胡冰蔚，洪 晟，王澤政，李鵬超，劉博宇，冼 峰，趙立鳴

(1.國際關(guān)系學院 網(wǎng)絡(luò)空間安全學院，北京100091；2.北京航空航天大學 網(wǎng)絡(luò)空間安全學院，北京100191；3.恒安嘉新(北京)科技股份公司，北京100098；4.上海城投水務(集團)有限公司，上海200002)

0 引言

工業(yè)互聯(lián)網(wǎng)是以數(shù)字化、網(wǎng)絡(luò)化、智能化為主要特征的新工業(yè)革命的關(guān)鍵基礎(chǔ)設(shè)施[1]，工業(yè)數(shù)據(jù)安全是工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展的基礎(chǔ)保障。各工業(yè)企業(yè)基于網(wǎng)絡(luò)化協(xié)同和生產(chǎn)化改造需求，踐行“內(nèi)外網(wǎng)”改造和“上云”業(yè)務，工業(yè)互聯(lián)網(wǎng)系統(tǒng)架構(gòu)從以控制系統(tǒng)為中心轉(zhuǎn)向以工業(yè)大數(shù)據(jù)為核心[2]。大數(shù)據(jù)安全在工業(yè)互聯(lián)網(wǎng)新業(yè)態(tài)和應用場景下愈加重要?！?G+工業(yè)互聯(lián)網(wǎng)”、“物聯(lián)網(wǎng)”、“云計算”、“工業(yè)互聯(lián)網(wǎng)平臺”等新信息技術(shù)的快速發(fā)展和大規(guī)模產(chǎn)業(yè)化應用使得工業(yè)數(shù)劇量劇增，數(shù)據(jù)作為工業(yè)互聯(lián)網(wǎng)的基礎(chǔ)資源和關(guān)鍵要素，事關(guān)企業(yè)安全運營、社會經(jīng)濟正常運轉(zhuǎn)乃至國家安全，一旦工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)泄露、被竊取或篡改，將對社會經(jīng)濟和國家安全造成嚴重的威脅[3-6]。

1 工業(yè)互聯(lián)網(wǎng)大數(shù)據(jù)安全研究現(xiàn)狀

國內(nèi)外對于工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全的研究仍處在應用探索階段，面向“工廠內(nèi)網(wǎng)”和“工廠外網(wǎng)”場景的工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全保障大都延續(xù)采用傳統(tǒng)的防護手段。例如，工業(yè)數(shù)據(jù)的安全交互，主要通過私有協(xié)議封裝和二次加密實現(xiàn)數(shù)據(jù)加密傳輸；工業(yè)互聯(lián)網(wǎng)平臺服務和運營，依托準入認證、接口加密、漏洞掃描、代碼審計、安全加固等傳統(tǒng)網(wǎng)絡(luò)安全措施來抵御潛在攻擊。

在數(shù)據(jù)采集方面，傳統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)采集技術(shù)針對的是采用固定端口傳輸[7]。工業(yè)互聯(lián)網(wǎng)業(yè)務應用的快速發(fā)展使得承載其服務的端口數(shù)量持續(xù)增加，更新和維護端口數(shù)據(jù)庫日漸困難。不同的工業(yè)設(shè)備、工業(yè)控制系統(tǒng)和工業(yè)互聯(lián)網(wǎng)平臺供應商使用專用通信協(xié)議、工控協(xié)議和自定義接口，私有工控協(xié)議封裝后通過HTTP/HTTPS傳輸，一些“雙跨”工業(yè)互聯(lián)網(wǎng)平臺網(wǎng)絡(luò)傳輸基于安全性考慮進行了二次加密，增大了工業(yè)互聯(lián)網(wǎng)的流量分析難度。

基于傳統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)下數(shù)據(jù)包監(jiān)測技術(shù)主要對數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層的數(shù)據(jù)包元素監(jiān)測和分析，其流量識別檢測方法概括如下：

(1)基于網(wǎng)絡(luò)端口映射的協(xié)議識別方法[8-9]。該方法憑借網(wǎng)絡(luò)協(xié)議通信時使用的端口號建立映射關(guān)系，并據(jù)此區(qū)別各類網(wǎng)絡(luò)協(xié)議和應用服務。其缺點是未能給所有應用及服務定義端口號，且對于端口號不固定的數(shù)據(jù)傳輸協(xié)議不能與之一一對接，難以形成和積累較為完備的端口映射關(guān)系。

(2)基于有效載荷分析的應用業(yè)務識別方法(Deep Packet Inspection，DPI)[10]。此類方法依托建立的應用業(yè)務特征規(guī)則庫進行應用業(yè)務識別。DPI技術(shù)在流量分析、網(wǎng)絡(luò)信息安全和網(wǎng)絡(luò)服務質(zhì)量(Quality of Service，QoS)監(jiān)測等領(lǐng)域應用廣泛，其可對網(wǎng)絡(luò)數(shù)據(jù)包進行內(nèi)容分析，能夠解析數(shù)據(jù)包內(nèi)容及有效載荷，提取內(nèi)容信息。完整的DPI技術(shù)處理流程如圖1所示。由于網(wǎng)絡(luò)帶寬和數(shù)據(jù)的不斷增加，預先建立的規(guī)則庫也快速增加，導致系統(tǒng)計算開銷過大，且存在數(shù)據(jù)泄露的安全風險。

圖1 DPI技術(shù)處理流程

(3)基于行為特征的流量識別方法(Deep Flow Inspection，DFI)[11]。DFI是基于流量行為模式的技術(shù)，可以視為DPI體系的一部分，可分析網(wǎng)絡(luò)中通信行為及模式，基于流量特征對網(wǎng)絡(luò)流量進行分類識別和檢測，積累廣譜規(guī)則。在不同的應用類型中數(shù)據(jù)流的狀態(tài)不同，表現(xiàn)為數(shù)據(jù)流特征的差異。此方法存儲開銷較大，實時性較差，致使其技術(shù)狀態(tài)進展緩慢。

(4)基于機器學習的流量分類識別方法[12-13]。具體應用可分為有監(jiān)督學習的流量分類識別方法、無監(jiān)督學習流量分類識別方法和半監(jiān)督學習的流量分類識別方法。但從實際工程效果看，該類方法識別精確度有待提升，實時性有限，且特征值之間的關(guān)系仍待進一步的研究。

隨著網(wǎng)絡(luò)通信技術(shù)的進步加之“互聯(lián)網(wǎng)+”模式的興起，以數(shù)據(jù)匹配檢測模式構(gòu)建的監(jiān)測防御體系不能應對海量數(shù)據(jù)交互帶來的安全風險。在當前工業(yè)互聯(lián)網(wǎng)安全保障探索階段，存在工業(yè)傳輸中應用協(xié)議復雜、通信端口偽裝、工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)跨境傳輸?shù)瓤陀^現(xiàn)狀，進行工業(yè)互聯(lián)網(wǎng)流量安全分析的同時需要保證數(shù)據(jù)的機密性和完整性，工業(yè)互聯(lián)網(wǎng)協(xié)議行為特征識別需要較大時間、空間開銷，也存在檢測實時性等問題。傳統(tǒng)數(shù)據(jù)監(jiān)測流量識別技術(shù)尚不能有效處理目前“工業(yè)互聯(lián)網(wǎng)+大數(shù)據(jù)”環(huán)境下的諸多問題，需要探索新型工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全保障技術(shù)。

2 基于NTA的工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)監(jiān)測方法

2.1 面向工業(yè)互聯(lián)網(wǎng)的NTA方法

針對DPI和DFI的現(xiàn)存問題，本文提出了一種基于網(wǎng)絡(luò)流量分析(Network Traffic Analysis，NTA)的工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)監(jiān)測方法，該方法將DPI、DFI、機器學習等方法以監(jiān)測需求為出發(fā)點，依托“大網(wǎng)”監(jiān)測場景，采取匯聚分流的方式，將網(wǎng)絡(luò)中多個節(jié)點的數(shù)據(jù)進行特征分流、數(shù)據(jù)匯聚、數(shù)據(jù)預處理等操作，并將數(shù)據(jù)發(fā)送至對應的模塊進行處理。該方法先匯聚全流量并依托廣譜規(guī)則做流量篩選，再依托特征監(jiān)測、文件還原和事件研判等技術(shù)識別潛在數(shù)據(jù)風險，在控制其計算開銷和存儲開銷的同時，解決原有技術(shù)缺陷。

網(wǎng)絡(luò)流量分析技術(shù)NTA應用場景更為寬泛，旨在通過監(jiān)控網(wǎng)絡(luò)流量、連接和對象來識別惡意程序、攻擊入侵行為跡象，本質(zhì)是記錄、審計和分析網(wǎng)絡(luò)流量數(shù)據(jù)的過程。NTA探針設(shè)備及配屬產(chǎn)品集成高速正則事件引擎、內(nèi)容結(jié)構(gòu)檢測引擎、異常行為識別引擎、文件還原研判引擎和全流量回溯引擎，識別流量異常，鑒別數(shù)據(jù)泄露、違規(guī)傳輸?shù)瓤梢尚袨椤TA底層技術(shù)通過DPI[14]和DFI[15]來解析流量，兼具規(guī)則集成和特征簽名功能，能夠?qū)α髁拷馕鰯?shù)據(jù)和外部數(shù)據(jù)進行建模，具備加密流量檢測和威脅樣本分析能力，可結(jié)合威脅情報提供威脅響應的決策支持。

由于工業(yè)應用業(yè)務類型的復雜性，僅分析報文頭字段內(nèi)容無法很好識別報文所承載的工業(yè)業(yè)務類型。通過識別跟蹤業(yè)務協(xié)議交互過程，對報文有效載荷特征以及流量特征深度檢測，檢測工業(yè)互聯(lián)網(wǎng)流量，識別工業(yè)應用業(yè)務類型，開展包解析和文件還原日漸興起。

2.2 基于NTA的數(shù)據(jù)監(jiān)測方法框架

基于NTA的底層技術(shù)是在傳統(tǒng)基于端口識別的基礎(chǔ)上，增加機器學習、DPI、DFI等技術(shù)方法，即融合傳統(tǒng)規(guī)則和機器學習的方法，探索提高工業(yè)互聯(lián)網(wǎng)流量分析的準確性。通過將采集設(shè)備部署在骨干網(wǎng)、城域網(wǎng)、工業(yè)互聯(lián)網(wǎng)專線、工業(yè)園區(qū)出入口、工業(yè)企業(yè)出入口等關(guān)鍵節(jié)點，采集流量信息，結(jié)合主動監(jiān)測技術(shù)，豐富和補充各類資產(chǎn)對象，結(jié)合特征識別和流量還原技術(shù)增強工業(yè)流量數(shù)據(jù)的獲取和分析能力。該技術(shù)適用于多工業(yè)場景下的工業(yè)互聯(lián)網(wǎng)流量識別、協(xié)議解析和內(nèi)容還原研究。

基于NTA的數(shù)據(jù)監(jiān)測總體技術(shù)架構(gòu)如圖2所示，該架構(gòu)可分為三個模塊，即數(shù)據(jù)源采集模塊、NTA技術(shù)模塊和工業(yè)資產(chǎn)管理模塊。在數(shù)據(jù)源模塊中，對部署網(wǎng)絡(luò)節(jié)點如網(wǎng)關(guān)、交換機等設(shè)備進行流量采集。在NTA技術(shù)模塊中，將底層技術(shù)識別能力匯聚成NTA技術(shù)的基礎(chǔ)能力，實現(xiàn)對采集流量的特征分類，構(gòu)建分析所需的流量數(shù)據(jù)集，通過廣譜規(guī)則做流量篩選；然后，再對流量進行精細化分析，進行工業(yè)協(xié)議識別解析、工業(yè)互聯(lián)網(wǎng)設(shè)備識別、工業(yè)互聯(lián)網(wǎng)文件篩選和解析、異常流量識別等業(yè)務。在工業(yè)資產(chǎn)管理模塊中，結(jié)合態(tài)勢感知技術(shù)面向入侵檢測、應急服務具體業(yè)務進行功能聯(lián)動。

圖2 工業(yè)數(shù)據(jù)安全監(jiān)測技術(shù)架構(gòu)

為了實現(xiàn)面向具體行業(yè)或場景的細分，本方法在NTA基礎(chǔ)能力上，結(jié)合威脅情報，輔助開展工業(yè)數(shù)據(jù)安全事件分類分級評測業(yè)務?？山Y(jié)合不同行業(yè)要求，強化分類分級業(yè)務指導下的工業(yè)數(shù)據(jù)安全保障，從大數(shù)據(jù)安全防護視角為企業(yè)主體提供工業(yè)數(shù)據(jù)安全防護新技術(shù)手段，結(jié)合工業(yè)企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺和標識解析企業(yè)已部署的安全防護手段，進一步提高數(shù)據(jù)安全防范措施。

2.2.1 工業(yè)互聯(lián)網(wǎng)協(xié)議識別

工業(yè)互聯(lián)網(wǎng)協(xié)議識別針對支持S7、Modbus、BACnet等常見工業(yè)通信協(xié)議、支持MQTTXMPPCOAPUPNPONVIF等物聯(lián)網(wǎng)協(xié)議、支持HTTPDNSFTPSMTPHTTP2等協(xié)議識別。其中工業(yè)互聯(lián)網(wǎng)應用層協(xié)議識別主要包括超文本傳送協(xié)議(HTTP)、分布式實施數(shù)據(jù)分發(fā)服務中間件協(xié)議(DDS)、消息隊列遙測傳送協(xié)議(MQTT)、OPC統(tǒng)一架構(gòu)(OPC-UA)識別和分析。

2.2.2 工業(yè)互聯(lián)網(wǎng)資產(chǎn)識別

利用工業(yè)互聯(lián)網(wǎng)資產(chǎn)識別技術(shù)，可識別2G/3G/4G/5G移動互聯(lián)網(wǎng)、骨干網(wǎng)、IDC、物聯(lián)網(wǎng)和工業(yè)互聯(lián)網(wǎng)專線等通信網(wǎng)絡(luò)中的資產(chǎn)，包括各種工業(yè)網(wǎng)絡(luò)設(shè)備、主機設(shè)備、安全防護設(shè)備等。該方法支持探測到資產(chǎn)的存活狀態(tài)、資產(chǎn)的系統(tǒng)版本、設(shè)備類型、開放端口或服務、中間件、數(shù)據(jù)庫等應用程序版本、組件信息、漏洞數(shù)量等。

基于流量的被動資產(chǎn)指紋識別，支持探測到資產(chǎn)的存活狀態(tài)、資產(chǎn)的系統(tǒng)版本、設(shè)備類型、開放端口或服務、應用程序版本、Web組件信息、漏洞數(shù)量等。結(jié)合工業(yè)企業(yè)備案信息，支持對未“上云”資產(chǎn)識別，配合云端情報聯(lián)查監(jiān)測相關(guān)風險。

2.2.3 基于機器學習的工業(yè)互聯(lián)網(wǎng)敏感數(shù)據(jù)識別

為了在流量中還原數(shù)據(jù)流的樣本，自動識別數(shù)據(jù)的敏感程度，本文基于機器學習方法，實現(xiàn)對數(shù)據(jù)包的清洗、特征識別和數(shù)據(jù)監(jiān)測。

基于機器學習的流量識別方法：在不依賴于端口和規(guī)則特征的流量識別前置條件下，利用機器學習從數(shù)據(jù)流中提取特征屬性，構(gòu)建工業(yè)互聯(lián)網(wǎng)安全監(jiān)測業(yè)務分類模型，完成流量的識別和業(yè)務應用檢測。相關(guān)特征屬性主要包括數(shù)據(jù)包特征和數(shù)據(jù)流特征。

基于機器學習的風險監(jiān)測方法：以傳播渠道的行為檢測技術(shù)為基礎(chǔ)，基于工業(yè)互聯(lián)網(wǎng)企業(yè)、平臺、設(shè)備、業(yè)務的基礎(chǔ)特征數(shù)據(jù)設(shè)計機器學習模型，分析異常數(shù)據(jù)傳輸和敏感數(shù)據(jù)泄露事件。集成聯(lián)網(wǎng)“暴露”工業(yè)資產(chǎn)監(jiān)測、異常流量監(jiān)測、工業(yè)威脅監(jiān)測技術(shù)手段，依托風險檢測引擎的協(xié)同工作，可針對惡意攻擊、脆弱性利用、Web漏洞、主動數(shù)據(jù)泄露行為等場景開展檢測和研判，建立多維度的特征掃描機制，構(gòu)建哈希值、軟件包名稱、關(guān)鍵字、特征碼、軟件簽名、字符串等多態(tài)特征判定和積累方法，提高對潛在風險的識別能力，實現(xiàn)對安全風險多態(tài)特征進行精準快速定位。

其本質(zhì)是在流量中還原數(shù)據(jù)流和樣本，自動識別數(shù)據(jù)的敏感度。其中文件數(shù)據(jù)根據(jù)文件的大小、類型、傳輸協(xié)議進行篩選，并且通過機器學習方法，對自定義文件類型進行訓練生成自定義文件類型模型庫，設(shè)定文件特征值，然后再根據(jù)模型庫篩選出符合特征值的文件，實現(xiàn)對文件的過濾功能。

2.2.4 異常流量分析方法

基于對業(yè)務安全的考慮，越來越多的工業(yè)互聯(lián)網(wǎng)應用采用HTTPS或SSL/TLS進行數(shù)據(jù)交互，根據(jù)現(xiàn)網(wǎng)統(tǒng)計數(shù)據(jù)，目前加密流量占比已經(jīng)超過70%，并呈現(xiàn)增加趨勢。目前對于加密流量的識別通常采用證書或簽名的方式，該種方式只能識別流量歸屬于哪一種應用，無法滿足如惡意程序、信息安全等業(yè)務的需求。通過采用機器學習及人工智能相關(guān)技術(shù)，首先對TLS流量的元數(shù)據(jù)、包長和時間序列、字節(jié)分布、非加密的TLS頭信息通過卷積神經(jīng)網(wǎng)絡(luò)CNN進行分類，然后將每條TLS流的前N個載荷拼接起來并轉(zhuǎn)化成圖像通過CNN進行分類，再將分類結(jié)果經(jīng)過集成學習得出最終識別結(jié)果，并將識別結(jié)果反饋給學習模型。最后，采用機器學習方法，通過統(tǒng)計特定數(shù)量的連續(xù)字節(jié)的熵，區(qū)分不同類型的二進制流，對異常流量進行識別和持續(xù)監(jiān)測。

2.3 基于NTA的工業(yè)數(shù)據(jù)安全監(jiān)測系統(tǒng)設(shè)計

系統(tǒng)架構(gòu)自下而上可大致劃分為數(shù)據(jù)接入層、基礎(chǔ)能力層、業(yè)務能力層及應用支撐層，如圖3所示。

圖3 系統(tǒng)架構(gòu)圖

數(shù)據(jù)接入層提供基礎(chǔ)流量、工業(yè)互聯(lián)網(wǎng)平臺企業(yè)、工業(yè)企業(yè)的數(shù)據(jù)接入，其中基礎(chǔ)流量包括某地域的固網(wǎng)、移動網(wǎng)、互聯(lián)網(wǎng)專線(IDC出入口)的大流量采集能力，采集流量作為上層業(yè)務安全分析和處理的基礎(chǔ)。

基礎(chǔ)能力層對采集流量做匯聚和分流處理，可將網(wǎng)絡(luò)中多個接口的原始數(shù)據(jù)進行匯聚、分流、提取、過濾、復制等操作，支持精細化、定制化分流輸出給業(yè)務系統(tǒng)進行數(shù)據(jù)分析。搭載數(shù)據(jù)中臺，實現(xiàn)數(shù)據(jù)入庫、分析和持久化存儲。集成基礎(chǔ)規(guī)則庫，積累和沉淀廣譜規(guī)則和工業(yè)互聯(lián)網(wǎng)指紋特征。

業(yè)務能力支撐層基于NTA技術(shù)，讀取IP包載荷的內(nèi)容來對OSI七層協(xié)議中的應用層信息進行深入分析。DPI技術(shù)除支持對鏈路層、網(wǎng)絡(luò)層、傳輸層及應用層工業(yè)協(xié)議進行識別與解析，還具備對物聯(lián)網(wǎng)協(xié)議、工業(yè)互聯(lián)網(wǎng)協(xié)議、車聯(lián)網(wǎng)協(xié)議、VPN協(xié)議、工業(yè)應用識別與內(nèi)容還原等底層能力，提供工業(yè)資產(chǎn)識別、惡意代碼檢測、溯源取證、網(wǎng)絡(luò)探測檢測、惡意攻擊檢測、特殊流量檢測、數(shù)據(jù)泄露檢測等業(yè)務安全解析能力。NTA引擎具備面向工業(yè)互聯(lián)網(wǎng)全業(yè)務(含數(shù)據(jù)安全)的并行多次處理輸出能力，支持自定義格式化輸出給上層應用支撐系統(tǒng)。

應用支撐層不僅具備工業(yè)數(shù)據(jù)泄露監(jiān)測功能，還具有基于聯(lián)網(wǎng)暴露工業(yè)資產(chǎn)監(jiān)測、工業(yè)漏洞管理功能，通過對外接口輸出定制化話單，支持漏洞管理、監(jiān)測預警、網(wǎng)絡(luò)取證等工業(yè)互聯(lián)網(wǎng)安全應用系統(tǒng)的分析和展示。

3 實驗和結(jié)論

3.1 實驗環(huán)境搭建

實驗驗證依托某地域現(xiàn)網(wǎng)環(huán)境，開展軟硬件環(huán)境搭建和系統(tǒng)集成，面向本地域內(nèi)的工業(yè)資產(chǎn)監(jiān)測、風險識別、數(shù)據(jù)安全監(jiān)測開展驗證和分析工作。

3.1.1 硬件環(huán)境

硬件環(huán)境搭建由大數(shù)據(jù)服務器和業(yè)務系統(tǒng)服務器組成。服務器配置不低于2×4核CPU，32 GB內(nèi)存，1 TB硬盤，能夠滿足大部分網(wǎng)絡(luò)節(jié)點數(shù)據(jù)采集和業(yè)務對接需要。

3.1.2 軟件環(huán)境

軟件環(huán)境操作系統(tǒng)采用Cent OS 6.8；搭配第三方組件：Base-A10.1-Jdk1.8(版本：1.8.0_162)，BaseA10.1-redis(版本：4.0.9)，BaseA10.1-nginx(版本：1.15.6)，BaseA10.1-mysql-5.7(版本：5.7)；客戶端環(huán)境兼容主流瀏覽器：Chrome 45.0.2454.101或以上版本，F(xiàn)irefox 45.1.0或以上版本，IE10或以上版本。

軟件環(huán)境配置如表1所示。

表1 軟件環(huán)境配置表

3.1.3 系統(tǒng)部署

系統(tǒng)的部署分為前臺數(shù)據(jù)安全策略顯示和下發(fā)模塊，后臺數(shù)據(jù)采集分析及監(jiān)測業(yè)務模塊。前臺負責顯示流量識別和數(shù)據(jù)安全情況，并生成合適的策略下發(fā)給用戶；后臺設(shè)計為統(tǒng)一的大數(shù)據(jù)分析平臺實現(xiàn)對流量采集和分析，由數(shù)據(jù)采集、數(shù)據(jù)庫存儲、數(shù)據(jù)監(jiān)測、特征庫模塊等功能組成，是工業(yè)數(shù)據(jù)安全監(jiān)測應用的核心。

在實際部署業(yè)務中，需根據(jù)網(wǎng)絡(luò)節(jié)點的實際情況進行部署調(diào)整，但需滿足網(wǎng)絡(luò)、硬件及軟件部署所需的最低配置要求。

3.2 實驗結(jié)果和應用效果

3.2.1 資產(chǎn)識別和安全風險監(jiān)測

本文所介紹的技術(shù)已廣泛應用于工業(yè)互聯(lián)網(wǎng)安全監(jiān)管領(lǐng)域，基于該技術(shù)體系打造的工業(yè)互聯(lián)網(wǎng)安全監(jiān)測和態(tài)勢感知平臺在多地實際部署應用。某地的應用效果(節(jié)選)如表2所示，在近期月份監(jiān)測識別到設(shè)備(工控設(shè)備、物聯(lián)網(wǎng)設(shè)備、車聯(lián)網(wǎng)設(shè)備)106.13萬個，聯(lián)網(wǎng)平臺(工業(yè)互聯(lián)網(wǎng)平臺、物聯(lián)網(wǎng)平臺、車聯(lián)網(wǎng)平臺)516個。3月份監(jiān)測到工業(yè)互聯(lián)網(wǎng)企業(yè)安全漏洞333個，安全事件665萬余次。

表2 應用效果對比表

在車聯(lián)網(wǎng)應用領(lǐng)域，以某省互聯(lián)網(wǎng)專線監(jiān)測為例，累計發(fā)現(xiàn)約58萬條事件數(shù)據(jù)；其中4個IP定位到其指向同一車聯(lián)網(wǎng)平臺“GPS定位管理平臺”，發(fā)現(xiàn)成功事件25次、攻擊次數(shù)31 479次、涉及單位17個。

3.2.2 工業(yè)安全事件案例

在木馬遠控事件中，監(jiān)測到某單位的*.*.138.14多次訪問美國紐約的IP：199.59.242.153的域名ww25.stats.stuffpicks.com，該惡意域名是用于與網(wǎng)頁木馬遠控端進行通信，經(jīng)木馬樣本數(shù)據(jù)與惡意數(shù)據(jù)包對比，發(fā)現(xiàn)數(shù)據(jù)包內(nèi)容相同，綜合研判為Trojan.unknown.a.C640木馬遠控事件。

在挖礦病毒危害事件中，監(jiān)測發(fā)現(xiàn)某單位的IP地址*.*.227.26向新加坡的IP地址134.209.100.235，荷蘭阿姆斯特丹的IP地址142.93.137.119、178.128.242.134進行了多次門羅幣挖礦礦池登錄請求，從流量包可以看出攻擊者通過心跳機制keepalive維持與礦機的通信。

3.2.3 工業(yè)數(shù)據(jù)泄露案列

通過某省工業(yè)互聯(lián)網(wǎng)專線流量分析，發(fā)現(xiàn)用戶名、密碼、手機號、GPS、位置信息、郵箱、智能水表、消防儀表等相關(guān)信息泄漏，涉及儀器儀表行業(yè)、消防安全、交通管理和水務等多個領(lǐng)域。

3.2.4 車聯(lián)網(wǎng)跨境通聯(lián)案例

基于某工業(yè)互聯(lián)網(wǎng)專線部分流量分析，發(fā)現(xiàn)車聯(lián)網(wǎng)信息泄露，包括車牌號、經(jīng)緯度、sim卡號、速度(軌跡)、車輛狀態(tài)等信息。持續(xù)監(jiān)測發(fā)現(xiàn)，某熱門合資品牌智能網(wǎng)聯(lián)汽車存在跨境通聯(lián)行為，跨境訪問前十位目的國家如表3所示。

表3 車聯(lián)網(wǎng)跨境通聯(lián)統(tǒng)計表

4 結(jié)論

工業(yè)數(shù)據(jù)安全是工業(yè)互聯(lián)網(wǎng)企業(yè)數(shù)字化安全轉(zhuǎn)型的前提，是落實工業(yè)互聯(lián)網(wǎng)企業(yè)安全防護的重要保障。得益于NTA技術(shù)在工業(yè)互聯(lián)網(wǎng)及車聯(lián)網(wǎng)領(lǐng)域的拓展應用，通過主被動一體化技術(shù)面向?qū)嶋H防護對象的數(shù)據(jù)采集和處理，結(jié)合防護對象的實際應用場景和業(yè)務流程，集成威脅情報、工業(yè)漏洞和安全事件，開展多維關(guān)聯(lián)分析，積累協(xié)議特征庫、應用特征庫、設(shè)備指紋庫、行業(yè)特征庫，支持聯(lián)網(wǎng)“暴露”工業(yè)資產(chǎn)監(jiān)測、工業(yè)漏洞管理、工業(yè)互聯(lián)網(wǎng)態(tài)勢感知業(yè)務。經(jīng)實際應用發(fā)現(xiàn)，該系統(tǒng)能夠發(fā)現(xiàn)聯(lián)網(wǎng)暴露工業(yè)資產(chǎn)，識別其安全風險，監(jiān)測各類工業(yè)數(shù)據(jù)泄露事件。

工業(yè)數(shù)據(jù)安全是落實工業(yè)互聯(lián)網(wǎng)融合發(fā)展的核心要義，基于NTA技術(shù)開展工業(yè)數(shù)據(jù)安全監(jiān)測研究是各行業(yè)主管單位進行數(shù)據(jù)安全風險監(jiān)管的主要手段，是彌補各工業(yè)企業(yè)開展數(shù)據(jù)安全防護不足的有效措施。借此可支撐工業(yè)數(shù)據(jù)防護業(yè)務拓展到入侵檢測、工業(yè)數(shù)據(jù)分類分級測評、工業(yè)敏感數(shù)據(jù)防護等具體場景。綜合NTA技術(shù)探索工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)多點跨域環(huán)境下遭非法篡改、人為破壞、違規(guī)泄露或非法利用時的監(jiān)測保障和防護處置措施，可作為落實工業(yè)數(shù)據(jù)安全分類分級管理要求、夯實企業(yè)主體責任的有效技術(shù)抓手。