CN115550064A - 一种工业互联网威胁识别方法、系统及电子设备 - Google Patents
一种工业互联网威胁识别方法、系统及电子设备 Download PDFInfo
- Publication number
- CN115550064A CN115550064A CN202211486474.2A CN202211486474A CN115550064A CN 115550064 A CN115550064 A CN 115550064A CN 202211486474 A CN202211486474 A CN 202211486474A CN 115550064 A CN115550064 A CN 115550064A
- Authority
- CN
- China
- Prior art keywords
- industrial
- domain
- baseline
- risk
- constraint
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/30—Computing systems specially adapted for manufacturing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种工业互联网威胁识别方法、系统及电子设备,属于网络安全技术领域。所述方法通过构建工业资产约束基线管理库,并采用物理域与信息域安全数据融合的SATMP‑SafeSec威胁识别方法,构建耦合脆弱风险基线库,基于工业资产约束基线管理库和耦合脆弱风险基线库进行工业互联网的安全威胁的识别,实现了物理域和信息域的安全数据融合分析,提高了工业互联网的安全性。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种工业互联网威胁识别方法、系统及电子设备。
背景技术
传统的工业安全分为两类,第一类是工业生产安全,解决场地环境、设备故障、流程规范等方面安全问题,第二类是工控安全,是解决工控系统、设备等运行安全问题。
传统的信息安全,ISO(International Organization for Standardization,国际标准化组织)的定义为:为数据处理系统建立和采用的技术、管理上的安全保护,为的是保护计算机硬件、软件、数据不因偶然和恶意的原因而遭到破坏、更改和泄露。
随着工业互联网信息化和工业化融合的不断深入,工业生产安全、工控安全、信息安全等安全问题深度交织在一起,传统的相对独立的工业安全与信息安全,无法有效应对工业互联网的物理域(OT,Operational Technology)与信息域(IT,InformationTechnology)高度融合带来的层出不穷的安全攻击事件。
发明内容
有鉴于此,本发明提供了一种工业互联网威胁识别方法、系统及电子设备,以通过物理域和信息域安全数据融合分析,对工业互联网威胁进行识别,提高工业互联网的安全性。
为实现上述目的,本发明提供了如下方案:
一种工业互联网威胁识别方法,所述方法包括如下步骤:
构建工业资产约束基线管理库;所述工业资产约束基线管理库中包括每个工业资产的物理约束基线和运行约束基线;
基于所述工业资产约束基线管理库,采用物理域与信息域安全数据融合的SATMP-SafeSec(SATMP为System-Theoretic Accident Model and Process,系统理论模型和流程分析法,SafeSec为Safety分析方法和Security分析方法)威胁识别方法,构建耦合脆弱风险基线库;
基于所述耦合脆弱风险基线库确定工业互联网的监测点;
基于所述工业资产约束基线管理库和所述耦合脆弱风险基线库对每个监测点的安全日志进行安全威胁识别,确定每个监测点的安全日志的过程标签、域纬度标签和通用因子标签。
可选的,所述构建工业资产约束基线管理库,具体包括:
构建约束基线模板;
对工业互联网进行探测,获得工业互联网中的工业资产;
采用主动信息探测方法确定每个所述工业资产的约束;
将基线模板与每个工业资产的约束进行关联,构建所述工业资产约束基线管理库。
可选的,所述对工业互联网进行探测,获得工业互联网中的工业资产,具体包括:
确定工业互联网的测绘域边界;所述测绘域边界为信息域、网络域、控制域和物理域的边界;
基于所述测绘域边界,分别对工业互联网的信息域、网络域、控制域和物理域进行主动测绘,获取工业互联网中的第一工业资产;所述主动测绘为根据测绘协议,对工业互联网的端口进行主动扫描;
基于所述测绘域边界,分别对工业互联网的信息域、网络域、控制域和物理域进行被动测绘,获取工业互联网中的第二工业资产;所述被动测绘为根据测绘协议,对工业互联网的域边界流量进行监听;所述第一工业资产和所述第二工业资产均属于所述工业资产。
可选的,所述测绘协议为TCP/UDP协议(Transmission Control Protocol/UserDatagram Protocol,传输控制协议/用户数据报协议)和/或工业设备网络协议。
可选的,所述基于所述工业资产约束基线管理库,采用物理域与信息域安全数据融合的SATMP-SafeSec威胁识别方法,构建耦合脆弱风险基线库,具体包括:
从工业互联网的整个工业控制系统层面,采用物理域与信息域安全数据融合的SATMP-SafeSec威胁识别方法,确定工业互联网的系统损失、系统风险、融合约束风险和控制层风险,构建外环控制脆弱风险基线库;所述融合约束风险为基于工业资产约束基线管理库确定的,所述控制层风险为基于控制基线绘制的异常控制逻辑所产生的安全风险;
基于工业资产约束基线管理库,采用物理域与信息域安全数据融合的SATMP-SafeSec威胁识别方法,分析控制行为、系统变量、系统状态和系统缺陷存在的风险及产生控制行为、系统变量、系统状态和系统缺陷的异常控制命令,构建内环控制脆弱风险基线库;
所述外环控制脆弱风险基线库和所述内环控制脆弱风险基线库组成所述耦合脆弱风险基线库。
可选的,所述基于所述工业资产约束基线管理库和所述耦合脆弱风险基线库对每个监测点的安全日志进行安全威胁识别,确定每个监测点的安全日志的过程标签、域纬度标签和通用因子标签,具体包括:
依据安全日志的来源,确定安全日志的过程标签;所述过程标签包括信息流、控制流和数据流;
根据安全日志的监测点所处的域,确定安全日志的域纬度标签;所述域纬度标签包括信息域、网络域、控制域和物理域;
基于所述工业资产约束基线管理库和所述耦合脆弱风险基线库确定所述安全日志的通用因子标签。
可选的,所述基于所述工业资产约束基线管理库和所述耦合脆弱风险基线库确定所述安全日志的通用因子标签,具体包括:
基于所述工业资产约束基线管理库确定所述安全日志是否为风险日志;
当所述安全日志为风险日志时,基于所述耦合脆弱风险基线库确定产生所述风险日志的攻击类型作为所述通用因子标签;所述攻击类型为ATT&CK(Adversarial Tactics、Techniques and Common Knowledge,对抗战术、技术和常识)工业安全模型中的攻击类型。
可选的,所述基于所述工业资产约束基线管理库和所述耦合脆弱风险基线库对每个监测点的安全日志进行安全威胁识别,确定每个监测点的安全日志的过程标签、域纬度标签和通用因子标签,之后还包括:
基于每个监测点的安全日志的过程标签、域纬度标签和通用因子标签,构建三维范式模型。
一种工业互联网威胁识别系统,所述系统应用于上述的方法,所述系统包括:
工业资产约束基线管理库模块,用于构建工业资产约束基线管理库;所述工业资产约束基线管理库中包括每个工业资产的物理约束基线和运行约束基线;
耦合脆弱风险基线库构建模块,用于基于所述工业资产约束基线管理库,采用物理域与信息域安全数据融合的SATMP-SafeSec威胁识别方法,构建耦合脆弱风险基线库;
监测点确定模块,用于基于所述耦合脆弱风险基线库确定工业互联网的监测点;
威胁识别模块,用于基于所述工业资产约束基线管理库和所述耦合脆弱风险基线库对每个监测点的安全日志进行安全威胁识别,确定每个监测点的安全日志的过程标签、域纬度标签和通用因子标签。
一种电子设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述的方法。
根据本发明提供的具体实施例,本发明公开了以下技术效果:
本发明公开一种工业互联网威胁识别方法、系统及电子设备,所述方法包括如下步骤:构建工业资产约束基线管理库;基于所述工业资产约束基线管理库,采用物理域与信息域安全数据融合的SATMP-SafeSec威胁识别方法,构建耦合脆弱风险基线库;基于所述耦合脆弱风险基线库确定工业互联网的监测点;基于所述工业资产约束基线管理库和所述耦合脆弱风险基线库对每个监测点的安全日志进行安全威胁识别,确定每个监测点的安全日志的过程标签、域纬度标签和通用因子标签。本发明通过构建工业资产约束基线管理库,并采用物理域与信息域安全数据融合的SATMP-SafeSec威胁识别方法,构建耦合脆弱风险基线库,基于工业资产约束基线管理库和耦合脆弱风险基线库进行工业互联网的安全威胁的识别,实现了物理域和信息域的安全数据融合分析,提高了工业互联网的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种工业互联网威胁识别方法的原理图;
图2为本发明实施例提供的一种工业互联网威胁识别方法的流程图;
图3为本发明实施例提供的构建工业资产约束基线管理库的原理图;
图4为本发明实施例提供的工业生产资产场景构建模型的结构示意图;
图5为本发明实施例提供的构建耦合脆弱风险基线库的流程图;
图6为本发明实施例提供的构建三维范式模型的原理图;
图7为本发明实施例提供的构建三维范式模型的流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的目的是提供一种工业互联网威胁识别方法、系统及电子设备,以通过物理域和信息域安全数据融合分析,对工业互联网威胁进行识别,提高工业互联网的安全性。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
现有的工业互联网安全数据分析方法,有两类视角:
信息安全与工控安全融合视角:从信息安全与工控安全融合视角,工业互联网现有安全数据分析,侧重信息域及从物理域获得的网络安全数据,缺乏对物理设备本省约束参数进行关联分析,这容易忽视一些高级伪装、看似正常的安全威胁,造成相关物理设备的参数被修改,从而导致工业生产发生偏离或瘫痪。
工业生产安全视角:从工业生产安全视角,工业互联网现有安全数据分析,侧重工业生产的数据采集、分析,缺乏信息安全威胁关联分析,这容易忽视一些工业数据或网络被劫持、篡改、瘫痪,同样会导致工业生产发生偏离或瘫痪。
本发明实施例重点是基于工业互联网的信息域、物理域融合特征,融合信息安全、工控安全、工业生产安全三类安全数据,实现信息域与物理域的各个对象安全数据、物理域对象的物理约束数据、信息域与物理域耦合的安全数据等三类安全数据采集、融合、分析。
本发明实施例利用工业资产精细化管理和资产运行时约束基线管理、工业安全SATMP-SafeSec威胁识别模型、工业安全数据范式化模型三部分技术,精准识别工业互联网各域各自可能出发的安全事件,并将各域安全事件建立有机联系,形成安全攻击的故事化叙述,为工业互联网跨域的安全威胁数据融合、威胁识别、威胁分析提供可靠的安全方法。
如图1所示,本发明实施例,步骤101,是通过工业资产管理模型实现工业资产精细化管理和资产运行约束基线管理,资产运行约束基线即为资产物理约束及运行时约束参数。步骤102,基于资产约束基线,通过物理域与信息域安全数据融合的SATMP-SafeSec威胁识别模型,识别信息域、控制域、物理域的可能面临的生产控制安全风险,最终形成耦合脆弱风险基线库。步骤103,以安全攻击为视角,结合耦合脆弱风险基线库,分别从工业跨域过程维度、攻击阶段维度以及安全事件数据维度,通过工业安全数据范式化模型,进行范式化关联,最终形成安全攻击的故事化叙述。
实施例1
如图2所示,本发明实施例1提供一种工业互联网威胁识别方法,所述方法包括如下步骤:
步骤201,构建工业资产约束基线管理库;所述工业资产约束基线管理库中包括每个工业资产的物理约束基线和运行约束基线。
本发明实施例步骤201的构建工业资产约束基线管理库的过程基于工业资产管理模型实现。本发明实施例的工业资产管理模型,是将工业互联网相关资产纳入管理,并通过主动探测和手动录入,为每个工业资产生成一个物理约束、运行约束基线库。约束基线库的目的,主要是识别工业资产在实际运行过程中,是否存在因工业互联网安全攻击,而违反物理约束、运行约束基线,从而导致工业生产停滞,详细参见图3。
步骤2011:工业资产管理模型-场景构建,基于工业互联网的工业设备种类繁多、应用场景不一,因此工业资产管理不能简单将信息域资产管理在工业互联网简单复用。同时,工业互联网上的安全攻击,是以瘫痪或破坏生产为目的,因此工业资产管理,需以生产场景构建,如微电网场景、车间工业制造等场景及其子场景。
工业生产场景构建,主要是以生产环境命名,然后基于步骤2012资产测绘模型,通过步骤2013资产探测,对该环境下的工业资产信息进行采集、归纳。工业生产资产场景构建模型如图4。
工业生产场景资产管理模型,资产管理模型主要是对工业资产的信息化管理,主要包括工业资产基本信息管理和资产测绘模型。资产基本信息管理中的基本信息主要包括工业资产的厂商、型号、位置等。工业资产纳入工业资产基本信息管理时,需对工业资产进行域维度标签化,即在资产测绘过程中,需从信息域、网络域、控制域、物理域四个域维度,对工业资产标签化。
标签化的方法是针对四个域维度的分别测绘时,所发现未纳管的工业资产,在纳入管理的时候,对工业资产进行域维度标签,比如利用信息域、网络域、控制域、物理域的相关网络协议对相应域中流量解析,解析出的未被管理的资产,纳入工业资产信息管理同时,对该资产进行域标签。如在信息域的核心节点部署镜像流量采集设备,利用TCP/UDP协议对流量中源IP和目标IP进行解析,对解析出的IP判断其是否被管理,如未被管理则将对应的IP资产纳入工业资产管理信息库中,在登记到信息库中时,需对该类资产进行域标签,即标签为信息域资产。又如物理域的资产测绘,则在该域的核心节点部署镜像流量采集设备,利用工业协议(如RS(Recommeded Standard,推荐标准)232,RS485,TCP\UDP(TransmissionControl Protocol\UserDatagramProtocol,传输控制协议\用户数据报协议)、MOUDBUS(总线协议)等,其中MOUDBUS为工业现场的总线协议)分析流量中的源地址和目标地址,并判断源地址与目标地址是否被管理,如未管理则标记为物理域资产并纳入工业资产管理信息库中,详细标签化方法见步骤2012。
标签化的作用,一是让管理员通过工业资产的信息化管理界面,轻松查阅工业资产所处的域,二是在采集工业资产在产生安全数据(安全日志)过程中,通过工业资产所在的域,对安全数据进行域标签,为步骤205的范式化结构提供域维度信息。
另外,资产基本信息管理是实现对工业设备的产商、型号、位置等进行基础性管理,管理的主要目的通过工业资产测绘模型,确保隐形、逃逸的工业资产能够被测绘并及时纳入管理,资产测绘模型详细见步骤2012。
步骤2012:资产测绘模型,资产测绘模型是指工业资产探测及其基本信息探测的一种方法,该方法首先根据步骤2011设定的工业场景(如工业生产车间、电力传输等场景),设定测绘域边界,设定测绘域边界的方法是依据工业场景的边界,如IP地址段,来设定测绘的IP地址段。其次设定测绘逻辑,对边界内的未被纳管、隐形、逃逸的工业资产进行探测,并将未被纳管、隐形、逃逸的工业资产,进行域标签并纳入步骤2011的工业资产基本信息管理中。
测绘域边界是指工业场景下的信息域、网络域、控制域、物理域的边界,比如信息域、网络域,可以设定相应的IP地址段,进行主动测绘,便于测绘该IP段下的所有资产。测绘域边界的作用,一是关联步骤2011的工业场景中信息域、网络域、控制域、物理域的四个域维度网络边界,二是实现工业资产域维度标签化,如针测绘信息域的资产,则信息域资产被发现及纳入步骤2011工业资产基本信息管理时,对该资产标签为信息域资产,最终实现步骤2011中工业资产纳入资产基本信息管理时,需对工业资产进行域维度标签化。
测绘逻辑是指测绘过程逻辑,该过程逻辑首先设定好测绘类型、测绘协议,其次设定好测绘步骤。测绘类型主要分为主动测绘和被动测绘,主动测绘是根据设定的网络协议,通过端口主动扫描,发现未被管理的工业资产,并纳入步骤2011的工业资产基本信息管理。被动测绘是指根据设定的网络协议,通过域边界流量监听方式,分析流量的源IP和目标IP,如源IP或目标IP未被纳管,则纳入步骤2011的工业资产基本信息管理。域边界流量的域是指信息域、网络域、控制域、物理域,边界流量是指上述四域核心节点所经过的流量。测绘协议主要是指工业网络协议,主要是分为TCP/UDP及工业设备网络协议。测绘协议设置的目的,是为主动测绘和被动测绘提供测绘协议。如在测绘信息域、网络域、控制域时,主要设定TCP/UDP协议进行探测,在物理域,主要依据场景下工业设备所支持的工业协议,来设定探测协议。测绘步骤是指在测绘过程中的前后步骤顺序,比如按照信息域、网络域、控制域、物理域的顺序进行测绘,又比如按照测TCP、UDP、某工业协议等顺序测绘。
上述的测绘类型、测绘协议、测绘边界及测绘步骤组成了测绘逻辑。经过测绘逻辑的测绘,能够有效发现未被纳管、隐形、逃逸的工业资产。资产测绘模型的作用,是在某工业场景下实现物理域和信息域安全数据融合的工业互联网威胁识别方法的资产基本信息探测方法,防止工业互联网的信息域、网络域、控制域、物理域的未被管理的、隐形的、逃逸的工业资产不被管理。
步骤2013:资产探测,资产探测是资产测绘模型的实际操作及体现。
资产探测首先依据步骤2012设定的测绘域边界,分别对信息域、网络域、控制域、物理域的开始测绘,其次,在测绘过程中,根据步骤2012设定的测绘逻辑,进行测绘。
需要特别说明资产探测的类型,依据步骤2012中测绘类型描述,资产探测类型分为主动探测和被动探测,主动探测是基于测绘协议(如RS232、RS485、TCP\UDP、MOUDBUS等),对工业资产主动端口探测。被动探测是基于工业互联网测绘协议(如RS232、RS485、TCP\UDP、MOUDBUS等),对域边界流量中的源IP(Internet Protocol,网络之间互连的协议)或目标IP进行分析和识别。两种测绘类型互补,能够有效防止未被管理、隐形的、逃逸的工业资产不被管理。
步骤2014:工业资产基本信息,经过步骤2013探测到未被管理、隐形的、逃逸的工业资产后,需补全步骤2011中所指的工业资产基本信息。
补全工业资产基本信息的方法,是利用工业资产运维协议,模拟运维操作命令,获取工业资产的基本信息。如工业IT资产可通过ssh/telnet协议连接到资产中,模拟运维操作命令,获取IT资产基本信息,又如工业联网制造设备,可通过设备支持的工业协议连接到该设备中,模拟运维操作命令,获取基本信息。
获取工业资产基本信息的目的,一是为了实现步骤2011的工业资产管理,二是基于工业资产基本信息进一步获取工业资产的约束基线,详细见步骤2015,三是为步骤2018实现同类工业资产与同类约束基线模板关联,提升管理效率,详细见步骤2018。
步骤2015:约束基线,约束基线即依据工业资产在生产过程中的生产参数,约定安全生产范围,形成约束基线,如生产过程中,违反约束基线,则产生安全风险。
被纳入到步骤2011的工业资产管理的每个工业资产,在生产过程中均有对应的生产参数,生产参数主要包括工业资产的物理参数、功能参数、性能参数、控制参数、环境参数、运行参数等。
再通过每个工业资产的生产参数,为每个工业资产建立相应的约束基线。
建立约束基线的目的观察工业资产在生产和运行过程中,是否因为工业互联网威胁而导致违反相关约束条件,进而导致生产风险。如工业资产的环境参数中,指明该工业资产在生产过程中所处的环境温度为30°C~50°C,那该工业资产的环境温度约束基线值为30°C~50°C,如低于30°C或高于50°C,均视为违反约束基线。
为每个工业资产建立约束基线的主要方法,是需要对工业资产的生产参数进行探测,详细见步骤2016。
同时考虑工业资产数量庞大,为每个工业资产建立一个相应的约束基线,将会导致管理员管理灾难,因此需建立约束基线模板,将同类型,具有相类似生产参数的工业资产与某一模板关联,提升管理效率,详细见步骤2017。
步骤2016:约束基线探测,约束基线探测首先是对工业资产的生产参数进行探测,其次利用生产参数转换成约束基线。
工业资产的生产参数的探测主要利用主动信息探测方法,该方法基于工业资产运维协议,模拟运维操作命令,获取工业资产的物理参数、功能参数、性能参数、控制参数、环境参数、运行参数等工业资产生产参数。如工业IT(Information Technology,信息技术)资产可通过ssh/telnet(secure shell/telecom munication net work protocol,安全外壳协议/电信网络协议)协议连接到资产中,模拟运维操作命令,获取IT资产生产参数,又如工业联网制造设备,可通过设备支持的工业协议连接到该设备中,模拟运维操作命令,获取工业联网制造设备的生产参数。
工业资产运维协议主要是工业设备的厂商在生产过程中内置嵌入式系统对外提供远程连接的协议,本发明实施例针对各类厂商提供远程连接协议,并参照其提供的运维操作手册,对相关参数提取。
第一次主动扫信息探测获取的工业资产生产参数,通过数值转化,生成工业资产安全生产约束基线,如CPU(Central Processing Unit,中央处理器)运行温度小于60°C,则设定CPU<60,又如设备环境需具备温度30°C~50°C,则设定环境<50和环境>30等等。后续如有违反约束参数,即视为生产安全风险。
后续针对每个工业资产定期主动扫信息探测,获取当前状态生产参数,如当前状态生产参数与基线发生较大变化,则扫描根据获取工业设备当前基本信息与约束基线进行比对,如发生变化,表示工业设备相关参数发生变更,需进一步分析是否产生生产安全威胁。
约束基线探测过程中,如果为数量庞大的每个工业资产进行探测,极大占用网络资源,以及给管理代理繁琐,因此,约束基线探测可以挑选相同类型并且具有相似生产参数的工业资产中的典型资产,进行探测,探测完成后生成的约束基线,可以视为该相同类型且具有相似生产参数工业资产的约束基线,所以我们需要为相同类型且具有相似生产参数的工业资产建立一个约束基线模板,详见步骤2017。
步骤2017:约束基线模板,即为相同类型且具有相似生产参数的工业资产共用的基线模板。
相同类工业资产主要是指同一种厂商同一种型号或同一系列的工业设备,或指不同厂商及厂商间类型功能的工业设备。约束基线模板主要目的是解决当前工业互联网种类繁杂的工业资产,假设为每个工业资产建立对应的约束基线库,对工业资产的管理是灾难性的,因此为相同类工业资产提供一套约束基线模板,即在种类繁杂的工业资产中,找出相同类的资产,并快速映射到约束基线,详细见步骤2018。
步骤2018:实现约束基线模板与工业资产关联,形成每个工业资产的物理约束、运行约束基线,最终输出至步骤2019的工业资产约束基线管理库。
步骤2019:工业资产约束基线管理库,工业资产约束基线管理库是每个工业资产通过关联相对应约束基线模板,而形成每个工业资产的物理约束、运行约束基线。根据工业资产约束基线库,首先基于步骤202物理域与信息域安全数据融合的SATMP-SafeSec威胁分析模型,轻松假设每个工业资产在被安全攻击时,如涉及修改物理约束或运行约束参数时所面临安全风险,最终形成耦合脆弱风险基线库。再结合耦合脆弱风险基线库,分别从工业跨域过程维度、攻击阶段维度以及安全事件数据维度,通过工业安全数据范式化模型,进行范式化关联,最终形成真安全攻击的故事化叙述。
工业资产约束基线是对设定的工业场景下,以及在该工业场景安全生产运行之初,针对信息域、网络域、控制域、物理域的每一个IT系统及设备、网络系统及设备、控制系统及设备以及工业物理设备,构建的安全生产运行约束基线表,最终汇聚成约束基线表集合并进行管理。
工业资产约束基线主要作用,一是识别风险,二是诊断风险。识别风险方法主要是基于步骤202物理域与信息安全数据融合的SATMP-SafeSec威胁分析模型,分析和识别可能违反基线的业务及控制逻辑,分析和识别过程是依据工业生产外环和内环的业务及控制逻辑,逐一分析和识别,最终输出耦合脆弱风险基线库,详细见步骤202。
诊断风险主要首先是基于识别风险输出的业务及控制逻辑风险点,设立监控点,采集监控点相关安全数据,并按照步骤205工业安全数据范式化的2051子步骤,将采集到安全数据按域结构化(详细见步骤205)。监控点即安全数据采集点,是基于耦合脆弱风险基线库中的风险点,分别在信息域、控制域、物理域等相关系统、工业安全设备、工业生产设备设立监控点并采集运行数据和安全数据。其次再基于步骤205工业安全数据范式化的2052子步骤,即以ATT&CK工业安全模型的11种攻击战术和81种攻击技术,结合耦合脆弱风险基线,将可能存在违反基线条件的攻击战术和技术绘制出,输出通用因子。最后基于通用因子,诊断安全数据通用因子类型,并以通用因子为维度,归纳至相应的域中(详细见步骤205)。
步骤202,基于所述工业资产约束基线管理库,采用物理域与信息域安全数据融合的SATMP-SafeSec威胁识别方法,构建耦合脆弱风险基线库。
本发明步骤202,基于步骤201构建的工业资产约束基线管理库中的工业资产约束基线,物理域与信息域安全数据融合的SATMP-SafeSec威胁分析模型,形成外环根因风险和内环根因风险的耦合脆弱风险基线库。
该SATMP-SafeSec威胁分析模型主要用户工业互联网控制层,控制层主要是指处于信息域、物理域之间,即由信息系统根据订单需求,通过控制层系统,向物理设备发起生产命令。工业互联网安全威胁常常是以威胁信息系统与控制系统间的生产信息和控制系统与工业设备间的控制信息,相关的生产信息和控制信息发生改变,就会威胁工业正常的安全生产,进而形成了安全风险。
控制层又分为外环控制和内环控制,外环控制是指信息系统、网络系统、控制系统间生产逻辑信息,及控制系统至各个工业物理设备间的控制逻辑信息。内环控制是指控制系统的相关控制命令至具体某个工业物理设备后,该工业物理设备的各个功能模块间的控制逻辑。外环根因风险主要从信息域、网络域、物理域、控制域等于一体的统一视角,对相关工业生产指令执行过程中,造成系统损失、系统风险、融合约束风险、控制风险进行风险分析,最终输出外环控制脆弱风险基线库。内环根因风险主要是针对每个工业资产在控制回路的过程进行分析,分析的主要内容分为控制行为、系统变量、变量状态、系统缺陷等,分析输出内容为内环控制脆弱风险基线库。
耦合性控制是外环控制与内环控制的一个耦合性控制逻辑集合,该控制逻辑集合是确保各控制逻辑在控制系统指挥下,能够相互很好协同控制各工业物理设备进行生产活动。耦合性控制风险就是各控制逻辑在耦合过程中,发生变异,即不按照原有耦合逻辑耦合,从而可能导致工业安全生产风险。
耦合性风险脆弱库是针对工业生产场景下,一个控制体系的风险基线库,该基线库是由外环控制脆弱风险基线库和内环控制脆弱风险基线库组成。通过该基线库,即可观察工业互联网安全威胁是否会造成违反风险基线,具体参见图5。
步骤2021:外环模型迭代风险,是指分析信息系统、网络系统、控制系统间的生产逻辑,及控制系统至各个工业物理设备间的控制逻辑存在的风险,并输出外环控制脆弱风险基线库。通过持续迭代风险分析,迭代更新外环控制脆弱风险基线库。持续迭代风险分析主要原因是工业生产控制逻辑不是一成不变,常常根据生产需要,对控制逻辑进行调整,调整过程中,需及时对新的控制逻辑进行风险分析,并迭代持续迭代风险分析。外环控制脆弱风险分析主要实现逻辑是通过信息域、网络域、控制域间、物理域的控制交互风险,从整个工业控制系统层面,对系统损失、系统风险、融合约束风险(工业控制系统下多个工业资产的物理约束和运行约束)、控制层风险等进行风险分析,最终输出外环控制脆弱风险基线库,该基线库为工业互联网安全威胁是否危害或违反相关基线,提供可靠识别依据。
控制层风险是外环控制脆弱风险的一个子集合,它与控制系统损失、控制系统高风险、控制设备的资产约束基线风险、控制系统漏洞等,共同形成外环控制脆弱风险。控制层风险主要是评估和识别各个控制回路以及各控制器间交互过程中,产生控制偏差,而造成的安全风险。该评估和识别采用的技术主要绘制外环控制层面各个正常控制流及涉及控制器等的逻辑控制线路图,形成控制基线,并针对控制基线,绘制异常控制逻辑所产生安全风险,为工业互联网威胁提供精准、可靠的控制风险识别。控制层风险输出的控制基线,主要作用是用于识别控制层及交互过程的相关基线发生变化时,所产生的安全风险。
外环控制脆弱风险基线库主要是提前评估和识别外环控制中存在的风险,并形成基线库,为工业互联网跨域安全数据分析安全威胁时,提供风险参照,即在外环控制遭受安全威胁时,相关威胁是否修改变更控制逻辑、约束参数,或利用控制系统相关漏洞。同时外环控制脆弱风险识别,通过分析信息域至控制域过程中(在工业互联网时代,控制信息的来源主要来源于信息域订单、生产管理模块),为步骤103工业安全数据范式化(数据模型)提供关联字段,进一将控制域与信息域的安全数据无缝融合。
步骤2022:内环控制回路分析,是指具体的工业设备内部,各个功能模块间的控制逻辑,内环控制的输入主要是控制层系统下发至该工业设备的控制逻辑。该工业设备获得输入的控制逻辑后,将控制逻辑进行分解,并向对应的功能模块发送控制功能控制指令。工业设备完成各功能控制指令后,向控制系统应答,应答内容是针对输入控制逻辑完成状况进行回复。
因此内环控制回路是基于外环控制(指工业控制平台至各工业设备的控制回路)触发的控制命令,触发内环控制命令(即具体某工业设备内部控制环路)。内环控制命令又经过控制层、功能层、物理层,直至完成相关命令操作。在整个内环控制命令流转过程中,需要耦合具体的某个工业设备的控制层、功能层、物理层三个层面,使该设备的三个层面能够互相协同完成工业生产。
在整个内环控制命令流转过程中,需要通过控制行为、系统变量、系统状态、系统缺陷等多个维度进行风险分析,风险分析的方法是分析控制行为、系统变量、系统状态等产生异常状况,而导致安全风险,如系统变量之温度,假设正常的温度设定是在80°C到90°C之间,如温度设定超出该范围产生具体风险是什么,导致超出该范围的控制命令可能是哪些。又如系统状态,假设某功能模块正常的逻辑状态是1,如逻辑状态变为0,具体产生风险是什么,导致状态变化的控制命令可能是哪些。系统变量、状态等风险识别是基于步骤201输出的工业资产约束基线而产生。通过分析控制行为、系统变量、系统状态、系统缺陷可能存在的风险及异常控制命令,可以导出内环控制脆弱风险基线库。内环控制脆弱风险基线库的作用主要是用于早期识别具体某个工业设备各个功能模块间的控制风险,即识别工业设备在生产过程中,如违反相关约束而产生的安全安全风险。内环控制脆弱风险基线库和外环控制脆弱风险基线库的集合,组成了耦合脆弱风险基线库。
步骤2023:耦合脆弱风险基线库,即由外环控制脆弱风险基线库和内环控制脆弱风险基线库组成。耦合是指外环与N个内环间无缝耦合。通过外环与N个内环的耦合,最终形成工业生产场景(如某车间流水线制造场景)下耦合脆弱风险基线库。
耦合脆弱风险基线库主要作用,一是设置监测点,即安全数据采集点;二是构建域维度标签;三是诊断安全风险。
监控点即安全数据采集点,是基于耦合脆弱风险基线库中的风险点,分别在信息域、控制域、物理域等相关系统、工业安全设备、工业生产设备设立监控点并采集运行数据和安全数据。
构建域维度标签,是基于安全数据的采集点及采集来源的域位置,对安全数据进行域标签。域标签主要意义在于为步骤205工业安全数据范式化提供域维度的结构视角。
诊断安全风险,是基于域维度标签,结合耦合脆弱风险基线,通过ATT&CK工业安全模型的11种攻击战术和81种攻击技术,将可能存在违反基线条件的攻击战术和技术绘制出,形成通用因子,最终通过通用因子维度,将安全数据在域维度基础上进一步归纳安全数据的风险类型(详细见步骤205)。
基于上述的域维度、通用因子维度,结合业务过程维度,构建成三维视角的范式化结构,即该结构将一条条安全数据以某个工业业务维度,通过域维度,与通用因子维度匹配,输出构成一条条安全数据的威胁定义,最终向管理员输出工业互联网安全威胁的范式结构化安全数据视图。
步骤203,基于所述耦合脆弱风险基线库确定工业互联网的监测点。
步骤203的具体实现步骤为,基于耦合脆弱风险基线库模拟分析ATT&CK工业安全模型的11种攻击战术和81种攻击技术,确定工业互联网中在不同攻击下的异常日志输出的数据采集点作为监测点。
步骤204,基于所述工业资产约束基线管理库和所述耦合脆弱风险基线库对每个监测点的安全日志进行安全威胁识别,确定每个监测点的安全日志的过程标签、域纬度标签和通用因子标签。
步骤205,基于每个监测点的安全日志的过程标签、域纬度标签和通用因子标签,构建三维范式模型。
本发明步骤205主要是将步骤104输出的风险基线及风险监测的安全日志,以某个具体攻击为视角,将不同域、不同控制过程、不同设备或系统所产生的安全日志,通过安全日志中域标签和风险标签,进行结构关联并存储。
关联存储的优点是保证各种类型的安全数据不在是单一的、孤立的,而是按照ATT&CK工业安全模型的11种战术和81种技术,将安全数据细分、关联、存储,使得工业互联网威胁识别能够相关威胁,在不同域、不同过程、不同设备或系统所产生风险全貌。
具体的,
本发明的工业安全数据范式化数据模型,首先以业务流、控制流、数据流等任一过程,将不同域、不同过程、不同设备或系统,所产生的安全日志,通过步骤204输出的具有域标签和风险标签,进行关联起来,其次按照ATT&CK工业安全模型的11种攻击战术和81种攻击技术,对每一个安全数据进行细分标签,为上层应用提供分析依据。最后,三维范式模型的,三维即过程维度、攻击维度、数据维度,范式模型即安全数据按照三维进行抽象关联,为上层工业互联网威胁识别构建风险全貌。工业安全数据范式化数据模型主要是基于物理域与信息域安全数据融合的SATMP-SafeSec威胁识别模型,获得物理域、控制域、信息域所产生数据的关联关系,并基于耦合脆弱风险基线库,以控制逻辑为线索,识别各域的安全风险,并安全数据建立范式化联系具体参见图6和图7。
步骤2051:跨域结构,是指将工业互联网各域所产生的各类安全日志,按照信息域、网络域、控制域、物理域进行分类并域结构化。按域分类并结构化的基础是为步骤202输出耦合脆弱风险基线库所输出风险而设置的监测点,所输出具有域标签的安全日志。
跨域结构具体过程,首先以信息流、控制流、数据流等流的具体某个流程,为结构线索,其次将该线索散落在各处的具有域标签的安全日志,进行线索关联,最后以过程和域构成二维结构。
例如以某生产命令为线索,生产命令贯穿信息域、网络域、控制域,再转化成控制命令,下发至物理功能层。在生产命令贯穿整个工业互联网域过程中,根据步骤204的输出的风险点产生的安全日志,被采集后,存储在数据库各个角落,因此需要以该生产命令为线索,域标签为关联字段,将该生产命令在贯穿过程中所产生各类风险安全日志,构成二维结构。
跨域结构是工业安全数据范式化的第一步,它的目的主要是将安全日志,以域的粒度,先初步分类并结构化。他的作用是向管理员呈现两个视角,第一个过程视角,通过结构线索,能清晰看线索在哪些域中产生了安全日志。第二个域视角,通过域能清晰看到某个域,有哪些线索产生安全风险日志。
跨域结构是通用因子的前提,假如域是粗粒度,通用因子是细粒度,即在粗粒度下,进一步将安全日志按照ATT&CK工业安全模型的11种攻击战术和81种攻击技术逻辑,分类并结构化,形成攻击逻辑维度结构,与过程、域、攻击逻辑三个维度共同构成三维范式结构。
步骤2052:通用因子,是基于工业资产的物理约束、运行约束基线和工业控制耦合风险脆弱基线,以ATT&CK(Adversarial Tactics、Techniques and Common Knowledge,对抗战术、技术和常识)工业安全模型的11种攻击战术和81种攻击技术,将可能存在违反基线条件的攻击战术和技术绘制出,并标签相关违反基线可能产生的安全日志。
例如仍以某生产命令为线索,生产命令贯穿信息域、网络域、控制域,再由控制转化成控制命令,下发至物理功能层。在生产命令贯穿具体域过程中,比如贯穿控制域时,因某种安全攻击,导致违反步骤103输出的耦合性风险脆弱基线库,而触发的风险安全日志。为防止相应风险产生,需要提前以ATT&CK工业安全模型的11种攻击战术和81种攻击技术为通用因子,对可能产生的风险进行梳理,并设定监测点和产生相应的安全日志。
因此通用因子的作用是更细粒度的,以安全攻击为视角,更细粒度的描述信息流、生产流、控制流等,在各工业互联网域,可能存在的安全风险。
通用因子作为范式结构的第三个维度,与第一维度即以信息流、控制流、数据流为代表的过程维度和第二维度即信息域、网络域、控制域、物理域为代表的域维度,共同构成范式结构。该结构主要根据安全数据的过程类型标签、域类型标签、通用因子类型标签,将安全数据归纳相应结构位置。
步骤2053:基于过程、域结构和通用因子库,构建具体过程下的范式化结构,过程主要依据设定工业业务场景进行构建,每个工业业务场景不同,其范式结构化也不同,因此为了增强范式结构化构建的灵活性,本发明提供人工辅助管理界面,协助管理员以业务流为视角,并基于业务流细分信息流、控制流、数据流等过程,再基于过程构建由过程、域结构和通用因子库(安全攻击)三个维度的范式结构。
步骤2054:范式化结构,范式化结构是三维结构,第一维度是以信息流、控制流、数据流为代表的过程维度,是范式化结构的线索。第二维度以信息域、网络域、控制域、物理域为代表的域维度。第三维度是通用因子(安全攻击),该因子工业互联网安全攻击是否违反工业资产的物理约束、运行约束基线和工业控制耦合风险脆弱基线的判断依据。三个维度构成范式化结构,呈现三个不同的视角,第一视角为过程视角,通过过程能清晰看到某个生产过程在哪些域中因哪些安全攻击产生了哪些安全日志。第二个域视角,通过域能清晰看到某个域,有哪些生产过程,在哪些安全攻击产生了哪些安全日志。第三个视角为安全攻击维度,即通过某个安全攻击,能够清晰看到在某个生产过程中,在哪些域,产生了安全日志。
范式化结构的三维结构设定后,基于步骤203设置监测点所采集到安全日志,首先确立安全日志所涉及的过程。过程标签主要依据安全日志产生来源主要依据工业业务场景的具体业务流,将安全日志进行过程标签。其次通过安全日志产生源的位置判断域维度(步骤2051)。最后以ATT&CK工业安全模型的11种攻击战术和81种攻击技术为视角的通用因子维度,将安全日志进行通用因子标签,最终向管理员呈现工业互联网多域结构化的安全数据安全威胁融合分析视图,并从三个维度向管理员展现风险。
在应用过程中,范式化结构为管理员或上层应用(工业态势平台)提供三个视角。过程化视角,可以让管理员和上层应用以实际工业生产过程为线索,检索物理域、信息域、控制域等相应风险。结构化视角,可以让管理员和上层应用以域视角,观察各域产生的安全风险。安全攻击视角,可以让管理员和上层应用以安全攻击技术为线索,在各域中存在哪些风险。
因此,范式化结构从三个维度,将工业互联网跨域安全数据无缝融合,并能够以三个视角清晰的识别工业互联网各域的安全风险。
实施例2
本发明实施例2提供一种工业互联网威胁识别系统,所述系统应用于实施例1的方法,所述系统包括:工业资产约束基线管理库模块,用于构建工业资产约束基线管理库;所述工业资产约束基线管理库中包括每个工业资产的物理约束基线和运行约束基线。耦合脆弱风险基线库构建模块,用于基于所述工业资产约束基线管理库,采用物理域与信息域安全数据融合的SATMP-SafeSec威胁识别方法,构建耦合脆弱风险基线库。监测点确定模块,用于基于所述耦合脆弱风险基线库确定工业互联网的监测点。威胁识别模块,用于基于所述工业资产约束基线管理库和所述耦合脆弱风险基线库对每个监测点的安全日志进行安全威胁识别,确定每个监测点的安全日志的过程标签、域纬度标签和通用因子标签。
对于每个模块的功能的实现方式与实施例1中各步骤的具体实现方式相同,在此不再赘述。
实施例3
本发明实施例3提供一种电子设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述的控制方法。
此外,上述的存储器中的计算机程序通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器、随机存取存储器、磁碟或者光盘等各种可以存储程序代码的介质。
根据本发明提供的具体实施例,本发明公开了以下技术效果:
本发明实施例中的工业资产管理模型,实现全网工业资产主动探测、被动探测管理,以及工业资产物理约束、运行约束的基线管理,为工业资产在生产或运行过程中,是否因工业互联网安全威胁而违反基线,提供可靠依据。
本发明使用的物理域与信息域安全数据融合的SATMP-SafeSec威胁识别方法,是从工业控制系统以及每个子控制流程进行耦合性脆弱分析,最终形成耦合性脆弱基线库,为工业资产在生产或运行过程中,是否因工业互联网安全威胁而违反基线,提供可靠依据。
工业互联网范式结构数据模型,以过程维度、攻击维度、数据维度,构建的三维范式结构。该结构的过程维度实现了物理域与信息域安全数据融合。该结构的攻击维度基于约束基线和耦合脆弱基线,通过ATT&CK工业安全模型,实现各域的每条安全数据风险标签化,为工业互联网威胁识别提供可靠依据。该结构数据维度,为工业互联网威胁识别提供可靠数据源。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的控制方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种工业互联网威胁识别方法,其特征在于,所述方法包括如下步骤:
构建工业资产约束基线管理库;所述工业资产约束基线管理库中包括每个工业资产的物理约束基线和运行约束基线;
基于所述工业资产约束基线管理库,采用物理域与信息域安全数据融合的SATMP-SafeSec威胁识别方法,构建耦合脆弱风险基线库;
基于所述耦合脆弱风险基线库确定工业互联网的监测点;
基于所述工业资产约束基线管理库和所述耦合脆弱风险基线库对每个监测点的安全日志进行安全威胁识别,确定每个监测点的安全日志的过程标签、域纬度标签和通用因子标签。
2.根据权利要求1所述的工业互联网威胁识别方法,其特征在于,所述构建工业资产约束基线管理库,具体包括:
构建约束基线模板;
对工业互联网进行探测,获得工业互联网中的工业资产;
采用主动信息探测方法确定每个所述工业资产的约束;
将基线模板与每个工业资产的约束进行关联,构建所述工业资产约束基线管理库。
3.根据权利要求2所述的工业互联网威胁识别方法,其特征在于,所述对工业互联网进行探测,获得工业互联网中的工业资产,具体包括:
确定工业互联网的测绘域边界;所述测绘域边界为信息域、网络域、控制域和物理域的边界;
基于所述测绘域边界,分别对工业互联网的信息域、网络域、控制域和物理域进行主动测绘,获取工业互联网中的第一工业资产;所述主动测绘为根据测绘协议,对工业互联网的端口进行主动扫描;
基于所述测绘域边界,分别对工业互联网的信息域、网络域、控制域和物理域进行被动测绘,获取工业互联网中的第二工业资产;所述被动测绘为根据测绘协议,对工业互联网的域边界流量进行监听;所述第一工业资产和所述第二工业资产均属于所述工业资产。
4.根据权利要求3所述的工业互联网威胁识别方法,其特征在于,所述测绘协议为TCP/UDP协议和/或工业设备网络协议。
5.根据权利要求3所述的工业互联网威胁识别方法,其特征在于,所述基于所述工业资产约束基线管理库,采用物理域与信息域安全数据融合的SATMP-SafeSec威胁识别方法,构建耦合脆弱风险基线库,具体包括:
从工业互联网的整个工业控制系统层面,采用物理域与信息域安全数据融合的SATMP-SafeSec威胁识别方法,确定工业互联网的系统损失、系统风险、融合约束风险和控制层风险,构建外环控制脆弱风险基线库;所述融合约束风险为基于工业资产约束基线管理库确定的,所述控制层风险为基于控制基线绘制的异常控制逻辑所产生的安全风险;
基于工业资产约束基线管理库,采用物理域与信息域安全数据融合的SATMP-SafeSec威胁识别方法,分析控制行为、系统变量、系统状态和系统缺陷存在的风险及产生控制行为、系统变量、系统状态和系统缺陷的异常控制命令,构建内环控制脆弱风险基线库;
所述外环控制脆弱风险基线库和所述内环控制脆弱风险基线库组成所述耦合脆弱风险基线库。
6.根据权利要求1所述的工业互联网威胁识别方法,其特征在于,所述基于所述工业资产约束基线管理库和所述耦合脆弱风险基线库对每个监测点的安全日志进行安全威胁识别,确定每个监测点的安全日志的过程标签、域纬度标签和通用因子标签,具体包括:
依据安全日志的来源,确定安全日志的过程标签;所述过程标签包括信息流、控制流和数据流;
根据安全日志的监测点所处的域,确定安全日志的域纬度标签;所述域纬度标签包括信息域、网络域、控制域和物理域;
基于所述工业资产约束基线管理库和所述耦合脆弱风险基线库确定所述安全日志的通用因子标签。
7.根据权利要求6所述的工业互联网威胁识别方法,其特征在于,所述基于所述工业资产约束基线管理库和所述耦合脆弱风险基线库确定所述安全日志的通用因子标签,具体包括:
基于所述工业资产约束基线管理库确定所述安全日志是否为风险日志;
当所述安全日志为风险日志时,基于所述耦合脆弱风险基线库确定产生所述风险日志的攻击类型作为所述通用因子标签;所述攻击类型为ATT&CK工业安全模型中的攻击类型。
8.根据权利要求1所述的工业互联网威胁识别方法,其特征在于,所述基于所述工业资产约束基线管理库和所述耦合脆弱风险基线库对每个监测点的安全日志进行安全威胁识别,确定每个监测点的安全日志的过程标签、域纬度标签和通用因子标签,之后还包括:
基于每个监测点的安全日志的过程标签、域纬度标签和通用因子标签,构建三维范式模型。
9.一种工业互联网威胁识别系统,其特征在于,所述系统应用于权利要求1-8任一项所述方法,所述系统包括:
工业资产约束基线管理库模块,用于构建工业资产约束基线管理库;所述工业资产约束基线管理库中包括每个工业资产的物理约束基线和运行约束基线;
耦合脆弱风险基线库构建模块,用于基于所述工业资产约束基线管理库,采用物理域与信息域安全数据融合的SATMP-SafeSec威胁识别方法,构建耦合脆弱风险基线库;
监测点确定模块,用于基于所述耦合脆弱风险基线库确定工业互联网的监测点;
威胁识别模块,用于基于所述工业资产约束基线管理库和所述耦合脆弱风险基线库对每个监测点的安全日志进行安全威胁识别,确定每个监测点的安全日志的过程标签、域纬度标签和通用因子标签。
10.一种电子设备,其特征在于,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1至8中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211486474.2A CN115550064B (zh) | 2022-11-25 | 2022-11-25 | 一种工业互联网威胁识别方法、系统及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211486474.2A CN115550064B (zh) | 2022-11-25 | 2022-11-25 | 一种工业互联网威胁识别方法、系统及电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115550064A true CN115550064A (zh) | 2022-12-30 |
CN115550064B CN115550064B (zh) | 2023-04-07 |
Family
ID=84719719
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211486474.2A Active CN115550064B (zh) | 2022-11-25 | 2022-11-25 | 一种工业互联网威胁识别方法、系统及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115550064B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180157838A1 (en) * | 2016-12-07 | 2018-06-07 | General Electric Company | Feature and boundary tuning for threat detection in industrial asset control system |
CN111881452A (zh) * | 2020-07-17 | 2020-11-03 | 哈尔滨工业大学(威海) | 一种面向工控设备的安全测试系统及其工作方法 |
CN112637220A (zh) * | 2020-12-25 | 2021-04-09 | 中能融合智慧科技有限公司 | 一种工控系统安全防护方法及装置 |
CN113326508A (zh) * | 2021-06-04 | 2021-08-31 | 中国电子信息产业集团有限公司第六研究所 | 一种平台安全风险的评估方法及评估装置 |
-
2022
- 2022-11-25 CN CN202211486474.2A patent/CN115550064B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180157838A1 (en) * | 2016-12-07 | 2018-06-07 | General Electric Company | Feature and boundary tuning for threat detection in industrial asset control system |
CN111881452A (zh) * | 2020-07-17 | 2020-11-03 | 哈尔滨工业大学(威海) | 一种面向工控设备的安全测试系统及其工作方法 |
CN112637220A (zh) * | 2020-12-25 | 2021-04-09 | 中能融合智慧科技有限公司 | 一种工控系统安全防护方法及装置 |
CN113326508A (zh) * | 2021-06-04 | 2021-08-31 | 中国电子信息产业集团有限公司第六研究所 | 一种平台安全风险的评估方法及评估装置 |
Also Published As
Publication number | Publication date |
---|---|
CN115550064B (zh) | 2023-04-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20230011004A1 (en) | Cyber security sandbox environment | |
CN113486351A (zh) | 一种民航空管网络安全检测预警平台 | |
Sikos | AI in digital forensics: Ontology engineering for cybercrime investigations | |
Gonçalves et al. | Towards a conceptual model for software-intensive system-of-systems | |
CN106778210B (zh) | 一种基于免疫学习的工业控制系统功能安全验证方法 | |
CN113642023A (zh) | 数据安全检测模型训练、数据安全检测方法、装置及设备 | |
CN113794276A (zh) | 一种基于人工智能的配电网终端安全行为监测系统及方法 | |
Li et al. | Using data mining methods to detect simulated intrusions on a modbus network | |
Zeng et al. | Intrusion detection in SCADA system: A survey | |
CN115001934A (zh) | 一种工控安全风险分析系统及方法 | |
Kanade | Securing drone-based ad hoc network using blockchain | |
CN115664703A (zh) | 一种基于多维度信息的攻击溯源方法 | |
CN113965497A (zh) | 服务器异常识别方法、装置、计算机设备及可读存储介质 | |
CN113904910A (zh) | 一种基于运维系统的智能资产发现方法及装置 | |
CN115550064B (zh) | 一种工业互联网威胁识别方法、系统及电子设备 | |
CN112256687A (zh) | 一种数据处理的方法和装置 | |
Malik et al. | Dynamic risk assessment and analysis framework for large-scale cyber-physical systems | |
Salazar et al. | Monitoring approaches for security and safety analysis: application to a load position system | |
Ding | [Retracted] Construction of a Safety Management System for University Laboratories Based on Artificial Intelligence and IoT Technology | |
CN113569236A (zh) | 一种物联网终端安全监测防护方法和系统 | |
Aleksieva et al. | Model of Controlled Environment based on Blockchain and IoT | |
Li et al. | A Survey of Artificial Intelligence for Industrial Detection | |
Almutairi | Smart Home IoT Privacy and Security Preservation via Machine Learning Techniques. | |
Weiming et al. | Application of Computer Artificial Intelligence Technology to Control Engineering in Mechanical Automation and Electronic Engineering | |
Liang et al. | Research and Application of Cybersecurity Situation Awareness for Smart Grid Power Control System |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |