[发明专利]一种用于工业控制系统网络的安全监测方法

说明书

一种用于工业控制系统网络的安全监测方法，涉及核电站工业控制系统网络安全技术领域。首先获取工业控制系统网络的工控元数据并提取工控元数据的特征信息，然后将工控元数据的特征信息输入到预设模型中，最后依据预设模型输出的结果获取工业控制系统网络安全的风险指数。其中，工控元数据包括工业控制系统网络中传输的数据包。在不影响核电站工业控制系统网络正常运行安全和运行效率的基础上，实现了对工控系统网络安全运行数据的监控，以提高类似如核电站等国家关键基础设施中的工业控制系统网络安全和可靠性。

技术领域

本发明涉及核电站工业控制系统网络安全技术领域，具体涉及一种用于工业控制系统网络的安全监测方法。

背景技术

长期以来，工业控制系统独立封闭，存在天然的安全性，因而其网络安全隐患一直被忽视，随着了“两化融合”的推进，实时数据库和报警管理等系统的部署实施，使得工业控制系统不再独立。同时工控系统伴随着IT技术的发展而发展，已由专用性向通用性演进，大量采集IT通用软硬件，例如PC、操作系统、数据库系统和以太网等，随之而来的，各种威胁和脆弱性也被引入了工业控制系统，所以工业控制系统网络安全问题日益突出。尤其类似如核电站等国家关键基础设施中的工业控制系统网络安全问题更为突出。

在现有技术中，工业控制系统的安全防护一般采取逐层防护的方式部署，即在攻击路径上的任意位置如企业网入口、监控层网络入口、现场层网络入口设置特定的防护措施，阻断攻击，实现对安全等级最高的现场层的保护，工控安全防护设备需能支持各式现场总线通讯协议，层层拆解数据封包，深入剖析封包结构与封包内容，确保封包的合法性，即所谓的深层管理。然而，采用代理方式工作的工控防火墙工作在应用层，其工作方式是完全控制会话，针对特定的应用层协议，通过对每种应用服务建立专门的代理服务程序，支持MODBUS、OPC等多种工业协议，也可支持FTP等工控网内常见的传统协议的过滤，实现了工控以太网中常用控制协议的内容分析和完整性检查，能很好地监控工控协议的控制行为。通过对控制协议的深度分析，防止伪装成正常通信协议内容的恶意代码进入工业控制系统网络内部或区域内部，从而防止畸形代码攻击等多种发生在工控以太网络内部的攻击。虽然可以实现监控和控制应用层通信流的作用，但是其速度较慢，消耗过多的CPU资源，使得防护设备成为安全防护的瓶颈。尤其是在防护设备的CPU资源占用较多、接口流量过大时，处理速度过慢，安全防护设备成为响应瓶颈，对一切数据进行过滤分析造成速度过慢，数据交换有较大的时延，不适应工控系统的实时性要求，严重影响工控现场网络，甚至造成网络瘫痪，无法动态地适应现场情况，造成无法弥补的损失。

发明内容

为了解决现有技术中存在的上述问题，本申请提供一种用于工业控制系统网络的安全监测方法。

根据第一方面，一种实施例中提供一种用于工业控制系统网络的安全监测方法，包括：

获取所述工业控制系统网络的工控元数据；所述工控元数据包括所述工业控制系统网络中传输的数据包；

提取所述工控元数据的特征信息；

将所述工控元数据的特征信息输入到预设模型，并依据所述预设模型输出的结果获取所述工业控制系统网络安全的风险指数。

进一步，所述获取所述工业控制系统网络的工控元数据，包括：

从所述工业控制系统网络的网卡循环队列中获取发送和接收两个方向的数据包。

进一步，所述工业控制系统网络中传输的数据包包括所述工业控制系统网络传输的用于组态变更、操作指令变更、指令参数变更、开关机、启动停止程序、PLC下装和/或负载变更数据的数据包；和/或，所述工控元数据的特征信息包括所述数据包的MAC地址、IP地址、端口、工控指令、控制点位信息和/或应用层协议。

进一步，所述预设模型包括基于时间序列对数据深度解析进行异常检测模型、树模型、支持向量机模型和/或聚类算法模型。