一种工控网络流量安全分类方法、系统及可读存储设备与流程

1.本发明涉及工控网络安全领域，具体涉及一种工控网络流量安全分类方法、系统及可读存储设备。


背景技术：

2.现有技术中，工控网络中的工控节点数量众多，涉及的工控流量的数量也十分庞大，为了保护工控网络的网安安全，需要对整个工控网络中的网络流量进行监管，并在出现对应异常网络流量时能够及时的处理。而随着工业化的快速发展，工控网络中存在的工控网络流量的数量也成爆炸式增长，目前尚没有方法进行有效的分类，直接对每个流量进行全流程不以区分的监控，给服务器带来了很大压力，同时也带来了无法及时处理异常流量的网络风险。


技术实现要素：

3.本发明的目的在于提供一种工控网络流量安全分类方法、系统及可读存储设备，以克服现有技术的不足。
4.一种工控网络流量安全分类方法，包括以下步骤：
5.s1，获取预设时间范围内的工控网络流量集合的流量交互序列，所述预设时间范围内的工控网络流量集合中的每个工控流量对应于至少一个工控节点，每个工控节点对应于至少一个工控环境；
6.s2，根据获取的流量交互序列对各个工控节点对应的各个工控环境进行预测，得到工控节点安全评价指标；
7.s3，根据所述预设时间范围内的工控网络流量集合对应的各个工控节点下的流量数据量和各个工控环境下的流量数据量，构建流量滤波器；
8.s4，利用流量滤波器对所述工控节点安全评价指标进行加权平均，得到所述预设时间范围内的工控网络流量集合中每个工控流量的安全评估结果，所述安全评估结果包括工控流量对应于各个工控节点对应的各个工控环境的安全等级；
9.s5，根据各个工控流量的安全评估结果确定对应的目标安全等级，为所述各个工控流量分配所述目标安全等级对应的安全分类标识。
10.优选的，流量交互序列包含历史流量交互序列和参考流量交互序列；
11.根据所述历史流量交互序列，利用对应于各个工控环境的工控环境分类模型计算各个工控环境对应的环境因子；
12.根据所述参考流量交互序列和所述环境因子进行安全评估，得到各个工控环境对应的安全等级向量；
13.根据所述安全等级向量和所述预设时间范围内的工控网络流量集合进行流量分类，得到对应于所述预设时间范围内的工控网络流量集合的工控节点安全评价指标。
14.优选的，根据历史流量交互序列，确定对应于各个工控节点的各个工控环境的训
练流量日志和参考流量日志；
15.获取各个工控节点的各个工控环境对应的工控环境分类模型；
16.将对应于各个工控环境的训练流量日志和参考流量日志分别输入到对应的工控环境分类模型进行训练，得到对应于各个工控环境的环境因子。
17.优选的，将对应于各个工控环境的训练流量日志和参考流量日志分别输入初始分类模型中进行反向传播训练；
18.当满足预设损失函数定义时，获取当前完成的初始分类模型作为工控环境分类模型；
19.获取各个工控环境分类模型的分类结果作为对应于各个工控环境的环境因子。
20.优选的，根据历史流量交互序列，确定预设时间范围内的工控网络流量集合中各个工控流量对应的工控环境；
21.根据各个工控流量对应工控节点和工控环境，对历史流量交互序列进行分析，得到对应于各个工控节点对应的各个工控环境的历史流量子交互序列；
22.将历史流量子交互序列中的数据切割为单一流量交互序列集和多流量交互序列集；
23.按照预置序列类型权重对单一流量交互序列集和多流量交互序列集中的数据进行汇总，得到对应于各个工控环境的训练流量日志和参考流量日志。
24.优选的，获取所述工控环境对应的安全评估模型；
25.根据所述环境因子对应的工控环境，将所述参考流量交互序列和所述环境因子输入到对应的安全评估模型中，得到对应于各个工控环境的安全等级向量。
26.优选的，基于所述预设时间范围内的工控网络流量集合中的工控流量在各个工控节点对应的各个工控环境下的安全等级向量，构建带有空位的安全等级向量数组，所述安全等级向量数组的第m行第n列为工控流量m在工控环境n的安全等级向量，所述空位表示工控流量与所述空位对应的工控环境之间无关联；
27.将所述安全等级向量数组输入到行为预测模型中进行空位预测，得到工控节点安全评价指标。
28.优选的，根据所述流量交互序列，确定各个工控节点的流量数据量以及各个工控节点对应的工控环境的流量数据量；
29.根据各个工控环境的流量数据量与对应的工控节点的流量数据量的差，确定各个工控环境的初始滤波参数；
30.根据所述各个工控环境的初始滤波参数以及对应的工控环境，构建流量滤波器。
31.一种工控网络流量安全分类装置，包括：
32.获取模块，用于获取预设时间范围内的工控网络流量集合的流量交互序列，所述预设时间范围内的工控网络流量集合中的每个工控流量对应于至少一个工控节点，每个工控节点对应于至少一个工控环境；
33.预测模块，用于根据所述流量交互序列，对各个工控节点对应的各个工控环境进行预测，得到工控节点安全评价指标，其中，所述工控节点安全评价指标中包括各个工控节点对应的各个工控环境对应的安全等级；根据所述预设时间范围内的工控网络流量集合对应的各个工控节点下的流量数据量和各个工控环境下的流量数据量，构建流量滤波器；根
据所述流量滤波器对所述工控节点安全评价指标进行加权平均，得到所述预设时间范围内的工控网络流量集合中每个工控流量的安全评估结果，所述安全评估结果包括工控流量对应于各个工控节点对应的各个工控环境的安全等级；
34.分类模块，用于根据各个工控流量的安全评估结果确定对应的目标安全等级，为所述各个工控流量分配所述目标安全等级对应的安全分类标识。
35.一种计算机设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述工控网络流量安全分类方法的步骤。
36.与现有技术相比，本发明具有以下有益的技术效果：
37.本发明一种工控网络流量安全分类方法，通过获取工控网络流量集合的流量交互序列；然后根据流量交互序列，对各个工控节点对应的各个工控环境进行预测，得到工控节点安全评价指标；接着根据各个工控节点下的流量数据量和各个工控环境下的流量数据量，构建流量滤波器；然后根据流量滤波器对工控节点安全评价指标进行加权平均，得到工控网络流量集合中每个工控流量的安全评估结果；最终根据各个工控流量的安全评估结果确定对应的目标安全等级，为各个工控流量分配目标安全等级对应的安全分类标识，如此设计，能够帮助网络维护人员快速确定工控流量归属的安全分类标识，以便能够执行对应的安全策略，提高处理效率。
附图说明
38.图1为本发明实施例提供的工控网络流量安全分类方法的步骤流程示意图。
39.图2为本发明实施例提供的工控网络流量安全分类装置的结构示意框图。
40.图3为本发明实施例提供的计算机设备结构示意图。
具体实施方式
41.为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。
42.以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
43.如图1所示，本发明一种工控网络流量安全分类方法，具体包括以下步骤：
44.s1，获取预设时间范围内的工控网络流量集合的流量交互序列，预设时间范围内的工控网络流量集合中的每个工控流量对应于至少一个工控节点，每个工控节点对应至少一个工控环境；
45.具体地，流量交互序列是基于工控流量进行分类和特征提取得到的行为信息。流量交互序列包括流量发起时间、流量发起设备、流量发起区域、工控节点和流量包含内容。
46.工控节点对应于工控网络中的各类实体节点和虚拟节点，工控节点包括具体的工
控设备、用于管理工控设备的管理设备。工控环境针对于工控流量的使用情况规定的工控流量状态，包括一级安全环境、二级安全环境和三级安全环境，其中一级安全环境指工控流量可执行命令相对开放的环境，例如仅浏览、查看；二级安全环境相对一级安全环境对安全要求更高，例如需要进行上线、或者隐私数据查看，三级安全环境对安全的需求则高于二级安全需求，例如需要进行权限更改、工控设备联动控制。每个工控节点都对应于至少一个工控环境。不同的工控节点对应的工控环境是相同的，即，基本信息查看相关流量发送同时归为一级安全环境和二级安全环境。每个工控流量存在于多个工控节点的多个工控环境中。在一个实施例中，预设时间范围内的工控网络流量集合中包括两个或者两个以上的工控流量，并且每个工控流量对应于至少两个工控节点，每个工控节点可以对应于至少两个工控环境。
47.s2，根据流量交互序列，对各个工控节点对应的各个工控环境进行预测，得到工控节点安全评价指标，其中，工控节点安全评价指标中包括各个工控节点对应的各个工控环境对应的安全等级。
48.其中，工控节点安全评价指标包括在各个工控节点的各个工控环境下的工控流量的安全等级。
49.工控节点安全评价指标由各个工控节点对应的权重向量组成。具体地，通过机器学习模型来对于各个工控节点预测工控流量属于该工控节点下各个工控环境的权重分值，从而得到工控节点对应的向量，再按照工控节点和工控流量来组合成工控节点安全评价指标。
50.s3，根据预设时间范围内的工控网络流量集合对应的各个工控节点下的流量数据量和各个工控环境下的流量数据量，构建流量滤波器。
51.具体地，流量滤波器采用矩阵的形式，其矩阵的具体大小根据工控节点和工控环境的对应关系而定。如，存在5位工控节点和5种工控环境，则流量滤波器为5
×
5的矩阵。矩阵中的各个分量根据各个工控节点下的流量数据量和各个工控环境下的流量数据量来计算。具体地，按照工控流量差、差分或均值的方式计算。
52.s4，根据流量滤波器对工控节点安全评价指标进行加权平均，得到预设时间范围内的工控网络流量集合中每个工控流量的安全评估结果，安全评估结果包括工控流量对应于各个工控节点对应的各个工控环境的安全等级。
53.加权平均的stride(卷积步幅)预先确定。具体地，stride根据工控节点的数量来确定。加权平均采用卷积神经网络的方式来进行计算，利用预先训练好的卷积神经网络，输入确定好的流量滤波器和工控节点安全评价指标作为输入来得到每个工控流量的安全评估结果。安全评估结果中包括该工控流量在各个流量的执行过程的各个工控环境下的安全等级。
54.s5，根据各个工控流量的安全评估结果确定对应的目标安全等级，为各个工控流量分配目标安全等级对应的安全分类标识。
55.具体地，将安全评估结果中对于各个工控节点下各个工控环境的安全等级与预设的安全等级阈值来进行比较，如果安全等级大于预设的安全等级阈值，则表示工控流量是在该安全等级对应的工控环境下的归属工控流量，则向工控流量分配该工控环境对应的安全分类标识，以便工控节点能够正常完成相应流量转发。
56.通过本发明的方法，运维人员能够快速地确定出各个工控流量的安全分类标识，基于这个安全分类标识，能够采取不同的安全监控策略实现网络安全管理，差异化的管理不仅能够节约整体监控资源，还能够提前对各个安全分类标识对应的工控流量定制风险应对策略，进一步地提高了整个工控网络的安全性。
57.在本发明的实施例中，由于在计算过程中，将各个工控节点对应的工控环境的安全等级与工控流量分布综合进行计算得到综合安全等级，再根据工控流量的综合安全等级进行分配，从而能够综合各个工控节点和工控环境的分配情况，以避免对工控流量的误判。
58.在本发明的一些实施例中，基于以上技术方案，流量交互序列包括历史流量交互序列和参考流量交互序列；根据流量交互序列对各个工控节点对应的各个工控环境进行预测，得到工控节点安全评价指标，包括如下步骤：
59.根据历史流量交互序列，利用对应于各个工控环境的工控环境分类模型计算各个工控环境对应的环境因子；
60.根据参考流量交互序列和环境因子进行安全评估，得到各个工控环境对应的安全等级向量；
61.根据安全等级向量和预设时间范围内的工控网络流量集合进行流量分类，得到对应于预设时间范围内的工控网络流量集合的工控节点安全评价指标。
62.具体地，历史流量交互序列和参考流量交互序列根据预设时间范围内来划分的。当前的预设时间范围内为第一预设时间范围，则历史流量交互序列是初始时间范围至第二预设时间范围中的数据，而参考流量交互序列是第一预设时间范围中的数据。例如，预设时间范围内为一天，当前时间在12：00，则历史流量交互序列可以是01:00到11：00的数据，而参考流量交互序列为11：00到12：00的数据。
63.服务器根据历史流量交互序列，利用对应于各个工控环境的工控环境分类模型计算各个工控环境对应的环境因子。其中，各个工控节点下的各个工控环境都会存在对应的工控环境分类模型，各个工控环境分类模型可以采用相同的模型结构，但是相互独立地进行训练。因此，若有5位工控节点和5种工控环境，则可以存在25个工控环境分类模型。将历史流量交互序列输入到各个工控环境的工控环境分类模型中，从而得到对应于各个工控环境的环境因子。
64.根据环境因子和参考流量交互序列，基于逻辑回归算法进行预测，可以得到各个工控环境下的安全等级向量。
65.最后，对于预设时间范围内的工控网络流量集合中的各个工控流量来将安全等级向量组合成更高维度的工控节点安全评价指标，该工控节点安全评价指标可以表示为a*b*c阶的矩阵，其中a表示是工控流量的数量，b表示工控节点的数量，c表示工控环境的数量。该工控节点安全评价指标通常可以是一个含有空位的向量数组。空位表示有部分工控节点在执行某些工控流量或者工控环境下没有安全等级或者没有出现在执行该工控流量或工控环境下或者该工控节点并不是执行该工控流量或者工控环境的目标工控节点。
66.在本发明的一些实施例中，基于以上技术方案，根据历史流量交互序列，利用对应于各个工控环境的工控环境分类模型计算各个工控环境对应的环境因子的步骤可以包括如下步骤：
67.根据历史流量交互序列，确定对应于各个工控节点的各个工控环境的训练流量日
志和参考流量日志；
68.获取各个工控节点的各个工控环境对应的工控环境分类模型；
69.将对应于各个工控环境的训练流量日志和参考流量日志分别输入到对应的工控环境分类模型进行训练，得到对应于各个工控环境的环境因子。
70.在本发明的一些实施例中，基于以上技术方案，将对应于各个工控环境的训练流量日志和参考流量日志分别输入到对应的工控环境分类模型进行训练，得到对应于各个工控环境的环境因子的步骤可以包括如下步骤：
71.将对应于各个工控环境的训练流量日志和参考流量日志分别输入初始分类模型中进行反向传播训练；
72.当满足预设损失函数定义时，获取当前完成的初始分类模型作为工控环境分类模型；
73.获取各个工控环境分类模型的分类结果作为对应于各个工控环境的环境因子。
74.在本发明的一些实施例中，基于以上技术方案，根据历史流量交互序列，确定对应于各个工控节点的各个工控环境的训练流量日志和参考流量日志的步骤可以包括如下步骤：
75.根据历史流量交互序列，确定预设时间范围内的工控网络流量集合中各个工控流量对应的工控环境；
76.根据各个工控流量对应工控节点和工控环境，对历史流量交互序列进行分析，得到对应于各个工控节点对应的各个工控环境的历史流量子交互序列；
77.将历史流量子交互序列中的数据切割为单一流量交互序列集和多流量交互序列集；
78.按照预置序列类型权重对单一流量交互序列集和多流量交互序列集中的数据进行汇总，得到对应于各个工控环境的训练流量日志和参考流量日志。
79.在本发明的一些实施例中，基于以上技术方案，根据历史流量交互序列，确定预设时间范围内的工控网络流量集合中各个工控流量对应的工控环境，包括如下步骤：
80.基于历史流量交互序列，对于各个工控节点，确定各个工控流量在第二预设时间范围的包括工控设备控制流量和流量交互频率，其中，第二预设时间范围为当前预设时间范围内的上一个预设时间范围内；
81.根据各个工控流量的包括工控设备控制流量和流量交互频率确定各个工控流量的工控环境；
82.若工控流量在第一预设时间范围之前未包括工控设备验证流量，确定工控流量对应的工控环境为一级安全环境；
83.若工控流量在第二预设时间范围包括工控设备验证流量，在第一预设时间范围未包括工控设备验证流量，确定工控流量对应的工控环境为二级安全环境；
84.若工控流量在第三预设时间范围包括工控设备验证流量，在第二预设时间范围未包括工控设备验证流量，在第一预设时间范围包括工控设备验证流量，确定工控流量对应的工控环境为三级安全环境；
85.若工控流量在第一预设时间范围之前包括工控设备验证流量但未包括工控设备控制流量，在第一预设时间范围包括工控设备验证流量并包括工控设备控制流量，确定工
控流量对应的工控环境为四级安全环境；
86.若工控流量在第三预设时间范围包括工控设备验证流量并包括工控设备控制流量，在第二预设时间范围包括工控设备验证流量未包括工控设备控制流量，在第一预设时间范围包括工控设备验证流量并包括工控设备控制流量，确定工控流量对应的工控环境为五级安全环境。
87.具体地，以工控节点在工控网络进行设备控制流量转发为例。一级安全环境标识构建如下：在第一预设时间范围前工控节点从来没有在该工控网络上进行过上线相关工控流量发送，但在第一预设时间范围内在该工控网络上进行了上线相关工控流量发送。表示该工控节点仅为初次上线了该工控网络且没有进行其他操作。
88.二级安全环境标识构建如下：在第二预设时间范围工控节点上线过该工控网络，且在该工控网络进行了工控设备验证流量的发送，例如，工控节点需要针对某个具体的涉密节点进行访问时的身份验证等，但在第一预设时间范围内并没有进行上线相关工控流量发送，可以表明该工控节点并没有在同一预设时间范围连续执行上线及工控设备验证流量发送的事件，可以认为是一个合理的操作流程，表示在当前的工控环境下，需要一定的安全防护功能，但还并没有直接对工控节点产生实际影响。
89.三级安全环境标识构建如下：在第三预设时间范围内工控节点上线了该工控网络，并进行了前述工控设备验证流量的发送，但在第二预设时间范围内工控节点并没有进行工控设备验证流量的发送，且在第一预设时间范围执行了工控设备验证流量，但是该工控网络上线过程中进行账号绑定、身份识别等验证操作一般不会在较短间隔再次发生，因此虽然此时并没有直接对工控节点产生实际影响，但是已经存在较大的安全隐患，因此当前的工控环境需要分为三级安全环境，以此避免可能对工控节点产生实际影响。
90.四级安全环境标识构建如下：工控节点在第一预设时间范围之前，即在第二预设时间范围或者第三预设时间范围执行了工控设备验证流量，但还没有执行过工控设备控制流量，而在第一预设时间范围执行了工控设备验证流量和工控设备控制流量，可以认为工控节点在该工控网络执行了较为正常的工控设备生产作业流程，已经直接涉及了工控节点的实际安全问题，因此当前的工控环境需要被划分为安全等级更高的四级安全环境。
91.五级安全环境标识构建如下：在第三预设时间范围工控节点上线了该工控网络，且产生了工控设备验证流量和工控设备控制流量，而在第二预设时间范围仅执行了工控设备验证流量，但在第一预设时间范围执行了工控设备验证流量以及工控设备控制流量，可以认为该工控节点可能是在仅进行了身份信息、绑定账户的权限更改后再次进行工控设备生产作业相关操作，此时工控节点的工控节点可能已经受到非法入侵，因此，当前的工控环境需要被划分为安全等级更高的五级安全环境。
92.若在第三预设时间范围包括工控设备验证流量并包括工控设备控制流量，在第二预设时间范围包括工控设备验证流量未包括工控设备控制流量，在第一预设时间范围包括工控设备验证流量并包括工控设备控制流量，确定工控流量对应的工控环境为五级安全环境。
93.在本发明的一些实施例中，基于以上技术方案，根据参考流量交互序列和环境因子进行安全评估，得到各个工控环境对应的安全等级向量，包括如下步骤：
94.获取工控环境对应的安全评估模型；
95.根据环境因子对应的工控环境，将参考流量交互序列和环境因子输入到对应的安全评估模型中，得到对应于各个工控环境的安全等级向量。
96.具体地，安全评估模型可以采用逻辑回归模型来实现。每位工控节点的工控环境对应于一个安全评估模型。该安全评估模型的输出为工控环境分类模型根据历史流量交互序列计算得到的环境因子以及要预测的参考流量交互序列，输出则为各个工控环境的安全等级向量。
97.在本发明的一些实施例中，基于以上技术方案，根据安全等级向量和预设时间范围内的工控网络流量集合进行流量分类，得到对应于预设时间范围内的工控网络流量集合的工控节点安全评价指标，包括如下的步骤：
98.基于预设时间范围内的工控网络流量集合中的工控流量在各个工控节点对应的各个工控环境下的安全等级向量，构建带有空位的安全等级向量数组，安全等级向量数组的第m行第n列为工控流量m在工控环境n的安全等级向量，空位表示工控流量与空位对应的工控环境之间无关联；
99.将安全等级向量数组输入到行为预测模型中进行空位预测，得到工控节点安全评价指标。
100.具体地，在本实施例中，在构建工控节点安全评价指标时，可以首先构造出含有空位的安全等级向量数组，安全等级向量数组的第m行第n列为工控流量m在工控环境n的安全等级向量，空位表示工控流量与空位对应的工控环境之间无关联，例如工控流量不属于对应的工控环境，诸如五级安全环境的工控流量不会存在于一级安全环境的工控环境。
101.随后，通过训练好的行为预测模型来预测安全等级向量数组中的空位，输出的结果是不含有空位的矩阵，并且将不含有空位的矩阵作为工控节点安全评价指标。
102.根据各个工控流量的安全评估结果确定对应的目标安全等级，为各个工控流量分配目标安全等级对应的安全分类标识，具体包括以下步骤：
103.根据流量滤波器对环境因子进行加权平均，得到预设时间范围内的工控网络流量集合中每个工控流量的环境因子，环境因子包括工控流量对应于各个工控节点对应的各个工控环境的概率；
104.根据每个工控流量的安全评估结果，确定各个工控环境的归属工控流量；
105.根据归属工控流量的环境因子，确定归属工控流量的安全流量要求，安全流量要求包括安全工控节点标识和对应的目标安全等级；
106.根据安全流量要求中的安全工控节点标识和对应的目标安全等级，为归属工控流量分配安全分类标识。
107.在本发明的一些实施例中，基于以上技术方案，根据预设时间范围内的工控网络流量集合对应的各个工控节点下的流量数据量和各个工控环境下的流量数据量，构建流量滤波器的步骤，包括如下的步骤：
108.根据流量交互序列，确定各个工控节点的流量数据量以及各个工控节点对应的工控环境的流量数据量；
109.根据各个工控环境的流量数据量与对应的工控节点的流量数据量的差，确定各个工控环境的初始滤波参数；
110.根据各个工控环境的初始滤波参数以及对应的工控环境，构建流量滤波器。
111.在本实施例中，流量滤波器根据工控环境的流量数据量与工控节点的流量数据量的差来确定。流量数据量通过对工控流量数据特征进行统计来确定。具体地，分别统计各个工控节点的流量数据量及各个工控节点构成的每个工控环境的流量数据量。从而得到各个工控环境的权重kmn，kmn表示第m个流量中第n个工控环境的工控流量占比，从而得到非对称流量滤波器。
112.流量特征验证样本为了能够更加清楚地描述本发明实施例提供的方案，请参考前述一级安全环境标识、二级安全环境标识、三级安全环境标识、四级安全环境标识和五级安全环境标识。
113.可以根据流量特征和工控环境标识们，构建出训练、测试、验证数据集。具体地，使用第二预设时间范围的流量特征和对应的工控环境标识构建工控流量样本，并将整体样本进行区分为单一流量和多流量。其中，单一流量进行贝叶斯目标编码处理，多流量进行去数据清洗操作等。将处理后的单一流量交互序列和多流量交互序列及工控流量样本标识，并按照预设规则分组为训练样本和测试样本，例如，可以按3:1的比例将工控流量样本分组为训练样本和测试样本。验证样本则使用第一预设时间范围的流量特征和对应的工控环境标识构建验证样本数据，并将验证样本进行区分为单一流量和多流量，处理方式与测试样本相同。
114.在得到训练样本、测试样本和验证样本后，首先将训练样本、测试样本。采用逻辑归回二分类模型对每个工控环境的训练和测试样本进行模型训练和测试，如果测评指标达到测评效果，则分别保存模型输出的模型环境因子{hmn|m＝1,2,3,4；n＝1,2,3}。其中，hmn表示第m个流量第n个工控环境的模型环境因子。
115.接着，将所得到的模型环境因子{hmn|m＝1,2,3,4；n＝1,2,3}和对应的验证样本通过lr算法进行预测，得到各个工控环境下的安全等级向量q＝{qmn|m＝1,2,3,4；n＝1,2,3}。其中，qmn表示第m个流量第n个工控环境的安全等级向量。
116.根据所得到的安全等级向量，可以构建基于“工控节点-工控流量-工控环境”三维带空位的工控节点安全评价指标。具体地，构建的过程可以通过行为预测模型来进行。该工控节点安全评价指标每一行表示每个工控节点在各个流量的各个工控环境下的安全等级向量，每一列表示该工控环境下所有工控节点的安全等级向量，空位表示有部分工控节点在执行某些工控流量或者工控环境下没有安全等级或者没有出现在执行该工控流量或工控环境下或者该工控节点并不是执行该工控流量或者工控环境的目标工控节点。
117.在各个工控环境的工控环境标识数据之后，就可以构建流量滤波器。具体地，通过统计各个工控节点的工控节点数量和各个工控环境的工控节点数量，计算各个工控环境的工控节点数量与对应工控节点的工控节点数量的比例，可以得到流量滤波器。
118.根据流量滤波器和之前计算得到的安全等级向量数组和环境因子，可以计算每个工控节点的安全评估向量数组和工控环境概率数组。具体地，对安全等级向量数组按照非对称流量滤波器进行stride为4的卷积得到每个工控节点的安全评估向量数组，根据对环境因子按照非对称流量滤波器进行stride为4的卷积得到每个工控节点在各个工控流量及对应工控环境下的工控环境概率数组。
119.基于安全评估向量数组和工控环境概率数组进行安全标识分配。具体地，基于安全评估向量数组，给定阈值，对于安全等级高于阈值的记为1，即表示目标推荐工控节点；否
则记为0，即表示非推荐工控节点。根据工控环境概率数组，得到每个工控节点在执行各个流量及对应工控环境的概率值。然后，根据各个概率值对执行多流量的多工控环境中的各个流量进行安全标识分配，并且向目标工控节点执行对应的安全策略。
120.如图2所示，本发明一种工控网络流量安全分类装置110，包括：
121.获取模块1101，用于获取预设时间范围内的工控网络流量集合的流量交互序列，预设时间范围内的工控网络流量集合中的每个工控流量对应于至少一个工控节点，每个工控节点对应于至少一个工控环境。
122.预测模块1102，用于根据流量交互序列，对各个工控节点对应的各个工控环境进行预测，得到工控节点安全评价指标，其中，工控节点安全评价指标中包括各个工控节点对应的各个工控环境对应的安全等级；根据预设时间范围内的工控网络流量集合对应的各个工控节点下的流量数据量和各个工控环境下的流量数据量，构建流量滤波器；根据流量滤波器对工控节点安全评价指标进行加权平均，得到预设时间范围内的工控网络流量集合中每个工控流量的安全评估结果，安全评估结果包括工控流量对应于各个工控节点对应的各个工控环境的安全等级。
123.分类模块1103，用于根据各个工控流量的安全评估结果确定对应的目标安全等级，为各个工控流量分配目标安全等级对应的安全分类标识。
124.在一种可能的实施方式中，流量交互序列包含历史流量交互序列和参考流量交互序列；预测模块1102具体用于：
125.根据历史流量交互序列，利用对应于各个工控环境的工控环境分类模型计算各个工控环境对应的环境因子；根据参考流量交互序列和环境因子进行安全评估，得到各个工控环境对应的安全等级向量；根据安全等级向量和预设时间范围内的工控网络流量集合进行流量分类，得到对应于预设时间范围内的工控网络流量集合的工控节点安全评价指标。
126.在一种可能的实施方式中，分类模块1103具体用于：
127.根据流量滤波器对环境因子进行加权平均，得到预设时间范围内的工控网络流量集合中每个工控流量的环境因子，环境因子包括工控流量对应于各个工控节点对应的各个工控环境的概率；根据每个工控流量的安全评估结果，确定各个工控环境的归属工控流量；根据归属工控流量的环境因子，确定归属工控流量的安全流量要求，安全流量要求中包括安全工控节点标识和对应的目标安全等级；根据安全流量要求中的安全工控节点标识和对应的目标安全等级，为归属工控流量分配安全分类标识。
128.在一种可能的实施方式中，预测模块1102进一步具体用于：
129.基于历史流量交互序列，对于各个工控节点，确定各个工控流量在第二预设时间范围的包括工控设备控制流量和流量交互频率，其中，第二预设时间范围为当前预设时间范围内的上一个预设时间范围内；根据各个工控流量的包括工控设备控制流量和流量交互频率确定各个工控流量的工控环境，其中，第一预设时间范围晚于第二预设时间范围，第二预设时间范围晚于第三预设时间范围；若存在工控流量在第一预设时间范围之前未包括工控设备验证流量，确定工控流量对应的工控环境为一级安全环境；若存在工控流量在第二预设时间范围包括工控设备验证流量，在第一预设时间范围未包括工控设备验证流量，确定工控流量对应的工控环境为二级安全环境；若存在工控流量在第三预设时间范围包括工控设备验证流量，在第二预设时间范围未包括工控设备验证流量，在第一预设时间范围包
括工控设备验证流量，确定工控流量对应的工控环境为三级安全环境；若存在工控流量在第一预设时间范围之前包括工控设备验证流量但未包括工控设备控制流量，在第一预设时间范围包括工控设备验证流量并包括工控设备控制流量，确定工控流量对应的工控环境为四级安全环境；若存在工控流量在第三预设时间范围包括工控设备验证流量并包括工控设备控制流量，在第二预设时间范围包括工控设备验证流量未包括工控设备控制流量，在第一预设时间范围包括工控设备验证流量并包括工控设备控制流量，确定工控流量对应的工控环境为五级安全环境；根据各个工控流量对应工控节点和工控环境，对历史流量交互序列进行分析，得到对应于各个工控节点对应的各个工控环境的历史流量子交互序列；将历史流量子交互序列中的数据切割为单一流量交互序列集和多流量交互序列集；按照预置序列类型权重对单一流量交互序列集和多流量交互序列集中的数据进行汇总，得到对应于各个工控环境的训练流量日志和参考流量日志；获取各个工控节点的各个工控环境对应的工控环境分类模型；将对应于各个工控环境的训练流量日志和参考流量日志分别输入到对应的工控环境分类模型进行训练，得到对应于各个工控环境的环境因子。
130.在一种可能的实施方式中，预测模块1102进一步具体用于：
131.将对应于各个工控环境的训练流量日志和参考流量日志分别输入初始分类模型中进行反向传播训练；当满足预设损失函数定义时，获取当前完成的初始分类模型作为工控环境分类模型；获取各个工控环境分类模型的分类结果作为对应于各个工控环境的环境因子。
132.在一种可能的实施方式中，预测模块1102进一步具体用于：
133.获取工控环境对应的安全评估模型；根据环境因子对应的工控环境，将参考流量交互序列和环境因子输入到对应的安全评估模型中，得到对应于各个工控环境的安全等级向量。
134.在一种可能的实施方式中，预测模块1102进一步具体用于：
135.基于预设时间范围内的工控网络流量集合中的工控流量在各个工控节点对应的各个工控环境下的安全等级向量，构建带有空位的安全等级向量数组，安全等级向量数组的第m行第n列为工控流量m在工控环境n的安全等级向量，空位表示工控流量与空位对应的工控环境之间无关联；将安全等级向量数组输入到行为预测模型中进行空位预测，得到工控节点安全评价指标。
136.在一种可能的实施方式中，预测模块1102具体用于：
137.根据流量交互序列，确定各个工控节点的流量数据量以及各个工控节点对应的工控环境的流量数据量；根据各个工控环境的流量数据量与对应的工控节点的流量数据量的差，确定各个工控环境的初始滤波参数；根据各个工控环境的初始滤波参数以及对应的工控环境，构建流量滤波器。
138.需要说明的是，前述工控网络流量安全分类装置110的实现原理可以参考前述工控网络流量安全分类方法的实现原理，在此不再赘述。应理解以上装置的各个模块的划分仅仅是一种逻辑功能的划分，实际实现时可以全部或部分集成到一个物理实体上，也可以物理上分开。且这些模块可以全部以软件通过处理元件调用的形式实现；也可以全部以硬件的形式实现；还可以部分模块通过处理元件调用软件的形式实现，部分模块通过硬件的形式实现。例如，获取模块1101可以为单独设立的处理元件，也可以集成在上述装置的某一
个芯片中实现，此外，也可以以程序代码的形式存储于上述装置的存储器中，由上述装置的某一个处理元件调用并执行以上获取模块1101的功能。其它模块的实现与之类似。此外这些模块全部或部分可以集成在一起，也可以独立实现。这里所描述的处理元件可以是一种集成电路，具有信号的处理能力。在实现过程中，上述方法的各步骤或以上各个模块可以通过处理器元件中的硬件的集成逻辑电路或者软件形式的指令完成。
139.例如，以上这些模块可以是被配置成实施以上方法的一个或多个集成电路，例如：一个或多个特定集成电路(application specific integrated circuit，asic)，或，一个或多个微处理器(digital signal processor，dsp)，或，一个或者多个现场可编程门阵列(field programmable gate array，fpga)等。再如，当以上某个模块通过处理元件调度程序代码的形式实现时，该处理元件可以是通用处理器，例如中央处理器(centralprocessing unit，cpu)或其它可以调用程序代码的处理器。再如，这些模块可以集成在一起，以片上系统(system-on-a-chip，soc)的形式实现。
140.本发明实施例提供一种计算机设备100，计算机设备100包括处理器及存储有计算机指令的非易失性存储器，计算机指令被处理器执行时，计算机设备100执行前述的工控网络流量安全分类装置110。如图3所示，图3为本发明实施例提供的计算机设备100的结构框图。计算机设备100包括工控网络流量安全分类装置110、存储器111、处理器112及通信单元113。
141.为实现数据的传输或交互，存储器111、处理器112以及通信单元113各元件相互之间直接或间接地电性连接。例如，可通过一条或多条通讯总线或信号线实现这些元件相互之间电性连接。工控网络流量安全分类装置110包括至少一个可以软件或固件(firmware)的形式存储于存储器111中或固化在计算机设备100的操作系统(operating system，os)中的软件功能模块。处理器112用于执行存储器111中存储的工控网络流量安全分类装置110，例如工控网络流量安全分类装置110所包括的软件功能模块及计算机程序等。
142.本发明实施例提供一种可读存储介质，可读存储介质包括计算机程序，计算机程序运行时控制可读存储介质所在计算机设备执行前述的工控网络流量安全分类方法。
143.出于说明目的，前面的描述是参考具体实施例而进行的。但是，上述说明性论述并不打算穷举或将本公开局限于所公开的精确形式。根据上述教导，众多修改和变化都是可行的。选择并描述这些实施例是为了最佳地说明本公开的原理及其实际应用，从而使本领域技术人员最佳地利用本公开，并利用具有不同修改的各种实施例以适于预期的特定应用。出于说明目的，前面的描述是参考具体实施例而进行的。但是，上述说明性论述并不打算穷举或将本公开局限于所公开的精确形式。根据上述教导，众多修改和变化都是可行的。选择并描述这些实施例是为了最佳地说明本公开的原理及其实际应用，从而使本领域技术人员最佳地利用本公开，并利用具有不同修改的各种实施例以适于预期的特定应用。