【等保高风险项应对】未知威胁防护技术大起底
序言
工业互联网是新一代信息通信技术与工业控制技术深度融合的新型基础设施,通过对人、机、物、系统等的全面连接,构建起覆盖全产业链、全价值链的全新制造和服务体系,为工业乃至产业数字化、网络化、智能化发展提供了实现途径。
在工业互联网业态中IT与OT深度融合,互联网中普遍存在的APT攻击、0day漏洞利用、勒索病毒变种等未知威胁可以以IT网络为跳板,轻易渗透进入OT网络中,对工业控制系统产生重大破坏,直接影响工业控制网络的生产安全。同时,等保2.0标准明确要求“应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析”。通过技术手段应对未知安全威胁,不论是从合规需求还是从实际防护需求,都已经成为工业互联网企业必须要解决的问题。
本文参照等级保护要求,以纵深防御为指导思想,从区域边界、通信网络、计算环境三个方面提出未知安全威胁的防护技术,为工业互联网企业提供未知威胁的应对思路。
工艺“白名单”技术,
构建区域边界未知威胁的防御
图1 “白环境”技术理念三重能力
“白环境”技术理念从能力上可分为三个等级,依次分别是:访问控制白名单、工业协议白名单和业务工艺白名单。目前访问控制白名单和工业协议白名单技术在工业互联网安全防护中被广泛应用,但当未知威胁以一种符合工控协议规约的指令下发时,访问控制白名单和工业协议白名单则束手无策。2014年土耳其输油管道爆炸事件中,黑客渗透进入工控网络之后先后下发了“关闭阀门”、“加压”两条指令。单独来看,这两条指令均是油气管道系统中正常的控制指令,但是由于下发的顺序的不符合业务工艺逻辑,从而导致输油管道爆炸的严重后果!
工艺“白名单”技术通过业务规则学习模块,动态学习业务正常运行全过程的相关控制指令及其之间的关联关系,如指令的周期性和时序等方面,构建符合业务工艺的控制行为基线,在访问控制白名单和工业协议白名单的基础之上,提供更为严格的控制指令过滤,实现了基于指令周期和时序逻辑的生产业务行为逻辑防护。
图2 业务工艺白名单技术原理
基于无监督学习的工艺“白名单”技术不使用历史数据训练,而是动态地从工业网络实时流量中学习,主动获取判断依据,建立工业控制系统的业务模型,进而自行制定出遏制威胁并阻止其传播所需的适当行动。同时,无监督学习可以随着数据环境的变化不断发展其理解,进而实现动态业务模型建立,最终达到识别系统内部已经存在的潜在威胁以及阻止未知安全威胁。
人工智能检测技术,
实现通信网络未知威胁的检测
随着ChatGPT大火,人工智能技术也走进了越来越多人的视野,每个人都看到了人工智能技术的潜力无限。将人工智能应用在威胁检测上,能够实现对全新威胁的适应和预测能力,可以更加智能、精准地发现APT等未知威胁。
基于人工智能检测技术,结合机器学习/深度学习、图像分析等技术,将恶意文件、恶意流量等映射为灰度图像,通过恶意代码家族灰度图像集合训练卷积神经元网络(CNN)深度学习模型,建立检测模型,利用检测模型对恶意代码及其变种进行家族检测。
图3 恶意文件映射为灰度图像进行AI检测
图4 恶意流量映射为灰度图像进行AI检测
基于灰度图像映射的方法可以有效的避免反追踪、反逆向逻辑以及其他常用的代码混淆策略。而且,该技术能够有效地检测使用特定封装工具打包(加壳)的恶意代码,在一定程度上解决了特征检测的人工提取困难、行为检测的时间开销大且误报高等问题。对于恶意代码变种和加壳文件具有优异的检测能力,且具有快速、准确率高、误报率低、跨平台检测等特点。
熵值检测技术,
预防计算环境勒索病毒的侵袭
勒索攻击是当前全球主流攻击手段之一,2021年全球发生的勒索攻击总数量高达6.233亿次,自2019年以来上升比率达到232%。勒索攻击影响范围之广、勒索赎金之高、勒索组织之猖獗、勒索形势之严峻,已远超人民群众的认知,全球医疗、教育、金融、科技、能源等重点行业企业相继遭受勒索软件攻击,引发企业业务停滞、工厂停产等严重后果。有效防范勒索攻击是当前各企业网络安全防护的重点工作。
图5 2019年至2021年全球勒索软件攻击数量对比表
熵是随机性的度量,随机度越高则熵值越高,勒索病毒为了对抗破解,会采用空间较大随机度较高的密钥进行数据加密,进而会导致文件熵值的显著升高。
一般来说,未经加密的数据文件熵值往往介于4.8-7.2之间,而高于7.2的往往是被加密的数据文件。通过检测熵值变化幅度,及熵值增加后的具体数值,可以判断文件是否被加密,基于文件的加密状况,就可以判断访问文件的进程是否是勒索病毒。
图6 合法文件与加密文件熵值直方图
基于熵的检测机制贴合勒索病毒攻击数据文件被篡改的本质,具有较强的检测能力,无论是合法进程被注入、还是不可信的恶意进程,均能被有效检测。
基于熵值检测技术的防勒索系统实时检测系统文件熵值变化情况从而识别勒索病毒加密行为,结合勒索病毒诱捕技术、勒索行为检测技术等机制,可以提高勒索病毒识别的及时性和准确度,有效防御勒索病毒及其变种的攻击。
