一种工业控制网络安全过滤系统及方法与流程

本发明涉及工业控制系统网络安全技术领域，更具体的说是涉及一种工业控制网络安全过滤方法和系统。

背景技术：

在工业化和信息化“两化融合”的背景下，现代工业企业迫切需要实现由离散控制系统(dcs)和监视控制系统(scada)组成的企业生产过程控制的最底层，与上层管理信息系统(erp、oa等等)之间互联、互通，实现决策层、经营管控层与操作执行层之间的双向信息流交互，使企业对生产现场保持及时的双向信息反馈，消除信息孤岛与断层现象，进一步发挥信息系统的集成效益。在这样的背景下，各种不安全因素会随着正常的信息流进入工业控制网络，导致企业生产的不稳定，特别是一些关系到国计民生的重大型企业，面临着日益严重的安全威胁。

目前的设备和资产大多都基于网络部署，共同接入工业企业内部的统一网络，统一分配ip地址管理，但是由于不同部门不同层次的实际网络需求，设备较多，网络结构复杂，使用的是不同厂家不同批次的网络安全产品。过去企业实际采用的网络安全设备来源多样，时间跨度长，其日志告警信息大多只能登陆到各自设备进行查看，随着设备信息化不断提升，各安全设备厂商的安全报警日志也逐渐实现了信息化管理，能够在特定的网页上浏览并分析处置告警，但是也因此存在碎片化管理问题，因此需要一套适合企业实际情况的统一平台来集中管理。同时产生的告警信息大多类型庞杂，信息量较大，不利于信息运维人员进行查看管理，快速排查出真正的隐患问题，需要设计一套分类管理安全报警日志信息并进行过滤处理的信息系统。。

技术实现要素：

(一)解决的技术问题

本发明公开了一种工业控制网络安全过滤方法和系统，快速便捷的提升信息的安全。

(二)技术方案

为实现上述目的，本发明提供如下技术方案：一种工业控制网络安全过滤方法，其特征在于，包括以下步骤：

步骤1、构建网络安全知识库；

步骤2、获取工业网络安全设备中的安全报警日志，并进行分类；

步骤3：将分类后的安全报警日志转变为统一数据格式下进行存储；

步骤4：滤除重复、无效的安全报警日志；

步骤5：对步骤4中得到的安全报警日志与步骤1中的网络安全知识库进行对比，并将对比后的结果按照重要性进行排序，并合并成一个文件，依次按照重要性顺序发送至目标运维人员。

本发明改进有，所述步骤1中的构建网络安全知识库具体包括：

步骤1-1、将现有的数据进行关系连接，并构建出初步网络安全知识库；

步骤1-2、根据数据关系推理模型对初步网络安全知识库进行关系推理，获得缺失关系；

步骤1-3、根据缺失关系进行资料收集，并不断的完善网络安全知识库。

本发明改进有，所述步骤1-1中，现有的数据为安全的网络知识，获得正确关系数据，所述步骤1-2中，数据关系为非安全的网络知识推断出的关系，获得错误关系数据，并根据错误关系数据进行关系推理。

本发明改进有，所述步骤1中采用网络爬虫工具进行安全报警日志。

本发明改进有，所述安全报警日志包括编号、网络类型、时间、ip、端口、状态码、漏洞名称、用户名、负责人和初步分析结果；所述攻击安全报警日志包括攻击类型、预警编号、攻击时间、源ip、目的ip、源端口、目的端口、源ip负责人、目的ip负责人、攻击次数和处置建议。

本发明改进有，所述步骤4中无效的安全报警日志包括利用源ip、源端口、目的ip和目的端口滤除工业系统外部非常规访问。

本发明进一步提供一种工业控制网络安全过滤系统，包括：

网络安全知识库，连接正确的网络安全关系；

安全报警采集模块，采集工业网络安全设备中的安全报警日志；

筛选模块，连接安全报警采集模块，并筛选重复、无效的安全报警日志；

过滤模块，连接筛选模块及网络安全知识库，并将筛选模块筛选后的安全报警日志与网络安全知识库进行对比，过滤，并形成预警文件。

(三)有益效果

与现有技术相比，本发明提供了一种工业控制网络安全过滤方法和系统，具备以下有益效果：

能够统一的管理告警信息，并且进行过滤告警信息，尽快找准重要信息，降低了工作人员的压力，方便了运维人员的实际工作，节省了人力物力，统一不同安全日志信息，方便整理管理，效率高且效果好。

附图说明

图1为本发明图的流程示意图；

图2为本发明图的构建网络安全知识库的流程示意图；

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图1及图2，本发明提供一种工业控制网络安全过滤系统，包括：

网络安全知识库，连接正确的网络安全关系；

安全报警采集模块，采集工业网络安全设备中的安全报警日志；

筛选模块，连接安全报警采集模块，并筛选重复、无效的安全报警日志；

过滤模块，连接筛选模块及网络安全知识库，并将筛选模块筛选后的安全报警日志与网络安全知识库进行对比，过滤，并形成预警文件。

上述系统的具体过程，参照本发明进一步提供的一种工业控制网络安全过滤方法，包括以下步骤：

步骤1、构建网络安全知识库；

步骤2、获取工业网络安全设备中的安全报警日志，并进行分类。

步骤3：将分类后的安全报警日志转变为统一数据格式下进行存储；

步骤4：滤除重复、无效的安全报警日志；

步骤5：对步骤4中得到的安全报警日志与步骤1中的网络安全知识库进行对比，并将对比后的结果按照重要性进行排序，并合并成一个文件，依次按照重要性顺序发送至目标运维人员。

对各类网络安全设备的日志进行统一管控需要提取各类设备安全报警日志的共同信息，将采集来的数据放置在统一的数据格式下进行存储，其次需要制定相应的技术规则来滤除重复、无效的日志信息，最后通过网络安全知识库过滤，获得告警信息，可以在前述操作的基础上依据告警重复次数、告警类型重要性和告警所涉设备资产重要性按照重要性进行排序，并按设备或ip对告警进行合并，依次按照重要性顺序发送至目标运维人员，以方便运维人员管控。

本发明改进有，所述步骤1中的构建网络安全知识库具体包括：

步骤1-1、将现有的数据进行关系连接，并构建出初步网络安全知识库；

步骤1-2、根据数据关系推理模型对初步网络安全知识库进行关系推理，获得缺失关系；

步骤1-3、根据缺失关系进行资料收集，并不断的完善网络安全知识库。

本发明改进有，所述步骤1-1中，现有的数据为安全的网络知识，获得正确关系数据，所述步骤1-2中，数据关系为非安全的网络知识推断出的关系，获得错误关系数据，并根据错误关系数据进行关系推理。

本发明改进有，所述步骤1中采用网络爬虫工具进行安全报警日志。

安全事件数据包括各类安全事件数据如钓鱼事件数据、远控木马数据、恶意软件数据、漏洞利用数据、网站后门数据、ddos攻击数据、流数据、域名数据、url日志数据、外部威胁情报数据、whois域名注册数据等中的一种或者多种，对此本申请实施例不作限定。

本申请实施例中，将安全事件数据中的实体(如ip、域名、邮箱、恶意样本等)进行解析抽取，并将各实体间的关系也抽取出来，进而形成原始关系数据，举例来说，如邮件发件人与源ip的关系、邮件中的文件md5与收件人的关系、文件传播的源ip与目的ip的关系、域名对应的解析ip的关系等。

本发明改进有，所述安全报警日志包括编号、网络类型、时间、ip、端口、状态码、漏洞名称、用户名、负责人和初步分析结果；所述攻击安全报警日志包括攻击类型、预警编号、攻击时间、源ip、目的ip、源端口、目的端口、源ip负责人、目的ip负责人、攻击次数和处置建议。

本发明改进有，所述步骤4中无效的安全报警日志包括利用源ip、源端口、目的ip和目的端口滤除工业系统外部非常规访问。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。