[发明专利]工业控制系统及其网络安全的监视方法

权利要求书

1.用于监视一个工业控制系统(20)的网络安全的方法，其特征在于，所述方法包括：

选择与所述工业控制系统(20)相关的至少一个第一数据源，所述至少一个第一数据源用于衡量所述工业控制系统(20)是否符合网络安全要求；

从所述至少一个第一数据源处获取第一数据；所述至少一个第一数据源包括：所述工业控制系统(20)中的至少一个工业主机的日志，和/或，所述工业控制系统(20)中的至少一个安全防护设备的安全日志，和/或，所述工业控制系统(20)中的至少一个网络交换与路由设备的网络日志；

统计所述第一数据随时间变化的特征作为所述工业控制系统(20)的行为模型；其中在统计所述第一数据时，预先筛除掉与其他数据采样不同的数据采样；

从所述至少一个第一数据源中的部分或全部数据源处获取第二数据；

判断所述第二数据是否具备所述行为模型所描述的特征，若具备特征，则确定所述第二数据所代表的所述工业控制系统(20)的行为是正常行为，若不具备特征，则确定所述行为是异常行为；

在确定所述第二数据所代表的所述工业控制系统(20)的行为是异常行为之后，还包括：

确定所述第二数据所代表的所述工业控制系统(20)的行为所对应的告警的级别；

若确定的级别高于预设的最低告警优先级别，则触发告警上报，否则不触发告警上报；

按照优先级由高到低的顺序，告警的级别依次包括下列级别中的至少两个：

第一级别，其中所述第一级别的告警包括与所述工业控制系统(20)中的工业控制器相关的告警；

第二级别，其中所述第二级别的告警包括与所述工业控制系统(20)内的工业控制网络中的告警；

第三级别，其中所述第三级别的告警包括与所述工业控制系统(20)中的工业主机相关的告警；

第四级别，其中所述第四级别的告警包括与一个非军事化区(30)中的后端防火墙、服务器和/或应用相关的告警，所述非军事化区(30)用于分隔所述工业控制系统(20)与所述工业控制系统(20)的一个企业网络(40)；

第五级别，其中所述第五级别的告警包括与所述非军事化区(30)中的前端防火墙相关的告警；

其中在获取第一数据之前，对工业控制系统(20)的当前情况进行评估以判断工业控制系统(20)是否已经受到网络攻击，其中在确定未受到网络攻击的情况下，再获取第一数据；

其中根据如下因素中的至少一项，选择与所述工业控制系统(20)相关的至少一个第一数据源：

所述工业控制系统(20)的客户所定义的所述工业控制系统(20)的至少一项运行指标；

所述工业控制系统(20)的客户所定义的所述工业控制系统(20)的至少一项网络安全策略；

所述工业控制系统(20)的正常运行过程；

所述工业控制系统(20)的至少一个组成部分的配置信息；

所述工业控制系统(20)可能受到的网络攻击。

2.如权利要求1所述的方法，其特征在于，所述至少一个第一数据源包括：

从所述工业控制系统(20)中的至少一个关键网络位置处抓取的网络流量。

3.如权利要求2所述的方法，其特征在于，

从所述至少一个第一数据源处获取第一数据，包括对于所述至少一个工业主机中的每一个，从该工业主机的日志中获取下列数据中的至少一项作为该工业主机的所述第一数据：

该工业主机运行时的硬件性能数据；

该工业主机运行时的文件输入输出信息；

该工业主机上运行的工业应用程序的处理流程；

该工业主机上运行的工业应用程序所访问的所述工业控制系统(20)中的资源。

4.如权利要求2所述的方法，其特征在于，

从所述至少一个第一数据源处获取第一数据，包括对于所述至少一个关键网络位置中的每一处，确定所述网络流量的下列至少一项信息作为该关键网络位置处的所述第一数据：

所述网络流量中数据分组的源地址；

所述网络流量中数据分组的目的地址；

所述网络流量所使用的工业控制通信协议的功能码；

所述网络流量中的应用层数据。