工业互联网安全态势感知系统模型探究

工业互联网安全态势感知系统模型探究

郭新宇

上海电子信息职业技术学院 上海市 201411

摘要：

随着数字化和网络化的不断深入，工业互联网正在重塑全球产业结构和经济形态，这一创新网络为企业创造了更高的生产效率、更灵活的供应链管理以及更丰富的商业模式。因此，只有深入理解并完善工业互联网安全态势感知系统技术，才能确保这一创新网络的稳定、安全与持续发展。本文将深入探讨工业互联网安全态势感知的核心技术与方法，引导大家认识到在工业互联网时代，如何通过技术手段确保关键资产和数据的安全。

关键词：工业互联网；安全态势；感知系统

引言：

安全态势感知在工业互联网中的地位日益凸显，但现有的安全防护手段并不完备，超过70%的工业企业曾遭受过至少一次网络安全事件。与传统的、仅依赖固定规则和策略的安全防护方法相比，安全态势感知为工业互联网提供了一个动态、实时、全局的安全视角。它不仅可以帮助企业及时发现并应对各种已知威胁，更能够预警未知的、潜在的安全风险，从而为工业互联网创造一个更为可靠和可控的运行环境。

一、安全态势感知系统模型的关键组成部分

（一）数据采集

在工业互联网安全态势感知系统模型中，数据采集是至关重要的一环，为后续的数据分析、事件关联与安全态势评估提供基础信息。数据采集主要包括从各类传感器、工业控制设备如Siemens S7 PLCs、以及网络设备如Cisco交换机中获取的原始数据。这其中涵盖了温度、压力、流量等多种物理量的测量值，以及设备状态、操作日志等工业信息[1]。为了捕获可能的安全事件，网络流量数据的采集也是必不可少，这通常需要通过网络嗅探器如Wireshark或专用的流量采集设备如TAPs (Traffic Analysis Points)来实现，以确保对可能的攻击活动有全面的感知。同时，系统还需对数据进行实时或近实时的采集，以满足工业环境中对时效性的高要求。考虑到工业环境的特殊性，采用如Kepware等工具可以确保数据采集过程中的完整性和准确性，从而确保在后续的处理中能够得出可靠的结论。

（二）数据处理

工业互联网安全态势感知系统模型的数据处理环节在整个系统中起到核心的桥梁作用，它将原始的、多样的采集数据转化为有意义的安全信息。首先数据规范化是关键，将各种格式和结构的数据转化为统一的、可供后续处理的格式。接下来，数据去噪步骤旨在过滤掉无关的、干扰的信息，从而突出真正与安全态势相关的数据，关联分析则进一步通过数据之间的关系识别出潜在的安全威胁，如连续的登录失败可能暗示有人试图侵入系统[2]。另外，特征提取是数据处理中的另一重要步骤，它从原始数据中提炼出对于安全分析有价值的特征，以便于更高效的模式识别或机器学习算法应用。

（三）可视化

工业互联网安全态势感知系统模型中的可视化部分充当着解读和表达系统分析结果的桥梁，为了使决策者和运营者更为直观地感知安全状况，一系列特定的可视化类型被引入[3]。热图 (Heatmaps) 通常用于显示大量设备或网络节点的活动状态，使用户快速发现异常区域。散点图 (Scatter Plots) 可以揭示不同类型事件之间的关系，帮助识别可能的关联模式。核心的可视化组件首先要求具备动态实时性，随着数据流的更新能够及时反映当前的安全状况。地理视图 (Geographical Maps) 则为用户提供了一个空间维度，清晰展现攻击来源和目标分布。为了处理大量的安全事件和警告，聚合和筛选功能成为必要工具，允许用户根据重要性、类别或其他标准对信息进行排序和过滤。

二、安全态势感知技术与方法

（一）基于机器学习的异常检测

基于机器学习的异常检测技术是一种先进的方法，它通过学习正常的系统行为模式来识别可能的安全威胁。利用机器学习算法如决策树、随机森林和支持向量机，系统可以从大量的正常运行数据中“学习”到工业过程的固有行为特点，然后用这些特点来为新的数据点打分或分类。当新的数据点与已知的正常模式存在显著差异时，该点被标记为异常，从而触发进一步的安全分析或警报，如下图 1 启动基于机器学习的异常检测技术所示。

图 1 启动基于机器学习的异常检测技术

例如某化工厂的一生产线，它的温度、压力和流量等参数在正常运行时有一定的稳定范围，基于机器学习的异常检测系统首先会在没有攻击或故障时对这些参数进行学习。当实际生产过程中，由于某种外部攻击或内部故障导致参数突然偏离正常范围时，机器学习模型如孤立森林 (Isolation Forest) 可以迅速识别并标记这种偏差，从而提前发现并预防可能的安全风险。

（二）多源数据融合技术

工业互联网安全态势感知中的多源数据融合技术旨在整合来自不同来源、格式或时间的数据，为安全分析提供更加全面和准确的视角。在这个过程中，数据清洗和预处理显得尤为重要，先需要对原始数据进行质量评估，识别并处理异常值、缺失值和重复项。接下来要进行格式标准化和单位转换，确保数据的统一性，

另外特征提取和选择也可以帮助从原始数据中抽取对安全分析有价值的信息，并减少数据的维度。技术上，多源数据融合可能涉及时序对齐、特征工程、深度学习模型如卷积神经网络 (CNNs)、和统计方法如主成分分析 (PCA)，以确保数据在整合时的一致性和完整性。

（三）安全知识图谱构建

工业互联网安全态势感知中的安全知识图谱构建主要关注如何系统地组织、链接和呈现有关工业安全的知识，它结合了语义技术、图数据库和关联分析，旨在构建一个多维度、高度互联的知识体系，从而为安全分析、预测和决策提供支持。以某电力行业的工业互联网环境为例，存在各种设备如变压器、断路器、保护继电器等，同时也有多种可能的攻击向量、漏洞和威胁。例如，某一型号的保护继电器可能存在某个已知的固件漏洞，通过图谱可以快速地看到这种关系，从而预测可能的攻击路径和影响，当收到一个关于新攻击工具的警告时，安全团队可以查询知识图谱，快速找出可能受影响的设备，进而制定针对性的防护措施。

总结：

安全态势感知作为工业互联网安全的关键支柱，为人们提供了一个全面、实时的防护视角，确保企业资产和数据不受威胁。从数据采集到可视化，再到机器学习的异常检测，这些先进的技术与方法为人们的工业生态系统构建了坚固的安全屏障。为了应对未来的安全挑战，人们不仅要深入掌握现有的技术，更需要保持敏锐的前瞻性和持续的创新意识，始终保持其固有的安全与稳定。

参考文献：

[1]苗超.关于工业互联网网络安全公共服务实验平台的设计[J].广播电视网络,2022,29(07):57-60.

[2]子千. 以数字化安全能力打造协同共治的安全态势感知平台[N]. 人民邮电,2021-12-03(002).

[3]唐龙胜,侯正炜,程胜林等.工业互联网安全态势感知技术探究[J].智能物联技术,2021,4(05):42-46.

作者简介：郭新宇（1995年4月），男，河北，汉族，职称：初级， 学历本科，研究方向计算机控制。