一种工业互联网安全动态防护方法及防护系统与流程

1.本发明涉及工业互联网数据安全技术领域，具体是一种工业互联网安全动态防护方法及防护系统。


背景技术：

2.随着越来越多工业设备连入云计算平台，工业互联网数据安全风险日益突出，部分企业通过部署网闸、数据脱敏系统等数据安全防护设备来保护数据安全，但是当前工业互联网数据安全防护能力多采用定性方式进行评估，尚无高效可行的工业互联网数据安全防护能力定量评估方法，以实现数据精细化评估。此外，当前数据安全防护能力评估的思路基于“安全设备越多，防护能力越高”的思想，但是事实上，并不是设备越多防护能力越高，一方面，安全设备自身也可能具有脆弱性、成为攻击目标，部署越多安全设备可能意味着越多的风险点。另一方面，安全设备部署越多，企业成本就越高，达到的防护效果也不一定更好。
3.因此，如何对连入同一网络的设备进行安全管理，是当下行业研究人员需要研究的问题。


技术实现要素：

4.本发明的目的在于克服现有技术的不足，提供一种工业互联网安全动态防护方法，包括如下步骤：步骤一，建立云端设备及设备数据管理服务器，所述的云端设备及设备数据管理服务器包括基础数据管理模块；分布式数据处理模块与云端设备及设备数据管理服务器通信连接；步骤二，设备管理模块获取同网络下的设备序号以及对应设备序号的设备状态数据，将获取的设备序号以及设备状态数据打包生成设备数据包，上传至与设备管理模块匹配的分布式数据处理模块中的分布式数据节点中，分布式数据节点解析出设备数据包中的设备序号，根据解析出的设备序号，到基础数据管理模块进行设备匹配，若匹配到对应的设备序号，则进入步骤三；否则，进入步骤六；步骤三，将基础数据管理模块中对应设备序号的设备状态修改序号，返回至分布式数据节点，分布式数据节点根据设备序号，进行设备状态信息序列匹配，匹配到对应设备序号的设备状态信息序列，则进入步骤四；步骤四，将获取的对应设备序号的设备状态数据，与设备状态信息序列中的对应设备状态修改序号的设备状态数据进行比对，若一致，则设备状态正常；若不一致，则进入步骤五；步骤五，根据获取的对应设备序号的设备状态数据判断设备是否异常，若判断为设备状态异常，则对设备进行异常检测与排除，若判断设备状态正常，则将设备状态数据更新到对应设备序号的设备状态信息序列总，将设备状态修改序号加一，并更新到基础数据
管理模块，进入步骤七；步骤六，对获取的设备进行设备身份验证，若验证通过，则通过设备管理模块将设备信息发送到分布式数据节点，在分布式数据节点将设备序号及设备基础状态信息发送到基础数据管理模块；若验证未通过，则拒绝设备接入，进入步骤七；步骤七，完成安全动态监控。
5.进一步的，所述的与设备管理模块匹配的分布式数据处理模块中的分布式数据节点为：获取分布式数据处理模块中的各分布式数据节点的内存占用、磁盘占用和cpu占用，根据内存占用、磁盘占用和cpu占用获取分布式数据节点获取任务的权重，根据分布式数据节点获取任务的权重对存储节点进行排序，得到第一分布式数据节点序列；根据第一分布式数据节点序列，获取设备管理模块与第一分布式数据节点序列中各分布式数据节点的访问延迟，根据访问延迟进行排序得到对应设备管理模块的第二分布式数据节点序列；分别计算对应设备管理模块的第二分布式数据节点序列中各分布式数据节点对任务的处理速率，根据分布式数据节点对任务的处理速率以及该分布式数据节点获取任务的权重，得到对应用户的分布式存储节点获取任务的权重，根据对应用户的分布式存储节点获取任务的权重大小进行排序，得到第三分布式数据节点序列，排序第一对应的分布式数据节点，即为与设备管理模块匹配的分布式数据处理模块中的分布式数据节点。
6.进一步的，所述的设备状态信息序列为：将设备初始状态数据上传到基础数据管理模块，同时基础数据管理模块根据设备初始状态数据生成设备基础状态信息，设备基础状态信息的设备状态修改序号为n，所述的基础数据状态信息存储在基础数据管理模块；若对设备初始状态数据进行修改，则根据修改后的设备状态数据，在分布式数据节点中在设备基础状态信息的基础上进行状态信息修改，生成序号加一的设备状态修改序号，同时序号加一的基础数据状态信息更新到基础数据管理模块中，与设备基础状态信息构成基设备状态信息序列。
7.进一步的，若设备管理模块未获取到设备序号，则设备管理模块随机生成不重复的序号，赋给设备。
8.进一步的，在设备管理模块与分布式数据节点进行数据传输的过程中，网络监控与调节模块检测传输过程的流量状况，对传输过程中进行异常流量检测与排除，包括：s1，根据网络监控与调节模块中的数据采集模块的历史流量数据，通过流量预测模块得到各条线路的预测流量，并设定各条线路的预警流量阈值；s2，根据各条线路的预测流量，调度模块生成设备调度策略，根据调度策略调度模块调度各条线路的设备；s3，检测传输线路的实时的流量，当线路的流量到达预警流量阈值，先判断流量是否为异常流量，若为异常流量，则进入步骤四；若为正常流量，则通过调度模块向该条线路添加备用分流设备进行流量分流；s4，若为异常流量，先判断该条线路设备是否满足切换要求，若满足切换要求，则增加分流设备；若不满足切换要求，则暂停该条线路，进行故障排除。
9.应用一种工业互联网安全动态防护方法的一种工业互联网安全动态防护系统，包括设备管理模块、数据处理模块、网络监控与调节模块、设备信息验证装置、设备异常检测装置、通信模块、分布式数据处理模块；所述的网络监控与调节模块、设备信息验证装置、设备异常检测装置、设备管理模块、通信模块分别与所述的数据处理模块连接，所述的分布式数据处理模块与所述的通信模块通信连接。
10.本发明的有益效果是：通过本发明所提供的技术方案，可以实现对已经接入同一网络的设备进行安全防护，也可以对新接入的设备进行安全管理，确保各个设备安全的运行。
附图说明
11.图1为一种工业互联网安全动态防护方法的流程示意图；图2为一种工业互联网安全动态防护系统的。
具体实施方式
12.下面结合附图进一步详细描述本发明的技术方案，但本发明的保护范围不局限于以下所述。
13.为了使本发明的目的，技术方案及优点更加清楚明白，结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明，即所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
14.因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。需要说明的是，术语“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
15.而且，术语“包括”，“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程，方法，物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程，方法，物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程，方法，物品或者设备中还存在另外的相同要素。
16.以下结合实施例对本发明的特征和性能作进一步的详细描述。
17.如图1所示，一种工业互联网安全动态防护方法，包括如下步骤：步骤一，建立云端设备及设备数据管理服务器，所述的云端设备及设备数据管理服务器包括基础数据管理模块；分布式数据处理模块与云端设备及设备数据管理服务器通信连接；步骤二，设备管理模块获取同网络下的设备序号以及对应设备序号的设备状态数据，将获取的设备序号以及设备状态数据打包生成设备数据包，上传至与设备管理模块匹配的分布式数据处理模块中的分布式数据节点中，分布式数据节点解析出设备数据包中的
设备序号，根据解析出的设备序号，到基础数据管理模块进行设备匹配，若匹配到对应的设备序号，则进入步骤三；否则，进入步骤六；步骤三，将基础数据管理模块中对应设备序号的设备状态修改序号，返回至分布式数据节点，分布式数据节点根据设备序号，进行设备状态信息序列匹配，匹配到对应设备序号的设备状态信息序列，则进入步骤四；步骤四，将获取的对应设备序号的设备状态数据，与设备状态信息序列中的对应设备状态修改序号的设备状态数据进行比对，若一致，则设备状态正常；若不一致，则进入步骤五；步骤五，根据获取的对应设备序号的设备状态数据判断设备是否异常，若判断为设备状态异常，则对设备进行异常检测与排除，若判断设备状态正常，则将设备状态数据更新到对应设备序号的设备状态信息序列总，将设备状态修改序号加一，并更新到基础数据管理模块，进入步骤七；步骤六，对获取的设备进行设备身份验证，若验证通过，则通过设备管理模块将设备信息发送到分布式数据节点，在分布式数据节点将设备序号及设备基础状态信息发送到基础数据管理模块；若验证未通过，则拒绝设备接入，进入步骤七；步骤七，完成安全动态监控。
18.所述的与设备管理模块匹配的分布式数据处理模块中的分布式数据节点为：获取分布式数据处理模块中的各分布式数据节点的内存占用、磁盘占用和cpu占用，根据内存占用、磁盘占用和cpu占用获取分布式数据节点获取任务的权重，根据分布式数据节点获取任务的权重对存储节点进行排序，得到第一分布式数据节点序列；根据第一分布式数据节点序列，获取设备管理模块与第一分布式数据节点序列中各分布式数据节点的访问延迟，根据访问延迟进行排序得到对应设备管理模块的第二分布式数据节点序列；分别计算对应设备管理模块的第二分布式数据节点序列中各分布式数据节点对任务的处理速率，根据分布式数据节点对任务的处理速率以及该分布式数据节点获取任务的权重，得到对应用户的分布式存储节点获取任务的权重，根据对应用户的分布式存储节点获取任务的权重大小进行排序，得到第三分布式数据节点序列，排序第一对应的分布式数据节点，即为与设备管理模块匹配的分布式数据处理模块中的分布式数据节点。
19.所述的设备状态信息序列为：将设备初始状态数据上传到基础数据管理模块，同时基础数据管理模块根据设备初始状态数据生成设备基础状态信息，设备基础状态信息的设备状态修改序号为n，所述的基础数据状态信息存储在基础数据管理模块；若对设备初始状态数据进行修改，则根据修改后的设备状态数据，在分布式数据节点中在设备基础状态信息的基础上进行状态信息修改，生成序号加一的设备状态修改序号，同时序号加一的基础数据状态信息更新到基础数据管理模块中，与设备基础状态信息构成基设备状态信息序列。
20.若设备管理模块未获取到设备序号，则设备管理模块随机生成不重复的序号，赋给设备。
21.在设备管理模块与分布式数据节点进行数据传输的过程中，网络监控与调节模块
检测传输过程的流量状况，对传输过程中进行异常流量检测与排除，包括：s1，根据网络监控与调节模块中的数据采集模块的历史流量数据，通过流量预测模块得到各条线路的预测流量，并设定各条线路的预警流量阈值；s2，根据各条线路的预测流量，调度模块生成设备调度策略，根据调度策略调度模块调度各条线路的设备；s3，检测传输线路的实时的流量，当线路的流量到达预警流量阈值，先判断流量是否为异常流量，若为异常流量，则进入步骤四；若为正常流量，则通过调度模块向该条线路添加备用分流设备进行流量分流；s4，若为异常流量，先判断该条线路设备是否满足切换要求，若满足切换要求，则增加分流设备；若不满足切换要求，则暂停该条线路，进行故障排除。
22.所述的历史流量数据为流量计算周期内流量数据的峰值、流量变化率、数据总量、流量峰值持续时间。
23.所述的根据数据采集模块的历史流量数据，通过流量预测模块得到各条线路的预测流量，包括如下过程，先根据历史流量数据得到预测流量数据峰值，采用如下公式计算：其中的n为流量计算周期的个数，ai为流量计算周期i内的流量数据的峰值，根据预测流量数据峰值调度模块调用对应的设备；再根据流量峰值持续时间得到预测流量峰值持续时间，采用如下公式:若预测流量峰值持续时间大于设备稳定峰值运行时间，则增加设备进行分流；其中的n为流量计算周期的个数，bi为流量计算周期i内的流量峰值持续时间。所述的判断流量是否为异常流量包括如下过程：根据历史流量数据的流量变化率得到参考流量变化率，采用如下公式：其中的n为流量计算周期的个数，为流量计算周期i内的流量变化率，当流量变化率大于参考流量变化率，则为异常流量。
24.所述的判断该条线路设备是否满足切换要求包括如下过程：若设备流量增加到设备正常运行的最大值所需的时间大于切换到新设备的时间，则满足切换要求，否则，则不满足。
25.如图2所示，应用的一种工业互联网安全动态防护方法的一种工业互联网安全动态防护系统，包括设备管理模块、数据处理模块、网络监控与调节模块、设备信息验证装置、设备异常检测装置、通信模块、分布式数据处理模块；所述的网络监控与调节模块、设备信息验证装置、设备异常检测装置、设备管理模块、通信模块分别与所述的数据处理模块连接，所述的分布式数据处理模块与所述的通信模块通信连接。
26.以上所述仅是本发明的优选实施方式，应当理解本发明并非局限于本文所披露的形式，不应看作是对其他实施例的排除，而可用于各种其他组合、修改和环境，并能够在本文所述构想范围内，通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围，则都应在本发明所附权利要求的保护范围内。