(19)中华 人民共和国 国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111502246.5 (22)申请日 2021.12.10 (65)同一申请的已公布的文献号 申请公布号 CN 113904878 A (43)申请公布日 2022.01.07 (73)专利权人 浙江木链 物联网科技有限公司 地址 310000 浙江省杭州市余杭区五常街 道联创街18 8号4幢10楼 (72)发明人 郭宾　崔旭中　刘润新　陈超　 文昱博　雷濛　朱奕辉　向昶宇　 (74)专利代理 机构 杭州华知专利事务所(普通 合伙) 33235 代理人 张德宝 (51)Int.Cl. H04L 9/40(2022.01)(56)对比文件 US 2009144827 A1,20 09.06.04 审查员 孙晓 (54)发明名称 一种基于大节 点数的数据处理方法、 系统和 可读存储介质 (57)摘要 本发明公开的一种基于大节点数的数据处 理方法、 系统和可读存储介质， 其中方法包括： 接 收通讯请求信息， 确定受到入侵， 通讯请求信息 中携带通信请求数据； 从访问流量中确定入侵流 量， 入侵流量为接收到通讯请求信息时所产生的 流量， 入侵流量包括通信请求数据； 从入侵流量 中确定通信请求数据， 并封装通信请求数据； 对 封装后的通信请求数据进行处理， 以获取通信请 求数据对应的通信回复数据； 发送通信回复信 息， 通信回复信息包括通信回复数据。 通过上述 方法， 通过多次数据处理将真实业务控制器隐藏 在多个其他控制器中， 使 得入侵者无法准确判断 具体业务控制器， 以降低入侵者的攻击效率， 由 此增强工业控制系统安全运营的能力。 权利要求书3页 说明书9页 附图2页 CN 113904878 B 2022.03.25 CN 113904878 B 1.一种基于大节点数的数据处理方法， 其应用于工业控制系统， 其特征在于， 包括以下 步骤： 接收通讯请求信息， 确定受到入侵， 所述 通讯请求信息中携带通信请求数据； 从访问流量中确定入侵流量， 所述入侵流量为接收到所述通讯请求信 息时所产生的流 量， 所述入侵流 量包括所述 通信请求数据； 从所述入侵流 量中确定所述 通信请求数据， 并封装所述 通信请求数据； 对封装后的通信请求数据进行处 理， 以获取 所述通信请求数据对应的通信回复数据； 发送通信回复信息， 所述 通信回复信息包括所述 通信回复数据； 还包括： 对所述入侵流量进行入侵检测 处理， 确定入侵行为以及非入侵行为， 所述入侵行为是 威胁程度大于或等于威胁阈值的行为， 且所述非入侵行为是威胁程度小于所述威胁阈值的 行为； 拦截所述入侵行为， 且对所述非入侵行为进行行为放行处理， 以使得所述非入侵行为 正常进行； 还包括： 获取预设时间周期内的所述访问流 量； 对所述访问流 量进行结构化处 理， 得到待处 理流量； 对所述待处 理流量进行统计汇总， 确定 造成系统威胁的威胁特性； 基于所述威胁特性以生成威胁统计报告， 所述威胁统计包括用于威胁预警机制的制 定； 所述方法还 包括： 获取预设时间周期内的所述访问流 量； 对所述访问流 量进行结构化处 理， 得到待处 理流量； 结合平行坐标线连接分析， 基于所述预设时间周期内的稀疏线动画效果在数据展示界 面展示所述待处 理流量， 展示方式包括2维图形化， 或3维动画效果中至少一项； 所述方法还 包括： 获取预设时间周期内的所述访问流 量； 对所述访问流 量进行结构化处 理， 得到待处 理流量； 基于所述待处理流量提取潜在入侵行为集合， 所述潜在入侵行为集合包括至少一个潜 在入侵行为； 对所述潜在入侵行为 集合进行归因分析， 得到每 个潜在入侵行为的入侵原因； 基于所述每 个潜在入侵行为的入侵原因确定入侵行为的入侵模式； 所述方法还 包括： 获取预设时间周期内的所述访问流 量； 对所述访问流 量进行结构化处 理， 得到待处 理流量； 基于安全知识库， 对所述待处理流量进行应用关联分析处理， 识别出入侵行为的攻击 规划； 基于所述入侵行为的攻击规划重构出入侵行为的入侵过程场景。 2.一种基于大节点数的数据处理系统， 其应用于工业控制系统， 其特征在于， 包括存储权　利　要　求　书 1/3 页 2 CN 113904878 B 2器和处理器， 所述存储器中存储有基于大节点数 的数据处理方法程序， 所述基于大节点数 的数据处 理方法程序被所述处 理器执行时实现如下步骤： 接收通讯请求信息， 确定受到入侵， 所述 通讯请求信息中携带通信请求数据； 从访问流量中确定入侵流量， 所述入侵流量为接收到所述通讯请求信 息时所产生的流 量， 所述入侵流 量包括所述 通信请求数据； 从所述入侵流 量中确定所述 通信请求数据， 并封装所述 通信请求数据； 对封装后的通信请求数据进行处 理， 以获取 所述通信请求数据对应的通信回复数据； 发送通信回复信息， 所述 通信回复信息包括所述 通信回复数据； 还包括： 对所述入侵流量进行入侵检测 处理， 确定入侵行为以及非入侵行为， 所述入侵行为是 威胁程度大于或等于威胁阈值的行为， 且所述非入侵行为是威胁程度小于所述威胁阈值的 行为； 拦截所述入侵行为， 且对所述非入侵行为进行行为放行处理， 以使得所述非入侵行为 正常进行； 还包括： 获取预设时间周期内的所述访问流 量； 对所述访问流 量进行结构化处 理， 得到待处 理流量； 对所述待处 理流量进行统计汇总， 确定 造成系统威胁的威胁特性； 基于所述威胁特性以生成威胁统计报告， 所述威胁统计包括用于威胁预警机制的制 定； 所述方法还 包括： 获取预设时间周期内的所述访问流 量； 对所述访问流 量进行结构化处 理， 得到待处 理流量； 结合平行坐标线连接分析， 基于所述预设时间周期内的稀疏线动画效果在数据展示界 面展示所述待处 理流量， 展示方式包括2维图形化， 或3维动画效果中至少一项； 所述方法还 包括： 获取预设时间周期内的所述访问流 量； 对所述访问流 量进行结构化处 理， 得到待处 理流量； 基于所述待处理流量提取潜在入侵行为集合， 所述潜在入侵行为集合包括至少一个潜 在入侵行为； 对所述潜在入侵行为 集合进行归因分析， 得到每 个潜在入侵行为的入侵原因； 基于所述每 个潜在入侵行为的入侵原因确定入侵行为的入侵模式； 所述方法还 包括： 获取预设时间周期内的所述访问流 量； 对所述访问流 量进行结构化处 理， 得到待处 理流量； 基于安全知识库， 对所述待处理流量进行应用关联分析处理， 识别出入侵行为的攻击 规划； 基于所述入侵行为的攻击规划重构出入侵行为的入侵过程场景。 3.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质中存储有一种基权　利　要　求　书 2/3 页 3 CN 113904878 B 3