(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111397030.7 (22)申请日 2021.11.23 (71)申请人 北京天融信网络安全技 术有限公司 地址 100000 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 李昌达　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 蒋姗 (51)Int.Cl. H04L 41/0631(2022.01) H04L 43/0811(2022.01) H04L 43/0876(2022.01)H04L 9/40(2022.01) (54)发明名称 工控网络异常检测方法、 装置、 电子设备及 存储介质 (57)摘要 本申请提供一种工控网络异常检测方法、 装 置、 电子设备及存储介质， 方法包括： 获取设定时 段内工控网络的网络流量； 根据所述网络流量的 不同指标， 建立不同维度的工控基线； 根据所述 不同维度的工控基线， 检测所述工控网络是否异 常。 这样， 通过采用建立不同维度的工控基线， 进 而根据不同维度的工控基线， 检测工控网络是否 异常， 这就使得可以从不同维度实现对于工控网 络的异常检测， 相较于仅从 网络连接状态出发进 行分析与告警， 对于工控网络的检测更为全面， 从而可以满足工控网络安全管理需求。 权利要求书3页 说明书13页 附图4页 CN 114124658 A 2022.03.01 CN 114124658 A 1.一种工控网络异常检测方法， 其特 征在于， 包括： 获取设定时段内工控网络的网络流 量； 根据所述网络流 量的不同指标， 建立 不同维度的工控基线； 根据所述 不同维度的工控基线， 检测所述工控网络是否异常。 2.如权利要求1所述的工控 网络异常检测方法， 其特征在于， 所述工控基线包括会话基 线、 流量基线、 指令基线中的至少之一； 所述会话基线用于限制网络连接关系的正确 性； 所 述流量基线用于限制流量比特率BPS大小的正确性； 所述指令基线用于限制工控协议指令 的正确性。 3.如权利要求2所述的工控 网络异常检测方法， 其特征在于， 在所述工控基线包括会话 基线时， 根据所述网络流 量的不同指标， 建立 不同维度的工控基线， 包括： 解析所述网络流量， 得到所述网络流量中携带的源IP地址、 目的IP地址和目的端口， 关 联所述源IP地址、 目的IP地址和目的端口生成所述会话基线； 根据所述 不同维度的工控基线， 检测所述工控网络是否异常， 包括： 获取最新的网络流 量； 解析所述最新的网络流量， 得到所述最新的网络流量中携带的最新源IP地址、 最新目 的IP地址和最 新目的端口； 若所述最新源IP地址、 最新目的IP地址和最新目的端口， 与所述会话基线中记载的所 述源IP地址、 目的IP地址和目的端口不匹配， 确定所述工控网络异常。 4.如权利要求2所述的工控 网络异常检测方法， 其特征在于， 在所述工控基线包括流量 基线时， 根据所述网络流 量的不同指标， 建立 不同维度的工控基线， 包括： 解析所述网络流量， 得到所述网络流量中携带的目的IP地址、 目的端口和指定时长内 的流量BPS大小， 关联所述目的IP地址、 目的端口和指定时长内的流量BPS大小生成所述流 量基线； 根据所述 不同维度的工控基线， 检测所述工控网络是否异常， 包括： 获取最新的网络流 量； 解析所述最新的网络流量， 得到所述最新的网络流量中携带的最新目的IP地址、 最新 目的端口和最 新流量BPS大小； 若所述流量基线中不存在所述最新目的IP地址和最新目的端口， 或所述最新流量BPS 大小与所述流量基线中存在的所述最新目的IP地址和最新目的端口对应的流量BPS大小不 匹配， 确定所述工控网络异常。 5.如权利要求2所述的工控 网络异常检测方法， 其特征在于， 在所述工控基线包括指令 基线时， 根据所述网络流 量的不同指标， 建立 不同维度的工控基线， 包括： 解析所述网络流量， 得到所述网络流量中携带的目的IP地址、 目的端口和各工控协议 承载的指令， 关联 所述目的IP地址、 目的端口和所述指令生成所述指令基线； 根据所述 不同维度的工控基线， 检测所述工控网络是否异常， 包括： 获取最新的网络流 量； 解析所述最新的网络流量， 得到所述最新的网络流量中携带的最新目的IP地址、 最新 目的端口和各工控协议承载的最 新指令； 若所述指令基线中不存在所述最新目的IP地址和最新目的端口， 或所述最新指令与所权　利　要　求　书 1/3 页 2 CN 114124658 A 2述指令基线中存在的所述最新目的IP地址和最新目的端口对应的指 令不匹配， 确定所述工 控网络异常。 6.如权利要求1 ‑5任一项所述的工控 网络异常检测方法， 其特征在于， 所述获取设定时 段内工控网络的网络流 量， 包括： 通过架设于所述工控 网络的入口设备和所述工控 网络的出口设备之间的旁路设备， 获 取设定时段内工控网络的网络流 量。 7.一种工控网络异常检测方法， 其特 征在于， 包括： 获取设定时段内工控网络的网络流 量； 解析所述网络流量， 得到所述网络流量中携带的目的IP地址、 目的端口和指定时长内 的流量比特率BPS大小， 关联所述目的IP地址、 目的端口和指定时长内的流量BPS大小生成 流量基线； 根据所述 流量基线检测所述工控网络是否异常。 8.如权利要求7所述的工控 网络异常检测方法， 其特征在于， 根据 所述流量基线检测所 述工控网络是否异常， 包括： 获取最新的网络流 量； 解析所述最新的网络流量， 得到所述最新的网络流量中携带的最新目的IP地址、 最新 目的端口和最 新流量BPS大小； 若所述流量基线中不存在所述最新目的IP地址和最新目的端口， 或所述最新流量BPS 大小与所述流量基线中存在的所述最新目的IP地址和最新目的端口对应的流量BPS大小不 匹配， 确定所述工控网络异常。 9.一种工控网络异常检测方法， 其特 征在于， 包括： 获取设定时段内工控网络的网络流 量； 解析所述网络流量， 得到所述网络流量中携带的目的IP地址、 目的端口和各工控协议 承载的指令， 关联 所述目的IP地址、 目的端口和所述指令生成指令基线； 根据所述指令基线检测所述工控网络是否异常。 10.如权利要求9所述的工控网络异常检测方法， 其特征在于， 根据所述指令基线检测 所述工控网络是否异常， 包括： 获取最新的网络流 量； 解析所述最新的网络流量， 得到所述最新的网络流量中携带的最新目的IP地址、 最新 目的端口和各工控协议承载的最 新指令； 若所述指令基线中不存在所述最新目的IP地址和最新目的端口， 或所述最新指令与所 述指令基线中存在的所述最新目的IP地址和最新目的端口对应的指 令不匹配， 确定所述工 控网络异常。 11.一种工控网络异常检测装置， 其特 征在于， 包括： 第一获取模块， 用于获取设定时段内工控网络的网络流 量； 第一基线建立模块， 用于根据所述网络流 量的不同指标， 建立 不同维度的工控基线； 第一检测模块， 用于根据所述 不同维0度的工控基线， 检测所述工控网络是否异常。 12.一种工控网络异常检测装置， 其特 征在于， 包括： 第二获取模块， 用于获取设定时段内工控网络的网络流 量；权　利　要　求　书 2/3 页 3 CN 114124658 A 3