基于行为白名单自学习的核电工控网络边界安全管理方法与流程

1.本发明涉及核电运行技术领域，尤其涉及一种基于行为白名单自学习的核电工控网络边界安全管理方法。


背景技术：

2.电力监控系统可划分为生产控制大区和信息管理大区两个大区，其中信息管理大区可分为生产管理区(安全区ⅲ)和管理信息区(安全区ⅳ)。工控边界即工业控制系统边界，是工业控制系统中与管理信息区或其他外部网络相连接的设备及系统，对于核电厂的工业控制系统而言，其边界即是指安全区ⅲ。
3.核电工控系统网络边界作为核电工控系统与外界网络的交界处，具有资产数量相对少，网络访问关系相对固定，运行进程相对固定等特征，针对这些特性提升管理方法的细致化与自动化，可以有效提升核电工控网络的安全性。
4.目前已有多种技术以及平台被用于核电厂的网络安全管控，但该类方法以核电厂工控系统网络全局为对象，对核电工控系统网络的各个部分并无针对性。


技术实现要素：

5.本发明的目的在于克服现有技术中所述的缺陷，从而提供一种基于行为白名单自学习的核电工控网络边界安全管理方法，该基于行为白名单自学习的核电工控网络边界安全管理方法有效提升对核电工控网络边界的网络安全管理精度。
6.为了实现上述目的，本发明提供如下技术方案：
7.一种基于行为白名单自学习的核电工控网络边界安全管理方法，包括如下步骤：
8.步骤s1：获取核电工控边界资产信息；
9.步骤s2：建立与资产网络的数据连接；
10.步骤s3：判断是否需要通过学习添加新的白名单，若是则进入步骤s41，若否则进入步骤s42；
11.步骤s41：进入学习模式，在学习模式下不对任何行为做阻断；
12.步骤s42：进入管理模式，在管理模式下阻断所有未被记录在白名单中的行为。
13.进一步的，还包括步骤s5：判断是否需要手动修改白名单，若是，白名单更新，管理模式下使用更新后的管理规则；若否，生成日志，记录白名单变化。
14.进一步的，所述学习模式中，记录资产信息并加入白名单。
15.进一步的，所述资产信息包括资产的进程运行情况、资产间数据交互情况、资产间流量大小。
16.进一步的，所述管理模式中，判断是否发现未被记录在白名单内的行为或是异常大小流量，若是，阻断该行为生成告警；若否，生成日志，记录资产行为。
17.进一步的，所述核电工控边界资产信息包括资产类型、物理位置、网络信息、互联关系、安装程序。
18.与现有技术相比，本发明提供的基于行为白名单自学习的核电工控网络边界安全管理方法具有以下有益效果：
19.本发明提供的基于行为白名单自学习的核电工控网络边界安全管理方法采用白名单形式对核电工控边界网络的行为进行管控，相比于传统的整个核电工控网络统一管控平台会具有更高的管理精度以及态势清晰度，同时机器学习的形式也降低了人工判断的需要，降低了人力资源需求和人因失误概率。
附图说明
20.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。
21.图1为本发明实施例所提供的基于行为白名单自学习的核电工控网络边界安全管理方法的流程图。
具体实施方式
22.虽然本发明的基于行为白名单自学习的核电工控网络边界安全管理方法可以通过多种不同方式来实施，而无意将本发明的保护范围局限于示例性实施方式。因此，在本质上，附图和具体实施方式的描述应被认为用于说明而非限制本发明。
23.下面通过具体实施方式进一步详细说明。
24.实现精确的核电工控网络边界防护功能，需要以明确的边界资产信息为基础，明确各个资产的进程与互联关系，以资产实时流量及进程信息为输入，进行访问关系白名单的构建与学习，辅以人工调整，实现精确到端口与进程的核电工控网络边界内资产行为管理。
25.基于此方法的核电工控网络边界安全管理办法，至少具有以下功能：获取并显示相关资产的各项基础信息、具体到端口的各个资产之间的互联关系、运行中的进程，可以在学习模式与管理模式之间切换，新增或管理已有规则，在管制状态下对不属于白名单的访问/进程进行告警。
26.如图1所示，本发明提供了一种基于行为白名单自学习的核电工控网络边界安全管理方法，包括如下步骤：
27.步骤s1：获取核电工控边界资产信息；
28.步骤s2：建立与资产网络的数据连接；
29.步骤s3：判断是否需要通过学习添加新的白名单，若是则进入步骤s41，若否则进入步骤s42；
30.步骤s41：进入学习模式，在学习模式下不对任何行为做阻断；
31.步骤s42：进入管理模式，在管理模式下阻断所有未被记录在白名单中的行为。
32.步骤s5：判断是否需要手动修改白名单，若是，白名单更新，管理模式下使用更新后的管理规则；若否，生成日志，记录白名单变化。
33.需要说明的是，管理规则本身即是指处于启用状态的白名单的合集，故新的管理
规则指由于白名单变化而变化之后的管理规则。
34.本发明提供的基于行为白名单自学习的核电工控网络边界安全管理方法的设计流程如下所示：
35.(1)基于核电具体需求，获取核电工控边界资产信息，包括资产类型、物理位置、网络信息、互联关系、安装程序等，并建立相应数据库。
36.(2)数据获取及处理接口，建立与资产网络的数据连接，获取资产中实时正在运行的进程信息以及资产之间的数据通信情况，建立完整的、可动态更新的资产状态库。
37.(3)设计状态切换功能，可在学习模式与管理模式间切换，在学习模式下不对任何行为做阻断，在管理模式下阻断所有未被记录在白名单中的行为。
38.(4)设计白名单数据库，记录所有白名单内管控规则的各项信息，并支持管理规则(即白名单)的人工调整。
39.(5)设计告警功能，在管理模式下检测到未被记录在白名单的进程/访问行为，或是检测到流量大小异常的场合，默认阻拦该行为并在第一时间产生告警。
40.使用本方法可以有效提升对核电工控网络边界的网络安全管理精度。由于核电工控网络边界相较于核电工控网络的其他部分具有下述特征：
41.①
资产数量相对较少且极少变化；
42.②
资产互联关系相对明确且极少变化；
43.③
资产间流量大小变化相对较少；
44.④
资产内运行进程数量相对较少且极少变化；
45.⑤
资产外接移动存储设备频率相对较低。
46.因此，采用白名单形式对核电工控边界网络的行为进行管控，相比于传统的整个核电工控网络统一管控平台会具有更高的管理精度以及态势清晰度，同时机器学习的形式也降低了人工判断的需要，降低了人力资源需求和人因失误概率。
47.本发明提供的基于行为白名单自学习的核电工控网络边界安全管理方法完成基于访问关系白名单自学习的核电工控网络边界安全管理工具的设计/开发。
48.部署该工具后，使用流程如下：
49.(1)该工具具备使用条件，并部署在核电工控网络边界内的资产上。工具中的资产数据库与对应电厂的实际资产设备相匹配，并可通过数据接口获取各个边界资产的运行与通信状况。
50.(2)在确保各个资产正常运行，无特殊事件的前提下，进入学习模式，工具记录资产的进程运行情况、资产间数据交互情况、资产间流量大小等信息，并连同信息的记录时间一同加入白名单。
51.(3)经过一段时间的学习记录后，切换为管理模式，管理模式下工具将对未被记录在白名单内的一切行为以及超过限定额度的流量进行阻断，并进行实时告警。
52.(4)工具提供手动规则编辑功能，使用人员可以根据需求手动添加新规则，或是编辑已经存在的规则。
53.(5)选中某个资产，可以查看与该资产相关的全部管理规则以及与该资产直接相连的其他资产。
54.(6)工具提供日志生成功能，对于所有学习到的规则以及检测到的异常，均会生成
日志报表。
55.以上所述仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。