[发明专利]一种基于工业控制系统的安全事件告警装置和方法

权利要求书

1.一种基于工业控制系统的安全事件告警装置，其特征在于：包括采集模块、检测引擎、消息中间件和数据处理引擎；

采集模块，用于采集工控子网中的数据信息并预处理；

检测引擎，用于基于黑白名单比对的检测方法将预处理后的数据信息与从已知攻击中提取出来的黑白名单规则进行数据对比，得到分析结果；用于将分析结果提交到消息中间件；检测引擎不执行耗时的业务逻辑，仅将消息存放至消息中间件中；

数据处理引擎，用于读取并消费消息中间件中的数据，数据处理引擎通过数据持久化模块和告警信息发送模块消费消息中间件中的数据，数据持久化模块用于将日志数据入库持久化，告警信息发送模块用于存在安全事件时发送告警信息给用户系统；

采集模块通过部署在工控子网内的网络探针进行信息采集；网络探针部署在子网控制层中，通过工业交换机镜像流量实现对工控流量的捕获，网络探针在网络或区域的边界，通过监听的方式捕获网络中的数据包；

预处理步骤包括会话解析和工控协议识别；会话解析为根据TCP/IP协议的头部格式从数据包中提取源IP、源端口、目的IP、目的端口、协议所组成的五元组信息；工控协议识别为根据工控协议的特征字段而不是协议使用的默认端口来识别工控协议；

检测引擎比对的数据为工控流量、从数据包中提取的关于数据包的关键特征以及工控协议操作，数据包的关键特征为源IP、源端口、目的IP、目的端口和协议组成的五元组信息；检测引擎中从已知攻击中提取出来的黑白名单规则为黑名单规则和白名单规则两大类，黑名单规则是对已知的攻击的形式化表示，而白名单规则是对系统正常行为的描述；

检测引擎包括网络连接规则检测模块、流量特征规则检测模块和工控操作规则检测模块，通过网络连接规则、流量特征规则、工控操作规则检测入侵行为；

网络连接规则检测模块的检测方式为：当网络连接规则作为白名单规则，表示这条网络连接允许被建立；相反，当网络连接规则作为黑名单时，表示这条网络连接是危险的；所述网络连接规则由源IP、源端口、目的IP、目的端口、协议所组成的五元组表示，用来标识对应的网络连接；

流量特征规则检测模块的检测方式为：流量特征规则在网络连接规则的基础上增加了流量特征选项，每条流量特征规则包含了流量时间信息和流量大小信息；其中，当流量时间信息作为黑名单规则选项时表示这段时间内出现的所有流量都被视为攻击，而当流量时间信息作为白名单选项时表示这段时间内允许有流量产生；流量大小信息用来限制合法流量的大小，只出现在白名单当中；

工控操作规则检测模块的检测方式为：工控操作规则在网络连接规则的基础上增加了表示工控协议的特征选项，表示工控协议的特征选项包括功能码、访问地址以及值域范围；当表示工控协议的特征选项出现在黑名单规则中时表示的是危险的功能码、错误的访问地址以及不合法的值域范围，而当表示工控协议的特征选项出现在白名单当中时则表示被允许的功能码、访问地址、值域范围。