CN117914605A - 用于工业物联网的微分段防护方法及相关产品 - Google Patents
用于工业物联网的微分段防护方法及相关产品 Download PDFInfo
- Publication number
- CN117914605A CN117914605A CN202410099327.2A CN202410099327A CN117914605A CN 117914605 A CN117914605 A CN 117914605A CN 202410099327 A CN202410099327 A CN 202410099327A CN 117914605 A CN117914605 A CN 117914605A
- Authority
- CN
- China
- Prior art keywords
- internet
- micro
- things
- segment
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 36
- 238000003066 decision tree Methods 0.000 claims description 21
- 230000006870 function Effects 0.000 claims description 16
- 230000006399 behavior Effects 0.000 claims description 11
- 238000004458 analytical method Methods 0.000 claims description 6
- 238000003860 storage Methods 0.000 claims description 5
- 238000010586 diagram Methods 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 10
- 238000012549 training Methods 0.000 description 10
- 238000012545 processing Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 7
- 230000001276 controlling effect Effects 0.000 description 6
- 230000000875 corresponding effect Effects 0.000 description 6
- 238000010801 machine learning Methods 0.000 description 5
- 238000000513 principal component analysis Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 238000007781 pre-processing Methods 0.000 description 3
- 230000009467 reduction Effects 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 230000002596 correlated effect Effects 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 1
- 238000010219 correlation analysis Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种用于工业物联网的微分段防护方法以及相关产品。其中,该微分段防护方法包括:获取工业物联网的网络模型中物联网设备的网络流量数据;基于获取到的网络流量数据,对所述物联网设备进行分组处理,其中每组中的物联网设备作为一个微段工作;以及确定每微段中的物联网设备的安全策略,以依据所述安全策略管控每微段中的物联网设备的网络链路。通过本发明的技术方案,能够降低攻击者或恶意软件在整个工业物联网网络上的横向移动能力,大幅提升网络的安全性。
Description
技术领域
本发明涉及网络安全技术领域,具体而言,涉及一种用于工业物联网的微分段防护方法,和执行前述微分段防护方法的电子设备和计算机可读存储介质。
背景技术
工业制造环境中工业物联网的集成融合了IT(信息技术)和OT(操作技术)网络,IT和OT的融合提高了安全性、生产力、效率和预测性维护,但同时也带来了严重的安全风险。由于与工业物联网网络的连接,OT网络变得可访问整个互联网,像PLC或其他控制设备这样的OT设备在设计时并未考虑安全漏洞,因此攻击者可以通过横向移动绕过IoT网络来访问OT网络。横向移动或东西向流量使得攻击者能够破坏整个网络,包括内部服务器和其他设备,控制设备的入侵可能会导致工业领域遭受巨大破坏。
相关技术中,采用边缘设备代替云网络,减少了对物联网设备的集中控制。攻击者可以入侵或窃取网络边缘的物联网设备并注入恶意软件。如果没有特殊的安全措施,网络中的任何设备都可以访问任何其他设备,例如网状拓扑,这使得恶意软件能够到达网络中的任何地方,进而破坏内部服务器。因此,保护物联网网络以防止横向移动变得必不可少。
在所述背景技术部分公开的上述信息仅用于加强对本公开的背景的理解,因此它可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本发明旨在解决现有的物联网网络存在横向移动威胁的问题。
为了解决上述技术问题,本发明的第一方面提出了一种用于工业物联网的微分段防护方法,包括:获取工业物联网的网络模型中物联网设备的网络流量数据;基于获取到的网络流量数据,对所述物联网设备进行分组处理,其中每组中的物联网设备作为一个微段工作;以及确定每微段中的物联网设备的安全策略,以依据所述安全策略管控每微段中的物联网设备的网络链路。
在一些实施例中,基于获取到的网络流量数据对所述物联网设备进行分组处理包括:基于OPTICS聚类算法对所述网络流量数据进行分析,以实现对所述网络模型中物联网设备的分组。
在一些实施例中,基于OPTICS聚类算法对所述网络流量数据进行分析包括:根据获取到的网络流量数据,确定所述网络模型中物联网设备的功能和行为;以及将具有相似功能和行为的物联网设备划分为一个微段。
在一些实施例中,确定每微段中的物联网设备的安全策略包括:采用预训练好的微分割模型确定每微段中的物联网设备的安全策略,并依据所述安全策略管控每微段中的物联网设备的网络链路。
在一些实施例中,采用预训练好的微分割模型执行以下操作:依据所述网络流量数据,对每微段中的物联网设备进行分类;根据每微段中的物联网设备的分类类型,为每微段中的物联网设备匹配对应的安全策略;以及依据所述安全策略管控每微段中的物联网设备的网络链路。
在一些实施例中,其中所述微分割模型包括带有决策树分类器的MS时序分析模型,对每微段中的物联网设备进行分类包括:采用决策树分类器对每微段中的物联网设备进行分类处理,以将每微段中的物联网设备分类为正常流量设备或恶意流量设备。
在一些实施例中,依据所述安全策略管控每微段中的物联网设备的网络链路包括:查找每微段内中的每个物联网设备所连接的多个物联网节点;以及限制所述多个物联网节点中的每个物联网节点除一条网络链路外的其他冗余网络链路的访问。
在一些实施例中,依据所述安全策略管控每微段中的物联网设备的网络链路还包括:当检测到任一物联网节点处的当前链路失效,启用所述任一物联网节点处受限的其他冗余网络链路中的任一冗余网络链路。
本发明的第二方面,提出了一种电子设备,包括:处理器;以及存储器,其存储有用于工业物联网的微分段防护的计算机指令,当所述计算机指令由所述处理器运行时,使得所述电子设备执行根据本发明第一方面所述的方法。
本发明的第三方面,提出了一种计算机可读存储介质,其特征在于,包括有用于工业物联网的微分段防护的程序指令,当所述程序指令由处理器执行时,使得实现根据本发明的第一方面所述的方法。
通过上述技术方案,能够通过对工业物联网网络中的物联网设备进行精准以及有效的微分段处理,并依据对应的安全策略来管控物联网设备的网络链路,从而能够降低攻击者或恶意软件在整个工业物联网网络上的横向移动能力,大幅提升网络的安全性。
附图说明
为了使本发明所解决的技术问题、采用的技术手段及取得的技术效果更加清楚,下面将参照附图详细描述本发明的具体实施例。但需声明的是,下面描述的附图仅仅是本发明本发明示例性实施例的附图,对于本领域的技术人员来讲,在不付出创造性劳动的前提下,可以根据这些附图获得其他实施例的附图。
图1示出了根据本发明的实施例的工业物联网的网络模型的架构示意图;
图2示出了根据本发明的一个实施例的用于工业物联网的微分段防护方法的示意图;
图3示出了根据本发明的实施例的基于机器学习的微分割模型的结构示意图;
图4示出了根据本发明的实施例的通过mesh网络连接的物联网设备安全组的示意图;
图5示出了根据本发明的实施例的电子设备的结构示意图。
具体实施方式
现在将参考附图更全面地描述本发明的示例性实施例。然而,示例性实施例能够以多种形式实施,且不应被理解为本发明仅限于在此阐述的实施例。相反,提供这些示例性实施例能够使得本发明更加全面和完整,更加便于将发明构思全面地传达给本领域的技术人员。
发明人发现,目前物联网网络存在横向移动威胁的问题。具体地,信息技术(简称IT)是应用计算机、网络设备、通信技术来采集、处理、存储和通信数字数据。相反,OT涉及工业基础设施,可以利用数据采集与监视控制系统(Supervisory Control And DataAcquisition,简称SCADA)或控制系统网络直接监测和控制工业设备。与IT不同,OT网络包括可编程逻辑控制器(简称PLC)等设备,但存在电源问题、处理能力较慢、内存不足以及升级周期长得多的问题。对此,工业制造环境下的工业物联网(简称IIoT)融合了IT和OT网络,IT和OT的融合提供了各种好处,包括提高了安全性、提高了生产力、效率和预测性维护。
在带来这些好处的同时,IT网络和OT网络的融合也面临着严重的安全风险。通过与工业物联网网络的连接,OT网络可以在整个互联网中访问。此外,PLC等OT设备或其他控制设备在设计时并未考虑安全漏洞,使得攻击者可以通过横向移动绕过物联网(IoT)网络获得OT网络的访问权限。进一步地,横向移动或东西向流量可以使攻击者危及整个网络,包括内部服务器和其他设备。这种对控制设备的危害可能会在工业领域造成巨大的破坏。
同时,物联网也容易受到各种安全威胁,这些安全威胁为横向移动制造了漏洞。攻击者可以攻击或窃取网络边缘的物联网设备并注入恶意软件。在没有特殊安全措施的情况下,网络中的任何设备都可以像在MESH(网状)拓扑中那样访问任何其他设备,这使得恶意软件可以到达网络中的任何地方。这种恶意软件使攻击者能够入侵内部服务器。因此,确保物联网网络的安全以防止横向移动变得必不可少。
网络微分段是通过将大型网络分成几个较小的网段来防止横向移动并减少攻击面,然后实施特定的安全规则,将微网段中每个设备的访问控制限制在网段边界内。因此,微分段内的设备无法与超出其限制范围的其他设备进行通信,限制访问可以限制恶意软件或段内的攻击者,并减少受感染设备段外的进一步移动。
基于此,发明人发现可以结合网络微分段技术对工业物联网的网络模型中物联网设备进行精准以及有效的微分段处理,并结合安全策略管控每微段中的物联网设备的网络链路,以降低攻击者或恶意软件在整个工业物联网网络上的横向移动能力。
以下结合附图对本发明的方案进行描述。
图1示出了根据本发明的实施例的工业物联网的网络模型100的架构示意图。
在传统的SCADA系统中,所有数据的收集和分析都是在集中式的服务器上进行的。本发明方案中的网络模型100可以通过对SCADA系统进行改进得到。
如图1所示,网络模型100可以包括控制中心、中央服务器、边缘设备、远程终端单元(Remote Terminal Unit,简称RTU)以及各种传感器(例如,压力传感器PS、温度传感器TS等)。
其中,工业物联网(即IIoT网络)通过在网络边缘引入边缘设备改进了SCADA网络。在本实施例中,网络模型100中的边缘设备可以与RTU连接。然后,这些边缘设备接收来各种类型的自传感器(例如PS、TS等传感器)的数据,这些传感器与工业设备连接。边缘设备接收到数据后,进行处理并提供实时策略,以维护工业机械。管理员可以从控制中心控制整个网络,并通过RTU发送命令。此外,数据存储在中央服务器中,以供将来分析和优化。
图2示出了根据本发明的一个实施例的用于工业物联网的微分段防护方法200的示意图。需要说明的是,方法200可以理解为是针对图1中工业物联网的网络模型100所实施的微分段防护技术。因此,前文集合图1的相关描述同样适用于下文。
如图2所示,在步骤S201处,可以获取工业物联网的网络模型中物联网设备的网络流量数据。其中,工业物联网的网络模型的具体架构可以参考图1中的网络模型100,这里不再赘述。在一些实施例中,可以获取网络模型中的各个物联网设备的网络流量数据,例如能够表示流量数据的各种特征信息,如IP地址、流ID等特征信息。
在步骤S202处,可以基于获取到的网络流量数据,对前述的物联网设备进行分组处理。其中每组中的物联网设备作为一个微段工作。
物联网网络庞大且动态,传统的网络微分技术无法很好地适用于物联网网络。例如,无法支持物联网设备的有效微分以及很难定期维护和更新大量有安全规则的微分段等。区分与传统技术,本实施例具体可以依据网络流量数据对物联网设备进行精准有效的微分段处理,以克服上述问题。
具体地,在一些实施例中,可以基于OPTICS聚类算法对网络流量数据进行分析,以实现对网络模型中物联网设备的分组。具体地,可以根据获取到的网络流量数据,确定网络模型中物联网设备的功能和行为。然后,可以将具有相似功能和行为的物联网设备划分为一个微段。
其中,OPTICS聚类算法(Ordering Points To Identify the ClusteringStructure)是一种基于密度的聚类算法,用于发现高维数据中的聚类结构。该OPTICS聚类算法是DBSCAN算法的升级版本,更适合于大规模数据集,并且不需要epsilon参数等领域知识。因此,采用OPTICS聚类算法能够更好支持对物联网设备的精准分组。
在步骤S203处,确定每微段中的物联网设备的安全策略,以依据安全策略管控每微段中的物联网设备的网络链路。
在本实施例中,具体可以采用预训练好的微分割模型确定每微段中的物联网设备的安全策略,并依据安全策略管控每微段中的物联网设备的网络链路。其中,采用预训练好的微分割模型执行以下操作:依据网络流量数据,对每微段中的物联网设备进行分类。接着,根据每微段中的物联网设备的分类类型,为每微段中的物联网设备匹配对应的安全策略。然后,依据安全策略管控每微段中的物联网设备的网络链路。
进一步地,在依据安全策略管控每微段中的物联网设备的网络链路过程中,具体可以查找每微段内中的每个物联网设备所连接的多个物联网节点。然后,限制多个物联网节点中的每个物联网节点除一条网络链路外的其他冗余网络链路的访问。当检测到任一物联网节点处的当前链路失效,可启用任一物联网节点处受限的其他冗余网络链路中的任一冗余网络链路。由此,能够降低攻击者或恶意软件在整个工业物联网网络上的横向移动能力,大幅提升网络的安全性。
在实际应用中,前述的微分割模型可以通过机器学习方式训练得到。
图3示出了根据本发明的实施例的基于机器学习的微分割模型的结构示意图。
如图3所示,该微分割模型可以集成聚类、微分段处理、分类以及安全策略分配等功能。也即,前述的步骤S202和步骤S203均可以通过微分割模型来具体实现。
在一些实施例中,该微分割模型可以支持OPTICS聚类算法。具体地,可以利用OPTICS聚类算法结合网络流量数据,确定物联网设备的功能和行为,将具有相似的功能和行为的物联网设备划分为一个组,每组物联网设备将作为一个微段工作。然后,可以结合微分割模型将每微段中的物联网设备分类为正常流量设备或恶意流量设备,并匹配相应的安全策略进行管控。
在一些实施例中,该微分割模型包括带有决策树分类器的MS时序分析模型。此时,可以采用决策树分类器对每微段中的物联网设备进行分类处理,以将每微段中的物联网设备分类为正常流量设备或恶意流量设备。
其中,决策树(DT)算法是一种监督分类技术。决策树(DT)包括内部节点,其代表网络流量数据的特征(例如,IP地址、流ID等);分支表示决策规则,叶节点表示分类结果(恶意流量或正常流量)。
在一些实施例中,决策树算法可以利用信息增益或基尼指数等多种特征选择指标来选择最佳特征作为根节点或内部节点。其中,信息增益(IG)可以以下公式定义:
该公式可以表示一个特征提供了关于类的多少信息。其中,n=属性A的个数,Si=分区Si中的案例数,|Si|=案例总数,E(S)为熵,其定义如下:Pi表示表示数据集S中第i个类别出现的概率。
在实际应用中,具体可以利用数据集对前述的微分割模型进行预训练。在一些实施例中,作为微分割模型训练样本的数据集可以包括UNSW-NB15和IoTID20这两个数据集,这些数据集均包含了网络流量的众多特征,涵盖了正常数据和各种异常数据,为本发明的微分割模型提供了丰富的实证基础。需要说明的是,这里以UNSW-NB15和IoTID20这两个数据集为例对微分割模型的具体训练过程进行举例说明,本发明的方案并不局限于此。例如,可以采用其他数据集来提取训练数据,并基于提取到的训练数据实现微分割模型的训练。
其中,UNSW-NB15数据集囊括了多个与网络流量相关的特征,这些特征详尽地描述了网络流量的各种属性。值得一提的是,该数据集的最后一个特征为类别标签,其中“0”代表正常流量,而“1”则表示存在恶意行为的流量,这一设计为微分割模型的分类效果提供了明确的评价标准。
IoTID20数据集则更为庞大,包含了多个与网络相关的特征。此外,该数据集还提供了3个类标签,根据网络攻击的不同类型对正常和异常流量进行了更为细致的划分。这一特点使得IoTID20数据集不仅能够验证模型对于正常和恶意流量的区分能力,还能够进一步检验模型对于不同种类网络攻击的识别精度。
因此,本发明的方案优选采用所采用的UNSW-NB15和IoTID20数据集作为微分割模型的训练样本,这些数据集既包含了丰富的网络流量特征,又提供了精细的分类标签,为本发明的模型验证提供了有力支撑。
在获取到上述数据集之后,可以对数据集进行了数据预处理。其中数据预处理可以包括对数据进行编码处理以及对数据进行归一化处理。例如,首先可以使用LabelEncoder()函数对类别型特征进行编码,以确保模型能够正确理解和处理这些特征。接下来,可以使用StandardScaler()函数对数据进行了归一化,以消除不同特征之间的量纲和量纲对模型的影响。
另外,前述的两个数据集都具有高维度,因此需要进行相关性分析,以了解特征之间的相互关联程度。例如,在UNSW-NB15数据集中,发现有8对特征存在高度相关性。这些高度相关的特征对中,例如swin和Stime特征与另一特征的关联度达到了100%。考虑到过高的相关性可能会对模型的判断产生负面影响,可以从UNSW-NB15数据集中移除swin和Stime这两个特征。
而在IoTID20数据集中,同样发现了许多高度相关的特征对。经过分析,删除了21个与另一特征达到100%相关性的特征。为了进一步降低数据集的维度并保留重要信息,采用了主成分分析(简称PCA)技术。PCA是一种有效的降维方法,可以在保证数据信息完整性的前提下,降低数据的维度。分析结果显示,可以使用UNSW-NB15、IoTID20数据集的部分主成分就足以代表整体信息。
需要说明的是,对于后续使用的DT分类器,并未进行PCA降维处理。这是因为DT分类器是一种监督学习算法,需要输入具有完整标签的数据,而PCA降维处理可能会改变数据的原有标签分布,从而影响DT分类器的性能。
在完成对数据集的预处理之后,可以利用Python的scikit-learn库来实现OPTICS聚类算法和DT分类器。首先,可以从每个数据集中随机选择了一定数量(例如1000个)样本进行OPTICS聚类操作。在设置参数时,可以对例如min samples参数、max eps参数、metric参数、cluster method参数等参数进行设置。这些参数的设置确保了OPTICS聚类算法能够有效地发现和分组相似的物联网设备,形成具有相似功能和行为的设备群组。其中,需要指出的是,选择切比雪夫(‘chebyshev’)距离度量作为OPTICS聚类的度量标准,是因为它在处理大规模物联网数据时表现出了良好的效果。需要说明的是,这里对各种参数的设置的细节性描述仅是示例性说明,本发明的方案并不局限于此。
为了训练和测试DT分类器,可以将数据集划分为一定的比例(例如70:30等)进行训练和测试。这种数据集划分方式确保了模型的训练和测试过程都是在大规模数据集上进行的,从而提高了模型的可靠性和泛化能力。
在完成OPTICS聚类算法和DT分类器的训练之后,可以利用数据集对算法结果进行验证。
进一步地,在一些实施例中,预训练好的微分割模型还具备阻止在安全边界之外产生的流量进入该边界所赋予的微网络的功能。其中,基于OPTICS聚类算法和DT分类器的自动化微分割模型具体能够通过控制链接数量和实施安全策略,有效减少恶意软件在网络中的传播,为保障工业物联网的安全稳定运行提供了有力支持。
在处理大规模物联网数据时,如果没有明确的限制条件,物联网设备可以与多个其他设备建立通信链接,形成Mesh拓扑结构。这种多个链接的情况为恶意软件在网络中更快地传播提供了便利条件,增加了攻击者或恶意软件在网络内横向移动的路径,从而对设备安全构成威胁。
然而,阻断物联网设备的冗余链路是不可取的,因为当当前链路发生故障时,物联网设备需要通过其他可用链路进行通信以确保连续通信和功能正常运行。因此,本发明的方案考虑采用控制链接数量的方式,来减少恶意软件通过横向移动传播的机会。
以下结合图4来详细说明链接数量的具体控制过程。
图4示出了根据本发明的实施例的通过mesh网络连接的物联网设备安全组的示意图。在图4中,D5是网关节点,D1、D2、D3和D4分别是传感器节点,且设备之间以网状结构连接,其该mesh网络的链路数为10。
如果没有任何具体的安全措施,恶意软件可能会通过图4所示的所有链接传播。而在本实施例中,通过微分割模型实施安全策略来限制其他设备与网关节点D5通信。例如,最初设备D1可以通过设备D4、D3和D2与D5通信。但是使用微分割模型,可以限制D1通过D4、D3和D2访问D5,除了编号为2的直接链路。因此,通过微分割模型可以限制设备D1对编号为1、3、4的链路的访问。同样,在限制所有冗余链路用于其他设备后,该安全组允许的链路总数将从10条减少到4条。
其中,为各微段物联网设备分配的安全策略可以根据需求进行设置。例如,就可以设置IP地址为A1的物联网设备只允许与IP地址为A2的设备通信,而其他IP地址为A3和A4的设备无法与A1通信。因此,单个设备只能访问对应链路,恶意流量将被自动阻断。
可以看出,本发明的方案首先利用网络流量信息,通过OPTICS聚类算法发现和分组相似的物联网设备,并通过将产生相似交通信息的物联网设备组合在一起,形成具有相似功能和行为的设备群组。然后,训练一个DT分类器,利用得到的DT分类器区分正常流量和恶意流量,从而能够准确识别并分类网络流量,为后续的安全策略提供有力支持。
另外,本发明的方案还具有限制对每个物联网设备冗余链路访问的功能,从而有效减少恶意软件的传播。通过实施安全策略,能够降低攻击者或恶意软件在整个工业物联网网络上的横向移动能力,从而大幅提升网络的安全性。
此外,本发明还对微分割模型在工业物联网网络中的有效性进行了分析,结果表明微分割模型能够显著降低设备感染率,证明其在实际应用中的有效性。
综上所述,本发明提出的基于OPTICS聚类算法和DT分类器的微分割模型,能够通过机器学习技术实现物联网网络的自动化微分割,有效防止了工业物联网中的横向移动攻击。同时,实施过程中的参数设置和数据集划分方式都可以结合实际应用场景进行设置和调整,充分考虑了实际应用场景的需求和限制,进一步增强了本发明的方案的实用性和可扩展性,也将为物联网中使用机器学习防止横向移动的进一步研究提供有力支持。
图5示例性示出了根据本披露实施例的电子设备500的示意框图。如图5所示,电子设备500可以包括处理器501和存储器502。其中存储器502存储有用于工业物联网的微分段防护的计算机指令,当所述计算机指令由处理器501运行时,使得便电子设备500执行根据前文结合图2所描述的方法。由此,电子设备500能够通过对工业物联网网络中的物联网设备进行精准以及有效的微分段处理,并依据对应的安全策略来管控物联网设备的网络链路,从而能够降低攻击者或恶意软件在整个工业物联网网络上的横向移动能力,大幅提升网络的安全性。
另外,本披露还提供一种计算机可读存储介质,该存储介质中存储有程序指令,该程序指令被设置为运行时执行图2所示的用于工业物联网的微分段防护方法。
具体的,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(ReadOnly Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。
应当注意,尽管在上文详细描述中提及了设备的若干装置或子装置,但是这种划分仅仅是示例性的并非强制性的。实际上,根据本披露的实施方式,上文描述的两个或更多装置的特征和功能可以在一个装置中具体化。反之,上文描述的一个装置的特征和功能可以进一步划分为由多个装置来具体化。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,应理解的是,本发明不与任何特定计算机、虚拟装置或者电子设备固有相关,各种通用装置也可以实现本发明。以上所述仅为本发明的具体实施例而已,并不用于限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种用于工业物联网的微分段防护方法,其特征在于,包括:
获取工业物联网的网络模型中物联网设备的网络流量数据;
基于获取到的网络流量数据,对所述物联网设备进行分组处理,其中每组中的物联网设备作为一个微段工作;以及
确定每微段中的物联网设备的安全策略,以依据所述安全策略管控每微段中的物联网设备的网络链路。
2.根据权利要求1所述的方法,其特征在于,基于获取到的网络流量数据对所述物联网设备进行分组处理包括:
基于OPTICS聚类算法对所述网络流量数据进行分析,以实现对所述网络模型中物联网设备的分组。
3.根据权利要求2所述的方法,其特征在于,基于OPTICS聚类算法对所述网络流量数据进行分析包括:
根据获取到的网络流量数据,确定所述网络模型中物联网设备的功能和行为;以及
将具有相似功能和行为的物联网设备划分为一个微段。
4.根据权利要求1所述的方法,其特征在于,确定每微段中的物联网设备的安全策略包括:
采用预训练好的微分割模型确定每微段中的物联网设备的安全策略,并依据所述安全策略管控每微段中的物联网设备的网络链路。
5.根据权利要求4所述的方法,其特征在于,采用预训练好的微分割模型执行以下操作:
依据所述网络流量数据,对每微段中的物联网设备进行分类;
根据每微段中的物联网设备的分类类型,为每微段中的物联网设备匹配对应的安全策略;以及
依据所述安全策略管控每微段中的物联网设备的网络链路。
6.根据权利要求5所述的方法,其特征在于,其中所述微分割模型包括带有决策树分类器的MS时序分析模型,对每微段中的物联网设备进行分类包括:
采用决策树分类器对每微段中的物联网设备进行分类处理,以将每微段中的物联网设备分类为正常流量设备或恶意流量设备。
7.根据权利要求5所述的方法,其特征在于,依据所述安全策略管控每微段中的物联网设备的网络链路包括:
查找每微段内中的每个物联网设备所连接的多个物联网节点;以及
限制所述多个物联网节点中的每个物联网节点除一条网络链路外的其他冗余网络链路的访问。
8.根据权利要求7所述的方法,其特征在于,依据所述安全策略管控每微段中的物联网设备的网络链路还包括:
当检测到任一物联网节点处的当前链路失效,启用所述任一物联网节点处受限的其他冗余网络链路中的任一冗余网络链路。
9.一种电子设备,其特征在于,包括:
处理器;以及
存储器,其存储有用于工业物联网的微分段防护的计算机指令,当所述计算机指令由所述处理器运行时,使得所述电子设备执行根据权利要求1-8的任意一项所述的方法。
10.一种计算机可读存储介质,其特征在于,包括有用于工业物联网的微分段防护的程序指令,当所述程序指令由处理器执行时,使得实现根据权利要求1-8中任意一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410099327.2A CN117914605A (zh) | 2024-01-24 | 2024-01-24 | 用于工业物联网的微分段防护方法及相关产品 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410099327.2A CN117914605A (zh) | 2024-01-24 | 2024-01-24 | 用于工业物联网的微分段防护方法及相关产品 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117914605A true CN117914605A (zh) | 2024-04-19 |
Family
ID=90689427
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202410099327.2A Pending CN117914605A (zh) | 2024-01-24 | 2024-01-24 | 用于工业物联网的微分段防护方法及相关产品 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117914605A (zh) |
-
2024
- 2024-01-24 CN CN202410099327.2A patent/CN117914605A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110149350B (zh) | 一种告警日志关联的网络攻击事件分析方法及装置 | |
Garg et al. | Statistical vertical reduction‐based data abridging technique for big network traffic dataset | |
Kiss et al. | Data clustering-based anomaly detection in industrial control systems | |
Ahmed et al. | Novel approach for network traffic pattern analysis using clustering-based collective anomaly detection | |
Shang et al. | Intrusion detection algorithm based on OCSVM in industrial control system | |
Niu et al. | Identifying APT malware domain based on mobile DNS logging | |
US12003383B2 (en) | Fingerprinting assisted by similarity-based semantic clustering | |
De Assis et al. | Fast defense system against attacks in software defined networks | |
Amoli et al. | Unsupervised network intrusion detection systems for zero-day fast-spreading attacks and botnets | |
CN110896386B (zh) | 识别安全威胁的方法、装置、存储介质、处理器和终端 | |
Iturbe et al. | Towards Large‐Scale, Heterogeneous Anomaly Detection Systems in Industrial Networks: A Survey of Current Trends | |
CN117216660A (zh) | 基于时序网络流量集成异常点和异常集群检测方法及装置 | |
Diwan et al. | Feature entropy estimation (FEE) for malicious IoT traffic and detection using machine learning | |
Perez et al. | Forget the myth of the air gap: Machine learning for reliable intrusion detection in SCADA systems | |
Al-Utaibi et al. | Intrusion detection taxonomy and data preprocessing mechanisms | |
Li et al. | Using data mining methods to detect simulated intrusions on a modbus network | |
Lambert II | Security analytics: Using deep learning to detect cyber attacks | |
CN115795330A (zh) | 一种基于ai算法的医疗信息异常检测方法及系统 | |
Xu et al. | [Retracted] DDoS Detection Using a Cloud‐Edge Collaboration Method Based on Entropy‐Measuring SOM and KD‐Tree in SDN | |
Monshizadeh et al. | Security related data mining | |
Teixeira et al. | Flow‐based intrusion detection algorithm for supervisory control and data acquisition systems: A real‐time approach | |
CN113497797A (zh) | 一种icmp隧道传输数据的异常检测方法及装置 | |
Lah et al. | Proposed framework for network lateral movement detection based on user risk scoring in siem | |
Bilakanti et al. | Anomaly detection in IoT environment using machine learning | |
Qi et al. | Construction and application of machine learning model in network intrusion detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |