(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111655150.2 (22)申请日 2021.12.3 0 (71)申请人 爱普 （福建） 科技有限公司 地址 350700 福建省福州市永 泰县葛岭镇 东星村 (72)发明人 郑松　刘朝儒　郑蓉　陈松彬　 颜明泽　夏长星　王云霞　黄香平　 (74)专利代理 机构 福州市鼓楼区京华专利事务 所(普通合伙) 35212 专利代理师 王美花 (51)Int.Cl. H04L 9/40(2022.01) G06K 9/62(2022.01) G06N 3/04(2006.01) G06N 3/08(2006.01) (54)发明名称 工业网络数据行为信息的侦测方法、 装置、 设备和介质 (57)摘要 本发明提供一种工业网络数据行为信息的 侦测方法、 装置、 设备和介质， 方法包括： 数据行 为的建模与分析： 建立并训练异常行为特征网络 模型和异常数据行为分析预测模 型， 根据数据变 化情况判断该连接是否具有异常数据行为， 并进 一步判断异常数据行为的类型； 用一组可信度指 数来度量每一条连接中的数据行为的可信程度； 执行安全保护的处置： 即针对异常数据行为的类 型分别设置相应的安全保护处置操作； 实时监控 每一条连接中的数据行为的可信度指数， 当任一 条连接中的数据变化导致可信度指数 降低到预 设阈值， 则根据异常数据行为的类型自动触发实 施保护性措施。 本发明解决了工业互联网数据 异 常行为感知与防御困难的技 术问题。 权利要求书5页 说明书11页 附图5页 CN 114666088 A 2022.06.24 CN 114666088 A 1.一种工业网络数据行为信息的侦测方法， 其特 征在于： 包括： 数据行为的建模与分析： 建立并训练异常行为特征网络模型和 异常数据 行为分析预测 模型， 利用训练好的两个模型对待测连接中的数据变化情况进行分析， 根据数据变化情况 判断该连接是否具有异常数据行为， 并进一步判断异常数据行为的类型； 用一组可信度指 数来度量每一条 连接中的数据行为的可信程度； 执行安全保护的处置： 即针对异常数据行为的类型分别设置相应的安全保护处置操 作； 实时监控每一条连接中的数据行为的可信度指数， 当任一条连接中的数据变化导致可 信度指数降低到预设阈值， 则根据异常数据行为的类型自动触发 实施保护性措施； 其中， 所述连接由至少两个端点， 一条单向或双向的连接链路， 和至少一条数据流构 成， 所述数据流是某个端点的数据通过关联的通信协议传输 到另一个端点时产生的； 所述数据变化是指在一定时间周期内， 某条连接的端点或通信链路中的数据内容或数 据状态发生改变； 所述异常数据行为的类型包括威胁攻击类异常数据行为和非威胁攻击类异常数据行 为。 2.根据权利要求1所述的工业网络数据 行为信息的侦测方法， 其特征在于： 所述数据 行 为的建模与分析的过程具体是： S11、 对待测连接的实时数据进行预处理后， 再进行异常数据检验， 若检验得到异常数 据， 则将异常数据输入到实时异常数据集； S12、 将实时异常数据集按照固定的时间周期进行直接储存或经人工标注后再存储到 历史异常数据库中， 作为已知病毒或恶意程序攻击的历史异常数据的训练样本； 所述人工 标注的内容包括： 对工业互联网威胁的攻击源、 攻击对象和攻击形式定义分类标签； 对工业互联网连接 造成的数据的异常变化定义分类标签； 对工业互联网连接可能造成的损害定义分类标签； S13、 将所述历史异常数据样本输入到异常行为特征网络模型和异常数据行为分析预 测模型中完成特征的提取和预测模型的训练， 得到训练好的异常行为特征网络模型和训练 好的异常数据行为分析 预测模型； S14、 将待测的实时异常数据集输入到训练好的所述异常数据行为分析预测模型结构 中， 通过特征模式匹配的方式分析判断待测的实时异常数据行为的类型； S15、 针对待测连接计算出一组可信度指数， 用来评估该连接上存在威胁攻击的可信程 度； 所述可信度指数 具有7个维度的安全指标， 表达式为： Li_CRED＝f(Cxi,Cyi,C zi,Cmi,Cn i,Cpi,Cqi)； 式中： Li_CRED代 表第i条连接的可信度指数； Cxi代表该链路数据的保密性， 即敏感信息不被泄 露； Cyi代表数据完整性， 即数据在没有检测到的情况 下没有发生任何修改； Czi代表数据可用性， 确保信息在需要时可被访问使用； Cmi代表身份认证， 即明确数据的归属权限， 确保没有被未知实体访问； Cni代表不可否认性， 即能够确保系统不能否认执 行过某种操作； Cpi代表弹性， 即在恶意 威胁攻击时， 系统可保持状态感知和正常运行 水平；权　利　要　求　书 1/5 页 2 CN 114666088 A 2Cqi代表安全性， 即在发生 攻击时， 受影响的系统不会 对环境或人造成危害或损坏。 3.根据权利要求1所述的工业网络数据 行为信息的侦测方法， 其特征在于： 所述执行安 全保护处置操作中， 针对异常数据行为的类型分别 设置相应的安全保护处置操作具体是： 若判定为非威胁攻击类异常行为， 则通过人机交互 窗口触发自动报警警示； 否则， 若判定为 威胁攻击类异常行为， 则通过人机交互窗口触发自动报警警示， 同时触发相应的数据保护 模块， 根据数据保护模块预设的处理策略自动过滤数据或切断通讯链路， 或将异常部分数 据进行清除和修复。 4.根据权利要求1所述的工业网络数据 行为信息的侦测方法， 其特征在于： 所述连接至 少包含下述 五个属性信息： 端点类型、 端点名称、 连接链路名称、 链路实例、 链路所关联的通 信协议； 所述端点类型包括： A类端点， 指工业终端设备， 包括传感器节点、 执行器节点、 控制器节点、 本地数据库节 点、 交换机节点； B类端点， 指边 缘数采设备， 包括 边缘网关设备节点和服 务器节点； C类端点， 指云服 务器， 包括云计算节点、 云存 储节点、 视频服 务器节点； D类端点， 指工业应用， 包括 web应用节点、 移动终端节点； E类端点， 指第三方系统或API； 所述链路所关联的通信协议包括： 第一类链路： 连接A类 ‑B类端点， 连接链路名称记为A ‑B； 所关联的通信协议包括工业以 太网协议、 现场总线协议和无线通信网络协议； 第二类链路： 连接B类 ‑C类端点； 连接链路名称记为B ‑C； 所关联的通信协议包括HTTP/ HTTPS、 websocket、 MQT T、 OPC‑UA； 第三类链路： 连接C类 ‑D类端点； 连接链路名称记为C ‑D； 所关联的通信协议包括HTTP/ HTTPS、 websocket、 MQT T、 OPC‑UA； 第四类链路： 连接B类 ‑E类端点； 连接链路名称记为B ‑E； 所关联的通信协议包括HTTP/ HTTPS、 MQTT、 OPC server、 websocket、 Modbus  TCP/RTU server和第三方 数据源API接口； 第五类链路： 连接C类 ‑E类端点； 连接链路名称记为C ‑E； 所关联的通信协议包括HTTP/ HTTPS、 MQTT、 OPC server、 websocket、 Modbus  TCP/RTU server和第三方 数据源API接口； 第六类链路： 连接A类端点之间， 连接B类端点之间， 或间接连接A类端点与B类端点之 间； 连接链路名称分别记为Ai ‑Aj、 Bi‑Bj、 Ai‑Bj； 所关联的通信协议包括工业以太网协议、 现场总线协议和无线通信网络协议； 第七类链路： 为D类端点之间的连接； 连接链路名称记为Di ‑Dj； 所关联的通信协议包括 HTTP/HTTPS、 websocket、 MQT T、 OPC‑UA； 第八类链路： 为E类端点之间的连接； 连接链路名称记为Ei ‑Ej； 所关联的通信协议包括 HTTP/HTTPS、 MQTT、 OPC  server、 websocket、 Modbus  TCP/RTU server和第三方数据源API接 口； 所述异常数据行为分为8种， 每种对应唯一的行为标签： 异常数据行为标签为120110001， 代表数据窃取， 表示数据的接口调用或传输链路上存 在被截获窃听的可能；权　利　要　求　书 2/5 页 3 CN 114666088 A 3