[发明专利]一种新型工业控制系统信息物理安全体系架构

权利要求书

1.一种新型工业控制系统信息物理安全体系架构，其特征在于：包括以下模块：

深度检测系统，用于根据工业控制区网络中的网络数据对工业控制系统进行安全评估，生成工业控制系统安全情况报告；

其中，所述深度检测系统包括：

提取器，用于从工业控制区网络中获取并解析得到网络数据，并进行网络数据转发；

网络异常检测系统，用于在采样时间内将获取的网络数据与预先构建的网络行为配置文件中的参数进行比较，进行网络数据行为异常检测；

有限状态自动机检测器，用于判断获取的网络数据是否为所要分析的特定协议及是否为异常数据；

保密限制检测器，用于从获取的网络数据中提取设备信息，并根据该设备信息是否存在于白名单数据库中来判断该设备信息对应的设备是否安全；对于不安全的设备，生成安全警报；

故障检测系统，用于根据获取的网络数据进行物理故障识别，生成物理故障信息；

安全信息和事件管理系统，用于将网络异常检测系统得到的行为异常检测数据、有限状态自动机检测器得到的异常数据、保密限制检测器生成的安全警报和故障检测系统生成的物理故障信息进行数据关联，生成工业控制区网络安全情况报告。

2.根据权利要求1所述的一种新型工业控制系统信息物理安全体系架构，其特征在于：

所述提取器利用不同的网络过滤器，将从接收到的所有网络数据包中提取和解析网络数据，并将网络数据转发给网络异常检测系统、有限状态自动机检测器、保密限制检测器和故障检测系统。

3.根据权利要求1所述的一种新型工业控制系统信息物理安全体系架构，其特征在于：所述网络行为配置文件的构建步骤包括：

在不经历攻击或不出现异常情况的条件下，利用提取器提供的网络数据，从网络数据中提取物理设备状态值，生成网络行为配置文件。

4.根据权利要求1所述的一种新型工业控制系统信息物理安全体系架构，其特征在于：在网络异常检测系统中，所述的用于在采样时间内将获取的网络数据与预先构建的网络行为配置文件中的参数进行比较，进行网络数据行为异常检测，表示为：

η(i)＞η^＊(i)+δ(i) (1)

式中，η(i)为异常检测参数的第i个值，η^＊(i)表示预先构建的网络行为配置文件中存储的相关参数的第i个值，δ(i)为不确定性值。

5.根据权利要求1所述的一种新型工业控制系统信息物理安全体系架构，其特征在于：在有限状态自动机检测器中，判断获取的网络数据是否为所要分析的特定协议及是否为异常数据，具体实现操作为：

逐一读取网络数据的字符串，将字符串作为确定的有限状态自动机的输入；

输入的字符串根据状态和定义的特定路径，接受或拒绝输入提取器提供的网络数据；所述状态表示预定义的条件，通过定义的函数使输入达到该预定义的条件；

所述的确定的有限状态自动机用五元组表示：

M＝(Q,∑,δ,q₀,F) (2)

其中，Q表示有限状态集，∑为输入符号的字母表，δ:Q×∑→Q为过渡函数，q₀∈Q为初始状态，为可行状态集。

6.根据权利要求1所述的一种新型工业控制系统信息物理安全体系架构，其特征在于：所述白名单数据库的创建步骤包括：

在工业控制系统处于安全状态下，获取控制区网络中连接的所有物理设备的设备信息；

通过插入两次相同的物理设备的设备信息，创建白名单数据库；

所述设备信息包括IP地址和MAC地址。