工业网络流量监测审计方法、装置及系统与流程

本发明涉及工业控制技术领域，尤其是涉及一种工业网络流量监测审计方法、装置及系统。

背景技术：

任何的网络攻击行为，甚至是人为的不规范操作都可以在网络流量中体现，工业流量监测审计设备基于对工业控制协议的通信报文进行深度解析，通过实时动态分析、数据流监控、网络行为审计等技术，快速识别工业控制网络中存在的异常行为，实现实时检测针对工业协议的网络攻击、非法设备接入以及蠕虫、病毒等恶意软件的传播的行为并实时报警，同时详实记录一切网络通信行为，为工业控制系统的安全事故调查提供坚实的基础。

但是面对大型的生产企业，生产车间多、工控系统数量大、工业生产网络庞杂、工业数据流量大，传统的做法需要在各分散点部署非常多的监测审计设备，并需要额外的设备(如管理平台)实现多台监测审计设备间的信息共享和联动。该做法带来了实施难度大和高昂的安全投入，成为企业工业信息安全建设的障碍。

技术实现要素：

本发明的目的在于提供一种工业网络流量监测审计方法、装置及系统，增加稳定性和实用性，且降低实施难度、节约设备成本。

本发明提供的一种工业网络流量监测审计方法，其中，应用于终端设备，包括：采集工业交换机的镜像流量；基于所述工业交换机的端口确定所述镜像流量的工控协议，并根据与工控协议对应的协议规范解析所述工控协议，得到协议解析信息；基于所述协议解析信息处理所述镜像流量，得到所述工业交换机的资产档案；接收工控系统导出的变量信息，并基于所述变量信息匹配所述资产档案中的工业行为；基于预设管理策略，将所述变量信息以及所述工业行为确定为第一处理数据，并将所述第一处理数据发送至工业网络监测审计平台，以使所述工业网络监测审计平台进行工业网络流量监测审计。

本发明提供的一种工业网络流量监测审计方法，其中，应用于工业网络监测审计平台，包括：接收终端设备上传的第一处理数据；对所述第一处理数据进行解析还原，得到原始行为；基于所述第一处理数据提取特征，并基于所述特征生成与当前工业控制网络环境对应的白名单安全策略规则；基于所述白名单安全策略规则对所述原始行为进行监测审计。

进一步的，基于所述白名单安全策略规则对所述原始行为进行监测审计，包括：判断所述原始行为是否符合所述白名单安全策略规则，将不符合所述白名单安全策略规则的原始行为确定为告警事件，并生成告警信息；对所述告警信息进行核查，判断所述告警事件是否为误报；若确定所述告警事件为非误报，则基于所述告警事件生成网络告警分布图。

进一步的，在生成网络告警分布图之后，还包括：基于所述网络告警分布图和所述告警信息的威胁程度，生成风险报告。

本发明提供的一种工业网络流量监测审计装置，其中，应用于终端设备，包括：采集模块，用于采集工业交换机的镜像流量；确定解析模块，用于基于所述工业交换机的端口确定所述镜像流量的工控协议，并根据与工控协议对应的协议规范解析所述工控协议，得到协议解析信息；处理模块，用于基于所述协议解析信息处理所述镜像流量，得到所述工业交换机的资产档案；接收匹配模块，用于接收工控系统导出的变量信息，并基于所述变量信息匹配所述资产档案中的工业行为；确定发送模块，用于基于预设管理策略，将所述变量信息以及所述工业行为确定为第一处理数据，并将所述第一处理数据发送至工业网络监测审计平台，以使所述工业网络监测审计平台进行工业网络流量监测审计。

本发明提供的一种工业网络流量监测审计装置，其中，应用于工业网络监测审计平台，包括：接收模块，用于接收终端设备上传的第一处理数据；解析还原模块，用于对所述第一处理数据进行解析还原，得到原始行为；生成模块，用于基于所述第一处理数据提取特征，并基于所述特征生成与当前工业控制网络环境对应的白名单安全策略规则；监测审计模块，用于基于所述白名单安全策略规则对所述原始行为进行监测审计。

本发明提供的一种工业网络流量监测审计系统，包括：终端设备和工业网络监测审计平台；所述终端设备，用于采集工业网络流量，并对所述工业网络流量进行初步处理，得到第一处理数据；所述工业网络监测审计平台，用于对所述第一处理数据进行解析还原得到工业网络流量的原始行为，并对所述原始行为进行监测审计。

进一步的，所述工业网络监测审计平台包括以下至少一种：分布式操作系统、分布式程序设计语言、分布式文件系统和分布式数据库系统。

本发明还提供一种电子设备，包括存储器、处理器，所述存储器中存储有可在所述处理器上运行的计算机程序，其中，所述处理器执行所述计算机程序时实现所述的工业网络流量监测审计方法。

本发明还提供一种具有处理器可执行的非易失的程序代码的计算机可读介质，其中，所述程序代码使所述处理器执行所述的工业网络流量监测审计方法。

本发明提供的一种工业网络流量监测审计方法、装置及系统，应用于终端设备，包括：采集工业交换机的镜像流量；基于工业交换机的端口确定镜像流量的工控协议，并根据与工控协议对应的协议规范解析所述工控协议，得到协议解析信息；基于协议解析信息处理镜像流量，得到工业交换机的资产档案；接收工控系统导出的变量信息，并基于变量信息匹配资产档案中的工业行为；基于预设管理策略，将变量信息以及工业行为确定为第一处理数据，并将第一处理数据发送至工业网络监测审计平台，以使工业网络监测审计平台进行工业网络流量监测审计。本发明提供的工业网络流量监测审计系统是分布式工业网络流量监测审计装置，基于边缘计算的思想，在各个工业网络节点部署了终端设备，完成流量采集、还原、初步分析等初步工作，再上传到中心监测审计平台进行网络行为审计等。分布式的工业网络流量监测审计装置增加了稳定性和实用性，且降低了实施难度、节约了设备成本，适用于分布地域广、数据量大的大型工业生产控制网络，为工业企业提供工业网络行为审计服务，防范工业信息安全问题。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种工业网络流量监测审计方法的流程图；

图2为本发明实施例提供的另一种工业网络流量监测审计方法的流程图；

图3为图2中步骤s204的流程图；

图4为本发明实施例提供的一种工业网络流量监测审计装置的结构示意图；

图5为本发明实施例提供的另一种工业网络流量监测审计装置的结构示意图；

图6为本发明实施例提供的一种工业网络流量监测审计系统的结构示意图。

图标：

11-采集模块；12-确定解析模块；13-处理模块；14-接收匹配模块；15-确定发送模块；16-接收模块；17-解析还原模块；18-生成模块；19-监测审计模块。

具体实施方式

下面将结合实施例对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

随着近年来“两化融合”的落实以及政策在“工业4.0”、“智能制造2025”和“工业互联网”方面的大力推进，现代工业生产企业信息化和工业化的已经高度融合，这意味着工业控制系统越来越走向开放和互联，工业控制系统与外界完全隔离几乎成为不可能。

另外，维护使用的移动设备或移动电脑也打破了系统与外界的隔离，打开了网络安全风险之门。根据监测统计数据发现，截止到2017年11月，全球范围内暴露在互联网上的工控系统及设备数量已超过10万个，关键制造、通信、能源、供水和市政设施是安全事件发生较多的前五个行业。

与上述严峻的安全形势相对应的，由于黑客大会、白帽社区、开源社区的出现，获得工控系统的攻击方法越来越容易，大量工控系统软硬件设备的安全漏洞及利用方法可通过公开或半公开的渠道获得，这些都极大地降低了针对工控网络攻击的难度。

现有的工控监测审计方法是一台审计设备采集对应的网络节点镜像流量，当企业工业控制系统数量大，一台审计不足以满足运算需求，就产生将硬件升级或者部署多台审计设备的方案。第一种方案升级硬件设备，其缺点是经济压力增大，根据grosch定理，设备的计算能力和它价格的平方成正比。另一种方案是部署多台审计设备，这样就需要额外的管理平台对多台设计设备进行策略管理、信息共享、联动。

基于此，本发明实施例采用一个工业网络监测审计平台和n个终端设备的“1+n”模式，终端设备进行数据采集还原等初步的运算，工业网络监测审计平台实现深度分析、流量监控、行为监控、设备联动等功能。

为便于对本实施例进行理解，首先对本发明实施例所公开的一种工业网络流量监测审计方法进行详细介绍。

实施例一：

参照图1，本发明实施例提供了一种工业网络流量监测审计方法，其中，应用于终端设备，包括：

步骤s101，采集工业交换机的镜像流量。

在本发明实施例中，本实施例可以包含一个或多个终端设备，且每个终端设备均对应一个或多个待采集的工业交换机。

步骤s102，基于工业交换机的端口确定镜像流量的工控协议，并根据与工控协议对应的协议规范解析工控协议，得到协议解析信息。

在本发明实施例中，不同工业交换机的镜像流量可以对应不同的工控协议，且不同的工控协议均对应各自的协议规范。解析信息包括但不限于：指令码、参数、响应码以及原始行为。

步骤s103，基于协议解析信息处理镜像流量，得到工业交换机的资产档案。

在本发明实施例中，资产档案可以分为两种档案，一种是资产自身信息档案，一种是资产间交互关系档案，资产间交互关系可以指资产间的通讯关系；资产自身信息档案为资产清单，资产包括：主机、工控系统和网络设备，其中，主机包括工控机和服务器，工控系统包括：dcs(distributedcontrolsystem，分布式控制系统)、plc(programmablelogiccontroller，可编程逻辑控制器)、rtu(remoteterminalunit，远程终端控制系统)。

步骤s104，接收工控系统导出的变量信息，并基于变量信息匹配资产档案中的工业行为。

在本发明实施例中，工控系统在某设备发生变化时，采集该设备的变量信息并将变量信息导出，本实施例基于该变量信息可以匹配对应的工业行为。

步骤s105，基于预设管理策略，将变量信息以及工业行为确定为第一处理数据，并将第一处理数据发送至工业网络监测审计平台，以使工业网络监测审计平台进行工业网络流量监测审计。

在本发明实施例中，预设管理策略包括预设行为规则，终端设备可以存储第一处理数据，通过向工业网络监测审计平台发送，可以使工业网络监测审计平台完成工业网络流量监测审计。

本发明实施例提供的一种工业网络流量监测审计方法，应用于终端设备，包括：采集工业交换机的镜像流量；基于工业交换机的端口确定镜像流量的工控协议，并根据与工控协议对应的协议规范解析所述工控协议，得到协议解析信息；基于协议解析信息处理镜像流量，得到工业交换机的资产档案；接收工控系统导出的变量信息，并基于变量信息匹配资产档案中的工业行为；基于预设管理策略，将变量信息以及工业行为确定为第一处理数据，并将第一处理数据发送至工业网络监测审计平台，以使工业网络监测审计平台进行工业网络流量监测审计。本发明提供的工业网络流量监测审计系统是分布式工业网络流量监测审计装置基于边缘计算的思想在各个工业网络节点部署了终端设备，完成流量采集、还原、初步分析等初步工作，再上传到中心监测审计平台进行网络行为审计等。分布式的工业网络流量监测审计装置增加了稳定性和实用性，且降低了实施难度、节约了设备成本，适用于分布地域广、数据量大的大型工业生产控制网络，为工业企业提供工业网络行为审计服务，防范工业信息安全问题。

实施例二：

参照图2，本发明实施例提供了另一种工业网络流量监测审计方法，其中，应用于工业网络监测审计平台，包括：

步骤s201，接收终端设备上传的第一处理数据；

步骤s202，对第一处理数据进行解析还原，得到原始行为；

步骤s203，基于第一处理数据提取特征，并基于特征生成与当前工业控制网络环境对应的白名单安全策略规则；

在本发明实施例中，白名单安全策略规则包括但不限于：ip连接白名单安全策略规则和指令行为白名单安全策略规则。本发明实施例可以将白名单安全策略规则发送给客户端以使安全工作人员通过人工复核接口进行确认。

步骤s204，基于白名单安全策略规则对原始行为进行监测审计。

进一步的，参照图3，步骤s204包括：

步骤s301，判断原始行为是否符合白名单安全策略规则，将不符合白名单安全策略规则的原始行为确定为告警事件，并生成告警信息；

在本发明实施例中，生成告警信息并记录原始行为，便于时间追溯取证分析。

步骤s302，对告警信息进行核查，判断告警事件是否为误报；

在本发明实施例中，若确定告警事件为误报，则对告警事件的告警信息进行矫正处理，更改其告警状态并对该告警事件进行标记，并针对该告警信息做进一步的处理，例如：生成报表、通报给相关负责人等。

步骤s303，若确定告警事件为非误报，则基于告警事件生成网络告警分布图。

在本发明实施例中，网络告警分布图可以指在以工业交换机的ip为节点、ip间连接关系为模型的网络拓扑图的基础上，将告警信息中源ip、目的ip在网络拓扑图上进行关联的网络告警分布图。网络告警分布图可以用于实时掌握网络告警信息的分布情况。

本发明实施例可以进行ip流量统计，即以ip为节点，并对每一对ip之间的流量进行统计，生成基于ip的流量统计模型，用于清晰直观展示网络系统中的流量占比，方便进一步掌握工控网络系统中各个ip节点之间的信息交互情况。

进一步的，参照图3，在步骤s303之后，方法还包括：

步骤s304，基于网络告警分布图和告警信息的威胁程度，生成风险报告。

在本发明实施例中，基于告警信息和告警信息发生的频率，可以提出策略建议；基于网络告警分布图以及告警信息的威胁程度，定期生成风险报告并导出。

在本发明实施例中，本实施例的工业网络监测审计平台与实施例一中的终端设备构成分布式的工业网络流量监测审计系统，该分布式的工业网络流量监测审计系统基于边缘计算的思想，在各个工业网络节点部署终端设备，完成流量采集、还原、初步报文分析等初步工作，再上传到工业网络监测审计平台进行网络行为审计等。

实施例三：

参照图4，本发明实施例提供了一种工业网络流量监测审计装置，其中，应用于终端设备，包括：

采集模块11，用于采集工业交换机的镜像流量；

确定解析模块12，用于基于工业交换机的端口确定镜像流量的工控协议，并根据与工控协议对应的协议规范解析工控协议，得到协议解析信息；

处理模块13，用于基于协议解析信息处理镜像流量，得到工业交换机的资产档案；

接收匹配模块14，用于接收工控系统导出的变量信息，并基于变量信息匹配资产档案中的工业行为；

确定发送模块15，用于基于预设管理策略，将变量信息以及工业行为确定为第一处理数据，并将第一处理数据发送至工业网络监测审计平台，以使工业网络监测审计平台进行工业网络流量监测审计。

本发明实施例提供的工业网络流量监测审计装置，应用于终端设备，可以完成流量采集、还原、初步分析等初步工作。

实施例四：

参照图5，本发明实施例提供了另一种工业网络流量监测审计装置，其中，应用于工业网络监测审计平台，包括：

接收模块16，用于接收终端设备上传的第一处理数据；

解析还原模块17，用于对第一处理数据进行解析还原，得到原始行为；

生成模块18，用于基于第一处理数据提取特征，并基于特征生成与当前工业控制网络环境对应的白名单安全策略规则；

监测审计模块19，用于基于白名单安全策略规则对原始行为进行监测审计。

本发明实施例提供的工业网络流量监测审计装置包括：接收模块16、解析还原模块17、生成模块18和监测审计模块19，利用上述模块进行网络行为审计等操作，可以使分布式的工业网络流量监测审计装置增加稳定性和实用性。

实施例五：

参照图6，本发明实施例提供了一种工业网络流量监测审计系统，包括：终端设备和工业网络监测审计平台；终端设备，用于采集工业网络流量，并对工业网络流量进行初步处理，得到第一处理数据；工业网络监测审计平台，用于对第一处理数据进行解析还原得到工业网络流量的原始行为，并对原始行为进行监测审计。

在本发明实施例中，工业网络流量监测审计系统可以为多处理机体系结构，并且工业网络流量监测审计系统适用于分布地域广、数据量大的大型工业生产控制网络，为工业企业提供工业网络流量监测审计服务，保障了工业信息的安全，为工业企业安全、稳定生产保驾护航。

进一步的，工业网络监测审计平台包括以下至少一种：分布式操作系统、分布式程序设计语言、分布式文件系统和分布式数据库系统。

在本发明实施例中，工业网络监测审计平台可以由通信网络与所有的终端设备互联。

在本发明实施例中，分布式的工业网络流量监测审计系统支持分布式处理，利用一台或者多台终端设备分担工业网络监测审计平台的运算负荷、网络负荷和存储负荷，利用多个终端设备的计算能力完成流量还原、无用信息过滤、初步报文分析等功能，不但解决了传统集中式审计的吞吐瓶颈问题，还提高了工控系统的可靠性、可用性和扩展性。

本发明实施例解决了传统工业监测审计设备部署和费用高昂的问题，同时“1+n”模式更具稳定性和实用性。

在本发明的又一实施例中，还提供一种电子设备，包括存储器、处理器，所述存储器中存储有可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述方法实施例所述方法的步骤。

在本发明的又一实施例中，还提供一种具有处理器可执行的非易失的程序代码的计算机可读介质，所述程序代码使所述处理器执行方法实施例所述方法。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。