[发明专利]一种应用于工业控制系统的实时的告警关联的方法

说明书

本发明公开了一种应用于工业控制系统的实时的告警关联的方法，其特征在于，所述方法，包括离线阶段和在线阶段；在离线阶段，抽取攻击场景，并采用矩阵作为数据结构，将场景以矩阵数据结构的方式存储到知识库中；在在线阶段，一方面，由于这些矩阵并没有将告警保存在内存中，而是保存了对应元告警的键，另一方面，基于黑灰树的索引被用于访问矩阵元素，且矩阵和索引的生成与告警无关，因此利用它们能够以在线方式实现实时的告警关联过程。通过本发明，能显著缩短告警的相关性分析的时间，实现实时的告警关联。

技术领域

本发明涉及工业控制计算机、网络安全、大数据、网络管理和自动控制的技术领域，尤其涉及到一种应用于工业控制系统的实时的告警关联的方法。

背景技术

自动化在工业系统中起着至关重要的作用。为了加速工业化进程，几乎所有的工业都采用工业控制系统进行远程操作。一些采用工业控制系统的工业包括：冶金、石油化工、天然气、自来水厂、污水处理公司、发电厂和铁路通信等。

工业控制系统通常包括位于控制中心的控制服务器、工业通信网络和一个或多个地形分散的位于现场站点的现场设备。现场的工业控制系统传感器和执行器连续监测机电设备的不同属性，并向现场控制设备（如可编程控制器PLC、远程终端单元RTU或智能电子装置IED）发送信息，并通过工业通信网络，将数据信息在现场控制设备和控制中心之间来回传输。现场控制设备将向控制中心提供数据和状态信息，控制中心的软件将处理这些数据和状态信息。随后将处理结果传输到现场设备中，以形成闭环控制，实现工业过程控制的自动化；所采用的闭环控制器包括PID（Proportional–Integral–Derivative 比例-积分-微分）控制器、模糊控制器、人工智能控制器和机器人控制器等。通过对现场设备采取必要的措施可以避免各种危险或能够优化系统性能。控制中心将数据和状态信息存储在历史数据库中，并在HMI（Human Machine Interface 人机界面）上以图文并茂的方式进行显示，HMI提供数据和状态信息的集中监控和系统控制。

通常在较大的地理区域内实施的工业控制系统的工业通信网络协议包括以太网/IP、Modbus、DNP3、Profinet、DCOM等。这些工业通信网络协议将通过卫星、无线或微波、蜂窝网络、5G、电话或专线通信媒体在广域网（WAN）中进行通信。

大型的工业控制系统的工业通信网络将需要数百个现场设备和专用的次控制中心服务器来管理通信交换，以减轻（主）控制中心服务器的负担。图2是一种应用于工业控制系统的实时的告警关联的方法的工业控制系统组成的示意图，包括如上面所述的控制中心、工业控制系统、广域网和现场站点。

最初，大型的工业控制系统的目标是专注于在单个位置（如制造工厂）实时、准确和高效地执行控制过程，而不是或当时还没有强调保护网络信息安全。由于当今的5G及其万物互连的增加，工业控制系统的工业通信网络上系统的远程可访问性和工业控制系统自身存在着各种漏洞，可能会遭受到网络攻击的危险。必须采取适当的安全措施来加强工业控制系统的网络安全。一般的安全措施包括限制边界、补丁管理、加密；最重要的安全措施是通过纵深防御机制将工业控制网和企业网分离等。然而，由于历史遗留下来的安全弱点和工业控制系统自身的实时性的要求，已有的这些安全技术现在很难有担当，很难能够胜任被应用于工业控制系统的实时的告警关联过程中。

发明内容

为了解决上述技术问题，本发明提供了一种应用于工业控制系统的实时的告警关联的方法；它将矩阵作为数据结构和将黑灰树的索引被用于访问矩阵元素，实现了实时的在线告警关联。

一种应用于工业控制系统的实时的告警关联的方法，其特征在于，所述方法，包括离线阶段和在线阶段；在离线阶段，抽取攻击场景，并采用矩阵作为数据结构，将场景以矩阵数据结构的方式存储到知识库中；在在线阶段，一方面，由于这些矩阵并没有将告警保存在内存中，而是保存了对应元告警的键，另一方面，基于黑灰树的索引被用于访问矩阵元素，且矩阵和索引的生成与告警无关，因此利用它们能够以在线方式实现实时的告警关联过程。