[发明专利]工业信息安全违规行为监控方法、装置、电子设备及介质

说明书

本发明提供了工业信息安全违规行为监控方法、装置、电子设备及介质，包括：获取工控网络的实时通信数据；基于实时通信数据，判断工控网络中是否出现异常事件；在工控网络中出现异常事件时，确定异常事件的所属类型；基于所属类型，计算异常事件的破坏程度值，得到异常事件的破坏评估结果。通过本发明，基于工控网络的实时通信数据，在通信数据中出现异常事件时，通过识别并确认当前异常事件的类型，计算得到当前异常事件的破坏值，将当前异常事件的破坏程度进行量化，使用户可以更为清晰地了解到当前异常事件对工控网络的破坏情况，进而可以对工控网络采取对应的修护，使工控系统免于违规行为的破坏。

技术领域

本发明涉及工业信息安全领域，具体涉及工业信息安全违规行为监控方法、装置、电子设备及介质。

背景技术

工控入侵检测系统是针对目前工控系统的特点，在传统入侵检测功能基础上增加了针对PLC、DCS、SCADA等工业控制系统入侵行为检测的安全产品。系统旁路部署，实时监视网络上的数据流信息，分析网络通讯数据，通过海量的规则对网络攻击行为和其它违规网络活动进行精准匹配，从而达到发现攻击及时预警的目的。

相关技术中，工控系统遭到入侵以及恶意侵入的行为越来越多，然而工控系统常常因为其自身没有合适的评估方式因此很难在众多的访问过程中的进行违规行为的评估。

发明内容

因此，本发明要解决的技术问题在于克服现有技术中的缺陷，从而提供了工业信息安全违规行为监控方法、装置、电子设备及介质。

结合第一方面，本发明提供一种工业信息安全违规行为监控方法，所述方法包括：

获取工控网络的实时通信数据；

基于所述实时通信数据，判断所述工控网络中是否出现异常事件；

在所述工控网络中出现异常事件时，确定所述异常事件的所属类型；

基于所述所属类型，计算所述异常事件的破坏程度值，得到所述异常事件的破坏评估结果。

在该方式中，基于工控网络的实时通信数据，在通信数据中出现异常事件时，通过识别并确认当前异常事件的类型，计算得到当前异常事件的破坏值，将当前异常事件的破坏程度进行量化，明确当前异常事件对工控网络造成的破坏，使用户可以更为清晰地了解到当前异常事件对工控网络的破坏情况，进而可以对工控网络采取对应的修护，使得修护工作更为具体，更有针对性。进一步保护了工控系统，使工控系统免于违规行为的破坏。

结合第一方面，在第一方面的第一实施例中，在所述获取工控网络的实时通信数据之前，所述方法还包括：

在访问设备与工业以太网之间设置工控防火墙，所述工控防火墙预置有访问设备与工业以太网之间工业协议的专有协议；

获取当前访问设备的通信地址；

基于所述通信地址及所述工控防火墙，获取所述当前访问设备的专有协议；

基于所述专有协议，判断所述当前访问设备的工业协议是否存在异常；

在当前工业协议存在异常时，认定所述当前工业协议存在协议攻击行为。

结合第一方面，在第一方面的第二实施例中，在所述获取工控网络的实时通信数据之前，所述方法还包括：

建立预存数据库，所述预存数据库包括异常事件；

基于所述预存数据库，得到具有典型异常事件的预存文本数据特征；

基于所述预存文本数据特征，对所述典型异常事件进行分类，将同属于一个类型的所述典型异常事件组成若干标准特征集合。

结合第一方面的第二实施例，在第一方面的第三实施例中，所述确定所述异常事件的所属类型，包括：