[发明专利]一种基于工控系统的网络审计和监测方法及其系统

摘要

本发明涉及工业控制领域，旨在提供一种基于工控系统的网络审计和监测方法及其系统。该种基于工控系统的网络审计和监测方法包括如下步骤对常见的网络应用层协议数据包做流量采集、解析还原，并进行机器学习，生成适应当前工业控制网络环境的白名单安全策略规则；在非机器学习周期内，针对解析工控系统中网络行为还原后的原始行为，分别进行白名单安全策略规则检测，对于不符合白名单安全策略规则的原始行为，生成告警信息并记录其原始行为，然后进行IP流量统计，制作清晰直观的网络告警分布图，提出策略建议并定期生成风险报告并导出。本发明能对网络数据、事件进行实时监测、告警，实时掌握工控网络运行状况，保证生产安全。

主权项

一种基于工控系统的网络审计和监测方法，其特征在于，包括如下步骤：步骤A：流量采集模块对常见的网络应用层协议数据包做流量采集、解析还原；解析还原是基于端口来分析常见的工控协议，并根据协议规范进行解析还原，获取所需信息，包括指令码、参数、响应码、原始行为；步骤B：进行机器学习，即在机器学习周期内，针对步骤A解析还原后的原始行为，自动收集原始行为并提取特征，生成适应当前工业控制网络环境的白名单安全策略规则；所述白名单安全策略规则包括IP连接白名单安全策略规则、指令行为白名单安全策略规则；步骤C：在非机器学习周期内，针对解析工控系统中网络行为还原后的原始行为，分别进行白名单安全策略规则检测，对于不符合白名单安全策略规则的原始行为，生成告警信息并记录其原始行为，便于事件回溯取证分析；步骤D：对步骤C产生的告警信息进行核查，判断是否为误报；若确认为误报，则对确认为误报的告警事件做出矫正处理，更改其告警状态并进行标记，并针对标记的告警信息进行进一步的处理；步骤E：进行IP流量统计，即以IP为节点，并对每一对IP之间的流量进行统计，生成基于IP的流量统计模型，用于清晰直观展示网络系统中的流量占比，方便进一步掌握工控网络系统中各个IP节点之间的信息交互情况；步骤F：制作清晰直观的网络告警分布图；所述网络告警分布图，是在以IP为节点、IP间连接关系为模型的网络拓扑图的基础上，将告警信息中源IP、目的IP在网络拓扑图上进行关联的网络告警分布图，用于实时掌握网络告警信息的分布情况；步骤G：基于步骤C产生的告警信息以及发生的频率，提出策略建议；基于步骤F的网络告警分布图以及告警信息的威胁程度，定期生成风险报告并导出。