淺析主動(dòng)探測(cè)技術(shù)在安全態(tài)勢(shì)感知平臺(tái)的應(yīng)用

郭亮亮

(山西省信息產(chǎn)業(yè)技術(shù)研究院有限公司，山西 太原 030012)

1 項(xiàng)目背景

隨著互聯(lián)網(wǎng)信息技術(shù)、工業(yè)自動(dòng)化技術(shù)的革命性突破和全球經(jīng)濟(jì)一體化的發(fā)展，工業(yè)互聯(lián)網(wǎng)應(yīng)運(yùn)而生，工業(yè)控制系統(tǒng)面臨著日益嚴(yán)重的安全威脅。通過監(jiān)測(cè)發(fā)現(xiàn)大量核心設(shè)備和智能監(jiān)控設(shè)備聯(lián)網(wǎng)，部分工業(yè)互聯(lián)網(wǎng)設(shè)備在數(shù)據(jù)通信過程中存在傳輸不加密、協(xié)議無認(rèn)證等情況，一旦接入互聯(lián)網(wǎng)，極易引發(fā)嚴(yán)重安全問題。

為加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)能力，有必要通過主動(dòng)監(jiān)測(cè)、被動(dòng)誘捕、流量分析、企業(yè)側(cè)采集等技術(shù)手段構(gòu)建一體化的工業(yè)互聯(lián)網(wǎng)業(yè)務(wù)和安全監(jiān)管平臺(tái)。工業(yè)互聯(lián)安全態(tài)勢(shì)感知平臺(tái)是集工業(yè)互聯(lián)網(wǎng)資產(chǎn)主動(dòng)探測(cè)、被動(dòng)威脅誘捕、省際口和移動(dòng)網(wǎng)等網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)流量采集分析、重點(diǎn)工業(yè)企業(yè)側(cè)數(shù)據(jù)采集分析為一體的態(tài)勢(shì)感知平臺(tái)。本文對(duì)主動(dòng)探測(cè)子系統(tǒng)在工業(yè)互聯(lián)安全態(tài)勢(shì)感知平臺(tái)中的技術(shù)實(shí)現(xiàn)進(jìn)行了系統(tǒng)分析。

2 主動(dòng)探測(cè)子系統(tǒng)技術(shù)架構(gòu)

工業(yè)互聯(lián)網(wǎng)主動(dòng)探測(cè)子系統(tǒng)通過各種主動(dòng)探測(cè)技術(shù)對(duì)互聯(lián)網(wǎng)上的目標(biāo)資產(chǎn)進(jìn)行探測(cè)，發(fā)現(xiàn)目標(biāo)網(wǎng)絡(luò)中存在的各類資產(chǎn)并實(shí)時(shí)更新資產(chǎn)信息，包括但不限于開放的端口、開放的服務(wù)、操作系統(tǒng)類型、設(shè)備類型、廠商、型號(hào)、承載的各種應(yīng)用信息等，并將掃描后的資產(chǎn)基礎(chǔ)信息上傳至態(tài)勢(shì)感知平臺(tái)[1]。

工業(yè)互聯(lián)網(wǎng)主動(dòng)探測(cè)子系統(tǒng)由信息采集層、數(shù)據(jù)匯聚層、核心業(yè)務(wù)層、應(yīng)用展示層組成。

工業(yè)互聯(lián)網(wǎng)主動(dòng)探測(cè)子系統(tǒng)邏輯上由服務(wù)端和主動(dòng)探測(cè)引擎組成，系統(tǒng)邏輯結(jié)構(gòu)圖如圖1所示。

圖1 工業(yè)互聯(lián)網(wǎng)主動(dòng)探測(cè)子系統(tǒng)邏輯結(jié)構(gòu)圖

2.1 信息采集層

信息采集層采用WEB爬蟲技術(shù)抓取WEB應(yīng)用網(wǎng)頁內(nèi)容信息，采用端口探測(cè)技術(shù)、服務(wù)探測(cè)技術(shù)、操作系統(tǒng)探測(cè)技術(shù)等工具獲取各種設(shè)備、WEB應(yīng)用、郵件系統(tǒng)和DNS系統(tǒng)基礎(chǔ)信息；采用漏洞掃描技術(shù)、WEB掃描技術(shù)和WEB爬蟲技術(shù)獲取各種設(shè)備、WEB應(yīng)用、郵件系統(tǒng)和DNS系統(tǒng)漏洞信息；在此基礎(chǔ)之上采用漏洞驗(yàn)證與利用可視化配置技術(shù)構(gòu)建漏洞驗(yàn)證與利用腳本，實(shí)現(xiàn)漏洞信息的驗(yàn)證與利用，并實(shí)現(xiàn)漏洞的聯(lián)動(dòng)攻擊；相關(guān)信息采集回來后，現(xiàn)存放在本地?cái)?shù)據(jù)緩存，然后傳遞給數(shù)據(jù)匯聚層，數(shù)據(jù)傳遞方式有兩種，結(jié)果類數(shù)據(jù)通過模塊間WebService接口，原始數(shù)據(jù)則通過數(shù)據(jù)總線傳遞。采用基于微內(nèi)核的節(jié)點(diǎn)管理技術(shù)，為主動(dòng)探測(cè)節(jié)點(diǎn)提供與服務(wù)器進(jìn)行通訊的通訊框架及相關(guān)接口。信息采集層通過節(jié)點(diǎn)管理和虛擬資源管理技術(shù)，分別實(shí)現(xiàn)主動(dòng)探測(cè)節(jié)點(diǎn)的管理和虛擬資源的管理。

2.2 信息匯聚層

數(shù)據(jù)匯聚層采用數(shù)據(jù)預(yù)處理技術(shù)，處理由信息采集層傳遞過來的原始數(shù)據(jù)，通過DSL描述語言，描述數(shù)據(jù)Flexer和Mapping具體操作；關(guān)系數(shù)據(jù)庫存儲(chǔ)系統(tǒng)輔助信息庫，原始信息和分類信息均存儲(chǔ)在HDFS，數(shù)據(jù)存儲(chǔ)時(shí)可以被同時(shí)寫入多個(gè)不同的存儲(chǔ)節(jié)點(diǎn)，擁有多個(gè)副本，不同的數(shù)據(jù)會(huì)被寫到不同的存儲(chǔ)節(jié)點(diǎn)上；通過MapReduce、Hive、HBase和Spark等存儲(chǔ)和計(jì)算框架對(duì)數(shù)據(jù)進(jìn)行處理，未來可能會(huì)按照業(yè)務(wù)需求引入Drill[2]。

數(shù)據(jù)匯聚功能中最主要應(yīng)用的組件為解析組件，解析組件負(fù)責(zé)對(duì)原始報(bào)告進(jìn)行解析，所解析的原始報(bào)告包括但不限于設(shè)備信息采集數(shù)據(jù)、WEB應(yīng)用信息采集數(shù)據(jù)、郵件系統(tǒng)信息采集數(shù)據(jù)等，解析組件實(shí)現(xiàn)組成包含字段提取解析文件、記錄提取解析文件、解析引擎，將解析文件和待解析的原始數(shù)據(jù)輸入到解析引擎，解析引擎通過計(jì)算處理得到每個(gè)網(wǎng)元的特征信息，這些特征信息再匯入到信息庫中。

2.3 核心業(yè)務(wù)層

核心業(yè)務(wù)層由WEB應(yīng)用服務(wù)器和各種WEB應(yīng)用服務(wù)包組成，向應(yīng)用與展示層通過REST API提供接口。

1) 分布式節(jié)點(diǎn)管理

分布式節(jié)點(diǎn)管理主要是針對(duì)系統(tǒng)各信息主動(dòng)探測(cè)節(jié)點(diǎn)進(jìn)行統(tǒng)一管理。系統(tǒng)信息探測(cè)節(jié)點(diǎn)主要實(shí)現(xiàn)對(duì)被管理對(duì)象的信息采集及管理功能。

2)分布式任務(wù)管理

采用綜合技術(shù)降低掃描行為被發(fā)現(xiàn)和封堵的幾率，提高探測(cè)結(jié)果準(zhǔn)確性，降低對(duì)目標(biāo)網(wǎng)絡(luò)和系統(tǒng)的影響。針對(duì)于掃描任務(wù)，首先過濾響應(yīng)端口，根據(jù)響應(yīng)端口數(shù)量，將此IP拆分組合任務(wù)包，分發(fā)到不同的探針執(zhí)行，用以規(guī)避端口掃描被發(fā)現(xiàn), 降低端口掃描行為被發(fā)現(xiàn)和封堵的幾率。

3)分布式存儲(chǔ)管理

分布式存儲(chǔ)管理采用分布式部署，確保數(shù)據(jù)的完整性、匯聚層的高可用性、健壯性。

> 軟負(fù)載均衡：為保證接收數(shù)據(jù)的穩(wěn)定性/高可用性，采用最少活躍調(diào)用數(shù)策略。最少活躍調(diào)用數(shù)，相同活躍數(shù)的隨機(jī)，活躍數(shù)指調(diào)用前后計(jì)數(shù)差。使慢的提供者收到更少請(qǐng)求，因?yàn)樵铰奶峁┱叩恼{(diào)用前后計(jì)數(shù)差會(huì)越大。

> 元數(shù)據(jù)隊(duì)列：采取無界隊(duì)列，異步到硬盤，保證數(shù)據(jù)完整無丟失。

> 數(shù)據(jù)處理器：異步執(zhí)行元數(shù)據(jù)隊(duì)列任務(wù)，當(dāng)隊(duì)列大于臨界值時(shí)，增加任務(wù)處理器數(shù)量，到達(dá)任務(wù)處理器閾值后，不在增長，臨時(shí)任務(wù)隊(duì)列阻塞，保證機(jī)器不宕機(jī)。

2.4 應(yīng)用與展示層

應(yīng)用與展示層通過FLEX、HTML5和SVG等展示框架和組件，為用戶提供人機(jī)交互界面。

2.5 數(shù)據(jù)綜合匯聚及態(tài)勢(shì)感知子系統(tǒng)數(shù)據(jù)接口

子系統(tǒng)分析生成的省級(jí)網(wǎng)絡(luò)空間地圖、漏洞資產(chǎn)庫等結(jié)果數(shù)據(jù)寫入MySQL數(shù)據(jù)庫中，進(jìn)而由數(shù)據(jù)接口模塊將分析結(jié)果定時(shí)傳輸至上層工業(yè)互聯(lián)網(wǎng)安全數(shù)據(jù)綜合匯聚及態(tài)勢(shì)感知子系統(tǒng)進(jìn)行深度分析。數(shù)據(jù)接口模塊基于數(shù)據(jù)傳輸時(shí)間間隔要求，定時(shí)輪詢MySQL數(shù)據(jù)庫中的分析結(jié)果數(shù)據(jù)表。當(dāng)有數(shù)據(jù)更新時(shí)讀取更新數(shù)據(jù)，打包生成數(shù)據(jù)文件，經(jīng)過文件壓縮生成待傳輸?shù)臄?shù)據(jù)文件。數(shù)據(jù)文件以“數(shù)據(jù)文件內(nèi)容+時(shí)間戳+文件MD5值”命名，通過網(wǎng)絡(luò)傳輸至工業(yè)互聯(lián)網(wǎng)安全數(shù)據(jù)綜合匯聚及態(tài)勢(shì)感知子系統(tǒng)。

3 主動(dòng)探測(cè)子系統(tǒng)關(guān)鍵技術(shù)

3.1 基礎(chǔ)信息主動(dòng)探測(cè)技術(shù)

工業(yè)互聯(lián)網(wǎng)主動(dòng)探測(cè)子系統(tǒng)融合多種探測(cè)技術(shù)，通過采集引擎可主動(dòng)收集工業(yè)互聯(lián)網(wǎng)中的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)/服務(wù)器以及工控設(shè)備的信息，并可向目標(biāo)發(fā)送探測(cè)數(shù)據(jù)包，發(fā)現(xiàn)目標(biāo)存活性，接收目標(biāo)反饋的數(shù)據(jù)包，并將反饋信息提交給后臺(tái)進(jìn)行分析。整個(gè)過程大體可分為端口掃描、協(xié)議識(shí)別、服務(wù)、應(yīng)用、操作系統(tǒng)信息獲取[3]。

> 通過端口及服務(wù)指紋進(jìn)行識(shí)別。

> 通過WEB指紋進(jìn)行識(shí)別。

> 通過WEB指紋識(shí)別技術(shù)可以獲取應(yīng)用。

> 通過操作系統(tǒng)指紋識(shí)別操作系統(tǒng)的類型。

3.2 超文本標(biāo)記抽取技術(shù)

工業(yè)互聯(lián)網(wǎng)主動(dòng)探測(cè)子系統(tǒng)可以實(shí)現(xiàn)針對(duì)超文本標(biāo)記抽取技術(shù)，針對(duì)端口、http包頭、包括banner信息、指紋信息等。

> 通過開放的端口及服務(wù)來識(shí)別網(wǎng)絡(luò)設(shè)備或應(yīng)用服務(wù)器。

> 通過提取WEB指紋來判斷設(shè)備廠商或設(shè)備類型。

> 通過WEB指紋識(shí)別技術(shù)可以獲取應(yīng)用服務(wù)組件。

3.3 基于高性能存儲(chǔ)和檢索技術(shù)

工業(yè)互聯(lián)網(wǎng)主動(dòng)探測(cè)子系統(tǒng)融合了多種探測(cè)引擎，對(duì)目標(biāo)網(wǎng)絡(luò)采集基礎(chǔ)信息。為了解決支持?jǐn)?shù)據(jù)存儲(chǔ)、查詢、分析的數(shù)據(jù)達(dá)到上百個(gè)TB時(shí)，工業(yè)互聯(lián)網(wǎng)主動(dòng)探測(cè)子系統(tǒng)采用存儲(chǔ)容量支持PB級(jí)別的分布式數(shù)據(jù)庫作為工業(yè)互聯(lián)網(wǎng)主動(dòng)探測(cè)子系統(tǒng)的存儲(chǔ)數(shù)據(jù)庫；同時(shí)分布式數(shù)據(jù)庫支持結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)，滿足工業(yè)互聯(lián)網(wǎng)主動(dòng)探測(cè)子系統(tǒng)的數(shù)據(jù)存儲(chǔ)要求。采用分布式多用戶的搜索引擎實(shí)現(xiàn)工業(yè)互聯(lián)網(wǎng)主動(dòng)探測(cè)子系統(tǒng)實(shí)時(shí)查詢和分析功能。分布式數(shù)據(jù)庫和分布式搜索引擎都支持PB級(jí)別的存儲(chǔ)容量。

3.4 分布式探測(cè)引擎

工業(yè)互聯(lián)網(wǎng)主動(dòng)探測(cè)子系統(tǒng)采用分布式探測(cè)引擎，很大程度提高了工業(yè)互聯(lián)網(wǎng)主動(dòng)探測(cè)子系統(tǒng)的探測(cè)性能。滿足不同業(yè)務(wù)網(wǎng)絡(luò)對(duì)工業(yè)互聯(lián)網(wǎng)主動(dòng)探測(cè)子系統(tǒng)數(shù)據(jù)探測(cè)技術(shù)性能方面的要求。采用分布式探測(cè)對(duì)于工業(yè)互聯(lián)網(wǎng)主動(dòng)探測(cè)子系統(tǒng)具有很好的伸縮性。工業(yè)互聯(lián)網(wǎng)主動(dòng)探測(cè)子系統(tǒng)探測(cè)引擎采用基于消息總線和webservice等通用擴(kuò)展技術(shù)，方便和擴(kuò)展自有探針和第三方廠家的提供接口。使工業(yè)互聯(lián)網(wǎng)主動(dòng)探測(cè)子系統(tǒng)的分布式探針支持的種類更豐富。

4 主動(dòng)探測(cè)子系統(tǒng)實(shí)施方案

4.1 系統(tǒng)部署設(shè)計(jì)

工業(yè)互聯(lián)網(wǎng)主動(dòng)探測(cè)子系統(tǒng)包括系統(tǒng)服務(wù)端和主動(dòng)探測(cè)引擎兩部分，所有組件均規(guī)劃運(yùn)行在互聯(lián)網(wǎng)核心交換下的云資源池中，系統(tǒng)通過互聯(lián)網(wǎng)出口對(duì)互聯(lián)網(wǎng)上的目標(biāo)資產(chǎn)進(jìn)行探測(cè)和識(shí)別。

通過在云平臺(tái)中部署工業(yè)互聯(lián)網(wǎng)主動(dòng)探測(cè)子系統(tǒng)，定期對(duì)指定的公網(wǎng)IP地址進(jìn)行掃描探測(cè)，識(shí)別出暴露互聯(lián)網(wǎng)上的企業(yè)資產(chǎn)信息。

4.2 系統(tǒng)邏輯拓?fù)?/h3>

系統(tǒng)由服務(wù)端和主動(dòng)探測(cè)引擎組成。

服務(wù)端主要由以下構(gòu)成：

> 數(shù)據(jù)庫服務(wù)器：實(shí)現(xiàn)大數(shù)據(jù)存儲(chǔ)，滿足系統(tǒng)的基礎(chǔ)信息分析。

> 數(shù)據(jù)匯聚服務(wù)器：主要實(shí)現(xiàn)對(duì)主動(dòng)探測(cè)節(jié)點(diǎn)服務(wù)器上傳數(shù)據(jù)的匯總和轉(zhuǎn)換。

> 分布式存儲(chǔ)計(jì)算服務(wù)器：主要實(shí)現(xiàn)對(duì)大數(shù)據(jù)的存儲(chǔ)和計(jì)算分析。

> 管理服務(wù)器：實(shí)現(xiàn)對(duì)系統(tǒng)的管理。

服務(wù)端組件均為邏輯服務(wù)器，可經(jīng)由容器虛擬化部署在1臺(tái)物理服務(wù)器或虛擬服務(wù)器上，本項(xiàng)目部署在虛擬服務(wù)器中。

探測(cè)引擎主要由一組主動(dòng)探測(cè)節(jié)點(diǎn)服務(wù)器構(gòu)成。主要是主動(dòng)對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行基礎(chǔ)信息采集，每個(gè)探測(cè)引擎需要單獨(dú)部署在1臺(tái)物理服務(wù)器或虛擬服務(wù)器上，本項(xiàng)目部署在虛擬服務(wù)器中。

4.3 系統(tǒng)運(yùn)行環(huán)境

1)系統(tǒng)運(yùn)行所需物理環(huán)境如表1所示。

表1 工業(yè)互聯(lián)網(wǎng)主動(dòng)探測(cè)子系統(tǒng)部署所需設(shè)備表

本次規(guī)劃在資源池中創(chuàng)建2臺(tái)虛擬機(jī)：

服務(wù)端虛擬機(jī)配置2個(gè)虛擬CPU插槽，每個(gè)插槽建議配置8個(gè)虛擬核，內(nèi)存配置為64GB，硬盤配置6T。

主動(dòng)探測(cè)節(jié)點(diǎn)服務(wù)器配置2個(gè)虛擬CPU插槽，每個(gè)插槽建議配置8個(gè)虛擬核，內(nèi)存配置為32GB，硬盤配置200GB。

2) 系統(tǒng)運(yùn)行所需軟件環(huán)境：

> 本平臺(tái)支持主流的操作系統(tǒng)包括Windows、Linux等類型。

> 支持Windows2008、Windows2012、RedHat6、CentOS6等服務(wù)器級(jí)操作系統(tǒng)，推薦部署環(huán)境為RedHat 6.5。

5 項(xiàng)目意義

通過省級(jí)工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知平臺(tái)的建設(shè)和應(yīng)用，構(gòu)建省級(jí)工業(yè)互聯(lián)網(wǎng)業(yè)務(wù)發(fā)展和網(wǎng)絡(luò)安全的總體態(tài)勢(shì)感知體系，從而摸清全省工業(yè)互聯(lián)網(wǎng)資產(chǎn)情況和網(wǎng)絡(luò)安全情況，有效發(fā)現(xiàn)針對(duì)全省工業(yè)互聯(lián)網(wǎng)資產(chǎn)的網(wǎng)絡(luò)攻擊事件，提高全省工業(yè)互聯(lián)網(wǎng)安全事件的監(jiān)測(cè)發(fā)現(xiàn)、威脅預(yù)警及應(yīng)急處置能力。同時(shí)，與國家級(jí)工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知平臺(tái)實(shí)現(xiàn)數(shù)據(jù)對(duì)接，形成上下聯(lián)動(dòng)、政企協(xié)同的工業(yè)互聯(lián)網(wǎng)監(jiān)測(cè)體系。