一种工业控制系统网络访问安全性预警系统及方法技术方案

本发明专利技术公开一种工业控制系统网络访问安全性预警系统及方法，涉及网络安全技术领域。本发明专利技术包括，获取每个操作种类的允许访问人员和允许访问网络位置范围；根据每个操作种类的允许访问人员和允许访问网络位置范围，挑选出不限定访问人员和和访问网络位置范围的操作种类作为低敏操作种类，并挑选出限定访问人员和/或访问网络位置范围的操作种类作为高敏操作种类；根据用户的数据操作属于低敏操作种类或高敏操作种类以及用户的数据操作的历史时刻分布以及发出网络位置分布，判断用户的访问行为是否触发预警。本发明专利技术能够提供及时有效的安全性预警。安全性预警。安全性预警。

【技术实现步骤摘要】
一种工业控制系统网络访问安全性预警系统及方法


[0001]本专利技术属于网络安全
，特别是涉及一种工业控制系统网络访问安全性预警系统及方法。

技术介绍

[0002]工业控制系统(Industrial Control System,ICS)是一种应用于工业生产过程中的自动化控制系统。随着工业自动化程度的不断提高，工业控制系统在各类生产领域得到了广泛应用，如电力、石油、化工、制造业等。工业控制系统的正常运行对生产安全和经济效益至关重要。然而，随着工业控制系统与互联网的深度融合，网络安全问题逐渐暴露出来，导致工业控制系统面临来自网络攻击的威胁。
[0003]现有的安全防护技术和产品往往针对传统信息技术(Information Technology,IT)系统设计，对工业控制系统特有的协议和设备支持不足，导致防护效果不理想。其次，现有技术在检测到潜在的安全事件时，往往缺乏及时、准确的预警能力。此外，网络访问安全性预警系统在分析和判断潜在威胁时，可能会受到攻击者对网络流量的欺骗影响，导致误报或漏报。

技术实现思路

[0004]本专利技术的目的在于提供一种工业控制系统网络访问安全性预警系统及方法，通过对用户的网络访问操作记录进行分析，能够提供及时有效的安全性预警。
[0005]为解决上述技术问题，本专利技术是通过以下技术方案实现的：
[0006]本专利技术提供一种工业控制系统网络访问安全性预警方法，包括，
[0007]接收访问请求；
[0008]获取并记录所述访问请求的发出用户、发出网络位置以及对应的数据操作；
[0009]根据所述访问请求的发出用户、发出网络位置以及对应的数据操作，获取每个用户的每次数据操作的发出网络位置以及发出时刻；
[0010]对数据操作进行分类，根据每个用户的每次数据操作的发出网络位置以及发出时刻获取用户的每个操作种类的数据操作的历史时刻分布以及发出网络位置分布；
[0011]获取每个操作种类的允许访问人员和允许访问网络位置范围；
[0012]根据每个操作种类的允许访问人员和允许访问网络位置范围，挑选出不限定访问人员和和访问网络位置范围的操作种类作为低敏操作种类，并挑选出限定访问人员和/或访问网络位置范围的操作种类作为高敏操作种类；
[0013]根据所述用户的数据操作属于低敏操作种类或高敏操作种类以及所述用户的数据操作的历史时刻分布以及发出网络位置分布，判断用户的访问行为是否触发预警。
[0014]本专利技术还公开了一种工业控制系统网络访问安全性预警系统，
[0015]旁路接收单元，用于接收访问请求；
[0016]解析记录单元，用于获取并记录所述访问请求的发出用户、发出网络位置以及对
应的数据操作；
[0017]根据所述访问请求的发出用户、发出网络位置以及对应的数据操作，获取每个用户的每次数据操作的发出网络位置以及发出时刻；
[0018]分类分析单元，用于对数据操作进行分类，根据每个用户的每次数据操作的发出网络位置以及发出时刻获取用户的每个操作种类的数据操作的历史时刻分布以及发出网络位置分布；
[0019]获取每个操作种类的允许访问人员和允许访问网络位置范围；
[0020]根据每个操作种类的允许访问人员和允许访问网络位置范围，挑选出不限定访问人员和和访问网络位置范围的操作种类作为低敏操作种类，并挑选出限定访问人员和/或访问网络位置范围的操作种类作为高敏操作种类；
[0021]预警单元，用于根据所述用户的数据操作属于低敏操作种类或高敏操作种类以及所述用户的数据操作的历史时刻分布以及发出网络位置分布，判断用户的访问行为是否触发预警。
[0022]本专利技术通过分析用户的网络访问操作记录，实现了及时有效的安全性预警。系统主要包括旁路接收单元、解析记录单元、分类分析单元和预警单元。旁路接收单元负责接收访问请求，解析记录单元获取并记录相关信息。分类分析单元根据用户的每次数据操作进行分类，获取历史时刻分布和发出网络位置分布。系统确定每个操作种类的允许访问人员和允许访问网络位置范围，并将操作种类分为低敏和高敏。预警单元根据用户的数据操作类型以及历史时刻分布和发出网络位置分布，判断用户的访问行为是否触发预警。
[0023]当然，实施本专利技术的任一产品并不一定需要同时达到以上所述的所有优点。
附图说明
[0024]为了更清楚地说明本专利技术实施例的技术方案，下面将对实施例描述所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0025]图1为本专利技术所述一种工业控制系统网络访问安全性预警方法于一实施例的工作流程示意图；
[0026]图2为本专利技术所述一种工业控制系统网络访问安全性预警系统于一实施例的功能模块及信息流向示意图；
[0027]图3为本专利技术所述步骤S6于一实施例的工作流程示意图；
[0028]图4为本专利技术所述步骤S62于一实施例的工作流程示意图一；
[0029]图5为本专利技术所述步骤S62于一实施例的工作流程示意图二；
[0030]图6为本专利技术所述步骤S7于一实施例的工作流程示意图；
[0031]图7为本专利技术所述步骤S71于一实施例的工作流程示意图；
[0032]图8为本专利技术所述步骤S711于一实施例的工作流程示意图；
[0033]图9为本专利技术所述步骤S712于一实施例的工作流程示意图；
[0034]图10为本专利技术所述步骤S7121于一实施例的工作流程示意图。
[0035]附图中，各标号所代表的部件列表如下：
[0036]1‑
旁路接收单元，2
‑
解析记录单元，3
‑
分类分析单元，4
‑
预警单元。
具体实施方式
[0037]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本专利技术保护的范围。
[0038]由于工业控制系统相比较于普通的网络系统安全性要求较高，有鉴于此，本专利技术提供以下方案。
[0039]请参阅图1至2所示，本专利技术提供了一种工业控制系统网络访问安全性预警系统，从功能模块上划分可以包括旁路接收单元1、解析记录单元2、分类分析单元3以及预警单元4。在具体工作运行的过程中，首先由旁路接收单元1执行步骤S1用于接收访问请求，这里的旁路接收单元1可以是在远程端与控制系统之间设置，远程端发送的控制指令首先由旁路接收单元1并由预警单元4分析出预警结果之后再将控制指令发送至工业控制系统进行执行。
[0040]接下来可以由解析记录单元2执行步骤S2获取并记录访问请求的发出用户、本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种工业控制系统网络访问安全性预警方法，其特征在于，包括，接收访问请求；获取并记录所述访问请求的发出用户、发出网络位置以及对应的数据操作；根据所述访问请求的发出用户、发出网络位置以及对应的数据操作，获取每个用户的每次数据操作的发出网络位置以及发出时刻；对数据操作进行分类，根据每个用户的每次数据操作的发出网络位置以及发出时刻获取用户的每个操作种类的数据操作的历史时刻分布以及发出网络位置分布；获取每个操作种类的允许访问人员和允许访问网络位置范围；根据每个操作种类的允许访问人员和允许访问网络位置范围，挑选出不限定访问人员和和访问网络位置范围的操作种类作为低敏操作种类，并挑选出限定访问人员和/或访问网络位置范围的操作种类作为高敏操作种类；根据所述用户的数据操作属于低敏操作种类或高敏操作种类以及所述用户的数据操作的历史时刻分布以及发出网络位置分布，判断用户的访问行为是否触发预警。2.根据权利要求1所述的方法，其特征在于，所述根据每个操作种类的允许访问人员和允许访问网络位置范围，挑选出不限定访问人员和和访问网络位置范围的操作种类作为低敏操作种类，并挑选出限定访问人员和/或访问网络位置范围的操作种类作为高敏操作种类的步骤，包括，根据每个所述数据操作归属于的所述操作种类以及每个所述操作种类属于低敏操作种类或高敏操作种类，建立所述数据操作归属于低敏操作种类或高敏操作种类的敏感性检索数据库；对所述访问请求的网络数据包进行解析得到所述访问请求对应的数据操作；将所述访问请求对应的所述数据操作在所述敏感性检索数据库进行检索，得到所述访问请求对应的所述数据操作属于低敏操作种类或高敏操作种类。3.根据权利要求2所述的方法，其特征在于，所述建立所述数据操作归属于低敏操作种类或高敏操作种类的敏感性检索数据库的步骤，包括，将每个数据操作与归属于低敏操作种类或高敏操作种类封装至同一条数据记录；根据获取并记录的所述访问请求的数据操作得到每个所述数据操作的检索命中次数；按照每个所述数据操作的检索命中次数将所述数据记录进行排序得到所述敏感性检索数据库。4.根据权利要求2所述的方法，其特征在于，所述建立所述数据操作归属于低敏操作种类或高敏操作种类的敏感性检索数据库的步骤，还包括，实时或间隔固定时间或间隔所述访问请求接收数量更新得到每个所述数据操作的检索命中次数；根据实时更新得到每个所述数据操作的检索命中次数对所述敏感性检索数据库中所述数据记录的排序进行更新。5.根据权利要求1所述的方法，其特征在于，所述根据所述用户的数据操作属于低敏操作种类或高敏操作种类以及所述用户的数据操作的历史时刻分布以及发出网络位置分布，判断用户的访问行为是否触发预警的步骤，包括，对于所述低敏操作种类，根据所述用户的数据操作的历史时刻分布以及发出网络位置
分布判断所述用户的访问行为是否异常；若是，则进行预警；若否，则不进行预警；对于所述高敏操作种类，判断所述访问请求的发出用户和/或发出网络位置是否超出限定访问人员和/或访问网络位置范围；若是，则进行预警；若否，则不进行预警。6.根据权利要求5所述的方法，其特征在于，所述对于所述低敏操作种类，根据所述用户的数据操作的历史时刻分布以及发出网络位置分布判断所述用户的访问行为是否异常的步骤，...

【专利技术属性】
技术研发人员：请求不公布姓名，
申请(专利权)人：山西伊拉娜科技有限公司，
类型：发明
国别省市：