计算机应用软件开发技术研究
            Research on Computer Application Software Development Technology

            为进行分析，提取不同层面的特征（如网络层连接特征用于防火墙制定 ACL 规
            则、应用层内容特征用于提取 IDS 的匹配规则、文件级特征用于病毒扫描），
            对网络流量进行实时自动化分析。这类安全产品的关键是对攻击特征的提取和描

            述，其本质是对攻击行为的建模，而在工业环境内的应用需要学习工业通信协议
            的行为，并且结合业务梳理和日常需求制定白名单防护机制。
                安全分析第三范式：模拟、仿真。随着 APT 的出现，攻击变得越来越复
            杂、特征变化越来越快，以攻击行为建模为基础的分析方式渐渐难以应对，从而

            出现了以虚拟执行技术为代表的新型分析技术。这种技术的本质是模拟被攻击者
            在遭受攻击后的反应，这样无需对攻击行为建模也能检测未知的攻击。
                安全分析第四范式：大数据安全分析。大数据技术的出现，将安全分析提升
            到了新的阶段。有了大数据平台的支撑，安全分析人员可以将各类不同类型的数

            据，如通过渗透测试得到的漏洞信息、通过传统检测设备产生的报警事件、通过
            虚拟执行得到的可疑攻击执行结果，进行大范围地汇总和关联。同时，通过长时
            间的关联，安全分析人员可挖掘某台主机、某个用户的行为异常，从而实现不基
            于签名的未知攻击检测。对于每一条可疑报警，分析人员可以查询与该报警相关

            的各类数据，从而确定报警真实性、攻击源，评估攻击造成的危害。
                从上述分析中可以看到，安全分析方法的发展历程与詹姆士·格雷概括的科
            学研究范式间存在着高度对应的关系，从而可以用科学研究范式来类比安全分析
            方法。而其中，大数据安全分析技术正代表了最前沿的安全分析第四范式。大数

            据安全分析是全新的“全范式安全分析”体系的重要组成部分。
                安全数据的大数据化，以及传统安全分析所面临的挑战和发展趋势，都指向
            了同一个技术——大数据分析。正如 Gartner 在 2012 年明确指出，“网络安全正
            在变成一个大数据分析问题”。于是，业界出现了将大数据分析技术应用于网络

            安全的技术——大数据安全分析。必须特别指出的是，大数据安全分析是指利用
            大数据技术来进行安全分析，而非我们一般所言的大数据安全。大数据安全，通
            常是指研究如何保护大数据自身的安全，包括针对大数据计算和大数据存储的安
            全性。针对在工业企业的网络安全管理平台，需要考虑智能制造背景下的工业大

            数据环境，结合信息系统与生产系统的工业大数据将更加有效地提高分析结果的
            准确性，为安全管理提供决策依据。
                工业大数据是工业领域产品和服务全生命周期数据的总称，包括研究设计、



            ·216·