一种关于工业控制系统网络行为自学习系统的制作方法

技术特征：
1.一种关于工业控制系统网络行为自学习系统，其特征在于，包括数据采集单元、数据拆分单元、数据分析单元、信息梳理单元、日志记录单元、数据关联单元、基线创建单元、告警单元和风险评估单元，其中，所述数据采集单元用于采集工业控制系统中的工控网络信息，并将采集到的工控网络信息发送至数据拆分单元上；所述数据拆分单元用于对数据采集单元发送的工控网络信息进行接收，并对工控网络信息进行拆分处理；所述数据分析单元用于对数据拆分单元发送的拆分后工控网络信息进行接收，经过分析后，发送至信息梳理单元和日志记录单元上；所述日志记录单元用于对分析后工控网络信息中数据的网络位置和数据产生的网络会话进行记录和审计调查，并标记当前工控网络信息中存在的潜在故障节点；所述信息梳理单元用于对数据拆分单元发送的分析结果进行接收，自动获取分析结果中的网络连接信息、网络实时动态和活跃ip，生成当前分析结果中特有的工控网络信息桥段，并将获取到的网段进行梳理后绘制呈网络拓扑图；所述数据关联单元用于对信息梳理单元发送的工控网络信息桥段进行接收，并对不同桥段下的工控网络信息进行深度包分析、处理和机器自学习，然后进行数据关联；所述基线创建单元用于接收数据关联单元发送的关联数据，并自动创建针对异常网络行为判断标准的网络行为基线；所述风险评估单元用于对基线创建单元发送的网络行为基线进行接收，并作出紧急风险评估报告；所述告警单元用于对基线创建单元发送的网络行为基线进行接收并显示通知。2.根据权利要求1所述的一种关于工业控制系统网络行为自学习系统，其特征在于，所述数据采集单元还包括数据筛选模块和网络诊断模块，其中，数据筛选模块用于对当前工控网络信息中特定(可自定义)的数据进行后续分析，排除无关数据的干扰，网络诊断模块用于对当前工控网络信息上的网络状态进行在线监测，并判断当前的网络状态是否达到正常信息传输标准。3.根据权利要求2所述的一种关于工业控制系统网络行为自学习系统，其特征在于，所述网络状态包括当前网速和抗干扰强度，网络状态的在线监测方法为：在当前工控网络信息上的网络上建立多组信号监测点，同时采集网络信息标准传输速度s1，并获取当前信号监测点进行信号传输的往返时间，然后计算出当前信号监测点的实际信号传输速度s2，当标准传输速度s1＞实际信号传输速度s2时，说明当前网络状态出现异常，当标准传输速度s1≤实际信号传输速度s2时，说明当前网络状态处于正常状态。4.根据权利要求1所述的一种关于工业控制系统网络行为自学习系统，其特征在于，所述数据拆分单元还用于对接收的工控网络信息进行分组解析，并提取分组解析后的应用层数据，对应用层数据进行应用识别后，生成识别结果，并将识别结果用多个整数值分开标记。5.根据权利要求1所述的一种关于工业控制系统网络行为自学习系统，其特征在于，所述基线创建单元还与外部的互联网相连，并由互联网中获取标准网络操作行为，将网络行为基线与标准网络操作行为进行比对后，判断当前网络行为基线下的网络流程与网络操作
行为是否正常，当异常时，触发报警信号。6.根据权利要求1所述的一种关于工业控制系统网络行为自学习系统，其特征在于，所述数据分析单元的数据分析方式包括初始分析、中间分析和末尾分析，其中初始分析、中间分析和末尾分析的分析时间相同，所述初始分析包括交互式查询汇总分析和olap多维分析，所述中间分析包括对数据传输类型进行解析，所述高级分析包括对数据进行挖掘建模。7.根据权利要求5所述的一种关于工业控制系统网络行为自学习系统，其特征在于，所述基线创建单元还用于将网络行为基线与标准网络操作行为进行比对后，对当前网络行为基线按照标准网络操作行为进行模拟改进，并生成新的网络行为基线。

技术总结
本发明涉及工业控制系统技术领域，公开了一种关于工业控制系统网络行为自学习系统，所述数据采集单元用于采集工业控制系统中的工控网络信息，并将采集到的工控网络信息发送至数据拆分单元上，所述基线创建单元用于接收数据关联单元发送的关联数据，并自动创建针对异常网络行为判断标准的网络行为基线。能够拆分并分析不同种类的工控数据，同时在采集工控数据时可以根据实际需求筛选目标数据，并对多维度分析出来的结果进行数据关联，如：资产、漏洞、威胁等，使得分析出来的工控数据更加全面和线性，同时在获取网络行为基线后，可以据此判断后续的网络流程与网络操作行为是否正常或异常，进而触发报警或其他操作。进而触发报警或其他操作。


技术研发人员：陈功磊 王洪兴
受保护的技术使用者：网御铁卫（北京）科技有限公司
技术研发日：2021.12.16
技术公布日：2022/3/21