CN114598514A - 工控威胁检测方法及装置 - Google Patents
工控威胁检测方法及装置 Download PDFInfo
- Publication number
- CN114598514A CN114598514A CN202210176714.2A CN202210176714A CN114598514A CN 114598514 A CN114598514 A CN 114598514A CN 202210176714 A CN202210176714 A CN 202210176714A CN 114598514 A CN114598514 A CN 114598514A
- Authority
- CN
- China
- Prior art keywords
- threat
- industrial control
- data
- event
- similarity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 28
- 238000012545 processing Methods 0.000 claims abstract description 45
- 238000000034 method Methods 0.000 claims abstract description 38
- 231100000279 safety data Toxicity 0.000 claims abstract description 33
- 230000006399 behavior Effects 0.000 claims description 63
- 238000000605 extraction Methods 0.000 claims description 23
- 239000013598 vector Substances 0.000 claims description 23
- 230000008569 process Effects 0.000 claims description 17
- 238000004422 calculation algorithm Methods 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 12
- 238000012360 testing method Methods 0.000 claims description 8
- 238000004364 calculation method Methods 0.000 claims description 7
- 238000004891 communication Methods 0.000 claims description 5
- 230000004044 response Effects 0.000 abstract description 25
- 230000007246 mechanism Effects 0.000 abstract description 5
- 238000004458 analytical method Methods 0.000 description 12
- 239000000284 extract Substances 0.000 description 11
- 238000010586 diagram Methods 0.000 description 8
- 238000010606 normalization Methods 0.000 description 7
- 230000009471 action Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000007726 management method Methods 0.000 description 3
- 230000009467 reduction Effects 0.000 description 3
- 230000001960 triggered effect Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 239000011159 matrix material Substances 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000004886 process control Methods 0.000 description 2
- 238000011282 treatment Methods 0.000 description 2
- OKTJSMMVPCPJKN-UHFFFAOYSA-N Carbon Chemical compound [C] OKTJSMMVPCPJKN-UHFFFAOYSA-N 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012512 characterization method Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 229910021389 graphene Inorganic materials 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 231100000817 safety factor Toxicity 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000001926 trapping method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Alarm Systems (AREA)
Abstract
本申请适用于智能工业控制技术领域,提供了一种工控威胁检测方法,包括:从工控威胁知识库中获取威胁对比数据,并从威胁对比数据中提取威胁特征;通过工控系统采集工控安全事件的工业控制安全数据,并从工业控制安全数据中提取工控安全特征;将威胁特征与工控安全信息特征进行分析比较,得到威胁相似度;根据威胁相似度判定工控安全事件的级别,并根据级别对所述工控安全事件进行处理。本方法采用分级响应机制,服务器对工控安全事件进行分级,针对不同的级别区间采用不同的处理方式,可以快速地对工控安全事件进行响应,提高了对工业控制系统中的威胁的检测效率。
Description
技术领域
本申请属于智能工业控制技术领域,尤其涉及工控威胁检测方法及装置。
背景技术
工业控制系统(简称工控系统)作为国家重点信息基础设施的重要组成部分,其安全性受到了越来越多的重视,但工控系统建立之初是以业务优先,并未考虑太多安全方面的因素。
而传统的防护方式也只是采用防火墙、杀毒软件等被动防护方式,因此工控系统极易因本身存在的漏洞而使得工业控制过程处于威胁当中,因此急需一种对工业控制系统中的威胁进行检测和预测的方法。
发明内容
本申请实施例提供了工控威胁检测方法及装置,可以解决对工业控制系统中的威胁进行检测和预测的问题。
第一方面,本申请实施例提供了一种工控威胁检测方法,包括:从工控威胁知识库中获取威胁对比数据,并从威胁对比数据中提取威胁特征;通过工控系统采集工控安全事件的工业控制安全数据,并从工业控制安全数据中提取工控安全特征;将威胁特征与工控安全信息特征进行分析比较,得到威胁相似度;根据威胁相似度判定工控安全事件的级别,并根据级别对工控安全事件进行处理。
在第一方面的一种可能的实现方式中,威胁对比数据包括威胁文件数据、威胁行为数据和威胁日志数据;从工控威胁知识库中获取威胁对比数据,并从威胁对比数据中提取威胁特征,包括:将威胁文件数据利用信息摘要算法进行编码,得到威胁文件特征;对威胁行为数据进行计算得到将威胁行为特征;从威胁日志数据中获取日志记录,从日志记录中提取威胁日志特征;将威胁文件特征、威胁行为特征以及威胁日志特征整合成威胁特征。
在第一方面的一种可能的实现方式中,工业控制安全数据包括工控文件数据、工控行为数据以及工控日志数据,通过工控系统采集工业控制安全数据,并从工业控制安全数据中提取工控安全特征,包括:将工控文件数据利用信息摘要算法进行编码,得到工控文件特征;对工控行为数据进行计算得到工控行为特征;从威胁日志数据中获取日志记录,从日志记录中提取工控日志特征;将工控文件特征、工控行为特征以及工控日志特征整合成工控安全特征。
在第一方面的一种可能的实现方式中,将威胁特征与工控安全特征进行分析比较,得到威胁相似度,包括:将威胁特征进行规格化处理,得到关于威胁文件特征、威胁行为特征以及威胁日志特征的威胁特征向量;将工控安全特征进行规格化处理,得到关于工控文件特征、工控行为特征以及工控日志特征的工控安全特征向量;计算威胁特征向量和工控安全特征向量之间的余弦相似度。
在第一方面的一种可能的实现方式中,根据威胁相似度判定工控安全事件的级别,包括:设定第一威胁阈值、第二威胁阈值以及第三威胁阈值;若威胁相似度小于第一威胁阈值,则判定工控安全事件为无威胁事件;若威胁相似度小于第二威胁阈值且大于第一威胁阈值,则判定工控安全事件为一级威胁事件;若威胁相似度小于第三威胁阈值且大于第二威胁阈值,则判定工控安全事件为二级威胁事件;若威胁相似度大于第三威胁阈值,则判定工控安全事件为三级威胁事件。
在第一方面的一种可能的实现方式中,根据级别对工控安全事件进行处理,包括:若工控安全事件为一级威胁事件,则向客户端发送事件告警信息;若工控安全事件为二级威胁事件,则对有威胁的进程进行阻止,并标定具有威胁的通信地址;若工控安全事件为三级威胁事件,则生成综合策略推荐至人工进行处理。
在第一方面的一种可能的实现方式中,方法还包括:若工控安全事件被认定为威胁事件的频次超过了预设次数,则对第一威胁阈值进行调整。
第二方面,本申请实施例提供了一种工控威胁测试装置,包括:威胁特征提取模块,用于从工控威胁知识库中获取威胁对比数据,并从威胁对比数据中提取威胁特征;工控安全特征提取模块,用于通过工控系统采集工控安全事件的工业控制安全数据,并从工业控制安全数据中提取工控安全特征;相似度计算模块,用于将威胁特征与工控安全信息特征进行分析比较,得到威胁相似度;处理模块,用于根据威胁相似度判定工控安全事件的级别,并根据级别对工控安全事件进行处理。
第三方面,本申请实施例提供了一种终端设备,包括:终端设备包括存储器和处理器,存储器存储有计算机程序,处理器执行计算机程序时实现以下步骤:包括:从工控威胁知识库中获取威胁对比数据,并从威胁对比数据中提取威胁特征;通过工控系统采集工控安全事件的工业控制安全数据,并从工业控制安全数据中提取工控安全特征;将威胁特征与工控安全信息特征进行分析比较,得到威胁相似度;根据威胁相似度判定工控安全事件的级别,并根据级别对工控安全事件进行处理。
第四方面,本申请实施例提供了一种计算机可读存储介质,计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:包括:从工控威胁知识库中获取威胁对比数据,并从威胁对比数据中提取威胁特征;通过工控系统采集工控安全事件的工业控制安全数据,并从工业控制安全数据中提取工控安全特征;将威胁特征与工控安全信息特征进行分析比较,得到威胁相似度;根据威胁相似度判定工控安全事件的级别,并根据级别对工控安全事件进行处理。
第五方面,本申请实施例提供了一种计算机程序产品,当计算机程序产品在终端设备上运行时,使得终端设备执行上述第一方面中任一项工控威胁检测方法。
可以理解的是,上述第二方面至第五方面的有益效果可以参见上述第一方面中的相关描述,在此不再赘述。
本申请实施例与现有技术相比存在的有益效果是:上述工控威胁检测方法中,服务器从工控威胁知识库中获取威胁对比数据,并从威胁对比数据中提取威胁特征,通过工控系统采集工控安全事件的工业控制安全数据,并从工业控制安全数据中提取工控安全特征,将威胁特征与工控安全信息特征进行分析比较得到威胁相似度,根据威胁相似度判定工控安全事件的级别,并根据级别对工控安全事件进行处理。本方法采用分级响应机制,服务器对工控安全事件进行分级,针对不同的级别区间采用不同的处理方式,可以快速地对工控安全事件进行响应,提高了对工业控制系统中的威胁的检测效率。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请一实施例提供的工控威胁检测方法的应用环境图;
图2是本申请一实施例提供的工控威胁检测方法的流程示意图;
图3是本申请一实施例提供的威胁特征提取步骤的流程示意图;
图4是本申请一实施例提供的相似度计算步骤的流程示意图;
图5是本申请一实施例提供的处理步骤的流程示意图;
图6是本申请另一实施例提供的工控威胁检测方法的流程示意图;
图7是本申请实施例提供的工控威胁检测装置的结构示意图;
图8是本申请实施例提供的终端设备的结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
图1是本申请一实施例提供的工控威胁检测方法的应用环境图。
本申请实施例提供的安全诱捕方法,可以应用于如图1所示的应用环境中。其中,工控设备终端102通过网络与服务器104进行通信。数据存储系统可以存储服务器104需要处理的数据。服务器104从工控威胁知识库中获取威胁对比数据,并从威胁对比数据中提取威胁特征,然后通过工控系统采集工控设备终端102的工业控制安全数据中提取工控安全特征,再将威胁特征与工控安全信息特征进行分析比较,得到威胁相似度;根据威胁相似度判定工控安全事件的级别,并根据级别对工控安全事件进行处理。
其中,工控设备终端102可以但不限于手机、平板电脑还可以是物联网设备和便携式可穿戴设备,物联网设备可为智能音箱、智能电视、智能空调、智能车载设备等。便携式可穿戴设备可为智能手表、智能手环、头戴设备等。服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
图2是本申请一实施例提供的工控威胁检测方法的流程示意图。
在一个实施例中,如图2所示,提供了一种工控威胁检测方法,以该方法应用于图1中的服务器104为例进行说明,包括以下步骤
S202,从工控威胁知识库中获取威胁对比数据,并从威胁对比数据中提取威胁特征。
其中,威胁对比数据是指与威胁事件相关的数据以及响应规则。工控威胁知识库中包含多种威胁对比数据,工控威胁知识库中的威胁事件相关数据和响应规则都按照指定格式进行存储。工控系统中的威胁事件可以包含以下一个或者多个事件的组合:无威胁、服务器拒绝服务、获取管理员权限、设备连接中断、越权访问资源、读取服务器任意文件内容、获得设备内存读访问权限、修改用户系统的注册表、未经身份验证请求密码存储文件和加载恶意DLL文件进行命令执行等。
需要说明的是,从该威胁对比数据中提取威胁特征是指从威胁对比数据中提取出威胁行为数据、威胁文件数据、威胁日志数据以及系统通用信息,然后从威胁行为数据、威胁文件数据、威胁日志数据以及工控系统的通用信息中提取威胁特征。
具体地,服务器从工控威胁知识库中获取威胁对比数据,并从威胁对比数据中采集出与威胁事件的行为数据、文件数据和日志数据,并从各种威胁对比数据中提取威胁特征。
S204,通过工控系统采集工控安全事件的工业控制安全数据,并从工业控制安全数据中提取工控安全特征。
其中,工控系统可以包括现场控制层、过程监控层和生产管理层。服务器获取关于智能工控系统运行的多个数据包,采集多个数据包中的工业控制安全数据,该工业控制安全数据包括工业控制行为数据、工业控制文件数据以及工业控制日志数据。
工控安全特征包括工控行为特征、工控文件特征以及工控日志特征等。其中工控行为特征是从工业控制行为数据中提取的,工控文件特征是从工业控制文件数据中提取的,工控日志特征是从工业控制日志数据中提取的。
具体的,服务器通过工控系统采集多个种类关于智能工控系统运行的数据包,并通过多个数据包中获取工业控制安全数据,将工业控制安全数据分为工业控制行为数据、工业控制文件数据以及工业控制日志数据,并分别从工业控制行为数据中提取工控行为特征,从工业控制文件数据中提取工控文件特征,从工业控制日志数据中提取工控日志特征。
S206,将威胁特征与工控安全信息特征进行分析比较,得到威胁相似度。
其中,威胁相似度是指威胁特征于工控安全信息特征之间的相关性的大小。
具体地,服务器将S202获取的威胁特征以及S204获取的工控安全特征进行分析对比,并计算出威胁特征以及工控安全特征之间的相关度,该相关度可以表征威胁特征与工控安全特征之间的威胁相似度。
S208,根据威胁相似度判定工控安全事件的级别,并根据级别对工控安全事件进行处理。
可以理解的是,不同的威胁相似度对应着不同的工控安全事件级别。威胁相似度越低,则代表工控安全事件的级别越低,则表示工控安全事件的威胁性越小。为了界定工控安全事件的级别则设定多个威胁相似度阈值,则根据多个威胁相似度阈值来划分多个工控安全事件级别。
对工控安全事件分级的不同,则代表着服务器可以根据工控安全事件级别对工控安全事件进行不同的处理。
具体地,服务器根据S206获取的威胁相似度来判定工控安全事件的级别,根据级别对工控安全事件进行不同的处理。
上述工控威胁检测方法中,服务器从工控威胁知识库中获取威胁对比数据,并从威胁对比数据中提取威胁特征,通过工控系统采集工控安全事件的工业控制安全数据,并从工业控制安全数据中提取工控安全特征,将威胁特征与工控安全信息特征进行分析比较得到威胁相似度,根据威胁相似度判定工控安全事件的级别,并根据级别对工控安全事件进行处理。本方法采用分级响应机制,服务器对工控安全事件进行分级,针对不同的级别区间采用不同的处理方式,可以快速地对工控安全事件进行响应,提高了对工业控制系统中的威胁的检测效率。
图3是本申请一实施例提供的威胁特征提取步骤的流程示意图。
在一个实施例中,威胁对比数据包括威胁文件数据、威胁行为数据和威胁日志数据;从工控威胁知识库中获取威胁对比数据,并从威胁事件数据中提取威胁特征,包括:
S302,将威胁文件数据利用信息摘要算法进行编码,得到威胁文件特征。
其中,信息摘要算法可以是MD5信息摘要算法,该算法是一种被广泛使用的密码散列函数,通过该函数可以产生一个128位(16字节)的散列值,用于确保信息传输完整的一致性。
具体地,针对文件数据服务器利用MD5信息摘要算法进行编码,得到威胁文件特征。
S304,对威胁行为数据进行计算得到将威胁行为特征。
记录下多个数据包在工控系统中的进程数据和操作数据,将进程数据和操作数据整合成威胁行为数据,同样地,利用算法从威胁行为数据中提取出威胁行为特征。
S306,从威胁日志数据中获取日志记录,从日志记录中提取威胁日志特征。
其中,威胁日志数据中包含了设备主体、事件发生时间和工控事件动作。通过将威胁日志数据中地设备主体、工控事件发生事件以及工控事件动作进行整合,得到威胁日志特征。
具体地,服务器从威胁日志数据中获取日志记录,日志记录中包含设备主体、工控事件发生事件和动作,再从日志记录中提取威胁日志特征。
S308,将威胁文件特征、威胁行为特征以及威胁日志特征整合成威胁特征。
服务器将S302获取的威胁文件特征,S304获取的威胁行为特征,S306获取的威胁日志特征进行整合,形成关于威胁行为特征、威胁文件特征和威胁日志特征的威胁特征函数。
本实施例中,通过将威胁对比数据分为威胁文件数据、威胁行为数据以及威胁日志数据三个维度,并从这三个维度中分别提取相应的特征,从而使得将威胁特征与工控安全特征地匹配更为准确。
同样地,工业控制安全数据包括工控文件数据、工控行为数据以及工控日志数据,通过工控系统采集工业控制安全数据,并从工业控制安全数据中提取工控安全特征,包括:将工控文件数据利用信息摘要算法进行编码,得到工控文件特征;对工控行为数据进行计算得到工控行为特征;从威胁日志数据中获取日志记录,从日志记录中提取工控日志特征;
将工控文件特征、工控行为特征以及工控日志特征整合成工控安全特征。
图4是本申请一实施例提供的相似度计算步骤的流程示意图。
在一实施例中,如图4所示,将威胁特征与工控安全特征进行分析比较,得到威胁相似度,包括:
S402,将威胁特征进行规格化处理,得到关于威胁文件特征、威胁行为特征以及威胁日志特征的威胁特征向量。
其中,规格化处理包含规范数据格式、数值归一化和数据降维三个阶段。规范数据格式是将所有特征数据转换成为数值形式;归一化是指将所有特征数据范围限定在[0,1]之间,可以让不同维度之间地特征在数值上有一定的可比较性。本实施例中采用的归一化方法可以是min-max标准化,公式为(X-Min)/(Max-Min)。数据降维是指计算特征数据的协方差矩阵、特征值以及特征向量,然后特征值的大小将特征向量按列排序生成新的矩阵,并按照贡献度对特征数据进行降维。
具体地,将威胁文件特征数据设为m,威胁行为特征数据设为a,威胁日志特征数据设为l,将威胁文件特征、威胁行为特征以及威胁日志特征的威胁特征进行整合,形成关于威胁文件特征数据m,威胁行为特征数据a以及威胁日志特征数据l地威胁特征,其中威胁特征可以用L(m,a,l)来表征。
S404,将工控安全特征进行规格化处理,得到关于工控文件特征、工控行为特征以及工控日志特征的工控安全特征向量。
同样的,为了将威胁特征与工控安全特征进行特征匹配,使用与威胁特征相同的表征方法进行表征,其中工控安全特征可以用F(m,a,l)来表征。
S406,计算威胁特征向量和工控安全特征向量之间的余弦相似度。
其中,余弦相似度又称为余弦相似性,是通过计算两个向量的夹角余弦值来评估两个向量之间的相似度。
具体地,服务器计算出威胁特征函数表达式和工控安全特征函数表达式之间地余弦相似度。
本实施例中,通过计算威胁特征向量与工控安全特征向量之间的余弦相似度,来显示工控安全特征与威胁特征的威胁相似度,从而威胁相似度来对工控安全事件采用不同的处理方式。
图5是本申请一实施例提供的处理步骤的流程示意图。
在一个实施例中,如图5所示,根据威胁相似度判定工控安全事件的级别,并根据级别对工控安全事件进行处理,包括:
S502,设定第一威胁阈值、第二威胁阈值以及第三威胁阈值;
具体地,服务器对于设定阈值T,设置响应级别边界T0、T1及T2。T的值作为一个触发边界,边界级别的值可以进行动态的校正。如果触发到某个边界的值过于频繁而对结果形成实质的影响,就要对T值进行调整。
S504,若威胁相似度小于第一威胁阈值,则判定工控安全事件为无威胁事件;
如果相似度S<T0(即满足触发响应的最小值),则视为安全行为,不进行工控威胁事件响应,则服务器判定工控安全事件为无威胁事件。
S506,若威胁相似度小于第二威胁阈值且大于第一威胁阈值,则判定工控安全事件为一级威胁事件;
对于T0≤S<T1的情况,服务器判定工控安全事件为一级威胁事件,并向工控威胁响应系统提供事件告警。由于这种情况下的相似度还不够高,只是存在某种出现危险的可能,此时只需要对此进行告警即可,通过这种告警的方式,还能提供一定程度的威胁预测。
S508,若威胁相似度小于第三威胁阈值且大于第二威胁阈值,则判定工控安全事件为二级威胁事件;
对于T1≤S<T2的情况,服务器工控安全事件为二级威胁事件,工控威胁响应系统提供对威胁事件结果的管理控制。工控威胁响应系统提供威胁进程管控,对有威胁的进程阻止启动,针对具有威胁的通信地址进行标定,对标定的危险地址拒绝访问。
S510,若威胁相似度大于第三威胁阈值,则判定工控安全事件为三级威胁事件。
对于S≥T2的情况,服务器判定工控安全事件为三级威胁事件,此时说明工控系统出现了比较大的安全威胁,考虑到工控系统的特殊性,很多处置需要靠相关人员手动完成,所以此时可以提供一个综合策略推荐,提交的方案由人工进行处理,保证工控系统运行的稳定性。
本实施例中采用分级响应机制,服务器对工控安全事件进行分级,针对不同的级别区间采用不同的处理方式,可以快速地对工控安全事件进行响应,提高了对工业控制系统中的威胁的检测效率。
图6是本申请另一实施例提供的工控威胁检测方法的流程示意图。
图6中的工控威胁检测系统模块中包含工控威胁知识库导入模块、威胁特征提取模块、工控系统信息采集模块、工控信息特征提取模块、安全威胁分析模块和安全事件响应处理模块。
其中,工控威胁知识库导入模块:主要获取一些和威胁时间相关的数据和响应的规则,进行整理,将涉及到威胁事件的相关数据按照指定的格式存储。
威胁特征提取模块:从上述采集的工控威胁知识中进行有效的提取,从中提取有关的文件、行为、系统通用信息和日志等与特征相关的内容,并对威胁特征进行采集。
工控系统信息采集模块:通过工控系统采集系统内部的有效数据,这些数据包括系统的文件、行为、系统通用信息和日志等内容。
工控信息特征提取模块:从上述的信息中按照指定的规则提取指定的工控安全信息特征,并将提取的特征进行存储。这些工业信息特征将会在后面的安全分析模块进行分析,具体的分析方案见威胁分析的具体实施方式。
安全威胁分析模块:这一模块在前述特征处理的基础上,需要将威胁特征提取模块提取的威胁特征和工控信息特征提取模块获取的特征均进行规格化处理后进行分析比较,如果威胁相似度超过某一阈值就进入安全事件响应模块进行处理。可以导入计算模板,实现安全分析的定制化处理。
安全事件响应处理模块:按照从安全威胁分析模块获取的结果进行模糊匹配,采用分级响应机制,符合不同的区间采用不同的处理方式。同时,为了能够快速准确地进行响应,针对分级响应的阈值采用动态调整的方式进行匹配。从告警到威胁管控、标定危险地址拒绝访问,在更高的处理级别需要考虑到工控场景的特殊性,按照对应的场景提供解决方案进行人工处理。
工控威胁检测方法包括以下步骤:
S1,服务器从工控威胁知识库中对威胁特征数据进行提取,通过工控系统信息采集模块采集工控系统中的工控信息特征。针对采集到的数据需要进行特征匹配,这里面的数据包括文件数据、行为数据及日志数据这几种类型。针对文件数据,在进行特征提取处理时可以采用获取数据的md5码进行记录,记为特征m,针对行为数据,可以通过对应的进程和操作计算一个行为特征值a,将系统的通用信息进行记录,不同的系统配置对系统的安全性有很高的影响,记录系统特征值o,针对日志文件可以通过获取日志记录等到特征值l。这样针对采集到的威胁数据,就能够得到一条诱捕威胁特征L(m,a,o,l)。通过类似的分析方法,可以得到工控安全信息采集的特征数据F(m,a,o,l),在后续的分析模块可以将这两者进行相似度分析,但是考虑到采集数据的多样性,在进行相似度匹配前首先要对数据进行规格化处理。
S2,在安全威胁分析模块中通过计算威胁特征与工控安全特征的之间的余弦相似度来表征工控安全特征与威胁特征之间的相关度。将规格化之后的诱捕威胁特征L(m,a,l)记作A:A(m,a,o,l)=M{L(m,a,o,l)}将规格化后的工控安全特征F(m,a,l)记作B:B(m,a,o,l)=M{F(m,a,o,,l)}
令n=3,上述关于A、B三元组的相似度分析如下:计算两个向量之间的余弦相似度公式可以如下所示:
S3,在安全事件相应处理模块中服务器获取相似度similarity,记作S,通过对相似的模糊匹配,得到不同的威胁响应处理方式:
对于设定阈值T,设置响应级别边界T0、T1及T2。T的值作为一个触发边界,边界级别的值可以进行动态的校正。如果触发到某个边界的值过于频繁而对结果形成实质的影响,就要对T值进行调整。
如果误报的情况过多,说明T值设置过低,频繁被触发,可以将T值进行上调。
如果在边界附近频繁出现威胁出发,说明T值设置过高,很多低于原值的威胁可能会漏报,需要将T值下调。
如果相似度S<T0(即满足触发响应的最小值),则视为安全行为,不进行工控威胁事件响应。
对于T0≤S<T1的情况,工控威胁响应系统提供事件告警。由于这种情况下的相似度还不够高,只是存在某种出现危险的可能,此时只需要对此进行告警即可,通过这种告警的方式,还能提供一定程度的威胁预测。
对于T1≤S<T2的情况,工控威胁响应系统在这里提供对威胁事件结果的管理控制。工控威胁响应系统提供威胁进程管控,对有威胁的进程阻止启动,针对危险的通信地址进行标定,对标定的危险地址拒绝访问。
对于S≥T2的情况,是工控系统出现了比较大的安全威胁,考虑到工控系统的特殊性,很多处置需要靠相关人员手动完成,所以此时可以提供一个综合策略推荐,提交的方案由人工进行处理,保证工控系统运行的稳定性。
应该理解的是,虽然如上的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图7所示,提供了一种工控威胁测试装置700,包括:威胁特征提取模块702、工控安全特征提取模块704、相似度计算模块706和处理模块708,其中:
威胁特征提取模块702,用于从工控威胁知识库中获取威胁对比数据,并从威胁对比数据中提取威胁特征;
工控安全特征提取模块704,用于通过工控系统采集工控安全事件的工业控制安全数据,并从工业控制安全数据中提取工控安全特征;
相似度计算模块706,用于将威胁特征与工控安全信息特征进行分析比较,得到威胁相似度;
处理模块708,用于根据威胁相似度判定工控安全事件的级别,并根据级别对工控安全事件进行处理。
在一个实施例中,威胁特征提取模块702,包括:第一特征提取子模块,用于将威胁文件数据利用信息摘要算法进行编码,得到威胁文件特征;第二特征提取子模块,用于对威胁行为数据进行计算得到将威胁行为特征;第三特征提取子模块,用于从威胁日志数据中获取日志记录,从日志记录中提取威胁日志特征;整合子模块,用于将威胁文件特征、威胁行为特征以及威胁日志特征整合成威胁特征。
在一个实施例中,工控安全特征提取模块704,包括:第一特征提取子模块,用于将工控文件数据利用信息摘要算法进行编码,得到工控文件特征;第二特征提取子模块,用于对工控行为数据进行计算得到工控行为特征;第三特征提取子模块,用于从威胁日志数据中获取日志记录,从日志记录中提取工控日志特征;整合子模块,用于将工控文件特征、工控行为特征以及工控日志特征整合成工控安全特征。
在一个实施例中,相似度计算模块706包括:第一向量获取子模块,用于将威胁特征进行规格化处理,得到关于威胁文件特征、威胁行为特征以及威胁日志特征的威胁特征向量;第二特征向量获取子模块,用于将工控安全特征进行规格化处理,得到关于工控文件特征、工控行为特征以及工控日志特征的工控安全特征向量;计算子模块,用于计算威胁特征向量和工控安全特征向量之间的余弦相似度。
在一个实施例中,处理模块708还用于:设定第一威胁阈值、第二威胁阈值以及第三威胁阈值;若威胁相似度小于第一威胁阈值,则判定工控安全事件为无威胁事件;若威胁相似度小于第二威胁阈值且大于第一威胁阈值,则判定工控安全事件为一级威胁事件;若威胁相似度小于第三威胁阈值且大于第二威胁阈值,则判定工控安全事件为二级威胁事件;若威胁相似度大于第三威胁阈值,则判定工控安全事件为三级威胁事件。
在一个实施例中,处理模块708还用于若工控安全事件为一级威胁事件,则向客户端发送事件告警信息;若工控安全事件为二级威胁事件,则对有威胁的进程进行阻止,并标定具有威胁的通信地址;若工控安全事件为三级威胁事件,则生成综合策略推荐至人工进行处理。
在一个实施例中,该工控威胁测试装置还用于若工控安全事件被认定为威胁事件的频次超过了预设次数,则对第一威胁阈值进行调整。
上述机器人示教装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图8所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储路径轨迹数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种机器人示教方法。
本领域技术人员可以理解,图8中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (10)
1.一种工控威胁检测方法,其特征在于,所述工控威胁检测方法,包括:
从工控威胁知识库中获取威胁对比数据,并从所述威胁对比数据中提取威胁特征;
通过工控系统采集工控安全事件的工业控制安全数据,并从所述工业控制安全数据中提取工控安全特征;
将所述威胁特征与所述工控安全信息特征进行分析比较,得到威胁相似度;
根据所述威胁相似度判定所述工控安全事件的级别,并根据所述级别对所述工控安全事件进行处理。
2.如权利要求1所述的工控威胁检测方法,其特征在于,所述威胁对比数据包括威胁文件数据、威胁行为数据和威胁日志数据;所述从工控威胁知识库中获取威胁对比数据,并从所述威胁对比数据中提取威胁特征,包括:
将所述威胁文件数据利用信息摘要算法进行编码,得到威胁文件特征;
对所述威胁行为数据进行计算得到将威胁行为特征;
从所述威胁日志数据中获取日志记录,从所述日志记录中提取威胁日志特征;
将所述威胁文件特征、所述威胁行为特征以及所述威胁日志特征整合成威胁特征。
3.如权利要求1所述的工控威胁检测方法,其特征在于,所述工业控制安全数据包括工控文件数据、工控行为数据以及工控日志数据,所述通过工控系统采集工业控制安全数据,并从所述工业控制安全数据中提取工控安全特征,包括:
将所述工控文件数据利用信息摘要算法进行编码,得到工控文件特征;
对所述工控行为数据进行计算得到工控行为特征;
从所述威胁日志数据中获取日志记录,从所述日志记录中提取工控日志特征;
将所述工控文件特征、所述工控行为特征以及工控日志特征整合成工控安全特征。
4.如权利要求1所述的工控威胁测试方法,其特征在于,所述将所述威胁特征与所述工控安全特征进行分析比较,得到威胁相似度,包括:
将所述威胁特征进行规格化处理,得到关于所述威胁文件特征、所述威胁行为特征以及所述威胁日志特征的威胁特征向量;
将所述工控安全特征进行规格化处理,得到关于所述工控文件特征、所述工控行为特征以及工控日志特征的工控安全特征向量;
计算所述威胁特征向量和所述工控安全特征向量之间的余弦相似度。
5.如权利要求1所述的工控威胁测试方法,其特征在于,所述根据所述威胁相似度判定所述工控安全事件的级别,包括:
设定第一威胁阈值、第二威胁阈值以及第三威胁阈值;
若所述威胁相似度小于所述第一威胁阈值,则判定所述工控安全事件为无威胁事件;
若所述威胁相似度小于所述第二威胁阈值且大于所述第一威胁阈值,则判定所述工控安全事件为一级威胁事件;
若所述威胁相似度小于所述第三威胁阈值且大于所述第二威胁阈值,则判定所述工控安全事件为二级威胁事件;
若所述威胁相似度大于所述第三威胁阈值,则判定所述工控安全事件为三级威胁事件。
6.如权利要求1所述的工控威胁测试方法,其特征在于,所述根据所述级别对所述工控安全事件进行处理,包括:
若所述工控安全事件为一级威胁事件,则向客户端发送事件告警信息;
若所述工控安全事件为二级威胁事件,则对有威胁的进程进行阻止,并标定具有威胁的通信地址;
若所述工控安全事件为三级威胁事件,则生成综合策略推荐至人工进行处理。
7.如权利要求5所述的工控威胁测试方法,其特征在于,所述方法还包括:
若所述工控安全事件被认定为威胁事件的频次超过了预设次数,则对所述第一威胁阈值进行调整。
8.一种工控威胁测试装置,其特征在于,所述装置包括:
威胁特征提取模块,用于从工控威胁知识库中获取威胁对比数据,并从所述威胁对比数据中提取威胁特征;
工控安全特征提取模块,用于通过工控系统采集工控安全事件的工业控制安全数据,并从所述工业控制安全数据中提取工控安全特征;
相似度计算模块,用于将所述威胁特征与所述工控安全信息特征进行分析比较,得到威胁相似度;
处理模块,用于根据所述威胁相似度判定所述工控安全事件的级别,并根据所述级别对所述工控安全事件进行处理。
9.一种终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述的方法。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210176714.2A CN114598514A (zh) | 2022-02-24 | 2022-02-24 | 工控威胁检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210176714.2A CN114598514A (zh) | 2022-02-24 | 2022-02-24 | 工控威胁检测方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114598514A true CN114598514A (zh) | 2022-06-07 |
Family
ID=81806259
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210176714.2A Pending CN114598514A (zh) | 2022-02-24 | 2022-02-24 | 工控威胁检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114598514A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115134125A (zh) * | 2022-06-09 | 2022-09-30 | 重庆伏特猫科技有限公司 | 一种基于数据路由网关的数据采集与监控方法 |
| CN115499238A (zh) * | 2022-09-30 | 2022-12-20 | 北京珞安科技有限责任公司 | 基于工控行为分析的工控网络威胁分析方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20200204569A1 (en) * | 2018-12-19 | 2020-06-25 | Cisco Technology, Inc. | Instant network threat detection system |
| CN111859400A (zh) * | 2020-07-29 | 2020-10-30 | 中国工商银行股份有限公司 | 风险评估方法、装置、计算机系统和介质 |
| CN112184091A (zh) * | 2020-12-01 | 2021-01-05 | 杭州木链物联网科技有限公司 | 工控系统安全威胁评估方法、装置和系统 |
| CN112653669A (zh) * | 2020-12-04 | 2021-04-13 | 智网安云(武汉)信息技术有限公司 | 网络终端安全威胁预警方法、系统及网络终端管理装置 |
| CN112769815A (zh) * | 2021-01-04 | 2021-05-07 | 北京蓝军网安科技发展有限责任公司 | 一种智能工控安全监控与防护方法和系统 |
| US20210192057A1 (en) * | 2019-12-24 | 2021-06-24 | Sixgill Ltd. | Information security risk management |
| CN114006778A (zh) * | 2022-01-05 | 2022-02-01 | 北京微步在线科技有限公司 | 一种威胁情报的识别方法、装置、电子设备及存储介质 |
-
2022
- 2022-02-24 CN CN202210176714.2A patent/CN114598514A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20200204569A1 (en) * | 2018-12-19 | 2020-06-25 | Cisco Technology, Inc. | Instant network threat detection system |
| US20210192057A1 (en) * | 2019-12-24 | 2021-06-24 | Sixgill Ltd. | Information security risk management |
| CN111859400A (zh) * | 2020-07-29 | 2020-10-30 | 中国工商银行股份有限公司 | 风险评估方法、装置、计算机系统和介质 |
| CN112184091A (zh) * | 2020-12-01 | 2021-01-05 | 杭州木链物联网科技有限公司 | 工控系统安全威胁评估方法、装置和系统 |
| CN112653669A (zh) * | 2020-12-04 | 2021-04-13 | 智网安云(武汉)信息技术有限公司 | 网络终端安全威胁预警方法、系统及网络终端管理装置 |
| CN112769815A (zh) * | 2021-01-04 | 2021-05-07 | 北京蓝军网安科技发展有限责任公司 | 一种智能工控安全监控与防护方法和系统 |
| CN114006778A (zh) * | 2022-01-05 | 2022-02-01 | 北京微步在线科技有限公司 | 一种威胁情报的识别方法、装置、电子设备及存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| 刘辉等: "软件重构技术研究", 北京理工大学出版社, pages: 89 * |
| 高洋;王礼伟;任望;谢丰;莫晓锋;罗熊;王卫苹;杨玺;: "基于强化学习的工控系统恶意软件行为检测方法", 工程科学学报, no. 04, pages 59 - 66 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115134125A (zh) * | 2022-06-09 | 2022-09-30 | 重庆伏特猫科技有限公司 | 一种基于数据路由网关的数据采集与监控方法 |
| CN115499238A (zh) * | 2022-09-30 | 2022-12-20 | 北京珞安科技有限责任公司 | 基于工控行为分析的工控网络威胁分析方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Yumlembam et al. | Iot-based android malware detection using graph neural network with adversarial defense | |
| CN114598514A (zh) | 工控威胁检测方法及装置 | |
| CN113711559B (zh) | 检测异常的系统和方法 | |
| Ishaque et al. | Feature extraction using deep learning for intrusion detection system | |
| US10083194B2 (en) | Process for obtaining candidate data from a remote storage server for comparison to a data to be identified | |
| CN108234426B (zh) | Apt攻击告警方法和apt攻击告警装置 | |
| Gong et al. | Utilizing deep learning for enhancing network resilience in finance | |
| CN117544420A (zh) | 一种基于数据分析的融合系统安全管理方法及系统 | |
| CN115189963A (zh) | 异常行为检测方法、装置、计算机设备及可读存储介质 | |
| EP4111660A1 (en) | Cyberattack identification in a network environment | |
| CN117061254B (zh) | 异常流量检测方法、装置和计算机设备 | |
| CN110598397A (zh) | 一种基于深度学习的Unix系统用户恶意操作检测方法 | |
| CN111709021B (zh) | 一种基于海量告警的攻击事件识别方法及电子装置 | |
| Majd et al. | Ransomware classification using machine learning | |
| CN116886335A (zh) | 一种数据安全管理系统 | |
| Lu et al. | One intrusion detection method based on uniformed conditional dynamic mutual information | |
| EP4254241A1 (en) | Method and device for image-based malware detection, and artificial intelligence-based endpoint detection and response system using same | |
| CN113162904B (zh) | 一种基于概率图模型的电力监控系统网络安全告警评估方法 | |
| Edosa | Comparative Analysis of Performance and Influence of PCA On Machine Learning Models Leveraging The NSL-KDD Dataset | |
| Ukil | Application of Kolmogorov complexity in anomaly detection | |
| Bhuvaneswari et al. | NIDS: An Efficient Network Intrusion Detection Model for Security of Big Data Using Different Machine Learning classifiers. | |
| CN115085965B (zh) | 电力系统信息网络受攻击风险评估方法、装置和设备 | |
| Ahmad et al. | Hybrid intrusion detection method to increase anomaly detection by using data mining techniques | |
| CN118709187A (zh) | 应用安全校验方法、装置、计算机设备和存储介质 | |
| Zheng et al. | Model-free based Real-time Authentication Framework for Distributed Synchrophasors |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20220607 |