[发明专利]一种基于协议深度分析的工控安全审计系统及其应用

说明书

一种基于协议深度分析的工控安全审计系统及其应用，包括现场监控层、控制层、物理层、工控安全审计模块和安全防护管理平台，工业以太网和现场总线介于现场监控层和物理层之间，现场监控层通过工业以太网对控制层进行数据传输和行为控制，物理层通过传感器和执行器等与现场总线相连接，现场监控层主要用于对工业网络的异常检测；本发明可进行异常行为的针对性检测，准确性高，物理层通过控制外部控制线路的接口，实现了有效物理阻断工控系统设备运行中的网络攻击和非法接入等恶意行为，及时止损；提高了工控系统设备终端安全的防护能力和等级，且本发明兼容性好、适用性更佳、设备增减方便、可灵活的更新告警规则库，提高防护能力。

技术领域

本发明涉及学生教育管理领域，尤其涉及一种基于协议深度分析的工控安全审计系统及其应用。

背景技术

现代工业控制企业不仅包括生产控制系统，同时还包括生产管理和质量控制等的信息管理系统，控制系统和信息系统的两化融合已经成为大势所趋，生产控制系统与管理信息系统的互联已经成为ICS的基本架构；由于黑客大会、白帽社区、开源社区的出现，可以越来越容易地获得工控系统的攻击方法，同时大量的工控系统的安全漏洞及利用方法也都可通过公开或半公开的渠道获得，这些都极大的降低了针对工控系统进行网络攻击的难度；且随着工业以太网的逐步推广与应用，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与互联网等公共网络间接连接，传统IT信息网中的安全威胁已逐步渗透到生产控制网络中。

目前，工控安全审计系统包括以下不足：首先，缺乏区分工业以太网络和工业过程行为异常的区分，降低了信息处理的精确性；其次，对已知协议进行解析时，无法进行已知协议的快速识别，浪费了宝贵的处理时间和运算能力，最后，现有工控安全审计系统一般仅针对网络流量进行监控，而忽略了不同设备网络流量的时间序列异常这一可供监测的特点，监测不够全面。为解决上述问题，本申请中提出一种基于协议深度分析的工控安全审计系统及其应用。

发明内容

(一)发明目的

为解决背景技术中存在的技术问题，本发明提出一种基于协议深度分析的工控安全审计系统及其应用，本发明可进行异常行为的针对性检测，准确性高，物理层通过控制外部控制线路的接口，实现了有效物理阻断工控系统设备运行中的网络攻击和非法接入等恶意行为，及时止损；提高了工控系统设备终端安全的防护能力和等级，且本发明兼容性好、适用性更佳、设备增减方便、可灵活的更新告警规则库，提高防护能力。

(二)技术方案

为解决上述问题，本发明提供了一种基于协议深度分析的工控安全审计系统及其应用，包括现场监控层、控制层、物理层、工控安全审计模块和安全防护管理平台，工业以太网和现场总线介于现场监控层和物理层之间，现场监控层通过工业以太网对控制层进行数据传输和行为控制，物理层通过传感器和执行器等与现场总线相连接，现场监控层主要用于对工业网络的异常检测，通过对安全设备和应用程序日志、网络连接状况和异常检测产生的警报数据等的综合分析，发现异常后进行及时预警，从技术实现方式上主要包括基于通信流量的异常检测、基于协议的异常检测和基于系统运行的异常检测。

在一个可选的实施例中，工业以太网可选用ModbusTCP或S7COM等基于TCP/IP的通讯协议，现场总线可选用ModbusRTU或Ethernet通讯协议中的一种。

在一个可选的实施例中，基于通信流量的异常检测，流量异常检测时检测入侵的常用有效手段，包括：

网络实时流量审计，不间断地采集并实时监测网络数据流量，发现异常、实时告警，可监测网络风暴，ARP攻击等网络事件；

异常数据告警，基于对工控协议的深度数据包解析，通过建立正常通信行为基线，然后对工控网络中实际采集的工控协议数据包的解析结果与正常行为基线进行比较，当实际行为偏离正常行为基线时实施报警；