工业信息安全违规行为监控方法、装置、电子设备及介质与流程

本发明涉及工业信息安全领域，具体涉及工业信息安全违规行为监控方法、装置、电子设备及介质。

背景技术：

1、工控入侵检测系统是针对目前工控系统的特点，在传统入侵检测功能基础上增加了针对plc、dcs、scada等工业控制系统入侵行为检测的安全产品。系统旁路部署，实时监视网络上的数据流信息，分析网络通讯数据，通过海量的规则对网络攻击行为和其它违规网络活动进行精准匹配，从而达到发现攻击及时预警的目的。

2、相关技术中，工控系统遭到入侵以及恶意侵入的行为越来越多，然而工控系统常常因为其自身没有合适的评估方式因此很难在众多的访问过程中的进行违规行为的评估。

技术实现思路

1、因此，本发明要解决的技术问题在于克服现有技术中的缺陷，从而提供了工业信息安全违规行为监控方法、装置、电子设备及介质。

2、结合第一方面，本发明提供一种工业信息安全违规行为监控方法，所述方法包括：

3、获取工控网络的实时通信数据；

4、基于所述实时通信数据，判断所述工控网络中是否出现异常事件；

5、在所述工控网络中出现异常事件时，确定所述异常事件的所属类型；

6、基于所述所属类型，计算所述异常事件的破坏程度值，得到所述异常事件的破坏评估结果。

7、在该方式中，基于工控网络的实时通信数据，在通信数据中出现异常事件时，通过识别并确认当前异常事件的类型，计算得到当前异常事件的破坏值，将当前异常事件的破坏程度进行量化，明确当前异常事件对工控网络造成的破坏，使用户可以更为清晰地了解到当前异常事件对工控网络的破坏情况，进而可以对工控网络采取对应的修护，使得修护工作更为具体，更有针对性。进一步保护了工控系统，使工控系统免于违规行为的破坏。

8、结合第一方面，在第一方面的第一实施例中，在所述获取工控网络的实时通信数据之前，所述方法还包括：

9、在访问设备与工业以太网之间设置工控防火墙，所述工控防火墙预置有访问设备与工业以太网之间工业协议的专有协议；

10、获取当前访问设备的通信地址；

11、基于所述通信地址及所述工控防火墙，获取所述当前访问设备的专有协议；

12、基于所述专有协议，判断所述当前访问设备的工业协议是否存在异常；

13、在当前工业协议存在异常时，认定所述当前工业协议存在协议攻击行为。

14、结合第一方面，在第一方面的第二实施例中，在所述获取工控网络的实时通信数据之前，所述方法还包括：

15、建立预存数据库，所述预存数据库包括异常事件；

16、基于所述预存数据库，得到具有典型异常事件的预存文本数据特征；

17、基于所述预存文本数据特征，对所述典型异常事件进行分类，将同属于一个类型的所述典型异常事件组成若干标准特征集合。

18、结合第一方面的第二实施例，在第一方面的第三实施例中，所述确定所述异常事件的所属类型，包括：

19、对所述实时通信数据进行文本数据提取，得到所述实时通信数据的文本数据特征；

20、对所述文本数据特征进行相似度分析，确定与所述文本数据特征相似度最高的标准特征集合；

21、基于所述标准特征集合对应的异常事件所属类型，确定当前异常事件所属类型。

22、结合第一方面的第三实施例，在第一方面的第四实施例中，述基于所述所属类型，计算所述异常事件的破坏程度值，包括：

23、基于所述所属类型，获取当前异常事件对应的标准特征集合中若干不同标准类别的文本数据特征；

24、分别计算得到当前异常事件的文本数据特征与所述若干不同标准类别的文本数据特征的相似度占比系数；

25、基于所述相似度占比系数，计算得到当前异常事件的破坏程度值。

26、结合第一方面的第四实施例，在第一方面的第五实施例中，所述基于所述相似度占比系数，计算得到当前异常事件的破坏程度值，包括：

27、获取不同标准类别的对应满分数值；

28、基于不同标准类别的相似度占比系数与其对应的满分数值，计算得到当前异常事件的破坏程度值。

29、结合第一方面，在第一方面的第六实施例中，在所述得到所述异常事件的破坏评估结果之后，所述方法还包括：

30、将所述破坏评估结果发送至上位机系统，向所述上位机系统发送报警信号。

31、在本发明的第二方面，本发明还提供一种工业信息安全违规行为监控装置，所述装置包括：

32、获取单元，用于获取工控网络的实时通信数据；

33、判断单元，用于基于所述实时通信数据，判断所述工控网络中是否出现异常事件；

34、确定单元，用于在所述工控网络中出现异常事件时，确定所述异常事件的所属类型；

35、计算单元，用于基于所述所属类型，计算所述异常事件的破坏程度值，得到所述异常事件的破坏评估结果。

36、结合第二方面，在第二方面的第一实施例中，所述装置还包括：

37、防火墙设置单元，用于在访问设备与工业以太网之间设置工控防火墙，所述工控防火墙预置有访问设备与工业以太网之间工业协议的专有协议；

38、第一获取单元，用于获取当前访问设备的通信地址；

39、第二获取单元，用于基于所述通信地址及所述工控防火墙，获取所述当前访问设备的专有协议；

40、第一判断单元，用于基于所述专有协议，判断所述当前访问设备的工业协议是否存在异常；

41、协议攻击单元，用于在当前工业协议存在异常时，认定所述当前工业协议存在协议攻击行为。

42、结合第二方面，在第二方面的第二实施例中，所述装置还包括：

43、数据库建立单元，用于建立预存数据库，所述预存数据库包括异常事件；

44、文本数据特征单元，用于基于所述预存数据库，得到具有典型异常事件的预存文本数据特征；

45、分类单元，用于基于所述预存文本数据特征，对所述典型异常事件进行分类，将同属于一个类型的所述典型异常事件组成若干标准特征集合。

46、结合第二方面的第二实施例，在第二方面的第三实施例中，所述确定单元，包括：

47、提取单元，用于对所述实时通信数据进行文本数据提取，得到所述实时通信数据的文本数据特征；

48、相似度分析单元，用于对所述文本数据特征进行相似度分析，确定与所述文本数据特征相似度最高的标准特征集合；

49、类型确定单元，用于基于所述标准特征集合对应的异常事件所属类型，确定当前异常事件所属类型。

50、结合第二方面的第三实施例，在第二方面的第四实施例中，所述计算单元，包括：

51、第三获取单元，用于基于所述所属类型，获取当前异常事件对应的标准特征集合中若干不同标准类别的文本数据特征；

52、第一计算单元，用于分别计算得到当前异常事件的文本数据特征与所述若干不同标准类别的文本数据特征的相似度占比系数；

53、第二计算单元，用于基于所述相似度占比系数，计算得到当前异常事件的破坏程度值。

54、结合第二方面的第四实施例，在第二方面的第五实施例中，所述第二计算单元，包括：

55、第四获取单元，用于获取不同标准类别的对应满分数值；

56、第三计算单元，用于基于不同标准类别的相似度占比系数与其对应的满分数值，计算得到当前异常事件的破坏程度值。

57、结合第二方面，在第二方面的第六实施例中，所述装置还包括：

58、报警单元，用于将所述破坏评估结果发送至上位机系统，向所述上位机系统发送报警信号。

59、根据第三方面，本发明实施方式还提供一种电子设备，包括存储器和处理器，所述存储器和所述处理器之间互相通信连接，所述存储器中存储有计算机指令，所述处理器通过执行所述计算机指令，从而执行第一方面及其可选实施方式中任一项的工业信息安全违规行为监控方法。

60、根据第四方面，本发明实施方式还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使所述计算机执行第一方面及其可选实施方式中任一项的工业信息安全违规行为监控方法。