CN114448716A - 工控安全的控制方法及电子设备、存储介质 - Google Patents

工控安全的控制方法及电子设备、存储介质 Download PDF

Info

Publication number
CN114448716A
CN114448716A CN202210190624.9A CN202210190624A CN114448716A CN 114448716 A CN114448716 A CN 114448716A CN 202210190624 A CN202210190624 A CN 202210190624A CN 114448716 A CN114448716 A CN 114448716A
Authority
CN
China
Prior art keywords
state
density
industrial control
baseline
state density
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210190624.9A
Other languages
English (en)
Other versions
CN114448716B (zh
Inventor
梁一
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qax Technology Group Inc
Secworld Information Technology Beijing Co Ltd
Original Assignee
Qax Technology Group Inc
Secworld Information Technology Beijing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qax Technology Group Inc, Secworld Information Technology Beijing Co Ltd filed Critical Qax Technology Group Inc
Priority to CN202210190624.9A priority Critical patent/CN114448716B/zh
Publication of CN114448716A publication Critical patent/CN114448716A/zh
Application granted granted Critical
Publication of CN114448716B publication Critical patent/CN114448716B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Medical Informatics (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Databases & Information Systems (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

本申请提供一种工控安全的控制方法及电子设备、存储介质,该方法包括:对目标作用域的工控流量进行解析,并将解析得到的工控状态进行缓存;根据预设的时间周期,统计所述时间周期内不同工控状态对应的状态密度信息;根据正常工作期间不同工控状态对应的状态密度规则,将所述状态密度信息与所述状态密度规则进行匹配,若不匹配,进行安全控制操作。从而可以基于状态密度的分析进行工控安全的控制,相比针对单个工控指令进行分析和告警,减少了告警次数和误报次数,降低了维护成本。

Description

工控安全的控制方法及电子设备、存储介质
技术领域
本申请涉及工业安全技术领域,特别涉及一种工控安全的控制方法及电子设备、计算机可读存储介质。
背景技术
随着互联网技术和工业控制的不断发展,在工业生产中越来越多地采用安全控制技术。
现有技术根据工控设备间的流量传输,学习不同设备的各种可能操作和参数。学习完毕后,确认完成生成对应的工控安全策略。根据工控安全策略进行分析,告警和控制。在现有技术中,主要针对单条指令是否合规的学习,在某条指令不合规时,立即进行告警。过于严格的策略,可能会造成告警数量增加,难以维护。
发明内容
本申请实施例提供了一种工控安全的控制方法,用以减少告警数量,减少误报。
本申请实施例提供了一种工控安全的控制方法,包括:
对目标作用域的工控流量进行解析,并将解析得到的工控状态进行缓存;
根据预设的时间周期,统计所述时间周期内不同工控状态对应的状态密度信息;
根据正常工作期间不同工控状态对应的状态密度规则,将所述状态密度信息与所述状态密度规则进行匹配,若不匹配,进行安全控制操作。
在一实施例中,所述工控状态包括单一状态、序列状态、元组状态以及组合元组状态中的一种或多种。
在一实施例中,所述根据预设的时间周期,统计所述时间周期内不同工控状态对应的状态密度信息,包括:
根据预设的时间周期,统计所述时间周期内每种工控状态对应的状态密度值以及状态分布函数。
在一实施例中,所述状态密度规则包括周期密度基线和密度分布函数基线;所述根据正常工作期间不同工控状态对应的状态密度规则,将所述状态密度信息与所述状态密度规则进行匹配,若不匹配,进行安全控制操作,包括:
针对每种工控状态,将所述工控状态对应的状态密度值和周期密度基线进行匹配,将所述工控状态对应的状态分布函数与所述密度分布函数基线进行匹配;
若所述状态密度值与所述周期密度基线不匹配或者所述状态分布函数与所述密度分布函数基线不匹配,进行安全控制操作。
在一实施例中,所述将所述工控状态对应的状态密度值和周期密度基线进行匹配,将所述工控状态对应的状态分布函数与所述密度分布函数基线进行匹配,包括:
若所述工控状态对应的状态密度值和所述周期密度基线之间的差距大于第一阈值,确定所述状态密度值和周期密度基线不匹配;
若所述工控状态对应的状态分布函数和所述密度分布函数基线之间的距离大于第二阈值,确定所述状态分布函数和所述密度分布函数基线不匹配。
在一实施例中,所述状态密度规则包括周期密度基线和密度分布函数基线;在所述根据正常工作期间不同工控状态对应的状态密度规则,将所述状态密度信息与所述状态密度规则进行匹配之前,所述方法还包括:
获取正常工作期间所述目标作用域内的流量数据;
对所述流量数据进行解析,学习不同工控状态对应的周期密度基线和密度分布函数基线。
在一实施例中,所述方法还包括:
若所述密度分布函数基线对应的采样次数大于第三阈值,
下个时间周期生成的周期密度基线与前一个时间周期生成的周期密度基线之间差异小于第四阈值,
下个时间周期生成的密度分布函数基线与前一个时间周期生成的密度分布函数基线之间的期望偏差小于第五阈值,
且采样总时长大于第六阈值,则所述状态密度规则学习完成。
本申请实施例还提供了一种工控安全的控制装置,所述装置包括:
数据缓存模块,用于对目标作用域的工控流量进行解析,并将解析得到的工控状态进行缓存;
数据统计模块,用于根据预设的时间周期,统计所述时间周期内不同工控状态对应的状态密度信息;
数据匹配模块,用于根据正常工作期间不同工控状态对应的状态密度规则,将所述状态密度信息与所述状态密度规则进行匹配,若不匹配,进行安全控制操作。
本申请实施例还提供了一种电子设备,所述电子设备包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为执行上述工控安全的控制方法。
本申请实施例还提供了一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序可由处理器执行以完成上述工控安全的控制方法。
本申请上述实施例提供的技术方案,通过对工控状态进行缓存,根据预设的时间周期,统计所述时间周期内不同工控状态对应的状态密度信息;根据正常工作期间不同工控状态对应的状态密度规则,将状态密度信息与状态密度规则进行匹配,若不匹配,进行安全控制操作,从而可以基于状态密度的分析进行工控安全的控制,相比针对单个工控指令进行分析和告警,减少了告警次数和误报次数,降低了维护成本。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍。
图1为本申请一实施例提供的工控安全的控制方法的应用场景示意图;
图2是本申请实施例提供的电子设备的结构示意图;
图3为本申请一实施例提供的工控安全的控制方法的流程示意图;
图4为本申请一实施例提供的一种状态分布函数的示意图;
图5为本申请一实施例提供的状态密度规则匹配的流程示意图;
图6为本申请一实施例提供的工控安全的控制方法流程示意图;
图7为本申请一实施例提供的状态密度规则的学习过程示意图;
图8为本申请一实施例提供的不同工控状态的状态密度规则的学习过程示意图;
图9为本申请一实施例提供的工控安全的控制装置的框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
请参照图1,其为本申请一实施例提供的工控安全的控制方法的应用场景示意图。该应用场景包括第一终端101、第二终端102和工业设备103,第二终端102分别连接第一终端101和工业设备103。第一终端101可以是台式电脑、笔记本电脑等智能终端。第二终端102可以是工控设备。第一终端101用于通过第二终端102向工业设备103发送工控流量。第二终端102可以执行本申请下述实施例提供的方法,对目标作用域的工控流量进行解析,并将解析得到的工控状态进行缓存;根据预设的时间周期,统计所述时间周期内不同工控状态对应的状态密度信息;根据预先学习的不同工控状态对应的状态密度规则,将所述状态密度信息与所述状态密度规则进行匹配,若不匹配,进行安全控制操作,从而减少基于单个工控指令进行判断产生的告警数量,减少误报。
请参照图2,其为本申请一实施例提供的电子设备200的结构示意图,该电子设备200可以用于执行本申请实施例提供的工控安全的控制方法。电子设备200包括:至少一个处理器203、至少一个存储器202和总线201,总线201用于实现这些组件的连接通信。电子设备200可以是主机、平板电脑等,用于执行工控安全的控制方法。
于一实施例中,存储器202可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,包括但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),静态随机存取存储器(Static Random Access Memory,SRAM),可编程只读存储器(Programmable Read-Only Memory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(ElectricErasable Programmable Read-Only Memory,EEPROM)。
于一实施例中,处理器203可以是通用处理器,包括但不限于中央处理器(CentralProcessing Unit,CPU)、网络处理器(Network Processor,NP)等,还可以是数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific IntegratedCircuit,ASIC)、现成可编程门阵列(Field Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器203也可以是任何常规的处理器等,处理器203是电子设备200的控制中心,利用各种接口和线路连接整个电子设备200的各个部分。处理器203可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。
于一实施例中,图2以一个处理器203和一个存储器202为例,处理器203和存储器202通过总线201连接,存储器202存储有可被处理器203执行的指令,指令被处理器203执行,以使电子设备200可执行下述的实施例中方法的全部流程或部分流程,以实现对工控安全的控制。
本申请实施例还提供了一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序可由处理器执行以完成下述实施例提供的工控安全的控制方法。
请参照图3,其为本申请一实施例提供的工控安全的控制方法的流程示意图,该方法可由图1所示的第二终端102执行,该方法包括步骤S310-S330。
步骤S310:对目标作用域的工控流量进行解析,并将解析得到的工控状态进行缓存。
其中,目标作用域是指工控流量采集的范围。目标作用域可以是连接控制域,即在一个网络五元组(源ip、目的ip、源端口号、目的端口号、协议类型)连接之内考虑状态的集合。目标作用域可以是区域控制域,一般是网络设备的接口为一个通讯区域考虑状态的集合。目标作用域也可以是设备控制域,即以一个网络控制或采集设备考虑状态的集合。目标作用域还可以是全网控制域,即以公司或集团网络整体考虑状态的集合。
工控流量可以由外部设备发送到工控设备,由工控设备对工控流量进行解密分析等,工控流量可以包括一个个的工业控制指令,工业控制指令可以包括操作和参数,例如加热到300度,通入氮气10分钟等。
工控状态可以包括单一状态、序列状态、元组状态以及组合元组状态中的一种或多种。
其中,单一状态是指不同的操作、不同的参数、不同的(操作、参数)组合。举例来说,“源地址x,目的地址y,操作a,参数m”是一种单一状态,简称状态1。“源地址x,目的地址y,操作b,参数f”是另一种单一状态,简称状态2,以此类推,可以有状态3、状态4……
序列状态是指将不同状态按照顺序进行排列作为一个序列化状态。举例来说,“源地址x,目的地址y,操作a,参数m;源地址x,目的地址y,操作b,参数f;源地址x,目的地址y,操作c,参数r”是一个序列状态,简称序列状态1,以此类推,可以有序列状态2,序列状态3……
元组状态是指不考虑顺序,只要在一起先后出现,例如“状态1,状态2,序列状态1”成组出现,可以称为元组状态1,以此类推,可以有元组状态2、元组状态3……
组合元组状态是指单一状态、序列状态和元组状态组合出现,例如“状态10,序列状态2,(状态1,状态2,序列状态1)”可以称为组合元组状态1,以此类推,可以有组合元组状态2、组合元组状态3……组合元组状态可以设定严格顺序或非严格顺序。以上几个类型,是递进强化关系。以上,状态1,状态2……序列状态1、序列状态2…元组状态1、元组状态2……组合元组状态1、组合元组状态2……可以认为是不同的工控状态。
步骤S320:根据预设的时间周期,统计所述时间周期内不同工控状态对应的状态密度信息。
其中,时间周期是指进行状态密度统计的时间长度,例如可以是1小时,6小时,12小时或24小时。状态密度信息用于表征某个状态出现的次数多少以及分布情况。在一实施例中,状态密度信息可以包括状态密度值以及状态分布函数,工控设备可以根据预设的时间周期,统计所述时间周期内每种工控状态对应的状态密度值以及状态分布函数。
其中,状态密度值用于表征某个状态在一个时间周期内出现的次数,可以用ρ表示,例如:每1小时,状态1出现了50次,状态1的状态密度值ρ等于50。状态分布函数用于表征在一个时间周期内某个状态的分布情况,可以用f(t)表示。图4是一种状态分布函数的示意图。如图4所示,横坐标代表时间t,分析粒度D比如,是1分钟,2分钟,5分钟等。纵坐标采用粒度的状态出现的次数,比如:上图中,8分钟是,出现2次代表着7到9分钟时,总共有2次出现。其中,t时刻的状态出现次数统计,是(t-D,t+D)这段时间内,出现的次数。这样以便统计分布情况,某个时间点密度越大,代表这个时刻附近出现的状态次数越多。
假设状态1在一个小时内出现了50次,50次在这一小时内出现的位置集中度情况,如图4所示,随着时间推进,状态出现的次数按照1、2、1、0、1、2、1、0这样的规律分布。
步骤S330:根据正常工作期间不同工控状态对应的状态密度规则,将所述状态密度信息与所述状态密度规则进行匹配,若不匹配,进行安全控制操作。
其中,状态密度规则是设备正常运行期间(未出现安全问题)学习到的每种工控状态的状态密度信息,为与测试阶段统计得到的状态密度信息进行区分,称为状态密度规则。
针对每种工控状态,可以将该工控状态对应的状态密度信息与该工控状态对应的状态密度规则进行相似度匹配,如果测试阶段得到的每种工控状态的状态密度信息与正常运行时每种工控状态的状态密度规则近似,则可以认为工控状态未出现异常,如果不近似,可以认为出现异常。安全控制操作可以是拦截工控流量下发到下游的工业设备,并进行告警。
本申请上述实施例提供的技术方案,通过对工控状态进行缓存,根据预设的时间周期,统计所述时间周期内不同工控状态对应的状态密度信息;根据正常工作期间不同工控状态对应的状态密度规则,将状态密度信息与状态密度规则进行匹配,若不匹配,进行安全控制操作,从而可以基于状态密度的分析进行工控安全的控制,相比针对单个工控指令进行分析和告警,减少了告警次数和误报次数,降低了维护成本。
为与测试阶段统计得到的状态密度值以及状态分布函数进行区分,状态密度规则中的状态密度值可以称为周期密度基线,状态密度规则中的状态分布函数可以称为密度分布函数基线。
在一实施例中,上述步骤S330具体包括:针对每种工控状态,将所述工控状态对应的状态密度值和周期密度基线进行匹配,将所述工控状态对应的状态分布函数与所述密度分布函数基线进行匹配;若所述状态密度值与所述周期密度基线不匹配或者所述状态分布函数与所述密度分布函数基线不匹配,进行安全控制操作。
在一实施例中,若所述工控状态对应的状态密度值和所述周期密度基线之间的差距大于第一阈值,确定所述状态密度值和周期密度基线不匹配;若所述工控状态对应的状态分布函数和所述密度分布函数基线之间的距离大于第二阈值,确定所述状态分布函数和所述密度分布函数基线不匹配。
状态密度值可以用ρ表示,周期密度基线可以用ρb表示;状态分布函数可以用f(t)表示,密度分布函数基线可以用g(t)表示。
状态密度值和所述周期密度基线之间的差距可以用下述公式(1)计算得到:
L=|ρ-ρb| (1)
其中,状态分布函数和所述密度分布函数基线之间的距离可以用下述公式(2)计算得到:
Figure BDA0003524415450000111
L大于第一阈值或Lt(0,1,2,3,m)大于第二阈值,则表示该工控状态的状态密度信息与预先学习到的状态密度规则不匹配,进行告警提示或阻断工控流量的下发。相反的,L小于等于第一阈值且Lt(0,1,2,3,m)小于等于第二阈值,才认为状态密度信息与预先学习到的状态密度规则匹配,工控流量通过后续处理。
由于工控状态包括单一状态、序列状态、元组状态以及组合元组状态中的一种或多种,如图5所示,可以先进行单一状态的状态密度信息与密状态度规则的比对,如果比对成功(即匹配),则进行序列状态的状态密度信息与状态密度规则的比对,如果比对成功,则进行元组状态的状态密度信息与状态密度规则的比对,如果比对成功,则进行组合元组状态的状态密度信息与状态密度规则的比对,如果比对成功,流量通过后续处理。相反的,在每次比对不成功(即不匹配)时,进行告警或阻断;
在上述步骤S330之前,本申请实施例提供的方法还包括:获取正常工作期间所述目标作用域内的流量数据;对所述流量数据进行解析,学习不同工控状态对应的状态密度规则,状态密度规则包括周期密度基线和密度分布函数基线。
具体的,可以通过统计正常工作期间每种工控状态的状态密度值和状态分布函数,作为每种工控状态的周期密度基线和密度分布函数基线。密度学习阶段,会不断读取工控流量,获取全面信息,不断计算如下结果:基于几个预设的时间周期,获得每个时间点出现的聚集度分布(参见上文状态分布函数),并进行函数拟合,不断迭代,获得密度分布函数基线g(x)。基于几个预设的时间周期,统计某个状态在每个时间周期的出现次数的平均值,作为周期密度基线ρb。
如图6所示,在学习阶段,要对工控流量进行解析,学习不同工控状态的状态密度规则。在告警防护阶段,将学习到的状态密度规则与当前阶段的状态密度信息进行匹配,匹配成功,则流量通过;如果不匹配,则告警处理。
在一实施例中,若所述密度分布函数基线对应的采样次数大于第三阈值,下个时间周期生成的周期密度基线与前一个时间周期生成的周期密度基线之间差异小于第四阈值,下个时间周期生成的密度分布函数基线与前一个时间周期生成的密度分布函数基线之间的期望偏差小于第五阈值,且采样总时长大于第六阈值,则所述状态密度规则学习完成。
也就是说,上述四个目标均达到,则表示状态密度规则学习完成。第一个目标,密度分布函数基线对应的采样次数大于第三阈值,表示某个状态的采集次数达到目标次数,从而避免样本数量不足,密度分布函数基线不准确。
第二个目标,下个时间周期生成的周期密度基线与前一个时间周期生成的周期密度基线之间差异小于第四阈值;具体的,用ρn+1表示前n+1次的ρ平均值;用ρn表示前n次的ρ平均值;L=|ρn+1n|,若L小于某个设定的阈值(即第三阈值),则ρb(周期基线密度)=ρn+1
第三个目标,下个时间周期生成的密度分布函数基线与前一个时间周期生成的密度分布函数基线之间的期望偏差小于第五阈值,具体的,在设置的时间周期内(每小时,天,周等),状态密度曲线变化率,为f(t)函数。在下一个T的时间周期内,状态密度曲线前后未发生明显变化,未超过某个阈值,则第三个目标达成。
假设用于Fn+1(t)表示n+1次统计周期计算的f(x);用Fn表示前n次统计周期计算拟合的f(x),计算
Figure BDA0003524415450000131
如果Lt小于某个设定的阈值(即第五阈值),则密度分布函数基线g(x)=fn+1(x)。
第四个目标,采样总时长大于第六阈值,也就是状态的采集时长足够长,达到目标时长。
如图7所示,在学习阶段,流量进入工控设备后,对解析得到的工控状态进行缓存;然后分析状态密度,生成状态密度规则;如果状态密度确定完成即上述目标二和目标三达成,继续判断采集时间是否达标,即目标四是否达成,如果达成,继续判断目标一,状态数量样本是否达标,如果均达标,则状态密度规则学习完成。任意一个目标未达成,则继续进行流量解析。
由于工控状态包括单一状态、序列状态、元组状态以及组合元组状态中的一种或多种,如图8所示,可以先进对单一状态进行密度分析,学习单一状态的状态密度规则,直到符合策略生成的全部条件(即上述四个目标均达成);继续进行序列状态的密度分析,学习序列状态的状态密度规则,直到符合策略生成的全部条件;之后进行元组状态的密度分析,学习元组状态的状态密度规则,直到符合策略生成的全部条件;然后进行组合元组状态的密度分析,学习组合元组状态的状态密度规则,直到符合策略生成的全部条件,完成不同工控状态的状态密度规则的学习。
在一实施例中,还可以对状态密度规则进行编辑。当需要针对出现的提示、告警、阻断信息,再经客户人工验证,需要追加此策略进入“工控白名单”;针对此场景,可以对状态密度策略进行编辑,将现有的当前状态密度分布函数f(t),和之前的密度分布函数基线g(t)做整合处理,例如可以简单采用算术平均法,算出新的密度分布函数基线g’(t)和新的周期密度基线ρ’b,如下述公式所示。
Figure BDA0003524415450000141
Figure BDA0003524415450000142
下述为本申请装置实施例,可以用于执行本申请上述工控安全的控制方法实施例。对于本申请装置实施例中未披露的细节,请参照本申请工控安全的控制方法实施例。
图9为本申请一实施例示出的工控安全的控制装置的框图。如图9所示,该装置包括:数据缓存模块910、数据统计模块920以及数据匹配模块930。
数据缓存模块910,用于对目标作用域的工控流量进行解析,并将解析得到的工控状态进行缓存;
数据统计模块920,用于根据预设的时间周期,统计所述时间周期内不同工控状态对应的状态密度信息;
数据匹配模块930,用于根据正常工作期间不同工控状态对应的状态密度规则,将所述状态密度信息与所述状态密度规则进行匹配,若不匹配,进行安全控制操作。
上述装置中各个模块的功能和作用的实现过程具体详见上述工控安全的控制方法中对应步骤的实现过程,在此不再赘述。
在本申请所提供的几个实施例中,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

Claims (10)

1.一种工控安全的控制方法,其特征在于,包括:
对目标作用域的工控流量进行解析,并将解析得到的工控状态进行缓存;
根据预设的时间周期,统计所述时间周期内不同工控状态对应的状态密度信息;
根据正常工作期间不同工控状态对应的状态密度规则,将所述状态密度信息与所述状态密度规则进行匹配,若不匹配,进行安全控制操作。
2.根据权利要求1所述的方法,其特征在于,所述工控状态包括单一状态、序列状态、元组状态以及组合元组状态中的一种或多种。
3.根据权利要求1所述的方法,其特征在于,所述根据预设的时间周期,统计所述时间周期内不同工控状态对应的状态密度信息,包括:
根据预设的时间周期,统计所述时间周期内每种工控状态对应的状态密度值以及状态分布函数。
4.根据权利要求3所述的方法,其特征在于,所述状态密度规则包括周期密度基线和密度分布函数基线;所述根据正常工作期间不同工控状态对应的状态密度规则,将所述状态密度信息与所述状态密度规则进行匹配,若不匹配,进行安全控制操作,包括:
针对每种工控状态,将所述工控状态对应的状态密度值和周期密度基线进行匹配,将所述工控状态对应的状态分布函数与所述密度分布函数基线进行匹配;
若所述状态密度值与所述周期密度基线不匹配或者所述状态分布函数与所述密度分布函数基线不匹配,进行安全控制操作。
5.根据权利要求4所述的方法,其特征在于,所述将所述工控状态对应的状态密度值和周期密度基线进行匹配,将所述工控状态对应的状态分布函数与所述密度分布函数基线进行匹配,包括:
若所述工控状态对应的状态密度值和所述周期密度基线之间的差距大于第一阈值,确定所述状态密度值和周期密度基线不匹配;
若所述工控状态对应的状态分布函数和所述密度分布函数基线之间的距离大于第二阈值,确定所述状态分布函数和所述密度分布函数基线不匹配。
6.根据权利要求1所述的方法,其特征在于,所述状态密度规则包括周期密度基线和密度分布函数基线;在所述根据正常工作期间不同工控状态对应的状态密度规则,将所述状态密度信息与所述状态密度规则进行匹配之前,所述方法还包括:
获取正常工作期间所述目标作用域内的流量数据;
对所述流量数据进行解析,学习不同工控状态对应的周期密度基线和密度分布函数基线。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
若所述密度分布函数基线对应的采样次数大于第三阈值,
下个时间周期生成的周期密度基线与前一个时间周期生成的周期密度基线之间差异小于第四阈值,
下个时间周期生成的密度分布函数基线与前一个时间周期生成的密度分布函数基线之间的期望偏差小于第五阈值,
且采样总时长大于第六阈值,则所述状态密度规则学习完成。
8.一种工控安全的控制装置,其特征在于,包括:
数据缓存模块,用于对目标作用域的工控流量进行解析,并将解析得到的工控状态进行缓存;
数据统计模块,用于根据预设的时间周期,统计所述时间周期内不同工控状态对应的状态密度信息;
数据匹配模块,用于根据正常工作期间不同工控状态对应的状态密度规则,将所述状态密度信息与所述状态密度规则进行匹配,若不匹配,进行安全控制操作。
9.一种电子设备,其特征在于,所述电子设备包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为执行权利要求1-7任意一项所述的工控安全的控制方法。
10.一种计算机可读存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序可由处理器执行以完成权利要求1-7任意一项所述的工控安全的控制方法。
CN202210190624.9A 2022-02-28 2022-02-28 工控安全的控制方法及电子设备、存储介质 Active CN114448716B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210190624.9A CN114448716B (zh) 2022-02-28 2022-02-28 工控安全的控制方法及电子设备、存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210190624.9A CN114448716B (zh) 2022-02-28 2022-02-28 工控安全的控制方法及电子设备、存储介质

Publications (2)

Publication Number Publication Date
CN114448716A true CN114448716A (zh) 2022-05-06
CN114448716B CN114448716B (zh) 2024-06-21

Family

ID=81374071

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210190624.9A Active CN114448716B (zh) 2022-02-28 2022-02-28 工控安全的控制方法及电子设备、存储介质

Country Status (1)

Country Link
CN (1) CN114448716B (zh)

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107612733A (zh) * 2017-09-19 2018-01-19 杭州安恒信息技术有限公司 一种基于工控系统的网络审计和监测方法及其系统
CN109743187A (zh) * 2018-11-23 2019-05-10 北京奇安信科技有限公司 工控网络异常检测方法及装置
CN110445770A (zh) * 2019-07-18 2019-11-12 平安科技(深圳)有限公司 网络攻击源定位及防护方法、电子设备及计算机存储介质
CN110650060A (zh) * 2019-10-16 2020-01-03 中国联合网络通信集团有限公司 流量告警的处理方法、设备及存储介质
CN111245779A (zh) * 2019-12-17 2020-06-05 北京威努特技术有限公司 一种工控防火墙告警消息合并方法及装置
CN112564951A (zh) * 2020-11-27 2021-03-26 广东电网有限责任公司广州供电局 一种规避告警风暴的方法、装置、计算机设备和存储介质
CN112667475A (zh) * 2020-12-30 2021-04-16 广州力挚网络科技有限公司 一种风险通知方法、装置、电子设备及存储介质
CN113518020A (zh) * 2021-09-13 2021-10-19 苏州浪潮智能科技有限公司 一种断线回报侦测方法、装置、设备及可读存储介质
CN113671287A (zh) * 2021-08-16 2021-11-19 广东电力通信科技有限公司 电网自动化终端智能检测方法、系统和可读存储介质
CN113687969A (zh) * 2021-07-29 2021-11-23 济南浪潮数据技术有限公司 告警信息生成方法、装置、电子设备及可读存储介质
CN113778026A (zh) * 2021-07-30 2021-12-10 苏州集云云信息科技有限公司 一种基于工业物联网的监控方法及系统

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107612733A (zh) * 2017-09-19 2018-01-19 杭州安恒信息技术有限公司 一种基于工控系统的网络审计和监测方法及其系统
CN109743187A (zh) * 2018-11-23 2019-05-10 北京奇安信科技有限公司 工控网络异常检测方法及装置
CN110445770A (zh) * 2019-07-18 2019-11-12 平安科技(深圳)有限公司 网络攻击源定位及防护方法、电子设备及计算机存储介质
CN110650060A (zh) * 2019-10-16 2020-01-03 中国联合网络通信集团有限公司 流量告警的处理方法、设备及存储介质
CN111245779A (zh) * 2019-12-17 2020-06-05 北京威努特技术有限公司 一种工控防火墙告警消息合并方法及装置
CN112564951A (zh) * 2020-11-27 2021-03-26 广东电网有限责任公司广州供电局 一种规避告警风暴的方法、装置、计算机设备和存储介质
CN112667475A (zh) * 2020-12-30 2021-04-16 广州力挚网络科技有限公司 一种风险通知方法、装置、电子设备及存储介质
CN113687969A (zh) * 2021-07-29 2021-11-23 济南浪潮数据技术有限公司 告警信息生成方法、装置、电子设备及可读存储介质
CN113778026A (zh) * 2021-07-30 2021-12-10 苏州集云云信息科技有限公司 一种基于工业物联网的监控方法及系统
CN113671287A (zh) * 2021-08-16 2021-11-19 广东电力通信科技有限公司 电网自动化终端智能检测方法、系统和可读存储介质
CN113518020A (zh) * 2021-09-13 2021-10-19 苏州浪潮智能科技有限公司 一种断线回报侦测方法、装置、设备及可读存储介质

Also Published As

Publication number Publication date
CN114448716B (zh) 2024-06-21

Similar Documents

Publication Publication Date Title
CN111984503B (zh) 一种监控指标数据异常数据识别的方法及装置
CN109032829B (zh) 数据异常检测方法、装置、计算机设备及存储介质
CN113556258B (zh) 一种异常检测方法及装置
CN104811344B (zh) 网络动态业务监控方法及装置
CN110874674B (zh) 一种异常检测方法、装置及设备
CN110471821B (zh) 异常变更检测方法、服务器及计算机可读存储介质
CN113518011A (zh) 异常检测方法和装置、电子设备及计算机可读存储介质
CN105656693A (zh) 一种基于回归的信息安全异常检测的方法及系统
CN112152833B (zh) 一种网络异常报警方法、装置及电子设备
Wagner et al. Timesead: Benchmarking deep multivariate time-series anomaly detection
CN115514581B (zh) 一种用于工业互联网数据安全平台的数据分析方法及设备
CN116701130A (zh) 基于指标画像的动态基线优化方法、装置及电子设备
CN113645215B (zh) 异常网络流量数据的检测方法、装置、设备及存储介质
CN114037010A (zh) 一种电量数据异常的识别方法及装置
CN118176499A (zh) 一种三元正极材料粉碎粒度预测方法及装置
Fu et al. SPC methods for nonstationary correlated count data with application to network surveillance
CN114448716A (zh) 工控安全的控制方法及电子设备、存储介质
CN114967613B (zh) 一种具有多传感器的生产设备状态监测方法和装置
CN108959415B (zh) 一种异常维度定位方法、装置及电子设备
CN111507397B (zh) 一种异常数据的分析方法及装置
CN111199419B (zh) 股票异常交易的识别方法及系统
CN114584391A (zh) 异常流量处理策略的生成方法、装置、设备及存储介质
CN111651503A (zh) 一种配电网数据异常识别方法、系统及终端设备
CN114328150A (zh) 工业安全的控制方法及电子设备、存储介质
Lou et al. Robust preliminary-summation-based principal component analysis for non-Gaussian processes with outliers

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant