工控系统安全态势感知建模与算法实现-开题报告.doc

1、XX大学毕业设计（论文）开题报告题目 工控系统安全态势感知建模与算法实现 专 业 名 称 测控技术与仪器班 级 学 号 学 生 姓 名 指 导 教 师 填 表 日 期 2015 年 4 月 9 日一、选题的依据及意义：工业控制系统(ICS,Industrial Control System)是由各种自动化控制组件及各种过程控制组件共同构成，用于工业生产过程的控制系统的总称。ICS系统广泛应用于各项关系到国家重要安全的行业与领域，如化工、电力传输等1。然而，随着工业以太网技术的快速发展，以及ICS系统的连接性、开放性、复杂性不断提升，其脆弱性与安全问题也在日益增加：ICS系统与外部网络的连接给攻

2、击者提供了入侵机会，并给ICS系统带来潜在的重大安全隐患；工业以太网和TCP/IP技术在ICS系统中的应用不断广泛，使得部分适用于Internet网络的攻击技术也适用于ICS系统，降低了ICS系统的安全性；ICS系统在网络结构上的不断复杂化，形成了多层级与多级别的网络安全防护需求；此外，近年来安全事件、事故的发生不断呈现上升趋势，这以趋势不仅为我们敲响了警钟，也使我们意识到研究工业控制系统网络安全的重要性与紧迫性。而针对上述难题的网络安全态势感知（NSSA，Network Security Situation Awareness）技术2应运而生，它将网络作为一个整体，关注其中正在进行的网络活动

3、，如监控网络流量，采集相关数据，为网络当前的状态以及未来可能受到的攻击做出态势评估与预测，给网络管理员提供了可靠、有效的决策依据，最大限度得降低了网络的风险与损失。因此，本课题通过研究网络安全态势感知，为ICS系统的网络安全态势感知建立相应的模型，并进行算法实现。二、国内外研究概况及发展趋势NSSA包含了数据挖掘、数据融合、可视化技术等关键技术3，对于不同的技术，国内外也进行了相应的研究。国外在数据挖掘领域，最早开始的是美国哥伦比亚大学的 Wenke Lee等人，他们将数据挖掘引入到入侵检测领域, 并系统提出了用于入侵检测的数据挖掘框架；在数据融合应用于网络安全态势感知方面：1987年，Ste

4、inberg等人提出了JDL4（Joint Directors Laboratories）数据融合模型，通过对不同数据源数据的融合与分析，进行态势评估与预测；2000年，Tim Bass 提出了基于分布式多传感器数据融合的方法进行网络态势评估5，并给出了下一代入侵检测系统框架；可视化技术的开展能为网络管理员提供更为直观的判断依据，Stephen Lau 6开发的The spinning cube of the potential doom工具能实时显示网络中存在的信息，并采用了“点”表示连接的方法，在一定程度上消除了视觉障碍的影响。根据当前愈演愈烈的网络安全形势，有关政府部门也意识到网络安全态

5、势感知研究的重要性，美国国防部在2005年的财政预算报告7中就包括了对网络态势感知项目的资助,并提出分三个阶段予以实现,分别为:第一阶段完成对大规模复杂网络行为可视化新算法和新技术的描述和研究,着重突出网络的动态性和网络数据的不确定性;第二阶段基于第一阶段所研究的工具和方法,实现和验证可视化原型系统;第三阶段实现可视化算法, 提高网络态势感知能力。美国高级研究和发展机构( Advanced Research and Development Activity ,USA) 8在2006 年的预研计划中,明确指出网络态势感知的研究目标和关键 技术。研究目标是以可视化的方式为不同的决策者和分析员提供易

6、访问、易理解的信息保障数据：攻击的信息和知识、 漏洞信息、防御措施等等;关键技术包括数据融合、数据可视化、网络管理工具集成技术、实时漏洞分析技术等等。国内对网络安全技术的研究还处于起步阶段。冯毅9从我军信息与网络安全的角度出发,提出了两项关键技术：多源传感器数据融合和数据挖掘。而在国内相关网络安全态势评估方面,西安交通大学10实现了基于IDS和防火墙的集成化网络安全监控平台;此外，陈秀真等人11也提出了一个基于统计分析的层次化安全态势量化评估模型,采用了自上而下、先局部后整体的评估策略及相应计算方法。北京理工大学信息安全与对抗技术研究中心12研制了一套基于局域网络的网络安全态势评估系统,其主要

7、由网络安全风险状态评估和网络威胁发展趋势预测两部分组成。三、研究内容和技术路线： 1. 研究内容研究工控系统网络安全态势感知的特点，并对网络安全态势感知的三个阶段：态势理解、态势评估、态势预测；逐一进行分析与描述，建立适用于ICS系统的模型框架；根据ICS系统要求，采用适当算法与理论，进行模型的实现。其中，网络安全态势感知的基本框架如图1中所示。图 1 态势感知三级模型2. 技术路线及关键2.1 网络安全态势感知2.1.1态势感知（Situation Awareness）态势感知的概念源于航天飞行中对人因的研究。1988年, Endsley 提出了态势感知的定义 (SA) ：the perce

8、ption of elements in the environment within a volume of time and space, the comprehension of their meaning, and the projection of their status in the near future 。2.1.2网络态势感知（Cyberspace Situation Awareness）1999年, Tim Bass 首次提出网络态势感知 (CSA) 基于ATC （Air Traffic Control）态势感知的成熟理论。网络态势感知是指在大规模网络环境中，对能够引起网

9、络态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。2.1.3网络安全态势感知（NSSA, Network Security Situation Awareness）NSSA是对CSA概念的扩展与延伸，对于NSSA的概念，有以下理解：从管理员的角度：网络管理人员通过人机交互界面对当前网络状况的认知程度。在大规模网络环境中对，能够引起网络安全态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。关注对网络系统作为一个整体运行的安全状况及未来趋势的把握，能够实时得感知目前网络所面临的威胁，并为及时准确的决策提供可靠的依据，使由于网络不安全所带来的风险降到最低。2.2 态

10、势感知关键技术2.2.1 数据挖掘数据挖掘是从大量的数据中发掘潜在的、未知的和有用的信息,将其应用于入侵检测系统，可以从大量存在的审计数据中挖掘出正常的或入侵性的行为模式。它最早是由美国哥伦比亚大学的Wenke Lee等人13引入入侵检测领域的，他们也提出了用于入侵检测的数据挖掘框架。数据挖掘主要包含四种分析方法：关联分析、序列模式分析、分类分析、聚类分析。a)关联分析的目的是从己知的事务集w中产生数据项集之间的关联规则,即同一条审计记录中不同字段之间存在的关系,同时保证规则的支持度和信任度大于用户预先指定的最小支持度和最小信任度。常用算法有Apriori算法。b)序列分析：发现不同数据记录之

11、间的相关性。序列模式与关联模式相仿,不同的是它处理不同记录之间属性集的关联关系,把数据之间的关联性与时间联系起来。序列模式分析的侧重点在于分析数据间的前后序列关系。常用算法有Count-all算法和Count-some算法。c)分类分析:提取数据库中数据项的特征属性,生成分类模型,该模型可以把数据库中的记录映射到给定类别中的一个。常用模型：决策树模型、贝叶斯分类模型、神经网络模型等d)聚类分析：将数据对象的集合根据一定的规则分组成为多个有意义的由类似对象组成的子集的描述性任务；它不依赖于预先定义好的类，它的划分是未知的。常用方法：系统聚类法、加入法、分解法、动态聚类法、模糊聚类、有重叠聚类和基

12、于密度的方法等。2.2.2 数据融合Tim Bass14首次提出将JDL模型直接运用到网络态势感知领域，为数据融合技术在网络态势感知领域的发展奠定了基础。关键技术：多源融合（数据层融合，特征层融合和决策层融合15）i.数据层融合是直接在采集到的原始数据层上进行的融合，在各种传感器的原始测报未经预处理之前就进行数据的综合与分析。这是低层次的融合，如成像传感器中通过对包含同一像素的模糊图像进行图像处理来确认目标属性的过程就属于数据层融合。ii.特征层融合：属于中间层次的融合，先对来自传感器的原始信息进行特征提取，然后对特征信息进行综合分析和处理。特征层融合可分为两大类:一类是目标状态融合;另一类是

13、目标特性融合。基于人工智能和机器学习的融合方法较为典型，利用支持向量机（Support Vector Machine, SVM）作为融合技术对数据进行融合,如林肯实验室的Braun等人16以SVM作为融合技术实现对多数据源的融合、利用人工神经网络算法作为融合算法。iii.决策层融合：通过不同类型的传感器观测同一个目标，每个传感器在本地完成基本的处理，其中包括预处理、特征抽取、识别或判决，以建立对所观察目标的初步结论。然后通过关联处理进行决策层融合判决，最终获得联合推断结果。如Sudit等17利用D-S证据理论的方法，实现决策层融合并对网络态势感知进行了测评。2.2.3 可视化技术可视化技术是利

14、用计算机的图像处理技术,把数据信息变为图像信息,使其能够以图形或者图像的方式显示在屏幕上,同时利用交互式技术实现网络信息的处理。可视化技术的使用，能直观、有效得获取隐藏在数据信息中的规律，并能为网络管理员提供可靠直观的决策依据。方法：基于日志数据的可视化显示,如T. Takata等人18开发的Mielog可以实现日志可视化，依据日志的分类统计分析结果，最终进行可视化显示；基于数据流的可视化工具,如Stephen Lau 6开发的The spinning cube of the potential doom工具；多数据源、多视图的可视化系统，例如C.P.Lee等人19提出的Visual Fire

15、wall系统是基于Modle View Controller 的事件驱动结构，有两个数据源，能全面得提供网络整体态势。四、目标、主要特色及工作进度1. 研究目标研究工业控制系统的网络安全态势感知特点，并根据ICS系统特点结合态势感知三级模型与态势感知关键技术，对工控系统网络安全态势感知进行建模与算法实现，最终能实现ICS系统网络安全当前态势的描述以及未来态势的预测。2. 主要特色ICS系统的网络安全问题日益严峻，其受到的攻击与入侵也变得更为多样化与复杂，现有的传统网络管理技术较为单一，无法建立网络资源、信息之间的联系，在面对全局信息时，表现较差；网络安全态势感知的提出，能全面、实时、高效对网络当前状况进行检测与未来态势预测，为网络管理员提供可靠的决策依据。在本课题的研究过程中，将针对ICS系统的特点，结合传统网络安全态势感知技术，进行相应的建模，以更有效得适应ICS系统；并对当前广泛采用的各种网络安全态势感知方法进行研究与比较，根据ICS系统收集到的信息特点，如离散等，采用合适的算法，最大限度得实现态势感知与态势预测。3. 工作进度20xx.2.2420xx.3.20 前期资料收集、调研20xx.3.2120xx.4.5 撰写开题报告，开题