(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210888657.0 (22)申请日 2022.07.27 (71)申请人 北京六方云信息技 术有限公司 地址 100085 北京市海淀区上地信息路12 号1幢2层C202室 申请人 北京六方云科技有限公司 (72)发明人 贾建利　 (74)专利代理 机构 北京恒程知识产权代理有限 公司 11914 专利代理师 李婷 (51)Int.Cl. H04L 9/40(2022.01) G06F 16/2455(2019.01) G06N 20/00(2019.01) (54)发明名称 工业通讯防护方法、 装置、 终端设备及存储 介质 (57)摘要 本发明公开一种工业通讯防护方法、 装置、 终端设备及存储介质， 属于工业通讯安全领域， 该工业通讯防护方法包括： 获取工业流量数据， 从所述工业流量数据中提取协议特征； 对所述协 议特征基于预设的协议特征匹配规则进行匹配， 得到第一匹配结果； 根据所述协议特征的第一匹 配结果， 并基于威胁检测规则检测所述工业流量 数据中的安全性威胁。 本发明通过对工业通讯中 的协议特征进行配置、 学习和检测， 并通过人工 干预威胁判定， 确保能够有效、 快速地检测出工 业通讯流量中的安全性威胁， 保障了工业控制系 统在通讯时的安全性。 权利要求书2页 说明书13页 附图5页 CN 115065552 A 2022.09.16 CN 115065552 A 1.一种工业 通讯防护方法， 其特 征在于， 所述工业 通讯防护方法包括以下步骤： 获取工业 流量数据， 从所述工业 流量数据中提取协议特 征； 对所述协议特 征基于预设的协议特 征匹配规则进行匹配， 得到第一匹配结果； 根据所述协议特征的第 一匹配结果， 并基于威胁检测规则检测所述工业流量数据中的 安全性威胁。 2.根据权利要求1所述的工业通讯防护方法， 其特征在于， 所述对所述协议特征基于预 设的协议特 征匹配规则进行匹配， 得到第一匹配结果的步骤 包括： 将所述协议特 征进行特征唯一值的运算， 得到所述协议特 征的第一特 征唯一值； 将所述第一特征唯一值与特征缓存中的数据进行匹配， 得到第一匹配结果， 所述特征 缓存包括已知特 征缓存和临时特 征缓存; 所述根据 所述协议特征的第 一匹配结果， 并基于威胁检测规则检测所述工业流量数据 中的安全性 威胁的步骤 包括： 若所述第一匹配结果为匹配成功， 则根据 特征缓存的数据确定所述协议特征的特征权 值； 判断所述特 征权值是否 达到预设的异常阈值； 若是， 则确定检测到安全性 威胁； 若所述第一匹配结果为匹配失败， 则将所述协议特征与 预先配置的敏感动作 特征进行 匹配， 得到第二匹配结果； 若所述第二匹配结果为失败， 则将所述协议特征上报告警， 将所述协议特征及相关数 据添加到临时特征缓存中， 进行增 量特征的学习， 并根据预先配置的特征规则动作进行处 理； 若所述第二匹配结果 为成功， 则确定检测到安全性 威胁。 3.根据权利要求2所述的工业通讯防护方法， 其特征在于， 所述工业通讯防护方法还包 括： 在检测到安全性 威胁时， 对所述工业 流量数据进行处 理， 具体包括： 在检测到安全性威胁时， 将所述协议特征及相关数据添加到临时特征缓存中， 进行所 述增量特 征的学习， 并根据预 先配置的特 征规则动作进行处 理； 和/或 在检测到安全性威胁时， 将所述协议特征上报， 并由人工干预处理， 所述人工干预为告 警、 通过和丢弃中任一种; 根据所述人工 干预对所述协议特 征进行威胁等级划分， 得到第一划分结果； 若所述人工干预为告警或通过， 则将所述协议特征及相关数据存入所述已知特征存缓 存； 若所述人工 干预为丢弃， 则标识所述工业 流量数据为丢弃状态。 4.根据权利要求3所述的工业通讯防护方法， 其特征在于， 所述增量特征的学习的步骤 包括： 获取所述临时特 征缓存中所述协议特 征的特征权值； 根据预设威胁阈值范围和时间对所述特征权值进行威胁等级划分， 得到第二划分结 果， 所述威胁阈值范围包括 最高威胁、 可疑威胁、 无威胁； 根据所述第二划分结果， 对所述特 征缓存进行处 理；权　利　要　求　书 1/2 页 2 CN 115065552 A 2根据所述第二划分结果， 更新所述协议特征对应的特征规则动作为告警、 通过和丢弃 中任一种。 5.根据权利要求4所述的工业通讯防护方法， 其特征在于， 所述根据预设威胁范围和时 间对所述特征权值进行威胁等级划分， 得到第二划分结果， 所述威胁范围包括最高威胁范 围、 可疑威胁范围、 无威胁范围的步骤 包括： 计算所述协议特征在单位时间的特征权值， 若所述特征权值满足所述最高威胁范围， 则将所述协议特 征的威胁等级判定为高威胁； 计算所述协议特征在预设时间段内的特征权值， 若所述特征权值满足所述可疑威胁范 围， 则将所述协议特 征的威胁等级判定为可疑威胁； 计算所述协议特征在预设时间周期内的特征权值， 若所述特征权值满足所述无威胁范 围， 则将所述协议特 征的威胁等级判定为无威胁。 6.根据权利要求2所述的工业通讯防护方法， 其特征在于， 所述获取工业流量数据， 从 所述工业 流量数据中提取协议特 征的步骤之前还 包括： 根据预先配置的学习策略， 进行协议特 征的学习， 得到协议特 征的学习结果； 将所述学习结果与所述已知特 征缓存中的数据做对比， 计算差异比例； 将所述差异比例与预 先设定的差异阈值做对比； 若所述差异比例大于预先设定的差异阈值， 则将所述学习结果同步到所述已知特征缓 存。 7.根据权利要求6所述的工业通讯防护方法， 其特征在于， 所述根据预先配置的学习策 略， 进行协议特 征的学习， 得到协议特 征的学习结果的步骤之前还 包括： 从数据库中获取原 始特征数据； 根据所述原始特征数据中的精准特征标识， 判断所述原始特征数据中的特征是否为已 知特征； 若所述原始特征数据中的协议特征为已知特征， 则将所述原始特征数据存入所述已知 特征缓存； 若所述原始特征数据中的协议特征非已知特征， 则将所述原始特征数据存入所述临时 特征缓存或对所述临时特 征缓存进行 更新。 8.一种工业 通讯防护装置， 其特 征在于， 所述工业 通讯防护装置包括： 提取模块， 用于获取工业 流量数据， 从所述工业 流量数据中提取协议特 征； 匹配模块， 用于对所述协议特征基于预设的协议特征匹配规则进行匹配， 得到第一匹 配结果； 学习操作模块， 用于根据所述协议特征的第一匹配结果， 并基于威胁检测规则检测所 述工业流量数据中的安全性 威胁。 9.一种终端设备， 其特征在于， 所述终端设备包括存储器、 处理器及存储在所述存储器 上并可在所述处理器上运行的工业通讯防护程序， 所述工业通讯防护程序被所述处理器执 行时实现如权利要求1 ‑7中任一项所述工业 通讯防护方法的步骤。 10.一种存储介质， 其特征在于， 所述存储介质上存储有工业通讯防护程序， 所述工业 通讯防护程序被所述处理器执行时实现如权利要求1 ‑7中任一项 所述工业通讯防护方法的 步骤。权　利　要　求　书 2/2 页 3 CN 115065552 A 3