[发明专利]一种面向工业控制系统网络安全威胁事件的分析监管方法

说明书

本发明公开了一种工业控制系统面向网络安全威胁事件的分析监管方法，包括步骤：步骤一，对工业控制系统的网络安全异常行为进行监测，得到存在网络安全异常行为的监测对象；步骤二，对存在网络安全异常行为的监测对象的后续网络安全事件进行监测；步骤三，基于业务行为序列规则库对网络安全异常行为进行分析，当分析发现存在与业务行为序列不符的安全事件时，对网络安全异常行为进行阻断。本发明可以将离散的安全事件进行关联形成安全攻击序列，并能将安全攻击行为进行网络隔绝，防止网络攻击行为扩散。

技术领域

本发明涉及信息安全技术领域，具体涉及一种面向工业控制系统网络安全威胁事件的分析监管方法。

背景技术

目前的网络安全监测技术已能够基于诸如U盘的插拔、连接外部网络、用户多次登录失败等网络安全事件规则对各类离散的安全事件进行监测，但各自独立的安全事件是否确实是网络安全攻击行为，是否会对系统产生影响尚还缺乏一定的技术手段进行定位，尤其是在大型的工业控制系统中可能涉及上万台工业控制设备，如果仅仅是针对各类离散的安全事件进行排查，网络安全运维人员往往难以有精力去一一解决，在此情况下就可能忽视掉真正有威胁的安全事件。如何将各类安全事件进行关联、分析，形成有用的信息，为网络安全运维人员提供决策支撑，及时发现真正的网络安全攻击行为需要进一步研究。

工业控制系统网络相对比较封闭、运行状态相对比较稳定，正常情况下，工业控制系统不会与外部的网络进行数据交互，且一般不会通过内部操作改变工业控制系统的运行状态，而病毒主要通过U盘拷贝或通过运维笔记本等方式引入到工业控制系统网络，因此一旦出现外部网络访问、内部访问、外设接入、外部设备接入等行为，那么有可能会对工业控制系统的可靠、运行产生安全影响，因此考虑将上述四种行为作为网络安全监视的起点，将涉及的相关工控设备的后续离散的安全事件进行关联，并基于网络攻击序列进行分析，及时发现网络安全攻击行为。

发明内容

为解决现有技术中的不足，本发明提供一种面向工业控制系统网络安全威胁事件的分析监管方法，将涉及的相关工控设备的后续离散的安全事件进行关联，并基于网络攻击序列进行分析，及时发现网络安全攻击行为。

为了实现上述目标，本发明采用如下技术方案：一种面向工业控制系统网络安全威胁事件的分析监管方法，其特征在于，包括步骤：

步骤一，对工业控制系统的网络安全异常行为进行监测，得到存在网络安全异常行为的监测对象；

步骤二，对存在网络安全异常行为的监测对象的后续网络安全事件进行监测；

步骤三，基于业务行为序列规则库对网络安全异常行为进行分析，当分析发现存在与业务行为序列不符的安全事件时，对网络安全异常行为进行阻断。

前述的一种面向工业控制系统网络安全威胁事件的分析监管方法，其特征在于：所述监测对象包括安全设备、网络设备、主机设备。

前述的一种向工业控制系统网络安全威胁事件的分析监管方法，其特征在于：所述网络安全异常行为包括外部网络访问行为、内网访问、外设接入、外部网络设备接入行为。

前述的一种面向工业控制系统网络安全威胁事件的分析监管方法，其特征在于：所述网络安全事件包括非法外联、登录操作、拷入文件、启用主机上的进程、执行kill进程、rm文件的非法操作、将文件的权限更改为可读、写及运行等改变文件权限行为、删除数据库表、开启主机的ftp、telnet、默认共享服务端口、改变交换机的网络访问策略、改变防火墙安全设备的网络安全策略。

前述的一种面向工业控制系统网络安全威胁事件的分析监管方法，其特征在于：所述业务行为序列规则库生成过程为：基于工业控制系统在业务长期运行过程中积累的系统行为，按照时间顺序排列。

前述的一种面向工业控制系统网络安全威胁事件的分析监管方法，其特征在于：所述基于业务行为序列库规则对网络安全异常行为进行分析，包括步骤：