工控系統(tǒng)安全態(tài)勢感知建模與算法實(shí)現(xiàn)-開題報(bào)告

XX大學(xué)畢業(yè)設(shè)計(jì)（論文）開題報(bào)告題目 工控系統(tǒng)安全態(tài)勢感知建模與算法實(shí)現(xiàn) 專 業(yè) 名 稱 測控技術(shù)與儀器班 級(jí) 學(xué) 號(hào) 學(xué) 生 姓 名 指 導(dǎo) 教 師 填 表 日 期 2015 年 4 月 9 日一、選題的依據(jù)及意義：工業(yè)控制系統(tǒng)(ICS,Industrial Control System)是由各種自動(dòng)化控制組件及各種過程控制組件共同構(gòu)成，用于工業(yè)生產(chǎn)過程的控制系統(tǒng)的總稱。ICS系統(tǒng)廣泛應(yīng)用于各項(xiàng)關(guān)系到國家重要安全的行業(yè)與領(lǐng)域，如化工、電力傳輸?shù)?。然而，隨著工業(yè)以太網(wǎng)技術(shù)的快速發(fā)展，以及ICS系統(tǒng)的連接性、開放性、復(fù)雜性不斷提升，其脆弱性與安全問題也在日益增加：ICS系統(tǒng)與外部網(wǎng)絡(luò)的連接給攻擊者提供了入侵機(jī)會(huì)，并給ICS系統(tǒng)帶來潛在的重大安全隱患；工業(yè)以太網(wǎng)和TCP/IP技術(shù)在ICS系統(tǒng)中的應(yīng)用不斷廣泛，使得部分適用于Internet網(wǎng)絡(luò)的攻擊技術(shù)也適用于ICS系統(tǒng)，降低了ICS系統(tǒng)的安全性；ICS系統(tǒng)在網(wǎng)絡(luò)結(jié)構(gòu)上的不斷復(fù)雜化，形成了多層級(jí)與多級(jí)別的網(wǎng)絡(luò)安全防護(hù)需求；此外，近年來安全事件、事故的發(fā)生不斷呈現(xiàn)上升趨勢，這以趨勢不僅為我們敲響了警鐘，也使我們意識(shí)到研究工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的重要性與緊迫性。而針對上述難題的網(wǎng)絡(luò)安全態(tài)勢感知（NSSA，Network Security Situation Awareness）技術(shù)2應(yīng)運(yùn)而生，它將網(wǎng)絡(luò)作為一個(gè)整體，關(guān)注其中正在進(jìn)行的網(wǎng)絡(luò)活動(dòng)，如監(jiān)控網(wǎng)絡(luò)流量，采集相關(guān)數(shù)據(jù)，為網(wǎng)絡(luò)當(dāng)前的狀態(tài)以及未來可能受到的攻擊做出態(tài)勢評估與預(yù)測，給網(wǎng)絡(luò)管理員提供了可靠、有效的決策依據(jù)，最大限度得降低了網(wǎng)絡(luò)的風(fēng)險(xiǎn)與損失。因此，本課題通過研究網(wǎng)絡(luò)安全態(tài)勢感知，為ICS系統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢感知建立相應(yīng)的模型，并進(jìn)行算法實(shí)現(xiàn)。二、國內(nèi)外研究概況及發(fā)展趨勢NSSA包含了數(shù)據(jù)挖掘、數(shù)據(jù)融合、可視化技術(shù)等關(guān)鍵技術(shù)3，對于不同的技術(shù)，國內(nèi)外也進(jìn)行了相應(yīng)的研究。國外在數(shù)據(jù)挖掘領(lǐng)域，最早開始的是美國哥倫比亞大學(xué)的 Wenke Lee等人，他們將數(shù)據(jù)挖掘引入到入侵檢測領(lǐng)域, 并系統(tǒng)提出了用于入侵檢測的數(shù)據(jù)挖掘框架；在數(shù)據(jù)融合應(yīng)用于網(wǎng)絡(luò)安全態(tài)勢感知方面：1987年，Steinberg等人提出了JDL4（Joint Directors Laboratories）數(shù)據(jù)融合模型，通過對不同數(shù)據(jù)源數(shù)據(jù)的融合與分析，進(jìn)行態(tài)勢評估與預(yù)測；2000年，Tim Bass 提出了基于分布式多傳感器數(shù)據(jù)融合的方法進(jìn)行網(wǎng)絡(luò)態(tài)勢評估5，并給出了下一代入侵檢測系統(tǒng)框架；可視化技術(shù)的開展能為網(wǎng)絡(luò)管理員提供更為直觀的判斷依據(jù)，Stephen Lau 6開發(fā)的The spinning cube of the potential doom工具能實(shí)時(shí)顯示網(wǎng)絡(luò)中存在的信息，并采用了“點(diǎn)”表示連接的方法，在一定程度上消除了視覺障礙的影響。根據(jù)當(dāng)前愈演愈烈的網(wǎng)絡(luò)安全形勢，有關(guān)政府部門也意識(shí)到網(wǎng)絡(luò)安全態(tài)勢感知研究的重要性，美國國防部在2005年的財(cái)政預(yù)算報(bào)告7中就包括了對網(wǎng)絡(luò)態(tài)勢感知項(xiàng)目的資助,并提出分三個(gè)階段予以實(shí)現(xiàn),分別為:第一階段完成對大規(guī)模復(fù)雜網(wǎng)絡(luò)行為可視化新算法和新技術(shù)的描述和研究,著重突出網(wǎng)絡(luò)的動(dòng)態(tài)性和網(wǎng)絡(luò)數(shù)據(jù)的不確定性;第二階段基于第一階段所研究的工具和方法,實(shí)現(xiàn)和驗(yàn)證可視化原型系統(tǒng);第三階段實(shí)現(xiàn)可視化算法, 提高網(wǎng)絡(luò)態(tài)勢感知能力。美國高級(jí)研究和發(fā)展機(jī)構(gòu)( Advanced Research and Development Activity ,USA) 8在2006 年的預(yù)研計(jì)劃中,明確指出網(wǎng)絡(luò)態(tài)勢感知的研究目標(biāo)和關(guān)鍵 技術(shù)。研究目標(biāo)是以可視化的方式為不同的決策者和分析員提供易訪問、易理解的信息保障數(shù)據(jù)：攻擊的信息和知識(shí)、 漏洞信息、防御措施等等;關(guān)鍵技術(shù)包括數(shù)據(jù)融合、數(shù)據(jù)可視化、網(wǎng)絡(luò)管理工具集成技術(shù)、實(shí)時(shí)漏洞分析技術(shù)等等。國內(nèi)對網(wǎng)絡(luò)安全技術(shù)的研究還處于起步階段。馮毅9從我軍信息與網(wǎng)絡(luò)安全的角度出發(fā),提出了兩項(xiàng)關(guān)鍵技術(shù)：多源傳感器數(shù)據(jù)融合和數(shù)據(jù)挖掘。而在國內(nèi)相關(guān)網(wǎng)絡(luò)安全態(tài)勢評估方面,西安交通大學(xué)10實(shí)現(xiàn)了基于IDS和防火墻的集成化網(wǎng)絡(luò)安全監(jiān)控平臺(tái);此外，陳秀真等人11也提出了一個(gè)基于統(tǒng)計(jì)分析的層次化安全態(tài)勢量化評估模型,采用了自上而下、先局部后整體的評估策略及相應(yīng)計(jì)算方法。北京理工大學(xué)信息安全與對抗技術(shù)研究中心12研制了一套基于局域網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢評估系統(tǒng),其主要由網(wǎng)絡(luò)安全風(fēng)險(xiǎn)狀態(tài)評估和網(wǎng)絡(luò)威脅發(fā)展趨勢預(yù)測兩部分組成。三、研究內(nèi)容和技術(shù)路線： 1. 研究內(nèi)容研究工控系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢感知的特點(diǎn)，并對網(wǎng)絡(luò)安全態(tài)勢感知的三個(gè)階段：態(tài)勢理解、態(tài)勢評估、態(tài)勢預(yù)測；逐一進(jìn)行分析與描述，建立適用于ICS系統(tǒng)的模型框架；根據(jù)ICS系統(tǒng)要求，采用適當(dāng)算法與理論，進(jìn)行模型的實(shí)現(xiàn)。其中，網(wǎng)絡(luò)安全態(tài)勢感知的基本框架如圖1中所示。圖 1 態(tài)勢感知三級(jí)模型2. 技術(shù)路線及關(guān)鍵2.1 網(wǎng)絡(luò)安全態(tài)勢感知2.1.1態(tài)勢感知（Situation Awareness）態(tài)勢感知的概念源于航天飛行中對人因的研究。1988年, Endsley 提出了態(tài)勢感知的定義 (SA) ：the perception of elements in the environment within a volume of time and space, the comprehension of their meaning, and the projection of their status in the near future 。2.1.2網(wǎng)絡(luò)態(tài)勢感知（Cyberspace Situation Awareness）1999年, Tim Bass 首次提出網(wǎng)絡(luò)態(tài)勢感知 (CSA) 基于ATC （Air Traffic Control）態(tài)勢感知的成熟理論。網(wǎng)絡(luò)態(tài)勢感知是指在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對能夠引起網(wǎng)絡(luò)態(tài)勢發(fā)生變化的安全要素進(jìn)行獲取、理解、顯示以及預(yù)測未來的發(fā)展趨勢。2.1.3網(wǎng)絡(luò)安全態(tài)勢感知（NSSA, Network Security Situation Awareness）NSSA是對CSA概念的擴(kuò)展與延伸，對于NSSA的概念，有以下理解：從管理員的角度：網(wǎng)絡(luò)管理人員通過人機(jī)交互界面對當(dāng)前網(wǎng)絡(luò)狀況的認(rèn)知程度。在大規(guī)模網(wǎng)絡(luò)環(huán)境中對，能夠引起網(wǎng)絡(luò)安全態(tài)勢發(fā)生變化的安全要素進(jìn)行獲取、理解、顯示以及預(yù)測未來的發(fā)展趨勢。關(guān)注對網(wǎng)絡(luò)系統(tǒng)作為一個(gè)整體運(yùn)行的安全狀況及未來趨勢的把握，能夠?qū)崟r(shí)得感知目前網(wǎng)絡(luò)所面臨的威脅，并為及時(shí)準(zhǔn)確的決策提供可靠的依據(jù)，使由于網(wǎng)絡(luò)不安全所帶來的風(fēng)險(xiǎn)降到最低。2.2 態(tài)勢感知關(guān)鍵技術(shù)2.2.1 數(shù)據(jù)挖掘數(shù)據(jù)挖掘是從大量的數(shù)據(jù)中發(fā)掘潛在的、未知的和有用的信息,將其應(yīng)用于入侵檢測系統(tǒng)，可以從大量存在的審計(jì)數(shù)據(jù)中挖掘出正常的或入侵性的行為模式。它最早是由美國哥倫比亞大學(xué)的Wenke Lee等人13引入入侵檢測領(lǐng)域的，他們也提出了用于入侵檢測的數(shù)據(jù)挖掘框架。數(shù)據(jù)挖掘主要包含四種分析方法：關(guān)聯(lián)分析、序列模式分析、分類分析、聚類分析。a)關(guān)聯(lián)分析的目的是從己知的事務(wù)集w中產(chǎn)生數(shù)據(jù)項(xiàng)集之間的關(guān)聯(lián)規(guī)則,即同一條審計(jì)記錄中不同字段之間存在的關(guān)系,同時(shí)保證規(guī)則的支持度和信任度大于用戶預(yù)先指定的最小支持度和最小信任度。常用算法有Apriori算法。b)序列分析：發(fā)現(xiàn)不同數(shù)據(jù)記錄之間的相關(guān)性。序列模式與關(guān)聯(lián)模式相仿,不同的是它處理不同記錄之間屬性集的關(guān)聯(lián)關(guān)系,把數(shù)據(jù)之間的關(guān)聯(lián)性與時(shí)間聯(lián)系起來。序列模式分析的側(cè)重點(diǎn)在于分析數(shù)據(jù)間的前后序列關(guān)系。常用算法有Count-all算法和Count-some算法。c)分類分析:提取數(shù)據(jù)庫中數(shù)據(jù)項(xiàng)的特征屬性,生成分類模型,該模型可以把數(shù)據(jù)庫中的記錄映射到給定類別中的一個(gè)。常用模型：決策樹模型、貝葉斯分類模型、神經(jīng)網(wǎng)絡(luò)模型等d)聚類分析：將數(shù)據(jù)對象的集合根據(jù)一定的規(guī)則分組成為多個(gè)有意義的由類似對象組成的子集的描述性任務(wù)；它不依賴于預(yù)先定義好的類，它的劃分是未知的。常用方法：系統(tǒng)聚類法、加入法、分解法、動(dòng)態(tài)聚類法、模糊聚類、有重疊聚類和基于密度的方法等。2.2.2 數(shù)據(jù)融合Tim Bass14首次提出將JDL模型直接運(yùn)用到網(wǎng)絡(luò)態(tài)勢感知領(lǐng)域，為數(shù)據(jù)融合技術(shù)在網(wǎng)絡(luò)態(tài)勢感知領(lǐng)域的發(fā)展奠定了基礎(chǔ)。關(guān)鍵技術(shù)：多源融合（數(shù)據(jù)層融合，特征層融合和決策層融合15）i.數(shù)據(jù)層融合是直接在采集到的原始數(shù)據(jù)層上進(jìn)行的融合，在各種傳感器的原始測報(bào)未經(jīng)預(yù)處理之前就進(jìn)行數(shù)據(jù)的綜合與分析。這是低層次的融合，如成像傳感器中通過對包含同一像素的模糊圖像進(jìn)行圖像處理來確認(rèn)目標(biāo)屬性的過程就屬于數(shù)據(jù)層融合。ii.特征層融合：屬于中間層次的融合，先對來自傳感器的原始信息進(jìn)行特征提取，然后對特征信息進(jìn)行綜合分析和處理。特征層融合可分為兩大類:一類是目標(biāo)狀態(tài)融合;另一類是目標(biāo)特性融合?；谌斯ぶ悄芎蜋C(jī)器學(xué)習(xí)的融合方法較為典型，利用支持向量機(jī)（Support Vector Machine, SVM）作為融合技術(shù)對數(shù)據(jù)進(jìn)行融合,如林肯實(shí)驗(yàn)室的Braun等人16以SVM作為融合技術(shù)實(shí)現(xiàn)對多數(shù)據(jù)源的融合、利用人工神經(jīng)網(wǎng)絡(luò)算法作為融合算法。iii.決策層融合：通過不同類型的傳感器觀測同一個(gè)目標(biāo)，每個(gè)傳感器在本地完成基本的處理，其中包括預(yù)處理、特征抽取、識(shí)別或判決，以建立對所觀察目標(biāo)的初步結(jié)論。然后通過關(guān)聯(lián)處理進(jìn)行決策層融合判決，最終獲得聯(lián)合推斷結(jié)果。如Sudit等17利用D-S證據(jù)理論的方法，實(shí)現(xiàn)決策層融合并對網(wǎng)絡(luò)態(tài)勢感知進(jìn)行了測評。2.2.3 可視化技術(shù)可視化技術(shù)是利用計(jì)算機(jī)的圖像處理技術(shù),把數(shù)據(jù)信息變?yōu)閳D像信息,使其能夠以圖形或者圖像的方式顯示在屏幕上,同時(shí)利用交互式技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)信息的處理?？梢暬夹g(shù)的使用，能直觀、有效得獲取隱藏在數(shù)據(jù)信息中的規(guī)律，并能為網(wǎng)絡(luò)管理員提供可靠直觀的決策依據(jù)。方法：基于日志數(shù)據(jù)的可視化顯示,如T. Takata等人18開發(fā)的Mielog可以實(shí)現(xiàn)日志可視化，依據(jù)日志的分類統(tǒng)計(jì)分析結(jié)果，最終進(jìn)行可視化顯示；基于數(shù)據(jù)流的可視化工具,如Stephen Lau 6開發(fā)的The spinning cube of the potential doom工具；多數(shù)據(jù)源、多視圖的可視化系統(tǒng)，例如C.P.Lee等人19提出的Visual Firewall系統(tǒng)是基于Modle View Controller 的事件驅(qū)動(dòng)結(jié)構(gòu)，有兩個(gè)數(shù)據(jù)源，能全面得提供網(wǎng)絡(luò)整體態(tài)勢。四、目標(biāo)、主要特色及工作進(jìn)度1. 研究目標(biāo)研究工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢感知特點(diǎn)，并根據(jù)ICS系統(tǒng)特點(diǎn)結(jié)合態(tài)勢感知三級(jí)模型與態(tài)勢感知關(guān)鍵技術(shù)，對工控系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢感知進(jìn)行建模與算法實(shí)現(xiàn)，最終能實(shí)現(xiàn)ICS系統(tǒng)網(wǎng)絡(luò)安全當(dāng)前態(tài)勢的描述以及未來態(tài)勢的預(yù)測。2. 主要特色I(xiàn)CS系統(tǒng)的網(wǎng)絡(luò)安全問題日益嚴(yán)峻，其受到的攻擊與入侵也變得更為多樣化與復(fù)雜，現(xiàn)有的傳統(tǒng)網(wǎng)絡(luò)管理技術(shù)較為單一，無法建立網(wǎng)絡(luò)資源、信息之間的聯(lián)系，在面對全局信息時(shí)，表現(xiàn)較差；網(wǎng)絡(luò)安全態(tài)勢感知的提出，能全面、實(shí)時(shí)、高效對網(wǎng)絡(luò)當(dāng)前狀況進(jìn)行檢測與未來態(tài)勢預(yù)測，為網(wǎng)絡(luò)管理員提供可靠的決策依據(jù)。在本課題的研究過程中，將針對ICS系統(tǒng)的特點(diǎn)，結(jié)合傳統(tǒng)網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)，進(jìn)行相應(yīng)的建模，以更有效得適應(yīng)ICS系統(tǒng)；并對當(dāng)前廣泛采用的各種網(wǎng)絡(luò)安全態(tài)勢感知方法進(jìn)行研究與比較，根據(jù)ICS系統(tǒng)收集到的信息特點(diǎn)，如離散等，采用合適的算法，最大限度得實(shí)現(xiàn)態(tài)勢感知與態(tài)勢預(yù)測。3. 工作進(jìn)度20xx.2.2420xx.3.20 前期資料收集、調(diào)研20xx.3.2120xx.4.5 撰寫開題報(bào)告，開題20xx.4.0620xx.5.1 查閱關(guān)于網(wǎng)絡(luò)安全態(tài)勢感知與ISC系統(tǒng)的資料；查閱各 類關(guān)于態(tài)勢感知的建模方法與適用的算法，從而初步建 立工控系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢感知模型。20xx.5.0620xx.6.1 根據(jù)所建模型，結(jié)合適當(dāng)?shù)乃惴?，進(jìn)行工控系統(tǒng)網(wǎng)絡(luò)安 全態(tài)勢感知建模與算法實(shí)現(xiàn)20xx.6.220xx.6.20 撰寫畢業(yè)論文、準(zhǔn)備畢業(yè)答辯五、參考文獻(xiàn)1 馮冬芹，褚健，金建祥，魯立.實(shí)時(shí)工業(yè)以太網(wǎng)技術(shù)：EPA及其應(yīng)用解決方案M.北京：科學(xué)出版社，2012.2 王慧強(qiáng)，賴積保，朱亮，梁穎.網(wǎng)絡(luò)態(tài)勢感知研究綜述J.計(jì)算機(jī)科學(xué)，2006（10）: 5-10.3 龔正虎，卓瑩.網(wǎng)絡(luò)態(tài)勢感知研究J.軟件學(xué)報(bào)，2010，（21）：1605-1619. 4 Steinburg A N,Bowman C L, White F E.1999. Revisions to the JDL Data Fusion ModelJ. in Sensor Fusion : Architectures, Algorithms, and Applications, Proceedings of the SPIE,3719, 1999, 430-441 5 Bass T, Gruber D. A glimpse into the future of idEB/OL. /publications/login/1999-9/fetures/future.html, 1999.6 Lau S. The spinning cube of potential doomC.Communications of the ACM,2004, 47(6):25-26.7 Office of The Secretary of Defense (OSD) Deputy Director of Defense Research & Engineering Deputy Under Secretary of Defense (Science & Technology). Small Business Innovation Research (SBIR) FY 2005.3 Program Description, USA. 2005.8 Advanced Research and Development Activity(ARDA). Exploratory Program Call for Proposals 2006,USA. 2005.9 馮毅.中國信息戰(zhàn)我軍信息與網(wǎng)絡(luò)安全的思考EB/OL. /Html/20056 194115-1.html, 2005-6.10 張慧敏.集成化網(wǎng)絡(luò)安全監(jiān)控平臺(tái)的研究與實(shí)現(xiàn)J.通信學(xué)報(bào)，2003,24(7).11 陳秀真，鄭慶華，管曉宏，林晨光.層次化網(wǎng)絡(luò)安全威脅態(tài)勢量化評估方法J.軟件學(xué)報(bào)，2006，17（4）：885-897.12 北京理工大學(xué)信息安全與對抗技術(shù)研究中心.網(wǎng)絡(luò)安全態(tài)勢評估系統(tǒng)技術(shù)白皮書EB/OL./product/dowonload/網(wǎng)絡(luò)安全態(tài)勢評估系統(tǒng)技術(shù)白皮書2.doc, 2005.13 Lee Wenke,Stolfo S.Data Mining Approaches for Intrusion DetectionC. Proceedings of the Seventh USENIX Security Symposium(Security98) . 1998.14 Bass T. Service-Oriented Horizontal Fusion in Distributed Coordination-Based SystemsC. IEEE MILCOM, 2004.15 D.L Hall. Mathematical techniques in Multisen