煤礦井下互聯(lián)網(wǎng)全流量回溯智能分析系統(tǒng)研究

摘 要：面對(duì)煤礦井下互聯(lián)網(wǎng)日益復(fù)雜的態(tài)勢和嚴(yán)峻的安全挑戰(zhàn)，提出了一種煤礦井下互聯(lián)網(wǎng)全流量回溯智能分析系統(tǒng)技術(shù)方案，通過全方位監(jiān)控、智能分析與安全防護(hù)確保井下網(wǎng)絡(luò)穩(wěn)定運(yùn)行，有效應(yīng)對(duì)網(wǎng)絡(luò)攻擊，保障煤礦生產(chǎn)安全。系統(tǒng)設(shè)計(jì)緊密圍繞煤礦井下的環(huán)境特點(diǎn)與安全需求，實(shí)現(xiàn)井下網(wǎng)絡(luò)全流量實(shí)時(shí)采集、深度分析與可視化展現(xiàn)。集成多重安全防護(hù)手段，防范惡意攻擊、數(shù)據(jù)竊取及非法訪問。系統(tǒng)具備異常檢測與入侵防御能力，能夠?qū)崟r(shí)識(shí)別并攔截安全威脅。通過實(shí)時(shí)監(jiān)控報(bào)警、自動(dòng)化響應(yīng)處理及可視化展示，確保安全事件快速發(fā)現(xiàn)、精準(zhǔn)定位與高效處置。系統(tǒng)架構(gòu)采用井上井下聯(lián)動(dòng)模式，功能豐富，能夠?yàn)槊旱V管理人員提供全面、直觀的網(wǎng)絡(luò)狀態(tài)視圖。研究提出的方案集成了先進(jìn)的網(wǎng)絡(luò)監(jiān)控、分析與安全技術(shù)，形成了適應(yīng)煤礦井下特性的全方位網(wǎng)絡(luò)安全解決方案，具有重要的理論意義與實(shí)踐價(jià)值。

關(guān)鍵詞：煤礦井下網(wǎng)絡(luò)；全流量回溯；智能分析；安全防護(hù)；網(wǎng)絡(luò)監(jiān)控；異常檢測

中圖分類號(hào)：TP39 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2095-1302（2024）09-0-08

DOI：10.16667/j.issn.2095-1302.2024.09.034

0 引 言

在煤炭產(chǎn)業(yè)邁向智能化、信息化的新時(shí)代背景下，煤礦井下互聯(lián)網(wǎng)作為連接和支撐各類關(guān)鍵業(yè)務(wù)與應(yīng)用的核心基礎(chǔ)設(shè)施，其重要性日益凸出[1-3]。然而，隨著煤礦井下網(wǎng)絡(luò)系統(tǒng)的復(fù)雜度不斷提升，承載的業(yè)務(wù)日益繁多，加之網(wǎng)絡(luò)環(huán)境的封閉性與特殊性，井下設(shè)備、軟件與系統(tǒng)的多樣性和潛在漏洞，使得煤礦井下網(wǎng)絡(luò)安全面臨著前所未有的嚴(yán)峻挑戰(zhàn)[4-5]。傳統(tǒng)的依賴個(gè)人經(jīng)驗(yàn)的運(yùn)維方式在應(yīng)對(duì)復(fù)雜且瞬息萬變的網(wǎng)絡(luò)環(huán)境時(shí)作用有限，難以及時(shí)發(fā)現(xiàn)并有效解決潛藏的網(wǎng)絡(luò)安全隱患，導(dǎo)致網(wǎng)絡(luò)故障頻發(fā)，嚴(yán)重時(shí)甚至可能誘發(fā)重大的安全事故，對(duì)煤礦生產(chǎn)活動(dòng)的正常進(jìn)行、員工的生命安全以及企業(yè)的經(jīng)濟(jì)效益構(gòu)成巨大威脅[6-8]。

國內(nèi)外成功經(jīng)驗(yàn)證明，提升煤礦智能化、信息化對(duì)煤礦礦井安全具有重要作用。在此基礎(chǔ)上，學(xué)者們對(duì)煤礦互聯(lián)網(wǎng)安全進(jìn)行了廣泛研究。鐘兆華等[9]將人工智能應(yīng)用于控制智能系統(tǒng)，在礦山煤礦采掘、運(yùn)輸?shù)拳h(huán)節(jié)實(shí)現(xiàn)了智能化運(yùn)行，在保證煤炭穩(wěn)定運(yùn)輸環(huán)節(jié)具有重要意義。權(quán)曉鵬[10]提出了煤礦智能礦井安全防護(hù)系統(tǒng)，實(shí)現(xiàn)了工控網(wǎng)絡(luò)審計(jì)、病毒防護(hù)、流量監(jiān)控的整體防護(hù)，并將其應(yīng)用于高河能源有限公司。孫磊等[11]提出了基于軟件定義網(wǎng)絡(luò)的煤礦企業(yè)數(shù)據(jù)中心安全服務(wù)鏈技術(shù)，解決了安全服務(wù)資源可視化的靈活調(diào)度問題，保障了安全設(shè)備無感知上下線。張春坡[12]通過研究縱深防御體系思想，結(jié)合該露天礦的控制系統(tǒng)和網(wǎng)絡(luò)現(xiàn)狀，解決了該煤礦工業(yè)控制網(wǎng)絡(luò)的安全防護(hù)問題。張倫[13]設(shè)計(jì)了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全建設(shè)體系，通過區(qū)域劃分、邊界防護(hù)、運(yùn)維管控、內(nèi)部審計(jì)等措施構(gòu)建了西灣露天煤礦工控安全縱深防御體系，降低了該礦的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

顧闖[14]分析了煤礦工控網(wǎng)絡(luò)安全防護(hù)中的井上安全防護(hù)體系以及井下傳輸通信、井下控制執(zhí)行和安全防護(hù)策略，通過大數(shù)據(jù)分析方法，建立了網(wǎng)絡(luò)異常預(yù)測系統(tǒng)架構(gòu)和模型程序設(shè)計(jì)方法。丁恩杰等[15]提出了基于“互聯(lián)網(wǎng)+”的感知礦山安全監(jiān)控系統(tǒng)，驗(yàn)證了在煤礦安全監(jiān)控系統(tǒng)上采用“互聯(lián)網(wǎng)+”技術(shù)可以降低重大安全事故發(fā)生的概率，減少人員傷亡。王啟峰[16]在采集控制層采用多系統(tǒng)井下融合方案，介紹了一種井下融合分站的設(shè)計(jì)，實(shí)現(xiàn)了多種系統(tǒng)之間的數(shù)據(jù)

共享。

操作系統(tǒng)、應(yīng)用軟件、網(wǎng)絡(luò)設(shè)備、生產(chǎn)管理系統(tǒng)、辦公業(yè)務(wù)系統(tǒng)都普遍存在未知的漏洞，越來越復(fù)雜的井下網(wǎng)絡(luò)系統(tǒng)和井下的特殊環(huán)境使得依靠個(gè)人經(jīng)驗(yàn)的運(yùn)維方式難以為繼，煤礦礦井互聯(lián)網(wǎng)面臨日益復(fù)雜的態(tài)勢和嚴(yán)峻的安全挑戰(zhàn)。因此，亟需在現(xiàn)存煤礦互聯(lián)網(wǎng)系統(tǒng)基礎(chǔ)上處理潛在的網(wǎng)絡(luò)安全問題并進(jìn)一步提升網(wǎng)絡(luò)穩(wěn)定性，對(duì)保證煤礦正常生產(chǎn)具有重大意義。

本文在某礦現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)上，采用網(wǎng)絡(luò)全流量回溯智能分析技術(shù)和先進(jìn)的安全分析算法，結(jié)合網(wǎng)絡(luò)設(shè)備、服務(wù)器、軟件等組成部分，設(shè)計(jì)煤礦礦井互聯(lián)網(wǎng)全流量回溯智能分析系統(tǒng)，解決網(wǎng)絡(luò)穩(wěn)定性、數(shù)據(jù)加密、身份驗(yàn)證、異常檢測和入侵防御等重要問題。

1 礦用全流量回溯系統(tǒng)原理

1.1 礦井網(wǎng)絡(luò)運(yùn)維復(fù)雜條件分析

煤礦井下網(wǎng)絡(luò)環(huán)境因其封閉性、復(fù)雜性以及對(duì)關(guān)鍵業(yè)務(wù)的高度依賴，呈現(xiàn)出顯著的特殊性。網(wǎng)絡(luò)設(shè)施必須適應(yīng)地下空間狹小、潮濕、多塵、溫差大、電磁干擾強(qiáng)等極端條件，要求設(shè)備具備良好的耐候性、防爆性、抗干擾性。同時(shí)，隨著煤礦智能化水平的提升，井下網(wǎng)絡(luò)系統(tǒng)集成了安全監(jiān)控、無線通信、人員定位、工業(yè)控制、視頻監(jiān)控等多種業(yè)務(wù)，形成了復(fù)雜的網(wǎng)絡(luò)架構(gòu)，增加了運(yùn)維難度。由于環(huán)境限制，傳統(tǒng)運(yùn)維方式難以有效實(shí)施，故障排查和維護(hù)成本高，對(duì)網(wǎng)絡(luò)運(yùn)維智能化、遠(yuǎn)程化提出了迫切需求。因此，需要在礦井中采用全流量網(wǎng)絡(luò)分析系統(tǒng)解決上述問題。

1.2 全流量網(wǎng)絡(luò)回溯架構(gòu)設(shè)計(jì)

全流量回溯系統(tǒng)是以分布式系統(tǒng)和數(shù)據(jù)倉庫為核心、以Web端作為前端的網(wǎng)絡(luò)流量回溯分析系統(tǒng)。其核心組成如

圖1所示。

在服務(wù)器端內(nèi)網(wǎng)中采用網(wǎng)絡(luò)數(shù)據(jù)包捕獲工具實(shí)時(shí)獲取網(wǎng)絡(luò)流量數(shù)據(jù)，通過解析分析，提取關(guān)鍵信息包括源IP、目標(biāo)IP、端口號(hào)、協(xié)議類型等，作為元數(shù)據(jù)用于后續(xù)分析。元數(shù)據(jù)被儲(chǔ)存到分布式數(shù)據(jù)庫中，借此提供大規(guī)模數(shù)據(jù)的存儲(chǔ)和查詢功能。在數(shù)據(jù)庫中，采用水平擴(kuò)展方式將數(shù)據(jù)分散到多個(gè)儲(chǔ)存節(jié)點(diǎn)中，提升儲(chǔ)存容量和查詢性能，并以Elasticsearch作為底層搜索引擎，提升查詢和搜索速度。元數(shù)據(jù)在數(shù)據(jù)庫中采用索引數(shù)據(jù)結(jié)構(gòu)保存，借此采用倒排索引技術(shù)，對(duì)關(guān)鍵字段如源IP、目標(biāo)IP進(jìn)行快速定位。通過配置靈活的查詢語言，對(duì)用戶數(shù)據(jù)進(jìn)行復(fù)雜的過濾分析，通過查詢語言可指定某段時(shí)間、某個(gè)IP地址或協(xié)議類型，得到特定網(wǎng)絡(luò)流量數(shù)據(jù)。

1.3 局部離群因子異常流量識(shí)別算法

KNN（K-Nearest Neighbors）算法在全流量回溯分析系統(tǒng)中用來識(shí)別網(wǎng)絡(luò)流量中的異常行為或潛在的攻擊模式。此算法基于鄰近性原理，應(yīng)用局部離群因子（Local Outlier Factor， LOF）信息來判斷測試數(shù)據(jù)點(diǎn)是否屬于異常。若個(gè)別數(shù)據(jù)點(diǎn)的LOF值顯著高于正常數(shù)據(jù)點(diǎn)的LOF值，認(rèn)為該點(diǎn)存在異常。LOF值越高，表明該點(diǎn)越孤立，即與周圍數(shù)據(jù)點(diǎn)相比密度更低，則認(rèn)定為異常流量。

局部離群因子算法是一種用于檢測數(shù)據(jù)集中離群點(diǎn)（異常值）的統(tǒng)計(jì)方法，特別適合于網(wǎng)絡(luò)流量異常監(jiān)測場景。其核心思想是比較一個(gè)數(shù)據(jù)點(diǎn)與其鄰居的密度，如果一個(gè)數(shù)據(jù)點(diǎn)的鄰域內(nèi)的點(diǎn)比它本身具有更高的密度，則認(rèn)為該點(diǎn)是離群點(diǎn)。相較于傳統(tǒng)離群識(shí)別算法，LOF具有以下特點(diǎn)：適應(yīng)非均勻分布數(shù)據(jù)，在密度不同的區(qū)域可有效識(shí)別異常點(diǎn)；考慮局部密度，在絕對(duì)距離基礎(chǔ)之上添加數(shù)據(jù)點(diǎn)周圍的局部密度，可有效捕捉視覺上的非異常點(diǎn)；具有自適應(yīng)性，可根據(jù)數(shù)據(jù)集的不同調(diào)整檢測標(biāo)準(zhǔn)，利于在不同密度子空間中識(shí)別異常；擁有多維數(shù)據(jù)有效性，多維數(shù)據(jù)條件下性能較好；擁有相對(duì)離群度，在量化異常程度的基礎(chǔ)上給出相對(duì)離群度，有助于區(qū)分不同程度異常。

1.3.1 K鄰近距離

距離數(shù)據(jù)點(diǎn)P的鄰近點(diǎn)內(nèi)，第k個(gè)最近點(diǎn)與P點(diǎn)間的距離為P的K鄰近距離，公式如式（1）所示：

dk（P）=d（P， O） （1）

式中：點(diǎn)O為距離P點(diǎn)最近的第k個(gè)點(diǎn)。當(dāng)K點(diǎn)和O點(diǎn)作用相同時(shí)，則dk（P）=d（P， O）=d（P， K）。

在找到第k個(gè)最近點(diǎn)后，采用歐氏距離計(jì)算公式，則兩點(diǎn)間的距離可表示為：

（2）

1.3.2 K距離領(lǐng)域

在找到第k個(gè)最近點(diǎn)后，以點(diǎn)P為圓心，以K鄰近距離dk（P）為半徑作圓，圓內(nèi)部的范圍即稱作K距離領(lǐng)域，公式

如下：

Nk（P）={d（P， O'）≤dk（P）} （3）

1.3.3 局部離群因子計(jì)算

設(shè)D（x）為數(shù)據(jù)點(diǎn)x的密度估計(jì)，Nk（P）為P的K距離領(lǐng)域中的點(diǎn)集，|Nk（P）|為該點(diǎn)集中的點(diǎn)數(shù)量，則LOF（x）可定義如下：

（4）

式中：表示數(shù)據(jù)點(diǎn)x的所有鄰居y的平均局部可達(dá)密度與x自身密度的比值。如果比值大于1則說明x比鄰居密度低，暗示可能是離群點(diǎn)。是分子部分的歸一化因子，用以調(diào)整不同密度對(duì)鄰域大小的

影響。

通過計(jì)算每個(gè)數(shù)據(jù)點(diǎn)的LOF值，可以確定LOF值顯著高于一般水平的數(shù)據(jù)點(diǎn)，這些點(diǎn)可能是網(wǎng)絡(luò)流量中的異常流量或者離群點(diǎn)。

1.4 時(shí)間序列特征與狀態(tài)空間構(gòu)建

狀態(tài)空間模型（State Space Model， SSM）是一種被廣泛應(yīng)用于信號(hào)處理、控制理論、時(shí)間序列分析等領(lǐng)域的數(shù)學(xué)框架，它特別適合于描述隨時(shí)間變化的系統(tǒng)。在網(wǎng)絡(luò)安全領(lǐng)域，狀態(tài)空間模型可以用來描述網(wǎng)絡(luò)流量、用戶行為等隨時(shí)間變化的動(dòng)態(tài)特性，配合KNN算法，可更好地識(shí)別異常

行為。

1.4.1 時(shí)間序列模型狀態(tài)空間描述

假設(shè)時(shí)間序列{yt}是原始網(wǎng)絡(luò)流量時(shí)間序列，狀態(tài)空間模型可有效提取數(shù)據(jù)中長期趨勢Tt、季節(jié)項(xiàng)St、循環(huán)項(xiàng)Ct以及殘量It，使數(shù)據(jù)序列趨于平穩(wěn)。狀態(tài)空間變換分為乘法模型和加法模型，常采用乘法模型進(jìn)行處理，如式（5）

所示：

yt=Tt×St×Ct×It （5）

對(duì)于一般非時(shí)變動(dòng)態(tài)系統(tǒng)，假定其具有n維量測向量{yt}和m維狀態(tài)向量{Xt}，量測向量是通過某些物理手段可以觀測到的變量，而狀態(tài)向量是用來描述系統(tǒng)動(dòng)態(tài)特征的變量，一般是無法觀測到的變量。只有狀態(tài)向量和量測向量結(jié)合起來，才能對(duì)系統(tǒng)的動(dòng)態(tài)特征做完整而充分的描述。為此，采用狀態(tài)空間模型，將n維量測向量{yt}與m維狀態(tài)向量{Xt}結(jié)合，對(duì)系統(tǒng)動(dòng)態(tài)特征進(jìn)行充分完整的描述。

1.4.2 狀態(tài)空間模型

狀態(tài)空間模型具有以下特點(diǎn)：

（1）不僅能反映系統(tǒng)內(nèi)部狀態(tài)，而且可以揭示系統(tǒng)內(nèi)部與外部輸入輸出變量關(guān)系；

（2）將多個(gè)變量時(shí)間序列轉(zhuǎn)換為向量時(shí)間序列，適用于解決多輸入輸出變量情況下的建模問題；

（3）能用現(xiàn)在與過去的最小信息描述系統(tǒng)狀態(tài)。

狀態(tài)方程描述動(dòng)態(tài)系統(tǒng)從前一時(shí)刻到當(dāng)前時(shí)刻的變化規(guī)律，如式（6）所示：

Xt=ΦXt-1+wt （6）

測量方程描述觀測值與系統(tǒng)狀態(tài)之間的變化關(guān)系，如

式（7）所示：

yt=AXt+vt （7）

式中：Φ為狀態(tài)轉(zhuǎn)移矩陣；A為測量矩陣；wt為狀態(tài)噪聲；vt為測量噪聲。

假定A與Φ都是不隨時(shí)間改變的常系數(shù)矩陣，則式（6）和式（7）可分解為如下形式：

（8）

式中：Φ1、A1、X1t、w1t對(duì)應(yīng)趨勢項(xiàng)；Φ2、A2、X2t、w2t對(duì)應(yīng)循環(huán)項(xiàng)；Φ3、A3、X3t、w3t對(duì)應(yīng)季節(jié)項(xiàng)。確定出趨勢項(xiàng)（趨勢差分?jǐn)?shù)k）、循環(huán)項(xiàng)（AR模型階數(shù)p）、季節(jié)項(xiàng)（季節(jié)階數(shù)d），即可寫出對(duì)應(yīng)的狀態(tài)空間模型。

假設(shè)k=2、p=2、d=1時(shí)，時(shí)間序列方程的矩陣化形式可以描述為式（9）：

（9）

最后，通過Kalman濾波方法對(duì)非平穩(wěn)時(shí)間序列進(jìn)行外推、內(nèi)插及平滑，計(jì)算出每個(gè)時(shí)刻的狀態(tài)向量，進(jìn)而估計(jì)狀態(tài)向量序列{Xt}，以此類推得到{}。將估計(jì)的{}與真實(shí)

的{yt}進(jìn)行對(duì)比，設(shè)定對(duì)應(yīng)的閾值，結(jié)合LOF離群因子，判斷其中的異常點(diǎn)。

2 煤礦井下互聯(lián)網(wǎng)全流量回溯智能分析系統(tǒng)設(shè)計(jì)

2.1 系統(tǒng)需求與架構(gòu)設(shè)計(jì)

煤礦井下網(wǎng)絡(luò)環(huán)境具有獨(dú)特的物理特性，如濕度大、溫度波動(dòng)劇烈、存在強(qiáng)烈振動(dòng)和電磁干擾，這些因素對(duì)網(wǎng)絡(luò)設(shè)備選型、布線設(shè)計(jì)以及信號(hào)傳輸具有顯著影響。設(shè)備需具備防水防潮、耐高溫、抗振以及良好的電磁兼容性，如采用密封封裝、防腐材料、工業(yè)級(jí)溫度標(biāo)準(zhǔn)設(shè)計(jì)、彈性減振支架、屏蔽線纜等措施，確保在惡劣環(huán)境中網(wǎng)絡(luò)穩(wěn)定地運(yùn)行和信號(hào)準(zhǔn)確可靠地傳輸。

在網(wǎng)絡(luò)運(yùn)行方面，井下網(wǎng)絡(luò)常采用環(huán)形、樹形或混合型拓?fù)?，以適應(yīng)煤礦地形和確保數(shù)據(jù)傳輸?shù)倪B續(xù)性，主要設(shè)備包括工業(yè)級(jí)交換機(jī)、無線基站、傳感器節(jié)點(diǎn)、通信接口轉(zhuǎn)換器和安全網(wǎng)關(guān)，同時(shí)采用工業(yè)以太網(wǎng)、WirelessHART、ZigBee、LoRa等通信協(xié)議。網(wǎng)絡(luò)需支持監(jiān)測監(jiān)控、自動(dòng)化控制、應(yīng)急通信等關(guān)鍵業(yè)務(wù)，要求具有實(shí)時(shí)性、高帶寬、低延遲、高可靠性和快速響應(yīng)能力，以保障煤礦生產(chǎn)的安全高效運(yùn)作。

在上述分析基礎(chǔ)上，煤礦井下網(wǎng)絡(luò)全流量回溯智能分析系統(tǒng)的構(gòu)建嚴(yán)格遵循以下設(shè)計(jì)原則，以確保其適應(yīng)煤礦井下的特殊環(huán)境，滿足高安全、高可靠、易管理的需求，同時(shí)充分利用現(xiàn)代網(wǎng)絡(luò)安全技術(shù)實(shí)現(xiàn)精準(zhǔn)監(jiān)測與智能防護(hù)。

（1）系統(tǒng)設(shè)計(jì)嚴(yán)格遵守國家和行業(yè)相關(guān)標(biāo)準(zhǔn)，如

GB/T 3836系列、MT/T 209、MT/T 210等標(biāo)準(zhǔn)，確保設(shè)備的隔爆能力兼本安特性，滿足煤礦井下爆炸性環(huán)境的使用

要求。

（2）設(shè)備需具備抗高溫、抗?jié)駸?、抗沖擊、抗振動(dòng)等能力，通過GB/T 2423系列標(biāo)準(zhǔn)環(huán)境試驗(yàn)認(rèn)證，在惡劣井下環(huán)境中穩(wěn)定運(yùn)行。

（3）全流量覆蓋需采用旁路接入方式，準(zhǔn)確無損捕獲并分析煤礦井下網(wǎng)絡(luò)的所有流量。

（4）系統(tǒng)需集成多種安全防護(hù)手段，包括但不限于防火墻、入侵檢測、反病毒，形成多層次防御體系，實(shí)現(xiàn)安全事件的自動(dòng)響應(yīng)與聯(lián)動(dòng)處置。

（5）系統(tǒng)提供友好的用戶界面和便捷的管理工具，支持用戶自定義監(jiān)控指標(biāo)和報(bào)警閾值，且架構(gòu)設(shè)計(jì)具備良好的可擴(kuò)展性，能夠隨煤礦業(yè)務(wù)發(fā)展進(jìn)行平滑升級(jí)。

圖2為礦井互聯(lián)網(wǎng)全流量回溯智能分析系統(tǒng)的拓?fù)浣Y(jié)構(gòu)，圖中詳細(xì)展示了煤礦井下互聯(lián)網(wǎng)全流量回溯智能分析系統(tǒng)的各個(gè)組成部分，包括分析平臺(tái)、交換機(jī)、萬兆工業(yè)環(huán)網(wǎng)、井下和地面設(shè)備設(shè)施等。圖3為礦用隔爆兼本安型網(wǎng)絡(luò)流量分析網(wǎng)關(guān)，在拓?fù)浣Y(jié)構(gòu)中扮演“緊急應(yīng)對(duì)措施”的角色，如連接斷電器斷電和聲光報(bào)警器報(bào)警等。

2.2 系統(tǒng)功能模塊與關(guān)鍵技術(shù)

2.2.1 核心功能模塊

煤礦井下網(wǎng)絡(luò)全流量回溯智能分析系統(tǒng)構(gòu)建了多個(gè)核心功能模塊，以實(shí)現(xiàn)對(duì)井下網(wǎng)絡(luò)的全方位監(jiān)控與管理。

（1）網(wǎng)絡(luò)性能監(jiān)控模塊負(fù)責(zé)實(shí)時(shí)跟蹤丟包率、時(shí)延和帶寬利用率，通過可視化視圖快速定位問題線路，結(jié)合多段分析技術(shù)精準(zhǔn)查明故障原因。

（2）網(wǎng)絡(luò)拓?fù)浔O(jiān)控模塊則以圖形化方式呈現(xiàn)設(shè)備間、系統(tǒng)間的網(wǎng)絡(luò)狀態(tài)及應(yīng)用服務(wù)質(zhì)量，對(duì)異常狀態(tài)以顯著顏色標(biāo)示，方便快速識(shí)別并定位問題。

（3）自定義指標(biāo)監(jiān)控模塊允許用戶按需定制監(jiān)控視圖，展示鏈路、IP、會(huì)話等對(duì)象的關(guān)鍵指標(biāo)，支持個(gè)性化布局和多視圖輪播，滿足多樣化監(jiān)控需求。

2.2.2 異常行為與流量監(jiān)控分析模塊

系統(tǒng)專設(shè)異常網(wǎng)絡(luò)行為監(jiān)控模塊，支持用戶自定義異常訪問行為警報(bào)規(guī)則，如黑白名單異常、可疑域名訪問等，以圖形化形式展示警報(bào)詳情及對(duì)業(yè)務(wù)的影響。

網(wǎng)絡(luò)鏈路流量分析模塊能夠深入剖析鏈路流量構(gòu)成、帶寬利用率等，支持基線分析、對(duì)比分析及趨勢分析，助力線路評(píng)估、流量統(tǒng)計(jì)和問題排查。

數(shù)據(jù)包特征回查與在線解碼模塊允許基于IP、端口等條件查詢歷史數(shù)據(jù)包，提供詳細(xì)信息列表及在線解碼功能，便于深度分析網(wǎng)絡(luò)事件。

2.2.3 可視化報(bào)告模塊

系統(tǒng)提供可視化報(bào)表功能，生成包含日?qǐng)?bào)、周報(bào)、月報(bào)在內(nèi)的分析數(shù)據(jù)圖表，支持定時(shí)發(fā)送至指定郵箱，便于直觀了解網(wǎng)絡(luò)狀態(tài)和安全態(tài)勢。在核心技術(shù)層面，系統(tǒng)運(yùn)用全流量回溯分析、深度包檢測（DPI）、智能分析算法等先進(jìn)技術(shù)，對(duì)井下網(wǎng)絡(luò)流量進(jìn)行全面、深度的監(jiān)控與分析，及時(shí)發(fā)現(xiàn)潛在威脅。系統(tǒng)配備自動(dòng)化響應(yīng)機(jī)制，可根據(jù)分析結(jié)果自動(dòng)觸發(fā)警報(bào)、切斷危險(xiǎn)連接等，確?？焖賾?yīng)對(duì)安全事件。采用數(shù)據(jù)加密、多因素身份認(rèn)證等技術(shù)確保數(shù)據(jù)安全與訪問控制的有效性；高可用與冗余設(shè)計(jì)可保證系統(tǒng)在極端環(huán)境下穩(wěn)定

運(yùn)行。

2.3 礦井應(yīng)用系統(tǒng)技術(shù)特點(diǎn)與設(shè)備配置

本文的煤礦井下網(wǎng)絡(luò)全流量回溯智能分析系統(tǒng)以礦用隔爆兼本安型網(wǎng)絡(luò)流量分析網(wǎng)關(guān)為核心，結(jié)合地面機(jī)房的網(wǎng)絡(luò)數(shù)據(jù)分析中心，實(shí)現(xiàn)對(duì)井下網(wǎng)絡(luò)設(shè)備的全面監(jiān)控與管理。系統(tǒng)通過旁路采集、分析和存儲(chǔ)所有網(wǎng)絡(luò)流量數(shù)據(jù)，運(yùn)用回溯分析、數(shù)據(jù)包特征識(shí)別以及自定義報(bào)警等功能，快速響應(yīng)潛在網(wǎng)絡(luò)隱患和未知攻擊。系統(tǒng)能夠?qū)W(wǎng)絡(luò)訪問性能、系統(tǒng)服務(wù)性能、應(yīng)用響應(yīng)性能等關(guān)鍵性能指標(biāo)進(jìn)行智能分析，并能通過實(shí)時(shí)監(jiān)控與可視化報(bào)告為煤礦管理人員和安全人員提供及時(shí)、準(zhǔn)確的安全態(tài)勢感知服務(wù)，助力迅速應(yīng)對(duì)安全事件，有效提升煤礦井下的安全性和生產(chǎn)效率。

本文的系統(tǒng)采用了先進(jìn)的網(wǎng)絡(luò)全流量回溯智能分析技術(shù)，具備較高的實(shí)時(shí)監(jiān)測與應(yīng)對(duì)能力，能精準(zhǔn)識(shí)別惡意軟件、網(wǎng)絡(luò)入侵、未授權(quán)訪問等安全威脅，并且能夠?qū)Ξ惓ＴO(shè)備行為與狀態(tài)進(jìn)行智能識(shí)別。系統(tǒng)內(nèi)置自動(dòng)化響應(yīng)機(jī)制，可根據(jù)分析結(jié)果自動(dòng)觸發(fā)警報(bào)、阻斷網(wǎng)絡(luò)連接或執(zhí)行其他安全措施，顯著縮短應(yīng)急響應(yīng)時(shí)間，降低風(fēng)險(xiǎn)損失。系統(tǒng)提供豐富的可視化監(jiān)控與報(bào)告功能，涵蓋網(wǎng)絡(luò)性能、拓?fù)洹⒆远x指標(biāo)、異常行為、鏈路流量分析以及數(shù)據(jù)包特征回查與在線解碼等多維度監(jiān)控內(nèi)容，便于用戶直觀掌握網(wǎng)絡(luò)狀態(tài)，迅速定位

問題。

在硬件配置方面，選用KJJ127礦用隔爆兼本安型網(wǎng)絡(luò)流量分析網(wǎng)關(guān)作為核心設(shè)備，其額定工作電壓為AC 127 V，具備高穩(wěn)定性和可靠性，配備4路以太網(wǎng)口、3路開關(guān)觸點(diǎn)信號(hào)輸出、1路RS 485端口，能夠監(jiān)測2路網(wǎng)絡(luò)鏈路，內(nèi)存8 GB、硬盤存儲(chǔ)空間4 TB，配備12寸彩色液晶顯示器，備電工作時(shí)間不少于4 h。地面信息中心部署了戴爾服務(wù)器、高性能顯示終端、23英寸液晶顯示器等設(shè)備，以及HSFX-KZ1.0控制平臺(tái)和HSFX-WEB1.0服務(wù)軟件，共同構(gòu)建了功能完備、性能可靠的地面監(jiān)控平臺(tái)。整個(gè)項(xiàng)目軟硬件設(shè)備齊全，工程量清單詳盡，確保了系統(tǒng)的完整建設(shè)和有效運(yùn)行。具體數(shù)據(jù)見表1所列。

在具體實(shí)施過程中，采集設(shè)備選用KJJ127礦用隔爆兼本安型網(wǎng)絡(luò)流量分析網(wǎng)關(guān)，采用旁路部署，避免影響現(xiàn)有通信網(wǎng)絡(luò)。采集范圍包括主要環(huán)網(wǎng)交換機(jī)，在井下網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)部署流量分析網(wǎng)關(guān)，確保覆蓋主要通信路徑，并覆蓋所有通過交換機(jī)的數(shù)據(jù)包。采集頻率選擇2次/s，并在網(wǎng)絡(luò)負(fù)載增加時(shí)增大到1次/s。

在數(shù)據(jù)格式方面，原始數(shù)據(jù)采用PCAPng存儲(chǔ)，包含完整數(shù)據(jù)包頭和數(shù)據(jù)內(nèi)容，并去除無效數(shù)據(jù)或重復(fù)數(shù)據(jù)；元數(shù)據(jù)中，時(shí)間戳精確到微秒級(jí)，源/目標(biāo)IP地址選用IPv4和IPv6，協(xié)議類型選用TCP、UDP、ICMP；將原始數(shù)據(jù)轉(zhuǎn)換為JSON格式，便于后續(xù)統(tǒng)計(jì)分析。

3 系統(tǒng)實(shí)施與應(yīng)用案例

3.1 系統(tǒng)部署與實(shí)施流程

煤礦井下網(wǎng)絡(luò)全流量回溯智能分析系統(tǒng)部署與實(shí)施流程涵蓋了需求分析與規(guī)劃設(shè)計(jì)、設(shè)備采購與驗(yàn)收、系統(tǒng)安裝與調(diào)試、系統(tǒng)配置與初始化、系統(tǒng)測試與優(yōu)化、用戶培訓(xùn)與移交以及系統(tǒng)上線與運(yùn)維支持7個(gè)階段。通過深入調(diào)研明確網(wǎng)絡(luò)環(huán)境、業(yè)務(wù)需求及安全政策，設(shè)計(jì)出符合煤礦井下特殊條件的系統(tǒng)部署方案；采購符合標(biāo)準(zhǔn)的硬件設(shè)備和軟件授權(quán)，并進(jìn)行嚴(yán)格的質(zhì)量檢查與功能測試；在井下與地面分別安裝并調(diào)試設(shè)備，配置系統(tǒng)參數(shù)，導(dǎo)入基礎(chǔ)數(shù)據(jù)，設(shè)置用戶權(quán)限；進(jìn)行全面的系統(tǒng)功能測試與優(yōu)化，確保性能穩(wěn)定、報(bào)警靈敏、響應(yīng)迅速；對(duì)煤礦管理人員和安全人員進(jìn)行系統(tǒng)操作培訓(xùn)，編寫并移交相關(guān)文檔資料；系統(tǒng)正式上線，提供持續(xù)的運(yùn)維支持，確保長期穩(wěn)定運(yùn)行并滿足安全管理需求，確保煤礦井下網(wǎng)絡(luò)全流量回溯智能分析系統(tǒng)從規(guī)劃、采購、安裝調(diào)試到正式上線的高效、有序部署與

實(shí)施。

3.2 系統(tǒng)功能可視化展示

3.2.1 網(wǎng)絡(luò)性能與網(wǎng)絡(luò)拓?fù)浔O(jiān)控

通過可視化視圖實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)線路（路徑）丟包、時(shí)延、帶寬利用率情況，及時(shí)發(fā)現(xiàn)并定位異常線路?？蛇M(jìn)行路徑多段分析，快速定位故障點(diǎn)并分析故障原因。重傳率、比特率、分段丟失率、數(shù)據(jù)包數(shù)是4種主要參數(shù)。重傳率主要用于表示特定時(shí)間內(nèi)重發(fā)數(shù)據(jù)包在總數(shù)據(jù)包中的比例，高重傳率表示可能存在網(wǎng)絡(luò)設(shè)備故障、鏈路質(zhì)量下降；比特率是指特定時(shí)間內(nèi)網(wǎng)絡(luò)傳輸數(shù)據(jù)量，異常高比特率表示可能存在異常流量和惡意活動(dòng)；分段丟失率是指特定時(shí)間內(nèi)丟失數(shù)據(jù)包段占總發(fā)送包段的比例，高分段丟失率表示鏈路可能存在問題，出現(xiàn)信號(hào)衰減、干擾、設(shè)備故障；數(shù)據(jù)包數(shù)用來反映網(wǎng)絡(luò)流量變化，高數(shù)據(jù)包表示可能存在異常流量與異常行為。圖4中展示了重傳率、比特率、分段丟失率和數(shù)據(jù)包數(shù)的監(jiān)控情況，方便運(yùn)維人員快速發(fā)現(xiàn)網(wǎng)絡(luò)問題并予以處理。

網(wǎng)絡(luò)拓?fù)浔O(jiān)控支持以網(wǎng)絡(luò)拓?fù)湫问奖O(jiān)控網(wǎng)絡(luò)設(shè)備間和系統(tǒng)間的網(wǎng)絡(luò)丟包、時(shí)延、帶寬利用率等性能指標(biāo)，還可同時(shí)監(jiān)控應(yīng)用服務(wù)質(zhì)量，將網(wǎng)絡(luò)和業(yè)務(wù)結(jié)合，以全局視角進(jìn)行監(jiān)控。如有異常則通過顏色明顯標(biāo)識(shí)，快速發(fā)現(xiàn)和定位問題。圖5是網(wǎng)絡(luò)拓?fù)浔O(jiān)控的界面圖，圖中展示了設(shè)備間丟包信息和平均響應(yīng)時(shí)間等重要參數(shù)。

3.2.2 自定義與異常網(wǎng)絡(luò)行為監(jiān)控

本系統(tǒng)支持以組件化形式自定義監(jiān)控視圖，支持將鏈路、IP、會(huì)話、應(yīng)用、交易、VLAN 等分析對(duì)象的指標(biāo)以圖表形式配置展示并靈活布局，生成場景化監(jiān)控視圖，用于投屏監(jiān)控，同時(shí)支持多個(gè)監(jiān)控視圖的輪播功能。圖6展示了自定義指標(biāo)監(jiān)控，分別選取了比特率、退出網(wǎng)比特率、線路流量分布、Top IP、APP Top5等重要參數(shù)。退出網(wǎng)比特率是數(shù)據(jù)離開特定網(wǎng)絡(luò)邊界的比特率，異常的退出網(wǎng)比特率表示可能出現(xiàn)異常流量或惡意活動(dòng)；線路流量分布是指網(wǎng)絡(luò)中各鏈路或路徑上的流量分布情況，異常流量分布表示可能出現(xiàn)網(wǎng)絡(luò)擁堵，也可能發(fā)生異常行為；Top IP流量顯著增加時(shí)，可能出現(xiàn)異常行為；APP Top5展示了軟件流量異常情況，可能揭示惡意偽裝或異?；顒?dòng)的跡象。

系統(tǒng)中設(shè)計(jì)了自定義異常訪問行為警報(bào)，如黑白名單異常訪問警報(bào)、可疑域名警報(bào)、數(shù)據(jù)包特征值警報(bào)等，以圖形化方式呈現(xiàn)警報(bào)異常行為、警報(bào)信息及警報(bào)對(duì)業(yè)務(wù)應(yīng)用的影響。圖7展示了自定義異常行為報(bào)警，包括內(nèi)網(wǎng)網(wǎng)絡(luò)丟包、網(wǎng)絡(luò)質(zhì)量較差、內(nèi)網(wǎng)延時(shí)過高等限定條件，并展示了該狀態(tài)下的網(wǎng)絡(luò)IP地址。

3.2.3 網(wǎng)絡(luò)鏈路流量分析與數(shù)據(jù)包分析

系統(tǒng)實(shí)現(xiàn)了對(duì)鏈路進(jìn)行詳細(xì)的流量分析，如分析流量成份、帶寬利用率等。系統(tǒng)支持指標(biāo)基線的分析、指標(biāo)對(duì)比分析及趨勢分析，可用于評(píng)估線路帶寬、統(tǒng)計(jì)流量以及分析問題；支持基于數(shù)據(jù)包特征條件（如IP、端口、協(xié)議、數(shù)據(jù)包大小、內(nèi)容等）查詢歷史時(shí)間數(shù)據(jù)包并展示數(shù)據(jù)包信息列表；支持在線數(shù)據(jù)包解碼分析，查看數(shù)據(jù)包詳情、會(huì)話時(shí)序圖。圖8為網(wǎng)絡(luò)鏈路流量分析圖，展示了Top應(yīng)用、Top網(wǎng)段、IP對(duì)話等信息，并針對(duì)數(shù)據(jù)包大小進(jìn)行了監(jiān)控，防止異常使用。圖9為數(shù)據(jù)包特征回查與在線解碼分析圖，通過這些操作，可以詳細(xì)監(jiān)控每次會(huì)話中數(shù)據(jù)包是否異常，保證網(wǎng)絡(luò)

安全。

3.3 用戶可視化報(bào)表監(jiān)測

系統(tǒng)集成了分析數(shù)據(jù)的可視化報(bào)表，包括日?qǐng)?bào)、周報(bào)、月報(bào)，支持定時(shí)生成報(bào)表并以郵件形式發(fā)送至收件人。收件人在收到郵件后可以詳細(xì)展開分析，查看網(wǎng)絡(luò)中是否存在相關(guān)問題，并及時(shí)處理。圖10為收件人報(bào)表信息發(fā)送圖，圖中展示了信息報(bào)表發(fā)送的前端樣式。

4 結(jié) 語

（1）在系統(tǒng)的功能設(shè)計(jì)中實(shí)現(xiàn)了網(wǎng)絡(luò)性能監(jiān)控、網(wǎng)絡(luò)拓?fù)浔O(jiān)控、自定義指標(biāo)監(jiān)控、異常網(wǎng)絡(luò)行為監(jiān)控、網(wǎng)絡(luò)鏈路流量分析、數(shù)據(jù)包特征回查與在線解碼以及可視化報(bào)表等多個(gè)關(guān)鍵模塊，實(shí)現(xiàn)了對(duì)井下網(wǎng)絡(luò)的全方位、多層次監(jiān)控與分析。這些功能模塊通過實(shí)時(shí)監(jiān)測、智能識(shí)別與深度分析，能夠有效識(shí)別潛在安全威脅，快速響應(yīng)網(wǎng)絡(luò)異常，為煤礦企業(yè)提供精準(zhǔn)的網(wǎng)絡(luò)狀態(tài)感知與決策支持。

（2）在技術(shù)實(shí)現(xiàn)層面采用全流量回溯分析、深度包檢測、智能分析算法、自動(dòng)化響應(yīng)等先進(jìn)技術(shù)，確保了數(shù)據(jù)采集的全面性、分析的深度與精準(zhǔn)度以及響應(yīng)的及時(shí)性。系統(tǒng)遵循了多項(xiàng)國家及行業(yè)標(biāo)準(zhǔn)，如GB 3836系列、MT 209、MT/T 210

等，確保設(shè)備在井下環(huán)境的安全合規(guī)性。此外，系統(tǒng)還重視數(shù)據(jù)加密、隱私保護(hù)、身份驗(yàn)證、日志記錄與審計(jì)、災(zāi)難恢復(fù)與備份等關(guān)鍵環(huán)節(jié)，全方位保障了數(shù)據(jù)安全與系統(tǒng)穩(wěn)

健性。

（3）在設(shè)備選型與工程量清單方面，方案詳細(xì)列出了系統(tǒng)所需的主要設(shè)備、軟件及輔材，包括地面服務(wù)器、顯示終端、網(wǎng)絡(luò)流量分析網(wǎng)關(guān)等硬件設(shè)備，以及相關(guān)軟件授權(quán)與線纜輔材，為系統(tǒng)部署與實(shí)施提供了清晰的物資采購與部署

指導(dǎo)。

參考文獻(xiàn)

[1]王國法，劉峰，龐義輝，等. 煤礦智能化—煤炭工業(yè)高質(zhì)量發(fā)展的核心技術(shù)支撐[J]. 煤炭學(xué)報(bào)，2019，44（2）：349-357.

[2]楊軍，張超，楊恢凡，等. 煤炭工業(yè)互聯(lián)網(wǎng)技術(shù)研究綜述[J]. 工礦自動(dòng)化，2023，49（4）：23-32.

[3]范京道，李川，閆振國. 融合5G技術(shù)生態(tài)的智能煤礦總體架構(gòu)及核心場景[J]. 煤炭學(xué)報(bào)，2020，45（6）：1949-1958.

[4]劉辛穎. 礦山通信網(wǎng)絡(luò)信息安全問題及改善對(duì)策—評(píng)《基于超寬帶無線電的礦山無線通信技術(shù)研究》[J]. 有色金屬工程，2023，13（4）：147.

[5]閆光杰. 智能化煤礦工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全分析及防護(hù)實(shí)踐[J]. 軟件，2023，44（1）：144-146.

[6]喬鋼柱. 基于無線傳感器網(wǎng)絡(luò)的煤礦安全綜合監(jiān)控系統(tǒng)設(shè)計(jì)與關(guān)鍵技術(shù)研究[D]. 蘭州：蘭州理工大學(xué)，2013.

[7]劉瑞祥. 基于物聯(lián)網(wǎng)的煤礦井下監(jiān)測網(wǎng)絡(luò)平臺(tái)關(guān)鍵技術(shù)研究[D]. 北京：中國礦業(yè)大學(xué)（北京），2015.

[8]張立亞. 煤礦5G通信系統(tǒng)安全應(yīng)用技術(shù)研究[J]. 工礦自動(dòng)化，2021，47（12）：8-12.

[9]鐘兆華，劉清濤. 煤礦網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)規(guī)劃分析[J]. 智能礦山，2022，3（4）：83-89.

[10]權(quán)曉鵬. 智能礦井工控網(wǎng)絡(luò)安全防護(hù)系統(tǒng)研究與實(shí)踐[J]. 煤，2021，30（4）：76-78.

[11]孫磊，孫淑昕，王博文，等. 煤礦企業(yè)數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)鏈技術(shù)研究[J]. 工礦自動(dòng)化，2022，48（7）：149-154.

[12]張春坡. 黑岱溝露天煤礦工業(yè)控制網(wǎng)絡(luò)安全防護(hù)技術(shù)研究與應(yīng)用[J]. 煤炭工程，2021，53（z1）：144-148.

[13]張倫. 西灣露天煤礦智能礦山工控安全建設(shè)探索[J]. 工礦自動(dòng)化，2021，47（z2）：100-102.

[14]顧闖. 煤炭企業(yè)工控網(wǎng)絡(luò)安全防護(hù)與預(yù)測方法研究[J]. 煤炭科學(xué)技術(shù)，2019，47（11）：143-147.

[15]丁恩杰，金雷，陳迪. 互聯(lián)網(wǎng)+感知礦山安全監(jiān)控系統(tǒng)研究[J]. 煤炭科學(xué)技術(shù)，2017，45（1）：129-134.

[16]王啟峰. 煤礦安全監(jiān)控多系統(tǒng)井下融合方法[J]. 工礦自動(dòng)化，2017，43（2）：7-10.

收稿日期：2024-06-02 修回日期：2024-07-01

作者簡介：王建剛（1976—），男，高級(jí)工程師，研究方向?yàn)槊旱V機(jī)電技術(shù)及智能化。