CN111314139A - 一种工控环境下数据采集中设备和事件的标识方法 - Google Patents
一种工控环境下数据采集中设备和事件的标识方法 Download PDFInfo
- Publication number
- CN111314139A CN111314139A CN202010102767.0A CN202010102767A CN111314139A CN 111314139 A CN111314139 A CN 111314139A CN 202010102767 A CN202010102767 A CN 202010102767A CN 111314139 A CN111314139 A CN 111314139A
- Authority
- CN
- China
- Prior art keywords
- data
- event
- equipment
- events
- industrial control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 22
- 238000002955 isolation Methods 0.000 claims description 9
- 238000012544 monitoring process Methods 0.000 claims description 6
- 238000005065 mining Methods 0.000 claims description 3
- 238000007405 data analysis Methods 0.000 claims description 2
- 238000010219 correlation analysis Methods 0.000 abstract description 6
- 238000010606 normalization Methods 0.000 abstract description 4
- 239000000126 substance Substances 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 238000007781 pre-processing Methods 0.000 description 4
- 238000004140 cleaning Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000012098 association analyses Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000001276 controlling effect Effects 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000000875 corresponding effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000009776 industrial production Methods 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种工控环境下数据采集中设备和事件的标识方法,包括:对工控环境下的设备进行编码标识,得到设备标签;对工控环境下的操作事件进行分类,并对不同类型的分类事件进行编码标识,得到事件标签;采集数据;通过设备标签和事件标签对所采集的数据进行标识,并上传数据;数据分析。本发明通过增加设备标签和事件标签,从而能够清晰标识数据相关联的设备和事件,满足采集数据进行归一化的要求,同时对事件进行标识的设计能够提高后续数据综合关联分析的效率。
Description
技术领域
本发明涉及工控数据采集技术领域,具体涉及一种工控环境下数据采集中设备和事件的标识方法。
背景技术
在工控环境中进行数据采集,尤其是全量数据采集,往往包含了来自不同类型设备的多种数据,这些数据普遍会代表或能够关联到不同类别的事件。在数据采集时,基于采集数据的来源信息和事件类别信息,进行数据的预处理、清洗和归一化,并进行标识后上传;能够更好的提高数据的利用率,挖掘数据的价值,方便后续进一步的关联分析。
通过对国内外论文、学术会议、科技文献、专利等等数据库的检索发现:现阶段工控环境下全量数据的采集分析还处在起步阶段:
一是在数据采集时如何对采集的原始数据进行预处理;
二是预处理后如何进行标识以提高后续关联分析的效率。
发明内容
针对现有技术中存在的上述问题,本发明提供一种工控环境下数据采集中设备和事件的标识方法。
本发明公开了一种工控环境下数据采集中设备和事件的标识方法,包括:
对工控环境下的设备进行编码标识,得到设备标签;
对工控环境下的操作事件进行分类,并对不同类型的分类事件进行编码标识,得到事件标签;
采集数据;
通过所述设备标签和事件标签对所采集的数据进行标识,并上传数据;
数据分析。
作为本发明的进一步改进,所述设备包括主机设备、控制设备、网络设备和安全设备。
作为本发明的进一步改进,所述操作事件包括主机事件、网络设备交换机事件、安全设备横向隔离装置事件、安全设备防火墙事件和安全设备入侵监测事件。
作为本发明的进一步改进,在所述采集数据时,对数据进行清洗和归一化。
作为本发明的进一步改进,将数据标识为<原始数据、设备标签、事件标签>的形式,并上传数据。
作为本发明的进一步改进,所述数据分析包括:
根据设备类型或事件类型进行原始数据分析,将同设备标签或事件标签的原始数据进行关联检索,完成数据信息挖掘。
与现有技术相比,本发明的有益效果为:
本发明通过增加设备标签和事件标签,从而能够清晰标识数据相关联的设备和事件,满足采集数据进行归一化的要求,同时对事件进行标识的设计能够提高后续数据综合关联分析的效率。
附图说明
图1为本发明一种实施例公开的工控环境下数据采集中设备和事件的标识方法的流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合附图对本发明做进一步的详细描述:
针对现有技术中缺少一种工控环境下如何对采集的原始数据进行预处理(有效归一化)的方法、以及缺少一种工控环境下对归一化后的数据如何进行标识以提高后续关联分析效率的方法;为实现对工控环境下全量采集的数据进行预处理,实现数据的初步清晰和归一化,本发明提供一种工控环境下数据采集中设备和事件的标识方法,该标识方法通过对设备类型和事件类型进行分类标识,得到对应的设备标签和事件标签,利用设备标签和事件标签对后续采集的原始数据进行标识,以进一步挖掘数据的信息价值,提高后续关联分析的效率。
具体的:
如图1所示,本发明提供一种工控环境下数据采集中设备和事件的标识方法,包括:
步骤1、对工控环境下的设备进行编码标识,得到设备标签;
其中,
设备包括主机设备、控制设备、网络设备和安全设备等,主机设备包括采用通用操作系统的服务器、工作站;控制设备包括工业生产过程中用于控制执行器以及采集传感器数据的装置;网络设备包括交换机、路由器等网络通信设备;安全设备包括防火墙、纵向加密认证装置、正向隔离装置、反向隔离装置、采集探针、入侵检测系统(IDS)、运维操作审计系统、防病毒系统等网络安全设备;
本发明可对主机设备、控制设备、网络设备和安全设备(包括其各自的下属设备)按照1001、1002、1003、1004等编码方式进行标识,如1001代表主机设备,1004代表防火墙;也可对主机设备、控制设备、网络设备和安全设备等一级设备进行一级标识,对主机设备、控制设备、网络设备和安全设备等一级设备的二级设备(服务器、工作站、正向隔离装置等)进行二级标识,如主机设备、控制设备、网络设备和安全设备按照1001、1002、1003、1004等编码方式进行标识,服务器、工作站按照100101、100102等编码方式进行标识。
步骤2、对工控环境下的操作事件进行分类,并对不同类型的分类事件进行编码标识,得到事件标签;
其中,
操作事件一般包括主机事件、网络设备交换机事件、安全设备横向隔离装置事件、安全设备防火墙事件、安全设备入侵监测事件等。其中以主机事件为例,又包括登录成功事件、退出登陆事件、登录失败事件、操作命令事件、操作回显事件、USB设备插入事件、USB设备拔出事件、串口占用事件、串口释放事件、并口占用事件、并口释放事件、光驱挂载事件、光驱卸载事件、网络外联事件等。
可根据需要,对所有相关事件进行定义,并按照统一规范进行标签设置进行标识。
本发明可对主机事件、网络设备交换机事件、安全设备横向隔离装置事件、安全设备防火墙事件、安全设备入侵监测事件等(包括其各自的下属操作事件)按照2001、2002、2003、2004等编码方式进行标识,如2001代表主机事件,2002代表网络设备交换机事件;也可对主机事件、网络设备交换机事件、安全设备横向隔离装置事件、安全设备防火墙事件、安全设备入侵监测事件等一级事件进行一级标识,对主机事件、网络设备交换机事件、安全设备横向隔离装置事件、安全设备防火墙事件、安全设备入侵监测事件等一级事件的二级事件(如主机事件的主机登录成功事件、主机登录失败事件等)进行二级标识,如2001代表主机事件,200101代表主机登录成功事件,200102代表主机登录失败事件,200103代表主机登录退出事件。
步骤3、采集数据;
其中,
在采集数据时,对数据进行清洗和归一化;
在全量数据采集中,应当对设备的日志信息和通信流量信息进行采集。其中日志信息指通过SNMP、SNMP Trap、Syslog、Agent、网络主动扫描方式采集的信息,通信流量信息指通过流量嗅探方式采集的信息;其中,通用主机的采集数据应包括日志信息;网络设备的采集数据应包括日志信息、通信流量信息;安全设备的采集数据应包括日志信息。
步骤4、通过设备标签和事件标签对所采集的数据进行标识,并上传数据;
其中,
采集的数据应当与相应的事件进行对应,才能进行后续的关联分析。例如对主机信息的采集中,就应当包括用户登录成功事件、用户登录失败事件、用户退出登录事件、U盘设备插入、U盘设备拔出等。为此,本发明通过设备标签和事件标签对所采集的数据进行标识,将数据标识为:<原始数据、设备标签、事件标签>的形式,进行数据上传。
步骤5、数据分析;
其中,
根据设备类型或事件类型进行原始数据分析,将同设备标签或事件标签的原始数据进行关联检索,完成数据信息挖掘,提高数据使用效率。
本发明的优点为:
本发明通过增加设备标签和事件标签,从而能够清晰标识数据相关联的设备和事件,满足采集数据进行归一化的要求,同时对事件进行标识的设计能够提高后续数据综合关联分析的效率。
以上仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (6)
1.一种工控环境下数据采集中设备和事件的标识方法,其特征在于,包括:
对工控环境下的设备进行编码标识,得到设备标签;
对工控环境下的操作事件进行分类,并对不同类型的分类事件进行编码标识,得到事件标签;
采集数据;
通过所述设备标签和事件标签对所采集的数据进行标识,并上传数据;
数据分析。
2.如权利要求1所述的标识方法,其特征在于,所述设备包括主机设备、控制设备、网络设备和安全设备。
3.如权利要求1所述的标识方法,其特征在于,所述操作事件包括主机事件、网络设备交换机事件、安全设备横向隔离装置事件、安全设备防火墙事件和安全设备入侵监测事件。
4.如权利要求1所述的标识方法,其特征在于,在所述采集数据时,对数据进行清洗和归一化。
5.如权利要求1所述的标识方法,其特征在于,将数据标识为<原始数据、设备标签、事件标签>的形式,并上传数据。
6.如权利要求1所述的标识方法,其特征在于,所述数据分析包括:
根据设备类型或事件类型进行原始数据分析,将同设备标签或事件标签的原始数据进行关联检索,完成数据信息挖掘。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010102767.0A CN111314139A (zh) | 2020-02-19 | 2020-02-19 | 一种工控环境下数据采集中设备和事件的标识方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010102767.0A CN111314139A (zh) | 2020-02-19 | 2020-02-19 | 一种工控环境下数据采集中设备和事件的标识方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111314139A true CN111314139A (zh) | 2020-06-19 |
Family
ID=71161861
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010102767.0A Pending CN111314139A (zh) | 2020-02-19 | 2020-02-19 | 一种工控环境下数据采集中设备和事件的标识方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111314139A (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020069037A1 (en) * | 2000-09-01 | 2002-06-06 | Keith Hendrickson | System and method for measuring wireless device and network usage and performance metrics |
CN103530715A (zh) * | 2013-08-22 | 2014-01-22 | 北京交通大学 | 高速铁路行车固定设备网格化管理系统及管理方法 |
WO2015172512A1 (zh) * | 2014-05-13 | 2015-11-19 | 中兴通讯股份有限公司 | 数据获取方法、装置及系统 |
CN107067129A (zh) * | 2016-12-12 | 2017-08-18 | 北京交通大学 | 基于网格的铁路工务设备风险事件可能性获取方法及系统 |
-
2020
- 2020-02-19 CN CN202010102767.0A patent/CN111314139A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020069037A1 (en) * | 2000-09-01 | 2002-06-06 | Keith Hendrickson | System and method for measuring wireless device and network usage and performance metrics |
CN103530715A (zh) * | 2013-08-22 | 2014-01-22 | 北京交通大学 | 高速铁路行车固定设备网格化管理系统及管理方法 |
WO2015172512A1 (zh) * | 2014-05-13 | 2015-11-19 | 中兴通讯股份有限公司 | 数据获取方法、装置及系统 |
CN107067129A (zh) * | 2016-12-12 | 2017-08-18 | 北京交通大学 | 基于网格的铁路工务设备风险事件可能性获取方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20180309772A1 (en) | Method and device for automatically verifying security event | |
CN107895011B (zh) | 会话信息的处理方法、系统、存储介质和电子设备 | |
CN113157994A (zh) | 一种多源异构平台数据处理方法 | |
CN107707541A (zh) | 一种流式的基于机器学习的攻击行为日志实时检测方法 | |
CN113037567B (zh) | 一种用于电网企业的网络攻击行为仿真系统的仿真方法 | |
CN109995696A (zh) | 一种识别设备指纹的系统 | |
CN112001443A (zh) | 网络行为数据的监控方法、装置、存储介质及电子设备 | |
CN111274218A (zh) | 一种电力信息系统多源日志数据处理方法 | |
CN110460611A (zh) | 基于机器学习的全流量攻击检测技术 | |
CN109660656A (zh) | 一种智能终端应用程序识别方法 | |
CN112565278A (zh) | 一种捕获攻击的方法及蜜罐系统 | |
CN110543584A (zh) | 一种建立人脸索引的方法、装置、处理服务器及存储介质 | |
CN101572633B (zh) | 网络取证方法及系统 | |
CN110866553A (zh) | 一种基于加密摄像头流量统计特征的用户行为分类方法及系统 | |
CN111651760A (zh) | 一种设备安全状态综合分析的方法及计算机可读存储介质 | |
CN110708341B (zh) | 一种基于远程桌面加密网络流量模式差异的用户行为检测方法及系统 | |
CN112217826A (zh) | 一种基于流量感知的网络资产关联分析和动态监管方法 | |
CN111314139A (zh) | 一种工控环境下数据采集中设备和事件的标识方法 | |
CN101296224B (zh) | 一种p2p流量识别系统和方法 | |
CN109474529B (zh) | 一种终端网络关联数据反馈的方法 | |
CN110266562B (zh) | 网络应用系统身份认证功能的自动检测的方法 | |
CN110688369A (zh) | 解析db2报文的方法、装置、存储介质及电子设备 | |
CN111274235B (zh) | 一种未知协议的数据清洗和协议字段特征提取方法 | |
CN114338346A (zh) | 告警报文处理方法、装置及电子设备 | |
CN102446227A (zh) | 一种交互式半自动化安全事故追溯方法与系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200619 |
|
RJ01 | Rejection of invention patent application after publication |