CN112351035A - 一种工控安全态势感知方法、装置及介质 - Google Patents
一种工控安全态势感知方法、装置及介质 Download PDFInfo
- Publication number
- CN112351035A CN112351035A CN202011230079.9A CN202011230079A CN112351035A CN 112351035 A CN112351035 A CN 112351035A CN 202011230079 A CN202011230079 A CN 202011230079A CN 112351035 A CN112351035 A CN 112351035A
- Authority
- CN
- China
- Prior art keywords
- industrial control
- data
- behavior
- behavior baseline
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Abstract
本申请公开了一种工控安全态势感知方法、装置及介质,其中该方法包括,分别建立通信行为基线和工控行为基线后,采集实时流量数据,并将该流量数据解析为网络通信数据和工控协议数据,在网络通信数据不符合通信行为基线或工控协议数据不符合工控行为基线的情况下,确定异常行为。由于建立了正常的通信行为基线,使得不符合该通信行为基线的网络通信数据即为异常通讯行为,因此无需定期整理归纳攻击行为即可判断各种类型的攻击行为,从而提高了工业控制系统的安全性。此外,由于建立了工控行为基线并能够解析流量数据中的工控协议数据,因此可以判断员工的恶意操作和错误操作,进一步提高了工业控制系统的安全性。
Description
技术领域
本申请涉及信息技术领域,特别是涉及一种工控安全态势感知方法、装置及介质。
背景技术
随着计算机技术和网络通信技术的发展,催生出由计算机和控制系统组成的工业控制系统,用于实现设备的自动化运行以及对工业控制流程的管理与监控。由于工业控制系统的经济价值高、被损害的后果严重,因此越来越多的组织出于经济或政治的目的,针对工业控制系统进行攻击。
目前工业控制系统的网络安全态势感知方法具体为:安全厂家将已知的攻击行为的流量特征汇总生成网络攻击特征库,网络安全态势感知系统获取实时的网络流量,并与网络攻击特征库进行匹配,若匹配成功则确定了攻击行为。由于网络攻击特征库更新速度慢,导致许多攻击行为的流量特征并未收录至网络攻击特征库,因此现有的网络安全态势感知系统漏报率高,从而降低了工业控制系统的安全性。除此之外,由于内部员工对工业控制系统的恶意操作行为和错误操作行为不属于传统的网络攻击行为,因此现有的网络安全态势感知系统无法识别员工的恶意操作和错误操作,导致工业控制系统的安全性下降。
由此可见,如何提高工业控制系统的安全性是是本领域技术人员亟待解决的问题。
发明内容
本申请的目的是提供一种工控安全态势感知方法、装置及介质。
为解决上述技术问题,本申请提供一种工控安全态势感知方法,包括:
分别建立通信行为基线和工控行为基线;
采集工控系统的流量数据;
将所述流量数据解析为网络通信数据和工控协议数据;
在所述网络通信数据不符合所述通信行为基线或所述工控协议数据不符合所述工控行为基线的情况下,确定异常行为。
优选的,所述分别建立通信行为基线和工控行为基线,包括:
获取预设时间内所述流量数据中的正常流量数据;
将所述正常流量数据解析为正常网络通信数据和正常工控协议数据;
根据所述正常网络通信数据建立所述通信行为基线;
根据所述正常工控协议数据建立所述工控行为基线。
优选的,在所述网络通信数据不符合所述通信行为基线或所述工控协议数据不符合所述工控行为基线的情况下,确定异常行为后,还包括:根据预先设置的报警策略发送第一告警信号。
优选的,所述在所述网络通信数据不符合所述通信行为基线或所述工控协议数据不符合所述工控行为基线的情况下,确定异常行为后,还包括:
识别与所述异常行为对应的资产;
获取与所述资产直接关联的范围;
根据所述范围发送第二告警信号并在可视化界面中显示。
优选的,所述在所述网络通信数据不符合所述通信行为基线或所述工控协议数据不符合所述工控行为基线的情况下,确定异常行为后,还包括:
设置各所述异常行为与用于表征各所述异常行为对应后果的各告警数据的第一对应关系;
依据所述第一对应关系在可视化界面中显示与所述异常行为对应的目标告警数据。
优选的,所述根据所述正常网络通信数据建立所述通信行为基线前,还包括:对所述正常网络通信数据和所述正常工控协议数据进行预处理。
优选的,还包括:
设置各所述网络通信数据与各通信资产的第二对应关系和各所述工控协议数据与各工控资产的第三对应关系;
根据所述第二对应关系和所述第三对应关系,在可视化界面中显示与所述异常行为对应的目标通信资产和目标通信行为或与所述异常行为对应的目标工控资产和目标工控行为。
为解决上述技术问题,本申请还提供一种工控安全态势感知装置,包括:
第一建立模块,用于分别建立通信行为基线和工控行为基线;
采集模块,用于采集工控系统的流量数据;
第一解析模块,用于将所述流量数据解析为网络通信数据和工控协议数据;
确定模块,用于在所述网络通信数据不符合所述通信行为基线或所述工控协议数据不符合所述工控行为基线的情况下,确定异常行为。
为解决上述技术问题,本申请还提供一种工控安全态势感知装置,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上所述的工控安全态势感知方法的步骤。
为解决上述技术问题,本申请还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的工控安全态势感知方法的步骤。
本申请所提供的工控安全态势感知方法,分别建立通信行为基线和工控行为基线后,采集实时流量数据,并将该流量数据解析为网络通信数据和工控协议数据,在网络通信数据不符合通信行为基线或工控协议数据不符合工控行为基线的情况下,确定异常行为。由于建立了正常的通信行为基线,使得不符合该通信行为基线的网络通信数据即为异常通讯行为,因此无需定期整理归纳攻击行为即可判断各种类型的攻击行为,从而提高了工业控制系统的安全性。此外,由于建立了工控行为基线并能够解析流量数据中的工控协议数据,因此可以判断员工的恶意操作和错误操作,进一步提高了工业控制系统的安全性。
此外,本申请提供的一种工控安全态势感知装置及介质,与上述工控安全态势感知方法对应,效果同上。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的第一种工控安全态势感知方法的流程图;
图2为本申请实施例提供的一种建立通信行为基线和工控行为基线的流程图;
图3为本申请实施例提供的第二种工控安全态势感知方法的流程图;
图4为本申请实施例提供的第三种工控安全态势感知方法的流程图;
图5为本申请实施例提供的第四种工控安全态势感知方法的流程图;
图6为本申请实施例提供的一种工控安全态势感知装置的结构示意图;
图7为本申请实施例提供的另一种工控安全态势感知装置的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下,所获得的所有其他实施例,都属于本申请保护范围。
本申请的核心是提供一种工控安全态势感知方法、装置及介质。
为了使本技术领域的人员更好地理解本申请方案,下面结合附图和具体实施方式对本申请作进一步的详细说明。
图1为本申请实施例提供的第一种工控安全态势感知方法的流程图。如图1所示,该方法包括:
S10:分别建立通信行为基线和工控行为基线。
本申请实施例中,通信行为基线是由正常网络通信数据总结归纳得到,包含资产通信关系、通讯协议、通讯端口、数据传输量和通信时间,其中资产包括服务器、工控上位机等主机,路由器、交换机等网络设备,以及可编程逻辑控制器(Programmable LogicController,PLC)、分散控制系统(Distributed Control System,DCS)等工控设备。
工控行为基线是由正常工控协议数据总结归纳得到,包含工控协议,功能码、读写寄存器的地址范围、工艺参数值范围、工业参数值变化率、工控指令频率和工控指令时间范围。
S11:采集工控系统的流量数据。
流量数据可由流量探针等设备通过交换机镜像端口或分光器获取。
S12:将流量数据解析为网络通信数据和工控协议数据。
需要说明的是,网络通信数据包括网络层报头数据和传输层报头数据。工控协议数据包括工控协议、功能码、读写寄存器地址以及工艺参数值等应用层数据。
S13:判断网络通信数据是否符合通信行为基线,如果是,则进入S14,如果否,则进入S15。
S14:判断工控协议数据是否符合工控行为基线,如果是,则结束,如果否,则进入S15。
可以理解的是,S13和S14的先后顺序不做要求,可以是如图1所示的判断顺序,可以是先判断工控协议数据是否符合工控行为基线,后判断网络通信数据是否符合通信行为基线,还可以是同时判断络通信数据是否符合通信行为基线和工控协议数据是否符合工控行为基线。由此,在网络通信数据是否符合通信行为基线和工控协议数据是否符合工控行为基线中至少一个不符合的情况下,即可确定异常行为。
S15:确定异常行为。
异常行为包括异常通信行为和异常工控行为,在网络通信数据不符合通信行为基线的情况下,确定异常通信行为;在工控协议数据不符合工控行为基线的情况下,确定异常工控行为。其中,异常通信行为包括异常通信对象、异常通信协议、异常访问端口、数据量突增或突降、非正常时间通信等,异常工控行为包括异常工控协议、异常功能码、读写寄存器的异常地址范围、异常工艺参数值、工艺参数值突增或突降、非正常工控指令频率或时间范围。
本申请实施例所提供的工控安全态势感知方法,分别建立通信行为基线和工控行为基线后,采集实时流量数据,并将该流量数据解析为网络通信数据和工控协议数据,在网络通信数据不符合通信行为基线或工控协议数据不符合工控行为基线的情况下,确定异常行为。由于建立了正常的通信行为基线,使得不符合该通信行为基线的网络通信数据即为异常通讯行为,因此无需定期整理归纳攻击行为即可判断各种类型的攻击行为,从而提高了工业控制系统的安全性。此外,由于建立了工控行为基线并能够解析流量数据中的工控协议数据,因此可以判断员工的恶意操作和错误操作,进一步提高了工业控制系统的安全性。
图2为本申请实施例提供的一种建立通信行为基线和工控行为基线的流程图。如图2所示,在上述实施例的基础上,S10具体包括:
S20:获取预设时间内流量数据中的正常流量数据。
需要说明的是,预设时间不做限制,在预设时间内获取包含工控系统所有生产业务对应的正常流量数据即可,在具体实施中,预设时间可设置为一个工业业务生产周期。
S21:将正常流量数据解析为正常网络通信数据和正常工控协议数据。
本申请实施例中,正常网络通信数据包含网络层的正常报头数据和传输层的正常报头数据。正常工控协议数据包括正常工控协议、正常功能码、读写寄存器的正常地址以及正常工艺参数值等应用层的正常数据。
S22:根据正常网络通信数据建立通信行为基线。
S23:根据正常工控协议数据建立工控行为基线。
本申请实施例所提供的工控安全态势感知方法,由于建立了正常流量数据对应的通信行为基线和工控行为基线,因此只要获取的流量数据不符合通信行为基线或工控行为基线中至少一种,即可判断为异常行为,故能够准确的识别网络攻击行为和员工的恶意操作和误操作,提高了工业控制系统的安全性。
在上述实施例的基础上,在S15后,还包括:根据预先设置的报警策略发送第一告警信号。
预先设置的报警策略可以包括:通过工单、邮件或短信的形式向员工发送第一告警信号。
作为优选的实施例,根据预先设置的报警策略发送第一告警信号可以包括:识别异常行为对应的资产,根据资产的重要程度及报警策略发送第一告警信号。例如,当异常行为对应的资产的重要程度较高,则通过短信的形式向员工发送第一告警信号,当异常行为对应的资产的重要程度较低,则通过邮件或工单的形式向员工发送第一告警信号。
本申请实施例所提供的工控安全态势感知方法,由于在确定异常行为后,根据预设的报警策略发送第一告警信号,因此能够及时提醒相关员工在线修复或紧急停机,避免在工业生产周期产生更大的损失。
图3为本申请实施例提供的第二种工控安全态势感知方法的流程图。如图3所示,在S15后,还包括:
S30:识别与异常行为对应的资产。
本申请实施例中,资产包括服务器、工控上位机等主机,路由器、交换机等网络设备,以及PLC、DCS等工控设备。
可以理解的是,工控系统中还可以设置有用于识别资产的资产特征库,其中资产特征库存储有各类资产的协议、开放端口、生存时间值(Time To Live,TTL)以及响应方式等。
S31:获取与资产直接关联的范围。
可以理解的是,直接关联的范围具体为与异常应为对应的资产直接关联的其他资产,其中,与资产直接关联的范围可通过资产访问控制权限获得。
S32:根据范围发送第二告警信号并在可视化界面中显示。
与上文提及的第一告警信号相同,根据与异常行为对应的资产直接关联的范围向员工通过短信、邮件或工单等方式发送第二告警信号,同时在可视化界面中以表格等形式显示与异常行为对应资产直接关联的范围。
作为优选的实施例,在可视化界面中,员工或用户可以根据工业生产的业务特性及网络安全策略,编辑与各资产直接关联的范围。
本申请实施例所提供的工控安全态势感知方法,由于识别与异常行为对应的资产后,根据与资产直接关联的范围发送第二告警信号,因此能够及时了解此次异常行为的影响范围,并针对该影响范围提前部署防护手段,从而进一步避免了工业控制系统产生更大的损失。
图4为本申请实施例提供的第三种工控安全态势感知方法的流程图。如图4所示,在上述实施例的基础上,在S15后,还包括:
S40:设置各异常行为与用于表征各异常行为对应后果的各告警数据的第一对应关系。
S41:依据第一对应关系在可视化界面中显示与异常行为对应的目标告警数据。
为了让本领域技术人员更加清楚本申请实施例提供的工控安全态势感知方法,本实施例将举例进行具体说明:
在确定锅炉X被恶意执行写寄存器操作这种异常行为后,根据该异常行为与“可能导致爆炸”这一后果的目标告警数据的第一对应关系,在可视化界面中显示“锅炉X被恶意操作,可能导致爆炸”。
作为优选的实施例,表征异常行为对应后果的告警数据中还可以包括可供用户更改的判断条件以及与异常行为对应资产的动态图,在判断条件成立的情况下,依据第一对应关系在可视化界面中显示目标告警数据以及对应资产的动态图。例如,预先在“可能导致爆炸”这一后果的目标告警数据中设置“寄存器地址为32100的锅炉X的值是否大于5000”,当确定锅炉X被恶意执行写寄存器(寄存器地址为32100,值为8000)操作这种异常行为后,判断“寄存器地址为32100的锅炉X的值是否大于5000”成立,则根据该异常行为与“可能导致爆炸”的目标告警数据的第一对应关系,在可视化界面中显示“锅炉X被恶意操作,压力设定超过阈值5000,可能导致爆炸”,并显示锅炉X的高压动态图。
本申请实施例所提供的工控安全态势感知方法,由于设置了各异常行为与表征各异常行为对应后果的各告警数据的对应关系,因此相关员工能够通过可视化界面了解异常应为对工业控制系统的影响和可能造成的后果,使得员工能够快速的判断异常行为的安全等级,并根据不同异常行为的严重性和紧迫性选择合理的处理方式,故进一步避免了工业控制系统产生更大的损失。
在上述实施例的基础上,在S22前,还包括:对正常网络通信数据和正常工控协议数据进行预处理。
其中,预处理包括去除重复数据,去除无效数据(例如解析不完整的数据),同一数据格式,按来源、类型、级别等进行分类标记,存储正常网络通信数据和正常工控协议数据。
为了提高确定异常行为的速度,作为优选的实施例,在确定异常行为前,还可以包括对网络通信数据和工控协议数据进行预处理。
本申请实施例所提供的工控安全态势感知方法,由于在建立通信行为基线和工控行为基线前,对正常网络通信数据和正常工控协议数据进行预处理,因此能够简洁、快速的根据预处理后的数据建立通信行为基线和工控行为基线。
图5为本申请实施例提供的第四种工控安全态势感知方法的流程图。如图5所示,该方法还包括:
S50:设置网络通信数据与各通信资产的第二对应关系和工控协议数据与各工控资产的第三对应关系。
需要说明的是,通信资产包括路由器、交换机等网络设备,工控资产包括工控上位机和PLC、DCS等工控设备。
S51:根据第二对应关系和第三对应关系,在可视化界面中显示与异常行为对应的目标通信资产和目标通信行为或与异常行为对应的目标工控资产和目标工控行为。
可以理解的是,可视化界面还可以展示网络拓扑,还可以实时动态显示通信行为和工控行为,还可以对资产直接联系范围和表征异常行为对应后果的告警数据中判断条件进行编辑。
本申请实施例所提供的工控安全态势感知方法,由于设置了网络通信数据与各通信资产的第二对应关系和工控协议数据与各工控资产的第三对应关系,因此可以在可视化界面中显示异常行为及其对应的资产,故相关员工能够实时监控可视化界面,快速的发现工控系统中的异常行为,进一步避免了工业控制系统产生更大的损失。
在上述实施例中,对于工控安全态势感知方法进行了详细描述,本申请还提供工控安全态势感知装置对应的实施例。需要说明的是,本申请从两个角度对装置部分的实施例进行描述,一种是基于功能模块的角度,另一种是基于硬件的角度。
图6为本申请实施例提供的一种工控安全态势感知装置的结构示意图。如图6所示,基于功能模块的角度,该装置包括:
第一建立模块10,用于分别建立通信行为基线和工控行为基线。
采集模块11,用于采集工控系统的流量数据。
第一解析模块12,用于将流量数据解析为网络通信数据和工控协议数据。
确定模块13,用于在网络通信数据不符合通信行为基线或工控协议数据不符合工控行为基线情况下,确定异常行为。
由于装置部分的实施例与方法部分的实施例相互对应,因此装置部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
作为优选的实施例,还包括:
第一获取模块,用于获取预设时间内流量数据中的正常流量数据。
第二解析模块,用于将正常流量数据解析为正常网络通信数据和正常工控协议数据。
第二建立模块,用于根据正常网络通信数据建立通信行为基线。
第三建立模块,用于根据正常工控协议数据建立工控行为基线。
还包括:
第一发送模块,用于根据预先设置的报警策略发送第一告警信号。
还包括:
识别模块,用于识别与异常行为对应的资产。
第二获取模块,用于获取与资产直接关联的范围。
第二发送模块,用于根据范围发送第二告警信号并在可视化界面中显示。
还包括:
第一设置模块,用于设置各异常行为与用于表征各异常行为对应后果的各告警数据的第一对应关系。
第一显示模块,用于依据第一对应关系在可视化界面中显示与异常行为对应的目标告警数据。
还包括:
预处理模块,用于对正常网络通信数据和正常工控协议数据进行预处理。
还包括:
第二设置模块,用于设置各网络通信数据与各通信资产的第二对应关系和各工控协议数据与各工控资产的第三对应关系。
第二显示模块,用于根据第二对应关系和第三对应关系,在可视化界面中显示与异常行为对应的目标通信资产和目标通信行为或与异常行为对应的目标工控资产和目标工控行为。
本申请所提供的工控安全态势感知装置,分别建立通信行为基线和工控行为基线后,采集实时流量数据,并将该流量数据解析为网络通信数据和工控协议数据,在网络通信数据不符合通信行为基线或工控协议数据不符合工控行为基线的情况下,确定异常行为。由于建立了正常的通信行为基线,使得不符合该通信行为基线的网络通信数据即为异常通讯行为,因此无需定期整理归纳攻击行为即可判断各种类型的攻击行为,从而提高了工业控制系统的安全性。此外,由于建立了工控行为基线并能够解析流量数据中的工控协议数据,因此可以判断员工的恶意操作和错误操作,进一步提高了工业控制系统的安全性。
图7为本申请实施例提供的另一种工控安全态势感知装置的结构示意图。如图7所示,基于硬件结构的角度,该装置包括:
存储器20,用于存储计算机程序;
处理器21,用于执行计算机程序时实现如上述实施例中工控安全态势感知方法的步骤。
其中,处理器21可以包括一个或多个处理核心,比如4核心处理器、8核心处理器等。处理器21可以采用数字信号处理(Digital Signal Processing,DSP)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)、可编程逻辑阵列(Programmable LogicArray,PLA)中的至少一种硬件形式来实现。处理器21也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称中央处理器(CentralProcessing Unit,CPU);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器21可以在集成有图像处理器(Graphics Processing Unit,GPU),GPU用于负责显示屏所需要显示的内容的渲染和绘制。
存储器20可以包括一个或多个计算机可读存储介质,该计算机可读存储介质可以是非暂态的。存储器20还可包括高速随机存取存储器,以及非易失性存储器,比如一个或多个磁盘存储设备、闪存存储设备。本实施例中,存储器20至少用于存储以下计算机程序201,其中,该计算机程序被处理器21加载并执行之后,能够实现前述任一实施例公开的工控安全态势感知方法的相关步骤。另外,存储器20所存储的资源还可以包括操作系统202和数据203等,存储方式可以是短暂存储或者永久存储。其中,操作系统202可以包括Windows、Unix、Linux等。数据203可以包括但不限于工控安全态势感知方法中涉及的数据等。
在一些实施例中,工控安全态势感知装置还可包括有显示屏22、输入输出接口23、通信接口24、电源25以及通信总线26。
本领域技术人员可以理解,图7中示出的结构并不构成对工控安全态势感知装置的限定,可以包括比图示更多或更少的组件。
本申请实施例提供的工控安全态势感知装置,包括存储器和处理器,处理器在执行存储器存储的程序时,能够实现如下方法:分别建立通信行为基线和工控行为基线后,采集实时流量数据,并将该流量数据解析为网络通信数据和工控协议数据,在网络通信数据不符合通信行为基线或工控协议数据不符合工控行为基线的情况下,确定异常行为。由于建立了正常的通信行为基线,使得不符合该通信行为基线的网络通信数据即为异常通讯行为,因此无需定期整理归纳攻击行为即可判断各种类型的攻击行为,从而提高了工业控制系统的安全性。此外,由于建立了工控行为基线并能够解析流量数据中的工控协议数据,因此可以判断员工的恶意操作和错误操作,进一步提高了工业控制系统的安全性。
最后,本申请还提供一种计算机可读存储介质对应的实施例。计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述方法实施例中记载的步骤。
可以理解的是,如果上述实施例中的方法以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本申请实施例提供的计算机可读存储介质,该介质上存储有计算机程序,计算机程序被处理器执行时,能够实现如下方法:分别建立通信行为基线和工控行为基线后,采集实时流量数据,并将该流量数据解析为网络通信数据和工控协议数据,在网络通信数据不符合通信行为基线或工控协议数据不符合工控行为基线的情况下,确定异常行为。由于建立了正常的通信行为基线,使得不符合该通信行为基线的网络通信数据即为异常通讯行为,因此无需定期整理归纳攻击行为即可判断各种类型的攻击行为,从而提高了工业控制系统的安全性。此外,由于建立了工控行为基线并能够解析流量数据中的工控协议数据,因此可以判断员工的恶意操作和错误操作,进一步提高了工业控制系统的安全性。
以上对本申请所提供的一种工控安全态势感知方法、装置及介质进行了详细介绍。说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种工控安全态势感知方法,其特征在于,包括:
分别建立通信行为基线和工控行为基线;
采集工控系统的流量数据;
将所述流量数据解析为网络通信数据和工控协议数据;
在所述网络通信数据不符合所述通信行为基线或所述工控协议数据不符合所述工控行为基线的情况下,确定异常行为。
2.根据权利要求1所述的工控安全态势感知方法,其特征在于,所述分别建立通信行为基线和工控行为基线,包括:
获取预设时间内所述流量数据中的正常流量数据;
将所述正常流量数据解析为正常网络通信数据和正常工控协议数据;
根据所述正常网络通信数据建立所述通信行为基线;
根据所述正常工控协议数据建立所述工控行为基线。
3.根据权利要求1或2所述的工控安全态势感知方法,其特征在于,在所述网络通信数据不符合所述通信行为基线或所述工控协议数据不符合所述工控行为基线的情况下,确定异常行为后,还包括:
根据预先设置的报警策略发送第一告警信号。
4.根据权利要求1所述的工控安全态势感知方法,其特征在于,所述在所述网络通信数据不符合所述通信行为基线或所述工控协议数据不符合所述工控行为基线的情况下,确定异常行为后,还包括:
识别与所述异常行为对应的资产;
获取与所述资产直接关联的范围;
根据所述范围发送第二告警信号并在可视化界面中显示。
5.根据权利要求4所述的工控安全态势感知方法,其特征在于,所述在所述网络通信数据不符合所述通信行为基线或所述工控协议数据不符合所述工控行为基线的情况下,确定异常行为后,还包括:
设置各所述异常行为与用于表征各所述异常行为对应后果的各告警数据的第一对应关系;
依据所述第一对应关系在可视化界面中显示与所述异常行为对应的目标告警数据。
6.根据权利要求2所述的工控安全态势感知方法,其特征在于,所述根据所述正常网络通信数据建立所述通信行为基线前,还包括:
对所述正常网络通信数据和所述正常工控协议数据进行预处理。
7.根据权利要求1所述的工控安全态势感知方法,其特征在于,还包括:
设置各所述网络通信数据与各通信资产的第二对应关系和各所述工控协议数据与各工控资产的第三对应关系;
根据所述第二对应关系和所述第三对应关系,在可视化界面中显示与所述异常行为对应的目标通信资产和目标通信行为或与所述异常行为对应的目标工控资产和目标工控行为。
8.一种工控安全态势感知装置,其特征在于,包括:
第一建立模块,用于分别建立通信行为基线和工控行为基线;
采集模块,用于采集工控系统的流量数据;
第一解析模块,用于将所述流量数据解析为网络通信数据和工控协议数据;
确定模块,用于在所述网络通信数据不符合所述通信行为基线或所述工控协议数据不符合所述工控行为基线的情况下,确定异常行为。
9.一种工控安全态势感知装置,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述的工控安全态势感知方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的工控安全态势感知方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011230079.9A CN112351035B (zh) | 2020-11-06 | 2020-11-06 | 一种工控安全态势感知方法、装置及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011230079.9A CN112351035B (zh) | 2020-11-06 | 2020-11-06 | 一种工控安全态势感知方法、装置及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112351035A true CN112351035A (zh) | 2021-02-09 |
| CN112351035B CN112351035B (zh) | 2022-07-15 |
Family
ID=74430166
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011230079.9A Active CN112351035B (zh) | 2020-11-06 | 2020-11-06 | 一种工控安全态势感知方法、装置及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112351035B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114124658A (zh) * | 2021-11-23 | 2022-03-01 | 北京天融信网络安全技术有限公司 | 工控网络异常检测方法、装置、电子设备及存储介质 |
| CN114157461A (zh) * | 2021-11-22 | 2022-03-08 | 绿盟科技集团股份有限公司 | 工控协议数据流处理方法、装置、设备及存储介质 |
| CN114301645A (zh) * | 2021-12-16 | 2022-04-08 | 北京六方云信息技术有限公司 | 异常行为检测方法、装置、终端设备以及存储介质 |
| CN114500247A (zh) * | 2022-02-28 | 2022-05-13 | 中国软件评测中心(工业和信息化部软件与集成电路促进中心) | 工控网络故障诊断方法、装置、电子设备及可读存储介质 |
| WO2022198580A1 (zh) * | 2021-03-25 | 2022-09-29 | 西门子股份公司 | 一种工控网络的异常检测方法及装置 |
| CN117473514A (zh) * | 2023-12-28 | 2024-01-30 | 华东交通大学 | 一种工控系统的智能运维方法及系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107426191A (zh) * | 2017-06-29 | 2017-12-01 | 上海凯岸信息科技有限公司 | 一种漏洞预警及应急响应自动告警系统 |
| CN108055282A (zh) * | 2017-12-28 | 2018-05-18 | 国网浙江省电力有限公司电力科学研究院 | 基于自学习白名单的工控异常行为分析方法及系统 |
| CN108063753A (zh) * | 2017-11-10 | 2018-05-22 | 全球能源互联网研究院有限公司 | 一种信息安全监测方法及系统 |
| US20180316701A1 (en) * | 2017-04-26 | 2018-11-01 | General Electric Company | Threat detection for a fleet of industrial assets |
| WO2018218537A1 (zh) * | 2017-05-31 | 2018-12-06 | 西门子公司 | 工业控制系统及其网络安全的监视方法 |
| CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
| CN111709034A (zh) * | 2020-05-29 | 2020-09-25 | 成都金隼智安科技有限公司 | 基于机器学习的工控环境智能安全检测系统与方法 |
-
2020
- 2020-11-06 CN CN202011230079.9A patent/CN112351035B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180316701A1 (en) * | 2017-04-26 | 2018-11-01 | General Electric Company | Threat detection for a fleet of industrial assets |
| WO2018218537A1 (zh) * | 2017-05-31 | 2018-12-06 | 西门子公司 | 工业控制系统及其网络安全的监视方法 |
| CN107426191A (zh) * | 2017-06-29 | 2017-12-01 | 上海凯岸信息科技有限公司 | 一种漏洞预警及应急响应自动告警系统 |
| CN108063753A (zh) * | 2017-11-10 | 2018-05-22 | 全球能源互联网研究院有限公司 | 一种信息安全监测方法及系统 |
| CN108055282A (zh) * | 2017-12-28 | 2018-05-18 | 国网浙江省电力有限公司电力科学研究院 | 基于自学习白名单的工控异常行为分析方法及系统 |
| CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
| CN111709034A (zh) * | 2020-05-29 | 2020-09-25 | 成都金隼智安科技有限公司 | 基于机器学习的工控环境智能安全检测系统与方法 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022198580A1 (zh) * | 2021-03-25 | 2022-09-29 | 西门子股份公司 | 一种工控网络的异常检测方法及装置 |
| CN114157461A (zh) * | 2021-11-22 | 2022-03-08 | 绿盟科技集团股份有限公司 | 工控协议数据流处理方法、装置、设备及存储介质 |
| CN114157461B (zh) * | 2021-11-22 | 2023-08-01 | 绿盟科技集团股份有限公司 | 工控协议数据流处理方法、装置、设备及存储介质 |
| CN114124658A (zh) * | 2021-11-23 | 2022-03-01 | 北京天融信网络安全技术有限公司 | 工控网络异常检测方法、装置、电子设备及存储介质 |
| CN114301645A (zh) * | 2021-12-16 | 2022-04-08 | 北京六方云信息技术有限公司 | 异常行为检测方法、装置、终端设备以及存储介质 |
| CN114500247A (zh) * | 2022-02-28 | 2022-05-13 | 中国软件评测中心(工业和信息化部软件与集成电路促进中心) | 工控网络故障诊断方法、装置、电子设备及可读存储介质 |
| CN114500247B (zh) * | 2022-02-28 | 2023-08-15 | 中国软件评测中心(工业和信息化部软件与集成电路促进中心) | 工控网络故障诊断方法、装置、电子设备及可读存储介质 |
| CN117473514A (zh) * | 2023-12-28 | 2024-01-30 | 华东交通大学 | 一种工控系统的智能运维方法及系统 |
| CN117473514B (zh) * | 2023-12-28 | 2024-03-15 | 华东交通大学 | 一种工控系统的智能运维方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112351035B (zh) | 2022-07-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112351035B (zh) | 一种工控安全态势感知方法、装置及介质 | |
| CN110535702B (zh) | 一种告警信息处理方法及装置 | |
| CN107454103B (zh) | 基于时间线的网络安全事件过程分析方法及系统 | |
| CN108650225B (zh) | 一种远程安全监测设备、系统及远程安全监测方法 | |
| JP2008304968A (ja) | セキュリティ対策状況の自己点検システム | |
| CN111935172A (zh) | 基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质 | |
| CN111176202A (zh) | 工业控制网络的安全管理方法、装置、终端设备及介质 | |
| WO2019026310A1 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
| CN112532435A (zh) | 一种运维方法、运维管理平台、设备及介质 | |
| CN112019523A (zh) | 一种工控系统的网络审计方法和装置 | |
| CN113315760A (zh) | 一种基于知识图谱的态势感知方法、系统、设备及介质 | |
| CN114172703A (zh) | 一种恶意软件识别方法、装置、介质 | |
| CN112650180B (zh) | 安全告警方法、装置、终端设备及存储介质 | |
| JP7396371B2 (ja) | 分析装置、分析方法及び分析プログラム | |
| CN111478792B (zh) | 一种割接信息处理方法、系统及装置 | |
| CN106899977B (zh) | 异常流量检验方法和装置 | |
| CN111147542A (zh) | 一种免密访问的设置方法、装置、设备及介质 | |
| CN114584391B (zh) | 异常流量处理策略的生成方法、装置、设备及存储介质 | |
| CN115314322A (zh) | 基于流量的漏洞检测确认方法、装置、设备以及存储介质 | |
| CN112398695B (zh) | 一种大规模终端设备管控方法、系统、设备及存储介质 | |
| CN114218001A (zh) | 故障修复方法、装置、电子设备及可读存储介质 | |
| JP2007295279A (ja) | 障害管理装置及び障害管理方法及びプログラム | |
| CN112084512A (zh) | 一种访问控制方法、装置、设备及计算机可读存储介质 | |
| CN110764716A (zh) | 基于流量的网络打印机安全检测方法、装置及存储介质 | |
| CN114184361B (zh) | 一种交换机风扇信息检测方法、装置以及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |