本发明专利技术公开了一种工控环境下数据采集中设备和事件的标识方法,包括:对工控环境下的设备进行编码标识,得到设备标签;对工控环境下的操作事件进行分类,并对不同类型的分类事件进行编码标识,得到事件标签;采集数据;通过设备标签和事件标签对所采集的数据进行标识,并上传数据;数据分析。本发明专利技术通过增加设备标签和事件标签,从而能够清晰标识数据相关联的设备和事件,满足采集数据进行归一化的要求,同时对事件进行标识的设计能够提高后续数据综合关联分析的效率。
An identification method of data collection equipment and events in industrial control environment
【技术实现步骤摘要】
一种工控环境下数据采集中设备和事件的标识方法
本专利技术涉及工控数据采集
,具体涉及一种工控环境下数据采集中设备和事件的标识方法。
技术介绍
在工控环境中进行数据采集,尤其是全量数据采集,往往包含了来自不同类型设备的多种数据,这些数据普遍会代表或能够关联到不同类别的事件。在数据采集时,基于采集数据的来源信息和事件类别信息,进行数据的预处理、清洗和归一化,并进行标识后上传;能够更好的提高数据的利用率,挖掘数据的价值,方便后续进一步的关联分析。通过对国内外论文、学术会议、科技文献、专利等等数据库的检索发现:现阶段工控环境下全量数据的采集分析还处在起步阶段:一是在数据采集时如何对采集的原始数据进行预处理;二是预处理后如何进行标识以提高后续关联分析的效率。
技术实现思路
针对现有技术中存在的上述问题,本专利技术提供一种工控环境下数据采集中设备和事件的标识方法。本专利技术公开了一种工控环境下数据采集中设备和事件的标识方法,包括:对工控环境下的设备进行编码标识,得到设备标签;对工控环境下的操作事件进行分类,并对不同类型的分类事件进行编码标识,得到事件标签;采集数据;通过所述设备标签和事件标签对所采集的数据进行标识,并上传数据;数据分析。作为本专利技术的进一步改进,所述设备包括主机设备、控制设备、网络设备和安全设备。作为本专利技术的进一步改进,所述操作事件包括主机事件、网络设备交换机事件、安全设备横向隔离装置事件、安全设备防火墙事件和安全设备入侵监测事件。作为本专利技术的进一步改进,在所述采集数据时,对数据进行清洗和归一化。作为本专利技术的进一步改进,将数据标识为<原始数据、设备标签、事件标签>的形式,并上传数据。作为本专利技术的进一步改进,所述数据分析包括:根据设备类型或事件类型进行原始数据分析,将同设备标签或事件标签的原始数据进行关联检索,完成数据信息挖掘。与现有技术相比,本专利技术的有益效果为:本专利技术通过增加设备标签和事件标签,从而能够清晰标识数据相关联的设备和事件,满足采集数据进行归一化的要求,同时对事件进行标识的设计能够提高后续数据综合关联分析的效率。附图说明图1为本专利技术一种实施例公开的工控环境下数据采集中设备和事件的标识方法的流程图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术的一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本专利技术保护的范围。下面结合附图对本专利技术做进一步的详细描述:针对现有技术中缺少一种工控环境下如何对采集的原始数据进行预处理(有效归一化)的方法、以及缺少一种工控环境下对归一化后的数据如何进行标识以提高后续关联分析效率的方法;为实现对工控环境下全量采集的数据进行预处理,实现数据的初步清晰和归一化,本专利技术提供一种工控环境下数据采集中设备和事件的标识方法,该标识方法通过对设备类型和事件类型进行分类标识,得到对应的设备标签和事件标签,利用设备标签和事件标签对后续采集的原始数据进行标识,以进一步挖掘数据的信息价值,提高后续关联分析的效率。具体的:如图1所示,本专利技术提供一种工控环境下数据采集中设备和事件的标识方法,包括:步骤1、对工控环境下的设备进行编码标识,得到设备标签;其中,设备包括主机设备、控制设备、网络设备和安全设备等,主机设备包括采用通用操作系统的服务器、工作站;控制设备包括工业生产过程中用于控制执行器以及采集传感器数据的装置;网络设备包括交换机、路由器等网络通信设备;安全设备包括防火墙、纵向加密认证装置、正向隔离装置、反向隔离装置、采集探针、入侵检测系统(IDS)、运维操作审计系统、防病毒系统等网络安全设备;本专利技术可对主机设备、控制设备、网络设备和安全设备(包括其各自的下属设备)按照1001、1002、1003、1004等编码方式进行标识,如1001代表主机设备,1004代表防火墙;也可对主机设备、控制设备、网络设备和安全设备等一级设备进行一级标识,对主机设备、控制设备、网络设备和安全设备等一级设备的二级设备(服务器、工作站、正向隔离装置等)进行二级标识,如主机设备、控制设备、网络设备和安全设备按照1001、1002、1003、1004等编码方式进行标识,服务器、工作站按照100101、100102等编码方式进行标识。步骤2、对工控环境下的操作事件进行分类,并对不同类型的分类事件进行编码标识,得到事件标签;其中,操作事件一般包括主机事件、网络设备交换机事件、安全设备横向隔离装置事件、安全设备防火墙事件、安全设备入侵监测事件等。其中以主机事件为例,又包括登录成功事件、退出登陆事件、登录失败事件、操作命令事件、操作回显事件、USB设备插入事件、USB设备拔出事件、串口占用事件、串口释放事件、并口占用事件、并口释放事件、光驱挂载事件、光驱卸载事件、网络外联事件等。可根据需要,对所有相关事件进行定义,并按照统一规范进行标签设置进行标识。本专利技术可对主机事件、网络设备交换机事件、安全设备横向隔离装置事件、安全设备防火墙事件、安全设备入侵监测事件等(包括其各自的下属操作事件)按照2001、2002、2003、2004等编码方式进行标识,如2001代表主机事件,2002代表网络设备交换机事件;也可对主机事件、网络设备交换机事件、安全设备横向隔离装置事件、安全设备防火墙事件、安全设备入侵监测事件等一级事件进行一级标识,对主机事件、网络设备交换机事件、安全设备横向隔离装置事件、安全设备防火墙事件、安全设备入侵监测事件等一级事件的二级事件(如主机事件的主机登录成功事件、主机登录失败事件等)进行二级标识,如2001代表主机事件,200101代表主机登录成功事件,200102代表主机登录失败事件,200103代表主机登录退出事件。步骤3、采集数据;其中,在采集数据时,对数据进行清洗和归一化;在全量数据采集中,应当对设备的日志信息和通信流量信息进行采集。其中日志信息指通过SNMP、SNMPTrap、Syslog、Agent、网络主动扫描方式采集的信息,通信流量信息指通过流量嗅探方式采集的信息;其中,通用主机的采集数据应包括日志信息;网络设备的采集数据应包括日志信息、通信流量信息;安全设备的采集数据应包括日志信息。步骤4、通过设备标签和事件标签对所采集的数据进行标识,并上传数据;其中,采集的数据应当与相应的事件进行对应,才能进行后续的关联分析。例如对主机信息的采集中,就应当包括用户登录成功事件、用户登录失败事件、用户退出登录事件、U盘设备插入、U盘设备拔出等。为此,本专利技术通过设备标签和事件标签对所采集的数据进行标识,本文档来自技高网...
【技术保护点】
1.一种工控环境下数据采集中设备和事件的标识方法,其特征在于,包括:/n对工控环境下的设备进行编码标识,得到设备标签;/n对工控环境下的操作事件进行分类,并对不同类型的分类事件进行编码标识,得到事件标签;/n采集数据;/n通过所述设备标签和事件标签对所采集的数据进行标识,并上传数据;/n数据分析。/n
【技术特征摘要】
1.一种工控环境下数据采集中设备和事件的标识方法,其特征在于,包括:
对工控环境下的设备进行编码标识,得到设备标签;
对工控环境下的操作事件进行分类,并对不同类型的分类事件进行编码标识,得到事件标签;
采集数据;
通过所述设备标签和事件标签对所采集的数据进行标识,并上传数据;
数据分析。
2.如权利要求1所述的标识方法,其特征在于,所述设备包括主机设备、控制设备、网络设备和安全设备。
3.如权利要求1所述的标识方法,其特征在于,所述操作事件包括主机事件、网络...
【专利技术属性】
技术研发人员:姜双林,周磊,饶志波,毕军生,陈贞龙,
申请(专利权)人:北京安帝科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。