[发明专利]一种工控安全态势感知方法、装置及介质

说明书

本申请公开了一种工控安全态势感知方法、装置及介质，其中该方法包括，分别建立通信行为基线和工控行为基线后，采集实时流量数据，并将该流量数据解析为网络通信数据和工控协议数据，在网络通信数据不符合通信行为基线或工控协议数据不符合工控行为基线的情况下，确定异常行为。由于建立了正常的通信行为基线，使得不符合该通信行为基线的网络通信数据即为异常通讯行为，因此无需定期整理归纳攻击行为即可判断各种类型的攻击行为，从而提高了工业控制系统的安全性。此外，由于建立了工控行为基线并能够解析流量数据中的工控协议数据，因此可以判断员工的恶意操作和错误操作，进一步提高了工业控制系统的安全性。

技术领域

本申请涉及信息技术领域，特别是涉及一种工控安全态势感知方法、装置及介质。

背景技术

随着计算机技术和网络通信技术的发展，催生出由计算机和控制系统组成的工业控制系统，用于实现设备的自动化运行以及对工业控制流程的管理与监控。由于工业控制系统的经济价值高、被损害的后果严重，因此越来越多的组织出于经济或政治的目的，针对工业控制系统进行攻击。

目前工业控制系统的网络安全态势感知方法具体为：安全厂家将已知的攻击行为的流量特征汇总生成网络攻击特征库，网络安全态势感知系统获取实时的网络流量，并与网络攻击特征库进行匹配，若匹配成功则确定了攻击行为。由于网络攻击特征库更新速度慢，导致许多攻击行为的流量特征并未收录至网络攻击特征库，因此现有的网络安全态势感知系统漏报率高，从而降低了工业控制系统的安全性。除此之外，由于内部员工对工业控制系统的恶意操作行为和错误操作行为不属于传统的网络攻击行为，因此现有的网络安全态势感知系统无法识别员工的恶意操作和错误操作，导致工业控制系统的安全性下降。

由此可见，如何提高工业控制系统的安全性是是本领域技术人员亟待解决的问题。

发明内容

本申请的目的是提供一种工控安全态势感知方法、装置及介质。

为解决上述技术问题，本申请提供一种工控安全态势感知方法，包括：

分别建立通信行为基线和工控行为基线；

采集工控系统的流量数据；

将所述流量数据解析为网络通信数据和工控协议数据；

在所述网络通信数据不符合所述通信行为基线或所述工控协议数据不符合所述工控行为基线的情况下，确定异常行为。

优选的，所述分别建立通信行为基线和工控行为基线，包括：

获取预设时间内所述流量数据中的正常流量数据；

将所述正常流量数据解析为正常网络通信数据和正常工控协议数据；

根据所述正常网络通信数据建立所述通信行为基线；

根据所述正常工控协议数据建立所述工控行为基线。

优选的，在所述网络通信数据不符合所述通信行为基线或所述工控协议数据不符合所述工控行为基线的情况下，确定异常行为后，还包括：根据预先设置的报警策略发送第一告警信号。

优选的，所述在所述网络通信数据不符合所述通信行为基线或所述工控协议数据不符合所述工控行为基线的情况下，确定异常行为后，还包括：

识别与所述异常行为对应的资产；

获取与所述资产直接关联的范围；

根据所述范围发送第二告警信号并在可视化界面中显示。

优选的，所述在所述网络通信数据不符合所述通信行为基线或所述工控协议数据不符合所述工控行为基线的情况下，确定异常行为后，还包括：

设置各所述异常行为与用于表征各所述异常行为对应后果的各告警数据的第一对应关系；