CN112511545A - 一种工业审计系统中安全事件上报的方法 - Google Patents

一种工业审计系统中安全事件上报的方法 Download PDF

Info

Publication number
CN112511545A
CN112511545A CN202011396123.3A CN202011396123A CN112511545A CN 112511545 A CN112511545 A CN 112511545A CN 202011396123 A CN202011396123 A CN 202011396123A CN 112511545 A CN112511545 A CN 112511545A
Authority
CN
China
Prior art keywords
rule
industrial
reporting
rules
event
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011396123.3A
Other languages
English (en)
Inventor
于永磊
焦威
陈君
王思同
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Guotai Netcom Technology Co ltd
Original Assignee
Beijing Guotai Netcom Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Guotai Netcom Technology Co ltd filed Critical Beijing Guotai Netcom Technology Co ltd
Priority to CN202011396123.3A priority Critical patent/CN112511545A/zh
Publication of CN112511545A publication Critical patent/CN112511545A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/42Mailbox-related aspects, e.g. synchronisation of mailboxes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/03Protocol definition or specification 
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/18Multiprotocol handlers, e.g. single devices capable of handling multiple protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/26Special purpose or proprietary protocols or architectures

Abstract

本发明公开了一种工业审计系统中事件的上报方法,所述上报方法包括如下步骤:S1:采集工业交换机镜像流量,对工控协议流量进行解析,根据解析信息提取行为数据;S2:据步骤S1提取到的行为数据按照规则的优先级匹配预先下发的规则,规则根据工业环境用户进行手动配置;S3:将匹配到规则的信息确定为安全事件,并将安全事件上报到工业审计系统,同时以邮件的形式发送到用户邮箱,做到实时提醒。本发明上报方法实现了实时提醒用户系统发生的安全行为,为用户的系统安全提供极大的便利和强有力的保障。

Description

一种工业审计系统中安全事件上报的方法
技术领域
本发明属于信息安全技术领域,尤其涉及一种工业审计系统中事件的上报方法。
背景技术
随着工业控制系统信息化程度的提高和工业化与信息化的深度融合,来自信息网络的安全问题逐步对工业控制系统造成极大威胁,如木马、病毒等。针对工业控制网络的攻击将成为一种常态,工业控制系统的信息安全将会得到前所未有的关注。
而且传统的网络安全检测审计产品已不能满足工业信息化发展的需求,常见的安全问题有:工业协议通信缺乏安全性考虑,易被攻击和利用;缺乏对系统误操作和破坏的监测机制,事故分析困难;安全漏洞难以及时处理,系统存在巨大安全隐患等。此时,安全事件实时上报就显得尤为重要。
发明内容
本发明的目的在于,为克服现有技术缺陷,提供了一种在工业审计系统中安全事件上报的方法,实现了实时提醒用户系统发生的安全行为,为用户的系统安全提供极大的便利和强有力的保障。
本发明目的通过下述技术方案来实现:
一种工业审计系统中事件的上报方法,所述上报方法包括如下步骤:S1:采集工业交换机镜像流量,对工控协议流量进行解析,根据解析信息提取行为数据;S2:据步骤S1提取到的行为数据按照规则的优先级匹配预先下发的规则,规则根据工业环境用户进行手动配置;S3:将匹配到规则的信息确定为安全件,并将安全事件上报到工业审计系统,同时以邮件的形式发送到用户邮箱,做到实时提醒。
根据一个优选的实施方式,所述步骤S1中,对工控协议流量进行解析由流程深度解析模块完成,其中,所述流程深度解析模块配置有若干工控协议的深度解析过程。
根据一个优选的实施方式,所述步骤S2中的规则包括:病毒检测规则、自定义协议规则、工业漏洞库规则、IPMAC绑定规则、工控协议规则和网络协议规则。
根据一个优选的实施方式,规则匹配的优先级顺序依序为病毒检测规则、自定义协议规则、工业漏洞库规则、IPMAC绑定规则、工控协议规则至网络协议规则。
根据一个优选的实施方式,所述步骤S3中的安全事件由所述行为数据和匹配到的规则信息构成。
根据一个优选的实施方式,所述安全事件包括的数据至少包括:匹配到的规则,发生时间,事件包长度,源目的IP,源目的MAC。
前述本发明主方案及其各进一步选择方案可以自由组合以形成多个方案,均为本发明可采用并要求保护的方案;且本发明,(各非冲突选择)选择之间以及和其他选择之间也可以自由组合。本领域技术人员在了解本发明方案后根据现有技术和公知常识可明了有多种组合,均为本发明所要保护的技术方案,在此不做穷举。
本发明的有益效果:本发明上报方法同时支持病毒检测规则、自定义协议规则、工业漏洞库规则、IPMAC绑定规则、工控协议规则和网络协议规则,做到对系统的攻击、误操作和破坏监测的更加全面,对安全事故的分析更加简单,同时实时提醒用户系统发生的安全行为,为用户的系统安全提供极大的便利和强有力的保障。
附图说明
图1是本发明上报方法的流程框架示意图
图2是本发明上报方法中的规则匹配流程图;
图3是本发明上报方法中自定义协议规则的框架结构图。
具体实施方式
以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。
需要说明的是,为使本发明实施例的目的、技术方案和优点更加清楚,下面对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。
因此,以下对本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参考图1、图2和图3所示,本发明公开了一种工业审计系统中事件的上报方法。本发明通过用户下发规则,通过流量深度解析技术,进行规则匹配,将解析到的信息以及匹配信息上报到审计系统。
本发明的技术方案主要由两部分组成,如图1所示:
1用户下发病毒检测规则,自定义协议规则,工业漏洞库规则,IPMAC绑定规则,工控协议规则和网络协议规则;
2基于流量深度解析技术,进行规则匹配,将解析信息和匹配结果以安全事件的形式上报。
下发规则,下发病毒检测规则,通过打开病毒检测开关启用病毒库,配置安全事件的处理方式,选择警告或者允许完成病毒检测规则的下发。
下发自定义协议规则,用户配置自定义协议,包括:协议名称、端口号、传输层协议和特征值(包括名称、偏移量和解析深度)。配置源目的IP(支持成组的IP)和事件的处理方式,既配置警告或者允许,完成自定义协议规则的下发。一条自定义协议规则可包含多条自定义协议,如图3所示。
下发工业漏洞库规则,可配置全部工业漏洞或选择部分漏洞,配置事件处理方式,完成工业漏洞库规则的下发。
下发IPMAC绑定规则,配置系统中已知资产设备的IP和MAC,并添加到IPMAC绑定规则。
下发工业协议规则,选择协议,添加协议的特征码,配置源目的IP(支持成组的IP)和事件的处理方式。一条工控协议规则可包含多条协议的规则。
下发网络协议规则,配置传输层协议,起源IP和端口,目的IP和端口,处理方式和风险等级。
规则匹配首先通过流解析技术,对采集到的镜像流量进行深度解析,提取到协议的行为数据,基于行为数据首先进行病毒检测规则匹配,对比病毒库特征,将匹配到的数据以及所述行为数据上报。如果不满足上述条件,进行自定义协议规则匹配,所述行为数据满足自定义协议规则时,上报告警事件信息。如果不满足上述条件,进行工业漏洞库规则匹配,将解析到的行为数据与工业漏洞库进行匹配,将符合工业漏洞规则的数据上报。如果不满足上述条件,进行IPMAC绑定规则匹配,与已知资产做对比,将行为数据中异常资产数据上报。如果不满足上述条件,进行工控协议规则匹配,将行为数据中解析到工业协议与工控协议规则匹配,将符合规则的数据上报。如果不满足上述条件,进行网络协议规则匹配,将行为数据中符合规则的数据以安全事件的形式上报。同时将安全事件信息以邮件的形式实时通知用户。
本发明同时支持多种规则匹配工业流量深度解析数据,做到更加全面的对工业系统进行监测。提供的安全事件信息,对安全事故的分析更加简单,同时实时提醒用户系统发生的安全行为,为用户的系统安全提供极大的便利和强有力的保障。
前述本发明基本例及其各进一步选择例可以自由组合以形成多个实施例,均为本发明可采用并要求保护的实施例。本发明方案中,各选择例,与其他任何基本例和选择例都可以进行任意组合。本领域技术人员可知有众多组合。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (6)

1.一种工业审计系统中事件的上报方法,其特征在于,所述上报方法包括如下步骤:
S1:采集工业交换机镜像流量,对工控协议流量进行解析,根据解析信息提取行为数据;
S2:据步骤S1提取到的行为数据按照规则的优先级匹配预先下发的规则,规则根据工业环境用户进行手动配置;
S3:将匹配到规则的信息确定为安全事件,并将安全事件上报到工业审计系统,同时以邮件的形式发送到用户邮箱,做到实时提醒。
2.如权利求1所述的工业审计系统中事件的上报方法,其特征在于,所述步骤S1中,对工控协议流量进行解析由流程深度解析模块完成,
其中,所述流程深度解析模块配置有若干工控协议的深度解析过程。
3.如权利求1所述的工业审计系统中事件的上报方法,其特征在于,所述步骤S2中的规则包括:病毒检测规则、自定义协议规则、工业漏洞库规则、IPMAC绑定规则、工控协议规则和网络协议规则。
4.如权利求3所述的工业审计系统中事件的上报方法,其特征在于,规则匹配的优先级顺序依序为病毒检测规则、自定义协议规则、工业漏洞库规则、IPMAC绑定规则、工控协议规则至网络协议规则。
5.如权利求1所述的工业审计系统中事件的上报方法,其特征在于,所述步骤S3中的安全事件由所述行为数据和匹配到的规则信息构成。
6.如权利求5所述的工业审计系统中事件的上报方法,其特征在于,所述安全事件包括的数据至少包括:匹配到的规则,发生时间,事件包长度,源目的IP,源目的MAC。
CN202011396123.3A 2020-12-03 2020-12-03 一种工业审计系统中安全事件上报的方法 Pending CN112511545A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011396123.3A CN112511545A (zh) 2020-12-03 2020-12-03 一种工业审计系统中安全事件上报的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011396123.3A CN112511545A (zh) 2020-12-03 2020-12-03 一种工业审计系统中安全事件上报的方法

Publications (1)

Publication Number Publication Date
CN112511545A true CN112511545A (zh) 2021-03-16

Family

ID=74969505

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011396123.3A Pending CN112511545A (zh) 2020-12-03 2020-12-03 一种工业审计系统中安全事件上报的方法

Country Status (1)

Country Link
CN (1) CN112511545A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113315771A (zh) * 2021-05-28 2021-08-27 苗叶 一种基于工业控制系统的安全事件告警装置和方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110752951A (zh) * 2019-10-24 2020-02-04 杭州安恒信息技术股份有限公司 工业网络流量监测审计方法、装置及系统
CN110958231A (zh) * 2019-11-21 2020-04-03 博智安全科技股份有限公司 基于互联网的工控安全事件监测平台及其方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110752951A (zh) * 2019-10-24 2020-02-04 杭州安恒信息技术股份有限公司 工业网络流量监测审计方法、装置及系统
CN110958231A (zh) * 2019-11-21 2020-04-03 博智安全科技股份有限公司 基于互联网的工控安全事件监测平台及其方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113315771A (zh) * 2021-05-28 2021-08-27 苗叶 一种基于工业控制系统的安全事件告警装置和方法

Similar Documents

Publication Publication Date Title
US8056115B2 (en) System, method and program product for identifying network-attack profiles and blocking network intrusions
KR101007899B1 (ko) 네트워크 보안 시스템에서의 패턴 발견
CN104937886B (zh) 日志分析装置、信息处理方法
Li Using genetic algorithm for network intrusion detection
CN110300100A (zh) 日志审计的关联分析方法与系统
EP3131259B1 (en) Network security
US20130298254A1 (en) Methods and systems for detecting suspected data leakage using traffic samples
CN107360118B (zh) 一种高级持续威胁攻击防护方法及装置
CN112653669B (zh) 网络终端安全威胁预警方法、系统及网络终端管理装置
WO2013014672A1 (en) A method for detecting anomaly action within a computer network
ATE344573T1 (de) Flussbasierte erfassung eines eindringens in ein netzwerk
CN111600863B (zh) 网络入侵检测方法、装置、系统和存储介质
CN112953971B (zh) 一种网络安全流量入侵检测方法和系统
Alharby et al. IDS false alarm reduction using continuous and discontinuous patterns
CN214306527U (zh) 一种燃气管网调度监控网络安全系统
CN111835680A (zh) 一种工业自动制造的安全防护系统
CN113271303A (zh) 一种基于行为相似性分析的僵尸网络检测方法及系统
CN115134250A (zh) 一种网络攻击溯源取证方法
CN107332802B (zh) 一种防火墙策略监控方法及装置
CN112511545A (zh) 一种工业审计系统中安全事件上报的方法
CN116861419B (zh) 一种ssr上主动防御日志告警方法
CN112968869A (zh) 一种电力生产控制大区的信息安全监测系统
CN116668259A (zh) 用于检测网络中基础设施的异常的方法及设备
CN114006719B (zh) 基于态势感知的ai验证方法、装置及系统
KR20050055996A (ko) 종합 보안 상황 관리 시스템

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20210316