[发明专利]一种实时监视工控网络入侵的方法及系统

说明书

本发明公开了一种实时监视工控网络入侵的方法及系统，该系统包括报文抓取模块、报文处理模块、白名单对比模块、通讯计算模块和图形绘制模块，该方法包括：A：解析工控网络中的底层原始报文；B：根据地址信息判断设备是否为合法设备；C：分别采用图标代表合法设备和非法设备，将代表合法设备的图标和非法设备的图标分别加入到安全区和非安全区；D：根据各设备的广播报文速率设定对应图标的旋转速度，再将发生通讯的设备的图标进行连线，结合图标的旋转速度和连线情况监视工控网络。本发明可对工控网络中所有设备的正常和异常通讯情况进行监视，并能在病毒或木马发作早期及时发现并直观显示出各设备在工控网络中的通讯和传播情况。

技术领域

本发明属于工业自动化控制技术领域，具体涉及一种实时监视工控网络入侵的方法及系统。

背景技术

网络安全对于国家安全的重要性不言而喻，其中针对工控系统的网络攻击不仅仅以获取经济利益为目的，还呈现出以破坏国家基础设施和能源供给的趋势。通过不断渗透或潜伏到电力、铁路、煤炭、化工、冶金、智能制造等领域的工控系统，展开具有针对性的破坏攻击活动。电力、能源、交通等国家关键基础所依赖的工业控制系统网络系统的安全是国家经济稳定运行的关键，受到攻击的后果极其严重，因此工业控制网络信息安全问题已经到了必须要大力解决的时候。

目前，现有技术对工控网络各设备间通讯状态的监视是针对固定工控设备进行保护,如公开号为CN106998326A的专利文献所公开的工业控制网络行为的监测技术，其原理是通过在网络中与设备旁路连接，获取该工业控制网络中的网络包，然后对网络包进行工业协议识别以得到其中的工业协议行为数据，再通过与计算的可信范围进行对比，判断工业协议行为数据是否异常，以确定是否发生了攻击。虽然该技术能够实时地监测工业控制网络中是否有异常行为，但其仅仅只是监视而不能动态显示所保护的工控网络中的设备的总体情况。

此外，现有的技术对五元组信息的提取处理仅停留于网络层面，没有深入到控制系统层面。如公开号为CN112019523A的专利文献所公开的工控系统的网络审计方法和装置，其通过提取源IP、目的IP、目的端口、工业协议和工业协议功能码，与白名单规则进行匹配来计算对应的威胁值。但用户只能看到对应的IP是内网IP或是外网IP，资产是已知资产或是未知资产，而无从知晓该IP属于工业控制系统的某个具体设备。

基于上述原因，仍然需要对工控网络的监视技术进一步改进。

发明内容

本发明的目的在于解决现有技术中存在的上述问题，提供了一种实时监视工控网络入侵的方法及系统，本发明可对工控网络中所有设备的正常和异常通讯情况进行监视，可视化工控网络中各个设备的通信行为，实时监视入侵设备在工控网络中的通讯情况，提高工控网络安全态势感知水平，以达到有效保护工控网络的目的。

为实现上述目的，本发明采用的技术方案如下：

一种实时监视工控网络入侵的方法，其特征在于包括以下步骤：

步骤A：获取工控网络中的底层原始报文并解析，得出每一条底层原始报文的地址信息；

步骤B：将地址信息与预设的白名单数据库进行对比，判断该地址信息所对应设备为合法设备或非法设备；

步骤C：预设包括安全区和非安全区的显示区，再分别采用图标代表合法设备和非法设备，并将代表合法设备的图标加入到安全区，将代表非法设备的图标加入到非安全区；

步骤D：计算各设备的广播报文速率，并根据各设备的广播报文速率设定对应图标的旋转速度，再将发生通讯的设备的图标进行连线，然后结合图标的旋转速度和连线情况监视工控网络。

所述的实时监视工控网络入侵的方法根据数据的更新时间进行监视，待下一次数据开始更新时，先擦除本次监视产生的图标和连线，再重复步骤A、B、C、D进行监视。

步骤A中的地址信息包括但不限于源MAC地址、目的MAC地址、源IP地址和目的IP地址。