本文是一篇计算机论文,本文探讨了“面向工控设备测试的虚实互联与流量采集方法研究”的主题,通过实现虚实工控设备测试平台的虚拟化部分搭建、实现虚实互联、实现流量采集的全过程,创新性地针对这个过程中的问题提出了一些解决方案。
第一章绪论
1.1研究工作的背景与意义
数字经济时代,工业互联网总是伴随着5G网络、物联网、人工智能技术、大数据技术的发展而发展。工业生产流程随着这些新兴技术的融入,也变得更加智能化、网络化、数字化,但是这些新技术在解决部分工业生产难题的同时,也带来了一些新的问题,它们使工业控制系统变得更加复杂与庞大。
工业控制系统(Industrial Control System,ICS,简称工控系统)是用在过程控制上的多种控制系统以及相关仪器设备的总称,它负责工业生产过程中的数据监控和采集、各种重要资源的分配与控制。作为工控互联网的重要组成部分,作为我国关键信息基础设施的重要组成部分,工业控制系统涉及到公共通信和交通、能源(天然气、石油和电力)、交通、水处理与供水、食品与饮料、化工、制药等各行各业,关乎着民生的各个领域[1]。
2022年,世界百年未有之大变局加速演进,世纪疫情影响深远。在美西方持续加大对我国芯片产业打压围猎力度,国内重要行业、重点机构、“新基建”领域频频遭受境外网络攻击,特别是工控安全事件高发频发,工控系统安全事业发展面临的形势环境变化之快、矛盾风险挑战之多、治“网”理政考验之大前所未有。随着“中国制造2025+互联网+双创”的推进,要实现我国工业现代化的转型升级,工业控制系统从原来的隔离封闭变得越来越开放越来越互联,这种转型升级必然也更容易招致外部网络的攻击。与传统的网络攻击相比,针对工控系统的网络攻击带来的危害更大,系统关停不仅可能带来严重的经济损失,更甚者会导致安全事故,对工厂生产操作人员或者其他相关人员的生命安全造成威胁。比如在2021年5月,被称为历史上针对美国关键基础设施的最大、最恶劣的网络攻击——运营着美国最大的燃料管道的Colonial Pipeline公司被迫关闭了近一周的运营,该次网络攻击直接影响了加油站的汽油供应,使大半个东海岸的天然气分布枯竭,进而影响了全国各地的分布;2022年夏天,英国自来水公司遭到黑客攻击。黑客获得了控制水中化学物质含量的系统的访问权限,这种权限可以调整该厂水中的化合物含量,比如氢氧化钠,它可能导致该水厂的供水城市发生集体中毒事件。
1.2国内外研究现状及发展动态
下面将分别在网络测试平台领域,分别针对传统安全测试平台和工控系统测试平台的国内外研究现状进行介绍。
1.2.1传统安全测试平台
传统的安全测试平台狭义上是安全仿真平台,最开始是用来研究网络攻击分析的实验环境,但是随着技术的发展,传统的安全测试平台的概念已经变成网络靶场相关的场景与概念的延伸,已经不局限于以前的攻击分析,而扩展到了攻防技术的演练、安全系统的性能验证、网络安全人才的体系化培养、网络新工具与新技术的验证等各方各面[3]。
根据美国国家标准和技术研究院1和国内研究机构的分类[4,5],网络靶场的分类可以根据研究目的的不同,分为训练、演习、教学、测试等[6-11];可以根据行业的不同分为学术、军事、政企等[12-15];可以根据形态方式的不同分为实物高逼真模拟、虚拟化、虚实结合等。事实上,网络靶场形态上的不同是由于技术的发展带来的,下面将从网络靶场的形态与发展阶段展开叙述。第一阶段是21世纪早期的高逼真型实物仿真靶场时期。在这个阶段,靶场的建设目标是针对单独的各种木马类攻击武器,建立针对攻击目标的仿真型靶场,用于验证与测试己方木马、病毒能否绕过目标的防护系统。第二阶段是由于诸如虚拟局域网(Virtual Local Area Network,VLAN)、虚拟专用网络(Virtual PrivateNetwork,VPN)、软件定义网络(Software Defined Network,SDN)、完全的系统虚拟机化,如KVM(Kernel-based Virtual Machine)和VMware ESX等虚拟技术的兴起[16,17],靶场的建设由实物高逼真模拟转为了虚拟化模拟阶段,虚拟化技术可以应用在模拟不同配置的硬件设备、不同的操作系统、多种的网络运行连接情况。在这个阶段,网络靶场的建设不再局限于资金与场地等多种限制,各个国家也都开始扩大靶场的建设规模,陆续在虚拟化的网络环境中开展模拟真实环境的攻防演练。比如2008年,从美国率先启动国家级的“国家网络安全计划”——国家网络靶场[18]。
第二章相关技术研究
2.1 OpenStack云平台的相关知识与背景
OpenStack是一个开源项目,由Racespace和美国国家航天局(NASA)共同发起,目前已经成为开源云架构的事实标准。该项目由多个组件组合而成,每个组件都有特定的功能,这些组件可以灵活组合使用。OpenStack的主要组件包括Nova、Neutron、Cinder、Glance、Swift、Keystone和Horizon。OpenStack具有许多优势,例如模块松耦合、组件之间配置非常灵活、二次开发相对容易等。因此,OpenStack已经成为许多机构和服务提供商的战略选择。
在国内,腾讯云和华为云的大部分IAAS业务都是基于OpenStack平台进行的二次开发。OpenStack的应用场景非常广泛,可以用于构建私有云、公有云和混合云等多种云环境。企业可以利用OpenStack构建自己的私有云环境,实现自主管理和控制。云服务提供商可以利用OpenStack构建自己的公有云平台,为用户提供云计算服务。企业还可以利用OpenStack构建混合云环境,将公有云和私有云相互连接,实现资源的共享和扩展。此外,科研实验室和电信运营商等也可以利用OpenStack构建自己的云环境,实现高效的科研计算和数据处理,提供云计算服务和网络服务等。下面两个小节会对OpenStack进行一些简单的介绍。
2.2 Linux虚拟网络技术
在传统的物理网络中,物理服务器上运行着各种不同的服务,例如web服务,数据库服务。物理服务器之间的通信是通过一个或者多个物理网卡(NIC)实现的,这些物理网卡通过连接在物理交换设备上(Switch)上,来实现数据报文的交换。图2-3是传统的物理网络结构。
自从网络虚拟化引入之后,变成了单个或者多个应用以虚拟机的形式占用物理机。图2-4描述了一台物理服务器上的相关网络虚拟结构。为了实现与传统物理网络类似的效果,一个虚拟的二层网络主要靠的是虚拟网卡(vNIC)和虚拟交换机(vSwitch)。虚拟机的生成与管理一般由Hypervisor完成,而在虚实互联工控测试平台中则是由OpenStack云平台中的Nova组件负责管理。
第三章 基于模板的 OpenStack 平台自动化部署方法 ....................... 21
3.1 引言 .................................... 21
3.2 集成 OpenvSwitch 的 OpenStack 部署方法 ............................. 21
第四章 基于 OpenvSwitch 的虚实互联半自动化方案 ...................... 41
4.1 引言 ......................................... 43
4.2 虚实互联网桥设备 ......................... 43
第五章 基于虚拟端口镜像的虚实链路流量采集方法 ........................ 65
5.1 引言 ....................................... 65
5.2 虚拟端口镜像 .............................. 65
第五章基于虚拟端口镜像的虚实链路流量采集方法
5.2虚拟端口镜像
在虚实互联链路中,虚拟交换机OpenvSwitch的虚拟端口镜像(Port Mirroring)是一种网络流量分析和监控技术,它可以将一个或多个端口的流量镜像到另一个端口,从而可以实时监控流量并进行分析[63]。虚拟端口镜像可以在OpenvSwitch中的任何类型的端口(包括物理端口和虚拟端口)上进行配置。以下是OpenvSwitch中虚拟端口镜像的主要特点:
1)单向镜像(One-way Mirroring):OpenvSwitch中的端口镜像是单向的,即只能将端口的流量镜像到另一个端口,而不能同时将两个端口的流量镜像到一个端口上。
2)镜像类型(Mirror Types):OpenvSwitch支持三种类型的镜像,分别是端口镜像(Port Mirroring)、VLAN镜像(VLAN Mirroring)和ERSPAN镜像(ERSPAN Mirroring)[64]。端口镜像和VLAN镜像是本地镜像,只能在OpenvSwitch内部进行镜像,而ERSPAN镜像可以将流量镜像到远程设备。在实际的运用中,虚实互联工控测试平台使用的都是端口镜像与VLAN镜像,ERSPAN镜像由于配置过于复杂,对性能影响过大,一般情况下不会使用。
3)镜像目标(Mirror Destination):在OpenvSwitch中,可以将端口流量镜像到多个目标端口。镜像目标可以是物理端口或虚拟端口,甚至可以将流量镜像到虚拟机中的某个进程。
第六章总结与展望
6.1本文总结
本文探讨了“面向工控设备测试的虚实互联与流量采集方法研究”的主题,通过实现虚实工控设备测试平台的虚拟化部分搭建、实现虚实互联、实现流量采集的全过程,创新性地针对这个过程中的问题提出了一些解决方案。具体来说,本文提出了三个创新点:
1)从虚实互联场景下工控设备测试的需求出发,本文研究了集成了OpenvSwitch的OpenStack自动部署方法,针对其他自动化集成部署工具没有解决依赖冲突、无法满足工控测试平台需求、配置安装准备难等问题,提出了基于模板的OpenStack平台自动化部署框架,并对框架进行了实现。该方法让工控测试员无需关注OpenStack实现,就可以轻松完成平台搭建,在保持手动部署方式灵活可拓展的优势的同时、又规避了其他部署方法配置复杂易出错的缺点,为后续虚实互联与流量采集工作提供了平台支撑。
2)分析了现有虚实互联实现模型的优缺点,立足于工控设备测试需求,针对现有虚实互联实现流程繁琐的问题,本文提出了基于OpenvSwitch的虚实互联半自动方案,该方案的框架与工具能让工控设备测试员不需要关注底层复杂的网络实现,就能够快速、方便地部署工控测试场景,实现工控设备与虚拟网络、虚拟机器互联的半自动化。
3)分析了工控测试时对不同场景下的流量采集需求,针对流量采集提出了基于虚拟端口镜像的流量采集方法,通过镜像管理模块、镜像配置脚本、流量采集模块的交互,完成了对虚拟端口镜像统一管理,保证了流量采集工作的灵活性、可操作性与有序性,为工控设备安全分析与安全测试工作提供了依据。
参考文献(略)