CN115865526A - 一种基于云边协同的工业互联网安全检测方法及*** - Google Patents
一种基于云边协同的工业互联网安全检测方法及*** Download PDFInfo
- Publication number
- CN115865526A CN115865526A CN202310132155.XA CN202310132155A CN115865526A CN 115865526 A CN115865526 A CN 115865526A CN 202310132155 A CN202310132155 A CN 202310132155A CN 115865526 A CN115865526 A CN 115865526A
- Authority
- CN
- China
- Prior art keywords
- security
- computing module
- cloud computing
- industrial internet
- network attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种基于云边协同的工业互联网安全检测方法及***,涉及安全检测技术领域,部署在工业企业侧的安全检测设备对企业的待检测设备的工业互联网的网络流量进行处理,判断待检测设备处是否存在网络攻击行为,并在存在网络攻击行为时,根据网络攻击行为生成安全威胁日志,从而实现安全威胁本地高效检测,且安全检测设备具备部署灵活、成本低廉的特点,部署在云端的云计算模块接收、存储和分析安全威胁日志,从而实现云端集中统一管理。本发明将云计算技术和边缘计算技术相结合,解决现有网络安全解决方案安装部署成本高、难以集中统一管理的问题。
Description
技术领域
本发明涉及安全检测技术领域,特别是涉及一种基于云边协同的工业互联网安全检测方法及***。
背景技术
工业互联网面向制造业数字化、网络化、智能化需求,构建基于云平台的海量数据采集、汇聚、分析服务体系,支撑制造资源泛在连接、弹性供给、高效配置。工业互联网作为新一代信息技术与制造业深度融合的产物,日益成为新工业革命的关键支撑和深化“互联网+先进制造业”的重要基石,对未来工业发展产生全方位、深层次、革命性影响。
工业互联网将工业控制***和互联网技术相结合,把传统的工业控制过程转换为智能化、数字化和互联互通的工业控制***网络,完善了工业生产和控制过程。但是在工业互联网快速发展的同时,也面临诸多网络安全挑战。现有针对工业互联网的网络安全解决方案,在资产探测技术、流量安全分析检测技术、威胁情报分析技术等方面,已经积累了大量实践经验,能够实现针对工业互联网各种安全威胁的有效检测,但现有网络安全解决方案一般依据企业的设备规模和流量大小,配置不同规格的网络安全设备,网络安全设备包括均部署在企业侧的终端安全检测设备、流量分析设备、数据存储和分析设备以及应用展示设备等,而随着企业的发展,企业的设备规模和流量迅速扩大,企业在全国各地均可能设置分部,网络安全设备将面临着扩容难、成本高的问题,分布在全国各地的分部的网络安全数据形成数据孤岛,缺乏全局的网络安全分析和管理能力。
基于此,亟需一种新型的工业互联网安全检测技术。
发明内容
本发明的目的是提供一种基于云边协同的工业互联网安全检测方法及***,将云计算技术和边缘计算技术相结合,实现安全威胁本地高效检测、云端集中统一管理,解决现有网络安全解决方案安装部署成本高、难以集中统一管理的问题。
为实现上述目的,本发明提供了如下方案:
一种基于云边协同的工业互联网安全检测***,所述工业互联网安全检测***包括:部署在工业企业侧的边缘计算模块和部署在云端的云计算模块;所述边缘计算模块包括若干个安全检测设备,一个所述安全检测设备与企业的若干个待检测设备相对应,所述安全检测设备和所述云计算模块通信连接;
所述安全检测设备用于对与所述安全检测设备相对应的每一所述待检测设备的工业互联网的网络流量进行处理,判断所述待检测设备处是否存在网络攻击行为,并在存在所述网络攻击行为时,根据所述网络攻击行为生成安全威胁日志,将所述安全威胁日志传输至所述云计算模块;
所述云计算模块用于接收、存储和分析所述安全威胁日志。
在一些实施例中,所述安全检测设备还用于对与所述安全检测设备相对应的每一所述待检测设备的工业互联网的网络流量进行处理,提取得到实时流量特征,将所述实时流量特征与安全检测规则集进行匹配,判断所述待检测设备处是否存在网络攻击行为;所述安全检测规则集包括不同网络攻击行为分别对应的流量特征;所述流量特征包括IP地址、端口、协议类型、特征码、数据包方向、数据包长度、数据包数量和统一资源定位符。
在一些实施例中,所述安全检测设备还用于在存在所述网络攻击行为时,根据所述网络攻击行为生成网络攻击事件日志,并将所述网络攻击事件日志与所述待检测设备的设备信息相合并,形成安全威胁日志;所述设备信息包括设备所属部门和设备ID。
在一些实施例中,所述安全检测设备还用于将所述安全威胁日志加密传输至所述云计算模块。
在一些实施例中,所述云计算模块包括数据分析模块;所述数据分析模块用于利用安全威胁识别模型对所述安全威胁日志进行分析,确定安全威胁事件。
在一些实施例中,所述云计算模块的资源配置根据企业的设备规模、网络流量大小和安全威胁日志数量确定。
一种基于云边协同的工业互联网安全检测方法,控制上述的工业互联网安全检测***进行工作,所述工业互联网安全检测方法包括:
安全检测设备对待检测设备的工业互联网的网络流量进行处理,判断所述待检测设备处是否存在网络攻击行为,并在存在所述网络攻击行为时,根据所述网络攻击行为生成安全威胁日志,将所述安全威胁日志传输至云计算模块;
所述云计算模块接收、存储和分析所述安全威胁日志。
在一些实施例中,所述安全检测设备对待检测设备的工业互联网的网络流量进行处理,判断所述待检测设备处是否存在网络攻击行为,并在存在所述网络攻击行为时,根据所述网络攻击行为生成安全威胁日志具体包括:
安全检测设备对待检测设备的工业互联网的网络流量进行处理,提取得到实时流量特征,将所述实时流量特征与安全检测规则集进行匹配,判断所述待检测设备处是否存在网络攻击行为;在存在所述网络攻击行为时,根据所述网络攻击行为生成网络攻击事件日志,并将所述网络攻击事件日志与所述待检测设备的设备信息相合并,形成安全威胁日志;所述安全检测规则集包括不同网络攻击行为分别对应的流量特征;所述流量特征包括IP地址、端口、协议类型、特征码、数据包方向、数据包长度、数据包数量和统一资源定位符;所述设备信息包括设备所属部门和设备ID。
在一些实施例中,所述将所述安全威胁日志传输至云计算模块包括:将所述安全威胁日志加密传输至云计算模块,具体包括:
所述安全检测设备发送身份信息至云计算模块;所述身份信息包括所述安全检测设备的身份标识、设备名称、IP地址和责任人;
所述云计算模块对所述身份信息进行审核,并在审核通过后生成密钥对,将所述密钥对的公钥发送至所述安全检测设备,并存储所述密钥对的私钥;
所述安全检测设备采用所述公钥加密数据传输请求,并将加密后的数据传输请求发送至所述云计算模块;
所述云计算模块采用所述私钥解密所述加密后的数据传输请求,并生成随机对称密钥,采用所述私钥加密所述随机对称密钥,并将加密后的随机对称密钥发送至所述安全检测设备;
所述安全检测设备采用所述公钥解密所述加密后的随机对称密钥,并采用所述随机对称密钥加密所述安全威胁日志,将加密后的安全威胁日志传输至所述云计算模块。
在一些实施例中,所述云计算模块分析所述安全威胁日志具体包括:所述云计算模块利用安全威胁识别模型对所述安全威胁日志进行分析,确定安全威胁事件。
根据本发明提供的具体实施例,本发明公开了以下技术效果:
本发明用于提供一种基于云边协同的工业互联网安全检测方法及***,部署在工业企业侧的安全检测设备对企业的待检测设备的工业互联网的网络流量进行处理,判断待检测设备处是否存在网络攻击行为,并在存在网络攻击行为时,根据网络攻击行为生成安全威胁日志,从而实现安全威胁本地高效检测,且安全检测设备具备部署灵活、成本低廉的特点,部署在云端的云计算模块用于接收、存储和分析安全威胁日志,从而实现云端集中统一管理。本发明将云计算技术和边缘计算技术相结合,解决现有网络安全解决方案安装部署成本高、难以集中统一管理的问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例1所提供的工业互联网安全检测***的结构示意图;
图2为本发明实施例2所提供的工业互联网安全检测方法的方法流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的目的是提供一种基于云边协同的工业互联网安全检测方法及***,将云计算技术和边缘计算技术相结合,实现安全威胁本地高效检测、云端集中统一管理,解决现有网络安全解决方案安装部署成本高、难以集中统一管理的问题。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
工业互联网的网络安全风险主要体现在:
(1)工业化应用场景对安全性要求更高。与消费者物联网相比,工业互联网中存在的网络威胁将产生更广泛、更深远的影响,尤其是关系国民经济命脉的重要行业,如航空、航天、国防等制造业的设备和传感器安全问题,会对企业造成不可估量的损失。
(2)攻击面扩宽导致风险进一步加剧。越来越多的物联网终端设备接入工业互联网,导致攻击面进一步扩大,使得攻击者能通过更多途径渗透入工业互联网内部。
(3)异构网络使威胁发现难度进一步加大。工业互联网由异构网络高度互联组成,具有许多不通的域,例如:智能电网中不同区域分别负责发电、配电、用户供电的可再生能源供应、变电站网络和企业网络,对网络攻击行为进行分析,需要综合考量来自不通域的事件,这导致威胁发现难度进一步加大。
(4)传统保护机制难以部署在轻量级设备上。工业互联网中存在较多资源受限的通信网络,其边缘设备大多为轻量级设备,传统的入侵检测和防火墙技术难以部署在这些轻量级设备上。
(5)脆弱通信协议带来的安全风险。现有基于数据采集和监视控制***的工业互联网中,存在一些老旧的通信协议,如Modbus、Profinet等,在通信时没有考虑安全性,缺乏对用户的身份验证、检测故障或发现异常行为的能力,进一步加大了工业互联网中存在的安全风险。
现有针对工业互联网的网络安全解决方案,已经能够实现针对工业互联网各种安全威胁的有效检测,克服上述网络安全风险。现有网络安全解决方案一般依据企业的设备规模和流量大小,配置不同规格的网络安全设备,网络安全设备包括均部署在企业侧的终端安全检测设备、流量分析设备、数据存储和分析设备以及应用展示设备等,比如:入侵检测***(intrusion detection system,IDS),其是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备,基于信息来源的不同和部署方式的差异,IDS可分为主机IDS(HIDS)和网络IDS(NIDS)。一般情况下,NIDS通过对网络流量中的数据报文进行识别和分析,使用预置的入侵检测规则对分析后的数据报文进行特征匹配,发现隐藏在网络流量中的恶意入侵行为,比较知名的开源实现有snort、zeek(bro)等。基于NIDS技术的工业互联网安全威胁检测***,针对工业互联网的网络特点和安全威胁特点,实现了针对工业互联网的安全分析检测,能够发现网络安全威胁。
但是现有网络安全解决方案存在以下问题:随着企业的发展,企业的设备规模和流量迅速扩大,企业在全国各地均可能设置分部,网络安全设备面临着扩容难、成本高的问题,且分布在全国各地的分部的网络安全数据形成数据孤岛,缺乏全局的网络安全分析和管理能力。
为了解决上述问题,本发明在工业互联网的安全检测中引入云边协同技术,云边协同技术是指云计算和边缘计算相互配合、相互补充的云计算模式,边缘计算设备部署在靠近数据源头的一端,如企业园区、企业车间等,能够即时处理各设备产生的数据,具有响应速度快、高效安全的特点;云计算设备一般由多个计算节点组成,计算能力超强,适合处理实时性要求较低、计算量较大的任务。云边协同技术的出现与实践,正是为了弥补传统中心化云服务的短板。首先需要在边缘环境中部署智能边缘计算设备,使边缘端能够处理这些关键任务数据并实时响应,提供近距离的数据传输与分析,将很多工作部署在本地,既可以大幅减少对传输资源的依赖与消耗,又可以大幅提升本地响应速度。同时,仅靠边缘计算设备只能处理局部数据,无法形成全局认知,所以在实际应用中仍然需要借助云计算设备,通过收集数据来进行第二轮评估、处理和深入分析,来实现信息的融合治理,确保数据同时满足安全隐私方面的需求,又可以发挥云服务快速迭代刷新的优势。最终,通过分布式计算技术和合理的资源调度管理,把边缘计算设备的算力、存储等资源和云计算资源进行统一管理,形成“逻辑集中,物理分散”的高效协同平台。
实施例1:
本实施例用于提供一种基于云边协同的工业互联网安全检测***,如图1所示,所述工业互联网安全检测***包括:部署在工业企业侧的边缘计算模块和部署在云端的云计算模块,边缘计算模块和云计算模块通信连接,边缘计算模块也可称为工业互联网安全检测模块,用于实现工业互联网的安全检测,云计算模块也可称为工业互联网安全监测中心。边缘计算模块包括若干个安全检测设备,一个安全检测设备与企业的若干个待检测设备相对应,安全检测设备具有高、中、低等不同类型的配置,可根据工业企业设备和工业互联网流量的大小选择合适的配置,一般可以是一个厂区或是一个车间配置一台安全检测设备,待检测设备可为工业企业中接入工业互联网的工业设备,如数控机床等智能制造设备以及水质、空气检测等环境检测设备。即边缘计算模块包括一个或多个安全检测设备,每一安全检测设备与企业的一个或多个待检测设备相对应,安全检测设备用于对与其相对应的每一个待检测设备进行安全检测,安全检测设备也可称为安全检测探针,所有安全检测设备均和云计算模块通信连接。
安全检测设备用于对与其相对应的每一个待检测设备的工业互联网的网络流量进行处理,网络流量是指工业互联网上传输的数据量,判断与其相对应的每一个待检测设备处是否存在网络攻击行为,并在存在网络攻击行为时,根据网络攻击行为生成安全威胁日志,将安全威胁日志传输至云计算模块。
云计算模块用于接收、存储和分析安全威胁日志。
本实施例所提供的工业互联网安全检测***,将云计算技术和边缘计算技术相结合,通过边缘计算模块确定存在网络攻击行为的待检测设备,并生成存在网络攻击行为的待检测设备相应的安全威胁日志,通过云计算模块存储和分析该安全威胁日志,也即本实施例所提供的工业互联网安全检测***的主要特点体现在云边协同方面,通过部署在工业企业侧的安全检测设备进行初步的网络安全风险检测,再通过部署在云端的云计算模块进行更进一步的网络安全风险检测,能够实现安全威胁本地高效检测、云端集中统一管理,解决现有网络安全解决方案安装部署成本高、难以集中统一管理的问题。
对于与安全检测设备相对应的每一个待检测设备,本实施例的安全检测设备还用于采集待检测设备的工业互联网的网络流量,对待检测设备的工业互联网的网络流量进行处理,提取得到实时流量特征,将实时流量特征与安全检测规则集进行匹配,判断待检测设备处是否存在网络攻击行为。安全检测规则集可以是云计算模块下发至安全检测设备的,其包括基于流量特征的安全检测规则,用于描述针对工业互联网的不同的网络攻击行为,即安全检测规则集包括不同网络攻击行为分别对应的流量特征,流量特征包括IP地址、端口、协议类型、特征码、数据包方向、数据包长度、数据包数量和统一资源定位符(Uniform/Universal Resource Locator,URL),网络攻击(Cyber Attacks)是指针对计算机信息***、基础设施、计算机网络或个人计算机设备的任何类型的进攻动作,对于计算机和计算机网络来说,破坏、揭露、修改、使软件或服务失去功能、在没有得到授权的情况下偷取或访问任何一计算机的数据,都会被视为计算机和计算机网络中的攻击,本实施例的网络攻击行为可以包括暴力破解、用户误操作、用户违规操作、非法设备接入、蠕虫和病毒等。其中,将实时流量特征与安全检测规则集进行匹配,如果命中安全检测规则集中描述的流量特征,则认为识别到一次网络攻击事件,即认为待检测设备处存在网络攻击行为。需要说明的是,采集网络流量、处理得到流量特征可采用现有成熟技术,如可采用深度报文检测技术,且针对不同场景,采集网络流量、处理得到流量特征的技术存在细节差异,如针对工业互联网的安全检测,体现在关注的网络协议不同,提取的实时流量特征的维度不同。
对于与安全检测设备相对应的每一个待检测设备,本实施例的安全检测设备还用于在待检测设备处存在网络攻击行为时,根据网络攻击行为生成网络攻击事件日志,网络攻击事件日志也即指生成的该网络攻击行为对应的网络攻击事件的详细日志,并将网络攻击事件日志与待检测设备的设备信息相合并,形成待检测设备的工业互联网的安全威胁日志。其中,生成网络攻击事件日志可以包括:安全检测设备记录命中规则的实时流量特征(包括IP地址、端口、协议类型、特征码、数据包方向和数据包长度,数据包数量和统一资源定位符可根据网络协议和攻击类型进行选择性记录)、命中的安全检测规则、攻击类型(其根据网络攻击行为确定)、攻击来源和攻击目标等能够描述本次网络攻击的相关信息,即可生成网络攻击事件日志,其中攻击来源和攻击目标根据实时流量特征中的源IP地址和目的IP地址确定,源IP地址能确定攻击来源(即来自工业互联网外部或内部的发起攻击的设备),目的IP地址能确定攻击目标(即位于工业互联网内部的被攻击的设备,也即存在网络攻击行为的待检测设备)。待检测设备的设备信息包括设备所属部门和设备ID等信息。
需要说明的是,本实施例的安全检测设备可以内置有安全威胁检测引擎,利用该安全威胁检测引擎来完成提取实时流量特征,判断待检测设备处是否存在网络攻击行为以及在存在网络攻击行为时生成安全威胁日志的功能。
本实施例的边缘计算模块通过设置多个安全检测设备,且每一安全检测设备对应企业的若干个待检测设备,从而能够利用边缘计算模块对企业的所有待检测设备同时进行安全检测,实现安全威胁本地高效检测,且能够根据企业的需求不断对边缘计算模块进行扩充,增添对应于新的待检测设备的安全检测设备,由于安全检测设备具备部署灵活、成本低廉的特点,能够解决现有的网络安全设备所面临的扩容难、成本高的问题,进一步解决现有网络安全解决方案安装部署成本高的问题。
为了保障数据传输的安全可靠性,本实施例在工业互联网安全检测模块(也即边缘计算模块)和工业互联网安全监测中心(也即云计算模块)之间建立加密数据传输通道,使用加密数据传输通道进行数据交互,保障数据传输的安全可靠,使得每一安全检测设备所生成的安全威胁日志可以加密上报至云计算模块,即安全检测设备还用于将安全威胁日志加密传输至云计算模块。
具体的,加密传输的具体过程如下:
(1)安全检测设备发送身份信息至云计算模块,以向云计算模块提出身份认证请求,由云计算模块进行身份认证;身份信息包括安全检测设备的身份标识、设备名称、IP地址和责任人等信息。
其中,身份标识可以为安全检测设备根据安全检测设备的MAC地址、硬盘序列号、设备名称、IP地址和责任人等信息中的部分或者全部信息计算得到的md5值。
(2)云计算模块对身份信息进行审核,并在审核通过后生成密钥对,将密钥对的公钥发送至安全检测设备,用于进行后续的数据加密,并存储密钥对的私钥,即将私钥存储在云计算模块中。
具体的,可以是云计算模块的***管理员对安全检测设备发送的身份信息进行人工审核,并在确认无误后(即审核通过后),生成密钥对。
(3)安全检测设备获取公钥后,采用公钥加密数据传输请求,并将加密后的数据传输请求发送至云计算模块。
(4)云计算模块采用私钥解密安全检测设备发送的加密后的数据传输请求,并生成随机对称密钥,采用私钥加密该随机对称密钥,并将加密后的随机对称密钥发送至安全检测设备。
(5)安全检测设备接收到加密后的随机对称密钥后,采用公钥解密加密后的随机对称密钥,并采用随机对称密钥加密安全威胁日志,将加密后的安全威胁日志传输至云计算模块。
(6)云计算模块接收加密后的安全威胁日志,并使用协商的随机对称密钥对加密后的安全威胁日志进行解密,得到安全威胁日志,并存储。
本实施例通过身份鉴权,建立可信的加密数据传输通道,对企业的安全威胁日志数据进行加密传输,从而实现数据的安全传输。
本实施例的云计算模块使用云计算技术,包括数据存储模块、数据分析模块和数据应用模块。
数据存储模块用于存储各个待检测设备的设备信息和安全威胁日志,即企业各地区、各部门的待检测设备的设备信息和安全威胁日志数据等统一汇总至部署在云端的云计算模块的数据存储模块中,实现安全威胁日志数据的集中式管理,利用云边协同的技术,实现整个企业安全威胁监测、风险预警功能。
由于安全检测设备的设备配置有限,故其仅能从单一维度进行网络攻击行为的检测识别,无法有效分析多个网络攻击行为之间是否存在关联关系,数据分析模块可以利用大数据技术或深度学习技术,对海量的安全威胁日志进行分析挖掘,发现不同区域、针对不同攻击目标的多个网络攻击行为背后的关联关系,从攻击发起者、持续攻击时间、攻击链等维度判定一系列网络攻击行为是否属于同一攻击事件,并可从攻击采用的技术、利用的漏洞、攻击路径等维度对攻击事件进行分析,制定更加有效的防护措施。即本实施例的数据分析模块用于对安全威胁日志进行分析,确定安全威胁事件,即挖掘深层次的安全威胁事件,如ATP攻击等,该过程可以采用现有成熟技术,具体的,数据分析模块可利用安全威胁识别模型定时对所有安全检测设备上传的所有安全威胁日志进行分析,确定安全威胁事件。安全威胁识别模型可以是基于历史积累的安全威胁日志和安全威胁事件的对应数据,采用深度学习技术进行模型训练所得到的,其可以根据安全威胁日志确定安全威胁事件,以有效挖掘一系列安全威胁事件背后隐藏的真实攻击意图。数据分析模块还可以利用预先设置的安全威胁识别规则定时对所有安全检测设备上传的所有安全威胁日志进行分析,确定安全威胁事件。本实施例的数据分析模块接收安全检测设备上报的安全威胁日志,使用大数据存储、智能分析等技术对安全威胁日志数据进行分析挖掘,对企业可能面临的安全威胁进行进一步的研判分析,实现工业互联网安全威胁研判,实现对工业互联网安全威胁的集中式统一管理。
数据应用模块用于实现面向工业企业的安全防护服务,具体用于基于安全检测设备上报的待检测设备的设备信息和安全威胁日志以及数据分析模块分析挖掘的安全威胁事件,提供工业互联网资产管理、安全威胁监测、风险预警、安全加固建议等安全防护服务。数据应用模块还用于实现企业资产安全分析检测,具体基于安全检测设备上报的安全威胁日志中的实时流量特征来提取企业的待检测设备的IP地址、MAC地址、操作***、软件版本、提供的服务、开放的端口等信息,这些信息构成了构建企业资产库的基础,即记录这些信息以构建企业工业资产库,其能够体现资产受到的网络安全威胁,基于公开的漏洞发布机构发布的信息,可识别资产存在的安全漏洞和面临的安全风险,实现企业工业资产的发现和安全风险识别功能。数据应用模块的功能可采用现有成熟技术实现,在此不再赘述。
本实施例的云计算模块的资源配置根据企业的设备规模、网络流量大小和安全威胁日志数量确定,即云计算模块采用云计算方式部署,可随着企业的设备规模、流量大小和安全威胁日志数量等弹性调整资源配置。
本实施例所提供的工业互联网安全检测***包括边缘计算模块和云计算模块,边缘计算模块包括多个安全检测设备,通过部署在工业企业内部的多个安全检测设备,接收部署在云端的云计算模块下发的安全检测规则,对企业的工业互联网的网络流量进行安全风险分析检测,识别和发现企业网络面临的网络安全风险,形成企业的安全威胁日志信息,并通过加密通道上报至云计算模块,云计算模块还通过大数据智能分析技术,为企业提供工业互联网资产管理、安全威胁监测、风险预警、安全加固等安全防护服务,实现对工业互联网安全威胁的集中式统一管理。本实施例以云计算技术与边缘计算技术相结合的方式,提供一种安全威胁本地高效检测、云端集中统一管理的工业互联网安全检测***,解决现有网络安全解决方案安装部署成本高、难以集中统一管理的问题。
相较于现有网络安全解决方案,本实施例的工业互联网安全检测***的优势如下:
(1)部署在工业企业侧的安全检测设备可根据安全检测规则在工业企业侧实现高效的安全威胁检测,且形成的原始数据仅在企业内部流转,确保数据安全,该安全检测设备还具备部署灵活,成本低廉的特点,可有效降低工业企业成本。
(2)在安全检测设备和云计算模块之间建立需要身份鉴权的加密、可信的数据传输通道,能够保障企业数据的安全可靠传输,避免数据泄漏风险。
(3)部署在云端的云计算模块借助云计算的存储和分析能力,具备海量数据的存储和智能分析能力,深度分析和挖掘工业互联网安全威胁风险,能够弥补单台安全检测设备的不足,实现对工业互联网安全威胁的集中式统一管理。
(4)充分发挥边缘计算实时、安全,云计算弹性、灵活的优势,既实现了高效的安全威胁检测,又能够实现对工业互联网安全威胁的集中式统一管理。
实施例2:
本实施例用于提供一种基于云边协同的工业互联网安全检测方法,控制实施例1所述的工业互联网安全检测***进行工作,如图2所示,所述工业互联网安全检测方法包括:
S1:安全检测设备对待检测设备的工业互联网的网络流量进行处理,判断所述待检测设备处是否存在网络攻击行为,并在存在所述网络攻击行为时,根据所述网络攻击行为生成安全威胁日志,将所述安全威胁日志传输至云计算模块;
其中,安全检测设备对待检测设备的工业互联网的网络流量进行处理,判断待检测设备处是否存在网络攻击行为,并在存在网络攻击行为时,根据网络攻击行为生成安全威胁日志可以包括:安全检测设备对待检测设备的工业互联网的网络流量进行处理,提取得到实时流量特征,将实时流量特征与安全检测规则集进行匹配,判断待检测设备处是否存在网络攻击行为,在存在网络攻击行为时,根据网络攻击行为生成网络攻击事件日志,并将网络攻击事件日志与待检测设备的设备信息相合并,形成安全威胁日志。安全检测规则集包括不同网络攻击行为分别对应的流量特征,流量特征包括IP地址、端口、协议类型、特征码、数据包方向、数据包长度、数据包数量和统一资源定位符。待检测设备的设备信息包括设备所属部门和设备ID。
将安全威胁日志传输至云计算模块可以包括:将安全威胁日志加密传输至云计算模块,具体包括:安全检测设备发送身份信息至云计算模块,身份信息包括安全检测设备的身份标识、设备名称、IP地址和责任人;云计算模块对身份信息进行审核,并在审核通过后生成密钥对,将密钥对的公钥发送至安全检测设备,并存储密钥对的私钥;安全检测设备采用公钥加密数据传输请求,并将加密后的数据传输请求发送至云计算模块;云计算模块采用私钥解密加密后的数据传输请求,并生成随机对称密钥,采用私钥加密随机对称密钥,并将加密后的随机对称密钥发送至安全检测设备;安全检测设备采用公钥解密加密后的随机对称密钥,并采用随机对称密钥加密安全威胁日志,将加密后的安全威胁日志传输至云计算模块,从而实现安全威胁日志的加密传输,避免数据泄漏。
S2:所述云计算模块接收、存储和分析所述安全威胁日志。
其中,云计算模块分析安全威胁日志可以包括:云计算模块利用安全威胁识别模型对安全威胁日志进行分析,确定安全威胁事件。
本说明书中每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的***而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种基于云边协同的工业互联网安全检测***,其特征在于,所述工业互联网安全检测***包括:部署在工业企业侧的边缘计算模块和部署在云端的云计算模块;所述边缘计算模块包括若干个安全检测设备,一个所述安全检测设备与企业的若干个待检测设备相对应,所述安全检测设备和所述云计算模块通信连接;
所述安全检测设备用于对与所述安全检测设备相对应的每一所述待检测设备的工业互联网的网络流量进行处理,判断所述待检测设备处是否存在网络攻击行为,并在存在所述网络攻击行为时,根据所述网络攻击行为生成安全威胁日志,将所述安全威胁日志传输至所述云计算模块;
所述云计算模块用于接收、存储和分析所述安全威胁日志。
2.根据权利要求1所述的工业互联网安全检测***,其特征在于,所述安全检测设备还用于对与所述安全检测设备相对应的每一所述待检测设备的工业互联网的网络流量进行处理,提取得到实时流量特征,将所述实时流量特征与安全检测规则集进行匹配,判断所述待检测设备处是否存在网络攻击行为;所述安全检测规则集包括不同网络攻击行为分别对应的流量特征;所述流量特征包括IP地址、端口、协议类型、特征码、数据包方向、数据包长度、数据包数量和统一资源定位符。
3.根据权利要求1所述的工业互联网安全检测***,其特征在于,所述安全检测设备还用于在存在所述网络攻击行为时,根据所述网络攻击行为生成网络攻击事件日志,并将所述网络攻击事件日志与所述待检测设备的设备信息相合并,形成安全威胁日志;所述设备信息包括设备所属部门和设备ID。
4.根据权利要求1所述的工业互联网安全检测***,其特征在于,所述安全检测设备还用于将所述安全威胁日志加密传输至所述云计算模块。
5.根据权利要求1所述的工业互联网安全检测***,其特征在于,所述云计算模块包括数据分析模块;所述数据分析模块用于利用安全威胁识别模型对所述安全威胁日志进行分析,确定安全威胁事件。
6.根据权利要求1所述的工业互联网安全检测***,其特征在于,所述云计算模块的资源配置根据企业的设备规模、网络流量大小和安全威胁日志数量确定。
7.一种基于云边协同的工业互联网安全检测方法,控制权利要求1-6任一项所述的工业互联网安全检测***进行工作,其特征在于,所述工业互联网安全检测方法包括:
安全检测设备对待检测设备的工业互联网的网络流量进行处理,判断所述待检测设备处是否存在网络攻击行为,并在存在所述网络攻击行为时,根据所述网络攻击行为生成安全威胁日志,将所述安全威胁日志传输至云计算模块;
所述云计算模块接收、存储和分析所述安全威胁日志。
8.根据权利要求7所述的工业互联网安全检测方法,其特征在于,所述安全检测设备对待检测设备的工业互联网的网络流量进行处理,判断所述待检测设备处是否存在网络攻击行为,并在存在所述网络攻击行为时,根据所述网络攻击行为生成安全威胁日志具体包括:
安全检测设备对待检测设备的工业互联网的网络流量进行处理,提取得到实时流量特征,将所述实时流量特征与安全检测规则集进行匹配,判断所述待检测设备处是否存在网络攻击行为;在存在所述网络攻击行为时,根据所述网络攻击行为生成网络攻击事件日志,并将所述网络攻击事件日志与所述待检测设备的设备信息相合并,形成安全威胁日志;所述安全检测规则集包括不同网络攻击行为分别对应的流量特征;所述流量特征包括IP地址、端口、协议类型、特征码、数据包方向、数据包长度、数据包数量和统一资源定位符;所述设备信息包括设备所属部门和设备ID。
9.根据权利要求7所述的工业互联网安全检测方法,其特征在于,所述将所述安全威胁日志传输至云计算模块包括:将所述安全威胁日志加密传输至云计算模块,具体包括:
所述安全检测设备发送身份信息至云计算模块;所述身份信息包括所述安全检测设备的身份标识、设备名称、IP地址和责任人;
所述云计算模块对所述身份信息进行审核,并在审核通过后生成密钥对,将所述密钥对的公钥发送至所述安全检测设备,并存储所述密钥对的私钥;
所述安全检测设备采用所述公钥加密数据传输请求,并将加密后的数据传输请求发送至所述云计算模块;
所述云计算模块采用所述私钥解密所述加密后的数据传输请求,并生成随机对称密钥,采用所述私钥加密所述随机对称密钥,并将加密后的随机对称密钥发送至所述安全检测设备;
所述安全检测设备采用所述公钥解密所述加密后的随机对称密钥,并采用所述随机对称密钥加密所述安全威胁日志,将加密后的安全威胁日志传输至所述云计算模块。
10.根据权利要求7所述的工业互联网安全检测方法,其特征在于,所述云计算模块分析所述安全威胁日志具体包括:所述云计算模块利用安全威胁识别模型对所述安全威胁日志进行分析,确定安全威胁事件。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310132155.XA CN115865526B (zh) | 2023-02-20 | 2023-02-20 | 一种基于云边协同的工业互联网安全检测方法及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310132155.XA CN115865526B (zh) | 2023-02-20 | 2023-02-20 | 一种基于云边协同的工业互联网安全检测方法及*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115865526A true CN115865526A (zh) | 2023-03-28 |
CN115865526B CN115865526B (zh) | 2023-05-30 |
Family
ID=85658359
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310132155.XA Active CN115865526B (zh) | 2023-02-20 | 2023-02-20 | 一种基于云边协同的工业互联网安全检测方法及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115865526B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117118761A (zh) * | 2023-10-25 | 2023-11-24 | 中汽智联技术有限公司 | 一种贯穿智能汽车信息安全的纵深防御***和方法 |
CN117596209A (zh) * | 2024-01-19 | 2024-02-23 | 湖南德意电气有限公司 | 一种高低压配电环境运行参数实时监测预警*** |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016164403A1 (en) * | 2015-04-10 | 2016-10-13 | Level 3 Communications, Llc | Systems and methods for generating network threat intelligence |
CN107171804A (zh) * | 2017-05-16 | 2017-09-15 | 歌尔科技有限公司 | 一种数据传输方法 |
CN107181714A (zh) * | 2016-03-09 | 2017-09-19 | 阿里巴巴集团控股有限公司 | 基于业务码的验证方法和装置、业务码的生成方法和装置 |
US20180191758A1 (en) * | 2017-01-03 | 2018-07-05 | General Electric Company | Cluster-based decision boundaries for threat detection in industrial asset control system |
CN112463393A (zh) * | 2020-12-14 | 2021-03-09 | 国网辽宁省电力有限公司抚顺供电公司 | 基于Mongo集群技术的配电物联网边缘计算架构设计方法 |
CN113556354A (zh) * | 2021-07-29 | 2021-10-26 | 国家工业信息安全发展研究中心 | 一种基于流量分析的工业互联网安全威胁检测方法与*** |
CN114785819A (zh) * | 2022-03-08 | 2022-07-22 | 南京工业大学 | 一种基于边缘计算的工业互联网安全防护方法 |
-
2023
- 2023-02-20 CN CN202310132155.XA patent/CN115865526B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016164403A1 (en) * | 2015-04-10 | 2016-10-13 | Level 3 Communications, Llc | Systems and methods for generating network threat intelligence |
CN107181714A (zh) * | 2016-03-09 | 2017-09-19 | 阿里巴巴集团控股有限公司 | 基于业务码的验证方法和装置、业务码的生成方法和装置 |
US20180191758A1 (en) * | 2017-01-03 | 2018-07-05 | General Electric Company | Cluster-based decision boundaries for threat detection in industrial asset control system |
CN107171804A (zh) * | 2017-05-16 | 2017-09-15 | 歌尔科技有限公司 | 一种数据传输方法 |
CN112463393A (zh) * | 2020-12-14 | 2021-03-09 | 国网辽宁省电力有限公司抚顺供电公司 | 基于Mongo集群技术的配电物联网边缘计算架构设计方法 |
CN113556354A (zh) * | 2021-07-29 | 2021-10-26 | 国家工业信息安全发展研究中心 | 一种基于流量分析的工业互联网安全威胁检测方法与*** |
CN114785819A (zh) * | 2022-03-08 | 2022-07-22 | 南京工业大学 | 一种基于边缘计算的工业互联网安全防护方法 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117118761A (zh) * | 2023-10-25 | 2023-11-24 | 中汽智联技术有限公司 | 一种贯穿智能汽车信息安全的纵深防御***和方法 |
CN117118761B (zh) * | 2023-10-25 | 2024-04-09 | 中汽智联技术有限公司 | 一种贯穿智能汽车信息安全的纵深防御***和方法 |
CN117596209A (zh) * | 2024-01-19 | 2024-02-23 | 湖南德意电气有限公司 | 一种高低压配电环境运行参数实时监测预警*** |
CN117596209B (zh) * | 2024-01-19 | 2024-03-26 | 湖南德意电气有限公司 | 一种高低压配电环境运行参数实时监测预警*** |
Also Published As
Publication number | Publication date |
---|---|
CN115865526B (zh) | 2023-05-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Pliatsios et al. | A survey on SCADA systems: secure protocols, incidents, threats and tactics | |
CN113556354B (zh) | 一种基于流量分析的工业互联网安全威胁检测方法与*** | |
CN106411562B (zh) | 一种电力信息网络安全联动防御方法及*** | |
Lee et al. | A data mining and CIDF based approach for detecting novel and distributed intrusions | |
CN109739203B (zh) | 一种工业网络边界防护*** | |
Shokry et al. | Systematic survey of advanced metering infrastructure security: Vulnerabilities, attacks, countermeasures, and future vision | |
CN115865526B (zh) | 一种基于云边协同的工业互联网安全检测方法及*** | |
KR101375813B1 (ko) | 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법 | |
Efstathopoulos et al. | Operational data based intrusion detection system for smart grid | |
CN114567463B (zh) | 一种工业网络信息安全监测与防护*** | |
CN111709034A (zh) | 基于机器学习的工控环境智能安全检测***与方法 | |
Jain et al. | SCADA security: a review and enhancement for DNP3 based systems | |
CN112651021A (zh) | 一种基于大数据的信息安全防御*** | |
Dai et al. | Eclipse attack detection for blockchain network layer based on deep feature extraction | |
CN116132989A (zh) | 一种工业互联网安全态势感知***及方法 | |
Zhang et al. | The security for power internet of things: Framework, policies, and countermeasures | |
Abdallah et al. | Identifying intrusion attempts on connected and autonomous vehicles: A survey | |
Perumal | Escalation of Security and Privacy in Internet of Things using Advanced IPv6 Based Security Mechanism | |
Bai et al. | A network protection framework for dnp3 over tcp/ip protocol | |
Agrawal et al. | A SURVEY ON ATTACKS AND APPROACHES OF INTRUSION DETECTION SYSTEMS. | |
Athavale et al. | Framework for threat analysis and attack modelling of network security protocols | |
Wang et al. | Botnet detection architecture based on heterogeneous multi-sensor information fusion | |
CN114710796A (zh) | 一种基于区块链的传感器异常检测方法、装置及*** | |
Patel et al. | Analysis of SCADA Security models | |
Balogh et al. | Effectiveness of Selected Wireless Sensor Protocols and Their Security |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |