基於核電站的網絡入侵報警方法和系統的製作方法
2023-09-21 01:45:20
基於核電站的網絡入侵報警方法和系統的製作方法
【專利摘要】本發明公開了一種基於核電站的網絡入侵報警方法,其包括:對訪問對象發送的數據信息進行檢測,檢測包括誤用檢測和協議異常數據檢測;若檢測數據信息的結果為異常,生成即時預警信息;將即時預警信息與資料庫中的歷史預警信息進行匹配;若即時預警信息與歷史預警信息的匹配結果不符合預先設置的匹配值,發出入侵報警信息。本發明基於核電站的網絡入侵報警方法,可有效地滿足了核電站工業網對網絡安全防護的要求。此外,本發明還公開了一種基於核電站的網絡入侵報警系統。
【專利說明】基於核電站的網絡入侵報警方法和系統
【技術領域】
[0001]本發明屬於核電站安防領域,更具體地說,本發明涉及一種基於核電站的網絡入侵報警方法和系統。
【背景技術】
[0002]入侵檢測系統(Intrusion Detection System, IDS)是指對計算機和網絡資源的惡意使用行為進行識別和相應處理的系統。隨著網絡的規模越來越龐大,網絡上的資源也越來越豐富,從網絡而來的威脅也越來越多、攻擊越來越隱秘。核電運行的數據關係到國家安全和社會穩定,因此,構造網絡安全體系以保障數據中心的安全勢在必行。工業控制系統包括核電站控制系統由於不與網際網路網絡相連,它是一個獨立的網絡。正常情況下是不會有病毒存在的,外面的黑客也無法攻擊。加之通常的黑客及網絡病毒攻擊都是針對計算機設備,一般沒有針對工業控制系統網絡中的控制設備的病毒。
[0003]在核電控制系統中,隨著信息技術的發展,由於核電系統集成和使用的便利性,大量使用了工業以太環網和(OLE for Process Control,0PC)通信協議進行核電控制系統的集成。同時,也大量使用了 PC伺服器和終端產品,核電作業系統和資料庫也大量的使用了通用的系統,雖然核電工業網不與internet網相連,核電站也制定了很多規範。但是,現實中往往有人不遵守規定,例如使用U盤在網際網路與核電工業網交互使用,使用未經檢測的光碟等行為,很容易導致來自企業管理網或網際網路的病毒、木馬、黑客的攻擊,並由此可能導致對實際物理系統故障。核電運行的數據關係到國家安全和社會穩定,因此,構造網絡安全體系以保障數據中心的安全勢在必行。
[0004]現有的網絡安全體系通常由防火牆、殺毒軟體以及入侵檢測系統(IntrusionDetection System, IDS)或者入侵防禦系統(Intrusion Prevention System, IPS)組成。但是,核電控制系統中沒有部署商業入侵檢測系統進行網絡防禦,或者部署的商業入侵檢測系統也是誤用檢測為基礎的入侵檢測系統。由於核電工業網不與網際網路相連,所以在核電工業網中無法及時更新入侵檢測的病毒庫,對於新病毒或者針對特定工業控制系統設計的病毒利用商業入侵檢測系統是無法檢測出來的。
[0005]如何針對來自網絡的病毒入侵進行檢測和預警,是核電安全亟待解決的問題。
【發明內容】
[0006]本發明的目的在於:核電控制系統針對可能來自網絡的病毒入侵,提供一種基於核電站的網絡入侵報警方法和系統,通過結合使用異常檢測技術和誤用檢測技術,提高核電站控制系統對網絡入侵的檢測能力和完善入侵報警機制,有效地滿足了核電站工業網對網絡安全防護的要求。
[0007]為了實現上述發明目的,本發明提供了一種基於核電站的網絡入侵報警方法,其包括:
[0008]對訪問對象發送的數據信息進行檢測,所述檢測包括誤用檢測和協議異常數據檢測;
[0009]若檢測所述數據信息的結果為異常,生成即時預警信息;
[0010]將所述即時預警信息與資料庫中的歷史預警信息進行匹配;
[0011]若所述即時預警信息與所述歷史預警信息的匹配結果不符合預先設置的匹配值,發出入侵報警信息。
[0012]作為本發明基於核電站的網絡入侵報警方法的一種改進,所述方法還包括:
[0013]接收訪問對象發送的數據信息。
[0014]作為本發明基於核電站的網絡入侵報警方法的一種改進,所述歷史預警信息包括預警次數的欄位,若所述即時預警信息與所述歷史預警信息的匹配結果符合預先設置的匹配值,所述預警次數增加一次。
[0015]作為本發明基於核電站的網絡入侵報警方法的一種改進,所述方法還包括:
[0016]對所述即時預警信息與所述歷史預警信息進行關聯分析,根據預先設置的關聯規則判斷所述訪問對象的訪問目的。
[0017]作為本發明基於核電站的網絡入侵報警方法的一種改進,所述方法還包括:
[0018]若根據預先設置的關聯規則無法判斷所述訪問對象的訪問目的,根據所述即時預警信息建立新關聯規則,並即時更新關聯規則。
[0019]作為本發明基於核電站的網絡入侵報警方法的一種改進,所述方法還包括:
[0020]將所述即時預警信息保存至資料庫,並更新所述資料庫。
[0021]作為本發明基於核電站的網絡入侵報警方法的一種改進,所述方法還包括:
[0022]根據所述入侵報警信息執行阻斷訪問對象所屬IP位址或埠訪問。
[0023]為了實現上述發明目的,本發明還提供了一種基於核電站的網絡入侵報警系統,其包括:
[0024]檢測模塊,用於對訪問對象發送的數據信息進行檢測,所述檢測包括誤用檢測和協議異常數據檢測;
[0025]預警模塊,用於若所述檢測模塊檢測所述數據信息的結果為異常,生成即時預警信息;
[0026]匹配模塊,用於將所述預警模塊生成所述即時預警信息與資料庫中的歷史預警信息進行匹配;
[0027]報警模塊,用於若所述即時預警信息與所述歷史預警信息的匹配結果不符合預先設置的匹配值,發出入侵報警信息。
[0028]作為本發明基於核電站的網絡入侵報警系統的一種改進,所述系統還包括:
[0029]接收模塊,用於接收訪問對象發送的數據信息。
[0030]作為本發明基於核電站的網絡入侵報警系統的一種改進,所述系統還包括:
[0031]資料庫,用於保存歷史預警信息,所述歷史預警信息包括預警次數的欄位,若所述即時預警信息與所述歷史預警信息的匹配結果符合預先設置的匹配值,所述預警次數增加一次。
[0032]作為本發明基於核電站的網絡入侵報警系統的一種改進,所述系統還包括:
[0033]分析模塊,用於對所述即時預警信息與所述歷史預警信息進行關聯分析,根據預先設置的關聯規則判斷所述訪問對象的訪問目的。[0034]作為本發明基於核電站的網絡入侵報警系統的一種改進,所述系統還包括:
[0035]自適應模塊,用於保存預先設置的關聯規則,若所述分析模塊根據預先設置的關聯規則無法判斷所述訪問對象的訪問目的,根據所述即時預警信息建立新關聯規則,並即時更新關聯規則。
[0036]作為本發明基於核電站的網絡入侵報警系統的一種改進,所述系統還包括:
[0037]更新模塊,用於將所述即時預警信息保存至資料庫,並更新所述資料庫。
[0038]作為本發明基於核電站的網絡入侵報警系統的一種改進,所述系統還包括:
[0039]執行模塊,用於根據所述入侵報警信息執行阻斷訪問對象所屬IP位址或埠訪問。
[0040]與現有技術相比,本發明基於核電站的網絡入侵報警方法和系統具有以下有益技術效果:通過對訪問對象發送的數據信息進行誤用檢測和協議異常數據檢測,在上述檢測的基礎上進行分析匹配,並根據匹配結果進行報警,實現了核電站控制系統的自適應網絡環境的入侵;同時,由於通過結合異常檢測技術和誤用檢測技術,提高了核電站控制系統對網絡入侵的檢測能力和報警機制,有效地滿足了核電站工業網對網絡安全防護的要求,取得很好的技術效果。
【專利附圖】
【附圖說明】
[0041]下面結合附圖和【具體實施方式】,對本發明基於核電站的網絡入侵報警方法和系統進行詳細說明,其中:
[0042]圖1提供了本發明基於核電站的網絡入侵報警方法的一個實施例的流程圖。
[0043]圖2提供了本發明基於核電站的網絡入侵報警系統的一個實施例的示意圖。
[0044]圖3提供了本發明基於核電站的網絡入侵報警系統的又一個實施例的示意圖。
【具體實施方式】
[0045]為了使本發明的發明目的、技術方案及其有益技術效果更加清晰,以下結合附圖和【具體實施方式】,對本發明進行進一步詳細說明。應當理解的是,本說明書中描述的【具體實施方式】僅僅是為了解釋本發明,並非為了限定本發明。
[0046]按其工作原理,網絡入侵檢測技術可分為誤用檢測技術和異常檢測技術兩類,其中,誤用檢測技術基於數據報文特徵匹配為基礎,這種檢測技術準確率高,但其問題是不能發現新的入侵模式而出現漏報情況。異常檢測技術,如協議異常檢測(Protocol AnomalyDetection System, PADS),則以網絡連接特徵、系統調用特徵、網絡流量特徵以及系統時延特徵等數據為基礎,建立正常網絡行為的描述模型,當用戶活動與正常行為有重大偏離時即被認為是入侵,該檢測技術可以發現新型網絡入侵,但是存在誤報率高,需要大量訓練樣本的問題。目前,將誤用檢測技術和異常檢測技術結合應用於核電控制系統領域,還是空白。
[0047]請結合參看圖1,圖1提供了一種基於核電站的網絡入侵報警方法,具體包括:
[0048]步驟101,對訪問對象發送的數據信息進行檢測,檢測包括誤用檢測和協議異常數據檢測。
[0049]核電入侵報警管理系統接收訪問對象發送的數據信息。具體的,訪問的數據信息經過交換機進入控制系統應用伺服器。在計算機伺服器中安裝的核電入侵報警管理系統(Intrusion Detection Alert Management System, IDAMS)ND_IDAMS 通過交換機得到訪問對象的數據信息。
[0050]核電入侵報警管理系統接收訪問對象發送的數據信息。可選的,訪問對象也可以通過伺服器向核電站控制系統發送數據信息。
[0051]核電入侵報警管理系統對訪問對象發送的數據信息進行檢測,包括:檢測包括誤用檢測和協議異常數據檢測。具體的,核電入侵報警管理系統調用誤用檢測模塊對數據信息進行檢測;進一步的,對數據信息進行協議異常數據檢測PADS,PADS可使用馬爾科夫模型檢測網絡數據中的協議。
[0052]可選的,核電入侵報警管理系統可以通過聯網商用入侵檢測系統(IPS或IDS)對數據信息進行檢測。核電入侵報警管理系統可以連接多個商用入侵檢測系統(IPS或IDS)。
[0053]步驟103,若檢測數據信息的結果為異常,生成即時預警信息。
[0054]通過檢測的正常數據則可以正常訪問相關系統,若檢測數據信息的結果為異常,核電入侵報警管理系統生成即時預警信息。
[0055]步驟105,將即時預警信息與資料庫中的歷史預警信息進行匹配。
[0056]具體的,核電入侵報警管理系統將即時預警信息與資料庫中存儲的歷史預警信息進行匹配,分類算法確定在資料庫中存在歷史預警信息與該即時預警信息相同。
[0057]可選的,可以預先設置即時預警信息與歷史預警信息匹配的匹配值。例如,設置匹配值為75%,若即時預警信息與歷史預警信息有75%以上(包括75%),即認定即時預警信息與歷史預警信息匹配,匹配值可以根據需要不斷調整。
[0058]若找到即時預警信息匹配的歷史預警信息,則將其歸為同一類預警,無論有多少即時預警信息,只要與該歷史預警信息匹配,返回預警信息融合的就是該條歷史預警信息,這樣可以大幅減少相似預警的重複性。
[0059]可選的,歷史預警信息包括預警次數的欄位,若即時預警信息與歷史預警信息的匹配結果符合預先設置的匹配值,預警次數增加一次。例如,歷史預警信息至少包括預警內容和預警次數,當即時預警信息與歷史預警信息匹配,預警內容不變,預警次數增加一次。
[0060]進一步的,對即時預警信息與歷史預警信息進行關聯分析,根據預先設置的關聯規則判斷訪問對象的訪問目的。
[0061]步驟107,若即時預警信息與歷史預警信息的匹配結果不符合預先設置的匹配值,發出入侵報警信息。
[0062]例如,設置匹配值為75%,若即時預警信息與歷史預警信息低於75%匹配值,即認定即時預警信息與歷史預警信息不匹配。若即時預警信息與歷史預警信息的匹配結果不符合預先設置的匹配值,核電入侵報警管理系統發出入侵報警信息。
[0063]若根據預先設置的關聯規則無法判斷訪問對象的訪問目的,根據即時預警信息建立新關聯規則,並即時更新關聯規則。
[0064]接收的即時預警信息在資料庫中無法找到類似或相符匹配值的歷史預警信息。由管理員確認,並為其建立新的預警融合分類,關聯規則。查看已經發生的攻擊預警關聯表,管理員可以更新已發生的關聯規則。
[0065]進一步的,將即時預警信息保存至資料庫,並更新所述資料庫。建立新的預警融合分類和關聯規則,並即時更新資料庫。
[0066]進一步的,根據入侵報警信息執行阻斷訪問對象所屬IP位址或埠訪問。與防火牆或IPS聯動,阻斷訪問對象所屬IP位址或埠訪問。
[0067]通過對訪問對象發送的數據信息進行誤用檢測和協議異常數據檢測,在上述檢測的基礎上進行分析匹配,並根據匹配結果進行報警。實現了核電站控制系統的自適應網絡環境的入侵;同時,由於通過結合異常檢測技術和誤用檢測技術,提高了核電站控制系統對網絡入侵的檢測能力和報警機制,有效地滿足了核電站工業網對網絡安全防護的要求,取得很好的技術效果。
[0068]圖2提供了一種基於核電站的網絡入侵報警系統的一個實施例的示意圖,其包括:檢測模塊201,預警模塊203、匹配模塊205以及報警模塊207。
[0069]檢測模塊201,用於對訪問對象發送的數據信息進行檢測,檢測包括誤用檢測和協議異常數據檢測;
[0070]預警模塊203,用於若檢測模塊201檢測數據信息的結果為異常,生成即時預警信息;
[0071]匹配模塊205,用於將預警模塊203生成即時預警信息與資料庫中的歷史預警信息進行匹配;
[0072]報警模塊207,用於若即時預警信息與歷史預警信息的匹配結果不符合預先設置的匹配值,發出入侵報警信息。
[0073]系統的實施方法和流程可以參見前述實施例中介紹的方法實施例,此處不再贅述。
[0074]請結合參看圖3,圖3提供了一種基於核電站的網絡入侵報警系統的一個實施例的示意圖,其包括:接收模塊301、檢測模塊303、預警模塊305、匹配模塊307、報警模塊、更新模塊311、資料庫313、分析模塊315、自適應模塊317以及執行模塊319。
[0075]具體的,接收模塊301,用於接收訪問對象發送的數據信息;
[0076]具體的,訪問的數據信息經過交換機進入控制系統應用伺服器。在計算機伺服器中安裝的核電入侵報警管理系統ND-1DAMS中的接收模塊301通過交換機得到訪問對象的數據信息。
[0077]接收模塊301接收訪問對象發送的數據信息。可選的,訪問對象也可以通過伺服器向核電站控制系統發送數據信息,再有接收模塊301接收。
[0078]檢測模塊303,用於對訪問對象發送的數據信息進行檢測,檢測包括誤用檢測和協議異常數據檢測;
[0079]檢測模塊303對接收模塊301接收的訪問對象發送的數據信息進行檢測,包括:檢測模塊303檢測包括誤用檢測和協議異常數據檢測。具體的,進一步的,檢測模塊303對數據信息進行協議異常數據檢測PADS,PADS可使用馬爾科夫模型檢測網絡數據中的協議。
[0080]可選的,檢測模塊303可以通過聯網商用入侵檢測系統(IPS或IDS)對數據信息進行檢測,檢測模塊303可以連接多個商用入侵檢測系統(IPS或IDS)。
[0081]預警模塊305,用於若檢測模塊檢測數據信息的結果為異常,生成即時預警信息;
[0082]檢測模塊303檢測通過的正常數據則可以正常訪問相關系統,若檢測數據信息的結果為異常,預警模塊305生成即時預警信息。[0083]匹配模塊307,用於將預警模塊35生成即時預警信息與資料庫中的歷史預警信息進行匹配;
[0084]具體的,匹配模塊307將即時預警信息與資料庫中存儲的歷史預警信息進行匹配,通過分類算法確定在資料庫313中存在歷史預警信息與該即時預警信息相同。
[0085]可選的,匹配模塊307可以預先設置即時預警信息與歷史預警信息匹配的匹配值。例如,設置匹配值為75%,若即時預警信息與歷史預警信息有75%以上(包括75%),即認定即時預警信息與歷史預警信息匹配,匹配值可以根據需要不斷調整。
[0086]若找到即時預警信息匹配的歷史預警信息,則將其歸為同一類預警,無論有多少即時預警信息,只要與該歷史預警信息匹配,返回預警信息融合的就是該條歷史預警信息,這樣可以大幅減少相似預警的重複性。
[0087]資料庫313,用於保存歷史預警信息,歷史預警信息包括預警次數的欄位,若即時預警信息與歷史預警信息的匹配結果符合預先設置的匹配值,預警次數增加一次。例如,歷史預警信息至少包括預警內容和預警次數,當即時預警信息與歷史預警信息匹配,預警內容不變,預警次數增加一次。
[0088]若即時預警信息與歷史預警信息不匹配,更新模塊311用於將即時預警信息保存至資料庫313,並更新資料庫313。
[0089]分析模塊315,用於對即時預警信息與歷史預警信息進行關聯分析,根據預先設置的關聯規則判斷訪問對象的訪問目的。
[0090]自適應模塊317,用於保存預先設置的關聯規則,若分析模塊315根據預先設置的關聯規則無法判斷訪問對象的訪問目的,自適應模塊317根據即時預警信息建立新關聯規貝U,並即時更新關聯規則。
[0091]報警模塊309,用於若匹配模塊307判斷即時預警信息與歷史預警信息的匹配結果不符合預先設置的匹配值,發出入侵報警信息。
[0092]執行模塊319,用於根據入侵報警信息執行阻斷訪問對象所屬IP位址或埠訪問。
[0093]結合以上對本發明的詳細描述可以看出,相對於現有技術,本發明至少具有以下有益技術效果:通過對訪問對象發送的數據信息進行誤用檢測和協議異常數據檢測,在上述檢測的基礎上進行分析匹配,並根據匹配結果進行報警,實現了核電站控制系統的自適應網絡環境的入侵;同時,由於通過結合異常檢測技術和誤用檢測技術,提高核電站控制系統對網絡入侵的檢測能力和報警機制,有效地滿足了核電站工業網對網絡安全防護的要求;此外,由於及時發現入侵報警信息後,能通過自適應不斷更新資料庫和入侵類型,並進行策略處理報警,如阻斷IP或埠,使得核電站控制安全得到保障,取得很好的技術效果。
[0094]根據上述原理,本發明還可以對上述實施方式進行適當的變更和修改。因此,本發明並不局限於上面揭示和描述的【具體實施方式】,對本發明的一些修改和變更也應當落入本發明的權利要求的保護範圍內。此外,儘管本說明書中使用了一些特定的術語,但這些術語只是為了方便說明,並不對本發明構成任何限制。
【權利要求】
1.一種基於核電站的網絡入侵報警方法,其特徵在於,所述方法包括: 對訪問對象發送的數據信息進行檢測,所述檢測包括誤用檢測和協議異常數據檢測; 若檢測所述數據信息的結果為異常,生成即時預警信息; 將所述即時預警信息與資料庫中的歷史預警信息進行匹配; 若所述即時預警信息與所述歷史預警信息的匹配結果不符合預先設置的匹配值,發出入侵報警信息。
2.根據權利要求1所述的方法,其特徵在於,所述方法還包括: 接收訪問對象發送的數據信息。
3.根據權利要求2所述的方法,其特徵在於,所述歷史預警信息包括預警次數的欄位,若所述即時預警信息與所述歷史預警信息的匹配結果符合預先設置的匹配值,所述預警次數增加一次。
4.根據權利要求2所述的方法,其特徵在於,所述方法還包括: 對所述即時預警信息與所述歷史預警信息進行關聯分析,根據預先設置的關聯規則判斷所述訪問對象的 訪問目的。
5.根據權利要求4所述的方法,其特徵在於,所述方法還包括: 若根據預先設置的關聯規則無法判斷所述訪問對象的訪問目的,根據所述即時預警信息建立新關聯規則,並即時更新關聯規則。
6.根據權利要求5所述的方法,其特徵在於,所述方法還包括: 將所述即時預警信息保存至資料庫,並更新所述資料庫。
7.根據權利要求6所述的方法,其特徵在於,所述方法還包括: 根據所述入侵報警信息執行阻斷訪問對象所屬IP位址或埠訪問。
8.一種基於核電站的網絡入侵報警系統,其特徵在於,所述系統包括: 檢測模塊,用於對訪問對象發送的數據信息進行檢測,所述檢測包括誤用檢測和協議異常數據檢測; 預警模塊,用於若所述檢測模塊檢測所述數據信息的結果為異常,生成即時預警信息; 匹配模塊,用於將所述預警模塊生成所述即時預警信息與資料庫中的歷史預警信息進行匹配; 報警模塊,用於若所述即時預警信息與所述歷史預警信息的匹配結果不符合預先設置的匹配值,發出入侵報警信息。
9.根據權利要求8所述的系統,其特徵在於,所述系統還包括: 接收模塊,用於接收訪問對象發送的數據信息。
10.根據權利要求8所述的系統,其特徵在於,所述系統還包括: 資料庫,用於保存歷史預警信息,所述歷史預警信息包括預警次數的欄位,若所述即時預警信息與所述歷史預警信息的匹配結果符合預先設置的匹配值,所述預警次數增加一次。
11.根據權利要求10所述的系統,其特徵在於,所述系統還包括: 分析模塊,用於對所述即時預警信息與所述歷史預警信息進行關聯分析,根據預先設置的關聯規則判斷所述訪問對象的訪問目的。
12.根據權利要求11所述的系統,其特徵在於,所述系統還包括: 自適應模塊,用於保存預先設置的關聯規則,若所述分析模塊根據預先設置的關聯規則無法判斷所述訪問對象的訪問目的,根據所述即時預警信息建立新關聯規則,並即時更新關聯規則。
13.根據權利要求12所述的系統,其特徵在於,所述系統還包括: 更新模塊,用於將所述即時預警信息保存至資料庫,並更新所述資料庫。
14.根據權利要求13所述的系統,其特徵在於,所述系統還包括: 執行模塊,用於根據所述入 侵報警信息執行阻斷訪問對象所屬IP位址或埠訪問。
【文檔編號】H04L12/24GK103888282SQ201310361837
【公開日】2014年6月25日 申請日期:2013年8月19日 優先權日:2013年8月19日
【發明者】孫永濱, 劉高俊, 王婷, 孫奇, 張建波, 何大宇, 陳衛華, 黃偉軍, 彭華清, 王春冰, 段奇志, 楊華龍 申請人:中廣核工程有限公司, 中國廣核集團有限公司