一种复杂工控中各工控运行设备中数据的监测方法及系统技术方案

本发明专利技术涉及一种复杂工控中各工控运行设备中数据的监测方法及系统，该方法包括：获取工控运行设备在运行过程中待处理数据的类型；确定待处理数据的类型为非安全性数据类型时，基于网络端口防护策略对待处理数据进行防护式处理；将防护式处理的信息记录在风险行为操作表中，并周期性将风险行为操作表上传至工业控制主机，以使工业控制主机基于多个工控运行设备的风险行为操作表确定待处理数据是否添加到安全性数据类型中。上述方法能够对当前高度固化的现场，操作站进行全方位的监控，实现复杂工控中安全防护的全方位监控。复杂工控中安全防护的全方位监控。复杂工控中安全防护的全方位监控。

【技术实现步骤摘要】
一种复杂工控中各工控运行设备中数据的监测方法及系统


[0001]本专利技术涉及计算机
，尤其涉及一种复杂工控中各工控运行设备中数据的监测方法及系统。

技术介绍

[0002]在工控安全领域，许多的工业现场从设备到操作系统版本都处于比较落后的状态，行业的特性使得工业现场完全处于内部局域网状态，高度固化的现场导致病毒入侵与感染的风险随着时间的拉长、病毒入侵方式的日渐多样化而越来越严重。因此，准确识别工控行业现场程序、文件的被入侵感染风险显得尤为重要。
[0003]目前工控安全防护领域，通过白名单技术生成对应的可信任的白名单文件，以便对操作站或服务器等实现安全守护是比较常规的方式，不在白名单文件内的文件无法运行或调用，以此实现安全守护。但是单一的白名单防护无法确保白名单文件的可信，仍然具有扫描白名单时主机已经中毒而把病毒加入白名单的风险。
[0004]上述缺陷是本领域技术人员期望克服的。

技术实现思路

[0005]（一）要解决的技术问题为了解决现有技术的上述问题，本专利技术提供了一种复杂工控中各工控运行设备中数据的监测方法及系统，旨在解决现有技术中单纯使用白名单仍有使工业主机感染病毒风险的问题。
[0006]（二）技术方案为了解决上述问题，第一方面，本专利技术提供了一种复杂工控中各工控运行设备中数据的监测方法，其包括：获取工控运行设备在运行过程中待处理数据的类型；确定待处理数据的类型为非安全性数据类型时，基于预先定义的网络端口防护策略对待处理数据进行防护式处理；所述网络端口防护策略包括：阻止发送广播包行为、延迟发送点对点数据行为，和/或，阻止访问工控运行设备内部的系统文件的行为，允许读工控运行设备内部的系统文件的行为；将防护式处理的信息记录在风险行为操作表中，并周期性将风险行为操作表上传至工业控制主机，以使工业控制主机基于多个工控运行设备的风险行为操作表确定待处理数据是否添加到安全性数据类型中。
[0007]可选地，获取工控运行设备在运行过程中待处理数据的类型，包括：将待处理数据的标识与安全性数据类型中数据标识进行比较，若属于，则待处理数据的类型为安全性数据类型；否则为非安全性数据类型；
所述安全性数据类型中的各数据标识包括：所述工业控制主机预先识别的数据标识，人工设置的安全性的数据标识，以及所述工业控制主机基于多个工控运行设备的风险行为操作表确定的安全性的数据标识。
[0008]可选地，确定待处理数据的类型为非安全性数据类型时，基于预先定义的网络端口防护策略对待处理数据进行防护式处理，包括：当检测到待处理数据所属行为向外发送广播包时，阻止广播包的发送行为，并将待处理数据的标识及行为记录在风险行为操作表中；当检测到待处理数据的所属行为为点对点数据通信时，对发送行为进行延迟操作，若在延迟时间T内，检测到该行为以高频率项同一对象发送数据，则定义为网络风暴风险行为，阻止发送操作，并将待处理数据的标识及行为记录在风险行为操作表中；当待处理数据的所属行为为访问系统文件或者系统路径行为时，延迟访问行为的执行，检测该访问行为是否涉及对系统文件的写入，若是，阻止该访问行为，并将待处理数据的标识及行为记录在风险行为操作表中，若检测该访问行为仅为读操作，则允许访问行为的执行；当检测到待处理数据的所属行为操作为创建文件的行为，或者存在修改文件的行为时，则阻止发出的操作请求，并将待处理数据的标识及行为记录在风险行为操作表中；当检测到待处理数据的所属行为操作为对系统安全设置和规则的增删改行为时，阻止该行为操作的执行；当检测到待处理数据的所属行为操作为修改或者新增注册表项，且操作的注册表项涉及系统和指定软件，则阻止该行为操作的执行，当检测到该行为操作是针对驱动和硬件设备、外接设备的行为操作时，阻止该行为操作的执行并将待处理数据的标识及行为记录在风险行为操作表中；当检测到待处理数据的所属行为操作为发出的交互请求，且该交互请求是针对驱动和硬件设备、外接设备的请求，则阻止交互请求的发送；并将待处理数据的标识及行为记录在风险行为操作表中。
[0009]可选地，所述方法还包括：工控运行设备接收工业控制主机发送的安全性数据类型；其中，工业控制主机通过扫描技术对工业控制主机和工控运行设备的所有文件和行为进行安全性处理，得到安全性数据类型。
[0010]可选地，工业控制主机借助于特征扫描、静态扫描、动态启发式扫描中至少一种扫描技术，基于虚拟沙盘的动态行为分析，对工业控制主机和工控运行设备的所有文件和行为进行安全性处理；所述安全性处理包括：机器学习方式对工控的各行为进行跟踪学习，生成安全规则库，对安全规则库辅助复杂工控的安全防护。
[0011]可选地，任一工业控制主机远程连接安管平台；所述安管平台远程对工业控制主机及工控运行设备进行扫描时采用全盘扫描、自定义扫描、右键菜单扫描中至少一种扫描方式触发扫描动作的开启；在安全性处理中获取病毒信息，并确定病毒信息的处理方式，借助于处理方式对工业控制主机及工控运行设备进行安全防护。
[0012]第二方面，本专利技术实施例提供一种复杂工控中各工控运行设备中数据的监测系
统，其包括：一台安管平台、多台工业控制主机和多台工控运行设备；一台安管平台与每一台工业控制主机交互，每一台工业控制主机和多台工控运行设备交互，在交互中执行上述第一方面任一所述的复杂工控中各工控运行设备中数据的监测方法。
[0013]可选地，所述监测系统用于所述工控运行设备在与工业控制主机断开的场景。
[0014]（三）有益效果本专利技术的有益效果是：本专利技术实施例提供的复杂工控中各工控运行设备中数据的监测方法，能够对当前高度固化的现场，操作站进行全方位的监控，实现复杂工控中安全防护的全方位监控。特别地，监测方法适用于无法升级为自动化的工控运行设备，同时，适合不同运营阶段的工控运行设备，在网络断开情况下还可以持续监测，保证整个监测系统的正常运行，提高工控运行设备在与工业控制主机的安全性。
[0015]此外，在安管平台中采用反病毒技术与安全文件技术相结合的方式，利用反病毒技术进一步确保安全文件的可靠性，解决现有技术中单纯依赖白名单存在的安全漏洞问题。另外，工业主机通过支持安管平台远程管理，能够实现远程扫描病毒、收集查杀日志和自动更新病毒库等功能，达到全方位、多层次防护的效果，在简化操作复杂度的同时提升安全等级。
附图说明
[0016]图1为本专利技术一实施例提供的一种复杂工控中各工控运行设备中数据的监测方法的流程图；图2为本专利技术实施例中通过安管平台基于远程方式对工业控制主机、工控运行设备进行防护的流程图。
具体实施方式
[0017]为了更好的解释本专利技术，以便于理解，下面结合附图，通过具体实施方式，对本专利技术作详细描述。
[0018]需要说明，本专利技术实施例中所有方向性指示（诸如上、下、左、右、前、后
……
）仅用于解释在某一特定姿态（如附图所示）下各部件之间的相对位置关系、运动情况等，如果该特定姿态发生改变时，则该方向性指示也相应地随之改变。...

【技术保护点】

【技术特征摘要】
1.一种复杂工控中各工控运行设备中数据的监测方法，其特征在于，包括：获取工控运行设备在运行过程中待处理数据的类型；确定待处理数据的类型为非安全性数据类型时，基于预先定义的网络端口防护策略对待处理数据进行防护式处理；所述网络端口防护策略包括：阻止发送广播包行为、延迟发送点对点数据行为，和/或，阻止访问工控运行设备内部的系统文件的行为，允许读工控运行设备内部的系统文件的行为；将防护式处理的信息记录在风险行为操作表中，并周期性将风险行为操作表上传至工业控制主机，以使工业控制主机基于多个工控运行设备的风险行为操作表确定待处理数据是否添加到安全性数据类型中。2.根据权利要求1所述的监测方法，其特征在于，获取工控运行设备在运行过程中待处理数据的类型，包括：将待处理数据的标识与安全性数据类型中数据标识进行比较，若属于，则待处理数据的类型为安全性数据类型；否则为非安全性数据类型；所述安全性数据类型中的各数据标识包括：所述工业控制主机预先识别的数据标识，人工设置的安全性的数据标识，以及所述工业控制主机基于多个工控运行设备的风险行为操作表确定的安全性的数据标识。3.根据权利要求1所述的监测方法，其特征在于，确定待处理数据的类型为非安全性数据类型时，基于预先定义的网络端口防护策略对待处理数据进行防护式处理，包括：当检测到待处理数据所属行为向外发送广播包时，阻止广播包的发送行为，并将待处理数据的标识及行为记录在风险行为操作表中；当检测到待处理数据的所属行为为点对点数据通信时，对发送行为进行延迟操作，若在延迟时间T内，检测到该行为以高频率项同一对象发送数据，则定义为网络风暴风险行为，阻止发送操作，并将待处理数据的标识及行为记录在风险行为操作表中；当待处理数据的所属行为为访问系统文件或者系统路径行为时，延迟访问行为的执行，检测该访问行为是否涉及对系统文件的写入，若是，阻止该访问行为，并将待处理数据的标识及行为记录在风险行为操作表中，若检测该访问行为仅为读操作，则允许访问行为的执行；当检测到待处理数据的所属行为操作为创建文件的行为，或者存在修改文件的行为时，则阻止发出的操作请求，并将待处理数据的标识及行为记...

【专利技术属性】
技术研发人员：褚健，章维，郭正飞，朱希成，胡宇轩，
申请(专利权)人：浙江中控技术股份有限公司，
类型：发明
国别省市：