一种DCS网络安全监控系统技术方案

本发明专利技术提供了一种DCS网络安全监控系统，属于网络安全监控领域，包括：登录模块基于控制终端及内部登录账号赋予管理权限并构建内部设备树；异常识别模块对DCS网络内部第一异常行为进行识别，基于内部设备与外部设备交互数据，识别存在第二异常行为的内部设备，确认DCS内部异常设备即对应异常类型；安全防护模块基于异常识别模块识别结果对异常控制终端进行安全防护；从两方面来确定内部设备的异常行为，并基于合适的防护方式实现对相应内部设备的安全防护，避免安全隐患的存在，进而来及时有效的保证DCS系统的稳定运行。时有效的保证DCS系统的稳定运行。时有效的保证DCS系统的稳定运行。

【技术实现步骤摘要】
一种DCS网络安全监控系统


[0001]本专利技术涉及网络安全监控领域，特别涉及一种DCS网络安全监控系统。

技术介绍

[0002]分散控制系统(DCS)在各行各业生产过程控制中占据了重要的地位，因为其主辅系统统一，控制系统单一，备品备件通用性强、管理方便，维护检修人员的培训相对较集中，在很大程度上降低了企业的运营成本，因此DCS应用范围变广，其在功能方面也逐步强大。
[0003]分散控制系统DCS的稳定运行代表生产工作的稳定运行，但随着计算机技术的飞速发展，分散控制系统(DCS)在网络安全防护方面出现了诸多问题，造成了一定的安全隐患，一定程度上导致了稳定运行性能的降低。
[0004]因此，本专利技术提供了一种DCS网络安全监控系统。

技术实现思路

[0005]为了解决现有技术的不足，本专利技术提供了一种DCS网络安全监控系统，通过对DCS系统进行内部设备之间的交互监控以及对DSC系统进行内部设备与外部设备之间的交互监控，从两方面来确定内部设备的异常行为，并基于合适的防护方式实现对相应内部设备的安全防护，避免安全本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种DCS网络安全监控系统，其特征在于，包括：登录模块：获取DCS系统中每个内部设备的设备属性信息，确定内部网络对相应内部设备的第一管理权限，并根据所述第一管理权限，构建得到内部设备树；异常识别模块：在所述内部设备树中的控制终端与被控制终端之间设置事件捕捉工具；基于所述事件捕捉工具对控制终端与被控制终端之间的交互行为进行捕捉，并锁定存在第一异常行为的内部设备；获取所述内部设备树中的每个内部设备与外部设备之间的交互数据；解析所述交互数据，确定存在第二异常行为的内部设备；安全防护模块：当同个内部设备只存在第一异常行为时，锁定所述内部设备树中与所述第一异常行为的行为类型所匹配的分析端，并对所述第一异常行为进行分析，来对所述同个内部设备进行第一安全防护；当同个内部设备只存在第二异常行为时，切断所述同个内部设备与外部设备之间的通信连接；当同个内部设备既存在第一异常行为又存在第二异常行为时，根据第一异常类型以及第二异常类型，从类型－组合映射表中获取得到组合防护方式，对所述同个内部设备进行第二安全防护。2.根据权利要求1所述的系统，其特征在于，登录模块，包括：权限赋予单元：对DSC系统中每个内部设备上的登录账号信息进行识别，当识别到对应登录账号为所述内部设备所对应专属账号时，基于内部网络向指定控制终端发送第一信号，所述指定终端基于权限数据库获取与所述第一信号匹配的专属账号的预先设定权限等级，并向所述内部设备赋予第一管理权限；显示单元：基于每个内部设备的第一管理权限，构建得到DSC系统的内部设备树。3.根据权利要求1所述的系统，其特征在于，异常识别模块，包括：异常捕捉单元：基于事件捕捉工具对控制终端与被控制终端之间的指令控制过程以及根据指令对被控制终端控制后的数据交互过程进行过程监控以及网络监控，确定控制终端与被控制终端之间的异常过程行为以及异常网络行为；异常确定单元：对所述异常网络行为进行分析，确定第一异常类型及第一异常端，同时，对所述异常过程行为进行分析，确定第二异常类型及第二异常端；异常分析单元：若所述第一异常类型与第二异常类型指向同个异常，且第一异常端与第二异常端为同个端，则判定所述同个端存在自身异常或者存在网络异常；若所述第一异常类型与第二异常类型不指向同个异常，且第一异常端与第二异常端为同个端，则判定所述同个端既存在自身异常又存在网络异常；将存在异常行为的端视为存在第一异常行为的内部设备。4.根据权利要求1所述的系统，其特征在于，异常识别模块，还包括：解析单元：解析所述交互数据，确定所述外部设备对所述内部设备的访问行为与业务行为、以及所述外部设备对所述内部设备进行访问过程中的防火墙的阻拦行为；频率确定单元：根据所述外部设备对所述内部设备的访问行为，确定同外部设备上每个外部账号在预设时间内的第一登录频率以及同外部账号在预设时间内基于不同外部设
备的第二登录频率；存疑判定单元：当所述同外部账号的第一登录频率大于第一登录阈值或第二登录频率的大于第二登录阈值时，判定所述同外部账号为存疑账号；设备确定单元：确定所有存疑账号所访问的第一内部设备、根据所有阻拦行为确定存在交互风险的第二内部设备以及根据所有业务行为确定存在业务异常的第三内部设备；设备判定单元：对所述第一内部设备、第二内部设备以及第三内部设备进行判断，当存在同个内部设备的出现次数大于或等于2时，判定对应内部设备为出现第二异常行为的内部设备。5.根据权利要求4所述的系统，其特征在于，设备确定单元，包括：值划分块：基于防火墙所确定的每个漏洞的威胁值，并对所述威胁值进行等级划分，确定每个等级中包含的所有第一漏洞；等级行为提取块：从所...

【专利技术属性】
技术研发人员：朱谦，张延诚，郭洪亮，田言明，张伟厚，刘善宏，郑轲，刘欣颖，唐向文，陈曦，汪延峰，陈建设，李瑞鹏，
申请(专利权)人：华能国际电力股份有限公司济宁电厂，
类型：发明
国别省市：