一种用于工业物联网的防御方法及装置制造方法及图纸

本申请公开了一种用于工业物联网的防御方法及装置，用以解决工业物联网防御方法无法对网络攻击进行有效防范的问题。方法包括：对工业物联网内TCP连接过程进行监测，获取存在异常的数据包；并与预设风险数据库做对比，在对比结果不相同的情况下，确定存在新的安全隐患；统计与第一被攻击节点不存在连通关系的节点地址，作为第一集合；与第一被攻击节点存在连通关系的节点地址，作为第二集合；确定攻击者采用盲扫描策略的情况下，在第一集合中选择第一目标地址，确定攻击者采用非盲扫描策略的情况下，在第二集合中选择第一目标地址，以便替换第一被攻击节点的地址。本申请通过上述方法，可以有效提高工业物联网的防御能力。

【技术实现步骤摘要】
一种用于工业物联网的防御方法及装置
本申请涉及网络安全
，尤其涉及一种用于工业物联网的防御方法及装置。
技术介绍
随着物联网技术的不断发展，已经在各个领域普及。特别是工业物联网在工业领域的广泛应用，大幅提高工业生产效率与产品质量。然而，随着越来越开放的网络连接，以及越来越多的数据信息进行交互，使得工控系统、联网设备、工业云平台容易遭到恶意网络攻击。从而造成工业制造企业的数据外泄、生产中断、资金损失等后果。现有的物联网防御通常采用防火墙技术与入侵检测技术，对网络进行实时监视，在发现可疑传输时发出警报。而在出现新型攻击数据时，没有可靠的防范方法，以致无法确保工业物联网的安全。
技术实现思路
本申请实施例提供了一种用于工业物联网的防御方法及装置，用以解决现有的物联网防御方法无法对网络攻击进行有效防范的问题。一方面，本申请实施例提供了一种用于工业物联网的防御方法。对工业物联网内若干数据包的TCP连接过程进行监测，获取所述TCP连接过程中存在异常的数据包；将监测到的异常数据包，与预设风险数据库做对比，在对比结果不相同的情况下，确定所述数据包存在新的安全隐患；统计当前时刻被攻击的工业物联网内，与第一被攻击节点不存在连通关系的节点地址，将所有不存在连通关系的节点地址作为第一集合；以及统计与第一被攻击节点存在连通关系的节点地址，将所有存在连通关系的节点地址作为第二集合；在本次攻击属于盲扫描策略攻击的情况下，确定在下一时间段内，所述第一集合中被攻击概率最高且不存在目标数据的第二节点，将所述第二节点作为第一目标地址；在本次攻击属于非盲扫描策略攻击的情况下，确定在下一时间段内，所述第二集合中被攻击概率最高且不存在目标数据的第三节点，将所述第三节点作为第一目标地址；将所述第一目标地址替换所述第一被攻击节点的地址。本申请实施例通过确定与当前被攻击的节点是否存在连通关系，将工业物联网内的节点划分为不同的集合。以此可以针对不同的攻击策略，在不同的地址集合中，选择适合的节点地址作为替换地址。并且，本申请实施例还会对集合中若干节点被攻击的概率进行计算，并选择被攻击概率最高，且不存在目标数据的的节点地址，作为替换地址。以此提高攻击者对替换后的节点地址的可信度，攻击者对不存在目标数据的第一目标节点进行攻击，进而确保目标数据的安全。在本申请的一种实现方式中，将监测到的异常数据包，与预设风险数据库做对比，在对比结果不相同的情况下，确定数据包存在新的安全隐患之后，还包括：统计预设第一周期内，工业物联网内存在安全隐患的数据包的数量；将预设第一周期分为若干时长相同的第二周期，分别统计若干第二周期内，存在安全隐患的数据包中的目标地址；其中，第二周期为攻击者发起一次攻击的攻击时间周期；确定在若干第二周期内，存在安全隐患的数据包中的目标地址所对应的节点具有连通关系，则确定本次攻击为非盲扫描策略攻击；确定在若干第二周期内，存在安全隐患的数据包中的目标地址所对应的节点不具有连通关系，则确定本次攻击为盲扫描策略攻击。本申请实施例通过统计攻击者连续若干次的攻击地址。并根据每次被攻击的节点地址之间是否有连通关系，确定攻击者的攻击策略。本申请实施例通过获取攻击者的攻击策略，可以提供相对应的节点地址对被攻击地址进行替换。并根据不同攻击策略的特点，选定可信度更高的节点地址进行替换，以此诱导攻击者对替换后的节点地址进行攻击，有效保障工业物联网中目标数据的安全。在本申请的一种实现方式中，还包括：在确定本次攻击采用的是非盲扫描策略的情况下，根据函数tat+1＝βtat+(1-β)tat-1+(1-β)2ta0，确定下一时间段内，所述第二集合中若干第二节点分别被攻击的概率，将所述第二集合中的节点根据被攻击概率，从大到小进行排序；顺序对第二集合中的节点进行检测，并将检测出的第一个不存在目标数据的节点作为第一目标地址；其中，tat+1为若干第二节点分别在下一时间段内被扫描的概率；tat为当前时间段内的转移概率矩阵；tat-1为上一时间段内的转移概率矩阵；ta0为初始转移概率矩阵；β为转移概率的权重；t为当前时间段。本申请实施例在确定本次攻击是非盲扫描策略的情况下，会优先选择第二集合中的节点作为第一目标地址。因为在非盲扫描策略的情况下，第二集合中的节点在下一时间段内被攻击的概率较大。因此不仅缩小选择第一目标地址的范围，还会有针对性的选择令攻击者可信度更高的第一目标地址。此外，本申请实施例根据初始时间，当前时间段以及上一时间段，三段时间内的转移概率矩阵，计算出下一时间段内第二集合中的若干节点被攻击的概率。以此减小计算概率的误差，提高预测被攻击节点的准确率。并且，本申请实施例还按被攻击概率的大小，对集合内的节点进行排序，选择被攻击概率最高的节点作为替换节点，以此提高攻击者对替换后节点地址的可信度，增强防御效果。在本申请的一种实现方式中，确定下一时间段内，所述第二集合中若干第二节点分别被攻击的概率之后，所述方法还包括：在检测到所述第二集合中的所有第二节点都存在目标数据的情况下，再次根据函数tat+1＝βtat+(1-β)tat-1+(1-β)2ta0，确定第一集合中的若干第二节点分别被攻击的概率；将第一集合中的若干第二节点，依据被攻击的概率从大到小顺序排序，并将按顺序检测出的第一个不存在目标数据的第二节点的地址，作为第一目标地址。本申请实施例在确定第二集合中的所有节点都存在目标数据的情况下，会计算第一集合中的若干节点被攻击的概率。并根据概率大小，将第一集合中的节点进行排序，将被攻击概率最大，且没有目标数据的节点作为第一目标地址。本申请实施例在选择目标地址时，会优先选择被攻击概率大的节点，以此提高攻击者被欺骗的几率。确保目标数据不会被攻击，保障工业物联网的安全运行。在本申请的一种实现方式中，还包括：在确定本次攻击采用的是盲扫描策略的情况下，统计在本次攻击之前的第一预设时长内，攻击者已经攻击过的节点地址；在统计出的第一预设时长内已经被攻击过的节点地址中，任意选取其中一个地址作为所述第一目标地址。本申请实施例在确定本次攻击为盲扫描策略的情况下，会在已经被攻击的节点中选择第一目标地址。为了确保所选第一目标地址的可靠性，本申请实施例会先将选择范围缩小，即，在本次攻击之前的第一预设时长内选择第一目标地址。以此解决了所选地址因距离上一次被攻击的时间太久，而有可能再次被攻击，以致攻击者突破工业物联网防御的问题。在本申请的一种实现方式中，在对比结果不相同的情况下，确定数据包存在新的安全隐患之前，还包括对所述工业物联网中的目标数据进行加密，具体包括：随机生成若干初始密钥；将目标数据划分为若干个字节数量相同的第一字节矩阵；将初始密钥与目标数据对应的第一字节矩阵进行异或操作，并将异或操作后得到的字节矩阵进行置换与位移，得到第一轮加密目标数据；通过AES算法对若干初始密钥进行加密，得到若干加密后的初始密钥；通过DES算法对若干加密后的初始密钥进行加密，得到第一轮密钥；将第一轮密钥与第一轮加密目标数据进行异或操作，并将异或操作后得到的字节矩阵进本文档来自技高网...

【技术保护点】
1.一种用于工业物联网的防御方法，其特征在于，所述方法包括：/n对工业物联网内若干数据包的TCP连接过程进行监测，获取所述TCP连接过程中存在异常的数据包；/n将监测到的异常数据包，与预设风险数据库做对比，在对比结果不相同的情况下，确定所述数据包存在新的安全隐患；/n统计当前时刻被攻击的工业物联网内，与第一被攻击节点不存在连通关系的节点地址，将所有不存在连通关系的节点地址作为第一集合；以及统计与第一被攻击节点存在连通关系的节点地址，将所有存在连通关系的节点地址作为第二集合；/n在本次攻击属于盲扫描策略攻击的情况下，确定在下一时间段内，所述第一集合中被攻击概率最高且不存在目标数据的第二节点，将所述第二节点作为第一目标地址；/n在本次攻击属于非盲扫描策略攻击的情况下，确定在下一时间段内，所述第二集合中被攻击概率最高且不存在目标数据的第三节点，将所述第三节点作为第一目标地址；/n将所述第一目标地址替换所述第一被攻击节点的地址。/n

【技术特征摘要】
1.一种用于工业物联网的防御方法，其特征在于，所述方法包括：
对工业物联网内若干数据包的TCP连接过程进行监测，获取所述TCP连接过程中存在异常的数据包；
将监测到的异常数据包，与预设风险数据库做对比，在对比结果不相同的情况下，确定所述数据包存在新的安全隐患；
统计当前时刻被攻击的工业物联网内，与第一被攻击节点不存在连通关系的节点地址，将所有不存在连通关系的节点地址作为第一集合；以及统计与第一被攻击节点存在连通关系的节点地址，将所有存在连通关系的节点地址作为第二集合；
在本次攻击属于盲扫描策略攻击的情况下，确定在下一时间段内，所述第一集合中被攻击概率最高且不存在目标数据的第二节点，将所述第二节点作为第一目标地址；
在本次攻击属于非盲扫描策略攻击的情况下，确定在下一时间段内，所述第二集合中被攻击概率最高且不存在目标数据的第三节点，将所述第三节点作为第一目标地址；
将所述第一目标地址替换所述第一被攻击节点的地址。


2.根据权利要求1所述的一种用于工业物联网的防御方法，其特征在于，所述将监测到的异常数据包，与预设风险数据库做对比，在对比结果不相同的情况下，确定所述数据包存在新的安全隐患之后，所述方法还包括：
统计预设第一周期内，所述工业物联网内存在安全隐患的数据包的数量；
将所述预设第一周期分为若干时长相同的第二周期，分别统计若干第二周期内，存在安全隐患的数据包中的目标地址；其中，所述第二周期为攻击者发起一次攻击的攻击时间周期；
确定在若干第二周期内，存在安全隐患的数据包中的目标地址所对应的节点具有连通关系，则确定本次攻击为非盲扫描策略攻击；
确定在若干第二周期内，存在安全隐患的数据包中的目标地址所对应的节点不具有连通关系，则确定本次攻击为盲扫描策略攻击。


3.根据权利要求2所述的一种用于工业物联网的防御方法，其特征在于，所述方法还包括：
在确定本次攻击采用的是非盲扫描策略的情况下，根据函数tat+1＝βtat+(1-β)tat-1+(1-β)2ta0，确定下一时间段内，所述第二集合中若干第二节点分别被攻击的概率，将所述第二集合中的节点根据被攻击概率，从大到小进行排序；
顺序对第二集合中的节点进行检测，并将检测出的第一个不存在目标数据的节点作为第一目标地址；
其中，tat+1为若干第二节点分别在下一时间段内被扫描的概率；tat为当前时间段内的转移概率矩阵；tat-1为上一时间段内的转移概率矩阵；ta0为初始转移概率矩阵；β为转移概率的权重；t为当前时间段。


4.根据权利要求3所述的一种用于工业物联网的防御方法，其特征在于，所述确定下一时间段内，所述第二集合中若干第二节点分别被攻击的概率之后，所述方法还包括：
在检测到所述第二集合中的所有第二节点都存在目标数据的情况下，再次根据函数tat+1＝βtat+(1-β)tat-1+(1-β)2ta0，确定所述第一集合中的若干第二节点分别被攻击的概率；
将所述第一集合中的若干第二节点，依据被攻击的概率从大到小顺序排序，并将按顺序检测出的第一个不存在目标数据的第二节点的地址，作为所述第一目标地址。


5.根据权利要求2所述的一种用于工业物联网的防御方法，其特征在于，所述方法还包括：
在确定本次攻击采用的是盲扫描策略的情况下，统计在本次攻击之前的第一预设时长内，攻击者已经攻击过的节点地址；
在统计出的所述第一预设时长内已经被攻击过的节点地址中，任意选取其中一个地址作为所述第一目标地址。


6.根据权利要求1所述的一种用于工业物联网的防御方法，其特征在于，所述在对比结果不相同的情况下，确定所述数据包存在新的安全隐患之前，所述方法还包括对所述工业物联网中的目标数据进行加密，所述加密具体包括：
随机生成若干初始密钥；
将目标数据划分为若干个字节数量相同的第一字节矩阵；
将所述初始密钥与目标数据对应的第一字节矩阵进行异或操作，并将异或操作后得到的字节矩阵进行置换与位移，得到第一轮加密目标数据；
通过AES算法对所述若干初始密钥进行加密，得到若干加密后的初始密钥；通过DES算法对所述若干加密后的初始密钥进行加密，得到第一轮密钥；
将所述第一轮密钥与所述第一轮加密目标数据进行异或操作，并将异或操作后得到的字节矩阵进行置换与位移，得到的二轮加密目标数据；
将所述第一轮密钥划分为若干个字节数量相同的第二字节矩阵；...

【专利技术属性】
技术研发人员：李峰，张俭锋，赵慧奇，王绍密，和希文，肖峰，
申请(专利权)人：山东云天安全技术有限公司，
类型：发明
国别省市：山东;37