[发明专利]一种面向工业控制系统的网络安全监控方法

权利要求书

1.一种面向工业控制系统的网络安全监控方法，其特征在于，包括以下几个步骤：

步骤一，采集工业控制系统内部监测对象的相关信息；

步骤二，对采集到的相关信息进行安全分析；

步骤三，当分析发现有潜在异常行为时，生成相关安全管控命令，下发到相关监测对象进行执行，阻断异常行为；

步骤二中，所述安全分析包括统计分析、异常检测和关联分析；所述统计分析是指从信息来源、信息类型、信息重要程度、当天信息数量、当月信息数量对采集信息进行统计；所述异常检测是指分析检测出接入异常、登录异常、操作异常、状态异常、网络外联异常和异常安全事件；所述接入异常包括不在白名单范围内的移动存储设备、笔记本的接入；所述登录异常是指连续登录失败次数超过规定阈值的登录；所述操作异常是指执行了定义的危险操作指令，对定义的受控目录、受控文件的内容、权限进行了修改；所述状态异常是指CPU利用率、内存利用率、磁盘空间使用率、网口流量超过了规定的阈值；所述网络外联异常是指出现了不在安全策略允许范围内的网络连接；所述异常安全事件是指不符合访问控制策略的访问事件、网络攻击事件；所述关联分析是指对离散的采集信息之间进行关联性分析，找出各个离散的采集信息之间的关联关系；

所述安全分析具体方法如下：

(2-1)对采集的信息进行去重、清洗、分类、格式化处理；

(2-2)从信息来源、信息类型、信息重要程度、当天信息数量、当月信息数量对采集信息进行综合统计；

(2-3)进行异常检测，根据采集信息的类型，检测该信息是否存在异常；如果不存在，且该信息的重要程度为一般，则返回步骤(2-1)，否则，转向步骤(2-4)；

(2-4)进行关联分析，从聚类、时序对当前的单个事件信息与其他已收集分析的事件信息进行关联分析，识别出当前事件信息所属的行为序列，并将该事件信息添加到所属的行为序列中；

(2-5)查找知识库，对所述行为序列进行威胁分析；如果分析结果没有威胁且该行为序列结束，则删除该行为序列并返回步骤(2-1)；如果尚未识别到威胁，且该行为序列尚未结束，则返回步骤(2-1)继续；如果识别出该行为序列存在异常或威胁，则转向步骤(2-6)；

(2-6)进行安全告警，并启动后续安全管控命令。

2.如权利要求1所述的一种面向工业控制系统的网络安全监控方法，其特征在于：步骤一中，所述监测对象包括网络设备、安全设备、主机设备三类，所述网络设备包括工控交换机，所述安全设备包括防火墙、网闸隔离装置、VPN加密装置，所述主机设备包括监控主机、通信网关机、服务器、工作站。

3.如权利要求1所述的一种面向工业控制系统的网络安全监控方法，其特征在于：步骤一中，所述相关信息从信息严重程度上由高到低分为紧急、重要、普通、一般四类。

4.如权利要求1所述的一种面向工业控制系统的网络安全监控方法，其特征在于：步骤一中，所述相关信息从信息类型上划分为接入信息、登录信息、操作信息、状态信息、网络连接信息、安全事件信息六类；所述接入信息包括移动存储设备的接入及笔记本电脑通过网络接入；所述登录信息包括对所有监测对象的本地及远程登录信息，包括登录成功信息、登录失败信息及退出登录信息；所述操作信息是指通过远程终端登录到主机设备及网络设备后进行的操作命令与操作命令结果回显信息；所述状态信息包括CPU利用率、内存利用率、磁盘空间使用率、网口流量；所述网络连接信息是指主机设备上存在的与外部的TCP/UDP连接信息；所述安全事件信息是指安全设备检测到的安全事件信息。

5.如权利要求4所述的一种面向工业控制系统的网络安全监控方法，其特征在于：所述移动存储设备包括U盘、移动硬盘、USB光驱、USB上网卡、手机和光盘。

6.如权利要求1所述的一种面向工业控制系统的网络安全监控方法，其特征在于：步骤一中，所述监测对象支持通过SNMP、SYSLOG、自定义专用协议方式进行信息采集。

7.如权利要求1所述的一种面向工业控制系统的网络安全监控方法，其特征在于：步骤三中，安全管控命令下发支持多种方式，包括通过SNMP下发、通过自定义专用协议下发。

8.如权利要求1所述的一种面向工业控制系统的网络安全监控方法，其特征在于：步骤三中，阻断异常行为的方法包括以下几种：禁用可疑移动存储设备所接USB接口、关闭运维笔记本所接的交换机的端口、阻止危险操作指令执行、断开可疑登录连接、添加访问控制策略阻止非法访问。