CN114221805A - 一种工业互联网数据的监测方法、装置、设备及介质 - Google Patents
一种工业互联网数据的监测方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN114221805A CN114221805A CN202111521687.XA CN202111521687A CN114221805A CN 114221805 A CN114221805 A CN 114221805A CN 202111521687 A CN202111521687 A CN 202111521687A CN 114221805 A CN114221805 A CN 114221805A
- Authority
- CN
- China
- Prior art keywords
- industrial internet
- abnormal
- data
- internet data
- industrial
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 37
- 238000012544 monitoring process Methods 0.000 title claims abstract description 31
- 230000002159 abnormal effect Effects 0.000 claims abstract description 282
- 238000001514 detection method Methods 0.000 claims abstract description 34
- 238000007781 pre-processing Methods 0.000 claims description 21
- 238000003860 storage Methods 0.000 claims description 9
- 238000004590 computer program Methods 0.000 claims description 8
- 238000012806 monitoring device Methods 0.000 claims description 8
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 7
- 238000013507 mapping Methods 0.000 claims description 5
- 230000002547 anomalous effect Effects 0.000 claims 2
- 238000012550 audit Methods 0.000 abstract description 10
- 238000007726 management method Methods 0.000 abstract description 5
- 230000006399 behavior Effects 0.000 description 11
- 238000004891 communication Methods 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 238000011161 development Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000005856 abnormality Effects 0.000 description 3
- 238000013500 data storage Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 2
- 206010063385 Intellectualisation Diseases 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013070 change management Methods 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 238000009776 industrial production Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000010223 real-time analysis Methods 0.000 description 1
- 230000008707 rearrangement Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y30/00—IoT infrastructure
- G16Y30/10—Security thereof
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例公开了一种工业互联网数据的监测方法、装置、设备及介质。该方法包括:从工业互联网中采集到的各工业互联网数据中,获取不符合工业互联网专有协议规则的异常工业互联网数据;对各所述异常工业互联网数据进行解析,获取与各异常工业互联网数据分别对应的异常类型,并追溯与各异常工业互联网数据分别匹配的工业设备标识;根据与各所述异常工业互联网数据分别对应的异常类型和工业设备标识,形成数据检测报告。本发明实施例,解决了无法准确和有效地找出工控网络中存在的真实威胁的问题,实现了对工业互联网设备操作、网络行为和入侵检测等的行为管理监测审计,提高了对不断演变的高级威胁的检测能力。
Description
技术领域
本发明实施例涉及计算机数据处理技术,尤其涉及一种工业互联网数据的监测方法、装置、设备及介质。
背景技术
以前工业控制行业普遍认为工业控制系统基于相对隔离的系统部署环境和多层纵深的安全防护手段能使其免遭外界的攻击,所以工业控制系统工控防护类技术的安全性在整个技术发展生命周期中容易被忽视。然而随着信息化及工业化相关技术的不断发展、不断融合、开放通讯协议的引入、智能终端设备的发展、与其他设备/软件连接的增加、外部连通性的增强和网络攻击事件的频发等因素的增多,工业控制系统的安全风险日益加重。进一步的,由于工业控制系统的工业通信协议相对简单、操作系统和软件缺乏安全性易受攻击。
发明人在发明的过程中,发现现有技术存在的缺陷为:传统以防护为主的安全体系面临极大挑战。各种检测技术从不同的角度发现网络中可能存在的安全问题,但无法准确和有效地找出工控网络中存在的真实威胁,对工业生产系统的通信行为、工控协议漏洞、异常事件的捕捉以及数据的真实性等情况,缺乏对系统误操作不蓄意破坏行为的监测机制,也缺少日志审计及配置变更管理,甚至大部分工控系统不具备审计功能,或者虽然具备审计功能,但系统的性能要求限制了审计功能的开启。
发明内容
本发明实施例提供一种工业互联网数据的监测方法、装置、设备及介质,可适用于工业互联网安全审计与溯源监测的场景中,提高了对不断演变的高级威胁的检测能力。
第一方面,本发明实施例提供了一种工业互联网数据的监测方法,其中,包括:
从工业互联网中采集到的各工业互联网数据中,获取不符合工业互联网专有协议规则的异常工业互联网数据;
对各所述异常工业互联网数据进行解析,获取与各异常工业互联网数据分别对应的异常类型,并追溯与各异常工业互联网数据分别匹配的工业设备标识;
根据与各所述异常工业互联网数据分别对应的异常类型和工业设备标识,形成数据检测报告。
进一步的,从工业互联网中采集到的各工业互联网数据中,获取不符合工业互联网专有协议规则的异常工业互联网数据,包括:从工业互联网中实时采集工业互联网数据,并对实时采集到的工业互联网数据进行至少一项数据预处理操作;从完成预处理操作后的各工业互联网数据中,获取不符合工业互联网专有协议规则的异常工业互联网数据。
进一步的,从工业互联网中采集到的各工业互联网数据中,获取不符合工业互联网专有协议规则的异常工业互联网数据,包括:从工业互联网数据库中,获取预先在工业互联网中采集到的各工业互联网数据;在获取的各工业互联网数据中,获取不符合工业互联网专有协议规则的异常工业互联网数据;其中,所述工业互联网数据库中的工业互联网数据库为对从工业互联网中实时采集到的各工业互联网数据,进行至少一项数据预处理操作后得到的。
进一步的,对各所述异常工业互联网数据进行解析,获取与各异常工业互联网数据分别对应的异常类型,包括:对当前处理的目标异常工业互联网数据进行解析,获取与所述目标异常工业互联网数据对应的至少一项数据特征;将所述至少一项数据特征与异常类型库进行匹配,其中,所述异常类型库中包括有异常类型与异常类型的数据特征之间的映射关系;根据匹配结果,确定与所述目标异常工业互联网数据对应的异常类型。
进一步的,所述异常类型包括:重要控制指令、恶意指令下发、异常登录攻击、异常行为以及其他类型。
进一步的,根据匹配结果,确定与所述目标异常工业互联网数据对应的异常类型,包括:如果确定所述目标异常工业互联网数据的至少一项数据特征命中所述异常类型库中目标异常类型的数据特征,则将所述目标异常类型确定为与所述目标异常工业互联网数据对应的异常类型。
进一步的,根据匹配结果,确定与所述目标异常工业互联网数据对应的异常类型,包括:如果确定所述目标异常工业互联网数据的至少一项数据特征未命中所述异常类型库中任一异常类型的数据特征,则将所述其他类型确定为与所述目标异常工业互联网数据对应的异常类型;将所述目标异常工业互联网数据的至少一项数据特征作为与所述其他类型对应的新的数据特征,加入至所述异常类型库中。
第二方面,本发明实施例还提供了一种工业互联网数据的监测装置,该工业互联网数据的监测装置包括:
异常工业互联网数据获取模块,用于从工业互联网中采集到的各工业互联网数据中,获取不符合工业互联网专有协议规则的异常工业互联网数据;
异常类型获取模块,用于对各所述异常工业互联网数据进行解析,获取与各异常工业互联网数据分别对应的异常类型,并追溯与各异常工业互联网数据分别匹配的工业设备标识;
数据检测报告形成模块,用于根据与各所述异常工业互联网数据分别对应的异常类型和工业设备标识,形成数据检测报告。
第三方面,本发明实施例还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,所述处理器执行所述计算机程序时实现如本发明任意实施例所述的工业互联网数据的监测方法。
第四方面,本发明实施例还提供了一种包含计算机可读存储介质,其上存储有计算机程序,其中,该计算机程序被处理器执行时实现如本发明任意实施例所述的工业互联网数据的监测方法。
本发明实施例所提供的技术方案,通过从工业互联网中采集到的各工业互联网数据中,获取不符合工业互联网专有协议规则的异常工业互联网数据;对各所述异常工业互联网数据进行解析,获取与各异常工业互联网数据分别对应的异常类型,并追溯与各异常工业互联网数据分别匹配的工业设备标识;根据与各所述异常工业互联网数据分别对应的异常类型和工业设备标识,形成数据检测报告。解决了无法准确和有效地找出工控网络中存在的真实威胁的问题,实现了对工业互联网设备操作、网络行为和入侵检测等的行为管理监测审计,提高了对不断演变的高级威胁的检测能力。
附图说明
图1为本发明实施例一提供的一种工业互联网数据的监测方法的流程图;
图2为本发明实施例二提供的另一种工业互联网数据的监测方法的流程图;
图3是本发明实施例三提供的一种工业互联网数据的监测装置的结构示意图;
图4是本发明实施例四提供的一种计算机设备的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
实施例一
图1为本发明实施例一提供的一种工业互联网数据的监测方法的流程图。本实施例可适用于工业互联网安全审计与溯源监测的场景中,管理监测审计工业互联网设备操作、网络行为和入侵检测等的行为的情况。本实施例的方法可以由工业互联网数据的监测装置执行,该装置可以通过软件和/或硬件的方式实现,该装置可配置于服务器或终端设备等计算机设备中。
相应的,该方法具体包括如下步骤:
S110、从工业互联网中采集到的各工业互联网数据中,获取不符合工业互联网专有协议规则的异常工业互联网数据。
其中,工业互联网可以是新一代信息通信技术与工业经济深度融合的新型基础设施、应用模式和工业生态,通过对人、机、物和系统等的全面连接,构建起覆盖全产业链、全价值链的全新制造和服务体系,为工业乃至产业数字化、网络化和智能化等的发展提供了实现途径,是第四次工业革命的重要基石。工业互联网数据可以是从工业控制设备、智能终端类设备和边缘计算网关等工业平台上,采用Agent的数据采集方式,采集到的数据。
其中,工业互联网专有协议规则可以是对在工业互联网中,互相通信的对等实体间进行工业互联网数据交换两者建立的规则、标准或约定,保证实体在工业互联网中有序地交换数据。进一步的,工业互联网数据符合工业互联网专有协议规则,可以进行正常的工业互联网设备之间的通信。工业互联网数据不符合工业互联网专有协议规则,不可以进行正常的工业互联网设备之间的通信,将不符合工业互联网专有协议规则的工业互联网数据确定为异常工业互联网数据。也即,异常工业互联网数据可以是不符合工业互联网专有协议规则的工业互联网数据。
示例性的,在工业互联网中,从工业控制设备、智能终端类设备和边缘计算网关等平台上,进行各工业互联网数据的采集,从而获取得到各工业互联网数据为A、工业互联网数据B和工业互联网数据C。进一步的,需要判断工业互联网数据A、工业互联网数据B和工业互联网数据C是否符合工业互联网专有协议规则,经过判断,可以确定工业互联网数据A符合工业互联网专有协议规则,则确定工业互联网数据A对应的设备可以进行正常的工业互联网设备之间的通信。可以确定工业互联网数据B和工业互联网数据C不符合工业互联网专有协议规则,则将工业互联网数据B和工业互联网数据C确定为异常工业互联网数据。
在本实施例中,首先从工业互联网中进行各工业互联网数据的采集,从而获取得到各工业互联网数据,接着对各工业互联网数据判别是否符合工业互联网专有协议规则,如果工业互联网数据符合工业互联网专有协议规则,则确定可以进行正常的工业互联网设备之间的通信;如果工业互联网数据不符合工业互联网专有协议规则,则将工业互联网数据确定为异常工业互联网数据。
可选的,从工业互联网中采集到的各工业互联网数据中,获取不符合工业互联网专有协议规则的异常工业互联网数据,包括:从工业互联网中实时采集工业互联网数据,并对实时采集到的工业互联网数据进行至少一项数据预处理操作;从完成预处理操作后的各工业互联网数据中,获取不符合工业互联网专有协议规则的异常工业互联网数据。
其中,数据预处理可以是对采集到的工业互联网数据进行预处理,可以包括工业互联网数据分类、去重和压缩等预处理操作。
在本实施例中,从工业互联网中实时采集工业互联网数据,获取实时采集到的工业互联网数据,并对实时采集到的工业互联网数据进行至少一项数据预处理操作。进一步的,从完成预处理操作后的各工业互联网数据中,获取不符合工业互联网专有协议规则的异常工业互联网数据。
这样设置的好处在于:从工业互联网中,可以实时对工业互联网数据进行采集,并且对实时采集到的工业互联网数据进行至少一项数据预处理操作,这样可以使得工业互联网数据能够实时采集并且实时进行数据预处理,从而判断其是否符合工业互联网专有协议规则。实现了对工业互联网数据的在线实时审计,可以更加准确迅速的对采集到的工业互联网数据进行处理,从而确保了时效性。
可选的,从工业互联网中采集到的各工业互联网数据中,获取不符合工业互联网专有协议规则的异常工业互联网数据,包括:从工业互联网数据库中,获取预先在工业互联网中采集到的各工业互联网数据;在获取的各工业互联网数据中,获取不符合工业互联网专有协议规则的异常工业互联网数据;其中,所述工业互联网数据库中的工业互联网数据库为对从工业互联网中实时采集到的各工业互联网数据,进行至少一项数据预处理操作后得到的。
其中,工业互联网数据库可以是存储从工业互联网中采集到的各工业互联网数据,进行至少一项数据预处理操作后得到的工业互联网数据,从而可以组成的数据库。
在本实施例中,从工业互联网中采集到的各工业互联网数据中,将其经过至少一项数据预处理操作后,存储至工业互联网数据库中。当对各工业互联网数据判别其是否符合工业互联网专有协议规则,需要首先从工业互联网数据库中,获取预先在工业互联网中采集到的各工业互联网数据,然后进行判断。如果符合工业互联网专有协议规则,则不对其进行操作,也就是说该工业互联网数据对应的设备能够进行正常的通信。如果符合工业互联网专有协议规则,则将该工业互联网数据判定为异常工业互联网数据。
这样设置的好处在于:可以对从工业互联网中采集到的各工业互联网数据进行数据存储,存储至工业互联网数据库中。当需要对该工业互联网数据进行判别时,再从工业互联网数据库中获取该工业互联网数据。可以对采集到的工业互联网数据进行数据的存储和处理,从而当工业互联网数据需要进行判别时,可以从工业互联网数据库及时获取,从而对工业互联网数据进行判别。从而避免了不必要工业互联网数据的实时分析造成的资源的浪费,可以实现对工业互联网数据的离线审计。
S120、对各所述异常工业互联网数据进行解析,获取与各异常工业互联网数据分别对应的异常类型,并追溯与各异常工业互联网数据分别匹配的工业设备标识。
其中,异常类型可以是对工业互联网数据进行类型的判别,异常类型可以包括重要控制指令、恶意指令下发、异常登录攻击、异常行为以及其他类型等等。工业设备标识可以包括工业设备的名称和工业设备的IP地址(Internet Protocol Address,网际协议地址)等等。
示例性的,在工业互联网中,从工业控制设备、智能终端类设备和边缘计算网关等平台上,进行各工业互联网数据的采集,从而获取得到各工业互联网数据为A、工业互联网数据B和工业互联网数据C。
进一步的,需要判断工业互联网数据A、工业互联网数据B和工业互联网数据C是否符合工业互联网专有协议规则,经过判断,可以确定工业互联网数据A符合工业互联网专有协议规则,则确定工业互联网数据A对应的设备可以进行正常的工业互联网设备之间的通信。可以确定工业互联网数据B和工业互联网数据C不符合工业互联网专有协议规则,则将工业互联网数据B和工业互联网数据C确定为异常工业互联网数据。
相应的,需要对工业互联网数据B和工业互联网数据C进行解析,获取与各异常工业互联网数据分别对应的异常类型,并追溯与各异常工业互联网数据分别匹配的工业设备标识。因此,可以确定工业互联网数据B属于异常类型中的异常登录攻击,因此可以追溯与工业互联网数据B对应的工业设备标识。同样,工业互联网数据C属于异常类型中的重要控制指令和异常行为,因此可以追溯与工业互联网数据C对应的工业设备标识。
S130、根据与各所述异常工业互联网数据分别对应的异常类型和工业设备标识,形成数据检测报告。
其中,数据检测报告可以包括异常工业互联网数据分别对应的异常类型和工业设备标识,以数据检测报告返回到相应的平台上,提供给工作人员。
续前例,追溯与工业互联网数据B对应的工业设备标识,获取得到工业设备标识,将异常工业互联网数据分别对应的异常类型和工业设备标识返回至工作人员使用平台上,对其进行分析处理。同理,追溯与工业互联网数据C对应的工业设备标识,获取得到工业设备标识,将异常工业互联网数据分别对应的异常类型和工业设备标识返回至工作人员使用平台上,对其进行分析处理。
本发明实施例所提供的技术方案,通过从工业互联网中采集到的各工业互联网数据中,获取不符合工业互联网专有协议规则的异常工业互联网数据;对各所述异常工业互联网数据进行解析,获取与各异常工业互联网数据分别对应的异常类型,并追溯与各异常工业互联网数据分别匹配的工业设备标识;根据与各所述异常工业互联网数据分别对应的异常类型和工业设备标识,形成数据检测报告。解决了无法准确和有效地找出工控网络中存在的真实威胁的问题,实现了对工业互联网设备操作、网络行为和入侵检测等的行为管理监测审计,提高了对不断演变的高级威胁的检测能力。
实施例二
图2为本发明实施例一提供的另一种工业互联网数据的监测方法的流程图。本实施例以上述各实施例为基础进行细化,在本实施例中,对各所述异常工业互联网数据进行解析,获取与各异常工业互联网数据分别对应的异常类型进一步地细化。
相应的,该方法具体包括如下步骤:
S210、从工业互联网中采集到的各工业互联网数据中,获取不符合工业互联网专有协议规则的异常工业互联网数据。
S220、对当前处理的目标异常工业互联网数据进行解析,获取与所述目标异常工业互联网数据对应的至少一项数据特征。
其中,数据特征可以是异常工业互联网数据由于异常类型的不同,异常工业互联网数据具有不同的特征,特别的,异常工业互联网数据可以命中至少一项异常类型的数据特征。
S230、将所述至少一项数据特征与异常类型库进行匹配。
其中,所述异常类型库中包括有异常类型与异常类型的数据特征之间的映射关系。
其中,异常类型库可以包括多种异常类型的数据特征,进一步的,异常类型与异常类型的数据特征之间具有相应的映射关系。
S240、判断所述目标异常工业互联网数据的至少一项数据特征是否命中所述异常类型库中目标异常类型的数据特征,若是,执行S250,若否,执行S260。
示例性的,在工业互联网中,从工业控制设备、智能终端类设备和边缘计算网关等平台上,进行各工业互联网数据的采集,从而获取得到各工业互联网数据为A、工业互联网数据B和工业互联网数据C。
经过判断,可以确定工业互联网数据A、工业互联网数据B和工业互联网数据C均不符合工业互联网专有协议规则。进一步的,需要对工业互联网数据A、工业互联网数据B和工业互联网数据C进行解析,从而获取与工业互联网数据A、工业互联网数据B和工业互联网数据C对应的至少一项数据特征。接着将至少一项数据特征与异常类型库进行匹配,需要判断工业互联网数据A、工业互联网数据B和工业互联网数据C的至少一项数据特征是否命中异常类型库中目标异常类型的数据特征,从而得出匹配结果。
可选的,所述异常类型包括:重要控制指令、恶意指令下发、异常登录攻击、异常行为以及其他类型。
其中,重要控制指令可以是目标异常工业互联网数据可以反映出其他设备对目标设备的控制的指令。恶意指令下发可以是目标异常工业互联网数据可以反映出其他设备向目标设备下发恶意指令。异常登录攻击可以是目标异常工业互联网数据可以反映出目标设备被异常登录。异常行为可以是目标异常工业互联网数据可以反映出目标设备存在异常的行为。
S250、将所述目标异常类型确定为与所述目标异常工业互联网数据对应的异常类型。执行S280。
续前例,如果工业互联网数据A和工业互联网数据B的至少一项数据特征能够命中异常类型库中目标异常类型的数据特征,从而得出匹配结果。具体的,可以确定工业互联网数据A对应的异常类型中的重要控制指令;可以确定工业互联网数据B属于异常类型中的异常登录攻击。
S260、将所述其他类型确定为与所述目标异常工业互联网数据对应的异常类型。
S270、将所述目标异常工业互联网数据的至少一项数据特征作为与所述其他类型对应的新的数据特征,加入至所述异常类型库中。
续前例,如果工业互联网数据C的至少一项数据特征没有命中异常类型库中目标异常类型的数据特征,从而得出匹配结果。具体的,工业互联网数据C没有命中异常类型库中目标异常类型的数据特征,则将其确定为其他类型,并将其作为与其他类型对应的新的数据特征,加入至异常类型库中,对异常类型库进行更新。
S280、并追溯与各异常工业互联网数据分别匹配的工业设备标识。
S290、根据与各所述异常工业互联网数据分别对应的异常类型和工业设备标识,形成数据检测报告。
本发明实施例所提供的技术方案,通过从工业互联网中采集到的各工业互联网数据中,获取不符合工业互联网专有协议规则的异常工业互联网数据;对当前处理的目标异常工业互联网数据进行解析,获取与所述目标异常工业互联网数据对应的至少一项数据特征;将所述至少一项数据特征与异常类型库进行匹配;如果确定所述目标异常工业互联网数据的至少一项数据特征命中所述异常类型库中目标异常类型的数据特征,则将所述目标异常类型确定为与所述目标异常工业互联网数据对应的异常类型;如果确定所述目标异常工业互联网数据的至少一项数据特征未命中所述异常类型库中任一异常类型的数据特征,则将所述其他类型确定为与所述目标异常工业互联网数据对应的异常类型;将所述目标异常工业互联网数据的至少一项数据特征作为与所述其他类型对应的新的数据特征,加入至所述异常类型库中;并追溯与各异常工业互联网数据分别匹配的工业设备标识;根据与各所述异常工业互联网数据分别对应的异常类型和工业设备标识,形成数据检测报告。可以对异常工业互联网数据进行解析,得到相应的数据特征,从而进一步地得到相应的异常类型,并且可以对异常类型库进行更新。更加详细准确地对异常工业互联网数据的异常类型进行确定,从而能够使得工作人员容易地确定其相应的异常类型和工业设备标识,以数据检测报告反馈给工作人员,进一步地提高了对不断演变的高级威胁的检测能力。
实施例三
图3是本发明实施例三提供的一种工业互联网数据的监测装置的结构示意图,本实施例所提供的一种工业互联网数据的监测装置可以通过软件和/或硬件来实现,可配置于服务器或者终端设备中来实现本发明实施例中的一种工业互联网数据的监测方法。如图3所示,该装置具体可包括:异常工业互联网数据获取模块310、异常类型获取模块320和数据检测报告形成模块330。
其中,异常工业互联网数据获取模块310,用于从工业互联网中采集到的各工业互联网数据中,获取不符合工业互联网专有协议规则的异常工业互联网数据;
异常类型获取模块320,用于对各所述异常工业互联网数据进行解析,获取与各异常工业互联网数据分别对应的异常类型,并追溯与各异常工业互联网数据分别匹配的工业设备标识;
数据检测报告形成模块330,用于根据与各所述异常工业互联网数据分别对应的异常类型和工业设备标识,形成数据检测报告。
本发明实施例所提供的技术方案,通过从工业互联网中采集到的各工业互联网数据中,获取不符合工业互联网专有协议规则的异常工业互联网数据;对各所述异常工业互联网数据进行解析,获取与各异常工业互联网数据分别对应的异常类型,并追溯与各异常工业互联网数据分别匹配的工业设备标识;根据与各所述异常工业互联网数据分别对应的异常类型和工业设备标识,形成数据检测报告。解决了无法准确和有效地找出工控网络中存在的真实威胁的问题,实现了对工业互联网设备操作、网络行为和入侵检测等的行为管理监测审计,提高了对不断演变的高级威胁的检测能力。
在上述各实施例的基础上,异常工业互联网数据获取模块310,可以具体用于:从工业互联网中实时采集工业互联网数据,并对实时采集到的工业互联网数据进行至少一项数据预处理操作;从完成预处理操作后的各工业互联网数据中,获取不符合工业互联网专有协议规则的异常工业互联网数据。
在上述各实施例的基础上,异常工业互联网数据获取模块310,可以具体用于:从工业互联网数据库中,获取预先在工业互联网中采集到的各工业互联网数据;在获取的各工业互联网数据中,获取不符合工业互联网专有协议规则的异常工业互联网数据;其中,所述工业互联网数据库中的工业互联网数据库为对从工业互联网中实时采集到的各工业互联网数据,进行至少一项数据预处理操作后得到的。
在上述各实施例的基础上,异常类型获取模块320,可以具体包括:数据特征获取单元,用于对当前处理的目标异常工业互联网数据进行解析,获取与所述目标异常工业互联网数据对应的至少一项数据特征;数据特征匹配单元,用于将所述至少一项数据特征与异常类型库进行匹配,其中,所述异常类型库中包括有异常类型与异常类型的数据特征之间的映射关系;异常类型确定单元,用于根据匹配结果,确定与所述目标异常工业互联网数据对应的异常类型。
在上述各实施例的基础上,所述异常类型包括:重要控制指令、恶意指令下发、异常登录攻击、异常行为以及其他类型。
在上述各实施例的基础上,异常类型确定单元,可以具体用于:如果确定所述目标异常工业互联网数据的至少一项数据特征命中所述异常类型库中目标异常类型的数据特征,则将所述目标异常类型确定为与所述目标异常工业互联网数据对应的异常类型。
在上述各实施例的基础上,异常类型确定单元,可以具体用于:如果确定所述目标异常工业互联网数据的至少一项数据特征未命中所述异常类型库中任一异常类型的数据特征,则将所述其他类型确定为与所述目标异常工业互联网数据对应的异常类型;将所述目标异常工业互联网数据的至少一项数据特征作为与所述其他类型对应的新的数据特征,加入至所述异常类型库中。
上述工业互联网数据的监测装置可执行本发明任意实施例所提供的工业互联网数据的监测方法,具备执行方法相应的功能模块和有益效果。
实施例四
图4是本发明实施例四提供的一种计算机设备的结构图。如图4所示,该设备包括处理器410、存储器420、输入装置430和输出装置440;设备中处理器410的数量可以是一个或多个,图4中以一个处理器410为例;设备中的处理器410、存储器420、输入装置430和输出装置440可以通过总线或其他方式连接,图4中以通过总线连接为例。
存储器420作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明实施例中的工业互联网数据的监测方法对应的程序指令/模块(例如,异常工业互联网数据获取模块310、异常类型获取模块320和数据检测报告形成模块330)。处理器410通过运行存储在存储器420中的软件程序、指令以及模块,从而执行设备的各种功能应用以及数据处理,即实现上述的工业互联网数据的监测方法,该方法包括:从工业互联网中采集到的各工业互联网数据中,获取不符合工业互联网专有协议规则的异常工业互联网数据;对各所述异常工业互联网数据进行解析,获取与各异常工业互联网数据分别对应的异常类型,并追溯与各异常工业互联网数据分别匹配的工业设备标识;根据与各所述异常工业互联网数据分别对应的异常类型和工业设备标识,形成数据检测报告。
存储器420可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器420可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器420可进一步包括相对于处理器410远程设置的存储器,这些远程存储器可以通过网络连接至设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置430可用于接收输入的数字或字符信息,以及产生与设备的用户设置以及功能控制有关的键信号输入。输出装置440可包括显示屏等显示设备。
实施例五
本发明实施例五还提供一种包含计算机可读存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行一种工业互联网数据的监测方法,该方法包括:从工业互联网中采集到的各工业互联网数据中,获取不符合工业互联网专有协议规则的异常工业互联网数据;对各所述异常工业互联网数据进行解析,获取与各异常工业互联网数据分别对应的异常类型,并追溯与各异常工业互联网数据分别匹配的工业设备标识;根据与各所述异常工业互联网数据分别对应的异常类型和工业设备标识,形成数据检测报告。
当然,本发明实施例所提供的一种包含计算机可读存储介质,其计算机可执行指令不限于如上所述的方法操作,还可以执行本发明任意实施例所提供的工业互联网数据的监测方法中的相关操作。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
值得注意的是,上述工业互联网数据的监测装置的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (10)
1.一种工业互联网数据的监测方法,其特征在于,包括:
从工业互联网中采集到的各工业互联网数据中,获取不符合工业互联网专有协议规则的异常工业互联网数据;
对各所述异常工业互联网数据进行解析,获取与各异常工业互联网数据分别对应的异常类型,并追溯与各异常工业互联网数据分别匹配的工业设备标识;
根据与各所述异常工业互联网数据分别对应的异常类型和工业设备标识,形成数据检测报告。
2.根据权利要求1所述的方法,其特征在于,从工业互联网中采集到的各工业互联网数据中,获取不符合工业互联网专有协议规则的异常工业互联网数据,包括:
从工业互联网中实时采集工业互联网数据,并对实时采集到的工业互联网数据进行至少一项数据预处理操作;
从完成预处理操作后的各工业互联网数据中,获取不符合工业互联网专有协议规则的异常工业互联网数据。
3.根据权利要求1所述的方法,其特征在于,从工业互联网中采集到的各工业互联网数据中,获取不符合工业互联网专有协议规则的异常工业互联网数据,包括:
从工业互联网数据库中,获取预先在工业互联网中采集到的各工业互联网数据;
在获取的各工业互联网数据中,获取不符合工业互联网专有协议规则的异常工业互联网数据;
其中,所述工业互联网数据库中的工业互联网数据库为对从工业互联网中实时采集到的各工业互联网数据,进行至少一项数据预处理操作后得到的。
4.根据权利要求1-3任一项所述的方法,其特征在于,对各所述异常工业互联网数据进行解析,获取与各异常工业互联网数据分别对应的异常类型,包括:
对当前处理的目标异常工业互联网数据进行解析,获取与所述目标异常工业互联网数据对应的至少一项数据特征;
将所述至少一项数据特征与异常类型库进行匹配,其中,所述异常类型库中包括有异常类型与异常类型的数据特征之间的映射关系;
根据匹配结果,确定与所述目标异常工业互联网数据对应的异常类型。
5.根据权利要求4所述的方法,其特征在于,所述异常类型包括:重要控制指令、恶意指令下发、异常登录攻击、异常行为以及其他类型。
6.根据权利要求5所述的方法,其特征在于,根据匹配结果,确定与所述目标异常工业互联网数据对应的异常类型,包括:
如果确定所述目标异常工业互联网数据的至少一项数据特征命中所述异常类型库中目标异常类型的数据特征,则将所述目标异常类型确定为与所述目标异常工业互联网数据对应的异常类型。
7.根据权利要求5所述的方法,其特征在于,根据匹配结果,确定与所述目标异常工业互联网数据对应的异常类型,包括:
如果确定所述目标异常工业互联网数据的至少一项数据特征未命中所述异常类型库中任一异常类型的数据特征,则将所述其他类型确定为与所述目标异常工业互联网数据对应的异常类型;
将所述目标异常工业互联网数据的至少一项数据特征作为与所述其他类型对应的新的数据特征,加入至所述异常类型库中。
8.一种工业互联网数据的监测装置,其特征在于,
异常工业互联网数据获取模块,用于从工业互联网中采集到的各工业互联网数据中,获取不符合工业互联网专有协议规则的异常工业互联网数据;
异常类型获取模块,用于对各所述异常工业互联网数据进行解析,获取与各异常工业互联网数据分别对应的异常类型,并追溯与各异常工业互联网数据分别匹配的工业设备标识;
数据检测报告形成模块,用于根据与各所述异常工业互联网数据分别对应的异常类型和工业设备标识,形成数据检测报告。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1-7中任一项所述的工业互联网数据的监测方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1-7中任一所述的工业互联网数据的监测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111521687.XA CN114221805A (zh) | 2021-12-13 | 2021-12-13 | 一种工业互联网数据的监测方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111521687.XA CN114221805A (zh) | 2021-12-13 | 2021-12-13 | 一种工业互联网数据的监测方法、装置、设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114221805A true CN114221805A (zh) | 2022-03-22 |
Family
ID=80701517
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111521687.XA Pending CN114221805A (zh) | 2021-12-13 | 2021-12-13 | 一种工业互联网数据的监测方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114221805A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116821104A (zh) * | 2022-08-18 | 2023-09-29 | 南通泽烁信息科技有限公司 | 一种基于大数据的工业互联网数据处理方法和系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190238581A1 (en) * | 2017-07-06 | 2019-08-01 | Zhongan Information Technology Service Co., Ltd. | Method, apparatus and system for detecting abnormal behavior of user |
| CN110430225A (zh) * | 2019-09-16 | 2019-11-08 | 杭州安恒信息技术股份有限公司 | 一种工业设备监管方法、装置、设备及可读存储介质 |
| CN112468488A (zh) * | 2020-11-25 | 2021-03-09 | 杭州安恒信息技术股份有限公司 | 工业异常监测方法、装置、计算机设备及可读存储介质 |
| CN112953933A (zh) * | 2021-02-09 | 2021-06-11 | 恒安嘉新(北京)科技股份公司 | 异常攻击行为检测方法、装置、设备及存储介质 |
| CN113098892A (zh) * | 2021-04-19 | 2021-07-09 | 恒安嘉新(北京)科技股份公司 | 基于工业互联网的数据防泄漏系统以及方法 |
| CN113556354A (zh) * | 2021-07-29 | 2021-10-26 | 国家工业信息安全发展研究中心 | 一种基于流量分析的工业互联网安全威胁检测方法与系统 |
| CN113645065A (zh) * | 2021-07-21 | 2021-11-12 | 武汉虹旭信息技术有限责任公司 | 基于工业互联网的工控安全审计系统及其方法 |
-
2021
- 2021-12-13 CN CN202111521687.XA patent/CN114221805A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190238581A1 (en) * | 2017-07-06 | 2019-08-01 | Zhongan Information Technology Service Co., Ltd. | Method, apparatus and system for detecting abnormal behavior of user |
| CN110430225A (zh) * | 2019-09-16 | 2019-11-08 | 杭州安恒信息技术股份有限公司 | 一种工业设备监管方法、装置、设备及可读存储介质 |
| CN112468488A (zh) * | 2020-11-25 | 2021-03-09 | 杭州安恒信息技术股份有限公司 | 工业异常监测方法、装置、计算机设备及可读存储介质 |
| CN112953933A (zh) * | 2021-02-09 | 2021-06-11 | 恒安嘉新(北京)科技股份公司 | 异常攻击行为检测方法、装置、设备及存储介质 |
| CN113098892A (zh) * | 2021-04-19 | 2021-07-09 | 恒安嘉新(北京)科技股份公司 | 基于工业互联网的数据防泄漏系统以及方法 |
| CN113645065A (zh) * | 2021-07-21 | 2021-11-12 | 武汉虹旭信息技术有限责任公司 | 基于工业互联网的工控安全审计系统及其方法 |
| CN113556354A (zh) * | 2021-07-29 | 2021-10-26 | 国家工业信息安全发展研究中心 | 一种基于流量分析的工业互联网安全威胁检测方法与系统 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116821104A (zh) * | 2022-08-18 | 2023-09-29 | 南通泽烁信息科技有限公司 | 一种基于大数据的工业互联网数据处理方法和系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108933791B (zh) | 一种基于电力信息网安全防护策略智能优化方法及装置 | |
| CN112651006B (zh) | 一种电网安全态势感知系统 | |
| CN107135093B (zh) | 一种基于有限自动机的物联网入侵检测方法及检测系统 | |
| CN112306019A (zh) | 一种基于协议深度分析的工控安全审计系统及其应用 | |
| CN111600863B (zh) | 网络入侵检测方法、装置、系统和存储介质 | |
| CN112637220A (zh) | 一种工控系统安全防护方法及装置 | |
| CN110505206B (zh) | 一种基于动态联防的互联网威胁监测防御方法 | |
| CN113114690B (zh) | 威胁事件识别方法、装置、设备及存储介质 | |
| CN111600880A (zh) | 异常访问行为的检测方法、系统、存储介质和终端 | |
| CN110896386B (zh) | 识别安全威胁的方法、装置、存储介质、处理器和终端 | |
| CN114070629A (zh) | 针对apt攻击的安全编排与自动化响应方法、装置及系统 | |
| EP2747365A1 (en) | Network security management | |
| CN109144023A (zh) | 一种工业控制系统的安全检测方法和设备 | |
| CN111049827A (zh) | 一种网络系统安全防护方法、装置及其相关设备 | |
| CN113794276A (zh) | 一种基于人工智能的配电网终端安全行为监测系统及方法 | |
| CN115941317A (zh) | 一种网络安全综合分析及态势感知平台 | |
| CN115225386A (zh) | 基于事件序列关联融合的业务识别与风险分析方法及系统 | |
| CN112565278A (zh) | 一种捕获攻击的方法及蜜罐系统 | |
| CN113709170A (zh) | 资产安全运营系统、方法和装置 | |
| CN112291213A (zh) | 一种基于智能终端的异常流量分析方法及装置 | |
| CN117220957A (zh) | 一种基于威胁情报的攻击行为响应方法及系统 | |
| CN115618353A (zh) | 一种工业生产安全的识别系统及方法 | |
| CN110049015B (zh) | 网络安全态势感知系统 | |
| CN114221805A (zh) | 一种工业互联网数据的监测方法、装置、设备及介质 | |
| CN118337540A (zh) | 一种基于物联网的网络入侵攻击识别系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |