CN115776465A - 工控资产管理方法、装置、电子设备和存储介质 - Google Patents

工控资产管理方法、装置、电子设备和存储介质 Download PDF

Info

Publication number
CN115776465A
CN115776465A CN202211435517.4A CN202211435517A CN115776465A CN 115776465 A CN115776465 A CN 115776465A CN 202211435517 A CN202211435517 A CN 202211435517A CN 115776465 A CN115776465 A CN 115776465A
Authority
CN
China
Prior art keywords
industrial control
asset
assets
detected
sample
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211435517.4A
Other languages
English (en)
Inventor
张天宇
黄宁
喻威
何先先
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Hubei Topsec Network Security Technology Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Hubei Topsec Network Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd, Hubei Topsec Network Security Technology Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202211435517.4A priority Critical patent/CN115776465A/zh
Publication of CN115776465A publication Critical patent/CN115776465A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明提供了一种工控资产管理方法、装置、电子设备和存储介质,涉及工业控制领域。其中,工控资产管理方法,包括:获取工控系统中各个工控资产之间的流量数据;根据流量数据获取工控系统中的若干检测工控资产;获取工控资产数据库,工控资产数据库中保存有若干样本工控资产,样本工控资产为工控系统中已经检出的工控资产;判断各个检测工控资产是否与任一样本工控资产相同;响应于若干检测工控资产中存在与若干样本工控资产均不相同的若干目标工控资产,对各个目标工控资产分别进行资产识别。与现有技术相比,本发明实施例所提供的工控资产管理方法、装置、电子设备和存储介质具有提升工控系统中工控资产的识别效率的优点。

Description

工控资产管理方法、装置、电子设备和存储介质
技术领域
本发明涉及工业控制领域,尤其是涉及一种工控资产管理方法、装置、电子设备和存储介质。
背景技术
近年来,随着工业互联网飞速的发展,工控信息安全越来越被人们所关注和重视。但是与此同时,一些存在漏洞的设备也被暴露在网络上,工业控制系统开始面临这越来越严峻的挑战。工控资产是评估工控系统安全的一个重要指标,通过资产信息可以明确工控系统中资产的情况。但是工控系统中,通信方式较多且繁琐,使得工控资产的管理变得愈加困难。
工控资产管理的基础为工控资产的识别,工控资产识别方式分为主动探测与被动识别两种,主动识别是通过发送一些探测数据包到设备,使设备返回相应的信息以获得资产信息,但是这种方法有损害部分敏感设备的风险,并且存在设备的一些端口并不向外开放导致信息无法获取的情况。相比之下,被动识别的方式更安全,但是传统的被动资产识别方式需要对全部的工控资产进行资产的识别,导致工控资产的识别效率较低。
发明内容
本发明的目的在于提供一种工控资产管理方法、装置、电子设备和存储介质,以提升工控系统中工控资产的识别效率。
第一方面,本发明提供一种工控资产管理方法,包括:获取工控系统中各个工控资产之间的流量数据;根据所述流量数据获取所述工控系统中的若干检测工控资产;获取工控资产数据库,所述工控资产数据库中保存有若干样本工控资产,所述样本工控资产为所述工控系统中已经检出的工控资产;判断各个所述检测工控资产是否与任一所述样本工控资产相同;响应于所述若干检测工控资产中存在与所述若干样本工控资产均不相同的若干目标工控资产,对各个所述目标工控资产分别进行资产识别。
在一些实施例中,所述根据所述流量数据获取所述工控系统中的若干检测工控资产,包括:获取所述流量数据中所包含的若干IP地址、若干MAC地址、以及若干应用协议;根据所述若干IP地址、若干MAC地址、以及若干应用协议之间的对应关系构建若干基础三元向量;根据所述若干基础三元向量确定所述若干检测工控资产。
对于一台工控资产而言,其IP地址、MAC地址、以及应用协议这些基础信息是固定的,且都可以从数据流量中解析得到,使用IP地址、MAC地址、以及应用协议构建基础三元向量确定检测工控资产,可以保证每个基础三元向量对应唯一的检测工控资产,避免造成检测工控资产的标识混乱。
在一些实施例中,所述判断各个所述检测工控资产是否与任一所述样本工控资产相同,包括:获取各个所述样本工控资产所包含的基础三元向量;将各个所述检测工控资产的基础三元向量与各个所述样本工控资产的基础三元向量进行向量对比,根据向量对比结果判断各个所述检测工控资产是否与任一所述样本工控资产相同。
由于向量的对比的计算过程较为简便且精准度较高,使用检测工控资产的基础三元向量与各个样本工控资产的基础三元向量进行向量对比,根据向量对比结果判断各个检测工控资产是否与任一样本工控资产相同,可以在提升判断效率的同时保证判断结果的准确度。
在一些实施例中,所述将各个所述检测工控资产的基础三元向量与各个所述样本工控资产的基础三元向量进行向量对比,包括:计算各个所述检测工控资产的基础三元向量与各个所述样本工控资产的基础三元向量之间的向量相似度,将所述向量相似度计算结果做为所述向量对比结果。
在一些实施例中,所述根据所述流量数据获取所述工控系统中的若干检测工控资产后,所述方法还包括:分别记录获取到各个所述检测工控资产的检测时刻;根据所述检测时刻更新各个所述检测工控资产的最后发现时刻。
在一些实施例中,所述根据所述检测时刻更新各个所述检测工控资产的最后发现时刻后,所述方法还包括:根据各个所述检测工控资产的最后发现时刻判断各个所述检测工控资产的工作状态。
通过对检测工控资产的检测时刻的记录和对检测工控资产的最后发现时刻的更新,自行判断检测工控资产的工作状态,实现对工控系统中各个工控资产的工作状态的监控,及时发现工作异常的工控资产。
在一些实施例中,所述对各个所述目标工控资产分别进行资产识别,包括:根据预设分类器对所述流量数据进行分类,获取各个所述目标工控资产的分类结果;使用所述分类结果对所述目标工控资产进行资产标注。
在一些实施例中,述根据所述预设分类器对所述流量数据进行分类,包括:获取所述流量数据中与各个所述目标工控资产相关的目标流量数据;使用所述预设分类器分别对与各个所述目标工控资产相关的目标流量数据进行分类。
在一些实施例中,所述预设分类器数量为多个;所述根据所述预设分类器对所述流量数据进行分类,获取各个所述目标工控资产的分类结果,包括:分别使用各个所述预设分类器对所述流量数据进行分类,获取各个所述目标工控资产的若干分类结果。
在一些实施例中,所述使用所述分类结果对所述目标工控资产进行资产标注,包括:以所述分类结果作为向量的维度构建与所述目标工控资产一一对应的目标资产向量。
在一些实施例中,所述分类器为K近邻算法分类器。
在一些实施例中,所述对各个所述目标工控资产分别进行资产识别后,所述方法还包括:将所述目标工控资产存入所述工控资产数据库。
在一些实施例中,所述判断各个所述检测工控资产是否与任一所述样本工控资产相同后,所述方法还包括:响应于所述若干检测工控资产中存在与任一所述若干样本工控资产相同的若干相同工控资产;获取与各个所述相同工控资产相同的目标样本工控资产;对完成资产识别的所述目标工控资产和所述目标样本工控资产进行分组。
对完成资产识别的所述目标工控资产和所述目标样本工控资产进行分组,对这些工控资源进行分组后,方便整体把控某个区域的工控资产或者完成某个功能的工控资产集群设备的工作状态,更便于对工控系统中的工控资源进行管理。
第二方面,本发明实施例提供了一种工控资产管理装置,包括:流量获取模块,所述流量获取模块用于获取工控系统中各个工控资产之间的流量数据;工控资产获取模块,所述工控资产获取模块用故意根据所述流量数据获取所述工控系统中的若干检测工控资产;存储模块,所述存储模块用于存储工控资产数据库,所述工控资产数据库中保存有若干样本工控资产,所述样本工控资产为所述工控系统中已经检出的工控资产;判断模块,所述判断模块用于判断各个所述检测工控资产是否与任一所述样本工控资产相同;资产识别模块,所述资产识别模块用于在所述若干检测工控资产中存在与所述若干样本工控资产均不相同的若干目标工控资产时,对各个所述目标工控资产分别进行资产识别。
在一些实施例中,所述装置还包括:时刻记录模块,所述时刻记录模块用于分别记录获取到各个所述检测工控资产的检测时刻,并根据所述检测时刻更新各个所述检测工控资产的最后发现时刻。
在一些实施例中,所述装置还包括:工作状态识别模块,所述工作状态识别模块用于根据各个所述检测工控资产的最后发现时刻判断各个所述检测工控资产的工作状态。
在一些实施例中,所述资产识别模块还用于在所述若干检测工控资产中存在与任一所述若干样本工控资产相同的若干相同工控资产时,获取与各个所述相同工控资产相同的目标样本工控资产;所述装置还包括:分组模块,所述分组模块用于对完成资产识别的所述目标工控资产和所述目标样本工控资产进行分组。
第三方面,本发明实施例提供了一种电子设备,包括:至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如前述的方法。
第四方面,本发明实施例提供了一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行实现前述的方法。
本发明实施例所提供的工控资产管理方法、装置、电子设备和存储介质中,通过工控系统中各个工控资产之间的流量数据检测工控系统中存在的工控资产,并将检测到的工控资产作为检测工控资产,然后获取工控资产数据库,工控资产数据库中保存有若干在前次的工控资产检测过程中已经检出的样本工控资产,将此次检测到的检测工控资产与前次检测到的样本工控资产进行对比,如果此次检测到的检测工控资产中存在与全部样本工控资产均不相同的检测工控资产,此部分检测工控资产即为目标工控资产,对目标工控资产进行资产识别,仅对工控资产数据库中不存在的目标工控资产进行资产识别,可以减少需要进行资产识别的工控资产的数量,从而有效的提升对整个工控系统中的工控资产的识别效率。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一所提供的工控资产管理方法的流程示意图;
图2为本发明实施例二所提供的工控资产管理方法的流程示意图;
图3为本发明实施例三所提供的工控资产管理方法的流程示意图;
图4为本发明实施例四所提供的工控资产管理装置的结构示意图;
图5为本发明实施例五所提供的工控资产管理装置的结构示意图;
图6为本发明实施例六所提供的工控资产管理装置的结构示意图;
图7为本发明实施例七所提供的电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,或者是该发明产品使用时惯常摆放的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
此外,术语“水平”、“竖直”、“悬垂”等术语并不表示要求部件绝对水平或悬垂,而是可以稍微倾斜。如“水平”仅仅是指其方向相对“竖直”而言更加水平,并不是表示该结构一定要完全水平,而是可以稍微倾斜。
在本发明的描述中,还需要说明的是,除非另有明确的规定和限定,术语“设置”、“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
下面结合附图,对本发明的一些实施方式作详细说明。在不冲突的情况下,下述的实施例及实施例中的特征可以相互组合。
本发明实施例一提供了一种工控资产管理方法,具体如图1所示,包括以下步骤:
步骤S101:获取工控系统中各个工控资产之间的流量数据。
在本发明的一些实施例中,可以在工控系统中的各个端口设置旁路装置,旁路装置在工控系统的各个端口采集各个工控资产之间经由端口传输的流量数据。
在本发明的一些实施例中,旁路装置可以为ZHNTD—3000、XL600等各种型号的数据流量采集器。
优选的,在本发明的一些实施例中,旁路装置还可以是网络流量镜像交换机,通过网络流量镜像交换机对各个端口传输的流量数据进行镜像处理、以完成对各个端口传输的流量数据的采集。通过设置旁路装置为网络流量镜像交换机对各个端口传输的流量数据进行镜像采集,可以避免流量采集过程对工控系统的正常工作产生影响。
步骤S102:根据流量数据获取工控系统中的若干检测工控资产。
在本发明的一些实施例中,本步骤包括对流量数据进行流量解析,获取工控系统中各个工控资产的基础信息,这些基础信息包括各个工控资产的IP地址、MAC地址、以及应用协议等工控资产的标识数据,由于工控系统中的工控资产之间在相互通信时会附带这些标识数据进行通信的定位,因此在对流量数据进行解析的过程中可以获取各个IP地址、各个MAC地址、以及各个应用协议之间的对应关系,根据这些对应关系将IP地址、MAC地址、以及应用协议结合起来,确定工控系统中存在的各个工控资产,即检测得到若干检测工控资产。
在本发明的一些实施例中,可以根据检测到的各个工控资产的IP地址、MAC地址、以及应用协议等标识信息构建向量,例如仅包括各个工控资产的IP地址、MAC地址、以及应用协议时,可以构建[IP地址,MAC地址,应用协议]的基础三元向量,使用基础三元向量确定各个检测工控资产。此外,在本发明的一些实施例中,还可以包括厂商信息等基础信息,则可以构建[IP地址,MAC地址,应用协议,厂商信息]的基础四元向量,具体可以根据检测到的各个工控资产的标识信息的数量和种类进行向量的设置。
步骤S103:获取工控资产数据库,工控资产数据库中保存有若干样本工控资产,样本工控资产为工控系统中已经检出的工控资产。
在本发明的一些实施例中,工控资产数据库中的样本工控资产可以是初始化时在工控资产数据库中预存的工控资产,其中包括样本工控资产的详细信息,同时至少包括各个样本工控资产的基础标识信息,样本工控资产基础标识信息的种类需要包括步骤S102中用于标识检测工控资产的标识信息的种类,即步骤S102中用于标识检测工控资产的标识信息的种类在样本工控资产基础标识信息的种类中均存在,使得后续步骤可以完成检测工控资产和样本工控资产之间的对比过程。
在本发明的一些实施例中,工控资产数据库中的样本工控资产还可以为前次工控资产检测和识别过程中识别到的工控资产,即在完成对工控系统中的工控资产的检测和识别后,将识别到的工控资产存入工控资产数据库中作为后续检测过程的样本工控资产。例如在此次完成对工控系统中的工控资产的识别后,同样可以将此次的资产识别结果存入工控资产数据库中作为后续检测过程的样本工控资产。从而不断的完善和丰富工控资产数据库,减少后续的工控资产识别过程中需要识别的工控资产的数量,提升资产识别效率。
此外,在本发明的一些另外的实施例中,工控资产数据库中的样本工控资产也可以是既包括预存的工控资产、又包括前次检测过程中检测和识别到的工控资产,具体可以根据实际需要对工控资产数据库进行设置。
步骤S104:判断各个检测工控资产是否与任一样本工控资产相同,若是,执行步骤S105,若否,执行步骤S106。
在本发明的一些实施例中,将检测得到的检测工控资产与工控资产数据库中的样本工控资产进行一一对比,判断各个检测工控资产是否与任一样本工控资产相同,如果某一个检测工控资产与全部的样本工控资产均不相同,则将此检测工控资产作为目标工控资产;如果某一个检测工控资产与某一个样本工控资产相同,则将此检测工控资产作为相同工控资产。逐一完成全部的检测工控资产与样本工控资产的对比,以识别出全部的目标工控资产和全部的相同工控资产。
在本发明的一些实施例中,将检测得到的检测工控资产与工控资产数据库中的样本工控资产进行一一对比的过程中,可以通过前述步骤中构建的基础向量完成对检测工控资产与样本工控资产的对比过程,即获取各个样本工控资产所包含的基础三元向量,此基础三元向量与前述步骤中构建的检测工控资产的基础三元向量中包含的标识信息的种类相同,将将各个检测工控资产的基础三元向量与各个样本工控资产的基础三元向量进行向量对比,根据向量对比结果判断各个检测工控资产是否与任一样本工控资产相同。
在本发明的一些实施例中,可以通过计算各个检测工控资产的基础三元向量与各个样本工控资产的基础三元向量之间的向量相似度,将向量相似度的计算结果作为向量对比结果,如果向量相似度大于某一个预设的相似度阈值,则可以判定检测工控资产与样本工控资产相同,反之若向量相似度小于此相似度阈值,则判定检测工控资产与样本工控资产不相同。
在本发明的不同实施例中可以使用不同的计算方法计算各个检测工控资产的基础三元向量与各个样本工控资产的基础三元向量之间的向量相似度,例如计算各个检测工控资产的基础三元向量与各个样本工控资产的基础三元向量之间的欧氏距离、皮尔逊相关系数、曼哈顿举例等不同的计算方法,具体可以根据实际需要进行灵活的使用。
步骤S105:获取与各个相同工控资产相同的目标样本工控资产。
在本发明的一些实施例中,对于步骤S104中识别出的相同工控资产,则获取与相同工控资产相同的样本工控资产作为目标样本工控资产。
步骤S106:对各个目标工控资产分别进行资产识别。
在本发明的一些实施例中,可以根据预设分类器对流量数据进行分类,得到各个目标工控资产的分类结果。具体为首先在流量数据中获取到与目标工控资产相关的目标流量数据,例如目标工控资产的数据报文等,然后使用预设分类器分别对各个目标工控资产相关的目标流量数据进行分类,得到各个目标工控资产的分类结果。使用分别结果对目标工控资产进行资产标注。
在本发明的一些实施例中,可以以分类结果作为向量的维度构建与目标工控资产一一对应的目标资产向量。进一步的,可以在目标工控资产的基础标识向量的基础上增加分类结果的维度,形成新的向量作为目标资产向量。例如,在目标工控资产的基础三元向量[IP地址,MAC地址,应用协议]的基础上新增版本型号的分类结果的新维度,构成四元向量[IP地址,MAC地址,应用协议,版本型号]作为目标资产向量。
在本发明的一些实施例中,可以设置多个不同的预设分类器对目标流量数据进行多次不同标准的分类操作,得到多个不同分类结果,从而得到目标工控资产的不同的工控资产信息,例如可以设置版本型号分类器对版本型号进行分类,设置设备型号分类器对设备型号进行分类等,具体可以根据实际需要对分类器的数量和功能进行设置。
在本发明的一些实施例中,预设分类器为K近邻算法分类器。在K近邻算法分类器的训练过程中,(1)输入样本集合D={x1,x2,x3,...,xn},其中x1,x2、xn分别为各个样本的数据报文等流量数据;将样本集合根据需要分为k类,从样本集合中选择选k个样本作为初始聚类中心a,其中,a=a1,a2,a3,...,ak
(2)针对样本集合中每个样本的xi,样本计算它到k个聚类中心的距离并将其分配到距离最小的聚类中心所对应的类中。
(3)针对每个类别aj,重新计算它的聚类中心:
Figure BDA0003946535880000121
其中,ci为第i个类别集合的样本数量;
(4)重复(2)(3),直到k个中心向量未发生变化或者达到设置的最大迭代次数,执行(5)。
(5)输出类划分C={CI,C2,C3,....,Ck},其中C1,C2…Ck分别代表的是k种样本分类。
使用训练完成的K近邻算法分类器对目标数据流量进行分类,即可得到目标工控资产的分类结果,将分类结果作为目标工控资产的资产识别结果。
与现有技术相比,本发明实施例一所提供的工控资产管理方法中,通过工控系统中各个工控资产之间的流量数据检测工控系统中存在的工控资产,并将检测到的工控资产作为检测工控资产,然后获取工控资产数据库,工控资产数据库中保存有若干在前次的工控资产检测过程中已经检出的样本工控资产,将此次检测到的检测工控资产与前次检测到的样本工控资产进行对比,如果此次检测到的检测工控资产中存在与全部样本工控资产均不相同的检测工控资产,此部分检测工控资产即为目标工控资产,对目标工控资产进行资产识别,仅对工控资产数据库中不存在的目标工控资产进行资产识别,可以减少需要进行资产识别的工控资产的数量,从而有效的提升对整个工控系统中的工控资产的识别效率。
本发明实施例二提供了一种工控资产管理方法,具体如图2所示,包括以下步骤:
步骤S201:获取工控系统中各个工控资产之间的流量数据。
步骤S202:根据流量数据获取工控系统中的若干检测工控资产。
步骤S203:获取工控资产数据库,工控资产数据库中保存有若干样本工控资产,样本工控资产为工控系统中已经检出的工控资产。
步骤S204:判断各个检测工控资产是否与任一样本工控资产相同,若是,执行步骤S205,若否,执行步骤S206。
步骤S205:获取与各个相同工控资产相同的目标样本工控资产。
在本发明的一些实施例中,对于步骤S204中识别出的相同工控资产,则获取与相同工控资产相同的样本工控资产作为目标样本工控资产。
步骤S206:对各个目标工控资产分别进行资产识别。
可以理解的是,本发明实施例二中的步骤S201至步骤S206与实施例一中的步骤S101至步骤S106大致相同,具体可以参照前述实施例一中的具体说明,在此不再赘述。
步骤S207:分别记录获取到各个检测工控资产的检测时刻,根据检测时刻更新各个检测工控资产的最后发现时刻。
在本发明的一些实施例中,在每次检测到检测工控资产的同时,记录检测到检测工控资产的检测时刻,然后根据前述步骤S204中的对比结果,以及检测时刻更新各个检测工控资产的最后发现时刻。具体的,对于前述步骤S204中对比结果为目标工控资产的检测工控资产,说明之前并未检测到这一工控资产,则检测到目标工控资产的检测时刻即为该目标工控资产的最后发现时刻;对于前述步骤S204中对比结果为相同工控资产的检测工控资产,说明之前已经检测到这一工控资产,则使用此次检测到相同工控资产的检测时刻对该相同工控资产的最后发现时刻进行更新。
在本发明的一些实施例中,可以直接对各个检测工控资产的最后发现时刻进行显示,或者将各个检测工控资产的最后发现时刻发送给相关的检测人员,检测人员可以根据各个检测工控资产的最后发现时刻自行判断各个检测工控资产的工作状态。而在本发明的一些实施例中,也可以是工控资产管理装置执行步骤S208。
步骤S208:根据各个检测工控资产的最后发现时刻判断各个检测工控资产的工作状态。
在本发明的一些实施例中,可以通过各个检测工控资产的最后发现时刻与当前时刻之间的时间差值判断各个检测工控资产的工作状态。例如,可以预设时间差值的大小与工作状态之间的对应关系,例如,时间差值小于第一时间阈值对应工控资产正常工作,时间差值大于第一时间阈值且小于第二时间阈值对应工控资产可能存在异常,时间差值大于第二时间阈值且小于第三时间阈值对应工控资产存在异常,然后根据计算得到的时间差值与预设时间阈值之间的大小关系获取检测工控资产的工作状态。
与现有技术相比,本发明实施例二所提供的工控资产管理方法中保留了实施例一的全部技术特征,同样具备实施例一的技术效果。此外,在本发明的实施例二中,通过对检测工控资产的检测时刻的记录和对检测工控资产的最后发现时刻的更新,自行判断检测工控资产的工作状态或者发送给相关人员判断检测工控资产的工作状态,实现对工控系统中各个工控资产的工作状态的监控,及时发现工作异常的工控资产。
本发明实施例三提供了一种工控资产管理方法,具体如图3所示,包括以下步骤:
步骤S301:获取工控系统中各个工控资产之间的流量数据。
步骤S302:根据流量数据获取工控系统中的若干检测工控资产。
步骤S303:获取工控资产数据库,工控资产数据库中保存有若干样本工控资产,样本工控资产为工控系统中已经检出的工控资产。
步骤S304:判断各个检测工控资产是否与任一样本工控资产相同,若是,执行步骤S305,若否,执行步骤S306。
步骤S305:获取与各个相同工控资产相同的目标样本工控资产。
在本发明的一些实施例中,对于步骤S304中识别出的相同工控资产,则获取与相同工控资产相同的样本工控资产作为目标样本工控资产。
步骤S306:对各个目标工控资产分别进行资产识别。
可以理解的是,本发明实施例二中的步骤S301至步骤S306与实施例一中的步骤S101至步骤S106大致相同,具体可以参照前述实施例一中的具体说明,在此不再赘述。
步骤S307:对完成资产识别的目标工控资产和目标样本工控资产进行分组。
在本发明的一些实施例中,可以通过各个工控资产的功能、设置位置等相关因素对完成资产识别的目标工控资产和目标样本工控资产进行分组。例如,将协同工作以完成同一工作任务的工控资产分为一组,或者将位于同一区域的工控资产分为一组等。
与现有技术相比,本发明实施例三所提供的工控资产管理方法中保留了实施例一的全部技术特征,同样具备实施例一的技术效果。此外,在本发明的实施例三中,还对完成资产识别的目标工控资产和目标样本工控资产进行分组,对这些工控资源进行分组后,方便整体把控某个区域的工控资产或者完成某个功能的工控资产集群设备的工作状态,更便于对工控系统中的工控资源进行管理。
本发明实施例四提供了一种工控资产管理装置,具体如图4所示,包括:流量获取模块401,流量获取模块401用于获取工控系统中各个工控资产之间的流量数据;工控资产获取模块402,工控资产获取模块402用于根据流量数据获取工控系统中的若干检测工控资产;存储模块403,存储模块403用于存储工控资产数据库,工控资产数据库中保存有若干样本工控资产,样本工控资产为工控系统中已经检出的工控资产;判断模块404,判断模块404用于判断各个检测工控资产是否与任一样本工控资产相同;资产识别模块405,资产识别模块405用于在若干检测工控资产中存在与若干样本工控资产均不相同的若干目标工控资产时,对各个目标工控资产分别进行资产识别。
不难发现,本发明实施例四所提供的工控资产管理装置为与实施例一所提供的工控资产管理方法对应的装置的实施例,因此本实施例四中的技术细节同样可以应用在实施例一中,实施例一中的技术细节同样可以应用在实施例四中,具体可以参照前述实施例一中的具体说明。
与现有技术相比,本发明实施例四所提供的工控资产管理装置中,通过流量获取模块401获取工控系统中各个工控资产之间的流量数据,然后使用工控资产获取模块402检测工控系统中存在的工控资产,并将检测到的工控资产作为检测工控资产,然后判断模块404获取存储模块403中存储的工控资产数据库,工控资产数据库中保存有若干在前次的工控资产检测过程中已经检出的样本工控资产,判断模块404将此次检测到的检测工控资产与样本工控资产进行对比,如果此次检测到的检测工控资产中存在与全部样本工控资产均不相同的检测工控资产,此部分检测工控资产即为目标工控资产,资产识别模块405对目标工控资产进行资产识别,仅对工控资产数据库中不存在的目标工控资产进行资产识别,可以减少需要进行资产识别的工控资产的数量,从而有效的提升对整个工控系统中的工控资产的识别效率。
本发明实施例五提供了一种工控资产管理装置,具体如图5所示,包括:流量获取模块401、工控资产获取模块402、存储模块403、判断模块404、资产识别模块405。此外,在本实施例中还包括时刻记录模块406,时刻记录模块406用于分别记录获取到各个检测工控资产的检测时刻,并根据检测时刻更新各个检测工控资产的最后发现时刻。以及工作状态识别模块407,工作状态识别模块407用于根据各个检测工控资产的最后发现时刻判断各个检测工控资产的工作状态。
不难发现,本发明实施例五所提供的工控资产管理装置为与实施例二所提供的工控资产管理方法对应的装置的实施例,因此本实施例五中的技术细节同样可以应用在实施例二中,实施例二中的技术细节同样可以应用在实施例五中,具体可以参照前述实施例二中的具体说明。
与现有技术相比,本发明实施例五所提供的工控资产管理装置中保留了实施例四的全部技术特征,同样具备实施例四的技术效果。此外,在本发明的实施例五中,通过时刻记录模块406对检测工控资产的检测时刻的记录和对检测工控资产的最后发现时刻的更新,通过工作状态识别模块407自行判断检测工控资产的工作状态或者发送给相关人员判断检测工控资产的工作状态,实现对工控系统中各个工控资产的工作状态的监控,及时发现工作异常的工控资产。
本发明实施例六提供了一种工控资产管理装置,具体如图6所示,包括:流量获取模块401、工控资产获取模块402、存储模块403、判断模块404、资产识别模块405。此外,在本实施例中还包括分组模块408。资产识别模块405还用于在若干检测工控资产中存在与任一若干样本工控资产相同的若干相同工控资产时,获取与各个相同工控资产相同的目标样本工控资产。分组模块408用于对完成资产识别的目标工控资产和目标样本工控资产进行分组。
不难发现,本发明实施例六所提供的工控资产管理装置为与实施例三所提供的工控资产管理方法对应的装置的实施例,因此本实施例六中的技术细节同样可以应用在实施例三中,实施例三中的技术细节同样可以应用在实施例六中,具体可以参照前述实施例三中的具体说明。
与现有技术相比,本发明实施例六所提供的工控资产管理装置中保留了实施例四的全部技术特征,同样具备实施例四的技术效果。此外,在本发明的实施例六中,还设置分组模块408对完成资产识别的目标工控资产和目标样本工控资产进行分组,对这些工控资源进行分组后,方便整体把控某个区域的工控资产或者完成某个功能的工控资产集群设备的工作状态,更便于对工控系统中的工控资源进行管理。
本发明实施例七涉及一种电子设备,如图7所示,包括:至少一个处理器701;以及,与至少一个处理器701通信连接的存储器702;其中,存储器702存储有可被至少一个处理器701执行的指令,指令被至少一个处理器701执行,以使至少一个处理器701能够执行上述各实施例中的方法。
其中,存储器和处理器采用总线方式连接,总线可以包括任意数量的互联的总线和桥,总线将一个或多个处理器和存储器的各种电路连接在一起。总线还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路连接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口在总线和收发机之间提供接口。收发机可以是一个元件,也可以是多个元件,比如多个接收器和发送器,提供用于在传输介质上与各种其他装置通信的单元。经处理器处理的数据通过天线在无线介质上进行传输,进一步,天线还接收数据并将数据传送给处理器。
处理器负责管理总线和通常的处理,还可以提供各种功能,包括定时,外围接口,电压调节、电源管理以及其他控制功能。而存储器可以被用于存储处理器在执行操作时所使用的数据。
本发明实施例八涉及一种计算机可读存储介质,存储有计算机程序。计算机程序被处理器执行时实现上述方法实施例。
即,本领域技术人员可以理解,实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序存储在一个存储介质中,包括若干指令用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (19)

1.一种工控资产管理方法,其特征在于,包括:
获取工控系统中各个工控资产之间的流量数据;
根据所述流量数据获取所述工控系统中的若干检测工控资产;
获取工控资产数据库,所述工控资产数据库中保存有若干样本工控资产,所述样本工控资产为所述工控系统中已经检出的工控资产;
判断各个所述检测工控资产是否与任一所述样本工控资产相同;
响应于所述若干检测工控资产中存在与所述若干样本工控资产均不相同的若干目标工控资产,对各个所述目标工控资产分别进行资产识别。
2.根据权利要求1所述的方法,其特征在于,所述根据所述流量数据获取所述工控系统中的若干检测工控资产,包括:
获取所述流量数据中所包含的若干IP地址、若干MAC地址、以及若干应用协议;
根据所述若干IP地址、若干MAC地址、以及若干应用协议之间的对应关系构建若干基础三元向量;
根据所述若干基础三元向量确定所述若干检测工控资产。
3.根据权利要求2所述的方法,其特征在于,所述判断各个所述检测工控资产是否与任一所述样本工控资产相同,包括:
获取各个所述样本工控资产所包含的基础三元向量;
将各个所述检测工控资产的基础三元向量与各个所述样本工控资产的基础三元向量进行向量对比,根据向量对比结果判断各个所述检测工控资产是否与任一所述样本工控资产相同。
4.根据权利要求3所述的方法,其特征在于,所述将各个所述检测工控资产的基础三元向量与各个所述样本工控资产的基础三元向量进行向量对比,包括:
计算各个所述检测工控资产的基础三元向量与各个所述样本工控资产的基础三元向量之间的向量相似度,将所述向量相似度计算结果做为所述向量对比结果。
5.根据权利要求1所述的方法,其特征在于,所述根据所述流量数据获取所述工控系统中的若干检测工控资产后,所述方法还包括:
分别记录获取到各个所述检测工控资产的检测时刻;
根据所述检测时刻更新各个所述检测工控资产的最后发现时刻。
6.根据权利要求5所述的方法,其特征在于,所述根据所述检测时刻更新各个所述检测工控资产的最后发现时刻后,所述方法还包括:
根据各个所述检测工控资产的最后发现时刻判断各个所述检测工控资产的工作状态。
7.根据权利要求1所述的方法,其特征在于,所述对各个所述目标工控资产分别进行资产识别,包括:
根据预设分类器对所述流量数据进行分类,获取各个所述目标工控资产的分类结果;
使用所述分类结果对所述目标工控资产进行资产标注。
8.根据权利要求7所述的方法,其特征在于,所述根据所述预设分类器对所述流量数据进行分类,包括:
获取所述流量数据中与各个所述目标工控资产相关的目标流量数据;
使用所述预设分类器分别对与各个所述目标工控资产相关的目标流量数据进行分类。
9.根据权利要求7所述的方法,其特征在于,所述预设分类器数量为多个;
所述根据所述预设分类器对所述流量数据进行分类,获取各个所述目标工控资产的分类结果,包括:
分别使用各个所述预设分类器对所述流量数据进行分类,获取各个所述目标工控资产的若干分类结果。
10.根据权利要求7所述的方法,其特征在于,所述使用所述分类结果对所述目标工控资产进行资产标注,包括:
以所述分类结果作为向量的维度构建与所述目标工控资产一一对应的目标资产向量。
11.根据权利要求7至10中任一项所述的方法,其特征在于,所述分类器为K近邻算法分类器。
12.根据权利要求1所述的方法,其特征在于,所述对各个所述目标工控资产分别进行资产识别后,所述方法还包括:
将所述目标工控资产存入所述工控资产数据库。
13.根据权利要求1所述的方法,其特征在于,所述判断各个所述检测工控资产是否与任一所述样本工控资产相同后,所述方法还包括:
响应于所述若干检测工控资产中存在与任一所述若干样本工控资产相同的若干相同工控资产;
获取与各个所述相同工控资产相同的目标样本工控资产;
对完成资产识别的所述目标工控资产和所述目标样本工控资产进行分组。
14.一种工控资产管理装置,其特征在于,包括:
流量获取模块,所述流量获取模块用于获取工控系统中各个工控资产之间的流量数据;
工控资产获取模块,所述工控资产获取模块用于根据所述流量数据获取所述工控系统中的若干检测工控资产;
存储模块,所述存储模块用于存储工控资产数据库,所述工控资产数据库中保存有若干样本工控资产,所述样本工控资产为所述工控系统中已经检出的工控资产;
判断模块,所述判断模块用于判断各个所述检测工控资产是否与任一所述样本工控资产相同;
资产识别模块,所述资产识别模块用于在所述若干检测工控资产中存在与所述若干样本工控资产均不相同的若干目标工控资产时,对各个所述目标工控资产分别进行资产识别。
15.根据权利要求14所述的装置,其特征在于,所述装置还包括:
时刻记录模块,所述时刻记录模块用于分别记录获取到各个所述检测工控资产的检测时刻,并根据所述检测时刻更新各个所述检测工控资产的最后发现时刻。
16.根据权利要求15所述的装置,其特征在于,所述装置还包括:
工作状态识别模块,所述工作状态识别模块用于根据各个所述检测工控资产的最后发现时刻判断各个所述检测工控资产的工作状态。
17.根据权利要求14所述的装置,其特征在于,
所述资产识别模块还用于在所述若干检测工控资产中存在与任一所述若干样本工控资产相同的若干相同工控资产时,获取与各个所述相同工控资产相同的目标样本工控资产;
所述装置还包括:
分组模块,所述分组模块用于对完成资产识别的所述目标工控资产和所述目标样本工控资产进行分组。
18.一种电子设备,其特征在于,包括:
至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;
其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1至13中任意一项所述的方法。
19.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行实现权利要求1至13中任意一项所述的方法。
CN202211435517.4A 2022-11-16 2022-11-16 工控资产管理方法、装置、电子设备和存储介质 Pending CN115776465A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211435517.4A CN115776465A (zh) 2022-11-16 2022-11-16 工控资产管理方法、装置、电子设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211435517.4A CN115776465A (zh) 2022-11-16 2022-11-16 工控资产管理方法、装置、电子设备和存储介质

Publications (1)

Publication Number Publication Date
CN115776465A true CN115776465A (zh) 2023-03-10

Family

ID=85389177

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211435517.4A Pending CN115776465A (zh) 2022-11-16 2022-11-16 工控资产管理方法、装置、电子设备和存储介质

Country Status (1)

Country Link
CN (1) CN115776465A (zh)

Similar Documents

Publication Publication Date Title
CN113688042B (zh) 测试场景的确定方法、装置、电子设备及可读存储介质
CN106982230B (zh) 一种流量检测方法及系统
CN108809745A (zh) 一种用户异常行为检测方法、装置及系统
CN111475680A (zh) 检测异常高密子图的方法、装置、设备及存储介质
CN109918279B (zh) 电子装置、基于日志数据识别用户异常操作的方法及存储介质
CN111177714A (zh) 异常行为检测方法、装置、计算机设备和存储介质
CN111090807B (zh) 一种基于知识图谱的用户识别方法及装置
CN109919781A (zh) 团伙欺诈案件识别方法、电子装置及计算机可读存储介质
CN111507363A (zh) 预测光模块故障的方法、装置和设备
CN112435137B (zh) 一种基于社团挖掘的欺诈信息检测方法及系统
US7716152B2 (en) Use of sequential nearest neighbor clustering for instance selection in machine condition monitoring
CN114742477B (zh) 企业订单数据处理方法、装置、设备及存储介质
CN112837069A (zh) 基于区块链与大数据的安全支付方法及云平台系统
CN111931047B (zh) 基于人工智能的黑产账号检测方法及相关装置
CN110717551A (zh) 流量识别模型的训练方法、装置及电子设备
CN115617784A (zh) 一种信息化配电的数据处理系统及其处理方法
CN113949652B (zh) 基于人工智能的用户异常行为检测方法、装置及相关设备
CN114817933A (zh) 评估业务预测模型鲁棒性的方法、装置及计算设备
CN117376228B (zh) 一种网络安全测试工具确定方法及装置
CN112532645A (zh) 一种物联网设备运行数据监测方法、系统及电子设备
CN112487265A (zh) 数据处理方法、装置、计算机存储介质及电子设备
CN115776465A (zh) 工控资产管理方法、装置、电子设备和存储介质
CN113839956A (zh) 数据安全评估方法、装置、设备及存储介质
CN113656354A (zh) 日志分类方法、系统、计算机设备和可读存储介质
CN112612679A (zh) 系统运行状态监控方法、装置、计算机设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination