[发明专利]一种面向工控网络的动态基线管理与监测方法

说明书

本发明涉及一种面向工控网络的动态基线管理与监测方法，包括以下步骤，1）、数据分流：对地址信息做内网、互联网地址的判断，并根据网络分类的不同将格式化后的数据发送到不同的处置模块；2）、基线学习：首先，形成基线基准表；其次，对基线基准表进行目的地址最小掩码计算，形成源地址、目的地址、目的地址最小掩码的基线掩码表；最后，实时对捕获的数据做基线匹配度计算，建立基于数量的匹配度模型，逐步剔除不匹配或者很少匹配的基线；3）、预警分析：包括对内网流量进行分析以及对互联网流量进行分析。本发明提升工控网络安全管理水平，实现“看得清”、“管得全”、“用的好”的工控网络安全管理目标。

技术领域

本发明属于计算机系统领域，具体涉及一种面向工控网络的动态基线管理与监测方法。

背景技术

作为新一轮产业变革的核心驱动力和战略焦点，卷烟生产制造的技术改革基于物联网、互联网、大数据、云计算、移动互联网等新一代信息技术，贯穿于设计、生产、管理、服务等卷烟制造各个环节，由此带来工业网络架构巨大的技术变革，其传统隔离于互联网、办公网的封闭式网络边界将逐步消失，包括智能传感控制软、硬件、新型工业网络、工业大数据平台等综合信息技术元素将替代原有老旧技术，因此其所包含的“设备”、“网络”、“应用与数据”的安全则显得尤为至关重要。

而面对如此复杂庞大的新工业网络，如何利用人工智能、监督学习、大数据以及流量识别技术对工控网络安全自动建立动态安全基线并进行实时监测，已逐步成为工控网络安全管理重点关注的研究内容，是新形势下解决工控网络安全监测的新思路。

发明内容

为了解决上述的技术问题，本发明的目的是提供一种面向工控网络的动态基线管理与监测方法，该方法能提升工控网络安全管理水平，实现“看得清”、“管得全”、“用的好”的工控网络安全管理目标。

为了实现上述目的，本发明采用了以下的技术方案：

一种面向工控网络的动态基线管理与监测方法，包括以下步骤，

1）、数据分流：将原始的流量信息进行数据清洗、格式化操作后，提取源地址、目的地址等关键信息，对地址信息做内网、互联网地址的判断，并根据网络分类的不同将格式化后的数据发送到不同的处置模块，内网地址数据进行基线学习模块，互联网地址直接进入预警分析模块；

2）、基线学习：首先，对分流而来的内网摘要数据进行源地址、目的地址、协议、端口的聚合归并，形成基线基准表；

其次，对基线基准表进行目的地址最小掩码计算，形成源地址、目的地址、目的地址最小掩码的基线掩码表；

最后，实时对捕获的数据做基线匹配度计算，建立基于数量的匹配度模型，逐步剔除不匹配或者很少匹配的基线；

3）、预警分析：

3.1）对内网流量进行分析

系统实时监测工控网环境下的流量信息，提取后的摘要数据和基线表、基线掩码表做匹配，对不匹配的数据进行提取，形成异常流量告警；

对异常流量告警做进一步关联，如果出现单一地址访问多个ip或者多个端口的情况，判定为内网的恶意扫描行为；若访问的端口中存在高危端口如445端口，则提示出现了可疑端口访问告警；

对基线表、基线掩码表中长期不匹配的数据做标记、提醒使用者基线存在失效的可能；

3.2）对互联网流量进行分析

工控环境下不应该存在访问互联网的行为，一旦发现发送互联网的数据包，首先进行回包判断，如果没有回包，认为威胁程度较低，如果存在互联网回包，则进行进一步分析，根据行为特征进行关联，形成告警。

作为优选方案：所述数据分流步骤如下，