基于NTA的工業數據安全監測方法設計與應用研究*

胡冰蔚，洪 晟，王澤政，李鵬超，劉博宇，冼 峰，趙立鳴

(1.國際關系學院 網絡空間安全學院，北京100091；2.北京航空航天大學 網絡空間安全學院，北京100191；3.恒安嘉新(北京)科技股份公司，北京100098；4.上海城投水務(集團)有限公司，上海200002)

0 引言

工業互聯網是以數字化、網絡化、智能化為主要特征的新工業革命的關鍵基礎設施[1]，工業數據安全是工業互聯網創新發展的基礎保障。各工業企業基于網絡化協同和生產化改造需求，踐行“內外網”改造和“上云”業務，工業互聯網系統架構從以控制系統為中心轉向以工業大數據為核心[2]。大數據安全在工業互聯網新業態和應用場景下愈加重要?！?G+工業互聯網”、“物聯網”、“云計算”、“工業互聯網平臺”等新信息技術的快速發展和大規模產業化應用使得工業數劇量劇增，數據作為工業互聯網的基礎資源和關鍵要素，事關企業安全運營、社會經濟正常運轉乃至國家安全，一旦工業互聯網數據泄露、被竊取或篡改，將對社會經濟和國家安全造成嚴重的威脅[3-6]。

1 工業互聯網大數據安全研究現狀

國內外對于工業互聯網數據安全的研究仍處在應用探索階段，面向“工廠內網”和“工廠外網”場景的工業互聯網數據安全保障大都延續采用傳統的防護手段。例如，工業數據的安全交互，主要通過私有協議封裝和二次加密實現數據加密傳輸；工業互聯網平臺服務和運營，依托準入認證、接口加密、漏洞掃描、代碼審計、安全加固等傳統網絡安全措施來抵御潛在攻擊。

在數據采集方面，傳統的網絡數據采集技術針對的是采用固定端口傳輸[7]。工業互聯網業務應用的快速發展使得承載其服務的端口數量持續增加，更新和維護端口數據庫日漸困難。不同的工業設備、工業控制系統和工業互聯網平臺供應商使用專用通信協議、工控協議和自定義接口，私有工控協議封裝后通過HTTP/HTTPS傳輸，一些“雙跨”工業互聯網平臺網絡傳輸基于安全性考慮進行了二次加密，增大了工業互聯網的流量分析難度。

基于傳統網絡結構下數據包監測技術主要對數據鏈路層、網絡層、傳輸層的數據包元素監測和分析，其流量識別檢測方法概括如下：

(1)基于網絡端口映射的協議識別方法[8-9]。該方法憑借網絡協議通信時使用的端口號建立映射關系，并據此區別各類網絡協議和應用服務。其缺點是未能給所有應用及服務定義端口號，且對于端口號不固定的數據傳輸協議不能與之一一對接，難以形成和積累較為完備的端口映射關系。

(2)基于有效載荷分析的應用業務識別方法(Deep Packet Inspection，DPI)[10]。此類方法依托建立的應用業務特征規則庫進行應用業務識別。DPI技術在流量分析、網絡信息安全和網絡服務質量(Quality of Service，QoS)監測等領域應用廣泛，其可對網絡數據包進行內容分析，能夠解析數據包內容及有效載荷，提取內容信息。完整的DPI技術處理流程如圖1所示。由于網絡帶寬和數據的不斷增加，預先建立的規則庫也快速增加，導致系統計算開銷過大，且存在數據泄露的安全風險。

圖1 DPI技術處理流程

(3)基于行為特征的流量識別方法(Deep Flow Inspection，DFI)[11]。DFI是基于流量行為模式的技術，可以視為DPI體系的一部分，可分析網絡中通信行為及模式，基于流量特征對網絡流量進行分類識別和檢測，積累廣譜規則。在不同的應用類型中數據流的狀態不同，表現為數據流特征的差異。此方法存儲開銷較大，實時性較差，致使其技術狀態進展緩慢。

(4)基于機器學習的流量分類識別方法[12-13]。具體應用可分為有監督學習的流量分類識別方法、無監督學習流量分類識別方法和半監督學習的流量分類識別方法。但從實際工程效果看，該類方法識別精確度有待提升，實時性有限，且特征值之間的關系仍待進一步的研究。

隨著網絡通信技術的進步加之“互聯網+”模式的興起，以數據匹配檢測模式構建的監測防御體系不能應對海量數據交互帶來的安全風險。在當前工業互聯網安全保障探索階段，存在工業傳輸中應用協議復雜、通信端口偽裝、工業互聯網數據跨境傳輸等客觀現狀，進行工業互聯網流量安全分析的同時需要保證數據的機密性和完整性，工業互聯網協議行為特征識別需要較大時間、空間開銷，也存在檢測實時性等問題。傳統數據監測流量識別技術尚不能有效處理目前“工業互聯網+大數據”環境下的諸多問題，需要探索新型工業互聯網數據安全保障技術。

2 基于NTA的工業互聯網數據監測方法

2.1 面向工業互聯網的NTA方法

針對DPI和DFI的現存問題，本文提出了一種基于網絡流量分析(Network Traffic Analysis，NTA)的工業互聯網數據監測方法，該方法將DPI、DFI、機器學習等方法以監測需求為出發點，依托“大網”監測場景，采取匯聚分流的方式，將網絡中多個節點的數據進行特征分流、數據匯聚、數據預處理等操作，并將數據發送至對應的模塊進行處理。該方法先匯聚全流量并依托廣譜規則做流量篩選，再依托特征監測、文件還原和事件研判等技術識別潛在數據風險，在控制其計算開銷和存儲開銷的同時，解決原有技術缺陷。

網絡流量分析技術NTA應用場景更為寬泛，旨在通過監控網絡流量、連接和對象來識別惡意程序、攻擊入侵行為跡象，本質是記錄、審計和分析網絡流量數據的過程。NTA探針設備及配屬產品集成高速正則事件引擎、內容結構檢測引擎、異常行為識別引擎、文件還原研判引擎和全流量回溯引擎，識別流量異常，鑒別數據泄露、違規傳輸等可疑行為。NTA底層技術通過DPI[14]和DFI[15]來解析流量，兼具規則集成和特征簽名功能，能夠對流量解析數據和外部數據進行建模，具備加密流量檢測和威脅樣本分析能力，可結合威脅情報提供威脅響應的決策支持。

由于工業應用業務類型的復雜性，僅分析報文頭字段內容無法很好識別報文所承載的工業業務類型。通過識別跟蹤業務協議交互過程，對報文有效載荷特征以及流量特征深度檢測，檢測工業互聯網流量，識別工業應用業務類型，開展包解析和文件還原日漸興起。

2.2 基于NTA的數據監測方法框架

基于NTA的底層技術是在傳統基于端口識別的基礎上，增加機器學習、DPI、DFI等技術方法，即融合傳統規則和機器學習的方法，探索提高工業互聯網流量分析的準確性。通過將采集設備部署在骨干網、城域網、工業互聯網專線、工業園區出入口、工業企業出入口等關鍵節點，采集流量信息，結合主動監測技術，豐富和補充各類資產對象，結合特征識別和流量還原技術增強工業流量數據的獲取和分析能力。該技術適用于多工業場景下的工業互聯網流量識別、協議解析和內容還原研究。

基于NTA的數據監測總體技術架構如圖2所示，該架構可分為三個模塊，即數據源采集模塊、NTA技術模塊和工業資產管理模塊。在數據源模塊中，對部署網絡節點如網關、交換機等設備進行流量采集。在NTA技術模塊中，將底層技術識別能力匯聚成NTA技術的基礎能力，實現對采集流量的特征分類，構建分析所需的流量數據集，通過廣譜規則做流量篩選；然后，再對流量進行精細化分析，進行工業協議識別解析、工業互聯網設備識別、工業互聯網文件篩選和解析、異常流量識別等業務。在工業資產管理模塊中，結合態勢感知技術面向入侵檢測、應急服務具體業務進行功能聯動。

圖2 工業數據安全監測技術架構

為了實現面向具體行業或場景的細分，本方法在NTA基礎能力上，結合威脅情報，輔助開展工業數據安全事件分類分級評測業務?？山Y合不同行業要求，強化分類分級業務指導下的工業數據安全保障，從大數據安全防護視角為企業主體提供工業數據安全防護新技術手段，結合工業企業、工業互聯網平臺和標識解析企業已部署的安全防護手段，進一步提高數據安全防范措施。

2.2.1 工業互聯網協議識別

工業互聯網協議識別針對支持S7、Modbus、BACnet等常見工業通信協議、支持MQTTXMPPCOAPUPNPONVIF等物聯網協議、支持HTTPDNSFTPSMTPHTTP2等協議識別。其中工業互聯網應用層協議識別主要包括超文本傳送協議(HTTP)、分布式實施數據分發服務中間件協議(DDS)、消息隊列遙測傳送協議(MQTT)、OPC統一架構(OPC-UA)識別和分析。

2.2.2 工業互聯網資產識別

利用工業互聯網資產識別技術，可識別2G/3G/4G/5G移動互聯網、骨干網、IDC、物聯網和工業互聯網專線等通信網絡中的資產，包括各種工業網絡設備、主機設備、安全防護設備等。該方法支持探測到資產的存活狀態、資產的系統版本、設備類型、開放端口或服務、中間件、數據庫等應用程序版本、組件信息、漏洞數量等。

基于流量的被動資產指紋識別，支持探測到資產的存活狀態、資產的系統版本、設備類型、開放端口或服務、應用程序版本、Web組件信息、漏洞數量等。結合工業企業備案信息，支持對未“上云”資產識別，配合云端情報聯查監測相關風險。

2.2.3 基于機器學習的工業互聯網敏感數據識別

為了在流量中還原數據流的樣本，自動識別數據的敏感程度，本文基于機器學習方法，實現對數據包的清洗、特征識別和數據監測。

基于機器學習的流量識別方法：在不依賴于端口和規則特征的流量識別前置條件下，利用機器學習從數據流中提取特征屬性，構建工業互聯網安全監測業務分類模型，完成流量的識別和業務應用檢測。相關特征屬性主要包括數據包特征和數據流特征。

基于機器學習的風險監測方法：以傳播渠道的行為檢測技術為基礎，基于工業互聯網企業、平臺、設備、業務的基礎特征數據設計機器學習模型，分析異常數據傳輸和敏感數據泄露事件。集成聯網“暴露”工業資產監測、異常流量監測、工業威脅監測技術手段，依托風險檢測引擎的協同工作，可針對惡意攻擊、脆弱性利用、Web漏洞、主動數據泄露行為等場景開展檢測和研判，建立多維度的特征掃描機制，構建哈希值、軟件包名稱、關鍵字、特征碼、軟件簽名、字符串等多態特征判定和積累方法，提高對潛在風險的識別能力，實現對安全風險多態特征進行精準快速定位。

其本質是在流量中還原數據流和樣本，自動識別數據的敏感度。其中文件數據根據文件的大小、類型、傳輸協議進行篩選，并且通過機器學習方法，對自定義文件類型進行訓練生成自定義文件類型模型庫，設定文件特征值，然后再根據模型庫篩選出符合特征值的文件，實現對文件的過濾功能。

2.2.4 異常流量分析方法

基于對業務安全的考慮，越來越多的工業互聯網應用采用HTTPS或SSL/TLS進行數據交互，根據現網統計數據，目前加密流量占比已經超過70%，并呈現增加趨勢。目前對于加密流量的識別通常采用證書或簽名的方式，該種方式只能識別流量歸屬于哪一種應用，無法滿足如惡意程序、信息安全等業務的需求。通過采用機器學習及人工智能相關技術，首先對TLS流量的元數據、包長和時間序列、字節分布、非加密的TLS頭信息通過卷積神經網絡CNN進行分類，然后將每條TLS流的前N個載荷拼接起來并轉化成圖像通過CNN進行分類，再將分類結果經過集成學習得出最終識別結果，并將識別結果反饋給學習模型。最后，采用機器學習方法，通過統計特定數量的連續字節的熵，區分不同類型的二進制流，對異常流量進行識別和持續監測。

2.3 基于NTA的工業數據安全監測系統設計

系統架構自下而上可大致劃分為數據接入層、基礎能力層、業務能力層及應用支撐層，如圖3所示。

圖3 系統架構圖

數據接入層提供基礎流量、工業互聯網平臺企業、工業企業的數據接入，其中基礎流量包括某地域的固網、移動網、互聯網專線(IDC出入口)的大流量采集能力，采集流量作為上層業務安全分析和處理的基礎。

基礎能力層對采集流量做匯聚和分流處理，可將網絡中多個接口的原始數據進行匯聚、分流、提取、過濾、復制等操作，支持精細化、定制化分流輸出給業務系統進行數據分析。搭載數據中臺，實現數據入庫、分析和持久化存儲。集成基礎規則庫，積累和沉淀廣譜規則和工業互聯網指紋特征。

業務能力支撐層基于NTA技術，讀取IP包載荷的內容來對OSI七層協議中的應用層信息進行深入分析。DPI技術除支持對鏈路層、網絡層、傳輸層及應用層工業協議進行識別與解析，還具備對物聯網協議、工業互聯網協議、車聯網協議、VPN協議、工業應用識別與內容還原等底層能力，提供工業資產識別、惡意代碼檢測、溯源取證、網絡探測檢測、惡意攻擊檢測、特殊流量檢測、數據泄露檢測等業務安全解析能力。NTA引擎具備面向工業互聯網全業務(含數據安全)的并行多次處理輸出能力，支持自定義格式化輸出給上層應用支撐系統。

應用支撐層不僅具備工業數據泄露監測功能，還具有基于聯網暴露工業資產監測、工業漏洞管理功能，通過對外接口輸出定制化話單，支持漏洞管理、監測預警、網絡取證等工業互聯網安全應用系統的分析和展示。

3 實驗和結論

3.1 實驗環境搭建

實驗驗證依托某地域現網環境，開展軟硬件環境搭建和系統集成，面向本地域內的工業資產監測、風險識別、數據安全監測開展驗證和分析工作。

3.1.1 硬件環境

硬件環境搭建由大數據服務器和業務系統服務器組成。服務器配置不低于2×4核CPU，32 GB內存，1 TB硬盤，能夠滿足大部分網絡節點數據采集和業務對接需要。

3.1.2 軟件環境

軟件環境操作系統采用Cent OS 6.8；搭配第三方組件：Base-A10.1-Jdk1.8(版本：1.8.0_162)，BaseA10.1-redis(版本：4.0.9)，BaseA10.1-nginx(版本：1.15.6)，BaseA10.1-mysql-5.7(版本：5.7)；客戶端環境兼容主流瀏覽器：Chrome 45.0.2454.101或以上版本，Firefox 45.1.0或以上版本，IE10或以上版本。

軟件環境配置如表1所示。

表1 軟件環境配置表

3.1.3 系統部署

系統的部署分為前臺數據安全策略顯示和下發模塊，后臺數據采集分析及監測業務模塊。前臺負責顯示流量識別和數據安全情況，并生成合適的策略下發給用戶；后臺設計為統一的大數據分析平臺實現對流量采集和分析，由數據采集、數據庫存儲、數據監測、特征庫模塊等功能組成，是工業數據安全監測應用的核心。

在實際部署業務中，需根據網絡節點的實際情況進行部署調整，但需滿足網絡、硬件及軟件部署所需的最低配置要求。

3.2 實驗結果和應用效果

3.2.1 資產識別和安全風險監測

本文所介紹的技術已廣泛應用于工業互聯網安全監管領域，基于該技術體系打造的工業互聯網安全監測和態勢感知平臺在多地實際部署應用。某地的應用效果(節選)如表2所示，在近期月份監測識別到設備(工控設備、物聯網設備、車聯網設備)106.13萬個，聯網平臺(工業互聯網平臺、物聯網平臺、車聯網平臺)516個。3月份監測到工業互聯網企業安全漏洞333個，安全事件665萬余次。

表2 應用效果對比表

在車聯網應用領域，以某省互聯網專線監測為例，累計發現約58萬條事件數據；其中4個IP定位到其指向同一車聯網平臺“GPS定位管理平臺”，發現成功事件25次、攻擊次數31 479次、涉及單位17個。

3.2.2 工業安全事件案例

在木馬遠控事件中，監測到某單位的*.*.138.14多次訪問美國紐約的IP：199.59.242.153的域名ww25.stats.stuffpicks.com，該惡意域名是用于與網頁木馬遠控端進行通信，經木馬樣本數據與惡意數據包對比，發現數據包內容相同，綜合研判為Trojan.unknown.a.C640木馬遠控事件。

在挖礦病毒危害事件中，監測發現某單位的IP地址*.*.227.26向新加坡的IP地址134.209.100.235，荷蘭阿姆斯特丹的IP地址142.93.137.119、178.128.242.134進行了多次門羅幣挖礦礦池登錄請求，從流量包可以看出攻擊者通過心跳機制keepalive維持與礦機的通信。

3.2.3 工業數據泄露案列

通過某省工業互聯網專線流量分析，發現用戶名、密碼、手機號、GPS、位置信息、郵箱、智能水表、消防儀表等相關信息泄漏，涉及儀器儀表行業、消防安全、交通管理和水務等多個領域。

3.2.4 車聯網跨境通聯案例

基于某工業互聯網專線部分流量分析，發現車聯網信息泄露，包括車牌號、經緯度、sim卡號、速度(軌跡)、車輛狀態等信息。持續監測發現，某熱門合資品牌智能網聯汽車存在跨境通聯行為，跨境訪問前十位目的國家如表3所示。

表3 車聯網跨境通聯統計表

4 結論

工業數據安全是工業互聯網企業數字化安全轉型的前提，是落實工業互聯網企業安全防護的重要保障。得益于NTA技術在工業互聯網及車聯網領域的拓展應用，通過主被動一體化技術面向實際防護對象的數據采集和處理，結合防護對象的實際應用場景和業務流程，集成威脅情報、工業漏洞和安全事件，開展多維關聯分析，積累協議特征庫、應用特征庫、設備指紋庫、行業特征庫，支持聯網“暴露”工業資產監測、工業漏洞管理、工業互聯網態勢感知業務。經實際應用發現，該系統能夠發現聯網暴露工業資產，識別其安全風險，監測各類工業數據泄露事件。

工業數據安全是落實工業互聯網融合發展的核心要義，基于NTA技術開展工業數據安全監測研究是各行業主管單位進行數據安全風險監管的主要手段，是彌補各工業企業開展數據安全防護不足的有效措施。借此可支撐工業數據防護業務拓展到入侵檢測、工業數據分類分級測評、工業敏感數據防護等具體場景。綜合NTA技術探索工業互聯網數據多點跨域環境下遭非法篡改、人為破壞、違規泄露或非法利用時的監測保障和防護處置措施，可作為落實工業數據安全分類分級管理要求、夯實企業主體責任的有效技術抓手。