(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211050773.1 (22)申请日 2022.08.29 (71)申请人 北京六方云信息技 术有限公司 地址 100085 北京市海淀区上地信息路12 号1幢2层C202室 申请人 北京六方云科技有限公司 (72)发明人 周永权　 (74)专利代理 机构 北京润平知识产权代理有限 公司 11283 专利代理师 陈潇潇 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种工控网络威胁检测方法、 系统、 存储介 质及电子设备 (57)摘要 本发明提供一种工控网络威胁检测方法、 系 统、 存储介质及电子设备， 属于工控网络威胁检 测领域。 所述方法包括： 建立工控网络的动态模 型， 监控所述动态模型的运行过程， 采集运行过 程中工控网络流量的变量特性； 建立变量特性数 据库， 并将采集到的工控网络流量的变量特性存 储至所述变量特性数据库； 监测工控网络流量， 基于变量特性数据库中的变量特性实时检测工 控网络流量是否存在威胁。 本方法基于动态模型 和变量特性实现工控网络威胁检测， 可广泛用于 工控网络安全防护中， 以实现对利用合法的工控 协议功能的无固定特 征的攻击行为检测。 权利要求书1页 说明书5页 附图1页 CN 115396223 A 2022.11.25 CN 115396223 A 1.一种工控网络威胁 检测方法， 其特 征在于， 包括： 实时监测工控网络流量， 将工控网络流量的变量与工控网络流量的变量特性进行匹 配， 以检测工控网络流 量是否存在威胁。 2.根据权利要求1所述的工控网络威胁 检测方法， 其特 征在于， 还 包括： 建立变量特性数据库， 用于存 储采集到的工控网络流 量的变量特性。 3.根据权利要求2所述的工控网络威胁 检测方法， 其特 征在于， 所述变量特性包括： 使用设备 特性、 读写周期特性、 变化 率特性以及幅度特性。 4.根据权利要求3所述的工控 网络威胁检测方法， 其特征在于， 所述将工控 网络流量的 变量与工控网络流 量的变量特性进行匹配， 以检测工控网络流 量是否存在威胁， 包括： 判断请求工控网络流量的变量的设备是否符合所述变量特性数据库中记载的使用设 备特性， 若不符合， 则认定存在威胁； 判断工控网络流量的变量的读写周期是否符合所述变量特性数据库中记载的读写周 期特性， 若不符合， 则认定存在威胁； 判断工控网络流量的变量在一定时间段内的变化量是否符合所述变量特性数据库中 记载的变化 率特性， 若不符合， 则认定存在威胁； 判断工控网络流量的变量的幅度大小是否符合所述变量特性数据库中记载的幅度特 性， 若不符合， 则认定存在威胁。 5.根据权利要求1所述的工控网络威胁 检测方法， 其特 征在于， 还 包括： 建立工控网络的动态模型； 监控所述动态模型的运行过程， 采集所述动态模型运行过程中工控 网络流量的变量特 性。 6.根据权利要求1所述的工控 网络威胁检测方法， 其特征在于， 所述实时监测工控 网络 流量， 包括： 引入工控网络流 量； 对工控网络流 量进行深度解析， 得到 工控网络流 量的变量； 持续实时跟踪工控网络流 量的变量。 7.一种工控网络威胁 检测系统， 其特 征在于， 包括： 监测模块， 用于实时监测工控网络流 量； 检测模块， 将处于实时监测状态下的工控 网络流量的变量与工控 网络流量的变量特性 进行匹配， 以检测工控网络流 量是否存在威胁。 8.根据权利要求7 所述的一种工控网络威胁 检测系统， 其特 征在于， 还 包括： 采集模块， 用于采集工控网络流 量的变量特性； 存储模块， 用于存 储采集到的工控网络流 量的变量特性。 9.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储有计算机 指令， 使得 所述计算机指令在计算机上运行时， 执 行权利要求1 ‑6中任一项所述的方法。 10.一种电子设备， 其特 征在于， 包括： 至少一个处 理器、 存储器； 所述存储器存储有计算机执 行指令； 所述至少一个处理器执行所述存储器存储的计算机执行指令， 使得所述电子设备执行 权利要求1 ‑6中任一项所述的方法。权　利　要　求　书 1/1 页 2 CN 115396223 A 2一种工控网 络威胁检测方 法、 系统、 存 储介质及电子 设备 技术领域 [0001]本发明涉及工控网络威胁检测技术领域， 具体地涉及一种工控网络威胁检测方 法、 一种工控网络威胁 检测系统、 一种电子设备以及一种计算机可读存 储介质。 背景技术 [0002]传统的网络安全检测设备(如入侵检测系统、 防火墙等)是基于流量特征进行入侵 行为的检测的， 如网络流量中的关键字。 如果攻击者通过合法的工控协议读取工控系统的 变量值、 篡改工控系统的设定值、 向工控系统下发控制命令、 伪造 响应以诱骗操作人员进 行 错误的操作等， 由于没有固定的特征， 传统的网络安全检测设备将无法检测到这些攻击行 为。 [0003]读取工控系统的变量值： 攻击者突破网络边界进入工控网络后， 可以利用工控协 议提供的功能读取工控系统中的变量值， 通过这种方式可以窃取生产信息， 若控制 工艺的 关键参数、 机密配方等信息。 攻击者也可以通过这种方式 收集更多工控系统的信息， 为下一 步攻击做准备。 [0004]篡改工控系统的设定值： 攻击者突破网络边界进入工控网络后， 可以利用工控协 议提供的功能篡改工控系统中的重要设定值， 导致控制过程出现异常。 例如修改电厂汽包 温度、 压力的设定值， 可能导 致汽包温度和压力过高发生爆炸， 造成严重后果。 [0005]向工控系统下发控制命令： 攻击者突破网络边界进入工控网络后， 可以利用工控 协议提供 的功能直接向控制器下发控制命令， 导致控制过程出现异常。 例如关闭冷却水阀 门、 关闭离心机运行等， 这些 行为都会让生产过程出现异常， 造成严重后果。 [0006]伪造响应以诱骗操作人员进行错误的操作： 攻击者突破网络边界进入工控网络 后， 还可以中间人攻击的方式将控制器发送给上位机的数据进行篡改， 这些被篡改的数据 在上位机上显示时， 操作人员可能会做出错误判断。 例如打开或关闭某些手动阀门， 或者做 出错误的商业决定 。 [0007]对于利用合法工控协议进行的网络攻击行为， 现有技术只能通过源IP地址等信息 来进行检测， 但 攻击者完全 可以伪造IP地址和MAC地址进 行规避， 甚至可以劫持工控系统中 的一台PC作为跳 板来进行攻击 。 现有技术很难准确检出这类攻击行为。 发明内容 [0008]本发明实施方式的目的是提供一种工控网络威胁检测方法、 系统、 存储介质及电 子设备， 以至少解决现有技 术很难检测出利用合法工控协议进行网络攻击的问题。 [0009]为了实现上述目的， 本发明第一方面 提供一种工控网络威胁 检测方法， 包括： [0010]实时监测工控网络流量， 将工控网络流量的变量与工控网络流量的变量特性进行 匹配， 以检测工控网络流 量是否存在威胁。 [0011]变量特性能够表示工控网络流量的动态变化的特性， 将变量与数据库中存储的变 量特性进行比对匹配， 能够确认变量是否符合正常的变量特性， 依 次可以判断出变量对应说　明　书 1/5 页 3 CN 115396223 A 3