天地和兴安全研究院:用AI赋能安全 为工业征途创造安全的更优解

首页 / 业界 / 企业 /  正文
作者:西西
来源:安全419
发布于:2021-10-27
工业基础设施作为国家经济命脉的支柱,在数字化水平不断提高、IT与OT深度融合、全球地缘政治争斗持续激化的当下,其安全问题成为制约行业健康发展、危害社会稳定甚至国家安全的关键因素。

逐步升级的合规驱动与现实威胁双双推动工业网络安全的理念、技术和框架加速迭代升级,近日,安全419拜访了专业从事工业网络安全的企业天地和兴安全研究院院长刘乐农先生,从前瞻技术研究与应用角度畅谈当下及未来工业网络安全建设的新思路。


新一代工业网络安全 应囊括从生产到控制再到办公的全域安全

随着网络空间安全领域对关键基础设施中使用的自动化系统安全性认知的不断深化和提高,促使工业网络安全(Industrial Cyber Security)作为一门专业学科出现。

近年来,业界围绕工控安全、工业互联网安全等热门概念及范畴推出了诸多相关安全产品和解决方案以帮助工业企业进行安全生产。刘院长告诉我们,在普遍认同工业网络安全的主体是工业而非网络的情况下,对于自动化控制系统的检测与保障成为安全建设重心,在等保2.0、关基保护条例等法规中,涉及工控系统安全均有较为详细的规定,这也成为安全厂商与工业企业普遍关注的焦点。在新一代信息技术与传统工业深度融合的趋势下,互联网 + 工业所引入的新生安全风险亦是时下需要高度重视和解决的。

“不同的安全企业,会根据自身技术优势和产品能力所擅长方向的不同,定位在不同的细分领域,但本质上都是助力用户解决安全问题。”在刘院长看来,工业网络安全包含了一个更完整的范围,它关心的是工业企业的整体安全,不仅包含生产区和控制区,也应当包含办公区,将安全问题当作一个整体来看待。

天地和兴对工业网络安全的理解,广义上讲,就是工业行业的网络空间安全,即对工业基础设施系统的保护,工业基础设施包括普渡模型的每一个工业层以及上至云端、下至物端。狭义上讲,就是利用一套技术、流程和服务的组合,以人员、过程和技术为核心,实施对信息流和物质流全生命周期的保护和管理。涵盖设备安全、控制安全、网络安全、应用安全、数据安全以及供应链安全、人为因素、安全治理等。

基于以上认知和定位,天地和兴在产品和服务体系上意在构筑全域工业网络安全矩阵,目前已布局工业控制系统安全、工业互联网安全、工业物联网安全、车联网安全、工业云平台安全、工业网络安全运维、工业网络安全教育实训和工业网络安全服务。其打造的新一代工业网络安全架构依据体系化、纵深防御、弹性增强的原则设计,同步强调攻击检测易实现和攻击后果极小化,以适应当下和未来融合的安全能力发展要求。

聚焦三大板块 持续探索工业安全未来的可能路径

对产品和业务的支撑来源于长期的技术攻坚及实践,这也正是刘院长领衔的天地和兴安全研究院的核心职责所在。

据其介绍,研究院是着眼当前万物互联的“互联网+”时代工业信息安全的挑战和机遇,乘势而上,为公司核心能力的创新发展和全面提升,对内部资源优化整合、能力单元调整重塑后组建的战略性研究部门。

目前,研究院职责聚焦于威胁情报研究、漏洞分析研究、前瞻技术研究三大板块。

·威胁情报研究:持续跟踪关注、分析国内外工控领域发生的重大安全事件,产生的危害,涉及到威胁技术、威胁组织、威胁资产,形成威胁情报,提供给包括国家互联网应急中心CNCERT、关键基础设施安全应急响应中心ICSCERT、国家工业信息安全发展研究中心CICS-CERT等在内的国家安全机构CERT,形成广泛的知识库。

·漏洞分析研究: 通过在安全攻防实验室模拟对抗,研究黑客使用的最新攻击技术,把对抗经验经过提炼,用以完善安全产品的防护策略,不断提升天地和兴安全产品的防护能力。同时,将在模拟对抗中挖到的漏洞贡献给国家的安全漏洞的机构平台,如国家信息安全漏洞共享平台CNVD、国家信息安全漏洞库CNNVD、国家工业信息安全漏洞库CICSVD、信创政务产品安全漏洞专业库CITIVD等。

·前瞻技术研究:主要集中于AI赋能安全的研究,将人工智能、机器学习等新兴技术应用于工业网络安全领域,如资产行为建模、资产智能识别、智能关联分析等,为天地和兴工业安全审计、工业防火墙、安管平台等产品提供核心技术支撑,探索AI对IoT/ICS场景的应用和影响。

总体而言,研究院着眼于工业企业安全发展的关键问题,通过打造开放合作的研究平台,汇聚行业领域的智慧,突破核心瓶颈技术,在助推公司产品功能性、创新性和竞争力的同时,将丰富的情报库、漏洞库等知识积累和前沿的新兴技术相融合,探索安全能力的更多实现方式和安全建设的更多发展路径。

AI赋能安全 守护工业征途

谈话中,研究院的AI技术研究引起了我们的浓烈兴趣。近年来,对大数据和高性能计算资源的访问,使企业能够利用新兴的AI工具和机器学习模型,帮助保护网络和应用程序的安全。在工业网络安全领域,AI技术的应用和落地尚未形成普遍之势,天地和兴的“AI赋能安全”意欲何为呢?

刘院长介绍,不同于传统的办公环境中各项操作的随机性和不可预见性,在工业生产环境中,对于应当执行的指令都具有严格的要求,呈现出来就是所有设备、系统、IP地址、MAC地址的操作行为、操作时间、网络流量等等都具备明显的规律特征。这种高度的规律性是AI技术得以应用的良好抓手,将其中的规律提炼并进行行为建模,便能够掌握封闭生产环境中不同机器、不同接口、不同平台之间日常的沟通会话是什么样的,一旦它们的行为跳出模型之外,便预示着可能存在一些恶意风险。

值得注意的是,如今的研究与应用更多倾向于监督学习,训练数据既有特征(feature)又有标签(label),通过训练让机器可以自己找到特征和标签之间的联系,在面对只有特征没有标签的数据时,可以判断出标签。但这个过程将耗费大量人力,海量网络流量与数据让打标签工作缓慢而困难。天地和兴的技术创新点在于使用了无监督学习,训练数据没有标签,通过建立安全基线自主发现规律性,自学数据之间的关联,进而去判别新的数据和会话是否符合既有的规律。

技术落地到实际应用与产品研发中,天地和兴的新一代安管平台、工控审计平台,基于资产的多维度关键特征,采用K-MEANS和Autoencoder自编码器相结合的二阶段无监督学习算法为资产进行行为画像。基于BiLstm和条件随机场为资产文本进行自动分词,命名实体和关系提取,使用自编码器将特征进行压缩与重建,根据欧式距离(Euclidean Distance)与聚类算法精准识别资产异常行为,为资产建立多维度安全基线模型。

又如智能资产识别技术,通过主动扫描探测、被动流量监测等多种采集方式,结合统计模型的序列标注切分的分词技术、TF-IDF文本特征提取,欧式向量距离特征相似度计算,实现半监督资产指纹学习,通过流量感知对网络资产进行发现和监测,将传统的被动静态网络资产管理转变为主动动态网络资产管理,为后期漏洞信息、流量信息、基线信息进行关联提供依据,大大增加了发现网络资产安全问题的及时性和准确性,同时降低了人工分析成本。据了解,该项技术的应用为天地和兴多个安全产品在市场竞争中奠定了坚实基础。

最后,刘院长也预期,随着更多的网络安全企业对人工智能威胁检测的关注与投入,相信AI会在更多的细分威胁领域落地并取得不错的效果。“工业环境中设备、数据量、实时性、传输通信协议的复杂度比起传统网络更为突出,这都为AI和机器学习提供了用武之地,例如恶意代码识别、代码审计、模糊测试,恶意加密流量识别,或者是对特定网络攻击的识别等。”

对于研究院及天地和兴而言,刘院长也表示将会投入更多的力量和资源在上述领域中深耕下去,将AI作为一种上层的能力,集合研究院在威胁情报、漏洞挖掘方面长期建立起来的庞大知识库,有效锁定黑客画像,赋能到更多的安全产品中,让行业可以更先导、更智慧、更精准地发现威胁、遏制威胁。