CN112074834A - 用于运营技术系统的分析装置、方法、系统和存储介质 - Google Patents

用于运营技术系统的分析装置、方法、系统和存储介质 Download PDF

Info

Publication number
CN112074834A
CN112074834A CN201880092338.0A CN201880092338A CN112074834A CN 112074834 A CN112074834 A CN 112074834A CN 201880092338 A CN201880092338 A CN 201880092338A CN 112074834 A CN112074834 A CN 112074834A
Authority
CN
China
Prior art keywords
data
feature
security
characteristic
abnormal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201880092338.0A
Other languages
English (en)
Inventor
唐文
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of CN112074834A publication Critical patent/CN112074834A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Mathematical Physics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明涉及工业网络与信息安全技术领域,尤其涉及用于运营技术系统的分析装置、方法、系统和存储介质。该装置包括:一个解析模块,用于从数据存储区获取与所述运营技术系统相关的第一数据,解析出所述第一数据的第一特征;一个识别模块,用于从所述第一特征中识别出异常特征;一个模型生成模块,用于从所述数据存储区中获取与所述异常特征相关的第二数据,基于所述第二数据生成算法模型,所述算法模型用于识别与所述异常特征相关的攻击行为。可自动完成对攻击行为的识别,实现人类智能与人工智能的优势互补。

Description

用于运营技术系统的分析装置、方法、系统和存储介质
技术领域
本发明涉及工业网络与信息安全技术领域,尤其涉及用于运营技术(OperationalTechnology,OT)系统的分析装置、方法、系统和存储介质。
背景技术
OT系统,也可称为工业控制系统(Industrial Control System,ICS),被配置为用于实现工业过程的自动控制。一个OT系统可以是一个风力发电系统、一个汽车制造车间、一个制药厂、一个城市的污水处理系统等。
传统的OT系统采用封闭式设计,网络攻击很难对其造成威胁。然而,随着自动化制造、过程控制技术的发展,OT系统广泛采用信息技术(Information Technology,IT),已不再是一个封闭的系统,因此OT系统所面临的安全威胁日益严重,保护OT系统免于安全攻击的需求变得迫切。比如:一个工业企业的合资公司或子公司,甚至服务外包公司的网络,都可能与该工业企业的OT系统连接,这就存在网络攻击的风险。
OT系统的复杂性和可变性增加了安全分析的难度。如何对一个复杂的、动态变化的OT系统进行有效的安全分析与监控成为目前亟需解决的问题。
发明内容
本发明实施方式提出OT系统的分析装置、方法、系统和存储介质。
第一方面,提供用于OT系统的分析装置。
用于OT系统的分析装置,包括:
一个解析模块,用于从数据存储区获取与所述OT系统相关的第一数据,解析出所述第一数据的第一特征;
一个识别模块,用于从所述第一特征中识别出异常特征;
一个模型生成模块,用于从所述数据存储区中获取与所述异常特征相关的第二数据,基于所述第二数据生成算法模型,所述算法模型用于识别与所述异常特征相关的攻击行为。
其中,从与OT系统相关的大数据中提取出异常特征,获取与异常特征相关的详细数据,并基于这些详细数据生成识别相关攻击行为的算法模型。由于已经基于该攻击行为的异常特征生成有算法模型,即使异常特征的相关攻击行为是一种新颖的攻击行为,依然可以利用该算法模型正常识别该攻击行为,因此提高了OT系统的安全性。
可选的,所述第一数据包含所述OT系统的安全日志;
所述解析模块,用于执行下列中的至少一个:
解析出所述安全日志的实时趋势以作为所述第一特征;
解析出所述安全日志的历史均值以作为所述第一特征;
解析出所述安全日志的类型分布以作为所述第一特征;
解析出所述安全日志中涉及到预定的工控应用操作的时间序列以作为所述第一特征。
因此,基于安全日志可以提取出多种类型的第一特征。其中,安全日志的实时趋势反映了当前OT系统中安全事件的数量趋势,通过与历史均值比较,可以识别出安全日志大量增加的情况,这预示着有攻击行为或内部人员的不安全的操作,或者用户在对系统进行重新组态调整,从而改变OT系统的行为特征。
而且,根据安全日志的类型分布可以判断当前OT系统面临的安全威胁种类是未打补丁有漏洞,还是用户帐号未加控制带来的滥用,还是恶意软件的感染,等等,从而可以明确OT系统面临的安全威胁。
另外,由于OT系统是高度确定性的系统,一旦组态配置完毕后,主要是预先配置的机器与机器间的通信,其中人机交互界面(HMI)与现场控制器之间的应用访问/操作的时间序列也表现出很强的确定性和周期性。因此,通过监测工控应用操作的时间序列是否偏离原先的周期或模式,可以判断是否有异常事件发生。
可选的,所述第一数据包含所述OT系统的安全日志的关联化数据;
所述解析模块,用于执行下列中的至少一个:
从所述关联化数据中提取预定数目的安全风险事件以作为所述第一特征;
从所述关联化数据中提取出安全事件以作为所述第一特征;
从所述关联化数据中提取行为序列以作为所述第一特征,所述行为序列包含多个相关联的安全事件。
因此,基于安全日志的关联化数据可以提取出多种类型的第一特征。其中,对安全风险事件/安全事件的统计能够体现出OT系统安全态势以及面临的主要威胁,从而在对安全日志进行分析的基础上,进一步识别出OT系统内的机器及操作人员的常见的/正常的行为序列,并以此作为基线识别出对此基线的偏离,即为异常事件。
可选的,所述第一数据包含所述OT系统的网络流量;
所述解析模块,用于执行下列中的至少一个:
解析出所述网络流量中第一预定时间内的域名系统请求以作为所述第一特征;
解析出所述网络流量中第二预定时间内的超文本传输协议请求以作为所述第一特征;
解析出所述网络流量中第三预定时间内的域权限查询请求以作为所述第一特征;
解析出所述网络流量中第四预定时间内的工控协议访问请求以作为所述第一特征。
因此,基于网络流量可以提取出多种类型的第一特征。
其中,本发明实施方式将预定时间内的域名系统请求作为第一特征的关键意义在于:目前大量的恶意软件都在利用域名系统请求实现被感染的主机与其控制主机间的通信,因此,可以根据是否存在异常的域名(如由算法生成的)判断是否有OT系统中的主机被恶意软件感染。
而且,本发明实施方式将预定时间内的超文本传输协议请求作为第一特征的关键意义在于:恶意软件在被感染的主机与其控制主机间的通信的另一常见协议是超文本传输协议,因此本发明实施方式密切监测OT系统内的超文本传输协议网络流量,从而提高OT系统的安全性。
另外,本发明实施方式将域权限查询请求作为第一特征的关键意义在于:OT系统中普遍使用视窗(Windows)系统及其域管理方案,在此环境中,Windows域的域控制器掌握着整个系统中的所有主机和帐户信息。因此,近年出现了许多专门针对域控制主机的侦查技术,无须进行大量的、易被察觉的主机/端口/帐户扫描,只需要访问域控主机就可以获得目标OT系统的大量信息。因此,本发明实施方式对域权限查询进行监测,如果发现有主机频繁进行大量域信息的查询,即为异常行为。
还有,本发明实施方式将工控协议访问请求作为第一特征的关键意义在于:由于对现场控制器的控制操作是通过工控协议通信来实现的,因此本发明实施方式监测公开协议通信,检测高危的控制通信,如停机命令、重置为出厂状态等。
可选的,所述第一数据包含所述OT系统的网络流量的关联化数据;
所述解析模块,用于执行下列中的至少一个:
从所述关联化数据中提取预定数目的安全风险事件以作为所述第一特征;
从所述关联化数据中提取出安全事件以作为所述第一特征;
从所述关联化数据中提取行为序列以作为所述第一特征,所述行为序列包含多个相关联的安全事件。
因此,基于网络流量的关联化数据可以提取出多种类型的第一特征。其中,对安全风险事件/安全事件的统计能够体现出OT系统安全态势以及面临的主要威胁,从而在对网络流量进行分析的基础上,进一步识别出OT系统内的机器及操作人员的常见的/正常的行为序列,并以此作为基线识别出对此基线的偏离,即为异常事件。
可选的,还包括:
一个展示模块,用于在可视化界面上展示所述第一特征;
其中所述识别模块,用于基于在所述可视化界面上被触发的第一交互指令,从所述第一特征中识别出所述异常特征;
所述模型生成模块,用于基于在所述可视化界面上被触发的第二交互指令,在所述数据存储区中对所述异常特征执行数据挖掘以获取所述第二数据。
因此,通过可视化展示第一特征,便于在可视化界面上基于用户触发的第一交互指令识别出异常特征,而且在可视化界面上基于用户触发的第二交互指令,在数据存储区中对异常特征执行数据挖掘以获取第二数据。
可选的,所述模型生成模块在对异常特征执行数据挖掘时,具体用于执行下列操作中的至少一个:
对与所述异常特征相关的数据执行缩放;
对与所述异常特征相关的数据执行过滤;
对与所述异常特征相关的数据执行探索与发现;
对与所述异常特征相关的数据执行取证分析。
因此,提供了多种类型的数据挖掘方式,便于获取与异常特征相关的详细数据。
可选的,所述模型生成模块在基于第二数据生成算法模型时,具体用于执行:
确定与所述异常特征相关的异常安全事件的第一统计特征;
确定与所述异常特征相关的异常安全行为的第二统计特征;
确定与所述异常特征相关的攻击行为的指纹;
基于人工定制方式,确定用于检测所述与异常特征相关的异常安全事件的人工定制算法;
基于机器学习方式,确定用于检测与所述异常特征相关的异常安全事件的分类识别算法;
汇聚所述第一统计特征、第二统计特征、指纹、人工定制算法和所述分类识别算法以生成所述算法模型。
因此,通过汇聚人工定制算法和分类识别算法及相关特征和指纹,可以实现人类智能与人工智能的优势互补,即使异常特征的相关攻击行为是一种新颖的攻击行为,利用汇聚生成的算法模型依然可以正常识别,从而提高了入侵检测能力。
第二方面,提供用于OT系统的分析系统。
分析系统包括:
一个数据获取装置,用于采集所述OT系统的原始数据;
一个数据处理装置,用于对所述原始数据执行数据准备,对所述数据准备后的数据执行后处理,根据机器学习算法从所述数据准备后的数据和所述后处理后的数据中实时检测异常;
一个存储装置,用于提供与所述OT系统相关的第一数据,所述第一数据包括所述原始数据、所述数据准备后数据和所述后处理的数据;
一个分析装置,用于获取与所述OT系统相关的第一数据,解析出所述第一数据的第一特征,从所述第一特征中识别出异常特征,从所述存储装置中获取与所述异常特征相关的第二数据,基于所述第二数据生成算法模型,所述算法模型用于识别与所述异常特征相关的攻击行为,并将所述算法模型发送到所述数据处理装置;
其中所述数据处理装置,还用于基于所述算法模型更新所述机器学习算法。
其中,数据获取装置采集原始数据,数据处理装置对数据执行数据准备和后处理,存储装置存储第一数据,分析装置识别出异常特征,获取与异常特征相关的详细数据,并基于这些详细数据生成识别相关攻击行为的算法模型。因此,即使异常特征的相关攻击行为是一种新颖的攻击行为,利用本申请的分析系统依然可以正常识别,从而提高了OT系统的安全性。
优选的,所述第一数据包含所述OT系统的安全日志;
所述分析装置,用于执行下列中的至少一个:
解析出所述安全日志的实时趋势以作为所述第一特征;
解析出所述安全日志的历史均值以作为所述第一特征;
解析出所述安全日志的类型分布以作为所述第一特征;
解析出所述安全日志中涉及到预定的工控应用操作的时间序列以作为所述第一特征。
因此,基于安全日志可以提取出多种类型的第一特征。
优选的,所述第一数据包含所述OT系统的安全日志的关联化数据;
所述分析装置,用于执行下列中的至少一个:
从所述关联化数据中提取预定数目的安全风险事件以作为所述第一特征;
从所述关联化数据中提取出安全事件以作为所述第一特征;
从所述关联化数据中提取行为序列以作为所述第一特征,所述行为序列包含多个相关联的安全事件。
因此,基于安全日志的关联化数据可以提取出多种类型的第一特征。
优选的,所述第一数据包含所述OT系统的网络流量;
所述分析装置,用于执行下列中的至少一个:
解析出所述网络流量中第一预定时间内的域名系统请求以作为所述第一特征;
解析出所述网络流量中第二预定时间内的超文本传输协议请求以作为所述第一特征;
解析出所述网络流量中第三预定时间内的域权限查询请求以作为所述第一特征;
解析出所述网络流量中第四预定时间内的工控协议访问请求以作为所述第一特征。
因此,基于网络流量可以提取出多种类型的第一特征。
优选的,所述第一数据包含所述OT系统的网络流量的关联化数据;
所述分析装置,用于执行下列中的至少一个:
从所述关联化数据中提取预定数目的安全风险事件以作为所述第一特征;
从所述关联化数据中提取出安全事件以作为所述第一特征;
从所述关联化数据中提取行为序列以作为所述第一特征,所述行为序列包含多个相关联的安全事件。
因此,基于网络流量的关联化数据可以提取出多种类型的第一特征。优选的,所述分析装置,还用于在可视化界面上展示所述第一特征;
其中所述从第一特征中识别出异常特征包括:基于在所述可视化界面上被触发的交互指令,从所述第一特征中识别出所述异常特征;所述从存储装置中获取与所述异常特征相关的第二数据包括:基于在所述可视化界面上被触发的第二交互指令,在所述存储装置中对所述异常特征执行数据挖掘以获取所述第二数据。
因此,通过可视化展示第一特征,便于在可视化界面上基于用户触发的第一交互指令识别出异常特征,而且在可视化界面上基于用户触发的第二交互指令,在数据存储区中对异常特征执行数据挖掘以获取第二数据。
优选的,所述分析装置,用于执行下列中的至少一个:
对与所述异常特征相关的数据执行缩放;
对与所述异常特征相关的数据执行过滤;
对与所述异常特征相关的数据执行探索与发现;
对与所述异常特征相关的数据执行取证分析。
因此,提供了多种类型的数据挖掘方式,便于获取与异常特征相关的详细数据。
优选的,所述分析装置,用于确定与所述异常特征相关的异常安全事件的第一统计特征;确定与所述异常特征相关的异常安全行为的第二统计特征;确定与所述异常特征相关的攻击行为的指纹;基于人工定制方式,确定用于检测所述与异常特征相关的异常安全事件的人工定制算法;基于机器学习方式,确定用于检测与所述异常特征相关的异常安全事件的分类识别算法;汇聚所述第一统计特征、第二统计特征、指纹、人工定制算法和所述分类识别算法以生成所述算法模型。
因此,通过汇聚人工定制算法和分类识别算法及相关特征和指纹,可以实现人类智能与人工智能的优势互补,即使异常特征的相关攻击行为是一种新颖的攻击行为,利用汇聚生成的算法模型依然可以正常识别,从而提高了入侵检测能力。
优选的,所述数据获取装置包括布置在所述OT系统中的至少一个网络传感器,用于获取在所述OT系统中传输的至少一个原始数据;
所述原始数据包括下列中的至少一个:
从人机交互界面、工作站或OT环境服务器收集的主机安全日志;
从防病毒软件或数据泄漏防护代理收集的安全日志;
从工业网络设备收集的安全日志;
从工业网络安全产品收集的安全日志;
从工业网络收集的网络流量;
从商业威胁情报源源代码或开源威胁情报源收集的威胁情报;
从OT设备收集的与安全事件相关联的审计数据;
从第三方收集的数据。
因此,通过将数据获取装置实施为布置在OT系统中的至少一个网络传感器,可以获取OT系统中的多种原始数据。
优选的,所述存储装置包括下列中的至少一个:
一个分布式文件系统,用于存储非结构化的第一数据;
一个面向搜索的数据库,用于存储结构化的第一数据;
一个文件数据库,用于存储具有复杂结构的第一数据;
一个图数据库,用于存储由节点与连接节点的边构成的图结构的第一数据。
因此,存储装置具有多种实施方式且可以存储多种类型的第一数据。
第三方面,提供用于OT系统的分析方法。该方法包括:
从数据存储区获取与所述OT系统相关的第一数据,解析出所述第一数据的第一特征;
从所述第一特征中识别出异常特征;
从所述数据存储区中获取与所述异常特征相关的第二数据,基于所述第二数据生成算法模型,所述算法模型用于识别与所述异常特征相关的攻击行为。
其中,从与OT系统相关的大数据中提取出异常特征,获取与异常特征相关的详细数据,并基于这些详细数据生成识别相关攻击行为的算法模型,即使异常特征的相关攻击行为是一种新颖的攻击行为,利用该算法模型依然可以正常识别,从而提高了OT系统的安全性。
优选的,所述第一数据包含所述OT系统的安全日志;
所述解析出第一数据的第一特征包括下列中的至少一个:
解析出所述安全日志的实时趋势以作为所述第一特征;
解析出所述安全日志的历史均值以作为所述第一特征;
解析出所述安全日志的类型分布以作为所述第一特征;
解析出所述安全日志中涉及到预定的工控应用操作的时间序列以作为所述第一特征。
因此,基于安全日志的关联化数据可以提取出多种类型的第一特征。
优选的,所述第一数据包含所述OT系统的安全日志的关联化数据;
所述解析出第一数据的第一特征包括下列中的至少一个:
从所述关联化数据中提取预定数目的安全风险事件以作为所述第一特征;
从所述关联化数据中提取出安全事件以作为所述第一特征;
解析出所述网络流量中第四预定时间内的工控协议访问请求以作为所述第一特征。
从所述关联化数据中提取行为序列以作为所述第一特征,所述行为序列包含多个相关联的安全事件。
因此,基于安全日志的关联化数据可以提取出多种类型的第一特征。
优选的,所述第一数据包含所述OT系统的网络流量;
所述解析出第一数据的第一特征包括下列中的至少一个:
解析出所述网络流量中第一预定时间内的域名系统请求以作为所述第一特征;
解析出所述网络流量中第二预定时间内的超文本传输协议请求以作为所述第一特征;
解析出所述网络流量中第三预定时间内的域权限查询请求以作为所述第一特征;
解析出所述网络流量中第四预定时间内的工控协议访问请求以作为所述第一特征。
因此,基于网络流量可以提取出多种类型的第一特征。
优选的,所述第一数据包含所述OT系统的网络流量的关联化数据;
所述解析出第一数据的第一特征包括下列中的至少一个:
从所述关联化数据中提取预定数目的安全风险事件以作为所述第一特征;
从所述关联化数据中提取出安全事件以作为所述第一特征;
从所述关联化数据中提取行为序列以作为所述第一特征,所述行为序列包含多个相关联的安全事件。
因此,基于网络流量的关联化数据可以提取出多种类型的第一特征。
优选的,该方法还包括:在可视化界面上展示所述第一特征;
所述从第一特征中识别出异常特征包括:基于在所述可视化界面上被触发的第一交互指令,从所述第一特征中识别出异常特征;所述从数据存储区中获取与所述异常特征相关的第二数据包括:基于在所述可视化界面上被触发的第二交互指令,在所述数据存储区中对所述异常特征执行数据挖掘以获取所述第二数据。
因此,通过可视化展示第一特征,便于在可视化界面上基于用户触发的第一交互指令识别出异常特征,而且在可视化界面上基于用户触发的第二交互指令,在数据存储区中对异常特征执行数据挖掘以获取第二数据。
优选的,所述对异常特征执行数据挖掘包括下列中的至少一个:
对与所述异常特征相关的数据执行缩放;
对与所述异常特征相关的数据执行过滤;
对与所述异常特征相关的数据执行探索与发现;
对与所述异常特征相关的数据执行取证分析。
因此,提供了多种类型的数据挖掘方式,便于获取与异常特征相关的详细数据。
优选的,所述基于第二数据生成算法模型包括:
确定与所述异常特征相关的异常安全事件的第一统计特征;
确定与所述异常特征相关的异常安全行为的第二统计特征;
确定与所述异常特征相关的攻击行为的指纹;
基于人工定制方式,确定用于检测所述与异常特征相关的异常安全事件的人工定制算法;
基于机器学习方式,确定用于检测与所述异常特征相关的异常安全事件的分类识别算法;
汇聚所述第一统计特征、第二统计特征、指纹、人工定制算法和所述分类识别算法以生成所述算法模型。
因此,通过汇聚人工定制算法和分类识别算法及相关特征和指纹,可以实现人类智能与人工智能的优势互补,即使异常特征的相关攻击行为是一种新颖的攻击行为,利用汇聚生成的算法模型依然可以正常识别,从而提高了入侵检测能力
第四方面,提供用于OT系统的分析方法,包括:
采集所述OT系统的原始数据;
对所述原始数据执行数据准备,根据机器学习算法从所述数据准备后的数据中实时检测异常,并对所述数据准备后的数据执行后处理;
提供与所述OT系统相关的第一数据,所述第一数据包括所述原始数据、所述数据准备后数据和所述后处理的数据;
获取与所述OT系统相关的第一数据,解析出所述第一数据的第一特征,从所述第一特征中识别出异常特征,从所述数据存储区中获取与所述异常特征相关的第二数据,基于所述第二数据生成算法模型,所述算法模型用于识别与所述异常特征相关的攻击行为;
基于所述算法模型更新所述机器学习算法。
因此,通过识别出异常特征,获取与异常特征相关的详细数据,并基于这些详细数据生成识别相关攻击行为的算法模型,即使异常特征的相关攻击行为是一种新颖的攻击行为,依然可以利用算法模型正常识别相关攻击行为,从而提高了OT系统的安全性
第五方面,提供用于OT系统的分析装置。该装置包括一个处理器和一个存储器;所述存储器中存储有可被所述处理器执行的应用程序,用于使得所述处理器执行如上任一项所述的用于OT系统的分析方法。
第六方面,提供计算机可读存储介质,其中存储有计算机可读指令,该计算机可读指令用于执行如上任一项所述的用于OT系统的分析方法。
第七方面,提供一种机器可读介质,所述机器可读介质上存储机器可读指令,所述机器可读指令在被处理器调用时,执行如第三方面或第四方面的任一种可能的实现方式所提供的方法。
附图说明
图1为OT系统的一个示意图。
图2为根据发明实施方式用于OT系统的分析装置的结构图。
图3为根据发明实施方式用于OT系统的分析方法的流程图。
图4为根据发明实施方式用于OT系统的分析系统的结构图。
图5示出了本发明施方式的分析系统部署到OT系统的第一种示范性方式。
图6示出了本发明施方式的分析系统部署到OT系统的第二种示范性方式。
图7示出了本发明施方式的分析系统部署到OT系统的第三种示范性方式。
图8为根据本发明实施方式的用于OT系统的分析系统的功能架构图。
图9为根据本发明实施方式的用于OT系统的分析方法的流程图。
图10为根据本发明实施方式的用于OT系统的分析装置的结构图。
其中,附图标记如下:
Figure BDA0002721295780000111
Figure BDA0002721295780000121
具体实施方式
为了使本发明的技术方案及优点更加清楚明白,以下结合附图及实施方式,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施方式仅仅用以阐述性说明本发明,并不被配置为用于限定本发明的保护范围。
为了描述上的简洁和直观,下文通过描述若干代表性的实施方式来对本发明的方案进行阐述。实施方式中大量的细节仅被配置为用于帮助理解本发明的方案。但是很明显,本发明的技术方案实现时可以不局限于这些细节。为了避免不必要地模糊了本发明的方案,一些实施方式没有进行细致地描述,而是仅给出了框架。下文中,“包括”是指“包括但不限于”,“根据……”是指“至少根据……,但不限于仅根据……”。由于汉语的语言习惯,下文中没有特别指出一个成分的数量时,意味着该成分可以是一个也可以是多个,或可理解为至少一个。
申请人发现:IT系统与OT系统间存在众多根本性差异。
比如,这些差异性至少包括:(1)、OT系统通常需要在关键环境中控制物理过程,并且对过程的安全性和保护有强烈的要求;(2)、OT系统寿命可达15至20年;(3)、OT系统要求高可用性、完整性和保密性;(4)、OT系统具有高度确定性的系统和网络;(5)、OT系统通常具有实时应用程序,响应与时间密切相关,而对高延迟和/或抖动不可接受;(6)、OT系统中的数据通常采用简单的数据类型,数据速率很高,需要即时分析;(7)、OT系统中网络通常由人机界面(HMI),传感器、输入输出接口(IO),专用控制器(比如,PLC,RTU等)、编码显示器和触摸屏等组成;(8)、OT系统中很难安排补丁重启,并且补丁重启具有负面影响,等等。
考虑到与IT系统截然不同的OT系统的环境特点,IT系统所采用的安全分析方式难以适用于OT系统。而且,随着安全威胁变得越来越复杂和动态,尤其是OT系统的复杂性和可变性增加了对OT系统进行安全监测的难度,传统的安全方法(如防病毒、IDS、防火墙和SIEM)无法适应当今的OT环境。
尤其是,安全领域与其他领域之间的巨大差异是:在攻击背后,具有创造性的人类致力于寻找破坏OT系统的新方法。在这种情况下,如果在OT系统中部属仅用于识别已知攻击手段的静态方法或静态算法(即使它们基于人工智能),难以处理新颖且层出不穷的攻击方式。
本发明实施方式提出一种用于OT系统的安全分析技术方案,实现一种智能的、基于大数据的安全分析。在本发明实施方式中,可以从与OT系统相关的大数据中提取出异常特征,获取与异常特征相关的详细数据,并基于这些详细数据生成识别相关攻击行为的算法模型。即使异常特征的相关攻击行为是一种新颖的攻击行为,利用该算法模型依然可以正常识别。
与IT系统(主要是人与人之间的通信)相比,OT系统(主要是机器与机器间的通信)表现出高度的确定性。针对这一特点,本发明实施方式从OT系统的监测数据中采用预定义的统计方法或关联分析方法,抽取出OT系统的正常行为模型或其安全态势,然后以可视化的方法在态势感知仪表盘等可视化界面上,将OT系统的正常行为模型或其安全态势展现给安全分析师。当OT系统中发生异常行为时,该异常行为将以一定方式改变上述正常行为模型或其安全态势,从而在态势感知仪表盘上表现出来。此时,安全分析师可以基于各种数据挖掘方式抽取出异常行为的特征,该特征可以表现为:特定日志、报文或文件的指纹;特定的行为特征(一系列特定的安全事件);特定的可以识别异常行为的(由人手工编写的)算法;采用机器学习对正常及异常数据进行计算后获得的机器学习分类器,等等。然后,基于上述特征、算法和机器学习分类器生成用于识别异常行为的新模型文件。因此,本发明实施方式不仅能够基于OT系统正常行为模式进行异常检测,还通过结合与集成安全分析师的人类智能,逐渐具有越来越强的入侵检测能力。
为了使本发明更容易被理解,下面对OT系统以及本发明实施方式中涉及的一些描述加以解释。需要说明的是,这些解释不应视为对本发明所要求保护范围的限定。
OT系统
OT利用硬件和软件,通过直接的监测和/或控制一个企业中的物理设备(physicaldevice)、过程和事件而实现检测或控制。一个OT系统使用计算机来监测或改变一个系统的物理状态。
OT系统的例子包括:数据采集与监测控制(Supervisory Control And DataAcquisition,SCADA)系统、分布式控制系统(Distributed Control System,DCS)、计算机数字控制(Computer Numerical Control,CNC)系统(包括计算机化的机械工具),以及科学设备(比如:数字示波器)。
图1为OT系统的一个示意图。如图1所示,OT系统20可包括:
至少一个工业控制器201,其中,工业控制器201可包括但不限于可编程逻辑控制器(Programmable Logic Controller,PLC)、可编程自动化控制器(ProgrammableAutomation Controller,PAC)等。
至少一个现场设备,比如传感器202a,电机202b等。传感器202a可在工业控制器201的控制下获取温度、湿度、压力、液体流速等现场数据。电机202b可在工业控制器201的控制下驱动运动。
至少一台工业主机,比如工程师站(Engineer Station,ES)200a、操作台(Operator Station,OS)、人机界面(Human Machine Interface,HMI)、数据库服务器200b、应用服务器200c等。
至少一台安全防护设备,比如防火墙204a,进行入侵检测的服务器204b等。其中,防火墙204a、进行入侵检测的服务器204b等安全防火设备也可组成一个入侵检测系统(Intrusion Detection System,IDS),实现OT系统20的入侵检测。
至少一台网络交换与路由设备205,比如工业交换机、工业路由器等。这些网络交换与路由设备205可组成一个工业以太网,实现OT系统20内部设备的互联。
以上示范性描述了OT系统的一个典型架构,本领域技术人员可以意识到,基于具体应用环境或部属的差异,OT系统的架构可能发生变化,本发明实施方式对此并无限定。
图2为根据发明实施方式用于OT系统的分析装置的结构图。
如图2所示,该分析装置10包括:
解析模块101,用于从数据存储区获取与OT系统相关的第一数据,解析出第一数据的第一特征;
识别模块102,用于从第一特征中识别出异常特征;
模型生成模块103,用于从数据存储区中获取与异常特征相关的第二数据,基于第二数据生成算法模型,该算法模型用于识别与异常特征相关的攻击行为。
第一数据包括OT系统的监测数据。比如,第一数据可以包括OT系统的安全日志、OT系统的安全日志的关联化数据、OT系统的网络流量、OT系统的网络流量的关联化数据,等等。
在一个实施方式中,第一数据包含OT系统的安全日志。
比如,这些安全日志可以包括下列中的至少一个:
(1)、从HMI、工作站或数据库服务器、应用服务器等OT环境服务器收集的主机安全日志。
(2)、从防病毒软件或数据泄漏防护(Data Leakage Protection,DLP)代理收集的安全日志。
(3)、来自工业网络设备(例如交换机,路由器等)的安全日志(例如SNMP)。
(4)、来自工业网络安全产品(如防火墙,IDS/IPS等)的安全日志。
以上示范性描述了安全日志的典型实例,本领域技术人员可以意识到,这种描述仅是示范性的,并不用于限定本发明实施方式的保护范围。
解析模块101从数据存储区获取安全日志后,解析出安全日志的第一特征。其中,安全日志的第一特征表征出安全日志的统计特点。通过向用户呈现第一特征,用户基于自身认知可以发现异常。
优选的,解析模块101解析出安全日志的时间趋势以作为第一特征。比如,解析模块101从安全日志中解析出网络流量的实时时间趋势,并将网络流量的实时时间趋势作为第一特征。再比如,解析模块101从安全日志中解析出网络流量的历史时间趋势,并将网络流量的历史时间趋势作为第一特征。
优选的,解析模块101解析出安全日志的历史均值以作为第一特征。比如,解析模块101从安全日志解析出网络流量的在预定时间段内的均值,并将该均值作为第一特征。
优选的,解析模块101解析出安全日志的类型分布以作为第一特征。比如,解析模块101解析出工业网络设备提供的安全日志数目和工业网络安全产品提供的安全日志的数目,并将这两者之间的比例分布作为第一特征。再比如,解析模块101解析出OT环境服务器提供的主机安全日志的数目和工业网络安全产品提供的安全日志的数目,并将这两者之间的比例分布作为第一特征。
优选的,解析模块101解析出安全日志中涉及到预定的工控应用操作的时间序列作为第一特征。其中,预定的工控应用操作的时间序列为与安全相关的、关键的工控应用操作的时间序列。比如,解析模块101解析出安全日志中涉及到工控应用对PLC等现场控制器上传、下载控制程序的日志序列,并将其作为第一特征。
以上描述了基于网络日志确定出第一特征的具体方式,本领域技术人员可以意识到,这种描述仅是示范性的,本发明实施方式对此并无限定。
在一个实施方式中,第一数据包含OT系统的网络流量。
比如,来自工业网络的NetFlow工具或全数据报文捕获(Full Packet Capture)工具的网络流量。其中:NetFlow是从原始网络流量(等价于全数据报文捕获的内容)抽取出关于会话的摘要信息。比如,IP数据包的NetFlow至少定义了下面7个关键元素:源IP地址;目的IP地址;源端口号;目的端口号;第三层协议的类型;TOS字段;网络设备输入/输出的逻辑端口(if index);等等。
解析模块101从数据存储区获取网络流量后,解析出网络流量的第一特征。其中,网络流量的第一特征表征出网络流量的统计特点。通过向用户呈现第一特征,用户基于自身认知可以识别出是否存在异常。
优选的,解析模块101解析出网络流量中第一预定时间内的域名系统(DNS)请求以作为第一特征。优选的,解析模块101解析出网络流量中第二预定时间内的超文本传输协议(HTTP)请求以作为第一特征。优选的,解析模块101解析出网络流量中第三预定时间内的域权限查询请求以作为第一特征。优选的,解析模块101解析出网络流量中第四预定时间内的工控协议访问请求(如关键的停机、重启等指令)作为第一特征。其中,第一预定时间、第二预定时间、第三预定时间和第四预定时间可以为相同的时间段,也可以分别为不同的时间段。
以上描述了基于网络流量确定出第一特征的具体方式,本领域技术人员可以意识到,这种描述仅是示范性的,本发明实施方式对此并无限定。
在一个实施方式中,第一数据包含OT系统的安全日志的关联化数据。
在这里,安全日志的关联化数据是指对来自不同数据源的安全日志进行分析、整合所获得的综合性的日志信息。比如,某一恶意IP的入侵活动过程中,会在防火墙、WAF、路由器/交换机、IDS、上位机等多处位置(以安全日志的形式)留下数字痕迹。通过识别出这些安全日志之间的关联性,可以将异源的大量安全日志融合、关联为一系列的安全事件或行为序列,这些安全事件或行为序列即为安全日志的关联化数据。
优选的,关联化数据还可以包含将安全日志与其他类型的数据(如全报文网络流量、NetFlow)进行融合与关联而生成的数据。
解析模块101从数据存储区获取关联化数据后,解析出关联化数据的第一特征。其中,关联化数据的第一特征表征出关联化数据的统计特点。通过向用户呈现第一特征,用户基于自身认知可以发现异常。
优选的,解析模块101从关联化数据中提取预定数目的安全风险事件以作为第一特征。比如,解析模块101可以从关联化数据中提取出5个最高等级的安全风险事件,并将这5个最高等级的安全风险事件作为第一特征。
优选的,解析模块101从关联化数据中提取安全事件以作为第一特征。比如,解析模块101可以从关联化数据中提取出全部的开关机事件和24小时内的网络扫描事件,并将全部的开关机事件和24小时内的网络扫描事件作为第一特征。
优选的,解析模块101从关联化数据中提取安全事件以作为第一特征。比如,解析模块101可以从关联化数据中提取出全部的现场控制器关机、重启、组态下载等关键安全事件,并将全部的关机、重启、组态下载事件作为第一特征。
优选的,解析模块101从关联化数据中提取行为序列以作为第一特征,其中行为序列包含多个相关联的安全事件。比如,解析模块101从关联化数据中提取包含开机事件、网络扫描事件和资源下载事件的行为序列,并将这行为序列作为第一特征。
在一个实施方式中,第一数据包含OT系统的网络流量的关联化数据。
在这里,网络流量的关联化数据是指对来自不同数据源的网络流量进行分析、整合所获得的综合性的网络流量信息。
解析模块101从数据存储区获取网络流量的关联化数据后,解析出该关联化数据的第一特征。其中,关联化数据的第一特征表征出关联化数据的统计特点。通过向用户呈现第一特征,用户基于自身认知可以识别出是否存在异常。
优选的,解析模块101从关联化数据中提取预定数目的不同类型的安全风险事件以作为第一特征。比如,解析模块101可以从关联化数据中提取出包括DNS异常请求、从公网下载文件、网络扫描、口令爆破、漏洞利用5个最高等级的风险,并将这5个最高等级的风险作为第一特征。
优选的,解析模块101从关联化数据中提取安全事件以作为第一特征。比如,解析模块101可以从关联化数据中提取出全部的开关机事件和24小时内的网络扫描事件,并将全部的开关机事件和24小时内的网络扫描事件作为第一特征。
优选的,解析模块101从关联化数据中提取行为序列以作为第一特征,其中行为序列包含多个相关联的安全事件。比如,解析模块101从关联化数据中提取包含开机事件、网络扫描事件、口令爆破事件、漏洞利用事件和资源下载事件的行为序列,并将这行为序列作为第一特征。
以上描述了基于关联化数据确定出第一特征的具体方式,本领域技术人员可以意识到,这种描述仅是示范性的,本发明实施方式对此并无限定。
优选的,关联化数据还可以包含将安全日志与其他类型的数据(如全报文网络流量、NetFlow)进行融合与关联而生成的数据。
以上描述了基于关联化数据确定出第一特征的具体方式,本领域技术人员可以意识到,这种描述仅是示范性的,本发明实施方式对此并无限定。
基于上述描述确定出第一特征之后,识别模块102从第一特征中识别出异常特征。在这里,可以经由各种可视化界面向用户呈现第一特征,用户基于自身认知发现异常特征。可选的,可以在识别模块102中存储预先设定的判断准则,识别模块102经由将第一特征与判断准则进行匹配以自动确定异常特征。
在一个实施方式中,该装置还包括:
展示模块104,用于在可视化界面上展示第一特征;识别模块102,用于基于在可视化界面上被触发的第一交互指令,从第一特征中识别出异常特征。优选的,第一交互指令可以实施为选择指令。
比如,展示模块104可以利用时间趋势图、TreeMap图、Top安全风险事件图或Sankey图等可视化图表方式展示第一特征。用户在可视化界面上触发选择指令,以从第一特征中识别出异常特征。
举例,展示模块104通过图表方式分别展示出下列第一特征:(1)、24小时内网络流量的历史时间趋势;(2)、工业网络设备提供的安全日志数目和工业网络安全产品提供的安全日志的数目之间的比例值;(3)、OT环境服务器提供的主机安全日志的数目和工业网络安全产品提供的安全日志的数目之间的比例值;(4)、全部的开关机事件。
用户通过浏览这些图表,发现在凌晨2点到3点之间,网络流量出现尖峰时刻。用户根据自身的经验认知,可以确定特征(1)为异常特征,在可视化界面上触发选择指令,以将特征(1)选中为异常特征。
当确定异常特征后,模型生成模块103基于在可视化界面上被触发的第二交互指令,从数据存储区中获取与异常特征相关的第二数据,并基于第二数据生成算法模型。该算法模型用于识别与异常特征相关的攻击行为。而且,第二数据是与异常特征相关的细节数据。优选的,第二交互指令可以实施为:数据缩放指令、数据过滤指令、数据探索与发现指令、数据取证指令,等等。
优选的,模型生成模块103对异常特征执行数据挖掘包括下列中的至少一个:
(1)、基于数据缩放指令,对与异常特征相关的数据执行缩放;
(2)、基于数据过滤指令,对与异常特征相关的数据执行过滤;
(3)、基于数据探索与发现指令,对与异常特征相关的数据执行探索与发现;
(4)、基于数据取证指令,对与异常特征相关的数据执行取证分析。
比如,模型生成模块103可以采用探索性数据分析(Exploratory Data Analysis,EDA)方式,从数据存储区中探索与发现与异常特征相关的细节数据,并采用数字化犯罪取证(Digital Forensic)技术对细节数据进行取证,并将分析结果确定为第二数据。
下面描述展示模块104展示第一特征,识别模块102从第一特征中识别出异常特征及模型生成模块103获取第二数据的一个典型处理过程。
首先,展示模块104通过可视化的仪表盘向用户展示OT系统的概览或整体态势,并以可视化的图表形式在仪表盘中突出展示第一特征。用户在仪表盘上对第一特征执行缩放与过滤操作以浏览明细,并触发选择指令在仪表盘中将具有异常迹象的第一特征确定为异常特征。模型生成模块基于用户触发的数据取证指令,利用数字化犯罪取证(DigitalForensic)技术从数据存储区中抽取关于异常特征的细节数据,以作为第二数据。
下面描述模型生成模块103基于第二数据生成用于识别与异常特征相关的攻击行为的算法模型的过程。
首先,模型生成模块103基于第二数据确定出下列特征:
(1)、对应于异常特征的异常安全事件或攻击行为的统计特征;
(2)、对应于异常特征的滥用和攻击行为所表现出的入侵指示器(Indicator OfCompromise,IOC);
(3)、对应于异常特征的攻击行为(扫描、漏洞利用等)的指纹;
(4)、用于检测与异常特征相关的异常安全事件的人工定制算法,比如用于从安全日志等相关数据中准确检测出异常行为的人工定制算法;
(5)、用于检测与异常特征相关的异常安全事件的分类识别算法,比如经过训练得到的,基于机器学习方式能够从安全日志等相关数据中识别出异常行为的分类识别算法;
然后,模型生成模块103汇聚上述统计特征、指纹、人工定制算法和分类识别算法以生成用于识别与异常特征相关的攻击行为的算法模型。该算法模型中包含基于异常特征的细节数据而确定的统计特征和攻击行为的指纹。因此,即使异常特征的相关攻击行为是一种新颖的攻击行为,利用该算法模型依然可以正常识别。
基于上述描述,本发明实施方式还提出了一种用于OT系统的分析方法。
图3为根据发明实施方式用于OT系统的分析方法的流程图。
如图3所示,该方法包括:
步骤301:从数据存储区获取与OT系统相关的第一数据,解析出第一数据的第一特征;
步骤302:从第一特征中识别出异常特征。
步骤303:从数据存储区中获取与异常特征相关的第二数据,基于第二数据生成算法模型,该算法模型用于识别与异常特征相关的攻击行为。
在一个实施方式中,第一数据包含OT系统的安全日志;步骤301中解析出第一数据的第一特征包括下列中的至少一个:解析出安全日志的实时趋势以作为第一特征;解析出安全日志的历史均值以作为第一特征;解析出安全日志的类型分布以作为第一特征;解析出安全日志中涉及到预定的工控应用操作的时间序列以作为第一特征,等等。其中,预定的工控应用操作的时间序列为与安全相关的、关键的工控应用操作的时间序列。
在一个实施方式中,第一数据包含OT系统的安全日志的关联化数据;步骤301中解析出第一数据的第一特征包括下列中的至少一个:从关联化数据中提取预定数目的安全风险事件以作为第一特征;从关联化数据中提取出安全事件以作为第一特征;从关联化数据中提取行为序列以作为第一特征,其中该行为序列包含多个相关联的安全事件,等等。
在一个实施方式中,第一数据包含OT系统的网络流量;步骤301中解析出第一数据的第一特征包括下列中的至少一个:解析出网络流量中第一预定时间内的域名系统请求以作为第一特征;解析出网络流量中第二预定时间内的超文本传输协议请求以作为第一特征;解析出网络流量中第三预定时间内的域权限查询请求以作为第一特征;解析出网络流量中第四预定时间内的工控协议访问请求以作为第一特征,等等。
在一个实施方式中,第一数据包含OT系统的网络流量的关联化数据;步骤301中解析出第一数据的第一特征包括下列中的至少一个:从关联化数据中提取预定数目的安全风险事件以作为第一特征;从关联化数据中提取出安全事件以作为第一特征;从关联化数据中提取行为序列以作为第一特征,行为序列包含多个相关联的安全事件,等等。
在一个实施方式中,该方法还包括:在可视化界面上展示第一特征;步骤302中从第一特征中识别出异常特征包括:基于在可视化界面上被触发的第一交互指令,从第一特征中识别出异常特征;步骤303中从数据存储区中获取与异常特征相关的第二数据包括:基于在可视化界面上被触发的第二交互指令,在数据存储区中对异常特征执行数据挖掘以获取第二数据。
优选的,对异常特征执行数据挖掘包括下列中的至少一个:对与异常特征相关的数据执行缩放;对与异常特征相关的数据执行过滤;对与异常特征相关的数据执行探索与发现;对与异常特征相关的数据执行取证,等等。
在一个实施方式中,步骤303中基于第二数据生成算法模型包括:确定与异常特征相关的异常安全事件的第一统计特征;确定与异常特征相关的异常安全行为的第二统计特征;确定与异常特征相关的攻击行为的指纹;基于人工定制方式,确定用于检测与异常特征相关的异常安全事件的人工定制算法;;基于机器学习方式,确定用于检测与异常特征相关的异常安全事件的分类识别算法;汇聚第一统计特征、第二统计特征、指纹、人工定制法和分类识别算法以生成算法模型。
基于上述描述,本发明实施方式还提出了一种用于OT系统的分析系统。
图4为根据发明实施方式用于OT系统的分析系统的结构图。
如图4所示,该分析系统30包括:
数据获取装置401,用于采集OT系统的原始数据;
数据处理装置402,用于对原始数据执行数据准备,对数据准备后的数据执行后处理,根据机器学习算法从数据准备后的数据和后处理后的数据中实时检测异常;
存储装置403,用于提供与OT系统相关的第一数据,第一数据包括原始数据、数据准备后数据和后处理的数据;
分析装置404,用于获取与OT系统相关的第一数据,解析出第一数据的第一特征,从第一特征中识别出异常特征,从数据存储区中获取与异常特征相关的第二数据,基于第二数据生成算法模型,算法模型用于识别与异常特征相关的攻击行为,并将算法模型发送到所述数据处理装置;
其中数据处理装置402,还用于基于算法模型更新机器学习算法。
在一个实施方式中,数据获取装置401包括布置在OT系统中的至少一个网络传感器,用于获取在OT系统中传输的至少一个原始数据。
从数据来源上分类,原始数据可以实施为:
(1)、从人机交互界面、工作站或OT环境服务器收集的主机安全日志;
(2)、从防病毒软件或数据泄漏防护代理收集的安全日志;
(3)、从工业网络设备收集的安全日志;
(4)、从工业网络安全产品收集的安全日志;
(5)、从工业网络收集的网络流量;
(6)、从商业源代码或开放源代码收集的威胁情报;
(7)、从OT设备收集的与安全事件相关联的法医数据;
(8)、从第三方收集的数据,等等。
从数据格式上分类,原始数据可以实施为结构化数据和非结构化数据。比如,结构化数据包括安全日志、NetFlow和威胁情报等。非结构化数据包括PCAP(FPC)、文件、图像和爬取的数据(大多数情况下为网页)等。
数据处理装置402还对原始数据执行数据准备。数据准备常用于处理混乱、不一致或不标准的数据,试图结合来自多个来源的数据并处理从非结构化来源获取的数据。对于从OT环境收集的原始数据(特别是非结构化数据),数据处理装置需要在数据汇聚(aggregation)、数据清理(cleanse)、数据转换(transformation)和特征提取(featureselection and reduction)方面进行数据准备,以使OT数据可用于丰富、关联和安全性分析。
针对数据准备后的数据,数据处理装置402还可以进一步执行富化、数据融合与关联操作(data fusion and correlation)的后处理,以对来自不同数据源和不同数据类型的数据进行分析、整合,以获得综合性的信息。比如,富化包括:对于IP地址、域名、电子邮件地址或文件哈希等关键信息在其之上添加背景信息,例如地理位置、whois信息、域名信息等,并使其有用进行进一步的关联或分析。比如,数据的融合与关联包括:将异源的大量安全日志融合、关联为一系列的安全事件或行为序列,或将安全日志与其他类型的数据(如全报文网络流量、NetFlow)进行融合与关联。
数据处理装置402可以根据预先设置的机器学习算法从数据准备后的数据和后处理后的数据中实时检测异常,比如识别出异常的安全事件或行为。
数据处理装置402还可以进一步针对数据准备后的数据和后处理后的数据,分别统计各项关键特征,以用于可视化展示这些关键特征。比如,这些关键特征包括:单位时间内各OT现场环境各数据源各类型安全日志的数量;按源IP统计的单位时间内各类安全日志的数量;按目的IP统计的单位时间内各类安全日志的数量;按行为类型统计的单位时间内各类安全日志的数量;不同IP通过不同的协议访问其他IP的统计,等等。
原始数据、数据准备后数据和后处理的数据,作为第一数据都保存到存储装置403中。
优选的,存储装置403包括下列中的至少一个:
(1)、一或多个分布式文件系统,用于存储非结构化的第一数据;
(2)、一或多个面向搜索的数据库,用于存储结构化的第一数据;
(3)、一或多个文件数据库,用于存储具有复杂结构的第一数据;
(4)、一或多个图像数据库,用于存储图形格式的第一数据;等等。
具体的,存储装置403具有持久的数据存储能力,并利用不同类型数据库的特点保存不同类型的原始数据、数据准备后数据和后处理的数据。
比如,存储装置403包括文件系统或HDFS,以用于存储原始数据。原始数据具体包括:网络流量(PCAP文件);各种相关的文件,包括从网络流量中抽取出的各种HTML文件、图片、PKI证书;爬虫从互联网上获得的各种网页、图片、证书、二进制等文件。
比如,存储装置403包括ElasticSearch,以存储从原始数据中抽取出的索引、信息、特征等各种文本信息。这些文本信息包括:来自IDS、日志采集组件(从上位机、防火墙、交换机/路由器、控制器采集)的安全相关日志;从PCAP文件中抽取出的session信息、NetFlow数据;从网页、证书中抽取出的关键字等文本信息。再比如,利用MongoDB,用于存储经过关联、富化、分析的结构化信息或结果。
比如,存储装置403包括Neo4j,用于存储威胁/风险(攻击者)画像等面向知识图谱(Knowledge Graph)的图数据。
分析装置404从存储装置403中获取第一数据,解析出第一数据的第一特征,从第一特征中识别出异常特征,从数据存储区中获取与异常特征相关的第二数据,基于第二数据生成算法模型,算法模型用于识别与异常特征相关的攻击行为。
分析装置404的具体实施可以参照图2相关的详细描述。而且,分析装置404将算法模型发送到数据处理装置402。数据处理装置402,还用于基于算法模型更新机器学习算法。数据处理装置402基于算法模型更新机器学习算法之后,即使异常特征的相关攻击行为是一种新颖的攻击行为,数据处理装置利用该算法模型依然可以正常识别相关攻击行为。
本发明实施例可通过一个用于OT系统的分析系统实现对一个OT的网络安全分析。本发明实施例中,分析系统可位于OT系统内部,也可位于OT系统的外部。
图5~图7示出了本发明施方式的分析系统部署到OT系统的三种示范性方式。
图5中,图4所示的分析系统30位于图1所示的OT系统20内部。
图6中,图4所示的分析系统30中部分设备位于图1所示的OT系统20内部,部分设备位于图1所示的OT系统20外部。
图7中,图4所示的分析系统30位于图1所示的OT系统20外部。其中,分析系统30可以用于监视一个OT系统20的网络安全,也可用于监视两个及以上OT系统20的网络安全。其中,分析系统30可由至少一台服务器及其上部署的分析软件实现对OT系统20的网络安全分析。
下面以第一数据包括安全日志为例,描述用于OT系统的分析系统的详细过程。
图8为根据本发明实施方式的用于OT系统的分析系统的功能架构图。
在图8中,部署在OT现场(如某数字化工厂)的数据获取处理82从多个数据源获取原始数据。数据源具体包括:
(1)、部署在OT网络中,对网络流量进行现场分析的现场入侵检测系统81c。入侵分析系统会将其分析结果以安全日志的方式发给数据获取装置。
(2)、部署在OT系统的日志采集系统。比如,日志采集系统从上位机81a采集日志,从服务器81b采集安全日志。日志采集系统还可以从交换机、路由器、防火墙、控制器等OT资产上采集其安全相关日志,将其转发给数据获取处理82。
来自不同OT现场(工厂、车间)的安全日志先汇聚到统一的数据获取处理82,数据获取处理82将其转发给数据流处理83。
基于网络爬虫(Crawler)的网际情报搜集模块在互联网(以及Deep Web或DarkNet)上爬取威胁(攻击者)相关的信息,比如从互联网爬取的安全日志81d,以安全日志的形式转发给数据流处理83。
数据流处理83接收到来自不同OT现场及互联网的安全日志后,可以基于流式处理引擎(如Flink、Storm等)对原始日志执行数据准备(Data Preparation)处理83a,具体包括:
(1)、数据汇聚(aggregation),将来自不同OT现场的日志集成到一起进行处理;
(2)、数据清洗(cleanse),对来自不同OT现场及互联网的原始日志进行检查、补充、修正、(必要时)删除。具体的操作包括:修正或删除格式错误的日志,补充或删除缺失的日志字段,等等;
(3)、数据转换(transformation)。由于来自不同数据源(Windows日志、防火墙/WAF、路由器/交换机)的日志,其格式各不相同,存在相似字段具有不同的字段名,乃至字段的内容都各不相同的情况。因此,需要将相似的字段映射为统一的字段名,将不同的字段的字段名按统一的方式进行规范化;
(4)、特征的抽取和选择(feature selection and reduction),从安全日志中抽取出重点的信息(字段或字段的一部分),具体包括源IP、源用户名、目的IP、目的端口、目的文件/帐号/URI等。
对经过数据准备后的安全日志,数据流处理83在流式计算引擎之上进一步根据从日志中抽取出的重点信息进行数据富化(enrichment)处理83b,具体包括:
(1)、对内部IP,通过查询数据库中的资产表,获得该IP对应的资产信息,如主机名、操作系统类型、应用类型、属主、部署的位置等;
(2)、对外部IP,通过GeoIP查询该IP的地理位置信息,通过反向DNS查询与该IP关联的域名信息,并通过威胁情报源查询该IP过去是否有恶意行为的历史,等等;
(3)、对域名,通过Whois查询该域名的所有者的信息,并通过威胁情报源查询该域名过去是否有而已行为的历史,等等;
(4)、对证书、文件,通过威胁情报源查询该证书、文件是否与已知的恶意行为有关联,等等;
(5)、其他的富化查询等。
与此同时,数据流处理83还对经过数据准备处理83a后的安全日志进行数据融合与关联(data fusion and correlation)处理83d,对来自不同数据源的安全日志进行分析、整合,获得综合性的日志信息。比如,如某一恶意IP其入侵活动过程中,会在防火墙、WAF、路由器/交换机、IDS、上位机等多处位置(以安全日志的形式)留下数字痕迹。数据的融合与关联就是要以识别出这些安全日志之间的关联性,将异源的大量安全日志融合、关联为一系列的安全事件或行为序列。除了对不同数据源安全日志间的融合与关联外,数据融合与关联操作83d还包含将安全日志与其他类型的数据(如全报文网络流量、NetFlow)进行融合与关联。
针对经过数据准备处理后的安全日志,以及经过融合与关联的安全事件或行为序列数据,数据流处理83还采用流分析插件83c,统计出流入的安全日志的各项关键特征,具体包括:
(1)、单位时间内各OT现场环境各数据源各类型安全日志的数量;
(2)、按源IP统计的单位时间内各类安全日志的数量;
(3)、按目的IP统计的单位时间内各类安全日志的数量;
(4)、按行为类型统计的单位时间内各类安全日志的数量;
(5)、不同IP通过不同的协议访问其他IP的统计;
(6)、等等。
针对经过数据准备处理83a后的安全日志,以及经过数据融合与关联操作83d的安全事件或行为序列数据,数据流处理83还支持在流式处理引擎之上利用不同的机器学习算法83e(比如,Unsupervised Learning,reinforcement learning,grammatical inference等)对安全日志、安全事件或行为序列数据进行处理,从中识别出异常的安全事件或行为。
而且,输入的原始安全日志以及经过数据流处理83得到的各种结果,保存到数据湖(Data Lake)84中。数据湖84作为持久存储的方式,是为了利用不同类型数据库的特点保存不同类型的原始、中间或结果数据。
比如,数据湖84可以包含:
(1)、分布式文件系统84a或HDFS,用于存储作为原始数据的各种文件,具体包括:网络流量(PCAP文件);各种相关的文件,包括从网络流量中抽取出的各种HTML文件、图片、PKI证书;爬虫从互联网上获得的各种网页、图片、证书、二进制等文件。
(2)、ElasticSearch84b,用于存储从原始数据中抽取出的索引、信息、特征等各种文本信息,具体包括:来自IDS、日志采集组件(从上位机、防火墙、交换机/路由器、控制器采集)的安全相关日志;从PCAP文件中抽取出的session信息、NetFlow数据;从网页、证书中抽取出的关键字等文本信息;
(3)、MongoDB 84c,用于存储经过关联、富化、分析的结构化信息或结果。
(4)、图数据库84d(比如,Neo4j),用于存储威胁/风险(攻击者)画像等面向Knowledge Graph的图数据。
根据存储于数据湖84中的各种数据,安全分析处理85可以对安全日志(及其他类型的数据)的历史数据进行更进一步的分析。具体包括:(1)统计出日志的时间趋势图,并将其与其历史均值比较;(2)统计不同日志类型数量的比例分布;(3)统计各OT环境中面临的预定数目个最大安全风险事件;(4)抽取出相关联的安全事件、行为序列,并将其映射到时间轴上。
在上述分析的基础上,安全分析处理85将分析结果通过可视化处理86的态势感知仪表盘86c,以可视化的方式,如时间趋势图、树图(TreeMap)、Top安全风险事件、桑基(Sankey)图等图表直观地展示给安全分析师,便于安全分析师在海量的安全数据(如安全日志)中识别出异常的行为。
安全分析处理85还可以基于安全态势感知与可视化,将安全分析师的智能与系统的人工智能相结合,其工作流程如下:
(1)首先,通过态势感知仪表盘86c,向安全分析师展示所监测的OT现场环境的概览或整体态势,并以图表形式突出值得关注的异常迹象;
(2)然后,安全分析师可以根据异常的迹象,在态势感知仪表盘86c上对相关数据、统计进行缩放与过滤(zoom&filter),在数据中进行探索与发现(Explore and Discover),识别出异常数据的范围、性质等信息;
(3)最后,安全分析师可以借助于可视化处理86中的探索性数据分析(Exploratory Data Analysis)交互式界面86d,从数据湖84中抽取出更细节的数据,乃至原始数据,采用EDA和数字化犯罪取证(Digital Forensic)技术对异常进行深入、全面的分析。
在属于可视化处理86范畴的资产可视化86a中,可视化展示存储于数据湖84中的OT系统的资产信息。在属于可视化处理86范畴的威胁可视化86b中,可视化提示异常数据。
针对OT系统特定的(无论是内部人员的滥用,还是恶意软件感染,或者是外部的扫描、漏洞利用、横向移动等行为所导致的)异常,当安全分析师借助于EDA和犯罪取证技术完成其分析后分析装置,即可将分析的成果转换成特定的算法。
例如,安全分析处理85提取:(1)、异常安全事件或行为的统计特征;(2)、滥用和攻击行为表现出的威胁指示器;(3)、攻击行为(扫描、漏洞利用等)的指纹;(4)、如何从安全日志等相关数据中准确地检测出异常的人工定制算法;(5)、经过训练获得的,能够从安全日志的数据中识别出异常行为的分类识别算法;等等。
在此基础上,安全分析处理85将这些特征、IOC、指纹、人工定制算法和分类识别算法集成为算法模型,并将该算法模型发送到机器学习算法83e。这样,今后再出现类似的攻击行为时,无需再占用安全分析师的时间、精力进行手工分析,机器学习算法83e就可自动完成对攻击行为的识别、分类与告警,从而实现了人类智能(Human Intelligence)与人工智能(Artificial Intelligence)的优势互补。
基于上述描述,本发明实施方式还提出了一种用于OT系统的分析方法。
图9为根据本发明实施方式的用于OY系统的分析方法的流程图。
如图9所示,该方法包括:
步骤901:采集OT系统的原始数据。
步骤902:对原始数据执行数据准备,根据机器学习算法从数据准备后的数据中实时检测异常,并对数据准备后的数据执行后处理;
步骤903:提供与OT系统相关的第一数据,第一数据包括原始数据、数据准备后数据和后处理的数据;
步骤904:获取与OT系统相关的第一数据,解析出第一数据的第一特征,从第一特征中识别出异常特征,从数据存储区中获取与异常特征相关的第二数据,基于第二数据生成算法模型,该算法模型用于识别与所述异常特征相关的攻击行为;
步骤905:基于算法模型更新步骤902中的机器学习算法。
本发明实施方式还提出了一种用于OT系统的分析装置。
图10为根据本发明实施方式的用于OT系统的分析装置的结构图。
在图10中,用于OT系统的分析装置1000包括一个处理器1001和一个存储器1002;存储器1002中存储有可被处理器1001执行的应用程序,用于使得处理器1001执行如上任一项所述的用于OT系统的分析方法。
需要说明的是,上述各流程和各结构图中不是所有的步骤和模块都是必须的,可以根据实际的需要忽略某些步骤或模块。各步骤的执行顺序不是固定的,可以根据需要进行调整。各模块的划分仅仅是为了便于描述采用的功能上的划分,实际实现时,一个模块可以分由多个模块实现,多个模块的功能也可以由同一个模块实现,这些模块可以位于同一个设备中,也可以位于不同的设备中。
各实施方式中的硬件模块可以以机械方式或电子方式实现。例如,一个硬件模块可以包括专门设计的永久性电路或逻辑器件(如专用处理器,如FPGA或ASIC)用于完成特定的操作。硬件模块也可以包括由软件临时配置的可编程逻辑器件或电路(如包括通用处理器或其它可编程处理器)用于执行特定操作。至于具体采用机械方式,或是采用专用的永久性电路,或是采用临时配置的电路(如由软件进行配置)来实现硬件模块,可以根据成本和时间上的考虑来决定。
本发明还提供了一种机器可读的存储介质,存储用于使一机器执行如本文所述方法的指令。具体地,可以提供配有存储介质的系统或者装置,在该存储介质上存储着实现上述实施例中任一实施方式的功能的软件程序代码,且使该系统或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。此外,还可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作。还可以将从存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展单元中设置的存储器中,随后基于程序代码的指令使安装在扩展板或者扩展单元上的CPU等来执行部分和全部实际操作,从而实现上述实施方式中任一实施方式的功能。
用于提供程序代码的存储介质实施方式包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机或云上下载程序代码。
以上所述,仅为本发明的较佳实施方式而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
需要说明的是,上述各流程和各系统结构图中不是所有的步骤和模块都是必须的,可以根据实际的需要忽略某些步骤或模块。各步骤的执行顺序不是固定的,可以根据需要进行调整。上述各实施例中描述的系统结构可以是物理结构,也可以是逻辑结构,即,有些模块可能由同一物理实体实现,或者,有些模块可能分由多个物理实体实现,或者,可以由多个独立设备中的某些部件共同实现。
以上各实施例中,硬件单元可以通过机械方式或电气方式实现。例如,一个硬件单元可以包括永久性专用的电路或逻辑(如专门的处理器,FPGA或ASIC)来完成相应操作。硬件单元还可以包括可编程逻辑或电路(如通用处理器或其它可编程处理器),可以由软件进行临时的设置以完成相应操作。具体的实现方式(机械方式、或专用的永久性电路、或者临时设置的电路)可以基于成本和时间上的考虑来确定。
上文通过附图和优选实施例对本发明进行了详细展示和说明,然而本发明不限于这些已揭示的实施例,基与上述多个实施例本领域技术人员可以知晓,可以组合上述不同实施例中的代码审核手段得到本发明更多的实施例,这些实施例也在本发明的保护范围之内。

Claims (29)

1.用于运营技术系统的分析装置(10),其特征在于,包括:
一个解析模块(101),用于从数据存储区获取与所述运营技术系统相关的第一数据,解析出所述第一数据的第一特征;
一个识别模块(102),用于从所述第一特征中识别出异常特征;
一个模型生成模块(103),用于从所述数据存储区中获取与所述异常特征相关的第二数据,基于所述第二数据生成算法模型,所述算法模型用于识别与所述异常特征相关的攻击行为。
2.根据权利要求1所述的用于运营技术系统的分析装置(10),其特征在于,所述第一数据包含所述运营技术系统的安全日志;
所述解析模块(101),用于执行下列中的至少一个:
解析出所述安全日志的实时趋势以作为所述第一特征;
解析出所述安全日志的历史均值以作为所述第一特征;
解析出所述安全日志的类型分布以作为所述第一特征;
解析出所述安全日志中涉及到预定的工控应用操作的时间序列以作为所述第一特征。
3.根据权利要求1所述的用于运营技术系统的分析装置(10),其特征在于,所述第一数据包含所述运营技术系统的安全日志的关联化数据;
所述解析模块(101),用于执行下列中的至少一个:
从所述关联化数据中提取预定数目的安全风险事件以作为所述第一特征;
从所述关联化数据中提取出安全事件以作为所述第一特征;
从所述关联化数据中提取行为序列以作为所述第一特征,所述行为序列包含多个相关联的安全事件。
4.根据权利要求1所述的用于运营技术系统的分析装置(10),其特征在于,所述第一数据包含所述运营技术系统的网络流量;
所述解析模块(101),用于执行下列中的至少一个:
解析出所述网络流量中第一预定时间内的域名系统请求以作为所述第一特征;
解析出所述网络流量中第二预定时间内的超文本传输协议请求以作为所述第一特征;
解析出所述网络流量中第三预定时间内的域权限查询请求以作为所述第一特征;
解析出所述网络流量中第四预定时间内的工控协议访问请求以作为所述第一特征。
5.根据权利要求1所述的用于运营技术系统的分析装置(10),其特征在于,所述第一数据包含所述运营技术系统的网络流量的关联化数据;
所述解析模块(101),用于执行下列中的至少一个:
从所述关联化数据中提取预定数目的安全风险事件以作为所述第一特征;
从所述关联化数据中提取出安全事件以作为所述第一特征;
从所述关联化数据中提取行为序列以作为所述第一特征,所述行为序列包含多个相关联的安全事件。
6.根据权利要求1-5中任一项所述的用于运营技术系统的分析装置(10),其特征在于,还包括:
一个展示模块(104),用于在可视化界面上展示所述第一特征;
其中所述识别模块(102),用于基于在所述可视化界面上被触发的第一交互指令,从所述第一特征中识别出所述异常特征;
所述模型生成模块(103),用于基于在所述可视化界面上被触发的第二交互指令,在所述数据存储区中对所述异常特征执行数据挖掘以获取所述第二数据。
7.根据权利要求6所述的用于运营技术系统的分析装置(10),其特征在于,
所述模型生成模块(103)在对异常特征执行数据挖掘时,具体用于执行下列操作中的至少一个:
对与所述异常特征相关的数据执行缩放;
对与所述异常特征相关的数据执行过滤;
对与所述异常特征相关的数据执行探索与发现;
对与所述异常特征相关的数据执行取证分析。
8.根据权利要求1-5中任一项所述的用于运营技术系统的分析装置(10),其特征在于,所述模型生成模块(103)在基于第二数据生成算法模型时,具体用于执行:
确定与所述异常特征相关的异常安全事件的第一统计特征;
确定与所述异常特征相关的异常安全行为的第二统计特征;
确定与所述异常特征相关的攻击行为的指纹;
基于人工定制方式,确定用于检测所述与异常特征相关的异常安全事件的人工定制算法;
基于机器学习方式,确定用于检测与所述异常特征相关的异常安全事件的分类识别算法;
汇聚所述第一统计特征、第二统计特征、指纹、人工定制算法和所述分类识别算法以生成所述算法模型。
9.用于运营技术系统的分析系统(30),其特征在于,包括:
一个数据获取装置(401),用于采集所述运营技术系统的原始数据;
一个数据处理装置(402),用于对所述原始数据执行数据准备,对所述数据准备后的数据执行后处理,根据机器学习算法从所述数据准备后的数据和所述后处理后的数据中实时检测异常;
一个存储装置(403),用于提供与所述运营技术系统相关的第一数据,所述第一数据包括所述原始数据、所述数据准备后数据和所述后处理的数据;
一个分析装置(404),用于获取与所述运营技术系统相关的第一数据,解析出所述第一数据的第一特征,从所述第一特征中识别出异常特征,从所述存储装置(403)中获取与所述异常特征相关的第二数据,基于所述第二数据生成算法模型,所述算法模型用于识别与所述异常特征相关的攻击行为,并将所述算法模型发送到所述数据处理装置(402);
其中所述数据处理装置(402),还用于基于所述算法模型更新所述机器学习算法。
10.根据权利要求9所述的用于运营技术系统的分析系统(30),其特征在于,所述第一数据包含所述运营技术系统的安全日志;
所述分析装置(404),用于执行下列中的至少一个:
解析出所述安全日志的实时趋势以作为所述第一特征;
解析出所述安全日志的历史均值以作为所述第一特征;
解析出所述安全日志的类型分布以作为所述第一特征;
解析出所述安全日志中涉及到预定的工控应用操作的时间序列以作为所述第一特征。
11.根据权利要求9所述的用于运营技术系统的分析系统(30),其特征在于,所述第一数据包含所述运营技术系统的安全日志的关联化数据;
所述分析装置(404),用于执行下列中的至少一个:
从所述关联化数据中提取预定数目的安全风险事件以作为所述第一特征;
从所述关联化数据中提取出安全事件以作为所述第一特征;
从所述关联化数据中提取行为序列以作为所述第一特征,所述行为序列包含多个相关联的安全事件。
12.根据权利要求9所述的用于运营技术系统的分析系统(30),其特征在于,所述第一数据包含所述运营技术系统的网络流量;
所述分析装置(404),用于执行下列中的至少一个:
解析出所述网络流量中第一预定时间内的域名系统请求以作为所述第一特征;
解析出所述网络流量中第二预定时间内的超文本传输协议请求以作为所述第一特征;
解析出所述网络流量中第三预定时间内的域权限查询请求以作为所述第一特征;
解析出所述网络流量中第四预定时间内的工控协议访问请求以作为所述第一特征。
13.根据权利要求9所述的用于运营技术系统的分析系统(30),其特征在于,所述第一数据包含所述运营技术系统的网络流量的关联化数据;
所述分析装置(404),用于执行下列中的至少一个:
从所述关联化数据中提取预定数目的安全风险事件以作为所述第一特征;
从所述关联化数据中提取出安全事件以作为所述第一特征;
从所述关联化数据中提取行为序列以作为所述第一特征,所述行为序列包含多个相关联的安全事件。
14.根据权利要求9-13中任一项所述的用于运营技术系统的分析系统(30),其特征在于,
所述分析装置(404),还用于在可视化界面上展示所述第一特征;
其中所述从第一特征中识别出异常特征包括:基于在所述可视化界面上被触发的交互指令,从所述第一特征中识别出所述异常特征;所述从存储装置(403)中获取与所述异常特征相关的第二数据包括:基于在所述可视化界面上被触发的第二交互指令,在所述存储装置(403)中对所述异常特征执行数据挖掘以获取所述第二数据。
15.根据权利要求14所述的用于运营技术系统的分析系统(30),其特征在于,
所述分析装置(404),用于执行下列中的至少一个:
对与所述异常特征相关的数据执行缩放;
对与所述异常特征相关的数据执行过滤;
对与所述异常特征相关的数据执行探索与发现;
对与所述异常特征相关的数据执行取证分析。
16.根据权利要求9-13中任一项所述的用于运营技术系统的分析系统(30),其特征在于,
所述分析装置(404),用于确定与所述异常特征相关的异常安全事件的第一统计特征;确定与所述异常特征相关的异常安全行为的第二统计特征;确定与所述异常特征相关的攻击行为的指纹;基于人工定制方式,确定用于检测所述与异常特征相关的异常安全事件的人工定制算法;基于机器学习方式,确定用于检测与所述异常特征相关的异常安全事件的分类识别算法;汇聚所述第一统计特征、第二统计特征、指纹、人工定制算法和所述分类识别算法以生成所述算法模型。
17.根据权利要求9-13中任一项所述的用于运营技术系统的分析系统(30),其特征在于,
所述数据获取装置(401)包括布置在所述运营技术系统中的至少一个网络传感器,用于获取在所述运营技术系统中传输的至少一个原始数据;
所述原始数据包括下列中的至少一个:
从人机交互界面、工作站或运营技术环境服务器收集的主机安全日志;
从防病毒软件或数据泄漏防护代理收集的安全日志;
从工业网络设备收集的安全日志;
从工业网络安全产品收集的安全日志;
从工业网络收集的网络流量;
从商业威胁情报源源代码或开源威胁情报源收集的威胁情报;
从运营技术设备收集的与安全事件相关联的审计数据;
从第三方收集的数据。
18.根据权利要求9-13中任一项所述的用于运营技术系统的分析系统(30),其特征在于,
所述存储装置(403)包括下列中的至少一个:
一个分布式文件系统,用于存储非结构化的第一数据;
一个面向搜索的数据库,用于存储结构化的第一数据;
一个文件数据库,用于存储具有复杂结构的第一数据;
一个图数据库,用于存储由节点与连接节点的边构成的图结构的第一数据。
19.用于运营技术系统的分析方法,其特征在于,包括:
从数据存储区获取与所述运营技术系统相关的第一数据,解析出所述第一数据的第一特征(301);
从所述第一特征中识别出异常特征(302);
从所述数据存储区中获取与所述异常特征相关的第二数据,基于所述第二数据生成算法模型,所述算法模型用于识别与所述异常特征相关的攻击行为(303)。
20.根据权利要求19所述的用于运营技术系统的分析方法,其特征在于,所述第一数据包含所述运营技术系统的安全日志;
所述解析出第一数据的第一特征包括下列中的至少一个:
解析出所述安全日志的实时趋势以作为所述第一特征;
解析出所述安全日志的历史均值以作为所述第一特征;
解析出所述安全日志的类型分布以作为所述第一特征;
解析出所述安全日志中涉及到预定的工控应用操作的时间序列以作为所述第一特征。
21.根据权利要求19所述的用于运营技术系统的分析方法,其特征在于,所述第一数据包含所述运营技术系统的安全日志的关联化数据;
所述解析出第一数据的第一特征包括下列中的至少一个:
从所述关联化数据中提取预定数目的安全风险事件以作为所述第一特征;
从所述关联化数据中提取出安全事件以作为所述第一特征;
从所述关联化数据中提取行为序列以作为所述第一特征,所述行为序列包含多个相关联的安全事件。
22.根据权利要求19所述的用于运营技术系统的分析方法,其特征在于,所述第一数据包含所述运营技术系统的网络流量;
所述解析出第一数据的第一特征包括下列中的至少一个:
解析出所述网络流量中第一预定时间内的域名系统请求以作为所述第一特征;
解析出所述网络流量中第二预定时间内的超文本传输协议请求以作为所述第一特征;
解析出所述网络流量中第三预定时间内的域权限查询请求以作为所述第一特征;
解析出所述网络流量中第四预定时间内的工控协议访问请求以作为所述第一特征。
23.根据权利要求19所述的用于运营技术系统的分析方法,其特征在于,所述第一数据包含所述运营技术系统的网络流量的关联化数据;
所述解析出第一数据的第一特征包括下列中的至少一个:
从所述关联化数据中提取预定数目的安全风险事件以作为所述第一特征;
从所述关联化数据中提取出安全事件以作为所述第一特征;
从所述关联化数据中提取行为序列以作为所述第一特征,所述行为序列包含多个相关联的安全事件。
24.根据权利要求19-23中任一项所述的用于运营技术系统的分析方法,其特征在于,该方法还包括:在可视化界面上展示所述第一特征;
所述从第一特征中识别出异常特征包括:基于在所述可视化界面上被触发的第一交互指令,从所述第一特征中识别出异常特征;所述从数据存储区中获取与所述异常特征相关的第二数据包括:基于在所述可视化界面上被触发的第二交互指令,在所述数据存储区中对所述异常特征执行数据挖掘以获取所述第二数据。
25.根据权利要求24所述的用于运营技术系统的分析方法,其特征在于,
所述对异常特征执行数据挖掘包括下列中的至少一个:
对与所述异常特征相关的数据执行缩放;
对与所述异常特征相关的数据执行过滤;
对与所述异常特征相关的数据执行探索与发现;
对与所述异常特征相关的数据执行取证分析。
26.根据权利要求19-23中任一项所述的用于运营技术系统的分析方法,其特征在于,所述基于第二数据生成算法模型包括:
确定与所述异常特征相关的异常安全事件的第一统计特征;
确定与所述异常特征相关的异常安全行为的第二统计特征;
确定与所述异常特征相关的攻击行为的指纹;
基于人工定制方式,确定用于检测所述与异常特征相关的异常安全事件的人工定制算法;
基于机器学习方式,确定用于检测与所述异常特征相关的异常安全事件的分类识别算法;
汇聚所述第一统计特征、第二统计特征、指纹、人工定制算法和所述分类识别算法以生成所述算法模型。
27.用于运营技术系统的分析方法,其特征在于,包括:
采集所述运营技术系统的原始数据(901);
对所述原始数据执行数据准备,根据机器学习算法从所述数据准备后的数据中实时检测异常,并对所述数据准备后的数据执行后处理(902);
提供与所述运营技术系统相关的第一数据,所述第一数据包括所述原始数据、所述数据准备后数据和所述后处理的数据(903);
获取与所述运营技术系统相关的第一数据,解析出所述第一数据的第一特征,从所述第一特征中识别出异常特征,从所述数据存储区中获取与所述异常特征相关的第二数据,基于所述第二数据生成算法模型,所述算法模型用于识别与所述异常特征相关的攻击行为(904);
基于所述算法模型更新所述机器学习算法(905)。
28.用于运营技术系统的分析装置(1000),其特征在于,包括一个处理器(1001)和一个存储器(1002);
所述存储器(1002)中存储有可被所述处理器(1001)执行的应用程序,用于使得所述处理器(1001)执行如权利要求19至27中任一项所述的用于运营技术系统的分析方法。
29.计算机可读存储介质,其特征在于,其中存储有计算机可读指令,该计算机可读指令用于执行如权利要求19至27中任一项所述的用于运营技术系统的分析方法。
CN201880092338.0A 2018-05-03 2018-05-03 用于运营技术系统的分析装置、方法、系统和存储介质 Pending CN112074834A (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2018/085473 WO2019210484A1 (en) 2018-05-03 2018-05-03 Analysis device, method and system for operational technology system and storage medium

Publications (1)

Publication Number Publication Date
CN112074834A true CN112074834A (zh) 2020-12-11

Family

ID=68386921

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201880092338.0A Pending CN112074834A (zh) 2018-05-03 2018-05-03 用于运营技术系统的分析装置、方法、系统和存储介质

Country Status (4)

Country Link
US (1) US20210194909A1 (zh)
EP (1) EP3776306A4 (zh)
CN (1) CN112074834A (zh)
WO (1) WO2019210484A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024060245A1 (zh) * 2022-09-23 2024-03-28 西门子股份公司 设备信任等级分析方法、装置、电子设备和存储介质

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6984551B2 (ja) * 2018-06-27 2021-12-22 日本電信電話株式会社 異常検知装置、および、異常検知方法
CN110896386B (zh) * 2018-09-12 2022-05-10 西门子(中国)有限公司 识别安全威胁的方法、装置、存储介质、处理器和终端
US11616795B2 (en) * 2019-08-23 2023-03-28 Mcafee, Llc Methods and apparatus for detecting anomalous activity of an IoT device
CN112887119B (zh) * 2019-11-30 2022-09-16 华为技术有限公司 故障根因确定方法及装置、计算机存储介质
US20220035359A1 (en) * 2020-07-31 2022-02-03 Palo Alto Research Center Incorporated System and method for determining manufacturing plant topology and fault propagation information
CN111988339B (zh) * 2020-09-07 2022-03-11 珠海市一知安全科技有限公司 一种基于dikw模型的网络攻击路径发现、提取和关联的方法
US11711393B2 (en) * 2020-10-19 2023-07-25 Saudi Arabian Oil Company Methods and systems for managing website access through machine learning
CN115134099B (zh) * 2021-03-22 2024-05-03 中国移动通信集团江苏有限公司 基于全流量的网络攻击行为分析方法及装置
CN113572764B (zh) * 2021-07-23 2023-04-25 广东轻工职业技术学院 一种基于ai的工业互联网网络安全态势感知系统
CN113556354B (zh) * 2021-07-29 2022-03-01 国家工业信息安全发展研究中心 一种基于流量分析的工业互联网安全威胁检测方法与系统
CN113507486B (zh) * 2021-09-06 2021-11-19 中国人民解放军国防科技大学 一种互联网重要基础设施知识图谱构建方法与装置
CN115134131B (zh) * 2022-06-20 2023-10-20 中能融合智慧科技有限公司 一种基于态势感知的物联网通信传输系统
CN115296913A (zh) * 2022-08-05 2022-11-04 武汉思普崚技术有限公司 一种适应flink作业规则的快速编排系统
US11693958B1 (en) * 2022-09-08 2023-07-04 Radiant Security, Inc. Processing and storing event data in a knowledge graph format for anomaly detection
CN116389148B (zh) * 2023-04-14 2023-12-29 深圳市众云网有限公司 一种基于人工智能的网络安全态势预测系统

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080196103A1 (en) * 2007-02-09 2008-08-14 Chao-Yu Lin Method for analyzing abnormal network behaviors and isolating computer virus attacks
CN104008332A (zh) * 2014-04-30 2014-08-27 浪潮电子信息产业股份有限公司 一种基于Android平台的入侵检测系统
CN104753946A (zh) * 2015-04-01 2015-07-01 浪潮电子信息产业股份有限公司 一种基于网络流量元数据的安全分析框架
US9202052B1 (en) * 2013-06-21 2015-12-01 Emc Corporation Dynamic graph anomaly detection framework and scalable system architecture
CN106502234A (zh) * 2016-10-17 2017-03-15 重庆邮电大学 基于双轮廓模型的工业控制系统异常检测方法
US20170093910A1 (en) * 2015-09-25 2017-03-30 Acalvio Technologies, Inc. Dynamic security mechanisms
EP3179696A1 (en) * 2015-12-09 2017-06-14 Accenture Global Solutions Limited Connected security system

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9009084B2 (en) * 2002-10-21 2015-04-14 Rockwell Automation Technologies, Inc. System and methodology providing automation security analysis and network intrusion protection in an industrial environment
US8181248B2 (en) * 2006-11-23 2012-05-15 Electronics And Telecommunications Research Institute System and method of detecting anomaly malicious code by using process behavior prediction technique
US10397246B2 (en) * 2010-07-21 2019-08-27 Radware, Ltd. System and methods for malware detection using log based crowdsourcing analysis
US20140137257A1 (en) * 2012-11-12 2014-05-15 Board Of Regents, The University Of Texas System System, Method and Apparatus for Assessing a Risk of One or More Assets Within an Operational Technology Infrastructure
CN103916399B (zh) * 2014-04-15 2018-09-25 浪潮电子信息产业股份有限公司 一种计算机信息安全防御系统
US9727723B1 (en) * 2014-06-18 2017-08-08 EMC IP Holding Co. LLC Recommendation system based approach in reducing false positives in anomaly detection
US9773112B1 (en) * 2014-09-29 2017-09-26 Fireeye, Inc. Exploit detection of malware and malware families
AU2016204072B2 (en) * 2015-06-17 2017-08-03 Accenture Global Services Limited Event anomaly analysis and prediction
JP6276732B2 (ja) * 2015-07-03 2018-02-07 横河電機株式会社 設備保全管理システムおよび設備保全管理方法
GB2547201B (en) * 2016-02-09 2022-08-31 Darktrace Holdings Ltd Cyber security
CN106209826A (zh) * 2016-07-08 2016-12-07 瑞达信息安全产业股份有限公司 一种网络安全设备监测的安全事件分析方法
US10291638B1 (en) * 2016-09-08 2019-05-14 Skyhigh Networks, Llc Cloud activity threat detection for sparse and limited user behavior data
US10958534B2 (en) * 2017-10-24 2021-03-23 Chronicle Llc User interfaces for presenting cybersecurity data
US11477219B2 (en) * 2018-02-20 2022-10-18 Darktrace Holdings Limited Endpoint agent and system
US11003773B1 (en) * 2018-03-30 2021-05-11 Fireeye, Inc. System and method for automatically generating malware detection rule recommendations

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080196103A1 (en) * 2007-02-09 2008-08-14 Chao-Yu Lin Method for analyzing abnormal network behaviors and isolating computer virus attacks
US9202052B1 (en) * 2013-06-21 2015-12-01 Emc Corporation Dynamic graph anomaly detection framework and scalable system architecture
CN104008332A (zh) * 2014-04-30 2014-08-27 浪潮电子信息产业股份有限公司 一种基于Android平台的入侵检测系统
CN104753946A (zh) * 2015-04-01 2015-07-01 浪潮电子信息产业股份有限公司 一种基于网络流量元数据的安全分析框架
US20170093910A1 (en) * 2015-09-25 2017-03-30 Acalvio Technologies, Inc. Dynamic security mechanisms
EP3179696A1 (en) * 2015-12-09 2017-06-14 Accenture Global Solutions Limited Connected security system
CN106502234A (zh) * 2016-10-17 2017-03-15 重庆邮电大学 基于双轮廓模型的工业控制系统异常检测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
陈兴蜀;曾雪梅;王文贤;邵国林;: "基于大数据的网络安全与情报分析", 工程科学与技术, no. 03 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024060245A1 (zh) * 2022-09-23 2024-03-28 西门子股份公司 设备信任等级分析方法、装置、电子设备和存储介质

Also Published As

Publication number Publication date
WO2019210484A1 (en) 2019-11-07
EP3776306A1 (en) 2021-02-17
EP3776306A4 (en) 2021-10-27
US20210194909A1 (en) 2021-06-24

Similar Documents

Publication Publication Date Title
CN112074834A (zh) 用于运营技术系统的分析装置、方法、系统和存储介质
US10616248B2 (en) Space and time efficient threat detection
US11546359B2 (en) Multidimensional clustering analysis and visualizing that clustered analysis on a user interface
CN110149350B (zh) 一种告警日志关联的网络攻击事件分析方法及装置
US10148685B2 (en) Event correlation across heterogeneous operations
US10885393B1 (en) Scalable incident-response and forensics toolkit
CA2926579C (en) Event correlation across heterogeneous operations
US10904270B2 (en) Enterprise security graph
Shiravi et al. A survey of visualization systems for network security
WO2021171090A1 (en) An artificial intelligence adversary red team
CN104579773A (zh) 域名系统分析方法及装置
CN103281177A (zh) 对Internet信息系统恶意攻击的检测方法及系统
Fuentes-García et al. Present and future of network security monitoring
CN110896386B (zh) 识别安全威胁的方法、装置、存储介质、处理器和终端
CN115134099B (zh) 基于全流量的网络攻击行为分析方法及装置
CN112019523A (zh) 一种工控系统的网络审计方法和装置
CA3102306A1 (en) Mitigation of external exposure of energy delivery systems
Ring et al. A toolset for intrusion and insider threat detection
CN114666101A (zh) 一种攻击溯源检测系统、方法、设备及介质
WO2019123449A1 (en) A system and method for analyzing network traffic
KR20120038882A (ko) 네트워크 모니터링 시스템 및 방법, 네트워크 모니터링을 위한 보안이벤트 수집 장치 및 서비스 이상상황 탐지 장치
Lakkaraju et al. Closing-the-loop: Discovery and search in security visualizations
CN115168604A (zh) 一种基于知识图谱的电力监控系统处理方法及装置
Dasireddy et al. Alerts visualization and clustering in network-based intrusion detection
Wendt Omen: identifying potential spear-phishing targets before the email is sent.

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination