网络安全监控方法及网络安全监控系统

技术领域

本申请属于网络安全技术领域，尤其涉及网络安全监控方法及网络安全监控系统。

背景技术

工业控制系统是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成。工业控制系统已经广泛遍布于工业、能源、交通、水利等领域，用于控制生产设备的运行。

通用的网络技术在工业控制系统中的普遍运用，使得工业控制系统开放程度也随之提升，工业控制系统与公共互联网的联系也愈发密切。

然而，随着信息化和工业化的融合，工业控制系统的安全问题也变得日益突出。一旦工业控制系统出现安全漏洞，则使得工业控制系统遭受病毒、木马等威胁攻击的可能性增大，进而使得工业控制过程、工业控制系统中的网络设备都面临安全性威胁。因此，对工业控制系统进行网络防护非常有必要。

现有技术中提供的工业控制系统的网络防护方法，检测过程不完整，不能准确地检测出工业控制系统中的异常，导致不能有效地防护工业控制系统中的网络安全。

发明内容

有鉴于此，本申请实施例提供了网络安全监控方法、网络安全监控系统及存储介质，以解决现有技术中的网络防护方法，检测过程不完整，不能准确地检测出工业控制系统中的异常，导致不能有效地防护工业控制系统中的网络安全的问题。

本申请实施例的第一方面提供了一种网络安全监控方法，应用于工业控制系统，所述工业控制系统包括多个网络设备，所述网络安全监控方法包括：

采集每个所述网络设备产生的网络数据；

通过设备异常监控模型对每个所述网络数据进行监控，并根据监控结果确定每个所述网络设备中的异常网络设备；

获取所述异常网络设备对应的目标网络数据；

通过应用异常监控模型对所述目标网络数据进行监控，并根据监控结果确定所述异常网络设备对应的异常应用；

根据所述异常网络设备和所述异常应用进行网络告警。

第一方面提供的网络安全监控方法，应用于工业控制系统，该工业控制系统包括多个网络设备，采集每个网络设备产生的网络数据；通过设备异常监控模型对每个网络数据进行监控，并根据监控结果确定每个网络设备中的异常网络设备；获取异常网络设备对应的目标网络数据；通过应用异常监控模型对目标网络数据进行监控，并根据监控结果确定异常网络设备对应的异常应用；根据异常网络设备和异常应用进行网络告警。这种实现方式中，先通过设备异常监控模型对每个网络数据进行监控，确定出多个网络设备中的异常网络设备；再通过应用异常监控模型对异常网络设备对应的目标网络数据进行监控，确定出异常网络设备中的异常应用；从而根据异常网络设备和异常应用进行精准告警。整个监控流程完整，逐步有序地确定工业控制系统中的异常网络设备和异常应用，提升了监控结果的准确性。且通过设备异常监控模型、应用异常监控模型进行监控，进一步提升了监控的速度和准确性，可以及时、有效地检测出工业控制系统中的异常，进而有效地防护工业控制系统中的网络安全。

可选地，在一种可能的实现方式中，所述网络数据包括数据包信息和网络流量信息，所述采集每个所述网络设备产生的网络数据，包括：

利用SNMP协议采集每个所述网络设备产生的所述数据包信息，所述数据包信息包括每个所述网络设备产生的数据包和每个所述数据包的数据量；

利用sFlow技术采集每个所述网络设备产生的所述网络流量信息，所述网络流量信息包括IP地址、MAC地址、每个所述网络设备对应的应用所产生的目标数据包以及每个所述目标数据包的目标数据量。

在该实现方式中，利用SNMP协议采集每个网络设备产生的数据包信息，利用sFlow技术采集每个网络设备产生的网络流量信息，通过多种方式采集每个网络设备的信息，使采集的信息更丰富、全面，进而在后续监控过程中，有利于设备异常监控模型、应用异常监控模型对采集到的信息进行全面分析，从而使得监控结果更准确，可以及时、有效地检测出工业控制系统中的异常，进而有效地防护工业控制系统中的网络安全。

可选地，在一种可能的实现方式中，所述设备异常监控模型包括多个设备流量簇，所述通过设备异常监控模型对每个所述网络数据进行监控，并根据监控结果确定每个所述网络设备中的异常网络设备，包括：

获取每个所述网络设备产生的数据包的数据量；

针对每个数据量，当监测到所述数据量与每个所述设备流量簇均不匹配时，将所述数据量对应的网络设备确定为所述异常网络设备。

在该实现方式中，通过设备异常监控模型中的多个设备流量簇，对每个网络设备产生的数据包的数据量进行监控，可以及时、准确地监测出异常的数据量，进而根据异常的数据量确定出异常网络设备，进而有利于维护人员针对该异常网络设备进行有效地防护，从而保障工业控制系统中的网络安全。

可选地，在一种可能的实现方式中，所述应用异常监控模型包括多个应用流量簇，所述通过应用异常监控模型对所述目标网络数据进行监控，并根据监控结果确定所述异常网络设备对应的异常应用，包括：

在所述目标网络数据中，获取所述异常网络设备对应的每个应用所产生的目标数据包的目标数据量；

针对每个目标数据量，当监测到所述目标数据量与每个所述应用流量簇均不匹配时，将所述目标数据量对应的应用确定为所述异常应用。

在该实现方式中，通过应用异常监控模型中的多个应用流量簇，对异常网络设备的应用产生的目标数据包的目标数据量进行监控，可以及时、准确地监测出异常的目标数据量，进而根据异常的目标数据量确定出异常应用，进而有利于维护人员针对该异常应用进行有效地防护，从而保障工业控制系统中的网络安全。

可选地，在一种可能的实现方式中，所述采集每个所述网络设备产生的网络数据之前，所述网络安全监控方法还包括：

采集每个所述网络设备在正常时产生的样本网络数据，所述样本网络数据包括样本数据包信息和样本网络流量信息；

通过聚类算法对所述样本数据包信息进行聚类处理，得到所述设备异常监控模型；

通过所述聚类算法对所述样本网络流量信息进行聚类处理，得到所述应用异常监控模型。

在该实现方式中，采集每个网络设备在正常时产生的样本网络数据，然后通过聚类算法对样本网络数据进行处理，能够构建出准确的设备异常监控模型和应用异常监控模型，便于后续根据设备异常监控模型和应用异常监控模型对网络数据进行监控，进而提升了监控的速度和准确性，可以及时、有效地检测出工业控制系统中的异常，有效地防护工业控制系统中的网络安全。

可选地，在一种可能的实现方式中，所述根据所述异常网络设备和所述异常应用进行网络告警，包括：

根据所述异常网络设备和所述异常应用确定告警级别；

获取所述告警级别对应的告警方式，并根据所述告警方式进行告警。

在该实现方式中，先根据异常网络设备和异常应用确定告警级别，再获取告警级别对应的告警方式，并根据告警方式进行告警，有助于维护人员根据不同的告警方式及时确定当前工业控制系统存在的危险等级，进而及时做出不同的响应，从而有效地防护工业控制系统中的网络安全。

可选地，在一种可能的实现方式中，所述根据所述异常网络设备和所述异常应用进行网络告警之后，所述网络安全监控方法还包括：

在显示界面实时展示每个所述网络设备产生的网络数据。

在该实现方式中，在显示界面实时展示正常网络设备和异常网络设备产生的网络数据，实现了对工业控制系统中各个网络设备的实时画像，便于用户直观地观察到工业控制系统中网络的实时状态，做出相应地调整。且该界面是实时展示的，当出现异常网络设备和异常应用时，维护人员也可以直观地看到，进而及时做出响应，从而有效地防护工业控制系统中的网络安全。

本申请实施例的第二方面提供了一种网络安全监控系统，包括：

信息采集模块，用于采集工业控制系统中每个网络设备产生的网络数据；

模型生成模块，用于生成设备异常监控模型和应用异常监控模型；

信息处理模块，用于通过所述设备异常监控模型、所述应用异常监控模型以及所述网络数据，确定每个所述网络设备中的异常网络设备，以及确定所述异常网络设备对应的异常应用；

告警模块，用于根据所述异常网络设备和所述异常应用进行网络告警，并实时展示每个所述网络设备产生的网络数据。

本申请实施例的第三方面提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现如上述第一方面所述的网络安全监控方法的步骤。

本申请实施例的第四方面提供了一种芯片，包括：处理器，用于从存储器中调用并运行计算机程序，使得安装有所述芯片的设备执行上述第一方面所述的网络安全监控方法的步骤。

本申请实施例的第五方面提供了一种计算机程序产品，当计算机程序产品在网络安全监控系统上运行时，使得该网络安全监控系统执行上述第一方面所述的网络安全监控方法的步骤。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1是本申请一示例性实施例提供的一种网络安全监控方法的示意性流程图；

图2是本申请另一示例性实施例示出的一种网络安全监控方法的步骤S101的具体流程图；

图3是本申请再一示例性实施例示出的一种网络安全监控方法的步骤S102的具体流程图；

图4是本申请又一示例性实施例示出的一种网络安全监控方法的步骤S104的具体流程图；

图5是本申请再一示例性实施例示出的构建模型的方法的具体流程图；

图6是本申请一实施例提供的一种网络安全监控系统的示意图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

在本申请实施例的描述中，除非另有说明，“/”表示或的意思，例如，A/B可以表示A或B；本文中的“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，在本申请实施例的描述中，“多个”是指两个或多于两个。

以下，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本实施例的描述中，除非另有说明，“多个”的含义是两个或两个以上。

请参见图1，图1是本申请一示例性实施例提供的一种网络安全监控方法的示意性流程图。本申请提供的网络安全监控方法的执行主体为网络安全监控设备，其中，该网络安全监控设备包括但不限于车载电脑、平板电脑、手机、计算机、可穿戴设备、个人数字助理(Personal Digital Assistant，PDA)等终端。网络安全监控设备还可以包括各种类型的服务器。例如，服务器可以是独立的服务器，也可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(ContentDelivery Network，CDN)、以及大数据和人工智能平台等基础云计算服务的云服务。

如图1所示的网络安全监控方法可包括：S101～S105，具体如下：

S101：采集每个网络设备产生的网络数据。

示例性地，本申请提供的网络安全监控方法应用于工业控制系统，以保障工业控制系统的网络安全。其中，工业控制系统可以包括多个网络设备，例如交换机、工作站、防火墙、路由器、主机、备机、服务器、传感器、计算机等网络设备。每个网络设备中安装有应用，对应用的种类和数量不做限定。

工作控制系统在工作的过程中，各个网络设备会产生对应的网络数据，在预设时间段内采集每个网络设备各自产生的网络数据。例如，在预设时间段内采集交换机、工作站、防火墙、路由器、主机、备机、服务器、传感器、计算机等网络设备各自产生的网络数据。时间段可根据实际情况预先设置，对此不做限定。

网络数据可以包括数据包信息和网络流量信息。其中，数据包信息包括每个网络设备产生的数据包和每个数据包的数据量。例如，工业控制系统的多个网络设备在互相通信时，或者与其他设备通信时，都会产生数据包，该数据包中可以包括发送者和接受者的地址信息，以及具体通信的内容。

每个数据包的数据量，可以通俗理解为每个数据包的大小。网络设备通信的信息不同，则产生的每个数据包的数据量不同，即产生的每个数据包的大小不同。其中，数据量的单位可以为比特(bit)、字节(Byte)、千字节(KB)、兆字节(MB)、吉字节(GB)、太字节(TB)等。

可选地，数据包信息还可以包括数据包数量。例如，数据包数量可以包括同一时间段内每个网络设备产生的数据包的数量，以及同一时间段内工业控制系统中所有网络设备产生的数据包的总数量。

示例性地，统计同一时间段内每个网络设备产生的数据包的个数，得到同一时间段内每个网络设备产生的数据包的数量。计算同一时间段内每个网络设备产生的数据包的数量之和，得到同一时间段内工业控制系统中所有网络设备产生的数据包的总数量。此处仅为示例性说明，对此不做限定。

网络流量信息可以包括互联网协议地址(Internet Protocol Address，IP)、局域网地址(Media Access Control Address，MAC)、每个网络设备中安装的应用所产生的目标数据包以及每个目标数据包的目标数据量。其中，IP地址可以包括源IP地址和目的IP地址，即发送者的IP地址和接受者的IP地址。MAC地址可以包括源MAC地址和目的MAC地址，即即发送者的MAC地址和接受者的MAC地址。

网络设备中安装的应用在传输数据时，都会产生数据包，这些数据包即为每个应用对应的目标数据包。该目标数据包中可以包括发送者和接受者的地址信息，以及具体传输的数据内容。

每个目标数据包的目标数据量，可以通俗理解为每个目标数据包的大小。各个应用传输的数据不同，则产生的每个目标数据包的目标数据量不同，即产生的每个目标数据包的大小不同。

可选地，网络流量信息还可以包括网络协议、目的端口、目标数据包数量、网络设备的状态(在线、离线、忙碌等)、运行时间、接口数、中央处理器(Central ProcessingUnit，CPU)占用状态、随机存取存储器(Random Access Memory，RAM)占用状态，以及每个接口的物理地址、状态、实时流量、速率等。其中，目标数据包数量可以包括同一时间段内每个应用产生的目标数据包的数量。此处仅为示例性说明，对此不做限定。

可选地，可将采集到的网络数据存储到数据库中，以保证网络数据能持久存储，同时保障了网络数据的安全性。

S102：通过设备异常监控模型对每个网络数据进行监控，并根据监控结果确定每个网络设备中的异常网络设备。

示例性地，设备异常监控模型是基于对预先采集的每个网络设备在正常时产生的样本网络数据进行训练得到的，设备异常监控模型用于对工业控制系统中的多个网络设备进行监控，确保及时、准确地监控到异常网络设备，以保证工业控制系统的网络安全。

示例性地，通过设备异常监控模型对每个网络设备产生的网络数据进行实时监控，得到每个网络设备对应的监控结果。如果每个网络设备对应的监控结果均正常，则证明此时工业控制系统是安全的，继续通过设备异常监控模型对每个网络设备产生的网络数据监控。

如果有一个或多个网络设备对应的监控结果异常，则证明此时工业控制系统存在网络威胁，根据异常的监控结果在工业控制系统中的多个网络设备中确定异常网络设备。

例如，通过设备异常监控模型监控每个网络设备产生的网络数据中的数据包的数据量是否正常。预先设置正常数据量范围，将每个网络设备对应的数据包的数据量与正常数据量范围进行比较。若数据包的数据量在正常数据量范围内，则判定该网络设备对应的数据包的数据量正常。若数据包的数据量未在正常数据量范围内，则判定该网络设备对应的数据包的数据量异常。

在该实施方式中，针对每个网络设备，监控结果可以包括在预设时间段内，该网络设备对应的每个数据包的数据量均正常，或该网络设备对应的某个数据包的数据量异常。当监控结果为网络设备对应的某个数据包的数据量异常时，将该网络设备确定为异常网络设备。

又例如，通过设备异常监控模型监控每个网络设备产生的网络数据中的数据包的数量是否正常。预先设置正常数量范围，将每个网络设备对应的数据包的数量与正常数量范围进行比较。若数据包的数量在正常数量范围内，则判定该网络设备对应的数据包的数量正常。若数据包的数量未在正常数量范围内，则判定该网络设备对应的数据包的数量异常。

在该实施方式中，针对每个网络设备，监控结果可以包括在预设时间段内，该网络设备对应的数据包的数量正常，或该网络设备对应的数据包的数量异常。当监控结果为网络设备对应的数据包的数量异常时，将该网络设备确定为异常网络设备。

S103：获取异常网络设备对应的目标网络数据。

示例性地，异常网络设备可以为一个或多个，异常网络设备对应的网络数据即为目标网络数据。可以理解为，在S101中采集了每个网络设备的网络数据，由于此时并未确定异常网络设备，所以称为网络数据，在S102中将某些网络设备确定为了异常网络设备，在采集到的各个网络设备的网络数据中，获取被确定为异常网络设备的网络数据，得到该异常网络设备对应的目标网络数据。

例如，工业控制系统包括网络设备A、网络设备B以及网络设备 C。在S101中分别采集了网络设备A、网络设备B以及网络设备C各自对应的网络数据。在S102中将网络设备B确定为异常网络设备，则在采集到的网络设备A、网络设备B以及网络设备C各自对应的网络数据中，获取网络设备B对应的网络数据，将该网络数据记为异常网络设备(网络设备B)对应的目标网络数据。此处仅为示例性说明，对此不做限定。

S104：通过应用异常监控模型对目标网络数据进行监控，并根据监控结果确定异常网络设备对应的异常应用。

示例性地，应用异常监控模型是基于对预先采集的每个网络设备在正常时产生的样本网络数据进行训练得到的，应用异常监控模型用于对工业控制系统中的多个网络设备中安装的应用进行监控，确保及时、准确地监控到异常应用，以保证工业控制系统的网络安全。

示例性地，通过应用异常监控模型对异常网络设备对应的目标网络数据进行监控，得到异常网络设备中每个应用对应的监控结果。如果有一个或多个应用对应的监控结果异常，根据异常的监控结果在该异常网络设备对应的多个应用中确定异常应用。

例如，针对每个异常网络设备，通过应用异常监控模型监控每个应用产生的数据包的数据量是否正常。预先设置正常应用数据量范围，将每个应用对应的数据包的数据量与正常应用数据量范围进行比较。若数据包的数据量在正常应用数据量范围内，则判定该应用对应的数据包的数据量正常。若数据包的数据量未在正常应用数据量范围内，则判定该应用对应的数据包的数据量异常。

在该实施方式中，针对异常网络设备中安装的每个应用，监控结果可以包括在预设时间段内，该应用对应的每个数据包的数据量均正常，或该应用对应的某个数据包的数据量异常。当监控结果为应用对应的某个数据包的数据量异常时，将该应用确定为异常应用。

又例如，通过应用异常监控模型监控每个应用产生的数据包的数量是否正常。预先设置正常数据包数量范围，将每个应用对应的数据包的数量与正常数据包数量范围进行比较。若数据包的数量在正常数量范围内，则判定该应用对应的数据包的数量正常。若数据包的数量未在正常数据包数量范围内，则判定该应用对应的数据包的数量异常。

在该实施方式中，针对异常网络设备中安装的每个应用，监控结果可以包括在预设时间段内，该应用对应的数据包的数量正常，或该应用对应的数据包的数量异常。当监控结果为应用对应的数据包的数量异常时，将该应用确定为异常应用。

S105：根据异常网络设备和异常应用进行网络告警。

示例性地，可以根据异常网络设备和异常应用生成告警信息，将告警信息在显示界面展示，同时将告警信息发送给维护人员，便于维护人员及时解决异常。其中，告警信息中包括异常网络设备的设备名称和异常应用的应用名称，还可包括异常网络设备的异常原因和异常应用的异常原因。

上述实施方式中，提供的网络安全监控方法应用于工业控制系统，该工业控制系统包括多个网络设备，采集每个网络设备产生的网络数据；通过设备异常监控模型对每个网络数据进行监控，并根据监控结果确定每个网络设备中的异常网络设备；获取异常网络设备对应的目标网络数据；通过应用异常监控模型对目标网络数据进行监控，并根据监控结果确定异常网络设备对应的异常应用；根据异常网络设备和异常应用进行网络告警。这种实现方式中，先通过设备异常监控模型对每个网络数据进行监控，确定出多个网络设备中的异常网络设备；再通过应用异常监控模型对异常网络设备对应的目标网络数据进行监控，确定出异常网络设备中的异常应用；从而根据异常网络设备和异常应用进行网络告警。整个监控流程完整，逐步有序地确定工业控制系统中的异常网络设备和异常应用，提升了监控结果的准确性。且通过设备异常监控模型、应用异常监控模型进行监控，进一步提升了监控的速度和准确性，可以及时、有效地检测出工业控制系统中的异常，进而有效地防护工业控制系统中的网络安全。

可选地，在本申请一些可能的实现方式中，上述S105可包括 S1051～S1052，具体如下：

S1051：根据异常网络设备和异常应用确定告警级别。

示例性地，可以根据异常网络设备和异常应用的数量确定告警级别。例如，预先设置不同数量与告警级别之间的对应关系，数量越多，对应的告警级别越高，表示当前工业控制系统越危险；数量越多少，对应的告警级别越低，表示当前工业控制系统越安全。

例如，统计异常网络设备的数量和异常应用的数量，计算异常网络设备的数量和异常应用的数量之和，根据计算结果与预设的对应关系，确定告警级别。

可选地，可根据异常网络设备的数量为准，即只统计异常网络设备的数量，根据异常网络设备的数量与预设的对应关系，确定告警级别。此处仅为示例性说明，对此不做限定。

S1052：获取告警级别对应的告警方式，并根据告警方式进行告警。

示例性地，预先设置不同的告警级别对应的告警方式。例如，告警级别从高到低分别为三级告警、二级告警、一级告警。告警方式可以包括设备告警、语音告警、文字告警。其中，三级告警对应设备告警，二级告警对应语音告警，一级告警对应文字告警。

示例性地，当确定告警级别为一级告警时，可以根据异常网络设备和异常应用生成告警信息，将告警信息在显示界面展示，同时将告警信息发送给维护人员，便于维护人员及时解决异常。其中，告警信息中包括异常网络设备的设备名称和异常应用的应用名称，还可包括异常网络设备的异常原因和异常应用的异常原因。

示例性地，当确定告警级别为二级告警时，可以根据异常网络设备和异常应用生成告警语音，及时播放告警语音，便于维护人员及时解决异常。告警语音的语音内容可以包括异常网络设备的设备名称和异常应用的应用名称，还可包括异常网络设备的异常原因和异常应用的异常原因。

示例性地，当确定告警级别为三级告警时，可以通过异常网络设备和异常应用进行告警。例如，控制该异常网络设备发出报警声，同时也可控制该异常应用发出报警声。此处仅为示例性说明，对此不做限定。

上述实现方式中，先根据异常网络设备和异常应用确定告警级别，再获取告警级别对应的告警方式，并根据告警方式进行告警，有助于维护人员根据不同的告警方式及时确定当前工业控制系统存在的危险等级，进而及时做出不同的响应，从而有效地防护工业控制系统中的网络安全。

可选地，在一种可能的实现方式中，S105之后还可包括：在显示界面实时展示每个网络设备产生的网络数据。

示例性地，将属于同一个网络设备的网络数据整合在一起，在显示界面进行可视化展示。例如，可以展示每个网络设备的数据包、数据包的数据量、数据包数量、网络设备的状态(在线、离线、忙碌等)、运行时间、接口数、CPU占用状态、RAM占用状态、源IP地址和目的IP地址、源MAC地址和目的MAC地址、网络协议、目的端口、目标数据包数量，以及每个接口的物理地址、状态、实时流量、速率等信息。

值得说明的是，上述展示中包含有异常网络设备和异常应用。不同的是，异常网络设备和异常应用可用不同于其他正常网络设备和正常应用的颜色标记出来。

可选地，还可以在显示界面展示占用流量最多的若干个应用(如占用流量最多的前5个应用)、每个应用的流量使用趋势、每个应用的网络速率趋势等。

上述实现方式中，在显示界面实时展示正常网络设备和异常网络设备产生的网络数据，实现了对工业控制系统中各个网络设备的实时画像，便于用户直观地观察到工业控制系统中网络的实时状态，做出相应地调整。且该界面是实时展示的，当出现异常网络设备和异常应用时，维护人员也可以直观地看到，进而及时做出响应，从而有效地防护工业控制系统中的网络安全。

请参见图2，图2是本申请另一示例性实施例示出的一种网络安全监控方法的步骤S101的具体流程图；可选地，在本申请一些可能的实现方式中，上述S101可包括S1011～S1012，具体如下：

S1011：利用SNMP协议采集每个网络设备产生的数据包信息。

网络数据可以包括数据包信息和网络流量信息。其中，数据包信息包括每个网络设备产生的数据包和每个数据包的数据量。例如，工业控制系统的多个网络设备在互相通信时，或者与其他设备通信时，都会产生数据包，该数据包中可以包括发送者和接受者的地址信息，以及具体通信的内容。可选地，数据包信息还可以包括数据包数量。

简单网络管理协议(Simple Network Management Protocol，SNMP) 是专门设计用于在IP网络管理网络节点(例如服务器、工作站、路由器、交换机等)的一种标准协议，它是一种应用层协议。

示例性地，每个网络设备之间基于SNMP协议通信，在工业控制系统中运行基于SNMP协议设置的应用程序，通过该应用程序采集每个网络设备产生的数据包信息。

S1012：利用sFlow技术采集每个网络设备产生的网络流量信息。

网络流量信息可以包括IP地址、MAC地址、每个网络设备中安装的应用所产生的目标数据包以及每个目标数据包的目标数据量。其中，IP地址可以包括源IP地址和目的IP地址，即发送者的IP地址和接受者的IP地址。MAC地址可以包括源MAC地址和目的MAC地址，即即发送者的MAC地址和接受者的MAC地址。

可选地，网络流量信息还可以包括网络协议、目的端口、目标数据包数量、网络设备的状态(在线、离线、忙碌等)、运行时间、接口数、CPU占用状态、RAM占用状态，以及每个接口的物理地址、状态、实时流量、速率等。

示例性地，sFlow是一种网络监测技术，它采用数据流随机采样技术，可提供完整的流量信息，可以适应超大网络流量环境下的流量分析。例如，可在工业控制系统的各个网络设备的芯片中采用sFlow 技术，这样在各个网络设备的运行过程中，就可采集到每个网络设备产生的网络流量信息。

上述实现方式中，利用SNMP协议采集每个网络设备产生的数据包信息，利用sFlow技术采集每个网络设备产生的网络流量信息，通过多种方式采集每个网络设备的信息，使采集的信息更丰富、全面，进而在后续监控过程中，有利于设备异常监控模型、应用异常监控模型对采集到的信息进行全面分析，从而使得监控结果更准确，可以及时、有效地检测出工业控制系统中的异常，进而有效地防护工业控制系统中的网络安全。

请参见图3，图3是本申请再一示例性实施例示出的一种网络安全监控方法的步骤S102的具体流程图；可选地，在本申请一些可能的实现方式中，上述S102可包括S1021～S1022，具体如下：

S1021：获取每个网络设备产生的数据包的数据量。

示例性地，设备异常监控模型包括多个设备流量簇，每个设备流量簇中包含多个数据量。其中，数据量指数据包的大小。同一个设备流量簇中的多个数据量相近，可以理解为同一个设备流量簇中的多个数据量之间的差值小于第一预设阈值。

设备流量簇中的数据量用于后续判断每个网络设备对应的数据包的数据量是否正常。

示例性地，获取每个网络设备产生的网络数据，在每个网络设备产生的网络数据中查找该网络设备产生的数据包，以及每个数据包对应的数据量。

S1022：针对每个数据量，当监测到数据量与每个设备流量簇均不匹配时，将数据量对应的网络设备确定为异常网络设备。

示例性地，将每个网络设备产生的每个数据包的数据量均与多个设备流量簇中的数据量进行比较，根据比较结果确定异常网络设备。

例如，针对每个网络设备产生的每个数据包的数据量，将该数据包的数据量与每个设备流量簇中的每个数据量进行比较。当比较结果为设备流量簇中有与该数据包的数据量相同的数据量时，证明该数据包的数据量是正常的，此时判定该数据包对应的网络设备为正常网络设备。

当比较结果为设备流量簇中没有与该数据包的数据量相同的数据量时，即该数据包的数据量与每个设备流量簇均不匹配，证明该数据包的数据量是异常的，此时判定该数据包对应的网络设备为异常网络设备。

可选地，在一种可能的实现方式中，也可以是计算该数据包的数据量与设备流量簇中的每个数据量的差值，当该差值小于或等于目标预设差值时，证明该数据包的数据量是正常的，此时判定该数据包对应的网络设备为正常网络设备。当该差值大于目标预设差值时，证明该数据包的数据量是异常的，此时判定该数据包对应的网络设备为异常网络设备。

基于上述方法，将每个网络设备产生的每个数据包的数据量与多个设备流量簇进行比较，根据比较结果逐一确定多个网络设备中的异常网络设备。

上述实施方式中，通过设备异常监控模型中的多个设备流量簇，对每个网络设备产生的数据包的数据量进行监控，可以及时、准确地监测出异常的数据量，进而根据异常的数据量确定出异常网络设备，进而有利于维护人员针对该异常网络设备进行有效地防护，从而保障工业控制系统中的网络安全。

请参见图4，图4是本申请又一示例性实施例示出的一种网络安全监控方法的步骤S104的具体流程图；可选地，在本申请一些可能的实现方式中，上述S104可包括S1041～S1042，具体如下：

S1041：在目标网络数据中，获取异常网络设备对应的每个应用所产生的目标数据包的目标数据量。

示例性地，应用异常监控模型包括每个应用对应的多个应用流量簇，每个应用流量簇中包含多个数据量。其中，数据量指数据包的大小。同一个应用流量簇中的多个数据量相近，可以理解为同一个应用流量簇中的多个数据量之间的差值小于第二预设阈值。

应用流量簇中的数据量用于后续判断异常网络设备对应的每个应用所产生的目标数据包的目标数据量是否正常。

示例性地，获取异常网络设备对应的目标网络数据，在目标网络数据中，获取该异常网络设备对应的每个应用所产生的目标数据包，以及每个目标数据包对应的目标数据量。

S1042：针对每个目标数据量，当监测到目标数据量与每个应用流量簇均不匹配时，将目标数据量对应的应用确定为异常应用。

示例性地，先根据异常网络设备对应的应用，在应用异常监控模型中,查找与该异常网络设备对应的应用一致的应用所对应的多个应用流量簇。

针对异常网络设备对应的每个应用，将该应用所产生的目标数据包的目标数据量，与查找到的多个应用流量簇中的数据量进行比较，根据比较结果确定异常应用。

例如，针对每个应用产生的每个目标数据包的目标数据量，将该目标数据量与查找到的每个应用流量簇中的每个数据量进行比较。当比较结果为应用流量簇中有与该目标数据量相同的数据量时，证明该目标数据包的目标数据量是正常的，此时判定该目标数据包对应的应用为正常应用。

当比较结果为应用流量簇中没有与该目标数据量相同的数据量时，即该目标数据量与每个应用流量簇均不匹配时，证明该目标数据包的目标数据量是异常的，此时判定该目标数据包对应的应用为异常应用。

可选地，在一种可能的实现方式中，也可以是计算该目标数据包的目标数据量与应用流量簇中的每个数据量的差值，当该差值小于或等于预设差值时，证明该目标数据量是正常的，此时判定该目标数据包对应的应用为正常应用。当该差值大于预设差值时，证明该目标数据包的目标数据量是异常的，此时判定该目标数据包对应的应用为异常应用。

基于上述方法，将异常网络设备对应的每个应用所产生的目标数据包的目标数据量，与查找到的多个应用流量簇中的数据量进行比较，根据比较结果逐一确定异常网络设备的多个应用中的异常应用。

上述实施方式中，通过应用异常监控模型中的多个应用流量簇，对异常网络设备的应用产生的目标数据包的目标数据量进行监控，可以及时、准确地监测出异常的目标数据量，进而根据异常的目标数据量确定出异常应用，进而有利于维护人员针对该异常应用进行有效地防护，从而保障工业控制系统中的网络安全。

请参见图5，图5是本申请再一示例性实施例示出的构建模型的方法的具体流程图；可选地，在本申请一些可能的实现方式中，在执行如图1所示的方法之前，还可包括构建模型的方法，构建模型的方法可包括：S201～S203，具体如下：

S201：采集每个网络设备在正常时产生的样本网络数据。

示例性地，为了构建出准确的设备异常监控模型和应用异常监控模型，采集每个网络设备在正常时产生的样本网络数据，样本网络数据包括样本数据包信息和样本网络流量信息。

值得说明的是，样本网络数据中的样本数据包信息和样本网络流量信息包含的具体信息的类型，与网络数据中的数据包信息和网络流量信息包含的具体信息的类型相同。不同的是，网络数据是对工业控制系统正式监控过程中采集的，其中可能全是正常网络设备和正常应用产生的数据，也可能包含异常网络设备和异常应用产生的数据。而样本网络数据是为了构建异常监控模型和应用异常监控模型，采集的是网络设备在正常时产生的数据。

示例性地，可由维护人员观察每个网络设备的运行状态，保证每个网络设备在一段时间内处于正常状态，采集该段时间内每个网络设备的产生的样本网络数据。

具体采集每个网络设备在正常时产生的样本网络数据的方式，与 S101中采集每个网络设备产生的网络数据的方式类似，可参考S101 中的描述，此处不再赘述。

S202：通过聚类算法对样本数据包信息进行聚类处理，得到设备异常监控模型。

示例性地，聚类算法可以包括K均值(K-Means)聚类算法、高斯混合模型的最大期望聚类算法、基于密度的聚类(DBSCAN)算法等。本实施方式中以DBSCAN算法为例进行说明。

示例性地，获取样本数据包信息中的每个网络设备产生的每个数据包的数据量，将这些数据量作为第一样本集。根据实际情况设置第一半径，该第一半径用于表示数据量与数据量之间的差值。通过 DBSCAN算法将相同或差值相近的数据量聚集为同一设备流量簇。例如，将数据量之间的差值均小于第一预设阈值的数据量聚集为同一设备流量簇。

示例性地，获取DBSCAN算法对应的代码，将第一样本集与第一半径代入DBSCAN算法对应的代码中，得到设备流量聚类图，该设备流量聚类图即为设备异常监控模型，该设备异常监控模型包括多个设备流量簇。同一个设备流量簇中的多个数据量相同或相近。

S203：通过聚类算法对样本网络流量信息进行聚类处理，得到应用异常监控模型。

示例性地，获取样本网络流量信息中每个应用所产生的数据包的数据量，统计属于同一应用产生的数据包的数据量。将同一应用产生的数据包的数据量作为第二样本集。针对每个第二样本集，根据实际情况设置每个第二样本集对应的第二半径，该第二半径用于表示应用所产生的各个数据包的数据量之间的差值。通过DBSCAN算法将相同或差值相近的数据量聚集为同一应用流量簇。例如，将数据量之间的差值均小于第二预设阈值的数据量聚集为同一应用流量簇。

示例性地，获取DBSCAN算法对应的代码，将每个第二样本集与每个第二样本集对应的第二半径代入DBSCAN算法对应的代码中，得到应用流量聚类图，该应用流量聚类图即为应用异常监控模型，应用异常监控模型包括每个应用对应的多个应用流量簇，每个应用流量簇中包含多个数据量。

上述实施方式中，采集每个网络设备在正常时产生的样本网络数据，然后通过聚类算法对样本网络数据进行处理，能够构建出准确的设备异常监控模型和应用异常监控模型，便于后续根据设备异常监控模型和应用异常监控模型对网络数据进行监控，进而提升了监控的速度和准确性，可以及时、有效地检测出工业控制系统中的异常，有效地防护工业控制系统中的网络安全。

请参见图6，图6是本申请一实施例提供的一种网络安全监控系统的示意图。该网络安全监控系统包括的各个模块可以是软件模块，也可以是硬件模块，其可用于实现图1至图5对应的实施例中的各步骤。具体请参阅图1至图5各自对应的实施例中的相关描述。为了便于说明，仅示出了与本实施例相关的部分。参见图6，包括：

信息采集模块，用于采集工业控制系统中每个网络设备产生的网络数据；

模型生成模块，用于生成设备异常监控模型和应用异常监控模型；

信息处理模块，用于通过设备异常监控模型、应用异常监控模型以及网络数据，确定每个网络设备中的异常网络设备，以及确定异常网络设备对应的异常应用；

告警模块，用于根据异常网络设备和异常应用进行网络告警，并实时展示每个网络设备产生的网络数据。

具体地，上述信息采集模块，可用于采集工业控制系统中每个网络设备产生的网络数据，同时也可采集每个网络设备在正常时产生的样本网络数据。

示例性地，模型生成模块，用于生成设备异常监控模型和应用异常监控模型。具体地，模型生成模块可用于执行上述S201～S203中的步骤，进而构建得到设备异常监控模型和应用异常监控模型。

示例性地，信息处理模块，用于通过设备异常监控模型、应用异常监控模型以及网络数据，确定每个网络设备中的异常网络设备，以及确定异常网络设备对应的异常应用。具体地，信息处理模块可用于执行S102～S104中的步骤，可参考S102～S104中的描述，此处不再赘述。

可选地，信息处理模块还可用于，整合采集到的每个网络设备产生的网络数据。例如，采集数据时是一条一条采集，通过信息处理模块将属于同一网络设备产生的网络数据整合到一起。

示例性地，告警模块用于根据异常网络设备和异常应用进行网络告警，并实时展示每个网络设备产生的网络数据。例如，告警模块可用于执行S105中的步骤，可参考S105中的描述，此处不再赘述。告警模块还可用于在显示界面实时展示每个网络设备产生的网络数据。

本申请提供的网络安全监控系统，可以通过设备异常监控模型对每个网络数据进行监控，确定出多个网络设备中的异常网络设备；通过应用异常监控模型对异常网络设备对应的目标网络数据进行监控，确定出异常网络设备中的异常应用；从而根据异常网络设备和异常应用进行精准告警。整个监控流程完整，逐步有序地确定工业控制系统中的异常网络设备和异常应用，提升了监控结果的准确性。且通过设备异常监控模型、应用异常监控模型进行监控，进一步提升了监控的速度和准确性，可以及时、有效地检测出工业控制系统中的异常，进而有效地防护工业控制系统中的网络安全。该网络安全监控系统提供了完善的实时监测手段及告警方式，有利于工业、企业全面推进风险管理，提高信息安全性。

本申请实施例还提供了一种计算机存储介质，计算机存储介质可以是非易失性，也可以是易失性，该计算机存储介质存储有计算机程序，该计算机程序被处理器执行时实现上述各个网络安全监控方法实施例中的步骤。

本申请还提供了一种计算机程序产品，当计算机程序产品在设备上运行时，使得该设备执行上述各个网络安全监控方法实施例中的步骤。

本申请实施例还提供了一种芯片或者集成电路，该芯片或者集成电路包括：处理器，用于从存储器中调用并运行计算机程序，使得安装有该芯片或者集成电路的设备执行上述各个网络安全监控方法实施例中的步骤。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，仅以上述各功能单元、模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能单元、模块完成，即将装置的内部结构划分成不同的功能单元或模块，以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中，上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。另外，各功能单元、模块的具体名称也只是为了便于相互区分，并不用于限制本申请的保护范围。上述系统中单元、模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述或记载的部分，可以参见其它实施例的相关描述。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

以上所述实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神范围，均应包含在本申请的保护范围之内。