基于自学习白名单的工控异常行为分析方法及系统技术方案

本发明专利技术公开了一种基于自学习白名单的工控异常行为分析方法及系统。本发明专利技术采用驱动层对数据处理后，安全引擎中的协议解码引擎对协议进行深度解码处理，解码后的数据信息经过应用层界面与业务的过程进行关联处理，对于设定周期内操作行为的感知，采用自学习模块形成业务系统中的基线关系表和资产表；后续来自应用层解码的数据与自学习模块的基线进行比对分析，发现其中是否存在不符合通信关系基线的通信行为及未注册的新增资产，对异常通信或者异常资产进行告警。本发明专利技术为工业控制系统的安全事故调查提供坚实的基础。

【技术实现步骤摘要】
基于自学习白名单的工控异常行为分析方法及系统
本专利技术涉及工业控制系统领域，具体地说是一种基于自学习白名单的工控异常行为分析方法及系统。
技术介绍
工业控制系统被广泛应用到电力、石化、交通、市政以及关键制造业等涉及国计民生的重要行业中，如遭受攻击，受到影响的将不仅是相关企业的经济损失，甚至会引起相应的社会问题，其重要性不言而喻。因此，工控安全问题已成为当前世界各国最为重视的安全问题。目前，保护工业控制系统安全的策略有很多：实现应用白名单；确保合适的配置和补丁管理；减少攻击面；建立一个可防御的环境；管理认证；实现安全的远程访问；监测和响应。通过对现实情况的调研，最有效的方法还是建立基于白名单的管控。
技术实现思路
本专利技术所要解决的技术问题是克服上述现有技术存在的缺陷，提供一种基于自学习白名单的工控异常行为分析方法，以实时检测针对工业协议的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒等恶意软件的传播并实时报警，同时详实记录一切网络通信行为，包括指令级的工业控制协议通信记录，为工业控制系统的安全事故调查提供坚实的基础。为此，本专利技术采用如下的技术方案：一种基于自学习白本文档来自技高网...

【技术保护点】
一种基于自学习白名单的工控异常行为分析方法，包括网卡获取数据包，经过DPDK的快速处理后交由数通引擎对数据包进行分类处理，分类好的数据进入到队列中按照相关优先级的顺序进行安全引擎处理，安全引擎处理后，形成相关的基线对应关系；其特征在于，驱动层对数据处理后，安全引擎中的协议解码引擎对协议进行深度解码处理，解码后的数据信息经过应用层界面与业务的过程进行关联处理，对于设定周期内操作行为的感知，采用自学习模块形成业务系统中的基线关系表和资产表；后续来自应用层解码的数据与自学习模块的基线进行比对分析，发现其中是否存在不符合通信关系基线的通信行为及未注册的新增资产，对异常通信或者异常资产进行告警。

【技术特征摘要】
1.一种基于自学习白名单的工控异常行为分析方法，包括网卡获取数据包，经过DPDK的快速处理后交由数通引擎对数据包进行分类处理，分类好的数据进入到队列中按照相关优先级的顺序进行安全引擎处理，安全引擎处理后，形成相关的基线对应关系；其特征在于，驱动层对数据处理后，安全引擎中的协议解码引擎对协议进行深度解码处理，解码后的数据信息经过应用层界面与业务的过程进行关联处理，对于设定周期内操作行为的感知，采用自学习模块形成业务系统中的基线关系表和资产表；后续来自应用层解码的数据与自学习模块的基线进行比对分析，发现其中是否存在不符合通信关系基线的通信行为及未注册的新增资产，对异常通信或者异常资产进行告警。2.根据权利要求1所述的工控异常行为分析方法，其特征在于，基于对多种工业控制协议的通信报文进行深度解析，实时检测针对工业控制协议的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒的传播并实时报警，同时详实记录一切网络通信行为，包括指令级的工业控制协议通信记录。3.根据权利要求2所述的工控异常行为分析方法，其特征在于，所述的工业控制协议包括ModbusTCP、COTP、OPC、SiemensS7、DNP3、IEC60870-5-104、IEC61850-MMS、IEC61850-GOOSE和IEC61850-SV。4.根据权利要求1或2所述的工控异常行为分析方法，其特征在于，采用被动检测的方式从网络中采集数据包，并进行数据包的解析，智能地与系统内置的协议特征、设备对...

【专利技术属性】
技术研发人员：孙歆，戴桦，卢新岱，李景，李沁园，周辉，韩嘉佳，姚影，李霁远，吕磅，
申请(专利权)人：国网浙江省电力有限公司电力科学研究院，国家电网公司，
类型：发明
国别省市：浙江,33