工業互聯網資源測繪與安全分析平臺體系研究

【摘   要】 本文通過對網絡空間資源測繪技術的深入研究，詳細介紹了工業互聯網中的若干資源測繪技術，并重點構建了工業互聯網資源測繪與安全分析平臺體系架構，有效提高了工業互聯網整體可控力和安全水平。

【關鍵詞】 工業互聯網 網絡空間測繪技術 資源測繪

1 引言

工業互聯網是新一代網絡信息技術與制造業技術深度融合的產物，是工業實現數字化、網絡化、智能化發展的重要信息基礎設施，為我國實現制造強國、網絡強國提供重要戰略發展機遇。作為支撐國民經濟的重要基礎設施，工業互聯網是工業各行業、企業的“神經中樞”，一旦遭受攻擊，將可能造成全生產鏈、產業鏈乃至全局性重創，對國家的經濟社會穩定運行和國家安全造成巨大沖擊。

安全是工業互聯網健康發展的前提和保障，受到黨中央、國務院高度重視。《國務院關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》中，將安全保障與網絡、平臺建設并列，成為工業互聯網的三大體系之一。全面提升工業互聯網安全保障能力，是促進工業互聯網創新發展，推動現代經濟體系建設，護航制造強國和網絡強國戰略實施的應有之舉。然而，當前我國工業互聯網資源存在“底數不清”“安全不明”“防護不夠”的突出問題，譬如，無法準確統計中國工業互聯網資源數量、分布地域、類型/品牌/型號/版本、工作狀態、安全隱患、被控情況，缺乏對工業互聯網資源及其安全性的準確把握。開展工業互聯網資源測繪和安全分析平臺體系研究，重點對工業互聯網在網設備系統拓撲實時感知、網絡與地理空間多方資源關聯映射等功能進行研究，可有效實現跨地區、跨行業、跨領域的工業互聯網資源圖譜、安全圖譜分析，安全風險監測，風險預警，損害評估和安全態勢可視化能力等為一體的全方位安全能力管控，有力支撐工業互聯網管理部門安全監管工作。

2 工業互聯網中相關資源測繪技術

工業互聯網資源測繪技術是在網絡空間資源測繪技術的基礎上，利用工控協議識別互聯網上工控系統和設備，并通過對設備IP地址進行地理空間映射，實現工業互聯網資源地圖繪制的技術。一方面，互聯網工業資源測繪本質上是資源探測，它利用掃描技術對指定IP段按一定規則進行探測掃描，對各網絡節點反饋的信息進行指紋對比分析，實現對互聯網工業資源的身份識別與安全狀態識別；另一方面，互聯網工業資源測繪也是資源地圖繪制，通過對探測到的工業互聯網資源的IP進行精確定位，實現互聯網工業資源的地理空間映射和工業互聯網資源地圖的繪制。工業互聯網中相關資源測繪技術主要包括網絡空間資產探測技術、網絡空間資產地理位置定位技術、實體地標獲取與評估技術、網絡實體定位技術、資源圖譜的脆弱性分析技術等。

2.1 網絡空間資產探測技術

目前，國內外開展網絡空間資源測繪的探測識別技術主要利用主動探測技術來繪制網絡空間中的設備畫像。主動探測是利用掃描探測工具去主動掃描網絡系統獲取信息，被動探測方法則是通過盡可能少的網絡侵擾，被動監聽網絡獲取信息。從技術實現效果來看，主動探測是國內外對網絡資產進行探測的主流技術方式。這是因為主動探測能夠針對需要探測的信息構建指令，可收集所有生成設備指紋所需要的信息，而被動式探測只能收集會話通道信息。因此，主動探測技術在探測范圍、使用靈活性、結果時效性方面都遠超被動識別技術。但主動探測也會帶來一些明顯的問題。例如，主動探測掃描因為向網絡主動發起詢問，導致流量顯著增加，更易造成網絡繁忙，易被檢測且容易被檢測目標的網絡安全設備發現并隔離；再如，在數據采集與監視控制系統中，主動式掃描可能造成系統過載，主動調試會使設備處理的幀數據的數量增長，可編程邏輯控制器和遠程終端設備均無法支持超出的流量，從而導致正常請求無法響應。被動式監聽網絡由于收集信息復雜則存在指紋準確性問題。

2.2 網絡空間資產地理位置定位技術

在資源地圖的繪制方面，其核心關鍵在于準確掌握互聯網工業資源的地理位置，即資產定位。網絡空間資產定位通常采用的技術手段如下：首先，由定位服務器在收到待定位目標的IP地址后，根據定位精度需求和定位算法的需要部署探測源，并向各探測源（探測源是用于給目標發送探測分組的主機，一般自身地理位置已知）發送相應的測量或查詢指令；其次，探測源根據收到的定位服務器的指令，執行相應的操作，如測量與目標或地標的時延或拓撲連接關系等，并將測量的結果提交給定位服務器；最后，定位服務器將探測源提交的信息進行處理后，執行定位算法，將定位結果輸出并存入地標庫。

2.3 實體地標獲取與評估技術

地標是實現將網絡實體映射到地理位置的基準點。在一個區域內數量較大且分布均勻的地標點，既可為該區域內的目標實體定位提供支撐，也可用于驗證定位算法的有效性�，F有地標獲取方法主要有兩類：基于Web挖掘的地標獲取方法和基于IP定位數據庫的地標獲取方法。

基于Web挖掘的地標獲取方法主要通過對特定互聯網論壇的挖掘來獲得大量的城市級可靠地標。同時也有基于地圖開展地標探測的方法，主要技術手段是：首先，向地圖服務發送指定區域的查詢請求，地圖服務會將該區域內或附近的公司、學術機構及政府機關等組織機構以列表的形式返回，列表中包含這些組織機構詳細的地理位置及其主頁域名；其次，由域名解析出其IP地址，從而得到<域名、IP地址、地理地址>映射關系。該方法可以有效地在Web服務發達地區獲取街道級地標。

基于IP定位數據庫的地標獲取方法目前主要是維護和發布將IP地址映射到地理位置的數據庫，如MaxMind、IP2Location及Quova等。此外，Whois數據庫中也有IP地址塊的地理位置信息，即利用Whois查詢可得到一個IP地址所在地址塊在Whois數據庫中記錄的位置。

2.4 網絡實體定位技術

網絡實體定位技術是實現將實體資源映射到地理空間的核心技術。網絡實體定位技術主要包括基于數據庫查詢的定位、基于數據挖掘的定位和基于網絡測量的定位。

基于數據庫查詢的定位方法由于不需要大量測量，且定位速度快、計算開銷小而得到廣泛應用。當前，互聯網上已有多種對外提供查詢的IP定位數據庫，如Maxmind、IP2location、Quoval、Whois數據庫等。這些數據庫包含IP地址及其地理位置的映射關系，并對外提供查詢接口。用戶只需提交要查詢的IP地址，通常能夠很快獲得查詢結果。

基于數據挖掘的定位方法是試圖從具有組織機構和用戶地理位置信息的網站、手機應用等數據來源中，挖掘地理位置與IP地址之間的關系。典型的定位方法主要包括Structon算法、Checkin-Geo算法等。Structon算法首先使用網絡爬蟲從互聯網上抓取機構等的主頁信息，從中提取電話區號、聯系地址等能夠表達地理位置的信息；然后通過查詢域名將URL轉化為IP，從而將IP地址與地理位置關聯起來；最后將IP按照地址段進行迭代推導，擴大可定位的IP地址范圍，該方法的準確性依賴于所抽取的主頁位置信息與IP地址的映射關系是否準確，易受服務器托管等情況的影響。Checkin-Geo算法首先從某種手機端應用獲取“用戶ID—地理位置”關系數據；再從對應的PC端應用程序中獲取“用戶ID—LOG信息—IP地址”關系數據；最后利用機器學習等方法掌握用戶活動規律，建立起“IP地址—地理位置”關系以實現目標IP定位。該方法可對用戶所處的位置進行較為可靠的分析，將用戶定位至家庭、工作場所或特定的區域，但需要從手機服務提供商和網絡服務提供商處獲得關于目標的大量歷史數據，因此難以適用于非協作環境。

基于網絡測量的定位方法通過測量探測源與目標節點之間的時延（或在此基礎上結合拓撲信息），用不同的方法將時延轉換為地理距離，以不同的方式對目標節點產生距離約束，然后估計出目標節點的位置。根據產生距離約束的方式不同，可進一步分為基于時延的定位算法、基于概率估計的定位算法和基于拓撲的定位算法等。

2.5 資源圖譜的脆弱性分析技術

在安全和防護領域，脆弱性分析技術是資源圖譜中的一個重要研究內容，主要基于資源圖譜拓撲結構，挖掘資源圖譜中的重要性節點，并采用相應的技術手段對其進行脆弱性評估，其目的在于實現對資源圖譜中重要節點的防護或者攻擊，評估其網絡結構，發現資源圖譜的結構脆弱性。

3 工業互聯網資源測繪與安全分析平臺體系

工業互聯網資源測繪與安全分析平臺體系架構主要由互聯網工業資源測繪技術平臺、企業內網工業資源測繪技術平臺、工業互聯網安全融合分析技術平臺和工業互聯網資源測繪與安全分析集成技術平臺組成，具體如圖1所示。

3.1 互聯網工業資源測繪技術平臺

互聯網工業資源測繪技術平臺主要針對開放互聯網中工業平臺和工控聯網設備資源進行探測和分析，平臺統計在互聯網中存在的工業互聯網資源數量，準確標定資源類型、廠商、品牌、型號，勘測資源所屬業務、所處位置和所屬企業，描繪網絡連接和拓撲關系，為工業互聯網安全分析提供基礎數據支撐。

互聯網工業資源測繪技術平臺主要采用海量資源和信息采集、資源屬性識別和推斷、虛假設備識別、IP定位、拓撲探測

等相關技術。其中，資源和信息采集技術主要研究針對網絡防御設備的對抗性探測技術，包括基于模板的開源Web信息爬取技術、快速存活性檢測技術、高效協議標語信息抓取技術、網絡拓撲探測技術等對抗性探測和爬取技術；資源屬性識別與推斷技術包括基于顯性信息的自動化產品屬性識別技術、基于機器學習的隱性信息產品屬性識別技術、多維信息關聯的產品屬主推斷技術等；虛假設備識別包括基于蜜罐架構的虛假設備識別技術、基于深度協議交互的虛假設備識別技術等；IP定位技術包括多源位置信息碰撞選擇定位技術、基于拓撲路徑與延遲的位置估計技術、基于地標的IP地址融合推斷技術等；拓撲探測技術包括多源拓撲融合技術、路由器地址聚合技術、網絡路徑快速檢索技術等。

3.2 企業內網資源測繪技術平臺

企業內網資源測繪技術平臺主要針對工業企業在內部私有云和私有網絡中搭建的工業互聯網應用、平臺開展企業內部工業互聯網資源的探測和分析，標定資源類型、廠商、品牌、型號，甄別企業內部可疑軟硬件資產，厘清企業內部網絡的拓撲關系，構建不同領域工業企業資源關系圖譜，為分析工業企業資源安全風險，提高監管水平提供基礎數據支撐。

企業內網資源測繪技術平臺與互聯網工業資源測繪技術平臺存在較大差異，企業內網工業環境對網絡實時性要求較高，不能直接采用互聯網探測常用的技術。企業內網工業資源測繪技術平臺主要集中在基于流量的資源探測方面。內網資源探測技術主要包括流量采集技術、流量自適應的定向主動探測技術、非法資源被動誘捕技術和流量拓撲分析技術、主被動協同的低打擾產品屬性識別技術、內網交換機探測技術和二層拓撲分析技術、內網業務圖譜構建和生成技術等。企業內網探測同樣需要互聯網開源信息的支撐，可以直接與互聯網工業資源測繪技術共享。

3.3 工業互聯網安全融合分析技術平臺

工業互聯網安全融合分析技術平臺主要針對互聯網和企業內部網絡中的工業互聯網資源，開展互聯網工業資源的安全性普查和驗證，檢測資源面臨的安全威脅，監測工業企業網絡狀態變化，實現對網絡連通出現問題的工業企業及時報警；對工業企業的安全風險開展量化風險評估和損害估計，在超過危險閾值的情況下進行預警；分析互聯網和企業內網工業資源圖譜安全，根據用戶需求動態生成局部和全局的安全態勢，支撐平臺安全態勢繪制和可視化交互。

工業互聯網安全融合分析技術平臺主要包括互聯網和企業內網內的工業資源安全狀態信息采集技術、安全性分析技術和態勢生成技術。安全狀態信息采集技術包括資源漏洞信息采集技術、特種惡意代碼采集技術、網絡連通狀態采集技術等；安全性分析技術主要包括工業協議安全性測試技術、工業資源漏洞驗證技術、企業工業資源安全風險評估和損害估計技術；安全狀態態勢感知技術包括工業互聯網資源圖譜安全構建與推理技術、工業互聯網資源安全態勢生成技術，以及面向工業企業內網的風險監測與預警技術等。安全融合分析技術將以組件的方式集成在分析庫中供平臺配置和調用。

平臺集成測繪與安全數據態勢可視化交互、運行維護、對外提供服務等功能。測繪與安全數據態勢可視化交互技術主要包括數據驅動的所見即所得的用戶交互技術、交互態勢感知生成技術、多層地圖在線渲染技術和大數據可視化技術等；平臺運行維護技術包括分布式資源動態管理技術、統一任務管理技術和平臺安全防護技術等；對外提供服務主要包括重要資源測繪、風險監測預警及應急響應、資產損害評估、威脅情報共享和報送四項服務，為工業互聯網廠商、用戶和監管部門服務。

3.4 工業互聯網資源測繪與安全分析集成技術平臺

工業互聯網資源測繪與安全分析集成技術平臺主要針對系統基礎設施資源、互聯網探測節點/企業探測資源和大數據服務資源的動態管理、探測識別、安全分析、態勢生成等動態任務，支持任務創建、配置、運行和釋放，記錄任務執行歷史；支持探測數據、分析數據、態勢數據的統一接口的存儲、檢索和服務；支撐數據驅動的態勢生成和所見即所得的可視化交互。

工業互聯網資源測繪與安全分析集成技術平臺主要開展重要工業資源測繪服務、風險監測預警響應服務、資產損害評估服務和威脅情報共享與報送服務等功能。

4 結語

開展對工業互聯網資源測繪和安全分析平臺體系研究，搭建工業互聯網資源測繪與安全分析平臺體系架構，推動形成工業互聯網健康發展生態，提高工業互聯網整體可控力和安全水平，其重要意義在于以下3點。

一是在大規模工業互聯網環境下探測和識別工業互聯網設備、系統和平臺等重要資源能夠有效實現設備系統的多維屬性的識別分析，形成設備拓撲關系圖。同時，海量數據存儲技術能夠滿足互聯網級別的數據的實時存儲、實時調用、實時分析等需求。

二是基于分布式服務架構構建企業級工業互聯網測繪系統，具備高速采集、安全檢測、自動協議檢測、網絡安全檢測功能。

三是有效實現了對工業互聯網中安全威脅的分析預警，保證了工業資產的安全性，構建了工業資產在多維尺度上的關聯性態勢分析。 

 

（原載于《保密科學技術》雜志2021年3月刊）