一种工业控制网络安全保护监测系统的制作方法

本发明涉及一种监测系统，特别是工业控制网络安全保护监测系统。

背景技术：

关键性基础设施系统是制造业、交通和能源业等大型工业的基础，“工业互联网、物联网”等技术广泛应用，工控系统越来越复杂，连接到越来越多的商业和外部网络，工业控制网络从独立的网络状态发展成为与企业it环境相互连接的网络，安全问题也随之增加，工控系统中众多的安全隐患会增加攻击的可能，这些攻击可以是异步执行，而且可以长期以工业控制网络安全保护监测系统（以下简称：工控系统）中的多种漏洞为目标，工控系统面临着各种安全威胁和脆弱性困扰。

当前的通讯控制协议，是基于因特网协议（tcp/ip）的计算机环境中，过去在相关脆弱性处理方面，一般使用安全规则和操作方案来保护关键性信息组件，从降低风险的角度来看，简单地将it安全技术配置到工控系统中可能不是可行的解决方案。尽管现代工业控制系统也使用和it商务网络同样的通讯协议，但是控制系统的特殊功能要求（同时结合了操作要求和可执行要求）可能使得本来合格的安全技术变得没有效果。一些部门例如能源、交通和流程制造行业，对时间的控制极为敏感，所以被安全措施隔离的潜在和吞吐问题可能导致系统无法接受的延迟，以至于无法正常工作。

现代基于网络的通讯，必须要在工控系统领域解决安全问题，工控领域的关键性网络安全问题主要有如下：网络边界内的后门程序；普通通讯协议的脆弱性；设备缺乏或没有安全保护；对现场设备的攻击；数据库攻击；数据通信空中拦截和中间环节攻击；软件和防火墙不适当或者不存在的补丁更新；不安全编程；内部和外部的个人不正确的网络安全操作；控制系统缺乏有效降低风险技术理解系统脆弱性和攻击方式从而进行攻克是建立安全防御的有效措施。

技术实现要素：

本发明所要解决的技术问题是针对现有技术的不足，提供一种新的工业控制网络安全保护监测系统，可实现对工业设备进行实时有效的预防和保护；预防工控网络被外部攻击。

本发明所要解决的技术问题是通过以下的技术方案来实现的。本发明是一种工业控制网络安全保护监测系统，其特点是：该系统对工控网络的工业设备进行实时预防和保护，系统以集成应用平台为基础，通过采集、分析层、功能层和展示层实现网络安全保护监测；

展示层主要将安全趋势、系统拓扑以及工控全景进行展示；通过工控网络安全综合展示模块为工控网络保护监测系统提供可视化的全景图、安全趋势、系统拓扑以及工艺流程可视化界面；

采集层包括对网络数据流量的采集和对工控网络操作的记录；

分析层主要包括数据处理、数据关联、数据聚合、数据建模，与其他功能模块的集成接口，为多应用开发的基础组件库，为管理决策提供数据依据，各种异常情况预警的消息机制内容；

功能层主要包括监测审计、入侵防护、漏洞挖掘、数据隔离，功能层主要功能模块包括工控网络智能保护模块和工控网络异常检测模块；工控网络异常检测模块主要包含安全预警、攻击路径和风险管理；工控网络智能保护模块主要包括协议识别、规则验证和黑白名单。

本发明所述的一种工业控制网络安全保护监测系统，其特进一步优选的技术方案是：所述的工控网络智能保护模块针对制造业的复杂流程，通过对工业协议进行深度解析，针对工业网络协议的内容和数据进行细致的合规性检查，对于操作指令中包含的针对点表、寄存器的异常操作进行报警，使得应用入侵检测与防护系统能够在病毒入侵攻击系统前检测到入侵攻击，利用报警与防护系统驱逐入侵攻击，同时收集入侵攻击相关信息，作为防范系统的知识添加到知识库。

工控网络智能保护模块通过系统入侵检测与防护模块对多种协议进行合规性检查，实现入侵防御、威胁防御、病毒防护以及流量控制和应用管理功能；包括：

网络引擎：使用硬件平台提供可靠稳定的硬件环境，辅助以系统运行的必须软件，组成网络引擎，支持传统it网络协议，支持工业网络协议，进行ip碎片重组、流汇聚、tcp状态跟踪、数据捕获、交换、ipv4/v6协议栈入栈；

管理模块：主要进行用户管理、配置管理、策略管理、事件管理、日志管理、系统监控；

安全响应模块：针对配置信息、配置策略，对检测事件进行对应的响应。

所述的工控网络异常监测模块通过网络数据的采集、分析、识别，实时动态监测通信内容、网络行为和网络流量，不仅检测网络安全层面的异常，还融入了不同行业的业务安全告警，基于对工业控制协议包括modbustcp、opc、siemenss7、dnp3、iec60870-5-104、iec61850-mms、iec61850-goose、iec61850-sv的通信报文进行深度解析，实时检测针对工业协议的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒类恶意软件的传播并实时报警，同时详实记录一切网络通信行为，包括指令级的工业控制协议通信记录，实时报警响应，全面记录网络系统中的各种会话和事件，为工业控制系统的安全事故调查提供依据；实现对网络信息的智能关联分析、评估及安全事件的准确全程跟踪定位，为整体网络安全策略的制定提供支持。

所述的工控网络异常监测模块，主要通过对协议的深度挖掘以及异常行为检测实现异常报警、流量统计、日志查询、报表导出功能；包括：

基础服务层：使用硬件平台提供可靠稳定的硬件环境，辅助以系统运行的必须软件，组成基础平台层，支持传统it网络协议，支持工业网络协议；

数据分析层：主要是数据采集模块和协议解码模块，对工控协议进行深度解析和分析，提取关键操作行为；

核心业务层：在该层实现系统的应用功能的实现；包括基于工控场景的业务行为基线，基于黑白名单的异常行为告警；

用户接口层：在该层实现和最终用户的人机界面，通过web接口进入管理界面进行系统配置管理。

所述的工控网络安全综合展示模块将采集的网络数据进行分析和解析后，通过不同形式将分析处理后的结果进行全方位展示，给管理层提供决策建议；包括：

威胁管理：通过接入工控入侵检测和工控审计系统，实现对应用攻击、蠕虫、获取权限类攻击、可疑网络活动行为的集中告警，安全运维人员通过告警筛选、告警分析完成对威胁的监视、分析、诊断工作；

资产管理：从资产维度对企业网络内部的存在的威胁进行统计和分析；帮助运维人员洞悉企业内部it基础设施的情况，包括：资产ip地址、名称、开放的协议端口和应用；

设备管理：对接入的设备进行统一集中管理，帮助企业安全运维人员对设备进行统一维护和管理；

报表管理：收集工控审计和工控入侵检测系统日志，定期生成报表。

系统通过工控网络异常行为及攻击检测和智能协议识别，采用被动检测的方式从网络中采集数据包，并进行数据包的解析，智能地与系统内置的协议特征、设备对象进行匹配，生成可供参考的网络交互信息列表，通过对协议分布和流量信息的匹配，形成“网络流量行为基线”和“工控场景行为基线”，“网络流量行为基线”的形成帮助用户以最快捷的方式了解和掌握网络中的业务通信状态，发现网络潜在的安全；智能化的流量自学习规则，并辅助系统自动生成相关的异常检测规则，对现有的规则进行调优，从而进行工控网络的异常监测；通过“工控场景行为基线”自学习功能梳理工控现场资产拓扑，建立工控网络行为模型，对基线外异行为如组态变更、操控指令变更、负载变更、异常访问等告警，实现对工控现场安全事件的告警与响应，保障工业控制系统的安全稳定运行；智能协议识别是面对未知协议，在业务操作场景中通过捕获通讯数据包，从包头，功能码，数据应用部分，配合业务操作分析，主要考虑启动，停止，下装，上传，修改配置，从同一动作，多次包比较，得出动与不动的字段，继而推断包格式信息，从中提取出通讯特征；模拟客户端，重放，变异重放，观察结果，并最终在工控网络检测系统中形成规则。

工控网络安全智能保护模块通过硬件和软件的组合，使内部网络与外部网络之间建立起一个安全网关，从而保护内部网络免受来自外部网络不安全因素的威胁；工控网络安全智能保护模块还通过对工控协议深度过滤、监测和保护数据流，尽可能地对外部网络屏蔽网络内部的结构、运行状况和信息，以此实现工控系统的安全；使用白名单进行工控协议的深度过滤和智能保护；对工业网络协议进行基本的访问控制，以及对工业网络协议的内容和数据进行细致的合规性检查；安全设备支持多种工业网络通信协议、适用于各种网络环境、可与各种现场设备进行交互对接；将每一个工业协议作为一个独立的深度过滤模块，以插件的方式进行加载。

工控网络异常检测模块通过fuzzing模糊测试技术对工控采集的数据进行漏洞挖掘，对控制器进行安全攻击，用以发现工业控制器可能存在的安全缺陷；采用fuzzing技术和动态分析技术相结合的方式来通过构造异常报文，来对检验系统中在协议一致性和相关业务流程中潜在的安全性进行验证；通过针对data数据逐字节检查，确认data的每个字段内容是否在协议规定的范围内；根据发送端的数据，根据协议的规定，计算出正确的返回数据的内容；根据发送数据的内容，得出被测主机正常情况下应该返回的数据；将实际接收的数据与该数据对比，即可以判断出接收到的数据是否与预期一致；

通过软硬协同智能化处理技术实现全包线速检测、安全威胁实时评估、统一威胁管理功能，形成检测、保护、响应完整的闭环管理模式；采用基于数据流的应用识别技术，准确识别非标准端口应用、以及http协议隧道中web2.0应用，发现隐藏在应用中的攻击行为；基于敏感数据的外泄、文件识别、服务器非法外联异常行为检测，实现内网的高级威胁防护功能；软硬协同智能化处理由芯片完成千兆线速全包过滤、流重组、流量控制和应用分流，并在芯片内完成大部分攻击检查和剔除，对未知可疑的报文则上报给上层一体化检测防御处理软件，由一体化检测防御处理软件完成数据报的威胁判别和处理，并根据处理的结果确定是否要调整规则库。

采用fuzzing技术和动态分析技术相结合构造异常报文实现安全性检验方法是：根据所选择的协议类型，分析当前发送数据是否符合协议规范；根据当前发送的数据，生成预期的接收数据的内容；再分析接收到的数据与预期的数据是否一致，如果出现不一致的情况，记录相应的必要的错误信息以供查看分析；最后，对异常深入分析并生成呈现信息；通过软硬协同智能化处理技术对工控网络进行保护的方法是：在软件方面将入侵检测、安全审计、异常流量功能进行集成，防止违规信件攻击；网络数据包通过硬件处理模块进行检测，将检测结果传输到软件处理模块，对数据威胁进行识别和处理，根据处理结果调整规则库，将新规则反馈给硬件处理模块完成软硬协同处理模式，实现网络的双重保护和防御。

与现有技术相比，本发明具有以下有益效果：

1、本发明工业控制网络安全保护监测系统通过工业网络控制系统智能保护技术对工业设备进行实时预防和保护；通过监测审计技术对整个工控网络的数据信息进行监控和审计，预防工控网络被外部攻击。

2、本发明还具有工控网络漏洞挖掘功能，为整个工控网络安全保驾护航，并构建工控网络保护监测系统，为制造产业的信息化安全和自动化融合创造安全条件。

3、本发明提高了工控系统的安全管理水平，预防及阻断整个工控网络中病毒感染、来自信息网络的病毒扩散、恶意程序非法启动以及与以太网的非法连接等事件的发生，在面向工业控制网络安全层面，保障工控网络安全的可靠性及数据交流的及时性，实现工业网络控制系统智能保护、监测审计、漏洞检测以及数据采集隔离，系统保护全面、可靠、可行，且充分与工控设备相融合，解决网络、设备安全问题，最终实现全面的工控网络安全目标。

4、本发明系统引入动态安全和持续性安全防护理念，建立基于时间的安全理论基础，将网络安全的实施分为防护、检测和响应三个阶段。在整体安全策略的指导下除了部署静态的安全防护措施外，还增加了监测响应、处置回复等环节，形成了动态、闭环的安全防护措施部署机制。通过采取静态防护与动态防护措施相结合的方式，实时检测网络中出现的风险，在安全事件发生时能够及时发现并加以处置，并对处置过程中的经验进行总结以便对防护措施进行调整和完善。

5、本发明系统采用动静结合的纵横防护体系，在整个工业控制系统网络规划中，多次采用主动安全防护措施，综合利用“黑、白名单”相结合的安全防护机制，针对网络入口及传输过程中易发生攻击的地方采用入侵监测技术、防火墙及安全监测设计等手段，实现实时检测网络中出现的风险，快速响应突发事故，将损害降低最低。

附图说明

图1本发明系统的一种整体架构框图；

图2入侵检测与防护模块的一种架构框图；

图3为工控网络异常检测模块的一种架构框图；

图4为工控网络安全综合展示模块的一种架构框图。

具体实施方式

以下进一步描述本发明的具体技术方案，以便于本领域的技术人员进一步地理解本发明，而不构成对其权利的限制。

一种工业控制网络安全保护监测系统，系统整体架构图可参考图1；该系统对工控网络的工业设备进行实时预防和保护，系统以集成应用平台为基础，通过采集、分析层、功能层和展示层实现网络安全保护监测；

展示层主要将安全趋势、系统拓扑以及工控全景进行展示；通过工控网络安全综合展示模块为工控网络保护监测系统提供可视化的全景图、安全趋势、系统拓扑以及工艺流程可视化界面；

采集层包括对网络数据流量的采集和对工控网络操作的记录；

分析层主要包括数据处理、数据关联、数据聚合、数据建模，与其他功能模块的集成接口，为多应用开发的基础组件库，为管理决策提供数据依据，各种异常情况预警的消息机制内容；

功能层主要包括监测审计、入侵防护、漏洞挖掘、数据隔离，功能层主要功能模块包括工控网络智能保护模块和工控网络异常检测模块；工控网络异常检测模块主要包含安全预警、攻击路径和风险管理；工控网络智能保护模块主要包括协议识别、规则验证和黑白名单。

工控网络智能保护模块针对制造业的复杂流程，通过对工业协议进行深度解析，针对工业网络协议的内容和数据进行细致的合规性检查，对于操作指令中包含的针对点表、寄存器的异常操作进行报警，使得应用入侵检测与防护系统能够在病毒入侵攻击系统前检测到入侵攻击，利用报警与防护系统驱逐入侵攻击，同时收集入侵攻击相关信息，作为防范系统的知识添加到知识库。

工控网络智能保护模块通过系统入侵检测与防护模块对多种协议进行合规性检查，实现入侵防御、威胁防御、病毒防护以及流量控制和应用管理功能；入侵检测与防护模块其架构可参照图2，包括：

网络引擎：使用硬件平台提供可靠稳定的硬件环境，辅助以系统运行的必须软件，组成网络引擎，支持传统it网络协议，支持工业网络协议，进行ip碎片重组、流汇聚、tcp状态跟踪、数据捕获、交换、ipv4/v6协议栈入栈；

管理模块：主要进行用户管理、配置管理、策略管理、事件管理、日志管理、系统监控；

安全响应模块：针对配置信息、配置策略，对检测事件进行对应的响应。

所述的工控网络异常监测模块通过网络数据的采集、分析、识别，实时动态监测通信内容、网络行为和网络流量，不仅检测网络安全层面的异常，还融入了不同行业的业务安全告警，基于对工业控制协议包括modbustcp、opc、siemenss7、dnp3、iec60870-5-104、iec61850-mms、iec61850-goose、iec61850-sv的通信报文进行深度解析，实时检测针对工业协议的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒类恶意软件的传播并实时报警，同时详实记录一切网络通信行为，包括指令级的工业控制协议通信记录，实时报警响应，全面记录网络系统中的各种会话和事件，为工业控制系统的安全事故调查提供依据；实现对网络信息的智能关联分析、评估及安全事件的准确全程跟踪定位，为整体网络安全策略的制定提供支持。

参照图3，所述的工控网络异常监测模块，主要通过对协议的深度挖掘以及异常行为检测实现异常报警、流量统计、日志查询、报表导出功能；包括：

基础服务层：使用硬件平台提供可靠稳定的硬件环境，辅助以系统运行的必须软件，组成基础平台层，支持传统it网络协议，支持工业网络协议；

数据分析层：主要是数据采集模块和协议解码模块，对工控协议进行深度解析和分析，提取关键操作行为；

核心业务层：在该层实现系统的应用功能的实现；包括基于工控场景的业务行为基线，基于黑白名单的异常行为告警；

用户接口层：在该层实现和最终用户的人机界面，通过web接口进入管理界面进行系统配置管理。

参照图4，所述的工控网络安全综合展示模块将采集的网络数据进行分析和解析后，通过不同形式将分析处理后的结果进行全方位展示，给管理层提供决策建议；包括：

威胁管理：通过接入工控入侵检测和工控审计系统，实现对应用攻击、蠕虫、获取权限类攻击、可疑网络活动行为的集中告警，安全运维人员通过告警筛选、告警分析完成对威胁的监视、分析、诊断工作；

资产管理：从资产维度对企业网络内部的存在的威胁进行统计和分析；帮助运维人员洞悉企业内部it基础设施的情况，包括：资产ip地址、名称、开放的协议端口和应用；

设备管理：对接入的设备进行统一集中管理，帮助企业安全运维人员对设备进行统一维护和管理；

报表管理：收集工控审计和工控入侵检测系统日志，定期生成报表。

系统通过工控网络异常行为及攻击检测和智能协议识别，采用被动检测的方式从网络中采集数据包，并进行数据包的解析，智能地与系统内置的协议特征、设备对象进行匹配，生成可供参考的网络交互信息列表，通过对协议分布和流量信息的匹配，形成“网络流量行为基线”和“工控场景行为基线”，“网络流量行为基线”的形成帮助用户以最快捷的方式了解和掌握网络中的业务通信状态，发现网络潜在的安全；智能化的流量自学习规则，并辅助系统自动生成相关的异常检测规则，对现有的规则进行调优，从而进行工控网络的异常监测；通过“工控场景行为基线”自学习功能梳理工控现场资产拓扑，建立工控网络行为模型，对基线外异行为如组态变更、操控指令变更、负载变更、异常访问等告警，实现对工控现场安全事件的告警与响应，保障工业控制系统的安全稳定运行；智能协议识别是面对未知协议，在业务操作场景中通过捕获通讯数据包，从包头，功能码，数据应用部分，配合业务操作分析，主要考虑启动，停止，下装，上传，修改配置，从同一动作，多次包比较，得出动与不动的字段，继而推断包格式信息，从中提取出通讯特征；模拟客户端，重放，变异重放，观察结果，并最终在工控网络检测系统中形成规则。

工控网络安全智能保护模块通过硬件和软件的组合，使内部网络与外部网络之间建立起一个安全网关，从而保护内部网络免受来自外部网络不安全因素的威胁；工控网络安全智能保护模块还通过对工控协议深度过滤、监测和保护数据流，尽可能地对外部网络屏蔽网络内部的结构、运行状况和信息，以此实现工控系统的安全；使用白名单进行工控协议的深度过滤和智能保护；对工业网络协议进行基本的访问控制，以及对工业网络协议的内容和数据进行细致的合规性检查；安全设备支持多种工业网络通信协议、适用于各种网络环境、可与各种现场设备进行交互对接；将每一个工业协议作为一个独立的深度过滤模块，以插件的方式进行加载。

工控网络异常检测模块通过fuzzing模糊测试技术对工控采集的数据进行漏洞挖掘，对控制器进行安全攻击，用以发现工业控制器可能存在的安全缺陷；采用fuzzing技术和动态分析技术相结合的方式来通过构造异常报文，来对检验系统中在协议一致性和相关业务流程中潜在的安全性进行验证；通过针对data数据逐字节检查，确认data的每个字段内容是否在协议规定的范围内；根据发送端的数据，根据协议的规定，计算出正确的返回数据的内容；根据发送数据的内容，得出被测主机正常情况下应该返回的数据；将实际接收的数据与该数据对比，即可以判断出接收到的数据是否与预期一致；

通过软硬协同智能化处理技术实现全包线速检测、安全威胁实时评估、统一威胁管理功能，形成检测、保护、响应完整的闭环管理模式；采用基于数据流的应用识别技术，准确识别非标准端口应用、以及http协议隧道中web2.0应用，发现隐藏在应用中的攻击行为；基于敏感数据的外泄、文件识别、服务器非法外联异常行为检测，实现内网的高级威胁防护功能；软硬协同智能化处理由芯片完成千兆线速全包过滤、流重组、流量控制和应用分流，并在芯片内完成大部分攻击检查和剔除，对未知可疑的报文则上报给上层一体化检测防御处理软件，由一体化检测防御处理软件完成数据报的威胁判别和处理，并根据处理的结果确定是否要调整规则库。

采用fuzzing技术和动态分析技术相结合构造异常报文实现安全性检验方法是：根据所选择的协议类型，分析当前发送数据是否符合协议规范；根据当前发送的数据，生成预期的接收数据的内容；再分析接收到的数据与预期的数据是否一致，如果出现不一致的情况，记录相应的必要的错误信息以供查看分析；最后，对异常深入分析并生成呈现信息；通过软硬协同智能化处理技术对工控网络进行保护的方法是：在软件方面将入侵检测、安全审计、异常流量功能进行集成，防止违规信件攻击；网络数据包通过硬件处理模块进行检测，将检测结果传输到软件处理模块，对数据威胁进行识别和处理，根据处理结果调整规则库，将新规则反馈给硬件处理模块完成软硬协同处理模式，实现网络的双重保护和防御。