技術(shù)領(lǐng)域

本發(fā)明屬于核電站安防領(lǐng)域，更具體地說(shuō)，本發(fā)明涉及一種基于核電站的網(wǎng)絡(luò)入侵報(bào)警方法和系統(tǒng)。

背景技術(shù)

入侵檢測(cè)系統(tǒng)(Intrusion?Detection?System，IDS)是指對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識(shí)別和相應(yīng)處理的系統(tǒng)。隨著網(wǎng)絡(luò)的規(guī)模越來(lái)越龐大，網(wǎng)絡(luò)上的資源也越來(lái)越豐富，從網(wǎng)絡(luò)而來(lái)的威脅也越來(lái)越多、攻擊越來(lái)越隱秘。核電運(yùn)行的數(shù)據(jù)關(guān)系到國(guó)家安全和社會(huì)穩(wěn)定，因此，構(gòu)造網(wǎng)絡(luò)安全體系以保障數(shù)據(jù)中心的安全勢(shì)在必行。工業(yè)控制系統(tǒng)包括核電站控制系統(tǒng)由于不與因特網(wǎng)網(wǎng)絡(luò)相連，它是一個(gè)獨(dú)立的網(wǎng)絡(luò)。正常情況下是不會(huì)有病毒存在的，外面的黑客也無(wú)法攻擊。加之通常的黑客及網(wǎng)絡(luò)病毒攻擊都是針對(duì)計(jì)算機(jī)設(shè)備，一般沒有針對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)中的控制設(shè)備的病毒。

在核電控制系統(tǒng)中，隨著信息技術(shù)的發(fā)展，由于核電系統(tǒng)集成和使用的便利性，大量使用了工業(yè)以太環(huán)網(wǎng)和(OLE?for?Process?Control，OPC)通信協(xié)議進(jìn)行核電控制系統(tǒng)的集成。同時(shí)，也大量使用了PC服務(wù)器和終端產(chǎn)品，核電操作系統(tǒng)和數(shù)據(jù)庫(kù)也大量的使用了通用的系統(tǒng)，雖然核電工業(yè)網(wǎng)不與internet網(wǎng)相連，核電站也制定了很多規(guī)范。但是，現(xiàn)實(shí)中往往有人不遵守規(guī)定，例如使用U盤在互聯(lián)網(wǎng)與核電工業(yè)網(wǎng)交互使用，使用未經(jīng)檢測(cè)的光盤等行為，很容易導(dǎo)致來(lái)自企業(yè)管理網(wǎng)或互聯(lián)網(wǎng)的病毒、木馬、黑客的攻擊，并由此可能導(dǎo)致對(duì)實(shí)際物理系統(tǒng)故障。核電運(yùn)行的數(shù)據(jù)關(guān)系到國(guó)家安全和社會(huì)穩(wěn)定，因此，構(gòu)造網(wǎng)絡(luò)安全體系以保障數(shù)據(jù)中心的安全勢(shì)在必行。

現(xiàn)有的網(wǎng)絡(luò)安全體系通常由防火墻、殺毒軟件以及入侵檢測(cè)系統(tǒng)(Intrusion?Detection?System，IDS)或者入侵防御系統(tǒng)(Intrusion?Prevention?System，IPS)組成。但是，核電控制系統(tǒng)中沒有部署商業(yè)入侵檢測(cè)系統(tǒng)進(jìn)行網(wǎng)絡(luò)防御，或者部署的商業(yè)入侵檢測(cè)系統(tǒng)也是誤用檢測(cè)為基礎(chǔ)的入侵檢測(cè)系統(tǒng)。由于核電工業(yè)網(wǎng)不與互聯(lián)網(wǎng)相連，所以在核電工業(yè)網(wǎng)中無(wú)法及時(shí)更新入侵檢測(cè)的病毒庫(kù)，對(duì)于新病毒或者針對(duì)特定工業(yè)控制系統(tǒng)設(shè)計(jì)的病毒利用商業(yè)入侵檢測(cè)系統(tǒng)是無(wú)法檢測(cè)出來(lái)的。

如何針對(duì)來(lái)自網(wǎng)絡(luò)的病毒入侵進(jìn)行檢測(cè)和預(yù)警，是核電安全亟待解決的問題。

發(fā)明內(nèi)容

本發(fā)明的目的在于：核電控制系統(tǒng)針對(duì)可能來(lái)自網(wǎng)絡(luò)的病毒入侵，提供一種基于核電站的網(wǎng)絡(luò)入侵報(bào)警方法和系統(tǒng)，通過結(jié)合使用異常檢測(cè)技術(shù)和誤用檢測(cè)技術(shù)，提高核電站控制系統(tǒng)對(duì)網(wǎng)絡(luò)入侵的檢測(cè)能力和完善入侵報(bào)警機(jī)制，有效地滿足了核電站工業(yè)網(wǎng)對(duì)網(wǎng)絡(luò)安全防護(hù)的要求。

為了實(shí)現(xiàn)上述發(fā)明目的，本發(fā)明提供了一種基于核電站的網(wǎng)絡(luò)入侵報(bào)警方法，其包括：

對(duì)訪問對(duì)象發(fā)送的數(shù)據(jù)信息進(jìn)行檢測(cè)，所述檢測(cè)包括誤用檢測(cè)和協(xié)議異常數(shù)據(jù)檢測(cè)；

若檢測(cè)所述數(shù)據(jù)信息的結(jié)果為異常，生成即時(shí)預(yù)警信息；

將所述即時(shí)預(yù)警信息與數(shù)據(jù)庫(kù)中的歷史預(yù)警信息進(jìn)行匹配；

若所述即時(shí)預(yù)警信息與所述歷史預(yù)警信息的匹配結(jié)果不符合預(yù)先設(shè)置的匹配值，發(fā)出入侵報(bào)警信息。

作為本發(fā)明基于核電站的網(wǎng)絡(luò)入侵報(bào)警方法的一種改進(jìn)，所述方法還包括：

接收訪問對(duì)象發(fā)送的數(shù)據(jù)信息。

作為本發(fā)明基于核電站的網(wǎng)絡(luò)入侵報(bào)警方法的一種改進(jìn)，所述歷史預(yù)警信息包括預(yù)警次數(shù)的字段，若所述即時(shí)預(yù)警信息與所述歷史預(yù)警信息的匹配結(jié)果符合預(yù)先設(shè)置的匹配值，所述預(yù)警次數(shù)增加一次。

作為本發(fā)明基于核電站的網(wǎng)絡(luò)入侵報(bào)警方法的一種改進(jìn)，所述方法還包括：

對(duì)所述即時(shí)預(yù)警信息與所述歷史預(yù)警信息進(jìn)行關(guān)聯(lián)分析，根據(jù)預(yù)先設(shè)置的關(guān)聯(lián)規(guī)則判斷所述訪問對(duì)象的訪問目的。

作為本發(fā)明基于核電站的網(wǎng)絡(luò)入侵報(bào)警方法的一種改進(jìn)，所述方法還包括：

若根據(jù)預(yù)先設(shè)置的關(guān)聯(lián)規(guī)則無(wú)法判斷所述訪問對(duì)象的訪問目的，根據(jù)所述即時(shí)預(yù)警信息建立新關(guān)聯(lián)規(guī)則，并即時(shí)更新關(guān)聯(lián)規(guī)則。

作為本發(fā)明基于核電站的網(wǎng)絡(luò)入侵報(bào)警方法的一種改進(jìn)，所述方法還包括：

將所述即時(shí)預(yù)警信息保存至數(shù)據(jù)庫(kù)，并更新所述數(shù)據(jù)庫(kù)。

作為本發(fā)明基于核電站的網(wǎng)絡(luò)入侵報(bào)警方法的一種改進(jìn)，所述方法還包括：

根據(jù)所述入侵報(bào)警信息執(zhí)行阻斷訪問對(duì)象所屬IP地址或端口訪問。

為了實(shí)現(xiàn)上述發(fā)明目的，本發(fā)明還提供了一種基于核電站的網(wǎng)絡(luò)入侵報(bào)警系統(tǒng)，其包括：

檢測(cè)模塊，用于對(duì)訪問對(duì)象發(fā)送的數(shù)據(jù)信息進(jìn)行檢測(cè)，所述檢測(cè)包括誤用檢測(cè)和協(xié)議異常數(shù)據(jù)檢測(cè)；

預(yù)警模塊，用于若所述檢測(cè)模塊檢測(cè)所述數(shù)據(jù)信息的結(jié)果為異常，生成即時(shí)預(yù)警信息；