針對工業控制系統安全防護缺乏動態防御、態勢感知等手段的問題，結合工業控制系統業務固定的特點，提出了安全態勢評估與預測框架，基于層次化分析法構建了安全態勢度量模型，并對工業控制系統行為輪廓特征構建及提取、基于深度學習的安全攻擊檢測、基于大數據挖掘的安全事件分析等技術開展研究，進而實現基于信息融合的安全態勢評估和基于統計學習理論的安全態勢預測方法，并通過實驗驗證了安全態勢評估與預測方法的有效性和準確性.

　　關鍵詞工業控制系統安全態勢;層次化分析法;深度學習;多源信息融合;非線性時間序列預測

　　工業控制系統(industrialcontrolsystem，ICS)是由各種自動化控制組件以及對實時數據進行采集、監測的過程控制組件構成，是保證工業基礎設施自動化運行、過程控制與監控的業務流程管控系統[1].

　　近年來，工業控制系統日益遭受層出不窮的各類新型攻擊，給國家、經濟、社會帶來嚴重影響，如震網病毒、烏克蘭電網攻擊事件等[2].傳統特征式、補丁式的安全防護措施在工業控制系統中已經得到廣泛應用，如工業防火墻、工業入侵檢測、工業漏洞掃描等，但這些手段偏重于靜態防御，無法抵御針對性強的工業控制系統攻擊.

　　1)傳統安全防護無法應對高級安全威脅當前網絡攻擊技術的發展、更新非常迅速，要想及時掌握所有攻擊的特征幾乎不可能，尤其針對工業控制系統的攻擊威脅更加具備針對性和目的性，這決定了基于特征的安全檢測無法滿足工業控制系統安全形勢下的威脅檢測需求.且補丁式的安全加固機制也存在天然缺陷，無法有效應對日益復雜、無孔不入的深層次安全威脅.

　　2)工控安全防護碎片化、孤島化，缺乏大數據協同分析工業控制系統中各類安全防護手段的側重點各不相同，只能從局部解決某類安全問題，并且缺乏協同共享機制，無法形成一體化聯動聯防的安全防護體系，存在單點突破的風險.傳統安全手段上線運行后，硬件、軟件狀態均得到固化，無法進行擴展，缺乏面向大數據的協同分析能力，而類似于APT的高級持續性威脅檢測需要長周期的安全數據分析，傳統安全設備的分析能力顯然無法滿足.因此，需要大力發展工業控制系統安全態勢(以下簡稱“工控安全態勢”)評估與預測技術，對各類安全信息進行深度關聯，實時檢測針對工業控制系統的攻擊和異常行為，實現主動防御.

　　在網絡安全態勢評估與預測方面，國內學者已經開展了大量研究并取得了豐富的成果，如支持向量機[3]、粗糙集[4]、人工智能[5]、D-S證據理論[6]、大數據[7]、層次化分析法[8]、貝葉斯網絡[9]等方法都有大量運用.在工業控制系統安全研究方面，尚文利等人[10]提出面向工業控制系統的可信計算環境構建方法，設計了面向工業控制領域嵌入式設備的安全架構，包括基于總線仲裁機制的可信PLC 主控單元、基于虛擬化沙盒技術的可信PLC運行環境和基于白名單訪問控制的可信PLC網絡安全單元，實現設備的內建安全能力。

　　陸耿虹等人[11]提出工控安全態勢感知模型，采用改進的C-支持向量分類算法對多源數據進行規則提取，最終融合獲取態勢感知結果;陳瑞瀅等人[12]利用攻擊圖對工業控制網絡威脅進行建模，對典型攻擊場景建立攻擊圖，借助攻擊圖開展安全性分析，預測攻擊者最有可能采取的攻擊路徑，得出工業控制網絡的安全需求，為構建工業控制網絡安全體系架構提供指導;石樂義等人[13]提出一種改進概率神經網絡的工控安全態勢評估方法，利用主成分分析法對數據進行降維，使用改進的果蠅優化算法對概率神經網絡的參數進行優化，通過優化后的概率神經網絡進行訓練和預測，得到攻擊類型的分類結果，最終結合結構化的工控安全態勢評估方法計算態勢值，對系統的狀態進行評估.

　　通過上述分析，本文結合工業控制系統業務固定、協議單一的特點，首先提出了工控安全態勢評估與預測框架，接著基于層次化分析法構建了工控安全態勢度量模型，并對工業控制系統行為輪廓特征構建及提取、基于深度學習的工業控制系統安全攻擊檢測、基于大數據挖掘的工業控制系統安全事件檢測等技術開展研究，進而實現基于信息融合的工控安全態勢評估和基于統計學習理論的工控安全態勢預測，形成了針對工業控制系統的安全態勢評估與預測整體解決方案，為工業控制系統安全研究與研發工作提供支持.

　　1工控安全態勢評估與預測框架

　　工控安全態勢是整體工業控制系統安全狀態在時間和空間維度上的持續演變過程.從時間的角度看，工控安全態勢是每個節點(工控設備、工控服務等)的安全狀態隨時間發生改變的過程;從空間的角度看，工控安全態勢是在某個時刻下(或在某個時間窗口中)整個工業控制系統范圍內攻擊焦點和安全風險的分布情況.

　　一般情況下，節點安全狀態的改變主要是由發生的安全事件引起，這些安全事件包括受到網絡攻擊、發現新漏洞、資產價值改變、安全配置失效等.工控安全態勢評估首先對每個節點在時間軸上的安全狀態進行評估(定量、定性或者兩者相結合)，評估過程綜合考慮網絡攻擊、發現新漏洞、資產價值改變、安全配置失效等安全事件的整體影響，對各個態勢因素進行量化，給出節點態勢的量化計算方法.在此基礎上，考慮工業控制系統的拓撲特性、各節點權重的分布，綜合評估某個子系統或者整體安全態勢.

　　需解決的主要問題如下：

　　1)建立度量工控安全態勢的形式化模型.模型應包括元素及元素之間的關系定義.2)針對工控節點的安全態勢進行量化計算，其中包括態勢因素(攻擊、漏洞、資產價值、安全配置等)的量化指標定義及其量化方法和安全態勢的量化計算法方法以及函數定義.3)通過節點的安全態勢融合得到整體工控安全態勢.4)從工控安全數據中檢測網絡攻擊或安全事件，評估其對節點和整體安全態勢的影響.5)預測安全事件發生的概率，進而預測節點的安全態勢，最終預測整體工控安全態勢.

　　工控安全態勢分析和預測研究思路描述如下：

　　1)建立度量工控安全態勢的形式化模型.模型中除了給出整體的工控安全態勢量化值，還包含反映整體工控安全態勢的元素以及元素之間的關系，并給出這些元素及其關系隨時間變化的規律.

　　2)建立工控安全態勢的度量指標.影響安全態勢的因素眾多，評估模型中不可能包含所有的安全態勢因素，只能選取其中的部分主要因素.3)工控安全態勢因素量化.評估模型的輸入為量化輸入，基于安全態勢的度量指標，將安全態勢因素的定性指標和描述性語言進行量化.4)基于大數據挖掘、深度學習發現安全事件.在度量安全態勢的形式化模型給出的約束下，采用針對大數據的聚類發現、關聯分析、模式提取以及深度學習等方法發現安全事件.

　　5)節點態勢評估.設定時間窗口，綜合考慮安全事件、節點資產價值、漏洞、安全配置等信息對節點的安全態勢進行評估.給出針對該節點的攻擊事件發生概率、類型、強度、危害度等，并計算該節點在當前時間下的安全態勢值.6)整體工控安全態勢評估.在節點態勢的基礎上融合得到整體工控安全態勢.7)節點態勢預測.基于節點態勢的歷史數據和當前數據，預測下一個時間的安全態勢.8)整體工控安全態勢預測.在節點態勢預測的基礎上融合得到整體工控安全態勢發展趨勢.工控安全態勢分析與預測框架.

　　工業控制系統中各安全傳感器采集到的數據具有如下特性：數據量巨大、高維度、多源、多層面、信息稀疏、結構化、非結構化和半結構化并存等.在使用這些數據之前必須對數據進行預處理，包括清除數據中的無關屬性和噪聲;再根據安全事件的關聯關系將數據進行融合關聯、編群、標準化表示;然后利用深度學習算法、大數據挖掘方法以及設備基檢測、網絡基檢測、安全事件分析等發現工控系統異常行為和攻擊事件.基于安全事件，結合節點的資產價值、脆弱性信息以及安全策略信息，在對指標進行量化后，基于多源信息對節點安全態勢進行評估和預測，最終融合得到整體工控安全態勢評估和預測信息.

　　2工控安全態勢評估與預測技術

　　2.1本文基于2種途徑發現工控安全事件：

　　1)基于已知攻擊知識庫的攻擊分類，得到攻擊特征屬性(包括攻擊種類、強度、危害度、發生頻率、攻擊意圖、攻擊路徑等)，此過程是對現有已知攻擊的發現;2)建立工控系統要素的正常行為模板，將偏離正常行為模板的事件視為威脅，實現對未知工控攻擊的發現.

　　2.2.1工業控制系統行為輪廓特征構建及提取

　　工業控制系統行為輪廓的建立基于對工控攻擊過程和特征的深入分析和研究.根據具體的工控攻擊類型以及攻擊階段的劃分，定義每個階段的特征屬性，這些特征屬性構成了某個實體的行為輪廓.依據攻擊的時間關系和空間關系(如IP關聯、端口關聯、進程關聯等)將不同階段的特征進行關聯.特征屬性值有定性和定量2種取值方式.

　　以針對工業控制系統的典型APT攻擊為檢測對象，可將攻擊分為8個階段：①探測;②獲取訪問權限;③內部偵察;④擴展權限;⑤收集信息;⑥抽取信息;⑦控制;⑧消除痕跡.各個階段采用的攻擊方法以及對應的攻擊特征.

　　根據這些攻擊特征建立工業控制系統行為輪廓.針對網絡流量可考慮的特征屬性為源IP，目的IP，源端口，目的端口，連接類型，內容類型，行為動作類型，各種統計特性(如包的數量、平均包長、方差)等. 基于挖掘構建的行為輪廓特征(反映正常行為習慣模式)，對實時上報的工控安全數據進行實時匹配，對發現的偏離正常行為或習慣行為輪廓的網絡活動形成異常告警.

　　工業控制系統行為分析的關鍵是對工業控制系統行為進行建模，確定工業控制系統行為與安全數據的對應關系，從而從安全數據中提煉出工業控制系統行為，支撐對行為輪廓特征的挖掘和匹配.

　　2.2.2基于深度學習的工業控制系統安全攻擊檢測

　　引起工業控制系統節點的安全態勢發生改變的主要原因是針對該節點的攻擊行為.工控安全態勢評估的首要任務是對攻擊行為的檢測，主要包括針對具體節點的攻擊類型識別和攻擊路徑重構.1)攻擊類型識別攻擊類型識別是對工業控制系統中正在發生的已知攻擊行為的識別，本質是對攻擊行為的分類.

　　具體過程是針對某個具體的工業控制系統節點，收集針對該節點有攻擊發生和無攻擊發生的所有日志信息，利用這些具有標簽的日志信息訓練學習模型，訓練形成的學習模型即可對新的輸入信息進行分類識別.傳統淺層機器學習方法無法有效解決海量、原始、高速、復雜的工控安全大數據的分類問題，一方面數據特征的高維度使得傳統機器學習算法學習不到任何知識，另一方面海量高速的大數據使得傳統算法在現有的平臺下無法運行.目前，表達能力強的深度模型能夠挖掘海量數據中蘊含的豐富信息，通過深度學習網絡從原始高維的攻擊特征向量中提取低維度的結構性攻擊特征向量，作為后續的機器學習算法的輸入.

　　本文采用基于深度信念網絡(deepbeliefnets，DBN)的機器學習分類算法發現大數據環境下的工控攻擊.①數據預處理.對原始工控大數據集的屬性進行指標化、歸一化處理，得到標準化工控安全數據集.②DBN特征降維.利用DBN對標準化工控安全數據集進行預訓練和權值微調，獲得最優的低維數據集.③分類器構建.利用多源支持向量機、深度神經網絡等構建分類器(二分類)，基于低維數據集進行工控安全威脅發現.本文構建了基于層疊的限制玻爾茲曼機(restrictedBoltzmannmachine，RBM)的DBN模型.學習DBN的過程就是非監督、貪婪地逐層訓練RBM的過程.

　　2)攻擊路徑重構在大多數情況下，一個攻擊過程包括多個攻擊步驟，涉及工業控制系統中多個設備和多種服務.通過攻擊路徑重構可以發現所有可能受到威脅的設備或服務，從而對設備的安全態勢以及整體的工控安全態勢進行評估.攻擊路徑重構可基于攻擊圖，逆向回溯找出所有可能的攻擊路徑.攻擊圖是從攻擊者的角度出發，基于工業控制系統的配置和脆弱性信息，分析工控安全威脅、攻擊和脆弱性之間的依賴關系，構建出所有可能的攻擊路徑.3)攻擊信息統計在識別攻擊類型以及攻擊路徑重構的基礎上，對該攻擊的相關信息進行統計計算，這些信息包括攻擊頻率、危害度、等級(強度)等.

　　2.2.3基于大數據挖掘的工業控制系統安全事件檢測基于分類的攻擊檢測只能發現已知的工控攻擊行為，對于新的安全事件或者未知的攻擊行為無能為力.安全事件的發生將引起工業控制系統狀態的改變，使得系統的狀態偏離正常行為模式.因此，本文的工業控制系統安全事件檢測采用基于異常檢測的思想，通過建立工控節點或服務的正常行為模式，分析引起行為模式發生改變的事件，如果改變超過給定的閾值則可判定為安全事件.

　　2.3基于信息融合的工控安全態勢評估

　　多源數據具有冗余性、互補性和低代價等特點，可以降低系統的不確定性，工控安全態勢評估采用多源信息融合思想，能夠更準確地生成工業控制系統的安全態勢.首先利用針對工控節點的態勢因素及其量化特征值，采用基于多源多層次信息融合的方法評估節點的安全態勢值，從而進一步融合得到整體工控安全態勢值.

　　通過融合工控攻擊信息和異常行為信息得到威脅態勢，通過融合脆弱性信息和節點安全策略信息得到脆弱性態勢，通過工控資產信息得到資產態勢，在此三者的基礎上進一步融合得到節點的安全態勢.子系統由若干個工控節點和服務構成，整體工業控制系統由若干個子系統構成，采用加權求和的方法得到子系統和全局的安全態勢值.

　　3驗驗證

　　本文采用2014年密西西比州立大學構建的電力工控系統攻擊數據集[14]，該數據集包含500多萬條電力工業控制系統的數據，以120次?s的速率進行采樣.該數據集被分為3大類，每類都包含37種電力工控系統的場景，其中自然事件8種、攻擊事件28種，還有1種是無任何事件.首先按照本文提出的基于信息融合的工控安全態勢評估方法對該數據集進行評估，并與基于粗糙集的實時網絡安全態勢評估方法進行對比[4]，得出安全態勢評估值.

　　經過計算，2種方法之間的誤差為8.12%，說明本文提出的基于信息融合的工控安全態勢評估方法基本是合理有效的.然后按照本文提出的基于統計學習理論的工控安全態勢預測方法進行預測，并與基于D-S證據理論的網絡安全態勢預測方法[6]進行對比，得出安全態勢預測值.經過計算，本文方法與實際安全態勢值誤差為8.16%，基于D-S證據理論的預測結果與實際安全態勢值誤差為12.39%.可以看出在安全態勢值發生劇烈變化時，2種預測方法在這些劇烈變化點的預測準確度有待提高.總體可以看出本文提出的基于統計學習理論的工控安全態勢預測方法相對更加準確.

　　4結語

　　本文提出一種工控安全態勢評估與預測框架，對工控安全態勢度量模型、行為輪廓特征構建及提取、安全攻擊檢測、安全事件檢測等技術開展研究，實現了基于信息融合的工控安全態勢評估和基于統計學習理論的工控安全態勢預測，形成了針對工控安全態勢評估與預測的整體解決方案，并通過實驗驗證了本文方法的有效性，為工業控制系統安全研究與研發工作提供支持.下一步，將圍繞態勢預測中部分特殊時間點預測準確度不佳的問題，利用深度學習等方法的反饋機制，提升預測準確度.

　　參考文獻

　　[1]StofferK，FalcoJ，ScarfoneK.Guidetoindustrialcontrolsystems(ICS)security[EB?OL].(2014-06-11)[2021-10-13].

　　[2]鎖延鋒，王少杰，秦宇，等.工業控制系統的安全技術與應用研究綜述[J].計算機科學，2018，45(4)：25-33

　　[3]王瑞，李芯蕊，馬雙斌.基于PSO-SVR的網絡態勢預測模型[J].信息安全研究，2018，4(8)：734-738

　　[4]吳朝雄，王曉程，王紅艷，等.基于粗糙集的實時網絡安全態勢評估的研究[J].計算機科學，2015，42(6)：435-437

　　[5]肖喜生，彭凱飛，龍春.基于人工智能的安全態勢預測技術研究綜述[J].信息安全研究，2020，6(6)：506-513

　　[6]石波，謝小權.基于D-S證據理論的網絡安全態勢預測方法研究[J].計算機工程與設計，2013，34(3)：821-825

　　[7]管磊，胡光俊，王專.基于大數據的網絡安全態勢感知技術研究[J].信息網絡安全，2016，16(9)：45-50

　　[8]劉磊，王慧強，梁穎.基于模糊層次分析的網絡服務級安全態勢評價方法[J].計算機應用，2009，29(9)：2327-2331

　　作者：石波