大数据 ›› 2023, Vol. 9 ›› Issue (4): 98-115.doi: 10.11959/j.issn.2096-0271.2023051
• 专题:跨域数据管理 • 上一篇
朱天晨1,2, 赵军3, 李博1,2,4, 李建欣1,2,4
出版日期:
2023-07-01
发布日期:
2023-07-01
作者简介:
朱天晨(1996- ),男,北京航空航天大学计算机学院博士生,主要研究方向为大数据分析与处理、强化学习、序列决策等基金资助:
Tianchen ZHU1,2, Jun ZHAO3, Bo LI1,2,4, Jianxin LI1,2,4
Online:
2023-07-01
Published:
2023-07-01
Supported by:
摘要:
工业控制(工控)系统是国家工业制造与民用基础设施的“大脑”,近年来安全风险日益突出,已成为网络安全中的重点防护目标。针对工控安全数据分散、威胁感知滞后的问题,设计了多源数据驱动的工控安全态势感知系统Argus,提出了工控安全感知链,研发了无状态极速设备扫描、威胁情报精准提取、可疑攻击行为检测等工控安全态势自主感知技术,实现了多通道、立体式工控安全监测与态势感知。实验结果显示,相比传统工控安全态势感知方法,Argus系统的感知精度提升超过10%,效率提升两个数量级,并可前摄性地预警、缓解潜在安全风险。
中图分类号:
朱天晨, 赵军, 李博, 李建欣. Argus:基于多源数据驱动的工控安全态势感知系统[J]. 大数据, 2023, 9(4): 98-115.
Tianchen ZHU, Jun ZHAO, Bo LI, Jianxin LI. Argus: multi-source data-driven industrial control security situational awareness system[J]. Big Data Research, 2023, 9(4): 98-115.
表1
威胁情报实体类别定义"
实体类别 | 详细描述 |
VEN | VEN实 体 代 表生 产 软件 的厂 商,例 如Microsoft、Tencent等。在STIX2.0中,该实体对应于Identity |
PRO | PRO实体代表厂商生产的软件、硬件产品,例如Word、Office等 |
VER | VER实体代表产品的版本信息,例如ver3.0、v4.2.0等 |
MOD | MOD实体代表产品中的某个模块或者产品包含的功能组件,例如插件等 |
FILE/PATH | FILE/PATH实体代表文件路径或URL超链接地址 |
FUNC | FUNC实体代表文件中的某个具体函数,例如某个文件中的函数名称、某个模组中的类等 |
PARAMETER | PARAMETER实体是参数实体。它代表文件中的变量和常量,例如某段代码包含的变量num |
ATTACKER | ATTACKER实体代表实行攻击的某个组织、团体或个人 |
VULTYPE | VULTYPE代表漏洞的分类,例如XSS、Stack Overflow、SQL Injection等 |
VUL | VUL实体代表具体漏洞名称 |
PROBLEM | PROBLEM实体代表产品、模组、文件或具体代码中客观存在的可能发生的问题 |
表4
蜜罐节点统计"
蜜罐IP | 地理位置 | 采集日志数量/条 |
114.215.17.58 | 中国北京 | 17 356 |
120.76.53.242 | 中国杭州 | 402 068 |
122.112.235.239 | 中国杭州 | 970 783 |
122.112.235.27 | 中国杭州 | 913 285 |
139.159.221.18 | 中国深圳 | 521 352 |
139.159.221.19 | 中国深圳 | 864 532 |
139.159.221.20 | 中国深圳 | 675 277 |
47.88.212.109 | 新加坡 | 4 546 790 |
47.88.77.143 | 美国圣马特奥 | 580 673 |
47.89.26.43 | 中国香港 | 1 124 782 |
表5
多属性异构图的关系类型"
关系编号 | 对应节点类型 | 详细信息 |
R1 | 源IP地址-目的IP地址 | 表示从某一源IP地址到某一目的IP地址的连接 |
R2 | 源IP地址-协议 | 表示某一源IP地址通过某一协议发送请求报文 |
R3 | 源IP地址-端口号 | 表示某一源IP地址与其发送请求报文所用端口之间的关系 |
R4 | 源IP地址-请求 | 表示某一源IP地址与其所发送的请求报文之间的关系 |
R5 | 源IP地址-应答 | 表示某一源IP地址与其接收的应答报文之间的关系 |
R6 | 目的IP地址-协议 | 表示某一目的IP地址通过某一协议接收请求报文 |
R7 | 目的IP地址-端口号 | 表示某一目的IP地址与其接收请求报文所用端口之间的关系 |
R8 | 目的IP地址-请求 | 表示某一目的IP地址与其所接收的请求报文之间的关系 |
R9 | 目的IP地址-应答 | 表示某一目的IP地址与其发送的应答报文之间的关系 |
R10 | 协议-端口号 | 表示某一协议利用某一端口进行工作 |
表8
关于Merry X-Mas Ransomware的工控威胁情报示例"
字段 | 值 |
时间 | 2019-12-2 19:00:51 |
漏洞 | CVE-2019-7481 |
厂商 | SonicWall |
端口 | 80/TCP |
IP地址 | 192.185.18.204 |
DNS | neogenomes.com |
文件/路径 | GET/court/PlaintNote_12545_copy.zip |
端口 | 443/tcp |
IP地址 | 81.4.123.67 |
DNS | onion1.host:443 |
文件/路径 | GET/temper/PGPClient.exe |
端口 | 443/tcp |
IP地址 | 168.235.98.160 |
DNS | onion1.pw |
文件/路径 | POST/blog/index.php |
… | … |
表10
可疑访问检测模型性能对比"
方法 | CTU-13数据集 | 蜜罐数据集 | |||||
准确率 | 召回率 | F1 | 准确率 | 召回率 | F1 | ||
SVM | 84.14 | 85.32 | 84.73 | 82.36 | 84.21 | 83.27 | |
Graph-ML | 92.31 | 87.50 | 88.48 | 91.04 | 89.37 | 90.20 | |
Graph-Cluster | 94.17 | 92.36 | 93.26 | 93.21 | 92.72 | 92.96 | |
GCN | 92.54 | 91.85 | 92.20 | 92.16 | 91.45 | 91.80 | |
HAN | 93.43 | 91.89 | 92.65 | 93.14 | 92.81 | 92.97 | |
Argus系统 | 92.65 | 93.47 | 93.06 | 93.68 | 97.71 | 95.65 | |
提升比例 | -1.61% | +1.20% | -0.21% | +0.58% | +5.28% | +2.88% |
[1] | BHAMARE D , ZOLANVARI M , ERBAD A ,et al. Cybersecurity for industrial control systems:a survey[J]. Computers& Security, 2020,89:101677. |
[2] | 周明, 吕世超, 游建舟 ,等. 工业控制系统安全态势感知技术研究[J]. 信息安全学报, 2022,7(2): 101-119. |
ZHOU M , LYU S C , YOU J Z ,et al. A comprehensive survey of security situational aware-ness on industrial control systems[J]. Journal of Cyber Security, 2022,7(2): 101-119. | |
[3] | FENG C , LI T T , CHANA D . Multilevel anomaly detection in industrial control systems via package signatures and LSTM networks[C]// Proceedings of 2017 47th Annual IEEE/IFIP International Conference on Dependable Systems and Networks (DSN). Piscataway:IEEE Press, 2017: 261-272. |
[4] | MUNA A L H , MOUSTAFA N , SITNIKOVA E . Identification of malicious activities in industrial Internet of Things based on deep learning models[J]. Journal of Information Security and Applications, 2018,41: 1-11. |
[5] | CHANG C P , HSU W C , LIAO I E . Anomaly detection for industrial control systems using K-means and convolutional autoencoder[C]// Proceedings of 2019 International Conference on Software,Telecommunications and Computer Networks (SoftCOM). Piscataway:IEEE Press, 2019: 1-6. |
[6] | DEMERTZIS K , ILIADIS L , BOUGOUDIS I . Gryphon:a semi-supervised anomaly detection system based on one-class evolving spiking neural network[J]. Neural Computing and Applications, 2020,32(9): 4303-4314. |
[7] | PRIYANGA S , KRITHIVASAN K , PRAVINRAJ S ,et al. Detection of cyberattacks in industrial control systems using enhanced principal component analysis and hypergraphbased convolution neural network (EPCAHG-CNN)[J]. IEEE Transactions on Industry Applications, 2020,56(4): 4394-4404. |
[8] | DOSHI K , YILMAZ Y , ULUDAG S . Timely detection and mitigation of stealthy DDoS attacks via IoT networks[J]. IEEE Transactions on Dependable and Secure Computing, 2021,18(5): 2164-2176. |
[9] | KHAN I A , KESHK M , PI D C ,et al. Enhancing IIoT networks protection:a robust security model for attack detection in Internet industrial control systems[J]. Ad Hoc Networks, 2022,134:102930. |
[10] | ISO. Electrical and electronic components and general system aspects:ISO/TC 22/SC 32[S]. 2021. |
[11] | SCHLETTE D , CASELLI M , PERNUL G . A comparative study on cyber threat intelligence:the security incident response perspective[J]. IEEE Communications Surveys & Tutorials, 2021,23(4): 2525-2556. |
[12] | OASIS. Cyber threat intelligence (CTI):TC.STIX 2.0[S]. 2018. |
[13] | HUANG Z , XU W , YU K . Bidirectional LSTM-CRF models for sequence tagging[J]. arXiv preprint, 2015,arXiv:1508.01991. |
[14] | ZHENG S C , HAO Y X , LU D Y ,et al. Joint entity and relation extraction based on a hybrid neural network[J]. Neurocomputing, 2017,257: 59-66. |
[15] | ZHAO J , LIU X D , YAN Q B ,et al. Multi-attributed heterogeneous graph convolutional network for bot detection[J]. Information Sciences, 2020,537: 380-393. |
[16] | SUN Y Z , HAN J W , YAN X F ,et al. Pathsim:meta path-based top-k similarity search in heterogeneous information networks[J]. Proceedings of the VLDB Endowment, 2011,4(11): 992-1003. |
[17] | LYON G F . Nmap network scanning:the official Nmap project guide to network discovery and security scanning[M]. Sunnyvale: Insecure, 2009. |
[18] | GARCíA S , GRILL M , STIBOREK J ,et al. An empirical comparison of botnet detection methods[J]. Computers &Security, 2014,45: 100-123. |
[19] | HEARST M A , DUMAIS S T , OSUNA E ,et al. Support vector machines[J]. IEEE Intelligent Systems and Their Applications, 1998,13(4): 18-28. |
[20] | DAYA A A , SALAHUDDIN M A , LIMAM N ,et al. A graph-based machine learning approach for bot detection[C]// Proceedings of 2019 IFIP/IEEE Symposium on Integrated Network and Service Management (IM). Piscataway:IEEE Press, 2019: 144-152. |
[21] | CHOWDHURY S , KHANZADEH M , AKULA R ,et al. Botnet detection using graph-based feature clustering[J]. Journal of Big Data, 2017,4(1): 1-23. |
[22] | KIPF T N , WELLING M . Semi-supervised classification with graph convolutional networks[J]. arXiv preprint, 2016,arXiv:1609.02907. |
[23] | WANG X , JI H Y , SHI C ,et al. Heterogeneous graph attention network[C]// Proceedings of WWW’19:The World Wide Web Conference. New York:ACM Press, 2019: 2022-2032. |
[1] | 安洋, 孙健玮, 李倩, 宫永顺. 基于多源异构时空数据融合的交通流量预测模型[J]. 大数据, 2023, 9(4): 69-82. |
[2] | 刘一达, 丁小欧, 王宏志, 杨东华. 人工参与的迭代式数据清洗方法研究[J]. 大数据, 2023, 9(4): 59-68. |
[3] | 任洪润, 朱扬勇. 数据管道模型:场外流式数据市场形态探索[J]. 大数据, 2023, 9(3): 15-28. |
[4] | 高玮军, 王凯. 基于联盟区块链的公益善款溯源系统研究[J]. 大数据, 2023, 9(3): 150-167. |
[5] | 罗超然, 马郓, 景翔, 黄罡. 数据空间基础设施的技术挑战及数联网解决方案[J]. 大数据, 2023, 9(2): 110-121. |
[6] | 贵向泉, 郭志礼, 杨裔, 秦炳峰. 基于区块链技术的旅游积分通兑系统设计[J]. 大数据, 2023, 9(2): 147-162. |
[7] | 叶雅珍, 朱扬勇. 数商:数据商品、数据商人和数据商业[J]. 大数据, 2023, 9(1): 111-125. |
[8] | 张伶俐, 褚琦凯, 王桂娟, 张巍瀚, 蒲慧, 宋振金, 吴亚东. 文本情感可视分析技术及其在人文领域的应用[J]. 大数据, 2022, 8(6): 56-73. |
[9] | 李爱黎, 张子帅, 林荫, 王秋菊, 杨建安, 孟炜程, 张岩峰. 基于社交网络大数据的民众情感监测研究[J]. 大数据, 2022, 8(6): 105-126. |
[10] | 夏正勋, 唐剑飞, 罗圣美, 张燕. 可信AI治理框架探索与实践[J]. 大数据, 2022, 8(4): 145-164. |
[11] | 叶雅珍, 朱扬勇. 盒装数据:一种基于数据盒的数据产品形态[J]. 大数据, 2022, 8(3): 15-25. |
[12] | 汤奇峰, 邵志清, 叶雅珍. 数据交易中的权利确认和授予体系[J]. 大数据, 2022, 8(3): 40-53. |
[13] | 智峰, 田锋, 赵若凡. 计量科学大数据分级分类[J]. 大数据, 2022, 8(1): 60-72. |
[14] | 王永锋, 陈志广. 面向非易失性内存的持久索引数据结构研究综述[J]. 大数据, 2021, 7(6): 78-88. |
[15] | 马金锋, 饶凯锋, 李若男, 张京, 郑华. 水环境模型与大数据技术融合研究[J]. 大数据, 2021, 7(6): 103-119. |
阅读次数 | ||||||
全文 |
|
|||||
摘要 |
|
|||||
|