一种工业控制系统的网络风险预警及管控系统技术方案

本发明专利技术公开一种工业控制系统的网络风险预警及管控系统，涉及网络安全技术领域。本发明专利技术包括，数据接收单元，用于接收网络数据包；虚拟隔离单元，用于解析网络数据包得到控制指令；获取工业控制系统的运行状态；根据工业控制系统的运行状态构建虚拟运行环境；在虚拟运行环境执行控制指令；持续获取虚拟运行环境的运行参数；预警单元，用于根据持续获取的虚拟运行环境的运行参数判断控制指令的安全性；若判断控制指令安全，则将控制指令发送至工业控制系统进行实际执行；若判断控制指令不安全，则不予执行控制指令；对网络数据包进行预警。本发明专利技术通过在虚拟运行环境对网络数据包进行解析和预加载，实现对网络攻击实现有效的预警和管控。和管控。和管控。

【技术实现步骤摘要】
一种工业控制系统的网络风险预警及管控系统


[0001]本专利技术属于网络安全
，特别是涉及一种工业控制系统的网络风险预警及管控系统。

技术介绍

[0002]在现代工业生产中，工业控制系统(ICS)起着至关重要的作用。工业控制系统广泛应用于制造业、能源供应、交通管理等众多领域，对生产、运营、服务的正常运行有着深远影响。然而，随着互联网和工业物联网的快速发展，ICS逐渐被整合到更大的网络环境中，与此同时，它们也面临着越来越多的网络安全威胁。
[0003]在公开号为CN109359469A的专利中公开了一种工业控制系统的信息安全风险评估方法，包括以下步骤：S1、获取风险评估值及其对应多个风险评估要素的多组评估分数，作为初始样本数据集；S2、对初始样本数据采用KPCA处理，根据累计贡献率选取主成分，得到降维后的样本数据集；S3、将降维后的样本数据集作为训练样本，训练遗传算法优化的BP神经网络，得到预测模型；
[0004]S4、将多个风险评估要素的评估分数输入预测模型中，得到风险评估值的预测值。此方案中只是对运行中的工控系统进行风险评估，而无法结合工控系统对网络指令进行风险预警和管控，只能对工控系统进行被动防御。

技术实现思路

[0005]本专利技术的目的在于提供一种工业控制系统的网络风险预警及管控系统，通过在虚拟运行环境对网络数据包进行解析和预加载，实现对网络攻击实现有效的预警和管控。
[0006]为解决上述技术问题，本专利技术是通过以下技术方案实现的：
[0007]本专利技术提供一种工业控制系统的网络风险预警系统，包括，
[0008]数据接收单元，用于接收网络数据包；
[0009]虚拟隔离单元，用于解析所述网络数据包得到控制指令；
[0010]获取所述工业控制系统的运行状态；
[0011]根据所述工业控制系统的运行状态构建虚拟运行环境；
[0012]在所述虚拟运行环境执行所述控制指令；
[0013]持续获取所述虚拟运行环境的运行参数；
[0014]预警单元，用于根据持续获取的所述虚拟运行环境的运行参数判断所述控制指令的安全性；
[0015]若判断所述控制指令安全，则将所述控制指令发送至所述工业控制系统进行实际执行；
[0016]若判断所述控制指令不安全，则不予执行所述控制指令；
[0017]对所述网络数据包进行预警。
[0018]本专利技术还公开了一种工业控制系统的网络风险管控系统，包括，
[0019]数据接收单元，用于接收网络数据包；
[0020]虚拟隔离单元，用于解析所述网络数据包得到控制指令；
[0021]获取所述工业控制系统的运行状态；
[0022]根据所述工业控制系统的运行状态构建虚拟运行环境；
[0023]在所述虚拟运行环境执行所述控制指令；
[0024]持续获取所述虚拟运行环境的运行参数；
[0025]预警单元，用于根据持续获取的所述虚拟运行环境的运行参数判断所述控制指令的安全性；
[0026]若判断所述控制指令安全，则将所述控制指令发送至所述工业控制系统进行实际执行；
[0027]若判断所述控制指令不安全，则不予执行所述控制指令；
[0028]发出针对所述网络数据包的网络预警；
[0029]风控单元，由于持续获取网络预警；
[0030]根据持续获取的所述网络预警判断是否需要断开所述数据接收单元对所述网络数据包的接收。
[0031]本专利技术通过数据接收单元接收网络数据包，并通过虚拟隔离单元解析网络数据包得到控制指令。然后获取工业控制系统的运行状态，并根据这些状态构建一个虚拟运行环境。在虚拟运行环境中执行控制指令，同时持续获取虚拟运行环境的运行参数。预警单元根据获取的运行参数判断控制指令的安全性。如果控制指令被判断为安全，它会被发送至工业控制系统进行实际执行；如果判断为不安全，则不会执行该指令，同时会发出针对网络数据包的网络预警。风控单元会持续获取网络预警，并根据这些预警判断是否需要断开数据接收单元对网络数据包的接收，以防止可能的网络攻击。
[0032]当然，实施本专利技术的任一产品并不一定需要同时达到以上所述的所有优点。
附图说明
[0033]为了更清楚地说明本专利技术实施例的技术方案，下面将对实施例描述所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0034]图1为本专利技术所述一种网络风险预警及管控系统于一实施例的功能单元和信息交互示意图；
[0035]图2为本专利技术所述一种工业控制系统的网络风险预警系统于一实施例的功能单元和信息交互示意图；
[0036]图3为本专利技术所述一种网络风险预警及管控系统于一实施例的步骤流程示意图；
[0037]图4为本专利技术所述步骤S3于一实施例的步骤流程示意图；
[0038]图5为本专利技术所述步骤S31于一实施例的步骤流程示意图一；
[0039]图6为本专利技术所述步骤S31于一实施例的步骤流程示意图二；
[0040]图7为本专利技术所述步骤S318于一实施例的步骤流程示意图；
[0041]图8为本专利技术所述步骤S35于一实施例的步骤流程示意图；
[0042]图9为本专利技术所述步骤S353于一实施例的步骤流程示意图；
[0043]图10为本专利技术所述步骤S7于一实施例的步骤流程示意图；
[0044]图11为本专利技术所述步骤S7于一实施例的步骤流程示意图。
[0045]附图中，各标号所代表的部件列表如下：
[0046]1‑
数据接收单元，2
‑
虚拟隔离单元，3
‑
预警单元，4
‑
风控单元。
具体实施方式
[0047]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本专利技术保护的范围。
[0048]由于工业控制网络相比较消费级民用互联网络具有更低的安全冗余度，为了对工业控制系统进行更高等级的防护，本专利技术提供以下方案。
[0049]请参阅图1至3所示，本专利技术提供了一种工业控制系统的网络风险管控系统，从功能模块上划分可以包括数据接收单元1、虚拟隔离单元2、预警单元3以及风控单元4。其中数据接收单元1、虚拟隔离单元2以及预警单元3可以组成一种工业控制系统的网络风险预警系统作为前置系统用以实现对网络风险的筛查和预警。
[0050]在实际应用中，首先可以由数据接收单元1执行步骤S1接收网络数据包，数据接收单元1可以是抽象的网络数据接口。接下来可以由虚拟隔离单元2执行步骤S2解析网络数据包得到控本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种工业控制系统的网络风险预警系统，其特征在于，包括，数据接收单元，用于接收网络数据包；虚拟隔离单元，用于解析所述网络数据包得到控制指令；获取所述工业控制系统的运行状态；根据所述工业控制系统的运行状态构建虚拟运行环境；在所述虚拟运行环境执行所述控制指令；持续获取所述虚拟运行环境的运行参数；预警单元，用于根据持续获取的所述虚拟运行环境的运行参数判断所述控制指令的安全性；若判断所述控制指令安全，则将所述控制指令发送至所述工业控制系统进行实际执行；若判断所述控制指令不安全，则不予执行所述控制指令；对所述网络数据包进行预警。2.根据权利要求1所述的系统，其特征在于，所述根据所述工业控制系统的运行状态构建虚拟运行环境的步骤，包括，获取所述工业控制系统的运行状态的运行状态镜像；载入所述运行状态镜像得到虚拟运行环境；获取所述工业控制系统的运行参数；获取所述虚拟运行环境的运行参数；根据所述工业控制系统的运行参数和所述虚拟运行环境的运行参数判断所述虚拟运行环境的仿真程度是否符合要求；若是，则保持所述虚拟运行环境；若否，则释放所述虚拟运行环境；重新获取所述工业控制系统的运行状态的运行状态镜像并载入所述运行状态镜像得到虚拟运行环境。3.根据权利要求2所述的系统，其特征在于，所述获取所述工业控制系统的运行状态的运行状态镜像的步骤，包括，根据所述控制指令获取执行所述控制指令所需的功能进程；根据所述控制指令所需的功能进程获取所述工业控制系统的运行状态中所述控制指令的功能进程的对应参数；根据所述工业控制系统的运行状态中所述控制指令的功能进程的对应参数对所述虚拟运行环境中所述控制指令的功能进程的对应参数进行修正。4.根据权利要求3所述的系统，其特征在于，所述获取所述工业控制系统的运行状态的运行状态镜像的步骤，还包括，在所述虚拟运行环境执行所述控制指令的过程中，实时获取所述控制指令运行涉及的相关进程；根据所述控制指令获取执行所述控制指令的相关进程；根据所述控制指令的相关进程获取所述虚拟运行环境中所述控制指令的相关进程的对应参数；
根据所述控制指令的相关进程获取所述工业控制系统的运行状态中所述控制指令的相关进程的对应参数；根据所述工业控制系统的运行状态中所述控制指令的相关进程的对应参数对所述虚拟运行环境中所述控制指令的相关进程的对应参数进行判断修正。5.根据权利要求4所述的系统，其特征在于，所述根据所述工业控制系统的运行状态中所述控制指令的相关进程的对应参数对所述虚拟运行环境中所述控制指令的相关进程的对应参数进行判断修正的步骤，包括，判断所述虚拟运行环境中所述控制指令的相关进程的对应参数是否与所述工业控制系统的运行状态中所述控制指令的相关进程的对应参数一致；若是，则保持在所述虚拟运行环境中运行所述控制指令；若否，则中止运行所述虚拟运行环境；根据所述工业控制系统的运行状态中所述控制指令的相关进程的对应参数对所述虚拟运行环境中所...

【专利技术属性】
技术研发人员：李响，张佳琪，李尚宸，郭凯，
申请(专利权)人：苏州恒臻星科技有限公司，
类型：发明
国别省市：