[发明专利]一种DCS网络安全监控系统

权利要求书

1.一种DCS网络安全监控系统，其特征在于，包括：

登录模块：获取DCS系统中每个内部设备的设备属性信息，确定内部网络对相应内部设备的第一管理权限，并根据所述第一管理权限，构建得到内部设备树；

异常识别模块：在所述内部设备树中的控制终端与被控制终端之间设置事件捕捉工具；

基于所述事件捕捉工具对控制终端与被控制终端之间的交互行为进行捕捉，并锁定存在第一异常行为的内部设备；

获取所述内部设备树中的每个内部设备与外部设备之间的交互数据；

解析所述交互数据，确定存在第二异常行为的内部设备；

安全防护模块：当同个内部设备只存在第一异常行为时，锁定所述内部设备树中与所述第一异常行为的行为类型所匹配的分析端，并对所述第一异常行为进行分析，来对所述同个内部设备进行第一安全防护；

当同个内部设备只存在第二异常行为时，切断所述同个内部设备与外部设备之间的通信连接；

当同个内部设备既存在第一异常行为又存在第二异常行为时，根据第一异常类型以及第二异常类型，从类型－组合映射表中获取得到组合防护方式，对所述同个内部设备进行第二安全防护。

2.根据权利要求1所述的系统，其特征在于，登录模块，包括：

权限赋予单元：对DSC系统中每个内部设备上的登录账号信息进行识别，当识别到对应登录账号为所述内部设备所对应专属账号时，基于内部网络向指定控制终端发送第一信号，所述指定终端基于权限数据库获取与所述第一信号匹配的专属账号的预先设定权限等级，并向所述内部设备赋予第一管理权限；

显示单元：基于每个内部设备的第一管理权限，构建得到DSC系统的内部设备树。

3.根据权利要求1所述的系统，其特征在于，异常识别模块，包括：

异常捕捉单元：基于事件捕捉工具对控制终端与被控制终端之间的指令控制过程以及根据指令对被控制终端控制后的数据交互过程进行过程监控以及网络监控，确定控制终端与被控制终端之间的异常过程行为以及异常网络行为；

异常确定单元：对所述异常网络行为进行分析，确定第一异常类型及第一异常端，同时，对所述异常过程行为进行分析，确定第二异常类型及第二异常端；

异常分析单元：若所述第一异常类型与第二异常类型指向同个异常，且第一异常端与第二异常端为同个端，则判定所述同个端存在自身异常或者存在网络异常；

若所述第一异常类型与第二异常类型不指向同个异常，且第一异常端与第二异常端为同个端，则判定所述同个端既存在自身异常又存在网络异常；

将存在异常行为的端视为存在第一异常行为的内部设备。

4.根据权利要求1所述的系统，其特征在于，异常识别模块，还包括：

解析单元：解析所述交互数据，确定所述外部设备对所述内部设备的访问行为与业务行为、以及所述外部设备对所述内部设备进行访问过程中的防火墙的阻拦行为；

频率确定单元：根据所述外部设备对所述内部设备的访问行为，确定同外部设备上每个外部账号在预设时间内的第一登录频率以及同外部账号在预设时间内基于不同外部设备的第二登录频率；

存疑判定单元：当所述同外部账号的第一登录频率大于第一登录阈值或第二登录频率的大于第二登录阈值时，判定所述同外部账号为存疑账号；

设备确定单元：确定所有存疑账号所访问的第一内部设备、根据所有阻拦行为确定存在交互风险的第二内部设备以及根据所有业务行为确定存在业务异常的第三内部设备；

设备判定单元：对所述第一内部设备、第二内部设备以及第三内部设备进行判断，当存在同个内部设备的出现次数大于或等于2时，判定对应内部设备为出现第二异常行为的内部设备。