作者 | 陳峻
審校 | 重樓
在開放的工業互聯網環境中,數百萬個基于物聯網的終端和中間設備,需要全天候地持續通信并保持在線狀態。不過,這些設備往往由于最初設計上的限制,在機密性、完整性、可用性、擴展性、以及互操作性上,存在著各種安全漏洞與隱患。與此同時,針對此類設備硬件本身、運行著的軟件應用、以及通信網絡的內/外部不同威脅,也會造成各種未經授權的訪問,數據被篡改,生產運營的中斷、甚至會給聯網設備造成破壞。其中,我們常見的威脅類型包括:分布式拒絕服務(DDoS)攻擊、信息掃描與竊取、虛假數據注入、以及鎖死終端或文件等,都會讓企業陷入停工停產的困境。這些往往會對生產型企業帶來致命打擊。
互聯模式
首先,讓我們對工業物聯網的運營模式有個基本了解。延用云服務的相關模式,工業物聯網用到了平臺即服務(PaaS)、軟件即服務(SaaS)、應用即服務(AaaS)、以及數據即服務(DaaS)四種互聯互通方式。它們通過實時收集并存儲數據,方便企業更容易地控制來自各個異構平臺的數據質量和保持一致性,進而預判產量、把控流程與材料成本。
值得一提的是,AaaS是一種通過互聯網按需交付應用,并按次數或時間周期向消費者收費的服務。由于托管在云端服務器上,因此應用程序的所有更新、配置和安全性都在服務器側,并非在終端上完成。而數據即服務(DaaS)可以保證企業的終端設備在任何能夠訪問云端之處,開展數據處理,實現了所謂主數據管理(MDM)的概念。也就是說,所有技術、交易、商業、物流、營銷、以及多媒體等數據都會被合并到一起,以便保持全局的一致性與更新。
加固需求
在工業物聯網絡系統中,隨著我們增加并使用越來越多的物聯網端點來收集不同類型的工業數據,端點與云服務等之間的連接也變得越來越重要。對于云服務而言,其安全加固的責任主要在于托管方。而對于承載著數據流收集、密集生成、分散計算、以及本地存儲等部分工作的邊緣計算端點來說,由于在設計之初,成本、可用性以及網絡連接往往是首要被考慮的方面,因此物聯網端點設備的安全性通常較差。
如前所述,一些運行在邊緣設備(包括:傳感器、執行器、電源模塊、以及監控/匯總設備等)上的通信協議、移動應用、本地存儲、調用接口、甚至是硬件本身都可能存在漏洞。對此,無論是在安裝部署時、還是在運營過程中,企業都必須優先考慮實施適當的設備管理(如:策略驅動的配置執行),以及處理和存儲資源的安全性,包括:軟/硬件的及時修補和更新,對于靜態和傳輸中的數據的加密等要素。
而近年來,隨著由人工智能支持的攻擊方式的持續涌現,企業的安全加固方式也需要隨之更新迭代。正所謂“用魔法打敗魔法”,我們唯有引入人工智能相關防御技術,才可能成功擊退攻擊,避免生產中斷和數據丟失。
風險與機遇
優勢 | 劣勢 | |
系統內部 |
|
|
機遇 | 威脅 | |
系統外部 |
|
|
人工智能對于工業物聯網來說不算是一個全新的概念。我們可以運用傳統的SWOT(Strengths,Weaknesses,Opportunities,Threats,優勢、劣勢、機遇和威脅)分析方法,來找到人工智能驅動的系統安全與提高工業生產力之間的聯系。下面是國外學者針對在工業物聯網中實施人工智能安全管理得出的SWOT分析結論:
應用現狀
目前,就工業物聯網的安全管控需求而言,可被采用和落地的人工智能技術優勢主要包括如下方面:
- 統一的自動化風險與威脅管理
- 訪問管理,包括:基于人工智能的生物識別技術和對抗拒絕服務(DoS)攻擊等
- 系統與應用級別的漏洞檢測
- 防范數據的丟失和泄露
- 執行病毒防護相關政策
- 有針對性的欺詐檢測
- 入侵檢測和防御
通常,一整套工業物聯網的企業系統往往是基于硬件、軟件和服務三種基本組件構成的。對此,業界已有將一到多種人工智能技術實施到如下不同應用場景中的成功案例:
人工智能技術 | 應用場景 |
決策樹 | 根據不同規則,分析單個數據片段,將其歸類為“無變化”或“疑似攻擊”,并具有自動制定新規則的能力。 |
奈維貝葉斯(Na?ve Bayes) | 根據目標活動類別,對其中的異常活動進行事件分類。 |
K最近鄰(K-NN) | 在大型數據集中發現模式,根據已分類的現有數據與新數據之間的Euclidean距離,創建新的類別。 |
傳統人工神經網絡 | 適用于早期自動化異常檢測,可對安全漏洞造成的損失進行識別、分類和估算。 |
機器學習 | 通過各種數據驅動方法,來處理數據、驗證假設,并在確保數據數量和質量充足的情況下,自動提取規則。 |
深度學習 | 解決比其他技術復雜得多的問題,例如:分析圖像或多模態數據。 |
模糊邏輯 | 進行語言數據分析,捕捉不完整和不確定的數據,進行趨勢分析。 |
分形(Fractal)分析 | 估計模式和鏡像數據的“平滑度”,分析趨勢及其變化。 |
自然語言處理(NLP) | 處理和分析大量自然語言數據,包括人人、人機交互,以及情感計算。 |
AI分層設想
最近,業界已有專家針對上述人工智能技術可能被應用到工業物聯網環境的場景,構想并提出了在物聯網邊緣設備和云端服務的連接之間增加一個霧計算(Fog Computing)安全分層。憑借著人工智能的相關技術與模型,該分層不但可以了解與其銜接的邊緣端點的基本狀態和所處的工業網絡系統環境,而且能夠通過本身AI賦能的自學能力,從直連的云端服務側更容易、更快速地獲悉并隔離新型攻擊,并在近乎實時的情況下,創造性地生成反制機制,大幅提高對數據訪問的安全性,以及對抗網絡攻擊的適應能力。當然,該分層也可以提供日志接口,方便事件處理信息的轉存,以便人類專家后續分析與跟進。
小結
現階段,人工智能與工業物聯網的整合,已是提高生產系統問題診斷的時效性、以及自動化預防流程的精準性的關鍵所在。這些往往離不開對于不同攻擊源的持續分析、模式識別、異常檢測和風險預測。例如,智能化、自動化的固件更新將可以確保邊緣端點在固件更新過程中,免受外部網絡攻擊的侵擾。使用先進人工智能算法,提高入侵檢測系統(IDS)和入侵防御系統(IPS)在物聯網環境中實時準確地檢測和預防新型威脅。
與此同時,隨著近年來個人隱私數據的合規要求,人工智能也需要通過對物聯網系統、及云端服務的按需策略調整,確保只有經過授權的人或設備,方可訪問到合適的數據。總之,我們需要通過人工智能的應用,在工業物聯網系統的安全性、合規性、以及能效之間找到平衡點。
作者介紹
陳峻(Julian Chen),51CTO社區編輯,具有十多年的IT項目實施經驗,善于對內外部資源與風險實施管控,專注傳播網絡與信息安全知識與經驗。
