工业控制系统安全态势评估与预测方案

　　针对工业控制系统安全防护缺乏动态防御、态势感知等手段的问题，结合工业控制系统业务固定的特点，提出了安全态势评估与预测框架，基于层次化分析法构建了安全态势度量模型，并对工业控制系统行为轮廓特征构建及提取、基于深度学习的安全攻击检测、基于大数据挖掘的安全事件分析等技术开展研究，进而实现基于信息融合的安全态势评估和基于统计学习理论的安全态势预测方法，并通过实验验证了安全态势评估与预测方法的有效性和准确性.

　　关键词工业控制系统安全态势;层次化分析法;深度学习;多源信息融合;非线性时间序列预测

　　工业控制系统(industrialcontrolsystem，ICS)是由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件构成，是保证工业基础设施自动化运行、过程控制与监控的业务流程管控系统[1].

　　近年来，工业控制系统日益遭受层出不穷的各类新型攻击，给国家、经济、社会带来严重影响，如震网病毒、乌克兰电网攻击事件等[2].传统特征式、补丁式的安全防护措施在工业控制系统中已经得到广泛应用，如工业防火墙、工业入侵检测、工业漏洞扫描等，但这些手段偏重于静态防御，无法抵御针对性强的工业控制系统攻击.

　　1)传统安全防护无法应对高级安全威胁当前网络攻击技术的发展、更新非常迅速，要想及时掌握所有攻击的特征几乎不可能，尤其针对工业控制系统的攻击威胁更加具备针对性和目的性，这决定了基于特征的安全检测无法满足工业控制系统安全形势下的威胁检测需求.且补丁式的安全加固机制也存在天然缺陷，无法有效应对日益复杂、无孔不入的深层次安全威胁.

　　2)工控安全防护碎片化、孤岛化，缺乏大数据协同分析工业控制系统中各类安全防护手段的侧重点各不相同，只能从局部解决某类安全问题，并且缺乏协同共享机制，无法形成一体化联动联防的安全防护体系，存在单点突破的风险.传统安全手段上线运行后，硬件、软件状态均得到固化，无法进行扩展，缺乏面向大数据的协同分析能力，而类似于APT的高级持续性威胁检测需要长周期的安全数据分析，传统安全设备的分析能力显然无法满足.因此，需要大力发展工业控制系统安全态势(以下简称“工控安全态势”)评估与预测技术，对各类安全信息进行深度关联，实时检测针对工业控制系统的攻击和异常行为，实现主动防御.

　　在网络安全态势评估与预测方面，国内学者已经开展了大量研究并取得了丰富的成果，如支持向量机[3]、粗糙集[4]、人工智能[5]、D-S证据理论[6]、大数据[7]、层次化分析法[8]、贝叶斯网络[9]等方法都有大量运用.在工业控制系统安全研究方面，尚文利等人[10]提出面向工业控制系统的可信计算环境构建方法，设计了面向工业控制领域嵌入式设备的安全架构，包括基于总线仲裁机制的可信PLC 主控单元、基于虚拟化沙盒技术的可信PLC运行环境和基于白名单访问控制的可信PLC网络安全单元，实现设备的内建安全能力。

　　陆耿虹等人[11]提出工控安全态势感知模型，采用改进的C-支持向量分类算法对多源数据进行规则提取，最终融合获取态势感知结果;陈瑞滢等人[12]利用攻击图对工业控制网络威胁进行建模，对典型攻击场景建立攻击图，借助攻击图开展安全性分析，预测攻击者最有可能采取的攻击路径，得出工业控制网络的安全需求，为构建工业控制网络安全体系架构提供指导;石乐义等人[13]提出一种改进概率神经网络的工控安全态势评估方法，利用主成分分析法对数据进行降维，使用改进的果蝇优化算法对概率神经网络的参数进行优化，通过优化后的概率神经网络进行训练和预测，得到攻击类型的分类结果，最终结合结构化的工控安全态势评估方法计算态势值，对系统的状态进行评估.

　　通过上述分析，本文结合工业控制系统业务固定、协议单一的特点，首先提出了工控安全态势评估与预测框架，接着基于层次化分析法构建了工控安全态势度量模型，并对工业控制系统行为轮廓特征构建及提取、基于深度学习的工业控制系统安全攻击检测、基于大数据挖掘的工业控制系统安全事件检测等技术开展研究，进而实现基于信息融合的工控安全态势评估和基于统计学习理论的工控安全态势预测，形成了针对工业控制系统的安全态势评估与预测整体解决方案，为工业控制系统安全研究与研发工作提供支持.

　　1工控安全态势评估与预测框架

　　工控安全态势是整体工业控制系统安全状态在时间和空间维度上的持续演变过程.从时间的角度看，工控安全态势是每个节点(工控设备、工控服务等)的安全状态随时间发生改变的过程;从空间的角度看，工控安全态势是在某个时刻下(或在某个时间窗口中)整个工业控制系统范围内攻击焦点和安全风险的分布情况.

　　一般情况下，节点安全状态的改变主要是由发生的安全事件引起，这些安全事件包括受到网络攻击、发现新漏洞、资产价值改变、安全配置失效等.工控安全态势评估首先对每个节点在时间轴上的安全状态进行评估(定量、定性或者两者相结合)，评估过程综合考虑网络攻击、发现新漏洞、资产价值改变、安全配置失效等安全事件的整体影响，对各个态势因素进行量化，给出节点态势的量化计算方法.在此基础上，考虑工业控制系统的拓扑特性、各节点权重的分布，综合评估某个子系统或者整体安全态势.

　　需解决的主要问题如下：

　　1)建立度量工控安全态势的形式化模型.模型应包括元素及元素之间的关系定义.2)针对工控节点的安全态势进行量化计算，其中包括态势因素(攻击、漏洞、资产价值、安全配置等)的量化指标定义及其量化方法和安全态势的量化计算法方法以及函数定义.3)通过节点的安全态势融合得到整体工控安全态势.4)从工控安全数据中检测网络攻击或安全事件，评估其对节点和整体安全态势的影响.5)预测安全事件发生的概率，进而预测节点的安全态势，最终预测整体工控安全态势.

　　工控安全态势分析和预测研究思路描述如下：

　　1)建立度量工控安全态势的形式化模型.模型中除了给出整体的工控安全态势量化值，还包含反映整体工控安全态势的元素以及元素之间的关系，并给出这些元素及其关系随时间变化的规律.

　　2)建立工控安全态势的度量指标.影响安全态势的因素众多，评估模型中不可能包含所有的安全态势因素，只能选取其中的部分主要因素.3)工控安全态势因素量化.评估模型的输入为量化输入，基于安全态势的度量指标，将安全态势因素的定性指标和描述性语言进行量化.4)基于大数据挖掘、深度学习发现安全事件.在度量安全态势的形式化模型给出的约束下，采用针对大数据的聚类发现、关联分析、模式提取以及深度学习等方法发现安全事件.

　　5)节点态势评估.设定时间窗口，综合考虑安全事件、节点资产价值、漏洞、安全配置等信息对节点的安全态势进行评估.给出针对该节点的攻击事件发生概率、类型、强度、危害度等，并计算该节点在当前时间下的安全态势值.6)整体工控安全态势评估.在节点态势的基础上融合得到整体工控安全态势.7)节点态势预测.基于节点态势的历史数据和当前数据，预测下一个时间的安全态势.8)整体工控安全态势预测.在节点态势预测的基础上融合得到整体工控安全态势发展趋势.工控安全态势分析与预测框架.

　　工业控制系统中各安全传感器采集到的数据具有如下特性：数据量巨大、高维度、多源、多层面、信息稀疏、结构化、非结构化和半结构化并存等.在使用这些数据之前必须对数据进行预处理，包括清除数据中的无关属性和噪声;再根据安全事件的关联关系将数据进行融合关联、编群、标准化表示;然后利用深度学习算法、大数据挖掘方法以及设备基检测、网络基检测、安全事件分析等发现工控系统异常行为和攻击事件.基于安全事件，结合节点的资产价值、脆弱性信息以及安全策略信息，在对指标进行量化后，基于多源信息对节点安全态势进行评估和预测，最终融合得到整体工控安全态势评估和预测信息.

　　2工控安全态势评估与预测技术

　　2.1本文基于2种途径发现工控安全事件：

　　1)基于已知攻击知识库的攻击分类，得到攻击特征属性(包括攻击种类、强度、危害度、发生频率、攻击意图、攻击路径等)，此过程是对现有已知攻击的发现;2)建立工控系统要素的正常行为模板，将偏离正常行为模板的事件视为威胁，实现对未知工控攻击的发现.

　　2.2.1工业控制系统行为轮廓特征构建及提取

　　工业控制系统行为轮廓的建立基于对工控攻击过程和特征的深入分析和研究.根据具体的工控攻击类型以及攻击阶段的划分，定义每个阶段的特征属性，这些特征属性构成了某个实体的行为轮廓.依据攻击的时间关系和空间关系(如IP关联、端口关联、进程关联等)将不同阶段的特征进行关联.特征属性值有定性和定量2种取值方式.

　　以针对工业控制系统的典型APT攻击为检测对象，可将攻击分为8个阶段：①探测;②获取访问权限;③内部侦察;④扩展权限;⑤收集信息;⑥抽取信息;⑦控制;⑧消除痕迹.各个阶段采用的攻击方法以及对应的攻击特征.

　　根据这些攻击特征建立工业控制系统行为轮廓.针对网络流量可考虑的特征属性为源IP，目的IP，源端口，目的端口，连接类型，内容类型，行为动作类型，各种统计特性(如包的数量、平均包长、方差)等. 基于挖掘构建的行为轮廓特征(反映正常行为习惯模式)，对实时上报的工控安全数据进行实时匹配，对发现的偏离正常行为或习惯行为轮廓的网络活动形成异常告警.

　　工业控制系统行为分析的关键是对工业控制系统行为进行建模，确定工业控制系统行为与安全数据的对应关系，从而从安全数据中提炼出工业控制系统行为，支撑对行为轮廓特征的挖掘和匹配.

　　2.2.2基于深度学习的工业控制系统安全攻击检测

　　引起工业控制系统节点的安全态势发生改变的主要原因是针对该节点的攻击行为.工控安全态势评估的首要任务是对攻击行为的检测，主要包括针对具体节点的攻击类型识别和攻击路径重构.1)攻击类型识别攻击类型识别是对工业控制系统中正在发生的已知攻击行为的识别，本质是对攻击行为的分类.

　　具体过程是针对某个具体的工业控制系统节点，收集针对该节点有攻击发生和无攻击发生的所有日志信息，利用这些具有标签的日志信息训练学习模型，训练形成的学习模型即可对新的输入信息进行分类识别.传统浅层机器学习方法无法有效解决海量、原始、高速、复杂的工控安全大数据的分类问题，一方面数据特征的高维度使得传统机器学习算法学习不到任何知识，另一方面海量高速的大数据使得传统算法在现有的平台下无法运行.目前，表达能力强的深度模型能够挖掘海量数据中蕴含的丰富信息，通过深度学习网络从原始高维的攻击特征向量中提取低维度的结构性攻击特征向量，作为后续的机器学习算法的输入.

　　本文采用基于深度信念网络(deepbeliefnets，DBN)的机器学习分类算法发现大数据环境下的工控攻击.①数据预处理.对原始工控大数据集的属性进行指标化、归一化处理，得到标准化工控安全数据集.②DBN特征降维.利用DBN对标准化工控安全数据集进行预训练和权值微调，获得最优的低维数据集.③分类器构建.利用多源支持向量机、深度神经网络等构建分类器(二分类)，基于低维数据集进行工控安全威胁发现.本文构建了基于层叠的限制玻尔兹曼机(restrictedBoltzmannmachine，RBM)的DBN模型.学习DBN的过程就是非监督、贪婪地逐层训练RBM的过程.

　　2)攻击路径重构在大多数情况下，一个攻击过程包括多个攻击步骤，涉及工业控制系统中多个设备和多种服务.通过攻击路径重构可以发现所有可能受到威胁的设备或服务，从而对设备的安全态势以及整体的工控安全态势进行评估.攻击路径重构可基于攻击图，逆向回溯找出所有可能的攻击路径.攻击图是从攻击者的角度出发，基于工业控制系统的配置和脆弱性信息，分析工控安全威胁、攻击和脆弱性之间的依赖关系，构建出所有可能的攻击路径.3)攻击信息统计在识别攻击类型以及攻击路径重构的基础上，对该攻击的相关信息进行统计计算，这些信息包括攻击频率、危害度、等级(强度)等.

　　2.2.3基于大数据挖掘的工业控制系统安全事件检测基于分类的攻击检测只能发现已知的工控攻击行为，对于新的安全事件或者未知的攻击行为无能为力.安全事件的发生将引起工业控制系统状态的改变，使得系统的状态偏离正常行为模式.因此，本文的工业控制系统安全事件检测采用基于异常检测的思想，通过建立工控节点或服务的正常行为模式，分析引起行为模式发生改变的事件，如果改变超过给定的阈值则可判定为安全事件.

　　2.3基于信息融合的工控安全态势评估

　　多源数据具有冗余性、互补性和低代价等特点，可以降低系统的不确定性，工控安全态势评估采用多源信息融合思想，能够更准确地生成工业控制系统的安全态势.首先利用针对工控节点的态势因素及其量化特征值，采用基于多源多层次信息融合的方法评估节点的安全态势值，从而进一步融合得到整体工控安全态势值.

　　通过融合工控攻击信息和异常行为信息得到威胁态势，通过融合脆弱性信息和节点安全策略信息得到脆弱性态势，通过工控资产信息得到资产态势，在此三者的基础上进一步融合得到节点的安全态势.子系统由若干个工控节点和服务构成，整体工业控制系统由若干个子系统构成，采用加权求和的方法得到子系统和全局的安全态势值.

　　3验验证

　　本文采用2014年密西西比州立大学构建的电力工控系统攻击数据集[14]，该数据集包含500多万条电力工业控制系统的数据，以120次?s的速率进行采样.该数据集被分为3大类，每类都包含37种电力工控系统的场景，其中自然事件8种、攻击事件28种，还有1种是无任何事件.首先按照本文提出的基于信息融合的工控安全态势评估方法对该数据集进行评估，并与基于粗糙集的实时网络安全态势评估方法进行对比[4]，得出安全态势评估值.

　　经过计算，2种方法之间的误差为8.12%，说明本文提出的基于信息融合的工控安全态势评估方法基本是合理有效的.然后按照本文提出的基于统计学习理论的工控安全态势预测方法进行预测，并与基于D-S证据理论的网络安全态势预测方法[6]进行对比，得出安全态势预测值.经过计算，本文方法与实际安全态势值误差为8.16%，基于D-S证据理论的预测结果与实际安全态势值误差为12.39%.可以看出在安全态势值发生剧烈变化时，2种预测方法在这些剧烈变化点的预测准确度有待提高.总体可以看出本文提出的基于统计学习理论的工控安全态势预测方法相对更加准确.

　　4结语

　　本文提出一种工控安全态势评估与预测框架，对工控安全态势度量模型、行为轮廓特征构建及提取、安全攻击检测、安全事件检测等技术开展研究，实现了基于信息融合的工控安全态势评估和基于统计学习理论的工控安全态势预测，形成了针对工控安全态势评估与预测的整体解决方案，并通过实验验证了本文方法的有效性，为工业控制系统安全研究与研发工作提供支持.下一步，将围绕态势预测中部分特殊时间点预测准确度不佳的问题，利用深度学习等方法的反馈机制，提升预测准确度.

　　参考文献

　　[1]StofferK，FalcoJ，ScarfoneK.Guidetoindustrialcontrolsystems(ICS)security[EB?OL].(2014-06-11)[2021-10-13].

　　[2]锁延锋，王少杰，秦宇，等.工业控制系统的安全技术与应用研究综述[J].计算机科学，2018，45(4)：25-33

　　[3]王瑞，李芯蕊，马双斌.基于PSO-SVR的网络态势预测模型[J].信息安全研究，2018，4(8)：734-738

　　[4]吴朝雄，王晓程，王红艳，等.基于粗糙集的实时网络安全态势评估的研究[J].计算机科学，2015，42(6)：435-437

　　[5]肖喜生，彭凯飞，龙春.基于人工智能的安全态势预测技术研究综述[J].信息安全研究，2020，6(6)：506-513

　　[6]石波，谢小权.基于D-S证据理论的网络安全态势预测方法研究[J].计算机工程与设计，2013，34(3)：821-825

　　[7]管磊，胡光俊，王专.基于大数据的网络安全态势感知技术研究[J].信息网络安全，2016，16(9)：45-50

　　[8]刘磊，王慧强，梁颖.基于模糊层次分析的网络服务级安全态势评价方法[J].计算机应用，2009，29(9)：2327-2331

　　作者：石波