【技术实现步骤摘要】
基于设备行为分析的工控系统态势感知方法及其系统
[0001]本专利技术涉及工控网络安全
,具体地涉及一种设备行为分析的工控系统态势感知方法及其系统。
技术介绍
[0002]随着全球数字经济的蓬勃发展,网络安全与物联网、工业互联网、云计算、5G等多种场景和技术进行融合,全面、深刻地改变了传统物理安全、生物安全、公共安全、国家安全等多层次的安全体系面貌。近年来,随着工业网络安全事件不断涌现,国家陆续出台各种法规标准加大对关键信息基础设施信息安全监管力度。
[0003]过去,工业系统中物理隔离的方式足以提供良好的防护,如今,这种情况将不复存在,据SANS研究所发现,35%的工业网络故障事件由网络攻击引起,工业安全影响远超过商业和名誉保护。因此,工业系统等关键基础设施的关键节点和网络保护需要足够高的防护等级才能对抗日益增长的网络安全威胁,工业信息安全防护工作面临前所未有的困难和挑战。
[0004]相关技术中,工控安全设备一般通过“黑名单”“漏洞库”来进行态势感知,都是针对已知的安全漏洞,在工业自动化领域无法有效...
【技术保护点】
【技术特征摘要】
1.一种基于设备行为分析的工控系统态势感知方法,其特征在于,包括以下步骤:通过在数据采集层部署的探针设备采集工控系统数据,所述工控系统数据包括工控网络流量数据、设备运行日志数据、设备性能状态数据;根据工业协议深度解析还原能力,对工控系统数据进行深度解析,解析内容包括源IP、目的IP、源端口、目的端口、源MAC、目的MAC,协议类型、协议内容、发生时间、操作指令,并将解析结果分布式存储;根据建立的设备行为分析模型,分析实时采集到的经深度解析后的工控系统数据,确定异常行为。2.根据权利要求1所述的基于设备行为分析的工控系统态势感知方法,其特征在于,所述设备行为分析模型包括设备非法操作指令分析模型、设备非法互联分析模型、设备流量异常分析模型、设备发包行为分析模型、设备性能行为分析模型,所述设备行为分析模型的建立包括以下步骤:以设备IP为中心,建立时间窗口,根据在正常生产环境中采集到的经深度解析后的工控系统数据还原时间窗口内全部交互关系、操作指令、工控网络流量数据、设备运行日志和设备性能状态;确定可信的操作指令集合以及各个操作指令的先后出现顺序和周期性关系,建立所述设备非法操作指令分析模型;确定可信资产与用户清单以及可信的设备和人员访问关系,建立所述设备非法互联分析模型;对正常生产环境中的上行流量和下行流量进行建模聚类分析,设置上行流量和下行流量的基线范围,建立所述设备流量异常分析模型;对正常生产环境中的发包数据进行建模聚类分析,设置发包数量和发包频率的基线范围,建立所述设备发包行为分析模型;对CPU和内存进行监控和量化,建立在一定时间范围内的CPU和内存阈值基准,建立所述设备性能行为分析模型。3.根据权利要求2所述的基于设备行为分析的工控系统态势感知方法,其特征在于,根据建立的设备行为分析模型,分析实时采集到的经深度解析后的工控系统数据,确定异常行为,具体包括以下步骤:分析比对实时采集到的经深度解析后的操作指令与设备非法操作指令分析模型,根据相应的行为特征识别出异常工控网络协议和数据报文,确定工控网络流量数据中的非法操作指令行为。4.根据权利要求2所述的基于设备行为分析的工控系统态势感知方法,其特征在于,根据建立的设备行为分析模型,分析实时采集到的经深度解析后的工控系统数据,确定异常行为,具体包括以下步骤:分析比对实时采集到的经深度解析后的流量信息与所述设备非法互联分析模型,根据相应的行为特征识别出异常工控网络协议和数据报文,确定设备与非必要生产关系的资产通讯记录。5.根据权利要求2所述的基于设备行为分析的工控系统态势感知方法,其特征在于,根据建立的设备行为分析模型,分析实时采集到的经深度解析后的工控系统数据,确定异常
行为,具体包括以下步骤:将实时采集到的经深度解析后的上行流量以及下行流量与所述设备流量异常分析模型进行聚类比对...
【专利技术属性】
技术研发人员:王得奕,章渠丰,马远洋,文昱博,贺伟东,张若琦,雷东琦,叶佩炜,
申请(专利权)人:浙江木链物联网科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。