CN107682323A - 一种工业控制系统网络访问安全性预警系统及方法 - Google Patents
一种工业控制系统网络访问安全性预警系统及方法 Download PDFInfo
- Publication number
- CN107682323A CN107682323A CN201710853370.3A CN201710853370A CN107682323A CN 107682323 A CN107682323 A CN 107682323A CN 201710853370 A CN201710853370 A CN 201710853370A CN 107682323 A CN107682323 A CN 107682323A
- Authority
- CN
- China
- Prior art keywords
- access
- white list
- malice
- module
- control system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 18
- 238000004458 analytical method Methods 0.000 claims abstract description 42
- 238000004891 communication Methods 0.000 claims description 4
- 238000005206 flow analysis Methods 0.000 claims description 4
- 238000004321 preservation Methods 0.000 claims description 3
- 238000000205 computational method Methods 0.000 claims description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000005272 metallurgy Methods 0.000 description 1
- 230000000149 penetrating effect Effects 0.000 description 1
- 239000010865 sewage Substances 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Abstract
本发明提出一种工业控制系统网络访问安全性预警系统及方法,包括:生成工业控制系统网络访问白名单;获取工业控制系统网络访问恶意ip组库;对申请访问工业控制系统的ip进行拦截和白名单验证;对不在白名单中的访问ip进行恶意性分析,并对发现的恶意访问ip进行安全预警;对无法确定的访问ip,将其保存到可疑ip库,当白名单和恶意ip组库更新时进行重复验证;对所有的访问ip进行访问信息日志记录。根据访问ip的访问日志学习各类访问ip的访问模式;将可疑ip的访问模式与恶意ip和白名单ip的访问模式进行匹配,判断访问ip的类别;对判断为恶意ip的访问ip进行安全预警,将判断为白名单ip的访问ip进行白名单推荐;将新发现的白名单ip更新到已有白名单中。
Description
技术领域
本发明属于工控网络安全领域,一种工业控制系统网络访问安全性预警系统及方法。
背景技术
工业控制系统广泛应用于我国电力、水利、污水处理、石油化工、冶金、汽车、航空航天等多个涉及国计民生的关键行业。随着工业化与信息化的深度融合,工业控制系统中信息化程度越来越高,通用软硬件和网络设施的广泛使用,打破了工业控制系统与互联网的“隔离”,带来了一系列网络安全威胁。
作为工业控制网络的重要组成部分,工业控制网络安全深刻地影响着工业控制网络及相关产业的发展,具有极强的产业关联度和产业渗透能力,因此工业控制网络安全产业得到了极大的关注。
然而,随着互联网技术的迅猛发展,其建设之初所具有的“尽力而为”的安全防护理念,已经给工控网络安全造成了巨大的威胁。在应对安全问题方面,传统的安全预警方式已经显得力不从心,暴露出了许多问题。例如,访问工控系统的ip中存在着大量无法确定的灰色数据,以往方法大多将这些灰色ip直接确定为恶意ip,这种方法显然并不准确。面对这些实际情况,必须深入研究分析安全预警问题的特征和规律,积极制定安全策略和防范措施,确保网络运行安全可靠。
发明内容
本发明的目的在于利用分析访问ip的方法,提供一种工业控制系统网络访问安全性预警方法及系统。
一种工业控制系统网络访问安全性预警系统,包括:
a.工业控制系统网络访问白名单生成模块;用于根据工业现场的具体要求,设定允许访问该工业控制系统的网络ip及其访问权限,为某一工业控制系统生成其特有的网络访问白名单;
b.恶意ip组库生成模块;用于通过威胁情报分析,对已有的工业控制系统访问ip进行恶意性计算,再根据访问ip的恶意性计算相关ip组的恶意性,并最终生成恶意ip组库,所述恶意ip通过威胁情报进行时空分析和恶意性分析;
c.工业控制系统访问拦截和白名单验证模块;用于对申请访问工业控制系统的ip进行拦截和白名单验证,判断其是否可以访问该系统;当外部ip申请访问某工业控制系统时,系统首先对该访问ip进行白名单验证,若该访问ip在白名单范围内,且拥有访问权限,则允许其访问工业控制系统;若不在白名单范围内,则对该ip进行拦截;
d.访问ip恶意性分析模块;用于对不在白名单中的访问ip进行恶意性分析,判断其是否属于恶意ip组库;查找访问ip在恶意ip组库中对应的恶意ip组,计算出该恶意ip组中恶意ip的恶意性期望值E(M(I));若访问ip的恶意性M(I)大于该期望值E(M(I)),则将其判定为恶意ip,并对其进行安全预警和访问控制;反之,则将其判定为可疑ip,对其进行访问控制,等待进一步处理;
e.可疑ip保存和验证模块;将访问ip与白名单和恶意ip组库进行比对后,将既不在已有白名单列表中,也未被判定为恶意的访问ip保存到可疑ip库中,并当白名单和恶意ip组库更新时进行重复验证;所述重复验证是指:当对白名单进行更新或对恶意ip组库进行更新时,会添加大量新的ip,很可能包含可疑ip库中的ip,因此需要对可疑ip库进行重新评估;
f.访问ip访问信息日志记录模块;用于对所有的访问ip进行访问信息日志记录。所述访问信息包括ip类型、访问时间、访问时长、访问流量和访问目的,其中,ip类型包括白名单ip、可疑ip和恶意ip;白名单ip是白名单包括的ip地址;可疑ip是指既不在已有白名单中,也不在恶意ip组库内;恶意ip是指经过与恶意ip组库比对被判定为恶意的访问ip;
g.访问模式学习模块,用于根据访问ip的访问日志学习各类访问ip的访问模式特征;依据访问ip的访问时间、访问时长、访问频率、访问类型、访问地点、访问流量和访问目标特性,学习各类访问ip的访问特点,最终形成相应的访问模式;其中,访问模式指各类访问ip在不同访问特性下的取值特征的组合;
h.访问模式匹配模块,用于将可疑ip的访问模式与恶意ip和白名单ip的访问模式进行匹配,判断其所属类别;将可疑ip的访问模式与恶意ip和白名单ip的访问模式进行匹配,从而判断访问ip的类别,即先将可疑ip的访问模式与恶意ip的访问模式进行匹配,若匹配程度达到阈值,则认为该访问ip倾向于恶意ip,对其进行安全预警;若匹配程度未达到阈值,将可疑ip的访问模式与白名单ip的访问模式进行匹配,若匹配程度达到阈值,则认为该访问ip倾向于白名单ip,将其推荐给白名单;
i.安全预警模块,用于对发现的恶意访问ip进行安全预警,并生成相关的分析报告。通过与恶意ip组库进行比对或根据上述访问模式匹配,被判定为恶意的访问ip,系统对该访问ip进行安全预警,并给出该访问ip相关的恶意ip组的分析报告;
j.工业控制系统网络访问白名单更新模块;将通过模式匹配和恶意性分析发现的新的正常ip添加到已有白名单中,并为其赋予相应的访问权限,为工业控制系统网络访问白名单更新做出贡献。
进一步地,所述的恶意ip组库生成模块中,访问ip ip组的恶意性计算方法为:ip节点为I,其连通度为m,相应连接的域名为D1-Dm,域名对应的度分别为d1-dm,则节点ip的恶意性为:
ip组为G,共包含n个ip节点,则ip组的恶意性为:
上述工业控制系统网络访问安全性预警系统的方法,包括如下步骤:
a.生成工业控制系统网络访问白名单;根据工业现场的具体要求,设定允许访问工业控制系统的网络ip及其拥有的访问权限,生成该工业控制系统特有的网络访问白名单;
b.获取工业控制系统网络访问恶意ip组库;通过威胁情报分析,对已有的工业控制系统访问ip进行时间、空间特性和恶意性分析,并最终生成恶意ip组库;令ip节点为I,其连通度为m,相应连接的域名为D1-Dm,域名对应的度分别为d1-dm,则节点ip的恶意性为:
令ip组为G,共包含n个ip节点,则ip组的恶意性为:
c.对申请访问工业控制系统的ip进行拦截和白名单验证;当外部ip试图访问工业控制系统时,首先对该访问ip进行白名单验证,若该访问ip在白名单范围内,且权限允许,则允许其访问工业控制系统,否则进行进一步的验证;
d.对不在白名单中的访问ip进行恶意性分析;根据访问ip在恶意ip组库中找到对应的ip组,计算出该恶意ip组中恶意ip的恶意性期望值E(M(I));若访问ip的恶意性M(I)大于该期望值E(M(I)),则将其判定为恶意ip,并对其进行安全预警和访问控制,给出分析报告;否则判定为可疑ip,对其进行访问控制;
e.对无法确定的访问ip将其保存到可疑ip库中;对于既不在已有白名单列表中,也未被判定为恶意的访问ip,将其保存到可疑ip库中;当白名单和恶意ip组库更新时还要进行重复验证,即对白名单或恶意ip组库进行更新时,会添加大量新的ip,很可能包含可疑ip库中的ip,因此需要对可疑ip库进行重新评估;
f.对所有的访问ip进行访问信息日志记录;对访问ip的ip类型、访问时间、访问时长、访问流量和访问目的相关访问信息进行日志记录,便于进一步的流量分析;
g.访问ip的ip类型特征分为:白名单ip、可疑ip和恶意ip。其中,白名单ip是指出现在白名单中的ip地址;可疑ip是指既不在已有白名单列表中,也未被判定为恶意的ip;恶意ip是指经过与恶意ip组库比对被判定为恶意的ip;
h.根据访问ip的访问日志学习各类访问ip的访问模式特征;根据访问ip的访问时间、访问时长、访问频率、访问类型、访问地点、访问流量和访问目标特性,学习各类访问ip的访问特点,最终形成相应的访问模式;其中,访问模式指各类访问ip在不同访问特性下的取值特征的组合;
i.将可疑ip的访问模式与恶意ip和白名单ip的访问模式进行匹配,进一步判断访问ip的类别特征;先将可疑ip的访问模式与恶意ip的访问模式进行匹配,若匹配程度达到阈值,则认为该访问ip倾向于恶意ip,对其进行预警;若匹配程度未达到阈值,将可疑ip的访问模式与白名单ip的访问模式进行匹配,若匹配程度达到阈值,则认为该访问ip倾向于白名单ip,将其推荐给白名单;
j.将新发现的白名单ip更新到已有白名单中;将通过模式匹配和恶意性分析等方法发现的新的正常ip添加到已有白名单中,并为其赋予相应的访问权限,更新整个工业控制系统网络访问ip的白名单。
本发明的有益效果在于提出了一种工业控制系统网络访问安全性预警系统及方法,包括:生成工业控制系统网络访问白名单;获取工业控制系统网络访问恶意ip组库;对申请访问工业控制系统的ip进行拦截和白名单验证;对不在白名单中的访问ip进行恶意性分析,并对发现的恶意访问ip进行安全预警;对无法确定的访问ip,将其保存到可疑ip库,并当白名单和恶意ip组库更新时进行重复验证;对所有的访问ip进行访问信息日志记录;根据访问ip的访问日志学习各类访问ip的访问模式;将可疑ip的访问模式与恶意ip和白名单ip的访问模式进行匹配,进一步判断访问ip的类别;对于判断为恶意ip的访问ip进行安全预警,对于判断为白名单ip的访问ip进行白名单推荐。将新发现的正常访问ip更新到工控系统已有访问白名单中;根据预设时间,周期性地执行上述步骤,不断提高准确率和覆盖率,更新工控网络访问白名单和相关的恶意ip组库。
附图说明
图1是本发明的方法流程图。
图2是本发明的系统模块图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。但不作为对本发明技术方案的限定。
本发明提出一种工业控制系统网络访问安全性预警方法及系统,较为准确地分析访问ip的恶意与否,并对工业控制系统访问白名单的更新做出贡献。
1.一种工业控制系统网络访问安全性预警方法,如图1所示,其特征在于以下步骤:
a.生成工业控制系统网络访问白名单。根据工业现场的具体要求,设定允许访问工业控制系统的网络ip及其拥有的访问权限,生成该工业控制系统特有的网络访问白名单;
b.获取工业控制系统网络访问恶意ip组库。通过威胁情报分析,对已有的工业控制系统访问ip进行时间、空间特性和恶意性分析,并最终生成恶意ip组库。假设,ip节点为I,其连通度为m,相应连接的域名为D1-Dm,域名对应的度分别为d1-dm,则节点ip的恶意性为:
假设,ip组为G,共包含n个ip节点,则ip组的恶意性为:
c.对申请访问工业控制系统的ip进行拦截和白名单验证。当外部ip试图访问工业控制系统时,本发明首先会对该访问ip进行白名单验证,若该访问ip在白名单范围内,且权限允许,则允许其访问工业控制系统,否则进行进一步的验证;
d.对不在白名单中的访问ip进行恶意性分析。根据访问ip在恶意ip组库中找到对应的ip组,计算出该恶意ip组中恶意ip的恶意性期望值E(M(I));若访问ip的恶意性M(I)大于该期望值E(M(I)),则将其判定为恶意ip,并对其进行安全预警和访问控制,给出分析报告;否则判定为可疑ip,对其进行访问控制;
e.对无法确定的访问ip将其保存到可疑ip库中。对于既不在已有白名单列表中,也未被判定为恶意的访问ip,本发明允许将其保存到可疑ip库中;当白名单和恶意ip组库更新时还要进行重复验证,即对白名单或恶意ip组库进行更新时,会添加大量新的ip,很可能包含可疑ip库中的ip,因此需要对可疑ip库进行重新评估;
f.对所有的访问ip进行访问信息日志记录。对访问ip的ip类型、访问时间、访问时长、访问流量和访问目的等相关访问信息进行日志记录,便于进一步的流量分析;
g.访问ip的ip类型特征分为:白名单ip、可疑ip和恶意ip。其中,白名单ip是指出现在白名单中的ip地址;可疑ip是指既不在已有白名单列表中,也未被判定为恶意的ip;恶意ip是指经过与恶意ip组库比对被判定为恶意的ip;
h.根据访问ip的访问日志学习各类访问ip的访问模式特征。根据访问ip的访问时间、访问时长、访问频率、访问类型、访问地点、访问流量和访问目标等特性,学习各类访问ip的访问特点,最终形成相应的访问模式;其中,访问模式指各类访问ip在不同访问特性下的取值特征的组合;
i.将可疑ip的访问模式与恶意ip和白名单ip的访问模式进行匹配,进一步判断访问ip的类别特征。先将可疑ip的访问模式与恶意ip的访问模式进行匹配,若匹配程度达到阈值,则认为该访问ip倾向于恶意ip,对其进行预警;若匹配程度未达到阈值,将可疑ip的访问模式与白名单ip的访问模式进行匹配,若匹配程度达到阈值,则认为该访问ip倾向于白名单ip,将其推荐给白名单;
j.将新发现的白名单ip更新到已有白名单中。将通过模式匹配和恶意性分析等方法发现的新的正常ip添加到已有白名单中,并为其赋予相应的访问权限,更新整个工业控制系统网络访问ip的白名单。
2.一种工业控制系统网络访问安全性预警系统,如图2所示,其特征包括:
a.工业控制系统网络访问白名单生成模块。根据工业现场的具体要求,设定允许访问该工业控制系统的网络ip及其访问权限,用于为某一工业控制系统生成其特有的网络访问白名单;
b.恶意ip组库生成模块。通过威胁情报分析,对已有的工业控制系统访问ip进行恶意性计算,再根据访问ip的恶意性计算相关ip组的恶意性,并最终生成恶意ip组库,所述恶意ip通过威胁情报进行时空分析和恶意性分析;
c.工业控制系统访问拦截和白名单验证模块。用于对申请访问工业控制系统的ip进行拦截和白名单验证,判断其是否可以访问该系统。当外部ip申请访问某工业控制系统时,系统首先会对该访问ip进行白名单验证,若该访问ip在白名单范围内,且拥有访问权限,则允许其访问工业控制系统;若不在白名单范围内,则对该ip进行拦截;
d.访问ip恶意性分析模块。用于对不在白名单中的访问ip进行恶意性分析,判断其是否属于恶意ip组库;查找访问ip在恶意ip组库中对应的恶意ip组,计算出该恶意ip组中恶意ip的恶意性期望值E(M(I));若访问ip的恶意性M(I)大于该期望值E(M(I)),则将其判定为恶意ip,并对其进行安全预警和访问控制;反之,则将其判定为可疑ip,对其进行访问控制,等待进一步处理;
e.可疑ip保存和验证模块。将访问ip与白名单和恶意ip组库进行比对后,可以将既不在已有白名单列表中,也未被判定为恶意的访问ip保存到可疑ip库中,并当白名单和恶意ip组库更新时进行重复验证。重复验证是指:当对白名单进行更新或对恶意ip组库进行更新时,会添加大量新的ip,很可能包含可疑ip库中的ip,因此需要对可疑ip库进行重新评估;
f.访问ip访问信息日志记录模块。用于对所有的访问ip进行访问信息日志记录。对访问ip的ip类型、访问时间、访问时长、访问流量和访问目的等相关访问信息进行日志记录,便于进一步的流量分析。其中,ip类型包括白名单ip、可疑ip和恶意ip;白名单ip是白名单包括的ip地址;可疑ip是指既不在已有白名单中,也不在恶意ip组库内;恶意ip是指经过与恶意ip组库比对被判定为恶意的访问ip;访问ip访问模式学习模块,根据访问ip的多个特性,学习各类访问ip的访问特点,用于形成相应的访问模式;
g.访问模式学习模块,用于根据访问ip的访问日志学习各类访问ip的访问模式特征。依据访问ip的访问时间、访问时长、访问频率、访问类型、访问地点、访问流量和访问目标等特性,学习各类访问ip的访问特点,最终形成相应的访问模式;其中,访问模式指各类访问ip在不同访问特性下的取值特征的组合;
h.访问模式匹配模块,用于将可疑ip的访问模式与恶意ip和白名单ip的访问模式进行匹配,判断其所属类别;将可疑ip的访问模式与恶意ip和白名单ip的访问模式进行匹配,从而步判断访问ip的类别,即先将可疑ip的访问模式与恶意ip的访问模式进行匹配,若匹配程度达到阈值,则认为该访问ip倾向于恶意ip,对其进行安全预警;若匹配程度未达到阈值,将可疑ip的访问模式与白名单ip的访问模式进行匹配,若匹配程度达到阈值,则认为该访问ip倾向于白名单ip,将其推荐给白名单;
i.安全预警模块,用于对发现的恶意访问ip进行安全预警,并生成相关的分析报告。通过与恶意ip组库进行比对或根据上述访问模式匹配,被判定为恶意的访问ip,系统会对该访问ip进行安全预警,并给出该访问ip相关的恶意ip组的分析报告。需要特殊说明的是:如上所述是结合具体内容提供的一种实施方式,并不能认定本发明的具体实施只局限于这些说明。凡与本发明的结构、装置相似、雷同,或是对于本发明构思前提下做出若干技术推演或替换,都应当视为本发明的保护范围。
j.工业控制系统网络访问白名单更新模块。将通过模式匹配和恶意性分析等方法发现的新的正常ip添加到已有白名单中,并为其赋予相应的访问权限,为工业控制系统网络访问白名单更新做出贡献。
Claims (3)
1.一种工业控制系统网络访问安全性预警系统,其特征在于,包括:
a.工业控制系统网络访问白名单生成模块;用于根据工业现场的具体要求,设定允许访问该工业控制系统的网络ip及其访问权限,为某一工业控制系统生成其特有的网络访问白名单;
b.恶意ip组库生成模块;用于通过威胁情报分析,对已有的工业控制系统访问ip进行恶意性计算,再根据访问ip的恶意性计算相关ip组的恶意性,并最终生成恶意ip组库,所述恶意ip通过威胁情报进行时空分析和恶意性分析;
c.工业控制系统访问拦截和白名单验证模块;用于对申请访问工业控制系统的ip进行拦截和白名单验证,判断其是否可以访问该系统;当外部ip申请访问某工业控制系统时,系统首先对该访问ip进行白名单验证,若该访问ip在白名单范围内,且拥有访问权限,则允许其访问工业控制系统;若不在白名单范围内,则对该ip进行拦截;
d.访问ip恶意性分析模块;用于对不在白名单中的访问ip进行恶意性分析,判断其是否属于恶意ip组库;查找访问ip在恶意ip组库中对应的恶意ip组,计算出该恶意ip组中恶意ip的恶意性期望值E(M(I));若访问ip的恶意性M(I)大于该期望值E(M(I)),则将其判定为恶意ip,并对其进行安全预警和访问控制;反之,则将其判定为可疑ip,对其进行访问控制,等待进一步处理;
e.可疑ip保存和验证模块;将访问ip与白名单和恶意ip组库进行比对后,将既不在已有白名单列表中,也未被判定为恶意的访问ip保存到可疑ip库中,并当白名单和恶意ip组库更新时进行重复验证;
f.访问ip访问信息日志记录模块;用于对所有的访问ip进行访问信息日志记录;所述访问信息包括ip类型、访问时间、访问时长、访问流量和访问目的,其中,ip类型包括白名单ip、可疑ip和恶意ip;白名单ip是白名单包括的ip地址;可疑ip是指既不在已有白名单中,也不在恶意ip组库内;恶意ip是指经过与恶意ip组库比对被判定为恶意的访问ip;
g.访问模式学习模块,用于根据访问ip的访问日志学习各类访问ip的访问模式特征;依据访问ip的访问时间、访问时长、访问频率、访问类型、访问地点、访问流量和访问目标特性,学习各类访问ip的访问特点,最终形成相应的访问模式;其中,访问模式指各类访问ip在不同访问特性下的取值特征的组合;
h.访问模式匹配模块,用于将可疑ip的访问模式与恶意ip和白名单ip的访问模式进行匹配,判断其所属类别;将可疑ip的访问模式与恶意ip和白名单ip的访问模式进行匹配,从而判断访问ip的类别,即先将可疑ip的访问模式与恶意ip的访问模式进行匹配,若匹配程度达到阈值,则认为该访问ip倾向于恶意ip,对其进行安全预警;若匹配程度未达到阈值,将可疑ip的访问模式与白名单ip的访问模式进行匹配,若匹配程度达到阈值,则认为该访问ip倾向于白名单ip,将其推荐给白名单;
i.安全预警模块,用于对发现的恶意访问ip进行安全预警,并生成相关的分析报告;通过与恶意ip组库进行比对或根据上述访问模式匹配,被判定为恶意的访问ip,系统对该访问ip进行安全预警,并给出该访问ip相关的恶意ip组的分析报告;
j.工业控制系统网络访问白名单更新模块;将通过模式匹配和恶意性分析发现的新的正常ip添加到已有白名单中,并为其赋予相应的访问权限。
2.根据权利要求1所述的一种工业控制系统网络访问安全性预警系统,其特征在于,所述的恶意ip组库生成模块中,访问ip ip组的恶意性计算方法为:ip节点为I,其连通度为m,相应连接的域名为D1-Dm,域名对应的度分别为d1-dm,则节点ip的恶意性为:
ip组为G,共包含n个ip节点,则ip组的恶意性为:
<mrow>
<mi>M</mi>
<mrow>
<mo>(</mo>
<mi>G</mi>
<mo>)</mo>
</mrow>
<mo>=</mo>
<munderover>
<mo>&Sigma;</mo>
<mrow>
<mi>j</mi>
<mo>=</mo>
<mn>1</mn>
</mrow>
<mi>n</mi>
</munderover>
<mi>M</mi>
<mrow>
<mo>(</mo>
<msub>
<mi>I</mi>
<mi>j</mi>
</msub>
<mo>)</mo>
</mrow>
<mo>.</mo>
</mrow>
3.权利要求1或2所述工业控制系统网络访问安全性预警系统的方法,其特征在于,包括如下步骤:
a.生成工业控制系统网络访问白名单;根据工业现场的具体要求,设定允许访问工业控制系统的网络ip及其拥有的访问权限,生成该工业控制系统特有的网络访问白名单;
b.获取工业控制系统网络访问恶意ip组库;通过威胁情报分析,对已有的工业控制系统访问ip进行时间、空间特性和恶意性分析,并最终生成恶意ip组库;令ip节点为I,其连通度为m,相应连接的域名为D1-Dm,域名对应的度分别为d1-dm,则节点ip的恶意性为:
令ip组为G,共包含n个ip节点,则ip组的恶意性为:
<mrow>
<mi>M</mi>
<mrow>
<mo>(</mo>
<mi>G</mi>
<mo>)</mo>
</mrow>
<mo>=</mo>
<munderover>
<mo>&Sigma;</mo>
<mrow>
<mi>j</mi>
<mo>=</mo>
<mn>1</mn>
</mrow>
<mi>n</mi>
</munderover>
<mi>M</mi>
<mrow>
<mo>(</mo>
<msub>
<mi>I</mi>
<mi>j</mi>
</msub>
<mo>)</mo>
</mrow>
<mo>;</mo>
</mrow>
c.对申请访问工业控制系统的ip进行拦截和白名单验证;当外部ip试图访问工业控制系统时,首先对该访问ip进行白名单验证,若该访问ip在白名单范围内,且权限允许,则允许其访问工业控制系统,否则进行进一步的验证;
d.对不在白名单中的访问ip进行恶意性分析;根据访问ip在恶意ip组库中找到对应的ip组,计算出该恶意ip组中恶意ip的恶意性期望值E(M(I));若访问ip的恶意性M(I)大于该期望值E(M(I)),则将其判定为恶意ip,并对其进行安全预警和访问控制,给出分析报告;否则判定为可疑ip,对其进行访问控制;
e.对无法确定的访问ip将其保存到可疑ip库中;对于既不在已有白名单列表中,也未被判定为恶意的访问ip,将其保存到可疑ip库中;当白名单和恶意ip组库更新时还要进行重复验证;
f.对所有的访问ip进行访问信息日志记录;对访问ip的ip类型、访问时间、访问时长、访问流量和访问目的相关访问信息进行日志记录,便于进一步的流量分析;
g.访问ip的ip类型特征分为:白名单ip、可疑ip和恶意ip;其中,白名单ip是指出现在白名单中的ip地址;可疑ip是指既不在已有白名单列表中,也未被判定为恶意的ip;恶意ip是指经过与恶意ip组库比对被判定为恶意的ip;
h.根据访问ip的访问日志学习各类访问ip的访问模式特征;根据访问ip的访问时间、访问时长、访问频率、访问类型、访问地点、访问流量和访问目标特性,学习各类访问ip的访问特点,最终形成相应的访问模式;其中,访问模式指各类访问ip在不同访问特性下的取值特征的组合;
i.将可疑ip的访问模式与恶意ip和白名单ip的访问模式进行匹配,进一步判断访问ip的类别特征;先将可疑ip的访问模式与恶意ip的访问模式进行匹配,若匹配程度达到阈值,则认为该访问ip倾向于恶意ip,对其进行预警;若匹配程度未达到阈值,将可疑ip的访问模式与白名单ip的访问模式进行匹配,若匹配程度达到阈值,则认为该访问ip倾向于白名单ip,将其推荐给白名单;
j.将新发现的白名单ip更新到已有白名单中;将通过模式匹配和恶意性分析等方法发现的新的正常ip添加到已有白名单中,并为其赋予相应的访问权限,更新整个工业控制系统网络访问ip的白名单。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710853370.3A CN107682323B (zh) | 2017-09-20 | 2017-09-20 | 一种工业控制系统网络访问安全性预警系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710853370.3A CN107682323B (zh) | 2017-09-20 | 2017-09-20 | 一种工业控制系统网络访问安全性预警系统及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107682323A true CN107682323A (zh) | 2018-02-09 |
CN107682323B CN107682323B (zh) | 2020-05-12 |
Family
ID=61135947
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710853370.3A Active CN107682323B (zh) | 2017-09-20 | 2017-09-20 | 一种工业控制系统网络访问安全性预警系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107682323B (zh) |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109327442A (zh) * | 2018-10-10 | 2019-02-12 | 杭州安恒信息技术股份有限公司 | 基于行为白名单的异常检测方法、装置以及电子设备 |
CN109743300A (zh) * | 2018-12-20 | 2019-05-10 | 浙江鹏信信息科技股份有限公司 | 一种基于异构模型策略库的安全事件自动化处置方法 |
CN109784049A (zh) * | 2018-12-21 | 2019-05-21 | 北京奇安信科技有限公司 | 威胁数据处理的方法、设备、系统和介质 |
CN110351280A (zh) * | 2019-07-15 | 2019-10-18 | 杭州安恒信息技术股份有限公司 | 一种威胁情报提取的方法、系统、设备及可读存储介质 |
CN110417769A (zh) * | 2019-07-24 | 2019-11-05 | 孙洪亮 | 一种工业互联网平台多重身份认证方法 |
CN110414226A (zh) * | 2018-04-28 | 2019-11-05 | 北京安天网络安全技术有限公司 | 一种基于关键目标防护的安全维护方法及系统 |
CN110855687A (zh) * | 2019-11-18 | 2020-02-28 | 惠州学院 | 一种网络空间安全态势感知检测分析系统及方法 |
CN110912874A (zh) * | 2019-11-07 | 2020-03-24 | 苏宁云计算有限公司 | 有效识别机器访问行为的方法及系统 |
CN111666553A (zh) * | 2020-07-17 | 2020-09-15 | 江苏荣泽信息科技股份有限公司 | 一种基于分布式pki的区块链身份权限管理方法 |
CN113055362A (zh) * | 2021-03-01 | 2021-06-29 | 深信服科技股份有限公司 | 异常行为的预防方法、装置、设备及存储介质 |
CN113992414A (zh) * | 2021-10-28 | 2022-01-28 | 马上消费金融股份有限公司 | 数据的访问方法、装置及设备 |
CN114363026A (zh) * | 2021-12-27 | 2022-04-15 | 北京安博通科技股份有限公司 | 一种基于白名单的工控网络智能控制管理方法及系统 |
CN114710308A (zh) * | 2021-09-28 | 2022-07-05 | 北京卫达信息技术有限公司 | 一种网络设备访问的控制方法及系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1558608A (zh) * | 2004-01-13 | 2004-12-29 | 重庆邮电学院 | 基于tcp/ip的工业控制网络的安全策略实现方法及系统 |
CN102244664A (zh) * | 2011-08-29 | 2011-11-16 | 浙江中烟工业有限责任公司 | 多级安全互联平台的多级互联安全管理中心子系统 |
US9288112B2 (en) * | 2013-11-21 | 2016-03-15 | Rockwell Automation Technologies, Inc. | Automatic network discovery in precision time protocol networks |
CN106790292A (zh) * | 2017-03-13 | 2017-05-31 | 摩贝(上海)生物科技有限公司 | 基于行为特征匹配和分析的web应用层攻击检测与防御方法 |
-
2017
- 2017-09-20 CN CN201710853370.3A patent/CN107682323B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1558608A (zh) * | 2004-01-13 | 2004-12-29 | 重庆邮电学院 | 基于tcp/ip的工业控制网络的安全策略实现方法及系统 |
CN102244664A (zh) * | 2011-08-29 | 2011-11-16 | 浙江中烟工业有限责任公司 | 多级安全互联平台的多级互联安全管理中心子系统 |
US9288112B2 (en) * | 2013-11-21 | 2016-03-15 | Rockwell Automation Technologies, Inc. | Automatic network discovery in precision time protocol networks |
CN106790292A (zh) * | 2017-03-13 | 2017-05-31 | 摩贝(上海)生物科技有限公司 | 基于行为特征匹配和分析的web应用层攻击检测与防御方法 |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110414226A (zh) * | 2018-04-28 | 2019-11-05 | 北京安天网络安全技术有限公司 | 一种基于关键目标防护的安全维护方法及系统 |
CN109327442A (zh) * | 2018-10-10 | 2019-02-12 | 杭州安恒信息技术股份有限公司 | 基于行为白名单的异常检测方法、装置以及电子设备 |
CN109743300A (zh) * | 2018-12-20 | 2019-05-10 | 浙江鹏信信息科技股份有限公司 | 一种基于异构模型策略库的安全事件自动化处置方法 |
CN109784049A (zh) * | 2018-12-21 | 2019-05-21 | 北京奇安信科技有限公司 | 威胁数据处理的方法、设备、系统和介质 |
CN110351280A (zh) * | 2019-07-15 | 2019-10-18 | 杭州安恒信息技术股份有限公司 | 一种威胁情报提取的方法、系统、设备及可读存储介质 |
CN110417769A (zh) * | 2019-07-24 | 2019-11-05 | 孙洪亮 | 一种工业互联网平台多重身份认证方法 |
CN110912874B (zh) * | 2019-11-07 | 2022-04-05 | 苏宁云计算有限公司 | 有效识别机器访问行为的方法及系统 |
CN110912874A (zh) * | 2019-11-07 | 2020-03-24 | 苏宁云计算有限公司 | 有效识别机器访问行为的方法及系统 |
CN110855687A (zh) * | 2019-11-18 | 2020-02-28 | 惠州学院 | 一种网络空间安全态势感知检测分析系统及方法 |
CN111666553A (zh) * | 2020-07-17 | 2020-09-15 | 江苏荣泽信息科技股份有限公司 | 一种基于分布式pki的区块链身份权限管理方法 |
CN113055362A (zh) * | 2021-03-01 | 2021-06-29 | 深信服科技股份有限公司 | 异常行为的预防方法、装置、设备及存储介质 |
CN114710308A (zh) * | 2021-09-28 | 2022-07-05 | 北京卫达信息技术有限公司 | 一种网络设备访问的控制方法及系统 |
CN114710308B (zh) * | 2021-09-28 | 2023-01-06 | 北京卫达信息技术有限公司 | 一种网络设备访问的控制方法及系统 |
CN113992414A (zh) * | 2021-10-28 | 2022-01-28 | 马上消费金融股份有限公司 | 数据的访问方法、装置及设备 |
CN114363026A (zh) * | 2021-12-27 | 2022-04-15 | 北京安博通科技股份有限公司 | 一种基于白名单的工控网络智能控制管理方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN107682323B (zh) | 2020-05-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107682323A (zh) | 一种工业控制系统网络访问安全性预警系统及方法 | |
CN108449342A (zh) | 恶意请求检测方法及装置 | |
CN107566390B (zh) | 一种基于威胁情报的工业控制系统网络安全性分析系统及方法 | |
CN105871882A (zh) | 基于网络节点脆弱性和攻击信息的网络安全风险分析方法 | |
García‐Carreras et al. | An empirical link between the spectral colour of climate and the spectral colour of field populations in the context of climate change | |
CN105827594A (zh) | 一种基于域名可读性及域名解析行为的可疑性检测方法 | |
Zaman et al. | Security analysis and fault detection against stealthy replay attacks | |
Namatherdhala et al. | Artificial Intelligence trends in IoT Intrusion Detection System: A Systematic Mapping Review | |
Qin et al. | Association analysis-based cybersecurity risk assessment for industrial control systems | |
Wang | Comparative study on different neural networks for network security situation prediction | |
Zhang et al. | Unknown network attack detection based on open‐set recognition and active learning in drone network | |
Muthukrishnan et al. | Optimal control of malware spreading model with tracing and patching in wireless sensor networks | |
Soleymani et al. | A novel approach for detecting DGA-based botnets in DNS queries using machine learning techniques | |
Hongsong et al. | Security threats and defensive approaches in machine learning system under big data environment | |
CN111191230B (zh) | 一种基于卷积神经网络的快速网络攻击回溯挖掘方法和应用 | |
Canbolat et al. | A new hybrid risk assessment process for cyber security design of smart grids using fuzzy analytic hierarchy processes | |
Choraś et al. | Machine learning techniques for threat modeling and detection | |
Gao et al. | An average optimal control approach to the set stabilization problem for boolean control networks | |
Hu et al. | Method for rules set forming of cyber incidents extrapolation in network-centric monitoring | |
Sharma et al. | A systematic literature review on Internet of Vehicles Security | |
Ankita et al. | Analysis of machine learning and deep learning in cyber-physical system security | |
Dora et al. | Ontology for Blind SQL Injection | |
Silivery et al. | An advanced intrusion detection algorithm for network traffic using convolution neural network | |
Krundyshev | Identification of cyber threats in networks of industrial internet of things based on neural network methods using memory | |
Zhu et al. | A two-tiered defence of techniques to prevent SQL injection attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
EE01 | Entry into force of recordation of patent licensing contract | ||
EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20180209 Assignee: Liaoning Hesheng Yida Technology Co.,Ltd. Assignor: Northeastern University Contract record no.: X2023210000208 Denomination of invention: An industrial control system network access security warning system and method Granted publication date: 20200512 License type: Common License Record date: 20231127 |