一种实时监视工控网络入侵的方法及系统技术方案

本发明专利技术公开了一种实时监视工控网络入侵的方法及系统，该系统包括报文抓取模块、报文处理模块、白名单对比模块、通讯计算模块和图形绘制模块，该方法包括：A：解析工控网络中的底层原始报文；B：根据地址信息判断设备是否为合法设备；C：分别采用图标代表合法设备和非法设备，将代表合法设备的图标和非法设备的图标分别加入到安全区和非安全区；D：根据各设备的广播报文速率设定对应图标的旋转速度，再将发生通讯的设备的图标进行连线，结合图标的旋转速度和连线情况监视工控网络。本发明专利技术可对工控网络中所有设备的正常和异常通讯情况进行监视，并能在病毒或木马发作早期及时发现并直观显示出各设备在工控网络中的通讯和传播情况。显示出各设备在工控网络中的通讯和传播情况。显示出各设备在工控网络中的通讯和传播情况。

A method and system for real-time monitoring industrial control network intrusion

【技术实现步骤摘要】
一种实时监视工控网络入侵的方法及系统


[0001]本专利技术属于工业自动化控制
，具体涉及一种实时监视工控网络入侵的方法及系统。

技术介绍

[0002]网络安全对于国家安全的重要性不言而喻，其中针对工控系统的网络攻击不仅仅以获取经济利益为目的，还呈现出以破坏国家基础设施和能源供给的趋势。通过不断渗透或潜伏到电力、铁路、煤炭、化工、冶金、智能制造等领域的工控系统，展开具有针对性的破坏攻击活动。电力、能源、交通等国家关键基础所依赖的工业控制系统网络系统的安全是国家经济稳定运行的关键，受到攻击的后果极其严重，因此工业控制网络信息安全问题已经到了必须要大力解决的时候。
[0003]目前，现有技术对工控网络各设备间通讯状态的监视是针对固定工控设备进行保护,如公开号为CN106998326A的专利文献所公开的工业控制网络行为的监测技术，其原理是通过在网络中与设备旁路连接，获取该工业控制网络中的网络包，然后对网络包进行工业协议识别以得到其中的工业协议行为数据，再通过与计算的可信范围进行对比，判断工业协议行为数据是否异常，以确定是否发生了攻击。虽本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种实时监视工控网络入侵的方法，其特征在于包括以下步骤：步骤A：获取工控网络中的底层原始报文并解析，得出每一条底层原始报文的地址信息；步骤B：将地址信息与预设的白名单数据库进行对比，判断该地址信息所对应设备为合法设备或非法设备；步骤C：预设包括安全区和非安全区的显示区，再分别采用图标代表合法设备和非法设备，并将代表合法设备的图标加入到安全区，将代表非法设备的图标加入到非安全区；步骤D：计算各设备的广播报文速率，并根据各设备的广播报文速率设定对应图标的旋转速度，再将发生通讯的设备的图标进行连线，然后结合图标的旋转速度和连线情况监视工控网络。2.根据权利要求1所述的一种实时监视工控网络入侵的方法，其特征在于：所述的实时监视工控网络入侵的方法根据数据的更新时间进行监视，待下一次数据开始更新时，先擦除本次监视产生的图标和连线，再重复步骤A、B、C、D进行监视。3.根据权利要求1所述的一种实时监视工控网络入侵的方法，其特征在于：步骤C中分别采用不同的图标代表不同类型的合法设备和不同类型的非法设备，并在图标旁标注对应设备的名称。4.根据权利要求1所述的一种实时监视工控网络入侵的方法，其特征在于：步骤C中安全区和非安全区中的图标均可任意移动。5.根据权利要求1
‑
4中任一项所述的一种实时监视工控网络入侵的方法，其特征在于：步骤D中设备的广播报文速率的计算方法为：先统计广播报文的数量，并计算出该设备10秒内向外发送广播报文的条数，再对条数取每秒的平均值，即得到该设备的广播报文速率。6.根据权利要求1所述的一...

【专利技术属性】
技术研发人员：刘炯，梁海，吕晗殊，谢刚，李斌，
申请(专利权)人：东方电气中能工控网络安全技术成都有限责任公司，
类型：发明
国别省市：