基于工业互联网的工控审计方法及装置与流程

本发明涉及网络数据审计，尤其涉及一种基于工业互联网的工控审计方法及装置。

背景技术：

1、随着工业互联网与信息网络的融合进程加速进行。传统的网络通信技术在工业控制网络中得到了广泛应用。工业互联网正朝着面向人机物全面互联的方向发展，从原本面向人人交互的互联模式逐渐转变。这一转变不仅拓展了现有网络空间的功能和边界，也颠覆了传统工控系统的封闭格局。在工业互联网的控制层、设备层、网络层等各个层级之间，安全问题愈加突显，而且安全风险不断叠加，形成了复杂的安全形势。

2、具体而言，随着黑客大会、白帽社区以及开源社区的兴起，攻击工控系统的方法变得越来越容易获取。大量工控系统软件和硬件设备存在的安全漏洞及利用方法可以通过公开或半公开的渠道获取，这极大地增加了工控网络受到攻击的风险。这种趋势使得工控系统的安全面临前所未有的挑战，目前的人工审计方式难以满足当前的应用需求，需要更加全面和高效的网络安全审计策略来应对。

技术实现思路

1、本发明提供一种基于工业互联网的工控审计方法及装置，用以解决现有技术中工控系统安全审计的准确性和效率不足的缺陷。

2、本发明提供一种基于工业互联网的工控审计方法，包括：

3、获取待审计时间段内的工控协议数据和网络行为数据；

4、基于所述工控协议数据与协议数据库中各类工控协议的协议规则模板之间的相似度，确定所述工控协议数据对应的协议规则模板，基于所述工控协议数据对应的协议规则模板解析所述工控协议数据的控制信息，并基于所述工控协议数据的控制信息、完整报文数据以及数据区报文数据确定第一审计结果；

5、基于所述网络行为数据中各单位时间的网络流量的统计特征，和/或基于所述网络行为数据中当前运行程序信息与历史运行程序信息之间的差异，确定第二审计结果；

6、基于所述第一审计结果和所述第二审计结果对网络安全事件进行等级评估，得到所述待审计时间段的网络安全评估结果。

7、根据本发明提供的一种基于工业互联网的工控审计方法，所述基于所述工控协议数据的控制信息、完整报文数据以及数据区报文数据确定第一审计结果，包括：

8、基于被标注为正常的样本工控协议数据的样本控制信息以及所述工控协议数据的控制信息，确定所述工控协议数据的控制异常分析结果；

9、基于已训练的全局异常分析模型对所述工控协议数据的完整报文数据进行异常分析，得到所述工控协议数据的完整报文异常分析结果；其中，所述全局异常分析模型是基于样本工控协议数据的样本完整报文数据以及所述样本工控协议数据的标签训练得到的；

10、基于已训练的局部异常分析模型对所述工控协议数据的数据区报文数据进行异常分析，得到所述工控协议数据的数据区报文异常分析结果；其中，所述局部异常分析模型是基于样本工控协议数据的样本数据区报文数据以及所述样本工控协议数据的标签训练得到的；

11、基于所述工控协议数据的控制异常分析结果、完整报文异常分析结果和数据区报文异常分析结果，确定所述第一审计结果。

12、根据本发明提供的一种基于工业互联网的工控审计方法，所述工控协议数据与协议数据库中任一类工控协议的协议规则模板之间的相似度是基于如下步骤确定的：

13、确定所述工控协议数据与所述任一类工控协议的协议规则模板之间的所有公共子序列以及最长公共子序列；

14、基于所述工控协议数据与所述任一类工控协议的协议规则模板之间的最长公共子序列的序列长度，以及所述工控协议数据与所述任一类工控协议的协议规则模板的序列长度，确定差异因素；

15、基于所述工控协议数据与所述任一类工控协议的协议规则模板之间的所有公共子序列的序列长度总和、所述工控协议数据与所述任一类工控协议的协议规则模板的序列长度，以及所述差异因素，确定序列一致性因素；

16、计算所述工控协议数据与所述任一类工控协议的协议规则模板之间的编辑距离，并基于所述工控协议数据与所述任一类工控协议的协议规则模板之间的最长公共子序列的序列长度以及所述工控协议数据与所述任一类工控协议的协议规则模板之间的编辑距离，确定序列相似性因素；

17、基于所述序列一致性因素和所述序列相似性因素，确定所述工控协议数据与所述任一类工控协议的协议规则模板之间的相似度。

18、根据本发明提供的一种基于工业互联网的工控审计方法，所述协议数据库中各类工控协议的协议规则模板是基于如下步骤构建的：

19、特征提取步骤：提取协议数据库中各样本工控协议数据的文本特征；其中，任一样本工控协议数据的文本特征是基于所述任一样本工控协议数据中各语段的词频和逆文档频率确定的；

20、聚类步骤：基于当前类簇数量设定值，结合各样本工控协议数据的文本特征对各样本工控协议数据进行聚类，得到多个当前类簇，并获取各个类簇的聚类中心；

21、迭代步骤：对所述多个当前类簇进行聚类评价，得到当前聚类评价值；若所述当前聚类评价值大于当前最佳评价值，则基于所述当前聚类评价值更新所述当前最佳评价值，并基于所述多个当前类簇及其聚类中心，更新当前最佳聚类类簇以及各个当前最佳聚类类簇的聚类中心；增加所述当前类簇数量设定值，并重复所述聚类步骤，直至所述当前类簇数量设定值达到预设数值；

22、模板确定步骤：基于各个当前最佳聚类类簇的聚类中心，确定各类工控协议的协议规则模板。

23、根据本发明提供的一种基于工业互联网的工控审计方法，所述基于所述网络行为数据中各单位时间的网络流量的统计特征，和/或基于所述网络行为数据中当前运行程序信息与历史运行程序信息之间的差异，确定第二审计结果，包括：

24、基于所述网络行为数据中各单位时间的网络流量的统计特征，确定网络流量异常分析结果；其中，所述统计特征包括各单位时间的网络流量的平均值、方差与分位数；

25、和/或，基于所述网络行为数据中当前运行程序信息与历史时间段内的历史运行程序信息，确定与所述历史运行程序信息不匹配的当前运行程序信息，作为疑似异常运行程序；基于所述疑似异常运行程序在所述待审计时间段的各个单位时间内的运行次数，以及所述疑似异常运行程序的内存信息，确定运行程序异常分析结果；

26、基于所述网络流量异常分析结果和/或所述运行程序异常分析结果，确定所述第二审计结果。

27、根据本发明提供的一种基于工业互联网的工控审计方法，所述确定第二审计结果，之后还包括：

28、若所述网络流量异常分析结果或所述运行程序异常分析结果为异常，则在不断电、不断网的前提下发出网络安全警报；

29、若所述网络流量异常分析结果和所述运行程序异常分析结果均为异常，则在断网不断电的前提下发出网络安全警报。

30、根据本发明提供的一种基于工业互联网的工控审计方法，所述基于所述第一审计结果和所述第二审计结果对网络安全事件进行等级评估，得到所述待审计时间段的网络安全评估结果，包括：

31、基于所述待审计时间段内ip地址和mac地址的绑定状态、至少两个设备之间的访问关系以及工控网络中出现的设备，确定第三审计结果；

32、基于所述第一审计结果、所述第二审计结果和所述第三审计结果对网络安全事件进行等级评估，得到所述待审计时间段的网络安全评估结果。

33、本发明还提供一种基于工业互联网的工控审计装置，包括：

34、数据获取单元，用于获取待审计时间段内的工控协议数据和网络行为数据；

35、第一审计单元，用于基于所述工控协议数据与协议数据库中各类工控协议的协议规则模板之间的相似度，确定所述工控协议数据对应的协议规则模板，基于所述工控协议数据对应的协议规则模板解析所述工控协议数据的控制信息，并基于所述工控协议数据的控制信息、完整报文数据以及数据区报文数据确定第一审计结果；

36、第二审计单元，用于基于所述网络行为数据中各单位时间的网络流量的统计特征，和/或基于所述网络行为数据中当前运行程序信息与历史运行程序信息之间的差异，确定第二审计结果；

37、安全评估单元，用于基于所述第一审计结果和所述第二审计结果对网络安全事件进行等级评估，得到所述待审计时间段的网络安全评估结果。

38、本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述基于工业互联网的工控审计方法。

39、本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述基于工业互联网的工控审计方法。

40、本发明还提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如上述任一种所述基于工业互联网的工控审计方法。

41、本发明提供的基于工业互联网的工控审计方法及装置，通过工控协议数据与协议数据库中各类工控协议的协议规则模板之间的相似度，确定工控协议数据对应的协议规则模板，基于工控协议数据对应的协议规则模板解析工控协议数据的控制信息，并基于工控协议数据的控制信息、完整报文数据以及数据区报文数据确定第一审计结果；基于网络行为数据中各单位时间的网络流量的统计特征，和/或基于网络行为数据中当前运行程序信息与历史运行程序信息之间的差异，确定第二审计结果；从而基于第一审计结果和第二审计结果对网络安全事件进行等级评估，得到待审计时间段的网络安全评估结果，通过对工控协议数据及网络行为数据进行双重工控安全审计，可以及时准确地发现工控网络中是否发生网络安全事件，从而极大地降低了工控网络受到网络攻击的风险。