CN115659307A - 现场工控终端设备的安全防护方法、装置、设备及介质 - Google Patents
现场工控终端设备的安全防护方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN115659307A CN115659307A CN202211269377.8A CN202211269377A CN115659307A CN 115659307 A CN115659307 A CN 115659307A CN 202211269377 A CN202211269377 A CN 202211269377A CN 115659307 A CN115659307 A CN 115659307A
- Authority
- CN
- China
- Prior art keywords
- control terminal
- industrial control
- behavior data
- data
- terminal equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 31
- 230000006399 behavior Effects 0.000 claims abstract description 124
- 238000012544 monitoring process Methods 0.000 claims abstract description 34
- 238000004590 computer program Methods 0.000 claims description 12
- 238000012545 processing Methods 0.000 claims description 6
- 238000012216 screening Methods 0.000 claims description 6
- 238000004458 analytical method Methods 0.000 claims description 2
- 238000001514 detection method Methods 0.000 description 7
- 238000007726 management method Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 4
- 230000007123 defense Effects 0.000 description 3
- 238000007405 data analysis Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 238000007792 addition Methods 0.000 description 1
- 238000012098 association analyses Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000010219 correlation analysis Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Alarm Systems (AREA)
Abstract
本发明公开了一种现场工控终端设备的安全防护方法、装置、设备及介质,涉及工控终端安全防护技术领域,该方法包括对当前时刻现场工控终端设备的物理环境监控视频数据和日志数据进行关联,得到目标关联行为数据;所述目标关联行为数据由当前时刻的目标物理访问行为数据和目标设备操作行为数据组成;将目标关联行为数据与风险识别数据库中的样本关联行为数据进行匹配,并当所述目标关联行为数据与样本关联行为数据未匹配成功时,确定当前时刻现场工控终端设备的行为为风险行为,输出拦截指令。本发明能够简单高效地识别风险行为。
Description
技术领域
本发明涉及工控终端安全防护技术领域,特别是涉及一种现场工控终端设备的安全防护方法、装置、设备及介质。
背景技术
工业环境由于相对封闭、专用的特性,以使现场工控终端设备缺乏安全保护措施,更新缓慢,难以升级,且通用防护软件由于兼容性和专业性问题,无法满足现场工控终端设备在安全保障背景下的主动防御、联防联动的需求。
目前,现场工控终端设备的安全防护手段仅有一种,即在现场工控终端设备上部署白名单软件,实现现场工控终端设备的安全审计和防御,但是软件更新升级仍然缓慢。因此,易用有效、便捷的安全防护方法是现场工控终端设备安全发展的需求。
发明内容
本发明的目的是提供一种现场工控终端设备的安全防护方法、装置、设备及介质,能够简单高效地识别风险行为。
为实现上述目的,本发明提供了如下方案:
第一方面,本发明提供了一种现场工控终端设备的安全防护方法,包括:
获取当前时刻现场工控终端设备的物理环境监控视频数据和日志数据;
对所述物理环境监控视频数据和所述日志数据进行关联,得到目标关联行为数据;所述目标关联行为数据由当前时刻的目标物理访问行为数据和目标设备操作行为数据组成;
将目标关联行为数据与风险识别数据库中的样本关联行为数据进行匹配,并当所述目标关联行为数据与样本关联行为数据未匹配成功时,确定当前时刻现场工控终端设备的行为为风险行为,输出拦截指令。
第二方面,本发明提供了一种现场工控终端设备的安全防护装置,至少包括:终端安全管理平台;
所述终端安全管理平台,包括:
数据获取模块,用于获取当前时刻现场工控终端设备的物理环境监控视频数据和日志数据;
目标关联行为数据确定模块,用于对所述物理环境监控视频数据和所述日志数据进行关联,得到目标关联行为数据;所述目标关联行为数据由当前时刻的目标物理访问行为数据和目标设备操作行为数据组成;
风险行为识别模块,用于将目标关联行为数据与风险识别数据库中的样本关联行为数据进行匹配,并当所述目标关联行为数据与样本关联行为数据未匹配成功时,确定当前时刻现场工控终端设备的行为为风险行为,输出拦截指令。
第三方面,本发明提供了一种电子设备,包括存储器及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行根据第一方面所述的现场工控终端设备的安全防护方法。
第四方面,本发明提供了一种计算机可读存储介质,其存储有计算机程序,所述计算机程序被处理器执行时实现第一方面所述的现场工控终端设备的安全防护方法。
根据本发明提供的具体实施例,本发明公开了以下技术效果:
本发明将现场工控终端设备的物理环境监控视频数据和日志数据,在不影响现场工控终端设备正常运行的情况下,检测风险行为,同时可根据风险行为对应的关联行为实现风险行为的有效追溯。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明现场工控终端设备的安全防护方法的流程示意图;
图2为本发明终端安全管理平台的结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
实施例一
如图1所示,本发明实施例提供了一种现场工控终端设备的安全防护方法,包括:
步骤100:获取当前阶段现场工控终端设备的物理环境监控视频数据和日志数据。
步骤200:对所述物理环境监控视频数据和所述日志数据进行关联,得到目标关联行为数据;所述目标关联行为数据由当前时刻的目标物理访问行为数据和目标设备操作行为数据组成。
步骤300:将目标关联行为数据与风险识别数据库中的样本关联行为数据进行匹配,并当所述目标关联行为数据与样本关联行为数据未匹配成功时,确定当前时刻现场工控终端设备的行为为风险行为,输出拦截指令。
作为一种优选的实施方式,本发明实施例所述的步骤100,具体包括:
步骤101:获取当前时刻视频监控摄像头采集的现场工控终端设备的物理环境监控视频数据;所述视频监控摄像头安装在所述现场工控终端设备的物理环境中。
步骤102:获取当前时刻日志采集软件采集的现场工控终端设备的日志数据;所述日志采集软件安装在所述现场工控终端设备中。
作为一种优选的实施方式,本发明实施例所述的风险识别数据库的构建过程为:
S1:获取过去一段时间内的现场工控终端设备的物理环境监控视频数据和日志数据。
S2:对过去一段时间内的现场工控终端设备的物理环境监控视频数据和日志数据进行处理,得到过去一段时间内的样本物理访问行为数据和样本设备操作行为数据。
S3:将过去一段时间内的样本物理访问行为数据和样本设备操作行为数据进行关联,得到多条样本关联行为数据;所述样本关联行为数据由同一时刻的样本物理访问行为数据和样本设备操作行为数据组成。
S4:采用Apriori(关联分析)算法或者朴素贝叶斯算法(分类处理算法)对多条所述样本关联行为数据进行筛选,并根据筛选保留下来的样本关联行为数据,构建风险识别数据库。
其中,所述物理访问行为数据包括时间、操作人员以及对应的访问行为;所述设备操作行为数据包括时间、用户名称、源IP地址、源IP端口、目的IP、目的IP端口以及操作行为;所述操作行为为操作人员在现场工控终端设备上进行登录、增加、删除、修改、查询的行为。
实施例二
为了执行上述实施例一对应的方法,以实现相应的功能和技术效果,下面提供一种现场工控终端设备的安全防护装置。
本发明实施例提供的现场工控终端设备的安全防护装置至少包括:终端安全管理平台。
所述终端安全管理平台,包括:
数据获取模块,用于获取当前时刻现场工控终端设备的物理环境监控视频数据和日志数据。
目标关联行为数据确定模块,用于对所述物理环境监控视频数据和所述日志数据进行关联,得到目标关联行为数据;所述目标关联行为数据由当前时刻的目标物理访问行为数据和目标设备操作行为数据组成。
风险行为识别模块,用于将目标关联行为数据与风险识别数据库中的样本关联行为数据进行匹配,并当所述目标关联行为数据与样本关联行为数据未匹配成功时,确定当前时刻现场工控终端设备的行为为风险行为,输出拦截指令。
进一步地,本发明实施例提供的装置还包括:
视频监控摄像头,部署在现场工控终端设备的物理环境中,用于获取当前时刻现场工控终端设备的物理环境监控视频数据。
日志采集软件,设置在现场工控终端设备上,用于获取当前时刻现场工控终端设备的日志数据。
实施例三
本发明实施例提供了一种新型终端安全管理系统,该新型终端安全管理系统对一段时间内的物理环境监控视频数据、日志数据进行收集、分析以形成风险识别数据库,还可以结合实时日志数据对实时物理环境监控视频数据进行筛选,确定异常行为并进行报警提示。
如图2所示,新型终端安全管理系统包含数据采集模块、数据分析模块、数据智能处理模块、数据检测规则生成模块、检测模块等。
数据采集模块用于收集现场工控终端设备的物理环境监控视频数据和日志数据。
数据分析模块用于对物理环境监控视频数据和日志数据进行分析,得到现场工控终端设备运行过程中的物理访问行为数据和设备操作行为数据,即:梳理现场工控终端设备的日志数据,提取出运行过程对应的时间、用户名称、源IP地址、源IP端口、目的IP、目的IP端口、以及用户在现场工控终端设备本地的登录、增加、删除、修改、查询等操作行为,梳理现场工控终端设备的物理环境监控视频数据,识别出用户对现场工控终端设备的操作场景,提取出对应的时间、操作人员、对应操作等内容。
视频分析模块用于对同一时间点的物理访问行为数据和设备操作行为数据进行关联分析,得到关联行为数据,例如:在时间1具有权限1的用户1使用账号1通过IP1地址对终端设备进行登录、增加、删除、修改、查询等操作,在同一个时间周期(1个小时)使用账号2通过IP1地址的1端口对IP2地址的4端口进行了登录、增加、删除、修改等操作,形成多节点间的操作行为,并形成目标过程的文字和视频跟踪记录,或在时间1具有权限1的用户1使用账号1执行U盘插拔、开机、关机、键盘操作、鼠标操作等物理操作,然后使用权限1账号1对终端设备执行增加、删除、修改、查询等操作。
数据智能处理模块包括数据检测规则生成模块和数据检测模块;该数据检测规则生成模块用于对关联行为数据进行筛选,并根据筛选保留下的关联行驶,生成风险规则策略,并将风险规则策略下发至数据检测模块。
数据检测模块用于对非规则内的用户访问行为进行告警拦截,实现自动拦截潜在攻击的行为。
数据智能处理模块进行多次操作,持续完善风险规则策略,提供风险识别能力。
实施例四
本发明实施例提供一种电子设备包括存储器及处理器,该存储器用于存储计算机程序,该处理器运行计算机程序以使电子设备执行实施例一的现场工控终端设备的安全防护方法。
可选地,上述电子设备可以是服务器。
另外,本发明实施例还提供一种计算机可读存储介质,其存储有计算机程序,该计算机程序被处理器执行时实现实施例一的现场工控终端设备的安全防护方法。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。
Claims (8)
1.一种现场工控终端设备的安全防护方法,其特征在于,包括:
获取当前时刻现场工控终端设备的物理环境监控视频数据和日志数据;
对所述物理环境监控视频数据和所述日志数据进行关联,得到目标关联行为数据;所述目标关联行为数据由当前时刻的目标物理访问行为数据和目标设备操作行为数据组成;
将目标关联行为数据与风险识别数据库中的样本关联行为数据进行匹配,并当所述目标关联行为数据与样本关联行为数据未匹配成功时,确定当前时刻现场工控终端设备的行为为风险行为,输出拦截指令。
2.根据权利要求1所述的一种现场工控终端设备的安全防护方法,其特征在于,所述获取当前时刻现场工控终端设备的物理环境监控视频数据和日志数据,具体包括:
获取当前时刻视频监控摄像头采集的现场工控终端设备的物理环境监控视频数据;所述视频监控摄像头安装在所述现场工控终端设备的物理环境中;
获取当前时刻日志采集软件采集的现场工控终端设备的日志数据;所述日志采集软件安装在所述现场工控终端设备中。
3.根据权利要求1所述的一种现场工控终端设备的安全防护方法,其特征在于,所述风险识别数据库的构建过程为:
获取过去一段时间内的现场工控终端设备的物理环境监控视频数据和日志数据;
对过去一段时间内的现场工控终端设备的物理环境监控视频数据和日志数据进行处理,得到过去一段时间内的样本物理访问行为数据和样本设备操作行为数据;
将过去一段时间内的样本物理访问行为数据和样本设备操作行为数据进行关联,得到多条样本关联行为数据;所述样本关联行为数据由同一时刻的样本物理访问行为数据和样本设备操作行为数据组成;
采用关联分析算法或者朴素贝叶斯算法对多条所述样本关联行为数据进行筛选,并根据筛选保留下来的样本关联行为数据,构建风险识别数据库。
4.根据权利要求1或者3所述的一种现场工控终端设备的安全防护方法,其特征在于,所述物理访问行为数据包括时间、操作人员以及对应的访问行为;所述设备操作行为数据包括时间、用户名称、源IP地址、源IP端口、目的IP、目的IP端口以及操作行为;所述操作行为为操作人员在现场工控终端设备上进行登录、增加、删除、修改、查询的行为。
5.一种现场工控终端设备的安全防护装置,其特征在于,至少包括:终端安全管理平台;
所述终端安全管理平台,包括:
数据获取模块,用于获取当前时刻现场工控终端设备的物理环境监控视频数据和日志数据;
目标关联行为数据确定模块,用于对所述物理环境监控视频数据和所述日志数据进行关联,得到目标关联行为数据;所述目标关联行为数据由当前时刻的目标物理访问行为数据和目标设备操作行为数据组成;
风险行为识别模块,用于将目标关联行为数据与风险识别数据库中的样本关联行为数据进行匹配,并当所述目标关联行为数据与样本关联行为数据未匹配成功时,确定当前时刻现场工控终端设备的行为为风险行为,输出拦截指令。
6.根据权利要求5所述的一种现场工控终端设备的安全防护装置,其特征在于,还包括:
视频监控摄像头,部署在现场工控终端设备的物理环境中,用于获取当前时刻现场工控终端设备的物理环境监控视频数据;
日志采集软件,设置在现场工控终端设备上,用于获取当前时刻现场工控终端设备的日志数据。
7.一种电子设备,其特征在于,包括存储器及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行根据权利要求1至4中任一项所述的现场工控终端设备的安全防护方法。
8.一种计算机可读存储介质,其特征在于,其存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至4中任一项所述的现场工控终端设备的安全防护方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211269377.8A CN115659307A (zh) | 2022-10-18 | 2022-10-18 | 现场工控终端设备的安全防护方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211269377.8A CN115659307A (zh) | 2022-10-18 | 2022-10-18 | 现场工控终端设备的安全防护方法、装置、设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115659307A true CN115659307A (zh) | 2023-01-31 |
Family
ID=84987596
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211269377.8A Pending CN115659307A (zh) | 2022-10-18 | 2022-10-18 | 现场工控终端设备的安全防护方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115659307A (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108307150A (zh) * | 2017-12-29 | 2018-07-20 | 安徽博诺思信息科技有限公司 | 一种具备人员管控功能的可视化现场监控系统及方法 |
| CA3059709A1 (en) * | 2018-10-23 | 2020-04-23 | 10353744 Canada Ltd. | Risk analysis method, device and computer readable medium |
| CN114969084A (zh) * | 2021-02-25 | 2022-08-30 | 中国移动通信集团江苏有限公司 | 异常操作行为检测方法、装置、电子设备及存储介质 |
| CN115001934A (zh) * | 2022-04-27 | 2022-09-02 | 中国大唐集团科学技术研究总院有限公司 | 一种工控安全风险分析系统及方法 |
-
2022
- 2022-10-18 CN CN202211269377.8A patent/CN115659307A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108307150A (zh) * | 2017-12-29 | 2018-07-20 | 安徽博诺思信息科技有限公司 | 一种具备人员管控功能的可视化现场监控系统及方法 |
| CA3059709A1 (en) * | 2018-10-23 | 2020-04-23 | 10353744 Canada Ltd. | Risk analysis method, device and computer readable medium |
| CN114969084A (zh) * | 2021-02-25 | 2022-08-30 | 中国移动通信集团江苏有限公司 | 异常操作行为检测方法、装置、电子设备及存储介质 |
| CN115001934A (zh) * | 2022-04-27 | 2022-09-02 | 中国大唐集团科学技术研究总院有限公司 | 一种工控安全风险分析系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20230011004A1 (en) | Cyber security sandbox environment | |
| CN112131882A (zh) | 一种多源异构网络安全知识图谱构建方法及装置 | |
| CN112637220B (zh) | 一种工控系统安全防护方法及装置 | |
| CN101751535B (zh) | 通过应用程序数据访问分类进行的数据损失保护 | |
| US9300682B2 (en) | Composite analysis of executable content across enterprise network | |
| CN112685737A (zh) | 一种app的检测方法、装置、设备及存储介质 | |
| CN104281808B (zh) | 一种通用的Android恶意行为检测方法 | |
| CN112131571B (zh) | 威胁溯源方法及相关设备 | |
| CN108566392B (zh) | 基于机器学习的防御cc攻击系统与方法 | |
| CN110766329A (zh) | 一种信息资产的风险分析方法、装置、设备及介质 | |
| CN114386032A (zh) | 电力物联网设备的固件检测系统及方法 | |
| CN112565278A (zh) | 一种捕获攻击的方法及蜜罐系统 | |
| Zamiri-Gourabi et al. | Gas what? i can see your gaspots. studying the fingerprintability of ics honeypots in the wild | |
| CN113965497B (zh) | 服务器异常识别方法、装置、计算机设备及可读存储介质 | |
| CN115296888A (zh) | 数据雷达监测系统 | |
| CN116702229B (zh) | 一种安全屋信息安全管控方法及系统 | |
| CN117150488A (zh) | 一种基于时序分析与内存取证的离地攻击检测方法及系统 | |
| CN112685255A (zh) | 一种接口监控方法、装置、电子设备及存储介质 | |
| CN115659307A (zh) | 现场工控终端设备的安全防护方法、装置、设备及介质 | |
| CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
| CN116155519A (zh) | 威胁告警信息处理方法、装置、计算机设备和存储介质 | |
| CN112347066B (zh) | 日志处理方法、装置及服务器和计算机可读存储介质 | |
| Bo et al. | Tom: A threat operating model for early warning of cyber security threats | |
| CN107741956B (zh) | 一种基于web容器配置文件的日志搜索方法 | |
| Benova et al. | Detecting anomalous user behavior from NGINX web server logs |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20230131 |
|
| RJ01 | Rejection of invention patent application after publication |