一种基于非嵌入式探针的跨域功能安全异常检测溯源方法
本发明属于信息安全的域间异构it/ot网络协同领域,具体涉及到一种基于非嵌入式探针的跨域功能安全异常检测溯源方法。
背景技术:
协同制造是21世纪的现代制造模式,协同制造指利用先进网络技术与信息技术,将串行制造过程转变为并行制造过程,实现供应链内部及跨供应链间的设计、制造、管理、商务等合作的生产模式,最终通过改变经营模式达到资源高效利用的目的。但是在网络协同制造场景下,海量跨域设备及系统因种类繁多、设备连接关系复杂,协同网络有极大的安全隐患,微小的功能安全异常事件也有极大的概率给企业带来巨大损失。针对it/ot网络融合后的功能安全需求,缺乏统一高效安全异常溯源手段,使得功能安全事件难以追溯。目前,在网络协同制造平台跨域功能安全异常检测溯源过程中,普遍存在检测工具不能很好复用利用、难以分析安全异常等重大弊端:(1)面向传统设计、制造领域定制的海量专用设备/系统异常监测工具没有针对跨域系统资源进行优化设计,无法在多个系统中复用,安全异常监测工具的利用率低;(2)跨域网络包含大量it网和ot网实体,实体产生的异常数据难以被精确记录,导致从大规模异常数据中分析回溯功能安全异常的过程过于棘手,这将严重影响针对安全攻击事件的精准处理。
针对在网络协同制造过程中传统设计、制造领域定制的海量专用设备/系统异常监测工具复用利用难,跨域实体产生的异常数据难以精确溯源的问题。专利《一种基于回归的信息安全异常检测的方法及系统》(cn105656693b)能够检测到异构动态的复杂it企业网络设备产生的海量安全警告的安全攻击时间,能够溯源或回放事件,但没有解决异常检测工具复用利用难的问题;《一种基于数据均衡技术的网络安全实时异常检测方法》(cn108566306a)从电力通信网络的数据库中提取网络数据,选择相应数据特征进行预处理,将数据特征导入网络安全异常检测模型,实现网络安全异常的实时检测,但没有消除安全异常数据来源可靠性差、精确记录难的现象;一种收集网络溯源信息的方法及系统(cn106302404a)定义一个网络连接对象来跟踪从存储系统中拷贝走的文件,该系统包括网络溯源拦截层、网络溯源观察层、网络溯源分析层和网络溯源分布层,但是该系统没有和跨域协同网络良好结合,应用上存在着很大的局限性
技术实现要素:
本发明技术解决问题:克服现有技术的不足,针对在网络协同制造过程中,传统设计、制造领域定制的海量专用设备/系统异常监测工具难以复用利用,跨域实体产生的异常数据精确记录复杂及溯源困难等问题,提出了一种基于非嵌入式探针和分布式共识的跨域功能安全异常检测及溯源方法,通过构建网络镜像的非侵入式跨域监测探针,可在不影响协同平台正常业务运行的前提下,有效采集功能安全关联各类异常数据;通过基于分布式共识机制建立联盟群组,采集it信息网层、ot中心控制层、ot设备层各节点的网络数据,及时将数据信息留痕存储;借助已上链的数据进行多维关联数据检测分析,实现功能安全异常的精准定位,可对协同网络中的功能安全异常事件高效溯源。采用非侵入式探针监测系统数据,实现功能安全跨域信息采集检测,通过分布式共识实现功能安全信息深度留痕和精准定位。
本发明技术解决方案:一种基于非嵌入式探针的跨域功能安全异常检测溯源方法,步骤如下:
步骤1,在网络协同制造平台的核心网络设备构建网络镜像的非侵入式跨域监测探针,在不影响协同平台的正常业务运行的情况下,有效采集功能安全关联的各类异常数据。采用非侵入式方法对it信息网层、ot中心控制层、ot设备层等核心交换设备部署跨域监测探针,实时监测跨域网络中的功能安全异常,将捕获到的数据提交给联盟信任群组留痕存储。
所述ot设备层以核心网络设备为中心,由传感器、阀门、监控设备、马达、驱动器等设备组成,监测探针接入其中的驱动器可检测到整个ot设备层中任何有功能安全异常的设备;所述ot控制中心层由网络核心设备连接工业交换机、图像传输终端ptu、plc控制系统、监测系统等设备组成,监测探针接入其中选定的设备,如plc控制系统中的设备,可监测到整个ot控制中心层的功能安全异常信息;it信息网层中网络核心设备连接pdm(productdatamanagement)系统、mes(manufacturingexecutionsystem)系统、erp(enterpriseresourceplanning)系统以及plm(productlifecyclemanagement)系统等,同样的,将监测探针接入该层任意设备可实现对整个it信息网层的功能安全异常信息监测;
所述探针的设计以分流器的工作原理作为基础,配置两块网卡用于嗅探。该探针设计有4个rj45口,形成一个飞镖状的十字结构,将j1和j2串接入待嗅探的核心交换设备网络中,j3和j4连接监听系统。j3和j4两个接口分别捕获流入方向和流出方向的流量数据,分别复制给监听系统的两个网络端口,通过深度包检测、高效数据包捕获、包重组过滤等技术,利用端口镜像方式进行流入、流出网络流量全量镜像复制,对捕获到数据经过格式化处理,提交给基于分布式共识机制建立的节点联盟信任群组留痕存储。
步骤2,通过基于分布式共识机制建立各节点采集数据的及时数据信息留痕存储。网络协同制造平台跨域实体功能安全异常数据来源可靠性差、精确记录难,建立联盟信任群组可提高数据记录的准确度,参与it/ot跨域网络协同过程的实体作为基本单元节点,依次建立多节点分布式共识的联盟信任群组,运行的群组代码上定义安全交互信息数据集合的操作方法,边缘节点可以对数据集合进行调用更改等操作,并请求其他节点验证,通过后节点利用共识机制将该安全交互信息添加到本地存储的数据集合,完成安全交互信息的共享。
所述联盟各节点与节点之间以p2p方式通信,提高了网络的可扩展性,节点可以随意的添加和删除;联盟信任群组通过高速共识机制和实体可信身份指纹,并借助节点自主调用执行的运行在联盟信任群组上的代码,快速完成分布式实体功能安全交互信息(如设备、协议、会话、业务、性能、安全等数据)的高通量、高精确的深度留痕存储;所述边缘节点都具有安全交互数据集合的一个副本,并且都可以调用代码中定义的操作方法对数据集合进行更改,联盟信任群组节点通过调用代码中安全交互信息数据集合的添加方法实现数据的提交,该添加请求会被扩散到全群组,其它节点对该请求进行验证,如验证请求提交者的数字签名等;
所述请求在多次验证后不能得到有效回复,为保证联盟信任群组的安全交互信息的有效共享,通过自我协同维持技术动态的删除信任群组中节点;对新申请加入的节点,在满足一半以上节点验证通过后,即可加入联盟信任群组,实现弹性可伸缩分布式扩展。
步骤3,借助已上链数据进行多维关联数据检测分析,利用基于多维关联数据监测的功能安全异常精准定位技术。对联盟信任群组批量汇总后的安全交互信息,通过深度智能关联分析技术,对包、流、文件、协议元数据、网络行为、文件行为等多维数据进行实时透视监测的关联分析和比对分析与异常功能安全模型匹配,完成实体的健康度评价、攻击行为检测;通过跨域信任群组的实体异常定位执行中心,根据异常行为监测结果,在跨域信任链条上准确定位溯源功能安全事件主体。
本发明与现有技术相比的优点在于:
(1)针对现有技术中无法解决网络协同制造平台海量专用工业设备/系统侵入式异常采集工具无法重复使用及不适用特定安全场合,易破坏侵入设备/系统的内部结构的问题,本发明利用以分流器的工作原理设计探针,设计了一种基于网络镜像的非侵入式跨域监测探针,在不影响企业设备正常运行的前提下,对网络中的流量捕获并进行分析,通过深度包检测、高效数据包捕获、包重组过滤等技术,利用端口镜像方式进行流入、流出网络流量全量镜像复制,并对捕获到数据经过格式化处理,提交给基于分布式共识机制建立多节点联盟信任群组留痕存储,提高了异常采集工具的复用利用率。
(2)针对现有技术中尚未解决的网络协同制造平台跨域实体功能安全异常数据来源可靠性差、精确记录难的问题,本发明提出一种基于分布式共识信任的功能安全信息深度留痕方法。it/ot跨域实体在参与网络协同过程中作为基本单元节点,建立多节点分布式共识的联盟信任群组,盟信任群组节点通过调用代码中安全交互信息数据集合的添加方法实现数据的提交,验证通过后,节点利用共识机制将该安全交互信息添加到本地存储的数据集合;对于多次验证不通过的节点动态删除,对于新申请加入的节点验证通过后加入联盟信任群组,实现弹性可伸缩分布式扩展,为安全交互信息的共享提供了保障。
(3)针对现有技术中未解决的网络协同制造平台中大规模异常数据分析溯源功能安全异常难的问题,本发明提出了一种基于多维关联数据检测的功能安全异常精准定位技术,通过深度智能关联分析对包、流、文件、协议元数据、网络行为、文件行为等多维数据进行实时透视监测的关联分析和比对分析与异常功能安全模型匹配,实现实体的健康度评价、攻击行为检测;通过跨域信任群组的实体异常定位执行中心,保证了在跨域信任链条上准确定位溯源功能安全事件主体。
附图说明
图1为本发明的基于非嵌入式探针和分布式共识的跨域功能安全异常检测及溯源方法示意图;
图2为本发明的基于网络镜像的非侵入式跨域监测探针示意图;
图3为本发明基于分布式共识信任的功能安全信息深度留痕示意图;
图4为本发明基于多维关联数据检测的功能安全异常精准定位示意图。
具体实施方式
为使本发明的目的、优点以及技术方案更加清楚明白,通过以下具体措施,并结合附图1-4,对本发明作进一步详细说明。根据本发明的实施例,一种基于非嵌入式探针的跨域功能安全异常检测溯源方法,包括如下步骤:
步骤1、基于网络镜像的非侵入式跨域监测探针
针对网络协同制造平台海量专用工业设备/系统侵入式异常采集工具,易破坏侵入设备/系统的内部结构、无法重复使用及不适用特定安全场合的问题,采用非侵入式方法对it信息网层、ot中心控制层、ot设备层等核心交换设备部署跨域监测探针,该探针设计有4个rj45口,形成一个飞镖状的十字结构,将j1和j2串入需要嗅探的核心交换设备网络中,j3和j4连接监听系统,j3和j4两个口分别捕获流入和流出两个方向的流量,分别复制给监听系统的两个网络端口,通过深度包检测、高效数据包捕获、包重组过滤等技术,利用端口镜像方式进行流入、流出网络流量全量镜像复制,并对捕获到数据进行格式化处理,提交给基于分布式共识机制建立各节点联盟信任群组留痕存储。
如图1、2所示,所述步骤1进一步包括:
(1)采用非侵入式方法对核心交换设备部署跨域监测探针,包括it信息网层、ot中心控制层、ot设备层的核心交换设备。探针的设计以网络分流器的工作原理为基础,即启用端口镜像并创建流量副本监视设备使用,探针捕获流入和流出两个方向的流量。
具体地,探针捕获功能安全信息的具体流程如下:
(1.1)探针的j1-j2串入需要做抓包的网络中,j3和j4连接抓包机器。j3和j4分别捕获流入和流出两个方向的流量,再分别复制给监听系统的两个网络端口的。监控工作台电脑需要配备两块用于嗅探的网卡,即除了默认的有线网卡之外,再接一个usb接口的有线网卡;
(1.2)探针可以直接串在要抓包的设备前面,也可以接到某台交换设备前面。如果接在交换设备前,得到的流量可能很大,在设置抓包参数时需要做适当的过滤;
(1.3)在抓包机器上,执行命令,获得系统里当前可以抓包的所有接口,根据指定的参数对接口进行抓包。
(2)探针捕获的流量复制给监听系统的两个端口,通过深度包监测、高效数据包捕获对数据包进行获取。深度包检测方法是在传统ip数据包检测技术(osil2-l4之间包含的数据包元素的检测分析)之上增加了对应用层数据的应用协议识别以及数据包内容检测与深度解码,通过对流量的识别来掌握网络中承载的数据内容,分析出用户的无网络行为,高效的识别出网络中的各种应用,且能够将识别粒度细化到业务的具体动作,深度包监测具体实现过程如下:
(2.1)采用并接方式将分光器等设备将网间的信号镜像到旁路的深度包监测设备当中,不会影响原链路的数据传输;
(2.2)通过干扰的方式进行流量控制,不会对网络流量进行直接的控制和管理;
(2.3)对于tcp流,通过发送reset或6n分组,终止连接来进行控制;对于udp流而言,主要是发送伪造分组,劣化通信质量来进行网络干扰;
(3)捕获到的数据包通过包重组过滤,利用端口镜像方式进行流入、流出网络流量全量镜像复制,端口镜像过程中被数据包会被复制一份“副本”转发到观察端口(目的端口),源端口一般可以多个;接收端口接收来自镜像端口(源端口)镜像“副本”数据;
(4)数据经过格式化处理,提交给基于分布式共识机制建立多节点联盟信任群组留痕存储。
步骤2、基于分布式共识信任的功能安全信息深度留痕
实体在参与it/ot跨域网络协同过程作为基本单元节点,依次建立基于多节点分布式共识的联盟信任群组,运行的群组代码上定义安全交互信息数据集合的操作方法,边缘节点可以对数据集合进行调用更改等操作,并请求其他节点验证,通过后节点利用共识机制将该安全交互信息添加到本地存储的数据集合,完成安全交互信息的共享。
如图3所示,所述步骤2具体如下:
(1)建立多节点分布式共识的联盟信任群组。参与it/ot跨域的实体在网络协过程中作为基本单元节点,依次建立多节点分布式共识的联盟信任群组,其中联盟各节点与节点之间以p2p方式通信,分布式算法采用易于理解的分布式一致性复制协议,该算法是基于领导者驱动的multi-paxos变种,相比paxos、zab、viewstampedreplication等协议提供了更完整更清晰的协议描述,并提供了清晰的节点增删描述。它在容错和性能上与paxos等效,不同之处在于它被分解为相对独立的子问题,并且干净地解决了实际系统所需的所有主要部分。该算法作为复制状态机,是分布式系统中最核心最基础的组件,提供命令在多个节点之间有序复制和执行,当多个节点初始状态一致的时候,保证节点之间状态一致。系统只要多数节点存活就可以正常处理,它允许消息的延迟、丢弃和乱序,但是不允许消息的篡改(非拜占庭场景)。工作工程中选举一位杰出的领导者(leader),而该leader将完全负责管理集群,leader负责管理集群的所有节点之间的复制日志。分布式共识算法的过程如下,以群组中有5个节点为例:
(1.1)启动过程中选择集群的leader(s1),并为来自客户端的所有命令/请求提供服务。集群中的所有节点都维护一个分布式日志(复制日志)以存储和提交由客户端发出的命令(日志条目)。leader接受来自客户端的日志条目,并在集群中的所有关注者(s2,s3,s4,s5)之间复制它们;
(1.2)在集群中,需要满足最少数量的节点才能提供预期的级别共识保证,即达到法定人数。在集群中执行操作所需的最少投票数为(n/2+1),其中n是组中成员总数,即投票至少超过一半,所以集群节点通常为奇数。如果法定仲裁节点由于任何原因不可用,即投票没有超过半数,则此次协商没有达成一致,并且无法提交新日志;
(1.3)当启动一个新的集群或某个领导者不可用时,将通过集群中所有成员节点之间的协商来选举一个新的领导者,集群的节点可以处于以下任何状态:追随者(follower)完全被动,不能发送任何请求,只接受来自leader和candidate的消息,候选人(candidate)处理所有来自客户端的请求,以及复制log到所有followers或领导者(leader)用来竞选新的leader;
(1.4)一旦节点成为leader,它就可以从客户端接收命令/日志条目,发送日志条目,从客户端收到命令后,leader将为命令分配日志条目和日志索引。然后,leader尝试在集群中的大多数节点上执行复制命令。如果复制成功,则将命令提交给集群,并将响应发送回客户端。
(1.5)leader将命令附加到日志,并使用该命令广播。每个节点都在本地申请条目并成功答复。当大多数跟随者节点已在本地成功提交日志条目时,leader将提交(前一阶段相当于尝试达成共识,接下来是提交共识,类似两阶段提交协议)命令并将成功响应发送回客户端。当领导者提交日志条目时,它还会更新提交索引,并且下一条新增条目广播消息会将更新的提交索引复制到所有跟随者节点。当领导者提交一个条目时,它还将在当前日志索引之前提交所有全部内容。
(2)基于高速共识和实体指纹的数据高精确留痕。联盟信任群组通过高速共识机制和实体可信身份指纹,并借助节点自主调用执行的运行在联盟信任群组上的代码,快速完成分布式实体功能安全交互信息(如设备、协议、会话、业务、性能、安全等数据)的高通量、高精确的深度留痕存储。实体指纹是基于内生特征的跨域实体可信身份指纹构建,具体而言:
首先根据it/ot域各实体的内生特征(如设备/系统的类型、生产商、生产批次、序列号),分析it/ot实体身份类型及其结构,提出一种基于内生特征的实体身份标识编码方法,结合实体本身内部特征指纹及外部关联属性(如设备/系统的产地、应用行业、上下游企业关系)进行信息轻量化联合抽取,为it/ot域各类实体赋予一个可信、安全和永久的可信身份标识。
其中,可信身份标识由两部分组成:代表实体外部属性特征的全球统一管理前缀编码,以及跟随其后基于内部特征指纹的唯一后缀编码。前缀和后缀编码间通过“/”来分开。例如:86.1000.300/288bcc34982ca554b3bb527264ecf1c3为海尔公司生产车间的某plc控制器,其中86.1000代表该实体归属于中国山东省青岛市,300代表海尔公司,288bcc34982ca554b3bb527264ecf1c3为对该plc控制器的序号、固件版本号、生产日期、处理器型号等内生特征指纹进行归一化抽取所生成的唯一指纹。
在唯一可信身份标识的基础上,通过读取或录入实体内部属性信息,构建并维护可信安全的可信身份标识属性列表,并将其作为物体资源的可信安全身份指纹,为物体资源赋予全球唯一且可解析的可信身份标识特征。
具体地,完成信息共享的具体流程如下:
(2.1)在运行在联盟信任群组中的代码中定义对安全交互信息的数据集合的操作方法;
(2.2)边缘节点都拥有安全交互信息数据集合的一个副本,调用代码中定义的操作方法对数据集合进行更改;
(2.3)联盟信任群组节点通过调用代码中安全交互信息数据集合的添加方法实现数据的提交,该添加请求会被扩散到全群组,其它节点对该请求进行验证,如验证请求提交者的数字签名等;
(2.4)验证通过后,节点利用共识机制将该安全交互信息添加到本地存储的数据集合,完成安全交互信息的共享。
(3)基于自我协同维持的弹性伸缩分布式扩展能力。为联盟信任群组的安全交互信息的有效共享,通过自我协同维持技术,即在多次验证请求不能有效回复的情况,动态的删除信任群组中节点;同时对新申请加入的节点,在满足一半以上节点验证通过后,即可加入联盟信任群组,实现弹性可伸缩分布式扩展。
步骤3、基于多维关联数据检测的功能安全异常精准定位技术
针对网络协同制造平台中大规模异常数据分析溯源功能安全异常难的现象。对联盟信任群组大批量汇总后的安全交互信息,通过深度智能关联分析对包、流、文件、协议元数据、网络行为、文件行为等多维数据进行实时透视监测的关联分析和比对分析与异常功能安全模型匹配,完成实体的健康度评价、攻击行为检测;通过跨域信任群组的实体异常定位执行中心,根据异常行为监测结果,在跨域信任链条上准确定位溯源功能安全事件主体。如图4所示,所述步骤3具体包括:
(1)深度智能关联分析的实时数据透视监测。深度学习关联分析基于时序来对相同数据源或来自不同数据源的安全事件,使用关联规则来进行综合的关联分析,对包、流、文件、协议元数据、网络行为、文件行为等多维数据进行实时透视监测的关联分析和比对分析与异常功能安全模型匹配,深度学习关联分析的具体实现如下:
(1.1)通常安全信息事件管理系统中绝大多数的日志为正常事件,通过对正常事件训练建模,来检测异常或攻击事件。系统中需要更多维度特征向量,才能准确判断攻击源,避免检测精度低或过拟合情况;
(1.2)算法的实现是将经过归一化后具备相同数据结构的安全事件,输出为带有标记的安全事件,标记分为两类:正常与异常。关联分析引擎的输出就是单类支持向量机分类算法输出的带标记的正常或异常事件;
(1.3)系统的关联规则最常见的配置字段如:事件id,时间戳,插件id,源ip,源端口,目的ip,目的端口,协议等。为了使关联分析规则不依赖于传感器配置,并将所有字段拆分成关键词标签,然后针对每一条检测规则生成其关键词标签统计模型;
(2)匹配结果基于ot节点或it节点的健康模型匹配的实体健康度评价该节点是否为功能安全异常节点;
(3)基于实体身份标识和监测探针的跨域信任链条异常实体精准定位,分析来自跨域网络中各节点数据包的安全状态,判定异常实体在ot节点或it节点中的位置,通过跨域信任群组的实体异常定位执行中心,根据异常行为监测结果,在跨域信任链条上准确定位溯源功能安全事件主体。
提供以上实例仅仅是为了描述本发明的目的,而并非要限制本发明的范围。本发明的范围由所附权利要求限定。不脱离本发明的精神和原理而做出的各种等同替换和修改,均应涵盖在本发明的范围之内。
