行为警报集”（BAS/CS）的网络安全框架，用于实现工控系统安全事件识别和报警的标准化，从而显著提高应对潜在攻击的效率。

BAS/CS旨在从多个层面解决工控系统技术、协议和网络安全解决方案种类繁多导致的信息共享和威胁识别差异性挑战。该框架通过分析行为、标记系统事件并应用复杂规则提供报警来增强防御能力。该框架工作原理为：首先通过监控工作站和网络来生成与网络攻击活动相对应的独特事件；然后根据“主机事件”和“网络事件”对传感器生成的事件进行标准化分类标记，其中主机内部生成的事件可视情标记为访问、文件、日志、流程或外围等五个方面，网络通信产生的事件可视情标记为入侵检测或网络流量两个方面，为每个事件添加一个通用识别码；最后利用标准化关联规则检测评估给定时间范围内已标记的传感器事件，并在条件匹配时触发通用警报。约翰·霍普金斯应用物理实验室表示，该架构实现了在数据和规则两方面的厂商无关性，通过使用通用语言使各方都能了解系统实际状况，从而可以替换传感器和信息源并采用最先进的技术，持续运行并针对威胁发出警报。

BAS/CS旨在解决“提高工业控制系统的态势感知”（MOSAICS）开发过程中发现的一项挑战。MOSAICS 是首个全面、集成且自动化的工业控制系统安全解决方案，由约翰·霍普金斯应用物理实验室与桑迪亚国家实验室、太平洋西北国家实验室和爱达荷国家实验室合作开发，正在美国防部内部推广应用。在分析已知网络攻击的策略、技术和程序时，MOSAICS团队萌生了使用ID标签标准化传感器事件识别的想法。在此基础上，BAS/CS团队采取了迭代式方法，将传感器事件映射到其开发的标签，并邀请领域专家审查映射关系；使用了来自不同供应商的网络防御工具，并对该框架进行了对抗性测试，以进一步完善系统生成的映射关系、关联性和警报机制。BAS/CS已通过MOSAICS部署用于保护美国海军控制系统，并受到了用户的好评。美国海军人员评价称，BAS/CS具有跻身前五甚至更高级别的变革性技术的潜力，能够显著增强网络防御能力。约翰·霍普金斯应用物理实验室表示，BAS/CS已被纳入MOSAICS系统，并在实际运行环境中进行验证；美国防部内部一些部门正在自行推进MOSAICS和BAS/CS的实施；BAS/CS既可与MOSAICS协同使用，也可单独使用，其所侧重的分析方法是标记和规范化所有不同传感器数据流的核心；该实验室将推广该框架及其已取得的成果，并与其他合作伙伴合作扩大其应用范围。

奇安网情局编译有关情况，供读者参考。

美国约翰·霍普金斯应用物理实验室（APL）的研究人员开发了一种网络安全框架，用于标准化网络安全系统为保护关键基础设施而生成的警报，从而显著提高了系统应对潜在攻击的效率。

包括电力、水和天然气在内的关键服务控制系统仍然是黑客攻击的首要目标。由于所使用的技术、协议和网络安全解决方案种类繁多，保护这些系统变得异常复杂，信息共享和威胁识别也因此面临挑战。控制系统使用数十种不同的格式来处理各种传感器数据，而数十家供应商各自拥有不同的检测系统和分析工具。例如，两个传感器可以查看相同的原始网络数据，但却以不同的方式解读这些数据。不同的传感器可能会用不同的名称和描述来标记同一次攻击。

为了解决这一挑战，约翰·霍普金斯应用物理实验室的研究人员开发了“控制系统行为警报集”（BAS/CS），旨在从多个层面解决变异性问题。这一先进的网络安全解决方案通过分析行为、标记系统事件并应用复杂的规则来增强防御能力，从而在检测真实威胁的同时减少误报。

BAS/CS可集成到现有的安全信息和事件管理功能或分析平台中，帮助实时缓解网络威胁。通过部署BAS/CS，组织可以增强国家韧性，并确保关键基础设施免受日益复杂的网络攻击者的侵害。

重新绘制网络威胁格局

网络攻击始于运营技术（OT）网络。高级持续性威胁（APT）在工程工作站上执行脚本，导致OT协议命令通过网络传输到可编程逻辑控制器（PLC）。这些命令会更改PLC上的值，并可能损害过程控制。

首先，传感器标记将每个事件标记一个通用的识别码，该识别码适用于不同的传感器和供应商产品。对工作站和网络的监控会生成与APT活动相对应的独特事件。这些厂商特定的事件会被标记一个与BAS/CS无关的行为标签，从而对事件数据进行标准化处理，以便进行后续分析。例如，检测到的APT操作会被标记为“新建命令/脚本”（PRO03）和“OT写入命令”（IDS04）行为。

然后，系统会利用关联规则评估这些已标记的传感器事件，并生成警报。BAS/CS关联规则会逻辑地评估一段时间窗口内的行为标签以及受影响的系统。当识别出一组行为时，系统会触发警报。例如，与工作站关联的“新建命令/脚本（PRO03）”和“OT写入命令（IDS04）”行为会触发“意外的OT命令和控制Shell警报（BAS 8.2）”，该警报会发送给该系统的安全人员。与传感器事件标识一样，关联检测规则和警报语言在各个系统中都是标准化的。

BAS/CS行为标记提供广泛的行为分组，用于对传感器可能生成的事件类型进行分类。这种事件标记方法允许灵活选择传感器功能。供应商专有的事件分析功能被映射到BAS/CS事件标签，从而标准化了如何对各种传感器事件数据执行关联分析。BAS/CS事件（BE）主要分为两类：主机事件和网络事件。

主机事件侧重于由主机内部生成的事件，涉及到访问、文件、日志、流程和外围等五个方面。

网络事件是指由网络通信产生的事件，涉及入侵检测和网络流量两个方面。

BAS/CS警报被定义为BAS/CS事件（BE）关联的集合。每个BAS/CS关联规则都包含一个警报逻辑语句，该语句使用“和（&&）和或（||）”表达式来提供事件源之间的逻辑关系。每个逻辑表达式都用于在安全信息与事件管理（SIEM）中查询BAS/CS事件（BE）数据，如果逻辑表达式在给定的时间范围和聚合字段（通常是事件源主机名）内返回“TRUE”，则会发出警报。

约翰·霍普金斯应用物理实验室控制系统网络安全研究员亚历克斯·比尔表示，“一大好处是拥有了一种所有人都能谈论的通用语言——从操作员和控制系统环境到更传统的网络防御者——并且能够了解这些系统中实际发生的情况。”

约翰·霍普金斯应用物理实验室网络安全防御专家、BAS/CS的创建和开发负责人哈雷·帕克斯盛赞了其厂商无关性。他表示，“如果能够标准化警报和数据标记的方式，就可以替换传感器。也可以替换一些生成警报的信息源，从而采用最先进的技术，持续运行并针对威胁发出警报。”

亚历克斯·比尔表示，这种厂商无关性体现在数据和规则两方面。他称，“我们认为BAS/CS在警报层面上的作用在于，不仅要确保提供数据的传感器厂商无关，还要确保运行这些规则的系统厂商无关。使用BAS/CS规则不需要任何特殊的代码或技术。”

开发、完善和部署

BAS/CS旨在解决“提高工业控制系统的态势感知”（MOSAICS）开发过程中发现的一项挑战。MOSAICS 是首个全面、集成且自动化的工业控制系统安全解决方案。约翰·霍普金斯应用物理实验室与桑迪亚国家实验室、太平洋西北国家实验室和爱达荷国家实验室合作开发MOSAICS。MOSAICS团队已与美国海军、空军及其他机构开展了广泛的合作。

MOSAICS 最初被设想为一个网络攻击检测系统。约翰·霍普金斯应用物理实验室利用其在系统工程方面的专业知识和在集成自适应网络防御方面持续开展的工作，将MOSAICS开发成为一项真正的操作性防御能力。最终成果使操作人员能够实时检测和识别针对其系统的网络攻击，并最终支持自动化甚至自主的响应和恢复协议。

MOSAICS正在美国防部内部推广应用。例如，作为MOSAICS的早期合作伙伴，美国海军信息战中心（NIWC）大西洋分部2025年3月透露，MOSAICS有可能被纳入美国防部建筑规范。将MOSAICS纳入美国防部统一设施标准1-200-01《美国防部建筑规范（通用建筑要求）》后，将提供详细的系统工程要求，通过指导工程师进行网络技术的设计和开发，从而保障工业控制系统的安全。

美国海军信息战中心大西洋分部代理执行主任凯文·查洛在公告中表示，“看到多年前萌生的科学研究项目构想如今已发展成为一项足以影响美国海军、国防部乃至更广泛领域工业控制系统标准的重大项目，令人振奋。我们的系统工程专家运用科学技术方法，推出了MOSAICS框架，该框架正在塑造并推动全面的变革。”

在同一份声明中，美国海军信息战中心大西洋分部高级网络安全工程师兼MOSAICS技术管理政府负责人理查德·斯卡尔科指出，MOSAICS能够被纳入通常仅涉及机械和电气要求的建筑规范，将是一项重大成就。他表示：“这些规范将成为一套涵盖所有军事设施设计、建造和维护的综合标准和法规的一部分，这将有助于美国防部确保关键工业控制系统的安全性、可靠性、耐用性和功能性。”

在分析已知网络攻击的策略、技术和程序时，由哈雷·帕克斯领导的MOSAICS团队萌生了使用ID标签标准化传感器事件识别的想法。

在此基础上，BAS/CS团队采取了迭代式方法，将传感器事件映射到其开发的标签，并邀请领域专家审查这些映射关系。团队成员使用了来自不同供应商的网络防御工具，并对BAS/CS进行了对抗性测试，以进一步完善系统生成的映射关系、关联性和警报机制。

BAS/CS已通过MOSAICS部署用于保护美国海军控制系统，并受到了用户的好评。一位美国海军操作员对BAS/CS评价称，“凭借我在美国空军网络保护团队的十年经验，以及现在参与的这项海军任务，自动化关联不同类型日志的潜力无疑是一项足以跻身前五甚至更高级别的变革性技术，它能够显著增强网络防御能力。”

在某些情况下，BAS/CS已被纳入MOSAICS系统，约翰·霍普金斯应用物理实验室的研究人员正在推动其更广泛的应用。哈雷·帕克斯表示，“我们正在与多个不同的赞助商合作实施MOSAICS框架，其中包括BAS/CS分析和规则，并在实际运行环境中进行验证。我们目前正在完善其中的一些规则。这是我们的下一步工作，然后，基于这些成功经验，我们将推广该框架及其已取得的成果，并将其更广泛地应用到实际应用中。”

然而，这两者并不一定需要一起使用。亚历克斯·比尔表示，“你可以单独使用BAS/CS，而无需使用MOSAICS。BAS/CS的重点在于分析方法，因此，无论你使用什么工具，它都是我们标记和规范化所有不同传感器数据流的核心所在。”

亚历克斯·比尔表示，BAS/CS团队正在与其他约翰·霍普金斯应用物理实验室、政府和行业合作伙伴合作，以扩大应用范围，并且已经与工业控制系统领域的供应商和用户进行了一些良好的讨论。他称，“BAS/CS是一项动态的、不断发展的能力。我们一直在改进分析功能，收集反馈意见，找出标签方面的不足之处，探索新的传感器以及这些传感器如何融入到现有框架中。”

哈雷·帕克斯表示，美国防部内部一些部门正在自行推进MOSAICS和BAS/CS的实施。此外，研究人员表示，美国防部以外的一些机构，包括一些州和地方机构以及国际合作伙伴和盟友，也对此表现出了兴趣。

声明：本文来自奇安网情局，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。