[发明专利]工业互联网终端加密流量数据安全检测方法、装置及设备

权利要求书

1.一种工业互联网终端加密流量数据安全检测方法，其特征在于，应用于包括工业互联网终端、流量代理中继服务端和目标设备的系统，工业互联网终端内置有流量代理中继客户端，流量代理中继服务端位于工业互联网终端与目标设备之间，所述方法应用于流量代理中继服务端，所述方法包括：

在所述工业互联网终端与所述目标设备的通信过程中，若接收到所述流量代理中继客户端发送的代理服务请求，则对所述工业互联网终端与所述目标设备之间交互的流量数据进行镜像存储；其中，所述代理服务请求用于触发对所述工业互联网终端的流量数据进行安全检测，所述流量数据包括加密流量；

基于已镜像存储的流量数据，若所述流量数据对应的流量特征与已配置的流量特征库中的流量特征匹配，则将所述流量数据确定为潜在敏感操作的流量数据；其中，流量特征库用于记录潜在敏感操作的流量数据对应的流量特征；

针对潜在敏感操作的流量数据，将该流量数据输入给已训练的第一分类器得到第一分类结果；基于所述第一分类结果确定该流量数据存在敏感信息，或者，基于所述第一分类结果确定该流量数据不存在敏感信息；

其中，所述第一分类器用于对流量数据的敏感类型进行分类。

2.根据权利要求1所述的方法，其特征在于，

所述基于所述第一分类结果确定该流量数据存在敏感信息后，所述方法还包括：

针对存在敏感信息的流量数据，将该流量数据输入给已训练的第二分类器得到第二分类结果；基于所述第二分类结果确定该流量数据存在设备敏感信息，或者，基于所述第二分类结果确定该流量数据存在设备敏感操作，或者，基于所述第二分类结果确定该流量数据存在用户敏感信息；

其中，所述第二分类器用于对流量数据的内容类型进行分类。

3.根据权利要求2所述的方法，其特征在于，

所述将该流量数据输入给已训练的第一分类器得到第一分类结果后，所述方法还包括：基于所述第一分类结果确定该流量数据存在疑似敏感信息；

其中，针对存在疑似敏感信息的流量数据，若内容类型检测策略用于指示对疑似敏感信息的流量数据进行安全检测，则将该流量数据输入给所述第二分类器得到第二分类结果；或者，若内容类型检测策略用于指示对疑似敏感信息的流量数据不进行安全检测，则禁止将该流量数据输入给所述第二分类器。

4.根据权利要求1所述的方法，其特征在于，所述对所述工业互联网终端与所述目标设备之间交互的流量数据进行镜像存储之后，所述方法还包括：

在所述工业互联网终端与所述目标设备之间的通信中断之后，停止对所述工业互联网终端与所述目标设备之间交互的流量数据进行镜像存储；

若接收到所述流量代理中继客户端发送的中断恢复请求，则继续对所述工业互联网终端与所述目标设备之间交互的流量数据进行镜像存储；其中，所述中断恢复请求是所述流量代理中继客户端确定通信中断并恢复后发送的，所述中断恢复请求用于触发对所述工业互联网终端的流量数据进行安全检测。

5.根据权利要求1所述的方法，其特征在于，所述对所述工业互联网终端与所述目标设备之间交互的流量数据进行镜像存储，包括：

若所述流量代理中继服务端包括多个处理节点，则基于各处理节点的资源使用信息，从所述多个处理节点中选取目标处理节点；通过所述目标处理节点对所述工业互联网终端与所述目标设备之间交互的流量数据进行镜像存储。

6.根据权利要求1所述的方法，其特征在于，

所述流量特征包括以下之一或者任意组合：数据包大小、数据包格式、数据包交互特征、数据包头域特征、数据包特殊字段；所述潜在敏感操作包括以下之一或者任意组合：设备校验操作、设备接入操作、设备取流操作、设备登录操作、设备注册操作、设备添加操作、设备注销操作。

7.根据权利要求1所述的方法，其特征在于，

所述基于所述第一分类结果确定该流量数据存在敏感信息之后，所述方法还包括：

对存在敏感信息的流量数据进行实时预警；和/或，

断开所述工业互联网终端与所述目标设备的通信连接。