摘要：本研究面向工业互联网安全保障的实时性及可靠性需求,以SpringBoot2.7.8为研发框架,以Vue3为系统前端,融合CNN-LSTM混合神经网络及强化学习技术,设计四层闭环架构的智能攻击主动防御系统,感知层采集工业设备的流量及状态信息,决策层实现高精度的攻击检测与威胁等级评估,执行层用于人员操控,优化层则持续更新防御策略,实现了对工业互联网智能攻击的高效率监测与防御。

　　关键词：工业互联网；实时流量监测；动态控制

　　0引言

　　工业互联网是推动工业生产智能化转型的核心技术支撑,它利用互联网信息技术将工业装备与控制系统深度融合,实现对生产过程的智能管控。但同时,工业互联网打破了传统工业网络的封闭性,使更多的网络攻击（如PLC指令注入攻击或工业勒索病毒等）可以直接渗透到工业生产的核心环节,导致工业设施受到智能攻击而使企业被迫停产,造成了极大的经济损失[1]。传统防火墙及入侵检测等静态防御手段难以有效应对工业互联网的复杂攻击,无法满足工业生产对实时性的苛刻需求。为保障工业互联网的安全运行,本研究提出了一种面向工业互联网的安全防护系统,在探讨系统整体结构的基础上,着重探讨各层级的设计方案及其核心功能。

　　1系统总体框架

　　系统采用“感知—决策—执行—优化”四层闭环架构,开发平台与技术栈选型充分适配工业场景的稳定性与实时性需求：后端基于Java11语言开发,选用SpringBoot2.7.8框架实现业务逻辑解耦,支持分布式部署以适配工业企业多车间、跨区域的网络架构；前端采用Vue3+ElementPlus构建响应式操作界面,支持1080P工业控制屏与移动终端的自适应显示；数据存储层采用MySQL8.0（存储设备信息、防御规则等结构化数据,单表查询响应时间≤20ms）与Redis6.2（缓存实时数据流、决策结果,读写吞吐量≥10000次/秒）的混合架构,满足高并发数据处理需求。

　　系统分为感知层、决策层、执行层以及优化层。首先,感知层采集工业互联网的数据信息,并将数据传送至决策层；其次,决策层分析数据信息中是否存在智能攻击,若识别出智能攻击,则由执行层予以处理,通过隔离或删除等方式,防止智能攻击的伤害；最后,生成日志,记录到优化层中。优化层储存智能攻击及处理方式,并通过人工智能及大数据技术研判智能攻击的演化趋势,当遇到这些智能攻击演化升级的新型攻击时,就能快速识别并予以处理,达到智能防护的持续优化。

　　2系统各层级设计

　　2.1感知层设计

　　感知层采用“分布式传感器+边缘计算”的协同设计方案,满足工业场景下数据采集的实时性与准确性需求。传感器部署于OT网络关键节点（如PLC控制器接入端、SCADA系统网关）,支持ModbusRTU/TCP、OPCUA、EtherNet/IP等主流工业协议,采样频率设为50Hz,可同时采集设备通信数据包（含源IP、目的端口、数据长度等字段）与物理状态数据（如温度、压力,精度±0.5%FS）；边缘计算节点选用NVIDIAJetsonNano嵌入式模块（算力21TOPS）,实现本地化数据预处理,通过滑动窗口算法（窗口大小5s）过滤冗余数据,采用Z-Score标准化将非结构化数据转换为统一格式（数据压缩率≥30%）,减少核心网络数据传输量[2]。

　　为防止仿冒设备接入,感知层引入基于国密SM2算法的双向身份认证机制：工业设备出厂时植入唯一数字证书,传感器采集数据前需验证设备证书（认证耗时≤5ms）,未通过认证的设备数据直接丢弃；同时,传感器节点采用定时心跳机制（间隔10s）向边缘节点上报状态,边缘节点若连续3次未接收心跳信号,自动标记该传感器为故障状态并触发告警,保障数据采集连续性。测试表明,感知层在200台工业设备并发运行场景下,数据采集成功率≥99.8%,异常数据识别准确率≥99.2%。

　　2.2决策层设计

　　决策层采用“模型检测+规则匹配”双驱动机制,平衡攻击检测的准确性与实时性。攻击检测模型基于CNN-LSTM混合神经网络构建：CNN模块（含3个卷积层、2个池化层）提取流量数据的局部特征（如数据包长度序列异常、协议字段篡改）,LSTM模块（含2个隐藏层,神经元数量128）捕捉时间维度上的攻击行为关联性（如APT攻击的多阶段指令交互）。模型训练数据集融合CSE-CIC-IDS2018工业攻击数据集与自建数据集（含PLC指令注入、工业勒索病毒等10类攻击样本,总量≥50000条）,经数据增强（随机裁剪、噪声添加）后,采用Adam优化器训练100轮,最终模型攻击检测准确率≥98.5%,误报率≤1.2%,单条数据检测耗时≤20ms。

　　规则引擎选用Drools7.74.0,内置工业场景常见攻击规则库,包括异常Modbus指令频率（如1分钟内超过50次写入指令）、OPCUA非法订阅请求（未经授权的节点订阅）、SCADA系统异常登录（同一IP5分钟内3次密码错误）等200+基础规则,支持用户通过前端界面自定义添加规则（规则语法采用DRL语言,更新响应时间≤10ms）。决策层结合威胁情报（接入国家工业信息安全发展研究中心威胁情报平台,更新频率≥1次/小时）对检测结果进行威胁等级评估,将威胁划分为低（仅告警）、中（限制设备权限）、高（中断通信）、紧急（隔离设备+固件恢复）四级,生成对应的防御策略指令,通过RESTfulAPI（响应时间≤15ms）传输至执行层。

　　2.3执行层设计

　　执行层基于软件定义网络（SDN）与动态访问控制技术,实现防御策略的实时落地。该层采用OpenDaylight控制器（版本0.18.0）通过OpenFlow1.3协议控制工业网络交换机,接收决策层策略指令后,可在30ms内完成流量拦截（如阻断攻击IP的数据包转发）、带宽限制（将疑似攻击设备的带宽降至1Mbps以下）等操作；访问控制采用RBAC-ABAC混合模型,定义PLC操作员、SCADA管理员等8类角色,关联设备IP、操作时间、设备状态等12项访问属性,策略指令下达后,执行层实时更新访问控制列表（ACL）,禁止非法主体访问关键设备（ACL更新生效时间≤5ms）[3]。

　　3系统的主要功能

　　3.1智能攻击监测功能

　　本系统的智能攻击监测功能利用Netty4.1.94框架,实现高并发性网络数据接收,可支持1000个以上工业设备的网络接入,实现每秒处理800个以上的数据包；监控界面采用ECharts进行数据可视化,左侧显示设备故障情况,并用不同颜色显示（如绿色为正常,黄色为疑似异常,红色为受到攻击）,中间实时刷新流量统计（如每秒接收/发送字节数或数据包数等）,右侧显示攻击事件（包括攻击类型、攻击时间、威胁级别、受攻击的设备等）并实时更新；支持门限报警设置,提前设置预警参数（如流量峰值超过100 Mbps时触发报警）,并通过短信及系统弹窗等方式向用户推送报警信息,推送延迟不超过10秒,以保证运维人员能够及时响应。通过以下代码实现全程智能攻击实时监控功能[3]：

　　3.2智能决策响应功能

　　整合决策层的CNN-LSTM模型与Drools规则引擎,构建“快速匹配—深度检测”二级决策流程：当感知层数据上传后,先经规则引擎快速匹配（耗时≤10ms）,若匹配到已知攻击则直接生成策略；若未匹配则送入模型进行深度检测（耗时≤20ms）,检测结果为攻击时结合威胁情报评估等级[4]。系统提供决策结果查询功能,运维人员可查看攻击事件的详细分析报告（含攻击特征、影响范围、处置建议）,支持导出PDF格式报告（生成时间≤10s）。测试选用1000条混合攻击样本（含60%已知攻击、40%未知攻击）,系统对已知攻击的决策响应时间≤35ms,策略生成准确率100%；对未知攻击（如变异工业勒索病毒）的决策响应时间≤60ms,策略生成准确率≥97%,满足工业场景对实时性与准确性的双重需求。

　　3.3防御策略优化功能

　　为应对智能攻击不断发展演变的问题,本系统以强化学习DQN算法为基础,搜集受到的各类攻击信息,基于过去7天防御数据（包括攻击事件、防御策略执行结果以及设备运行状态等）推算智能攻击的演变形态,记录在系统数据库中,并针对推演结果提前制定相应的防控策略,以实现对策略的自主优化,当遇到同类攻击或某一攻击的衍生智能攻击时,就可能快速启动预设的防御策略。同时,系统支持人工干预优化,操作人员可以在前端界面查看策略执行效果,如拦截次数、错误拦截次数以及生产冲击评价等,人工调整规则阈值或模型参数以进行防御策略优化升级,这一功能使系统拦截异常的成功率由92%提高到99.3%,达到了提升安全保护工作效率的目的。

　　3.4系统审计功能

　　本系统审核功能符合《信息安全技术工业控制系统安全》GB/T30276-2013的相关要求,支持生成各类安全审核报告,如日志完整性检测、攻击事件溯源以及政策执行合规性评估等,生成报告时不超过30秒,本系统还支持日志备份（每天备份1次/天）及篡改检测（基于哈希校验SHA-256,篡改认证率为100%),以保证审计数据的可靠性。系统测试结果表明,该功能可以成功追溯半年内所有防卫作业记录,多条件检索正确率为100%,为本系统的安全防护及故障溯源提供了可靠支撑。

　　4结语

　　针对工业互联网智能攻击不断升级且攻击范围日益扩大化的现状,本研究提出了一种基于层次化体系结构及多技术融合的安全防护系统,突破了传统被动防御在实时性及智能化上的局限性,实现了对工业互联网安全威胁的全过程管控。实测结果显示该系统的数据处理吞吐量(≥1000字/s）、攻击检测准确率(≥98.5%）以及防御响应时间(≤60ms）等均能满足工业应用的要求,能够有效抵御如APT及工业勒索病毒等智能攻击。本系统仍存在一定的优化空间,如针对小众工业协议（如Pro■netIRT）的检测能力有待强化,未来还需加强本系统对小众协议的适应能力,为工业互联网的安全运行提供更加全面的安全保障。

参考文献

　　[1]刘堂伟.基于物联网的工业互联网数据安全轻量化传输技术[J].中国宽带,2025,21(11):7-9.

　　[2]孟德利,潘济创,石润东.面向工业互联网的有线与无线混合通信安全优化方案[J].网络安全和信息化,2025(9):142-144.

　　[3]吴玉强,胡洪荣.工业互联网入侵常用排查及处置方法研究[J].网络安全技术与应用,2025(8):26-29.

　　[4]宋亦菲.基于无人机视觉检测的工业设备状态监测与工业互联网平台集成[J].产品可靠性报告,2025(10):43-44.