CN112184091B - 工控系统安全威胁评估方法、装置和系统 - Google Patents
工控系统安全威胁评估方法、装置和系统 Download PDFInfo
- Publication number
- CN112184091B CN112184091B CN202011374549.9A CN202011374549A CN112184091B CN 112184091 B CN112184091 B CN 112184091B CN 202011374549 A CN202011374549 A CN 202011374549A CN 112184091 B CN112184091 B CN 112184091B
- Authority
- CN
- China
- Prior art keywords
- control system
- analysis
- detected
- threat analysis
- score
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 44
- 238000004458 analytical method Methods 0.000 claims abstract description 294
- 238000004891 communication Methods 0.000 claims abstract description 59
- 238000001514 detection method Methods 0.000 claims abstract description 58
- 230000004083 survival effect Effects 0.000 claims abstract description 44
- 238000004364 calculation method Methods 0.000 claims abstract description 30
- 238000012544 monitoring process Methods 0.000 claims abstract description 24
- 230000002159 abnormal effect Effects 0.000 claims abstract description 20
- 238000011156 evaluation Methods 0.000 claims description 30
- 238000007689 inspection Methods 0.000 claims description 22
- 238000004590 computer program Methods 0.000 claims description 14
- 230000006399 behavior Effects 0.000 claims description 11
- 238000012937 correction Methods 0.000 claims description 11
- 238000007726 management method Methods 0.000 claims description 11
- 238000009826 distribution Methods 0.000 claims description 10
- 238000003860 storage Methods 0.000 claims description 10
- 238000003745 diagnosis Methods 0.000 claims description 9
- 230000006870 function Effects 0.000 description 7
- 230000008569 process Effects 0.000 description 6
- 241000700605 Viruses Species 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 241000272814 Anser sp. Species 0.000 description 2
- 241000282326 Felis catus Species 0.000 description 2
- 239000002131 composite material Substances 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000009776 industrial production Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 239000000523 sample Substances 0.000 description 2
- 241000251468 Actinopterygii Species 0.000 description 1
- 102100026278 Cysteine sulfinic acid decarboxylase Human genes 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 108010064775 protein C activator peptide Proteins 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0639—Performance analysis of employees; Performance analysis of enterprise or organisation operations
- G06Q10/06393—Score-carding, benchmarking or key performance indicator [KPI] analysis
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Human Resources & Organizations (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Economics (AREA)
- Entrepreneurship & Innovation (AREA)
- Software Systems (AREA)
- Quality & Reliability (AREA)
- Strategic Management (AREA)
- Development Economics (AREA)
- Educational Administration (AREA)
- Automation & Control Theory (AREA)
- Computing Systems (AREA)
- Game Theory and Decision Science (AREA)
- Manufacturing & Machinery (AREA)
- Marketing (AREA)
- Operations Research (AREA)
- Tourism & Hospitality (AREA)
- General Business, Economics & Management (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请涉及一种工控系统安全威胁评估方法、装置和系统。所述方法包括:根据威胁分析所需参数的要求,从待检测工控系统的属性信息中提取威胁分析参数进行威胁分析,获得威胁分析评分;探测所述待检测工控系统的存活设备的存活端口,获得探测数据;将所述探测数据与设备指纹库中信息比对,获得所述待检测工控系统的漏洞信息,并根据所述漏洞信息计算资产分析评分;对所述待检测工控系统的在线监测网络通讯流量,进行公开协议深度分析,获得异常分析评分;根据所述威胁分析评分、所述资产分析评分和所述异常分析评分进行加权平均计算,获所述待检测工控系统的综合评分。采用本方法能够在不影响系统运行的情况西安对工控系统进行安全评估。
Description
技术领域
本申请涉及工控系统安全检测技术领域,特别是涉及一种工控系统安全威胁评估方法、装置和系统。
背景技术
工业控制系统(简称工控系统)由DCS/PLC等控制设备、温度/压力等传感器以及上位主机构成,对工业生产过程进行监视控制,是工业生产的核心中枢。随着工业互联网的发展,工业控制系统的封闭性被逐渐打破,由于工业控制系统中存在大量未被修复的漏洞,工业控制系统存在极大的风险隐患,若遭受网络攻击,将会导致难以预估的严重后果。现有的工业控制系统防护手段主要包括部署防火墙、入侵检测等安全防护设备和蜜罐系统,通过对入侵者捕获和分析,避免入侵者攻击工控系统。虽然现在有多种防护手段对工控系统进行防护,但是难免会有漏网之鱼未被识别到,导致工控系统遭受攻击。并且近年来,由于国际网络空间安全形势愈发严峻,我国高度重视工控网络安全防护工作,网信办、公安部、工信部等主管部门定期通过人工开展工业控制系统网络安全检查工作。
现有的工控系统本身存在许多漏洞,怎样评估工控系统的完全威胁,减少工控系统本身的安全漏洞是现有技术亟需解决解决的问题。
发明内容
基于此,有必要针对上述技术问题,提供一种能够不影响工业控制系统运行的工控系统安全威胁评估方法、装置和系统。
一种工控系统安全威胁评估方法,所述方法包括:
根据威胁分析所需参数的要求,从待检测工控系统的属性信息中提取威胁分析参数进行威胁分析,获得威胁分析评分;
探测所述待检测工控系统的存活设备的存活端口,获得探测数据;
将所述探测数据与设备指纹库中信息比对,获得所述待检测工控系统的漏洞信息,并根据所述漏洞信息计算资产分析评分;
对所述待检测工控系统的在线监测网络通讯流量,进行公开协议深度分析,获得异常分析评分;
根据所述威胁分析评分、所述资产分析评分和所述异常分析评分进行加权平均计算,获所述待检测工控系统的综合评分;其中,所述综合评分用于判断是否需要对所述待检测工控系统进行安全整改。
其中,所述工控系统安全威胁评估方法还包括:获取所述待检测工控系统的属性信息,所述属性信息包括单位信息、系统信息、系统服务信息、系统互联信息和系统数据信息。
其中,所述根据威胁分析所需参数的要求,从待检测工控系统的属性信息中提取威胁分析参数进行威胁分析,获得威胁分析评分,包括:根据评估标准规范,获取威胁分析待检查项和所述威胁分析待检查项的评估标准;根据所述威胁分析待检查项从待检测工控系统的属性信息中提取威胁分析参数;根据所述威胁分析参数和所述评估标准,对所述威胁分析待检查项进行打分;根据每个所述威胁分析待检查项的打分及其对应的第一权重,计算威胁分析评分。
其中,所述探测所述待检测工控系统的存活设备的存活端口,获得探测数据,包括:探测所述待检测工控系统的存活设备的存活端口;向所述存活设备的存活端口发送指纹探测数据包;接收所述存活设备的存活端口根据所述指纹探测数据包发送的探测数据。
其中,所述将所述探测数据与设备指纹库中信息比对,获得所述待检测工控系统的漏洞信息,并根据所述漏洞信息计算资产分析评分,包括:识别所述待检测工控系统的主机设备信息;将所述主机设备信息与工业漏洞库中的设备信息进行比对,获取所述待检测工控系统的漏洞信息;其中,所述漏洞信息包括所述漏洞数量和漏洞严重程度;根据所述待检测工控系统的所有主机设备的所述漏洞信息,计算资产分析评分。
其中,所述对所述待检测工控系统的在线监测网络通讯流量,进行公开协议深度分析,获得异常分析评分,包括:在线监测所述待检测工控系统的网络通讯流量;根据所述网络通讯流量,获取流量统计数据、数据包大小分布统计数据、诊断统计数据、IP流量统计数据和边界完整性检查数据;根据所述流量统计数据、数据包大小分布统计数据、诊断统计数据、IP流量统计数据和边界完整性检查数据,计算异常分析评分。
一种工控系统安全威胁评估装置,所述装置包括:
威胁分析评分计算模块,用于根据威胁分析所需参数的要求,从待检测工控系统的属性信息中提取威胁分析参数进行威胁分析,获得威胁分析评分;
探测模块,用于探测所述待检测工控系统的存活设备的存活端口,获得探测数据;
资产分析评分计算模块,用于将所述探测数据与设备指纹库中信息比对,获得所述待检测工控系统的漏洞信息,并根据所述漏洞信息计算资产分析评分;
异常分析评分计算模块,用于对所述待检测工控系统的在线监测网络通讯流量,进行公开协议深度分析,获得异常分析评分;
综合评分计算模块,用于根据所述威胁分析评分、所述资产分析评分和所述异常分析评分进行加权平均计算,获所述待检测工控系统的综合评分;其中,所述综合评分用于判断是否需要对所述待检测工控系统进行安全整改。
一种工控系统安全威胁评估系统,所述系统包括底层、后端和前端;所述底层包括资产分析模块和异常分析模块,所述后端包括项目管理模块、知识库模块、威胁分析模块和文档管理模块,所述前端包括客户端;
其中,所述资产分析模块,用于探测所述待检测工控系统的存活设备的存活端口,获得探测数据;将所述探测数据与设备指纹库中信息比对,获得所述待检测工控系统的漏洞信息,并根据所述漏洞信息计算资产分析评分;
所述异常分析模块,用于对所述待检测工控系统的在线监测网络通讯流量,进行公开协议深度分析,获得异常分析评分;
所述威胁分析模块,用于根据威胁分析所需参数的要求,从待检测工控系统的属性信息中提取威胁分析参数进行威胁分析,获得威胁分析评分;
所述项目管理模块,用于根据所述威胁分析评分、所述资产分析评分和所述异常分析评分进行加权平均计算,获所述待检测工控系统的综合评分;其中,所述综合评分用于判断是否需要对所述待检测工控系统进行安全整改。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
根据威胁分析所需参数的要求,从待检测工控系统的属性信息中提取威胁分析参数进行威胁分析,获得威胁分析评分;
探测所述待检测工控系统的存活设备的存活端口,获得探测数据;
将所述探测数据与设备指纹库中信息比对,获得所述待检测工控系统的漏洞信息,并根据所述漏洞信息计算资产分析评分;
对所述待检测工控系统的在线监测网络通讯流量,进行公开协议深度分析,获得异常分析评分;
根据所述威胁分析评分、所述资产分析评分和所述异常分析评分进行加权平均计算,获所述待检测工控系统的综合评分;其中,所述综合评分用于判断是否需要对所述待检测工控系统进行安全整改。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
根据威胁分析所需参数的要求,从待检测工控系统的属性信息中提取威胁分析参数进行威胁分析,获得威胁分析评分;
探测所述待检测工控系统的存活设备的存活端口,获得探测数据;
将所述探测数据与设备指纹库中信息比对,获得所述待检测工控系统的漏洞信息,并根据所述漏洞信息计算资产分析评分;
对所述待检测工控系统的在线监测网络通讯流量,进行公开协议深度分析,获得异常分析评分;
根据所述威胁分析评分、所述资产分析评分和所述异常分析评分进行加权平均计算,获所述待检测工控系统的综合评分;其中,所述综合评分用于判断是否需要对所述待检测工控系统进行安全整改。
上述工控系统安全威胁评估方法、装置、系统、计算机设备和存储介质,通过待检测工控系统的属性信息进行威胁分析,获得威胁分析评分,再根据工业控制设备的设备信号获得工业控制设备的漏洞信息并计算资产分析评分,最后再通过待检测工控系统与主机设备的网络通讯流量进行公开协议深度分析,获得异常分析评分,能够从待检测工控系统的基本信息、工业设备和主机设备三个维度进行全面分析和评分,获得待检测工控系统的综合评分,对待检测工控系统进行全面、科学、准确的评估,发现并定位工业控制系统中存在的安全隐患,形成工业控制系统安全检查报告,并为用户提供有效地整改建议,同时根据工业控制系统特点进行设计,检查过程不会影响工业控制系统正常运行。
附图说明
图1为一个实施例中工控系统安全威胁评估方法的流程示意图;
图2为一个实施例中工控系统安全威胁评估装置的结构框图;
图3为一个实施例中工控系统安全威胁评估系统的结构示意图;
图4为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
在一个实施例中,如图1所示,提供了一种工控系统安全威胁评估方法,包括以下步骤:
S110,根据威胁分析所需参数的要求,从待检测工控系统的属性信息中提取威胁分析参数进行威胁分析,获得威胁分析评分。
其中,威胁分析所需参数的要求根据评估标准规范来确定,例如,根据《GB-T22239-2019 网络安全等级保护基本要求》、《电力监控系统安全防护评估规范(国能安全[2015]36号-附件7)》、《工业控制系统信息安全防护指南》等评估标准规范确定威胁分析所需参数。待检测工控系统的属性信息包括待检测工控系统所属单位的单位基本信息、单位区域信息、待检测工控系统的系统基本信息、系统服务信息、系统互联信息和系统数据信息等,待检测工控系统的属性信息可通过自动识别的方式获取,也可通过人工录入的方式收集。工控系统安全威胁评估系统支持检查计划的导入和导出,支持新项目检查信息的批量上传。步骤S110主要用于对待检测工控系统进行威胁分析,计算威胁分析评分,即检查待检测工控系统在评估标准规范下的符合性。
从待检测工控系统的属性信息中提取威胁分析参数进行威胁分析,获得威胁分析评分,其威胁分析的方法有多种,可以根据威胁分析参数进行打分获得威胁分析评分,总之,威胁分析参数越符合评估标准规范,威胁分析评分越高,威胁分析参数越不符合评估标准规范,威胁分析评分越低。
其中,系统支持通过在线升级或离线升级方式,获取最新的评估标准规范。在线升级要求系统连接至互联网,离线升级可通过下载升级文件至U盘,插入后在系统上可进行识别和读取操作。
S120,探测所述待检测工控系统的存活设备的存活端口,获得探测数据。
其中,工业控制系统中,设备可能会由于故障原因失去连接,存活设备是指工业控制系统中在活动、在运行的设备;存活设备上通常开放部分端口进行通讯连接,即存活端口。通过存活端口与存活设备建立通信连接,获得探测数据。例如,通过存活设备的存活端口向存活设备发送指纹探测包,获得探测数据。此处的设备为工业控制设备,如PLC。
S130,将所述探测数据与设备指纹库中信息比对,获得所述待检测工控系统的漏洞信息,并根据所述漏洞信息计算资产分析评分。
其中,在设备指纹库中存储了所有工业控制设备的漏洞信息,将所述探测数据与设备指纹库中信息比对,能够获得所述待检测工控系统的漏洞信息,所述漏洞信息包括漏洞数量和漏洞严重程度,根据具体的评分标准来计算资产分析评分。例如,待检测工控系统包括工业控制设备M1和工业控制设备M2,工业控制设备M1存在漏洞A和漏洞B,工业控制设备M2存在漏洞C和漏洞D,漏洞A为低风险漏洞,漏洞B为中风险漏洞,漏洞C为高风险漏洞,漏洞D为低风险漏洞,低风险漏洞的V值为1,中风险漏洞的V值为3,高风险漏洞的V值为5,当然,V值可以根据需要设置,则待检测工控系统的资产分析评分V=Max[0,100-(VA+ VB+ VC+VD)]=90。
S140,对所述待检测工控系统的在线监测网络通讯流量,进行公开协议深度分析,获得异常分析评分。
其中,待检测工控系统与主机设备进行远程通信是会存在网络通讯流量,通过对网络通讯流量进行公开协议深度分析,实现对待检测工控系统工控病毒和典型攻击行为检查,然后获得异常分析评分。待检测工控系统支持包括Modbus、S7、DNP3、ENIP、CIP、Profinet、Ethernet/IP、IEC104、BACnet、IEC-61850/GOOSE、IEC-61850/SV、IEC-61850/MMS、Fox、FINS等工控协议。公开协议深度分析包括流量统计、数据包大小分布统计、诊断数据统计、IP流量统计、边界完整性检查等功能。
S150,根据所述威胁分析评分、所述资产分析评分和所述异常分析评分进行加权平均计算,获所述待检测工控系统的综合评分;其中,所述综合评分用于判断是否需要对所述待检测工控系统进行安全整改。
其中,所述威胁分析评分、所述资产分析评分和所述异常分析评分都有对应的预设权重,根据预设权重和所述威胁分析评分、所述资产分析评分和所述异常分析评分进行加权平均计算,获所述待检测工控系统的综合评分。综合评分越低,说明待检测工控系统的安全性越低,需要进行漏洞修复。对所述综合评分设置阈值,在所述综合评分低于阈值时,需对待检测工控系统进行漏洞修复。
上述工控系统安全威胁评估方法中,通过待检测工控系统的属性信息进行威胁分析,获得威胁分析评分,再根据工业控制设备的设备信号获得工业控制设备的漏洞信息并计算资产分析评分,最后再通过待检测工控系统与主机设备的网络通讯流量进行公开协议深度分析,获得异常分析评分,能够从待检测工控系统的基本信息、工业设备和主机设备三个维度进行全面分析和评分,获得待检测工控系统的综合评分,对待检测工控系统进行全面、科学、准确的评估,发现并定位工业控制系统中存在的安全隐患,形成工业控制系统安全检查报告,并为用户提供有效地整改建议,同时根据工业控制系统特点进行设计,检查过程不会影响工业控制系统正常运行。
在其中一个实施例中,所述工控系统安全威胁评估方法,还包括:获取所述待检测工控系统的属性信息,所述属性信息包括单位信息、系统信息、系统服务信息、系统互联信息和系统数据信息。其中,单位信息为待检测工控系统所属单位信息;系统信息为待检测工控系统的系统信息,例如,待检测工控系统的编号;系统互联信息为待检测工控系统中设备的相互连接信息;系统服务信息为待检测工控系统服务的对象、服务的类型;系统数据信息为待检测工控系统中各种控制参数、控制方式数据和控制等级数据。
在其中一个实施例中,所述根据威胁分析所需参数的要求,从待检测工控系统的属性信息中提取威胁分析参数进行威胁分析,获得威胁分析评分,包括:根据评估标准规范,获取威胁分析待检查项和所述威胁分析待检查项的评估标准;根据所述威胁分析待检查项从待检测工控系统的属性信息中提取威胁分析参数;根据所述威胁分析参数和所述评估标准,对所述威胁分析待检查项进行打分;根据每个所述威胁分析待检查项的打分及其对应的第一权重,计算威胁分析评分。
其中,评估标准规范中包括对待检测工控系统的属性信息进行分析的多个待检查
项,每个检查项设置了评估标准,每个待检查项都有对应的威胁分析参数,工控系统安全威
胁评估系统从待检测工控系统的属性信息中进行扫描,获得威胁分析参数。根据评估标准
规范中各个检查项要求,系统自动获取相应数据,或提示用户进行手动录入,系统根据各个
检查项的检查数据,对待检查项进行打分。按照评估标准对威胁分析参数进行打分,并且综
合多个待检查项的打分和所述待检查项的第一权重,计算威胁分析评分。例如,各个待检查
项的打分
及其第一权重
,计算威胁分析评分T,计算公式为:
,其中n为检
查项数量。
其中,待检查项包括无线热点检查,无线热点检查包括对工业现场的无线热点进行探测,发现所有参与无线通信的设备,并对无线热点进行安全检查,安全检查包括检查无线热点的SSID以及对应的MAC地址信息;其中,工控系统安全威胁评估系统支持探测隐藏的无线热点、获取无线热点所连接设备的相关信息、无线热点的弱加密方式以及弱密码检查等。其中,无线热点安全检查步骤如下:
1)无线检查模块对工业现场的无线信号进行扫描,发现所有参与无线通信的设备,获取无线热点的SSID以及对应的 MAC 地址信息;
2)检查各个无线热点的加密方式,记录未进行加密的无线热点;
3)对于未知的无线热点,通过弱密码字典,检测无线热点是否存在弱密码,并记录使用弱密码的无线热点;
4)对于已知的无线热点,加入无线网络,监听网络内部通讯流量,分离出数据包中的IP地址、MAC地址和端口号等信息,与合法通讯设备列表进行比对,检查是否存在非法访问行为,并记录存在非法访问行为的无线热点;若合法通讯设备列表不存在,可通过人工添加或白名单学习等方式进行构建;
5)根据安全检查记录,输出存在安全风险的无线热点。
其中,待检查项包括配置核查,所述配置核查包括对待检测工控系统中的主机设备进行安全配置检查。安全配置检查内容主要包括检查主机设备的基本信息、账户信息、账户口令策略、用户权限、安全审计、共享目录、运行服务、运行进程、已安装的更新程序、已安装的软件、端口信息、网卡信息、访问控制、漏洞信息等。
具体的,通过执行自动化脚本,可实现对各个待检查项的安全检查;例如,对共享账号的检查,脚本通过执行cat /etc/passwd命令,可查看当前所有用户的情况,检查是否有共享账号情况存在;再如,对账户口令策略的检查,脚本通过执行cat /etc/login.defs命令,查看口令策略,其中PASS_MAX_DAYS配置项决定密码最长使用期限,PASS_MIN_DAYS配置项决定密码最短使用期限,PASS_WARN_AGE配置项决定密码到期提醒时间,PASS_MAX_DAYS值小于等于90为符合。
在其中一个实施例中,所述探测所述待检测工控系统的存活设备的存活端口,获得探测数据,包括:探测所述待检测工控系统的存活设备的存活端口;向所述存活设备的存活端口发送指纹探测数据包;接收所述存活设备的存活端口根据所述指纹探测数据包发送的探测数据。
其中,存活设备是指工业控制系统中在活动、在运行的设备;存活设备上通常开放部分端口进行通讯连接,即存活端口。指纹探测数据包是根据工业控制设备型号及通讯协议类型构造的数据包,与设备进行通讯连接。探测数据是指工业控制设备型在接收到指纹探测数据包后,返回的数据。
其中,系统根据获取的工业控制设备信息,自动生成待检测工控系统的网络拓扑,用户可通过拖拽和连接的方式对拓扑图结构进行调整,工业控制设备信息包括但不限于设备类型、IP地址、端口等基础信息及其的通讯连接记录。系统在网络拓扑的基础上对工业现场的工业控制设备信息进行管理,用户通过选择工业控制设备信息可以查看对应的设备信息(包括设备厂商名称、版本、型号等)和漏洞信息。
在其中一个实施例中,所述将所述探测数据与设备指纹库中信息比对,获得所述待检测工控系统的漏洞信息,并根据所述漏洞信息计算资产分析评分,包括:识别所述待检测工控系统的主机设备信息;将所述主机设备信息与工业漏洞库中的设备信息进行比对,获取所述待检测工控系统的漏洞信息;其中,所述漏洞信息包括所述漏洞数量和漏洞严重程度;根据所述待检测工控系统的所有主机设备的所述漏洞信息,计算资产分析评分。
其中,设备指纹库中存储了设备信息和所述设备信息对应的漏洞信息,通过探测数据与设备指纹库中设备信息进行比对,能够获得待检测工控系统的主机设备信息,并获取对应的漏洞信息。
在其中一个实施例中,所述对所述待检测工控系统的在线监测网络通讯流量,进行公开协议深度分析,获得异常分析评分,包括:在线监测所述待检测工控系统的网络通讯流量;根据所述网络通讯流量,获取流量统计数据、数据包大小分布统计数据、诊断统计数据、IP流量统计数据和边界完整性检查数据;根据所述流量统计数据、数据包大小分布统计数据、诊断统计数据、IP流量统计数据和边界完整性检查数据,计算异常分析评分。
其中,网络通讯流量可为PCAP数据包。公开协议深度分析目的是解析数据包中的内容,使得计算机程序能够理解和使用。公开协议深度分析时根据通讯协议格式,将数据包应用层的二进制内容,进行分割和识别,流程上可分为:读取首字节功能码,例如在modbus中,0x01(十六进制)功能码表示读线圈寄存器;该功能码对应的格式为功能码(1字节)+起始地址(2字节)+线圈数量(2字节);根据功能码,获取各个字段的参数内容。在进行公开协议深度分析之后,进行流量异常分析,流量异常分析包括:统计非法协议类型、统计非法连接设备、统计畸形流量报文、统计流量吞吐异常。在流量异常分析师,可根据网络通讯流量与威胁特征库进行匹配,获得非法协议类型、非法连接设备、畸形流量报文、流量吞吐异常情况并进行统计。威胁特征库为正则表达式的集合,用于匹配识别流量报文中存在的威胁行为。
在其中一个实施例中,上述实施例中所述的第一权重和预设权重,可在一定范围内对数值进行调整,调整数值操作需要特定的用户权限,该权限由系统管理员进行授权,普通用户无法进行调整,仅能使用默认数值。
在其中一个实施例中,在根据所述威胁分析评分、所述资产分析评分和所述异常分析评分进行加权平均计算,获所述待检测工控系统的综合评分之后,包括:根据威胁分析待检查项的打分、主机设备信息的漏洞信息、流量统计数据、数据包大小分布统计数据、诊断统计数据、IP流量统计数据和边界完整性检查数据和所述待检测工控系统的综合评分,形成检查报告文书。
其中,检查报告文书分为评估报告、告知书、反馈意见三个部分。各部分所包括的文档如下:1)评估报告,包括:《工控安全检查评估报告》;2)告知书,包括:《威胁分析告知书》、《资产分析告知书》、《异常分析告知书》;3)反馈意见,包括:《检查反馈意见书》、《行政处罚决定书》、《检查情况通报书》、《停机整顿通知书》、《限期整改通知书》和《约谈通知书》。
应该理解的是,虽然图1的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图1中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图2所示,提供了一种工控系统安全威胁评估装置,包括:威胁分析评分计算模块210、探测模块220、资产分析评分计算模块230、异常分析评分计算模块240和综合评分计算模块250,其中:
威胁分析评分计算模块210,用于根据威胁分析所需参数的要求,从待检测工控系统的属性信息中提取威胁分析参数进行威胁分析,获得威胁分析评分。
探测模块220,用于探测所述待检测工控系统的存活设备的存活端口,获得探测数据。
资产分析评分计算模块230,用于将所述探测数据与设备指纹库中信息比对,获得所述待检测工控系统的漏洞信息,并根据所述漏洞信息计算资产分析评分。
异常分析评分计算模块240,用于对所述待检测工控系统的在线监测网络通讯流量,进行公开协议深度分析,获得异常分析评分。
综合评分计算模块250,用于根据所述威胁分析评分、所述资产分析评分和所述异常分析评分进行加权平均计算,获所述待检测工控系统的综合评分;其中,所述综合评分用于判断是否需要对所述待检测工控系统进行安全整改。
在其中一个实施例中,所述工控系统安全威胁评估装置还包括:属性信息获取模块,用于获取所述待检测工控系统的属性信息,所述属性信息包括单位信息、系统信息、系统服务信息、系统互联信息和系统数据信息。
在其中一个实施例中,威胁分析评分计算模块210包括:评估标准获取单元,用于根据评估标准规范,获取威胁分析待检查项和所述威胁分析待检查项的评估标准;威胁分析参数提取单元,用于根据所述威胁分析待检查项从待检测工控系统的属性信息中提取威胁分析参数;打分单元,用于根据所述威胁分析参数和所述评估标准,对所述威胁分析待检查项进行打分;威胁分析评分计算单元,用于根据每个所述威胁分析待检查项的打分及其对应的第一权重,计算威胁分析评分。
在其中一个实施例中,探测模块220包括:存活端口探测单元,用于探测所述待检测工控系统的存活设备的存活端口;数据包发送单元,用于向所述存活设备的存活端口发送指纹探测数据包;探测数据接收单元,用于接收所述存活设备的存活端口根据所述指纹探测数据包发送的探测数据。
在其中一个实施例中,资产分析评分计算模块230包括:识别单元,用于识别所述待检测工控系统的主机设备信息;漏洞信息获取单元,用于将所述主机设备信息与工业漏洞库中的设备信息进行比对,获取所述待检测工控系统的漏洞信息;其中,所述漏洞信息包括所述漏洞数量和漏洞严重程度;资产分析评分计算单元,用于根据所述待检测工控系统的所有主机设备的所述漏洞信息,计算资产分析评分。
在其中一个实施例中,异常分析评分计算模块240包括:监测单元,用于在线监测所述待检测工控系统的网络通讯流量;统计单元,用于根据所述网络通讯流量,获取流量统计数据、数据包大小分布统计数据、诊断统计数据、IP流量统计数据和边界完整性检查数据;异常分析评分计算单元,用于根据所述流量统计数据、数据包大小分布统计数据、诊断统计数据、IP流量统计数据和边界完整性检查数据,计算异常分析评分。
关于工控系统安全威胁评估装置的具体限定可以参见上文中对于工控系统安全威胁评估方法的限定,在此不再赘述。上述工控系统安全威胁评估装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,如图3所示,提供了一种工控系统安全威胁评估系统,所述系统包括底层、后端和前端;所述底层包括资产分析模块和异常分析模块,所述后端包括项目管理模块、知识库模块、威胁分析模块和文档管理模块,所述前端包括客户端;其中,所述资产分析模块,用于探测所述待检测工控系统的存活设备的存活端口,获得探测数据;将所述探测数据与设备指纹库中信息比对,获得所述待检测工控系统的漏洞信息,并根据所述漏洞信息计算资产分析评分;所述异常分析模块,用于对所述待检测工控系统的在线监测网络通讯流量,进行公开协议深度分析,获得异常分析评分;所述威胁分析模块,用于根据威胁分析所需参数的要求,从待检测工控系统的属性信息中提取威胁分析参数进行威胁分析,获得威胁分析评分;所述项目管理模块,用于根据所述威胁分析评分、所述资产分析评分和所述异常分析评分进行加权平均计算,获所述待检测工控系统的综合评分;其中,所述综合评分用于判断是否需要对所述待检测工控系统进行安全整改。
其中,资产分析模块和异常分析模块分别生成资产和异常信息,记录到数据库中。系统后端由项目管理模块、威胁分析模块、知识库模块和文档管理模块构成,从数据库中获取相应的业务数据,威胁分析模块对应工控安全威胁评估方法中的威胁分析步骤。知识库模块记录系统运行所需的相关信息,包括工控知识库(参照《GB/T 22239网络安全等级保护基本要求》等相关标准及规范文件(包括检查指标、方法、风险提示)、工控设备库(包含常见的工控相关核心控制器、工作站、服务器、网络设备、安全设备等信息)、设备指纹库(支持识别西门子、施耐德、罗克韦尔、ABB等国内外知名厂商的PLC、DCS、SCADA等工控设备)、工业漏洞库(基于CVE、CNVD、CNNVD等公开的漏洞库,提取其中有关于工控系统安全的部分)、工控协议库(包括Modbus、S7、DNP3、ENIP、CIP、Profinet、Ethernet/IP、IEC104、BACnet、IEC-61850/GOOSE、IEC-61850/SV、IEC-61850/MMS、Fox、FINS等在内的多种工控协议)和威胁特征库(能够对震网病毒、Havex 病毒等工业病毒、恶意代码、典型攻击行为进行识别和判断)。系统前端为客户端,用于为客户提供可视化交互功能,系统前端与后端之间采用json数据进行通信交互。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图4所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储待检测工控系统的属性信息和参数数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种工控系统安全威胁评估方法。
本领域技术人员可以理解,图4中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,还提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (9)
1.一种工控系统安全威胁评估方法,其特征在于,所述方法包括:
根据威胁分析所需参数的要求,从待检测工控系统的属性信息中提取威胁分析参数进行威胁分析,获得威胁分析评分;
探测所述待检测工控系统的存活设备的存活端口,获得探测数据;
将所述探测数据与设备指纹库中信息比对,获得所述待检测工控系统的漏洞信息,并根据所述漏洞信息计算资产分析评分;
对所述待检测工控系统的在线监测网络通讯流量,进行公开协议深度分析,获得异常分析评分;
根据所述威胁分析评分、所述资产分析评分和所述异常分析评分进行加权平均计算,获所述待检测工控系统的综合评分;其中,所述综合评分用于判断是否需要对所述待检测工控系统进行安全整改;
其中,所述根据威胁分析所需参数的要求,从待检测工控系统的属性信息中提取威胁分析参数进行威胁分析,获得威胁分析评分,包括:
根据评估标准规范,获取威胁分析待检查项和所述威胁分析待检查项的评估标准;
根据所述威胁分析待检查项从待检测工控系统的属性信息中提取威胁分析参数;
根据所述威胁分析参数和所述评估标准,对所述威胁分析待检查项进行打分;
根据每个所述威胁分析待检查项的打分及其对应的第一权重,计算威胁分析评分;
其中,所述威胁分析待检查项包括无线热点检查,所述无线热点检查包括以下步骤:
无线检查模块对工业现场的无线信号进行扫描,发现所有参与无线通信的设备,获取无线热点的SSID以及对应的 MAC 地址信息;
检查各个无线热点的加密方式,记录未进行加密的无线热点;
对于未知的无线热点,通过弱密码字典,检测无线热点是否存在弱密码,并记录使用弱密码的无线热点;
对于已知的无线热点,加入无线网络,监听网络内部通讯流量,分离出数据包中的IP地址、MAC地址和端口号信息,与合法通讯设备列表进行比对,检查是否存在非法访问行为,并记录存在非法访问行为的无线热点;若合法通讯设备列表不存在,通过人工添加或白名单学习方式进行构建;
根据安全检查获得的记录,输出存在安全风险的无线热点。
2.根据权利要求1所述的方法,其特征在于,还包括:
获取所述待检测工控系统的属性信息,所述属性信息包括单位信息、系统信息、系统服务信息、系统互联信息和系统数据信息。
3.根据权利要求1所述的方法,其特征在于,所述探测所述待检测工控系统的存活设备的存活端口,获得探测数据,包括:
探测所述待检测工控系统的存活设备的存活端口;
向所述存活设备的存活端口发送指纹探测数据包;
接收所述存活设备的存活端口根据所述指纹探测数据包发送的探测数据。
4.根据权利要求1所述的方法,其特征在于,所述将所述探测数据与设备指纹库中信息比对,获得所述待检测工控系统的漏洞信息,并根据所述漏洞信息计算资产分析评分,包括:
识别所述待检测工控系统的主机设备信息;
将所述主机设备信息与工业漏洞库中的设备信息进行比对,获取所述待检测工控系统的漏洞信息;其中,所述漏洞信息包括所述漏洞数量和漏洞严重程度;
根据所述待检测工控系统的所有主机设备的所述漏洞信息,计算资产分析评分。
5.根据权利要求1所述的方法,其特征在于,所述对所述待检测工控系统的在线监测网络通讯流量,进行公开协议深度分析,获得异常分析评分,包括:
在线监测所述待检测工控系统的网络通讯流量;
根据所述网络通讯流量,获取流量统计数据、数据包大小分布统计数据、诊断统计数据、IP流量统计数据和边界完整性检查数据;
根据所述流量统计数据、数据包大小分布统计数据、诊断统计数据、IP流量统计数据和边界完整性检查数据,计算异常分析评分。
6.一种工控系统安全威胁评估装置,其特征在于,所述装置包括:
威胁分析评分计算模块,用于根据威胁分析所需参数的要求,从待检测工控系统的属性信息中提取威胁分析参数进行威胁分析,获得威胁分析评分;
探测模块,用于探测所述待检测工控系统的存活设备的存活端口,获得探测数据;
资产分析评分计算模块,用于将所述探测数据与设备指纹库中信息比对,获得所述待检测工控系统的漏洞信息,并根据所述漏洞信息计算资产分析评分;
异常分析评分计算模块,用于对所述待检测工控系统的在线监测网络通讯流量,进行公开协议深度分析,获得异常分析评分;
综合评分计算模块,用于根据所述威胁分析评分、所述资产分析评分和所述异常分析评分进行加权平均计算,获所述待检测工控系统的综合评分;其中,所述综合评分用于判断是否需要对所述待检测工控系统进行安全整改;
其中,所述根据威胁分析所需参数的要求,从待检测工控系统的属性信息中提取威胁分析参数进行威胁分析,获得威胁分析评分,包括:
根据评估标准规范,获取威胁分析待检查项和所述威胁分析待检查项的评估标准;
根据所述威胁分析待检查项从待检测工控系统的属性信息中提取威胁分析参数;
根据所述威胁分析参数和所述评估标准,对所述威胁分析待检查项进行打分;
根据每个所述威胁分析待检查项的打分及其对应的第一权重,计算威胁分析评分;
其中,所述威胁分析待检查项包括无线热点检查,所述无线热点检查包括以下步骤:
无线检查模块对工业现场的无线信号进行扫描,发现所有参与无线通信的设备,获取无线热点的SSID以及对应的 MAC 地址信息;
检查各个无线热点的加密方式,记录未进行加密的无线热点;
对于未知的无线热点,通过弱密码字典,检测无线热点是否存在弱密码,并记录使用弱密码的无线热点;
对于已知的无线热点,加入无线网络,监听网络内部通讯流量,分离出数据包中的IP地址、MAC地址和端口号信息,与合法通讯设备列表进行比对,检查是否存在非法访问行为,并记录存在非法访问行为的无线热点;若合法通讯设备列表不存在,通过人工添加或白名单学习方式进行构建;
根据安全检查获得的记录,输出存在安全风险的无线热点。
7.一种工控系统安全威胁评估系统,其特征在于,所述系统包括底层、后端和前端;所述底层包括资产分析模块和异常分析模块,所述后端包括项目管理模块、知识库模块、威胁分析模块和文档管理模块,所述前端包括客户端;
其中,所述资产分析模块,用于探测待检测工控系统的存活设备的存活端口,获得探测数据;将所述探测数据与设备指纹库中信息比对,获得所述待检测工控系统的漏洞信息,并根据所述漏洞信息计算资产分析评分;
所述异常分析模块,用于对所述待检测工控系统的在线监测网络通讯流量,进行公开协议深度分析,获得异常分析评分;
所述威胁分析模块,用于根据威胁分析所需参数的要求,从待检测工控系统的属性信息中提取威胁分析参数进行威胁分析,获得威胁分析评分;
所述项目管理模块,用于根据所述威胁分析评分、所述资产分析评分和所述异常分析评分进行加权平均计算,获所述待检测工控系统的综合评分;其中,所述综合评分用于判断是否需要对所述待检测工控系统进行安全整改;
其中,所述根据威胁分析所需参数的要求,从待检测工控系统的属性信息中提取威胁分析参数进行威胁分析,获得威胁分析评分,包括:
根据评估标准规范,获取威胁分析待检查项和所述威胁分析待检查项的评估标准;
根据所述威胁分析待检查项从待检测工控系统的属性信息中提取威胁分析参数;
根据所述威胁分析参数和所述评估标准,对所述威胁分析待检查项进行打分;
根据每个所述威胁分析待检查项的打分及其对应的第一权重,计算威胁分析评分;
其中,所述威胁分析待检查项包括无线热点检查,所述无线热点检查包括以下步骤:
无线检查模块对工业现场的无线信号进行扫描,发现所有参与无线通信的设备,获取无线热点的SSID以及对应的 MAC 地址信息;
检查各个无线热点的加密方式,记录未进行加密的无线热点;
对于未知的无线热点,通过弱密码字典,检测无线热点是否存在弱密码,并记录使用弱密码的无线热点;
对于已知的无线热点,加入无线网络,监听网络内部通讯流量,分离出数据包中的IP地址、MAC地址和端口号信息,与合法通讯设备列表进行比对,检查是否存在非法访问行为,并记录存在非法访问行为的无线热点;若合法通讯设备列表不存在,通过人工添加或白名单学习方式进行构建;
根据安全检查获得的记录,输出存在安全风险的无线热点。
8.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至5中任一项所述的方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至5中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011374549.9A CN112184091B (zh) | 2020-12-01 | 2020-12-01 | 工控系统安全威胁评估方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011374549.9A CN112184091B (zh) | 2020-12-01 | 2020-12-01 | 工控系统安全威胁评估方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112184091A CN112184091A (zh) | 2021-01-05 |
| CN112184091B true CN112184091B (zh) | 2021-03-19 |
Family
ID=73918281
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011374549.9A Active CN112184091B (zh) | 2020-12-01 | 2020-12-01 | 工控系统安全威胁评估方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112184091B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113242231B (zh) * | 2021-05-07 | 2022-08-02 | 北京华云安信息技术有限公司 | 节点处理方法、装置、设备和计算机可读存储介质 |
| CN113468542A (zh) * | 2021-07-07 | 2021-10-01 | 国家计算机网络与信息安全管理中心江苏分中心 | 一种暴露面资产风险评估方法、装置、设备及介质 |
| CN113656273A (zh) * | 2021-08-19 | 2021-11-16 | 中国电子信息产业集团有限公司第六研究所 | 一种工控系统在检测时产生扰动的评估方法及装置 |
| CN114006750B (zh) * | 2021-10-29 | 2024-05-28 | 北京顶象技术有限公司 | 异常操作的检测方法、装置和电子设备 |
| CN114598514A (zh) * | 2022-02-24 | 2022-06-07 | 烽台科技(北京)有限公司 | 工控威胁检测方法及装置 |
| CN115225384B (zh) * | 2022-07-19 | 2024-01-23 | 天翼安全科技有限公司 | 一种网络威胁度评估方法、装置、电子设备及存储介质 |
| CN115755847A (zh) * | 2022-11-18 | 2023-03-07 | 北京卓识网安技术股份有限公司 | 一种工控系统等级保护测评方法和系统 |
| CN116318783B (zh) * | 2022-12-05 | 2023-08-22 | 浙江大学 | 基于安全指标的网络工控设备安全监测方法及装置 |
| CN115793562A (zh) * | 2023-01-30 | 2023-03-14 | 国家工业信息安全发展研究中心 | 可编程逻辑控制器plc设备的异常处理方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004042586A1 (en) * | 2002-11-06 | 2004-05-21 | Creative Software Solutions Pty Ltd | A computer network monitoring method and device |
| CN108632081A (zh) * | 2018-03-26 | 2018-10-09 | 中国科学院计算机网络信息中心 | 网络态势评估方法、装置及存储介质 |
| CN111565390A (zh) * | 2020-07-16 | 2020-08-21 | 深圳市云盾科技有限公司 | 一种基于设备画像的物联网设备风险控制方法及系统 |
-
2020
- 2020-12-01 CN CN202011374549.9A patent/CN112184091B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004042586A1 (en) * | 2002-11-06 | 2004-05-21 | Creative Software Solutions Pty Ltd | A computer network monitoring method and device |
| CN108632081A (zh) * | 2018-03-26 | 2018-10-09 | 中国科学院计算机网络信息中心 | 网络态势评估方法、装置及存储介质 |
| CN111565390A (zh) * | 2020-07-16 | 2020-08-21 | 深圳市云盾科技有限公司 | 一种基于设备画像的物联网设备风险控制方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112184091A (zh) | 2021-01-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112184091B (zh) | 工控系统安全威胁评估方法、装置和系统 | |
| US8418247B2 (en) | Intrusion detection method and system | |
| CN108989150B (zh) | 一种登录异常检测方法及装置 | |
| CN108063753A (zh) | 一种信息安全监测方法及系统 | |
| CN111245793A (zh) | 网络数据的异常分析方法及装置 | |
| CN108650225B (zh) | 一种远程安全监测设备、系统及远程安全监测方法 | |
| CN113315767B (zh) | 一种电力物联网设备安全检测系统及方法 | |
| EP2415229A1 (en) | Method and system for alert classification in a computer network | |
| CN109063486B (zh) | 一种基于plc设备指纹识别的安全渗透测试方法与系统 | |
| CN112163198B (zh) | 一种主机登录安全检测方法、系统、装置及存储介质 | |
| JP7396371B2 (ja) | 分析装置、分析方法及び分析プログラム | |
| CN112699369A (zh) | 一种通过栈回溯检测异常登录的方法及装置 | |
| CN116155519A (zh) | 威胁告警信息处理方法、装置、计算机设备和存储介质 | |
| CN115085956A (zh) | 入侵检测方法、装置、电子设备及存储介质 | |
| Li et al. | Research on Intrusion Detection Technology of Electric Control System Based on Machine Learning | |
| CN111147497B (zh) | 一种基于知识不对等的入侵检测方法、装置以及设备 | |
| CN117997586B (zh) | 基于数据可视化的网络安全检测系统 | |
| CN117313109A (zh) | 一种基于异常告警的系统动态安全评估方法及系统 | |
| CN118158061B (zh) | 一种数据内容保密检查系统及检查方法 | |
| CN118473829B (zh) | 一种IPv6网络安全防护系统 | |
| JP2005189996A (ja) | ネットワーク侵入検知システム | |
| CN117034285A (zh) | 电力系统安全威胁检测方法、装置、设备和介质 | |
| CN117978534A (zh) | 众测平台下异常测试行为的处理方法及装置 | |
| JP2024007510A (ja) | 複数の発生源からの自動署名生成のための方法 | |
| CN117955729A (zh) | 一种基于流量的恶意软件检测方法、装置及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 10 / F, building 4, 188 Lianchuang street, Wuchang Street, Yuhang District, Hangzhou City, Zhejiang Province 310000 Patentee after: Zhejiang Mulian Internet of things Technology Co.,Ltd. Address before: 10 / F, building 4, 188 Lianchuang street, Wuchang Street, Yuhang District, Hangzhou City, Zhejiang Province 310000 Patentee before: Hangzhou wooden chain Internet of things Technology Co.,Ltd. |