基于工业互联网的工业过程控制数据安全处理方法及装置

摘要

本发明公开了一种基于工业互联网的工业过程控制数据安全处理方法及装置，适用于两线制数据传输网络，所述方法包括：接收数据传输设备发送的数据；检测所述数据中是否含有预置数据特征库中的至少一条特征；若是，则确认所述数据为合法数据；若否，则发出报警信息。本发明实施例中，通过检测数据特征可以确定该数据是否合法，可以检测出被篡改的数据，从而能够提高数据安全性。

说明书

技术领域

本发明涉及工业过程控制技术领域，尤其涉及基于工业互联网的工业过程控制数据安全处理方法及装置。

背景技术

在工业过程控制中，设备之间需要进行通信用于完成数据的传输，该数据包括工业过程控制中的检测数据，例如检测到的压力、温度和流量等；该数据还可以包括工业过程控制中的控制数据，例如根据检测数据自动生成的控制数据，或者操作技术人员根据工作要求对相关设备进行控制生成的控制数据(例如配置压力传感器的初始值等)。由于工业过程控制中的数据用于实现生产过程，所以传输的数据需要有安全保障，不然数据被篡改则会导致严重后果。

现有技术中，为了保证传输的数据安全，通常是通过将传输的数据进行加密后传输，这能够保证数据在传输过程中不被篡改，但加密的原始数据是否安全没有保证。例如，现在的传感器(例如压力传感器、温度传感器)越来越智能化，采集的数据有可能被加密之前被传感器篡改(例如被传感器中的恶意程序篡改，传感器异常将数据篡改等)。故此，现有技术中还存在数据安全漏洞。

发明内容

本发明实施例提供了基于工业互联网的工业过程控制数据安全处理方法及装置。用以解决目前存在的由于无法保证加密前的数据安全，导致存储数据安全漏洞等的问题。

本发明实施例提供了一种工业过程控制中配置信息的处理方法，适用于两线制数据传输网络，所述方法包括：

接收数据传输设备发送的数据；

检测所述数据中是否含有预置数据特征库中的至少一条特征；

若是，则确认所述数据为合法数据；

若否，则发出报警信息。

另一方面，本发明还提供一种基于工业互联网的工业过程控制数据安全处理装置，适用于两线制数据传输网络，所述装置包括：

接收模块，用于接收数据传输设备发送的数据；

检测模块，用于检测所述数据中是否含有预置数据特征库中的至少一条特征；

第一处理模块，用于若检测模块的检测结果为是，则确认所述数据为合法数据；

第二处理模块，用于若检测模块的检测结果为否，则发出报警信息。

本发明有益效果如下：在本发明实施例所述技术方案中，对合法的数据建立数据特征，形成预置数据特征库，在接收数据传输设备发送的数据后；检测所述数据中是否含有预置数据特征库中的至少一条特征；若是，则确认所述数据为合法数据；若否，则发出报警信息。这样，本发明实施例中，通过检测数据特征可以确定该数据是否合法，可以检测出被篡改的数据，从而能够提高数据安全性。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1所示为本发明实施例一中所述基于工业互联网的工业过程控制数据安全处理方法的流程示意图；

图2所示为本发明实施例一中所述工业过程控制中的获得数据特征集的流程示意图；

图3所示为本发明实施例一中所述两线制数据传输网络的结构示意图之一；

图4所示为本发明实施例一中所述两线制数据传输网络的结构示意图之二；

图5所示为本发明实施例二中所述基于工业互联网的工业过程控制数据安全处理装置的结构示意图之一；

图6所示为本发明实施例二中所述基于工业互联网的工业过程控制数据安全处理装置的结构示意图之二。

具体实施方式

本发明实施例提供了一种基于工业互联网的工业过程控制数据安全处理方法及装置。在工业过程控制中，设备之间传输的数据往往具有一定的特征，例如，压力传感器的数据范围总在一定的范围内；而且压力传感器的MAC地址基本固定不变等等。故此，在本发明实施例所述技术方案中，对合法的数据建立数据特征，形成预置数据特征库，在接收数据传输设备发送的数据后；检测所述数据中是否含有预置数据特征库中的至少一条特征；若是，则确认所述数据为合法数据；若否，则发出报警信息。这样，本发明实施例中，通过检测数据特征可以确定该数据是否合法，可以检测出被篡改的数据，从而能够提高数据安全性。

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

实施例一：

如图1所示，其为本发明实施例一中所述基于工业互联网的工业过程控制数据安全处理方法的流程示意图，可包括以下步骤：

步骤101：接收数据传输设备发送的数据。

步骤102：检测所述数据中是否含有预置数据特征库中的至少一条特征。

步骤103：若是，则确认所述数据为合法数据。

其中，在一个实施例中，若确认所述数据为合法数据，则可以对所述主机进行后续处理，例如，若该数据需要传输给下一设备，则将该数据发送出去。若需要根据该数据对自身进行控制，则根据该数据进行相应操作。

步骤104：若否，则发出报警信息。

其中，在一个实施例中，报警信息中可包括该数据的来源，以便于工作人员根据该报警信息进行相应处理。

为便于进一步理解，下面对本发明实施例提供的基于工业互联网的工业过程控制数据安全处理方法做进一步说明：

其中，在一个实施例中，可以根据以下方法建立所述预置数据特征库：

步骤A1：从数据传输设备中采集用于建立预置数据特征库的至少一条样本数据，形成样本数据集合。

例如，若数据传输设备包括压力传感器、温度传感器、和流量传感器，则从这些数据传输设备中采集相应数据作为样本数据。

步骤A2：根据样本数据集合，获取以下数据特征信息中的至少一种：数据传输设备发送数据时的数据持续时间分布特征、数据传输设备发送数据的数据量分布特征、数据传输设备发送数据的发送时间分布特征、指定数据的数值范围特征、数据传输设备标识、网络协议信息、所述数据对应的业务类型等。

为便于理解，这里举例对上述各数据特征信息进行说明：

(1)、数据传输设备发送数据时的数据持续时间分布特征：

例如，有些数据传输设备根据业务类型不同，每次发送数据时，持续发送的时间不同，例如数据传输设备A每次发送数据持续时间1分钟，而数据传输设备B每次发送数据持续时间30秒。

(2)、数据传输设备发送数据的数据量分布特征：

例如，数据传输设备A发送数据T1、数据T2，数据T1的数据量为T1’，数据T2的数据量为T2’。则数据传输设备A数据量分布特征为T1’和T2’。较佳的，该分布特征还可以包括时间段，例如时间段1发送数据T1，则时间段1对应的数据量为T1’，同理，时间段1发送数据T2，则时间段2对应的数据量为T2’。

(3)、数据传输设备发送数据的发送时间分布特征

例如，数据传输设备A，通常在时间TIME1、TIME2、TIME3、TIME4时发送数据。那么接收到数据传输设备A在TIME5发送的数据就为异常数据。

(4)、指定数据的数值范围特征：

例如，压力传感器检测到的数值通常在一定数值范围内，则对于压力传感器的数据，其数据特征应该为该数值范围。当然，更精细划分，不同压力传感器的数值范围可以不同。

(5)、数据传输设备标识：

该数据传输设备标识是能够唯一标识该设备的标识，例如MAC(Media AccessControl，物理地址)地址、IP(Internet Protocol，网络之间互连的协议)地址等。

(6)、网络协议信息：

例如，UDP(User Datagram Protocol,用户数据报协议)，TCP(TransmissionControl Protocol，传输控制协议)等网络协议。

(7)、所述数据对应的业务类型：

该业务类型例如是流量检测、温度检测、速度检测、压力检测等。具体实施时，用户可以根据实际需要定义业务类型，均适用于本发明实施例，本发明实施例对此不做限定。

其中，在一个实施例中，获取数据特征信息的方法可以根据现有技术确定，本发明实施例对此不做限定，例如如图2所示，可以首先根据数据特征分析技术对样本数据集合进行分析得到原始数据特征集；然后过滤无关数据特征、再过滤冗余特征，经过特征选择后最后形成特征子集。其中，数据特征分析技术可包括：直方图技术(Histogram)、抽样方法(Sampling)、小波方法(Wavelet)、梗概技术(Sketching)等。

步骤A3：根据获取的数据特征信息，生成所述预置数据特征库。

其中，在一个实施例中，预置数据特征库可以如表1所示，当然，表1仅用于说明本发明实施例，并不用于限定本发明实施例。

表1

标识数据特征1特征A2特征B...........n特征N

其中，在一个实施例中，当所述数据中不否含有预置数据特征库中的至少一条特征时，该数据也未必百分百为不合法的数据，因为有些数据可能是突发情况产生的，例如压力突增，导致检测到的压力突然变大，故此，本发明实施例中，为便于进一步确认数据的合法性所述发出报警信息之后，还可以显示出报警的数据的详细信息，例如数据的来源、数据内容等，以便于操作人员根据该详细信息进行排查。

此外，本发明实施例中，所述发出报警信息之后，还可包括以下步骤：

步骤B1：提取所述数据的数据特征，作为疑似异常特征。

步骤B2：根据所述疑似异常特征，更新疑似异常特征库；所述疑似异常特征库中包括至少一条疑似异常特征、各疑似异常特征的统计次数、各疑似异常特征对应的数据的发送时间。

步骤B2中“根据所述疑似异常特征，更新疑似异常特征库”可具体包括以下步骤：

步骤B21：判断疑似异常特征库中是否存在所述疑似异常特征，若是执行步骤B22，若否，执行步骤B23。

步骤B22：将所述疑似异常特征的统计次数累加1，并将所述数据的发送时间存储在所述疑似异常特征库中。

例如，疑似异常特征C，已存储在疑似异常特征库中且，该疑似异常特征C的统计次数为2次，这两次对应的数据发送时间分别为tim1和tim2。对发送时间为tim3的数据提取特征恰为疑似异常特征C后，则将疑似异常特征C的统计次数累加1后，其统计次数变为3，并将tim1存储到疑似异常特征库中。

步骤B23：将所述疑似异常特征添加到疑似异常特征库中，并将其统计次数设置为1，并将所述数据的发送时间存储在所述疑似异常特征库中。

这样，通过建立疑似异常特征库有利于生成疑似异常数据日志，以便于日后进行数据挖掘和分析。

其中，在一个实施例中，为了便于能够自学习数据特征不断更新预置数据特征库，在具有疑似异常特征库的基础上，本发明实施例还可以包括以下步骤：

步骤C1：针对每条疑似异常特征，判断该疑似异常特征的统计次数是否超过预设次数。

其中，有些异常数据，其可能具有一定的发送周期，例如每间隔5秒发送一次，这样的数据是具有规律性，本发明实施例中，可以根据这种规律性，来进一步判断发出报警信息之后的数据是否为异常数据。

其中，在一个实施例中，预设次数例如是5次，当然，具体实施时，可以根据实际需要设定，本发明实施例对此不做限定。

步骤C2：若是，则根据该疑似异常特征对应的数据的发送时间，计算该疑似异常特征对应的数据的发送时间间隔。

例如，疑似异常特征C，疑似异常特征C的统计次数为3次，按照接收数据的先后顺序，这3次对应的数据发送时间分别为tim1、tim2、tim3则计算的时间间隔为(tim2-tim1)和(tim3-tim2)。

步骤C3：若各发送时间间隔的差值不小于预设差值，则确定该疑似异常特征为正常特征；并将该疑似异常特征添加到所述预置数据特征库中。

若各发送时间间隔的差值不小于预设差值，则说明该疑似异常特征对应的数据发送时间没有规律性，则可以确定该数据为正常数据，故此，可以通过执行步骤C3，更新预置数据特征库。

其中，在一个实施例中，若各发送时间间隔的差值小于预设差值，则说明说明该疑似异常特征对应的数据发送时间具有规律性，该数据为异常数据的概率更大。则可以发出异常数据告警，该异常数据告警中可以包括该疑似异常特征的统计此处，及对应数据的发送时间，以便于工作人员及时了解情况，排查问题。

其中，在一个实施例中，工业过程控制系统中若包括主节点和从节点，其中从节点可以为数据传输设备，或者同时从节点可以下挂各种智能传感器。则具体实施时，预置数据特征库可以由主节点建立，并下发给各从节点，由各从节点对接收的数据执行步骤102(即检测数据是否含有预置数据特征库中的至少一条特征)。当然，预置数据特征库也可以由从节点建立，并上报给主节点，由主/从节点各自对自身接收到的数据执行步骤102。具体实施时，可以根据实际需要设置，本发明对此不做限定。

此外，需要说明的是，本发明实施例提供的本发明实施例提供了一种基于工业互联网的工业过程控制数据安全处理方法及装置，适用于两线制数据传输网络。该两线制数据传输网络的结构示意图如图3所示，包括：

第一以太网转换器301：用于将5类双绞线传来的标准以太网信号转换为以太网帧信号；

数模转换模块302，用于将以太网帧信号经过数模转换为电力传输的数字格式信号；

处理模块303，用于将数字格式信号进行整流滤波放大，得到符合宽带电力线规范的信号；

其中，在一个实施例中，宽带电力线例如是Homeplug AV电力线。

二线线缆304，用于传输符合宽带电力线规范的信号进行传输。

其中，在一个实施例中，二线线缆例如是Profibus、CAN、Modbus、485总线、HART(模拟)、FSK、FF等常用的二线线缆。

其中，二线线缆304上连接有各个设备(包括控制设备和数据传输设备)，故此，二线线缆304可以将信号传输给其连接的至少一个设备。

图3所示的两线制数据传输网络的结构用于将信号发送给下连的设备，如图4所示，为该两线制数据传输网络的另一结构示意图，该结构用于接收下连设备发送的信号，具体的包括：

电力线耦合电路401，用于将二线线缆上的低压高频的可编程逻辑控制器波形传给可编程逻辑控制器模拟前端；

可编程逻辑控制器模拟前端402，用于将接收到的信号通过带通滤波器滤掉PLC以外的信号后传给放大滤波器；

放大滤波器403，用于对信号进行放大、滤波后传给ADC；

ADC404，用于将接收的信号转换为数字信号并传给以太网转换器；

第二以太网转换器405，用于将接收的信号转换为以太网帧信号，并将以太网帧信号转换为适合5类双绞线传输的标准以太网信号。

综上，本发明实施例中，通过检测数据特征可以确定该数据是否合法，可以检测出被篡改的数据，从而能够提高数据安全性。

实施例二

基于相同的发明构思，本发明实施例还提供一种基于工业互联网的工业过程控制数据安全处理装置，适用于两线制数据传输网络，如图5所述，为该装置的结构示意图，所述装置包括：

接收模块501，用于接收数据传输设备发送的数据；

检测模块502，用于检测所述数据中是否含有预置数据特征库中的至少一条特征；

第一处理模块503，用于若检测模块的检测结果为是，则确认所述数据为合法数据；

第二处理模块504，用于若检测模块的检测结果为否，则发出报警信息。

其中，在一个实施例中，如图6所示，所述装置还包括：

预置数据特征库建立模块505，用于根据以下方法建立所述预置数据特征库：

从数据传输设备中采集用于建立预置数据特征库的至少一条样本数据，形成样本数据集合；

根据样本数据集合，获取以下数据特征信息中的至少一种：数据传输设备发送数据时的数据持续时间分布特征、数据传输设备发送数据的数据量分布特征、数据传输设备发送数据的发送时间分布特征、指定数据的数值范围特征、数据传输设备标识、网络协议信息、所述数据对应的业务类型；

根据获取的数据特征信息，生成所述预置数据特征库。

其中，在一个实施例中，所述业务类型包括以下中的至少一种：流量检测、温度检测、速度检测、压力检测。

其中，在一个实施例中，如图6所示，所述装置还包括：

疑似异常特征提取模块506，用于所述第二处理模块发出报警信息之后，提取所述数据的数据特征，作为疑似异常特征；

疑似异常特征库更新模块507，用于根据所述疑似异常特征，更新疑似异常特征库；所述疑似异常特征库中包括至少一条疑似异常特征、各疑似异常特征的统计次数、各疑似异常特征对应的数据的发送时间。

其中，在一个实施例中，如图6所示，所述装置还包括：

判断模块508，用于针对每条疑似异常特征，判断该疑似异常特征的统计次数是否超过预设次数；

发送时间间隔计算模块509，用于若判断模块的判断结果为是，则根据该疑似异常特征对应的数据的发送时间，计算该疑似异常特征对应的数据的发送时间间隔；

预置数据特征库更新模块510，用于若各发送时间间隔的差值不小于预设差值，则确定该疑似异常特征为正常特征；并将该疑似异常特征添加到所述预置数据特征库中。

在本发明实施例所述装置，对合法的数据建立数据特征，形成预置数据特征库，在接收数据传输设备发送的数据后；检测所述数据中是否含有预置数据特征库中的至少一条特征；若是，则确认所述数据为合法数据；若否，则发出报警信息。这样，本发明实施例中，通过检测数据特征可以确定该数据是否合法，可以检测出被篡改的数据，从而能够提高数据安全性。

关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

本领域内的技术人员应明白，本发明的实施例可提供为方法、装置、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、装置(装置)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理装置的处理器以产生一个机器，使得通过计算机或其他可编程数据处理装置的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理装置以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理装置上，使得在计算机或其他可编程装置上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程装置上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。