CN111935064A - 一种工控网络威胁自动隔离方法及系统 - Google Patents

一种工控网络威胁自动隔离方法及系统 Download PDF

Info

Publication number
CN111935064A
CN111935064A CN202010466114.0A CN202010466114A CN111935064A CN 111935064 A CN111935064 A CN 111935064A CN 202010466114 A CN202010466114 A CN 202010466114A CN 111935064 A CN111935064 A CN 111935064A
Authority
CN
China
Prior art keywords
threat
operation information
event
decision
industrial control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010466114.0A
Other languages
English (en)
Inventor
李牧野
黄益彬
朱世顺
刘苇
景娜
陆英玮
祁龙云
金建龙
张林霞
王梓
杨康乐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nari Information and Communication Technology Co
Original Assignee
Nari Information and Communication Technology Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nari Information and Communication Technology Co filed Critical Nari Information and Communication Technology Co
Priority to CN202010466114.0A priority Critical patent/CN111935064A/zh
Publication of CN111935064A publication Critical patent/CN111935064A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Abstract

本发明公开了一种工控网络威胁自动隔离方法,包括获取工业控制系统内各设备的运行信息,提取运行信息的特征;响应于预设威胁决策表内存在与运行信息特征匹配的威胁事件,获取威胁事件对应的隔离策略,隔离威胁源;响应于预设威胁决策表内不存在与运行信息特征匹配的威胁事件,将运行信息特征输入预先训练的决策模型,获得运行信息特征对应的事件类别;响应于运行信息特征对应的事件为威胁事件,获取威胁事件对应的隔离策略,隔离威胁源,并将运行信息特征存入预设威胁决策表。同时公开了相应的系统。本发明组合应用威胁决策表与决策模型,有效实现事中威胁源隔离,在保证威胁检测效率的同时,以自学习方式不断完善威胁决策表,实现实时更新,以提高网络安全威胁识别精准度。

Description

一种工控网络威胁自动隔离方法及系统
技术领域
本发明涉及一种工控网络威胁自动隔离方法及系统,属于信息安全技术领域。
背景技术
工业控制系统与传统信息系统相比,具有高实时性、高可靠性和工作连续性等方面的特殊要求,但同时网络安全防御能力也相对匮乏。纵观当前市面上工业控制系统网络安全防护方案,侧重点多放在事前的安全基线核查与脆弱性扫描、事中的网络安全数据监测与预警、事后的攻击溯源与安全加固,缺乏事中的就地化自动阻断机制或自动阻断手段,同时,多数基于模式匹配的威胁检测方法无法有效应更新威胁特征库,威胁特征库更新缓慢成为影响安全防护系统漏报率和准确率的关键因素。介于此,有必要从技术上改进现有工业控制系统网络威胁侦查和自动处置技术。
发明内容
本发明提供了一种工控网络威胁自动隔离方法及系统,解决了背景技术中披露的问题。
为了解决上述技术问题,本发明所采用的技术方案是:
一种工控网络威胁自动隔离方法,包括,
获取工业控制系统内各设备的运行信息,提取运行信息的特征;
响应于预设威胁决策表内存在与运行信息特征匹配的威胁事件,获取威胁事件对应的隔离策略,隔离威胁源;
响应于预设威胁决策表内不存在与运行信息特征匹配的威胁事件,将运行信息特征输入预先训练的决策模型,获得运行信息特征对应的事件类别;响应于运行信息特征对应的事件为威胁事件,获取威胁事件对应的隔离策略,隔离威胁源,并将运行信息特征存入预设威胁决策表。
运行信息包括工业控制系统日志、网络连接信息和业务运行信息;日志包括内核及操作系统日志、用户操作日志和程序运行日志,网络连接信息包括设备自身与外界的TCP/UDP连接信息,业务运行信息包括工业控制系统各类测量、控制及调试指令的信息。
提取运行信息特征的过程为,
对运行信息格式进行范式化转换;
对范式化转换后的运行信息进行特征提取;
对运行信息特征进行缺失补偿,得到完整的运行信息特征。
运行信息的特征包括连续型特征和类别型特征,连续型特征为0/1特征向量,类别型特征为符合标准正太分布的特征。
决策模型为,
目标函数
Figure BDA0002512718080000021
判决函数
Figure BDA0002512718080000022
Figure BDA0002512718080000023
其中,ω为决策模型判决函数的权重,C+、C-为正向类样本和负向类样本惩罚因子,p为正向类样本数量,q为负向类样本数量,ξi、ξj为松弛变量,f(x)为待判决运行信息特征x的判决结果,(xi,yi)为训练样本,xi为训练样本中的运行信息特征,yi为xi对应的事件类别,n为训练样本数量,
Figure BDA0002512718080000031
为第i个训练样本对应的拉格朗日乘子,b*为阈值,K(x,xi)为径向基核函数,σ为K(x,xi)的宽度参数。
隔离威胁源为关闭威胁源所连接的交换机端口或禁用威胁源所有网络接口。
一种工控网络威胁自动隔离方法,包括,
特征提取模块:获取工业控制系统内各设备的运行信息,提取运行信息的特征;
第一决策模块:响应于预设威胁决策表内存在与运行信息特征匹配的威胁事件,获取威胁事件对应的隔离策略,隔离威胁源;
第二决策模块:响应于预设威胁决策表内不存在与运行信息特征匹配的威胁事件,将运行信息特征输入预先训练的决策模型,获得运行信息特征对应的事件类别;响应于运行信息特征对应的事件为威胁事件,获取威胁事件对应的隔离策略,隔离威胁源,并将运行信息特征存入预设威胁决策表。
第二决策模块采用的决策模型为,
目标函数
Figure BDA0002512718080000032
判决函数
Figure BDA0002512718080000041
Figure BDA0002512718080000042
其中,ω为决策模型判决函数的权重,C+、C-为正向类样本和负向类样本惩罚因子,p为正向类样本数量,q为负向类样本数量,ξi、ξj为松弛变量,f(x)为待判决运行信息特征x的判决结果,(xi,yi)为训练样本,xi为训练样本中的运行信息特征,yi为xi对应的事件类别,n为训练样本数量,
Figure BDA0002512718080000043
为第i个训练样本对应的拉格朗日乘子,b*为阈值,K(x,xi)为径向基核函数,σ为K(x,xi)的宽度参数。
一种存储一个或多个程序的计算机可读存储介质,所述一个或多个程序包括指令,所述指令当由计算设备执行时,使得所述计算设备执行工控网络威胁自动隔离方法。
一种计算设备,包括一个或多个处理器、存储器以及一个或多个程序,其中一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个程序包括用于执行工控网络威胁自动隔离方法的指令。
本发明所达到的有益效果:1、本发明组合应用威胁决策表与决策模型,有效实现事中威胁源隔离,在保证威胁检测效率的同时,以自学习方式不断完善威胁决策表,实现实时更新,以提高网络安全威胁识别精准度;2、本发明的决策模型通过引入径向基核函数处理线性不可分样本,通过引入松弛变量解决样本噪音,生成可信决策模型,通过算法优化提高模型的查全率与查准率,从而降低防护系统漏报率、提高检测准确率。
附图说明
图1为本发明方法的流程图。
具体实施方式
下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
如图1所示,一种工控网络威胁自动隔离方法,包括以下步骤;
步骤1,获取工业控制系统内各设备的运行信息,提取运行信息的特征。
运行信息包括工业控制系统日志、网络连接信息和业务运行信息;其中,通过在各类设备上安装探针程序,实现日志和网络连接信息的获取;通过交换机镜像技术实时捕获网络应用层报文,获取各设备业务运行信息。
探针通过读取并监听本机系统日志,实时采集本机运行信息;其中,日志包括内核及操作系统日志、用户操作日志和程序运行日志;本机运行信息包括电源状态、CPU温度、CPU利用率、内存使用率、硬盘使用率、网口流量、外设接入与拔出信息、用户登录与退出信息、用户登录失败信息、用户操作信息、用户权限变更信息、关键进程异常信息、关键文件变更信息等。
探针程序通过netstat等shell命令查看本机网络连接情况,包括设备自身与外界的TCP/UDP连接信息、TCP连接CLOSE_WAIT数量、网络端口监听情况等。
对捕获到的交换机镜像流量进行深度分析,实时获取各设备业务运行信息,业务运行信息包括工业控制系统各类测量、控制及调试指令的信息。具体以IEC-60875-5-104通信规约为例,解析104报文中类型标识、可变帧结构限定词、传送原因等关键字段,分别提取测量、控制及调试指令,并打上时标,形成该设备在不同时间段内的业务指令链。
在提取运行信息特征之前,先对运行信息进行过滤,过滤掉无用或冗余的垃圾信息,在进行运行信息判重与归并,防止因大量重复计算影响后续决策模型的运行效率。
提取运行信息特征的过程:
1)对运行信息格式进行范式化转换;
2)对范式化转换后的运行信息进行特征提取;
3)对运行信息特征进行缺失补偿,得到完整的运行信息特征。
对于上述特征可分为连续型特征和类别型特征,连续型特征为0/1特征向量,如应用层协议名称,编码方案如表1所示,支持214种应用层协议解析与编码;
表1应用层协议名称编码
协议名称 编码前ID 编码后
FTP 1 00000001
POP 2 00000010
SMTP 3 00000011
IMAP 4 00000100
…… …… ……
TEREDO 214 11010110
类别型特征为符合标准正太分布的特征,即对于每列连续型特征做向量运算,处理后的每列特征符合标准正太分布。
步骤2,判断预设威胁决策表内是否存在与运行信息特征匹配的威胁事件,若存在,则获取威胁事件对应的隔离策略,隔离威胁源,并生成威胁检测与威胁隔离告警,记录至本地日志,否则转至步骤3。
威胁决策表在运行前事先配置,威胁决策表内每条记录对应一类威胁事件,包括设备访问互联网、设备接入无线网卡、设备开启非法服务、启动网络攻击、业务非法控制指令等,对于实时的各设备运行信息特征采用模式匹配方式索引威胁决策表,匹配任意一条即触发自动隔离策略。
步骤3,将运行信息特征输入预先训练的决策模型,获得运行信息特征对应的事件类别。
训练决策模型此案有的是设备真实运行信息为训练样本,其处理运行信息的方法与步骤1的类似,获得的训练样本为(xi,yi),xi为训练样本i中的运行信息特征,yi为xi对应的事件类别。
使用70%的初始训练样本作为训练集,剩余30%的初始训练样本作为测试集,然后使用支持向量机对训练集进行决策模型训练。考虑到初始训练样本是线性不可分的,在此引入径向基核函数以解决模型训练过程中样本量小、非线性与局部极值等问题,径向基核函数公式为,
Figure BDA0002512718080000071
其中,K(x,xi)为径向基核函数,σ为K(x,xi)的宽度参数,控制了函数的径向作用范围,x为待判决运行信息特征。
为解决样本噪音问题,为每个离群样本引入松弛变量ξi,即放弃对所有离群样本的精确分类,允许个别离群样本的分类偏差,由此带来的相应损失,记为
Figure BDA0002512718080000072
可得支持向量机目标函数为,
Figure BDA0002512718080000073
其中,ω为决策模型判决函数的权重,为待求的变量,C为惩罚因子,n为训练样本数量。
考虑到网络安全威胁检测为偏斜类问题,即样本中正向类(即无威胁事件)的样本数量远远大于负向类(即威胁事件)样本,而负向类样本(对应异常类网络威胁事件)又非常重要,为提高模型的准确性与可信度,对支持向量机算法进行优化。采用的方式是上式目标函数中的惩罚因子进行调整,将其拆分为C+、C-两类,目标函数变为:
Figure BDA0002512718080000081
其中,C+、C-为正向类样本和负向类样本惩罚因子,p为正向类样本数量,q为负向类样本数量,ξi、ξj为松弛变量。适当调控使得C-偏大,意味着对负向类样本不精确的分类会带来更大的代价,以此来抵消偏斜类样本对分类精度的影响。
在模型训练过程中,主要涉及的调参对象为惩罚因子C+、C-以及径向基核函数中的σ。首先按照样本特性确定三个参数的搜索区间,以3为倍数等分三个搜索区间,然后采用三维网格搜索寻找三个参数的最佳组合,使得测试集误差最小,即得当前模型的最优参数组合。以此训练出的决策模型具有较高的分类精确度和鲁棒性,可视为可信决策模型应用于当前问题。
决策模型的判决函数:
Figure BDA0002512718080000082
其中,f(x)为待判决运行信息特征x的判决结果,
Figure BDA0002512718080000083
为第i个训练样本对应的拉格朗日乘子,b*为阈值,sgn为符号函数,取值{+1,-1}。若判决函数输出+1,则模型决策为正向类事件,即判决为无威胁;若判决函数输出-1,则模型决策为负向类事件,此为威胁事件,需更新决策表,同时触发自动隔离策略。
步骤4,若运行信息特征对应的事件为威胁事件,则获取威胁事件对应的隔离策略,隔离威胁源,生成威胁检测与威胁隔离告警,记录至本地日志,并将运行信息特征存入预设威胁决策表,即更新预设威胁决策表。
隔离威胁源方式主要有两种,方式一:关闭威胁源所连接的交换机端口,具体步骤为:
1)事先录入工控系统内各设备台账信息,包括设备名称、设备类型、IP地址、MAC地址、系统版本;
2)通过SNMP协议轮询每台交换机MAC地址表,对应的对象标识符(ObjectIdentifier,OID)为.1.3.6.1.2.1.17.7.1.2.2.1,获取每台交换机每个在线的网络接口所连接的MAC地址,将所属MAC地址的设备和该交换机网口作绑定;
3)当触发自动隔离操作时,索引威胁源所属交换机网口,通过SNMP协议的“SET”命令操作此交换机的ifAdminStatus节点,对应的OID为.1.3.6.1.2.1.2.2.1.7,设置对应网口状态为“down”。
当触发自动隔离操作时,优先采用方式一隔离威胁源。因为在威胁处置结束后,可远程下发命令重置被关闭的网口状态为“up”,恢复被隔离的设备。
方式二:禁用威胁源所有网络接口,具体步骤为:当方式一隔离失败时,通过自定义TCP/IP协议通道,向威胁源下发网卡禁用命令,依托设备上预置的探针程序,禁用网卡驱动,实现威胁源的自我隔离。
上述方法组合应用威胁决策表与决策模型,有效实现事中威胁源隔离,在保证威胁检测效率的同时,以自学习方式不断完善威胁决策表,实现实时更新,以提高网络安全威胁识别精准度。上述方法以真实运行数据为训练样本,决策模型通过引入径向基核函数处理线性不可分样本,通过引入松弛变量解决样本噪音,生成可信决策模型,通过算法优化提高模型的查全率与查准率,从而降低防护系统漏报率、提高检测准确率。
一种工控网络威胁自动隔离方法,包括,
特征提取模块:获取工业控制系统内各设备的运行信息,提取运行信息的特征。
第一决策模块:响应于预设威胁决策表内存在与运行信息特征匹配的威胁事件,获取威胁事件对应的隔离策略,隔离威胁源;
第二决策模块:响应于预设威胁决策表内不存在与运行信息特征匹配的威胁事件,将运行信息特征输入预先训练的决策模型,获得运行信息特征对应的事件类别;响应于运行信息特征对应的事件为威胁事件,获取威胁事件对应的隔离策略,隔离威胁源,并将运行信息特征存入预设威胁决策表。
第二决策模块采用的决策模型为,
目标函数
Figure BDA0002512718080000101
判决函数
Figure BDA0002512718080000102
Figure BDA0002512718080000111
其中,ω为决策模型判决函数的权重,C+、C-为正向类样本和负向类样本惩罚因子,p为正向类样本数量,q为负向类样本数量,ξi、ξj为松弛变量,f(x)为待判决运行信息特征x的判决结果,(xi,yi)为训练样本,xi为训练样本中的运行信息特征,yi为xi对应的事件类别,n为训练样本数量,
Figure BDA0002512718080000112
为第i个训练样本对应的拉格朗日乘子,b*为阈值,K(x,xi)为径向基核函数,σ为K(x,xi)的宽度参数。
一种存储一个或多个程序的计算机可读存储介质,所述一个或多个程序包括指令,所述指令当由计算设备执行时,使得所述计算设备执行工控网络威胁自动隔离方法。
一种计算设备,包括一个或多个处理器、存储器以及一个或多个程序,其中一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个程序包括用于执行工控网络威胁自动隔离方法的指令。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上仅为本发明的实施例而已,并不用于限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均包含在申请待批的本发明的权利要求范围之内。

Claims (10)

1.一种工控网络威胁自动隔离方法,其特征在于:包括,
获取工业控制系统内各设备的运行信息,提取运行信息的特征;
响应于预设威胁决策表内存在与运行信息特征匹配的威胁事件,获取威胁事件对应的隔离策略,隔离威胁源;
响应于预设威胁决策表内不存在与运行信息特征匹配的威胁事件,将运行信息特征输入预先训练的决策模型,获得运行信息特征对应的事件类别;响应于运行信息特征对应的事件为威胁事件,获取威胁事件对应的隔离策略,隔离威胁源,并将运行信息特征存入预设威胁决策表。
2.根据权利要求1所述的一种工控网络威胁自动隔离方法,其特征在于:运行信息包括工业控制系统日志、网络连接信息和业务运行信息;日志包括内核及操作系统日志、用户操作日志和程序运行日志,网络连接信息包括设备自身与外界的TCP/UDP连接信息,业务运行信息包括工业控制系统各类测量、控制及调试指令的信息。
3.根据权利要求1所述的一种工控网络威胁自动隔离方法,其特征在于:提取运行信息特征的过程为,
对运行信息格式进行范式化转换;
对范式化转换后的运行信息进行特征提取;
对运行信息特征进行缺失补偿,得到完整的运行信息特征。
4.根据权利要求1所述的一种工控网络威胁自动隔离方法,其特征在于:运行信息的特征包括连续型特征和类别型特征,连续型特征为0/1特征向量,类别型特征为符合标准正太分布的特征。
5.根据权利要求1所述的一种工控网络威胁自动隔离方法,其特征在于:决策模型为,
目标函数
Figure FDA0002512718070000021
判决函数
Figure FDA0002512718070000022
Figure FDA0002512718070000023
其中,ω为决策模型判决函数的权重,C+、C-为正向类样本和负向类样本惩罚因子,p为正向类样本数量,q为负向类样本数量,ξi、ξj为松弛变量,f(x)为待判决运行信息特征x的判决结果,(xi,yi)为训练样本,xi为训练样本中的运行信息特征,yi为xi对应的事件类别,n为训练样本数量,
Figure FDA0002512718070000024
为第i个训练样本对应的拉格朗日乘子,b*为阈值,K(x,xi)为径向基核函数,σ为K(x,xi)的宽度参数。
6.根据权利要求1所述的一种工控网络威胁自动隔离方法,其特征在于:隔离威胁源为关闭威胁源所连接的交换机端口或禁用威胁源所有网络接口。
7.一种工控网络威胁自动隔离方法,其特征在于:包括,
特征提取模块:获取工业控制系统内各设备的运行信息,提取运行信息的特征;
第一决策模块:响应于预设威胁决策表内存在与运行信息特征匹配的威胁事件,获取威胁事件对应的隔离策略,隔离威胁源;
第二决策模块:响应于预设威胁决策表内不存在与运行信息特征匹配的威胁事件,将运行信息特征输入预先训练的决策模型,获得运行信息特征对应的事件类别;响应于运行信息特征对应的事件为威胁事件,获取威胁事件对应的隔离策略,隔离威胁源,并将运行信息特征存入预设威胁决策表。
8.根据权利要求7所述的一种工控网络威胁自动隔离方法,其特征在于:第二决策模块采用的决策模型为,
目标函数
Figure FDA0002512718070000031
判决函数
Figure FDA0002512718070000032
Figure FDA0002512718070000033
其中,ω为决策模型判决函数的权重,C+、C-为正向类样本和负向类样本惩罚因子,p为正向类样本数量,q为负向类样本数量,ξi、ξj为松弛变量,f(x)为待判决运行信息特征x的判决结果,(xi,yi)为训练样本,xi为训练样本中的运行信息特征,yi为xi对应的事件类别,n为训练样本数量,
Figure FDA0002512718070000034
为第i个训练样本对应的拉格朗日乘子,b*为阈值,K(x,xi)为径向基核函数,σ为K(x,xi)的宽度参数。
9.一种存储一个或多个程序的计算机可读存储介质,其特征在于:所述一个或多个程序包括指令,所述指令当由计算设备执行时,使得所述计算设备执行根据权利要求1至6所述的方法中的任一方法。
10.一种计算设备,其特征在于:包括,
一个或多个处理器、存储器以及一个或多个程序,其中一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个程序包括用于执行根据权利要求1至6所述的方法中的任一方法的指令。
CN202010466114.0A 2020-05-28 2020-05-28 一种工控网络威胁自动隔离方法及系统 Pending CN111935064A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010466114.0A CN111935064A (zh) 2020-05-28 2020-05-28 一种工控网络威胁自动隔离方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010466114.0A CN111935064A (zh) 2020-05-28 2020-05-28 一种工控网络威胁自动隔离方法及系统

Publications (1)

Publication Number Publication Date
CN111935064A true CN111935064A (zh) 2020-11-13

Family

ID=73316513

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010466114.0A Pending CN111935064A (zh) 2020-05-28 2020-05-28 一种工控网络威胁自动隔离方法及系统

Country Status (1)

Country Link
CN (1) CN111935064A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114301669A (zh) * 2021-12-28 2022-04-08 南方电网数字电网研究院有限公司 针对电网厂站主机的安全防御方法、装置、设备和介质
CN114598513A (zh) * 2022-02-24 2022-06-07 烽台科技(北京)有限公司 工控威胁事件的响应方法、装置、工控设备及介质
CN114697052A (zh) * 2020-12-25 2022-07-01 北京千里日成科技有限公司 网络防护方法及装置
CN114780810A (zh) * 2022-04-22 2022-07-22 中国电信股份有限公司 数据处理方法、装置、存储介质及电子设备

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107154950A (zh) * 2017-07-24 2017-09-12 深信服科技股份有限公司 一种日志流异常检测的方法及系统
CN108494746A (zh) * 2018-03-07 2018-09-04 长安通信科技有限责任公司 一种网络端口流量异常检测方法及系统
CN109660550A (zh) * 2018-12-29 2019-04-19 中国电力科学研究院有限公司 一种用于嵌入式终端安全防御的系统及方法
WO2019134224A1 (zh) * 2018-01-08 2019-07-11 平安科技(深圳)有限公司 一种网络威胁管理方法、装置、计算机设备及存储介质
CN110535878A (zh) * 2019-09-23 2019-12-03 电子科技大学 一种基于事件序列的威胁检测方法
CN111030977A (zh) * 2019-04-26 2020-04-17 北京安天网络安全技术有限公司 一种攻击事件追踪方法、装置及存储介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107154950A (zh) * 2017-07-24 2017-09-12 深信服科技股份有限公司 一种日志流异常检测的方法及系统
WO2019134224A1 (zh) * 2018-01-08 2019-07-11 平安科技(深圳)有限公司 一种网络威胁管理方法、装置、计算机设备及存储介质
CN108494746A (zh) * 2018-03-07 2018-09-04 长安通信科技有限责任公司 一种网络端口流量异常检测方法及系统
CN109660550A (zh) * 2018-12-29 2019-04-19 中国电力科学研究院有限公司 一种用于嵌入式终端安全防御的系统及方法
CN111030977A (zh) * 2019-04-26 2020-04-17 北京安天网络安全技术有限公司 一种攻击事件追踪方法、装置及存储介质
CN110535878A (zh) * 2019-09-23 2019-12-03 电子科技大学 一种基于事件序列的威胁检测方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
刘娜;: "基于萤火虫群优化支持向量机的网络入侵检测方法", 计算机测量与控制, no. 11, pages 3532 - 3533 *
吕云霄;吴美平;胡小平;: "基于支持向量机的地磁辅助导航匹配区域选取准则", 兵工自动化, no. 01, pages 50 - 52 *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114697052A (zh) * 2020-12-25 2022-07-01 北京千里日成科技有限公司 网络防护方法及装置
CN114697052B (zh) * 2020-12-25 2023-10-27 北京国双千里科技有限公司 网络防护方法及装置
CN114301669A (zh) * 2021-12-28 2022-04-08 南方电网数字电网研究院有限公司 针对电网厂站主机的安全防御方法、装置、设备和介质
CN114598513A (zh) * 2022-02-24 2022-06-07 烽台科技(北京)有限公司 工控威胁事件的响应方法、装置、工控设备及介质
CN114780810A (zh) * 2022-04-22 2022-07-22 中国电信股份有限公司 数据处理方法、装置、存储介质及电子设备
CN114780810B (zh) * 2022-04-22 2024-02-27 中国电信股份有限公司 数据处理方法、装置、存储介质及电子设备

Similar Documents

Publication Publication Date Title
CN111935064A (zh) 一种工控网络威胁自动隔离方法及系统
Hu et al. A simple and efficient hidden Markov model scheme for host-based anomaly intrusion detection
CN111277570A (zh) 数据的安全监测方法和装置、电子设备、可读介质
CN111930882B (zh) 一种服务器异常溯源方法、系统及存储介质
CN107360145B (zh) 一种多节点蜜罐系统及其数据分析方法
CN113676484B (zh) 一种攻击溯源方法、装置和电子设备
CN111385309B (zh) 在线办公设备的安全检测方法、系统及终端
CN112528279B (zh) 一种入侵检测模型的建立方法和装置
CN112491860A (zh) 一种面向工业控制网络的协同入侵检测方法
CN111339050B (zh) 一种基于大数据平台集中安全审计的方法及系统
CN111064719A (zh) 文件异常下载行为的检测方法及装置
Nalavade et al. Evaluation of k-means clustering for effective intrusion detection and prevention in massive network traffic data
CN110909380B (zh) 一种异常文件访问行为监控方法和装置
KR102311997B1 (ko) 인공지능 행위분석 기반의 edr 장치 및 방법
CN112583847A (zh) 一种面向中小企业网络安全事件复杂分析的方法
Kidmose et al. Featureless discovery of correlated and false intrusion alerts
CN116599743A (zh) 4a异常绕行检测方法、装置、电子设备及存储介质
CN114205855A (zh) 一种面向5g切片的馈线自动化业务网络异常检测方法
CN115277178A (zh) 基于企业网网络流量的异常监测方法、装置及存储介质
CN114880392A (zh) 多源异构安全设备海量数据归一化处理方法
Yu et al. Mining anomaly communication patterns for industrial control systems
CN110971476A (zh) 一种文件下载行为的分析方法、系统及智能终端
CN116915459B (zh) 一种基于大语言模型的网络威胁分析方法
CN107566187B (zh) 一种sla违例监测方法、装置和系统
US20230138200A1 (en) Security management method and system for blended environment

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination