工业信息安全违规行为监控方法、装置、电子设备及介质

技术领域

本发明涉及工业信息安全领域，具体涉及工业信息安全违规行为监控方法、装置、电子设备及介质。

背景技术

工控入侵检测系统是针对目前工控系统的特点，在传统入侵检测功能基础上增加了针对PLC、DCS、SCADA等工业控制系统入侵行为检测的安全产品。系统旁路部署，实时监视网络上的数据流信息，分析网络通讯数据，通过海量的规则对网络攻击行为和其它违规网络活动进行精准匹配，从而达到发现攻击及时预警的目的。

相关技术中，工控系统遭到入侵以及恶意侵入的行为越来越多，然而工控系统常常因为其自身没有合适的评估方式因此很难在众多的访问过程中的进行违规行为的评估。

发明内容

因此，本发明要解决的技术问题在于克服现有技术中的缺陷，从而提供了工业信息安全违规行为监控方法、装置、电子设备及介质。

结合第一方面，本发明提供一种工业信息安全违规行为监控方法，所述方法包括：

获取工控网络的实时通信数据；

基于所述实时通信数据，判断所述工控网络中是否出现异常事件；

在所述工控网络中出现异常事件时，确定所述异常事件的所属类型；

基于所述所属类型，计算所述异常事件的破坏程度值，得到所述异常事件的破坏评估结果。

在该方式中，基于工控网络的实时通信数据，在通信数据中出现异常事件时，通过识别并确认当前异常事件的类型，计算得到当前异常事件的破坏值，将当前异常事件的破坏程度进行量化，明确当前异常事件对工控网络造成的破坏，使用户可以更为清晰地了解到当前异常事件对工控网络的破坏情况，进而可以对工控网络采取对应的修护，使得修护工作更为具体，更有针对性。进一步保护了工控系统，使工控系统免于违规行为的破坏。

结合第一方面，在第一方面的第一实施例中，在所述获取工控网络的实时通信数据之前，所述方法还包括：

在访问设备与工业以太网之间设置工控防火墙，所述工控防火墙预置有访问设备与工业以太网之间工业协议的专有协议；

获取当前访问设备的通信地址；

基于所述通信地址及所述工控防火墙，获取所述当前访问设备的专有协议；

基于所述专有协议，判断所述当前访问设备的工业协议是否存在异常；

在当前工业协议存在异常时，认定所述当前工业协议存在协议攻击行为。

结合第一方面，在第一方面的第二实施例中，在所述获取工控网络的实时通信数据之前，所述方法还包括：

建立预存数据库，所述预存数据库包括异常事件；

基于所述预存数据库，得到具有典型异常事件的预存文本数据特征；

基于所述预存文本数据特征，对所述典型异常事件进行分类，将同属于一个类型的所述典型异常事件组成若干标准特征集合。

结合第一方面的第二实施例，在第一方面的第三实施例中，所述确定所述异常事件的所属类型，包括：

对所述实时通信数据进行文本数据提取，得到所述实时通信数据的文本数据特征；

对所述文本数据特征进行相似度分析，确定与所述文本数据特征相似度最高的标准特征集合；

基于所述标准特征集合对应的异常事件所属类型，确定当前异常事件所属类型。

结合第一方面的第三实施例，在第一方面的第四实施例中，述基于所述所属类型，计算所述异常事件的破坏程度值，包括：

基于所述所属类型，获取当前异常事件对应的标准特征集合中若干不同标准类别的文本数据特征；

分别计算得到当前异常事件的文本数据特征与所述若干不同标准类别的文本数据特征的相似度占比系数；

基于所述相似度占比系数，计算得到当前异常事件的破坏程度值。

结合第一方面的第四实施例，在第一方面的第五实施例中，所述基于所述相似度占比系数，计算得到当前异常事件的破坏程度值，包括：

获取不同标准类别的对应满分数值；

基于不同标准类别的相似度占比系数与其对应的满分数值，计算得到当前异常事件的破坏程度值。

结合第一方面，在第一方面的第六实施例中，在所述得到所述异常事件的破坏评估结果之后，所述方法还包括：

将所述破坏评估结果发送至上位机系统，向所述上位机系统发送报警信号。

在本发明的第二方面，本发明还提供一种工业信息安全违规行为监控装置，所述装置包括：

获取单元，用于获取工控网络的实时通信数据；

判断单元，用于基于所述实时通信数据，判断所述工控网络中是否出现异常事件；

确定单元，用于在所述工控网络中出现异常事件时，确定所述异常事件的所属类型；

计算单元，用于基于所述所属类型，计算所述异常事件的破坏程度值，得到所述异常事件的破坏评估结果。

结合第二方面，在第二方面的第一实施例中，所述装置还包括：

防火墙设置单元，用于在访问设备与工业以太网之间设置工控防火墙，所述工控防火墙预置有访问设备与工业以太网之间工业协议的专有协议；

第一获取单元，用于获取当前访问设备的通信地址；

第二获取单元，用于基于所述通信地址及所述工控防火墙，获取所述当前访问设备的专有协议；

第一判断单元，用于基于所述专有协议，判断所述当前访问设备的工业协议是否存在异常；

协议攻击单元，用于在当前工业协议存在异常时，认定所述当前工业协议存在协议攻击行为。

结合第二方面，在第二方面的第二实施例中，所述装置还包括：

数据库建立单元，用于建立预存数据库，所述预存数据库包括异常事件；

文本数据特征单元，用于基于所述预存数据库，得到具有典型异常事件的预存文本数据特征；

分类单元，用于基于所述预存文本数据特征，对所述典型异常事件进行分类，将同属于一个类型的所述典型异常事件组成若干标准特征集合。

结合第二方面的第二实施例，在第二方面的第三实施例中，所述确定单元，包括：

提取单元，用于对所述实时通信数据进行文本数据提取，得到所述实时通信数据的文本数据特征；

相似度分析单元，用于对所述文本数据特征进行相似度分析，确定与所述文本数据特征相似度最高的标准特征集合；

类型确定单元，用于基于所述标准特征集合对应的异常事件所属类型，确定当前异常事件所属类型。

结合第二方面的第三实施例，在第二方面的第四实施例中，所述计算单元，包括：

第三获取单元，用于基于所述所属类型，获取当前异常事件对应的标准特征集合中若干不同标准类别的文本数据特征；

第一计算单元，用于分别计算得到当前异常事件的文本数据特征与所述若干不同标准类别的文本数据特征的相似度占比系数；

第二计算单元，用于基于所述相似度占比系数，计算得到当前异常事件的破坏程度值。

结合第二方面的第四实施例，在第二方面的第五实施例中，所述第二计算单元，包括：

第四获取单元，用于获取不同标准类别的对应满分数值；

第三计算单元，用于基于不同标准类别的相似度占比系数与其对应的满分数值，计算得到当前异常事件的破坏程度值。

结合第二方面，在第二方面的第六实施例中，所述装置还包括：

报警单元，用于将所述破坏评估结果发送至上位机系统，向所述上位机系统发送报警信号。

根据第三方面，本发明实施方式还提供一种电子设备，包括存储器和处理器，所述存储器和所述处理器之间互相通信连接，所述存储器中存储有计算机指令，所述处理器通过执行所述计算机指令，从而执行第一方面及其可选实施方式中任一项的工业信息安全违规行为监控方法。

根据第四方面，本发明实施方式还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使所述计算机执行第一方面及其可选实施方式中任一项的工业信息安全违规行为监控方法。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是根据一示例性实施例提出的一种工业信息安全违规行为监控方法的流程图。

图2是根据一示例性实施例提出的一种异常事件的破坏程度值的计算方法的流程图。

图3是根据一示例性实施例提出的一种工业信息安全违规行为监控装置的结构框图。

图4是根据一示例性实施例提出的一种电子设备的硬件结构示意图。

具体实施方式

下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

相关技术中，工控系统遭到入侵以及恶意侵入的行为越来越多，然而工控系统常常因为其自身没有合适的评估方式因此很难在众多的访问过程中的进行违规行为的评估。

为解决上述问题，本发明实施例中提供一种工业信息安全违规行为监控方法，用于电子设备中，需要说明的是，其执行主体可以是工业信息安全违规行为监控装置，该装置可以通过软件、硬件或者软硬件结合的方式实现成为电子设备的部分或者全部，其中，该电子设备可以是终端或客户端或服务器，服务器可以是一台服务器，也可以为由多台服务器组成的服务器集群，本申请实施例中的终端可以是智能手机、个人电脑、平板电脑、可穿戴设备以及智能机器人等其他智能硬件设备。下述方法实施例中，均以执行主体是电子设备为例来进行说明。

本实施例中的电子设备，适用于在工控系统进行违规行为监测的使用场景。通过本发明提供的工业信息安全违规行为监控方法，基于工控网络的实时通信数据，在通信数据中出现异常事件时，通过识别并确认当前异常事件的类型，计算得到当前异常事件的破坏值，将当前异常事件的破坏程度进行量化，明确当前异常事件对工控网络造成的破坏，使用户可以更为清晰地了解到当前异常事件对工控网络的破坏情况，进而可以对工控网络采取对应的修护，使得修护工作更为具体，更有针对性。进一步保护了工控系统，使工控系统免于违规行为的破坏。

图1是根据一示例性实施例提出的一种工业信息安全违规行为监控方法的流程图。如图1所示，工业信息安全违规行为监控方法包括如下步骤S101至步骤S104。

在步骤S101中，获取工控网络的实时通信数据。

在本发明实施例中，由于通信数据中出现的异常事件繁多，且通常具有一定的特征可以用以判断，因而可以通过预先建立异常事件的数据库用以对异常事件进行记录，并为之后的识别工作提供数据支持。在获取工控网络的实时通信数据之前，方法还包括：建立预存数据库，预存数据库包括异常事件；基于预存数据库，得到具有典型异常事件的预存文本数据特征；基于预存文本数据特征，对典型异常事件进行分类，将同属于一个类型的典型异常事件组成若干标准特征集合。

在一示例中，异常事件可以包括：自身异常事件与非法外部攻击事件两大类事件。建立异常事件的数据库可以包括：预先建立自身异常事件和非法外部攻击事件的预存数据库，通过对自身异常事件和非法外部攻击事件的文本数据进行分析得到具有典型自身异常事件和非法外部攻击事件的文本数据特征，将当前同属于一个类型的典型自身异常事件和典型非法外部攻击事件形成的文本数据特征构成标准特征集合。

在步骤S102中，基于实时通信数据，判断工控网络中是否出现异常事件。

在步骤S103中，在工控网络中出现异常事件时，确定异常事件的所属类型。

在本发明实施例中，由于异常事件普遍具备相应类别的文本数据特征，因而需要确定异常事件的所属类别，为进一步计算得到异常事件的破坏值提供相应的技术支持。确定异常事件的所属类型，包括：对实时通信数据进行文本数据提取，得到实时通信数据的文本数据特征；对文本数据特征进行相似度分析，确定与文本数据特征相似度最高的标准特征集合；基于标准特征集合对应的异常事件所属类型，确定当前异常事件所属类型。

在一示例中，由于异常事件可以包括自身异常事件与非法外部攻击事件两大类事件，因而确定异常事件的所属类型可以包括：将当前通信数据对应的文本数据特征与多个类型的标准特征集合做相似度分析，得到当前通信数据的文本数据特征对应的相似度最高的标准特征集合；调用当前相似度最高的标准特征集合；通过相似度最高的标准特征集合解析当前事件的所属类型；其中，所属类型为典型自身异常事件和典型非法外部攻击事件的所属类型。

在步骤S104中，基于所属类型，计算异常事件的破坏程度值，得到异常事件的破坏评估结果。

在本发明实施例中，异常事件的破坏程度值即为异常事件的破坏评估结果。通过异常事件的破坏程度值，可以更为直观地表明当前异常事件对工控网络造成的破坏，为使用户更为及时地知晓当前异常事件对工控网络造成的破坏，在得到异常事件的破坏评估结果之后，还包括：将破坏评估结果发送至上位机系统，向上位机系统发送报警信号。

通过上述实施例，基于工控网络的实时通信数据，在通信数据中出现异常事件时，通过识别并确认当前异常事件的类型，计算得到当前异常事件的破坏值，将当前异常事件的破坏程度进行量化，明确当前异常事件对工控网络造成的破坏，使用户可以更为清晰地了解到当前异常事件对工控网络的破坏情况，进而可以对工控网络采取对应的修护，使得修护工作更为具体，更有针对性。进一步保护了工控系统，使工控系统免于违规行为的破坏。

在一实施例中，为进一步保障工控网络的信息安全，则需要在与工控网络进行通信的访问设备与工业以太网之间设置工控防火墙。其中，工控防火墙预置有访问设备与工业以太网之间工业协议的专有协议。在获取工控网络的实时通信数据之前，在访问设备与工业以太网之间设置工控防火墙，工控防火墙预置有访问设备与工业以太网之间工业协议的专有协议；获取当前访问设备的通信地址；基于通信地址及工控防火墙，获取当前访问设备的专有协议；基于专有协议，判断当前访问设备的工业协议是否存在异常；在当前工业协议存在异常时，认定当前工业协议存在协议攻击行为。

在一示例中，以上过程可以包括；获取当前访问的通信地址，根据当前访问的的通信地址以及映射关系对当前访问设备的专有协议进行获取；同时调用当前访问设备的专有协议，利用专有协议对应的解析规则对当前工业协议进行解析处理，当解析出现异常时，认定当前的工业协议存在协议攻击行为。其中，当发现工控协议的畸形报文时，则认定存在解析异常。

在工控防火墙预存对当前访问设备与工业以太网之间的工业协议进行专有协议设置执行操作同时，工控防火墙对通信流量的异常进行检测，当检测发现通信流量异常时向上位机系统发生报警信号；工控防火墙还对链路连接漏洞以及TCP/IP漏洞进行检测，当检测发现通信流量异常时向上位机系统发生报警信号。

通过上述实施例，可以实现支持对十几种工控协议的精准识别和深度解析，例如Modbus TCP、OPC、EIP command、CIP、Profinet、Ormon FIN、Siemens S7、DNP3、61850GOOSE、MMS等。对工控协议的畸形报文和执行的高危指令(如写数据、逻辑下装、停机等)能够做到精准识别，实现对工控协议指令级的解析。具有强大的检测能力。例如:具备上万条攻击检测规则。支持对渗透攻击、文件攻击、混淆攻击、操作系统攻击、浏览器攻击、恶意软件(木马蠕虫等)、端口扫描、SQL注入、Netbios攻击等常见攻击行为的检测，支持对常见协议(如IP、TCP、UDP、HTTP、SMTP、POP3、FTP、TELNET、DNS等)的解析和常见服务(MySQL、IIS等)攻击行为的检测，支持对工业控制协议分析和工业控制系统攻击行为的检测，支持对工控协议畸形报文的检测，能够有效防止攻击欺骗，检测出各种攻击手段。侵检测规则库与CVE和CNNVD的漏洞库保持兼容，保证了检测规则库的权威性和时效性，同时与权威规则库保持同步。系统支持ARP攻击检测和IP欺骗检测，可检测来自内部的地址欺骗攻击，有效定位内部攻击来源，并且能够检测网络内的地址盗用行为。还具有状态化的TCP连接检测的功能；通过状态监控机制，对TCP连接进行实时监控，从而实现对重点目标的深层次保护。针对常见的反IDS技术(如stick、snot攻击)，进行了优化处理。还具有智能高效的包重组的功能；系统所采用的IP碎片重组和TCP流重组技术，可对所监视网络数据流中的IP碎片和TCP流进行报文重组后分析，防止IP碎片欺骗，保证数据流重组后的性能。还具有原始报文记录的功能；系统除了提供对入侵行为进行告警外，在报警信息内还提供原始报文记录，帮助安全人员进行详细的入侵行为分析和研究，为后续安全策略的制定和下发提供依据。还具有与权威漏洞库关联的技术功能；系统内置规则库与CVE、CNNVD等权威漏洞库全面关联，在告警日志中详细列出了CVE、CNNVD等漏洞编号、解决方案和参考资料等详细信息，可帮助用户进行漏洞的及时修复。还具有多种日志输出方式，其除了日志可本地导出外，系统还支持私有日志协议和标准syslog协议两种日志格式的远程输出。内容详细，格式清晰。

以下实施例将具体说明在出现异常事件时，计算得到异常事件的破坏程度值的过程。

图2是根据一示例性实施例提出的一种异常事件的破坏程度值的计算方法的流程图。如图2所示，异常事件的破坏程度值的计算方法包括如下步骤。

在步骤S201中，基于所属类型，获取当前异常事件对应的标准特征集合中若干不同标准类别的文本数据特征。

在步骤S202中，分别计算得到当前异常事件的文本数据特征与若干不同标准类别的文本数据特征的相似度占比系数。

在本发明实施例中，为进一步确定当前异常事件的破坏程度，通过将当前异常事件与具有典型特征的异常事件进行向公司独分析，确定当前异常事件与典型异常事件的相似程度，进而便于明确当前异常事件的破坏程度。

在一示例中，在当前异常事件为自身异常事件时，计算相似度占比系数可以包括：对当前的自身异常事件对应的当前相似度最高的标准特征集合的文本数据特征进行获取，摘选其中三个标准类别下的文本数据特征，计算每个标准类别下的当前的自身异常事件对应的当前通信数据的文本数据特征的相似度占比系数，即第一标准类别的相似度占比系数、第二标准类别的相似度占比系数、第三标准类别的相似度占比系数。

在当前异常事件为非法外部攻击事件时，计算相似度占比系数可以包括：对当前的非法外部攻击事件对应的当前相似度最高的标准特征集合的文本数据特征进行获取，摘选其中三个标准类别下的文本数据特征，计算每个标准类别下的当前的非法外部攻击事件对应的当前通信数据的文本数据特征的相似度占比系数，即第一标准类别的相似度占比系数、第二标准类别的相似度占比系数、第三标准类别的相似度占比系数。

在步骤S203中，基于相似度占比系数，计算得到当前异常事件的破坏程度值。

在本发明实施例中，为进一步确定当前异常事件的破坏值，可以通过相似度占比系数计算得到。计算得到当前异常事件的破坏值可以包括：通过对当前异常事件与标准异常事件之间的相似度以不同权重进行求均值，或是将不同标准类别的相似度占比系数与对应所属类型的满分数值相乘后求和，具体可以包括：获取不同标准类别的对应满分数值；基于不同标准类别的相似度占比系数与其对应的满分数值，计算得到当前异常事件的破坏程度值。

在一示例中，在当前异常事件为自身异常事件时，计算得到当前异常事件的破坏值可以包括：依据预设的标准类别下对应的满分分值，计算当前的自身异常事件对应的当前通信数据的文本数据特征的相似评估分数值；记录当前的相似评估分数值为的当前的自身异常事件的破坏程度评估值。相似评估分数值＝第一标准类别的相似度占比系数相似度占比系数×对应标准类别下对应的满分分值+第二标准类别的相似度占比系数相似度占比系数×对应标准类别下对应的满分分值+第三标准类别的相似度占比系数相似度占比系数×对应标准类别下对应的满分分值。

在当前异常事件为非法外部攻击事件时，计算得到当前异常事件的破坏值可以包括：依据预设的标准类别下对应的满分分值，计算当前的非法外部攻击事件对应的当前通信数据的文本数据特征的相似评估分数值；记录当前的相似评估分数值为的当前的非法外部攻击事件的破坏程度评估值。相似评估分数值＝第一标准类别的相似度占比系数相似度占比系数×对应标准类别下对应的满分分值+第二标准类别的相似度占比系数相似度占比系数×对应标准类别下对应的满分分值+第三标准类别的相似度占比系数相似度占比系数×对应标准类别下对应的满分分值。

通过上述实施例，通过的当前异常事件与对应的标准类别典型异常事件之间做文本数据特征相似度分析，确定与当前异常事件最相近的典型异常事件，有助于明确当前异常事件最有可能造成的破坏，进而有助于确定当前异常事件的破坏程度，从而使工业信息安全违规行为评估更准确。

基于相同发明构思，本发明还提供一种工业信息安全违规行为监控装置。

图3是根据一示例性实施例提出的一种工业信息安全违规行为监控装置的结构框图。如图3所示，工业信息安全违规行为监控装置包括获取单元301、判断单元302、确定单元303和计算单元304。

获取单元301，用于获取工控网络的实时通信数据；

判断单元302，用于基于实时通信数据，判断工控网络中是否出现异常事件；

确定单元303，用于在工控网络中出现异常事件时，确定异常事件的所属类型；

计算单元304，用于基于所属类型，计算异常事件的破坏程度值，得到异常事件的破坏评估结果。

在一实施例中，本发明实施例提供的工业信息安全违规行为监控装置还包括：防火墙设置单元，用于在访问设备与工业以太网之间设置工控防火墙，工控防火墙预置有访问设备与工业以太网之间工业协议的专有协议；第一获取单元，用于获取当前访问设备的通信地址；第二获取单元，用于基于通信地址及工控防火墙，获取当前访问设备的专有协议；第一判断单元，用于基于专有协议，判断当前访问设备的工业协议是否存在异常；协议攻击单元，用于在当前工业协议存在异常时，认定当前工业协议存在协议攻击行为。

在另一实施例中，本发明实施例提供的工业信息安全违规行为监控装置还包括：数据库建立单元，用于建立预存数据库，预存数据库包括异常事件；文本数据特征单元，用于基于预存数据库，得到具有典型异常事件的预存文本数据特征；分类单元，用于基于预存文本数据特征，对典型异常事件进行分类，将同属于一个类型的典型异常事件组成若干标准特征集合。

在又一实施例中，确定单元303，包括：提取单元，用于对实时通信数据进行文本数据提取，得到实时通信数据的文本数据特征；相似度分析单元，用于对文本数据特征进行相似度分析，确定与文本数据特征相似度最高的标准特征集合；类型确定单元，用于基于标准特征集合对应的异常事件所属类型，确定当前异常事件所属类型。

在又一实施例中，计算单元304，包括：第三获取单元，用于基于所属类型，获取当前异常事件对应的标准特征集合中若干不同标准类别的文本数据特征；第一计算单元，用于分别计算得到当前异常事件的文本数据特征与若干不同标准类别的文本数据特征的相似度占比系数；第二计算单元，用于基于相似度占比系数，计算得到当前异常事件的破坏程度值。

在又一实施例中，第二计算单元，包括：第四获取单元，用于获取不同标准类别的对应满分数值；第三计算单元，用于基于不同标准类别的相似度占比系数与其对应的满分数值，计算得到当前异常事件的破坏程度值。

在又一实施例中，本发明实施例提供的工业信息安全违规行为监控装置还包括：报警单元，用于将破坏评估结果发送至上位机系统，向上位机系统发送报警信号。

上述工业信息安全违规行为监控装置的具体限定以及有益效果可以参见上文中对于工业信息安全违规行为监控方法的限定，在此不再赘述。上述各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于电子设备中的处理器中，也可以以软件形式存储于电子设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。

图4是根据一示例性实施例提出的一种电子设备的硬件结构示意图。如图4所示，该设备包括一个或多个处理器410以及存储器420，存储器420包括持久内存、易失内存和硬盘，图4中以一个处理器410为例。该设备还可以包括：输入装置430和输出装置440。

处理器410、存储器420、输入装置430和输出装置440可以通过总线或者其他方式连接，图4中以通过总线连接为例。

处理器410可以为中央处理器(Central Processing Unit，CPU)。处理器410还可以为其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片，或者上述各类芯片的组合。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

存储器420作为一种非暂态计算机可读存储介质，包括持久内存、易失内存和硬盘，可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块，如本申请实施例中的工业信息安全违规行为监控方法对应的程序指令/模块。处理器410通过运行存储在存储器420中的非暂态软件程序、指令以及模块，从而执行服务器的各种功能应用以及数据处理，即实现上述任意一种工业信息安全违规行为监控方法。

存储器420可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储根据、需要使用的数据等。此外，存储器420可以包括高速随机存取存储器，还可以包括非暂态存储器，例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中，存储器420可选包括相对于处理器410远程设置的存储器，这些远程存储器可以通过网络连接至数据处理装置。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

输入装置430可接收输入的数字或字符信息，以及产生与用户设置以及功能控制有关的键信号输入。输出装置440可包括显示屏等显示设备。

一个或者多个模块存储在存储器420中，当被一个或者多个处理器410执行时，执行如图1-图2所示的方法。

上述产品可执行本发明实施例所提供的方法，具备执行方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节，具体可参见如图1-图2所示的实施例中的相关描述。

本发明实施例还提供了一种非暂态计算机存储介质，计算机存储介质存储有计算机可执行指令，该计算机可执行指令可执行上述任意方法实施例中的认证方法。其中，存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)、随机存储记忆体(RandomAccess Memory，RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive，缩写：HDD)或固态硬盘(Solid-State Drive，SSD)等；存储介质还可以包括上述种类的存储器的组合。

显然，上述实施例仅仅是为清楚地说明所作的举例，而并非对实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保护范围之中。