[发明专利]一种工控网络态势评估方法

说明书

本发明公开了一种工控网络态势评估方法，涉及的工业控制网络设备包括：安全网关、可编程逻辑控制器、现场传感器设备和安全管理平台、工程师站；该方法包括以下步骤：S1：工程师站对工控系统进行组态、运行，各区域所在PLC对其IO模块所接的受控设备进行鉴别，匹配受控设备信息列表，形成主站、从站的周期性通信方式；S2：PLC将数据信息实时反馈给安全网关，安全网关的数据包深度解析系统提取数据特征，去除多余的属性特征，只留下关于系统行为模式相关的特征，包括基于通信协议的数据特征、可编程逻辑控制器的状态信息、工控网络系统状态信息以及网络流量特征；S3：工控网络态势评估模型对系统进行态势评估并形成评估结果。

技术领域

本发明涉及工业控制系统技术领域，尤其涉及一种工控网络态势评估方法。

背景技术

由于工业控制系统广泛采用通用软硬件和网络设施，以及与企业管理信息系统的集成，导致工业控制系统越来越开放，并且与企业内网，甚至是与互联网产生了数据交换。也就是说以前工业控制系统在物理环境上的相对封闭性以及工业控制系统软、硬件的专用性将会被打破，通过互联网或企业内网将有可能获取相关工业控制系统较为详细的信息，再加上运营工业控制系统的企业安全意识普遍较差，这样就给敌对政府、恐怖组织、商业间谍、内部不法人员、外部非法入侵者等创造了可乘之机。

工控系统本身有着通信协议种类多、安全验证机制缺失或不完善、从业人员安全意识薄弱等特点，相比传统网络安全存在着更多的攻击面，如协议漏洞、上位机软件漏洞、工控设备漏洞、服务漏洞等。主要存在以下缺点：1）在ICS中由于设备商众多，缺乏统一的系统硬件、操作软件和应用软件、协议规范标准，导致在ICS组态时存在自身的脆弱性。2）该系统中应用广泛的Modbus TCP协议缺乏认证、授权机制，数据为明文传输，只可能通过网络中的安全网关对现场设备层的采集到的数据进行安全防护，而传统的安全防护方法主要是基于通信协议的数据包格式匹配的过滤技术，这种规则配置方法很难拦截众多恶意攻击者的攻击，如构造符合协议规范数据包进行攻击。3）在现场设备层中设备寄存器值易被攻击者篡改，而数据包格式依然符合协议规范，该攻击不易被察觉，使企业管理者做出错误决策。

因此，针对工控系统的攻击手段更加灵活多样，甚至逐渐演变出了威胁程度更高且难以防御的APT攻击。面对层出不穷的未知网络攻击手段，想要通过传统的入侵检测系统、工业防火墙、白名单等被动安全防御手段将所有攻击拦截在防护之外是无法做到的。因此，针对工控安全防御的研究热点逐渐由被动防御技术向基于主动防御的多层次纵深防御技术转变。

发明内容

有鉴于此，本发明的目的是提供一种工控网络态势评估方法，该方法能够解决工控网络系统对未知攻击和设备异常类别识别准确度低，泛化能力弱等特点。

本发明通过以下技术手段解决上述技术问题：

一种工控网络态势评估方法，所述工控网络态势评估方法涉及的工业控制网络设备包括安全网关、可编程逻辑控制器（PLC）、现场传感器设备和安全管理平台、工程师站；所述安全网关包括态势评估子系统和数据包深度解析系统，所述工控网络态势评估方法包括：

所述工程师站对工控系统进行组态、运行，各区域所在PLC对所述PLC的I/O模块所接的受控设备进行鉴别，匹配受控设备信息列表，形成主、从站的周期性通信方式；

所述PLC将数据信息实时反馈给安全网关，所述安全网关的数据包深度解析系统提取所述数据信息的数据特征，得到特征向量；

态势评估子系统依据所述特征向量，根据分类器进行评估和统计，进行态势评估，并对异常结果向安全管理平台发出警报；

所述PLC将数据信息实时反馈给安全网关，所述安全网关的数据包深度解析系统提取所述数据信息的数据特征，得到特征向量的步骤包括：

数据包深度解析系统针对Modbus TCP协议的报文格式规定数据包中存在的特征字段以及所述特征字段的期望值，逐层对报文进行深度解析，归纳协议的指令和状态特征；