CN112637220B - 一种工控系统安全防护方法及装置 - Google Patents
一种工控系统安全防护方法及装置 Download PDFInfo
- Publication number
- CN112637220B CN112637220B CN202011568117.1A CN202011568117A CN112637220B CN 112637220 B CN112637220 B CN 112637220B CN 202011568117 A CN202011568117 A CN 202011568117A CN 112637220 B CN112637220 B CN 112637220B
- Authority
- CN
- China
- Prior art keywords
- industrial control
- safety
- terminal
- network
- baseline
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种工控系统安全防护方法及装置,其中,所述工控系统安全防护方法包括:实时监测并获取工控系统网络信息,并根据工控安全基线识别安全风险;其中,所述工控安全基线在终端层安全基线、网络层安全基线的基础上结合漏洞数据库、威胁情报数据库建立。本发明通过采用上述方法建立工控安全基线,并根据工控安全基线对工控系统进行安全风险识别、预测、处置、转移等,实现了工控系统的安全防护,大大提高了工控系统的安全级别。
Description
技术领域
本发明涉及网络安全领域,具体而言,涉及一种工控系统安全防护方法及装置。
背景技术
作为现代工业基础设施的神经系统,工业控制系统(简称“工控系统”)的安全性受到人们的广泛重视。然而,目前的工控系统仅单一地实现了终端安装agent或通信报文主动采集和全流量数据包解析技术,并没有构造属于基于智慧能源网络流量的安全基线。
而当利用某些技术不能帮助解决工控网络流量的安全性问题时,工控网络流量系统安全往往需要在安全所需付出成本与所能够承受的安全风险之间平衡,而现在并不存在工控网络流量的安全基线这个平衡的合理分界线,所以目前存在并不能满足非基本安全需求的问题。
针对上述问题,亟需提供一种安全系数较高且成本较低的基于智慧能源网络流量安全基线的工控系统安全防护方法及装置,以满足工控系统非基本安全的需求。
发明内容
本发明实施例提供了一种工控系统安全防护方法及装置,以至少解决现有技术安全系数较低,不能满足非基本安全需求等技术问题。
根据本发明实施例的一个方面,提供了一种工控系统安全防护方法,包括:实时监测并获取工控系统网络信息,并根据工控安全基线识别安全风险;其中,所述工控安全基线在终端层安全基线、网络层安全基线的基础上结合漏洞数据库、威胁情报数据库建立。
可选地,所述网络信息包括终端信息、通信信息,所述终端信息包括终端登录信息、终端操作信息、终端运行状态、移动存储信息、设备接入信息中的一项或多项;所述通信信息包括网络外联信息、通信协议信息、流量信息、网络操作信息中的一项或多项。
可选地,所述工控安全基线的建立方法包括:根据所述终端层安全基线建立终端层异常行为知识库、终端层合法行为知识库;根据所述网络层安全基线建立网络层异常通信/流量知识库、网络层合法通信/流量知识库;根据所述终端层异常行为知识库、所述终端层合法行为知识库、所述网络层异常通信/流量知识库、所述网络层合法通信/流量知识库、所述漏洞数据库、所述威胁情报数据库建立所述工控安全基线。
可选地,根据所述终端层异常行为知识库和所述网络层异常通信/流量知识库建立黑名单,根据所述终端层合法行为知识库和所述网络层合法通信/流量知识库建立白名单。
可选地,所述漏洞知识库包括常见漏洞和第三方应用中的未知漏洞,所述威胁情报数据库包括互联网威胁情报及工控行业威胁情报。
可选地,所述工控安全基线定期或不定期进行自动更新,所述自动更新的方法包括:获取未知网络信息,并提取其中的网络行为特征;采用强化学习方法识别所述网络行为特征,并更新所述终端层异常行为知识库、所述终端层合法行为知识库、所述网络层异常通信/流量知识库或所述网络层合法通信/流量知识库。
可选地,所述终端层安全基线的建立方法包括:采集终端指纹数据,所述终端指纹数据包括操作系统版本、开放端口、Web开发框架;根据终端历史通信特征建立终端通信行为模型,所述终端通信行为模型至少包括时间、账号、操作、访问对象四个维度的信息;根据所述终端指纹数据及所述终端通信行为模型,建立所述终端层安全基线。
可选地,针对不同的终端建立不同的终端层安全基线。
可选地,所述网络层安全基线的建立方法包括:对异常协议、流量威胁进行检测;对异常通信、攻击进行检测;根据检测结果建立所述网络层安全基线。
可选地,所述工控系统安全防护方法还包括:根据所述安全风险的识别结果及安全策略数据库发送安全策略至相应终端。
可选地,所述安全策略数据库的建立方法包括:对工控系统资产进行分析,获取资产信息,建立资产信息数据库;根据所述资产信息及所述工控安全基线对威胁事件进行分析判断;根据所述资产信息和所述威胁事件建立所述安全策略数据库。
可选地,所述资产信息包括资产版本标识、服务端信息、厂商信息;所述资产版本标识包括操作系统版本、开放端口、提供的服务、服务版本中的一项或多项;所述服务端信息包括开发框架、第三方组件、Web应用CMS中的一项或多项。
可选地,所述安全策略数据库包括:新建系统上线前配置最低要求安全基线策略,所述最低要求安全基线包括网络区域防护、网络设备账号口令、网络设备端口服务、网络设备安全防护、防火圈安全防护;对主机、数据库、网络设备、中间件、安全设备进行不安全配置检查策略;在扫描系统安全性较脆弱的情况下,加固安全配置策略;主机安全检查策略,包括主机账号口令、主机端口服务、Windows主机防病毒管理;应用安全检查策略,包括应用端口服务、应用账号安全、Web应用安全;安全审计检查策略,包括主机访问权限审计、应用访问权限审计、数据库访问权限审计、应用操作审计;安全管理策略,明确安全漏洞管理的部门、岗位,检查的申请、审批、确认、加固的执行流程及表单内容。
可选地,当识别出工控系统网络信息中存在安全风险时,所述工控系统安全防护方法还包括:根据获取的存在安全风险的工控系统网络信息,自动关联目标资产,并根据所述资产信息数据库获取所述目标资产画像、根据终端层异常行为知识库获取异常行为特征,生成告警,并发送至相应终端。
可选地,所述工控系统安全防护方法还包括定期或不定期进行潜在风险的确认与排查,潜在风险确认与排查的方法包括:对于潜在风险,定期或不定期进行主动扫描,发现隐患终端;并统计多个隐患终端的异常特性,通过关联分析确认是否为同一问题,并判断是否存在内网横向感染,形成处置思路。
可选地,所述工控系统安全防护方法还包括定期或不定期进行风险预估及攻击预测,风险预估与攻击预测的方法包括:根据所述资产信息数据库,定位敏感数据在系统内部的分布,确定敏感数据是如何被访问的,确定当前的账号和授权的状况,根据数据价值和特征进行风险预估,并根据所述威胁情报数据库预测入侵者的攻击路径和目标。
可选地,所述工控系统安全防护方法还包括攻击转移,转移攻击的方法包括:当发现入侵者攻击或预测入侵者攻击时,将异常访问或流量引至安全系统中进行模拟处理,通过创建虚假系统识别漏洞和敏感数据并阻断恶意行为;确认无风险时,将通信、操作同步到业务系统中。
可选地,所述工控系统安全防护方法还包括:根据所述安全风险的识别结果及所述威胁情报数据库、漏洞数据库,流量溯源取证,并结合攻击者信息库识别攻击者画像。
可选地,所述攻击者信息库的建立方法包括:通过对网络流量进行深度解析,获取攻击流量的通信特征,并使用可扩展的多分类模型建立所述攻击者信息库;所述通信特征包括攻击工具、攻击模式。
可选地,所述攻击模式包括非授权访问、破坏数据完整性、拒绝服务器攻击中的一项或多项。
根据本发明实施例的另一方面,还提供了一种工控系统安全防护装置,包括:安全监测单元,用于实时监测并获取工控系统网络信息;安全识别单元,用于根据工控安全基线识别安全风险;安全基线管理单元,用于建立并更新所述工控安全基线;存储单元,用于存储所述工控系统网络信息、漏洞数据库、威胁情报数据库;其中,所述工控安全基线在终端层安全基线、网络层安全基线的基础上结合漏洞数据库、威胁情报数据库建立。
可选地,所述安全基线管理单元还用于建立并更新所述终端层安全基线和所述网络层安全基线。
可选地,所述存储单元还用于存储所述终端层异常行为知识库、所述终端层合法行为知识库、所述网络层异常通信/流量知识库、所述网络层合法通信/流量知识库。
可选地,所述存储单元还用于存储所述安全策略数据库。
可选地,所述安全识别单元还用于识别攻击者画像。
根据本发明实施例的另一方面,还提供了一种存储介质,所述存储介质包括存储的程序,其中,所述程序运行时执行上述工控系统安全防护方法。
根据本发明实施例的另一方面,还提供了一种电子装置,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器通过所述计算机程序执行上述工控系统安全防护方法。
在本发明实施例中,通过采用上述方法建立工控安全基线,并根据工控安全基线对工控系统进行安全风险识别、预测、处置、转移等,实现了工控系统的安全防护,大大提高了工控系统的安全级别。本发明实施例的工控安全基线可实现自学习更新,以确保工控安全基线的时效性,从而进一步保证了工控系统安全运行。此外,本发明通过建立资产信息数据库,实现了对资产的有效管理,进而对资产进行分级分类,并有针对性地进行风险预估与攻击预测,确保敏感数据的安全性。再者,本发明通过识别攻击者画像,归纳攻击者的攻击工具及攻击模式,从而可以进行有效监测及预测,避免安全事件的发生。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的一种可选的工控安全基线的建立方法的流程图;
图2是根据本发明实施例的一种可选的终端层安全基线的建立方法的流程图;
图3是根据本发明实施例的一种可选的网络层安全基线的建立方法的流程图;
图4是根据本发明实施例的一种可选的安全策略数据库的建立方法的流程图;
图5是根据本发明实施例的一种可选的工控系统安全防护装置的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
根据本发明实施例的一方面,提供了一种工控系统安全防护方法实施例,该方法可以包括以下步骤:
实时监测并获取工控系统网络信息,并根据工控安全基线识别安全风险;其中,所述工控安全基线在终端层安全基线、网络层安全基线的基础上结合漏洞数据库、威胁情报数据库建立;所述网络信息包括终端信息、通信信息,所述终端信息包括终端登录信息、终端操作信息、终端运行状态、移动存储信息、设备接入信息中的一项或多项;所述通信信息包括网络外联信息、通信协议信息、流量信息、网络操作信息中的一项或多项。
作为一种优选的实施方式,所述工控安全基线的建立方法包括:根据所述终端层安全基线建立终端层异常行为知识库、终端层合法行为知识库;根据所述网络层安全基线建立网络层异常通信/流量知识库、网络层合法通信/流量知识库;根据所述终端层异常行为知识库、所述终端层合法行为知识库、所述网络层异常通信/流量知识库、所述网络层合法通信/流量知识库、所述漏洞数据库、所述威胁情报数据库建立所述工控安全基线。
可选地,根据所述终端层异常行为知识库和所述网络层异常通信/流量知识库建立黑名单,根据所述终端层合法行为知识库和所述网络层合法通信/流量知识库建立白名单,未识别的终端、流量、操作定义为灰名单。
可选地,所述漏洞知识库包括常见漏洞和第三方应用中的未知漏洞,所述威胁情报数据库包括互联网威胁情报及工控行业威胁情报。优选地,所述漏洞知识库可实时更新,其中,对于第三方应用中的未知漏洞,可通过工控安全基线识别并经人工确认后,添加到所述漏洞知识库中。
可选地,所述工控安全基线定期或不定期进行自动更新,所述自动更新的方法包括:获取未知网络信息,并提取其中的网络行为特征;采用强化学习方法识别所述网络行为特征,并更新所述终端层异常行为知识库、所述终端层合法行为知识库、所述网络层异常通信/流量知识库或所述网络层合法通信/流量知识库。
作为一种具体的实施方式,以下详细阐述工控安全基线的建立过程(如图1所示):
S11,黑白灰名单自学习、生成、自更新
(1)根据终端层异常行为知识库、网络层异常通信/流量知识库定义黑名单;
(2)根据终端层合法行为知识库、网络层合法通信/流量知识库定义白名单;
(3)未识别的终端、流量、操作定义为灰名单;
(4)定期或不定期开启终端层、网络层建模学习自更新;
其中,建模学习自更新的方法可采用现有技术,在此不做特殊限定,仅简单举例说明。例如:可以通过定义IP五元组来表示一个数据分组,再由分组大小、分组起始时间和五元组数据分组,进一步分类出各个用户网络流,学习用户行为特征,生成网络行为白名单。在白名单运行期间,同时收集新的网络数据通过强化学习方法识别新的网络行为特征,完善白名单模型,及时更新白名单防御机制。
S12,漏洞数据库及威胁情报数据库的建立
(1)漏洞数据库:提供设备、系统、应用和接口的漏洞知识库。需要包含常见和第三方应用中的未知的漏洞,结合端点隔离和沙盒技术与其他安全产品、安全系统通过接口进行对接,可主动识别、限制网络/系统/进程/应用接口存在的安全风险和漏洞;
(2)威胁情报数据库:通过互联网开源威胁情报、安全厂商、安全组织获取互联网威胁情报信息,根据黑客市场和黑客新型技术,实时掌握黑客的关注重点和意图,及时更新威胁情报数据库;总结行业安全威胁情报(如黑IP地址、黑URLs、恶意文件、恶意应用样本等),以及根据高级威胁提供关于攻击者/组织等APT情报,并将威胁情报以可机读的格式发布,从而可以更容易地直接整合到其他安全产品、安全系统中进行自动识别;
S13,人工调优
通过系统学习模式,阶段性学习终端设备、服务器端系统、系统版本、版本漏洞、通信关系、开放接口、异常行为等运行基线。对已运行的系统根据阶段性业务要求,进行基线自动/人工调整;新的系统根据性能及压力动态分配任务,以达到动态调整运行基线。
作为一种优选的实施方式,所述终端层安全基线的建立方法包括:采集终端指纹数据,所述终端指纹数据包括操作系统版本、开放端口、Web开发框架;根据终端历史通信特征建立终端通信行为模型,所述终端通信行为模型至少包括时间、账号、操作、访问对象四个维度的信息;根据所述终端指纹数据及所述终端通信行为模型,建立所述终端层安全基线。
可选地,针对不同的终端建立不同的终端层安全基线。
作为一种具体的实施方式,以下详细阐述终端层安全基线的建立方法(如图2所示):
S21,终端指纹识别
采用终端安装agent或通信报文主动采集和全流量数据包解析技术,实现对终端通信如IP、MAC、端口、协议、进程等信息的识别;并在此基础上,通过agent或全流量分析系统对终端外发的请求(如http、dns等)进行主动嗅探和被动监听,在不影响终端通信实时性的前提下实现对终端指纹数据的采集,并利用全流量关联分析该资产通信情况,实现对终端指纹信息进行系统和完整的资产定义,进而构建终端指纹特征知识库,终端指纹特征知识库可包含如下内容:
①操作系统版本、开放端口、提供的服务、服务版本等;
②服务端语言、Web开发框架、Web应用CMS、前端库、第三方组件等;
③通过接口查询、字典枚举等方式获取该域名下的所有子域名,根据需要映射出目标网络的整体结构;
S22,终端通信行为建模
通过对终端历史通信特征进行分析建立画像模型,从时间、运维账号、办公系统、通信路径、通信频率、流量大小、流量类型等维度对终端流量特征进行分析;构建包含时间、账号、操作、访问对象等维度的终端通信行为模型,来判断终端的类型(客户端、服务器),并结合终端加全流量分析系统边缘计算方法,实现终端安全画像的低时延与低能耗的建模。
S23,终端层合法/异常行为建模
通过对办公、运维样本流量进行特征提取并分类,分析操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录等,构建终端层合法行为知识库(白名单);由工控厂商定义终端层异常行为知识库(黑名单),再通过流量还原办公、运维数据(如http页面工单数据),并与终端agent捕获的输入数据、合法行为知识库进行比对,如存在数据差异或差异较大的情况(按百分比计算)进行预警,再结合正常与异常检测模型,可以提高终端的异常行为建模质量。
作为一种优选的实施方式,所述网络层安全基线的建立方法包括:对异常协议、流量威胁进行检测;对异常通信、攻击进行检测;根据检测结果建立所述网络层安全基线。
作为一种具体的实施方式,以下详细阐述网络层安全基线的建立方法(如图3所示):
S31,异常工控协议/流量威胁检测
对工控协议、常规TCP/IP协议栈报文进行监测,及时发现恶意伪造的异常畸形报文,获知入侵行为。对重要系统的网络流量进行持续性的监测,采用全文检索、应用目录枚举、图片文件检查等手段对重要系统进行敏感信息检测,并定位敏感信息所在系统(IP、MAC、系统名称等)。
对终端通信面临的典型攻击类型、漏洞方式和攻击路径进行分析和梳理,并结合网络拓扑结构,对原始数据连接进行跟踪和预处理,利用聚类方法对不同业务指令行为进行识别,实现对异常流量的威胁检测。
S32,工控系统异常通信/流量检测
通过从网络、终端、应用、数据等不同层次特征进行攻击检测并引导流量,实现对攻击者的精确引导和捕获。
S33,异常流量、异常操作建模
(1)异常流量
通过对流量、操作建模来区分异常、正常流量,将异常流量和正常流量进行分离,并将异常流量重定向至相应的安全防护模块中进行处理。
(2)异常操作
非工作时间执行启停操作、短时间频繁的停启操作、生僻的功能码(如修改安全功能、时间功能和数控编程等)、非常规操作功能码、Modbus通讯协议的违规端口传输、功能码错误、功能码携带数据异常、IEC 60870-104协议的启动字符错误、ASDU长度越界、PSCADA通讯遥控类别标识异常等。
作为一种优选的实施方式,所述工控系统安全防护方法还包括:根据所述安全风险的识别结果及安全策略数据库发送安全策略至相应终端。
可选地,所述安全策略数据库的建立方法包括:对工控系统资产进行分析,获取资产信息,建立资产信息数据库;根据所述资产信息及所述工控安全基线对威胁事件进行分析判断;根据所述资产信息和所述威胁事件建立所述安全策略数据库。其中,所述资产信息包括资产版本标识、服务端信息、厂商信息;所述资产版本标识包括操作系统版本、开放端口、提供的服务、服务版本中的一项或多项;所述服务端信息包括开发框架、第三方组件、Web应用CMS中的一项或多项。
可选地,所述安全策略数据库包括:新建系统上线前配置最低要求安全基线策略,所述最低要求安全基线包括网络区域防护、网络设备账号口令、网络设备端口服务、网络设备安全防护、防火圈安全防护;对主机、数据库、网络设备、中间件、安全设备进行不安全配置检查策略;在扫描系统安全脆弱性的情况后,加固安全配置策略;主机安全检查策略,包括主机账号口令、主机端口服务、Windows主机防病毒管理;应用安全检查策略,包括应用端口服务、应用账号安全、Web应用安全;安全审计检查策略,包括主机访问权限审计、应用访问权限审计、数据库访问权限审计、应用操作审计;安全管理策略,明确安全漏洞管理的部门、岗位,检查的申请、审批、确认、加固的执行流程及表单内容。
作为一种具体的实施例,以下详细阐述安全策略数据库的建立及其应用,其中,安全策略数据库建立方法包括(如图4所示):
S41,资产信息数据库的建立
通过系统自动识别和人工备案两种方式进行工控资产梳理,具体情况如下:
(1)资产自动识别分析
①定期自动梳理敏感系统的分布、运行情况,掌握内网重点系统、敏感数据、老旧系统、弱安全配置终端的分布;
②定位敏感数据在系统内部的分布、确定敏感数据是如何被访问的、确定当前的账号和授权的状况;
③根据数据价值和特征,对其分级分类,资产梳理有效地帮助管理者开展对资产安全状况摸底和资产管理工作;
④自动对已经识别的资产进行风险预估和异常行为评测,避免核心资产、系统、数据遭破坏或泄露的安全事件。
(2)人工备案
①开展访谈和问卷调研,确定资产范围及具体系统;
②针对业务管理员给出的业务系统范围,进行深度资产识别,如物理环境、操作系统、应用服务器、程序框架内容等信息分类统计资产情况;
③基于访谈、人工审核等方式,对已统计的资产进行核对,确保资产情况真实有效;
④通过访谈、研讨会等方式分析业务对资产的依赖性及资产被破坏后对业务的影响等因素,从而区分资产的重要性级别。
S42,对威胁事件进行研判
通过安全分析师或安全服务团队人工研判告警、恶意流量、异常行为等威胁事件的准确性:
S43,工控安全防护策略制定
系统根据定期学习的业务系统运行情况,自动生成安全风险管理及控制策略,提供给业务管理员、安全管理员参考,在业务管理员、安全管理员确认后,自动更新安全策略,建立安全策略数据库,安全策略数据库包含:
①新建系统上线前的安全基线最低要求策略,包括:网络区域防护、网络设备账号口令、网络设备端口服务、网络设备安全防护和防火墙安全策略配置等;
②主机、数据库、网络设备、中间件、安全设备等不安全配置检查策略;
③在扫描系统安全脆弱性的情况后,加固安全配置策略;
④主机安全检查策略,包括主机账号口令、主机端口服务和Windows主机防病毒管理等;
⑤应用安全检查策略要包括应用端口服务、应用账号安全和Web应用安全等;
⑥安全审计检查策略,包括主机访问权限审计、应用访问权限审计、数据库访问权限审计和应用操作审计等。
⑦安全管理策略,明确安全漏洞管理的部门、岗位,检查的申请、审批、确认、加固的执行流程及表单内容。
当安全风险被识别、确认后,根据安全策略数据库下发安全策略到终端或安全设备,隔离被感染系统或账户。常用的隔离方式包括:端点隔离、账户封锁、网络层隔离、系统进程关闭、以及预防其他系统执行同样的恶意软件或访问同样的恶意程序等。为预防其他系统受到影响,需要按照已确认的安全事件特征,自动化产生新特征/规则/模式来应对最新发现的高级攻击,生成新安全策略和控制策略,推送给管理员、安全系统、安全产品,执行如关闭漏洞、关闭网络端口、升级系统、系统配置升级、用户权限修改、加密通信等操作,同时更新安全策略数据库。在集成新规则之前,首先要进行模拟测试,来降低误报率和漏报率。
作为一种优选的实施方式,当识别出工控系统网络信息中存在安全风险时,所述工控系统安全防护方法还包括:根据获取的存在安全风险的工控系统网络信息,自动关联目标资产,并根据所述资产信息数据库获取所述目标资产画像、根据终端层异常行为知识库获取异常行为特征,生成告警,并发送至相应终端。
具体地,当攻击者尝试绕过传统的拦截和预防机制时,系统从正常的网络和端点行为中检测异常行为和流量,当检测出有内网终端尝试连接或连接成功,威胁情报匹配的恶意目标时,可自动关联本次安全事件的源目标资产画像(IP、MAC、名称等)、异常行为特征(流量、操作、通信等),并可生成告警。
作为一种优选的实施方式,所述工控系统安全防护方法还包括定期或不定期进行潜在风险的确认与排查,潜在风险确认与排查的方法包括:对于潜在风险,定期或不定期进行主动扫描,发现隐患终端;并统计多个隐患终端的异常特性,通过关联分析确认是否为同一问题,并判断是否存在内网横向感染,形成处置思路。
具体地,对于已存在的安全问题,需要在恶意程序潜伏期间进行主动扫描,发现隐患终端;在恶意程序尝试通信时,通过流量捕获异常行为;并统计多个隐患终端的异常特征,通过关联分析确认是否为同一问题,便于判断是否内网横向感染,从而形成处置思路。当隐患终端的安全事件被识别、确认和风险排序,则根据安全策略数据库下发安全策略到终端或安全设备,隔离被感染系统或账户。
作为一种优选的实施方式,所述工控系统安全防护方法还包括定期或不定期进行风险预估及攻击预测,风险预估与攻击预测的方法包括:根据所述资产信息数据库,定位敏感数据在系统内部的分布,确定敏感数据是如何被访问的,确定当前的账号和授权的状况,根据数据价值和特征进行风险预估,并根据所述威胁情报数据库预测入侵者的攻击路径和目标。
具体地,定期自动梳理敏感系统的分布、运行情况,掌握内网重点系统、敏感数据、老旧系统、弱安全配置终端的分布,定位敏感数据在系统内部的分布、确定敏感数据是如何被访问的、确定当前的账号和授权的状况,根据数据价值和特征,对其分级分类,并对风险预估和异常行为评测;通过互联网威胁情报关注黑客市场和黑客新型技术,实时掌握黑客的关注重点和意图,及时更新威胁情报数据库;当发现异常事件时,可通过资产梳理掌握的敏感资产分布、老旧系统分布等内容,主动预测入侵者的攻击路径和目标,从而可以预先调整安全防护策略。
作为一种优选的实施方式,所述工控系统安全防护方法还包括攻击转移,转移攻击的方法包括:当发现入侵者攻击或预测入侵者攻击时,将异常访问或流量引至安全系统中进行模拟处理,通过创建虚假系统识别漏洞和敏感数据并阻断恶意行为;确认无风险时,将通信、操作同步到业务系统中。
作为一种优选的实施方式,所述工控系统安全防护方法还包括:根据所述安全风险的识别结果及所述威胁情报数据库、漏洞数据库,流量溯源取证,并识别攻击者画像。
具体地,当被感染的系统和账户被隔离之后,通过上机和全流量分析事件完整过程,通过隔离主机、网络流量、元数据还原安全事件通信过程,溯源入侵手段、系统漏洞、网络路径。还原入侵者入侵过程,所利用的已知漏洞/未知的漏洞,那些文件或者可执行程序包含攻击,受到影响的系统,泄露的敏感信息,是否为APT组织的攻击等等,并结合高级安全分析人员进行取证分析,生成溯源取证报告。
同时,根据威胁情报数据库及攻击者信息库,通过知识图谱及机器学习方法将海量威胁情报信息与攻击者基本信息进行结合,发掘攻击者的行为,构建更加完善的攻击者画像,并在此基础上探索攻击者之间的关联关系,从而识别攻击组织变化的特征,根据数据归纳出攻击者的攻击模式,进行监测和预测,有效识别攻击者的行为并预知其可能的攻击目的。画像信息包括:样本扫描报告、动态分析报告、域名记录、IP反查、Whois、组织、事件归属等。
(1)网络画像(定位主机)
C2服务器定位;Whois、DNS解析记录;网络连接数据及记录;暗网定位;
(2)样本画像(虚拟身份)
恶意样本采集、关联分析;代码细节、同源样本分析;入侵时间、语言样本分析;入侵者清除痕迹样本分析;全流量样本分析;密钥、协议、算法、代码、PDB和衍生文件样本分析;
(3)攻击溯源画像
追踪溯源攻击主机,IP追踪溯源;追踪溯源攻击控制主机,因果链攻击源主机溯源;追踪溯源攻击者,网络空间信息与物理世界关联追踪;追踪溯源攻击组织机构,特定人与特定组织机构的关系;
(4)情报画像支撑
①IP情报:哪些IP连接C2服务器,C2服务器被哪些攻击者(IP)连接;
②域名情报:域名解析、重新注册记录;
③DNS解析情报:追踪攻击者DNS服务器解析历史的变化;
④时区分析:通过时间戳定位国家所在时区;
⑤语言分析:字符和原始编译语言;
⑥编译用户ID:原始PDB信息;
⑦域名注册信息:通过样本分析拿到的C2反查;
⑧与已知组织关联:拿到虚拟ID跟现实中的身份进行关联,包括社工库、公开社交数据信息(历史、缓存等);
(5)入侵者画像
通过网络画像、样本画像、攻击溯源画像、情报画像综合分析后,可生成入侵者画像。
可选地,所述攻击者信息库的建立方法包括:通过对网络流量进行深度解析,获取攻击流量的通信特征,并使用可扩展的多分类模型建立所述攻击者信息库;所述通信特征包括攻击工具、攻击模式。其中,所述攻击模式包括非授权访问、破坏数据完整性、拒绝服务器攻击中的一项或多项。
具体地,通过对网络流量进行深度解析,通信数量和通信内容等多方面提取出攻击流量的通信特征,并使用可扩展的多分类模型对其进行建模。并实时导入的新的攻击流量,以实时分析其相关的攻击工具和攻击模式,以分析出相同组织制作的恶意攻击类型。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
根据本发明实施例的另一个方面,还提供了一种用于实施上述工控系统安全防护方法的装置,该工控系统安全防护装置可以是服务器,也可以是具有计算、存储、通信、显示等功能的终端设备,还可以是服务器、终端设备、安全装置等的结合。图5是根据本发明实施例的一种可选的工控系统安全防护装置的示意图,如图5所示,该装置可以包括:安全监测单元501、安全识别单元503、安全基线管理单元505、存储单元507,其中,
安全监测单元501,用于实时监测并获取工控系统网络信息;所述网络信息包括终端信息、通信信息,所述终端信息包括终端登录信息、终端操作信息、终端运行状态、移动存储信息、设备接入信息中的一项或多项;所述通信信息包括网络外联信息、通信协议信息、流量信息、网络操作信息中的一项或多项;
安全识别单元503,用于根据工控安全基线识别安全风险;
安全基线管理单元505,用于建立并更新所述工控安全基线;
存储单元507,用于存储所述工控系统网络信息、漏洞数据库、威胁情报数据库;
其中,所述工控安全基线在终端层安全基线、网络层安全基线的基础上结合漏洞数据库、威胁情报数据库建立。
作为一种优选的实施方式,所述安全基线管理单元还用于建立并更新所述终端层安全基线和所述网络层安全基线;所述存储单元还用于存储所述终端层异常行为知识库、所述终端层合法行为知识库、所述网络层异常通信/流量知识库、所述网络层合法通信/流量知识库、所述安全策略数据库;所述安全识别单元还用于识别攻击者画像。
此处需要说明的是,上述模块与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在本发明实施例的硬件环境中,可以通过软件实现,也可以通过硬件实现。
根据本发明实施例的另一个方面,还提供了一种用于实施上述工控系统安全防护方法的服务器或终端,可以包括:一个或多个处理器、存储器、以及传输装置,还可以包括输入输出设备。
其中,存储器可用于存储软件程序以及模块,如本发明实施例中的工控系统安全防护方法和装置对应的程序指令/模块,处理器通过运行存储在存储器内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述工控系统安全防护方法。存储器可包括高速随机存储器,还可以包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器可进一步包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
上述的传输装置用于经由一个网络接收或者发送数据,还可以用于处理器与存储器之间的数据传输。上述的网络具体实例可包括有线网络及无线网络。在一个实例中,传输装置包括一个网络适配器(Network Interface Controller,NIC),其可通过网线与其他网络设备与路由器相连从而可与互联网或局域网进行通讯。在一个实例中,传输装置为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
其中,具体地,存储器用于存储应用程序。
处理器可以通过传输装置调用存储器存储的应用程序,以执行下述步骤:
实时监测并获取工控系统网络信息,并根据工控安全基线识别安全风险;其中,所述工控安全基线在终端层安全基线、网络层安全基线的基础上结合漏洞数据库、威胁情报数据库建立。
可选地,本实施例中的具体示例可以参考上述实施例中所描述的示例,本实施例在此不再赘述。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(RandomAccess Memory,RAM)、磁盘或光盘等。
本发明的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于执行工控系统安全防护方法的程序代码。
可选地,在本实施例中,上述存储介质可以位于上述实施例所示的网络中的多个网络设备中的至少一个网络设备上。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:
实时监测并获取工控系统网络信息,并根据工控安全基线识别安全风险;其中,所述工控安全基线在终端层安全基线、网络层安全基线的基础上结合漏洞数据库、威胁情报数据库建立。
可选地,本实施例中的具体示例可以参考上述实施例中所描述的示例,本实施例在此不再赘述。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
上述实施例中的集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在上述计算机可读取的存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在存储介质中,包括若干指令用以使得一台或多台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的客户端,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (9)
1.一种工控系统安全防护方法,其特征在于,包括:
实时监测并获取工控系统网络信息,并根据工控安全基线识别安全风险;其中,所述工控安全基线在终端层安全基线、网络层安全基线的基础上结合漏洞数据库、威胁情报数据库建立;
其中,
所述工控安全基线的建立方法包括:根据所述终端层安全基线建立终端层异常行为知识库、终端层合法行为知识库;根据所述网络层安全基线建立网络层异常通信/流量知识库、网络层合法通信/流量知识库;根据所述终端层异常行为知识库、所述终端层合法行为知识库、所述网络层异常通信/流量知识库、所述网络层合法通信/流量知识库、所述漏洞数据库、所述威胁情报数据库建立所述工控安全基线;
所述终端层安全基线的建立方法包括:采集终端指纹数据,所述终端指纹数据包括操作系统版本、开放端口Web开发框架;根据终端历史通信特征建立终端通信行为模型,所述终端通信行为模型至少包括时间、账号、操作、访问对象四个维度的信息,所述终端通信行为模型用于判断终端的类型,并结合终端加全流量分析系统边缘计算方法,实现终端安全画像的低时延与低能耗的建模;根据所述终端指纹数据及所述终端通信行为模型,建立所述终端层安全基线;
所述网络层安全基线的建立方法包括:
对异常工控协议、流量威胁进行检测,包括:对工控协议、常规TCP/IP协议栈报文进行监测,及时发现恶意伪造的异常畸形报文,获知入侵行为;对重要系统的网络流量进行持续性的监测,采用全文检索、应用目录枚举、图片文件检查手段对重要系统进行敏感信息检测,并定位敏感信息所在系统;对终端通信面临的典型攻击类型、漏洞方式和攻击路径进行分析和梳理,并结合网络拓扑结构,对原始数据连接进行跟踪和预处理,利用聚类方法对不同业务指令行为进行识别,实现对异常流量的威胁检测;
对异常通信、攻击进行检测,包括:通过从网络、终端、应用、数据不同层次特征进行攻击检测并引导流量,实现对攻击者的精确引导和捕获;
根据检测结果建立所述网络层安全基线。
2.根据权利要求1所述的工控系统安全防护方法,其特征在于,所述工控安全基线定期或不定期进行自动更新,所述自动更新的方法包括:
获取未知网络信息,并提取其中的网络行为特征;
采用强化学习方法识别所述网络行为特征,并更新所述终端层异常行为知识库、所述终端层合法行为知识库、所述网络层异常通信/流量知识库或所述网络层合法通信/流量知识库。
3.根据权利要求1所述的工控系统安全防护方法,其特征在于,还包括:
根据所述安全风险的识别结果及安全策略数据库发送安全策略至相应终端。
4.根据权利要求3所述的工控系统安全防护方法,其特征在于,所述安全策略数据库的建立方法包括:
对工控系统资产进行分析,获取资产信息,建立资产信息数据库;
根据所述资产信息及所述工控安全基线对威胁事件进行分析判断;
根据所述资产信息和所述威胁事件建立所述安全策略数据库。
5.根据权利要求1所述的工控系统安全防护方法,其特征在于,还包括:
根据所述安全风险的识别结果及所述威胁情报数据库、漏洞数据库,流量溯源取证,并结合攻击者信息库识别攻击者画像。
6.根据权利要求5所述的工控系统安全防护方法,其特征在于,所述攻击者信息库的建立方法包括:
通过对网络流量进行深度解析,获取攻击流量的通信特征,并使用可扩展的多分类模型建立所述攻击者信息库;所述通信特征包括攻击工具、攻击模式。
7.一种工控系统安全防护装置,用于执行权利要求1至6任一项所述的工控系统安全防护方法,其特征在于,包括:
安全监测单元,用于实时监测并获取工控系统网络信息;
安全识别单元,用于根据工控安全基线识别安全风险;
安全基线管理单元,用于建立并更新所述工控安全基线;
存储单元,用于存储所述工控系统网络信息、漏洞数据库、威胁情报数据库;
其中,所述工控安全基线在终端层安全基线、网络层安全基线的基础上结合漏洞数据库、威胁情报数据库建立。
8.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,所述程序运行时执行上述权利要求1至6任一项中所述的方法。
9.一种电子装置,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器通过所述计算机程序执行上述权利要求1至6任一项中所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011568117.1A CN112637220B (zh) | 2020-12-25 | 2020-12-25 | 一种工控系统安全防护方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011568117.1A CN112637220B (zh) | 2020-12-25 | 2020-12-25 | 一种工控系统安全防护方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112637220A CN112637220A (zh) | 2021-04-09 |
CN112637220B true CN112637220B (zh) | 2023-01-31 |
Family
ID=75325445
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011568117.1A Active CN112637220B (zh) | 2020-12-25 | 2020-12-25 | 一种工控系统安全防护方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112637220B (zh) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113556348A (zh) * | 2021-07-23 | 2021-10-26 | 中能融合智慧科技有限公司 | 一种基于一体化监控的服务器资产管理系统 |
CN113645232B (zh) * | 2021-08-10 | 2023-04-28 | 克拉玛依和中云网技术发展有限公司 | 一种面向工业互联网的智能化流量监测方法、系统及存储介质 |
CN113922991A (zh) * | 2021-09-18 | 2022-01-11 | 深信服科技股份有限公司 | 一种资源监控方法、装置、电子设备及存储介质 |
CN113792300B (zh) * | 2021-11-17 | 2022-02-11 | 山东云天安全技术有限公司 | 基于互联网和工控网漏洞参数预测工控网漏洞的系统 |
CN114021149B (zh) * | 2021-11-17 | 2022-06-03 | 山东云天安全技术有限公司 | 基于修正参数预测工控网漏洞的系统 |
CN114301645A (zh) * | 2021-12-16 | 2022-04-08 | 北京六方云信息技术有限公司 | 异常行为检测方法、装置、终端设备以及存储介质 |
CN113992430B (zh) * | 2021-12-24 | 2022-03-29 | 北京微步在线科技有限公司 | 一种失陷处理方法及装置 |
CN114355853B (zh) * | 2021-12-30 | 2023-09-19 | 绿盟科技集团股份有限公司 | 一种工控数据取证方法、装置、电子设备及存储介质 |
CN114430347A (zh) * | 2022-01-31 | 2022-05-03 | 上海纽盾科技股份有限公司 | 网络资产的安全态势感知防御方法、装置及系统 |
CN115550064B (zh) * | 2022-11-25 | 2023-04-07 | 国家工业信息安全发展研究中心 | 一种工业互联网威胁识别方法、系统及电子设备 |
CN116074113B (zh) * | 2023-03-06 | 2023-08-15 | 成都市以太节点科技有限公司 | 基于业务流程约束的安全防护方法、装置及存储介质 |
CN116095683B (zh) * | 2023-04-11 | 2023-06-13 | 微网优联科技(成都)有限公司 | 无线路由器的网络安全防护方法及装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101252441A (zh) * | 2008-02-20 | 2008-08-27 | 深圳市永达电子有限公司 | 基于可设定信息安全目标的获得性安全保障方法及系统 |
CN103414585A (zh) * | 2013-08-01 | 2013-11-27 | 华南师范大学 | 建立业务系统的安全基线的方法和装置 |
CN106603551A (zh) * | 2016-12-28 | 2017-04-26 | 北京安天电子设备有限公司 | 一种基于安全基线的工控机安全防护系统及方法 |
CN109495502A (zh) * | 2018-12-18 | 2019-03-19 | 北京威努特技术有限公司 | 一种工控网络安全健康指数评估方法和装置 |
CN110011997A (zh) * | 2019-03-28 | 2019-07-12 | 杭州数梦工场科技有限公司 | 入侵检测方法及装置和计算机可读存储介质 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CA2968710A1 (en) * | 2016-05-31 | 2017-11-30 | Valarie Ann Findlay | Security threat information gathering and incident reporting systems and methods |
-
2020
- 2020-12-25 CN CN202011568117.1A patent/CN112637220B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101252441A (zh) * | 2008-02-20 | 2008-08-27 | 深圳市永达电子有限公司 | 基于可设定信息安全目标的获得性安全保障方法及系统 |
CN103414585A (zh) * | 2013-08-01 | 2013-11-27 | 华南师范大学 | 建立业务系统的安全基线的方法和装置 |
CN106603551A (zh) * | 2016-12-28 | 2017-04-26 | 北京安天电子设备有限公司 | 一种基于安全基线的工控机安全防护系统及方法 |
CN109495502A (zh) * | 2018-12-18 | 2019-03-19 | 北京威努特技术有限公司 | 一种工控网络安全健康指数评估方法和装置 |
CN110011997A (zh) * | 2019-03-28 | 2019-07-12 | 杭州数梦工场科技有限公司 | 入侵检测方法及装置和计算机可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN112637220A (zh) | 2021-04-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112637220B (zh) | 一种工控系统安全防护方法及装置 | |
EP3588898B1 (en) | Defense against apt attack | |
CN110149350B (zh) | 一种告警日志关联的网络攻击事件分析方法及装置 | |
RU2622870C2 (ru) | Система и способ оценки опасности веб-сайтов | |
KR101689295B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
CN111245793A (zh) | 网络数据的异常分析方法及装置 | |
CN111800395A (zh) | 一种威胁情报防御方法和系统 | |
KR102222377B1 (ko) | 위협 대응 자동화 방법 | |
CN104468632A (zh) | 防御漏洞攻击的方法、设备及系统 | |
US20150271193A1 (en) | Intrusion management | |
CN113691566B (zh) | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 | |
CN114598525A (zh) | 一种针对网络攻击的ip自动封禁的方法和装置 | |
CN110868403B (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
Hatada et al. | Empowering anti-malware research in Japan by sharing the MWS datasets | |
CN113364799A (zh) | 一种网络威胁行为的处理方法和系统 | |
KR101768079B1 (ko) | 침입탐지 오탐 개선을 위한 시스템 및 방법 | |
CN112769797A (zh) | 一种闭源电力工控系统的安全防御系统及防御方法 | |
CN111510463A (zh) | 异常行为识别系统 | |
CN113987508A (zh) | 一种漏洞处理方法、装置、设备及介质 | |
KR20090044202A (ko) | 웹페이지의 우회침입 탐지 및 매개변수 변조 침입 탐지를이용한 웹 보안 서비스 방법 및 그 시스템 | |
CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
KR20070072835A (ko) | 실시간 웹로그 수집을 통한 웹해킹 대응 방법 | |
Yermalovich et al. | Formalization of attack prediction problem | |
CN110086812B (zh) | 一种安全可控的内网安全巡警系统及方法 | |
CN116781380A (zh) | 一种校园网安全风险终端拦截溯源系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |