王 跃， 武茂浦， 刘鑫宇， 邢卫强， 陈端迎

(1.中国船舶集团有限公司第七一六研究所， 江苏 连云港 222000；2.江苏杰瑞信息科技有限公司， 江苏 连云港 222000)

随着互联网信息技术的发展普及，船舶建造过程工控系统的安全漏洞和网络恶意行为不断涌现，工控安全事件层出不穷，安全形势日益严峻。为保障船舶建造过程的工业控制网络安全，工业防火墙、工控入侵检测系统等工控安全设备被部署到网络环境中，在从多方位保护系统的同时，也带来了设备独立运行、缺少协同合作，难以统一管理、资源无法形成合力最优等弊端。此外，安全设备每天产生海量且夹杂了大量不可靠信息的安全报警，很难提取出有意义的事件，更无法从中得到真正对系统造成威胁的事件，无法评估当前系统的整体安全态势，大大降低了系统的安全性。

态势感知是一种基于环境的，动态、整体地洞悉安全风险的能力，随着人工智能技术尤其是一系列机器学习、深度学习算法的相继提出，为有效处理大数据问题提供了便利，这些方法为建立更加实用高效的态势感知提供了新思路和发展方向。态势感知从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力，负责实时全面感知网络整体的安全态势，并能及时准确地给出威胁预警信息，最终是为了决策与行动，是安全能力的落地[1]。故而对安全态势监测预警技术研究既是维护工控安全的基本需要，同样也是保障国防安全的必然要求。

1 态势监测预警技术框架

船舶工控网络安全态势监测预警技术是在船舶建造工业网络环境中，对能够引起工控网络态势发生变化的所有安全要素进行获取、理解、显示以及预测未来的发展趋势，并不局限于单一的安全要素。态势监测预警技术首先对各种影响系统安全性的要素数据进行采集，随后采用分类、归并、建立数据模型、分析等手段对安全信息进行融合，并对融合信息进行综合要素关联分析，得到网络的整体安全状况评估结果及其应对措施，从而对网络安全状况的发展趋势进行预测，最后为信息安全管理者提供可靠的数据参考和决策支持。技术框架如图1所示。

图1 态势监测预警技术框架

1)多源数据。多维度、多层次的数据源收集，为要素的提取提供数据支撑。

2)关联分析。基于多源数据支撑，首先进行数据预处理，然后依据要素指标体系提取要素，接着进行数据融合，多层次多维度的要素关联分析。

3)态势评估。基于要素之间的关联性分析，从多种角度考虑网络的安全状态，对工业网络过程中的安全态势进行综合性评估，并将结果用可视化技术展现出来；基于对网络流量、网络行为的实时监测，通过多层次多粒度要素指标关联分析，发现网络异常行为，并进行追踪审计，通过可视化形式进行预警，并进行定量、定性分析。

4)态势预测。利用数据分析模型实现态势预测，并基于可视化技术集中展示，提供决策意见，指导安全防御体系的敏捷调整和持续运营。

5)系统开发及验证。构建融合数据数据库，开发系统数据接口，采用B/S结构及面向对象的Java语言，基于SpringBoot开发框架搭建网络安全态势监测预警系统，具备资产管理、用户管理、风险管理、自定义报表、事件处置策略配置等功能，并验证相关技术指标的有效性。

2 主要关键技术

2.1 网络安全态势要素数据提取

针对船舶建造过程态势要素数据提取问题，结合船舶网络的拓扑结构和网络安全实际需求制定态势要素指标体系，将构成信息网络的各个层次纳入考虑范畴，通过态势指标体系定义需要提取的所有网络安全态势要素。尽可能全面地获取反映网络安全状态的原始数据信息，并对采集到的原始数据归类后放入到初始数据库中，以备之后态势评估做基础数据支撑。

2.1.1 网络安全态势指标体系构建

针对船舶建造过程网络中设备类型的多样性、数据类型纷繁复杂的情况，建立一个适用于船舶建造的覆盖广泛、内容全面的网络安全态势指标体系必不可少。结合船舶建造网络的拓扑结构和船舶网络安全的实际需求，制定切合实际需求的指标体系原则，按照独立性原则构建包括但不限于生存性、威胁性、脆弱性等指标，从网络承受抗攻击能力、内外部网络威胁程度、遭受攻击后损失程度角度考虑，使网络安全态势指标体系涵盖整个船舶信息网络实体的各个部分，并将信息网络的各个层次纳入考虑范畴，为网络安全态势提供全面、准确的信息支持。

2.1.2 网络安全态势要素获取方法

基于船舶建造过程数据海量且繁杂性，对网络安全态势要素数据获取分为两步：①对原始数据获取与分类保存。根据船舶建造过程网络安全态势指标体系以及系统的实际需求，目前暂定将原始数据按照网元信息、流量信息、漏洞信息、报警信息、静态配置信息来分类，如图2所示，进行规范化处理，并保存至原始数据库，为态势评估、态势预测提供数据基础。②态势要素提取。根据指标体系对网络反映安全状态的数据进行全面获取，标明不同态势要素所占权重，最终生成网络安全态势要素[2]。

图2 原始数据信息分类

2.2 网络安全态势要素关联分析

网络安全态势关联分析是在获取态势要素的前提下，对要素信息进行全方位、多角度分析，以获取各态势要素的关联性，为网络安全态势评估提供关键性支撑。首先通过对原始数据信息预处理，将网络安全数据信息以统一格式进行范式化、去冗余处理，并结合预处理之后的数据进行关联规则挖掘，理清数据信息不同项集的依赖性和关联关系。最后对提取到的关联规则进行分析，结合各类事件形成的规则、逻辑等各项信息选取合适的算法及数学模型，建立针对当前网络安全态势的关联分析模型，来提升网络安全响应与预防能力。

2.2.1 网络安全态势要素原始数据规范化、去冗余处理

网络安全原始数据数量级多，流量大且类型繁杂，传统的关联分析对大数据量能力处理应对不足，无法为规则挖掘提供明确有效的数据准备，需要对获取的态势要素进行预处理。利用人工神经网络、支持向量机方法对态势要素进行分类，并结合粒子群优化算法对分类方法参数或结构等进行优化，结合主成分分析法对数据去除冗余属性，实现对态势要素的规范化和去冗余处理[2]。

2.2.2 安全态势要素关联规则

关联规则的制定是关联分析模型的基础。对网络安全态势要素关联的分析，以态势要素预处理为基础，将数据信息归类统计后利用机器学习等方法提取数据信息特征转换为特征数据，通过基于相似概率关联原则、情景关联原则和安全事件前因与后果原则分析并找出特征数据之间的内在联系和规律，制定关联规则为关联分析模型提供可靠性支撑。

2.2.3 网络安全态势要素关联分析模型及算法

基于关联分析规则的研究，其形成关联规则可能相对固定，各规则间也缺乏逻辑关联。因此，需要对不同地点、不同时间、不同层次的网络安全事件进行关联分析，构建合适关联模型能够代入经过提取的关联规则。通过基于攻击图的关联分析、属性相似度的关联分析、规则的机器学习关联分析等算法来构建关联分析模型。在优化模型的方法上可以采用结合多个算法、增加多维度的关联以及加入时序要素等，并通过代入模型规则及数据来评估模型更正模型，提高模型准确性和可靠性。模型构建流程如图3所示。

图3 模型构建流程

2.3 基于数据融合的态势评估

网络安全态势的信息融合主要分为数据源信息融合、态势要素融合以及关键节点态势的融合3个部分，它们各自起到攻击概率检测、安全态势评估和综合计算等作用。信息融合技术可以精简多源数据、分析信息关联性，将筛选和处理后的信息融合为新的完整信息库，进而支撑网络安全态势评估模型的构建[3-4]。

2.3.1 数据源信息融合

针对信息检出设备本身的多样性和不稳定差异，所导致的准确性下降以及无效性增加等问题，数据源信息融合通过对大量数据的统计推断，可以得到检测设备对攻击发生的支持概率，便于下一步态势要素融合的进行。

2.3.2 基于概率的态势要素融合

利用得到的攻击发生支持概率来计算威胁对主机节点攻击的成功支持概率。通过利用安全威胁概率和漏洞数据库进行匹配，得攻击成功的支持概率，随后利用攻击的威胁度参数，结合攻击发生和成功的支持概率，计算得到攻击对系统关键节点的影响值，对网络中各个主机的安全影响值进行汇总以后，便可以对关键节点态势进行安全信息融合。

2.3.3 关键节点态势融合

关键节点态势融合是网络安全态势信息融合最重要的一环。根据重要性程度分配每个主机节点权重，再将每个关键节点的威胁影响值与其节点权重相乘，得到单个节点的网络安全态势值，通过对所有节点的安全状况值进行汇总，可以得到网络安全状况的总体值。绘制时间-安全态势曲线，可以分析一段时间内的安全态势，以便网络安全管理人员掌握系统过去一段时间，预测和分析未来一段时间的网络安全态势。

2.3.4 构建网络安全态势评估模型

网络安全态势评估模型建立在主机、网络和用户3个层次上，负责分析主机系统的运行状态，挖掘和关联网络安全信息，向用户发出网络安全预警等。在主机层中，评估模型根据主机系统遭受攻击和威胁的数据进行漏洞问题分析；将主机层中的威胁数据融合汇集后输入网络层，以威胁数据为参照对象，对存在网络信息进行对比分析，对信息中潜在的危险特征和危险关联信息进行数学建模和评估。

2.4 网络复合式攻击检测和预测模型

通过对安全日志的大数据分析，关联挖掘历史异常报警与已发生的攻击行为之间的内在联系，进而推断攻击路径，揭示其中隐藏的相关逻辑，构建攻击场景，进而建立复合式攻击检测和预测模型。当系统发现新的网络异常流量或行为，实时推测攻击者后续的攻击步骤，为网络安全主动防御提供重要依据。复合式攻击预测的关键是检测当前已发生的攻击行为，进而预测攻击者未来可能实施的攻击步骤[5-6]。

1)推断攻击路径。攻击路径是引起系统状态变迁的攻击序列的一种描述，体现了系统状态和攻击动作之间的依赖关系。通过机器学习算法发现历史异常报警中隐藏的攻击行为模式，依据专家知识、时间序列、异常报警间相似度函数、逻辑关联等方法构建攻击活动序列，形成过滤或关联规则，推断出相应的攻击路径。

2)构建攻击场景图。将攻击路径集合中的每个映射添加入攻击场景集合，挖掘不同攻击事件间转移的内在联系，构建攻击场景图，进而建立复合式攻击预测模型。

3)复合式攻击预测。针对新增的异常网络流量或行为警告，实时有效地推断攻击意图，计算攻击路径，识别攻击阶段，减少不可信报警数量，帮助网络安全管理员更快地找到嫌疑最大的攻击行为。复合式攻击预测流程如图4所示。

图4 复合式攻击预测流程

3 结论

网络安全态势感知是当今所有世界强国都必须要建设的网络安全保障系统，它能够弥补原有安全保障设备的不足，实现工业企业网络区域中网络整体安全态势的实时监测和预测，为保障国家网络安全提供决策依据。结合船舶建造企业网络特点，构建船舶建造过程网络安全态势监测预警系统，通过船舶网络安全态势要素提取、网络安全态势要素关联分析、网络安全态势评估等技术手段，提升网络安全防护能力，增强工控网络安全态势感知能力，保证网络的安全稳定运行，从而避免或减少造船企业因网络安全事件造成的巨大损失。