白丝美女被狂躁免费视频网站,500av导航大全精品,yw.193.cnc爆乳尤物未满,97se亚洲综合色区,аⅴ天堂中文在线网官网

首頁 / 專利庫 / 專利權(quán) / 工業(yè)實用性 / 工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計方法、裝置及系統(tǒng)

工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計方法、裝置及系統(tǒng)

閱讀:236發(fā)布:2020-05-12

專利匯可以提供工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計方法、裝置及系統(tǒng)專利檢索,專利查詢,專利分析的服務(wù)。并且本 發(fā)明 提供了一種工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計方法、裝置及系統(tǒng),涉及工業(yè)控制的技術(shù)領(lǐng)域,應(yīng)用于終端設(shè)備,包括:采集工業(yè)交換機的鏡像流量;基于工業(yè)交換機的端口確定鏡像流量的工控協(xié)議,并根據(jù)與工控協(xié)議對應(yīng)的協(xié)議規(guī)范解析所述工控協(xié)議,得到協(xié)議解析信息;基于協(xié)議解析信息處理鏡像流量,得到工業(yè)交換機的資產(chǎn)檔案;接收工控系統(tǒng)導(dǎo)出的變量信息,并基于變量信息匹配資產(chǎn)檔案中的工業(yè)行為;基于預(yù)設(shè)管理策略,將變量信息以及工業(yè)行為確定為第一處理數(shù)據(jù),并將第一處理數(shù)據(jù)發(fā)送至工業(yè)網(wǎng)絡(luò)監(jiān)測審計平臺,以使工業(yè)網(wǎng)絡(luò)監(jiān)測審計平臺進行工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計。本發(fā)明分布式的工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計裝置成本低,部署方便,且具有 穩(wěn)定性 和實用性。,下面是工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計方法、裝置及系統(tǒng)專利的具體信息內(nèi)容。

1.一種工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計方法,其特征在于,應(yīng)用于終端設(shè)備,包括:
采集工業(yè)交換機的鏡像流量;
基于所述工業(yè)交換機的端口確定所述鏡像流量的工控協(xié)議,并根據(jù)與工控協(xié)議對應(yīng)的協(xié)議規(guī)范解析所述工控協(xié)議,得到協(xié)議解析信息;
基于所述協(xié)議解析信息處理所述鏡像流量,得到所述工業(yè)交換機的資產(chǎn)檔案;
接收工控系統(tǒng)導(dǎo)出的變量信息,并基于所述變量信息匹配所述資產(chǎn)檔案中的工業(yè)行為;
基于預(yù)設(shè)管理策略,將所述變量信息以及所述工業(yè)行為確定為第一處理數(shù)據(jù),并將所述第一處理數(shù)據(jù)發(fā)送至工業(yè)網(wǎng)絡(luò)監(jiān)測審計平臺,以使所述工業(yè)網(wǎng)絡(luò)監(jiān)測審計平臺進行工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計。
2.一種工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計方法,其特征在于,應(yīng)用于工業(yè)網(wǎng)絡(luò)監(jiān)測審計平臺,包括:
接收終端設(shè)備上傳的第一處理數(shù)據(jù);
對所述第一處理數(shù)據(jù)進行解析還原,得到原始行為;
基于所述第一處理數(shù)據(jù)提取特征,并基于所述特征生成與當(dāng)前工業(yè)控制網(wǎng)絡(luò)環(huán)境對應(yīng)的白名單安全策略規(guī)則;
基于所述白名單安全策略規(guī)則對所述原始行為進行監(jiān)測審計。
3.根據(jù)權(quán)利要求2所述的工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計方法,其特征在于,基于所述白名單安全策略規(guī)則對所述原始行為進行監(jiān)測審計,包括:
判斷所述原始行為是否符合所述白名單安全策略規(guī)則,將不符合所述白名單安全策略規(guī)則的原始行為確定為告警事件,并生成告警信息;
對所述告警信息進行核查,判斷所述告警事件是否為誤報;
若確定所述告警事件為非誤報,則基于所述告警事件生成網(wǎng)絡(luò)告警分布圖。
4.根據(jù)權(quán)利要求3所述的工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計方法,其特征在于,在生成網(wǎng)絡(luò)告警分布圖之后,還包括:
基于所述網(wǎng)絡(luò)告警分布圖和所述告警信息的威脅程度,生成風(fēng)險報告。
5.一種工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計裝置,其特征在于,應(yīng)用于終端設(shè)備,包括:
采集模,用于采集工業(yè)交換機的鏡像流量;
確定解析模塊,用于基于所述工業(yè)交換機的端口確定所述鏡像流量的工控協(xié)議,并根據(jù)與工控協(xié)議對應(yīng)的協(xié)議規(guī)范解析所述工控協(xié)議,得到協(xié)議解析信息;
處理模塊,用于基于所述協(xié)議解析信息處理所述鏡像流量,得到所述工業(yè)交換機的資產(chǎn)檔案;
接收匹配模塊,用于接收工控系統(tǒng)導(dǎo)出的變量信息,并基于所述變量信息匹配所述資產(chǎn)檔案中的工業(yè)行為;
確定發(fā)送模塊,用于基于預(yù)設(shè)管理策略,將所述變量信息以及所述工業(yè)行為確定為第一處理數(shù)據(jù),并將所述第一處理數(shù)據(jù)發(fā)送至工業(yè)網(wǎng)絡(luò)監(jiān)測審計平臺,以使所述工業(yè)網(wǎng)絡(luò)監(jiān)測審計平臺進行工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計。
6.一種工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計裝置,其特征在于,應(yīng)用于工業(yè)網(wǎng)絡(luò)監(jiān)測審計平臺,包括:
接收模塊,用于接收終端設(shè)備上傳的第一處理數(shù)據(jù);
解析還原模塊,用于對所述第一處理數(shù)據(jù)進行解析還原,得到原始行為;
生成模塊,用于基于所述第一處理數(shù)據(jù)提取特征,并基于所述特征生成與當(dāng)前工業(yè)控制網(wǎng)絡(luò)環(huán)境對應(yīng)的白名單安全策略規(guī)則;
監(jiān)測審計模塊,用于基于所述白名單安全策略規(guī)則對所述原始行為進行監(jiān)測審計。
7.一種工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計系統(tǒng),包括:終端設(shè)備和工業(yè)網(wǎng)絡(luò)監(jiān)測審計平臺;
所述終端設(shè)備,用于采集工業(yè)網(wǎng)絡(luò)流量,并對所述工業(yè)網(wǎng)絡(luò)流量進行初步處理,得到第一處理數(shù)據(jù);
所述工業(yè)網(wǎng)絡(luò)監(jiān)測審計平臺,用于對所述第一處理數(shù)據(jù)進行解析還原得到工業(yè)網(wǎng)絡(luò)流量的原始行為,并對所述原始行為進行監(jiān)測審計。
8.根據(jù)權(quán)利要求7所述的工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計系統(tǒng),所述工業(yè)網(wǎng)絡(luò)監(jiān)測審計平臺包括以下至少一種:分布式操作系統(tǒng)、分布式程序設(shè)計語言、分布式文件系統(tǒng)和分布式數(shù)據(jù)庫系統(tǒng)。
9.一種電子設(shè)備,包括存儲器、處理器,所述存儲器中存儲有可在所述處理器上運行的計算機程序,其特征在于,處理器執(zhí)行計算機程序時實現(xiàn)如權(quán)利要求1至4任一項所述的方法。
10.一種具有處理器可執(zhí)行的非易失的程序代碼的計算機可讀介質(zhì),其特征在于,所述程序代碼使所述處理器執(zhí)行如權(quán)利要求1至4任一項所述的方法。

說明書全文

工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計方法、裝置及系統(tǒng)

技術(shù)領(lǐng)域

[0001] 本發(fā)明涉及工業(yè)控制技術(shù)領(lǐng)域,尤其是涉及一種工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計方法、裝置及系統(tǒng)。

背景技術(shù)

[0002] 任何的網(wǎng)絡(luò)攻擊行為,甚至是人為的不規(guī)范操作都可以在網(wǎng)絡(luò)流量中體現(xiàn),工業(yè)流量監(jiān)測審計設(shè)備基于對工業(yè)控制協(xié)議的通信報文進行深度解析,通過實時動態(tài)分析、數(shù)據(jù)流監(jiān)控、網(wǎng)絡(luò)行為審計等技術(shù),快速識別工業(yè)控制網(wǎng)絡(luò)中存在的異常行為,實現(xiàn)實時檢測針對工業(yè)協(xié)議的網(wǎng)絡(luò)攻擊、非法設(shè)備接入以及蠕蟲、病毒等惡意軟件的傳播的行為并實時報警,同時詳實記錄一切網(wǎng)絡(luò)通信行為,為工業(yè)控制系統(tǒng)的安全事故調(diào)查提供堅實的基礎(chǔ)
[0003] 但是面對大型的生產(chǎn)企業(yè),生產(chǎn)車間多、工控系統(tǒng)數(shù)量大、工業(yè)生產(chǎn)網(wǎng)絡(luò)龐雜、工業(yè)數(shù)據(jù)流量大,傳統(tǒng)的做法需要在各分散點部署非常多的監(jiān)測審計設(shè)備,并需要額外的設(shè)備(如管理平臺)實現(xiàn)多臺監(jiān)測審計設(shè)備間的信息共享和聯(lián)動。該做法帶來了實施難度大和高昂的安全投入,成為企業(yè)工業(yè)信息安全建設(shè)的障礙。

發(fā)明內(nèi)容

[0004] 本發(fā)明的目的在于提供一種工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計方法、裝置及系統(tǒng),增加穩(wěn)定性和實用性,且降低實施難度、節(jié)約設(shè)備成本。
[0005] 本發(fā)明提供的一種工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計方法,其中,應(yīng)用于終端設(shè)備,包括:采集工業(yè)交換機的鏡像流量;基于所述工業(yè)交換機的端口確定所述鏡像流量的工控協(xié)議,并根據(jù)與工控協(xié)議對應(yīng)的協(xié)議規(guī)范解析所述工控協(xié)議,得到協(xié)議解析信息;基于所述協(xié)議解析信息處理所述鏡像流量,得到所述工業(yè)交換機的資產(chǎn)檔案;接收工控系統(tǒng)導(dǎo)出的變量信息,并基于所述變量信息匹配所述資產(chǎn)檔案中的工業(yè)行為;基于預(yù)設(shè)管理策略,將所述變量信息以及所述工業(yè)行為確定為第一處理數(shù)據(jù),并將所述第一處理數(shù)據(jù)發(fā)送至工業(yè)網(wǎng)絡(luò)監(jiān)測審計平臺,以使所述工業(yè)網(wǎng)絡(luò)監(jiān)測審計平臺進行工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計。
[0006] 本發(fā)明提供的一種工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計方法,其中,應(yīng)用于工業(yè)網(wǎng)絡(luò)監(jiān)測審計平臺,包括:接收終端設(shè)備上傳的第一處理數(shù)據(jù);對所述第一處理數(shù)據(jù)進行解析還原,得到原始行為;基于所述第一處理數(shù)據(jù)提取特征,并基于所述特征生成與當(dāng)前工業(yè)控制網(wǎng)絡(luò)環(huán)境對應(yīng)的白名單安全策略規(guī)則;基于所述白名單安全策略規(guī)則對所述原始行為進行監(jiān)測審計。
[0007] 進一步的,基于所述白名單安全策略規(guī)則對所述原始行為進行監(jiān)測審計,包括:判斷所述原始行為是否符合所述白名單安全策略規(guī)則,將不符合所述白名單安全策略規(guī)則的原始行為確定為告警事件,并生成告警信息;對所述告警信息進行核查,判斷所述告警事件是否為誤報;若確定所述告警事件為非誤報,則基于所述告警事件生成網(wǎng)絡(luò)告警分布圖。
[0008] 進一步的,在生成網(wǎng)絡(luò)告警分布圖之后,還包括:基于所述網(wǎng)絡(luò)告警分布圖和所述告警信息的威脅程度,生成風(fēng)險報告。
[0009] 本發(fā)明提供的一種工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計裝置,其中,應(yīng)用于終端設(shè)備,包括:采集模,用于采集工業(yè)交換機的鏡像流量;確定解析模塊,用于基于所述工業(yè)交換機的端口確定所述鏡像流量的工控協(xié)議,并根據(jù)與工控協(xié)議對應(yīng)的協(xié)議規(guī)范解析所述工控協(xié)議,得到協(xié)議解析信息;處理模塊,用于基于所述協(xié)議解析信息處理所述鏡像流量,得到所述工業(yè)交換機的資產(chǎn)檔案;接收匹配模塊,用于接收工控系統(tǒng)導(dǎo)出的變量信息,并基于所述變量信息匹配所述資產(chǎn)檔案中的工業(yè)行為;確定發(fā)送模塊,用于基于預(yù)設(shè)管理策略,將所述變量信息以及所述工業(yè)行為確定為第一處理數(shù)據(jù),并將所述第一處理數(shù)據(jù)發(fā)送至工業(yè)網(wǎng)絡(luò)監(jiān)測審計平臺,以使所述工業(yè)網(wǎng)絡(luò)監(jiān)測審計平臺進行工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計。
[0010] 本發(fā)明提供的一種工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計裝置,其中,應(yīng)用于工業(yè)網(wǎng)絡(luò)監(jiān)測審計平臺,包括:接收模塊,用于接收終端設(shè)備上傳的第一處理數(shù)據(jù);解析還原模塊,用于對所述第一處理數(shù)據(jù)進行解析還原,得到原始行為;生成模塊,用于基于所述第一處理數(shù)據(jù)提取特征,并基于所述特征生成與當(dāng)前工業(yè)控制網(wǎng)絡(luò)環(huán)境對應(yīng)的白名單安全策略規(guī)則;監(jiān)測審計模塊,用于基于所述白名單安全策略規(guī)則對所述原始行為進行監(jiān)測審計。
[0011] 本發(fā)明提供的一種工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計系統(tǒng),包括:終端設(shè)備和工業(yè)網(wǎng)絡(luò)監(jiān)測審計平臺;所述終端設(shè)備,用于采集工業(yè)網(wǎng)絡(luò)流量,并對所述工業(yè)網(wǎng)絡(luò)流量進行初步處理,得到第一處理數(shù)據(jù);所述工業(yè)網(wǎng)絡(luò)監(jiān)測審計平臺,用于對所述第一處理數(shù)據(jù)進行解析還原得到工業(yè)網(wǎng)絡(luò)流量的原始行為,并對所述原始行為進行監(jiān)測審計。
[0012] 進一步的,所述工業(yè)網(wǎng)絡(luò)監(jiān)測審計平臺包括以下至少一種:分布式操作系統(tǒng)、分布式程序設(shè)計語言、分布式文件系統(tǒng)和分布式數(shù)據(jù)庫系統(tǒng)。
[0013] 本發(fā)明還提供一種電子設(shè)備,包括存儲器、處理器,所述存儲器中存儲有可在所述處理器上運行的計算機程序,其中,所述處理器執(zhí)行所述計算機程序時實現(xiàn)所述的工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計方法。
[0014] 本發(fā)明還提供一種具有處理器可執(zhí)行的非易失的程序代碼的計算機可讀介質(zhì),其中,所述程序代碼使所述處理器執(zhí)行所述的工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計方法。
[0015] 本發(fā)明提供的一種工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計方法、裝置及系統(tǒng),應(yīng)用于終端設(shè)備,包括:采集工業(yè)交換機的鏡像流量;基于工業(yè)交換機的端口確定鏡像流量的工控協(xié)議,并根據(jù)與工控協(xié)議對應(yīng)的協(xié)議規(guī)范解析所述工控協(xié)議,得到協(xié)議解析信息;基于協(xié)議解析信息處理鏡像流量,得到工業(yè)交換機的資產(chǎn)檔案;接收工控系統(tǒng)導(dǎo)出的變量信息,并基于變量信息匹配資產(chǎn)檔案中的工業(yè)行為;基于預(yù)設(shè)管理策略,將變量信息以及工業(yè)行為確定為第一處理數(shù)據(jù),并將第一處理數(shù)據(jù)發(fā)送至工業(yè)網(wǎng)絡(luò)監(jiān)測審計平臺,以使工業(yè)網(wǎng)絡(luò)監(jiān)測審計平臺進行工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計。本發(fā)明提供的工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計系統(tǒng)是分布式工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計裝置,基于邊緣計算的思想,在各個工業(yè)網(wǎng)絡(luò)節(jié)點部署了終端設(shè)備,完成流量采集、還原、初步分析等初步工作,再上傳到中心監(jiān)測審計平臺進行網(wǎng)絡(luò)行為審計等。分布式的工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計裝置增加了穩(wěn)定性和實用性,且降低了實施難度、節(jié)約了設(shè)備成本,適用于分布地域廣、數(shù)據(jù)量大的大型工業(yè)生產(chǎn)控制網(wǎng)絡(luò),為工業(yè)企業(yè)提供工業(yè)網(wǎng)絡(luò)行為審計服務(wù),防范工業(yè)信息安全問題。附圖說明
[0016] 為了更清楚地說明本發(fā)明具體實施方式或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對具體實施方式或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖是本發(fā)明的一些實施方式,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
[0017] 圖1為本發(fā)明實施例提供的一種工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計方法的流程圖;
[0018] 圖2為本發(fā)明實施例提供的另一種工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計方法的流程圖;
[0019] 圖3為圖2中步驟S204的流程圖;
[0020] 圖4為本發(fā)明實施例提供的一種工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計裝置的結(jié)構(gòu)示意圖;
[0021] 圖5為本發(fā)明實施例提供的另一種工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計裝置的結(jié)構(gòu)示意圖;
[0022] 圖6為本發(fā)明實施例提供的一種工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計系統(tǒng)的結(jié)構(gòu)示意圖。
[0023] 圖標(biāo):
[0024] 11-采集模塊;12-確定解析模塊;13-處理模塊;14-接收匹配模塊;15-確定發(fā)送模塊;16-接收模塊;17-解析還原模塊;18-生成模塊;19-監(jiān)測審計模塊。

具體實施方式

[0025] 下面將結(jié)合實施例對本發(fā)明的技術(shù)方案進行清楚、完整地描述,顯然,所描述的實施例是本發(fā)明一部分實施例,而不是全部的實施例。基于本發(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。
[0026] 隨著近年來“兩化融合”的落實以及政策在“工業(yè)4.0”、“智能制造2025”和“工業(yè)互聯(lián)網(wǎng)”方面的大推進,現(xiàn)代工業(yè)生產(chǎn)企業(yè)信息化和工業(yè)化的已經(jīng)高度融合,這意味著工業(yè)控制系統(tǒng)越來越走向開放和互聯(lián),工業(yè)控制系統(tǒng)與外界完全隔離幾乎成為不可能。
[0027] 另外,維護使用的移動設(shè)備或移動電腦也打破了系統(tǒng)與外界的隔離,打開了網(wǎng)絡(luò)安全風(fēng)險之。根據(jù)監(jiān)測統(tǒng)計數(shù)據(jù)發(fā)現(xiàn),截止到2017年11月,全球范圍內(nèi)暴露在互聯(lián)網(wǎng)上的工控系統(tǒng)及設(shè)備數(shù)量已超過10萬個,關(guān)鍵制造、通信、能源、供和市政設(shè)施是安全事件發(fā)生較多的前五個行業(yè)。
[0028] 與上述嚴(yán)峻的安全形勢相對應(yīng)的,由于黑客大會、白帽社區(qū)、開源社區(qū)的出現(xiàn),獲得工控系統(tǒng)的攻擊方法越來越容易,大量工控系統(tǒng)軟硬件設(shè)備的安全漏洞及利用方法可通過公開或半公開的渠道獲得,這些都極大地降低了針對工控網(wǎng)絡(luò)攻擊的難度。
[0029] 現(xiàn)有的工控監(jiān)測審計方法是一臺審計設(shè)備采集對應(yīng)的網(wǎng)絡(luò)節(jié)點鏡像流量,當(dāng)企業(yè)工業(yè)控制系統(tǒng)數(shù)量大,一臺審計不足以滿足運算需求,就產(chǎn)生將硬件升級或者部署多臺審計設(shè)備的方案。第一種方案升級硬件設(shè)備,其缺點是經(jīng)濟壓力增大,根據(jù)Grosch定理,設(shè)備的計算能力和它價格的平方成正比。另一種方案是部署多臺審計設(shè)備,這樣就需要額外的管理平臺對多臺設(shè)計設(shè)備進行策略管理、信息共享、聯(lián)動。
[0030] 基于此,本發(fā)明實施例采用一個工業(yè)網(wǎng)絡(luò)監(jiān)測審計平臺和N個終端設(shè)備的“1+N”模式,終端設(shè)備進行數(shù)據(jù)采集還原等初步的運算,工業(yè)網(wǎng)絡(luò)監(jiān)測審計平臺實現(xiàn)深度分析、流量監(jiān)控、行為監(jiān)控、設(shè)備聯(lián)動等功能。
[0031] 為便于對本實施例進行理解,首先對本發(fā)明實施例所公開的一種工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計方法進行詳細(xì)介紹。
[0032] 實施例一:
[0033] 參照圖1,本發(fā)明實施例提供了一種工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計方法,其中,應(yīng)用于終端設(shè)備,包括:
[0034] 步驟S101,采集工業(yè)交換機的鏡像流量。
[0035] 在本發(fā)明實施例中,本實施例可以包含一個或多個終端設(shè)備,且每個終端設(shè)備均對應(yīng)一個或多個待采集的工業(yè)交換機。
[0036] 步驟S102,基于工業(yè)交換機的端口確定鏡像流量的工控協(xié)議,并根據(jù)與工控協(xié)議對應(yīng)的協(xié)議規(guī)范解析工控協(xié)議,得到協(xié)議解析信息。
[0037] 在本發(fā)明實施例中,不同工業(yè)交換機的鏡像流量可以對應(yīng)不同的工控協(xié)議,且不同的工控協(xié)議均對應(yīng)各自的協(xié)議規(guī)范。解析信息包括但不限于:指令碼、參數(shù)、響應(yīng)碼以及原始行為。
[0038] 步驟S103,基于協(xié)議解析信息處理鏡像流量,得到工業(yè)交換機的資產(chǎn)檔案。
[0039] 在本發(fā)明實施例中,資產(chǎn)檔案可以分為兩種檔案,一種是資產(chǎn)自身信息檔案,一種是資產(chǎn)間交互關(guān)系檔案,資產(chǎn)間交互關(guān)系可以指資產(chǎn)間的通訊關(guān)系;資產(chǎn)自身信息檔案為資產(chǎn)清單,資產(chǎn)包括:主機、工控系統(tǒng)和網(wǎng)絡(luò)設(shè)備,其中,主機包括工控機和服務(wù)器,工控系統(tǒng)包括:DCS(Distributed?Control?System,分布式控制系統(tǒng))、PLC(Programmable?Logic?Controller,可編程邏輯控制器)、RTU(Remote?Terminal?Unit,遠程終端控制系統(tǒng))。
[0040] 步驟S104,接收工控系統(tǒng)導(dǎo)出的變量信息,并基于變量信息匹配資產(chǎn)檔案中的工業(yè)行為。
[0041] 在本發(fā)明實施例中,工控系統(tǒng)在某設(shè)備發(fā)生變化時,采集該設(shè)備的變量信息并將變量信息導(dǎo)出,本實施例基于該變量信息可以匹配對應(yīng)的工業(yè)行為。
[0042] 步驟S105,基于預(yù)設(shè)管理策略,將變量信息以及工業(yè)行為確定為第一處理數(shù)據(jù),并將第一處理數(shù)據(jù)發(fā)送至工業(yè)網(wǎng)絡(luò)監(jiān)測審計平臺,以使工業(yè)網(wǎng)絡(luò)監(jiān)測審計平臺進行工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計。
[0043] 在本發(fā)明實施例中,預(yù)設(shè)管理策略包括預(yù)設(shè)行為規(guī)則,終端設(shè)備可以存儲第一處理數(shù)據(jù),通過向工業(yè)網(wǎng)絡(luò)監(jiān)測審計平臺發(fā)送,可以使工業(yè)網(wǎng)絡(luò)監(jiān)測審計平臺完成工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計。
[0044] 本發(fā)明實施例提供的一種工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計方法,應(yīng)用于終端設(shè)備,包括:采集工業(yè)交換機的鏡像流量;基于工業(yè)交換機的端口確定鏡像流量的工控協(xié)議,并根據(jù)與工控協(xié)議對應(yīng)的協(xié)議規(guī)范解析所述工控協(xié)議,得到協(xié)議解析信息;基于協(xié)議解析信息處理鏡像流量,得到工業(yè)交換機的資產(chǎn)檔案;接收工控系統(tǒng)導(dǎo)出的變量信息,并基于變量信息匹配資產(chǎn)檔案中的工業(yè)行為;基于預(yù)設(shè)管理策略,將變量信息以及工業(yè)行為確定為第一處理數(shù)據(jù),并將第一處理數(shù)據(jù)發(fā)送至工業(yè)網(wǎng)絡(luò)監(jiān)測審計平臺,以使工業(yè)網(wǎng)絡(luò)監(jiān)測審計平臺進行工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計。本發(fā)明提供的工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計系統(tǒng)是分布式工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計裝置基于邊緣計算的思想在各個工業(yè)網(wǎng)絡(luò)節(jié)點部署了終端設(shè)備,完成流量采集、還原、初步分析等初步工作,再上傳到中心監(jiān)測審計平臺進行網(wǎng)絡(luò)行為審計等。分布式的工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計裝置增加了穩(wěn)定性和實用性,且降低了實施難度、節(jié)約了設(shè)備成本,適用于分布地域廣、數(shù)據(jù)量大的大型工業(yè)生產(chǎn)控制網(wǎng)絡(luò),為工業(yè)企業(yè)提供工業(yè)網(wǎng)絡(luò)行為審計服務(wù),防范工業(yè)信息安全問題。
[0045] 實施例二:
[0046] 參照圖2,本發(fā)明實施例提供了另一種工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計方法,其中,應(yīng)用于工業(yè)網(wǎng)絡(luò)監(jiān)測審計平臺,包括:
[0047] 步驟S201,接收終端設(shè)備上傳的第一處理數(shù)據(jù);
[0048] 步驟S202,對第一處理數(shù)據(jù)進行解析還原,得到原始行為;
[0049] 步驟S203,基于第一處理數(shù)據(jù)提取特征,并基于特征生成與當(dāng)前工業(yè)控制網(wǎng)絡(luò)環(huán)境對應(yīng)的白名單安全策略規(guī)則;
[0050] 在本發(fā)明實施例中,白名單安全策略規(guī)則包括但不限于:IP連接白名單安全策略規(guī)則和指令行為白名單安全策略規(guī)則。本發(fā)明實施例可以將白名單安全策略規(guī)則發(fā)送給客戶端以使安全工作人員通過人工復(fù)核接口進行確認(rèn)。
[0051] 步驟S204,基于白名單安全策略規(guī)則對原始行為進行監(jiān)測審計。
[0052] 進一步的,參照圖3,步驟S204包括:
[0053] 步驟S301,判斷原始行為是否符合白名單安全策略規(guī)則,將不符合白名單安全策略規(guī)則的原始行為確定為告警事件,并生成告警信息;
[0054] 在本發(fā)明實施例中,生成告警信息并記錄原始行為,便于時間追溯取證分析。
[0055] 步驟S302,對告警信息進行核查,判斷告警事件是否為誤報;
[0056] 在本發(fā)明實施例中,若確定告警事件為誤報,則對告警事件的告警信息進行矯正處理,更改其告警狀態(tài)并對該告警事件進行標(biāo)記,并針對該告警信息做進一步的處理,例如:生成報表、通報給相關(guān)負(fù)責(zé)人等。
[0057] 步驟S303,若確定告警事件為非誤報,則基于告警事件生成網(wǎng)絡(luò)告警分布圖。
[0058] 在本發(fā)明實施例中,網(wǎng)絡(luò)告警分布圖可以指在以工業(yè)交換機的IP為節(jié)點、IP間連接關(guān)系為模型的網(wǎng)絡(luò)拓?fù)鋱D的基礎(chǔ)上,將告警信息中源IP、目的IP在網(wǎng)絡(luò)拓?fù)鋱D上進行關(guān)聯(lián)的網(wǎng)絡(luò)告警分布圖。網(wǎng)絡(luò)告警分布圖可以用于實時掌握網(wǎng)絡(luò)告警信息的分布情況。
[0059] 本發(fā)明實施例可以進行IP流量統(tǒng)計,即以IP為節(jié)點,并對每一對IP之間的流量進行統(tǒng)計,生成基于IP的流量統(tǒng)計模型,用于清晰直觀展示網(wǎng)絡(luò)系統(tǒng)中的流量占比,方便進一步掌握工控網(wǎng)絡(luò)系統(tǒng)中各個IP節(jié)點之間的信息交互情況。
[0060] 進一步的,參照圖3,在步驟S303之后,方法還包括:
[0061] 步驟S304,基于網(wǎng)絡(luò)告警分布圖和告警信息的威脅程度,生成風(fēng)險報告。
[0062] 在本發(fā)明實施例中,基于告警信息和告警信息發(fā)生的頻率,可以提出策略建議;基于網(wǎng)絡(luò)告警分布圖以及告警信息的威脅程度,定期生成風(fēng)險報告并導(dǎo)出。
[0063] 在本發(fā)明實施例中,本實施例的工業(yè)網(wǎng)絡(luò)監(jiān)測審計平臺與實施例一中的終端設(shè)備構(gòu)成分布式的工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計系統(tǒng),該分布式的工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計系統(tǒng)基于邊緣計算的思想,在各個工業(yè)網(wǎng)絡(luò)節(jié)點部署終端設(shè)備,完成流量采集、還原、初步報文分析等初步工作,再上傳到工業(yè)網(wǎng)絡(luò)監(jiān)測審計平臺進行網(wǎng)絡(luò)行為審計等。
[0064] 實施例三:
[0065] 參照圖4,本發(fā)明實施例提供了一種工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計裝置,其中,應(yīng)用于終端設(shè)備,包括:
[0066] 采集模塊11,用于采集工業(yè)交換機的鏡像流量;
[0067] 確定解析模塊12,用于基于工業(yè)交換機的端口確定鏡像流量的工控協(xié)議,并根據(jù)與工控協(xié)議對應(yīng)的協(xié)議規(guī)范解析工控協(xié)議,得到協(xié)議解析信息;
[0068] 處理模塊13,用于基于協(xié)議解析信息處理鏡像流量,得到工業(yè)交換機的資產(chǎn)檔案;
[0069] 接收匹配模塊14,用于接收工控系統(tǒng)導(dǎo)出的變量信息,并基于變量信息匹配資產(chǎn)檔案中的工業(yè)行為;
[0070] 確定發(fā)送模塊15,用于基于預(yù)設(shè)管理策略,將變量信息以及工業(yè)行為確定為第一處理數(shù)據(jù),并將第一處理數(shù)據(jù)發(fā)送至工業(yè)網(wǎng)絡(luò)監(jiān)測審計平臺,以使工業(yè)網(wǎng)絡(luò)監(jiān)測審計平臺進行工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計。
[0071] 本發(fā)明實施例提供的工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計裝置,應(yīng)用于終端設(shè)備,可以完成流量采集、還原、初步分析等初步工作。
[0072] 實施例四:
[0073] 參照圖5,本發(fā)明實施例提供了另一種工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計裝置,其中,應(yīng)用于工業(yè)網(wǎng)絡(luò)監(jiān)測審計平臺,包括:
[0074] 接收模塊16,用于接收終端設(shè)備上傳的第一處理數(shù)據(jù);
[0075] 解析還原模塊17,用于對第一處理數(shù)據(jù)進行解析還原,得到原始行為;
[0076] 生成模塊18,用于基于第一處理數(shù)據(jù)提取特征,并基于特征生成與當(dāng)前工業(yè)控制網(wǎng)絡(luò)環(huán)境對應(yīng)的白名單安全策略規(guī)則;
[0077] 監(jiān)測審計模塊19,用于基于白名單安全策略規(guī)則對原始行為進行監(jiān)測審計。
[0078] 本發(fā)明實施例提供的工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計裝置包括:接收模塊16、解析還原模塊17、生成模塊18和監(jiān)測審計模塊19,利用上述模塊進行網(wǎng)絡(luò)行為審計等操作,可以使分布式的工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計裝置增加穩(wěn)定性和實用性。
[0079] 實施例五:
[0080] 參照圖6,本發(fā)明實施例提供了一種工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計系統(tǒng),包括:終端設(shè)備和工業(yè)網(wǎng)絡(luò)監(jiān)測審計平臺;終端設(shè)備,用于采集工業(yè)網(wǎng)絡(luò)流量,并對工業(yè)網(wǎng)絡(luò)流量進行初步處理,得到第一處理數(shù)據(jù);工業(yè)網(wǎng)絡(luò)監(jiān)測審計平臺,用于對第一處理數(shù)據(jù)進行解析還原得到工業(yè)網(wǎng)絡(luò)流量的原始行為,并對原始行為進行監(jiān)測審計。
[0081] 在本發(fā)明實施例中,工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計系統(tǒng)可以為多處理機體系結(jié)構(gòu),并且工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計系統(tǒng)適用于分布地域廣、數(shù)據(jù)量大的大型工業(yè)生產(chǎn)控制網(wǎng)絡(luò),為工業(yè)企業(yè)提供工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計服務(wù),保障了工業(yè)信息的安全,為工業(yè)企業(yè)安全、穩(wěn)定生產(chǎn)保駕護航。
[0082] 進一步的,工業(yè)網(wǎng)絡(luò)監(jiān)測審計平臺包括以下至少一種:分布式操作系統(tǒng)、分布式程序設(shè)計語言、分布式文件系統(tǒng)和分布式數(shù)據(jù)庫系統(tǒng)。
[0083] 在本發(fā)明實施例中,工業(yè)網(wǎng)絡(luò)監(jiān)測審計平臺可以由通信網(wǎng)絡(luò)與所有的終端設(shè)備互聯(lián)。
[0084] 在本發(fā)明實施例中,分布式的工業(yè)網(wǎng)絡(luò)流量監(jiān)測審計系統(tǒng)支持分布式處理,利用一臺或者多臺終端設(shè)備分擔(dān)工業(yè)網(wǎng)絡(luò)監(jiān)測審計平臺的運算負(fù)荷、網(wǎng)絡(luò)負(fù)荷和存儲負(fù)荷,利用多個終端設(shè)備的計算能力完成流量還原、無用信息過濾、初步報文分析等功能,不但解決了傳統(tǒng)集中式審計的吞吐瓶頸問題,還提高了工控系統(tǒng)的可靠性、可用性和擴展性。
[0085] 本發(fā)明實施例解決了傳統(tǒng)工業(yè)監(jiān)測審計設(shè)備部署和費用高昂的問題,同時“1+N”模式更具穩(wěn)定性和實用性。
[0086] 在本發(fā)明的又一實施例中,還提供一種電子設(shè)備,包括存儲器、處理器,所述存儲器中存儲有可在所述處理器上運行的計算機程序,所述處理器執(zhí)行所述計算機程序時實現(xiàn)上述方法實施例所述方法的步驟。
[0087] 在本發(fā)明的又一實施例中,還提供一種具有處理器可執(zhí)行的非易失的程序代碼的計算機可讀介質(zhì),所述程序代碼使所述處理器執(zhí)行方法實施例所述方法。
[0088] 最后應(yīng)說明的是:以上各實施例僅用以說明本發(fā)明的技術(shù)方案,而非對其限制;盡管參照前述各實施例對本發(fā)明進行了詳細(xì)的說明,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解:其依然可以對前述各實施例所記載的技術(shù)方案進行修改,或者對其中部分或者全部技術(shù)特征進行等同替換;而這些修改或者替換,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方案的范圍。
高效檢索全球?qū)@?/div>

專利匯是專利免費檢索,專利查詢,專利分析-國家發(fā)明專利查詢檢索分析平臺,是提供專利分析,專利查詢,專利檢索等數(shù)據(jù)服務(wù)功能的知識產(chǎn)權(quán)數(shù)據(jù)服務(wù)商。

我們的產(chǎn)品包含105個國家的1.26億組數(shù)據(jù),免費查、免費專利分析。

申請試用

分析報告

專利匯分析報告產(chǎn)品可以對行業(yè)情報數(shù)據(jù)進行梳理分析,涉及維度包括行業(yè)專利基本狀況分析、地域分析、技術(shù)分析、發(fā)明人分析、申請人分析、專利權(quán)人分析、失效分析、核心專利分析、法律分析、研發(fā)重點分析、企業(yè)專利處境分析、技術(shù)處境分析、專利壽命分析、企業(yè)定位分析、引證分析等超過60個分析角度,系統(tǒng)通過AI智能系統(tǒng)對圖表進行解讀,只需1分鐘,一鍵生成行業(yè)專利分析報告。

申請試用

QQ群二維碼
意見反饋