基于大數據的工業信息安全情報分析框架

李敏 孫軍 張哲宇

摘要：隨著“互聯網+”“兩化融合”等國家戰略的深入推進，工業信息安全上升到了一個新高度，引發了來自各方的持續關注。情報研究作為企業競爭、行業管理及軍事競爭等領域的重要手段，是工業信息安全領域的重點工作之一。文章基于大數據技術，列出了工業信息安全情報研究的六大類別多源數據，分析了工業信息安全情報分析的難點，給出了基于大數據的工業信息安全情報分析模型，并提出了基于大數據的工業信息安全情報分析平臺架構。

關鍵詞：大數據;情報分析;工業信息安全;平臺架構

中圖分類號：TP311.13;TP393.08????????? 文獻標識碼：A

1 引言

隨著工業數字化、網絡化、智能化快速發展，工業信息安全的重要性和緊迫性日漸凸顯，工業信息安全情報研究作為工業信息安全領域的重要工作之一，大力開展該項工作的基礎研究及關鍵、共性、應用技術的創新性突破，能夠幫助解決工業信息安全風險監測預警、應急處置、安全保障、政策研究、教育培訓等諸多難點，從而提高我國工業信息安全的支撐和保障能力。而大數據、云計算、移動互聯網等新技術的興起，尤其是大數據技術創新應用，提高了對海量數據的處理和分析能力，數據挖掘、數據利用的時代已經來臨[1]。對于基于信息分析的工業信息安全情報研究來說，大數據分析方法帶來了新的機遇和挑戰。本文將基于大數據技術，針對工業信息安全情報研究領域的多源數據類型、面對的情報分析難點、采用的分析方法和模型以及構建的情報分析平臺架構等進行研究。

2 大數據技術為工業信息安全情報研究帶來機遇和挑戰

麥肯錫全球研究所（Mc Kinsey Global Institute，MGI）將大數據定義為“一種規模大到在獲取、存儲、管理、分析方面大大超出了傳統數據庫軟件工具能力范圍的數據集集合”。這個定義得到普遍的認同。大數據具有“4V”的特征，即數據量巨大（Volume）、數據具有多樣性（Variety）、價值密度小（Value）、處理速度快（Velocity）[2]。從全球范圍來看，對于大數據的研究已成為世界主要發達國家的國家戰略。2012年美國聯邦政府發布《大數據研發計劃》，在國防、安全、能源、醫療等領域推動大數據研發與應用，并于2014年和2016年又分別發布了《大數據：把握機遇，守護價值》白皮書及《聯邦大數據研究與發展戰略規劃》，為大數據研發的發展和擴張提供指導。

在我國，黨中央、國務院高度重視大數據的發展，黨的十八屆五中全會正式提出“實施國家大數據戰略”。隨后，國務院于2015年印發了《促進大數據發展行動綱要》，工業和信息化部于2016年印發了《大數據產業發展規劃（2016-2020年）》，提出了我國大數據發展的頂層設計。黨的十九大明確提出“推動互聯網、大數據、人工智能和實體經濟深度融合”，從國家大數據發展戰略全局的高度，進一步推動大數據產業的建設與發展。

在情報研究領域，大數據已成為影響科技情報領域的一個重要外部因素。在大數據時代，可以“看到”情報對象的全景，即全息化，使科技情報走過情報匱乏和情報大眾化時代，進入情報全息化時代[3]。鑒于此，研究人員在該領域已經開展了部分研究工作。李廣建等人將大數據時代情報研究發展趨勢概括為單一領域情報研究轉向全領域情報研究、情報研究的智能化等五個方面[4]，并通過梳理競爭情報、軍事情報等五個領域對情報分析的概念與實踐現況，揭示了不同領域在大數據環境下的情報分析特征和發展，指出了大數據對情報分析的影響[5]。化柏林等人從數據環境、業務需求以及流程對比三個角度剖析了大數據環境下競爭情報的特點，提出大數據環境下的多源融合型競爭情報[6]。

同時，范佳佳梳理了大數據時代信息安全威脅情報的主要特點、基礎性技術、實踐現狀與趨勢、重要意義和未來研究方向，對國家信息安全管理和國家情報要素研究均具有重要意義，與其相關的數據管轄與隱私保護、情報共享等問題將成為未來的研究重點[7]。余波等人構建了大數據環境下情報研究方法論的體系框架，分析歸納了主要的情報研究方法，并提出對這個體系框架科學性和實用性的評價指標[8]。管磊等人提出了一種集安全數據采集、處理、分析和安全風險發現、監測、報警、預判于一體的安全態勢感知平臺，將安全日志、報警數據轉化成可視化安全事件信息，從海量數據中挖掘威脅情報，從而實現風險發現、安全預警和態勢感知[9]。

還有，韓偉紅等人對分布異構網絡安全數據集成技術、面向重大網絡安全事件發現的關聯分析技術、基于數據流和多維分析的網絡安全數據實時分析技術等進行了介紹[10]。陳興蜀等人以大數據技術給網絡安全與情報分析研究帶來的挑戰與機遇為線索，分析當前網絡安全與情報分析面臨的困境，梳理大數據和網絡安全與情報分析的關系，并圍繞高級網絡威脅與攻擊的有效檢測方法缺乏、未知復雜網絡攻擊與威脅預測能力不足及缺乏度量網絡安全態勢評估結果的評價體系等問題，開展了高級網絡威脅發現方法、復雜網絡攻擊預測方法及大規模網絡安全態勢感知技術等方面的研究[1]。

3 工業信息安全多源數據類別及內容

工業信息安全大數據涵蓋海量的數據資源內容，既包括結構化數據，也包括非結構化數據，其數據來源類別主要分為幾類。

3.1 態勢感知數據

態勢感知數據主要包括全網工業信息安全暴露數據和全網工業信息安全威脅監測數據兩大類。其中，全網工業信息安全暴露數據是指接入互聯網的工控設備軟硬件的IP數據，包含工控設備軟硬件的版本、模塊、型號、IP地理位置等;全網工業信息安全威脅監測數據是指掃描、攻擊工控設備軟硬件的IP數據，包含攻擊動作行為、攻擊時間、攻擊的協議類型、攻擊者所屬的組織、IP地理位置等。

3.2 威脅情報共享數據

威脅情報共享數據主要包括工業信息安全漏洞數據及實時事件數據（即工業信息安全輿情）、信息安全企業威脅情報平臺共享數據等。其中，工業信息安全漏洞數據是指工控軟硬件設備的漏洞信息數據，包含漏洞編號、發布日期、更新日期、數據來源、漏洞描述、危害評分、利用復雜度評分、攻擊途徑、危害類型、參考資源、受影響的軟件及版本等。實時事件數據是指關于工業信息安全的新聞事件數據，包括工業信息安全新聞/事件、發布時間等;信息安全企業威脅情報平臺共享數據是指第三方信息安全廠商提供的威脅情報數據，包括全球網站主機信息、URL信息、DNS信息、E-mail泄漏信息、互聯網泄漏數據信息、IP信譽信息、文件HASH安全性、文件沙箱運行信息、IP地理位置等。

3.3 工業信息安全技術/研究類數據

工業信息安全技術/研究類數據主要包括研究成果跟蹤數據、工業信息安全研究人員數據、工業信息安全管理人員數據、安全培訓記錄數據、國家調研數據、工控領域產品數據及工業信息安全標準數據等。其中，研究成果跟蹤數據是指互聯網電子文獻庫和專利庫中工業信息安全技術/研究類數據，包括研究成果的文件資源、發布時間、發布作者、成果題目等。工業信息安全研究人員數據是指工業信息安全行業研究者及從業者人員數據，包括常用信息（ID/姓名、電子郵箱）、性別、關注方向、最近一次存活時間等;工業信息安全管理人員數據是指工控及生產企業管理層人員數據，包括姓名、電子郵箱、性別等;安全培訓記錄數據是指工業信息安全方面的安全培訓記錄數據，包含培訓時間、參與人員信息、培訓內容等;國家調研數據是指國內生產、工控企業的檢查調研數據，包含企業資產臺賬、工控軟硬件信息、網絡拓撲等;工控領域產品數據是指已通過信息安全產品銷售許可認證的工控安全產品數據，包含產品型號、版本、認證通過及過期時間等;工業信息安全標準數據是指全球范圍內的工業信息安全標準數據，包含標準資源文件、組織信息、標準內容等。

3.4 工業企業監控中心共享數據

工業企業監控中心共享數據主要包括資產數據、脆弱性數據、威脅預警數據、安全防護數據等。其中，資產數據是指工業企業網絡中資產信息數據，包含廠商信息、服務開放信息、IP、MAC、OS版本信息等;脆弱性數據是指工業企業的資產脆弱性安全隱患數據，包含資產漏洞信息、嚴重程度、解決方案等;威脅預警數據是指工業企業網絡威脅預警數據，包含威脅風險等級、類型、解決方案、出現時間及具體信息等;安全防護數據是指工業企業工業信息安全防護設備運行數據，包括防護產品運行情況、日志、行為告警信息等。

3.5 行業信息安全監管數據

行業信息安全監管數據是指行業主管部門安全生產監管數據，包含關鍵網絡設備運行信息、安全防護產品的運行信息、行業生產、監測、報警數據等。

3.6 區域性安全監測數據

區域性安全監測數據主要包括大流量探針捕獲數據及企業探針捕獲數據。其中，大流量探針捕獲數據是指電信運營商級別的基于旁路探針的實時監控數據，內容為網絡的即時流量數據;企業探針捕獲數據是指企業級別的基于旁路探針的實時監控數據，內容為網絡的即時流量數據。

4 工業信息安全大數據情報分析模型

分析上述六大類工業信息安全多源數據，可以看出工業信息安全情報分析面臨著海量數據、多源數據、多樣化數據、實時流數據等情報分析的難點，要達到理想的工業信息安全情報分析效果，需引入大數據技術，采用合理多樣的情報分析方法，構建完善的情報分析模型，從而為企業競爭、行業管理及軍事競爭等領域提供及時、全面、可靠的情報輸出。

文本挖掘、數據挖掘、多源數據融合方法等是情報分析中的常用方法。在工業信息安全大數據情報分析中，文本挖掘主要用于梳理分析工業信息安全技術/研究類數據及威脅情報共享數據等內容;數據挖掘主要用于態勢感知數據、工業企業監控中心共享數據及區域性安全監測數據等數據類別的情報分析;多源數據融合方法是解決大數據環境下異構數據整合而提出的方法。對工業信息安全情報研究來說，所采集的情報數據呈現多樣、復雜、動態的特征，需要對多種數據來源信息字段進行映射、拆分、去重、加權等，才能較為準確地反映出信息的潛在價值，有效地支撐工業信息安全情報分析工作。

工業信息安全大數據情報分析模型主要包括情報數據多源采集、情報數據分布式存儲、情報數據多元化分析、情報數據定制化服務及工業信息安全大數據情報分析協調機制五大模塊，各模塊間連接關系如圖1所示。

情報數據多源采集模塊針對上述態勢感知數據、威脅情報共享數據、工業信息安全技術/研究類數據等六大類多源工業信息安全數據，采用豐富多樣的技術手段實現情報數據的采集功能。情報數據分布式存儲模塊構建國家級、省級、市級和行業領域等分布式、綠色大數據存儲系統，實現工業信息安全各類數據的分級、分布式存儲，并實現數據可視化清洗、元數據提取溯源、集群監控、安全訪問控制等功能。情報數據多元化分析模塊，是大數據情報分析模型中的核心。該模塊利用并行計算、分布式數據庫系統、節點式計算模型等先進的云計算技術，利用多元化的情報數據分析方法實現情報數據的處理分析;情報數據定制化服務模塊，是根據不斷變化和涌現的多樣化情報應用需求，實現提供定制化情報服務的模塊，是使用者與整個工業信息安全大數據情報分析模型的交互界面。

5 基于大數據的工業信息安全情報分析平臺架構

按照本文提出的工業信息安全大數據情報分析模型，考慮工業信息安全大數據涵蓋的六大類多源數據資源及主要情報分析方法，構建了基于大數據的工業信息安全情報分析平臺架構，如圖2所示。該架構的主體由大數據智能感知系統（負責多源數據采集）、大數據分布式存儲系統、大數據智能分析系統及應用支撐系統組成。此外，為了使整個平臺功能更加完善、安全，整體架構中還設計了工業信息安全大數據測試體系和自動化測試技術、工業信息安全大數據安全保障技術及工業信息安全大數據基礎技術支撐系統三部分內容。其中，工業信息安全大數據測試體系和自動化測試技術建設面向數據、平臺、應用等各個層面，以工業控制系統大數據應用及服務在實際運行過程中的各種應用場景為基礎，對其功能、性能、可靠性、安全性和兼容性等測試進行研究，深入研究工業控制系統大數據測試關鍵技術，研發測評工具，制定測評標準規范，建設工業信息安全大數據全生命周期的測評體系;工業信息安全大數據安全保障技術從物理安全、環境控制、網絡與系統安全、數據安全及災難恢復與業務連續性等多個方面，為平臺提供全面、完善的安全保障;工業信息安全大數據基礎技術支撐系統則通過構建典型工業控制系統仿真測試平臺、工業網絡靶場及安全分析中心等，從數據采集到數據存儲分析再到應用的全流程，為平臺提供全方位的技術支撐。

6 結束語

大數據時代為工業信息安全領域的情報分析工作帶來了機遇和挑戰。如何更好地利用大數據相關技術，支撐工業信息安全領域的情報分析工作是研究人員關注的重點。這就需要研究人員不斷地修正大數據情報分析模型并根據需要引入新的模塊，不斷地豐富大數據分析方法并將不同的方法恰到好處地用于合適的場景中，不斷地修正和完善大數據情報分析平臺的整體架構并持續構建相關輔助系統，從而將大數據技術切實應用到工業信息安全領域的情報分析工作中。以期能夠有效改善工業信息安全領域情報分析工作，同時為該領域理論和技術的發展添磚加瓦。

基金項目：

1. 工業和信息化部工業轉型升級重點項目“面向工業控制系統的安全可靠公共技術服務平臺”（項目編號：ZB1514003）;

2. 工業和信息化部財務司專項“工業控制系統信息安全技術測試和風險驗證平臺”（項目編號：ZB1714003）。

參考文獻

[1] ?陳興蜀，曾雪梅，王文賢，邵國林.基于大數據的網絡安全與情報分析[J].工程科學與技術，2017，49（3）：1-12.

[2] ?Mc Kinsey Global Institute. Big data： the next frontier for innovation，competition，and produ-ctivity[EB/OL].http：//www.mckinsey.com/insights/mgi/research/technology_and_innovation/big_data_the_next_frontier_for_innovation，2012.

[3] ?趙芳，吳晨生，劉彥君.自建大數據工具在情報領域的應用實踐及對大數據理論的新認識[J].情報理論與實踐，2015，38（1）：76-80.

[4] ?李廣建，楊林.大數據視角下的情報研究與情報研究技術[J].圖書與情報，2012，（6）：1-8.

[5] ?李廣建，江信昱.不同領域的情報分析及其在大數據環境下的發展[J].圖書與情報，2014，（5）：7-19.

[6] ?化柏林，李廣建.大數據環境下的多源融合型競爭情報研究[J].情報理論與實踐，2015，38（4）：1-5.

[7]?范佳佳.論大數據時代的威脅情報[J].圖書情報工作，2016，60（6）：15-20.

[8] ?余波，溫亮明，張妍妍.大數據環境下情報研究方法論體系研究[J].情報科學，2016，34（9）：7-12.

[9] ?管磊，胡光俊，王專.基于大數據的網絡安全態勢感知技術研究[J].信息網絡安全，2016（9）：45-50.

[10] ?韓偉紅，隋品波，賈焰.大規模網絡安全態勢分析與預測系統YHSAS[J].信息網絡安全，2012（8）：11–14.