[发明专利]一种工控网络安全预警系统

说明书

技术领域

本发明涉及一种预警方法，具体涉及一种工控网络安全预警系统。

背景技术

目前，通信技术在工业生产领域已得到广泛应用，但由于缺少必要的报警装置，当工业网络出现故障，信息安全存在问题时无法及时查找故障原因，排除故障从而降低了生产效率。

发明内容

针对上述问题，本发明提供一种以总揽大局的方式为工业网络故障的及时排查、分析提供可靠依据的工控网络安全预警系统，用于协助安全管理工程师对工业控制网络的安全做出预判，包括网络用户遍历模块、安全数据的加密传输及加密存储模块、数据分析模块以及展示与报警模块；

所述的网络用户遍历模块采用蛛网模型对工控网络的用户进行遍历，先按照网络类型进行聚类，再将聚类网络进行分层，利用深度优先法遍历聚类网络，利用广度优先法遍历分层网络；两种网络遍历方法相结合从而提高网络遍历的效率。工业控制网络的用户按照用户性质可以分为网络安全设备和网络主机两类。网络安全设备主要包括工业防火墙、工业安全网关、工业网闸、安全审计等。网络主机主要是工程师站、APC控制站等。安全预警系统主要是通过遍历获取网络用户的运行状态、安全设备的审计日志、防火墙的规则配置及防火墙日志等用户数据模型。

安全数据的加密传输及加密存储模块，安全数据的传输利用传输通信加密及身份认证的方式进行，身份认证采用时间同步动态口令、MD5加密与数字证书相结合的多因子动态密码身份认证系统；采用AES加密后进行数据传输，系统接收传输数据经MD5加密后存储，用户必须通过动态口令及数字证书认证后才可从本地或远程访问数据库；

数据分析模块，首先将获取数据进行清理、集成并进行拆分和归一化，再进行关联分析、聚类分析后对数据进行异常分析；将网络的流量、受到的攻击次数、工业协议畸形、协议阻止次数、非法端口、非法登录、防火墙设置参数作为特征量对数据进行基于偏差与密度的二元异常分析，分析出网络的潜在危害并按特征因量的异常次数、被保护用户的重要性等确定潜在危害等级；

所述数据分析模块，首先将获取数据用分箱技术和使用属性平均值或全局常量等方法清除噪声、数据不一致及数据不完整的问题，并通过对数据的属性规约和记录规约达到对数据集成并进行拆分和归一化的目的。进一步对数据进行关联分析，找出所有频繁项集并发现大量数据中项集之间的关联关系。然后进行聚类分析将对象的集合分成相似的对象类。最后可通过异常检测对数据进行异常分析，找出离群点，例外点和野点。将网络的流量、受到的攻击次数、工业协议畸形、协议阻止次数、非法端口、非法登录、防火墙设置参数作为特征量对海量数据进行基于偏差与密度的二元异常分析，分析出网络的假冒、重放、篡改、拒绝服务等潜在危害。

展示与报警模块用于监视每个网络用户设备的流量、受攻击次数、协议畸形、协议阻止次数、非法端口异常开启、防火墙规则变动情况，并提供实时画面显示、报警查询、安全预警报告功能。

此外，展示与报警模块还负责捕获现场通讯信道中的攻击，并详细显示攻击来自哪儿、使用何种通信协议、攻击目标是谁。报警管理功能集成系统中所有的异常事件和报警信息，并对报警信息进行等级划分，以总揽大局的方式为工业网络故障的及时排查、分析提供了可靠依据。

网络用户遍历模块采用定时或状态触发的方式遍历网络用户。

本发明可以定时或状态触发高效率遍历网络用户，获取工业控制网络设备的安全状态数据，并对安全数据进行加密传输和加密存储，利用数据分析模型对数据进行分析，得出异常统计，据此判断当前系统的存在的潜在安全漏洞及安全风险，并对他们进行桌面展示及报警。

附图说明

图1是本发明系统部署图；

图2是网络用户遍历的示意图；

图3是安全管理平台示意图；

图4是数据通信安全机制示意图；

图5是数据分析模块示意图；

图6是本发明的工作流程图。

具体实施方式

一种工控网络安全预警系统，用于协助安全管理工程师对工业控制网络的安全做出预判，如图1所示，包括网络用户遍历模块、安全数据的加密传输及加密存储模块、数据分析模块以及展示与报警模块；