摘要：针对工业互联网当前不断发展的趋势，以及安全方面存在的不确定性与不可预测性，本文聚焦工业场景网络安全，旨在探索通过态势感知综合分析工业网络安全防护体系，并利用人工智能、机器学习、深度学习方法，开展工业异构网络态势海量数据安全分析与持续性威胁攻击发现，形成全方位安全态势感知技术，为工业异构网络的态势获取、态势理解和态势预测提供框架支撑，以应对工业网络未来安全挑战。

关键词：工业网络安全防护；态势感知技术；全流量威胁检测

引言

当前，新一代信息技术正迅速向制造业渗透，产业经济数字化转型已是大势所趋，制造业正加速向数字化、网络化、智能化发展，工业网络成为制造业的重要组成部分。工业系统的高价值性导致针对工业网络的定向攻击增多，内生安全风险与外部风险交织并存，网络安全事件频发，工业网络安全形势日益复杂严峻。同时，《中华人民共和国网络安全法》[1]的发布将网络安全监测预警要求提高至法律层面，《信息安全技术——网络安全等级保护基本要求（GB/T 22239-2019）》[2]首次将工控安全和态势感知等列入覆盖范围。《关键信息基础设施安全保护条例》[3]明确提出，要及时掌握关键信息基础设施安全态势等，对工业网络的全方位安全态势感知是当前工业网络安全的首要任务。

1. 国内外现状及趋势

美国、英国、欧洲等国家和地区纷纷强化网络安全建设，出台相关战略规划，以立法推动零信任、人工智能技术等网络安全新兴技术研发，同时进一步完善网络安全机构体系，加速提升科研实力，提高自身“造血”能力。美国正在大力研发网络主动防御、网络弹性与机动、网络态势感知分析等网络安全技术。在人工智能融合网络安全等技术领域中，很多科技创新成果已经取得突破性进展，未来将对军工装备发展和军事产生深远的影响，值得高度关注。例如，美国防高级研究计划局开展的“快速攻击检测、隔离和特征识别系统”（RADICS）研发项目，与国土安全部、能源部、国民警卫队和电力公司开展合作，利用人工智能来解决电网网络安全问题，在电网发生网络攻击时实现“黑启动”恢复[4]。

《“十四五”国家信息化规划》明确指出，“全面加强网络安全保障体系和能力建设”。要“完善网络安全监测、通报预警、应急响应与处理机制，提升网络安全态势感知、事件分析以及快速恢复能力”[5]。党中央的指导方针、政策法规、重要论述和指示，都为网络安全感知预警的发展提供了坚实的基础和动力，但部分关键核心技术自主可控能力还存在不足。对此，需要加大网络安全关键核心技术研发力度，鼓励自主创新研发关键技术和国产化替代产品，集中国家优势资源，克服网络安全核心技术瓶颈，加快摆脱网络安全产品技术依赖国外的现状，提高我国网络安全技术和产品自主可控能力。

2. 工业网络安全防护体系

本文围绕工业网络终端系统、云计算平台、数据系统、应用系统、运维使用等系统相关部分的安全防护，综合应用大数据融合处理、安全智能分析决策等先进技术，提出工业互联网安全防护技术体系架构，采用多域联防联动的动态防御思想，从统一安全管理、安全服务、安全策略控制、系统审计、预警监测、应急响应、快速恢复、动态响应八个方面构建网络安全的防护体系，形成全方位网络安全动态防御安全体系，有效抵御各种安全威胁，可为工业网络安全防护建设提供借鉴参考，安全防护技术体系架构如图1所示。

3. 关键技术分析

3.1 工业网络流量采集提取存储

针对工业异构网络数据接入流量巨大、协议种类繁多、链路层次复杂等现状，利用协议识别和协议分析技术对网络流量进行解析处理，提取网络元数据、还原网络报文数据，根据上级系统下发的任务参数对原始流量进行多维度的数据匹配，实现数据的按需分流和按需存储。

首先，对工业网络流量进行接入和实时采集，基于端点、协议、时间多重元组，将端点间构建的临时通信通道所传输的所有数据包组合到相同的会话，将乱序数据进行有序整理，实现流重组。采用端口检测、协议规则验证以及协议指纹匹配等技术手段，根据网络数据报文内容对数据包协议进行识别。对原始数据包进行格式解析，并可导入安全证书，基于证书对HTTPS流量进行解析。

其次，对数据进行整合、清洗和摘要提取处理，降低后续处理过程中的数据量和干扰信息，对DNS、HTTP、HTTPS数据进行协议还原，提取协议中请求和对应响应的关键信息，如请求域名、回应地址、SSL证书等。

最后，引入全协议索引栈技术，采用分层、分级索引构建，实现对基础元组数据的快速检索，解决大数据量下的基于多种元素的快速过滤、挖掘等问题，对存储资源进行实时监控和有效利用，在存储空间已满的情况下通过回滚利用的方式确保对新采集数据的存储。

3.2 工业网络流量目标特征筛选

针对工业异构网络全链路属性灵活筛选匹配，对威胁目标的多维度刻画，在海量数据中精准发现。

首先，在上述流量采集与存储完成流量数据的索引构建和有序存储的基础上，通过无级迭代可基于规则完成对流量数据的逐级筛选，快速提取重点目标特定流量。其次，通过快照可视化组件对每一个分析节点状态的持久化保存，不仅能够做到分析思路可视化，而且能够随时回归到迭代分析过程中的任意节点，基于该节点当时的状态继续分析或对过滤条件进行修正，避免传统分析方法出错或需要修正时必须从头开始而导致的思路不连贯和时间浪费。最后，由于所有分析都是基于索引层面进行，无论是进行数据回溯还是回归任意快照节点都可以快速完成，可极大地提高数据分析速度，从而实现100Gbps全流量数据实时分析筛选能力。

3.3 工业网络动态映射关系图谱

针对工业网络流量数据特征，通过IP地址到国家、省份、经纬度、运营商等的映射，虚拟身份到真实人的映射，邮箱账号映射到机构、组织，再映射到人，帮助发现数据中隐藏的关系和模式。

首先，将工业网络中的流量特征结果映射到知识图谱中的节点和关系，以现实世界的网络实体作为节点，以实体与实体间的模式（业务模式、通信模式）作为关系，面向所挖掘的“元数据，关联关系”的模式集，以“网络实体，模式，网络实体”的向量化表达方式定义工业网络知识图谱中的知识表达方式，尽可能全面抽取所表征模式中可用属性对“模式”的数据维度进行定义，根据网络实体间的连接关系构建初始图谱。其次，基于场景、业务的分析，采用特征选择的方法对初始图谱中的知识表示信息进行维度的选择，筛选冗余信息，能够为网络威胁检测、定位和溯源提供有效的支撑，引入工业网络的领域知识和网络安全的威胁情报等知识，采用知识推理的方法进行维度优化，构建关系图谱模型。最后，由于网络动态变化的特性，为了保证检测模型的准确率和鲁棒性，采用图更新的方法实现图谱的动态更新。

3.4 工业网络安全威胁智能检测

针对工业网络安全威胁，通过提取网络流量在不同观察尺度和变换层级下的多尺度特征刻画分析，快速发现潜在的威胁和攻击。

首先，提出基于元数据和关联关系的模式匹配方法，从实时通信过程采集的数据中计算得到实时的“元数据-关系-元数据”结果，分别从元数据和关联关系两个角度对实时分析的数据与知识图谱中存在的知识信息进行匹配，判断是已知运行模式或是未知运行模式，进行异常检测。

其次，采用滑动时间窗口机制，增加输入数据（分层级表征结果）的时间跨度，在每个时间窗口内，利用表征结果中的业务逻辑、通信行为层级上的关联性，挖掘基于时序的相关行为序列；基于滑动时间窗口，在多个时间窗口引入证据累积思想，从时序角度融合不同时刻的系统运行行为进行累积和量化，构建基于时间维度的证据累积模型，对其进行刻画及求解，形成较为完整的威胁检测构建模型。

最后，收集长时间累积的威胁检测模型所输出的异常行为模式序列并对其进行表征，基于时间片对累积的异常行为模式序列进行切分，形成多时间窗口的异常行为模式组，基于关联分析方法对比分析多个时间片内的异常行为模式组，挖掘其中的连续性事件进行记录，为网络威胁预警提供分析数据。

4. 系统设计验证及应用分析

面向重要基础设施等目标的工业网络安全，针对具备互联网访问能力的办公网、企业网等网络环境中的网络安全威胁监测与资产安全态势感知等场景，以网关进出口流量为处理对象，本文基于相关技术构建工业网络安全态势感知平台基础框架，如图2所示。提供自适应能力的威胁发现能力，实现终端安全报警事件智能分类分级，协助网络安全事件的快速处理。

（1）流量分析层。以协议解析和还原技术为核心，通过对内部网关流量的接入与预处理、协议解析、协议还原、要素提取等技术手段，完成对网络威胁流量的初筛、会话日志的提取、元数据的提取、样本文件的还原，实现威胁监测要素的采集，为威胁感知层提供威胁检测样本输入。

（2）威胁感知层。以威胁情报检测、特征行为检测、文件沙箱检测、终端安全检测等被动感知手段，以及资产漏洞风险探测、高交互式蜜罐检测等主动感知手段为基础，基于网络威胁检测模型，完成对流量分析层生成的网络流量数据、会话日志、元数据、邮件、附件、原始还原数据等网络流量大数据的多维度威胁检测，为协同驱动层提供威胁检测结果输入。

（3）协同驱动层。首先，需要基于IP属性知识库、DNS知识库等专家知识库对多维度威胁感知结果进行属性标注；然后，基于关系图谱对多维度威胁检测结果进行融合分析，采用合理的关联挖掘算法，实现与公开威胁情报和历史威胁检测结果的关联回溯；最后，对威胁关联结果进行综合研判，进而完成网络威胁事件的还原。

（4）用户应用层。用户应用层基于大数据聚合分析算法引擎，对威胁检测结果和威胁事件还原结果进行多维度的聚合分析与态势展示，并实现对IP、域名、文件等网络实体目标的画像刻画功能。同时，向用户展示各类威胁事件的监测分析详情和处置结果，以及用户资产的安全与防护态势。

（5）平台运维监控体系。针对数据风险、用户风险、应用风险和通道风险，统筹考虑安全防护设计，提供统一登录与授权、通信加密、应用隔离与限制、数据加密等功能，使安全保护策略贯穿平台系统各个层面和数据生命全周期。

（6）平台管理保障体系。自动采集平台内部各系统的日志信息，以输出到窗口、网络、文件的方式为智能运维分析提供集群管理、作业管理、服务管理和用户管理等功能。

结语

本文详细介绍了工业网络安全现状及发展趋势，并对工业网络安全防护体系建设和工业互联网安全态势感知技术与系统应用验证进行了详细阐述，鉴于人工智能赋能网络安全技术如今处于快速发展阶段，本文的研究成果将有助于工业网络安全系统的开发，为工业互联网发展网络安全应用提供借鉴。

参考文献：

[1]中华人民共和国网络安全法.[EB/OL].（2016-11-07）[2024-07-20].https：//www.cac.gov.cn/2016-11/0 7/c_1119867116.htm.

[2]国家市场监督管理总局，中国国家标准化管理委员会.信息安全技术网络安全等级保护基本要求：GB/T 22239-2019[S/OL].北京：中国标准出版社，2019[2019-05-10].https：//openstd.samr.gov.cn/bzgk/gb/newGbInfo？hcno=BAFB47E8874764186BDB7865E8344DAF.

[3]关键信息基础设施安全保护条例（国令第745号）[A/OL].（2021-08-17）[2024-06-28].https：//www.gov.cn/zhengce/content/2021-08/17/content_5631671.htm.

[4]胡璇，李炜玥，冷昊，等.美军网络安全技术研究现状及发展趋势[J].电子产品可靠性与环境试验，2022，40（6）：96-104.

[5]中央网络安全和信息化委员会.“十四五”国家信息化规划[EB/OL].（2021-12-27）[2024-06-28].https：//www.cac.gov.cn/2021-12/27/c_1642205314518676.htm.

作者简介：王奇，本科，研究方向：电子信息技术；孙宏，本科，研究方向：网络安全技术；李杜，硕士研究生，研究方向：电子信息技术。