緒論:在尋找寫作靈感嗎���?愛發(fā)表網(wǎng)為您精選了8篇工業(yè)互聯(lián)網(wǎng)安全分析,愿這些內(nèi)容能夠啟迪您的思維��,激發(fā)您的創(chuàng)作熱情���,歡迎您的閱讀與分享!
篇1
關鍵詞:工業(yè)互聯(lián)網(wǎng)���;大數(shù)據(jù)����;數(shù)據(jù)采集;數(shù)據(jù)集成����;數(shù)據(jù)分析
大數(shù)據(jù)作為一種通用技術應用在各個行業(yè),為數(shù)據(jù)的管理和應用提供重要的技術支撐�����,近年來��,隨著工業(yè)互聯(lián)網(wǎng)的快速發(fā)展�����,相較于傳統(tǒng)的應用型數(shù)據(jù)�����,數(shù)據(jù)源范圍擴大�,數(shù)據(jù)邊界不在清晰,包括設備����、系統(tǒng)�����、網(wǎng)絡���、平臺等數(shù)據(jù),數(shù)據(jù)種類存在復雜的多樣性����,且數(shù)據(jù)流動方向和路徑復雜,數(shù)據(jù)采集和數(shù)據(jù)集成難度也很大���,本文從工業(yè)互聯(lián)網(wǎng)大數(shù)據(jù)通用架構進行概要解析���。
1大數(shù)據(jù)平臺概述
工業(yè)互聯(lián)網(wǎng)大數(shù)據(jù)應用的整體架構一般分為四個部分:采集后臺、數(shù)據(jù)��、應用前臺以及運維管理�����。
1.1采集后臺
通常利用主動探測掃描��、通信流量監(jiān)測�����、被動蜜罐誘捕以及信息系統(tǒng)數(shù)據(jù)對接等技術手段����,實現(xiàn)數(shù)據(jù)采集的功能,采集數(shù)據(jù)源一般包括互聯(lián)網(wǎng)數(shù)據(jù)�,工業(yè)互聯(lián)網(wǎng)相關聯(lián)網(wǎng)資產(chǎn)、資產(chǎn)漏洞�����、安全事件����、威脅情報、關鍵信息基礎設施數(shù)據(jù)等�。
1.2數(shù)據(jù)
智能大數(shù)據(jù)分析與建模平臺,定位于降低數(shù)據(jù)洞察阻力�、大數(shù)據(jù)使用門檻、數(shù)據(jù)交換成本����、數(shù)據(jù)監(jiān)控難度以及提升數(shù)據(jù)洞察廣度、探索深度、交換速度和監(jiān)控精度���,滿足各類數(shù)據(jù)的集成�����、計算�、存儲���、挖掘��、管理等需求����。
1.3應用前臺
基于數(shù)據(jù)提供的底層數(shù)據(jù)�����,進行數(shù)據(jù)分析�,支撐基礎資源管理、網(wǎng)絡安全態(tài)勢感知�����、APP情報動態(tài)線索挖掘、工業(yè)互聯(lián)網(wǎng)安全等多個頂層應用����,一般可服務于多部門����、多業(yè)務、多場景��。
1.4運維管理
實現(xiàn)系統(tǒng)自身的運維管理���,一般包括系統(tǒng)管理�、安全管理��、智能監(jiān)控��、告警處理等功能��。2大數(shù)據(jù)平臺功能
2.1采集后臺
2.1.1接入數(shù)據(jù)源分析2.1.1.1互聯(lián)網(wǎng)流量通過部署流量探針的方式���,接入基礎電信企業(yè)流量���,主要是互聯(lián)網(wǎng)專線流量��、特定對象的牽引流量等���,生成包括通聯(lián)日志、報文樣本����、域名日志、HTTP日志�、惡意代碼日志等各類日志。2.1.1.2主動探測數(shù)據(jù)通過公網(wǎng)部署掃描設備��,實施安全掃描����,主要針對重保用戶的網(wǎng)頁、應用商店APP的爬取�����,以及基于IP段的關鍵信息基礎設施的掃描發(fā)現(xiàn)�����。2.1.1.3相關部門和企業(yè)已建系統(tǒng)數(shù)據(jù)相關已建系統(tǒng)的數(shù)據(jù)主要包括:網(wǎng)安技術管理平臺�����、基礎監(jiān)測系統(tǒng)、信安系統(tǒng)�����、企業(yè)側安全監(jiān)測系統(tǒng)等�����。2.1.2數(shù)據(jù)采集數(shù)據(jù)采集系統(tǒng)包括采集基礎電信企業(yè)流量�,爬取互聯(lián)網(wǎng)網(wǎng)頁/APP內(nèi)容��,被動誘捕網(wǎng)絡攻擊行為��,主動掃描獲取關基數(shù)據(jù)�����、重保網(wǎng)站的數(shù)據(jù)���、以及現(xiàn)有系統(tǒng)的數(shù)據(jù)資源共享�,對“主動+被動”方式獲取的數(shù)據(jù)進行解析��,提取各類用以支撐網(wǎng)絡安全監(jiān)測分析業(yè)務的數(shù)據(jù)。2.1.2.1互聯(lián)網(wǎng)流量采集在關鍵網(wǎng)絡節(jié)點部署流量采集探針����,負責網(wǎng)絡原始流量的采集,提取各類用以支撐網(wǎng)絡與信息安全監(jiān)測分析業(yè)務的數(shù)據(jù)����。輸出的日志一般包括通聯(lián)日志、報文樣本��、域名日志�����、HTTP日志和惡意代碼日志����。通過相應匯聚分流設備進行流量的同源同宿、負載均衡處理�����,輸出至網(wǎng)絡流量探針專用設備����。通過流量探針專用設備實現(xiàn)互聯(lián)網(wǎng)流量采集�、協(xié)議解析和訪問日志提取����,將輸出的日志存入數(shù)據(jù)支撐上層業(yè)務應用分析。2.1.2.2互聯(lián)網(wǎng)內(nèi)容爬取網(wǎng)絡爬蟲主要實現(xiàn)對網(wǎng)頁內(nèi)容以及APP內(nèi)容的爬取下載����,供上層應用進行分析。(1)網(wǎng)頁爬蟲:互聯(lián)網(wǎng)用戶訪問的網(wǎng)頁浩如煙海�����、數(shù)量龐大,傳統(tǒng)的互聯(lián)網(wǎng)爬蟲技術已經(jīng)不能滿足當前網(wǎng)頁信息獲取的準確性�����、全面性���、及時性的要求,因此,可以采用并行爬蟲技術和IP池技術,讓爬蟲的質量、覆蓋率���、爬取效率等性能得到全面的提升���。(2)APP爬蟲:通過積累大量的互聯(lián)網(wǎng)詐騙網(wǎng)站,使用蜘蛛爬蟲技術和ip池技術,24小時不間斷的對網(wǎng)絡中的互聯(lián)網(wǎng)詐騙網(wǎng)站進行爬取��。2.1.2.3關鍵信息基礎設施數(shù)據(jù)采集一般采用網(wǎng)絡資產(chǎn)探測識別設備進行主動掃描采集數(shù)據(jù)����,同時結合網(wǎng)絡流量被動分析���,形成一套完整的網(wǎng)絡資產(chǎn)及其指紋庫信息��,指紋信息包含系統(tǒng)指紋��、應用指紋�、網(wǎng)站指紋等����,從而可以對網(wǎng)站、域名����、IP等基礎資源數(shù)據(jù)形成本地的互聯(lián)網(wǎng)信息庫,為網(wǎng)絡安全漏洞分析���、安全漏洞預警等提供有效數(shù)據(jù)支撐��。
2.2數(shù)據(jù)
2.2.1數(shù)據(jù)集成數(shù)據(jù)集成支持數(shù)據(jù)采集��、過濾���、緩存�、中轉分發(fā)調(diào)度等�,是內(nèi)外數(shù)據(jù)交換的通道,完成數(shù)據(jù)在組件間及層次間中轉����、緩沖及調(diào)度。一般會采用數(shù)據(jù)集成ETL模塊���,包括數(shù)據(jù)采集模塊���、數(shù)據(jù)清洗和轉換模塊�,其中數(shù)據(jù)采集模塊一般包括批量結構化數(shù)據(jù)采集、半結構化數(shù)據(jù)采集�����、非結構化數(shù)據(jù)采集����;數(shù)據(jù)清洗與轉換模塊一般也包括結構化數(shù)據(jù)清洗與轉換��、半結構化數(shù)據(jù)清洗與轉換��、非結構化數(shù)據(jù)清洗與轉換三個模板��。2.2.2數(shù)據(jù)計算2.2.2.1流式計算一般具備流計算能力����,可基于flink集群���,支持讀取kafka�����、socket����、hdfs的數(shù)據(jù)源里的數(shù)據(jù)����,通過配置stdp、字段定義解析器�,將數(shù)據(jù)通過輸出統(tǒng)計組件����、統(tǒng)計監(jiān)控組件��、窗口��、水印設置�,最終輸出規(guī)則配置,統(tǒng)計結果輸出��。2.2.2.2實時計算實時計算模塊一般可提供了高吞吐�、低延遲、高性能的流處理能力���。2.2.2.3離線計算大數(shù)據(jù)離線計算���,就是利用大數(shù)據(jù)的技術棧(主要是Hadoop),在計算開始前準備好所有輸入數(shù)據(jù)�����,該輸入數(shù)據(jù)不會產(chǎn)生變化����,且在解決一個問題后就要立即得到計算結果的計算模式。離線計算特點如下:(1)數(shù)據(jù)量巨大�����,保存時間長�����。(2)在大量數(shù)據(jù)上進行復雜的批量運算�����。(3)數(shù)據(jù)在計算之前已經(jīng)完全到位�,不會發(fā)生變化。2.2.3數(shù)據(jù)存儲大數(shù)據(jù)平臺的數(shù)據(jù)存儲���,一般包括結構化數(shù)據(jù)存儲模塊���、NOSQL數(shù)據(jù)存儲模塊、非結構化數(shù)據(jù)存儲模塊以及圖數(shù)據(jù)存儲模塊���。數(shù)據(jù)存儲是大規(guī)模通用集群存儲系統(tǒng)�,對外支持標準文件訪問接口���。數(shù)據(jù)存儲層采用MPP分布式列式數(shù)據(jù)庫系統(tǒng)�����、分布式集群存儲系統(tǒng)�、Hadoop系統(tǒng)、分布式數(shù)據(jù)倉庫和分布式圖關系數(shù)據(jù)庫系統(tǒng)�。用于存儲結構化數(shù)據(jù)、NOSQL數(shù)據(jù)��、非結構化數(shù)據(jù)以及圖數(shù)據(jù)的存儲與訪問���。2.2.4數(shù)據(jù)挖掘2.2.4.1IDE引擎通過可視化界面�����,進行創(chuàng)建��、管理�����、編輯腳本����,使用人員可在界面上對數(shù)據(jù)進行操作��,系統(tǒng)通過調(diào)用不同的IDE引擎下發(fā)相應的指令��,操作對應的數(shù)據(jù)服務組件����,返回相應的數(shù)據(jù)結果。2.2.4.2數(shù)據(jù)探索數(shù)據(jù)探索是在具有較為良好的樣本后�,對樣本數(shù)據(jù)進行解釋性的分析工作,它是數(shù)據(jù)挖掘較為前期的部分����。數(shù)據(jù)探索并不需要應用過多的模型算法,相反���,它更偏重于定義數(shù)據(jù)的本質�、描述數(shù)據(jù)的形態(tài)特征并解釋數(shù)據(jù)的相關性�����。通過數(shù)據(jù)探索的結果�,可以更好的開展后續(xù)的數(shù)據(jù)挖掘與數(shù)據(jù)建模工作。2.2.5數(shù)據(jù)管理2.2.5.1數(shù)據(jù)共享通過固定接口(如webservice接口��、FTP傳輸、數(shù)據(jù)庫以及組件�,封裝后的API接口等),將數(shù)據(jù)共享到各應用平臺進行應用�����。提供統(tǒng)一應用接口進行數(shù)據(jù)共享�����,相關接口主要包括數(shù)據(jù)接入適配�、流處理接口適配、數(shù)據(jù)查詢接口適配��、數(shù)據(jù)分析接口適配��、用戶管理接口適配����、系統(tǒng)對外開發(fā)接口等。2.2.5.2數(shù)據(jù)資產(chǎn)數(shù)據(jù)資產(chǎn)主要涉及到各類數(shù)據(jù)源采集的數(shù)據(jù)�,包括:威脅情報庫、漏洞庫�����、病毒庫、nv-彄�����、僵木蠕特征庫���;基礎信息庫、企業(yè)庫���、IP庫����、域名庫2.2.5.3數(shù)據(jù)安全通過數(shù)據(jù)訪問策略制定��,數(shù)據(jù)加密脫敏��,日志審計等方式�,保障數(shù)據(jù)數(shù)據(jù)安全,確保經(jīng)過傳輸和交換的數(shù)據(jù)不會發(fā)生增加�����、修改��、丟失和泄露。
2.3應用前臺
2.3.1數(shù)據(jù)分析在企業(yè)的數(shù)據(jù)分析項目中���,數(shù)據(jù)駕駛艙是系統(tǒng)搭建的一個重要過程���。通過數(shù)據(jù)駕駛艙,可以將采集的數(shù)據(jù)形象化����、直觀化、具體化�,為企業(yè)業(yè)務的相關決策提供支撐。數(shù)據(jù)駕駛艙提供的是一個管理過程��,讓數(shù)據(jù)能夠以更加有組織的方式來進行體現(xiàn)����。2.3.2業(yè)務應用基于數(shù)據(jù)以及應用前臺的數(shù)據(jù)分析能力,可支撐包括基礎資源管理����、網(wǎng)絡安全態(tài)勢感知、APP情報動態(tài)線索挖掘�����、工業(yè)互聯(lián)網(wǎng)安、物聯(lián)網(wǎng)安全等常見應用場景在內(nèi)的各種業(yè)務����、應用場景。
2.4運維管理
2.4.1系統(tǒng)管理針對系統(tǒng)進行統(tǒng)一的用戶管理����、角色管理�����、權限管理�����、日志管理和資源管理等功能����,能夠統(tǒng)一管理分布在不同網(wǎng)絡和地域的多個數(shù)據(jù)中心集群,封裝各類數(shù)據(jù)存儲和處理引擎的功能�,為不同地域和網(wǎng)絡的數(shù)據(jù)中心系統(tǒng)提供統(tǒng)一的邏輯視圖,為系統(tǒng)的管理員和用戶提供一站式服務����。2.4.2安全管理借助于防火墻��、防病毒等安全產(chǎn)品��,平臺實現(xiàn)安全機制:認證機制��、授權機制�、訪問控制�����、機密性和完整性��。2.4.3智能監(jiān)控通過通用的數(shù)據(jù)采集模板和和終端采集程序匯集數(shù)據(jù)���,通過強大的ETL能力將數(shù)據(jù)遷移到監(jiān)控����,實現(xiàn)監(jiān)控數(shù)據(jù)的集中分析和展示�。2.4.4告警處理一般大數(shù)據(jù)平臺具備告警處理功能,對平臺的運行狀態(tài)進行全面監(jiān)測�,提供運行異常及時發(fā)現(xiàn)和告警,系統(tǒng)部分故障的準確定位��;同時,實現(xiàn)基礎資源的統(tǒng)一化管理��,為管理人員的維護決策提供重要支撐��。
3結束語
目前各類大數(shù)據(jù)平臺均是基于大數(shù)據(jù)分析核心擴展出各類組件��,國內(nèi)外的應用技術已經(jīng)成熟���。大數(shù)據(jù)脫離了對數(shù)據(jù)的治理和應用就失去了數(shù)據(jù)的靈魂����,根據(jù)行業(yè)領域不同����,大數(shù)據(jù)平臺所做的數(shù)據(jù)治理�����、標準化��、數(shù)據(jù)管理和其他所需功能和展現(xiàn)的形式�����,將會存在較大不同。
參考文獻
[1]李杰.從大數(shù)據(jù)到智能制造[M].上海交通大學出版社,2016.
[2]孫念,傅為政.基于大數(shù)據(jù)的工業(yè)互聯(lián)網(wǎng)安全分析[J].數(shù)字通信世界,2020(05).
篇2
【 關鍵詞 】 移動互聯(lián)網(wǎng)�;惡意軟件;樣本自動化分析
1 引言
我國移動互聯(lián)網(wǎng)正處在快速發(fā)展的歷史機遇中�,手機應用軟件(APP)層出不窮、繁榮發(fā)展���。但由于安卓系統(tǒng)的開源和開放性�����,手機木馬�����、手機病毒等各類惡意APP也開始出現(xiàn)并迅速增粘����,安卓平臺的安全形勢越來越不容樂觀���。
根據(jù)360安全中心的《2012年中國手機安全狀況報告》顯示�����,2012年360互聯(lián)網(wǎng)安全中心新增手機惡意軟件樣本174977款����,同比2011年增長1907%,感染人次71664334人次�,同比2011年增長160%;其中����,Android平臺以新增樣本123681款,占全部新增樣本數(shù)量的71%���,感染量達51746864人次��,占惡意軟件感染總次數(shù)的78%���,成為手機惡意軟件的主要感染平臺。2012年12月��,其更以單月新增30809款達到歷史新高����。
惡意軟件導致的移動終端個人信息泄露問題日益嚴峻����,相關負面報道的不斷出現(xiàn)��,例如2011年12月��,一款名為CarrierIQ(簡稱CIQ)的內(nèi)核級間諜軟件被曝光�,該軟件會暗中收集用戶隱私信息����,甚至每按下一次鍵盤都會被秘密地記錄在案,并將手機內(nèi)容上傳至網(wǎng)絡�,讓手機用戶對隱私泄露產(chǎn)生恐慌。
隨著個人信息泄露問題日益嚴峻�����,智能手機終端個人信息保護日益受到人們關注�����,迫切需求制定移動互聯(lián)網(wǎng)軟件安全標準�,研發(fā)移動互聯(lián)網(wǎng)智能手機惡意軟件監(jiān)測、分析和查殺的相關技術和產(chǎn)品����,保護用戶個人信息安全,為用戶提供安全可控的移動互聯(lián)網(wǎng)安全產(chǎn)品和服務�。
2 手機惡意軟件自動分析檢測技術發(fā)展
對手機惡意軟件的樣本進行分析和鑒定���,需要有一套自動化的分析和檢測系統(tǒng)。目前����,對手機惡意軟件樣本的自動化分析技術主要包括兩類。
(1)靜態(tài)掃描技術:包括兩種��,一種是傳統(tǒng)的特征碼掃描匹配技術��,另一種是基于數(shù)據(jù)挖掘的樣本識別與分析技術����,例如項目承擔單位實現(xiàn)了基于機器學習的樣本人工智能分析技術,亦即:在建立大量已知黑白樣本的訓練集基礎之上�����,采用人工智能機器學習算法����,對程序文件的靜態(tài)����、行為等特征進行抽取����,建立一定的機器學習模型����,經(jīng)過對新樣本的不斷訓練,訓練模型將在檢出率和誤報率之間達到一個較好的平衡�����,從而實現(xiàn)對未知惡意軟件的智能啟發(fā)式識別能力���。
(2)動態(tài)行為分析技術:即在一個特定的模擬環(huán)境中�����,監(jiān)控應用軟件的行為���,建立惡意軟件行為的動態(tài)模型,形成一系列惡意軟件行為的規(guī)則庫����,通過實時監(jiān)控識別未知的可疑惡意軟件。
3 360移動互聯(lián)網(wǎng)惡意軟件檢測分析平臺
3.1 系統(tǒng)總體架構
360移動互聯(lián)網(wǎng)惡意軟件自動化分析系統(tǒng)的總體設計方案如圖1所示。
3.1.1終端惡意軟件查殺
惡意軟件查殺的技術路線主要從客戶端和云端實現(xiàn)惡意軟件的監(jiān)控與防御――在手機客戶端實現(xiàn)主動防御功能���,在云端實現(xiàn)聯(lián)網(wǎng)云查殺的接口服務�。其中��,主動防御是對系統(tǒng)事件進行實時監(jiān)控�,即當發(fā)現(xiàn)手機客戶端有異常行為,如未經(jīng)用戶同意即發(fā)送付費短信��,或者私自聯(lián)網(wǎng)時��,可以在第一時間進行攔截�����,并且明確提示用戶(由用戶決定是否繼續(xù)此行為以及對該軟件的后續(xù)處理)�����。
對于普通用戶來說���,由于軟件信息不夠透明����,用戶可能仍無法定性軟件是否真的為惡意,因此僅有主動防御對于根除惡意軟件是不夠的���。采用云安全系統(tǒng)設計,用戶可以通過與服務器的交互進行“云查殺”――由手機客戶端提取該軟件的特征碼信息���,上傳至服務端進行即時校驗�,然后返回該軟件的具體信息向用戶展現(xiàn)����,幫助用戶做出準確判斷。
3.1.2服務器端手機惡意軟件樣本自動化分析檢測
通過對手機應用軟件的使用特點及其面臨的安全風險進行分析��,選取和使用相應的自動化分析技術和軟件權限檢測技術���。從安裝與卸載�����、程序訪問權限��、數(shù)據(jù)安全性����、通訊安全性以及人機接口安全性等方面的技術對手機應用軟件的安全性進行檢測,防止非授權訪問����、異常執(zhí)行等。
主要包括三部分技術實現(xiàn):靜態(tài)的智能終端惡意代碼識別技術���;智能終端惡意代碼樣本收集和特征提取技術�����;基于動態(tài)分析的權限識別技術的實現(xiàn)��。
3.2 云端手機惡意軟件自動化分析檢測技術
360在云端實現(xiàn)軟件安全性分析與權限檢測的技術實現(xiàn)方法如圖2所示���。
(1) 靜態(tài)的智能終端惡意代碼識別技術
惡意代碼的識別技術主要分為兩類:基于靜態(tài)特征的惡意代碼識別技術、基于動態(tài)分析的惡意代碼識別技術���,本工具研究中將采取靜態(tài)分析和動態(tài)分析結合的技術路線�。
基于靜態(tài)特征的惡意代碼識別技術基于樣本分析軟件的生產(chǎn)者�����、軟件唯一ID����、簽名證書信息��、版本����、安裝包文件特征(每個文件大小�����、數(shù)量����、時間)��、可執(zhí)行文件特征����、權限等靜態(tài)特征信息,對可疑程序進行分析和特征匹配�,從而判斷是否為惡意代碼。
通過反編譯軟件包的源代碼并對源代碼進行掃描�,找出具有惡意代碼特征的片段,并對其進行分析�����。關鍵分析涉及吸費行為、個人隱私��、聯(lián)網(wǎng)行為等可能出現(xiàn)安全問題的行為���,如圖3所示��。
(2) 基于動態(tài)行為監(jiān)控分析的識別技術
主要有兩種方法��。一種是建立系統(tǒng)底層檢測模塊����,使其能夠檢測�、攔截、記錄惡意使用某些敏感權限的行為�。另一種方法是使用鉤子技術(Hook)來檢測對敏感權限相關API的調(diào)用行為。
建立系統(tǒng)底層模塊是指對現(xiàn)有的系統(tǒng)源代碼進行改造�����,加入安全檢測模塊����。檢測工具可以對軟件運行過程中的發(fā)送扣費信息��、非法鏈接�����、非法內(nèi)容��、盜取用戶隱私數(shù)據(jù)的行為進行檢測�����、記錄和處理。其流程如圖4所示����。
使用Hook技術對調(diào)用系統(tǒng)敏感API的行為進行檢測。應用程序請求系統(tǒng)服務時�,首先調(diào)用智能終端上的系統(tǒng)函數(shù)庫,然后由系統(tǒng)函數(shù)庫對智能終端設備內(nèi)核API進行系統(tǒng)調(diào)用��。在進行用戶級調(diào)用和系統(tǒng)調(diào)用時設置監(jiān)聽攔截器��,對應用程序調(diào)用信息進行監(jiān)聽�����、收集,將這些信息傳遞給檢測引擎���,檢測引擎提取軟件行為庫中的軟件行為模型與監(jiān)聽攔截的系統(tǒng)調(diào)用信息進行比對����,將比對信息傳遞給分析引擎����,分析引擎對這些信息進行分析,得出軟件的行為特征����。其流程如圖5所示。
4 基于海量用戶群體智慧的惡意行為分析
手機惡意軟件的自動化檢測技術仍處于其發(fā)展初期階段��。由于手機應用的特點����,應用的部分敏感行為需要結合用戶實際操作場景才能做出準確判斷,這給完全自動化的檢測帶來的障礙���。
我們正在嘗試在360手機衛(wèi)士軟件中引入用戶舉報反饋機制��,由海量用戶對特定應用軟件進行涉及用戶隱私信息的敏感操作進行判定��,并將判定結果及上下文信息回傳至云端��,在云端形成海量用戶對應用軟件行為的判定數(shù)據(jù)�����,并進一步通過數(shù)據(jù)挖掘的方法��,實現(xiàn)對軟件惡意行為的分析��。其基本原理如圖6所示�。
360手機終端主動防御模塊,對用戶每款軟件的行為判決��,回傳到云端�����。云端有了億萬用戶對各款軟件的投票之后��,能夠根據(jù)真實用戶對軟件行為的評判���,利用群體智慧,完成軟件的惡意行為分析�。
基于大數(shù)據(jù)的云計算����,包括三個核心模塊�。
1)MapReduce計算框架。云端可以靈活地選取不同時間窗內(nèi)的用戶評判�����,利用分布式計算����,快速得出結果,并做交叉驗證���。
2)智能用戶分類算法����。采用聚類/分類算法��,根據(jù)用戶的安裝軟件情況�,以及對軟件行為的判決,將用戶劃分為若干類����,得到分類用戶的特征���。在時間軸內(nèi)迭代計算,不斷調(diào)優(yōu)用戶的特征參數(shù)�����。
3)采用多種維度的計算方法�����,如二分法����、參與度/覆蓋度排名、90%置信區(qū)間等算法��,結合用戶特征參數(shù)�����,綜合計算軟件的惡意行為的可信度�。
5 結束語
隨著移動互聯(lián)網(wǎng)惡意軟件的爆發(fā)式增長��,惡意軟件自動化分析技術的需求日益強烈。在傳統(tǒng)的PC互聯(lián)網(wǎng)安全領域的靜態(tài)分析和基于行為監(jiān)控的動態(tài)分析方法�,依然適用于手機惡意軟件的自動化分析。與此同時��,針對手機應用的特性����,對于軟件惡意行為的判定依賴于用戶操作場景,給自動化分析帶來障礙����。
在此方面,奇虎360公司開始嘗試依據(jù)海量終端用戶對特定敏感行為的舉報����,通過數(shù)據(jù)挖掘的方法提升樣本自動化分析的能力。
基金項目:
本文研究工作得到“新一代寬帶無線移動通信網(wǎng)”國家科技重大專項課題《移動應用軟件的認證管理軟件開發(fā)》(2012ZX03002029)支持�����。
作者簡介:
卞松山(1981-)���,男�����,畢業(yè)于北京工業(yè)大學�,獲得通信工程專業(yè)學士學位,現(xiàn)任北京奇虎科技有限公司核心安全團隊技術經(jīng)理�����,主要從事手機應用軟件的安全分析檢測的產(chǎn)品技術研發(fā)工作����。
篇3
【 關鍵詞 】 工業(yè)控制系統(tǒng);scada�����;安全防護����;解決方案
1 引言
現(xiàn)代工業(yè)控制系統(tǒng)(ics)包括數(shù)據(jù)采集系統(tǒng)(scada),分布式控制系統(tǒng)(dcs)����,程序邏輯控制(plc)以及其他控制系統(tǒng)等,目前已應用于電力����、水力、石化�����、醫(yī)藥�、食品以及汽車、航天等工業(yè)領域�����,成為國家關鍵基礎設施的重要組成部分��,關系到國家的戰(zhàn)略安全���。為此����,《國家信息安全產(chǎn)業(yè)“十二五”規(guī)劃》特別將工業(yè)控制系統(tǒng)安全技術作為重點發(fā)展的關鍵技術之一�����。
與傳統(tǒng)基于tcp/ip協(xié)議的網(wǎng)絡與信息系統(tǒng)的安全相比��,我國ics的安全保護水平明顯偏低�,長期以來沒有得到關注���。大多數(shù)ics在開發(fā)時,由于傳統(tǒng)ics技術的計算資源有限�,在設計時只考慮到效率和實時等特性,并未將安全作為一個主要的指標考慮���。隨著信息化的推動和工業(yè)化進程的加速���,越來越多的計算機和網(wǎng)絡技術應用于工業(yè)控制系統(tǒng),在為工業(yè)生產(chǎn)帶來極大推動作用的同時�����,也帶來了ics的安全問題���,如木馬�����、病毒���、網(wǎng)絡攻擊造成信息泄露和控制指令篡改等。工業(yè)基礎設施中關鍵ics系統(tǒng)的安全事件會導致出現(xiàn):(1)系統(tǒng)性能下降��,影響系統(tǒng)可用性;(2)關鍵控制數(shù)據(jù)被篡改或喪失���;(3)失去控制;(4)嚴重的經(jīng)濟損失�����;(5)環(huán)境災難�;(6)人員傷亡;(7)破壞基礎設施����;(8)危及公眾安全及國家安全。
據(jù)權威工業(yè)安全事件信息庫risi(repository of security incidents)的統(tǒng)計����,截止2011年10月,全球已發(fā)生200余起針對工業(yè)控制系統(tǒng)的攻擊事件��。2001年后�,通用開發(fā)標準與互聯(lián)網(wǎng)技術的廣泛使用,使得針對ics系統(tǒng)的攻擊行為出現(xiàn)大幅度增長�����,ics系統(tǒng)對于信息安全管理的需求變得更加迫切。
典型工業(yè)控制系統(tǒng)入侵事件:
(1) 2007年����,攻擊者入侵加拿大的一個水利scada控制系統(tǒng),通過安裝惡意軟件破壞了用于取水調(diào)度的控制計算機����;
(2) 2008年,攻擊者入侵波蘭某城市的地鐵系統(tǒng)���,通過電視遙控器改變軌道扳道器�����,導致4節(jié)車廂脫軌����;
(3) 2010年�,“網(wǎng)絡超級武器”stuxnet病毒通過針對性的入侵ics系統(tǒng),嚴重威脅到伊朗布什爾核電站核反應堆的安全運營�����;
(4) 2011年,黑客通過入侵數(shù)據(jù)采集與監(jiān)控系統(tǒng)scada��,使得美國伊利諾伊州城市供水系統(tǒng)的供水泵遭到破壞���。
2 工業(yè)控制系統(tǒng)的安全分析
分析可以發(fā)現(xiàn)����,造成工業(yè)控制系統(tǒng)安全風險加劇的主要原因有兩方面���。
首先,傳統(tǒng)工業(yè)控制系統(tǒng)的出現(xiàn)時間要早于互聯(lián)網(wǎng)����,它需要采用專用的硬件、軟件和通信協(xié)議����,設計上基本沒有考慮互聯(lián)互通所必須考慮的通信安全問題。
其次��,互聯(lián)網(wǎng)技術的出現(xiàn)���,導致工業(yè)控制網(wǎng)絡中大量采用通用tcp/ip技術���,工業(yè)控制系統(tǒng)與各種業(yè)務系統(tǒng)的協(xié)作成為可能�����,愈加智能的ics網(wǎng)絡中各種應用�����、工控設備以及辦公用pc系統(tǒng)逐漸形成一張復雜的網(wǎng)絡拓撲���。另一方面,系統(tǒng)復雜性��、人為事故�、操作失誤、設備故障和自然災害等也會對ics造成破壞�����。在現(xiàn)代計算機和網(wǎng)絡技術融合進ics后�����,傳統(tǒng)icp/ip網(wǎng)絡上常見的安全問題已經(jīng)紛紛出現(xiàn)在ics之上�����。例如用戶可以隨意安裝、運行各類應用軟件���、訪問各類網(wǎng)站信息���,這類行為不僅影響工作效率、浪費系統(tǒng)資源��,而且還是病毒�����、木馬等惡意代碼進入系統(tǒng)的主要原因和途徑�。以stuxnet蠕蟲為例��,其充分利用了伊朗布什爾核電站工控網(wǎng)絡中工業(yè)pc與控制系統(tǒng)存在的安全漏洞(lik文件處理漏洞����、打印機漏洞、rpc漏洞���、wincc漏洞���、s7項目文件漏洞以及autorun.inf漏洞)��。
2.1 安全策略與管理流程的脆弱性
追求可用性而犧牲安全�����,這是很多工業(yè)控制系統(tǒng)存在普遍現(xiàn)象��,缺乏完整有效的安全策略與管理流程是當前我國工業(yè)控制系統(tǒng)的最大難題�����,很多已經(jīng)實施了安全防御措施的ics網(wǎng)絡仍然會因為管理或操作上的失誤�����,造成ics系統(tǒng)出現(xiàn)潛在的安全短板���。例如,工業(yè)控制系統(tǒng)中的移動存儲介質的使用和不嚴格的訪問控制策略���。
作為信息安全管理的重要組成部分�����,制定滿足業(yè)務場景需求的安全策略���,并依據(jù)策略制定管理流程����,是確保ics系統(tǒng)穩(wěn)定運行的基礎���。參照nerccip�����、ansi/isa-99�、iec62443等國際標準���,目前我國安全策略與管理流程的脆弱
性表現(xiàn)為:(1)缺乏安全架構與設計;(2)缺乏ics的安全策略���;(3)缺乏ics安全審計機制����;(4)缺乏針對ics的業(yè)務連續(xù)性與災難恢復計劃�����;(5)缺乏針對ics配置變更管理;(6)缺乏根據(jù)安全策略制定的正規(guī)�����、可備案的安全流程(移動存儲設備安全使用流程與規(guī)章制度�、互聯(lián)網(wǎng)安全訪問流程與規(guī)章制度);(7)缺乏ics的安全培訓與意識培養(yǎng)��;(8)缺乏人事安全策略與流程(人事招聘�����、離職安全流程與規(guī)章制度��、ics安全培訓和意識培養(yǎng)課程)�����。
2.2 工控平臺的脆弱性
由于ics終端的安全防護技術措施十分薄弱�,所以病毒、木馬�����、黑客等攻擊行為都利用這些安全弱點,在終端上發(fā)生�����、發(fā)起��,并通過網(wǎng)絡感染或破壞其他系統(tǒng)����。事實是所有的入侵攻擊都是從終端上發(fā)起的,黑客利用被攻擊系統(tǒng)的漏洞竊取超級用戶權限���,肆意進行破壞�。注入病毒也是從終端發(fā)起的�,病毒程序利用操作系統(tǒng)對執(zhí)行代碼不檢查一致性弱點,將病毒代碼嵌入到執(zhí)行代碼程序��,實現(xiàn)病毒傳播�����。更為嚴重的是對合法的用戶沒有進行嚴格的訪問控制�����,可以進行越權訪問�,造成不安全事故。
目前�,多數(shù)ics網(wǎng)絡僅通過部署防火墻來保證工業(yè)網(wǎng)絡與辦公網(wǎng)絡的相對隔離,各個工業(yè)自動化單元之間缺乏可靠的安全通信機制����,數(shù)據(jù)加密效果不佳,工業(yè)控制協(xié)議的識別能力不理想�����,加之缺乏行業(yè)標準規(guī)范與管理制度��,工業(yè)控制系統(tǒng)的安全防御能力十分有限����。例如基于dcom編程規(guī)范的opc接口幾乎不可能使用傳統(tǒng)的it防火墻來確保其安全性,在某企業(yè)的scada系統(tǒng)應用中�����,需要開放使用opc通訊接口�,在對dcom進行配置后,刻毒蟲病毒(計算機頻繁使用u盤所感染)利用windows系統(tǒng)的ms08-67漏洞進行傳播��,造成windows系統(tǒng)頻繁死機。 另一種容易忽略的情況是�,由于不同行業(yè)的應用場景不同,其對于功能區(qū)域的劃分和安全防御的要求也各不相同�,而對于利用針對性通信協(xié)議與應用層協(xié)議的漏洞來傳播的惡意攻擊行為更是無能為力。更為嚴重的是工業(yè)控制系統(tǒng)的補丁管理效果始終無法令人滿意���,考慮到ics補丁升級所存在的運行平臺與軟件版本限制�����,以及系統(tǒng)可用性與連續(xù)性的硬性要求���,ics系統(tǒng)管理員絕不會輕易安裝非ics設備制造商指定的升級補丁。與此同時���,工業(yè)系統(tǒng)補丁動輒半年的補丁周期��,也讓攻擊者有較多的時間來利用已存在漏洞發(fā)起攻擊�。以stuxnet蠕蟲為例�,其惡意代碼可能對siemens的cpu315-2和cpu417進行代碼篡改,而siemens的組態(tài)軟件(wincc��、step7、pcs7)對windows的系統(tǒng)補丁有著嚴格的兼容性要求����,隨意的安裝補丁可能會導致軟件的某些功能異常���。
2.3 網(wǎng)絡的脆弱性
ics的網(wǎng)絡脆弱性一般來源于軟件的漏洞���、錯誤配置或者ics網(wǎng)絡管理的失誤。另外���,ics與其他網(wǎng)絡互連時缺乏安全邊界控制���,也是常見的安全隱患。當前ics網(wǎng)絡主要的脆弱性集中體現(xiàn)在幾個方面���。
(1) 網(wǎng)絡配置的脆弱性(有缺陷的網(wǎng)絡安全架構���、未部署數(shù)據(jù)流控制、安全設備配置不當����、網(wǎng)絡設備的配置未存儲或備份、口令在傳輸過程中未加密、網(wǎng)絡設備采用永久性的口令���、采用的訪問控制不充分)����。
(2) 網(wǎng)絡硬件的脆弱性(網(wǎng)絡設備的物理防護不充分����、未保護的物理端口、喪失環(huán)境控制����、非關鍵人員能夠訪問設備或網(wǎng)絡連接、關鍵網(wǎng)絡缺乏冗余備份)�����。
(3) 網(wǎng)絡邊界的脆弱性(未定義安全邊界��、未部署防火墻或配置不當����、用控制網(wǎng)絡傳輸非控制流量、控制相關的服務未部署在控制網(wǎng)絡內(nèi))����。
(4) 網(wǎng)絡監(jiān)控與日志的脆弱性(防火墻��、路由器日志記錄不充分���、ics網(wǎng)絡缺乏安全監(jiān)控)�����。
(5) 網(wǎng)絡通信的脆弱性(未標識出關鍵的監(jiān)控與控制路徑���、以明文方式采用標準的或文檔公開的通信協(xié)議�、用戶�、數(shù)據(jù)與設備的認證是非標準的。
(6) 或不存在���、通信缺乏完整性檢查���。
(7) 無線連接的脆弱性(客戶端與ap之間的認證不充分、客戶端與ap之間的數(shù)據(jù)缺乏保護)�。
3 工業(yè)控制系統(tǒng)的安全解決方案
工業(yè)控制系統(tǒng)的安全解決方案必須考慮所有層次的安全防護安全解決方案,必須考慮所有層次的安全防護��。
(1) 工廠安全(對未經(jīng)授權的人員阻止其訪問、物理上防止其對關鍵部件的訪問)�����。
(2) 工廠it安全(采用防火墻等技術對辦公網(wǎng)與自動化控制網(wǎng)絡之間的接口進行控制�����、進一步對自動化控制網(wǎng)絡進行分區(qū)與隔離�����、部署反病毒措施��,并在軟件中采
用白名單機制�����、定義維護與更新的流程)�����。
(3) 訪問控制(對自動化控制設備與網(wǎng)絡操作員進行認證�、在自動化控制組件中集成訪問控制機制)工業(yè)場景下的安全解決方案必須考慮所有層次的安全防護。
根據(jù)國內(nèi)ics及企業(yè)管理的現(xiàn)狀���,建議ics的信息安全機制的建立從三個方面考慮:1)借鑒國際規(guī)范制定適合我國國情的ics分區(qū)分級安全管理及隔離防護機制��,制定相關技術標準���,鼓勵國內(nèi)相關企業(yè)開發(fā)符合相關技術標準的專業(yè)防火墻����、隔離網(wǎng)關等專業(yè)產(chǎn)品�����;2)按ics系統(tǒng)的應用類型建立工控網(wǎng)絡信息安全網(wǎng)絡架構規(guī)范和組網(wǎng)原則����,制定ics系統(tǒng)網(wǎng)絡設備選取及運行管理規(guī)范�����,禁止接入外來不可信存儲設備�����;3)建立市場準入機制并制定相關文件��。
目前,國內(nèi)大型成套設備的ics系統(tǒng)基本上以國外工控系統(tǒng)為主�����,甚至有些設備直接是國外全套進口的��。國外廠商在ics系統(tǒng)集成�����、調(diào)試和后續(xù)維護上有許多辦法和手段以降低工程項目的后期運行維護成本����。其中最典型的手段就是設備的遠程維護,包括監(jiān)控�、診斷、控制和遠程代碼升級��。這些功能的實施通常是借助外部公共網(wǎng)絡平臺遠程操控��。這些功能方便了系統(tǒng)開發(fā)建造商���,但給我們的大型(包括重點)工業(yè)項目的日后運行帶來重大隱患����。外部攻擊者可以通過這些路由控制或改變、介入并控制ics系統(tǒng)��。從信息安全的角度應嚴格控制國外具有遠程外部操作后門的ics系統(tǒng)與裝置進入國內(nèi)核心工控系統(tǒng)����。另外,隨著高性能的通用pc平臺與工控系統(tǒng)對接�����,越來越多的工控核心裝置采用pc硬件平臺和微軟操作系統(tǒng)作為系統(tǒng)的核心����,這樣做的好處是借助pc平臺和微軟軟件系統(tǒng)下的大量高性能軟件資源降低開發(fā)成本����。但這樣做的危害是將工控系統(tǒng)置于pc平臺中的各種病毒和網(wǎng)絡攻擊的威脅下。雖然相關企業(yè)不斷推出各種補丁與升級�,但工控系統(tǒng)24小時常年不斷的運行模式使得這種間歇式的軟件修補與升級顯得非常無助。所以選用基于pc硬件平臺和微軟操作系統(tǒng)的底層ics裝置進入核心工控系統(tǒng)應該予以認真考慮�。
參考文獻
[1] 王孝良,崔保紅���,李思其.關于工控系統(tǒng)的安全思考與建議.第27次全國計算機安全學術交流會���,2012.08.
[2] 張帥.ics工業(yè)控制系統(tǒng)安全分析.計算機安全����,2012.01.
[3] 唐文.工業(yè)基礎設施信息安全.2011.
[4] 石勇�����,劉巍偉�,劉博.工業(yè)控制系統(tǒng)(ics)的安全研究.網(wǎng)絡安全技術與應用,2008.04.
作者簡介:
