(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211208306.7 (22)申请日 2022.09.30 (71)申请人 北京珞安科技有限责任公司 地址 100097 北京市海淀区昆明湖南路47 号国防教育 基地二层A09号 (72)发明人 张晓东　孔令武　关勇　 (74)专利代理 机构 北京君泰水木知识产权代理 有限公司 1 1906 专利代理师 王贵良 (51)Int.Cl. H04L 9/40(2022.01) G06F 40/40(2020.01) (54)发明名称 基于工控行为分析的工控网络威胁分析方 法 (57)摘要 基于工控行为分析的工控网络威胁分析方 法， 应用于工控系统， 工控系统中每个工控终端 均设置数据提取探针， 数据提取探针 分别与服务 器连接， 包括， 步骤一， 数据提取探针的信息复制 模块将工控终端的操作数据复制后， 通过通讯模 块发送至服务器； 步骤二， 服务器的提取单元将 接收的操作数据中的行为数据进行提取； 步骤 三， 服务器的翻译单元将提取的行为数据译为标 准语言后存储在服务器的存储单元； 步骤四， 服 务器的分析单元对标准语言进行分析， 确定当前 行为是否存在网络威胁； 步骤五， 服务器的显示 单元显示当前行为的网络威胁等级以及对应的 标准语言。 本发明保证了管理员/维修员及时发 现网络威胁， 选择最佳解决方案 。 权利要求书2页 说明书6页 附图1页 CN 115499238 A 2022.12.20 CN 115499238 A 1.基于工控行为分析的工控网络威胁分析方法， 应用于工控系统， 所述工控系统包括 多个工控终端， 每个工控终端 执行不同的工控操作， 其特征在于， 每个工控终端设置数据提 取探针， 每 个工控终端的数据提取探针分别与服 务器连接， 具体包括以下步骤， 步骤一， 数据提取探针的信息复制模块将工控终端的操作数据复制后， 通过通讯模块 发送至服 务器； 步骤二， 服 务器的提取 单元将接收的操作数据中的行为数据进行提取； 步骤三， 服务器的翻译单元将提取的行为数据译为标准语言后存储在服务器的存储单 元； 步骤四， 服务器的分析单元根据当前工控终端的常规操作行为、 威胁操作行为对标准 语言进行分析， 确定当前 行为是否存在网络威胁； 步骤五， 服 务器的显示单 元显示当前 行为的网络威胁等级以及对应的标准语言。 2.根据权利要求1所述基于工控行为分析的工控 网络威胁分析方法， 其特征在于， 所述 操作数据类型包括报文、 日志、 以及实时流 量数据。 3.根据权利要求2所述基于工控行为分析的工控 网络威胁分析方法， 其特征在于， 所述 步骤二包括， 提取单元将首先筛选操作数据中关键字段， 然后在关键字段中提取行为字段， 得到行为数据； 所述行为数据包括操作主体、 操作时间、 操作地点、 以及操作内容； 所述操作主体包括 具体的工控终端、 具体工控终端的具体部件； 操作地点包括具体的工控终端所在位置、 具体 工控终端的具体部件所在位置； 操作内容包括工控终端或工控终端中具体部件执行的操 作。 4.根据权利要求3所述基于工控行为分析的工控 网络威胁分析方法， 其特征在于， 所述 步骤三中标准语言为汉语言。 5.根据权利要求4所述基于工控行为分析的工控 网络威胁分析方法， 其特征在于， 所述 存储单元存储有当前工控系统中每个工控终端的常规操作行为和威胁操作行为； 所述常规 操作行为对应网络威胁等级为一级， 所述威胁操作行为对应网络威胁等级包括二级和三 级； 所述分析单元将当前行为的标准语言与存储单元中当前工控终端的常规操作 行为、 威 胁操作行为进 行对应， 确定 当前行为网络威胁等级， 当网络威胁等级 大于等于二级时， 则当 前行为存在网络威胁。 6.根据权利要求1所述基于工控行为分析的工控 网络威胁分析方法， 其特征在于， 当网 络威胁等级等级大于等于二级时， 还包括步骤六， 服务器的显示单元显示所述虚拟摄像机 采集三维关系图中演示的威胁预设操作图像和/或视频。 7.根据权利要求6所述基于工控行为分析的工控 网络威胁分析方法， 其特征在于， 所述 存储单元还存储有当前工控系统中设备的连接 关系示意图、 威胁操作所对应的威胁预设操 作、 威胁预设操作所对应的操作路径、 以及操作路径中到 达每个节点所需总时长； 所述连接关系示 意图为三维关系图； 每 个威胁操作可以对应多个威胁预设操作。 8.根据权利要求7所述基于工控行为分析的工控 网络威胁分析方法， 其特征在于， 所述 服务器还包括预警单元， 当所述分析单元确定当前行为是否存在 网络威胁时， 所述预警单 元根据一个当前威胁操作行为或多个当前威胁操作行为， 确定对应的威胁预设操作后， 在权　利　要　求　书 1/2 页 2 CN 115499238 A 2所述三维关系图中进行演示； 所述服务器的预警单元包括虚拟摄像机， 所述虚拟摄像机采集三维关系图中演示的威 胁预设操作图像和/或视频。 9.根据权利要求8所述基于工控行为分析的工控 网络威胁分析方法， 其特征在于， 所述 步骤六还 包括以下步骤， 步骤61， 所述虚拟摄像机根据步骤三中标准语言中的操作主体信息、 当前虚拟摄像机 的位置， 确定虚拟摄 像机与采集对象的相对位置； 步骤62， 所述预警单元根据威胁操作行为对应存储单元中的威胁预设操作， 然后根据 威胁预设操作对应的操作路径， 确定威胁操作行为对应的威胁预设操作的操作路径； 步骤63， 所述预警单元根据步骤61中确定的虚拟摄像机与采集对象的相对位置、 步骤 62中确定的威胁操作行为对应的威胁预设操作的操作路径， 确定虚拟摄 像机的拍摄路径； 步骤64， 所述预警单元根据当前威胁操作行为对应的威胁预设操作在所述三维关系图 中进行演示， 同时所述虚拟 摄像机根据步骤63中确定的拍摄路径采集三 维关系图中演示的 威胁预设操作图像和/或视频。 10.根据权利要求9所述基于工控行为分析的工控网络威胁分析方法， 其特征在于， 所 述步骤64中还包括， 在威胁预设操作在三维关系图中演示时， 所述预警单元读取操作路径 中到达每个节点所需总时长， 并将操作路径中到达每个节点所需总时长标注在每个节点 上。权　利　要　求　书 2/2 页 3 CN 115499238 A 3