1　案例概述

廣州魯邦通物聯(lián)網(wǎng)科技有限公司是國內領(lǐng)先的工業(yè)網(wǎng)關(guān)、DTU、RTU等工業(yè)互聯(lián)網(wǎng)終端生產(chǎn)商，產(chǎn)品遠銷(xiāo)海內外100多個(gè)國家，擁有龐大的客戶(hù)群體。魯邦通工業(yè)網(wǎng)關(guān)終端采用嵌入式Linux操作系統，提供遠程控制接口。出于市場(chǎng)需求，魯邦通規劃為客戶(hù)提供終端資產(chǎn)管理系統，對終端進(jìn)行統一管理和全方位安全監控，主要基于以下考慮：

（1）終端普遍存在移動(dòng)性，這使得追蹤和管理資產(chǎn)面臨挑戰，資產(chǎn)的邊界越分散，帶來(lái)的安全問(wèn)題就越復雜；

（2）物聯(lián)網(wǎng)時(shí)代，終端遍布全球各地，黑客可以直接對終端發(fā)起攻擊，傳統安全邊界消失，安全防御難度更大；

（3）可被利用的終端數巨大，從而引起的DDOS攻擊，造成了安全攻防的嚴重不對稱(chēng)，形成的危害波及社會(huì )多方面。

經(jīng)過(guò)多方考察，魯邦通最終選擇了青蓮云終端安全管理系統作為其方案。

2　系統介紹

青蓮云物聯(lián)網(wǎng)終端安全管理系統（TinyEye）主要解決海量物聯(lián)網(wǎng)終端資產(chǎn)安全管理與防護問(wèn)題，其提供跨平臺的終端安全管理能力，覆蓋系統基線(xiàn)安全、文件安全、登陸安全、流量安全、行為安全等全方位的終端監控體系，將處于企業(yè)IT系統邊界防護之外的終端統一集中管理，實(shí)現從傳統信息安全時(shí)代的邊界防護到物聯(lián)網(wǎng)終端邊緣防護的安全升級。通過(guò)與安全管理平臺的聯(lián)動(dòng)，可以針對異常攻擊行為進(jìn)行主動(dòng)防御，實(shí)現精確到每臺終端的實(shí)時(shí)安全管控。

青蓮云物聯(lián)網(wǎng)終端安全管理系統包含終端Agent和云安全平臺兩個(gè)部分。終端Agent是部署在設備系統中的輕量級進(jìn)程，適配多種終端嵌入式系統，消耗少量的計算、存儲和網(wǎng)絡(luò )資源。終端Agent在本地采集信息并且進(jìn)行初步安全分析處理，以及對安全策略進(jìn)行及時(shí)響應。云安全平臺是安全處理和響應的大腦，基于數據進(jìn)行深度的安全分析并且生成對應的安全策略。

2.1　系統核心功能及工作方式

（1）異常登錄監控。遠程登錄是常見(jiàn)的設備入侵行為，TinyEye將實(shí)時(shí)監測設備中的遠程登錄行為，通過(guò)系統檢測，區分正常登錄與異常登錄，當異常登錄出現時(shí)及時(shí)報警，并詳細記錄異常登錄行為的IP地址、使用用戶(hù)名、登錄時(shí)間、異常類(lèi)型等詳細信息，幫助用戶(hù)快速發(fā)現問(wèn)題。

（2）流量監控。作為物聯(lián)網(wǎng)終端安全的重要部分，安全終端管理系統采用機器學(xué)習技術(shù)，采用流量捕獲、數據預處理、特征向量提取、機器算法運算、最終形成結論的技術(shù)實(shí)現路線(xiàn)，快速檢測出系統中隱含的TCP、UDP流量攻擊，記錄異常流量的目的地址、目的端口、源地址、源端口等詳細信息，做到可見(jiàn)、可溯。相比基于統計或基于規則的流量監控方式，本項技術(shù)實(shí)施方法在物聯(lián)網(wǎng)流量判斷中效果更佳，錯報率/漏報率降低30%。

響應方面，安全終端管理系統基于深度的分析學(xué)習為每臺終端生成對應的動(dòng)態(tài)安全策略并且實(shí)時(shí)下發(fā)給終端。動(dòng)態(tài)安全策略能夠為安全事件發(fā)生前、發(fā)生中、發(fā)生后三個(gè)不同階段提供相應的策略。

（3）文件監控。通過(guò)對設備系統的關(guān)鍵文件、進(jìn)行監控，實(shí)時(shí)了解文件發(fā)生的操作（增刪改），并根據安全策略做出響應。

（4）資源監控。對設備的關(guān)鍵資源項（CPU、內存、存儲等）進(jìn)行實(shí)時(shí)監控，檢測出異常的資源波動(dòng)并報警。對于CPU和內存異常，云安全中心提供異常時(shí)期每個(gè)進(jìn)程的CPU或內存使用率。

（5）進(jìn)程監控。定期更新設備系統進(jìn)程快照，并根據與基線(xiàn)進(jìn)程比對結果，檢測出異常進(jìn)程?？蓹z測項：新增異常進(jìn)程、進(jìn)程異常關(guān)閉、進(jìn)程權限改變、進(jìn)程用戶(hù)改變等。

（6）行為監控。通過(guò)對系統的登錄行為及Shell操作命令進(jìn)行實(shí)時(shí)記錄和審計，發(fā)現存在的非法行為，可通過(guò)IP阻斷機制阻止非法操作者登陸設備。

（7）防火墻監控。監控設備系統中的防火墻規則信息，并根據與基線(xiàn)防火墻規則比對結果，檢測防火墻規則的異常改變。防止病毒入侵后修改防火墻配置。

2.2　應用創(chuàng )新

（1）智能化的安全體系

以安全策略為核心，通過(guò)多維度統計和分析進(jìn)行安全檢測。使系統從傳統的靜態(tài)防護轉化為動(dòng)態(tài)防護，為終端操作系統的快速響應提供了強大依據。功能模塊實(shí)現安全策略（Policy）、保護（Protection）、檢測（Detection）和響應（Response），較好的體現了PPDR模型的閉環(huán)理念。最終形成智能化的終端安全防御體系。

（2）結合業(yè)務(wù)維度的安全策略配置

終端管理系統支持用戶(hù)根據自身終端的情況及業(yè)務(wù)邏輯的需求，靈活更改安全配置信息，更加準確的判斷異常行為，有效遏制警報疲勞，減少誤報率。

（3）多種物聯(lián)網(wǎng)嵌入式系統支持

終端管理系統支持嵌入式Linux、OpenWRT、Raspbian等多種嵌入式操作系統，實(shí)現不同設備統一管理。

（4）全方位的行為感知

終端管理系統獨特的探針機制時(shí)刻檢測終端自身的運行時(shí)安全，參數包括CPU使用率、進(jìn)程快照、流量信息、文件改動(dòng)、遠程登錄等終端基線(xiàn)安全相關(guān)信息。檢測來(lái)自邊緣側如供應鏈、終端間東西向攻擊等潛在威脅。

（5）終端大數據集中管理，實(shí)現安全統一管理

終端管理系統不僅提供強大的分析能力，還提供了終端大數據的管理能力，可以實(shí)時(shí)查看終端的異?？傆[、運行狀態(tài)、告警統計、終端指紋、行為記錄等，解決終端分散部署的安全管理難題。

（6）基于機器學(xué)習的流量監控技術(shù)

采用機器學(xué)習算法對物聯(lián)網(wǎng)系統中的流量進(jìn)行監控和判定，可快速檢測出系統中TCP、UDP流量攻擊，記錄異常流量的目的地址、目的端口、源地址、源端口等詳細信息，做到流量監控可見(jiàn)、可溯。

3　應用效果

（1）實(shí)現功能

·近十萬(wàn)臺終端統一接入監控與管理；

·實(shí)時(shí)感知單臺終端安全態(tài)勢，包括系統基線(xiàn)、流量監控、行為監控等；

·可視化平臺展示終端安全狀態(tài)，實(shí)時(shí)告警與響應安全異常；

·通過(guò)API接口對接企業(yè)管理平臺，提供終端安全狀態(tài)數據。

（2）防護效果

·發(fā)現和解決重大漏洞多個(gè)，終端危險系數大幅下降；

·發(fā)現異常登錄、流量異常近百起，終端正常運行率提升。

摘自《自動(dòng)化博覽》2019年6月刊