本申请适用于网络安全技术领域,提供了网络安全监控方法及网络安全监控系统,包括:采集每个网络设备产生的网络数据;通过设备异常监控模型对每个网络数据进行监控,并根据监控结果确定每个网络设备中的异常网络设备;获取异常网络设备对应的目标网络数据;通过应用异常监控模型对目标网络数据进行监控,并根据监控结果确定异常网络设备对应的异常应用;根据异常网络设备和异常应用进行网络告警。上述方案中,整个监控流程完整,逐步有序地确定工业控制系统中的异常网络设备和异常应用,提升了监控结果的准确性,可以及时、有效地检测出工业控制系统中的异常,进而有效地防护工业控制系统中的网络安全。系统中的网络安全。系统中的网络安全。
【技术实现步骤摘要】
网络安全监控方法及网络安全监控系统
[0001]本申请属于网络安全
,尤其涉及网络安全监控方法及网络安全监控系统。
技术介绍
[0002]工业控制系统是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成。工业控制系统已经广泛遍布于工业、能源、交通、水利等领域,用于控制生产设备的运行。
[0003]通用的网络技术在工业控制系统中的普遍运用,使得工业控制系统开放程度也随之提升,工业控制系统与公共互联网的联系也愈发密切。
[0004]然而,随着信息化和工业化的融合,工业控制系统的安全问题也变得日益突出。一旦工业控制系统出现安全漏洞,则使得工业控制系统遭受病毒、木马等威胁攻击的可能性增大,进而使得工业控制过程、工业控制系统中的网络设备都面临安全性威胁。因此,对工业控制系统进行网络防护非常有必要。
[0005]现有技术中提供的工业控制系统的网络防护方法,检测过程不完整,不能准确地检测出工业控制系统中的异常,导致不能有效地防护工业控制系统中的网络安全。
技术实现思路
[0006]有鉴于此,本申请实施例提供了网络安全监控方法、网络安全监控系统及存储介质,以解决现有技术中的网络防护方法,检测过程不完整,不能准确地检测出工业控制系统中的异常,导致不能有效地防护工业控制系统中的网络安全的问题。
[0007]本申请实施例的第一方面提供了一种网络安全监控方法,应用于工业控制系统,所述工业控制系统包括多个网络设备,所述网络安全监控方法包括:
[0008]采集每个所述网络设备产生的网络数据;
[0009]通过设备异常监控模型对每个所述网络数据进行监控,并根据监控结果确定每个所述网络设备中的异常网络设备;
[0010]获取所述异常网络设备对应的目标网络数据;
[0011]通过应用异常监控模型对所述目标网络数据进行监控,并根据监控结果确定所述异常网络设备对应的异常应用;
[0012]根据所述异常网络设备和所述异常应用进行网络告警。
[0013]第一方面提供的网络安全监控方法,应用于工业控制系统,该工业控制系统包括多个网络设备,采集每个网络设备产生的网络数据;通过设备异常监控模型对每个网络数据进行监控,并根据监控结果确定每个网络设备中的异常网络设备;获取异常网络设备对应的目标网络数据;通过应用异常监控模型对目标网络数据进行监控,并根据监控结果确定异常网络设备对应的异常应用;根据异常网络设备和异常应用进行网络告警。这种实现方式中,先通过设备异常监控模型对每个网络数据进行监控,确定出多个网络设备中的异
常网络设备;再通过应用异常监控模型对异常网络设备对应的目标网络数据进行监控,确定出异常网络设备中的异常应用;从而根据异常网络设备和异常应用进行精准告警。整个监控流程完整,逐步有序地确定工业控制系统中的异常网络设备和异常应用,提升了监控结果的准确性。且通过设备异常监控模型、应用异常监控模型进行监控,进一步提升了监控的速度和准确性,可以及时、有效地检测出工业控制系统中的异常,进而有效地防护工业控制系统中的网络安全。
[0014]可选地,在一种可能的实现方式中,所述网络数据包括数据包信息和网络流量信息,所述采集每个所述网络设备产生的网络数据,包括:
[0015]利用SNMP协议采集每个所述网络设备产生的所述数据包信息,所述数据包信息包括每个所述网络设备产生的数据包和每个所述数据包的数据量;
[0016]利用sFlow技术采集每个所述网络设备产生的所述网络流量信息,所述网络流量信息包括IP地址、MAC地址、每个所述网络设备对应的应用所产生的目标数据包以及每个所述目标数据包的目标数据量。
[0017]在该实现方式中,利用SNMP协议采集每个网络设备产生的数据包信息,利用sFlow技术采集每个网络设备产生的网络流量信息,通过多种方式采集每个网络设备的信息,使采集的信息更丰富、全面,进而在后续监控过程中,有利于设备异常监控模型、应用异常监控模型对采集到的信息进行全面分析,从而使得监控结果更准确,可以及时、有效地检测出工业控制系统中的异常,进而有效地防护工业控制系统中的网络安全。
[0018]可选地,在一种可能的实现方式中,所述设备异常监控模型包括多个设备流量簇,所述通过设备异常监控模型对每个所述网络数据进行监控,并根据监控结果确定每个所述网络设备中的异常网络设备,包括:
[0019]获取每个所述网络设备产生的数据包的数据量;
[0020]针对每个数据量,当监测到所述数据量与每个所述设备流量簇均不匹配时,将所述数据量对应的网络设备确定为所述异常网络设备。
[0021]在该实现方式中,通过设备异常监控模型中的多个设备流量簇,对每个网络设备产生的数据包的数据量进行监控,可以及时、准确地监测出异常的数据量,进而根据异常的数据量确定出异常网络设备,进而有利于维护人员针对该异常网络设备进行有效地防护,从而保障工业控制系统中的网络安全。
[0022]可选地,在一种可能的实现方式中,所述应用异常监控模型包括多个应用流量簇,所述通过应用异常监控模型对所述目标网络数据进行监控,并根据监控结果确定所述异常网络设备对应的异常应用,包括:
[0023]在所述目标网络数据中,获取所述异常网络设备对应的每个应用所产生的目标数据包的目标数据量;
[0024]针对每个目标数据量,当监测到所述目标数据量与每个所述应用流量簇均不匹配时,将所述目标数据量对应的应用确定为所述异常应用。
[0025]在该实现方式中,通过应用异常监控模型中的多个应用流量簇,对异常网络设备的应用产生的目标数据包的目标数据量进行监控,可以及时、准确地监测出异常的目标数据量,进而根据异常的目标数据量确定出异常应用,进而有利于维护人员针对该异常应用进行有效地防护,从而保障工业控制系统中的网络安全。
[0026]可选地,在一种可能的实现方式中,所述采集每个所述网络设备产生的网络数据之前,所述网络安全监控方法还包括:
[0027]采集每个所述网络设备在正常时产生的样本网络数据,所述样本网络数据包括样本数据包信息和样本网络流量信息;
[0028]通过聚类算法对所述样本数据包信息进行聚类处理,得到所述设备异常监控模型;
[0029]通过所述聚类算法对所述样本网络流量信息进行聚类处理,得到所述应用异常监控模型。
[0030]在该实现方式中,采集每个网络设备在正常时产生的样本网络数据,然后通过聚类算法对样本网络数据进行处理,能够构建出准确的设备异常监控模型和应用异常监控模型,便于后续根据设备异常监控模型和应用异常监控模型对网络数据进行监控,进而提升了监控的速度和准确性,可以及时、有效地检测出工业控制系统中的异常,有效地防护工业控制系统中的网络安全。
[0031]可选地,在一种可能的实现方式中,所述根据所述异常网络设备和所述异常应用进行网络告警,包括:
[0032]根据所述异常网络设备和所述异常应用确定告警级别;<本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络安全监控方法,其特征在于,应用于工业控制系统,所述工业控制系统包括多个网络设备,所述网络安全监控方法包括:采集每个所述网络设备产生的网络数据;通过设备异常监控模型对每个所述网络数据进行监控,并根据监控结果确定每个所述网络设备中的异常网络设备;获取所述异常网络设备对应的目标网络数据;通过应用异常监控模型对所述目标网络数据进行监控,并根据监控结果确定所述异常网络设备对应的异常应用;根据所述异常网络设备和所述异常应用进行网络告警。2.如权利要求1所述的网络安全监控方法,其特征在于,所述网络数据包括数据包信息和网络流量信息,所述采集每个所述网络设备产生的网络数据,包括:利用SNMP协议采集每个所述网络设备产生的所述数据包信息,所述数据包信息包括每个所述网络设备产生的数据包和每个所述数据包的数据量;利用sFlow技术采集每个所述网络设备产生的所述网络流量信息,所述网络流量信息包括IP地址、MAC地址、每个所述网络设备对应的应用所产生的目标数据包以及每个所述目标数据包的目标数据量。3.如权利要求2所述的网络安全监控方法,其特征在于,所述设备异常监控模型包括多个设备流量簇,所述通过设备异常监控模型对每个所述网络数据进行监控,并根据监控结果确定每个所述网络设备中的异常网络设备,包括:获取每个所述网络设备产生的数据包的数据量;针对每个数据量,当监测到所述数据量与每个所述设备流量簇均不匹配时,将所述数据量对应的网络设备确定为所述异常网络设备。4.如权利要求2所述的网络安全监控方法,其特征在于,所述应用异常监控模型包括多个应用流量簇,所述通过应用异常监控模型对所述目标网络数据进行监控,并根据监控结果确定所述异常网络设备对应的异常应用,包括:在所述目标网络数据中,获取所述异常网络设备对应的每个应用所产生的目标数据包的目标数据量;针对每个目标数据量,当监测到所述目标数据量与每个所述应用流量...
【专利技术属性】
技术研发人员:徐畅,佟刚,龚亮华,
申请(专利权)人:烽台科技北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。