工業網絡安全防護與態勢感知技術研究及應用

摘要：針對工業互聯網當前不斷發展的趨勢，以及安全方面存在的不確定性與不可預測性，本文聚焦工業場景網絡安全，旨在探索通過態勢感知綜合分析工業網絡安全防護體系，并利用人工智能、機器學習、深度學習方法，開展工業異構網絡態勢海量數據安全分析與持續性威脅攻擊發現，形成全方位安全態勢感知技術，為工業異構網絡的態勢獲取、態勢理解和態勢預測提供框架支撐，以應對工業網絡未來安全挑戰。

關鍵詞：工業網絡安全防護；態勢感知技術；全流量威脅檢測

引言

當前，新一代信息技術正迅速向制造業滲透，產業經濟數字化轉型已是大勢所趨，制造業正加速向數字化、網絡化、智能化發展，工業網絡成為制造業的重要組成部分。工業系統的高價值性導致針對工業網絡的定向攻擊增多，內生安全風險與外部風險交織并存，網絡安全事件頻發，工業網絡安全形勢日益復雜嚴峻。同時，《中華人民共和國網絡安全法》[1]的發布將網絡安全監測預警要求提高至法律層面，《信息安全技術——網絡安全等級保護基本要求（GB/T 22239-2019）》[2]首次將工控安全和態勢感知等列入覆蓋范圍。《關鍵信息基礎設施安全保護條例》[3]明確提出，要及時掌握關鍵信息基礎設施安全態勢等，對工業網絡的全方位安全態勢感知是當前工業網絡安全的首要任務。

1. 國內外現狀及趨勢

美國、英國、歐洲等國家和地區紛紛強化網絡安全建設，出臺相關戰略規劃，以立法推動零信任、人工智能技術等網絡安全新興技術研發，同時進一步完善網絡安全機構體系，加速提升科研實力，提高自身“造血”能力。美國正在大力研發網絡主動防御、網絡彈性與機動、網絡態勢感知分析等網絡安全技術。在人工智能融合網絡安全等技術領域中，很多科技創新成果已經取得突破性進展，未來將對軍工裝備發展和軍事產生深遠的影響，值得高度關注。例如，美國防高級研究計劃局開展的“快速攻擊檢測、隔離和特征識別系統”（RADICS）研發項目，與國土安全部、能源部、國民警衛隊和電力公司開展合作，利用人工智能來解決電網網絡安全問題，在電網發生網絡攻擊時實現“黑啟動”恢復[4]。

《“十四五”國家信息化規劃》明確指出，“全面加強網絡安全保障體系和能力建設”。要“完善網絡安全監測、通報預警、應急響應與處理機制，提升網絡安全態勢感知、事件分析以及快速恢復能力”[5]。黨中央的指導方針、政策法規、重要論述和指示，都為網絡安全感知預警的發展提供了堅實的基礎和動力，但部分關鍵核心技術自主可控能力還存在不足。對此，需要加大網絡安全關鍵核心技術研發力度，鼓勵自主創新研發關鍵技術和國產化替代產品，集中國家優勢資源，克服網絡安全核心技術瓶頸，加快擺脫網絡安全產品技術依賴國外的現狀，提高我國網絡安全技術和產品自主可控能力。

2. 工業網絡安全防護體系

本文圍繞工業網絡終端系統、云計算平臺、數據系統、應用系統、運維使用等系統相關部分的安全防護，綜合應用大數據融合處理、安全智能分析決策等先進技術，提出工業互聯網安全防護技術體系架構，采用多域聯防聯動的動態防御思想，從統一安全管理、安全服務、安全策略控制、系統審計、預警監測、應急響應、快速恢復、動態響應八個方面構建網絡安全的防護體系，形成全方位網絡安全動態防御安全體系，有效抵御各種安全威脅，可為工業網絡安全防護建設提供借鑒參考，安全防護技術體系架構如圖1所示。

3. 關鍵技術分析

3.1 工業網絡流量采集提取存儲

針對工業異構網絡數據接入流量巨大、協議種類繁多、鏈路層次復雜等現狀，利用協議識別和協議分析技術對網絡流量進行解析處理，提取網絡元數據、還原網絡報文數據，根據上級系統下發的任務參數對原始流量進行多維度的數據匹配，實現數據的按需分流和按需存儲。

首先，對工業網絡流量進行接入和實時采集，基于端點、協議、時間多重元組，將端點間構建的臨時通信通道所傳輸的所有數據包組合到相同的會話，將亂序數據進行有序整理，實現流重組。采用端口檢測、協議規則驗證以及協議指紋匹配等技術手段，根據網絡數據報文內容對數據包協議進行識別。對原始數據包進行格式解析，并可導入安全證書，基于證書對HTTPS流量進行解析。

其次，對數據進行整合、清洗和摘要提取處理，降低后續處理過程中的數據量和干擾信息，對DNS、HTTP、HTTPS數據進行協議還原，提取協議中請求和對應響應的關鍵信息，如請求域名、回應地址、SSL證書等。

最后，引入全協議索引棧技術，采用分層、分級索引構建，實現對基礎元組數據的快速檢索，解決大數據量下的基于多種元素的快速過濾、挖掘等問題，對存儲資源進行實時監控和有效利用，在存儲空間已滿的情況下通過回滾利用的方式確保對新采集數據的存儲。

3.2 工業網絡流量目標特征篩選

針對工業異構網絡全鏈路屬性靈活篩選匹配，對威脅目標的多維度刻畫，在海量數據中精準發現。

首先，在上述流量采集與存儲完成流量數據的索引構建和有序存儲的基礎上，通過無級迭代可基于規則完成對流量數據的逐級篩選，快速提取重點目標特定流量。其次，通過快照可視化組件對每一個分析節點狀態的持久化保存，不僅能夠做到分析思路可視化，而且能夠隨時回歸到迭代分析過程中的任意節點，基于該節點當時的狀態繼續分析或對過濾條件進行修正，避免傳統分析方法出錯或需要修正時必須從頭開始而導致的思路不連貫和時間浪費。最后，由于所有分析都是基于索引層面進行，無論是進行數據回溯還是回歸任意快照節點都可以快速完成，可極大地提高數據分析速度，從而實現100Gbps全流量數據實時分析篩選能力。

3.3 工業網絡動態映射關系圖譜

針對工業網絡流量數據特征，通過IP地址到國家、省份、經緯度、運營商等的映射，虛擬身份到真實人的映射，郵箱賬號映射到機構、組織，再映射到人，幫助發現數據中隱藏的關系和模式。

首先，將工業網絡中的流量特征結果映射到知識圖譜中的節點和關系，以現實世界的網絡實體作為節點，以實體與實體間的模式（業務模式、通信模式）作為關系，面向所挖掘的“元數據，關聯關系”的模式集，以“網絡實體，模式，網絡實體”的向量化表達方式定義工業網絡知識圖譜中的知識表達方式，盡可能全面抽取所表征模式中可用屬性對“模式”的數據維度進行定義，根據網絡實體間的連接關系構建初始圖譜。其次，基于場景、業務的分析，采用特征選擇的方法對初始圖譜中的知識表示信息進行維度的選擇，篩選冗余信息，能夠為網絡威脅檢測、定位和溯源提供有效的支撐，引入工業網絡的領域知識和網絡安全的威脅情報等知識，采用知識推理的方法進行維度優化，構建關系圖譜模型。最后，由于網絡動態變化的特性，為了保證檢測模型的準確率和魯棒性，采用圖更新的方法實現圖譜的動態更新。

3.4 工業網絡安全威脅智能檢測

針對工業網絡安全威脅，通過提取網絡流量在不同觀察尺度和變換層級下的多尺度特征刻畫分析，快速發現潛在的威脅和攻擊。

首先，提出基于元數據和關聯關系的模式匹配方法，從實時通信過程采集的數據中計算得到實時的“元數據-關系-元數據”結果，分別從元數據和關聯關系兩個角度對實時分析的數據與知識圖譜中存在的知識信息進行匹配，判斷是已知運行模式或是未知運行模式，進行異常檢測。

其次，采用滑動時間窗口機制，增加輸入數據（分層級表征結果）的時間跨度，在每個時間窗口內，利用表征結果中的業務邏輯、通信行為層級上的關聯性，挖掘基于時序的相關行為序列；基于滑動時間窗口，在多個時間窗口引入證據累積思想，從時序角度融合不同時刻的系統運行行為進行累積和量化，構建基于時間維度的證據累積模型，對其進行刻畫及求解，形成較為完整的威脅檢測構建模型。

最后，收集長時間累積的威脅檢測模型所輸出的異常行為模式序列并對其進行表征，基于時間片對累積的異常行為模式序列進行切分，形成多時間窗口的異常行為模式組，基于關聯分析方法對比分析多個時間片內的異常行為模式組，挖掘其中的連續性事件進行記錄，為網絡威脅預警提供分析數據。

4. 系統設計驗證及應用分析

面向重要基礎設施等目標的工業網絡安全，針對具備互聯網訪問能力的辦公網、企業網等網絡環境中的網絡安全威脅監測與資產安全態勢感知等場景，以網關進出口流量為處理對象，本文基于相關技術構建工業網絡安全態勢感知平臺基礎框架，如圖2所示。提供自適應能力的威脅發現能力，實現終端安全報警事件智能分類分級，協助網絡安全事件的快速處理。

（1）流量分析層。以協議解析和還原技術為核心，通過對內部網關流量的接入與預處理、協議解析、協議還原、要素提取等技術手段，完成對網絡威脅流量的初篩、會話日志的提取、元數據的提取、樣本文件的還原，實現威脅監測要素的采集，為威脅感知層提供威脅檢測樣本輸入。

（2）威脅感知層。以威脅情報檢測、特征行為檢測、文件沙箱檢測、終端安全檢測等被動感知手段，以及資產漏洞風險探測、高交互式蜜罐檢測等主動感知手段為基礎，基于網絡威脅檢測模型，完成對流量分析層生成的網絡流量數據、會話日志、元數據、郵件、附件、原始還原數據等網絡流量大數據的多維度威脅檢測，為協同驅動層提供威脅檢測結果輸入。

（3）協同驅動層。首先，需要基于IP屬性知識庫、DNS知識庫等專家知識庫對多維度威脅感知結果進行屬性標注；然后，基于關系圖譜對多維度威脅檢測結果進行融合分析，采用合理的關聯挖掘算法，實現與公開威脅情報和歷史威脅檢測結果的關聯回溯；最后，對威脅關聯結果進行綜合研判，進而完成網絡威脅事件的還原。

（4）用戶應用層。用戶應用層基于大數據聚合分析算法引擎，對威脅檢測結果和威脅事件還原結果進行多維度的聚合分析與態勢展示，并實現對IP、域名、文件等網絡實體目標的畫像刻畫功能。同時，向用戶展示各類威脅事件的監測分析詳情和處置結果，以及用戶資產的安全與防護態勢。

（5）平臺運維監控體系。針對數據風險、用戶風險、應用風險和通道風險，統籌考慮安全防護設計，提供統一登錄與授權、通信加密、應用隔離與限制、數據加密等功能，使安全保護策略貫穿平臺系統各個層面和數據生命全周期。

（6）平臺管理保障體系。自動采集平臺內部各系統的日志信息，以輸出到窗口、網絡、文件的方式為智能運維分析提供集群管理、作業管理、服務管理和用戶管理等功能。

結語

本文詳細介紹了工業網絡安全現狀及發展趨勢，并對工業網絡安全防護體系建設和工業互聯網安全態勢感知技術與系統應用驗證進行了詳細闡述，鑒于人工智能賦能網絡安全技術如今處于快速發展階段，本文的研究成果將有助于工業網絡安全系統的開發，為工業互聯網發展網絡安全應用提供借鑒。

參考文獻：

[1]中華人民共和國網絡安全法.[EB/OL].（2016-11-07）[2024-07-20].https：//www.cac.gov.cn/2016-11/0 7/c_1119867116.htm.

[2]國家市場監督管理總局，中國國家標準化管理委員會.信息安全技術網絡安全等級保護基本要求：GB/T 22239-2019[S/OL].北京：中國標準出版社，2019[2019-05-10].https：//openstd.samr.gov.cn/bzgk/gb/newGbInfo？hcno=BAFB47E8874764186BDB7865E8344DAF.

[3]關鍵信息基礎設施安全保護條例（國令第745號）[A/OL].（2021-08-17）[2024-06-28].https：//www.gov.cn/zhengce/content/2021-08/17/content_5631671.htm.

[4]胡璇，李煒玥，冷昊，等.美軍網絡安全技術研究現狀及發展趨勢[J].電子產品可靠性與環境試驗，2022，40（6）：96-104.

[5]中央網絡安全和信息化委員會.“十四五”國家信息化規劃[EB/OL].（2021-12-27）[2024-06-28].https：//www.cac.gov.cn/2021-12/27/c_1642205314518676.htm.

作者簡介：王奇，本科，研究方向：電子信息技術；孫宏，本科，研究方向：網絡安全技術；李杜，碩士研究生，研究方向：電子信息技術。