一种通信数据的审计方法和装置与流程

1.本公开涉及网络通信和工控网络安全领域，尤其涉及一种通信数据的审计方法和装置。


背景技术：

2.工业控制系统(工控系统)广泛应用于电力、交通、市政等非常重要的领域，在工业控制系统中，各设备之间通过通信协议进行通信，为了保证工控系统的安全，需要对工控系统中的通信数据进行安全审计。在传统的审计方法中，是按照通信协议对通信数据进行分析审计的。
3.防火墙作为一种被广泛使用的网络安全防御技术，在对通信数据进行审计时，往往是对工控协议的五元组的通信关系进行审计，而无法做到通过对工控协议具体的操作进行审计，生成对接收的通信数据的审计策略，不利于工控系统的安全。


技术实现要素：

4.有鉴于此，本公开提供了一种通信数据的审计方法和装置，使得防火墙在接收到通信数据时，可以通过配置的审计策略对所述通信数据进行审计，确定是否允许对所述通信数据通过防火墙，保证工控系统的安全。
5.为了实现上述目的，本公开实施例提供技术方案如下：
6.第一方面，本公开实施例提供了一种通信数据的审计方法，所述方法包括：
7.在审计周期结束时，获取所述审计周期内的各个审计事件的属性信息；所述属性信息包括：所使用的工业控制协议、功能码、寄存器地址、工艺参数中的至少一个；
8.统计所述审计周期内各个审计事件的发生次数；
9.将所述审计周期内各个审计事件的属性信息和所述审计周期内各个审计事件的发生次数作为访问规则控制模型的模型参数，获取审计策略；所述访问规则控制模型包括所述模型参数和所述审计策略的映射关系；
10.根据所述审计策略对防火墙接收的通信数据进行审计。
11.作为本公开实施例一种可选的实施方式，所述获取所述审计周期内的各个审计事件的属性信息，包括：
12.在所述审计周期内，获取各目标报文的报文信息；所述目标报文的报文信息包括：所使用的工业控制协议、功能码、寄存器地址、工艺参数以及五元组中的至少一个。
13.将各目标报文的报文信息以预置格式记录，生成各目标报文对应的审计事件的属性信息。
14.作为本公开实施例一种可选的实施方式，所述在所述审计周期内，获取各目标报文的报文信息，包括：
15.判断各目标报文所属的会话的首包是否为传输控制协议请求建立连接tcp syn包；
16.若是，则根据各目标报文携带的目的端口和协议特征确定所述各目标报文所使用的工业控制协议；
17.根据确定的工业控制协议对各目标报文进行解析，获取所述各目标报文的报文信息。
18.作为本公开实施例一种可选的实施方式，在将各目标报文的报文信息以预置格式记录，生成各目标报文对应的审计事件的属性信息之前，所述方法还包括：
19.根据预置规则判断所述目标报文是否为畸形报文；
20.若是，则将所述目标报文丢弃。
21.作为本公开实施例一种可选的实施方式，所述根据预置规则判断所述目标报文是否为畸形报文，包括：
22.判断所述目标报文的各个字段参数是否在对应的参数范围内；
23.若所述目标报文的各个字段参数均在对应的参数范围内，则确定所述目标报文不为畸形报文；
24.若所述目标报文的一个或多个字段参数不在对应的参数范围内，则确定所述目标报文为畸形报文。
25.作为本公开实施例一种可选的实施方式，在将各目标报文的报文信息以预置格式记录，生成各目标报文对应的审计事件的属性信息之前，所述方法还包括：
26.判断所述目标报文所使用的工业控制协议的审计开关是否关闭；
27.若所述目标报文所使用的工业控制协议的审计开关处于关闭状态，则对所述目标报文进行转发。
28.作为本公开实施例一种可选的实施方式，在根据所述审计策略对防火墙接收的通信数据进行审计之前，所述方法还包括：
29.输出审计策略确认界面；
30.接收用户在所述审计策略确认界面中输入的确认操作；
31.响应于所述确认操作，将所述审计策略配置到所述防火墙中。
32.第二方面，本公开实施例提供了一种通信数据的审计装置，包括：
33.获取模块，用于在审计周期结束时，获取所述审计周期内的各个审计事件的属性信息；所述属性信息包括：所使用的工业控制协议、功能码、寄存器地址、工艺参数中的至少一个；
34.统计模块，用于统计所述审计周期内各个审计事件的发生次数；
35.审计模块，用于将所述审计周期内各个审计事件的属性信息和所述审计周期内各个审计事件的发生次数作为访问规则控制模型的模型参数，获取审计策略；所述访问规则控制模型包括所述模型参数和所述审计策略的映射关系；
36.处理模块，用于根据所述审计策略对防火墙接收的通信数据进行审计。
37.作为本公开实施例一种可选的实施方式，所述获取模块包括：报文接收模块和报文审计模块：
38.所述报文接收模块，用于在所述审计周期内，获取各目标报文的报文信息；所述目标报文的报文信息包括：所使用的工业控制协议、功能码、寄存器地址、工艺参数以及五元组中的至少一个。
39.所述报文审计模块，将各目标报文的报文信息以预置格式记录，生成各目标报文对应的审计事件的属性信息。
40.作为本公开实施例一种可选的实施方式，所述报文接收模块，具体用于判断各目标报文所属的会话的首包是否为传输控制协议请求建立连接tcp syn包；
41.若是，则根据各目标报文携带的目的端口和协议特征确定所述各目标报文所使用的工业控制协议；
42.根据确定的工业控制协议对各目标报文进行解析，获取所述各目标报文的报文信息。
43.作为本公开实施例一种可选的实施方式，所述装置还包括：预处理模块；
44.在将各目标报文的报文信息以预置格式记录，生成各目标报文对应的审计事件的属性信息之前，所述预处理模块用于根据预置规则判断所述目标报文是否为畸形报文；
45.若是，则将所述目标报文丢弃。
46.作为本公开实施例一种可选的实施方式，所述预处理模块，具体用于判断所述目标报文的各个字段参数是否在对应的参数范围内；
47.若所述目标报文的各个字段参数均在对应的参数范围内，则确定所述目标报文不为畸形报文；
48.若所述目标报文的一个或多个字段参数不在对应的参数范围内，则确定所述目标报文为畸形报文。
49.作为本公开实施例一种可选的实施方式，所述装置还包括：设置模块；
50.在将各目标报文的报文信息以预置格式记录，生成各目标报文对应的审计事件的属性信息之前，所述设置模块用于判断所述目标报文所使用的工业控制协议的审计开关是否关闭；
51.若所述目标报文所使用的工业控制协议的审计开关处于关闭状态，则对所述目标报文进行转发。
52.作为本公开实施例一种可选的实施方式，所述装置还包括：配置模块；
53.在根据所述审计策略对防火墙接收的通信数据进行审计之前，所述配置模块用于输出审计策略确认界面；
54.接收用户在所述审计策略确认界面中输入的确认操作；
55.响应于所述确认操作，将所述审计策略配置到所述防火墙中。
56.第三方面，本公开实施例提供了一种计算机设备，包括：存储器和处理器，存储器用于存储计算机程序；处理器用于在调用计算机程序时执行第一方面或第一方面任一种可选的实施方式所述的通信数据的审计方法的步骤。
57.第四方面，本公开实施例提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现第一方面或第一方面任一种可选的实施方式所述的通信数据的审计方法的步骤。
58.本公开实施例提供的通信数据的审计方法，在审计周期结束时，获取所述审计周期内的各个审计事件的属性信息；所述属性信息包括：所使用的工业控制协议、功能码、寄存器地址、工艺参数中的至少一个；统计所述审计周期内各个审计事件的发生次数；将所述审计周期内各个审计事件的属性信息和所述审计周期内各个审计事件的发生次数作为访
问规则控制模型的模型参数，获取审计策略；所述访问规则控制模型包括所述模型参数和所述审计策略的映射关系；根据所述审计策略对防火墙接收的通信数据进行审计。本公开实施例提供的通信数据的审计方法中通过获取审计周期内的各个审计事件所使用的工业控制协议、功能码、寄存器地址、工艺参数中的至少一个的属性信息，做到了对审计事件的深度解析。通过对审计周期内各个审计事件的属性信息和审计周期内各个审计事件的发生次数进行分析形成审计策略，从而可以使防火墙自动灵活的配置防护策略，提高工业控制系统的安全性。
附图说明
59.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。
60.为了更清楚地说明本公开实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
61.图1为本公开一个实施例提供的通信数据的审计方法的步骤流程图；
62.图2为本公开另一个实施例提供的通信数据的审计方法的步骤流程图；
63.图3为本公开又一个实施例提供的通信数据的审计方法的步骤流程图；
64.图4为本公开一个实施例中通信数据的审计装置的结构框图；
65.图5为本公开另一个实施例中通信数据的审计装置的结构框图；
66.图6为本公开一个实施例中计算机设备的内部结构图。
具体实施方式
67.为了能够更清楚地理解本公开的上述目的、特征和优点，下面将对本公开的方案进行进一步描述。需要说明的是，在不冲突的情况下，本公开的实施例及实施例中的特征可以相互组合。
68.在下面的描述中阐述了很多具体细节以便于充分理解本公开，但本公开还可以采用其他不同于在此描述的方式来实施；显然，说明书中的实施例只是本公开的一部分实施例，而不是全部的实施例。
69.在本公开实施例中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本公开实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念，此外，在本公开实施例的描述中，除非另有说明，“多个”的含义是指两个或两个以上。
70.本公开实施例提供的通信数据的审计方法应用于网络安全设备，不限于防火墙，例如该网络安全设备还可以是ip协议密码机、安全路由器、线路密码机、传真密码机、异步数据密码机、安全服务器、安全加密套件、金融加密机、安全操作系统、防病毒软件、入侵检测系统等，但不限于此，本公开不具体限制。
71.本公开实施例提供了一种通信数据的审计方法，参照图1所示，图1为本公开一个实施例提供的通信数据的审计方法，具体包括以下步骤s110至s140：
72.s110、在审计周期结束时，获取所述审计周期内的各个审计事件的属性信息。
73.其中，所述属性信息包括：所使用的工业控制协议、功能码、寄存器地址、工艺参数中的至少一个。
74.具体的，所述审计周期可以为默认的时间周期，也可以为通过自定义设置得到的时间周期，例如为一周或一个月。获取的属性信息可以为审计事件所使用的工业控制协议、功能码、寄存器地址、工艺参数中的任意一个属性信息，也可以为任意两种或任意两种以上的属性信息的组合，获取的属性信息的种类越多，说明得到审计事件的解析过程越深入。所述工业控制协议包括工业控制协议的名称，例如可以为modbus tcp协议；所述工艺参数指工业控制协议中的值，为寄存器地址对应的参数值。
75.s120、统计所述审计周期内各个审计事件的发生次数。
76.其中，所述审计事件的发生次数指在所述审计周期内属性信息相同的审计事件发生的次数，属性信息相同包括属性信息的种类相同和每种属性信息的内容相同。审计事件是否相同可通过属性信息来判断，示例性的，记属性信息包括工业控制协议、功能码、寄存器地址以及工艺参数的审计事件为第一审计事件，在审计周期内，当属性信息包括工业控制协议、功能码、寄存器地址以及工艺参数的审计事件发生了n次，若该n次审计事件中的工业控制协议相同、功能码相同、寄存器地址相同、工艺参数相同，则这n次审计事件为同一审计事件(第一审计事件)，第一审计事件在该审计周期内的发生次数为n次。
77.具体的，将审计周期内的审计事件做队列处理，形成数据队列，并记录每个审计事件的次数标识，所述次数标识用于指示该审计事件的发生次数，将审计周期内审计到的审计事件存储至数据库。当开启日志开关时，创建审计事件的入库进程，所述入库进程指每隔预设时长对所述数据队列进行遍历，将数据队列中还未存储至数据库的审计事件进行入库操作，所述入库操作为将数据队列中的审计事件存储至数据库的操作，若数据队列为空队列时，则不进行入库操作，预设时长后再判断数据队列是否为空队列。多次重复执行上述步骤，将审计周期内审计到的审计事件全部存储至数据库，该数据库中的各审计事件携带有次数标识。
78.s130、将所述审计周期内各个审计事件的属性信息和所述审计周期内各个审计事件的发生次数作为访问规则控制模型的模型参数，获取审计策略。
79.其中，所述访问规则控制模型包括所述模型参数和所述审计策略的映射关系。
80.具体的，对存储至数据库中的所有审计事件进行汇总、查重、分析，将审计事件的属性信息和各个审计事件的发生次数作为模型参数，建立模型参数和审计策略的映射关系。
81.s140、根据所述审计策略对防火墙接收的通信数据进行审计。
82.具体的，在获取到审计策略之后，针对防火墙接收到的通信数据，通过模型参数和审计策略的映射关系确定该通信数据的审计策略，根据审计策略确定对该通信数据的处理方式，通过或不通过防火墙。
83.本公开实施例提供的通信数据的审计方法，在审计周期结束时，获取所述审计周期内的各个审计事件所使用的工业控制协议、功能码、寄存器地址、工艺参数中的至少一个属性信息；统计所述审计周期内各个审计事件的发生次数；将所述审计周期内各个审计事件的属性信息和所述审计周期内各个审计事件的发生次数作为访问规则控制模型的模型
参数，获取审计策略；所述访问规则控制模型包括所述模型参数和所述审计策略的映射关系；根据所述审计策略对防火墙接收的通信数据进行审计。本公开实施例提供的通信数据的审计方法中通过获取审计周期内的各个审计事件所使用的工业控制协议、功能码、寄存器地址、工艺参数中的至少一个的属性信息，做到了对审计事件的深度解析。通过对审计周期内各个审计事件的属性信息和审计周期内各个审计事件的发生次数进行分析形成审计策略，从而可以使防火墙自动灵活的配置防护策略，提高工业控制系统的安全性。
84.图2为本公开另一个实施例提供的通信数据的审计方法的步骤流程图，图2是在图1所示的实施例的基础上，对图1中的一些步骤的具体实施方式的描述。可选的，参照图2所示，图1所示的步骤s110可通过步骤s1110和步骤s1120来实现。
85.s1110、在所述审计周期内，获取各目标报文的报文信息。
86.其中，所述目标报文的报文信息包括：所使用的工业控制协议、功能码、寄存器地址、工艺参数以及五元组中的至少一个。
87.所述目标报文为防火墙在所述审计周期内接收的报文，所述五元组包括源ip、源端口号、目的ip、目的端口号以及协议号。
88.可选的，在所述审计周期内，获取各目标报文的报文信息，可通过如下步骤a至步骤c来实现：
89.步骤a、判断各目标报文所属的会话的首包是否为传输控制协议请求建立连接tcp syn包。
90.所述目标报文所属的会话的首包为该会话的第一个数据包，若各目标报文所属的会话的首包为tcp syn包，在该会话完成三次握手后，执行如下步骤b。
91.步骤b、根据各目标报文携带的目的端口和协议特征确定所述各目标报文所使用的工业控制协议。
92.步骤c、根据确定的工业控制协议对各目标报文进行解析，获取所述各目标报文的报文信息。
93.具体的，工业控制协议包括工业控制协议的名称，工业控制协议的确定表明了对该会话的协议完成了识别，之后，可形成首包识别表，在形成首包识别之后，后续该条会话有报文通过时，直接对该条会话要通过的报文进行解析，以读取所使用的工业控制协议、功能码、寄存器地址、工艺参数以及五元组。
94.s1120、将各目标报文的报文信息以预置格式记录，生成各目标报文对应的审计事件的属性信息。
95.具体的，目标报文的报文信息包括所使用的工业控制协议、功能码、寄存器地址、工艺参数、五元组中的一个或多个，将目标报文包括的一个或多个报文信息(工业控制协议、功能码、寄存器地址、工艺参数、五元组)以预置格式进行记录，以预置格式记录的报文信息即为目标报文对应的审计事件的属性信息。需要说明的是，所述预置格式可以为报文信息原有的格式，也可以为调整设置后的自定义格式。
96.可选的，在步骤s1120之前，还可包括步骤s1111至s1112：
97.s1111、根据预置规则判断所述目标报文是否为畸形报文。
98.若是，则执行如下步骤s1112，若否，则执行图2所示的步骤s1120。
99.s1112、将所述目标报文丢弃。
100.可选的，步骤s1111(根据预置规则判断所述目标报文是否为畸形报文)可通过如下步骤来实现：
101.判断所述目标报文的各个字段参数是否在对应的参数范围内；若所述目标报文的各个字段参数均在对应的参数范围内，则确定所述目标报文不为畸形报文；若所述目标报文的一个或多个字段参数不在对应的参数范围内，则确定所述目标报文为畸形报文。
102.可选的，在步骤140(根据所述审计策略对防火墙接收的通信数据进行审计)之前，还可包括步骤s131至s133所示的步骤：
103.s131、输出审计策略确认界面。
104.s132、接收用户在所述审计策略确认界面中输入的确认操作。
105.s133、响应于所述确认操作，将所述审计策略配置到所述防火墙中。
106.具体的，所述确认界面中包含供用户选择是否进行策略配置的确认信息，若防火墙接收到用户对所述确认信息的确认操作，则将审计策略配置到防火墙中，若防火墙接收到用户对所述确认信息的放弃操作，则对防火墙不进行策略配置。需要说明的是，所述确认界面可以以浮窗的形式显示，本实施例不做具体限定，用户的输入操作可以为对鼠标的点击操作，也可以为输入的语音信息，在次不做限定。需要说明的是，防火墙根据模型参数获取到审计策略，在所述审计周期结束后也可以自动进行策略配置和更新，策略配置和更新完成后，根据白名单对防火墙接收的通信数据进行处理，将不符合的流量阻断。
107.图3为本公开再一个实施例提供的通信数据的审计方法的步骤流程图，图3是在图2所示的实施例的基础上的一种通信数据的审计方法的可实现方式的描述。
108.可选的，在步骤s1120(将各目标报文的报文信息以预置格式记录，生成各目标报文对应的审计事件的属性信息)之前，若根据预置规则判断所述目标报文不为畸形报文，则执行如下步骤s1113至s1114。
109.s1113、判断所述目标报文所使用的工业控制协议的审计开关是否关闭。
110.若所述目标报文所使用的工业控制协议的审计开关处于关闭状态，则执行如下步骤s1114，若所述目标报文所使用的工业控制协议的审计开关处于开启状态，则执行步骤s1120(将各目标报文的报文信息以预置格式记录，生成各目标报文对应的审计事件的属性信息)。
111.s1114、对所述目标报文进行转发。
112.具体的，可以根据需要设置各工业控制协议的审计开关的状态(开启或关闭)，防火墙只对审计开关为开启状态的工业控制协议对应的报文进行审计，对审计开关为关闭状态的工业控制协议对应的报文进行转发，本公开实施例对防火墙转发的报文的接收端不做具体限定。
113.基于同一发明构思，作为对上述方法的实现，本公开实施例还提供了一种通信数据的审计装置，该装置实施例与前述方法实施例对应，为便于阅读，本装置实施例不再对前述方法实施例中的细节内容进行逐一赘述，但应当明确，本实施例中的装置能够对应实现前述方法实施例中的全部内容。
114.图4为本公开一个实施例提供的通信数据的审计装置的结构框图，如图4所示，本实施例提供的通信数据的审计装置400包括：
115.获取模块401，用于在审计周期结束时，获取所述审计周期内的各个审计事件的属
性信息；所述属性信息包括：所使用的工业控制协议、功能码、寄存器地址、工艺参数中的至少一个；
116.统计模块402，用于统计所述审计周期内各个审计事件的发生次数；
117.审计模块403，用于将所述审计周期内各个审计事件的属性信息和所述审计周期内各个审计事件的发生次数作为访问规则控制模型的模型参数，获取审计策略；所述访问规则控制模型包括所述模型参数和所述审计策略的映射关系；
118.处理模块404，用于根据所述审计策略对防火墙接收的通信数据进行审计。
119.作为本公开实施例一种可选的实施方式，所述获取模块包括：报文接收模块和报文审计模块：所述报文接收模块，用于在所述审计周期内，获取各目标报文的报文信息；所述目标报文的报文信息包括：所使用的工业控制协议、功能码、寄存器地址、工艺参数以及五元组中的至少一个。所述报文审计模块，将各目标报文的报文信息以预置格式记录，生成各目标报文对应的审计事件的属性信息。
120.作为本公开实施例一种可选的实施方式，所述报文接收模块，具体用于判断各目标报文所属的会话的首包是否为传输控制协议请求建立连接tcp syn包；若是，则根据各目标报文携带的目的端口和协议特征确定所述各目标报文所使用的工业控制协议；根据确定的工业控制协议对各目标报文进行解析，获取所述各目标报文的报文信息。
121.可选的，图5为本公开另一个实施例提供的通信数据的审计装置的结构框图，如图5所示，所述装置500还包括：预处理模块405；在将各目标报文的报文信息以预置格式记录，生成各目标报文对应的审计事件的属性信息之前，所述预处理模块用于根据预置规则判断所述目标报文是否为畸形报文；若是，则将所述目标报文丢弃。
122.作为本公开实施例一种可选的实施方式，所述预处理模块405，具体用于判断所述目标报文的各个字段参数是否在对应的参数范围内；若所述目标报文的各个字段参数均在对应的参数范围内，则确定所述目标报文不为畸形报文；若所述目标报文的一个或多个字段参数不在对应的参数范围内，则确定所述目标报文为畸形报文。
123.作为本公开实施例一种可选的实施方式，所述装置还包括：设置模块406；在将各目标报文的报文信息以预置格式记录，生成各目标报文对应的审计事件的属性信息之前，所述设置模块用于判断所述目标报文所使用的工业控制协议的审计开关是否关闭；若所述目标报文所使用的工业控制协议的审计开关处于关闭状态，则对所述目标报文进行转发。
124.作为本公开实施例一种可选的实施方式，所述装置还包括：配置模块407；在根据所述审计策略对防火墙接收的通信数据进行审计之前，所述配置模块用于输出审计策略确认界面；接收用户在所述审计策略确认界面中输入的确认操作；响应于所述确认操作，将所述审计策略配置到所述防火墙中。
125.本公开实施例提供的通信数据的审计装置，在审计周期结束时，获取所述审计周期内的各个审计事件的属性信息；所述属性信息包括：所使用的工业控制协议、功能码、寄存器地址、工艺参数中的至少一个；统计所述审计周期内各个审计事件的发生次数；将所述审计周期内各个审计事件的属性信息和所述审计周期内各个审计事件的发生次数作为访问规则控制模型的模型参数，获取审计策略；所述访问规则控制模型包括所述模型参数和所述审计策略的映射关系；根据所述审计策略对防火墙接收的通信数据进行审计。本公开实施例提供的通信数据的审计方法中通过获取审计周期内的各个审计事件所使用的工业
控制协议、功能码、寄存器地址、工艺参数中的至少一个的属性信息，做到了对审计事件的深度解析。通过对审计周期内各个审计事件的属性信息和审计周期内各个审计事件的发生次数进行分析形成审计策略，从而可以使防火墙自动灵活的配置防护策略，提高工业控制系统的安全性。
126.本实施例提供的通信数据的审计装置可以执行上述方法实施例提供的通信数据的审计方法，其实现原理与技术效果类似，此处不再赘述。上述通信数据的审计装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
127.在一个实施例中，提供了一种计算机设备，该计算机设备可以是终端设备，其内部结构图可以如图6所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信，无线方式可通过wifi、运营商网络、近场通信(nfc)或其他技术实现。该计算机程序被处理器执行时以实现上述实施例提供的通信数据的审计方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏，该计算机设备的输入装置可以是显示屏上覆盖的触摸层，也可以是计算机设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。
128.本领域技术人员可以理解，图6中示出的结构，仅仅是与本公开方案相关的部分结构的框图，并不构成对本公开方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
129.在一个实施例中，本公开提供的通信数据的审计装置可以实现为一种计算机程序的形式，计算机程序可在如图6所示的计算机设备上运行。计算机设备的存储器中可存储组成该电子设备的各个程序模块，比如，图4所示的获取模块401、统计模块402和审计模块403。各个程序模块构成的计算机程序使得处理器执行本说明书中描述的本公开各个实施例的通信数据的审计方法中的步骤。
130.在一个实施例中，提供了一种计算机设备，包括存储器和处理器，该存储器存储有计算机程序，该处理器执行计算机程序时实现以下步骤：在审计周期结束时，获取所述审计周期内的各个审计事件的属性信息；所述属性信息包括：所使用的工业控制协议、功能码、寄存器地址、工艺参数中的至少一个；统计所述审计周期内各个审计事件的发生次数；将所述审计周期内各个审计事件的属性信息和所述审计周期内各个审计事件的发生次数作为访问规则控制模型的模型参数，获取审计策略；所述访问规则控制模型包括所述模型参数和所述审计策略的映射关系；根据所述审计策略对防火墙接收的通信数据进行审计。
131.在一个实施例中，处理器执行计算机程序时还实现以下步骤：在所述审计周期内，获取各目标报文的报文信息；所述目标报文的报文信息包括：所使用的工业控制协议、功能码、寄存器地址、工艺参数以及五元组中的至少一个；将各目标报文的报文信息以预置格式记录，生成各目标报文对应的审计事件的属性信息。
132.在一个实施例中，处理器执行计算机程序时还实现以下步骤：判断各目标报文所
属的会话的首包是否为传输控制协议请求建立连接tcp syn包；若是，则根据各目标报文携带的目的端口和协议特征确定所述各目标报文所使用的工业控制协议；根据确定的工业控制协议对各目标报文进行解析，获取所述各目标报文的报文信息。
133.在一个实施例中，处理器执行计算机程序时还实现以下步骤：根据预置规则判断所述目标报文是否为畸形报文；若是，则将所述目标报文丢弃。
134.在一个实施例中，处理器执行计算机程序时还实现以下步骤：判断所述目标报文的各个字段参数是否在对应的参数范围内；若所述目标报文的各个字段参数均在对应的参数范围内，则确定所述目标报文不为畸形报文；若所述目标报文的一个或多个字段参数不在对应的参数范围内，则确定所述目标报文为畸形报文。
135.在一个实施例中，处理器执行计算机程序时还实现以下步骤：判断所述目标报文所使用的工业控制协议的审计开关是否关闭；若所述目标报文所使用的工业控制协议的审计开关处于关闭状态，则对所述目标报文进行转发。
136.在一个实施例中，处理器执行计算机程序时还实现以下步骤：输出审计策略确认界面；接收用户在所述审计策略确认界面中输入的确认操作；响应于所述确认操作，将所述审计策略配置到所述防火墙中。
137.本公开实施例提供的计算机设备可实现上述方法实施例提供的通信数据的审计方法，在审计周期结束时，获取所述审计周期内的各个审计事件的属性信息；所述属性信息包括：所使用的工业控制协议、功能码、寄存器地址、工艺参数中的至少一个；统计所述审计周期内各个审计事件的发生次数；将所述审计周期内各个审计事件的属性信息和所述审计周期内各个审计事件的发生次数作为访问规则控制模型的模型参数，获取审计策略；所述访问规则控制模型包括所述模型参数和所述审计策略的映射关系；根据所述审计策略对防火墙接收的通信数据进行审计。本公开实施例提供的通信数据的审计方法中通过获取审计周期内的各个审计事件所使用的工业控制协议、功能码、寄存器地址、工艺参数中的至少一个的属性信息，做到了对审计事件的深度解析。通过对审计周期内各个审计事件的属性信息和审计周期内各个审计事件的发生次数进行分析形成审计策略，从而可以使防火墙自动灵活的配置防护策略，提高工业控制系统的安全性。
138.本实施例提供的计算机设备，可以实现上述方法实施例提供的通信数据的审计方法，其实现原理与技术效果类似，此处不再赘述。
139.在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现以下步骤：在审计周期结束时，获取所述审计周期内的各个审计事件的属性信息；所述属性信息包括：所使用的工业控制协议、功能码、寄存器地址、工艺参数中的至少一个；统计所述审计周期内各个审计事件的发生次数；将所述审计周期内各个审计事件的属性信息和所述审计周期内各个审计事件的发生次数作为访问规则控制模型的模型参数，获取审计策略；所述访问规则控制模型包括所述模型参数和所述审计策略的映射关系；根据所述审计策略对防火墙接收的通信数据进行审计。
140.在一个实施例中，计算机程序被处理器执行时还实现以下步骤：在所述审计周期内，获取各目标报文的报文信息；所述目标报文的报文信息包括：所使用的工业控制协议、功能码、寄存器地址、工艺参数以及五元组中的至少一个；将各目标报文的报文信息以预置格式记录，生成各目标报文对应的审计事件的属性信息。
141.在一个实施例中，计算机程序被处理器执行时还实现以下步骤：判断各目标报文所属的会话的首包是否为传输控制协议请求建立连接tcp syn包；若是，则根据各目标报文携带的目的端口和协议特征确定所述各目标报文所使用的工业控制协议；根据确定的工业控制协议对各目标报文进行解析，获取所述各目标报文的报文信息。
142.在一个实施例中，计算机程序被处理器执行时还实现以下步骤：根据预置规则判断所述目标报文是否为畸形报文；若是，则将所述目标报文丢弃。
143.在一个实施例中，计算机程序被处理器执行时还实现以下步骤：判断所述目标报文的各个字段参数是否在对应的参数范围内；若所述目标报文的各个字段参数均在对应的参数范围内，则确定所述目标报文不为畸形报文；若所述目标报文的一个或多个字段参数不在对应的参数范围内，则确定所述目标报文为畸形报文。
144.在一个实施例中，计算机程序被处理器执行时还实现以下步骤：判断所述目标报文所使用的工业控制协议的审计开关是否关闭；若所述目标报文所使用的工业控制协议的审计开关处于关闭状态，则对所述目标报文进行转发。
145.在一个实施例中，计算机程序被处理器执行时还实现以下步骤：输出审计策略确认界面；接收用户在所述审计策略确认界面中输入的确认操作；响应于所述确认操作，将所述审计策略配置到所述防火墙中。
146.本公开实施例提供的计算机程序被处理器执行时可实现上述方法实施例提供的通信数据的审计方法，在审计周期结束时，获取所述审计周期内的各个审计事件的属性信息；所述属性信息包括：所使用的工业控制协议、功能码、寄存器地址、工艺参数中的至少一个；统计所述审计周期内各个审计事件的发生次数；将所述审计周期内各个审计事件的属性信息和所述审计周期内各个审计事件的发生次数作为访问规则控制模型的模型参数，获取审计策略；所述访问规则控制模型包括所述模型参数和所述审计策略的映射关系；根据所述审计策略对防火墙接收的通信数据进行审计。本公开实施例提供的通信数据的审计方法中通过获取审计周期内的各个审计事件所使用的工业控制协议、功能码、寄存器地址、工艺参数中的至少一个的属性信息，做到了对审计事件的深度解析。通过对审计周期内各个审计事件的属性信息和审计周期内各个审计事件的发生次数进行分析形成审计策略，从而可以使防火墙自动灵活的配置防护策略，提高工业控制系统的安全性。
147.本实施例提供的计算机可读存储介质上存储的计算机程序，可以实现上述方法实施例提供的通信数据的审计方法，其实现原理与技术效果类似，此处不再赘述。
148.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成的，计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本公开所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(read
‑
only memory，rom)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(random access memory，ram)或者外部高速缓冲存储器。作为说明而非局限，ram以多种形式可得，比如静态随机存取存储器(static random access memory，sram)和动态随机存取存储器(dynamic random access memory，dram)等。
149.以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例
中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
150.以上实施例仅表达了本公开的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本公开构思的前提下，还可以做出若干变形和改进，这些都属于本公开的保护范围。因此，本公开专利的保护范围应以所附权利要求为准。