本發(fā)明涉及工業(yè)互聯(lián)網(wǎng),尤其涉及一種基于流量分析的工業(yè)終端信任評估方法及系統(tǒng)。
背景技術(shù):
1、工業(yè)互聯(lián)網(wǎng)作為數(shù)字化轉(zhuǎn)型的重要組成部分,正不斷地推動著全球制造業(yè)的革新與升級。然而,隨著工業(yè)互聯(lián)網(wǎng)的快速發(fā)展,安全威脅和風(fēng)險也日益凸顯。傳統(tǒng)的安全模型已經(jīng)難以滿足工業(yè)互聯(lián)網(wǎng)日益復(fù)雜多變的安全需求。在這樣的背景下,零信任技術(shù)作為一種新興的安全防護(hù)方案,引起了業(yè)界的廣泛關(guān)注。在零信任架構(gòu)中,訪問主體的信任等級是生成動態(tài)訪問控制策略的重要依據(jù)之一。
2、對于工業(yè)終端的信任評估技術(shù)可分為兩大類:
3、(1)終端信任評估組件
4、現(xiàn)有的工業(yè)終端信任評估通常通過安裝在終端上的終端信任評估組件實現(xiàn)。終端信任評估組件采集終端的漏洞掃描、病毒檢測以及系統(tǒng)日志等相關(guān)信息,對其進(jìn)行持續(xù)評估,并結(jié)合設(shè)備和身份認(rèn)證結(jié)果,由零信任架構(gòu)中的訪問控制引擎實時生成授權(quán)信息,隨后終端可通過可信代理訪問所需的業(yè)務(wù)服務(wù)。
5、終端信任評估組件通常包含以下四個功能:1)信任建模:基于終端屬性信息、用戶屬性、行為日志和內(nèi)外部風(fēng)險事件等進(jìn)行建模分析;2)身份畫像:基于用戶身份,關(guān)聯(lián)賬號、設(shè)備、訪問行為和異常事件等多類信息,具備按事件、設(shè)備類型、用戶類型和風(fēng)險事件等多維度分類統(tǒng)計以及按時間線審計溯源等能力;3)信任評級:從風(fēng)險、認(rèn)證強(qiáng)度和環(huán)境狀態(tài)等維度計算用戶的信任評分,確定安全等級;4)風(fēng)險推送:將風(fēng)險事件和訪問控制策略關(guān)聯(lián),實現(xiàn)風(fēng)險的實時控制。
6、(2)流量分析技術(shù)
7、除此之外,真實場景中通常使用態(tài)勢感知技術(shù),綜合多源數(shù)據(jù)和智能分析,為工業(yè)互聯(lián)網(wǎng)場景提供全面的工業(yè)網(wǎng)絡(luò)安全態(tài)勢視圖。工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺通常通過采集并分析各類工控協(xié)議流量及日志信息的方式,深入挖掘安全風(fēng)險與攻擊事件,從而實現(xiàn)工業(yè)網(wǎng)絡(luò)空間安全態(tài)勢的全面感知,有效的提高了工業(yè)互聯(lián)網(wǎng)安全運(yùn)維的工作效率。
8、目前已有廠商將零信任與流量分析結(jié)合,以獲取更完善的安全保障。例如,cloudflare在2020年提出了名為cloudflare?ids的入侵檢測平臺,并將其作為cloudflare零信任服務(wù)平臺的關(guān)鍵組成部分,進(jìn)一步加強(qiáng)其零信任服務(wù)平臺的安全性。入侵檢測系統(tǒng)能夠依靠規(guī)則、簽名或機(jī)器學(xué)習(xí)模型來區(qū)分正常行為和異常行為。當(dāng)終端發(fā)出異常流量時,可能意味著終端出現(xiàn)故障或已被攻擊者入侵,對工業(yè)終端進(jìn)行流量分析對于維護(hù)工業(yè)互聯(lián)網(wǎng)的安全性至關(guān)重要。
9、但現(xiàn)有的終端信任評估方法存在一定的局限性:
10、(1)信任評估組件:終端信任評估組件通常僅支持辦公場景中常見的android、ubuntu、windows和ios等系統(tǒng),并且由于終端信任評估組件需要對終端持續(xù)進(jìn)行安全評估,對終端的性能有一定的要求。然而,工業(yè)互聯(lián)網(wǎng)環(huán)境中存在大量特殊的工業(yè)終端設(shè)備,例如游標(biāo)卡尺、光學(xué)測量儀和等離子清洗機(jī)等,這些設(shè)備通常運(yùn)行嵌入式操作系統(tǒng)、專有操作系統(tǒng)或不搭載操作系統(tǒng),其封閉的系統(tǒng)環(huán)境不支持使用終端信任評估組件。
11、(2)流量分析技術(shù):現(xiàn)有工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺的流量分析通?;谝?guī)則匹配,這種機(jī)制存在明顯的局限性,其規(guī)則庫的構(gòu)建往往基于先驗知識以及已知攻擊模式,這導(dǎo)致系統(tǒng)對于未知攻擊模式的識別能力不足。除此之外,面對工業(yè)互聯(lián)網(wǎng)中多樣的設(shè)備行為,基于規(guī)則匹配的態(tài)勢感知平臺難以適應(yīng)工業(yè)互聯(lián)網(wǎng)動態(tài)變化的網(wǎng)絡(luò)環(huán)境,可能會產(chǎn)生誤報和漏報。
12、綜上所述,受限于工業(yè)終端種類多樣、操作系統(tǒng)和存儲計算能力的差異,現(xiàn)有的終端信任評估方法存在一定的局限性。因此,對工業(yè)終端的信任評估提出了更高的要求。
技術(shù)實現(xiàn)思路
1、針對上述問題,本發(fā)明提供一種基于流量分析的工業(yè)終端信任評估方法及系統(tǒng),對于無法使用現(xiàn)有終端信任評估組件的工業(yè)終端,通過結(jié)合流量分析的方法對其信任評估,從而對現(xiàn)有的終端信任評估方案進(jìn)行擴(kuò)展。
2、為達(dá)到上述發(fā)明目的,本發(fā)明采用的技術(shù)方案包括以下內(nèi)容。
3、一種基于流量分析的工業(yè)終端信任評估方法,所述方法包括:
4、構(gòu)建訓(xùn)練數(shù)據(jù)集,并通過對訓(xùn)練數(shù)據(jù)集中的部分?jǐn)?shù)據(jù)樣本進(jìn)行人工標(biāo)注,形成已標(biāo)記數(shù)據(jù)集u0和未標(biāo)記數(shù)據(jù)集v0;
5、基于已標(biāo)注數(shù)據(jù)集ui進(jìn)行模型訓(xùn)練,得到工業(yè)終端信任評估模型mi;其中,所述工業(yè)終端信任評估模型mi的結(jié)構(gòu)包括:包含多個集分類器的集成分類器、包含基于硬投票的集成學(xué)習(xí)策略與基于不確定性采樣的主動學(xué)習(xí)策略的綜合評估模塊,i為自然數(shù);
6、基于工業(yè)終端信任評估模型mi評估未標(biāo)注數(shù)據(jù)集vi中數(shù)據(jù)樣本的可信度,并將高可信度數(shù)據(jù)樣本和經(jīng)過人工標(biāo)注的低可信度數(shù)據(jù)樣本加入到已標(biāo)記數(shù)據(jù)集ui來形成已標(biāo)記數(shù)據(jù)集ui+1,基于未標(biāo)注數(shù)據(jù)集vi中的其他數(shù)據(jù)樣本形成未標(biāo)注數(shù)據(jù)集vi+1;
7、令i=i+1,并重新執(zhí)行所述基于已標(biāo)注數(shù)據(jù)集ui進(jìn)行模型訓(xùn)練,直至i達(dá)到最大迭代次數(shù)或工業(yè)終端信任評估模型mi的性能滿足預(yù)設(shè)條件后,得到訓(xùn)練后的工業(yè)終端信任評估模型;
8、基于訓(xùn)練后的工業(yè)終端信任評估模型對無法使用現(xiàn)有終端信任評估組件的工業(yè)終端進(jìn)行信任評估,得到風(fēng)險評估結(jié)果。
9、進(jìn)一步地,所述基于工業(yè)終端信任評估模型mi評估未標(biāo)注數(shù)據(jù)集vi中數(shù)據(jù)樣本的可信度,并將高可信度數(shù)據(jù)樣本和經(jīng)過人工標(biāo)注的低可信度數(shù)據(jù)樣本加入到已標(biāo)記數(shù)據(jù)集ui來形成已標(biāo)記數(shù)據(jù)集ui+1,基于未標(biāo)注數(shù)據(jù)集vi中的其他數(shù)據(jù)樣本形成未標(biāo)注數(shù)據(jù)集vi+1,包括:
10、對未標(biāo)記數(shù)據(jù)集vi中的數(shù)據(jù)樣本進(jìn)行特征提取,得到數(shù)據(jù)特征;
11、利用所述集成分類器,得到該數(shù)據(jù)樣本的多個預(yù)測結(jié)果;
12、針對所述多個預(yù)測結(jié)果,使用基于硬投票的集成學(xué)習(xí)策略,得到該數(shù)據(jù)樣本的最終預(yù)測結(jié)果,并基于該最終預(yù)測結(jié)果的可信度,判斷該數(shù)據(jù)樣本為高可信度數(shù)據(jù)樣本、低可信度數(shù)據(jù)樣本或其他可信度數(shù)據(jù)樣本;
13、在低可信度數(shù)據(jù)樣本中,基于不確定性采樣的主動學(xué)習(xí)策略進(jìn)行數(shù)據(jù)樣本的選取與人工標(biāo)注;
14、將高可信度數(shù)據(jù)樣本和經(jīng)過人工標(biāo)注的低可信度數(shù)據(jù)樣本加入到已標(biāo)記數(shù)據(jù)集ui來形成已標(biāo)記數(shù)據(jù)集ui+1;
15、基于未標(biāo)注數(shù)據(jù)集vi中的其他數(shù)據(jù)樣本形成未標(biāo)注數(shù)據(jù)集vi+1。
16、進(jìn)一步地,在所述訓(xùn)練數(shù)據(jù)集為ics-flow數(shù)據(jù)集的情況下,所述數(shù)據(jù)特征包括:流的發(fā)送者/接收者ip地址或mac地址、數(shù)據(jù)包類型和網(wǎng)絡(luò)協(xié)議、流中第一個數(shù)據(jù)包的時間戳、流中最后一個數(shù)據(jù)包的時間戳、流中第一個數(shù)據(jù)包相對于數(shù)據(jù)集中第一個數(shù)據(jù)包的時間偏移量、流中最后一個數(shù)據(jù)包的時間偏移量相對于數(shù)據(jù)集中第一個數(shù)據(jù)包的流、流間隔、流內(nèi)發(fā)送或接收的數(shù)據(jù)包計數(shù)、流內(nèi)一個數(shù)據(jù)包發(fā)送或接收的最大字節(jié)數(shù)、流內(nèi)一個數(shù)據(jù)包發(fā)送或接收的最小字節(jié)數(shù)、流內(nèi)每個數(shù)據(jù)包發(fā)送或接收的平均字節(jié)數(shù)流、每秒發(fā)送或接收的位數(shù)、流內(nèi)一個數(shù)據(jù)包中作為有效負(fù)載發(fā)送或接收的最大字節(jié)數(shù)、流內(nèi)一個數(shù)據(jù)包中作為有效負(fù)載發(fā)送或接收的最小字節(jié)數(shù)、發(fā)送或接收數(shù)據(jù)包的平均有效負(fù)載字節(jié)、平均發(fā)送或接收數(shù)據(jù)包間到達(dá)時間、平均發(fā)送或接收生存時間、發(fā)送方或接收方節(jié)點(diǎn)中數(shù)據(jù)包與其確認(rèn)之間的最大間隔、發(fā)送方或接收方節(jié)點(diǎn)中數(shù)據(jù)包及其確認(rèn)之間的最小間隔、發(fā)送方或接收方節(jié)點(diǎn)中數(shù)據(jù)包及其確認(rèn)之間的平均間隔、發(fā)送或接收數(shù)據(jù)包包含ack標(biāo)志的比例、發(fā)送或接收數(shù)據(jù)包包含fin標(biāo)志的比例、發(fā)送或接收數(shù)據(jù)包包含psh標(biāo)志的比例、發(fā)送或接收數(shù)據(jù)包包含rst標(biāo)志的比例、發(fā)送或接收數(shù)據(jù)包包含urg標(biāo)志的比例、發(fā)送或接收數(shù)據(jù)包包含syn標(biāo)志的比例、發(fā)送方或接收方平均tcp窗口通告、和發(fā)送方或接收方tcp數(shù)據(jù)包的碎片率。
17、進(jìn)一步地,在所述訓(xùn)練數(shù)據(jù)集為ciciot2023數(shù)據(jù)集的情況下,所述數(shù)據(jù)特征包括:時間戳、數(shù)據(jù)包流的持續(xù)時間、頭長度、協(xié)議類型、生存時間、流中數(shù)據(jù)包傳輸速率、流中出站數(shù)據(jù)包傳輸速率、流中入站數(shù)據(jù)包傳輸速率、fin標(biāo)志值、syn標(biāo)志值、rst標(biāo)志值、psh標(biāo)志值、ack標(biāo)志值、ece標(biāo)志值、cwr標(biāo)志值、同一流中設(shè)置了ack標(biāo)志的數(shù)據(jù)包數(shù)量、同一流中設(shè)置了syn標(biāo)志的數(shù)據(jù)包數(shù)量、同一流中設(shè)置了fin標(biāo)志的數(shù)據(jù)包數(shù)量、同一流中設(shè)置了urg標(biāo)志的數(shù)據(jù)包數(shù)量、同一流中設(shè)置了rst標(biāo)志的數(shù)據(jù)包數(shù)量、與前一個數(shù)據(jù)包的時間差、流中的數(shù)據(jù)包數(shù)量、流中入包長度的平均值與流中出包長度的平均值之和的0.5次方、流中入包長度的方差與流中出包長度的方差之和的0.5次方、指示應(yīng)用層協(xié)議是否為http、指示應(yīng)用層協(xié)議是否為https、指示應(yīng)用層協(xié)議是否為dns、指示應(yīng)用層協(xié)議是否為telnet、指示應(yīng)用層協(xié)議是否為smtp、指示應(yīng)用層協(xié)議是否為ssh、指示應(yīng)用層協(xié)議是否為irc、指示傳輸層協(xié)議是否為tcp、指示傳輸層協(xié)議是否為udp、指示應(yīng)用層協(xié)議是否為dhcp、指示鏈路層協(xié)議是否為arp、指示網(wǎng)絡(luò)層協(xié)議是否為icmp、指示網(wǎng)絡(luò)層協(xié)議是否為ip、指示鏈路層協(xié)議是否為llc、流中數(shù)據(jù)包長度的總和、流中的最小數(shù)據(jù)包長度、流中的最大數(shù)據(jù)包長度、流中的平均數(shù)據(jù)包長度、流中數(shù)據(jù)包長度的標(biāo)準(zhǔn)差、數(shù)據(jù)包長度、傳入和傳出數(shù)據(jù)包長度的協(xié)方差、流中傳入數(shù)據(jù)包長度的方差與流中傳出數(shù)據(jù)包長度的方差的比值、和流中傳入數(shù)據(jù)包數(shù)量與流中傳出數(shù)據(jù)包數(shù)量的乘積。
18、進(jìn)一步地,所述基分類器包括:基于隨機(jī)森林算法的分類器、基于k最近鄰算法的分類器、基于邏輯回歸算法的分類器和基于梯度提升機(jī)算法的分類器。
19、進(jìn)一步地,所述無法使用現(xiàn)有終端信任評估組件的工業(yè)終端包括:游標(biāo)卡尺、光學(xué)測量儀、等離子清洗機(jī)和點(diǎn)焊自動化單元。
20、一種面向工業(yè)終端訪問目標(biāo)資源請求的檢測方法,所述方法包括:
21、針對無法使用現(xiàn)有終端信任評估組件的工業(yè)終端發(fā)出的流量,基于權(quán)利要求1至6任一項所述的基于流量分析的工業(yè)終端信任評估方法進(jìn)行信任評估,得到無法使用現(xiàn)有終端信任評估組件的工業(yè)終端的風(fēng)險評估結(jié)果;
22、使用現(xiàn)有信任評估組件獲取安裝終端信任評估組件的工業(yè)終端的信任評估結(jié)果;
23、基于無法使用現(xiàn)有終端信任評估組件的工業(yè)終端的風(fēng)險評估結(jié)果和安裝終端信任評估組件的工業(yè)終端的信任評估結(jié)果生成訪問控制策略,并將該訪問控制策略下發(fā)至零信任網(wǎng)關(guān),以使零信任網(wǎng)關(guān)放行符合訪問控制策略的工業(yè)終端訪問目標(biāo)資源請求。
24、一種基于流量分析的工業(yè)終端信任評估系統(tǒng),所述系統(tǒng)包括:
25、數(shù)據(jù)集構(gòu)建模塊,用于構(gòu)建訓(xùn)練數(shù)據(jù)集,并通過對訓(xùn)練數(shù)據(jù)集中的部分?jǐn)?shù)據(jù)樣本進(jìn)行人工標(biāo)注,形成已標(biāo)記數(shù)據(jù)集u0和未標(biāo)記數(shù)據(jù)集v0;
26、訓(xùn)練模塊,用于基于已標(biāo)注數(shù)據(jù)集ui進(jìn)行模型訓(xùn)練,得到工業(yè)終端信任評估模型mi;其中,所述工業(yè)終端信任評估模型mi的結(jié)構(gòu)包括:包含多個集分類器的集成分類器、包含基于硬投票的集成學(xué)習(xí)策略與基于不確定性采樣的主動學(xué)習(xí)策略的綜合評估模塊,i為自然數(shù);基于工業(yè)終端信任評估模型mi評估未標(biāo)注數(shù)據(jù)集vi中數(shù)據(jù)樣本的可信度,并將高可信度數(shù)據(jù)樣本和經(jīng)過人工標(biāo)注的低可信度數(shù)據(jù)樣本加入到已標(biāo)記數(shù)據(jù)集ui來形成已標(biāo)記數(shù)據(jù)集ui+1,基于未標(biāo)注數(shù)據(jù)集vi中的其他數(shù)據(jù)樣本形成未標(biāo)注數(shù)據(jù)集vi+1;令i=i+1,并重新執(zhí)行所述基于已標(biāo)注數(shù)據(jù)集ui進(jìn)行模型訓(xùn)練,直至i達(dá)到最大迭代次數(shù)或工業(yè)終端信任評估模型mi的性能滿足預(yù)設(shè)條件后,得到訓(xùn)練后的工業(yè)終端信任評估模型;
27、測試模塊,用于基于訓(xùn)練后的工業(yè)終端信任評估模型對無法使用現(xiàn)有終端信任評估組件的工業(yè)終端進(jìn)行信任評估,得到風(fēng)險評估結(jié)果。
28、一種面向工業(yè)終端訪問目標(biāo)資源請求的檢測系統(tǒng),其特征在于,所述系統(tǒng)包括:
29、工業(yè)終端信任評估模塊,用于針對無法使用現(xiàn)有終端信任評估組件的工業(yè)終端發(fā)出的流量,基于上述任一項所述的基于流量分析的工業(yè)終端信任評估方法進(jìn)行信任評估,得到無法使用現(xiàn)有終端信任評估組件的工業(yè)終端的信任評估結(jié)果;
30、終端信任評估組件,用于獲取安裝現(xiàn)有終端信任評估組件的工業(yè)終端的信任評估結(jié)果;
31、策略中心,用于基于無法使用現(xiàn)有終端信任評估組件的工業(yè)終端的信任評估結(jié)果和安裝現(xiàn)有終端信任評估組件的工業(yè)終端的信任評估結(jié)果生成訪問控制策略,并將該訪問控制策略下發(fā)至零信任網(wǎng)關(guān),以使零信任網(wǎng)關(guān)放行符合訪問控制策略的工業(yè)終端訪問目標(biāo)資源請求。
32、一種電子設(shè)備,其特征在于,所述電子設(shè)備包括:處理器以及存儲有計算機(jī)程序指令的存儲器;所述處理器執(zhí)行所述計算機(jī)程序指令時實現(xiàn)上述任一項所述的基于流量分析的工業(yè)終端信任評估方法。
33、與現(xiàn)有技術(shù)相比,本發(fā)明設(shè)計了基于流量分析的工業(yè)終端信任評估方法,解決了在眾多工業(yè)終端設(shè)備無法安裝終端信任評估組件,但仍需要對其進(jìn)行信任評估的問題。將基于流量分析的工業(yè)終端信任評估模塊集成于零信任架構(gòu)即可實現(xiàn)工業(yè)終端信任評估的功能,且不顛覆已有的信任評估流量,同時能夠保持零信任架構(gòu)的正常運(yùn)行。
34、本發(fā)明著重關(guān)注基于流量分析的工業(yè)終端信任評估方法,該模塊基于半監(jiān)督主動學(xué)習(xí),在僅需少量已標(biāo)記數(shù)據(jù)的基礎(chǔ)上,實現(xiàn)對無法安裝終端信任評估組件的工業(yè)終端的信任評估。并在ics-flow和ciciot2023兩個公開數(shù)據(jù)集上分別取得了99.44%和98.64%的準(zhǔn)確率。本發(fā)明能夠在僅使用2000條已標(biāo)記數(shù)據(jù)的情況下,實現(xiàn)與監(jiān)督學(xué)習(xí)方法接近的效果,展示了本發(fā)明在減少人工標(biāo)注成本和準(zhǔn)確性的優(yōu)越性。