[发明专利]工业信息安全违规行为监控方法、装置、电子设备及介质

权利要求书

1.一种工业信息安全违规行为监控方法，其特征在于，所述方法包括：

获取工控网络的实时通信数据；

基于所述实时通信数据，判断所述工控网络中是否出现异常事件；

在所述工控网络中出现异常事件时，确定所述异常事件的所属类型；

基于所述所属类型，计算所述异常事件的破坏程度值，得到所述异常事件的破坏评估结果。

2.根据权利要求1所述的方法，其特征在于，在所述获取工控网络的实时通信数据之前，所述方法还包括：

在访问设备与工业以太网之间设置工控防火墙，所述工控防火墙预置有访问设备与工业以太网之间工业协议的专有协议；

获取当前访问设备的通信地址；

基于所述通信地址及所述工控防火墙，获取所述当前访问设备的专有协议；

基于所述专有协议，判断所述当前访问设备的工业协议是否存在异常；

在当前工业协议存在异常时，认定所述当前工业协议存在协议攻击行为。

3.根据权利要求1所述的方法，其特征在于，在所述获取工控网络的实时通信数据之前，所述方法还包括：

建立预存数据库，所述预存数据库包括异常事件；

基于所述预存数据库，得到具有典型异常事件的预存文本数据特征；

基于所述预存文本数据特征，对所述典型异常事件进行分类，将同属于一个类型的所述典型异常事件组成若干标准特征集合。

4.根据权利要求3所述的方法，其特征在于，所述确定所述异常事件的所属类型，包括：

对所述实时通信数据进行文本数据提取，得到所述实时通信数据的文本数据特征；

对所述文本数据特征进行相似度分析，确定与所述文本数据特征相似度最高的标准特征集合；

基于所述标准特征集合对应的异常事件所属类型，确定当前异常事件所属类型。

5.根据权利要求4所述的方法，其特征在于，所述基于所述所属类型，计算所述异常事件的破坏程度值，包括：

基于所述所属类型，获取当前异常事件对应的标准特征集合中若干不同标准类别的文本数据特征；

分别计算得到当前异常事件的文本数据特征与所述若干不同标准类别的文本数据特征的相似度占比系数；

基于所述相似度占比系数，计算得到当前异常事件的破坏程度值。

6.根据权利要求5所述的方法，其特征在于，所述基于所述相似度占比系数，计算得到当前异常事件的破坏程度值，包括：

获取不同标准类别的对应满分数值；

基于不同标准类别的相似度占比系数与其对应的满分数值，计算得到当前异常事件的破坏程度值。

7.根据权利要求1所述的方法，其特征在于，在所述得到所述异常事件的破坏评估结果之后，所述方法还包括：

将所述破坏评估结果发送至上位机系统，向所述上位机系统发送报警信号。

8.一种工业信息安全违规行为监控装置，其特征在于，所述装置包括：

获取单元，用于获取工控网络的实时通信数据；

判断单元，用于基于所述实时通信数据，判断所述工控网络中是否出现异常事件；

确定单元，用于在所述工控网络中出现异常事件时，确定所述异常事件的所属类型；

计算单元，用于基于所述所属类型，计算所述异常事件的破坏程度值，得到所述异常事件的破坏评估结果。

9.一种电子设备，其特征在于，包括存储器和处理器，所述存储器和所述处理器之间互相通信连接，所述存储器中存储有计算机指令，所述处理器通过执行所述计算机指令，从而执行权利要求1-7中任一项所述的工业信息安全违规行为监控方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使所述计算机执行权利要求1-7中任一项所述的工业信息安全违规行为监控方法。