本發明公開了一種復雜周期模型的生成方法、裝置及其檢測方法、裝置，通過對同一類的工控指令到達時間進行深度分析，發現同一類工控指令隱藏的周期模式，建立了同一類工控指令的復雜周期模型，復雜周期模型的生成方法形成的復雜周期模型完全基于工控指令進行建模和分析，易于部署實施，可以從工業防火墻的日志進行建模分析，也可以通過工業流量審計設備對工控流量進行建模分析，支持周期嵌套，兼容簡單周期模型，適用范圍廣，不同類工控指令對應的復雜周期模型可用于對工控指令序列進行檢測，能更準確更及時地識別出因為工控指令時間錯誤引起的異常，從而能有效識別誤操作或惡意操作，適用于工控安全場景。

技術領域

本發明涉及工控網絡安全技術領域，具體涉及一種復雜周期模型的生成方法、裝置及其檢測方法、裝置。

背景技術

工控系統(industrial?control?system，ICS)指的是工業自動化控制系統，主要是通過使用計算機技術、微電子技術、電氣手段，使工廠的生產和制造過程更加自動化、效率化、精確化，并具有可控性及可視性。ICS廣泛應用社會的各行各業中，包括發電、電廠調度、軌道交通、智能制造、石油石化、水處理等各種工業企業。

工業系統是一個分布式計算系統。上層是上位機(一般就是安裝了工控軟件的計算機)，工程師在上位機進行業務操作，到達工控指令給下位機；中層是下位機(一般是PLC、DCS等)，接收上位機的工控指令，翻譯成設備元器件能執行的指令下發給設備；下層是元器件設備(即工廠的設備)。工控系統的主要威脅來自于上位機和下位機的通信，因為上位機就是普通的計算機，由人操作，很容易感染病毒、木馬入侵或人為惡意破壞，形成惡劣影響。

目前，檢測、防止工控攻擊的方法主要是通過主機安裝防病毒軟件，或者上位機下位機之間部署工業防火墻。這些方法可以識別錯誤的報文，過濾非法協議的流量，但對于工控系統內員工的人為惡意攻擊或誤操作卻無法防范，因為實施這些操作的源和目的設備都是正確的合法設備，且下發的工控指令是報文格式、功能碼和參數均正確的工控指令，這些操作一旦生效，可能帶來極其可怕的后果。

發明內容

有鑒于此，本發明實施例提供了一種復雜周期模型的生成方法、裝置及其檢測方法、裝置，以解決現有的工業防火墻、防病毒軟件對于工控系統內員工的人為惡意攻擊或誤操作無法防范的問題。

根據第一方面，本發明實施例提供了一種復雜周期模型的生成方法，包括：

獲取工控指令數據集，工控指令數據集包括多個同一類工控指令及各工控指令到達的時間；根據各工控指令及到達的時間得到工控指令的第一周期序列；根據工控指令的第一周期序列形成工控指令的第一周期統計數據，第一周期統計數據包括至少一個周期數據；統計第一周期統計數據中每個周期數據及其出現的第一次數；判斷是否存在大于或等于第一預設次數閾值的第一次數；如果存在大于或等于第一預設次數閾值的第一次數，根據第一周期統計數據統計以第一次數大于或等于第一預設次數閾值的周期數據為首，長度加一的周期數據序列及其出現的第二次數；判斷是否存在大于或等于第一預設次數閾值的第二次數；如果存在大于或等于第一預設次數閾值的第二次數，根據第一周期統計數據統計以第二次數大于或等于第一預設次數閾值的周期數據序列為首，長度加一的周期數據序列及其出現的第二次數，并返回執行判斷是否存在大于或等于第一預設次數閾值的第二次數的步驟，直至周期數據序列長度等于第一預設長度閾值；根據周期數據序列長度等于第一預設長度閾值的周期數據序列形成復雜周期模型。

可選地，根據工控指令的第一周期序列形成工控指令的第一周期統計數據，第一周期統計數據包括至少一個周期數據，包括：判斷第一周期序列中相鄰的兩個周期的誤差范圍是否滿足預設閾值；如果滿足預設閾值，根據誤差范圍滿足預設閾值的相鄰兩個周期及其出現的次數得到第一周期數據；根據第一周期數據形成工控指令的第一周期統計數據。