1.一种工控流量审计方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述方法应用于工控流量审计系统,所述工控流量审计系统包括主机和从机,所述主机接入所述工业控制网络中的上位机,所述从机旁路部署于所述工业控制网络中的下位机通信端口的镜像端口上。
3.根据权利要求1所述的方法,其特征在于,所述根据所述网络流量的工控协议,对所述网络流量进行解析,得到目标流量信息,包括:
4.根据权利要求1所述的方法,其特征在于,所述将所述网络流量的特征信息与日志文件中对应的记录信息进行比对,根据比对结果判断所述网络流量是否为上位机正常发送的流量,包括:
5.根据权利要求4所述的方法,其特征在于,所述网络流量是否存在apt攻击基于以下方式判断:
6.根据权利要求2所述的方法,其特征在于,所述基于判断结果生成对应的预警信息,包括:
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
8.一种工控流量审计装置,其特征在于,所述装置包括:
9.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的方法。
10.一种电子设备,其特征在于,包括处理器、存储器及存储在存储器上并可在处理器上运行的计算机程序,其中,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述的方法。