一种工业控制系统网络访问安全性预警系统及方法技术方案

本发明专利技术提出一种工业控制系统网络访问安全性预警系统及方法，包括：生成工业控制系统网络访问白名单；获取工业控制系统网络访问恶意ip组库；对申请访问工业控制系统的ip进行拦截和白名单验证；对不在白名单中的访问ip进行恶意性分析，并对发现的恶意访问ip进行安全预警；对无法确定的访问ip，将其保存到可疑ip库，当白名单和恶意ip组库更新时进行重复验证；对所有的访问ip进行访问信息日志记录。根据访问ip的访问日志学习各类访问ip的访问模式；将可疑ip的访问模式与恶意ip和白名单ip的访问模式进行匹配，判断访问ip的类别；对判断为恶意ip的访问ip进行安全预警，将判断为白名单ip的访问ip进行白名单推荐；将新发现的白名单ip更新到已有白名单中。

【技术实现步骤摘要】
一种工业控制系统网络访问安全性预警系统及方法
本专利技术属于工控网络安全领域，一种工业控制系统网络访问安全性预警系统及方法。
技术介绍
工业控制系统广泛应用于我国电力、水利、污水处理、石油化工、冶金、汽车、航空航天等多个涉及国计民生的关键行业。随着工业化与信息化的深度融合，工业控制系统中信息化程度越来越高，通用软硬件和网络设施的广泛使用，打破了工业控制系统与互联网的“隔离”，带来了一系列网络安全威胁。作为工业控制网络的重要组成部分，工业控制网络安全深刻地影响着工业控制网络及相关产业的发展，具有极强的产业关联度和产业渗透能力，因此工业控制网络安全产业得到了极大的关注。然而，随着互联网技术的迅猛发展，其建设之初所具有的“尽力而为”的安全防护理念，已经给工控网络安全造成了巨大的威胁。在应对安全问题方面，传统的安全预警方式已经显得力不从心，暴露出了许多问题。例如，访问工控系统的ip中存在着大量无法确定的灰色数据，以往方法大多将这些灰色ip直接确定为恶意ip，这种方法显然并不准确。面对这些实际情况，必须深入研究分析安全预警问题的特征和规律，积极制定安全策略和防范措施，确保网络运行安全可靠。专利本文档来自技高网...

【技术保护点】
一种工业控制系统网络访问安全性预警系统，其特征在于，包括：a.工业控制系统网络访问白名单生成模块；用于根据工业现场的具体要求，设定允许访问该工业控制系统的网络ip及其访问权限，为某一工业控制系统生成其特有的网络访问白名单；b.恶意ip组库生成模块；用于通过威胁情报分析，对已有的工业控制系统访问ip进行恶意性计算，再根据访问ip的恶意性计算相关ip组的恶意性，并最终生成恶意ip组库，所述恶意ip通过威胁情报进行时空分析和恶意性分析；c.工业控制系统访问拦截和白名单验证模块；用于对申请访问工业控制系统的ip进行拦截和白名单验证，判断其是否可以访问该系统；当外部ip申请访问某工业控制系统时，系统首先...

【技术特征摘要】
1.一种工业控制系统网络访问安全性预警系统，其特征在于，包括：a.工业控制系统网络访问白名单生成模块；用于根据工业现场的具体要求，设定允许访问该工业控制系统的网络ip及其访问权限，为某一工业控制系统生成其特有的网络访问白名单；b.恶意ip组库生成模块；用于通过威胁情报分析，对已有的工业控制系统访问ip进行恶意性计算，再根据访问ip的恶意性计算相关ip组的恶意性，并最终生成恶意ip组库，所述恶意ip通过威胁情报进行时空分析和恶意性分析；c.工业控制系统访问拦截和白名单验证模块；用于对申请访问工业控制系统的ip进行拦截和白名单验证，判断其是否可以访问该系统；当外部ip申请访问某工业控制系统时，系统首先对该访问ip进行白名单验证，若该访问ip在白名单范围内，且拥有访问权限，则允许其访问工业控制系统；若不在白名单范围内，则对该ip进行拦截；d.访问ip恶意性分析模块；用于对不在白名单中的访问ip进行恶意性分析，判断其是否属于恶意ip组库；查找访问ip在恶意ip组库中对应的恶意ip组，计算出该恶意ip组中恶意ip的恶意性期望值E(M(I))；若访问ip的恶意性M(I)大于该期望值E(M(I))，则将其判定为恶意ip，并对其进行安全预警和访问控制；反之，则将其判定为可疑ip，对其进行访问控制，等待进一步处理；e.可疑ip保存和验证模块；将访问ip与白名单和恶意ip组库进行比对后，将既不在已有白名单列表中，也未被判定为恶意的访问ip保存到可疑ip库中，并当白名单和恶意ip组库更新时进行重复验证；f.访问ip访问信息日志记录模块；用于对所有的访问ip进行访问信息日志记录；所述访问信息包括ip类型、访问时间、访问时长、访问流量和访问目的，其中，ip类型包括白名单ip、可疑ip和恶意ip；白名单ip是白名单包括的ip地址；可疑ip是指既不在已有白名单中，也不在恶意ip组库内；恶意ip是指经过与恶意ip组库比对被判定为恶意的访问ip；g.访问模式学习模块，用于根据访问ip的访问日志学习各类访问ip的访问模式特征；依据访问ip的访问时间、访问时长、访问频率、访问类型、访问地点、访问流量和访问目标特性，学习各类访问ip的访问特点，最终形成相应的访问模式；其中，访问模式指各类访问ip在不同访问特性下的取值特征的组合；h.访问模式匹配模块，用于将可疑ip的访问模式与恶意ip和白名单ip的访问模式进行匹配，判断其所属类别；将可疑ip的访问模式与恶意ip和白名单ip的访问模式进行匹配，从而判断访问ip的类别，即先将可疑ip的访问模式与恶意ip的访问模式进行匹配，若匹配程度达到阈值，则认为该访问ip倾向于恶意ip，对其进行安全预警；若匹配程度未达到阈值，将可疑ip的访问模式与白名单ip的访问模式进行匹配，若匹配程度达到阈值，则认为该访问ip倾向于白名单ip，将其推荐给白名单；i.安全预警模块，用于对发现的恶意访问ip进行安全预警，并生成相关的分析报告；通过与恶意ip组库进行比对或根据上述访问模式匹配，被判定为恶意的访问ip，系统对该访问ip进行安全预警，并给出该访问ip相关的恶意ip组的分析报告；j.工业控制系统网络访问白名单更新模块；将通过模式匹配和恶意性分析发现的新的正常ip添加到已有白名单中，并为其赋予相应的访问权限。2.根据权利要求1所述的一种工业控制系统网络访问安全性预警系统，...

【专利技术属性】
技术研发人员：姚羽，盛川，周毅，高畅，王禹博，周欣娜，
申请(专利权)人：东北大学，
类型：发明
国别省市：辽宁,21