本發明涉及工業安全技術領域，尤其涉及一種工業控制系統的安全監視方法和裝置，具有快速準確地檢測工業控制系統的異常行為的優點。本發明實施例提供的方法包括：為工業控制系統(10)在運行過程中產生的第一數據(301)并進行第一統計，向用戶提供第一統計的結果(401)，獲取用戶對第一統計的結果(401)的操作(501)，根據操作(501)確定一個第一統計中所涉及的一個目標時間段(601)，以及第一數據(301)中滿足預設條件(502)的第二數據(302)；獲取目標時間段(601)的一個第二統計的結果并據此工業控制系統(10)進行安全分析。

技術領域

本發明涉及工業安全技術領域，尤其涉及一種工業控制系統的安全監視方法和裝置。

背景技術

在對一個工業控制系統的進行安全監視的過程中，可從工業控制系統中收集網絡流量和設備日志，利用基于規則的自動分析引擎對工業控制系統的異常行為進行分析。其中，規則通常是預先設定的，因此僅能識別出已知攻擊和異常行為，而無法識別未知攻擊以及異常行為。

一些技術中提出基于網絡流量的特征進行分析。通過監視網絡流量來分析工業控制系統的異常行為。由于該技術要對大量的網絡流量進行分析，因此當檢測到存在偏離基線行為的異常行為時，該異常行為已經存在多時，網絡攻擊可能已經發生了。

發明內容

本發明實施例提供一種工業控制系統的安全監視方法和裝置，具有快速準確地檢測工業控制系統的異常行為的優點，且不受限于預先設定的規則。

第一方面，提供一個工業控制系統的安全監視方法，該方法可由一個安全監視裝置執行，該方法中，獲取第一數據，其中，所述第一數據為所述工業控制系統在運行過程中產生的數據；對所述第一數據進行第一統計，其中所述第一統計包括對所述第一數據的至少一個第一特征分別進行的時間統計，其中，所述至少一個第一特征的時間統計結果用于用戶識別所述工業控制系統的異常行為；向用戶提供所述第一統計的結果；獲取用戶對所述第一統計的結果的操作；根據所述操作確定一個所述第一統計中所涉及的一個目標時間段，以及所述第一數據中滿足預設條件的第二數據；獲取所述目標時間段的一個第二統計的結果，其中，所述第二統計包括對所述第二數據的至少一個第二特征進行的時間統計，其中所述至少一個第二特征的時間統計結果用于用戶分析所述工業控制系統的異常行為；基于所述目標時間段的所述第二統計的結果對所述工業控制系統進行安全分析。

首先，對數據進行時間統計的方法適用于工業控制系統。其中，考慮到了工業控制系統行為的確定性，對工業控制系統運行過程中產生的數據進行時間統計，通過觀察工業控制系統的行為隨時間的變化情況來判斷工業控制系統是否存在異常行為。充分考慮了工業控制系統的特點。

此外，先對用于用戶識別工業控制系統異常行為的第一特征進行統計，使得用戶容易發現系統的異常行為。然后由用戶選擇是否已進一步分析以及進一步分析的數據范圍，由于用戶判斷不受限于預設的規則，因此，對于以往未出現的異常行為因能夠進行判斷。當用戶選擇進一步分析后，再對用于用戶分析工業控制系統的異常行為的第二特征進行統計，根據統計結果進行安全分析。減少了安全分析時的數據處理量，將自動分析和用戶判斷相結合，分析的結果更準確，效率更高。

可選地，在向用戶提供所述第一統計的結果時，可在一個觸控屏上向用戶顯示所述第一統計的結果，而在獲取用戶對所述第一統計的結果的操作時，可獲取用戶在所述觸控屏上對顯示的所述第一統計的結果的觸控操作。

通過屏幕顯示能夠直觀地將第一統計的結果展示給用戶，便于用戶做出判斷，并且，通過觸控屏接收用戶的操作，用戶在使用時簡單方便。

可選地，在基于所述目標時間段內的所述第二統計的結果對所述工業控制系統進行安全分析時，可將所述目標時間段的所述第二統計的結果與所述目標時間段所對應的以往至少一個時間段的所述第二統計的結果進行比較，根據比較的結果確定所述工業控制系統在所述目標時間段是否發生了安全事件。