[发明专利]一种基于业务行为的工业生产网络数据分析方法

权利要求书

1.一种基于业务行为的工业生产网络数据分析方法，用于构建目标工业生产网络的白名单数据集，实现对目标工业生产网络中数据的比对，其特征在于：首先初始化目标工业生产网络的白名单数据集包括网络元数据集与业务行为集，且初始化网络元数据集与业务行为集均为空集；然后执行如下步骤A至步骤B，获得目标工业生产网络的白名单数据集的更新：

步骤A. 统计目标工业生产网络在其工作时间范围内所涉及各类网络元数据的数量，包括终端IP的数量、终端MAC的数量、网络协议类型的数量、应用协议类型的数量、各应用协议指令类型的数量，进而确定各类网络元数据分别所对应独热编码的位数，然后进入步骤B；

步骤B. 按预设第一周期，周期执行如下步骤C至步骤G，更新目标工业生产网络白名单数据集中的网络元数据集与业务行为集；

步骤C. 抓取目标工业生产网络对应正确工作状态下各个二进制数据串形式的网络数据包，解析获得各个网络行为数据，并提取全部网络行为数据中非重复的各网络元数据、以及各网络元数据分别所对应的二进制数据串特征，各网络元数据包括终端IP、终端MAC、网络协议类型、应用协议、应用协议指令，然后进入步骤D；

步骤D. 以一个网络行为数据对应一个业务行为数据，根据各网络行为数据中的各网络元数据，获得各网络行为数据分别对应如下向量格式的业务行为数据；

[源IP,源MAC,源PORT,网络协议类型][时间戳][目标IP,目标MAC,目标PORT,网络协议类型][应用协议类型，应用协议指令，应用协议数据负载]

即获得各个业务行为数据，然后进入步骤E；

步骤E. 根据各类网络元数据分别所对应独热编码的位数，针对所获全部网络行为数据中非重复的各网络元数据，获得该各网络元数据分别所对应的独热编码，构成该各网络元数据、该各网络元数据分别所对应二进制数据串特征、该各网络元数据分别所对应独热编码三者之间一一对应的映射关系，并以网络元数据集中各网络元数据为依据，应用去重方式加入网络元数据集中，实现网络元数据集的更新，然后进入步骤F；

步骤F. 根据网络元数据集中各网络元数据、以及与之一一对应的二进制数据串特征、独热编码，分别针对各个业务行为数据，分别针对业务行为数据中的各网络元数据，执行二进制数据串特征与独热编码的转换，获得业务行为数据所对应的二进制数据串特征向量、以及独热编码向量，即获得各个业务行为数据、各个业务行为数据分别所对应的二进制数据串特征向量、各个业务行为数据分别所对应的独热编码向量三者之间一一对应的映射关系，然后进入步骤G；

步骤G. 将所获各个业务行为数据、各个业务行为数据分别所对应的二进制数据串特征向量、各个业务行为数据分别所对应的独热编码向量三者之间一一对应的映射关系，以业务行为集中各业务行为数据为依据，应用去重方式加入业务行为集中，实现业务行为集的更新。

2.根据权利要求1所述一种基于业务行为的工业生产网络数据分析方法，其特征在于，所述步骤D中，基于所获各个业务行为数据，还包括：针对所获各个业务行为数据中各个彼此间非绑定的网络元数据，按照业务行为数据的向量格式进行枚举组合，更新获得各个业务行为数据，然后进入步骤E。

3.根据权利要求1或2所述一种基于业务行为的工业生产网络数据分析方法，其特征在于：按预设第二周期，周期首先初始化目标工业生产网络的白名单数据集包括网络元数据集与业务行为集，且初始化网络元数据集与业务行为集均为空集；然后执行如下步骤A至步骤B，获得目标工业生产网络的白名单数据集的更新，其中，预设第二周期大于所述预设第一周期。

4.根据权利要求1所述一种基于业务行为的工业生产网络数据分析方法，其特征在于：所述基于步骤A至步骤B所获目标工业生产网络的白名单数据集，存储于所述目标工业生产网络中相应的各个业务终端上，并且各个业务终端分别针对其所存储的白名单数据集，剔除其中与其业务终端无关的网络元数据、业务行为数据、以及相应的二进制数据串特征、二进制数据串特征向量、独热编码、独热编码向量，更新存储白名单数据集。