[发明专利]一种工业控制系统网络访问安全性预警系统及方法

说明书

本发明提出一种工业控制系统网络访问安全性预警系统及方法，包括：生成工业控制系统网络访问白名单；获取工业控制系统网络访问恶意ip组库；对申请访问工业控制系统的ip进行拦截和白名单验证；对不在白名单中的访问ip进行恶意性分析，并对发现的恶意访问ip进行安全预警；对无法确定的访问ip，将其保存到可疑ip库，当白名单和恶意ip组库更新时进行重复验证；对所有的访问ip进行访问信息日志记录。根据访问ip的访问日志学习各类访问ip的访问模式；将可疑ip的访问模式与恶意ip和白名单ip的访问模式进行匹配，判断访问ip的类别；对判断为恶意ip的访问ip进行安全预警，将判断为白名单ip的访问ip进行白名单推荐；将新发现的白名单ip更新到已有白名单中。

技术领域

本发明属于工控网络安全领域，一种工业控制系统网络访问安全性预警系统及方法。

背景技术

工业控制系统广泛应用于我国电力、水利、污水处理、石油化工、冶金、汽车、航空航天等多个涉及国计民生的关键行业。随着工业化与信息化的深度融合，工业控制系统中信息化程度越来越高，通用软硬件和网络设施的广泛使用，打破了工业控制系统与互联网的“隔离”，带来了一系列网络安全威胁。

作为工业控制网络的重要组成部分，工业控制网络安全深刻地影响着工业控制网络及相关产业的发展，具有极强的产业关联度和产业渗透能力，因此工业控制网络安全产业得到了极大的关注。

然而，随着互联网技术的迅猛发展，其建设之初所具有的“尽力而为”的安全防护理念，已经给工控网络安全造成了巨大的威胁。在应对安全问题方面，传统的安全预警方式已经显得力不从心，暴露出了许多问题。例如，访问工控系统的ip中存在着大量无法确定的灰色数据，以往方法大多将这些灰色ip直接确定为恶意ip，这种方法显然并不准确。面对这些实际情况，必须深入研究分析安全预警问题的特征和规律，积极制定安全策略和防范措施，确保网络运行安全可靠。

发明内容

本发明的目的在于利用分析访问ip的方法，提供一种工业控制系统网络访问安全性预警方法及系统。

一种工业控制系统网络访问安全性预警系统，包括：

a.工业控制系统网络访问白名单生成模块；用于根据工业现场的具体要求，设定允许访问该工业控制系统的网络ip及其访问权限，为某一工业控制系统生成其特有的网络访问白名单；

b.恶意ip组库生成模块；用于通过威胁情报分析，对已有的工业控制系统访问ip进行恶意性计算，再根据访问ip的恶意性计算相关ip组的恶意性，并最终生成恶意ip组库，所述恶意ip通过威胁情报进行时空分析和恶意性分析；

c.工业控制系统访问拦截和白名单验证模块；用于对申请访问工业控制系统的ip进行拦截和白名单验证，判断其是否可以访问该系统；当外部ip申请访问某工业控制系统时，系统首先对该访问ip进行白名单验证，若该访问ip在白名单范围内，且拥有访问权限，则允许其访问工业控制系统；若不在白名单范围内，则对该ip进行拦截；

d.访问ip恶意性分析模块；用于对不在白名单中的访问ip进行恶意性分析，判断其是否属于恶意ip组库；查找访问ip在恶意ip组库中对应的恶意ip组，计算出该恶意ip组中恶意ip的恶意性期望值E(M(I))；若访问ip的恶意性M(I)大于该期望值E(M(I))，则将其判定为恶意ip，并对其进行安全预警和访问控制；反之，则将其判定为可疑ip，对其进行访问控制，等待进一步处理；

e.可疑ip保存和验证模块；将访问ip与白名单和恶意ip组库进行比对后，将既不在已有白名单列表中，也未被判定为恶意的访问ip保存到可疑ip库中，并当白名单和恶意ip组库更新时进行重复验证；所述重复验证是指：当对白名单进行更新或对恶意ip组库进行更新时，会添加大量新的ip，很可能包含可疑ip库中的ip，因此需要对可疑ip库进行重新评估；