不管是工業(yè)還是英特網(wǎng)，只要涉及到網(wǎng)絡(luò)的，就有一定的來自網(wǎng)絡(luò)危險(xiǎn)性，造成的損失或大或小而；已重工業(yè)對(duì)于任何一個(gè)國家來講都是國民經(jīng)濟(jì)的支柱產(chǎn)業(yè)，根據(jù) Transparent Market Research 提供的數(shù)據(jù)，全球工業(yè)控制市場(chǎng)在 2014 年創(chuàng)造價(jià)值 580 億美元 , 預(yù)計(jì)將以每年4.9% 的速度增長(zhǎng)，該市場(chǎng)到2021年將達(dá)到 810 億美元的規(guī)模。工業(yè)控制系統(tǒng)所涉及的行業(yè)非常廣泛，如石油化工、電力、交通、核工業(yè)等，在國民經(jīng)濟(jì)總量中也占有舉足輕重的地位，僅能源（電力、石化、燃?xì)獾龋┬袠I(yè)所占GDP 的比重就已經(jīng)超過了20%。

隨著信息化和和自動(dòng)化技術(shù)的發(fā)展，為了方便企業(yè)對(duì)工業(yè)控制系統(tǒng)進(jìn)行控制和管理，在降低成本的需求驅(qū)動(dòng)下，工業(yè)控制系統(tǒng)變得比以前更開放，越來越多地采用標(biāo)準(zhǔn)的通用的通信協(xié)議和軟硬件系統(tǒng)。目前，工業(yè)控制系統(tǒng)與公司的業(yè)務(wù)網(wǎng)絡(luò)基本上都是通過采取隔離措施直接連通的。工業(yè)控制系統(tǒng)在走向開放的同時(shí)，無可避免地引入了在傳統(tǒng) IT網(wǎng)絡(luò)中普遍存在的漏洞和威脅等安全問題。還應(yīng)該注意到，工業(yè)控制系統(tǒng)控制著各個(gè)國家的重要基礎(chǔ)設(shè)施，容易受到敵對(duì)勢(shì)力的攻擊。以伊朗核電站受到 Stuxnet 病毒攻擊為代表的安全事件敲響了工業(yè)控制系統(tǒng)安全態(tài)勢(shì)的警鐘。

20世紀(jì)90年代以來，針對(duì)工業(yè)控制系統(tǒng)的重大安全事件統(tǒng)計(jì)如下：

1）1994年美國亞利桑那州的 Salt River Project 被黑客入侵；

2）2000年俄羅斯政府聲稱黑客成功控制了GAzprom 公司的世界上最大的天然氣輸送管道網(wǎng)絡(luò)；

3）2001年黑客入侵負(fù)責(zé)監(jiān)管加州多數(shù)電力傳輸系統(tǒng)的運(yùn)營(yíng)商系統(tǒng)；

4）2002年美國俄亥俄州 Davis-Besse 的核電廠控制網(wǎng)絡(luò)內(nèi)的一臺(tái)計(jì)算機(jī)被微軟的 SQL Server 蠕蟲所感染，導(dǎo)致其安全監(jiān)管系統(tǒng)停機(jī)近5小時(shí)；

5）2010 年伊朗核設(shè)施遭到Stuxnet的攻擊；

6）2014 年安全廠商F-Secure首先發(fā)現(xiàn)用于從事工業(yè)間諜活動(dòng)的Havex木馬病毒，該病毒的攻擊對(duì)象為歐洲眾多和開發(fā)使用工業(yè)應(yīng)用程序的機(jī)械設(shè)備公司；

7）2014年美國ICS-CERT機(jī)構(gòu)爆出又一個(gè)針對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的攻擊事件，攻擊者利用 BlackEnergy 攻擊人機(jī)界面（Human Machine Interface，HMI），包括 GE/ 研華 WebAccess、西門子 WinCC 等系統(tǒng)均受到了攻擊。從這一系列的事件可以看出針對(duì)工業(yè)控制系統(tǒng)的入侵活動(dòng)從來就沒有停止過，只不過以前的安全事件發(fā)生頻率不高，造成的后果并不嚴(yán)重，沒有引起各界的足夠重視。如圖1 所示，2010 年以來工業(yè)控制系統(tǒng)的安全事件呈現(xiàn)出一個(gè)爆發(fā)性增長(zhǎng)的趨勢(shì)。

原因主要有以下2點(diǎn)：

1）通用協(xié)議和軟硬件的使用使入侵變得容易；

2）工業(yè)控制系統(tǒng)的特殊地位使其容易成為敵對(duì)政府和勢(shì)力的攻擊目標(biāo)。當(dāng)前常見的威脅主要有APT（Advanced Persistent Threat）攻擊、來自有組織犯罪的威脅、內(nèi)部員工的誤操作、工業(yè)間諜等。多方面的威脅以及工業(yè)控制系統(tǒng)自身的脆弱性都決定了對(duì)工業(yè)控制系統(tǒng)實(shí)施安全監(jiān)管勢(shì)在必行。

現(xiàn)有的針對(duì)工業(yè)控制系統(tǒng)的安全解決方案普遍存在以下問題：

1）當(dāng)前的分析方法普遍基于 IDS 等安全設(shè)備截獲的數(shù)據(jù)，而這些設(shè)備往往部署在現(xiàn)場(chǎng)設(shè)備層之上，無法避開這些設(shè)備在范圍和功能上的限制。由于只能從網(wǎng)絡(luò)層獲取的數(shù)據(jù)包中解析數(shù)據(jù)，這些設(shè)備無法判定獲取的數(shù)據(jù)是否與底層現(xiàn)場(chǎng)設(shè)備上的真實(shí)狀態(tài)參數(shù)相吻合。由于并非所有需要監(jiān)控的數(shù)據(jù)都會(huì)在網(wǎng)絡(luò)中以互相通信的形式進(jìn)行傳輸，如一些系統(tǒng)本身的狀態(tài)參數(shù)等，導(dǎo)致數(shù)據(jù)獲取存在遺失的可能。

2）現(xiàn)有的檢測(cè)方法對(duì)于 Stuxnet、Havex 等APT 攻擊的檢測(cè)存在漏洞。Stuxnet會(huì)修改核電站中下層離心機(jī)的轉(zhuǎn)速而對(duì)上層的 HMI 瞞報(bào)一個(gè)正常的值。而 Havex 是通過對(duì)自身的復(fù)制在移動(dòng)介質(zhì)和固定設(shè)備之間進(jìn)行傳播，同時(shí)通過對(duì)移動(dòng)介質(zhì)的驅(qū)動(dòng)和固定設(shè)備硬盤的固件進(jìn)行更改來隱藏自己。

3） 現(xiàn)有的安全方案沒有充分考慮工業(yè)控制系統(tǒng)的特點(diǎn)。工業(yè)控制系統(tǒng)中，可靠性是首要的，而現(xiàn)有的安全方案大多是僅考慮如何使工控系統(tǒng)更加安全，沒有提到他們方案的實(shí)施將對(duì)工控系統(tǒng)本身的可用性造成哪些影響，以及如何應(yīng)對(duì)這些影響。由于擔(dān)心安全機(jī)制的引入會(huì)對(duì)工控系統(tǒng)的正常運(yùn)轉(zhuǎn)造成不利的影響，國內(nèi)部署有工控系統(tǒng)的相關(guān)行業(yè)對(duì)于安全措施的引入存在疑點(diǎn)，這樣的情況也嚴(yán)重制約了安全措施的實(shí)施與推廣。

4）缺乏對(duì)運(yùn)維調(diào)試操作的監(jiān)管。由于在技術(shù)方面還存在一定的差距，出于對(duì)質(zhì)量和性能等方面的考慮，國內(nèi)的相關(guān)行業(yè)大量地采用了國外廠商的設(shè)備，而當(dāng)需要對(duì)這些設(shè)備進(jìn)行維護(hù)時(shí)，通常都需要專業(yè)的技術(shù)人員來對(duì)其進(jìn)行操作，目前來說，對(duì)這些操作還缺乏相應(yīng)的監(jiān)管。本文有針對(duì)性地提出了一種面向工業(yè)控制網(wǎng)絡(luò)的監(jiān)管框架，實(shí)現(xiàn)了對(duì)工業(yè)控制系統(tǒng)多層面的數(shù)據(jù)采集，使得對(duì)整個(gè)系統(tǒng)的監(jiān)管更加全面；相應(yīng)的數(shù)據(jù)采集策略會(huì)根據(jù)鏈路的擁塞情況、被采集設(shè)備的性能等參數(shù)動(dòng)態(tài)地做出調(diào)整，多層面數(shù)據(jù)的關(guān)聯(lián)與分析可以實(shí)現(xiàn)基線檢測(cè)和操作指令一致性檢測(cè)，從而提升系統(tǒng)對(duì)Stuxnet等APT攻擊的檢測(cè)能力。

1、相關(guān)技術(shù)研究

工控系統(tǒng)的安全問題得到廣泛關(guān)注是以 2010 年伊朗Stuxnet 病毒事件為出發(fā)點(diǎn)，隨后，各個(gè)國家都陸續(xù)展開了相應(yīng)的研究。伊朗 Stuxnet 病毒事件表明，在這之前已經(jīng)有個(gè)別國家或組織秘密的獨(dú)立開展了相應(yīng)的研究，對(duì)工控系統(tǒng)的了解相當(dāng)深入，并且掌握了特定的攻擊方法和系統(tǒng)的若干 0 day 漏洞。

現(xiàn)在，已經(jīng)陸續(xù)有很多機(jī)構(gòu)，包括產(chǎn)業(yè)界、學(xué)術(shù)界和標(biāo)準(zhǔn)化組織對(duì)工業(yè)控制系統(tǒng)的安全展開了研究。國外的研究機(jī)構(gòu)有 Industrial Defender、美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）、palo alto 等，國內(nèi)的研究機(jī)構(gòu)有中國電子信息產(chǎn)業(yè)集團(tuán)等科研機(jī)構(gòu)和綠盟科技等信息安全公司。

目前，一種比較流行的做法是通過加入訪問控制的措施來抵御外部的攻擊威脅。但是，訪問控制對(duì)于已經(jīng)突破訪問控制體系或從系統(tǒng)內(nèi)部發(fā)起的入侵攻擊卻無能為力。針對(duì)這一現(xiàn)狀，德國的 SCHUSTER 等人在調(diào)研了入侵檢測(cè)技術(shù)在工業(yè)自動(dòng)化領(lǐng)域的應(yīng)用情況的基礎(chǔ)上，提出了一種分布式的入侵檢測(cè)系統(tǒng)。該系統(tǒng)包括了深度包檢測(cè)、復(fù)雜事件處理、機(jī)器學(xué)習(xí)和異常檢測(cè)等核心功能。該系統(tǒng)在網(wǎng)絡(luò)不同的區(qū)域中，分布式地部署數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（Supervisory Control and Data Acquisition，SCADA）避免了單點(diǎn)故障對(duì)整個(gè)系統(tǒng)的影響。

由于工業(yè)控制系統(tǒng)中網(wǎng)絡(luò)和物理傳感器產(chǎn)生的數(shù)據(jù)量顯著增加，利用大數(shù)據(jù)技術(shù)對(duì)這些海量數(shù)據(jù)進(jìn)行實(shí)時(shí)分析就顯得很有必要了。羅馬尼亞的 KISS 等人提出了一種基于數(shù)據(jù)聚類的方法來檢測(cè)現(xiàn)代網(wǎng)絡(luò)基礎(chǔ)設(shè)施中的異常數(shù)據(jù)，他們嘗試了多種數(shù)據(jù)聚類的方法以選擇最適合用于對(duì)時(shí)間序列數(shù)據(jù)進(jìn)行聚類的方法。最后給出了該方法和架構(gòu)對(duì)氣體壓縮系統(tǒng)數(shù)據(jù)的測(cè)試結(jié)果，實(shí)驗(yàn)分別采用了K-means、Subtractive、Subtractive- K-means 三種聚類方法，結(jié)果顯示 K-means方法對(duì)該案例數(shù)據(jù)的執(zhí)行效果是最好的。

美國的 STONE 等人采用了針對(duì)可編程邏輯控制器（Programmable Logic Controller，PLC）驗(yàn)證的基于 RF（RadioFrequency）的異常檢測(cè)方法。使用提取的來自RF 特征的信息識(shí)別操作特征的變化來檢測(cè) SCADA 系統(tǒng)中 PLC 的異常操作。該方法遇到的問題是當(dāng)使用搜集到的多個(gè)時(shí)域波形時(shí)，基于波形的實(shí)現(xiàn)方式的性能會(huì)急劇下降。該問題可以通過先提取波形幅度的 RF 指紋特征，然后采用基于特征的異常檢測(cè)方法來解決。

美國 Industrial Defender 公司的 ANDREW 設(shè)計(jì)了一種關(guān)于工業(yè)網(wǎng)絡(luò)的簡(jiǎn)單網(wǎng)絡(luò)異常檢測(cè)器。該檢測(cè)器只查看 IP 地址和 TCP/UDP 端口，在每一個(gè)位置，都會(huì)采取一個(gè)人工校正或?qū)W習(xí)的過程來鑒定哪些是符合當(dāng)前位置安全策略的網(wǎng)絡(luò)流量，而其他的流量都會(huì)觸發(fā)警告。ANDREW概括了幾個(gè)不同場(chǎng)景的異常檢測(cè)情況，其中涉及到的技術(shù)主要有防火墻改造、黑白名單技術(shù)、入侵檢測(cè)代理技術(shù)等。

此外，ANDREW 還描述了一種使用 tcpdump 抓包技術(shù)的異常檢測(cè)器的架構(gòu)，此架構(gòu)是通過將獲取到的 IP 包的包頭信息發(fā)送給會(huì)話緩存模塊，然后轉(zhuǎn)換成對(duì)應(yīng)的特定信息組合（包括采用的協(xié)議、端點(diǎn) IP 地址和端點(diǎn) IP 地址相對(duì)應(yīng)的 TCP 或 UDP 端口等信息）的可唯一識(shí)別的會(huì)話流。再將轉(zhuǎn)換后的會(huì)話流通過模式匹配模塊進(jìn)行驗(yàn)證，如果不符合設(shè)定的規(guī)則就會(huì)發(fā)出警告。

由于工業(yè)控制系統(tǒng)的安全是一個(gè)新興領(lǐng)域，該領(lǐng)域的研究整體起步較晚，我國對(duì)工業(yè)控制系統(tǒng)安全的重視程度遠(yuǎn)不及國外。但是工控系統(tǒng)控制著關(guān)系到國家戰(zhàn)略和民生的關(guān)鍵基礎(chǔ)設(shè)施，保障工控系統(tǒng)的正常運(yùn)行意義重大。因此，國內(nèi)針對(duì)該領(lǐng)域的研究也在迅速跟進(jìn)。PENG 等針對(duì)工控系統(tǒng)提出了三點(diǎn)基礎(chǔ)的安全策略。

1）根據(jù)應(yīng)用精簡(jiǎn)操作系統(tǒng)。Stuxnet 蠕蟲病毒是利用微軟的Windows系統(tǒng)和 SIMATIC（西門子自動(dòng)化）的 WinCC 系統(tǒng)的多個(gè)漏洞展開攻擊的。Stuxnet 病毒利用的 5 個(gè)漏洞中，有一個(gè)直到 2010 年12 月15日微軟官方才宣布將其修復(fù)。

而此時(shí)，Stuxnet 病毒已經(jīng)在全球范圍內(nèi)（尤其是伊朗）造成了非常嚴(yán)重的損失。操作系統(tǒng)中還存在著許多漏洞，工業(yè)軟件想要避免這些威脅并不是一件容易的事，因此，最好根據(jù)操作系統(tǒng)安裝的應(yīng)用精簡(jiǎn)操作系統(tǒng)，降低被攻擊的概率。

2）布置分布式防火墻。分布式防火墻可以克服傳統(tǒng)邊界防火墻具有的許多缺陷，分布式防火墻針對(duì)內(nèi)部子網(wǎng)增加了一層安全保護(hù)層，針對(duì)各個(gè)服務(wù)對(duì)象的不同需求制定差別化的配置，網(wǎng)絡(luò)處理負(fù)載的分散可以克服傳統(tǒng)防火墻在高負(fù)載情況下的缺點(diǎn)。配置分布式防火墻時(shí)，需要充分考慮當(dāng)前運(yùn)行的應(yīng)用情況。

3）對(duì)工業(yè)控制系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估。安全風(fēng)險(xiǎn)評(píng)估的好處是我們可以針對(duì)不同事件的處理采取相應(yīng)的安全策略并形成合理的方案。工業(yè)控制系統(tǒng)的風(fēng)險(xiǎn)評(píng)估應(yīng)該基于成熟的風(fēng)險(xiǎn)評(píng)估方法，并且應(yīng)該特別關(guān)注控制系統(tǒng)的特殊要求，以便根據(jù)控制系統(tǒng)的特點(diǎn)確保系統(tǒng)的正常運(yùn)行。

目前來說，在工業(yè)控制系統(tǒng)的安全監(jiān)管領(lǐng)域，圖理論的方法、信號(hào)處理的方法、數(shù)據(jù)挖掘與機(jī)器學(xué)習(xí)等技術(shù)都有所應(yīng)用。由于大量老舊系統(tǒng)遺留的問題，很多安全方案都要求對(duì)系統(tǒng)軟硬件進(jìn)行升級(jí)，但這一要求并不實(shí)際。目前對(duì)工業(yè)控制系統(tǒng)的安全監(jiān)管的研究中，取得較多的進(jìn)展集中在異常分析領(lǐng)域。

結(jié)合工業(yè)控制系統(tǒng)的實(shí)際特點(diǎn)，由于目前報(bào)道的入侵工控系統(tǒng)的病毒都沒有源代碼可獲得，因此無法提取到這些攻擊的指紋特征。所以，基于對(duì)正常行為的分析獲得正常行為的特征，然后進(jìn)行基于正常行為的異常檢測(cè)是工業(yè)控制防御手段的重要方法。此外，由于工業(yè)控制系統(tǒng)產(chǎn)生數(shù)據(jù)量大的特點(diǎn)，很多研究人員從結(jié)合機(jī)器學(xué)習(xí)、數(shù)據(jù)挖掘等技術(shù)出發(fā)，對(duì)異常檢測(cè)以及各種關(guān)聯(lián)分析進(jìn)行了有益的嘗試。

2、監(jiān)管系統(tǒng)框架

工業(yè)控制系統(tǒng)監(jiān)控結(jié)構(gòu)主要包括多層面的數(shù)據(jù)采集、彈性的數(shù)據(jù)采集策略的管理和數(shù)據(jù)分析模塊。其中，多層面的數(shù)據(jù)采集不僅可以從網(wǎng)絡(luò)層捕獲數(shù)據(jù)，還可以從包括底層現(xiàn)場(chǎng)設(shè)備在內(nèi)的設(shè)備上直接采集數(shù)據(jù)；彈性的數(shù)據(jù)采集策略的管理，可以根據(jù)鏈路的擁塞狀況和機(jī)器的負(fù)荷狀態(tài)等動(dòng)態(tài)地調(diào)整數(shù)據(jù)的采集頻率；數(shù)據(jù)分析模塊可以實(shí)現(xiàn)對(duì)關(guān)鍵配置和參數(shù)的監(jiān)控。

2.1 多層面的數(shù)據(jù)采集

圖 2 為典型的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)示意圖，在現(xiàn)有的工業(yè)控制系統(tǒng)監(jiān)管方案中，對(duì)異常的分析普遍是基于 IDS 和防火墻等這樣的安全設(shè)備的告警信息，數(shù)據(jù)采集的層次均在監(jiān)管層及以上，忽略了對(duì)現(xiàn)場(chǎng)控制設(shè)備的監(jiān)管。Stuxnet之所以在入侵伊朗核電站后沒有被及時(shí)發(fā)現(xiàn)就是利用了系統(tǒng)在這方面的缺陷。

Stuxnet 攻擊的基本原理是：1）通過使用一系列的 0day漏洞攻擊感染 Windows系統(tǒng)，在 Windows系統(tǒng)上安裝木馬；2）尋找目標(biāo)工業(yè)控制系統(tǒng)（西門子 WinCC SCADA），使用硬編碼 SQL 認(rèn)證將代碼注入到數(shù)據(jù)庫中，感染系統(tǒng)以便獲取目標(biāo) PLC 的訪問權(quán)限；3）注入代碼到 PLC 中修改 PLC的輸出數(shù)據(jù)，同時(shí)通過報(bào)告虛假信息到 HMI 來隱藏自己。由于在修改 PLC 梯形邏輯的同時(shí)向 HMI 報(bào)告了虛假信息，因此可以達(dá)到篡改離心機(jī)轉(zhuǎn)速而不被立即發(fā)現(xiàn)的目的。這樣的情況下,由于傳統(tǒng)的監(jiān)管系統(tǒng)只對(duì) SCADA 進(jìn)行了監(jiān)管,顯示離心機(jī)還處于正常工作的狀態(tài)，因此對(duì)諸如 Stuxnet 病毒這樣的攻擊就無法實(shí)現(xiàn)有效的監(jiān)控。

本文提出的安全監(jiān)管系統(tǒng)的結(jié)構(gòu)示意圖如圖 3 所示，數(shù)據(jù)采集模塊綜合了三種數(shù)據(jù)采集方法：網(wǎng)絡(luò)采集、協(xié)議直采、采集代理。其中，網(wǎng)絡(luò)采集是從交換機(jī)的鏡像端口采集原始的網(wǎng)絡(luò)流量；協(xié)議直采是利用工業(yè)協(xié)議建立和被采集對(duì)象之間的通信，獲取想要的數(shù)據(jù)；采集代理是在設(shè)備上安裝和設(shè)備的操作系統(tǒng)適配的采集代理模塊，主動(dòng)地搜集系統(tǒng)的參數(shù)設(shè)置和記錄日志的事件等信息。

這三種數(shù)據(jù)采集方法的使用使得數(shù)據(jù)的采集可以深入到工業(yè)控制系統(tǒng)的現(xiàn)場(chǎng)控制設(shè)備層，不僅可以實(shí)現(xiàn)對(duì)原始網(wǎng)絡(luò)流量的獲取，還可以獲取工業(yè)控制系統(tǒng)底層設(shè)備的狀態(tài)、配置等信息，實(shí)現(xiàn)對(duì)系統(tǒng)更加全面的監(jiān)管。

采集的數(shù)據(jù)根據(jù)采集方式的不同，可以分為三大類：通過采集代理采集的數(shù)據(jù)、通過協(xié)議直采的方式采集的數(shù)據(jù)和通過抓包獲取的網(wǎng)絡(luò)數(shù)據(jù)。其中通過采集代理進(jìn)行采集的方式有兩類：主機(jī)設(shè)備運(yùn)行狀態(tài)數(shù)據(jù)和工控控制系統(tǒng)組態(tài)軟件的數(shù)據(jù)。

1）主機(jī)設(shè)備

需要采集的主機(jī)數(shù)據(jù)有：資產(chǎn)信息、軟件信息、系統(tǒng)補(bǔ)丁信息、端口與服務(wù)信息、用戶賬號(hào)、文件信息、運(yùn)行狀態(tài)和非法外聯(lián)監(jiān)控等數(shù)據(jù)。其中，資產(chǎn)信息有 IP 地址，MAC 地址，生產(chǎn)廠商及型號(hào)，操作系統(tǒng)的版本及序列號(hào)，CPU 型號(hào)、主頻，內(nèi)存的大小、頻率以及品牌，磁盤的品牌、大小及轉(zhuǎn)數(shù)。軟件信息有已經(jīng)安裝的軟件名稱、安裝時(shí)間、版本信息以及卸載時(shí)間。系統(tǒng)補(bǔ)丁信息有已經(jīng)安裝的補(bǔ)丁的名稱、安裝時(shí)間、版本信息、卸載時(shí)間。端口與服務(wù)信息有開放的端口號(hào)、每個(gè)開放端口的服務(wù)進(jìn)程信息、每個(gè)處于 connected 狀態(tài)端口的連接信息。用戶賬號(hào)信息有登錄名、登錄時(shí)間、登出時(shí)間、登錄時(shí)長(zhǎng)、用戶 ID、用戶角色、用戶權(quán)限。文件信息有注冊(cè)表信息、文件名、文件目錄、文件創(chuàng)建時(shí)間、文件修改時(shí)間、文件擴(kuò)展。運(yùn)行狀態(tài)信息有主機(jī)資源使用情況日志包括 CPU 使用率、內(nèi)存使用率、磁盤使用率，主機(jī)進(jìn)程運(yùn)行日志包括運(yùn)行進(jìn)程的數(shù)量、每個(gè)進(jìn)程啟停次數(shù)及時(shí)間；主機(jī) USB 設(shè)備運(yùn)行日志，包括連接 USB 口的設(shè)備名稱、連接時(shí)間、連接時(shí)長(zhǎng)；主機(jī)流量日志包括進(jìn)口流量統(tǒng)計(jì)、出口流量統(tǒng)計(jì)；Agent 代理運(yùn)行日志包括 CPU占用率、內(nèi)存占用率、錯(cuò)誤 / 異常日志。非法外聯(lián)監(jiān)控包括對(duì)未知地址的訪問、對(duì)已知地址的訪問。

2）組態(tài)軟件的數(shù)據(jù)

組態(tài)軟件如 SCADA、PLC、DCS 等組態(tài)軟件中的數(shù)據(jù)是通過采集代理調(diào)用這些軟件的 API（Application Program Interface）來進(jìn)行獲取的。通過協(xié)議直采的方式獲得數(shù)據(jù)有六類：防火墻設(shè)備數(shù)據(jù)、路由器設(shè)備數(shù)據(jù)、交換機(jī)設(shè)備數(shù)據(jù)、IDS/IPS 設(shè)備數(shù)據(jù)、網(wǎng)絡(luò)審計(jì)設(shè)備數(shù)據(jù)和病毒網(wǎng)關(guān)數(shù)據(jù)。這些數(shù)據(jù)是通過SNMP 協(xié)議或者 Syslog 等進(jìn)行采集的。

3）防火墻設(shè)備

需要采集的防火墻設(shè)備數(shù)據(jù)有：資產(chǎn)信息、配置信息和運(yùn)行日志。其中，資產(chǎn)信息包括 IP 地址、MAC 地址和生產(chǎn)廠商 / 型號(hào)；配置信息有系統(tǒng)時(shí)鐘信息，用戶管理信息包括用戶名稱、用戶角色 / 類型；工作模式信息包括路由模式、透明模式；過濾規(guī)則 / 策略信息包括 ACL 列表、黑名單 / 白名單、應(yīng)用層包過濾規(guī)則和狀態(tài)監(jiān)測(cè)規(guī)則；轉(zhuǎn)發(fā)規(guī)則信息包括地址轉(zhuǎn)換規(guī)則 /NAT、端口映射規(guī)則；攻擊檢測(cè)信息包括 DoS/DDoS 防御策略、放掃描策略；流量控制信息包括連接速率限制、連接數(shù)目限制。運(yùn)行日志信息包括運(yùn)行日志和告警日志。

4）路由器設(shè)備

需要采集的路由器設(shè)備數(shù)據(jù)有：資產(chǎn)信息、配置信息和運(yùn)行日志。其中資產(chǎn)信息包括 IP 地址、MAC 地址和生產(chǎn)廠商 / 型號(hào)。配置信息有系統(tǒng)時(shí)鐘信息；網(wǎng)絡(luò)配置信息包括 WAN口配置信息、LAN口配置信息、DHCP 配置信息和 VLAN 配置信息；路由配置信息包括靜態(tài)路由信息、動(dòng)態(tài)路由信息、策略路由信息；轉(zhuǎn)發(fā)規(guī)則信息包括地址轉(zhuǎn)換規(guī)則 /NAT、端口映射規(guī)則；VPN 配置信息包括 IPSec VPN配置信息、SSL VPN 配置信息、L2TP/PPTP 配置信息；流量控制信息包括 QoS 配置信息、連接速率限制、連接數(shù)目限制。運(yùn)行日志信息包括運(yùn)行日志和告警日志。

5）交換機(jī)設(shè)備

需要采集的交換機(jī)設(shè)備數(shù)據(jù)有：資產(chǎn)信息、配置信息和運(yùn)行日志。資產(chǎn)信息即生產(chǎn)廠商 / 型號(hào)。配置信息有系統(tǒng)時(shí)鐘信息；端口配置信息包括端口屬性信息、端口鏡像信息、端口限速信息和端口聚合信息；邏輯區(qū)域劃分信息（VLAN配置信息）；過濾規(guī)則信息（MAC 地址過濾信息）；流量控制信息（QoS配置信息）。運(yùn)行日志信息包括運(yùn)行日志和告警日志。

6）IDS/IPS設(shè)備

需要采集的 IDS/IPS 設(shè)備數(shù)據(jù)有：資產(chǎn)信息、配置信息和運(yùn)行日志。其中資產(chǎn)信息包括 IP 地址、MAC 地址、生產(chǎn)廠商 / 型號(hào)和區(qū)域管理信息（針對(duì) IDS）。配置信息有：系統(tǒng)時(shí)鐘信息；用戶管理信息包括用戶名稱、用戶角色 /類型；策略配置信息包括策略名稱、策略組件信息 / 策略集信息；級(jí)聯(lián)配置信息包括本級(jí)配置信息和上級(jí) /下級(jí)配置信息。運(yùn)行日志信息包括運(yùn)行日志和告警日志。

7）網(wǎng)絡(luò)審計(jì)設(shè)備

需要采集的網(wǎng)絡(luò)審計(jì)設(shè)備數(shù)據(jù)有：資產(chǎn)信息、配置信息和運(yùn)行日志。其中資產(chǎn)信息包括 IP 地址、MAC 地址、生產(chǎn)廠商 / 型號(hào)。配置信息有：系統(tǒng)時(shí)鐘信息；用戶管理信息包括用戶名稱、用戶角色 / 類型和用戶權(quán)限；資產(chǎn)配置信息包括主機(jī)資產(chǎn)信息和網(wǎng)絡(luò) / 安全設(shè)備資產(chǎn)信息；數(shù)據(jù)采集配置信息包括 Syslog 采集策略、SNMP 采集策略、Opsec Lec 采集策略、鏡像數(shù)據(jù)采集策略、文件采集策略和遠(yuǎn)程采集策略 ；策略配置信息包括預(yù)置策略配置信息（歸并策略、關(guān)聯(lián)策略、數(shù)據(jù)策略）、實(shí)時(shí)規(guī)則配置信息、知識(shí)庫配置管理信息和歸檔配置信息（數(shù)據(jù)歸檔配置）。運(yùn)行日志信息包括運(yùn)行日志、告警日志和審計(jì)日志。

8）病毒網(wǎng)關(guān)設(shè)備

需要采集的網(wǎng)絡(luò)審計(jì)設(shè)備數(shù)據(jù)有：資產(chǎn)信息、配置信息和運(yùn)行日志。其中資產(chǎn)信息包括 IP 地址、MAC 地址、生產(chǎn)廠商 / 型號(hào)。配置信息有：系統(tǒng)時(shí)鐘信息；用戶管理信息包括用戶名稱、用戶角色/類型和用戶權(quán)限；病毒庫配置信息（病毒庫升級(jí)/ 更新配置）；運(yùn)行策略信息包括策略名稱和策略內(nèi)容信息（病毒掃描策略、關(guān)鍵字過濾策略等）。運(yùn)行日志信息包括運(yùn)行日志和告警日志。

通過抓包獲取的網(wǎng)絡(luò)數(shù)據(jù)，是指通過抓包程序模塊抓取 Modbus TCP、Profibus 等協(xié)議的數(shù)據(jù)包，再通過協(xié)議規(guī)范對(duì)這些數(shù)據(jù)包進(jìn)行解析而獲取的數(shù)據(jù)，主要用于后文中的操作指令一致性檢測(cè)。采集代理和區(qū)域數(shù)據(jù)平臺(tái)之間的通信流程如圖 4 所示，主要有以下幾步：1）客戶端（采集代理）和服務(wù)器（區(qū)域數(shù)據(jù)平臺(tái)）建立連接；2）如果客戶端之前沒有注冊(cè)，則需要發(fā)送注冊(cè)包至服務(wù)器，服務(wù)器做出響應(yīng)，完成注冊(cè)；3）服務(wù)器根據(jù)客戶端是否能正常發(fā)回心跳數(shù)據(jù)包來判斷連接是否正常；4）如果連接正常，可以通過服務(wù)器端給客戶端下發(fā)采集策略；5）客戶端根據(jù)服務(wù)器下發(fā)的采集策略上傳相應(yīng)的事件數(shù)據(jù)；6）服務(wù)器如果想獲取客戶端所在機(jī)器的配置數(shù)據(jù)，需要發(fā)送配置數(shù)據(jù)請(qǐng)求數(shù)據(jù)包給客戶端。

由于需要由管理員主動(dòng)向 Agent 代理發(fā)送采集策略等操作，并且考慮到數(shù)據(jù)傳輸需要保證可靠性和順序性，故采用長(zhǎng)連接方式與區(qū)域數(shù)據(jù)平臺(tái)連接。服務(wù)器默認(rèn)在10001 端口監(jiān)聽，并接受代理的連接請(qǐng)求。