(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211043020.8 (22)申请日 2022.08.29 (71)申请人 西安热工 研究院有限公司 地址 710048 陕西省西安市碑林区兴庆路 136号 申请人 华能集团技 术创新中心有限公司 (72)发明人 崔逸群　刘迪　毕玉冰　朱博迪　 杨东　胥冠军　刘超飞　刘骁　 肖力炀　崔鑫　王艺杰　朱召鹏　 王文庆　邓楠轶　董夏昕　介银娟　 (74)专利代理 机构 西安通大专利代理有限责任 公司 6120 0 专利代理师 李鹏威 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种工控网络安全运维方法及装置 (57)摘要 本发明公开了一种工控网络安全运维方法 及装置， 通过从 网络流量 缓存空间中获取待验证 的网络流量， 并对待验证的网络流量进行安全验 证； 再将验证成功的网络流量发送至网络流量缓 存区间中， 并按照命令类型等级进行存储； 接着 响应于将验证成功的网络流量提交至工控网络 的操作， 从第一网络流量 缓存区间中获取验证成 功的网络流量， 并根据获取的验证成功的网络流 量确定目标网络流量； 最终生 成包括目标网络流 量的目标工控命令文件， 并将目标工控命令文件 提交至工控网络， 如此设计， 利用了预设的网络 流量缓存区间对待验证的网络流量基于命令类 型等级进行存储以及验证， 提高了后续提交至工 控网络进行对应命令的安全性和处 理效率。 权利要求书4页 说明书22页 附图2页 CN 115412343 A 2022.11.29 CN 115412343 A 1.一种工控网络安全运维方法， 其特征在于， 应用于工控 网络中的工控设备， 所述工控 设备维护有网络流量缓存空间， 所述网络流量缓存空间包括网络流量缓存区间， 所述网络 流量缓存区间包括第一网络流量缓存区间， 所述第一网络流量缓存区间用于存储已验证的 网络流量， 具体包括以下步骤： 从所述网络流量缓存空间中获取待验证的网络流量， 并对所述待验证的网络流量进行 安全验证； 将验证成功 的网络流量发送至所述网络流量缓存区间中， 其中， 所述验证成功 的网络 流量被发送至所述第一网络流量缓存区间中， 所述第一网络流量缓存区间是根据与所述验 证成功的网络流量表征 的命令类型等级进行存储的， 在所述第一网络流量缓存区间中， 所 述命令类型等级越高的网络流 量被分配越紧急的处 理时限； 响应于将所述验证成功的网络流量提交至所述工控 网络的操作， 从所述第 一网络流量 缓存区间中获取所述验证成功的网络流量， 并根据获取的所述验证 成功的网络流量确定目 标网络流 量； 生成目标工控 命令文件， 所述目标工控 命令文件 包括所述目标网络流 量； 将所述目标工控 命令文件提交至所述工控网络 。 2.根据权利要求1所述的一种工控 网络安全运维方法， 其特征在于， 所述网络流量缓存 区间还包括第二网络流量缓存区间； 所述第一网络流量缓存区间用于以第一存储权重存储 已验证的网络流量， 所述第二网络流量缓存区间用于以第二存储权重存储已验证的网络流 量， 所述第一存储权重是指上传所述验证成功的网络流量时获取到的命令类型等级的高 低， 所述第二存储权重是根据所述工控设备获取所述验证成功的网络流量的总体耗时， 以 及将所述验证成功的网络流 量提交至所述工控网络时获取到的命令类型等级确定的。 3.根据权利要求2所述的一种工控网络安全运维方法， 其特 征在于， 所述将验证成功的网络流量发送至所述网络流量缓存区间中还包括： 将所述验证成功 的网络流 量发送至所述第二网络流 量缓存区间中， 所述从所述第 一网络流量缓存区间中获取所述验证成功的网络流量， 并根据获取的所 述验证成功的网络流 量确定目标网络流 量， 包括： 确定用于从所述第一网络流量缓存区间和所述第二网络流量缓存区间中获取所述已 验证的网络流量的筛选规则， 其中， 所述筛选规则包括所述第一网络流量缓存区间对应的 第一可处 理数量阈值和所述第二网络流 量缓存区间对应的第二可处 理数量阈值； 获取待提交至所述工控网络中的网络流 量总数目； 按照所述网络流量总数目及所述第 一可处理数量阈值确定第 一流量数目， 并按照所述 网络流量总 数目及所述第二可处理数量阈值确定第二流量数目， 其中， 所述第一网络流量 缓存区间存储的网络流量以所述第一存储权重从大到小进 行存储， 所述第二网络流量缓存 区间存储的网络流 量以所述第二存 储权重从大到小 进行存储； 从所述第一网络流量缓存区间中按照所述第一存储权重从大到小的顺序获取所述第 一流量数目的网络流 量作为第一网络流 量； 从所述第二网络流量缓存区间中按照所述第二存储权重从大到小的顺序获取所述第 二流量数目的网络流量作为第二网络流量； 并根据所述第一网络流量和所述第二网络流量 确定所述目标网络流 量。权　利　要　求　书 1/4 页 2 CN 115412343 A 24.根据权利要求3所述的一种工控 网络安全运维方法， 其特征在于， 根据 所述第一网络 流量缓存区间中的网络流量总数目， 以及所述第二网络流量缓存区间中的网络流量总数 目， 对所述第一可处 理数量阈值和所述第二可处 理数量阈值进行重新分配。 5.根据权利要求4所述的一种工控 网络安全运维方法， 其特征在于， 所述根据 所述第一 网络流量缓存区间中的网络流量总数目， 以及所述第二网络流量缓存区间中的网络流量总 数目， 对所述第一可处 理数量阈值和所述第二可处 理数量阈值进行重新分配， 包括： 在监控到所述第一网络流量缓存区间中的网络流量总数目产生正数目变化， 且所述第 二网络流量缓存区间中的网络流量总数目产生负数目变化时， 增加所述第一可 处理数量阈 值并减少所述第二可处 理数量阈值； 在监控到所述第一网络流量缓存区间中的网络流量总数目产生负数目变化， 且所述第 二网络流量缓存区间中的网络流量总数目产生正数目变化时， 减少所述第一可 处理数量阈 值并增加所述第二可处 理数量阈值。 6.根据权利要求1所述的一种工控 网络安全运维方法， 其特征在于， 所述验证成功的网 络流量还被发送至第二网络流量缓存区间中， 其中， 所述第一网络流量缓存区间用于以第 一存储权重存储已验证的网络流量， 所述第二网络流量缓存区间用于以第二存储权重存储 已验证的网络流 量， 所述将验证成功的网络流 量发送至所述网络流 量缓存区间中， 包括： 获取验证成功的网络流量的流量信 息， 确定将所述验证成功的网络流量提交至工控 网 络时获取的命令类型等级， 并确定所述网络流量缓存空间获取到所述验证成功的网络流量 的总体耗时； 根据所述命令类型等级确定所述验证成功 的网络流量在所述第一网络流量缓存区间 中的所述第一存 储权重； 以及， 根据所述命令类型等级和所述总体耗时确定所述验证成功的网络流量在所述第二网 络流量缓存区间中的所述第二存 储权重； 根据所述第 一存储权重， 将所述验证成功的网络流量发送至所述第 一网络流量缓存区 间中； 以及， 根据所述第 二存储权重， 将所述验证成功的网络流量发送至所述第 二网络流量缓存区 间中。 7.根据权利要求1所述的一种工控 网络安全运维方法， 其特征在于， 所述从所述网络流 量缓存空间中获取待验证的网络流 量， 并对所述待验证的网络流 量进行安全 验证， 包括： 获取待验证的网络流 量； 对所述待验证的网络流量进行字段分析结果报文字段分析， 以生成所述待验证的网络 流量的字段分析 结果； 确定所述待验证的网络流 量的字段分析 结果是否 完整连续； 以及 在确定所述字段分析结果完整连续的情况下， 确定所述字段分析结果为目标字段分析 结果； 在所述字段分析 结果非完整连续的情况 下， 丢弃所述字段分析 结果； 根据所述目标字段分析结果， 利用预置流量识别模型对所述待验证的网络流量进行异 常流量识别， 以确定所述待验证的网络流量的初始验证结果， 所述初始验证结果包括异常 流量、 正常流 量和无法识别流 量， 其中， 所述预置流 量识别模型通过以下 方式获取：权　利　要　求　书 2/4 页 3 CN 115412343 A 3