本申请涉及应用于边缘计算的数据处理技术领域,尤其涉及边缘计算网络的数据安全防护方法及系统。
背景技术:
传统的工业网络大多通常采用专用网络进行设备间的通信,主要方式为:控制系统与每个设备建立不同的专用网络,并对不同设备发送的数据信息进行转发,从而实现不同设备之间通信。在这种模式下,控制系统如可编程控制器往往采用硬逻辑实现,且考虑到与标准网络的时间抢占问题,不同设备之间通常是互相隔离的。然而上述通信方式会给设备间的交互带来延时,难以满足现阶段的高时效性的工业生产要求。为此,需要将各个设备之间的通信隔离打通,开放各个设备的通信壁垒以形成新型边缘计算工业网络从而满足通信交互的实时性要求。但是,由于新型边缘计算工业网络将多个设备的通信进行了集成,这样会增大工业网络中的数据被篡改或窃取的风险。
技术实现要素:
本申请提供边缘计算网络的数据安全防护方法及系统,以降低工业网络中数据被篡改或窃取的风险。
本申请的第一个方面,公开一种边缘计算网络的数据安全防护方法,应用于与多个工业互联设备通信的区块链服务器,所述方法包括:
从用于记录每个工业互联设备的运行日志的日志汇总表中实时检测是否存在用于表征存在数据发送行为的目标更新信息;
在检测到存在所述目标更新信息时,根据所述目标更新信息确定第一目标设备的第一设备安全信息和第二目标设备的第二设备安全信息;其中,所述第一目标设备用于向所述第二目标设备发送目标业务数据;
根据所述第一设备安全信息和/或所述第二设备安全信息判断所述第一目标设备和所述第二目标设备是否满足设定传输条件,若所述第一目标设备和所述第二目标设备不满足所述设定传输条件,则对所述目标业务数据进行拦截。
在上述第一方面的一个优选的实施例中,根据所述第一设备安全信息和/或所述第二设备安全信息判断所述第一目标设备和所述第二目标设备是否满足设定传输条件,包括:
检测所述第一目标设备的信息封装线程是否启动;
在检测到所述第一目标设备的信息封装线程启动时,提取所述第一设备安全信息中包括的所述第一目标设备在设定时段内的多条通信记录;所述设定时段是以所述信息封装线程的启动时刻为终止时刻并以所述终止时刻之前的目标时刻为起始时刻之间的时段,所述目标时刻根据与所述区块链服务器通信的工业互联设备的数量确定;
根据每条通信记录确定所述第一目标设备的第一安全系数和第二安全系数,按照所述通信记录中相同通信对象的占比对所述第一安全系数和第二安全系数进行加权,得到所述第一目标设备的第三安全系数;
判断所述第三安全系数是否达到设定系数;若所述第三安全系数没有所述设定系数,则判定所述第一目标设备和所述第二目标设备不满足所述设定传输条件。
在上述第一方面的一个优选的实施例中,根据每条通信记录确定所述第一目标设备的第一安全系数和第二安全系数,包括:
提取所述第一目标设备内配置的拦截机制的运行记录清单,从所述运行记录清单中确定出在所述设定时段内存在用于表征所述拦截机制进行数据拦截和/或销毁的动作标识;根据所述动作标识从所述运行记录清单中确定出存在与所述动作标识对应的动作标签的拦截记录;
按照预设的映射列表确定所述拦截记录对应的已拦截数据的第一数据容量和数据接收时刻;其中,所述映射列表用于记录已拦截数据和拦截记录之间的关系,所述数据接收时刻位于所述设定时段内;
统计所述第一目标设备在所述设定时段内所接收到所有数据的第二数据容量,确定所述第一数据容量和所述第二数据容量的比例值以及所述数据接收时刻在所述设定时段内的相对系数;采用所述相对系数对所述比例值进行加权,得到所述第一目标设备对应的第一安全系数;
确定每条通信记录对应的第三目标设备;获取每个第三目标设备对应的通信参数包以及每个第三目标设备对应的目标拦截机制的运行参数包;其中所述通信参数包和所述运行参数包中分别包括多个具有不同记录时刻的参数段;
从每个第三目标设备对应的通信参数包中确定任一参数段的第一可信度并将每个第三目标设备对应目标拦截机制的运行参数包中的最小记录时刻对应的参数段确定为检测参数段;将所述第一可信度植入所述检测参数段得到目标参数段,计算所述目标参数段的第二可信度;基于所述第一可信度和所述第二可信度确定每个第三目标设备对应的通信参数包和运行参数包之间的可信度映射关系;
将所述第一目标设备的运行记录清单对应的可信度描述信息导入基于每个可信度映射关系生成的目标映射表中,得到所述可信度描述信息在每张目标映射列表中的映射值;根据所述第一目标设备与每个第三目标设备之间在所述设定时段内的累计通信时长对每个映射值进行加权求和,得到所述第一目标设备的第二安全系数。
在上述第一方面的一个优选的实施例中,按照所述通信记录中相同通信对象的占比对所述第一安全系数和第二安全系数进行加权,得到所述第一目标设备的第三安全系数,包括:
从所述通信记录中确定出所述第一目标设备与每个第三目标设备建立通信连接的第一累计次数;
将每个第三目标设备的第一累计次数进行求和得到第二累计次数,计算每个第一累计次数在第二累计次数中的百分比并获取最大百分比对应的第三目标设备的安全记录报表;
从所述安全记录报表中确定出所述安全记录报表对应的第三目标设备的第一风险率;
采用所述第一风险率对所述第二安全系数进行加权,采用与所述第一风险率相对的第二风险率对所述第一安全系数进行加权,并对加权结果进行求和以得到所述第一目标设备的第三安全系数。
在上述第一方面的一个优选的实施例中,根据所述第一设备安全信息和/或所述第二设备安全信息判断所述第一目标设备和所述第二目标设备是否满足设定传输条件,包括:
在所述第一目标设备发出所述目标业务数据之后且在第二目标设备接收到所述目标业务数据之前,实时获取所述第二目标设备的数据流量信息;
根据所述数据流量信息确定所述第二目标设备是否处于异常状态;
在判断出所述第二目标设备处于所述异常状态时,判定所述第一目标设备和所述第二目标设备不满足设定传输条件。
本申请的第二个方面,公开一种通信主控装置,应用于与多个工业互联设备通信的区块链服务器,所述装置包括:
信息检测模块,用于从用于记录每个工业互联设备的运行日志的日志汇总表中实时检测是否存在用于表征存在数据发送行为的目标更新信息;
信息确定模块,用于在检测到存在所述目标更新信息时,根据所述目标更新信息确定第一目标设备的第一设备安全信息和第二目标设备的第二设备安全信息;其中,所述第一目标设备用于向所述第二目标设备发送目标业务数据;
数据拦截模块,用于根据所述第一设备安全信息和/或所述第二设备安全信息判断所述第一目标设备和所述第二目标设备是否满足设定传输条件,若所述第一目标设备和所述第二目标设备不满足所述设定传输条件,则对所述目标业务数据进行拦截。
在上述第二方面的一个优选的实施例中,所述数据拦截模块,具体用于:
检测所述第一目标设备的信息封装线程是否启动;
在检测到所述第一目标设备的信息封装线程启动时,提取所述第一设备安全信息中包括的所述第一目标设备在设定时段内的多条通信记录;所述设定时段是以所述信息封装线程的启动时刻为终止时刻并以所述终止时刻之前的目标时刻为起始时刻之间的时段,所述目标时刻根据与所述区块链服务器通信的工业互联设备的数量确定;
根据每条通信记录确定所述第一目标设备的第一安全系数和第二安全系数,按照所述通信记录中相同通信对象的占比对所述第一安全系数和第二安全系数进行加权,得到所述第一目标设备的第三安全系数;
判断所述第三安全系数是否达到设定系数;若所述第三安全系数没有所述设定系数,则判定所述第一目标设备和所述第二目标设备不满足所述设定传输条件。
在上述第二方面的一个优选的实施例中,所述数据拦截模块,具体用于:
提取所述第一目标设备内配置的拦截机制的运行记录清单,从所述运行记录清单中确定出在所述设定时段内存在用于表征所述拦截机制进行数据拦截和/或销毁的动作标识;根据所述动作标识从所述运行记录清单中确定出存在与所述动作标识对应的动作标签的拦截记录;
按照预设的映射列表确定所述拦截记录对应的已拦截数据的第一数据容量和数据接收时刻;其中,所述映射列表用于记录已拦截数据和拦截记录之间的关系,所述数据接收时刻位于所述设定时段内;
统计所述第一目标设备在所述设定时段内所接收到所有数据的第二数据容量,确定所述第一数据容量和所述第二数据容量的比例值以及所述数据接收时刻在所述设定时段内的相对系数;采用所述相对系数对所述比例值进行加权,得到所述第一目标设备对应的第一安全系数;
确定每条通信记录对应的第三目标设备;获取每个第三目标设备对应的通信参数包以及每个第三目标设备对应的目标拦截机制的运行参数包;其中所述通信参数包和所述运行参数包中分别包括多个具有不同记录时刻的参数段;
从每个第三目标设备对应的通信参数包中确定任一参数段的第一可信度并将每个第三目标设备对应目标拦截机制的运行参数包中的最小记录时刻对应的参数段确定为检测参数段;将所述第一可信度植入所述检测参数段得到目标参数段,计算所述目标参数段的第二可信度;基于所述第一可信度和所述第二可信度确定每个第三目标设备对应的通信参数包和运行参数包之间的可信度映射关系;
将所述第一目标设备的运行记录清单对应的可信度描述信息导入基于每个可信度映射关系生成的目标映射表中,得到所述可信度描述信息在每张目标映射列表中的映射值;根据所述第一目标设备与每个第三目标设备之间在所述设定时段内的累计通信时长对每个映射值进行加权求和,得到所述第一目标设备的第二安全系数。
在上述第二方面的一个优选的实施例中,所述数据拦截模块,具体用于:
从所述通信记录中确定出所述第一目标设备与每个第三目标设备建立通信连接的第一累计次数;
将每个第三目标设备的第一累计次数进行求和得到第二累计次数,计算每个第一累计次数在第二累计次数中的百分比并获取最大百分比对应的第三目标设备的安全记录报表;
从所述安全记录报表中确定出所述安全记录报表对应的第三目标设备的第一风险率;
采用所述第一风险率对所述第二安全系数进行加权,采用与所述第一风险率相对的第二风险率对所述第一安全系数进行加权,并对加权结果进行求和以得到所述第一目标设备的第三安全系数。
在上述第二方面的一个优选的实施例中,所述数据拦截模块,具体用于:
在所述第一目标设备发出所述目标业务数据之后且在第二目标设备接收到所述目标业务数据之前,实时获取所述第二目标设备的数据流量信息;
根据所述数据流量信息确定所述第二目标设备是否处于异常状态;
在判断出所述第二目标设备处于所述异常状态时,判定所述第一目标设备和所述第二目标设备不满足设定传输条件。
应用本申请实施例边缘计算网络的数据安全防护方法及系统时,首先在检测到目标更新信息时确定第一目标设备的第一设备安全信息以及第二目标设备的第二设备安全信息,然后根据第一设备安全信息和第二设备安全信息判断第一目标设备和第二目标设备是否满足设定传输条件,最后在第一目标设备和第二目标设备不满足设定传输条件时对第一目标设备向第二目标设备发送的目标业务数据进行拦截。如此,可以避免目标业务数据被存在数据安全风险的第二目标设备窃取,也可以避免存在数据安全风险的第一目标设备向第二目标设备发送携带病毒的目标业务数据而导致第二目标设备的数据被窃取。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1是本申请提供的边缘计算网络的数据安全防护系统100的通信架构示意图。
图2是本申请提供的边缘计算网络的数据安全防护方法的流程图。
图3是本申请提供的通信主控装置210的模块框图。
图4为本申请提供的通信主控装置210所在区块链服务器200的一种硬件结构图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
为了避免新型工业网络中的数据被篡改或窃取,从而实现对数据的安全防护,本发明公开了一种边缘计算网络的数据安全防护方法及系统。请首先参阅图1,为本发明提供的边缘计算网络的数据安全防护系统100的通信架构示意图,所述数据安全防护系统100包括互相之间通信的区块链服务器200以及多个工业互联设备300。其中,工业互联设备300可以应用于多个领域,例如电子设备制造、汽车制造、无人机制造、大型机械生产设备制造和芯片制造等领域,在此不作限定。区块链服务器200以及多个工业互联设备300之间通过协作,能够确保数据在工业网络中的安全性。
在上述基础上,请结合参阅图2,为本发明提供的边缘计算网络的数据安全防护方法的流程图,所述方法可以应用于图1中的区块链服务器200,具体可以包括以下步骤所描述的内容。
步骤210,从用于记录每个工业互联设备的运行日志的日志汇总表中实时检测是否存在用于表征存在数据发送行为的目标更新信息。
其中,所述目标更新信息有数据发送行为的产生端在所述日志汇总表中进行更新,所述产生端为其中一个工业互联设备。
步骤220,在检测到存在所述目标更新信息时,根据所述目标更新信息确定第一目标设备的第一设备安全信息和第二目标设备的第二设备安全信息;其中,所述第一目标设备用于向所述第二目标设备发送目标业务数据。
步骤230,根据所述第一设备安全信息和/或所述第二设备安全信息判断所述第一目标设备和所述第二目标设备是否满足设定传输条件,若所述第一目标设备和所述第二目标设备不满足所述设定传输条件,则对所述目标业务数据进行拦截。
在本发明中,区块链服务器200在拦截所述目标业务数据之后将所述目标业务数据进行缓存。
在实施上述步骤210-步骤230所描述的内容时,首先在检测到目标更新信息时确定第一目标设备的第一设备安全信息以及第二目标设备的第二设备安全信息,然后根据第一设备安全信息和/或第二设备安全信息判断第一目标设备和第二目标设备是否满足设定传输条件,最后在第一目标设备和第二目标设备不满足设定传输条件时对第一目标设备向第二目标设备发送的目标业务数据进行拦截。如此,可以避免目标业务数据被存在数据安全风险的第二目标设备窃取,也可以避免存在数据安全风险的第一目标设备向第二目标设备发送携带病毒的目标业务数据而导致第二目标设备的数据被窃取和篡改。
在具体实施时,发明人发现,工业互联设备300之间的通信是实时且频繁的,在这种场景下,为了对第一目标设备和第二目标设备进行严格且准确的安全性检测以避免漏检,需要在目标业务数据的数据传输全流程中进行安全性检测。
可以理解,目标业务数据的数据传输全流程可以包括以下两个阶段:第一个阶段,第一目标设备在封装目标业务数据并进行发送之前;第二个阶段,第一目标设备发出目标业务数据之后到第二目标设备接收到目标业务数据之前。
相应地,在根据所述第一设备安全信息和/或所述第二设备安全信息判断所述第一目标设备和所述第二目标设备是否满足设定传输条件时,需要考虑上述两个阶段。
下面分别对每个阶段下第一目标设备和第二目标设备是否满足设定传输条件进行说明。当然,在具体实施时,并不限于以下两个阶段。
一、步骤230所描述的根据所述第一设备安全信息和/或所述第二设备安全信息判断所述第一目标设备和所述第二目标设备是否满足设定传输条件在第一阶段下的子步骤2311-子步骤2314的描述如下。
子步骤2311,检测所述第一目标设备的信息封装线程是否启动。
子步骤2312,在检测到所述第一目标设备的信息封装线程启动时,提取所述第一设备安全信息中包括的所述第一目标设备在设定时段内的多条通信记录;所述设定时段是以所述信息封装线程的启动时刻为终止时刻并以所述终止时刻之前的目标时刻为起始时刻之间的时段,所述目标时刻根据与所述区块链服务器通信的工业互联设备的数量确定。
在本发明中,与所述区块链服务器通信的工业互联设备的数量越多,所述目标时刻距离所述终止时刻越远,与所述区块链服务器通信的工业互联设备的数量越少,所述目标时刻距离所述终止时刻越近。
子步骤2313,根据每条通信记录确定所述第一目标设备的第一安全系数和第二安全系数,按照所述通信记录中相同通信对象的占比对所述第一安全系数和第二安全系数进行加权,得到所述第一目标设备的第三安全系数。
子步骤2314,判断所述第三安全系数是否达到设定系数;若所述第三安全系数没有所述设定系数,则判定所述第一目标设备和所述第二目标设备不满足所述设定传输条件。
可以理解,通过上述子步骤2311-子步骤2314所描述的内容,能够在第一目标设备启动信息封装线程时获取第一目标设备的多条通信记录,并根据多条通信记录确定第一目标设备的第三安全系数,从而根据第三安全系数判断第一目标设备和第二目标设备是否满足设定传输条件。如此能够在第一目标设备发送目标业务数据之前对第一目标设备进行安全性检测,避免存在数据安全风险的第一目标设备向第二目标设备发送携带病毒的目标业务数据而导致第二目标设备的数据被窃取或篡改。
在子步骤2313中,第一安全系数可以理解为第一目标设备的直接安全系数,第二安全系数可以理解为第一目标设备的间接安全系数。通过确定第一安全系数和第二安全系数,能够对与第一目标设备通信的第三目标设备的数据安全性进行分析,提高第三安全系数的准确性和可靠性。
在具体实施时发明人发现,在计算第一安全系数和第二安全系数时,第一目标设备内置的拦截机制会对部分携带病毒的数据进行删除,这样会存在一个问题:使得用于计算第一安全系数和第二安全系数的样本数据的数量减少。上述问题的存在可能导致在确定第一安全系数和第二安全系数时出现误差。
为改善上述问题,在子步骤2313中,根据每条通信记录确定所述第一目标设备的第一安全系数和第二安全系数,具体可以包括以下步骤(11)-步骤(16)所描述的内容。
(11)提取所述第一目标设备内配置的拦截机制的运行记录清单,从所述运行记录清单中确定出在所述设定时段内存在用于表征所述拦截机制进行数据拦截和/或销毁的动作标识;根据所述动作标识从所述运行记录清单中确定出存在与所述动作标识对应的动作标签的拦截记录。
(12)按照预设的映射列表确定所述拦截记录对应的已拦截数据的第一数据容量和数据接收时刻;其中,所述映射列表用于记录已拦截数据和拦截记录之间的关系,所述数据接收时刻位于所述设定时段内。
(13)统计所述第一目标设备在所述设定时段内所接收到所有数据的第二数据容量,确定所述第一数据容量和所述第二数据容量的比例值以及所述数据接收时刻在所述设定时段内的相对系数;采用所述相对系数对所述比例值进行加权,得到所述第一目标设备对应的第一安全系数。
(14)确定每条通信记录对应的第三目标设备;获取每个第三目标设备对应的通信参数包以及每个第三目标设备对应的目标拦截机制的运行参数包;其中所述通信参数包和所述运行参数包中分别包括多个具有不同记录时刻的参数段。
(15)从每个第三目标设备对应的通信参数包中确定任一参数段的第一可信度并将每个第三目标设备对应目标拦截机制的运行参数包中的最小记录时刻对应的参数段确定为检测参数段;将所述第一可信度植入所述检测参数段得到目标参数段,计算所述目标参数段的第二可信度;基于所述第一可信度和所述第二可信度确定每个第三目标设备对应的通信参数包和运行参数包之间的可信度映射关系。
(16)将所述第一目标设备的运行记录清单对应的可信度描述信息导入基于每个可信度映射关系生成的目标映射表中,得到所述可信度描述信息在每张目标映射列表中的映射值;根据所述第一目标设备与每个第三目标设备之间在所述设定时段内的累计通信时长对每个映射值进行加权求和,得到所述第一目标设备的第二安全系数。
可以理解,通过上述步骤(11)-步骤(16)所描述的内容,能够对第一目标设备对应的拦截机制以及每个第三目标设备对应的拦截机制进行分析,从而避免用于计算第一安全系数和第二安全系数的样本数据的数量的减少对第一安全系数和第二安全系数的准确性的影响。这样,能够基于上述内容准确、可靠地计算第一目标设备的第一安全系数和第二安全系数,避免第一安全系数和第二安全系数出现误差。
在具体实施时,步骤2313所描述的按照所述通信记录中相同通信对象的占比对所述第一安全系数和第二安全系数进行加权,得到所述第一目标设备的第三安全系数,具体可以包括以下步骤(21)-(24)所描述的内容。
(21)从所述通信记录中确定出所述第一目标设备与每个第三目标设备建立通信连接的第一累计次数。
(22)将每个第三目标设备的第一累计次数进行求和得到第二累计次数,计算每个第一累计次数在第二累计次数中的百分比并获取最大百分比对应的第三目标设备的安全记录报表。
(23)从所述安全记录报表中确定出所述安全记录报表对应的第三目标设备的第一风险率。
(24)采用所述第一风险率对所述第二安全系数进行加权,采用与所述第一风险率相对的第二风险率对所述第一安全系数进行加权,并对加权结果进行求和以得到所述第一目标设备的第三安全系数。
在执行上述步骤(21)-步骤(24)所描述的内容时,能够确保第三安全系数的准确性。
二、步骤230所描述的根据所述第一设备安全信息和/或所述第二设备安全信息判断所述第一目标设备和所述第二目标设备是否满足设定传输条件在第二阶段下的子步骤2321-子步骤2323的描述如下。
步骤2321,在所述第一目标设备发出所述目标业务数据之后且在第二目标设备接收到所述目标业务数据之前,实时获取所述第二目标设备的数据流量信息。
步骤2322,根据所述数据流量信息确定所述第二目标设备是否处于异常状态。
步骤2323,在判断出所述第二目标设备处于所述异常状态时,判定所述第一目标设备和所述第二目标设备不满足设定传输条件。
在应用上述步骤2321-步骤2323所描述的方法时,能够对第二目标设备的数据流量信息进行实时监测,并且在通过对数据流量信息的监测判定出第二目标设备处于异常状态时,确定第一目标设备和第二目标设备不满足设定传输条件。如此,能够基于数据流量信息实时、准确且可靠地对第二目标设备进行监测,这样,即使在目标业务数据进行传输的过程中,也能够对第二目标设备进行有效地数据安全性判断,从而避免存在数据安全风险的第二目标设备对目标业务数据进行窃取。
在一种可替换的实施方式中,为了实时、准确且可靠地对第二目标设备的异常状态进行检测,在步骤2322中,根据所述数据流量信息确定所述第二目标设备是否处于异常状态,具体可以包括以下步骤(31)-(36)所描述的内容。
(31)将所述数据流量信息按照时间先后顺序进行拆分,得到所述数据流量信息对应的多个流量分段;根据所述第二目标设备的数据接口确定所述数据流量信息的流量协议并提取所述流量协议中的协议字段;其中,所述协议字段用于表征所述第二目标设备在接收数据流量时的访问规则,所述访问规则包括所述第二目标设备对应的数据库以及防火墙的访问机制。
(32)在基于所述协议字段确定出所述第二目标设备存在流量分类进程时,抽取所述流量分类进程的进程描述信息并从所述进程描述信息中确定出所述第二目标设备对应的第一流量分类集合和第二流量分类集合;其中,所述第一流量分类集合用于记录正常数据流量,所述第二流量分类集合用于记录异常数据流量,所述异常数据流量包括携带目标标识的流量或者流量值超过预设值的流量。
(33)根据所述第二目标设备在所述第一流量分类集合下的流量分段以及所述流量分段的流量累计值确定所述第二目标设备在所述第二流量分类集合下的各流量分段与所述第二目标设备在所述第一流量分类集合下的各流量分段之间的第一比对系数,并基于所述第一比对系数将所述第二目标设备在所述第二流量分类集合下的与在所述第一流量分类集合下的流量分段相似的流量分段导入到所述第一流量分类集合下。
(34)若所述第二目标设备的所述第二流量分类集合下包含有多个流量分段,则根据所述第二目标设备在所述第一流量分类集合下的流量分段以及所述流量分段的流量累计值确定所述第二目标设备在所述第二流量分类集合下的各流量分段之间的第二比对系数,并根据所述各流量分段之间的第二比对系数对所述第二流量分类集合下的各流量分段进行拼接。
(35)基于所述第二目标设备在所述第一流量分类集合下的流量分段以及所述流量分段的流量累计值为上述拼接获得的目标流量分段添加分类标识,并基于所述分类标识所对应的标识权重的大小顺序将所述目标流量分段导入到所述第一流量分类集合下。
(36)计算所述第二流量分类集合下的流量分段的数量是否高于设定数量;若所述第二流量分类集合下的流量分段的数量高于所述设定数量,则确定所述第二目标设备处于异常状态。
可以理解,通过上述步骤(31)-步骤(36),能够将所述数据流量信息按照时间先后顺序进行拆分以得到多个流量分段,从而在确定出第二目标设备对应的第一流量分类集合和第二流量分类集合时对两个流量分类集合下的流量分段进行相似度比较并进行调整和转移,从而确保第一流量分类集合和第二流量分类集合的分类准确性,然后基于所述第二流量分类集合下的流量分段的数量判断第二目标设备是否处于异常状态。如此,能够根据第二目标设备实时接收到的数据流量实时、准确且可靠地对第二目标设备的异常状态进行检测。
在另一种可替换的实施方式中,在步骤2323中,在判断出所述第二目标设备处于所述异常状态时,为了确保其他目标设备的数据安全性,在上述基础上,所述方法还可以包括以下步骤(41)-步骤(44)所描述的内容。
(41)确定与所述第二目标设备存在通信行为的至少一个第四目标设备,从所述至少一个第四目标设备的运行脚本中确定协议脚本标签;其中,所述协议脚本标签为多个。
(42)针对所述协议脚本标签中的当前协议脚本标签,基于当前协议脚本标签在所述第二目标设备处于第一目标通信状态时的第一更新系数以及各所述协议脚本标签在所述第二目标设备处于第一目标通信状态时的第二更新系数,确定当前协议脚本标签在所述第二目标设备处于第一目标通信状态时的更新权重值;其中,所述第一目标通信状态为数据发送状态。
(43)根据当前协议脚本标签在所述第二目标设备处于第二目标通信状态时的更新权重值确定当前协议脚本标签在所述第二目标设备处于第二目标通信状态时的更新权重变化轨迹。
(44)将所述更新权重变化轨迹的轨迹描述值以列表形式进行抽取,形成目标轨迹列表;判断所述目标轨迹列表与预设轨迹列表之间的匹配率是否达到设定比率,若是,对所述第四目标设备的数据进行备份。
可以理解,基于上述步骤(41)-(44)所描述的内容,能够在目标轨迹列表与预设轨迹列表之间的匹配率是否达到设定比率时确定第四目标设备存在数据丢失风险,从而对第四目标设备的数据进行备份,如此,在对第四目标设备进行初始化之后,能够将备份的数据重新导入第四目标设备中。这样可以确保第四目标设备的数据安全性。
在上述基础上,请结合参阅图3,提供了一种通信主控装置210的功能模块框图,通信主控装置210的详细描述如下。
a1.一种通信主控装置,应用于与多个工业互联设备通信的区块链服务器,所述装置包括:
信息检测模块211,用于从用于记录每个工业互联设备的运行日志的日志汇总表中实时检测是否存在用于表征存在数据发送行为的目标更新信息;
信息确定模块212,用于在检测到存在所述目标更新信息时,根据所述目标更新信息确定第一目标设备的第一设备安全信息和第二目标设备的第二设备安全信息;其中,所述第一目标设备用于向所述第二目标设备发送目标业务数据;
数据拦截模块213,用于根据所述第一设备安全信息和/或所述第二设备安全信息判断所述第一目标设备和所述第二目标设备是否满足设定传输条件,若所述第一目标设备和所述第二目标设备不满足所述设定传输条件,则对所述目标业务数据进行拦截。
a2.根据a1所述的装置,所述数据拦截模块213,具体用于:
检测所述第一目标设备的信息封装线程是否启动;
在检测到所述第一目标设备的信息封装线程启动时,提取所述第一设备安全信息中包括的所述第一目标设备在设定时段内的多条通信记录;所述设定时段是以所述信息封装线程的启动时刻为终止时刻并以所述终止时刻之前的目标时刻为起始时刻之间的时段,所述目标时刻根据与所述区块链服务器通信的工业互联设备的数量确定;
根据每条通信记录确定所述第一目标设备的第一安全系数和第二安全系数,按照所述通信记录中相同通信对象的占比对所述第一安全系数和第二安全系数进行加权,得到所述第一目标设备的第三安全系数;
判断所述第三安全系数是否达到设定系数;若所述第三安全系数没有所述设定系数,则判定所述第一目标设备和所述第二目标设备不满足所述设定传输条件。
a3.根据a2所述的装置,所述数据拦截模块213,具体用于:
提取所述第一目标设备内配置的拦截机制的运行记录清单,从所述运行记录清单中确定出在所述设定时段内存在用于表征所述拦截机制进行数据拦截和/或销毁的动作标识;根据所述动作标识从所述运行记录清单中确定出存在与所述动作标识对应的动作标签的拦截记录;
按照预设的映射列表确定所述拦截记录对应的已拦截数据的第一数据容量和数据接收时刻;其中,所述映射列表用于记录已拦截数据和拦截记录之间的关系,所述数据接收时刻位于所述设定时段内;
统计所述第一目标设备在所述设定时段内所接收到所有数据的第二数据容量,确定所述第一数据容量和所述第二数据容量的比例值以及所述数据接收时刻在所述设定时段内的相对系数;采用所述相对系数对所述比例值进行加权,得到所述第一目标设备对应的第一安全系数;
确定每条通信记录对应的第三目标设备;获取每个第三目标设备对应的通信参数包以及每个第三目标设备对应的目标拦截机制的运行参数包;其中所述通信参数包和所述运行参数包中分别包括多个具有不同记录时刻的参数段;
从每个第三目标设备对应的通信参数包中确定任一参数段的第一可信度并将每个第三目标设备对应目标拦截机制的运行参数包中的最小记录时刻对应的参数段确定为检测参数段;将所述第一可信度植入所述检测参数段得到目标参数段,计算所述目标参数段的第二可信度;基于所述第一可信度和所述第二可信度确定每个第三目标设备对应的通信参数包和运行参数包之间的可信度映射关系;
将所述第一目标设备的运行记录清单对应的可信度描述信息导入基于每个可信度映射关系生成的目标映射表中,得到所述可信度描述信息在每张目标映射列表中的映射值;根据所述第一目标设备与每个第三目标设备之间在所述设定时段内的累计通信时长对每个映射值进行加权求和,得到所述第一目标设备的第二安全系数。
a4.根据a2所述的装置,所述数据拦截模块213,具体用于:
从所述通信记录中确定出所述第一目标设备与每个第三目标设备建立通信连接的第一累计次数;
将每个第三目标设备的第一累计次数进行求和得到第二累计次数,计算每个第一累计次数在第二累计次数中的百分比并获取最大百分比对应的第三目标设备的安全记录报表;
从所述安全记录报表中确定出所述安全记录报表对应的第三目标设备的第一风险率;
采用所述第一风险率对所述第二安全系数进行加权,采用与所述第一风险率相对的第二风险率对所述第一安全系数进行加权,并对加权结果进行求和以得到所述第一目标设备的第三安全系数。
a5.根据a1所述的装置,所述数据拦截模块213,具体用于:
在所述第一目标设备发出所述目标业务数据之后且在第二目标设备接收到所述目标业务数据之前,实时获取所述第二目标设备的数据流量信息;
根据所述数据流量信息确定所述第二目标设备是否处于异常状态;
在判断出所述第二目标设备处于所述异常状态时,判定所述第一目标设备和所述第二目标设备不满足设定传输条件。
a6.根据a5所述的装置,所述数据拦截模块213,具体用于:
将所述数据流量信息按照时间先后顺序进行拆分,得到所述数据流量信息对应的多个流量分段;根据所述第二目标设备的数据接口确定所述数据流量信息的流量协议并提取所述流量协议中的协议字段;其中,所述协议字段用于表征所述第二目标设备在接收数据流量时的访问规则,所述访问规则包括所述第二目标设备对应的数据库以及防火墙的访问机制;
在基于所述协议字段确定出所述第二目标设备存在流量分类进程时,抽取所述流量分类进程的进程描述信息并从所述进程描述信息中确定出所述第二目标设备对应的第一流量分类集合和第二流量分类集合;其中,所述第一流量分类集合用于记录正常数据流量,所述第二流量分类集合用于记录异常数据流量,所述异常数据流量包括携带目标标识的流量或者流量值超过预设值的流量;
根据所述第二目标设备在所述第一流量分类集合下的流量分段以及所述流量分段的流量累计值确定所述第二目标设备在所述第二流量分类集合下的各流量分段与所述第二目标设备在所述第一流量分类集合下的各流量分段之间的第一比对系数,并基于所述第一比对系数将所述第二目标设备在所述第二流量分类集合下的与在所述第一流量分类集合下的流量分段相似的流量分段导入到所述第一流量分类集合下;
若所述第二目标设备的所述第二流量分类集合下包含有多个流量分段,则根据所述第二目标设备在所述第一流量分类集合下的流量分段以及所述流量分段的流量累计值确定所述第二目标设备在所述第二流量分类集合下的各流量分段之间的第二比对系数,并根据所述各流量分段之间的第二比对系数对所述第二流量分类集合下的各流量分段进行拼接;
基于所述第二目标设备在所述第一流量分类集合下的流量分段以及所述流量分段的流量累计值为上述拼接获得的目标流量分段添加分类标识,并基于所述分类标识所对应的标识权重的大小顺序将所述目标流量分段导入到所述第一流量分类集合下;
计算所述第二流量分类集合下的流量分段的数量是否高于设定数量;若所述第二流量分类集合下的流量分段的数量高于所述设定数量,则确定所述第二目标设备处于异常状态。
关于上述功能模块的说明请参阅对上述方法的描述,在此不作更多说明。
进一步地,本发明还公开了一种数据安全防护系统,具体描述如下。
b1.一种数据安全防护系统,包括互相之间通信连接的区块链服务器和多个工业互联设备;
所述区块链服务器,用于:
从用于记录每个工业互联设备的运行日志的日志汇总表中实时检测是否存在用于表征存在数据发送行为的目标更新信息;
在检测到存在所述目标更新信息时,根据所述目标更新信息确定第一目标设备的第一设备安全信息和第二目标设备的第二设备安全信息;其中,所述第一目标设备用于向所述第二目标设备发送目标业务数据;
根据所述第一设备安全信息和/或所述第二设备安全信息判断所述第一目标设备和所述第二目标设备是否满足设定传输条件,若所述第一目标设备和所述第二目标设备不满足所述设定传输条件,则对所述目标业务数据进行拦截。
b2.根据b1所述的系统,所述区块链服务器,进一步用于:
检测所述第一目标设备的信息封装线程是否启动;
在检测到所述第一目标设备的信息封装线程启动时,提取所述第一设备安全信息中包括的所述第一目标设备在设定时段内的多条通信记录;所述设定时段是以所述信息封装线程的启动时刻为终止时刻并以所述终止时刻之前的目标时刻为起始时刻之间的时段,所述目标时刻根据与所述区块链服务器通信的工业互联设备的数量确定;
根据每条通信记录确定所述第一目标设备的第一安全系数和第二安全系数,按照所述通信记录中相同通信对象的占比对所述第一安全系数和第二安全系数进行加权,得到所述第一目标设备的第三安全系数;
判断所述第三安全系数是否达到设定系数;若所述第三安全系数没有所述设定系数,则判定所述第一目标设备和所述第二目标设备不满足所述设定传输条件。
b3.根据b2所述的系统,所述区块链服务器,进一步用于:
提取所述第一目标设备内配置的拦截机制的运行记录清单,从所述运行记录清单中确定出在所述设定时段内存在用于表征所述拦截机制进行数据拦截和/或销毁的动作标识;根据所述动作标识从所述运行记录清单中确定出存在与所述动作标识对应的动作标签的拦截记录;
按照预设的映射列表确定所述拦截记录对应的已拦截数据的第一数据容量和数据接收时刻;其中,所述映射列表用于记录已拦截数据和拦截记录之间的关系,所述数据接收时刻位于所述设定时段内;
统计所述第一目标设备在所述设定时段内所接收到所有数据的第二数据容量,确定所述第一数据容量和所述第二数据容量的比例值以及所述数据接收时刻在所述设定时段内的相对系数;采用所述相对系数对所述比例值进行加权,得到所述第一目标设备对应的第一安全系数;
确定每条通信记录对应的第三目标设备;获取每个第三目标设备对应的通信参数包以及每个第三目标设备对应的目标拦截机制的运行参数包;其中所述通信参数包和所述运行参数包中分别包括多个具有不同记录时刻的参数段;
从每个第三目标设备对应的通信参数包中确定任一参数段的第一可信度并将每个第三目标设备对应目标拦截机制的运行参数包中的最小记录时刻对应的参数段确定为检测参数段;将所述第一可信度植入所述检测参数段得到目标参数段,计算所述目标参数段的第二可信度;基于所述第一可信度和所述第二可信度确定每个第三目标设备对应的通信参数包和运行参数包之间的可信度映射关系;
将所述第一目标设备的运行记录清单对应的可信度描述信息导入基于每个可信度映射关系生成的目标映射表中,得到所述可信度描述信息在每张目标映射列表中的映射值;根据所述第一目标设备与每个第三目标设备之间在所述设定时段内的累计通信时长对每个映射值进行加权求和,得到所述第一目标设备的第二安全系数。
b4.根据b2所述的系统,所述区块链服务器,进一步用于:
从所述通信记录中确定出所述第一目标设备与每个第三目标设备建立通信连接的第一累计次数;
将每个第三目标设备的第一累计次数进行求和得到第二累计次数,计算每个第一累计次数在第二累计次数中的百分比并获取最大百分比对应的第三目标设备的安全记录报表;
从所述安全记录报表中确定出所述安全记录报表对应的第三目标设备的第一风险率;
采用所述第一风险率对所述第二安全系数进行加权,采用与所述第一风险率相对的第二风险率对所述第一安全系数进行加权,并对加权结果进行求和以得到所述第一目标设备的第三安全系数。
b5.根据b1所述的系统,所述区块链服务器,进一步用于:
在所述第一目标设备发出所述目标业务数据之后且在第二目标设备接收到所述目标业务数据之前,实时获取所述第二目标设备的数据流量信息;
根据所述数据流量信息确定所述第二目标设备是否处于异常状态;
在判断出所述第二目标设备处于所述异常状态时,判定所述第一目标设备和所述第二目标设备不满足设定传输条件。
b6.根据b5所述的系统,所述区块链服务器,进一步用于:
将所述数据流量信息按照时间先后顺序进行拆分,得到所述数据流量信息对应的多个流量分段;根据所述第二目标设备的数据接口确定所述数据流量信息的流量协议并提取所述流量协议中的协议字段;其中,所述协议字段用于表征所述第二目标设备在接收数据流量时的访问规则,所述访问规则包括所述第二目标设备对应的数据库以及防火墙的访问机制;
在基于所述协议字段确定出所述第二目标设备存在流量分类进程时,抽取所述流量分类进程的进程描述信息并从所述进程描述信息中确定出所述第二目标设备对应的第一流量分类集合和第二流量分类集合;其中,所述第一流量分类集合用于记录正常数据流量,所述第二流量分类集合用于记录异常数据流量,所述异常数据流量包括携带目标标识的流量或者流量值超过预设值的流量;
根据所述第二目标设备在所述第一流量分类集合下的流量分段以及所述流量分段的流量累计值确定所述第二目标设备在所述第二流量分类集合下的各流量分段与所述第二目标设备在所述第一流量分类集合下的各流量分段之间的第一比对系数,并基于所述第一比对系数将所述第二目标设备在所述第二流量分类集合下的与在所述第一流量分类集合下的流量分段相似的流量分段导入到所述第一流量分类集合下;
若所述第二目标设备的所述第二流量分类集合下包含有多个流量分段,则根据所述第二目标设备在所述第一流量分类集合下的流量分段以及所述流量分段的流量累计值确定所述第二目标设备在所述第二流量分类集合下的各流量分段之间的第二比对系数,并根据所述各流量分段之间的第二比对系数对所述第二流量分类集合下的各流量分段进行拼接;
基于所述第二目标设备在所述第一流量分类集合下的流量分段以及所述流量分段的流量累计值为上述拼接获得的目标流量分段添加分类标识,并基于所述分类标识所对应的标识权重的大小顺序将所述目标流量分段导入到所述第一流量分类集合下;
计算所述第二流量分类集合下的流量分段的数量是否高于设定数量;若所述第二流量分类集合下的流量分段的数量高于所述设定数量,则确定所述第二目标设备处于异常状态。
b7.根据b5所述的系统,所述区块链服务器,还用于:
确定与所述第二目标设备存在通信行为的至少一个第四目标设备,从所述至少一个第四目标设备的运行脚本中确定协议脚本标签;其中,所述协议脚本标签为多个;
针对所述协议脚本标签中的当前协议脚本标签,基于当前协议脚本标签在所述第二目标设备处于第一目标通信状态时的第一更新系数以及各所述协议脚本标签在所述第二目标设备处于第一目标通信状态时的第二更新系数,确定当前协议脚本标签在所述第二目标设备处于第一目标通信状态时的更新权重值;其中,所述第一目标通信状态为数据发送状态;
根据当前协议脚本标签在所述第二目标设备处于第二目标通信状态时的更新权重值确定当前协议脚本标签在所述第二目标设备处于第二目标通信状态时的更新权重变化轨迹;
将所述更新权重变化轨迹的轨迹描述值以列表形式进行抽取,形成目标轨迹列表;判断所述目标轨迹列表与预设轨迹列表之间的匹配率是否达到设定比率,若是,对所述第四目标设备的数据进行备份。
请结合参阅图4,为上述区块链服务器200的硬件结构示意图,所述区块链服务器200包括处理器221,以及与处理器221连接的内存222和网络接口223。所述网络接口223与区块链服务器200中的非易失性存储器224连接。其中,所述处理器221在运行时通过所述网络接口223从所述非易失性存储器224中调取计算机程序,并通过所述内存222运行所述计算机程序,以执行上述的方法。
进一步地,还提供了一种应用于计算机的可读存储介质,所述可读存储介质烧录有计算机程序,所述计算机程序在区块链服务器200的内存222中运行时实现上述的方法。
综上,在应用本申请实施例边缘计算网络的数据安全防护方法及系统时,首先在检测到目标更新信息时确定第一目标设备的第一设备安全信息以及第二目标设备的第二设备安全信息,然后根据第一设备安全信息和第二设备安全信息判断第一目标设备和第二目标设备是否满足设定传输条件,最后在第一目标设备和第二目标设备不满足设定传输条件时对第一目标设备向第二目标设备发送的目标业务数据进行拦截。
如此,可以避免目标业务数据被存在数据安全风险的第二目标设备窃取,也可以避免存在数据安全风险的第一目标设备向第二目标设备发送携带病毒的目标业务数据而导致第二目标设备的数据被窃取。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。
1.一种边缘计算网络的数据安全防护方法,应用于与多个工业互联设备通信的区块链服务器,所述方法包括:
从用于记录每个工业互联设备的运行日志的日志汇总表中实时检测是否存在用于表征存在数据发送行为的目标更新信息;
在检测到存在所述目标更新信息时,根据所述目标更新信息确定第一目标设备的第一设备安全信息和第二目标设备的第二设备安全信息;其中,所述第一目标设备用于向所述第二目标设备发送目标业务数据;
根据所述第一设备安全信息和/或所述第二设备安全信息判断所述第一目标设备和所述第二目标设备是否满足设定传输条件,若所述第一目标设备和所述第二目标设备不满足所述设定传输条件,则对所述目标业务数据进行拦截;
其中:
所述区块链服务器在拦截所述目标业务数据之后将所述目标业务数据进行缓存。
2.根据权利要求1所述的方法,根据所述第一设备安全信息和/或所述第二设备安全信息判断所述第一目标设备和所述第二目标设备是否满足设定传输条件,包括:
检测所述第一目标设备的信息封装线程是否启动;
在检测到所述第一目标设备的信息封装线程启动时,提取所述第一设备安全信息中包括的所述第一目标设备在设定时段内的多条通信记录;所述设定时段是以所述信息封装线程的启动时刻为终止时刻并以所述终止时刻之前的目标时刻为起始时刻之间的时段,所述目标时刻根据与所述区块链服务器通信的工业互联设备的数量确定;
根据每条通信记录确定所述第一目标设备的第一安全系数和第二安全系数,按照所述通信记录中相同通信对象的占比对所述第一安全系数和第二安全系数进行加权,得到所述第一目标设备的第三安全系数;
判断所述第三安全系数是否达到设定系数;若所述第三安全系数没有所述设定系数,则判定所述第一目标设备和所述第二目标设备不满足所述设定传输条件。
3.根据权利要求2所述的方法,根据每条通信记录确定所述第一目标设备的第一安全系数和第二安全系数,包括:
提取所述第一目标设备内配置的拦截机制的运行记录清单,从所述运行记录清单中确定出在所述设定时段内存在用于表征所述拦截机制进行数据拦截和/或销毁的动作标识;根据所述动作标识从所述运行记录清单中确定出存在与所述动作标识对应的动作标签的拦截记录;
按照预设的映射列表确定所述拦截记录对应的已拦截数据的第一数据容量和数据接收时刻;其中,所述映射列表用于记录已拦截数据和拦截记录之间的关系,所述数据接收时刻位于所述设定时段内;
统计所述第一目标设备在所述设定时段内所接收到所有数据的第二数据容量,确定所述第一数据容量和所述第二数据容量的比例值以及所述数据接收时刻在所述设定时段内的相对系数;采用所述相对系数对所述比例值进行加权,得到所述第一目标设备对应的第一安全系数;
确定每条通信记录对应的第三目标设备;获取每个第三目标设备对应的通信参数包以及每个第三目标设备对应的目标拦截机制的运行参数包;其中所述通信参数包和所述运行参数包中分别包括多个具有不同记录时刻的参数段;
从每个第三目标设备对应的通信参数包中确定任一参数段的第一可信度并将每个第三目标设备对应目标拦截机制的运行参数包中的最小记录时刻对应的参数段确定为检测参数段;将所述第一可信度植入所述检测参数段得到目标参数段,计算所述目标参数段的第二可信度;基于所述第一可信度和所述第二可信度确定每个第三目标设备对应的通信参数包和运行参数包之间的可信度映射关系;
将所述第一目标设备的运行记录清单对应的可信度描述信息导入基于每个可信度映射关系生成的目标映射表中,得到所述可信度描述信息在每张目标映射列表中的映射值;根据所述第一目标设备与每个第三目标设备之间在所述设定时段内的累计通信时长对每个映射值进行加权求和,得到所述第一目标设备的第二安全系数。
4.根据权利要求2所述的方法,按照所述通信记录中相同通信对象的占比对所述第一安全系数和第二安全系数进行加权,得到所述第一目标设备的第三安全系数,包括:
从所述通信记录中确定出所述第一目标设备与每个第三目标设备建立通信连接的第一累计次数;
将每个第三目标设备的第一累计次数进行求和得到第二累计次数,计算每个第一累计次数在第二累计次数中的百分比并获取最大百分比对应的第三目标设备的安全记录报表;
从所述安全记录报表中确定出所述安全记录报表对应的第三目标设备的第一风险率;
采用所述第一风险率对所述第二安全系数进行加权,采用与所述第一风险率相对的第二风险率对所述第一安全系数进行加权,并对加权结果进行求和以得到所述第一目标设备的第三安全系数。
5.根据权利要求1所述的方法,根据所述第一设备安全信息和/或所述第二设备安全信息判断所述第一目标设备和所述第二目标设备是否满足设定传输条件,包括:
在所述第一目标设备发出所述目标业务数据之后且在第二目标设备接收到所述目标业务数据之前,实时获取所述第二目标设备的数据流量信息;
根据所述数据流量信息确定所述第二目标设备是否处于异常状态;
在判断出所述第二目标设备处于所述异常状态时,判定所述第一目标设备和所述第二目标设备不满足设定传输条件。
6.一种数据安全防护系统,包括互相之间通信连接的区块链服务器和多个工业互联设备;
所述区块链服务器,用于:
从用于记录每个工业互联设备的运行日志的日志汇总表中实时检测是否存在用于表征存在数据发送行为的目标更新信息;
在检测到存在所述目标更新信息时,根据所述目标更新信息确定第一目标设备的第一设备安全信息和第二目标设备的第二设备安全信息;其中,所述第一目标设备用于向所述第二目标设备发送目标业务数据;
根据所述第一设备安全信息和/或所述第二设备安全信息判断所述第一目标设备和所述第二目标设备是否满足设定传输条件,若所述第一目标设备和所述第二目标设备不满足所述设定传输条件,则对所述目标业务数据进行拦截。
技术总结