[发明专利]一种基于协议深度分析的工控安全审计系统及其应用

权利要求书

1.一种基于协议深度分析的工控安全审计系统及其应用，其特征在于，包括现场监控层、控制层、物理层、工控安全审计模块和安全防护管理平台，工业以太网和现场总线介于现场监控层和物理层之间，现场监控层通过工业以太网对控制层进行数据传输和行为控制，物理层通过传感器和执行器等与现场总线相连接，现场监控层主要用于对工业网络的异常检测，通过对安全设备和应用程序日志、网络连接状况和异常检测产生的警报数据等的综合分析，发现异常后进行及时预警，从技术实现方式上主要包括基于通信流量的异常检测、基于协议的异常检测和基于系统运行的异常检测。

2.根据权利要求1所述的一种基于协议深度分析的工控安全审计系统及其应用，其特征在于，工业以太网可选用ModbusTCP或S7COM等基于TCP/IP的通讯协议，现场总线可选用ModbusRTU或Ethernet通讯协议中的一种。

3.根据权利要求1所述的一种基于协议深度分析的工控安全审计系统及其应用，其特征在于，基于通信流量的异常检测，流量异常检测时检测入侵的常用有效手段，包括：

网络实时流量审计，不间断地采集并实时监测网络数据流量，发现异常、实时告警，可监测网络风暴，ARP攻击等网络事件；

异常数据告警，基于对工控协议的深度数据包解析，通过建立正常通信行为基线，然后对工控网络中实际采集的工控协议数据包的解析结果与正常行为基线进行比较，当实际行为偏离正常行为基线时实施报警；

通信行为追溯，对获取的网络通信数据包进行全方位的记录，并支持对记录进行回溯，支持生成所有网络行为的审计日志记录，为工业控制系统的安全事故调查提供详实的依据。

4.根据权利要求1所述的一种基于协议深度分析的工控安全审计系统及其应用，其特征在于，基于协议的异常检测中主要检测工控组态软件和工控通信网络中一般使用的专有协议，包括CAN或ModbusTCP等，可对协议本身进行认证机制、完整性验证机制和防重放机制进行设定补全，进而进行异常行为的针对性检测，识别方法主要包括：

基于端口的识别，协议设计初期安装通信规范一般会定义一个默认的通信协议，大部分基于TCP/IP的网络通信协议均可安装端口映射的方式进行识别，即根据协议通信端口在互联网数字分配机构中注册的端口号来识别通信协议类型；

基于行为特征的识别，在工业系统的运行过程中，不同的设备与不同的通信协议产生的数据流量是有区别的，基于通信行为特征来进行协议识别是借鉴IT领域的协议识别方法，利用协议在通信过程中产生的流量特征差异来区分与识别多个协议；

基于负载的协议识别，通过在识别关键字，识别协议数据包的网络层报头基础上，增加了应用层数据初步识别，当协议数据包通过识别模块时，通过DPI分析引擎，匹配协议关键字与应用层关键字，识别出应用层的协议类型，有利于更加精确的对已知协议进行识别。

5.根据权利要求1所述的一种基于协议深度分析的工控安全审计系统及其应用，其特征在于，基于系统运行的异常检测，由于工业控制系统的通信状态和时间序列有着非常明显的相关性，因此通过使用时间序列算法来分析工业控制系统的正常的系统状态序列，可以用于检测偏离正常状态序列的系统状态，从而通过系统状态发现可能的攻击行为或系统故障状态，具体可通过基于隐马尔科夫模型的网络流量时间序列进行分析，也可通过公开系统行为基线的异常检测进行分析，包括数据包操作数阈值分析、过程数据基线和操作指令统计记录，由此对工控行为分析，监控利用控制参数变化进行恶意操控的行为。