(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN112637175A(43)申请公布日2021.04.09(21)申请号202011495039.7G16Y40/10(2020.01)(22)申请日2020.12.17G16Y40/50(2020.01)(71)申请人山东云天安全技术有限公司地址250014山东省济南市历下区经十路12111号中润世纪中心1号楼3901室(72)发明人李峰张俭锋赵慧奇王绍密和希文肖峰(74)专利代理机构济南千慧专利事务所(普通合伙企业)37232代理人赵长林(51)Int.Cl.H04L29/06(2006.01)H04L29/08(2006.01)G16Y10/25(2020.01)G16Y30/10(2020.01)权利要求书3页说明书12页附图4页(54)发明名称一种用于工业物联网的防御方法及装置(57)摘要本申请公开了一种用于工业物联网的防御方法及装置，用以解决工业物联网防御方法无法对网络攻击进行有效防范的问题。方法包括：对工业物联网内TCP连接过程进行监测，获取存在异常的数据包；并与预设风险数据库做对比，在对比结果不相同的情况下，确定存在新的安全隐患；统计与第一被攻击节点不存在连通关系的节点地址，作为第一集合；与第一被攻击节点存在连通关系的节点地址，作为第二集合；确定攻击者采用盲扫描策略的情况下，在第一集合中选择第一目标地址，确定攻击者采用非盲扫描策略的情况下，在第二集合中选择第一目标地址，以便替换第一被攻击节点的地址。本申请通过上述方法，可以有效提高工业物联网的防御能力。CN112637175ACN112637175A权利要求书1/3页1.一种用于工业物联网的防御方法，其特征在于，所述方法包括：对工业物联网内若干数据包的TCP连接过程进行监测，获取所述TCP连接过程中存在异常的数据包；将监测到的异常数据包，与预设风险数据库做对比，在对比结果不相同的情况下，确定所述数据包存在新的安全隐患；统计当前时刻被攻击的工业物联网内，与第一被攻击节点不存在连通关系的节点地址，将所有不存在连通关系的节点地址作为第一集合；以及统计与第一被攻击节点存在连通关系的节点地址，将所有存在连通关系的节点地址作为第二集合；在本次攻击属于盲扫描策略攻击的情况下，确定在下一时间段内，所述第一集合中被攻击概率最高且不存在目标数据的第二节点，将所述第二节点作为第一目标地址；在本次攻击属于非盲扫描策略攻击的情况下，确定在下一时间段内，所述第二集合中被攻击概率最高且不存在目标数据的第三节点，将所述第三节点作为第一目标地址；将所述第一目标地址替换所述第一被攻击节点的地址。2.根据权利要求1所述的一种用于工业物联网的防御方法，其特征在于，所述将监测到的异常数据包，与预设风险数据库做对比，在对比结果不相同的情况下，确定所述数据包存在新的安全隐患之后，所述方法还包括：统计预设第一周期内，所述工业物联网内存在安全隐患的数据包的数量；将所述预设第一周期分为若干时长相同的第二周期，分别统计若干第二周期内，存在安全隐患的数据包中的目标地址；其中，所述第二周期为攻击者发起一次攻击的攻击时间周期；确定在若干第二周期内，存在安全隐患的数据包中的目标地址所对应的节点具有连通关系，则确定本次攻击为非盲扫描策略攻击；确定在若干第二周期内，存在安全隐患的数据包中的目标地址所对应的节点不具有连通关系，则确定本次攻击为盲扫描策略攻击。3.根据权利要求2所述的一种用于工业物联网的防御方法，其特征在于，所述方法还包括：在确定本次攻击采用的是非盲扫描策略的情况下，根据函数tat+1＝βtat+(1‑β)tat‑1+2(1‑β)ta0，确定下一时间段内，所述第二集合中若干第二节点分别被攻击的概率，将所述第二集合中的节点根据被攻击概率，从大到小进行排序；顺序对第二集合中的节点进行检测，并将检测出的第一个不存在目标数据的节点作为第一目标地址；其中，tat+1为若干第二节点分别在下一时间段内被扫描的概率；tat为当前时间段内的转移概率矩阵；tat‑1为上一时间段内的转移概率矩阵；ta0为初始转移概率矩阵；β为转移概率的权重；t为当前时间段。4.根据权利要求3所述的一种用于工业物联网的防御方法，其特征在于，所述确定下一时间段内，所述第二集合中若干第二节点分别被攻击的概率之后，所述方法还包括：在检测到所述第二集合中的所有第二节点都存在目标数据的情况下，再次根据函数2tat+1＝βtat+(1‑β)tat‑1+(1‑β)ta0，确定所述第一集合中的若干第二节点分别被攻击的概率；2CN112637175A权利要求书2/3页将所述第一集合中的若干第二节点，依据被攻击的概率从大到小顺序排序，并将按顺序检测出的第一个不存在目标数据的第二节点的地址，作为所述