【技术实现步骤摘要】
一种用于工业控制系统网络的安全监测方法
本专利技术涉及核电站工业控制系统网络安全
,具体涉及一种用于工业控制系统网络的安全监测方法。
技术介绍
长期以来,工业控制系统独立封闭,存在天然的安全性,因而其网络安全隐患一直被忽视,随着了“两化融合”的推进,实时数据库和报警管理等系统的部署实施,使得工业控制系统不再独立。同时工控系统伴随着IT技术的发展而发展,已由专用性向通用性演进,大量采集IT通用软硬件,例如PC、操作系统、数据库系统和以太网等,随之而来的,各种威胁和脆弱性也被引入了工业控制系统,所以工业控制系统网络安全问题日益突出。尤其类似如核电站等国家关键基础设施中的工业控制系统网络安全问题更为突出。在现有技术中,工业控制系统的安全防护一般采取逐层防护的方式部署,即在攻击路径上的任意位置如企业网入口、监控层网络入口、现场层网络入口设置特定的防护措施,阻断攻击,实现对安全等级最高的现场层的保护,工控安全防护设备需能支持各式现场总线通讯协议,层层拆解数据封包,深入剖析封包结构与封包内容,确保封包的合法性,即所谓的深层管理。然而,采用代理方式工作的工控防火墙工作在应用层,其工作方式是完全控制会话,针对特定的应用层协议,通过对每种应用服务建立专门的代理服务程序,支持MODBUS、OPC等多种工业协议,也可支持FTP等工控网内常见的传统协议的过滤,实现了工控以太网中常用控制协议的内容分析和完整性检查,能很好地监控工控协议的控制行为。通过对控制协议的深度分析,防止伪装成正常通信协议内容的恶意代码进入工业控制系统网络内...
【技术保护点】
1.一种用于工业控制系统网络的安全监测方法,其特征在于,包括:/n获取所述工业控制系统网络的工控元数据;所述工控元数据包括所述工业控制系统网络中传输的数据包;/n提取所述工控元数据的特征信息;/n将所述工控元数据的特征信息输入到预设模型,并依据所述预设模型输出的结果获取所述工业控制系统网络安全的风险指数。/n
【技术特征摘要】
1.一种用于工业控制系统网络的安全监测方法,其特征在于,包括:
获取所述工业控制系统网络的工控元数据;所述工控元数据包括所述工业控制系统网络中传输的数据包;
提取所述工控元数据的特征信息;
将所述工控元数据的特征信息输入到预设模型,并依据所述预设模型输出的结果获取所述工业控制系统网络安全的风险指数。
2.如权利要求1所述的方法,其特征在于,所述获取所述工业控制系统网络的工控元数据,包括:
从所述工业控制系统网络的网卡循环队列中获取发送和接收两个方向的数据包。
3.如权利要求1所述的方法,其特征在于,所述工业控制系统网络中传输的数据包包括所述工业控制系统网络传输的用于组态变更、操作指令变更、指令参数变更、开关机、启动停止程序、PLC下装和/或负载变更数据的数据包;和/或,所述工控元数据的特征信息包括所述数据包的MAC地址、IP地址、端口、工控指令、控制点位信息和/或应用层协议。
4.如权利要求1所述的方法,其特征在于,所述预设模型包括基于时间序列对数据深度解析进行异常检测模型、树模型、支持向量机模型和/或聚类算法模型。
5.如权利要求4所述的方法,其特征在于,所述基于时间序列对数据深度解析进行异常检测模型的建立包括:
对基于时间序列按一预设采样频率和/或采样周期获取工控元数据的特征信息建立训练集;
依据一预设换算方法获取训练集的正常值区间,以建立基于时间序列对数据深度解析进行异常检测模型。
6.如权利要求5所述的方法,其特征在于,所述依据一预设换算方法获取训练集的正常值区间,包括:
所述正常值区间为(μ-3σ,μ+3σ),其中,μ为训练集样本平均值,σ为样本方差。
7.如权利要求5所述的方法,其特征在于,所述依据一预设换算方法获取训练集的正常值区间,包括:
所述正常值区间为大于Q3+1.5IQR之外的数和小于Q1-1.5IQR,其中,Q1为所述训练集样本中所有数值由小到大排列后第25%的数字,Q3为所述训练集样本中所有数值由小到大排列后第75%的数字,IQR为Q3和Q1的差。
8.如权利要求4所述的方法,其特征在于,所述树模型的建立包括:
分别对每个所述工控元数据的特征信息建立决策树模型;将样本分为训练集、验证集和测试集;所述样本是基于时间序列按一预设采样频率和/或采样周期获取所述工控元数据的特征信息;依据树类算法,按一预设异常指数比例筛选所述训练集,并通过所述验证...
【专利技术属性】
技术研发人员:春增军,孙辉,张林,张金华,崔岗,颜振宇,陈伟雄,王文君,赵杰,陈一根,
申请(专利权)人:中国广核电力股份有限公司,深圳中广核工程设计有限公司,上海观安信息技术股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。