一种工控系统的网络审计方法和装置制造方法及图纸

本发明专利技术公开了工控系统的网络审计方法和装置，涉及工业自动化控制技术领域。该方法的一具体实施方式包括：经由工业防火墙设备以及工控监测终端识别告警，并且将识别到的告警放入过滤表，由统一安全管理平台接收所述过滤表中的每一条告警，并且对于所述每一条告警，根据统一安全管理平台中预存的威胁值列表，获取每一条告警的威胁总值；基于所获取的每一条告警的威胁总值的大小来确定每一条告警的威胁等级，并且根据所确定的威胁等级来确定该条告警的显示。该实施方式能够对与违反白名单规则而产生的告警信息进行高危告警识别，避免因白名单学习数据不全导致产生大量高危告警，降低高危告警数量，方便用户优先处理高危告警。

【技术实现步骤摘要】
一种工控系统的网络审计方法和装置
本专利技术涉及一种工控系统的网络审计方法和装置，属于工业自动化控制
，其能够准确且高效地生成和识别高危告警。
技术介绍
目前，各类工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域，用于控制生产设备的运行。一旦工业控制系统信息安全出现漏洞，将对工业生产运行和国家经济安全造成重大隐患。随着计算机和网络技术的发展，特别是信息化与工业化深度融合以及物联网的快速发展，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与互联网等公共网络连接，病毒、木马等威胁正在向工业控制系统扩散，工业控制系统信息安全问题日益突出。在现有技术中，已经提出了一些基于工控系统的安全审计方法。例如，在专利文献1中，讨论了白名单安全策略生成高危告警内容：非机器学习周期内，还原的原始行为中源IP和目的IP进行IP连接白名单安全策略规则检测，对没有命中IP连接白名单安全策略规则的行为生成异常连接的高危告警信息并且记录到关系型数据库。然而，在专利文献1中，存在以下缺点：1)该技术所产生的高危告警，只要是违反白名单规则都会是高危告警，没有考虑到白名单学习数据的不完善性，不是所有违反白名单的告警都是高危告警。2)该技术没有考虑现场资产情况，如果产生告警的设备是内网已知资产，那有可能是白名单学习数据缺失，这种告警也不能算为高危资产。3)该技术没有考虑工业协议不同操作的问题，同样是产生告警，读操作的危险等级要比写操作低。此外，现有技术还存在例如专利文献2，讨论了将审计服务端接入工控控制网络进行学习建模，初次使用时先在正常运行情况下进行学习建模能为后续监控、审计提供依据；审计客户端和审计服务端对工控设备及工控设备控制端进行审计，实时监测工控设备及工控设备控制端有无异常情况，充分保障工控网络的安全；当审计客户端发现异常情况时，将异常情况弹窗告警，并将异常情况信息发送给审计服务端，审计服务端发现异常情况时，将异常情况发送给管理员。然而，专利文献2存在以下的缺点：1)该技术白名单完善过程中没有根据告警的危险等级划分出高危告警，用户可能会面对海量告警无法处理。2)该技术没有对违反白名单的告警进行危险划分，不能有效的处理高危告警。引用文献：专利文献1：CN107612733A专利文献2：CN111159715A
技术实现思路
有鉴于此，为了解决现有技术的工控系统的网络审计中所存在的问题，本专利技术提供一种工控系统的网络审计方法和装置，其能够对与违反白名单规则而产生的告警信息基于威胁等级而进行高危告警识别，避免因白名单学习数据不全导致产生大量高危告警，降低高危告警数量，方便用户优先处理高危告警。为实现上述目的，根据本专利技术的一个方面，提供了一种工控系统的网络审计方法，包括如下步骤：经由工业防火墙设备以及工控监测终端识别告警，并且将识别到的告警放入过滤表；由统一安全管理平台接收所述过滤表中的每一条告警，并且对于所述每一条告警，根据统一安全管理平台中预存的威胁值列表，获取每一条告警的威胁总值；以及基于所获取的每一条告警的威胁总值的大小来确定每一条告警的威胁等级，并且根据所确定的威胁等级来确定该条告警的显示。优选地，在上面的网络审计方法中，基于每一条告警的源IP、目的IP、目的端口、工业协议和工业协议功能码的对应威胁值来获取每一条告警的威胁总值。优选地，在上面的网络审计方法中，根据所确定的威胁等级，将告警存储到与该威胁等级对应的表格中，以进行告警的显示。优选地，在上面的网络审计方法中，所述表格包括过滤告警表和告警表，过滤告警表中存储的告警的威胁等级与告警表中存储的告警的威胁等级不同。优选地，在上面所述的网络审计方法，其中，经由所述工业防火墙设备以及所述工控监测终端识别的所述告警包括白名单告警和访问控制列表告警，其中，将所有经过工业防火墙设备和工控监测终端的流量与由统一安全管理平台下发的白名单规则进行匹配，与所述白名单规则不匹配的流量产生所述白名单告警，并且其中，由统一安全管理平台下发访问控制列表规则到工业防火墙设备，所有违反所述访问控制列表规则的流量产生所述访问控制列表告警。优选地，在上面所述的网络审计方法中，所述威胁值列表中记载如下内容：(1)根据源IP是否为外网IP以及是否为已知资产而定义的源IP威胁值；(2)根据目的IP是否为外网IP以及是否为已知资产而定义的目的IP威胁值；(3)根据目的端口是否为高危端口而定义的目的端口威胁值；(4)根据是否为工业协议而定义的工业协议威胁值；以及(5)根据工业协议功能码为写类操作或读类操作而定义的工业协议功能码威胁值。优选地，在上面所述的网络审计方法中，在获取所述威胁总值时，根据所述统一安全管理平台所预设的工业现场内部资产列表确定告警中的源IP和目的IP是否为已知资产并且根据源IP和目的IP的IP地址确定是否为外网IP，从而参考所述威胁值列表获取对应的源IP威胁值和目的IP威胁值；根据所述统一安全管理平台内置的高危端口列表确定告警的目的端口是否为高危端口，从而参考所述威胁值列表获取对应的目的端口威胁值；基于所述统一安全管理平台内置的工业协议端口列表确定告警是否为工业协议，从而参考所述威胁值列表获取对应的工业协议威胁值；以及基于所述统一安全管理平台内置的工业协议功能码列表确定告警是读类操作或写类操作，从而参考所述威胁值列表确定对应的工业协议功能码威胁值；通过将所确定的相对应的源IP威胁值、目的IP威胁值、目的端口威胁值、工业协议威胁值和工业协议功能码威胁值相加，计算告警的所述威胁总值。优选地，在上面所述的网络审计方法中，在计算出告警的所述威胁总值后，提取出该告警的包括源IP、目的IP、目的端口、工业协议、工业协议功能码以及威胁总值的六元组信息，并且将所述六元组信息存入告警威胁表中；对于由统一安全管理平台所接收到的每一条告警，首先提取告警中的包括源IP、目的IP、目的端口、工业协议、工业协议功能码的五元组信息，并且判断在所述告警威胁表中是否存在与所述五元组信息相同的数据，当判断存在相同的数据时，直接获取所述告警威胁表中的相对应的所述威胁总值；当判断不存在相同的数据时，计算出威胁总值。优选地，在上面所述的网络审计方法中，所述工业现场内部资产列表是由统一安全管理平台通过分析工业防火墙设备与智能监测终端设备的上报数据，进行主动资产扫描以及被动资产发现而获得的。优选地，在上面所述的网络审计方法中，进一步包括如下步骤：判定存入过滤告警表中的各条告警是否准确显示，当判定存在未准确显示的告警时，变更该告警的威胁总值，并且将该告警加入告警表中，以及判定存入告警表中的各条告警是否准确显示，当判定存在未准确显示的告警时，变更该告警的威胁总值，并且将该告警加入过滤告警表中。优选地，在上面所述的网络审计方法中，还可以是进一步包括如下步骤本文档来自技高网...

【技术保护点】
1.一种工控系统的网络审计方法，包括如下步骤：/n经由工业防火墙设备以及工控监测终端识别告警，并且将识别到的告警放入过滤表；/n由统一安全管理平台接收所述过滤表中的每一条告警，并且对于所述每一条告警，根据统一安全管理平台中预存的威胁值列表，获取每一条告警的威胁总值；以及/n基于所获取的每一条告警的威胁总值的大小来确定每一条告警的威胁等级，并且根据所确定的威胁等级来确定该条告警的显示。/n

【技术特征摘要】
1.一种工控系统的网络审计方法，包括如下步骤：
经由工业防火墙设备以及工控监测终端识别告警，并且将识别到的告警放入过滤表；
由统一安全管理平台接收所述过滤表中的每一条告警，并且对于所述每一条告警，根据统一安全管理平台中预存的威胁值列表，获取每一条告警的威胁总值；以及
基于所获取的每一条告警的威胁总值的大小来确定每一条告警的威胁等级，并且根据所确定的威胁等级来确定该条告警的显示。


2.根据权利要求1所述的网络审计方法，其中，基于每一条告警的源IP、目的IP、目的端口、工业协议和工业协议功能码的对应威胁值来获取每一条告警的威胁总值。


3.根据权利要求1所述的网络审计方法，其中，根据所确定的威胁等级将告警存储到与该威胁等级对应的表格中，以在对应的表格中进行告警的显示。


4.根据权利要求3的网络设计方法，其中，所述表格包括过滤告警表和告警表，过滤告警表中存储的告警的威胁等级与告警表中存储的告警的威胁等级不同。


5.根据权利要求1-4的任意一项所述的网络审计方法，
其中，经由所述工业防火墙设备以及所述工控监测终端识别的所述告警包括白名单告警和访问控制列表告警，
其中，将所有经过工业防火墙设备和工控监测终端的流量与由统一安全管理平台下发的白名单规则进行匹配，与所述白名单规则不匹配的流量产生所述白名单告警，并且
其中，由统一安全管理平台下发访问控制列表规则到工业防火墙设备，所有违反所述访问控制列表规则的流量产生所述访问控制列表告警。


6.根据权利要求1-4的任意一项所述的网络审计方法，其中，
所述威胁值列表中记载如下内容：
(1)根据源IP是否为外网IP以及是否为已知资产而定义的源IP威胁值；
(2)根据目的IP是否为外网IP以及是否为已知资产而定义的目的IP威胁值；
(3)根据目的端口是否为高危端口而定义的目的端口威胁值；
(4)根据是否为工业协议而定义的工业协议威胁值；以及
(5)根据工业协议功能码为写类操作或读类操作而定义的工业协议功能码威胁值。


7.根据权利要求6所述的网络审计方法，其中，
在获取所述威胁总值时，根据所述统一安全管理平台所预设的工业现场内部资产列表确定告警中的源IP和目的IP是否为已知资产并且根据源IP和目的IP的IP地址确定是否为外网IP，从而参考所述威胁值列表获取对应的源IP威胁值和目的IP威胁值；根据所述统一安全管理平台内置的高危端口列表确定告警的目的端口是否为高危端口，从而参考所述威胁值列表获取对应的目的端口威胁值；基于所述统一安全管理平台内置的工业协议端口列表确定告警是否为工业协议，从而参考所述威胁值列表获取对应的工业协议威胁值；以及基于所述统一安全管理平台内置的工业协议功能码列表确定告警是读类操作或写类操作，从而参考所述威胁值列表确定对应的工业协议功能码威胁值；并且
通过将所确定的相对应的源IP威胁值、目的IP威胁值、目的端口威胁值、工业协议威胁值和工业协议功能码威胁值相加，计算告警的所述威胁总值。


8.根据权利要求7所述的网络审计方法，其中，
在计算出告警的所述威胁总值后，提取出该告警的包括源IP、目的IP、目的端口、工业协议、工业协议功能码以及威胁总值的六元组信息，并且将所述...

【专利技术属性】
技术研发人员：张显，陈辉，李泽宏，胡毅，饶毅，李炎东，吴永琦，张启阳，张明远，李飞，
申请(专利权)人：贵州黔源电力股份有限公司，北京威努特技术有限公司，
类型：发明
国别省市：贵州;52