[发明专利]一种基于工控系统的网络审计和监测方法及其系统

说明书

技术领域

本发明是关于工业控制领域，特别涉及一种基于工控系统的网络审计和监测方法及其系统。

背景技术

工业控制系统(Industrial Control System，简称ICS)，是由各种自动化控制组件以及对实时数据进行采集、检测的过程控制组件，共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统，是基础设施自动化生成的基础组件，安全的重要性可见一般。

由于ICS系统结构复杂，缺乏安全与管理标准等诸多因素影响，运行在系统中的数据和操作指令随时可能会受到破坏，从而出现异常操作指令对设备的正常运行造成破坏。

如何对工业控制系统网络环境中异常行为监测和告警是本领域的技术难题。

发明内容

本发明的主要目的在于克服现有技术中的不足，提供一种能对工业控制系统网络环境中行为进行分析与监测，识别网络中异常IP、异常指令等异常行为并实时告警，清晰直观展示网络中告警分布的网络审计和监测方法及其系统。为解决上述技术问题，本发明的解决方案是：

提供一种基于工控系统的网络审计和监测方法，包括如下步骤：

步骤A：流量采集模块对常见的网络应用层协议数据包做流量采集、解析还原；

解析还原是基于端口来分析(Modbus、S7、IEC-104、DNP3、Ethernet/IP、MMS、FINS、OPC等)常见的工控协议，并根据协议规范进行解析还原，获取所需信息，包括指令码、参数、响应码、原始行为；

步骤B：进行机器学习，即在机器学习周期(即指系统部署成功后，通过配置系统的机器学习周期，计算系统运行起始时间到系统当前时间的时间差，当系统运行在时间差小于或等于学习周期配置内属于机器学习周期，时间差大于学习周期配置属于非机器学习周期)内，针对步骤A解析还原后的原始行为，自动收集原始行为并提取特征，生成适应当前工业控制网络环境的白名单安全策略规则；

所述白名单安全策略规则包括IP连接白名单安全策略规则、指令行为白名单安全策略规则；

步骤C：在非机器学习周期内，针对解析工控系统中网络行为还原后的原始行为(即当前工控系统中网络行为还原后的原始行为，来进行网络审计和监测)，分别进行白名单安全策略规则检测，对于不符合白名单安全策略规则的原始行为，生成告警信息并记录其原始行为，便于事件回溯取证分析；

步骤D：对步骤C产生的告警信息进行核查，判断是否为误报；若确认为误报，则对确认为误报的告警事件做出矫正处理，更改其告警状态并进行标记，并针对标记的告警信息进行进一步的处理(比如更新白名单安全策略规则)；

步骤E：进行IP流量统计，即以IP为节点，并对每一对IP之间的流量进行统计，生成基于IP的流量统计模型，用于清晰直观展示网络系统中的流量占比，方便进一步掌握工控网络系统中各个IP节点之间的信息交互情况；

步骤F：制作清晰直观的网络告警分布图；

所述网络告警分布图，是在以IP为节点、IP间连接关系为模型的网络拓扑图的基础上，将告警信息中源IP、目的IP在网络拓扑图上进行关联的网络告警分布图，用于实时掌握网络告警信息的分布情况；

步骤G：基于步骤C产生的告警信息以及发生的频率，提出策略建议(即策略修改建议，比如某异常指令的频率很高，此异常指令可能是系统正常指令，建议添加到指令行为白名单安全策略规则中；针对该策略建议，由人工确认后，系统自动更新策略，完善工业控制网络安全防护体系)；

基于步骤F的网络告警分布图以及告警信息的威胁程度，定期生成风险报告并导出。

在本发明中，所述步骤A中，流量采集模块使用Libpcap软件包进行网络数据包捕获。

在本发明中，所述步骤C中，针对解析工控系统中网络行为还原后的原始行为进行白名单安全策略规则检测，包括IP检测和指令检测；

所述IP检测是指：非机器学习周期内，还原的原始行为中源IP和目的IP进行IP连接白名单安全策略规则检测，对没有命中IP连接白名单安全策略规则的行为生成异常连接的高危告警信息并且记录到关系型数据库，便于对工控网络环境中异常IP连接行为及时进行处理或事件回溯取证；

所述指令检测：非机器学习周期内，还原的原始行为中源IP和目的IP确认为安全IP后，对其指令行为进行指令行为白名单安全策略规则检测，对没有命中指令行为白名单安全策略规则的行为生成异常指令的高危告警信息并且记录到关系型数据库，便于对工控网络环境中异常指令行为及时进行处理或事件回溯取证。