曾 彬，蘇亮源，文吉剛

(湖南友道信息技術(shù)有限公司，湖南 長沙410080)

0 引言

泛在電力物聯(lián)網(wǎng)將電力用戶、電網(wǎng)企業(yè)、發(fā)電企業(yè)、供應(yīng)商及其設(shè)備，以及人和物連接起來，產(chǎn)生共享數(shù)據(jù)，為用戶、電網(wǎng)、發(fā)電、供應(yīng)商和政府社會服務(wù)[1]。然而，隨著萬物互聯(lián)的應(yīng)用在深度上和廣度上不斷擴(kuò)展，物聯(lián)網(wǎng)安全事件頻發(fā)，物聯(lián)網(wǎng)攻擊導(dǎo)致設(shè)備被控、用戶隱私泄露、云服務(wù)端數(shù)據(jù)被竊取以及影響基礎(chǔ)通信網(wǎng)絡(luò)正常運(yùn)行等嚴(yán)重后果[2]。在物聯(lián)網(wǎng)平臺側(cè)，依托已有成熟的安全防護(hù)標(biāo)準(zhǔn)規(guī)范，具備完善的安全防護(hù)技術(shù)體系和管理制度。但靠近邊緣接入側(cè)，各種物聯(lián)代理裝置、傳感裝置、物聯(lián)終端等具有分布廣、資源受限、數(shù)量眾多、異質(zhì)化嚴(yán)重等特點(diǎn)，成為泛在電力物聯(lián)網(wǎng)安全防護(hù)的薄弱點(diǎn)[3-4]。物聯(lián)環(huán)境存在連接海量、數(shù)據(jù)異構(gòu)復(fù)雜、私有協(xié)議多等諸多挑戰(zhàn)，而且針對物聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全漏洞的新型攻擊手段讓傳統(tǒng)防御手段難以滿足要求?，F(xiàn)有系統(tǒng)和研究缺乏場景化分析，更多停留在資產(chǎn)識別、脆弱性分析等方面，缺乏對流數(shù)據(jù)、元數(shù)據(jù)、包數(shù)據(jù)、事件數(shù)據(jù)等進(jìn)行關(guān)聯(lián)分析和攻擊溯源，如事件調(diào)查、歷史回溯、條件組合等的效果都有待提高，才能滿足物聯(lián)網(wǎng)場景下的融合分析需求[5-7]。近年來，伴隨物聯(lián)網(wǎng)防護(hù)技術(shù)的發(fā)展，物聯(lián)網(wǎng)安全防護(hù)手段將由“被動防御”向“主動防護(hù)”轉(zhuǎn)移，物聯(lián)網(wǎng)空間資產(chǎn)安全監(jiān)測與防護(hù)技術(shù)的應(yīng)用可有效規(guī)避、抵御物聯(lián)網(wǎng)在電力等應(yīng)用領(lǐng)域存在的安全威脅及風(fēng)險[8-9]。

1 系統(tǒng)設(shè)計

本文針對電力物聯(lián)網(wǎng)中的端-邊防護(hù)場景進(jìn)行研究，通過關(guān)鍵技術(shù)研究，實(shí)現(xiàn)對感知層終端安全檢測準(zhǔn)入、對終端安全身份認(rèn)證及訪問控制。平臺整體原理如圖1所示，輕量級邊緣代理部署在物聯(lián)網(wǎng)感知層，與物聯(lián)終端級聯(lián)并處于同一物理實(shí)體內(nèi)。探針設(shè)備通過被動流量鏡像、主動探測掃描、日志搜集等多元化手段實(shí)現(xiàn)數(shù)據(jù)包、指紋數(shù)據(jù)、異常信息等數(shù)據(jù)的集采分析。

圖1 平臺總體原理架構(gòu)

設(shè)備支持虛擬化與模塊化分布式部署，系統(tǒng)硬件的核心組件采用國產(chǎn)解決方案，融合海光正交化平臺架構(gòu)，采用高性能海光處理器和FPGA的集成互聯(lián)方案，自主研制適配國產(chǎn)硬件的安全軟件，適配麒麟、統(tǒng)信操作系統(tǒng)，形成安全可控、高性能的的軟硬件架構(gòu)。

系統(tǒng)數(shù)據(jù)架構(gòu)包括五個層次，從探針獲取的原始數(shù)據(jù)、主動探測數(shù)據(jù)經(jīng)過每一層的數(shù)據(jù)分析，最后得到需要的維度分析數(shù)據(jù)。

(1)前端設(shè)備。數(shù)據(jù)采集層通過設(shè)備主被動協(xié)同，實(shí)現(xiàn)數(shù)據(jù)的集中獲取，提供基礎(chǔ)網(wǎng)絡(luò)通訊的流量數(shù)據(jù)、各類設(shè)備的指紋數(shù)據(jù)、設(shè)備監(jiān)控異常信息等。數(shù)據(jù)知識層主要為網(wǎng)絡(luò)流量、資產(chǎn)信息、網(wǎng)絡(luò)日志、索引等提供存儲載體，作為數(shù)據(jù)知識層，可為后期的數(shù)據(jù)分析提供數(shù)據(jù)源，為數(shù)據(jù)知識層提供指標(biāo)加工與擴(kuò)維。數(shù)據(jù)接口層主要用于應(yīng)用層與知識層之間的數(shù)據(jù)通信與二次調(diào)用分析，同時滿足第三方數(shù)據(jù)分析系統(tǒng)的數(shù)據(jù)輸出，在基于數(shù)據(jù)訓(xùn)練、深度挖掘分析的基礎(chǔ)上實(shí)現(xiàn)數(shù)據(jù)的關(guān)聯(lián)共享、場景分析與多維呈現(xiàn)的可視化效果。

(2)風(fēng)控運(yùn)維中心。數(shù)據(jù)應(yīng)用層主要指部署在中心機(jī)房的風(fēng)控運(yùn)維中心，通過對多分布式的前端設(shè)備進(jìn)行集中統(tǒng)一管理，實(shí)現(xiàn)子模塊的接入管理、任務(wù)調(diào)度、綜合數(shù)據(jù)關(guān)聯(lián)，數(shù)據(jù)深度分析，場景事件發(fā)現(xiàn)分析，風(fēng)險等級評估等功能。同時實(shí)現(xiàn)風(fēng)險、性能、資產(chǎn)、流量等全網(wǎng)數(shù)據(jù)的態(tài)勢感知分析與綜合大屏呈現(xiàn)，以多維度、多視角、可視化方式整體展示物聯(lián)網(wǎng)流量、全網(wǎng)風(fēng)險、屬性狀態(tài)、物聯(lián)網(wǎng)資產(chǎn)等異變情況，系統(tǒng)主要功能組成如圖2所示。

圖2 系統(tǒng)功能組成圖

2 關(guān)鍵技術(shù)

2.1 主被動結(jié)合的異構(gòu)數(shù)據(jù)采集及關(guān)聯(lián)技術(shù)

借助于被動DPI、主動測量/掃描、日志采集等方法，靠近終端接入層，獲得豐富、細(xì)粒度的流量、性能、服務(wù)質(zhì)量以及資產(chǎn)、安全相關(guān)的數(shù)據(jù)，實(shí)現(xiàn)對各物聯(lián)資產(chǎn)設(shè)施，包括硬資源、軟資源、以及應(yīng)用資源等進(jìn)行全面統(tǒng)一監(jiān)控和可視化管理，如圖3所示。同時流記錄存儲采用了多維分級索引技術(shù)，并實(shí)現(xiàn)了目錄與源數(shù)據(jù)分離分級存儲的技術(shù)[10]，以高速檢索引擎為核心，基于流量日志廣泛存在的半結(jié)構(gòu)化特點(diǎn)，分離出結(jié)構(gòu)化的日志數(shù)據(jù)，以此建立二級索引項(xiàng)；同時將日志的非結(jié)構(gòu)化部分?jǐn)?shù)據(jù)以文件形式存儲至分布式文件系統(tǒng)中，并建立一級索引以便后續(xù)快速定位數(shù)據(jù)。同時，基于內(nèi)網(wǎng)資產(chǎn)視角的告警匯聚，圍繞以內(nèi)網(wǎng)資產(chǎn)為核心梳理告警數(shù)據(jù)，將海量多源異構(gòu)告警數(shù)據(jù)匯聚為風(fēng)險事件，降低99%以上的冗余信息，協(xié)助用戶更高效地梳理網(wǎng)絡(luò)風(fēng)險事件，有效解決物聯(lián)網(wǎng)安全防護(hù)中的海量冗余告警問題。

圖3 主被動結(jié)合的異構(gòu)數(shù)據(jù)采集關(guān)聯(lián)框架

2.2 物聯(lián)終端協(xié)議特征提取身份標(biāo)識技術(shù)

物聯(lián)設(shè)備的協(xié)議異質(zhì)性較高，海量異構(gòu)終端的身份標(biāo)識需要具有唯一性、可知性、可識別性[11]。因此需要在設(shè)備類型和協(xié)議不可知的情況下，對目標(biāo)設(shè)備的可信終端身份標(biāo)識進(jìn)行提取，從而可以適用于各種不同的物聯(lián)網(wǎng)設(shè)備類型，無需繁瑣地收集設(shè)備類型或有關(guān)支持規(guī)范的協(xié)議特定知識活動識別任務(wù)。系統(tǒng)通過網(wǎng)絡(luò)元數(shù)據(jù)拆解來標(biāo)注物聯(lián)設(shè)備的類型及屬性，使用不同的功能粒度得到IP地址、端口號和DNS信息不能夠?qū)崿F(xiàn)對物聯(lián)網(wǎng)設(shè)備活動推斷的結(jié)論，又觀察到客戶端/物聯(lián)網(wǎng)設(shè)備和服務(wù)器輪流以請求-回復(fù)通信方式進(jìn)行，并由此可以推斷物聯(lián)網(wǎng)設(shè)備活動。單個請求和回復(fù)的數(shù)據(jù)包長度唯一地標(biāo)識了設(shè)備事件的結(jié)論，也可以借鑒。通過高統(tǒng)計特征與其他特異性特征相結(jié)合的方法，利用當(dāng)下研究結(jié)論顯示最終分類結(jié)果。提取標(biāo)識過程如圖4所示。

圖4 物聯(lián)終端協(xié)議特征提取過程

2.3 基于國產(chǎn)化基礎(chǔ)平臺的數(shù)據(jù)包處理優(yōu)化技術(shù)

電網(wǎng)的特殊環(huán)境要求必須發(fā)展自主化、安全可信的核心基礎(chǔ)軟硬件。近年來CPU/FPGA可重構(gòu)混合體系架構(gòu)取得長足發(fā)展，能夠更方便快捷地提供更高層次的并行運(yùn)算能力，滿足海量物聯(lián)設(shè)備連接的并發(fā)監(jiān)測分析需求。系統(tǒng)采用海光國產(chǎn)硬件平臺，業(yè)務(wù)板塊采用業(yè)內(nèi)獨(dú)有的國產(chǎn)FPGA+國產(chǎn)CPU異構(gòu)處理方案?；诓⑿袇f(xié)同處理的硬件線程執(zhí)行異構(gòu)架構(gòu)，實(shí)現(xiàn)對可重構(gòu)資源的硬件線程加速方式利用。同時，原始數(shù)據(jù)存儲使用并行處理方式，存儲處理單元之間相互隔離，沒有信息交互。軟硬件線程通過共享數(shù)據(jù)存儲方式進(jìn)行多線程并行執(zhí)行，共享數(shù)據(jù)結(jié)構(gòu)，減少資源競爭，提升了線性的加速比。另外，最大化利用CPU和FPGA各自特性，既保障了設(shè)備的高性能，又為后期的靈活擴(kuò)展升級留下了空間。

3 系統(tǒng)組成與實(shí)施

系統(tǒng)采用分布式監(jiān)控、集中式管理的架構(gòu)，核心子系統(tǒng)分為檢測探針、準(zhǔn)入探針和風(fēng)控運(yùn)維中心。“檢測探針”從核心交換機(jī)的鏡像端口獲取原始流量，對網(wǎng)絡(luò)中的“真實(shí)生產(chǎn)數(shù)據(jù)”進(jìn)行分析，從交換機(jī)的鏡像端口獲取原始流量。對復(fù)雜網(wǎng)絡(luò)系統(tǒng)的監(jiān)測需要在網(wǎng)絡(luò)路徑上的多個重要節(jié)點(diǎn)進(jìn)行監(jiān)測分析，因此可能引入TAP，將各節(jié)點(diǎn)的數(shù)據(jù)進(jìn)行合并以后，統(tǒng)一送到檢測探針進(jìn)行分析?！皽?zhǔn)入探針”一般旁入在接入側(cè)交換機(jī)，對網(wǎng)絡(luò)中的非法網(wǎng)絡(luò)行為、非法接入設(shè)備進(jìn)行主動探測與辨識，實(shí)現(xiàn)全方位的風(fēng)險感知與智能管控?！帮L(fēng)控運(yùn)維中心”通常的情況下部署在核心數(shù)據(jù)中心，負(fù)責(zé)系統(tǒng)的全局管理、探針的策略集中管理和態(tài)勢感知。系統(tǒng)的典型部署方式如圖5所示。

圖5 系統(tǒng)典型部署實(shí)施方案

(1)檢測探針

針對信息系統(tǒng)的安全運(yùn)維挑戰(zhàn)，目前使用流量透視、回溯審計、性能監(jiān)控、入侵檢測、資產(chǎn)管理、漏洞掃描6位一體的檢測探針，實(shí)現(xiàn)了網(wǎng)絡(luò)流量分析、網(wǎng)絡(luò)性能分析、風(fēng)險事件分析、歷史數(shù)據(jù)回溯分析四維一體的全網(wǎng)監(jiān)控手段，為信息系統(tǒng)網(wǎng)絡(luò)管理提供全新的解決方案與全方位的數(shù)據(jù)分析。

檢測探針基于信息系統(tǒng)各個區(qū)域中心節(jié)點(diǎn)的采集數(shù)據(jù)，通過流量、性能、風(fēng)險三方面的指標(biāo)數(shù)據(jù)復(fù)合分析、建模分析。解決信息系統(tǒng)網(wǎng)絡(luò)資產(chǎn)梳理及風(fēng)險評估、流量異常問題、物聯(lián)網(wǎng)設(shè)備運(yùn)維問題、攻擊檢測判定、非法外聯(lián)與CC遠(yuǎn)控、溯源分析、行為審計等需求。

(2)準(zhǔn)入探針

準(zhǔn)入探針是解決現(xiàn)存于物聯(lián)網(wǎng)及傳統(tǒng)網(wǎng)絡(luò)中的終端安全問題設(shè)計的專用產(chǎn)品，兼容物聯(lián)網(wǎng)及傳統(tǒng)網(wǎng)絡(luò)應(yīng)用場景，可有效識別針對傳統(tǒng)PC、服務(wù)器、啞終端、智能設(shè)備等多種終端，對識別物聯(lián)網(wǎng)終端進(jìn)行有效準(zhǔn)入控制，解決海量IP設(shè)備的接入認(rèn)證和安全管控問題，幫助用戶構(gòu)建安全可控的物聯(lián)網(wǎng)網(wǎng)絡(luò)。

(3)風(fēng)控運(yùn)維中心

風(fēng)控運(yùn)維中心為集中管理平臺，實(shí)現(xiàn)子系統(tǒng)的接入管理、任務(wù)調(diào)度、綜合數(shù)據(jù)關(guān)聯(lián)、數(shù)據(jù)深度分析、場景事件發(fā)現(xiàn)分析、風(fēng)險等級評估等功能。同時實(shí)現(xiàn)風(fēng)險、性能、資產(chǎn)、流量等全網(wǎng)數(shù)據(jù)的態(tài)勢感知分析與綜合大屏呈現(xiàn)，以可視化方式整體展示物聯(lián)網(wǎng)流量、全網(wǎng)風(fēng)險、準(zhǔn)入管控、資產(chǎn)管理等異變情況，如圖6所示。

圖6 實(shí)際環(huán)境下的物聯(lián)網(wǎng)資產(chǎn)風(fēng)險評估數(shù)據(jù)

4 系統(tǒng)實(shí)現(xiàn)與應(yīng)用

通過多元化采集、大數(shù)據(jù)存儲檢索與AI智能分析，實(shí)現(xiàn)“檢測、響應(yīng)與處置”的一體化物聯(lián)網(wǎng)綜合、智能化安全監(jiān)測防護(hù)解決方案。系統(tǒng)目前已經(jīng)在電力/公安監(jiān)所等行業(yè)實(shí)現(xiàn)了推廣應(yīng)用，在物聯(lián)網(wǎng)環(huán)境下的資產(chǎn)識別準(zhǔn)確度達(dá)到90%以上，應(yīng)用識別規(guī)則數(shù)量超過3 000種，準(zhǔn)確度達(dá)到95%(IPv4/v6)，覆蓋32個大類42 000余種攻擊行為，包含6萬條以上的漏洞規(guī)則等；單臺前置探針管控物聯(lián)網(wǎng)設(shè)備數(shù)量在1 000以上，最大處理流量吞吐量達(dá)到10 Gb/s，并發(fā)連接數(shù)監(jiān)測超過100萬條。

(1)資產(chǎn)集中管理

基于網(wǎng)絡(luò)運(yùn)維資產(chǎn)與物聯(lián)網(wǎng)終端資產(chǎn)的集中發(fā)現(xiàn)管理，對如PC、服務(wù)器、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)中心等資產(chǎn)進(jìn)行有效運(yùn)維管控，同時建立針對于物聯(lián)網(wǎng)資產(chǎn)的識別、管控機(jī)制。對接入客戶視頻監(jiān)控網(wǎng)絡(luò)的物聯(lián)網(wǎng)資產(chǎn)(如網(wǎng)絡(luò)攝像頭、錄像機(jī)、門禁系統(tǒng)、報警系統(tǒng)、對講機(jī)等)進(jìn)行有效識別，并利用系統(tǒng)實(shí)現(xiàn)自動化資產(chǎn)統(tǒng)計、檔案管理(IP、MAC、品牌、型號等)、IP地址管理。

(2)資產(chǎn)畫像分析

物聯(lián)系統(tǒng)資產(chǎn)感知梳理，發(fā)現(xiàn)無主設(shè)備、非法設(shè)備，能夠無損、安全、準(zhǔn)確地識別工控網(wǎng)絡(luò)中的各類物聯(lián)系統(tǒng)、設(shè)備、軟件以及其他運(yùn)行中的IT服務(wù)器、數(shù)據(jù)庫和網(wǎng)絡(luò)設(shè)備。支持漏洞掃描、風(fēng)險評估。組織漏洞快速定位、整改，跟蹤安全資產(chǎn)狀態(tài)，保證資產(chǎn)良性運(yùn)行，保證網(wǎng)絡(luò)風(fēng)險、脆弱性評估的準(zhǔn)確性，保證對攻擊行為的響應(yīng)處置的即時性。

(3)智能準(zhǔn)入控制

通過部署在客戶網(wǎng)絡(luò)節(jié)點(diǎn)的準(zhǔn)入探針，主動對物聯(lián)網(wǎng)資產(chǎn)發(fā)起掃描探測，基于IP、MAC、設(shè)備指紋等多維度進(jìn)行識別，判斷設(shè)備身份。對于私接和仿冒行為，根據(jù)準(zhǔn)入規(guī)則進(jìn)行二層阻斷或三層聯(lián)動交換機(jī)阻斷，合法設(shè)備主動準(zhǔn)入。對于設(shè)備漏洞、設(shè)備弱口令、高危端口、私接仿冒、異常流量進(jìn)行有效管理。

(4)運(yùn)維故障診斷

通過在核心交換機(jī)、互聯(lián)網(wǎng)出口或其他節(jié)點(diǎn)位置設(shè)置鏡像口，在網(wǎng)絡(luò)節(jié)點(diǎn)位置處將流量送入監(jiān)測分析系統(tǒng)，進(jìn)行單節(jié)點(diǎn)或多節(jié)點(diǎn)關(guān)聯(lián)分析，實(shí)現(xiàn)網(wǎng)絡(luò)性能服務(wù)路徑的統(tǒng)一分析，支持網(wǎng)絡(luò)環(huán)路、IP沖突、廣播風(fēng)暴、ARP欺騙等日常網(wǎng)絡(luò)運(yùn)維管理分析。

(5)異常檢測溯源

系統(tǒng)通過交換機(jī)端口鏡像網(wǎng)絡(luò)流量方式實(shí)現(xiàn)對所有在網(wǎng)資產(chǎn)的上下行流量包檢測。全面實(shí)時監(jiān)測網(wǎng)絡(luò)中2～7層協(xié)議/應(yīng)用的字節(jié)/數(shù)據(jù)包流量大小、構(gòu)成、分布和變化情況，利用流量基線、行為基線等分析模型捕捉到流量突發(fā)異常點(diǎn)，并對異常點(diǎn)的流量進(jìn)行深入跟蹤與分析。支持外聯(lián)風(fēng)險分析，展示內(nèi)網(wǎng)主機(jī)外連的總體情況，包括主機(jī)分布、外連地區(qū)排行、外連風(fēng)險類型排行、異常時間外連等，并展示外連風(fēng)險主機(jī)排行。

(6)高級威脅檢測

通過DGA、數(shù)據(jù)標(biāo)記、數(shù)據(jù)訓(xùn)練、機(jī)器學(xué)習(xí)、行為分析模型與多維度復(fù)合數(shù)據(jù)分析等檢測技術(shù)，對網(wǎng)絡(luò)中的木馬、病毒的攻擊行為進(jìn)行實(shí)時檢測分析，支持對勒索病毒、挖礦等新型病毒以及新型的攻擊方式和攻擊工具的識別與預(yù)警，支持對攻擊鏈還原的可視化展示，運(yùn)維人員可以更直觀地看到某一個攻擊行為的攻擊細(xì)節(jié)，也可看到某個風(fēng)險事件在攻擊鏈中所處的位置。

5 結(jié)論

本文依托現(xiàn)有物聯(lián)網(wǎng)資產(chǎn)管理平臺的數(shù)據(jù)優(yōu)勢，建立“物聯(lián)網(wǎng)空間安全防護(hù)平臺”，優(yōu)化物聯(lián)網(wǎng)風(fēng)險運(yùn)維管理流程，實(shí)現(xiàn)了重大風(fēng)險線上線下互相監(jiān)督、聯(lián)動處置，縮短了響應(yīng)時間，提高了響應(yīng)質(zhì)效，真正實(shí)現(xiàn)風(fēng)險的立體防控。同時，對物聯(lián)終端信息進(jìn)行系統(tǒng)性管理，深入數(shù)據(jù)分析，提煉關(guān)鍵指標(biāo)，及時進(jìn)行風(fēng)險管控，支持網(wǎng)絡(luò)訪問邏輯關(guān)系的自動生成，配合安全、性能等模塊實(shí)現(xiàn)非正常連接判斷與深度分析，實(shí)時掌握用戶網(wǎng)絡(luò)性能信息、業(yè)務(wù)訪問信息、安全風(fēng)險信息等，達(dá)到對物聯(lián)網(wǎng)全感知的安全監(jiān)控。