技術領域

本發明是關于工業控制領域，特別涉及一種基于工控系統的網絡審計和監測方法及其系統。

背景技術

工業控制系統(Industrial Control System，簡稱ICS)，是由各種自動化控制組件以及對實時數據進行采集、檢測的過程控制組件，共同構成的確保工業基礎設施自動化運行、過程控制與監控的業務流程管控系統，是基礎設施自動化生成的基礎組件，安全的重要性可見一般。

由于ICS系統結構復雜，缺乏安全與管理標準等諸多因素影響，運行在系統中的數據和操作指令隨時可能會受到破壞，從而出現異常操作指令對設備的正常運行造成破壞。

如何對工業控制系統網絡環境中異常行為監測和告警是本領域的技術難題。

發明內容

本發明的主要目的在于克服現有技術中的不足，提供一種能對工業控制系統網絡環境中行為進行分析與監測，識別網絡中異常IP、異常指令等異常行為并實時告警，清晰直觀展示網絡中告警分布的網絡審計和監測方法及其系統。為解決上述技術問題，本發明的解決方案是：

提供一種基于工控系統的網絡審計和監測方法，包括如下步驟：

步驟A：流量采集模塊對常見的網絡應用層協議數據包做流量采集、解析還原；

解析還原是基于端口來分析(Modbus、S7、IEC-104、DNP3、Ethernet/IP、MMS、FINS、OPC等)常見的工控協議，并根據協議規范進行解析還原，獲取所需信息，包括指令碼、參數、響應碼、原始行為；

步驟B：進行機器學習，即在機器學習周期(即指系統部署成功后，通過配置系統的機器學習周期，計算系統運行起始時間到系統當前時間的時間差，當系統運行在時間差小于或等于學習周期配置內屬于機器學習周期，時間差大于學習周期配置屬于非機器學習周期)內，針對步驟A解析還原后的原始行為，自動收集原始行為并提取特征，生成適應當前工業控制網絡環境的白名單安全策略規則；

所述白名單安全策略規則包括IP連接白名單安全策略規則、指令行為白名單安全策略規則；

步驟C：在非機器學習周期內，針對解析工控系統中網絡行為還原后的原始行為(即當前工控系統中網絡行為還原后的原始行為，來進行網絡審計和監測)，分別進行白名單安全策略規則檢測，對于不符合白名單安全策略規則的原始行為，生成告警信息并記錄其原始行為，便于事件回溯取證分析；

步驟D：對步驟C產生的告警信息進行核查，判斷是否為誤報；若確認為誤報，則對確認為誤報的告警事件做出矯正處理，更改其告警狀態并進行標記，并針對標記的告警信息進行進一步的處理(比如更新白名單安全策略規則)；

步驟E：進行IP流量統計，即以IP為節點，并對每一對IP之間的流量進行統計，生成基于IP的流量統計模型，用于清晰直觀展示網絡系統中的流量占比，方便進一步掌握工控網絡系統中各個IP節點之間的信息交互情況；

步驟F：制作清晰直觀的網絡告警分布圖；

所述網絡告警分布圖，是在以IP為節點、IP間連接關系為模型的網絡拓撲圖的基礎上，將告警信息中源IP、目的IP在網絡拓撲圖上進行關聯的網絡告警分布圖，用于實時掌握網絡告警信息的分布情況；

步驟G：基于步驟C產生的告警信息以及發生的頻率，提出策略建議(即策略修改建議，比如某異常指令的頻率很高，此異常指令可能是系統正常指令，建議添加到指令行為白名單安全策略規則中；針對該策略建議，由人工確認后，系統自動更新策略，完善工業控制網絡安全防護體系)；

基于步驟F的網絡告警分布圖以及告警信息的威脅程度，定期生成風險報告并導出。

在本發明中，所述步驟A中，流量采集模塊使用Libpcap軟件包進行網絡數據包捕獲。

在本發明中，所述步驟C中，針對解析工控系統中網絡行為還原后的原始行為進行白名單安全策略規則檢測，包括IP檢測和指令檢測；

所述IP檢測是指：非機器學習周期內，還原的原始行為中源IP和目的IP進行IP連接白名單安全策略規則檢測，對沒有命中IP連接白名單安全策略規則的行為生成異常連接的高危告警信息并且記錄到關系型數據庫，便于對工控網絡環境中異常IP連接行為及時進行處理或事件回溯取證；

所述指令檢測：非機器學習周期內，還原的原始行為中源IP和目的IP確認為安全IP后，對其指令行為進行指令行為白名單安全策略規則檢測，對沒有命中指令行為白名單安全策略規則的行為生成異常指令的高危告警信息并且記錄到關系型數據庫，便于對工控網絡環境中異常指令行為及時進行處理或事件回溯取證。