[发明专利]基于核电站的网络入侵报警方法和系统

说明书

技术领域

本发明属于核电站安防领域，更具体地说，本发明涉及一种基于核电站的网络入侵报警方法和系统。

背景技术

入侵检测系统(Intrusion Detection System，IDS)是指对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。随着网络的规模越来越庞大，网络上的资源也越来越丰富，从网络而来的威胁也越来越多、攻击越来越隐秘。核电运行的数据关系到国家安全和社会稳定，因此，构造网络安全体系以保障数据中心的安全势在必行。工业控制系统包括核电站控制系统由于不与因特网网络相连，它是一个独立的网络。正常情况下是不会有病毒存在的，外面的黑客也无法攻击。加之通常的黑客及网络病毒攻击都是针对计算机设备，一般没有针对工业控制系统网络中的控制设备的病毒。

在核电控制系统中，随着信息技术的发展，由于核电系统集成和使用的便利性，大量使用了工业以太环网和(OLE for Process Control，OPC)通信协议进行核电控制系统的集成。同时，也大量使用了PC服务器和终端产品，核电操作系统和数据库也大量的使用了通用的系统，虽然核电工业网不与internet网相连，核电站也制定了很多规范。但是，现实中往往有人不遵守规定，例如使用U盘在互联网与核电工业网交互使用，使用未经检测的光盘等行为，很容易导致来自企业管理网或互联网的病毒、木马、黑客的攻击，并由此可能导致对实际物理系统故障。核电运行的数据关系到国家安全和社会稳定，因此，构造网络安全体系以保障数据中心的安全势在必行。

现有的网络安全体系通常由防火墙、杀毒软件以及入侵检测系统(Intrusion Detection System，IDS)或者入侵防御系统(Intrusion Prevention System，IPS)组成。但是，核电控制系统中没有部署商业入侵检测系统进行网络防御，或者部署的商业入侵检测系统也是误用检测为基础的入侵检测系统。由于核电工业网不与互联网相连，所以在核电工业网中无法及时更新入侵检测的病毒库，对于新病毒或者针对特定工业控制系统设计的病毒利用商业入侵检测系统是无法检测出来的。

如何针对来自网络的病毒入侵进行检测和预警，是核电安全亟待解决的问题。

发明内容

本发明的目的在于：核电控制系统针对可能来自网络的病毒入侵，提供一种基于核电站的网络入侵报警方法和系统，通过结合使用异常检测技术和误用检测技术，提高核电站控制系统对网络入侵的检测能力和完善入侵报警机制，有效地满足了核电站工业网对网络安全防护的要求。

为了实现上述发明目的，本发明提供了一种基于核电站的网络入侵报警方法，其包括：

对访问对象发送的数据信息进行检测，所述检测包括误用检测和协议异常数据检测；

若检测所述数据信息的结果为异常，生成即时预警信息；

将所述即时预警信息与数据库中的历史预警信息进行匹配；

若所述即时预警信息与所述历史预警信息的匹配结果不符合预先设置的匹配值，发出入侵报警信息。

作为本发明基于核电站的网络入侵报警方法的一种改进，所述方法还包括：

接收访问对象发送的数据信息。

作为本发明基于核电站的网络入侵报警方法的一种改进，所述历史预警信息包括预警次数的字段，若所述即时预警信息与所述历史预警信息的匹配结果符合预先设置的匹配值，所述预警次数增加一次。

作为本发明基于核电站的网络入侵报警方法的一种改进，所述方法还包括：

对所述即时预警信息与所述历史预警信息进行关联分析，根据预先设置的关联规则判断所述访问对象的访问目的。

作为本发明基于核电站的网络入侵报警方法的一种改进，所述方法还包括：

若根据预先设置的关联规则无法判断所述访问对象的访问目的，根据所述即时预警信息建立新关联规则，并即时更新关联规则。

作为本发明基于核电站的网络入侵报警方法的一种改进，所述方法还包括：

将所述即时预警信息保存至数据库，并更新所述数据库。

作为本发明基于核电站的网络入侵报警方法的一种改进，所述方法还包括：

根据所述入侵报警信息执行阻断访问对象所属IP地址或端口访问。

为了实现上述发明目的，本发明还提供了一种基于核电站的网络入侵报警系统，其包括：

检测模块，用于对访问对象发送的数据信息进行检测，所述检测包括误用检测和协议异常数据检测；

预警模块，用于若所述检测模块检测所述数据信息的结果为异常，生成即时预警信息；