[发明专利]一种基于漏斗式白名单的工控网络信息安全监控方法

权利要求书

1.一种基于漏斗式白名单的工控网络信息安全监控方法，其特征在于，由以下步骤组成:

(1)深度解析工业通信数据:掌握工业通信协议还原能力，在此能力的基础上，建立数据解析列表，包含源IP、目的IP、源MAC、目的MAC、源端口、目的端口、通用协议类型、工控协议类型，通过某个时间段的学习，将获得的样本信息贮存在列表中，在网络流的基础上构造指令流、信息流时序模型;

(2)针对工控网络中合法操作建立可信架构:工控网络中用户资产需可信，体现在接入网络中的设备可信;工控网络中通信行为需可信，体现在运行在控制网中的应用程序可信;工控网络中通信信令需可信，体现在上位机下发的操作指令可信、下位机上传的阀值参数

可信;

(3)基于可信架构建立漏斗式白名单:将可信行为贮存在数据解析列表中，通过匹配IP, MAC，监控控制网中设备;通过匹配通用协议类型及端口，监控控制网中通信行为;通过匹配工控协议类型及端口，监控控制网中协议指令，基于此生成一个漏斗式的白名单库，所有工控网络中的数据必须经过白名单漏斗的过滤，无法通过的数据为可疑数据，产生报警，通知管理人员干预。

2.根据权利要求1所述的基于漏斗式白名单的工控网络信息安全监控方法，其特征在于:所述工业通信协议深度解析方法基于协议还原能力实现，将网络通信数据信息贮存在数据解析列表中，与白名单数据解析列表模型进行匹配，从而进行报警分析。

3.根据权利要求1所述的基于漏斗式自名单的工控网络信息安全监控方法，其特征在于:所述白名单漏斗是指接入网络中的设备均属合法资产、在合法资产上运行的应用程序均属合法应用，通过合法应用发送的操作指令均属合法操作，其过滤方式层层递进，逐渐深入。