CN107566390B - 一种基于威胁情报的工业控制系统网络安全性分析系统及方法 - Google Patents
一种基于威胁情报的工业控制系统网络安全性分析系统及方法 Download PDFInfo
- Publication number
- CN107566390B CN107566390B CN201710849672.3A CN201710849672A CN107566390B CN 107566390 B CN107566390 B CN 107566390B CN 201710849672 A CN201710849672 A CN 201710849672A CN 107566390 B CN107566390 B CN 107566390B
- Authority
- CN
- China
- Prior art keywords
- group
- industrial control
- control system
- access
- maliciousness
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 59
- 238000000034 method Methods 0.000 title claims abstract description 23
- 238000003066 decision tree Methods 0.000 claims abstract description 16
- 230000000007 visual effect Effects 0.000 claims abstract description 16
- 238000010801 machine learning Methods 0.000 claims abstract description 10
- 239000006185 dispersion Substances 0.000 claims description 15
- 230000002123 temporal effect Effects 0.000 claims description 5
- 238000012360 testing method Methods 0.000 claims description 5
- 238000012800 visualization Methods 0.000 claims description 5
- JXASPPWQHFOWPL-UHFFFAOYSA-N Tamarixin Natural products C1=C(O)C(OC)=CC=C1C1=C(OC2C(C(O)C(O)C(CO)O2)O)C(=O)C2=C(O)C=C(O)C=C2O1 JXASPPWQHFOWPL-UHFFFAOYSA-N 0.000 claims description 4
- 238000005516 engineering process Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 3
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 2
- 238000012300 Sequence Analysis Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000005272 metallurgy Methods 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 239000010865 sewage Substances 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提出一种基于威胁情报的工业控制系统网络安全性分析系统及方法,包括:获取所有访问过工业控制系统的ip地址及相关绑定的域名;对已发现的ip地址和相关域名进行恶意性判断;基于访问ip和相关域名的绑定关系,对已有的访问ip进行分组;从时间特性,空间特性和恶意性等方面对已发现的ip组进行分析;根据已发现ip组及其相关特性,对ip组进行机器学习,建立判断ip组是否为恶意ip组的决策树模型,并对模型进行评估。根据访问ip找到工业控制系统相关的所有ip组,并通过可视化页面对工业控制系统的访问关系进行全方面分析。根据预设时间,周期性的执行上述步骤,不断提高准确率和覆盖率,更新威胁情报库和相关的恶意性和安全性分析结果。
Description
技术领域
本发明属于工控网络安全领域,一种基于威胁情报的工业控制系统网络安全性分析系统及方法。
背景技术
工业控制系统广泛应用于我国电力、水利、污水处理、石油化工、冶金、汽车、航空航天等诸多现代工业,其中超过80%的涉及国计民生的关键基础设施(如铁路、城市轨道交通、供排水、邮电通讯等)。
随着工业化与信息化的深度融合,工业控制系统中信息化程度越来越高,通用软硬件和网络设施的广泛使用,打破了工业控制系统与信息网络的“隔离”,带来了一系列网络安全威胁。作为工业控制网络的重要组成部分,工业控制网络安全深刻地影响着工业控制网络及相关产业的发展,具有极强的产业关联度和产业渗透能力,因此工业控制网络安全产业得到了极大的关注。
威胁情报是一种基于证据的知识,它就网络资产可能存在或出现的风险、威胁,给出了相关联的场景、机制、指标、内涵及可行的建议等,可为主体响应相关威胁或风险提供决策信息。
在传统安全手段中,有大量对安全威胁的描述如漏洞检测与定义、指纹识别、信誉库等等,然而这些描述大多未经证实和评估,威胁情报相比之下更加严格,其威胁知识来源于严谨的分析流程,能够准确反应攻击者的身份、意图、特征和攻击手法等。
于是,威胁情报成为了一种分析与解决工业控制系统网络安全性问题的新方法与新趋势。
发明内容
为了克服现有技术中存在的问题,本发明提出了一种基于威胁情报的工业控制系统网络安全性分析系统,包括:
工业控制系统访问ip获取模块,用于获取访问过工控系统的ip列表;
ip和域名信息获取模块,用于通过相关的安全服务提供商和工控蜜罐获取访问过工控系统的ip的具体信息,通过域名黑名单及相关威胁情报信息查询接口,对ip地址和相关域名进行恶意性判断,分析工控系统当前的安全性;
ip分组模块,用于对ip和域名信息获取模块获取的ip进行分组,根据访问ip和域名的多对多关联关系;以第一个ip节点为Ia,其绑定过的域名数组为Da=(Da1,Da2,……,Dam),所属C类网段为Ca,所属地区为Ra;第二个ip节点为Ib,其绑定过的域名数组为Db=(Db1,Db2,……,Dbn),所属C类网段为Cb,所属地区为Rb;若
或(Ca=Cb)∧(Ra=Rb),则Ia与Ib属于同一ip组,否则不属于同一个ip组;
ip组属性分析模块,用于对ip组的时间特性、空间特性以及ip组的恶意性进行分析;
所述ip组的时间特性包括:总体访问时间分布和访问时间分配专一性;总体访问时间分布指转换时区后的24小时中每小时访问ip数分布的标准差;访问时间分配专一性指转时区后的24小时中每小时访问ip数分布的极差除以期望;
所述ip组的空间特性包括:访问ip地理分布、网段分布、域名连通性、被访问ip地理分布和被访问ip协议分布;访问ip地理分布具体又包括分散均匀性和集中性;被访问ip地理分布又包括分散均匀性和集中性;
所述ip组的恶意性包括:ip恶意性打分和ip组恶意性打分;
决策树建立模块,用于判断新ip组的恶意性,根据ip组的恶意性打分和设定的阈值给ip组设置是否为恶意ip组的标签,再根据ip组的时间特性、空间特性建立判断ip组是否为恶意ip组的决策树模型,并通过测试数据对模型进行评估。
进一步地,上述的ip组属性分析模块中对ip恶意性打分为:
令ip节点为I,其连通度为m,相应连接的域名为D1-Dm,域名对应的度分别为d1-dm,则节点ip的恶意性为:
所述的ip组属性分析模块中对ip组恶意性打分为:
令ip组为G,共包含n个ip节点,则ip组的恶意性为:
进一步地,上述系统还包括:
工业控制系统可视化分析模块,用于对工业控制系统进行可视化展示与分析,得到其资产画像;获取待分析工业控制系统的所有访问ip,根据访问ip找到工业控制系统相关的所有ip组,并通过可视化页面对工业控制系统的访问关系进行全方面分析;
工业控制系统网络安全性分析模块,用于对工业控制系统网络安全性进行可视化展示与分析得到其攻击者画像,并结合其资产画像得到工控ip安全画像;根据相关ip组的恶意性对工业控制系统网络安全性进行打分,并与设定的网络安全性阈值进行对比,对于网络安全性评分较高的工业控制系统进行安全预警。
上述一种基于威胁情报的工业控制系统网络安全性分析系统的分析方法,包括如下步骤:
1)获取所有访问过工业控制系统的ip地址(后简称“访问ip”)及相关绑定的域名;
所述ip地址和相关域名通过相关安全服务提供商和工控蜜罐获取;
2)相关的安全服务提供商和工控蜜罐获取访问过工控系统的ip的具体信息,通过域名黑名单及相关威胁情报信息查询接口,对ip地址和相关域名进行恶意性判断,分析工控系统当前的安全性;
3)基于访问ip和相关域名的绑定关系,对已有的访问ip进行分组(后简称“ip组”),根据访问ip和域名的多对多关联关系;以第一个ip节点为Ia,其绑定过的域名数组为Da=(Da1,Da2,……,Dam),所属C类网段为Ca,所属地区为Ra;第二个ip节点为Ib,其绑定过的域名数组为Db=(Db1,Db2,……,Dbn),所属C类网段为Cb,所属地区为Rb;若
或(Ca=Cb)∧(Ra=Rb),则Ia与Ib属于同一ip组,否则不属于同一个ip组;
4)从时间特性,空间特性和恶意性等方面对已发现的ip组进行分析,并对ip组的恶意性进行打分;
所述ip组的时间特性包括:总体访问时间分布和访问时间分配专一性;总体访问时间分布指转换时区后的24小时中每小时访问ip数分布的标准差;访问时间分配专一性指转时区后的24小时中每小时访问ip数分布的极差除以期望;
所述ip组的空间特性包括:访问ip地理分布、网段分布、域名连通性、被访问ip地理分布和被访问ip协议分布;访问ip地理分布具体又包括分散均匀性和集中性;被访问ip地理分布又包括分散均匀性和集中性;
所述ip组的恶意性包括:ip恶意性打分和ip组恶意性打分;
5)根据已发现ip组及其相关特性,对ip组进行机器学习,建立判断ip组是否为恶意ip组的决策树模型,并对模型进行评估;首先根据ip组的恶意性打分和设定的阈值给ip组设置是否为恶意ip组的标签,其次根据ip组的相关特性建立判断ip组是否为恶意ip组的决策树模型,并通过测试数据对模型进行评估。上述ip组的恶意性打分具体包括:ip恶意性打分和ip组恶意性打分;令ip节点为I,其连通度为m,相应连接的域名为D1-Dm,域名对应的度分别为d1-dm,则节点ip的恶意性为:
令ip组为G,共包含n个ip节点,则ip组的恶意性为:
上述步骤4)所述的网段分布具体指网段聚集性打分,即每个B类网段所含访问ip数的数学期望除以ip总数;所述域名连通性具体指域名连通性打分,即各域名节点的连通度的数学期望除以ip总数;被访问ip地理分布包括分散均匀性和集中性;所述被访问ip协议分布具体指被访问ip协议分布打分,即被访问协议总数除以已知总工控协议数;
所述访问ip地理分布的分散均匀性和集中性分别指:访问ip在各地区分布数量的标准差和访问ip在各地区分布数量的极差除以期望。
上述分析方法还包括:获取待分析工业控制系统的所有访问ip,根据访问ip找到工业控制系统相关的所有ip组,并通过可视化页面对工业控制系统的访问关系进行全方面分析;
根据相关ip组的恶意性对工业控制系统网络安全性进行打分,并与设定的网络安全性阈值进行对比,对于网络安全性评分较高的工业控制系统进行预警;
根据预设时间,周期性的执行上述步骤,更新威胁情报库和相关的恶意性和安全性分析结果。
所述可视化页面分析具体为:通过可视化技术从ip分组画像、恶意ip统计、个体ip访问时间序列等多方面进行分析,得到每日安全态势动态,攻击者报告等多个安全报告。
所述对工业控制系统网络安全性进行打分具体为:通过对访问过工业控制系统的相关恶意ip组的加权恶意性打分求和,计算当前工业控制系统的网络安全性;令ip组为G,工控系统为Ic,其安全性为S(Ic),访问过工控系统的ip组中,恶意ip组(Gm)有m个,非恶意ip组(Gn)有n个,则工控系统的安全性为:
本发明的关键在于,在数据来源上依靠相关安全服务提供商和工控蜜罐等多种方式,保证海量数据的可靠性和权威性。通过获取所有访问ip和域名,根据发明中提出的“ip组”概念对其进行分组,便于分析。之后,利用机器学习,进一步对每个ip的恶意性进行打分,从而判断它所在ip组的恶意性,持续累积迭代,逐步转化为威胁情报,不断提高其准确性,最终判断整个工业控制系统网络的安全性。对应的可视化分析与展示,使结果更加生动化、具象化。
本发明的有益效果在于提出一种基于威胁情报的工业控制系统网络安全性分析方法及系统,包括:获取所有访问过工业控制系统的ip地址(后简称“访问ip”)及相关绑定的域名;对已发现的ip地址和相关域名进行恶意性判断;基于访问ip和相关域名的绑定关系,对已有的访问ip进行分组(后简称“ip组”);从时间特性,空间特性和恶意性等方面对已发现的ip组进行分析,并对ip组的恶意性进行打分;根据已发现ip组及其相关特性,对ip组进行机器学习,建立判断ip组是否为恶意ip组的决策树模型,并对模型进行评估。获取待分析工业控制系统的所有访问ip,根据访问ip找到工业控制系统相关的所有ip组,并通过可视化页面对工业控制系统的访问关系进行全方面分析;根据相关ip组的恶意性对工业控制系统网络安全性进行打分,并与设定的网络安全性阈值进行对比,对于网络安全性评分较高的工业控制系统进行预警。根据预设时间,周期性的执行上述步骤,不断提高准确率和覆盖率,更新威胁情报库和相关的恶意性和安全性分析结果。
附图说明
图1是本发明的方法流程图。
图2是本发明的系统模块图。
图3是本发明的ip分组示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。但不作为对本发明技术方案的限定。
本发明提出一种基于威胁情报的工业控制系统网络安全性分析方法及系统,通过ip分组分析工控系统的恶意性并建立完善的威胁情报库。
一种网络安全威胁情报处理方法,如图1所示,包括:
S101:获取所有访问过工业控制系统的ip地址(后简称“访问ip”)及相关绑定的域名;所述ip地址和相关域名通过相关安全服务提供商和工控蜜罐获取;
S102:获取访问过工控系统的所有ip和域名的具体信息,并对ip地址和相关域名进行恶意性判断;
S103:基于访问ip和相关域名的绑定关系,对已有的访问ip进行分组(后简称“ip组”);
S104:从时间特性,空间特性和恶意性等方面对已发现的ip组进行分析,并对ip组的恶意性进行打分;
S105:根据已发现ip组及其相关特性,对ip组进行机器学习,建立判断ip组是否为恶意ip组的决策树模型,并对模型进行评估。
S106:获取待分析工业控制系统的所有访问ip,根据访问ip找到工业控制系统相关的所有ip组,并通过可视化页面对工业控制系统的访问关系进行全方面分析;
S107:根据相关ip组的恶意性对工业控制系统网络安全性进行打分,并与设定的网络安全性阈值进行对比,对于网络安全性评分较高的工业控制系统进行预警。
根据预设时间,周期性的执行上述步骤,更新威胁情报库和相关的恶意性和安全性分析结果。
所述的方法中,对已发现的ip地址和相关域名进行恶意性判断具体为:通过相关安全服务提供商和开源威胁情报提供商提供的ip和域名黑名单及相关威胁情报信息查询接口,对获取的ip地址和相关域名进行恶意性判断。
所述的方法中,对已有的访问ip进行分组具体为:根据访问ip和域名的多对多关联关系,将拥有共享域名的访问ip或ip网段和地理位置信息都相同的访问ip分到同一个ip组内。
所述的方法中,ip组的时间特性分为总体访问时间分布和访问时间分配专一性;总体访问时间分布是指转换为同一时区后的24小时中每小时访问ip数分布的标准差;访问时间分配专一性是指转时区后的24小时中每小时访问ip数分布的极差除以期望。
所述的方法中,ip组的空间特性具体分为:访问ip地理分布、网段分布、域名连通性、被访问ip地理分布和被访问ip协议分布;访问ip地理分布具体又包括分散均匀性和集中性;被访问ip地理分布又包括分散均匀性和集中性。
所述的方法中,访问ip地理分布的分散均匀性和集中性分别指:访问ip在各地区分布数量的标准差和访问ip在各地区分布数量的极差除以期望。
所述的方法中,网段分布具体指网段聚集性打分,即每个B类网段所含访问ip数的数学期望除以ip总数;所述域名连通性具体指域名连通性打分,即各域名(高级域名)节点的连通度的数学期望除以ip总数;被访问ip地理分布与访问ip地理分布类似,也包括分散均匀性和集中性;所述被访问ip协议分布具体指被访问ip协议分布打分,即被访问协议总数除以已知总工控协议数;
所述的方法中,对ip组进行机器学习,建立决策树模型具体为:首先根据ip组的恶意性打分和设定的阈值给ip组设置是否为恶意ip组的标签,其次根据ip组的相关特性(如时间特性、空间特性等)建立判断ip组是否为恶意ip组的决策树模型,并通过测试数据对模型进行评估。
所述的方法中,可视化页面分析具体为:通过可视化技术从ip分组画像、恶意ip统计、个体ip访问时间序列分析,ip组24小时访问时间热力图等维度对当前工业控制系统的各ip组进行全面、详细的分析。
一种基于威胁情报的工业控制系统网络安全性分析系统,其特征在于,包括:
工业控制系统访问ip获取模块201,用于获取访问过工控系统的ip列表;
ip和域名信息获取模块202,用于获取访问过工控系统的ip的具体信息,来分析工控系统当前的安全性;
ip分组模块203,用于对获取的ip进行分组,且只分为恶意性和非恶意性两组;
ip组属性分析模块204,用于为ip组的恶意性进行打分,通过时间、空间等多维度进行分析;
决策树建模模块205,用于判断ip组的恶意性。
可视化分析模块206,用于对工业控制系统进行可视化展示与分析,得到其资产画像;
工业控制系统网络安全性分析模块207,用于对工业控制系统网络安全性进行可视化展示与分析得到其攻击者画像,并结合其资产画像得到工控ip安全画像。
所述的系统中,获取所有“访问ip”及相关绑定的域名特征具体为:通过相关的安全服务提供商和工控蜜罐获取“访问ip”地址和相关域名以进行分析。
所述的系统中,获取访问过工控系统的ip具体信息特征具体为:通过网站爬虫获得“访问ip”的具体根据特定的阈值对获取的ip进行分组,且只分为恶意性和非恶意性两组。
所述的系统中,通过时间特性,空间特性和恶意性等方面对已发现的ip恶意性进行打分,并进一步对其所在ip组的恶意性进行打分。
所述的系统中,根据已发现ip组及其相关特性,对ip组进行机器学习,建立判断ip组是否为恶意ip组的决策树模型,并对模型进行评估。
所述的系统中,可视化分析模块特征具体为:获取待分析工业控制系统的所有访问ip,根据访问ip找到工业控制系统相关的所有ip组,并通过可视化页面对工业控制系统的访问关系进行全方面分析。
所述的系统中,安全性分析模块特征具体为:根据相关ip组的恶意性对工业控制系统网络安全性进行打分,并与设定的网络安全性阈值进行对比,对于网络安全性评分较高的工业控制系统进行安全预警。
本发明的关键在于,在数据来源上依靠相关安全服务提供商和工控蜜罐等多种方式,保证海量数据的可靠性和权威性。通过获取所有访问ip和域名,根据发明中提出的“ip组”概念对其进行分组,便于分析。之后,利用机器学习,进一步对每个ip的恶意性进行打分,从而判断它所在ip组的恶意性,持续累积迭代,逐步转化为威胁情报,不断提高其准确性,最终判断整个工业控制系统网络的安全性。对应的可视化分析与展示,使结果更加生动化、具象化。
本发明提出一种基于威胁情报的工业控制系统网络安全性分析方法及系统,包括:获取所有访问过工业控制系统的ip地址(后简称“访问ip”)及相关绑定的域名;对已发现的ip地址和相关域名进行恶意性判断;基于访问ip和相关域名的绑定关系,对已有的访问ip进行分组(后简称“ip组”);从时间特性,空间特性和恶意性等方面对已发现的ip组进行分析,并对ip组的恶意性进行打分;根据已发现ip组及其相关特性,对ip组进行机器学习,建立判断ip组是否为恶意ip组的决策树模型,并对模型进行评估。获取待分析工业控制系统的所有访问ip,根据访问ip找到工业控制系统相关的所有ip组,并通过可视化页面对工业控制系统的访问关系进行全方面分析;根据相关ip组的恶意性对工业控制系统网络安全性进行打分,并与设定的网络安全性阈值进行对比,对于网络安全性评分较高的工业控制系统进行预警。根据预设时间,周期性的执行上述步骤,不断提高准确率和覆盖率,更新威胁情报库和相关的恶意性和安全性分析结果。
需要特殊说明的是:如上所述是结合具体内容提供的一种实施方式,并不能认定本发明的具体实施只局限于这些说明。凡与本发明的结构、装置相似、雷同,或是对于本发明构思前提下做出若干技术推演或替换,都应当视为本发明的保护范围。
Claims (9)
1.一种基于威胁情报的工业控制系统网络安全性分析系统,其特征在于,包括:
工业控制系统访问ip获取模块,用于获取访问过工控系统的ip列表;
ip和域名信息获取模块,用于通过相关的安全服务提供商和工控蜜罐获取访问过工控系统的ip的具体信息,通过域名黑名单及相关威胁情报信息查询接口,对ip地址和相关域名进行恶意性判断,分析工控系统当前的安全性;
ip分组模块,用于对ip和域名信息获取模块获取的ip进行分组,根据访问ip和域名的多对多关联关系;第一个ip节点为Ia,其绑定过的域名数组为Da=(Da1,Da2,……,Dam),所属C类网段为Ca,所属地区为Ra;第二个ip节点为Ib,其绑定过的域名数组为Db=(Db1,Db2,……,Dbn),所属C类网段为Cb,所属地区为Rb;若
或(Ca=Cb)∧(Ra=Rb),则Ia与Ib属于同一ip组,否则不属于同一个ip组;
ip组属性分析模块,用于对ip组的时间特性、空间特性以及ip组的恶意性进行分析;
所述ip组的时间特性包括:总体访问时间分布和访问时间分配专一性;总体访问时间分布指转换时区后的24小时中每小时访问ip数分布的标准差;访问时间分配专一性指转时区后的24小时中每小时访问ip数分布的极差除以期望;
所述ip组的空间特性包括:访问ip地理分布、网段分布、域名连通性、被访问ip地理分布和被访问ip协议分布;访问ip地理分布具体又包括分散均匀性和集中性;被访问ip地理分布又包括分散均匀性和集中性;
所述ip组的恶意性包括:ip恶意性打分和ip组恶意性打分;
决策树建立模块,用于判断新ip组的恶意性,根据ip组的恶意性打分和设定的阈值给ip组设置是否为恶意ip组的标签,再根据ip组的时间特性、空间特性建立判断ip组是否为恶意ip组的决策树模型,并通过测试数据对模型进行评估。
2.根据权利要求1所述的一种基于威胁情报的工业控制系统网络安全性分析系统,其特征在于,所述的ip组属性分析模块中对ip恶意性打分为:
令ip节点为I,其连通度为m,相应连接的域名为D1-Dm,域名对应的度分别为d1-dm,则节点ip的恶意性为:
所述的ip组属性分析模块中对ip组恶意性打分为:
令ip组为G,共包含n个ip节点,则ip组的恶意性为:
3.根据权利要求1或2所述的一种基于威胁情报的工业控制系统网络安全性分析系统,其特征在于,还包括:
工业控制系统可视化分析模块,用于对工业控制系统进行可视化展示与分析,得到其资产画像;获取待分析工业控制系统的所有访问ip,根据访问ip找到工业控制系统相关的所有ip组,并通过可视化页面对工业控制系统的访问关系进行全方面分析;
工业控制系统网络安全性分析模块,用于对工业控制系统网络安全性进行可视化展示与分析得到其攻击者画像,并结合其资产画像得到工控ip安全画像;根据相关ip组的恶意性对工业控制系统网络安全性进行打分,并与设定的网络安全性阈值进行对比,对于网络安全性评分高于所述安全性阈值的工业控制系统进行安全预警。
4.一种权利要求1-3任一项所述的基于威胁情报的工业控制系统网络安全性分析系统的分析方法,其特征在于,包括如下步骤:
1)获取所有访问过工业控制系统的ip地址及相关绑定的域名;
所述ip地址和相关域名通过相关安全服务提供商和工控蜜罐获取;
2)相关的安全服务提供商和工控蜜罐获取访问过工控系统的ip的具体信息,通过域名黑名单及相关威胁情报信息查询接口,对ip地址和相关域名进行恶意性判断,分析工控系统当前的安全性;
3)基于访问ip和相关域名的绑定关系,对已有的访问ip进行分组,根据访问ip和域名的多对多关联关系;第一个ip节点为Ia,其绑定过的域名数组为Da=(Da1,Da2,……,Dam),所属C类网段为Ca,所属地区为Ra;第二个ip节点为Ib,其绑定过的域名数组为Db=(Db1,Db2,……,Dbn),所属C类网段为Cb,所属地区为Rb;若
或(Ca=Cb)∧(Ra=Rb),则Ia与Ib属于同一ip组,否则不属于同一个ip组;
4)从时间特性,空间特性和恶意性方面对已发现的ip组进行分析,并对ip组的恶意性进行打分;
所述ip组的时间特性包括:总体访问时间分布和访问时间分配专一性;总体访问时间分布指转换时区后的24小时中每小时访问ip数分布的标准差;访问时间分配专一性指转时区后的24小时中每小时访问ip数分布的极差除以期望;
所述ip组的空间特性包括:访问ip地理分布、网段分布、域名连通性、被访问ip地理分布和被访问ip协议分布;访问ip地理分布具体又包括分散均匀性和集中性;被访问ip地理分布又包括分散均匀性和集中性;
所述ip组的恶意性包括:ip恶意性打分和ip组恶意性打分;
5)根据已发现ip组及其相关特性,对ip组进行机器学习,建立判断ip组是否为恶意ip组的决策树模型,并对模型进行评估;首先根据ip组的恶意性打分和设定的阈值给ip组设置是否为恶意ip组的标签,其次根据ip组的相关特性建立判断ip组是否为恶意ip组的决策树模型,并通过测试数据对模型进行评估。
5.根据权利要求4所述的分析方法,其特征在于,ip组的恶意性打分具体包括:ip恶意性打分和ip组恶意性打分;令ip节点为I,其连通度为m,相应连接的域名为D1-Dm,域名对应的度分别为d1-dm,则节点ip的恶意性为:
令ip组为G,共包含n个ip节点,则ip组的恶意性为:
6.根据权利要求4所述的分析方法,其特征在于,步骤4)所述的网段分布具体指网段聚集性打分,即每个B类网段所含访问ip数的数学期望除以ip总数;所述域名连通性具体指域名连通性打分,即各域名节点的连通度的数学期望除以ip总数;被访问ip地理分布包括分散均匀性和集中性;所述被访问ip协议分布具体指被访问ip协议分布打分,即被访问协议总数除以已知总工控协议数;
所述访问ip地理分布的分散均匀性和集中性分别指:访问ip在各地区分布数量的标准差和访问ip在各地区分布数量的极差除以期望。
7.根据权利要求4所述的分析方法,其特征在于,还包括如下步骤:
获取待分析工业控制系统的所有访问ip,根据访问ip找到工业控制系统相关的所有ip组,并通过可视化页面对工业控制系统的访问关系进行全方面分析;
根据相关ip组的恶意性对工业控制系统网络安全性进行打分,并与设定的网络安全性阈值进行对比,对于网络安全性评分高于所述安全性阈值的工业控制系统进行预警;
根据预设时间,周期性的执行上述步骤,更新威胁情报库和相关的恶意性和安全性分析结果。
8.根据权利要求7所述的分析方法,其特征在于,所述可视化页面分析具体为:通过可视化技术从ip分组画像、恶意ip统计、个体ip访问时间序列多方面进行分析,得到每日安全态势动态、攻击者报告多个安全报告。
9.根据权利要求7所述的分析方法,其特征在于,所述对工业控制系统网络安全性进行打分具体为:通过对访问过工业控制系统的相关恶意ip组的加权恶意性打分求和,计算当前工业控制系统的网络安全性;令ip组为G,工控系统为Ic,其安全性为S(Ic),访问过工控系统的ip组中,恶意ip组Gm有m个,非恶意ip组Gn有n个,则工控系统的安全性为:
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710849672.3A CN107566390B (zh) | 2017-09-20 | 2017-09-20 | 一种基于威胁情报的工业控制系统网络安全性分析系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710849672.3A CN107566390B (zh) | 2017-09-20 | 2017-09-20 | 一种基于威胁情报的工业控制系统网络安全性分析系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107566390A CN107566390A (zh) | 2018-01-09 |
| CN107566390B true CN107566390B (zh) | 2020-03-24 |
Family
ID=60981660
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710849672.3A Active CN107566390B (zh) | 2017-09-20 | 2017-09-20 | 一种基于威胁情报的工业控制系统网络安全性分析系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107566390B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108600193B (zh) * | 2018-04-03 | 2021-04-13 | 北京威努特技术有限公司 | 一种基于机器学习的工控蜜罐识别方法 |
| CN108924163A (zh) * | 2018-08-14 | 2018-11-30 | 成都信息工程大学 | 基于无监督学习的攻击者画像方法及系统 |
| CN109688142B (zh) * | 2018-12-27 | 2021-07-06 | 国网浙江省电力有限公司电力科学研究院 | 一种工业控制系统网络中威胁管理方法和系统 |
| CN111160749B (zh) * | 2019-12-23 | 2023-07-21 | 绿盟科技集团股份有限公司 | 一种情报质量评估和情报融合方法及装置 |
| CN111245784A (zh) * | 2019-12-30 | 2020-06-05 | 杭州安恒信息技术股份有限公司 | 多维度检测恶意域名的方法 |
| CN113726826B (zh) * | 2021-11-04 | 2022-06-17 | 北京微步在线科技有限公司 | 一种威胁情报生成方法及装置 |
| CN116112230A (zh) * | 2022-12-30 | 2023-05-12 | 安天科技集团股份有限公司 | 一种ip白名单确定方法、装置、设备及存储介质 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9288112B2 (en) * | 2013-11-21 | 2016-03-15 | Rockwell Automation Technologies, Inc. | Automatic network discovery in precision time protocol networks |
| CN104951447A (zh) * | 2014-03-25 | 2015-09-30 | 上海市玻森数据科技有限公司 | 全网舆情监控系统 |
| CN105610876B (zh) * | 2016-04-01 | 2018-10-12 | 江苏科技大学 | 工业控制自动化网络通信协议转换器及通信协议转换方法 |
| CN107070929A (zh) * | 2017-04-20 | 2017-08-18 | 中国电子技术标准化研究院 | 一种工控网络蜜罐系统 |
-
2017
- 2017-09-20 CN CN201710849672.3A patent/CN107566390B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN107566390A (zh) | 2018-01-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107566390B (zh) | 一种基于威胁情报的工业控制系统网络安全性分析系统及方法 | |
| Wang et al. | Delving into internet DDoS attacks by botnets: characterization and analysis | |
| CN107682323B (zh) | 一种工业控制系统网络访问安全性预警系统及方法 | |
| CN106375331B (zh) | 一种攻击组织的挖掘方法及装置 | |
| US10742664B2 (en) | Probabilistically detecting low-intensity, multi-modal threats using synthetic events | |
| Giatsoglou et al. | Retweeting activity on twitter: Signs of deception | |
| Cui et al. | Spatio-temporal characterization of synchrophasor data against spoofing attacks in smart grids | |
| Zhou et al. | DGA-Based Botnet Detection Using DNS Traffic. | |
| Lee et al. | Open source intelligence base cyber threat inspection framework for critical infrastructures | |
| Bryant et al. | Improving SIEM alert metadata aggregation with a novel kill-chain based classification model | |
| CN104246785A (zh) | 用于移动应用声誉的众包的系统和方法 | |
| TW201428528A (zh) | 識別網站用戶的方法和裝置 | |
| Buinevich et al. | Forecasting issues of wireless communication networks’ cyber resilience for an intelligent transportation system: An overview of cyber attacks | |
| CN110062380A (zh) | 一种移动应用系统的连接访问请求安全检测方法 | |
| Banerjee et al. | Unsupervised learning for trustworthy IoT | |
| CN113111951B (zh) | 数据处理方法以及装置 | |
| Williams et al. | Perceptions of the eCrime controllers: Modelling the influence of cooperation and data source factors | |
| CN113868656A (zh) | 一种基于行为模式的apt事件同源判定方法 | |
| Swessi et al. | A comparative review of security threats datasets for vehicular networks | |
| Chen et al. | MDFD: A multi-source data fusion detection framework for Sybil attack detection in VANETs | |
| CN110912933B (zh) | 一种基于被动测量的设备识别方法 | |
| Ionită et al. | Biologically inspired risk assessment in cyber security using neural networks | |
| CN105791263A (zh) | 一种信息安全风险预警方法及管理系统 | |
| CN113709097B (zh) | 网络风险感知方法及防御方法 | |
| CN115567237A (zh) | 基于知识图谱的网络安全评估方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20180109 Assignee: Liaoning Hesheng Yida Technology Co.,Ltd. Assignor: Northeastern University Contract record no.: X2023210000208 Denomination of invention: An Industrial Control System Network Security Analysis System and Method Based on Threat Intelligence Granted publication date: 20200324 License type: Common License Record date: 20231127 |
|
| EE01 | Entry into force of recordation of patent licensing contract |