CN111314139A - 一种工控环境下数据采集中设备和事件的标识方法 - Google Patents

一种工控环境下数据采集中设备和事件的标识方法 Download PDF

Info

Publication number
CN111314139A
CN111314139A CN202010102767.0A CN202010102767A CN111314139A CN 111314139 A CN111314139 A CN 111314139A CN 202010102767 A CN202010102767 A CN 202010102767A CN 111314139 A CN111314139 A CN 111314139A
Authority
CN
China
Prior art keywords
data
event
equipment
events
industrial control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010102767.0A
Other languages
English (en)
Inventor
姜双林
周磊
饶志波
毕军生
陈贞龙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Andi Technology Co Ltd
Original Assignee
Beijing Andi Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Andi Technology Co Ltd filed Critical Beijing Andi Technology Co Ltd
Priority to CN202010102767.0A priority Critical patent/CN111314139A/zh
Publication of CN111314139A publication Critical patent/CN111314139A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种工控环境下数据采集中设备和事件的标识方法,包括:对工控环境下的设备进行编码标识,得到设备标签;对工控环境下的操作事件进行分类,并对不同类型的分类事件进行编码标识,得到事件标签;采集数据;通过设备标签和事件标签对所采集的数据进行标识,并上传数据;数据分析。本发明通过增加设备标签和事件标签,从而能够清晰标识数据相关联的设备和事件,满足采集数据进行归一化的要求,同时对事件进行标识的设计能够提高后续数据综合关联分析的效率。

Description

一种工控环境下数据采集中设备和事件的标识方法
技术领域
本发明涉及工控数据采集技术领域,具体涉及一种工控环境下数据采集中设备和事件的标识方法。
背景技术
在工控环境中进行数据采集,尤其是全量数据采集,往往包含了来自不同类型设备的多种数据,这些数据普遍会代表或能够关联到不同类别的事件。在数据采集时,基于采集数据的来源信息和事件类别信息,进行数据的预处理、清洗和归一化,并进行标识后上传;能够更好的提高数据的利用率,挖掘数据的价值,方便后续进一步的关联分析。
通过对国内外论文、学术会议、科技文献、专利等等数据库的检索发现:现阶段工控环境下全量数据的采集分析还处在起步阶段:
一是在数据采集时如何对采集的原始数据进行预处理;
二是预处理后如何进行标识以提高后续关联分析的效率。
发明内容
针对现有技术中存在的上述问题,本发明提供一种工控环境下数据采集中设备和事件的标识方法。
本发明公开了一种工控环境下数据采集中设备和事件的标识方法,包括:
对工控环境下的设备进行编码标识,得到设备标签;
对工控环境下的操作事件进行分类,并对不同类型的分类事件进行编码标识,得到事件标签;
采集数据;
通过所述设备标签和事件标签对所采集的数据进行标识,并上传数据;
数据分析。
作为本发明的进一步改进,所述设备包括主机设备、控制设备、网络设备和安全设备。
作为本发明的进一步改进,所述操作事件包括主机事件、网络设备交换机事件、安全设备横向隔离装置事件、安全设备防火墙事件和安全设备入侵监测事件。
作为本发明的进一步改进,在所述采集数据时,对数据进行清洗和归一化。
作为本发明的进一步改进,将数据标识为<原始数据、设备标签、事件标签>的形式,并上传数据。
作为本发明的进一步改进,所述数据分析包括:
根据设备类型或事件类型进行原始数据分析,将同设备标签或事件标签的原始数据进行关联检索,完成数据信息挖掘。
与现有技术相比,本发明的有益效果为:
本发明通过增加设备标签和事件标签,从而能够清晰标识数据相关联的设备和事件,满足采集数据进行归一化的要求,同时对事件进行标识的设计能够提高后续数据综合关联分析的效率。
附图说明
图1为本发明一种实施例公开的工控环境下数据采集中设备和事件的标识方法的流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合附图对本发明做进一步的详细描述:
针对现有技术中缺少一种工控环境下如何对采集的原始数据进行预处理(有效归一化)的方法、以及缺少一种工控环境下对归一化后的数据如何进行标识以提高后续关联分析效率的方法;为实现对工控环境下全量采集的数据进行预处理,实现数据的初步清晰和归一化,本发明提供一种工控环境下数据采集中设备和事件的标识方法,该标识方法通过对设备类型和事件类型进行分类标识,得到对应的设备标签和事件标签,利用设备标签和事件标签对后续采集的原始数据进行标识,以进一步挖掘数据的信息价值,提高后续关联分析的效率。
具体的:
如图1所示,本发明提供一种工控环境下数据采集中设备和事件的标识方法,包括:
步骤1、对工控环境下的设备进行编码标识,得到设备标签;
其中,
设备包括主机设备、控制设备、网络设备和安全设备等,主机设备包括采用通用操作系统的服务器、工作站;控制设备包括工业生产过程中用于控制执行器以及采集传感器数据的装置;网络设备包括交换机、路由器等网络通信设备;安全设备包括防火墙、纵向加密认证装置、正向隔离装置、反向隔离装置、采集探针、入侵检测系统(IDS)、运维操作审计系统、防病毒系统等网络安全设备;
本发明可对主机设备、控制设备、网络设备和安全设备(包括其各自的下属设备)按照1001、1002、1003、1004等编码方式进行标识,如1001代表主机设备,1004代表防火墙;也可对主机设备、控制设备、网络设备和安全设备等一级设备进行一级标识,对主机设备、控制设备、网络设备和安全设备等一级设备的二级设备(服务器、工作站、正向隔离装置等)进行二级标识,如主机设备、控制设备、网络设备和安全设备按照1001、1002、1003、1004等编码方式进行标识,服务器、工作站按照100101、100102等编码方式进行标识。
步骤2、对工控环境下的操作事件进行分类,并对不同类型的分类事件进行编码标识,得到事件标签;
其中,
操作事件一般包括主机事件、网络设备交换机事件、安全设备横向隔离装置事件、安全设备防火墙事件、安全设备入侵监测事件等。其中以主机事件为例,又包括登录成功事件、退出登陆事件、登录失败事件、操作命令事件、操作回显事件、USB设备插入事件、USB设备拔出事件、串口占用事件、串口释放事件、并口占用事件、并口释放事件、光驱挂载事件、光驱卸载事件、网络外联事件等。
可根据需要,对所有相关事件进行定义,并按照统一规范进行标签设置进行标识。
本发明可对主机事件、网络设备交换机事件、安全设备横向隔离装置事件、安全设备防火墙事件、安全设备入侵监测事件等(包括其各自的下属操作事件)按照2001、2002、2003、2004等编码方式进行标识,如2001代表主机事件,2002代表网络设备交换机事件;也可对主机事件、网络设备交换机事件、安全设备横向隔离装置事件、安全设备防火墙事件、安全设备入侵监测事件等一级事件进行一级标识,对主机事件、网络设备交换机事件、安全设备横向隔离装置事件、安全设备防火墙事件、安全设备入侵监测事件等一级事件的二级事件(如主机事件的主机登录成功事件、主机登录失败事件等)进行二级标识,如2001代表主机事件,200101代表主机登录成功事件,200102代表主机登录失败事件,200103代表主机登录退出事件。
步骤3、采集数据;
其中,
在采集数据时,对数据进行清洗和归一化;
在全量数据采集中,应当对设备的日志信息和通信流量信息进行采集。其中日志信息指通过SNMP、SNMP Trap、Syslog、Agent、网络主动扫描方式采集的信息,通信流量信息指通过流量嗅探方式采集的信息;其中,通用主机的采集数据应包括日志信息;网络设备的采集数据应包括日志信息、通信流量信息;安全设备的采集数据应包括日志信息。
步骤4、通过设备标签和事件标签对所采集的数据进行标识,并上传数据;
其中,
采集的数据应当与相应的事件进行对应,才能进行后续的关联分析。例如对主机信息的采集中,就应当包括用户登录成功事件、用户登录失败事件、用户退出登录事件、U盘设备插入、U盘设备拔出等。为此,本发明通过设备标签和事件标签对所采集的数据进行标识,将数据标识为:<原始数据、设备标签、事件标签>的形式,进行数据上传。
步骤5、数据分析;
其中,
根据设备类型或事件类型进行原始数据分析,将同设备标签或事件标签的原始数据进行关联检索,完成数据信息挖掘,提高数据使用效率。
本发明的优点为:
本发明通过增加设备标签和事件标签,从而能够清晰标识数据相关联的设备和事件,满足采集数据进行归一化的要求,同时对事件进行标识的设计能够提高后续数据综合关联分析的效率。
以上仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (6)

1.一种工控环境下数据采集中设备和事件的标识方法,其特征在于,包括:
对工控环境下的设备进行编码标识,得到设备标签;
对工控环境下的操作事件进行分类,并对不同类型的分类事件进行编码标识,得到事件标签;
采集数据;
通过所述设备标签和事件标签对所采集的数据进行标识,并上传数据;
数据分析。
2.如权利要求1所述的标识方法,其特征在于,所述设备包括主机设备、控制设备、网络设备和安全设备。
3.如权利要求1所述的标识方法,其特征在于,所述操作事件包括主机事件、网络设备交换机事件、安全设备横向隔离装置事件、安全设备防火墙事件和安全设备入侵监测事件。
4.如权利要求1所述的标识方法,其特征在于,在所述采集数据时,对数据进行清洗和归一化。
5.如权利要求1所述的标识方法,其特征在于,将数据标识为<原始数据、设备标签、事件标签>的形式,并上传数据。
6.如权利要求1所述的标识方法,其特征在于,所述数据分析包括:
根据设备类型或事件类型进行原始数据分析,将同设备标签或事件标签的原始数据进行关联检索,完成数据信息挖掘。
CN202010102767.0A 2020-02-19 2020-02-19 一种工控环境下数据采集中设备和事件的标识方法 Pending CN111314139A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010102767.0A CN111314139A (zh) 2020-02-19 2020-02-19 一种工控环境下数据采集中设备和事件的标识方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010102767.0A CN111314139A (zh) 2020-02-19 2020-02-19 一种工控环境下数据采集中设备和事件的标识方法

Publications (1)

Publication Number Publication Date
CN111314139A true CN111314139A (zh) 2020-06-19

Family

ID=71161861

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010102767.0A Pending CN111314139A (zh) 2020-02-19 2020-02-19 一种工控环境下数据采集中设备和事件的标识方法

Country Status (1)

Country Link
CN (1) CN111314139A (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020069037A1 (en) * 2000-09-01 2002-06-06 Keith Hendrickson System and method for measuring wireless device and network usage and performance metrics
CN103530715A (zh) * 2013-08-22 2014-01-22 北京交通大学 高速铁路行车固定设备网格化管理系统及管理方法
WO2015172512A1 (zh) * 2014-05-13 2015-11-19 中兴通讯股份有限公司 数据获取方法、装置及系统
CN107067129A (zh) * 2016-12-12 2017-08-18 北京交通大学 基于网格的铁路工务设备风险事件可能性获取方法及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020069037A1 (en) * 2000-09-01 2002-06-06 Keith Hendrickson System and method for measuring wireless device and network usage and performance metrics
CN103530715A (zh) * 2013-08-22 2014-01-22 北京交通大学 高速铁路行车固定设备网格化管理系统及管理方法
WO2015172512A1 (zh) * 2014-05-13 2015-11-19 中兴通讯股份有限公司 数据获取方法、装置及系统
CN107067129A (zh) * 2016-12-12 2017-08-18 北京交通大学 基于网格的铁路工务设备风险事件可能性获取方法及系统

Similar Documents

Publication Publication Date Title
US20180309772A1 (en) Method and device for automatically verifying security event
CN107895011B (zh) 会话信息的处理方法、系统、存储介质和电子设备
CN113157994A (zh) 一种多源异构平台数据处理方法
CN107707541A (zh) 一种流式的基于机器学习的攻击行为日志实时检测方法
CN113037567B (zh) 一种用于电网企业的网络攻击行为仿真系统的仿真方法
CN109995696A (zh) 一种识别设备指纹的系统
CN112001443A (zh) 网络行为数据的监控方法、装置、存储介质及电子设备
CN111274218A (zh) 一种电力信息系统多源日志数据处理方法
CN110460611A (zh) 基于机器学习的全流量攻击检测技术
CN109660656A (zh) 一种智能终端应用程序识别方法
CN112565278A (zh) 一种捕获攻击的方法及蜜罐系统
CN110543584A (zh) 一种建立人脸索引的方法、装置、处理服务器及存储介质
CN101572633B (zh) 网络取证方法及系统
CN110866553A (zh) 一种基于加密摄像头流量统计特征的用户行为分类方法及系统
CN111651760A (zh) 一种设备安全状态综合分析的方法及计算机可读存储介质
CN110708341B (zh) 一种基于远程桌面加密网络流量模式差异的用户行为检测方法及系统
CN112217826A (zh) 一种基于流量感知的网络资产关联分析和动态监管方法
CN111314139A (zh) 一种工控环境下数据采集中设备和事件的标识方法
CN101296224B (zh) 一种p2p流量识别系统和方法
CN109474529B (zh) 一种终端网络关联数据反馈的方法
CN110266562B (zh) 网络应用系统身份认证功能的自动检测的方法
CN110688369A (zh) 解析db2报文的方法、装置、存储介质及电子设备
CN111274235B (zh) 一种未知协议的数据清洗和协议字段特征提取方法
CN114338346A (zh) 告警报文处理方法、装置及电子设备
CN102446227A (zh) 一种交互式半自动化安全事故追溯方法与系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20200619

RJ01 Rejection of invention patent application after publication