本發(fā)明提出一種工業(yè)控制系統(tǒng)網(wǎng)絡訪問安全性預警系統(tǒng)及方法，包括：生成工業(yè)控制系統(tǒng)網(wǎng)絡訪問白名單；獲取工業(yè)控制系統(tǒng)網(wǎng)絡訪問惡意ip組庫；對申請訪問工業(yè)控制系統(tǒng)的ip進行攔截和白名單驗證；對不在白名單中的訪問ip進行惡意性分析，并對發(fā)現(xiàn)的惡意訪問ip進行安全預警；對無法確定的訪問ip，將其保存到可疑ip庫，當白名單和惡意ip組庫更新時進行重復驗證；對所有的訪問ip進行訪問信息日志記錄。根據(jù)訪問ip的訪問日志學習各類訪問ip的訪問模式；將可疑ip的訪問模式與惡意ip和白名單ip的訪問模式進行匹配，判斷訪問ip的類別；對判斷為惡意ip的訪問ip進行安全預警，將判斷為白名單ip的訪問ip進行白名單推薦；將新發(fā)現(xiàn)的白名單ip更新到已有白名單中。

技術領域

本發(fā)明屬于工控網(wǎng)絡安全領域，一種工業(yè)控制系統(tǒng)網(wǎng)絡訪問安全性預警系統(tǒng)及方法。

背景技術

工業(yè)控制系統(tǒng)廣泛應用于我國電力、水利、污水處理、石油化工、冶金、汽車、航空航天等多個涉及國計民生的關鍵行業(yè)。隨著工業(yè)化與信息化的深度融合，工業(yè)控制系統(tǒng)中信息化程度越來越高，通用軟硬件和網(wǎng)絡設施的廣泛使用，打破了工業(yè)控制系統(tǒng)與互聯(lián)網(wǎng)的“隔離”，帶來了一系列網(wǎng)絡安全威脅。

作為工業(yè)控制網(wǎng)絡的重要組成部分，工業(yè)控制網(wǎng)絡安全深刻地影響著工業(yè)控制網(wǎng)絡及相關產(chǎn)業(yè)的發(fā)展，具有極強的產(chǎn)業(yè)關聯(lián)度和產(chǎn)業(yè)滲透能力，因此工業(yè)控制網(wǎng)絡安全產(chǎn)業(yè)得到了極大的關注。

然而，隨著互聯(lián)網(wǎng)技術的迅猛發(fā)展，其建設之初所具有的“盡力而為”的安全防護理念，已經(jīng)給工控網(wǎng)絡安全造成了巨大的威脅。在應對安全問題方面，傳統(tǒng)的安全預警方式已經(jīng)顯得力不從心，暴露出了許多問題。例如，訪問工控系統(tǒng)的ip中存在著大量無法確定的灰色數(shù)據(jù)，以往方法大多將這些灰色ip直接確定為惡意ip，這種方法顯然并不準確。面對這些實際情況，必須深入研究分析安全預警問題的特征和規(guī)律，積極制定安全策略和防范措施，確保網(wǎng)絡運行安全可靠。

發(fā)明內(nèi)容

本發(fā)明的目的在于利用分析訪問ip的方法，提供一種工業(yè)控制系統(tǒng)網(wǎng)絡訪問安全性預警方法及系統(tǒng)。

一種工業(yè)控制系統(tǒng)網(wǎng)絡訪問安全性預警系統(tǒng)，包括：

a.工業(yè)控制系統(tǒng)網(wǎng)絡訪問白名單生成模塊；用于根據(jù)工業(yè)現(xiàn)場的具體要求，設定允許訪問該工業(yè)控制系統(tǒng)的網(wǎng)絡ip及其訪問權限，為某一工業(yè)控制系統(tǒng)生成其特有的網(wǎng)絡訪問白名單；

b.惡意ip組庫生成模塊；用于通過威脅情報分析，對已有的工業(yè)控制系統(tǒng)訪問ip進行惡意性計算，再根據(jù)訪問ip的惡意性計算相關ip組的惡意性，并最終生成惡意ip組庫，所述惡意ip通過威脅情報進行時空分析和惡意性分析；

c.工業(yè)控制系統(tǒng)訪問攔截和白名單驗證模塊；用于對申請訪問工業(yè)控制系統(tǒng)的ip進行攔截和白名單驗證，判斷其是否可以訪問該系統(tǒng)；當外部ip申請訪問某工業(yè)控制系統(tǒng)時，系統(tǒng)首先對該訪問ip進行白名單驗證，若該訪問ip在白名單范圍內(nèi)，且擁有訪問權限，則允許其訪問工業(yè)控制系統(tǒng)；若不在白名單范圍內(nèi)，則對該ip進行攔截；

d.訪問ip惡意性分析模塊；用于對不在白名單中的訪問ip進行惡意性分析，判斷其是否屬于惡意ip組庫；查找訪問ip在惡意ip組庫中對應的惡意ip組，計算出該惡意ip組中惡意ip的惡意性期望值E(M(I))；若訪問ip的惡意性M(I)大于該期望值E(M(I))，則將其判定為惡意ip，并對其進行安全預警和訪問控制；反之，則將其判定為可疑ip，對其進行訪問控制，等待進一步處理；

e.可疑ip保存和驗證模塊；將訪問ip與白名單和惡意ip組庫進行比對后，將既不在已有白名單列表中，也未被判定為惡意的訪問ip保存到可疑ip庫中，并當白名單和惡意ip組庫更新時進行重復驗證；所述重復驗證是指：當對白名單進行更新或?qū)阂鈏p組庫進行更新時，會添加大量新的ip，很可能包含可疑ip庫中的ip，因此需要對可疑ip庫進行重新評估；