工业互联网中抗APT窃密的主动式零信任模型

冯景瑜,李嘉伦,张宝军,韩 刚,张文波

(1.西安邮电大学 无线网络安全技术国家工程实验室,陕西 西安 710121;2.国网甘肃省电力有限公司陇南供电公司指挥中心,甘肃 陇南 746000)

1 引 言

工业互联网作为新一代信息技术与工业系统全方位深度融合的产业和应用生态,是“中国制造2025”战略的重要组成部分,也是制造业未来的发展趋势[1]。与传统互联网相比,工业互联网的特征更加复杂,涉及设备种类繁多,网点更加密集,协议相对脆弱,这就导致了其安全风险也就更多[2]。与此同时,工业互联网环境下的关键基础设施产生和维护着大量具有所有权特征的敏感数据,如身份隐私信息、控制指令以及工业生产数据等,这些敏感数据一旦泄露会给企业带来不可估量的经济损失。特别地,随着高级持续性威胁(Advanced Persistent Threat,APT)攻击手段的日趋成熟,攻击者可以在工业互联网内部以失陷终端为跳板窃取敏感数据。这种内部威胁的存在,不但严重影响工业互联网的运行,还给工业互联网敏感数据保护带来严峻挑战。

APT攻击以刺探、收集和监控情报为目的,具有极强的组织性、隐蔽性和威胁性[3]。然而,现有APT攻击检测方案[4-6]侧重于入侵阶段和潜伏阶段的异常发现,对于内部失陷终端识别存在一定的被动性和滞后性,导致频繁出现APT窃密成功事件。遵循“永不信任,始终验证”的理念,零信任要求对网络中所有终端、设备、系统和人员等主体都进行认证和授权。目前,零信任已成为对抗内部失陷威胁的新范式[7],受到了国家层面、产业界和学术界的广泛关注,是破解敏感数据保护与APT窃密难题的新思路。

笔者深入分析由外及内的APT攻击行为特征,发现了抗击APT窃密威胁的关键在于快速识别失陷终端,主动阻断失陷终端的横移机会和数据访问请求。由此,提出一种面向工业互联网的主动式零信任安全模型,主要创新之处如下:

(1) 针对零信任客户端(Zero Trust Client,ZTC)分布式实时收集的终端行为数据粗糙、混乱、无序等问题,利用长短期记忆神经网络(Long Short-Term Memory,LSTM)构建特征提取器,从终端输入动作序列中训练得到抽象序列特征,进而提取出规则化信任因素。

(2) 为避免规则化信任因素更新导致的冗余区块问题,实现防篡改和低负载的信任因素安全存储,改进比特币的区块结构,结合区块链的时序特征设计前向按序冗余区块消除算法,演化出可伸缩的零信任引擎区块链(Zero Trust Engine blockchain,ZTE_chain)。

(3) 为及时反映失陷终端的异常行为,主动阻断失陷终端潜在的APT窃密威胁,引入卷积神经网络(Convolutional Neural Network,CNN)对输入的规则化信任因素进行建模分析,预测突变因子,设计出一种动态信任评估方案。

2 相关工作

在意识到APT攻击造成的敏感信息泄露危害性时,国内外学者已经开展了一些APT攻击检测方面的研究。

现有针对工业互联网环境下的APT攻击检测方法研究,大多基于异常流量和恶意代码来识别APT攻击,研究人员从大量网络流量中进行数据挖掘,构建APT特征库,采用特征匹配的方法进行检测。例如,文献[4]提出了一种检测未知APT攻击的隐藏命令与控制(Command and Control,C&C)通道方案,该方案通过深度学习技术从已知的多种攻击流中挖掘共享流量特征,通过合适的分类器来检测C&C流量,以此识别未知恶意网络流量。文献[5]提出了一种基于网络流量分析、结合深度学习模型的APT攻击检测方法,该方法通过构建单个深度学习网络并将其链接到组合深度学习网络中,以分析和检测网络流量中的APT攻击迹象。文献[6]提出了一种基于自动编码器的深度学习APT攻击检测方法,该方法应用自动编码器神经网络对网络流量数据进行无监督的信息特征学习,通过Softmax回归算法对APT攻击进行检测和分类。

然而,上述方案主要针对APT攻击的入侵阶段和潜伏阶段进行异常检测,较少考虑对APT攻击窃密阶段的主动发现。大量的APT窃密事件表明,网络内部的失陷是不可避免的,APT攻击由外及内操控失陷终端实施的敏感数据窃取行为具有较好的成功几率。因此,急需内部防范APT窃密威胁的新思路。

APT攻击使得以往基于边界信任的传统网络安全模型难以防范失陷终端造成的敏感数据泄露,贯彻去边界化的零信任理念逐渐进入国内外学者视野,成为对抗APT窃密攻击的新思路。目前,美国国家标准技术研究院(NIST)发布的《Zero Trust Network Architecture》(《零信任网络加构》)[8],被认为是零信任安全架构的标准,该零信任安全架构如图1所示。

图1 NIST提出的零信任安全架构[8]

通过前期的调研和分析,进一步明确和揭示了零信任安全架构中各组件之间的内在联系和运行机制,主要体现在:① 终端发出的交互或访问请求,会被零信任客户端生成一个认证需求上报给策略执行点(Policy Enforcement Point,PEP);② PEP首先拦截该请求,转发认证需求给策略引擎(Policy Engine,PE);③ PE调用信任因素,计算信任值,对请求终端进行认证,并将认证结果分发给策略管理器(Policy Administrator,PA)和PEP;④ 对于认证通过的终端,PA生成授权凭据交给PEP;⑤ 验证授权结果有效后,PEP释放请求拦截,通过访问控制策略确保敏感数据的机密性获取。

文献[9]基于5G的智能医疗平台提出了一种利用零信任架构构建可信的动态访问控制模型,实现实时网络安全态势感知、持续身份认证、访问行为分析和细粒度访问控制。文献[10]提出了一种以持续身份认证和动态访问控制为核心的电力物联网零信任典型业务场景的应用方案,设计了基于零信任的电力互联网安全防护架构。文献[11]提出了一种基于零信任模型的医疗健康数据漏洞防御系统,经过身份验证的用户和设备才能与网络交互,确保数据传输的安全性。

综合国内外研究现状,零信任对终端行为的监控是持续进行的,零信任客户端能够根据终端的行为实时收集信任因素。如何从混乱无序的行为模式中提取规则化的信任因素,并满足信任因素分布式和防篡改的存储需求,是实现零信任的首个关键问题。此外,APT攻击者控制失陷终端进行窃密活动时,网络访问中的正常行为会转变为异常行为。如何进行持续性的动态信任评估,做到信任值计算能适应预警主体行为的突然变化是必须攻克的核心问题。

对此,面向工业互联网环境,笔者提出了一种抗APT窃密的主动式零信任模型。相较于已有工作,文中模型通过分布式部署零信任客户端实时收集终端信任因素,缓解中心化收集易出现的单点故障及数据泄露等安全风险,设计更加契合零信任理念的动态信任评估算法。表1对比展示了文中模型相对于最新相关研究工作的优势。

表1 与相关研究工作的对比

3 系统架构

新一代信息技术与工业系统的全方位深度融合,促使工业互联网划分为了工业信息技术(Information Technology,IT)区和工业操作运营技术(Operation Techonogly,OT)区。暴露于外网的工业IT区终端,极易成为APT攻击者的目标,进行入侵控制或窃取身份,并在绕过边界网络安全防御系统后,以失陷终端为跳板横移进工业OT区终端或高权限终端,实施内部的APT窃密威胁。

对此,笔者提出了一种工业互联网中抗APT窃密的主动式零信任模型,并建立在端、管、云系统架构以进行设计实现。如图2所示,该架构包括终端层、管控层和云层。

图2 主动式零信任模型的系统架构

(1) 终端层:工业互联网终端(Industrial Internet Terminal,IIT)主要分布于工业IT区和工业OT区。其中,工业IT区包括企业资源计划系统(Enterprise Resource Planning,ERP)、软件配置管理系统(Software Configuration Management,SCM)、客户关系管理系统(Customer Relationship Management,CRM)、产品生命周期管理系统(Product Lifecycle Management,PLM);工业OT区包括可编程逻辑控制器(Programmable Logic Controller,PLC)、监视控制与数据采集系统(Supervisory Control And Data Acquisition,SCADA)、分布式控制系统(Distributed Control System,DCS)、现场总线控制系统(Fieldbus Control System,FCS)、人机接口(Human Machine Interface,HMI)等。零信任假设失陷是不可避免的,为主动发现失陷终端潜在的APT窃密威胁,需要在工业互联网中的每个联网终端上装载零信任客户端(ZTC),用于分布式实时收集IIT行为数据,传输给管控层的零信任引擎(ZTE)。

(2) 管控层:由执行PE、PA和PEP等零信任组件功能的ZTE所构成。主要负责提取规则化的信任因素,进行持续性动态信任评估来主动检测失陷终端,通过快速失陷识别认证快速阻断失陷终端从工业IT区到工业OT区的横移,并为云层的数据访问和资源服务提供认证依据。鉴于工业互联网的终端种类和终端数量,大量又频繁的始终认证,极易过载由单台ZTE服务器构成的零信任组件,应为PE、PA和PEP等零信任组件部署备用ZTE服务器。此外,充分利用闲置状态的备用ZTE服务器,形成存储引擎集合Ψ={SE1,…,SEi,…,SEm},共同维护零信任引擎区块链(ZTE_chain),实现对信任因素的安全存储。

(3) 云层:经过管控层的快速失陷识别认证后,工业数据中心(Industrial Data Center,IDC)仅需验证和发放授权凭证,并依据请求类型提供相应的数据访问和资源服务,在主动防范失陷终端APT窃密威胁的前提下,有助于提高云层的认证效率。

4 主动式零信任模型设计

深入分析当前工业互联网场景下的敏感数据保护需求,为主动发现失陷终端和及时阻断其APT窃密威胁,构建出一种主动式零信任模型,如图3所示。主动式零信任模型的设计组成包括规则化信任因素提取、伸缩式区块链共享存储以及动态信任评估。

图3 主动式零信任模型结构图

4.1 规则化信任因素提取

位于每个工业互联网终端上的零信任客户端,分布式实时监测终端的联网行为情况,并采集数据发送给PEP零信任组件。定义工业互联网终端集合为Ω={IIT1,…,IITi,…,IITn},以终端IITi为例,ZTCi表示安装在其上的零信任客户端。

然而,ZTCi实时监控收集的IITi行为数据存在着粗糙、混乱、无序等问题,无法直接应用于异常行为的发现和信任评估。PEP需要对行为数据进行规则化提取,获取刻画正常或异常行为的信任因素,存储到区块链,并由PE调用进行动态信任评估。引入了长短期记忆神经网络(LSTM),利用其在处理时序性数据时的优势,构建一个特征提取器,从IITi行为数据中训练得到抽象序列特征,进而提取出规则化信任因素。

LSTM是一种改进的循环神经网络模型(Recurrent Neural Network,RNN),相较于RNN可以更有效地提取上下文信息[12]。LSTM结构如图4所示,输入门i控制记忆单元加入多少新信息,遗忘门f控制记忆单元删除多少旧信息,输出门o控制记忆单元输出多少信息传递到下一层,记忆单元C存储先前信息。集合xi表示经过预处理后的IITi行为数据,经过LSTM层的训练,得到新的隐藏状态hi。使用全连接层对隐藏状态进行维度转换和分类,得到规则化信任因素Φ= {NTFi,ATFi},其中NTFi表示IITi中提取到的正常信任因素集合,ATFi表示提取到的异常信任因素集合。

图4 LSTM结构图

LSTM计算过程如下所示:

ft=σ(Wfxt+Ufht-1+bf) ,

(1)

it=σ(Wixt+Uiht-1+bi) ,

(2)

ot=σ(Woxt+Uoht-1+bo) ,

(3)

Ct=ft*Ct-1+it*tanh(Wcxt+Ucht-1+bc) ,

(4)

ht=ot*tanh(Ct) ,

(5)

其中,式(1)、式(2)和式(3)分别代表遗忘门、输入门和输出门在t时刻的计算过程,控制着LSTM隐藏状态的更新;σ(·)是logistic函数,输出区间为(0,1);式(4)结合遗忘门ft和输入门it来更新记忆单元Ct;式(5)结合输出门ot计算t时刻的输出隐藏状态ht,其维度为Rh;Wf、Wi、Wo、Wc的维度为RH×d,d为LSTM的隐藏层单元数,H和h为隐藏层和输入层维度。

4.2 伸缩式区块链共享存储

区块链是一种具有去中心化、不可篡改、可溯源、多方维护等特点的分布式数据库[13],有利于实现信任因素的安全存储。

鉴于联盟区块链[14]的预选共识矿工特点,能够有效消除公有区块链的共识延迟,文中利用备用ZTE服务器形成的存储引擎集合Ψ={SE1,…,SEi,…,SEm}充当区块链矿工节点,实现了ZTE_chain上的共享存储信任因素。

图5 规则化信任因素的区块存储结构

由于ZTCi的实时监测,不断收集IITi的行为数据,从IITi提取到大量规则化信任因素,新生成区块中存储的信任因素将会覆盖旧区块中的原有数据,造成海量不必要的冗余区块持续生成。对于每个工业互联网终端,冗余区块的持续生成,不仅会加重存储负载,过长的区块链也会造成查询效率过低。

算法1：前向按序冗余区块消除。

输入:Ω,Θ,Θi,ei,ZTE_chain

输出:ZTE_chain

① for IITi∈Ωthen

③ ifei≥1 then

④ 前向按序消除IITi的冗余区块

⑥ei=ei-1

⑦ end if

⑧ end if

⑨ end for

4.3 动态信任评估

零信任默认所有主体都是不可信的,汇聚关联各种数据源进行持续信任评估,实现先认证后连接的安全模式[16]。设计动态信任评估方案,关键在于如何使信任值计算能预警主体的非法行为变化。因此,为及时反映失陷终端的行为变化,研究卷积神经网络对输入的终端行为进行建模分析,预测突变因子,利用突变因子动态调节信任值,实现对工业互联网终端的动态信任评估。

当某个工业互联网终端发出敏感数据访问请求时,将会触发卷积神经网络对突变因子的持续性预测,确保失陷终端的快速识别。在ZTE_chain上,调取该终端的规则化信任因素,利用滑动窗口将其划分为同规格特征矩阵Y={Y1,Y2,Y3,…,Yn},并将其作为卷积神经网络的输入层,即Y=H0。Hi表示第i层的特征矩阵,其在卷积层的计算过程表示为

Hi=f(Hi-1⊗Wi+bi) ,

(6)

汇聚层跟随在卷积层之后,对特征向量进行降维,且保持特征的尺度不变。Hi在汇聚层的计算过程表示为

Hi=fsub(Hi-1) ,

(7)

式(6)中,Wi表示第i层卷积核的权值向量;运算符“⊗”表示卷积核与第i-1层特征矩阵进行卷积操作,卷积的输出与第i层的偏移向量bi相加,通过非线性激励函数f(x)得到第i层的特征矩阵。式(7)中,fsub(·)可取最大值函数或取均值函数。

依靠全连接层整合具有类别区分性的局部信息,对输出层进行维度转换,得到归一化预测结果ri(0≤ri≤1),用于二元分类突变因子Mi。若ri≥0.5,Mi=1,则表示终端行为发生异常突变;若ri<0.5,Mi=0,则表示终端行为未发生突变。

通过算法2实现对突变因子Mi的持续性预测,并利用其调节基本信任值计算,实现对IITi的动态信任评估。

算法2：预测突变因子。

输入:ZTE_chain

输出:Mi

① 从ZTE_chain上提取NTFi,ATFi

② 利用滑动窗口划分NTFi,ATFi得到Y

③ forYi∈Ythen

④ 根据式(6)进行卷积层计算

⑤ 根据式(7)进行汇聚层计算

⑥ ifri≥0.5 then

⑦Mi=1

⑧ else then

⑨Mi=0

⑩ end if

采用Beta分布计算工业互联网终端的基本信任值。Beta分布能较好地与信任分布拟合,其数学期望作为节点信任值可行,是最经典、最广泛使用的信任评估模型之一[17]。Beta概率密度函数如下所示[18]：

(8)

其中,p表示工业互联网终端行为发生的可能性,p∈[0,1],α>0,β>0。

在工业互联网中,根据LSTM提取到的规则化信任因素来计算基本信任值。以IITi为例,ni为NTFi集合中的正常行为总次数,ai为ATFi集合中的异常行为总次数。对于IITi的正常信任因素量化,结合Beta分布的概率期望值赋予α=ni+1;对于IITi的异常信任因素量化,赋予β=ai+1。因此,IITi的基本信任值计算如下:

Bi=Beta(ni+1,ai+1) 。

(9)

Beta分布的概率期望值为

(10)

进一步计算基本信任值Bi如下:

(11)

然而,据此计算得到的基本信任值Bi具有静态信任评估性质,无法快速识别工业互联网终端的异常行为变化。信任作为一种主观状态,可随用户交互经验、时间等因素的动态变化而发生变化,利用静态信任进行计算会使推荐结果渐渐偏离现实状态[19]。当APT攻击者控制失陷终端着手窃密活动时,网络访问中的正常行为会转变为异常行为。由于基本信任值Bi无法快速衰减至门限值δ以下,这种反应滞后性会给APT攻击者的窃密行为创造有利条件,便于窃取工业互联网中的敏感数据。

为及时反映失陷终端的行为变化,引入时间衰减因子和卷积神经网络计算的突变因子Mi自动调节基本信任值Bi的更新,以实现对工业互联网终端的动态信任评估。

信任值基于历史交互记录计算且随时间的增加而衰减,计算信任值需要考虑信任的时效性[20]。在工业互联网中,IITi时间衰减因子Ti计算如下:

(12)

其中,t表示当前信任评估时刻,tk表示最近一次静态信任评估时刻。

当Mi=0,即终端行为未发生异常突变时,静态信任值在时间衰减因子的作用下得到动态信任值;当Mi=1,即终端行为发生异常突变时,快速响应并计算出动态信任值Di,使得Di瞬间低于信任门限值δ,计算方法如下:

(13)

在此基础上,PE调用存储在ZTE_chain上的信任因素集合Φ,通过算法3实现对工业互联网终端IITi的快速失陷识别认证,得到认证结果zi。

当zi=0时,认证IITi失陷,若IITi发出工业OT网络终端交互的请求,PEP则给予拒绝,以防失陷终端横移到工业OT网络中直接窃取敏感数据;若IITi发出云层的数据访问和资源服务,PEP同样给予拒绝。当zi=1时,认证IITi可信,PEP放行IITi与工业OT网络终端的交互请求或将代表认证可信结果zi提交给云层的IDC。

算法3：快速失陷识别认证。

输入:ZTE_chain,Φ,Ti

输出:zi

① ifMi=1 then

②zi=0 认证IITi失陷

③ else

④ 从ZTE_chain调出IITi的信任因素集合Φ

⑤ 根据式(11)计算基本信任值Bi

⑥ ifBi<δthen

⑦zi=0 认证IITi失陷

⑧ else

⑨ 根据式(13)计算动态信任值Di

⑩ ifDi<δthen

5 实验分析

主动预防APT窃密威胁的效果,主要取决于方案的异常行为检测能力和失陷终端识别能力。对此,文中从异常行为数据分析和失陷终端识别两方面设计仿真实验,验证主动式零信任模型的性能。

5.1 异常行为数据分析实验

采用r4.2版本的卡内基梅隆大学的CMU-CERT数据集[21]进行异常行为数据分析。该数据集从真实企业环境中采集正常数据,通过人工模拟企业内部攻击生成异常数据,是目前研究内部威胁检测的权威数据集。其中,CERTr 4.2数据集由多个文件组成,包含1 000名用户502天产生的行为记录,实验所用数据集文件内容表述如表2所示。

表2 CERTr 4.2数据集文件内容表述

由于CERT数据集的多源性,无法直接使用,需先对数据进行预处理。对表2中的每个数据集文件进行数据清洗,去除缺失值、异常值和重复值,转化时间戳和做归一化处理。在此基础上进行特征提取,包括登录时间、在线时间等时间相关特征;用户名、计算机名等用户信息特征,进程名、进程路径等进程信息特征,以及源地址、目的地址、传输协议等网络信息特征。将提取到的特征信息以用户为单位进行整合,按时间顺序排列,区分正常行为数据和异常行为数据,并分别存储在不同目录下。选取前150天的用户行为特征作为训练集数据,随机选取后352天的用户行为特征作为测试集数据。实验整体流程如图6所示。

图6 实验整体流程图

对比LSTM模型与循环神经网络RNN在规则化信任因素提取上的效果,实验模型训练过程如图7所示。训练开始时两种模型损失值较高,LSTM模型经过80轮训练后损失值降低且趋于稳定,而RNN模型损失值虽然降低,但并未完全趋于稳定,因此LSTM模型效果更优,较适合于规则化信任因素提取。

图7 实验模型训练过程图

选取精确率、召回率和F1分数作为模型评价指标。精确率(Precision,P)表示所有预测结果为正常的行为数据中预测正确的比例;召回率(Recall,R)表示实际为正常的行为数据中预测正确的比例;F1分数表示精确率与召回率的加权处理,可以看作精确率和召回率的一种调和平均。评价指标的计算公式如下:

(14)

(15)

(16)

其中,真阳性(True Positive,TP)表示被检测为正常行为的正常行为数量,假阳性(False Positive,FP)表示被检测为正常行为的异常行为数量,假阴性(False Negative,FN)表示被检测为异常行为的正常行为数量。

分别计算RNN和LSTM两种分类器的精确率、召回率与F1分数,最终结果汇总如表3所示。可以看出,在规则化信任因素提取过程中LSTM分类器的各项指标明显高于RNN。

表3 分类器评估分析结果 %

在二分类任务时,选择接受者操作特征曲线(Receiver Operating Characteristic curve,ROC)和AUC(Area Under Curve)值来反映分类模型性能[22]。其中,ROC曲线表示在不同阈值下二分类模型的识别性能,AUC值则为ROC曲线下方的面积。通过AUC值可直观展现模型性能,AUC值越大,性能就越好。ROC曲线对比如图8所示,测试结果显示LSTM模型在准确率和AUC分数上取得了较好效果,AUC值达到0.91,其性能远高于RNN模型。证明LSTM模型对正常行为数据和异常行为数据具有较强的监测能力,能够有效提取工业互联网环境下终端产生的信任因素。

图8 ROC对比

5.2 失陷终端识别仿真实验

为检测主动式零信任模型的失陷终端识别效果,进一步利用Python 3.7搭建实验平台,仿真模拟突变因子M=1,即失陷终端行为发生异常突变时,文中模型嵌入动态信任评估后在终端信任值、APT窃密威胁次数和失陷终端检测率方面的性能表现。该实验参数设置如表4所示。

表4 实验参数表

鉴于信任值可用于快速识别实施窃密行为的工业互联网终端,通过60轮实验仿真观察3种不同情况下信任值的变化情况,如图9所示。在前30轮中工业互联网终端信任值逐步趋于1,在第30轮添加失陷终端,信任值发生变化。

图9 终端信任值变化情况

对于静态信任评估而言,无法及时反映失陷终端的行为变化,信任值具有滞后性,认证成功的终端始终处于可信状态。当突变因子M=0,即失陷终端行为未发生异常突变时,信任值会依据时间衰减因子逐渐衰减,但是衰减幅度较慢,随着轮数的增加,将逐渐衰减到门限值以下。当突变因子M=1,即失陷终端行为发生异常突变时,能快速响应失陷终端的异常行为突变,使得信任值瞬间低于信任门限值。

当工业互联网终端信任值低于门限值时,终端被认定为失陷,从而无法横移进工业OT网络或访问云层内部资源,失去APT窃密威胁机会。仿真某工业互联网中存在终端数为1 000,失陷终端比例约为30%,该环境中APT窃密威胁次数抑制情况如图10所示。对于静态信任评估而言,终端信任值无法衰减,此时无法抑制失陷终端产生的APT窃密威胁;引入突变因子后,当突变因子M=1,即失陷终端行为发生异常突变时,由于信任值快速衰减至门限值以下,终端被认定为失陷,APT窃密威胁次数能够迅速清零。

图10 APT窃密威胁次数抑制情况

失陷终端检测率如图11所示,由于静态信任评估不进行信任值衰减,失陷终端检测率始终为0;对于动态信任评估方案,在第29轮预测到突变因子M=1时,失陷终端检测率从0突增到约70%;随后经过两轮迭代,失陷终端检测率达到100%,表现出快速的失陷终端检测能力。

图11 失陷终端检测率

6 结束语

针对工业互联网察觉失陷终端所引起APT窃密威胁的滞后性,提出了一种主动式零信任模型,并构建出端管云结合的模型系统架构。在终端层,分布式实时收集终端行为数据,利用长短期记忆神经网络提取为规则化的信任因素。在管控层,设计伸缩式区块链ZTE_chain以实现防篡改和低负载的信任因素安全存储,由此引入卷积神经网络持续性预测突变因子,得到刻画终端行为的动态信任值,给出快速识别失陷终端的认证算法。位于云层的IDC仅需裁决和发放授权凭证,依据访问控制策略提供相应的数据类型,有效缓解了云层认证压力。实验结果分析表明,提出的主动式零信任模型,在识别失陷终端方面的效果显著,具有较好的APT窃密威胁抗击能力。未来的研究工作是深入分析工业互联网环境下的数据包结构,设计一种结合零信任理念的数据包切片和重组方法,使得工业OT区和云层的数据包流入工业IT区时,无法在失陷终端处重组,进而阻断APT窃密威胁造成的数据泄露。