工控系統(tǒng)安全態(tài)勢感知建模與算法實現(xiàn)-開題報告

《工控系統(tǒng)安全態(tài)勢感知建模與算法實現(xiàn)-開題報告》由會員分享，可在線閱讀，更多相關(guān)《工控系統(tǒng)安全態(tài)勢感知建模與算法實現(xiàn)-開題報告（10頁珍藏版）》請在裝配圖網(wǎng)上搜索。

XX 大學畢業(yè)設計（論文）開題報告題目 工控系統(tǒng)安全態(tài)勢感知建模與算法實現(xiàn) 專 業(yè) 名 稱 測控技術(shù)與儀器班 級 學 號 學 生 姓 名 指 導 教 師 填 表 日 期 2015 年 4 月 9 日一、選題的依據(jù)及意義：工業(yè)控制系統(tǒng)(ICS,Industrial Control System)是由各種自動化控制組件及各種過程控制組件共同構(gòu)成，用于工業(yè)生產(chǎn)過程的控制系統(tǒng)的總稱。ICS系統(tǒng)廣泛應用于各項關(guān)系到國家重要安全的行業(yè)與領(lǐng)域，如化工、電力傳輸?shù)?[1]。然而，隨著工業(yè)以太網(wǎng)技術(shù)的快速發(fā)展，以及ICS系統(tǒng)的連接性、開放性、復雜性不斷提升，其脆弱性與安全問題也在日益增加：ICS系統(tǒng)與外部網(wǎng)絡的連接給攻擊者提供了入侵機會，并給ICS系統(tǒng)帶來潛在的重大安全隱患；工業(yè)以太網(wǎng)和TCP/IP技術(shù)在ICS系統(tǒng)中的應用不斷廣泛，使得部分適用于Internet網(wǎng)絡的攻擊技術(shù)也適用于ICS系統(tǒng)，降低了ICS系統(tǒng)的安全性；ICS系統(tǒng)在網(wǎng)絡結(jié)構(gòu)上的不斷復雜化，形成了多層級與多級別的網(wǎng)絡安全防護需求；此外，近年來安全事件、事故的發(fā)生不斷呈現(xiàn)上升趨勢，這以趨勢不僅為我們敲響了警鐘，也使我們意識到研究工業(yè)控制系統(tǒng)網(wǎng)絡安全的重要性與緊迫性。而針對上述難題的網(wǎng)絡安全態(tài)勢感知（NSSA，Network Security Situation Awareness）技術(shù) [2]應運而生，它將網(wǎng)絡作為一個整體，關(guān)注其中正在進行的網(wǎng)絡活動，如監(jiān)控網(wǎng)絡流量，采集相關(guān)數(shù)據(jù)，為網(wǎng)絡當前的狀態(tài)以及未來可能受到的攻擊做出態(tài)勢評估與預測，給網(wǎng)絡管理員提供了可靠、有效的決策依據(jù)，最大限度得降低了網(wǎng)絡的風險與損失。因此，本課題通過研究網(wǎng)絡安全態(tài)勢感知，為ICS系統(tǒng)的網(wǎng)絡安全態(tài)勢感知建立相應的模型，并進行算法實現(xiàn)。二、國內(nèi)外研究概況及發(fā)展趨勢NSSA包含了數(shù)據(jù)挖掘、數(shù)據(jù)融合、可視化技術(shù)等關(guān)鍵技術(shù) [3]，對于不同的技術(shù)，國內(nèi)外也進行了相應的研究。國外在數(shù)據(jù)挖掘領(lǐng)域，最早開始的是美國哥倫比亞大學的 Wenke Lee等人，他們將數(shù)據(jù)挖掘引入到入侵檢測領(lǐng)域, 并系統(tǒng)提出了用于入侵檢測的數(shù)據(jù)挖掘框架；在數(shù)據(jù)融合應用于網(wǎng)絡安全態(tài)勢感知方面：1987年，Steinberg等人提出了JDL [4]（Joint Director’s Laboratories）數(shù)據(jù)融合模型，通過對不同數(shù)據(jù)源數(shù)據(jù)的融合與分析，進行態(tài)勢評估與預測；2000年，Tim Bass 提出了基于分布式多傳感器數(shù)據(jù)融合的方法進行網(wǎng)絡態(tài)勢評估 [5]，并給出了下一代入侵檢測系統(tǒng)框架；可視化技術(shù)的開展能為網(wǎng)絡管理員提供更為直觀的判斷依據(jù)，Stephen Lau [6]開發(fā)的The spinning cube of the potential doom工具能實時顯示網(wǎng)絡中存在的信息，并采用了“點”表示連接的方法，在一定程度上消除了視覺障礙的影響。根據(jù)當前愈演愈烈的網(wǎng)絡安全形勢，有關(guān)政府部門也意識到網(wǎng)絡安全態(tài)勢感知研究的重要性，美國國防部在2005年的財政預算報告 [7]中就包括了對網(wǎng)絡態(tài)勢感知項目的資助,并提出分三個階段予以實現(xiàn),分別為:第一階段完成對大規(guī)模復雜網(wǎng)絡行為可視化新算法和新技術(shù)的描述和研究,著重突出網(wǎng)絡的動態(tài)性和網(wǎng)絡數(shù)據(jù)的不確定性;第二階段基于第一階段所研究的工具和方法,實現(xiàn)和驗證可視化原型系統(tǒng);第三階段實現(xiàn)可視化算法, 提高網(wǎng)絡態(tài)勢感知能力。美國高級研究和發(fā)展機構(gòu)( Advanced Research and Development Activity ,USA) [8]在2006 年的預研計劃中,明確指出網(wǎng)絡態(tài)勢感知的研究目標和關(guān)鍵 技術(shù)。研究目標是以可視化的方式為不同的決策者和分析員提供易訪問、易理解的信息保障數(shù)據(jù)：攻擊的信息和知識、 漏洞信息、防御措施等等;關(guān)鍵技術(shù)包括數(shù)據(jù)融合、數(shù)據(jù)可視化、網(wǎng)絡管理工具集成技術(shù)、實時漏洞分析技術(shù)等等。國內(nèi)對網(wǎng)絡安全技術(shù)的研究還處于起步階段。馮毅 [9]從我軍信息與網(wǎng)絡安全的角度出發(fā),提出了兩項關(guān)鍵技術(shù)：多源傳感器數(shù)據(jù)融合和數(shù)據(jù)挖掘。而在國內(nèi)相關(guān)網(wǎng)絡安全態(tài)勢評估方面,西安交通大學 [10]實現(xiàn)了基于IDS和防火墻的集成化網(wǎng)絡安全監(jiān)控平臺;此外，陳秀真等人 [11]也提出了一個基于統(tǒng)計分析的層次化安全態(tài)勢量化評估模型,采用了自上而下、先局部后整體的評估策略及相應計算方法。北京理工大學信息安全與對抗技術(shù)研究中心 [12]研制了一套基于局域網(wǎng)絡的網(wǎng)絡安全態(tài)勢評估系統(tǒng),其主要由網(wǎng)絡安全風險狀態(tài)評估和網(wǎng)絡威脅發(fā)展趨勢預測兩部分組成。三、研究內(nèi)容和技術(shù)路線： 1. 研究內(nèi)容研究工控系統(tǒng)網(wǎng)絡安全態(tài)勢感知的特點，并對網(wǎng)絡安全態(tài)勢感知的三個階段：態(tài)勢理解、態(tài)勢評估、態(tài)勢預測；逐一進行分析與描述，建立適用于 ICS 系統(tǒng)的模型框架；根據(jù) ICS 系統(tǒng)要求，采用適當算法與理論，進行模型的實現(xiàn)。其中，網(wǎng)絡安全態(tài)勢感知的基本框架如圖 1 中所示。圖 1 態(tài)勢感知三級模型2. 技術(shù)路線及關(guān)鍵2.1 網(wǎng)絡安全態(tài)勢感知2.1.1 態(tài)勢感知（Situation Awareness）態(tài)勢感知的概念源于航天飛行中對人因的研究。1988年, Endsley 提出了態(tài)勢感知的定義 (SA) ：the perception of elements in the environment within a volume of time and space, the comprehension of their meaning, and the projection of their status in the near future 。2.1.2 網(wǎng)絡態(tài)勢感知（Cyberspace Situation Awareness ）1999 年, Tim Bass 首次提出網(wǎng)絡態(tài)勢感知 (CSA) 基于 ATC （Air Traffic Control）態(tài)勢感知的成熟理論。網(wǎng)絡態(tài)勢感知是指在大規(guī)模網(wǎng)絡環(huán)境中，對能夠引起網(wǎng)絡態(tài)勢發(fā)生變化的安全要素進行獲取、理解、顯示以及預測未來的發(fā)展趨勢。2.1.3 網(wǎng)絡安全態(tài)勢感知（NSSA, Network Security Situation Awareness）NSSA是對CSA概念的擴展與延伸，對于NSSA 的概念，有以下理解：? 從管理員的角度：網(wǎng)絡管理人員通過人機交互界面對當前網(wǎng)絡狀況的認知程度。? 在大規(guī)模網(wǎng)絡環(huán)境中對，能夠引起網(wǎng)絡安全態(tài)勢發(fā)生變化的安全要素進行獲取、理解、顯示以及預測未來的發(fā)展趨勢。關(guān)注對網(wǎng)絡系統(tǒng)作為一個整體運行的安全狀況及未來趨勢的把握，能夠?qū)崟r得感知目前網(wǎng)絡所面臨的威脅，并為及時準確的決策提供可靠的依據(jù)，使由于網(wǎng)絡不安全所帶來的風險降到最低。2.2 態(tài)勢感知關(guān)鍵技術(shù)2.2.1 數(shù)據(jù)挖掘數(shù)據(jù)挖掘是從大量的數(shù)據(jù)中發(fā)掘潛在的、未知的和有用的信息,將其應用于入侵檢測系統(tǒng)，可以從大量存在的審計數(shù)據(jù)中挖掘出正常的或入侵性的行為模式。它最早是由美國哥倫比亞大學的Wenke Lee等人 [13]引入入侵檢測領(lǐng)域的，他們也提出了用于入侵檢測的數(shù)據(jù)挖掘框架。數(shù)據(jù)挖掘主要包含四種分析方法：關(guān)聯(lián)分析、序列模式分析、分類分析、聚類分析。a) 關(guān)聯(lián)分析的目的是從己知的事務集w中產(chǎn)生數(shù)據(jù)項集之間的關(guān)聯(lián)規(guī)則 ,即同一條審計記錄中不同字段之間存在的關(guān)系,同時保證規(guī)則的支持度和信任度大于用戶預先指定的最小支持度和最小信任度。常用算法有Apriori 算法。b) 序列分析：發(fā)現(xiàn)不同數(shù)據(jù)記錄之間的相關(guān)性。序列模式與關(guān)聯(lián)模式相仿,不同的是它處理不同記錄之間屬性集的關(guān)聯(lián)關(guān)系,把數(shù)據(jù)之間的關(guān)聯(lián)性與時間聯(lián)系起來。序列模式分析的側(cè)重點在于分析數(shù)據(jù)間的前后序列關(guān)系。常用算法有Count-all算法和Count-some算法。c) 分類分析:提取數(shù)據(jù)庫中數(shù)據(jù)項的特征屬性 ,生成分類模型,該模型可以把數(shù)據(jù)庫中的記錄映射到給定類別中的一個。常用模型：決策樹模型、貝葉斯分類模型、神經(jīng)網(wǎng)絡模型等d) 聚類分析：將數(shù)據(jù)對象的集合根據(jù)一定的規(guī)則分組成為多個有意義的由類似對象組成的子集的描述性任務；它不依賴于預先定義好的類，它的劃分是未知的。常用方法：系統(tǒng)聚類法、加入法、分解法、動態(tài)聚類法、模糊聚類、有重疊聚類和基于密度的方法等。2.2.2 數(shù)據(jù)融合Tim Bass[14]首次提出將JDL模型直接運用到網(wǎng)絡態(tài)勢感知領(lǐng)域，為數(shù)據(jù)融合技術(shù)在網(wǎng)絡態(tài)勢感知領(lǐng)域的發(fā)展奠定了基礎(chǔ)。關(guān)鍵技術(shù)：多源融合（數(shù)據(jù)層融合，特征層融合和決策層融合 [15]）i. 數(shù)據(jù)層融合是直接在采集到的原始數(shù)據(jù)層上進行的融合，在各種傳感器的原始測報未經(jīng)預處理之前就進行數(shù)據(jù)的綜合與分析。這是低層次的融合，如成像傳感器中通過對包含同一像素的模糊圖像進行圖像處理來確認目標屬性的過程就屬于數(shù)據(jù)層融合。ii. 特征層融合：屬于中間層次的融合，先對來自傳感器的原始信息進行特征提取，然后對特征信息進行綜合分析和處理。特征層融合可分為兩大類:一類是目標狀態(tài)融合;另一類是目標特性融合?；谌斯ぶ悄芎蜋C器學習的融合方法較為典型，利用支持向量機（Support Vector Machine, SVM）作為融合技術(shù)對數(shù)據(jù)進行融合 ,如林肯實驗室的Braun等人 [16]以SVM作為融合技術(shù)實現(xiàn)對多數(shù)據(jù)源的融合、利用人工神經(jīng)網(wǎng)絡算法作為融合算法。iii. 決策層融合：通過不同類型的傳感器觀測同一個目標，每個傳感器在本地完成基本的處理，其中包括預處理、特征抽取、識別或判決，以建立對所觀察目標的初步結(jié)論。然后通過關(guān)聯(lián)處理進行決策層融合判決，最終獲得聯(lián)合推斷結(jié)果。如 Sudit 等 [17]利用 D-S 證據(jù)理論的方法，實現(xiàn)決策層融合并對網(wǎng)絡態(tài)勢感知進行了測評。2.2.3 可視化技術(shù)可視化技術(shù)是利用計算機的圖像處理技術(shù),把數(shù)據(jù)信息變?yōu)閳D像信息,使其能夠以圖形或者圖像的方式顯示在屏幕上,同時利用交互式技術(shù)實現(xiàn)網(wǎng)絡信息的處理。可視化技術(shù)的使用，能直觀、有效得獲取隱藏在數(shù)據(jù)信息中的規(guī)律，并能為網(wǎng)絡管理員提供可靠直觀的決策依據(jù)。方法：基于日志數(shù)據(jù)的可視化顯示,如T. Takata等人 [18]開發(fā)的Mielog可以實現(xiàn)日志可視化，依據(jù)日志的分類統(tǒng)計分析結(jié)果，最終進行可視化顯示；基于數(shù)據(jù)流的可視化工具,如Stephen Lau [6]開發(fā)的The spinning cube of the potential doom工具；多數(shù)據(jù)源、多視圖的可視化系統(tǒng)，例如C.P.Lee等人 [19]提出的Visual Firewall 系統(tǒng)是基于Modle View Controller 的事件驅(qū)動結(jié)構(gòu)，有兩個數(shù)據(jù)源，能全面得提供網(wǎng)絡整體態(tài)勢。四、目標、主要特色及工作進度1. 研究目標研究工業(yè)控制系統(tǒng)的網(wǎng)絡安全態(tài)勢感知特點，并根據(jù) ICS 系統(tǒng)特點結(jié)合態(tài)勢感知三級模型與態(tài)勢感知關(guān)鍵技術(shù)，對工控系統(tǒng)網(wǎng)絡安全態(tài)勢感知進行建模與算法實現(xiàn)，最終能實現(xiàn) ICS 系統(tǒng)網(wǎng)絡安全當前態(tài)勢的描述以及未來態(tài)勢的預測。2. 主要特色ICS系統(tǒng)的網(wǎng)絡安全問題日益嚴峻，其受到的攻擊與入侵也變得更為多樣化與復雜，現(xiàn)有的傳統(tǒng)網(wǎng)絡管理技術(shù)較為單一，無法建立網(wǎng)絡資源、信息之間的聯(lián)系，在面對全局信息時，表現(xiàn)較差；網(wǎng)絡安全態(tài)勢感知的提出，能全面、實時、高效對網(wǎng)絡當前狀況進行檢測與未來態(tài)勢預測，為網(wǎng)絡管理員提供可靠的決策依據(jù)。在本課題的研究過程中，將針對ICS系統(tǒng)的特點，結(jié)合傳統(tǒng)網(wǎng)絡安全態(tài)勢感知技術(shù)，進行相應的建模，以更有效得適應ICS系統(tǒng)；并對當前廣泛采用的各種網(wǎng)絡安全態(tài)勢感知方法進行研究與比較，根據(jù)ICS系統(tǒng)收集到的信息特點，如離散等，采用合適的算法，最大限度得實現(xiàn)態(tài)勢感知與態(tài)勢預測。3. 工作進度20xx.2.24～20xx.3.20 前期資料收集、調(diào)研20xx.3.21～20xx.4.5 撰寫開題報告，開題20xx.4.06～20xx.5.1 查閱關(guān)于網(wǎng)絡安全態(tài)勢感知與 ISC 系統(tǒng)的資料；查閱各類關(guān)于態(tài)勢感知的建模方法與適用的算法，從而初步建立工控系統(tǒng)網(wǎng)絡安全態(tài)勢感知模型。20xx.5.06～20xx.6.1 根據(jù)所建模型，結(jié)合適當?shù)乃惴ǎM行工控系統(tǒng)網(wǎng)絡安全態(tài)勢感知建模與算法實現(xiàn)20xx.6.2～20xx.6.20 撰寫畢業(yè)論文、準備畢業(yè)答辯五、參考文獻[1] 馮冬芹，褚健，金建祥，魯立.實時工業(yè)以太網(wǎng)技術(shù)：EPA 及其應用解決方案[M].北京：科學出版社，2012.[2] 王慧強，賴積保，朱亮，梁穎.網(wǎng)絡態(tài)勢感知研究綜述[J].計算機科學，2006（10）: 5-10.[3] 龔正虎，卓瑩.網(wǎng)絡態(tài)勢感知研究[J]. 軟件學報，2010， （21）：1605-1619. [4] Steinburg A N,Bowman C L, White F E.1999. Revisions to the JDL Data Fusion Model[J]. in Sensor Fusion : Architectures, Algorithms, and Applications, Proceedings of the SPIE,3719, 1999, 430-441 [5] Bass T, Gruber D. A glimpse into the future of id[EB/OL]. http://www.usenix.org/publications/login/1999-9/fetures/future.html, 1999.[6] Lau S. The spinning cube of potential doom[C].Communications of the ACM,2004, 47(6):25-26.[7] Office of The Secretary of Defense (OSD) Deputy Director of Defense Research & Engineering Deputy Under Secretary of Defense (Science & Technology). Small Business Innovation Research (SBIR) FY 2005.3 Program Description, USA. 2005.[8] Advanced Research and Development Activity(ARDA). Exploratory Program Call for Proposals 2006,USA. 2005.[9] 馮毅.《中國信息戰(zhàn)》我軍信息與網(wǎng)絡安全的思考[EB/OL]. http://www.laocanmou.net/Html/20056 194115-1.html, 2005-6.[10] 張慧敏.集成化網(wǎng)絡安全監(jiān)控平臺的研究與實現(xiàn)[J]. 通信學報，2003,24(7).[11] 陳秀真，鄭慶華，管曉宏，林晨光.層次化網(wǎng)絡安全威脅態(tài)勢量化評估方法[J]. 軟件學報 ，2006，17（4）：885-897.[12] 北京理工大學信息安全與對抗技術(shù)研究中心.網(wǎng)絡安全態(tài)勢評估系統(tǒng)技術(shù)白皮書[EB/OL].http://www.thinkor.com/product/dowonload/網(wǎng)絡安全態(tài)勢評估系統(tǒng)技術(shù)白皮書 2.doc, 2005.[13] Lee Wenke,Stolfo S.Data Mining Approaches for Intrusion Detection[C]. Proceedings of the Seventh USENIX Security Symposium(Security’98) . 1998.[14] Bass T. Service-Oriented Horizontal Fusion in Distributed Coordination-Based Systems[C]. IEEE MILCOM, 2004.[15] D.L Hall. Mathematical techniques in Multisensor Data Fusion[M]. Bosston: Artech House, 2004:125-137.[16] J.J.Braun, S.P.Jeswani. Information fusion of large number of resources with support vector machine technique[C]. Proceedings of SPIE 2003, 2003:13-23.[17] M.Sudit, A.Stotz, M. Holender. Measuring situational awareness and resolving inherent high-level fusion obstacle[C].Proceedings of SPIE 2006, 2006:1-9.[18] Takata T, Koike H. Mielog: A highly interactive visual log browser using information visualization and statistical analysis[C].In: Proceeding of LISA XVI Sixteenth Systems Administration Conference, 2002.11.[19] Lee C P, Trost J, Gibbs N, et al. Visual Firewall: Real-time network security monitor[C]. Visualizations for Computer Security VizSEC 2005,2005.