一种安全审计系统及方法技术方案

本申请提供了一种安全审计系统及方法，该方法包括：日志采集模块，用于从SCADA系统中采集待处理日志；所述待处理日志包括支持标准协议网络设备日志、哑终端设备日志、SCADA软件日志和网络流量日志；日志处理模块，用于采用队列与多线程混合的方式对所述待处理日志进行数据处理操作，得到标准化日志；所述数据处理操作包括标准化处理和数据补全处理；日志分析模块，用于根据预设告警策略和违规分析规则，对所述标准化日志进行异常分析，得到违规日志和合规日志；所述违规日志包括告警日志和违规行为；日志展示模块，用于将违规日志和合规日志通过SCADA系统的用户操作界面，以预设展示形式进行数据展示；所述预设展示形式包括告警查询和报表查询。查询和报表查询。查询和报表查询。

【技术实现步骤摘要】
一种安全审计系统及方法


[0001]本申请涉及安全审计领域，具体而言，涉及一种安全审计系统及方法。

技术介绍

[0002]SCADA(Supervisory Control And Data Acquisition，监视控制与数据采集)系统中的日志不仅包括主机、网络、流量，还有SCADA自身业务的日志，如SCADA软件的操作、登录、对现场设备的控制等日志，以及PLC/RTU等哑终端日志，只有将所有相关的日志进行收集、日志分析、以及事件回溯与安全预警，才能快速的在出现事故后定位出是误操作、恶意操作还是系统自身故障所造成。
[0003]现有技术中，一方面，在油气管道SCADA系统工程中，主机、网络、流量、SCADA自身的审计数据对外提供的接口不一致，且数据格式相互不兼容，很难实现日志的关联分析，目前市场上只是实现对部分日志类型的采集，并没有覆盖以上所有日志的安全审计技术；另一方面，SCADA系统在项目中已经形成了日志文件，且SCADA系统在运行中对实时性等方面要求很高。

技术实现思路

[0004]有鉴于此，本申请的目的在于提供一种安全审计系统及方法，用于解决现有技术中如何实现SCADA系统安全审计的问题。
[0005]第一方面，本申请实施例提供了一种安全审计系统，应用于数据采集与监视控制系统SCADA系统，包括:
[0006]日志采集模块，用于从SCADA系统中采集待处理日志；所述待处理日志包括支持标准协议网络设备日志、哑终端设备日志、SCADA软件日志和网络流量日志；
[0007]日志处理模块，用于采用队列与多线程混合的方式对所述待处理日志进行数据处理操作，得到标准化日志；所述数据处理操作包括标准化处理和数据补全处理；
[0008]日志分析模块，用于根据预设告警策略和违规分析规则，对所述标准化日志进行异常分析，得到违规日志和合规日志；所述违规日志包括告警日志和违规行为；
[0009]日志展示模块，用于将违规日志和合规日志通过SCADA系统的用户操作界面，以预设展示形式进行数据展示；所述预设展示形式包括告警查询和报表查询。
[0010]在一些实施例中，所述日志分析模块，包括：
[0011]日志筛选单元，用于根据预先设定的审计日志筛选条件，从所述标准化日志中筛选出审计日志，并将所述审计日志录入审计日志库；
[0012]第一分析单元，用于针对审计日志库中的审计日志，根据预设告警策略和审计日志的属性信息，筛选出告警日志，并对所述告警日志添加错误级别标记；所述错误级别标记包括一般级、严重级、危险级；
[0013]第二分析单元，用于针对审计日志库中所述告警日志以外的审计日志，根据违规分析规则和各审计日志之间的关联关系，确定出现异常的审计日志对应的违规行为，以及
该违规行为对应的日志数据源。
[0014]在一些实施例中，所述日志分析模块还包括：
[0015]违规规则管理单元，用于对所述违规分析规则进行更新；所述违规分析规则的规则类型包括关键字分析规则、关联关系规则、周期规则和限时规则；所述违规分析规则的权限类型包括管理员规则和用户自定义规则。
[0016]在一些实施例中，所述日志分析模块还包括：
[0017]查询规则管理单元，用于针对所述违规日志和合规日志，设置多个查询规则以及查询规则对应的查询关键字，并将违规日志和合规日志中符合查询规则的审计日志与该查询规则对应的查询关键字进行关联。
[0018]在一些实施例中，所述日志展示模块，包括：
[0019]违规查询单元，用于将违规日志按照类型和级别进行整理，得到违规日志列表，并将该违规日志列表展示在SCADA系统的用户操作界面上；
[0020]报表查询单元，用于根据日志报表指令，进行日志报表的管理操作；所述日志报表指令是用户通过点击SCADA系统的用户操作界面上的功能按键生成的；所述管理操作包括新建、自动生成、预览、导出、修改和删除。
[0021]第二方面，本申请实施例提供了一种安全审计方法，应用于数据采集与监视控制系统SCADA系统，包括:
[0022]从SCADA系统中采集待处理日志；所述待处理日志包括支持标准协议网络设备日志、哑终端设备日志、SCADA软件日志和网络流量日志；
[0023]采用队列与多线程混合的方式对所述待处理日志进行数据处理操作，得到标准化日志；所述数据处理操作包括标准化处理和数据补全处理；
[0024]根据预设告警策略和违规分析规则，对所述标准化日志进行异常分析，得到违规日志和合规日志；所述违规日志包括告警日志和违规行为；
[0025]将违规日志和合规日志通过SCADA系统的用户操作界面，以预设展示形式进行数据展示；所述预设展示形式包括告警查询和报表查询。
[0026]在一些实施例中，根据预设告警策略和违规分析规则，对所述标准化日志进行异常分析，得到违规日志和合规日志，包括：
[0027]根据预先设定的审计日志筛选条件，从所述标准化日志中筛选出审计日志，并将所述审计日志录入审计日志库；
[0028]针对审计日志库中的审计日志，根据预设告警策略和审计日志的属性信息，筛选出告警日志，并对所述告警日志添加错误级别标记；所述错误级别标记包括一般级、严重级、危险级；
[0029]针对审计日志库中所述告警日志以外的审计日志，根据违规分析规则和各审计日志之间的关联关系，确定出现异常的审计日志对应的违规行为，以及该违规行为对应的日志数据源。
[0030]在一些实施例中，所述方法还包括：
[0031]针对所述违规日志和合规日志，设置多个查询规则以及查询规则对应的查询关键字，并将违规日志和合规日志中符合查询规则的审计日志与该查询规则对应的查询关键字进行关联。
[0032]第三方面，本申请实施例提供了一种计算机设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述第二方面中任一项所述的方法的步骤。
[0033]第四方面，本申请实施例提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器运行时执行上述第二方面中任一项所述的方法的步骤。
[0034]本申请实施例提出的一种安全审计系统及方法，通过技术实现集中采集主机、网络、流量、还有SCADA自身业务的日志，并做归一化的处理、分析和展现，从而实现对SCADA系统软硬件安全状况实时监控和预警。本申请实施例提供的安全审计系统及方法，提高了SCADA系统软硬件的安全性，从而提高了SCADA系统的可靠性和稳定性。
[0035]为使本申请的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。
附图说明
[0036]为了更清楚地说明本申请实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种安全审计系统，其特征在于，应用于数据采集与监视控制系统SCADA系统，包括:日志采集模块，用于从SCADA系统中采集待处理日志；所述待处理日志包括支持标准协议网络设备日志、哑终端设备日志、SCADA软件日志和网络流量日志；日志处理模块，用于采用队列与多线程混合的方式对所述待处理日志进行数据处理操作，得到标准化日志；所述数据处理操作包括标准化处理和数据补全处理；日志分析模块，用于根据预设告警策略和违规分析规则，对所述标准化日志进行异常分析，得到违规日志和合规日志；所述违规日志包括告警日志和违规行为；日志展示模块，用于将违规日志和合规日志通过SCADA系统的用户操作界面，以预设展示形式进行数据展示；所述预设展示形式包括告警查询和报表查询。2.如权利要求1所述的系统，其特征在于，所述日志分析模块，包括：日志筛选单元，用于根据预先设定的审计日志筛选条件，从所述标准化日志中筛选出审计日志，并将所述审计日志录入审计日志库；第一分析单元，用于针对审计日志库中的审计日志，根据预设告警策略和审计日志的属性信息，筛选出告警日志，并对所述告警日志添加错误级别标记；所述错误级别标记包括一般级、严重级、危险级；第二分析单元，用于针对审计日志库中所述告警日志以外的审计日志，根据违规分析规则和各审计日志之间的关联关系，确定出现异常的审计日志对应的违规行为，以及该违规行为对应的日志数据源。3.如权利要求2所述的系统，其特征在于，所述日志分析模块还包括：违规规则管理单元，用于对所述违规分析规则进行更新；所述违规分析规则的规则类型包括关键字分析规则、关联关系规则、周期规则和限时规则；所述违规分析规则的权限类型包括管理员规则和用户自定义规则。4.如权利要求2所述的系统，其特征在于，所述日志分析模块还包括：查询规则管理单元，用于针对所述违规日志和合规日志，设置多个查询规则以及查询规则对应的查询关键字，并将违规日志和合规日志中符合查询规则的审计日志与该查询规则对应的查询关键字进行关联。5.如权利要求1所述的系统，其特征在于，所述日志展示模块，包括：违规查询单元，用于将违规日志按照类型和级别进行整理，得到违规日志列表，并将该违规日志列表展示在SCADA系统的用户操作界面上；报表查询单元，用于根据日志报表指令，进行日志报...

【专利技术属性】
技术研发人员：马亮，张雅楠，曹海军，邓田，董黎芳，徐轶，
申请(专利权)人：昆仑数智科技有限责任公司，
类型：发明
国别省市：