工业互联网安全两大趋势六大技术

新基建背景下，工业互联网作为新一代信息技术与制造业深度融合的产物，对工业未来发展会产生革命性的影响。工业互联安全领域的投资和应用推进势必会加速，同时促生更多新趋势。

一方面，安全防护智能化将不断发展，未来对于工业互联网安全防护的思维模式将从传统的事件响应式向持续智能响应式转变，构建全面的预测、基础防护、响应和恢复能力，以抵御不断演变的高级威胁。

另一方面，工业互联网平台安全在工业互联网安全防护中的地位日益凸显。工业互联网平台作为工业互联网发展的核心，汇聚了各类工业资源。因而在工业互联网安全防护未来的发展过程中，对于平台的安全防护将备受重视。

同时，随着工控协议深度解析、工业主机白名单、工业资产深度识别、基于模糊测试的工控漏洞挖掘、网络隔离等传统技术在工业互联网的广泛应用，工业互联网安全的加速还将为新一代安全技术带来旷阔的发展空间。

威胁情报

当下网络安全风险不断向工业领域转移，工业互联网正在成为网络安全的主战场。传统被动式的防御手段以及针对单点的攻击取证与溯源技术难以应对高级持续性威胁（APT）、新型高危漏洞等复杂安全威胁。未来，威胁情报的作用将进一步被放大。

 在攻击分析与溯源方面，结合关联威胁情报，可以对攻击方进行组织画像和溯源，利用威胁情报构建攻击知识库，能够实现对APT攻击的智能化攻击意图推理及样本变种自动化跟踪。在信息共享和事件应急场景下，根据威胁情报反映的工业互联网安全态势，有助于预判后续可能的安全风险，使得响应网络威胁的速度更快。

安全编排

安全编排也是近年兴起的新技术，之前在SOC平台进行应急响应都是人为驱动，效率低且不够智能，而减少响应时间是控制安全事件影响的最有效方法之一。安全编排就是在应急剧本编制后，通过自动化手段触发、启动应急预案的一套技术，偏重于安全分析师所做的工作，可提高整体效率。

攻防演练

数字孪生又叫数字双胞胎（Digital Twin），简单来说就是在一个设备或系统的基础上创造一个数字版的“克隆体”，本体的实时状态和外界环境条件都会复现到“孪生体”身上。

 现在很多攻防演练过程中只能展现部分效果，无法覆盖全流程。利用数字孪生技术就可以搭建较为完整的业务流程。例如攻防过程中导致设备宕机，或者因恶意攻击导致系统爆炸，都可以通过数字孪生技术模拟出来。基于数字孪生的能力还可以开展业务得生命周期预测、系统的健壮性测试等等。

基因图谱和沙箱技术

过去，监测能力普遍集中在通过基于安全基线的异常监测、基于特征库的入侵检测和病毒检测来解决已知威胁，而通过基于基因图谱、沙箱的监测完成未知威胁的识别则是未来的发展趋势。

 基于基因图谱的入侵防范技术，是通过结合机器学习深度学习、图像分析技术，将恶意代码映射为灰度图像，建立卷积神经元网络CNN深度学习模型，利用恶意代码家族灰度图像集合训练卷积神经元网络，并建立检测模型，利用检测模型对恶意代码及其变种进行家族检测。

 沙箱技术的实践运用流程是让疑似病毒文件的可疑行为在虚拟的沙箱里充分表演，沙箱会记下它的每一个动作。当疑似病毒充分暴露了其病毒属性后，沙箱就会执行“回滚”机制，将病毒的痕迹和动作抹去，恢复系统到正常状态。目前，基于沙箱的入侵防范技术的优点是对于文件的零日漏洞攻击和APT攻击的检测效果较好。

知识图谱

知识图谱是人工智能的一种方式，简单理解就是一种多关系图，也是一个知识库，能够梳理出人、资产、业务之间的关系，用一个经过梳理、有逻辑关联性的知识库来训练算法，让算法更加精准。几年前，微软在Azure云上就已经引入了知识图谱进行安全检测防护，实践证明效果很显著。

 

凭借对工业互联网安全传统技术的掌握及新兴技术的迭代与应用，从三个维度实现对安全威胁的感知。

横向感知：结合ICS资产探测、人工智能、攻防研究，全面探测工控企业内网资产暴露在互联网的互联网资产，感知内外网攻击横向渗透行为。

纵向感知：通过模拟信号监测和无线信号监测，从IT系统到OT系统总线感知，监测由于信息安全导致的生产安全问题。

交叉感知：通过外网威胁情报和海量安全大数据交叉分析，可快速溯源，定位威胁。

 

http://www.qishantech.com/channel/solution/341.html 齐衫科技

工业互联网安全解决方案

客户需求分析

随着信息化和工业化融合的不断深入，整个制造业都在发生变化。对提高灵活性和灵活性的需求创造了工业4.0，也就是工业互联网。在工业4.0时代，从装配线机器到运输卡车等，都通过工业互联网进行相互相连。将物理和虚拟世界融合到网络物理系统的全球网络中，正在彻底改变生产控制。虽然会带来以更低的成本和更高的效率，但也会增加风险，从网络间谍活动，盗窃知识产权，到利用蠕虫来破坏工业工厂的控制等。这让整一个工业4.0时代面临着全新挑战：

◆　1、工业控制网络漏洞

工业控制网络的设备分布于厂区各处，甚至是野外，由于网络基础设施的局限性，经常需要无线网络、卫星、GPRS/CDMA等通用传输手段来实现与调度中心的连接和数据交换。这些传输手段没有足够的安全保护和加密措施，很容易出现网络窃听、数据劫持、第三人攻击等安全问题，而且攻击者还可以利用不安全传输方式作为攻击工业控制网络的入口，实现对于整个工业控制网络的渗透和控制。

◆　2、来自外部网络的渗透

工业互联网会有较多的开放服务，攻击者可以通过扫描发现开放服务，并利用开放服务中的漏洞和缺陷登录到网络服务器获取企业关键资料，同进还可以利用办公网络作为跳板，逐步渗透到控制网络中。通过对于办公网络和控制网络一系列的渗透和攻击，最终获取企业重要的生产资料、关键配方，严重的是随意更改控制仪表的开关状态，恶意修改其控制量，造成重大的生产事故。

◆　3、恶意软件攻击

生产网络中大量上位机操作系统老旧，系统补丁，病毒库长期不更新，缺乏恶意程序防护措施，难以防范恶意软件攻击。

齐杉科技工业互联网安全解决方案

结构拓扑

齐杉科技Cedar ICS是面向混合架构的跨平台工控安全防护系统，部署于工控网络中，自动学习内部流量和细粒度的安全管理策略，帮助用户快速便捷的对东西流量进行端到端隔离。智能分析工控网络中的操作是否符合定义的操作要求，若发现有违规操作，将及时进行报警。产品基于完全自主开发的一套自适应安全架构，无需安装客户端，通过网络连接的方式自学习，做到与底层架构无关。

■微隔离技术

自动识别企业信息资产及其相关信息，把普通区域、重点区域等各种逻辑网络进行隔离，避免了不安全因素的扩散。通过拓扑图展现服务器业务类型与访问关系，通过业务拓扑能细粒度控制每台主机与外部及业务内部网络间的网络通信，有效防止攻击者入侵内部业务网络后的东西向流量，同时可自定义基于角色的访问控制策略，快速配置海量服务器的访问规则。

■全息诱惑

对攻击者进行诱惑欺骗，在内网中生成大量的内网虚拟陷阱主机，诱使攻击者对它们实施攻击，从而对攻击行为进行捕获和分析，了解攻击者所使用的工具与方法，推测攻击意图和动机，能够清晰地了解用户所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

■访问控制策略

通过配置策略，针对IP级别的访问控制策略，使用户能够安全访问网络的强身份验证，对不允许访问的用户进行隔断，降低勒索病毒、内网渗透测试造成的内网风险。

■可视化管理

数据中心内部流量的可视化管理，提供一种技术能力对东西向流量进行清晰的展现和梳理。

■自学习能力

通过对网络中的流量进行AI自学习，构建出内部网络的拓扑图，并配置安全策略文件后下发。数据中心内部流量（东西向流量）的可视化管理是现代数据中心管理最为迫切的需求之一。由于当代数据中心普遍具有计算节点众多，内部流量复杂的特点，使得东西向流量很难被准确的理解，进而也就无法被有效的管理甚至优化，因此，迫切需要提供一种技术能力对东西向流量进行清晰的展现和梳理。

■内网实时监控

通过对内网中网络流量，包转发速率，主机数量以及端口数量进行实时监控，内网安全情况尽在掌控中。

■白名单

通过预先配置对工控网络进行范围设定，使特定IP地址不受到访问控制限制，构建工控网络正常通信的白名单，做到只有可信的设备才可以接入网络，只有可信的流量才可以进行传输。

 

工业互联网安全研究笔记    https://www.freebuf.com/articles/ics-articles/231508.html 

工业互联网平台核心技术之六：安全技术 https://blog.csdn.net/iot_research/article/details/83717865

分析入侵检测技术

 为了保障工业互联网安全，需要重视入侵检测技术的重要性。入侵检测系统可以根据用户当前的实际操作，为数据信息恢复提供可靠的依据。在实际应用中，入侵检测技术主要包括模型推理、专家系统、神经网络技术等技术[5]。专家系统的主要工作职责是全面分析可疑行为，使其逐渐形成完善的推理规则和分析体系，从而科学判断系统是否被攻击，以及被攻击后所产生的负面影响。神经网络技术的作用原理在于，将已经遭受入侵攻击或正常运行状态下的数据信息作为模型构建基础，利用多层感知器神经网络分类器对其进行科学分析，从而判断系统目前是否遭受攻击。模型推理技术是将攻击者进行系统攻击时所采用的行为程序作为模型基础，以此来构建完善的行为特征模式。该模型具备攻击过程中的行为特征，能够检测出攻击者的主要企图。可以将模型推理技术应用到某些行为模型中，从而提高系统监视效率。合理应用检测入侵技术，可以提升系统的安全防范水平。并且根据系统合理选择入侵检测方式，能够及时发现系统运行问题，加快问题的检修效率[6]。

[6]李鸿培，李强 . 工业互联网的安全研究与实践 [C]. 中国互联网协会 . 第四届中国互联网安全大会论文集 .2016:213-228.

三、工业互联网信息安全主要技术

工业互联网信息安全技术主要有工业防火墙技术、入侵检测技术以及基于特征选择方法、图像感知哈希特征体征提取方法、实验数据集等的新型入侵检测技术等。

（一）工业防火墙技术是在原 IT 防火墙访问控制功能基础上的加强版，能够对现场网络通讯协议进行剖析，限制非法访问。

（二）入侵检测技术及其主要技术应用现阶段可以大规模应用于工业互联网领域的入侵检测技术主要包括机器学习、数据挖掘等检测方法，并且新方法新技术更新较快。

（三）新型入侵检测技术的主要技术第一，特征选择技术。特征选择技术是针对当前维度高的数据信息采用特征选择的方法进行数据集分析进而达到整体数据集降维，约简属性集合，进而提高入侵检测效率。第二，图像感知哈希特征提取技术。图像感知哈希特征提取技术简单来说是以图像分析方法的网络入侵检测技术。现有的图像感知哈希方法主要包括离散小波变换、局部二值模式、SVD、DCT、NMF 等方法。第三，实验数据集研究方法。实验数据集研究方法是工业互联网入侵检测技术在研究领域的基本研究方法，是从理论走向现实生活的必经途径。

 

 ————————————————————————-

 截止目前，研究学者们先后把机器学习、数据挖掘等成熟网络入侵检测技术应用到工业互联网入侵检测中来，并不断推陈出新。机器学习方法在工业互联网入侵检测中的应用包括：人工免疫、人工神经网络、支持向量机、贝叶斯网络、K-means 聚类、关联规则学习、决策树等方法。机器学习从学习形式上可以分为监督学习、半监督学习和非监督学习。基于机器学习的工业互联网入侵检测方法采用标记的数据进行训练，训练得到入侵检测规则集，并建立入侵检测模型。属于监督学习算法的一种。 入侵检测方法分类标准很多。从检测对象的角度，入侵检测技术可以划分为异常检测和误用检测两种；从数据源角度，可以划分为基于主机和基于网络的入侵检测技术。而本文中我们选取方法原理作为入侵检测方法的划分标准，将现有网络入侵检测技术根据技术原理划分为 4 类，如图 1.1 所示。

 1.基于分类的入侵检测方法

基于分类的入侵检测技术依赖于专家对已知攻击特征的先验知识，研究学者对攻击特征把握的准确程度，直接影响对攻击的检测效果。基于分类的入侵检测方法属于机器学习中监督型学习算法。该类方法根据正常流量数据建立知识库，偏离知识库的流量数据就被视为异常流量。为了防止 IDS 对正常行为的误判，就需要不断构建完善的正常行为模式和不断更新实验数据库。该类方法针对已知攻击检测效率高。但过于依赖先验知识，对未知攻击的检测效率低，而且方法的训练更耗时。

1）基于神经网络的入侵检测 神经网络算法[95]具有自适应、自学习、自组织、较好的容错性以及能够进行大规模并行计算和非线性映射等优点，非常适用于攻击方式多样化的网络入侵检测环境。神经网络包含输入层、隐藏层和输出层三层，其中隐藏层可以是多层，从而增加网络输出数据判断的准确性。神经网络的训练需要历史数据和时间条件。成熟的神经网络，通过计算输入变量和输出变量的变化程度来表示事件的异常程度。人工神经网络[26,90]、广义神经网络[27]、回溯神经网络[28]、随机权重神经网络[91]和加速深度神经网络[92]等都在入侵检测中应用。

2）基于贝叶斯网络的入侵检测 贝叶斯网络可以有效的对不确定域进行建模。使用有向无环图（ Directed Acyclic Graph，DAG）表示离散随机变量，采用条件概率表（Conditional Probability Table，CPT）表示离散随机变量的节点成为异常点的概率。异常检测系统中，通过构建事件概率模型，给出事件正常或异常的概率，把事件概率模型的结果、附加信息和历史数据作为分类系统的输入，从而决定数据记录是否异常。贝叶斯网络分类器[29]、贝叶斯网络[94]也可用于工业互联网入侵检测。

3）基于支持向量机的入侵检测 支持向量机（Support Vector Machine，SVM）的基本原则就是构造一个超平面，最大化 A 类和 B 类之间的分离裕度。把 A、B 类分别视为正常数据类和异常数据类。标准的 SVM 方法是监督学习算法，需要标识数据的类，训练分类规则。现在已经发展为监督和非监督两种学习模式，分类方法也发展为单分类[30]和多分类[31]两种。SVM 方法能够在有限样本下获得最优解，但传统 SVM 入侵检测方法，核函数和特征选择都采用先验知识，普遍存在准确度不高和效率低的问题。可以选用遗传算法、人工免疫算法、信息熵、主成分分析和时变混沌粒子优化[93]等方法优化 SVM 参数，提升入侵检测算法的性能。

4）基于规则集的入侵检测 基于规则集的入侵检测方法是一种监督学习算法，通过对系统单标签或多标签正常行为数据的学习，产生基于正常行为模式规则集的分类器，实现对系统中异常行为检测。可以采用规则学习算法和深度报文检测方法[32]等方法提取规则集。 

 2.  基于聚类的入侵检测方法

基于聚类的入侵检测算法是一种无监督机器学习学习算法，分为常规聚类和协同聚类两种。协同聚类[33]同时对数据开展行和列的聚类，创建新的数据特征，降低数据维度。通过对网络正常数据进行建模，提取唯一标识属性集合，不满足正常类特征或距离正常类中心距离超过阈值范围的数据都视为异常数据。常见的聚类算法有 K 均值聚类算法[34,35]、K 中心聚类算法、模糊 C 均值聚类算法[36]等。

3.  基于数理统计的入侵检测方法

基于统计理论的入侵检测系统[37]，系统采用了主成分分析方法、线性判别分析和马尔科夫模型等统计理论的方法对恶意入侵行为进行检测。

1）基于模型 通过对网络中的正常行为数据和异常行为数据分析建模，并采取不同的方式不断更新模型的规则库，保持对未知入侵攻击的检测性能。可以结合 K 均值聚类算法、模糊集理论构建混合入侵检测方法。

2）主成分分析 主成分分析法（Principal Component Analysis，PCA）[38]适合处理复杂的网络流量数据。可以在保持重要信息的同时，对网络流量数据完成降维操作，且方法的计算要求低。网络流量数据中正常行为占主要部分，构建网络入侵预测模型，利用主成分空间距离表示正常行为和异常行为的区别。可以结合神经网络、熵和小波分析等方法构建混合入侵检测方法。 

 4.  基于信息论的入侵检测方法

基于信息论的入侵检测方法中把信息熵[39]、信息增益和互信息等概念用于网络流量数据特征的描述，可以更好的刻画正常和异常流量数据。

1）相关性分析 通过信息论的方法对网络流量数据属性的相关性和记录间的相关性进行分析，找到正常行为和异常行为数据的相关性特征，并构建相关性规则集合。相关性分析方法包括线性相关性分析[40]、非线性相关性分析[41]和多元相关性分析[42,65]等。

 

2.2  入侵检测技术

2.2.1  入侵检测基本概念

异常检测的思想最早是由美国 Dorothy  Denning 在 1978 年提出的。1980 年， Anderson 给出入侵检测定义：未经授权蓄意尝试访问信息、篡改信息、使系统不可靠或不可用的恶意行为。

2.2.2  

 

 

————————————————–

入侵检测技术是入侵检测系统(Intrusion Detection System, IDS)对网络内部攻击、外部攻击和内部误操作进行实时监控与检测的关键技术。入侵检测系统一般部署在本地计算机或者计算机网络的关键节点处，在不影响网络环境正常运行且无需人为干预的情况下，对用户、系统、网络及数据的活动状态进行收集、监测、分析和排查。入侵检测技术建立在入侵行为明显区别于正常访问的假设[3]之上，通过执行对异常行为的统计分析、数据文件完整性评估等任务，识别存在违反安全策略的异常行为并及时做出应急响应，从而为计算机安全提供实时保护。入侵检测系统的监测对象和作用范围如图 1-1 所示。 

 然而，随着互联网访问数据和操作日志数量的爆炸式增长，处理网络访问数据面临着更多的“大数据”[4,5]挑战：如何高效地检测海量(Volume)、高速(Velocity)、多样性(Variety)的网络数据并从中发现入侵活动，是入侵检测技术需要解决的关键问题之一。传统入侵检测方式依靠人工完成对入侵行为和正常行为的信息提取和检测规则建立，已经难以适应当前复杂庞大的网络环境。因此，传统入侵检测技术的局限性促使人们不断寻找新的检测方法，而近年来蓬勃发展的数据挖掘技术给人们带来了新的思路。数据挖掘技术[6]是指从数据库中发现有利于决策的有效知识的过程，该技术适合从大量历史数据中提取行为特征以帮助决策。因此，将数据挖掘技术引入到入侵检测领域，从大量互联网访问数据或操作日志中发现潜在的攻击模式和安全模式，是解决当前入侵检测所面临的“大数据”挑战的有效手段。 

 ——————————————-

一、工业互联网的安全防护对策

1.1 建立检测和响应机制

工业互联网发展期间，极易受到不法分子或黑客攻击，因此必须积极应对攻击，采用攻击检测机制，对各方攻击进行监测。建立和完善应急响应机制，遭受攻击后必须迅速作出响应，采取科学方式抵御攻击，以此降低恶意攻击所致损害影响。

首先，通过多种检测模型建立异常检测机制，以此补充防火墙保护机制。利用异常代码检测、入侵检测和病毒查杀等方式，对各类潜在攻击行为进行监测。通过模型入侵检测法、非参数累积检测法、差分自回归移动平均模型法、场景指纹异常检测法，可以准确预测攻击事件和不法入侵，尽早准备好安全防护措施。其次，注重建立快速攻击响应机制，对于工业互联网入侵事件，在较短时间内做出响应动作。攻击响应机制必须迅速分类入侵事件，同时按照不同入侵事件启动不同响应动作，采取对应的应急响应策略，在最短时间内恢复系统运行。

1.2 合理应用先进的互联网安全防护办法

尽管互联网和工业互联网在安全防护方面存在差异，然而二者也具备关联性和相似性。通过比较分析可知，互联网安全防护发展速度快，出现大量现代化先进的安全防护方法，以此保障互联网安全。各类防护方法必须经过转换之后，才可以应用到工业互联网防护中，以此减少工业互联网安全隐患。比如，企业内网和互联网开始广泛应用态势感知技术，同时提出科学的解决方案，建立态势感知与未知威胁发现平台。通过应用上述技术，有助于提升互联网安全防护水平。所以，工业互联网安全防护可以应用态势感知技术，不仅可以处理工业网络应用与协议多样性问题，还可以充分发挥出互联网态势感知技术的作用，准确评估工业互联网安全状态，同时对工业互联网安全变化趋势进行预测，通过可视化方式呈现，能够为工业互联网提供高效的安全防护措施，积极应对安全挑战。

 为了确保工业互联网运行安全性，必须深入研究安全防护技术，掌握工业互联网产品组件存在的安全隐患，注重探究控制设备与传感器软件的安全问题，加大实践探索力度。确保测试合格后制定测试标准，并且派遣专业人员评估系统安全。当发现异常问题时，必须做好调整整改，高度重视互联网攻防演练，以此加强应急处理能力。由于技术人员能力水平也会影响工业互联网安全，管理人员安全意识薄弱、技术能力不足。已经成为工业互联网面临的重大安全问题。企业必须注重技术人员安全知识与技能水平培训，加大考核力度，只有确保考核合格人员才可上岗工作。企业还应当提升人员招聘标准，重点招聘技术人员，以此维护工业互联网安全。

 1.3 采用整体防御的策略

由于工业互联网具备开放性特点，因此网络攻击源于各层面和各环节，无法针对某个特殊点进行防护，因此必须建立整体防御机制，以此减少攻击行为与入侵事件。第一，采用持续响应措施。建立相应措施时，首先应当满足应急响应需求。当工业互联网遭到破坏影响时，应当满足持续监测与修复要求，建立联合防御与多点防御，以此满足响应需求。第二，基于数据实行整体防御。建立安全数据仓库，结合云端威胁情报，以此检测和防御已知威胁、高级威胁与各类型攻击，同时可实现过程回溯。第三，组建安全防护团队。成立安全运维中心，优化组织流程，充实人员结构，全面落实工业互联网安全防护职责。

例如，在应用整体防御策略时，可以建立自适应防护架构，为工业互联网用户解决各类安全问题。系统组成包括六个过程闭环，技术人员需要参与到全过程中。第一，信息感知。在工业互联网中，信息感知属于重要内容，能够对工业现场的温度物理量、摩擦力物理量与压力，物理量实行数字化感知和存储，确保工业现场分析和预防异常情况时，能够参考准确数据。第二，数据汇集。主要是汇集分布式数控、数控系统、系统运行期间产生的信息。该过程并非单一采集数据，而是实践全生命周期信息数据的同步化收集、管理与存储，为后续工作提供参考依据。对于网络层来说，可以有效监听和存储全网流量，为工业互联网建立安全数据仓库。第三，转化分析。该环节主要是提取和筛选数据特征，可以将数据转化为信息，以此提升信息安全性。信息涉及到内容与情境，内容主要是工业互联网中的设备信号处理结果、监测传输特性与健康情况。情境主要是设备运行状态、人员操作信息、维护管控记录与生产任务目标，可以分析计算单个设备与网络数据。第四，网络融合。关联融合工业互联网中的设备集群与跨域运维，结合环境、操作与机理等内容，通过大数据技术分析横向数据，借助群体经验预测设备运行安全性，确保实体网络与虚拟网络的相互映射，合理应用综合模型。此外，联合历史情况分析网络异常状态。第五，认知预测。技术人员在网络层能够认知工业互联网背景与异常问题，以此确保机械安全，通过大数据可视化平台找寻安全隐患。第六，相应决策。按照认知结果，准确识别和确认事件，启动相关策略，隔离搜索系统或异常账户。

 ——————————————————

3.2　工业网络入侵检测

工业控制系统属于生产运行系统，其现场控制层具有较高的实时性和可用性需求，因此需要动态信息安全防护结构。工业互联网安全态势感知平台内置工业网络入侵检测模块，针对采集数据进行入侵检测分析，并及时告警。入侵反应根据实时入侵检测所感知的系统攻击警报和异常警报，评估系统安全态势，及时的做出并实施最优安全策略，以缓解入侵攻击的影响。

入侵反应包括安全策略决策和策略执行两个部分。前者根据检测的警报，综合工业控制系统的多方面约束和目标，制定最优安全策略；后者协调制定的信息安全策略和可能的功能安全策略，并制定具体的实施方案。在安全策略决策过程，评估入侵攻击的危害性对于制定最优策略具有重要参考。如果系统的入侵反应成本超过信息攻击所造成的损失，则要慎重考虑是否需要采取反应措施，以防出现过度反应。

 ——————————————————-

1 工业互联网内涵

工业互联网指的是在智能化需求的驱动之下的关键网络基础设施,以延时性低、可靠性高、覆盖性广泛为基本特征,在前沿信息通信技术、先进制造业有机融合之后所形成的新兴业态[3]。工业互联网对于传统工业造成巨大冲击,扭转了传统工作的生产理念与管理机制,在技术、业态、产业以及服务等多个层面均实现了巨大的技术突破与创新,顺应了数字经济的发展趋势,是国家现代工业化转型的基石。工业互联网由平台、网络以及安全三个体系所构成,其中,网络属于基础条件,利用互联网将工业系统、产业链条以及价值链条相连接到一起;平台占据核心位置,是实现工业智能的载体,肩负着数据储存、建模、工作标准化与模块化等方面的重任;安全起到保障作用,在安全技术、安全管理的支持下,识别威胁网络与平台安全的潜在风险因素[4]。工业互联网网络是基础,平台是核心,安全是保障。安全体系在工业互联网体系中占据着不可缺少的位置,如果缺乏安全体系所提供的保障,平台将暴露于风险之中,工业互联网也就无法继续运行。

[1] 张尼,刘廉如,田志宏,等.工业互联网安全进展与趋势[J].广州大学学报(自然科学版),2019(3):68-76.

[2] 门嘉平.工业互联网安全态势感知平台的搭建策略[J].网络安全技术与应用,2020(5):113-114.

[3] 南京中新赛克科技有限责任公司.工业互联网安全监测与态势感知解决方案[J].自动化博览,2020(2):28-31.

[4] 傅扬.国内外工业互联网安全态势和风险分析[J].信息安全研究,2019(8):728-733.

2 工业互联网安全态势分析

2.1 物理环节的漏洞暴露明显

工业互联网安全暴露出的某些安全问题可能会阻碍整个工业互联网的稳定发展,威胁到工业行业企业内的安全和利益,其中在物理环节内的漏洞暴露问题尤为明显。传统的工业生产链条内形成了具有闭环特点的生产网络,整个生产过程都是置于监控、安保、门禁等防护措施之下,而工业互联网的出现则彻底改变了以往的格局,创造了全新的生产链条,传统的监控设备、控制系统等物理环节纷纷接入互联网,进入到互联网的开放环境之中。处于这样的情况下,物理环节中原本存在的安全硬件弱点、安全管理漏洞将毫无保留地公开在互联网环境之中,物理环节下的安全防护无法持续发挥安全保障作用,但同时基于工业互联网的全新安全管理体系却没有及时就位,因此对潜在风险不能及时察觉,感知风险的速度严重滞后。

2.2 设备后门安全隐患严重

工业互联网安全态势中的问题表现在,行业内的设备后门安全隐患严重。受技术水平有限的客观条件限制,当前我国工业互联网建设中的很多关键设备仍然要依赖于进口,包括传感器、MCU等,而这些来自于进口厂商的设备可信赖性有待商榷,很多厂商以品质维护或其他因素为理由,在产品中安装后门,因此在使用过程中,这些设备后门便成为薄弱环节。根据国家信息安全漏洞共享平台调查结果显示,截止到2019年底,包括施耐德电、通用电气、研华科技、罗克韦尔在内的我国工业控制系统主要供应商,均有产品信息安全漏洞的披露记录,这表明工业互联网所依赖的工业控制系统或其他设备,都不能排除信息泄露的安全风险。设备安全后门为不法分子提供了可乘之机,成为不法分子偷窃机密数据的窗口,而对于设备使用者本身而言,无疑是一个高风险,但是却未能及时发现和感知风险,对风险的预知和判断不足。

2.3 工业信息安全技术水平偏低

现阶段的工业信息安全技术防护水平普遍偏低。由于我国在工业互联网方面的建设时间尚短,发展时间不长,因此在工业信息安全管理中所掌握的技术水平相对较低,安全管理的技术方法与手段不够成熟。受发展时间不足的先天条件限制,当前我国在工业互联网安全管理方面的整体发展速度比较滞后,网络及信息安全管理缺失是一个比较普遍的现象,具体表现在工业信息的安全管理方法比较传统和保守,仍然沿用传统的安全管理技术手段,没有根据当前的实际情况引入全新的安全技术体系,缺乏强劲的安全信息管理基础,对风险的感知和响应速度迟缓。同时,很大一部分工业企业尚且未能认识到工业互联网建设进程中信息安全管理的必要性及其价值,没有体现出对信息安全管理的足够重视,工业信息安全技术的水平也无从提高。

3 工业互联网安全态势防护对策

3.1 加快安全保障体系建设进程

基于现阶段我国工业互联网安全态势防护方面所产生的种种问题,加快对安全保障体系的建设进程已然成为当务之急。随着工业互联网建设的全面推进,工业企业必须要紧跟发展步伐,及时完成网络态势防护的转型、升级工作,加快对安全态势系统的建设过程,搭建全面的安全技术保障、技术支持以及信息安全防护机制。在此过程中必须要充分认识到,处于互联网开放环境之中遭受到恶意攻击是无法彻底规避的,从企业的角度来看,只能积极迎接挑战,面对来自互联网的恶意攻击,要及时察觉和发现,尽快做出相应和有效的抵御,从而降低风险系数。此外,工业互联网安全态势防护需要对工业网络入侵加以检测,在平台内设置工业互联网入侵检测模块,结合数据采集与分析的基础上,对可能产生安全威胁的入侵提出警告,并给出安全策略;随后,对工业互联网安全的重大漏洞僵木蠕展开安全态势感知,经过识别、追踪溯源的过程,发现并定位命令控制服务器,对受控制主机进行反查,以此达到感知僵木蠕安全态势的目标。例如,引入多元化的检测模型,创建异常检测体系;定期补充、升级防火墙;及时更新病毒查杀及异常入侵的检测软件等;建立紧急突发事件的相应制度,在工业互联网遭受非法入侵后及时启动,尽可能将非法入侵所造成的破坏缩减到最低,减少损失。

3.2 构建联动机制,实施整体防御

针对目前我国在工业互联网安全态势防护中所面临的困境,应当构建联动机制,实施整体防御。工业互联网安全态势防护工作需要多方的共同参与,包括政府主管部门、工业企业、工业互联网供应商、系统服务商、网络安全服务商等均在此范围之中,只有在多方的共同配合,才能够为工业互联网安全态势防护工作的有序开展奠定扎实基础。因此,上述与工业互联网相关的部门、单位应当建立起彼此相联系的联通机制,形成整体防御的完整链条,提高对安全态势的相应速度。同时,创建工业互联网之下的风险信息共享平台,专门面向工业互联网安全态势提供服务,设置信息上传、信息发布、信息共享等功能,为安全态势的感知及安全风险的预测提供大数据支撑,将工业企业从信息孤岛之中拯救出来。例如,基于运营商核心路由器的规则过滤,对工业专线流量加以选择,以镜像方式将流量与工业互联网探针相连接,利用工业互联网探针为工业协议的解析和设备指纹的提取提供支持等,同时生成全息日志,从而对实现全程的监测。

3.3 提升安全防护的技术能力

为解决现存问题,在工业互联网安全态势防护中,应当要提高安全防护方法与技术手段实践应用的水平与成熟度。工业互联网从互联网之中衍生而来,因此,尽管两者对于安全防护的需求并不完全一致,但必然也存在一些共通之处,这代表着工业互联网在探索自身安全防护技术方法时,可以适当的借鉴引用互联网的成功经验,学习互联网在安全防护领域内的成功案例,为工业互联网安全方法技术与方法的提高寻找可能的路径。例如,通过网络审计技术的提升,及时发现异常流量的潜在威胁,第一时间展开对病毒等恶意软件的感知与防护;对于网络边界模糊的问题,采取终端违规接入的控制措施;加快在模型入侵检测技术、ICS场景指纹异常检测技术、模型入侵检测技术等方面的技术研发力度。基于安全防护方法和技术水平的提升,工业互联网安全态势防护工作的整体实力才有可能加强并不断进步。例如,工业控制系统漏洞扫描的完善中,主要是负责系统漏洞的扫描以及配置的检查,如FTP服务、TELNET服务、邮件服务等均在此范畴之内,对Oracle、MSsql、Mysql主流数据库也可实现漏洞扫描,通过扫描的过程及时发现并排查风险。

四、工业互联网信息安全主要技术

工业互联网信息安全技术主要有工业防火墙技术、入侵检测技术以及基于特征选择方法、图像感知哈希特征体征提取方法、实验数据集等的新型入侵检测技术等。

（一）工业防火墙技术工业防火墙技术是在原 IT 防火墙访问控制功能基础上的加强版，能够对现场网络通讯协议进行剖析，限制非法访问。

（二）入侵检测技术及其主要技术应用现阶段可以大规模应用于工业互联网领域的入侵检测技术主要包括机器学习、数据挖掘等检测方法，并且新方法新技术更新较快。

（三）新型入侵检测技术的主要技术

第一，特征选择技术。特征选择技术是针对当前维度高的数据信息采用特征选择的方法进行数据集分析进而达到整体数据集降维，约简属性集合，进而提高入侵检测效率。

第二，图像感知哈希特征提取技术。图像感知哈希特征提取技术简单来说是以图像分析方法的网络入侵检测技术。现有的图像感知哈希方法主要包括离散小波变换、局部二值模式、SVD、DCT、NMF 等方法。

第三，实验数据集研究方法。实验数据集研究方法是工业互联网入侵检测技术在研究领域的基本研究方法，是从理论走向现实生活的必经途径。

4.1 基于数据挖掘的网络入侵检测

数据挖掘技术[6]是指从数据库中发现有利于决策的有效知识的过程，该技术适合从大量历史数据中提取行为特征以帮助决策。因此，将数据挖掘技术引入到入侵检测领域，从大量互联网访问数据或操作日志中发现潜在的攻击模式和安全模式，是解决当前入侵检测所面临的“大数据”挑战的有效手段。

1999 年，Wenke Lee 等人首次提出将数据挖掘技术应用于入侵检测[16]，早期基于数据挖掘技术的入侵检测系统结构如图 1-3 所示。

 

 

　　 Wenke Lee 提出的该入侵检测结构的主要思想是，在恶意入侵攻击机制未知的情况下，将入侵检测看作是一种数据分析与处理过程。在该模型中，分析对象是大量经过预处理的主机审计记录和网络流量数据，分析手段是对正常访问记录和各类恶意入侵记录提取频繁项集建立关联规则，并用分类算法实现检测，较大地提高了入侵检测系统的准确性和可扩展性。此外，Wenke Lee 等人认为对于入侵检测较为有效的数据挖掘算法包括分类、关联分析和序列分析等，并且数据预处理也对入侵检测性能影响很大。 　　

　　将数据挖掘技术结合到入侵检测领域的研究，目前主要涉及到基于数据挖掘的入侵检测模型、数据预处理方法和基于数据挖掘的入侵检测方法等方面内容[17]。图 1-4 展示了当前基于数据挖掘方法的入侵检测技术的主要研究方向。

 

[6]  I. Bose, R. K. Mahapatra. Business data mining —a machine learning perspective[J]. Information Management, 2001, 39(3): 211-225 

[16] W.  Lee,  S. J.  Stolfo,  K. W.  Mok. A data  mining  framework  for  building  intrusion  detection models[C]. Proceedings of the 1999 IEEE Symposium on Security and Privacy, Oakland, 1999, 120-132 

[17] 郭春.  基于数据挖掘的网络入侵检测关键技术研究[D].  北京：北京邮电大学, 2014, 5-7 

 

 4.2 基于机器学习的网络入侵检测

4.2.1特征选择

在基于机器学习的工业互联网入侵检测中，由于实验数据维度高导致入侵检测方法实时性不强，因此采用特征选择方法对实验数据集进行降维，约简属性集合，提高入侵检测效率[69]。

文献[73]介绍一种基于机器学习原理的两层网络入侵检测模型，主要采用朴素贝叶斯方法、K 最近邻方法构建入侵检测分类器，采用线性判别分析方法（Linear Discriminant  Analysis，LDA）进行特征选择；文献[74]通过数据预处理和机器学习算法构建入侵检测分类器，采用快速相关滤波（Fast Correlation Based Filter，FCBF）方法进行特征选择；文献[75]中研究特征选择算法和基于 SVM 的入侵检测方法；通过滤波器移除冗余和不相关的属性，构造重要属性特征集合；文献[76]采用过滤器特征选择算法构建入侵检测系统，采用互信息算法选取重要属性特征集合；文献[77]采用集成多过滤器特征选择方法，搭建云平台下的入侵检测模型；采用四种特征选择算法选择 NSL-KDD 数据集中的重要特征；文献[78]提出一种基于增强型关系特征选择方法的入侵检测系统；采用基于关系的特征选择方法引入关系特征选择矩阵和对称非确定矩阵，研究属性间以及属性与类型间关系；并采用不同分类算法对约简后特征集合进行验证；文献[79]集成 SVM 分类器和非线性预测技术实现网络异常分类和检测；采用线性和非线性数据降维方法选取具有区分性的特征集合。

4.2.2 基于机器学习的入侵检测模型

公共入侵检测模型（Common Intrusion Detection Framework, CIDF）[25]是研究入侵检测技术通用的标准模型，包含事件数据库、事件产生器、分析器和响应模块四部分。根据对 CIDF 模型分析，本文提出基于机器学习的工业互联网入侵检测模型，如图 2.2 所示。其中，规则集为事件数据库，异常入侵为响应模块。

 首先，对实验数据集进行数值化、归一化等数据预处理操作。在特征选择部分，采用基于统计理论和信息理论的粗糙集、决策粗糙集、信息熵和互信息等机器学习方法，选择实验数据的重要特征集合，降低属性个数，为基于机器学习的入侵检测方法提供高质量的特征集合，优化机器学习入侵检测算法检测性能和效率。该部分构成事件产生器模块。然后，采用机器学习的方法构建入侵检测模型，通过自身不断学习和检测器的动态反馈，不断优化入侵检测性能。将机器学习方法应用到工业互联网入侵检测中来，使得 IDS 更加的智能化和高效化，提高了入侵检测的效率和性能。该部分构成事件分析器模块。 

4.2.3实验数据集

公用数据集是研究人员开展理论研究的重要基础，是推进研究领域向前发展的动力，是验证现有研究方法有效性的主要途径。实验数据集可以通过搭建测试床来获取。现有的测试平台搭建技术分为四种[85]：1.  全实物复制测试床；2.  半实物复制测试床；3.  软件联合仿真测试床；4.  仿真-模拟混合测试床。由于众多研究人员的实验平台的不统一，导致实验数据的不一致，缺乏有效的对比试验和方法的性能论证。

现有的工业互联网中主要使用的公共数据集包括：KDD99、NSL-KDD[86]、Power System Datasets[87]、Gas Pipeline Datasets[88]、New Gas Pipeline[89]等。现有数据集仍存在数据冗余、属性冗余、数据重复、数据周期性和攻击类型少等问题。表 1.4  中对比分析了 KDD99 和 NSL-KDD 数据集的特点，NSL-KDD 实验数据集的优点是：剔除训练数据集中冗余数据和测试数据集中的重复数据，能够更加客观评价入侵检测方法的性能；按照 KDD99 中数据类型原比例构建数据集，保持数据集的有效性；NSL-KDD 中数据集记录条数更少，降低入侵检测方法测试时的实验开销。这两个数据集包含的攻击主要有四类：1.  拒绝服务攻击（Denial of service，DoS）；2.  远程登录攻击（Remote to User，R2U）；3.  根用户权限攻击（User  to  Root，U2R）；4.  嗅探攻击（Probe）。但是现有数据集依旧不能准确体现高速发展的网络入侵中所有的攻击类型和技术手段。

五 入侵检测方法评价指标 

对于已有的入侵检测方法，可以从检测率（True  Positive  Rate，TP）、虚警率（False Positive Rate，FP）、时间开销和算法复杂度等角度来分析入侵检测方法的性能。将正常流量报文规模表示为 $N_{total}$，异常流量报文规模表示为 $A_{total}$，正常流量报文中检测为正常的规模为 $N_1$，检测为异常的规模为 $N_2$，异常流量报文中检测为正常的规模为 $A_1$，检测为异常的报文规模为 $A_2$。

检测精度(Accuracy)表示正确分类的样本数占所有样本数的百分比，常用于表征算法检测能力的指标。检测精度定义如下， 

$Acc=\frac{N_1+A_2}{N_{total}+A_{total}}$

检测率(True  Positive  Rate)是指被检测出的异常样本占全部异常样本的比例，检测率越高表明算法检测性能越好。检测率定义如下，

$TP=\frac{A_2}{A_{total}}$

虚警率(False  Positive  Rate)是指正常样本被误认为攻击样本占全部正常样本的比例。虚警率很高将会导致系统疲于处理假警报，甚至影响系统的可用性和稳定性。虚警率定义如下，

$FP=\frac{N_2}{N_{total}}$

参考文献

[69] Chauhan  N,  Bahl  S.  Performance  analysis  of  dimension  reduction  techniques with  classifier  combination  for  Intrusion  Detection  System[C].  In:  2nd International  Conference  on  Computing  for  Sustainable  Global  Development (INDIACom). India, 2015, 1084-1089. 

 [73] Pajouh  H  H,  Dastghaibyfard  G  H,  Hashemi  S.  Two-tier  network  anomaly detection  model:  a  machine  learning  approach[J].  Journal  of  Intelligent Information Systems, 2017, 48(1):61-74.

 [74] Deshmukh  D  H,  Ghorpade  T,  Padiya  P.  Improving  classification  using preprocessing  and  machine  learning  algorithms  on  NSL-KDD  dataset[C].  In: International  Conference  on  Communication,  Information  &  Computing Technology (ICCICT), India, 2015, 1-6. 

[75] Pervez  M  S,  Farid  D  M.  Feature  selection  and  intrusion  classification  in NSL-KDD  cup  99  dataset  employing  SVMs[C].  In:  8th  International  Conference on  Software,  Knowledge,  Information  Management  and  Applications  (SKIMA). Bangladesh, 2014, 1-6.

[76] Ambusaidi  M  A,  He  X,  Nanda  P,  et  al.  Building  an  intrusion  detection  system using  a  filter-based  feature  selection  algorithm[J].  IEEE  Transactions  on computers, 2016, 65(10):2986-2998. 

[77] Osanaiye  O,  Cai  H,  Choo  K  K  R,  et  al.  Ensemble-based  multi-filter  feature selection method for DDoS detection in cloud computing[J]. EURASIP Journal on Wireless Communications and Networking, 2016, 1:130. 

[78] Shahbaz  M  B,  Wang  X,  Behnad  A,  ei  al.  On  efficiency  enhancement  of  the correlation-based  feature  selection  for  intrusion  detection  systems[C].  In:  7th Annual  Information  Technology,  Electronics  and  Mobile  Communication Conference (IEMCON). Canada, 2016, 1-7. 

[79] De la Hoz E, Ortiz A, Ortega J, et al. Network anomaly classification by support vector  classifiers  ensemble  and  non-linear  projection  techniques[C].  In:  8th International Conference on Hybrid Artificial Intelligent Systems (HAIS). SPAIN, 2013, 103-111. 

[85] 黄慧萍，肖世德，孟祥印. SCADA 系统信息安全测试床研究进展[J].  计算机应用研究, 2015, 32(07):1926-1930. 

[86] Tavallaee  M,  Bagheri  E,  Lu  W,  et  al.  A  Detailed  Analysis  of  the  KDD  CUP  99 Data  Set[C].  In:  Symposium  on  Computational  Intelligence  for  Security  and Defense Applications (CISDA). Canada, 2009, 1-6. 

[87] Pan  S,  Morris  T,  Adhikari  U.  Developing  a  hybrid  intrusion  detection  system using data mining for power systems[J]. IEEE Transactions on Smart Grid, 2015, 6(6):3104-3113.

[88] Beaver J M, Borges-Hink R C, Buckner M A. An evaluation of machine learning methods  to  detect  malicious  SCADA  communications[C].  In:  12th  International Conference on Machine Learning and Applications (ICMLA). USA, 2013, 54-59. 

[89] Ma  S,  Liao  H,  Yuan  Y.  Study  on  Rough  Set  Attribute  Reduction  in  Intrusion Detection[C].  In:  Proceedings  of  the  9th  International  Symposium  on  Linear Drives for Industry Applications. Berlin, 2014, 507-512.