Argus：基于多源数据驱动的工控安全态势感知系统

doi:10.11959/j.issn.2096-0271.2023051

大数据 ›› 2023, Vol. 9 ›› Issue (4): 98-115.doi: 10.11959/j.issn.2096-0271.2023051

• 专题：跨域数据管理 • 上一篇

Argus：基于多源数据驱动的工控安全态势感知系统

朱天晨¹^,², 赵军³, 李博¹^,²^,⁴, 李建欣¹^,²^,⁴

¹ 北京航空航天大学计算机学院，北京 100191
² 北京市大数据与脑机智能高精尖中心（北京航空航天大学），北京 100191
³ 山东师范大学信息科学与工程学院，山东济南 250358
⁴ 中关村实验室，北京 100191

出版日期:2023-07-01 发布日期:2023-07-01
作者简介:朱天晨（1996- ），男，北京航空航天大学计算机学院博士生，主要研究方向为大数据分析与处理、强化学习、序列决策等
赵军（1989- ），男，博士，山东师范大学信息科学与工程学院讲师，主要研究方向为工业控制系统安全、网络威胁情报、图神经网络
李博（1980- ），男，博士，北京航空航天大学计算机学院副研究员，北京市大数据科学与脑机智能高精尖中心高级研究员，主要研究方向为网络安全、工业互联网、大数据安全等
李建欣（1979- ），男，博士，北京航空航天大学计算机学院教授、党委书记，北京市大数据科学与脑机智能高精尖创新中心研究员，主要研究方向为大数据分析与处理、机器学习和可信计算等
基金资助:
国家自然科学基金资助项目(U20B2053)

Argus: multi-source data-driven industrial control security situational awareness system

Tianchen ZHU¹^,², Jun ZHAO³, Bo LI¹^,²^,⁴, Jianxin LI¹^,²^,⁴

¹ School of Computer Science and Engineering, Beihang University, Beijing 100191, China
² Beijing Advanced Innovation Center for Big Data and Brain Computing, Beijing 100191, China
³ School of Information Science and Engineering, Shandong Normal University, Jinan 250358, China
⁴ Zhongguancun Laboratory, Beijing 100191, China

Online:2023-07-01 Published:2023-07-01
Supported by:
The National Natural Science Foundation of China(U20B2053)

摘要/Abstract

摘要：

工业控制（工控）系统是国家工业制造与民用基础设施的“大脑”，近年来安全风险日益突出，已成为网络安全中的重点防护目标。针对工控安全数据分散、威胁感知滞后的问题，设计了多源数据驱动的工控安全态势感知系统Argus，提出了工控安全感知链，研发了无状态极速设备扫描、威胁情报精准提取、可疑攻击行为检测等工控安全态势自主感知技术，实现了多通道、立体式工控安全监测与态势感知。实验结果显示，相比传统工控安全态势感知方法，Argus系统的感知精度提升超过10%，效率提升两个数量级，并可前摄性地预警、缓解潜在安全风险。

关键词: 工业控制系统, 多源数据融合, 态势感知, 威胁情报

Abstract:

Industrial control system (ICS) is the brain of national industrial manufacturing and civil infrastructure.However, the security risks associated with ICS have become increasingly prominent, making it a significant target for cybersecurity protection.This paper proposed a solution for the issues associated with ICS security data dispersion and delayed threat perception.Specifically, the paper presented a multi-source data-driven ICS security situational awareness system named Argus, which incorporated an awareness chain for ICS security.Furthermore, the paper developed autonomous situational awareness technologies for ICS security, such as stateless high-speed device scanning, precise threat intelligence extraction, and suspicious attack behavior detection, to achieve multi-channel and three-dimensional ICS security monitoring and situational awareness.The experimental results indicated that, compared with conventional ICS situational awareness methods, the perception accuracy of the Argus system has improved by over 10%, with efficiency improvements by two orders of magnitude.Additionally, Argus allows for proactive warning and mitigation of potential security risks.

Key words: industrial control system, multi-source data fusion, situation awareness, threat intelligence

中图分类号:

TP311

朱天晨, 赵军, 李博, 李建欣. Argus：基于多源数据驱动的工控安全态势感知系统[J]. 大数据, 2023, 9(4): 98-115.

Tianchen ZHU, Jun ZHAO, Bo LI, Jianxin LI. Argus: multi-source data-driven industrial control security situational awareness system[J]. Big Data Research, 2023, 9(4): 98-115.

图/表 18

图1

图2

图3

表1

表2

表3

图4

表4

图5

表5

图6

表6

表7

图7

表8

表9

表10

表11

参考文献 23

[1]	BHAMARE D , ZOLANVARI M , ERBAD A ,et al. Cybersecurity for industrial control systems:a survey[J]. Computers＆ Security, 2020,89:101677.
[2]	周明, 吕世超, 游建舟 ,等. 工业控制系统安全态势感知技术研究[J]. 信息安全学报, 2022,7(2): 101-119.
	ZHOU M , LYU S C , YOU J Z ,et al. A comprehensive survey of security situational aware-ness on industrial control systems[J]. Journal of Cyber Security, 2022,7(2): 101-119.
[3]	FENG C , LI T T , CHANA D . Multilevel anomaly detection in industrial control systems via package signatures and LSTM networks[C]// Proceedings of 2017 47th Annual IEEE/IFIP International Conference on Dependable Systems and Networks (DSN). Piscataway:IEEE Press, 2017: 261-272.
[4]	MUNA A L H , MOUSTAFA N , SITNIKOVA E . Identification of malicious activities in industrial Internet of Things based on deep learning models[J]. Journal of Information Security and Applications, 2018,41: 1-11.
[5]	CHANG C P , HSU W C , LIAO I E . Anomaly detection for industrial control systems using K-means and convolutional autoencoder[C]// Proceedings of 2019 International Conference on Software,Telecommunications and Computer Networks (SoftCOM). Piscataway:IEEE Press, 2019: 1-6.
[6]	DEMERTZIS K , ILIADIS L , BOUGOUDIS I . Gryphon:a semi-supervised anomaly detection system based on one-class evolving spiking neural network[J]. Neural Computing and Applications, 2020,32(9): 4303-4314.
[7]	PRIYANGA S , KRITHIVASAN K , PRAVINRAJ S ,et al. Detection of cyberattacks in industrial control systems using enhanced principal component analysis and hypergraphbased convolution neural network (EPCAHG-CNN)[J]. IEEE Transactions on Industry Applications, 2020,56(4): 4394-4404.
[8]	DOSHI K , YILMAZ Y , ULUDAG S . Timely detection and mitigation of stealthy DDoS attacks via IoT networks[J]. IEEE Transactions on Dependable and Secure Computing, 2021,18(5): 2164-2176.
[9]	KHAN I A , KESHK M , PI D C ,et al. Enhancing IIoT networks protection:a robust security model for attack detection in Internet industrial control systems[J]. Ad Hoc Networks, 2022,134:102930.
[10]	ISO. Electrical and electronic components and general system aspects:ISO/TC 22/SC 32[S]. 2021.
[11]	SCHLETTE D , CASELLI M , PERNUL G . A comparative study on cyber threat intelligence:the security incident response perspective[J]. IEEE Communications Surveys ＆ Tutorials, 2021,23(4): 2525-2556.
[12]	OASIS. Cyber threat intelligence (CTI):TC.STIX 2.0[S]. 2018.
[13]	HUANG Z , XU W , YU K . Bidirectional LSTM-CRF models for sequence tagging[J]. arXiv preprint, 2015,arXiv:1508.01991.
[14]	ZHENG S C , HAO Y X , LU D Y ,et al. Joint entity and relation extraction based on a hybrid neural network[J]. Neurocomputing, 2017,257: 59-66.
[15]	ZHAO J , LIU X D , YAN Q B ,et al. Multi-attributed heterogeneous graph convolutional network for bot detection[J]. Information Sciences, 2020,537: 380-393.
[16]	SUN Y Z , HAN J W , YAN X F ,et al. Pathsim:meta path-based top-k similarity search in heterogeneous information networks[J]. Proceedings of the VLDB Endowment, 2011,4(11): 992-1003.
[17]	LYON G F . Nmap network scanning:the official Nmap project guide to network discovery and security scanning[M]. Sunnyvale: Insecure, 2009.
[18]	GARCíA S , GRILL M , STIBOREK J ,et al. An empirical comparison of botnet detection methods[J]. Computers ＆Security, 2014,45: 100-123.
[19]	HEARST M A , DUMAIS S T , OSUNA E ,et al. Support vector machines[J]. IEEE Intelligent Systems and Their Applications, 1998,13(4): 18-28.
[20]	DAYA A A , SALAHUDDIN M A , LIMAM N ,et al. A graph-based machine learning approach for bot detection[C]// Proceedings of 2019 IFIP/IEEE Symposium on Integrated Network and Service Management (IM). Piscataway:IEEE Press, 2019: 144-152.
[21]	CHOWDHURY S , KHANZADEH M , AKULA R ,et al. Botnet detection using graph-based feature clustering[J]. Journal of Big Data, 2017,4(1): 1-23.
[22]	KIPF T N , WELLING M . Semi-supervised classification with graph convolutional networks[J]. arXiv preprint, 2016,arXiv:1609.02907.
[23]	WANG X , JI H Y , SHI C ,et al. Heterogeneous graph attention network[C]// Proceedings of WWW’19:The World Wide Web Conference. New York:ACM Press, 2019: 2022-2032.

实体类别	详细描述
VEN	VEN实体代表生产软件的厂商，例如Microsoft、Tencent等。在STIX2.0中，该实体对应于Identity
PRO	PRO实体代表厂商生产的软件、硬件产品，例如Word、Office等
VER	VER实体代表产品的版本信息，例如ver3.0、v4.2.0等
MOD	MOD实体代表产品中的某个模块或者产品包含的功能组件，例如插件等
FILE/PATH	FILE/PATH实体代表文件路径或URL超链接地址
FUNC	FUNC实体代表文件中的某个具体函数，例如某个文件中的函数名称、某个模组中的类等
PARAMETER	PARAMETER实体是参数实体。它代表文件中的变量和常量，例如某段代码包含的变量num
ATTACKER	ATTACKER实体代表实行攻击的某个组织、团体或个人
VULTYPE	VULTYPE代表漏洞的分类，例如XSS、Stack Overflow、SQL Injection等
VUL	VUL实体代表具体漏洞名称
PROBLEM	PROBLEM实体代表产品、模组、文件或具体代码中客观存在的可能发生的问题

关系类别	详细描述
OWNERSHIP	OWNERSHIP关系的意义为包含，可表达厂商、产品、版本和组件之间的基本联系
USE	USE关系的意义为使用，可表达黑客团体针对某个软件的攻击路径
TARGET RELATED	TARGET关系的意义为目标，可表达安全威胁和产品的关联点，这是威胁情报关系脉络中最重要的信息
	RELATED 关系意义为相关，可表达不同名称的实体内部联系，进而对比分析出不同安全事件中的更多信息

实体类型	正则规则	抽取示例
VER	(v\|ver\|version)[\.\-]?[\dx]+([\.\-]	“version1.0”
	[\dx]+)*[\.\-]?	“ver1.x”
	[\dx]+([\.\-][\dx]+)+[\.\-]?	“1.5.2”
	[\da-z]{32}	32 位的 commit id
	…	…
VUL	cve-.+	cve-2018-11693
	cwe-.+	cwe-665
	…	…
…	…	…

蜜罐IP	地理位置	采集日志数量/条
114.215.17.58	中国北京	17 356
120.76.53.242	中国杭州	402 068
122.112.235.239	中国杭州	970 783
122.112.235.27	中国杭州	913 285
139.159.221.18	中国深圳	521 352
139.159.221.19	中国深圳	864 532
139.159.221.20	中国深圳	675 277
47.88.212.109	新加坡	4 546 790
47.88.77.143	美国圣马特奥	580 673
47.89.26.43	中国香港	1 124 782

关系编号	对应节点类型	详细信息
R1	源IP地址-目的IP地址	表示从某一源IP地址到某一目的IP地址的连接
R2	源IP地址-协议	表示某一源IP地址通过某一协议发送请求报文
R3	源IP地址-端口号	表示某一源IP地址与其发送请求报文所用端口之间的关系
R4	源IP地址-请求	表示某一源IP地址与其所发送的请求报文之间的关系
R5	源IP地址-应答	表示某一源IP地址与其接收的应答报文之间的关系
R6	目的IP地址-协议	表示某一目的IP地址通过某一协议接收请求报文
R7	目的IP地址-端口号	表示某一目的IP地址与其接收请求报文所用端口之间的关系
R8	目的IP地址-请求	表示某一目的IP地址与其所接收的请求报文之间的关系
R9	目的IP地址-应答	表示某一目的IP地址与其发送的应答报文之间的关系
R10	协议-端口号	表示某一协议利用某一端口进行工作

Argus：基于多源数据驱动的工控安全态势感知系统

Argus: multi-source data-driven industrial control security situational awareness system

在线阅读

PDF下载

可视化

摘要/Abstract

引用本文

使用本文

图/表 18

参考文献 23

相关文章 15

Metrics

推荐阅读 0

对应节点类型	解释
源IP地址-目的IP地址-源IP地址	表示两个源IP地址访问了同一个目的IP地址
源IP地址-协议-源IP地址	表示两个源IP地址使用了相同的协议
源IP地址-端口号-源IP地址	表示两个源IP地址使用了相同的端口
源IP地址-端口-目的IP地址-端口-源IP地址	表示两个源IP地址通过相同的端口访问了同一个目的IP地址
源IP地址-目的IP地址-应答-目的IP地址-源IP地址	表示两个源IP地址通过访问不同的目的IP地址产生了同一应答
…	…

方法	发包速率
传统全连接端口扫描^[17]	9~14 kbit/s
Argus系统	1 000~1 200 kbit/s

字段	值
时间	2019-12-2 19:00:51
漏洞	CVE-2019-7481
厂商	SonicWall
端口	80/TCP
IP地址	192.185.18.204
DNS	neogenomes.com
文件/路径	GET/court/PlaintNote_12545_copy.zip
端口	443/tcp
IP地址	81.4.123.67
DNS	onion1.host:443
文件/路径	GET/temper/PGPClient.exe
端口	443/tcp
IP地址	168.235.98.160
DNS	onion1.pw
文件/路径	POST/blog/index.php
…	…

字段	值
时间	2023-03-21
漏洞	Heap-Based Buffer Overflow
厂商	Rockwell Automation
设备	ThinManagerThinServer
	6.x - 10.x
	11.0.0 - 11.0.5
	11.1.0 - 11.1.5
版本	11.2.0 - 11.2.6
	12.0.0 - 12.0.4
	12.1.0 - 12.1.5
	13.0.0 - 13.0.1
文件/路径	ThinServer.exe
…	…

方法		CTU-13数据集			蜜罐数据集
方法	准确率	召回率	F1	准确率	召回率	F1
SVM	84.14	85.32	84.73	82.36	84.21	83.27
Graph-ML	92.31	87.50	88.48	91.04	89.37	90.20
Graph-Cluster	94.17	92.36	93.26	93.21	92.72	92.96
GCN	92.54	91.85	92.20	92.16	91.45	91.80
HAN	93.43	91.89	92.65	93.14	92.81	92.97
Argus系统	92.65	93.47	93.06	93.68	97.71	95.65
提升比例	-1.61%	+1.20%	-0.21%	+0.58%	+5.28%	+2.88%

源IP	类型	OID	功能
85.105.*.*	Get	1.2.6.1.2.1.1.1	未知
	Get	1.3.6.1	获取OID的描述性信息
	GetNext	1.3.6.1.2.1.1.1	获取SNMP MIB-2的描述性信息
	GetNext	1.3.6.1.2.1.1.2	获取SNMP MIB-2的OID信息
	GetNext	1.3.6.1.2.1.1.5	获取SNMP MIB-2的主机名称
…	…	…	…

[1]	安洋, 孙健玮, 李倩, 宫永顺. 基于多源异构时空数据融合的交通流量预测模型[J]. 大数据, 2023, 9(4): 69-82.
[2]	刘一达, 丁小欧, 王宏志, 杨东华. 人工参与的迭代式数据清洗方法研究[J]. 大数据, 2023, 9(4): 59-68.
[3]	任洪润, 朱扬勇. 数据管道模型：场外流式数据市场形态探索[J]. 大数据, 2023, 9(3): 15-28.
[4]	高玮军, 王凯. 基于联盟区块链的公益善款溯源系统研究[J]. 大数据, 2023, 9(3): 150-167.
[5]	罗超然, 马郓, 景翔, 黄罡. 数据空间基础设施的技术挑战及数联网解决方案[J]. 大数据, 2023, 9(2): 110-121.
[6]	贵向泉, 郭志礼, 杨裔, 秦炳峰. 基于区块链技术的旅游积分通兑系统设计[J]. 大数据, 2023, 9(2): 147-162.
[7]	叶雅珍, 朱扬勇. 数商：数据商品、数据商人和数据商业[J]. 大数据, 2023, 9(1): 111-125.
[8]	张伶俐, 褚琦凯, 王桂娟, 张巍瀚, 蒲慧, 宋振金, 吴亚东. 文本情感可视分析技术及其在人文领域的应用[J]. 大数据, 2022, 8(6): 56-73.
[9]	李爱黎, 张子帅, 林荫, 王秋菊, 杨建安, 孟炜程, 张岩峰. 基于社交网络大数据的民众情感监测研究[J]. 大数据, 2022, 8(6): 105-126.
[10]	夏正勋, 唐剑飞, 罗圣美, 张燕. 可信AI治理框架探索与实践[J]. 大数据, 2022, 8(4): 145-164.
[11]	叶雅珍, 朱扬勇. 盒装数据：一种基于数据盒的数据产品形态[J]. 大数据, 2022, 8(3): 15-25.
[12]	汤奇峰, 邵志清, 叶雅珍. 数据交易中的权利确认和授予体系[J]. 大数据, 2022, 8(3): 40-53.
[13]	智峰, 田锋, 赵若凡. 计量科学大数据分级分类[J]. 大数据, 2022, 8(1): 60-72.
[14]	王永锋, 陈志广. 面向非易失性内存的持久索引数据结构研究综述[J]. 大数据, 2021, 7(6): 78-88.
[15]	马金锋, 饶凯锋, 李若男, 张京, 郑华. 水环境模型与大数据技术融合研究[J]. 大数据, 2021, 7(6): 103-119.