CN113625686A - 一种基于工业控制协议的安全基线核查系统及方法 - Google Patents
一种基于工业控制协议的安全基线核查系统及方法 Download PDFInfo
- Publication number
- CN113625686A CN113625686A CN202110861199.7A CN202110861199A CN113625686A CN 113625686 A CN113625686 A CN 113625686A CN 202110861199 A CN202110861199 A CN 202110861199A CN 113625686 A CN113625686 A CN 113625686A
- Authority
- CN
- China
- Prior art keywords
- baseline
- detected
- item
- data
- check
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0218—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
- G05B23/0243—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults model based detection method, e.g. first-principles knowledge model
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24065—Real time diagnostics
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种基于工业控制协议的安全基线核查系统及方法,所述核查系统包括解析模块、核查模板获取模块、核查初检模块和运行监测模块,所述解析模块在接收到待检测数据包后,根据待检测数据包所对应的工业控制协议对待检测数据包进行解析,得到待检测数据,所述核查模板获取模块从安全基线数据库中获取与待检测数据的类型相对应的基线核查模板,所述基线核查模板中包括若干基线检查项及其相应的参数阈值,所述基线检查项包括初始基线检查项和扩充基线检查项,所述初始基线检查项的个数大于等于1个,所述核查初检模块根据基线核查模板的基线检查项对待检测数据进行检测。
Description
技术领域
本发明涉及工业控制技术领域,具体为一种基于工业控制协议的安全基线核查系统及方法。
背景技术
安全基线是指信息系统上要达到最基本的安全要求所需要满足的约定规则。对安全基线进行核查能够帮助降低信息系统由于安全控制不足而引起的安全问题。但是随着信息系统的快速发展,信息系统上的参数配置越来越复杂,很容易容易出现参数错配,从而影响信息系统的安全问题,因为对安全基线预先进行核查十分重要。
现有技术中,安全基线的核查项内容基本保持不变,无法满足对日益复杂的参数配置的检测。
发明内容
本发明的目的在于提供一种基于工业控制协议的安全基线核查系统及方法,以解决上述背景技术中提出的问题。
为了解决上述技术问题,本发明提供如下技术方案:一种基于工业控制协议的安全基线核查系统,所述核查系统包括解析模块、核查模板获取模块、核查初检模块和运行监测模块,所述解析模块在接收到待检测数据包后,根据待检测数据包所对应的工业控制协议对待检测数据包进行解析,得到待检测数据,所述核查模板获取模块从安全基线数据库中获取与待检测数据的类型相对应的基线核查模板,所述基线核查模板中包括若干基线检查项及其相应的参数阈值,所述基线检查项包括初始基线检查项和扩充基线检查项,所述初始基线检查项的个数大于等于1个,所述核查初检模块根据基线核查模板的基线检查项对待检测数据进行检测,如果待检测数据中存在某个基线检查项的参数超出基线核查模板中的参数阈值波动范围,那么该基线检查项初检存疑,传输报警信息;否则,该基线检查项初检通过,在待检测数据中所有的基线检查项初检均通过,初步判定待检测数据安全,令所述运行监测模块监测待检测数据后续的运行情况,并据此判断是否更新基线核查模板和运行监测模块。
进一步的,所述运行监测模块包括监测项提取模块、监测占比计算模块和平均值比较模块,所述监测项提取模块在待检测数据后续的运行过程中出错,从待检测数据中提取出错的数据项为监测项,那么该监测项的监测指数P加一,并获取待检测数据运行开始到出错时的时间间隔为该监测项的参照时长,其中,各个数据项的监测指数的初始值为0;所述监测占比计算模块计算待检测数据某个监测项的监测占比Q=P/Z,其中,Z为待检测数据运行过的总次数,并在某个监测项的监测占比Q大于监测阈值时,令平均值比较模块获取该监测项的所有参照时长的平均值,如果平均值大于等于警惕阈值,那么将该监测项作为扩充基线检查项,更新基线核查模板。
进一步的,所述核查系统还包括检测顺序排序模块,所述检测顺序排序模块包括总顺序排序模块、分顺序选取模块、第一分顺序排序模块和第二分顺序排序模块,所述总顺序排序模块用于在对待检测数据进行检测时,按照先初始基线检查项后扩充基线检查项的顺序进行检测,所述分顺序选取模块用于获取当前扩充基线检查项的个数,在扩充基线检查项的个数小于等于个数阈值,令第一分顺序排序模块工作,在扩充基线检查项对的个数大于个数阈值,令第二分顺序排序模块工作,所述第一分顺序排序模块按照各个检查项成为扩充基线检查项的先后顺序进行检测,所述第二分顺序模块根据各个扩充基线检查项的综合评估值按照从小到大的顺序排序得到检测顺序,所述检测顺序即为各个对扩充基线检查项的检测顺序。
进一步的,所述检测顺序排序模块还包括综合评估值获取模块,所述综合评估值获取模块包括通过指数计算模块、时间指数计算模块和综合评估值计算模块,所述通过指数计算模块采集对待检测数据的各个扩充基线检查项的检测次数Cz以及初检通过的次数Cx,那么某个扩充基线检查项的通过指数e=Cx/Cz,所述时间指数计算模块采集各个基线检查项最近一次被检测为存疑与当前的时间间隔时长,对各个间隔时长进行归一化处理,得到各个基线检查项的时间指数f=(t-tmin)/(tmax-tmin),其中,tmin为各个基线检查项最近一次被检测为存疑与当前的时间间隔时长中的最小值,tmax为各个基线检查项最近一次被检测为存疑与当前的时间间隔时长中的最大值,所述综合评估值计算模块根据通过指数和时间指数计算综合评估值J=0.55*e+0.45*f。
一种基于工业控制协议的安全基线核查方法,在接收到待检测数据包后,根据待检测数据包所对应的工业控制协议对待检测数据包进行解析,得到待检测数据;
从安全基线数据库中获取与待检测数据的类型相对应的基线核查模板,所述基线核查模板中包括若干基线检查项及其相应的参数阈值,所述基线检查项包括初始基线检查项和扩充基线检查项,所述初始基线检查项的个数大于等于1个;
根据基线核查模板的基线检查项对待检测数据进行检测,如果待检测数据中存在某个基线检查项的参数超出基线核查模板中的参数阈值波动范围,那么该基线检查项初检存疑,传输报警信息;否则,该基线检查项初检通过,
如果待检测数据中所有的基线检查项初检均通过,初步判定待检测数据安全,监测待检测数据后续的运行情况,并据此判断是否更新基线核查模板。
进一步的,所述监测待检测数据后续的运行情况包括:
如果待检测数据后续的运行过程中出错,从待检测数据中提取出错的数据项为监测项,那么该监测项的监测指数P加一,并获取待检测数据运行开始到出错时的时间间隔为该监测项的参照时长,其中,各个数据项的监测指数的初始值为0;
计算待检测数据某个监测项的监测占比Q=P/Z,其中,Z为待检测数据运行过的总次数,
当某个监测项的监测占比Q大于监测阈值时,获取该监测项的所有参照时长的平均值,如果平均值大于等于警惕阈值,那么将该监测项作为扩充基线检查项,更新基线核查模板。
进一步的,所述根据基线核查模板的基线检查项对待检测数据进行检测包括:
对待检测数据进行检测时,按照先初始基线检查项后扩充基线检查项的顺序进行检测;
其中,对扩充基线检查项的检测顺序包括:
获取当前扩充基线检查项的个数,如果扩充基线检查项的个数小于等于个数阈值,那么按照各个检查项成为扩充基线检查项的先后顺序进行检测;
如果扩充基线检查项对的个数大于个数阈值,那么获取各个扩充基线检查项的综合评估值,将综合评估值按照从小到大的顺序排序得到检测顺序,所述检测顺序即为各个对扩充基线检查项的检测顺序。
进一步的,所述获取各个扩充基线检查项的综合评估值包括:
采集对待检测数据的各个扩充基线检查项的检测次数Cz以及初检通过的次数Cx,那么某个扩充基线检查项的通过指数e=Cx/Cz;
采集各个基线检查项最近一次被检测为存疑与当前的时间间隔时长,对各个间隔时长进行归一化处理,得到各个基线检查项的时间指数f=(t-tmin)/(tmax-tmin),其中,tmin为各个基线检查项最近一次被检测为存疑与当前的时间间隔时长中的最小值,tmax为各个基线检查项最近一次被检测为存疑与当前的时间间隔时长中的最大值;
那么某个扩充基线检查项的综合评估值J=0.55*e+0.45*f。
与现有技术相比,本发明所达到的有益效果是:本发明通过对待检测数据包后续运行过程中的出错情况进行监测来判断是否要增加基线检查项,判断是否要更新基线核查模板,从而提高了安全基线核查过程中的灵活性,提高了后续待检测数据运行过程中的安全性和稳定性。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1是本发明基于工业控制协议的安全基线核查系统的模块示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,本发明提供技术方案:一种基于工业控制协议的安全基线核查系统,所述核查系统包括解析模块、核查模板获取模块、核查初检模块和运行监测模块,所述解析模块在接收到待检测数据包后,根据待检测数据包所对应的工业控制协议对待检测数据包进行解析,得到待检测数据,所述核查模板获取模块从安全基线数据库中获取与待检测数据的类型相对应的基线核查模板,所述基线核查模板中包括若干基线检查项及其相应的参数阈值,所述基线检查项包括初始基线检查项和扩充基线检查项,所述初始基线检查项的个数大于等于1个,所述核查初检模块根据基线核查模板的基线检查项对待检测数据进行检测,如果待检测数据中存在某个基线检查项的参数超出基线核查模板中的参数阈值波动范围,那么该基线检查项初检存疑,传输报警信息;否则,该基线检查项初检通过,在待检测数据中所有的基线检查项初检均通过,初步判定待检测数据安全,令所述运行监测模块监测待检测数据后续的运行情况,并据此判断是否更新基线核查模板和运行监测模块。
所述运行监测模块包括监测项提取模块、监测占比计算模块和平均值比较模块,所述监测项提取模块在待检测数据后续的运行过程中出错,从待检测数据中提取出错的数据项为监测项,那么该监测项的监测指数P加一,并获取待检测数据运行开始到出错时的时间间隔为该监测项的参照时长,其中,各个数据项的监测指数的初始值为0;所述监测占比计算模块计算待检测数据某个监测项的监测占比Q=P/Z,其中,Z为待检测数据运行过的总次数,并在某个监测项的监测占比Q大于监测阈值时,令平均值比较模块获取该监测项的所有参照时长的平均值,如果平均值大于等于警惕阈值,那么将该监测项作为扩充基线检查项,更新基线核查模板。
所述核查系统还包括检测顺序排序模块,所述检测顺序排序模块包括总顺序排序模块、分顺序选取模块、第一分顺序排序模块和第二分顺序排序模块,所述总顺序排序模块用于在对待检测数据进行检测时,按照先初始基线检查项后扩充基线检查项的顺序进行检测,所述分顺序选取模块用于获取当前扩充基线检查项的个数,在扩充基线检查项的个数小于等于个数阈值,令第一分顺序排序模块工作,在扩充基线检查项对的个数大于个数阈值,令第二分顺序排序模块工作,所述第一分顺序排序模块按照各个检查项成为扩充基线检查项的先后顺序进行检测,所述第二分顺序模块根据各个扩充基线检查项的综合评估值按照从小到大的顺序排序得到检测顺序,所述检测顺序即为各个对扩充基线检查项的检测顺序。
所述检测顺序排序模块还包括综合评估值获取模块,所述综合评估值获取模块包括通过指数计算模块、时间指数计算模块和综合评估值计算模块,所述通过指数计算模块采集对待检测数据的各个扩充基线检查项的检测次数Cz以及初检通过的次数Cx,那么某个扩充基线检查项的通过指数e=Cx/Cz,所述时间指数计算模块采集各个基线检查项最近一次被检测为存疑与当前的时间间隔时长,对各个间隔时长进行归一化处理,得到各个基线检查项的时间指数f=(t-tmin)/(tmax-tmin),其中,tmin为各个基线检查项最近一次被检测为存疑与当前的时间间隔时长中的最小值,tmax为各个基线检查项最近一次被检测为存疑与当前的时间间隔时长中的最大值,所述综合评估值计算模块根据通过指数和时间指数计算综合评估值J=0.55*e+0.45*f。
一种基于工业控制协议的安全基线核查方法,所述核查方法包括以下步骤:
在接收到待检测数据包后,根据待检测数据包所对应的工业控制协议对待检测数据包进行解析,得到待检测数据;
从安全基线数据库中获取与待检测数据的类型相对应的基线核查模板,所述基线核查模板中包括若干基线检查项及其相应的参数阈值,所述基线检查项包括初始基线检查项和扩充基线检查项,所述初始基线检查项的个数大于等于1个;初始基线检查项中的检查项内容是预先设定好的,扩充基线检查项的检查项是随着某一个类型的待检测数据不断运行之后慢慢扩充的,因此,扩充基线检查项的初始个数可以为0个,
根据基线核查模板的基线检查项对待检测数据进行检测,如果待检测数据中存在某个基线检查项的参数超出基线核查模板中的参数阈值波动范围,那么该基线检查项初检存疑,传输报警信息;如果待检测数据中某个基线检查项的参数位于基线核查模板中的参数阈值波动范围内,该基线检查项初检通过;如果待检测数据中出现基线检查项初检存疑的情况,将初检存疑的信息返回给传输待检测数据包,令他进行重传;
如果待检测数据中所有的基线检查项初检均通过,初步判定待检测数据安全,监测待检测数据后续的运行情况,并据此判断是否更新基线核查模板。通过对待检测数据后续的运行情况,来判断是否更新基线核查模板,从而增加了安全基线核查的灵活性;
所述监测待检测数据后续的运行情况包括:
如果待检测数据后续的运行过程中出错,从待检测数据中提取出错的数据项为监测项,那么该监测项的监测指数P加一,并获取待检测数据运行开始到出错时的时间间隔为该监测项的参照时长,其中,各个数据项的监测指数的初始值为0;
计算待检测数据某个监测项的监测占比Q=P/Z,其中,Z为待检测数据运行过的总次数,
当某个监测项的监测占比Q大于监测阈值时,获取该监测项的所有参照时长的平均值,如果平均值大于等于警惕阈值,那么将该监测项作为扩充基线检查项,更新基线核查模板。如果说某一个数据项在待检测数据运行了很长一段时间后才发现出错,此时待检测数据之前的运行过程全都报废无用,从而导致系统工作效率较低的情况,因此在这种情况下,将该数据项作为安全基线的核查项,提前进行检测判断是否存在问题,从而能够减少在运行较长一段后才出现待检测数据出错的情况,提高系统运行待检测数据的工作效率;
所述根据基线核查模板的基线检查项对待检测数据进行检测包括:
对待检测数据进行检测时,按照先初始基线检查项后扩充基线检查项的顺序进行检测;
其中,对扩充基线检查项的检测顺序包括:
获取当前扩充基线检查项的个数,如果扩充基线检查项的个数小于等于个数阈值,那么按照各个检查项成为扩充基线检查项的先后顺序进行检测;
如果扩充基线检查项对的个数大于个数阈值,那么获取各个扩充基线检查项的综合评估值,将综合评估值按照从小到大的顺序排序得到检测顺序,所述检测顺序即为各个对扩充基线检查项的检测顺序。
所述获取各个扩充基线检查项的综合评估值包括:
采集对待检测数据的各个扩充基线检查项的检测次数Cz以及初检通过的次数Cx,那么某个扩充基线检查项的通过指数e=Cx/Cz;各个扩充基线检查项多对应的检测次数Cz不一定是相同的,根据扩充基线检查项的实际检测次数来确定;
采集各个基线检查项最近一次被检测为存疑与当前的时间间隔时长,对各个间隔时长进行归一化处理,得到各个基线检查项的时间指数f=(t-tmin)/(tmax-tmin),其中,tmin为各个基线检查项最近一次被检测为存疑与当前的时间间隔时长中的最小值,tmax为各个基线检查项最近一次被检测为存疑与当前的时间间隔时长中的最大值,t为相应的基线检查项最近一次被检测为存疑与当前的时间间隔时长;
那么某个扩充基线检查项的综合评估值J=0.55*e+0.45*f。初始基线检查项中的各个检查项没有固定的检测顺序,扩充基线检查项中的各个检查项是具有一定的顺序的,对扩充基线检查项中的检查项进行排序,能够提高安全基线核查的效率;当某个扩充基线检查项初检通过的次数越少,最近一次被检测为存疑与当前的时间间隔时长越短,说明当该扩充基线在检测顺序靠前的情况下,被检测出存疑的概率越高,从而缩短得出基线检查结果的时间,提高安全基线核查的效率。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种基于工业控制协议的安全基线核查系统,其特征在于,所述核查系统包括解析模块、核查模板获取模块、核查初检模块和运行监测模块,所述解析模块在接收到待检测数据包后,根据待检测数据包所对应的工业控制协议对待检测数据包进行解析,得到待检测数据,所述核查模板获取模块从安全基线数据库中获取与待检测数据的类型相对应的基线核查模板,所述基线核查模板中包括若干基线检查项及其相应的参数阈值,所述基线检查项包括初始基线检查项和扩充基线检查项,所述初始基线检查项的个数大于等于1个,所述核查初检模块根据基线核查模板的基线检查项对待检测数据进行检测,如果待检测数据中存在某个基线检查项的参数超出基线核查模板中的参数阈值波动范围,那么该基线检查项初检存疑,传输报警信息;否则,该基线检查项初检通过,在待检测数据中所有的基线检查项初检均通过,初步判定待检测数据安全,令所述运行监测模块监测待检测数据后续的运行情况,并据此判断是否更新基线核查模板和运行监测模块。
2.根据权利要求1所述的一种基于工业控制协议的安全基线核查系统,其特征在于:所述运行监测模块包括监测项提取模块、监测占比计算模块和平均值比较模块,所述监测项提取模块在待检测数据后续的运行过程中出错,从待检测数据中提取出错的数据项为监测项,那么该监测项的监测指数P加一,并获取待检测数据运行开始到出错时的时间间隔为该监测项的参照时长,其中,各个数据项的监测指数的初始值为0;所述监测占比计算模块计算待检测数据某个监测项的监测占比Q=P/Z,其中,Z为待检测数据运行过的总次数,并在某个监测项的监测占比Q大于监测阈值时,令平均值比较模块获取该监测项的所有参照时长的平均值,如果平均值大于等于警惕阈值,那么将该监测项作为扩充基线检查项,更新基线核查模板。
3.根据权利要求2所述的一种基于工业控制协议的安全基线核查系统,其特征在于:所述核查系统还包括检测顺序排序模块,所述检测顺序排序模块包括总顺序排序模块、分顺序选取模块、第一分顺序排序模块和第二分顺序排序模块,所述总顺序排序模块用于在对待检测数据进行检测时,按照先初始基线检查项后扩充基线检查项的顺序进行检测,所述分顺序选取模块用于获取当前扩充基线检查项的个数,在扩充基线检查项的个数小于等于个数阈值,令第一分顺序排序模块工作,在扩充基线检查项对的个数大于个数阈值,令第二分顺序排序模块工作,所述第一分顺序排序模块按照各个检查项成为扩充基线检查项的先后顺序进行检测,所述第二分顺序模块根据各个扩充基线检查项的综合评估值按照从小到大的顺序排序得到检测顺序,所述检测顺序即为各个对扩充基线检查项的检测顺序。
4.根据权利要求3所述的一种基于工业控制协议的安全基线核查系统,其特征在于:所述检测顺序排序模块还包括综合评估值获取模块,所述综合评估值获取模块包括通过指数计算模块、时间指数计算模块和综合评估值计算模块,所述通过指数计算模块采集对待检测数据的各个扩充基线检查项的检测次数Cz以及初检通过的次数Cx,那么某个扩充基线检查项的通过指数e=Cx/Cz,所述时间指数计算模块采集各个基线检查项最近一次被检测为存疑与当前的时间间隔时长,对各个间隔时长进行归一化处理,得到各个基线检查项的时间指数f=(t-tmin)/(tmax-tmin),其中,tmin为各个基线检查项最近一次被检测为存疑与当前的时间间隔时长中的最小值,tmax为各个基线检查项最近一次被检测为存疑与当前的时间间隔时长中的最大值,所述综合评估值计算模块根据通过指数和时间指数计算综合评估值J=0.55*e+0.45*f。
5.一种基于工业控制协议的安全基线核查方法,其特征在于:所述核查方法包括以下步骤:
在接收到待检测数据包后,根据待检测数据包所对应的工业控制协议对待检测数据包进行解析,得到待检测数据;
从安全基线数据库中获取与待检测数据的类型相对应的基线核查模板,所述基线核查模板中包括若干基线检查项及其相应的参数阈值,所述基线检查项包括初始基线检查项和扩充基线检查项,所述初始基线检查项的个数大于等于1个;
根据基线核查模板的基线检查项对待检测数据进行检测,如果待检测数据中存在某个基线检查项的参数超出基线核查模板中的参数阈值波动范围,那么该基线检查项初检存疑,传输报警信息;否则,该基线检查项初检通过,
如果待检测数据中所有的基线检查项初检均通过,初步判定待检测数据安全,监测待检测数据后续的运行情况,并据此判断是否更新基线核查模板。
6.根据权利要求5所述的一种基于工业控制协议的安全基线核查方法,其特征在于:所述监测待检测数据后续的运行情况包括:
如果待检测数据后续的运行过程中出错,从待检测数据中提取出错的数据项为监测项,那么该监测项的监测指数P加一,并获取待检测数据运行开始到出错时的时间间隔为该监测项的参照时长,其中,各个数据项的监测指数的初始值为0;
计算待检测数据某个监测项的监测占比Q=P/Z,其中,Z为待检测数据运行过的总次数,
当某个监测项的监测占比Q大于监测阈值时,获取该监测项的所有参照时长的平均值,如果平均值大于等于警惕阈值,那么将该监测项作为扩充基线检查项,更新基线核查模板。
7.根据权利要求6所述的一种基于工业控制协议的安全基线核查方法,其特征在于:所述根据基线核查模板的基线检查项对待检测数据进行检测包括:
对待检测数据进行检测时,按照先初始基线检查项后扩充基线检查项的顺序进行检测;
其中,对扩充基线检查项的检测顺序包括:
获取当前扩充基线检查项的个数,如果扩充基线检查项的个数小于等于个数阈值,那么按照各个检查项成为扩充基线检查项的先后顺序进行检测;
如果扩充基线检查项对的个数大于个数阈值,那么获取各个扩充基线检查项的综合评估值,将综合评估值按照从小到大的顺序排序得到检测顺序,所述检测顺序即为各个对扩充基线检查项的检测顺序。
8.根据权利要求7所述的一种基于工业控制协议的安全基线核查方法,其特征在于:所述获取各个扩充基线检查项的综合评估值包括:
采集对待检测数据的各个扩充基线检查项的检测次数Cz以及初检通过的次数Cx,那么某个扩充基线检查项的通过指数e=Cx/Cz;
采集各个基线检查项最近一次被检测为存疑与当前的时间间隔时长,对各个间隔时长进行归一化处理,得到各个基线检查项的时间指数f=(t-tmin)/(tmax-tmin),其中,tmin为各个基线检查项最近一次被检测为存疑与当前的时间间隔时长中的最小值,tmax为各个基线检查项最近一次被检测为存疑与当前的时间间隔时长中的最大值,t为相应的基线检查项最近一次被检测为存疑与当前的时间间隔时长;
那么某个扩充基线检查项的综合评估值J=0.55*e+0.45*f。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110861199.7A CN113625686B (zh) | 2021-07-29 | 2021-07-29 | 一种基于工业控制协议的安全基线核查系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110861199.7A CN113625686B (zh) | 2021-07-29 | 2021-07-29 | 一种基于工业控制协议的安全基线核查系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113625686A true CN113625686A (zh) | 2021-11-09 |
| CN113625686B CN113625686B (zh) | 2022-07-26 |
Family
ID=78381468
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110861199.7A Active CN113625686B (zh) | 2021-07-29 | 2021-07-29 | 一种基于工业控制协议的安全基线核查系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113625686B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117077873A (zh) * | 2023-10-18 | 2023-11-17 | 金现代信息产业股份有限公司 | 一种工器具报废预测方法、系统、设备及介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130226318A1 (en) * | 2011-09-22 | 2013-08-29 | Dariusz Procyk | Process transformation and transitioning apparatuses, methods and systems |
| CN106027335A (zh) * | 2016-07-14 | 2016-10-12 | 中国联合网络通信集团有限公司 | 一种安全基线核查方法及设备 |
| US20170032015A1 (en) * | 2015-07-30 | 2017-02-02 | At&T Intellectual Property I, L.P. | System For Continuous Monitoring Of Data Quality In A Dynamic Feed Environment |
| CN107294979A (zh) * | 2017-06-29 | 2017-10-24 | 国家计算机网络与信息安全管理中心 | 基于配置核查的网络安全评估方法和装置 |
| CN110855652A (zh) * | 2019-11-05 | 2020-02-28 | 南方电网数字电网研究院有限公司 | 安全基线配置合规检测方法、装置、计算机设备及介质 |
| CN112036423A (zh) * | 2019-06-04 | 2020-12-04 | 山东华软金盾软件股份有限公司 | 一种基于动态基线的主机监控报警系统及方法 |
| CN112116078A (zh) * | 2020-09-22 | 2020-12-22 | 工业互联网创新中心(上海)有限公司 | 一种基于人工智能的信息安全基线学习方法 |
| CN112380533A (zh) * | 2020-11-17 | 2021-02-19 | 广东电网有限责任公司江门供电局 | 一种计算机终端安全基线核查方法 |
-
2021
- 2021-07-29 CN CN202110861199.7A patent/CN113625686B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130226318A1 (en) * | 2011-09-22 | 2013-08-29 | Dariusz Procyk | Process transformation and transitioning apparatuses, methods and systems |
| US20170032015A1 (en) * | 2015-07-30 | 2017-02-02 | At&T Intellectual Property I, L.P. | System For Continuous Monitoring Of Data Quality In A Dynamic Feed Environment |
| CN106027335A (zh) * | 2016-07-14 | 2016-10-12 | 中国联合网络通信集团有限公司 | 一种安全基线核查方法及设备 |
| CN107294979A (zh) * | 2017-06-29 | 2017-10-24 | 国家计算机网络与信息安全管理中心 | 基于配置核查的网络安全评估方法和装置 |
| CN112036423A (zh) * | 2019-06-04 | 2020-12-04 | 山东华软金盾软件股份有限公司 | 一种基于动态基线的主机监控报警系统及方法 |
| CN110855652A (zh) * | 2019-11-05 | 2020-02-28 | 南方电网数字电网研究院有限公司 | 安全基线配置合规检测方法、装置、计算机设备及介质 |
| CN112116078A (zh) * | 2020-09-22 | 2020-12-22 | 工业互联网创新中心(上海)有限公司 | 一种基于人工智能的信息安全基线学习方法 |
| CN112380533A (zh) * | 2020-11-17 | 2021-02-19 | 广东电网有限责任公司江门供电局 | 一种计算机终端安全基线核查方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117077873A (zh) * | 2023-10-18 | 2023-11-17 | 金现代信息产业股份有限公司 | 一种工器具报废预测方法、系统、设备及介质 |
| CN117077873B (zh) * | 2023-10-18 | 2024-06-04 | 金现代信息产业股份有限公司 | 一种工器具报废预测方法、系统、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113625686B (zh) | 2022-07-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113190421B (zh) | 一种用于数据中心的设备健康状态的检测分析方法 | |
| CN113344134A (zh) | 一种低压配电监控终端数据采集异常检测方法及系统 | |
| CN112766429B (zh) | 一种异常检测的方法、装置、计算机设备和介质 | |
| CN113625686B (zh) | 一种基于工业控制协议的安全基线核查系统及方法 | |
| CN109067722A (zh) | 一种基于两步聚类和检测片分析联合算法的LDoS检测方法 | |
| CN111739243B (zh) | 一种基于d-s证据理论的火灾状态检测方法 | |
| CN115858794B (zh) | 用于网络运行安全监测的异常日志数据识别方法 | |
| CN111209317A (zh) | 一种知识图谱异常社区检测方法及装置 | |
| CN115470788B (zh) | 一种用于数据中台的数据分析方法及系统 | |
| CN108647737A (zh) | 一种基于聚类的自适应时间序列异常检测方法及装置 | |
| CN115793552A (zh) | 一种基于数据处理的电子气体生产监测方法及系统 | |
| CN113343228A (zh) | 事件可信度分析方法、装置、电子设备及可读存储介质 | |
| CN111723617A (zh) | 动作识别的方法、装置、设备及存储介质 | |
| CN112215307A (zh) | 一种应用机器学习自动检测地震仪器信号异常的方法 | |
| CN113705714A (zh) | 基于行为序列的配电物联网设备异常行为检测方法及装置 | |
| CN112070180A (zh) | 基于信息物理双侧数据的电网设备状态判断方法及装置 | |
| CN110837504A (zh) | 一种工控系统异常系统事件识别方法 | |
| CN110837953A (zh) | 一种自动化异常实体定位分析方法 | |
| CN115766176A (zh) | 网络流量处理方法、装置、设备及存储介质 | |
| CN114244594A (zh) | 网络流量异常检测方法及检测系统 | |
| CN112968865A (zh) | 一种基于关联规则挖掘的网络协议语法特征快速提取方法 | |
| CN112995995A (zh) | 异常检测器、异常检测网络和用于检测异常活动的方法 | |
| CN111798237A (zh) | 基于应用日志的异常交易诊断方法及系统 | |
| CN111666566B (zh) | 一种挂马检测方法及系统 | |
| CN114462500A (zh) | 一种下单异常检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |