工控系統(tǒng)安全監(jiān)測(cè)及溯源系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)*

張 玫，曾 彬，朱成威

(1.中南林業(yè)科技大學(xué)，湖南 長(zhǎng)沙 410000；2.湖南友道信息技術(shù)有限公司，湖南 長(zhǎng)沙 410000; 3.中國(guó)科學(xué)院深?？茖W(xué)與工程研究所，海南 三亞 572000)

0 引言

隨著工業(yè)網(wǎng)絡(luò)的融合發(fā)展，工業(yè)控制系統(tǒng)(Industrial Control System， ICS)面臨的安全形式愈發(fā)嚴(yán)峻，用戶遭受的網(wǎng)絡(luò)攻擊越來(lái)越復(fù)雜和隱蔽[1-2]。ICS逐步由物理隔離的封閉網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn)與IP/IT網(wǎng)絡(luò)融合，在提升效率的同時(shí)，也會(huì)造成傳統(tǒng)的IP/IT系統(tǒng)攻擊行為滲透到工控網(wǎng)絡(luò)中來(lái)，使得工業(yè)協(xié)議漏洞和工業(yè)系統(tǒng)威脅來(lái)源日益增加[3-4]。另一方面，由于ICS工業(yè)通信協(xié)議相對(duì)簡(jiǎn)單、操作系統(tǒng)和軟件缺乏安全性，這些漏洞很容易受到攻擊[5-6]。傳統(tǒng)以“防護(hù)”為主的安全體系面臨極大挑戰(zhàn)：各種檢測(cè)技術(shù)從不同的角度發(fā)現(xiàn)網(wǎng)絡(luò)中可能存在的安全問(wèn)題，但無(wú)法準(zhǔn)確和有效地找出工控網(wǎng)絡(luò)中存在的真實(shí)威脅，對(duì)工業(yè)生產(chǎn)系統(tǒng)的通信行為、工控協(xié)議漏洞、異常事件的捕捉、數(shù)據(jù)的真實(shí)性、完整性進(jìn)行有效監(jiān)控與溯源分析是非常必要的[7-9]。

1 相關(guān)工作

針對(duì)工控系統(tǒng)面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與挑戰(zhàn)，歐美等發(fā)達(dá)國(guó)家在技術(shù)標(biāo)準(zhǔn)、搭建攻防實(shí)驗(yàn)室等方面都加大了投入，比如在 2014年由美國(guó)能源部、美國(guó)愛(ài)荷達(dá)國(guó)家實(shí)驗(yàn)室和Nexdefense公司聯(lián)合開發(fā)的工業(yè)異常檢測(cè)系統(tǒng)(Sophia)正式被宣布為商業(yè)化產(chǎn)品[10]。在國(guó)家政策的扶持下，我國(guó)的工控安全廠商在工控安全領(lǐng)域也取得了不錯(cuò)的進(jìn)展，但是就對(duì)工控網(wǎng)絡(luò)的整體防護(hù)技術(shù)而言，和西方發(fā)達(dá)國(guó)家還有一定的差距。常見(jiàn)工控安全監(jiān)測(cè)分析技術(shù)手段主要包括三種：

圖1 系統(tǒng)整體架構(gòu)圖

圖2 智能采集探針功能模塊框架圖

(1)基于特征庫(kù)匹配，通過(guò)對(duì)工控網(wǎng)絡(luò)中傳輸數(shù)據(jù)與所積累入侵模型進(jìn)行對(duì)比，如具有一致性則判斷為入侵行為從而產(chǎn)生報(bào)警；

(3)基于工控協(xié)議解析，針對(duì)OPC、S7、Modbus等主流工控協(xié)議進(jìn)行深度解析還原，發(fā)現(xiàn)存在的安全漏洞[11-14]。

總體說(shuō)來(lái)，已有的工控安全監(jiān)測(cè)分析系統(tǒng)，對(duì)工業(yè)威脅情報(bào)的理解、分析和感知能力不足，具體表現(xiàn)為：對(duì)工控協(xié)議的支持不足；缺少工控安全事件的歸一化能力；缺少機(jī)器學(xué)習(xí)等智能算法的理解、分析和關(guān)聯(lián)能力，無(wú)法實(shí)現(xiàn)工控網(wǎng)絡(luò)安全態(tài)勢(shì)的多維感知和預(yù)測(cè)等。

2 系統(tǒng)設(shè)計(jì)

系統(tǒng)采用全新的分布式協(xié)同測(cè)量體系架構(gòu)，支持虛擬化部署與分權(quán)分域部署。系統(tǒng)基于“分布式部署、集中化管理”的設(shè)計(jì)理念，安裝部署簡(jiǎn)單，只在需要監(jiān)控的網(wǎng)絡(luò)鏈路中部署分布式智能探針，用于網(wǎng)絡(luò)流量的采集和預(yù)處理，單臺(tái)探針也能同時(shí)監(jiān)測(cè)多條鏈路。

2.1 系統(tǒng)組成

系統(tǒng)采用前端分布式監(jiān)測(cè)采集(智能采集探針)與后臺(tái)集中式綜合分析(數(shù)據(jù)分析中心)的系統(tǒng)結(jié)構(gòu)，充分發(fā)揮網(wǎng)絡(luò)監(jiān)測(cè)探針強(qiáng)大的數(shù)據(jù)采集、存儲(chǔ)與分析能力，提供數(shù)據(jù)平面與控制平面全面的監(jiān)控指標(biāo)與可視化分析。系統(tǒng)整體架構(gòu)如圖1所示。

智能采集探針工作在設(shè)備層、數(shù)據(jù)采集層；數(shù)據(jù)分析中心工作在分析調(diào)度層和交互層。設(shè)備層主要用來(lái)對(duì)鏈路進(jìn)行監(jiān)控，可監(jiān)控鏈路層和網(wǎng)絡(luò)層的流量、應(yīng)用層協(xié)議和鏈路上的硬件設(shè)備；數(shù)據(jù)采集層采集鏈路設(shè)備上的數(shù)據(jù)，支持采集流量、設(shè)備、會(huì)話、業(yè)務(wù)、性能、安全等多元網(wǎng)絡(luò)數(shù)據(jù)，將采集到的數(shù)據(jù)經(jīng)過(guò)格式化處理后進(jìn)行存儲(chǔ)；分析調(diào)度層進(jìn)行智能關(guān)聯(lián)分析，包括多維度流量透視、協(xié)議健康度評(píng)價(jià)、攻擊檢測(cè)與分析、安全事件回溯、綜合態(tài)勢(shì)感知等；交互層提供可視化的管理功能，實(shí)現(xiàn)探針管理、策略管理和數(shù)據(jù)輸入輸出管理。

數(shù)據(jù)分析中心子系統(tǒng)統(tǒng)一管理與控制各分布式探針，以輪詢方式或接收主動(dòng)匯報(bào)方式采集探針的指標(biāo)數(shù)據(jù)，采用B/S方式為用戶提供操作界面，提供工控安全事件檢測(cè)、安全態(tài)勢(shì)感知、流量跟蹤溯源、業(yè)務(wù)健康度分析、故障預(yù)警告警與趨勢(shì)分析等功能，為工業(yè)網(wǎng)絡(luò)運(yùn)行維護(hù)、規(guī)劃設(shè)計(jì)、業(yè)務(wù)部署、協(xié)議研究與設(shè)備研發(fā)提供網(wǎng)絡(luò)運(yùn)行實(shí)際數(shù)據(jù)。

2.2 智能采集探針設(shè)計(jì)

探針通過(guò)鏡像或分光方式全量捕獲流量，這種非侵入式被動(dòng)監(jiān)測(cè)方式不對(duì)工業(yè)生產(chǎn)造成影響。除了底層物理層協(xié)議的不同之外，上層從IP層開始，所有處理方式類似。不同接口采用不同監(jiān)測(cè)分析板卡實(shí)現(xiàn)，如圖2所示。將數(shù)據(jù)包采集、轉(zhuǎn)發(fā)與深度分析相分離，專用板卡在收到數(shù)據(jù)包后立即轉(zhuǎn)發(fā)以保證低延遲的同時(shí)，通過(guò)與主機(jī)CPU共享獨(dú)占內(nèi)存單元的方式依指定規(guī)則將不同組別的數(shù)據(jù)包HASH到不同的CPU上去。系統(tǒng)利用多核特性并行處理和分析每一個(gè)數(shù)據(jù)包、每一條流、每一次業(yè)務(wù)流程，可以廣泛關(guān)聯(lián)，使得充分的帶寬關(guān)懷與凈化策略擴(kuò)展成為可能，從包、流、會(huì)話、文件、協(xié)議元數(shù)據(jù)、網(wǎng)絡(luò)行為、文件行為等多個(gè)層次進(jìn)行檢測(cè)，獲得威脅信譽(yù)、威脅名稱、核心行為等多維度信息，包括指令級(jí)的工業(yè)控制協(xié)議通信記錄。

現(xiàn)在產(chǎn)業(yè)需求側(cè)需要的人才不僅是掌握一定理論基礎(chǔ)，更要有較強(qiáng)實(shí)踐操作技能，這樣的人才炙手可熱。面對(duì)產(chǎn)業(yè)需求側(cè)的需求變化，以培養(yǎng)技能型人才為目標(biāo)的職業(yè)院校，必須突出實(shí)踐教學(xué)，加大課程改革力度，降低理論知識(shí)要求，提高實(shí)踐技能要求，滿足產(chǎn)業(yè)需求側(cè)的需要。

圖4 工控安全監(jiān)測(cè)及溯源系統(tǒng)部署場(chǎng)景

探針系統(tǒng)采用深度包檢測(cè)技術(shù)、Suricata+PF_RING技術(shù)，對(duì)大流量、高并發(fā)網(wǎng)絡(luò)進(jìn)行全流量采集和初步分析，如圖3所示。PF_RING技術(shù)用于數(shù)據(jù)采集處理捕包過(guò)程中減少硬件和操作系統(tǒng)的中斷次數(shù)和內(nèi)存在內(nèi)核空間與用戶空間之間的拷貝次數(shù)，提升網(wǎng)絡(luò)流量數(shù)據(jù)的采集性能，Suricata可以對(duì)捕獲的數(shù)據(jù)包進(jìn)行重組，過(guò)濾和初步分析，并將分析結(jié)果封裝成消息數(shù)據(jù)后傳輸給數(shù)據(jù)分析處理模塊。數(shù)據(jù)分析處理模塊基于協(xié)議指紋特征進(jìn)行流量樣本庫(kù)的建立，與系統(tǒng)累積的事件規(guī)則標(biāo)識(shí)匹配。未標(biāo)記的流量數(shù)據(jù)，運(yùn)用改進(jìn)的半監(jiān)督聚類算法建立工控系統(tǒng)數(shù)據(jù)報(bào)文分析模型，在原有的事件規(guī)則匹配庫(kù)的基礎(chǔ)上制定實(shí)時(shí)檢測(cè)規(guī)則。實(shí)時(shí)檢測(cè)根據(jù)制定的檢測(cè)分析規(guī)則對(duì)實(shí)時(shí)數(shù)據(jù)進(jìn)行在線匹配，輸出結(jié)果。

圖3 探針數(shù)據(jù)處理技術(shù)模型圖

2.3 系統(tǒng)部署

系統(tǒng)提供工業(yè)以太網(wǎng)各種監(jiān)測(cè)接口，探針可以部署于生產(chǎn)單位網(wǎng)絡(luò)出入口、網(wǎng)絡(luò)骨干、匯聚或接入層以及工控生產(chǎn)現(xiàn)場(chǎng)各層，接受數(shù)據(jù)分析中心的監(jiān)控配置信息，采集實(shí)施數(shù)據(jù)，監(jiān)測(cè)待測(cè)鏈路與設(shè)備的狀態(tài)、安全事件、業(yè)務(wù)、性能與流量等。在工控網(wǎng)絡(luò)環(huán)境中以SCADA(Supervisory Control And Data Acquisition) 網(wǎng)絡(luò)為例，工控安全監(jiān)測(cè)及溯源系統(tǒng)的典型部署如圖4所示。首先，把“數(shù)據(jù)采集探針”部署在站控層的匯聚交換機(jī)旁，通過(guò)端口鏡像方式復(fù)制該工業(yè)以太網(wǎng)中的通訊報(bào)文?！肮た匕踩O(jiān)測(cè)及溯源管理分析平臺(tái)”部署在控制中心，以B/S方式實(shí)現(xiàn)對(duì)“數(shù)據(jù)采集探針”的遠(yuǎn)程集中管理和數(shù)據(jù)綜合分析。

通過(guò)對(duì)站控層網(wǎng)絡(luò)通信報(bào)文的全流量采集分析，實(shí)現(xiàn)對(duì)工控指令攻擊、攻擊參數(shù)篡改、誤操作、違規(guī)行為、非法設(shè)備接入、工程師站組態(tài)變更、操作指令變更、PLC下裝、負(fù)載變更等行為進(jìn)行實(shí)時(shí)檢測(cè)，對(duì)端口掃描、代碼溢出、木馬病毒、蠕蟲、系統(tǒng)漏洞等攻擊的檢測(cè)和溯源。

3 關(guān)鍵技術(shù)

3.1 工控系統(tǒng)的協(xié)議深度解析分析

各種工控專用協(xié)議的精確深度解析非常具有挑戰(zhàn)性，僅采用單一的協(xié)議解析方法具有諸多限制，很難保證工控網(wǎng)絡(luò)中主流或私有協(xié)議的準(zhǔn)確識(shí)別；而且現(xiàn)有的相當(dāng)一部分流量識(shí)別方法僅僅是面向了離線識(shí)別的應(yīng)用，而不能滿足在線識(shí)別的要求。系統(tǒng)綜合采用特征串匹配、協(xié)議特征分析、業(yè)務(wù)行為統(tǒng)計(jì)特征、流關(guān)聯(lián)和機(jī)器學(xué)習(xí)等多種技術(shù)，針對(duì)Modbus TCP、DNP3、Profinet、OPC、S7、IEC等主流工控協(xié)議進(jìn)行特征提取和過(guò)程還原。并且通過(guò)應(yīng)用層業(yè)務(wù)識(shí)別描述語(yǔ)言解釋器，既實(shí)現(xiàn)對(duì)典型應(yīng)用層業(yè)務(wù)的識(shí)別，又可擁有對(duì)新出現(xiàn)和工控領(lǐng)域中專屬業(yè)務(wù)識(shí)別的擴(kuò)展能力。應(yīng)用層業(yè)務(wù)識(shí)別描述語(yǔ)言采用類XML的形式，定義了一套靈活、方便的協(xié)議識(shí)別規(guī)則描述方法，可實(shí)現(xiàn)對(duì)2～7層各類協(xié)議的規(guī)范化描述。在識(shí)別模塊中主要完成識(shí)別引擎(完成具體識(shí)別的過(guò)程)和識(shí)別規(guī)則管理兩部分的功能。識(shí)別引擎如圖5所示。

圖5 工控協(xié)議識(shí)別引擎

3.2 工控網(wǎng)絡(luò)異構(gòu)安全告警挖掘、關(guān)聯(lián)引擎

在流量行為分析的基礎(chǔ)上，結(jié)合持流量、性能、威脅情報(bào)、設(shè)備等結(jié)構(gòu)化及非結(jié)構(gòu)化數(shù)據(jù)的關(guān)聯(lián)建模分析技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)可視化與有效防護(hù)。如圖6所示，在kill chain等相關(guān)研究的基礎(chǔ)上，把網(wǎng)絡(luò)入侵的行為劃分為3個(gè)步驟，7個(gè)階段。并基于劃分，對(duì)收到的海量告警信息進(jìn)行拆分和關(guān)聯(lián)，設(shè)計(jì)和開發(fā)了異構(gòu)數(shù)據(jù)源的告警挖掘、關(guān)聯(lián)分析引擎，支持對(duì)IDS、防火墻、漏掃業(yè)務(wù)產(chǎn)生的日志進(jìn)行關(guān)聯(lián)分析。采用關(guān)聯(lián)分析、時(shí)序模式分析、聚類分析法等方法對(duì)告警數(shù)據(jù)進(jìn)行關(guān)聯(lián)處理。比如對(duì)網(wǎng)絡(luò)的流量大小、業(yè)務(wù)分布、端口情況等進(jìn)行建模，當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)中的流量分布和正常流量存在偏差時(shí)，通過(guò)異常流流量和kill chain確認(rèn)階段的告警信息，對(duì)模型的差異進(jìn)行分析，可以確認(rèn)設(shè)備已經(jīng)感染木馬或者蠕蟲等惡意程序。

圖6 基于工業(yè)互聯(lián)網(wǎng)的kill chain關(guān)聯(lián)引擎

3.3 海量原始數(shù)據(jù)的存儲(chǔ)回溯方案

系統(tǒng)支持200多類工控網(wǎng)絡(luò)常用運(yùn)維協(xié)議識(shí)別、深度解碼分析與長(zhǎng)時(shí)間存儲(chǔ)，便于安全事件的調(diào)查取證。同時(shí)具備快速的數(shù)據(jù)檢索回放能力，能夠方便回查歷史業(yè)務(wù)流量的原始數(shù)據(jù)。

數(shù)據(jù)來(lái)源包括網(wǎng)絡(luò)流量、app數(shù)據(jù)、數(shù)據(jù)文件、網(wǎng)絡(luò)日志、第三方數(shù)據(jù)、DDoS攻擊、蠕蟲、木馬、海量安全事件日志、指紋終端、物聯(lián)網(wǎng)終端、資產(chǎn)數(shù)據(jù)、其他數(shù)據(jù)等。

采集器實(shí)現(xiàn)全網(wǎng)實(shí)時(shí)流量數(shù)據(jù)捕獲，采集數(shù)據(jù)的速度與數(shù)據(jù)處理速度不一定同步，因此添加Kafka作為數(shù)據(jù)緩存層。

離線批處理模塊訂閱Kafka中的流數(shù)據(jù)，使用SparkSQL、Spark MLlib、MapReduce對(duì)數(shù)據(jù)進(jìn)行深度挖掘、數(shù)據(jù)聚合、攻擊溯源、熱點(diǎn)統(tǒng)計(jì)、用戶統(tǒng)計(jì)、用戶畫像分析，對(duì)分析后的數(shù)據(jù)定期存入數(shù)據(jù)庫(kù)。

實(shí)時(shí)在線處理模塊SparkStreaming訂閱Kafka中的流數(shù)據(jù)，結(jié)合預(yù)處理集群，對(duì)實(shí)時(shí)數(shù)據(jù)實(shí)現(xiàn)在線實(shí)時(shí)分析，多維度擴(kuò)維、異常告警、異常行為等數(shù)據(jù)，分析到的實(shí)時(shí)流數(shù)據(jù)、熱點(diǎn)數(shù)據(jù)、用戶數(shù)等數(shù)據(jù)可緩存Redis,供界面展示或者第三方接口調(diào)用，同時(shí)可將擴(kuò)維、異常等數(shù)據(jù)存放數(shù)據(jù)庫(kù)。

MySQL存儲(chǔ)基礎(chǔ)數(shù)據(jù),如匯聚后的匯總數(shù)據(jù)、基礎(chǔ)配置數(shù)據(jù)等；Hbase存儲(chǔ)海量實(shí)時(shí)數(shù)據(jù)、匯聚數(shù)據(jù)、溯源攻擊數(shù)據(jù)；HDFS存儲(chǔ)歷史流量數(shù)據(jù)、原始數(shù)據(jù)包等；Redis存儲(chǔ)熱點(diǎn)數(shù)據(jù)、用戶數(shù)等數(shù)據(jù)。

MQ+實(shí)時(shí)告警分析模塊從實(shí)時(shí)在線處理模塊獲取實(shí)時(shí)流記錄匹配告警規(guī)則產(chǎn)生實(shí)時(shí)告警數(shù)據(jù)推送至MQ供Web進(jìn)行展示。根據(jù)不同客戶對(duì)不同數(shù)據(jù)源的需要，可以在不同的節(jié)點(diǎn)提供接口分享數(shù)據(jù)。圖7為大數(shù)據(jù)存儲(chǔ)回溯解決方案。

4 系統(tǒng)實(shí)現(xiàn)與應(yīng)用

以某廠實(shí)際部署的工控網(wǎng)絡(luò)安全態(tài)監(jiān)測(cè)分析及溯源系統(tǒng)為例，含工控探針2臺(tái)，互聯(lián)網(wǎng)探針1臺(tái)，數(shù)據(jù)管理分析中心1臺(tái)。在數(shù)據(jù)管理分析中心的展示界面，既可以分工控探針、互聯(lián)網(wǎng)探針查看流量數(shù)據(jù)的安全及訪問(wèn)狀態(tài)，也可以一起查看所有探針的數(shù)據(jù)。通過(guò)該系統(tǒng)的部署，從全網(wǎng)安全態(tài)勢(shì)感知、工控安全檢測(cè)、工控流量分析、關(guān)鍵事件檢測(cè)、數(shù)據(jù)溯源分析、指紋識(shí)別和無(wú)損探測(cè)、威脅文件還原、工控安全反制、告警等方面實(shí)現(xiàn)對(duì)生產(chǎn)流程的全方位管控，保障單位生產(chǎn)的正常運(yùn)行。

支持對(duì)OPC、Siemens S7、Modbus、IEC104、Omron FINS、DNP3等主流工控協(xié)的精準(zhǔn)識(shí)別與流量成分及流向分析，展示各終端設(shè)備的網(wǎng)絡(luò)通信軌跡與狀態(tài)。

通過(guò)全流程檢測(cè)，對(duì)工控指令攻擊、攻擊參數(shù)篡改、PLC下裝、誤操作、操作指令變更、違規(guī)行為、非法設(shè)備接入、工程師站組態(tài)變更、負(fù)載變更等行為進(jìn)行記錄和存儲(chǔ)，用于后續(xù)工控操作行為與違規(guī)事件的事后分析。

圖7 多元海量監(jiān)測(cè)原始數(shù)據(jù)存儲(chǔ)回溯方案

可對(duì)異常工控協(xié)議報(bào)文進(jìn)行匹配檢測(cè)，并定位其中攻擊行為，對(duì)安全隱患進(jìn)行直觀的分析，能夠?qū)W(wǎng)絡(luò)安全告警流量從被攻擊分析與攻擊分析兩個(gè)角度查看，支持任意維度(如告警類型、告警信息、目標(biāo)國(guó)家、目標(biāo)城市、協(xié)議、源地址、目的地址、嫌疑犯用戶組、嚴(yán)重等級(jí))多層次按順序關(guān)聯(lián)分析，同時(shí)可以其中任一個(gè)維度作為起點(diǎn)并在其中間任意游走，支持多維度的Drill-Down分析，并且可以查看告警事件趨勢(shì)、事件數(shù)目、流量狀態(tài)等詳情。可以對(duì)告警來(lái)源、目的、安全網(wǎng)關(guān)、協(xié)議、類型以及告警級(jí)別內(nèi)容進(jìn)一步地分析、展示。同時(shí)，系統(tǒng)內(nèi)置31 000+安全規(guī)則庫(kù)，提供全局?jǐn)?shù)據(jù)安全檢測(cè)分析，包括對(duì)工控指令攻擊、病毒、木馬、攻擊參數(shù)篡改等攻擊行為。

保存所有終端設(shè)備的會(huì)話記錄，支持原始數(shù)據(jù)報(bào)文保存，可對(duì)歷史數(shù)據(jù)包回溯，可按照時(shí)間、IP、端口、協(xié)議等多條件查找歷史會(huì)話和數(shù)據(jù)包，可查看每一條會(huì)話記錄的原始數(shù)據(jù)包交互信息、各層協(xié)議解碼信息。支持?jǐn)U展對(duì)安全設(shè)備及網(wǎng)絡(luò)設(shè)備日志進(jìn)行采集和檢索，便于日后對(duì)于各類安全、生產(chǎn)事件的回溯取證。

通過(guò)主動(dòng)掃描探測(cè)與指紋特征提取技術(shù)，展示當(dāng)前工控設(shè)備與資產(chǎn)的現(xiàn)狀與存在的漏洞，如基礎(chǔ)的DCS、PLC、SCADA設(shè)備等(首頁(yè)展示，國(guó)際流量交互情況，識(shí)別本廠、本省網(wǎng)絡(luò)工控設(shè)備)。主動(dòng)探測(cè)掃描信息，包括IP、端口、區(qū)域位置、版本、協(xié)議名稱、廠商、PLC名稱、模塊名稱、模塊序列號(hào)、模塊類型名稱等內(nèi)容。

支持對(duì)文本、圖片、音視頻、可執(zhí)行文件、壓縮包等基于HTTP/FTP/郵件等協(xié)議傳輸?shù)母黝愋臀募M(jìn)行還原，支持被還原文件下載查看，并且要支持對(duì)威脅文件(如exe、dll等文件類型)數(shù)據(jù)報(bào)文檢測(cè)、捕獲并還原威脅文件，如圖8所示。

當(dāng)系統(tǒng)通過(guò)檢測(cè)分析手段發(fā)現(xiàn)工控網(wǎng)絡(luò)存在異常風(fēng)險(xiǎn)時(shí)，支持對(duì)異常行為、攻擊行為進(jìn)行反制。具體手段包括防火墻實(shí)時(shí)策略、接入系統(tǒng)聯(lián)動(dòng)、流量反制、DoS反制。

5 結(jié)論

本文結(jié)合深度數(shù)據(jù)包檢測(cè)、攻擊特征匹配、協(xié)議識(shí)別、網(wǎng)絡(luò)行為學(xué)等多種技術(shù)手段，實(shí)現(xiàn)在工控網(wǎng)絡(luò)中的高性能數(shù)據(jù)包采集和智能分析。通過(guò)分布式部署在網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)的探針，實(shí)時(shí)全量捕獲數(shù)據(jù)包級(jí)工控網(wǎng)絡(luò)通信流量，能提供最精確、最全面的網(wǎng)絡(luò)流量、安全、性能、業(yè)務(wù)等統(tǒng)計(jì)數(shù)據(jù)，達(dá)到對(duì)工控系統(tǒng)任何時(shí)間任何地點(diǎn)的可視性監(jiān)視，為故障快速排除、事故調(diào)查追責(zé)提供原始數(shù)據(jù)支撐與關(guān)鍵指標(biāo)的深度挖掘。

圖8 威脅文件還原