您当前的位置: 首页 >> 保密科技 >> 技术交流

工业互联网资源测绘与安全分析平台体系研究
来源: 国家保密科技测评中心 2022-06-17 14:58:35

【摘   要】 本文通过对网络空间资源测绘技术的深入研究,详细介绍了工业互联网中的若干资源测绘技术,并重点构建了工业互联网资源测绘与安全分析平台体系架构,有效提高了工业互联网整体可控力和安全水平。

【关键词】 工业互联网 网络空间测绘技术 资源测绘

1 引言

工业互联网是新一代网络信息技术与制造业技术深度融合的产物,是工业实现数字化、网络化、智能化发展的重要信息基础设施,为我国实现制造强国、网络强国提供重要战略发展机遇。作为支撑国民经济的重要基础设施,工业互联网是工业各行业、企业的“神经中枢”,一旦遭受攻击,将可能造成全生产链、产业链乃至全局性重创,对国家的经济社会稳定运行和国家安全造成巨大冲击。

安全是工业互联网健康发展的前提和保障,受到党中央、国务院高度重视。《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》中,将安全保障与网络、平台建设并列,成为工业互联网的三大体系之一。全面提升工业互联网安全保障能力,是促进工业互联网创新发展,推动现代经济体系建设,护航制造强国和网络强国战略实施的应有之举。然而,当前我国工业互联网资源存在“底数不清”“安全不明”“防护不够”的突出问题,譬如,无法准确统计中国工业互联网资源数量、分布地域、类型/品牌/型号/版本、工作状态、安全隐患、被控情况,缺乏对工业互联网资源及其安全性的准确把握。开展工业互联网资源测绘和安全分析平台体系研究,重点对工业互联网在网设备系统拓扑实时感知、网络与地理空间多方资源关联映射等功能进行研究,可有效实现跨地区、跨行业、跨领域的工业互联网资源图谱、安全图谱分析,安全风险监测,风险预警,损害评估和安全态势可视化能力等为一体的全方位安全能力管控,有力支撑工业互联网管理部门安全监管工作。

2 工业互联网中相关资源测绘技术

工业互联网资源测绘技术是在网络空间资源测绘技术的基础上,利用工控协议识别互联网上工控系统和设备,并通过对设备IP地址进行地理空间映射,实现工业互联网资源地图绘制的技术。一方面,互联网工业资源测绘本质上是资源探测,它利用扫描技术对指定IP段按一定规则进行探测扫描,对各网络节点反馈的信息进行指纹对比分析,实现对互联网工业资源的身份识别与安全状态识别;另一方面,互联网工业资源测绘也是资源地图绘制,通过对探测到的工业互联网资源的IP进行精确定位,实现互联网工业资源的地理空间映射和工业互联网资源地图的绘制。工业互联网中相关资源测绘技术主要包括网络空间资产探测技术、网络空间资产地理位置定位技术、实体地标获取与评估技术、网络实体定位技术、资源图谱的脆弱性分析技术等。

2.1 网络空间资产探测技术

目前,国内外开展网络空间资源测绘的探测识别技术主要利用主动探测技术来绘制网络空间中的设备画像。主动探测是利用扫描探测工具去主动扫描网络系统获取信息,被动探测方法则是通过尽可能少的网络侵扰,被动监听网络获取信息。从技术实现效果来看,主动探测是国内外对网络资产进行探测的主流技术方式。这是因为主动探测能够针对需要探测的信息构建指令,可收集所有生成设备指纹所需要的信息,而被动式探测只能收集会话通道信息。因此,主动探测技术在探测范围、使用灵活性、结果时效性方面都远超被动识别技术。但主动探测也会带来一些明显的问题。例如,主动探测扫描因为向网络主动发起询问,导致流量显著增加,更易造成网络繁忙,易被检测且容易被检测目标的网络安全设备发现并隔离;再如,在数据采集与监视控制系统中,主动式扫描可能造成系统过载,主动调试会使设备处理的帧数据的数量增长,可编程逻辑控制器和远程终端设备均无法支持超出的流量,从而导致正常请求无法响应。被动式监听网络由于收集信息复杂则存在指纹准确性问题。

2.2 网络空间资产地理位置定位技术

在资源地图的绘制方面,其核心关键在于准确掌握互联网工业资源的地理位置,即资产定位。网络空间资产定位通常采用的技术手段如下:首先,由定位服务器在收到待定位目标的IP地址后,根据定位精度需求和定位算法的需要部署探测源,并向各探测源(探测源是用于给目标发送探测分组的主机,一般自身地理位置已知)发送相应的测量或查询指令;其次,探测源根据收到的定位服务器的指令,执行相应的操作,如测量与目标或地标的时延或拓扑连接关系等,并将测量的结果提交给定位服务器;最后,定位服务器将探测源提交的信息进行处理后,执行定位算法,将定位结果输出并存入地标库。

2.3 实体地标获取与评估技术

地标是实现将网络实体映射到地理位置的基准点。在一个区域内数量较大且分布均匀的地标点,既可为该区域内的目标实体定位提供支撑,也可用于验证定位算法的有效性。现有地标获取方法主要有两类:基于Web挖掘的地标获取方法和基于IP定位数据库的地标获取方法。

基于Web挖掘的地标获取方法主要通过对特定互联网论坛的挖掘来获得大量的城市级可靠地标。同时也有基于地图开展地标探测的方法,主要技术手段是:首先,向地图服务发送指定区域的查询请求,地图服务会将该区域内或附近的公司、学术机构及政府机关等组织机构以列表的形式返回,列表中包含这些组织机构详细的地理位置及其主页域名;其次,由域名解析出其IP地址,从而得到<域名、IP地址、地理地址>映射关系。该方法可以有效地在Web服务发达地区获取街道级地标。

基于IP定位数据库的地标获取方法目前主要是维护和发布将IP地址映射到地理位置的数据库,如MaxMind、IP2Location及Quova等。此外,Whois数据库中也有IP地址块的地理位置信息,即利用Whois查询可得到一个IP地址所在地址块在Whois数据库中记录的位置。

2.4 网络实体定位技术

网络实体定位技术是实现将实体资源映射到地理空间的核心技术。网络实体定位技术主要包括基于数据库查询的定位、基于数据挖掘的定位和基于网络测量的定位。

基于数据库查询的定位方法由于不需要大量测量,且定位速度快、计算开销小而得到广泛应用。当前,互联网上已有多种对外提供查询的IP定位数据库,如Maxmind、IP2location、Quoval、Whois数据库等。这些数据库包含IP地址及其地理位置的映射关系,并对外提供查询接口。用户只需提交要查询的IP地址,通常能够很快获得查询结果。

基于数据挖掘的定位方法是试图从具有组织机构和用户地理位置信息的网站、手机应用等数据来源中,挖掘地理位置与IP地址之间的关系。典型的定位方法主要包括Structon算法、Checkin-Geo算法等。Structon算法首先使用网络爬虫从互联网上抓取机构等的主页信息,从中提取电话区号、联系地址等能够表达地理位置的信息;然后通过查询域名将URL转化为IP,从而将IP地址与地理位置关联起来;最后将IP按照地址段进行迭代推导,扩大可定位的IP地址范围,该方法的准确性依赖于所抽取的主页位置信息与IP地址的映射关系是否准确,易受服务器托管等情况的影响。Checkin-Geo算法首先从某种手机端应用获取“用户ID—地理位置”关系数据;再从对应的PC端应用程序中获取“用户ID—LOG信息—IP地址”关系数据;最后利用机器学习等方法掌握用户活动规律,建立起“IP地址—地理位置”关系以实现目标IP定位。该方法可对用户所处的位置进行较为可靠的分析,将用户定位至家庭、工作场所或特定的区域,但需要从手机服务提供商和网络服务提供商处获得关于目标的大量历史数据,因此难以适用于非协作环境。

基于网络测量的定位方法通过测量探测源与目标节点之间的时延(或在此基础上结合拓扑信息),用不同的方法将时延转换为地理距离,以不同的方式对目标节点产生距离约束,然后估计出目标节点的位置。根据产生距离约束的方式不同,可进一步分为基于时延的定位算法、基于概率估计的定位算法和基于拓扑的定位算法等。

2.5 资源图谱的脆弱性分析技术

在安全和防护领域,脆弱性分析技术是资源图谱中的一个重要研究内容,主要基于资源图谱拓扑结构,挖掘资源图谱中的重要性节点,并采用相应的技术手段对其进行脆弱性评估,其目的在于实现对资源图谱中重要节点的防护或者攻击,评估其网络结构,发现资源图谱的结构脆弱性。

3 工业互联网资源测绘与安全分析平台体系

工业互联网资源测绘与安全分析平台体系架构主要由互联网工业资源测绘技术平台、企业内网工业资源测绘技术平台、工业互联网安全融合分析技术平台和工业互联网资源测绘与安全分析集成技术平台组成,具体如图1所示。

3.1 互联网工业资源测绘技术平台

互联网工业资源测绘技术平台主要针对开放互联网中工业平台和工控联网设备资源进行探测和分析,平台统计在互联网中存在的工业互联网资源数量,准确标定资源类型、厂商、品牌、型号,勘测资源所属业务、所处位置和所属企业,描绘网络连接和拓扑关系,为工业互联网安全分析提供基础数据支撑。

互联网工业资源测绘技术平台主要采用海量资源和信息采集、资源属性识别和推断、虚假设备识别、IP定位、拓扑探测

等相关技术。其中,资源和信息采集技术主要研究针对网络防御设备的对抗性探测技术,包括基于模板的开源Web信息爬取技术、快速存活性检测技术、高效协议标语信息抓取技术、网络拓扑探测技术等对抗性探测和爬取技术;资源属性识别与推断技术包括基于显性信息的自动化产品属性识别技术、基于机器学习的隐性信息产品属性识别技术、多维信息关联的产品属主推断技术等;虚假设备识别包括基于蜜罐架构的虚假设备识别技术、基于深度协议交互的虚假设备识别技术等;IP定位技术包括多源位置信息碰撞选择定位技术、基于拓扑路径与延迟的位置估计技术、基于地标的IP地址融合推断技术等;拓扑探测技术包括多源拓扑融合技术、路由器地址聚合技术、网络路径快速检索技术等。

3.2 企业内网资源测绘技术平台

企业内网资源测绘技术平台主要针对工业企业在内部私有云和私有网络中搭建的工业互联网应用、平台开展企业内部工业互联网资源的探测和分析,标定资源类型、厂商、品牌、型号,甄别企业内部可疑软硬件资产,厘清企业内部网络的拓扑关系,构建不同领域工业企业资源关系图谱,为分析工业企业资源安全风险,提高监管水平提供基础数据支撑。

企业内网资源测绘技术平台与互联网工业资源测绘技术平台存在较大差异,企业内网工业环境对网络实时性要求较高,不能直接采用互联网探测常用的技术。企业内网工业资源测绘技术平台主要集中在基于流量的资源探测方面。内网资源探测技术主要包括流量采集技术、流量自适应的定向主动探测技术、非法资源被动诱捕技术和流量拓扑分析技术、主被动协同的低打扰产品属性识别技术、内网交换机探测技术和二层拓扑分析技术、内网业务图谱构建和生成技术等。企业内网探测同样需要互联网开源信息的支撑,可以直接与互联网工业资源测绘技术共享。

3.3 工业互联网安全融合分析技术平台

工业互联网安全融合分析技术平台主要针对互联网和企业内部网络中的工业互联网资源,开展互联网工业资源的安全性普查和验证,检测资源面临的安全威胁,监测工业企业网络状态变化,实现对网络连通出现问题的工业企业及时报警;对工业企业的安全风险开展量化风险评估和损害估计,在超过危险阈值的情况下进行预警;分析互联网和企业内网工业资源图谱安全,根据用户需求动态生成局部和全局的安全态势,支撑平台安全态势绘制和可视化交互。

工业互联网安全融合分析技术平台主要包括互联网和企业内网内的工业资源安全状态信息采集技术、安全性分析技术和态势生成技术。安全状态信息采集技术包括资源漏洞信息采集技术、特种恶意代码采集技术、网络连通状态采集技术等;安全性分析技术主要包括工业协议安全性测试技术、工业资源漏洞验证技术、企业工业资源安全风险评估和损害估计技术;安全状态态势感知技术包括工业互联网资源图谱安全构建与推理技术、工业互联网资源安全态势生成技术,以及面向工业企业内网的风险监测与预警技术等。安全融合分析技术将以组件的方式集成在分析库中供平台配置和调用。

平台集成测绘与安全数据态势可视化交互、运行维护、对外提供服务等功能。测绘与安全数据态势可视化交互技术主要包括数据驱动的所见即所得的用户交互技术、交互态势感知生成技术、多层地图在线渲染技术和大数据可视化技术等;平台运行维护技术包括分布式资源动态管理技术、统一任务管理技术和平台安全防护技术等;对外提供服务主要包括重要资源测绘、风险监测预警及应急响应、资产损害评估、威胁情报共享和报送四项服务,为工业互联网厂商、用户和监管部门服务。

3.4 工业互联网资源测绘与安全分析集成技术平台

工业互联网资源测绘与安全分析集成技术平台主要针对系统基础设施资源、互联网探测节点/企业探测资源和大数据服务资源的动态管理、探测识别、安全分析、态势生成等动态任务,支持任务创建、配置、运行和释放,记录任务执行历史;支持探测数据、分析数据、态势数据的统一接口的存储、检索和服务;支撑数据驱动的态势生成和所见即所得的可视化交互。

工业互联网资源测绘与安全分析集成技术平台主要开展重要工业资源测绘服务、风险监测预警响应服务、资产损害评估服务和威胁情报共享与报送服务等功能。

4 结语

开展对工业互联网资源测绘和安全分析平台体系研究,搭建工业互联网资源测绘与安全分析平台体系架构,推动形成工业互联网健康发展生态,提高工业互联网整体可控力和安全水平,其重要意义在于以下3点。

一是在大规模工业互联网环境下探测和识别工业互联网设备、系统和平台等重要资源能够有效实现设备系统的多维属性的识别分析,形成设备拓扑关系图。同时,海量数据存储技术能够满足互联网级别的数据的实时存储、实时调用、实时分析等需求。

二是基于分布式服务架构构建企业级工业互联网测绘系统,具备高速采集、安全检测、自动协议检测、网络安全检测功能。

三是有效实现了对工业互联网中安全威胁的分析预警,保证了工业资产的安全性,构建了工业资产在多维尺度上的关联性态势分析。 

 

(原载于《保密科学技术》杂志2021年3月刊)