[发明专利]一种工业控制网络安全保护监测系统

权利要求书

1.一种工业控制网络安全保护监测系统，其特征在于：

该系统对工控网络的工业设备进行实时预防和保护，系统以集成应用平台为基础，通过采集、分析层、功能层和展示层实现网络安全保护监测；

展示层主要将安全趋势、系统拓扑以及工控全景进行展示；通过工控网络安全综合展示模块为工控网络保护监测系统提供可视化的全景图、安全趋势、系统拓扑以及工艺流程可视化界面；

采集层包括对网络数据流量的采集和对工控网络操作的记录；

分析层主要包括数据处理、数据关联、数据聚合、数据建模，与其他功能模块的集成接口，为多应用开发的基础组件库，为管理决策提供数据依据，各种异常情况预警的消息机制内容；

功能层主要包括监测审计、入侵防护、漏洞挖掘、数据隔离，功能层主要功能模块包括工控网络智能保护模块和工控网络异常检测模块；工控网络异常检测模块主要包含安全预警、攻击路径和风险管理；工控网络智能保护模块主要包括协议识别、规则验证和黑白名单。

2.根据权利要求1所述的一种工业控制网络安全保护监测系统，其特征在于：所述的工控网络智能保护模块针对制造业的复杂流程，通过对工业协议进行深度解析，针对工业网络协议的内容和数据进行细致的合规性检查，对于操作指令中包含的针对点表、寄存器的异常操作进行报警，使得应用入侵检测与防护系统能够在病毒入侵攻击系统前检测到入侵攻击，利用报警与防护系统驱逐入侵攻击，同时收集入侵攻击相关信息，作为防范系统的知识添加到知识库。

3.根据权利要求2所述的一种工业控制网络安全保护监测系统，其特征在于：工控网络智能保护模块通过系统入侵检测与防护模块对多种协议进行合规性检查，实现入侵防御、威胁防御、病毒防护以及流量控制和应用管理功能；包括：

网络引擎：使用硬件平台提供可靠稳定的硬件环境，辅助以系统运行的必须软件，组成网络引擎，支持传统IT网络协议，支持工业网络协议，进行IP碎片重组、流汇聚、TCP状态跟踪、数据捕获、交换、IPv4/v6协议栈入栈；

管理模块：主要进行用户管理、配置管理、策略管理、事件管理、日志管理、系统监控；

安全响应模块：针对配置信息、配置策略，对检测事件进行对应的响应。

4.根据权利要求1所述的一种工业控制网络安全保护监测系统，其特征在于：所述的工控网络异常监测模块通过网络数据的采集、分析、识别，实时动态监测通信内容、网络行为和网络流量，不仅检测网络安全层面的异常，还融入了不同行业的业务安全告警，基于对工业控制协议包括Modbus TCP、 OPC、Siemens S7、DNP3、IEC 60870-5-104、IEC 61850-MMS、IEC 61850-GOOSE、IEC 61850-SV的通信报文进行深度解析，实时检测针对工业协议的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒类恶意软件的传播并实时报警，同时详实记录一切网络通信行为，包括指令级的工业控制协议通信记录，实时报警响应，全面记录网络系统中的各种会话和事件，为工业控制系统的安全事故调查提供依据；实现对网络信息的智能关联分析、评估及安全事件的准确全程跟踪定位，为整体网络安全策略的制定提供支持。

5.根据权利要求4所述的一种工业控制网络安全保护监测系统，其特征在于：所述的工控网络异常监测模块，主要通过对协议的深度挖掘以及异常行为检测实现异常报警、流量统计、日志查询、报表导出功能；包括：

基础服务层：使用硬件平台提供可靠稳定的硬件环境，辅助以系统运行的必须软件，组成基础平台层，支持传统IT网络协议，支持工业网络协议；

数据分析层：主要是数据采集模块和协议解码模块，对工控协议进行深度解析和分析，提取关键操作行为；

核心业务层：在该层实现系统的应用功能的实现；包括基于工控场景的业务行为基线，基于黑白名单的异常行为告警；

用户接口层：在该层实现和最终用户的人机界面，通过WEB接口进入管理界面进行系统配置管理。