一种工业控制系统威胁检测防御装置、系统及方法制造方法及图纸
【技术实现步骤摘要】
一种工业控制系统威胁检测防御装置、系统及方法
本专利技术涉及工业控制系统
,具体涉及一种工业控制系统威胁检测防御装置、系统及方法。
技术介绍
在工业化和信息化的背景之下,现代工业企业的用于生产的工业控制系统越来越多的被连入到互联网之中,发挥信息系统的集成效益,但是随之而来的网络安全问题也日益明显。由于工业控制系统网络在设计或者部署初期对于网络安全的重视程度不够,在现有技术中,针对不同类型的控制系统安全防护中,主要采用防火墙、网闸等设备进行安全防护,这些防护设备只能部署在工业控制系统与上层信息网络之间,以防止恶意信息进入工业控制网络。但是,一旦恶意攻击利用漏洞进入工业控制网络,或者攻击者直接在控制系统中以插入U盘或者带入恶意文件的方式进行植入式攻击,现有技术的安全防护手段无法对工业控制系统进行有效防护,一旦安全问题发生将出现较大的损失。
技术实现思路
有鉴于此,本专利技术提供一种工业控制系统威胁检测防御装置、系统及方法,以解决现有技术中安全防护手段无法对工业控制系统进行有效防护的技术问题。为解决上述问题,本专利技术提供的技术方案如下:一种工业控制系统威胁检测防御装置,所述装置部署在工业控制系统监控层的上位机中,所述装置包括:威胁检测模块以及异常处理模块;所述威胁检测模块包括:截获单元,用于截获本地上位机接收或发送的通信数据报文;识别单元,用于识别所述通信数据报文中的报文字段信息,所述报文字段信息包括源物理地址、源逻辑地址、目的物理地址、目的逻辑地址、协议类型字段内容、优先级字段内容、命令字段内容、测量数据字段内容以及控制数据字段内容;第一判断单元,用于根据...
【技术保护点】
一种工业控制系统威胁检测防御装置,其特征在于,所述装置部署在工业控制系统监控层的上位机中,所述装置包括:威胁检测模块以及异常处理模块;所述威胁检测模块包括:截获单元,用于截获本地上位机接收或发送的通信数据报文;识别单元,用于识别所述通信数据报文中的报文字段信息,所述报文字段信息包括源物理地址、源逻辑地址、目的物理地址、目的逻辑地址、协议类型字段内容、优先级字段内容、命令字段内容、测量数据字段内容以及控制数据字段内容;第一判断单元,用于根据截获的当前通信数据报文中的报文字段信息判断所述当前通信数据报文是否为恶意报文;第二判断单元,用于根据所述当前通信数据报文中的报文字段信息以及本地通信日志数据库中记录的通信报文中的报文字段信息判断是否存在针对所述本地上位机的恶意行为或者由所述本地上位机发起的恶意行为;第三判断单元,用于检测是否存在针对所述本地上位机内部控制程序的恶意操作;所述异常处理模块,用于如果存在安全威胁,根据安全配置文件触发对所述安全威胁进行对应的安全操作,所述安全威胁包括所述当前通信数据报文为恶意报文、存在针对所述本地上位机的恶意行为、存在由所述本地上位机发起的恶意行为、存在针对...
【技术特征摘要】
1.一种工业控制系统威胁检测防御装置,其特征在于,所述装置部署在工业控制系统监控层的上位机中,所述装置包括:威胁检测模块以及异常处理模块;所述威胁检测模块包括:截获单元,用于截获本地上位机接收或发送的通信数据报文;识别单元,用于识别所述通信数据报文中的报文字段信息,所述报文字段信息包括源物理地址、源逻辑地址、目的物理地址、目的逻辑地址、协议类型字段内容、优先级字段内容、命令字段内容、测量数据字段内容以及控制数据字段内容;第一判断单元,用于根据截获的当前通信数据报文中的报文字段信息判断所述当前通信数据报文是否为恶意报文;第二判断单元,用于根据所述当前通信数据报文中的报文字段信息以及本地通信日志数据库中记录的通信报文中的报文字段信息判断是否存在针对所述本地上位机的恶意行为或者由所述本地上位机发起的恶意行为;所述第二判断单元包括:第一查找子单元,用于当截获本地上位机接收的当前通信数据报文时,在本地通信日志数据库中查找获得与当前通信数据报文中的源物理地址以及源逻辑地址相同的连续多个历史通信数据报文,将所述当前通信数据报文以及所述历史通信数据报文作为第一待查行为数据流;第一识别子单元,用于根据所述第一待查行为数据流中各个通信数据报文的协议类型字段内容、优先级字段内容、命令字段内容、测量数据字段内容以及控制数据字段内容与本地通信协议栈数据库中定义的字段含义进行匹配,识别所述第一待查行为数据流代表的第一操作行为;第四判断子单元,用于判断所述第一操作行为是否与攻击检测规则库中记录的恶意行为相同,如果是,则确定存在针对所述本地上位机的恶意行为;第二查找子单元,用于当截获本地上位机发送的当前通信数据报文时,在本地通信日志数据库中查找获得与当前通信数据报文中的目的物理地址以及目的逻辑地址相同的连续多个历史通信数据报文,将所述当前通信数据报文以及所述历史通信数据报文作为第二待查行为数据流;第二识别子单元,用于根据所述第二待查行为数据流中各个通信数据报文的协议类型字段内容、优先级字段内容、命令字段内容、测量数据字段内容以及控制数据字段内容与本地通信协议栈数据库中定义的字段含义进行匹配,识别所述第二待查行为数据流代表的第二操作行为;第五判断子单元,用于判断所述第二操作行为是否与攻击检测规则库中记录的恶意行为相同,如果是,则确定存在由所述本地上位机发起的恶意行为;第三判断单元,用于检测是否存在针对所述本地上位机内部控制程序的恶意操作;所述异常处理模块,用于如果存在安全威胁,根据安全配置文件触发对所述安全威胁进行对应的安全操作,所述安全威胁包括所述当前通信数据报文为恶意报文、存在针对所述本地上位机的恶意行为、存在由所述本地上位机发起的恶意行为、存在针对所述本地上位机内部控制程序的恶意操作中的一种或多种,所述安全操作包括拦截处理、报警处理、放行处理或者安全状态启动处理。2.根据权利要求1所述的装置,其特征在于,所述第一判断单元包括:第一判断子单元,用于判断截获的当前通信数据报文中的源物理地址、源逻辑地址、目的物理地址以及目的逻辑地址与本地通信协议栈数据库中经认证报文的源物理地址、源逻辑地址、目的物理地址以及目的逻辑地址是否一致,如果否,则确定所述当前通信数据报文为恶意报文;第二判断子单元,用于判断截获的当前通信数据报文中的源物理地址、源逻辑地址、目的物理地址以及目的逻辑地址与攻击检测规则库中记录的攻击报文的源物理地址、源逻辑地址、目的物理地址以及目的逻辑地址是否一致,如果是,则确定所述当前通信数据报文为恶意报文;第三判断子单元,用于判断截获的当前通信数据报文中的协议类型字段内容、优先级字段内容、命令字段内容、测量数据字段内容以及控制数据字段内容是否与所述本地通信协议栈数据库中记录的各字段内容的许可值相符合,如果否,则确定所述当前通信数据报文为恶意报文。3.根据权利要求1所述的装置,其特征在于,所述第三判断单元具体用于:采用在所述本地上位机的操作系统中植入劫持函数的方式来获得针对所述本地上位机内部控制程序的操作行为,判断所述操作行为是否与程序恶意操作库中所记录的恶意操作相同,如果是,则确定存在针对所述本地上位机内部控制程序的恶意操作。4.根据权利要求1所述的装置,其特征在于,所述装置还包括:日志生成模块,用于生成所述安全威胁的日志信息;当所述当前通信数据报文不是恶意报文,记录所述通信数据报文信息,建立本地通信日志数据库。5.根据权利要求4所述的装置,其特征在于,所述装置还包括:通信模块,用于接收威胁监控服务器下发的所述安全配置文件;向所述威胁监控服务器发送心跳数据包,所述心跳数据包包括发送时间戳、发送序列号、所述本地上位机的基本信息、所述本地上位机的工作状态;将所述安全威胁的日志信息发送给所述威胁监控服务器。6.根据权利要求5所述的装置,其特征在于,所述拦截处理包括对所述恶意报文进行丢弃,对所述针对所述本地上位机内部控制程序的恶意操作进行强行中断;所述报警处理包括由所述本地上位机弹出异常发生消息进行报警;将所述安全威胁的日志信息发送给所述威胁监控服务器之后,由所述威胁监控服务器进行报警;所述放行处理包括对所述通信数据报文不予干预;所述安全状态启动处理包括工业控制系统的运行状态导向到安全运行状态运行。7.一种工业控制系统威胁检测防御系统,其特征在于,所述系统包括:威胁检测客户端以及威胁监控服务器;所述威胁检测客户端部署在工业控制系统监控层的每台上位机中,所述威胁监控服务器部署在所述工业控制系统监控层中;所述威胁检测客户端是权利要求1-6任...
【专利技术属性】
技术研发人员:冯冬芹,薛金良,施一明,
申请(专利权)人:浙江大学,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。