本發(fā)明屬于數(shù)據(jù)處理，具體地說(shuō)是一種工業(yè)控制環(huán)網(wǎng)絡(luò)監(jiān)測(cè)系統(tǒng)及其監(jiān)測(cè)方法。

背景技術(shù)：

1、長(zhǎng)期以來(lái)，工業(yè)控制系統(tǒng)獨(dú)立封閉，存在天然的安全性，因而其網(wǎng)絡(luò)安全隱患一直被忽視，實(shí)時(shí)數(shù)據(jù)庫(kù)和報(bào)警管理等系統(tǒng)的部署實(shí)施，使得工業(yè)控制系統(tǒng)不再獨(dú)立。同時(shí)工控系統(tǒng)伴隨著it技術(shù)的發(fā)展而發(fā)展，已由專(zhuān)用性向通用性演進(jìn)，大量采集it通用軟硬件，例如pc、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和以太網(wǎng)等，隨之而來(lái)的，各種威脅和脆弱性也被引入了工業(yè)控制系統(tǒng)，所以工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問(wèn)題日益突出。尤其類(lèi)似如核電站等國(guó)家關(guān)鍵基礎(chǔ)設(shè)施中的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問(wèn)題更為突出。

2、隨著工業(yè)自動(dòng)化程度越來(lái)越高以及工業(yè)控制網(wǎng)絡(luò)中的協(xié)議多樣化，工業(yè)協(xié)議網(wǎng)絡(luò)的重要性和安全性日益凸顯。工業(yè)協(xié)議網(wǎng)絡(luò)實(shí)現(xiàn)了設(shè)備之間的實(shí)時(shí)、高效通信，是工業(yè)自動(dòng)化和智能制造的基石。它允許數(shù)據(jù)在生產(chǎn)線上快速流動(dòng)，支持實(shí)時(shí)監(jiān)控、故障診斷和預(yù)防性維護(hù)等功能。任何異常操作都會(huì)造成巨大損失。

3、現(xiàn)階段許多傳統(tǒng)的工業(yè)控制網(wǎng)絡(luò)安全方案存在一些局限性，對(duì)于異常行為的檢測(cè)和防御通常是基于靜態(tài)規(guī)則和模式匹配的，缺乏對(duì)動(dòng)態(tài)變化的適應(yīng)性，其次，針對(duì)不同類(lèi)型的異常包括流量異常、環(huán)境異常、用戶(hù)異常和硬件異常，的綜合分析和聯(lián)動(dòng)防御機(jī)制較為薄弱，但是系統(tǒng)協(xié)議識(shí)別依然是采用傳統(tǒng)的全字節(jié)特征識(shí)別，從而造成了協(xié)議識(shí)別的冗長(zhǎng)和繁瑣，造成對(duì)其他服務(wù)器的過(guò)度干擾。

技術(shù)實(shí)現(xiàn)思路

1、為了解決上述技術(shù)問(wèn)題，本發(fā)明提供一種工業(yè)控制環(huán)網(wǎng)絡(luò)監(jiān)測(cè)系統(tǒng)及其監(jiān)測(cè)方法，以解決現(xiàn)有技術(shù)中造成了協(xié)議識(shí)別的冗長(zhǎng)和繁瑣，造成對(duì)其他服務(wù)器的過(guò)度干擾等問(wèn)題。

2、為了實(shí)現(xiàn)上述目的，本發(fā)明采用如下技術(shù)方案：

3、本發(fā)明提供了一種工業(yè)控制環(huán)網(wǎng)絡(luò)監(jiān)測(cè)系統(tǒng)，包括：

4、數(shù)據(jù)采集模塊，用于獲取工業(yè)控制網(wǎng)絡(luò)中的工控環(huán)網(wǎng)絡(luò)數(shù)據(jù)包；

5、數(shù)據(jù)處理模塊，用于對(duì)獲取的工控環(huán)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行數(shù)據(jù)清洗和數(shù)據(jù)整理，對(duì)工控環(huán)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行協(xié)議匹配，從而識(shí)別數(shù)據(jù)包中的工業(yè)協(xié)議；

6、數(shù)據(jù)識(shí)別模塊，用于對(duì)工控環(huán)網(wǎng)絡(luò)數(shù)據(jù)包中的數(shù)據(jù)進(jìn)行協(xié)議匹配，識(shí)別每個(gè)網(wǎng)絡(luò)包的通訊數(shù)據(jù)；

7、數(shù)據(jù)執(zhí)行模塊，用于對(duì)于識(shí)別后的每個(gè)網(wǎng)絡(luò)包中的通訊數(shù)據(jù)進(jìn)行深度解析，得到解析結(jié)果，并對(duì)得到的解析結(jié)果進(jìn)行監(jiān)測(cè)；

8、數(shù)據(jù)監(jiān)測(cè)模塊，用于對(duì)的解析結(jié)果中的異常數(shù)據(jù)進(jìn)行綜合監(jiān)測(cè)，包括安全預(yù)警、攻擊路徑和風(fēng)險(xiǎn)管理。

9、本發(fā)明進(jìn)一步的改進(jìn)在于，數(shù)據(jù)采集模塊包括第一采集單元和第二采集單元，第一采集單元采集網(wǎng)絡(luò)帶寬數(shù)據(jù)，以獲取網(wǎng)絡(luò)帶寬數(shù)據(jù)組，第二采集單元采集安全協(xié)議數(shù)據(jù)，以獲取協(xié)議數(shù)據(jù)組，網(wǎng)絡(luò)帶寬數(shù)據(jù)組和協(xié)議數(shù)據(jù)組組成工控環(huán)網(wǎng)絡(luò)數(shù)據(jù)包。

10、本發(fā)明進(jìn)一步的改進(jìn)在于，數(shù)據(jù)識(shí)別模塊包括數(shù)據(jù)關(guān)聯(lián)單元、數(shù)據(jù)聚合單元和數(shù)據(jù)建模單元，數(shù)據(jù)建模單元包括樹(shù)模型、支持向量機(jī)模型和聚類(lèi)算法模型，數(shù)據(jù)聚合單元對(duì)第一采集單元和第二采集單元采集到的數(shù)據(jù)進(jìn)行整理，數(shù)據(jù)關(guān)聯(lián)單元包括對(duì)通訊數(shù)據(jù)進(jìn)行預(yù)處理。

11、本發(fā)明進(jìn)一步的改進(jìn)在于，數(shù)據(jù)執(zhí)行模塊還用于對(duì)工業(yè)控制網(wǎng)絡(luò)中的通訊數(shù)據(jù)進(jìn)行安全過(guò)濾，若過(guò)濾結(jié)果滿(mǎn)足預(yù)警要求，則發(fā)出報(bào)警信息，并禁止確定工業(yè)控制網(wǎng)絡(luò)的協(xié)議類(lèi)型。

12、本發(fā)明進(jìn)一步的改進(jìn)在于，數(shù)據(jù)執(zhí)行模塊中，數(shù)據(jù)預(yù)警公式如下：

13、；

14、其中，i為權(quán)重值；j為調(diào)整設(shè)置；y為實(shí)時(shí)帶寬值；為第一預(yù)警數(shù)據(jù)；為采集端數(shù)據(jù)預(yù)警值。

15、本發(fā)明進(jìn)一步的改進(jìn)在于，數(shù)據(jù)監(jiān)測(cè)模塊是根據(jù)獲取的調(diào)取到的數(shù)據(jù)的參考值與預(yù)警閾值進(jìn)行對(duì)比，從而生成第一對(duì)比結(jié)果，并且根據(jù)第一對(duì)比結(jié)果，判斷是否發(fā)出預(yù)警，若發(fā)出預(yù)警，則提取異常環(huán)境數(shù)據(jù)，分析提取到的環(huán)境異常系數(shù)，收集相關(guān)信息，作為防范系統(tǒng)的知識(shí)添加到數(shù)據(jù)庫(kù)中，對(duì)風(fēng)險(xiǎn)數(shù)據(jù)信息進(jìn)行管理。

16、本發(fā)明還提供了一種工業(yè)控制環(huán)網(wǎng)絡(luò)監(jiān)測(cè)方法，包括以下步驟：

17、步驟一：首先通過(guò)數(shù)據(jù)采集模塊，對(duì)工業(yè)控制網(wǎng)絡(luò)的通訊數(shù)據(jù)信息進(jìn)行采集，提取數(shù)據(jù)的特征信息；

18、步驟二：將數(shù)據(jù)信息特征信息輸入到數(shù)據(jù)處理模塊中，進(jìn)行數(shù)據(jù)的清洗和整理；

19、步驟三：對(duì)清洗和整理后的數(shù)據(jù)，進(jìn)行匹配，進(jìn)入數(shù)據(jù)識(shí)別模式；

20、步驟四：數(shù)據(jù)執(zhí)行模塊對(duì)數(shù)據(jù)進(jìn)行預(yù)警模型判斷；

21、步驟五：依據(jù)預(yù)設(shè)數(shù)據(jù)監(jiān)測(cè)模塊輸出的結(jié)果獲取工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)指數(shù)。

22、本發(fā)明進(jìn)一步的改進(jìn)在于，步驟一中，數(shù)據(jù)的特征信息包括網(wǎng)絡(luò)帶寬數(shù)據(jù)組和協(xié)議數(shù)據(jù)組。

23、本發(fā)明進(jìn)一步的改進(jìn)在于，步驟四中，數(shù)據(jù)執(zhí)行模塊中，數(shù)據(jù)預(yù)警公式如下：

24、；

25、其中，i為權(quán)重值；j為調(diào)整設(shè)置；y為實(shí)時(shí)帶寬值；為第一預(yù)警數(shù)據(jù)；為采集端數(shù)據(jù)預(yù)警值。

26、本發(fā)明進(jìn)一步的改進(jìn)在于，步驟五中，數(shù)據(jù)監(jiān)測(cè)模塊是根據(jù)獲取的調(diào)取到的數(shù)據(jù)的參考值與預(yù)警閾值進(jìn)行對(duì)比，從而生成第一對(duì)比結(jié)果，并且根據(jù)第一對(duì)比結(jié)果，判斷是否發(fā)出預(yù)警，若發(fā)出預(yù)警，則提取異常環(huán)境數(shù)據(jù)，分析提取到的環(huán)境異常系數(shù)，收集相關(guān)信息，作為防范系統(tǒng)的知識(shí)添加到數(shù)據(jù)庫(kù)中，對(duì)風(fēng)險(xiǎn)數(shù)據(jù)信息進(jìn)行管理。

27、本發(fā)明還提供了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)存儲(chǔ)有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序當(dāng)被處理器執(zhí)行時(shí)實(shí)現(xiàn)所述的一種工業(yè)控制環(huán)網(wǎng)絡(luò)監(jiān)測(cè)方法的步驟。

28、與現(xiàn)有技術(shù)相比，本發(fā)明至少具有以下有益的技術(shù)效果：

29、本發(fā)明提供的一種工業(yè)控制環(huán)網(wǎng)絡(luò)監(jiān)測(cè)系統(tǒng)及其監(jiān)測(cè)方法，通過(guò)多個(gè)單元的有機(jī)協(xié)作，該系統(tǒng)實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)的全方位監(jiān)測(cè)、分析和動(dòng)態(tài)調(diào)整，從而使得系統(tǒng)架構(gòu)提供了實(shí)時(shí)、智能、自適應(yīng)的網(wǎng)絡(luò)安全解決方案，并且與傳統(tǒng)的入侵檢測(cè)系統(tǒng)相比，該系統(tǒng)更加注重網(wǎng)絡(luò)性能的實(shí)時(shí)優(yōu)化，在帶寬占用率較高的情況下，減輕了對(duì)其他服務(wù)器的不必要的干擾，從而解決了協(xié)議識(shí)別的冗長(zhǎng)和繁瑣的問(wèn)題，進(jìn)而使得系統(tǒng)能夠更好地適應(yīng)復(fù)雜多變的工業(yè)控制環(huán)境，提高了網(wǎng)絡(luò)安全和性能的整體水平，進(jìn)一步加強(qiáng)了工業(yè)網(wǎng)絡(luò)的穩(wěn)定性和安全性。

30、本發(fā)明的優(yōu)化不僅在于提高了網(wǎng)絡(luò)安全性，更在于降低了對(duì)人工干預(yù)的依賴(lài)。系統(tǒng)能夠在檢測(cè)到異常情況時(shí)自動(dòng)進(jìn)行相應(yīng)的處理，包括啟動(dòng)蜜罐、隔離受感染的系統(tǒng)和設(shè)備、切斷usb和網(wǎng)絡(luò)連接等。這減輕了安全團(tuán)隊(duì)或管理員的負(fù)擔(dān)，使系統(tǒng)能夠更迅速、更有效地應(yīng)對(duì)潛在的威脅，提高了整體的響應(yīng)速度。

31、本發(fā)明還具有工控網(wǎng)絡(luò)漏洞挖掘功能，為整個(gè)工控網(wǎng)絡(luò)安全保駕護(hù)航，并構(gòu)建工控網(wǎng)絡(luò)保護(hù)監(jiān)測(cè)系統(tǒng)，為制造產(chǎn)業(yè)的信息化安全和自動(dòng)化融合創(chuàng)造安全條件。

技術(shù)特征：

1.一種工業(yè)控制環(huán)網(wǎng)絡(luò)監(jiān)測(cè)系統(tǒng)，其特征在于，包括：

2.根據(jù)權(quán)利要求1所述的工業(yè)控制環(huán)網(wǎng)絡(luò)監(jiān)測(cè)系統(tǒng)，其特征在于，數(shù)據(jù)采集模塊包括第一采集單元和第二采集單元，第一采集單元采集網(wǎng)絡(luò)帶寬數(shù)據(jù)，以獲取網(wǎng)絡(luò)帶寬數(shù)據(jù)組，第二采集單元采集安全協(xié)議數(shù)據(jù)，以獲取協(xié)議數(shù)據(jù)組，網(wǎng)絡(luò)帶寬數(shù)據(jù)組和協(xié)議數(shù)據(jù)組組成工控環(huán)網(wǎng)絡(luò)數(shù)據(jù)包。

3.根據(jù)權(quán)利要求2所述的工業(yè)控制環(huán)網(wǎng)絡(luò)監(jiān)測(cè)系統(tǒng)，其特征在于，數(shù)據(jù)識(shí)別模塊包括數(shù)據(jù)關(guān)聯(lián)單元、數(shù)據(jù)聚合單元和數(shù)據(jù)建模單元，數(shù)據(jù)建模單元包括樹(shù)模型、支持向量機(jī)模型和聚類(lèi)算法模型，數(shù)據(jù)聚合單元對(duì)第一采集單元和第二采集單元采集到的數(shù)據(jù)進(jìn)行整理，數(shù)據(jù)關(guān)聯(lián)單元包括對(duì)通訊數(shù)據(jù)進(jìn)行預(yù)處理。

4.根據(jù)權(quán)利要求1所述的工業(yè)控制環(huán)網(wǎng)絡(luò)監(jiān)測(cè)系統(tǒng)，其特征在于，數(shù)據(jù)執(zhí)行模塊還用于對(duì)工業(yè)控制網(wǎng)絡(luò)中的通訊數(shù)據(jù)進(jìn)行安全過(guò)濾，若過(guò)濾結(jié)果滿(mǎn)足預(yù)警要求，則發(fā)出報(bào)警信息，并禁止確定工業(yè)控制網(wǎng)絡(luò)的協(xié)議類(lèi)型。

5.根據(jù)權(quán)利要求1所述的工業(yè)控制環(huán)網(wǎng)絡(luò)監(jiān)測(cè)系統(tǒng)，其特征在于，數(shù)據(jù)執(zhí)行模塊中，數(shù)據(jù)預(yù)警公式如下：

6.根據(jù)權(quán)利要求1所述的工業(yè)控制環(huán)網(wǎng)絡(luò)監(jiān)測(cè)系統(tǒng)，其特征在于，數(shù)據(jù)監(jiān)測(cè)模塊是根據(jù)獲取的調(diào)取到的數(shù)據(jù)的參考值與預(yù)警閾值進(jìn)行對(duì)比，從而生成第一對(duì)比結(jié)果，并且根據(jù)第一對(duì)比結(jié)果，判斷是否發(fā)出預(yù)警，若發(fā)出預(yù)警，則提取異常環(huán)境數(shù)據(jù)，分析提取到的環(huán)境異常系數(shù)，收集相關(guān)信息，作為防范系統(tǒng)的知識(shí)添加到數(shù)據(jù)庫(kù)中，對(duì)風(fēng)險(xiǎn)數(shù)據(jù)信息進(jìn)行管理。

7.一種工業(yè)控制環(huán)網(wǎng)絡(luò)監(jiān)測(cè)方法，其特征在于，包括以下步驟：

8.根據(jù)權(quán)利要求7所述的一種工業(yè)控制環(huán)網(wǎng)絡(luò)監(jiān)測(cè)方法，其特征在于，步驟一中，數(shù)據(jù)的特征信息包括網(wǎng)絡(luò)帶寬數(shù)據(jù)組和協(xié)議數(shù)據(jù)組。

9.根據(jù)權(quán)利要求7所述的一種工業(yè)控制環(huán)網(wǎng)絡(luò)監(jiān)測(cè)方法，其特征在于，步驟四中，數(shù)據(jù)執(zhí)行模塊中，數(shù)據(jù)預(yù)警公式如下：

10.根據(jù)權(quán)利要求7所述的一種工業(yè)控制環(huán)網(wǎng)絡(luò)監(jiān)測(cè)方法，其特征在于，步驟五中，數(shù)據(jù)監(jiān)測(cè)模塊是根據(jù)獲取的調(diào)取到的數(shù)據(jù)的參考值與預(yù)警閾值進(jìn)行對(duì)比，從而生成第一對(duì)比結(jié)果，并且根據(jù)第一對(duì)比結(jié)果，判斷是否發(fā)出預(yù)警，若發(fā)出預(yù)警，則提取異常環(huán)境數(shù)據(jù)，分析提取到的環(huán)境異常系數(shù)，收集相關(guān)信息，作為防范系統(tǒng)的知識(shí)添加到數(shù)據(jù)庫(kù)中，對(duì)風(fēng)險(xiǎn)數(shù)據(jù)信息進(jìn)行管理。

技術(shù)總結(jié)
本發(fā)明公開(kāi)了一種工業(yè)控制環(huán)網(wǎng)絡(luò)監(jiān)測(cè)系統(tǒng)及其監(jiān)測(cè)方法，包括：數(shù)據(jù)采集模塊：獲取所述工業(yè)控制網(wǎng)絡(luò)中的工控環(huán)網(wǎng)絡(luò)數(shù)據(jù)包；數(shù)據(jù)處理模塊：對(duì)采集到的數(shù)據(jù)進(jìn)行數(shù)據(jù)清洗和數(shù)據(jù)整理，對(duì)數(shù)據(jù)包進(jìn)行協(xié)議匹配，從而識(shí)別數(shù)據(jù)包中的工業(yè)協(xié)議；數(shù)據(jù)識(shí)別模塊：對(duì)網(wǎng)絡(luò)數(shù)據(jù)包中的數(shù)據(jù)進(jìn)行協(xié)議匹配，識(shí)別每個(gè)網(wǎng)絡(luò)包的通訊數(shù)據(jù)；本發(fā)明通過(guò)多個(gè)單元的有機(jī)協(xié)作，該系統(tǒng)實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)的全方位監(jiān)測(cè)、分析和動(dòng)態(tài)調(diào)整，從而使得系統(tǒng)架構(gòu)提供了實(shí)時(shí)、智能、自適應(yīng)的網(wǎng)絡(luò)安全解決方案，并且與傳統(tǒng)的入侵檢測(cè)系統(tǒng)相比，該系統(tǒng)更加注重網(wǎng)絡(luò)性能的實(shí)時(shí)優(yōu)化，在帶寬占用率較高的情況下，減輕了對(duì)其他服務(wù)器的不必要的干擾，從而解決了協(xié)議識(shí)別的冗長(zhǎng)和繁瑣的問(wèn)題。

技術(shù)研發(fā)人員：董鵬,李曉博,楊柏依,田爽,丁偉,趙亮,常威武,王維剛,章碩,陳立元
受保護(hù)的技術(shù)使用者：西安熱工研究院有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2025/1/2