工業互聯網中抗APT竊密的主動式零信任模型

馮景瑜,李嘉倫,張寶軍,韓 剛,張文波

(1.西安郵電大學 無線網絡安全技術國家工程實驗室,陜西 西安 710121;2.國網甘肅省電力有限公司隴南供電公司指揮中心,甘肅 隴南 746000)

1 引 言

工業互聯網作為新一代信息技術與工業系統全方位深度融合的產業和應用生態,是“中國制造2025”戰略的重要組成部分,也是制造業未來的發展趨勢[1]。與傳統互聯網相比,工業互聯網的特征更加復雜,涉及設備種類繁多,網點更加密集,協議相對脆弱,這就導致了其安全風險也就更多[2]。與此同時,工業互聯網環境下的關鍵基礎設施產生和維護著大量具有所有權特征的敏感數據,如身份隱私信息、控制指令以及工業生產數據等,這些敏感數據一旦泄露會給企業帶來不可估量的經濟損失。特別地,隨著高級持續性威脅(Advanced Persistent Threat,APT)攻擊手段的日趨成熟,攻擊者可以在工業互聯網內部以失陷終端為跳板竊取敏感數據。這種內部威脅的存在,不但嚴重影響工業互聯網的運行,還給工業互聯網敏感數據保護帶來嚴峻挑戰。

APT攻擊以刺探、收集和監控情報為目的,具有極強的組織性、隱蔽性和威脅性[3]。然而,現有APT攻擊檢測方案[4-6]側重于入侵階段和潛伏階段的異常發現,對于內部失陷終端識別存在一定的被動性和滯后性,導致頻繁出現APT竊密成功事件。遵循“永不信任,始終驗證”的理念,零信任要求對網絡中所有終端、設備、系統和人員等主體都進行認證和授權。目前,零信任已成為對抗內部失陷威脅的新范式[7],受到了國家層面、產業界和學術界的廣泛關注,是破解敏感數據保護與APT竊密難題的新思路。

筆者深入分析由外及內的APT攻擊行為特征,發現了抗擊APT竊密威脅的關鍵在于快速識別失陷終端,主動阻斷失陷終端的橫移機會和數據訪問請求。由此,提出一種面向工業互聯網的主動式零信任安全模型,主要創新之處如下:

(1) 針對零信任客戶端(Zero Trust Client,ZTC)分布式實時收集的終端行為數據粗糙、混亂、無序等問題,利用長短期記憶神經網絡(Long Short-Term Memory,LSTM)構建特征提取器,從終端輸入動作序列中訓練得到抽象序列特征,進而提取出規則化信任因素。

(2) 為避免規則化信任因素更新導致的冗余區塊問題,實現防篡改和低負載的信任因素安全存儲,改進比特幣的區塊結構,結合區塊鏈的時序特征設計前向按序冗余區塊消除算法,演化出可伸縮的零信任引擎區塊鏈(Zero Trust Engine blockchain,ZTE_chain)。

(3) 為及時反映失陷終端的異常行為,主動阻斷失陷終端潛在的APT竊密威脅,引入卷積神經網絡(Convolutional Neural Network,CNN)對輸入的規則化信任因素進行建模分析,預測突變因子,設計出一種動態信任評估方案。

2 相關工作

在意識到APT攻擊造成的敏感信息泄露危害性時,國內外學者已經開展了一些APT攻擊檢測方面的研究。

現有針對工業互聯網環境下的APT攻擊檢測方法研究,大多基于異常流量和惡意代碼來識別APT攻擊,研究人員從大量網絡流量中進行數據挖掘,構建APT特征庫,采用特征匹配的方法進行檢測。例如,文獻[4]提出了一種檢測未知APT攻擊的隱藏命令與控制(Command and Control,C&C)通道方案,該方案通過深度學習技術從已知的多種攻擊流中挖掘共享流量特征,通過合適的分類器來檢測C&C流量,以此識別未知惡意網絡流量。文獻[5]提出了一種基于網絡流量分析、結合深度學習模型的APT攻擊檢測方法,該方法通過構建單個深度學習網絡并將其鏈接到組合深度學習網絡中,以分析和檢測網絡流量中的APT攻擊跡象。文獻[6]提出了一種基于自動編碼器的深度學習APT攻擊檢測方法,該方法應用自動編碼器神經網絡對網絡流量數據進行無監督的信息特征學習,通過Softmax回歸算法對APT攻擊進行檢測和分類。

然而,上述方案主要針對APT攻擊的入侵階段和潛伏階段進行異常檢測,較少考慮對APT攻擊竊密階段的主動發現。大量的APT竊密事件表明,網絡內部的失陷是不可避免的,APT攻擊由外及內操控失陷終端實施的敏感數據竊取行為具有較好的成功幾率。因此,急需內部防范APT竊密威脅的新思路。

APT攻擊使得以往基于邊界信任的傳統網絡安全模型難以防范失陷終端造成的敏感數據泄露,貫徹去邊界化的零信任理念逐漸進入國內外學者視野,成為對抗APT竊密攻擊的新思路。目前,美國國家標準技術研究院(NIST)發布的《Zero Trust Network Architecture》(《零信任網絡加構》)[8],被認為是零信任安全架構的標準,該零信任安全架構如圖1所示。

圖1 NIST提出的零信任安全架構[8]

通過前期的調研和分析,進一步明確和揭示了零信任安全架構中各組件之間的內在聯系和運行機制,主要體現在:① 終端發出的交互或訪問請求,會被零信任客戶端生成一個認證需求上報給策略執行點(Policy Enforcement Point,PEP);② PEP首先攔截該請求,轉發認證需求給策略引擎(Policy Engine,PE);③ PE調用信任因素,計算信任值,對請求終端進行認證,并將認證結果分發給策略管理器(Policy Administrator,PA)和PEP;④ 對于認證通過的終端,PA生成授權憑據交給PEP;⑤ 驗證授權結果有效后,PEP釋放請求攔截,通過訪問控制策略確保敏感數據的機密性獲取。

文獻[9]基于5G的智能醫療平臺提出了一種利用零信任架構構建可信的動態訪問控制模型,實現實時網絡安全態勢感知、持續身份認證、訪問行為分析和細粒度訪問控制。文獻[10]提出了一種以持續身份認證和動態訪問控制為核心的電力物聯網零信任典型業務場景的應用方案,設計了基于零信任的電力互聯網安全防護架構。文獻[11]提出了一種基于零信任模型的醫療健康數據漏洞防御系統,經過身份驗證的用戶和設備才能與網絡交互,確保數據傳輸的安全性。

綜合國內外研究現狀,零信任對終端行為的監控是持續進行的,零信任客戶端能夠根據終端的行為實時收集信任因素。如何從混亂無序的行為模式中提取規則化的信任因素,并滿足信任因素分布式和防篡改的存儲需求,是實現零信任的首個關鍵問題。此外,APT攻擊者控制失陷終端進行竊密活動時,網絡訪問中的正常行為會轉變為異常行為。如何進行持續性的動態信任評估,做到信任值計算能適應預警主體行為的突然變化是必須攻克的核心問題。

對此,面向工業互聯網環境,筆者提出了一種抗APT竊密的主動式零信任模型。相較于已有工作,文中模型通過分布式部署零信任客戶端實時收集終端信任因素,緩解中心化收集易出現的單點故障及數據泄露等安全風險,設計更加契合零信任理念的動態信任評估算法。表1對比展示了文中模型相對于最新相關研究工作的優勢。

表1 與相關研究工作的對比

3 系統架構

新一代信息技術與工業系統的全方位深度融合,促使工業互聯網劃分為了工業信息技術(Information Technology,IT)區和工業操作運營技術(Operation Techonogly,OT)區。暴露于外網的工業IT區終端,極易成為APT攻擊者的目標,進行入侵控制或竊取身份,并在繞過邊界網絡安全防御系統后,以失陷終端為跳板橫移進工業OT區終端或高權限終端,實施內部的APT竊密威脅。

對此,筆者提出了一種工業互聯網中抗APT竊密的主動式零信任模型,并建立在端、管、云系統架構以進行設計實現。如圖2所示,該架構包括終端層、管控層和云層。

圖2 主動式零信任模型的系統架構

(1) 終端層:工業互聯網終端(Industrial Internet Terminal,IIT)主要分布于工業IT區和工業OT區。其中,工業IT區包括企業資源計劃系統(Enterprise Resource Planning,ERP)、軟件配置管理系統(Software Configuration Management,SCM)、客戶關系管理系統(Customer Relationship Management,CRM)、產品生命周期管理系統(Product Lifecycle Management,PLM);工業OT區包括可編程邏輯控制器(Programmable Logic Controller,PLC)、監視控制與數據采集系統(Supervisory Control And Data Acquisition,SCADA)、分布式控制系統(Distributed Control System,DCS)、現場總線控制系統(Fieldbus Control System,FCS)、人機接口(Human Machine Interface,HMI)等。零信任假設失陷是不可避免的,為主動發現失陷終端潛在的APT竊密威脅,需要在工業互聯網中的每個聯網終端上裝載零信任客戶端(ZTC),用于分布式實時收集IIT行為數據,傳輸給管控層的零信任引擎(ZTE)。

(2) 管控層:由執行PE、PA和PEP等零信任組件功能的ZTE所構成。主要負責提取規則化的信任因素,進行持續性動態信任評估來主動檢測失陷終端,通過快速失陷識別認證快速阻斷失陷終端從工業IT區到工業OT區的橫移,并為云層的數據訪問和資源服務提供認證依據。鑒于工業互聯網的終端種類和終端數量,大量又頻繁的始終認證,極易過載由單臺ZTE服務器構成的零信任組件,應為PE、PA和PEP等零信任組件部署備用ZTE服務器。此外,充分利用閑置狀態的備用ZTE服務器,形成存儲引擎集合Ψ={SE1,…,SEi,…,SEm},共同維護零信任引擎區塊鏈(ZTE_chain),實現對信任因素的安全存儲。

(3) 云層:經過管控層的快速失陷識別認證后,工業數據中心(Industrial Data Center,IDC)僅需驗證和發放授權憑證,并依據請求類型提供相應的數據訪問和資源服務,在主動防范失陷終端APT竊密威脅的前提下,有助于提高云層的認證效率。

4 主動式零信任模型設計

深入分析當前工業互聯網場景下的敏感數據保護需求,為主動發現失陷終端和及時阻斷其APT竊密威脅,構建出一種主動式零信任模型,如圖3所示。主動式零信任模型的設計組成包括規則化信任因素提取、伸縮式區塊鏈共享存儲以及動態信任評估。

圖3 主動式零信任模型結構圖

4.1 規則化信任因素提取

位于每個工業互聯網終端上的零信任客戶端,分布式實時監測終端的聯網行為情況,并采集數據發送給PEP零信任組件。定義工業互聯網終端集合為Ω={IIT1,…,IITi,…,IITn},以終端IITi為例,ZTCi表示安裝在其上的零信任客戶端。

然而,ZTCi實時監控收集的IITi行為數據存在著粗糙、混亂、無序等問題,無法直接應用于異常行為的發現和信任評估。PEP需要對行為數據進行規則化提取,獲取刻畫正?；虍惓Ｐ袨榈男湃我蛩?存儲到區塊鏈,并由PE調用進行動態信任評估。引入了長短期記憶神經網絡(LSTM),利用其在處理時序性數據時的優勢,構建一個特征提取器,從IITi行為數據中訓練得到抽象序列特征,進而提取出規則化信任因素。

LSTM是一種改進的循環神經網絡模型(Recurrent Neural Network,RNN),相較于RNN可以更有效地提取上下文信息[12]。LSTM結構如圖4所示,輸入門i控制記憶單元加入多少新信息,遺忘門f控制記憶單元刪除多少舊信息,輸出門o控制記憶單元輸出多少信息傳遞到下一層,記憶單元C存儲先前信息。集合xi表示經過預處理后的IITi行為數據,經過LSTM層的訓練,得到新的隱藏狀態hi。使用全連接層對隱藏狀態進行維度轉換和分類,得到規則化信任因素Φ= {NTFi,ATFi},其中NTFi表示IITi中提取到的正常信任因素集合,ATFi表示提取到的異常信任因素集合。

圖4 LSTM結構圖

LSTM計算過程如下所示:

ft=σ(Wfxt+Ufht-1+bf) ,

(1)

it=σ(Wixt+Uiht-1+bi) ,

(2)

ot=σ(Woxt+Uoht-1+bo) ,

(3)

Ct=ft*Ct-1+it*tanh(Wcxt+Ucht-1+bc) ,

(4)

ht=ot*tanh(Ct) ,

(5)

其中,式(1)、式(2)和式(3)分別代表遺忘門、輸入門和輸出門在t時刻的計算過程,控制著LSTM隱藏狀態的更新;σ(·)是logistic函數,輸出區間為(0,1);式(4)結合遺忘門ft和輸入門it來更新記憶單元Ct;式(5)結合輸出門ot計算t時刻的輸出隱藏狀態ht,其維度為Rh;Wf、Wi、Wo、Wc的維度為RH×d,d為LSTM的隱藏層單元數,H和h為隱藏層和輸入層維度。

4.2 伸縮式區塊鏈共享存儲

區塊鏈是一種具有去中心化、不可篡改、可溯源、多方維護等特點的分布式數據庫[13],有利于實現信任因素的安全存儲。

鑒于聯盟區塊鏈[14]的預選共識礦工特點,能夠有效消除公有區塊鏈的共識延遲,文中利用備用ZTE服務器形成的存儲引擎集合Ψ={SE1,…,SEi,…,SEm}充當區塊鏈礦工節點,實現了ZTE_chain上的共享存儲信任因素。

圖5 規則化信任因素的區塊存儲結構

由于ZTCi的實時監測,不斷收集IITi的行為數據,從IITi提取到大量規則化信任因素,新生成區塊中存儲的信任因素將會覆蓋舊區塊中的原有數據,造成海量不必要的冗余區塊持續生成。對于每個工業互聯網終端,冗余區塊的持續生成,不僅會加重存儲負載,過長的區塊鏈也會造成查詢效率過低。

算法1：前向按序冗余區塊消除。

輸入:Ω,Θ,Θi,ei,ZTE_chain

輸出:ZTE_chain

① for IITi∈Ωthen

③ ifei≥1 then

④ 前向按序消除IITi的冗余區塊

⑥ei=ei-1

⑦ end if

⑧ end if

⑨ end for

4.3 動態信任評估

零信任默認所有主體都是不可信的,匯聚關聯各種數據源進行持續信任評估,實現先認證后連接的安全模式[16]。設計動態信任評估方案,關鍵在于如何使信任值計算能預警主體的非法行為變化。因此,為及時反映失陷終端的行為變化,研究卷積神經網絡對輸入的終端行為進行建模分析,預測突變因子,利用突變因子動態調節信任值,實現對工業互聯網終端的動態信任評估。

當某個工業互聯網終端發出敏感數據訪問請求時,將會觸發卷積神經網絡對突變因子的持續性預測,確保失陷終端的快速識別。在ZTE_chain上,調取該終端的規則化信任因素,利用滑動窗口將其劃分為同規格特征矩陣Y={Y1,Y2,Y3,…,Yn},并將其作為卷積神經網絡的輸入層,即Y=H0。Hi表示第i層的特征矩陣,其在卷積層的計算過程表示為

Hi=f(Hi-1?Wi+bi) ,

(6)

匯聚層跟隨在卷積層之后,對特征向量進行降維,且保持特征的尺度不變。Hi在匯聚層的計算過程表示為

Hi=fsub(Hi-1) ,

(7)

式(6)中,Wi表示第i層卷積核的權值向量;運算符“?”表示卷積核與第i-1層特征矩陣進行卷積操作,卷積的輸出與第i層的偏移向量bi相加,通過非線性激勵函數f(x)得到第i層的特征矩陣。式(7)中,fsub(·)可取最大值函數或取均值函數。

依靠全連接層整合具有類別區分性的局部信息,對輸出層進行維度轉換,得到歸一化預測結果ri(0≤ri≤1),用于二元分類突變因子Mi。若ri≥0.5,Mi=1,則表示終端行為發生異常突變;若ri<0.5,Mi=0,則表示終端行為未發生突變。

通過算法2實現對突變因子Mi的持續性預測,并利用其調節基本信任值計算,實現對IITi的動態信任評估。

算法2：預測突變因子。

輸入:ZTE_chain

輸出:Mi

① 從ZTE_chain上提取NTFi,ATFi

② 利用滑動窗口劃分NTFi,ATFi得到Y

③ forYi∈Ythen

④ 根據式(6)進行卷積層計算

⑤ 根據式(7)進行匯聚層計算

⑥ ifri≥0.5 then

⑦Mi=1

⑧ else then

⑨Mi=0

⑩ end if

采用Beta分布計算工業互聯網終端的基本信任值。Beta分布能較好地與信任分布擬合,其數學期望作為節點信任值可行,是最經典、最廣泛使用的信任評估模型之一[17]。Beta概率密度函數如下所示[18]：

(8)

其中,p表示工業互聯網終端行為發生的可能性,p∈[0,1],α>0,β>0。

在工業互聯網中,根據LSTM提取到的規則化信任因素來計算基本信任值。以IITi為例,ni為NTFi集合中的正常行為總次數,ai為ATFi集合中的異常行為總次數。對于IITi的正常信任因素量化,結合Beta分布的概率期望值賦予α=ni+1;對于IITi的異常信任因素量化,賦予β=ai+1。因此,IITi的基本信任值計算如下:

Bi=Beta(ni+1,ai+1) 。

(9)

Beta分布的概率期望值為

(10)

進一步計算基本信任值Bi如下:

(11)

然而,據此計算得到的基本信任值Bi具有靜態信任評估性質,無法快速識別工業互聯網終端的異常行為變化。信任作為一種主觀狀態,可隨用戶交互經驗、時間等因素的動態變化而發生變化,利用靜態信任進行計算會使推薦結果漸漸偏離現實狀態[19]。當APT攻擊者控制失陷終端著手竊密活動時,網絡訪問中的正常行為會轉變為異常行為。由于基本信任值Bi無法快速衰減至門限值δ以下,這種反應滯后性會給APT攻擊者的竊密行為創造有利條件,便于竊取工業互聯網中的敏感數據。

為及時反映失陷終端的行為變化,引入時間衰減因子和卷積神經網絡計算的突變因子Mi自動調節基本信任值Bi的更新,以實現對工業互聯網終端的動態信任評估。

信任值基于歷史交互記錄計算且隨時間的增加而衰減,計算信任值需要考慮信任的時效性[20]。在工業互聯網中,IITi時間衰減因子Ti計算如下:

(12)

其中,t表示當前信任評估時刻,tk表示最近一次靜態信任評估時刻。

當Mi=0,即終端行為未發生異常突變時,靜態信任值在時間衰減因子的作用下得到動態信任值;當Mi=1,即終端行為發生異常突變時,快速響應并計算出動態信任值Di,使得Di瞬間低于信任門限值δ,計算方法如下:

(13)

在此基礎上,PE調用存儲在ZTE_chain上的信任因素集合Φ,通過算法3實現對工業互聯網終端IITi的快速失陷識別認證,得到認證結果zi。

當zi=0時,認證IITi失陷,若IITi發出工業OT網絡終端交互的請求,PEP則給予拒絕,以防失陷終端橫移到工業OT網絡中直接竊取敏感數據;若IITi發出云層的數據訪問和資源服務,PEP同樣給予拒絕。當zi=1時,認證IITi可信,PEP放行IITi與工業OT網絡終端的交互請求或將代表認證可信結果zi提交給云層的IDC。

算法3：快速失陷識別認證。

輸入:ZTE_chain,Φ,Ti

輸出:zi

① ifMi=1 then

②zi=0 認證IITi失陷

③ else

④ 從ZTE_chain調出IITi的信任因素集合Φ

⑤ 根據式(11)計算基本信任值Bi

⑥ ifBi<δthen

⑦zi=0 認證IITi失陷

⑧ else

⑨ 根據式(13)計算動態信任值Di

⑩ ifDi<δthen

5 實驗分析

主動預防APT竊密威脅的效果,主要取決于方案的異常行為檢測能力和失陷終端識別能力。對此,文中從異常行為數據分析和失陷終端識別兩方面設計仿真實驗,驗證主動式零信任模型的性能。

5.1 異常行為數據分析實驗

采用r4.2版本的卡內基梅隆大學的CMU-CERT數據集[21]進行異常行為數據分析。該數據集從真實企業環境中采集正常數據,通過人工模擬企業內部攻擊生成異常數據,是目前研究內部威脅檢測的權威數據集。其中,CERTr 4.2數據集由多個文件組成,包含1 000名用戶502天產生的行為記錄,實驗所用數據集文件內容表述如表2所示。

表2 CERTr 4.2數據集文件內容表述

由于CERT數據集的多源性,無法直接使用,需先對數據進行預處理。對表2中的每個數據集文件進行數據清洗,去除缺失值、異常值和重復值,轉化時間戳和做歸一化處理。在此基礎上進行特征提取,包括登錄時間、在線時間等時間相關特征;用戶名、計算機名等用戶信息特征,進程名、進程路徑等進程信息特征,以及源地址、目的地址、傳輸協議等網絡信息特征。將提取到的特征信息以用戶為單位進行整合,按時間順序排列,區分正常行為數據和異常行為數據,并分別存儲在不同目錄下。選取前150天的用戶行為特征作為訓練集數據,隨機選取后352天的用戶行為特征作為測試集數據。實驗整體流程如圖6所示。

圖6 實驗整體流程圖

對比LSTM模型與循環神經網絡RNN在規則化信任因素提取上的效果,實驗模型訓練過程如圖7所示。訓練開始時兩種模型損失值較高,LSTM模型經過80輪訓練后損失值降低且趨于穩定,而RNN模型損失值雖然降低,但并未完全趨于穩定,因此LSTM模型效果更優,較適合于規則化信任因素提取。

圖7 實驗模型訓練過程圖

選取精確率、召回率和F1分數作為模型評價指標。精確率(Precision,P)表示所有預測結果為正常的行為數據中預測正確的比例;召回率(Recall,R)表示實際為正常的行為數據中預測正確的比例;F1分數表示精確率與召回率的加權處理,可以看作精確率和召回率的一種調和平均。評價指標的計算公式如下:

(14)

(15)

(16)

其中,真陽性(True Positive,TP)表示被檢測為正常行為的正常行為數量,假陽性(False Positive,FP)表示被檢測為正常行為的異常行為數量,假陰性(False Negative,FN)表示被檢測為異常行為的正常行為數量。

分別計算RNN和LSTM兩種分類器的精確率、召回率與F1分數,最終結果匯總如表3所示?？梢钥闯?在規則化信任因素提取過程中LSTM分類器的各項指標明顯高于RNN。

表3 分類器評估分析結果 %

在二分類任務時,選擇接受者操作特征曲線(Receiver Operating Characteristic curve,ROC)和AUC(Area Under Curve)值來反映分類模型性能[22]。其中,ROC曲線表示在不同閾值下二分類模型的識別性能,AUC值則為ROC曲線下方的面積。通過AUC值可直觀展現模型性能,AUC值越大,性能就越好。ROC曲線對比如圖8所示,測試結果顯示LSTM模型在準確率和AUC分數上取得了較好效果,AUC值達到0.91,其性能遠高于RNN模型。證明LSTM模型對正常行為數據和異常行為數據具有較強的監測能力,能夠有效提取工業互聯網環境下終端產生的信任因素。

圖8 ROC對比

5.2 失陷終端識別仿真實驗

為檢測主動式零信任模型的失陷終端識別效果,進一步利用Python 3.7搭建實驗平臺,仿真模擬突變因子M=1,即失陷終端行為發生異常突變時,文中模型嵌入動態信任評估后在終端信任值、APT竊密威脅次數和失陷終端檢測率方面的性能表現。該實驗參數設置如表4所示。

表4 實驗參數表

鑒于信任值可用于快速識別實施竊密行為的工業互聯網終端,通過60輪實驗仿真觀察3種不同情況下信任值的變化情況,如圖9所示。在前30輪中工業互聯網終端信任值逐步趨于1,在第30輪添加失陷終端,信任值發生變化。

圖9 終端信任值變化情況

對于靜態信任評估而言,無法及時反映失陷終端的行為變化,信任值具有滯后性,認證成功的終端始終處于可信狀態。當突變因子M=0,即失陷終端行為未發生異常突變時,信任值會依據時間衰減因子逐漸衰減,但是衰減幅度較慢,隨著輪數的增加,將逐漸衰減到門限值以下。當突變因子M=1,即失陷終端行為發生異常突變時,能快速響應失陷終端的異常行為突變,使得信任值瞬間低于信任門限值。

當工業互聯網終端信任值低于門限值時,終端被認定為失陷,從而無法橫移進工業OT網絡或訪問云層內部資源,失去APT竊密威脅機會。仿真某工業互聯網中存在終端數為1 000,失陷終端比例約為30%,該環境中APT竊密威脅次數抑制情況如圖10所示。對于靜態信任評估而言,終端信任值無法衰減,此時無法抑制失陷終端產生的APT竊密威脅;引入突變因子后,當突變因子M=1,即失陷終端行為發生異常突變時,由于信任值快速衰減至門限值以下,終端被認定為失陷,APT竊密威脅次數能夠迅速清零。

圖10 APT竊密威脅次數抑制情況

失陷終端檢測率如圖11所示,由于靜態信任評估不進行信任值衰減,失陷終端檢測率始終為0;對于動態信任評估方案,在第29輪預測到突變因子M=1時,失陷終端檢測率從0突增到約70%;隨后經過兩輪迭代,失陷終端檢測率達到100%,表現出快速的失陷終端檢測能力。

圖11 失陷終端檢測率

6 結束語

針對工業互聯網察覺失陷終端所引起APT竊密威脅的滯后性,提出了一種主動式零信任模型,并構建出端管云結合的模型系統架構。在終端層,分布式實時收集終端行為數據,利用長短期記憶神經網絡提取為規則化的信任因素。在管控層,設計伸縮式區塊鏈ZTE_chain以實現防篡改和低負載的信任因素安全存儲,由此引入卷積神經網絡持續性預測突變因子,得到刻畫終端行為的動態信任值,給出快速識別失陷終端的認證算法。位于云層的IDC僅需裁決和發放授權憑證,依據訪問控制策略提供相應的數據類型,有效緩解了云層認證壓力。實驗結果分析表明,提出的主動式零信任模型,在識別失陷終端方面的效果顯著,具有較好的APT竊密威脅抗擊能力。未來的研究工作是深入分析工業互聯網環境下的數據包結構,設計一種結合零信任理念的數據包切片和重組方法,使得工業OT區和云層的數據包流入工業IT區時,無法在失陷終端處重組,進而阻斷APT竊密威脅造成的數據泄露。