一种访问控制规则优化方法及装置、计算机可读存储介质制造方法及图纸

本申请公开了一种访问控制规则优化方法及装置、计算机可读存储介质，所述方法包括：提取实时通信报文和工程组态文件中的报文数据特征向量与通信行为特征向量；使用提取的报文数据特征向量及通信行为特征向量作为输入，对深度学习模型进行训练，得到待优化访问控制规则；将待优化访问控制规则与用于保障基本通信功能正常运行的基线策略进行比较，若待优化访问控制规则限定的通信范围大于或等于基线策略限定的通信范围，使用待优化访问控制规则对当前访问控制规则进行优化。本申请通过深度学习模型对报文数据特征向量及通信行为特征向量进行学习并对待优化访问控制进行仲裁，提升了访问控制规则的覆盖范围，避免误配置产生的通信影响。

A Method and Device for Optimizing Access Control Rules and Computer Readable Storage Media

This application discloses an access control rule optimization method and device, and a computer readable storage medium. The method includes: extracting the feature vectors of message data and communication behavior in real-time communication message and engineering configuration file; using the extracted feature vectors of message data and communication behavior as input, training the deep learning model, and obtaining the desired result. Optimize the access control rules; compare the access control rules to be optimized with the baseline policies used to ensure the normal operation of basic communication functions. If the communication range defined by the access control rules to be optimized is greater than or equal to the communication range defined by the baseline policies, the current access control rules are optimized by using the access control rules to be optimized. This application uses in-depth learning model to learn the message data eigenvectors and communication behavior eigenvectors and arbitrate the optimized access control, which enhances the coverage of access control rules and avoids the communication impact caused by misconfiguration.

【技术实现步骤摘要】
一种访问控制规则优化方法及装置、计算机可读存储介质
本专利技术涉及但不限于工业自动化
，尤其涉及一种访问控制规则优化方法及装置、计算机可读存储介质。
技术介绍
目前，常规的控制器通信访问控制技术采用人工配置的访问控制列表(AccessControlList，ACL)和应用层协议过滤策略实现对通信数据报文的过滤，这种访问控制方式大多仅能够对报文的介质访问控制(MediaAccessControl，MAC)地址、网际协议(InternetProtocol，IP)地址、协议类型及部分应用层标签进行控制，对报文中的复杂应用层字段规则和控制逻辑规则无法实现策略控制。此外，现有的工业控制器的应用层协议通常以私有协议为主，使用现有的通信访问控制方法对控制器应用层协议进行访问控制，策略配置难度较大且极容易由于策略配置不当造成通信中断的网络事故。
技术实现思路
本专利技术实施例提供了一种访问控制规则优化方法及装置、计算机可读存储介质，能够提升控制器访问控制规则的覆盖范围并降低访问控制规则误配置带来的现场风险。本专利技术实施例的技术方案是这样实现的：本专利技术实施例提供了一种访问控制规则优化方法，包括：提取实时通信报文和工程组态文件中的报文数据特征向量与通信行为特征向量；使用提取的报文数据特征向量及通信行为特征向量作为输入，对深度学习模型进行训练，得到待优化访问控制规则；将待优化访问控制规则与用于保障基本通信功能正常运行的基线策略进行比较，如果待优化访问控制规则限定的通信范围大于或等于基线策略限定的通信范围，则使用待优化访问控制规则对当前访问控制规则进行优化。在本专利技术的一实施例中，所述报文数据特征向量包括以下至少之一：协议类型字段、功能代码字段、标签值字段、设备地址字段。在本专利技术的一实施例中，所述通信行为特征向量包括以下至少之一：设备间通信连接关系、指令关系、指令频率周期、诊断数据流向关系。在本专利技术的一实施例中，所述待优化访问控制规则包括对不同协议字段的访问控制规则及对不同协议字段的工艺数值的访问控制规则。本专利技术实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现如以上任一项所述的访问控制规则优化方法的步骤。本专利技术实施例还提供了一种访问控制规则优化装置，包括处理器及存储器，其中：所述处理器用于执行存储器中存储的程序，以实现以上任一项所述的访问控制规则优化方法的步骤。本专利技术实施例还提供了一种访问控制规则优化装置，包括特征提取模块、机器学习模块和优化仲裁模块，其中：特征提取模块，用于提取实时通信报文和工程组态文件中的报文数据特征向量与通信行为特征向量；机器学习模块，用于使用提取的报文数据特征向量及通信行为特征向量作为输入，对深度学习模型进行训练，得到待优化访问控制规则；优化仲裁模块，用于将待优化访问控制规则与用于保障基本通信功能正常运行的基线策略进行比较，如果待优化访问控制规则限定的通信范围大于或等于基线策略限定的通信范围，则使用待优化访问控制规则对当前访问控制规则进行优化。在本专利技术的一实施例中，所述报文数据特征向量包括以下至少之一：协议类型字段、功能代码字段、标签值字段、设备地址字段。在本专利技术的一实施例中，所述通信行为特征向量包括以下至少之一：设备间通信连接关系、指令关系、指令频率周期、诊断数据流向关系。在本专利技术的一实施例中，所述待优化访问控制规则包括对不同协议字段的访问控制规则及对不同协议字段的工艺数值的访问控制规则。本专利技术实施例的技术方案，具有如下有益效果：本专利技术实施例提供的访问控制规则优化方法及装置、计算机可读存储介质，通过深度学习模型对提取的报文数据特征向量及通信行为特征向量进行学习，得到待优化访问控制规则，实现了控制器访问控制策略集从基础通信到业务、控制数据的覆盖范围提升，并保证了访问控制规则优化结果的可靠性，降低了访问控制规则误配置带来的现场风险，并通过将待优化访问控制规则与基线策略进行比较，保证优化内容严格覆盖基线策略限定的通信范围，降低了机器学习偏移或错误优化结果对当前实时通信的影响。附图说明此处所说明的附图用来提供对本专利技术的进一步理解，构成本申请的一部分，本专利技术的示意性实施例及其说明用于解释本专利技术，并不构成对本专利技术的不当限定。在附图中：图1为本专利技术实施例的一种访问控制规则优化方法的流程示意图；图2为本专利技术实施例的一种访问控制规则优化方法的应用结构示意图；图3为本专利技术实施例的一种访问控制规则优化装置的结构示意图；图4为本专利技术实施例的另一种访问控制规则优化装置的结构示意图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚明白，下文中将结合附图对本专利技术的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。如图1所示，根据本专利技术实施例的一种访问控制规则优化方法，包括如下步骤：步骤101：提取实时通信报文和工程组态文件中的报文数据特征向量与通信行为特征向量；在本专利技术的一实施例中，所述报文数据特征向量包括以下至少之一：协议类型字段、功能代码字段、标签值字段、设备地址字段。需要说明的是，本申请中所述的协议类型包括以下至少之一：MODBUS(一种工业通信系统)通讯协议、RS-232(一种异步传输标准接口)通讯协议、RS-485(一种通信接口)通讯协议、信息传递接口(MessagePassingInterface，MPI)通信、串口通信、工业以太网、PPI(一种主从式通信协议)通信、程序总线网络(PROcessFIeldBUS，Profibus)-分布式外围设备(DecentralizedPeriphery，DP)、OPC(ObjectLinkingandEmbeddingforProcessControl)UA(UnifiedArchitecture)、预定义的私有协议等。在本实施例的一示例中，所述功能代码字段可以为工业协议中的功能代码字段和/或私有协议中的功能代码字段。功能代码字段可以分为位操作和字操作两类，其中，位操作的最小单位为比特(BIT)，字操作的最小单位为两个字节。例如，在MODBUS支持的部分功能代码中，位操作指令包括：读线圈状态01H，读离散输入状态02H，写单个线圈05H和写多个线圈0FH；字操作指令包括：读保持寄存器03H，写单个保持寄存器06H，写多个保持寄存器10H。在本实施例的另一示例中，在OPCUA的协议中，没有功能代码字段，它使用标签值字段来实现类似功能代码字段实现的功能，例如读取线圈、寄存器、输入点操作等。在本实施例的一示例中，所述设备地址字段可以包括以下至少之一：IP地址、MAC地址和站地址。具体地，对于使用通用协议的工业设备来说，所提取的设备地址字段通常可以是IP地址和/或MAC地址；对于使用私有协议和其它具备站地址的协议(例如，IEC104等)的工业设备来说，所提取的设备地址字段可以是一个用于对应工业设备一个模块的地址的站地址，所述站地址通常位于应用层协议的一个字段中，所述站地址可以包括主站地址和从站地址。在本专利技术的一实施例中，所述通信行为特征向量包括以下至少之一：设备间通信连接关系、指令关系、指令频率周期、诊断数据流向关系。在本专利技术的一实施例中本文档来自技高网...

【技术保护点】
1.一种访问控制规则优化方法，其特征在于，包括：提取实时通信报文和工程组态文件中的报文数据特征向量与通信行为特征向量；使用提取的报文数据特征向量及通信行为特征向量作为输入，对深度学习模型进行训练，得到待优化访问控制规则；将待优化访问控制规则与用于保障基本通信功能正常运行的基线策略进行比较，如果待优化访问控制规则限定的通信范围大于或等于基线策略限定的通信范围，则使用待优化访问控制规则对当前访问控制规则进行优化。

【技术特征摘要】
1.一种访问控制规则优化方法，其特征在于，包括：提取实时通信报文和工程组态文件中的报文数据特征向量与通信行为特征向量；使用提取的报文数据特征向量及通信行为特征向量作为输入，对深度学习模型进行训练，得到待优化访问控制规则；将待优化访问控制规则与用于保障基本通信功能正常运行的基线策略进行比较，如果待优化访问控制规则限定的通信范围大于或等于基线策略限定的通信范围，则使用待优化访问控制规则对当前访问控制规则进行优化。2.根据权利要求1所述的方法，其特征在于，所述报文数据特征向量包括以下至少之一：协议类型字段、功能代码字段、标签值字段、设备地址字段。3.根据权利要求1所述的方法，其特征在于，所述通信行为特征向量包括以下至少之一：设备间通信连接关系、指令关系、指令频率周期、诊断数据流向关系。4.根据权利要求1所述的方法，其特征在于，所述待优化访问控制规则包括对不同协议字段的访问控制规则及对不同协议字段的工艺数值的访问控制规则。5.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现如权利要求1至权利要求4中任一项所述的访问控制规则优化方法的步骤。6.一种访问控制规则优化装置，其特征...

【专利技术属性】
技术研发人员：刘盈，李蒙，李宗杰，
申请(专利权)人：北京和利时系统工程有限公司，
类型：发明
国别省市：北京,11