一種面向工業互聯網安全的邊緣設備隨機時間軸流量感知模型

摘要：工業互聯網邊緣設備的數據流量感知對生產穩定性、供應鏈安全性、維護和優化生產過程起著關鍵作用。針對工業互聯網中具有隱身機制的邊緣設備后臺攻擊和多產線底層設備集群后臺的漏洞攻擊等安全問題，提出一種針對邊緣數據突發異常的隨機時間軸流量感知模型。通過在多個工作周期中設置相同時間軸的數據流同步感知時間窗，計算不同工作周期時間窗的數據流量積量的均差比，判斷設備數據流量是否出現異常；并基于該感知模型，利用不同工作周期時間窗的數據流的殘差矩陣和均差比矩陣構建了面向產業集群工業互聯網的全域數據流異常關聯態勢描述模型。實驗表明，所提出的隨機時間軸流量異常感知模型，能實時監測工業互聯網邊緣設備的后臺漏洞產生的安全問題。

關鍵詞：工業互聯網；邊緣設備；異常數據流；感知模型；全域關聯態勢

中圖分類號：TP393 文獻標志碼：A doi：10.3969/j.issn.1006-0316.2024.10.002

文章編號：1006-0316 （2024） 10-0016-06

Random Time-Axis Traffic Perception Model to Ensure Security in

Industrial Internet of Things Edge Devices

DONG Enze，YU Xiaohong，LI Ran，YANG Suixian，LI Yanyan

（ School of Mechanical Engineering， Sichuan University， Chengdu 610065， China ）

Abstract：The perception of data traffic in industrial Internet of Things （IIoT） edge devices plays a crucial role in ensuring production stability and supply chain security， and facilitates the maintenance and optimization of production process. In response to security issues such as background attacks on IIoT edge devices with stealth mechanisms and vulnerabilities in the backend of multi-production-line underlying device clusters， this paper proposes a random temporal axis traffic perception model for detecting sudden anomalies of edge data. The model synchronously perceives time windows of data traffic with the same temporal axis in multiple working cycles， calculates the average difference ratio of data traffic accumulations across different working cycle time windows to identifies anomalies of the data traffic. A comprehensive data traffic anomaly correlation situational awareness model is constructed for the IIoT of industrial clusters， based on residual matrices and average difference ratio matrices of data traffic in different working cycle time windows. The experiment demonstrates that the proposed model can effectively monitor security issues arising from backend vulnerabilities in IIoT edge devices in real-time.

Key words：Industrial Internet of Things （IIoT）；edge devices；anomalous data traffic；perception model；global correlation situation

邊緣設備通常是工業互聯網體系結構的一部分，被部署在接近數據源的地方，可以直接與傳感器、設備和物體連接，具有一定的計算和處理能力，可以在本地對從傳感器和設備收集的數據進行初步的處理和分析。邊緣計算使得在設備附近進行數據處理和決策成為可能，而不必將所有數據傳輸到云端處理。邊緣設備增強了工業互聯網系統的響應速度、減少了網絡負擔，同時也提供了更多的靈活性和適用性，使得工業互聯網系統更加智能和高效[1]。

隨著工業互聯網規模的不斷擴大，數據的處理和存儲問題也愈發嚴峻。邊緣設備的狀態對生產穩定性、供應鏈安全性、維護和優化生產過程起著關鍵作用[2-3]。過去，工業互聯網安全主要側重于云端安全防范，而對如終端生產設備數據安全等內生安全研究不夠。邊緣設備分布分散、工作環境復雜，使得感知數據更容易受到威脅[4]。終端邊緣設備安全風險是工業互聯網內生安全防范的重點，它有時會對工業生產現場乃至整個企業網絡系統造成致命的破壞[5]。因此，實現邊緣設備數據安全監測，對工業互聯網體系的安全至關重要。

邊緣設備突發數據異常狀態重點體現在三個方面：①數據流突然增大或突然減小；②突然產生新的數據類型；③出現數據竄路等情況。對于面向產業集群業務管理的工業互聯網，由于網絡關聯的制造廠家、加工產線、生產設備眾多，其海量數據極易淹沒突然萌生的異常數據。因此，針對邊緣設備數據安全的監測可以通過感知設備數據的狀態來實現。

數據統計表明，迄今發現的工業互聯網邊緣設備安全風險中，數控機床、工業機器人、PLC（Programmable Logic Controller，可編程邏輯控制器）等安全問題最為突出。這些設備除自身的安全漏洞外，往往還存在隱蔽的后臺攻擊及信息泄露漏洞。攻擊者可以通過未授權的網關接入邊緣網絡，訪問網絡設備、應用程序和邊緣服務，對邊緣設備進行惡意攻擊和漏洞攻擊[6]。因此對邊緣設備數據流量的實時感知十分必要。

在數據流量采集方法，常敬超[7]提出采用零信任的思想在邊緣防護網關設置網關控制器，對業務數據流量進行抽樣檢測。郭宇騫[8]提出使用數據采集模塊來負責從邊緣設備和傳感器中采集數據，然后通過邊緣層設備感知和收集環境中的數據。在數據流量異常檢測方面，傳統方法有k-NN（k-Nearest Neighbors）[10]、CUMUL[11]、k-FP（k-fingerprinting）[12]等。k-NN方法采用了一種基于自動學習的多個流量特征權重的k近鄰分類器，CUMUL方法是基于SVM（Support Vector MxAaQ9Q4ptp8qzZAbFlf6Qw==achine，支持向量機）分類器和利用數據包長度累積和的新特征集，k-FP方法是基于隨機森林和k近鄰，編碼了一種新的特征，并將其提供給k近鄰分類器。

本文基于工程實踐的需求，對邊緣設備數據流量的實時感知展開進一步研究，提出一種針對邊緣數據突發異常的隨機時間軸流量感知方法。該方法在實時感知邊緣設備數據流的基礎上，能及時發現突發性數據異常，有效解決異常流量監測實時性和可靠性之間的矛盾[9，13]，進而為構建相應的多產線集群的安全態勢描述模型奠定了基礎。

1 基于時間窗的數據流感知

工業生產系統中，底層工業設備，如數字加工機床、可編程控制器、電氣控制系統等，在一個工作周期內，時間軸上所呈現的數據流曲線大致相同。一個邊緣設備檢測到的正常外溢數據流量分布如圖1所示，其中，相鄰兩個紅色圓點間的時間表示一個工作周期。

若對一個邊緣設備的數據流量進行連續分段采樣，并且每次采樣的時間相同，假設最終的采樣數量為N，即N個工作周期，那么將產生N個關于數據流量的時間窗。對于正常工作的邊緣設備，如果以每個周期的數據流量為基礎計算數據流積累量，那么不同工作周期內的數據流曲線積累量應該相似。按采樣周期描繪的對應時間軸的數據流累積曲線如圖2所示。

為判斷數據流情況，計算：

（1）

式中： 為 與 之間的方差；n＝1， 2， ...， N； 為當前工作周期時間軸上的數據流積累量； 為上個工作周期時間軸上的數據流積累量。

當P趨近于零時，表示不同工作周期中時間軸上的數據流積累曲線相似，可判斷此時數據流基本正常；反之則數據流出現異常。

2 數據流異常判斷

為進行生產系統中某個邊緣設備數據流的異常判斷，在多個工作周期中設置相同時間軸的數據流同步感知時間窗，如圖3所示。其中，工作周期數、時間窗的采樣時間和采樣次數可根據需求任意設置。

以兩個工作周期為例，終端邊緣設備數據流量異常判斷的基本過程為：

（1）設置采樣時間M，構建時間窗；

（2）從某一時刻 開始采樣設備的數據流量，直至 ＋M時刻完成第一周期采樣，并設該周期內任意時刻Ti的數據流量為 ；

（3）從 ＋M時刻開始，到 ＋2M時刻結束，完成第二周期的數據流量采樣，并設該周期內任意時刻Tj的數據流量為 ；

（4）計算兩個時間窗中每次采樣的數據流累積量均值為：

（2）

（5）計算當前時間窗與上個周期時間窗的均差比為：

（3）

（6）當E超過某一數值（通常設置為50%）時，則認為設備數據流量出現異常。記錄數據流異常所在時間窗在時間軸上的時間位置。

研究表明，工業互聯網系統邊緣設備后臺攻擊和數據竊取的形式具有多樣性。如圖4所示，后臺攻擊的數據流往往呈現突發性暴漲的狀態[14，16]，數據竊取的數據流則具有較隱蔽的持續性特征[17-18]。

對于工業互聯網系統邊緣設備的后臺攻擊、數據竊取、數據竄路、數據阻斷等不同類型的異常，還需要在發現數據流出現異常之后，進一步通過數據類型的識別來判斷異常類型。

3 感知器構造及系統布局

面向實際工業生產系統的數據流異常感知有兩種應用形式：①作為通用組件配置在邊緣設備中；②采用云計算方式實施集群檢測。兩種方式都需要通過式（2）、式（3）構造一個監測感知內核，其主要由一個多工作周期時間窗推進引擎、時間窗組件、數據流采樣組件及殘差與均差比計算組件構成，結構如圖5所示。

將數據流監測感知器，即邊緣設備數據流量感知殘差與均差比計算器，以通用組件的形式配置于邊緣設備的感知層，嵌入感知內核，便可固化形成一個組模。該組模能以邊緣計算的形式進行數據流采樣及數值計算。但這種數據流量感知方式僅適合應用于邊緣設備數量規模不大的工業生產系統。

對于邊緣設備數量規模比較大的工業生產系統，必須采用分布式配置的云計算方式進行集群監測，如圖6所示。

該方式是將圖5的感知組件移到工業互聯網云端，采用容器云的管理方式[15]，通過邊緣設備的IP地址，由統一的數據流采樣組件分別對每臺邊緣設備實施輪巡監測，并相應構建多產線生產系統的系統安全態勢的描述模型[19]：

（4）

式中：P、E分別為不同工作周期時間窗數據流的方差矩陣和均差比矩陣； 、 分別為某個時間周期內產線a上的第b個邊緣設備的方差和均差；a、b表示邊緣設備在生產系統的具體位置；A×B為邊緣設備的數量。

方差矩陣P描述了不同工作周期系統的安全狀態，均差比矩陣E反映了不同位置設備數據流發生異常的程度。兩者可以通過可視化組件來呈現。

邊緣設備和感知器的組合構成了產業集群工業互聯網安全管理平臺的基礎。通過感知器可對單個設備的數據流進行監測分析，同時還可以對若干感知器采集到的數據流進行監測分析，以判斷邊緣設備是否存在被惡意攻擊或漏洞攻擊的現象。

4 實驗

本文實驗采用SCADA（Supervisory Control And Data Acquisition，數據采集與監視控制系統）沙箱模式。在生產制造企業實驗室搭建了工業互聯網SCADA系統仿真環境，并進行數據的產生和采集，從而得到可用于工業互聯網平臺的邊緣設備數據流的基礎數據集。同時整合WIDE、WebIdent 2 Traces、MACCDC、website-fingerprinting、webfingerprint attack、Closed World、Open World、Concept drift、exploit ms08 netapi modbus 6RTU with operate數據集進行實驗與分析。這些數據集正負樣本較為均衡，共有258萬條網絡流數據，其中邊緣設備數據流異常樣本量125萬條，正常樣本量133萬條。采用4種方法分別對這2種數據進行實驗，主要分析4種方法在2種數據集上的精度（正確率）、召回率、誤報率和漏報率4項指標，結果如表1所示。可以看出，對于正常數據流，本文方法的4項指標超過了CUMUL和k-NN，低于k-FP；對于異常數據流，本文方法的4項指標都高于其他3種方法。雖然本文方法在邊緣設備正常數據流數據集上表現不是最好，但能夠有效檢測邊緣設備的異常數據流。

5 結語

針對工業互聯網終端邊緣設備的后臺攻擊、數據竊取、數據竄路、數據阻斷等漏洞問題，提出面向邊緣數據突發異常的隨機時間軸流量感知模型，并基于數據流量感知提出多產線生產系統集群檢測的安全勢態描述模型，實現對工業互聯網全域邊緣設備數據流的實時監聽，并可為后續的異常數據流遞階歸集分析、異常數據理解、異常數據類型及異常數據安全威脅性質等多維度解析提供支持。實驗結果表明，該方法能夠有效檢測邊緣設備的異常數據流，檢測精度可達90%。

參考文獻：

[1]魏鏡酈. 基于邊緣計算的智能物聯網應用技術研究[J]. 現代工業經濟和信息化，2023，13（10）：124-126.

[2]陳偉. 邊緣計算與物聯網的融合研究[J]. 自動化應用，2023，64（20）：221-223.

[3]陳露. 移動邊緣計算中物聯網用戶感知數據的安全傳輸方法研究[D]. 天津：天津理工大學，2023.

[4]陳浩挺. 海上移動邊緣網絡中的計算卸載方法研究[D]. 北京：北方工業大學，2022.

[5]董剛，余偉，玄光哲. 高級持續性威脅中攻擊特征的分析與檢測[J]. 吉林大學學報（理學版），2019，57（2）：339-344.

[6]單玉忠，董為，韓夢豪，等. 工業互聯網平臺邊云協同系統建設與應用[J]. 計算機應用，2022，42（S2）：135-139.

[7]常敬超. 移動邊緣計算接入安全防護技術研究[D]. 鄭州：戰略支援部隊信息工程大學，2023.

[8]郭宇騫. 基于邊緣計算與物聯網技術的信息系統項目實時監測及控制平臺開發[J]. 科技創新與應用，2023，13（34）：132-135.

[9]LUCA DERI，STEFANO SUIN，GAIA MASELLI. Design and Implementation of an Anomaly Detection System： an Empirical Approach：Proceedings of Terena TNC 2003[C]. Zagreb，2003.

[10]WANG T，CAI X，JOHNSON I，et al. Effective attacks and provable defenses for website fingerprinting：Proceedings of the 23rd USENIX Security Symposium[C]. USENIX，2014：143-157.

[11]PANCHENKO A，LANZE F，HENZE M. Website fingerprinting at internet scale：Proceedings of the 16th Network and Distributed

System Security Symposium[C]. Network and Distributed System Security Symposium，2016.

[12]HAYES J，DANEZIS G. k-fingerprinting： a robust scalable website fingerprinting technique：Proceedings of the 25th USEUIX Security Symposium[C]. USEUIX，2016：1187-1203.

[13]涂旭平，金海，何麗莉，等. 一種新的網絡異常流量檢測模型[J]. 計算機科學，2005（8）：37-39，54.

[14]苗甫，王振興，郭毅，等. BGP-SIS：一種域間路由系統BGP-LDoS攻擊威脅傳播模型[J]. 計算機應用研究，2017，34（12）：3735-3739.

[15]FEHMI J，DARINE A，AMINE B，et al. Identification of Compromised IoT Devices：Combined Approach Based on Energy Consumption and Network Traffic Analysis：2021 IEEE 21st International Conference on Software Quality， Reliability and Security （QRS）[C]. IEEE，2021：514-523.

[16]茍峰，余諒，盛鐘松. 基于CUSUM算法的LDoS攻擊檢測方法[J]. 四川大學學報（自然科學版），2020，57（3）：476-482.

[17]林懿，龍偉，李炎炎，等. 基于端邊云工業互聯網平臺的軸承RUL預測分析[J]. 電子制作，2022，30（18）：96-100.

[18]邵林，牛偉納，張小松. 物聯網應用場景下自助終端網絡安全威脅評估與應對[J]. 四川大學學報（自然科學版），2023，60（1）：103-113.

[19]BABUN L，AKSU H，ULUAGAC A. A System-level Behavioral Detection Framework for Compromised CPS Devices[J]. ACM Transactions on Cyber-Physical Systems，2020（1）：1-28.