(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211035802.7 (22)申请日 2022.08.26 (71)申请人 中国科学院信息 工程研究所 地址 100093 北京市海淀区闵庄路甲89号 (72)发明人 吕飞　孙利民　吕世超　潘志文　 薛娜　 (74)专利代理 机构 北京路浩知识产权代理有限 公司 11002 专利代理师 聂俊伟 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 工控流量异常行为防护方法及系统 (57)摘要 本发明提供一种工控流量异常行为防护方 法及系统， 包括： 将工控流量依次通过粗粒度五 元组白名单访问控制策略层、 细粒度协议白名单 流量监测策略层和协议黑名单流量审计策略层， 确定工控流量中的异常行为； 其中， 粗粒度五元 组白名单访问控制策略层， 用于确定未知来源地 址流量以及已知地址未知端口流量的异常行为； 细粒度协议白名单流量监测策略层， 用于确定已 知协议未知功能码以及已知协议未知参数的异 常行为； 协议黑名单流量审计策略层， 用于确定 已知协议未知功能码、 已知协议未知参数以及异 常时序的异常行为。 本发明用以解决现有的防护 技术防护效果不够高效的缺陷， 实现一种由浅入 深的多层级防护功能， 提升 了防护效果。 权利要求书2页 说明书9页 附图4页 CN 115529162 A 2022.12.27 CN 115529162 A 1.一种工控流 量异常行为防护方法， 其特 征在于， 包括： 获取工控流量， 将所述工控流量依次通过粗粒度五元组白名单访 问控制策略层、 细粒 度协议白名单流量监测策略层和协 议黑名单流量审计策略层， 确定所述工控流量中的异常 行为； 若所述工控流 量存在异常行为， 则将所述工控流 量进行阻断， 并产生报警信息； 其中， 所述粗粒度五元组白名单访 问控制策略层， 用于确定所述工控流量中未知来源 地址流量以及已知地址未知端口流 量的异常行为； 所述细粒度协议 白名单流量监测策略层， 用于进行监测所述工控流量， 确定所述工控 流量中的已知协议未知功能码以及已知协议未知参数的异常行为； 所述协议黑名单流量审计策略层， 用于确定所述工控流量中的已知协议未知功能码、 已知协议未知参数以及异常时序的异常行为。 2.根据权利要求1所述的工控流量异常行为防护方法， 其特征在于， 将所述工控流量通 过粗粒度五元组白名单访问控制策略层， 确定所述工控流 量中的异常行为， 包括： 获取所述工控流 量中的五元组信息； 将所述五元组信息与所述粗粒度五元组白名单访问控制策略层的五元组访问控制列 表进行比对； 若所述五元组访问控制列表不包含有所述五元组信 息， 则确定所述工控流量包含异常 行为。 3.根据权利要求2所述的工控流量异常行为防护方法， 其特征在于， 所述五元组信 息包 括源IP地址、 源端口、 目的IP地址、 目的端口和传输协议。 4.根据权利要求1所述的工控流量异常行为防护方法， 其特征在于， 将所述工控流量通 过细粒度协议白名单流 量监测策略层， 确定所述工控流 量中的异常行为， 包括： 获取所述工控流 量中的工控协议信息； 将所述工控协议信息与所述细粒度协议白名单流量监测策略层的协议流量监测策略 列表进行对比； 若所述协议流量监测策略列表中不包含所述工控协议信 息， 则确定所述工控流量存在 异常行为。 5.根据权利要求1所述的工控流量异常行为防护方法， 其特征在于， 将所述工控流量通 过协议黑名单流 量审计策略层， 确定所述工控流 量中的异常行为， 包括： 获取所述工控流 量中的工控协议信息； 将所述工控协议信息与所述协议黑名单流量审计策略层的协议流量审计策略列表进 行比对； 若所述协议流量审计策略列表中包含所述工控协议信 息， 则确定所述工控流量包含异 常行为。 6.一种工控流量异常行为防护系统， 其特征在于， 所述工控流量异常行为防护系统用 于执行权利要求1 ‑5任一项所述的工控流量异常行为防护方法， 所述工控流量异常行为防 护系统包括五元组访问控制引擎、 工控协议 监测引擎和工控协议审计引擎； 其中， 所述五元组访 问控制引擎部署有所述粗粒度五元组白名单访 问控制策略层， 所 述工控协议监测引擎部署有所述细粒度协议白名单流量监测策略层， 所述工控协议审计引权　利　要　求　书 1/2 页 2 CN 115529162 A 2擎部署有所述协议 黑名单流 量审计策略层。 7.一种工控流 量异常行为防护装置， 其特 征在于， 包括： 异常行为监测模块， 用于获取工控流量， 将所述工控流量依次通过粗粒度五元组白名 单访问控制策略层、 细粒度协议白名单流量监测策略层和协议黑名单流量审计策略层， 确 定所述工控流 量中的异常行为； 报警模块， 用于若所述工控流量存在异常行为， 则将所述工控流量进行阻断， 并产生报 警信息； 其中， 所述粗粒度五元组白名单访 问控制策略层， 用于确定所述工控流量中未知来源 地址流量以及已知地址未知端口流 量的异常行为； 所述细粒度协议 白名单流量监测策略层， 用于进行监测所述工控流量， 确定所述工控 流量中的已知协议未知功能码以及已知协议未知参数的异常行为； 所述协议黑名单流量审计策略层， 用于确定所述工控流量中的已知协议未知功能码、 已知协议未知参数以及异常时序的异常行为。 8.一种电子设备， 包括存储器、 处理器及存储在所述存储器上并可在所述处理器上运 行的计算机程序， 其特征在于， 所述处理器执行所述程序时实现如权利要求1至6任一项所 述工控流 量异常行为防护方法。 9.一种非暂态计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机 程序被处 理器执行时实现如权利要求1至 6任一项所述工控流 量异常行为防护方法。 10.一种计算机程序产品， 包括计算机程序， 其特征在于， 所述计算机程序被处理器执 行时实现如权利要求1至 6任一项所述工控流 量异常行为防护方法。权　利　要　求　书 2/2 页 3 CN 115529162 A 3