CN115412343B - 一种工控网络安全运维方法及装置 - Google Patents

Abstract

本发明公开了一种工控网络安全运维方法及装置，通过从网络流量缓存空间中获取待验证的网络流量，并对待验证的网络流量进行安全验证；再将验证成功的网络流量发送至网络流量缓存区间中，并按照命令类型等级进行存储；接着响应于将验证成功的网络流量提交至工控网络的操作，从第一网络流量缓存区间中获取验证成功的网络流量，并根据获取的验证成功的网络流量确定目标网络流量；最终生成包括目标网络流量的目标工控命令文件，并将目标工控命令文件提交至工控网络，如此设计，利用了预设的网络流量缓存区间对待验证的网络流量基于命令类型等级进行存储以及验证，提高了后续提交至工控网络进行对应命令的安全性和处理效率。

Description

一种工控网络安全运维方法及装置

技术领域

本发明涉及工控网络安全领域，具体而言，涉及一种工控网络安全运维方法及装置。

背景技术

现有工控系统中，配备了一定数量的工控主机和数量比较庞大的工控设备，工控主机和工控设备通过网络通讯完成控制指令下发与反馈，工控设备通过I/O卡件驱动现场执行器操作生产设备，实现对生产过程的监控。当工控主机遭受DDOS等类型网络攻击时，工控网络中的多个工控设备会在短时间内发出大量的服务请求，造成网络流量的拥堵，工控主机在面对这些流量的安全验证以及接收处理造成了较大的压力，进而影响整个工控系统的正常运行，从而导致安全生产事故的发生，而目前针对工控网络针对网络攻击尚没有有效的预防手段，工控设备在从网络流量缓存空间中获取网络流量以生成目标工控命令文件时，由于获取时间的等待而造成的网络堵塞的问题，导致工控网络处理效率及安全性大大降低。

发明内容

本发明的目的在于提供一种工控网络安全运维方法及装置，以克服现有工控网络在从网络流量缓存空间中获取网络流量以生成目标工控命令文件时，由于获取时间的等待而造成的网络堵塞的问题。

一种工控网络安全运维方法，应用于工控网络中的工控设备，所述工控设备维护有网络流量缓存空间，所述网络流量缓存空间包括网络流量缓存区间，所述网络流量缓存区间包括第一网络流量缓存区间，所述第一网络流量缓存区间用于存储已验证的网络流量，所述方法包括：

从所述网络流量缓存空间中获取待验证的网络流量，并对所述待验证的网络流量进行安全验证；

将验证成功的网络流量发送至所述网络流量缓存区间中，其中，所述验证成功的网络流量被发送至所述第一网络流量缓存区间中，所述第一网络流量缓存区间是根据与所述验证成功的网络流量表征的命令类型等级进行存储的，在所述第一网络流量缓存区间中，所述命令类型等级越高的网络流量被分配越紧急的处理时限；

响应于将所述验证成功的网络流量提交至所述工控网络的操作，从所述第一网络流量缓存区间中获取所述验证成功的网络流量，并根据获取的所述验证成功的网络流量确定目标网络流量；

生成目标工控命令文件，所述目标工控命令文件包括所述目标网络流量；

将所述目标工控命令文件提交至所述工控网络。

优选的，所述网络流量缓存区间还包括第二网络流量缓存区间，其中，所述第一网络流量缓存区间用于以第一存储权重存储已验证的网络流量，所述第二网络流量缓存区间用于以第二存储权重存储已验证的网络流量，所述第一存储权重是指上传所述验证成功的网络流量时获取到的命令类型等级的高低，所述第二存储权重是根据所述工控设备获取所述验证成功的网络流量的总体耗时，以及将所述验证成功的网络流量提交至所述工控网络时获取到的命令类型等级确定的，

所述将验证成功的网络流量发送至所述网络流量缓存区间中还包括：将所述验证成功的网络流量发送至所述第二网络流量缓存区间中，

所述从所述第一网络流量缓存区间中获取所述验证成功的网络流量，并根据获取的所述验证成功的网络流量确定目标网络流量，包括：

确定用于从所述第一网络流量缓存区间和所述第二网络流量缓存区间中获取所述已验证的网络流量的筛选规则，其中，所述筛选规则包括所述第一网络流量缓存区间对应的第一可处理数量阈值和所述第二网络流量缓存区间对应的第二可处理数量阈值；

获取待提交至所述工控网络中的网络流量总数目；

按照所述网络流量总数目及所述第一可处理数量阈值确定第一流量数目，并按照所述网络流量总数目及所述第二可处理数量阈值确定第二流量数目，其中，所述第一网络流量缓存区间存储的网络流量以所述第一存储权重从大到小进行存储，所述第二网络流量缓存区间存储的网络流量以所述第二存储权重从大到小进行存储；

从所述第一网络流量缓存区间中按照所述第一存储权重从大到小的顺序获取所述第一流量数目的网络流量作为第一网络流量；

从所述第二网络流量缓存区间中按照所述第二存储权重从大到小的顺序获取所述第二流量数目的网络流量作为第二网络流量；并根据所述第一网络流量和所述第二网络流量确定所述目标网络流量。

优选的，根据所述第一网络流量缓存区间中的网络流量总数目，以及所述第二网络流量缓存区间中的网络流量总数目，对所述第一可处理数量阈值和所述第二可处理数量阈值进行重新分配。

优选的，所述根据所述第一网络流量缓存区间中的网络流量总数目，以及所述第二网络流量缓存区间中的网络流量总数目，对所述第一可处理数量阈值和所述第二可处理数量阈值进行重新分配，包括：

在监控到所述第一网络流量缓存区间中的网络流量总数目产生正数目变化，且所述第二网络流量缓存区间中的网络流量总数目产生负数目变化时，增加所述第一可处理数量阈值并减少所述第二可处理数量阈值；

在监控到所述第一网络流量缓存区间中的网络流量总数目产生负数目变化，且所述第二网络流量缓存区间中的网络流量总数目产生正数目变化时，减少所述第一可处理数量阈值并增加所述第二可处理数量阈值。

优选的，所述验证成功的网络流量还被发送至第二网络流量缓存区间中，其中，所述第一网络流量缓存区间用于以第一存储权重存储已验证的网络流量，所述第二网络流量缓存区间用于以第二存储权重存储已验证的网络流量，所述将验证成功的网络流量发送至所述网络流量缓存区间中，包括：

获取验证成功的网络流量的流量信息，确定将所述验证成功的网络流量提交至工控网络时获取的命令类型等级，并确定所述网络流量缓存空间获取到所述验证成功的网络流量的总体耗时；

根据所述命令类型等级确定所述验证成功的网络流量在所述第一网络流量缓存区间中的所述第一存储权重；以及，

根据所述命令类型等级和所述总体耗时确定所述验证成功的网络流量在所述第二网络流量缓存区间中的所述第二存储权重；根据所述第一存储权重，将所述验证成功的网络流量发送至所述第一网络流量缓存区间中；以及，根据所述第二存储权重，将所述验证成功的网络流量发送至所述第二网络流量缓存区间中。

优选的，所述从所述网络流量缓存空间中获取待验证的网络流量，并对所述待验证的网络流量进行安全验证，包括：

获取待验证的网络流量；对所述待验证的网络流量进行字段分析结果报文字段分析，以生成所述待验证的网络流量的字段分析结果；

确定所述待验证的网络流量的字段分析结果是否完整连续；以及在确定所述字段分析结果完整连续的情况下，确定所述字段分析结果为目标字段分析结果；

在所述字段分析结果非完整连续的情况下，丢弃所述字段分析结果，其中，所述完整连续表征所述待验证的网络流量解析得到的字段为未缺失字段；

根据所述目标字段分析结果，利用预置流量识别模型对所述待验证的网络流量进行异常流量识别，以确定所述待验证的网络流量的初始验证结果，所述初始验证结果包括异常流量、正常流量和无法识别流量，其中，所述预置流量识别模型通过以下方式获取：

从预设异常样本流量集获取预设异常样本流量，将通过对预设异常样本流量进行识别判定的安全验证未通过状态作为异常流量类别的样本流量，并且将通过对预设异常样本流量进行识别判定的非安全验证未通过状态作为无法识别流量类别的样本流量；

获取预设正常样本流量，作为正常流量类别的样本流量，其中，每个样本流量的流量参数包括所述样本流量的字段信息和所述样本流量的初始验证结果；

针对所述样本流量集中的每个样本流量，根据所述样本流量对应的字段信息，生成所述样本流量的目标字段分析结果；以及

利用所述样本流量集中的每个样本流量的目标字段分析结果和初始验证结果，对所述预置流量识别模型进行训练，其中，所述初始验证结果是异常流量、正常流量和无法识别流量中的一个；

根据所述待验证的网络流量的初始验证结果，对所述待验证的网络流量进行流量发起方身份验证操作或流量特征识别操作；以及

根据所述流量发起方身份验证操作或流量特征识别操作的结果完成对所述待验证的网络流量的安全验证；

在所述待验证的网络流量的初始验证结果为异常流量或者正常流量时，对所述待验证的网络流量对应的流量发起方进行流量发起方身份验证操作，所述流量发起方身份验证操作包括：

在所述流量发起方中包括的预设身份验证标识的标识数满足预置标识数量时，确定所述流量发起方为安全发起方；

在所述流量发起方中包括的预设身份验证标识的标识数不满足预置标识数量时，确定所述流量发起方为非安全发起方；以及

在所述流量发起方身份信息失效时，确定所述流量发起方为无效发起方；

在所述待验证的网络流量的初始验证结果为异常流量时，根据所述流量发起方身份验证操作或流量特征识别操作的结果完成对所述待验证的网络流量的安全验证包括：

在所述流量发起方为安全发起方的情况下，确定所述待验证的网络流量为安全验证通过状态；

在所述流量发起方为非安全发起方的情况下，确定所述待验证的网络流量为安全验证未通过状态；以及

在所述流量发起方为无效发起方的情况下，确定所述待验证的网络流量为安全验证待定状态；

在所述待验证的网络流量的初始验证结果为正常流量时，根据所述流量发起方身份验证操作或流量特征识别操作的结果完成对所述待验证的网络流量的安全验证包括：

在所述流量发起方为安全发起方并且所述待验证的网络流量的安全性满足预定条件的情况下，确定所述待验证的网络流量为安全验证通过状态；

在所述流量发起方为无效发起方的情况下，确定所述待验证的网络流量为安全验证待定状态。

优选的，所述对所述待验证的网络流量进行字段分析结果报文字段分析，以生成所述待验证的网络流量的字段分析结果包括：

提取所述待验证的网络流量的功能码字段、报文头字段、报文体字段和报文时序字段中的至少一个字段，作为所述待验证的网络流量的字段信息；以及

利用所述待验证的网络流量的字段信息，生成所述字段分析结果；

所述对所述待验证的网络流量进行字段分析结果报文字段分析，以生成所述待验证的网络流量的字段分析结果还包括：

利用预置解析工具对所述待验证的网络流量进行分析，以提取所述待验证的网络流量的字段分析结果，其中，所述预置解析工具持有流量与其字段分析结果的对应关系。

优选的，在所述待验证的网络流量的初始验证结果为无法识别流量时，对所述待验证的网络流量进行流量特征识别操作，所述流量特征识别操作包括：

根据预置特征提取模型对所述待验证的网络流量进行特征提取，并根据提取结果生成对所述待验证的网络流量进行安全验证的请求。

优选的，所述第一网络流量和所述第二网络流量的数量分别为多个；所述生成目标工控命令文件之前，所述方法还包括：

从所述第一网络流量中确定重复网络流量，所述重复网络流量为从所述第一网络流量缓存区间中获取的，且从所述第二网络流量缓存区间中获取的网络流量；

删除从所述第一网络流量缓存区间获取的所述重复网络流量，或者删除从所述第二网络流量缓存区间获取的所述重复网络流量。

一种工控网络安全维护装置，应用于工控网络中的工控设备，所述工控设备维护有网络流量缓存空间，所述网络流量缓存空间包括网络流量缓存区间，所述网络流量缓存区间包括第一网络流量缓存区间，所述第一网络流量缓存区间用于存储已验证的网络流量，所述装置包括：

获取模块，用于从所述网络流量缓存空间中获取待验证的网络流量，并对所述待验证的网络流量进行安全验证；

处理模块，用于将验证成功的网络流量发送至所述网络流量缓存区间中，其中，所述验证成功的网络流量被发送至所述第一网络流量缓存区间中，所述第一网络流量缓存区间是根据与所述验证成功的网络流量表征的命令类型等级进行存储的，在所述第一网络流量缓存区间中，所述命令类型等级越高的网络流量被分配越紧急的处理时限；响应于将所述验证成功的网络流量提交至所述工控网络的操作，从所述第一网络流量缓存区间中获取所述验证成功的网络流量，并根据获取的所述验证成功的网络流量确定目标网络流量；生成目标工控命令文件，所述目标工控命令文件包括所述目标网络流量；

提交模块，用于将所述目标工控命令文件提交至所述工控网络。

与现有技术相比，本发明具有以下有益的技术效果：

本发明一种工控网络安全运维方法，通过从网络流量缓存空间中获取待验证的网络流量，并对待验证的网络流量进行安全验证；再将验证成功的网络流量发送至网络流量缓存区间中，并按照命令类型等级进行存储；接着响应于将验证成功的网络流量提交至工控网络的操作，从第一网络流量缓存区间中获取验证成功的网络流量，并根据获取的验证成功的网络流量确定目标网络流量；最终生成包括目标网络流量的目标工控命令文件，并将目标工控命令文件提交至工控网络，如此设计，利用了预设的网络流量缓存区间对待验证的网络流量基于命令类型等级进行存储以及验证，提高了后续提交至工控网络进行对应命令的安全性和处理效率。

附图说明

图1为本发明实施例提供的工控网络安全维护方法的步骤流程示意框图；

图2为本发明实施例用于执行图1中工控网络安全维护方法的工控网络安全维护装置的结构示意框图；

图3为本发明实施例用于执行图1中工控网络安全维护方法的计算机设备的结构示意框图。

具体实施方式

本发明实施例提出了一种工控网络安全运维方法，可应用于工控网络中的任一工控设备，该工控设备维护有网络流量缓存空间，该方法可使得该任一工控设备快速地根据网络流量缓存空间中的网络流量生成目标工控命令文件，并将生成的该目标工控命令文件提交至工控网络，可避免该任一工控设备在从网络流量缓存空间中获取网络流量以生成目标工控命令文件时，由于获取时间的等待而造成的网络堵塞的问题。具体地，工控设备先从网络流量缓存空间中获取待验证的网络流量，从而可对该网络流量进行安全验证，在该工控设备对该网络流量验证成功后，可将该验证成功的网络流量发送至该网络流量缓存空间的网络流量缓存区间中。

该网络流量缓存空间包括预先划分的网络流量缓存区间，在一个实施例中，该网络流量缓存空间包括第一网络流量缓存区间，该工控设备在将验证成功的网络流量存储到网络流量缓存区间中时，该验证成功的网络流量即是被发送至该第一网络流量缓存区间中，此外，该网络流量缓存空间还可包括预先划分的两个网络流量缓存区间，即第一网络流量缓存区间和第二网络流量缓存区间，该工控设备在将验证成功的网络流量存储到网络流量缓存区间中时，即是将该验证成功的网络流量发送至该第一网络流量缓存区间和该第二网络流量缓存区间中。其中，该第一网络流量缓存区间中的各网络流量是根据该验证成功的网络流量的第一存储权重确定的，该第二网络流量缓存区间中的网络流量是根据该验证成功的网络流量的第二存储权重确定的。在一个实施例中，该第一存储权重是该工控设备在将通过验证的网络流量提交至工控网络时可获取得到的命令类型等级(例如控制命令等级，或查询命令等级等)；该第二存储权重是根据该工控设备获取网络流量的总体耗时，以及将该网络流量提交至工控网络时可获取的命令类型等级确定的。

在一个实施例中，第一网络流量缓存区间和第二网络流量缓存区间则是按照对应划分后的存储权重进行存储的，该验证成功的网络流量被至少发送至第一网络流量缓存区间中，而在其他的实施方式中，也可将该网络流量发送至第二网络流量缓存区间中，如在该第一网络流量缓存区间中的网络流量总数目大于第二网络流量缓存区间中的网络流量总数目时，可只将该验证成功的网络流量存储到第二网络流量缓存区间中，而不将该网络流量存储在第一网络流量缓存区间中，此外，还可将该验证成功的网络流量分别根据第一存储权重和第二存储权重，将该验证成功的网络流量同时发送至第一网络流量缓存区间和第二网络流量缓存区间中。在一个实施例中，该工控设备在根据该第一存储权重将验证成功的网络流量发送至第一网络流量缓存区间和第二网络流量缓存区间中时，该工控设备可根据该网络流量的第一存储权重将该网络流量发送至第一网络流量缓存区间中，并根据该网络流量的第二存储权重将该网络流量发送至第二网络流量缓存区间中；或者，该工控设备也可根据该第一网络流量缓存区间和该第二网络流量缓存区间中网络流量的数量，将验证成功的网络流量发送至第一网络流量缓存区间或者第二网络流量缓存区间中。该第一网络流量缓存区间中的各网络流量可按照该第一存储权重的高低进行降序排列，该第二网络流量缓存区间存储的各网络流量可按照该第二存储权重的高低进行降序排列。

在该工控设备预先将网络流量缓存空间中验证成功的网络流量发送至网络流量缓存区间后，进一步地，该工控设备在监控到将该网络流量提交至工控网络的操作时，该工控设备则可根据从第一网络流量缓存区间中获取的网络流量确定出目标网络流量，在该网络流量缓存空间包括两个网络流量缓存区间时，该工控设备可分别从该第一网络流量缓存区间和第二网络流量缓存区间中获取网络流量，并根据从该第一网络流量缓存区间和该第二网络流量缓存区间中获取的网络流量确定出目标网络流量，其中，工控设备可将从该第一网络流量缓存区间获取的网络流量作为第一网络流量，还可从该第二网络流量缓存区间中获取网络流量，并将从该第二网络流量缓存区间获取的网络流量作为第二网络流量，获取的该第一网络流量和该第二网络流量即可确定出目标网络流量，进一步地，可生成目标工控命令文件，并根据获取的目标网络流量生成目标工控命令文件，该目标工控命令文件包括获取的目标网络流量。

在一个实施例中，该工控设备可按照一定的筛选规则从第一网络流量缓存区间和第二网络流量缓存区间中获取网络流量，具体地，该筛选规则可以是比例筛选规则，根据该筛选规则，该工控设备可先确定出从该第一网络流量缓存区间中选取网络流量的第一可处理数量阈值，以及从该第二网络流量缓存区间中选取网络流量的第二可处理数量阈值；根据预设的需要获取的网络流量总数目以及该第一可处理数量阈值，该预设的需要获取的网络流量总数目可根据当前工控网络状态(例如，同时在线设备数量、网络带宽、网络拥堵情况和/或网络流量缓存空间中的网络流量数量等等)来确定，该工控设备可确定出从该第一网络流量缓存区间中获取第一网络流量的第一流量数目，并可根据该网络流量总数目和该第二可处理数量阈值，确定出从该第二网络流量缓存区间中获取第二网络流量的第二流量数目，进一步地，该工控设备可按照该第一流量数目从该第一网络流量缓存区间中获取第一网络流量，并按照该第二流量数目从该第二网络流量缓存区间中获取第二网络流量，从而可生成目标工控命令文件，以存储该第一网络流量和该第二网络流量。

在工控设备按照第一流量数目从第一网络流量缓存区间中获取第一网络流量时，可从第一网络流量缓存区间中按照对应的第一存储权重从大到小的顺序，从第一网络流量缓存区间中获取第一流量数目的第一网络流量，同样的，在工控设备按照第二流量数目从第二网络流量缓存区间中获取第二网络流量时，可从第二网络流量缓存区间中按照对应的第二存储权重从大到小的顺序，从第二网络流量缓存区间中获取第二流量数目的第二网络流量，或者，工控设备也可从第一网络流量缓存区间中随机选取第一流量数目的第一网络流量，从第二网络流量缓存区间中随机选取第二流量数目的第二网络流量。

在工控设备从第一网络流量缓存区间中获取第一网络流量，并从第二网络流量缓存区间中获取第二网络流量后，工控设备可从第一网络流量(或第二网络流量)中确定重复网络流量，重复网络流量为发送至第一网络流量缓存区间，且发送至第二网络流量缓存区间的网络流量，为了避免目标工控命令文件中存储的网络流量包括重复网络流量，工控设备可删除第一网络流量中的重复网络流量，或者删除第二网络流量中的重复网络流量，并在删除重复网络流量后，生成目标工控命令文件，以存储删除重复网络流量的第一网络流量和第二网络流量，实现了从不同的网络流量缓存区间中快速获取到第一网络流量以及第二网络流量，可有效避免网络流量获取过程中的进程等待问题，从而避免了由于网络流量的获取进程的等待所造成的网络堵塞等问题。

如图1，是本发明实施例提出的一种工控网络安全运维方法，可应用于上述的工控设备中，工控设备为工控网络中的任一工控设备，工控设备维护有网络流量缓存空间，网络流量缓存空间包括预先划分的网络流量缓存区间，网络流量缓存区间包括第一网络流量缓存区间，第一网络流量缓存区间用于存储已验证的网络流量，如图1所示，方法包括：

步骤S101，从网络流量缓存空间中获取待验证的网络流量，并对网络流量进行安全验证。

根据本发明的实施例，可以在将网络流量提交至工控网络的操作之前从网络流量缓存空间中获取提交的尚未验证的网络流量进行验证。可以理解，可以在网络流量被提交到网络流量缓存空间中时，从网络流量缓存空间中获取尚未验证的网络流量(即待验证的网络流量)，并对该网络流量进行验证，以这种方式可以以最快地速度完成验证，在网络流量缓存空间的命令更替比较快的情况下这种方式可以保证网络流量及时进行验证；或者，工控设备也可以周期性地从网络流量缓存空间中获取尚未验证的网络流量，并对该网络流量进行验证，以这种方式进行批量验证，可以节约系统资源；或者，该工控设备还可根据验证操作从网络流量缓存空间中获取尚未验证的网络流量，并对该网络流量进行验证，在一个实施例中，该工控设备可预设不同的验证操作，以触发对网络流量的安全验证，其中，该操作例如可以是当待验证的网络流量的数量达到网络流量缓存空间中的网络流量的总数量的一定比例时，触发对该待验证的网络流量的安全验证，或者，该操作还可以是当获取到对网络流量缓存空间中待验证的网络流量进行验证的指令时，触发对该待验证的网络流量的安全验证，根据不同的对待验证的网络流量进行验证的触发机制，可增强系统的灵活性。

步骤S102，将验证成功的网络流量存储到网络流量缓存区间中。

工控设备中的网络流量缓存空间用于存储等待提交的网络流量，该等待提交的网络流量中包括已验证的网络流量，以及待验证的网络流量，在一个实施例中，工控设备可将该已验证的网络流量存储到网络流量缓存区间中，其中，该已验证的网络流量至少被发送至第一网络流量缓存区间中，该第一网络流量缓存区间是根据与该网络流量表征的命令类型等级进行存储的，在该第一网络流量缓存区间中，该命令类型等级越高的网络流量被分配越紧急的处理时限。而由于网络流量缓存区间(如该第一网络流量缓存区间)中存储的网络流量为通过验证的网络流量，所以，在后续对网络流量进行提交时，工控设备在从该网络流量缓存区间中获取网络流量后，可不再执行对网络流量进行验证的步骤，而可直接将从该网络流量缓存区间中获取的网络流量提交至工控网络中，可有效提升工控设备将网络流量提交至工控网络时的效率。

在一个实施例中，网络流量缓存空间在获取到网络流量后，若该网络流量为待验证的网络流量，工控设备可先对该网络流量进行安全验证。针对网络流量缓存空间获取到的任一网络流量，该工控设备均可预先对该任一网络流量进行安全验证，并将安全验证通过的网络流量存储到网络流量缓存区间中，并在该网络流量缓存区间中等待提交，可以理解的是，该网络流量缓存空间中已验证的网络流量存储在网络流量缓存区间中，而待验证的网络流量存储在网络流量缓存空间中除该网络流量缓存区间之外的存储空间中，网络流量缓存空间中的网络流量缓存区间实现了对网络流量按照是否通过验证进行划分，而工控设备在从网络流量缓存空间中获取网络流量进行提交时，可从网络流量缓存空间的网络流量缓存区间中获取网络流量，并在获取到网络流量后直接提交至工控网络中，可提升对网络流量的上传效率。

步骤S103，响应于将网络流量提交至工控网络的操作，从第一网络流量缓存区间中获取网络流量，并根据获取的网络流量确定目标网络流量。

在一个实施例中，工控网络中的工控设备在获取到网络流量后，可将获取到的网络流量实时提交至工控网络中，或者，工控设备可按照预设的时间周期将网络流量周期性地提交至工控网络中，对应的，工控设备可在获取到网络流量时，确定获取到将网络流量提交至工控网络的操作，或者，工控设备也可在预设的时间周期到达时，确定获取到将网络流量提交至工控网络的操作。在一个实施例中，工控设备还可在监控到当前的工控设备状态为空闲状态，或者工控设备将历史的网络流量存储到工控网络后，确定获取到将网络流量提交至工控网络的操作。具体来说，该操作可以是监控到预设的时间周期到达，或者，获取到网络流量，或者，监控到当前的工控设备状态为空闲状态等，当该操作发生时，网络流量缓存空间获取到指令将网络流量缓存空间中的网络流量生成命令文件，并且将该命令文件提交至工控网络当中。

在工控设备确定获取到将网络流量提交至工控网络的操作后，在一个实施例中，为了将网络流量提交至工控网络，工控设备可生成用于包括网络流量的目标工控命令文件，在工控设备生成目标工控命令文件的过程中，还需要从网络流量缓存空间中获取一定数量的已验证的网络流量，由于网络流量缓存空间中已验证的网络流量存储在网络流量缓存区间中，为了提升将网络流量提交至工控网络的上传效率，工控设备可从网络流量缓存空间的网络流量缓存区间中获取网络流量，获取的网络流量即为已验证的网络流量。

在一个实施例中，工控设备在获取到该操作后，可根据从该第一网络流量缓存区间中获得的网络流量，确定出目标网络流量，其中，网络流量缓存区间只包括第一网络流量缓存区间时，工控设备从第一网络流量缓存区间中获取的网络流量即为目标网络流量，在网络流量缓存空间包括第一网络流量缓存区间和第二网络流量缓存区间时，工控设备可从第一网络流量缓存区间和第二网络流量缓存区间中分别获取网络流量作为目标网络流量，具体地，工控设备可按照设定的第一可处理数量阈值从第一网络流量缓存区间中选取第一流量数目的网络流量作为第一网络流量，并可根据第二可处理数量阈值从第二网络流量缓存区间中选取第二流量数目的网络流量作为第二网络流量，从而可根据获取的第一网络流量和第二网络流量确定出目标网络流量。在本实施例中，该第一可处理数量阈值和第二可处理数量阈值可以是相对于待提交至工控网络中的网络流量总数目的比例，各个可处理数量阈值的值例如可以是在0到1之间的数值，各个可处理数量阈值之和可以是1。在一个实施例中，工控设备分别从第一网络流量缓存区间和第二网络流量缓存区间中获取到网络流量确定出目标网络流量后，由于获取的目标网络流量为网络流量缓存空间中已验证的网络流量，工控设备在获取到目标网络流量后，则可直接将目标网络流量提交至工控网络，即转而执行步骤S104和步骤S105。

在一个实施例中，第一网络流量缓存区间可按照将对应的网络流量提交至工控网络时可获取到的命令类型等级(例如，控制命令的等级高于查询命令的等级)的高低进行排序，工控设备可将上传网络流量时可获取到的命令类型等级的高低作为该对应网络流量的第一存储权重，从而可按照该第一存储权重从高到低地对网络流量缓存空间中的已验证成功的网络流量进行排列得到第一网络流量缓存区间，举例来说，若网络流量缓存空间中已验证的网络流量包括网络流量A和网络流量B，若工控设备在将网络流量A提交至工控网络时可获取的命令类型等级为a，将网络流量B提交至工控网络时可获取的命令类型等级为b，且a的值大于b的值，则网络流量A对应的第一存储权重高于网络流量B对应的第一存储权重，所以，网络流量A在第一网络流量缓存区间中的排序在网络流量B在第一网络流量缓存区间中的存储的前面。在一个实施例中，若第一网络流量缓存区间包括网络流量A～M，则根据网络流量A～M所提供的命令类型等级确定出各网络流量分别对应的第一存储权重，从而可确定出各网络流量在第一网络流量缓存区间中的顺序，其中，第一网络流量缓存区间可表示为{网络流量A，网络流量B，网络流量C，…，网络流量M}。在一个实施例中，网络流量A提供的命令类型等级大于网络流量B提供的命令类型等级，且网络流量B提供的命令类型等级大于网络流量C提供的命令类型等级，以此类推，对应的，工控设备可根据上传网络流量可获取到的命令类型等级的高低获取得到第一网络流量，也就是说，第一网络流量是根据提供给工控设备上传网络流量到工控网络时的命令类型等级的高低获取的。

在一个实施例中，若仅根据提供给工控设备的命令类型等级的高低确定将网络流量缓存空间中已验证的网络流量提交至工控网络的上传顺序，可能导致提交至网络流量缓存空间中的网络流量由于提供的命令类型等级过小，而导致长时间不能提交至工控网络中，所以在网络流量缓存空间中还可包括第二网络流量缓存区间，第二网络流量缓存区间中的网络流量按照将对应的网络流量提交至工控网络时工控设备可获取到的命令类型等级，以及网络流量缓存空间获取到网络流量的总体耗时进行排序，使得提交至网络流量缓存空间的网络流量可及时提交到工控网络中。

在一个实施例中，第二网络流量缓存区间中的网络流量按照各网络流量提供的命令类型等级和网络流量缓存空间获取该网络流量的总体耗时，工控设备可先按照：总体耗时的倒数*(命令类型等级+1)的计算方式得到网络流量缓存空间中各网络流量对应的第二存储权重，根据第二存储权重可确定第二网络流量缓存区间，以及各网络流量在第二网络流量缓存区间中的排序。举例来说，若网络流量缓存空间中已验证的网络流量C和网络流量D，若根据网络流量C提供的命令类型等级，以及网络流量缓存空间获取网络流量C时的总体耗时，确定网络流量C对应的第二存储权重为c，同时，根据网络流量D提供的命令类型等级，以及网络流量缓存空间获取网络流量D时的总体耗时，确定网络流量D对应的第二存储权重为d，且c小于d，则在第二网络流量缓存区间中，网络流量C的排序在网络流量D的后面。

在一个实施例中，网络流量缓存空间还可包括第三网络流量缓存区间，第三网络流量缓存区间可根据网络流量缓存空间中各已验证的网络流量的紧急程度进行排序，并可按照对应的筛选规则从第三网络流量缓存区间中选取网络流量作为第三网络流量等，在本发明实施例中，对网络流量缓存空间包括的网络流量缓存区间的个数不做限定，网络流量缓存空间可包括两个及两个以上的网络流量缓存区间。在网络流量缓存空间确定出提交至工控网络中的网络流量后，可转而执行步骤S104。

步骤S104，生成目标工控命令文件，目标工控命令文件包括目标网络流量。

步骤S105，将目标工控命令文件提交至工控网络。

在步骤S104和步骤S105中，工控设备在从第一网络流量缓存区间和第二网络流量缓存区间中获取网络流量后，若获取到的网络流量包括分别从第一网络流量缓存区间中获取的第一网络流量，以及从第二网络流量缓存区间中获取的第二网络流量，进一步地，工控设备可先从第一网络流量与第二网络流量中确定出重复网络流量，并在删除该重复网络流量后生成目标工控命令文件，其中，重复网络流量为从第一网络流量缓存区间中获取的，且从第二网络流量缓存区间中获取的网络流量。在工控设备生成目标工控命令文件后，可将该目标工控命令文件提交至工控网络中进行执行，以实现对网络流量缓存空间中网络流量的提交。

在本发明实施例中，工控设备中的网络流量缓存空间包括用于存储已验证的网络流量的网络流量缓存区间，该网络流量缓存空间包括第一网络流量缓存区间，所以，工控设备可从网络流量缓存空间中获取待验证的网络流量，并对该网络流量进行安全验证，从而可在对该网络流量的验证成功后，将该验证成功的网络流量发送至网络流量缓存区间中，在该工控设备将该验证成功的网络流量发送至网络流量缓存区间中时，至少将该验证成功的网络流量发送至第一网络流量缓存区间中，以使得工控设备在监控到将网络流量提交至工控网络的操作时，可根据从该第一网络流量缓存区间中获取到的已验证的网络流量，确定出目标网络流量，从而可工控设备确定出该目标网络流量后，直接生成目标工控命令文件，以存储该目标网络流量，进一步的，可将该目标工控命令文件提交至工控网络中，以实现对网络流量的提交，可使得工控设备在获取到网络流量后，直接上传网络流量，提升了网络流量的提交效率，同时，由于网络流量缓存区间中的网络流量已验证，使得工控设备在获取到网络流量后，不再需要等待进行网络流量的验证过程，可缓解由于时间等待所造成的网络堵塞等问题。

本发明的另一实施例提供的一种数据处理方法，数据处理方法也可应用于工控网络中的任一工控设备，工控设备维护有网络流量缓存空间，网络流量缓存空间包括网络流量缓存区间，网络流量缓存区间包括第一网络流量缓存区间，第一网络流量缓存区间用于存储已验证的网络流量，方法可包括步骤S201～步骤S206。

步骤S201，从网络流量缓存空间中获取待验证的网络流量，并对网络流量进行安全验证。

步骤S202，获取验证成功的网络流量的流量信息，根据流量信息确定验证成功的网络流量的第一存储权重和第二存储权重。

步骤S203，根据验证成功的网络流量的第一存储权重和第二存储权重，将验证成功的网络流量发送至第一网络流量缓存区间以及第二网络流量缓存区间中。

在步骤S201～步骤S203中，针对网络流量缓存空间中验证成功的任一网络流量，流量信息包括存储权重信息，工控设备在确定网络流量的流量信息时，可先确定将验证成功的网络流量提交至工控网络时获取的命令类型等级，并确定网络流量缓存空间获取到验证成功的网络流量的总体耗时，进一步地，工控设备在确定出验证成功的网络流量在提交至工控网络对应提交给工控设备的命令类型等级后和网络流量缓存空间获取该验证成功的网络流量的总体耗时后，工控设备可根据命令类型等级确定验证成功的网络流量在第一网络流量缓存区间中的第一存储权重，并可根据命令类型等级和总体耗时确定验证成功的网络流量在第二网络流量缓存区间中的第二存储权重。

在一个实施例中，工控设备确定出的第一存储权重用于验证成功的网络流量在第一网络流量缓存区间中进行排序，工控设备确定出的第二存储权重用于验证成功的网络流量在第二网络流量缓存区间中进行排序，可以理解的是，按照第一存储权重将验证成功的网络流量排列在第一网络流量缓存区间中时，以及按照第二存储权重将验证成功的网络流量排列在第二网络流量缓存区间中时，网络流量分别在第一网络流量缓存区间和第二网络流量缓存区间中的位置不同。其中，第一网络流量缓存区间可根据{命令类型等级X}进行排序，其中，X为大于0的任意自然数，第二网络流量缓存区间可根据{总体耗时的倒数*(命令类型等级+1)}进行排序。

在一个实施例中，网络流量缓存空间中的第一网络流量缓存区间和第二网络流量缓存区间可直接存储已验证的网络流量，也可存储已验证的网络流量的标识信息，对应地，工控设备在从第一网络流量缓存区间和第二网络流量缓存区间中获取网络流量时，可直接提取网络流量缓存区间中存储的验证成功的网络流量分别作为第一网络流量和第二网络流量，或者，工控设备也可从网络流量缓存区间中分别提取对应验证成功的网络流量的标识信息，并进一步地根据标识信息从网络流量缓存空间中获取验证成功的网络流量作为第一网络流量和第二网络流量。

在一个实施例中，该工控设备在确定出验证成功的网络流量的流量信息后，进一步地，该工控设备可根据该流量信息将该验证成功的网络流量发送至第一网络流量缓存区间中，也可将该验证成功的网络流量发送至第二网络流量缓存区间中，即该验证成功的网络流量可被同时发送至该第一网络流量缓存区间以及第二网络流量缓存区间中，具体地，该工控设备可先根据该第一存储权重，将该验证成功的网络流量发送至该第一网络流量缓存区间中；以及，该工控设备可根据该第二存储权重，将该验证成功的网络流量发送至该第二网络流量缓存区间中。可以理解的是，对网络流量缓存空间中的任一已验证的网络流量，可根据该任一已验证的网络流量分别对应的第一存储权重和第二存储权重，将该任一已验证的网络流量发送至第一网络流量缓存区间和第二网络流量缓存区间中，其中，该工控设备可直接将该已验证的网络流量发送至该第一网络流量缓存区间和第二网络流量缓存区间中，也可将该已验证的网络流量对应的标识信息发送至该第一网络流量缓存区间和该第二网络流量缓存区间中。

设该网络流量缓存空间中已验证的网络流量的数量为M，该已验证的网络流量包括网络流量A，网络流量B，…，网络流量M，其中，M为大于等于1的正整数，若根据该已验证的网络流量在提交至工控网络时提供给工控设备的命令类型等级，该工控设备可根据该M个网络流量分别提供的命令类型等级确定出该M个网络流量分别对应的第一存储权重，从而可根据该第一存储权重对该M个网络流量进行排序得到第一网络流量缓存区间，该第一网络流量缓存区间例如可以是{网络流量A，网络流量B，网络流量C，…，网络流量M}。对应的，根据该M个网络流量提供的命令类型等级，以及该网络流量缓存空间获取各网络流量的总体耗时，可确定出该M个网络流量分别对应的第二存储权重，从而可根据该第二存储权重对该M个网络流量进行排序得到第二网络流量缓存区间，该第二网络流量缓存区间例如可以是{网络流量M，网络流量M-1，网络流量C，…，网络流量A}。

在一个实施例中，该工控设备在确定出验证成功的网络流量的流量信息后，根据该流量信息，将该验证成功的网络流量同时发送至第一网络流量缓存区间和第二网络流量缓存区间中以外，也可以根据流量信息将该验证成功的网络流量发送至该第一存储权重或者第二存储权重中的其中一个。其中，该工控设备在将验证成功的网络流量发送至网络流量缓存区间中之前，还可先获取该第一网络流量缓存区间中的网络流量总数目，以及该第二网络流量缓存区间中的网络流量总数目；从而可根据该第一网络流量缓存区间中的网络流量总数目和第二网络流量缓存区间中的网络流量总数目，确定将该通过验证的网络流量发送至的网络流量缓存区间，具体地，在该第一网络流量缓存区间中的网络流量总数目大于该第二网络流量缓存区间中的网络流量总数目时，可将该验证成功的网络流量存储到该第二网络流量缓存区间中；或者，在该第一网络流量缓存区间中的网络流量总数目小于或等于该第二网络流量缓存区间中的网络流量总数目时，将该验证成功的网络流量发送至该第一网络流量缓存区间中。该工控设备在将网络流量缓存空间中的各个通过验证的网络流量发送至第一网络流量缓存区间和/或第二网络流量缓存区间后，可转而执行步骤S204。

步骤S204，响应于将该网络流量提交至该工控网络的操作，从该第一网络流量缓存区间中获取该网络流量，并根据获取的网络流量确定目标网络流量。

在一个实施例中，该网络流量缓存区间可包括第一网络流量缓存区间和第二网络流量缓存区间，所以，该工控设备确定出的目标网络流量可包括从第一网络流量缓存区间中获取的网络流量，以及从第二网络流量缓存区间中获取的网络流量，从而可根据分别从两个网络流量缓存区间中获取的网络流量确定出目标网络流量。其中，该第一网络流量缓存区间用于以第一存储权重存储已验证的网络流量，该第二网络流量缓存区间用于以第二存储权重存储已验证的网络流量，该工控设备在从该第一网络流量缓存区间和第二网络流量缓存区间中获取网络流量时，可先确定用于从该第一网络流量缓存区间和该第二网络流量缓存区间中获取该已验证的网络流量的筛选规则；进一步地，可按照该筛选规则从该第一网络流量缓存区间中获取第一网络流量，并从该第二网络流量缓存区间中获取第二网络流量，从而可将该第一网络流量和该第二网络流量作为目标网络流量。其中，该筛选规则包括第一网络流量缓存区间对应的第一可处理数量阈值，以及第二网络流量缓存区间对应的第二可处理数量阈值，则该工控设备在按照该筛选规则从该第一网络流量缓存区间中获取第一网络流量，并从该第二网络流量缓存区间中获取第二网络流量时，可在根据该筛选规则确定出第一可处理数量阈值和第二可处理数量阈值后，可先获取待提交至该工控网络中的网络流量总数目，该网络流量总数目可以是工控设备中的网络流量缓存空间获准提交至工控网络的交易的数量；进一步地，该工控设备可按照该网络流量总数目及该第一可处理数量阈值确定第一流量数目，并按照该网络流量总数目及该第二可处理数量阈值确定第二流量数目；在该工控设备确定出该第一流量数目后，可从该第一网络流量缓存区间中获取第一流量数目的网络流量作为第一网络流量，并在该工控设备确定出第二流量数目后，可从该第二网络流量缓存区间中获取第二流量数目的网络流量作为第二网络流量。

在一个实施例中，该第一网络流量缓存区间存储的网络流量以第一存储权重从大到小进行存储，该第二网络流量缓存区间存储的网络流量以第二存储权重从大到小进行存储，该第一存储权重是指上传该网络流量时获取到的命令类型等级的高低，该第二存储权重是根据该工控设备获取该网络流量的总体耗时，以及将该网络流量提交至该工控网络时获取到的命令类型等级确定的。该工控设备在从该第一网络流量缓存区间中获取第一流量数目的网络流量作为第一网络流量，并从该第二网络流量缓存区间中获取第二流量数目的网络流量作为第二网络流量时，该工控设备可先从该第一网络流量缓存区间中按照该第一存储权重从大到小的顺序获取第一流量数目的网络流量作为第一网络流量；在从该第二网络流量缓存区间中获取第二流量数目的网络流量作为第二网络流量时，可从该第二网络流量缓存区间中按照该第二存储权重从大到小的顺序获取第二流量数目的网络流量作为第二网络流量。

在一个实施例中，若该第一网络流量缓存区间为{网络流量A，网络流量B，网络流量C，…，网络流量M}，第二网络流量缓存区间为{网络流量M，网络流量M-1，网络流量C，…，网络流量A}，获取到的待提交至该工控网络中的网络流量总数目假设为10，该筛选规则指示第一网络流量缓存区间对应的第一可处理数量阈值为80％，第二网络流量缓存区间对应的第二可处理数量阈值为20％，则该工控设备可确定从该第一网络流量缓存区间中获取的第一流量数目的网络流量为8，从第二网络流量缓存区间中获取的第二流量数目的网络流量为2。进一步地，该工控设备可从第一网络流量缓存区间{网络流量A，网络流量B，网络流量C，…，网络流量M}中获取排序在前8的网络流量作为第一网络流量，并从第二网络流量缓存区间{网络流量M，网络流量M-1，网络流量C，…，网络流量A}中获取前2的网络流量作为第二网络流量。

在一个实施例中，工控设备在监控到第一网络流量缓存区间和第二网络流量缓存区间中网络流量的总量变化时，可动态重新分配对该网络流量的筛选规则，从而实现对第一可处理数量阈值和第二可处理数量阈值的重新分配，其中，在该工控设备可根据该第一网络流量缓存区间中的网络流量总数目，以及该第二网络流量缓存区间中的网络流量总数目，对该第一可处理数量阈值和该第二可处理数量阈值进行重新分配，具体地，该工控设备可在监控到该第一网络流量缓存区间中的网络流量总数目产生正数目变化，且该第二网络流量缓存区间中的网络流量总数目产生负数目变化时，为了避免工控设备按照原先的筛选规则进行网络流量的选取时，可能由于第二网络流量缓存区间中网络流量的减少导致工控设备长时间等待延迟，无法及时获取到网络流量的问题，该工控设备可重新分配该筛选规则，以增加该第一可处理数量阈值并减少该第二可处理数量阈值。或者，该工控设备在监控到该第一网络流量缓存区间中的网络流量总数目产生负数目变化，且该第二网络流量缓存区间中的网络流量总数目产生正数目变化时，说明工控设备按照提交给该工控设备的命令类型等级选取的网络流量较多，则为了避免加入网络流量缓存空间的网络流量长时间在该网络流量缓存空间中等待，而不能提交至工控网络中，该工控设备对应地可减少该第一可处理数量阈值并增加该第二可处理数量阈值。

在一个实施例中，该工控设备在按照筛选规则从该网络流量缓存区间中获取到网络流量(包括第一网络流量和第二网络流量)作为目标网络流量后，可转而执行步骤S205和步骤S206。

步骤S205，生成目标工控命令文件，该目标工控命令文件包括目标网络流量。

步骤S206，将该目标工控命令文件提交至该工控网络。

在步骤S205和步骤S206中，工控设备从该第一网络流量缓存区间和该第二网络流量缓存区间中获取的第一网络流量和第二网络流量的数量分别为多个，该工控设备在生成目标工控命令文件之前，可先从该第一网络流量中确定出重复网络流量，该重复网络流量是该工控设备分别从该第一网络流量缓存区间和该第二网络流量缓存区间中获取的，为了避免目标工控命令文件对网络流量的重复存储，而对目标工控命令文件相关设备的内存资源的占用，该工控设备可删除从该第一网络流量缓存区间获取的重复网络流量，或者删除从该第二网络流量缓存区间中获取的该重复网络流量。

在一个实施例中，工控设备在存储网络流量缓存空间中的第一网络流量缓存区间和第二网络流量缓存区间时，若该第一网络流量缓存区间为{网络流量A，网络流量B，网络流量C，…，网络流量M}，该第二网络流量缓存区间为{网络流量M，网络流量M-1，网络流量C，…，网络流量A}，其中，该工控设备在根据筛选规则从该第一网络流量缓存区间获取网络流量作为第一网络流量，并从该第二网络流量缓存区间获取网络流量作为第二网络流量后，该工控设备可先确定出获取到的该第一网络流量和第二网络流量中的重复网络流量，该重复网络流量如可以是网络流量C，进一步地，该工控设备在删除从该第一网络流量缓存区间中获取到的网络流量C，或者删除从该第二网络流量缓存区间中获取到的网络流量C后，可得到用于存储到目标工控命令文件，并提交至工控网络中的网络流量。

在本发明实施例中，工控设备可对网络流量缓存空间中待验证的网络流量进行安全验证，并在验证成功后，确定该网络流量的流量信息，从而可根据该流量信息将网络流量发送至对应的网络流量缓存区间中，使得工控设备在获取到将网络流量提交至工控网络的操作时，工控设备在确定对网络流量的筛选规则后，可按照该筛选规则从第一网络流量缓存区间中获取网络流量，并可根据从该第一网络流量缓存区间中获取的网络流量确定出目标网络流量，进一步地，工控设备可生成目标工控命令文件，以存储目标网络流量，并将目标工控命令文件提交至工控网络中，由于工控设备中的网络流量缓存空间预先被划分为出网络流量缓存区间，使得工控设备可从网络流量缓存区间中快速获取到网络流量，并实现对网络流量的提交存储，可有效避免获取网络流量的过程中，由于等待网络流量的获取所导致的命令拥堵的问题。

为了能够更加清楚的描述本发明实施例提供的方案，在本发明实施例中，前述步骤S101可以通过以下详细的步骤实现。

步骤S110，获取待验证的网络流量。具体地，待验证的网络流量可以是用户输入以进行验证的工控流量，可以是需要进行验证的大量工控流量集中的任意工控流量，或者可以是即将打开的流量发起方的工控流量。

步骤S120，对待验证的网络流量进行字段分析结果报文字段分析，以生成待验证的网络流量的字段分析结果。具体地，待验证的网络流量的字段分析结果用于表征该工控流量的特征，以供工控流量验证使用。

步骤S130，对待验证的网络流量的字段分析结果进行字段过滤操作，以获得待验证的网络流量的目标字段分析结果。

步骤S140，根据目标字段分析结果，对待验证的网络流量进行异常流量识别，以确定待验证的网络流量的初始验证结果。

在本发明中，工控流量的初始验证结果例如可以是异常流量、正常流量和无法识别流量中的一个，其中，异常流量为初始验证结果表征异常的工控流量，正常流量为初始验证结果表征正常的工控流量，而无法识别流量则为初始验证结果表征状态处于异常流量和正常流量之间的工控流量。。例如，在对待验证的网络流量进行分类时，可以分别计算该工控流量属于异常流量、正常流量和无法识别流量的概率，并将概率最高的类别确定为待验证的网络流量的类别。应当理解的是，虽然这里将工控流量的类别分为异常流量、正常流量和无法识别流量三类，但是本发明不限于此，工控流量的类别可以包括其他类别，并且可以包括多于或者少于三类。

根据本发明实施例的示例，在步骤S140中，根据目标字段分析结果，对待验证的网络流量进行异常流量识别，以确定待验证的网络流量的初始验证结果可以包括：根据目标字段分析结果，利用预置流量识别模型对待验证的网络流量进行异常流量识别，以确定待验证的网络流量的初始验证结果。预置流量识别模型例如可以利用机器学习中常用的分类算法来实现，例如邻近算法、随机森林算法、孤立森林算法等等。

步骤S150，根据待验证的网络流量的初始验证结果，对待验证的网络流量进行流量发起方身份验证操作或流量特征识别操作。根据本发明实施例的示例，对待验证的网络流量进行流量发起方身份验证操作或流量特征识别操作可以包括：在待验证的网络流量的类别为异常流量或者正常流量的情况下，对该工控流量对应的流量发起方进行流量发起方身份验证操作；以及在待验证的网络流量的类别为无法识别流量的情况下，根据预置特征提取模型对该工控流量进行流量特征识别操作，并根据提取结果生成对该工控流量进行安全验证的请求。

步骤S160，根据流量发起方身份验证操作或流量特征识别操作的结果完成对待验证的网络流量的安全验证。根据本发明实施例的示例，工控流量的验证结果可以包括安全验证待定状态、安全验证通过状态、安全验证未通过状态等等，其中，可以将验证结果为安全验证通过状态的网络流量作为前述验证成功的网络流量。

为了能够更加清楚的描述本发明实施例提供的放哪，下面具体描述生成待验证的工控流量的字段分析结果的过程。

如上，在步骤S120中，对待验证的网络流量进行字段分析结果报文字段分析，以生成待验证的网络流量的字段分析结果。

根据本发明实施例的一个示例，可以通过获取待验证的工控流量的多个特征，并根据所获得的特征来生成字段分析结果。具体地，对待验证的网络流量进行字段分析结果报文字段分析，以生成待验证的网络流量的字段分析结果可以包括：提取待验证的网络流量的功能码字段、报文头字段、报文体字段和报文时序字段中的至少一个字段，作为待验证的工控流量的字段信息；以及利用待验证的工控流量的字段信息，生成字段分析结果。功能码字段例如可以是表征工控设备联动指令，工控设备加入某工控拓扑指令等等的字段。报文头字段例如可以是序号(SEQ)、确认号(ACK)等。报文体字段例如可以是流量包含的其他数据。报文时序字段例如可以表征流量的发起、接收时间和时序的数据。工控流量的字段信息例如可以包括功能码字段、报文头字段、报文体字段和报文时序字段中的一个字段或全部字段。在获取工控流量的字段信息之后，根据字段信息生成字段分析结果，例如，可以通过对字段信息进行数值化来生成字段分析结果。

根据本发明实施例的另一示例，可以通过对预设的预置解析工具进行查询来获得工控流量的字段分析结果。具体地，对待验证的网络流量进行字段分析结果报文字段分析，以生成待验证的工控流量的字段分析结果可以包括：利用预置解析工具对工控流量进行分析，以生成工控流量的字段分析结果。预置解析工具根据可以是wireshrk(网络封包分析软件)，这里，例如，可以通过预置解析工具持有流量与其字段分析结果之间的对应关系。例如，在持有流量与其字段分析结果之间的对应关系的预置解析工具配置对应的查询机制的情况下，将待验证的工控流量输入预置解析工具，即可实时输出工控流量的字段分析结果。在安全分析和运维中，常常需要对遇到的工控流量进行实时地验证分析，利用预置解析工具能够实时地获取工控流量的字段分析结果，大大提高工控流量验证的速度。

此外，在一些情况下，工控流量的字段分析结果中可能缺乏工控流量验证所需的必要信息，例如，如果某个工控流量在不是完整连续的，是缺失的，则其字段分析结果可能缺乏诸如报文时序字段等的必要信息。在此情况下，步骤S130可以进一步包括步骤S210和步骤S220。

在步骤S210中，可以判断待验证的网络流量的字段分析结果是否完整连续，并且在字段分析结果完整连续的情况下，确定该字段分析结果为目标字段分析结果，并在步骤S220中输出该目标字段分析结果；在字段分析结果非完整连续的情况下，则丢弃该字段分析结果，即，不再对该字段分析结果进行进一步的操作。

为了能够更加清楚的描述本发明实施例提供的方案，下面对上述步骤进行详细的举例说明。

首先在步骤S110中，获取待验证的网络流量。在步骤S120中，对待验证的网络流量进行字段分析结果报文字段分析，以生成待验证的网络流量的字段分析结果。在步骤S130中，对待验证的网络流量的字段分析结果进行字段过滤操作，以获得待验证的网络流量的目标字段分析结果。然后，在步骤S140中根据待验证的网络流量的目标字段分析结果，对待验证的网络流量进行异常流量识别，以确定待验证的网络流量的初始验证结果待验证的网络流量待验证的网络流量。如果确定待验证的网络流量的类别为异常流量，则在步骤S150中，对该工控流量对应的流量发起方进行流量发起方身份验证操作，并根据流量发起方身份验证操作的结果，在步骤S160中确定该工控流量为安全验证待定状态、安全验证通过状态或者安全验证未通过状态；如果确定待验证的网络流量的类别为正常流量，则在步骤S150中，对该工控流量进行流量发起方身份验证操作，并根据流量发起方身份验证操作的结果，在步骤S160中确定该工控流量为安全验证待定状态、普通工控流量或者安全验证通过状态；如果确定待验证的网络流量的类别为无法识别流量，则在步骤S150中，根据预置特征提取模型对该工控流量进行流量特征识别操作，并根据提取结果确定对该工控流量进行进一步安全验证还是停止验证，并且在进一步安全验证的情况下，在步骤S160中确定该工控流量为安全验证待定状态、安全验证未通过状态或者安全验证通过状态。

具体地，根据本发明实施例的示例，在待验证的网络流量的初始验证结果为异常流量或者正常流量的情况下，对待验证的网络流量对应的流量发起方进行流量发起方身份验证操作可以包括：在流量发起方中包括的预设身份验证标识的标识数满足预置标识数量时，确定该流量发起方为安全发起方；在流量发起方中包括的预设身份验证标识的标识数不满足预置标识数量时，确定该流量发起方为非安全发起方；以及在流量发起方身份信息失效时，确定该流量发起方为无效发起方。通常，流量发起方可以包括身份标识、权限标识等信息，流量发起方中的身份标识例如又可以唯一身份ID，唯一地址ID等，通过这些信息可以判断流量发起方是否正常。例如，对于某个待验证的工控流量所对应的流量发起方，可以通过流量发起方中包括的标签的数量是否满足预置标识数量来判断该流量发起方是否正常，即预设身份验证标识为标签，当标签的数量满足预置标识数量时，确定该流量发起方是安全发起方；当标签的数量不满足预置标识数量时，确定该流量发起方是非安全发起方。这里，预置标识数量可以根据所选择的流量发起方中的预设身份验证标识的不同种类而有所不同。

作为一种示例场景，在步骤S140中确定待验证的网络流量的初始验证结果为异常流量时，则相应地在步骤S150中对待验证的网络流量对应的流量发起方进行流量发起方身份验证操作，此时，根据在步骤S150进行的流量发起方身份验证操作的结果完成对待验证的网络流量的安全验证可以包括：在流量发起方为安全发起方的情况下，确定该工控流量为安全验证通过状态；在流量发起方为非安全发起方的情况下，确定该工控流量为安全验证未通过状态；以及在流量发起方为无效发起方的情况下，确定该工控流量为安全验证待定状态。

例如，可能存在多种原因，使得安全发起方的工控流量被分类为异常流量。即使如此，根据本发明实施例的方法仍可以在最后的验证结果中识别出这种情形。例如，如果某个待验证的工控流量所对应的流量发起方本身是安全发起方，但由于其他异常状况而导致工控流量暂时异常，使其初始验证结果表征异常，则在利用本发明的方法对待验证的网络流量进行验证时，该工控流量在步骤S140中会被分类为异常流量，随后，在步骤S150中该工控流量对应的流量发起方会被确定为安全发起方，最终，在步骤S160中正确验证出该工控流量为安全验证通过状态，表明该工控流量所对应的流量发起方本身是安全发起方，但是由于某种原因而暂时异常。

对于安全验证未通过状态，根据本发明实施例的方法可以将其首先分类为异常流量，然后在最后的验证结果中正确识别出该安全验证未通过状态。例如，如果某个待验证的工控流量为安全验证未通过状态，其安全风险极高，则在利用本发明的方法对待验证的网络流量进行验证时，该工控流量在步骤S140中会被分类为异常流量，随后，在步骤S150中该工控流量对应的流量发起方被确定为非安全发起方，最终，在步骤S160中正确验证出该工控流量为安全验证未通过状态。

安全验证未通过状态例如可以作为后续安全参考依据，以用于网络安全分析和运维，或者可以作为警示信息提供给用户，以便用户对其采取相应的处理措施。

此外，工控流量时效性是有期限的，当工控流量超过时限后，工控流量会无效并且其对应的流量发起方将变得无法访问。对于某个在对应身份信息失效前具有安全风险的工控流量，在利用本发明的方法进行验证时，待验证的网络流量在步骤S140中会被分类为异常流量，但由于其所对应的流量发起方已经无法访问，即不会直接影响工控网络，最终在步骤S160中确定其为安全验证待定状态。虽然安全验证待定状态不作为有效的后续参考安全参考依据，但也可以作为验证结果信息提供给用户。

作为另一种示例场景，在步骤S140中确定待验证的工控流量的类别为正常流量时，则相应地在步骤S150中对待验证的网络流量对应的流量发起方进行流量发起方身份验证操作，此时，根据流量发起方身份验证操作或流量特征识别操作的结果确定工控流量的验证结果可以包括：在流量发起方为安全发起方并且该工控流量的安全性满足预定条件的情况下，确定该工控流量为安全验证通过状态；在流量发起方为无效发起方的情况下，确定该工控流量为安全验证待定状态。

在该场景下，根据本发明实施例的可以识别出安全验证通过状态。例如，对于某个被划分为正常流量类别的待验证的网络流量，如果其对应的流量发起方为安全发起方，并且其安全性满足预定条件，则表明其安全风险非常低，因而可以确定该工控流量为安全验证通过状态，以用于网络安全分析和运维。

此外，虽然上面公开了通过流量发起方分类将工控流量对应的流量发起方分为安全发起方、非安全发起方和无效发起方，并根据此确定工控流量的验证结果，但本发明不限于此，例如，对于安全验证未通过状态，还可以通过流量发起方分类将工控流量对应的流量发起方分为管理员流量发起方、访客流量发起方、操作员流量发起方等，这可以通过对流量发起方登录信息来确定。

作为又一种示例场景，如果在步骤S140中待验证的工控流量被分类为无法识别流量，则在步骤S150中，根据预置特征提取模型对工控流量进行流量特征识别操作，并根据提取结果生成对工控流量进行安全验证的请求。例如，在通过计算待验证的网络流量属于异常流量、正常流量和无法识别流量的概率来确定待验证的网络流量的类别的情况下，预置特征提取模型例如可以是：判断被分类为无法识别流量的待验证的网络流量属于异常流量的概率是否大于属于正常流量的概率，如果判定结果为是，则生成对该工控流量进行安全验证的请求，例如对该工控流量进行人工鉴定的请求，以进一步判断该工控流量是安全验证未通过状态、安全验证通过状态还是安全验证待定状态；如果判定结果为否，则可以停止对该工控流量的验证。例如，假定某个待验证的工控流量属于异常流量、正常流量和无法识别流量的概率分别为0.3，0.2和0.5，则由于属于无法识别流量的概率(0.5)最高，该工控流量被分类为无法识别流量，然后，通过上述预置特征提取模型对该工控流量进行扫描，由于该工控流量属于异常流量的概率(0.3)大于属于正常流量的概率(0.2)，则生成对该工控流量进行安全验证的请求，例如对该工控流量进行人工鉴定的请求，以进一步判断该工控流量是安全验证未通过状态、安全验证通过状态或安全验证待定状态。

下面描述根据本发明一个示例性实施例的在步骤S140中使用的预置流量识别模型的训练方法。

在步骤S410中，获取包括不同初始验证结果的样本流量的样本流量集，其中每个样本流量的流量参数包括该样本流量的字段信息和该样本流量的初始验证结果。例如，样本流量的初始验证结果可以包括异常流量、正常流量和无法识别流量。如前，例如，异常流量为初始验证结果表征异常的工控流量，正常流量为初始验证结果表征正常的工控流量，而无法识别流量则为安全风险处于异常流量和正常流量之间的工控流量。例如，可以从预设异常样本流量集获取预设异常样本流量，将通过对预设异常样本流量进行识别判定的安全验证未通过状态作为异常流量类别的样本流量，并且将通过对预设异常样本流量进行识别判定的非安全验证未通过状态作为无法识别流量类别的样本流量。其中，预设异常样本流量集例如可以从已知的非法攻击数据库中获取。在获得预设异常样本流量集之后，例如可以通过安全专家进行人工鉴定来确定预设异常样本流量集中的工控流量是否为安全验证未通过状态，并将其中的安全验证未通过状态作为异常流量类别的样本流量，将其中的非安全验证未通过状态作为无法识别流量类别的样本流量。另外，可以获取预设正常样本流量，作为正常流量类别的样本流量，如前，预设正常样本流量是指被访问的频率满足预定条件的工控流量。另外，还可以对预设正常样本流量进行去噪之后作为正常流量类别的样本流量，以提高流量参数的可靠性。

在步骤S420中，针对样本流量集中的每个样本流量，根据该样本流量对应的字段信息，生成该样本流量的目标字段分析结果。例如，可以从大数据平台整合每个样本流量对应的字段信息，这些字段信息涉及的数据量是庞大的，甚至多达千亿级，因此，需要从中提取工控流量验证所需的有效的字段信息。例如，可以通过字段分析对每个样本流量的字段信息进行分析和数值化，以获取其字段分析结果。经过对字段信息进行分析之后，用于训练的字段信息可以包括四种类型：功能码字段、报文头字段、报文体字段和报文时序字段。

然后，例如可以利用上述规则对字段分析结果进行特征系数验证，以确定字段分析结果是否完整连续；以及在确定字段分析结果完整连续的情况下，确定该字段分析结果为目标字段分析结果；在字段分析结果非完整连续的情况下，丢弃该字段分析结果。

接下来，在步骤S430中，利用样本流量集中的每个样本流量的目标字段分析结果和初始验证结果，对预置流量识别模型进行训练。可以利用样本流量集中的每个样本流量的已知类别来对预置流量识别模型有监督训练，例如，对于每个样本流量，可以通过使预置流量识别模型的分类结果与样本流量的已知类别之间的损失函数最小来对预置流量识别模型进行有监督训练。

下面进一步描述本发明一个示例性实施例提供的预置流量识别模型的训练方法的示例过程。

在步骤S510中，进行工控流量收集和工控流量抽样，以获取样本流量集。例如，可以从开源情报和公知的预设正常样本流量收集不同类别的样本流量集。

在步骤S520中，进行字段信息整合，以获取样本流量集中的每个样本流量的字段信息。样本流量集中的每个样本流量均涉及诸如工控流量大小、工控流量内容等很多字段信息，这些数据例如可以预先进行整理收集，即，进行字段信息整合，以得到样本流量集中的每个样本流量的字段信息。

在步骤S530中，对每个样本流量的字段信息进行字段分析，以生成该样本流量的字段分析结果。经过对字段信息进行分析之后，用于训练的字段信息可以包括四种类型：功能码字段、报文头字段、报文体字段和报文时序字段。然后，可以通过对每个样本流量的字段信息进行诸如数值化等的操作来生成该样本流量的字段分析结果，并通过字段过滤操作获得目标字段分析结果。

在步骤S540中，对预置流量识别模型进行机器学习训练与工控流量分类测试。在该示例中，例如可以使用均方差算法、随机森林算法和孤立森林算法进行融合计算的建模策略来实现预置流量识别模型，也就是说，这三种算法均对样本流量集中的每个样本流量进行分类，并分别给出该样本流量为异常流量、正常流量或者无法识别流量的投票结果，得票数高的类别即为该样本流量的类别。例如，对于某个样本流量，如果均方差算法、随机森林算法给出的投票结果为异常流量，而孤立森林算法给出的投票结果为正常流量，则确定该样本流量的类别为异常流量；此外，在均方差算法、随机森林算法和孤立森林算法对于某个样本流量分别给出异常流量、正常流量和无法识别流量的投票结果的情况下，则确定该样本流量的类别为无法识别流量。然后，利用样本流量集中的每个样本流量的目标字段分析结果和初始验证结果，对根据预置流量识别模型进行有监督训练。

在该示例中，对训练完成的预置流量识别模型进行工控流量分类测试，得到的测试结果中精确率、召回率和模型分值。以异常流量类别为例，假定预置流量识别模型将异常流量类别的样本流量分类为异常流量的数量为Q1，将无法识别流量类别和正常流量类别的样本流量分类为异常流量的数量为Q2，将异常流量类别的样本流量分类为无法识别流量或正常流量的数量为Q3，则对于异常流量，其精确率P可以表示为P＝Q1/(Q1+Q2)，表示被预测为异常流量类别的样本流量中真正属于异常流量的比例；召回率R可以表示为R＝Q1/(Q1+Q3)，表示异常流量类别的样本流量被分类为异常流量的比例；模型分值T可以表示为T＝2*P*R/(P+R)，其综合了精确率和召回率的结果，当某类别的T较高时表示预置流量识别模型对于该类别的效果较好。根据最后，在步骤S550中输出训练后的预置流量识别模型。训练后的预置流量识别模型可以用于根据本发明上述实施例的方法，对输入的待验证的网络流量进行分类，使得能够根据工控流量分类的结果对工控流量进行进一步的验证，以得到工控流量为安全验证未通过状态、安全验证通过状态、安全验证通过状态等等的工控流量验证结果。

此外，根据本发明实施例的方法还可以包括反馈优化的步骤。可以包括获取待验证的网络流量步骤S610，生成待验证的网络流量的字段分析结果的步骤S620、对字段分析结果进行字段过滤操作的步骤S630、对待验证的工控流量进行分类的步骤S640、对待验证的工控流量进行对应处理的步骤S650、以及确定并输出工控流量验证结果的步骤S660，由于步骤S610至S660与上述的步骤S110至S160的细节相同，因此为了简单起见，这里省略对相同内容的重复描述。

本发明实施例提供的方案还可以包括步骤S670，在步骤S670中，进行反馈优化，其中，反馈优化可以针对方法的整个过程进行，包括对步骤S620至步骤S670的各个步骤的反馈优化。

根据本发明实施例的示例，可以通过数据调整来对各个步骤进行反馈优化，数据调整例如是指增/减生成工控流量字段分析结果的各类字段信息中的特征，并根据这种增/减对工控流量验证结果的影响来进一步调整各类字段信息中的特征。例如，如果在生成工控流量字段分析结果的字段信息中增加某个特征时，工控流量验证结果变得更准确，则可以将该影响反馈到各个步骤中。在此后的工控流量验证中，可以利用增加了该特征的字段信息来生成字段分析结果；还可以利用增加了该特征的流量参数来对工控流量训练模型进行进一步的训练；并且，可以根据进一步训练的预置流量识别模型的分类结果来进行工控流量验证，以使工控流量验证的结果最优。

以上详细实施步骤描述了根据本发明实施例的方案，通过生成待验证的工控流量的字段分析结果，根据字段分析结果对待验证的工控流量进行分类以确定工控流量的类别，对待验证的工控流量进行与其类别相对应的处理，并根据流量发起方身份验证操作或流量特征识别操作的结果确定工控流量的验证结果，能够对工控流量进行高效、精确的验证。此外，利用根据机器学习的方法，能够实现对海量的工控流量数据进行实时、高效、自动的验证，相比于高度依赖于人工鉴定的传统方法，大大提高了验证效率。例如，对于包括海量工控流量的待验证的网络流量集，利用根据机器学习的方法对其进行验证，能够快速筛选出其中的安全验证未通过状态、安全验证通过状态、安全验证待定状态等等，降低了维护工控网络安全问题的运营成本。

本发明实施例提供一种工控网络安全维护装置110，应用于工控网络中的工控设备，工控设备维护有网络流量缓存空间，网络流量缓存空间包括网络流量缓存区间，网络流量缓存区间包括第一网络流量缓存区间，第一网络流量缓存区间用于存储已验证的网络流量，请结合参阅图2，工控网络安全维护装置110包括：

获取模块1101，用于从网络流量缓存空间中获取待验证的网络流量，并对待验证的网络流量进行安全验证；

处理模块1102，用于将验证成功的网络流量发送至网络流量缓存区间中，其中，验证成功的网络流量被发送至第一网络流量缓存区间中，第一网络流量缓存区间是根据与验证成功的网络流量表征的命令类型等级进行存储的，在第一网络流量缓存区间中，命令类型等级越高的网络流量被分配越紧急的处理时限；响应于将验证成功的网络流量提交至工控网络的操作，从第一网络流量缓存区间中获取验证成功的网络流量，并根据获取的验证成功的网络流量确定目标网络流量；生成目标工控命令文件，目标工控命令文件包括目标网络流量；

提交模块1103，用于将目标工控命令文件提交至工控网络。

需要说明的是，前述工控网络安全维护装置110的实现原理可以参考前述工控网络安全维护方法的实现原理，在此不再赘述。应理解以上装置的各个模块的划分仅仅是一种逻辑功能的划分，实际实现时可以全部或部分集成到一个物理实体上，也可以物理上分开。且这些模块可以全部以软件通过处理元件调用的形式实现；也可以全部以硬件的形式实现；还可以部分模块通过处理元件调用软件的形式实现，部分模块通过硬件的形式实现。例如，工控网络安全维护装置110可以为单独设立的处理元件，也可以集成在上述装置的某一个芯片中实现，此外，也可以以程序代码的形式存储于上述装置的存储器中，由上述装置的某一个处理元件调用并执行以上工控网络安全维护装置110的功能。其它模块的实现与之类似。此外这些模块全部或部分可以集成在一起，也可以独立实现。这里所描述的处理元件可以是一种集成电路，具有信号的处理能力。在实现过程中，上述方法的各步骤或以上各个模块可以通过处理器元件中的硬件的集成逻辑电路或者软件形式的指令完成。

本发明实施例提供一种计算机设备100，计算机设备100包括处理器及存储有计算机指令的非易失性存储器，计算机指令被处理器执行时，计算机设备100执行前述的工控网络安全维护装置110。如图3所示，图3为本发明实施例提供的计算机设备100的结构框图。计算机设备100包括工控网络安全维护装置110、存储器111、处理器112及通信单元113。

本发明实施例提供一种可读存储介质，可读存储介质包括计算机程序，计算机程序运行时控制可读存储介质所在计算机设备执行前述的工控网络安全维护方法。

出于说明目的，前面的描述是参考具体实施例而进行的。但是，上述说明性论述并不打算穷举或将本发明局限于所公开的精确形式。根据上述教导，众多修改和变化都是可行的。选择并描述这些实施例是为了最佳地说明本发明的原理及其实际应用，从而使本领域技术人员最佳地利用本发明，并利用具有不同修改的各种实施例以适于预期的特定应用。出于说明目的，前面的描述是参考具体实施例而进行的。但是，上述说明性论述并不打算穷举或将本发明局限于所公开的精确形式。根据上述教导，众多修改和变化都是可行的。选择并描述这些实施例是为了最佳地说明本发明的原理及其实际应用，从而使本领域技术人员最佳地利用本发明，并利用具有不同修改的各种实施例以适于预期的特定应用。

Claims (10)

1.一种工控网络安全运维方法，其特征在于，应用于工控网络中的工控设备，所述工控设备维护有网络流量缓存空间，所述网络流量缓存空间包括网络流量缓存区间，所述网络流量缓存区间包括第一网络流量缓存区间，所述第一网络流量缓存区间用于存储已验证的网络流量，具体包括以下步骤：

从所述网络流量缓存空间中获取待验证的网络流量，并对所述待验证的网络流量进行安全验证；

将验证成功的网络流量发送至所述网络流量缓存区间中，其中，所述验证成功的网络流量被发送至所述第一网络流量缓存区间中，所述第一网络流量缓存区间是根据与所述验证成功的网络流量表征的命令类型等级进行存储的，在所述第一网络流量缓存区间中，所述命令类型等级越高的网络流量被分配越紧急的处理时限；

响应于将所述验证成功的网络流量提交至所述工控网络的操作，从所述第一网络流量缓存区间中获取所述验证成功的网络流量，并根据获取的所述验证成功的网络流量确定目标网络流量；

生成目标工控命令文件，所述目标工控命令文件包括所述目标网络流量；

将所述目标工控命令文件提交至所述工控网络。

2.根据权利要求1所述的一种工控网络安全运维方法，其特征在于，所述网络流量缓存区间还包括第二网络流量缓存区间；所述第一网络流量缓存区间用于以第一存储权重存储已验证的网络流量，所述第二网络流量缓存区间用于以第二存储权重存储已验证的网络流量，所述第一存储权重是指上传所述验证成功的网络流量时获取到的命令类型等级的高低，所述第二存储权重是根据所述工控设备获取所述验证成功的网络流量的总体耗时，以及将所述验证成功的网络流量提交至所述工控网络时获取到的命令类型等级确定的。

3.根据权利要求2所述的一种工控网络安全运维方法，其特征在于，

所述将验证成功的网络流量发送至所述网络流量缓存区间中还包括：将所述验证成功的网络流量发送至所述第二网络流量缓存区间中，

所述从所述第一网络流量缓存区间中获取所述验证成功的网络流量，并根据获取的所述验证成功的网络流量确定目标网络流量，包括：

确定用于从所述第一网络流量缓存区间和所述第二网络流量缓存区间中获取所述已验证的网络流量的筛选规则，其中，所述筛选规则包括所述第一网络流量缓存区间对应的第一可处理数量阈值和所述第二网络流量缓存区间对应的第二可处理数量阈值；

获取待提交至所述工控网络中的网络流量总数目；

按照所述网络流量总数目及所述第一可处理数量阈值确定第一流量数目，并按照所述网络流量总数目及所述第二可处理数量阈值确定第二流量数目，其中，所述第一网络流量缓存区间存储的网络流量以所述第一存储权重从大到小进行存储，所述第二网络流量缓存区间存储的网络流量以所述第二存储权重从大到小进行存储；

从所述第一网络流量缓存区间中按照所述第一存储权重从大到小的顺序获取所述第一流量数目的网络流量作为第一网络流量；

从所述第二网络流量缓存区间中按照所述第二存储权重从大到小的顺序获取所述第二流量数目的网络流量作为第二网络流量；并根据所述第一网络流量和所述第二网络流量确定所述目标网络流量。

4.根据权利要求3所述的一种工控网络安全运维方法，其特征在于，根据所述第一网络流量缓存区间中的网络流量总数目，以及所述第二网络流量缓存区间中的网络流量总数目，对所述第一可处理数量阈值和所述第二可处理数量阈值进行重新分配。

5.根据权利要求4所述的一种工控网络安全运维方法，其特征在于，所述根据所述第一网络流量缓存区间中的网络流量总数目，以及所述第二网络流量缓存区间中的网络流量总数目，对所述第一可处理数量阈值和所述第二可处理数量阈值进行重新分配，包括：

在监控到所述第一网络流量缓存区间中的网络流量总数目产生正数目变化，且所述第二网络流量缓存区间中的网络流量总数目产生负数目变化时，增加所述第一可处理数量阈值并减少所述第二可处理数量阈值；

在监控到所述第一网络流量缓存区间中的网络流量总数目产生负数目变化，且所述第二网络流量缓存区间中的网络流量总数目产生正数目变化时，减少所述第一可处理数量阈值并增加所述第二可处理数量阈值。

6.根据权利要求1所述的一种工控网络安全运维方法，其特征在于，所述验证成功的网络流量还被发送至第二网络流量缓存区间中，其中，所述第一网络流量缓存区间用于以第一存储权重存储已验证的网络流量，所述第二网络流量缓存区间用于以第二存储权重存储已验证的网络流量，所述将验证成功的网络流量发送至所述网络流量缓存区间中，包括：

获取验证成功的网络流量的流量信息，确定将所述验证成功的网络流量提交至工控网络时获取的命令类型等级，并确定所述网络流量缓存空间获取到所述验证成功的网络流量的总体耗时；

根据所述命令类型等级确定所述验证成功的网络流量在所述第一网络流量缓存区间中的所述第一存储权重；以及，

根据所述命令类型等级和所述总体耗时确定所述验证成功的网络流量在所述第二网络流量缓存区间中的所述第二存储权重；

根据所述第一存储权重，将所述验证成功的网络流量发送至所述第一网络流量缓存区间中；以及，

根据所述第二存储权重，将所述验证成功的网络流量发送至所述第二网络流量缓存区间中。

7.根据权利要求1所述的一种工控网络安全运维方法，其特征在于，所述从所述网络流量缓存空间中获取待验证的网络流量，并对所述待验证的网络流量进行安全验证，包括：

获取待验证的网络流量；

对所述待验证的网络流量进行字段分析结果报文字段分析，以生成所述待验证的网络流量的字段分析结果；

确定所述待验证的网络流量的字段分析结果是否完整连续；以及

在确定所述字段分析结果完整连续的情况下，确定所述字段分析结果为目标字段分析结果；

在所述字段分析结果非完整连续的情况下，丢弃所述字段分析结果；

根据所述目标字段分析结果，利用预置流量识别模型对所述待验证的网络流量进行异常流量识别，以确定所述待验证的网络流量的初始验证结果，所述初始验证结果包括异常流量、正常流量和无法识别流量，其中，所述预置流量识别模型通过以下方式获取：

从预设异常样本流量集获取预设异常样本流量，将通过对预设异常样本流量进行识别判定的安全验证未通过状态作为异常流量类别的样本流量，并且将通过对预设异常样本流量进行识别判定的非安全验证未通过状态作为无法识别流量类别的样本流量；

获取预设正常样本流量，作为正常流量类别的样本流量，其中，每个样本流量的流量参数包括所述样本流量的字段信息和所述样本流量的初始验证结果；

针对所述样本流量集中的每个样本流量，根据所述样本流量对应的字段信息，生成所述样本流量的目标字段分析结果；以及

利用所述样本流量集中的每个样本流量的目标字段分析结果和初始验证结果，对所述预置流量识别模型进行训练，其中，所述初始验证结果是异常流量、正常流量和无法识别流量中的一个；

根据所述待验证的网络流量的初始验证结果，对所述待验证的网络流量进行流量发起方身份验证操作或流量特征识别操作；以及

根据所述流量发起方身份验证操作或流量特征识别操作的结果完成对所述待验证的网络流量的安全验证；

在所述待验证的网络流量的初始验证结果为异常流量或者正常流量时，对所述待验证的网络流量对应的流量发起方进行流量发起方身份验证操作，所述流量发起方身份验证操作包括：

在所述流量发起方中包括的预设身份验证标识的标识数满足预置标识数量时，确定所述流量发起方为安全发起方；

在所述流量发起方中包括的预设身份验证标识的标识数不满足预置标识数量时，确定所述流量发起方为非安全发起方；以及

在所述流量发起方身份信息失效时，确定所述流量发起方为无效发起方；

在所述待验证的网络流量的初始验证结果为异常流量时，根据所述流量发起方身份验证操作或流量特征识别操作的结果完成对所述待验证的网络流量的安全验证包括：

在所述流量发起方为安全发起方的情况下，确定所述待验证的网络流量为安全验证通过状态；

在所述流量发起方为非安全发起方的情况下，确定所述待验证的网络流量为安全验证未通过状态；以及

在所述流量发起方为无效发起方的情况下，确定所述待验证的网络流量为安全验证待定状态；

在所述待验证的网络流量的初始验证结果为正常流量时，根据所述流量发起方身份验证操作或流量特征识别操作的结果完成对所述待验证的网络流量的安全验证包括：

在所述流量发起方为安全发起方并且所述待验证的网络流量的安全性满足预定条件的情况下，确定所述待验证的网络流量为安全验证通过状态；

在所述流量发起方为无效发起方的情况下，确定所述待验证的网络流量为安全验证待定状态。

8.根据权利要求7所述的一种工控网络安全运维方法，其特征在于，所述对所述待验证的网络流量进行字段分析结果报文字段分析，以生成所述待验证的网络流量的字段分析结果包括：

提取所述待验证的网络流量的功能码字段、报文头字段、报文体字段和报文时序字段中的至少一个字段，作为所述待验证的网络流量的字段信息；以及

利用所述待验证的网络流量的字段信息，生成所述字段分析结果；

所述对所述待验证的网络流量进行字段分析结果报文字段分析，以生成所述待验证的网络流量的字段分析结果还包括：

利用预置解析工具对所述待验证的网络流量进行分析，以提取所述待验证的网络流量的字段分析结果，其中，所述预置解析工具持有流量与其字段分析结果的对应关系。

9.根据权利要求2所述的一种工控网络安全运维方法，其特征在于，所述第一网络流量和所述第二网络流量的数量分别为多个；所述生成目标工控命令文件之前，所述方法还包括：

从所述第一网络流量中确定重复网络流量，所述重复网络流量为从所述第一网络流量缓存区间中获取的，且从所述第二网络流量缓存区间中获取的网络流量；

删除从所述第一网络流量缓存区间获取的所述重复网络流量，或者删除从所述第二网络流量缓存区间获取的所述重复网络流量。

10.一种工控网络安全维护装置，其特征在于，应用于工控网络中的工控设备，所述工控设备维护有网络流量缓存空间，所述网络流量缓存空间包括网络流量缓存区间，所述网络流量缓存区间包括第一网络流量缓存区间，所述第一网络流量缓存区间用于存储已验证的网络流量，所述装置包括：

获取模块，用于从所述网络流量缓存空间中获取待验证的网络流量，并对所述待验证的网络流量进行安全验证；

处理模块，用于将验证成功的网络流量发送至所述网络流量缓存区间中，其中，所述验证成功的网络流量被发送至所述第一网络流量缓存区间中，所述第一网络流量缓存区间是根据与所述验证成功的网络流量表征的命令类型等级进行存储的，在所述第一网络流量缓存区间中，所述命令类型等级越高的网络流量被分配越紧急的处理时限；响应于将所述验证成功的网络流量提交至所述工控网络的操作，从所述第一网络流量缓存区间中获取所述验证成功的网络流量，并根据获取的所述验证成功的网络流量确定目标网络流量；生成目标工控命令文件，所述目标工控命令文件包括所述目标网络流量；

提交模块，用于将所述目标工控命令文件提交至所述工控网络。