本发明专利技术公开了一种可实时拦截及报警的工业控制系统入侵检测系统,属于工业控制系统信息安全技术领域,目的在于实现实时监控工业系统的控制网络,对可疑行为发出警报、阻断和记录,包括控制中心,其所述控制中心内包括网络预警模块、处理模块、储存模块、管理员模块和网络保障模块,所述网络预警模块内包括数据采集模块、显示模块、分析模块和报警模块,所述采集模块用于采集系统运行前的工业主机中的软件和系统运行后的工业主机中请求运行的软件,并将系统运行前的工业主机中的软件和系统运行后的工业主机中请求运行的软件发送至处理模块,所述处理模块接收采集模块传输的系统运行前的工业主机中的软件和系统运行后的工业主机中请求运行的软件。机中请求运行的软件。机中请求运行的软件。
【技术实现步骤摘要】
一种可实时拦截及报警的工业控制系统入侵检测系统
[0001]本专利技术属于工业控制系统信息安全
;具体是一种可实时拦截及报警的工业控制系统入侵检测系统。
技术介绍
[0002]目前,一些重要基础设施和企业如电力、石化、城市供水、烟草以及市政等行业已经在其生产和控制网络采取部分安全措施。例如,在生产大区和办公网络区之间布置硬件隔离装置,阻断不同分区之间网络流量的传输。但是这种方式一方面不能阻断摆渡攻击以及PLC蠕虫等攻击方式,另一方面,过于封闭的控制网络给日常生产和智能制造的发展也带来了一定的阻碍。再如,在控制网络的关键节点上部署工业防火墙或者在工控主机上安装病毒查杀软件,这也在一定程度对工业控制网络进行了防护,但是防护效果也及其有限。首先,多数工业防火墙和病毒查杀软件都是由应用在传统IT网络的产品发展而来,虽然它们对主流工业协议进行了兼容性的升级,但是,不一定能兼容某些私有协议。而且,不同领域工业系统的网络拓扑结构和现场设备都不同,限制了这些产品的使用效果。其次,由于攻击手段的千变万化以及产品自身的更新换代,需要对安全产品进行频繁升级和更新。但是,更新过程中带来的短暂停产以及严格的管理制度都会使得安全产品在事实上处于长期未更新状态,达不到应有的防护效果。综上,工业控制系统需要一款既能达到良好防护水平,又在运行维护需求方面不大的安全产品,业入侵检测系统可以实时监控工业系统的控制网络,对可疑行为发出警报、阻断和记录等。
[0003]公开号为CN101789885A的专利公开了一种网络入侵检测系统,网络入侵检测系统用以进行网络封包的检测与监控,网络入侵检测系统是根据当前的负载量决定检测规则的加载与运行,其包括:网络连接单元、储存单元与处理单元。处理单元根据所接收的网络封包用以运行警报分析程序、多笔检测规则与多笔运行策略;警报分析程序用以检测网络封包的内容是否符合检测规则,对检测规则指派资源消耗级别,根据资源消耗级别将检测规则归类至相应的运行策略中;根据设备负载量与存取负载量,决定处理单元的负载级别;根据负载级别,决定处理单元所运行的运行策略与警报分析程序。
[0004]但是,该专利结构复杂,使用不够方便;为解决这一问题,现提供一种解决方案。
技术实现思路
[0005]本专利技术的目的在于提供一种可实时拦截及报警的工业控制系统入侵检测系统,实现实时监控工业系统的控制网络,对可疑行为发出警报、阻断和记录。
[0006]本专利技术的目的可以通过以下技术方案实现:
[0007]一种可实时拦截及报警的工业控制系统入侵检测系统,包括控制中心,所述控制中心包括网络预警模块、处理模块、储存模块、管理员模块和网络保障模块;
[0008]所述网络预警模块内包括数据采集模块、显示模块、分析模块和报警模块,所述采集模块用于采集系统运行前的工业主机中的软件和系统运行后的工业主机中请求运行的
软件,并将系统运行前的工业主机中的软件和系统运行后的工业主机中请求运行的软件发送至处理模块,所述处理模块接收采集模块传输的系统运行前的工业主机中的软件和系统运行后的工业主机中请求运行的软件,所述处理模块将系统运行前的工业主机中的软件传输到管理员模块,所述处理模块将系统运行后的工业主机中请求运行的软件传输到分析模块;
[0009]所述管理员模块接收处理模块传输的系统运行前的工业主机中的软件,所述管理员模块对系统运行前的工业主机中的软件进行管理,具体管理过程包括以下步骤:
[0010]步骤一:将工业主机中的每一个软件都生成一个请求信号,所述请求信号包含禁止信号和允许信号;
[0011]步骤二:当管理员选择允许信号时,管理员模块将对管理员允许的软件进行标记,管理员模块将标记的软件发送至处理模块,当管理员选择禁止信号时,管理员模块不进行操作;
[0012]所述处理模块接收管理员模块发送的标记软件,所述处理模块将接收的标记的软件汇合成白名单,所述处理模块将白名单传输到分析模块;
[0013]所述分析模块接收处理模块传输的白名单和系统运行后的工业主机中请求运行的软件,所述分析模块对白名单和系统运行后的工业主机中请求运行的软件进行分析,具体分析步骤如下:
[0014]步骤一:将系统运行后的工业主机中请求运行的软件与白名单中的软件进行对比;
[0015]步骤二:当白名单中没有工业主机中正在请求运行的软件时,分析模块生成拒绝信号,并将拒绝信号传输给处理模块,当白名单中有工业主机中正在请求运行的软件时,分析模块生成通过信号,并将通过信号传输给处理模块;
[0016]所述处理模块接收分析模块传输的拒绝信号和通过信号,当处理模块接收到拒绝信号时,处理模块将禁止软件运行,并生成报警信号,处理模块将报警信号传输给报警模块,当处理模块接收到通过信号时,处理模块将允许软件运行;
[0017]所述报警模块接收处理模块发送的报警信号并控制工业主机发出警报声。
[0018]进一步地,所述显示模块包括信息系统预警单元和网站预警单元。
[0019]进一步地,所述网络保障模块包括网络基础设施和数据防护单元,所述网络基础设施包括安全接入网关和入侵防护系统,所述数据防护单元包括防火墙、网络密码机、防病毒网关和入侵检测系统,所述入侵检测系统和入侵防护系统之间通讯连接,所述安全接入网关与防病毒网关之间通讯连接。
[0020]进一步地,所述网络预警模块用于发现预警网络入侵的发生,所述网络保障模块用于网络安全的防护,所述处理模块用于处理各个模块传输的信息,所述储存模块用于储存各种信息和供采集模块、处理模块、管理员模块和分析模块提取信息。
[0021]本专利技术的有益效果:通过显示模块内的信息系统预警单元和网站预警单元的设置,可以实时监测系统安全,通过将数据防护单元中的防火墙设置成强五防火墙、超五防护墙或精五防火墙中的一种,增加了防火墙的数据的防护能力,同时采用防病毒网关和安全接入网关,增加了网关的安全性,通过采集模块的设置,可以采集系统运行前的工业主机中的软件和系统运行后的工业主机中请求运行的软件,并将系统运行前的工业主机中的软件
和系统运行后的工业主机中请求运行的软件发送至处理模块,通过储存模块的设置,可以储存各种信息和供采集模块、处理模块、管理员模块和分析模块提取信息,通过管理员模块的设置,使得管理员可以对系统进行管理,并确定可以运行的软件,通过处理模块的设置,使得处理模块可以接收采集模块、分析模块和管理员模块发送的信息,并处理采集模块、分析模块和管理员模发送的信息,处理模块将接收的标记的软件汇合成白名单,处理模块将白名单传输到分析模块,通过白名单的设置,可以简单方便的确定可以运行的软件,杜绝其他未经允许的软件运行,保障了工业控制系统的正常运行,避免了工业控制系统被入侵造成的重大经济损失。
附图说明
[0022]为了便于本领域技术人员理解,下面结合附图对本专利技术作进一步的说明。
[0023]图1为本专利技术控制中心原理框图;
[0024]图2为本专利技术网络预本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种可实时拦截及报警的工业控制系统入侵检测系统,包括控制中心,其特征在于,所述控制中心内包括网络预警模块、处理模块、储存模块、管理员模块和网络保障模块;所述网络预警模块包括数据采集模块、显示模块、分析模块和报警模块,所述采集模块用于采集系统运行前的工业主机中的软件和系统运行后的工业主机中请求运行的软件,并将系统运行前的工业主机中的软件和系统运行后的工业主机中请求运行的软件发送至处理模块,所述处理模块接收采集模块传输的系统运行前的工业主机中的软件和系统运行后的工业主机中请求运行的软件,所述处理模块将系统运行前的工业主机中的软件传输到管理员模块,所述处理模块将系统运行后的工业主机中请求运行的软件传输到分析模块;所述管理员模块接收处理模块传输的系统运行前的工业主机中的软件,所述管理员模块对系统运行前的工业主机中的软件进行管理,具体管理过程包括以下步骤:步骤一:将工业主机中的每一个软件都生成一个请求信号,所述请求信号包含禁止信号和允许信号;步骤二:当管理员选择允许信号时,管理员模块将对管理员允许的软件进行标记,管理员模块将标记的软件发送至处理模块,当管理员选择禁止信号时,管理员模块不进行操作;所述处理模块接收管理员模块发送的标记软件,所述处理模块将接收的标记的软件汇合成白名单,所述处理模块将白名单传输到分析模块;所述分析模块接收处理模块传输的白名单和系统运行后的工业主机中请求运行的软件,所述分析模块对白名单和系统运行后的工业主机中请求运行的软件进行分析,具体分析步骤如下:步骤一...
【专利技术属性】
技术研发人员:黄琴,
申请(专利权)人:星极实业深圳有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。