基于核電站的網(wǎng)絡入侵報警方法和系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種基于核電站的網(wǎng)絡入侵報警方法,其包括:對訪問對象發(fā)送的數(shù)據(jù)信息進行檢測,檢測包括誤用檢測和協(xié)議異常數(shù)據(jù)檢測;若檢測數(shù)據(jù)信息的結(jié)果為異常,生成即時預警信息;將即時預警信息與數(shù)據(jù)庫中的歷史預警信息進行匹配;若即時預警信息與歷史預警信息的匹配結(jié)果不符合預先設置的匹配值,發(fā)出入侵報警信息。本發(fā)明基于核電站的網(wǎng)絡入侵報警方法,可有效地滿足了核電站工業(yè)網(wǎng)對網(wǎng)絡安全防護的要求。此外,本發(fā)明還公開了一種基于核電站的網(wǎng)絡入侵報警系統(tǒng)。
【專利說明】基于核電站的網(wǎng)絡入侵報警方法和系統(tǒng)
【技術領域】
[0001]本發(fā)明屬于核電站安防領域,更具體地說,本發(fā)明涉及一種基于核電站的網(wǎng)絡入侵報警方法和系統(tǒng)。
【背景技術】
[0002]入侵檢測系統(tǒng)(Intrusion Detection System, IDS)是指對計算機和網(wǎng)絡資源的惡意使用行為進行識別和相應處理的系統(tǒng)。隨著網(wǎng)絡的規(guī)模越來越龐大,網(wǎng)絡上的資源也越來越豐富,從網(wǎng)絡而來的威脅也越來越多、攻擊越來越隱秘。核電運行的數(shù)據(jù)關系到國家安全和社會穩(wěn)定,因此,構(gòu)造網(wǎng)絡安全體系以保障數(shù)據(jù)中心的安全勢在必行。工業(yè)控制系統(tǒng)包括核電站控制系統(tǒng)由于不與因特網(wǎng)網(wǎng)絡相連,它是一個獨立的網(wǎng)絡。正常情況下是不會有病毒存在的,外面的黑客也無法攻擊。加之通常的黑客及網(wǎng)絡病毒攻擊都是針對計算機設備,一般沒有針對工業(yè)控制系統(tǒng)網(wǎng)絡中的控制設備的病毒。
[0003]在核電控制系統(tǒng)中,隨著信息技術的發(fā)展,由于核電系統(tǒng)集成和使用的便利性,大量使用了工業(yè)以太環(huán)網(wǎng)和(OLE for Process Control,0PC)通信協(xié)議進行核電控制系統(tǒng)的集成。同時,也大量使用了 PC服務器和終端產(chǎn)品,核電操作系統(tǒng)和數(shù)據(jù)庫也大量的使用了通用的系統(tǒng),雖然核電工業(yè)網(wǎng)不與internet網(wǎng)相連,核電站也制定了很多規(guī)范。但是,現(xiàn)實中往往有人不遵守規(guī)定,例如使用U盤在互聯(lián)網(wǎng)與核電工業(yè)網(wǎng)交互使用,使用未經(jīng)檢測的光盤等行為,很容易導致來自企業(yè)管理網(wǎng)或互聯(lián)網(wǎng)的病毒、木馬、黑客的攻擊,并由此可能導致對實際物理系統(tǒng)故障。核電運行的數(shù)據(jù)關系到國家安全和社會穩(wěn)定,因此,構(gòu)造網(wǎng)絡安全體系以保障數(shù)據(jù)中心的安全勢在必行。
[0004]現(xiàn)有的網(wǎng)絡安全體系通常由防火墻、殺毒軟件以及入侵檢測系統(tǒng)(IntrusionDetection System, IDS)或者入侵防御系統(tǒng)(Intrusion Prevention System, IPS)組成。但是,核電控制系統(tǒng)中沒有部署商業(yè)入侵檢測系統(tǒng)進行網(wǎng)絡防御,或者部署的商業(yè)入侵檢測系統(tǒng)也是誤用檢測為基礎的入侵檢測系統(tǒng)。由于核電工業(yè)網(wǎng)不與互聯(lián)網(wǎng)相連,所以在核電工業(yè)網(wǎng)中無法及時更新入侵檢測的病毒庫,對于新病毒或者針對特定工業(yè)控制系統(tǒng)設計的病毒利用商業(yè)入侵檢測系統(tǒng)是無法檢測出來的。
[0005]如何針對來自網(wǎng)絡的病毒入侵進行檢測和預警,是核電安全亟待解決的問題。
【發(fā)明內(nèi)容】
[0006]本發(fā)明的目的在于:核電控制系統(tǒng)針對可能來自網(wǎng)絡的病毒入侵,提供一種基于核電站的網(wǎng)絡入侵報警方法和系統(tǒng),通過結(jié)合使用異常檢測技術和誤用檢測技術,提高核電站控制系統(tǒng)對網(wǎng)絡入侵的檢測能力和完善入侵報警機制,有效地滿足了核電站工業(yè)網(wǎng)對網(wǎng)絡安全防護的要求。
[0007]為了實現(xiàn)上述發(fā)明目的,本發(fā)明提供了一種基于核電站的網(wǎng)絡入侵報警方法,其包括:
[0008]對訪問對象發(fā)送的數(shù)據(jù)信息進行檢測,所述檢測包括誤用檢測和協(xié)議異常數(shù)據(jù)檢測;
[0009]若檢測所述數(shù)據(jù)信息的結(jié)果為異常,生成即時預警信息;
[0010]將所述即時預警信息與數(shù)據(jù)庫中的歷史預警信息進行匹配;
[0011]若所述即時預警信息與所述歷史預警信息的匹配結(jié)果不符合預先設置的匹配值,發(fā)出入侵報警信息。
[0012]作為本發(fā)明基于核電站的網(wǎng)絡入侵報警方法的一種改進,所述方法還包括:
[0013]接收訪問對象發(fā)送的數(shù)據(jù)信息。
[0014]作為本發(fā)明基于核電站的網(wǎng)絡入侵報警方法的一種改進,所述歷史預警信息包括預警次數(shù)的字段,若所述即時預警信息與所述歷史預警信息的匹配結(jié)果符合預先設置的匹配值,所述預警次數(shù)增加一次。
[0015]作為本發(fā)明基于核電站的網(wǎng)絡入侵報警方法的一種改進,所述方法還包括:
[0016]對所述即時預警信息與所述歷史預警信息進行關聯(lián)分析,根據(jù)預先設置的關聯(lián)規(guī)則判斷所述訪問對象的訪問目的。
[0017]作為本發(fā)明基于核電站的網(wǎng)絡入侵報警方法的一種改進,所述方法還包括:
[0018]若根據(jù)預先設置的關聯(lián)規(guī)則無法判斷所述訪問對象的訪問目的,根據(jù)所述即時預警信息建立新關聯(lián)規(guī)則,并即時更新關聯(lián)規(guī)則。
[0019]作為本發(fā)明基于核電站的網(wǎng)絡入侵報警方法的一種改進,所述方法還包括:
[0020]將所述即時預警信息保存至數(shù)據(jù)庫,并更新所述數(shù)據(jù)庫。
[0021]作為本發(fā)明基于核電站的網(wǎng)絡入侵報警方法的一種改進,所述方法還包括:
[0022]根據(jù)所述入侵報警信息執(zhí)行阻斷訪問對象所屬IP地址或端口訪問。
[0023]為了實現(xiàn)上述發(fā)明目的,本發(fā)明還提供了一種基于核電站的網(wǎng)絡入侵報警系統(tǒng),其包括:
[0024]檢測模塊,用于對訪問對象發(fā)送的數(shù)據(jù)信息進行檢測,所述檢測包括誤用檢測和協(xié)議異常數(shù)據(jù)檢測;
[0025]預警模塊,用于若所述檢測模塊檢測所述數(shù)據(jù)信息的結(jié)果為異常,生成即時預警信息;
[0026]匹配模塊,用于將所述預警模塊生成所述即時預警信息與數(shù)據(jù)庫中的歷史預警信息進行匹配;
[0027]報警模塊,用于若所述即時預警信息與所述歷史預警信息的匹配結(jié)果不符合預先設置的匹配值,發(fā)出入侵報警信息。
[0028]作為本發(fā)明基于核電站的網(wǎng)絡入侵報警系統(tǒng)的一種改進,所述系統(tǒng)還包括:
[0029]接收模塊,用于接收訪問對象發(fā)送的數(shù)據(jù)信息。
[0030]作為本發(fā)明基于核電站的網(wǎng)絡入侵報警系統(tǒng)的一種改進,所述系統(tǒng)還包括:
[0031]數(shù)據(jù)庫,用于保存歷史預警信息,所述歷史預警信息包括預警次數(shù)的字段,若所述即時預警信息與所述歷史預警信息的匹配結(jié)果符合預先設置的匹配值,所述預警次數(shù)增加一次。
[0032]作為本發(fā)明基于核電站的網(wǎng)絡入侵報警系統(tǒng)的一種改進,所述系統(tǒng)還包括:
[0033]分析模塊,用于對所述即時預警信息與所述歷史預警信息進行關聯(lián)分析,根據(jù)預先設置的關聯(lián)規(guī)則判斷所述訪問對象的訪問目的。[0034]作為本發(fā)明基于核電站的網(wǎng)絡入侵報警系統(tǒng)的一種改進,所述系統(tǒng)還包括:
[0035]自適應模塊,用于保存預先設置的關聯(lián)規(guī)則,若所述分析模塊根據(jù)預先設置的關聯(lián)規(guī)則無法判斷所述訪問對象的訪問目的,根據(jù)所述即時預警信息建立新關聯(lián)規(guī)則,并即時更新關聯(lián)規(guī)則。
[0036]作為本發(fā)明基于核電站的網(wǎng)絡入侵報警系統(tǒng)的一種改進,所述系統(tǒng)還包括:
[0037]更新模塊,用于將所述即時預警信息保存至數(shù)據(jù)庫,并更新所述數(shù)據(jù)庫。
[0038]作為本發(fā)明基于核電站的網(wǎng)絡入侵報警系統(tǒng)的一種改進,所述系統(tǒng)還包括:
[0039]執(zhí)行模塊,用于根據(jù)所述入侵報警信息執(zhí)行阻斷訪問對象所屬IP地址或端口訪問。
[0040]與現(xiàn)有技術相比,本發(fā)明基于核電站的網(wǎng)絡入侵報警方法和系統(tǒng)具有以下有益技術效果:通過對訪問對象發(fā)送的數(shù)據(jù)信息進行誤用檢測和協(xié)議異常數(shù)據(jù)檢測,在上述檢測的基礎上進行分析匹配,并根據(jù)匹配結(jié)果進行報警,實現(xiàn)了核電站控制系統(tǒng)的自適應網(wǎng)絡環(huán)境的入侵;同時,由于通過結(jié)合異常檢測技術和誤用檢測技術,提高了核電站控制系統(tǒng)對網(wǎng)絡入侵的檢測能力和報警機制,有效地滿足了核電站工業(yè)網(wǎng)對網(wǎng)絡安全防護的要求,取得很好的技術效果。
【專利附圖】
【附圖說明】
[0041]下面結(jié)合附圖和【具體實施方式】,對本發(fā)明基于核電站的網(wǎng)絡入侵報警方法和系統(tǒng)進行詳細說明,其中:
[0042]圖1提供了本發(fā)明基于核電站的網(wǎng)絡入侵報警方法的一個實施例的流程圖。
[0043]圖2提供了本發(fā)明基于核電站的網(wǎng)絡入侵報警系統(tǒng)的一個實施例的示意圖。
[0044]圖3提供了本發(fā)明基于核電站的網(wǎng)絡入侵報警系統(tǒng)的又一個實施例的示意圖。
【具體實施方式】
[0045]為了使本發(fā)明的發(fā)明目的、技術方案及其有益技術效果更加清晰,以下結(jié)合附圖和【具體實施方式】,對本發(fā)明進行進一步詳細說明。應當理解的是,本說明書中描述的【具體實施方式】僅僅是為了解釋本發(fā)明,并非為了限定本發(fā)明。
[0046]按其工作原理,網(wǎng)絡入侵檢測技術可分為誤用檢測技術和異常檢測技術兩類,其中,誤用檢測技術基于數(shù)據(jù)報文特征匹配為基礎,這種檢測技術準確率高,但其問題是不能發(fā)現(xiàn)新的入侵模式而出現(xiàn)漏報情況。異常檢測技術,如協(xié)議異常檢測(Protocol AnomalyDetection System, PADS),則以網(wǎng)絡連接特征、系統(tǒng)調(diào)用特征、網(wǎng)絡流量特征以及系統(tǒng)時延特征等數(shù)據(jù)為基礎,建立正常網(wǎng)絡行為的描述模型,當用戶活動與正常行為有重大偏離時即被認為是入侵,該檢測技術可以發(fā)現(xiàn)新型網(wǎng)絡入侵,但是存在誤報率高,需要大量訓練樣本的問題。目前,將誤用檢測技術和異常檢測技術結(jié)合應用于核電控制系統(tǒng)領域,還是空白。
[0047]請結(jié)合參看圖1,圖1提供了一種基于核電站的網(wǎng)絡入侵報警方法,具體包括:
[0048]步驟101,對訪問對象發(fā)送的數(shù)據(jù)信息進行檢測,檢測包括誤用檢測和協(xié)議異常數(shù)據(jù)檢測。
[0049]核電入侵報警管理系統(tǒng)接收訪問對象發(fā)送的數(shù)據(jù)信息。具體的,訪問的數(shù)據(jù)信息經(jīng)過交換機進入控制系統(tǒng)應用服務器。在計算機服務器中安裝的核電入侵報警管理系統(tǒng)(Intrusion Detection Alert Management System, IDAMS)ND_IDAMS 通過交換機得到訪問對象的數(shù)據(jù)信息。
[0050]核電入侵報警管理系統(tǒng)接收訪問對象發(fā)送的數(shù)據(jù)信息。可選的,訪問對象也可以通過服務器向核電站控制系統(tǒng)發(fā)送數(shù)據(jù)信息。
[0051]核電入侵報警管理系統(tǒng)對訪問對象發(fā)送的數(shù)據(jù)信息進行檢測,包括:檢測包括誤用檢測和協(xié)議異常數(shù)據(jù)檢測。具體的,核電入侵報警管理系統(tǒng)調(diào)用誤用檢測模塊對數(shù)據(jù)信息進行檢測;進一步的,對數(shù)據(jù)信息進行協(xié)議異常數(shù)據(jù)檢測PADS,PADS可使用馬爾科夫模型檢測網(wǎng)絡數(shù)據(jù)中的協(xié)議。
[0052]可選的,核電入侵報警管理系統(tǒng)可以通過聯(lián)網(wǎng)商用入侵檢測系統(tǒng)(IPS或IDS)對數(shù)據(jù)信息進行檢測。核電入侵報警管理系統(tǒng)可以連接多個商用入侵檢測系統(tǒng)(IPS或IDS)。
[0053]步驟103,若檢測數(shù)據(jù)信息的結(jié)果為異常,生成即時預警信息。
[0054]通過檢測的正常數(shù)據(jù)則可以正常訪問相關系統(tǒng),若檢測數(shù)據(jù)信息的結(jié)果為異常,核電入侵報警管理系統(tǒng)生成即時預警信息。
[0055]步驟105,將即時預警信息與數(shù)據(jù)庫中的歷史預警信息進行匹配。
[0056]具體的,核電入侵報警管理系統(tǒng)將即時預警信息與數(shù)據(jù)庫中存儲的歷史預警信息進行匹配,分類算法確定在數(shù)據(jù)庫中存在歷史預警信息與該即時預警信息相同。
[0057]可選的,可以預先設置即時預警信息與歷史預警信息匹配的匹配值。例如,設置匹配值為75%,若即時預警信息與歷史預警信息有75%以上(包括75%),即認定即時預警信息與歷史預警信息匹配,匹配值可以根據(jù)需要不斷調(diào)整。
[0058]若找到即時預警信息匹配的歷史預警信息,則將其歸為同一類預警,無論有多少即時預警信息,只要與該歷史預警信息匹配,返回預警信息融合的就是該條歷史預警信息,這樣可以大幅減少相似預警的重復性。
[0059]可選的,歷史預警信息包括預警次數(shù)的字段,若即時預警信息與歷史預警信息的匹配結(jié)果符合預先設置的匹配值,預警次數(shù)增加一次。例如,歷史預警信息至少包括預警內(nèi)容和預警次數(shù),當即時預警信息與歷史預警信息匹配,預警內(nèi)容不變,預警次數(shù)增加一次。
[0060]進一步的,對即時預警信息與歷史預警信息進行關聯(lián)分析,根據(jù)預先設置的關聯(lián)規(guī)則判斷訪問對象的訪問目的。
[0061]步驟107,若即時預警信息與歷史預警信息的匹配結(jié)果不符合預先設置的匹配值,發(fā)出入侵報警信息。
[0062]例如,設置匹配值為75%,若即時預警信息與歷史預警信息低于75%匹配值,即認定即時預警信息與歷史預警信息不匹配。若即時預警信息與歷史預警信息的匹配結(jié)果不符合預先設置的匹配值,核電入侵報警管理系統(tǒng)發(fā)出入侵報警信息。
[0063]若根據(jù)預先設置的關聯(lián)規(guī)則無法判斷訪問對象的訪問目的,根據(jù)即時預警信息建立新關聯(lián)規(guī)則,并即時更新關聯(lián)規(guī)則。
[0064]接收的即時預警信息在數(shù)據(jù)庫中無法找到類似或相符匹配值的歷史預警信息。由管理員確認,并為其建立新的預警融合分類,關聯(lián)規(guī)則。查看已經(jīng)發(fā)生的攻擊預警關聯(lián)表,管理員可以更新已發(fā)生的關聯(lián)規(guī)則。
[0065]進一步的,將即時預警信息保存至數(shù)據(jù)庫,并更新所述數(shù)據(jù)庫。建立新的預警融合分類和關聯(lián)規(guī)則,并即時更新數(shù)據(jù)庫。
[0066]進一步的,根據(jù)入侵報警信息執(zhí)行阻斷訪問對象所屬IP地址或端口訪問。與防火墻或IPS聯(lián)動,阻斷訪問對象所屬IP地址或端口訪問。
[0067]通過對訪問對象發(fā)送的數(shù)據(jù)信息進行誤用檢測和協(xié)議異常數(shù)據(jù)檢測,在上述檢測的基礎上進行分析匹配,并根據(jù)匹配結(jié)果進行報警。實現(xiàn)了核電站控制系統(tǒng)的自適應網(wǎng)絡環(huán)境的入侵;同時,由于通過結(jié)合異常檢測技術和誤用檢測技術,提高了核電站控制系統(tǒng)對網(wǎng)絡入侵的檢測能力和報警機制,有效地滿足了核電站工業(yè)網(wǎng)對網(wǎng)絡安全防護的要求,取得很好的技術效果。
[0068]圖2提供了一種基于核電站的網(wǎng)絡入侵報警系統(tǒng)的一個實施例的示意圖,其包括:檢測模塊201,預警模塊203、匹配模塊205以及報警模塊207。
[0069]檢測模塊201,用于對訪問對象發(fā)送的數(shù)據(jù)信息進行檢測,檢測包括誤用檢測和協(xié)議異常數(shù)據(jù)檢測;
[0070]預警模塊203,用于若檢測模塊201檢測數(shù)據(jù)信息的結(jié)果為異常,生成即時預警信息;
[0071]匹配模塊205,用于將預警模塊203生成即時預警信息與數(shù)據(jù)庫中的歷史預警信息進行匹配;
[0072]報警模塊207,用于若即時預警信息與歷史預警信息的匹配結(jié)果不符合預先設置的匹配值,發(fā)出入侵報警信息。
[0073]系統(tǒng)的實施方法和流程可以參見前述實施例中介紹的方法實施例,此處不再贅述。
[0074]請結(jié)合參看圖3,圖3提供了一種基于核電站的網(wǎng)絡入侵報警系統(tǒng)的一個實施例的示意圖,其包括:接收模塊301、檢測模塊303、預警模塊305、匹配模塊307、報警模塊、更新模塊311、數(shù)據(jù)庫313、分析模塊315、自適應模塊317以及執(zhí)行模塊319。
[0075]具體的,接收模塊301,用于接收訪問對象發(fā)送的數(shù)據(jù)信息;
[0076]具體的,訪問的數(shù)據(jù)信息經(jīng)過交換機進入控制系統(tǒng)應用服務器。在計算機服務器中安裝的核電入侵報警管理系統(tǒng)ND-1DAMS中的接收模塊301通過交換機得到訪問對象的數(shù)據(jù)信息。
[0077]接收模塊301接收訪問對象發(fā)送的數(shù)據(jù)信息。可選的,訪問對象也可以通過服務器向核電站控制系統(tǒng)發(fā)送數(shù)據(jù)信息,再有接收模塊301接收。
[0078]檢測模塊303,用于對訪問對象發(fā)送的數(shù)據(jù)信息進行檢測,檢測包括誤用檢測和協(xié)議異常數(shù)據(jù)檢測;
[0079]檢測模塊303對接收模塊301接收的訪問對象發(fā)送的數(shù)據(jù)信息進行檢測,包括:檢測模塊303檢測包括誤用檢測和協(xié)議異常數(shù)據(jù)檢測。具體的,進一步的,檢測模塊303對數(shù)據(jù)信息進行協(xié)議異常數(shù)據(jù)檢測PADS,PADS可使用馬爾科夫模型檢測網(wǎng)絡數(shù)據(jù)中的協(xié)議。
[0080]可選的,檢測模塊303可以通過聯(lián)網(wǎng)商用入侵檢測系統(tǒng)(IPS或IDS)對數(shù)據(jù)信息進行檢測,檢測模塊303可以連接多個商用入侵檢測系統(tǒng)(IPS或IDS)。
[0081]預警模塊305,用于若檢測模塊檢測數(shù)據(jù)信息的結(jié)果為異常,生成即時預警信息;
[0082]檢測模塊303檢測通過的正常數(shù)據(jù)則可以正常訪問相關系統(tǒng),若檢測數(shù)據(jù)信息的結(jié)果為異常,預警模塊305生成即時預警信息。[0083]匹配模塊307,用于將預警模塊35生成即時預警信息與數(shù)據(jù)庫中的歷史預警信息進行匹配;
[0084]具體的,匹配模塊307將即時預警信息與數(shù)據(jù)庫中存儲的歷史預警信息進行匹配,通過分類算法確定在數(shù)據(jù)庫313中存在歷史預警信息與該即時預警信息相同。
[0085]可選的,匹配模塊307可以預先設置即時預警信息與歷史預警信息匹配的匹配值。例如,設置匹配值為75%,若即時預警信息與歷史預警信息有75%以上(包括75%),即認定即時預警信息與歷史預警信息匹配,匹配值可以根據(jù)需要不斷調(diào)整。
[0086]若找到即時預警信息匹配的歷史預警信息,則將其歸為同一類預警,無論有多少即時預警信息,只要與該歷史預警信息匹配,返回預警信息融合的就是該條歷史預警信息,這樣可以大幅減少相似預警的重復性。
[0087]數(shù)據(jù)庫313,用于保存歷史預警信息,歷史預警信息包括預警次數(shù)的字段,若即時預警信息與歷史預警信息的匹配結(jié)果符合預先設置的匹配值,預警次數(shù)增加一次。例如,歷史預警信息至少包括預警內(nèi)容和預警次數(shù),當即時預警信息與歷史預警信息匹配,預警內(nèi)容不變,預警次數(shù)增加一次。
[0088]若即時預警信息與歷史預警信息不匹配,更新模塊311用于將即時預警信息保存至數(shù)據(jù)庫313,并更新數(shù)據(jù)庫313。
[0089]分析模塊315,用于對即時預警信息與歷史預警信息進行關聯(lián)分析,根據(jù)預先設置的關聯(lián)規(guī)則判斷訪問對象的訪問目的。
[0090]自適應模塊317,用于保存預先設置的關聯(lián)規(guī)則,若分析模塊315根據(jù)預先設置的關聯(lián)規(guī)則無法判斷訪問對象的訪問目的,自適應模塊317根據(jù)即時預警信息建立新關聯(lián)規(guī)貝U,并即時更新關聯(lián)規(guī)則。
[0091]報警模塊309,用于若匹配模塊307判斷即時預警信息與歷史預警信息的匹配結(jié)果不符合預先設置的匹配值,發(fā)出入侵報警信息。
[0092]執(zhí)行模塊319,用于根據(jù)入侵報警信息執(zhí)行阻斷訪問對象所屬IP地址或端口訪問。
[0093]結(jié)合以上對本發(fā)明的詳細描述可以看出,相對于現(xiàn)有技術,本發(fā)明至少具有以下有益技術效果:通過對訪問對象發(fā)送的數(shù)據(jù)信息進行誤用檢測和協(xié)議異常數(shù)據(jù)檢測,在上述檢測的基礎上進行分析匹配,并根據(jù)匹配結(jié)果進行報警,實現(xiàn)了核電站控制系統(tǒng)的自適應網(wǎng)絡環(huán)境的入侵;同時,由于通過結(jié)合異常檢測技術和誤用檢測技術,提高核電站控制系統(tǒng)對網(wǎng)絡入侵的檢測能力和報警機制,有效地滿足了核電站工業(yè)網(wǎng)對網(wǎng)絡安全防護的要求;此外,由于及時發(fā)現(xiàn)入侵報警信息后,能通過自適應不斷更新數(shù)據(jù)庫和入侵類型,并進行策略處理報警,如阻斷IP或端口,使得核電站控制安全得到保障,取得很好的技術效果。
[0094]根據(jù)上述原理,本發(fā)明還可以對上述實施方式進行適當?shù)淖兏托薷摹R虼耍景l(fā)明并不局限于上面揭示和描述的【具體實施方式】,對本發(fā)明的一些修改和變更也應當落入本發(fā)明的權(quán)利要求的保護范圍內(nèi)。此外,盡管本說明書中使用了一些特定的術語,但這些術語只是為了方便說明,并不對本發(fā)明構(gòu)成任何限制。
【權(quán)利要求】
1.一種基于核電站的網(wǎng)絡入侵報警方法,其特征在于,所述方法包括: 對訪問對象發(fā)送的數(shù)據(jù)信息進行檢測,所述檢測包括誤用檢測和協(xié)議異常數(shù)據(jù)檢測; 若檢測所述數(shù)據(jù)信息的結(jié)果為異常,生成即時預警信息; 將所述即時預警信息與數(shù)據(jù)庫中的歷史預警信息進行匹配; 若所述即時預警信息與所述歷史預警信息的匹配結(jié)果不符合預先設置的匹配值,發(fā)出入侵報警信息。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述方法還包括: 接收訪問對象發(fā)送的數(shù)據(jù)信息。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述歷史預警信息包括預警次數(shù)的字段,若所述即時預警信息與所述歷史預警信息的匹配結(jié)果符合預先設置的匹配值,所述預警次數(shù)增加一次。
4.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述方法還包括: 對所述即時預警信息與所述歷史預警信息進行關聯(lián)分析,根據(jù)預先設置的關聯(lián)規(guī)則判斷所述訪問對象的 訪問目的。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于,所述方法還包括: 若根據(jù)預先設置的關聯(lián)規(guī)則無法判斷所述訪問對象的訪問目的,根據(jù)所述即時預警信息建立新關聯(lián)規(guī)則,并即時更新關聯(lián)規(guī)則。
6.根據(jù)權(quán)利要求5所述的方法,其特征在于,所述方法還包括: 將所述即時預警信息保存至數(shù)據(jù)庫,并更新所述數(shù)據(jù)庫。
7.根據(jù)權(quán)利要求6所述的方法,其特征在于,所述方法還包括: 根據(jù)所述入侵報警信息執(zhí)行阻斷訪問對象所屬IP地址或端口訪問。
8.一種基于核電站的網(wǎng)絡入侵報警系統(tǒng),其特征在于,所述系統(tǒng)包括: 檢測模塊,用于對訪問對象發(fā)送的數(shù)據(jù)信息進行檢測,所述檢測包括誤用檢測和協(xié)議異常數(shù)據(jù)檢測; 預警模塊,用于若所述檢測模塊檢測所述數(shù)據(jù)信息的結(jié)果為異常,生成即時預警信息; 匹配模塊,用于將所述預警模塊生成所述即時預警信息與數(shù)據(jù)庫中的歷史預警信息進行匹配; 報警模塊,用于若所述即時預警信息與所述歷史預警信息的匹配結(jié)果不符合預先設置的匹配值,發(fā)出入侵報警信息。
9.根據(jù)權(quán)利要求8所述的系統(tǒng),其特征在于,所述系統(tǒng)還包括: 接收模塊,用于接收訪問對象發(fā)送的數(shù)據(jù)信息。
10.根據(jù)權(quán)利要求8所述的系統(tǒng),其特征在于,所述系統(tǒng)還包括: 數(shù)據(jù)庫,用于保存歷史預警信息,所述歷史預警信息包括預警次數(shù)的字段,若所述即時預警信息與所述歷史預警信息的匹配結(jié)果符合預先設置的匹配值,所述預警次數(shù)增加一次。
11.根據(jù)權(quán)利要求10所述的系統(tǒng),其特征在于,所述系統(tǒng)還包括: 分析模塊,用于對所述即時預警信息與所述歷史預警信息進行關聯(lián)分析,根據(jù)預先設置的關聯(lián)規(guī)則判斷所述訪問對象的訪問目的。
12.根據(jù)權(quán)利要求11所述的系統(tǒng),其特征在于,所述系統(tǒng)還包括: 自適應模塊,用于保存預先設置的關聯(lián)規(guī)則,若所述分析模塊根據(jù)預先設置的關聯(lián)規(guī)則無法判斷所述訪問對象的訪問目的,根據(jù)所述即時預警信息建立新關聯(lián)規(guī)則,并即時更新關聯(lián)規(guī)則。
13.根據(jù)權(quán)利要求12所述的系統(tǒng),其特征在于,所述系統(tǒng)還包括: 更新模塊,用于將所述即時預警信息保存至數(shù)據(jù)庫,并更新所述數(shù)據(jù)庫。
14.根據(jù)權(quán)利要求13所述的系統(tǒng),其特征在于,所述系統(tǒng)還包括: 執(zhí)行模塊,用于根據(jù)所述入 侵報警信息執(zhí)行阻斷訪問對象所屬IP地址或端口訪問。
【文檔編號】H04L12/24GK103888282SQ201310361837
【公開日】2014年6月25日 申請日期:2013年8月19日 優(yōu)先權(quán)日:2013年8月19日
【發(fā)明者】孫永濱, 劉高俊, 王婷, 孫奇, 張建波, 何大宇, 陳衛(wèi)華, 黃偉軍, 彭華清, 王春冰, 段奇志, 楊華龍 申請人:中廣核工程有限公司, 中國廣核集團有限公司