CN115001934A - 一种工控安全风险分析系统及方法 - Google Patents
一种工控安全风险分析系统及方法 Download PDFInfo
- Publication number
- CN115001934A CN115001934A CN202210450625.2A CN202210450625A CN115001934A CN 115001934 A CN115001934 A CN 115001934A CN 202210450625 A CN202210450625 A CN 202210450625A CN 115001934 A CN115001934 A CN 115001934A
- Authority
- CN
- China
- Prior art keywords
- data
- analysis
- industrial control
- safety
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 42
- 238000012502 risk assessment Methods 0.000 title claims abstract description 32
- 238000004458 analytical method Methods 0.000 claims abstract description 71
- 238000001514 detection method Methods 0.000 claims abstract description 48
- 238000007781 pre-processing Methods 0.000 claims abstract description 11
- 238000007405 data analysis Methods 0.000 claims description 32
- 238000012544 monitoring process Methods 0.000 claims description 28
- 230000015654 memory Effects 0.000 claims description 24
- 238000012545 processing Methods 0.000 claims description 13
- 238000005516 engineering process Methods 0.000 claims description 10
- 238000013500 data storage Methods 0.000 claims description 9
- 238000010219 correlation analysis Methods 0.000 claims description 5
- 238000007689 inspection Methods 0.000 claims description 5
- 238000013145 classification model Methods 0.000 claims description 3
- 238000012216 screening Methods 0.000 claims description 3
- 238000012800 visualization Methods 0.000 claims description 2
- 230000006870 function Effects 0.000 abstract description 20
- 230000008447 perception Effects 0.000 abstract description 13
- 230000004931 aggregating effect Effects 0.000 abstract description 8
- 238000004891 communication Methods 0.000 description 11
- 238000012549 training Methods 0.000 description 10
- 238000013135 deep learning Methods 0.000 description 9
- 230000006399 behavior Effects 0.000 description 8
- 230000007547 defect Effects 0.000 description 8
- 238000007726 management method Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 5
- 239000011159 matrix material Substances 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 4
- 238000012423 maintenance Methods 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 238000013528 artificial neural network Methods 0.000 description 3
- 239000000463 material Substances 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 239000000284 extract Substances 0.000 description 2
- 238000005206 flow analysis Methods 0.000 description 2
- 238000009432 framing Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000013508 migration Methods 0.000 description 2
- 230000005012 migration Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000010606 normalization Methods 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 244000035744 Hura crepitans Species 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 238000009412 basement excavation Methods 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000013499 data model Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000005284 excitation Effects 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000010191 image analysis Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 210000002569 neuron Anatomy 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000000611 regression analysis Methods 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 239000000779 smoke Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000000547 structure data Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/04—Network management architectures or arrangements
- H04L41/044—Network management architectures or arrangements comprising hierarchical management structures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/147—Network analysis or design for predicting network behaviour
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Abstract
本发明公开一种工控安全风险分析系统及方法,系统包括:包括:基础平台层、服务架构层以及安全检测层,其中,基础平台层,用于获取工控系统的基础数据,对基础数据进行预处理,并将预处理后的数据进行存储;服务架构层,用于对基础平台层存储的数据进行读取,并对读取到的数据进行分析,确定分析结果;安全检测层,用于利用分析结果对工控系统进行风险检测,并生成风险告警信息。本发明基于广义径向基函数的多维度安全风险感知模型的预测结果与安全实际态势基本相同,模型预测准确率和召回率高;安全日志流量视频数据聚合及精准威胁告警;并可按信息类别展示告警信息,还能在发生安全事件后追溯事件起因。
Description
技术领域
本发明涉及工业控制安全风险评估技术领域,具体涉及一种工控安全风险分析系统及方法。
背景技术
随着大数据以及工业智能化时代的到来,工业控制系统正朝着更加复杂和智能的方向演进。然而网络环境的巨大变迁,使得工业控制系统面临着更加严峻的威胁。当前工控系统面临的网络安全方面的主要问题包括:
网络安全风险警报不准确,安全运维人员忙于处理无关紧要的风险警报,而没有时间处理真正重要的告警信息。加之,安全从业人员匮乏已是众所周知,安全运维人员尤其紧缺,在这种情况下,迫切需要提高告警的准确率;安全工具叠加部署,安全运维人员同时管理多个设备,日常管理效率较低;
网络安全风险警报分散或不全面,虽然有的工控系统中部署了有很多网络安全检测产品,但是告警信息在不同的产品显示,由不同的人员管理,无法进行集中分析,统一处理,容易造成安全隐患处理不及时,导致严重后果;
网络安全事件跟踪溯源能力较弱,需提升安全运维人员对网络安全事件的回溯能力,尤其是在发电机组故障出现以及故障查找的过程当中,日志、流量、视频数据采集到不同设备上,无法实现综合分析,无法迅速准确地确定安全事件的起因和入侵者的来源。
发明内容
有鉴于此,本发明实施例提供了一种工控安全风险分析系统及方法,解决了现有技术中的风险告警准确率低下、告警过程实时性差、效率低等问题。
根据第一方面,本发明实施例提供了一种工控安全风险分析系统,包括:基础平台层、服务架构层以及安全检测层,其中,
所述基础平台层,用于获取工控系统的基础数据,对所述基础数据进行预处理,并将预处理后的数据进行存储;
所述服务架构层,用于对所述基础平台层存储的数据进行读取,并对读取到的数据进行分析,确定分析结果;
所述安全检测层,用于利用所述分析结果对所述工控系统进行风险检测,并生成风险告警信息。
本发明实施例提供的工控安全风险分析系统,基于广义径向基函数的多维度安全风险感知模型的预测结果与安全实际态势基本相同,模型预测准确率和召回率高;安全日志流量视频数据聚合及精准威胁告警。从逻辑层面和物理层面进行全方位安全威胁检测,采用AI模型深度学习算法将安全告警信息形成简洁的安全事件呈现给用户,不断提高自身的告警准确率,克服了传统设备告警数量巨大、误报率高等缺点;并可按信息类别展示告警信息,还能在发生安全事件后追溯事件起因。
结合第一方面,在第一方面第一实施方式中,所述基础平台层包括:数据采集模块、数据预处理模块以及数据存储模块,其中,
所述数据采集模块,用于获取所述工控系统的协议数据、监控数据以及系统日志;
所述数据预处理模块,用于按照预设标准对所述协议数据、所述监控数据以及所述系统日志进行筛选,确定满足预设要求的基础数据;
所述数据存储模块,用于利用分布式存储方式对预处理后的数据按照分类标准分别进行存储。
结合第一方面第一实施方式,在第一方面第二实施方式中,所述服务架构层,包括:数据读取模块以及数据分析模块,其中,
所述数据读取模块,用于利用分布式索引读取所述数据存储模块中存储的数据;
所述数据分析模块,用于分别对存储的不同数据进行对应的数据分析,确定各个分析结果。
结合第一方面第二实施方式,在第一方面第三实施方式中,所述数据分析模块,包括:协议分析单元、监控数据分析单元以及系统日志分析单元,其中,
所述协议分析单元,用于对所述协议数据进行特征提取,并利用深度报文检测技术对提取特征的所述协议数据进行解析,确定协议解析结果;
所述监控数据分析单元,用于利用数据分类模型对所述监控数据进行数据分类,以确定监控数据分析结果;
所述系统日志分析单元,用于对各类设备的日志进行解析,对各类设备的安全事件进行范式化,并对各个解析结果进行关联分析,以确定日志分析结果。
结合第一方面第二实施方式,在第一方面第四实施方式中,所述数据分析模块,还包括:攻击追踪单元,用于利用预设分类标准对攻击事件进行阶段分类,以实现对所述攻击事件的阻止。
结合第一方面第二实施方式,在第一方面第五实施方式中,所述数据分析模块,还包括:大数据分析单元,用于利用不同系统架构对不同类型的数据进行批量处理。
结合第一方面,在第一方面第六实施方式中,所述系统还包括:告警信息显示模块,用于对风险告警信息进行各种方式的显示,以实现结果的可视化。
本发明实施例提供的工控安全风险分析系统,基于广义径向基函数的多维度安全风险感知模型的预测结果与安全实际态势基本相同,模型预测准确率和召回率高;安全日志流量视频数据聚合及精准威胁告警。从逻辑层面和物理层面进行全方位安全威胁检测,采用AI模型深度学习算法将安全告警信息形成简洁的安全事件呈现给用户,不断提高自身的告警准确率,克服了传统设备告警数量巨大、误报率高等缺点;并可按信息类别展示告警信息,还能在发生安全事件后追溯事件起因。
根据第二方面,本发明实施例提供的工控安全风险分析方法,包括:
采集工控系统的基础数据,所述基础数据包括:协议数据、监控数据以及系统日志;
分别对所述基础数据进行数据分析,确定对应的分析结果;
根据各个所述分析结果进行风险检测,并生成风险告警信息。
本发明实施例提供的工控安全风险分析方法,基于广义径向基函数的多维度安全风险感知模型的预测结果与安全实际态势基本相同,模型预测准确率和召回率高;安全日志流量视频数据聚合及精准威胁告警。从逻辑层面和物理层面进行全方位安全威胁检测,采用AI模型深度学习算法将安全告警信息形成简洁的安全事件呈现给用户,不断提高自身的告警准确率,克服了传统设备告警数量巨大、误报率高等缺点;并可按信息类别展示告警信息,还能在发生安全事件后追溯事件起因。
根据第三方面,本发明实施例提供了一种电子设备,包括:存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行第二方面或者第二方面的任意一种实施方式中所述的工控安全风险分析方法。
根据第四方面,本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行第二方面或者第二方面的任意一种实施方式中所述的工控安全风险分析方法。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例的工控安全风险分析系统的示意图;
图2是根据本发明优选实施例的工控安全风险分析系统各模块的示意图;
图3是根据本发明优选实施例的大数据核心技术架构图;
图4是根据本发明优选实施例的工控安全风险分析方法的流程图;
图5是本发明实施例提供的电子设备的硬件结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
随着大数据以及工业智能化时代的到来,工业控制系统正朝着更加复杂和智能的方向演进。然而网络环境的巨大变迁,使得工业控制系统面临着更加严峻的威胁。当前工控系统面临的网络安全方面的问题,然而现有技术中的风险告警面临着准确率低下、告警过程实时性差、效率低等问题。
为解决上述问题,在本实施例中还提供了一种工控安全风险分析系统,如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的系统较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
因此,针对上述问题,本发明公开了工控安全风险分析系统,如图1所示,包括:基础平台层1、服务架构层2以及安全检测层3,其中,基础平台层1,用于获取工控系统的基础数据,对基础数据进行预处理,并将预处理后的数据进行存储;服务架构层2,用于对基础平台层1存储的数据进行读取,并对读取到的数据进行分析,确定分析结果;安全检测层3,用于利用分析结果对工控系统进行风险检测,并生成风险告警信息。
本实施例提供的工控安全风险分析系统,基于广义径向基函数的多维度安全风险感知模型的预测结果与安全实际态势基本相同,模型预测准确率和召回率高;安全日志流量视频数据聚合及精准威胁告警。从逻辑层面和物理层面进行全方位安全威胁检测,采用AI模型深度学习算法将安全告警信息形成简洁的安全事件呈现给用户,不断提高自身的告警准确率,克服了传统设备告警数量巨大、误报率高等缺点;并可按信息类别展示告警信息,还能在发生安全事件后追溯事件起因。
在另一具体实施例中,如图2所示,基础平台层1包括:数据采集模块、数据预处理模块以及数据存储模块,其中,
数据采集模块,用于获取工控系统的协议数据、监控数据以及系统日志;通过不同的感知器进行数据采集,其中流量采集器用于采集协议数据,视频监控采集主要对监控数据进行采集并将告警监控数据发给视频告警采集器,日志采集器主要采集系统日志数据,文件沙箱采集各种文件信息。
数据预处理模块,用于按照预设标准对协议数据、监控数据以及系统日志进行筛选,确定满足预设要求的基础数据;上述数据采集后形成元数据,对元数据分别进行管理,然后对这些元数据进行预处理,其中包括数据过滤、数据标准化以及数据富化。
数据存储模块,用于利用分布式存储方式对预处理后的数据按照分类标准分别进行存储。对所有数据进行分布式存储,通过在线或者离线的计算方法将不同的数据存储到不同的库中,例如:告警事件库中存储告警事件、资产设备库存储各个设备的信息、安全知识库存储各种安全相关的标准信息、威胁情报库存储对工控系统有威胁的情报以及威胁检测模型库存储对数据进行检测的数据模型。并且通过分布式索引便于对存储的数据进行提取,有效的提高的安全风险预警的效率。
基于工业控制系统的多维度安全风险感知分析系统研究是为了解决工控企业以上问题而设计,主要提升工控系统以下网络安全防护能力:
1)本系统研究使用AI行为建模分析,通过使用监督式学习,利用基于广义径向基函数多维度感知技术,大幅提升对已知威胁和未知威胁的识别准确率。
2)解决工控企业网络安全风险信息零散、警报分散的情况,本系统不仅支持传统网络安全常见协议分析,还支持广泛的工业控制系统协议解析和日志范式化处理、视频图像识别,可提高工控企业网络安全风险检测能力,更全面呈现网络和物理环境中存在的安全隐患。
3)解决工控企业日常管理效率较低,本系统有助于提升工控系统的网络安全防御能力和日常管理效率,通过综合物理层面和网络层面集中监测预警,减少安全管理的难度,提升日常管理效率。
4)解决工控企业网络安全跟踪溯源能力较差的问题,本系统可提升企业的安全事件回溯能力,尤其是在工控系统故障出现以及故障查找的过程当中,通过日志分析、流量检测、视频图像分析,高效开展全方面的调查,从而确定事故的原因和入侵的来源。
具体地,本实施例中的服务架构层2,包括:数据读取模块以及数据分析模块,其中,数据读取模块,用于利用分布式索引读取数据存储模块中存储的数据;数据分析模块,用于分别对存储的不同数据进行对应的数据分析,确定各个分析结果。
本实施例中数据分析模块,包括:协议分析单元、监控数据分析单元以及系统日志分析单元,其中,协议分析单元,用于对协议数据进行特征提取,并利用深度报文检测技术对提取特征的协议数据进行解析,确定协议解析结果;广泛的协议解析,包括位特征、字节特征、会话特征、行为特征、统计特征等。此外,本系统通过与被扫描设备多个会话深度交互,获得设备更详细信息。例如:通过modbus协议深度交互,模拟Unity Pro XL软件与被扫描设备交互。该软件使用modbus 90功能码进行通信,协议内容无加密、无认证,可以仿真交互。通过modbus 90功能码进行身份识别与握手请求,读取CPU模块、内存卡和工程项目信息,通过modbus 43功能码读取设备型号、固件版本号等信息。支持对ModbusTCP、Ethernet/IP、OPC、Simens S7、IEC60870-104等二十余种主流工业控制协议的深度解析,还能识别SCADA、PLC、RTU等十余种典型工控系统及设备类型。深度解析是采用基于DPI的识别方法,即Deep Packet Inspection深度报文检测。所谓的“深度”报文检测是相对于基于端口的识别方法而言。对整个L2-L7上的信息进行检测,对报文的分析扩张到了应用层。
监控数据分析单元,用于利用数据分类模型对监控数据进行数据分类,以确定监控数据分析结果;系统收集来自视频监控等第三方系统的人脸图像、穿戴着装、轨迹信息、出入人数信息、人流量信息、物品遗留信息、使用手机的行为图像视频信息。通过摄像机采集符合模型训练要求的用于模型训练的原始图片或视频数据,对于图片分类任务,为图片素材创建分类;对于物体检测任务,通过标注工具对图片中的目标物体进行框选和标记;对于图片分类任务,为图片素材创建分类;对于物体检测任务,通过标注工具对图片中的目标物体进行框选和标记;导入用于校验的图片素材对训练生成的模型进行初步校验,校验完成后可进行模型发布;可将校验完成的模型发布为云端API,生成云端推理服务;或下载模型并导入AI模型管理组件,使系统实现边缘推理和分析识别的能力。后续视频流推送到后台服务器中,系统便可对当前视频流进行分析、识别。系统对视频流进行识别,当视频流中出现一些与系统设定的条件不符合的情况,系统便会进行黑名单告警、陌生人告警、轨迹查询、出入人数统计、流量统计、安全帽佩戴检测、工作服检测、物品遗留侦测、使用手机侦测、烟火报警、火点识别、柜门开关检测等,并按信息类别展示告警信息,还能在发生安全事件后查看事件发生时的详情,以便事后追溯。
系统日志分析单元,用于对各类设备的日志进行解析,对各类设备的安全事件进行范式化,并对各个解析结果进行关联分析,以确定日志分析结果;将日志数据和流量信息、视频数据集中收集和分析,集日志审计和全流量深度解析、视频监控违规识别功能于一体,实现安全风险全方位感知和安全事件跟踪溯源、检测预警、统筹管理等功能。系统设计了安全日志解析组件,可以非常方便的实现各种类型的安全设备日志解析,对各厂家定义的安全事件进行范式化,并进行关联分析,实现安全体系安全能力的整合。从核心技术上区别于传统日志审计系统和全流量分析系统,从逻辑层面和物理层面进行全方位安全风险检测,采用AI模型深度学习算法将安全告警信息形成简洁的安全事件呈现给用户,AI模型通过不间断的自学习和优化,不断提高自身的告警准确率,克服了传统设备告警数量巨大、误报率高、风险检测不全面等缺点。
在实际应用中,具体通过威胁评估、检测进行安全威胁感知,通过威胁挖掘、研判进行安全威胁分析,利用情景推演、监测预警进行安全威胁预测,以便进行工控安全风险的全方面分析。其中还可以通过安全决策响应模块进行决策响应,最终通过执行器在网络设备或者端点代理端进行数据响应的执行。
数据分析模块,还包括:攻击追踪单元,用于利用预设分类标准对攻击事件进行阶段分类,以实现对攻击事件的阻止;基于流特征的“零”缓存检测技术和日志分析、视频告警信息结合,对攻击事件所处阶段进行研判,按照“侦查、投放、开发利用、通信、恶意活动”等进行分类;还可以追溯攻击者身份、攻击路线、攻击时间、攻击方法和手段、攻击原始报文等,便于安全人员采取针对性的措施对攻击事件进行阻止和调查取证。分类标准参照洛克希德·马丁公司开发的“网络杀伤链”模型(cyber kill chain)。
大数据分析单元,用于利用不同系统架构对不同类型的数据进行批量处理;大数据包括静态数据和动态数据,按时间跨度还可分为历史数据和实时数据,对于这些不同类型的数据有不同的计算处理方式。包括用来进行静态数据处理的批量数据处理框架、用来进行动态数据实时计算的流式计算框架、用来进行交互式数据查询的分析框架以及用来进行图结构数据处理的新型图计算框架,大数据核心技术架构如图3所示。
本实施例中,IT信息系统与OT工控网络统一威胁行为检测。实现了广泛的协议解析,包括位特征、字节特征、会话特征、行为特征、统计特征等;支持IT信息系统协议识别和分析,例如:HTTP、FTP、SMTP、telnet等;支持OT工控网络协议深度解析,例如:支持ModbusTCP、Ethernet/IP、OPC、Simens S7、IEC60870-104等二十余种主流工业控制协议。多维度网络安全风险感知系统可以针对正常网络和非正常的网络行为特征进行学习,利用基于广义径向基函数多维度预测技术,对报文自动提取特征和分类。基于广义径向基函数的神经网络安全态势模型[6]由输入X={x1,x2,…,xn}T∈Rn、网络权值W={w1,w2,…,wm}T∈RL *m、阈值V、求和单元∑()、激励函数f(x)、神经网络输出
j=1,2,···,m组成。
将流量、日志、视频数据经过分析处理后形成训练样本X={x1,x2,…,xn}T∈Rn,隐含层第j个神经元节点的输出计算公式为:
j=1,2,···,m,其中,cj为隐藏层第j个节点的高斯函数中心点。隐含层的所有输出为:
神经网络的输出是对隐藏层输出加权计算的结果:
j=1,2,···,m。
在训练时,学习率取0.03。训练过程如下:
1、各层的权值W随机输入。
2、根据训练目标进行对各层的权值调整,训练以预测值与标签的均方误差MSE<=0.01时达到训练要求。
3、训练结束,模型参数随之确定。
通过实验对比,基于广义径向基函数的多维度安全风险感知模型的预测结果与安全实际态势基本相同,模型预测准确率和召回率极高,优于基于时间序列的预测模型和基于回归分析的预测模型。根据一定时间内没有新报文分类来确定学习收敛,抽象化工业网络协议中网络威胁的可用变量与非可用变量,并转化成高维的矩阵向量模型,并作为下一阶段检测的依据,依据前一阶段学习到的矩阵向量模型进行检测,并预测其异常可能,对于超出预先配置的阈值的工业协议报文,标识为异常,并通过矩阵向量模型中的相关度、敏感度、阈值三个参数来调整模型,识别未知的网络攻击与威胁。
2、安全日志流量视频数据聚合及精准威胁告警。将日志数据和流量信息、视频数据集中收集和分析,集日志审计和全流量深度解析、视频监控违规识别功能于一体,系统设计了安全日志解析组件,可以非常方便的实现各种类型的安全设备日志解析,对各厂家定义的安全事件进行范式化,并进行关联分析,实现安全体系安全能力的整合。各个厂商的安全设备通过syslog协议发送安全日志到本系统,系统对日志进行归一化操作后存储到ElasticSearch,外部设备向平台相关接收设备正确发送日志后,接收设备的监听程序接收到日志,将日志交由解析引擎进行解析,解析引擎会提取数据并映射成为相应字段,最后解析结果将存放在es中以供后续使用。期间用户可由web端控制插件的绑定、启用或者禁用,同时会有监控程序定时监控插件状态,若插件有所更新会及时同步到解析引擎中。基于分布式的全文搜索引擎ElasticSearch,实现对海量日志的快速检索、统计;内置可视化分析模块,搜索、查看、交互存放在Elasticsearch索引里的数据,用户可以使用各种不同的图表、表格、地图等数据分析与可视化插件。实现网络安全威胁全方位感知和安全事件跟踪溯源、检测预警、统筹管理等功能。从核心技术上区别于传统日志审计系统和全流量分析系统,从逻辑层面和物理层面进行全方位安全威胁检测,采用AI模型深度学习算法将安全告警信息形成简洁的安全事件呈现给用户,AI模型通过不间断的自学习和优化,不断提高自身的告警准确率,克服了传统设备告警数量巨大、误报率高等缺点。
3、系统收集来自视频监控等第三方系统的人脸图像、穿戴着装、轨迹信息、出入人数信息、人流量信息、物品遗留信息、使用手机的行为图像视频信息,并推送视频流到后台服务器中分析、识别。采用深度学习算法对视频流进行黑名单告警、陌生人告警、轨迹查询、出入人数统计、流量统计、安全帽佩戴检测、工作服检测、物品遗留侦测、使用手机侦测、烟火报警、火点识别、柜门开关检测等,并按信息类别展示告警信息,还能在发生安全事件后追溯事件起因。
本实施例提供的工控安全风险分析系统,基于广义径向基函数的多维度安全风险感知模型的预测结果与安全实际态势基本相同,模型预测准确率和召回率高;安全日志流量视频数据聚合及精准威胁告警。从逻辑层面和物理层面进行全方位安全威胁检测,采用AI模型深度学习算法将安全告警信息形成简洁的安全事件呈现给用户,不断提高自身的告警准确率,克服了传统设备告警数量巨大、误报率高等缺点;并可按信息类别展示告警信息,还能在发生安全事件后追溯事件起因。
在本实施例中提供了一种工控安全风险分析方法,可用于电子设备,例如电脑、手机、平板电脑等。图4是根据本发明实施例的工控安全风险分析方法的流程图,如图4所示,该流程包括如下步骤:
S1,采集工控系统的基础数据。具体采集过程详细参见上述工控安全风险分析系统的实施例,在此不再赘述。
S2,分别对基础数据进行数据分析,确定对应的分析结果。具体分析过程根据数据不同类型进行不同分析,详细参见上述工控安全风险分析系统的实施例,在此不再赘述。
S3,根据各个分析结果进行风险检测,并生成风险告警信息。详细参见上述工控安全风险分析系统的实施例,在此不再赘述。
本实施例提供的工控安全风险分析方法,基于广义径向基函数的多维度安全风险感知模型的预测结果与安全实际态势基本相同,模型预测准确率和召回率高;安全日志流量视频数据聚合及精准威胁告警。从逻辑层面和物理层面进行全方位安全威胁检测,采用AI模型深度学习算法将安全告警信息形成简洁的安全事件呈现给用户,不断提高自身的告警准确率,克服了传统设备告警数量巨大、误报率高等缺点;并可按信息类别展示告警信息,还能在发生安全事件后追溯事件起因。
本发明实施例还提供一种电子设备,请参阅图5,图5是本发明可选实施例提供的一种电子设备的结构示意图,如图5所示,该电子设备可以包括:至少一个处理器601,例如CPU(Central Processing Unit,中央处理器),至少一个通信接口603,存储器604,至少一个通信总线602。其中,通信总线602用于实现这些组件之间的连接通信。其中,通信接口603可以包括显示屏(Display)、键盘(Keyboard),可选通信接口603还可以包括标准的有线接口、无线接口。存储器604可以是高速RAM存储器(Random Access Memory,易挥发性随机存取存储器),也可以是非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器604可选的还可以是至少一个位于远离前述处理器601的存储装置。其中处理器601可以结合图1所描述的系统,存储器604中存储应用程序,且处理器601调用存储器604中存储的程序代码,以用于执行上述任一方法步骤。
其中,通信总线602可以是外设部件互连标准(peripheral componentinterconnect,简称PCI)总线或扩展工业标准结构(extended industry standardarchitecture,简称EISA)总线等。通信总线602可以分为地址总线、数据总线、控制总线等。为便于表示,图5中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器604可以包括易失性存储器(英文:volatile memory),例如随机存取存储器(英文:random-access memory,缩写:RAM);存储器也可以包括非易失性存储器(英文:non-volatile memory),例如快闪存储器(英文:flash memory),硬盘(英文:hard diskdrive,缩写:HDD)或固态硬盘(英文:solid-state drive,缩写:SSD);存储器604还可以包括上述种类的存储器的组合。
其中,处理器601可以是中央处理器(英文:central processing unit,缩写:CPU),网络处理器(英文:network processor,缩写:NP)或者CPU和NP的组合。
其中,处理器601还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(英文:application-specific integrated circuit,缩写:ASIC),可编程逻辑器件(英文:programmable logic device,缩写:PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(英文:complex programmable logic device,缩写:CPLD),现场可编程逻辑门阵列(英文:field-programmable gate array,缩写:FPGA),通用阵列逻辑(英文:generic arraylogic,缩写:GAL)或其任意组合。
可选地,存储器604还用于存储程序指令。处理器601可以调用程序指令,实现如本申请图实施例中所示的工控安全风险分析方法。
本发明实施例还提供了一种非暂态计算机存储介质,计算机存储介质存储有计算机可执行指令,该计算机可执行指令可执行上述任意方法实施例中的工控安全风险分析方法。其中,存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random Access Memory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等;存储介质还可以包括上述种类的存储器的组合。
虽然结合附图描述了本发明的实施例,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。
Claims (10)
1.一种工控安全风险分析系统,其特征在于,包括:基础平台层、服务架构层以及安全检测层,其中,
所述基础平台层,用于获取工控系统的基础数据,对所述基础数据进行预处理,并将预处理后的数据进行存储;
所述服务架构层,用于对所述基础平台层存储的数据进行读取,并对读取到的数据进行分析,确定分析结果;
所述安全检测层,用于利用所述分析结果对所述工控系统进行风险检测,并生成风险告警信息。
2.根据权利要求1所述的系统,其特征在于,所述基础平台层包括:数据采集模块、数据预处理模块以及数据存储模块,其中,
所述数据采集模块,用于获取所述工控系统的协议数据、监控数据以及系统日志;
所述数据预处理模块,用于按照预设标准对所述协议数据、所述监控数据以及所述系统日志进行筛选,确定满足预设要求的基础数据;
所述数据存储模块,用于利用分布式存储方式对预处理后的数据按照分类标准分别进行存储。
3.根据权利要求2所述的系统,其特征在于,所述服务架构层,包括:数据读取模块以及数据分析模块,其中,
所述数据读取模块,用于利用分布式索引读取所述数据存储模块中存储的数据;
所述数据分析模块,用于分别对存储的不同数据进行对应的数据分析,确定各个分析结果。
4.根据权利要求3所述的系统,其特征在于,所述数据分析模块,包括:协议分析单元、监控数据分析单元以及系统日志分析单元,其中,
所述协议分析单元,用于对所述协议数据进行特征提取,并利用深度报文检测技术对提取特征的所述协议数据进行解析,确定协议解析结果;
所述监控数据分析单元,用于利用数据分类模型对所述监控数据进行数据分类,以确定监控数据分析结果;
所述系统日志分析单元,用于对各类设备的日志进行解析,对各类设备的安全事件进行范式化,并对各个解析结果进行关联分析,以确定日志分析结果。
5.根据权利要求3所述的系统,其特征在于,所述数据分析模块,还包括:攻击追踪单元,用于利用预设分类标准对攻击事件进行阶段分类,以实现对所述攻击事件的阻止。
6.根据权利要求3所述的系统,其特征在于,所述数据分析模块,还包括:大数据分析单元,用于利用不同系统架构对不同类型的数据进行批量处理。
7.根据权利要求1所述的系统,其特征在于,还包括:告警信息显示模块,用于对风险告警信息进行各种方式的显示,以实现结果的可视化。
8.一种工控安全风险分析方法,其特征在于,包括:
采集工控系统的基础数据,所述基础数据包括:协议数据、监控数据以及系统日志;
分别对所述基础数据进行数据分析,确定对应的分析结果;
根据各个所述分析结果进行风险检测,并生成风险告警信息。
9.一种电子设备,其特征在于,包括:
存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行权利要求8所述的工控安全风险分析方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使计算机执行权利要求8所述的工控安全风险分析方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210450625.2A CN115001934A (zh) | 2022-04-27 | 2022-04-27 | 一种工控安全风险分析系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210450625.2A CN115001934A (zh) | 2022-04-27 | 2022-04-27 | 一种工控安全风险分析系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115001934A true CN115001934A (zh) | 2022-09-02 |
Family
ID=83024461
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210450625.2A Pending CN115001934A (zh) | 2022-04-27 | 2022-04-27 | 一种工控安全风险分析系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115001934A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115643115A (zh) * | 2022-12-23 | 2023-01-24 | 武汉大学 | 基于大数据的工控网络安全态势预测方法及系统 |
| CN115659307A (zh) * | 2022-10-18 | 2023-01-31 | 国家工业信息安全发展研究中心 | 现场工控终端设备的安全防护方法、装置、设备及介质 |
| CN115840907A (zh) * | 2023-02-16 | 2023-03-24 | 北京网藤科技有限公司 | 场景行为分析方法、装置、电子设备和介质 |
-
2022
- 2022-04-27 CN CN202210450625.2A patent/CN115001934A/zh active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115659307A (zh) * | 2022-10-18 | 2023-01-31 | 国家工业信息安全发展研究中心 | 现场工控终端设备的安全防护方法、装置、设备及介质 |
| CN115643115A (zh) * | 2022-12-23 | 2023-01-24 | 武汉大学 | 基于大数据的工控网络安全态势预测方法及系统 |
| CN115643115B (zh) * | 2022-12-23 | 2023-03-10 | 武汉大学 | 基于大数据的工控网络安全态势预测方法及系统 |
| CN115840907A (zh) * | 2023-02-16 | 2023-03-24 | 北京网藤科技有限公司 | 场景行为分析方法、装置、电子设备和介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Aljawarneh et al. | Anomaly-based intrusion detection system through feature selection analysis and building hybrid efficient model | |
| CN113098892B (zh) | 基于工业互联网的数据防泄漏系统以及方法 | |
| CN108471429B (zh) | 一种网络攻击告警方法及系统 | |
| CN107579956B (zh) | 一种用户行为的检测方法和装置 | |
| CN101751535B (zh) | 通过应用程序数据访问分类进行的数据损失保护 | |
| Cao et al. | Machine learning to detect anomalies in web log analysis | |
| CN106973038B (zh) | 基于遗传算法过采样支持向量机的网络入侵检测方法 | |
| CN110351244A (zh) | 一种基于多卷积神经网络融合的网络入侵检测方法及系统 | |
| CN115001934A (zh) | 一种工控安全风险分析系统及方法 | |
| CN114584405B (zh) | 一种电力终端安全防护方法及系统 | |
| CN108833185B (zh) | 一种网络攻击路线还原方法及系统 | |
| Tabash et al. | Intrusion detection model using naive bayes and deep learning technique. | |
| CN114679338A (zh) | 一种基于网络安全态势感知的网络风险评估方法 | |
| CN113642023A (zh) | 数据安全检测模型训练、数据安全检测方法、装置及设备 | |
| Dou et al. | Pc 2 a: predicting collective contextual anomalies via lstm with deep generative model | |
| Tian et al. | A digital evidence fusion method in network forensics systems with Dempster-shafer theory | |
| Gonaygunta | Machine learning algorithms for detection of cyber threats using logistic regression | |
| CN116662989B (zh) | 一种安全数据解析方法及系统 | |
| Hemdan et al. | Spark-based log data analysis for reconstruction of cybercrime events in cloud environment | |
| CN109313541A (zh) | 用于显示和比较攻击遥测资源的用户界面 | |
| CN115659351B (zh) | 一种基于大数据办公的信息安全分析方法、系统及设备 | |
| CN110955890B (zh) | 恶意批量访问行为的检测方法、装置和计算机存储介质 | |
| Salazar et al. | Monitoring approaches for security and safety analysis: application to a load position system | |
| Sun et al. | Advances in Artificial Intelligence and Security: 7th International Conference, ICAIS 2021, Dublin, Ireland, July 19-23, 2021, Proceedings, Part III | |
| CN114039765A (zh) | 一种配电物联网的安全管控方法、装置及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |