[发明专利]一种基于业务行为的工业生产网络数据分析方法

说明书

本发明涉及一种基于业务行为的工业生产网络数据分析方法，采用oo分析方法进行数据建模，将人类不易理解的二进制网络数据特征，以网络元数据做最小单元，映射成业务行为，实现了网络数据特征的拆分；并从业务行为的角度出发，定义业务行为白名单，根据网络元数据的关联，转回程序易识别的网络数据特征白名单，实现了网络数据特征的组合和依赖关系的处理；设计方法解决了网络数据白名单可以从业务行为的角度来定义，具有可读性，并且实现了网络数据特征白名单的有效覆盖，在设备和网络协议都有限的工业生产网络上，提供了对网络数据进行白名单控制的算法支撑。

技术领域

本发明涉及一种基于业务行为的工业生产网络数据分析方法，属于工业网络数据分析技术领域。

背景技术

工业生产网络目前大多数处于一个一个独立的“孤岛”，处于“孤岛”状态的网络，其网络安全性一直被忽略。随着利用信息化技术促进产业变革的发展，工业网络互联成为一种必然的趋势，工业生产网络的安全问题也随之浮出水面。工业生产网络起初追求生产效率、忽视网络安全，导致现有的工业生产网络安全及其脆弱。相对于互联网，工业生产网络带来的风险和损失都会远远超出互联网络，解决其网络安全问题成为其联网的一个必要前提。所以现在的工业生产网络也开始加强其网络安全，一些网络安全的厂商也开始对工业生产网络的安全进行产品适配，这些产品也会比传统的互联网安全性更高，对于防范已知的网络安全问题都有着不错的表现，但对于未知和零day风险的反应则相对滞后。

传统的互联网，其复杂性和不停的发展决定了未知的风险始终存在，网络行为存在不可预知性，新的安全问题会不停的随着技术发展而显现。相比之下，工业生产网络的网络行为则相对简单。使用传统的安全产品，其思路是基于黑名单的逻辑，发现已知或有潜在风险的网络行为进行封控，但对于未知的风险则无法有效防范。对于网络行为简单的工业生产网络如果采用白名单的逻辑，对于符合白名单的网络行为的放行，不符合白名单网路行为进行禁止，则能有效的防范未知的网络安全风险。传统安全产品的网络行为分析是以网络数据特征识别做为基础，特征识别可以分为范围特征和完全匹配特征，范围特征存在识别错误可能，完全匹配特征存在特征稍有变化，则无法识别；并且特征识别中构建特征库是一项繁重而复杂的工作，需要大量抓取网络数据包进行经验分析，这种基于经验的处理方式常常会导致名单的有效性和覆盖面存在缺失，构建黑名单的有效性常常会出现错误或者缺失，因为互联网的网络行为的复杂性白名单的构建更为复杂。

对于这种白名单安全控制模式的实现，存在许多的技术难题：如何通过复杂的网络数据有效提取网络行为，并转换成人类可以理解的业务行为；如何区分网络行为的依赖关系，并生成工业生产网路的网路行为的白名单；现有技术对此均未有很好的解决方案。

发明内容

本发明所要解决的技术问题是提供一种基于业务行为的工业生产网络数据分析方法，采用全新设计数据分析方法，能够高效获得工业生产网络的白名单数据，并由此提高工业生产网络数据监测的准确性。

本发明为了解决上述技术问题采用以下技术方案：本发明设计了一种基于业务行为的工业生产网络数据分析方法，用于构建目标工业生产网络的白名单数据集，实现对目标工业生产网络中数据的比对，首先初始化目标工业生产网络的白名单数据集包括网络元数据集与业务行为集，且初始化网络元数据集与业务行为集均为空集；然后执行如下步骤A至步骤B，获得目标工业生产网络的白名单数据集的更新：

步骤A. 统计目标工业生产网络在其工作时间范围内所涉及各类网络元数据的数量，包括终端IP的数量、终端MAC的数量、网络协议类型的数量、应用协议类型的数量、各应用协议指令类型的数量，进而确定各类网络元数据分别所对应独热编码的位数，然后进入步骤B；

步骤B. 按预设第一周期，周期执行如下步骤C至步骤G，更新目标工业生产网络白名单数据集中的网络元数据集与业务行为集；