[发明专利]一种访问控制规则优化方法及装置、计算机可读存储介质

权利要求书

1.一种访问控制规则优化方法，其特征在于，包括：

提取实时通信报文和工程组态文件中的报文数据特征向量与通信行为特征向量；

使用提取的报文数据特征向量及通信行为特征向量作为输入，对深度学习模型进行训练，得到待优化访问控制规则；

将待优化访问控制规则与用于保障基本通信功能正常运行的基线策略进行比较，如果待优化访问控制规则限定的通信范围大于或等于基线策略限定的通信范围，则使用待优化访问控制规则对当前访问控制规则进行优化；所述待优化访问控制规则限定的通信范围大于或等于基线策略限定的通信范围包括：待优化访问控制规则限定的允许网络访问的白名单范围大于或等于基线策略限定的允许网络访问的白名单范围，和/或，待优化访问控制规则限定的不允许网络访问的黑名单范围小于或等于基线策略限定的不允许网络访问的黑名单范围；

当待优化访问控制规则限定的通信范围小于基线策略限定的通信范围时，不使用该待优化访问控制规则对当前访问控制规则进行优化，并向深度学习模型反馈学习结果错误。

2.根据权利要求1所述的方法，其特征在于，所述报文数据特征向量包括以下至少之一：协议类型字段、功能代码字段、标签值字段、设备地址字段。

3.根据权利要求1所述的方法，其特征在于，所述通信行为特征向量包括以下至少之一：设备间通信连接关系、指令关系、指令频率周期、诊断数据流向关系。

4.根据权利要求1所述的方法，其特征在于，所述待优化访问控制规则包括对不同协议字段的访问控制规则及对不同协议字段的工艺数值的访问控制规则。

5.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现如权利要求1至权利要求4中任一项所述的访问控制规则优化方法的步骤。

6.一种访问控制规则优化装置，其特征在于，包括处理器及存储器，其中：所述处理器用于执行存储器中存储的程序，以实现如权利要求1至权利要求4中任一项所述的访问控制规则优化方法的步骤。

7.一种访问控制规则优化装置，其特征在于，包括特征提取模块、机器学习模块和优化仲裁模块，其中：

特征提取模块，用于提取实时通信报文和工程组态文件中的报文数据特征向量与通信行为特征向量；

机器学习模块，用于使用提取的报文数据特征向量及通信行为特征向量作为输入，对深度学习模型进行训练，得到待优化访问控制规则；

优化仲裁模块，用于将待优化访问控制规则与用于保障基本通信功能正常运行的基线策略进行比较，如果待优化访问控制规则限定的通信范围大于或等于基线策略限定的通信范围，则使用待优化访问控制规则对当前访问控制规则进行优化；当待优化访问控制规则限定的通信范围小于基线策略限定的通信范围时，不使用该待优化访问控制规则对当前访问控制规则进行优化，并向所述机器学习模块反馈学习结果错误；所述待优化访问控制规则限定的通信范围大于或等于基线策略限定的通信范围包括：待优化访问控制规则限定的允许网络访问的白名单范围大于或等于基线策略限定的允许网络访问的白名单范围，和/或，待优化访问控制规则限定的不允许网络访问的黑名单范围小于或等于基线策略限定的不允许网络访问的黑名单范围。

8.根据权利要求7所述的装置，其特征在于，所述报文数据特征向量包括以下至少之一：协议类型字段、功能代码字段、标签值字段、设备地址字段。

9.根据权利要求7所述的装置，其特征在于，所述通信行为特征向量包括以下至少之一：设备间通信连接关系、指令关系、指令频率周期、诊断数据流向关系。

10.根据权利要求7所述的装置，其特征在于，所述待优化访问控制规则包括对不同协议字段的访问控制规则及对不同协议字段的工艺数值的访问控制规则。