工控系統(tǒng)安全態(tài)勢感知建模與算法實現-開題報告

《工控系統(tǒng)安全態(tài)勢感知建模與算法實現-開題報告》由會員分享，可在線閱讀，更多相關《工控系統(tǒng)安全態(tài)勢感知建模與算法實現-開題報告（10頁珍藏版）》請在裝配圖網上搜索。

XX 大學畢業(yè)設計（論文）開題報告題目 工控系統(tǒng)安全態(tài)勢感知建模與算法實現 專 業(yè) 名 稱 測控技術與儀器班 級 學 號 學 生 姓 名 指 導 教 師 填 表 日 期 2015 年 4 月 9 日一、選題的依據及意義：工業(yè)控制系統(tǒng)(ICS,Industrial Control System)是由各種自動化控制組件及各種過程控制組件共同構成，用于工業(yè)生產過程的控制系統(tǒng)的總稱。ICS系統(tǒng)廣泛應用于各項關系到國家重要安全的行業(yè)與領域，如化工、電力傳輸等 [1]。然而，隨著工業(yè)以太網技術的快速發(fā)展，以及ICS系統(tǒng)的連接性、開放性、復雜性不斷提升，其脆弱性與安全問題也在日益增加：ICS系統(tǒng)與外部網絡的連接給攻擊者提供了入侵機會，并給ICS系統(tǒng)帶來潛在的重大安全隱患；工業(yè)以太網和TCP/IP技術在ICS系統(tǒng)中的應用不斷廣泛，使得部分適用于Internet網絡的攻擊技術也適用于ICS系統(tǒng)，降低了ICS系統(tǒng)的安全性；ICS系統(tǒng)在網絡結構上的不斷復雜化，形成了多層級與多級別的網絡安全防護需求；此外，近年來安全事件、事故的發(fā)生不斷呈現上升趨勢，這以趨勢不僅為我們敲響了警鐘，也使我們意識到研究工業(yè)控制系統(tǒng)網絡安全的重要性與緊迫性。而針對上述難題的網絡安全態(tài)勢感知（NSSA，Network Security Situation Awareness）技術 [2]應運而生，它將網絡作為一個整體，關注其中正在進行的網絡活動，如監(jiān)控網絡流量，采集相關數據，為網絡當前的狀態(tài)以及未來可能受到的攻擊做出態(tài)勢評估與預測，給網絡管理員提供了可靠、有效的決策依據，最大限度得降低了網絡的風險與損失。因此，本課題通過研究網絡安全態(tài)勢感知，為ICS系統(tǒng)的網絡安全態(tài)勢感知建立相應的模型，并進行算法實現。二、國內外研究概況及發(fā)展趨勢NSSA包含了數據挖掘、數據融合、可視化技術等關鍵技術 [3]，對于不同的技術，國內外也進行了相應的研究。國外在數據挖掘領域，最早開始的是美國哥倫比亞大學的 Wenke Lee等人，他們將數據挖掘引入到入侵檢測領域, 并系統(tǒng)提出了用于入侵檢測的數據挖掘框架；在數據融合應用于網絡安全態(tài)勢感知方面：1987年，Steinberg等人提出了JDL [4]（Joint Director’s Laboratories）數據融合模型，通過對不同數據源數據的融合與分析，進行態(tài)勢評估與預測；2000年，Tim Bass 提出了基于分布式多傳感器數據融合的方法進行網絡態(tài)勢評估 [5]，并給出了下一代入侵檢測系統(tǒng)框架；可視化技術的開展能為網絡管理員提供更為直觀的判斷依據，Stephen Lau [6]開發(fā)的The spinning cube of the potential doom工具能實時顯示網絡中存在的信息，并采用了“點”表示連接的方法，在一定程度上消除了視覺障礙的影響。根據當前愈演愈烈的網絡安全形勢，有關政府部門也意識到網絡安全態(tài)勢感知研究的重要性，美國國防部在2005年的財政預算報告 [7]中就包括了對網絡態(tài)勢感知項目的資助,并提出分三個階段予以實現,分別為:第一階段完成對大規(guī)模復雜網絡行為可視化新算法和新技術的描述和研究,著重突出網絡的動態(tài)性和網絡數據的不確定性;第二階段基于第一階段所研究的工具和方法,實現和驗證可視化原型系統(tǒng);第三階段實現可視化算法, 提高網絡態(tài)勢感知能力。美國高級研究和發(fā)展機構( Advanced Research and Development Activity ,USA) [8]在2006 年的預研計劃中,明確指出網絡態(tài)勢感知的研究目標和關鍵 技術。研究目標是以可視化的方式為不同的決策者和分析員提供易訪問、易理解的信息保障數據：攻擊的信息和知識、 漏洞信息、防御措施等等;關鍵技術包括數據融合、數據可視化、網絡管理工具集成技術、實時漏洞分析技術等等。國內對網絡安全技術的研究還處于起步階段。馮毅 [9]從我軍信息與網絡安全的角度出發(fā),提出了兩項關鍵技術：多源傳感器數據融合和數據挖掘。而在國內相關網絡安全態(tài)勢評估方面,西安交通大學 [10]實現了基于IDS和防火墻的集成化網絡安全監(jiān)控平臺;此外，陳秀真等人 [11]也提出了一個基于統(tǒng)計分析的層次化安全態(tài)勢量化評估模型,采用了自上而下、先局部后整體的評估策略及相應計算方法。北京理工大學信息安全與對抗技術研究中心 [12]研制了一套基于局域網絡的網絡安全態(tài)勢評估系統(tǒng),其主要由網絡安全風險狀態(tài)評估和網絡威脅發(fā)展趨勢預測兩部分組成。三、研究內容和技術路線： 1. 研究內容研究工控系統(tǒng)網絡安全態(tài)勢感知的特點，并對網絡安全態(tài)勢感知的三個階段：態(tài)勢理解、態(tài)勢評估、態(tài)勢預測；逐一進行分析與描述，建立適用于 ICS 系統(tǒng)的模型框架；根據 ICS 系統(tǒng)要求，采用適當算法與理論，進行模型的實現。其中，網絡安全態(tài)勢感知的基本框架如圖 1 中所示。圖 1 態(tài)勢感知三級模型2. 技術路線及關鍵2.1 網絡安全態(tài)勢感知2.1.1 態(tài)勢感知（Situation Awareness）態(tài)勢感知的概念源于航天飛行中對人因的研究。1988年, Endsley 提出了態(tài)勢感知的定義 (SA) ：the perception of elements in the environment within a volume of time and space, the comprehension of their meaning, and the projection of their status in the near future 。2.1.2 網絡態(tài)勢感知（Cyberspace Situation Awareness ）1999 年, Tim Bass 首次提出網絡態(tài)勢感知 (CSA) 基于 ATC （Air Traffic Control）態(tài)勢感知的成熟理論。網絡態(tài)勢感知是指在大規(guī)模網絡環(huán)境中，對能夠引起網絡態(tài)勢發(fā)生變化的安全要素進行獲取、理解、顯示以及預測未來的發(fā)展趨勢。2.1.3 網絡安全態(tài)勢感知（NSSA, Network Security Situation Awareness）NSSA是對CSA概念的擴展與延伸，對于NSSA 的概念，有以下理解：? 從管理員的角度：網絡管理人員通過人機交互界面對當前網絡狀況的認知程度。? 在大規(guī)模網絡環(huán)境中對，能夠引起網絡安全態(tài)勢發(fā)生變化的安全要素進行獲取、理解、顯示以及預測未來的發(fā)展趨勢。關注對網絡系統(tǒng)作為一個整體運行的安全狀況及未來趨勢的把握，能夠實時得感知目前網絡所面臨的威脅，并為及時準確的決策提供可靠的依據，使由于網絡不安全所帶來的風險降到最低。2.2 態(tài)勢感知關鍵技術2.2.1 數據挖掘數據挖掘是從大量的數據中發(fā)掘潛在的、未知的和有用的信息,將其應用于入侵檢測系統(tǒng)，可以從大量存在的審計數據中挖掘出正常的或入侵性的行為模式。它最早是由美國哥倫比亞大學的Wenke Lee等人 [13]引入入侵檢測領域的，他們也提出了用于入侵檢測的數據挖掘框架。數據挖掘主要包含四種分析方法：關聯(lián)分析、序列模式分析、分類分析、聚類分析。a) 關聯(lián)分析的目的是從己知的事務集w中產生數據項集之間的關聯(lián)規(guī)則 ,即同一條審計記錄中不同字段之間存在的關系,同時保證規(guī)則的支持度和信任度大于用戶預先指定的最小支持度和最小信任度。常用算法有Apriori 算法。b) 序列分析：發(fā)現不同數據記錄之間的相關性。序列模式與關聯(lián)模式相仿,不同的是它處理不同記錄之間屬性集的關聯(lián)關系,把數據之間的關聯(lián)性與時間聯(lián)系起來。序列模式分析的側重點在于分析數據間的前后序列關系。常用算法有Count-all算法和Count-some算法。c) 分類分析:提取數據庫中數據項的特征屬性 ,生成分類模型,該模型可以把數據庫中的記錄映射到給定類別中的一個。常用模型：決策樹模型、貝葉斯分類模型、神經網絡模型等d) 聚類分析：將數據對象的集合根據一定的規(guī)則分組成為多個有意義的由類似對象組成的子集的描述性任務；它不依賴于預先定義好的類，它的劃分是未知的。常用方法：系統(tǒng)聚類法、加入法、分解法、動態(tài)聚類法、模糊聚類、有重疊聚類和基于密度的方法等。2.2.2 數據融合Tim Bass[14]首次提出將JDL模型直接運用到網絡態(tài)勢感知領域，為數據融合技術在網絡態(tài)勢感知領域的發(fā)展奠定了基礎。關鍵技術：多源融合（數據層融合，特征層融合和決策層融合 [15]）i. 數據層融合是直接在采集到的原始數據層上進行的融合，在各種傳感器的原始測報未經預處理之前就進行數據的綜合與分析。這是低層次的融合，如成像傳感器中通過對包含同一像素的模糊圖像進行圖像處理來確認目標屬性的過程就屬于數據層融合。ii. 特征層融合：屬于中間層次的融合，先對來自傳感器的原始信息進行特征提取，然后對特征信息進行綜合分析和處理。特征層融合可分為兩大類:一類是目標狀態(tài)融合;另一類是目標特性融合。基于人工智能和機器學習的融合方法較為典型，利用支持向量機（Support Vector Machine, SVM）作為融合技術對數據進行融合 ,如林肯實驗室的Braun等人 [16]以SVM作為融合技術實現對多數據源的融合、利用人工神經網絡算法作為融合算法。iii. 決策層融合：通過不同類型的傳感器觀測同一個目標，每個傳感器在本地完成基本的處理，其中包括預處理、特征抽取、識別或判決，以建立對所觀察目標的初步結論。然后通過關聯(lián)處理進行決策層融合判決，最終獲得聯(lián)合推斷結果。如 Sudit 等 [17]利用 D-S 證據理論的方法，實現決策層融合并對網絡態(tài)勢感知進行了測評。2.2.3 可視化技術可視化技術是利用計算機的圖像處理技術,把數據信息變?yōu)閳D像信息,使其能夠以圖形或者圖像的方式顯示在屏幕上,同時利用交互式技術實現網絡信息的處理?？梢暬夹g的使用，能直觀、有效得獲取隱藏在數據信息中的規(guī)律，并能為網絡管理員提供可靠直觀的決策依據。方法：基于日志數據的可視化顯示,如T. Takata等人 [18]開發(fā)的Mielog可以實現日志可視化，依據日志的分類統(tǒng)計分析結果，最終進行可視化顯示；基于數據流的可視化工具,如Stephen Lau [6]開發(fā)的The spinning cube of the potential doom工具；多數據源、多視圖的可視化系統(tǒng)，例如C.P.Lee等人 [19]提出的Visual Firewall 系統(tǒng)是基于Modle View Controller 的事件驅動結構，有兩個數據源，能全面得提供網絡整體態(tài)勢。四、目標、主要特色及工作進度1. 研究目標研究工業(yè)控制系統(tǒng)的網絡安全態(tài)勢感知特點，并根據 ICS 系統(tǒng)特點結合態(tài)勢感知三級模型與態(tài)勢感知關鍵技術，對工控系統(tǒng)網絡安全態(tài)勢感知進行建模與算法實現，最終能實現 ICS 系統(tǒng)網絡安全當前態(tài)勢的描述以及未來態(tài)勢的預測。2. 主要特色ICS系統(tǒng)的網絡安全問題日益嚴峻，其受到的攻擊與入侵也變得更為多樣化與復雜，現有的傳統(tǒng)網絡管理技術較為單一，無法建立網絡資源、信息之間的聯(lián)系，在面對全局信息時，表現較差；網絡安全態(tài)勢感知的提出，能全面、實時、高效對網絡當前狀況進行檢測與未來態(tài)勢預測，為網絡管理員提供可靠的決策依據。在本課題的研究過程中，將針對ICS系統(tǒng)的特點，結合傳統(tǒng)網絡安全態(tài)勢感知技術，進行相應的建模，以更有效得適應ICS系統(tǒng)；并對當前廣泛采用的各種網絡安全態(tài)勢感知方法進行研究與比較，根據ICS系統(tǒng)收集到的信息特點，如離散等，采用合適的算法，最大限度得實現態(tài)勢感知與態(tài)勢預測。3. 工作進度20xx.2.24～20xx.3.20 前期資料收集、調研20xx.3.21～20xx.4.5 撰寫開題報告，開題20xx.4.06～20xx.5.1 查閱關于網絡安全態(tài)勢感知與 ISC 系統(tǒng)的資料；查閱各類關于態(tài)勢感知的建模方法與適用的算法，從而初步建立工控系統(tǒng)網絡安全態(tài)勢感知模型。20xx.5.06～20xx.6.1 根據所建模型，結合適當的算法，進行工控系統(tǒng)網絡安全態(tài)勢感知建模與算法實現20xx.6.2～20xx.6.20 撰寫畢業(yè)論文、準備畢業(yè)答辯五、參考文獻[1] 馮冬芹，褚健，金建祥，魯立.實時工業(yè)以太網技術：EPA 及其應用解決方案[M].北京：科學出版社，2012.[2] 王慧強，賴積保，朱亮，梁穎.網絡態(tài)勢感知研究綜述[J].計算機科學，2006（10）: 5-10.[3] 龔正虎，卓瑩.網絡態(tài)勢感知研究[J]. 軟件學報，2010， （21）：1605-1619. [4] Steinburg A N,Bowman C L, White F E.1999. Revisions to the JDL Data Fusion Model[J]. in Sensor Fusion : Architectures, Algorithms, and Applications, Proceedings of the SPIE,3719, 1999, 430-441 [5] Bass T, Gruber D. A glimpse into the future of id[EB/OL]. http://www.usenix.org/publications/login/1999-9/fetures/future.html, 1999.[6] Lau S. The spinning cube of potential doom[C].Communications of the ACM,2004, 47(6):25-26.[7] Office of The Secretary of Defense (OSD) Deputy Director of Defense Research & Engineering Deputy Under Secretary of Defense (Science & Technology). Small Business Innovation Research (SBIR) FY 2005.3 Program Description, USA. 2005.[8] Advanced Research and Development Activity(ARDA). Exploratory Program Call for Proposals 2006,USA. 2005.[9] 馮毅.《中國信息戰(zhàn)》我軍信息與網絡安全的思考[EB/OL]. http://www.laocanmou.net/Html/20056 194115-1.html, 2005-6.[10] 張慧敏.集成化網絡安全監(jiān)控平臺的研究與實現[J]. 通信學報，2003,24(7).[11] 陳秀真，鄭慶華，管曉宏，林晨光.層次化網絡安全威脅態(tài)勢量化評估方法[J]. 軟件學報 ，2006，17（4）：885-897.[12] 北京理工大學信息安全與對抗技術研究中心.網絡安全態(tài)勢評估系統(tǒng)技術白皮書[EB/OL].http://www.thinkor.com/product/dowonload/網絡安全態(tài)勢評估系統(tǒng)技術白皮書 2.doc, 2005.[13] Lee Wenke,Stolfo S.Data Mining Approaches for Intrusion Detection[C]. Proceedings of the Seventh USENIX Security Symposium(Security’98) . 1998.[14] Bass T. Service-Oriented Horizontal Fusion in Distributed Coordination-Based Systems[C]. IEEE MILCOM, 2004.[15] D.L Hall. Mathematical techniques in Multisensor Data Fusion[M]. Bosston: Artech House, 2004:125-137.[16] J.J.Braun, S.P.Jeswani. Information fusion of large number of resources with support vector machine technique[C]. Proceedings of SPIE 2003, 2003:13-23.[17] M.Sudit, A.Stotz, M. Holender. Measuring situational awareness and resolving inherent high-level fusion obstacle[C].Proceedings of SPIE 2006, 2006:1-9.[18] Takata T, Koike H. Mielog: A highly interactive visual log browser using information visualization and statistical analysis[C].In: Proceeding of LISA XVI Sixteenth Systems Administration Conference, 2002.11.[19] Lee C P, Trost J, Gibbs N, et al. Visual Firewall: Real-time network security monitor[C]. Visualizations for Computer Security VizSEC 2005,2005.