王 奇，冯大蔚，戴逸聪，荆 浦

(1.太湖流域管理局水文局(信息中心)，上海 200434;2.上海蓝泰信息咨询有限公司，上海 200434)

数字孪生(digital twin，DT)作为实现物理世界与信息世界深度融合的关键技术，其最早的概念由Michael Grieves于2003年提出[1-2]。随着物联网、云计算、大数据、人工智能、5G等新一代信息技术在传统水利行业中的深入应用，数字孪生驱动的智慧水利应用进程也不断加快。《智慧水利建设顶层设计》《“十四五”智慧水利建设规划》等重要文件都明确将数字孪生流域建设作为构建智慧水利体系、实现“四预”的核心和关键。数字孪生太湖是以物理太湖流域为单元、时空数据为底座、数学模型为核心、水利知识为驱动，对流域全要素和水利治理管理活动全过程的数字化映射、智能化模拟，最终实现与物理流域同步仿真运行、虚实交互、迭代优化[3]。

当前对数字孪生的研究主要聚焦在理论建模、关键技术和行业应用等方面[4]，忽视了数字孪生应用给智慧水利带来的安全问题。数字孪生太湖一方面可提升流域治理与管理的科学化、精准化、高效化能力和水平，但一旦遭到攻击，产生的破坏力比传统信息化更大，必须高度重视数字孪生太湖网络安全主动防御体系建设。为此，须引入新的安全防御技术及理论丰富由密码学、防病毒和网络边界防护构成的传统静态安全防御体系。本文是基于应用大数据、人工智能、高级威胁检测等新技术对智慧太湖1.0建成的网络安全纵深防御体系进行扩充，进一步提升数字孪生太湖网络安全态势分析效率及主动防御能力，构建完善的数字孪生太湖网络安全整体架构。

1 数字孪生太湖网络安全现状

1.1 数字孪生太湖建设现状

太湖流域管理局(以下简称“太湖局”)以太湖流域太浦河数字孪生工程建设作为先行先试，在现有信息采集、通信网络、计算存储等基础上，运用三维建模技术构建数字化孪生模型；强化感知和传输网络建设，夯实信息基础设施；根据当前已有的预报调度一体化等业务系统，融合水位、流量、闸门开度及视频等在线监测信息，提升预报调度等水利专业模型精度，基于太湖流域L1+L2级数据底板搭建数字孪生平台，实现具有”四预“功能的数字孪生智能应用。

1.2 太湖局网络安全现状

依托太湖局网络安全能力提升等项目，太湖局形成了有效的网络安全纵深防御体系，但随着数字孪生太湖建设的不断推进，海量数据带来的安全问题亟须解决，主要包括:①缺乏完善的数字孪生太湖网络安全理论框架体系支持；②缺乏统一开放的安全平台支撑数字孪生系统信息安全的快速发展和广泛应用；③数字孪生系统的防护策略基本以静态的被动识别和被动防护为主(例如防火墙、入侵检测)[5]，关于动态的主动防护策略和技术应用较少；④网络安全监测预警的及时性、自动防御的有效性、跟踪溯源的准确性不足。

2 数字孪生太湖网络安全框架

基于数字孪生太湖涉及的物理系统、信息系统、数据资源和网络通信4个方面，遵循“整合资源，信息共享”、“统一架构，业务协同”的设计原则，通过建设网络安全威胁感知系统，引入大数据、人工智能等新技术，构建数字孪生网络安全主动防御体系框架[6]，形成数字孪生安全态势感知和监测预警能力，掌控全网安全态势、预判威胁事件、动态调整防护策略，实现数字孪生安全的泛感知、精度量、可预判和全展示；从而构建数字孪生太湖一体化安全框架和运营体系，实现“安全监控-威胁感知-通报预警-应急处置”的闭环安全管理。实现资源共享、服务协同。总体安全架构如图1所示。

2.1 安全数据采集

数据采集主要包括两方面：①在数字孪生太湖各网络域间及边界部署流量探针采集全网流量；②通过原有网络安全集中管控平台(SOC)采集全网设备日志信息，包括代码审计与系统漏扫日志。

2.2 安全大数据平台

数字孪生太湖安全大数据平台作为整个水利数字孪生安全大数据平台的边缘支撑层，主要对数字孪生太湖产生的各类数据进行汇总、清洗、分析、挖掘。平台采用智能数据检索引擎(ElasticSearch)和关系型数据库(PostgreSQL)，对海量数据进行存储、快速检索及数据分析，其中数据检索引擎基于RESTFUL WEB接口，支持大数据搜索请求、数据存储和分布式多用户能力全文搜索引擎，支持2000亿条日志记录以上的入库和查询，响应时间在3S之内。

安全大数据平台由数据存储接口层、数据查询接口层、分布式数据缓存层、大数据存储层和大数据分析层五个部分组成。数据存储接口层调用数据缓存层接口，将数据交给分布式数据缓存层缓存；当外部应用系统发起数据查询请求时由数据查询接口返回所查询的数据；数据缓存层对数据存储接口层接收到的数据起缓存作用，降低数据入库高峰期时的性能压力；大数据存储层负责数据分词，将分词结果生成倒排索引，存储在物理存储介质之上，便于数据查询引擎快速查询；大数据分析层主要包含智能检索引擎、流式计算引擎等，为平台提供核心的数据分析服务。

图1 数字孪生太湖网络安全总体框架

2.3 安全服务层

服务层使用安全大数据平台的数据，为上层提供统一开放的数字孪生安全服务支撑：①调度服务用于调度任务，主要用于定期数据处理，定时计算等任务；②规则引擎用于原始数据的处理，筛选或汇总告警生成的事件，可支持批量/流式处理；③查询服务提供通用的查询接口，可根据不同的条件查询或汇聚告警/事件数据；④统计服务根据预设的指标计算方法通过查询和统计汇总形成相应的指标；⑤报表服务可定制报表，并根据定制模板定期生成阶段报表；⑥字典服务提供系统中使用的字典管理、查询等服务；⑦标签服务为各种数据打上不同的标签，并能管理标签分组；⑧配置服务管理系统全局的配置和用户个性化的配置，也可用于任务实例级别等配置；⑨权限服务用于确定用户的功能权限和数据范围；⑩日志服务记录操作日志及其他需要记录的日志，并提供简单的日志查询能力。

2.4 安全应用层

安全应用层通过调用安全服务层，提供安全态势、资产管理、风险监测预警、场景化分析、预警通报、安全信息共享，并与第三方系统进行对接交互，实现数字孪生安全应用的广泛发展和快速迭代。

3 数字孪生太湖网络安全关键技术

为确保数字孪生太湖网络安全主动防御体系能够实时、准确地呈现太湖局整个网络安全态势情况，全面监测预警、智能分析处置网内潜在风险，实现数字孪生太湖网络安全的关口前移、主动防御，须依托人工智能强化学习等网络安全关键技术，具体技术如下。

3.1 人工智能强化学习技术

强化学习系统RLS(reinforcement learning system)是智能系统从环境到行为映射的学习，其通过自身的经历进行学习，并在行动—评价的过程中不断改进行动方案以适应环境，并从中获得知识。强化学习系统的目标是动态地调整参数，以达到强化信号最大。由于数字孪生涉及到的资产、网络业务、访问行为十分复杂，只有通过人工智能强化学习技术才有可能达到比较好的网络安全主动防御效果。

对于数字孪生太湖，主要锁定在关键网络节点及大湖局各级单位采集上报的资产数据、安全事件日志和文件样本，自动筛选已知特征的恶意事件关联数据，用于建立评估网络，基于未筛选数据建立行动网络。将太湖局建立的威胁预警系统平台所存储的海量归一化数据作为两个网络的输入数据，从而建立面向全网、各类资产、各级单位的多维度网络模型。

3.2 流量分析与数据还原技术

流量分析与数据还原技术通过调用灵活的协议分析模块，实现了对IPv4/IPv6双栈环境下的主流协议高性能分析，其拥有的碎片文件侦测和P2SP重组模块，还可以实现对迅雷等国内主流P2SP软件下载的文件进行还原。

流量还原还利用到端口匹配、流量特征检测、自动链接关联和行为特征分析等多种技术。其中端口匹配技术的优点是检测效率高，弱点是便于伪造，因此数字孪生太湖安全框架在端口检测过程中嵌套了特征检测的判断和分析；流量特征检测一般分为有标准协议识别和未公开协议识别两种，前者规定了特有的消息、命令和状态迁移机制，通过分析应用层内的这些专有字段和状态，就可以精确可靠地识别这些协议，后者一般需要通过逆向工程分析协议机制后，通过报文流的特征字段来识别该通信流量；自动链接关联主要用于识别利用动态协商端口方式传输数据的协议；行为特征分析主要是针对一些无法轻易还原的数据流量，依托链接的统计特征，如连接数、IP连接方式、流量上下行比、发包频率等指标来判断应用类型。

3.3 高级威胁监测(APT)技术

基于全球威胁情报源的APT事件发现，运用威胁情报、文件虚拟执行、智能规则引擎、机器学习等技术，可以检测和发现APT攻击、勒索软件、远控木马、僵尸网络、窃密木马、间谍软件、网络蠕虫、邮件钓鱼等高级网络攻击，并基于可视化技术，清晰的展示网络中的威胁。同时也可检测多种网络协议中的攻击行为，提供网页漏洞利用、Webshell上传、网络攻击等多种维度的告警展示。

3.4 可视化关联分析技术

数据关联分析是从有限的数据线索向未知数据进行挖掘探索的过程，一般用于系统的数据分析层，主要是将多源异构数据通过关联分析模型串联起来，找到各类数据源之间的关系，并通过可视化技术进行最终呈现。该技术能够以图形化界面、流畅交互操作等形式将枯燥的数据分析变得生动，同时，数据统计等可视化辅助功能可帮助分析员理解数据含义，在很大程度上可提高数据分析员的工作效率。

3.5 威胁情报生成技术

该技术一般用在数据治理融合层和数据分析层，其生成过程为：采集多源情报数据去除不可信数据，将关键数据结构化后进行数据关联，对具有关联关系的数据利用强化学习的方式进行准确性验证，并赋予可信度指标，再根据攻击目的、攻击类型、传播渠道、具体危害等信息确定报警优先等级，最后根据分发的要求，按照不同情报类型与用途推送给不同安全产品，从而实现基于威胁情报生成技术的网络安全主动防御。

4 数字孪生太湖网络安全实践

在2022年公安部组织的网络安全攻防演习中，太湖局作为水利行业协同防守单位，依托数字孪生太湖网络安全框架体系有效实现了可信威胁情报获取、可视化关联分析、基于人工智能的异常监测，构建了威胁感知、分析研判、智能处置的主动防御体系。数字孪生太湖安全大数据平台平均每日感知境内外威胁事件8000起以上，恶意IP数量200条以上，通过对上述攻击行为、异常流量、僵木蠕毒等情况进行智能分析研判，安全服务人员高效的完成了应急处置，演习期间太湖局未收到一起网络安全事件通报。

4.1 安全态势分析效率显著提升

通过引入可视化关联分析技术，将数字孪生太湖包括网络流量数据、系统业务安全日志和外部威胁情报等多个信息源整合关联分析，有效降低了安全误报；通过引入流量分析与还原技术及时准确的发现了数字孪生太湖域间及网络边界异常流量背后的攻击行为；同时，通过广泛协同数字孪生安全框架下的下一代防火墙、高级威胁监测、漏洞扫描等应用，使得数字孪生太湖网络安全态势分析的效率显著提升。

4.2 主动防御能力显著提升

人工智能技术快速梳理了海量数字孪生太湖安全元数据及日志，并生成预警信息，第一时间定位到网内的潜在安全风险，为安服人员及时采取加固措施、避免风险进一步扩大提供了支持。甚至有个别安全设备通过与预警信息或威胁情报联动实现了智能化的安全事件处置，从而实现了由传统的事中处置向事前预警、智能响应和事后溯源的升级转变，既全面准确的反映了数字孪生太湖的安全风险，又有效提升了数字孪生太湖的主动防护能力。

5 结语

数字孪生太湖网络安全框架在太湖局网络安全防护中的具体实践表明：现有框架体系有效提升了安全态势分析效率与主动防御能力等问题，能够更好地保障数字孪生太湖网络安全。但数字孪生太湖的安全不是单纯的技术问题，而是一项涉及意识和习惯、管理和流程、系统和架构、技术和产品、组织和人才等各方面的复杂系统工程[7]，需要所有参与者在建设生命全周期持续实施安全防护并不断完善。同时人工智能技术在信息安全上的应用还处于起步和探索阶段，下一步重点将结合水利安全大数据平台加大获取学习样本，探索建立数字孪生多场景下的人工智能训练模型，进一步提升数字孪生太湖的主动安全防护能力，为新发展阶段的水利行业高质量发展保驾护航。