[发明专利]一种实时监视工控网络入侵的方法及系统

权利要求书

1.一种实时监视工控网络入侵的方法，其特征在于包括以下步骤：

步骤A：获取工控网络中的底层原始报文并解析，得出每一条底层原始报文的地址信息；

步骤B：将地址信息与预设的白名单数据库进行对比，判断该地址信息所对应设备为合法设备或非法设备；

步骤C：预设包括安全区和非安全区的显示区，再分别采用图标代表合法设备和非法设备，并将代表合法设备的图标加入到安全区，将代表非法设备的图标加入到非安全区；

步骤D：计算各设备的广播报文速率，并根据各设备的广播报文速率设定对应图标的旋转速度，再将发生通讯的设备的图标进行连线，然后结合图标的旋转速度和连线情况监视工控网络。

2.根据权利要求1所述的一种实时监视工控网络入侵的方法，其特征在于：所述的实时监视工控网络入侵的方法根据数据的更新时间进行监视，待下一次数据开始更新时，先擦除本次监视产生的图标和连线，再重复步骤A、B、C、D进行监视。

3.根据权利要求1所述的一种实时监视工控网络入侵的方法，其特征在于：步骤C中分别采用不同的图标代表不同类型的合法设备和不同类型的非法设备，并在图标旁标注对应设备的名称。

4.根据权利要求1所述的一种实时监视工控网络入侵的方法，其特征在于：步骤C中安全区和非安全区中的图标均可任意移动。

5.根据权利要求1-4中任一项所述的一种实时监视工控网络入侵的方法，其特征在于：步骤D中设备的广播报文速率的计算方法为：先统计广播报文的数量，并计算出该设备10秒内向外发送广播报文的条数，再对条数取每秒的平均值，即得到该设备的广播报文速率。

6.根据权利要求1所述的一种实时监视工控网络入侵的方法，其特征在于：步骤D中图标旋转速度的设定规则为：当设备的广播报文速率在1—50条/秒时，对应图标以45度/秒的速度旋转；当设备的广播报文速率在51—100条/秒时，对应图标以90度/秒的速度旋转；当设备的广播报文速率在大于100条/秒时，对应图标以180度/秒的速度旋转。

7.根据权利要求1所述的一种实时监视工控网络入侵的方法，其特征在于：步骤D中的具体连线规则为：线条两端点的颜色用对应设备的颜色表示，线条中间颜色用两端点颜色的渐变色表示。

8.一种实时监视工控网络入侵的系统，其特征在于包括：

报文抓取模块：用于获取工控网络中的底层原始报文；

报文处理模块：用于解析底层原始报文的MAC地址和IP地址；

白名单对比模块：用于根据解析的MAC地址和IP地址判断对应设备为合法设备或非法设备；

其中，判断对应设备为合法设备或非法设备的方法为：先预设白名单数据库，白名单数据库中预存有工控网络中所有合法设备的对比信息，该对比信息包括所有合法设备的MAC信息和IP信息；然后将解析得到的每一条底层原始报文的地址信息与白名单数据库中的对比信息进行对比，若对比的地址信息处于白名单数据库中，则判断该地址信息所对应设备为合法设备，若对比的地址信息和白名单数据库中的地址信息不能完全对应，则判断该地址信息所对应设备为非法设备；

通讯计算模块：用于计算各设备的广播报文速率；

图形绘制模块：用于在人机接口界面中绘制安全区和非安全区，用于将合法设备和非法设备分别以图标的形式绘制到安全区中和非安全区中，用于根据设备的广播报文速率设定对应图标的旋转速度，用于对发生通讯的设备的图标进行连线。

9.根据权利要求8所述的一种实时监视工控网络入侵的系统，其特征在于：所述图形绘制模块分别采用不同的图标代表不同类型的合法设备和不同类型的非法设备，并在图标旁标注对应设备的名称。

10.根据权利要求8所述的一种实时监视工控网络入侵的系统，其特征在于：所述图形绘制模块在连线时，线条两端点的颜色用对应设备的颜色表示，线条中间颜色用两端点颜色的渐变色表示。