本发明专利技术属于工业网络安全领域,具体公开了一种工业主机行为数据的边缘聚合探针装置及其方法。本申请利用探针对工业主机的行为数据流进行监测,并且基于边缘计算机制的智能匹配运算,对该工业主机的行为数据流进行事件聚合,从而基于该事件聚合结果进行工业主机信息安全风险的分析判断并提供安全防护。本发明专利技术能够适应现有工业主机的数据流规模和复杂性动态性程度,为工业主机信息安全风险的分析判断和安全防护提供了有效的前端保障。和安全防护提供了有效的前端保障。和安全防护提供了有效的前端保障。
【技术实现步骤摘要】
工业主机行为数据的边缘聚合探针装置及其方法
[0001]本专利技术涉及工业网络安全领域,具体涉及一种工业主机行为数据的边缘聚合探针装置及其方法。
技术介绍
[0002]随着智慧工厂的建立和普及,工业系统的数字化、智能化、网络化的属性持续增强。相应地,工业系统的信息安全的重要性日益凸显,得到越来越广泛的关注。然而,目前工业系统的信息安全尚存在较多的漏洞和短板,特别是工业主机作为智慧工厂中生产设施和信息系统的结合点,更是各种网络攻击的聚焦点,非常容易成为系统中的薄弱环节。
[0003]目前,工业主机的网络安全防护仍然采取较为单一和固化的模式,以白名单机制作为主要手段。白名单机制是基于工控主机的设备运行状态是有限的以及在特定的设备运行状态下工控主机所允许的主机行为是有限的基本假设,将特定设备运行状态下被允许的主机行为纳入白名单,而将其他的主机行为识别为异常行为并加以阻止,从而避免这些异常行为给工业主机的硬件、固件、软件、数据等方面的可用性、保密性、完整性带来安全风险。
[0004]然而,随着面向工业主机的数据流的规模逐渐增大,复杂程度持续提升,动态性不断增强,以上白名单的传统手段由于效率较低,灵活性不足,已经不能满足工业主机的安全防护需求。
技术实现思路
[0005]针对上述现有技术的不足,本申请提供一种工业主机行为数据的边缘聚合探针装置及其方法。本申请利用探针对工业主机的行为数据流进行监测,并且基于边缘计算机制的智能匹配运算,对该工业主机的行为数据流进行事件聚合,从而基于该事件聚合结果进行工业主机信息安全风险的分析判断并提供安全防护。
[0006]第一方面本申请提出了一种工业主机行为数据的边缘聚合探针装置,包括:探针接口、流缓存单元、行为事件聚合单元、特征码提取单元、通讯接口;所述探针接口用于拦截和记录工业主机的行为动作指令及其指令参数,按照时序形成行为数据流,并发送给流缓存单元;所述流缓存单元用于对所述工业主机的行为动作指令及其指令参数形成的行为数据流,按照数据流的输入时序进行缓存;所述行为事件聚合单元针对所述流缓存单元缓存的行为数据流,根据预定义的事件链,将缓存的行为数据流中的行为动作指令参照事件链的行为节点进行智能匹配,从而基于行为动作指令之间的匹配度,以事件为单位,对与同一事件关联的行为动作指令进行事件聚合,形成事件行为簇;所述特征码提取单元针对每个事件行为簇中的行为动作指令及其指令参数,将其转化为特征码;
所述通讯接口,用于以每个事件行为簇为单位,将事件行为簇相关的特征码的数组上传到工业主机的后台或者云端。
[0007]优选的是,通过嵌入该工业主机操作系统内核的钩子函数实现所述探针接口。
[0008]优选的是,所述流缓存单元在工业主机的内存中开辟缓存区,并获得缓存区的配置路径,进而依照行为数据流的输入时序,将行为数据流写入配置路径对应的缓存区。
[0009]优选的是,所述预定义的事件链是由工业主机在各种运行状态下的行为节点及行为节点之间关系所形成的拓扑网络。
[0010]优选的是,所述行为事件聚合单元按照行为数据流中缓存的时序顺序,提取其中任意2个行为动作指令和,对照所述事件链,确定在该事件链中连接行为动作指令和的全部匹配拓扑,将行为动作指令和的全部匹配拓扑分别记为,..,匹配拓扑的总数量表示为, 且每个匹配拓扑的长度表示为,
……
,缓存的行为数据流中的行为动作指令和的匹配度为:进而,判断行为动作指令和的匹配度是否高于预设的一个事件关联阈值,如果高于该事件关联阈值,则认为以上2个行为动作指令和是与同一事件关联的。
[0011]另一方面,本申请提出了一种针对工业主机行为数据的边缘聚合方法,包括以下步骤:步骤S1:通过置于工业主机的探针接口,拦截和记录工业主机的行为动作指令及其指令参数,按照时序形成行为数据流;步骤S2:通过流缓存单元,对所述工业主机的行为动作指令及其指令参数形成的行为数据流,按照数据流的输入时序进行缓存;步骤S3:通过行为事件聚合单元,针对所述流缓存单元缓存的行为数据流,根据预定义的事件链,将缓存的行为数据流中的行为动作指令参照事件链的行为节点进行智能匹配,从而基于行为动作指令之间的匹配度,以事件为单位,对与同一事件关联的行为动作指令进行事件聚合,形成事件行为簇;步骤S4:通过特征码提取单元,针对每个事件行为簇中的行为动作指令及其指令参数,将其转化为特征码,并将特征码的数组上传给工业主机的后台或云端。
[0012]优选的是,步骤S1中通过嵌入该工业主机操作系统内核的钩子函数实现所述探针接口。
[0013]优选的是,步骤S2中通过所述流缓存单元在工业主机的内存中开辟缓存区,并获得缓存区的配置路径,进而依照行为数据流的输入时序,将行为数据流写入配置路径对应的缓存区。
[0014]优选的是,步骤S3中所述预定义的事件链是由工业主机在各种运行状态下的行为节点及行为节点之间关系所形成的拓扑网络。
[0015]优选的是,步骤S3中,通过所述行为事件聚合单元,按照行为数据流中缓存的时序顺序,提取其中任意2个行为动作指令和,对照所述事件链,确定在该事件链中连接行为动作指令和的全部匹配拓扑,将行为动作指令和的全部匹配拓扑分别记为,..,匹配拓扑的总数量表示为, 且每个匹配拓扑的长度表示为,
……
,缓存的行为数据流中的行为动作指令和的匹配度为:进而,判断行为动作指令和的匹配度是否高于预设的一个事件关联阈值,如果高于该事件关联阈值,则认为以上2个行为动作指令和是与同一事件关联的。
[0016]从而,本专利技术能够适应现有工业主机的数据流规模和复杂性动态性程度,通过置入探针对工业主机的行为数据流进行实时、全面监测,并且,为了降低工业主机数据流的采集、传输和分析量级,基于边缘计算机制对该工业主机的行为数据流进行事件聚合,以事件行为簇为单位实现特征码的提取和分析,从而为工业主机信息安全风险的分析判断和安全防护提供了有效的前端保障。
附图说明
[0017]图1为本专利技术面向工业主机设置边缘聚合探针装置的总体框架图;图2为本专利技术边缘聚合探针装置的组成结构图;图3为本专利技术针对工业主机行为数据的边缘聚合方法流程图。
具体实施方式
[0018]下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制;相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
[0019]本申请提供一种工业主机行为数据的边缘聚合探针装置及其方法。本申请利用探针对工业主机的行为数据流进行监测,并且基于边缘计算机制的智能匹配运算,对该工业主机的行为数据流进行事件聚合,从而基于该事件聚合结果进行工业主机信息安全风险的分析判断并提供安全防护。
[0020]参见图1,本申请在工业主机中置入边缘聚合探针装置,通过该边缘聚合探针装置对工业主机的行为数据进行前端本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种工业主机行为数据的边缘聚合探针装置,其特征在于,包括:探针接口、流缓存单元、行为事件聚合单元、特征码提取单元、通讯接口;所述探针接口用于拦截和记录工业主机的行为动作指令及其指令参数,按照时序形成行为数据流,并发送给流缓存单元;所述流缓存单元用于对所述工业主机的行为动作指令及其指令参数形成的行为数据流,按照数据流的输入时序进行缓存;所述行为事件聚合单元针对所述流缓存单元缓存的行为数据流,根据预定义的事件链,将缓存的行为数据流中的行为动作指令参照事件链的行为节点进行智能匹配,从而基于行为动作指令之间的匹配度,以事件为单位,对与同一事件关联的行为动作指令进行事件聚合,形成事件行为簇;所述特征码提取单元针对每个事件行为簇中的行为动作指令及其指令参数,将其转化为特征码;所述通讯接口,用于以每个事件行为簇为单位,将事件行为簇相关的特征码的数组上传到工业主机的后台或者云端。2.根据权利要求1所述的工业主机行为数据的边缘聚合探针装置,其特征在于,通过嵌入该工业主机操作系统内核的钩子函数实现所述探针接口。3.根据权利要求2所述的工业主机行为数据的边缘聚合探针装置,其特征在于,所述流缓存单元在工业主机的内存中开辟缓存区,并获得缓存区的配置路径,进而依照行为数据流的输入时序,将行为数据流写入配置路径对应的缓存区。4.根据权利要求3所述的工业主机行为数据的边缘聚合探针装置,其特征在于,所述预定义的事件链是由工业主机在各种运行状态下的行为节点及行为节点之间关系所形成的拓扑网络。5.根据权利要求4所述的工业主机行为数据的边缘聚合探针装置,其特征在于,所述行为事件聚合单元按照行为数据流中缓存的时序顺序,提取其中任意2个行为动作指令和,对照所述事件链,确定在该事件链中连接行为动作指令和的全部匹配拓扑,将行为动作指令和的全部匹配拓扑分别记为,..,匹配拓扑的总数量表示为, 且每个匹配拓扑的长度表示为,
……
,缓存的行为数据流中的行为动作指令和的匹配度为:进而,判断行为动作指令和的匹配度是否高于预设的一个事件关联阈值,如果高于该事件关联阈值,则认为以上2个行为动作指令和是与同一事件关联的。...
【专利技术属性】
技术研发人员:周磊,姜双林,王蒙,
申请(专利权)人:北京安帝科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。