[发明专利]一种适用于工业控制网络的信息安全监测方法和装置

说明书

本申请提供了一种适用于工业控制网络的信息安全监测方法和装置。方法包括解析获取的用户请求信息中的源IP地址、目的IP地址、请求发送时间和操作指令；根据源IP地址、目的IP地址、请求发送时间和预设的权限控制模型，确定与用户请求信息匹配的第二指令列表；匹配操作指令和第二指令列表；若匹配失败，则根据源IP地址、目的IP地址、操作指令和预设的预警模型生成预警信息，预警信息包括第一预警信息和第二预警信息。以此方式，可以在生成预警信息时，综合考虑发送用户请求信息的源IP地址和目的IP地址，并根据请求发送时间确定用户权限，判断用户当前请求的操作指令是否具有风险，可以对不同的用户进行分级管理，使得预警信息更加精确化。

技术领域

本申请涉及信息安全技术领域，并且更具体地，涉及一种适用于工业控制网络的信息安全监测方法和装置。

背景技术

目前，工业控制系统广泛应用于电力、石油化工等行业，加之计算机以及信息技术的飞速发展，在为工控产业带来机遇的同时，也引入了大量的安全问题。从各种各样的病毒，到互联网上随处可见的黑客攻击工具，充分表明了解决工业控制系统中信息安全问题的急迫性。

发明内容

根据本申请的实施例，提供了一种适用于工业控制网络的信息安全监测方法和装置。

在本申请的第一方面，提供了一种适用于工业控制网络的信息安全监测方法。该方法包括：

解析获取的用户请求信息中的源IP地址、目的IP地址、请求发送时间和操作指令；

根据所述源IP地址、目的IP地址、所述请求发送时间和预设的权限控制模型，确定与所述用户请求信息匹配的第二指令列表；

匹配所述操作指令和所述第二指令列表；

若匹配失败，则根据所述源IP地址、目的IP地址、操作指令和预设的预警模型生成预警信息，所述预警信息包括第一预警信息和第二预警信息。

可选的，所述预警模型表征为：

根据源IP地址和目的IP地址确定用户等级；

根据所述操作指令确定动作风险等级；

根据用户风险等级、动作风险等级和预设的风险阈值模型确定风险阈值；

解析所述操作指令中的危险字段含量；

若所述危险字段含量高于所述风险阈值，则生成所述第一预警信息。

可选的，所述风险阈值模型表征为：

比较所述用户等级和所述动作风险等级；

若所述用户等级高于所述动作风险等级，则以预设的风险阈值对照表中的一级备选阈值为风险阈值；

若所述用户等级等于所述动作风险等级，则以预设的风险阈值对照表中的二级备选阈值为风险阈值；

若所述用户等级低于所述动作风险等级，则将动作风险等级和用户等级作差得到差值，再根据所述差值和所述风险阈值对照表确定风险阈值；

所述备选阈值的级别越高，对应的风险阈值越低。

可选的，所述根据所述差值和预设的风险阈值对照表确定风险阈值包括：

以所述差值为N，确定所述风险阈值对照表中的N+2级备选阈值为风险阈值。

可选的，所述解析所述操作指令中的危险字段含量包括：

解析所述用户请求信息的请求报文；

匹配所述请求报文与预设危险字段信息库，确定所述操作指令中的危险字段含量。

可选的，所述权限控制模型表征为：

根据所述目的IP地址调取访客白名单；

根据所述源IP地址和所述访客白名单确定第一指令列表，所述第一指令列表包括所述源IP地址具有权限的操作指令和每种操作指令对应的权限开放时间；

根据所述请求发送时间和所述第一指令列表筛选出与所述请求发送时间匹配的第二指令列表。