本发明涉及工业控制,尤其涉及一种工控网络的安全监控方法、系统、存储介质及计算机设备。
背景技术:
1、现如今,互联网信息化技术已经被大规模的应用到了工业控制、工业生产领域,主要包括电力、冶金、管道工程等领域。传统的工业控制网络在得到互联网的助力下,取得了前所未有的突破成果。但发展的同时,工业控制网络不可避免的会遇到很多棘手的安全问题,且这些问题日趋严峻。如果工控相关企业的网络或系统出现安全问题,导致生产制造中断,机密信息泄露,这对工业生产/制造企业将会带来灭顶的危机,甚至会影响到国民生计、经济建设的安全。
2、现阶段,很多工业控制企业采用传统的网络安全防御方法来抵御安全危机,其效果甚微。因为工控网络存在很多的特殊性,例如,一是,工控网络的机密数据为业务类数据,而不是与用户相关的数据。二是,传统网络防护一般响应处理时间为“秒”级即可,而工控网络需要达到“毫秒”级。三是,传统网络遇到漏洞可及时更新,但工控网络在很多时间无法即刻停机更新,其要保证不间断运行,且其更新步骤繁杂,操作难度大,根本无法在最佳的时机完成阻击防护。
3、综上可知,现有的方法在实际使用上,存在着较多的问题,所以有必要加以改进。
技术实现思路
1、针对上述的缺陷,本发明的目的在于提供一种工控网络的安全监控方法,系统、存储介质及其计算机设备,能够解决工控网络防御能力低、工控设备识别管控能力差、无法准确感知工控网络运行状态等问题。
2、为了实现上述目的,本发明提供一种工控网络的安全监控方法,包括步骤:
3、获取工控网络中的数据包;
4、解析所述数据包并提取出业务流量特征;
5、根据所述业务流量特征创建生成对应的业务流量特征曲线;
6、对所述业务流量特征曲线中的工控网络整体态势进行评估分析,获得对应的评估结果;
7、依据所述评估结果所确定的异常问题,生成对应的异常告警信息。
8、可选的,所述获取工控网络中的数据包的步骤具体包括:
9、设置工控网络内终端的开放端口;
10、依据所述开放端口的配置信息,通过libpcap从所述开放端口获取工控网络中的数据包。
11、可选的,所述依据所述开放端口的配置信息,通过libpcap从所述开放端口获取工控网络中的数据包的步骤具体包括:
12、读取所述开放端口的配置信息;
13、初始化libpcap句柄;
14、开启所述句柄,并配置libpcap过滤器;
15、启动libpcap抓包,以获取工控网络中的数据包。
16、可选的,所述解析所述数据包并提取出业务流量特征的步骤具体包括:
17、解析所述数据包,以获得工控网络设备信息和业务流量信息;
18、提取所述工控网络设备信息和所述业务流量信息中的业务流量特征。
19、可选的,所述对所述业务流量特征曲线中的工控网络整体态势进行评估分析,获得对应的评估结果的步骤具体包括:
20、根据对所述业务流量特征曲线的评估分析,以判断所述工控网络是否存在tcp和/或ip网络数据异常;
21、若不存在所述tcp和/或ip网络数据异常,则生成对应的第一评估结果。
22、可选的,所述对所述业务流量特征曲线中的工控网络整体态势进行评估分析,获得对应的评估结果的步骤还包括:
23、若存在所述tcp和/或ip网络数据异常,则依据所述业务流量特征曲线判断所述工控网络是否存在工控协议异常;
24、若不存在所述工控协议异常,则生成对应的第二评估结果。
25、可选的,所述对所述业务流量特征曲线中的工控网络整体态势进行评估分析,获得对应的评估结果的步骤还包括:
26、若存在所述工控协议异常,则依据所述业务流量特征曲线判断所述工控网络是否存在工控基数和/或指令异常;
27、若存在所述工控基数和/或指令异常,则生成对应的第三评估结果;
28、若不存在所述工控基数和/或指令异常,则生成对应的第四评估结果。
29、可选的,所述依据所述评估结果所确定的异常问题,生成对应的异常告警信息的步骤之后,还包括:
30、根据所述评估结果生成对应的安全监控报告,并收集所述异常告警信息。
31、可选的,所述根据所述评估结果生成安全监控报告,并收集所述异常告警信息的步骤之后,还包括:
32、根据所述异常告警信息调整网络探针执行参数。
33、还提供了一种工控网络的安全监控系统,包括有:
34、获取单元,用于获取工控网络中的数据包;
35、解析与提取单元,用于解析所述数据包并提取出业务流量特征;
36、创建单元,用于根据所述业务流量特征创建生成对应的业务流量特征曲线;
37、评估分析单元,用于对所述业务流量特征曲线中的工控网络整体态势进行评估分析,获得对应的评估结果;
38、告警单元,用于依据所述评估结果所确定的异常问题,生成对应的异常告警信息。
39、可选的,所述获取单元具体包括:
40、设置子单元,用于设置工控网络内终端的开放端口;
41、获取子单元,用于依据所述开放端口的配置信息,通过libpcap从所述开放端口获取工控网络中的数据包。
42、可选的,所述获取子单元具体用于:
43、读取所述开放端口的配置信息;
44、初始化libpcap句柄;
45、开启所述句柄,并配置libpcap过滤器;
46、启动libpcap抓包,以获取工控网络中的数据包。
47、可选的,所述解析与提取单元具体包括:
48、解析子单元,用于解析所述数据包,以获得工控网络设备信息和业务流量信息;
49、提取子单元,用于提取所述工控网络设备信息和所述业务流量信息中的业务流量特征。
50、可选的,所述评估分析单元具体包括:
51、第一判断子单元,用于根据对所述业务流量特征曲线的评估分析,以判断所述工控网络是否存在tcp和/或ip网络数据异常;
52、第一生成子单元,用于若不存在所述tcp和/或ip网络数据异常,则生成对应的第一评估结果。
53、可选的,所述评估分析单元还包括:
54、第二判断子单元,用于若存在所述tcp和/或ip网络数据异常,则依据所述业务流量特征曲线判断所述工控网络是否存在工控协议异常;
55、第二生成子单元,用于若不存在所述工控协议异常,则生成对应的第二评估结果。
56、可选的,所述评估分析单元还包括:
57、第三判断子单元,用于若存在所述工控协议异常,则依据所述业务流量特征曲线判断所述工控网络是否存在工控基数和/或指令异常;
58、第三生成子单元,用于若存在所述工控基数和/或指令异常,则生成对应的第三评估结果;
59、第四生成子单元,用于若不存在所述工控基数和/或指令异常,则生成对应的第四评估结果。
60、可选的,还包括有:
61、收集单元,用于根据所述评估结果生成对应的安全监控报告,并收集所述异常告警信息。
62、可选的,还包括有:
63、调整单元,用于根据所述异常告警信息调整网络探针执行参数。
64、另外,还提供了一种存储介质和计算机设备,所述存储介质用于存储一种用于执行上述工控网络的安全监控方法的计算机程序。
65、所述计算机设备包括存储介质、处理器以及存储在所述存储介质上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述的工控网络的安全监控方法。
66、本发明所述的工控网络的安全监控方法及其系统,通过获取工控网络中的数据包;并解析提取出对应的业务流量特征;实时根据所述业务流量特征创建生成对应的业务流量特征曲线;再对所述业务流量特征曲线中的工控网络整体态势进行评估分析,获得对应的评估结果;依据所述评估结果所确定的异常问题,生成对应的异常告警信息。据此,本发明实现了对工控网络的流量、协议、设备及其状态的一体化的安全监控,保证了工控网络内的大型业务线的安全性,最大限度的避免了创新技术、业务机密泄露现象的发生。
1.一种工控网络的安全监控方法,其特征在于,包括步骤:
2.根据权利要求1所述的工控网络的安全监控方法,其特征在于,所述获取工控网络中的数据包的步骤具体包括:
3.根据权利要求2所述的工控网络的安全监控方法,其特征在于,所述依据所述开放端口的配置信息,通过libpcap从所述开放端口获取工控网络中的数据包的步骤具体包括:
4.根据权利要求1所述的工控网络的安全监控方法,其特征在于,所述解析所述数据包并提取出业务流量特征的步骤具体包括:
5.根据权利要求1所述的工控网络的安全监控方法,其特征在于,所述对所述业务流量特征曲线中的工控网络整体态势进行评估分析,获得对应的评估结果的步骤具体包括:
6.根据权利要求5所述的工控网络的安全监控方法,其特征在于,所述对所述业务流量特征曲线中的工控网络整体态势进行评估分析,获得对应的评估结果的步骤还包括:
7.根据权利要求6所述的工控网络的安全监控方法,其特征在于,所述对所述业务流量特征曲线中的工控网络整体态势进行评估分析,获得对应的评估结果的步骤还包括:
8.一种工控网络的安全监控系统,其特征在于,包括有:
9.一种存储介质,其特征在于,用于存储一种用于执行权利要求1~7中任意一种所述工控网络的安全监控方法的计算机程序。
10.一种计算机设备,包括存储介质、处理器以及存储在所述存储介质上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1~7任一项所述工控网络的安全监控方法。
