[发明专利]工业防火墙状态检测方法、装置、电子设备及存储介质

权利要求书

1.一种工业防火墙状态检测方法，其特征在于，包括：

根据获取工业控制系统的消息数据，对所述消息数据进行第一阶段的检测，所述第一阶段的检测包括基于预设DTMC模型对所述消息数据的状态节点的合法性检测、状态转移的合法性检测以及状态转移时间间隔的合法性检测；

基于所述第一阶段的检测，对所述消息数据进行第二阶段的检测，所述第二阶段的检测是根据工业控制系统的周期性消息数量对所述消息数据的状态转移概率的检测；

所述根据获取工业控制系统的消息数据，对所述消息数据进行第一阶段的检测之前，包括：

使用串口采集历史消息数据；

根据CPI算法，对每条历史消息数据按照六元组定义为状态事件；

根据所述历史消息数据自学习构建预设DTMC模型，所述预设DTMC模型存储有所述状态事件的状态节点信息、状态转移信息、状态转移时间间隔信息以及状态转移概率信息；

所述六元组包括：

第一元组，所述第一元组为设备从站地址；

第二元组，所述第二元组为报文请求/响应类别；

第三元组，所述第三元组为协议功能码；

第四元组，所述第四元组为协议参数数据；

第五元组，所述第五元组为校验码数据；

第六元组，所述第六元组为状态事件时间戳；

基于所述第一元组～第六元组的信息，预设协议指令序列映射的状态事件具有唯一性，所述状态事件包括状态事件出度值和状态事件入度值两个统计属性；

所述根据获取工业控制系统的消息数据，对所述消息数据进行第一阶段的检测，包括：

步骤一，对获取工业控制系统的第一条消息数据，根据已构建的所述预设DTMC模型的状态节点，使用CPI算法检测所述第一条消息数据，若未检测到，则判断所述第一条消息数据为非法状态节点；若检测到，则判断所述第一条消息数据为合法状态节点，对后续的消息数据执行步骤二；

步骤二，根据前一状态节点的后继状态节点，使用CPI算法检测当前消息数据，若未检测到，则判断所述当前消息数据为非法状态转移；若检测到，则判断所述当前消息数据为合法状态转移并执行步骤三；

步骤三，计算当前状态与前一状态的状态转移时间间隔，执行步骤四；

步骤四，将所述状态转移时间间隔的值与预设训练状态转移时间间隔的值进行比较，比较的式子如下：

其中，τ_detect为当前状态与前一状态的转移时间间隔的值，τ_train为预设训练状态转移时间间隔的值，θ_τ为时间间隔偏差阈值；

若满足所述式子，则检测出非法状态转移时间间隔。

2.根据权利要求1所述的工业防火墙状态检测方法，其特征在于，根据所述历史消息数据自学习构建预设DTMC模型，包括：

步骤一，根据状态事件的六元组定义完成预设协议指令数据到状态事件的映射，若映射成功，则直接执行步骤三，否则执行步骤二；

步骤二，根据当前消息创建新的状态事件，执行步骤三；

步骤三，更新当前状态与前一跳状态的转移关系，将前一跳状态事件出度值加1和当前状态事件入度值加1，并将当前状态事件的第六元组的值设为当前消息的时间戳，执行步骤四；

步骤四，将当前消息的时间戳与前一跳状态事件时间戳的差值作为转移时间间隔信息添加至对应的转移关系序列集合，执行步骤五；

步骤五，重复执行所述步骤一～步骤四，直至所有历史消息数据映射完毕，以实现自学习构建所述预设DTMC模型。

3.根据权利要求2所述的工业防火墙状态检测方法，其特征在于，所述步骤五之后，还包括：

对每个状态节点的转移关系有向边序列进行计算,得到状态转移概率以及状态转移时间间隔的均值；

所述状态转移概率的计算公式为：ρ＝n/N，

其中，ρ为状态转移概率，n为边序列转移次数，N为状态节点的出度值；

所述状态转移时间间隔的均值的计算公式为：δ＝τ/n，

其中，δ为状态转移时间间隔的均值，τ为状态转移时间间隔累计，n为边序列转移次数。