一種工控網絡安全預警方法及系統與流程

2023-07-14 12:35:16 2

本公開涉及工控網絡領域，尤其涉及一種工控網絡安全預警方法及系統。
背景技術：
：隨著工業控制系統與網際網路的不斷融合，工業控制系統不可避免地暴露在網絡安全威脅之下，使得工控網絡的安全性、穩定性變得越來越不可控。據統計，當前工控網絡中70％的聯網設備存在安全漏洞，而預計未來接入物聯網的90％的軟硬體設備會存在一定程度的安全隱患，因此工控網絡安全問題亟待解決。目前針對工控網絡安全，絕大多數廠商的解決方案都是按照定製的安全規則對工控數據包進行過濾，對命中黑名單的操作進行告警。相關技術中，配置了安全大數據平臺以執行這一功能。一般的安全大數據平臺是集大數據存儲、查詢和分析於一體的統一平臺，以較大的數據中心和大型集群伺服器為支持，以海量數據處理引擎和實時數據處理引擎為核心，並針對城市、物聯網等數據和計算密集型行業的運行維護、應用開發等需求，打造了開放性分布式軟體體系。但是，對於該安全大數據平臺，從大數據專業角度看，其是一個集成大數據處理和實時數據處理的通用平臺。但對於工控現場來說，其存在以下問題：1)工控現場一般缺少很大的數據中心，不能支持大型集群伺服器的部署；2)工控現場網絡結構比較簡單、單一，不能滿足複雜、大量、高速的數據傳輸要求；3)工控網絡的實時數據處理一般都需要約50毫秒的響應時間，而上述安全大數據平臺由於複雜的網絡結構，導致網絡延遲較大，無法滿足數據實時處理的要求；4)上述安全大數據平臺的算法模型比較單一，處理能力有限。因此，有必要開發適用於工控現場的新的工控網絡安全預警方案。技術實現要素：為克服相關技術中存在的問題，本公開提供一種工控網絡安全預警方法及系統。根據本公開實施例的第一方面，提供一種工控網絡安全預警方法，包括：獲取工控網絡的控制事件的安全相關數據；對所述安全相關數據進行cep(complexeventprocessing，複合事件處理)分析；以及採用基於深度學習的分類器對經cep分析後的數據進行控制事件的風險識別。根據本公開實施例的第二方面，提供一種工控網絡安全預警系統，包括：數據獲取模塊，用於獲取工控網絡的控制事件的安全相關數據；第一處理模塊，用於對所述安全相關數據進行cep分析；以及第二處理模塊，用於採用基於深度學習的分類器對經cep分析後的數據進行控制事件的風險識別。本公開的實施例提供的技術方案可以包括以下有益效果：本公開實施例的工控網絡安全預警方法及系統可以部署於資源受限的工控現場，適合於單節點或者多個節點部署環境，部署方式更為靈活。並且，在工控現場的部署方法減少了網絡延遲，提高了實時數據的處理響應速度，提高了風險預警能力。另外，採用基於深度學習的分類器進行風險識別，識別的準確率更高，而cep分析和深度學習方案的結合又使得風險識別的效率大幅度提高。應當理解的是，以上的一般描述和後文的細節描述僅是示例性和解釋性的，並不能限制本公開。附圖說明此處的附圖被併入說明書中並構成本說明書的一部分，示出了符合本發明的實施例，並與說明書一起用於解釋本發明的原理。圖1是根據一示例性實施例示出的一種工控網絡安全預警方法的流程圖。圖2是根據一示例性實施例示出的cep系統的架構框圖。圖3是根據一示例性實施例示出的事件的相關性分析的流程圖。圖4是根據一示例性實施例示出的事件的相關性分析的原理圖。圖5是根據一示例性實施例示出的按時間展開的遞歸神經網絡的原理圖。圖6是根據另一示例實施例示出的工控網絡安全預警系統的結構框圖。圖7是根據另一示例實施例示出的構建示例工控網絡安全預警系統的技術框架圖。圖8是根據另一示例實施例示出的實時流式數據處理框架與深度學習框架的集成方案的原理圖。具體實施方式這裡將詳細地對示例性實施例進行說明，其示例表示在附圖中。下面的描述涉及附圖時，除非另有表示，不同附圖中的相同數字表示相同或相似的要素。以下示例性實施例中所描述的實施方式並不代表與本發明相一致的所有實施方式。相反，它們僅是與如所附權利要求書中所詳述的、本發明的一些方面相一致的裝置和方法的例子。圖1是根據一示例性實施例示出的一種工控網絡安全預警方法的流程圖，如圖1所示，所述工控網絡安全預警方法主要包括以下步驟。在步驟s11中，獲取工控網絡的控制事件的安全相關數據。其中，所述安全相關數據可以包括工控網絡的歷史安全數據、歷史審計數據、實時安全數據和實時審計數據。這裡，對於歷史數據和實時數據的獲取渠道可以不同，主要有兩種方式：1)從工控網絡的安全監管平臺和安全審計系統導入工控網絡的歷史安全數據和歷史審計數據。2)實時獲取從工控網絡的消息中間件傳輸的工控網絡的實時安全數據和實時審計數據。進一步地，還需要將所述歷史安全數據、歷史審計數據、實時安全數據和實時審計數據存入資料庫中，本發明實施例優選採用適合於單節點安裝的nosql資料庫，更為優選採用nosql資料庫中的比較常用的是mongodb和cassandra，mongodb存儲json數據，更像一個json文檔庫；而cassandra更像一個傳統意義的資料庫，同時可以提供類似sql查詢接口。並且，cassandra集群的無中心結構使其集群更簡單，易於部署。在步驟s12中，對所述安全相關數據進行cep分析。cep不僅處理單一的事件，也處理由多個事件所組成的複合事件，其監測並分析事件流，當特定事件發生時去觸發某些動作。圖2示出了cep系統的架構，如圖2所述，cep系統可以包括：1)適配器21：其包括複雜適配外圍系統的通訊協議，支持soap/rest、thrift格式等。2)事件流管理器22：其為核心調度模塊，可用於註冊可以處理的事件類型，且對於每一種類型，調用某一個或者多個執行計劃來處理。3)執行計劃23：其包含進行事件處理的邏輯規則，為事件處理提供了一個獨立的、相互隔離的運行環境。基於cep系統的架構，本實施例的cep分析的過程優選可以包括：在固定時間窗口對所述安全相關數據進行統計匯總以確定控制事件的相關屬性；以及結合控制事件的相關屬性和預設的規則引擎對控制事件進行相關性分析以獲取各控制事件之間的相關性。即，本實施例中涉及的cep分析主要包括統計匯總和相關性分析兩部分，下面具體介紹這兩部分：1)統計匯總進行統計匯總目的在於獲取控制事件的統計數據，對於絕大多數控制事件，通過統計匯總，可以反映出某些控制事件發生的時間、頻率等信息。在優選的實施例中，在對所述安全相關數據進行cep分析之前，可以先對所述安全相關數據進行聚類分析，事件的統計匯總再在聚類分析的基礎上進行，例如將控制事件按照時間次序進行統計匯總，以確定控制事件的相關屬性，進而捕捉到事件之間的關聯關係。從統計學的觀點看，聚類分析是通過數據建模簡化數據的一種方法。本發明實施例中，聚類是將控制事件的安全相關數據分類到不同的類或者簇中的過程，使得同一個簇中的對象有很大的相似性，而不同簇間的對象有很大的相異性，從而可以利用聚類分析方法理解控制事件的數據結構、剖析控制事件數據項中的關鍵因素。本實施例中可採用的聚類分析方法包括系統聚類法、分解法、加入法、動態聚類法、有序樣品聚類、有重疊聚類和模糊聚類等，更為優選採用k-mean聚類和k-modes聚類。其中，k-means聚類的基礎是樣本之間的歐幾裡德距離，但是僅對於樣本屬性為連續實數的情況才可以計算歐幾裡德距離，對於離散型屬性，例如兩個不同ip地址間的距離，則無法用實數衡量計算。k-modes聚類算法是按照k-means聚類算法的核心內容進行修改，針對分類屬性的度量和更新質心的問題而進行的改進。k-modes聚類算法的具體內容如下：a)度量樣本之間的相關性d的計算公式是比較兩記錄之間差異，屬性相同為0，不同為1。b)然後把所有的差異值相加。因此d越大，即樣本之間的不相關程度越強，其與歐式距離代表的意義相一致。c)更新modes，使用每個聚類中屬性出現頻率最大的那個屬性值，作為代表聚類的屬性值。例如某個聚類有樣本{[a,b][a,c][c,b][b,c]}，則代表聚類的屬性值則為[a,b]或者[a,c]。需說明的是，上述聚類分析不是基於cep實現的，其實現方式將在下文詳細說明。2)相關性分析如圖3所示，進行相關性分析的主要步驟包括：步驟s31，通過控制事件的相關屬性捕捉各控制事件之間的關聯關係。步驟s32，通過預設的規則引擎確定控制事件的上下文環境數據。步驟s33，結合所捕捉的各控制事件之間的關聯關係和所確定的控制事件的上下文環境數據，確定各控制事件之間的相關性。圖4示出了事件相關性分析的原理。如圖4所示，對於控制事件的相關性分析來說，有兩個非常重要的因素，一個是事件的統計數據(可以是對聚類分析後的數據進行統計匯總所獲得的數據)，另外一個則是事件之間的相關規則(藉助預設的規則引擎確定)。通過事件的統計數據，可以通過反映出某些控制事件發生的時間、頻率等信息來反映出對應的業務模式。然而，事件相關的一些上下文環境因素(即業務模式)，例如網絡聯通性、用戶的角色、受控設備的狀態等等，更能對於事件的理解提供更大的幫助。因此，在步驟s33中，實質上結合了事件的統計數據和事件之間的相關規則，將事件的上下文環境數據與事件的相關屬性進行綜合判斷，分析事件之間的關聯關係，以確定各控制事件之間的相關性。在步驟s13中，採用基於深度學習的分類器對經cep分析後的數據進行控制事件的風險識別。這裡，風險識別與安全事件歸併提醒不同，其是通過分析連續的安全事件、審計數據，刨析隱藏在其中的行為模式，識別安全風險。並且，結合安全評價、業務場景、設備重要性等對於單個工控指令進行風險提醒。風險識別可以基於機器學習分類器來進行，即經過歷史數據學習的機器學習模塊，對於單個安全事件進行分析、分類，判斷控制事件是否不符合常規業務模式，以識別、告警安全事件。其中，本發明實施例優選採用基於深度學習的分類器(或稱為基於深度神經網絡的分類器)，更為優選採用基於遞歸神經網絡(recurrentneuralnetworks，以下簡稱為rnn)的分類器，基於rnn的安全事件分類器可以更好地理解安全事件之間的相關性，基於安全事件的前因後果，對於事件的安全風險做出更加可靠的評估。下面介紹rnn的基本工作原理，更多的細節可參考現有相關文獻。rnn又被稱為循環神經網絡，其具體的表現形式為網絡會對前面的信息進行記憶並應用於當前輸出的計算中，即隱藏層之間的節點不再無連接而是有連接的，並且隱藏層的輸入不僅包括輸入層的輸出還包括上一時刻隱藏層的輸出。圖5示出了按時間展開的rnn，其中所涉及的各個參數記號表示的含義如下：1)網絡某一時刻的輸入xt，和多層感知器的輸入一樣，xt是一個n維向量，不同的是遞歸網絡的輸入將是一整個序列，也就是x＝[x0,...,xt-1,xt,xt+1,...xt]，對於語言模型，每一個xt將代表一個詞向量，一整個序列就代表一句話。2)ht代表時刻t的隱藏狀態。3)ot代表時刻t的輸出。4)輸入層到隱藏層直接的權重由u表示，它將我們的原始輸入進行抽象作為隱藏層的輸入。5)隱藏層到隱藏層的權重w，它是網絡的記憶控制者，負責調度記憶。6)隱藏層到輸出層的權重v，從隱藏層學習到的表示將通過它再一次抽象，並作為最終輸出。基於上述按時間展示的rnn，rnn分為兩個階段，具體為：(1)rnn的向前(forward)階段首先在t＝0的時刻，u、v、w都被隨機初始化好，h0通常初始化為0，然後進行如下計算：s1＝ux1+wh0h1＝f(s1)o1＝g(vh1)這樣時間就向前推進，此時的狀態h1作為時刻0的記憶狀態將參與下一次的預測活動，可表示為：s2＝ux2+wh1h2＝f(s2)o2＝g(vh2)以此類推st＝uxt+wht-1ht＝f(uxt+wht-1)ot＝g(vht)其中f可以是tanh、relu、logistic這三種函數的其中之一，g可以是softmax函數，也可以是其他函數。因此，可知rnn的記憶能力就是通過w將以往的輸入狀態進行總結，而作為下次輸入的輔助，也即是可以參考下式理解隱藏狀態：h＝f(現有的輸入+過去記憶總結)(2)rnn的向後(backward)階段上面介紹了rnn如何做序列化預測，即如何一步步預測出o0,o1,....ot-1,ot,ot+1.....，下來說明u、v、w是如何訓練的。這裡需要利用類似於多層感知器和卷積神經網絡用到的back-propagation方法，也就是利用輸出層的誤差cost，求解各個權重的梯度然後利用梯度下降法更新各個權重。由於是序列化預測，那麼對於每一時刻t，網絡的輸出ot都會產生一定誤差et，誤差可任意選擇，可以是crossentropy，也可以是平方誤差等等。那麼總的誤差為e＝∑tet，則可求取各個權重的梯度如下：易知輸出ot＝g(vst)。另外，可知對於任意的cost函數，求取將是簡單的，可以直接求取每個時刻的由於它不存在對之前的狀態的依賴，可以直接求導取得，然後簡單地求和即可。下面重點介紹的計算。參照多層感知器的backprop算法，可知算法的竅門是定義一個首先計算出輸出層的δl，再向後傳播到各層δl-1,δl-2,....，而計算δ只要關注當前層次發射出去的連結即可，如下式：δht＝(vtδot+wtδht+1).*f'(st)因此，只要計算出所有的δot,δht，就可以通過以下計算出其中×表示兩個向量的外積。如此，通過機器學習可在安全評價的基礎上，進行風險識別，從而可以更為全面地實現安全預警。這裡，基於深度學習的分類器，可以使風險識別的準確率更高(準確率可達90％以上)。並且，基於深度學習的分類器算法本身是分布式的，在數據訓練期間，可以在多個節點進行大規模、分布式訓練，提高訓練的精度和速度，然後將模型存儲起來，單節點部署，進行安全風險識別。本實施例中，深度學習分類器算法的學習訓練可以分為三個階段：1)歷史數據訓練：通過歷史存儲的控制事件的安全相關數據訓練基於深度學習的分類器，以獲得相應的深度學習模型。這裡，歷史存儲的控制事件的安全相關數據可以為上述的歷史安全數據和歷史審計數據，其屬於前期收集的實際客戶真實數據，利用其對基於深度神經網絡的分類器進行訓練，不斷調整系統參數，可以優化識別準確率。2)工控網絡運行期間：加載並還原所述深度學習模型，以對實時獲取的控制事件的安全相關數據進行分類和預警，並輸出預警結果。這裡，歷史數據訓練完成的模型採用序列化工具，將整個深度學習模型存儲為二進位文件。在系統部署運行時，再加載、還原整個深度學習模型，對實際的實時獲取的控制事件的安全相關數據進行分類、預警，並輸出。需說明，這裡的實時獲取的控制事件的安全相關數據包括上述的實時安全數據和實時審計數據。3)分類器優化：接收用戶對於預期結果的反饋信息，並根據所述反饋信息來優化所述深度學習模型。具體地，在工控網絡部署運行期間，在深度神經網絡分類器給出預警結果後，可以由用戶通過ui界面，設置同類告警下次的處理動作(忽略、告警、危險等)，以便對於分類器更進一步根據客戶的需要和實際情況進行分類學習，優化分類器以提高分類器的預警準確率。此外，還優選在gpu(graphicsprocessingunit，圖形處理器)上執行深度學習算法，gpu相對於普通cpu運算速度能提高7倍以上。結合上文，本實施例的工控網絡安全預期方案的整個安全風險識別過程可以分為兩個階段，第一個階段先以cep為核心，與上述的「統計匯總」和「相關性分析」部分相關聯，主要是對於控制事件進行相關性分析，找到事件之間的關聯關係，對於控制事件進行初步的過濾，初步確定安全事件；第二階段以深度學習為核心，在cep處理懷疑事件有安全風險時，然後利用深度學習工具，對於安全事件進行更進一步的分析，找出其中的高危控制事件。需說明的是，雖然也可僅基於第二階段進行風險識別，但是cep的處理速度要遠遠高於基於機器學習的算法工具，因此兩者的結合有助於提高風險識別的效率。進一步，基於cep分析與深度學習方案的結合，本發明實施例可實現多項業務功能，主要包括安全評價和風險識別兩個方面。一、安全評價本實施例中，通過cep分析結果計算用於安全評價的安全指數security_index，以此來進行安全評價。其中，cep分析結果中所涉及的參數，也就是用於計算安全指數的安全指標，如下面的表1所示。表1，安全指標表對應的安全指數security_index的計算公式可定義為：如此，可根據所述安全指數對總體工控網絡和/或單獨的安全事件進行安全評價，例如：1)security_index反映總體工控網絡的安全程度，security_index值越大，則危險等級越高；2)安全事件總數的變化反映了整個工控網絡安全型的態勢；3)安全指數的絕對值沒有實際意義，需要根據實際的數據，要從數據中學習，統計出中位數，劃分不同的數據區間，評價為綠/橙/紅；4)根據類似定義，可以對單獨的安全事件進行安全評價。二、風險識別參考上文關於步驟s13的相關描述，可採用基於深度學習的分類器對經cep分析後的數據進行控制事件的風險識別，在此不再贅述。綜上，本發明實施例的工控網絡安全預警方法的前期構建成本較低，後期的維護成本也相對較低，且其可以部署於資源受限的工控現場，適合於單節點或者多個節點部署環境，新節點加入後，數據可以自動重新分區，部署方式更為靈活。並且，在工控現場的部署方法減少了網絡延遲，提高了實時數據的處理響應速度，提高了風險預警能力。圖6是根據另一實施例示出的一種工控網絡安全預警系統的結構框圖。參照圖6，該工控網絡安全預警系統包括數據獲取模塊61，第一處理模塊62和第二處理模塊63。其中，所述數據獲取模塊61被配置為獲取工控網絡的控制事件的安全相關數據，且其可以包括：第一接收模塊611，用於從工控網絡的安全監管平臺和安全審計系統導入工控網絡的歷史安全數據和歷史審計數據；第二接收模塊612，用於實時獲取從工控網絡的消息中間件傳輸的工控網絡的實時安全數據和實時審計數據；以及資料庫模塊613，與所述第一接收模塊和所述第二接收模塊通信，用於將所述歷史安全數據、歷史審計數據、實時安全數據和實時審計數據存入資料庫。其中，第二處理模塊62被配置為對所述安全相關數據進行cep分析，且該cep分析可以包括：在固定時間窗口對所述安全相關數據進行統計匯總以確定控制事件的相關屬性；以及結合控制事件的相關屬性和預設的規則引擎對控制事件進行相關性分析以獲取各控制事件之間的相關性。優選地，所述第一處理模塊62可以包括統計匯總模塊621和相關性分析模塊622；其中，所述統計匯總模塊621用於對所述安全相關數據進行統計匯總以確定控制事件的相關屬性；以及其中，所述相關性分析模塊622用於通過控制事件的相關屬性捕捉各控制事件之間的關聯關係，以及通過預設的規則引擎確定控制事件的上下文環境數據，並結合所捕捉的各控制事件之間的關聯關係和所確定的控制事件的上下文環境數據，確定各控制事件之間的相關性。其中，所述第二處理模塊63可以包括：模型訓練模塊631，用於通過歷史存儲的控制事件的安全相關數據訓練基於深度學習的分類器，以獲得相應的深度學習模型；分類模塊632，用於在工控網絡運行期間，加載並還原所述深度學習模型，以對實時獲取的控制事件的安全相關數據進行分類和預警，並輸出預警結果；以及模型優化模塊633，用於接收用戶對於預期結果的反饋信息，並根據所述反饋信息來優化所述深度學習模型。此外，在更為優先的實施例中，該工控網絡安全預警系統還可以包括：聚類模塊，與所述第一處理模塊62通信，用於在對所述安全相關數據進行cep分析之前，對所述安全相關數據進行聚類分析。關於上述實施例中的系統，其中各個模塊執行操作的具體方式已經在有關該方法的實施例中進行了詳細描述，此處將不做詳細闡述說明。另外，以下關於本實施例中的系統的示例描述中內容，也可適應性用於上述有關方法的實施例中。在圖6的基礎上，下面通過一個工控網絡安全預警系統的實例來更為詳細地介紹本發明實施例。該實例給出了構建工控網絡安全預警系統的總體技術框架，如圖7所示，可以包括以下五個組成部分，其中數據層71、基礎框架層73及應用層74為實現本發明實施例的目的所必要的，而集群72及web層75可根據實際需求進行配置。1)數據層71其可以對應配置如上的數據獲取模塊61，包括第一接收模塊611(圖7中未示出)、第二接收模塊612(圖7中未示出)及資料庫模塊613，其中資料庫模塊613採用cassandra資料庫。第一接收模塊611其從外部mysql資料庫批量導入歷史數據以存入cassandra，這裡的mysql資料庫為工控網絡的安全監管平臺和安全審計系統的資料庫；第二接收模塊613用於將基礎框架層所獲取的實時數據導入至cassandra中，該實時數據是基礎框架層從消息中間件kafkatopic中實時獲取的。另外，cassandra數據在後續還將以一定的數據模型保存經應用層等處理後的數據，下文將詳細描述，在此則不再贅述。2)集群72集群為分布式部署的基礎，應用的分布式處理和數據的橫向擴展均依賴於此。本實施例採用spark集群，其由於優秀的橫向擴展能力、高效的處理速度贏得了廣泛的社區支持。同時，該集群還包括基於分區的數據處理rdd(resilientdistributeddatasets，彈性分布式數據集)，其為數據並發處理提供了高效支持。3)基礎框架層73該部分是整個上層應用的技術基礎，由實時流式數據處理框架sparkstream、cep處理框架以及深度學習框架tensorflow組成。其中，實時流式數據處理框架sparkstream用於實時從消息中間件kafkatopic中獲取工控網絡控制事件的實時數據，其還可以對數據進行初步加工以寫入nosql資料庫中。其中，上述的第一處理模塊基於所述cep處理框架實現，以對控制事件在固定時間窗口內進行匯總及相關性分析等。其中，上述的第二處理模塊和聚類模塊可以基於深度學習框架tensorflow實現，以提供各種智能算法，為cep分析預處理數據以及對相關數據進行模式分析，以識別高危控制事件。在更為優選的示例中，實時流式數據處理框架sparkstream與深度學習框架tensorflow可以集成在一起。如圖8所示，該集成方案中：spark集群為scala程序，運行於java虛擬機上，tensorflow的核心為c++，運行於作業系統之上。spark集群從cassandra中讀取數據、經過轉換之後，需要將數據送入tensorflow進行處理。而實時數據經過sparkstream處理後，也需要送入tensorflow進行安全風險分類。因為spark和tensorflow均提供python接口，且都可以在程序運行期間與外部的python程序進行數據交互。基於此，可以在spark與tensorflow之間構造一個數據管道，讓spark將數據轉換結果寫入數據管道，然後經過tensorflow的feeding機制，將數據送入tensorflow，通過tensorflow進行機器學習、聚類分析等。基於以上基礎框架，可以向應用層提供安全態勢、安全策略、安全評價和風險識別等業務功能。並且，經各基礎框架處理後的數據都可以寫入至nosql資料庫中。4)應用層74其用於配置由基礎框架層所支持的業務功能模塊，例如可以對應配置安全評價模塊和風險識別模塊。此外，還可配置安全態勢模塊用於進行工控網絡的安全態勢估計。5)web層75其用於提供用戶交互ui，可以由web框架pythonflask、大數據展示框架bokeh和客戶端與伺服器端雙向交互的基礎框架websocket組成，這三個框架相互配合以向用戶進行數據展現。對於上述五個部分，從開發語言上來說，可採用大數據分析的開發所普便使用的python和r，但由於python更強的集成與應用開發能力，這裡優選採用python。進一步地，數據層71還可基於其他層的處理結果，建立安全預警相關數據模型以供用戶查閱相關數據，具體可以包括以下數據模型：1)安全事件數據模型本示例中，安全事件在識別到安全風險後產生，一個安全事件對應一次安全風險事件。在其他示例中，安全事件也可以在dpi(deeppacketinspection，深度報文檢測)設備根據安全規則過濾控制數據包時產生。對應的安全事件數據模型如表2所示。表2，安全事件數據模型2)工控設備數據模型這裡的工控設備是指處於工控網絡內的各種工控和網絡設備，對應的工控設備數據模型如表3所示。表3，工控設備數據模型3)安全規則數據模型該模型中包括發送給dpi設備的安全規則，其中機器學習分類器也可以根據自己學習到的安全風險分類規則，修改安全規則的風險等級；或者包括由機器學習分類器根據學習到安全風險識別規律而創建的新安全規則。對應的安全規則數據模型如表4所示。表4，安全規則數據模型no名稱類型說明1ruleiduuid安全規則編號2protocol_type文本協議類型3rule_name文本規則名稱4message文本展示的消息5flowbitsblob規則的特徵碼6rule_bodyblob規則主體7vulnerability_iduuid對應的漏洞編號8risk_level整數風險等級4)安全漏洞數據模型表5示出安全漏洞數據模型，其主要涉及針對安全漏洞的描述信息。表5，安全漏洞數據模型no名稱類型說明1vulnerabilityiduuid漏洞編號2severity整數嚴重級別3category文本分類4threatname文本漏洞名稱5requirement文本觸發條件6caused文本影響7suggest文本處置建議8reference文本參考內容9defaultaction整數默認處理動作10publishdate時間戳公布日期5)風險等級數據模型表6，風險等級數據模型6)告警數據模型每一個安全事件，或者發現的安全風險均會產生一個告警，以提示用戶有相關的安全風險產生，需要進行相關的處置。表7，告警數據模型no名稱類型說明1alertiduuid告警編號2eventiduuid安全事件編號3occurred_at時間戳安全事件產生日期4risk_level整數風險等級5error_msg文本錯誤提示信息6status整數當前處理狀態本發明實施例的工控網絡安全預警系統的前期構建成本較低，後期的維護成本也相對較低，且其可以部署於資源受限的工控現場，適合於單節點或者多個節點部署環境，新節點加入後，數據可以自動重新分區，部署方式更為靈活。並且，在工控現場的部署方法減少了網絡延遲，提高了實時數據的處理響應速度，提高了風險預警能力。本領域技術人員可以理解實現上述實施例方法中的全部或部分步驟是可以通過程序來指令相關的硬體來完成，該程序存儲在一個存儲介質中，包括若干指令用以使得一個(可以是單片機，晶片等)或處理器(processor)執行本申請各個實施例所述方法的全部或部分步驟。而前述的存儲介質包括：u盤、移動硬碟、只讀存儲器(rom，read-onlymemory)、隨機存取存儲器(ram，randomaccessmemory)、磁碟或者光碟等各種可以存儲程序代碼的介質。本領域技術人員在考慮說明書及實踐這裡公開的發明後，將容易想到本發明的其它實施方案。本申請旨在涵蓋本發明的任何變型、用途或者適應性變化，這些變型、用途或者適應性變化遵循本發明的一般性原理並包括本公開未公開的本
技術領域：
中的公知常識或慣用技術手段。說明書和實施例僅被視為示例性的，本發明的真正範圍和精神由下面的權利要求指出。應當理解的是，本發明並不局限於上面已經描述並在附圖中示出的精確結構，並且可以在不脫離其範圍進行各種修改和改變。本發明的範圍僅由所附的權利要求來限制。當前第1頁12