本發明公開了一種交換機信息采集分析系統及方法，通過三種方式采集工業控制系統內部交換機的所有信息；對采集到的數據報文依據過濾規則甄別和篩選，并按照預定的日志規范進行報文重組；將重組后的格式化日志發送至消息總線，由分析單元消費后進行安全分析，將分析結果存入存儲單元。本方法可兼容市面上大多數廠商及型號的交換機，實現對工業控制系統內交換機設備的實時監測與預警。

技術領域

本發明涉及信息安全技術領域，具體涉及一種交換機信息采集分析系統及方法。

背景技術

隨著計算機及網絡技術的快速發展，網絡攻擊技術也同樣發展迅速。近年來，國際上相繼發生烏克蘭大面積停電(2015年)、美國東部互聯網服務癱瘓(2016年)、全球爆發勒索病毒(2017年)等事件，皆造成了相當惡劣的影響。工業控制系統已成為國際網絡戰的重要攻擊目標，工業控制系統安全防護承受巨大壓力，需要建立一套成熟的網絡安全監管措施。從網絡攻擊接觸、準備和打擊三個階段來看，分別呈現出接觸手段隱秘、攻擊平臺建立迅速、綜合打擊能力強等特點，這些特點也決定了網絡的安全防護必須及早開展，最好在接觸之前和接觸中發現風險，抑制網絡攻擊行為。

以網絡為中心是工業控制系統的一個重要特征。在工控系統內，交換機是網絡中數據傳輸的一種重要通信樞紐設備。入侵工控系統通常通過在內網交換機接入非授權的終端設備執行危險操作或植入病毒，預防和監測是否有非法設備接入、交換機是否工作正常，對保障工業控制系統正常運行至關重要。

針對此類情況，急需一種安全防護手段，即能夠全面監測工控系統內部網絡拓撲，及時發現內網交換機接入非法設備，又能實時采集內網交換機產生的安全事件、操作行為和運行信息，并通過分析與告警，在接觸前和接觸時對安全隱患進行實時監視與預警。

發明內容

為解決現有技術中的不足，本發明提供一種交換機信息采集分析系統及方法，能夠全面監測工控系統內部網絡拓撲，及時發現內網交換機接入非法設備，又能實時采集內網交換機產生的安全事件、操作行為和運行信息，并通過分析與告警，在接觸前和接觸時對安全隱患進行實時監視與預警。

為了實現上述目標，本發明采用如下技術方案：一種交換機信息采集分析系統，其特征在于：包括若干交換機、與所述交換機連接的采集單元一、采集單元二、重組單元、分析單元、存儲單元和展示模塊；

所述采集單元一采集交換機的拓撲信息、運行信息、操作行為和安全事件，采集單元二接收交換機的安全事件；采集單元一將采集到的拓撲信息直接存入存儲單元，供展示模塊調用，其他采集信息分別由采集單元一和采集單元二傳輸給重組單元；

重組單元用于對采集到的數據報文依據過濾規則甄別和篩選，并按照預定的日志規范進行報文重組，得到格式化的日志信息；重組單元通過消息總線將格式化的日志信息發送給分析單元；

分析單元用于對格式化的日志信息進行安全分析，將分析結果存入存儲單元。

前述的一種交換機信息采集分析系統，其特征在于：所述拓撲信息獲取過程如下：

1)將交換機設備信息錄入存儲單元的交換機設備資產表和交換機SNMP參數表；

2)由展示模塊優先繪制出交換機設備，默認為離線狀態，離線設備以顏色填充；

3)采集單元一檢測交換機是否在線，若在線狀態則實時更新至存儲單元的交換機設備資產表，由展示模塊獲取在線狀態并以顏色填充在線交換機；

4)讀取在線交換機SNMP參數，存入交換機SNMP參數表；

5)讀取在線設備每個網口的MAC地址表獲取對端設備MAC地址，通過比對系統交換機設備資產表中所有主機設備的MAC地址來判斷此MAC地址是否合法，分別繪制合法主機設備和非法主機設備，并繪制連線連接所屬交換機。

前述的一種交換機信息采集分析系統，其特征在于：采集方式分別為：