CN111198900B - 工业控制网络的数据缓存方法、装置、终端设备及介质 - Google Patents
工业控制网络的数据缓存方法、装置、终端设备及介质 Download PDFInfo
- Publication number
- CN111198900B CN111198900B CN201911414308.XA CN201911414308A CN111198900B CN 111198900 B CN111198900 B CN 111198900B CN 201911414308 A CN201911414308 A CN 201911414308A CN 111198900 B CN111198900 B CN 111198900B
- Authority
- CN
- China
- Prior art keywords
- data
- attack
- attack data
- attribute information
- candidate cache
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2455—Query execution
- G06F16/24552—Database cache management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2458—Special types of queries, e.g. statistical queries, fuzzy queries or distributed queries
- G06F16/2462—Approximate or statistical queries
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Computational Linguistics (AREA)
- Probability & Statistics with Applications (AREA)
- Fuzzy Systems (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请适用于工控管理技术领域,尤其涉及一种工业控制网络的数据缓存方法、装置、终端设备及介质。该方法获取工业控制网络的第一攻击数据和第一攻击数据的属性信息;根据第一攻击数据和第一攻击数据的属性信息,获取第一攻击数据的候选缓存数据,将第一攻击数据的候选缓存数据存入预设缓存库。本申请将候选缓存数据存入预设缓存库,便于用户调用,在后续访问过程中直接在预设缓存库中提取候选缓存数据,避免了后续访问对攻击数据的再解析、再处理,从而避免了多次解析和处理攻击数据造成的终端设备资源占用较高的现象,提高了终端设备的响应速度,适用于大量的攻击数据的处理需求。
Description
技术领域
本申请属于工控管理技术领域,尤其涉及一种工业控制网络的数据缓存方法、装置、终端设备及介质。
背景技术
随着互联网信息技术的快速发展,工业控制系统引入了大量的互联网信息技术,使得传统信息安全风险向工业控制系统蔓延。为了有效实现工业控制系统的主动安全防御,目前一般通过捕获和分析工业控制网络的攻击流量等原始数据的方式来研究攻击者的行为动机,从而能够有效地采取应对措施。在获取到上述原始数据后,一般直接将原始数据写入数据库中,例如,MySQL数据库,由于原始数据来源较多、类型较多,每次分析都需要对原始数据进行解析、处理,对原始数据分析次数较多时对存储和数据处理的需求量非常大,这就导致数据入库的效率较低,影响后续的处理操作,造成了终端设备(例如服务器)的中央处理单元(Central Processing Unit,CPU)和内存资源占用较高;并且由于后续的处理操作对数据库的(增、删、改、查)操作较为频繁,使得数据库线程占用过多的CPU,从而造成终端设备的性能下降。
发明内容
本申请实施例提供了一种工业控制网络的数据缓存方法、装置、终端设备及介质,可以解决现有技术直接将原始数据存入数据库,导致数据入库效率较低,且运行数据库的终端设备资源占用较高的问题。
第一方面,本申请实施例提供了一种工业控制网络的数据缓存方法,所述数据缓存方法包括:
获取工业控制网络的第一攻击数据和所述第一攻击数据的属性信息;
根据所述第一攻击数据和所述第一攻击数据的属性信息,获取所述第一攻击数据的候选缓存数据,其中,所述第一攻击数据的候选缓存数据是根据所述第一攻击数据的属性信息对所述第一攻击数据的统计结果;
将所述第一攻击数据的候选缓存数据存入预设缓存库。
第二方面,本申请实施例提供了一种工业控制网络的数据缓存装置,所述数据缓存装置包括:
信息获取模块,用于获取工业控制网络的第一攻击数据和所述第一攻击数据的属性信息;
第一数据获取模块,用于根据所述第一攻击数据和所述第一攻击数据的属性信息,获取所述第一攻击数据的候选缓存数据,其中,所述第一攻击数据的候选缓存数据是根据所述第一攻击数据的属性信息对所述第一攻击数据的统计结果;
第一数据存入模块,用于将所述第一攻击数据的候选缓存数据存入预设缓存库。
第三方面,本申请实施例提供了一种终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如第一方面所述的工业控制网络的数据缓存方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面所述的工业控制网络的数据缓存方法。
第五方面,本申请实施例提供了一种计算机程序产品,当计算机程序产品在终端设备上运行时,使得终端设备执行上述第一方面所述的工业控制网络的数据缓存方法。
本申请实施例与现有技术相比存在的有益效果是:本申请根据工业控制网络的攻击数据的属性信息将攻击数据转换为用户需要的候选缓存数据,将候选缓存数据存入预设缓存库,便于用户调用,在后续访问过程中直接在预设缓存库中提取候选缓存数据,避免了后续访问对攻击数据的再解析、再处理,例如,根据攻击数据的属性信息,结合用户需要,将攻击数据转换为攻击数据的数量,后续用户的访问无需再对攻击数据进行解析和处理,从而避免了多次解析和处理攻击数据造成的终端设备资源占用较高的现象,提高了终端设备的响应速度,适用于大量的攻击数据的处理需求。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例一提供的一种工业控制网络的数据缓存方法的流程示意图;
图2是本申请实施例二提供的一种工业控制网络的数据缓存方法的流程示意图;
图3是本申请实施例三提供的一种工业控制网络的数据缓存装置的结构示意图;
图4是本申请实施例四提供的一种终端设备的结构示意图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本申请实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本申请的描述。
应当理解,当在本申请说明书和所附权利要求书中使用时,术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
如在本申请说明书和所附权利要求书中所使用的那样,术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地,短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。
另外,在本申请说明书和所附权利要求书的描述中,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
在本申请说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此,在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例,而是意味着“一个或多个但不是所有的实施例”,除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”,除非是以其他方式另外特别强调。
本申请实施例提供的一种工业控制网络的数据缓存方法可以应用于掌上电脑、桌上型计算机、笔记本电脑、超级移动个人计算机(ultra-mobile personal computer,UMPC)、上网本、云端服务器、个人数字助理(personal digital assistant,PDA)等终端设备上,本申请实施例对终端设备的具体类型不作任何限制。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
为了说明本申请所述的技术方案,下面通过具体实施例来进行说明。
参见图1,是本申请实施例一提供的一种工业控制网络的数据缓存方法的流程示意图,该工业控制网络的数据缓存方法可用于终端设备,如图所示,该数据缓存方法可以包括以下步骤:
步骤S101,获取工业控制网络的第一攻击数据和所述第一攻击数据的属性信息。
其中,工业控制网络可以是指用于管理、控制工业生产设备的主机、服务器、交换机、工控设备等构成的网络,该工业控制网络一般存在于进行工业生产的企业中,由于工业控制网络一般与公共网络连接,因此,容易受到来自互联网的远程攻击,为了对这些攻击进行分析可以通过入侵检测工具等数据采集工具对攻击事件进行记录、采集,例如,通过蜜罐系统获取工业控制网络的攻击数据;其中,攻击数据的属性信息包括但不限于五元组信息,该五元组信息包括源网际互连协议(Internet Protocol,IP)地址,源端口,目的IP地址,目的端口和传输层协议,根据需求攻击数据的属性信息中可以包括一个属性或至少两个属性。
另外,针对获取的工业控制网络的第一攻击数据,还可以采用数据清洗的方式,去除不完整和不正确的第一攻击数据,保证第一攻击数据的可用性,提高后续对第一攻击数据的解析和处理速度。
步骤S102,根据所述第一攻击数据和所述第一攻击数据的属性信息,获取所述第一攻击数据的候选缓存数据。
其中,所述第一攻击数据的候选缓存数据是根据所述第一攻击数据的属性信息对所述第一攻击数据的统计结果。
第一攻击数据可以是一组攻击数据,例如,第一攻击数据包括至少2个第一攻击数据,第一攻击数据的“第一”是对当前获取的攻击数据与其他时刻获取的攻击数据的区分,例如,第一攻击数据包括2个攻击数据,获取其一个攻击数据的属性信息为a,获取另一个攻击数据的属性信息为b,根据第一攻击数据的属性信息对第一攻击数据的统计结果可以是属性信息a的攻击数据数量为1和属性信息b的攻击数据数量为1。
可选的,所述第一攻击数据包括N个第一攻击数据,N为大于1的整数,所述根据所述第一攻击数据和所述第一攻击数据的属性信息,获取所述第一攻击数据的候选缓存数据包括:
根据所述N个第一攻击数据中每个第一攻击数据的属性信息,对所述N个第一攻击数据进行聚类分析,获取对所述N个第一攻击数据的统计结果,并确定该统计结果为所述第一攻击数据的候选缓存数据。
其中,聚类分析可以是指采用聚类算法将N个第一攻击数据中同类型的攻击数据进行聚类,而是否为同类型的数据可以根据第一攻击数据的属性信息确定,例如,N为2时,其一攻击数据的属性信息为源IP地址:A国和传输层协议:超文本传输协议(HyperTextTransfer Protocol,HTTP),另一个攻击数据的属性信息为源IP地址:B国和传输层协议:HTTP,对上述2个第一攻击数据聚类分析,若按照传输层协议进行聚类,则这2个第一攻击数据为同类型的攻击数据,若以数量表示对2两个第一攻击数据的统计结果,则统计结果为2;若按照源IP地址进行聚类,则这2个第一攻击数据为不同类型的攻击数据,若以数量表示对2个第一攻击数据的统计结果,则统计结果为A国等于1,B国等于1。
可选的,所述根据所述N个第一攻击数据中每个第一攻击数据的属性信息,对所述N个第一攻击数据进行聚类分析,获取对所述N个第一攻击数据的统计结果包括:
根据所述N个第一攻击数据中每个第一攻击数据的属性信息,对所述N个第一攻击数据进行聚类分析,统计所述N个第一攻击数据中不同属性信息分别对应的第一攻击数据的数量,其中,所述不同属性信息是根据所述N个第一攻击数据中每个第一攻击数据的属性信息确定的。
其中,先根据每个第一攻击数据的属性信息对所有的第一攻击数据进行聚类分析,在对聚类分析的结果进行统计。不同属性信息并不是指与上述每个第一攻击数据的属性信息不相同的属性信息,而是每个第一攻击数据的属性信息中不同的属性信息,例如,针对2个第一攻击数据,其一攻击数据的属性信息为源IP地址:A国和传输层协议:HTTP,另一个攻击数据的属性信息为源IP地址:B国和传输层协议:HTTP,2个第一攻击数据的属性信息包括A国、B国和HTTP三个属性信息,不同属性信息对应的第一攻击数据的数量:A国属性信息对应的第一攻击数据的数量为1,B国属性信息对应的第一攻击数据的数量为1,HTTP属性信息对应的第一攻击数据的数量为2。
步骤S103,将所述第一攻击数据的候选缓存数据存入预设缓存库。
本申请实施例在终端设备中或者与终端设备连接的设备中设置有预设缓存库,该预设缓存库用于存储候选缓存数据,以供其它设备调用该候选缓存数据。另外,还可以将预设缓存库的候选缓存数据通过持久化机制转存到磁盘,例如采用Redis将候选缓存数据完全放置于内存中进行管理,同时支持持久化功能。
可选的,在将所述第一攻击数据的候选缓存数据存入预设缓存库之前,还包括:
获取所述预设缓存库上一次发生更新的时间;
获取所述预设缓存库上一次发生更新的时间至当前时间的时长,其中,所述预设缓存库发生更新是指所述预设缓存库中数据有更新;
相应的,所述将所述第一攻击数据的候选缓存数据存入预设缓存库包括:
若所述预设缓存库上一次发生更新的时间至当前时间的时长大于预设时长,则将所述第一攻击数据的候选缓存数据存入所述预设缓存库。
其中,预设缓存库的更新可以是指有新的候选缓存数据存入该预设缓存库,或者相应的操作改变了该预设缓存库的内容,为了节省终端设备或者运行该预设缓存库的设备的资源,按照一定的周期或间隔一定的时长更新一次,避免实时更新该预设缓存库。
本申请根据工业控制网络的攻击数据的属性信息将攻击数据转换为用户需要的候选缓存数据,将候选缓存数据存入预设缓存库,便于用户调用,在后续访问过程中直接在预设缓存库中提取候选缓存数据,避免了后续访问对攻击数据的再解析、再处理,例如,根据攻击数据的属性信息,结合用户需要,将攻击数据转换为攻击数据的数量,后续用户的访问无需再对攻击数据进行解析和处理,从而避免了多次解析和处理攻击数据造成的终端设备资源占用较高的现象,提高了终端设备的响应速度,适用于大量的攻击数据的处理需求。
参见图2,是本申请实施例二提供的一种工业控制网络的数据缓存方法的流程示意图,该数据缓存方法可用于终端设备,如图所示,该数据缓存方法可以包括以下步骤:
步骤S201,获取工业控制网络的第一攻击数据和所述第一攻击数据的属性信息。
步骤S202,根据所述第一攻击数据和所述第一攻击数据的属性信息,获取所述第一攻击数据的候选缓存数据。
步骤S203,将所述第一攻击数据的候选缓存数据存入预设缓存库。
其中,步骤S201至步骤S203与步骤S101至步骤S103相同,具体内容详见上述实施例一,在此不再赘述。
步骤S204,在获取到所述工业控制网络的第二攻击数据时,根据所述第二攻击数据和所述第二攻击数据的属性信息,获取所述第二攻击数据的候选缓存数据和所述第二攻击数据的候选缓存数据的属性信息。
其中,所述第二攻击数据的候选缓存数据是根据所述第二攻击数据的属性信息对所述第二攻击数据的统计结果;获取第二攻击数据的候选缓存数据的方法与步骤S102中获取第一攻击数据的候选缓存数据的方法相同,具体可参考步骤S102。
第二攻击数据的候选缓存数据是对所述第二攻击数据的统计结果,例如,针对3个第二攻击数据,根据3个第二攻击数据的属性信息,得到的统计结果为A国等于1,B国等于1,C国等于1,HTTP等于3,因此,第二攻击数据的候选缓存数据包括A国属性信息对应的1,B国属性信息对应的1,C国属性信息对应的1,以及HTTP属性信息对应的3,第二攻击数据的候选缓存数据包括A国属性信息等于1的候选缓存数据、B国属性信息等于1的候选缓存数据、C国属性信息等于1的候选缓存数据和HTTP属性信息等于3的候选缓存数据。
由于第二攻击数据的候选缓存数据是根据第二攻击数据的属性信息对第二攻击数据的统计结果,若第二攻击数据的属性信息为至少两个时,每一个属性信息对应一个统计结果,也就是每一个属性信息对应一个候选缓存数据,因此,第二攻击数据的候选缓存数据的属性信息即为第二攻击数据的候选缓存数据中每一个候选缓存数据对应的属性信息,例如,第二攻击数据的候选缓存数据包括A国属性信息等于1的候选缓存数据,该候选缓存数据对应的属性信息为A国。
步骤S205,根据所述第二攻击数据的候选缓存数据的属性信息,获取所述第二攻击数据的候选缓存数据的标识信息。
其中,标识信息是用于区分候选缓存数据,可以是包括但不限于由字母或数据组成的一串字符,例如类似于图书馆的书籍序列号信息,该标识信息与属性信息具有相应的关系,标识信息是根据属性信息生成的,例如,若属性信息为A国,对应的标识信息可以是001,根据需求001为区域标识,只要是标识区域的属性信息均为001,因此,若属性信息为B国,对应的标识信息也可以是001,若属性信息为HTTP,对应的标识信息可以是101;当然,也可以根据两个及以上的属性信息生成一个标识信息,例如,若攻击数据包括目的端口为8000和传输层协议为HTTP两个属性信息,根据HTTP和8000,对应的标识信息为1018000。
步骤S206,获取所述第一攻击数据的候选缓存数据的属性信息。
其中,由于第一攻击数据的候选缓存数据是根据第一攻击数据的属性信息对第一攻击数据的统计结果,若第一攻击数据的属性信息为至少两个时,每一个属性信息对应一个统计结果,也就是每一个属性信息对应一个候选缓存数据,因此,第一攻击数据的候选缓存数据的属性信息即为第一攻击数据的候选缓存数据中每一个候选缓存数据对应的属性信息。
获取第一攻击数据的候选缓存数据的属性信息与获取第二攻击数据的候选缓存数据的属性信息采用的方法相同,例如,针对2个第一攻击数据,其一攻击数据的属性信息为源IP地址:A国和传输层协议:HTTP,另一个攻击数据的属性信息为源IP地址:B国和传输层协议:HTTP,A国属性信息对应的第一攻击数据的数量为1,B国属性信息对应的第一攻击数据的数量为1,HTTP属性信息对应的第一攻击数据的数量为2,因此,第一攻击数据的候选缓存数据包括A国属性信息等于1的候选缓存数据、B国属性信息等于1的候选缓存数据和HTTP属性信息等于2的候选缓存数据。
可选的,所述获取所述第一攻击数据的候选缓存数据的属性信息包括:
若所述第二攻击数据的候选缓存数据的标识信息为目标标识信息,则获取所述第一攻击数据的候选缓存数据的属性信息。
其中,为了提高效率,在对新的候选缓存数据与预设缓存库中候选缓存数据进行合并时,还可以根据用户需求选择性的进行合并,通过异步任务的方式执行合并,即将需要或者感兴趣的候选缓存数据进行合并操作,本申请实施例通过判断第二攻击数据的候选缓存数据的标识信息是否为目标标识信息,该目标标识信息为用户需要合并的标识信息,若第二攻击数据的候选缓存数据的标识信息为目标标识信息,则执行合并操作,若不是目标标识信息,则不执行合并操作,该第二攻击数据的候选缓存数据可以继续等待下一次预设缓存库的更新,也可以将该第二攻击数据的候选缓存数据丢弃。
步骤S207,根据所述第一攻击数据的候选缓存数据的属性信息,获取所述第一攻击数据的候选缓存数据的标识信息。
获取第一攻击数据的候选缓存数据的标识信息采用的方法与上述获取第一攻击数据的候选缓存数据的标识信息的方法相同,在此不再赘述。
步骤S208,若所述第一攻击数据的候选缓存数据的标识信息与所述第二攻击数据的候选缓存数据的标识信息相同,则将所述第一攻击数据的候选缓存数据与所述第二攻击数据的候选缓存数据进行合并,获得合并数据,并将所述合并数据存入所述预设缓存库。
由于第一攻击数据的候选缓存数据与第二攻击数据的候选缓存数据的标识信息相同,因此,将两者的统计结果进行合并,得到合并数据,其中,合并数据包括合并后的统计结果和标识信息,合并数据的标识信息为第一攻击数据的候选缓存数据或第二攻击数据的候选缓存数据的标识信息;其中,合并后的统计结果,例如,针对“M=1”和“Z=1”,合并后的统计结果为“M=1,Z=1”,针对“M=1”和“M=2”,合并后的统计结果为“M=3”。
例如:
针对2个第一攻击数据,第一攻击数据的候选缓存数据包括A国属性信息等于1的候选缓存数据、B国属性信息等于1的候选缓存数据和HTTP属性信息等于2的候选缓存数据,其中,A国属性信息等于1的候选缓存数据、B国属性信息等于1的候选缓存数据对应的标识信息均为001,HTTP属性信息等于2的候选缓存数据对应的标识信息为101。
针对3个第二攻击数据,第二攻击数据的候选缓存数据包括A国属性信息等于1的候选缓存数据、B国属性信息等于1的候选缓存数据、C国属性信息等于1的候选缓存数据和HTTP属性信息等于3的候选缓存数据,其中,A国属性信息等于1的候选缓存数据、B国属性信息等于1的候选缓存数据、C国属性信息等于1的候选缓存数据对应的标识信息均为001,HTTP属性信息等于3的候选缓存数据对应的标识信息为101。
因此,第一攻击数据的候选缓存数据中A国属性信息等于1的候选缓存数据、B国属性信息等于1的候选缓存数据与第二攻击数据的候选缓存数据中A国属性信息等于1的候选缓存数据、B国属性信息等于1的候选缓存数据、C国属性信息等于1的候选缓存数据的标识信息相同,对其进行合并,合并数据为A国属性信息等于2、B国属性信息等于2、C国属性信息等于1;第一攻击数据的候选缓存数据中HTTP属性信息等于2的候选缓存数据与第二攻击数据的候选缓存数据中HTTP属性信息等于3的候选缓存数据的标识信息相同,对其进行合并,合并数据为HTTP属性信息等于5。
可选的,在将所述合并数据存入所述预设缓存库之后,还包括:
删除所述预设缓存库中的所述第一攻击数据的候选缓存数据。
针对合并数据而言,由于合并数据中包含第一攻击数据的候选缓存数据和第二攻击数据的候选缓存数据,因此,在将所述合并数据存入所述预设缓存库之后,预设缓存库中的第一攻击数据的候选缓存数据为重复的数据,需要将其删除,避免影响后续的使用。
步骤S209,若所述第一攻击数据的候选缓存数据的标识信息与所述第二攻击数据的候选缓存数据的标识信息不同,则将所述第二攻击数据的候选缓存数据存入所述预设缓存库。
第二攻击数据的候选缓存数据与第一攻击数据的候选缓存数据的标识信息不同,可以表示为第二攻击数据的候选缓存数据中包含新的类型或者新的标识的数据,针对包含新的标识的数据,可以将其直接存入预设缓存库,以便用户使用。
本申请在有第二攻击数据产生时,根据该第二攻击数据产生对应的候选缓存数据,通过判断第二攻击数据对应的候选缓存数据的标识信息与预设缓存库中第一攻击数据的候选缓存数据的标识信息是否相同,并将相同标识信息的候选缓存数据进行合并,可以有效的提高预设缓存库中候选缓存数据更新的速度性和数据的实效性,提高了预设缓存库中候选缓存数据的更新效率。
对应于上文实施例的工业控制网络的数据缓存方法,图3示出了本申请实施例三提供的工业控制网络的数据缓存装置的结构框图,为了便于说明,仅示出了与本申请实施例相关的部分。
参见图3,该数据缓存装置包括:
信息获取模块31,用于获取工业控制网络的第一攻击数据和所述第一攻击数据的属性信息;
第一数据获取模块32,用于根据所述第一攻击数据和所述第一攻击数据的属性信息,获取所述第一攻击数据的候选缓存数据,其中,所述第一攻击数据的候选缓存数据是根据所述第一攻击数据的属性信息对所述第一攻击数据的统计结果;
第一数据存入模块33,用于将所述第一攻击数据的候选缓存数据存入预设缓存库。
可选的,所述第一攻击数据包括N个第一攻击数据,N为大于1的整数,该第一数据获取模块32包括:
第一数据获取单元,用于根据所述N个第一攻击数据中每个第一攻击数据的属性信息,对所述N个第一攻击数据进行聚类分析,获取对所述N个第一攻击数据的统计结果,并确定该统计结果为所述第一攻击数据的候选缓存数据。
可选的,该缓存数据获取单元具体用于:
根据所述N个第一攻击数据中每个第一攻击数据的属性信息,对所述N个第一攻击数据进行聚类分析,统计所述N个第一攻击数据中不同属性信息分别对应的第一攻击数据的数量,其中,所述不同属性信息是根据所述N个第一攻击数据中每个第一攻击数据的属性信息确定的。
可选的,该数据缓存装置还包括:
第二数据获取模块,用于在所述将所述候选缓存数据存入预设缓存库之后,在获取到所述工业控制网络的第二攻击数据时,根据所述第二攻击数据和所述第二攻击数据的属性信息,获取所述第二攻击数据的候选缓存数据和所述第二攻击数据的候选缓存数据的属性信息,其中,所述第二攻击数据的候选缓存数据是根据所述第二攻击数据的属性信息对所述第二攻击数据的统计结果;
第一标识获取模块,用于根据所述第二攻击数据的候选缓存数据的属性信息,获取所述第二攻击数据的候选缓存数据的标识信息;
属性获取模块,用于获取所述第一攻击数据的候选缓存数据的属性信息;
第二标识获取模块,用于根据所述第一攻击数据的候选缓存数据的属性信息,获取所述第一攻击数据的候选缓存数据的标识信息;
数据合并存入模块,用于若所述第一攻击数据的候选缓存数据的标识信息与所述第二攻击数据的候选缓存数据的标识信息相同,则将所述第一攻击数据的候选缓存数据与所述第二攻击数据的候选缓存数据进行合并,获得合并数据,并将所述合并数据存入所述预设缓存库;
第二数据存入模块,用于若所述第一攻击数据的候选缓存数据的标识信息与所述第二攻击数据的候选缓存数据的标识信息不同,则将所述第二攻击数据的候选缓存数据存入所述预设缓存库。
可选的,该数据缓存装置还包括:
数据删除模块,用于在将所述合并数据存入所述预设缓存库之后,删除所述预设缓存库中的所述第一攻击数据的候选缓存数据。
可选的,该属性获取模块具体用于:
若所述第二攻击数据的候选缓存数据的标识信息为目标标识信息,则获取所述第一攻击数据的候选缓存数据的属性信息。
可选的,该数据缓存装置还包括:
时间获取模块,用于在将所述第一攻击数据的候选缓存数据存入预设缓存库之前,获取所述预设缓存库上一次发生更新的时间;
时长获取模块,用于获取所述预设缓存库上一次发生更新的时间至当前时间的时长,其中,所述预设缓存库发生更新是指所述预设缓存库中数据有更新;
相应的,该第一数据存入模块33具体用于:
若所述预设缓存库上一次发生更新的时间至当前时间的时长大于预设时长,则将所述第一攻击数据的候选缓存数据存入所述预设缓存库。
需要说明的是,上述模块之间的信息交互、执行过程等内容,由于与本申请方法实施例基于同一构思,其具体功能及带来的技术效果,具体可参见方法实施例部分,此处不再赘述。
图4为本申请实施例四提供的一种终端设备的结构示意图。如图4所示,该实施例的终端设备4包括:至少一个处理器40(图4中仅示出一个)处理器、存储器41以及存储在存储器41中并可在至少一个处理器40上运行的计算机程序42,处理器40执行计算机程序42时实现上述任意各个工业控制网络的数据缓存方法实施例中的步骤。
该终端设备可包括,但不仅限于,处理器40、存储器41。本领域技术人员可以理解,图4仅仅是终端设备4的举例,并不构成对终端设备4的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如还可以包括输入输出设备、网络接入设备等。
所称处理器40可以是CPU,该处理器40还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific IntegratedCircuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器41在一些实施例中可以是终端设备4的内部存储单元,例如终端设备4的硬盘或内存。所述存储器41在另一些实施例中也可以是终端设备4的外部存储设备,例如终端设备4上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(SecureDigital,SD)卡,闪存卡(Flash Card)等。进一步地,所述存储器41还可以既包括终端设备4的内部存储单元也包括外部存储设备。所述存储器41用于存储操作系统、应用程序、引导装载程序(BootLoader)、数据以及其他程序等,例如所述计算机程序的程序代码等。所述存储器41还可以用于暂时地存储已经输出或者将要输出的数据。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述装置中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质至少可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、计算机存储器、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质。例如U盘、移动硬盘、磁碟或者光盘等。在某些司法管辖区,根据立法和专利实践,计算机可读介质不可以是电载波信号和电信信号。
本申请实现上述实施例方法中的全部或部分流程,也可以通过一种计算机程序产品来完成,当所述计算机程序产品在终端设备上运行时,使得所述终端设备执行时实现可实现上述方法实施例中的步骤。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请所提供的实施例中,应该理解到,所揭露的装置/终端设备和方法,可以通过其它的方式实现。例如,以上所描述的装置/终端设备实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
以上所述实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。
Claims (9)
1.一种工业控制网络的数据缓存方法,其特征在于,所述数据缓存方法包括:
获取工业控制网络的第一攻击数据和所述第一攻击数据的属性信息,其中,所述第一攻击数据的属性信息包括五元组信息;
根据所述第一攻击数据和所述第一攻击数据的属性信息,获取所述第一攻击数据的候选缓存数据,其中,所述第一攻击数据的候选缓存数据是根据所述第一攻击数据的属性信息对所述第一攻击数据的统计结果;
将所述第一攻击数据的候选缓存数据存入预设缓存库,其中,所述预设缓存库用于存储候选缓存数据;
所述将所述第一攻击数据的候选缓存数据存入预设缓存库之后,还包括:
在获取到所述工业控制网络的第二攻击数据时,根据所述第二攻击数据和所述第二攻击数据的属性信息,获取所述第二攻击数据的候选缓存数据和所述第二攻击数据的候选缓存数据的属性信息,其中,所述第二攻击数据的候选缓存数据是根据所述第二攻击数据的属性信息对所述第二攻击数据的统计结果;
根据所述第二攻击数据的候选缓存数据的属性信息,获取所述第二攻击数据的候选缓存数据的标识信息;
获取所述第一攻击数据的候选缓存数据的属性信息;
根据所述第一攻击数据的候选缓存数据的属性信息,获取所述第一攻击数据的候选缓存数据的标识信息;
若所述第一攻击数据的候选缓存数据的标识信息与所述第二攻击数据的候选缓存数据的标识信息相同,则将所述第一攻击数据的候选缓存数据与所述第二攻击数据的候选缓存数据进行合并,获得合并数据,并将所述合并数据存入所述预设缓存库;
若所述第一攻击数据的候选缓存数据的标识信息与所述第二攻击数据的候选缓存数据的标识信息不同,则将所述第二攻击数据的候选缓存数据存入所述预设缓存库。
2.如权利要求1所述的数据缓存方法,其特征在于,所述第一攻击数据包括N个第一攻击数据,N为大于1的整数,所述根据所述第一攻击数据和所述第一攻击数据的属性信息,获取所述第一攻击数据的候选缓存数据包括:
根据所述N个第一攻击数据中每个第一攻击数据的属性信息,对所述N个第一攻击数据进行聚类分析,获取对所述N个第一攻击数据的统计结果,并确定该统计结果为所述第一攻击数据的候选缓存数据。
3.如权利要求2所述的数据缓存方法,其特征在于,根据所述N个第一攻击数据中每个第一攻击数据的属性信息,对所述N个第一攻击数据进行聚类分析,获取对所述N个第一攻击数据的统计结果包括:
根据所述N个第一攻击数据中每个第一攻击数据的属性信息,对所述N个第一攻击数据进行聚类分析,统计所述N个第一攻击数据中不同属性信息分别对应的第一攻击数据的数量,其中,所述不同属性信息是根据所述N个第一攻击数据中每个第一攻击数据的属性信息确定的。
4.如权利要求1所述的数据缓存方法,其特征在于,在将所述合并数据存入所述预设缓存库之后,还包括:
删除所述预设缓存库中的所述第一攻击数据的候选缓存数据。
5.如权利要求1所述的数据缓存方法,其特征在于,所述获取所述第一攻击数据的候选缓存数据的属性信息包括:
若所述第二攻击数据的候选缓存数据的标识信息为目标标识信息,则获取所述第一攻击数据的候选缓存数据的属性信息。
6.如权利要求1至5任一项所述的数据缓存方法,其特征在于,在将所述第一攻击数据的候选缓存数据存入预设缓存库之前,还包括:
获取所述预设缓存库上一次发生更新的时间;
获取所述预设缓存库上一次发生更新的时间至当前时间的时长,其中,所述预设缓存库发生更新是指所述预设缓存库中数据有更新;
相应的,所述将所述第一攻击数据的候选缓存数据存入预设缓存库包括:
若所述预设缓存库上一次发生更新的时间至当前时间的时长大于预设时长,则将所述第一攻击数据的候选缓存数据存入所述预设缓存库。
7.一种工业控制网络的数据缓存装置,其特征在于,所述数据缓存装置包括:
信息获取模块,用于获取工业控制网络的第一攻击数据和所述第一攻击数据的属性信息,其中,所述第一攻击数据的属性信息包括五元组信息;
第一数据获取模块,用于根据所述第一攻击数据和所述第一攻击数据的属性信息,获取所述第一攻击数据的候选缓存数据,其中,所述第一攻击数据的候选缓存数据是根据所述第一攻击数据的属性信息对所述第一攻击数据的统计结果;
第一数据存入模块,用于将所述第一攻击数据的候选缓存数据存入预设缓存库,其中,所述预设缓存库用于存储候选缓存数据;
所述数据缓存装置还包括:
第二数据获取模块,用于在获取到所述工业控制网络的第二攻击数据时,根据所述第二攻击数据和所述第二攻击数据的属性信息,获取所述第二攻击数据的候选缓存数据和所述第二攻击数据的候选缓存数据的属性信息,其中,所述第二攻击数据的候选缓存数据是根据所述第二攻击数据的属性信息对所述第二攻击数据的统计结果;
第一标识获取模块,用于根据所述第二攻击数据的候选缓存数据的属性信息,获取所述第二攻击数据的候选缓存数据的标识信息;
属性获取模块,用于获取所述第一攻击数据的候选缓存数据的属性信息;
第二标识获取模块,用于根据所述第一攻击数据的候选缓存数据的属性信息,获取所述第一攻击数据的候选缓存数据的标识信息;
数据合并存入模块,用于若所述第一攻击数据的候选缓存数据的标识信息与所述第二攻击数据的候选缓存数据的标识信息相同,则将所述第一攻击数据的候选缓存数据与所述第二攻击数据的候选缓存数据进行合并,获得合并数据,并将所述合并数据存入所述预设缓存库;
第二数据存入模块,用于若所述第一攻击数据的候选缓存数据的标识信息与所述第二攻击数据的候选缓存数据的标识信息不同,则将所述第二攻击数据的候选缓存数据存入所述预设缓存库。
8.一种终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至6任一项所述的工业控制网络的数据缓存方法。
9.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的工业控制网络的数据缓存方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911414308.XA CN111198900B (zh) | 2019-12-31 | 2019-12-31 | 工业控制网络的数据缓存方法、装置、终端设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911414308.XA CN111198900B (zh) | 2019-12-31 | 2019-12-31 | 工业控制网络的数据缓存方法、装置、终端设备及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111198900A CN111198900A (zh) | 2020-05-26 |
CN111198900B true CN111198900B (zh) | 2023-06-09 |
Family
ID=70746195
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911414308.XA Active CN111198900B (zh) | 2019-12-31 | 2019-12-31 | 工业控制网络的数据缓存方法、装置、终端设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111198900B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113992370B (zh) * | 2021-10-19 | 2022-06-17 | 广州锦行网络科技有限公司 | 一种流量转发控制方法及基于流量转发控制的诱捕节点 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9311479B1 (en) * | 2013-03-14 | 2016-04-12 | Fireeye, Inc. | Correlation and consolidation of analytic data for holistic view of a malware attack |
CN106598494A (zh) * | 2016-12-05 | 2017-04-26 | 东软集团股份有限公司 | 数据统计方法和装置 |
CN108111472A (zh) * | 2016-11-24 | 2018-06-01 | 腾讯科技(深圳)有限公司 | 一种攻击特征检测方法及装置 |
CN108881294A (zh) * | 2018-07-23 | 2018-11-23 | 杭州安恒信息技术股份有限公司 | 基于网络攻击行为的攻击源ip画像生成方法以及装置 |
CN110417772A (zh) * | 2019-07-25 | 2019-11-05 | 浙江大华技术股份有限公司 | 攻击行为的分析方法及装置、存储介质、电子装置 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7526807B2 (en) * | 2003-11-26 | 2009-04-28 | Alcatel-Lucent Usa Inc. | Distributed architecture for statistical overload control against distributed denial of service attacks |
WO2009139170A1 (ja) * | 2008-05-16 | 2009-11-19 | パナソニック株式会社 | 攻撃パケット検知装置、攻撃パケット検知方法、映像受信装置、コンテンツ記録装置、およびip通信装置 |
WO2018095192A1 (zh) * | 2016-11-23 | 2018-05-31 | 腾讯科技(深圳)有限公司 | 网站攻击的检测和防护方法及系统 |
US20180191744A1 (en) * | 2017-01-05 | 2018-07-05 | Arbor Networks, Inc. | System and method to implement cloud-based threat mitigation for identified targets |
-
2019
- 2019-12-31 CN CN201911414308.XA patent/CN111198900B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9311479B1 (en) * | 2013-03-14 | 2016-04-12 | Fireeye, Inc. | Correlation and consolidation of analytic data for holistic view of a malware attack |
CN108111472A (zh) * | 2016-11-24 | 2018-06-01 | 腾讯科技(深圳)有限公司 | 一种攻击特征检测方法及装置 |
CN106598494A (zh) * | 2016-12-05 | 2017-04-26 | 东软集团股份有限公司 | 数据统计方法和装置 |
CN108881294A (zh) * | 2018-07-23 | 2018-11-23 | 杭州安恒信息技术股份有限公司 | 基于网络攻击行为的攻击源ip画像生成方法以及装置 |
CN110417772A (zh) * | 2019-07-25 | 2019-11-05 | 浙江大华技术股份有限公司 | 攻击行为的分析方法及装置、存储介质、电子装置 |
Non-Patent Citations (1)
Title |
---|
徐超."基于聚类分析的入侵检测技术研究".《中国优秀硕士学位论文全文数据库(电子期刊)》.2017,全文. * |
Also Published As
Publication number | Publication date |
---|---|
CN111198900A (zh) | 2020-05-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9787706B1 (en) | Modular architecture for analysis database | |
US10409980B2 (en) | Real-time representation of security-relevant system state | |
CN109299164B (zh) | 一种数据查询方法、计算机可读存储介质及终端设备 | |
US9477835B2 (en) | Event model for correlating system component states | |
US20210250364A1 (en) | Systems and methods of malware detection | |
US8977587B2 (en) | Sampling transactions from multi-level log file records | |
CN106453320A (zh) | 恶意样本的识别方法及装置 | |
CN112287339B (zh) | Apt入侵检测方法、装置以及计算机设备 | |
CN111198900B (zh) | 工业控制网络的数据缓存方法、装置、终端设备及介质 | |
US11423099B2 (en) | Classification apparatus, classification method, and classification program | |
CN114125015A (zh) | 一种数据采集方法及系统 | |
CN110022343B (zh) | 自适应事件聚合 | |
CN116303820A (zh) | 标签生成方法、装置、计算机设备及介质 | |
CN115795466A (zh) | 一种恶意软件组织识别方法及设备 | |
US20230229717A1 (en) | Optimized real-time streaming graph queries in a distributed digital security system | |
CN117631955A (zh) | 数据缩减方法、装置及系统 | |
CN115422293A (zh) | 一种分布式数据库及其数据检索方法 | |
CN114417102A (zh) | 文本去重方法、装置和电子设备 | |
CN113419792A (zh) | 一种事件处理方法、装置、终端设备和存储介质 | |
CN110929207B (zh) | 数据处理方法、装置和计算机可读存储介质 | |
CN113987492A (zh) | 一种告警事件的确定方法及装置 | |
CN113810342A (zh) | 一种入侵检测方法、装置、设备、介质 | |
CN111158994A (zh) | 一种压测性能测试方法及装置 | |
CN114143083B (zh) | 黑名单策略匹配方法、装置、电子设备及存储介质 | |
CN117478743A (zh) | 平衡新鲜度和访问频率的数据缓存方法、装置、设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |