2021年3月,美国内华达州水利网络感染了恶意软件,对水利网络下SCADA关键操作信息技术实现了备份。随后7月,美国缅因州同样发生SCADA被恶意勒索软件干扰问题,为水利系统造成巨大经济损失。2020年4月,以色列国家网络安全负责部门公开承认,该国4月份水利网络系统遭受大规模黑客网络攻击,黑客通过网络攻击手段控制了供水网络阀门可编程逻辑控制器,险些导致以色列大规模用水短缺。世界范围水利网络攻击事件频发,已经让水利网络面对的风险环境越发严峻,只有构建健全、完善的水利网络安全体系,才可避免水利网络遭受安全风险威胁继而带来巨大损失甚至不可逆灾难。
一、网络安全态势感知技术概述
态势感知这一概念,最早源自于军事领域以及空中交通管制领域,即通过对场景环境因素的捕获、理解,实现对未来状态的有效预测。一般情况下,应用到安全态势感知技术的场景均具有高复杂性的特点,而借助态势感知工具,能够对当下场景中连续的变化加以把握。
就网络环境而言,网络空间隶属服务、网络、安全、终端等各种设备共同组成的整体系统,而面向网络安全的态势感知,则是对这一大系统中细部行为、状况、历史状态、未来发展趋势加以把控,对网络中各种变化背后的安全因素进行发掘、提取、跟踪、分析与展示,从而实现未来安全风险的有效预测,全面保障系统的安全性。
二、水利网络安全威胁类型分析
(一)黑客攻击威胁
大数据背景下,网络黑客攻击手段越发复杂,其已经从最早期的单独攻击发展为大面积联合性攻击,因此其所造成的破坏作用越来越大。目前,网络黑客攻击手段五花八门,如口令破解、特洛伊木马、拒绝服务攻击、端口扫描以及缓冲溢出等。与此同时,黑客攻击并非漫无目的,通常均是经过精心规划后有的放矢地开始攻击,并且完成攻击后可实现痕迹清理,难以追查溯源。
(二)非授权访问威胁
一般情况下,用户访问系统、网络,需先经历被访问目标的授权。目前一些掌握一定计算技术、网络技术的不法分子,会通过技术手段绕过水利网络系统授权,对网络系统进行非法操作,亦或是获取更高权限以恶意篡改、攻击水利网络系统服务器。
(三)信息泄漏与丢失威胁
所谓信息泄漏,即水利网络系统中的重要水、信息有意或是无意地遭到泄漏。信息在网络链路传输阶段,极易被不乏分子获取。一旦水利网络系统很关键信息、数据丢失,可能为相关管理部门与企业造成严重损失。
(四)计算机病毒威胁
典型计算机病毒,其运行机制包含四个阶段,即感染病毒、病毒潜伏、病毒繁殖、病毒发作。通常计算机病毒会隐藏到系统正常文件中,一旦用于访问病毒文件,则计算机甚至整个内部网络都将遭到病毒侵袭,导致服务器或是大面积计算机瘫痪。
(五)内部攻击威胁
水利网络系统包含各水利相关部门、单位设置的分值机构,各个分支所设置的网络防火墙,仅可实现面向网络层的安全隔离、防护,但对于门内部应用层却往往缺少安全检测能力与防护能力,故极易被一系列高级威胁所攻击。特别是来自于内部员工的恶意攻击、违规操作,通常都难以有效抵御。
三、基于态势感知的水利网络安全威胁技术研究
(一)水利网络安全态势感知分析手段
水利网络安全态势感知分析手段,包括基于情境、基于规则以及基于行为的关联分析。
1.基于情境的关联分析
基于情境的关联分析,即将安全事件,关联与水利网络嗲下运行环境,基于更加广泛的相关性分析实现安全威胁识别,这种技术亦被称作为“情境感知”。其在对安全事件分析阶段,不会仅针对事件本身进行探究,而是一并考虑事件上下文相关数据。例如某事件表示一个源IP对一个目的IP进行了攻击,则此刻会同时调取并分析目的IP的资产类型、具体功能、重要程度、所处网络位置、操作系统类型、开放何种端口、存在何种漏洞,是否为被攻击与利用端口以及端口同其他IP拓扑关系等。基于上述大量数据分析,衍生出基于弱点、资产、网络警告与拓扑的情境关联方式。
2.基于规则的关联分析
基于规则的关联分析,即以事件关联引擎为依据开展规则匹配,对一直模式攻击与违规过程加以识别,隶属十分经典的关联分析手段。基于规则的关联分析手段,其核心在于编写规则,基于统计条件与逻辑表达式关联规则,实现所有日志字段的关联。此处,可划分为多事件、单事件两种关联。
3.基于行为的关联分析
基于行为的关联分析,可弥补规则关联分析必须依靠规则与规则正确性开展分析的弊端。基于行为的关联分析,其定位在于让安全分析实现面向异常情况监测的主动分析,让安全分析工作不再对关联引擎过度依赖。在基于异常事件主动分析模式下,够利用对实时活动、基准行为之间的对比快速定位攻击行为、刻意行为。
(二)水利网络安全态势感知系统功能研究
健全的水利网络安全态势感知系统,应包含面向网络攻击态势、感染失陷态势、未知威胁态势感知功能,利用Spark Streaming流计算框架与Kafka流处理平台,实现感知数据的快速计算、分析。
1.网络攻击态势感知功能
网络攻击态势感知模块,应为整个系统主要模块,面向水利网络攻击的总体态势、攻击事件详情进行分析,并实现攻击链接的跟踪、溯源。
对于总体网络攻击态势,可采取攻击地图、排名统计图、外连事件统计图、流量趋势统计图、漏洞统计图、漏洞被利用统计图现实模式。针对攻击事件详情,可自攻击事件类型、单个监测对象状态角度加以分析、实现,并对事件可实现历史查询。对于攻击链接的追踪与溯源,应面向管理者展示攻击事件的类型、攻击目标、利用方式、攻击成功率。同时,快速定位首个被攻击对象,实现攻击入口定位,基于攻击链模型分类标准,实现对后续整个攻击链一系列攻击行为的感知,从而适应未来全新的攻击手段、行为。
2.感染失陷态势感知功能
感染实现态势感知功能,应基于行为关联感知,实现面向蠕虫、病毒、木马的感知,面向管理者展示感染事件具体详情、感染发展态势、感染路径以及感染溯源。感知分析阶段没针对感染导致失陷的对象数量、分布情况、对象类型加以分析,同时展示感染对象的类别、具体感染事件、对象地址,时间,从而绘制出感染分布地图,并预测未来一段时间感染失陷的爆发趋势。
3.未知威胁态势感知功能
针对未知威胁,系统应运用行为关联分析,针对未知异常、时间异常、联网异常、协议异常、习惯异常、流量异常、关联拓扑异常进行数据分析。随后,针对异常行为进行多维度叠加,结合安全威胁时间的发生时间轴,站在整体角度、多个试图对未知威胁攻击事件加以展示。与此同时,未知威胁态势感知功能,借助现有的大型共有威胁情报数据库,技术对威胁信息加以对比,快速确定未知威胁类型与来源。
结语:
水利工程关乎着国家经济发展、民生发展,水利工程的安全性、稳定性始终为国家高度关注安全防护要点。与此同时,除对实体工程的灌注,相关部门应加强水利网络安全管理重视水平,以促进安全威胁防护体系全面性、先进性原则,借鉴本文尽快实现基于态势感知的水利网络安全威胁防护系统完善,将其作为水利网络安全防护的核心工具,低于来自于网络以及内部的安全威胁防范。
参考文献:
[1] 曾伟.河南水利网络安全态势感知方案研究[J].河南水利与南水北调,2019,48(07):80-82.
[2] 庄磊.山东省水利系统网络安全工作探索[J].水利信息化,2021(05):79-83.DOI:10.19364/j.1674-9405.2021.05.014.
[3] 贾克,王立海,刘迪.长江水文网络安全态势感知系统构建初探[J].水利水电快报,2021,42(03):79-84.DOI:10.15974/j.cnki.slsdkb.2021.03.014.
作者简介:马士峰(1987-),男,汉,山东临沂人,工程师,大学本科,水利信息化,山东省水利勘测设计院有限公司,山东省济南市,250013
柴鹏(1980-),男, 汉,潍坊寿光人,办公室主任/经济师,大学本科,人力资源,山东省水利勘测设计院有限公司,山东省济南市,250013
武建(1981-),男,汉,山东淄博人,高级工程师,大学本科,水利信息化和自动化、物联网,山东省水利勘测设计院有限公司,山东省济南市,250013
