[发明专利]一种工控网络安全检测系统

说明书

一种工控网络安全检测系统，包括管理信息网和工业生产网，管理信息网和工业生产网之间设置安全缓冲区，安全缓冲区内设有第一防火墙和入侵检测模块；第一防火墙和入侵检测模块用来阻挡外网用户对系统的入侵；工业生产网中设置蜜罐、第二防火墙、生产设备识别模块、生产设备行为监控模块、生产设备行为分析模块和异常停机模块；蜜罐内设有入侵检测单元、行为记录单元和报警单元；生产设备识别模块内设有生产设备搜索单元、生产设备识别单元和生产设备信息记录单元；本发明中，通过两层网络安全检测防护，提高网络安全检测效果；且蜜罐能快速发现入侵行为，检测效果强；同时能快速发现异常行为并及时停机避免造成严重损失。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种工控网络安全检测系统。

背景技术

在现场总线技术的基础上发展了工业控制网络，它是用具有数字通信能力并能大量分散在生产现场的测量控制仪表作为网络节点而构成的。工业网络具有很高的公开性，对于通信协议的要求也很高。它的运作主要是实现现场的设备之间的信息自由交流，这样就更容易完成控制系统的任务，完成速度更快，但由于其高度的公开性，工控网络很容易受到攻击者利用漏洞进行的攻击，严重的攻击后果甚至可以使工控网络完全瘫痪，导致工业过程失控，造成无法挽回的损失。传统的工控网络安全检测系统是在工业生产网络前部署防火墙和入侵检测系统，此种方式内部网络是公开的，所有的安全依赖于操作系统本身的安全保障措施，实际运行过程中，存在U盘等第三方存储物绕过边界防护而将病毒带入内网的情况，从而造成安全防护可靠性大大降低，且传统的安全检测系统在检测入侵上存在较为严重的滞后性，往往入侵者已经完成了较多的攻击后管理者才能进行有效反击，造成大量损失；同时现有的入侵攻击手段越来越隐秘，越来越难以察觉，往往检测出入侵时已经发生无法挽回的损失甚至攻击者入侵结束后管理员都无法察觉。

中国发明专利公告号为CN106487813A提出的工控网络安全检测系统及检测方法，测试用例模块向模糊测试引擎提供测试用例；模糊测试引擎生成测试数据包并对检测目标进行安全检测，得出包括“正常”、“其他”和“疑似漏洞”的测试结果；监视器实时监测检测目标的状态；根源分析模块驱动模糊测试引擎进行攻击重放，在漏洞验证成功后对异常数据包进行异常分析，得出安全漏洞产生的根源；报告生成引擎生成测试报告。使用该工控网络安全检测系统进行安全检测，检测深入全面，能够有效发现未知安全漏洞，得出安全漏洞产生的根源。但由于工控网络的特性，其本身就会无规则、不定期出现各种漏洞，即使检测出漏洞还是无法对工控网络提供安全防护，入侵者依然能够快速利用漏洞进行攻击。

发明内容

(一)发明目的

为解决背景技术中存在的技术问题，本发明提出一种工控网络安全检测系统，通过第一防火墙和入侵检测模块构建第一层网络安全检测防护，通过蜜罐构建第二层网络安全检测防护，提高网络安全检测效果；且蜜罐正常情况下不被访问，因此所有对其链接的尝试都将被视为可疑操作，这样蜜罐对网络常见扫描、入侵的反应灵敏度大大提高，有利于快速发现入侵行为，检测效果强；同时通过设备的实际运行行为与理论运行行为实时比对，能快速发现异常行为并及时停机，即使入侵行为极为隐秘也不会造成严重损失。

(二)技术方案

本发明提出了一种工控网络安全检测系统，包括管理信息网和工业生产网，管理信息网和工业生产网之间设置安全缓冲区，安全缓冲区内设有第一防火墙和入侵检测模块；第一防火墙和入侵检测模块用来阻挡外网用户对系统的入侵；

工业生产网中设置蜜罐、第二防火墙、生产设备识别模块、生产设备行为监控模块、生产设备行为分析模块和异常停机模块；

蜜罐内设有入侵检测单元、行为记录单元和报警单元，入侵检测单元用来识别对蜜罐进行的扫描行为，行为记录单元用来记录入侵者在蜜罐内的行为，报警单元用来通知网络管理员；蜜罐在正常网络流量下不会被访问，所有对其链接的尝试均被视为可疑操作；

第二防火墙用来阻挡外网用户对工业生产网的入侵；