摘要：隨著(zhù)工業(yè)互聯(lián)網(wǎng)的快速發(fā)展，企業(yè)逐步從數字化向信息化、智能化轉變。在生產(chǎn)效率提高的同時(shí)，也面臨著(zhù)網(wǎng)絡(luò )安全威脅不斷增加的問(wèn)題。工控網(wǎng)絡(luò )的態(tài)勢感知技術(shù)可以全方位實(shí)時(shí)地監控整個(gè)行業(yè)或者地域的工控系統網(wǎng)絡(luò )安全狀態(tài)，而通過(guò)數據采集進(jìn)行高效快速地獲取有用數據是整個(gè)態(tài)勢感知的關(guān)鍵。本文通過(guò)對態(tài)勢感知的數據需求入手研究，結合當下的數據采集技術(shù)，對數據采集模塊進(jìn)行了設計，為工控網(wǎng)絡(luò )態(tài)勢感知的建設提供必要的數據支持。

關(guān)鍵詞：工控安全；態(tài)勢感知；數據采集

Abstract: With the rapid development of the industrial Internet, enterprises have gradually shifted from digitalization to informationization and intelligence. While increasing production efficiency, it is also facing the problem of increasing network security threats. The situational awareness technology of the industrial control network can monitor the network security status of the industrial control system in the whole industry or region in real time, and the efficient and rapid acquisition of useful data through data collection is the key to the whole situational awareness. In this paper, taking the data acquisition products of Bolean Technology Co., Ltd as an example, we start with the situational awareness data requirements, combines the current data acquisition technology, briefly describes the core concept of Bolean data acquisition product design, and provides necessary data support for the construction of industrial control network situational awareness.

Key words: Industrial control safety; Situational awareness; Data collection

1　前言

80%以上的影響國計民生的國家重要基礎設施通過(guò)工業(yè)控制系統來(lái)實(shí)現自動(dòng)化作業(yè)，工業(yè)控制系統是能源、化工、水利、冶金、電力、交通、航空航天等基礎設施的“中樞神經(jīng)” [1]，是工業(yè)互聯(lián)網(wǎng)的重要組成部分。工業(yè)控制系統隨著(zhù)逐步接入互聯(lián)網(wǎng)，除了要應對傳統的安全威脅，也開(kāi)始面臨越來(lái)越多的網(wǎng)絡(luò )攻擊，攻擊者通過(guò)對暴露在互聯(lián)網(wǎng)上的工控系統進(jìn)行針對性的嗅探，在收集足夠的信息后，利用發(fā)現的漏洞或后門(mén)，開(kāi)展對工控系統的攻擊或持續性威脅，而一旦對工控系統的攻擊成功，將會(huì )對國家利益和人民生活造成巨大的損失和影響[2]。

“十三五”規劃伊始，網(wǎng)絡(luò )空間安全就已上升至國家安全戰略，工控網(wǎng)絡(luò )安全作為網(wǎng)絡(luò )安全中薄弱而又非常重要的部分，如何全方位掌握工控系統和網(wǎng)絡(luò )的安全態(tài)勢變?yōu)榧毙杞鉀Q的重要問(wèn)題之一?！吨腥A人民共和國網(wǎng)絡(luò )安全法》于2017年6月施行，其規定關(guān)鍵信息基礎設施和網(wǎng)絡(luò )運營(yíng)者是網(wǎng)絡(luò )安全責任主體，應負責編制和組織實(shí)施本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎設施安全規劃，應建立、健全本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò )安全監測預警和信息通報制度，并保證安全技術(shù)措施的同步規劃、同步建設和同步使用。工業(yè)和信息化部在2017年底編制并印發(fā)了《工業(yè)控制系統信息安全行動(dòng)計劃（2018-2020年）》，行動(dòng)計劃中明確，要在2020年實(shí)現“一網(wǎng)一庫三平臺”的建設計劃。其中的“一網(wǎng)”即為全國工控系統網(wǎng)絡(luò )空間安全在線(xiàn)監測系統，目的就是實(shí)現對全國重要工業(yè)基礎設施的工控系統運行狀態(tài)、網(wǎng)絡(luò )安全、風(fēng)險隱患等能夠實(shí)時(shí)感知、精準預判以及科學(xué)決策。

2　工控網(wǎng)絡(luò )態(tài)勢感知數據采集介紹

工控網(wǎng)絡(luò )態(tài)勢感知能夠對工控系統網(wǎng)絡(luò )空間進(jìn)行持續監控，具備及時(shí)發(fā)現攻擊和異常的能力，通過(guò)態(tài)勢感知的安全預警機制，有效地幫助安全人員不斷完善對風(fēng)險的控制，提升整體安全防護水平[3]。Tim Bass[4]于1999年首次提出通過(guò)大數據異構分布式采集數據，實(shí)現網(wǎng)絡(luò )空間的態(tài)勢感知，并提出網(wǎng)絡(luò )態(tài)勢感知功能模型，如圖1所示。

圖1 網(wǎng)絡(luò )態(tài)勢感知功能模型

網(wǎng)絡(luò )態(tài)勢感知必須要建立在大量的安全相關(guān)數據采集的基礎上，再結合歷史數據、威脅情報、知識庫等給出預判性的告警。其中數據采集作為整個(gè)態(tài)勢感知的前提，其采集的數據足夠全面和準確才能保障網(wǎng)絡(luò )安全態(tài)勢分析、評估與預測的準確性。

工控系統主要由工業(yè)控制器、工控主機、數據服務(wù)器、工業(yè)通信設備、網(wǎng)絡(luò )安全設備、工業(yè)應用軟件、通訊協(xié)議等組件構成。工控系統在設計之初并未將安全問(wèn)題作為重點(diǎn)考慮，因此工控安全威脅往往隱藏在各組件產(chǎn)生的數據之中。工控網(wǎng)絡(luò )態(tài)勢感知是利用大數據技術(shù)對海量的工控網(wǎng)絡(luò )安全數據進(jìn)行自動(dòng)分析關(guān)聯(lián)處理和深度挖掘，對網(wǎng)絡(luò )空間的安全狀態(tài)進(jìn)行分析總結，從而實(shí)時(shí)感知可能的安全威脅。工控網(wǎng)絡(luò )態(tài)勢感知基礎也是對數據的采集，要獲得這些數據，涉及的信息量大、設備種類(lèi)多、網(wǎng)絡(luò )結構復雜，對數據處理的實(shí)時(shí)性、準確性和高效性等有很高的要求。

目前國際上公認的解決工控網(wǎng)絡(luò )安全攻防不對稱(chēng)問(wèn)題的方法之一，就是通過(guò)數據來(lái)驅動(dòng)安全 [5]。對于工業(yè)互聯(lián)網(wǎng)企業(yè)來(lái)說(shuō)，如果黑客的攻擊方法和攻擊目標能被識別，則一方面企業(yè)可以結合全網(wǎng)的安全大數據和自身的安全大數據提前分析，及時(shí)應對。另一方面可以將攻擊信息匯總形成有效的威脅情報，提升整個(gè)行業(yè)的防御能力。

因此，數據是工控系統態(tài)勢感知的關(guān)鍵，而數據采集則是整個(gè)系統的基礎[6]。通過(guò)各種數據采集方法和技術(shù)，如SNMP、WMI、ODBC、NetFlow、Syslog、SSH等，對各類(lèi)軟硬件設備進(jìn)行數據的采集。采集數據后統一進(jìn)行數據標準化、格式化、規范化的操作。輸出處理完成的數據將作為應用層的輸入數據，供后續的工作使用。

3　工控網(wǎng)絡(luò )態(tài)勢感知數據采集的設計

3.1　數據采集的需求分析

態(tài)勢感知能實(shí)現全方位監測工控網(wǎng)絡(luò )空間安全的關(guān)鍵是有全面的數據作為分析的基礎，因此從數據的覆蓋角度考慮，確認采集以下四種數據：

（1）節點(diǎn)數據

在工控系統中包括多個(gè)節點(diǎn)，一些非法入侵往往會(huì )對節點(diǎn)的數據進(jìn)行惡意修改，或者破壞節點(diǎn)功能，或者制造虛假數據影響節點(diǎn)的正常運行，因此節點(diǎn)數據的采集至關(guān)重要。節點(diǎn)上數據的采集主要源自嵌入式系統，因此節點(diǎn)數據的采集實(shí)際上就是嵌入式系統上的數據采集，概括來(lái)講，嵌入式系統是功能特定，資源有限的專(zhuān)用計算機系統，對嵌入式系統上任務(wù)相關(guān)的數據進(jìn)行探測，有助于分析系統的網(wǎng)絡(luò )安全問(wèn)題。

（2）網(wǎng)絡(luò )數據采集

工控系統往往通過(guò)網(wǎng)絡(luò )將各個(gè)節點(diǎn)鏈接起來(lái)，實(shí)現節點(diǎn)之間的互聯(lián)通信，網(wǎng)絡(luò )的引入雖然為系統提供了便利，但也引入了問(wèn)題，網(wǎng)絡(luò )具有其自身的功能和性能，非法入侵同樣能夠對網(wǎng)絡(luò )造成干擾和破壞，例如破壞數據包、增加網(wǎng)絡(luò )負載等，造成節點(diǎn)之間通信速度降低、數據破壞甚至導致網(wǎng)絡(luò )癱瘓，網(wǎng)絡(luò )數據是否正常直接影響到系統的正常運行，因此需要對網(wǎng)絡(luò )的數據進(jìn)行采集。

（3）應用數據采集

工控系統的一大特點(diǎn)就是具有特定的應用，一個(gè)系統是否正常最基本的判斷標準就是能否完成其特定的應用，因此需要對應用數據進(jìn)行探測。從閉環(huán)控制的角度出發(fā)，節點(diǎn)采集的是閉環(huán)控制內部的數據，應用數據則為每個(gè)控制的外部表現的數據。按照閉環(huán)構成，可將應用數據分為傳感器數據、控制器數據和執行器數據，而這些數據都是模擬量，在工業(yè)控制中還存在一些與應用密切相關(guān)的數字量，例如開(kāi)關(guān)、閥門(mén)的開(kāi)合。

（4）日志數據采集

作為工控網(wǎng)絡(luò )態(tài)勢感知的重要數據源之一，日志數據是必不可少的，日志可以記錄網(wǎng)絡(luò )系統、設備、工業(yè)軟件等運行的真實(shí)狀態(tài)。對于系統維護，安全感知至關(guān)重要。數據采集設計時(shí)需要將多種來(lái)源的日志數據進(jìn)行提取，并進(jìn)行匯總和處理，最后形成統一的安全事件格式，為態(tài)勢感知提供重要數據來(lái)源。

3.2　節點(diǎn)數據采集設計

節點(diǎn)數據可分為任務(wù)活動(dòng)數據，節點(diǎn)資源數據和用戶(hù)活動(dòng)監測數據。

（1）任務(wù)活動(dòng)數據采集

任務(wù)的屬性包括：任務(wù)標識號、調度信息、狀態(tài)、進(jìn)程間通信、時(shí)間和計數器、存儲空間、處理器上下文等。每個(gè)任務(wù)在運行時(shí)都需要占用一定的系統資源，數據采集任務(wù)運行時(shí)需要考慮與被監測任務(wù)的關(guān)系，因其本身也會(huì )占用系統資源，因此要保證數據采集任務(wù)占用的資源不可過(guò)大，否則采集的數據可能會(huì )受影響，甚至采集的數據偏差過(guò)大，不具有分析意義。對于任務(wù)活動(dòng)數據的采集，可以通過(guò)任務(wù)之間的通信，或者獲得任務(wù)共享儲存區域的數據，任務(wù)之間的通信包括共享信號量、消息隊列和內存等。

（2）節點(diǎn)資源數據采集

節點(diǎn)資源，如CPU利用率，內存利用率，硬盤(pán)使用情況等也是體現工控網(wǎng)絡(luò )態(tài)勢感知狀態(tài)的重要數據。采集實(shí)時(shí)的數據并將計算結果提供給應用層是一種理想情況，但這種理想一般情況下難以實(shí)現，且由于數據采集任務(wù)本身，也會(huì )消耗一定的系統資源，因此對節點(diǎn)資源數據的采集實(shí)施不能設計的過(guò)于復雜，否則會(huì )對采集的數據有較大的影響。

（3）用戶(hù)活動(dòng)監測數據采集

用戶(hù)活動(dòng)監測數據有兩點(diǎn)需要注意，一是含有操作系統的嵌入式系統才具備可監測的用戶(hù)活動(dòng)，二是用戶(hù)活動(dòng)的數據量通常較大，因此采集數據時(shí)需要注意數據采集任務(wù)執行的時(shí)間，避免影響工控系統的正常運行。同其他節點(diǎn)數據采集設計一樣，需要注意數據采集任務(wù)本身對系統的影響。

3.3　網(wǎng)絡(luò )數據采集設計

網(wǎng)絡(luò )數據可分為協(xié)議數據，報文數據和網(wǎng)絡(luò )性能數據。

（1）協(xié)議數據采集

協(xié)議的數據采集功能要求可以對數據包進(jìn)行深層次的解析，可以從數據包的結構中正確的解析出其數據的意義。換句話(huà)說(shuō)，協(xié)議數據采集的重點(diǎn)內容就是如何從報文中獲得與協(xié)議相關(guān)的信息，因此必須具備對工控協(xié)議的深度解析功能。但需要區分的是，協(xié)議數據采集的重點(diǎn)工作并不是抓取足夠多的數據包，簡(jiǎn)單的抓取數據包通過(guò)被動(dòng)的監測技術(shù)即可實(shí)現，協(xié)議數據采集要實(shí)現的關(guān)鍵技術(shù)是對數據包的處理，即從每一層的數據包中獲取態(tài)勢感知監測系統需要的關(guān)鍵信息。

（2）報文數據采集

工業(yè)互聯(lián)網(wǎng)絡(luò )通常采取主從的網(wǎng)絡(luò )結構，所有的網(wǎng)絡(luò )數據傳輸都會(huì )通過(guò)主節點(diǎn)，因此可以在主節點(diǎn)上進(jìn)行對報文的采集，采集的內容包括幀序號、幀順序、幀類(lèi)型、校驗和、報文調度行為、報文特征值等。因此報文數據在主節點(diǎn)上進(jìn)行采集，這樣設計的原因在于：

·部署簡(jiǎn)單。如果在從節點(diǎn)上進(jìn)行數據的采集，不僅需要部署多個(gè)采集終端，而且每個(gè)采集終端都需要根據從節點(diǎn)的特性（如從節點(diǎn)不同的操作系統或不同的數據接口）進(jìn)行單獨設定，才能實(shí)現對數據的提取和存儲處理等，而主節點(diǎn)統一部署即可進(jìn)行數據采集。

·資源使用最大化。在主節點(diǎn)上進(jìn)行數據抓取，數據抓取率最高，不會(huì )有在從節點(diǎn)上部署漏抓的可能。

·資源利用率高。通過(guò)主節點(diǎn)進(jìn)行數據采集，會(huì )更好的利用系統資源，因為通常主節點(diǎn)的設備可以應對更大的負載，而從節點(diǎn)的處理器性能有限，如在多個(gè)從節點(diǎn)上進(jìn)行數據報文的采集將會(huì )增大從節點(diǎn)處理負擔，影響從節點(diǎn)的正常業(yè)務(wù)功能和性能。

（3）網(wǎng)絡(luò )性能數據采集

通過(guò)探測依賴(lài)矩陣推理可獲知工控網(wǎng)絡(luò )系統的網(wǎng)絡(luò )拓撲結構，明確網(wǎng)絡(luò )結構是測量采集網(wǎng)絡(luò )性能數據的前提。網(wǎng)絡(luò )性能的檢測主要通過(guò)對丟包率的推理獲得，通過(guò)對鏈路上多次進(jìn)行丟包率檢測，最后可以測得一個(gè)丟包率的統計值。

3.4　應用數據采集設計

對于主從結構的工業(yè)控制系統來(lái)說(shuō)，應用數據都是由主節點(diǎn)進(jìn)行處理計算后，再下發(fā)至從節點(diǎn)，主節點(diǎn)主要是數據的接收，從節點(diǎn)主要是數據的讀取和發(fā)送。因此應用數據采集可以在每個(gè)節點(diǎn)上設置程序庫，這些程序庫都具備相同的接口，如數據發(fā)送，讀取和接收，本質(zhì)即為填充報文和解析報文。應用數據采集的關(guān)鍵在于：

（1）應用數據采集時(shí)，對于采集獲取的數據，都需要有時(shí)間標記，記錄數據發(fā)出的時(shí)間；

（2）應用數據采集時(shí)，需要對數據進(jìn)行解析。

主從節點(diǎn)之間應用數據的收發(fā)，可理解為應用程序之間的交互。從節點(diǎn)采集到的應用數據，周期性的向主節點(diǎn)發(fā)送。需注意的是：

主從之間應該具備某種協(xié)議，可自定義，從站上的應用數據通過(guò)網(wǎng)絡(luò )傳輸至主節點(diǎn)，主節點(diǎn)能夠獲知哪些數據是來(lái)自哪一節點(diǎn)的什么類(lèi)型的數據；

接口是提供給應用程序的，需要采集什么樣的數據，應用程序可以控制，但是采集數據仍然需要驅動(dòng)程序支持，一般對于嵌入式系統，需要控制的是I/O上的數據，因此針對不同的系統，如Linux，對這些I/O的處理機制不同，需要根據這些不同編寫(xiě)好驅動(dòng)程序，以提供設計階段接口函數的實(shí)現。

3.5　日志數據采集設計

工業(yè)主機、工業(yè)安全設備、通信設備、工控設備、工業(yè)軟件等在工作過(guò)程中都會(huì )產(chǎn)生大量的真實(shí)操作和安全記錄，因此對于日志的采集匯總分析是工控系統態(tài)勢感知的重要一環(huán)。日志的采集可以通過(guò)專(zhuān)用的日志訪(fǎng)問(wèn)協(xié)議，日志輸出接口，日志采集代理等方式實(shí)現。日志采集的設計要有定時(shí)自動(dòng)采集并完成的功能，且可以自動(dòng)從控制模塊的配置數據中獲得相關(guān)參數，例如采集時(shí)間間隔、日志文件路徑、傳感器編號、數據庫配置等信息。同時(shí)由于攻擊者入侵成功后，通常都會(huì )修改或刪除和自己攻擊相關(guān)的日志，或者偽造一些虛假日志隱藏自己的真實(shí)目的，給網(wǎng)絡(luò )安全的應對和調查增加了障礙，面對日志的這種容易修改破壞的易損性，需要在日志采集數據時(shí)增加完整性檢測功能，可以通過(guò)在日志系統中嵌入完整性檢測的算法實(shí)現。

由于需要采集的相關(guān)設備、軟件、系統較多，如果對全部數據進(jìn)行采集分析則可能造成較大的資源浪費，因此不一定所有采集到的數據都要進(jìn)行數據分析，可提前根據安全規則和行業(yè)特點(diǎn)設置一定的條件，篩選出有價(jià)值數據，丟棄冗余或無(wú)價(jià)值數據。篩選條件宏觀(guān)可以到不同日志類(lèi)型，微觀(guān)可以到具體正則表達式的提取，同時(shí)還可以將篩選后的數據經(jīng)過(guò)規則庫的匹配，合并指定時(shí)間范圍內的重復日志，去掉冗余的事件信息，使得整個(gè)數據采集更有價(jià)值。日志的篩選合并是在采集時(shí)直接解析完成的，先按照規則庫對采集的日志執行過(guò)濾操作，再通過(guò)合并算法按照時(shí)間范圍對日志進(jìn)行合并，最后再將處理后的日志傳給數據分析模塊。

4　結語(yǔ)

通過(guò)對節點(diǎn)、網(wǎng)絡(luò )、應用和日志四方面數據采集的設計，基本實(shí)現了對安全相關(guān)數據的全面采集，滿(mǎn)足了態(tài)勢感知平臺對基礎數據的需求，得以從宏觀(guān)尺度實(shí)現全局監測工業(yè)網(wǎng)絡(luò )安全態(tài)勢，形成一套充分具有戰略縱深的工業(yè)網(wǎng)絡(luò )安全數據應用體系，從而讓安全態(tài)勢“可見(jiàn)、可管、可控”，能夠有效輔助政府和行業(yè)進(jìn)行安全監管，助力企業(yè)提升安全水平，同時(shí)數據采集的應用，為將來(lái)工控系統網(wǎng)絡(luò )安全的大數據，人工智能技術(shù)的應用奠定基礎。

作者簡(jiǎn)介

郭 賓（1989-），男，浙江杭州人，工程師，現任杭州木鏈物聯(lián)網(wǎng)科技有限公司產(chǎn)品總監，主要從事工控安全領(lǐng)域前沿產(chǎn)品探索方面的工作。

雷濛（1990-），男，北京人，工程師，現任杭州木鏈物聯(lián)網(wǎng)科技有限公司首席技術(shù)官，主要從事工控安全方向技術(shù)研究。

王得奕（1988-），男，黑龍江雞西人，工程師，現任杭州木鏈物聯(lián)網(wǎng)科技有限公司產(chǎn)品經(jīng)理，主要從事工控安全產(chǎn)品設計方面的工作。

參考文獻：

[1] 芮明杰. “工業(yè)4.0”：新一代智能化生產(chǎn)方式[J]. 世界科學(xué), 2014, 37 ( 05 ) : 19 － 20.

[2] 彭勇, 江常青, 謝豐, 等. 工業(yè)控制系統信息安全研究進(jìn)展[J]. 清華大學(xué)學(xué)報自然科學(xué)版, 2012, ( 10 ) : 1396 － 1408.

[3] 中國信息與通信研究院. 網(wǎng)絡(luò )安全態(tài)勢感知技術(shù)及應用發(fā)展藍皮書(shū)[R]. 2019.

[4] 席榮榮, 云曉春, 金舒原, 等. 網(wǎng)絡(luò )安全態(tài)勢感知研究綜述[J]. 計算機應用, 2012, 32 ( 1 ) : 1 － 4.

[5] 張桂剛, 畢婭, 李超, 等. 海量物聯(lián)網(wǎng)數據安全處理模型研究[J]. 小型微型計算機系統, 2013, 34 ( 09 ) : 2090 － 2094.

[6] 柴獲, 閆軍, 等. 一種基于事件驅動(dòng)的數據采集軟件模型[J]. 蘭州交通大學(xué)學(xué)報, 2010, 52 ( 06 ) : 102 － 105.

摘自《工業(yè)控制系統信息安全專(zhuān)刊（第六輯）》