一种基于连续检测的工控网络安全检测系统的制作方法

本发明涉及工控网络安全，尤其涉及一种基于连续检测的工控网络安全检测系统。

背景技术：

1、工控网络是实现工业控制系统内工业设备间互连互通的网络，它能够将大量的工业设备接入互联网，从而进行生产状态的实时呈现和相关任务的下发，进而使得工业设备、工业生产线、员工、工厂、仓库、供应商、产品和客户紧密连接，共享工业生产全流程的各种要素资源。

2、为保证工控网络的安全性，通常会对工控网络流量数据进行监测。如中国专利cn202110609799.4中公开了一种电力工控网络检测系统及其检测方法，包括收集单元、中央处理模块、处理单元、组合模块、验证单元、评估模块、风险处理单元、查询单元、加密模块、参数更新模块和电力工控网络设备，收集单元的输出端与中央处理模块的输入端电性连接，中央处理模块的输出端与处理单元的输入端电性连接，本发明的有益效果是：通过加入了收集单元，实现了对各个数据的收集处理，通过加入了处理单元，实现了i p记录模块对数据的i p信息进行记录，通过加入了验证单元，实现了对组合模块提供数据的参数进行验证处理，通过加入了参数更新模块，实现了对验证单元内的参数进行更新处理，通过加入了加密模块，实现了参数的安全性。

3、当工控网络中节点数量较多，系统中在进行安全检测时数据的处理量大，容易影响系统运行的可靠性和检测结果的准确性。

技术实现思路

1、本发明的目的在于：提供一种基于连续检测的工控网络安全检测系统，避免系统的数据写入压力过大，保证系统顺利、流畅运行，有效保证异常检测速度和可靠性。

2、为了实现上述目的，本发明采用了如下技术方案：一种基于连续检测的工控网络安全检测系统，包括：

3、数据收集模块，其用于获取当前时刻工控网络中各节点的网络数据，单个节点的网络数据采集形成一个工控数据包；

4、数据包解析与处理模块，其用于解析工控数据包使用的通信协议并剥离通信协议，得到统一数据格式的目标数据；

5、数据审查模块，其用于提取目标数据中地址信息，判断地址信息是否存在互联网地址，对于存在互联网地址的目标数据，根据存储模块中的互联网地址黑名单以及互联网访问许可清单，判断访问互联网行为是否存在风险；

6、风险数据告警模块，其用于将存在风险的目标数据删除，并生成与工控网络节点相关联的风险数据记录，生成告警信息。

7、作为上述技术方案的进一步描述：

8、数据包解析与处理模块包括数据预筛选子模块、数据暂存子模块和协议清洗子模块，数据预筛选子模块将各节点的工控数据包按照数据采集顺序依次输入缓存器中，当缓存器容量达到最大值时，丢弃多余工控数据包并记录工控数据包的丢弃比例d1，数据暂存子模块用于接收和存储缓存器内的所有工控数据包，并清空缓存器内所有工控数据包，协议清洗子模块用于解析数据暂存子模块中工控数据包使用的通信协议并剥离通信协议，得到统一数据格式的目标数据。

9、作为上述技术方案的进一步描述：

10、数据审查模块包括地址初审子模块和风险审查子模块，地址初审子模块用于提取目标数据中地址信息，判断地址信息是否存在互联网地址，风险审查子模块用于对存在互联网地址的目标数据，根据存储模块中的互联网地址黑名单以及互联网访问许可清单，判断访问互联网行为是否存在风险。

11、作为上述技术方案的进一步描述：

12、数据审查模块还包括地址管控子模块，地址管控子模块用于对目标数据中出现的互联网地址出现次数和频率进行统计，判断互联网地址的风险。

13、综上所述，由于采用了上述技术方案，本发明的有益效果是：

14、1、本发明中，系统中数据包解析与处理模块中数据预筛选子模块与缓存器的设置，可以有效避免采集的各节点网络数据量过大，导致系统不能及时准确的对数据进行检测，避免系统的数据写入压力过大，保证系统顺利、流畅运行，有效保证异常检测速度和可靠性。

15、2、本发明中，对于工控网络数据一次安全检测中存在的节点数据丢弃情况，系统连续进行检测，如第一次时丢弃了采集顺序后30％的节点数据包，第二次检测时保证节点的数据采集顺序不变，而数据预筛选子模块丢弃采集顺序前30％的节点数据包后，再将各节点的工控数据包按照数据采集顺序依次输入缓存器中，再进行数据解析和清洗，充分保证对工控网络各节点的有效检测。

技术特征：

1.一种基于连续检测的工控网络安全检测系统，其特征在于，包括：

2.根据权利要求1所述的一种基于连续检测的工控网络安全检测系统，其特征在于，所述数据包解析与处理模块包括数据预筛选子模块、数据暂存子模块和协议清洗子模块，所述数据预筛选子模块将各节点的工控数据包按照数据采集顺序依次输入缓存器中，当缓存器容量达到最大值时，丢弃多余工控数据包并记录工控数据包的丢弃比例d1，所述数据暂存子模块用于接收和存储缓存器内的所有工控数据包，并清空缓存器内所有工控数据包，所述协议清洗子模块用于解析数据暂存子模块中工控数据包使用的通信协议并剥离通信协议，得到统一数据格式的目标数据。

3.根据权利要求1所述的一种基于连续检测的工控网络安全检测系统，其特征在于，所述数据审查模块包括地址初审子模块和风险审查子模块，所述地址初审子模块用于提取目标数据中地址信息，判断地址信息是否存在互联网地址，所述风险审查子模块用于对存在互联网地址的目标数据，根据存储模块中的互联网地址黑名单以及互联网访问许可清单，判断访问互联网行为是否存在风险。

4.根据权利要求3所述的一种基于连续检测的工控网络安全检测系统，其特征在于，所述数据审查模块还包括地址管控子模块，所述地址管控子模块用于对目标数据中出现的互联网地址出现次数和频率进行统计，判断互联网地址的风险。

5.根据权利要求3所述的一种基于连续检测的工控网络安全检测系统，其特征在于，地址信息包括源地址信息和目标地址信息。

6.根据权利要求3所述的一种基于连续检测的工控网络安全检测系统，其特征在于，所述互联网访问许可清单包括许可访问的互联网地址以及许可访问该互联网地址的时间、许可访问该互联网地址的内网地址。

7.根据权利要求1所述的一种基于连续检测的工控网络安全检测系统，其特征在于，所述风险数据告警模块还包括可视化子模块，所述可视化子模块利用图表展示采集的网络数据与监测结果的关系。

技术总结
本发明公开了一种基于连续检测的工控网络安全检测系统，包括：数据收集模块，其用于获取当前时刻工控网络中各节点的网络数据；数据包解析与处理模块，其用于解析工控数据包使用的通信协议并剥离通信协议，得到统一数据格式的目标数据；数据审查模块，其用于提取目标数据中地址信息，判断地址信息是否存在互联网地址，对于存在互联网地址的目标数据，根据存储模块中的互联网地址黑名单以及互联网访问许可清单，判断访问互联网行为是否存在风险；风险数据告警模块。本发明相较于现有技术，避免系统的数据写入压力过大，保证系统顺利、流畅运行，有效保证异常检测速度和可靠性。

技术研发人员：王兴明,刘亚峰,王秀祥,陶伟豪,李帅,王诗淇
受保护的技术使用者：苏州朗捷通智能科技有限公司
技术研发日：
技术公布日：2024/3/31