一种工控安全防护方法、装置、设备及介质与流程

本发明涉及网络安全，具体而言，涉及一种工控安全防护方法、装置、设备及介质。

背景技术：

1、工业控制系统(简称工控系统)广泛应用于电力、石化、交通、市政、新型智能制造等涉及国家安全的重要领域，为各种工业基础设施提供支撑，一旦遭受到网络攻击，轻则损害企业经济，重则威胁国家安全。因此，急需采取工控安全防护措施来监测工控系统的运行状态、保障工控系统的网络安全。

2、目前，工控安全防护方法主要是从宏观和微观两个角度进行：从宏观角度，对工控系统的流量进行分析和统计，挖掘出其中的周期性帮助异常检测；从微观角度，根据工控协议的关键字段配置白名单规则，采用正则匹配等方式识别待检测流量是否异常。但实际场景中工控系统往往应用了多种工控协议，采用宏观角度的工控安全防护方法，处理时间较长且异常检测准确率较低，采用微观角度的工控安全防护方法，人工难以完整准确地设定白名单规则的参数，异常检测漏报率和误报率较高。

技术实现思路

1、本发明实施例的目的在于提供一种工控安全防护方法、装置、设备及介质，用以实现全面灵活地保障工控系统的网络安全的技术效果。

2、第一方面，本发明实施例提供一种工控安全防护方法，包括：

3、获取工控系统输出的待检测流量；

4、对于所述待检测流量中的每一待检测报文，根据所述待检测报文的工控协议解析所述待检测报文，得到所述待检测报文的解析信息；

5、按照预先配置的特征维度组合，分别从每一所述待检测报文的解析信息中提取特征数据集，得到所有所述待检测报文的特征数据集；

6、基于预先建立的分类模型，根据所有所述待检测报文的特征数据集进行类别检测，并在检测到任一所述待检测报文为异常报文时进行告警。

7、在上述实现过程中，通过根据待检测流量中各个待检测报文的工控协议对应解析各个待检测报文，按照预先配置的特征维度组合从各个待检测报文的解析信息中对应提取各个待检测报文的特征数据集，基于预先建立的分类模型根据所有待检测报文的特征数据集进行异常检测和告警，可以适应工控系统灵活配置特征维度组合，对工控系统输出的待检测流量进行相应特征维度的异常检测和告警，能够全面灵活地保障工控系统的网络安全。

8、进一步地，在所述获取工控系统输出的待检测流量之前，还包括：

9、获取所述工控系统输出的镜像流量；

10、对于所述镜像流量中的每一报文，根据所述报文的工控协议解析所述报文，得到所述报文的解析信息；

11、按照所述特征维度组合，分别从每一所述报文的解析信息中提取特征数据集，得到所有所述报文的特征数据集；

12、采用所有所述报文的特征数据集训练预先建立的xgboost模型，得到所述分类模型。

13、在上述实现过程中，通过根据镜像流量中各个报文的工控协议对应解析各个报文，按照预先配置的特征维度组合从各个报文的解析信息中对应提取各个报文的特征数据集，采用所有报文的特征数据集训练预先建立的xgboost模型，得到工控系统对应的分类模型，可以适应工控系统灵活配置特征维度组合和建立工控系统对应的分类模型，能够确保全面灵活地保障工控系统的网络安全，同时提高流量异常检测效率。

14、进一步地，所述采用所有所述报文的特征数据集训练预先建立的xgboost模型，得到所述分类模型，具体包括：

15、分别将每一所述报文的特征数据集和类别标签作为一个样本，得到样本集，并按照预设比例，将所述样本集划分为训练集和测试集；

16、对所述xgboost模型进行初始化，并采用所述训练集迭代训练初始化后的xgboost模型，直至满足预设停止条件，得到训练后的xgboost模型；

17、将所述测试集输入所述训练后的xgboost模型，得到类别检测结果，并根据所述类别检测结果，确定评估指标值；

18、在所述评估指标值达标时，将所述训练后的xgboost模型作为所述分类模型；

19、在所述性能指标值未达标时，重新采用所述训练集迭代训练所述初始化后的xgboost模型。

20、在上述实现过程中，通过按照上述训练方法，采用所有报文的特征数据集训练预先建立的xgboost模型，得到工控系统对应的分类模型，能够确保全面灵活地保障工控系统的网络安全，同时提高流量异常检测效率。

21、进一步地，在所述获取工控系统输出的待检测流量之后，在所述对于所述待检测流量中的每一待检测报文，根据所述待检测报文的工控协议解析所述待检测报文，得到所述待检测报文的解析信息之前，还包括：

22、从所述待检测流量中获取所有所述待检测报文，根据各个所述待检测报文内的指纹特征对应识别各个所述待检测报文的工控协议。

23、在上述实现过程中，通过获取各个待检测报文内的指纹特征对应识别各个待检测报文的工控协议，能够保证快速准确地确定所有待检测报文的工控协议。

24、进一步地，所述根据所述待检测报文的工控协议解析所述待检测报文，得到所述待检测报文的解析信息，具体包括：

25、根据所述待检测报文的工控协议解析所述待检测报文，得到所述待检测报文的报文信息和协议信息；

26、解析所述待检测报文的报文信息，得到所述待检测报文的资产信息；

27、结合所述待检测报文的报文信息、协议信息和资产信息，得到所述待检测报文的解析信息。

28、在上述实现过程中，通过根据待检测报文的工控协议，从待检测报文中解析出报文信息、协议信息、资产信息，能够完整准确地获取各个待检测报文的解析信息。

29、进一步地，所述按照预先配置的特征维度组合，分别从每一所述待检测报文的解析信息中提取特征数据集，得到所有所述待检测报文的特征数据集，具体包括：

30、确定所述特征维度组合中的所有特征维度；

31、对于每一所述待检测报文，从所述待检测报文的解析信息中提取所有所述特征维度下的特征数据，得到所述待检测报文的特征数据集。

32、在上述实现过程中，通过按照特征维度组合中的所有种特征维度，分别从每一待检测报文的解析信息中提取所有种特征维度下的特征数据加入自身特征数据集，得到所有待检测报文的特征数据集，能够保证完整准确地获取所有待检测报文的特征数据集。

33、进一步地，所述特征维度组合是由流量维度、会话维度、指令维度、资产维度中的至少一种特征维度组合得到的。

34、在上述实现过程中，通过适应工控系统，灵活选取流量维度、会话维度、指令维度和资产维度中的至少一种特征维度配置特征维度组合，能够全面灵活地保障工控系统的网络安全。

35、第二方面，本发明实施例提供一种工控安全防护装置，包括：

36、第一流量获取模块，用于获取工控系统输出的待检测流量；

37、第一报文解析模块，用于对于所述待检测流量中的每一待检测报文，根据所述待检测报文的工控协议解析所述待检测报文，得到所述待检测报文的解析信息；

38、第一特征提取模块，用于按照预先配置的特征维度组合，分别从每一所述待检测报文的解析信息中提取特征数据集，得到所有所述待检测报文的特征数据集；

39、流量异常检测模块，用于基于预先建立的分类模型，根据所有所述待检测报文的特征数据集进行类别检测，并在检测到任一所述待检测报文为异常报文时进行告警。

40、第三方面，本发明实施例提供一种电子设备，包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序；所述存储器与所述处理器耦接，且所述处理器执行所述计算机程序时实现如上所述的工控安全防护方法。

41、第四方面，本发明实施例提供一种计算机可读存储介质，所述计算机可读存储介质包括存储的计算机程序；其中，在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行如上所述的工控安全防护方法。