(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211257029.9 (22)申请日 2022.10.14 (71)申请人 北京六方云信息技 术有限公司 地址 100085 北京市海淀区上地信息路12 号1幢2层C202室 申请人 北京六方云科技有限公司 (72)发明人 周永权　 (74)专利代理 机构 北京恒程知识产权代理有限 公司 11914 专利代理师 许峰 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/1095(2022.01) H04L 67/12(2022.01) (54)发明名称 威胁检测方法、 装置、 终端设备以及存储介 质 (57)摘要 本发明公开了一种威胁检测方法、 装置、 终 端设备以及存储介质， 所述威胁检测方法应用于 工控系统， 所述威胁检测方法涉及威胁识别领 域， 在建立所述工控系统的数字孪生系统的前提 下， 该方法包括： 在检测到所述工控系统发生变 化时， 获取动态变化信息， 将所述动态变化信息 动态同步到预设的数字孪生系统中进行推演， 得 到所述数字孪生系统的推演结果， 基于所述推演 结果， 判断所述动态变化信息是否为威胁信息， 若所述动态变化信息为威胁信息， 则基于所述动 态变化信息输出威胁告警。 本发 明解决了无特征 信息的攻击威胁检测困难的问题， 实现了对工控 系统潜在的威胁进行检测预处 理的效果。 权利要求书2页 说明书9页 附图3页 CN 115333867 A 2022.11.11 CN 115333867 A 1.一种威胁检测方法， 其特征在于， 所述威胁检测方法应用于工控系统， 所述威胁检测 方法包括以下步骤： 在检测到所述工控系统发生变化时， 获取动态变化信息； 将所述动态变化信 息动态同步到预设的数字孪生系统中进行推演， 得到所述数字孪生 系统的推演结果； 基于所述推演结果， 判断所述动态变化信息是否为 威胁信息； 若所述动态变化信息为 威胁信息， 则基于所述动态变化信息 输出威胁告警。 2.如权利要求1所述的威胁检测方法， 其特征在于， 所述将所述动态变化信 息动态同步 到预设的数字孪生系统中进行推演， 得到所述数字孪生系统的推演结果的步骤之前还包 括： 基于所述工控系统， 通过信息导入方式得到所述工控系统的数字 孪生系统。 3.如权利要求1所述的威胁检测方法， 其特征在于， 所述将所述动态变化信 息动态同步 到预设的数字 孪生系统中进行推演， 得到所述数字 孪生系统的推演结果的步骤 包括： 当所述工控系统正常时， 对所述动态变化信息在所述数字孪生系统中进行正向推演， 得到所述动态变化信息在所述数字 孪生系统中产生的系统影响； 和/或 当所述工控系统异常时， 对所述动态变化信息在所述数字孪生系统中进行逆向推演， 得到导致所述工控系统异常的原因； 对所述动态变化信息在所述数字孪生系统中进行正向 推演， 得到所述异常的纠正措施。 4.如权利要求3所述的威胁检测方法， 其特征在于， 所述基于所述推演结果， 判断所述 动态变化信息是否为 威胁信息的步骤 包括： 若所述动态变化信 息在所述数字孪生系统中正向推演得到的系统影响为非预期影响， 则判断所述动态变化信息为 威胁信息 。 5.如权利要求3所述的威胁检测方法， 其特征在于， 所述基于所述推演结果， 判断所述 动态变化信息是否为 威胁信息的步骤 包括： 若所述数字孪生系统中逆向推演得到的所述动态变化信息是引起所述工控系统异常 的原因， 则判断所述动态变化信息为 威胁信息 。 6.如权利要求1 ‑5中任一项所述的威胁检测方法， 其特征在于， 所述基于所述推演结 果， 判断所述动态变化信息是否为 威胁信息的步骤之后还 包括： 若所述动态变化信 息基于推演结果判断为无威胁信 息， 则丢弃对所述动态变化信 息进 行推演得到的推演结果。 7.如权利要求1所述的威胁检测方法， 其特征在于， 所述若所述动态变化信 息为威胁信 息， 则基于所述动态变化信息 输出威胁告警的步骤之后还 包括： 记录所述动态变化信息； 将所述威胁告警传输给 所述工控系统的工控安全防护系统； 或 将威胁告警通过接口传输给相关技 术人员。 8.一种威胁 检测装置， 其特 征在于， 所述 威胁检测装置包括： 获取模块， 用于在检测到 工控系统发生变化时， 获取动态变化信息； 推演模块， 用于将所述动态变化信息动态同步到预设的数字孪生系统中进行推演， 得 到所述数字 孪生系统的推演结果；权　利　要　求　书 1/2 页 2 CN 115333867 A 2判断模块， 用于基于所述推演结果， 判断所述动态变化信息是否为 威胁信息； 告警模块， 用于若所述动态变化信息为威胁信息， 则基于所述动态变化信息输出威胁 告警。 9.一种终端设备， 其特征在于， 所述终端设备包括存储器、 处理器及存储在所述存储器 上并可在所述处理器上运行的威胁检测程序， 所述威胁检测程序被所述处理器执行时实现 如权利要求1 ‑7中任一项所述的威胁 检测方法的步骤。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储有威胁检 测程序， 所述威胁检测程序被处理器执行时实现如权利要求1 ‑7中任一项所述的威胁检测 方法的步骤。权　利　要　求　书 2/2 页 3 CN 115333867 A 3