CN117938453A - 面向工业物联网的入侵追踪检测和拦截清除方法和系统 - Google Patents

面向工业物联网的入侵追踪检测和拦截清除方法和系统 Download PDF

Info

Publication number
CN117938453A
CN117938453A CN202311809801.8A CN202311809801A CN117938453A CN 117938453 A CN117938453 A CN 117938453A CN 202311809801 A CN202311809801 A CN 202311809801A CN 117938453 A CN117938453 A CN 117938453A
Authority
CN
China
Prior art keywords
terminal
equipment terminal
equipment
state
things
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311809801.8A
Other languages
English (en)
Inventor
兰雨晴
余丹
于艺春
王丹星
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Standard Intelligent Security Technology Co Ltd
Original Assignee
China Standard Intelligent Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Standard Intelligent Security Technology Co Ltd filed Critical China Standard Intelligent Security Technology Co Ltd
Priority to CN202311809801.8A priority Critical patent/CN117938453A/zh
Publication of CN117938453A publication Critical patent/CN117938453A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供面向工业物联网的入侵追踪检测和拦截清除方法和系统,对发生非法入侵事件的设备终端进行攻击数据流识别处理,得到发生非法入侵事件的设备终端的攻击数据流传输状态信息,以此对工业物联网内部进行全局化排查,确定可能受到攻击入侵的所有异常设备终端;再对发送非法入侵事件的设备终端和所有异常设备终端进行排查处理,从中识别处于被劫持状态的设备终端,确定工业物联网内部的攻击源头;还基于处于被劫持状态的设备终端在工业物联网内部的位置信息,对处于被劫持状态的设备终端进行隔离处理,当完成攻击数据拦截与清除处理后,恢复处于被劫持状态的设备终端在工业物联网内部的工作状态,提高工业物联网的入侵检测时效性和主动性。

Description

面向工业物联网的入侵追踪检测和拦截清除方法和系统
技术领域
本发明涉及物联网的领域,尤其涉及面向工业物联网的入侵追踪检测和拦截清除方法和系统。
背景技术
工业物联网内部包含多个设备终端,每个设备终端在工作过程中会与其他设备终端进行数据交互。若其中一个设备终端被病毒数据入侵,会使得病毒数据在工业物联网内部扩散传播,导致所有设备终端都存在被病毒数据感染入侵的风险,增加工业物联网的运行安全性。为了对工业物联网进行全局化的入侵检测,通常会对工业物联网内部所有设备终端进行周期性的检测,但是上述检测方式的周期较长,无法及时拦截病毒数据在工业物联网内部的扩散传播,降低对工业物联网的入侵检测时效性和主动性,不能全面准确地检测和拦截病毒入侵攻击。
发明内容
本发明的目的在于提供面向工业物联网的入侵追踪检测和拦截清除方法和系统,其对发生非法入侵事件的设备终端进行攻击数据流识别处理,得到发生非法入侵事件的设备终端的攻击数据流传输状态信息,以此对工业物联网内部进行全局化排查,确定可能受到攻击入侵的所有异常设备终端;再对发送非法入侵事件的设备终端和所有异常设备终端进行排查处理,从中识别处于被劫持状态的设备终端,确定工业物联网内部的攻击源头;还基于处于被劫持状态的设备终端在工业物联网内部的位置信息,对处于被劫持状态的设备终端进行隔离处理,当完成攻击数据拦截与清除处理后,恢复处于被劫持状态的设备终端在工业物联网内部的工作状态,提高工业物联网的入侵检测时效性和主动性,全面准确地检测和拦截入侵攻击。
本发明是通过以下技术方案实现:
面向工业物联网的入侵追踪检测和拦截清除方法,包括:
基于工业物联网下属设备终端的工作日志,判断所述设备终端是否发生非法入侵事件;对发生非法入侵事件的设备终端进行攻击数据流识别处理,得到发生非法入侵事件的设备终端的攻击数据流传输状态信息;
基于所述攻击数据流传输状态信息,对所述工业物联网内部进行排查处理,确定所述工业物联网内部可能受到攻击入侵的所有异常设备终端;
基于发生非法入侵事件的设备终端和所有异常设备终端各自的运行状态,对发送非法入侵事件的设备终端和所有异常设备终端进行排查处理,从中识别处于被劫持状态的设备终端;
基于所述处于被劫持状态的设备终端在所述工业物联网内部的位置信息,对所述处于被劫持状态的设备终端进行隔离处理;对所述处于被劫持状态的设备终端进行攻击数据拦截与清除处理后,恢复所述处于被劫持状态的设备终端在所述工业物联网内部的工作状态。
可选地,基于工业物联网下属设备终端的工作日志,判断所述设备终端是否发生非法入侵事件;对发生非法入侵事件的设备终端进行攻击数据流识别处理,得到发生非法入侵事件的设备终端的攻击数据流传输状态信息,包括:
对工业物联网下属设备终端的工作日志进行分析,得到设备终端的防火墙拦截历史记录;基于所述防火墙拦截历史记录,判断所述设备终端的防火墙是否发生非法入侵拦截失败情况;若是,则判断所述设备终端发生非法入侵事件;若否,则判断所述设备终端未发生非法入侵事件;
基于发生非法入侵事件的设备终端的防火墙未成功拦截的攻击数据的数据特征码,在所述发生非法入侵事件的设备终端进行攻击数据流识别处理,得到所述发生非法入侵事件的设备终端向外传输攻击数据流的网络路径信息,以此作为所述攻击数据流传输状态信息。
可选地,基于所述攻击数据流传输状态信息,对所述工业物联网内部进行排查处理,确定所述工业物联网内部可能受到攻击入侵的所有异常设备终端,包括:
基于所述网络路径信息,确定所述工业物联网内部对所述攻击数据流进行中转传输的所有网关的地址信息;基于所述地址信息,确定与对所述攻击数据流进行中转传输的所有网关连接的所有设备终端,以此作为所述工业物联网内部可能受到攻击入侵的所有异常设备终端。
可选地,基于发生非法入侵事件的设备终端和所有异常设备终端各自的运行状态,对发送非法入侵事件的设备终端和所有异常设备终端进行排查处理,从中识别处于被劫持状态的设备终端,包括:
基于发生非法入侵事件的设备终端和所有异常设备终端各自的对外数据发送状态信息,判断发送非法入侵事件的设备终端和所有异常设备终端是否周期性对外发送具有所述数据特征码的数据流;若是,则将相应设备终端确定为处于被劫持状态的设备终端,若否,则不将相应设备终端确定为处于被劫持状态的设备终端。
可选地,基于所述处于被劫持状态的设备终端在所述工业物联网内部的位置信息,对所述处于被劫持状态的设备终端进行隔离处理;对所述处于被劫持状态的设备终端进行攻击数据拦截与清除处理后,恢复所述处于被劫持状态的设备终端在所述工业物联网内部的工作状态,包括:
基于所述处于被劫持状态的设备终端在所述工业物联网内部的位置信息,对所述处于被劫持状态的设备终端进行单向隔离处理,从而中断所述处于被劫持状态的设备终端的上行数据通道;
对所述处于被劫持状态的设备终端进行攻击数据拦截与清除处理后,恢复所述处于被劫持状态的设备终端在所述工业物联网内部的上行和下行通信状态。
可选地,对所述处于被劫持状态的设备终端进行单向隔离处理时,计算所述处于被劫持状态的设备终端的设备终端指纹信息,对整个设备终端指纹进行隔离,包括:
步骤S1,设某个已经单向隔离处理的被劫持状态的设备终端的设备唯一id为W,其相关参数信息组成的字符串为S,其网络相关信息组成的字符串为I,则该设备终端的指纹信息为:
Z=concat(W,S,I) (1)
在上述公式(1)中,Z为该设备终端的指纹信息,oncat(W,S,I)表示将W,S,I拼成一个字符串;
步骤S2,设当前某个进入系统的设备终端的指纹信息为Z′,则其与上述被单向隔离处理的被劫持状态的设备终端的指纹信息Z的相似度为:
在上述公式(2)中,S(Z,Z′)为当前该进入系统的设备终端的指纹信息为Z′上述被单向隔离处理的被劫持状态的设备终端的指纹信息Z的相似度;
步骤S3,利用下面公式(3),根据上述步骤S1和S2的计算结果,计算该进入系统的设备终端是否与上述被单向隔离处理的被劫持状态的设备终端为同一设备的概率,
在上述公式(3)中,P(Z,Z′)为该进入系统的设备终端是否与上述被单向隔离处理的被劫持状态的设备终端为同一设备的概率,当其值大于0.9时表明该进入系统的设备终端与上述被单向隔离处理的被劫持状态的设备终端为同一设备,需要拦截;当其值小于等于0.9时,表明该进入系统的设备终端与上述被单向隔离处理的被劫持状态的设备终端不是同一设备。
面向工业物联网的入侵追踪检测和拦截清除系统,包括:
非法入侵识别模块,用于基于工业物联网下属设备终端的工作日志,判断所述设备终端是否发生非法入侵事件;
攻击数据流识别模块,用于对发生非法入侵事件的设备终端进行攻击数据流识别处理,得到发生非法入侵事件的设备终端的攻击数据流传输状态信息;
入侵追踪识别模块,用于基于所述攻击数据流传输状态信息,对所述工业物联网内部进行排查处理,确定所述工业物联网内部可能受到攻击入侵的所有异常设备终端;
终端排查处理模块,用于基于发生非法入侵事件的设备终端和所有异常设备终端各自的运行状态,对发送非法入侵事件的设备终端和所有异常设备终端进行排查处理,从中识别处于被劫持状态的设备终端;
终端隔离处理模块,用于基于所述处于被劫持状态的设备终端在所述工业物联网内部的位置信息,对所述处于被劫持状态的设备终端进行隔离处理;
攻击数据拦截与恢复模块,用于对所述处于被劫持状态的设备终端进行攻击数据拦截与清除处理后,恢复所述处于被劫持状态的设备终端在所述工业物联网内部的工作状态。
可选地,所述非法入侵识别模块用于基于工业物联网下属设备终端的工作日志,判断所述设备终端是否发生非法入侵事件,包括:
对工业物联网下属设备终端的工作日志进行分析,得到设备终端的防火墙拦截历史记录;基于所述防火墙拦截历史记录,判断所述设备终端的防火墙是否发生非法入侵拦截失败情况;若是,则判断所述设备终端发生非法入侵事件;若否,则判断所述设备终端未发生非法入侵事件;
所述攻击数据流识别模块用于对发生非法入侵事件的设备终端进行攻击数据流识别处理,得到发生非法入侵事件的设备终端的攻击数据流传输状态信息,包括:
基于发生非法入侵事件的设备终端的防火墙未成功拦截的攻击数据的数据特征码,在所述发生非法入侵事件的设备终端进行攻击数据流识别处理,得到所述发生非法入侵事件的设备终端向外传输攻击数据流的网络路径信息,以此作为所述攻击数据流传输状态信息。
可选地,所述入侵追踪识别模块用于基于所述攻击数据流传输状态信息,对所述工业物联网内部进行排查处理,确定所述工业物联网内部可能受到攻击入侵的所有异常设备终端,包括:
基于所述网络路径信息,确定所述工业物联网内部对所述攻击数据流进行中转传输的所有网关的地址信息;基于所述地址信息,确定与对所述攻击数据流进行中转传输的所有网关连接的所有设备终端,以此作为所述工业物联网内部可能受到攻击入侵的所有异常设备终端。
可选地,所述终端排查处理模块用于基于发生非法入侵事件的设备终端和所有异常设备终端各自的运行状态,对发送非法入侵事件的设备终端和所有异常设备终端进行排查处理,从中识别处于被劫持状态的设备终端,包括:
基于发生非法入侵事件的设备终端和所有异常设备终端各自的对外数据发送状态信息,判断发送非法入侵事件的设备终端和所有异常设备终端是否周期性对外发送具有所述数据特征码的数据流;若是,则将相应设备终端确定为处于被劫持状态的设备终端,若否,则不将相应设备终端确定为处于被劫持状态的设备终端。
可选地,所述终端隔离处理模块用于基于所述处于被劫持状态的设备终端在所述工业物联网内部的位置信息,对所述处于被劫持状态的设备终端进行隔离处理,包括:
基于所述处于被劫持状态的设备终端在所述工业物联网内部的位置信息,对所述处于被劫持状态的设备终端进行单向隔离处理,从而中断所述处于被劫持状态的设备终端的上行数据通道;
所述攻击数据拦截与恢复模块用于对所述处于被劫持状态的设备终端进行攻击数据拦截与清除处理后,恢复所述处于被劫持状态的设备终端在所述工业物联网内部的工作状态,包括:
对所述处于被劫持状态的设备终端进行攻击数据拦截与清除处理后,恢复所述处于被劫持状态的设备终端在所述工业物联网内部的上行和下行通信状态。
与现有技术相比,本发明具有如下有益效果:
本申请提供的面向工业物联网的入侵追踪检测和拦截清除方法和系统对发生非法入侵事件的设备终端进行攻击数据流识别处理,得到发生非法入侵事件的设备终端的攻击数据流传输状态信息,以此对工业物联网内部进行全局化排查,确定可能受到攻击入侵的所有异常设备终端;再对发送非法入侵事件的设备终端和所有异常设备终端进行排查处理,从中识别处于被劫持状态的设备终端,确定工业物联网内部的攻击源头;还基于处于被劫持状态的设备终端在工业物联网内部的位置信息,对处于被劫持状态的设备终端进行隔离处理,当完成攻击数据拦截与清除处理后,恢复处于被劫持状态的设备终端在工业物联网内部的工作状态,提高工业物联网的入侵检测时效性和主动性,全面准确地检测和拦截入侵攻击。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。其中:
图1为本发明提供的面向工业物联网的入侵追踪检测和拦截清除方法的流程示意图。
图2为本发明提供的面向工业物联网的入侵追踪检测和拦截清除系统的结构示意图。
具体实施方式
为使本申请的上述目的、特征和优点能够更为明显易懂,下面结合附图,对本申请的具体实施方式做详细的说明。可以理解的是,此处所描述的具体实施例仅用于解释本申请,而非对本申请的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本申请相关的部分而非全部结构。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
本申请中的术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
请参阅图1所示,本申请一实施例提供的面向工业物联网的入侵追踪检测和拦截清除方法包括:
基于工业物联网下属设备终端的工作日志,判断该设备终端是否发生非法入侵事件;对发生非法入侵事件的设备终端进行攻击数据流识别处理,得到发生非法入侵事件的设备终端的攻击数据流传输状态信息;
基于该攻击数据流传输状态信息,对该工业物联网内部进行排查处理,确定该工业物联网内部可能受到攻击入侵的所有异常设备终端;
基于发生非法入侵事件的设备终端和所有异常设备终端各自的运行状态,对发送非法入侵事件的设备终端和所有异常设备终端进行排查处理,从中识别处于被劫持状态的设备终端;
基于该处于被劫持状态的设备终端在该工业物联网内部的位置信息,对该处于被劫持状态的设备终端进行隔离处理;对该处于被劫持状态的设备终端进行攻击数据拦截与清除处理后,恢复该处于被劫持状态的设备终端在该工业物联网内部的工作状态。
上述实施例的有益效果,该面向工业物联网的入侵追踪检测和拦截清除方法对发生非法入侵事件的设备终端进行攻击数据流识别处理,得到发生非法入侵事件的设备终端的攻击数据流传输状态信息,以此对工业物联网内部进行全局化排查,确定可能受到攻击入侵的所有异常设备终端;再对发送非法入侵事件的设备终端和所有异常设备终端进行排查处理,从中识别处于被劫持状态的设备终端,确定工业物联网内部的攻击源头;还基于处于被劫持状态的设备终端在工业物联网内部的位置信息,对处于被劫持状态的设备终端进行隔离处理,当完成攻击数据拦截与清除处理后,恢复处于被劫持状态的设备终端在工业物联网内部的工作状态,提高工业物联网的入侵检测时效性和主动性,全面准确地检测和拦截入侵攻击。
在另一实施例中,基于工业物联网下属设备终端的工作日志,判断该设备终端是否发生非法入侵事件;对发生非法入侵事件的设备终端进行攻击数据流识别处理,得到发生非法入侵事件的设备终端的攻击数据流传输状态信息,包括:
对工业物联网下属设备终端的工作日志进行分析,得到设备终端的防火墙拦截历史记录;基于该防火墙拦截历史记录,判断该设备终端的防火墙是否发生非法入侵拦截失败情况;若是,则判断该设备终端发生非法入侵事件;若否,则判断该设备终端未发生非法入侵事件;
基于发生非法入侵事件的设备终端的防火墙未成功拦截的攻击数据的数据特征码,在该发生非法入侵事件的设备终端进行攻击数据流识别处理,得到该发生非法入侵事件的设备终端向外传输攻击数据流的网络路径信息,以此作为该攻击数据流传输状态信息。
上述实施例的有益效果,对工业物联网下属设备终端的工作日志进行分析。得到设备终端的防火墙拦截历史记录,设备终端自身的防火墙在拦截入侵过程中,会生成相应的拦截历史记录,从而判断该设备终端的防火墙是否发生非法入侵拦截失败情况,这样能够确定防火墙未成功拦截的非法入侵的情况。基于基于发生非法入侵事件的设备终端的防火墙未成功拦截的攻击数据的数据特征码,在该发生非法入侵事件的设备终端进行攻击数据流识别处理,得到发生非法入侵事件的设备终端将自身内部的攻击数据向外传输的网络路径情况,便于对攻击数据在工业物联网内部的传输路径进行及时的识别确定。
在另一实施例中,基于该攻击数据流传输状态信息,对该工业物联网内部进行排查处理,确定该工业物联网内部可能受到攻击入侵的所有异常设备终端,包括:
基于该网络路径信息,确定该工业物联网内部对该攻击数据流进行中转传输的所有网关的地址信息;基于该地址信息,确定与对该攻击数据流进行中转传输的所有网关连接的所有设备终端,以此作为该工业物联网内部可能受到攻击入侵的所有异常设备终端。
上述实施例的有益效果,以该网络路径信息为基准,确定对应网络路径上存在的所有网关及其地址信息,以此作为该工业物联网内部对该攻击数据流进行中转传输的所有网关的地址信息,这样能够对该攻击数据流在该工业物联网内部的传输经过的所有网关进行准确定位。再基于该地址信息,确定与该攻击数据流进行中转传输的所有网关连接的所有设备终端,以此作为该工业物联网内部可能受到攻击入侵的所有异常设备终端,即该异常设备终端会受到相关网关中转传输的攻击数据流的影响。
在另一实施例中,基于发生非法入侵事件的设备终端和所有异常设备终端各自的运行状态,对发送非法入侵事件的设备终端和所有异常设备终端进行排查处理,从中识别处于被劫持状态的设备终端,包括:
基于发生非法入侵事件的设备终端和所有异常设备终端各自的对外数据发送状态信息,判断发送非法入侵事件的设备终端和所有异常设备终端是否周期性对外发送具有该数据特征码的数据流;若是,则将相应设备终端确定为处于被劫持状态的设备终端,若否,则不将相应设备终端确定为处于被劫持状态的设备终端。
上述实施例的有益效果,当异常设备终端处于被劫持状态,则异常设备终端会向外对其他设备终端发起相应的数据流量攻击,基于发生非法入侵事件的设备终端和所有异常设备终端各自的对外数据发送状态信息,判断发送非法入侵事件的设备终端和所有异常设备终端是否周期性对外发送具有该数据特征码的数据流,从而准确地识别该工业物联网内部的所有被劫持的设备终端。
在另一实施例中,基于该处于被劫持状态的设备终端在该工业物联网内部的位置信息,对该处于被劫持状态的设备终端进行隔离处理;对该处于被劫持状态的设备终端进行攻击数据拦截与清除处理后,恢复该处于被劫持状态的设备终端在该工业物联网内部的工作状态,包括:
基于该处于被劫持状态的设备终端在该工业物联网内部的位置信息,对该处于被劫持状态的设备终端进行单向隔离处理,从而中断该处于被劫持状态的设备终端的上行数据通道;
对该处于被劫持状态的设备终端进行攻击数据拦截与清除处理后,恢复该处于被劫持状态的设备终端在该工业物联网内部的上行和下行通信状态。
上述实施例的有益效果,基于该处于被劫持状态的设备终端在该工业物联网内部的位置信息,对该处于被劫持状态的设备终端进行单向隔离处理,从而中断该处于被劫持状态的设备终端的上行数据通道,避免处于被劫持状态的设备终端继续向其他设备终端传输攻击数据。还有,对该处于被劫持状态的设备终端进行攻击数据拦截与清除处理后,恢复该处于被劫持状态的设备终端在该工业物联网内部的上行和下行通信状态,确保所有设备终端能够恢复正常工作。
在另一实施例中,对该处于被劫持状态的设备终端进行单向隔离处理时,计算该处于被劫持状态的设备终端的设备终端指纹信息,对整个设备终端指纹进行隔离,包括:
步骤S1,设某个已经单向隔离处理的被劫持状态的设备终端的设备唯一id为W,其相关参数信息组成的字符串为S,比如分辨率、芯片等信息组成的字符串,其网络相关信息组成的字符串为I,则该设备终端的指纹信息为:
Z=concat(W,S,I) (1)
在上述公式(1)中,Z为该设备终端的指纹信息,oncat(W,S,I)表示将W,S,I拼成一个字符串;
步骤S2,设当前某个进入系统的设备终端的指纹信息为Z′,则其与上述被单向隔离处理的被劫持状态的设备终端的指纹信息Z的相似度为:
在上述公式(2)中,S(Z,Z′)为当前该进入系统的设备终端的指纹信息为Z′上述被单向隔离处理的被劫持状态的设备终端的指纹信息Z的相似度;
步骤S3,利用下面公式(3),根据上述步骤S1和S2的计算结果,计算该进入系统的设备终端是否与上述被单向隔离处理的被劫持状态的设备终端为同一设备的概率,
在上述公式(3)中,P(Z,Z′)为该进入系统的设备终端是否与上述被单向隔离处理的被劫持状态的设备终端为同一设备的概率,当其值大于0.9时表明该进入系统的设备终端与上述被单向隔离处理的被劫持状态的设备终端为同一设备,需要拦截;当其值小于等于0.9时,表明该进入系统的设备终端与上述被单向隔离处理的被劫持状态的设备终端不是同一设备。
上述实施例的有益效果,由于当前不法分子可以通过虚拟机、云平台等多种技术手段轻松伪造设备终端信息,对所述处于被劫持状态的设备终端进行单向隔离处理后,不法分子还可以通过上述技术手段修改该设备终端相关信息从而使得单向隔离失效,依然可以进行非法入侵,因此在对所述处于被劫持状态的设备终端进行单向隔离处理时,计算所述处于被劫持状态的设备终端的设备终端指纹信息,对整个设备终端指纹进行隔离,防止上述不法分子用技术手段绕过隔离再次进行非法入侵的情况发生。通过设备终端的关键信息生成设备终端指纹信息,再根据进入系统的设备终端的设备终端指纹信息和已经被单向隔离处理的被劫持状态的设备终端的设备终端指纹信息对比,排除通过虚拟机、云平台等技术手段的干扰,防止单向隔离失效相关设备非法入侵的情况发生。
请参阅图2所示,本申请一实施例提供的面向工业物联网的入侵追踪检测和拦截清除系统包括:
非法入侵识别模块,用于基于工业物联网下属设备终端的工作日志,判断该设备终端是否发生非法入侵事件;
攻击数据流识别模块,用于对发生非法入侵事件的设备终端进行攻击数据流识别处理,得到发生非法入侵事件的设备终端的攻击数据流传输状态信息;
入侵追踪识别模块,用于基于该攻击数据流传输状态信息,对该工业物联网内部进行排查处理,确定该工业物联网内部可能受到攻击入侵的所有异常设备终端;
终端排查处理模块,用于基于发生非法入侵事件的设备终端和所有异常设备终端各自的运行状态,对发送非法入侵事件的设备终端和所有异常设备终端进行排查处理,从中识别处于被劫持状态的设备终端;
终端隔离处理模块,用于基于该处于被劫持状态的设备终端在该工业物联网内部的位置信息,对该处于被劫持状态的设备终端进行隔离处理;
攻击数据拦截与恢复模块,用于对该处于被劫持状态的设备终端进行攻击数据拦截与清除处理后,恢复该处于被劫持状态的设备终端在该工业物联网内部的工作状态。
上述实施例的有益效果,该面向工业物联网的入侵追踪检测和拦截清除系统对发生非法入侵事件的设备终端进行攻击数据流识别处理,得到发生非法入侵事件的设备终端的攻击数据流传输状态信息,以此对工业物联网内部进行全局化排查,确定可能受到攻击入侵的所有异常设备终端;再对发送非法入侵事件的设备终端和所有异常设备终端进行排查处理,从中识别处于被劫持状态的设备终端,确定工业物联网内部的攻击源头;还基于处于被劫持状态的设备终端在工业物联网内部的位置信息,对处于被劫持状态的设备终端进行隔离处理,当完成攻击数据拦截与清除处理后,恢复处于被劫持状态的设备终端在工业物联网内部的工作状态,提高工业物联网的入侵检测时效性和主动性,全面准确地检测和拦截入侵攻击。
在另一实施例中,该非法入侵识别模块用于基于工业物联网下属设备终端的工作日志,判断该设备终端是否发生非法入侵事件,包括:
对工业物联网下属设备终端的工作日志进行分析,得到设备终端的防火墙拦截历史记录;基于该防火墙拦截历史记录,判断该设备终端的防火墙是否发生非法入侵拦截失败情况;若是,则判断该设备终端发生非法入侵事件;若否,则判断该设备终端未发生非法入侵事件;
该攻击数据流识别模块用于对发生非法入侵事件的设备终端进行攻击数据流识别处理,得到发生非法入侵事件的设备终端的攻击数据流传输状态信息,包括:
基于发生非法入侵事件的设备终端的防火墙未成功拦截的攻击数据的数据特征码,在该发生非法入侵事件的设备终端进行攻击数据流识别处理,得到该发生非法入侵事件的设备终端向外传输攻击数据流的网络路径信息,以此作为该攻击数据流传输状态信息。
上述实施例的有益效果,对工业物联网下属设备终端的工作日志进行分析。得到设备终端的防火墙拦截历史记录,设备终端自身的防火墙在拦截入侵过程中,会生成相应的拦截历史记录,从而判断该设备终端的防火墙是否发生非法入侵拦截失败情况,这样能够确定防火墙未成功拦截的非法入侵的情况。基于基于发生非法入侵事件的设备终端的防火墙未成功拦截的攻击数据的数据特征码,在该发生非法入侵事件的设备终端进行攻击数据流识别处理,得到发生非法入侵事件的设备终端将自身内部的攻击数据向外传输的网络路径情况,便于对攻击数据在工业物联网内部的传输路径进行及时的识别确定。
在另一实施例中,该入侵追踪识别模块用于基于该攻击数据流传输状态信息,对该工业物联网内部进行排查处理,确定该工业物联网内部可能受到攻击入侵的所有异常设备终端,包括:
基于该网络路径信息,确定该工业物联网内部对该攻击数据流进行中转传输的所有网关的地址信息;基于该地址信息,确定与对该攻击数据流进行中转传输的所有网关连接的所有设备终端,以此作为该工业物联网内部可能受到攻击入侵的所有异常设备终端。
上述实施例的有益效果,以该网络路径信息为基准,确定对应网络路径上存在的所有网关及其地址信息,以此作为该工业物联网内部对该攻击数据流进行中转传输的所有网关的地址信息,这样能够对该攻击数据流在该工业物联网内部的传输经过的所有网关进行准确定位。再基于该地址信息,确定与该攻击数据流进行中转传输的所有网关连接的所有设备终端,以此作为该工业物联网内部可能受到攻击入侵的所有异常设备终端,即该异常设备终端会受到相关网关中转传输的攻击数据流的影响。
在另一实施例中,该终端排查处理模块用于基于发生非法入侵事件的设备终端和所有异常设备终端各自的运行状态,对发送非法入侵事件的设备终端和所有异常设备终端进行排查处理,从中识别处于被劫持状态的设备终端,包括:
基于发生非法入侵事件的设备终端和所有异常设备终端各自的对外数据发送状态信息,判断发送非法入侵事件的设备终端和所有异常设备终端是否周期性对外发送具有该数据特征码的数据流;若是,则将相应设备终端确定为处于被劫持状态的设备终端,若否,则不将相应设备终端确定为处于被劫持状态的设备终端。
上述实施例的有益效果,当异常设备终端处于被劫持状态,则异常设备终端会向外对其他设备终端发起相应的数据流量攻击,基于发生非法入侵事件的设备终端和所有异常设备终端各自的对外数据发送状态信息,判断发送非法入侵事件的设备终端和所有异常设备终端是否周期性对外发送具有该数据特征码的数据流,从而准确地识别该工业物联网内部的所有被劫持的设备终端。
在另一实施例中,该终端隔离处理模块用于基于该处于被劫持状态的设备终端在该工业物联网内部的位置信息,对该处于被劫持状态的设备终端进行隔离处理,包括:
基于该处于被劫持状态的设备终端在该工业物联网内部的位置信息,对该处于被劫持状态的设备终端进行单向隔离处理,从而中断该处于被劫持状态的设备终端的上行数据通道;
该攻击数据拦截与恢复模块用于对该处于被劫持状态的设备终端进行攻击数据拦截与清除处理后,恢复该处于被劫持状态的设备终端在该工业物联网内部的工作状态,包括:
对该处于被劫持状态的设备终端进行攻击数据拦截与清除处理后,恢复该处于被劫持状态的设备终端在该工业物联网内部的上行和下行通信状态。
上述实施例的有益效果,基于该处于被劫持状态的设备终端在该工业物联网内部的位置信息,对该处于被劫持状态的设备终端进行单向隔离处理,从而中断该处于被劫持状态的设备终端的上行数据通道,避免处于被劫持状态的设备终端继续向其他设备终端传输攻击数据。还有,对该处于被劫持状态的设备终端进行攻击数据拦截与清除处理后,恢复该处于被劫持状态的设备终端在该工业物联网内部的上行和下行通信状态,确保所有设备终端能够恢复正常工作。
总体而言,该面向工业物联网的入侵追踪检测和拦截清除方法和系统对发生非法入侵事件的设备终端进行攻击数据流识别处理,得到发生非法入侵事件的设备终端的攻击数据流传输状态信息,以此对工业物联网内部进行全局化排查,确定可能受到攻击入侵的所有异常设备终端;再对发送非法入侵事件的设备终端和所有异常设备终端进行排查处理,从中识别处于被劫持状态的设备终端,确定工业物联网内部的攻击源头;还基于处于被劫持状态的设备终端在工业物联网内部的位置信息,对处于被劫持状态的设备终端进行隔离处理,当完成攻击数据拦截与清除处理后,恢复处于被劫持状态的设备终端在工业物联网内部的工作状态,提高工业物联网的入侵检测时效性和主动性,全面准确地检测和拦截入侵攻击。
上述仅为本发明的一个具体实施方式,其它基于本发明构思的前提下做出的任何改进都视为本发明的保护范围。

Claims (10)

1.面向工业物联网的入侵追踪检测和拦截清除方法,其特征在于,包括:
基于工业物联网下属设备终端的工作日志,判断所述设备终端是否发生非法入侵事件;对发生非法入侵事件的设备终端进行攻击数据流识别处理,得到发生非法入侵事件的设备终端的攻击数据流传输状态信息;
基于所述攻击数据流传输状态信息,对所述工业物联网内部进行排查处理,确定所述工业物联网内部可能受到攻击入侵的所有异常设备终端;基于发生非法入侵事件的设备终端和所有异常设备终端各自的运行状态,对发送非法入侵事件的设备终端和所有异常设备终端进行排查处理,从中识别处于被劫持状态的设备终端;
基于所述处于被劫持状态的设备终端在所述工业物联网内部的位置信息,对所述处于被劫持状态的设备终端进行隔离处理;对所述处于被劫持状态的设备终端进行攻击数据拦截与清除处理后,恢复所述处于被劫持状态的设备终端在所述工业物联网内部的工作状态。
2.如权利要求1所述的面向工业物联网的入侵追踪检测和拦截清除方法,其特征在于:
基于工业物联网下属设备终端的工作日志,判断所述设备终端是否发生非法入侵事件;对发生非法入侵事件的设备终端进行攻击数据流识别处理,得到发生非法入侵事件的设备终端的攻击数据流传输状态信息,包括:
对工业物联网下属设备终端的工作日志进行分析,得到设备终端的防火墙拦截历史记录;基于所述防火墙拦截历史记录,判断所述设备终端的防火墙是否发生非法入侵拦截失败情况;若是,则判断所述设备终端发生非法入侵事件;若否,则判断所述设备终端未发生非法入侵事件;
基于发生非法入侵事件的设备终端的防火墙未成功拦截的攻击数据的数据特征码,在所述发生非法入侵事件的设备终端进行攻击数据流识别处理,得到所述发生非法入侵事件的设备终端向外传输攻击数据流的网络路径信息,以此作为所述攻击数据流传输状态信息。
3.如权利要求2所述的面向工业物联网的入侵追踪检测和拦截清除方法,其特征在于:
基于所述攻击数据流传输状态信息,对所述工业物联网内部进行排查处理,确定所述工业物联网内部可能受到攻击入侵的所有异常设备终端,包括:
基于所述网络路径信息,确定所述工业物联网内部对所述攻击数据流进行中转传输的所有网关的地址信息;基于所述地址信息,确定与对所述攻击数据流进行中转传输的所有网关连接的所有设备终端,以此作为所述工业物联网内部可能受到攻击入侵的所有异常设备终端。
4.如权利要求3所述的面向工业物联网的入侵追踪检测和拦截清除方法,其特征在于:
基于发生非法入侵事件的设备终端和所有异常设备终端各自的运行状态,对发送非法入侵事件的设备终端和所有异常设备终端进行排查处理,从中识别处于被劫持状态的设备终端,包括:
基于发生非法入侵事件的设备终端和所有异常设备终端各自的对外数据发送状态信息,判断发送非法入侵事件的设备终端和所有异常设备终端是否周期性对外发送具有所述数据特征码的数据流;若是,则将相应设备终端确定为处于被劫持状态的设备终端,若否,则不将相应设备终端确定为处于被劫持状态的设备终端。
5.如权利要求4所述的面向工业物联网的入侵追踪检测和拦截清除方法,其特征在于:
基于所述处于被劫持状态的设备终端在所述工业物联网内部的位置信息,对所述处于被劫持状态的设备终端进行隔离处理;对所述处于被劫持状态的设备终端进行攻击数据拦截与清除处理后,恢复所述处于被劫持状态的设备终端在所述工业物联网内部的工作状态,包括:
基于所述处于被劫持状态的设备终端在所述工业物联网内部的位置信息,对所述处于被劫持状态的设备终端进行单向隔离处理,从而中断所述处于被劫持状态的设备终端的上行数据通道;
对所述处于被劫持状态的设备终端进行攻击数据拦截与清除处理后,恢复所述处于被劫持状态的设备终端在所述工业物联网内部的上行和下行通信状态。
6.如权利要求5所述的面向工业物联网的入侵追踪检测和拦截清除方法,其特征在于:
对所述处于被劫持状态的设备终端进行单向隔离处理时,计算所述处于被劫持状态的设备终端的设备终端指纹信息,对整个设备终端指纹进行隔离,包括:
步骤S1,设某个已经单向隔离处理的被劫持状态的设备终端的设备唯一id为W,其相关参数信息组成的字符串为S,其网络相关信息组成的字符串为I,则该设备终端的指纹信息为:
Z=concat(W,S,I) (1)
在上述公式(1)中,Z为该设备终端的指纹信息,oncat(W,S,I)表示将W,S,I拼成一个字符串;
步骤S2,设当前某个进入系统的设备终端的指纹信息为Z′,则其与上述被单向隔离处理的被劫持状态的设备终端的指纹信息Z的相似度为:
在上述公式(2)中,S(Z,Z)为当前该进入系统的设备终端的指纹信息为Z上述被单向隔离处理的被劫持状态的设备终端的指纹信息Z的相似度;
步骤S3,利用下面公式(3),根据上述步骤S1和S2的计算结果,计算该进入系统的设备终端是否与上述被单向隔离处理的被劫持状态的设备终端为同一设备的概率,
在上述公式(3)中,P(Z,Z)为该进入系统的设备终端是否与上述被单向隔离处理的被劫持状态的设备终端为同一设备的概率,当其值大于0.9时表明该进入系统的设备终端与上述被单向隔离处理的被劫持状态的设备终端为同一设备,需要拦截;当其值小于等于0.9时,表明该进入系统的设备终端与上述被单向隔离处理的被劫持状态的设备终端不是同一设备。
7.面向工业物联网的入侵追踪检测和拦截清除系统,其特征在于,包括:
非法入侵识别模块,用于基于工业物联网下属设备终端的工作日志,判断所述设备终端是否发生非法入侵事件;
攻击数据流识别模块,用于对发生非法入侵事件的设备终端进行攻击数据流识别处理,得到发生非法入侵事件的设备终端的攻击数据流传输状态信息;
入侵追踪识别模块,用于基于所述攻击数据流传输状态信息,对所述工业物联网内部进行排查处理,确定所述工业物联网内部可能受到攻击入侵的所有异常设备终端;
终端排查处理模块,用于基于发生非法入侵事件的设备终端和所有异常设备终端各自的运行状态,对发送非法入侵事件的设备终端和所有异常设备终端进行排查处理,从中识别处于被劫持状态的设备终端;
终端隔离处理模块,用于基于所述处于被劫持状态的设备终端在所述工业物联网内部的位置信息,对所述处于被劫持状态的设备终端进行隔离处理;
攻击数据拦截与恢复模块,用于对所述处于被劫持状态的设备终端进行攻击数据拦截与清除处理后,恢复所述处于被劫持状态的设备终端在所述工业物联网内部的工作状态。
8.如权利要求6所述的面向工业物联网的入侵追踪检测和拦截清除系统,其特征在于:
所述非法入侵识别模块用于基于工业物联网下属设备终端的工作日志,判断所述设备终端是否发生非法入侵事件,包括:
对工业物联网下属设备终端的工作日志进行分析,得到设备终端的防火墙拦截历史记录;基于所述防火墙拦截历史记录,判断所述设备终端的防火墙是否发生非法入侵拦截失败情况;若是,则判断所述设备终端发生非法入侵事件;若否,则判断所述设备终端未发生非法入侵事件;所述攻击数据流识别模块用于对发生非法入侵事件的设备终端进行攻击数据流识别处理,得到发生非法入侵事件的设备终端的攻击数据流传输状态信息,包括:
基于发生非法入侵事件的设备终端的防火墙未成功拦截的攻击数据的数据特征码,在所述发生非法入侵事件的设备终端进行攻击数据流识别处理,得到所述发生非法入侵事件的设备终端向外传输攻击数据流的网络路径信息,以此作为所述攻击数据流传输状态信息。
9.如权利要求7所述的面向工业物联网的入侵追踪检测和拦截清除系统,其特征在于:
所述入侵追踪识别模块用于基于所述攻击数据流传输状态信息,对所述工业物联网内部进行排查处理,确定所述工业物联网内部可能受到攻击入侵的所有异常设备终端,包括:
基于所述网络路径信息,确定所述工业物联网内部对所述攻击数据流进行中转传输的所有网关的地址信息;基于所述地址信息,确定与对所述攻击数据流进行中转传输的所有网关连接的所有设备终端,以此作为所述工业物联网内部可能受到攻击入侵的所有异常设备终端。
10.如权利要求8所述的面向工业物联网的入侵追踪检测和拦截清除系统,其特征在于:
所述终端排查处理模块用于基于发生非法入侵事件的设备终端和所有异常设备终端各自的运行状态,对发送非法入侵事件的设备终端和所有异常设备终端进行排查处理,从中识别处于被劫持状态的设备终端,包括:
基于发生非法入侵事件的设备终端和所有异常设备终端各自的对外数据发送状态信息,判断发送非法入侵事件的设备终端和所有异常设备终端是否周期性对外发送具有所述数据特征码的数据流;若是,则将相应设备终端确定为处于被劫持状态的设备终端,若否,则不将相应设备终端确定为处于被劫持状态的设备终端。
所述终端隔离处理模块用于基于所述处于被劫持状态的设备终端在所述工业物联网内部的位置信息,对所述处于被劫持状态的设备终端进行隔离处理,包括:
基于所述处于被劫持状态的设备终端在所述工业物联网内部的位置信息,对所述处于被劫持状态的设备终端进行单向隔离处理,从而中断所述处于被劫持状态的设备终端的上行数据通道;
所述攻击数据拦截与恢复模块用于对所述处于被劫持状态的设备终端进行攻击数据拦截与清除处理后,恢复所述处于被劫持状态的设备终端在所述工业物联网内部的工作状态,包括:
对所述处于被劫持状态的设备终端进行攻击数据拦截与清除处理后,恢复所述处于被劫持状态的设备终端在所述工业物联网内部的上行和下行通信状态。
CN202311809801.8A 2023-12-26 2023-12-26 面向工业物联网的入侵追踪检测和拦截清除方法和系统 Pending CN117938453A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311809801.8A CN117938453A (zh) 2023-12-26 2023-12-26 面向工业物联网的入侵追踪检测和拦截清除方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311809801.8A CN117938453A (zh) 2023-12-26 2023-12-26 面向工业物联网的入侵追踪检测和拦截清除方法和系统

Publications (1)

Publication Number Publication Date
CN117938453A true CN117938453A (zh) 2024-04-26

Family

ID=90767899

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311809801.8A Pending CN117938453A (zh) 2023-12-26 2023-12-26 面向工业物联网的入侵追踪检测和拦截清除方法和系统

Country Status (1)

Country Link
CN (1) CN117938453A (zh)

Similar Documents

Publication Publication Date Title
US8881292B2 (en) Evaluating whether data is safe or malicious
CN111431864A (zh) 车联网监控系统、方法、装置及可读存储介质
CN100451984C (zh) 用于降低网络入侵检测系统的虚假警报率的方法和系统
CN109922065B (zh) 恶意网站快速识别方法
CN114006723B (zh) 基于威胁情报的网络安全预测方法、装置及系统
CN113660296B (zh) 一种工控系统防攻击性能的检测方法、装置及计算机设备
CN104135474A (zh) 基于主机出入度的网络异常行为检测方法
CN111224928B (zh) 网络攻击行为的预测方法、装置、设备及存储介质
CN112907321A (zh) 一种基于大数据的数据挖掘与分析的信息安全异常感知平台
CN111786986B (zh) 一种数控系统网络入侵防范系统及方法
CN114826880A (zh) 一种数据安全运行在线监测的方法及系统
US20200280579A1 (en) System and method for analyzing internet traffic to detect distributed denial of service (ddos) attack
CN111327632B (zh) 一种僵尸主机检测方法、系统、设备及存储介质
CN117938453A (zh) 面向工业物联网的入侵追踪检测和拦截清除方法和系统
CN109785537B (zh) 一种atm机的安全防护方法及装置
CN109729084B (zh) 一种基于区块链技术的网络安全事件检测方法
CN111859386A (zh) 基于行为分析的木马检测方法及系统
CN116032527A (zh) 一种基于云计算的数据安全漏洞感知系统及方法
CN113923035B (zh) 一种基于攻击载荷和攻击行为的动态应用防护系统及方法
KR20200092508A (ko) IoT 기기 악성코드 분석을 위한 대규모 허니팟 시스템
CN113596060A (zh) 一种网络安全应急响应方法及系统
CN113783875A (zh) 一种用于网络信息安全的防火系统及其使用方法
CN113660223A (zh) 基于告警信息的网络安全数据处理方法、装置及系统
CN112543177A (zh) 一种网络攻击检测方法及装置
CN117648689B (zh) 基于人工智能的工控主机安全事件自动响应方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination