引言

隨著“數(shù)字孿生流域”“智慧水利”等國(guó)家工程的全面推進(jìn)，水利行業(yè)已構(gòu)建起涵蓋水情測(cè)報(bào)、工控調(diào)度、視頻監(jiān)控、政務(wù)云等多業(yè)務(wù)融合的大型信息基礎(chǔ)設(shè)施。各類傳感器、PLC、邊緣網(wǎng)關(guān)每日產(chǎn)生億級(jí)日志數(shù)據(jù)，成為掌握全網(wǎng)安全態(tài)勢(shì)的關(guān)鍵戰(zhàn)略資源。然而，日志的多源異構(gòu)、高噪聲、高重復(fù)特性，導(dǎo)致基于傳統(tǒng)SOC/SIEM平臺(tái)告警疲勞嚴(yán)重，平臺(tái)日均新增待研判安全事件超過(guò)8萬(wàn)條，基層安全人員疲于處置，真正的APT級(jí)攻擊反而被淹沒在海量誤報(bào)之中。水利系統(tǒng)一旦遭受入侵，不僅可能造成工控設(shè)備誤動(dòng)作、水質(zhì)監(jiān)測(cè)數(shù)據(jù)被篡改，甚至引發(fā)城市供水癱瘓或下游洪災(zāi)誤判，社會(huì)影響和生命財(cái)產(chǎn)損失不可估量。因此，研究面向水利業(yè)務(wù)場(chǎng)景的高精度日志降噪與攻擊源評(píng)分方法，實(shí)現(xiàn)百萬(wàn)條安全事件到幾十條高置信度攻擊IP的躍遷，是提升行業(yè)級(jí)安全運(yùn)營(yíng)效率、保障國(guó)家水安全的迫切現(xiàn)實(shí)需求。水利網(wǎng)絡(luò)中已經(jīng)部署了網(wǎng)絡(luò)安全一體化運(yùn)營(yíng)保障平臺(tái)，該平臺(tái)能夠接收APT檢測(cè)系統(tǒng)、日志審計(jì)系統(tǒng)、應(yīng)用系統(tǒng)、堡壘機(jī)等多種安全產(chǎn)品的日志數(shù)據(jù)，經(jīng)過(guò)多源異構(gòu)信息處理，形成統(tǒng)一格式的包括SQL注入、XSS攻擊、病毒傳播、系統(tǒng)漏洞利用等共168種類型的攻擊日志，日均日志量超過(guò)500萬(wàn)條。平臺(tái)以大規(guī)模日志智能處理及安全事件溯源分析為核心目標(biāo)，構(gòu)建了從數(shù)據(jù)采集、實(shí)時(shí)處理到威脅識(shí)別與聯(lián)動(dòng)防御的閉環(huán)體系，為水利行業(yè)網(wǎng)絡(luò)安全運(yùn)營(yíng)提供了基礎(chǔ)支撐。但是在實(shí)際應(yīng)用中，其在集中分析與智能研判能力方面仍面臨提升瓶頸，亟待進(jìn)一步優(yōu)化。針對(duì)目前日志規(guī)模的急劇增長(zhǎng)，大量冗余、誤報(bào)及噪聲數(shù)據(jù)的存在，安全分析人員面臨高負(fù)載與高誤判率雙重挑戰(zhàn)。本文提出了一種高噪聲日志攻擊源識(shí)別方法，該方法利用基于多維規(guī)則的攻擊源IP動(dòng)態(tài)評(píng)分模型完成攻擊源IP的識(shí)別，然后針對(duì)識(shí)別的攻擊源IP，映射為“攻擊源IP-事件類型-目標(biāo)資產(chǎn)IP-時(shí)間戳”四元語(yǔ)義網(wǎng)絡(luò)，構(gòu)建攻擊事件圖譜，還原完整攻擊鏈，在水利場(chǎng)景實(shí)現(xiàn)跨區(qū)域、跨業(yè)務(wù)系統(tǒng)的圖譜化溯源。該系統(tǒng)可融合到網(wǎng)絡(luò)安全一體化運(yùn)營(yíng)保障平臺(tái)或SOC/SIEM等平臺(tái)，大幅降低人工研判工作量，提高關(guān)鍵業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)能力和防御能力。

本文詳細(xì)內(nèi)容請(qǐng)下載：

http://ihrv.cn/resource/share/2000006928

作者信息：

高原1，2， 汪辰瑞1，3

(1.安徽省水科學(xué)與智慧水利重點(diǎn)實(shí)驗(yàn)室，安徽合肥230091;

2.安徽省大禹水利工程科技有限公司，安徽合肥230088;

3.安徽省建筑工程質(zhì)量監(jiān)督檢測(cè)站有限公司，安徽合肥230088)