[发明专利]一种可实时拦截及报警的工业控制系统入侵检测系统

说明书

本发明公开了一种可实时拦截及报警的工业控制系统入侵检测系统，属于工业控制系统信息安全技术领域，目的在于实现实时监控工业系统的控制网络，对可疑行为发出警报、阻断和记录，包括控制中心，其所述控制中心内包括网络预警模块、处理模块、储存模块、管理员模块和网络保障模块，所述网络预警模块内包括数据采集模块、显示模块、分析模块和报警模块，所述采集模块用于采集系统运行前的工业主机中的软件和系统运行后的工业主机中请求运行的软件，并将系统运行前的工业主机中的软件和系统运行后的工业主机中请求运行的软件发送至处理模块，所述处理模块接收采集模块传输的系统运行前的工业主机中的软件和系统运行后的工业主机中请求运行的软件。

技术领域

本发明属于工业控制系统信息安全技术领域；具体是一种可实时拦截及报警的工业控制系统入侵检测系统。

背景技术

目前，一些重要基础设施和企业如电力、石化、城市供水、烟草以及市政等行业已经在其生产和控制网络采取部分安全措施。例如，在生产大区和办公网络区之间布置硬件隔离装置，阻断不同分区之间网络流量的传输。但是这种方式一方面不能阻断摆渡攻击以及PLC蠕虫等攻击方式，另一方面，过于封闭的控制网络给日常生产和智能制造的发展也带来了一定的阻碍。再如，在控制网络的关键节点上部署工业防火墙或者在工控主机上安装病毒查杀软件，这也在一定程度对工业控制网络进行了防护，但是防护效果也及其有限。首先，多数工业防火墙和病毒查杀软件都是由应用在传统IT网络的产品发展而来，虽然它们对主流工业协议进行了兼容性的升级，但是，不一定能兼容某些私有协议。而且，不同领域工业系统的网络拓扑结构和现场设备都不同，限制了这些产品的使用效果。其次，由于攻击手段的千变万化以及产品自身的更新换代，需要对安全产品进行频繁升级和更新。但是，更新过程中带来的短暂停产以及严格的管理制度都会使得安全产品在事实上处于长期未更新状态，达不到应有的防护效果。综上，工业控制系统需要一款既能达到良好防护水平，又在运行维护需求方面不大的安全产品，业入侵检测系统可以实时监控工业系统的控制网络，对可疑行为发出警报、阻断和记录等。

公开号为CN101789885A的专利公开了一种网络入侵检测系统，网络入侵检测系统用以进行网络封包的检测与监控，网络入侵检测系统是根据当前的负载量决定检测规则的加载与运行，其包括：网络连接单元、储存单元与处理单元。处理单元根据所接收的网络封包用以运行警报分析程序、多笔检测规则与多笔运行策略；警报分析程序用以检测网络封包的内容是否符合检测规则，对检测规则指派资源消耗级别，根据资源消耗级别将检测规则归类至相应的运行策略中；根据设备负载量与存取负载量，决定处理单元的负载级别；根据负载级别，决定处理单元所运行的运行策略与警报分析程序。

但是，该专利结构复杂，使用不够方便；为解决这一问题，现提供一种解决方案。

发明内容

本发明的目的在于提供一种可实时拦截及报警的工业控制系统入侵检测系统，实现实时监控工业系统的控制网络，对可疑行为发出警报、阻断和记录。

本发明的目的可以通过以下技术方案实现：

一种可实时拦截及报警的工业控制系统入侵检测系统，包括控制中心，所述控制中心包括网络预警模块、处理模块、储存模块、管理员模块和网络保障模块；

所述网络预警模块内包括数据采集模块、显示模块、分析模块和报警模块，所述采集模块用于采集系统运行前的工业主机中的软件和系统运行后的工业主机中请求运行的软件，并将系统运行前的工业主机中的软件和系统运行后的工业主机中请求运行的软件发送至处理模块，所述处理模块接收采集模块传输的系统运行前的工业主机中的软件和系统运行后的工业主机中请求运行的软件，所述处理模块将系统运行前的工业主机中的软件传输到管理员模块，所述处理模块将系统运行后的工业主机中请求运行的软件传输到分析模块；

所述管理员模块接收处理模块传输的系统运行前的工业主机中的软件，所述管理员模块对系统运行前的工业主机中的软件进行管理，具体管理过程包括以下步骤：