基于工业互联网的工控安全审计系统及其方法与流程

1.本发明涉及工业互联网信息安全技术领域，尤其涉及一种基于工业互联网的工控安全审计系统及其方法。


背景技术：

2.随着我国工业信息化的快速推进，工业化与信息化的融合趋势越来越明显，工业控制系统也在利用最新的计算机网络技术来提高系统间的集成、互联以及信息化管理水平。未来为了提高生产效率和效益，工控网络会越来越开放，工业控制系统也随之相对变得更加脆弱，各种网络攻击事件日益增多，暴露出工业控制系统在安全防护方面的严重不足。例如：伊朗布什尔核电站的工业控制系统被u盘摆渡方式入侵，震网病毒通过对离心机的驱动参数进行篡改，导致离心机转轴被加速突然静停的巨大扭力损害。
3.目前传统的安全审计系统缺乏对工业控制协议全面解析的能力，对用户操作、工控网络行为、动作指令下发的审计措施，导致安全事故分析取证困难。另外，部分工业控制网络不具备审计功能或者虽有日志审计功能但系统的性能要求决定了它不能开启审计功能。


技术实现要素：

4.本发明提供一种基于工业互联网的工控安全审计系统及其方法，用以解决现有技术中缺乏对工业通信准确识别和解析的缺陷，实现加强和提升工业互联网的安全审计防护能力，对工业互联网的异常行为、协议攻击、关键事件进行实时监测，及时发现内部违规事件，事后为安全事故和故障调查提供详实的记录。
5.本发明提供一种基于工业互联网的工控安全审计系统，包括工业数据采集模块、工业协议识别模块、工业协议提取模块和工业数据审计模块；
6.所述工业数据采集模块，用于从工业互联网获取工控数据包；
7.所述工业协议识别模块，用于根据协议识别知识库对所述工控数据包进行识别，确定所述工控数据包的通信协议；
8.所述工业协议提取模块，用于根据所述工控数据包的通信协议和协议解析知识库对所述工控数据包进行解析，获取目标数据；
9.所述工业数据审计模块，用于对所述目标数据进行安全审计，获取审计结果。
10.根据本发明提供的一种基于工业互联网的工控安全审计系统，所述工业数据采集模块还用于：
11.对所述工控数据包进行数据流分析。
12.根据本发明提供的一种基于工业互联网的工控安全审计系统，所述工业协议识别模块包括：
13.特征提取单元，用于获取所述工控数据包的报头特征信息；
14.协议识别单元，用于若基于所述协议识别知识库确定所述工控数据包的报头特征
信息为目标特征信息，则将所述工控数据包输入至分类模型，获取所述工控数据包的通信协议；
15.其中，所述分类模型，是基于工控数据包样本以及预先确定的通信协议进行训练后得到的。
16.根据本发明提供的一种基于工业互联网的工控安全审计系统，所述工业协议提取模块包括：
17.协议分类单元，用于确定所述通信协议的类型；
18.行为特征提取单元，用于若所述通信协议类型为目标类型，则将所述工控数据包输入至语义分割识别模型，获取所述工控数据包的行为特征数据；
19.其中，所述语义分割识别模型，是基于通信协议样本以及预先确定的分割字段进行训练后得到的；所述目标数据包括所述工控数据包的行为特征数据。
20.根据本发明提供的一种基于工业互联网的工控安全审计系统，所述工业协议提取模块还包括：
21.会话特征提取单元，用于基于所述工控数据包，获取所述工控数据包的会话特征数据；
22.其中，所述目标数据还包括所述工控数据包的会话特征数据。
23.根据本发明提供的一种基于工业互联网的工控安全审计系统，所述工业数据审计模块包括：
24.第一检测单元，用于在所述目标数据与目标列表中的任一特征数据均相似的情况下，确定所述工控数据包对应的通信行为为异常行为并告警。
25.根据本发明提供的一种基于工业互联网的工控安全审计系统，所述工业数据审计模块还包括：
26.第二检测单元，用于在所述目标数据与所述目标列表中的每一特征数据均不相似的情况下，将所述目标数据输入至工控通信检测模型，确定所述工控数据包对应的通信行为为异常行为并告警；
27.列表更新单元，用于将所述目标数据作为新的特征数据，添加至所述目标列表中；
28.其中，所述工控通信检测模型是基于协议数据样本以及预先确定的所述协议数据样本的标签进行人工智能算法自学习后得到的。
29.本发明还提供一种基于工业互联网的工控安全审计方法，包括：
30.从工业互联网获取工控数据包；
31.根据协议识别知识库对所述工控数据包进行识别，确定所述工控数据包的通信协议；
32.根据所述工控数据包的通信协议和协议解析知识库对所述工控数据包进行解析，获取目标数据；
33.对所述目标数据进行安全审计，获取审计结果。
34.本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上所述基于工业互联网的工控安全审计方法的步骤。
35.本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算
机程序被处理器执行时实现如上所述基于工业互联网的工控安全审计方法的步骤。
36.本发明提供的基于工业互联网的工控安全审计系统及其方法，基于高速采集大流量工控数据，并基于深度学习准确识别出工控通信协议后，进行深度解析，通过解析结果获取审计结果，从而对整个工控网络的数据信息进行监测和审计。能够实时检测针对工业协议的违规操作并实时报警，加强和提升工业控制网络的安全审计防护能力。进一步地，还能够快速、准确、详实地记录一切工业互联网的通信行为，方便事故调查的追溯。
附图说明
37.为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
38.图1是本发明提供的基于工业互联网的工控安全审计系统的结构示意图；
39.图2是本发明提供的基于工业互联网的工控安全审计方法的流程示意图；
40.图3是本发明提供的电子设备的结构示意图。
具体实施方式
41.为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
42.图1是本发明提供的基于工业互联网的工控安全审计系统的结构示意图。如图1所示，本发明实施例提供的基于工业互联网的工控安全审计系统，包括工业数据采集模块110、工业协议识别模块120、工业协议提取模块130和工业数据审计模块140。
43.具体地，基于工业互联网的工控安全审计系统至少包括工业数据采集模块110、工业协议识别模块120、工业协议提取模块130和工业数据审计模块140，各模块按照先后顺序依次交互。
44.优选地，在工业数据审计模块140之后，基于工业互联网的工控安全审计系统还包括数据存储模块，该模块将系统中的记录日志、流量统计结果、审计结果及其它重要信息全部记入数据库中存储，方便后续查找检索使用。
45.工业数据采集模块110，用于从工业互联网获取工控数据包。
46.需要说明的是，工业互联网是全球工业系统与高级计算、分析、感应技术以及互联网连接融合的一种结果。
47.工业互联网的本质是通过开放的、全球化的工业级网络平台把设备、生产线、工厂、供应商、产品和客户紧密地连接和融合起来，但工业现场的设备种类繁多，各种工业总线协议并存，这也就导致了相较于传统互联网，工业互联的数据采集更具有难度。
48.工控数据包，是协议通信传输中的数据单位。将对工业现场的设备进行的单个行为操作消息被划分为多个数据块，由这些数据块组合成为工控数据包。其中，工控数据包至少包含发送者和接收者的地址信息。
49.具体地，工业数据采集模块110可以通过网卡抓取在工业互联网中传输的工控数据包。
50.工控数据包，用于传输至工业协议识别模块120进行通信协议的识别。
51.优选地，工业数据采集模块110采用dpdk多核技术和零拷贝技术获取工控数据包。
52.其中，数据平面开发套件(dpdk，data plane development kit)用于快速数据包处理的函数库与驱动集合，可以极大提高数据处理性能和吞吐量，提高数据平面应用程序的工作效率。
53.工业协议识别模块120，用于根据协议识别知识库对工控数据包进行识别，确定工控数据包的通信协议。
54.需要说明的是，在根据协议识别知识库对工控数据包进行识别之前，需要通过对比上位机与工控数据包的报头特征信息，获取报头特征信息的类型。不同类型的报头特征信息可以将通信协议按照属性分为如下三类：
55.(1)已经公开标准格式的工控通信协议；
56.(2)设备使用方自开发的工控通信协议，若系统研发与维护过程中授权相关涉及人员使用，该通信协议的属性视作同(1)，称其为授权工控通信协议，否则视作同(3)；
57.(3)未知的私有工控通信协议，主要涉及工业设备提供厂商因隐私保护或版权授权等因素导致的不能提供工控通信协议的格式说明。
58.具体地，工业协议识别模块120采用不同类型的协议识别知识库对具有不同通信协议属性的工控数据包进行识别，获取该工控数据包的通信协议，并将确定通信协议的工控数据包发送至工业协议提取模块130。
59.可选地，通过获取到的报头特征信息，若获知该工控数据包的通信协议的属性为第(1)类和第(2)类，则通过对工控数据包的报头字段解析出通信协议的标识及版本信息，使用内置协议识别知识库进行判别检测，获取标识及版本信息对应的通信协议，将该工控数据包存入相应的分类队列，并发送至工业协议提取模块130。
60.内置协议识别知识库存储在基于工业互联网的工控安全审计系统中，本发明实施例对内置协议识别知识库的存储形式不作具体限定。
61.例如，内置协议识别知识库可以是一种表单，其中第一列包括各种已知的通信协议，其余列包括相应的协议标识及版本信息。
62.内置协议识别知识库至少包括标准工控协议识别知识库、授权工控协议识别知识库、异常代码识别知识库、异常域名及工控网络攻击知识库。
63.可选地，通过获取到的报头特征信息，若获知该工控数据包的通信协议的属性为第(3)类，则通过提取工控数据包的操作特征，使用自定义协议识别知识库进行判别检测，获取操作特征对应的通信协议，将该工控数据包存入相应的分类队列，并发送至工业协议提取模块130。
64.自定义协议识别知识库是将利用深度学习分类框架识别出通信协议的对工控数据包的操作特征添加至库中，以实现自定义协议识别知识库的扩充，本发明实施例对自定义协议识别知识库的存储形式不作具体限定。
65.例如，自定义协议识别知识库可以是一种表单，其中第一列包括各种利用深度学习分类框架识别出的通信协议，其余列包括相应的操作特征，其中，操作特征至少包括报头
特征和通信时延特征。
66.可以理解的是，基于工业互联网的工控安全审计系统中支持识别的通信协议包括但不限于：opc、dde、bacnet/ip、iece102/103/104、iec61850、dnp3.0/ipopc、modbus、siemens s7、ethernet/ip(cip)、mms、profinet、fins、ethercat、hse、epa、powerlink、tcnet和wnet等。
67.工业协议提取模块130，用于根据工控数据包的通信协议和协议解析知识库对工控数据包进行解析，获取目标数据。
68.需要说明的是，目标数据用于表征对确定通信协议的工控数据包的解析结果，本发明实施例对解析结果的类型不作具体限定。
69.优选地，目标数据至少包括用于表征该工控数据包对应的行为操作本身的行为特征数据，以及用于表征该工控数据包对应的行为操作通信情况的会话特征数据。
70.具体地，工业协议提取模块130对确定通信协议的工控数据包进行解析，并获取解析结果。
71.其中，关于行为特征数据的获取过程的具体实施方式如下：
72.需要说明的是，在进行解析出行为特征数据之前，需要根据协议字段的语法分割和语义含义将工控数据包的通信协议分为如下四类：
73.(1)标准格式清晰，与标准说明一一对应。体现在字段分割及其含义清晰，同时具体的指令动作及其参数含义有相应的说明文档。
74.(2)格式清晰，与标准说明不一致对应，体现在字段分割及其含义清晰，但是指令动作及参数含义没有相应的说明文档。
75.(3)格式不清晰，格式语法及语义不确定，但可以一定范围内获授权与开发者共享资料。体现在私有协议解析方面，设备供应商或者开发者能够在一定的约束规范下向本系统授权提供协议格式的语法分割与语义解析。如果设备提供方不能提供相关资料，则本类别归入第(4)类。
76.(4)格式不清晰，格式语法与语义不确定，虽然无法获得开发者的授权资料，但是供应商提供的设备使用说明文档包含通信指令设置、参数设置、接收信号等格式说明，此外，该工控协议未采用加密或安全编码处理，协议字段之间无依赖关联。
77.可选地，通过获取到的通信协议类型，若获知该工控数据包的通信协议属于第(1)类
‑
第(3)类，则通过对工控数据包分割出字段及其语义含义，使用导入的协议解析知识库提取出对应的行为特征数据，将该行为特征数据存入相应的目标数据，并发送至工业数据审计模块140。
78.协议解析知识库经导入后存储在基于工业互联网的工控安全审计系统中，本发明实施例对协议解析知识库的存储形式不作具体限定。
79.例如，协议解析知识库可以是一种表单，其中第一列包括各种已知的字段，第二列包括字段的语义含义，其余列包括相应的行为特征数据。
80.可选地，通过获取到的通信协议类型，若获知该工控数据包的通信协议属于第(4)类，则采用依次固定某些值仅对某一取值进行变更，生成大量训练样本，基于人工智能理论实现对工控协议的字段分割、识别，将获取到的行为特征数据存入相应的目标数据，将行为特征数据以及对应的特征加入到协议解析知识库进行更新，并发送至工业数据审计模块
140。
81.关于会话特征数据的获取过程的具体实施方式如下：
82.可选地，对工业协议提取模块130获取到工控数据包提取出会话特征数据，将该会话特征数据存入相应的目标数据，并发送至工业数据审计模块140。本发明实施例对会话特征数据的内容不作具体限定。
83.优选地，会话特征数据至少包括通信的双方身份标识、通信的时间、通信时长、指令间隔等，以用作后续辅助审计的另一部分知识依赖数据来源。
84.具体的辅助知识信息如下两类：
85.(1)数据包的包头信息，对通信双方的合法性进行监测。合法性包含通信的主体身份是否合法、通信的时间是否在有效期或合法时间段。
86.(2)数据包的状态转移监测，即前后数据包状态，构建设备连接状态表，对其状态转移进行异常监测。以便后续审计设备的状态迁移是否正常。
87.工业数据审计模块140，用于对目标数据进行安全审计，获取审计结果。
88.具体地，工业数据审计模块140对经由工业协议提取模块130对工控数据包处理后的解析结果进行安全审计。本发明实施例对安全审计的内容不作具体限定。
89.优选地，安全审计的内容至少包括违规行为监测审计和事件告警。
90.可选地，工业数据审计模块140根据经由工业协议提取模块130的目标数据进行违规行为监测审计，主要包括工控网连接异常、工控协议异常、工控协议规约、工控关键事件的监测审计。
91.可选地，工业数据审计模块140中的事件告警包括异常指令操作、新出现的设备(ip地址)、异常连接行为、异常通信地址、异常通信端口等告警。
92.本发明实施例基于高速采集大流量工控数据，并基于深度学习准确识别出工控通信协议后，进行深度解析，通过解析结果获取审计结果，从而对整个工控网络的数据信息进行监测和审计。能够实时检测针对工业协议的违规操作并实时报警，加强和提升工业控制网络的安全审计防护能力。进一步地，还能够快速、准确、详实地记录一切工业互联网的通信行为，方便事故调查的追溯。
93.在上述任一实施例的基础上，工业数据采集模块还用于对工控数据包进行数据流分析。
94.具体地，工业数据采集模块110通过网中抓取在工业互联网中传输的工控数据包之后，还可以针对工控数据包进行ip分片重组及数据包统计，即以工控数据包的五元组生成流对象进行统计获取流量统计结果，并生成记录日志。
95.可选地，记录日志可以包括网络中的所有连接信息，除记录五元组信息外，还包括详细的开始时间、结束时间、源mac、目的mac、报文数(上行、下行)、字节数(上行、下行)、协议包以及基础协议类型。
96.相应地，在工业数据采集模块110中根据工控数据包获取流量统计结果和记录日志，跟随工业协议提取模块130获取的目标数据传送至工业数据审计模块140进行审计。
97.优选地，工业数据审计模块140的安全审计，除违规行为监测审计和事件告警，还至少包括网络会话审计、异常通信行为审计和日志审计中的至少一种。
98.可选地，工业数据审计模块140根据经由工业协议提取模块130的记录日志进行网
络会话审计。
99.可选地，工业数据审计模块140根据采集系统内正常的网络通信进行异常通信行为审计，并可手动调校相关通信连接基线，对偏离基线的行为进行检测告警。
100.可选地，工业数据审计模块140根据经由工业协议提取模块130的流量统计结果进行日志审计，包括对网络会话日志的审计、异常流量日志的审计以及所有安全日志的缓存审计。
101.本发明实施例基于在工业数据采集模块对获取到的工控数据包进行流分析，通过获取到流量统计结果和记录日志进行相关的审计，能够加强和提升工业控制网络的安全审计防护能力。进一步地，还能够快速、准确、详实地记录一切工业互联网的通信行为，方便事故调查的追溯。
102.在上述任一实施例的基础上，工业协议识别模块包括：特征提取单元，用于获取工控数据包的报头特征信息。
103.具体地，特征提取单元提取出工控数据包的报头特征信息，并通过与上位机进行对比，获取报头特征信息的类型。
104.协议识别单元，用于若基于协议识别知识库确定工控数据包的报头特征信息为目标特征信息，则将工控数据包输入至分类模型，获取工控数据包的通信协议。
105.其中，分类模型，是基于工控数据包样本以及预先确定的通信协议进行训练后得到的。
106.具体地，协议识别单元通过获取到的报头特征信息，若获知该工控数据包的通信协议的属性为第(3)类，使用自定义协议识别知识库进行判别检测，获取操作特征对应的通信协议，将该工控数据包存入相应的分类队列，并发送至工业协议提取模块130。
107.自定义协议识别知识库是将利用深度学习分类框架识别出通信协议的对工控数据包的操作特征添加至库中，以实现自定义协议识别知识库的扩充，本发明实施例对分类模型不作具体限定。
108.例如，可以是收集足够数量的数据包样本及其对应的操作特征(例如：报头特征 通信时延特征)，基于深度学习理论提取其相应的包头特征与通信特征，形成分类模型。
109.本发明实施例基于深度学习理论，通过收集足够数量的数据包样本及其对应的操作特征，进而提取出其相应的包头特征与通信特征，形成分类模型。利用该分类框架对数据包进行特征分类，并加入到协议知识库，能够实现对工控通信协议的正确识别的目的。
110.在上述任一实施例的基础上，工业协议提取模块包括：协议分类单元，用于确定通信协议的类型。
111.具体地，协议分类单元可以根据协议字段的语法分割和语义含义将工控数据包的通信协议分为如下四类：
112.(1)标准格式清晰，与标准说明一一对应。体现在字段分割及其含义清晰，同时具体的指令动作及其参数含义有相应的说明文档。
113.(2)格式清晰，与标准说明不一致对应，体现在字段分割及其含义清晰，但是指令动作及参数含义没有相应的说明文档。
114.(3)格式不清晰，格式语法及语义不确定，但可以一定范围内获授权与开发者共享资料。体现在私有协议解析方面，设备供应商或者开发者能够在一定的约束规范下向本系
统授权提供协议格式的语法分割与语义解析。如果设备提供方不能提供相关资料，则本类别归入第(4)类。
115.(4)格式不清晰，格式语法与语义不确定，虽然无法获得开发者的授权资料，但是供应商提供的设备使用说明文档包含通信指令设置、参数设置、接收信号等格式说明，此外，该工控协议未采用加密或安全编码处理，协议字段之间无依赖关联。
116.行为特征提取单元，用于若通信协议类型为目标类型，则将工控数据包输入至语义分割识别模型，获取工控数据包的行为特征数据；
117.其中，语义分割识别模型，是基于通信协议样本以及预先确定的分割字段进行训练后得到的；目标数据包括工控数据包的行为特征数据。
118.具体地，若获知由协议分类单元分类得到该工控数据包的通信协议属于第(4)类，则采用依次固定某些值仅对某一取值进行变更，生成大量训练样本，基于人工智能理论实现对工控协议的字段分割、识别，将获取到的行为特征数据存入相应的目标数据，将行为特征数据以及对应的特征加入到协议解析知识库进行更新，并发送至工业数据审计模块140。
119.协议解析知识库经导入后存储在基于工业互联网的工控安全审计系统中，本发明实施例对协议解析知识库的存储形式不作具体限定。
120.例如，协议解析知识库可以是一种表单，其中第一列包括各种已知的字段，第二列包括字段的语义含义，其余列包括相应的行为特征数据。
121.本发明实施例基于人工智能理论实现对确定通信协议的数据包进行分割和识别，从而，能够清晰、准确地提取出工控设备行为指令及参数数据的，并将特征加入到协议解析知识库扩充，以达到方便后续的行为特征提取。
122.在上述任一实施例的基础上，工业协议提取模块还包括：会话特征提取单元，用于基于工控数据包，获取工控数据包的会话特征数据。
123.其中，目标数据还包括工控数据包的会话特征数据。
124.具体地，对由工业协议提取模块130获取到工控数据包提取出会话特征数据，将该会话特征数据存入相应的目标数据，并发送至工业数据审计模块140。本发明实施例对会话特征数据的内容不作具体限定。
125.优选地，会话特征数据至少包括通信的双方身份标识、通信的时间、通信时长、指令间隔等，以用作后续辅助审计的另一部分知识依赖数据来源。
126.具体的辅助知识信息如下两类：
127.(1)数据包的包头信息，对通信双方的合法性进行监测。合法性包含通信的主体身份是否合法、通信的时间是否在有效期或合法时间段。
128.(2)数据包的状态转移监测，即前后数据包状态，构建设备连接状态表，对其状态转移进行异常监测。以便后续审计设备的状态迁移是否正常。
129.本发明实施例基于对工控数据包提取通信的双方身份标识、通信的时间、通信时长、指令间隔等，以用作后续辅助审计的另一部分知识依赖数据来源，能够加强和提升工业控制网络的安全审计防护能力。
130.在上述任一实施例的基础上，工业数据审计模块包括：第一检测单元，用于在目标数据与目标列表中的任一特征数据均相似的情况下，确定工控数据包对应的通信行为为异常行为并告警。
131.需要说明的是，目标列表是存储于基于工业互联网的工控安全审计系统的列表，是包含了所有告警行为的名单。
132.特征数据是目标列表中的每一行数据或者每一列数据，表示为需要进行告警的通信行为的相关数据。
133.具体地，将经由工业协议提取模块130对工控数据包解析出的结果，与目标列表进行比对，若目标列表中存在与工业协议提取模块130生成的目标数据的相似度大于某一阈值的特征数据，则可以确定该目标数据对应的行为操作是异常的，并对此进行告警。
134.本发明实施例基于由若干需要告警的异常行为特征数据组成的目标列表，开启运行模式，可以对存在于目标列表的操作行为进行告警，也可以对不在目标列表的操作行为进行检测，不给予告警，能够提高系统的监测速度与效率。
135.在上述任一实施例的基础上，工业数据审计模块还包括：第二检测单元，用于在目标数据与目标列表中的每一特征数据均不相似的情况下，将目标数据输入至工控通信检测模型，确定工控数据包对应的通信行为为异常行为并告警。
136.其中，工控通信检测模型是基于协议数据样本以及预先确定的协议数据样本的标签进行人工智能算法自学习后得到的。
137.具体地，利用人工智能算法自学习建立工控通信检测模型的基线，对经由工业协议提取模块130对工控数据包解析出的结果与基线进行对比分析，若工业协议提取模块130生成的目标数据不符合该基线，则说明该目标数据对应的操作行为为异常行为。
138.进而，在目标列表存在该操作行为相似的行为特征数据的情况下，对该异常的操作行为并且进行告警，若目标列表中没有相似的特征数据，则仅作为异常行为进行下一步的审计，无需进行告警。
139.列表更新单元，用于将目标数据作为新的特征数据，添加至目标列表中。
140.具体地，对于经由第二检测单元判定为异常并需要告警的目标数据，使其作为一种新的需要告警的异常行为类型，将该目标数据添加至目标列表，以进行扩充。
141.本发明实施例基于人工智能算法自学习建立工控通信检测模型的基线，对工控数据包对应的操作行为与该基线进行对比检测，对不符合基线的操作行为判定为异常行为，能够提高行为检测的速率。进一步地，还可以对特定的异常行为进行告警，并依次扩充进行告警的目标列表，能够提高系统的监测速度与效率。
142.图2是本发明提供的基于工业互联网的工控安全审计方法的流程示意图。如图2所示，该方法包括：步骤201、从工业互联网获取工控数据包。
143.具体地，工业数据采集模块110从网卡中抓取在工业互联网中传输的工控数据包。
144.工控数据包，用于在步骤202中进行通信协议的识别。
145.优选地，步骤201中采用dpdk多核技术和零拷贝技术获取工控数据包。
146.其中，数据平面开发套件(dpdk，data plane development kit)用于快速数据包处理的函数库与驱动集合，可以极大提高数据处理性能和吞吐量，提高数据平面应用程序的工作效率。
147.步骤202、根据协议识别知识库对工控数据包进行识别，确定工控数据包的通信协议。
148.具体地，工业协议识别模块120使用协议识别知识库，通过对比上位机与工控设备
的通信数据包的报头特征信息，实现对捕获数据包的协议类型正确识别。
149.优选地，对于未知的私有工控通信协议则需要收集足够数量的数据包样本及其对应的操作特征(例如：报头特征 通信时延特征)，基于深度学习理论提取其相应的报头特征与通信特征，形成深度学习的分类模型。利用该分类模型对工控数据包进行特征分类，并加入到对应的协议识别知识库，以实现对工控数据包的通信协议进行识别。
150.步骤203、根据工控数据包的通信协议和协议解析知识库对工控数据包进行解析，获取目标数据。
151.具体地，工业协议提取模块130使用协议解析知识库，对由步骤202确认通信协议的工控数据包进行解析并获取解析结果。
152.用于表征解析结果的目标数据由行为本身和行为通信这两方面构成，即至少包括行为特征数据和会话特征数据：
153.可选地，针对那些协议字段分割和语义解析格式清晰的，可顺利完成行为指令及参数的提取。针对协议格式语法与语义不确定的，采用依次固定某些值仅对某一取值进行变更，生成大量训练样本，基于人工智能理论实现对工控协议的字段分割、识别，从而实现行为特征数据的提取。
154.可选地，还需要提取行为事件的其他特征，即会话特征数据，以用作后续辅助审计的另一部分知识依赖数据来源。本发明实施例对会话特征数据的内容不作具体限定。
155.例如，会话特征数据可以为通信的双方身份标识、通信的时间、通信时长和指令间隔等。
156.步骤204、对目标数据进行安全审计，获取审计结果。
157.具体地，经由步骤201
‑
步骤203对工控数据包的采集、识别及深度解析后，利用人工智能算法自学习建立工控通信检测模型的基线，对该工控数据包对应的操作行为与基线进行对比分析，对不符合与工控通信基线的异常行为进行告警。
158.进而，把自动学习的基线加入目标列表中，可以对不在目标列表的操作行为进行告警，从而实现违规行为监测审计。
159.优选地，除违规行为监测审计外，对获取到的工控数据包可以在步骤201进行流分析，获取流量统计结果和记录日志，当工控数据包的处理流程至步骤204时，还可以根据流量统计结果和记录日志进行网络会话审计、异常通信行为审计、和日志审计。
160.可以理解的是，在步骤204之后还需要将生成的日常网络会话审计、异常行为审计、日志审计等结果及其它重要信息全部记入数据库中存储，方便后续查找检索使用。
161.本发明实施例基于高速采集大流量工控数据，并基于深度学习准确识别出工控通信协议后，进行深度解析，通过解析结果获取审计结果，从而对整个工控网络的数据信息进行监测和审计。能够实时检测针对工业协议的违规操作并实时报警，加强和提升工业控制网络的安全审计防护能力。进一步地，还能够快速、准确、详实地记录一切工业互联网的通信行为，方便事故调查的追溯。
162.图3示例了一种电子设备的实体结构示意图，如图3所示，该电子设备可以包括：处理器(processor)310、通信接口(communicationsinterface)320、存储器(memory)330和通信总线340，其中，处理器310，通信接口320，存储器330通过通信总线340完成相互间的通信。处理器310可以调用存储器330中的逻辑指令，以执行基于工业互联网的工控安全审计
方法，该方法包括：从工业互联网获取工控数据包；根据协议识别知识库对工控数据包进行识别，确定工控数据包的通信协议；根据工控数据包的通信协议和协议解析知识库对工控数据包进行解析，获取目标数据；对目标数据进行安全审计，获取审计结果。
163.此外，上述的存储器330中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read
‑
onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。
164.另一方面，本发明还提供一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法所提供的基于工业互联网的工控安全审计方法，该方法包括：从工业互联网获取工控数据包；根据协议识别知识库对工控数据包进行识别，确定工控数据包的通信协议；根据工控数据包的通信协议和协议解析知识库对工控数据包进行解析，获取目标数据；对目标数据进行安全审计，获取审计结果。
165.又一方面，本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各提供的基于工业互联网的工控安全审计方法，该方法包括：从工业互联网获取工控数据包；根据协议识别知识库对工控数据包进行识别，确定工控数据包的通信协议；根据工控数据包的通信协议和协议解析知识库对工控数据包进行解析，获取目标数据；对目标数据进行安全审计，获取审计结果。
166.以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
167.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
168.最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。