CN115102793A - 基于日志信息分析的工控网络安全策略匹配方法和系统 - Google Patents
基于日志信息分析的工控网络安全策略匹配方法和系统 Download PDFInfo
- Publication number
- CN115102793A CN115102793A CN202211019511.9A CN202211019511A CN115102793A CN 115102793 A CN115102793 A CN 115102793A CN 202211019511 A CN202211019511 A CN 202211019511A CN 115102793 A CN115102793 A CN 115102793A
- Authority
- CN
- China
- Prior art keywords
- industrial control
- control network
- security policy
- security
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及基于日志信息分析的工控网络安全策略匹配方法及系统,其特征在于,包括以下步骤:S1:配置安全策略并生成安全策略配置文件;S2:解析工控网络日志信息,获取工控网络当前安全风险的场景特征描述集;S3:将场景特征描述集与安全策略配置文件的适用性信息进行匹配,生成工控网络当前安全风险适用的安全策略配置文件库;S4:从安全策略配置文件库中调取安全策略配置文件,并解析该安全策略配置文件形成安全验证条件;S5:获取工控网络当前请求及请求的上下文信息,并与安全验证条件进行对比,做出安全验证结果。本发明所提供的对工控网络的日志信息进行解析,生成工控网络安全风险场景特征描述集,从而获取安全验证条件。
Description
技术领域
本发明涉及工业控制网络信息安全技术领域,具体涉及一种基于日志信息分析的工控网络安全策略匹配方法和系统。
背景技术
工控网络是用于驱动和调控工业设施体系的信息化网络,用于在工业智能化生产中进行各类指令和数据的传输,如果网络安全发生问题,会直接造成工业生产发生故障、瘫痪甚至事故,以及造成重要数据资源的外泄。因此,在面对网络安全问题时,一般会对工控网络采取安装保障网络安全的软硬件,比如安装防火墙来决定是否允许外部来访问工控网络内部的硬件设备或者数据资源或在工控网络内部不同的子网之间设置防火墙、设置黑白名单、以及对每款软件可以执行的操作或者可以访问的资源设置权限,设置文件或者数据保护软件来决定是否允许读写文件和数据,等等措施来保障网络安全。这些防火墙、黑白名单、保护软件都要设置并执行对应的“安全策略”,安全策略等级高,以上方面的各种限制条件就更严格,安全策略等级低,那以上各方面限制条件就可以更宽松。也就是说,安全策略的设置,可能是由很多因素来决定,例如,若工控网络是针对诸如电力、轨道交通、水库等涉及国计民生或者公共安全的,那就必然会更加严格;若工控网络封闭性强,比如是内网,安全策略方面的限制就可以放松一些;如果工控网络接入了互联网,来自互联网的黑客攻击可能更多,那安全策略的设置可以高一些。
然而,现有工控网络中对安全策略的设置比较固化,缺乏动态性,并没有考虑到工控网络的安全风险是动态变化的,例如,在没有黑客攻击时,网络安全状态比较好,风险就不高,反之风险就会增大。因此,在实际中,工控网络的安全风险是处于不断动态变化之中的,那么很显然,现有的工控网络中对安全策略的固化设置是难适应这种变化性网络风险的。
发明内容
本发明提供的基于日志信息分析的工控网络安全策略匹配方法和系统,能够解决上述过程中的技术问题。
本发明解决上述技术问题的技术方案如下:
第一方面,本发明提供了基于日志信息分析的工控网络安全策略匹配方法,包括以下步骤:
S1:配置安全策略并生成安全策略配置文件;
S2:解析工控网络日志信息,获取工控网络当前安全风险的场景特征描述集;
S3:将场景特征描述集与安全策略配置文件的适用性信息进行匹配,生成工控网络当前安全风险适用的安全策略配置文件库;
S4:从安全策略配置文件库中调取安全策略配置文件,并解析该安全策略配置文件形成安全验证条件;
S5:获取工控网络当前请求及请求的上下文信息,并与安全验证条件进行对比,做出安全验证结果。
在一些实施例中,所述S1包括:
S11:配置访问控制策略,设置工控网络中数据和文件访问请求的安全验证,以及设置在通过安全验证的情况下对数据和文件的访问范围和时限;
S12:配置资源调用控制策略,设置工控网络中软件和硬件资源调用请求的安全验证,以及设置在通过安全验证的情况下对软件和硬件资源调用的范围和级别;
S13:配置进程控制策略,设置工控网络中对于启动应用进程的请求的安全验证,以及设置在通过安全验证的情况下对应用进程的权限管理。
在一些实施例中,所述S2包括:
S21:获取工控网络当前日志信息,读取日志信息中的告警事件信息以及其他日志信息,并将告警事件信息类型以及发生频率作为告警统计指标纳入场景特征描述集;
S22:将每一条其他日志信息所对应事件类型以及发生频率作为其他统计指标,并与预设统计指标进行比较;
S23:根据比较结果,若所述其他统计指标落入了预设统计指标的范围,则将所述其他统计指标纳入场景特征描述集。
在一些实施例中,所述S3包括:
S31:将当前安全风险的场景特征描述集中告警统计指标以及其他统计指标,与安全策略配置文件中的适用性信息进行匹配;
S32:在安全策略配置文件中选取与所述告警统计指标以及其他统计指标匹配的安全策略配置文件,并生成工控网络当前安全风险适用的安全策略配置文件库。
在一些实施例中,所述步骤S5包括:
S51:通过交互接口获得面向工控网络的访问请求、调用请求或者应用进程启动请求;
S52:通过嵌入工控网络操作系统内核的钩子函数拦截所述访问请求、调用请求或者应用进程启动请求,并获取所述访问请求、调用请求或者应用进程启动请求的上下文信息;
S53:将所述访问请求、调用请求或者应用进程启动请求及其上下文信息,与步骤S4中形成的安全验证条件进行比对,并做出安全验证结果。
第二方面,本发明提供了基于日志信息分析的工控网络安全策略匹配系统,包括,
安全策略配置模块,用于配置安全策略并生成安全策略配置文件;
安全策略解析模块,用于解析工控网络日志信息,获取工控网络当前安全风险的场景特征描述集;
安全策略配置文件库生成模块,用于将场景特征描述集与安全策略配置文件的适用性信息进行匹配,生成工控网络当前安全风险适用的安全策略配置文件库;
安全验证条件生成模块,用于从安全策略配置文件库中调取安全策略配置文件,并解析该安全策略配置文件形成安全验证条件;
安全验证模块,用于获取工控网络当前请求及请求的上下文信息,并与安全验证条件进行对比,做出安全验证结果。
在一些实施例中,所述安全策略配置模块包括:
访问控制策略配置子模块,用于配置访问控制策略,设置工控网络中数据和文件访问请求的安全验证,以及设置在通过安全验证的情况下对数据和文件的访问范围和时限;
资源调用控制策略配置子模块,用于设置工控网络中软件和硬件资源调用请求的安全验证,以及设置在通过安全验证的情况下对软件和硬件资源调用的范围和级别;
进程控制策略配置子模块,用于设置工控网络中对于启动应用进程的请求的安全验证,以及设置在通过安全验证的情况下对应用进程的权限管理。
在一些实施例中,所述安全策略解析模块包括:
告警解析子模块,用于获取工控网络当前日志信息,读取日志信息中的告警事件信息以及其他日志信息,并将告警事件信息类型以及发生频率作为告警统计指标纳入场景特征描述集;
日志解析子模块,用于将每一条其他日志信息所对应事件类型以及发生频率作为其他统计指标,并与预设统计指标进行比较;
场景特征描述集生成子模块,用于根据比较结果,若所述其他统计指标落入了预设统计指标的范围,则将所述其他统计指标纳入场景特征描述集。
在一些实施例中,所述安全策略配置文件库生成模块包括:
安全策略匹配子模块,用于将当前安全风险的场景特征描述集中告警统计指标以及其他统计指标,与安全策略配置文件中的适用性信息进行匹配;
安全策略选取子模块,用于在安全策略配置文件中选取与所述告警统计指标以及其他统计指标匹配的安全策略配置文件,并生成工控网络当前安全风险适用的安全策略配置文件库。
在一些实施例中,所述安全验证模块包括:
请求获取子模块,用于通过交互接口获得面向工控网络的访问请求、调用请求或者应用进程启动请求;
请求拦截子模块,用于通过嵌入工控网络操作系统内核的钩子函数拦截所述访问请求、调用请求或者应用进程启动请求,并获取所述访问请求、调用请求或者应用进程启动请求的上下文信息;
请求验证子模块,用于将所述访问请求、调用请求或者应用进程启动请求及其上下文信息,与步骤S4中形成的安全验证条件进行比对,并做出安全验证结果。
本申请的有益效果是:
本申请提供基于日志信息分析的工控网络安全策略匹配方法及系统,能够对工控网络的日志信息进行解析,从而获取工控网络当前安全状态,并生成工控网络当前安全风险的场景特征描述集。根据工控网络当前安全风险的场景特征描述集,结合预先配置好的工控网络安全策略配置文件,即可获得工控网络当前安全风险适用的安全策略配置文件库,从而根据安全策略配置文件库中的配置文件,解析出其安全验证条件,进而根据安全验证条件,来对面向工控网络的各种请求进行安全验证。通过本方法,能够根据日志信息的实际记录,来分析当前工控网络所面临的安全环境状态,进而根据当前的安全环境状态来动态调整安全策略的配置。
附图说明
图1为本申请的基于日志信息分析的工控网络安全策略匹配方法流程图;
图2为本申请步骤S1的子流程图;
图3为本申请步骤S2的子流程图;
图4为本申请步骤S3的子流程图;
图5为本申请步骤S5的子流程图。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
为了能够更清楚地理解本申请的上述目的、特征和优点,下面结合附图和实施例对本公开作进一步的详细说明。可以理解的是,所描述的实施例是本公开的一部分实施例,而不是全部的实施例。此处所描述的具体实施例仅仅用于解释本公开,而非对本申请的限定。基于所描述的本申请的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
图1为本申请的基于日志信息分析的工控网络安全策略匹配方法流程图。
基于日志信息分析的工控网络安全策略匹配方法,结合图1,包括以下步骤:
S1:配置安全策略并生成安全策略配置文件;
在一些实施例中,结合图2,即本方案S1的子流程图,所述S1包括:
S11:配置访问控制策略,设置工控网络中数据和文件访问请求的安全验证,以及设置在通过安全验证的情况下对数据和文件的访问范围和时限;
S12:配置资源调用控制策略,设置工控网络中软件和硬件资源调用请求的安全验证,以及设置在通过安全验证的情况下对软件和硬件资源调用的范围和级别;
S13:配置进程控制策略,设置工控网络中对于启动应用进程的请求的安全验证,以及设置在通过安全验证的情况下对应用进程的权限管理。
具体的,本方案首先要对安全策略进行配置,而工控网络的安全策略主要包括有:(1)访问控制策略,即对于面向工控网络中的数据和文件的访问请求,根据预定的策略进行安全验证,根据验证结果决定该访问请求是否被允许,以及被允许的情况下对数据和文件的访问范围、时限;(2)资源调用控制策略,即对于面向工控网络中的软件和硬件资源的调用请求,根据预定的策略进行安全验证,根据验证结果决定是否允许该调用请求,以及被允许情况下对软硬件资源调用的范围和级别;(3)进程控制策略,即对于启动应用进程的请求,根据预定的策略进行安全验证,根据验证结果决定是否允许该应用进程启动,以及允许的情况下该应用进程被赋予的能力限制。对工控网络按照以上三种安全策略进行配置,生成相应的安全策略配置文件并保存。
S2:解析工控网络日志信息,获取工控网络当前安全风险的场景特征描述集;
在一些实施例中,结合图3,即本方案S2的子流程图,所述S2包括:
S21:获取工控网络当前日志信息,读取日志信息中的告警事件信息以及其他日志信息,并将告警事件信息类型以及发生频率作为告警统计指标纳入场景特征描述集;
S22:将每一条其他日志信息所对应事件类型以及发生频率作为其他统计指标,并与预设统计指标进行比较;
S23:根据比较结果,若所述其他统计指标落入了预设统计指标的范围,则将所述其他统计指标纳入场景特征描述集。
具体的,告警是日志信息的一个重要记录内容,针对每种不同严重性的告警类型,对其发生次数或者是时间单位(例如24小时)内的发生频率进行统计,得到的告警统计指标,是构成安全风险的场景特征描述集的一个重要部分,可直接纳入场景特征描述集。而非告警的其他日志信息,则需要通过将其他统计指标与预设统计指标进行比较,再判断是否应该将该条日志信息所对应的事件纳入到场景特征描述集内,在此举例说明,例如,日志信息反映了软件的开启以及执行;数据和文件的访问或者;硬件的调用;调用过程中的动作执行;用户或者终端IP在工控网络中访问情况;以及数据的传输和指令的下达,那么,基于这些一条一条的日志信息,将其对应事件类型以及发生频率作为其他统计指标,并与预设统计指标进行比较,若其他统计指标落入了预设统计指标的范围,则将其他统计指标纳入场景特征描述集。例如,对工控系统运行发挥核心作用的软件、硬件被调用的次数或频率,这些软硬件执行的各种具有不同权限等级的操作的统计次数或者频率,关键文件和重要数据被调取或者修改的次数和频率,外部访问用户或者终端的数量、集中度等等,这些统计指标也纳入到获得安全风险的场景特征描述集,作为其中的特征描述指标。最后得到的是一个综合各种指标的一个场景特征描述集,通过这个场景特征描述集,可以进一步来获得一个量化的综合评估值,比如可以采用对场景特征描述集中的各个指标按照权重来统计分值的方式,也可以把场景特征描述集的各种指标矢量化之后,输入到面向矢量的神经网络分类器,来分类值;安全策略配置文件的适用性信息也是对应的综合评估值或者分类值来设定。
S3:将场景特征描述集与安全策略配置文件的适用性信息进行匹配,生成工控网络当前安全风险适用的安全策略配置文件库;
在一些实施例中,结合图4,即本方案S3的子流程图,所述S3包括:
S31:将当前安全风险的场景特征描述集中告警统计指标以及其他统计指标,与安全策略配置文件中的适用性信息进行匹配;
S32:在安全策略配置文件中选取与所述告警统计指标以及其他统计指标匹配的安全策略配置文件,并生成工控网络当前安全风险适用的安全策略配置文件库。
具体的,当前安全风险的场景特征描述集是由告警统计指标和其他统计指标构成,包含了基于日志信息的当前网络安全风险指标,而安全策略配置文件中的适用性信息则包含了各种验证条件,通过将场景特征描述集与安全策略配置文件的适用性信息进行匹配,能够找到适用于当前网络环境的安全策略配置文件,将这些安全策略配置文件集合在一起即可生成当前安全风险适用的安全策略配置文件库。
S4:从安全策略配置文件库中调取安全策略配置文件,并解析该安全策略配置文件形成安全验证条件;
具体的,安全策略配置文件本身就是描述的各种验证条件;本步骤就是解析该文件把这些验证条件赋值给防火墙、黑白名单、访问控制、数据和文件保护软件,让这些软件来参照该验证条件执行S5的验证过程。
S5:获取工控网络当前请求及请求的上下文信息,并与安全验证条件进行对比,做出安全验证结果。
在一些实施例中,结合图4,即本方案S3的子流程图,所述步骤S5包括:
S51:通过交互接口获得面向工控网络的访问请求、调用请求或者应用进程启动请求;
S52:通过嵌入工控网络操作系统内核的钩子函数拦截所述访问请求、调用请求或者应用进程启动请求,并获取所述访问请求、调用请求或者应用进程启动请求的上下文信息;
S53:将所述访问请求、调用请求或者应用进程启动请求及其上下文信息,与步骤S4中形成的安全验证条件进行比对,并做出安全验证结果。
具体的,请求的上下文信息,包含了请求携带的各种参数,比如工控网络外的一个用户终端,发来一个对网络上某个文件的访问请求,该请求携带的上下文信息可以包括该用户终端的IP地址、用户权限、请求对该文件的访问权限(是只读还是可以修改)、请求访问文件的字段名等。将这些参数与安全验证条件进行对照看是否满足安全验证条件,即可对该用户终端做出安全验证结果。
本发明第二方面还提供了基于日志信息分析的工控网络安全策略匹配系统,包括:
安全策略配置模块,用于配置安全策略并生成安全策略配置文件;
安全策略解析模块,用于解析工控网络日志信息,获取工控网络当前安全风险的场景特征描述集;
安全策略配置文件库生成模块,用于将场景特征描述集与安全策略配置文件的适用性信息进行匹配,生成工控网络当前安全风险适用的安全策略配置文件库;
安全验证条件生成模块,用于从安全策略配置文件库中调取安全策略配置文件,并解析该安全策略配置文件形成安全验证条件;
安全验证模块,用于获取工控网络当前请求及请求的上下文信息,并与安全验证条件进行对比,做出安全验证结果。
在一些实施例中,所述安全策略配置模块包括:
访问控制策略配置子模块,用于配置访问控制策略,设置工控网络中数据和文件访问请求的安全验证,以及设置在通过安全验证的情况下对数据和文件的访问范围和时限;
资源调用控制策略配置子模块,用于设置工控网络中软件和硬件资源调用请求的安全验证,以及设置在通过安全验证的情况下对软件和硬件资源调用的范围和级别;
进程控制策略配置子模块,用于设置工控网络中对于启动应用进程的请求的安全验证,以及设置在通过安全验证的情况下对应用进程的权限管理。
在一些实施例中,所述安全策略解析模块包括:
告警解析子模块,用于获取工控网络当前日志信息,读取日志信息中的告警事件信息以及其他日志信息,并将告警事件信息类型以及发生频率作为告警统计指标纳入场景特征描述集;
日志解析子模块,用于将每一条其他日志信息所对应事件类型以及发生频率作为其他统计指标,并与预设统计指标进行比较;
场景特征描述集生成子模块,用于根据比较结果,若所述其他统计指标落入了预设统计指标的范围,则将所述其他统计指标纳入场景特征描述集。
在一些实施例中,所述安全策略配置文件库生成模块包括:
安全策略匹配子模块,用于将当前安全风险的场景特征描述集中告警统计指标以及其他统计指标,与安全策略配置文件中的适用性信息进行匹配;
安全策略选取子模块,用于在安全策略配置文件中选取与所述告警统计指标以及其他统计指标匹配的安全策略配置文件,并生成工控网络当前安全风险适用的安全策略配置文件库。
在一些实施例中,所述安全验证模块包括:
请求获取子模块,用于通过交互接口获得面向工控网络的访问请求、调用请求或者应用进程启动请求;
请求拦截子模块,用于通过嵌入工控网络操作系统内核的钩子函数拦截所述访问请求、调用请求或者应用进程启动请求,并获取所述访问请求、调用请求或者应用进程启动请求的上下文信息;
请求验证子模块,用于将所述访问请求、调用请求或者应用进程启动请求及其上下文信息,与步骤S4中形成的安全验证条件进行比对,并做出安全验证结果。
本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本申请的范围之内并且形成不同的实施例。
本领域的技术人员能够理解,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
虽然结合附图描述了本申请的实施方式,但是本领域技术人员可以在不脱离本申请的精神和范围的情况下做出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内以上,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
以上,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (10)
1.基于日志信息分析的工控网络安全策略匹配方法,其特征在于,包括以下步骤:
S1:配置安全策略并生成安全策略配置文件;
S2:解析工控网络日志信息,获取工控网络当前安全风险的场景特征描述集;
S3:将场景特征描述集与安全策略配置文件的适用性信息进行匹配,生成工控网络当前安全风险适用的安全策略配置文件库;
S4:从安全策略配置文件库中调取安全策略配置文件,并解析该安全策略配置文件形成安全验证条件;
S5:获取工控网络当前请求及请求的上下文信息,并与安全验证条件进行对比,做出安全验证结果。
2.根据权利要求1所述的基于日志信息分析的工控网络安全策略匹配方法,其特征在于,所述S1包括:
S11:配置访问控制策略,设置工控网络中数据和文件访问请求的安全验证,以及设置在通过安全验证的情况下对数据和文件的访问范围和时限;
S12:配置资源调用控制策略,设置工控网络中软件和硬件资源调用请求的安全验证,以及设置在通过安全验证的情况下对软件和硬件资源调用的范围和级别;
S13:配置进程控制策略,设置工控网络中对于启动应用进程的请求的安全验证,以及设置在通过安全验证的情况下对应用进程的权限管理。
3.根据权利要求1所述的基于日志信息分析的工控网络安全策略匹配方法,其特征在于,所述S2包括:
S21:获取工控网络当前日志信息,读取日志信息中的告警事件信息以及其他日志信息,并将告警事件信息类型以及发生频率作为告警统计指标纳入场景特征描述集;
S22:将每一条其他日志信息所对应事件类型以及发生频率作为其他统计指标,并与预设统计指标进行比较;
S23:根据比较结果,若所述其他统计指标落入了预设统计指标的范围,则将所述其他统计指标纳入场景特征描述集。
4.根据权利要求1所述的基于日志信息分析的工控网络安全策略匹配方法,其特征在于,所述S3包括:
S31:将当前安全风险的场景特征描述集中告警统计指标以及其他统计指标,与安全策略配置文件中的适用性信息进行匹配;
S32:在安全策略配置文件中选取与所述告警统计指标以及其他统计指标匹配的安全策略配置文件,并生成工控网络当前安全风险适用的安全策略配置文件库。
5.根据权利要求1所述的基于日志信息分析的工控网络安全策略匹配方法,其特征在于,所述步骤S5包括:
S51:通过交互接口获得面向工控网络的访问请求、调用请求或者应用进程启动请求;
S52:通过嵌入工控网络操作系统内核的钩子函数拦截所述访问请求、调用请求或者应用进程启动请求,并获取所述访问请求、调用请求或者应用进程启动请求的上下文信息;
S53:将所述访问请求、调用请求或者应用进程启动请求及其上下文信息,与步骤S4中形成的安全验证条件进行比对,并做出安全验证结果。
6.基于日志信息分析的工控网络安全策略匹配系统,其特征在于,包括:
安全策略配置模块,用于配置安全策略并生成安全策略配置文件;
安全策略解析模块,用于解析工控网络日志信息,获取工控网络当前安全风险的场景特征描述集;
安全策略配置文件库生成模块,用于将场景特征描述集与安全策略配置文件的适用性信息进行匹配,生成工控网络当前安全风险适用的安全策略配置文件库;
安全验证条件生成模块,用于从安全策略配置文件库中调取安全策略配置文件,并解析该安全策略配置文件形成安全验证条件;
安全验证模块,用于获取工控网络当前请求及请求的上下文信息,并与安全验证条件进行对比,做出安全验证结果。
7.根据权利要求6所述的基于日志信息分析的工控网络安全策略匹配系统,其特征在于,所述安全策略配置模块包括:
访问控制策略配置子模块,用于配置访问控制策略,设置工控网络中数据和文件访问请求的安全验证,以及设置在通过安全验证的情况下对数据和文件的访问范围和时限;
资源调用控制策略配置子模块,用于设置工控网络中软件和硬件资源调用请求的安全验证,以及设置在通过安全验证的情况下对软件和硬件资源调用的范围和级别;
进程控制策略配置子模块,用于设置工控网络中对于启动应用进程的请求的安全验证,以及设置在通过安全验证的情况下对应用进程的权限管理。
8.根据权利要求6所述的基于日志信息分析的工控网络安全策略匹配系统,其特征在于,所述安全策略解析模块包括:
告警解析子模块,用于获取工控网络当前日志信息,读取日志信息中的告警事件信息以及其他日志信息,并将告警事件信息类型以及发生频率作为告警统计指标纳入场景特征描述集;
日志解析子模块,用于将每一条其他日志信息所对应事件类型以及发生频率作为其他统计指标,并与预设统计指标进行比较;
场景特征描述集生成子模块,用于根据比较结果,若所述其他统计指标落入了预设统计指标的范围,则将所述其他统计指标纳入场景特征描述集。
9.根据权利要求6所述的基于日志信息分析的工控网络安全策略匹配系统,其特征在于,所述安全策略配置文件库生成模块包括:
安全策略匹配子模块,用于将当前安全风险的场景特征描述集中告警统计指标以及其他统计指标,与安全策略配置文件中的适用性信息进行匹配;
安全策略选取子模块,用于在安全策略配置文件中选取与所述告警统计指标以及其他统计指标匹配的安全策略配置文件,并生成工控网络当前安全风险适用的安全策略配置文件库。
10.根据权利要求6所述的基于日志信息分析的工控网络安全策略匹配系统,其特征在于,所述安全验证模块包括:
请求获取子模块,用于通过交互接口获得面向工控网络的访问请求、调用请求或者应用进程启动请求;
请求拦截子模块,用于通过嵌入工控网络操作系统内核的钩子函数拦截所述访问请求、调用请求或者应用进程启动请求,并获取所述访问请求、调用请求或者应用进程启动请求的上下文信息;
请求验证子模块,用于将所述访问请求、调用请求或者应用进程启动请求及其上下文信息,与步骤S4中形成的安全验证条件进行比对,并做出安全验证结果。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211019511.9A CN115102793B (zh) | 2022-08-24 | 2022-08-24 | 基于日志信息分析的工控网络安全策略匹配方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211019511.9A CN115102793B (zh) | 2022-08-24 | 2022-08-24 | 基于日志信息分析的工控网络安全策略匹配方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115102793A true CN115102793A (zh) | 2022-09-23 |
CN115102793B CN115102793B (zh) | 2022-11-08 |
Family
ID=83299863
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211019511.9A Active CN115102793B (zh) | 2022-08-24 | 2022-08-24 | 基于日志信息分析的工控网络安全策略匹配方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115102793B (zh) |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104811437A (zh) * | 2015-03-16 | 2015-07-29 | 南京麦伦思科技有限公司 | 一种工业控制网络中生成安全策略的系统和方法 |
CN105429824A (zh) * | 2015-12-18 | 2016-03-23 | 中国电子信息产业集团有限公司第六研究所 | 一种工控协议自适应深度检测装置与方法 |
CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
CN110033174A (zh) * | 2019-03-20 | 2019-07-19 | 烽台科技(北京)有限公司 | 一种工业信息安全保障体系建设方法 |
US20210029167A1 (en) * | 2019-07-24 | 2021-01-28 | Research & Business Foundation Sungkyunkwan University | I2nsf nsf monitoring yang data model |
CN113342594A (zh) * | 2021-05-26 | 2021-09-03 | 北京威努特技术有限公司 | 一种工控主机及其健康度动态评估方法 |
CN113992407A (zh) * | 2021-10-27 | 2022-01-28 | 北京天融信网络安全技术有限公司 | 一种安全策略配置方法及装置 |
CN114301705A (zh) * | 2021-12-31 | 2022-04-08 | 公安部第三研究所 | 一种基于可信计算的工控防御方法与系统 |
-
2022
- 2022-08-24 CN CN202211019511.9A patent/CN115102793B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104811437A (zh) * | 2015-03-16 | 2015-07-29 | 南京麦伦思科技有限公司 | 一种工业控制网络中生成安全策略的系统和方法 |
CN105429824A (zh) * | 2015-12-18 | 2016-03-23 | 中国电子信息产业集团有限公司第六研究所 | 一种工控协议自适应深度检测装置与方法 |
CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
CN110033174A (zh) * | 2019-03-20 | 2019-07-19 | 烽台科技(北京)有限公司 | 一种工业信息安全保障体系建设方法 |
US20210029167A1 (en) * | 2019-07-24 | 2021-01-28 | Research & Business Foundation Sungkyunkwan University | I2nsf nsf monitoring yang data model |
CN113342594A (zh) * | 2021-05-26 | 2021-09-03 | 北京威努特技术有限公司 | 一种工控主机及其健康度动态评估方法 |
CN113992407A (zh) * | 2021-10-27 | 2022-01-28 | 北京天融信网络安全技术有限公司 | 一种安全策略配置方法及装置 |
CN114301705A (zh) * | 2021-12-31 | 2022-04-08 | 公安部第三研究所 | 一种基于可信计算的工控防御方法与系统 |
Also Published As
Publication number | Publication date |
---|---|
CN115102793B (zh) | 2022-11-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9148433B2 (en) | Retrospective policy safety net | |
US20110314549A1 (en) | Method and apparatus for periodic context-aware authentication | |
US20110314558A1 (en) | Method and apparatus for context-aware authentication | |
CN114372286A (zh) | 数据安全管理方法、装置、计算机设备及存储介质 | |
CN104239758A (zh) | 一种人机识别方法及相应的人机识别系统 | |
US20200233962A1 (en) | Detecting obfuscated malware variants | |
CN105022939A (zh) | 信息验证方法及装置 | |
CN113326502A (zh) | 可疑行为量化评判的安卓应用分类授权法 | |
CN114866296B (zh) | 入侵检测方法、装置、设备及可读存储介质 | |
CN111212067A (zh) | 一种基于威胁预测的工业网络安全风险评估系统 | |
CN107566375B (zh) | 访问控制方法和装置 | |
CN115701019A (zh) | 零信任网络的访问请求处理方法、装置及电子设备 | |
CN114338105B (zh) | 一种基于零信任信创堡垒机系统 | |
CN117527430A (zh) | 一种零信任网络安全动态评估系统及方法 | |
CN115238247A (zh) | 基于零信任数据访问控制系统的数据处理方法 | |
CN117938502A (zh) | 一种网络安全事件的处理系统及方法 | |
CN115102793B (zh) | 基于日志信息分析的工控网络安全策略匹配方法和系统 | |
CN116089970A (zh) | 基于身份管理的配电运维用户动态访问控制系统与方法 | |
CN116346432A (zh) | 能源工业互联网的访问控制系统、电子设备及存储介质 | |
CN110958236A (zh) | 基于风险因子洞察的运维审计系统动态授权方法 | |
CN110378120A (zh) | 应用程序接口攻击检测方法、装置以及可读存储介质 | |
CN115879156A (zh) | 动态脱敏方法、装置、电子设备及储存介质 | |
CN113949578B (zh) | 基于流量的越权漏洞自动检测方法、装置及计算机设备 | |
Liu et al. | Data‐Driven Zero Trust Key Algorithm | |
CN113645060B (zh) | 一种网卡配置方法、数据处理方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |