一种关于工业控制系统网络行为自学习系统的制作方法

1.本发明涉及工业控制系统技术领域，具体是一种关于工业控制系统网络行为自学习系统。


背景技术：

2.工业控制系统是对诸如图像、语音信号等大数据量、高速率传输的要求，又催生了当前在商业领域风靡的以太网与控制网络的结合。这股工业控制系统网络化浪潮又将诸如嵌入式技术、多标准工业控制网络互联、无线技术等多种当今流行技术融合进来，从而拓展了工业控制领域的发展空间，带来新的发展机遇，目前应用在工业控制系统网络环境中的网络行为自学习显得尤为重要。
3.然而现有的网络行为自学习系统在使用时，一方面难以形成工控网络行为基线，无法对异常网络行为进行判断，另一方面难以有效地拦截广告软件的入侵，容易造成采集数据杂乱无章。因此，本领域技术人员提供了一种关于工业控制系统网络行为自学习系统，以解决上述背景技术中提出的问题。


技术实现要素：

4.本发明的目的在于提供一种关于工业控制系统网络行为自学习系统，该系统能够形成工控网络行为基线，能够对异常网络行为进行判断，而且还能够拆分并分析不同种类的工控数据，同时在采集工控数据时可以根据实际需求筛选目标数据，并对多维度分析出来的结果进行数据关联，如：资产、漏洞、威胁等，使得分析出来的工控数据更加全面和线性，同时在获取网络行为基线后，可以据此判断后续的网络流程与网络操作行为是否正常或异常，进而触发报警或其他操作。
5.为实现上述目的，本发明提供如下技术方案：
6.一种关于工业控制系统网络行为自学习系统，包括数据采集单元、数据拆分单元、数据分析单元、信息梳理单元、日志记录单元、数据关联单元、基线创建单元、告警单元和风险评估单元，其中，
7.所述数据采集单元用于采集工业控制系统中的工控网络信息，并将采集到的工控网络信息发送至数据拆分单元上；
8.所述数据拆分单元用于对数据采集单元发送的工控网络信息进行接收，并对工控网络信息进行拆分处理；
9.所述数据分析单元用于对数据拆分单元发送的拆分后工控网络信息进行接收，经过分析后，发送至信息梳理单元和日志记录单元上；
10.所述日志记录单元用于对分析后工控网络信息中数据的网络位置和数据产生的网络会话进行记录和审计调查，并标记当前工控网络信息中存在的潜在故障节点；
11.所述信息梳理单元用于对数据拆分单元发送的分析结果进行接收，自动获取分析结果中的网络连接信息、网络实时动态和活跃ip，生成当前分析结果中特有的工控网络信
息桥段，并将获取到的网段进行梳理后绘制呈网络拓扑图；
12.所述数据关联单元用于对信息梳理单元发送的工控网络信息桥段进行接收，并对不同桥段下的工控网络信息进行深度包分析、处理和机器自学习，然后进行数据关联；
13.所述基线创建单元用于接收数据关联单元发送的关联数据，并自动创建针对异常网络行为判断标准的网络行为基线；
14.所述风险评估单元用于对基线创建单元发送的网络行为基线进行接收，并作出紧急风险评估报告；
15.所述告警单元用于对基线创建单元发送的网络行为基线进行接收并显示通知。
16.作为本发明再进一步的方案：所述数据采集单元还包括数据筛选模块和网络诊断模块，其中，数据筛选模块用于对当前工控网络信息中特定(可自定义)的数据进行后续分析，排除无关数据的干扰，网络诊断模块用于对当前工控网络信息上的网络状态进行在线监测，并判断当前的网络状态是否达到正常信息传输标准。
17.作为本发明再进一步的方案：所述网络状态包括当前网速和抗干扰强度，网络状态的在线监测方法为：在当前工控网络信息上的网络上建立多组信号监测点，同时采集网络信息标准传输速度s1，并获取当前信号监测点进行信号传输的往返时间，然后计算出当前信号监测点的实际信号传输速度s2，当标准传输速度s1＞实际信号传输速度s2时，说明当前网络状态出现异常，当标准传输速度s1≤实际信号传输速度s2时，说明当前网络状态处于正常状态。
18.作为本发明再进一步的方案：所述数据拆分单元还用于对接收的工控网络信息进行分组解析，并提取分组解析后的应用层数据，对应用层数据进行应用识别后，生成识别结果，并将识别结果用多个整数值分开标记。
19.作为本发明再进一步的方案：所述基线创建单元还与外部的互联网相连，并由互联网中获取标准网络操作行为，将网络行为基线与标准网络操作行为进行比对后，判断当前网络行为基线下的网络流程与网络操作行为是否正常，当异常时，触发报警信号。
20.作为本发明再进一步的方案：所述数据分析单元的数据分析方式包括初始分析、中间分析和末尾分析，其中初始分析、中间分析和末尾分析的分析时间相同，所述初始分析包括交互式查询汇总分析和olap多维分析，所述中间分析包括对数据传输类型进行解析，所述高级分析包括对数据进行挖掘建模。
21.作为本发明再进一步的方案：所述基线创建单元还用于将网络行为基线与标准网络操作行为进行比对后，对当前网络行为基线按照标准网络操作行为进行模拟改进，并生成新的网络行为基线。
22.与现有技术相比，本发明的有益效果是：该系统能够形成工控网络行为基线，能够对异常网络行为进行判断，而且还能够拆分并分析不同种类的工控数据，同时在采集工控数据时可以根据实际需求筛选目标数据，并对多维度分析出来的结果进行数据关联，如：资产、漏洞、威胁等，使得分析出来的工控数据更加全面和线性，同时在获取网络行为基线后，可以据此判断后续的网络流程与网络操作行为是否正常或异常，进而触发报警或其他操作。
附图说明
23.图1为一种关于工业控制系统网络行为自学习系统的框架图；
具体实施方式
24.实施例1
25.请参阅图1，一种关于工业控制系统网络行为自学习系统，包括数据采集单元、数据拆分单元、数据分析单元、信息梳理单元、日志记录单元、数据关联单元、基线创建单元、告警单元和风险评估单元，其中，
26.数据采集单元用于采集工业控制系统中的工控网络信息，并将采集到的工控网络信息发送至数据拆分单元上；
27.数据拆分单元用于对数据采集单元发送的工控网络信息进行接收，并对工控网络信息进行拆分处理；
28.数据分析单元用于对数据拆分单元发送的拆分后工控网络信息进行接收，经过分析后，发送至信息梳理单元和日志记录单元上；
29.日志记录单元用于对分析后工控网络信息中数据的网络位置和数据产生的网络会话进行记录和审计调查，并标记当前工控网络信息中存在的潜在故障节点；
30.信息梳理单元用于对数据拆分单元发送的分析结果进行接收，自动获取分析结果中的网络连接信息、网络实时动态和活跃ip，生成当前分析结果中特有的工控网络信息桥段，并将获取到的网段进行梳理后绘制呈网络拓扑图；
31.数据关联单元用于对信息梳理单元发送的工控网络信息桥段进行接收，并对不同桥段下的工控网络信息进行深度包分析、处理和机器自学习，然后进行数据关联；
32.基线创建单元用于接收数据关联单元发送的关联数据，并自动创建针对异常网络行为判断标准的网络行为基线；
33.风险评估单元用于对基线创建单元发送的网络行为基线进行接收，并作出紧急风险评估报告；
34.告警单元用于对基线创建单元发送的网络行为基线进行接收并显示通知。
35.优选的：数据采集单元还包括数据筛选模块和网络诊断模块，其中，数据筛选模块用于对当前工控网络信息中特定(可自定义)的数据进行后续分析，排除无关数据的干扰，网络诊断模块用于对当前工控网络信息上的网络状态进行在线监测，并判断当前的网络状态是否达到正常信息传输标准。
36.优选的：网络状态包括当前网速和抗干扰强度，网络状态的在线监测方法为：在当前工控网络信息上的网络上建立多组信号监测点，同时采集网络信息标准传输速度s1，并获取当前信号监测点进行信号传输的往返时间，然后计算出当前信号监测点的实际信号传输速度s2，当标准传输速度s1＞实际信号传输速度s2时，说明当前网络状态出现异常，当标准传输速度s1≤实际信号传输速度s2时，说明当前网络状态处于正常状态。
37.优选的：数据拆分单元还用于对接收的工控网络信息进行分组解析，并提取分组解析后的应用层数据，对应用层数据进行应用识别后，生成识别结果，并将识别结果用多个整数值分开标记。
38.优选的：基线创建单元还与外部的互联网相连，并由互联网中获取标准网络操作
行为，将网络行为基线与标准网络操作行为进行比对后，判断当前网络行为基线下的网络流程与网络操作行为是否正常，当异常时，触发报警信号。
39.优选的：数据分析单元的数据分析方式包括初始分析、中间分析和末尾分析，其中初始分析、中间分析和末尾分析的分析时间相同，初始分析包括交互式查询汇总分析和olap多维分析，中间分析包括对数据传输类型进行解析，高级分析包括对数据进行挖掘建模。
40.优选的：基线创建单元还用于将网络行为基线与标准网络操作行为进行比对后，对当前网络行为基线按照标准网络操作行为进行模拟改进，并生成新的网络行为基线。
41.该系统能够形成工控网络行为基线，能够对异常网络行为进行判断，而且还能够拆分并分析不同种类的工控数据，同时在采集工控数据时可以根据实际需求筛选目标数据，并对多维度分析出来的结果进行数据关联，如：资产、漏洞、威胁等，使得分析出来的工控数据更加全面和线性，同时在获取网络行为基线后，可以据此判断后续的网络流程与网络操作行为是否正常或异常，进而触发报警或其他操作。
42.以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。