[发明专利]一种面向工业控制系统的网络安全监控方法

摘要

本发明公开了一种面向工业控制系统的网络安全监控方法，包括以下步骤：采集工业控制系统内部监测对象的相关信息；对采集到的相关信息进行安全分析；当分析发现有潜在异常行为时，生成相关安全管控命令，并下发到相关监测对象进行执行，阻断异常行为。本发明通过对工业控制系统的核心联网设备进行丰富的数据采集，实现了对外设接入、人员操作、网络外联等工业控制系统主要安全隐患行为的实时监视，同时，通过对各种行为进行分析处理，及时发现并阻断异常行为，真正实现了工业控制系统的主动防御。对于难以将传统安全防护措施有效应用到工业控制系统的现状，从监控预警的角度很好的解决了当前工业控制系统面临的主要安全威胁。

主权项

1.一种面向工业控制系统的网络安全监控方法，其特征在于，包括以下几个步骤：步骤一，采集工业控制系统内部监测对象的相关信息；步骤二，对采集到的相关信息进行安全分析；步骤三，当分析发现有潜在异常行为时，生成相关安全管控命令，下发到相关监测对象进行执行，阻断异常行为；步骤二中，所述安全分析包括统计分析、异常检测和关联分析；所述统计分析是指从信息来源、信息类型、信息重要程度、当天信息数量、当月信息数量对采集信息进行统计；所述异常检测是指分析检测出接入异常、登录异常、操作异常、状态异常、网络外联异常和异常安全事件；所述接入异常包括不在白名单范围内的移动存储设备、笔记本的接入；所述登录异常是指连续登录失败次数超过规定阈值的登录；所述操作异常是指执行了定义的危险操作指令，对定义的受控目录、受控文件的内容、权限进行了修改；所述状态异常是指CPU利用率、内存利用率、磁盘空间使用率、网口流量超过了规定的阈值；所述网络外联异常是指出现了不在安全策略允许范围内的网络连接；所述异常安全事件是指不符合访问控制策略的访问事件、网络攻击事件；所述关联分析是指对离散的采集信息之间进行关联性分析，找出各个离散的采集信息之间的关联关系；所述安全分析具体方法如下：(2‑1)对采集的信息进行去重、清洗、分类、格式化处理；(2‑2)从信息来源、信息类型、信息重要程度、当天信息数量、当月信息数量对采集信息进行综合统计；(2‑3)进行异常检测，根据采集信息的类型，检测该信息是否存在异常；如果不存在，且该信息的重要程度为一般，则返回步骤(2‑1)，否则，转向步骤(2‑4)；(2‑4)进行关联分析，从聚类、时序对当前的单个事件信息与其他已收集分析的事件信息进行关联分析，识别出当前事件信息所属的行为序列，并将该事件信息添加到所属的行为序列中；(2‑5)查找知识库，对所述行为序列进行威胁分析；如果分析结果没有威胁且该行为序列结束，则删除该行为序列并返回步骤(2‑1)；如果尚未识别到威胁，且该行为序列尚未结束，则返回步骤(2‑1)继续；如果识别出该行为序列存在异常或威胁，则转向步骤(2‑6)；(2‑6)进行安全告警，并启动后续安全管控命令。