基于蜜网的工业互联网协同检测技术研究【摘要】本文根据工业互联网

【摘要】本文根据工业互联网的运行特点，提出了一种基于蜜网的工业互联网安全检测评估方法。该方法对于满足工业企业保障网络安全的需求，构建有效的工业互联网安全防护体系具有一定的借鉴意义。
【关键词】工业互联网蜜网协同检测
1引言
工业信息化是世界各国21世纪先进制造业的重要发展方向。为引导制造业升级，近年我国相继发布了《“工业互联网+安全生产”行动计划（2021—2023年）》等发展纲要[1] ，努力实现重点工业领域的智能转型。工业互联网平台作为工业智能化发展的核心载体，实现了海量异构数据汇聚与建模分析、工业制造能力标准化与服务化、工业经验知识软件化与模块化以及各类创新应用开发与运行，支撑了生产智能决策、业务模式创新、资源优化配置和产业生态培育。
而随着工业信息化战略的逐步推进，各种针对工业控制系统的安全攻击事件频发，尤其是“震网”“火焰”“毒区”等APT攻击的出现，充分反映出工业互联网领域中安全威胁日益严峻。现有工业互联网系统架构缺乏有效的安全防护体系，在当前智能开放的大背景下，工业互联网制造生产线中的控制、采集、监控及质量检测设备、现场总线以及ERP ， PDM ， MES ， OA等企业信息系统（EIS）中的核心数据，如工艺数据、生产数据资料、质量测量数据等都随时可能被攻击者窃取或篡改破坏。如何保障工业互联网的安全性，防范工业互联网智能制造生产线中的安全威胁，避免敏感工业数据被不法分子利用，是关系国家安全的重大命题。
本文以工业互联网网络化协同制造平台为研究对象，提出一种基于蜜网的工业互联网协同检测技术，通过在工业互联网的边缘层部署配置多个诱饵蜜罐系统设施[2] ，利用重定向器将攻击信息进行统一收集和分析，结合上层的威胁特征提取检测技术，建立工业互联网协同检测机制，及时识别威胁、阻断威胁攻击，并针对工业互联网平台安全状态进行安全评估，提升现有工业互联网平台的安全防护和预警能力。
2系统架构
蜜网是指在同一监测网络中配置多个诱饵节点的蜜罐系统形态。多个蜜罐诱饵节点的设置通常参考真实业务环境，不同的业务场景有不同的网络拓扑、工作流程及状态更新和控制需求。蜜网由于其高复杂度的诱饵环境特点，可为研究监测攻击行为的入侵及传播方式提供更多深层次信息。
基于蜜网的工业互联网协同检测技术的整体设计思想为：通过部署分布式蜜罐系统构建真实工控蜜网场景，诱捕攻击者进行攻击，从而探测发掘异常流量，并将异常流量重定向至安全分析层，结合海量威胁情报进行关联分析，实现对攻击者的多维度画像，获得攻击者和攻击组织最全面的攻击信息。通过对攻击流量特征进行提取，充分融合工业互联网复杂的网络拓扑结构信息，可实现对工业互联网系统的安全态势进行定量分析。

文章图片
如图1所示，系统整体架构采用的是PDRR分层设计原则，可分为数据捕获、数据存储、安全分析及安全评估4层，各层功能简要描述如下。
（1）数据捕获层：该层主要通过部署在各监控子网的蜜罐系统，结合具有重定向功能监测探针，完成外部攻击行为的数据采集，具体包括：数据记录、数据抓取、数据过滤、数据转发等功能。最终将该网络中所有受监控的可疑流量数据重定向到蜜网控制中心。
（2）数据存储层：针对回传的蜜网攻击行为监测数据，对其进行初步数据清洗、融合等处理，并基于威胁情报、行为解析、事件关联、状态评估等关键技术实现统一蜜网数据融合与存储。