本發(fā)明公開(kāi)了一種工業(yè)審計(jì)系統(tǒng)中事件的上報(bào)方法，所述上報(bào)方法包括如下步驟：S1：采集工業(yè)交換機(jī)鏡像流量，對(duì)工控協(xié)議流量進(jìn)行解析，根據(jù)解析信息提取行為數(shù)據(jù)；S2：據(jù)步驟S1提取到的行為數(shù)據(jù)按照規(guī)則的優(yōu)先級(jí)匹配預(yù)先下發(fā)的規(guī)則，規(guī)則根據(jù)工業(yè)環(huán)境用戶進(jìn)行手動(dòng)配置；S3：將匹配到規(guī)則的信息確定為安全事件，并將安全事件上報(bào)到工業(yè)審計(jì)系統(tǒng)，同時(shí)以郵件的形式發(fā)送到用戶郵箱，做到實(shí)時(shí)提醒。本發(fā)明上報(bào)方法實(shí)現(xiàn)了實(shí)時(shí)提醒用戶系統(tǒng)發(fā)生的安全行為，為用戶的系統(tǒng)安全提供極大的便利和強(qiáng)有力的保障。

技術(shù)領(lǐng)域

本發(fā)明屬于信息安全技術(shù)領(lǐng)域，尤其涉及一種工業(yè)審計(jì)系統(tǒng)中事件的上報(bào)方法。

背景技術(shù)

隨著工業(yè)控制系統(tǒng)信息化程度的提高和工業(yè)化與信息化的深度融合，來(lái)自信息網(wǎng)絡(luò)的安全問(wèn)題逐步對(duì)工業(yè)控制系統(tǒng)造成極大威脅，如木馬、病毒等。針對(duì)工業(yè)控制網(wǎng)絡(luò)的攻擊將成為一種常態(tài)，工業(yè)控制系統(tǒng)的信息安全將會(huì)得到前所未有的關(guān)注。

而且傳統(tǒng)的網(wǎng)絡(luò)安全檢測(cè)審計(jì)產(chǎn)品已不能滿足工業(yè)信息化發(fā)展的需求，常見(jiàn)的安全問(wèn)題有：工業(yè)協(xié)議通信缺乏安全性考慮，易被攻擊和利用；缺乏對(duì)系統(tǒng)誤操作和破壞的監(jiān)測(cè)機(jī)制，事故分析困難；安全漏洞難以及時(shí)處理，系統(tǒng)存在巨大安全隱患等。此時(shí)，安全事件實(shí)時(shí)上報(bào)就顯得尤為重要。

發(fā)明內(nèi)容

本發(fā)明的目的在于，為克服現(xiàn)有技術(shù)缺陷，提供了一種在工業(yè)審計(jì)系統(tǒng)中安全事件上報(bào)的方法，實(shí)現(xiàn)了實(shí)時(shí)提醒用戶系統(tǒng)發(fā)生的安全行為，為用戶的系統(tǒng)安全提供極大的便利和強(qiáng)有力的保障。

本發(fā)明目的通過(guò)下述技術(shù)方案來(lái)實(shí)現(xiàn)：

一種工業(yè)審計(jì)系統(tǒng)中事件的上報(bào)方法，所述上報(bào)方法包括如下步驟：S1：采集工業(yè)交換機(jī)鏡像流量，對(duì)工控協(xié)議流量進(jìn)行解析，根據(jù)解析信息提取行為數(shù)據(jù)；S2：據(jù)步驟S1提取到的行為數(shù)據(jù)按照規(guī)則的優(yōu)先級(jí)匹配預(yù)先下發(fā)的規(guī)則，規(guī)則根據(jù)工業(yè)環(huán)境用戶進(jìn)行手動(dòng)配置；S3：將匹配到規(guī)則的信息確定為安全件，并將安全事件上報(bào)到工業(yè)審計(jì)系統(tǒng)，同時(shí)以郵件的形式發(fā)送到用戶郵箱，做到實(shí)時(shí)提醒。

根據(jù)一個(gè)優(yōu)選的實(shí)施方式，所述步驟S1中，對(duì)工控協(xié)議流量進(jìn)行解析由流程深度解析模塊完成，其中，所述流程深度解析模塊配置有若干工控協(xié)議的深度解析過(guò)程。

根據(jù)一個(gè)優(yōu)選的實(shí)施方式，所述步驟S2中的規(guī)則包括：病毒檢測(cè)規(guī)則、自定義協(xié)議規(guī)則、工業(yè)漏洞庫(kù)規(guī)則、IPMAC綁定規(guī)則、工控協(xié)議規(guī)則和網(wǎng)絡(luò)協(xié)議規(guī)則。

根據(jù)一個(gè)優(yōu)選的實(shí)施方式，規(guī)則匹配的優(yōu)先級(jí)順序依序?yàn)椴《緳z測(cè)規(guī)則、自定義協(xié)議規(guī)則、工業(yè)漏洞庫(kù)規(guī)則、IPMAC綁定規(guī)則、工控協(xié)議規(guī)則至網(wǎng)絡(luò)協(xié)議規(guī)則。

根據(jù)一個(gè)優(yōu)選的實(shí)施方式，所述步驟S3中的安全事件由所述行為數(shù)據(jù)和匹配到的規(guī)則信息構(gòu)成。

根據(jù)一個(gè)優(yōu)選的實(shí)施方式，所述安全事件包括的數(shù)據(jù)至少包括：匹配到的規(guī)則，發(fā)生時(shí)間，事件包長(zhǎng)度，源目的IP，源目的MAC。

前述本發(fā)明主方案及其各進(jìn)一步選擇方案可以自由組合以形成多個(gè)方案，均為本發(fā)明可采用并要求保護(hù)的方案；且本發(fā)明，(各非沖突選擇)選擇之間以及和其他選擇之間也可以自由組合。本領(lǐng)域技術(shù)人員在了解本發(fā)明方案后根據(jù)現(xiàn)有技術(shù)和公知常識(shí)可明了有多種組合，均為本發(fā)明所要保護(hù)的技術(shù)方案，在此不做窮舉。

本發(fā)明的有益效果：本發(fā)明上報(bào)方法同時(shí)支持病毒檢測(cè)規(guī)則、自定義協(xié)議規(guī)則、工業(yè)漏洞庫(kù)規(guī)則、IPMAC綁定規(guī)則、工控協(xié)議規(guī)則和網(wǎng)絡(luò)協(xié)議規(guī)則，做到對(duì)系統(tǒng)的攻擊、誤操作和破壞監(jiān)測(cè)的更加全面，對(duì)安全事故的分析更加簡(jiǎn)單，同時(shí)實(shí)時(shí)提醒用戶系統(tǒng)發(fā)生的安全行為，為用戶的系統(tǒng)安全提供極大的便利和強(qiáng)有力的保障。

附圖說(shuō)明

圖1是本發(fā)明上報(bào)方法的流程框架示意圖

圖2是本發(fā)明上報(bào)方法中的規(guī)則匹配流程圖；

圖3是本發(fā)明上報(bào)方法中自定義協(xié)議規(guī)則的框架結(jié)構(gòu)圖。

具體實(shí)施方式