(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211319252.1 (22)申请日 2022.10.26 (71)申请人 北京安帝科技有限公司 地址 100080 北京市海淀区西四环北路158 号1幢9层9H -5-1 (72)发明人 周磊　姜双林　王蒙　 (74)专利代理 机构 北京星通盈泰知识产权代理 有限公司 1 1952 专利代理师 葛战波 (51)Int.Cl. H04L 41/0631(2022.01) H04L 43/12(2022.01) H04L 9/40(2022.01) (54)发明名称 工业主机行为数据的边缘聚合探针装置及 其方法 (57)摘要 本发明属于工业网络安全领域， 具体公开了 一种工业主机行为数据的边缘聚合探针装置及 其方法。 本申请利用探针对工业主机的行为数据 流进行监测， 并且基于边缘计算机制的智能匹配 运算， 对该工业主机的行为数据流进行事件聚 合， 从而基于该事件聚合结果进行工业主机信息 安全风险的分析判断并提供安全防护。 本发明能 够适应现有工业主机的数据流规模和复杂性动 态性程度， 为工业主机信息安全风险的分析判断 和安全防护提供了有效的前端保障。 权利要求书2页 说明书7页 附图2页 CN 115460066 A 2022.12.09 CN 115460066 A 1.一种工业主机行为数据的边缘聚合探针装置， 其特征在于， 包括： 探针接口、 流缓存 单元、 行为事 件聚合单 元、 特征码提取 单元、 通讯接口； 所述探针接口用于拦截和记录工业主机的行为动作指令及其指令参数， 按照时序 形成 行为数据流， 并发送给流缓存单 元； 所述流缓存单元用于对所述工业主机的行为动作指令及其指令参数形成的行为数据 流， 按照数据流的输入时序进行缓存； 所述行为事件聚合单元针对所述流缓存单元缓存的行为数据流， 根据预定义的事件 链， 将缓存的行为数据流中的行为动作指令参照事件链的行为节点进行智能匹配， 从而基 于行为动作指令之间的匹配度， 以事件为单位， 对与同一事件关联的行为动作指令进行事 件聚合， 形成事 件行为簇； 所述特征码提取单元针对每个事件行为簇中的行为动作指令及其指令参数， 将其转化 为特征码； 所述通讯接口， 用于以每个事件行为簇为单位， 将事件行为簇相关的特征码的数组上 传到工业主机的后台或者云端。 2.根据权利要求1所述的工业主机行为数据的边缘 聚合探针装置， 其特征在于， 通过嵌 入该工业主机操作系统内核的钩子函数实现所述探针接口。 3.根据权利要求2所述的工业主机行为数据的边缘 聚合探针装置， 其特征在于， 所述流 缓存单元在工业主机的内存中开辟缓存区， 并获得缓存区的配置路径， 进而依照行为数据 流的输入时序， 将行为数据流写入配置路径对应的缓存区。 4.根据权利要求3所述的工业主机行为数据的边缘 聚合探针装置， 其特征在于， 所述预 定义的事件链是 由工业主机在各种运行状态下的行为节点及行为节点之间关系所形成的 拓扑网络 。 5.根据权利要求4所述的工业主机行为数据的边缘 聚合探针装置， 其特征在于， 所述行 为事件聚合单元按照行为数据 流中缓存的时序顺序， 提取其 中任意2个行为动作指令 和 ， 对照所述事件链， 确定在该事件链中连接行为动作指令 和 的全部匹配拓扑， 将行 为动作指令 和 的全部匹配拓扑分别记为 ， .. ， 匹配拓扑的总数量表示 为 , 且每个匹配拓扑的长度表示为 , …… ， 缓存的行为数据流中 的行为动作指令 和 的匹配度为： 进而， 判断行为动作指令 和 的匹配度 是否高于预设的一个事件关联阈 值， 如果高于该事 件关联阈值， 则认为以上2个行为动作指令 和 是与同一事 件关联的。 6.一种针对工业主机行为数据的边 缘聚合方法， 其特 征在于， 包括以下步骤： 步骤S1： 通过置于工业主机的探针接口， 拦截和记录工业主机的行为动作指令及其指 令参数， 按照时序形成行为数据流；权　利　要　求　书 1/2 页 2 CN 115460066 A 2步骤S2： 通过流缓存单元， 对所述工业主机的行为动作指令及其指令参数形成的行为 数据流， 按照数据流的输入时序进行缓存； 步骤S3： 通过行为事件聚合单元， 针对所述流缓存单元缓存的行为数据流， 根据预定义 的事件链， 将缓存的行为数据流中的行为动作指令参照事件链的行为节点进行智能匹配， 从而基于行为动作指令之间的匹配度， 以事件为单位， 对与同一事件关联的行为动作指令 进行事件聚合， 形成事 件行为簇； 步骤S4： 通过特征码提取单元， 针对每个事件行为簇中的行为动作指令及其指令参数， 将其转化为特征码， 并将特 征码的数组上传给工业主机的后台或云端。 7.根据权利要求6所述的针对工业主机行为数据的边缘聚合方法， 其特征在于， 步骤S1 中通过嵌入该工业主机操作系统内核的钩子函数实现所述探针接口。 8.根据权利要求7所述的针对工业主机行为数据的边缘聚合方法， 其特征在于， 步骤S2 中通过所述流缓存单元在工业主机的内存中开辟缓存区， 并获得缓存区的配置路径， 进而 依照行为数据流的输入时序， 将行为数据流写入配置路径对应的缓存区。 9.根据权利要求8所述的针对工业主机行为数据的边缘聚合方法， 其特征在于， 步骤S3 中所述预定义的事件链是由工业主机在各种运行状态下的行为节点及行为节点之间关系 所形成的拓扑网络 。 10.根据权利要求9所述的针对工业主机行为数据的边缘聚合方法， 其特征在于， 步骤 S3中， 通过所述行为事件聚合单元， 按照行为数据流中缓存的时序顺序， 提取其中任意2个 行为动作指令 和 ， 对照所述事件链， 确定在该事件链中连接行为动作指令 和 的 全部匹配拓扑， 将行为动作指令 和 的全部匹配拓扑分别记为 ， .. ， 匹 配拓扑的总数量表示为 , 且每个匹配拓扑的长度表示为 , …… ， 缓存的行为数据流中的行为动作指令 和 的匹配度为： 进而， 判断行为动作指令 和 的匹配度 是否高于预设的一个事件关联阈 值， 如果高于该事 件关联阈值， 则认为以上2个行为动作指令 和 是与同一事 件关联的。权　利　要　求　书 2/2 页 3 CN 115460066 A 3