【技术实现步骤摘要】
带自学习的工业控制系统全景感知监测方法、装置和系统
本专利技术涉及网络安全
,尤其是一种带自学习功能的工业控制系统全景感知监测装置。
技术介绍
随着计算机技术、网络通讯技术在工业控制系统中的广泛应用,正如事物的两面性,在工业控制系统的运行越来越依赖于计算机网络的同时,工业控制系统面临着日益严峻的网络安全威胁,尤其面临国际敌对组织、恶意势力的高级持续威胁攻击。为了应对这些网络安全威胁,目前在工业控制系统中已经或开始部署了大量的网络安全措施和装置,但是,这些安全措施和装置,基本还停留在基于已知问题的层面,即针对已知的安全威胁、攻击行为指定相应的安全策略,网络安全防护依赖于安全策略,传统的安全设备需要人为的定义安全策略,安全防护能力除了依赖于安全设备之外,更大程度上依赖于制定的安全策略,一旦为某个网络安全监测设备制定了安全策略,这台设备的安全防护能力就被确定了,但是,由于工业控制系统的相对封闭性和对系统稳定运行的严苛要求,往往不能做到及时的进行更新安全策略、打补丁操作。现有网络安全设备本身不具备学习能力,因此更缺乏对未知威胁...
【技术保护点】
1.一种带自学习的工业控制系统全景感知监测方法,其特征在于,包括:/n步骤1,自学习过程:监测网络中新的网络通讯设备、网络通讯协议和网络通讯,并通过判断监测到的新的网络通讯设备、网络通讯协议和网络通讯是否存在于网络通讯设备黑白名单、网络通讯协议黑白名单和网络通讯特征库,以此建立合法网络通讯设备列表、合法网络通讯协议列表和合规的网络通讯特征库;并将建立的合法网络通讯设备列表、合法网络通讯协议列表和合规的网络通讯特征库添加到对应的网络通讯设备白名单、网络通讯协议白名单和网络通讯特征库中;/n步骤2,工作过程:监测网络中新的网络通讯设备、网络通讯协议和网络通讯,并通过判断监测到的...
【技术特征摘要】
1.一种带自学习的工业控制系统全景感知监测方法,其特征在于,包括:
步骤1,自学习过程:监测网络中新的网络通讯设备、网络通讯协议和网络通讯,并通过判断监测到的新的网络通讯设备、网络通讯协议和网络通讯是否存在于网络通讯设备黑白名单、网络通讯协议黑白名单和网络通讯特征库,以此建立合法网络通讯设备列表、合法网络通讯协议列表和合规的网络通讯特征库;并将建立的合法网络通讯设备列表、合法网络通讯协议列表和合规的网络通讯特征库添加到对应的网络通讯设备白名单、网络通讯协议白名单和网络通讯特征库中;
步骤2,工作过程:监测网络中新的网络通讯设备、网络通讯协议和网络通讯,并通过判断监测到的新的网络通讯设备、网络通讯协议和网络通讯是否存在于网络通讯设备黑白名单、网络通讯协议黑白名单和网络通讯特征库当中,以此确定监测到的新的网络通讯设备、网络通讯协议和网络通讯是否为合法的网络通讯设备、合法的网络通讯协议、合规的网络通讯。
2.根据权利要求1所述的带自学习的工业控制系统全景感知监测方法,其特征在于,步骤1的自学习过程中,建立合法网络通讯设备列表、合法网络通讯协议列表和合规的网络通讯特征库的方法为:
步骤11,建立合法网络通讯设备列表:
(11)通过分析监测到的网络通讯流量,获取网络中参与通讯的网络通讯设备;
(12)判断获取的网络通讯设备是否已存在于网络通讯设备黑名单中,若已存在,则发送告警消息,否则执行步骤(13);
(13)判断获取的网络通讯设备是否已存在于网络通讯设备白名单中,若已存在,则发送通知消息,否则执行步骤(14);
(14)将获取的网络通讯设备判定为合法的网络通讯设备,并添加到合法网络通讯设备列表中,同时发送通知消息。
步骤12,建立合法网络通讯协议列表的:
(21)通过分析监测到的网络通讯流量,获取网络中参与通讯的网络通讯设备的网络通讯协议;
(22)判断获取的网络通讯协议是否已存在于网络通讯协议黑名单中,若已存在,则发送告警消息,否则执行步骤(23);
(23)判断获取的网络通讯协议是否已存在于网络通讯协议白名单中,若已存在,则发送通知消息,否则执行步骤(24);
(24)将获取的网络通讯设备判定为合法的网络通讯协议,并添加到合法网络通讯协议列表中,同时发送通知消息。
步骤13,建立合法网络通讯特征库:
(31)通过分析监测到的网络通讯流量,获取网络中的网络通讯;
(32)对获取的网络通讯进行人工智能分析,得到网络通讯特征;
(33)判断得到的网络通讯特征是否存在于网络通讯特征库中,若已存在,则向管理中心发送通知消息,否则执行(34);
(34)将得到的网络通讯特征添加到合法网络通讯特征库中,并向管理中心发送通知消息。
3.根据权利要求1所述的带自学习的工业控制系统全景感知监测方法,其特征在于,步骤2的工作过程中,确定监测到的新的网络通讯设备、网络通讯协议和网络通讯是否为合法的网络通讯设备、合法的网络通讯协议、合规的网络通讯的方法为:
步骤21,确定监测到的新的网络通讯设备是否为合法的网络通讯设备:
(41)通过分析监测到的网络通讯流量,获取网络中的网络通讯设备;
(42)判断获取的网络通讯设备是否已存在于网络通讯设备黑名单中,若已存在,则向管理中心发送告警消息,否则执行步骤(43);
(43)判断获取的网络通讯设备是否已存在于网络通讯设备白名单中,若已存在,则向管理中心发送通知消息,否则执行步骤(44);
(44)将获取的网络通讯设备判定为可疑的网络通讯设备,并向管理中心发送预警消息。
步骤22,确定监测到的新的网络通讯协议是否为合法的网络通讯协议:
(51)通过分析监测到的网络通讯流量,获取网络中的网络通讯协议;
(52)判断获取的网络通讯协议是否已存在于网络通讯协议黑名单中,若已存在,则向管理中心发送告警消息,否则执行步骤(53);
(53)判断获取的网络通讯协议是否已存在于网络通讯协议白名单中,若已存在,则向管理中心发送通知消息,否则执行步骤(54);
(54)将获取的网络通讯协议判定为可疑的网络通讯协议,并向管理中心发送预警消息。
步骤23,确定监测到的新的网络通讯是否为合法的网络通讯:
(61)通过分析监测到的网络通讯流量,获取网络中的网络通讯;
(62)对获取的网络通讯进行人工智能分析,得到网络通讯特征;
(63)判断得到的网络通讯特征是否存在于网络通讯特征库中,若已存在,则向管理中心发送通知消息,否则执行(34);
(64)将得到的网络通讯特征对应的网络通讯判定为可疑的网络通讯,并向管理中心发送预警消息。
4.根据权利要求1所述的带自学习的工业控制系统全景感知监测方法,其特征在于,步骤2的工作过程中,还包括对历史网络通讯进行监测并判定监测到的历史网络通讯是否为合法的网络通讯的方法,包括:
(71)通过分析监测到的历史网络通讯流量,获取历史网络通讯;
(72)判断获取的历史网络通讯与历史网络通讯特征库中的历史网络通讯特征是否相匹配,若不相匹配,则执行(73);
(73)通过计算该不相匹配的历史网络通讯对应的历史网络通讯流量的加权值减去历史网络通讯特征的差值作为偏离度;
(74)判断计算得到的偏离度是否超过预设阈值,若已超过,则将该历史网络通讯判定为可疑的网络通讯,并向管理中心发送预警消息;
其中,历史网络通讯特征库中的历史网络通讯特征为通过人工分析历史数据得出的特征值并进行预先设置。
5.根据权利要求1所述的带自学习的工业控制系统全景感知监测方法,其特征在于,所述全景感知监测方法还包括:根据自学习过程和工作过程获取的网络通讯设备和网络通讯协议对网络通讯设备黑白名单和网络通讯协议黑白名单进行人工配置;该人工配置方法包括:
(81)调取自学习过程和工作过程获取的网络通讯设备和网络通讯协议;
(82)将网络通讯设备和网络通讯协议添加到对应的网络通讯设备黑名单和网络通讯协议黑名单时,执行(83)~(85);将网络通讯设备和网络通讯协议添加到对应的网络通讯设备白名单和网络通讯协议白名单时,执行(86)~(88);
(83)判断需要添加的网络通讯设备和网络通讯协议是否在对应的网络通讯设备白名单和网络通讯协议白名单中,若是则执行(84),否则执行(85);
(84)从对应的网络通讯设备白名单和网络通讯协议白名单删除该需要添加的网络通讯设备和网络通讯协议后执行(85);
(85)向网络中广播网络通讯设备黑名单和网络通讯协议黑名单;
(86)判...
【专利技术属性】
技术研发人员:吴知,石林,
申请(专利权)人:四川英得赛克科技有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。