CN114978629A - 一种基于工业互联网安全监测、预警、应急处置系统 - Google Patents

Abstract

本发明属于安全监测技术领域，公开了一种基于工业互联网安全监测、预警、应急处置系统，所述基于工业互联网安全监测、预警、应急处置系统包括：入侵检测模块、入侵追踪模块、网络漏洞检测模块、主控模块、漏洞修复模块、预警模块、隔离保护模块、显示模块。本发明通过入侵检测模块能够提高网络入侵检测的成功率；同时，通过预警模块预先对潜在的网络故障进行预警，另外，通过漏洞修复模块获取到与工业互联网内核所支持的加载方式匹配的漏洞修复代码并对该漏洞修复代码进行相应的配置，使得配置后的漏洞修复代码可以在工业互联网内核中加载以实现对工业互联网内核的漏洞修复。

Description

一种基于工业互联网安全监测、预警、应急处置系统

技术领域

本发明属于安全监测技术领域，尤其涉及一种基于工业互联网安全监测、预警、应急处置系统。

背景技术

工业互联网安全监测服务平台工业互联网安全监测服务平台。对暴露在互联网的工业资产进行探测扫描，检测工业互联网资产的漏洞信息和安全威胁，评估工业互联网资产和被监测企业存在的安全风险，及时与相关企业通报，实现工业互联网安全态势觉察、跟踪和分析，掌握工业互联网的安全威胁、安全风险和安全隐患，提高工业企业安全威胁的处置能力，提升工业互联网安全防护水平；然而，现有基于工业互联网安全监测、预警、应急处置系统网络入侵检测的成功率低；同时，对网络故障诊断非常复杂；另外，现有技术中的网络修复方法依赖于运行系统的源代码或者需要原始工业互联网内核提供相应的机能进行配合才能使用，生成的补丁也只能用于修补特定的工业互联网内核编译版本，极大的限制了其应用场景和兼容性。

综上所述，现有技术存在的问题是：现有基于工业互联网安全监测、预警、应急处置系统网络入侵检测的成功率低；同时，对网络故障诊断非常复杂；另外，现有技术中的网络修复方法依赖于运行系统的源代码或者需要原始工业互联网内核提供相应的机能进行配合才能使用，生成的补丁也只能用于修补特定的工业互联网内核编译版本，极大的限制了其应用场景和兼容性。

发明内容

针对现有技术存在的问题，本发明提供了一种基于工业互联网安全监测、预警、应急处置系统。

本发明是这样实现的，一种基于工业互联网安全监测、预警、应急处置系统包括：

入侵检测模块、入侵追踪模块、网络漏洞检测模块、主控模块、漏洞修复模块、预警模块、隔离保护模块、显示模块；

入侵检测模块，与入侵追踪模块连接，用于检测工业互联网入侵信息；

入侵追踪模块，与入侵检测模块、主控模块连接，用于对工业互联网入侵信息进行追踪；

网络漏洞检测模块，与主控模块连接，用于检测工业互联网漏洞；

主控模块，与入侵检测模块、入侵追踪模块、网络漏洞检测模块、漏洞修复模块、预警模块、隔离保护模块、显示模块连接，用于控制各个模块正常工作；

漏洞修复模块，与主控模块连接，用于对工业互联网漏洞进行修复；

预警模块，与主控模块连接，用于对工业互联网故障进行预警；

隔离保护模块，与主控模块连接，用于对工业互联网入侵信息进行隔离；

显示模块，与主控模块连接，用于显示入侵检测信息、追踪信息、漏洞信息。

进一步，所述入侵检测模块检测方法如下：

(1)通过入侵检测程序获取预设数量的源IP到目标IP的工业信息访问请求记录；构建记录数据库，并获取的记录信息存入记录数据库；

(2)统计所述工业信息访问请求记录中请求来源页面标识为空的目标工业信息访问请求记录；

确定所述目标工业信息访问请求记录对应的特征值，并将所述特征值与预设阈值进行比较，其中，所述特征值用于表征所述目标工业信息访问请求记录的分析成本-效益值；当所述特征值大于或者等于所述预设阈值时，为所述目标工业信息访问请求记录的多个特征分别设置权重值，并基于设置的权重值，将所述目标工业信息访问请求记录写入预设状态表；所述多个特征包括网络传输中的丢包率、传输时延、重连次数中的任意多个参数；

(3)在所述预设状态表中将写入的目标工业信息访问请求记录进行匹配，并将匹配结果中的工业信息访问请求记录作为网络入侵记录；

其中，所述基于设置的权重值，将所述目标工业信息访问请求记录写入预设状态表，包括：将各个特征的权重值加权求和，得到总的权重值；将总的权重值大于或者等于判定阈值的目标工业信息访问请求记录写入预设状态表中；

其中，所述预设状态表为DFA状态表，相应地，将所述目标工业信息访问请求记录写入预设状态表包括：

获取所述目标工业信息访问请求记录的三元组信息，并将所述三元组信息写入所述DFA状态表中；其中，所述三元组信息包括起始字符、位图以及转换状态；

其中，在所述预设状态表中将写入的目标工业信息访问请求记录进行匹配包括：

在所述DFA状态表中获取与所述目标工业信息访问记录的三元组信息中的转换状态一致的目标三元组信息，并判断所述目标工业信息访问记录的三元组信息是否存在于所述目标三元组信息中；

若存在，将所述目标工业信息访问记录作为匹配结果输出；

其中，为所述目标工业信息访问请求记录的多个特征分别设置权重值包括：

获取大量的工业信息访问请求记录，利用机器学习的方法对这些工业信息访问请求记录的各个特征进行分析，得到用于辨别正常记录和入侵记录的分类器；利用分类器对所述目标工业信息访问请求记录进行分类，确定所述目标工业信息访问请求记录的目标特征对应的分类错误率，并基于所述分类错误率确定所述目标特征的权重值；

其中，按照下述公式确定所述目标特征的分类错误率；

其中，δ表示所述目标特征的分类错误率，η_w表示所述目标特征在指定次数中分类错误的总次数，η_c表示所述目标特征在指定次数中分类正确的总次数；

其中，按照下述公式确定所述目标特征的权重值：

其中，γ表示所述目标特征的权重值，γ₀表示预设权重初值。

进一步，所述获取预设数量的源IP到目标IP的工业信息访问请求记录包括：

基于真实源IP的确定规则，获取预设数量的真实源IP到目标IP的工业信息访问请求记录。

进一步，所述真实源IP的确定规则具体包括：

当工业信息访问请求记录的x-forward-for字段为空时，将源IP字段中的IP地址作为真实源IP；

当工业信息访问请求记录的x-forward-for字段为非空时，根据x-forward-for字段中的IP地址确定真实源IP。

进一步，所述预警模块预警方法如下：

1)配置工业智能网关工作参数，通过网关监测设备对工业智能网关是否正常工作进行检测；通过内网的工业智能网关获取内网收发数据的当前使用条件和当前流量数据；

2)所述工业智能网关判断当前是否处于异常事件所涉及的时间，其中，所述异常事件所涉及的时间包括灾难发生期间、产生网络预警或网络故障时所对应的时间、或者节日期间；

如果是，所述工业智能网关获取所述异常事件所涉及时间对应的流量统计数据；所述工业智能网关判断所述当前使用条件下的当前流量数据与所述异常事件所涉及的时间对应的流量统计数据的差值是否符合预设范围，如果不符合，产生所述内网的故障预警；如果符合，不产生所述内网的故障预警；

否则，所述工业智能网关获取所述当前使用条件下的历史流量数据；

3)所述工业智能网关判断所述当前使用条件下的当前流量数据与所述历史流量数据的差值是否符合预设范围，如果不符合，产生所述内网的故障预警。

进一步，所述工业智能网关获取所述当前使用条件下的历史流量数据包括：

所述工业智能网关将所述当前使用条件下各个历史时期的流量数据的均值或最小值确定为所述当前使用条件下的历史流量数据；

或者，所述工业智能网关将所述当前使用条件下异常事件所涉及的或者预设的时间以外的各个历史时期的流量数据的均值或最小值确定为所述当前使用条件下的历史流量数据。

进一步，所述预警方法还包括：

所述工业智能网关判断当前是否处于预设的时间；

如果是，所述工业智能网关获取所述预设的时间对应的流量统计数据；

所述工业智能网关判断所述当前使用条件下的当前流量数据与所述预设的时间对应的流量统计数据的差值是否符合预设范围，如果不符合，产生所述内网的故障预警；如果符合，不产生所述内网的故障预警。

进一步，所述使用条件包括使用时间、网络连接方式、访问设备、数据应用类型中的至少一种，所述流量数据包括流量总量、连网持续时间、平均网速和峰值网速中的至少一种。

进一步，所述内网的工业智能网关获取当前内网收发数据的时段信息、工作日信息和流量数据；

所述工业智能网关将各个历史时期中与当前工作日信息和时段信息对应的流量数据的平均值或者最小值作为所述工作日信息和时段信息对应的历史流量数据；

所述工业智能网关判断所述当前工作日信息和时段信息下的流量数据与所述历史流量数据的差值是否符合预设范围，如果不符合，产生所述内网的故障预警；

其中，所述流量数据包括流量总量、连网持续时间、平均网速和峰值网速中的至少一种。

进一步，所述内网的工业智能网关获取当前内网收发数据的使用时间、数据应用类型和流量数据；

所述工业智能网关将各个历史时期中与当前使用时间下的各个数据应用类型对应的流量数据的均值或者最小值分别作为所述使用时间和数据应用类型对应的历史流量数据；

所述工业智能网关判断所述当前使用时间下的各个数据应用类型对应的流量数据与所述历史流量数据的差值是否符合预设范围，如果不符合，产生所述内网的故障预警；其中，所述流量数据包括流量总量、连网持续时间、平均网速和峰值网速中的至少一种。

进一步，所述漏洞修复模块修复方法如下：

构建网络信息数据库，通过网络信息检测程序收集待修复工业互联网内核的属性信息，所述属性信息包括用于表征所述待修复工业互联网内核所支持代码加载方式的特征信息，所述特征信息包括：用于描述所述待修复工业互联网内核中是否存在预设的系统调用的信息以及用于描述所述待修复工业互联网内核中是否存在预设的物理内存设备的信息；将收集的属性信息存入网络信息数据库；

当所述特征信息指示预设的系统调用存在时，获取工业互联网内核模块类型的漏洞修复代码，当所述特征信息指示预设的物理内存设备存在时，获取指令序列类型的漏洞修复代码；基于所述属性信息，对所述漏洞修复代码进行配置以使所述漏洞修复代码与所述待修复工业互联网内核适配；

使用已配置的漏洞修复代码对所述待修复工业互联网内核进行漏洞修复。

进一步，所述获取与所述特征信息匹配的漏洞修复代码，包括：

获取服务器中存储的、与所述特征信息匹配的漏洞修复代码，其中所述服务器存储的漏洞修复代码是实时更新的。

进一步，所述属性信息还包括工业互联网内核符号校验参数；以及

当所获取的漏洞修复代码为工业互联网内核模块时，所述基于所述属性信息，对所述漏洞修复代码进行配置以使所述漏洞修复代码与所述待修复工业互联网内核适配，包括：

使用所述工业互联网内核符号校验参数配置所述工业互联网内核模块对应的可执行文件中的工业互联网内核符号校验参数字段。

进一步，所述属性信息还包括待修复工业互联网内核中工业互联网内核符号的地址信息；以及

所述基于所述属性信息，对所述漏洞修复代码进行配置以使所述漏洞修复代码与所述待修复工业互联网内核适配包括：

使用所述地址信息配置所述漏洞修复代码中的工业互联网内核符号的地址。

进一步，所述在所述获取与所述特征信息匹配的漏洞修复代码之后，所述方法还包括：

对所获取的漏洞修复代码进行合法性校验，以确认所述漏洞修复代码未被篡改。

本发明的优点及积极效果为：本发明通过入侵检测模块能够提高网络入侵检测的成功率；同时，通过预警模块由内网的工业智能网关根据某种使用条件下的当前流量数据与历史流量数据的匹配情况获知内网使用的异常情况，预先对潜在的网络故障进行预警，简单和易于实施，降低了网络故障诊断的复杂度；另外，通过漏洞修复模块获取到与工业互联网内核所支持的加载方式匹配的漏洞修复代码并对该漏洞修复代码进行相应的配置，使得配置后的漏洞修复代码可以在工业互联网内核中加载以实现对工业互联网内核的漏洞修复。

附图说明

图1是本发明实施例提供的基于工业互联网安全监测、预警、应急处置系统结构框图。

图2是本发明实施例提供的入侵检测模块检测方法流程图。

图3是本发明实施例提供的预警模块预警方法流程图。

图1中：1、入侵检测模块；2、入侵追踪模块；3、网络漏洞检测模块；4、主控模块；5、漏洞修复模块；6、预警模块；7、隔离保护模块；8、显示模块。

具体实施方式

为能进一步了解本发明的发明内容、特点及功效，兹例举以下实施例，并配合附图详细说明如下。

下面结合附图对本发明的结构作详细的描述。

如图1所示，本发明实施例提供的基于工业互联网安全监测、预警、应急处置系统包括：

入侵检测模块1、入侵追踪模块2、网络漏洞检测模块3、主控模块4、漏洞修复模块5、预警模块6、隔离保护模块7、显示模块8。

入侵检测模块1，与入侵追踪模块2连接，用于检测工业互联网入侵信息；

入侵追踪模块2，与入侵检测模块1、主控模块4连接，用于对工业互联网入侵信息进行追踪；

网络漏洞检测模块3，与主控模块4连接，用于检测工业互联网漏洞；

主控模块4，与入侵检测模块1、入侵追踪模块2、网络漏洞检测模块3、漏洞修复模块5、预警模块6、隔离保护模块7、显示模块8连接，用于控制各个模块正常工作；

漏洞修复模块5，与主控模块4连接，用于对工业互联网漏洞进行修复；

预警模块6，与主控模块4连接，用于对工业互联网故障进行预警；

隔离保护模块7，与主控模块4连接，用于对工业互联网入侵信息进行隔离；

显示模块8，与主控模块4连接，用于显示入侵检测信息、追踪信息、漏洞信息。

如图2所示，本发明提供的入侵检测模块1检测方法如下：

S101，通过入侵检测程序获取预设数量的源IP到目标IP的工业信息访问请求记录；构建记录数据库，并获取的记录信息存入记录数据库；

S102，统计所述工业信息访问请求记录中请求来源页面标识为空的目标工业信息访问请求记录；

确定所述目标工业信息访问请求记录对应的特征值，并将所述特征值与预设阈值进行比较，其中，所述特征值用于表征所述目标工业信息访问请求记录的分析成本-效益值；当所述特征值大于或者等于所述预设阈值时，为所述目标工业信息访问请求记录的多个特征分别设置权重值，并基于设置的权重值，将所述目标工业信息访问请求记录写入预设状态表；所述多个特征包括网络传输中的丢包率、传输时延、重连次数中的任意多个参数；

S103，在所述预设状态表中将写入的目标工业信息访问请求记录进行匹配，并将匹配结果中的工业信息访问请求记录作为网络入侵记录；

其中，所述基于设置的权重值，将所述目标工业信息访问请求记录写入预设状态表，包括：将各个特征的权重值加权求和，得到总的权重值；将总的权重值大于或者等于判定阈值的目标工业信息访问请求记录写入预设状态表中；

其中，所述预设状态表为DFA状态表，相应地，将所述目标工业信息访问请求记录写入预设状态表包括：

获取所述目标工业信息访问请求记录的三元组信息，并将所述三元组信息写入所述DFA状态表中；其中，所述三元组信息包括起始字符、位图以及转换状态；

其中，在所述预设状态表中将写入的目标工业信息访问请求记录进行匹配包括：

在所述DFA状态表中获取与所述目标工业信息访问记录的三元组信息中的转换状态一致的目标三元组信息，并判断所述目标工业信息访问记录的三元组信息是否存在于所述目标三元组信息中；

若存在，将所述目标工业信息访问记录作为匹配结果输出；

其中，为所述目标工业信息访问请求记录的多个特征分别设置权重值包括：

获取大量的工业信息访问请求记录，利用机器学习的方法对这些工业信息访问请求记录的各个特征进行分析，得到用于辨别正常记录和入侵记录的分类器；利用分类器对所述目标工业信息访问请求记录进行分类，确定所述目标工业信息访问请求记录的目标特征对应的分类错误率，并基于所述分类错误率确定所述目标特征的权重值；

其中，按照下述公式确定所述目标特征的分类错误率；

其中，δ表示所述目标特征的分类错误率，η_w表示所述目标特征在指定次数中分类错误的总次数，η_c表示所述目标特征在指定次数中分类正确的总次数；

其中，按照下述公式确定所述目标特征的权重值：

其中，γ表示所述目标特征的权重值，γ₀表示预设权重初值。

本发明提供的获取预设数量的源IP到目标IP的工业信息访问请求记录包括：

基于真实源IP的确定规则，获取预设数量的真实源IP到目标IP的工业信息访问请求记录。

本发明提供的真实源IP的确定规则具体包括：

当工业信息访问请求记录的x-forward-for字段为空时，将源IP字段中的IP地址作为真实源IP；

当工业信息访问请求记录的x-forward-for字段为非空时，根据x-forward-for字段中的IP地址确定真实源IP。

如图3所示，本发明提供的预警模块6预警方法如下：

S201，配置工业智能网关工作参数，通过网关监测设备对工业智能网关是否正常工作进行检测；通过内网的工业智能网关获取内网收发数据的当前使用条件和当前流量数据；

S202，所述工业智能网关判断当前是否处于异常事件所涉及的时间，其中，所述异常事件所涉及的时间包括灾难发生期间、产生网络预警或网络故障时所对应的时间、或者节日期间；

如果是，所述工业智能网关获取所述异常事件所涉及时间对应的流量统计数据；所述工业智能网关判断所述当前使用条件下的当前流量数据与所述异常事件所涉及的时间对应的流量统计数据的差值是否符合预设范围，如果不符合，产生所述内网的故障预警；如果符合，不产生所述内网的故障预警；

否则，所述工业智能网关获取所述当前使用条件下的历史流量数据；

S203，所述工业智能网关判断所述当前使用条件下的当前流量数据与所述历史流量数据的差值是否符合预设范围，如果不符合，产生所述内网的故障预警。

本发明提供的工业智能网关获取所述当前使用条件下的历史流量数据包括：

所述工业智能网关将所述当前使用条件下各个历史时期的流量数据的均值或最小值确定为所述当前使用条件下的历史流量数据；

或者，所述工业智能网关将所述当前使用条件下异常事件所涉及的或者预设的时间以外的各个历史时期的流量数据的均值或最小值确定为所述当前使用条件下的历史流量数据。

本发明提供的预警方法还包括：

所述工业智能网关判断当前是否处于预设的时间；

如果是，所述工业智能网关获取所述预设的时间对应的流量统计数据；

所述工业智能网关判断所述当前使用条件下的当前流量数据与所述预设的时间对应的流量统计数据的差值是否符合预设范围，如果不符合，产生所述内网的故障预警；如果符合，不产生所述内网的故障预警。

本发明提供的使用条件包括使用时间、网络连接方式、访问设备、数据应用类型中的至少一种，所述流量数据包括流量总量、连网持续时间、平均网速和峰值网速中的至少一种。

本发明提供的内网的工业智能网关获取当前内网收发数据的时段信息、工作日信息和流量数据；

所述工业智能网关将各个历史时期中与当前工作日信息和时段信息对应的流量数据的平均值或者最小值作为所述工作日信息和时段信息对应的历史流量数据；

所述工业智能网关判断所述当前工作日信息和时段信息下的流量数据与所述历史流量数据的差值是否符合预设范围，如果不符合，产生所述内网的故障预警；

其中，所述流量数据包括流量总量、连网持续时间、平均网速和峰值网速中的至少一种。

本发明提供的内网的工业智能网关获取当前内网收发数据的使用时间、数据应用类型和流量数据；

所述工业智能网关将各个历史时期中与当前使用时间下的各个数据应用类型对应的流量数据的均值或者最小值分别作为所述使用时间和数据应用类型对应的历史流量数据；

所述工业智能网关判断所述当前使用时间下的各个数据应用类型对应的流量数据与所述历史流量数据的差值是否符合预设范围，如果不符合，产生所述内网的故障预警；其中，所述流量数据包括流量总量、连网持续时间、平均网速和峰值网速中的至少一种。

本发明提供的漏洞修复模块修复方法如下：

构建网络信息数据库，通过网络信息检测程序收集待修复工业互联网内核的属性信息，所述属性信息包括用于表征所述待修复工业互联网内核所支持代码加载方式的特征信息，所述特征信息包括：用于描述所述待修复工业互联网内核中是否存在预设的系统调用的信息以及用于描述所述待修复工业互联网内核中是否存在预设的物理内存设备的信息；将收集的属性信息存入网络信息数据库；

当所述特征信息指示预设的系统调用存在时，获取工业互联网内核模块类型的漏洞修复代码，当所述特征信息指示预设的物理内存设备存在时，获取指令序列类型的漏洞修复代码；基于所述属性信息，对所述漏洞修复代码进行配置以使所述漏洞修复代码与所述待修复工业互联网内核适配；

使用已配置的漏洞修复代码对所述待修复工业互联网内核进行漏洞修复。

本发明提供的获取与所述特征信息匹配的漏洞修复代码，包括：

获取服务器中存储的、与所述特征信息匹配的漏洞修复代码，其中所述服务器存储的漏洞修复代码是实时更新的。

本发明提供的属性信息还包括工业互联网内核符号校验参数；以及

当所获取的漏洞修复代码为工业互联网内核模块时，所述基于所述属性信息，对所述漏洞修复代码进行配置以使所述漏洞修复代码与所述待修复工业互联网内核适配，包括：

使用所述工业互联网内核符号校验参数配置所述工业互联网内核模块对应的可执行文件中的工业互联网内核符号校验参数字段。

本发明提供的属性信息还包括待修复工业互联网内核中工业互联网内核符号的地址信息；以及

所述基于所述属性信息，对所述漏洞修复代码进行配置以使所述漏洞修复代码与所述待修复工业互联网内核适配包括：

使用所述地址信息配置所述漏洞修复代码中的工业互联网内核符号的地址。

本发明提供的在所述获取与所述特征信息匹配的漏洞修复代码之后，所述方法还包括：

对所获取的漏洞修复代码进行合法性校验，以确认所述漏洞修复代码未被篡改。

本发明工作时，首先，通过入侵检测模块1检测工业互联网入侵信息；通过入侵追踪模块2对工业互联网入侵信息进行追踪；通过网络漏洞检测模块3检测工业互联网漏洞；其次，主控模块4通过漏洞修复模块5对工业互联网漏洞进行修复；通过预警模块6对工业互联网故障进行预警；然后，通过隔离保护模块7对工业互联网入侵信息进行隔离；最后，通过显示模块8显示入侵检测信息、追踪信息、漏洞信息。

以上所述仅是对本发明的较佳实施例而已，并非对本发明作任何形式上的限制，凡是依据本发明的技术实质对以上实施例所做的任何简单修改，等同变化与修饰，均属于本发明技术方案的范围内。

Claims (10)

1.一种基于工业互联网安全监测、预警、应急处置系统，其特征在于，所述基于工业互联网安全监测、预警、应急处置系统包括：

入侵检测模块、入侵追踪模块、网络漏洞检测模块、主控模块、漏洞修复模块、预警模块、隔离保护模块、显示模块；

入侵检测模块，与入侵追踪模块连接，用于检测工业互联网入侵信息；

入侵追踪模块，与入侵检测模块、主控模块连接，用于对工业互联网入侵信息进行追踪；

网络漏洞检测模块，与主控模块连接，用于检测工业互联网漏洞；

主控模块，与入侵检测模块、入侵追踪模块、网络漏洞检测模块、漏洞修复模块、预警模块、隔离保护模块、显示模块连接，用于控制各个模块正常工作；

漏洞修复模块，与主控模块连接，用于对工业互联网漏洞进行修复；

预警模块，与主控模块连接，用于对工业互联网故障进行预警；

隔离保护模块，与主控模块连接，用于对工业互联网入侵信息进行隔离；

显示模块，与主控模块连接，用于显示入侵检测信息、追踪信息、漏洞信息。

2.如权利要求1所述基于工业互联网安全监测、预警、应急处置系统，其特征在于，所述入侵检测模块检测方法如下：

(1)通过入侵检测程序获取预设数量的源IP到目标IP的工业信息访问请求记录；构建记录数据库，并获取的记录信息存入记录数据库；

(2)统计所述工业信息访问请求记录中请求来源页面标识为空的目标工业信息访问请求记录；

确定所述目标工业信息访问请求记录对应的特征值，并将所述特征值与预设阈值进行比较，其中，所述特征值用于表征所述目标工业信息访问请求记录的分析成本-效益值；当所述特征值大于或者等于所述预设阈值时，为所述目标工业信息访问请求记录的多个特征分别设置权重值，并基于设置的权重值，将所述目标工业信息访问请求记录写入预设状态表；所述多个特征包括网络传输中的丢包率、传输时延、重连次数中的任意多个参数；

(3)在所述预设状态表中将写入的目标工业信息访问请求记录进行匹配，并将匹配结果中的工业信息访问请求记录作为网络入侵记录；

其中，所述基于设置的权重值，将所述目标工业信息访问请求记录写入预设状态表，包括：将各个特征的权重值加权求和，得到总的权重值；将总的权重值大于或者等于判定阈值的目标工业信息访问请求记录写入预设状态表中；

其中，所述预设状态表为DFA状态表，相应地，将所述目标工业信息访问请求记录写入预设状态表包括：

获取所述目标工业信息访问请求记录的三元组信息，并将所述三元组信息写入所述DFA状态表中；其中，所述三元组信息包括起始字符、位图以及转换状态；

其中，在所述预设状态表中将写入的目标工业信息访问请求记录进行匹配包括：

在所述DFA状态表中获取与所述目标工业信息访问记录的三元组信息中的转换状态一致的目标三元组信息，并判断所述目标工业信息访问记录的三元组信息是否存在于所述目标三元组信息中；

若存在，将所述目标工业信息访问记录作为匹配结果输出；

其中，为所述目标工业信息访问请求记录的多个特征分别设置权重值包括：

获取大量的工业信息访问请求记录，利用机器学习的方法对这些工业信息访问请求记录的各个特征进行分析，得到用于辨别正常记录和入侵记录的分类器；利用分类器对所述目标工业信息访问请求记录进行分类，确定所述目标工业信息访问请求记录的目标特征对应的分类错误率，并基于所述分类错误率确定所述目标特征的权重值；

其中，按照下述公式确定所述目标特征的分类错误率；

其中，δ表示所述目标特征的分类错误率，η_w表示所述目标特征在指定次数中分类错误的总次数，η_c表示所述目标特征在指定次数中分类正确的总次数；

其中，按照下述公式确定所述目标特征的权重值：

其中，γ表示所述目标特征的权重值，γ₀表示预设权重初值。

3.如权利要求2所述基于工业互联网安全监测、预警、应急处置系统，其特征在于，所述获取预设数量的源IP到目标IP的工业信息访问请求记录包括：

基于真实源IP的确定规则，获取预设数量的真实源IP到目标IP的工业信息访问请求记录；所述真实源IP的确定规则具体包括：

当工业信息访问请求记录的x-forward-for字段为空时，将源IP字段中的IP地址作为真实源IP；

当工业信息访问请求记录的x-forward-for字段为非空时，根据x-forward-for字段中的IP地址确定真实源IP；

所述预警模块预警方法如下：

1)配置工业智能网关工作参数，通过网关监测设备对工业智能网关是否正常工作进行检测；通过内网的工业智能网关获取内网收发数据的当前使用条件和当前流量数据；

2)所述工业智能网关判断当前是否处于异常事件所涉及的时间，其中，所述异常事件所涉及的时间包括灾难发生期间、产生网络预警或网络故障时所对应的时间、或者节日期间；

如果是，所述工业智能网关获取所述异常事件所涉及时间对应的流量统计数据；所述工业智能网关判断所述当前使用条件下的当前流量数据与所述异常事件所涉及的时间对应的流量统计数据的差值是否符合预设范围，如果不符合，产生所述内网的故障预警；如果符合，不产生所述内网的故障预警；

否则，所述工业智能网关获取所述当前使用条件下的历史流量数据；

3)所述工业智能网关判断所述当前使用条件下的当前流量数据与所述历史流量数据的差值是否符合预设范围，如果不符合，产生所述内网的故障预警。

4.如权利要求3所述基于工业互联网安全监测、预警、应急处置系统，其特征在于，所述工业智能网关获取所述当前使用条件下的历史流量数据包括：

所述工业智能网关将所述当前使用条件下各个历史时期的流量数据的均值或最小值确定为所述当前使用条件下的历史流量数据；

或者，所述工业智能网关将所述当前使用条件下异常事件所涉及的或者预设的时间以外的各个历史时期的流量数据的均值或最小值确定为所述当前使用条件下的历史流量数据；

所述预警方法还包括：

所述工业智能网关判断当前是否处于预设的时间；

如果是，所述工业智能网关获取所述预设的时间对应的流量统计数据；

所述工业智能网关判断所述当前使用条件下的当前流量数据与所述预设的时间对应的流量统计数据的差值是否符合预设范围，如果不符合，产生所述内网的故障预警；如果符合，不产生所述内网的故障预警。

5.如权利要求3所述基于工业互联网安全监测、预警、应急处置系统，其特征在于，所述使用条件包括使用时间、网络连接方式、访问设备、数据应用类型中的至少一种，所述流量数据包括流量总量、连网持续时间、平均网速和峰值网速中的至少一种。

6.如权利要求3所述基于工业互联网安全监测、预警、应急处置系统，其特征在于，所述内网的工业智能网关获取当前内网收发数据的时段信息、工作日信息和流量数据；

所述工业智能网关将各个历史时期中与当前工作日信息和时段信息对应的流量数据的平均值或者最小值作为所述工作日信息和时段信息对应的历史流量数据；

所述工业智能网关判断所述当前工作日信息和时段信息下的流量数据与所述历史流量数据的差值是否符合预设范围，如果不符合，产生所述内网的故障预警；

其中，所述流量数据包括流量总量、连网持续时间、平均网速和峰值网速中的至少一种。

7.如权利要求3所述基于工业互联网安全监测、预警、应急处置系统，其特征在于，所述内网的工业智能网关获取当前内网收发数据的使用时间、数据应用类型和流量数据；

所述工业智能网关将各个历史时期中与当前使用时间下的各个数据应用类型对应的流量数据的均值或者最小值分别作为所述使用时间和数据应用类型对应的历史流量数据；

所述工业智能网关判断所述当前使用时间下的各个数据应用类型对应的流量数据与所述历史流量数据的差值是否符合预设范围，如果不符合，产生所述内网的故障预警；其中，所述流量数据包括流量总量、连网持续时间、平均网速和峰值网速中的至少一种。

8.如权利要求1所述基于工业互联网安全监测、预警、应急处置系统，其特征在于，所述漏洞修复模块修复方法如下：

构建网络信息数据库，通过网络信息检测程序收集待修复工业互联网内核的属性信息，所述属性信息包括用于表征所述待修复工业互联网内核所支持代码加载方式的特征信息，所述特征信息包括：用于描述所述待修复工业互联网内核中是否存在预设的系统调用的信息以及用于描述所述待修复工业互联网内核中是否存在预设的物理内存设备的信息；将收集的属性信息存入网络信息数据库；

当所述特征信息指示预设的系统调用存在时，获取工业互联网内核模块类型的漏洞修复代码，当所述特征信息指示预设的物理内存设备存在时，获取指令序列类型的漏洞修复代码；基于所述属性信息，对所述漏洞修复代码进行配置以使所述漏洞修复代码与所述待修复工业互联网内核适配；

使用已配置的漏洞修复代码对所述待修复工业互联网内核进行漏洞修复。

9.如权利要求8所述基于工业互联网安全监测、预警、应急处置系统，其特征在于，所述获取与所述特征信息匹配的漏洞修复代码，包括：

获取服务器中存储的、与所述特征信息匹配的漏洞修复代码，其中所述服务器存储的漏洞修复代码是实时更新的；

所述属性信息还包括工业互联网内核符号校验参数；以及

当所获取的漏洞修复代码为工业互联网内核模块时，所述基于所述属性信息，对所述漏洞修复代码进行配置以使所述漏洞修复代码与所述待修复工业互联网内核适配，包括：

使用所述工业互联网内核符号校验参数配置所述工业互联网内核模块对应的可执行文件中的工业互联网内核符号校验参数字段；

所述属性信息还包括待修复工业互联网内核中工业互联网内核符号的地址信息；以及

所述基于所述属性信息，对所述漏洞修复代码进行配置以使所述漏洞修复代码与所述待修复工业互联网内核适配包括：

使用所述地址信息配置所述漏洞修复代码中的工业互联网内核符号的地址。

10.如权利要求11所述基于工业互联网安全监测、预警、应急处置系统，其特征在于，所述在所述获取与所述特征信息匹配的漏洞修复代码之后，所述方法还包括：

对所获取的漏洞修复代码进行合法性校验，以确认所述漏洞修复代码未被篡改。

Images