一种基于云计算的工业互联网网络安全检测系统及方法

本发明涉及网络安全测试，具体为一种基于云计算的工业互联网网络安全检测系统及方法。

背景技术：

1、工业互联网以网络为基础，连接设备、控制、网络、平台和工业app等多种数据应用场景。与消费互联网相比，工业互联网有多种不同：一是连接对象不同，消费互联网主要连接人，场景相对简单，工业互联网连接人、机、物、系统以及全产业链、全价值链，连接数量远超消费互联网，场景更为复杂；二是技术要求不同，工业互联网直接涉及工业生产，要求传输网络的可靠性更高、安全性更强、时延更低；三是用户属性不同，消费互联网面向大众用户，用户共性需求强，但专业化程度相对较低。

2、在工业网络的应用场景中，设备种类多，数据结构复杂，相互影响程度较大，并且工业互联网设备结构简单，自我防护水平较低，不便大规模部署防火墙或杀毒软件，现有技术中，存在通过对网络运行状态预测，进一步对网络风险预警的方法，但仅对工业网络环境历史运行状态依赖度较高，无法处理偶发或突发任务，所以需要一种通过主动对网络链路进行实时检测的方法，且对工业网络环境影响较小的方法，规划数据传输的安全路径。

技术实现思路

1、本发明的目的在于提供一种基于云计算的工业互联网网络安全检测系统及方法，以解决上述背景技术中提出的问题。

2、为了解决上述技术问题，本发明提供如下技术方案：一种基于云计算的工业互联网网络安全检测方法，方法包括：

3、步骤s100：从工业互联网网络的拓扑图中获取网络设备的连接方式，将需要在工业互联网网络中进行传输的数据设置为目标数据内容，获取目标数据内容在工业互联网网络中的传输路径，根据目标数据内容的传输路径，设置第一目标设备、第二目标设备和网络测试段，对目标数据内容进行特征分析，生成目标数据内容在网络测试段中模拟数据内容；

4、步骤s200：根据目标数据内容的路由方向，对网络测试段进行逐段检测，将从第一目标设备开始发送模拟数据内容，到第二目标设备完全接收模拟数据内容设置为一个测试过程，计算各个测试过程中第二目标设备的负载率平均增加值、运行参数波动值，并计算测试过程对应网络测试段的第一评价值，获取测试过程中出现的告警信息，反馈给相关管理人员；

5、步骤s300：对逐段测试过程中的所用时间进行记录，计算各个网络测试段中的目标预测时间，对第二目标设备在目标预测时间的目标预测状态进行计算，判断目标预测状态中不安全状态项的个数，计算各个网络测试段的第二评价值；

6、步骤s400：根据各个网络测试段第二评价值，规划目标数据内容的传输路径，当传输路径中某个网络测试段的第一目标设备的测试时效值减少到满足重新测试条件时，返回步骤s200进行重新测试。

7、进一步的，步骤s100包括：

8、步骤s101：获取目标数据内容中的数据包的类型，数据包大小和各类型数据包在传输中的协议，同时获取目标数据内容的初始发送端口和最终目的端口；

9、步骤s102：通过目标数据内容的初始发送端口和最终目的端口，查询目标数据内容所有可以实现传输的网络路由信息，将路由信息中，通过通信链路连接的两个网络中继设备及中间的通信链路设置为一个网络测试段，根据目标数据内容在网络路由中的发送方向，在一个网络测试段中，将目标数据内容先到达的网络设备设置为第一目标设备，后到达的网络设备设置为第二目标设备；

10、步骤s103：在不同的网络测试段中，将目标数据内容生成不同网络测试段对应的模拟数据包，根据网络路由信息，初始发送端口所在网络设备作为第一个第一目标设备，从网络测试段的第一目标设备发往第二目标设备记为一次测试，上一网络测试段的第二目标设备作为下一网络测试段的第一目标设备，直至测试到最终目的端口所在网络设备测试结束。

11、进一步的，模拟数据包的生成步骤包括：

12、步骤s11：设置测试开始时刻tx和网络测试段中的第一目标设备，获取tx时刻前的t1时间段内传输数据包的历史记录，将t1时间段中第一目标设备传输的数据包设置为参照数据内容，获取参照数据内容的数据包类型，各个数据包大小和各类型数据包在传输中的协议；

13、初始的测试开始时刻可通过认为设定或获取操作人员的操作时刻获得，在开始测试后，下一个网络测试段的测试开始时刻可以通过上一个网络测试段测试结束时刻加上一个保护时延获得，第一个网络测试段的第二目标设备同时也是第二个网络测试段的第一目标设备，再一次测试后，让第一个网络测试段的第二目标设备回到非测试状态下的运行状态，更有利于获得准确的测试结果。

14、步骤s12：计算参照数据内容与目标数据内容的数据包类型差异值，数据包平均大小差异值和协议差异值，计算数据包类型差异值α1，α1是i个|prefq1 -ptesq1|的累加和，i表示参照数据内容数据包种类与目标数据内容数据包种类的总数量，prefq1表示参照数据内容中第q1种数据包的数量，ptesq1表示目标数据内容中第q1种数据包的数量，|prefq1 -ptesq1|表示prefq1 -ptesq1的绝对值，计算数据包平均大小差异值α2，α2是m个|prefq2×crefq2- ptesq2×ctesq2|的累加和，其中，m为目标数据内容中数据包种类的数量，prefq2表示参照数据内容中第q2种数据包的数量，crefq2表示参照数据内容中第q2种数据包的平均大小，ptesq2表示目标数据内容中第q2种数据包的数量，ctesq2表示目标数据内容中第q2种数据包的平均大小，|prefq2×crefq2- ptesq2×ctesq2|表示prefq2×crefq2- ptesq2×ctesq2的绝对值，计算协议差异值α3，α3=（coproref∩coprotes）num/（coproref）num，num表示计数函数，coproref表示参照数据内容中数据包通信协议种类组成的集合，coprotes表示目标数据内容中数据包协通信议种类组成的集合；

15、参照数据内容与目标数据内容的数据包类型的划分保持同一，对于第i种数据包，当参照数据内容中存在，目标数据内容中不存在时ptesq1=0，当参照数据内容中不存在，目标数据内容中存在时prefq1=0；

16、m为目标数据内容中数据包种类的总数量，故m≤i，即提取参照数据内容与目标数据内容的数据包的共有类型，计算同种类型数据包的平均大小差异；

17、进一步对数据包的协议进行判断，当数据包传输过程中，协议的变化较小时，例如认为α3＜1的情况为协议的变化较小，网络环境相对安全，当协议出现变化较大时，例如认为α3≥1的情况为协议的变化较大，网络环境相对不安全，网络环境出现陌生协议可以作为网络安全传输隐患的一个判断依据；

18、数据包类型可通过数据包的产生设备，数据包用途或数据包功能进行分类，例如，通过不同数据源产生的数据包对数据包进行分类，又例如，通过数据包功能可分为单播包，多播包和广播包。

19、步骤s13：生成目标数据内容对应的初始模拟数据内容h1，初始模拟数据内容与目标数据内容的数据包的类型，数据包大小和各类型数据包在传输中的协议一致，生成扩展数据包h1，扩展数据包的数据包类型为：目标数据内容中存在，且参照数据内容中不存在的数据包类型，h1中某一个数据包类型h1p的数据量大小为μ1α2h1p*，其中h1p*为目标数据内容中对应种类数据包的平均大小，μ1为数据量转化系数；

20、步骤s14：对 h1中包括的数据包和h1包括的数据包进行组合，将μ2α1组h1包括的数据包与h1中包括的数据包进行随机混合，得到模拟数据内容h2，其中μ2为数量转化系数。

21、进一步的，步骤s200包括：

22、步骤s201：获取在模拟数据内容从第一目标设备发送到第二目标设备前t2时间段内，第二目标设备的运行参数项的若干组运行参数信息，运行负载项的若干组运行负载率信息，获取第二目标设备测试过程中，运行参数项的若干组运行参数信息和运行负载项若干组负载率信息；

23、步骤s202：计算各个测试过程的负载率平均增加值lup，lup=ldq3/n,其中，ldq3是对n项load1q3-load2q3的累加和，n表示第二目标设备的运行负载项的数量，load1q3表示t2时间段内，第二目标设备的运行负载项中第q3个运行负载项的平均负载率，load2q3表示在一个测试过程中，第二目标设备的运行负载项中第q3个运行负载项的平均负载率，计算测试过程的运行参数波动值fv，fv=fu/k，fu是k项flu1q4-flu2q4的累加和，k表示第二目标设备运行参数项的数量，flu1q4表示t2时间段内，第二目标设备运行参数项中第q4个运行参数项的方差，flu2q4表示一个测试过程中，第二目标设备运行参数项中第q4个运行参数项的方差，获取一个测试过程中，第二目标设备出现的告警项目；

24、步骤s203：计算网络测试段的一个测试过程的第一评价值，e1=γ1×lup +γ2×fv +γ3×wa，其中，wa表示一个测试过程中第二目标设备出现的告警项目的个数，γ1表示负载率平均增加值的系数，γ2表示运行参数波动值的系数，γ3表示一个测试过程中第二目标设备出现的告警项目个数的系数；

25、步骤s204：将测试过程中第二目标设备出现的告警项目反馈给相关管理人员。

26、进一步的，步骤s300包括：

27、步骤s301：对每次测试过程的所用时间进行记录，获取各个测试过程中，第二目标设备与初始发送端口所在网络设备间隔网络测试段的个数，计算目标预测时间，其中第j个测试过程中，与初始发送端口所在网络设备间隔网络测试段的个数为d，计算目标预测时间为tprej，tprej=tx1+sumtq5，其中tx1表示模拟数据内容从初始发送端口发出的时刻，sumtq5表示将前d个网络测试段对应的测试过程所用时间进行累加；

28、步骤s302：获取第j个测试过程前，第j个测试过程中第二目标设备的历史运行记录，对第j个的第二目标设备在tprej时刻的运行状态信息进行预测，得到tprej的时刻的运行状态信息预测信息mprej，获取第j个测试过程结束时，第二目标设备的运行状态信息mtesj，计算第j个测试过程结束时第二目标设备的目标预测状态maj，其中maj=mprej +mtesj，通过与工业网络历史运维记录中，出现不安全记录时第二目标设备的状态记录进行比对，得到目标预测状态中不安全状态项的个数；

29、运行状态信息例如：访问权限开启状态，存储和修改权限开启状态，设备中的留存的进程，在模拟测试的过程中对运行状态信息进行检测，与历史运维数据中的运行状态进行比对，当发现不安全状态时，对不安全状态进行记录。

30、步骤s303：计算第j个测试过程所在网络测试段的第二评价值e2j，e2j=γ4×rj+e1j，其中γ4表示不安全记录个数对应的系数，rj表示第j个测试过程结束时，目标预测状态maj中不安全状态项的个数，e1j表示第j个测试过程所在网络测试段的第一评价值。

31、进一步的，步骤s400包括：

32、步骤s401：根据各个网络测试段第二评价值由低至高的顺序排列各个网络测试段的优先级，生成目标数据内容规划传输路径，再传输路径连通的前提下，选取优先级高的网络测试段，作为目标数据内容规划传输路径；

33、第二评价值越低对应的网络测试段的优先级就越高，在进行目标数据内容传输时，尽可能选用高优先级的网络测试段；

34、步骤s402：计算传输路径中各个网络测试段的第一目标设备的测试时效值，其中第j个测试过程对应的网络测试段对应的测试时效值tvj=tb+α3j×teff，其中α3j表示第j个测试过程对应的协议差异值，teff表示测试时效初始值，tb表示第j个测试过程对应的网络测试段的前b个网络测试段时效值的总和，当目标数据内容从初始发送端口发送后，各个网络测试段的第一目标设备上的测试时效值开始减少；

35、步骤s403：设置各个测试段的测试时效性阈值，当传输路径中某个网络测试段的第一目标设备的测试时效值减少到小于测试时效性阈值时，记录测试时效性阈值的时刻为ty，并对目标数据内容进行拦截，ty时刻作为测试开始时刻，对目标数据内容规划传输路径进行重新规划。

36、为了更好地实现上述方法，还提出一种工业互联网网络安全检测系统，系统包括：网络拓扑获取模块、模拟数据内容生成模块、网络状态预测模块、路径规划模块和时效控制模块，其中，网络拓扑获取模块用于获取工业互联网网络的拓扑结构，模拟数据内容生成模块用于生成模拟数据内容，网络状态预测模块用于对第二目标设备的运行状态信息进行预测，路径规划模块用于规划目标数据内容的传输路径，时效控制模块 用于控制重新检测。

37、进一步的，模拟数据内容生成模块包括：测试时间获取单元、传输数据管理单元、数据包分类型差异值计算单元、数据包平均大小差异值计算单元、协议差异值计算单元、初始模拟数据内容生成单元和模拟数据内容生成单元，其中，测试时间获取单元用于获取测试时间，传输数据管理单元用于对目标设备中的传输数据进行管理，数据包分类型差异值计算单元用于计算数据包分类型差异值，数据包平均大小差异值计算单元用于计算数据包平均大小差异值，协议差异值计算单元用于计算协议差异值，初始测试数据内容生成单元用于生成初始模拟数据内容，模拟数据内容生成单元用于生成模拟数据内容。

38、进一步的，路径规划模块包括：负载率平均增加值计算单元、运行参数波动值计算单元、告警项目获取单元、第一评价值计算单元、目标预测时间计算单元、不安全状态项获取单元、第二评价值计算单元和路径连接单元，其中，负载率平均增加值计算单元用于计算负载率平均增加值，运行参数波动值计算单元用于计算运行参数波动值，告警项目获取单元用于获取告警项目，第一评价值计算单元用于计算第一评价值，目标预测时间计算单元用于计算目标预测时间，不安全状态项获取单元用于获取不安全状态项的信息，第二评价值计算单元用于计算第二评价值，路径连接单元用于连接网络测试段，形成目标数据内容的传输路径。

39、进一步的，时效控制模块包括：时效值计算单元、时效判断单元和测试发起单元，其中，时效值计算单元用于计算时效值，时效判断单元用于判断时效值是否满足重新测试的条件，测试发起单元用于重新发起测试。

40、与现有技术相比，本发明所达到的有益效果是：本发明通过分析网络设备的运行状态和目标数据内容，针对不同网络测试段生成模拟测试内容，有针对性的测试各个网络测试段，避免了传统测试方法中一个测试数据从头测到尾，提高了测试准确性，进一步提出在测试结果生成后，存在时效性，在时效范围内未使用的网络测试段进行重新测试。