[发明专利]一种工业控制系统风险识别方法及装置

说明书

本发明实施例公开了一种工业控制系统风险识别方法及装置，包括：捕获被监控工业控制系统网络通信过程中所发送的协议报文；提取协议报文的特征值；将协议报文的特征值与协议报文特征库中的特征进行比对，确定协议报文的报文类型；确定协议报文的报文通信序列；将报文通信序列与协议报文通信序列库中的报文通信序列进行比对，确定协议报文对应的协议版本；依据协议报文的报文类型，确定协议报文对应的主机类型；依据主机类型及协议版本，确定工业控制系统的风险。本发明中可依据协议报文，确定该协议报文对应的主机类型以及协议版本，进而依据主机类型以及协议版本，确定工业控制系统的风险，实现了对工业控制系统进行有效的风险识别的目的。

技术领域

本发明涉及工业控制系统信息安全技术领域，具体涉及一种工业控制系统风险识别方法及装置。

背景技术

工业控制系统广泛应用于我国各领域重要基础设施，是国民生产的重要组成部分。工业控制系统经过几代革新，充分利用了传统信息系统的先进技术，同时，工业控制系统信息安全问题在工业信息化、网络化的发展过程中已经逐渐暴露出来，并且已经出现了针对专门工业控制系统的恶意代码和攻击程序。

目前，工业控制系统在安全监控与防护技术方面已经具有了初步的探索，但对于工业控制系统实施相应的安全措施具有一定的局限性。首先，工业控制系统是物理安全关键系统，因此无法直接应用传统信息安全的防护方法，同时由于工业通信协议与数据交互实时性要求，不宜对系统直接进行阻断式的防护方法，因此更多采用安全监控与应急响应的安全应用方式；其次，对于工业控制系统生命周期长的特点，很多控制系统的资料由于部署时间久远而无法获得。

因此，如何对工业控制系统进行有效的风险识别，成为目前亟待解决的技术问题。

发明内容

有鉴于此，本发明实施例提供一种工业控制系统风险识别方法及装置，能够对工业控制系统中的风险进行有效识别。

为实现上述目的，本发明实施例提供如下技术方案：

一种工业控制系统风险识别方法，包括：

捕获被监控工业控制系统网络通信过程中所发送的协议报文；

提取所述协议报文的特征值；

将所述协议报文的特征值与预先设置的协议报文特征库中的特征进行比对，得到特征值比对结果；

依据所述特征值比对结果，确定所述协议报文的报文类型；

确定所述协议报文的报文通信序列；

将所述报文通信序列与预先设置的协议报文通信序列库中的报文通信序列进行比对，得到报文通信序列比对结果；

依据所述报文通信序列比对结果，确定所述协议报文对应的协议版本；

依据所述协议报文的报文类型，确定所述协议报文对应的主机类型；

依据所述主机类型以及所述协议报文对应的协议版本，确定所述工业控制系统的风险。

优选的，在捕获被监控工业控制系统网络通信过程中所发送的协议报文之后，还包括：

依据源、目的IP地址以及目的端口信息，将所述协议报文发送至不同的会话处理流程中。

优选的，所述将所述协议报文的特征值与预先设置的协议报文特征库中的特征进行比对，得到特征值比对结果的过程包括：

依据所述协议报文的特征值在协议报文中对应的排列顺序，将相应排列位置上的特征值与预先设置的协议报文特征库中的特征值进行比对，得到特征值比对结果，其中，所述协议报文的特征值至少包括：字段类型、字段偏移、字段长度以及字段取值。

优选的，所述依据所述协议报文的报文类型，确定所述协议报文对应的主机类型的过程包括：