[发明专利]应用于工控领域的安全监视可视化系统及安全监视方法

权利要求书

1.一种应用于工控领域的安全监视可视化系统，其特征在于，包括网络交互接口、情报数据库、情报关联分析模块、安全态势可视化模块、异常数据可视化模块、威胁预警模块和管理模块；

所述网络交互接口接收工控系统的多源融合情报并导入情报数据库；所述情报关联分析模块根据多源融合情报进行威胁源及攻击行为的关联分析和异常识别，获得工控系统的异常信息、异常信息的风险等级、威胁溯源信息以及安全态势信息；依据关联分析和异常识别的结果，所述安全态势可视化模块对工控系统的风险信息、威胁溯源信息以及安全态势信息进行展示，所述异常数据可视化模块对工控系统的异常状态和异常信息进行展示，所述威胁预警模块根据工控系统的风险信息与预先设置的风险预警阈值判断是否需要报警，若需要报警则发出警报；所述管理模块管理获取的多源融合情报的类型以及可视化数据展示方式。

2.根据权利要求1所述的应用于工控领域的安全监视可视化系统，其特征在于，所述的工控系统包括系统网络、控制网络和控制器；所述的多源融合情报包括系统网络情报、控制网络情报和控制器情报。

3.根据权利要求2所述的应用于工控领域的安全监视可视化系统，其特征在于，所述的系统网络情报、控制网络情报包括通信主体情报、通信内容情报、数据包特征情报以及数据包行为情报；所述的控制器情报包括控制器系统软件情报和运行环境情报。

4.根据权利要求3所述的应用于工控领域的安全监视可视化系统，其特征在于，所述的通信主体情报包括通信主机信息、通信应用所在端口信息和登录的用户账户信息；所述的通信内容情报包括通信协议以及通信地址与数据；所述的数据包特征情报包括协议控制字段参数和协议特征字段参数；所述的数据包行为情报包括数据包类型、数据包频率、数据包上下文、数据包敏感度标记以及关联主体运行模式；所述的控制器系统软件情报包括软件版本、标识符和摘要；所述的运行环境情报包括用户与权限、进程与线程列表、进程创建操作、服务列表、服务运行状态信息、设备列表和控制器资源消耗清单。

5.根据权利要求4所述的应用于工控领域的安全监视可视化系统，其特征在于，所述的情报关联分析模块根据多源融合情报进行威胁源及攻击行为的关联分析和异常识别包括：

(a)情报独立分析：根据多源融合情报识别工控系统的异常信息，独立分析系统网络情报、控制网络情报、控制器情报，标记出异常信息的风险等级和识别度，并将高识别度的风险信息提交给异常数据可视化模块和威胁预警模块；所述的识别度为0％-100％的数值，表示风险的置信程度；所述的高识别度的风险信息包括未授权通信主体、未授权通信协议、通信频率非预期剧烈变化、与运行模式不匹配的敏感数据包、非法系统软件修改、未授权进程线程、未授权设备、异常控制器资源消耗；

(b)情报关联分析：综合分析系统网络情报、控制网络情报、控制器情报，通过识别同一攻击源在不同攻击路径中的攻击行为以及多攻击源协同攻击行为，识别出工控系统中隐蔽的风险信息；

(c)威胁行为分析溯源：根据情报独立分析和情报关联分析的结果，锁定威胁源，监控威胁行为序列，监控威胁源在系统网络、控制网络和控制器中逐步嗅探深入以及漏洞利用的过程，生成工控系统的安全态势信息。

6.根据权利要求1所述的应用于工控领域的安全监视可视化系统，其特征在于，所述的安全态势可视化模块以图表、列表或文字的方式按照相应的数据规范展示工控系统运行中的风险信息、威胁溯源信息以及安全态势信息。

7.根据权利要求1所述的应用于工控领域的安全监视可视化系统，其特征在于，所述的管理模块包括系统管理和可视化显示管理两部分功能；系统管理功能使管理员能够按照真实的场景以及现场需求决定开启或关闭某个工控系统安全监测功能，并决定要获取的多源融合情报的类型；可视化显示管理功能使管理员能够按照具体需求决定要可视化显示的安全数据类型和显示方式。

8.根据权利要求1所述的应用于工控领域的安全监视可视化系统，其特征在于，所述的管理模块对管理员的操作权限进行认证，防止未经授权用户对工控敏感数据的非法访问。

9.一种基于权利要求1-8任一项所述的安全监视可视化系统进行工控领域的安全监视方法，包括以下步骤：

接收多源融合情报并导入情报数据库；

根据多源融合情报进行威胁源及攻击行为的关联分析和异常识别，获得工控系统的异常信息、异常信息的风险等级、威胁溯源信息以及安全态势信息；

依据关联分析和异常识别的结果，对工控系统的风险信息、威胁溯源信息以及安全态势信息进行展示，对工控系统的异常状态和异常信息进行展示，根据工控系统的风险信息与预先设置的风险预警阈值判断是否需要报警，若需要报警则发出警报。