[发明专利]一种访问控制规则优化方法及装置、计算机可读存储介质

说明书

本申请公开了一种访问控制规则优化方法及装置、计算机可读存储介质，所述方法包括：提取实时通信报文和工程组态文件中的报文数据特征向量与通信行为特征向量；使用提取的报文数据特征向量及通信行为特征向量作为输入，对深度学习模型进行训练，得到待优化访问控制规则；将待优化访问控制规则与用于保障基本通信功能正常运行的基线策略进行比较，若待优化访问控制规则限定的通信范围大于或等于基线策略限定的通信范围，使用待优化访问控制规则对当前访问控制规则进行优化。本申请通过深度学习模型对报文数据特征向量及通信行为特征向量进行学习并对待优化访问控制进行仲裁，提升了访问控制规则的覆盖范围，避免误配置产生的通信影响。

技术领域

本发明涉及但不限于工业自动化技术领域，尤其涉及一种访问控制规则优化方法及装置、计算机可读存储介质。

背景技术

目前，常规的控制器通信访问控制技术采用人工配置的访问控制列表(AccessControl List，ACL)和应用层协议过滤策略实现对通信数据报文的过滤，这种访问控制方式大多仅能够对报文的介质访问控制(Media Access Control，MAC)地址、网际协议(Internet Protocol，IP)地址、协议类型及部分应用层标签进行控制，对报文中的复杂应用层字段规则和控制逻辑规则无法实现策略控制。

此外，现有的工业控制器的应用层协议通常以私有协议为主，使用现有的通信访问控制方法对控制器应用层协议进行访问控制，策略配置难度较大且极容易由于策略配置不当造成通信中断的网络事故。

发明内容

本发明实施例提供了一种访问控制规则优化方法及装置、计算机可读存储介质，能够提升控制器访问控制规则的覆盖范围并降低访问控制规则误配置带来的现场风险。

本发明实施例的技术方案是这样实现的：

本发明实施例提供了一种访问控制规则优化方法，包括：

提取实时通信报文和工程组态文件中的报文数据特征向量与通信行为特征向量；

使用提取的报文数据特征向量及通信行为特征向量作为输入，对深度学习模型进行训练，得到待优化访问控制规则；

将待优化访问控制规则与用于保障基本通信功能正常运行的基线策略进行比较，如果待优化访问控制规则限定的通信范围大于或等于基线策略限定的通信范围，则使用待优化访问控制规则对当前访问控制规则进行优化。

在本发明的一实施例中，所述报文数据特征向量包括以下至少之一：协议类型字段、功能代码字段、标签值字段、设备地址字段。

在本发明的一实施例中，所述通信行为特征向量包括以下至少之一：设备间通信连接关系、指令关系、指令频率周期、诊断数据流向关系。

在本发明的一实施例中，所述待优化访问控制规则包括对不同协议字段的访问控制规则及对不同协议字段的工艺数值的访问控制规则。

本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现如以上任一项所述的访问控制规则优化方法的步骤。

本发明实施例还提供了一种访问控制规则优化装置，包括处理器及存储器，其中：所述处理器用于执行存储器中存储的程序，以实现以上任一项所述的访问控制规则优化方法的步骤。

本发明实施例还提供了一种访问控制规则优化装置，包括特征提取模块、机器学习模块和优化仲裁模块，其中：

特征提取模块，用于提取实时通信报文和工程组态文件中的报文数据特征向量与通信行为特征向量；

机器学习模块，用于使用提取的报文数据特征向量及通信行为特征向量作为输入，对深度学习模型进行训练，得到待优化访问控制规则；