日本在线www-日本在线播放一区-日本在线不卡免费视频一区-日本在线不卡视频-成人影院久久久久久影院-成人影院一区二区三区

1    項(xiàng)目背景

隨著工業(yè)互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展和工業(yè)網(wǎng)絡(luò)應(yīng)用的普及,工業(yè)互聯(lián)網(wǎng)絡(luò)信息安全問題也層出不窮,各類負(fù)面消息使人們對(duì)工業(yè)互聯(lián)網(wǎng)絡(luò)的態(tài)度更加謹(jǐn)慎。為防止各種網(wǎng)絡(luò)安全隱患,政府、企業(yè)也都提高了宣傳力度。為了更好地保護(hù)互聯(lián)網(wǎng)用戶的企業(yè)信息安全,防止黑客攻擊,工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)與態(tài)勢(shì)感知系統(tǒng)平臺(tái)更好協(xié)助通信管理局實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中的攻擊進(jìn)行監(jiān)測(cè)，實(shí)現(xiàn)“關(guān)鍵行業(yè)，重點(diǎn)監(jiān)測(cè)”、“關(guān)鍵時(shí)刻，快速處置”、“關(guān)鍵態(tài)勢(shì)，多為感知”的全方位、全天候的監(jiān)測(cè)與診斷能力。

“永恒之藍(lán)”事件的威脅風(fēng)波剛剛過去，北京時(shí)間2019年3月20日，全球最大鋁生產(chǎn)商海德魯遭受“LockerGoga” 勒索病毒攻擊，致多個(gè)工廠關(guān)停。北京時(shí)間2019年10月，美國(guó)電網(wǎng)遭網(wǎng)絡(luò)攻擊，紐約停電長(zhǎng)達(dá)4小時(shí)……

從“十三五”中后期開始，我省通信管理局上線了像工業(yè)互聯(lián)網(wǎng)態(tài)勢(shì)感知相關(guān)試驗(yàn)平臺(tái)，對(duì)我省轄區(qū)內(nèi)工業(yè)互聯(lián)網(wǎng)現(xiàn)狀進(jìn)行詳細(xì)的摸底，通過對(duì)省內(nèi)公共互聯(lián)網(wǎng)的抽樣數(shù)據(jù)流量進(jìn)行分析，已經(jīng)取得了初步成效。探明全省觸網(wǎng)工業(yè)資產(chǎn)9萬余個(gè)，捕獲涉及我省工業(yè)資產(chǎn)的安全事件128萬余次，捕獲針對(duì)聯(lián)網(wǎng)工控設(shè)備弱口令、指令篡改等安全風(fēng)險(xiǎn)1291個(gè)。整體工業(yè)互聯(lián)網(wǎng)安全形勢(shì)不容樂觀。

通過多安全事件的分析，不難得出電力系統(tǒng)、通信系統(tǒng)、城市關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)、先進(jìn)制造系統(tǒng)等重要行業(yè)是攻擊的重點(diǎn)，也再次說明了“世界上沒有攻不破的網(wǎng)絡(luò)，也沒有不存在漏洞的系統(tǒng)”，工業(yè)互聯(lián)網(wǎng)威脅防不勝防，工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)也是一種常態(tài)。事實(shí)表明傳統(tǒng)的圍墻模式防護(hù)思維，已沒有辦法監(jiān)管變化多端的新安全形勢(shì)，必須基于持續(xù)監(jiān)測(cè)和即使相應(yīng)的安全能力，也安全監(jiān)測(cè)和態(tài)勢(shì)感知能力，才能對(duì)安全形勢(shì)有完整的了解，并對(duì)未來的態(tài)勢(shì)進(jìn)行預(yù)測(cè)，才能有效地應(yīng)對(duì)當(dāng)前的網(wǎng)絡(luò)安全威脅。

江蘇省是工業(yè)和制造大省，為盡快掌握全省工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)，防范針對(duì)工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)攻擊，提升工業(yè)互聯(lián)網(wǎng)領(lǐng)域網(wǎng)絡(luò)安全威脅信息共享和應(yīng)急處置能力，建設(shè)一個(gè)“可感、可知、可監(jiān)管”的工業(yè)互聯(lián)網(wǎng)安全技術(shù)保障平臺(tái)變得十分必要。

2 項(xiàng)目目標(biāo)

全面提升通管局對(duì)我省工業(yè)互聯(lián)網(wǎng)系統(tǒng)基于電信網(wǎng)絡(luò)流量信息安全的“實(shí)時(shí)監(jiān)測(cè)、全面感知、重點(diǎn)監(jiān)管、綜合分析、預(yù)警通報(bào)、應(yīng)急處置”等方面的能力，為通管局履行“工業(yè)互聯(lián)網(wǎng)信息安全管理工作、指導(dǎo)監(jiān)督工業(yè)互聯(lián)網(wǎng)信息安全保障工作、協(xié)調(diào)處理工業(yè)互聯(lián)網(wǎng)信息安全應(yīng)急和處理重大事件”等監(jiān)管職責(zé)提供有效技術(shù)與平臺(tái)支撐，以及為我省工業(yè)互聯(lián)網(wǎng)專業(yè)實(shí)訓(xùn)人才的培養(yǎng)提供強(qiáng)有力的基礎(chǔ)教學(xué)保障。

2.1項(xiàng)目服務(wù)目標(biāo)

（1）安全數(shù)據(jù)采集：省內(nèi)不少于90家企業(yè)部署安全探針；部署系統(tǒng)與“省工業(yè)信息安全保障平臺(tái)”數(shù)據(jù)對(duì)接；實(shí)現(xiàn)企業(yè)安全告警定期上傳、分析；在省級(jí)平臺(tái)全面展示工業(yè)企業(yè)安全態(tài)勢(shì)。

（2）安全事件分析：形成面向工業(yè)企業(yè)、聯(lián)網(wǎng)設(shè)備與系統(tǒng)的全天候全方位安全監(jiān)測(cè)與態(tài)勢(shì)感知能力；實(shí)現(xiàn)對(duì)我省工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)的分析研判，有效支撐重大工業(yè)安全事件的科學(xué)決策與風(fēng)險(xiǎn)處置。全面提升江蘇省工業(yè)互聯(lián)網(wǎng)安全技術(shù)保障水平。

（3）社會(huì)經(jīng)濟(jì)效益：進(jìn)一步擴(kuò)大省平臺(tái)監(jiān)管范圍，補(bǔ)充增強(qiáng)省平臺(tái)監(jiān)管能力；新增25個(gè)就業(yè)崗位；預(yù)計(jì)產(chǎn)生1000萬元銷售收入，實(shí)現(xiàn)300萬利潤(rùn)，250萬稅收。

3項(xiàng)目實(shí)施與應(yīng)用

針對(duì)用戶在安全性方面的關(guān)切重點(diǎn)是來自互聯(lián)網(wǎng)的攻擊行為，而互聯(lián)網(wǎng)與用戶的辦公網(wǎng)是建立連接的，因此，項(xiàng)目建設(shè)重點(diǎn)是對(duì)辦公網(wǎng)和控制網(wǎng)之間的網(wǎng)絡(luò)流量實(shí)施探針監(jiān)控，以實(shí)時(shí)監(jiān)測(cè)來自互聯(lián)網(wǎng)的網(wǎng)絡(luò)攻擊行為。

目前，該項(xiàng)目已完成在辦公網(wǎng)和生產(chǎn)網(wǎng)之間的安全探針部署，系統(tǒng)已在線連續(xù)運(yùn)行7個(gè)月時(shí)間，幫助用戶對(duì)木馬、病毒、可疑連接、可疑指令等對(duì)象進(jìn)行檢測(cè)和識(shí)別，并對(duì)安全事件進(jìn)行預(yù)警提示。

3.1.1項(xiàng)目實(shí)施方案

該項(xiàng)目的設(shè)備部署方案，如下圖所示。

圖 1部署方案

安全探針部署在生產(chǎn)網(wǎng)和辦公網(wǎng)之間的三層交換機(jī)中，通過旁路方式與三層交換機(jī)進(jìn)行連接，通過端口鏡像的方式實(shí)時(shí)獲取生產(chǎn)網(wǎng)與辦公網(wǎng)之間的網(wǎng)絡(luò)流量，并從中識(shí)別出惡意軟件和惡意指令等異常行為，并對(duì)用戶業(yè)務(wù)不會(huì)產(chǎn)生任何影響。

3.1.2技術(shù)路線

    針對(duì)用戶的應(yīng)用場(chǎng)景和使用需求，項(xiàng)目的技術(shù)路線主要包括工業(yè)控制協(xié)議深度解析、工業(yè)控制網(wǎng)入侵實(shí)時(shí)檢測(cè)、工業(yè)控制網(wǎng)指令安全監(jiān)測(cè)、工業(yè)控制網(wǎng)流量監(jiān)測(cè)、工控設(shè)備智能識(shí)別定位六個(gè)方面，如下圖所示。

圖 2技術(shù)路線

（1）工業(yè)控制協(xié)議深度解析

工業(yè)控制協(xié)議深度解析實(shí)現(xiàn)對(duì)主流工控網(wǎng)絡(luò)協(xié)議（Modbus/TCP、OPC、S7、IEC104等）進(jìn)行研究，全面深層次的解析工控系統(tǒng)通訊語言，建立符合現(xiàn)場(chǎng)工藝的業(yè)務(wù)指令流模型，打破傳統(tǒng)控制系統(tǒng)的黑匣子，可識(shí)別出工控現(xiàn)場(chǎng)上位機(jī)對(duì)下位機(jī)的指令操作、工程師站對(duì)現(xiàn)場(chǎng)工業(yè)控制器的配置變更、以及對(duì)現(xiàn)場(chǎng)開關(guān)量和過程量閥值的輸入等等，可以識(shí)別出網(wǎng)絡(luò)通訊行為與工藝操作行為。同時(shí)， 工業(yè)控制網(wǎng)監(jiān)測(cè)子平臺(tái)支持私有工控協(xié)議的擴(kuò)展接口，可對(duì)不同用戶的私有工控協(xié)議進(jìn)行定制化的二次開發(fā)。

該技術(shù)路線采用DPDK，DPDK是Data Plane Development Kit的縮寫。簡(jiǎn)單說，DPDK應(yīng)用程序運(yùn)行在操作系統(tǒng)的User Space，利用自身提供的數(shù)據(jù)面庫(kù)進(jìn)行收發(fā)包處理，繞過了Linux內(nèi)核態(tài)協(xié)議棧，以提升報(bào)文處理效率。由于包處理任務(wù)存在內(nèi)核態(tài)與用戶態(tài)的切換，以及多次的內(nèi)存拷貝，系統(tǒng)消耗變大，以CPU為核心的系統(tǒng)存在很大的處理瓶頸。為了提升在通用服務(wù)器（COTS）的數(shù)據(jù)包處理效能，采用了服務(wù)于IA（Intel Architecture）系統(tǒng)的DPDK技術(shù)。

DPDK是一組lib庫(kù)和工具包的集合。最簡(jiǎn)單的架構(gòu)描述如下圖所示：

圖 3工控協(xié)議深度解析架構(gòu)

藍(lán)色部分是DPDK的主要組件：

PMD：Pool Mode Driver，輪詢模式驅(qū)動(dòng)，通過非中斷，以及數(shù)據(jù)幀進(jìn)出應(yīng)用緩沖區(qū)內(nèi)存的零拷貝機(jī)制，提高發(fā)送/接受數(shù)據(jù)幀的效率；

流分類：Flow Classification，為N元組匹配和LPM（最長(zhǎng)前綴匹配）提供優(yōu)化的查找算法；

環(huán)隊(duì)列：Ring Queue，針對(duì)單個(gè)或多個(gè)數(shù)據(jù)包生產(chǎn)者、單個(gè)數(shù)據(jù)包消費(fèi)者的出入隊(duì)列提供無鎖機(jī)制，有效減少系統(tǒng)開銷；

MBUF緩沖區(qū)管理：分配內(nèi)存創(chuàng)建緩沖區(qū)，并通過建立MBUF對(duì)象，封裝實(shí)際數(shù)據(jù)幀，供應(yīng)用程序使用；

EAL：Environment Abstract Layer，環(huán)境抽象（適配）層，PMD初始化、CPU內(nèi)核和DPDK線程配置/綁定、設(shè)置HugePage大頁內(nèi)存等系統(tǒng)初始化；

下圖簡(jiǎn)單描述了DPDK的多隊(duì)列和多線程機(jī)制：

圖 4 DPDK多隊(duì)列和多線程機(jī)制

DPDK將網(wǎng)卡接收隊(duì)列分配給某個(gè)CPU核，該隊(duì)列收到的報(bào)文都交給該核上的DPDK線程處理。存在兩種方式將數(shù)據(jù)包發(fā)送到接收隊(duì)列之上：

RSS（Receive Side Scaling，接收方擴(kuò)展）機(jī)制：根據(jù)關(guān)鍵字，比如根據(jù)UDP的四元組<srcIP><dstIP><srcPort><dstPort>進(jìn)行哈希；

Flow Director機(jī)制：可設(shè)定根據(jù)數(shù)據(jù)包某些信息進(jìn)行精確匹配，分配到指定的隊(duì)列與CPU核；

當(dāng)網(wǎng)絡(luò)數(shù)據(jù)包（幀）被網(wǎng)卡接收后，DPDK網(wǎng)卡驅(qū)動(dòng)將其存儲(chǔ)在一個(gè)高效緩沖區(qū)中，并在MBUF緩存中創(chuàng)建MBUF對(duì)象與實(shí)際網(wǎng)絡(luò)包相連，對(duì)網(wǎng)絡(luò)包的分析和處理都會(huì)基于該MBUF，必要的時(shí)候才會(huì)訪問緩沖區(qū)中的實(shí)際網(wǎng)絡(luò)包。

圖 5緩沖區(qū)的網(wǎng)絡(luò)包

（2）工業(yè)控制網(wǎng)入侵實(shí)時(shí)檢測(cè)

隨著工控網(wǎng)絡(luò)的信息化程度加深，所面臨的網(wǎng)絡(luò)攻擊手段也越來越多，各種入侵和病毒攻擊利用工控設(shè)備的漏洞對(duì)工控網(wǎng)絡(luò)進(jìn)行攻擊。

安全探針支持對(duì)入侵行為特征進(jìn)行分析，實(shí)時(shí)捕捉各種攻擊行為。入侵檢測(cè)模塊核心的專家知識(shí)庫(kù)目前包含了共15個(gè)大類的1300余種攻擊特征，并在不斷增加更新中，包括病毒攻擊，木馬攻擊，拒絕服務(wù)攻擊，數(shù)據(jù)庫(kù)攻擊，Web攻擊，Icmp攻擊，F(xiàn)TP攻擊，DNS攻擊，ARP攻擊，郵件攻擊，漏洞攻擊，后門軟件，IP/端口掃描，RPC攻擊，緩沖區(qū)溢出攻擊等等。

（3）工業(yè)控制指令安全監(jiān)測(cè)

安全探針可對(duì)“未知通信行為”、“用戶誤操作”、“用戶違規(guī)操作”、“工藝閾值非預(yù)期波動(dòng)”等進(jìn)行實(shí)時(shí)報(bào)警。

指令變更：指上位機(jī)電腦向下位機(jī)PLC或者DCS控制器發(fā)送開關(guān)閥、開關(guān)泵等操作變化。

閾值報(bào)警：指上位機(jī)電腦讀取下位機(jī)PLC或者DCS控制器傳輸?shù)拈y門狀態(tài)，溫度、壓力等傳感器的數(shù)據(jù)的上限或者下限報(bào)警。

組態(tài)變更：指上位機(jī)電腦向下位機(jī)PLC或DCS灌裝程序，或者從下位機(jī)PLC或DCS上載程序的網(wǎng)絡(luò)行為。

負(fù)載變更：指上位機(jī)與下位機(jī)，或者下位機(jī)PLC或DCS與負(fù)載設(shè)備之間通信的變化。

符合工藝的指令變采用白名單策略，例如某個(gè)閥門的開啟動(dòng)作，而不符合工藝的指令變更是需要報(bào)警，某個(gè)閥門的關(guān)閉動(dòng)作。因此在這個(gè)過程中，安全監(jiān)測(cè)平臺(tái)需要及時(shí)發(fā)現(xiàn)這些合法和非法的網(wǎng)絡(luò)行為，實(shí)時(shí)的進(jìn)行報(bào)警。控制指令安全檢測(cè)采用POWERLINK方法，將一個(gè)執(zhí)行周期分為三個(gè)階段：同步階段、異步階段以及空閑階段。

a）同步階段（Isochronous phase）

在進(jìn)入這個(gè)階段時(shí)，MN首先會(huì)廣播一個(gè)名為SoC（Start of Cycle）的數(shù)據(jù)包，提示網(wǎng)絡(luò)內(nèi)所有的CN注意點(diǎn)名。然后開始挨個(gè)點(diǎn)名。在每一次點(diǎn)名的過程中，一個(gè)叫做 PReq(Poll-Request)的數(shù)據(jù)包會(huì)被定向發(fā)給特定的CN，這個(gè)數(shù)據(jù)包中包含了MN 對(duì)CN中變量的期望值。CN 收到這個(gè)數(shù)據(jù)包之后，會(huì)對(duì)這些變量進(jìn)行處理，并廣播一個(gè)PRes（Poll-Respond），這個(gè)數(shù)據(jù)包中包含了CN 希望其它節(jié)點(diǎn)看到的變量的當(dāng)前值。

POWERLIN引入復(fù)用時(shí)隙的概念（Multiplexed Timeslots），對(duì)某些CN，MN 不必在每個(gè)周期中都對(duì)其進(jìn)行數(shù)據(jù)同步，而是在特定次數(shù)個(gè)周期之后，對(duì)這些CN進(jìn)行數(shù)據(jù)同步。

b）異步階段 （Asynchronous phase）

在進(jìn)入這個(gè)階段時(shí)，MN 會(huì)廣播一個(gè) SoA （Start of Asynchronous）數(shù)據(jù)包，告知網(wǎng)絡(luò)內(nèi)所有用戶，現(xiàn)在是異步時(shí)間，并且這個(gè)數(shù)據(jù)包中應(yīng)當(dāng)包含需要交互的對(duì)象。

在這一階段，MN 只會(huì)與一個(gè)CN 進(jìn)行交互或者不與任何CN交互。如果交互，將以ASnd （Asynchronous Send）數(shù)據(jù)包發(fā)送，MN 只提供一條服務(wù)，并且CN 在接收服務(wù)后可能不會(huì)即時(shí)反饋，而是在數(shù)個(gè)周期后再給出服務(wù)評(píng)價(jià)，這就是所謂的異步階段。

在這一階段MN 提供的服務(wù)包括：身份認(rèn)證（Ident Requests）、狀態(tài)認(rèn)證（Status Requests）、通用傳輸請(qǐng)求（Generic transmit Requests）、發(fā)言請(qǐng)求（Transmit Requests），前三者的發(fā)起人都是 MN, 而第四者的發(fā)起人為 CN。

身份認(rèn)證：在MN 啟動(dòng)之初，所有的CN 都將標(biāo)記為未識(shí)別狀態(tài)，身份認(rèn)證就是識(shí)別這些CN的第一步。如果被點(diǎn)名的CN未做出響應(yīng)，那么MN 將點(diǎn)名下一位CN，直到全部點(diǎn)名完畢后。重新開始新一輪點(diǎn)名，在新一輪點(diǎn)名中，標(biāo)記為識(shí)別狀態(tài)的將被跳過。

狀態(tài)請(qǐng)求：一般在出現(xiàn)錯(cuò)誤時(shí)，MN會(huì)向CN發(fā)起狀態(tài)請(qǐng)求，CN應(yīng)當(dāng)立即相應(yīng)該請(qǐng)求，相應(yīng)內(nèi)容中應(yīng)包含詳細(xì)錯(cuò)誤信息。除此情況外，異步CN 也會(huì)被周期性的發(fā)起該請(qǐng)求以檢查其狀況。

c) 空閑階段（Idel Phase）

在完成同步階段和異步階段后，系統(tǒng)進(jìn)入空閑階段，等待任務(wù)隊(duì)列下發(fā)的數(shù)據(jù)。

（4）工業(yè)控制網(wǎng)流量監(jiān)測(cè)

安全探針可對(duì)被監(jiān)測(cè)控制網(wǎng)絡(luò)中各個(gè)資產(chǎn)的網(wǎng)絡(luò)流量進(jìn)行監(jiān)視，針對(duì)根據(jù)不同的資產(chǎn)設(shè)置不同的流量閾值,進(jìn)行安全預(yù)警。通過流量曲線圖、柱狀圖和詳盡的流量分布表等多種方式對(duì)整個(gè)控制網(wǎng)絡(luò)總體流量監(jiān)測(cè)結(jié)果進(jìn)行展示。

根據(jù)流量監(jiān)測(cè)獲取的數(shù)據(jù)，工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)平臺(tái)還可進(jìn)行流量異常檢查，針對(duì)網(wǎng)絡(luò)中流量的突變和異常的數(shù)據(jù)流模式，適時(shí)發(fā)送流量相關(guān)警報(bào)信息，為用戶提供了了解網(wǎng)絡(luò)異常狀態(tài)的新途徑。

項(xiàng)目采用sFlow技術(shù)連續(xù)實(shí)時(shí)地監(jiān)視交換機(jī)/ 路由器的每一個(gè)端口, 采集的數(shù)據(jù)種類繁多, 長(zhǎng)時(shí)間運(yùn)行數(shù)據(jù)量大, 這些數(shù)據(jù)并非是面向事務(wù), 而主要是面向分析, 因此采用了數(shù)據(jù)倉(cāng)庫(kù)技術(shù)。sFlow技術(shù)和數(shù)據(jù)倉(cāng)庫(kù)技術(shù)的結(jié)合, 為網(wǎng)絡(luò)流量分析提供了一個(gè)非常好的架構(gòu)。如下圖所示, 該架構(gòu)分為五個(gè)模塊: 數(shù)據(jù)采樣模塊、數(shù)據(jù)接收模塊、數(shù)據(jù)存儲(chǔ)與管理模塊和數(shù)據(jù)分析模塊。

下面詳細(xì)敘述這五個(gè)模塊的功能。

圖 6流量監(jiān)測(cè)功能架構(gòu)

a）數(shù)據(jù)采樣模塊：該模塊實(shí)際上就是一個(gè)支持 sFlow 機(jī)制的交換機(jī)或路 由器, 由制造商在內(nèi)部加入硬件采樣器( ASIC) 。硬件采樣器完成數(shù)據(jù)采樣功能, 并將采樣數(shù)據(jù)發(fā)往 sFlow Agent?？赏ㄟ^超級(jí)終端對(duì)硬件采樣器的采樣頻率進(jìn)行設(shè)置。采樣數(shù)據(jù)分為兩種: 一種是在網(wǎng)絡(luò)中的數(shù)據(jù)包( Flow Sample) ; 另一種是交換機(jī)/ 路由器本身產(chǎn)生的數(shù)據(jù)( Count Sample) , 包括采樣間隔、接口狀態(tài)、數(shù)據(jù)包丟失率等。采樣過程由專用硬件完成, 對(duì)交換機(jī)/ 路由器的性能沒有影響。

b）數(shù)據(jù)接收模塊：該模塊由 sFlow Agent 和數(shù) 據(jù) 存儲(chǔ) 子模 塊 實(shí)現(xiàn)。 sFlow Agent是交換機(jī)/ 路由器的一部分, 與硬件采樣器不同的是sFlow Agent 屬于軟件部分。sFlow Agent由Sam- pler和Poller 兩部分組成, 前者接收網(wǎng)絡(luò)中的數(shù)據(jù) Flow Sample, 后者接收接口統(tǒng)計(jì)數(shù)據(jù)(Count Sample)。sFlow Agent 接收到的數(shù)據(jù)按照 RFC 3176規(guī)定的統(tǒng)一格式編碼, 并以UDP 數(shù)據(jù)包的形式向指定的目的地進(jìn)行發(fā)送。數(shù)據(jù)存儲(chǔ)子模塊位于指定目的地的指定IP 地址和指定端口, 該模塊接收sFlow Agent 發(fā)來的合法的sFlow 數(shù)據(jù)包, 并按照 RFC 3176 的統(tǒng)一格式進(jìn)行解碼。 然后將解碼后的數(shù)據(jù)存入數(shù)據(jù)源。數(shù)據(jù)源是一個(gè)或多個(gè)數(shù)據(jù)庫(kù), 它以一定的結(jié)構(gòu)組織存儲(chǔ)原始數(shù)據(jù), 該數(shù)據(jù)庫(kù)是面向事務(wù)的, 可支持一些實(shí)時(shí)的事務(wù)處理; 同時(shí), 數(shù)據(jù)源也是后面數(shù)據(jù)倉(cāng)庫(kù)的基礎(chǔ), 是構(gòu)建于該架構(gòu)之上的網(wǎng)絡(luò)性能管理、流量分析的數(shù)據(jù)源泉。

c）數(shù)據(jù)存儲(chǔ)與管理模塊：該模塊是架構(gòu)的核心, 架構(gòu)的真正關(guān)鍵是數(shù)據(jù)的存儲(chǔ)與管理。數(shù)據(jù)倉(cāng)庫(kù)的組織形式?jīng)Q定了它有別于傳統(tǒng)數(shù)據(jù)庫(kù), 同時(shí)也決定了其對(duì)外部數(shù)據(jù)的表現(xiàn)形式。 該模塊的功能是從數(shù)據(jù)源抽取數(shù)據(jù), 對(duì)所抽取的數(shù)據(jù) 進(jìn)行篩選、清理, 將處理過的數(shù)據(jù)導(dǎo)入或加載到數(shù)據(jù)倉(cāng)庫(kù)中, 根據(jù)用戶的需求設(shè)立數(shù)據(jù)集市, 完成數(shù)據(jù)倉(cāng)庫(kù)的復(fù)雜查詢、決策分析和知識(shí)挖掘等。同時(shí), 針對(duì)不同類型的數(shù)據(jù)進(jìn)行相應(yīng)的數(shù)據(jù)管理。

d）數(shù)據(jù)分析模塊：該模塊對(duì)分析需要的數(shù)據(jù)進(jìn)行有效集成, 按多維模型予以組織, 以便進(jìn)行多角度、多層次的分析,并發(fā)現(xiàn)趨勢(shì)。 該模塊包括數(shù)據(jù)分析器和事件分析器。數(shù)據(jù)分析包括三方面的功能:

基本統(tǒng)計(jì)功能, 如按線路、路由器端口、網(wǎng)絡(luò)或自治域統(tǒng)計(jì)流量; 按應(yīng)用類型統(tǒng) 計(jì)流量分布。

性能趨勢(shì)預(yù)測(cè), 按照一些數(shù)學(xué)模型, 如時(shí)間序列預(yù)測(cè)、回歸分析、概率預(yù)測(cè)、判斷預(yù)測(cè)技術(shù)、最優(yōu)分割預(yù)測(cè)、判斷分析預(yù)測(cè)等, 對(duì)基礎(chǔ)數(shù)據(jù)做進(jìn)一步加工處理, 作為網(wǎng)絡(luò)規(guī)劃的參考。

數(shù)據(jù)關(guān)聯(lián)分析, 利用數(shù)據(jù)挖掘技術(shù)對(duì)基礎(chǔ)數(shù)據(jù)進(jìn)行旋轉(zhuǎn)、關(guān)聯(lián), 發(fā)現(xiàn)潛在的問題。在進(jìn)行數(shù)據(jù) 分析時(shí), 數(shù)據(jù)掃描任務(wù)由一組數(shù)據(jù)掃描器實(shí)現(xiàn)。數(shù)據(jù)掃描 器的功能是把數(shù)據(jù)( 或一批數(shù)據(jù)) 按特定要求格式化, 以供后續(xù)性能分析工具所用。事件分析器根據(jù)特定的原則進(jìn)行事件過濾, 并決定適當(dāng)?shù)奶幚矸绞健Ｊ录淳o急程度劃分為不同的優(yōu)先級(jí), 優(yōu)先級(jí)高的事件優(yōu)先響應(yīng)。對(duì)于由同一問題引發(fā)的連續(xù)事件盡量歸并, 對(duì)于不同來源的事件應(yīng)盡量關(guān)聯(lián)。

（5）工控設(shè)備智能識(shí)別定位

安全探針具有半自動(dòng)網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)技術(shù)和半自動(dòng)拓?fù)淅L制技術(shù)，可將被監(jiān)測(cè)的工業(yè)控制網(wǎng)的拓?fù)湓陧撁嫔蟿?dòng)態(tài)呈現(xiàn)。包括識(shí)別上下位設(shè)備的IP地址、MAC地址等設(shè)備屬性發(fā)現(xiàn)網(wǎng)絡(luò)資產(chǎn)，以及管理員對(duì)拓?fù)鋱D上的設(shè)備屬性進(jìn)行修改、添加設(shè)備或者刪除設(shè)備，并根據(jù)設(shè)備通信狀態(tài)進(jìn)行連線生成動(dòng)態(tài)拓?fù)鋱D。

當(dāng)控制網(wǎng)中設(shè)備發(fā)生異常行為，安全探針可直接在拓?fù)鋱D相應(yīng)設(shè)備上進(jìn)行報(bào)警。獨(dú)特的不間斷的網(wǎng)絡(luò)監(jiān)視功能，非常直觀方便的告知用戶是哪臺(tái)設(shè)備發(fā)生異常。網(wǎng)絡(luò)拓?fù)淇赏耆尸F(xiàn)出網(wǎng)絡(luò)中正在進(jìn)行的工作過程及安全事件，更直觀的對(duì)入侵行為進(jìn)行監(jiān)測(cè)。

安全探針可自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)資產(chǎn)及資產(chǎn)間通信狀態(tài)，可半自動(dòng)生成網(wǎng)絡(luò)結(jié)構(gòu)動(dòng)態(tài)拓?fù)鋱D并可通過人工修改拓?fù)鋱D。動(dòng)態(tài)拓?fù)鋱D上可完全呈現(xiàn)出網(wǎng)絡(luò)中正在進(jìn)行的工作過程及安全事件，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中用戶資產(chǎn)的梳理，實(shí)時(shí)可見通訊狀態(tài)，以及報(bào)警的精準(zhǔn)定位。

案例分析(案例1-蘇州某光伏企業(yè))：

檢測(cè)到網(wǎng)絡(luò)攻擊：發(fā)現(xiàn)有境外掃描器對(duì)企業(yè)內(nèi)網(wǎng)資產(chǎn)進(jìn)行掃描嗅探。

檢測(cè)到有害程序：發(fā)現(xiàn)2臺(tái)資產(chǎn)中木馬，并且木馬程序與外部CC服務(wù)器連接。

檢測(cè)到了有害程序：發(fā)現(xiàn)永恒之藍(lán)病毒。

處置方式：

內(nèi)網(wǎng)資產(chǎn)關(guān)閉不必要的映射端口和服務(wù)到互聯(lián)網(wǎng)。

外網(wǎng)出口防火墻配置安全訪問防護(hù)策略。

對(duì)中木馬的資產(chǎn)進(jìn)行病毒查殺，并進(jìn)行主機(jī)加固。

案例分析(案例2-江蘇某化工企業(yè))：

檢測(cè)到惡意程序傳播：多臺(tái)服務(wù)器有傳播惡意程序。

檢測(cè)網(wǎng)絡(luò)攻擊：網(wǎng)絡(luò)掃描。

檢測(cè)到有害程序：基于smb協(xié)議傳輸惡意文件。

檢測(cè)到異常違規(guī)行為事件：sql緩沖區(qū)溢出攻擊

處置方式：

內(nèi)網(wǎng)防火墻增加安全防護(hù)策略，異常IP加入黑名單。

內(nèi)網(wǎng)資產(chǎn)關(guān)閉不必要的端口和服務(wù)。

對(duì)指定資產(chǎn)進(jìn)行病毒木馬查殺，并進(jìn)行主機(jī)加固。

案例分析(案例3-江蘇某電氣公司)：

檢測(cè)到有害程序：基于http協(xié)議的傳輸惡意文件，蠕蟲傳播。

檢測(cè)到有害程序：檢測(cè)到相關(guān)間諜軟件用戶代理。

檢測(cè)到網(wǎng)絡(luò)攻擊事件：檢測(cè)到基于http協(xié)議的ddos攻擊工具HOIC。

檢測(cè)到網(wǎng)絡(luò)工具事件：檢測(cè)到基于http的目錄穿越

處置方式：

發(fā)現(xiàn)了大量攻擊，與IT人員溝通，防護(hù)墻壞了導(dǎo)致，重裝防火墻進(jìn)行網(wǎng)絡(luò)攻擊防范。

4 效益分析

（1）貫徹落實(shí)信息安全政策文件和支撐服務(wù)政府工作

貫徹落實(shí)黨中央、國(guó)務(wù)院相關(guān)文件精神，構(gòu)建涵蓋省級(jí)重要節(jié)點(diǎn)的工業(yè)監(jiān)測(cè)網(wǎng)絡(luò)，加強(qiáng)對(duì)所轄工業(yè)企業(yè)日常監(jiān)督管理，形成快速高效、各方聯(lián)動(dòng)的信息通報(bào)預(yù)警.Yeah體系，持續(xù)完善我省工業(yè)網(wǎng)絡(luò)安全保障體系。

（2）推動(dòng)工業(yè)4.0、兩化深度融合在我省安全可靠發(fā)展

構(gòu)建企業(yè)側(cè)態(tài)勢(shì)感知系統(tǒng)，建立完善的監(jiān)管體系，實(shí)現(xiàn)對(duì)全省工業(yè)企業(yè)安全事件監(jiān)督管理，全力保障我省工業(yè)企業(yè)轉(zhuǎn)型升級(jí)。

（3）逐步形成我省工業(yè)互聯(lián)網(wǎng)信息安全風(fēng)險(xiǎn)預(yù)警和信息共享能力

全面掌握我省工業(yè)互聯(lián)網(wǎng)暴露在公網(wǎng)的工業(yè)資產(chǎn)情況以及工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全狀況，有效促進(jìn)我省各級(jí)主管部門和工業(yè)互聯(lián)網(wǎng)運(yùn)營(yíng)單位提升工業(yè)網(wǎng)絡(luò)安全意識(shí)、及時(shí)開展風(fēng)險(xiǎn)消減，逐步形成我省工業(yè)控制信息安全風(fēng)險(xiǎn)預(yù)警和安全信息共享能力。