[发明专利]一种工业控制网络安全过滤系统及方法

权利要求书

1.一种工业控制网络安全过滤方法，其特征在于，包括以下步骤：

步骤1、构建网络安全知识库；

步骤2、获取工业网络安全设备中的安全报警日志，并进行分类；

步骤3：将分类后的安全报警日志转变为统一数据格式下进行存储；

步骤4：滤除重复、无效的安全报警日志；

步骤5：对步骤4中得到的安全报警日志与步骤1中的网络安全知识库进行对比，并将对比后的结果按照重要性进行排序，并合并成一个文件，依次按照重要性顺序发送至目标运维人员。

2.根据权利要求1所述的一种工业控制网络安全过滤方法，其特征在于，所述步骤1中的构建网络安全知识库具体包括：

步骤1-1、将现有的数据进行关系连接，并构建出初步网络安全知识库；

步骤1-2、根据数据关系推理模型对初步网络安全知识库进行关系推理，获得缺失关系；

步骤1-3、根据缺失关系进行资料收集，并不断的完善网络安全知识库。

3.根据权利要求2所述的一种工业控制网络安全过滤方法，其特征在于，所述步骤1-1中，现有的数据为安全的网络知识，获得正确关系数据，所述步骤1-2中，数据关系为非安全的网络知识推断出的关系，获得错误关系数据，并根据错误关系数据进行关系推理。

4.根据权利要求1所述的一种工业控制网络安全过滤方法，其特征在于，所述步骤1中采用网络爬虫工具进行安全报警日志。

5.根据权利要求1所述的一种工业控制网络安全过滤方法，其特征在于，所述安全报警日志包括编号、网络类型、时间、ip、端口、状态码、漏洞名称、用户名、负责人和初步分析结果；所述攻击安全报警日志包括攻击类型、预警编号、攻击时间、源ip、目的ip、源端口、目的端口、源ip负责人、目的ip负责人、攻击次数和处置建议。

6.根据权利要求1所述的一种工业控制网络安全过滤方法，其特征在于，所述步骤4中无效的安全报警日志包括利用源IP、源端口、目的IP和目的端口滤除工业系统外部非常规访问。

7.一种工业控制网络安全过滤系统，其特征在于，包括：

网络安全知识库，连接正确的网络安全关系；

安全报警采集模块，采集工业网络安全设备中的安全报警日志；

筛选模块，连接安全报警采集模块，并筛选重复、无效的安全报警日志；

过滤模块，连接筛选模块及网络安全知识库，并将筛选模块筛选后的安全报警日志与网络安全知识库进行对比，过滤，并形成预警文件。