[发明专利]一种基于工业控制协议的安全基线核查系统及方法

权利要求书

1.一种基于工业控制协议的安全基线核查系统，其特征在于，所述核查系统包括解析模块、核查模板获取模块、核查初检模块和运行监测模块，所述解析模块在接收到待检测数据包后，根据待检测数据包所对应的工业控制协议对待检测数据包进行解析，得到待检测数据，所述核查模板获取模块从安全基线数据库中获取与待检测数据的类型相对应的基线核查模板，所述基线核查模板中包括若干基线检查项及其相应的参数阈值，所述基线检查项包括初始基线检查项和扩充基线检查项，所述初始基线检查项的个数大于等于1个，所述核查初检模块根据基线核查模板的基线检查项对待检测数据进行检测，如果待检测数据中存在某个基线检查项的参数超出基线核查模板中的参数阈值波动范围，那么该基线检查项初检存疑，传输报警信息；否则，该基线检查项初检通过，在待检测数据中所有的基线检查项初检均通过，初步判定待检测数据安全，令所述运行监测模块监测待检测数据后续的运行情况，并据此判断是否更新基线核查模板和运行监测模块；

所述运行监测模块包括监测项提取模块、监测占比计算模块和平均值比较模块，所述监测项提取模块在待检测数据后续的运行过程中出错，从待检测数据中提取出错的数据项为监测项，那么该监测项的监测指数P加一，并获取待检测数据运行开始到出错时的时间间隔为该监测项的参照时长，其中，各个数据项的监测指数的初始值为0；所述监测占比计算模块计算待检测数据某个监测项的监测占比Q＝P/Z，其中，Z为待检测数据运行过的总次数，并在某个监测项的监测占比Q大于监测阈值时，令平均值比较模块获取该监测项的所有参照时长的平均值，如果平均值大于等于警惕阈值，那么将该监测项作为扩充基线检查项，更新基线核查模板。

2.根据权利要求1所述的一种基于工业控制协议的安全基线核查系统，其特征在于：所述核查系统还包括检测顺序排序模块，所述检测顺序排序模块包括总顺序排序模块、分顺序选取模块、第一分顺序排序模块和第二分顺序排序模块，所述总顺序排序模块用于在对待检测数据进行检测时，按照先初始基线检查项后扩充基线检查项的顺序进行检测，所述分顺序选取模块用于获取当前扩充基线检查项的个数，在扩充基线检查项的个数小于等于个数阈值，令第一分顺序排序模块工作，在扩充基线检查项对的个数大于个数阈值，令第二分顺序排序模块工作，所述第一分顺序排序模块按照各个检查项成为扩充基线检查项的先后顺序进行检测，所述第二分顺序排序模块根据各个扩充基线检查项的综合评估值按照从小到大的顺序排序得到检测顺序，所述检测顺序即为各个对扩充基线检查项的检测顺序。

3.根据权利要求2所述的一种基于工业控制协议的安全基线核查系统，其特征在于：所述检测顺序排序模块还包括综合评估值获取模块，所述综合评估值获取模块包括通过指数计算模块、时间指数计算模块和综合评估值计算模块，所述通过指数计算模块采集对待检测数据的各个扩充基线检查项的检测次数Cz以及初检通过的次数Cx，那么某个扩充基线检查项的通过指数e＝Cx/Cz，所述时间指数计算模块采集各个基线检查项最近一次被检测为存疑与当前的时间间隔时长，对各个间隔时长进行归一化处理，得到各个基线检查项的时间指数f＝(t-tmin)/(tmax-tmin)，其中，tmin为各个基线检查项最近一次被检测为存疑与当前的时间间隔时长中的最小值，tmax为各个基线检查项最近一次被检测为存疑与当前的时间间隔时长中的最大值，所述综合评估值计算模块根据通过指数和时间指数计算综合评估值J＝0.55*e+0.45*f。