(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210907408.1 (22)申请日 2022.07.29 (71)申请人 西安热工 研究院有限公司 地址 710048 陕西省西安市碑林区兴庆路 136号 申请人 华能集团技 术创新中心有限公司 (72)发明人 杨东　崔逸群　朱博迪　毕玉冰　 刘超飞　吕珍珍　刘迪　刘骁　 肖力炀　王文庆　邓楠轶　董夏昕　 介银娟　崔鑫　王艺杰　朱召鹏　 (74)专利代理 机构 西安通大专利代理有限责任 公司 6120 0 专利代理师 李鹏威 (51)Int.Cl. H04L 9/40(2022.01)H04L 47/2441(2022.01) (54)发明名称 一种工控网络流量安全分类方法、 系统及可 读存储设备 (57)摘要 本发明公开了一种工控网络流量安全分类 方法、 系统及可读存储设备， 通过获取工控网络 流量集合的流量交互序列； 然后根据流量交互序 列， 对各个工控节点对应的各个工控环境进行预 测， 得到工控节点安全评价指标； 接着根据各个 工控节点下的流量数据量和各个工控环境下的 流量数据量， 构建流量滤波器； 然后根据流量滤 波器对工控节 点安全评价指标进行加权平均， 得 到工控网络流量集合中每个工控流量的安全评 估结果； 最终根据各个工控流量的安全评估结果 确定对应的目标安全等级， 为各个工控流量分配 目标安全等级对应的安全分类标识， 如此设计， 能够帮助网络维护人员 快速确定工控流量归属 的安全分类标识， 以便能够执行对应的安全策 略， 提高处 理效率。 权利要求书2页 说明书12页 附图3页 CN 115277220 A 2022.11.01 CN 115277220 A 1.一种工控网络流 量安全分类方法， 其特 征在于， 包括以下步骤： S1， 获取预设时间范围内的工控网络流量集合的流量交互序列， 所述预设时间范围内 的工控网络流量集合中的每个工控流量对应于至少一个工控节点， 每个工控节点对应于至 少一个工控环境； S2， 根据获取的流量交互序列对各个工控节点对应的各个工控环境进行预测， 得到工 控节点安全评价指标； S3， 根据所述预设时间范围内的工控网络流量集合对应的各个工控节点下的流量数据 量和各个工控环境下的流 量数据量， 构建流 量滤波器； S4， 利用流量滤波器对所述工控节点安全评价指标进行加权平均， 得到所述预设时间 范围内的工控网络流量集合中每个工控流量的安全评估结果， 所述安全评估结果包括工控 流量对应于各个工控节点对应的各个工控环境的安全等级； S5， 根据各个工控流量的安全评估结果确定对应的目标安全等级， 为所述各个工控流 量分配所述目标安全等级对应的安全分类标识。 2.根据权利要求1所述的一种工控 网络流量安全分类方法， 其特征在于， 流量交互序列 包含历史流 量交互序列和参 考流量交互序列； 根据所述历史流量交互序列， 利用对应于各个工控环境的工控环境分类模型计算各个 工控环境对应的环境因子； 根据所述参考流量交互序列和所述环境因子进行安全评估， 得到各个工控环境对应的 安全等级向量； 根据所述安全等级向量和所述预设时间范围内的工控 网络流量集合进行流量分类， 得 到对应于所述预设时间范围内的工控网络流 量集合的工控节点 安全评价指标。 3.根据权利要求2所述的一种工控 网络流量安全分类方法， 其特征在于， 根据历史流量 交互序列， 确定对应于各个工控节点的各个工控环境的训练流 量日志和参 考流量日志； 获取各个工控节点的各个工控环境对应的工控环境分类模型； 将对应于各个工控环境的训练流量日志和参考流量日志分别输入到对应的工控环境 分类模型进行训练， 得到对应于各个工控环境的环境因子 。 4.根据权利要求3所述的一种工控 网络流量安全分类方法， 其特征在于， 将对应于各个 工控环境的训练流 量日志和参 考流量日志分别输入初始分类模型中进行反向传播训练； 当满足预设损失函数定义时， 获取当前完成的初始分类模型作为工控环境分类模型； 获取各个工控环境分类模型的分类结果作为对应于各个工控环境的环境因子 。 5.根据权利要求 4所述的一种工控网络流 量安全分类方法， 其特 征在于， 根据历史流量交互序列， 确定预设时间范围内的工控 网络流量集合中各个工控流量对 应的工控环境； 根据各个工控流量对应工控节点和工控环境， 对历史流量交互序列进行分析， 得到对 应于各个工控节点对应的各个工控环境的历史流 量子交互序列； 将历史流 量子交互序列中的数据切割为单一 流量交互序列集和多流 量交互序列集； 按照预置序列类型权重对单一流量交互序列集和多流量交互序列集中的数据进行汇 总， 得到对应于各个工控环境的训练流 量日志和参 考流量日志。 6.根据权利要求2所述的一种工控 网络流量安全分类方法， 其特征在于， 获取所述工控权　利　要　求　书 1/2 页 2 CN 115277220 A 2环境对应的安全评估 模型； 根据所述环境因子对应的工控环境， 将所述参考流量交互序列和所述环境因子输入到 对应的安全评估 模型中， 得到对应于各个工控环境的安全等级向量。 7.根据权利要求2所述的一种工控 网络流量安全分类方法， 其特征在于， 基于所述预设 时间范围内的工控网络流量集合中的工控流量在各个工控节点对应的各个工控环境下的 安全等级向量， 构建带有空位的安全等级向量数组， 所述安全等级向量数组的第m行第n列 为工控流量m在工控环境n的安全等级向量， 所述空位表示工控流量与所述空位对应的工控 环境之间无关联； 将所述安全等级向量数组输入到行为预测模型中进行空位预测， 得到工控节点安全评 价指标。 8.根据权利要求1所述的一种工控 网络流量安全分类方法， 其特征在于， 根据 所述流量 交互序列， 确定各个工控节点的流量数据量以及各个工控节点对应的工控环境的流量数据 量； 根据各个工控环境的流量数据量与对应的工控节点的流量数据量的差， 确定各个工控 环境的初始滤波参数； 根据所述各个工控环境的初始滤波参数以及对应的工控环境， 构建流 量滤波器。 9.一种工控网络流 量安全分类装置， 其特 征在于， 包括： 获取模块， 用于获取预设时间范围内的工控网络流量集合的流量交互序列， 所述预设 时间范围内的工控网络流量集合中的每个工控流量对应于至少一个工控节点， 每个工控节 点对应于 至少一个工控环境； 预测模块， 用于根据所述流量交互序列， 对各个工控节点对应的各个工控环境进行预 测， 得到工控节点安全评价指标， 其中， 所述工控节点安全评价指标中包括各个工控节点对 应的各个工控环境对应的安全等级； 根据所述预设时间范围内的工控网络流量集合对应的 各个工控节点下 的流量数据量和各个工控环境下 的流量数据量， 构建流量滤波器； 根据所 述流量滤波器对所述工控节点安全评价指标进行加权平均， 得到所述预设时间范围内的工 控网络流量集合中每个工控流量的安全评估结果， 所述安全评估结果包括工控流量对应于 各个工控节点对应的各个工控环境的安全等级； 分类模块， 用于根据各个工控流量的安全评估结果确定对应的目标安全等级， 为所述 各个工控流 量分配所述目标安全等级对应的安全分类标识。 10.一种计算机设备， 包括存储器、 处理器以及存储在所述存储器中并可在所述处理器 上运行的计算机程序， 其特征在于， 所述处理器执行所述计算机程序时实现如权利要求 1至 8任一项所述工控网络流 量安全分类方法的步骤。权　利　要　求　书 2/2 页 3 CN 115277220 A 3