郭亮亮

（山西省信息产业技术研究院有限公司，山西 太原 030012）

0 引 言

为了加强工业互联网安全监测能力，有必要通过主动监测、被动诱捕、流量分析、企业侧采集等技术手段构建一体化工业互联网业务和安全监管平台，为我国工业转型升级和工业互联网发展提供数据支撑和安全保障[1-2]。

1 平台建设目标

（1）利用主动探测技术对省内工业互联网联网设备、系统和云平台等资产进行探测扫描，清算全省工业互联网资产，绘制工业互联网资产地图，关联并排查工业互联网资产漏洞。

（2）利用被动诱捕技术，引诱针对工业互联网的网络攻击，并通过网络流量安全分析、终端攻击取证等技术对已知和未知的网络攻击威胁进行检测和分析，从而全面掌握工业互联网网络攻击行为，形成威胁情报[3-4]。

（3）利用流量监测技术采集关键网络节点的流量数据，识别工业互联网网络资产，对联网资产进行漏洞关联匹配，检测针对工业互联网云平台和企业的网络攻击行为，对网络攻击威胁源进行持续监测。

（4）利用企业侧采集技术采集企业互联网出入口的流量数据，实现资产异常行为分析和网络攻击检测。

（5）基于主动探测、被动诱捕、流量监测、企业侧采集等技术手段的分析结果，对全省工业互联网业务发展态势和网络安全态势进行综合分析，构建全省工业互联网基础资源资产库，对联网资产进行风险评估，检测针对工业互联网云平台和企业的网络攻击行为，对网络攻击威胁源进行持续监测，并提供具有态势展示、交互式分析、威胁告警、数据分析报表等功能的管理平台，支撑全省工业互联网业务主管部门的监管，满足平台企业、工业企业的安全防护需求[5]。

（6）拟建设的省级工业互联网安全态势感知平台提供接口与国家级安全态势感知平台进行数据对接及交互，以安全数据共享和监测业务协同为核心，构建以工信部、省、企业为主体的三级架构，实现工业互联网安全态势感知、预警通报、处置溯源和信息共享，形成上下联动、政企协同的监测体系。

2 平台技术路线

省级工业互联网安全态势感知平台总体技术路线如图1所示。整体技术路线围绕系统的建设目标制定相应的建设内容，简洁清晰，目标明确，主次突出。

3 平台系统架构

本项目依托省级互联网省际出入口、省级移动互联网等覆盖全省三大运营商的网络关键节点流量资源，接入工业企业和工业云平台流量，综合部署主动探测、被动诱捕、流量监测和海量异构数据挖掘分析等系统手段，建设形成省级工业互联网安全态势感知平台，实现对全省工业互联网整体发展和安全态势的综合研判[6-7]。

本项目子系统的功能结构如图2所示。

（1）工业互联网主动探测子系统。利用互联网云平台资源部署主动探测节点，集成扫描探测脚本库，通过端口探测、操作系统探测、漏洞探测等技术，对省内的工业互联网联网设备、系统和云平台等资产进行高速协同并行化探测扫描，并将扫描结果数据汇入数据综合汇聚及态势感知子系统。

（2）工业互联网被动诱捕子系统。在工业企业侧和工业互联网云平台侧部署工业互联网高交互蜜罐，通过虚实结合方法生成高仿真协议、设备、系统、平台和业务功能以引诱网络攻击；通过终端攻击取证、网络流量分析等技术对已知和未知网络攻击威胁进行捕获、检测和发现，完整记录攻击细节，分解攻击动作，从而深度解析工业互联网网络攻击行为，将情报汇入数据综合汇聚及态势感知子系统。

图1 项目整体技术路线图

图2 工业互联网安全态势感知平台子系统功能结构图

（3）网络关键节点工业互联网流量安全监测子系统。采集全省互联网省际出入口、全省移动互联网等覆盖全省三大运营商的网络关键节点流量，通过协议五元组、报文内容等特征准确识别工业互联网相关流量，对Modbus/TCP、EtherNet/IP等主流工业互联网协议进行解析还原，对Stuxnet、BlackEnergy、Mirai等工业互联网相关恶意代码进行识别与检测，对煤炭、冶金、化工等全省重点行业的“云管端”网络安全攻击事件进行大规模集中发现，监测结果和日志汇入数据综合汇聚及态势感知子系统[8-10]。

（4）企业侧工业互联网流量安全监测子系统。在全省重点企业中部署采集探针，通过设备、总线、网络和数据库等采集功能，在企业互联网出入口及重要系统内部采集流量和安全日志等数据，对设备运行参数、I/O信号、现场总线、工业协议通信、网络流量等进行汇总分析，有效发现针对工业企业的攻击行为，并将监测结果和日志汇入数据综合汇聚及态势感知子系统。

（5）工业互联网安全数据综合汇聚及态势感知子系统。搭建大数据和智能学习分析平台，汇聚上述结果，基于统计分析、机器学习和深度学习等技术，综合资产漏洞关联、数据时空关联、流量序列挖掘和行为模式分析等方法，对全省工业互联网业务发展态势和网络安全态势进行综合分析，对全省工业互联网资产和攻击源进行持续监测和画像分析，形成层次化的纵深监测防御能力，并通过界面支持交互式分析、安全态势展示、威胁告警、报表分析生成等功能，对接国家级工业互联网安全态势感知平台，支撑省工信厅和通管局等业务主管部门的监管需要，满足水利、煤炭等行业企业安全监测需求。

省级工业互联网安全态势感知平台业务模型如图3所示。

图3 省级工业互联网安全态势感知平台业务模型图

工业互联网主动探测子系统对工业互联网资产和系统进行主动探测，绘制工业互联网资产地图，关联排查联网工业互联网漏洞。工业互联网被动诱捕子系统部署在重点工业企业、工业云平台侧检测针对防护目标的已知和未知网络攻击行为；网络关键节点工业互联网流量安全监测子系统采集全省省际口、移动网等网络关键节点全部流量数据，并对工业互联网相关流量进行资产识别、漏洞匹配、异常行为检测、网络攻击检测等；企业侧工业互联网流量安全监测子系统通过在工业企业部署数据采集探针，对网络流量中存在的异常行为和网络攻击事件进行检测分析。

4 解决关键问题

（1）解决无法有效掌握省内工业互联网资产发展态势的难题。由于缺少相关工业互联网监测手段，省工信厅等行业主管部门难以全面掌握省内工业互联网的发展态势，不能有针对性地制定相应产业发展政策。平台建成后，通过多种技术手段构建全省工业互联网基础资源资产库，可以对相关工业互联网资产进行核验，对重点行业和企业的工业互联网发展态势进行直观统计分析。

（2）针对全省工业互联网的网络攻击事件实现快速全面监测。大量关键信息基础设施中的工业互联网设备和系统存在安全漏洞，并频繁遭到网络攻击，但当前难以全面监测到对省内工业互联网的网络攻击事件。平台建成后，将综合多种监测手段进行联动分析，对资产漏洞进行分析、对异常行为和网络攻击进行检测、对威胁源进行监测，并通过管理平台进行态势感知，查看和处置威胁告警，将监测结果生成分析报告，为省工信厅和通信管理局等行业主管部门提供数据支持。

（3）提高工业互联网企业抵御网络攻击的能力。当前联网工业互联网设备和系统还处在单点防护、边界防护的层次，难以抵御网络攻击。平台建成后，将为企业提供威胁情报支撑服务，构建“国家-省-企业”三级立体防护能力，并从威胁源头防御，增强企业抵挡网络攻击的能力。

5 结 语

通过省级工业互联网安全态势感知平台的建设，构建全省工业互联网业务发展和网络安全的总体态势感知体系，摸清全省工业互联网资产情况和网络安全情况，有效发现针对全省工业互联网资产的网络攻击事件，提高全省工业互联网安全事件的监测发现、威胁预警及应急处置能力。形成具备全面安全监测、威胁预警、信息通报、处置溯源、优化闭环能力及创新能力的工业互联网威胁监测与态势感知平台，构建上下联动、政企协同的安全监测技术体系，为我国深化“互联网+先进制造业”战略的顺利推进保驾护航。