导读

大数据技术的核心就是大数据分析。

大数据分析技术就是大数据的收集、存储、分析和可视化的技术，是一套能够解决大数据的5V（海量、高速、多变、低价值密度、真实）问题，分析出高价值（Value）的信息的工具集合。

当前网络与信息安全领域，正在面临着多种挑战。一方面，企业和组织安全体系架构的日趋复杂，各种类型的安全数据越来越多，传统的分析能力明显力不从心；另一方面，新型威胁的兴起，内控与合规的深入，传统的分析方法存在诸多缺陷，越来越需要分析更多的安全信息，并且要更加快速地做出判定和响应。于是，业界出现了将大数据分析技术应用于信息安全的技术——大数据安全分析。

大数据安全分析是指利用大数据技术来进行安全分析，而非我们一般所言的大数据安全(Big Data Security)。大数据安全，通常是指研究如何保护大数据自身的安全，包括针对大数据计算和大数据存储的安全性。

借助大数据安全分析技术，能够更好地解决海量安全要素信息的采集、存储的问题，借助基于大数据分析技术的机器学习和数据挖掘算法，能够更加智能地洞悉信息与网络安全的态势，更加主动地、弹性地去应对新型复杂的威胁和未知多变的风险。

在过去10年里，工业企业正在将工业控制系统和大数据结合在一起，为管理层提供洞察力，以优化工厂运营的规划和效率，并持续改进决策。

由于所有工业数据都通过网络进行路由，网络之间的相互连通性日益增加，威胁也在不断升级。为了对抗威胁攻击，工业企业逐渐加强了对工控安全的投入，部署了大量的工控安全产品，各种类型的工控安全数据也越来越多，工控安全也面临大数据带来的挑战。于是，业界也需要研究大数据分析技术应用于工控安全的技术——工控大数据安全分析。

工控大数据安全分析不仅要解决大量安全要素信息的采集、存储的问题，还要解决工控安全数据的语义分析、理解和可视化，同时基于机器学习和数据挖掘算法建立工控安全基线防护模型，智能应对工控网络中的未知威胁，洞悉工控网络的安全态势。

近年来，从“中国制造2025”到“互联网+”，工控安全领域安全问题日益加剧，针对工控系统的在线监测能力和主动防御能力是重塑工控安全的重要组成部分，工控系统中问题的发生和解决的过程中会产生大量数据，通过分析数据，可以识别风险使之可视化，并对实时数据及趋势数据进行威胁判断，发现重大威胁信息及时报警，提高工控系统安全防护能力，有助于解决工控的安全问题。

在工控安全领域，基于工控大数据安全分析技术的产品刚刚起步，比较有代表性的是国外的Claroty、国内的威努特等专注于工控安全的企业。

以色列  Claroty

Claroty隶属于以色列网络安全孵化器Team 8。Team 8与包括思科、微软、高通、AT&T、埃森哲、诺基亚等在内的全球合作伙伴及投资者建立了强大的网络安全联盟。Claroty主要为关键性基础设施的工业网络提供安全防御，其产品旨在保护ICS系统，并持续监控OT网络中的威胁，确保其正常运行。

Claroty提供了每个站点的控制资产的清晰视图，并显示实时状态；学习表示每个资产的合法行为的连接、会话和命令的有限集，以及违反此基准的异常行为的警报，对正常但高风险变化提供实时监控，指示网络中存在不同的恶意状态和活动的资产行为；使用安全的深度包检测来持续监视OT网络，提供主动网络增强和事件响应取证。

Claroty采集的数据主要为资产、流量，数据的分析采用了深度包检测技术将资产的合法行为的连接、会话和命令记录下来，数据的建模引入了机器学习技术，建立了资产的合法行为基准，并对违反此基准的异常行为告警。

中国  威努特

北京威努特技术有限公司成立于2014年，是国内首家专注于工控安全领域的国家高新技术企业，全球仅六家荣获国际自动化协会安全合规学会认证的企业之一，多次入选中国网络安全企业50强。

2018年以独创的“白环境”整体解决方案为核心正式推出自主研发的一款工控领域的大数据安全分析产品——生产安全集中监测平台。

生产安全集中监测平台采用“一个中心、三重发现”的建设理念，其中一个中心是指生产安全集中监测平台，三重发现是指发现工控网络区域边界、网络通信、计算环境的安全问题的能力。

生产安全集中监测平台，通过主机探针采集工程师站、操作员站上的进程启动事件、USB外设启动事件、非法外联事件、操作系统安全事件、应用程序日志等各类计算环境数据；通过边界探针采集边界区域的工控协议指令事件、ACL访问控制事件、边界流量等各类区域边界数据；通过网络通信探针采集生产控制大区的网络通信流量、工控协议指令、漏洞攻击事件、病毒木马攻击事件等各类网络通信数据；通过无损的主动探测自动识别采集工控设备资产信息；通过Syslog、SNMP等协议采集第三方安全设备的安全事件、流量日志和设备监控状态等安全设备数据。上述数据，通过日志泛化、数据归并、模式匹配、关联分析等数据处理后，存储到生产安全集中监测平台。

生产安全集中监测平台通过机器学习建立资产的网络行为基准和主机行为基准，建立网络边界的工控协议指令白名单，建立计算环境的程序白名单、外设白名单，并通过白名单模型对非法事件告警。

生产安全集中监测平台通过资产画像，自动识别资产的类型、厂商和型号，自动识别资产的高危漏洞、安全基线弱点、可疑互联记录等行为，结合人工智能的知识图谱技术自动识别工控网络中的攻击路径。

生产安全集中监测平台通过将大数据安全分析技术和人工智能技术相结合，可以将工控网络中的资产可视化、拓扑可视化、流量可视化、攻击可视化，为工业企业带来全新的、可视化的生产安全监测体验。

总结来说，只有将数据与场景结合才能真正地发挥数据的价值，只有将大数据安全分析技术与工控场景结合才能真正地发挥工控数据的价值。当前的工控大数据安全分析产品，采集的数据主要为计算环境上的各类安全事件、区域边界的流量和工控协议指令、网络通信的流量和各类安全事件、资产的各类信息，将大数据分析技术和人工智能技术相结合，将数据的建模引入了机器学习技术，将数据的分析引入了知识图谱技术，同时提升数据的可视化技术，方便工业企业进行安全运维。

♦ 聚焦工控安全评估检测 | 威努特全国渠道招募会吹响集结号-北京站