WO2024061380A1

WO2024061380A1 - 一种工业互联网数据防护系统

Info

Publication number: WO2024061380A1
Application number: PCT/CN2023/127896
Authority: WO
Inventors: 李璇; 王新霞; 陈意; 张睿
Original assignee: 山东省信息技术产业发展研究院(中国赛宝(山东)实验室)
Priority date: 2022-11-01
Filing date: 2023-10-30
Publication date: 2024-03-28
Also published as: CN115412375A; LU505584B1; CN115412375B

Abstract

本发明公开了一种工业互联网数据防护系统，包括总控单元和多个分别与所述总控单元信号交互的边缘处理单元。本发明使用边缘计算的方式使得减小总控单元的运算量，同时减少总控单元的数据接口，保证数据的安全性。边缘计算的方式是使用多个边缘处理单元分担总控单元的一些基础工作，每一个边缘处理器分别与总控单元连接，每一个边缘处理器分别与多个生产设备连接，在工作的的时候，边缘处理器收集所负责的每一个生产设备的信息，并将收集到的信息进行初步的删选，最后将数据传输到总控单元，同时根据总控单元的指令，完成对于各个生产设备的信息传达，在这样的方式下，总控单元用于处理数据的运行空间有效提升。

Description

一种工业互联网数据防护系统

技术领域

本发明涉及数据防护领域，特别涉及一种工业互联网数据防护系统。

背景技术

在目前的信息化时代，现代的信息技术在各个行业和领域产生了广泛的应用。在工业生产领域，信息化的应用也亦是如此。在现在的工业生产中，随着信息技术的发展与应用，在生产厂中使用大型的生产设备已经是屡见不鲜，同时，各个生产设备之间的数据还通过无线传输的方式分别与总控单元的进行数据交互，从而实现生产厂中的信息化。

在总控单元与各个生产设备进行数据的交互的时候，一般是通过数据接口的方式，完成对于数据的传输，每个数据接口分别对应一个生产设备，使之完成各个生产设备与总控单元之间的交互。而在一个生产厂中，往往具有大量的生产设备，而每一个生产设备分别与总控单元进行数据通信的时候，会造成总控单元占有大量的运行空间用于接收数据，一般可以达到35％-60％，使得总控单元在对数据进行处理分析的时候，可以使用的运行空间较少，一般只有40％-65％，严重拖慢运行速度，同时大量数据接口同时开放，则无法对每一个数据接口的数据进行细致的审核就对数据进行放行，从而使得进入总控单元的数据安全性无法得到满足。

发明内容

本发明的目的是克服上述现有技术中存在的问题，提供一种工业互联网数据防护系统，边缘计算的方式使得减小总控单元的运算量，同时减少总控单元的数据接口，保证数据的安全性。

为此，本发明提供一种工业互联网数据防护系统，包括总控单元和多个分别与所述总控单元信号交互的边缘处理单元；

所述边缘处理单元，用于接收多个生产设备的数据，并在每一次要给所述总控单元发送上行数据的时候统计的上行数据所占用的空间，并在发送上行数据前发送该上行数据所占用的空间；

所述总控单元，用于分别接收每一个所述边缘处理单元发送的上行数据所占用的空间，根据每一个边缘处理单元所占用空间的总和得到实际占用空间，根据总控单元的运行空间的设定比例的数据与实际占用空间之间的数量关系，得到总控单元每次接收每一个所述上行数据的比例以及所接收的次数，根据每一个所述上行数据的比例以及所接收的次数接收每一个所述上行数据，对接收的上行数据进行处理。

进一步，所述边缘处理单元包括：

数据梳理模块，将所述上行数据按照其在所述总控单元所执行的逻辑顺序依次进行排列；

数据拆分模块，用于接收所述总控单元中该边缘处理单元的上行数据的比例以及所述接收的次数，并根据上行数据的比例将所述上行数据进行拆分，拆分后的各个子上行数据依次排列；

数据发送模块，将所述子上行数据按照排列的顺序依次发送到所述总控单元。

更进一步，所述总控单元包括：

数据扫描接口，用于依次扫描数据接口的工作状态，并且根据顺序依次开启对应的数据接口在设定时间内保持开放状态；

数据分析模块，将接收的所述子上行数据根据进行拆分得到各个待处理数据，根据各个待处理数据的第一新颖度，对各个待处理数据进行标记；

数据放行模块，将所述标记好所述第一新颖度的待处理数据放行至所述总控单元的数据处理部，并开启接收所述数据处理部的反馈；

数据删选模块，在接收到所述数据处理部的反馈的时候，将所述第一新颖度高的待处理数据的副本发送给所述数据处理部；

所述数据处理部，包括用于根据所述数据删选模块发送待处理数据的副本，查找接收的待处理数据，并将该待处理数据删除。

更进一步，所述总控单元的所述数据处理部在所述数据扫描接口完成一次所述数据接口的扫描之后，完成一次反馈，所述反馈为真或假，当所述反馈为假的时候，所述数据删选模块，将所述第一新颖度高的待处理数据的副本发送给所述数据处理部。

更进一步，所述边缘处理单元还包括：

数据标记模块，根据所述数据拆分模块得到的子上行数据进行第二新颖度的标记；

所述数据发送模块，将所述子上行数据按照和其对应的所述第二新颖度标记打包发送到所述总控单元；

所述总控单元的数据分析模块，将所述第二新颖度达到设定数值的子上行数据进行拆分，或者将所述第二新颖度没有达到所述设定数值的子上行数据进行放行至所述数据处理部。

更进一步，所述第一新颖度的数值为0或者100％，所述第二新颖度的数值范围为0到100％。

更进一步，所述数据标记模块模块在标记所述第二新颖度的时候，包括如下步骤：

将所述子上行数据进行拆分，得到多个预处理数据；

分别根据每一个预处理数据的类型，在对应类型的数据库中查找，并标记对应的第三新颖度以及数据等级；

将每一个第三新颖度结合对应的数据等级进行加权运算，得到所述第二新颖度。

进一步，所述总控单元实时的得到其运行空间和已占用的运行空间的比例，当该比例达到设定比例的时候，停止接收所述上行数据。

本发明提供的一种工业互联网数据防护系统，具有如下有益效果：

本发明使用边缘计算的方式使得减小总控单元的运算量，同时减少总控单元的数据接口，保证数据的安全性。边缘计算的方式是使用多个边缘处理单元分担总控单元的一些基础工作，每一个边缘处理器分别与总控单元连接，每一个边缘处理器分别与多个生产设备连接，在工作的的时候，边缘处理器收集所负责的每一个生产设备的信息，并将收集到的信息进行初步的删选，最后将数据传输到总控单元，同时根据总控单元的指令，完成对于各个生产设备的信息传达，在这样的方式下，总控单元用于处理数据的运行空间可以提升至75％-85％；

本发明使得总控单元依次扫描数据的接口，使得要进入的数据依次的通过数据分析器拆分开来进行审核，并且将新的数据在释放之后根据数据所产生的效果，对新的数据进行标签的确定，当标签为病毒的时候，启动对应的杀毒程序对数据进行处理；

本发明的杀毒程序和数据分析器具有的运行空间占有率为5％以下，在对数据进行处理的时候，通过数据上的标签对数据进行处理，并根据数据的结构对数据进行标签的设定，从而可以通过每一个边缘处理单元提前对于数据进行数据的标签与设定，节约数据分析的审核工作，从而提升总控单元的安全性和工作效率。

附图说明

图1为本发明提供的一种工业互联网数据防护系统的整体结构示意框图；

图2为本发明的边缘处理单元的系统连接示意框图；

图3为本发明的总控单元的系统连接示意框图。

具体实施方式

下面结合附图，对本发明的一个具体实施方式进行详细描述，但应当理解本发明的保护范围并不受具体实施方式的限制。

在本申请文件中，未经明确的部件型号以及结构，均为本领域技术人员所公知的现有技术，本领域技术人员均可根据实际情况的需要进行设定，在本申请文件的实施例中不做具体的限定。

具体的，如图1-3所示，本发明实施例提供了一种工业互联网数据防护系统，包括总控单元和多个分别与所述总控单元信号交互的边缘处理单元。总控单元和多个边缘处理单元构成了边缘计算的结构方式，其目的是有效的减小总控单元的运算量，为总控单元进行分担。边缘处理单元就是分担了总控单元的部分基础工作。下面，分别对边缘处理单元和总控单元进行介绍。

所述边缘处理单元，用于接收多个生产设备的数据，并在每一次要给所述总控单元发送上行数据的时候统计的上行数据所占用的空间，并在发送上行数据前发送该上行数据所占用的空间。边缘处理单元所分担的工作是对数据在处理的时候所占用的空间进行初步的统计，防止由于数据量过大，使得数据一下子全部涌入总控单元而导致总控单元的数据拥堵，进而使得总控单元的在处理数据的时候有序进行，不会产生数据的紊乱，保证数据的安全性。

所述总控单元，用于分别接收每一个所述边缘处理单元发送的上行数据所占用的空间，根据每一个边缘处理单元所占用空间的总和得到实际占用空间，根据总控单元的运行空间的设定比例的数据与实际占用空间之间的数量关系，得到总控单元每次接收每一个所述上行数据的比例以及所接收的次数，根据每一个所述上行数据的比例以及所接收的次数接收每一个所述上行数据，对接收的上行数据进行处理。总控单元是根据实际的占用空间和预计所述占用的空间之间的数量关系，得到对于各个边缘处理单元的数据的接收的次数，就是在每一个时间节点，都会接收一次边缘处理单元所发送的数据，边缘处理单元也是依次在每一个时间节点都进行数据的定量发送，前提是在有数据要发送的时候。总控单元在每一个时间节点接收到数据的时候，就会对边缘处理单元所述发送的数据进行依次的处理，在处理的时候，对于一些不全面的数据，会在数据口出等待下一个时间节点的数据到来之后，与其进行合并之后，在对数据进行处理，对于不全面的数据，根据数据标签以及位置关系进行合并。

上述技术方案中，通过边缘计算的结构方式，将对于数据的基本处理放置边缘处理单元进行初步的计算，在进行计算的时候，通过边缘处理单元接收要处理的数据，并且得到要处理的数据在总控单元处理的时候所述占用的空间，进而汇总全部的边缘处理单元所统计的占用的空间的综合，根据总控单元的运行空间的设定比例的数据与实际占用空间之间的数量关系，得到总控单元每次接收每一个所述上行数据的比例以及所接收的次数，边缘处理单元需要分开进行数据的传递，这样就是使得在每一个时间节点，总控单元在处理数据的时候，不会具有大量的数据积压，而将数据积压全部分摊到各个边缘处理单元，使得边缘处理单元有效的分担了总控单元的数据处理压力，从另一个方面来看，就是通过分担数据的方式，保证了数据的安全稳定性。

对于根据总控单元的运行空间的设定比例的数据与实际占用空间之间的数量关系，得到总控单元每次接收每一个所述上行数据的比例以及所接收的次数。本发明是将总控单元可以接收的最大的数据(总控单元的运行空间)的设定比例(设定比例是为了满足总控单元接收的数据不超过最大的接收量，保留出所要作为系统防护的必备程序所需要占用的空间)的数据，与实际做占用空间之间的大小关系，得到各个上行数据的比例，在根据这个比例得到接收的次数。例如，总控单元的运行空间的设定比列的数据做占用的空间梁为80，而实际所占用的量为100，则多出来20，则该边缘处理单元的上述数据的比例最大为80％，次数为2次，而这个尚需数据的比例，还根据边缘处理单元的数据的重要等级程度进行调整。

在本发明的实施例中，对上述的边缘处理单元进行优化，使得边缘处理单元在处理数据的时候更加的依次有序，所述边缘处理单元包括：数据梳理模块、数据拆分模块以及数据发送模块。下面是各个模块的详细介绍。

数据梳理模块，将所述上行数据按照其在所述总控单元所执行的逻辑顺序依次进行排列；该模块的功能是为了提升总控单元的处理效率，优先处理重要的数据，因此，将上行数据按照总控单元所执行的逻辑顺序依次进行排列，这样在依次进行传输的时候，如果需要多次传输，那么总控单元就可以优先收到并处理重要的数据，进而提升数据处理的效率。

数据拆分模块，用于接收所述总控单元中该边缘处理单元的上行数据的比例以及所述接收的次数，并根据上行数据的比例将所述上行数据进行拆分，拆分后的各个子上行数据依次排列；该模块是根据上行数据的比例和次数，对数据进行拆分，并将拆分后的子上行数据依次排列，在进行排列的时候，根据上述的原则对数据进行排列。

数据发送模块，将所述子上行数据按照排列的顺序依次发送到所述总控单元。该模块是执行的模块，是将上述的拆分的数据进行排列，并且完成发送。

上述的技术方案中，将边缘处理单元要上传的数据依次进行排列，将拆分都的数据进行排列，并且按照总控单元所执行的逻辑顺序依次进行排列，使得总控单元就可以优先收到并处理重要的数据，进而提升数据处理的效率。

同时，我们还对总控单元的处理进行优化，在本发明中，所述总控单元包括：数据扫描接口、数据分析模块、数据放行模块以及数据删选模块。

数据扫描接口，用于依次扫描数据接口的工作状态，并且根据顺序依次开启对应的数据接口在设定时间内保持开放状态；这样可以依次接收每一个边缘处理单元所发送的数据，使得在处理数据的时候，依次有序的进行。

数据分析模块，将接收的所述子上行数据根据进行拆分得到各个待处理数据，根据各个待处理数据的第一新颖度，对各个待处理数据进行标记；该模块是根据数据的新旧进行标记，对于第一新颖度高的数据，认为是新的数据，即是总控单元之前没有处理过的数据。

数据放行模块，将所述标记好所述第一新颖度的待处理数据放行至所述总控单元的数据处理部，并开启接收所述数据处理部的反馈；该模块是将新的数据试放行到总控单元的数据处理部，测试总控单元的数据处理部对于数据处理的反馈。

数据删选模块，在接收到所述数据处理部的反馈的时候，将所述第一新颖度高的待处理数据的副本发送给所述数据处理部；当总控单元的数据处理部对数据有反馈的时候，说明该试放行的数据异常，需要删除，因此，使用该数据的副本发送到数据处理部，由数据处理部完成删除工作。

所述数据处理部，包括用于根据所述数据删选模块发送待处理数据的副本，查找接收的待处理数据，并将该待处理数据删除。数据处理部的主要功能是总控单元用于数据处理的，在正常处理数据的时候，没有反馈，在数据处理异常的时候，进行反馈。

上述对总控单元进行进一步的优化，通过根据数据的新颖程度对数据进行处理，在对新的数据(即第一新颖度高的数据)进行处理的时候，根据数据处理部的反馈，判断该数据是否对于总控单元的数据处理具有明显的不协调。一般的，该程序为病毒程序，需要彻底删除。

本发明使得总控单元依次扫描数据的接口，使得要进入的数据依次的通过数据分析器拆分开来进行审核，并且将新的数据在释放之后根据数据所产生的效果，对新的数据进行标签的确定，当标签为病毒的时候，启动对应的杀毒程序对数据进行处理。

作为优选的，所述总控单元的所述数据处理部在所述数据扫描接口完成一次所述数据接口的扫描之后，完成一次反馈，所述反馈为真或假，当所述反馈为假的时候，所述数据删选模块，将所述第一新颖度高的待处理数据的副本发送给所述数据处理部。当所述反馈为真的时候，不做任何操作。只在出现故障的时候，得到反馈，这样可以节约总控单元的运行程序，加速总控单元的运行效率。

对于上述方案的进一步优化，从边缘处理单元就对数据进行处理，使得总控单元尽可能的少接收甚至不接接收类似病毒的程序，本发明的所述边缘处理单元还包括：数据标记模块。本发明的数据标记模块，用于根据所述数据拆分模块得到的子上行数据进行第二新颖度的标记；这样就可以得到边缘处理单元所要发送的数据的新颖度，后续仅仅需要根据边缘处理单元所发送的新的数据即可，节约了总控单元的工作量。

所述数据发送模块，将所述子上行数据按照和其对应的所述第二新颖度标记打包发送到所述总控单元；该模块执行的是发送的过程，同时完成的是边缘处理单元对于数据的初步处理。

所述总控单元的数据分析模块，将所述第二新颖度达到设定数值的子上行数据进行拆分，或者将所述第二新颖度没有达到所述设定数值的子上行数据进行放行至所述数据处理部。该模块将边缘处理单元已经完成的初步处理的数据进行二次新颖度的处理，这样就可以使得新颖度低的数据直接放行，不进行二次的处理，进而提升了数据处理的效率。

本发明中，所述第一新颖度的数值为0或者100％，所述第二新颖度的数值范围为0到100％。第一新颖度和第二新颖度的数值越高，数据越新。对于第一新颖度和第二新颖度的数值，根据要发送的数据和之前已经发送的数据之间的相似程度进行计算，对于要发送的数据和之前已经发送的数据之间的选择，根据数据的类型进行确定。

一般的，在本发明中，第一新颖度和第二新颖度的阈值的确定体现了本发明对于数据防御性能的高低，由技术人员自行进行认定，在本发明中，第一新颖度使用40％和第二新颖度使用60％的数值。

在本发明中，对于新颖度标记的时候，提出其中的一种方式，所述数据标记模块模块在标记所述第二新颖度的时候，包括如下步骤：

(一)将所述子上行数据进行拆分，得到多个预处理数据；

(二)分别根据每一个预处理数据的类型，在对应类型的数据库中查找，并标记对应的第三新颖度以及数据等级；

(三)将每一个第三新颖度结合对应的数据等级进行加权运算，得到所述第二新颖度。

上述技术方案中，步骤(一)至步骤(三)根据逻辑顺序依次进行，通过将数据拆分之后，得到拆分后的多个预处理数据，根据这些预处理数据的类型得到对应的新颖度以及数据等级，最后加权得到所述的第二新颖度。这样的方式对于在进行第二新颖度判断的时候，是根据上行数据的数据类型，这样所得到的上行数据的第二新颖度与数据本身相关，得到的数据更加的可靠，也是最为渐变的第二新颖度的判断方式。

在本发明的实施例中，所述总控单元实时的得到其运行空间和已占用的运行空间的比例，当该比例达到设定比例的时候，停止接收所述上行数据。本发明的杀毒程序和数据分析器具有的运行空间占有率为5％以下，在对数据进行处理的时候，通过数据上的标签对数据进行处理，并根据数据的结构对数据进行标签的设定，从而可以通过每一个边缘处理单元提前对于数据进行数据的标签与设定，节约数据分析的审核工作，从而提升总控单元的安全性和工作效率。

以上公开的仅为本发明的几个具体实施例，但是，本发明实施例并非局限于此，任何本领域的技术人员能思之的变化都应落入本发明的保护范围。

Claims

一种工业互联网数据防护系统，其特征在于，包括总控单元和多个分别与所述总控单元信号交互的边缘处理单元；

所述边缘处理单元，用于接收多个生产设备的数据，并在每一次要给所述总控单元发送上行数据的时候统计的上行数据所占用的空间，并在发送上行数据前发送该上行数据所占用的空间；

所述总控单元，用于分别接收每一个所述边缘处理单元发送的上行数据所占用的空间，根据每一个边缘处理单元所占用空间的总和得到实际占用空间，根据总控单元的运行空间的设定比例的数据与实际占用空间之间的数量关系，得到总控单元每次接收每一个所述上行数据的比例以及所接收的次数，根据每一个所述上行数据的比例以及所接收的次数接收每一个所述上行数据，对接收的上行数据进行处理。
如权利要求1所述的一种工业互联网数据防护系统，其特征在于，所述边缘处理单元包括：

数据梳理模块，将所述上行数据按照其在所述总控单元所执行的逻辑顺序依次进行排列；

数据拆分模块，用于接收所述总控单元中该边缘处理单元的上行数据的比例以及所述接收的次数，并根据上行数据的比例将所述上行数据进行拆分，拆分后的各个子上行数据依次排列；

数据发送模块，将所述子上行数据按照排列的顺序依次发送到所述总控单元。
如权利要求2所述的一种工业互联网数据防护系统，其特征在于，所述总控单元包括：

数据扫描接口，用于依次扫描数据接口的工作状态，并且根据顺序依次开启对应的数据接口在设定时间内保持开放状态；

数据分析模块，将接收的所述子上行数据根据进行拆分得到各个待处理数据，根据各个待处理数据的第一新颖度，对各个待处理数据进行标记；

数据放行模块，将所述标记好所述第一新颖度的待处理数据放行至所述总控单元的数据处理部，并开启接收所述数据处理部的反馈；

数据删选模块，在接收到所述数据处理部的反馈的时候，将所述第一新颖度高的待处理数据的副本发送给所述数据处理部；

所述数据处理部，包括用于根据所述数据删选模块发送待处理数据的副本，查找接收的待处理数据，并将该待处理数据删除。
如权利要求3所述的一种工业互联网数据防护系统，其特征在于，所述总控单元的所述数据处理部在所述数据扫描接口完成一次所述数据接口的扫描之后，完成一次反馈，所述反馈为真或假，当所述反馈为假的时候，所述数据删选模块，将所述第一新颖度高的待处理数据的副本发送给所述数据处理部。
如权利要求3所述的一种工业互联网数据防护系统，其特征在于，所述边缘处理单元还包括：

数据标记模块，根据所述数据拆分模块得到的子上行数据进行第二新颖度的标记；

所述数据发送模块，将所述子上行数据按照和其对应的所述第二新颖度标记打包发送到所述总控单元；

所述总控单元的数据分析模块，将所述第二新颖度达到设定数值的子上行数据进行拆分，或者将所述第二新颖度没有达到所述设定数值的子上行数据进行放行至所述数据处理部。
如权利要求5所述的一种工业互联网数据防护系统，其特征在于，所述第一新颖度的数值为0或者100％，所述第二新颖度的数值范围为0到100％。
如权利要求5所述的一种工业互联网数据防护系统，其特征在于，所述数据标记模块模块在标记所述第二新颖度的时候，包括如下步骤：

将所述子上行数据进行拆分，得到多个预处理数据；

分别根据每一个预处理数据的类型，在对应类型的数据库中查找，并标记对应的第三新颖度以及数据等级；

将每一个第三新颖度结合对应的数据等级进行加权运算，得到所述第二新颖度。
如权利要求1所述的一种工业互联网数据防护系统，其特征在于，所述总控单元实时的得到其运行空间和已占用的运行空间的比例，当该比例达到设定比例的时候，停止接收所述上行数据。