(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210921667.X (22)申请日 2022.08.02 (71)申请人 哈尔滨工业大 学 （威海） 地址 264209 山 东省威海市文化西路2号 申请人 威海天之卫网络空间安全科技有限 公司 (72)发明人 柏军　徐有方　王子博　张耀方　 王佰玲　 (74)专利代理 机构 威海恒誉润达专利代理事务 所(普通合伙) 3726 0 专利代理师 郭莹 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/0631(2022.01) H04L 41/12(2022.01)H04L 41/147(2022.01) H04L 67/12(2022.01) (54)发明名称 一种面向工业控制系统报警数据的分析系 统与方法 (57)摘要 一种面向工业控制系统报警数据的分析系 统与方法， 其包括信息收集模块和综合分析模 块， 信息收集模块用于收集工业控制系统的拓扑 信息、 报警数据以及漏洞信息； 综合分析模块， 用 于对报警类别和系统安全状态进行预测评估， 根 据预测评估的结果， 为不同类别的报警提供相应 的处理分析方法， 并预测下一个攻击目标， 本申 请通过处理工控系统报警数据， 分析报警产生的 原因， 预测系统安全状态和未来攻击事件， 为分 析处理工控系统的安全事件提供依据， 可广泛应 用于大数据处理领域。 权利要求书1页 说明书7页 附图2页 CN 115333814 A 2022.11.11 CN 115333814 A 1.一种面向工业控制系统报警数据的分析系统， 其特 征在于， 包括： 信息收集模块， 用于收集工业控制系统的拓扑信息、 报警数据以及漏洞 信息； 综合分析模块， 用于对报 警类别和系统安全状态进行预测评估， 根据 预测评估的结果， 为不同类别的报警提供相应的处 理分析方法， 并预测下一个攻击目标。 2.根据权利要求1所述的一种面向工业控制系统报 警数据的分析系统， 其特征在于， 所 述信息收集模块包括： 网络拓扑获取模块， 用于收集拓扑信息， 并将所述拓扑信息存 储至系统中； 网络层报 警数据产生分析模块， 用于收集报 警数据， 并对报警数据聚类， 训练模型进行 未来攻击模型 预测； 漏洞扫描模块， 用于收集漏洞 信息， 并整合构建系统漏洞库。 3.根据权利要求2所述的一种面向工业控制系统报 警数据的分析系统， 其特征在于， 所 述网络层报警数据产生分析模块中报警数据的收集， 采用流量处理模块 获取或通过检测规 则配置模块匹配产生。 4.根据权利要求1所述的一种面向工业控制系统报 警数据的分析系统， 其特征在于， 所 述综合分析模块包括安全状态预测模块、 系统威胁性评估模块、 网络层报警链产生模块、 组 态报警分析模块以及攻击预测模块。 5.根据权利要求4所述的一种面向工业控制系统报 警数据的分析系统， 其特征在于， 所 述安全状态预测模块用于通过报警数据的攻击描述与安全状态的联系构建隐含马尔可夫 模型， 通过隐含马尔可 夫模型， 得到未来报警数据的安全状态。 6.根据权利要求4所述的一种面向工业控制系统报 警数据的分析系统， 其特征在于， 所 述系统威胁性评估模块用于根据获得的安全状态和报警数据攻击模式信息， 进行系统威胁 评分。 7.根据权利要求4所述的一种面向工业控制系统报 警数据的分析系统， 其特征在于， 所 述网络层报警链产生模块用于对报警数据进行关联分析， 提取 出报警链。 8.根据权利要求4所述的一种面向工业控制系统报 警数据的分析系统， 其特征在于， 所 述组态报警分析模块用于对报警记录进行分析， 并将可能由网络攻击事件引发的报警与非 网络攻击事 件引发的报警区分开 来， 以提供相应的分析手段。 9.根据权利要求4所述的一种面向工业控制系统报 警数据的分析系统， 其特征在于， 所 述攻击预测模块用于根据各模块获取的数据及分析 结果， 预测下一个攻击目标。 10.一种面向工业控制系统报警数据的分析 方法， 其特 征在于， 包括以下步骤： 收集工业控制系统的拓扑信息、 报警数据以及漏洞 信息； 对报警类别和系统安全状态进行预测评估， 根据预测评估的结果， 为不同类别的报警 提供相应的处 理分析方法， 并预测下一个攻击目标。权　利　要　求　书 1/1 页 2 CN 115333814 A 2一种面向工 业控制系统报警数据的分析系统与方 法 技术领域 [0001]本发明涉及大数据处理领域， 尤其是涉及 一种面向工业控制系统报警数据的分析 系统与方法。 背景技术 [0002]工业控制系统广 泛应用于工业制造领域， 随着工业4.0的到来， 工业化和信息化融 合日益加深， 工业控制系统越来越智能化。 随之而来的是工控网络规模、 复杂性的提高， 以 及与公用网络的联系 更加密切。 这使得工控系统更容易暴露， 针对工控系统的攻击越来越 多， 工控系统的安全性面临严峻挑战。 工业防火墙、 工业入侵检测系统同传统的防火墙一起 被用来保护工控系统， 当攻击发生时， 它们会产生大量的报警数据， 通过对这些报警数据进 行分析， 可以及时获悉系统安全状态， 为进一 步处理安全事件提供有力依据。 [0003]针对工业控制系统的报警数据分析工具较少， 现有的分析工具只能静态评估系统 安全性， 不能动态实时预测系统安全状态； 通常对固定类型的单条报警数据进 行分析， 不能 进行多条不同类型、 不同位置报警数据的关联分析， 迁移性、 扩展性较差。 目前的工控系统 报警数据分析工具主要处理分析网络层报警， 缺少对系统中其它软件产生的报警数据的检 测分析。 发明内容 [0004]为解决上述技术问题， 本发明提供一种面向工业控制系统报警数据的分析系统与 方法。 [0005]本申请实施例的第一方面提供了一种面向工业控制系统报警数据的分析系统， 其 包括： [0006]信息收集模块， 用于收集工业控制系统的拓扑信息、 报警数据以及漏洞 信息； [0007]综合分析模块， 用于对报警类别和系统安全状态进行预测评估， 根据预测评估的 结果， 为不同类别的报警提供相应的处 理分析方法， 并预测下一个攻击目标。 [0008]优选的， 所述信息收集模块包括： [0009]网络拓扑获取模块， 用于收集拓扑信息， 并将所述拓扑信息存 储至系统中； [0010]网络层报警数据产生分析模块， 用于收集报警数据， 并对报警数据聚类， 训练模型 进行未来攻击模型 预测； [0011]漏洞扫描模块， 用于收集漏洞 信息， 并整合构建系统漏洞库。 [0012]优选的， 所述网络层报警数据产生分析模块中报警数据的收集， 采用流量处理模 块获取或通过检测规则配置模块匹配产生。 [0013]优选的， 综合分析模块包括安全状态预测模块、 系统威胁性评估模块、 网络层报警 链产生模块、 组态报警分析模块以及攻击预测模块。 [0014]优选的， 所述安全状态预测模块用于通过报警数据的攻击描述与安全状态的联系 构建隐含马尔可 夫模型， 通过隐含马尔可 夫模型， 得到未来报警数据的安全状态。说　明　书 1/7 页 3 CN 115333814 A 3