一種工業(yè)控制系統(tǒng)的安全檢測(cè)方法和設(shè)備，該方法包括：從一個(gè)工業(yè)控制系統(tǒng)中獲取至少兩項(xiàng)數(shù)據(jù)，其中所述至少兩項(xiàng)數(shù)據(jù)來自于所述工業(yè)控制系統(tǒng)中的至少兩個(gè)數(shù)據(jù)源；分別解析所述至少兩項(xiàng)數(shù)據(jù)中的每一項(xiàng)數(shù)據(jù)的事件信息；將解析出的事件信息與對(duì)應(yīng)的數(shù)據(jù)建立對(duì)應(yīng)關(guān)系；將每一項(xiàng)數(shù)據(jù)解析出的事件信息根據(jù)預(yù)先定義的關(guān)聯(lián)規(guī)則進(jìn)行關(guān)聯(lián)分析，判斷是否需要調(diào)用對(duì)應(yīng)的數(shù)據(jù)；若判斷需要調(diào)用，則按照事件信息索引到需要調(diào)用的數(shù)據(jù)；根據(jù)調(diào)用到的數(shù)據(jù)確定所述工業(yè)控制系統(tǒng)發(fā)生的安全事件。該方法能夠更加全面地檢測(cè)工業(yè)控制系統(tǒng)的安全，增強(qiáng)工業(yè)控制系統(tǒng)的安全防護(hù)能力。

技術(shù)領(lǐng)域

本發(fā)明涉及工業(yè)自動(dòng)化技術(shù)領(lǐng)域，尤其涉及一種工業(yè)控制系統(tǒng)的安全檢測(cè)方法和設(shè)備。

背景技術(shù)

隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展、特別是信息化與工業(yè)化深度融合，工業(yè)控制系統(tǒng)(Industrial Control System，ICS)越來越多地采用通用的協(xié)議、硬件和軟件，以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接，網(wǎng)絡(luò)病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴(kuò)散，工業(yè)控制系統(tǒng)的安全問題日益突出。針對(duì)工業(yè)控制系統(tǒng)的攻擊通常利用工業(yè)控制系統(tǒng)的安全漏洞進(jìn)行攻擊。在工業(yè)控制系統(tǒng)中普遍使用的可編程邏輯控制器(Programmable Logic Controller，PLC)、分布式控制系統(tǒng)(Distributed Control System，DCS)、數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)(Supervisory Control And Data Acquisition，SCADA)以及應(yīng)用軟件均被發(fā)現(xiàn)存在大量安全漏洞，整個(gè)工業(yè)控制系統(tǒng)存在較大的安全隱患。

針對(duì)于工業(yè)控制系統(tǒng)的安全問題，目前通常采用的是諸如防火墻、入侵檢測(cè)系統(tǒng)(Intrusion Detection Systems，IDS)、入侵防御系統(tǒng)(Intrusion Prevention System，IPS)、虛擬專用網(wǎng)絡(luò)(Virtual Private Network，VPN)等常規(guī)的網(wǎng)絡(luò)安全技術(shù)進(jìn)行安全防護(hù)。這些安全防護(hù)措施繼承于互聯(lián)網(wǎng)安全技術(shù)，往往僅針對(duì)特定的數(shù)據(jù)或設(shè)備。比如，IDS/IPS只檢測(cè)網(wǎng)絡(luò)流量，反惡意軟件工具只檢測(cè)主機(jī)行為，安全審計(jì)系統(tǒng)只分析系統(tǒng)日志。

隨著針對(duì)工業(yè)控制系統(tǒng)的攻擊不斷增多，攻擊的復(fù)雜性和隱蔽性也日益增加，越來越多的攻擊采用多種復(fù)雜方式，并且還會(huì)通過模擬真實(shí)技術(shù)人員的操作來隱蔽其攻擊行為，傳統(tǒng)的安全防護(hù)措施已經(jīng)很難檢測(cè)出這些復(fù)雜的新型攻擊。比如，著名的“震網(wǎng)”(stuxnet)病毒事件，充分反映出工業(yè)控制系統(tǒng)的安全面臨嚴(yán)峻的形勢(shì)，“震網(wǎng)”病毒針對(duì)工業(yè)控制系統(tǒng)，通過修改PLC參數(shù)來改變工業(yè)控制系統(tǒng)的行為，包括攔截發(fā)送給PLC的讀/寫請(qǐng)求、修改現(xiàn)有的PLC代碼塊、往PLC中寫入新的代碼塊、并利用惡意軟件Rootkit隱藏其對(duì)PLC的感染等。

因而，如何對(duì)工業(yè)控制系統(tǒng)的安全實(shí)現(xiàn)更全面的檢測(cè)，增強(qiáng)工業(yè)控制系統(tǒng)的安全防護(hù)能力，是亟待業(yè)界研究和解決的問題。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明實(shí)施例提供一種工業(yè)控制系統(tǒng)的安全檢測(cè)方法和設(shè)備，用以更全面地檢測(cè)工業(yè)控制系統(tǒng)的安全，增強(qiáng)工業(yè)控制系統(tǒng)的安全防護(hù)能力。

第一方面，本發(fā)明實(shí)施例提供一種工業(yè)控制系統(tǒng)的安全檢測(cè)方法，包括：

從一個(gè)工業(yè)控制系統(tǒng)中獲取至少兩項(xiàng)數(shù)據(jù)，其中所述至少兩項(xiàng)數(shù)據(jù)來自于所述工業(yè)控制系統(tǒng)中的至少兩個(gè)數(shù)據(jù)源；

分別解析所述至少兩項(xiàng)數(shù)據(jù)中的每一項(xiàng)數(shù)據(jù)的事件信息；

將解析出的事件信息與對(duì)應(yīng)的數(shù)據(jù)建立對(duì)應(yīng)關(guān)系；

將每一項(xiàng)數(shù)據(jù)解析出的事件信息根據(jù)預(yù)先定義的關(guān)聯(lián)規(guī)則進(jìn)行關(guān)聯(lián)分析，判斷是否需要調(diào)用對(duì)應(yīng)的數(shù)據(jù)；

若判斷需要調(diào)用對(duì)應(yīng)的數(shù)據(jù)，則按照所述事件信息索引到需要調(diào)用的數(shù)據(jù)；

根據(jù)調(diào)用到的數(shù)據(jù)確定所述工業(yè)控制系統(tǒng)發(fā)生的安全事件。