CN114598513A - 工控威胁事件的响应方法、装置、工控设备及介质 - Google Patents
工控威胁事件的响应方法、装置、工控设备及介质 Download PDFInfo
- Publication number
- CN114598513A CN114598513A CN202210176049.7A CN202210176049A CN114598513A CN 114598513 A CN114598513 A CN 114598513A CN 202210176049 A CN202210176049 A CN 202210176049A CN 114598513 A CN114598513 A CN 114598513A
- Authority
- CN
- China
- Prior art keywords
- data
- threat
- log
- file
- industrial control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请实施例适用于工业控制技术领域,提供了一种工控威胁事件的响应方法、装置、工控设备及介质,该方法包括:提取工业控制系统的治理数据,治理数据包括文件数据、行为数据和日志数据;根据文件数据、行为数据和日志数据,分别提取治理数据的文件特征、行为特征和日志特征;获取工业控制系统的威胁数据,威胁数据具有对应的文件特征、行为特征和日志特征;分别对治理数据和威胁数据进行规格化处理,得到规格化治理特征和规格化威胁特征;计算规格化治理特征与规格化威胁特征的特征相似度;根据特征相似度,对治理数据进行对应的响应。通过上述方法,能够检测工业控制系统的安全威胁事件,并对安全威胁事件进行针对性的响应。
Description
技术领域
本申请属于工业控制技术领域,特别是涉及一种工控威胁事件的响应方法、装置、工控设备及介质。
背景技术
随着制造业的不断进步,工控系统的整体规模正在逐步扩大,工业控制系统与公共互联网的联系也愈发密切。使用互联网技术提升工业效率的同时带来了不确定性,打破了工业网络与互联网的封闭性,将工业系统存在的脆弱性问题也暴露在公共网络中,工控领域的安全问题越来越受到人们的关注。重要资产遭遇威胁的概率不断上升,针对工业控制系统的各种威胁事件时有发生。
目前的工业控制系统过于简陋,偏重于硬件处理,仅能采用指示灯报警等方式进行威胁响应;对于威胁不能有效监测,也缺乏针对性的解决方案。
发明内容
有鉴于此,本申请实施例提供了一种工控威胁事件的响应方法、装置、工控设备及介质,用以检测工业控制系统的安全威胁事件,并对安全威胁事件进行针对性的响应。
本申请实施例的第一方面提供了一种工控威胁事件的响应方法,包括:
提取工业控制系统的治理数据,所述治理数据包括文件数据、行为数据和日志数据;
根据所述文件数据、所述行为数据和所述日志数据,分别提取所述治理数据的文件特征、行为特征和日志特征;
获取所述工业控制系统的威胁数据,所述威胁数据具有对应的文件特征、行为特征和日志特征;
对所述治理数据的文件特征、行为特征和日志特征进行规格化处理,得到规格化治理特征;
对所述威胁数据的文件特征、行为特征和日志特征进行规格化处理,得到规格化威胁特征;
计算所述规格化治理特征与所述规格化威胁特征的特征相似度;
根据所述特征相似度,对所述治理数据进行对应的响应。
本申请实施例的第二方面提供了一种工控威胁事件的响应装置,包括:
治理数据提取模块,用于提取工业控制系统的治理数据,所述治理数据包括文件数据、行为数据和日志数据;
治理特征提取模块,用于根据所述文件数据、所述行为数据和所述日志数据,分别提取所述治理数据的文件特征、行为特征和日志特征;
威胁数据获取模块,用于获取所述工业控制系统的威胁数据,所述威胁数据具有对应的文件特征、行为特征和日志特征;
规格化治理特征获取模块,用于对所述治理数据的文件特征、行为特征和日志特征进行规格化处理,得到规格化治理特征;
规格化威胁特征获取模块,用于对所述威胁数据的文件特征、行为特征和日志特征进行规格化处理,得到规格化威胁特征;
特征相似度计算模块,用于计算所述规格化治理特征与所述规格化威胁特征的特征相似度;
响应模块,用于根据所述特征相似度,对所述治理数据进行对应的响应。
本申请实施例的第三方面提供了一种工控设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第一方面所述的方法。
本申请实施例的第四方面提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如上述第一方面所述的方法。
本申请实施例的第五方面提供了一种计算机程序产品,当所述计算机程序产品在工控设备上运行时,使得所述工控设备执行上述第一方面所述的方法。
与现有技术相比,本申请实施例包括以下优点:
本申请实施例中,可以从系统中提取治理数据,治理数据用于进行威胁分析,治理数据中可以包括文件数据、行为数据和日志数据;然后获取工业系统的威胁数据,威胁数据具有对应的文件特征、行为特征和日志特征;再对治理数据的文件数据、行为数据和日志数据进行规格化处理,得到规格化治理特征,对威胁数据的文件特征、行为特征和日志特征进行规格化处理,得到规格化威胁特征;之后计算规格化治理特征与规格化威胁特征的特征相似度;根据特征相似度,可以确定治理数据对应的安全威胁状况,从而确定出对应的响应方式。在本申请实施例中,基于文件数据、行为数据和日志数据来确定治理数据和威胁数据的特征相似度,从而检测出工控系统面对的安全风险,根据不同的安全风险,做出针对性的响应。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍。显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的一种工控威胁事件的响应方法的步骤流程示意图;
图2是本申请实施例提供的另一种工控威胁事件的响应方法的步骤流程示意图;
图3是本申请实施例提供的一种工控威胁事件的响应装置的示意图;
图4是本申请实施例提供的一种工控威胁事件响应系统的示意图;
图5是本申请实施例提供的一种工控设备的示意图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本申请实施例。然而,本领域技术人员应当清楚,在没有这些具体细节的其他实施例中也可以实现本申请。在其他情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本申请的描述。
应当理解,当在本申请说明书和所附权利要求书中使用时,术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
如在本申请说明书和所附权利要求书中所使用的那样,术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地,短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。
另外,在本申请说明书和所附权利要求书的描述中,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
在本申请说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此,在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例,而是意味着“一个或多个但不是所有的实施例”,除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”,除非是以其他方式另外特别强调。
下面通过具体实施例来说明本申请的技术方案。
参照图1,示出了本申请实施例提供的一种工控威胁事件的响应方法的步骤流程示意图,具体可以包括如下步骤:
S101,提取工业控制系统的治理数据,所述治理数据包括文件数据、行为数据和日志数据。
本申请实施例中的方法可以应用于工业控制系统中,执行主体可以为工控设备、工业控制产品等。
上述治理数据可以为当前工业控制系统在工作中产生的数据,比如文件数据、行为数据和日志数据。其中行为数据可以包括当前工业控制系统中工作的进程信息、线程信息和软件信息等,治理数据可以用于分析当前工业控制系统是遭遇安全威胁。
具体地,在工业控制系统工作过程中,可以获取系统运行过程中的设备的运行情况、运行过程中的日志、工作过程中的进程信息、线程信息、访问信息以及交互数据等,并从其中提取出文件数据、行为数据和日志数据。
S102,根据所述文件数据、所述行为数据和所述日志数据,分别提取所述治理数据的文件特征、行为特征和日志特征。
具体地,可以计算文件数据的信息摘要;然后将信息摘要作为治理数据的文件特征。例如,可以对文件数据采用MD5算法进行数学变换后得到的一个128位的特征码MD5码,将MD5码作为文件特征m。
在提取行为数据时,可以从行为数据中提取进程名称和线程数量;然后根据预设的编码表,确定进程名称对应的编码;再将编码与线程数量相加,得到治理数据的行为特征。例如,可以通过对应的进程和操作计算一个行为特征值a。将进程名称转化的ASCII码和内部线程数量相加得到的值作为行为特征值a。
在提取日志特征时,获取日志数据中每条日志对应的关键字;根据预设的编码表,确定关键字对应的编码;将每条日志对应的编码相加,得到治理数据的日志特征。每一条日志文件都有关于系统的某一种关键信息,将这些关键字转化成ASCII码,同事将这些值累加计算,如果有相同的关键信息,那么就能得到同样的特征值l。
S103,获取所述工业控制系统的威胁数据,所述威胁数据具有对应的文件特征、行为特征和日志特征。
具体地,威胁数据可以为采用威胁诱捕系统采集到的已经确定的对工业控制设备具有安全威胁的数据。威胁数据具有对应的文件特征、行为特征和日志特征。威胁数据的特征可以是根据S102中的方法进行提取的。威胁数据的文件特征、行为特征和日志特征可以分别记为m1,a1,l1.
在一种可能的实现方式中,威胁数据可以包括多个,每个威胁数据可以对应不同的风险。
S104,对所述治理数据的文件特征、行为特征和日志特征进行规格化处理,得到规格化治理特征。
根据上述步骤S102可以得到治理数据特征F(m,a,l),可以对该治理数据特征进行规格化处理,得到规格化治理特征。例如可以进行归一处理或者降维处理。示例性地,可以将特征数据全部映射到[0,1]区间中,得到规格化治理特征。
S105,对所述威胁数据的文件特征、行为特征和日志特征进行规格化处理,得到规格化威胁特征。
具体地,规格化处理可以包括最大最小规格化方法、归一标准化、对数函数转换、标准差标准化等方法。在应用中,可以根据不同的情况选择合适的规格化方法,得到规格化威胁特征。
S106,计算所述规格化治理特征与所述规格化威胁特征的特征相似度。
具体地,可以采用如下公式计算规格化治理特征与规格化威胁特征的相似度:
Ai=A(m,a,l)
Bi=B(m1,a1,l1)
其中,Ai为规格化治理特征,Bi为规格化威胁特征,m为治理数据的文件特征,a为治理数据的行为特征,l为治理数据的日志特征,m1为威胁数据的文件特征,a1为威胁数据的行为特征,l1为威胁数据的日志特征,similarity为特征相似度。
S107,根据所述特征相似度,对所述治理数据进行对应的响应。
具体地,特征相似度用于表征威胁数据和治理数据的相似度,威胁数据和治理数据的相似度越大,则说明治理数据表征的安全威胁事件越严重,需要的响应程度越高。
可以预先设置多个阈值,根据阈值,对特征相似度表征的安全威胁事件的严重性进行判断,从而进行针对性的响应。
本实施例提出了一种基于数据分析的工控威胁事件响应方法,可以协助处理工业控制中的安全威胁事件,评判遭遇的威胁及存在的脆弱性,能够及时找到工业系统的问题;为企业尽早采取安全措施,降低工业系统存在的风险提供有力的支撑。
目前工业控制产品广泛应用于各行各业、各类关键基础设施。工业控制产品的信息安全工作涉及主体多,目前,各类主体对工业控制系统信息安全缺乏统一认识,部分运营单位和地方主管部门只注重生产效益而严重忽视信息安全隐患。通过本实施例中的方法,可以有效提高系统的安全。
参照图2,示出了本申请实施例提供的另一种工控威胁事件的响应方法的步骤流程示意图,具体可以包括如下步骤:
S201,提取工业控制系统的治理数据,所述治理数据包括文件数据、行为数据和日志数据。
S202,根据所述文件数据、所述行为数据和所述日志数据,分别提取所述治理数据的文件特征、行为特征和日志特征。
S203,获取所述工业控制系统的威胁数据,所述威胁数据具有对应的文件特征、行为特征和日志特征。
S204,对所述治理数据的文件特征、行为特征和日志特征进行规格化处理,得到规格化治理特征。
S205,对所述威胁数据的文件特征、行为特征和日志特征进行规格化处理,得到规格化威胁特征。
S206,计算所述规格化治理特征与所述规格化威胁特征的特征相似度。
本实施例中的S201-S206与前述实施例中的S101-S106类似,可以相互参考,在此不赘述。
S207,若所述特征相似度大于或等于第一阈值且小于第二阈值,则对所述治理数据进行告警响应。
在本申请实施例中,为了判断当前治理数据所表征的安全威胁严重情况,可以设置第一阈值、第二阈值和第三阈值,第一阈值小于第二阈值,第二阈值小于第三阈值。
当特征相似度小于第一阈值时,说明当前工业控制系统安全。当特征相似度大于或等于第一阈值且小于第二阈值,说明当前工业控制系统遭遇到低级别的安全威胁事件,此时,可以进行告警响应。告警响应可以采用系统弹窗或调用主板蜂鸣音等方式对入侵者进行警告。
示例性地,可以获取相似度similarity,记作S,通过对相似的模糊匹配设定阈值T,设置响应级别边界为第一阈值T0、第二阈值T1及第三阈值T2。如果相似度S<T0,即满足触发响应的最小值,则视为安全行为,不进行工控威胁事件响应。
对于T0≤S<T1的情况,工控威胁响应系统提供事件告警。由于这种情况下的相似度还不够高,只是存在某种出现危险的可能,此时只需要对此进行告警处置即可,一般可以采用系统弹窗或调用主板蜂鸣音等方式。通过这种告警的方式,还能提供一定程度的威胁预测。
S208,若所述特征相似度大于或等于所述第二阈值且小于第三阈值,则对所述治理数据进行进程管控响应。
当特征相似度大于或等于第二阈值且小于第三阈值时,说明遭遇到了中等级别的安全威胁,此时需要进行进程管控响应。进程管控响应包括根据治理数据的行为特征,确定治理数据中的威胁进程;禁止威胁进程启动;确定危险网络地址,并对危险网络地址进行标定;拒绝危险网络地址的访问。
示例性地,对于T1≤S<T2的情况,工控威胁响应系统提供对威胁事件结果的管理控制。工控威胁响应系统提供威胁进程管控,对有威胁的进程阻止启动,针对危险的ip地址进行标定,对标定的危险地址拒绝访问。
S209,若所述特征相似度大于或等于所述第三阈值,则将所述治理数据提交至管理人员进行处置。
当特征相似度大于或等于第三阈值时,说明当前工控系统遭遇到高级别的安全威胁,此时,需要管理人员介入。因此可以将治理数据提交给管理人员进行处置。此时,工控设备可以将根据治理数据检测到的异常行为进行标记,提交给管理人员,便于管理人员及时发现问题。
示例性地,对于S≥T2的情况,是工控系统出现了比较大的安全威胁,考虑到工控系统的特殊性,很多处置需要靠相关人员手动完成,所以此时可以提供一个综合策略推荐,提交的方案由人工进行处理,保证工控系统运行的稳定性。
在本申请实施例中,采用分级响应机制,对不同的安全威胁事件采用不同的处理方式;可以对安全威胁事件进行精细化管控和快速处理。
需要说明的是,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
参照图3,示出了本申请实施例提供的一种工控威胁事件响应装置的示意图,具体可以包括治理数据提取模块31、治理特征提取模块32、威胁数据获取模块33、规格化治理特征获取模块34、规格化威胁特征获取模块35、特征相似度计算模块36和响应模块37,其中:
治理数据提取模块31,用于提取工业控制系统的治理数据,所述治理数据包括文件数据、行为数据和日志数据;
治理特征提取模块32,用于根据所述文件数据、所述行为数据和所述日志数据,分别提取所述治理数据的文件特征、行为特征和日志特征;
威胁数据获取模块33,用于获取所述工业控制系统的威胁数据,所述威胁数据具有对应的文件特征、行为特征和日志特征;
规格化治理特征获取模块34,用于对所述治理数据的文件特征、行为特征和日志特征进行规格化处理,得到规格化治理特征;
规格化威胁特征获取模块35,用于对所述威胁数据的文件特征、行为特征和日志特征进行规格化处理,得到规格化威胁特征;
特征相似度计算模块36,用于计算所述规格化治理特征与所述规格化威胁特征的特征相似度;
响应模块37,用于根据所述特征相似度,对所述治理数据进行对应的响应。
在一种可能的实现方式中,上述治理特征提取模块32包括:
信息摘要计算子模块,用于计算所述文件数据的信息摘要;
文件特征确定子模块,用于将所述信息摘要作为所述治理数据的文件特征。
在一种可能的实现方式中,上述治理特征提取模块32还包括:
提取子模块,用于从所述行为数据中提取进程名称和线程数量;
进程编码确定子模块,用于根据预设的编码表,确定所述进程名称对应的编码;
行为特征确定子模块,用于将所述编码与所述线程数量相加,得到所述治理数据的行为特征。
在一种可能的实现方式中,上述治理特征提取模块32还包括:
关键字获取子模块,用于获取所述日志数据中每条日志对应的关键字;
关键字编码确定子模块,用于根据预设的编码表,确定所述关键字对应的编码;
日志特征确定子模块,用于将每条所述日志对应的编码相加,得到所述治理数据的日志特征。
在一种可能的实现方式中,上述特征相似度计算模块36采用以下公式计算所述治理数据与所述威胁数据的特征相似度:
Ai=A(m,a,l)
Bi=B(m1,a1,l1)
其中,Ai为所述规格化治理特征,Bi为所述规格化威胁特征,m为所述治理数据的文件特征,a为所述治理数据的行为特征,l为所述治理数据的日志特征,m1为所述威胁数据的文件特征,a1为所述威胁数据的行为特征,l1为所述威胁数据的日志特征,similarity为所述特征相似度。
在一种可能的实现方式中,上述响应模块37包括:
第一响应子模块,用于若所述特征相似度大于或等于第一阈值且小于第二阈值,则对所述治理数据进行告警响应;
第二响应子模块,用于若所述特征相似度大于或等于所述第二阈值且小于第三阈值,则对所述治理数据进行进程管控响应;
第三响应子模块,用于若所述特征相似度大于或等于所述第三阈值,则将所述治理数据提交至管理人员进行处置。
在一种可能的实现方式中,上述第二响应子模块包括:
确定单元,用于根据所述治理数据的行为特征,确定所述治理数据中的威胁进程;
禁止启动单元,用于禁止所述威胁进程启动;
标定单元,用于确定危险网络地址,并对所述危险网络地址进行标定;
拒绝访问单元,用于拒绝所述危险网络地址的访问。对于装置实施例而言,由于其与方法实施例基本相似,所以描述得比较简单,相关之处参见方法实施例部分的说明即可。
本申请实施例中的工控威胁事件响应办法,可以应用于一个工控威胁事件响应系统中,图4是本申请实施例提供的一种工控威胁事件响应系统的示意图。如图4所示,该工控威胁事件响应系统中可以包括诱捕威胁采集模块、诱捕威胁特征提取模块、工控系统信息采集模块、工控信息特征提取模块、安全威胁分析模块和安全威胁分析模块。其中,诱捕威胁采集模块可以与安全威胁诱捕系统相连,从而获取到安全威胁诱捕系统的威胁数据。其中:
安全威胁诱捕系统,用于使用通用的安全威胁诱捕系统对威胁数据进行采集,常见的安全威胁诱捕系统往往以蜜罐的形式部署在工控网络中,通过这些诱捕蜜罐可以获取足够的威胁样本。
诱捕威胁采集模块,用于通过对安全威胁诱捕系统获取的数据进行筛选,将安全威胁诱捕系统记录的安全威胁数据进行提取,包括威胁文件、行为和日志等内容。
诱捕威胁特征提取模块,用于根据威胁数据中包含的内容中进行数据抽象,获取关键的威胁诱捕特征。
工控系统信息采集模块,用于通过工控系统采集系统内部的有效数据,这些数据包括系统的文件、行为和日志等内容。
工控信息特征提取模块,用于从上述的工控系统信息中按照指定的规则提取指定的工控安全信息特征,并将特征进行存储。
安全威胁分析模块,用于将诱捕威胁特征模块提取的威胁特征和工控信息特征提取的特征均进行规格化处理后进行比较,如果威胁相似度超过某一阈值就进入安全事件响应模块进行处理。
安全事件响应处理模块,用于按照从安全威胁分析模块获取的结果进行模糊匹配,采用分级响应机制,符合不同的区间采用不同的处理方式。从告警到威胁管控、标定危险地址拒绝访问,更高的处理考虑到工控场景的特殊性,按照对应的场景提供解决方案进行人工处理。
图5为本申请实施例提供的工控设备的结构示意图。如图5所示,该实施例的工控设备5包括:至少一个处理器50(图5中仅示出一个)处理器、存储器51以及存储在所述存储器51中并可在所述至少一个处理器50上运行的计算机程序52,所述处理器50执行所述计算机程序52时实现上述任意各个方法实施例中的步骤。
该工控设备可包括,但不仅限于,处理器50、存储器51。本领域技术人员可以理解,图5仅仅是工控设备5的举例,并不构成对工控设备5的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如还可以包括输入输出设备、网络接入设备等。
所称处理器50可以是中央处理单元(CentralProcessingUnit,CPU),该处理器50还可以是其他通用处理器、数字信号处理器(DigitalSignalProcessor,DSP)、专用集成电路(ApplicationSpecificIntegratedCircuit,ASIC)、现成可编程门阵列(Field-ProgrammableGateArray,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器51在一些实施例中可以是所述工控设备5的内部存储单元,例如工控设备5的硬盘或内存。所述存储器51在另一些实施例中也可以是所述工控设备5的外部存储设备,例如所述工控设备5上配备的插接式硬盘,智能存储卡(SmartMediaCard,SMC),安全数字(SecureDigital,SD)卡,闪存卡(FlashCard)等。进一步地,所述存储器51还可以既包括所述工控设备5的内部存储单元也包括外部存储设备。所述存储器51用于存储操作系统、应用程序、引导装载程序(BootLoader)、数据以及其他程序等,例如所述计算机程序的程序代码等。所述存储器51还可以用于暂时地存储已经输出或者将要输出的数据。
本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现可实现上述各个方法实施例中的步骤。
本申请实施例提供了一种计算机程序产品,当计算机程序产品在工控设备上运行时,使得工控设备执行时实现可实现上述各个方法实施例中的步骤。
所述工控设备实现的功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质至少可以包括:能够将计算机程序代码携带到装置/工控设备的任何实体或装置、记录介质、计算机存储器、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,RandomAccessMemory)、电载波信号、电信信号以及软件分发介质。例如U盘、移动硬盘、磁碟或者光盘等。在某些司法管辖区,根据立法和专利实践,计算机可读介质不可以是电载波信号和电信信号。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请所提供的实施例中,应该理解到,所揭露的装置/工控设备和方法,可以通过其它的方式实现。例如,以上所描述的装置/工控设备实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或模块可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
以上所述实施例仅用以说明本申请的技术方案,而非对其限制。尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。
Claims (10)
1.一种工控威胁事件的响应方法,其特征在于,包括:
提取工业控制系统的治理数据,所述治理数据包括文件数据、行为数据和日志数据;
根据所述文件数据、所述行为数据和所述日志数据,分别提取所述治理数据的文件特征、行为特征和日志特征;
获取所述工业控制系统的威胁数据,所述威胁数据具有对应的文件特征、行为特征和日志特征;
对所述治理数据的文件特征、行为特征和日志特征进行规格化处理,得到规格化治理特征;
对所述威胁数据的文件特征、行为特征和日志特征进行规格化处理,得到规格化威胁特征;
计算所述规格化治理特征与所述规格化威胁特征的特征相似度;
根据所述特征相似度,对所述治理数据进行对应的响应。
2.如权利要求1所述的方法,其特征在于,所述根据所述文件数据、所述行为数据和所述日志数据分别提取所述治理数据的文件特征、行为特征和日志特征,包括:
计算所述文件数据的信息摘要;
将所述信息摘要作为所述治理数据的文件特征。
3.如权利要求1所述的方法,其特征在于,所述根据所述文件数据、所述行为数据和所述日志数据分别提取所述治理数据的文件特征、行为特征和日志特征,包括:
从所述行为数据中提取进程名称和线程数量;
根据预设的编码表,确定所述进程名称对应的编码;
将所述编码与所述线程数量相加,得到所述治理数据的行为特征。
4.如权利要求1所述的方法,其特征在于,所述根据所述文件数据、所述行为数据和所述日志数据分别提取所述治理数据的文件特征、行为特征和日志特征,包括:
获取所述日志数据中每条日志对应的关键字;
根据预设的编码表,确定所述关键字对应的编码;
将每条所述日志对应的编码相加,得到所述治理数据的日志特征。
5.如权利要求1-4任一项所述的方法,其特征在于,采用以下公式计算所述治理数据与所述威胁数据的特征相似度:
Ai=A(m,a,l)
Bi=B(m1,a1,l1)
其中,Ai为所述规格化治理特征,Bi为所述规格化威胁特征,m为所述治理数据的文件特征,a为所述治理数据的行为特征,l为所述治理数据的日志特征,m1为所述威胁数据的文件特征,a1为所述威胁数据的行为特征,l1为所述威胁数据的日志特征,similarity为所述特征相似度。
6.如权利要求5所述的方法,其特征在于,所述根据所述特征相似度,对所述治理数据进行对应的响应,包括:
若所述特征相似度大于或等于第一阈值且小于第二阈值,则对所述治理数据进行告警响应;
若所述特征相似度大于或等于所述第二阈值且小于第三阈值,则对所述治理数据进行进程管控响应;
若所述特征相似度大于或等于所述第三阈值,则将所述治理数据提交至管理人员进行处置。
7.如权利要求6所述的方法,其特征在于,所述对所述治理数据进行进程管控响应,包括:
根据所述治理数据的行为特征,确定所述治理数据中的威胁进程;
禁止所述威胁进程启动;
确定危险网络地址,并对所述危险网络地址进行标定;
拒绝所述危险网络地址的访问。
8.一种工控威胁事件的响应装置,其特征在于,包括:
治理数据提取模块,用于提取工业控制系统的治理数据,所述治理数据包括文件数据、行为数据和日志数据;
治理特征提取模块,用于根据所述文件数据、所述行为数据和所述日志数据,分别提取所述治理数据的文件特征、行为特征和日志特征;
威胁数据获取模块,用于获取所述工业控制系统的威胁数据,所述威胁数据具有对应的文件特征、行为特征和日志特征;
规格化治理特征获取模块,用于对所述治理数据的文件特征、行为特征和日志特征进行规格化处理,得到规格化治理特征;
规格化威胁特征获取模块,用于对所述威胁数据的文件特征、行为特征和日志特征进行规格化处理,得到规格化威胁特征;
特征相似度计算模块,用于计算所述规格化治理特征与所述规格化威胁特征的特征相似度;
响应模块,用于根据所述特征相似度,对所述治理数据进行对应的响应。
9.一种工控设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1-7任一项所述的工控威胁事件的响应方法。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-7任一项所述的工控威胁事件的响应方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210176049.7A CN114598513B (zh) | 2022-02-24 | 2022-02-24 | 工控威胁事件的响应方法、装置、工控设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210176049.7A CN114598513B (zh) | 2022-02-24 | 2022-02-24 | 工控威胁事件的响应方法、装置、工控设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114598513A true CN114598513A (zh) | 2022-06-07 |
| CN114598513B CN114598513B (zh) | 2023-08-01 |
Family
ID=81806841
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210176049.7A Active CN114598513B (zh) | 2022-02-24 | 2022-02-24 | 工控威胁事件的响应方法、装置、工控设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114598513B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117473225A (zh) * | 2023-10-17 | 2024-01-30 | 杭州智顺科技有限公司 | 日志数据治理方法、装置、电子设备及可读存储介质 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106982231A (zh) * | 2017-05-12 | 2017-07-25 | 王振辉 | 一种基于Agent的内部威胁实时检测方法 |
| US20180004942A1 (en) * | 2016-06-20 | 2018-01-04 | Jask Labs Inc. | Method for detecting a cyber attack |
| US10320813B1 (en) * | 2015-04-30 | 2019-06-11 | Amazon Technologies, Inc. | Threat detection and mitigation in a virtualized computing environment |
| CN110213238A (zh) * | 2019-05-06 | 2019-09-06 | 北京奇安信科技有限公司 | 数据的威胁检测方法及装置、存储介质、计算机设备 |
| CN110266670A (zh) * | 2019-06-06 | 2019-09-20 | 深圳前海微众银行股份有限公司 | 一种终端网络外联行为的处理方法及装置 |
| CN110351280A (zh) * | 2019-07-15 | 2019-10-18 | 杭州安恒信息技术股份有限公司 | 一种威胁情报提取的方法、系统、设备及可读存储介质 |
| CN111935064A (zh) * | 2020-05-28 | 2020-11-13 | 南京南瑞信息通信科技有限公司 | 一种工控网络威胁自动隔离方法及系统 |
| CN112347474A (zh) * | 2020-11-06 | 2021-02-09 | 奇安信科技集团股份有限公司 | 一种安全威胁情报的构建方法、装置、设备和存储介质 |
| CN112653669A (zh) * | 2020-12-04 | 2021-04-13 | 智网安云(武汉)信息技术有限公司 | 网络终端安全威胁预警方法、系统及网络终端管理装置 |
| CN114006778A (zh) * | 2022-01-05 | 2022-02-01 | 北京微步在线科技有限公司 | 一种威胁情报的识别方法、装置、电子设备及存储介质 |
-
2022
- 2022-02-24 CN CN202210176049.7A patent/CN114598513B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10320813B1 (en) * | 2015-04-30 | 2019-06-11 | Amazon Technologies, Inc. | Threat detection and mitigation in a virtualized computing environment |
| US20180004942A1 (en) * | 2016-06-20 | 2018-01-04 | Jask Labs Inc. | Method for detecting a cyber attack |
| CN106982231A (zh) * | 2017-05-12 | 2017-07-25 | 王振辉 | 一种基于Agent的内部威胁实时检测方法 |
| CN110213238A (zh) * | 2019-05-06 | 2019-09-06 | 北京奇安信科技有限公司 | 数据的威胁检测方法及装置、存储介质、计算机设备 |
| CN110266670A (zh) * | 2019-06-06 | 2019-09-20 | 深圳前海微众银行股份有限公司 | 一种终端网络外联行为的处理方法及装置 |
| CN110351280A (zh) * | 2019-07-15 | 2019-10-18 | 杭州安恒信息技术股份有限公司 | 一种威胁情报提取的方法、系统、设备及可读存储介质 |
| CN111935064A (zh) * | 2020-05-28 | 2020-11-13 | 南京南瑞信息通信科技有限公司 | 一种工控网络威胁自动隔离方法及系统 |
| CN112347474A (zh) * | 2020-11-06 | 2021-02-09 | 奇安信科技集团股份有限公司 | 一种安全威胁情报的构建方法、装置、设备和存储介质 |
| CN112653669A (zh) * | 2020-12-04 | 2021-04-13 | 智网安云(武汉)信息技术有限公司 | 网络终端安全威胁预警方法、系统及网络终端管理装置 |
| CN114006778A (zh) * | 2022-01-05 | 2022-02-01 | 北京微步在线科技有限公司 | 一种威胁情报的识别方法、装置、电子设备及存储介质 |
Non-Patent Citations (4)
| Title |
|---|
| LINGLI LIN; SHANGPING ZHONG; CUNMIN JIA; KAIZHI CHEN: "Insider Threat Detection Based on Deep Belief Network Feature Representation", 《2017 INTERNATIONAL CONFERENCE ON GREEN INFORMATICS》, pages 54 - 59 * |
| 张有;王开云;张春瑞;邓妙然;: "基于用户行为日志的内部威胁检测综述", 计算机时代, no. 09, pages 49 - 53 * |
| 王云辉: "工控系统安全威胁及防护应用探讨", 《科学信息化》, pages 35 - 39 * |
| 白雪原: "工控系统安全威胁及防护应用探讨", 《中国信息化》, pages 70 - 71 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117473225A (zh) * | 2023-10-17 | 2024-01-30 | 杭州智顺科技有限公司 | 日志数据治理方法、装置、电子设备及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114598513B (zh) | 2023-08-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113542279B (zh) | 一种网络安全风险评估方法、系统及装置 | |
| KR100892415B1 (ko) | 사이버위협 예보 시스템 및 방법 | |
| CN108520180B (zh) | 一种基于多维度的固件Web漏洞检测方法及系统 | |
| CN110852641A (zh) | 一种资产数据的监控方法、系统及相关装置 | |
| CN109936475B (zh) | 一种异常检测方法及装置 | |
| CN109376537B (zh) | 一种基于多因子融合的资产评分方法及系统 | |
| CN114598513A (zh) | 工控威胁事件的响应方法、装置、工控设备及介质 | |
| CN110598959A (zh) | 一种资产风险评估方法、装置、电子设备及存储介质 | |
| CN114186227A (zh) | 安全告警转化为安全事件的方法、装置及存储介质 | |
| CN114579636A (zh) | 数据安全风险预测方法、装置、计算机设备和介质 | |
| CN112600828B (zh) | 基于数据报文的电力控制系统攻击检测防护方法及装置 | |
| CN116938600B (zh) | 威胁事件的分析方法、电子设备及存储介质 | |
| CN116886335A (zh) | 一种数据安全管理系统 | |
| CN115632884B (zh) | 基于事件分析的网络安全态势感知方法与系统 | |
| CN115174205B (zh) | 一种网络空间安全实时监测方法、系统及计算机存储介质 | |
| CN111784404A (zh) | 一种基于行为变量预测的异常资产识别方法 | |
| CN116545702A (zh) | 网络安全防护方法及相关设备 | |
| CN113114489B (zh) | 一种网络安全态势评估方法、装置、设备及存储介质 | |
| CN109409127B (zh) | 网络数据安全策略的生成方法、装置及存储介质 | |
| CN114172699A (zh) | 一种工业控制网络安全事件关联分析方法 | |
| Mukhin | Adaptive approach to safety control and security system modification in computer systems and networks | |
| CN115118498B (zh) | 基于关联性的漏洞数据分析方法和系统 | |
| CN115664863B (zh) | 一种网络攻击事件处理方法、装置、存储介质及设备 | |
| CN115632840B (zh) | 基于零信任的风险处理方法、装置、设备及存储介质 | |
| Guerra et al. | An Artificial Intelligence Framework for the Representation and Reuse of Cybersecurity Incident Resolution Knowledge |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |