CN115632995B - 用于工控网络的数据特征提取方法、设备与计算机介质 - Google Patents
用于工控网络的数据特征提取方法、设备与计算机介质 Download PDFInfo
- Publication number
- CN115632995B CN115632995B CN202211629265.9A CN202211629265A CN115632995B CN 115632995 B CN115632995 B CN 115632995B CN 202211629265 A CN202211629265 A CN 202211629265A CN 115632995 B CN115632995 B CN 115632995B
- Authority
- CN
- China
- Prior art keywords
- sequence
- protocol
- communication protocol
- data packet
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开的实施例公开了用于工控网络的数据特征提取方法、设备与计算机介质。该方法的一具体实施方式包括:确定客户端与服务器之间的数据吞吐量;确定数据包序列对应的各个协议端口号,得到协议端口号序列;对于每个数据包组,确定数据包组对应的数据包平均信息;根据数据包组序列,确定每个通信协议的通信时间间隔均值;根据数据包序列,确定下一通信协议;根据每一通信协议对应的出现次数,对通信协议组进行排序,得到目标通信协议序列;根据通信协议序列中的各个表示地址解析协议的通信协议,确定数据包序列对应的协议地址映射对组;从协议分类项组中选择对应通信协议的各个协议分类项作为协议分类项组。该实施方式缩短了数据特征提取时间。
Description
技术领域
本公开的实施例涉及计算机技术领域,具体涉及用于工控网络的数据特征提取方法、设备与计算机介质。
背景技术
目前,对于工业控制系统中设备层与控制层(PLC可编程逻辑控制器)所传输的数据特征进行提取,通常采用的方式为:从设备层与控制层中读取所传输的数据,再将所读取的数据传输至数据特征提取终端进行特征提取。
然而,采用上述方式通常会存在以下技术问题:通过第三方数据特征提取终端进行特征提取,数据特征提取时间较长,需要数据反复流转,降低了数据的安全性。
发明内容
本公开的内容部分用于以简要的形式介绍构思,这些构思将在后面的具体实施方式部分被详细描述。本公开的内容部分并不旨在标识要求保护的技术方案的关键特征或必要特征,也不旨在用于限制所要求的保护的技术方案的范围。
本公开的一些实施例提出了用于工控网络的数据特征提取方法、装置、电子设备与计算机可读介质,来解决以上背景技术部分提到的技术问题中的一项或多项。
第一方面,本公开的一些实施例提供了一种用于工控网络的数据特征提取方法,该方法包括:采集工控网络中客户端与服务器在预设时间段内传输的各个数据包,作为数据包序列;根据上述数据包序列与上述预设时间段,确定上述客户端与上述服务器之间的数据吞吐量;确定上述数据包序列对应的各个协议端口号,得到协议端口号序列;对上述数据包序列进行聚类处理,以生成数据包组序列,其中,上述数据包组序列中的数据包组对应同一协议类型;对于上述数据包组序列中的每个数据包组,确定上述数据包组对应的数据包平均信息;根据上述数据包组序列对应的各个通信协议,确定每个通信协议的通信时间间隔均值;根据上述数据包序列,确定通信协议序列,以及根据上述通信协议序列,确定下一通信协议,其中,上述数据包序列中的数据包对应上述通信协议序列中的通信协议;根据上述通信协议组中每一通信协议对应的出现次数,对上述通信协议组进行排序,得到目标通信协议序列;根据上述通信协议序列中的各个表示地址解析协议的通信协议,通过数据链路层,确定上述数据包序列对应的协议地址映射对组;对于上述通信协议组中每一通信协议,从预设的协议分类项组中选择对应上述通信协议的各个协议分类项作为协议分类项组;将上述数据吞吐量、上述协议端口号序列、各个数据包平均信息、各个通信时间间隔均值、下一通信协议、目标通信协议序列、协议地址映射对组与各个协议分类项组组合为数据特征信息。
第二方面,本公开的一些实施例提供了一种用于工控网络的数据特征提取装置,装置包括:采集单元,被配置成采集工控网络中客户端与服务器在预设时间段内传输的各个数据包,作为数据包序列;第一确定单元,被配置成根据上述数据包序列与上述预设时间段,确定上述客户端与上述服务器之间的数据吞吐量;第二确定单元,被配置成确定上述数据包序列对应的各个协议端口号,得到协议端口号序列;聚类单元,被配置成对上述数据包序列进行聚类处理,以生成数据包组序列,其中,上述数据包组序列中的数据包组对应同一协议类型;第三确定单元,被配置成对于上述数据包组序列中的每个数据包组,确定上述数据包组对应的数据包平均信息;第四确定单元,被配置成根据上述数据包组序列对应的各个通信协议,确定每个通信协议的通信时间间隔均值;第五确定单元,被配置成根据上述数据包序列,确定通信协议序列,以及根据上述通信协议序列,确定下一通信协议,其中,上述数据包序列中的数据包对应上述通信协议序列中的通信协议;排序单元,被配置成根据上述通信协议组中每一通信协议对应的出现次数,对上述通信协议组进行排序,得到目标通信协议序列;第六确定单元,被配置成根据上述通信协议序列中的各个表示地址解析协议的通信协议,通过数据链路层,确定上述数据包序列对应的协议地址映射对组;选择单元,被配置成对于上述通信协议组中每一通信协议,从预设的协议分类项组中选择对应上述通信协议的各个协议分类项作为协议分类项组;组合单元,被配置成将上述数据吞吐量、上述协议端口号序列、各个数据包平均信息、各个通信时间间隔均值、下一通信协议、目标通信协议序列、协议地址映射对组与各个协议分类项组组合为数据特征信息。
第三方面,本公开的一些实施例提供了一种电子设备,包括:一个或多个处理器;存储装置,其上存储有一个或多个程序,当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现上述第一方面任一实现方式所描述的方法。
第四方面,本公开的一些实施例提供了一种计算机可读介质,其上存储有计算机程序,其中,计算机程序被处理器执行时实现上述第一方面任一实现方式所描述的方法。
本公开的上述各个实施例具有如下有益效果:通过本公开的一些实施例的用于工控网络的数据特征提取方法,缩短了数据特征提取时间,提示了数据的安全性。具体来说,降低了数据的安全性的原因在于:通过第三方数据特征提取终端进行特征提取,数据特征提取时间较长,需要数据反复流转。基于此,本公开的一些实施例的用于工控网络的数据特征提取方法,首先,采集工控网络中客户端与服务器在预设时间段内传输的各个数据包,作为数据包序列。由此,便于解析出数据特征。其次,根据上述数据包序列与上述预设时间段,确定上述客户端与上述服务器之间的数据吞吐量。由此,可以确定确定上述客户端与上述服务器在预设时间段内的数据吞吐量。再其次,确定上述数据包序列对应的各个协议端口号,得到协议端口号序列。接着,对上述数据包序列进行聚类处理,以生成数据包组序列,其中,上述数据包组序列中的数据包组对应同一协议类型;对于上述数据包组序列中的每个数据包组,确定上述数据包组对应的数据包平均信息。由此,可以使用协议分级统计方法来确定数据包平均大小。再接着,根据上述数据包组序列对应的各个通信协议,确定每个通信协议的通信时间间隔均值。由此,可以确定每个通信协议传输数据时的平均时长。然后,根据上述数据包序列,确定通信协议序列,以及根据上述通信协议序列,确定下一通信协议。其中,上述数据包序列中的数据包对应上述通信协议序列中的通信协议。由此,可以预测出客户端与服务器的下一个传输的数据包对应的通信协议。再然后,根据上述通信协议组中每一通信协议对应的出现次数,对上述通信协议组进行排序,得到目标通信协议序列。根据上述通信协议序列中的各个表示地址解析协议的通信协议,通过数据链路层,确定上述数据包序列对应的协议地址映射对组。由此,可以确定传输的各个数据包对应的IP-MAC映射对。之后,对于上述通信协议组中每一通信协议,从预设的协议分类项组中选择对应上述通信协议的各个协议分类项作为协议分类项组。最后,将上述数据吞吐量、上述协议端口号序列、各个数据包平均信息、各个通信时间间隔均值、下一通信协议、目标通信协议序列、协议地址映射对组与各个协议分类项组组合为数据特征信息。由此,采集工控网络中客户端与服务器在预设时间段内传输的各个数据包之后,可以直接提取出数据特征信息。从而,避免了数据的反复流转,提升了数据的安全性。同时,也缩短了数据特征提取时间。
附图说明
结合附图并参考以下具体实施方式,本公开各实施例的上述和其他特征、优点及方面将变得更加明显。贯穿附图中,相同或相似的附图标记表示相同或相似的元素。应当理解附图是示意性的,元件和元素不一定按照比例绘制。
图1是根据本公开的用于工控网络的数据特征提取方法的一些实施例的流程图;
图2是根据本公开的用于工控网络的数据特征提取装置的一些实施例的流程图;
图3是适于用来实现本公开的一些实施例的电子设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的实施例。虽然附图中显示了本公开的某些实施例,然而应当理解的是,本公开可以通过各种形式来实现,而且不应该被解释为限于这里阐述的实施例。相反,提供这些实施例是为了更加透彻和完整地理解本公开。应当理解的是,本公开的附图及实施例仅用于示例性作用,并非用于限制本公开的保护范围。
另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互组合。
需要注意,本公开中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分,并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系。
需要注意,本公开中提及的“一个”、“多个”的修饰是示意性而非限制性的,本领域技术人员应当理解,除非在上下文另有明确指出,否则应该理解为“一个或多个”。
本公开实施方式中的多个装置之间所交互的消息或者信息的名称仅用于说明性的目的,而并不是用于对这些消息或信息的范围进行限制。
下面将参考附图并结合实施例来详细说明本公开。
图1是根据本公开的用于工控网络的数据特征提取方法的一些实施例的流程图。示出了根据本公开的用于工控网络的数据特征提取方法的一些实施例的流程100。该用于工控网络的数据特征提取方法,包括以下步骤:
步骤101,采集工控网络中客户端与服务器在预设时间段内传输的各个数据包,作为数据包序列。
在一些实施例中,用于工控网络的数据特征提取方法的执行主体(例如工控网络控制终端)可以采集工控网络中客户端与服务器在预设时间段内传输的各个数据包,作为数据包序列。这里,工控网络可以是指工业控制网络。工控网络中通常包含七层协议:应用层、表示层、会话层、传输层、网络层、数据链路层、物理层。其中,应用层(Application)包括的协议有:HTTP协议、FTP协议、TFTP协议、SMTP协议、SNMP、DNS协议、TELNET协议、HTTPS协议、POP3协议、DHCP协议。表示层(Presentation Layer)可以用于数据的表示、安全、压缩,包括的格式有:JPEG、ASCll、DECOIC、加密格式等。会话层(Session Layer)可以建立、管理、终止会话,对应主机进程,指本地主机与远程主机正在进行的会话。传输层(Transport)可以用于定义传输数据的协议端口号,以及流控和差错校验。传输层包含的协议有TCP协议、UDP协议(User Datagram Protocol,用户数据报协议)。网络层(Network)可以进行逻辑地址寻址,实现不同网络之间的路径选择。数据链路层(Link)具有建立逻辑连接、进行硬件地址寻址、差错校验等功能。将比特组合成字节进而组合成帧,用MAC地址访问介质,错误发现但不能纠正。物理层(Physical Layer)建立、维护、断开物理连接。TCP/IP 层级模型结构,应用层之间的协议通过逐级调用传输层、网络层和物理数据链路层(Physical Data Link)而可以实现应用层的应用程序通信互联。应用层需要关心应用程序的逻辑细节,而不是数据在网络中的传输活动。应用层其下三层则处理真正的通信细节。在Internet整个发展过程中的所有思想和着重点都以一种称为RFC(Request For Comments)的文档格式存在。针对每一种特定的TCP/IP应用,有相应的RFC文档。客户端与服务器可以是指工控网络中进行信息传输的两个终端。
实践中,上述执行主体可以采集工控网络中客户端与服务器在预设时间段内传输的每个数据包,得到数据包序列。
步骤102,根据上述数据包序列与上述预设时间段,确定上述客户端与上述服务器之间的数据吞吐量。
在一些实施例中,上述执行主体可以根据上述数据包序列与上述预设时间段,确定上述客户端与上述服务器之间的数据吞吐量。
即,上述执行主体可以使用wireshark I/O图表功能,设置Y轴单位为bits/秒,X轴单位为时间,测试客户端与服务器之间的数据吞吐量。例如,要测试客户端192.168.30.124与服务器114.112.96.29之间的吞吐量,则可以在I/O图表下部添加过滤器,表达式为ip.addr==114.112.96.29 && ip.addr==192.168.30.124,再设置显示样式和颜色,Y轴设置为bits,时间间隔使用默认的1秒。这时候新建项目所显示的内容,就是我们想要测试的这2个终端之间的吞吐量。
即,还可以根据数据包序列中数据包的字节数,确定预设时间段内每一时刻的数据吞吐量(字节数)。从而,确定上述客户端与上述服务器之间的最大吞吐量。
步骤103,确定上述数据包序列对应的各个协议端口号,得到协议端口号序列。
在一些实施例中,上述执行主体可以确定上述数据包序列对应的各个协议端口号,得到协议端口号序列。实践中,上述执行主体可以通过网络层(协议有IPV4,IPV6)进行逻辑地址寻址。通过传输层(协议有TCP,UDP)查看传输每个数据包的协议端口号,以及流控和差错校验。最后,通过检测出的各个协议端口号,来判断预计的IP地址端口对应该为统计后的IP地址端口对。
步骤104,对上述数据包序列进行聚类处理,以生成数据包组序列。
在一些实施例中,上述执行主体可以对上述数据包序列进行聚类处理,以生成数据包组序列。其中,上述数据包组序列中的数据包组对应同一协议类型(协议分级统计项)。协议类型可以是指协议分级统计项。
实践中,上述执行主体可以使用协议分级统计方法来确定数据包平均大小。例如,协议分级统计项可以包括:LLDP协议(Link Layer Discovery Protocol,链路层发现协议),IPV6协议,IPV4协议,ARP协议(Address Resolution Protocol,地址解析协议)。即,按照LLDP协议、IPV6协议、IPV4协议与ARP协议对上述数据包序列进行聚类处理,以生成数据包组序列。即,一数据包组对应LLDP协议。一数据包组对应IPV6协议。一数据包组对应IPV4协议。,一数据包组对应ARP协议。
步骤105,对于上述数据包组序列中的每个数据包组,确定上述数据包组对应的数据包平均信息。
在一些实施例中,上述执行主体可以对于上述数据包组序列中的每个数据包组,确定上述数据包组对应的数据包平均信息。实践中,上述执行主体可以按分组百分比统计、按字节百分比统计、按比特/秒统计、按结束分组统计、按结束字节统计、按结束位/秒统计,按PDUs(Provisioning Invite)统计数据包组中的各个数据包对应的数据包平均信息。即,数据包平均信息包含:各个数据包在一种协议类型中的占比情況(按数据包的个数来统计)、一种协议类型中的占比情況(按数据包的字节数来统计,按字节百分比统计)、一协议类型的数据包在抓包时段内的传输速率(比特/秒)、隶属于该协议类型的数据包的净数量(结束分组)、隶属于该协议类型的数据包的净字节数(结束字节)、隶属于该协议类型的数据包在抓包时段内的净传输速率(结束位/秒)。分组:显示了每一种协议类型的数据包的个数。字节:显示了每一种协议类型的数据包的字节数。
步骤106,根据上述数据包组序列对应的各个通信协议,确定每个通信协议的通信时间间隔均值。
在一些实施例中,上述执行主体可以根据上述数据包组序列对应的各个通信协议,确定每个通信协议的通信时间间隔均值。
实践中,上述执行主体可以通过以下步骤确定每个通信协议的通信时间间隔均值:
第一步,根据上述数据包组序列对应的各个通信协议,得到通信协议组。这里,通信协议组中的各个通信协议均不同。
第二步,对于上述通信协议组中的每个通信协议,根据上述数据包序列,确定上述通信协议的通信时间间隔均值。首先,确定每个通信协议对应的各个数据包。接着,确定每两个数据包之间传输完成所需要的时长。最后,将每个通信协议对应的各个传输时长的平均值确定为通信时间间隔均值。
步骤107,根据上述数据包序列,确定通信协议序列,以及根据上述通信协议序列,确定下一通信协议。
在一些实施例中,上述执行主体可以根据上述数据包序列,确定通信协议序列,以及根据上述通信协议序列,确定下一通信协议。其中,上述数据包序列中的数据包对应上述通信协议序列中的通信协议。实践中,确定数据包序列中每一数据包对应的通信协议,得到通信协议序列。根据上述通信协议序列中的通信协议的规律,推算出上述通信协议序列中最后一个通信协议的下一通信协议。即,基于ICS网络的稳定性,数据流的指向性一般是不变的,特定设备间的通信行为是可预测的。根据源地址和目的地址一个完整的通讯过程来判断下一次的数据流指向。例如,通信协议序列可以是“A,B,A,B”。 A,B分别表示不同的通信协议。则通信协议序列中最后一个通信协议“B”的下一通信协议可以是“A”协议。
步骤108,根据上述通信协议组中每一通信协议对应的出现次数,对上述通信协议组进行排序,得到目标通信协议序列。
在一些实施例中,上述执行主体可以根据上述通信协议组中每一通信协议对应的出现次数,对上述通信协议组进行排序,得到目标通信协议序列。首先,确定每一通信协议的出现次数。即,属于同一通信协议的各个数据包的数量。然后,可以通过sorted排序函数对上述通信协议组进行排序,得到目标通信协议序列。通信协议可以是指S7COMM协议、Modbus TCP协议、TCP协议、COTP协议。
步骤109,根据上述通信协议序列中的各个表示地址解析协议的通信协议,通过数据链路层,确定上述数据包序列对应的协议地址映射对组。
在一些实施例中,上述执行主体可以根据上述通信协议序列中的各个表示地址解析协议的通信协议,通过数据链路层,确定上述数据包序列对应的协议地址映射对组。实践中,首先,上述执行主体可以筛选出ARP协议(地址解析协议)。然后,通过数据链路层判断逻辑连接、统计硬件地址寻址、差错校验,将比特组合成字节计算统计出IP-MAC(MediaAccess Control Address)映射对。
步骤110,对于上述通信协议组中每一通信协议,从预设的协议分类项组中选择对应上述通信协议的各个协议分类项作为协议分类项组。
在一些实施例中,上述执行主体可以对于上述通信协议组中每一通信协议,从预设的协议分类项组中选择对应上述通信协议的各个协议分类项作为协议分类项组。预设的协议分类项组可以包括:DCCP(Datagram Congestion Control Protocol)协议,Ethernet以太网协议,FC(Fibre Channel)协议,FDDI(Fiber Distributed Data Interface)协议,IEEE802.11(无线局域网通用的标准)协议,IPV4,IPV6,IPX互联网分组交换协议,JXTA协议,TCP(Transmission Control Protocol)协议,UDP协议。即,上述执行主体可以确定每一通信协议包含的协议分类项。这里,通信协议可以是指S7COMM协议、Modbus TCP协议、TCP协议、COTP协议。通信协议可以包含多个协议分类项。
步骤111,将上述数据吞吐量、上述协议端口号序列、各个数据包平均信息、各个通信时间间隔均值、下一通信协议、目标通信协议序列、协议地址映射对组与各个协议分类项组组合为数据特征信息。
在一些实施例中,上述执行主体可以将上述数据吞吐量、上述协议端口号序列、各个数据包平均信息、各个通信时间间隔均值、下一通信协议、目标通信协议序列、协议地址映射对组与各个协议分类项组组合为数据特征信息。这里,组合可以是指合并。
可选地,将上述数据特征信息、预设拼接字符串、当前时间戳与目标数值进行组合,得到数据特征组合信息。
在一些实施例中,上述执行主体可以将上述数据特征信息、预设拼接字符串、当前时间戳与目标数值进行组合,得到数据特征组合信息。其中,上述目标数值为目标通信协议序列包括的目标通信协议的数量。这里,预设拼接字符串可以是预先设定的字符串。例如,预设拼接字符串可以是“&&”。组合可以是指拼接。
可选地,通过第一加密算法对上述数据特征组合信息进行第一加密处理,以生成第一加密数据特征组合信息。
在一些实施例中,上述执行主体可以通过第一加密算法对上述数据特征组合信息进行第一加密处理,以生成第一加密数据特征组合信息。第一加密算法可以是SM3加密算法。
可选地,将上述数据特征组合信息、上述预设拼接字符串与上述第一加密数据特征组合信息进行组合处理,以生成加密数据特征组合信息。
在一些实施例中,上述执行主体可以将上述数据特征组合信息、上述预设拼接字符串与上述第一加密数据特征组合信息进行组合处理,以生成加密数据特征组合信息。组合可以是指拼接。
可选地,通过第二加密算法对上述加密数据特征组合信息进行加密处理,以生成第二加密数据特征组合信息。
在一些实施例中,上述执行主体可以通过第二加密算法对上述加密数据特征组合信息进行加密处理,以生成第二加密数据特征组合信息。这里,第二加密算法可以是指SM4加密算法。
可选地,将上述第二加密数据特征组合信息、上述预设拼接字符串与上述第二加密算法对应的密钥进行组合处理,以生成第三加密数据特征组合信息。
在一些实施例中,上述执行主体可以将上述第二加密数据特征组合信息、上述预设拼接字符串与上述第二加密算法对应的密钥进行组合处理,以生成第三加密数据特征组合信息。这里,上述第二加密算法对应的密钥可以是指第二加密算法的加密密钥。
可选地,通过目标公钥对上述第三加密数据特征组合信息进行加密处理,以生成目标加密数据特征组合信息。
在一些实施例中,上述执行主体可以通过目标公钥对上述第三加密数据特征组合信息进行加密处理,以生成目标加密数据特征组合信息。这里,目标公钥可以是与相关联的一工控网络设备约定的公私钥中的公钥。加密处理可以是指对称加密处理。
可选地,将上述目标加密数据特征组合信息发送至相关联的工控网络设备。
在一些实施例中,上述执行主体可以将上述目标加密数据特征组合信息发送至相关联的工控网络设备。这里,相关联的工控网络设备可以是与上述执行主体通信连接的工控网络设备。该工控网络设备包含对应上述目标公钥的私钥。从而,可以在接收到目标加密数据特征组合信息,对信息进行解密。
进一步参考图2,作为对上述各图所示方法的实现,本公开提供了一种用于工控网络的数据特征提取装置的一些实施例,这些用于工控网络的数据特征提取装置实施例与图1所示的那些方法实施例相对应,该用于工控网络的数据特征提取装置具体可以应用于各种电子设备中。
如图2所示,一些实施例的用于工控网络的数据特征提取装置200包括:采集单元201、第一确定单元202、第二确定单元203、聚类单元204、第三确定单元205、第四确定单元206、第五确定单元207、排序单元208、第六确定单元209、选择单元210和组合单元211。其中,采集单元201,被配置成采集工控网络中客户端与服务器在预设时间段内传输的各个数据包,作为数据包序列;第一确定单元202,被配置成根据上述数据包序列与上述预设时间段,确定上述客户端与上述服务器之间的数据吞吐量;第二确定单元203,被配置成确定上述数据包序列对应的各个协议端口号,得到协议端口号序列;聚类单元204,被配置成对上述数据包序列进行聚类处理,以生成数据包组序列,其中,上述数据包组序列中的数据包组对应同一通信协议;第三确定单元205,被配置成对于上述数据包组序列中的每个数据包组,确定上述数据包组对应的数据包平均信息;第四确定单元206,被配置成根据上述数据包组序列对应的各个通信协议,确定每个通信协议的通信时间间隔均值;第五确定单元207,被配置成根据上述数据包序列,确定通信协议序列,以及根据上述通信协议序列,确定下一通信协议,其中,上述数据包序列中的数据包对应上述通信协议序列中的通信协议;排序单元208,被配置成根据上述通信协议组中每一通信协议对应的出现次数,对上述通信协议组进行排序,得到目标通信协议序列;第六确定单元209,被配置成根据上述通信协议序列中的各个表示地址解析协议的通信协议,通过数据链路层,确定上述数据包序列对应的协议地址映射对组;选择单元210,被配置成对于上述通信协议组中每一通信协议,从预设的协议分类项组中选择对应上述通信协议的各个协议分类项作为协议分类项组;组合单元211,被配置成将上述数据吞吐量、上述协议端口号序列、各个数据包平均信息、各个通信时间间隔均值、下一通信协议、目标通信协议序列、协议地址映射对组与各个协议分类项组组合为数据特征信息。
可以理解的是,该用于工控网络的数据特征提取装置200中记载的诸单元与参考图1描述的方法中的各个步骤相对应。由此,上文针对方法描述的操作、特征以及产生的有益效果同样适用于用于工控网络的数据特征提取装置200及其中包含的单元,在此不再赘述。
下面参考图3,其示出了适于用来实现本公开的一些实施例的电子设备(例如工控网络控制终端)300的结构示意图。本公开的一些实施例中的电子设备可以包括但不限于诸如移动电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。图3示出的电子设备仅仅是一个示例,不应对本公开的实施例的功能和使用范围带来任何限制。
如图3所示,电子设备300可以包括处理装置(例如中央处理器、图形处理器等)301,其可以根据存储在只读存储器(ROM)302中的程序或者从存储装置308加载到随机访问存储器(RAM)303中的程序而执行各种适当的动作和处理。在RAM303中,还存储有电子设备300操作所需的各种程序和数据。处理装置301、ROM302以及RAM 303通过总线304彼此相连。输入/输出(I/O)接口305也连接至总线304。
通常,以下装置可以连接至I/O接口305:包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置306;包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置307;包括例如磁带、硬盘等的存储装置308;以及通信装置309。通信装置309可以允许电子设备300与其他设备进行无线或有线通信以交换数据。虽然图3示出了具有各种装置的电子设备300,但是应理解的是,并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。图3中示出的每个方框可以代表一个装置,也可以根据需要代表多个装置。
特别地,根据本公开的一些实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的一些实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的一些实施例中,该计算机程序可以通过通信装置309从网络上被下载和安装,或者从存储装置308被安装,或者从ROM302被安装。在该计算机程序被处理装置301执行时,执行本公开的一些实施例的方法中限定的上述功能。
需要说明的是,本公开的一些实施例中记载的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开的一些实施例中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开的一些实施例中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
在一些实施方式中,客户端、服务器可以利用诸如HTTP(HyperText TransferProtocol,超文本传输协议)之类的任何当前已知或未来研发的网络协议进行通信,并且可以与任意形式或介质的数字数据通信(例如,通信网络)互连。通信网络的示例包括局域网(“LAN”),广域网(“WAN”),网际网(例如,互联网)以及端对端网络(例如,ad hoc端对端网络),以及任何当前已知或未来研发的网络。
上述计算机可读介质可以是上述电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备:采集工控网络中客户端与服务器在预设时间段内传输的各个数据包,作为数据包序列;根据上述数据包序列与上述预设时间段,确定上述客户端与上述服务器之间的数据吞吐量;确定上述数据包序列对应的各个协议端口号,得到协议端口号序列;对上述数据包序列进行聚类处理,以生成数据包组序列,其中,上述数据包组序列中的数据包组对应同一通信协议;对于上述数据包组序列中的每个数据包组,确定上述数据包组对应的数据包平均信息;根据上述数据包组序列对应的各个通信协议,确定每个通信协议的通信时间间隔均值;根据上述数据包序列,确定通信协议序列,以及根据上述通信协议序列,确定下一通信协议,其中,上述数据包序列中的数据包对应上述通信协议序列中的通信协议;根据上述通信协议组中每一通信协议对应的出现次数,对上述通信协议组进行排序,得到目标通信协议序列;根据上述通信协议序列中的各个表示地址解析协议的通信协议,通过数据链路层,确定上述数据包序列对应的协议地址映射对组;对于上述通信协议组中每一通信协议,从预设的协议分类项组中选择对应上述通信协议的各个协议分类项作为协议分类项组;将上述数据吞吐量、上述协议端口号序列、各个数据包平均信息、各个通信时间间隔均值、下一通信协议、目标通信协议序列、协议地址映射对组与各个协议分类项组组合为数据特征信息。
可以以一种或多种程序设计语言或其组合来编写用于执行本公开的一些实施例的操作的计算机程序代码,上述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)——连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开的一些实施例中的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中,例如,可以描述为:一种处理器包括采集单元、第一确定单元、第二确定单元、聚类单元、第三确定单元、第四确定单元、第五确定单元、排序单元、第六确定单元、选择单元和组合单元。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定,例如,采集单元还可以被描述为“采集工控网络中客户端与服务器在预设时间段内传输的各个数据包,作为数据包序列的单元”。
本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如,非限制性地,可以使用的示范类型的硬件逻辑部件包括:现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑设备(CPLD)等等。
以上描述仅为本公开的一些较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本公开的实施例中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开的实施例中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (6)
1.一种用于工控网络的数据特征提取方法,包括:
采集工控网络中客户端与服务器在预设时间段内传输的各个数据包,作为数据包序列;
根据所述数据包序列与所述预设时间段,确定所述客户端与所述服务器之间的数据吞吐量;
确定所述数据包序列对应的各个协议端口号,得到协议端口号序列;
对所述数据包序列进行聚类处理,以生成数据包组序列,其中,所述数据包组序列中的数据包组对应同一协议类型;
对于所述数据包组序列中的每个数据包组,确定所述数据包组对应的数据包平均信息;
根据所述数据包组序列对应的各个通信协议,确定每个通信协议的通信时间间隔均值;
根据所述数据包序列,确定通信协议序列,以及根据所述通信协议序列,确定下一通信协议,其中,所述数据包序列中的数据包对应所述通信协议序列中的通信协议;
根据所述通信协议序列中每一通信协议对应的出现次数,对所述通信协议序列进行排序,得到目标通信协议序列;
根据所述通信协议序列中的各个表示地址解析协议的通信协议,通过数据链路层,确定所述数据包序列对应的协议地址映射对组;
对于所述通信协议序列中每一通信协议,从预设的协议分类项组中选择对应所述通信协议的各个协议分类项作为协议分类项组;
将所述数据吞吐量、所述协议端口号序列、各个数据包平均信息、各个通信时间间隔均值、下一通信协议、目标通信协议序列、协议地址映射对组与各个协议分类项组组合为数据特征信息。
2.根据权利要求1所述的方法,其中,所述根据所述数据包组序列对应的各个通信协议,确定每个通信协议的通信时间间隔均值,包括:
根据所述数据包组序列对应的各个通信协议,得到通信协议序列;
对于所述通信协议序列中的每个通信协议,根据所述数据包序列,确定所述通信协议的通信时间间隔均值。
3.根据权利要求1所述的方法,其中,所述方法还包括:
将所述数据特征信息、预设拼接字符串、当前时间戳与目标数值进行组合,得到数据特征组合信息,其中,所述目标数值为目标通信协议序列包括的目标通信协议的数量;
通过第一加密算法对所述数据特征组合信息进行第一加密处理,以生成第一加密数据特征组合信息;
将所述数据特征组合信息、所述预设拼接字符串与所述第一加密数据特征组合信息进行组合处理,以生成加密数据特征组合信息;
通过第二加密算法对所述加密数据特征组合信息进行加密处理,以生成第二加密数据特征组合信息;
将所述第二加密数据特征组合信息、所述预设拼接字符串与所述第二加密算法对应的密钥进行组合处理,以生成第三加密数据特征组合信息;
通过目标公钥对所述第三加密数据特征组合信息进行加密处理,以生成目标加密数据特征组合信息;
将所述目标加密数据特征组合信息发送至相关联的工控网络设备。
4.一种用于工控网络的数据特征提取装置,包括:
采集单元,被配置成采集工控网络中客户端与服务器在预设时间段内传输的各个数据包,作为数据包序列;
第一确定单元,被配置成根据所述数据包序列与所述预设时间段,确定所述客户端与所述服务器之间的数据吞吐量;
第二确定单元,被配置成确定所述数据包序列对应的各个协议端口号,得到协议端口号序列;
聚类单元,被配置成对所述数据包序列进行聚类处理,以生成数据包组序列,其中,所述数据包组序列中的数据包组对应同一协议类型;
第三确定单元,被配置成对于所述数据包组序列中的每个数据包组,确定所述数据包组对应的数据包平均信息;
第四确定单元,被配置成根据所述数据包组序列对应的各个通信协议,确定每个通信协议的通信时间间隔均值;
第五确定单元,被配置成根据所述数据包序列,确定通信协议序列,以及根据所述通信协议序列,确定下一通信协议,其中,所述数据包序列中的数据包对应所述通信协议序列中的通信协议;
排序单元,被配置成根据所述通信协议序列中每一通信协议对应的出现次数,对所述通信协议序列进行排序,得到目标通信协议序列;
第六确定单元,被配置成根据所述通信协议序列中的各个表示地址解析协议的通信协议,通过数据链路层,确定所述数据包序列对应的协议地址映射对组;
选择单元,被配置成对于所述通信协议序列中每一通信协议,从预设的协议分类项组中选择对应所述通信协议的各个协议分类项作为协议分类项组;
组合单元,被配置成将所述数据吞吐量、所述协议端口号序列、各个数据包平均信息、各个通信时间间隔均值、下一通信协议、目标通信协议序列、协议地址映射对组与各个协议分类项组组合为数据特征信息。
5.一种电子设备,包括:
一个或多个处理器;
存储装置,其上存储有一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-3中任一所述的方法。
6.一种计算机可读介质,其上存储有计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1-3中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211629265.9A CN115632995B (zh) | 2022-12-19 | 2022-12-19 | 用于工控网络的数据特征提取方法、设备与计算机介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211629265.9A CN115632995B (zh) | 2022-12-19 | 2022-12-19 | 用于工控网络的数据特征提取方法、设备与计算机介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115632995A CN115632995A (zh) | 2023-01-20 |
| CN115632995B true CN115632995B (zh) | 2023-03-17 |
Family
ID=84911075
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211629265.9A Active CN115632995B (zh) | 2022-12-19 | 2022-12-19 | 用于工控网络的数据特征提取方法、设备与计算机介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115632995B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109143848A (zh) * | 2017-06-27 | 2019-01-04 | 中国科学院沈阳自动化研究所 | 基于fcm-gasvm的工业控制系统入侵检测方法 |
| CN109391700A (zh) * | 2018-12-12 | 2019-02-26 | 北京华清信安科技有限公司 | 基于深度流量感知的物联网安全云平台 |
| CN111222019A (zh) * | 2019-12-17 | 2020-06-02 | 山石网科通信技术股份有限公司 | 特征提取的方法和装置 |
| CN114050942A (zh) * | 2022-01-11 | 2022-02-15 | 浙江国利网安科技有限公司 | 安全策略配置方法、装置、网络设备及介质 |
| WO2022156468A1 (zh) * | 2021-01-21 | 2022-07-28 | 北京沃东天骏信息技术有限公司 | 模型数据处理方法、装置、电子设备以及计算机可读介质 |
-
2022
- 2022-12-19 CN CN202211629265.9A patent/CN115632995B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109143848A (zh) * | 2017-06-27 | 2019-01-04 | 中国科学院沈阳自动化研究所 | 基于fcm-gasvm的工业控制系统入侵检测方法 |
| CN109391700A (zh) * | 2018-12-12 | 2019-02-26 | 北京华清信安科技有限公司 | 基于深度流量感知的物联网安全云平台 |
| CN111222019A (zh) * | 2019-12-17 | 2020-06-02 | 山石网科通信技术股份有限公司 | 特征提取的方法和装置 |
| WO2022156468A1 (zh) * | 2021-01-21 | 2022-07-28 | 北京沃东天骏信息技术有限公司 | 模型数据处理方法、装置、电子设备以及计算机可读介质 |
| CN114050942A (zh) * | 2022-01-11 | 2022-02-15 | 浙江国利网安科技有限公司 | 安全策略配置方法、装置、网络设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115632995A (zh) | 2023-01-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112039796B (zh) | 数据包传输方法和装置、存储介质和电子设备 | |
| US11336545B2 (en) | Network device measurements employing white boxes | |
| US20210281401A1 (en) | Methods, systems, and computer readable media for utilizing predetermined encryption keys in a test simulation environment | |
| US11196649B2 (en) | Processing local area network diagnostic data | |
| EP3484101B1 (en) | Automatically determining over-the-top applications and services | |
| EP3484102B1 (en) | Cloud computing environment system for automatically determining over-the-top applications and services | |
| CN114071544B (zh) | 网络测试方法、装置和电子设备 | |
| US9917747B2 (en) | Problem detection in a distributed digital network through distributed packet analysis | |
| CN110489474B (zh) | 一种数据处理的方法、装置、介质和电子设备 | |
| CN117176802B (zh) | 一种业务请求的全链路监控方法、装置、电子设备及介质 | |
| CN115632995B (zh) | 用于工控网络的数据特征提取方法、设备与计算机介质 | |
| CN111490907B (zh) | 一种确定vxlan网络性能参数的方法及装置 | |
| CN111225077A (zh) | 物联网设备配网方法、装置和系统 | |
| CN110572805A (zh) | 数据传输方法、装置、电子设备和计算机可读介质 | |
| JP2020141191A (ja) | データ取得装置、クライアントサーバシステム、データ取得方法、及び、プログラム | |
| Lee et al. | Network flow data re-collecting approach using 5G testbed for labeled dataset | |
| CN115277504A (zh) | 一种网络流量监控方法、装置和系统 | |
| WO2017045486A1 (zh) | 用于传输无线数据的方法、装置和系统 | |
| CN111106977B (zh) | 数据流检测方法、装置及存储介质 | |
| CN112769593A (zh) | 一种网络监控系统和网络监控方法 | |
| CN115250254B (zh) | Netflow报文分发处理方法及装置 | |
| CN115623092B (zh) | 基于电信号的系统监测方法、装置、设备与介质 | |
| US20240184857A1 (en) | Device type classification based on usage patterns | |
| CN115396355A (zh) | 网络路径探测方法、装置和电子设备 | |
| CN116545878A (zh) | 一种捕包方法及装置、电子设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |