基于数据融合的工业互联网安全态势感知系统研究

秦琰

摘要：基于多维多层次数据的信息采集，通过对信息的分类、融合、建模、分析等方法，获取信息的全局安全状态及相应对策，预测信息的发展趋势，为工控系统的信息安全提供数据参考与决策支持。通过对工业互联网络安全态势感知平台建设的必要性进行了分析，重点介绍了该方案的技术框架、主要功能模块，并讨论了该方案在工业控制系统中的应用。

关键词：数据融合；工业互联网；安全态势感知

一、前言

伴随着“互联网+”科技逐步渗透到了居民生活的每一个角落，网络安全事件的后果也从简单的个人信息泄露、交际人脉被利用等初期的后果，上升到了现在可能会对移动支付安全、智能门锁、车辆定位等个人人身安全产生直接影响等更严重的后果[1]。网络给人们带来了极大的方便，但也存在着一定的安全隐患，对云服务商来说，更深层次地感知网络安全态势是其核心工作内容。早期的网络安全态势感知基本上是以硬件防火墙、行为管理设备等为基础的，但是这些硬件安全体系并不能有效地应对同时出现的各种网络攻击。在此基础上，提出了一种新的信息融合技术[2]。然而，若将人工智能技术与机器学习方法应用于网络安全情境感知，则数据的覆盖面与融合程度将成为决定结果的关键因素，因此，在各云计算中心中，基于全系统大数据分析的网络安全态势感知系统已经被部署，如何实现更高效的网络安全数据融合，已成为目前技术条件下实现更深度网络安全态势感知的核心工作[3]。

二、网络安全态势感知中数据融合技术的问题发展方向

（一）存在的问题

技术人员在进行相关的研发工作之前，必须要从现实出发，对当前大数据网络安全防护中所存在的不足和缺陷进行系统地梳理，并以问题为导向，对有针对性的技术应用和平台进行改进。经过漫长的发展过程，现在已经形成了有一定能力的防护模型[4]。建立现阶段的网络安全防护体系，虽然可以在一定程度上满足上网需求，减少网络安全事故的发生，但其安全性仍有很大的隐患。特别是，在传统的大数据网络安全防护中，大多采取了“发现安全威胁—分析安全威胁—制定防御策略—执行”的被动式防御模式。存在着很大的局限性，既不能有效地感知到未知的安全威胁，又不能通过内部的联动机制来协调应对网络攻击，缺乏数据支持，缺乏对网络攻击的溯源分析能力，越来越难以满足大数据网络环境下的安全防护工作需求。

（二）发展方向

1.通信

随着互联网的迅速发展，数据融合技术得到了新的发展机会，对人们的日常生活起到了很大的影响。目前，各种视频和音频的传播速度不断加快，这对人们的生活和工作方式产生了一定的影响。以往，在文件的传输中，经常出现卡顿、丢失等现象，而数据融合技术的信息集成和收集功能，使得信息的传递更加准确和快速。

2.卫星跟踪

数据融合技术有着非常广阔的应用前景。比如，该技术在卫星跟踪中起着非常重要的作用，利用数据融合技术，可以及时对地面进行信息收集及监控，明确位置信息等，将数据融合技术应用于电子信息工程，也可以充分利用互联网所具有的数据分析处理功能，对地面轨迹进行统一规划，保证运输的有效性及准确性[5]。将数据融合技术与电子信息工程相结合，既可以提高数据融合技术在实际应用中的稳定性，也可以解决过去由于突发情况处理不及时导致的各类问题。一旦发生了什么事情，卫星就会第一时间将消息传递给系统，进行应急处置，当然，因为成本太高，所以并没有大规模使用。

三、数据融合在网络安全态势感知平台建设中应用的基本方法

在数据预处理阶段，利用特征提取、数据融合等手段，对原有的安全数据进行重构，结合攻击链特性、攻击行为特性等建立大数据分析模型，实现对安全威胁的实时分析和离线分析，挖掘出潜在的、未知的安全风险，建立完整的网络安全态势。

（一）数据采集与预处理

有目的地收集网络的运行和维护管理数据，该领域的数据主要包含了安全风险评估结果、事故处理记录、安全体系运行记录等，通过收集这些数据，确保了在数据处理时，安全威胁信息评估的正确性。除以上两种类型的安全信息外，还需收集外部的威胁信息。比如在一个时间段里，建立起一套完整、系统化的、针对攻击源头的 IP、域名、脆弱性信息的数据采集体系[6]。对采集到的资料进行预处理。而实际中，这些数据经过收集后，呈现出一种异质的特性。为保证其在实际应用中的效果，改善数据融合的效果，同时需要对数据的内部结构进行必要的预处理。通过预处理，能够对数据的内部结构进行有效的识别和完善，剔除安全数据中的重复项和虚报项。

（二）态势感知指标体系的构建

在此基础上，在已有的大数据环境下，针对当前大数据环境下的态势感知问题，构建一套完整的、有效的态势感知指标，以确保数据采集、预处理等过程中的相关性和真实性。在此思想的指引下，技术人员要对网络运行中的脆弱性和攻击者进行评估。

（三）态势感知指标提取与数据融合

在数据融合时，技术人员需将所获得的各种态势感知指标与贝叶斯网络、D-S证据理论等相结合，并将评价结果以数理形式表示出来，从而更直观地保证安全防护工作的进行[7]。

四、网络安全态势感知平台技术架构

工业互联网的安全态势感知能够获取、理解、评估影响工控网络的各种因素，并预测其发展趋势，是新一代安全技术研究的热点。其技术架构如图1所示。

（一）安全设备信息提取

工业数据采集利用各种通信方式，通过对不同设备、系统、产品的访问，实现大规模、深度的工业数据的收集，以及对异质数据的协议转化与边界处理，为建立面向工业互联网的安全态势感知平台奠定数据基础。工业数据收集探头可以将终端行为、原始数据、审计数据、监控数据、威胁告警数据、日志数据、资产数据、元数据等全部收集起来，并能将其以 Syslog，SNMP， TLV， Json等形式输出到该平台[8]。

（二） 数据预处理

在数据采集过程中，由于数据源的差异，导致了数据的格式、内容、质量、存储和表示语义等方面的差异。与此同时，大量的数据存在着不完整、不一致、重复、错误和异常等问题[9]。如果没有对这些资料进行好的预处理，将极大地影响到后面的资料分析和挖掘，也会极大地影响到分析的准确性。为了提升数据质量，提升数据分析的效率、质量和精度，有必要对所收集的数据进行规范化和标准化的预处理。在数据的预处理过程中，要通过必要的数据清理算法，将异质数据整理为易于处理的结构化数据，再利用聚类分析等算法对报警记录进行压缩，去掉冗余，再对原始数据进行重新审核，筛选，排序，最终形成一个精确的、基本的数据关系图。

（三）态势数据建模与分析

将经过预处理后的数据与知识库展开关联分析，从中抽取出具有一定相关性，能够反映出某种安全信息的数据，并对其进行建模。同时，在此基础上，利用机器学习方法，深度解析工业互联网中的标识信息、工控资产信息、攻击事件信息、攻击来源信息等，实现威胁态势呈现与数据关联性挖掘[10]。在已有研究的基础上，通过对网络安全现状和历史信息的收集，设置不同的场景和条件，建立符合网络和业务场景的分析模型，进而开展基于网络威胁和资产脆弱性的态势预测，揭示网络安全的发展趋势。

五、网络安全态势感知技术主要能力

（一）网络安全态势预测

对网络进行主动防御的关键环节就是对网络的安全状态进行预警。在此基础上，通过对大量报警信息的挖掘，可以揭示出网络中的入侵规律，并在此基础上对网络中的入侵行为进行提前预测，从而可以对网络中的网络攻击、网络攻击对象、网络攻击方式等进行预测，从而达到“分析过去，预测未来”的目的[11]。只有对入侵者做出正确的预测，才能制定出有针对性的对策，防止入侵者的入侵。

（二）工业网络入侵检测

由于工控系统是一种生产运行系统，它的现场控制层对实时性、可用性的要求很高，所以就需要一个动态信息安全保护体系。在工业互联网环境下，通过构建工业互联网环境下的环境监测模型，对收集到的环境信息进行监测和分析，并给出预警。基于入侵响应技术，通过实时的入侵检测，对系统的安全状态进行分析，制定并执行最优化的安全策略，从而降低入侵的危害。对攻击的响应主要由两部分组成，即安全战略的制定与实施。前者基于监测到的预警信息，对工控系统多方面的约束与目标进行集成，确定最佳的安全策略[12]。在此基础上，对所制订的信息保障战略及可能的职能保障战略进行协调，并制订出具体的执行计划。在安全策略的选择中，对网络攻击危害程度的评价是确定网络安全策略的一个重要依据。当系统响应入侵代价大于被入侵代价时，应谨慎考虑是否有必要进行响应，避免过度响应。

（三）“僵木蠕”态势感知

僵尸网络、木马、蠕虫这三种病毒被称为“僵木蠕”。“僵木蠕”是一种对因特网和公司内网具有很大危害的病毒。基于此，拟在工业互联网环境下，通过对蠕虫传播特性的分析，实现对蠕虫的识别，跟踪蠕虫的传播路径和控制路径，最后跟踪蠕虫的源头。在此基础上，利用已有的指令，对被指令的服务器进行监控，进而对被指令的主机进行监控，从而掌握“僵木蠕”的网络状态，为后续针对“僵木蠕”的攻击提供依据。

（四）工业控制系统漏洞扫描

漏洞扫描主要包含了两种功能：一种是对传统的网络漏洞进行扫描，另一种是对工业控制系统中的漏洞进行扫描。该系统可对传统的互联网和工业控制的互联网两种不同类型的互联网进行漏洞扫描，在传统的互联网上，可对操作系统（LINUX、WINDOWS、MAC）进行漏洞扫描，可以对常用的应用程序（例如 HTTP、 FTP、 TELNET、邮箱等），可以对 Oracle、 MSsql、 Mysql、DB2、 Sybase、达梦等主要的数据库进行漏洞扫描，可对弱口令检测、配置风险、账号风险等进行检测[13]。

六、工业控制系统网络安全态势感知系统建设思路

构建网络安全态势感知体系是提高网络安全防御水平的关键。在政府监管的层次上，要做好顶层设计，并与国家工业互联网的产业需要相结合，全面设计国家工业互联网安全监控技术平台的功能和体系结构[14]。完善“国家—省—企业”的安全监测和预警报告体系，在工业控制网络中实现关联企业的安全态势可感知、可监测。南京中新赛克技术有限公司是一家为企业提供监控端的企业。对运营者的核心路由器作规则筛选，对行业特定的服务进行甄别，并对这些服务进行镜像与行业互联网探针的连接；工业互联网探针是一种能够分析工业协议、提取工业设备指纹的技术，是一种对数据流进行预处理的全息记录[15]。工业互联网安全监控与态势感知平台对全息日志展开了数据治理和数据分析，并与人工智能等技术相结合，对工业资产、工控漏洞、工业云平台、安全事件进行了监测。具体内容如图2所示。

要想把网络安全态势感知做好，就需要高效的技术平台、安全运营管理、安全人才的培养。通过构建网络安全态势感知技术平台，来实现对网络空间的安全持续监测，对各种威胁和异常进行及时预警，并对其进行可视化展示；透过网路安全运作管理的建构，建立并完善各种安全管理系统、安全预警机制等，以达到安全决策与紧急反应的目的；通过对技术人才的培养，来提升网络安全的工作能力，以及对安全事件的处理能力，从而实现对网络安全威胁的事中阻断、事后溯源的目的。随着科学技术的进步，大数据成为推动社会经济发展的重要因素。随着网络时代的到来，世界上许多国家都开始大力发展数字信息产业。身为一名技术人员，在建立以计算机为基础的大数据技术的时候，还可以将云计算技术运用到其中，对数据分析系统进行持续的改进，将各个行业中的价值全面挖掘出来，为行业的发展提供数据支撑。因此，提高信息融合技术在信息处理领域的应用，对于保障社会生产力，推动社会经济的发展有着重要的实际意义。

七、结语

网络入侵与攻击呈现出大规模、复杂的态势。工控系统在设计阶段就存在着大量的安全漏洞，而且大部分用户出于对可用性的需求而不愿意对其进行更新和改造，这使得工控系统极易受到黑客的攻击。工业互联网的安全态势感知平台能够实时、准确地掌握网络的情况，并对恶意攻击进行探测，使网络安全工作变得更加主动、有序，是一种对网络安全事件进行监控和防范的有效手段。

参考文献

[1]邓晓东，何庆，许敬伟.大数据网络安全态势感知中数据融合技术研究[J]. 网络安全技术与应用， 2017（8）：79-80.

[2]朱义杰，杨玉龙，李帅.面向大数据环境的网络安全态势感知平台研究[J].网络安全技术与应用，2018（11）：52-54.

[3]卢庆，文卫疆，陈新. 大数据支持下的网络安全态势感知技术探究[J].网络安全技术与应用， 2018（10）：63-64.

[4]韩晓霞，刘云，张振江.网络安全态势感知理论与技术综述及难点问题研究 [J].信息安全与通信保密， 2019（7）：103- 105.

[5]张松，王行健，鲁伟.网络安全态势感知研究综述[J].电子测试， 2017（14）：37-39.

[6]姚晓飞.工业互联网安全态势感知系统设计与实现[D].沈阳：中国科学院大学（中国科学院沈阳计算技术研究所），2022.

[7]王恒晓.基于多源数据融合的煤矿安全态势感知分析平台研究[J].煤矿安全，2022，53（08）：242-246.

[8]沈溶溶.基于大数据技术的计算机网络安全态势感知方法[J].信息与电脑（理论版），2023，35（03）：71-73.

[9]苏小玉，徐奎奎.网络安全态势感知中数据融合算法应用综述[J].河北省科学院学报，2020，37（02）：37-44.

[10]郑锐.面向网络安全态势感知的多源数据融合系统设计与实现[D].南京：东南大学，2020.

[11]管延生.大数据技术在网络安全分析中的应用[J].计算机与网络，2021，47（7）：53.

[12]毛军礼，汲锡林.基于大数据的网络态势感知体系架构[J].无线电通信技术，2018，44（3）：217-223.

[13]李大玮，刘鹏，王璐.基于大数据的网络安全态势感知系统在网络安全管理中的应用[J].中国新通信， 2022，24（2）：137-138.

[14]邵伯乐.基于数据挖掘的网络安全态势感知技术研究[J].宁夏师范学院学报，2021，42（4）：80-84.

[15] 杨春节，张武，朱军.一种校园网络终端病毒预警及闭环自动化处理系统[J].网络安全技术与应用，2021（10）：90-91.

作者单位：海尔集团财务有限责任公司