[发明专利]工控网络异常检测方法、装置、电子设备及存储介质

说明书

本申请提供一种工控网络异常检测方法、装置、电子设备及存储介质，方法包括：获取设定时段内工控网络的网络流量；根据所述网络流量的不同指标，建立不同维度的工控基线；根据所述不同维度的工控基线，检测所述工控网络是否异常。这样，通过采用建立不同维度的工控基线，进而根据不同维度的工控基线，检测工控网络是否异常，这就使得可以从不同维度实现对于工控网络的异常检测，相较于仅从网络连接状态出发进行分析与告警，对于工控网络的检测更为全面，从而可以满足工控网络安全管理需求。

技术领域

本申请涉及工业控制技术领域，具体而言，涉及一种工控网络异常检测方法、装置、电子设备及存储介质。

背景技术

传统的对于工业控制系统的信息安全管理方案是，通过工业控制系统的网络连接状态来进行分析，在工业控制系统的网络连接状态异常时，进行告警；未异常时，不告警。但是，该方案检测方法单一、灵活性低，且仅是针对网络连接状态来进行分析与告警，现已不适用当前日趋智能的新工业控制的各行业领域。

发明内容

本申请实施例的目的在于提供一种工控网络异常检测方法、装置、电子设备及存储介质，用以提供一种可以满足工控网络安全管理需求的方案。

本申请实施例提供了一种工控网络异常检测方法，包括：获取设定时段内工控网络的网络流量；根据所述网络流量的不同指标，建立不同维度的工控基线；根据所述不同维度的工控基线，检测所述工控网络是否异常。

在上述实现过程中，通过采用建立不同维度的工控基线，进而根据不同维度的工控基线，检测工控网络是否异常，这就使得可以从不同维度实现对于工控网络的异常检测，相较于仅从网络连接状态出发进行分析与告警，对于工控网络的检测更为全面，从而可以满足工控网络安全管理需求。

进一步地，所述工控基线包括会话基线、流量基线、指令基线中的至少之一；所述会话基线用于限制网络连接关系的正确性；所述流量基线用于限制流量BPS(bits persecond，比特率)大小的正确性；所述指令基线用于限制工控协议指令的正确性。

由于网络连接关系、流量BPS大小、工控协议指令正确性是工控网络中，工控生产环境影响最大的三个方面，因此在上述实现过程中，通过从包含有网络连接关系、流量BPS大小、工控协议指令正确性中的至少一个维度的多个不同维度出发，对工控网络进行异常检测，可以使得检测效果更好，更满足工控网络安全管理需求。

进一步地，在所述工控基线包括会话基线时，根据所述网络流量的不同指标，建立不同维度的工控基线，包括：解析所述网络流量，得到所述网络流量中携带的源IP地址、目的IP地址和目的端口，关联所述源IP地址、目的IP地址和目的端口生成所述会话基线；

根据所述不同维度的工控基线，检测所述工控网络是否异常，包括：获取最新的网络流量；解析所述最新的网络流量，得到所述最新的网络流量中携带的最新源IP地址、最新目的IP地址和最新目的端口；若所述最新源IP地址、最新目的IP地址和最新目的端口，与所述会话基线中记载的所述源IP地址、目的IP地址和目的端口不匹配，确定所述工控网络异常。

在网络连接关系中，发明人通过对大量会话进行特征分析后发现每一条会话至少需要具有源IP地址、目的IP地址和目的端口这三要素。因此，在上述实现过程中，通过源IP地址、目的IP地址和目的端口来生成会话基线，可以有效实现对于会话的表征，从而构建出简单而有效的会话基线。

而后续基于最新的网络流量中携带的最新源IP地址、最新目的IP地址和最新目的端口，通过判断最新源IP地址、最新目的IP地址和最新目的端口是否与会话基线中记载的源IP地址、目的IP地址和目的端口匹配，即可快速判断出该最新的网络流量中的会话是否出现异常，从而在最新的网络流量中存在异常会话(即最新源IP地址、最新目的IP地址和最新目的端口，与会话基线中记载的源IP地址、目的IP地址和目的端口不匹配)时，快速确定出工控网络异常，达到对于工控网络有效的会话管控，降低工控网络安全风险。