工业互联网推动当前以 “人与人” 连接为核心的互联网走向 “人 - 机 - 物” 全面互联，扩展了网络空间的边界和功能。与此同时，工业互联网也打破了工业控制系统传统的封闭格局，使大量工业互联网控制层、设备层、网络层、标识解析层、平台层、数据层等安全问题凸显，线上线下安全风险交织叠加放大，安全形势更为复杂，威胁到了工业企业、民生、国民经济、甚至国家发展的安全。

流量作为贯穿工业互联网安全的“血液”，是开展工业互联网安全行为分析、异常检测和威胁发现等研究与能力建设的关键要素，也是提升工业互联网安全监测水平、改善服务质量和提高安全管理能力的前提和基础。

工业互联网流量既涵盖工业企业内网的OT流量，亦包括工业企业外网以及工业企业与工业互联网平台通信过程中的IT流量，相比于传统互联网流量，工业互联网流量具有分布广、采样位置分散，数据来源和数据类型多种多样、形式不一等特征，传统的网络流量分析技术无法直接适用于工业互联网流量的安全分析，且随着标识解析技术、IPV6和5G等新兴网络通信技术的引入，给工业互联网流量安全分析带来更多新的需求与挑战。

1.工业互联网业务复杂难以形成通用方案

工业互联网涉及钢铁、能源、化工、制造等众多领域，涉及智能制造、自动化生产、智能调度等各种应用场景，其中不同的工业互联网应用场景采用不同的设备、操作和业务逻辑，使得工业互联网流量因领域、场景不同呈现不同的分布及统计规律特性，难以形成通用方案。为提高工业互联网流量安全分析的实际应用效果，需根据不同领域、不同业务场景定制化解决方案。

2.工业互联网海量数据流对处理性能提出更高要求

工业互联网的大量设备、标识解析节点、平台互联互通产生了海量的流量，不同的工业系统、标识解析协议也产生了各种类型的流量。出于工业设备高实时性要求，在满足流量海量高并发的同时，要求处理的时延控制在毫秒级甚至微秒级，为工业互联网流量的快速解析、精确识别、高效处理带来了挑战。

3.工业互联网终端海量异构导致流量数据难以采集

工业互联网将接入海量的终端，未来终端数据将是工业互联网流量的重要组成部分。然而，工业互联网终端的海量异构，为流量采集与分析带来了挑战。一是大部分工业互联网终端设计时并没有考虑流量采集接口问题，使得终端流量数据难以获取；二是工业设备种类繁多，难以形成通用采集方案，定制化采集方案成本过高;三是部分终端数据将涉及企业的核心业务信息，使得该部分数据无法开放，为工业互联网终端数据采集和标注带来挑战。

4.新型网络架构引入为工业互联网安全分析带来困难

随着5G+工业互联网落地与实施，引入5G、TSN等新型网络技术的同时对流量采集与安全分析带来了挑战。在5G新型网络中，因为时延要求引入切片技术，新型业务在不同切片的灵活配置，使得5G网络流量采集涉及面广，流量安全分析需要具备海量应用识别能力和快速更新迭代能力，导致安全分析难度加大。

5.加密手段为工业互联网流量识别带来挑战

出于保障数据传输安全性的考虑，部分工业互联网平台或系统会采用支持加密的工业互联网协议进行安全传输，例如工业控制协议OPC-UA、S7comm-PLUS，工业物联网协议MQTT、CoAP,标识解析协议Handle等，在保证数据隐私安全的同时，导致数据解析、实体识别、资源识别、文件识别和有害恶意特征签名检测等传统流量分析检测技术失效，为工业互联网加密流量安全分析带来挑战。

6.工业互联网异构导致协议识别与特征提取难度较大

由于工业互联网业务场景具有高度的复杂性，使得工业互联网协议异构且复杂，且其中大多为私有协议，具有封闭性、排他性的特点，使得针对工业互联网流量进行安全分析不仅需要具备识别和分析工业资产、厂商、传输协议、应用协议等多维度技术能力，还需具备对未知协议识别分析的增量扩展能力。此外，工业互联网终端、控制系统、平台等要素会产生海量、高维、非线性、时序性强的流量数据，应用场景各异会导致不同场景下的流量特征不同，使得业务流量特征提取和建模成本较高，给工业互联网的安全流量分析带来了困难。

7.流量安全分析粒度不足，存在一定局限性

目前工业互联网安全流量分析在能力支撑方面存在一定的局限性。一方面是安全感知能力不足，目前工业互联网流量识别粒度粗，可分析的信息有限，仅能识别流量相关的协议、五元组等粗粒度信息，无法感知细粒度、具有安全价值的信息，影响工业互联网安全态势感知覆盖范围；另一方面流量溯源能力不足，现有安全流量分析手段无法有效溯源敏感流量的流向、流量数据来源等，亟需提升流量分析对安全分析的支撑能力。

工业互联网流量安全分析是工业互联网网络安全检查、分析、管理的重要抓手。为有效提升工业互联网流量安全分析能力水平，亟需从多角度出发，构建工业互联网流量安全分析技术架构，为相关机构、企业有效利用工业互联网流量进行安全分析、在线监测、安全运营提供参考。

来源：国家工业信息安全发展研究中心