一種工控網絡安全檢測系統，包括管理信息網和工業生產網，管理信息網和工業生產網之間設置安全緩沖區，安全緩沖區內設有第一防火墻和入侵檢測模塊；第一防火墻和入侵檢測模塊用來阻擋外網用戶對系統的入侵；工業生產網中設置蜜罐、第二防火墻、生產設備識別模塊、生產設備行為監控模塊、生產設備行為分析模塊和異常停機模塊；蜜罐內設有入侵檢測單元、行為記錄單元和報警單元；生產設備識別模塊內設有生產設備搜索單元、生產設備識別單元和生產設備信息記錄單元；本發明中，通過兩層網絡安全檢測防護，提高網絡安全檢測效果；且蜜罐能快速發現入侵行為，檢測效果強；同時能快速發現異常行為并及時停機避免造成嚴重損失。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種工控網絡安全檢測系統。

背景技術

在現場總線技術的基礎上發展了工業控制網絡，它是用具有數字通信能力并能大量分散在生產現場的測量控制儀表作為網絡節點而構成的。工業網絡具有很高的公開性，對于通信協議的要求也很高。它的運作主要是實現現場的設備之間的信息自由交流，這樣就更容易完成控制系統的任務，完成速度更快，但由于其高度的公開性，工控網絡很容易受到攻擊者利用漏洞進行的攻擊，嚴重的攻擊后果甚至可以使工控網絡完全癱瘓，導致工業過程失控，造成無法挽回的損失。傳統的工控網絡安全檢測系統是在工業生產網絡前部署防火墻和入侵檢測系統，此種方式內部網絡是公開的，所有的安全依賴于操作系統本身的安全保障措施，實際運行過程中，存在U盤等第三方存儲物繞過邊界防護而將病毒帶入內網的情況，從而造成安全防護可靠性大大降低，且傳統的安全檢測系統在檢測入侵上存在較為嚴重的滯后性，往往入侵者已經完成了較多的攻擊后管理者才能進行有效反擊，造成大量損失；同時現有的入侵攻擊手段越來越隱秘，越來越難以察覺，往往檢測出入侵時已經發生無法挽回的損失甚至攻擊者入侵結束后管理員都無法察覺。

中國發明專利公告號為CN106487813A提出的工控網絡安全檢測系統及檢測方法，測試用例模塊向模糊測試引擎提供測試用例；模糊測試引擎生成測試數據包并對檢測目標進行安全檢測，得出包括“正常”、“其他”和“疑似漏洞”的測試結果；監視器實時監測檢測目標的狀態；根源分析模塊驅動模糊測試引擎進行攻擊重放，在漏洞驗證成功后對異常數據包進行異常分析，得出安全漏洞產生的根源；報告生成引擎生成測試報告。使用該工控網絡安全檢測系統進行安全檢測，檢測深入全面，能夠有效發現未知安全漏洞，得出安全漏洞產生的根源。但由于工控網絡的特性，其本身就會無規則、不定期出現各種漏洞，即使檢測出漏洞還是無法對工控網絡提供安全防護，入侵者依然能夠快速利用漏洞進行攻擊。

發明內容

(一)發明目的

為解決背景技術中存在的技術問題，本發明提出一種工控網絡安全檢測系統，通過第一防火墻和入侵檢測模塊構建第一層網絡安全檢測防護，通過蜜罐構建第二層網絡安全檢測防護，提高網絡安全檢測效果；且蜜罐正常情況下不被訪問，因此所有對其鏈接的嘗試都將被視為可疑操作，這樣蜜罐對網絡常見掃描、入侵的反應靈敏度大大提高，有利于快速發現入侵行為，檢測效果強；同時通過設備的實際運行行為與理論運行行為實時比對，能快速發現異常行為并及時停機，即使入侵行為極為隱秘也不會造成嚴重損失。

(二)技術方案

本發明提出了一種工控網絡安全檢測系統，包括管理信息網和工業生產網，管理信息網和工業生產網之間設置安全緩沖區，安全緩沖區內設有第一防火墻和入侵檢測模塊；第一防火墻和入侵檢測模塊用來阻擋外網用戶對系統的入侵；

工業生產網中設置蜜罐、第二防火墻、生產設備識別模塊、生產設備行為監控模塊、生產設備行為分析模塊和異常停機模塊；

蜜罐內設有入侵檢測單元、行為記錄單元和報警單元，入侵檢測單元用來識別對蜜罐進行的掃描行為，行為記錄單元用來記錄入侵者在蜜罐內的行為，報警單元用來通知網絡管理員；蜜罐在正常網絡流量下不會被訪問，所有對其鏈接的嘗試均被視為可疑操作；

第二防火墻用來阻擋外網用戶對工業生產網的入侵；