一种基于边缘计算的工业互联网安全防护方法

技术领域

本发明涉及工业互联网信息安全领域，具体涉及一种基于边缘计算的工业互联网安全防护方法。

背景技术

工业互联网是以传统工业控制系统为基础，融合了互联网、大数据、人工智能、物联网以及云计算等新一代信息技术所形成的产业和应用新形态。工业互联网技术在提升传统工业的整体协同能力和运作效率的同时也带了不可忽视的信息安全问题。随着工业互联网技术的发展，针对工业控制系统的网络攻击事件不断增多。

随着新一代信息技术与工业控制系统的加速融合，工业互联网面临的信息安全风险和入侵威胁不断增加，工业互联网已经成为了敌对势力信息战的重要目标之一，传统的可靠性工程与风险管理理论已经难以为工业互联网安全防护提供有效的理论支撑，因此急需对原有理论进行丰富和扩展，基于博弈论的工业互联网安全防护策略研究能为工业互联网信息安全防御策略选择提供决策支持，是对工业互联网风险管理理论以及信息安全理论的丰富与扩展。

传统工控入侵检测系统缺少对边缘入侵信号段的研究，无法及时检测到边缘入侵行为，导致系统入侵潜伏期过长、威胁工控系统网络安全的问题。

发明内容

本发明针对传统工控入侵检测系统存在的无法及时准确检测到边缘入侵行为，威胁工控系统网络安全的问题，提出了一种基于边缘计算的工业互联网安全防护方法。本方法分别对工控系统硬件模块及软件流程做出设计，利用边缘计算将云计算的计算能力渗透到数据端，将边缘云协作融入混合随机边缘计算中，通过混合随机边缘计算得到入侵检测信号的能量，构建动态模型保护整个工控系统的安全。

具体来说，本发明的基于边缘计算的工业互联网安全防护方法，包括以下步骤：

步骤一：结合该算法应用的场景，为了避免工业控制环境下的入侵检测系统受到外界干扰影响，对其硬件结构进行设计。

步骤二：采用一台中央服务器作为管理和控制中心，探测器通过网络发送和接收报警信息，形成一个统一的报警日志。

步骤三：根据上述硬件环境将分布式网络探头部署在各种工控子网之上，通过光缆检测仪结合晶形振子处理产生正弦波保证每个网络监测至少有两个端口。

步骤四：在硬件结构的基础上，设计工控入侵检测系统软件流程，在请求包中，使用跟踪身份表示正在执行服务，而边缘计算将云计算的计算能力渗透到数据端。

1、鉴于工业控制系统的特殊性，工控系统中的每一种设备都需要根据业务逻辑在固定的时间内完成其具体的操作，对实时性要求很高，不能有任何差错，否则将威胁工控系统的正常运行，甚至破坏系统的功能。为了避免工业控制环境下的入侵检测系统受到外界干扰影响，提出了一种基于边缘计算的工业互联网安全防护策略算法，并对其进行了详细的设计，使用到的模块为：网络主机为核心，连接了负载均衡器、中央服务器、核心交换机、分区控制中心、分布式网络探针。

2、采用一台中央服务器作为管理和控制中心，通过任务分配机制实现对网络探测器的管理；探测器通过网络发送和接收报警信息，形成一个统一的报警日志，并在一个友好的可视世界中为管理人员显示各种报警统计数据。使用到的硬件为：UCS 6120XP 120端口互联模块、UC5108刀片服务器机箱、UCS B25M1具有内存拓展技术的刀片服务器、UCS B系统刀片服务器、以太网适配器、虚拟接口卡。

3.分布式网络探头部署在各种工控子网上，具有监听、捕获、解析网络包的功能。选用 JY211-QTQ-U4型光缆检测仪，它由一台变送器和一台接收机组成，能够自动检测并显示电池的电压，在低于10V时报警迅速停止，关电后，阻抗匹配自动启动，启动时实时显示信号强度，接收者接收来自光纤的信号，并检测线路和深度，操作人员根据指针显示，蜂鸣器发出声音提示确认电缆线路，埋设部门进行埋深，经晶形振子处理后，产生SM的正弦波，再将其分解为7.8k左右的正弦波，电流通过晶体管和线圈发出强大的电磁波，每一区域的线圈都可以接收到电磁波，而中心控制器在电磁波发送期间，可以扫描5张采集卡，并在界面上显示其结构，每个网络检测器至少有两个端口，一个端口用于工控交换机镜像通信，另一个用于连接中央服务器。

4.由于网络中可以有多个节点处理某项任务中的一个步骤，因此请求包中任务执行的每一个服务也需要指明它将在哪个节点上执行。

在边缘节点上，跟踪标志指向子服务序列中的下一个服务，选择具有最佳指标的边缘节点，将任务执行请求包发送到相关的边缘节点。当相关服务出现局部执行结果时，直接读取相应的执行结果，得到结果后使用算法对于人工输入信号进行分析，分析一段待检测的工业互联网系统受入侵信号W，其计算公式如(1)所示：

λ

由于工控系统中存在随机噪声扰动，通过分数阶变换对随机噪声扰动进行自相关特征匹配，抑制噪声输出，得到去噪后的检测信号。

公式(2)中，λ(m)表示去噪后的检测信号，k为调频斜率，S(t)为零均值高斯噪声。基于混合随机边缘算法计算噪声去除后的功率p

设maxW

基于上述内容，构建的入侵检测动态模型为：

当入侵信号满足公式(4)时，则检测到的R

附图说明

图1是网络入侵检测系统的硬件结构图。

图2是中央服务器结构图。

图3是边缘计算工控入侵检测流程图。

图4是基于混合随机边缘计算的工控入侵检测系统软件流程图。

具体实施方式

为了使本领域的技术人员更好的理解本发明的技术方案，下面结合附图和具体实施例对本发明实施例进行详细描述。

针对传统工控入侵检测系统缺少对边缘入侵信号段的研究，无法及时检测到边缘入侵行为，导致系统入侵潜伏期过长、威胁工控系统网络安全的问题，提出了一种基于边缘计算的工业互联网安全防护策略算法：使用中央服务器处理并发送告警信息，形成统一的告警日志；选择JY211-QTQ-04型号光缆探测器，实时显示信号强度；通过高速网络I/O架构Netmap网络流量采集器采集流量信息，再由TCP/IP协议下的数据预处理器处理数据，利用入侵检测引擎检测入侵行为；构建入侵检测动态模型，结合混合随机边缘算法，确定待检测段的最高能量和信噪比，通过检测到的入侵信号段，判断入侵行为。由实验结果可知，该工控入侵检测系统在异常入侵情况下，能够及时发现入侵行为。

本实施例的基于边缘计算的工业互联网安全防护方法，包括以下步骤：

鉴于工业控制系统的特殊性，工控系统中的每一种设备都需要根据业务逻辑在固定的时间内完成其具体的操作，对实时性要求很高，不能有任何差错，否则将威胁工控系统的正常运行，甚至破坏系统的功能。

为了避免工业控制环境下的入侵检测系统受到外界干扰影响，提出了一种基于边缘计算的工业互联网安全防护方法。

参考图1，本方法采用一台中央服务器和分布在各个工控子网上的多路网探头的分布式结构，通过核心交换机建立网络入侵检测系统。在本网络入侵检测系统中，利用分布式网络探针，将网络流量接入本检测系统，实现本检测系统对工控系统的零干扰。

中央服务器能够实现工控网络数据大容量存储并提供性能良好的处理器，实现数据的高速处理；分布式网络探针包括网络流量采集器、数据预处理器及入侵检测引擎，能够实现工控网络入侵的实时、可靠检测；核心交换机可实现的网络流量数据的可靠、高速传输。

分布式网络探针部署在工控系统的各种工控子网上，具有监听、捕获、解析网络包的功能。网络流量采集器选用JY211-QTQ-U4型光缆检测仪，它由一台变送器和一台接收机组成，能够自动检测并显示电池的电压，在低于10V时报警迅速停止，关电后，阻抗匹配自动启动，启动时实时显示信号强度，接收者接收来自光纤的信号，并检测线路和深度，操作人员根据指针显示，蜂鸣器发出声音提示确认电缆线路，埋设部门进行埋深，经晶形振子处理后，产生SM的正弦波，再将其分解为7.8k左右的正弦波，电流通过晶体管和线圈发出强大的电磁波，每一区域的线圈都可以接收到电磁波，而中心控制器在电磁波发送期间，可以扫描5张采集卡，并在界面上显示其结构。每个网络检测器(网络探针)至少有两个端口，一个端口用于核心交换机镜像通信，另一个用于连接中央服务器。

中央服务器结构如图2所示。中央服务器是通过代理服务器连接到互联网上的局域网，主板使用了Catalina型号缓冲器，可扩展CPU通道，将2个扩展成8个，每条通道内包含DDR3内存子通道，每条内存通道有两个CPU，因此总共有48个内存插槽。中央服务器需要多个网卡接口，以及大容量存储和一个性能良好的处理器。采用多种网卡接口连接不同的网络探头，采用大容量存储器存储各种报警信息和日志记录。另外，选用高性能处理器，保证良好的用户体验。

入侵检测引擎为网络入侵检测系统的核心引擎，具备实时、可靠检测功能。入侵检测引擎需要将分布式网络探针部署在工业控制服务器上，这里选用由一台变送器和一台接收机组成的JY211-QTQ-U4型光缆检测仪作为网络探针，该网络探针能够自动检测并显示电池的电压，在低于10V的时候探针会自动停止报警，关电后，阻抗匹配自动启动，能够实时显示信号强度。操作人员根据网络探针的指示可以确认电缆线路。每个网络监测器有两个端口，一个端口用于工控交换机通信，另一个用于连接中央服务器，以上为分布式网络探针的具体构成和工作原理。

入侵检测引擎如图3所示。入侵检测引擎通过获取和分析通信数据包，采用规则自学习、特征提取、分类、入侵检测等技术，以实现分布式入侵检测功能。

在硬件结构的基础上，设计工控入侵检测系统软件流程。客户机根据所需完成的服务生成任务来执行请求包，在这个请求包中，使用跟踪身份表示正在执行服务，而边缘计算会将云计算的计算能力渗透到数据端。所以，局部边缘计算具有高实时性，能够存储短期数据，而云计算则能存储大量数据，远距离进行大数据分析，以及本地支持边缘计算的决策能力。

主要步骤包括：

1.由于网络中可以有多个节点处理某项任务中的一个步骤，因此请求包中任务执行的每一个服务也需要指明它将在哪个节点上执行。当发送给网络的任务执行请求包时，如果是按串行顺序执行的，那么服务序列中的每个项都是连续执行的。在边缘节点上，跟踪标志指向子服务序列中的下一个服务。

2.根据所构建的业务网络拓扑图和当前需要执行的业务，客户选择具有最佳指标的边缘节点，将任务执行请求包发送到相关的边缘节点。

3.关联边缘节点解析任务执行请求包，当相关服务出现局部执行结果时，直接读取相应的执行结果。而且，如果服务队列中的同一个服务等待执行，那么队列就跳到请求包执行相关任务的位置。不然，在服务队列之后重复这个过程，直到服务完成。

4.得到结果后使用算法对于人工输入信号进行分析，分析一段待检测的工业互联网系统受入侵信号W，由于工控系统中存在随机噪声扰动，通过分数阶变换对随机噪声扰动进行自相关特征匹配，抑制噪声输出，得到去噪后的检测信号。

5.当入侵信号满足公式(4)时，则检测到的R

综上所述，基于混合随机边缘计算的工控入侵检测系统软件流程如图4所示。

以上所述仅为本发明的实施具体说明，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所做的等效结构或等流程变换，或直接或间接运用在相关技术领域，均同理包括在本发明的专利保护范围。