序言

工業互聯網是新一代信息通信技術與工業控制技術深度融合的新型基礎設施,通過對人、機、物、系統等的全面連接,構建起覆蓋全產業鏈、全價值鏈的全新制造和服務體系,為工業乃至產業數字化、網絡化、智能化發展提供了實現途徑。

在工業互聯網業態中IT與OT深度融合,互聯網中普遍存在的APT攻擊、0day漏洞利用、勒索病毒變種等未知威脅可以以IT網絡為跳板,輕易滲透進入OT網絡中,對工業控制系統產生重大破壞,直接影響工業控制網絡的生產安全。同時,等保2.0標準明確要求“應采取技術措施對網絡行為進行分析,實現對網絡攻擊特別是新型網絡攻擊行為的分析”。通過技術手段應對未知安全威脅,不論是從合規需求還是從實際防護需求,都已經成為工業互聯網企業必須要解決的問題。

本文參照等級保護要求,以縱深防御為指導思想,從區域邊界、通信網絡、計算環境三個方面提出未知安全威脅的防護技術,為工業互聯網企業提供未知威脅的應對思路。

工藝“白名單”技術,

構建區域邊界未知威脅的防御

圖1 “白環境”技術理念三重能力

“白環境”技術理念從能力上可分為三個等級,依次分別是:訪問控制白名單、工業協議白名單和業務工藝白名單。目前訪問控制白名單和工業協議白名單技術在工業互聯網安全防護中被廣泛應用,但當未知威脅以一種符合工控協議規約的指令下發時,訪問控制白名單和工業協議白名單則束手無策。2014年土耳其輸油管道爆炸事件中,黑客滲透進入工控網絡之后先后下發了“關閉閥門”、“加壓”兩條指令。單獨來看,這兩條指令均是油氣管道系統中正常的控制指令,但是由于下發的順序的不符合業務工藝邏輯,從而導致輸油管道爆炸的嚴重后果!

工藝“白名單”技術通過業務規則學習模塊,動態學習業務正常運行全過程的相關控制指令及其之間的關聯關系,如指令的周期性和時序等方面,構建符合業務工藝的控制行為基線,在訪問控制白名單和工業協議白名單的基礎之上,提供更為嚴格的控制指令過濾,實現了基于指令周期和時序邏輯的生產業務行為邏輯防護。

圖2 業務工藝白名單技術原理

基于無監督學習的工藝“白名單”技術不使用歷史數據訓練,而是動態地從工業網絡實時流量中學習,主動獲取判斷依據,建立工業控制系統的業務模型,進而自行制定出遏制威脅并阻止其傳播所需的適當行動。同時,無監督學習可以隨著數據環境的變化不斷發展其理解,進而實現動態業務模型建立,最終達到識別系統內部已經存在的潛在威脅以及阻止未知安全威脅。

人工智能檢測技術,

實現通信網絡未知威脅的檢測

隨著ChatGPT大火,人工智能技術也走進了越來越多人的視野,每個人都看到了人工智能技術的潛力無限。將人工智能應用在威脅檢測上,能夠實現對全新威脅的適應和預測能力,可以更加智能、精準地發現APT等未知威脅。

基于人工智能檢測技術,結合機器學習/深度學習、圖像分析等技術,將惡意文件、惡意流量等映射為灰度圖像,通過惡意代碼家族灰度圖像集合訓練卷積神經元網絡(CNN)深度學習模型,建立檢測模型,利用檢測模型對惡意代碼及其變種進行家族檢測。

圖3 惡意文件映射為灰度圖像進行AI檢測

圖4 惡意流量映射為灰度圖像進行AI檢測

基于灰度圖像映射的方法可以有效的避免反追蹤、反逆向邏輯以及其他常用的代碼混淆策略。而且,該技術能夠有效地檢測使用特定封裝工具打包(加殼)的惡意代碼,在一定程度上解決了特征檢測的人工提取困難、行為檢測的時間開銷大且誤報高等問題。對于惡意代碼變種和加殼文件具有優異的檢測能力,且具有快速、準確率高、誤報率低、跨平臺檢測等特點。

熵值檢測技術,

預防計算環境勒索病毒的侵襲

勒索攻擊是當前全球主流攻擊手段之一,2021年全球發生的勒索攻擊總數量高達6.233億次,自2019年以來上升比率達到232%。勒索攻擊影響范圍之廣、勒索贖金之高、勒索組織之猖獗、勒索形勢之嚴峻,已遠超人民群眾的認知,全球醫療、教育、金融、科技、能源等重點行業企業相繼遭受勒索軟件攻擊,引發企業業務停滯、工廠停產等嚴重后果。有效防范勒索攻擊是當前各企業網絡安全防護的重點工作。

圖5 2019年至2021年全球勒索軟件攻擊數量對比表

熵是隨機性的度量,隨機度越高則熵值越高,勒索病毒為了對抗破解,會采用空間較大隨機度較高的密鑰進行數據加密,進而會導致文件熵值的顯著升高。

一般來說,未經加密的數據文件熵值往往介于4.8-7.2之間,而高于7.2的往往是被加密的數據文件。通過檢測熵值變化幅度,及熵值增加后的具體數值,可以判斷文件是否被加密,基于文件的加密狀況,就可以判斷訪問文件的進程是否是勒索病毒。

圖6 合法文件與加密文件熵值直方圖

基于熵的檢測機制貼合勒索病毒攻擊數據文件被篡改的本質,具有較強的檢測能力,無論是合法進程被注入、還是不可信的惡意進程,均能被有效檢測。

基于熵值檢測技術的防勒索系統實時檢測系統文件熵值變化情況從而識別勒索病毒加密行為,結合勒索病毒誘捕技術、勒索行為檢測技術等機制,可以提高勒索病毒識別的及時性和準確度,有效防御勒索病毒及其變種的攻擊。

等保安全
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接