CN115701889A - 基于soar的油田工控安全监管方法 - Google Patents
基于soar的油田工控安全监管方法 Download PDFInfo
- Publication number
- CN115701889A CN115701889A CN202110816083.1A CN202110816083A CN115701889A CN 115701889 A CN115701889 A CN 115701889A CN 202110816083 A CN202110816083 A CN 202110816083A CN 115701889 A CN115701889 A CN 115701889A
- Authority
- CN
- China
- Prior art keywords
- soar
- event
- industrial control
- asset
- early warning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 238000010586 diagram Methods 0.000 claims abstract description 62
- 230000004044 response Effects 0.000 claims abstract description 37
- 238000004458 analytical method Methods 0.000 claims abstract description 36
- 230000009471 action Effects 0.000 claims abstract description 19
- 230000002159 abnormal effect Effects 0.000 claims description 67
- 238000004891 communication Methods 0.000 claims description 36
- 238000004364 calculation method Methods 0.000 claims description 18
- 238000004519 manufacturing process Methods 0.000 claims description 17
- 238000012544 monitoring process Methods 0.000 claims description 16
- 238000012545 processing Methods 0.000 claims description 8
- 238000010219 correlation analysis Methods 0.000 claims description 7
- 238000012550 audit Methods 0.000 claims description 6
- 238000001914 filtration Methods 0.000 claims description 6
- 230000008859 change Effects 0.000 claims description 5
- 238000002955 isolation Methods 0.000 claims description 4
- 238000007726 management method Methods 0.000 claims description 4
- 230000001360 synchronised effect Effects 0.000 claims description 3
- 230000008569 process Effects 0.000 claims description 2
- 238000003745 diagnosis Methods 0.000 abstract 1
- 239000003921 oil Substances 0.000 description 53
- 230000006399 behavior Effects 0.000 description 12
- 230000000694 effects Effects 0.000 description 3
- 150000001875 compounds Chemical class 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 239000010779 crude oil Substances 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000008030 elimination Effects 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 231100000279 safety data Toxicity 0.000 description 1
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Alarm Systems (AREA)
Abstract
本发明提供一种基于SOAR的油田工控安全监管方法,该基于SOAR的油田工控安全监管方法包括:步骤1,针对在油田工控系统中采集到的示功图日志,进行图像形状分析,确定发生预警时,将预警事件发送至SOAR模块:步骤2,SOAR模块分析得到是否属于攻击安全事件,进而发出针对资产异常的风险告警;步骤3,SOAR模块进行网络根本故障源诊断;步骤4,SOAR模块对判断为具有风险的工控设备所属的网络区域进行相应的响应动作。该基于SOAR的油田工控安全监管方法降低事件响应的错误率,同时降低了由人为判定带来的误差,整体提高了油田工控安全的安全可靠的监管能力。
Description
技术领域
本发明涉及油田安全监管技术领域,特别是涉及到一种基于SOAR的油田工控安全监管方法。
背景技术
面对海量的油田安全数据.只有分析提炼出有价值的情报来辅助决策,进而才能进行正确的处置。从风险管理的角度来说,作为海量安全数据的事件(Event)只代表一种客观的状态,初步分析提炼可以加工成需要关注的告警(Alert),与事件(Event)相比,告警(Alert)数量从亿万条减少了千百条,同时告警(Alert)具有了严重程度(比如高中低)。单条告警(Alert)程度并不能作为处置的决策,以时间前后进行排序也无法休现处置的优先级。告警(Alert)还需要进一步加工聚合,形成体现优先级的风险事件(Incident)。理论上来讲,风险事件(Incident)需要从数量、准确性以及上下文信息丰富性,都应该比告警(Alert)有明显的改善才可以,起码要达到人为(甚至是机器)可以逐条判定与决策的程度。达到了安全事件(Incident)的良好效果,通过研判决策剔除结果通知类事件(如成功拦截事件),剩下的安全事件(Incident)就是需要进行处置的,也就是安全事故(Accident)。这条鸿沟为什么难以跨越,非常明显,就是如何聚合以风险为视角的安全事件(Incident),并且判定这些安全事件(Incident)需要如何处置。
目前普遍的情况是可以分析到告警(Alert)层面,但由于各种原因所致,告警(Alert)的准确率可以达到百分之六十以上,还可能有牺牲检测率的嫌疑。
在申请号:CN201210219995.1的中国专利申请中,涉及到一种油田物联网系统通信方法,兼容现有的油田监控方案,同时具备广阔的拓展空间和灵活的协议升级模式,包括如下步骤:1)发送方打包通信帧,所述通信帧由包头标识段、包长度数据段、包类型段、包体段和包尾校验段组成;包体段包括多个子包,所述包体段各子包的数据长度和类型可变,包类型段包括油田公司编码、厂家编码、版本号、通信类型编码、自身与目标设备的识别编码和包序列号;2)接收方接收通信帧,分析包头标识段、包长度数据段、包类型段和包尾校验段的数据,做相应处理。
在申请号:CN201510193797.6的中国专利申请中,涉及到一种油田勘探开发生产多卫星综合服务平台及工作方法,该平台基于BS架构,是由通讯卫星分别与动中通天线和平台控制中心的中心站通讯。北斗导航卫星分别与北斗数传终端、车载终端和手持终端与平台控制中心的北斗指挥机通讯,车载终端和手持终端也可通过3G网络与平台控制中心的服务器系统通讯构成。
在申请号:CN202010410269.2的中国专利申请中,涉及到一种基于物联网大数据的油田单拉罐井生产运行调度优化系统,包括:用于采集单拉罐的生产参数的生产传感模块,用于采集拉油车的工作参数的车载监控监测模块,和设置于油田指挥站场的调度终端;调度终端分别与生产传感模块和车载监控监测模块通信连接,而使得调度终端能够基于生产参数和/或工作参数输出用于拉油车将地理位置彼此各异的单拉罐内的原油拉油至卸油点的拉油方案;调度终端独立于油田指挥站场的内网而分别能够与生产传感模块和车载监控监测模块建立数据连接,以使得生产传感模块和车载监控监测模块能够在不获取内网数据的情况下能够通信连接。
以上现有技术均与本发明有较大区别,现有技术未能将油田的工控系统发生的通讯进行异常分析,并与安全事件进行统一关联、统一监管。未能解决我们想要解决的技术问题,为此我们发明了一种新的基于SOAR的油田工控安全监管方法,解决了以上技术问题。
发明内容
本发明的目的是提供一种采用分析油田工控系统中的示功图日志事件,与SOAR的编排技术进行复合联动的基于SOAR的油田工控安全监管方法。
本发明的目的可通过如下技术措施来实现:基于SOAR的油田工控安全监管方法,该基于SOAR的油田工控安全监管方法包括:
步骤1,针对在油田工控系统中采集到的示功图日志,进行图像形状分析,确定发生预警时,将预警事件发送至SOAR模块:
步骤2,SOAR模块分析得到是否属于攻击安全事件,进而发出针对资产异常的风险告警;
步骤3,SOAR模块进行网络根本故障源诊断;
步骤4,SOAR模块对判断为具有风险的工控设备所属的网络区域进行相应的响应动作。
本发明的目的还可通过如下技术措施来实现:
步骤1包括:
步骤1a,采集油田工控监控系统中的示功图日志,过滤出日志中的数值字段,根据一组数据的XY坐标位置,确定该组数据的图形;
步骤1b,将分析到的数据图形与正常示功图做比对,判断是否存在异常事件;
步骤1c,当存在异常事件时,分析产生异常图形的日志的上下文相关信息;
步骤1d,确定是否发生预警,当发生预警时,将预警事件发送至SOAR模块。
在步骤1b中,当分析到的图像形状为正规闭合四边形时,判断为正常事件;当分析到的图像形状为波浪形线性时,判断为工控资产状态异常事件;当分析到的图像形状为正规非闭合时,判断为网络通讯异常事件。
在步骤1c中,当判断为工控资产状态异常时,确定异常图形反映的资产的IP,将该事件的IP地址与油田资产名称、资产价值、资产类型、资产标签进行关联;通过风险计算公式计算风险值:
风险值=资产价值*弱点值*威胁严重性*威胁频度,
其中,资产价值、弱点值、威胁严重程度互相独立,单独计算,以尽量减少运算量;资产价值只保存当前值,不记录历史变化趋势;威胁频度、威胁严重性则保存每一次运算的历史结果;
风险值的取值范围:0~125
其中:资产价值:0~5
弱点值:1~5
威胁严重性:1~5
威胁频度:0~1。
在步骤1c中,根据风险计算方法,计算每种资产面临的风险值,根据风险值的分布状况,为每个等级设定风险值范围,并对所有风险计算结果进行等级处理;每个等级代表了相应风险的严重程度,如下:
风险值:1-25,风险等级:1,标识很低;
风险值:26-50,风险等级:2,标识低;
风险值:51-75,风险等级:3,标识中等;
风险值:76-100,风险等级:4,标识高;
风险值:101-125,风险等级:5,标识很高。
在步骤1d中,预警发生分为低、中、高三个等级,如果计算得到的风险等级为3级,则发生低级预警;如果计算得到的风险等级为4级,则发生中级预警;如果计算得到的风险等级为5级,则发生高级预警;将预警事件发送至SOAR模块。
在步骤2中,SOAR模块将该预警事件与该预警事件所针对的目标资产当前具有的漏洞信息进行关联,包括端口关联和漏洞编号关联;分析得到是否属于攻击安全事件,进而发出针对资产异常的风险告警。
在步骤2中,SOAR模块接收到预警事件后,判断其发生的预警等级,进一步地对产生的预警的内容做调查、丰富化。
在步骤2中,SOAR模块接收到低级预警时,则将该预警事件与该事件所针对的目标资产当前具有的漏洞信息进行关联,包括端口关联和漏洞编号关联;分析得到是否属于漏洞攻击事件,如上述信息均有关联,则发生风险告警事件,流程进入到步骤4。
在步骤2中,SOAR模块接收到的预警事件等级为中级、高级时,则进一步地对产生的预警的内容做调查、丰富化;在将该预警事件与该事件所针对的目标资产当前具有的漏洞信息进行关联基础上,进行查找此资产IP的历史行为协助研判,流程进入到步骤3。
在步骤3中,SOAR模块根据油田工控网络故障沿生产网拓扑水平传播的特性,通过对大量示功图图形异常事件在拓扑空间中的分布,以及传播时间上的顺序,进行网络根本故障源诊断。
在步骤4中,根据发生的不同等级的预警事件,进行相应的策略响应,将策略下发至工控系统内的网络安全设备、网络设备。
在步骤4中,针对低级预警发生的告警,进行告警提示,不采取策略下发;针对中级预警发生的告警,进行设备隔离、策略还原的响应动作;针对高级预警发生的告警,进行端口封堵、策略备份、配置备份、远程关机的响应动作。
在步骤1c中,当判断为网络通讯异常事件时,分析产生异常图形的日志的上下文相关信息,获得异常示功图所反映的资产IP、图形最后一个绘制点的时间点,前后2小时内与其他资产的网络通讯情况,将上述信息与上述资产的运行日志做比对,分析在示功图所反映的网络通讯异常时间点前后,该资产的网络通讯情况;
如果分析结果为上述时间点资产网络连接失败,且近时间段内无未知连入/出事件,则将分析结果丢弃;如果分析结果为在近时间段内资产发生未知连入/出事件,则判断发生资产网络通讯异常预警。
在步骤1d中,将预警事件发送至SOAR模块,供SOAR模块做与目标资产当前发生的网络安全事件的关联分析,得到是否属于网络攻击事件,进而发出针对资产网络异常的风险告警,进一步进行策略响应。
在步骤2中,SOAR接收示功图分析模块发送来的预警事件后,进一步地对产生的预警的内容做调查,查找此资产IP的历史行为协助研判;将该预警事件涉及的资产IP的连入/出地址的所有资产做性能分析和日志审计,包括访问资产日志关联和性能信息关联;将该预警事件与工控系统内当前发生的网络异常事件的关联分析,分析得到是否属于网络攻击事件,如该网络通讯异常事件与工控系统内采集到的网络异常事件发生同步,则判断发生风险告警事件。
在步骤3中,SOAR模块根据油田工控网络故障沿生产网拓扑水平传播的特性,通过对大量示功图图形异常事件在拓扑空间中的分布,以及传播时间上的顺序,进行网络根本故障源诊断。
在步骤4中,根据发生的网络通讯异常预警事件,进行相应的策略响应,将策略下发至工控系统内的网络设备、第三方资产,进行工控系统资产配置核查、弱口令扫描、补丁管理、异常连接拦截的响应动作。
本发明中的基于SOAR的油田工控安全监管方法,针对油田工控系统中的示功图图像分析异常事件,根据示功图图的日志事件追踪定位到工控资产风险等级,将分析结果与SOAR模块进行复合关联,做出对油田工控设备的响应。
与现有技术相比,本发明的基于SOAR的油田工控安全监管方法具有以下优点:上述技术方案提供的一种通过日志分析油田中的示功图图像形状,进而判断工控资产活动情况,进一步将工控资产网络现况与工控系统中的网络安全事件进行关联分析,达到对油田工控资产进行实时监管和策略响应的目的。通过实时分析示功图图像形状,实现对油田中工控资产状态的实时监管,提高了对油田的工控资产的网络安全事件的发现能力和第一时间响应能力;通过将分析到的事件与SOAR模块进行复合关联,降低事件响应的错误率,同时降低了由人为判定带来的误差,整体提高了油田工控安全的安全可靠的监管能力。
附图说明
图1为本发明的基于SOAR的油田工控安全监管方法的一具体实施例的流程图;
图2为本发明的一具体实施例中油田中的正常图像的示功图;
图3为本发明的一具体实施例中油田中的工控资产活动异常图像的示功图。
具体实施方式
应该指出,以下详细说明都是示例性的,旨在对本发明提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语具有与本发明所属技术领域的普通技术人员通常理解的相同含义。
需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本发明的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在特征、步骤、操作和/或它们的组合。
如图1所示,本发明中的基于SOAR的油田工控安全监管方法包括了以下步骤:
步骤101,针对在油田工控系统中采集到的示功图日志,通过判断数据点的XY位置,进行图像形状分析:
1.当分析到的图像形状为正规闭合四边形时,判断为正常事件;
2.当分析到的图像形状为正规非闭合时,判断为网络通讯异常事件;
3.当分析到的图像形状为波浪形线性时,判断为工控资产状态异常事件;
当分析到的示功图图像为上述2的情况时,同时分析产生异常的事件的上下文相关信息,例如当一个示功图的图像如2所述形状,通过分析此次图形形成的事件日志,确定该图形反映的资产IP、图形最后一个绘制点的时间点,以及上述时间点前后2小时内与其他资产的网络通讯情况;将上述信息与上述资产的运行日志做比对,得到该资产在网络通讯异常时间点前后的网络通讯情况。确定是否发生预警。然后将预警事件发送至SOAR模块。
当分析到的示功图图像为上述3的情况时,同时分析产生异常的事件的上下文相关信息,例如当一个示功图的图像如3所述形状,通过分析此次图形形成的事件日志,确定该图形反映的资产的IP,将该事件的IP地址与油田资产名称、资产价值、资产类型、资产标签进行关联,计算得到风险值。确定是否发生预警。然后将预警事件发送至SOAR模块。
步骤102,当预警事件为网络通讯异常事件引发的预警时,SOAR模块将该预警事件与工控系统内当前发生的网络异常事件进行关联;
当预警事件为资产状态异常引发的预警时,与该预警事件所针对的目标资产当前具有的漏洞信息进行关联;分析得到是否属于攻击安全事件,进而发出针对资产异常的风险告警。
步骤103,SOAR模块根据油田工控网络故障沿生产网拓扑水平传播的特性,通过对大量示功图图形异常事件在拓扑空间中的分布,以及传播时间上的顺序,进行网络根本故障源诊断。
步骤104,异常告警触发SOAR模块进行编排和策略响应,对判断为具有风险的工控设备所属的网络区域进行相应的响应动作。
本发明的基于SOAR的油田工控安全监管方法,在对油田工控安全事件的处理方式上,采用了基于示功图场景的分析方式。场景定义了行为分析的主体、在该主体上采用的分析指标以及触发行为预警的阈值。行为分析主体就是资产IP;行为分析指标表征某种行为的关键指标,通过对这些指标的监控与分析发现可疑的行为。
以下为应用本发明的几个具体实施例。
实施例1:
在应用本发明的一具体实施例1中,本发明的基于SOAR的油田工控安全监管方法包括了以下步骤:
步骤1,分析油田工控监控系统的示功图日志:
步骤1a,采集油田工控监控系统中的示功图日志,过滤出日志中的数值字段,根据一组数据的XY坐标位置,确定该组数据的图形。
步骤1b,将分析到的数据图形与正常示功图做比对。如果图形是闭合的正规示功图(图2),则判断为正常图形,将比对结果丢弃。
如果图形是波浪线四边形(图3),则判断为工控资产状态异常,进入步骤1c。
步骤1c,分析产生异常图形的日志的上下文相关信息,确定该图形反映的资产的IP,将该事件的IP地址与油田资产名称、资产价值、资产类型、资产标签进行关联;通过风险计算公式:风险值=资产价值*弱点值*威胁严重性*威胁频度,其中,资产价值、弱点值、威胁严重程度互相独立,单独计算,以尽量减少运算量;资产价值只保存当前值,不记录历史变化趋势。脆弱性和威胁值(威胁频度、威胁严重性)则保存每一次运算的历史结果。
风险值的取值范围:0~125
其中:资产价值:0~5
弱点值:1~5
威胁严重性:1~5
威胁频度:0~1
计算该次工控资产状态异常的风险等级。根据所采用的风险计算方法,计算每种资产面临的风险值,根据风险值的分布状况,为每个等级设定风险值范围,并对所有风险计算结果进行等级处理。每个等级代表了相应风险的严重程度,如下:
风险值:1-25,风险等级:1,标识很低。
风险值:26-50,风险等级:2,标识低。
风险值:51-75,风险等级:3,标识中等。
风险值:76-100,风险等级:4,标识高。
风险值:101-125,风险等级:5,标识很高。
步骤1d,预警发生分为低、中、高三个等级,如果上述计算得到的风险等级为3级,则发生低级预警;如果计算得到的风险等级为4级,则发生中级预警;如果计算得到的风险等级为5级,则发生高级预警;将预警事件发送至SOAR模块,供SOAR模块做与目标资产当前具有的漏洞信息的关联分析,得到是否属于网络安全事件,进而发出针对资产网络异常的风险告警,进一步进行策略响应。
步骤2:SOAR模块接到由示功图分析模块发来的预警事件后进行判断进而做出策略响应:
步骤2a,SOAR模块接收示功图分析模块发送来的预警事件后,将该预警事件与该事件所针对的目标资产当前具有的漏洞信息进行关联,包括端口关联和漏洞编号关联;分析得到是否属于漏洞攻击事件,如上述信息均有关联,则发生告警事件。
步骤2b,当发生告警事件后,在做出策略响应前,判断引起其发生的预警等级,当告警事件的发生来自低级预警,则只进行告警提示,不采取策略下发。
步骤2c,当告警事件的发生中级、高级预警,则进一步地对产生的预警的内容做调查、丰富化;进行查找此资产IP的历史行为协助研判;根据油田工控网络故障沿生产网拓扑水平传播的特性,通过对大量示功图图形异常事件在拓扑空间中的分布,以及传播时间上的顺序,进行网络根本故障源诊断。即判定对此告警如何采取行动。
步骤2d,根据上述发生的不同预警等级的的网络安全事件,进行相应的策略响应,将策略通过SSH、Telnet直接登录、python脚本的方式下发至工控系统内的网络安全设备、网络设备:针对低级预警发生的告警,进行告警提示,不采取策略下发;针对中级预警发生的告警,进行设备隔离、策略还原的响应动作;针对高级预警发生的告警,进行端口封堵、策略备份、配置备份、远程关机的响应动作。
实施例2:
在应用本发明的具体实施例2中,本发明的基于SOAR的油田工控安全监管方法包括了以下步骤:
步骤1,分析油田工控监控系统的示功图日志:
步骤1a,采集油田工控监控系统中的示功图日志,过滤出日志中的数值字段,根据一组数据的XY坐标位置,确定该组数据的图形。
步骤1b,将分析到的数据图形与正常示功图做比对。如果图形是闭合的正规示功图,则判断为正常图形,将比对结果丢弃。
如果图形形状为非闭合时,判断为网络通讯异常事件,进入步骤1c。
步骤1c,分析产生异常图形的日志的上下文相关信息,获得异常示功图所反映的资产IP、图形最后一个绘制点的时间点,以及上述时间点前后2小时内与其他资产的网络通讯情况;将上述信息与上述资产的运行日志做比对,分析在示功图所反映的网络通讯异常时间点前后,该资产的网络通讯情况。
如果分析结果为上述时间点资产网络连接失败,且近时间段内无未知连入/出事件,则判断为正常网络丢失事件,将分析结果丢弃;如果分析结果为在近时间段内资产发生未知连入/出事件,则发生该资产网络通讯异常预警。
步骤1d,将预警事件发送至SOAR模块,供SOAR模块做与工控系统内当前发生的网络异常事件的关联分析,得到是否属于网络攻击事件,进而发出针对资产网络通讯异常的风险告警,进一步进行策略响应。
步骤2:SOAR接到由示功图分析模块发来的预警事件后进行判断进而做出策略响应:
步骤2a,SOAR接收示功图分析模块发送来的预警事件后,进一步地对产生的预警的内容做调查,查找此资产IP的历史行为协助研判;将该预警事件涉及的资产IP的连入/出地址的所有资产做性能分析和日志审计,包括访问资产日志关联和性能信息关联;将该预警事件与工控系统内当前发生的网络异常事件的关联分析,分析得到是否属于网络攻击事件,如该网络通讯异常事件与工控系统内采集到的网络异常事件发生同步,则发生告警事件。
步骤2b,当发生告警事件后,根据油田工控网络故障沿生产网拓扑水平传播的特性,通过对大量示功图图形异常事件在拓扑空间中的分布,以及传播时间上的顺序,进行网络根本故障源诊断。即判定对此告警如何采取行动。
步骤2c,根据上述网络安全事件的发生,进行策略响应,将策略通过restful接口、命令行的方式下发至对应的网络设备或第三方资产,进行工控系统资产配置核查、弱口令扫描、补丁管理、异常连接拦截的响应动作。
实施例3:
在应用本发明的一具体实施例3中,本发明的基于SOAR的油田工控安全监管方法包括了以下步骤:
步骤1,分析油田工控监控系统的示功图日志:
步骤1a,采集油田工控监控系统中的示功图日志,过滤出日志中的数值字段,根据一组数据的XY坐标位置,确定该组数据的图形。
步骤1b,将分析到的数据图形与正常示功图做比对。如果图形是闭合的正规示功图(图2),则判断为正常图形,将比对结果丢弃。
如果图形是波浪线四边形(图3),则判断为工控资产状态异常,进入步骤1c。
步骤1c,分析产生异常图形的日志的上下文相关信息,确定该图形反映的资产的IP,将该事件的IP地址与油田资产名称、资产价值、资产类型、资产标签进行关联;通过风险计算公式:风险值=资产价值*弱点值*威胁严重性*威胁频度,其中,资产价值、弱点值、威胁严重程度互相独立,单独计算,以尽量减少运算量;资产价值只保存当前值,不记录历史变化趋势。脆弱性和威胁值(威胁频度、威胁严重性)则保存每一次运算的历史结果。
风险值的取值范围:0~125
其中:资产价值:0~5
弱点值:1~5
威胁严重性:1~5
威胁频度:0~1
计算该次工控资产状态异常的风险等级。根据所采用的风险计算方法,计算每种资产面临的风险值,根据风险值的分布状况,为每个等级设定风险值范围,并对所有风险计算结果进行等级处理。每个等级代表了相应风险的严重程度,如下:
风险值:1-25,风险等级:1,标识很低。
风险值:26-50,风险等级:2,标识低。
风险值:51-75,风险等级:3,标识中等。
风险值:76-100,风险等级:4,标识高。
风险值:101-125,风险等级:5,标识很高。
步骤1d,如果计算得到的风险等级为4级,则发生中级预警;将预警事件发送至SOAR模块,供SOAR模块做与目标资产当前具有的漏洞信息的关联分析,得到是否属于网络安全事件,进而发出针对资产网络异常的风险告警,进一步进行策略响应。
步骤2:SOAR接到由示功图分析模块发来的预警事件后进行判断进而做出策略响应:
步骤2a,SOAR接收示功图分析模块发送来的中级预警事件后,进一步地对产生的预警的内容做调查、丰富化;如:将该预警事件与该事件所针对的目标资产当前具有的漏洞信息进行关联,包括端口关联和漏洞编号关联;分析得到是否属于漏洞攻击事件,如上述信息均有关联,则发生告警事件。
步骤2b,当发生2a所述的告警事件,进行查找此资产IP的历史行为协助研判;根据油田工控网络故障沿生产网拓扑水平传播的特性,通过对大量示功图图形异常事件在拓扑空间中的分布,以及传播时间上的顺序,进行网络根本故障源诊断。即判定对此告警如何采取行动。
步骤2c,根据由上述中级预警产生告警的网络安全事件,进行相应的策略响应,将策略通过SSH、Telnet直接登录、python脚本的方式下发至工控系统内的网络安全设备、网络设备:进行设备隔离、策略还原的响应动作。
实施例4:
在应用本发明的一具体实施例4中,本发明的基于SOAR的油田工控安全监管方法包括了以下步骤:
步骤1,分析油田工控监控系统的示功图日志:
步骤1a,采集油田工控监控系统中的示功图日志,过滤出日志中的数值字段,根据一组数据的XY坐标位置,确定该组数据的图形。
步骤1b,将分析到的数据图形与正常示功图做比对。如果图形是闭合的正规示功图(图2),则判断为正常图形,将比对结果丢弃。
如果图形是波浪线四边形(图3),则判断为工控资产状态异常,进入步骤1c。
步骤1c,分析产生异常图形的日志的上下文相关信息,确定该图形反映的资产的IP,将该事件的IP地址与油田资产名称、资产价值、资产类型、资产标签进行关联;通过风险计算公式:风险值=资产价值*弱点值*威胁严重性*威胁频度,其中,资产价值、弱点值、威胁严重程度互相独立,单独计算,以尽量减少运算量;资产价值只保存当前值,不记录历史变化趋势。脆弱性和威胁值(威胁频度、威胁严重性)则保存每一次运算的历史结果。
风险值的取值范围:0~125
其中:资产价值:0~5
弱点值:1~5
威胁严重性:1~5
威胁频度:0~1
计算该次工控资产状态异常的风险等级。根据所采用的风险计算方法,计算每种资产面临的风险值,根据风险值的分布状况,为每个等级设定风险值范围,并对所有风险计算结果进行等级处理。每个等级代表了相应风险的严重程度,如下:
风险值:1-25,风险等级:1,标识很低。
风险值:26-50,风险等级:2,标识低。
风险值:51-75,风险等级:3,标识中等。
风险值:76-100,风险等级:4,标识高。
风险值:101-125,风险等级:5,标识很高。
步骤1d,如果计算得到的风险等级为5级,则发生高级预警;将预警事件发送至SOAR模块,供SOAR模块做与目标资产当前具有的漏洞信息的关联分析,得到是否属于网络安全事件,进而发出针对资产网络异常的风险告警,进一步进行策略响应。
步骤2:SOAR接到由示功图分析模块发来的预警事件后进行判断进而做出策略响应:
步骤2a,SOAR接收示功图分析模块发送来的高级预警事件后,进一步地对产生的预警的内容做调查、丰富化;如:将该预警事件与该事件所针对的目标资产当前具有的漏洞信息进行关联,包括端口关联和漏洞编号关联;分析得到是否属于漏洞攻击事件,如上述信息均有关联,则发生告警事件。
步骤2b,当发生2a所述的告警事件,进行查找此资产IP的历史行为协助研判;根据油田工控网络故障沿生产网拓扑水平传播的特性,通过对大量示功图图形异常事件在拓扑空间中的分布,以及传播时间上的顺序,进行网络根本故障源诊断。即判定对此告警如何采取行动。
步骤2c,根据由上述高级预警产生告警的网络安全事件,进行相应的策略响应,将策略通过SSH、Telnet直接登录、python脚本的方式下发至工控系统内的网络安全设备、网络设备:进行端口封堵、策略备份、配置备份、远程关机的响应动作。
最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域技术人员来说,其依然可以对前述实施例记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
除说明书所述的技术特征外,均为本专业技术人员的已知技术。
Claims (18)
1.基于SOAR的油田工控安全监管方法,其特征在于,该基于SOAR的油田工控安全监管方法包括:
步骤1,针对在油田工控系统中采集到的示功图日志,进行图像形状分析,确定发生预警时,将预警事件发送至SOAR模块:
步骤2,SOAR模块分析得到是否属于攻击安全事件,进而发出针对资产异常的风险告警;
步骤3,SOAR模块进行网络根本故障源诊断;
步骤4,SOAR模块对判断为具有风险的工控设备所属的网络区域进行相应的响应动作。
2.根据权利要求1所述的基于SOAR的油田工控安全监管方法,其特征在于,步骤1包括:
步骤1a,采集油田工控监控系统中的示功图日志,过滤出日志中的数值字段,根据一组数据的XY坐标位置,确定该组数据的图形;
步骤1b,将分析到的数据图形与正常示功图做比对,判断是否存在异常事件;
步骤1c,当存在异常事件时,分析产生异常图形的日志的上下文相关信息;
步骤1d,确定是否发生预警,当发生预警时,将预警事件发送至SOAR模块。
3.根据权利要求2所述的基于SOAR的油田工控安全监管方法,其特征在于,在步骤1b中,当分析到的图像形状为正规闭合四边形时,判断为正常事件;当分析到的图像形状为波浪形线性时,判断为工控资产状态异常事件;当分析到的图像形状为正规非闭合时,判断为资产网络通讯异常事件。
4.根据权利要求3所述的基于SOAR的油田工控安全监管方法,其特征在于,在步骤1c中,当判断为工控资产状态异常时,确定异常图形反映的资产的IP,将该事件的IP地址与油田资产名称、资产价值、资产类型、资产标签进行关联;通过风险计算公式计算风险值:
风险值=资产价值*弱点值*威胁严重性*威胁频度,
其中,资产价值、弱点值、威胁严重程度互相独立,单独计算,以尽量减少运算量;资产价值只保存当前值,不记录历史变化趋势;威胁频度、威胁严重性则保存每一次运算的历史结果;
风险值的取值范围:0~125
其中:资产价值:0~5
弱点值:1~5
威胁严重性:1~5
威胁频度:0~1。
5.根据权利要求4所述的基于SOAR的油田工控安全监管方法,其特征在于,在步骤1c中,根据风险计算方法,计算每种资产面临的风险值,根据风险值的分布状况,为每个等级设定风险值范围,并对所有风险计算结果进行等级处理;每个等级代表了相应风险的严重程度,如下:
风险值:1-25,风险等级:1,标识很低;
风险值:26-50,风险等级:2,标识低;
风险值:51-75,风险等级:3,标识中等;
风险值:76-100,风险等级:4,标识高;
风险值:101-125,风险等级:5,标识很高。
6.根据权利要求5所述的基于SOAR的油田工控安全监管方法,其特征在于,在步骤1d中,预警发生分为低、中、高三个等级,如果计算得到的风险等级为3级,则发生低级预警;如果计算得到的风险等级为4级,则发生中级预警;如果计算得到的风险等级为5级,则发生高级预警;将预警事件发送至SOAR模块。
7.根据权利要求6所述的基于SOAR的油田工控安全监管方法,其特征在于,在步骤2中,SOAR模块将该预警事件与该预警事件所针对的目标资产当前具有的漏洞信息进行关联,包括端口关联和漏洞编号关联;分析得到是否属于攻击安全事件,进而发出针对资产异常的风险告警。
8.根据权利要求7所述的基于SOAR的油田工控安全监管方法,其特征在于,在步骤2中,SOAR模块接收到预警事件后,判断其发生的预警等级,进一步地对产生的预警的内容做调查、丰富化。
9.根据权利要求8所述的基于SOAR的油田工控安全监管方法,其特征在于,在步骤2中,SOAR模块接收到低级预警时,则将该预警事件与该事件所针对的目标资产当前具有的漏洞信息进行关联,包括端口关联和漏洞编号关联;分析得到是否属于漏洞攻击事件,如上述信息均有关联,则发生风险告警事件,流程进入到步骤4。
10.根据权利要求9所述的基于SOAR的油田工控安全监管方法,其特征在于,在步骤2中,SOAR模块接收到的预警事件等级为中级、高级时,则进一步地对产生的预警的内容做调查、丰富化;在将该预警事件与该事件所针对的目标资产当前具有的漏洞信息进行关联基础上,进行查找此资产IP的历史行为协助研判,流程进入到步骤3。
11.根据权利要求10所述的基于SOAR的油田工控安全监管方法,其特征在于,在步骤3中,SOAR模块根据油田工控网络故障沿生产网拓扑水平传播的特性,通过对大量示功图图形异常事件在拓扑空间中的分布,以及传播时间上的顺序,进行网络根本故障源诊断。
12.根据权利要求11所述的基于SOAR的油田工控安全监管方法,其特征在于,在步骤4中,根据发生的不同等级的预警事件,进行相应的策略响应,将策略下发至工控系统内的网络安全设备、网络设备。
13.根据权利要求12所述的基于SOAR的油田工控安全监管方法,其特征在于,在步骤4中,针对低级预警发生的告警,进行告警提示,不采取策略下发;针对中级预警发生的告警,进行设备隔离、策略还原的响应动作;针对高级预警发生的告警,进行端口封堵、策略备份、配置备份、远程关机的响应动作。
14.根据权利要求3所述的基于SOAR的油田工控安全监管方法,其特征在于,在步骤1c中,当判断为网络通讯异常事件时,分析产生异常图形的日志的上下文相关信息,获得异常示功图所反映的资产IP、图形最后一个绘制点的时间点,前后2小时内与其他资产的网络通讯情况,将上述信息与上述资产的运行日志做比对,分析在示功图所反映的网络通讯异常时间点前后,该资产的网络通讯情况;
如果分析结果为上述时间点资产网络连接失败,且近时间段内无未知连入/出事件,则将分析结果丢弃;如果分析结果为在近时间段内资产发生未知连入/出事件,则发生该资产网络通讯异常预警。
15.根据权利要求14所述的基于SOAR的油田工控安全监管方法,其特征在于,在步骤1d中,将预警事件发送至SOAR模块,供SOAR模块做与目标资产当前发生的网络安全事件的关联分析,得到是否属于网络攻击事件,进而发出针对资产网络异常的风险告警,进一步进行策略响应。
16.根据权利要求15所述的基于SOAR的油田工控安全监管方法,其特征在于,在步骤2中,SOAR接收示功图分析模块发送来的预警事件后,进一步地对产生的预警的内容做调查,查找此资产IP的历史行为协助研判;将该预警事件涉及的资产IP的连入/出地址的所有资产做性能分析和日志审计,包括访问资产日志关联和性能信息关联;将该预警事件与工控系统内当前发生的网络异常事件的关联分析,分析得到是否属于网络攻击事件,如该网络通讯异常事件与工控系统内采集到的网络异常事件发生同步,则判断发生风险告警事件。
17.根据权利要求16所述的基于SOAR的油田工控安全监管方法,其特征在于,在步骤3中,SOAR模块根据油田工控网络故障沿生产网拓扑水平传播的特性,通过对大量示功图图形异常事件在拓扑空间中的分布,以及传播时间上的顺序,进行网络根本故障源诊断。
18.根据权利要求17所述的基于SOAR的油田工控安全监管方法,其特征在于,在步骤4中,根据发生的网络通讯异常预警事件,进行相应的策略响应,将策略下发至工控系统内的网络设备、第三方资产,进行工控系统资产配置核查、弱口令扫描、补丁管理、异常连接拦截的响应动作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110816083.1A CN115701889A (zh) | 2021-07-19 | 2021-07-19 | 基于soar的油田工控安全监管方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110816083.1A CN115701889A (zh) | 2021-07-19 | 2021-07-19 | 基于soar的油田工控安全监管方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115701889A true CN115701889A (zh) | 2023-02-14 |
Family
ID=85162773
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110816083.1A Pending CN115701889A (zh) | 2021-07-19 | 2021-07-19 | 基于soar的油田工控安全监管方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115701889A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116611046A (zh) * | 2023-06-05 | 2023-08-18 | 武汉思普崚技术有限公司 | 一种基于soar的弱口令处理方法、装置以及处理系统 |
| CN118174972A (zh) * | 2024-05-15 | 2024-06-11 | 北京微步在线科技有限公司 | 一种威胁情报数据的特征拓展方法、装置、电子设备 |
-
2021
- 2021-07-19 CN CN202110816083.1A patent/CN115701889A/zh active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116611046A (zh) * | 2023-06-05 | 2023-08-18 | 武汉思普崚技术有限公司 | 一种基于soar的弱口令处理方法、装置以及处理系统 |
| CN116611046B (zh) * | 2023-06-05 | 2024-04-09 | 武汉思普崚技术有限公司 | 一种基于soar的弱口令处理方法、装置以及处理系统 |
| CN118174972A (zh) * | 2024-05-15 | 2024-06-11 | 北京微步在线科技有限公司 | 一种威胁情报数据的特征拓展方法、装置、电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10078317B2 (en) | Method, device and computer program for monitoring an industrial control system | |
| KR100955281B1 (ko) | 위협 관리를 위한 보안 위험도 평가 방법 | |
| CN115701889A (zh) | 基于soar的油田工控安全监管方法 | |
| CN112114995A (zh) | 基于进程的终端异常分析方法、装置、设备及存储介质 | |
| CN113671909B (zh) | 一种钢铁工控设备安全监测系统和方法 | |
| CN112134877A (zh) | 网络威胁检测方法、装置、设备及存储介质 | |
| CN115378711B (zh) | 一种工控网络的入侵检测方法和系统 | |
| CN108259202A (zh) | 一种ca监测预警方法和ca监测预警系统 | |
| CN104243192B (zh) | 故障处理方法及系统 | |
| CN114125083B (zh) | 工业网络分布式数据采集方法、装置、电子设备及介质 | |
| CN108805427B (zh) | 一种基于大数据的配电网运行状态风险预警系统 | |
| Chen et al. | Unified security and safety risk assessment-a case study on nuclear power plant | |
| CN117439916A (zh) | 一种网络安全测试评估系统及方法 | |
| CN114826770A (zh) | 一种计算机网络智能分析的大数据管理平台 | |
| CN118118249A (zh) | 一种基于大数据的企业信息安全运维管理系统 | |
| CN114006719B (zh) | 基于态势感知的ai验证方法、装置及系统 | |
| CN114756870A (zh) | 基于SoS体系的多维度信息安全风险评估系统 | |
| CN113918372A (zh) | 一种基于flink实现的数据开发平台的预警系统 | |
| CN114257414A (zh) | 一种网络安全智能值班方法及系统 | |
| CN116260640B (zh) | 基于人工智能进行大数据分析的信息拦截控制方法及系统 | |
| Damien et al. | On-board diagnosis: a first step from detection to prevention of intrusions on avionics applications | |
| CN117221017B (zh) | 一种基于大数据的网络监测方法及系统 | |
| CN118410496B (zh) | 一种保证信息安全的计算机系统 | |
| Ten et al. | Anomaly extraction and correlations for power infrastructure cyber systems | |
| LU504889B1 (en) | DCS Network Security Monitoring System |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |