针对多工作流的网络漏洞识别方法及系统与流程

1.本技术涉及工控网络安全技术领域，特别涉及针对多工作流的网络漏洞识别方法及系统。


背景技术：

2.物联网开启了万物互联时代，尤其是5g的普及和应用，将会构建一个智能化和数字化的世界。在工业生产领域，伴随着工业物联网的普及，泛在化的且高速率的数据通道逐渐建立了起来，对工业生产全过程的设计、监测、调控都可以基于工业物联网而实现数字化，进而能够支持以远程协调、多线并行、实时反馈为特色的工业控制过程。
3.然而，物联网在工业生产系统中的深入应用，也带来了网络安全风险的加剧。目前，工业物联网虽然已经采用了边界防护、恶意软件（例如病毒软件、木马软件）甄别、网络行为和流量监测等诸多措施，但是不可避免地仍然存在网络漏洞。因此，对网络漏洞的识别是维护工业物联网安全的一个不可或缺的关键环节。
4.目前，针对工业物联网网络漏洞的识别主要是进行漏洞扫描，即对接入工业物联网的终端设备的操作系统、应用程序、存储文件、通信报文、内存数据的特征量进行提取，并与漏洞数据库中的记录进行匹配，从而发现和报警该设备存在的网络漏洞。
5.然而，在工业物联网环境下，终端设备特别是网络边缘设备用于漏洞扫描的计算资源是极为有限的。同时，由于边缘设备接收到的漏洞扫描的任务具有随机性，可能会出现部分边缘设备承载任务量大，而部分承载的任务量少，导致漏洞扫描过程中边缘设备之间的负载不均衡的问题。


技术实现要素：

6.（一）申请目的基于此，为了解决工业互联网的边缘设备在执行网络漏洞扫描过程中存在的负载不均衡问题，以及提高网络漏洞识别的计算速度，实现算力共享，本技术公开了以下技术方案。
7.（二）技术方案本技术公开了针对多工作流的网络漏洞识别方法，包括：接入工业物联网的边缘设备之间互联组网；终端设备将网络漏洞扫描计算任务整合为工作流，上传到相应的本地边缘设备进行处理；获取本地边缘设备的算力数据；分析本地边缘设备的算力数据，判断本地边缘设备是否能够正常处理网络漏洞扫描计算任务的工作流；若能够正常处理，则该本地边缘设备执行该工作流的计算任务；若不能够正常处理，则该本地边缘设备将该工作流拆分为多个子工作流，并向组网内的其他边缘设备发送转让请求信息；
组网内的其他边缘设备接受转让请求信息，计算自身的闲置算力，根据自身的闲置算力获取所述转让请求信息关联的子工作流，完成该子工作流的计算任务后返回结果。
8.在一种可能的实施方式中，所述算力数据包括硬件数据和软件数据，所述硬件数据包括边缘设备的物联网芯片主频、最高频率和运行温度，所述软件数据包括边缘设备的物联网芯片处理任务时运行的进程数目。
9.在一种可能的实施方式中，所述本地边缘设备的算力数据的获取方法包括：通过对本地边缘设备的物联网芯片的状态引脚进行采样，获取物联网芯片的硬件数据；通过对本地边缘设备的物联网芯片的io端口进行采样，获取物联网芯片的软件数据。
10.在一种可能的实施方式中，所述本地边缘设备的算力数据的分析方法具体包括：通过本地边缘设备的硬件数据和软件数据，计算所述本地边缘设备处理网络漏洞扫描计算任务时的资源占用率，通过所述资源占用率与本地边缘设备的一般占用率进行比较，判断本地边缘设备是否能够正常处理网络漏洞扫描计算任务的工作流。
11.在一种可能的实施方式中，所述本地边缘设备向组网内的其他边缘设备发送转让请求信息具体包括：根据资源占用率和一般占用率计算闲置算力，通过各个边缘设备的闲置算力的比值计算获取转让任务的权重；根据所述转让任务的权重，从所述工作流中按照该权重抽取网络漏洞扫描计算任务，将计算任务重新整合为子工作流；所述本地边缘设备根据所述子工作流生成转让请求信息，并将转让请求信息发送给组网内的其他边缘设备。
12.作为本技术的第二方面，本技术还公开了针对多工作流的网络漏洞识别系统，包括：边缘设备，所述边缘设备接入工业物联网，并且边缘设备之间互联组网；终端设备，通过工业物联网连接所述边缘设备，并且，终端设备将网络漏洞扫描计算任务整合为工作流，上传到相应的本地边缘设备进行处理；任务处理判断模块，获取本地边缘设备的算力数据；分析本地边缘设备的算力数据，判断本地边缘设备是否能够正常处理网络漏洞扫描计算任务的工作流；若能够正常处理，则指示该本地边缘设备执行该工作流的计算任务；若不能够正常处理，则指示该本地边缘设备将该工作流拆分为多个子工作流，并向组网内的其他边缘设备发送转让请求信息；转让任务处理模块，用于通过组网内的其他边缘设备，接受转让请求信息，计算自身的闲置算力，根据自身的闲置算力获取所述转让请求信息关联的子工作流，完成该子工作流的计算任务后返回结果。
13.在一种可能的实施方式中，所述算力数据包括硬件数据和软件数据，所述硬件数据包括边缘设备的物联网芯片主频、最高频率和运行温度，所述软件数据包括边缘设备的物联网芯片处理任务时运行的进程数目。
14.在一种可能的实施方式中，所述任务处理判断模块具体包括：硬件数据获取模块，用于通过对本地边缘设备的物联网芯片的状态引脚进行采样，获取物联网芯片的硬件数据；软件数据获取模块，用于通过对本地边缘设备的物联网芯片的io端口进行采样，
获取物联网芯片的软件数据。
15.在一种可能的实施方式中，所述任务处理判断模块还具体包括：处理模块，用于通过本地边缘设备的硬件数据和软件数据，计算所述本地边缘设备处理网络漏洞扫描计算任务时的资源占用率；判断模块，用于通过所述资源占用率与本地边缘设备的一般占用率进行比较，判断本地边缘设备是否能够正常处理网络漏洞扫描计算任务的工作流。
16.在一种可能的实施方式中，所述转让任务处理模块包括：权重计算模块，用于根据资源占用率和一般占用率计算闲置算力，通过各个边缘设备的闲置算力的比值计算获取转让任务的权重；转让任务分配模块，用于根据所述转让任务的权重，从所述工作流中按照该权重抽取网络漏洞扫描计算任务，将计算任务重新整合为子工作流；通过所述本地边缘设备根据所述子工作流生成转让请求信息，并将转让请求信息发送给组网内的其他边缘设备。
17.（三）有益效果本技术公开的针对多工作流的网络漏洞识别方法和系统，通过边缘设备之间互联组网，便于边缘设备之间的数据传输，通过分析算力数据，由具有闲置算力的边缘设备响应不能正常处理网络漏洞扫描检测的计算任务的边缘设备的转让请求信息，并基于多工作流实现了有效的网络漏洞检测计算任务的拆分、整合和并行化，从而解决了工业物联网边缘设备之间承载任务量偏差较大的问题，提高了计算资源利用率和运算速度，对构建更为严密的网络安全体系具有重要的作用。
附图说明
18.以下参考附图描述的实施例是示例性的，旨在用于解释和说明本技术，而不能理解为对本技术的保护范围的限制。
19.图1是本技术公开的针对多工作流的网络漏洞识别方法的流程示意图。
20.图2是本技术公开的方法中整合子工作流并发送转让请求信息的子流程示意图。
21.图3是本技术公开的针对多工作流的网络漏洞识别系统的结构框图。
具体实施方式
22.为使本技术实施的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行更加详细的描述。
23.下面参考图1详细描述本技术公开的针对多工作流的网络漏洞识别方法的实施例。
24.如图1所示，本实施例公开的方法主要包括有步骤s100~s300。
25.s100，接入工业物联网的边缘设备之间互联组网。
26.其中，本发明所述的边缘设备是承担工业物联网边界安全防护的专门设备，例如工业物联网中承载防火墙软件或网络控制软件的服务器。每个边缘设备通过工业物联网，连接工业系统中一定区域范围内的终端设备，终端设备包括计入到工业物联网之中的智能仪表、终端机、plc控制器、工作站等。并且，各个边缘设备通过工业物联网建立彼此之间的通信通道。
27.由于边缘设备相较于云数据中心更接近于终端设备，因此边缘计算中的数据传输的速率要比通过广域网或者互联网的数据传输速率更快。边缘设备可通过现场总线、有线、zigbee、4g、lora或者wifi等方式与终端设备数据连接，实现终端设备的任务和数据上传。
28.s200，终端设备将网络漏洞扫描计算任务整合为工作流，上传到相应的本地边缘设备进行处理。根据网络漏洞扫描计算的需求，需要针对以上终端设备的操作系统、应用程序、存储文件、通信报文、内存数据等进行特征量的提取，并与漏洞数据库中的记录进行匹配，从而发现和报警该设备存在的网络漏洞。本步骤中，终端设备将本终端设备的标识信息、所述特征量以及目标漏洞数据库的相关信息，作为网络漏洞扫描的计算任务，整合形成工作流，进而将该工作流上传给本地边缘设备。
29.s300，获取本地边缘设备的算力数据。其中，算力数据包括硬件数据和软件数据，该硬件数据包括边缘设备的物联网芯片主频、最高频率和运行温度，该软件数据包括边缘设备的物联网芯片处理任务时运行的进程数目。
30.通过对本地边缘设备的物联网芯片的状态引脚进行采样，获取该物联网芯片的硬件数据；通过对本地边缘设备的物联网芯片的io端口进行采样，获取该物联网芯片的软件数据。
31.s400，分析本地边缘设备的算力数据，判断本地边缘设备是否能够正常处理网络漏洞扫描计算任务的工作流；若能够正常处理，则该本地边缘设备执行该工作流的计算任务；若不能够正常处理，则该本地边缘设备将该工作流拆分为多个子工作流，并向组网内的其他边缘设备发送转让请求信息。
32.其中，通过本地边缘设备的硬件数据和软件数据，计算所述本地边缘设备处理网络漏洞扫描计算任务时的资源占用率，通过所述资源占用率与本地边缘设备的一般占用率进行比较，判断本地边缘设备是否能够正常处理网络漏洞扫描计算任务的工作流。
33.其中，本地边缘设备整合子工作流并发送转让请求信息具体包括步骤s401~s403，如图2所示。
34.s401，根据资源占用率和一般占用率计算闲置算力，通过各个边缘设备的闲置算力的比值计算获取转让任务的权重；s402，根据所述转让任务的权重，从所述工作流中按照该权重抽取网络漏洞扫描计算任务，将计算任务重新整合为子工作流；s403，所述本地边缘设备根据所述子工作流生成转让请求信息，并将转让请求信息发送给组网内的其他边缘设备。
35.s500，组网内的其他边缘设备接受转让请求信息，计算自身的闲置算力，根据自身的闲置算力获取所述转让请求信息关联的子工作流，完成该子工作流的计算任务后返回结果。
36.下面参考图3，详细描述本技术公开的针对多工作流的网络漏洞识别系统实施例。如图3所示，本实施例公开的系统包括：边缘设备，所述边缘设备接入工业物联网，并且边缘设备之间互联组网；终端设备，通过工业物联网连接所述边缘设备，并且，终端设备将网络漏洞扫描计算任务整合为工作流，上传到相应的本地边缘设备进行处理；任务处理判断模块，获取本地边缘设备的算力数据；分析本地边缘设备的算力数
据，判断本地边缘设备是否能够正常处理网络漏洞扫描计算任务的工作流；若能够正常处理，则指示该本地边缘设备执行该工作流的计算任务；若不能够正常处理，则指示该本地边缘设备将该工作流拆分为多个子工作流，并向组网内的其他边缘设备发送转让请求信息；转让任务处理模块，用于通过组网内的其他边缘设备，接受转让请求信息，计算自身的闲置算力，根据自身的闲置算力获取所述转让请求信息关联的子工作流，完成该子工作流的计算任务后返回结果。
37.其中，所述任务处理判断模块具体包括：硬件数据获取模块，用于通过对本地边缘设备的物联网芯片的状态引脚进行采样，获取物联网芯片的硬件数据；软件数据获取模块，用于通过对本地边缘设备的物联网芯片的io端口进行采样，获取物联网芯片的软件数据。
38.所述任务处理判断模块还具体包括：处理模块，用于通过本地边缘设备的硬件数据和软件数据，计算所述本地边缘设备处理网络漏洞扫描计算任务时的资源占用率；判断模块，用于通过所述资源占用率与本地边缘设备的一般占用率进行比较，判断本地边缘设备是否能够正常处理网络漏洞扫描计算任务的工作流。
39.其中，所述转让任务处理模块包括：权重计算模块，用于根据资源占用率和一般占用率计算闲置算力，通过各个边缘设备的闲置算力的比值计算获取转让任务的权重；转让任务分配模块，用于根据所述转让任务的权重，从所述工作流中按照该权重抽取网络漏洞扫描计算任务，将计算任务重新整合为子工作流；通过所述本地边缘设备根据所述子工作流生成转让请求信息，并将转让请求信息发送给组网内的其他边缘设备。
40.本技术公开的针对多工作流的网络漏洞识别方法和系统，通过边缘设备之间互联组网，便于边缘设备之间的数据传输，通过分析算力数据，由具有闲置算力的边缘设备响应不能正常处理网络漏洞扫描检测的计算任务的边缘设备的转让请求信息，并基于多工作流实现了有效的网络漏洞检测计算任务的拆分、整合和并行化，从而解决了工业物联网边缘设备之间承载任务量偏差较大的问题，提高了计算资源利用率和运算速度，对构建更为严密的网络安全体系具有重要的作用。
41.在本文中，“第一”、“第二”等仅用于彼此的区分，而非表示它们的重要程度及顺序等。
42.本文中的模块、单元或组件的划分仅仅是一种逻辑功能的划分，在实际实现时可以有其他的划分方式，例如多个模块和/或单元可以结合或集成于另一个系统中。作为分离部件说明的模块、单元、组件在物理上可以是分开的，也可以是不分开的。作为单元显示的部件可以是物理单元，也可以不是物理单元，即可以位于一个具体地方，也可以分布到网格单元中。因此可以根据实际需要选择其中的部分或全部的单元来实现实施例的方案。
43.以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应以所述权利要求的保护范围为准。