This application discloses an access control rule optimization method and device, and a computer readable storage medium. The method includes: extracting the feature vectors of message data and communication behavior in real-time communication message and engineering configuration file; using the extracted feature vectors of message data and communication behavior as input, training the deep learning model, and obtaining the desired result. Optimize the access control rules; compare the access control rules to be optimized with the baseline policies used to ensure the normal operation of basic communication functions. If the communication range defined by the access control rules to be optimized is greater than or equal to the communication range defined by the baseline policies, the current access control rules are optimized by using the access control rules to be optimized. This application uses in-depth learning model to learn the message data eigenvectors and communication behavior eigenvectors and arbitrate the optimized access control, which enhances the coverage of access control rules and avoids the communication impact caused by misconfiguration.
【技术实现步骤摘要】
一种访问控制规则优化方法及装置、计算机可读存储介质
本专利技术涉及但不限于工业自动化
,尤其涉及一种访问控制规则优化方法及装置、计算机可读存储介质。
技术介绍
目前,常规的控制器通信访问控制技术采用人工配置的访问控制列表(AccessControlList,ACL)和应用层协议过滤策略实现对通信数据报文的过滤,这种访问控制方式大多仅能够对报文的介质访问控制(MediaAccessControl,MAC)地址、网际协议(InternetProtocol,IP)地址、协议类型及部分应用层标签进行控制,对报文中的复杂应用层字段规则和控制逻辑规则无法实现策略控制。此外,现有的工业控制器的应用层协议通常以私有协议为主,使用现有的通信访问控制方法对控制器应用层协议进行访问控制,策略配置难度较大且极容易由于策略配置不当造成通信中断的网络事故。
技术实现思路
本专利技术实施例提供了一种访问控制规则优化方法及装置、计算机可读存储介质,能够提升控制器访问控制规则的覆盖范围并降低访问控制规则误配置带来的现场风险。本专利技术实施例的技术方案是这样实现的:本专利技术实施例提供了一种访问控制规则优化方法,包括:提取实时通信报文和工程组态文件中的报文数据特征向量与通信行为特征向量;使用提取的报文数据特征向量及通信行为特征向量作为输入,对深度学习模型进行训练,得到待优化访问控制规则;将待优化访问控制规则与用于保障基本通信功能正常运行的基线策略进行比较,如果待优化访问控制规则限定的通信范围大于或等于基线策略限定的通信范围,则使用待优化访问控制规则对当前访问控制规则进行优化。在本专利技术的 ...
【技术保护点】
1.一种访问控制规则优化方法,其特征在于,包括:提取实时通信报文和工程组态文件中的报文数据特征向量与通信行为特征向量;使用提取的报文数据特征向量及通信行为特征向量作为输入,对深度学习模型进行训练,得到待优化访问控制规则;将待优化访问控制规则与用于保障基本通信功能正常运行的基线策略进行比较,如果待优化访问控制规则限定的通信范围大于或等于基线策略限定的通信范围,则使用待优化访问控制规则对当前访问控制规则进行优化。
【技术特征摘要】
1.一种访问控制规则优化方法,其特征在于,包括:提取实时通信报文和工程组态文件中的报文数据特征向量与通信行为特征向量;使用提取的报文数据特征向量及通信行为特征向量作为输入,对深度学习模型进行训练,得到待优化访问控制规则;将待优化访问控制规则与用于保障基本通信功能正常运行的基线策略进行比较,如果待优化访问控制规则限定的通信范围大于或等于基线策略限定的通信范围,则使用待优化访问控制规则对当前访问控制规则进行优化。2.根据权利要求1所述的方法,其特征在于,所述报文数据特征向量包括以下至少之一:协议类型字段、功能代码字段、标签值字段、设备地址字段。3.根据权利要求1所述的方法,其特征在于,所述通信行为特征向量包括以下至少之一:设备间通信连接关系、指令关系、指令频率周期、诊断数据流向关系。4.根据权利要求1所述的方法,其特征在于,所述待优化访问控制规则包括对不同协议字段的访问控制规则及对不同协议字段的工艺数值的访问控制规则。5.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如权利要求1至权利要求4中任一项所述的访问控制规则优化方法的步骤。6.一种访问控制规则优化装置,其特征...
【专利技术属性】
技术研发人员:刘盈,李蒙,李宗杰,
申请(专利权)人:北京和利时系统工程有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。