1　案例概述

广州鲁邦通物联网科技有限公司是国内领先的工业网关、DTU、RTU等工业互联网终端生产商，产品远销海内外100多个国家，拥有庞大的客户群体。鲁邦通工业网关终端采用嵌入式Linux操作系统，提供远程控制接口。出于市场需求，鲁邦通规划为客户提供终端资产管理系统，对终端进行统一管理和全方位安全监控，主要基于以下考虑：

（1）终端普遍存在移动性，这使得追踪和管理资产面临挑战，资产的边界越分散，带来的安全问题就越复杂；

（2）物联网时代，终端遍布全球各地，黑客可以直接对终端发起攻击，传统安全边界消失，安全防御难度更大；

（3）可被利用的终端数巨大，从而引起的DDOS攻击，造成了安全攻防的严重不对称，形成的危害波及社会多方面。

经过多方考察，鲁邦通最终选择了青莲云终端安全管理系统作为其方案。

2　系统介绍

青莲云物联网终端安全管理系统（TinyEye）主要解决海量物联网终端资产安全管理与防护问题，其提供跨平台的终端安全管理能力，覆盖系统基线安全、文件安全、登陆安全、流量安全、行为安全等全方位的终端监控体系，将处于企业IT系统边界防护之外的终端统一集中管理，实现从传统信息安全时代的边界防护到物联网终端边缘防护的安全升级。通过与安全管理平台的联动，可以针对异常攻击行为进行主动防御，实现精确到每台终端的实时安全管控。

青莲云物联网终端安全管理系统包含终端Agent和云安全平台两个部分。终端Agent是部署在设备系统中的轻量级进程，适配多种终端嵌入式系统，消耗少量的计算、存储和网络资源。终端Agent在本地采集信息并且进行初步安全分析处理，以及对安全策略进行及时响应。云安全平台是安全处理和响应的大脑，基于数据进行深度的安全分析并且生成对应的安全策略。

2.1　系统核心功能及工作方式

（1）异常登录监控。远程登录是常见的设备入侵行为，TinyEye将实时监测设备中的远程登录行为，通过系统检测，区分正常登录与异常登录，当异常登录出现时及时报警，并详细记录异常登录行为的IP地址、使用用户名、登录时间、异常类型等详细信息，帮助用户快速发现问题。

（2）流量监控。作为物联网终端安全的重要部分，安全终端管理系统采用机器学习技术，采用流量捕获、数据预处理、特征向量提取、机器算法运算、最终形成结论的技术实现路线，快速检测出系统中隐含的TCP、UDP流量攻击，记录异常流量的目的地址、目的端口、源地址、源端口等详细信息，做到可见、可溯。相比基于统计或基于规则的流量监控方式，本项技术实施方法在物联网流量判断中效果更佳，错报率/漏报率降低30%。

响应方面，安全终端管理系统基于深度的分析学习为每台终端生成对应的动态安全策略并且实时下发给终端。动态安全策略能够为安全事件发生前、发生中、发生后三个不同阶段提供相应的策略。

（3）文件监控。通过对设备系统的关键文件、进行监控，实时了解文件发生的操作（增删改），并根据安全策略做出响应。

（4）资源监控。对设备的关键资源项（CPU、内存、存储等）进行实时监控，检测出异常的资源波动并报警。对于CPU和内存异常，云安全中心提供异常时期每个进程的CPU或内存使用率。

（5）进程监控。定期更新设备系统进程快照，并根据与基线进程比对结果，检测出异常进程。可检测项：新增异常进程、进程异常关闭、进程权限改变、进程用户改变等。

（6）行为监控。通过对系统的登录行为及Shell操作命令进行实时记录和审计，发现存在的非法行为，可通过IP阻断机制阻止非法操作者登陆设备。

（7）防火墙监控。监控设备系统中的防火墙规则信息，并根据与基线防火墙规则比对结果，检测防火墙规则的异常改变。防止病毒入侵后修改防火墙配置。

2.2　应用创新

（1）智能化的安全体系

以安全策略为核心，通过多维度统计和分析进行安全检测。使系统从传统的静态防护转化为动态防护，为终端操作系统的快速响应提供了强大依据。功能模块实现安全策略（Policy）、保护（Protection）、检测（Detection）和响应（Response），较好的体现了PPDR模型的闭环理念。最终形成智能化的终端安全防御体系。

（2）结合业务维度的安全策略配置

终端管理系统支持用户根据自身终端的情况及业务逻辑的需求，灵活更改安全配置信息，更加准确的判断异常行为，有效遏制警报疲劳，减少误报率。

（3）多种物联网嵌入式系统支持

终端管理系统支持嵌入式Linux、OpenWRT、Raspbian等多种嵌入式操作系统，实现不同设备统一管理。

（4）全方位的行为感知

终端管理系统独特的探针机制时刻检测终端自身的运行时安全，参数包括CPU使用率、进程快照、流量信息、文件改动、远程登录等终端基线安全相关信息。检测来自边缘侧如供应链、终端间东西向攻击等潜在威胁。

（5）终端大数据集中管理，实现安全统一管理

终端管理系统不仅提供强大的分析能力，还提供了终端大数据的管理能力，可以实时查看终端的异常总览、运行状态、告警统计、终端指纹、行为记录等，解决终端分散部署的安全管理难题。

（6）基于机器学习的流量监控技术

采用机器学习算法对物联网系统中的流量进行监控和判定，可快速检测出系统中TCP、UDP流量攻击，记录异常流量的目的地址、目的端口、源地址、源端口等详细信息，做到流量监控可见、可溯。

3　应用效果

（1）实现功能

·近十万台终端统一接入监控与管理；

·实时感知单台终端安全态势，包括系统基线、流量监控、行为监控等；

·可视化平台展示终端安全状态，实时告警与响应安全异常；

·通过API接口对接企业管理平台，提供终端安全状态数据。

（2）防护效果

·发现和解决重大漏洞多个，终端危险系数大幅下降；

·发现异常登录、流量异常近百起，终端正常运行率提升。

摘自《自动化博览》2019年6月刊