CN113162897A - 一种工业控制网络安全过滤系统及方法 - Google Patents

一种工业控制网络安全过滤系统及方法 Download PDF

Info

Publication number
CN113162897A
CN113162897A CN202011555999.8A CN202011555999A CN113162897A CN 113162897 A CN113162897 A CN 113162897A CN 202011555999 A CN202011555999 A CN 202011555999A CN 113162897 A CN113162897 A CN 113162897A
Authority
CN
China
Prior art keywords
network security
knowledge base
safety
security
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011555999.8A
Other languages
English (en)
Inventor
贾晓东
任国强
施展
黄彬彬
毛腾飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu Tianchuang Technology Co ltd
Original Assignee
Jiangsu Tianchuang Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu Tianchuang Technology Co ltd filed Critical Jiangsu Tianchuang Technology Co ltd
Priority to CN202011555999.8A priority Critical patent/CN113162897A/zh
Publication of CN113162897A publication Critical patent/CN113162897A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/25Integrating or interfacing systems involving database management systems
    • G06F16/258Data format conversion from or to a database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/28Databases characterised by their database models, e.g. relational or object models
    • G06F16/284Relational databases
    • G06F16/285Clustering or classification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/28Databases characterised by their database models, e.g. relational or object models
    • G06F16/284Relational databases
    • G06F16/288Entity relationship models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/069Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications

Landscapes

  • Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种工业控制网络安全过滤方法,包括以下步骤:步骤1、构建网络安全知识库;步骤2、获取工业网络安全设备中的安全报警日志,并进行分类;步骤3:将分类后的安全报警日志转变为统一数据格式下进行存储;步骤4:滤除重复、无效的安全报警日志;步骤5:对步骤4中得到的安全报警日志与步骤1中的网络安全知识库进行对比,并将对比后的结果按照重要性进行排序,并合并成一个文件,依次按照重要性顺序发送至目标运维人员,能够统一的管理告警信息,并且进行过滤告警信息,尽快找准重要信息,降低了工作人员的压力,方便了运维人员的实际工作,节省了人力物力,统一不同安全日志信息,方便整理管理,效率高且效果好。

Description

一种工业控制网络安全过滤系统及方法
技术领域
本发明涉及工业控制系统网络安全技术领域,更具体的说是涉及一种工业控制网络安全过滤方法和系统。
背景技术
在工业化和信息化“两化融合”的背景下,现代工业企业迫切需要实现由离散控制系统(DCS)和监视控制系统(SCADA)组成的企业生产过程控制的最底层,与上层管理信息系统(ERP、OA等等)之间互联、互通,实现决策层、经营管控层与操作执行层之间的双向信息流交互,使企业对生产现场保持及时的双向信息反馈,消除信息孤岛与断层现象,进一步发挥信息系统的集成效益。在这样的背景下,各种不安全因素会随着正常的信息流进入工业控制网络,导致企业生产的不稳定,特别是一些关系到国计民生的重大型企业,面临着日益严重的安全威胁。
目前的设备和资产大多都基于网络部署,共同接入工业企业内部的统一网络,统一分配ip地址管理,但是由于不同部门不同层次的实际网络需求,设备较多,网络结构复杂,使用的是不同厂家不同批次的网络安全产品。过去企业实际采用的网络安全设备来源多样,时间跨度长,其日志告警信息大多只能登陆到各自设备进行查看,随着设备信息化不断提升,各安全设备厂商的安全报警日志也逐渐实现了信息化管理,能够在特定的网页上浏览并分析处置告警,但是也因此存在碎片化管理问题,因此需要一套适合企业实际情况的统一平台来集中管理。同时产生的告警信息大多类型庞杂,信息量较大,不利于信息运维人员进行查看管理,快速排查出真正的隐患问题,需要设计一套分类管理安全报警日志信息并进行过滤处理的信息系统。。
发明内容
(一)解决的技术问题
本发明公开了一种工业控制网络安全过滤方法和系统,快速便捷的提升信息的安全。
(二)技术方案
为实现上述目的,本发明提供如下技术方案:一种工业控制网络安全过滤方法,其特征在于,包括以下步骤:
步骤1、构建网络安全知识库;
步骤2、获取工业网络安全设备中的安全报警日志,并进行分类;
步骤3:将分类后的安全报警日志转变为统一数据格式下进行存储;
步骤4:滤除重复、无效的安全报警日志;
步骤5:对步骤4中得到的安全报警日志与步骤1中的网络安全知识库进行对比,并将对比后的结果按照重要性进行排序,并合并成一个文件,依次按照重要性顺序发送至目标运维人员。
本发明改进有,所述步骤1中的构建网络安全知识库具体包括:
步骤1-1、将现有的数据进行关系连接,并构建出初步网络安全知识库;
步骤1-2、根据数据关系推理模型对初步网络安全知识库进行关系推理,获得缺失关系;
步骤1-3、根据缺失关系进行资料收集,并不断的完善网络安全知识库。
本发明改进有,所述步骤1-1中,现有的数据为安全的网络知识,获得正确关系数据,所述步骤1-2中,数据关系为非安全的网络知识推断出的关系,获得错误关系数据,并根据错误关系数据进行关系推理。
本发明改进有,所述步骤1中采用网络爬虫工具进行安全报警日志。
本发明改进有,所述安全报警日志包括编号、网络类型、时间、ip、端口、状态码、漏洞名称、用户名、负责人和初步分析结果;所述攻击安全报警日志包括攻击类型、预警编号、攻击时间、源ip、目的ip、源端口、目的端口、源ip负责人、目的ip负责人、攻击次数和处置建议。
本发明改进有,所述步骤4中无效的安全报警日志包括利用源IP、源端口、目的IP和目的端口滤除工业系统外部非常规访问。
本发明进一步提供一种工业控制网络安全过滤系统,包括:
网络安全知识库,连接正确的网络安全关系;
安全报警采集模块,采集工业网络安全设备中的安全报警日志;
筛选模块,连接安全报警采集模块,并筛选重复、无效的安全报警日志;
过滤模块,连接筛选模块及网络安全知识库,并将筛选模块筛选后的安全报警日志与网络安全知识库进行对比,过滤,并形成预警文件。
(三)有益效果
与现有技术相比,本发明提供了一种工业控制网络安全过滤方法和系统,具备以下有益效果:
能够统一的管理告警信息,并且进行过滤告警信息,尽快找准重要信息,降低了工作人员的压力,方便了运维人员的实际工作,节省了人力物力,统一不同安全日志信息,方便整理管理,效率高且效果好。
附图说明
图1为本发明图的流程示意图;
图2为本发明图的构建网络安全知识库的流程示意图;
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1及图2,本发明提供一种工业控制网络安全过滤系统,包括:
网络安全知识库,连接正确的网络安全关系;
安全报警采集模块,采集工业网络安全设备中的安全报警日志;
筛选模块,连接安全报警采集模块,并筛选重复、无效的安全报警日志;
过滤模块,连接筛选模块及网络安全知识库,并将筛选模块筛选后的安全报警日志与网络安全知识库进行对比,过滤,并形成预警文件。
上述系统的具体过程,参照本发明进一步提供的一种工业控制网络安全过滤方法,包括以下步骤:
步骤1、构建网络安全知识库;
步骤2、获取工业网络安全设备中的安全报警日志,并进行分类。
步骤3:将分类后的安全报警日志转变为统一数据格式下进行存储;
步骤4:滤除重复、无效的安全报警日志;
步骤5:对步骤4中得到的安全报警日志与步骤1中的网络安全知识库进行对比,并将对比后的结果按照重要性进行排序,并合并成一个文件,依次按照重要性顺序发送至目标运维人员。
对各类网络安全设备的日志进行统一管控需要提取各类设备安全报警日志的共同信息,将采集来的数据放置在统一的数据格式下进行存储,其次需要制定相应的技术规则来滤除重复、无效的日志信息,最后通过网络安全知识库过滤,获得告警信息,可以在前述操作的基础上依据告警重复次数、告警类型重要性和告警所涉设备资产重要性按照重要性进行排序,并按设备或 IP对告警进行合并,依次按照重要性顺序发送至目标运维人员,以方便运维人员管控。
本发明改进有,所述步骤1中的构建网络安全知识库具体包括:
步骤1-1、将现有的数据进行关系连接,并构建出初步网络安全知识库;
步骤1-2、根据数据关系推理模型对初步网络安全知识库进行关系推理,获得缺失关系;
步骤1-3、根据缺失关系进行资料收集,并不断的完善网络安全知识库。
本发明改进有,所述步骤1-1中,现有的数据为安全的网络知识,获得正确关系数据,所述步骤1-2中,数据关系为非安全的网络知识推断出的关系,获得错误关系数据,并根据错误关系数据进行关系推理。
本发明改进有,所述步骤1中采用网络爬虫工具进行安全报警日志。
安全事件数据包括各类安全事件数据如钓鱼事件数据、远控木马数据、恶意软件数据、漏洞利用数据、网站后门数据、DDOS攻击数据、流数据、域名数据、URL日志数据、外部威胁情报数据、whois域名注册数据等中的一种或者多种,对此本申请实施例不作限定。
本申请实施例中,将安全事件数据中的实体(如IP、域名、邮箱、恶意样本等)进行解析抽取,并将各实体间的关系也抽取出来,进而形成原始关系数据,举例来说,如邮件发件人与源IP的关系、邮件中的文件md5与收件人的关系、文件传播的源IP与目的IP的关系、域名对应的解析IP的关系等。
本发明改进有,所述安全报警日志包括编号、网络类型、时间、ip、端口、状态码、漏洞名称、用户名、负责人和初步分析结果;所述攻击安全报警日志包括攻击类型、预警编号、攻击时间、源ip、目的ip、源端口、目的端口、源ip负责人、目的ip负责人、攻击次数和处置建议。
本发明改进有,所述步骤4中无效的安全报警日志包括利用源IP、源端口、目的IP和目的端口滤除工业系统外部非常规访问。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。

Claims (7)

1.一种工业控制网络安全过滤方法,其特征在于,包括以下步骤:
步骤1、构建网络安全知识库;
步骤2、获取工业网络安全设备中的安全报警日志,并进行分类;
步骤3:将分类后的安全报警日志转变为统一数据格式下进行存储;
步骤4:滤除重复、无效的安全报警日志;
步骤5:对步骤4中得到的安全报警日志与步骤1中的网络安全知识库进行对比,并将对比后的结果按照重要性进行排序,并合并成一个文件,依次按照重要性顺序发送至目标运维人员。
2.根据权利要求1所述的一种工业控制网络安全过滤方法,其特征在于,所述步骤1中的构建网络安全知识库具体包括:
步骤1-1、将现有的数据进行关系连接,并构建出初步网络安全知识库;
步骤1-2、根据数据关系推理模型对初步网络安全知识库进行关系推理,获得缺失关系;
步骤1-3、根据缺失关系进行资料收集,并不断的完善网络安全知识库。
3.根据权利要求2所述的一种工业控制网络安全过滤方法,其特征在于,所述步骤1-1中,现有的数据为安全的网络知识,获得正确关系数据,所述步骤1-2中,数据关系为非安全的网络知识推断出的关系,获得错误关系数据,并根据错误关系数据进行关系推理。
4.根据权利要求1所述的一种工业控制网络安全过滤方法,其特征在于,所述步骤1中采用网络爬虫工具进行安全报警日志。
5.根据权利要求1所述的一种工业控制网络安全过滤方法,其特征在于,所述安全报警日志包括编号、网络类型、时间、ip、端口、状态码、漏洞名称、用户名、负责人和初步分析结果;所述攻击安全报警日志包括攻击类型、预警编号、攻击时间、源ip、目的ip、源端口、目的端口、源ip负责人、目的ip负责人、攻击次数和处置建议。
6.根据权利要求1所述的一种工业控制网络安全过滤方法,其特征在于,所述步骤4中无效的安全报警日志包括利用源IP、源端口、目的IP和目的端口滤除工业系统外部非常规访问。
7.一种工业控制网络安全过滤系统,其特征在于,包括:
网络安全知识库,连接正确的网络安全关系;
安全报警采集模块,采集工业网络安全设备中的安全报警日志;
筛选模块,连接安全报警采集模块,并筛选重复、无效的安全报警日志;
过滤模块,连接筛选模块及网络安全知识库,并将筛选模块筛选后的安全报警日志与网络安全知识库进行对比,过滤,并形成预警文件。
CN202011555999.8A 2020-12-24 2020-12-24 一种工业控制网络安全过滤系统及方法 Pending CN113162897A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011555999.8A CN113162897A (zh) 2020-12-24 2020-12-24 一种工业控制网络安全过滤系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011555999.8A CN113162897A (zh) 2020-12-24 2020-12-24 一种工业控制网络安全过滤系统及方法

Publications (1)

Publication Number Publication Date
CN113162897A true CN113162897A (zh) 2021-07-23

Family

ID=76877996

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011555999.8A Pending CN113162897A (zh) 2020-12-24 2020-12-24 一种工业控制网络安全过滤系统及方法

Country Status (1)

Country Link
CN (1) CN113162897A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114048856A (zh) * 2022-01-11 2022-02-15 中孚信息股份有限公司 基于知识推理的安全事件自动处置方法及系统
CN115150261A (zh) * 2022-06-29 2022-10-04 北京天融信网络安全技术有限公司 告警分析的方法、装置、电子设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170310687A1 (en) * 2016-04-25 2017-10-26 Acer Incorporated Botnet detection system and method
CN108494727A (zh) * 2018-02-06 2018-09-04 成都清华永新网络科技有限公司 一种用于网络安全管理的安全事件闭环处理方法
CN111224988A (zh) * 2020-01-08 2020-06-02 国网陕西省电力公司信息通信公司 一种网络安全信息过滤方法
CN112073415A (zh) * 2020-09-08 2020-12-11 北京天融信网络安全技术有限公司 一种网络安全知识图谱的构建方法及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170310687A1 (en) * 2016-04-25 2017-10-26 Acer Incorporated Botnet detection system and method
CN108494727A (zh) * 2018-02-06 2018-09-04 成都清华永新网络科技有限公司 一种用于网络安全管理的安全事件闭环处理方法
CN111224988A (zh) * 2020-01-08 2020-06-02 国网陕西省电力公司信息通信公司 一种网络安全信息过滤方法
CN112073415A (zh) * 2020-09-08 2020-12-11 北京天融信网络安全技术有限公司 一种网络安全知识图谱的构建方法及装置

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114048856A (zh) * 2022-01-11 2022-02-15 中孚信息股份有限公司 基于知识推理的安全事件自动处置方法及系统
CN114048856B (zh) * 2022-01-11 2022-05-03 中孚信息股份有限公司 基于知识推理的安全事件自动处置方法及系统
CN115150261A (zh) * 2022-06-29 2022-10-04 北京天融信网络安全技术有限公司 告警分析的方法、装置、电子设备及存储介质
CN115150261B (zh) * 2022-06-29 2024-04-19 北京天融信网络安全技术有限公司 告警分析的方法、装置、电子设备及存储介质

Similar Documents

Publication Publication Date Title
CN111224988A (zh) 一种网络安全信息过滤方法
CN110149350B (zh) 一种告警日志关联的网络攻击事件分析方法及装置
CN113486351A (zh) 一种民航空管网络安全检测预警平台
CN104063473B (zh) 一种数据库审计监测系统及其方法
CN107239707B (zh) 一种用于信息系统的威胁数据处理方法
CN104539626A (zh) 一种基于多源报警日志的网络攻击场景生成方法
CN101582883A (zh) 通用网络安全管理系统及其管理方法
EP2936772B1 (en) Network security management
CN113162897A (zh) 一种工业控制网络安全过滤系统及方法
CN116614277A (zh) 基于机器学习与异常行为分析的网络安全监管系统与方法
CN114640548A (zh) 一种基于大数据的网络安全感知和预警的方法及系统
CN1417690A (zh) 基于构件的应用过程审计平台系统
CN115941317A (zh) 一种网络安全综合分析及态势感知平台
CN113709170A (zh) 资产安全运营系统、方法和装置
Skendžić et al. Management and monitoring security events in a business organization-siem system
CN113132370A (zh) 一种普适的一体化安管中心系统
CN112596984A (zh) 业务弱隔离环境下的数据安全态势感知系统
CN1507233A (zh) 一种坚固网关系统及其检测攻击方法
CN113946822A (zh) 安全风险监控方法、系统、计算机设备和存储介质
Yan et al. Research on key technologies of industrial internet data security
Li et al. Security Management System Construction of Information System Based on Big Data Analysis
CN116859804A (zh) 一种面向船舶制造车间的安全态势监测预警系统
CN116991680B (zh) 一种日志降噪方法及电子设备
CN113824682B (zh) 一种模块化的scada安全态势感知系统架构
CN114124526B (zh) 一种结合多层次和熵权法的威胁复杂性分析方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20210723