基于工业安全的流量解析方法、装置与电子设备制造方法及图纸

本公开的实施例公开了基于工业安全的流量解析方法、装置与电子设备。该方法的一具体实施方式包括：解析镜像流量组中每个镜像流量的流量特征信息，得到流量特征信息组；对流量特征信息组进行打包处理，以生成流量特征信息数据包；对流量特征信息数据包进行流量解析处理，以生成流量特征信息数据解析结果；采集工业互联网中每个工业交换机在预设时间段内的流量日志，得到流量日志组；对流量日志组中的每个流量日志进行日志检测处理，以生成流量日志检测结果，得到流量日志检测结果组；将流量日志组中对应的流量日志检测结果表征日志无异常的各个流量日志存储至目标数据库中。该实施方式可以解析出流量中的潜在风险。施方式可以解析出流量中的潜在风险。施方式可以解析出流量中的潜在风险。

【技术实现步骤摘要】
基于工业安全的流量解析方法、装置与电子设备


[0001]本公开的实施例涉及工业互联网领域，具体涉及基于工业安全的流量解析方法、装置与电子设备。

技术介绍

[0002]随着工业控制网络的快速迭代，工控网络互联网化已成趋势，工控网络安全面临着更大的挑战，传统工控网络常常采用严格限制连接外网的方式在当前工业互联网趋势下已不再适用，同时由于内网与外网交流的数据量、频次的增加，为防止内网存在的潜在风险，只监控外网流量的方式已经不能满足当前工控网络安全的要求。现有的工业安全检测系统对流量检测方式单一，只对外网进入内网的流量分析不够全面存在隐蔽攻击的可能性。且部署需要接入到现在的网络中影响业务，可能给生产环境带来风险与不便。目前，工业安全检测系统对于流量进行检测，通常存在以下技术问题：1，检测方式单一，流量分析不全面，难以解析出流量中的潜在风险；2，未对检测后的流量数据进行分片存储，当对流量数据的读取请求较多时，导致数据库的读取压力较大，容易造成数据库的卡顿；此外，工业交换机中产生的流量数据较多，导致数据库中存储的无效流量数据较多，造成存储资源的浪费。

技术实现思路

[0003]本公开的内容部分用于以简要的形式介绍构思，这些构思将在后面的具体实施方式部分被详细描述。本公开的内容部分并不旨在标识要求保护的技术方案的关键特征或必要特征，也不旨在用于限制所要求的保护的技术方案的范围。
[0004]本公开的一些实施例提出了基于工业安全的流量解析方法、装置、电子设备和计算机可读介质，来解决以上
技术介绍
部分提到的技术问题中的一项或多项。
[0005]第一方面，本公开的一些实施例提供了一种基于工业安全的流量解析方法，该方法包括：采集工业互联网中每个工业交换机中的镜像流量，得到镜像流量组；解析上述镜像流量组中每个镜像流量的流量特征信息，得到流量特征信息组，其中，上述流量特征信息组中的流量特征信息包括：源地址、源端口、目的地址、目的端口、协议类型、源访问控制地址、目的访问控制地址与数据包；对上述流量特征信息组进行打包处理，以生成流量特征信息数据包；对上述流量特征信息数据包进行流量解析处理，以生成流量特征信息数据解析结果，以及将上述流量特征信息数据解析结果存储至相关联的流量监测终端；采集工业互联网中每个工业交换机在预设时间段内的流量日志，得到流量日志组；对上述流量日志组中的每个流量日志进行日志检测处理，以生成流量日志检测结果，得到流量日志检测结果组；将上述流量日志组中对应的流量日志检测结果表征日志无异常的各个流量日志存储至目标数据库中。
[0006]第二方面，本公开的一些实施例提供了一种基于工业安全的流量解析装置，装置
包括：第一采集单元，被配置成采集工业互联网中每个工业交换机中的镜像流量，得到镜像流量组；解析单元，被配置成解析上述镜像流量组中每个镜像流量的流量特征信息，得到流量特征信息组，其中，上述流量特征信息组中的流量特征信息包括：源地址、源端口、目的地址、目的端口、协议类型、源访问控制地址、目的访问控制地址与数据包；打包单元，被配置成对上述流量特征信息组进行打包处理，以生成流量特征信息数据包；流量解析单元，被配置成对上述流量特征信息数据包进行流量解析处理，以生成流量特征信息数据解析结果，以及将上述流量特征信息数据解析结果存储至相关联的流量监测终端；第二采集单元，被配置成采集工业互联网中每个工业交换机在预设时间段内的流量日志，得到流量日志组；检测单元，被配置成对上述流量日志组中的每个流量日志进行日志检测处理，以生成流量日志检测结果，得到流量日志检测结果组；存储单元，被配置成将上述流量日志组中对应的流量日志检测结果表征日志无异常的各个流量日志存储至目标数据库中。
[0007]第三方面，本公开的一些实施例提供了一种电子设备，包括：一个或多个处理器；存储装置，其上存储有一个或多个程序，当一个或多个程序被一个或多个处理器执行，使得一个或多个处理器实现上述第一方面任一实现方式所描述的方法。
[0008]第四方面，本公开的一些实施例提供了一种计算机可读介质，其上存储有计算机程序，其中，程序被处理器执行时实现上述第一方面任一实现方式所描述的方法。
[0009]本公开的上述各个实施例具有如下有益效果：通过本公开的一些实施例的基于工业安全的流量解析方法，可以解析出流量中的潜在风险，以提升交换机的通信安全。具体来说，难以解析出流量中的潜在风险的原因在于：检测方式单一，流量分析不全面。基于此，本公开的一些实施例的基于工业安全的流量解析方法，首先，采集工业互联网中每个工业交换机中的镜像流量，得到镜像流量组。由此，便于对每个工业交换机的镜像流量进行解析。其次，解析上述镜像流量组中每个镜像流量的流量特征信息，得到流量特征信息组。其中，上述流量特征信息组中的流量特征信息包括：源地址、源端口、目的地址、目的端口、协议类型、源访问控制地址、目的访问控制地址与数据包。由此，根据流量特征信息，检测交换机的传输流量是否异常。再其次，对上述流量特征信息组进行打包处理，以生成流量特征信息数据包。接着，对上述流量特征信息数据包进行流量解析处理，以生成流量特征信息数据解析结果，以及将上述流量特征信息数据解析结果存储至相关联的流量监测终端。由此，可以从流量特征的角度完成对流量的检测。然后，采集工业互联网中每个工业交换机在预设时间段内的流量日志，得到流量日志组。再然后，对上述流量日志组中的每个流量日志进行日志检测处理，以生成流量日志检测结果，得到流量日志检测结果组。由此，可以根据流量日志，检测交换机中的流量是否异常。最后，将上述流量日志组中对应的流量日志检测结果表征日志无异常的各个流量日志存储至目标数据库中。由此，便于后续用户在数据库中查询相关的流量日志。从而，可以解析出流量中的潜在风险，以提升交换机的通信安全。
附图说明
[0010]结合附图并参考以下具体实施方式，本公开各实施例的上述和其他特征、优点及方面将变得更加明显。贯穿附图中，相同或相似的附图标记表示相同或相似的元素。应当理解附图是示意性的，元件和元素不一定按照比例绘制。
[0011]图1是根据本公开的基于工业安全的流量解析方法的一些实施例的流程图；
图2是根据本公开的基于工业安全的流量解析装置的一些实施例的结构示意图；图3是适于用来实现本公开的一些实施例的电子设备的结构示意图。
具体实施方式
[0012]下面将参照附图更详细地描述本公开的实施例。虽然附图中显示了本公开的某些实施例，然而应当理解的是，本公开可以通过各种形式来实现，而且不应该被解释为限于这里阐述的实施例。相反，提供这些实施例是为了更加透彻和完整地理解本公开。应当理解的是，本公开的附图及实施例仅用于示例性作用，并非用于限制本公开的保护范围。
[0013]另外还需要说明的是，为了便于描述，附图中仅示出了与有关专利技术相关的部分。在不冲突的情况下，本公开中的实施例及实施例中的特征可以相互组合。
[0014]需要注意，本公开中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于工业安全的流量解析方法，包括：采集工业互联网中每个工业交换机中的镜像流量，得到镜像流量组；解析所述镜像流量组中每个镜像流量的流量特征信息，得到流量特征信息组，其中，所述流量特征信息组中的流量特征信息包括：源地址、源端口、目的地址、目的端口、协议类型、源访问控制地址、目的访问控制地址与数据包；对所述流量特征信息组进行打包处理，以生成流量特征信息数据包；对所述流量特征信息数据包进行流量解析处理，以生成流量特征信息数据解析结果，以及将所述流量特征信息数据解析结果存储至相关联的流量监测终端；采集工业互联网中每个工业交换机在预设时间段内的流量日志，得到流量日志组；对所述流量日志组中的每个流量日志进行日志检测处理，以生成流量日志检测结果，得到流量日志检测结果组；将所述流量日志组中对应的流量日志检测结果表征日志无异常的各个流量日志存储至目标数据库中。2.根据权利要求1所述的方法，其中，所述流量日志组中的流量日志包括：交换机标识、网络设备标识、通信协议、端口标识与带宽利用率；以及所述对所述流量日志组中的每个流量日志进行日志检测处理，以生成流量日志检测结果，包括：对所述流量日志包括的交换机标识、网络设备标识、通信协议、端口标识与带宽利用率分别进行向量化处理，以生成交换机标识向量、网络设备标识向量、通信协议向量、端口标识向量与带宽利用率向量；将所述交换机标识向量、所述网络设备标识向量与所述通信协议向量拼接为设备通信协议向量；将所述端口标识向量与所述带宽利用率向量拼接为端口带宽向量；将所述设备通信协议向量与所述端口带宽向量输入至预先训练的流量日志检测模型中，得到流量日志检测结果，其中，所述流量日志检测结果包括：通信协议检测结果与端口带宽利用率检测结果。3.根据权利要求2所述的方法，其中，所述流量日志检测模型包括通信协议检测模型与端口带宽利用率检测模型；以及所述将所述设备通信协议向量与所述端口带宽向量输入至预先训练的流量日志检测模型中，得到流量日志检测结果，包括：将所述设备通信协议向量输入至所述通信协议检测模型中，得到通信协议检测结果；将所述端口带宽利用率检测模型输入至所述端口带宽利用率检测模型中，得到端口带宽利用率检测结果；将所述通信协议检测结果与所述端口带宽利用率检测结果组合为流量日志检测结果。4.根据权利要求1所述的方法，其中，所述流量日志组中的流量日志包括：交换机标识、网...

【专利技术属性】
技术研发人员：姜双林，王茂，赵时晴，张吕军，
申请(专利权)人：北京安帝科技有限公司，
类型：发明
国别省市：