CN116257021A - 一种工控系统智能网络安全态势监测预警平台 - Google Patents
一种工控系统智能网络安全态势监测预警平台 Download PDFInfo
- Publication number
- CN116257021A CN116257021A CN202211461319.5A CN202211461319A CN116257021A CN 116257021 A CN116257021 A CN 116257021A CN 202211461319 A CN202211461319 A CN 202211461319A CN 116257021 A CN116257021 A CN 116257021A
- Authority
- CN
- China
- Prior art keywords
- data
- industrial control
- log
- monitoring
- analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS], computer integrated manufacturing [CIM]
- G05B19/4184—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS], computer integrated manufacturing [CIM] characterised by fault tolerance, reliability of production system
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/30—Nc systems
- G05B2219/31—From computer integrated manufacturing till monitoring
- G05B2219/31088—Network communication between supervisor and cell, machine group
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Abstract
本发明公开一种工控系统智能网络安全态势监测预警平台,包括:设备层、数据采集层、数据存储层、应用服务层以及展示层;其中:设备层包括:工控主机模块、网络设备模块、安全设备模块以及第三方系统;数据采集层包括Agent、流量探针以及日志采集器;数据存储层包括Redis缓存、MySQL数据库、ELK实时数据分析系统以及Hadoop大数据处理生态模块;采用分布式存储;应用服务层包括资产管理模块、漏洞管理模块、威胁分析模块、工作台、知识库、数据源管理模块、告警管理模块、报表管理模块、设备管理模块以及系统管理模块;展示层包括运维监控、资产统计、风险展示以及工业网络拓扑,用于抽象数据图形化并为最终的安全运营提供可视化展示。
Description
技术领域
本发明属于工控系统预警技术领域,尤其涉及一种工控系统智能网络安全态势监测预警平台。
背景技术
随着电力自动化生产技术的迅猛发展,工控系统产品越来越多地采用通用协议/规约,通用硬件/软件和网络设备,工控系统在物理环境上地封闭性以及软件/硬件地专用性逐渐被打破,工控系统的智能化提高了生产效率和管理效率,同时也为恶意攻击者制造了可乘之机。工控系统作为电力行业生产的最重要的控制系统,在高度对抗的安全环境下受到了前所未有的威胁,成为了众多对象打击和渗透的目标。面对攻击技术与手段日益先进、复杂、成熟得针对电力工控系统进行攻击的行为,电力工控系统所面临的安全威胁也日益严峻。
因此,针对电网工控系统的威胁进行有效监测,及时发现可能存在的安全问题,成为迫切需要解决的问题。
发明内容
本发明的目的是提供一种工控系统智能网络安全态势监测预警平台是电力工控系统网络安全监测预警解决方案,集网络安全事件实时监控、异构离散告警深度融合、安全威胁审计溯源、网络拓扑自动分析于一体的实时监测分析应用技术,满足网络空间可管理、可控制、可追溯的实时监控运行需求,以解决现有技术的问题。
本发明一方面提供了一种工控系统智能网络安全态势监测预警平台,包括:设备层、数据采集层、数据存储层、应用服务层以及展示层;其中:
所述设备层包括:工控主机模块、网络设备模块、安全设备模块以及第三方系统;所述设备层用于对资产进行监测预警,资产是开展业务的基础,也是安全防护的核心;
所述数据采集层包括Agent、流量探针以及日志采集器;所述数据采集层用于确定系统网络中的各个安全控制节点,日志、数据、流量的信息,并进行统一收集和上传;用于原始报文的采集、协议解析、初步攻击检测及信息汇聚与统计;其中协议解析包括TCP/I P协议栈的解析及工业控制协议的深度解析;
所述数据存储层包括Red i s缓存、MySQL数据库、ELK实时数据分析系统以及Hadoop大数据处理生态模块;所述数据存储层采用分布式存储;
所述应用服务层包括资产管理模块、漏洞管理模块、威胁分析模块、工作台、知识库、数据源管理模块、告警管理模块、报表管理模块、设备管理模块以及系统管理模块;用于利用A I进行关联分析、安全建模、分析和预警;综合来自数据采集层的日志报文解析结果,汇总统计信息,进行工控网络通信行为建模、TCP/I P异常检测、工控指令异常检测、工控关键事件检测、网络风暴检测、网络会话异常检测、基于阈值的检测各类安全检测,并支持基于用户自定义规则的检测;
所述展示层包括运维监控、资产统计、风险展示以及工业网络拓扑,用于抽象数据图形化并为最终的安全运营提供可视化展示。
优选的,所述设备层的所述工控主机模块包括:DCS操作员站、DCS工程师站、DCS历史站、DCS OPC、DCS服务器、S I S接口机、S I S数据库服务器、DEH服务器、DEH接口机、辅助操作员站、辅控操作员站、辅控服务器、辅网接口机、辅机6KV服务器以及电费计量服务器。
优选的,所述设备层的所述网络设备模块包括S I S核心交换机、DCS交换机、辅控交换机、电费计量交换机、涉网侧实时交换机以及涉网侧非实时交换机。
优选的,所述设备层的所述安全设备模块包括隔离网闸、工业日志审计以及工业网络审计。
优选的,所述设备层的所述第三方系统为智能视频监控。
优选的,数据采集层的所述Agent部署在工控主机上,收集主机信息,并转发给日志采集器;流量探针用于采集流量数据,连接交换机镜像端口,将数据初步解析后转发平台;所述日志采集器用于采集Agent、网络设备、安全设备转发的日志信息,初步处理后转发给平台;所述监测预警平台采集到平台的数据分为流量数据和日志数据两大类,通过Agent和流量日志采集器分别进行采集;其中Agent(数据代理)部署在工控主机上,收集主机信息;流量日志采集器采集流量数据和Agent、网络设备、安全设备转发的日志信息,初步处理后转发给平台。
优选的,所述应用服务层的资产管理模块包括资产发现、资产重组、资产检索以及资产标签;
所述应用服务层的漏洞管理模块包括漏洞评估、分类监控、查询统计以及图表展示;
所述应用服务层的威胁分析模块包括规则配置、关联分析、溯源取证以及建模预测;
所述应用服务层的工作台包括用户登录、预置界面、场景入口以及个性化设置;
所述应用服务层的知识库包括工控漏洞库、工控协议库、审计规则库以及威胁情报库;
所述应用服务层的数据源管理模块包括日志接入、状态展示、Agent管理以及采集器管理;
所述应用服务层的告警管理模块包括告警展示、告警查询、告警处置以及应急预案;
所述应用服务层的报表管理模块包括模板管理、任务列表、任务管理以及安全月报;
所述应用服务层的设备管理模块包括设备列表、统计分析、设备详情以及配置备份;
所述应用服务层的系统管理模块包括权限管理、角色划分、系统配置以及日志备份。
优选的,所述数据存储层用于数据的存储及处理,平台数据库和数据处理工具采用MySQL数据库存储结构化数据,Red i s缓存作为MySQL数据库的高速缓存,Hadoop大数据处理生态用于存储和处理非结构化数据,ELK实时分析系统用于存储和处理半结构化数据;其中,MySQL数据库是关系型数据库,用于存储平台分析结果,Red i s数据库是基于内存的高性能非关系型数据库,作为高速缓存,用于存储“热点”数据,ELK实时分析系统能够用于日志文件分析,ELK包含3个组件:Logstash、E l ast i c Search和Kibana;Logstash进行日志收集和格式化处理,输出至E l ast i c Search,E l ast ic Search进行日志检索和分析,Ki bana提供可视化界面;Hadoop大数据处理生态可用于处理非结构化数据,包含kafka、zookeeper、Spark、H i ve、Hbase、F l ume多个组件,适用于大量数据的离线处理;Spark为计算框架,可嵌入算法,与机器学习配合使用。
优选的,所述监测预警平台的部署架构包括:态势感知平台计划部署在安全Ⅱ区,单独组网,独立部署。
优选的,所述监测预警平台的数据采集对象包括:智能视频监控系统、DCS、S I S、辅控系统的主机、网络设备及边界处的安全设备。
本发明提供的平台,具有如下有益的技术效果:
工控系统智能网络安全态势监测预警平台提供电力工控系统网络安全监测预警解决方案,集网络安全事件实时监控、异构离散告警深度融合、安全威胁审计溯源、网络拓扑自动分析于一体的实时监测分析应用技术,满足网络空间可管理、可控制、可追溯的实时监控运行需求。
附图说明
图1为根据本发明优选实施例示出的平台结构图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
如图1所示,本实施例提供了一种工控系统智能网络安全态势监测预警平台,包括:
将技术结构模型进行抽象,划分为六层,由低到高分别是设备层、数据采集层、数据存储层、应用服务层以及展示层;其中:
所述设备层包括:工控主机模块、网络设备模块、安全设备模块以及第三方系统;所述设备层用于对资产进行监测预警,资产是开展业务的基础,也是安全防护的核心;
所述数据采集层包括Agent、流量探针以及日志采集器;所述数据采集层用于确定系统网络中的各个安全控制节点,日志、数据、流量的信息,并进行统一收集和上传;用于原始报文的采集、协议解析(包括TCP/I P协议栈的解析及工业控制协议的深度解析)、初步攻击检测及信息汇聚与统计;
所述数据存储层包括Red i s缓存、MySQL数据库、ELK实时数据分析系统以及Hadoop大数据处理生态模块;所述数据存储层采用分布式存储,减轻顶层数据存储及处理压力;
所述应用服务层包括资产管理模块、漏洞管理模块、威胁分析模块、工作台、知识库、数据源管理模块、告警管理模块、报表管理模块、设备管理模块以及系统管理模块;用于利用AI进行关联分析、安全建模、分析和预警;综合来自数据采集层的日志报文解析结果,汇总统计信息,进行工控网络通信行为建模、TCP/I P异常检测、工控指令异常检测、工控关键事件检测、网络风暴检测、网络会话异常检测、基于阈值的检测等各类安全检测,并支持基于用户自定义规则的检测;
所述展示层包括运维监控、资产统计、风险展示以及工业网络拓扑,用于抽象数据图形化并为最终的安全运营提供可视化展示。
作为优选的实施方式,所述设备层的所述工控主机模块包括:DCS操作员站、DCS工程师站、DCS历史站、DCS OPC、DCS服务器、SI S接口机、S I S数据库服务器、DEH服务器、DEH接口机、辅助操作员站、辅控操作员站、辅控服务器、辅网接口机、辅机6KV服务器以及电费计量服务器。
作为优选的实施方式,所述设备层的所述网络设备模块包括S I S核心交换机、DCS交换机、辅控交换机、电费计量交换机、涉网侧实时交换机以及涉网侧非实时交换机。
作为优选的实施方式,所述设备层的所述安全设备模块包括隔离网闸、工业日志审计以及工业网络审计。
作为优选的实施方式,所述设备层的所述第三方系统为智能视频监控。
作为优选的实施方式,数据采集层的所述Agent(数据代理)部署在工控主机上,收集主机信息,并转发给日志采集器;流量探针用于采集流量数据,连接交换机镜像端口,将数据初步解析后转发平台;所述日志采集器用于采集Agent、网络设备、安全设备转发的日志信息,初步处理后转发给平台。平台采集数据量较大,且数据来源分散,如不使用采集设备,只通过平台协议收集,采集数据不全面,且可能会影响平台性能,因此原则上应部署一定数量的采集器和agent配合平台进行数据采集。
所述监测预警平台采集到平台的数据分为流量数据和日志数据两大类,通过Agent和流量日志采集器分别进行采集;其中Agent(数据代理)部署在工控主机上,收集主机信息;流量日志采集器采集流量数据和Agent、网络设备、安全设备转发的日志信息,初步处理后转发给平台。
本实施例中:
(1)Agent(数据代理)即采集数据脚本,用于采集Wi ndows、Li nux系统的指标项,获取设备的登录日志、操作日志,可利用CPU、内存等Heartbeat数据获取设备状态(在线或离线),只采集不管控,是轻量型的采集软件。Agent可分布在多个主机上,主动从插件中采集日志等相关信息后统一格式后发送至态势感知平台或日志采集器。
(2)日志采集器作为Agent与平台之间的采集设备,可以减轻平台采集压力。经过采集器的数据归并,平台可以进一步将这些数据进行集中关联分析,分析漏洞和异常行为,构成安全事件描述,进行攻击检测和威胁告警。
日志采集器主要功能如下:
A.对日志数据做范式化处理。比如根据数仓标签进行分类,对数据字段进行归并,统一各厂商字段,对空值非法值进行填充,将原始日志转化为结构化数据。
B.数据字段增强。如将i p字符串增强扩展为i p对应的区域、城市、省份、运营商等信息,或者将指定字段解析为时间等。
C.边缘计算。对日志流、流量、Agent业务数据的划分及分流处理,使冗余数据减少、节约带宽成本。
D.数据转发。内置多种发送端(发送至本地文件、ES、Kafka等),将数据压缩转发给平台。
(3)流量探针主要功能如下:
A.抓取数据包。网络数据包全包捕获,数据包缓冲到磁盘;
B.流量元数据解析。对pcap包中元数据进行包解析、转换、存储。
作为优选的实施方式,所述应用服务层的资产管理模块包括资产发现、资产重组、资产检索以及资产标签;
所述应用服务层的漏洞管理模块包括漏洞评估、分类监控、查询统计以及图表展示;
所述应用服务层的威胁分析模块包括规则配置、关联分析、溯源取证以及建模预测;
所述应用服务层的工作台包括用户登录、预置界面、场景入口以及个性化设置;
所述应用服务层的知识库包括工控漏洞库、工控协议库、审计规则库以及威胁情报库;
所述应用服务层的数据源管理模块包括日志接入、状态展示、Agent管理以及采集器管理;
所述应用服务层的告警管理模块包括告警展示、告警查询、告警处置以及应急预案;
所述应用服务层的报表管理模块包括模板管理、任务列表、任务管理以及安全月报;
所述应用服务层的设备管理模块包括设备列表、统计分析、设备详情以及配置备份;
所述应用服务层的系统管理模块包括权限管理、角色划分、系统配置以及日志备份。
作为优选的实施方式,所述数据存储层用于数据的存储及处理,平台数据库和数据处理工具采用主流配置,即采用MySQL数据库存储结构化数据,Red i s缓存作为MySQL数据库的高速缓存,Hadoop大数据处理生态用于存储和处理非结构化数据,ELK实时分析系统用于存储和处理半结构化数据;其中,MySQL数据库是关系型数据库,用于存储平台分析结果,Red i s数据库是基于内存的高性能非关系型数据库,可以作为高速缓存,用于存储“热点”数据,ELK实时分析系统能够用于日志文件分析,ELK包含3个组件:Logstash、E l ast ic Search和Ki bana;Logstash进行日志收集和格式化处理,输出至E l ast i c Search,El ast i c Search进行日志检索和分析,Ki bana提供可视化界面;Hadoop大数据处理生态可用于处理非结构化数据,包含kafka、zookeeper、Spark、H i ve、Hbase、F l ume多个组件,适用于大量数据的离线处理;Spark为计算框架,可嵌入算法,与机器学习配合使用。
作为优选的实施方式,所述监测预警平台的部署架构包括:态势感知平台计划部署在安全Ⅱ区,单独组网,独立部署。部署在I I区的原因是:平台数据源集中在安全Ⅰ、Ⅱ区,且这两个区域部署的安全设备较少,安全性较低,而管理信息大区已部署较多的安全设备,防护相对完备,不必进行数据的重复收集和分析。
作为优选的实施方式,所述监测预警平台的数据采集对象包括:智能视频监控系统、DCS、S I S、辅控系统的主机、网络设备及边界处的安全设备。
本实施例中,平台的技术包括:
一、电力工控系统智能网络安全态势监测预警解决方案关键应用技术
首先提出并研制电力工控系统安全保护策略、软件版本的自动核查及预警技术,解决传统的安全核查方法不支持电力工控软件和专用安防设备、软件版本缺乏在线管控手段的问题;其次提出适用于工控终端的异常行为动态感知于威胁处置协同控制方法,研制适用工控终端监控的网络安全监测装置,解决异构工控终端的实时安全监控难题,实现工控终端安全监控的全覆盖;最后提出一种动态扩展的工控通信协议解析和行为异常监测方法,确定适用于工控网络流量监测的工控网络安全监测装置,解决现场个性化、差异化工控通信协议解析难题,实现工控业务行为状态机的实时跟踪预警。
二、电力工控系统网络安全监测预警解决的功能分析
网络安全监测平台具备本地管理功能,包括资产管理、安全运行状态展示、支持告警内容进行本地存储,并支持调阅查询,对安全监测装置的运行情况进行监视,包括电源、CPU利用率、内存利用率、硬盘存储空间、通信链路状态、用户登录、异常操作等;支持对告警生成策略的管理,策略可由远方进行修改。网络安全监测装置以服务代理的形式提供服务给网络安全管理平台调用。同时,具备时钟同步功能,安全监测平台的时间和厂站内站控层监控系统严格同步,以保证数据采集、安全分析和告警等处理顺利进行;具备网络流量分析功能,通过捕获交换机镜像口流量进行协议分析,对异常流量和行为进行实时监视与预警;具备防病毒管理功能,提供防病毒客户端引擎,并能通过网络安全管理平台实现病毒库的远程管理,进一步提高厂站端安全防护水平。
三、电力工控协议威胁识别与监测
当前,电力工控系统面临的威胁越来越严重。安全威胁监测主要针对用电采集系统智能终端和配电自动化终端的安全问题进行威胁的监测与分析,系统的分析其所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,并且安全威胁监测需要结合实际的攻击手段来验证安全威胁监测与分析能力。平台主要面向工业控制系统的控制设备、网络通信流量、I/O状态、DCS工程师站、DCS操作站、网络设备和安全设备等进行数据采集、解析、分析、安全监测及告警。系统基于模块化分层设计原则包括数据采集层、大数据存储层、大数据分析层、监测业务层和数据展现层等层面。大数据存储主要针对采集的数据进行解析并格式化,以便于进一步的存储与分析。大数据分析层通过数据预分析构建分类数据库,并基于云数据进行存储,利用大数据分析技术对数据进行抽取、预处理和数据整合提供集散控制系统的控制指令、组态程序等的完整分析、系统和网络流量的异常分析、攻击的关联分析及系统状态的时序分析等能力。监测业务层提供针对集散控制系统的安全监测h恶心功能,包括异常流量监测、病毒攻击监测、通信行为监测、总线访问监测、系统负载监测、状态参数监测、控制信号监测、DCS组态监测和DCS数据与控制指令监测等多种安全功能。数据展现层提供统一的可视化的安全态势展现、实时监控、监测告警、溯源分析和统计报表等功能。工业网络现场监测装置用于对工业以太网流量的采集与分析,总线现场监测装置用于对典型现场总线上的流量进行采集与分析,控制信号现场监测装置用于对I/O信号线上的信号进行直接的采集与分析,所有采集到的实时数据会被存储到MongoDB数据库集群,供异常监测中央平台分析。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种工控系统智能网络安全态势监测预警平台,其特征在于,包括:设备层、数据采集层、数据存储层、应用服务层以及展示层;其中:
所述设备层包括:工控主机模块、网络设备模块、安全设备模块以及第三方系统;所述设备层用于对资产进行监测预警,资产是开展业务的基础,也是安全防护的核心;
所述数据采集层包括Agent、流量探针以及日志采集器;所述数据采集层用于确定系统网络中的各个安全控制节点,日志、数据、流量的信息,并进行统一收集和上传;用于原始报文的采集、协议解析、初步攻击检测及信息汇聚与统计;其中协议解析包括TCP/IP协议栈的解析及工业控制协议的深度解析;
所述数据存储层包括Redis缓存、MySQL数据库、ELK实时数据分析系统以及Hadoop大数据处理生态模块;所述数据存储层采用分布式存储;
所述应用服务层包括资产管理模块、漏洞管理模块、威胁分析模块、工作台、知识库、数据源管理模块、告警管理模块、报表管理模块、设备管理模块以及系统管理模块;用于利用AI进行关联分析、安全建模、分析和预警;综合来自数据采集层的日志报文解析结果,汇总统计信息,进行工控网络通信行为建模、TCP/IP异常检测、工控指令异常检测、工控关键事件检测、网络风暴检测、网络会话异常检测、基于阈值的检测各类安全检测,并支持基于用户自定义规则的检测;
所述展示层包括运维监控、资产统计、风险展示以及工业网络拓扑,用于抽象数据图形化并为最终的安全运营提供可视化展示。
2.根据权利要求1所述的一种工控系统智能网络安全态势监测预警平台,其特征在于,所述设备层的所述工控主机模块包括:DCS操作员站、DCS工程师站、DCS历史站、DCS OPC、DCS服务器、SIS接口机、SIS数据库服务器、DEH服务器、DEH接口机、辅助操作员站、辅控操作员站、辅控服务器、辅网接口机、辅机6KV服务器以及电费计量服务器。
3.根据权利要求1所述的一种工控系统智能网络安全态势监测预警平台,其特征在于,所述设备层的所述网络设备模块包括SIS核心交换机、DCS交换机、辅控交换机、电费计量交换机、涉网侧实时交换机以及涉网侧非实时交换机。
4.根据权利要求1所述的一种工控系统智能网络安全态势监测预警平台,其特征在于,所述设备层的所述安全设备模块包括隔离网闸、工业日志审计以及工业网络审计。
5.根据权利要求1所述的一种工控系统智能网络安全态势监测预警平台,其特征在于,所述设备层的所述第三方系统为智能视频监控。
6.根据权利要求1所述的一种工控系统智能网络安全态势监测预警平台,其特征在于,数据采集层的所述Agent部署在工控主机上,收集主机信息,并转发给日志采集器;流量探针用于采集流量数据,连接交换机镜像端口,将数据初步解析后转发平台;所述日志采集器用于采集Agent、网络设备、安全设备转发的日志信息,初步处理后转发给平台;所述监测预警平台采集到平台的数据分为流量数据和日志数据两大类,通过Agent和流量日志采集器分别进行采集;其中Agent(数据代理)部署在工控主机上,收集主机信息;流量日志采集器采集流量数据和Agent、网络设备、安全设备转发的日志信息,初步处理后转发给平台。
7.根据权利要求1所述的一种工控系统智能网络安全态势监测预警平台,其特征在于,所述应用服务层的资产管理模块包括资产发现、资产重组、资产检索以及资产标签;
所述应用服务层的漏洞管理模块包括漏洞评估、分类监控、查询统计以及图表展示;
所述应用服务层的威胁分析模块包括规则配置、关联分析、溯源取证以及建模预测;
所述应用服务层的工作台包括用户登录、预置界面、场景入口以及个性化设置;
所述应用服务层的知识库包括工控漏洞库、工控协议库、审计规则库以及威胁情报库;
所述应用服务层的数据源管理模块包括日志接入、状态展示、Agent管理以及采集器管理;
所述应用服务层的告警管理模块包括告警展示、告警查询、告警处置以及应急预案;
所述应用服务层的报表管理模块包括模板管理、任务列表、任务管理以及安全月报;
所述应用服务层的设备管理模块包括设备列表、统计分析、设备详情以及配置备份;
所述应用服务层的系统管理模块包括权限管理、角色划分、系统配置以及日志备份。
8.根据权利要求1所述的一种工控系统智能网络安全态势监测预警平台,其特征在于,所述数据存储层用于数据的存储及处理,平台数据库和数据处理工具采用MySQL数据库存储结构化数据,Redis缓存作为MySQL数据库的高速缓存,Hadoop大数据处理生态用于存储和处理非结构化数据,ELK实时分析系统用于存储和处理半结构化数据;其中,MySQL数据库是关系型数据库,用于存储平台分析结果,Redis数据库是基于内存的高性能非关系型数据库,作为高速缓存,用于存储“热点”数据,ELK实时分析系统能够用于日志文件分析,ELK包含3个组件:Logstash、Elastic Search和Kibana;Logstash进行日志收集和格式化处理,输出至Elastic Search,Elastic Search进行日志检索和分析,Kibana提供可视化界面;Hadoop大数据处理生态可用于处理非结构化数据,包含kafka、zookeeper、Spark、Hive、Hbase、Flume多个组件,适用于大量数据的离线处理;Spark为计算框架,可嵌入算法,与机器学习配合使用。
9.根据权利要求1所述的一种工控系统智能网络安全态势监测预警平台,其特征在于,所述监测预警平台的部署架构包括:态势感知平台计划部署在安全Ⅱ区,单独组网,独立部署。
10.根据权利要求1所述的一种工控系统智能网络安全态势监测预警平台,其特征在于,所述监测预警平台的数据采集对象包括:智能视频监控系统、DCS、SIS、辅控系统的主机、网络设备及边界处的安全设备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211461319.5A CN116257021A (zh) | 2022-11-21 | 2022-11-21 | 一种工控系统智能网络安全态势监测预警平台 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211461319.5A CN116257021A (zh) | 2022-11-21 | 2022-11-21 | 一种工控系统智能网络安全态势监测预警平台 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116257021A true CN116257021A (zh) | 2023-06-13 |
Family
ID=86686892
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211461319.5A Pending CN116257021A (zh) | 2022-11-21 | 2022-11-21 | 一种工控系统智能网络安全态势监测预警平台 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116257021A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116661361A (zh) * | 2023-07-31 | 2023-08-29 | 青岛海舟科技有限公司 | 一种走航式智能监测平台智能监控系统 |
CN117407900A (zh) * | 2023-10-30 | 2024-01-16 | 上海飞络信息科技有限公司 | 一种实现数据和日志分析及安全运营的系统及应用 |
-
2022
- 2022-11-21 CN CN202211461319.5A patent/CN116257021A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116661361A (zh) * | 2023-07-31 | 2023-08-29 | 青岛海舟科技有限公司 | 一种走航式智能监测平台智能监控系统 |
CN117407900A (zh) * | 2023-10-30 | 2024-01-16 | 上海飞络信息科技有限公司 | 一种实现数据和日志分析及安全运营的系统及应用 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN116257021A (zh) | 一种工控系统智能网络安全态势监测预警平台 | |
CN111176879A (zh) | 设备的故障修复方法及装置 | |
CN108763957A (zh) | 一种数据库的安全审计系统、方法及服务器 | |
CN104852927A (zh) | 基于多源异构的信息安全综合管理系统 | |
CN111404914A (zh) | 一种特定攻击场景下泛在电力物联网终端安全防护方法 | |
CN102546274A (zh) | 一种通信业务中的告警监控方法及设备 | |
CN114567463B (zh) | 一种工业网络信息安全监测与防护系统 | |
CN106612199A (zh) | 一种网络监控数据收集与分析系统及方法 | |
CN111930886A (zh) | 日志处理方法、系统、存储介质及计算机设备 | |
CN109150869A (zh) | 一种交换机信息采集分析系统及方法 | |
CN113671909A (zh) | 一种钢铁工控设备安全监测系统和方法 | |
CN112416872A (zh) | 一种基于大数据的云平台日志管理系统 | |
CN107547228A (zh) | 一种基于大数据的安全运维管理平台的实现架构 | |
Dong et al. | Research on abnormal detection of ModbusTCP/IP protocol based on one-class SVM | |
CN111327468A (zh) | 一种用于电力系统的边缘计算平台的运行方法及其系统 | |
CN115865526A (zh) | 一种基于云边协同的工业互联网安全检测方法及系统 | |
CN114125083A (zh) | 工业网络分布式数据采集方法、装置、电子设备及介质 | |
CN112383573A (zh) | 一种基于多个攻击阶段的安全入侵回放设备 | |
CN115134131B (zh) | 一种基于态势感知的物联网通信传输系统 | |
CN114513342B (zh) | 一种智能变电站通信数据安全监测方法及系统 | |
Meng et al. | Research and application based on network security monitoring platform and device | |
CN113285937B (zh) | 一种基于传统变电站配置文件和iec103协议流量的安全审计方法及系统 | |
CN112437070A (zh) | 一种基于操作生成树状态机完整性验证计算方法及系统 | |
CN103248630A (zh) | 基于数据挖掘的网络安全态势分析方法 | |
Wu et al. | Real-time monitoring of smart grid terminals based on multi-dimensional information fusion |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication |