工控网络的边界设备确定方法、装置、设备及存储介质与流程

1.本技术属于信息技术领域，尤其涉及一种工控网络的边界设备确定方法、装置、设备及存储介质。


背景技术：

2.工业数据通信与控制网络又为工控网络，指安装在工业生产环境中的一种全数字化、双向、多站的网络通信系统，其由众多智能化的设备形成。然而，伴随着网络的发展，工控网络信息安全事件不断发生，严重影响工控网络中关键网络设备基础设施的稳定运行。因此，需要采用边界防护技术对工控网络进行安全防护。例如，在工控网络中设置防火墙，以屏蔽有害的网络设备产生的网络流量。
3.但是，上述技术通常部署在工控网络的边界网络设备中，形成工控网络的边界防护。然而，随着工控网络中接入的网络设备多样化，以及网络设备接入途径的多样化，工控网络的网络边界已无法很好的进行确定。即工控网络中可靠的网络边界正在消失，以至于工控网络无法基于边界防护技术进行安全防护。


技术实现要素：

4.本技术实施例提供了一种工控网络的边界设备确定方法、装置、终端设备及存储介质，可以解决工控网络的网络边界无法进行准确进行确定的问题。
5.第一方面，本技术实施例提供了一种工控网络的边界设备确定方法，该方法包括：
6.获取工控网络中多个网络设备的状态数据；
7.根据每个网络设备的状态数据，识别每个网络设备的状态；
8.分别基于每个网络设备的状态，以及每个网络设备的上一次状态，生成每个网络设备的监控结果；
9.分别根据每个网络设备的监控结果，以及每个网络设备的历史监控结果，计算每个网络设备的设备风险值；
10.根据设备风险值从多个网络设备中确定工控网络的边界网络设备。
11.第二方面，本技术实施例提供了一种工控网络的边界设备确定装置，该装置包括：
12.获取模块，用于获取工控网络中多个网络设备的状态数据；
13.识别模块，用于根据每个网络设备的状态数据，识别每个网络设备的状态；
14.监控结果生成模块，用于分别基于每个网络设备的状态，以及每个网络设备的上一次状态，生成每个网络设备的监控结果；
15.计算模块，用于分别根据每个网络设备的监控结果，以及每个网络设备的历史监控结果，计算每个网络设备的设备风险值；
16.边界网络设备确定模块，用于根据设备风险值从多个网络设备中确定工控网络的边界网络设备。
17.第三方面，本技术实施例提供了一种终端设备，包括存储器、处理器以及存储在存
储器中并可在处理器上运行的计算机程序，处理器执行计算机程序时实现如上述第一方面的方法。
18.第四方面，本技术实施例提供了一种计算机可读存储介质，计算机可读存储介质存储有计算机程序，计算机程序被处理器执行时实现如上述第一方面的方法。
19.第五方面，本技术实施例提供了一种计算机程序产品，当计算机程序产品在终端设备上运行时，使得终端设备执行上述第一方面的方法。
20.本技术实施例与现有技术相比存在的有益效果是：通过主动获取工控网络中每个网络设备的状态数据，识别每个网络设备的状态。之后，针对任一网络设备，根据网络设备的状态以及网络设备的上一次状态，确定网络设备的监控结果，以此确定网络设备是否产生异常。而后，根据网络设备的监控结果以及历史监控结果中产生的异常的次数，进一步的计算网络设备的设备风险值，使终端设备可以基于设备风险值确定网络设备对工控网络的危险程度。最后，基于每个网络设备的危险程度，从多个网络设备中准确的确定出工控网络的边界网络设备，使工控网络可以在边界网络设备中部署边界防护技术进行安全防护。
附图说明
21.为了更清楚地说明本技术实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
22.图1是本技术一实施例提供的一种工控网络的边界设备识别系统的结构示意图；
23.图2是本技术一实施例提供的一种工控网络的边界设备确定方法中交换机设备的应用场景示意图；
24.图3是本技术一实施例提供的一种工控网络的边界设备确定方法的实现流程图；
25.图4是本技术另一实施例提供的一种工控网络的边界设备确定方法的实现流程图；
26.图5是本技术一实施例提供的一种工控网络的边界设备确定方法的s104的一种实现方式示意图；
27.图6是本技术又一实施例提供的一种工控网络的边界设备确定方法的实现流程图；
28.图7是本技术一实施例提供的一种工控网络的边界设备确定方法的s105的一种实现方式示意图；
29.图8是本技术一实施例提供的一种工控网络的边界设备确定装置的结构示意图；
30.图9是本技术一实施例提供的一种终端设备的结构示意图。
具体实施方式
31.以下描述中，为了说明而不是为了限定，提出了诸如特定系统结构、技术之类的具体细节，以便透彻理解本技术实施例。然而，本领域的技术人员应当清楚，在没有这些具体细节的其它实施例中也可以实现本技术。在其它情况中，省略对众所周知的系统、装置、电路以及方法的详细说明，以免不必要的细节妨碍本技术的描述。
32.应当理解，当在本技术说明书和所附权利要求书中使用时，术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
33.另外，在本技术说明书和所附权利要求书的描述中，术语“第一”、“第二”、“第三”等仅用于区分描述，而不能理解为指示或暗示相对重要性。
34.本技术实施例提供的工控网络的边界设备确定方法可以应用于安装有工控网络的边界设备识别系统的终端设备中，或者与工控网络的边界设备识别系统具有通信连接的终端设备中。其中，终端设备包括但不限于：交换机设备、平板电脑、笔记本电脑、超级移动个人计算机(ultra-mobile personal computer，umpc)、上网本等设备，本技术实施例对终端设备的具体类型不作任何限制。
35.在本实施例中，上述终端设备以交换机设备为例进行解释说明。具体的，交换机设备为工业以太网交换机，其为基于以太网进行数据传输的交换机。在工控网络中，工业以太网交换机中的每个端口都直接与每个网络设备相连。并且，能同时连通多对端口，使每一对相互通信的网络设备能够进行无冲突地传输数据。
36.请参照图1和图2，工控网络的边界设备识别系统包括流量引入模块、网络管理协议模块(具体为snmp模块)、报警处理模块以及用户交互模块。
37.其中，流量引入模块用于解析每个网络设备进行通信传输的网络流量，得到网络流量中包含的协议特征数据、操作指令等信息。并且可以通过协议特征数据训练识别模型，以识别进行通信传输的网络设备是否为新接入的网络设备。之后，在确定网络设备为新接入的网络设备时，通过识别模型预测新接入的网络设备的其他特征数据。例如，上述特征数据包括但不限于生产厂商、操作系统、服务类型等数据。
38.snmp模块用于对网络设备的cpu、内存、网络流量等状态数据进行获取，以确定网络设备的工作状态。
39.报警处理模块用于在确定网络设备的监控结果为异常告警结果时进行报警。并且，对于不同的异常告警结果还可以提供预设的处置建议。其中，异常告警结果产生的情况包括但不限于：发现新接入的网络设备、网络设备的状态变更、网络设备的状态数据异常、网络设备接收或发送异常操作指令、网络设备与其他网络设备之间进行通信的网络流量总量异常等情况。
40.用户交互模块用于对监控结果进行展示，其展示内容包括但不限于：网络设备的设备信息、网络设备的状态、历史监控结果等内容。
41.其中，交换机设备用于与工控网络安全识别系统中的每个模块进行交互，并且可以基于snmp模块对网络设备的统计结果，判定是否生成异常告警结果，以及在生成异常告警结果时，将该异常告警结果发送至报警处理模块。
42.请参阅图3，图3示出了本技术实施例提供的一种工控网络的边界设备确定方法的实现流程图，该方法包括如下步骤：
43.s101、交换机设备获取工控网络中多个网络设备的状态数据。
44.s102、交换机设备根据每个网络设备的状态数据，识别每个网络设备的状态。
45.在一实施例中，上述工控网络包括多个网络设备，且多个网络设备之间通常采用局域网进行通信。其中，网络设备包括但不限于计算机、笔记本电脑、打印机等设备。
46.具体的，工控网络可以为将各种内部网络设备，外部网络设备和数据库等互相连接起来组成的计算机通信网。通常，工控网络是封闭型的，可以由某一办公室内的两台计算机组成，也可以由一个公司内的上千台计算机组成。然而，随着工控网络中接入的网络设备多样化，以及网络设备接入途径的多样化，工控网络的网络设备也将变多。
47.在一实施例中，上述状态数据包括但不限于用于表征网络设备的运行状态、端口状态以及电源状态等状态类型的数据，对此不作限定。例如，对于网络设备中某个硬件设施的运行状态，其状态数据可以为on、off等数据，其对应的运行状态则分别为工作状态、停止状态等。因此，交换机设备可以根据每种类型的状态数据，确定网络设备的各种状态。也即一个网络设备的状态可能包括多种。
48.在一实施例中，交换机设备可以实时或每隔第一预设时长获取每个网络设备中的状态数据进行处理，对此不作限定。
49.其中，在获取每个网络设备的状态数据之前，交换机设备应当记录工控网络中已有的每个网络设备的设备信息，而后根据设备信息获取每个网络设备的状态数据。具体的，参照图4，交换机设备可以通过如下步骤s11-s14获取网络设备的设备信息：
50.s11、交换机设备接收第一网络设备传输的网络流量；网络流量至少包括协议特征数据。
51.在一实施例中，上述第一网络设备可以为工控网络中多个网络设备之一，也可以为需要与工控网络中的某一网络设备进行通信的外部设备，对此不作限定。
52.其中，网络流量为第一网络设备对外传输的通讯流量，其包括但不限于第一网络设备的源互联网协议地址(internet protocol address，ip)、源媒体访问控制地址(media access control address，mac)、目的ip、目的mac、源端口、目的端口、通讯协议、功能码等信息。
53.其中，源ip为第一网络设备的ip，目的ip为工业网络中接收网络流量的ip；源mac为第一网络设备的mac，目的mac为工业网络中接收网络流量的mac；源端口为交换机设备接收网络流量时为第一网络设备设置的端口，目的端口为交换机设备将网络流量转发至目的mac对应的网络设备时设置的端口；通讯协议为网络流量的数据传输协议；功能码为网络流量中的一帧数据，其可以标注一个工控网络中工业通信系统的总线协议信息帧的用途。
54.其中，协议特征数据具体可以为上述源ip、源mac、目的ip以及目的mac等特征数据。
55.s12、交换机设备将协议特征数据与已记录的设备表进行比对。
56.s13、若协议特征数据未记录在设备表中，则交换机设备根据协议特征数据中的源物理地址，确定第一网络设备的目标信息。
57.s14、交换机设备将目标信息和协议特征数据记录至设备表中。
58.在一实施例中，上述设备表用于记录网络设备的设备信息，例如，网络设备的ip、mac等信息，其也可以记录设备的产商信息等。可以理解的是，若设备表中记录有与ip、mac地址均一致的信息，则可以确定该第一网络设备为已记录的网络设备。即第一网络设备属于工控网络中的一个网络设备。否则，确定该第一网络设备为外部设备。
59.在另一实施例中，在确定第一网络设备为外部设备时，交换机设备可以产生异常告警结果，以对工作人员进行提醒。
60.在一实施例中，上述源物理地址即为mac地址，其由生产厂商进行烧录，因此，根据该地址可以反推出第一网络设备的产商信息，也即上述目标信息。之后，交换机设备可以将该目标信息以及协议特征数据记录至设备表中，以在工控网络中添加新的网络设备。此时，第一网络设备可以认为是工控网络中的网络设备。
61.s103、交换机设备分别基于每个网络设备的状态，以及每个网络设备的上一次状态，生成每个网络设备的监控结果。
62.在一实施例中，上述监控结果包括异常告警结果，以及正常结果。其中，在产生异常告警结果时，即可认为网络设备产生一次报警事件。
63.在一实施例中，网络设备中的每个状态通常是固定不变的，例如，对于网络设备中某个硬件设施的运行状态，通常是工作状态。因此，接收到网络设备关于该硬件设施的运行状态为停止状态时，可以认为网络设备的监控结果为异常告警结果。
64.可以理解的是，交换机设备通常实时或每隔第一预设时长获取一次网络设备的状态数据。因此，上一次状态即为交换机设备在上一次获取该网络设备的状态数据时识别的状态。需要补充的是，在网络设备的状态具有多种时，若任一状态与上一次状态不一致，即可认为网络设备的监控结果为异常告警结果。
65.或者，针对用于表征状态的状态数据，若网络设备的状态数据处于预设范围外，也可以生成网络设备的异常告警结果。示例性的，对于网络设备中cpu的状态进行识别时，若cpu对应的状态数据超过预设范围，则确定该cpu的状态为异常状态，进而也可以生成网络设备的异常告警结果。
66.在一实施例中，上述预设范围可以由工作人员根据实际情况进行设置，通常对于网络设备中不同的硬件设施，其分别具有不同的预设范围。
67.基于上述说明可知，表征网络设备状态的状态数据可以具有多种类型。例如，表征硬件设施的运行状态的状态数据(on/off)，以及表征硬件设施的运行数值的状态数据(cpu值，或内存使用量)。
68.可以理解的是，在网络设备的状态数据处于预设范围内，和/或，网络设备的状态与上一次状态相同时，即认为监控结果为正常结果。也即不会对该网络设备产生报警事件。
69.s104、交换机设备分别根据每个网络设备的监控结果，以及每个网络设备的历史监控结果，计算每个网络设备的设备风险值。
70.在一实施例中，上述监控结果已说明包括正常结果为异常告警结果。上述历史监控结果可以为距离当前时刻之前的第二预设时长的监控结果。其中，当前时刻为交换机设备当前获取网络设备的状态数据的时刻。其中，第二预设时长也可以由工作人员根据实际情况进行设置，对此不作限定。
71.在本实施例中，上述历史监控结果可以为上一周期内网络设备的监控结果。其中，在预设一个周期内，交换机设备至少可以获取每个网络设备的一次状态数据。
72.在一实施例中，上述设备风险值用于表征网络设备在安全程度。需要说明的是，设备风险值越高，则表示该网络设备具有较大的风险。因此，在设备风险值大于预设阈值时，交换机设备可以定义该网络设备为危险网络设备。
73.在一具体实施例中，参照图5，交换机设备可以通过如下子步骤s1041-s1042计算网络设备的设备风险值；
74.s1041、针对任一网络设备，交换机设备根据监控结果和目标周期内的历史监控结果，统计网络设备产生异常告警结果的异常次数，以及每次产生异常告警结果时的事件损失。
75.s1042、交换机设备根据异常次数以及事件损失，计算网络设备的设备风险值。
76.在一实施例中，上述异常告警结果的异常次数为根据当前的监控结果和历史监控结果进行统计得到。其中，事件损失为产生异常告警结果时，网络设备对工控网络造成的损失。
77.可以理解的是，交换机设备通常每隔第一预设时长获取一次网络设备的状态数据。因此，在上一次获取状态数据之后，若网络设备中某一硬件设施的状态异常，可能需要交换机在当前获取状态数据后才可发现，并产生异常告警结果。基于此，在该第一预设时长内，网络设备可能对工控网络造成一定的损失。
78.其中，不同的异常告警结果对应的事件损失可能各不相同，对此不作限定。
79.在一具体实施例中，在得到异常次数和事件损失后，交换机设备可以通过如下风险值计算公式计算设备风险值：
[0080][0081]
其中，y
risk
为设备风险值；a
frequency
为异常次数；b
damage
为事件损失；c
security
为预设的设备安全系数值。
[0082]
可以理解的是，采用上述公式计算设备风险值时，在网络设备的异常次数越多，和/或事件损失越大，则该设备风险值越高。即表示该网络设备越危险。
[0083]
需要补充的是，对于预设的设备安全系数值，若当前获取的监控结果为正常结果，则设备安全系数值可以保持不变；以及，若当前获取的监控结果为异常结果，则在此次计算过程中，设备安全系数值可以调高。即表示该网络设备最终计算的设备风险值将会增大。以此，进一步的增加该网络设备的危险程度。
[0084]
在另一实施例中，上述设备风险值主要为根据网络设备的异常告警结果进行计算得到，且异常告警结果的确定方式是基于交换机设备主动获取状态数据进行确定的。然而，工控网络中的每个网络设备在与其他网络设备进行通信交互的过程中，也可能产生异常告警结果。
[0085]
具体的，以已记录目标信息和协议特征数据的第一网络设备为例进行解释说明。其中，此时的第一网络设备为工控网络中的一个网络设备，且该第一网络设备与工控网络中的其他网络设备具有通信。另外，通信的网络流量中通常还包括目的协议地址以及操作指令。因此，针对进行通信的任一第一网络设备，参照图6，交换机设备还可以通过如下步骤s15-s16生成该第一网络设备的监控结果：
[0086]
s15、针对进行通讯传输的任一第一网络设备，交换机设备根据网络流量中的目的协议地址，确定工控网络中接收网络流量的第二网络设备。
[0087]
在一实施例中，上述通讯传输为第一网络设备向至少一个第二网络设备传输网络流量。其中，该网络流量具体已在上述s11中进行解释。
[0088]
需要说明的是，上述目的协议地址即为目的ip，其为第二网络设备的ip。通常的，在工控网络中，在传输网络流量时，可以为一对一进行传输，也可以为一对多进行传输。示
例性的，第一网络设备可以将网络流量传输至交换机设备，而后交换机设备根据网络流量中的每个目的ip，确定每个第二网络设备。之后，分别建立与每个第二网络设备进行通信的端口。最后，将网络流量广播至每个端口中。
[0089]
可以理解的是，工控网络中的每个网络设备的协议特征数据均已在设备表中进行记录，基于此，交换机设备可以根据设备表确定第二网络设备。
[0090]
s16、若在当前周期内第一网络设备传输至第二网络设备的网络流量总量与上一周期内第一网络设备传输至第二网络设备的网络流量总量之差大于预设流量值；和/或，网络流量中的操作指令与第二网络设备中预设异常指令库中的指令相同，则交换机设备生成第一网络设备的异常告警结果。
[0091]
在一实施例中，上述网络流量总量为当前周期内第一网络设备向第二网络设备进行传输的总流量。其中，每个周期的时长可以由工作人员进行设置。当前周期与上一周期为相邻的两个周期。
[0092]
另外，若当前周期为第一网络设备向第二网络设备进行传输的第一个周期，则可以将当前周期的网络流量总量与预设流量总量进行比对，以确定第一网络设备是否异常。
[0093]
在一实施例中，因每个周期的时长通常一致，因此，每个周期内第一网络传输给第二网络的网络流量总量通常变化接近。即当前周期内的网络流量总量可能略大于上一周期内的网络流量总量。然而，网络流量总量的差别应当处于正常范围内。即两个网络流量总量之间的差值应当小于或等于预设流量值。
[0094]
其中，上述预设流量总量以及预设流量值均可以由工作人员根据实际情况进行设置。并且，第一网络设备在与不同的第二网络设备进行通信时，预设流量值也应当相对进行设置。
[0095]
在一实施例中，上述操作指令即为s11中记载的功能码对应的信息。具体的，根据工控网络中工业通信系统的总线协议，若通讯流量中功能码为01，则对应的操作指令即为读取第二网络设备中的线圈状态；若功能码为02，则对应的操作指令为读取第二网络设备的输入状态等。其中，功能码具有多种，因此对应的操作指令也应当具有多个，其包括但不限于：读取第二网络设备的开关状态、寄存器的数据内容等指令。
[0096]
另外，当第二网络设备响应该功能码时，若正常响应，则返回无误对应的功能码至第一网络设备；若响应该功能码发生异常告警结果(即发生异常事件)，则第二网络设备将返回异常对应的功能码至第一网络设备。此时，在返回异常对应的功能码时，也需要通过交换机设备进行转发。因此，交换机还可以获取第一网络设备和/或第二网络设备在通信时产生的异常告警结果。
[0097]
在一实施例中，上述异常指令库为预先在第二网络设备中设置的指令库，该异常指令库中通常具有多种指令，且第二网络设备在执行异常指令库中的任一指令时，均会使第二网络设备产生异常告警结果。
[0098]
其中，可以理解的是，对于不同的第二网络设备，其应当具有不同的异常指令库。
[0099]
在另一实施例中，异常指令库可以存储在第二网络设备中，由第二网络设备在接收到网络流量后，将网络流量中的操作指令与异常指令库中的指令进行比对，然后上传是否相同的比对结果至交换机设备。交换机设备在确定比对结果为相同结果时，生成第一网络设备的异常告警结果。
[0100]
s105、交换机设备根据设备风险值从多个网络设备中确定工控网络的边界网络设备。
[0101]
在一实施例中，根据s104中说明可知，在设备风险值越大时，表示该网络设备越危险。基于此，参照图7，交换机设备可以根据如下子步骤s1051-s1052从多个网络设备中确定边界网络设备：
[0102]
s1051、针对任一网络设备，交换机设备确定与网络设备通信连接的多个关联网络设备。
[0103]
s1052、若存在至少一个关联网络设备的设备风险值大于预设阈值，则交换机设备确定网络设备为工控网络的边界网络设备。
[0104]
在一实施例中，上述与网络设备进行通信连接可以为该网络设备向其他网络设备传输过网络流量，和/或，接收其他网络设备传输的网络流量，即可以认为该网络设备与其他网络设备具有通信连接。进而，将其他网络设备确定为关联网络设备。
[0105]
在一实施例中，上述预设阈值可以由工作人员根据实际情况进行设置，对此不作限定。其中，工控网络中通常具有核心的网络设备，该网络设备对应的预设阈值通常低于其他非核心的网络设备的预设阈值。即核心的网络设备的设备风险值在较高时，即可能被确定为危险网络设备。
[0106]
可以理解的是，若任一关联网络设备的设备风险值大于预设阈值，则关联网络设备的设备信息虽然已记录在设备表中，但是该关联网络设备依然会被工控网络确定为危险网络设备。因此，与该危险网络设备具有通信连接的任一网络设备均应当设置边界防护技术，以屏蔽有害的危险网络设备产生的网络流量。
[0107]
需要说明的是，因边界网络设备是属于安全网络设备，因此，可以在该边界网络设备中设置边界防护技术，以屏蔽设备风险值大于预设阈值的关联网络设备传输的网络流量。
[0108]
在本实施例中，通过主动获取工控网络中每个网络设备的状态数据，识别每个网络设备的状态。之后，针对任一网络设备，根据网络设备的状态以及网络设备的上一次状态，确定网络设备的监控结果，以此确定网络设备是否产生异常。而后，根据网络设备的监控结果以及历史监控结果中产生的异常的次数，进一步的计算网络设备的设备风险值，使终端设备可以基于设备风险值确定网络设备对工控网络的危险程度。最后，基于每个网络设备的危险程度，从多个网络设备中准确的确定出工控网络的边界网络设备，使工控网络可以在边界网络设备中部署边界防护技术进行安全防护。
[0109]
请参阅图8，图8是本技术实施例提供的一种工控网络的边界设备确定装置的结构框图。本实施例中工控网络的边界设备确定装置包括的各模块用于执行图3至图7对应的实施例中的各步骤。具体请参阅图3至图7以及图3至图7所对应的实施例中的相关描述。为了便于说明，仅示出了与本实施例相关的部分。参见图8，工控网络的边界设备确定装置800可以包括：获取模块810、识别模块820、监控结果生成模块830、计算模块840以及边界网络设备确定模块850，其中：
[0110]
获取模块810，用于获取工控网络中多个网络设备的状态数据。
[0111]
识别模块820，用于根据每个网络设备的状态数据，识别每个网络设备的状态。
[0112]
监控结果生成模块830，用于分别基于每个网络设备的状态，以及每个网络设备的
上一次状态，生成每个网络设备的监控结果。
[0113]
计算模块840，用于分别根据每个网络设备的监控结果，以及每个网络设备的历史监控结果，计算每个网络设备的设备风险值。
[0114]
边界网络设备确定模块850，用于根据设备风险值从多个网络设备中确定工控网络的边界网络设备。
[0115]
在一实施例中，工控网络的边界设备确定装置800还包括：
[0116]
接收模块，用于接收第一网络设备传输的网络流量；网络流量至少包括协议特征数据。
[0117]
比对模块，用于将协议特征数据与已记录的设备表进行比对。
[0118]
目标信息确定模块，用于若协议特征数据未记录在设备表中，则根据协议特征数据中的源物理地址，确定第一网络设备的目标信息。
[0119]
记录模块，用于将目标信息和协议特征数据记录至设备表中。
[0120]
在一实施例中，网络流量还包括目的协议地址以及操作指令；工控网络的边界设备确定装置800还包括：
[0121]
第二网络设备确定模块，用于针对进行通讯传输的任一第一网络设备，根据网络流量中的目的协议地址，确定工控网络中接收网络流量的第二网络设备；
[0122]
异常告警结果生成模块，用于若在当前周期内第一网络设备传输至第二网络设备的网络流量总量与上一周期内第一网络设备传输至第二网络设备的网络流量总量之差大于预设流量值；和/或，网络流量中的操作指令与第二网络设备中预设异常指令库中的指令相同，则生成第一网络设备的异常告警结果。
[0123]
在一实施例中，监控结果包括异常告警结果；监控结果生成模块830还用于
[0124]
针对任一网络设备，若网络设备的状态数据处于预设范围外，和/或，网络设备的状态与上一次状态不同，则生成网络设备的异常告警结果。
[0125]
在一实施例中，计算模块840还用于：
[0126]
针对任一网络设备，根据监控结果和目标周期内的历史监控结果，统计网络设备产生异常告警结果的异常次数，以及每次产生异常告警结果时的事件损失；根据异常次数以及事件损失，计算网络设备的设备风险值。
[0127]
在一实施例中，计算模块840还用于通过如下风险值计算公式计算设备风险值：
[0128][0129]
其中，y
risk
为设备风险值；a
frequency
为异常次数；b
damage
为事件损失；c
security
为预设的设备安全系数值。
[0130]
在一实施例中，边界网络设备确定模块850还用于：
[0131]
针对任一网络设备，确定与网络设备通信连接的多个关联网络设备；若存在至少一个关联网络设备的设备风险值大于预设阈值，则确定网络设备为工控网络的边界网络设备。
[0132]
当理解的是，图8示出的工控网络的边界设备确定装置的结构框图中，各模块用于执行图3至图7对应的实施例中的各步骤，而对于图3至图7对应的实施例中的各步骤已在上述实施例中进行详细解释，具体请参阅图3至图7以及图3至图7所对应的实施例中的相关描
述，此处不再赘述。
[0133]
图9是本技术一实施例提供的一种终端设备的结构框图。如图9所示，该实施例的终端设备900包括：处理器910、存储器920以及存储在存储器920中并可在处理器910运行的计算机程序930，例如工控网络的边界设备确定方法的程序。处理器910执行计算机程序930时实现上述各个工控网络的边界设备确定方法各实施例中的步骤，例如图1所示的s101至s105。或者，处理器910执行计算机程序930时实现上述图8对应的实施例中各模块的功能，例如，图8所示的模块810至850的功能，具体请参阅图8对应的实施例中的相关描述。
[0134]
示例性的，计算机程序930可以被分割成一个或多个模块，一个或者多个模块被存储在存储器920中，并由处理器910执行，以实现本技术实施例提供的工控网络的边界设备确定方法。一个或多个模块可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述计算机程序930在终端设备900中的执行过程。例如，计算机程序930可以实现本技术实施例提供的工控网络的边界设备确定方法。
[0135]
终端设备900可包括，但不仅限于，处理器910、存储器920。本领域技术人员可以理解，图9仅仅是终端设备900的示例，并不构成对终端设备900的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如终端设备还可以包括输入输出设备、网络接入设备、总线等。
[0136]
所称处理器910可以是中央处理单元，还可以是其他通用处理器、数字信号处理器、专用集成电路、现成可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
[0137]
存储器920可以是终端设备900的内部存储单元，例如终端设备900的硬盘或内存。存储器920也可以是终端设备900的外部存储设备，例如终端设备900上配备的插接式硬盘，智能存储卡，闪存卡等。进一步地，存储器920还可以既包括终端设备900的内部存储单元也包括外部存储设备。
[0138]
本技术实施例提供了一种终端设备，包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序，处理器执行计算机程序时实现如上述各个实施例中的工控网络的边界设备确定方法。
[0139]
本技术实施例提供了一种计算机可读存储介质，包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序，处理器执行计算机程序时实现如上述各个实施例中的工控网络的边界设备确定方法。
[0140]
本技术实施例提供了一种计算机程序产品，当计算机程序产品在终端设备上运行时，使得终端设备执行上述各个实施例中的工控网络的边界设备确定方法。
[0141]
以上实施例仅用以说明本技术的技术方案，而非对其限制；尽管参照前述实施例对本技术进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本技术各实施例技术方案的精神和范围，均应包含在本技术的保护范围之内。