一种工控网络安全数据可视化系统和设备

技术领域

本申请涉及网络安全领域，尤其涉及一种工控网络安全数据可视化系统和设备。

背景技术

与传统的信息安全相比，工控系统安全有其独特之处。工控系统初始采用的一般都是专用系统，其操作系统、通信协议也与一般的系统有很大差别，相较于开放的互联网环境，工控系统则比较独立，工业控制系统设计之初也是为了完成各种实时控制功能，并没有考虑到安全防护的问题。

但随着计算机和网络技术的发展，随着“工业4.0”、“两化融”、“互联网+”的趋势到来，传统的工业控制系统网络安全(简称工控安全)问题已成为企业及国家安全面临的严峻挑战，受到越来越多的企业及政府关注，工业控制系统在经历很长一段时间的封闭状态之后已经开始发展起来，工控系统通过网络互联使自己暴露在互联网上，从而导致系统本身很容易遭到来自企业管理网或互联网的病毒、木马、黑客的攻击，并且将会导致工控系统所控制的关键基础设施、重要系统等存在巨大的安全风险和隐患。

一方面，传统网络安全企业的态势可视化技术主要以暴露在互联网端的主机、以及放置与企业办公网的业务主机受到的威胁情况和主机运行状况进行刻画，从而形成网络安全态势展示。另一方面，传统的工业现场监控又是以某一个工业控制系统生成的控制组态运行状态为监控点进行展示。从上可知，传统的网络安全技术均未结合工业控制系统的特点。

发明内容

有鉴于此，本申请的目的在于提出一种工控网络安全数据可视化系统和设备，以解决现有技术中数据采集、挖掘效率低以及数据可视化质量差的问题。

基于上述目的，本申请提供一种工控网络安全数据可视化系统，所述系统包括：

数据采集模块，用于利用主机探针技术、流量监听技术以及异常检测技术采集工控设备产生的网络安全数据；

数据挖掘模块，与所述数据采集模块电连接，用于对采集的所述网络安全数据进行挖掘；

数据可视化模块，与所述数据挖掘模块电连接，用于将挖掘后的所述工控安全数据进行图示化，以展示所述工控安全数据以及所述工控安全数据的变化趋势。

在一个实施例中，所述数据采集模块包括：

主机探针单元，用于采用被动监听模式来探针主机信息，以采集主机运行状态安全配置或告警日志；

流量监听单元，用于采用网络流量镜像技术来嗅探网络运行状态，并结合异常规则检测机制、原始流量提取机制获取网络威胁和原始信息；

消息队列单元，用于采用Kafka高性能消息队列实时传输采集网络信息。

Kafka是由Apache软件基金会开发的一个开源流处理平台，由Scala和Java编写。Kafka是一种高吞吐量的分布式发布订阅消息系统，它可以处理实时流数据。这些数据通常是由于吞吐量的要求而通过处理日志和日志聚合来解决。对于像Elasticsearch一样的日志数据和离线分析系统，但又要求实时处理的限制，这是一个可行的解决方案。Kafka的目的是通过Elasticsearch的并行加载机制来统一线上和离线的消息处理，也是为了通过集群来提供实时的消息。

在一个实施例中，所述数据挖掘模块包括：

数据预处理单元，用于对穿过Kafka的网络信息进行预处理和转换，得到工控网络安全数据；

聚类和分类单元，与所述数据预处理单元电连接，用于对所述工控网络安全数据进行聚类和分类，并将聚类和分类后的所述工控网络安全数据存储至数据库中。

在一个实施例中，所述数据可视化模块包括：

微服务接口单元，用于采用Spring cloud框架搭建微服务接口，提供前端调用；

可视化组件单元，与所述微服务接口单元电连接，用于采用Angularjs、Echarts、D3JS、Threejs进行前端的构建。

在一个实施例中，所述系统还包括：

数据存储模块，与所述数据采集模块电连接，用于利用关系型数据与NOSQL大数据存储技术存储采集后的所述网络安全数据。

在一个实施例中，所述数据存储模块包括：

大数据存储单元，用于采用Elasticsearch非关系型数据库进行海量日志存储，并根据网络威胁关键字进行分词处理。

一种设备，所述设备至少包括如上任意一项所述的一种工控网络安全数据可视化系统。

本申请提供的一种工控网络安全数据可视化系统和设备，所述系统包括：数据采集模块，用于利用主机探针技术、流量监听技术以及异常检测技术采集工控设备产生的网络安全数据；数据挖掘模块，与所述数据采集模块电连接，用于对采集的所述网络安全数据进行挖掘；数据可视化模块，与所述数据挖掘模块电连接，用于将挖掘后的所述工控安全数据进行图示化，以展示所述工控安全数据以及所述工控安全数据的变化趋势。通过上述系统可提高数据采集、挖掘的效率以及数据可视化质量。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例的一种工控网络安全数据可视化系统的结构示意图；

图2为本申请实施例的一种工控网络安全数据可视化系统的工控资产位置示意图；

图3为本申请实施例的一种工控网络安全数据可视化系统的工控漏洞示意图；

图4为本申请实施例的一种工控网络安全数据可视化系统的供给链分析示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本申请进一步详细说明。

需要说明的是，除非另外定义，本申请实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本公开中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同，而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电性的连接，不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系，当被描述对象的绝对位置改变后，则该相对位置关系也可能相应地改变。

为了便于理解本申请文件，需要对下述关键词进行说明，具体如下：

工控终端：指工控环境下运行各类工控软件的主机，包括工程师站、操作员站等。

工控系统：主要利用电子电气、机械、软件组合实现某一行业领域自动化过程控制的系统。

工控协议：指工控主机或者实验室主机上，上下行主机进行通信报文传递时使用的规约。

本发明的目的是针对上述工控网络安全进行数据可视化的系统。

本发明的目的可以通过以下技术方案来实现：

结合图1，一种工控网络安全数据可视化系统，用于展示工业控制系统网络安全相关的详细数据和相应的变化趋势，所述系统包括：

数据采集模块，利用主机探针技术、流量监听技术、异常检测技术对工控设备产生的网络信息及网络安全信息进行收集；

数据挖掘模块，用于对数据采集的工控网络安全数据进行挖掘；

数据存储模块，利用关系型数据与NOSQL大数据存储技术存储采集后的数据；

数据可视化模块，用于将挖掘和计算后的工控安全数据进行图示化，展示具体的工控安全数据以及工控安全数据的变化趋势；

上述数据采集模块又包括：

主机探针单元，用于采用被动监听模式来探针主机信息，以采集主机运行状态安全配置或告警日志；

流量监听单元，采用网络流量镜像技术，嗅探网络运行状态，结合异常规则检测机制，原始流量提取机制获取网络威胁和原始信息；

消息队列单元，采用Kafka高性能消息队列，实时传输采集信息；

上述数据挖掘模块又包括：

数据预处理单元，用于对穿过Kafka的数据进行预处理转换；

聚类和分类单元，用于对预处理后的工控网络安全数据进行聚类和分类，并将聚类和分类后的数据存储至数据库中；

上述数据存储模块又包括：

大数据存储单元，采用Elasticsearch非关系型数据库进行海量日志存储，并根据网络威胁关键字进行分词处理；

上述数据可视化模块又包括：

微服务接口单元，采用Springcloud框架搭建微服务接口，提供前端调用；

可视化组件单元，采用Angularjs、Echarts、D3JS、Threejs进行前端构建。

通过图2-图4可知，本申请具有以下优点：

1)数据采集模块采用了主机探针、日志收集、流量镜像多模采集，相比起传统的只收集日志告警信息更加全面有效；

2)利用消息队列对多个源头的数据进行负载平衡，进一步提高了数据采集的效率和质量；

3)挖掘模块首先对数据进行预处理后再进行聚类和分类，增强了挖掘的效果，提高了挖掘数据的质量；

4)整个系统分为数据采集、数据挖掘、数据存储、数据可视四大部分，整个系统互相解耦，便于维护；

5)可视化单元包括Angularjs、Echarts、D3JS、Threejs等目前先进的可视化工具，保障了数据可视化的效果；

6)融合网络安全攻击过程“攻击链”跟踪，进行可视化分析绘制，深度感知APT攻击。

尽管已经结合了本申请的具体实施例对本申请进行了描述，但是根据前面的描述，这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。本申请的实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此，凡在本申请的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本申请的保护范围之内。