[发明专利]工业控制系统及其网络安全的监视方法

说明书

本发明涉及工业网络与信息安全技术领域，尤其涉及一种工业控制系统及其网络安全的监视方法，用于对一个工业控制系统的网络安全进行有效监视。该方法中，选择与工业控制系统相关的至少一个第一数据源并从中获取第一数据；统计第一数据随时间变化的特征作为工业控制系统的行为模型；从至少一个第一数据源中的部分或全部中获取第二数据；判断第二数据是否具备行为模型所描述的特征，若具备特征，则确定工业控制系统具有正常行为，若不具备特征，则确定工业控制系统具有异常行为。考虑到了工业控制系统行为的确定性，统计得到系统行为模型。基于该相对确定的行为模型进行系统异常行为的判断，得到的判断结果比较准确。

技术领域

本发明涉及工业网络与信息安全技术领域，尤其涉及一种工业控制系统及其网络安全的监视方法。

背景技术

工业控制系统(Industrial Control System，ICS)用于实现工业过程的自动控制。一个工业控制系统可以是一个风力发电系统、一个汽车制造车间、一个制药厂、一个城市的污水处理系统等。

传统的工业控制系统是封闭的，外部攻击很难对工业控制系统中的工业控制器等关键设备造成安全威胁，因此传统的工业控制系统对于网络安全的要求并不高。现代的工业控制系统大量采用了网络技术与商用组件，可以与包括互联网在内的其他网络连接，来自外部的网络攻击可能会篡改工业控制器的控制流程，造成工业设备的损坏，严重影响工业控制系统的正常运行。因此，如何避免来自外部的网络攻击就变得尤为重要。

为了有效抵御来自外部的网络攻击，保障关键的工业控制系统及其控制过程，一个可行的方法即首先对工业控制系统的网络安全进行监视，识别出可能的网络攻击。

发明内容

本发明实施例提供一种工业控制系统及其网络安全的监视方法，用于对一个工业控制系统的网络安全进行有效监视。

第一方面，提供用于监视一个工业控制系统的网络安全的方法。

所述方法包括：选择与所述工业控制系统相关的至少一个第一数据源，所述至少一个第一数据源用于衡量所述工业控制系统是否符合网络安全要求；从所述至少一个第一数据源处获取第一数据；统计所述第一数据随时间变化的特征作为所述工业控制系统的行为模型；从所述至少一个第一数据源中的部分或全部数据源处获取第二数据；判断所述第二数据是否具备所述行为模型所描述的特征，若具备特征，则确定所述第二数据所代表的所述工业控制系统的行为是正常行为，若不具备特征，则确定所述行为是异常行为。

其中，考虑到了工业控制系统行为的确定性，并基于这种行为的确定性，统计得到工业控制系统的行为模型，则该行为模型也具有一定的确定性。基于该相对确定的行为模型进行系统异常行为的判断，得到的判断结果比较准确。并且，本发明实施例中，通过合理选择与所述工业控制系统相关的数据源，并从选择的数据源处获取数据，根据获取到的数据确定工业控制系统的行为模型。再基于确定的数据模型判断工业控制系统是否存在异常行为。可实现对工业控制系统的网络安全的有效监视。

首先，在选择数据源时，选择能够衡量该工业控制系统是否符合网络安全要求的数据源，使得后续在进行系统异常行为判断时所依据的数据更能够针对网络安全的需求，判断结果更准确。其次，在该工业控制系统未受到网络攻击时，从选择的数据源处获取数据，然后，统计获取到的数据随时间变化的特征作为该工业控制系统的行为模型，这样，能够准确获知系统的正常行为特征，从而在后续进行特征比对时得到的系统异常行为判断的结果更准确。

可选地，该方法中，可根据如下因素中的至少一项，选择与所述工业控制系统相关的至少一个第一数据源：所述工业控制系统的客户所定义的所述工业控制系统的至少一项运行指标；所述工业控制系统的客户所定义的所述工业控制系统的至少一项网络安全策略；所述工业控制系统的正常运行过程；所述工业控制系统的至少一个组成部分的配置信息；所述工业控制系统可能受到的网络攻击。

这里，给出了数据源的多种来源。