CN105721498A - 一种工控网络安全预警系统 - Google Patents
一种工控网络安全预警系统 Download PDFInfo
- Publication number
- CN105721498A CN105721498A CN201610212934.0A CN201610212934A CN105721498A CN 105721498 A CN105721498 A CN 105721498A CN 201610212934 A CN201610212934 A CN 201610212934A CN 105721498 A CN105721498 A CN 105721498A
- Authority
- CN
- China
- Prior art keywords
- network
- data
- user
- encryption
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
- H04L67/025—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
Abstract
本发明涉及一种工控网络安全预警系统,可以定时或状态触发高效率遍历网络用户,获取工业控制网络设备的安全状态数据,并对安全数据进行加密传输和加密存储,利用数据分析模型对数据进行分析,得出异常统计,据此判断当前系统的存在的潜在安全漏洞及安全风险,并对他们进行桌面展示及报警,从而可及时查找故障原因,排除故障,进而提高了生产效率。
Description
技术领域
本发明涉及一种预警方法,具体涉及一种工控网络安全预警系统。
背景技术
目前,通信技术在工业生产领域已得到广泛应用,但由于缺少必要的报警装置,当工业网络出现故障,信息安全存在问题时无法及时查找故障原因,排除故障从而降低了生产效率。
发明内容
针对上述问题,本发明提供一种以总揽大局的方式为工业网络故障的及时排查、分析提供可靠依据的工控网络安全预警系统,用于协助安全管理工程师对工业控制网络的安全做出预判,包括网络用户遍历模块、安全数据的加密传输及加密存储模块、数据分析模块以及展示与报警模块;
所述的网络用户遍历模块采用蛛网模型对工控网络的用户进行遍历,先按照网络类型进行聚类,再将聚类网络进行分层,利用深度优先法遍历聚类网络,利用广度优先法遍历分层网络;两种网络遍历方法相结合从而提高网络遍历的效率。工业控制网络的用户按照用户性质可以分为网络安全设备和网络主机两类。网络安全设备主要包括工业防火墙、工业安全网关、工业网闸、安全审计等。网络主机主要是工程师站、APC控制站等。安全预警系统主要是通过遍历获取网络用户的运行状态、安全设备的审计日志、防火墙的规则配置及防火墙日志等用户数据模型。
安全数据的加密传输及加密存储模块,安全数据的传输利用传输通信加密及身份认证的方式进行,身份认证采用时间同步动态口令、MD5加密与数字证书相结合的多因子动态密码身份认证系统;采用AES加密后进行数据传输,系统接收传输数据经MD5加密后存储,用户必须通过动态口令及数字证书认证后才可从本地或远程访问数据库;
数据分析模块,首先将获取数据进行清理、集成并进行拆分和归一化,再进行关联分析、聚类分析后对数据进行异常分析;将网络的流量、受到的攻击次数、工业协议畸形、协议阻止次数、非法端口、非法登录、防火墙设置参数作为特征量对数据进行基于偏差与密度的二元异常分析,分析出网络的潜在危害并按特征因量的异常次数、被保护用户的重要性等确定潜在危害等级;
所述数据分析模块,首先将获取数据用分箱技术和使用属性平均值或全局常量等方法清除噪声、数据不一致及数据不完整的问题,并通过对数据的属性规约和记录规约达到对数据集成并进行拆分和归一化的目的。进一步对数据进行关联分析,找出所有频繁项集并发现大量数据中项集之间的关联关系。然后进行聚类分析将对象的集合分成相似的对象类。最后可通过异常检测对数据进行异常分析,找出离群点,例外点和野点。将网络的流量、受到的攻击次数、工业协议畸形、协议阻止次数、非法端口、非法登录、防火墙设置参数作为特征量对海量数据进行基于偏差与密度的二元异常分析,分析出网络的假冒、重放、篡改、拒绝服务等潜在危害。
展示与报警模块用于监视每个网络用户设备的流量、受攻击次数、协议畸形、协议阻止次数、非法端口异常开启、防火墙规则变动情况,并提供实时画面显示、报警查询、安全预警报告功能。
此外,展示与报警模块还负责捕获现场通讯信道中的攻击,并详细显示攻击来自哪儿、使用何种通信协议、攻击目标是谁。报警管理功能集成系统中所有的异常事件和报警信息,并对报警信息进行等级划分,以总揽大局的方式为工业网络故障的及时排查、分析提供了可靠依据。
网络用户遍历模块采用定时或状态触发的方式遍历网络用户。
本发明可以定时或状态触发高效率遍历网络用户,获取工业控制网络设备的安全状态数据,并对安全数据进行加密传输和加密存储,利用数据分析模型对数据进行分析,得出异常统计,据此判断当前系统的存在的潜在安全漏洞及安全风险,并对他们进行桌面展示及报警。
附图说明
图1是本发明系统部署图;
图2是网络用户遍历的示意图;
图3是安全管理平台示意图;
图4是数据通信安全机制示意图;
图5是数据分析模块示意图;
图6是本发明的工作流程图。
具体实施方式
一种工控网络安全预警系统,用于协助安全管理工程师对工业控制网络的安全做出预判,如图1所示,包括网络用户遍历模块、安全数据的加密传输及加密存储模块、数据分析模块以及展示与报警模块;
所述的网络用户遍历模块采用定时或状态触发的方式采用蛛网模型对工控网络的用户进行遍历,先按照网络类型进行聚类,再将聚类网络进行分层,利用深度优先法遍历聚类网络,利用广度优先法遍历分层网络;工业控制网络的用户按照用户性质可以分为网络安全设备和网络主机两类。如图3所示,网络安全设备主要包括工业防火墙、工业安全网关、工业网闸、安全审计等。
安全数据的加密传输及加密存储模块,如图4所示,安全数据的传输利用传输通信加密及身份认证的方式进行,身份认证采用时间同步动态口令、MD5加密与数字证书相结合的多因子动态密码身份认证系统;采用AES加密后进行数据传输,系统接收传输数据经MD5加密后存储,用户必须通过动态口令及数字证书认证后才可从本地或远程访问数据库;
数据分析模块,如图5所示,首先将获取数据可用分箱技术和使用属性平均值或全局常量等方法清除噪声、数据不一致及数据不完整的问题,并通过对数据的属性规约和记录规约达到对数据集成并进行拆分和归一化的目的。进一步对数据进行关联分析,可通过数据挖掘算法找出所有频繁项集,做支持度测试和置信度测试,发现大量数据中项集之间的关联关系。然后进行聚类分析,通过相似性测度,聚类准则,聚类算法(包括K均值聚类算法、EM聚类算法等)三要素将对象的集合分成相似的对象类。最后可选择通过基于统计分布的异常检测、基于偏差的异常检测、基于距离的异常检测或者基于密度的异常检测对数据进行异常分析,找出离群点,例外点和野点。将网络的流量、受到的攻击次数、工业协议畸形、协议阻止次数、非法端口、非法登录、防火墙设置参数作为特征量对海量数据进行基于偏差与密度的二元异常分析,分析出网络的假冒、重放、篡改、拒绝服务等潜在危害。并按特征因量的异常次数、被保护用户的重要性等确定潜在危害等级。
展示报警管理平台模块,可以监视每个网络用户设备的流量、受攻击次数、协议畸形、协议阻止次数、非法端口异常开启、防火墙规则变动等情况,并提供实时画面显示、历史数据存储、报警确认、报警细目查询、历史数据查询等功能。还负责捕获现场通讯信道中的攻击,并详细显示攻击来自哪儿、使用何种通信协议、攻击目标是谁。报警管理功能集成系统中所有的异常事件和报警信息,并对报警信息进行等级划分,以总揽大局的方式为工业网络故障的及时排查、分析提供了可靠依据。
图2是网络用户遍历的示意图,根据工控网络用户的特性将工控网络按照网络类型进行聚类,得到不同的聚类网络,再将聚类网络结构进行分层。利用深度优先法遍历聚类网络,利用广度优先法遍历分层网络。其中首先深度优先法是树的先根遍历的推广,它的实现思想是:从顶点V1出发,访问V1,然后选择一个与V1相邻且没被访问过的顶点Vi访问,再从Vi出发选择一个与Vi相邻且未被访问的顶点Vj进行访问,依次继续。如果当前被访问过的顶点的所有邻接顶点都已被访问,则退回已被访问的顶点序列中最后一个拥有未被访问的相邻顶点的顶点W,从W出发按同样的方法向前遍历,直到图中所有顶点都被访问。而广度优先法是树的按层次遍历的推广,它的基本思路是:首先访问初始点Vi,并将其标记为已访问点,然后访问Vi的所有未被访问过的邻接点Vi1,Vi2,…,Vit,并均标记为已访问,再按照Vi1,Vi2,…,Vit的顺序,依次访问每一个顶点的所有未被访问过的邻接点,并标记为已访问。依次类推,直到图中所有和初始点Vi有路径相通的顶点都被访问过为止。如对图2示意图右边部分采用深度优先法遍历顺序为:V1->V2->V4->V8->V5->V3->V6->V7;采用广度优先法遍历顺序为:V1->V2->V3->V4->V5->V6->V7->V8。
图6是本发明安全预警方法的工作流程图,首先对网络用户进行聚类分层,再采用深度优先法与广度优先法相结合的蛛网遍历模型来实现对用户的遍历,遍历可采用定时或状态触发的方式遍历网络用户。根据用户遍历的性质获取用户的相关安全性数据,对获取的数据经过加密传输到预警系统的数据服务器进行加密存储,预警系统利用数据分析模型对数据进行分析判断,根据特征量的异常统计和获取的用户等级共同评定当前系统的安全漏洞及安全风险等级,最后对对漏洞及风险进行桌面展示及报警。
Claims (2)
1.一种工控网络安全预警系统,用于协助安全管理工程师对工业控制网络的安全做出预判,其特征在于:包括网络用户遍历模块、安全数据的加密传输及加密存储模块、数据分析模块以及展示与报警模块;
所述的网络用户遍历模块采用蛛网模型对工控网络的用户进行遍历,先按照网络类型进行聚类,再将聚类网络进行分层,利用深度优先法遍历聚类网络,利用广度优先法遍历分层网络;
安全数据的加密传输及加密存储模块,安全数据的传输利用传输通信加密及身份认证的方式进行,身份认证采用时间同步动态口令、MD5加密与数字证书相结合的多因子动态密码身份认证系统;采用AES加密后进行数据传输,系统接收传输数据经MD5加密后存储,用户必须通过动态口令及数字证书认证后才可从本地或远程访问数据库;
数据分析模块,首先将获取数据进行清理、集成并进行拆分和归一化,再进行关联分析、聚类分析后对数据进行异常分析;将网络的流量、受到的攻击次数、工业协议畸形、协议阻止次数、非法端口、非法登录、防火墙设置参数作为特征量对数据进行基于偏差与密度的二元异常分析,分析出网络的潜在危害并按特征因量的异常次数、被保护用户的重要性确定潜在危害等级;
展示与报警模块用于监视每个网络用户设备的流量、受攻击次数、协议畸形、协议阻止次数、非法端口异常开启、防火墙规则变动情况,并提供实时画面显示、报警查询、安全预警报告功能。
2.根据权利要求1所述的工控网络安全预警系统,其特征在于:网络用户遍历模块采用定时或状态触发的方式遍历网络用户。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610212934.0A CN105721498A (zh) | 2016-04-07 | 2016-04-07 | 一种工控网络安全预警系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610212934.0A CN105721498A (zh) | 2016-04-07 | 2016-04-07 | 一种工控网络安全预警系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105721498A true CN105721498A (zh) | 2016-06-29 |
Family
ID=56159781
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610212934.0A Pending CN105721498A (zh) | 2016-04-07 | 2016-04-07 | 一种工控网络安全预警系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105721498A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106790235A (zh) * | 2017-01-20 | 2017-05-31 | 上海云剑信息技术有限公司 | 一种基于状态关系图的工控防火墙实现方法 |
| CN107395395A (zh) * | 2017-06-19 | 2017-11-24 | 国家电网公司 | 安全防护系统的处理方法和装置 |
| CN107508918A (zh) * | 2017-09-29 | 2017-12-22 | 深圳市京弘全智能科技股份有限公司 | 一种车联网的安全预警系统及其方法 |
| CN107800670A (zh) * | 2016-09-05 | 2018-03-13 | 百度在线网络技术(北京)有限公司 | 用于预警网站安全的方法和装置 |
| WO2020037478A1 (zh) * | 2018-08-21 | 2020-02-27 | 上海云剑信息技术有限公司 | 一种基于状态关系图的工控防火墙实现方法 |
| CN111343205A (zh) * | 2020-05-19 | 2020-06-26 | 中国航空油料集团有限公司 | 工控网络安全检测方法、装置、电子设备以及存储介质 |
| CN112738221A (zh) * | 2020-12-28 | 2021-04-30 | 中国建设银行股份有限公司 | 对象存储流量的审计方法及装置 |
| CN113726746A (zh) * | 2021-08-10 | 2021-11-30 | 北京网藤科技有限公司 | 一种工控安全管理平台及其控制方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1414215A2 (en) * | 2002-10-21 | 2004-04-28 | Rockwell Automation Technologies, Inc. | System and methodology providing automation security protocols and intrusion detection in an industrial controller environment |
| CN103532776A (zh) * | 2013-09-30 | 2014-01-22 | 广东电网公司电力调度控制中心 | 业务流量检测方法及系统 |
| CN103716203A (zh) * | 2013-12-21 | 2014-04-09 | 华中科技大学 | 基于本体模型的网络化控制系统入侵检测方法及系统 |
| CN104065485A (zh) * | 2014-07-04 | 2014-09-24 | 中国南方电网有限责任公司 | 电网调度移动平台安全保障管控方法 |
-
2016
- 2016-04-07 CN CN201610212934.0A patent/CN105721498A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1414215A2 (en) * | 2002-10-21 | 2004-04-28 | Rockwell Automation Technologies, Inc. | System and methodology providing automation security protocols and intrusion detection in an industrial controller environment |
| CN103532776A (zh) * | 2013-09-30 | 2014-01-22 | 广东电网公司电力调度控制中心 | 业务流量检测方法及系统 |
| CN103716203A (zh) * | 2013-12-21 | 2014-04-09 | 华中科技大学 | 基于本体模型的网络化控制系统入侵检测方法及系统 |
| CN104065485A (zh) * | 2014-07-04 | 2014-09-24 | 中国南方电网有限责任公司 | 电网调度移动平台安全保障管控方法 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107800670A (zh) * | 2016-09-05 | 2018-03-13 | 百度在线网络技术(北京)有限公司 | 用于预警网站安全的方法和装置 |
| CN106790235A (zh) * | 2017-01-20 | 2017-05-31 | 上海云剑信息技术有限公司 | 一种基于状态关系图的工控防火墙实现方法 |
| CN107395395A (zh) * | 2017-06-19 | 2017-11-24 | 国家电网公司 | 安全防护系统的处理方法和装置 |
| CN107395395B (zh) * | 2017-06-19 | 2021-07-09 | 国家电网公司 | 安全防护系统的处理方法和装置 |
| CN107508918A (zh) * | 2017-09-29 | 2017-12-22 | 深圳市京弘全智能科技股份有限公司 | 一种车联网的安全预警系统及其方法 |
| WO2020037478A1 (zh) * | 2018-08-21 | 2020-02-27 | 上海云剑信息技术有限公司 | 一种基于状态关系图的工控防火墙实现方法 |
| CN111343205A (zh) * | 2020-05-19 | 2020-06-26 | 中国航空油料集团有限公司 | 工控网络安全检测方法、装置、电子设备以及存储介质 |
| CN112738221A (zh) * | 2020-12-28 | 2021-04-30 | 中国建设银行股份有限公司 | 对象存储流量的审计方法及装置 |
| CN112738221B (zh) * | 2020-12-28 | 2022-05-27 | 中国建设银行股份有限公司 | 对象存储流量的审计方法及装置 |
| CN113726746A (zh) * | 2021-08-10 | 2021-11-30 | 北京网藤科技有限公司 | 一种工控安全管理平台及其控制方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105721498A (zh) | 一种工控网络安全预警系统 | |
| EP3107026B1 (en) | Event anomaly analysis and prediction | |
| CN106789885B (zh) | 一种大数据环境下用户异常行为检测分析方法 | |
| CN102428447B (zh) | 故障的根本原因解析结果显示方法、装置以及系统 | |
| CN112560027A (zh) | 一种数据安全监测系统 | |
| US9455999B2 (en) | Method and system for protective distribution system (PDS) and infrastructure protection and management | |
| CN111586046B (zh) | 一种结合威胁情报和机器学习的网络流量分析方法及系统 | |
| BR112016015435B1 (pt) | Método e gateway para a geração de dados em uma cadeia de suprimento de petróleo e gás para compatibilidade com sistemas externos, e meio legível por computador não transitório | |
| CN110598411A (zh) | 敏感信息检测方法、装置、存储介质和计算机设备 | |
| CN112491779A (zh) | 一种异常行为检测方法及装置、电子设备 | |
| CN103309937A (zh) | 一种云平台内容监管的方法 | |
| CN105678193A (zh) | 一种防篡改的处理方法和装置 | |
| CN109388949B (zh) | 一种数据安全集中管控方法和系统 | |
| CN112230584A (zh) | 应用于工控领域的安全监视可视化系统及安全监视方法 | |
| CN111212055A (zh) | 非侵入式网站远程检测系统及检测方法 | |
| CN116132199B (zh) | 一种基于区块链处理液氮罐监测数据的方法 | |
| US10438012B2 (en) | Interface to generate data compatible with an external system in an oil and gas asset supply chain | |
| Kolosok et al. | Cyber resilience of SCADA at the level of energy facilities | |
| CN115567258A (zh) | 网络安全态势感知方法、系统、电子设备及存储介质 | |
| CN112839029B (zh) | 一种僵尸网络活跃度的分析方法与系统 | |
| CN115499240A (zh) | 一种数据处理方法、装置、设备及介质 | |
| CN112688929B (zh) | 一种基于互联网威胁情报的共享系统 | |
| CN114268481A (zh) | 内网终端违规外联信息处理方法、装置、设备和介质 | |
| CN111339398A (zh) | 一种多元化大数据情报分析系统及其分析方法 | |
| CN110765492A (zh) | 一种大数据平台的安全防护系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160629 |
|
| WD01 | Invention patent application deemed withdrawn after publication |