工業控制系統安全態勢評估與預測方案

石 波 于 然, 陳志浩 朱 健

1(北京計算機技術及應用研究所 北京 100854) 2(江蘇航天七零六信息科技有限公司 南京 210012)

工業控制系統(industrial control system, ICS)是由各種自動化控制組件以及對實時數據進行采集、監測的過程控制組件構成，是保證工業基礎設施自動化運行、過程控制與監控的業務流程管控系統[1].近年來，工業控制系統日益遭受層出不窮的各類新型攻擊，給國家、經濟、社會帶來嚴重影響，如震網病毒、烏克蘭電網攻擊事件等[2].傳統特征式、補丁式的安全防護措施在工業控制系統中已經得到廣泛應用，如工業防火墻、工業入侵檢測、工業漏洞掃描等，但這些手段偏重于靜態防御，無法抵御針對性強的工業控制系統攻擊.

1) 傳統安全防護無法應對高級安全威脅

當前網絡攻擊技術的發展、更新非常迅速，要想及時掌握所有攻擊的特征幾乎不可能，尤其針對工業控制系統的攻擊威脅更加具備針對性和目的性，這決定了基于特征的安全檢測無法滿足工業控制系統安全形勢下的威脅檢測需求.且補丁式的安全加固機制也存在天然缺陷，無法有效應對日益復雜、無孔不入的深層次安全威脅.

2) 工控安全防護碎片化、孤島化，缺乏大數據協同分析

工業控制系統中各類安全防護手段的側重點各不相同，只能從局部解決某類安全問題，并且缺乏協同共享機制，無法形成一體化聯動聯防的安全防護體系，存在單點突破的風險.傳統安全手段上線運行后，硬件、軟件狀態均得到固化，無法進行擴展，缺乏面向大數據的協同分析能力，而類似于APT的高級持續性威脅檢測需要長周期的安全數據分析，傳統安全設備的分析能力顯然無法滿足.

因此，需要大力發展工業控制系統安全態勢(以下簡稱“工控安全態勢”)評估與預測技術，對各類安全信息進行深度關聯，實時檢測針對工業控制系統的攻擊和異常行為，實現主動防御.在網絡安全態勢評估與預測方面，國內學者已經開展了大量研究并取得了豐富的成果，如支持向量機[3]、粗糙集[4]、人工智能[5]、D-S證據理論[6]、大數據[7]、層次化分析法[8]、貝葉斯網絡[9]等方法都有大量運用.在工業控制系統安全研究方面，尚文利等人[10]提出面向工業控制系統的可信計算環境構建方法，設計了面向工業控制領域嵌入式設備的安全架構，包括基于總線仲裁機制的可信PLC主控單元、基于虛擬化沙盒技術的可信PLC運行環境和基于白名單訪問控制的可信PLC網絡安全單元，實現設備的內建安全能力；陸耿虹等人[11]提出工控安全態勢感知模型，采用改進的C-支持向量分類算法對多源數據進行規則提取，最終融合獲取態勢感知結果；陳瑞瀅等人[12]利用攻擊圖對工業控制網絡威脅進行建模，對典型攻擊場景建立攻擊圖，借助攻擊圖開展安全性分析，預測攻擊者最有可能采取的攻擊路徑，得出工業控制網絡的安全需求，為構建工業控制網絡安全體系架構提供指導；石樂義等人[13]提出一種改進概率神經網絡的工控安全態勢評估方法，利用主成分分析法對數據進行降維，使用改進的果蠅優化算法對概率神經網絡的參數進行優化，通過優化后的概率神經網絡進行訓練和預測，得到攻擊類型的分類結果，最終結合結構化的工控安全態勢評估方法計算態勢值,對系統的狀態進行評估.

通過上述分析，本文結合工業控制系統業務固定、協議單一的特點，首先提出了工控安全態勢評估與預測框架，接著基于層次化分析法構建了工控安全態勢度量模型，并對工業控制系統行為輪廓特征構建及提取、基于深度學習的工業控制系統安全攻擊檢測、基于大數據挖掘的工業控制系統安全事件檢測等技術開展研究，進而實現基于信息融合的工控安全態勢評估和基于統計學習理論的工控安全態勢預測，形成了針對工業控制系統的安全態勢評估與預測整體解決方案，為工業控制系統安全研究與研發工作提供支持.

1 工控安全態勢評估與預測框架

工控安全態勢是整體工業控制系統安全狀態在時間和空間維度上的持續演變過程.從時間的角度看，工控安全態勢是每個節點(工控設備、工控服務等)的安全狀態隨時間發生改變的過程；從空間的角度看，工控安全態勢是在某個時刻下(或在某個時間窗口中)整個工業控制系統范圍內攻擊焦點和安全風險的分布情況.一般情況下，節點安全狀態的改變主要是由發生的安全事件引起，這些安全事件包括受到網絡攻擊、發現新漏洞、資產價值改變、安全配置失效等.

工控安全態勢評估首先對每個節點在時間軸上的安全狀態進行評估(定量、定性或者兩者相結合)，評估過程綜合考慮網絡攻擊、發現新漏洞、資產價值改變、安全配置失效等安全事件的整體影響，對各個態勢因素進行量化，給出節點態勢的量化計算方法.在此基礎上，考慮工業控制系統的拓撲特性、各節點權重的分布，綜合評估某個子系統或者整體安全態勢.需解決的主要問題如下：

1) 建立度量工控安全態勢的形式化模型.模型應包括元素及元素之間的關系定義.

2) 針對工控節點的安全態勢進行量化計算，其中包括態勢因素(攻擊、漏洞、資產價值、安全配置等)的量化指標定義及其量化方法和安全態勢的量化計算法方法以及函數定義.

3) 通過節點的安全態勢融合得到整體工控安全態勢.

4) 從工控安全數據中檢測網絡攻擊或安全事件，評估其對節點和整體安全態勢的影響.

5) 預測安全事件發生的概率，進而預測節點的安全態勢，最終預測整體工控安全態勢.

基于以上分析，工控安全態勢分析和預測研究思路如圖1所示：

工控安全態勢分析和預測研究思路描述如下：

1) 建立度量工控安全態勢的形式化模型.模型中除了給出整體的工控安全態勢量化值，還包含反映整體工控安全態勢的元素以及元素之間的關系，并給出這些元素及其關系隨時間變化的規律.

2) 建立工控安全態勢的度量指標.影響安全態勢的因素眾多，評估模型中不可能包含所有的安全態勢因素，只能選取其中的部分主要因素.

3) 工控安全態勢因素量化.評估模型的輸入為量化輸入，基于安全態勢的度量指標，將安全態勢因素的定性指標和描述性語言進行量化.

4) 基于大數據挖掘、深度學習發現安全事件.在度量安全態勢的形式化模型給出的約束下，采用針對大數據的聚類發現、關聯分析、模式提取以及深度學習等方法發現安全事件.

5) 節點態勢評估.設定時間窗口，綜合考慮安全事件、節點資產價值、漏洞、安全配置等信息對節點的安全態勢進行評估.給出針對該節點的攻擊事件發生概率、類型、強度、危害度等，并計算該節點在當前時間下的安全態勢值.

6) 整體工控安全態勢評估.在節點態勢的基礎上融合得到整體工控安全態勢.

7) 節點態勢預測.基于節點態勢的歷史數據和當前數據，預測下一個時間的安全態勢.

8) 整體工控安全態勢預測.在節點態勢預測的基礎上融合得到整體工控安全態勢發展趨勢.

工控安全態勢分析與預測框架如圖2所示.

工業控制系統中各安全傳感器采集到的數據具有如下特性：數據量巨大、高維度、多源、多層面、信息稀疏、結構化、非結構化和半結構化并存等.在使用這些數據之前必須對數據進行預處理，包括清除數據中的無關屬性和噪聲；再根據安全事件的關聯關系將數據進行融合關聯、編群、標準化表示；然后利用深度學習算法、大數據挖掘方法以及設備基檢測、網絡基檢測、安全事件分析等發現工控系統異常行為和攻擊事件.基于安全事件，結合節點的資產價值、脆弱性信息以及安全策略信息，在對指標進行量化后，基于多源信息對節點安全態勢進行評估和預測，最終融合得到整體工控安全態勢評估和預測信息.

2 工控安全態勢評估與預測技術

2.1 工控安全態勢度量模型

本文采用具有多種類型的節點和邊組成的圖來表征工控安全態勢，安全態勢圖G是一個六元組，G={v(G),E(G),A(G),S(G),W(G),R(G)}.其中：

1)v(G)={v1,v2,…,vn}，表示圖的頂點集，每個頂點對應一個工控節點/服務類型，如工控路由器、工控終端、工控服務等.

2)E(G)={e1,e2,…,em}，表示圖的有向邊集，由頂點的有序連接以及連接類型組成.連接類型表示工控節點間的關系集合，如工控病毒/木馬路徑傳播關系、工控攻擊依賴關系、工控行為關聯關系、工控漏洞關聯關系、僵尸網絡控制關系等.例如，ei=(vi1,vi2,dw)表示工控節點vi1和vi2之間有蠕蟲傳播關系.

3)A(G)={A(v1),A(v2),…,A(vn)}，表示與節點相關的工控安全事件集，A(vi)與工控節點vi對應，A(vi)={a1,a2,…,ak}，其中aj(1≤j≤k)表示安全事件的屬性向量.

4)S(G)={S(v1),S(v2),…,S(vn)}，表示工控節點的安全信息集，S(vi)與工控節點vi對應，包括節點的資產價值、脆弱性、安全配置等.

5)W(G)={w1,w2,…,wn}，表示工控節點對應的權重集，權重范圍為[0,1]，表示工控節點對整體工控安全態勢的影響程度.

6)R(G)={r1,r2,…,rn}，表示工控節點的安全態勢評估值集，通過評估算法計算得到.

2.2 工控安全威脅發現技術

本文基于2種途徑發現工控安全事件：1)基于已知攻擊知識庫的攻擊分類，得到攻擊特征屬性(包括攻擊種類、強度、危害度、發生頻率、攻擊意圖、攻擊路徑等)，此過程是對現有已知攻擊的發現；2)建立工控系統要素的正常行為模板，將偏離正常行為模板的事件視為威脅，實現對未知工控攻擊的發現.

2.2.1 工業控制系統行為輪廓特征構建及提取

工業控制系統行為輪廓的建立基于對工控攻擊過程和特征的深入分析和研究.根據具體的工控攻擊類型以及攻擊階段的劃分，定義每個階段的特征屬性，如圖3所示，這些特征屬性構成了某個實體的行為輪廓.依據攻擊的時間關系和空間關系(如IP關聯、端口關聯、進程關聯等)將不同階段的特征進行關聯.特征屬性值有定性和定量2種取值方式.

以針對工業控制系統的典型APT攻擊為檢測對象，可將攻擊分為8個階段：①探測；②獲取訪問權限；③內部偵察；④擴展權限；⑤收集信息；⑥抽取信息；⑦控制；⑧消除痕跡.各個階段采用的攻擊方法以及對應的攻擊特征如表1所示.根據這些攻擊特征建立工業控制系統行為輪廓.

表1 APT攻擊階段

針對工控設備，通?？紤]的攻擊特征屬性如表2所示:

表2 攻擊特征屬性

針對網絡流量可考慮的特征屬性為源IP，目的IP，源端口，目的端口，連接類型，內容類型，行為動作類型，各種統計特性(如包的數量、平均包長、方差)等.

基于大數據的工業控制系統行為輪廓特征抽取是從原始數據中得到特征屬性的具體值.

針對第i個目標對象，設xi,j(t)表示對象i在時刻t的第j個屬性.將從采樣時刻t1到tk的時間區間(即[t1,tk])內的原始數據表示成矩陣，如圖4所示，其中×表示當前時刻得不到該屬性值，也就是屬性值獲取具有異步特性.

基于挖掘構建的行為輪廓特征(反映正常行為習慣模式)，對實時上報的工控安全數據進行實時匹配，對發現的偏離正常行為或習慣行為輪廓的網絡活動形成異常告警.

工業控制系統行為分析的關鍵是對工業控制系統行為進行建模，確定工業控制系統行為與安全數據的對應關系，從而從安全數據中提煉出工業控制系統行為，支撐對行為輪廓特征的挖掘和匹配.

2.2.2 基于深度學習的工業控制系統安全攻擊檢測

引起工業控制系統節點的安全態勢發生改變的主要原因是針對該節點的攻擊行為.工控安全態勢評估的首要任務是對攻擊行為的檢測，主要包括針對具體節點的攻擊類型識別和攻擊路徑重構，如圖5所示.

1) 攻擊類型識別

攻擊類型識別是對工業控制系統中正在發生的已知攻擊行為的識別，本質是對攻擊行為的分類.具體過程是針對某個具體的工業控制系統節點，收集針對該節點有攻擊發生和無攻擊發生的所有日志信息，利用這些具有標簽的日志信息訓練學習模型，訓練形成的學習模型即可對新的輸入信息進行分類識別.

傳統淺層機器學習方法無法有效解決海量、原始、高速、復雜的工控安全大數據的分類問題，一方面數據特征的高維度使得傳統機器學習算法學習不到任何知識，另一方面海量高速的大數據使得傳統算法在現有的平臺下無法運行.目前，表達能力強的深度模型能夠挖掘海量數據中蘊含的豐富信息，通過深度學習網絡從原始高維的攻擊特征向量中提取低維度的結構性攻擊特征向量，作為后續的機器學習算法的輸入.如圖6所示：

本文采用基于深度信念網絡(deep belief nets, DBN)的機器學習分類算法發現大數據環境下的工控攻擊.總體框架如圖7所示.

① 數據預處理.對原始工控大數據集的屬性進行指標化、歸一化處理，得到標準化工控安全數據集.

② DBN特征降維.利用DBN對標準化工控安全數據集進行預訓練和權值微調，獲得最優的低維數據集.

③ 分類器構建.利用多源支持向量機、深度神經網絡等構建分類器(二分類)，基于低維數據集進行工控安全威脅發現.

本文構建了基于層疊的限制玻爾茲曼機(restricted Boltzmann machine, RBM)的DBN模型.學習DBN的過程就是非監督、貪婪地逐層訓練RBM的過程.RBM預訓練過程如圖8所示.

2) 攻擊路徑重構

在大多數情況下，一個攻擊過程包括多個攻擊步驟，涉及工業控制系統中多個設備和多種服務.通過攻擊路徑重構可以發現所有可能受到威脅的設備或服務，從而對設備的安全態勢以及整體的工控安全態勢進行評估.攻擊路徑重構可基于攻擊圖，逆向回溯找出所有可能的攻擊路徑.攻擊圖是從攻擊者的角度出發，基于工業控制系統的配置和脆弱性信息，分析工控安全威脅、攻擊和脆弱性之間的依賴關系，構建出所有可能的攻擊路徑.

3) 攻擊信息統計

在識別攻擊類型以及攻擊路徑重構的基礎上，對該攻擊的相關信息進行統計計算，這些信息包括攻擊頻率、危害度、等級(強度)等.

2.2.3 基于大數據挖掘的工業控制系統安全事件檢測

基于分類的攻擊檢測只能發現已知的工控攻擊行為，對于新的安全事件或者未知的攻擊行為無能為力.安全事件的發生將引起工業控制系統狀態的改變，使得系統的狀態偏離正常行為模式.因此，本文的工業控制系統安全事件檢測采用基于異常檢測的思想，通過建立工控節點或服務的正常行為模式，分析引起行為模式發生改變的事件，如果改變超過給定的閾值則可判定為安全事件.

工控節點或服務的正常行為模式通過基于大數據挖掘的方法建立，具體可采用基于關聯規則、頻繁模式、離群點挖掘等方法建立各節點的正常行為模式，如圖9所示.

1) 降維處理

工控安全大數據具有極高的維度，在歐氏空間中，高維特性可造成“維數災難”：一是在高維空間下，幾乎所有的點對之間的距離都幾乎相等；二是幾乎任意的2個向量之間都是近似正交的.這使得傳統的數據挖掘算法如聚類算法、關聯規則挖掘算法等都不能正常應用于工控安全大數據進行知識挖掘分析.

根據原始工控安全數據的不同類型，降維處理使用2種主要途徑：特征選擇和特征抽取.特征選擇從原始特征集合中選出一部分具有代表性的特征子集代替原始特征，這部分特征能夠保留原始數據中的大部分信息；特征抽取通過對原始特征集合進行組合或轉換，將原始特征空間轉換到一個新的特征空間，新的特征空間的維度遠小于原始特征空間的維度，但是保留了大部分原始信息.

整體降維處理實現思路如下：將原來眾多具有一定相關性的特征屬性進行線性重新組合，形成一組新的相互無關的綜合性特征屬性來代替原來的特征屬性.這樣的線性組合很多，選取其中包含原有特征屬性信息最多的組合.設選取的第1個線性組合為F1，定義方差var(F1)來衡量F1包含的原有特征屬性的信息，var(F1)越大，說明F1包含的信息越多，因此可得到方差最大的F1，稱為第1個主成分.如果第1個主成分不足以代表原來的P個特征屬性的信息，再考慮選取F2即第2個線性組合，且F2中不再出現F1已有的信息，即協方差cov(F1,F2)=0，稱F2為第2個主成分.依此，可構造第3、第4直至第p個主成分.

2) 樣本約簡

樣本約簡是一個統計過程，以很高的概率從原始工控安全數據集中選出一部分具有代表性的樣本，該樣本集包含了原始工控安全數據集的主要信息內容.

3) 數據挖掘

采用異常檢測方法對新的安全事件進行檢測，首先通過正常歷史數據的挖掘建立節點或服務的正常行為模式，再基于正常模式對新的安全事件進行檢測.異常檢測基于2個假設：①正常行為記錄數目遠大于攻擊行為記錄數目；②攻擊行為本質上與正常行為不同.

結合基于數據挖掘的異常檢測的具體需求，本文采用2種具體的數據挖掘方法：聚類分析、頻繁模式與關聯規則挖掘.

① 聚類分析

聚類分析用于對工控安全數據之間的關聯關系進行分析.正常行為和異常行為對應的數據具有明顯不同的特征，在行為特征空間中，異常行為與正常行為對應的數據會彼此分離，而相同類別行為對應的數據會趨于聚合，因此可采用離群點挖掘算法發現異常行為.

運用聚類算法從正常工控安全數據樣本集中提取參考樣本(簇中心)后，提前定義離群閾值，通過目標樣本增加的數量評估增加前后簇中心位置的變化情況，計算該目標樣本的離群值，離群值大于閾值的目標樣本識別為異常樣本，即存在異常行為(或攻擊行為).

② 頻繁模式與關聯規則挖掘

通過關聯分析從工控安全數據中找出數據項中頻繁出現的模式，生成關聯規則.針對正常行為數據挖掘生成的頻繁項集和關聯規則可以作為正常行為模式的模板，當新的頻繁項集與此模板偏離，超過一定閾值則可判定為異常行為.目前常用的頻繁模式挖掘算法有Apriori算法和FP-tree算法.

使用改進的Apriori算法實現這一過程，思路如下：如果一個工控事件集合的子集不是頻繁項集，那么該集合也不可能是頻繁項集，基于此，算法通過檢查小集合而去掉大部分不合格的大集合.一條關聯規則的形式為I→j，其中I是一個項集，j是一個項，意義是：如果I中所有項出現在某個網絡事件中，那么j有可能也出現在這個網絡事件中.通過定義規則的可信度來表征上述規則中j出現的可能性：可信度等于所有包含I的網絡事件中同時包含j的網絡事件的比例.

4) 異常行為信息統計

在發現異常行為的基礎上，對異常行為發生的頻率進行統計，進一步確定異常行為的攻擊類型、等級(強度)、危害程度等.

2.3 基于信息融合的工控安全態勢評估

多源數據具有冗余性、互補性和低代價等特點，可以降低系統的不確定性，工控安全態勢評估采用多源信息融合思想，能夠更準確地生成工業控制系統的安全態勢.

首先利用針對工控節點的態勢因素及其量化特征值，采用基于多源多層次信息融合的方法評估節點的安全態勢值，從而進一步融合得到整體工控安全態勢值，如圖10所示.通過融合工控攻擊信息和異常行為信息得到威脅態勢，通過融合脆弱性信息和節點安全策略信息得到脆弱性態勢，通過工控資產信息得到資產態勢，在此三者的基礎上進一步融合得到節點的安全態勢.子系統由若干個工控節點和服務構成，整體工業控制系統由若干個子系統構成，采用加權求和的方法得到子系統和全局的安全態勢值.

在基于多源多層次信息融合的工控節點安全態勢評估過程中，采用D-S證據理論進行信息融合，融合流程如圖11所示.D-S證據理論是安全態勢評估中被廣泛采用的一種算法，但是直接使用存在諸多問題，如線性加權不滿足證據組合規則的結合律、指數加權依賴經驗遞推等問題，使得融合的準確性不高，需要對算法進行改進，如采用基于粒子群D-S證據理論的多源融合.

2.4 基于統計學習理論的工控安全態勢預測

基于對當前工控安全態勢評估和已有的歷史評估數據，對未來一段時間內的工控安全態勢變化趨勢加以預測.首先針對工控節點的態勢進行預測，然后融合得到系統和全局的安全態勢.如圖12所示：

工控安全態勢預測是非線性時間序列預測，即過去、當前以及未來安全態勢值之間存在某種確定關系，這種關系可以用函數表示：

其中，d>0，τ為時間間隔.預測本質上是函數逼近問題，本文采用數理統計模型建立函數，在概率意義下，說明以后某時刻處于某種安全態勢的概率.

1) 可預測性分析

通過研究工控安全態勢值的時間序列的赫斯特(Hurst)指數H進行可預測性分析.赫斯特指數可以體現統計分形的自相似程度，與時間序列軌跡的分維D有D=2-H的線性關系.對赫斯特指數進行測量的方法有多種，包括方差法(variance method)、R/S法(rescaled range method)、小波法(wavelet method)等.

2) 統計學習理論模型的建立

設具有可預測性的工控安全態勢值的時間序列為(x1,x2,x3,…,xn)，目標是預測未來的安全態勢值xn+1,xn+2,….設時間窗口為t，將時間窗口t內的數據(xi,xi+1,xi+2,…,xi+t)作為輸入訓練統計學習分類器，訓練好的學習分類器即可用來對未來的安全態勢值進行預測.

現有的大多數預測方法信息來源單一、缺乏實時性，考慮工控系統環境下的多源異構信息源，可采用適用于時間序列分析的隱馬爾科夫預測模型.首先構建針對工控節點的一系列隱馬爾科夫預測模型，充分利用多源異構信息，從不同角度刻畫不同時刻節點安全態勢的前后依賴關系，預測節點下一時刻的安全態勢.基于節點安全態勢，綜合考慮所有節點的類型、位置、關鍵性、重要性以及其他性質，量化計算下一時刻的全局工控安全態勢.

3 實驗驗證

本文采用2014年密西西比州立大學構建的電力工控系統攻擊數據集[14]，圖13為該電力工業控制系統的組成.該數據集包含500多萬條電力工業控制系統的數據，以120次/s的速率進行采樣.該數據集被分為3大類，每類都包含37種電力工控系統的場景，其中自然事件8種、攻擊事件28種，還有1種是無任何事件.

首先按照本文提出的基于信息融合的工控安全態勢評估方法對該數據集進行評估，并與基于粗糙集的實時網絡安全態勢評估方法進行對比[4]，得出安全態勢評估值，如圖14所示.

經過計算，2種方法之間的誤差為8.12%，說明本文提出的基于信息融合的工控安全態勢評估方法基本是合理有效的.

然后按照本文提出的基于統計學習理論的工控安全態勢預測方法進行預測，并與基于D-S證據理論的網絡安全態勢預測方法[6]進行對比，得出安全態勢預測值，如圖15所示.

經過計算，本文方法與實際安全態勢值誤差為8.16%，基于D-S證據理論的預測結果與實際安全態勢值誤差為12.39%.可以看出在安全態勢值發生劇烈變化時，2種預測方法在這些劇烈變化點的預測準確度有待提高.總體可以看出本文提出的基于統計學習理論的工控安全態勢預測方法相對更加準確.

4 結 語

本文提出一種工控安全態勢評估與預測框架，對工控安全態勢度量模型、行為輪廓特征構建及提取、安全攻擊檢測、安全事件檢測等技術開展研究，實現了基于信息融合的工控安全態勢評估和基于統計學習理論的工控安全態勢預測，形成了針對工控安全態勢評估與預測的整體解決方案，并通過實驗驗證了本文方法的有效性，為工業控制系統安全研究與研發工作提供支持.下一步，將圍繞態勢預測中部分特殊時間點預測準確度不佳的問題，利用深度學習等方法的反饋機制，提升預測準確度.