本發明涉及工業控制網絡系統信息安全領域，尤其涉及一種基于SCADA系統白名單矩陣的工控網絡安全監控方法，通過對流量的獲取，聚集到連接，然后匯總到矩陣。在學習階段，通過對創建矩陣的分析得到一個含有八元組的初始白名單矩陣。在白名單矩陣產生后，將通過比較特征庫，最后在檢測階段對其進行分析。所有在網絡中符合比較特征庫后白名單的則認為是合法的，不與比較特征庫后白名單相匹配的則產生報警。本發明的有益效果是本申請提出了在工控網絡中使用白名單矩陣的方式幫助網絡管理員監測非法網絡流量，本方法具有可行性，白名單大小可控，運行穩定，方便管理員進行更新操作，不會出現大量的誤報警信息。

技術領域

本發明涉及工業控制網絡系統信息安全領域，尤其涉及一種基于SCADA系統白名單矩陣的工控網絡安全監控方法。

背景技術

SCADA(Supervisory Control And Data Acquisition)即數據采集與監視控制系統。SCADA系統的應用領域很廣，在石油化工、電力系統、給水系統、核電等領域都發揮著重要的作用。隨著網絡的發展，SCADA系統也由獨立的網絡系統、專有的軟硬件環境，逐漸發展成為開放式透明運作的標準系統，并通過TCP/IP等標準網絡協議進行通信，而鑒于系統的重要性，其安全問題越來越受到普遍關注，一旦系統受到攻擊，后果可能是災難性的。這在降低成本提高效率的同時，SCADA系統所面臨的安全性問題也日益凸顯出來。

白名單矩陣是一種以基于TCP/IP協議作為工控網絡的主要傳輸協議的集合，并用以減少網絡攻擊作為其目標。矩陣的概念是具有源MAC地址、目的MAC地址、源IP、目的IP、源端口、目的端口、協議類型及通信時間等八元組的雙向包的通訊序列。白名單矩陣為一個完全基于上述八元組的合法網絡包的集合。其在深度包檢測及主機入侵檢測等方面都具有較好的效果，可在不依賴包有效載荷的情況下對私有協議進行處理，甚至可在網絡層進行操作，因此不需要對主機進行修改。由于普通網絡中合法連接數太多而不能進行管理，所以白名單矩陣在普通網絡中不適用。但是其可以廣泛使用于特殊環境中，如減少垃圾郵件、避免網絡釣魚、預防各種對VoIP基礎設施的攻擊。使用白名單的主要目的是由于大多數工控網絡流量都是由現場設備周期輪訓等自動化過程所產生的，且與外部連接有條件限制，同時系統中設備添加及刪除等操作并不頻繁。

目前，白名單被一些公司作為提高工控系統安全的一種方式。挪威的石油和天然氣協會提議：“除了有明確的授權，所有的訪問都應該被禁止”。但是在實際生產環境中，并沒有對白名單所具備的能力進行深入研究。

如前所述，在工控網絡中的連接管理通常很穩定，意味著在這些環境中白名單的可行性。因此，急需一種基于SCADA系統白名單矩陣的工控網絡安全監控方法，以滿足工控網絡中使用白名單監控非法網絡流量的需求。

發明內容

本發明的目的在于提供一種基于SCADA系統白名單矩陣的工控網絡安全監控方法，在工控網絡中使用白名單矩陣的方式幫助網絡管理員監測非法網絡流量，本方法具有可行性，白名單大小可控，運行穩定，方便管理員進行更新操作，不會出現大量的誤報警信息。

為實現上述目的，本發明提供如下技術方案：

一種基于SCADA系統白名單矩陣的工控網絡安全監控方法，所述監控方法包括以下步驟：

s1：創建連接與創建矩陣，在網絡中獲得所有包含八元組的數據包，即IP包頭信息，IP包頭信息與白名單比較，創建連接時將捕獲到的IP包頭信息聚集到連接，以TCP狀態機或超時300s作為創建連接的結束標志，在創建矩陣階段確定了連接的客戶段與服務器端，并根據八元組的數據包進一步匯總了連接；

s2：學習階段：通過對創建矩陣的分析得到一個含有八元組的初始白名單矩陣；

s3：比較特征項：在白名單矩陣產生后，將通過比較特征庫，最后在檢測階段對其進行分析；