CN115603990A - 一种工控系统安全状态评估方法及系统 - Google Patents
一种工控系统安全状态评估方法及系统 Download PDFInfo
- Publication number
- CN115603990A CN115603990A CN202211221394.4A CN202211221394A CN115603990A CN 115603990 A CN115603990 A CN 115603990A CN 202211221394 A CN202211221394 A CN 202211221394A CN 115603990 A CN115603990 A CN 115603990A
- Authority
- CN
- China
- Prior art keywords
- security
- information
- industrial
- safety
- event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/084—Backpropagation, e.g. using gradient descent
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Networks & Wireless Communication (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Signal Processing (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Testing And Monitoring For Control Systems (AREA)
Abstract
本发明公开了一种工控系统安全状态评估方法及系统,方法包括:获取历史工业信息安全事件的日志报文的核心日志参数信息,基于历史工业信息安全事件的核心日志参数信息建立安全事件典型日志参数信息;基于安全事件典型日志参数信息构建典型日志参数匹配模型;构建安全事件典型日志参数信息、安全事件反映的网络设备节点位置、安全事件类型及引起安全事件反映的网络设备节点状态的关联关系表;将当前突发工业信息安全事件的核心日志参数信息输入典型日志参数匹配模型得到目标参数,将目标参数与关联关系表进行匹配得到安全状态评估结果。本发明从多个维度对工控系统进行状态鉴定,提升了评估的全面性及可参考性,保障了工控系统的安全评估效果。
Description
技术领域
本发明涉及安全评估技术领域,具体涉及一种工控系统安全状态评估方法及系统。
背景技术
随着工控企业中的网络设备和安全设备的逐渐增多,越来越多的工业信息安全的问题也接踵而来。在工业信息传输过程中,工控系统经常要面临一些各式各样的工业安全问题,例如工业参数篡改,工业网络攻击以及其他安全攻击事件,上述各种工业信息安全事件的发生严重影响了企业的工业信息安全;为保证工业信息的保密性与安全性,需要及时对工控系统的安全状态进行评估。当前的安全评估技术多应用于网络安全评估,并没有针对工控系统的安全状态全面评估方法。
发明内容
有鉴于此,本申请公开一种工控系统安全状态评估方法及系统,用以解决背景技术中的指出的技术缺陷。
为达到上述目的,本发明提供如下技术方案:
本发明实施例提供了一种工控系统安全状态评估方法,包括:
获取历史工业信息安全事件的日志报文,所述日志报文包括核心日志参数信息,并基于历史工业信息安全事件的核心日志参数信息建立安全事件典型日志参数信息;
利用安全事件典型日志参数信息对神经网络模型进行训练,得到典型日志参数匹配模型;
构建安全事件典型日志参数信息、安全事件反映的网络设备节点位置、安全事件类型以及引起安全事件反映的网络设备节点状态的关联关系表;
将当前突发工业信息安全事件对应的核心日志参数信息,输入所述典型日志参数匹配模型得到目标参数,并将目标参数与所述关联关系表进行匹配,得到对所述当前突发工业信息安全事件对应的安全状态评估结果。
在一实施例中,所述将目标参数与所述关联关系表进行匹配,得到对所述当前突发工业信息安全事件对应的安全状态评估结果的过程包括:
将目标参数输入到关联关系表得到安全事件反映的网络设备节点位置、安全事件类型以及引起安全事件反映的网络设备节点位置的节点状态对应关系,根据所述对应关系确定突发工业信息安全事件的安全事件反映的网络设备节点位置、安全事件类型以及引起安全事件反映的网络设备节点位置的节点状态。
在一实施例中,所述得到对所述当前突发工业信息安全事件对应的安全状态评估结果的步骤之后,还包括:
将所述突发工业信息安全事件的安全事件反映的网络设备节点位置状态、安全事件类型状态以及引起安全事件反映的网络设备节点位置的节点状态进行汇总,形成突发工业信息安全事件的安全状态评估报告。
在一实施例中,所述核心日志参数信息包括:日志类型,日志内容,日志摘要信息,日志源地址。
本发明实施例还提供了一种工控系统安全状态评估系统,包括:
日志获取模块,用于获取历史工业信息安全事件的日志报文,所述日志报文包括核心日志参数信息,并基于历史工业信息安全事件的核心日志参数信息建立安全事件典型日志参数信息;
模型构建模块,用于利用安全事件典型日志参数信息对神经网络模型进行训练,得到典型日志参数匹配模型;
关联关系表构建模块,用于构建安全事件典型日志参数信息、安全事件反映的网络设备节点位置、安全事件类型以及引起安全事件反映的网络设备节点状态的关联关系表;
安全状态评估模块,用于将当前突发工业信息安全事件对应的核心日志参数信息,输入所述典型日志参数匹配模型得到目标参数,并将目标参数与所述关联关系表进行匹配,得到对所述当前突发工业信息安全事件对应的安全状态评估结果。
在一实施例中,所述工控系统安全状态评估系统,还包括:报告生成模块,用于将所述安全事件反映的网络设备节点位置、安全事件类型及网络设备的节点状态进行汇总,形成突发工业信息安全事件的安全状态评估报告。
在一实施例中,所述工控系统安全状态评估系统,还包括:缓存模块,用于对突发工业信息安全事件的安全状态评估报告进行缓存存储。
在一实施例中,所述工控系统安全状态评估系统,还包括:报告反馈模块,用于对突发工业信息安全事件的安全状态评估报告进行展示,以及根据安全状态评估报告生成安全事件的应对措施。
本发明实施例还提供了一种电子设备,包括:
存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行本发明实施例提供的工控系统安全状态评估方法。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行本发明实施例提供的工控系统安全状态评估方法。
本发明技术方案,具有如下优点:
本发明提供了一种工控系统安全状态评估方法及系统,首先获取历史工业信息安全事件的日志报文的核心日志参数信息,基于历史工业信息安全事件的核心日志参数信息建立安全事件典型日志参数信息;然后基于安全事件典型日志参数信息构建典型日志参数匹配模型;并构建安全事件典型日志参数信息、安全事件反映的网络设备节点位置、安全事件类型及引起安全事件反映的网络设备节点状态的关联关系表;最后将当前突发工业信息安全事件的核心日志参数信息输入典型日志参数匹配模型得到目标参数,将目标参数与关联关系表进行匹配得到对应的安全状态评估结果。本发明实施例从多个维度对工控系统进行状态鉴定,从而提升了评估的全面性以及可参考性,保障了工控系统的安全评估效果。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中的工控系统安全状态评估方法的流程图;
图2为本发明实施例中的工控系统安全状态评估系统的一个示例的功能模块组成图;
图3为本发明实施例中的工控系统安全状态评估系统的另一个示例的功能模块组成图;
图4为本发明实施例中的电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供了一种工控系统安全状态评估方法,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,如图1所示,包括如下步骤:
步骤S1:获取历史工业信息安全事件的日志报文,所述日志报文包括核心日志参数信息,并基于历史工业信息安全事件的核心日志参数信息建立安全事件典型日志参数信息。
所述核心日志参数信息可以包括突发工业信息安全事件的日志报文所反映的关键核心日志参数,例如日志类型,日志内容,日志摘要信息,日志源地址等,仅作为举例,不以此为限。
步骤S2:利用安全事件典型日志参数信息对神经网络模型进行训练,得到典型日志参数匹配模型。
在实际应该中,该神经网络模型可以为BP神经网络模型或深度卷积神经网络模型,仅作为举例,不以此为限。本发明实施例利用神经网络模型学习核心日志参数信息与安全事件典型日志参数信息之间的对应关系,从而对实时获取的安全事件的日志报文的核心日志参数信息进行判别,是否为典型日志参数信息,如果是则输出其对应的典型日志参数作为目标参数。
步骤S3:构建安全事件典型日志参数信息、安全事件反映的网络设备节点位置、安全事件类型以及引起安全事件反映的网络设备节点状态的关联关系表。
步骤S4:将当前突发工业信息安全事件对应的核心日志参数信息,输入所述典型日志参数匹配模型得到目标参数,并将目标参数与所述关联关系表进行匹配,得到对所述当前突发工业信息安全事件对应的安全状态评估结果。
本发明实施例将当前突发工业信息安全事件对应的核心日志参数信息输入到典型日志参数匹配模型,将匹配到的安全事件典型日志参数信息作为目标参数,并将目标参数输入到关联关系表得到安全事件反映的网络设备节点位置、安全事件类型以及引起安全事件反映的网络设备节点位置的节点状态对应关系,根据所述对应关系确定突发工业信息安全事件的安全事件反映的网络设备节点位置、安全事件类型以及引起安全事件反映的网络设备节点位置的节点状态。
本发明实施例基于安全状态评估模型以及核心日志参数信息,对突发工业信息安全事件的当前工业信息安全状态进行确定,从多个维度进行状态鉴定,然后汇总多个维度的状态结果形成突发工业信息安全事件的安全状态评估报告,从而提升了评估的全面性以及可参考性,保障了工控系统的安全评估效果。
在一实施例中,在获取到安全状态评估结果之后,将突发工业信息安全事件的安全事件反映的网络设备节点位置状态、安全事件类型状态以及引起安全事件反映的网络设备节点位置的节点状态进行汇总,形成突发工业信息安全事件的安全状态评估报告,以供运维人员进行参考。在实际中,生成安全状态评估报告一方面可以对突发的突发工业信息安全事件的情况进行实时记录,另一方面运维人员通过对一段时间的评估报告进行分析,可以进一步对工控系统进行维护更新,从而保证工控系统的安全稳定运行,或者对出现异常频率高的设备进行更新维护。
本发明实施例还提供一种工控系统安全状态评估系统,如图2所示,包括:
日志获取模块1,用于获取历史工业信息安全事件的日志报文,所述日志报文包括核心日志参数信息,并基于历史工业信息安全事件的核心日志参数信息建立安全事件典型日志参数信息,详细内容参见上述方法实施例中步骤S1的相关描述,在此不再进行赘述。
模型构建模块2,用于利用安全事件典型日志参数信息对神经网络模型进行训练,得到典型日志参数匹配模型;详细内容参见上述方法实施例中步骤S2的相关描述,在此不再进行赘述。
关联关系表构建模块3,用于用于构建安全事件典型日志参数信息、安全事件反映的网络设备节点位置、安全事件类型以及引起安全事件反映的网络设备节点状态的关联关系表;详细内容参见上述方法实施例中步骤S3的相关描;
安全状态评估模块4,用于将当前突发工业信息安全事件对应的核心日志参数信息,输入所述典型日志参数匹配模型得到目标参数,并将目标参数与所述关联关系表进行匹配,得到对所述当前突发工业信息安全事件对应的安全状态评估结果;详细内容参见上述方法实施例中步骤S4的相关描述,在此不再进行赘述。
在一较佳实施中,上述工控系统安全状态评估系统,如图3所示,还包括:
报告生成模块5,用于将所述安全事件反映的网络设备节点位置、安全事件类型及网络设备的节点状态进行汇总,形成突发工业信息安全事件的安全状态评估报告。
缓存模块6,用于对突发工业信息安全事件的安全状态评估报告进行缓存存储,以方便运维人员随时进行调用安全状态评估报告。
报告反馈模块7,用于对突发工业信息安全事件的安全状态评估报告进行展示,以及根据安全状态评估报告生成安全事件的应对措施。
本实施例中的工控系统安全状态评估系统是以功能单元的形式来呈现,这里的单元是指执行一个或多个软件或固定程序的处理器和存储器,和/或其他可以提供上述功能的器件。
上述各个模块的更进一步的功能描述与上述对应实施例相同,在此不再赘述。
根据本发明实施例还提供了一种电子设备,如图4所示,该电子设备可以包括处理器901和存储器902,其中处理器901和存储器902可以通过总线或者其他方式连接,图4中以通过总线连接为例。
处理器901可以为中央处理器(Central Processing Unit,CPU)。处理器901还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。
存储器902作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块,如本发明方法实施例中的方法所对应的程序指令/模块。处理器901通过运行存储在存储器902中的非暂态软件程序、指令以及模块,从而执行处理器的各种功能应用以及数据处理,即实现上述方法实施例中的方法。
存储器902可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储处理器901所创建的数据等。此外,存储器902可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器902可选包括相对于处理器901远程设置的存储器,这些远程存储器可以通过网络连接至处理器901。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
一个或者多个模块存储在存储器902中,当被处理器901执行时,执行上述方法实施例中的方法。
上述电子设备具体细节可以对应参阅上述方法实施例中对应的相关描述和效果进行理解,此处不再赘述。
本领域技术人员可以理解,实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random Access Memory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-StateDrive,SSD)等;存储介质还可以包括上述种类的存储器的组合。
虽然结合附图描述了本发明的实施例,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。
Claims (10)
1.一种工控系统安全状态评估方法,其特征在于,包括:
获取历史工业信息安全事件的日志报文,所述日志报文包括核心日志参数信息,并基于历史工业信息安全事件的核心日志参数信息建立安全事件典型日志参数信息;
利用安全事件典型日志参数信息对神经网络模型进行训练,得到典型日志参数匹配模型;
构建安全事件典型日志参数信息、安全事件反映的网络设备节点位置、安全事件类型以及引起安全事件反映的网络设备节点状态的关联关系表;
将当前突发工业信息安全事件对应的核心日志参数信息,输入所述典型日志参数匹配模型得到目标参数,并将目标参数与所述关联关系表进行匹配,得到对所述当前突发工业信息安全事件对应的安全状态评估结果。
2.根据权利要求1所述的工控系统安全状态评估方法,其特征在于,所述将目标参数与所述关联关系表进行匹配,得到对所述当前突发工业信息安全事件对应的安全状态评估结果的过程,包括:
将目标参数输入到关联关系表得到安全事件反映的网络设备节点位置、安全事件类型以及引起安全事件反映的网络设备节点位置的节点状态对应关系,根据所述对应关系确定突发工业信息安全事件的安全事件反映的网络设备节点位置、安全事件类型以及引起安全事件反映的网络设备节点位置的节点状态。
3.根据权利要求2所述的工控系统安全状态评估方法,其特征在于,所述得到对所述当前突发工业信息安全事件对应的安全状态评估结果的步骤之后,还包括:
将所述突发工业信息安全事件的安全事件反映的网络设备节点位置状态、安全事件类型状态以及引起安全事件反映的网络设备节点位置的节点状态进行汇总,形成突发工业信息安全事件的安全状态评估报告。
4.根据权利要求1所述的工控系统安全状态评估方法,其特征在于,所述核心日志参数信息包括:日志类型,日志内容,日志摘要信息,日志源地址。
5.一种工控系统安全状态评估系统,其特征在于,包括:
日志获取模块,用于获取历史工业信息安全事件的日志报文,所述日志报文包括核心日志参数信息,并基于历史工业信息安全事件的核心日志参数信息建立安全事件典型日志参数信息;
模型构建模块,用于利用安全事件典型日志参数信息对神经网络模型进行训练,得到典型日志参数匹配模型;
关联关系表构建模块,用于构建安全事件典型日志参数信息、安全事件反映的网络设备节点位置、安全事件类型以及引起安全事件反映的网络设备节点状态的关联关系表;
安全状态评估模块,用于将当前突发工业信息安全事件对应的核心日志参数信息,输入所述典型日志参数匹配模型得到目标参数,并将目标参数与所述关联关系表进行匹配,得到对所述当前突发工业信息安全事件对应的安全状态评估结果。
6.根据权利要求5所述的工控系统安全状态评估系统,其特征在于,还包括:
报告生成模块,用于将所述安全事件反映的网络设备节点位置、安全事件类型及网络设备的节点状态进行汇总,形成突发工业信息安全事件的安全状态评估报告。
7.根据权利要求6所述的工控系统安全状态评估系统,其特征在于,还包括:缓存模块,用于对突发工业信息安全事件的安全状态评估报告进行缓存存储。
8.根据权利要求7所述的工控系统安全状态评估系统,其特征在于,还包括:报告反馈模块,用于对突发工业信息安全事件的安全状态评估报告进行展示,以及根据安全状态评估报告生成安全事件的应对措施。
9.一种电子设备,其特征在于,包括:
存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行权利要求1-4中任一项所述的工控系统安全状态评估方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行权利要求1-4中任一项所述的工控系统安全状态评估方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211221394.4A CN115603990A (zh) | 2022-10-08 | 2022-10-08 | 一种工控系统安全状态评估方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211221394.4A CN115603990A (zh) | 2022-10-08 | 2022-10-08 | 一种工控系统安全状态评估方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115603990A true CN115603990A (zh) | 2023-01-13 |
Family
ID=84844774
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211221394.4A Pending CN115603990A (zh) | 2022-10-08 | 2022-10-08 | 一种工控系统安全状态评估方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115603990A (zh) |
-
2022
- 2022-10-08 CN CN202211221394.4A patent/CN115603990A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210392152A1 (en) | Intrusion detection using robust singular value decomposition | |
CN108924084B (zh) | 一种网络设备安全评估方法及装置 | |
CN111343009B (zh) | 服务告警通知方法及装置、存储介质、电子设备 | |
CN109164780A (zh) | 一种基于边缘计算的工业现场设备控制方法、装置及系统 | |
CN114363044B (zh) | 一种分层告警方法、系统、存储介质和终端 | |
CN113660296B (zh) | 一种工控系统防攻击性能的检测方法、装置及计算机设备 | |
US20160269431A1 (en) | Predictive analytics utilizing real time events | |
CN103378991A (zh) | 一种在线服务异常监测方法及其监测系统 | |
CN111738463A (zh) | 运维方法、装置、系统、电子设备及存储介质 | |
CN114567538A (zh) | 告警信息处理方法及装置 | |
CN115622867A (zh) | 一种工控系统安全事件预警分类方法及系统 | |
CN112532435A (zh) | 一种运维方法、运维管理平台、设备及介质 | |
CN113965497B (zh) | 服务器异常识别方法、装置、计算机设备及可读存储介质 | |
CN116418653A (zh) | 基于多指标根因定位算法的故障定位方法及装置 | |
CN111191230B (zh) | 一种基于卷积神经网络的快速网络攻击回溯挖掘方法和应用 | |
CN115603990A (zh) | 一种工控系统安全状态评估方法及系统 | |
CN107682173B (zh) | 基于交易模型的自动故障定位方法和系统 | |
CN115834345A (zh) | 一种告警数据的处理方法、装置、设备及介质 | |
Boudermine et al. | Attack graph-based solution for vulnerabilities impact assessment in dynamic environment | |
CN113254313A (zh) | 一种监控指标异常检测方法、装置、电子设备及存储介质 | |
CN113127855A (zh) | 安全防护系统及方法 | |
CN115348109B (zh) | 工业生产威胁预警方法、系统、电子设备及存储介质 | |
CN117499161B (zh) | 网络安全测试方法、装置、电子设备和存储介质 | |
CN116185765B (zh) | 一种告警处理方法、装置、电子设备及存储介质 | |
CN116366466B (zh) | 还原工业现场环境的方法、装置和可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |