今日頭條
官方微信
官方抖音
資訊頻道摘要:工業(yè)互聯(lián)網(wǎng)正保持著活躍地創(chuàng)新發(fā)展態(tài)勢,其強調(diào)以物理網(wǎng)絡(luò)為基礎(chǔ)的萬物互聯(lián)互通,因此在這種新模式下,工業(yè)信息安全將面臨嚴峻的挑戰(zhàn)。本文首先以歷年代表性的工業(yè)安全事件為例,說明了現(xiàn)階段工業(yè)控制系統(tǒng)所面臨的安全問題以及威脅形式,并在此基礎(chǔ)上給出了工業(yè)互聯(lián)網(wǎng)建設(shè)時所應重點考慮的安全脆弱性,然后重點論述了人工智能(AI,Artificial Intelligence)算法在工業(yè)入侵檢測中的應用以及分類,分析了每類方法的優(yōu)勢與不足,并提出了全互聯(lián)互通模式下工業(yè)AI入侵檢測方法的研究重點。
關(guān)鍵詞:互聯(lián)互通;脆弱性;人工智能;工業(yè)入侵檢測
Abstract: Industrial Internet is presenting an active trend of innovation and development,and it celebrates the beautiful interconnection and interoperability of all things based on the physical network. Under this novel pattern, industrial information security is confronted with severe challenges. Based on the representative industrial security incidents in recent years, this paper first illustrates the major security problems and threats in current industrial control systems, and presents key security vulnerabilities when establishing Industrial Internet. After that, this paper discusses the application of various artificial intelligence algorithms in industrial intrusion detection, and analyzes the advantages and disadvantages of these industrial intrusion detection approaches. At last, this paper provides the research emphasis of industrial AI intrusion detection approaches under the interconnection and interoperability pattern.
Key words: Interconnection and interoperability; Vulnerability; Artificial intelligence;Industrial intrusion detection
1 引言
現(xiàn)階段,工業(yè)控制系統(tǒng)已經(jīng)廣泛應用于石油、化工、電力、交通、水利等領(lǐng)域,是關(guān)系到國家社會、經(jīng)濟發(fā)展的重要關(guān)鍵信息基礎(chǔ)設(shè)施。同時,隨著現(xiàn)代通信、計算、網(wǎng)絡(luò)和控制技術(shù)的發(fā)展,各種新興信息技術(shù)運用領(lǐng)域的不斷開拓,工業(yè)化和信息化的融合已經(jīng)進入到一個嶄新的階段,工業(yè)互聯(lián)網(wǎng)勢必成為新一次工業(yè)革命的發(fā)展方向之一。工業(yè)互聯(lián)網(wǎng)強調(diào)以工業(yè)物理設(shè)備為中心,實現(xiàn)了各價值鏈節(jié)點的全互聯(lián)互通,從而高度融合IT技術(shù)與OT技術(shù),支持服務網(wǎng)絡(luò)的動態(tài)配置[1]。目前,工業(yè)互聯(lián)網(wǎng)作為我國智能制造發(fā)展的重要支撐已經(jīng)得到了國家的高度認可與重視,“十三五”規(guī)劃、中國制造2025、“互聯(lián)網(wǎng)+”、“深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展”等重大戰(zhàn)略都明確提出發(fā)展工業(yè)互聯(lián)網(wǎng)。工業(yè)互聯(lián)網(wǎng)的建設(shè)正處在起步階段,全球工業(yè)互聯(lián)網(wǎng)平臺市場正保持著活躍創(chuàng)新發(fā)展態(tài)勢,工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟的《工業(yè)互聯(lián)網(wǎng)平臺白皮書(2019)》 [2]指出:“工業(yè)互聯(lián)網(wǎng)平臺對制造業(yè)數(shù)字化轉(zhuǎn)型的驅(qū)動能力正逐漸顯現(xiàn),無論是大企業(yè)依托平臺開展工業(yè)大數(shù)據(jù)分析以實現(xiàn)更高層次價值挖掘,還是中小企業(yè)應用平臺云化工具以較低成本實現(xiàn)信息化與數(shù)字化普及,抑或是基于平臺的制造資源優(yōu)化配置和產(chǎn)融對接等應用模式創(chuàng)新,都正在推動制造業(yè)向更高發(fā)展水平邁進”。也就是說,工業(yè)互聯(lián)網(wǎng)的出現(xiàn)為傳統(tǒng)的工業(yè)生產(chǎn)制造帶來一場新的變革。
工業(yè)互聯(lián)網(wǎng)的一個重要特點是以物理網(wǎng)絡(luò)為基礎(chǔ)實現(xiàn)萬物互聯(lián)互通,因此在這種新模式下,諸如邊緣計算、大數(shù)據(jù)等新興信息技術(shù)將如雨后春筍般涌現(xiàn)在各種工業(yè)應用中,不僅完全打破了傳統(tǒng)工業(yè)控制系統(tǒng)相對封閉、穩(wěn)定的運行模式,而且也促使了工業(yè)網(wǎng)絡(luò)環(huán)境變得更加開放多變,勢必為工業(yè)信息安全帶來嚴峻的挑戰(zhàn)。在一種全新的網(wǎng)絡(luò)平臺建立之初,就將信息安全問題考慮在內(nèi),已經(jīng)得到了工業(yè)界和學術(shù)界的廣泛認可。就現(xiàn)階段工業(yè)控制系統(tǒng)而言,各種網(wǎng)絡(luò)攻擊與入侵事件屢見不鮮,根據(jù)美國國土安全部下屬的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應急響應小組(Industrial ControlSystems Cyber Emergency ResponseTeam,ICS-CERT)的年度安全研究報告顯示,近幾年針對工業(yè)控制系統(tǒng)的安全事件呈階梯狀增長態(tài)勢[3]。特別是,隨著攻擊手段的更加高明、攻擊方式的更加先進,傳統(tǒng)傻瓜式的網(wǎng)絡(luò)攻擊已經(jīng)逐漸演變成具有“潛伏性”和“持續(xù)性”的高級可持續(xù)性威脅(AdvancedPersistent Threat, APT)。出現(xiàn)上述信息安全問題的一個重要原因就是工業(yè)控制系統(tǒng)在本質(zhì)上存在著潛在安全漏洞和隱患,而且互聯(lián)網(wǎng)的IT安全技術(shù)難以適配工業(yè)控制系統(tǒng)的特殊性。為此,業(yè)界已經(jīng)開始展開針對現(xiàn)階段工業(yè)控制系統(tǒng)的信息安全技術(shù)研究,并取得了不錯的成果,主要涉及到脆弱性挖掘、入侵檢測與攻擊防護三個主要的突破口。其中,作為一種旁路監(jiān)聽方法,入侵檢測能夠在不干擾工業(yè)控制系統(tǒng)實時性和可用性的前提下,能夠?qū)W(wǎng)絡(luò)中出現(xiàn)的入侵行為以及非授權(quán)行為進行識別、檢測與響應,已經(jīng)得到了業(yè)界的一致認可[4,5]。
在全互聯(lián)互通的模式引導下,工業(yè)網(wǎng)絡(luò)體系會以服務為導向進行動態(tài)適配,同時也會增加更多的攻擊入口和攻擊途徑,為此入侵檢測也需要引入一些新的技術(shù)特征與防護模式。結(jié)合現(xiàn)階段工業(yè)控制系統(tǒng)行為有限和狀態(tài)有限的通信特點,一種探索性的研究思路為:通過人工智能方法,自學習工業(yè)網(wǎng)絡(luò)通信的規(guī)律性和行為特征,并描述為規(guī)則或模型形式,同時設(shè)計優(yōu)化的入侵檢測引擎,從而實現(xiàn)高精度的工業(yè)入侵檢測[6]。簡單地說,人工智能就是研究利用計算機來模擬人的思維過程和智能行為,其基本思想就是通過研究人類智能活動的規(guī)律,利用智能算法使得機器能夠?qū)崿F(xiàn)原來只有人類才能完成的任務。而在信息安全領(lǐng)域,攻擊與防御往往代表了敵手與保衛(wèi)者的博弈過程,由于網(wǎng)絡(luò)攻擊是不斷演變的,簡單的、不變的防御機制與策略已經(jīng)不再適用,而人工智能憑借其強大的學習與運算能力脫穎而出。可以說,信息安全已經(jīng)邁入人工智能時代,特別是在入侵檢測的應用中,人工智能提供了一條全新的思路,不僅能夠檢測已知攻擊,而且能夠在無需預先了解攻擊特征形式的情況下,有效地檢測未知攻擊。尤其是在工業(yè)環(huán)境中,針對工業(yè)控制系統(tǒng)的攻擊行為具有隱蔽性和不可預測性等特點,特征規(guī)則的更新要遠遠滯后于常用攻擊手段的變異和新型攻擊方式的產(chǎn)生,工業(yè)AI的入侵檢測具有更好地適用性和可行性。
2 全互聯(lián)互通模式下的工業(yè)安全威脅
在工業(yè)控制系統(tǒng)建立之初,業(yè)界的研究人員僅僅關(guān)注在誤操作、錯誤配置等功能安全,但在2010年“震網(wǎng)”攻擊發(fā)生后,來自信息安全的威脅受到了越來越多的關(guān)注。而在工業(yè)互聯(lián)網(wǎng)全互聯(lián)互通的模式下,信息安全問題將越發(fā)嚴重,具有時間持續(xù)性、手段綜合性和目標特定性等特點的高級可持續(xù)性威脅將對電力、金融、石化、核設(shè)施等關(guān)鍵信息基礎(chǔ)設(shè)施實施“硬摧毀”。近十年工控領(lǐng)域重要信息安全事件及簡單描述如圖1所示。從這些安全事件我們可以發(fā)現(xiàn),高級可持續(xù)性威脅已經(jīng)成為工業(yè)控制系統(tǒng)中最常見、最致命的攻擊模式,其具有明確的攻擊目標,綜合采用多種攻擊手段對目標實施多階段攻擊,既有漏洞利用、惡意代碼等傳統(tǒng)入侵手段,也包括社會工程、內(nèi)部攻擊等線下手段。之所以高級可持續(xù)性威脅頻繁在工業(yè)控制系統(tǒng)中發(fā)生,主要歸因于如下兩方面:(1)隨著應用環(huán)境不同,每種工業(yè)控制系統(tǒng)都具有各自的特殊性,如不同的通信協(xié)議、系統(tǒng)環(huán)境、實時性要求、網(wǎng)絡(luò)拓撲等,這就要求攻擊者進行持續(xù)性地潛伏與偵查;(2)工業(yè)控制系統(tǒng)中存在著通用基礎(chǔ)平臺和工控專用設(shè)備,其脆弱性表現(xiàn)不同,這種多目標性往往需要實施多階段的攻擊方式,同時采用多種攻擊手段協(xié)同攻擊。
工控安全已經(jīng)成為“網(wǎng)絡(luò)安全、設(shè)備安全、控制安全、應用安全、數(shù)據(jù)安全”的綜合體,根據(jù)攻擊目的以及攻擊手段的不同,現(xiàn)階段工業(yè)控制系統(tǒng)的一般攻擊可以分為以下幾類:資源耗盡型、信息竊取型以及控制破壞型,如表1所示。這里,本文并沒有將高級可持續(xù)性威脅歸為任何一類,因為高級可持續(xù)性威脅不僅僅簡單利用0day漏洞、常見攻擊技術(shù)等,往往還利用人的因素,系統(tǒng)性地、有針對性地、隱蔽性地發(fā)動具有多途徑、持久且有效的破壞性攻擊,震網(wǎng)Stuxnet就是高級可持續(xù)性威脅的一個典型實例。簡單來說,高級可持續(xù)性威脅的生命周期包含以下幾個階段:社會工程與外部偵查、確定攻擊目標、入侵攻擊、資產(chǎn)與信息搜索、內(nèi)網(wǎng)擴散、關(guān)鍵數(shù)據(jù)竊取與非法控制以及蹤跡銷毀與隱藏六個階段[7],而每一個階段都伴隨著多種攻擊方式的使用。
在工業(yè)互聯(lián)網(wǎng)的建設(shè)之初,應該重點考慮兩方面的脆弱性:一是繼承的傳統(tǒng)工業(yè)控制系統(tǒng)安全隱患,如操作系統(tǒng)、數(shù)據(jù)庫等基礎(chǔ)平臺的脆弱性、現(xiàn)場控制設(shè)備自身脆弱性、工控通信協(xié)議的脆弱性等等[8,9],這主要是因為工業(yè)互聯(lián)網(wǎng)并不是完全顛覆了現(xiàn)有工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu),而是基于現(xiàn)有的工控系統(tǒng)架構(gòu),結(jié)合新興的信息技術(shù),通過互聯(lián)互通互操作的方式提高生產(chǎn)、運營效率。二是新興信息技術(shù)可能給工業(yè)互聯(lián)網(wǎng)帶來新的安全威脅,如云平臺與虛擬化漏洞可能是工業(yè)云計算應用的絆腳石[10]、邊緣計算也可能被惡意使用等,這主要是因為新興信息技術(shù)應用必然會引起工業(yè)軟、硬件以及系統(tǒng)的更新,一方面這種更新可能會與原系統(tǒng)產(chǎn)生安全兼容性問題,另一方面更新后的軟、硬件及系統(tǒng)自身會存在安全漏洞。因此在建設(shè)工業(yè)互聯(lián)網(wǎng)時,不僅要挖掘各種工業(yè)互聯(lián)網(wǎng)平臺的安全隱患與風險,同時還要展開相應信息安全防御技術(shù)的研究。
圖1 近10年工控領(lǐng)域重要信息安全事件
表1 現(xiàn)階段工業(yè)控制系統(tǒng)的一般攻擊分類
3 基于AI的工業(yè)入侵檢測方法
如圖2所示,工業(yè)控制系統(tǒng)的入侵檢測包括誤用檢測和異常檢測兩個方面[11,12],其中誤用檢測理論通過與已知的攻擊行為間的匹配程度實現(xiàn)入侵檢測,對于已知的攻擊,該方法能夠詳細、準確地報告出攻擊類型,但對于未知攻擊的檢測效果有限,并且需要特征規(guī)則庫不斷更新;而異常檢測理論通過與正常行為間的匹配程度實現(xiàn)入侵檢測,該方法無需對每種攻擊行為進行預定義,故能有效地檢測未知攻擊。
圖2 入侵檢測的分類
在誤用檢測方面,人工智能方法主要應用在特征匹配的高效模式匹配算法中,例如基于規(guī)則的專家系統(tǒng)、分類樹的規(guī)則分析機等,如前所述,由于工業(yè)控制系統(tǒng)的特殊性,特征規(guī)則的更新要遠遠滯后于常用攻擊手段的變異和新型攻擊方式的產(chǎn)生,因此針對工業(yè)誤用檢測的相關(guān)研究較少。而在異常檢測方面,人工智能方法主要應用集中在特征提取算法與異常檢測引擎的設(shè)計上,例如聚類算法、核主成分分析等在特征提取算法中應用,以及機器學習、深度學習等在異常檢測引擎中應用。具體地,根據(jù)惡意攻擊行為的攻擊目標、途徑以及模式等特點,工業(yè)AI異常檢測方法主要涵蓋基于模型的檢測法、基于知識的檢測法和基于機器學習的檢測法,其中,基于模型的檢測法根據(jù)工業(yè)控制系統(tǒng)參數(shù)建立數(shù)學模型,通過預測與實際檢測進行偏差比較,分析出異常攻擊的影響,例如基于智能隱馬爾可夫模型的分類器實現(xiàn)異常判別,這類方法需要對預測輸出與實際檢測進行偏差比較,然而這種偏差的檢測度難以衡量,同時模型的訓練也需要大量的先驗數(shù)據(jù)作為支撐;基于知識的檢測法也可以稱作基于狀態(tài)的檢測法,其主要通過跟蹤系統(tǒng)的狀態(tài)變化來判別異常行為,例如采用有限狀態(tài)機建立控制系統(tǒng)的狀態(tài)模型實現(xiàn)異常判別,這類方法優(yōu)點在于能夠強關(guān)聯(lián)系統(tǒng)通信的行為特征或狀態(tài),缺點是所有系統(tǒng)知識需要變化成規(guī)則或者狀態(tài)形式,易使知識庫過大,造成遍歷事件過長,檢測效率降低;基于機器學習的檢測法往往采用機器學習或者深度學習算法作為異常檢測引擎,例如通過貝葉斯網(wǎng)絡(luò)、人工神經(jīng)網(wǎng)絡(luò)、模糊邏輯、遺傳算法、支持向量機等算法作為判決器進行異常判別,這類方法雖然能夠在一定程度上檢測工控系統(tǒng)的異常行為,但誤報率仍然較高,并且在工業(yè)通信行為的特征分類、選擇與優(yōu)化等方面尚存在不足,需要進一步加強研究。總體來說,上述每類方法都有其自身的優(yōu)勢和不足,尤其是在工業(yè)互聯(lián)網(wǎng)全互聯(lián)互通的模式下,更要注重兩方面的深入研究,其一是需要進一步加強特征的抽象以及關(guān)聯(lián)性研究,使得特征樣本能夠有效、完整地描述工業(yè)控制特性,其二是需要進一步設(shè)計高檢測精度與檢測效率的異常檢測引擎。
4 結(jié)束語
本文首先給出了近10年來具有代表性的工業(yè)信息安全事件,根據(jù)這些安全事件,分析了現(xiàn)階段工業(yè)控制系統(tǒng)所面臨的安全問題以及相關(guān)安全威脅的形式,并在此基礎(chǔ)上,給出了工業(yè)互聯(lián)網(wǎng)建設(shè)初期所應重點考慮的信息安全脆弱性,包括繼承的傳統(tǒng)工業(yè)控制系統(tǒng)安全隱患和新興信息技術(shù)可能帶來的新的安全威脅。然后說明了人工智能算法在工業(yè)入侵檢測中主要的應用形式,特別是在異常檢測方面,人工智能算法常用在特征提取算法與異常檢測引擎的設(shè)計上。此外,根據(jù)惡意攻擊行為的攻擊目標、途徑以及模式等特點,本文對工業(yè)AI異常檢測方法進行了分類,并說明了每類方法的優(yōu)勢與不足。最后,本文還提出了全互聯(lián)互通模式下工業(yè)AI入侵檢測方法的重點研究方向。
★基金項目:遼寧省自然科學基金資助計劃項目(2019-MS-149);國家自然科學基金項目(51704138,61501447)。
作者簡介
萬 明(1984-),男,內(nèi)蒙古通遼人,副研究員,工學博士,畢業(yè)于北京交通大學下一代互聯(lián)網(wǎng)互聯(lián)設(shè)備國家工程實驗室,曾就職于中國科學院沈陽自動化研究所,現(xiàn)就職于遼寧大學信息學院,目前為中國工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟ICSISIA首批智庫專家、遼寧省工業(yè)信息安全專家組首批專家、沈陽市拔尖人才。主要研究方向為工業(yè)互聯(lián)網(wǎng)信息安全、智能計算與機器學習、未來網(wǎng)絡(luò)架構(gòu)與安全。
參考文獻:
[1] 劉譜, 張曉玲, 代學武, 李健, 丁進良, 柴天佑. 工業(yè)互聯(lián)網(wǎng)體系架構(gòu)研究綜述及展望[Z]. 第28屆中國過程控制會議(CPCC 2017), 中國重慶, 2017.
[2] 工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟. 工業(yè)互聯(lián)網(wǎng)平臺白皮書[EB/OL]. http://www.aii-alliance.org/index.php?m=content&c=index&a=show&catid=23&id=673, 2019.
[3]NCCIC/ICS-CERT.NCCIC/ICS-CERT year in review (2016)[EB/OL]. https://ics-cert.us-cert.gov/Year-Review-2016, 2017.
[4] 楊安, 孫利民, 王小山, 石志強. 工業(yè)控制系統(tǒng)入侵檢測技術(shù)綜述[J]. 計算機研究與發(fā)展, 2016, 53 ( 9 ): 2039 - 2054.
[5] 賴英旭, 劉增輝, 蔡曉田, 楊凱翔. 工業(yè)控制系統(tǒng)入侵檢測研究綜述[J]. 通信學報, 2017, 38 ( 2 ): 143 - 156.
[6] M. Wan, W. Shang, and P. Zeng. Double behavior characteristics for one-class classification anomaly detection in networked control systems[J]. IEEE Transactions on Information Forensics and Security, 2017, 12 ( 12 ): 3011 - 3023.
[7] I. Ghafir, and V. Prenosil. Advanced persistent threat attack detection: an overview[J]. International Journal of Advancements in Computer Networks and Its Security, 2014, 4 ( 4 ): 50 - 54.
[8] K. Stouffer, J. Falco, and K. Scarfone. Guide to industrial control systems (ics) security[EB/OL]. http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST. SP.800-82.pdf, 2015.
[9] 陶耀東, 李寧, 曾廣圣. 工業(yè)控制系統(tǒng)安全綜述[J]. 計算機工程與應用, 2016, 52 ( 13 ): 8 - 18.
[10] 工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟.中國工業(yè)互聯(lián)網(wǎng)安全態(tài)勢報告[EB/OL], http://www.aii-alliance.org/index.php?m=content&c=index&a=show&catid=23&id=726, 2018.
[11] S. M. Papa. A behavioral intrusion detection system for SCADA systems[D]. USA: Southern Methodist University, 2013.
[12] B. Zhu, S. Sastry. SCADA-specific intrusion detection/prevention systems: a survey and taxonomy[Z]. Proceedings of the First Workshop on Secure Control Systems (SCS'10), 2010.
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第六輯)》
北京市公安局海淀分局備案號:11010802023656號