CN108933707A - 一种工业网络的安全监控系统及方法 - Google Patents
一种工业网络的安全监控系统及方法 Download PDFInfo
- Publication number
- CN108933707A CN108933707A CN201710385202.6A CN201710385202A CN108933707A CN 108933707 A CN108933707 A CN 108933707A CN 201710385202 A CN201710385202 A CN 201710385202A CN 108933707 A CN108933707 A CN 108933707A
- Authority
- CN
- China
- Prior art keywords
- node
- analysis
- transmission
- safety monitoring
- monitoring system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
- H04L43/045—Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
Abstract
本发明实施例提供一种工业网络的安全监控系统及方法,用于实现对工业网络安全现状的监控和分析,该安全监控系统包括:至少一个采集节点、至少一个分析节点和至少一个门户节点,其中:第一采集节点,用于从安全设备获取由安全设备生成的安全日志,安全日志用于表征工业网络中的传输数据的安全情况;第一采集节点为任一采集节点;第一分析节点,用于基于预配置的分析规则针对第一采集节点获取的安全日志进行统计分析,确定工业网络中用于传输数据的传输设备的安全情况;第一分析节点为任一分析节点;第一门户节点,用于将第一分析节点确定的工业网络中用于传输数据的传输设备的安全情况呈现给用户;第一门户节点为任一门户节点。
Description
技术领域
本发明涉及工业自动化技术领域,尤其涉及一种工业网络的安全监控系统及方法。
背景技术
目前,信息技术被广泛应用于工业自动化领域,因此,导致工业网络也面临着与传统信息技术网络同样的安全威胁,诸如病毒、恶意软件、非授权访问等等。由于工业网络广泛存在于制造、化工、能源、电力、水处理等领域,所以因安全问题所产生的经济损失和社会负面影响往往远超传统信息技术网络。
现有技术中,通过部署工业防火墙等安全设备提供对工业网络的安全保护,但缺乏对工业网络安全现状的监控和分析,从而很难做到对安全威胁的全局掌控和主动防范。
发明内容
有鉴于此,本发明提供一种工业网络的安全监控系统及方法,实现了对工业网络安全现状的监控和分析,从而达到对工业网络中安全威胁的全局掌控和主动防范,增强了工业网络的安全防护能力。
第一方面,本发明实施例提供一个工业网络的一个安全监控系统,所述安全监控系统包括至少一个采集节点、至少一个分析节点和至少一个门户节点,其中:
一个第一采集节点,用于从安全设备获取由所述安全设备生成的安全日志,所述安全日志用于表征所述工业网络中的传输数据的安全情况,其中,所述第一采集节点为所述至少一个采集节点中的任一节点;
一个第一分析节点,用于基于预配置的分析规则针对所述第一采集节点获取的所述安全日志进行统计分析,确定所述工业网络中用于传输数据的传输设备的安全情况,其中,所述第一分析节点为所述至少一个分析节点中的任一节点;
一个第一门户节点,用于将所述第一分析节点确定的所述工业网络中用于传输数据的传输设备的安全情况呈现给用户,其中,所述第一门户节点为所述至少一个门户节点中的任一节点。
上述方案,可以提供工业网络环境下的安全监控和分析功能。通过用于安全日志采集的采集节点、集中处理和分析的分析节点、可视化展现的门户节点等各个节点的协同工作,用户可以清楚的掌握其所管理的工业网络的总体信息安全态势和详细的安全告警定位信息,从而为后续安全响应处理做出正确合理的决策。
可选地,所述安全监控系统包括的至少一个采集节点的数量大于1以及所述至少一个分析节点的数量大于1;
所述安全监控系统还包括至少一个汇聚节点;
第一汇聚节点,用于基于预配置的交换路由策略,在所述至少一个分析节点中确定用于针对所述第一采集节点采集到的安全日志进行分析的所述第一分析节点,并将所述第一采集节点采集到的安全日志发送给所述第一分析节点,所述交换路由策略包括所述至少一个采集节点中的每一个与对应分析节点之间的关联关系,所述第一汇聚节点为所述至少一个汇聚节点中的任一节点。
上述方案,在采集节点以及分析节点的数量均大于1时,增加汇聚节点在采集节点与分析节点之间建立桥梁,从而实现了将采集节点采集到的安全日志发送给分析节点。
可选地,所述安全监控系统中所述至少一个门户节点的数量大于1;所述交换路由策略中还包括所述至少一个分析节点中每一个与对应门户节点之间的关联关系;
所述第一分析节点,还用于在确定所述工业网络中用于传输数据的传输设备的安全情况后,将用于传输数据的传输设备的安全情况信息发送给所述第一汇聚节点;
所述第一汇聚节点,还用于在接收到所述第一分析节点发送的所述工业网络中用于传输数据的传输设备的安全情况信息后,基于所述交换路由策略从所述至少一个门户节点中,确定用于呈现所述第一分析节点发送的用于传输数据的传输设备的安全情况的第一门户节点,并将所述接收到的所述第一分析节点发送的用于传输数据的传输设备的安全情况信息发送给所述第一门户节点。
上述方案,在门户节点以及分析节点的数量均大于1时,汇聚节点在门户节点与分析节点之间建立桥梁,从而实现了将分析节点的分析结果发送给对应的门户节点来显示。
可选地,所述第一汇聚节点还用于:
在接收到所述第一分析节点发送的用于传输数据的传输设备的安全情况信息后,以及将所述第一分析节点发送的用于传输数据的传输设备的安全情况信息发送给所述第一门户节点之前,将所述第一分析节点发送的所述工业网络中用于传输数据的传输设备的安全情况信息处理成预配置的格式。
上述方案,汇聚节点对分析节点发来的分析结果不符合格式要求时,处理成符合格式要求的结果,从而门户节点在接收到汇聚节点发来的分析结果时,不需要再对格式进行处理。
可选地,所述安全监控系统还包括至少一个存储节点;
所述第一汇聚节点,还用于在接收到所述第一分析节点发送的所述工业网络中用于传输数据的传输设备的安全情况信息后,确定所述第一分析节点发送的所述工业网络中用于传输数据的传输设备的安全情况不需要呈现给用户时,将所述第一分析节点发送的所述工业网络中用于传输数据的传输设备的安全情况信息存储在第一存储节点中,所述第一存储节点是所述至少一个存储节点中的任一节点。
上述方案,汇聚节点既起到对分析节点以及门户节点的分流作用,并且在确定某一分析节点的分析结果不需要显示给用户时,存储起来,进而方便用户在需要的时候查询。
可选地,所述安全监控系统还包括一个管理节点,所述管理节点中被配置有用于描述所述安全监控系统中包括的除所述管理节点以外的其它各个节点的节点配置信息;
所述管理节点,用于在接收到用户触发的针对一个第一节点的配置请求后,基于所述第一节点的节点配置信息对所述第一节点进行配置,所述第一节点为所述安全监控系统中包括的除所述管理节点以外的其它各个节点中的任一节点。
上述方案,还提供了集中的安全监控和分析等各个节点的配置管理功能。通过管理节点和其它节点的协同工作,用于可以快捷的在工业网络中建立部署工业网络的安全监控系统,并可以动态的调整安全监控的数据源、分析算法和模式以及展现视图等,以及根据工作负荷配置新增的分布式节点,从而能更好的适应变化的安全管理要求。
可选地,所述管理节点中被配置有不同用户的身份信息以及每个用户的身份信息对应的权限信息;
所述管理节点,还用于在接收到用户触发的注册请求后,根据所述注册请求中携带的所述用户的身份信息,为所述用户分配所述用户的身份信息对应的权限信息中描述的权限。
上述方案,在管理节点中配置用户权限,提高了系统的安全性。
可选地,所述管理节点,在基于所述第一节点的节点配置信息对所述第一节点进行配置时,具体用于:
通过第一协议对所述第一节点进行配置;
所述第一节点,还用于在与所述安全监控系统中包括的除所述管理节点以外的其它节点进行数据通信时,通过第二协议与所述安全监控系统中包括的除所述管理节点以外的其它节点进行数据通信;
其中,所述第一协议与所述第二协议为不同的协议。
上述方案,系统采用不同的协议实现控制消息和数据消息的分离,从而尽可能的减小安全监控对所监控工业网络以及自身的影响。其中配置控制需要较高的安全性和实时性,而安全日志数据则需要较高的吞吐量和带宽,因此可依据控制消息以及数据消息的要求分别配置不同条件和性能的网络域或子网。
可选地,所述至少一个安全设备包括以下设备中的至少一种:
工业交换机、工业防火墙、工业控制工作站、工业网络流量分析仪。
第二方面,本发明实施例提供一个工业网络的安全监控方法,所述方法用于一个安全监控系统对所述工业网络进行安全监控,其中,所述安全监控系统包括至少一个采集节点、至少一个分析节点和至少一个门户节点,其特征在于,所述方法包括:
一个第一采集节点从所述工业网络中的至少一个安全设备获取由所述至少一个安全设备生成的安全日志,所述安全日志用于表征所述工业网络中的传输数据的安全情况,其中,所述第一采集节点为所述至少一个采集节点中的任一节点;
一个第一分析节点基于预配置的分析规则针对获取到的安全日志进行统计分析,确定所述工业网络中用于传输数据的传输设备的安全情况,其中,所述第一分析节点为所述至少一个分析节点中的任一节点;
一个第一门户节点将确定的所述工业网络中用于传输数据的传输设备的安全情况呈现给用户,其中,所述第一门户节点为所述至少一个门户节点中的任一节点。
上述方案,可以提供工业网络环境下的安全监控和分析功能。通过用于安全日志采集的采集节点、集中处理和分析的分析节点、可视化展现的门户节点等各个节点的协同工作,用户可以清楚的掌握其所管理的工业网络的总体信息安全态势和详细的安全告警定位信息,从而为后续安全响应处理做出正确合理的决策。
可选地,所述至少一个采集节点的数量大于1,以及所述至少一个分析节点的数量大于1;所述安全监控系统还包括至少一个汇聚节点;
所述方法还包括:
一个第一汇聚节点基于预配置的交换路由策略,在所述至少一个分析节点中确定用于针对所述第一采集节点采集到的所述安全日志进行分析的所述第一分析节点,并将所述第一采集节点采集到的所述安全日志发送给所述第一分析节点,所述交换路由策略包括所述至少一个采集节点中的每一个与对应分析节点之间的关联关系,所述第一汇聚节点为所述至少一个汇聚节点中的任一节点。
上述方案,在采集节点以及分析节点的数量均大于1时,增加汇聚节点在采集节点与分析节点之间建立桥梁,从而实现了将采集节点采集到的安全日志发送给分析节点。
可选地,所述至少一个门户节点的数量大于1;所述交换路由策略中还包括所述至少一个分析节点中每一个与对应门户节点之间的关联关系;
所述方法还包括:
所述第一分析节点在确定所述工业网络中用于传输数据的传输设备的安全情况后,将用于传输数据的传输设备的安全情况信息发送给所述第一汇聚节点;
所述第一汇聚节点在接收到所述第一分析节点发送的所述工业网络中用于传输数据的传输设备的安全情况信息后,基于所述交换路由策略从所述至少一个门户节点中,确定用于呈现所述第一分析节点发送的用于传输数据的传输设备的安全情况的所述第一门户节点,并将所述接收到的所述第一分析节点发送的用于传输数据的传输设备的安全情况信息发送给所述第一门户节点。
上述方案,在门户节点以及分析节点的数量均大于1时,汇聚节点在门户节点与分析节点之间建立桥梁,从而实现了将分析节点的分析结果发送给对应的门户节点来显示。
可选地,所述方法还包括:
所述第一汇聚节点在接收到所述第一分析节点发送的用于传输数据的传输设备的安全情况信息后,以及将所述第一分析节点发送的用于传输数据的传输设备的安全情况信息发送给所述第一门户节点之前,将所述第一分析节点发送的用于传输数据的传输设备的安全情况信息处理成预配置的格式。
上述方案,汇聚节点对分析节点发来的分析结果不符合格式要求时,处理成符合格式要求的结果,从而门户节点在接收到汇聚节点发来的分析结果时,不需要再对格式进行处理。
可选地,所述安全监控系统还包括至少一个存储节点;所述方法还包括:
所述第一汇聚节点在接收到所述第一分析节点发送的用于传输数据的传输设备的安全情况信息后,确定所述第一分析节点发送的用于传输数据的传输设备的安全情况不需要呈现给用户时,将所述第一分析节点发送的用于传输数据的传输设备的安全情况信息存储在一个第一存储节点中,所述第一存储节点是所述至少一个存储节点中的任一节点。
上述方案,汇聚节点既起到对分析节点以及门户节点的分流作用,并且在确定某一分析节点的分析结果不需要显示给用户时,存储起来,进而方便用户在需要的时候查询。
可选地,所述安全监控系统还包括一个管理节点,所述管理节点中被配置有用于描述所述安全监控系统中包括的除所述管理节点以外的其它各个节点的节点配置信息;
所述方法还包括:
所述管理节点在接收到用户触发的针对一个第一节点的配置请求后,基于所述第一节点的节点配置信息对所述第一节点进行配置,所述第一节点为所述安全监控系统中包括的除所述管理节点以外的其它各个节点中的任一节点。
上述方案,还提供了集中的安全监控和分析等各个节点的配置管理功能。通过管理节点和其它节点的协同工作,用于可以快捷的在工业网络中建立部署工业网络的安全监控系统,并可以动态的调整安全监控的数据源、分析算法和模式以及展现视图等,以及根据工作负荷配置新增的分布式节点,从而能更好的适应变化的安全管理要求。
可选地,所述管理节点中被配置有不同用户的身份信息以及每个用户的身份信息对应的权限信息;
所述方法还包括:
所述管理节点在接收到用户触发的注册请求后,根据所述注册请求中携带的所述用户的身份信息,为所述用户分配所述用户的身份信息对应的权限信息中描述的权限。
上述方案,在管理节点中配置用户权限,提高了系统的安全性。
可选地,所述管理节点基于所述第一节点的节点配置信息对所述第一节点进行配置,包括:
通过第一协议对所述第一节点进行配置;
所述方法还包括:
所述第一节点在与所述安全监控系统中包括的除所述管理节点以外的其它节点进行数据通信时,通过第二协议与所述安全监控系统中包括的除所述管理节点以外的其它节点进行数据通信;
其中,所述第一协议与所述第二协议为不同的协议。
上述方案,系统采用不同的协议实现控制消息和数据消息的分离,从而尽可能的减小安全监控对所监控工业网络以及自身的影响。其中配置控制需要较高的安全性和实时性,而安全日志数据则需要较高的吞吐量和带宽,因此可依据控制消息以及数据消息的要求分别配置不同条件和性能的网络域或子网。
第三方面,本发明实施例提供一个工业网络的一个安全监控系统,所述安全监控系统包括至少一个存储器、至少一个处理器和一个接口,其中:
所述至少一个存储器,用于存储程序代码;
所述接口,用于收发数据;
所述至少一个处理器,用于调用所述至少一个存储器中存储的程序代码,通过所述接口从至少一个安全设备获取由所述至少一个安全设备生成的安全日志,以基于所述安全日志执行上述方法。
上述系统,可以提供针对工业网络中各种安全设备产生的安全日志的分析功能,并将分析结果显示给用户,从而用户可以清楚的掌握其所管理的工业网络的总体信息安全态势和详细的安全告警定位信息,从而为后续安全响应处理做出正确合理的决策。
第四方面,本发明实施例提供了一种机器可读介质,所述机器可读介质上存储有计算机指令,所述计算机指令在被工业网络的安全监控系统调用时,使所述工业网络的安全监控系统执行上述方法。
附图说明
图1为本发明实施例提供的一种工业网络的安全监控系统结构示意图;
图2为本发明实施例提供的一种安全监控流程示意图;
图3为本发明实施例提供的另一种工业网络的安全监控系统结构示意图;
图4为本发明实施例提供的另一种安全监控流程示意图;
图5为本发明实施例提供的又一种工业网络的安全监控系统结构示意图;
图6为本发明实施例提供的再一种工业网络的安全监控系统结构示意图;
图7为本发明实施例提供的一种工业网络的安全监控系统结构示意图;
图8为本发明实施例提供的一种工业网络的安全监控方法流程图;
图9为本发明实施例提供的一种工业网络的安全监控系统示意图。
附图标记列表:
101:采集节点 1011:物理设备层 1012:采集软件层
102:分析节点 1021:物理设备层 1022:分析软件层
103:门户节点 1031:物理设备层 1032:门户软件层
104:汇聚节点 1041:物理设备层 1042:汇聚软件层
105:存储节点 1051:物理设备层 1052:存储软件层
106:管理节点 1061:物理设备层 1062:管理软件层
201:获取安全日志 202:发送安全情况信息 203:显示安全情况
401:发送安全日志 402:发送安全日志
403:发送安全情况信息 404:发送安全情况信息
701:获取安全日志 702:统计分析 703:显示安全情况
801:接口 802:至少一个处理器
803:总线 804:至少一个存储器
1001:控制域 1002:数据域
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。
需要说明的是,本发明实施例的描述中的“多个(种)”,是指“两个(种)或两个(种)以上”。本发明实施例的说明书和权利要求书及附图中涉及的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
如前所述,目前通过部署工业防火墙等安全设备提供对工业网络的安全保护,缺乏对工业网络安全现状的监控和分析,难以做到对安全威胁的全局掌控和主动防范。
基于此,本发明实施例提供一种工业网络的安全监控系统及方法,通过从安全设备获取由安全设备生成的安全日志,该安全日志用于表征所述工业网络中的传输数据的安全情况,然后采用预配置的分析规则对安全日志进行分析处理确定工业网络中用于传输数据的传输设备的安全情况,并显示给用户,从而用户能够及时的知道工业网络的安全情况,增加了发现不安全情况的能力,加强了对工业网络的安全防护。其中,由于系统及方法解决问题的原理相似,因此系统、方法的实施可以相互参见,重复之处不再赘述。
本发明实施例提供的安全监控系统、方法可用于实现对一个工业网络进行安全监控。这些工业网络可包括但不限于:管道传输系统、风力发电系统、电力传输系统、汽车制造车间、制药厂、一个城市的污水处理系统等,这些工业网络可由西门子公司提供,也可由其他公司提供。采用本发明实施例可实现对工业网络有效的安全监控,防范风险,保证工业网络的正常运行。
参见图1所示,为本发明实施例提供的一种工业网络的安全监控系统,该安全监控系统中包括:采集节点101,分析节点102以及门户节点103。其中,安全监控系统包括的采集节点101、分析节点102以及门户节点103的数量均可以是1个,也可以是多个。本发明实施例中对各个节点的数量不作具体限定。
采集节点101,用于从安全设备获取由所述安全设备生成的安全日志,所述安全日志用于表征所述工业网络中的传输数据的安全情况。
采集节点101可以是软件功能模块,还可以是单独的物理设备,比如工业个人计算机(personal computer,PC)或者服务器等。其中,采集节点101中预先配置有采集策略或者采集算法等,从而采集节点101根据预先配置的采集策略或者采集算法从安全设备采集安全日志。例如采集策略中包括:采集周期、采集哪些安全设备中的安全日志等等信息。
本发明实施例中,安全设备可以包括工业交换机、工业防火墙、工业控制工作站、工业网络流量分析仪等等。
分析节点102,用于基于预配置的分析规则针对采集节点101获取的安全日志进行统计分析确定所述工业网络中用于传输数据的传输设备的安全情况。
其中,确定所述工业网络中用于传输数据的传输设备的安全情况可以包括工业网络环境中的安全威胁告警、或者工业网络中的传输设备的系统行为模式等等。
分析规则可以以一种分析模型的方式配置在分析节点102中,分析规则在分析节点102中的配置方式,本发明实施例中不作具体限定。
分析节点102可以是软件功能模块,还可以是单独的物理设备,比如PC或者服务器等。
门户节点103,用于将分析节点102确定的所述工业网络中用于传输数据的传输设备的安全情况呈现给用户。
门户节点103可以是软件功能模块,还可以是单独的物理设备,比如PC或者服务器等。门户节点103中可以预先配置安全监控展示策略,从在针对分析节点102确定的所述工业网络中用于传输数据的传输设备的安全情况进行呈现时,可以通过预先配置的安全监控展示策略进行呈现。其中安全监控展示策略可以包括安全监控视图中安全数据源的配置、安全数据展示方式配置、安全数据展现权限配置等等。其中,安全数据源的配置是指针对安全日志所对应的传输设备的显示方式配置。安全数据展示方式配置是指针对传输设备是否安全的显示方式配置。安全数据展现权限配置是指配置针对那些传输设备的安全情况需要显示,那些不需要显示。
门户节点103可以用文本形式列表展示所述工业网络中用于传输数据的传输设备的安全情况,或者可以用网络设备拓扑图的形式进行图形化展示所述工业网络中用于传输数据的传输设备的安全情况,本发明实施例中对所述工业网络中用于传输数据的传输设备的安全情况的显示方式不作具体限定。
在采集节点的数量以及分析节点的数量以及门户节点的数量均为一个时,以第一采集节点101与第一分析节点102相连,以及第一分析节点102与第一门户节点103相连为例进行说明,参见图2所示。
第一采集节点101,从安全设备获取由所述安全设备生成的安全日志,所述安全日志用于表征所述工业网络中的传输数据的安全情况,并发送给所述第一分析节点102(步骤201)。
本发明实施例中,采集节点101在从安全设备获取由所述安全设备生成的安全日志时,可以由采集节点101主动到安全设备中获取安全日志,还可以由安全设备上报给采集节点101。具体的,采集节点101可以周期性的主动到安全设备中获取安全日志,或者安全设备周期性的向采集节点101发送安全日志。
第一分析节点102,基于预配置的分析规则针对所述第一采集节点101获取的安全日志进行统计分析确定所述工业网络中用于传输数据的传输设备的安全情况,并将所述工业网络中用于传输数据的传输设备的安全情况信息发送给第一门户节点103(步骤202)。
第一门户节点103,将所述第一分析节点102确定的所述工业网络中用于传输数据的传输设备的安全情况呈现给用户(步骤203)。
在一种可能的设计中,在所述安全监控系统包括采集节点的数量为多个以及所述分析节点102的数量为多个的情况下,第一采集节点101是多个采集节点中的一个,第一分析节点102是多个分析节点中的一个,所述安全监控系统还可以包括至少一个汇聚节点104,参见图3所示。汇聚节点的数量可以是1个也可以是多个。汇聚节点104可以是软件功能模块,还可以是单独的物理设备,比如PC或者服务器等。
本发明实施例中,以汇聚节点104中的第一汇聚节点104分别与第一采集节点101、第一分析节点102、第一门户节点103相连为例进行说明,具体操作流程参见图4所示。
第一汇聚节点104,用于获取第一采集节点101采集到的安全日志,根据预配置的交换路由策略确定用于针对所述第一采集节点101采集到的安全日志进行分析的第一分析节点102(步骤401),并发送给确定的第一分析节点102(步骤402),所述交换路由策略中包括每个采集节点101与对应的分析节点102之间的关联关系。在交互路由策略中包括了第一采集节点101与第一分析节点102之间的关联关系。
可选地,所述交换路由策略中还可以包括每个分析节点102与对应的门户节点103之间的关联关系;其中,在交互路由策略中包括了第一分析节点102与第一门户节点103之间的关联关系。第一分析节点102,在确定所述工业网络中用于传输数据的传输设备的安全情况后,将用于传输数据的传输设备的安全情况信息发送给第一汇聚节点104(步骤403)。
所述第一汇聚节点104,还用于在接收到第一分析节点102发送的所述工业网络中用于传输数据的传输设备的安全情况信息后,基于所述交换路由策略从所述多个门户节点中,确定用于呈现所述第一分析节点102发送的所述工业网络中用于传输数据的传输设备的安全情况的第一门户节点103,并将所述接收到的所述第一分析节点102发送的所述工业网络中用于传输数据的传输设备的安全情况信息发送给所述第一门户节点103(步骤404)。
本发明实施例中,第一汇聚节点104每次在接收到数据后,可以采用预配置的格式信息针对接收到的数据采用的格式进行规范化处理。具体的,在接收到所述第一分析节点102发送的所述工业网络中用于传输数据的传输设备的安全情况后,以及将所述接收到的所述第一分析节点102发送所述工业网络中用于传输数据的传输设备的安全情况信息发送给所述第一门户节点103之前,根据预配置的格式信息针对所述第一分析节点102发送的所述工业网络中用于传输数据的传输设备的安全情况信息处理成预配置的格式,然后再将处理后的所述第一分析节点102发送的所述工业网络中用于传输数据的传输设备的安全情况信息发送给第一门户节点103进行显示。
参见图5所示,本发明实施例提供的系统中还可以包括存储节点105。存储节点的数量可以是1个也可以是多个。存储节点105可以是软件功能模块,还可以是单独的物理设备,比如PC或者服务器等。本发明实施例中,以存储节点105中的第一存储节点105与第一汇聚节点104相连为例进行说明。
所述第一汇聚节点104在接收到第一分析节点102发送的所述工业网络中用于传输数据的传输设备的安全情况信息后,确定所述第一分析节点102发送的所述工业网络中用于传输数据的传输设备的安全情况不需要呈现给用户时,将所述第一分析节点102发送的所述工业网络中用于传输数据的传输设备的安全情况存储在所述第一存储节点105中。从第一存储节点105基于存储策略对第一分析节点102发送的所述工业网络中用于传输数据的传输设备的安全情况信息进行存储。存储策略中包括数据分片方式、数据压缩方式、数据索引方式、冷数据转储参数、数据加密方式等等。
本发明实施例中,存储节点105还可以用于存储采集节点101采集到的安全日志,从而汇聚节点104在确定需要发送给分析节点102时,从存储节点105中获取安全日志发送给分析节点102。
本发明实施例中,参见图6所示,系统中还可以包括管理节点106。管理节点106可以是软件功能模块,还可以是单独的物理设备,比如PC或者服务器等。所述管理节点106中被配置有用于描述所述安全监控系统中包括的除所述管理节点106以外的其它各个节点的节点配置信息。具体的,管理节点106中被配置有用于描述所述安全监控系统中包括的至少一个采集节点101、至少一个分析节点102、至少一个门户节点103的节点配置信息。当然在系统中还包括至少一个汇聚节点104时,管理节点106中还可以被配置有用于描述至少一个汇聚节点104的节点配置信息;在系统中还包括至少一个存储节点104时,管理节点106中还可以被配置有用于描述至少一个存储节点105的节点配置信息。
节点配置信息中可以包括配置节点所需的硬件相关信息、软件相关信息以及不同节点对应的功能信息等等,比如,采集节点所需的CPU、所需的内存、所支持的采集协议、所对应的采集周期等等。
用户可以通过管理节点106针对系统中包括的其它各个节点进行配置。具体的,用户向管理节点106触发针对第一节点的配置请求,所述管理节点106在接收到用户触发的针对第一节点的配置请求后,基于所述第一节点的节点配置信息对所述第一节点进行配置,所述第一节点为所述安全监控系统中包括的除所述管理节点106以外的其它各个节点中的任一节点。
管理节点106中可以提供配置管理图形化界面或者命令行界面,从而用户可以通过管理节点106中的管理图形化界面或者命令行界面针对系统的各个节点进行配置。
通过上述方式,用户可以通过管理节点106在该安全监控系统中部署各个节点,还可以根据需求增加或者删除节点。
可选地,用户还可以通过管理节点106针对安全设备进行配置,比如配置安全设备周期性地向采集节点101上报由安全设备生成的安全日志。具体的,管理节点接收用户触发的针对安全设备的上报周期的配置请求,所述配置请求中携带安全设备的上报周期,为所述安全设备配置所述配置请求中携带安全设备的上报周期。
本发明实施例中,除了在管理节点106中配置节点配置信息之外,还可以在管理节点中配置不同用户的身份信息以及每个用户的身份信息对应的权限信息;从而管理节点106在接收到用户触发的注册请求后,根据所述注册请求中携带的所述用户的身份信息,为所述用户分配所述用户的身份信息对应的权限信息中描述的权限。
为了提供数据传输的安全性,以及避免管理节点106向其他节点传输命令,与其他节点之间传输数据构成干扰,本发明实施例中,可以将系统的工作域分为控制域1001与数据域1002。控制域采用第一协议,数据域1002采用第二协议。管理节点106通过第一协议对第一节点进行配置,所述第一节点,还用于在与所述安全监控系统中包括的除所述管理节点以外的其它节点进行数据通信时,通过第二协议与所述安全监控系统中包括的除所述管理节点以外的其它节点进行数据通信;其中,所述第一协议与所述第二协议为不同的协议。本发明实施例中系统可以支持底层的传输控制协议/因特网协议(Transmission ControlProtocol/Internet Protocol,TCP/IP)网络,从而第一协议以及第二协议可被TCP/IP协议封装的。
本发明实施例提供的系统可以提供工业网络环境下的安全监控和分析功能。通过用于安全日志采集的采集节点、集中处理和分析的分析节点、可视化展现的门户节点等各个节点的协同工作,用户可以清楚的掌握其所管理的工业网络的总体信息安全态势和详细的安全告警定位信息,从而为后续安全响应处理做出正确合理的决策。该安全监控系统还提供集中的安全监控和分析等各个节点的配置管理功能。通过管理节点和其它节点的协同工作,用于可以快捷的在工业网络中建立部署工业网络的安全监控系统,并可以动态的调整安全监控的数据源、分析算法和模式以及展现视图等,以及根据工作负荷配置新增的分布式节点,从而能更好的适应变化的安全管理要求。另外该安全监控系统采用不同的工作域实现控制消息和数据消息的分离,从而尽可能的减小安全监控对所监控工业网络以及自身的影响。其中配置控制需要较高的安全性和实时性,而安全日志数据则需要较高的吞吐量和带宽,因此各自所处的工作域可分别对应不同条件和性能的网络域或子网。
本发明实施例中以一个工厂的工业网络为例说明如何通过管理节点106配置上述系统中包括的其它各个节点。该工业网络中包括的安全设备有上位机工作站,工业交换机、工业防火墙和工业控制器等工业设备。这些工业设备被配置在一个子网段A中。另外有用于实现采集节点101功能的设备1、用于实现汇聚节点104功能的设备2、用于实现分析节点102功能的设备3、用于实现存储节点105功能的设备4、用于实现门户节点103功能的设备5以及用于实现管理节点功能的设备6,均处于另外两个子网段B和C。其中子网B为控制域网络,子网C为数据域网络。
用于实现管理节点功能的设备6中配置有指定子网段A中的上位机工作站,工业交换机、工业防火墙和工业控制器等设备的IP信息,以及配置有采集节点101采集安全日志所需的日志解析器/脚本等信息,从而用户通过设备6提供管理页面中的向导配置采集节点101时,设备6将指定子网段A中的上位机工作站,工业交换机、工业防火墙和工业控制器等设备的IP信息,日志解析器/脚本配置在该设备1中,从而实现了采集节点101的配置。
在针对分析节点102配置分析规则时,设备6接收到由用户触发的针对分析节点102的配置请求,从而设备6基于针对该分析节点102的配置请求中携带的分析规则对设备3进行配置。
在针对存储节点105进行配置时,设备6接收到由用户触发的针对存储节点105的配置请求,针对存储节点105的配置请求中携带存储策略,存储策略中包括数据分片方式、数据压缩方式、数据索引方式、冷数据转储参数、数据加密方式等等。从而设备6基于针对该存储节点105的配置请求中携带的存储策略对设备4进行配置。
在针对门户节点103配置分析规则时,设备6接收到由用户触发的针对门户节点103的配置请求,针对门户节点103的配置请求中携带展现方式。从而设备6基于针对该门户节点103的配置请求中携带的展现方式对设备4进行配置。比如展现方式包括选用展现视图、仪表盘等方式。
用户通过设备6提供管理页面中的向导配置汇聚节点104时,即配置交换路由策略,比如采集节点101与分析节点102关联,从而设备6基于针对该汇聚节点104的配置请求中携带的交换路由策略对设备4进行配置。
通过管理节点和其它节点的协同工作,用于可以快捷的在工业网络中建立部署工业网络的安全监控系统,并可以动态的调整安全监控的数据源、分析算法和模式以及展现视图等,以及根据工作负荷配置新增的分布式节点,从而能更好的适应变化的安全管理要求。另外该安全监控系统采用不同的工作域实现控制消息和数据消息的分离,从而尽可能的减小安全监控对所监控工业网络以及自身的影响。其中配置控制需要较高的安全性和实时性,而安全日志数据则需要较高的吞吐量和带宽,因此各自所处的工作域可分别对应不同条件和性能的网络域或子网。
参见图7所示,为本发明实施例提供的工业网络的安全监控系统的一种示例,其中,该安全监控系统中包括管理节点(Manager Node)106、至少一个采集节点(CollectorNodes)101、至少一个分析节点(Analyzer Nodes)102、至少一个门户节点(Portal Nodes)103、至少一个汇聚节点(Converger Nodes)104以及至少一个存储节点(Storer Nodes)105。
管理节点106可以分为物理设备层1061以及管理软件层1062。其中物理设备层1061为工业PC或者服务器,管理软件层1062提供上述至少一个采集节点(CollectorNodes)101、至少一个分析节点(Analyzer Nodes)102、至少一个门户节点(Portal Nodes)103、至少一个汇聚节点(Converger Nodes)104以及至少一个存储节点(Storer Nodes)105的配置管理功能,可以提供配置管理图像化界面以及命令行界面。管理软件层1062配置有除所述管理节点106以外的其它各个节点的节点配置信息。还可以配置有各个安全设备的配置信息,比如安全设备上报安全日志的手气等。节点配置信息可以包括配置节点所需的硬件相关信息、软件相关信息以及不同节点对应的功能信息等等,比如,采集节点所需的CPU、所需的内存、所支持的采集协议、所对应的采集周期等等。
至少一个采集节点101中每个采集节点101可以包括物理设备层1011以及采集软件层1012。物理设备层1011可以是PC或者服务器等。采集软件层1012中配置有采集策略或者采集算法等。
至少一个分析节点102中每个分析节点102可以包括物理设备层1021以及分析软件层1022。物理设备层1021可以是PC或者服务器等。分析软件层1022可以配置分析规则或者分析模型以及对应的分析参数等。
至少一个门户节点103中每个门户节点103可以包括物理设备层1031以及门户软件层1032。物理设备层1031可以是PC或者服务器等。门户软件层1032可以配置安全监控展示策略。安全监控展示策略可以包括安全监控视图中安全数据源的配置、安全数据展示方式配置、安全数据展现权限配置等等。
至少一个汇聚节点104中每个汇聚节点104可以包括物理设备层1041以及汇聚软件层1042。物理设备层1041可以是PC或者服务器等。汇聚软件层1042配置有交换路由策略。交换路由策略中包括生产发布者与消费订阅者之间的对应关系。生产发布者是产生数据的节点,比如采集节点101或者产生分析结果的分析节点102。消费订阅者是接收数据的节点,比如门户节点103、存储节点105等。
至少一个存储节点105中每个存储节点105可以包括物理设备层1051以及存储软件层1052。物理设备层1051可以是PC或者服务器等。存储软件层1052根据配置的存储策略(诸如是否分布、分片算法、是否加密、是否压缩、冷数据转储参数、索引参数设置等)对需要存储的数据进行持久化存储,并进行索引。
为了提供数据传输的安全性,以及避免管理节点106向其他节点传输命令,与其他节点之间传输数据构成干扰,本发明实施例中,可以将系统的工作域分为控制域1001与数据域1002。控制域1001采用第一协议,数据域1002采用第二协议。管理节点106通过第一协议对其它节点进行配置,所述第一节点,还用于在与所述安全监控系统中包括的除所述管理节点以外的其它节点进行数据通信时,通过第二协议与所述安全监控系统中包括的除所述管理节点以外的其它节点进行数据通信;其中,所述第一协议与所述第二协议为不同的协议。
基于与上述系统实施例同样的发明构思,本发明实施例还提供了一种工业网络的安全监控方法,参见图8所示,所述方法用于一个安全监控系统对所述工业网络进行安全监控,其中,所述安全监控系统包括至少一个采集节点101、至少一个分析节点102和至少一个门户节点103,所述方法包括:
步骤701,一个第一采集节点101工业网络的安全监控系统从安全设备获取由所述安全设备生成的安全日志,所述安全日志用于表征所述工业网络中的传输数据的安全情况,其中,所述第一采集节点101为所述至少一个采集节点101中的任一节点。
步骤702,一个第一分析节点102工业网络的安全监控系统基于预配置的分析规则针对获取到的安全日志进行统计分析,确定所述工业网络中用于传输数据的传输设备的安全情况,其中,所述第一分析节点102为所述至少一个分析节点102中的任一节点。
步骤703,一个第一门户节点103工业网络的安全监控系统将确定的所述工业网络中用于传输数据的传输设备的安全情况呈现给用户,其中,所述第一门户节点103为所述至少一个门户节点103中的任一节点。
本发明实施例提供的方法,可以提供针对工业网络中各种安全设备产生的安全日志的分析功能,并将分析结果显示给用户,从而用户可以清楚的掌握其所管理的工业网络的总体信息安全态势和详细的安全告警定位信息,从而为后续安全响应处理做出正确合理的决策。
可选地,所述至少一个采集节点101的数量大于1,以及所述至少一个分析节点102的数量大于1;所述安全监控系统还包括至少一个汇聚节点104;
所述方法还包括:
一个第一汇聚节点104基于预配置的交换路由策略,在所述至少一个分析节点102中确定用于针对所述第一采集节点101采集到的所述安全日志进行分析的所述第一分析节点102,并将所述第一采集节点101采集到的所述安全日志发送给所述第一分析节点102,所述交换路由策略包括所述至少一个采集节点101中的每一个与对应分析节点102之间的关联关系,所述第一汇聚节点104为所述至少一个汇聚节点104中的任一节点。
上述方案,在采集节点以及分析节点的数量均大于1时,增加汇聚节点在采集节点与分析节点之间建立桥梁,从而实现了将采集节点采集到的安全日志发送给分析节点。
可选地,所述至少一个门户节点103的数量大于1;所述交换路由策略中还包括所述至少一个分析节点102中每一个与对应门户节点103之间的关联关系;
所述方法还包括:
所述第一分析节点102在确定所述工业网络中用于传输数据的传输设备的安全情况后,将用于传输数据的传输设备的安全情况信息发送给所述第一汇聚节点104;
所述第一汇聚节点104在接收到所述第一分析节点102发送的所述工业网络中用于传输数据的传输设备的安全情况信息后,基于所述交换路由策略从所述至少一个门户节点103中,确定用于呈现所述第一分析节点102发送的用于传输数据的传输设备的安全情况的所述第一门户节点103,并将所述接收到的所述第一分析节点102发送的用于传输数据的传输设备的安全情况信息发送给所述第一门户节点103。
上述方案,在门户节点以及分析节点的数量均大于1时,汇聚节点在门户节点与分析节点之间建立桥梁,从而实现了将分析节点的分析结果发送给对应的门户节点来显示。
可选地,所述方法还包括:
所述第一汇聚节点104在接收到所述第一分析节点102发送的用于传输数据的传输设备的安全情况信息后,以及将所述第一分析节点102发送的用于传输数据的传输设备的安全情况信息发送给所述第一门户节点103之前,将所述第一分析节点102发送的用于传输数据的传输设备的安全情况信息处理成预配置的格式。
上述方案,汇聚节点对分析节点发来的分析结果不符合格式要求时,处理成符合格式要求的结果,从而门户节点在接收到汇聚节点发来的分析结果时,不需要再对格式进行处理。
可选地,所述安全监控系统还包括至少一个存储节点105;所述方法还包括:
所述第一汇聚节点104在接收到所述第一分析节点102发送的用于传输数据的传输设备的安全情况信息后,确定所述第一分析节点102发送的用于传输数据的传输设备的安全情况不需要呈现给用户时,将所述第一分析节点102发送的用于传输数据的传输设备的安全情况信息存储在一个第一存储节点105中,所述第一存储节点105是所述至少一个存储节点105中的任一节点。
上述方案,汇聚节点既起到对分析节点以及门户节点的分流作用,并且在确定某一分析节点的分析结果不需要显示给用户时,存储起来,进而方便用户在需要的时候查询。
可选地,所述安全监控系统还包括一个管理节点106,所述管理节点106中被配置有用于描述所述安全监控系统中包括的除所述管理节点106以外的其它各个节点的节点配置信息;
所述方法还包括:
所述管理节点106在接收到用户触发的针对一个第一节点的配置请求后,基于所述第一节点的节点配置信息对所述第一节点进行配置,所述第一节点为所述安全监控系统中包括的除所述管理节点106以外的其它各个节点中的任一节点。
上述方案,还提供了集中的安全监控和分析等各个节点的配置管理功能。通过管理节点和其它节点的协同工作,用于可以快捷的在工业网络中建立部署工业网络的安全监控系统,并可以动态的调整安全监控的数据源、分析算法和模式以及展现视图等,以及根据工作负荷配置新增的分布式节点,从而能更好的适应变化的安全管理要求。
可选地,所述管理节点106中被配置有不同用户的身份信息以及每个用户的身份信息对应的权限信息;
所述方法还包括:
所述管理节点106在接收到用户触发的注册请求后,根据所述注册请求中携带的所述用户的身份信息,为所述用户分配所述用户的身份信息对应的权限信息中描述的权限。
上述方案,在管理节点中配置用户权限,提高了系统的安全性。
可选地,所述管理节点106基于所述第一节点的节点配置信息对所述第一节点进行配置,包括:
通过第一协议对所述第一节点进行配置;
所述方法还包括:
所述第一节点在与所述安全监控系统中包括的除所述管理节点106以外的其它节点进行数据通信时,通过第二协议与所述安全监控系统中包括的除所述管理节点106以外的其它节点进行数据通信;
其中,所述第一协议与所述第二协议为不同的协议。
上述方案,系统采用不同的协议实现控制消息和数据消息的分离,从而尽可能的减小安全监控对所监控工业网络以及自身的影响。其中配置控制需要较高的安全性和实时性,而安全日志数据则需要较高的吞吐量和带宽,因此可依据控制消息以及数据消息的要求分别配置不同条件和性能的网络域或子网。
基于上述实施例,本发明实施例还提供了一种工业网络的安全监控系统,如图9所示,该工业网络的安全监控系统可以包括:接口801、至少一个处理器802、总线803,至少一个存储器804,其中,该接口801、该至少一个处理器802以及该至少一个存储器804通过该总线803相互连接;该总线803可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该总线803可以分为地址总线、数据总线、控制总线等。为便于表示,图8中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
该接口801,用于与其他设备进行通信交互,例如:接收安全设备发送的安全日志等。
该至少一个处理器802,用于实现如图8所示的工业网络的安全监控方法,包括:
从安全设备获取由所述安全设备生成的安全日志,所述安全日志用于表征所述工业网络中的传输数据的安全情况;
基于预配置的分析规则针对获取到的安全日志进行统计分析,确定所述工业网络中用于传输数据的传输设备的安全情况;
将确定的所述工业网络中用于传输数据的传输设备的安全情况呈现给用户。
可选的,该至少一个存储器804,用于存储至少一个处理器802执行的程序代码。具体地,该程序代码包括计算机操作指令。该至少一个存储器804可能包含至少一个随机存取存储器(Random Access Memory,RAM),也可能还包括至少一个非易失性存储器(non-volatile memory),例如是至少一个磁盘。其中,至少一个处理器802调用至少一个存储器804中存储的程序代码,可以实现上述功能,从而实现如图7所示的工业网络的安全监控方法。
本发明实施例还提供了一种机器可读介质,该机器可读介质上存储用于使一机器执行如本文所述的工业网络的安全监控方法的计算机指令。具体地,可以提供配有该机器可读介质的系统或者装置,在该机器可读介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该安全监控系统或者装置的计算机(或中央处理器(CentralProcessing Unit,CPU)或微处理器(Micro Processor Unit,MPU))读出并执行存储在存储介质中的程序代码。
在这种情况下,从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此程序代码和存储程序代码的存储介质构成了本发明实施例的一部分。
用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如只读光盘驱动器(Compact Disc Read-Only Memory,CD-ROM)、可录光盘(Compact Disk-Recordable,CD-R)、可擦写光盘(Compact Disk-ReWritable,CD-RW)、数字视盘(DigitalVideo Disc-Read Only Memory,DVD-ROM)、数字多功能光盘随机存储器(DigitalVersatile Disc-Random Access Memory,DVD-RAM)、可重写型数字多功能光盘(DigitalVersatile Disc±ReWritable,DVD±RW)等)、磁带、非易失性存储卡和只读存储器(Read-Only Memory,ROM)。可选择地,可以由通信网络从服务器计算机上下载程序代码。
此外,应该清楚的是,不仅可以通过执行计算机所读出的程序代码,而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作,从而实现上述实施例中任意一项实施例的功能。
此外,可以理解的是,将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展单元中设置的存储器中,随后基于程序代码的指令使安装在扩展板或者扩展单元上的CPU等来执行部分和全部实际操作,从而实现上述实施例中任一实施例的功能。
需要说明的是,上述各流程和各系统结构图中不是所有的步骤和模块都是必须的,可以根据实际的需要忽略某些步骤或模块。各步骤的执行顺序不是固定的,可以根据需要进行调整。上述各实施例中描述的系统结构可以是物理结构,也可以是逻辑结构,即,有些模块可能由同一物理实体实现,或者,有些模块可能分由至少两个物理实体实现,或者,可以由至少两个独立设备中的某些部件共同实现。
以上各实施例中,硬件单元可以通过机械方式或电气方式实现。例如,一个硬件单元可以包括永久性专用的电路或逻辑(如专门的处理器,现场可编程门阵列(Field-Programmable Gate Array,FPGA)或专用集成电路(Application Specific IntergratedCircuits,ASIC)等)来完成相应操作。硬件单元还可以包括可编程逻辑或电路(如通用处理器或其它可编程处理器),可以由软件进行临时的设置以完成相应操作。具体的实现方式(机械方式、或专用的永久性电路、或者临时设置的电路)可以基于成本和时间上的考虑来确定。
上文通过附图和优选实施例对本发明实施例进行了详细展示和说明,然而本发明实施例不限于这些已揭示的实施例,基与上述实施例本领域技术人员可以知晓,可以组合上述不同实施例中的代码审核手段得到本发明更多的实施例,这些实施例也在本发明实施例的保护范围之内。
Claims (18)
1.一个工业网络的一个安全监控系统,其特征在于,所述安全监控系统包括至少一个采集节点(101)、至少一个分析节点(102)和至少一个门户节点(103),其中:
一个第一采集节点(101),用于从至少一个安全设备处获取由所述至少一个安全设备生成的安全日志,所述安全日志用于表征所述工业网络中的传输数据的安全情况,其中,所述第一采集节点(101)为所述至少一个采集节点(101)中的任一节点;
一个第一分析节点(102),用于基于预配置的分析规则针对所述第一采集节点(101)获取的所述安全日志进行统计分析,确定所述工业网络中用于传输数据的传输设备的安全情况,其中,所述第一分析节点(102)为所述至少一个分析节点(102)中的任一节点;
一个第一门户节点(103),用于将所述第一分析节点(102)确定的所述工业网络中用于传输数据的传输设备的安全情况呈现给用户,其中,所述第一门户节点(103)为所述至少一个门户节点(103)中的任一节点。
2.如权利要求1所述的安全监控系统,其特征在于,所述至少一个采集节点(101)的数量大于1,以及所述至少一个分析节点(102)的数量大于1,所述安全监控系统还包括至少一个汇聚节点(104),其中,
一个第一汇聚节点(104),用于基于预配置的交换路由策略,在所述至少一个分析节点(102)中确定用于针对所述第一采集节点(101)采集到的所述安全日志进行分析的所述第一分析节点(102),并将所述第一采集节点(101)采集到的所述安全日志发送给所述第一分析节点(102),所述交换路由策略包括所述至少一个采集节点(101)中的每一个与对应分析节点(102)之间的关联关系,所述第一汇聚节点(104)为所述至少一个汇聚节点(104)中的任一节点。
3.如权利要求2所述的安全监控系统,其特征在于,所述至少一个门户节点(103)的数量大于1,所述交换路由策略中还包括所述至少一个分析节点(102)中每一个与对应门户节点(103)之间的关联关系;
所述第一分析节点(102),还用于在确定所述工业网络中用于传输数据的传输设备的安全情况后,将用于传输数据的传输设备的安全情况信息发送给所述第一汇聚节点(104);
所述第一汇聚节点(104),还用于在接收到所述第一分析节点(102)发送的所述工业网络中用于传输数据的传输设备的安全情况信息后,基于所述交换路由策略从所述至少一个门户节点(103)中,确定用于呈现所述第一分析节点(102)发送的用于传输数据的传输设备的安全情况的所述第一门户节点(103),并将所述接收到的所述第一分析节点(102)发送的用于传输数据的传输设备的安全情况信息发送给所述第一门户节点(103)。
4.如权利要求3所述的安全监控系统,其特征在于,所述第一汇聚节点(104)还用于:
在接收到所述第一分析节点(102)发送的用于传输数据的传输设备的安全情况信息后,以及将所述第一分析节点(102)发送的用于传输数据的传输设备的安全情况信息发送给所述第一门户节点(103)之前,将所述第一分析节点(102)发送的用于传输数据的传输设备的安全情况信息处理成预配置的格式。
5.如权利要求3或4所述的安全监控系统,其特征在于,所述安全监控系统还包括至少一个存储节点(105);
所述第一汇聚节点(104),还用于在接收到所述第一分析节点(102)发送的用于传输数据的传输设备的安全情况信息后,确定所述第一分析节点(102)发送的用于传输数据的传输设备的安全情况不需要呈现给用户时,将所述第一分析节点(102)发送的用于传输数据的传输设备的安全情况信息存储在一个第一存储节点(105)中,所述第一存储节点(105)是所述至少一个存储节点(105)中的任一节点。
6.如权利要求1至5任一项所述的安全监控系统,其特征在于,所述安全监控系统还包括一个管理节点(106),所述管理节点(106)中被配置有用于描述所述安全监控系统中包括的除所述管理节点(106)以外的其它各个节点的节点配置信息;
所述管理节点(106),用于在接收到用户触发的针对一个第一节点的配置请求后,基于所述第一节点的节点配置信息对所述第一节点进行配置,所述第一节点为所述安全监控系统中包括的除所述管理节点(106)以外的其它各个节点中的任一节点。
7.如权利要求6所述的安全监控系统,其特征在于,所述管理节点(106)中被配置有不同用户的身份信息以及每个用户的身份信息对应的权限信息;
所述管理节点(106),还用于在接收到用户触发的注册请求后,根据所述注册请求中携带的所述用户的身份信息,为所述用户分配所述用户的身份信息对应的权限信息中描述的权限。
8.如权利要求6或7所述的安全监控系统,其特征在于,所述管理节点(106),在基于所述第一节点的节点配置信息对所述第一节点进行配置时,具体用于:
通过第一协议对所述第一节点进行配置;
所述第一节点,还用于在与所述安全监控系统中包括的除所述管理节点(106)以外的其它节点进行数据通信时,通过第二协议与所述安全监控系统中包括的除所述管理节点(106)以外的其它节点进行数据通信;
其中,所述第一协议与所述第二协议为不同的协议。
9.一个工业网络的安全监控方法,所述方法用于一个安全监控系统对所述工业网络进行安全监控,其中,所述安全监控系统包括至少一个采集节点(101)、至少一个分析节点(102)和至少一个门户节点(103),其特征在于,所述方法包括:
一个第一采集节点(101)从所述工业网络中的至少一个安全设备获取由所述至少一个安全设备生成的安全日志,所述安全日志用于表征所述工业网络中的传输数据的安全情况,其中,所述第一采集节点(101)为所述至少一个采集节点(101)中的任一节点;
一个第一分析节点(102)基于预配置的分析规则针对获取到的安全日志进行统计分析,确定所述工业网络中用于传输数据的传输设备的安全情况,其中,所述第一分析节点(102)为所述至少一个分析节点(102)中的任一节点;
一个第一门户节点(103)将确定的所述工业网络中用于传输数据的传输设备的安全情况呈现给用户,其中,所述第一门户节点(103)为所述至少一个门户节点(103)中的任一节点。
10.如权利要求9所述的安全监控方法,其特征在于,所述至少一个采集节点(101)的数量大于1,以及所述至少一个分析节点(102)的数量大于1,所述安全监控系统还包括至少一个汇聚节点(104),所述方法还包括:
一个第一汇聚节点(104)基于预配置的交换路由策略,在所述至少一个分析节点(102)中确定用于针对所述第一采集节点(101)采集到的所述安全日志进行分析的所述第一分析节点(102),并将所述第一采集节点(101)采集到的所述安全日志发送给所述第一分析节点(102),所述交换路由策略包括所述至少一个采集节点(101)中的每一个与对应分析节点(102)之间的关联关系,所述第一汇聚节点(104)为所述至少一个汇聚节点(104)中的任一节点。
11.如权利要求10所述的安全监控方法,其特征在于,所述至少一个门户节点(103)的数量大于1,所述交换路由策略中还包括所述至少一个分析节点(102)中每一个与对应门户节点(103)之间的关联关系,所述方法还包括:
所述第一分析节点(102)在确定所述工业网络中用于传输数据的传输设备的安全情况后,将用于传输数据的传输设备的安全情况信息发送给所述第一汇聚节点(104);
所述第一汇聚节点(104)在接收到所述第一分析节点(102)发送的所述工业网络中用于传输数据的传输设备的安全情况信息后,基于所述交换路由策略从所述至少一个门户节点(103)中,确定用于呈现所述第一分析节点(102)发送的用于传输数据的传输设备的安全情况的所述第一门户节点(103),并将所述接收到的所述第一分析节点(102)发送的用于传输数据的传输设备的安全情况信息发送给所述第一门户节点(103)。
12.如权利要求11所述的安全监控方法,其特征在于,所述方法还包括:
所述第一汇聚节点(104)在接收到所述第一分析节点(102)发送的用于传输数据的传输设备的安全情况信息后,以及将所述第一分析节点(102)发送的用于传输数据的传输设备的安全情况信息发送给所述第一门户节点(103)之前,将所述第一分析节点(102)发送的用于传输数据的传输设备的安全情况信息处理成预配置的格式。
13.如权利要求11或12所述的安全监控方法,其特征在于,所述安全监控系统还包括至少一个存储节点(105),所述方法还包括:
所述第一汇聚节点(104)在接收到所述第一分析节点(102)发送的用于传输数据的传输设备的安全情况信息后,确定所述第一分析节点(102)发送的用于传输数据的传输设备的安全情况不需要呈现给用户时,将所述第一分析节点(102)发送的用于传输数据的传输设备的安全情况信息存储在一个第一存储节点(105)中,所述第一存储节点(105)是所述至少一个存储节点(105)中的任一节点。
14.如权利要求9至13任一项所述的安全监控方法,其特征在于,所述安全监控系统还包括一个管理节点(106),所述管理节点(106)中被配置有用于描述所述安全监控系统中包括的除所述管理节点(106)以外的其它各个节点的节点配置信息,所述方法还包括:
所述管理节点(106)在接收到用户触发的针对一个第一节点的配置请求后,基于所述第一节点的节点配置信息对所述第一节点进行配置,所述第一节点为所述安全监控系统中包括的除所述管理节点(106)以外的其它各个节点中的任一节点。
15.如权利要求14所述的安全监控方法,其特征在于,所述管理节点(106)中被配置有不同用户的身份信息以及每个用户的身份信息对应的权限信息,所述方法还包括:
所述管理节点(106)在接收到用户触发的注册请求后,根据所述注册请求中携带的所述用户的身份信息,为所述用户分配所述用户的身份信息对应的权限信息中描述的权限。
16.如权利要求14或15所述的安全监控方法,其特征在于,
所述管理节点(106)基于所述第一节点的节点配置信息对所述第一节点进行配置,包括:通过第一协议对所述第一节点进行配置;
所述方法还包括:所述第一节点在与所述安全监控系统中包括的除所述管理节点(106)以外的其它节点进行数据通信时,通过第二协议与所述安全监控系统中包括的除所述管理节点(106)以外的其它节点进行数据通信;
其中,所述第一协议与所述第二协议为不同的协议。
17.一个工业网络的一个安全监控系统,其特征在于,所述安全监控系统包括至少一个存储器(804)、至少一个处理器(802)和一个接口(801),其中:
所述至少一个存储器(804),用于存储程序代码;
所述接口(801),用于收发数据;
所述至少一个处理器(802),用于调用所述至少一个存储器(804)中存储的程序代码,通过所述接口(801)从至少一个安全设备获取由所述至少一个安全设备生成的安全日志,以基于所述安全日志执行如权利要求10至16任一项所述的方法。
18.一种机器可读介质,其特征在于,所述机器可读介质上存储有计算机指令,所述计算机指令在被工业网络的安全监控系统调用时,使所述工业网络的安全监控系统执行如权利要求10至16任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710385202.6A CN108933707B (zh) | 2017-05-26 | 2017-05-26 | 一种工业网络的安全监控系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710385202.6A CN108933707B (zh) | 2017-05-26 | 2017-05-26 | 一种工业网络的安全监控系统及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108933707A true CN108933707A (zh) | 2018-12-04 |
CN108933707B CN108933707B (zh) | 2021-03-05 |
Family
ID=64450408
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710385202.6A Active CN108933707B (zh) | 2017-05-26 | 2017-05-26 | 一种工业网络的安全监控系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108933707B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111381567A (zh) * | 2018-12-27 | 2020-07-07 | 北京安控科技股份有限公司 | 一种用于工业控制系统的安全检测系统和方法 |
CN112019515A (zh) * | 2020-07-31 | 2020-12-01 | 浙江浙能兰溪发电有限责任公司 | 一种电力工控系统跨区安全监测方法、装置及系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103152352A (zh) * | 2013-03-15 | 2013-06-12 | 北京邮电大学 | 一种基于云计算环境的全信息安全取证监听方法和系统 |
US20140277806A1 (en) * | 2013-03-15 | 2014-09-18 | Rockwell Automation Technologies, Inc. | Extensible energy management architecture |
CN105791027A (zh) * | 2016-04-25 | 2016-07-20 | 北京威努特技术有限公司 | 一种工业网络异常中断的检测方法 |
CN105959144A (zh) * | 2016-06-02 | 2016-09-21 | 中国科学院信息工程研究所 | 面向工业控制网络的安全数据采集与异常检测方法与系统 |
CN106371391A (zh) * | 2016-08-31 | 2017-02-01 | 桂林创研科技有限公司 | 一种scada系统与安防系统集成的控制系统 |
-
2017
- 2017-05-26 CN CN201710385202.6A patent/CN108933707B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103152352A (zh) * | 2013-03-15 | 2013-06-12 | 北京邮电大学 | 一种基于云计算环境的全信息安全取证监听方法和系统 |
US20140277806A1 (en) * | 2013-03-15 | 2014-09-18 | Rockwell Automation Technologies, Inc. | Extensible energy management architecture |
CN105791027A (zh) * | 2016-04-25 | 2016-07-20 | 北京威努特技术有限公司 | 一种工业网络异常中断的检测方法 |
CN105959144A (zh) * | 2016-06-02 | 2016-09-21 | 中国科学院信息工程研究所 | 面向工业控制网络的安全数据采集与异常检测方法与系统 |
CN106371391A (zh) * | 2016-08-31 | 2017-02-01 | 桂林创研科技有限公司 | 一种scada系统与安防系统集成的控制系统 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111381567A (zh) * | 2018-12-27 | 2020-07-07 | 北京安控科技股份有限公司 | 一种用于工业控制系统的安全检测系统和方法 |
CN111381567B (zh) * | 2018-12-27 | 2021-11-05 | 北京安控科技股份有限公司 | 一种用于工业控制系统的安全检测系统和方法 |
CN112019515A (zh) * | 2020-07-31 | 2020-12-01 | 浙江浙能兰溪发电有限责任公司 | 一种电力工控系统跨区安全监测方法、装置及系统 |
CN112019515B (zh) * | 2020-07-31 | 2023-03-21 | 浙江浙能兰溪发电有限责任公司 | 一种电力工控系统跨区安全监测方法、装置及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN108933707B (zh) | 2021-03-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113596184B (zh) | 混合云系统、网闸、网络访问方法及存储介质 | |
CN107347047B (zh) | 攻击防护方法和装置 | |
CN102916856B (zh) | 一种面向应用的网络流量监控方法、装置及系统 | |
KR102136583B1 (ko) | 클라우드 환경 모니터링 시스템 및 방법 | |
CN111625496B (zh) | 分布式文件系统在虚拟机环境下的部署方法、装置及设备 | |
CN111885123A (zh) | 一种跨K8s目标服务访问通道的构建方法及装置 | |
US11057472B2 (en) | Field data processing method, apparatus, and system | |
Jain et al. | SCADA security: a review and enhancement for DNP3 based systems | |
CN109672562A (zh) | 数据处理方法、装置、电子设备及存储介质 | |
CN112615858A (zh) | 物联网设备监控方法、装置与系统 | |
CN112333105A (zh) | 云端机器人的通信方法及装置 | |
CN108933707A (zh) | 一种工业网络的安全监控系统及方法 | |
Li et al. | SDN-based stateful firewall for cloud | |
US8966321B2 (en) | Logical port and layer protocol test configuration resource manager | |
CN208046653U (zh) | 一种电力监控系统网络安全监测主站平台系统 | |
CN111818081B (zh) | 虚拟加密机管理方法、装置、计算机设备和存储介质 | |
TWI538441B (zh) | 用以建構網路結構部署圖之處理系統及其方法與內儲網路結構部署分析程式之電腦程式產品 | |
CN113220481A (zh) | 请求处理及反馈方法、装置、计算机设备及可读存储介质 | |
Yassein et al. | Combining software-defined networking with Internet of Things: Survey on security and performance aspects | |
CN110768870A (zh) | 一种智能专线的质量监控方法和装置 | |
CN109714337A (zh) | 一种数据加密传输方法及设备 | |
CN106161339A (zh) | 获取ip访问关系的方法及装置 | |
Rao et al. | Design of architecture for efficient integration of Internet of Things and cloud computing | |
KR20130069009A (ko) | Snmp 및 ipfix를 이용한 ccn 정보 생성 방법 및 그를 이용한 ccn 모니터링 방법 | |
CN112929357A (zh) | 一种虚拟机数据的分析方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |