[发明专利]一种面向工业控制系统网络安全威胁事件的分析监管方法

权利要求书

1.一种面向工业控制系统网络安全威胁事件的分析监管方法，其特征在于，包括步骤：

步骤一，对工业控制系统的网络安全异常行为进行监测，得到存在网络安全异常行为的监测对象；

步骤二，对存在网络安全异常行为的监测对象的后续网络安全事件进行监测；

步骤三，基于业务行为序列规则库对网络安全异常行为进行分析，当分析发现存在与业务行为序列不符的安全事件时，对网络安全异常行为进行阻断。

2.如权利要求1所述的一种面向工业控制系统网络安全威胁事件的分析监管方法，其特征在于：所述监测对象包括安全设备、网络设备、主机设备。

3.如权利要求1所述的一种向工业控制系统网络安全威胁事件的分析监管方法，其特征在于：所述网络安全异常行为包括外部网络访问行为、内网访问、外设接入、外部网络设备接入行为。

4.如权利要求1所述的一种面向工业控制系统网络安全威胁事件的分析监管方法，其特征在于：所述网络安全事件包括非法外联、登录操作、拷入文件、启用主机上的进程、执行kill进程、rm文件的非法操作、将文件的权限更改为可读、写及运行等改变文件权限行为、删除数据库表、开启主机的ftp、telnet、默认共享服务端口、改变交换机的网络访问策略、改变防火墙安全设备的网络安全策略。

5.如权利要求1所述的一种面向工业控制系统网络安全威胁事件的分析监管方法，其特征在于：所述业务行为序列规则库生成过程为：基于工业控制系统在业务长期运行过程中积累的系统行为，按照时间顺序排列。

6.如权利要求1所述的一种面向工业控制系统网络安全威胁事件的分析监管方法，其特征在于：所述基于业务行为序列库规则对网络安全异常行为进行分析，包括步骤：

1）对信息采集程序采集的信息进行去重、清洗、分类、格式化预处理；

2）通过syslog、snmp协议以及采集程序发送的采集信息中包含了四大类异常行为的标签，基于该标签识别出网络安全异常行为；

3）如果网络安全异常行为涉及的主机后续继续发生安全事件，基于业务行为序列规则库进行威胁分析；如果分析结果没有威胁且该行为序列结束，则终止对该行为的监视与分析；如果尚未识别到威胁，且该行为序列尚未结束，则继续对安全事件进行监视；

4）识别出该行为序列可能的威胁后，根据涉及设备类型，对识别出的网络安全异常行为进行阻断。

7.如权利要求1所述的一种面向工业控制系统网络安全威胁事件的分析监管方法，其特征在于：所述对网络安全异常行为进行阻断方式包括：

针对网络设备，通过snmp方式下发关闭外部网络设备所接的交换机、路由器端口；

针对安全设备，使用安全设备厂商支持的协议下发访问控制策略阻断网络访问行为；

针对主机设备，通过部署在主机设备上的agent软件作为代理断开登录连接，临时禁用可疑帐号登录、禁用USB接口、禁用网络功能等指令到主机上的安全监测程序进行执行代理。