CN115996146A - 数控系统安全态势感知与分析系统、方法、设备及终端 - Google Patents
数控系统安全态势感知与分析系统、方法、设备及终端 Download PDFInfo
- Publication number
- CN115996146A CN115996146A CN202211633157.9A CN202211633157A CN115996146A CN 115996146 A CN115996146 A CN 115996146A CN 202211633157 A CN202211633157 A CN 202211633157A CN 115996146 A CN115996146 A CN 115996146A
- Authority
- CN
- China
- Prior art keywords
- data
- information
- situation
- analysis
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 65
- 230000002159 abnormal effect Effects 0.000 claims abstract description 96
- 238000004458 analytical method Methods 0.000 claims abstract description 83
- 238000001514 detection method Methods 0.000 claims abstract description 64
- 238000012544 monitoring process Methods 0.000 claims abstract description 62
- 238000007726 management method Methods 0.000 claims abstract description 52
- 230000006870 function Effects 0.000 claims abstract description 21
- 238000005065 mining Methods 0.000 claims abstract description 10
- 238000012550 audit Methods 0.000 claims abstract description 8
- 238000012502 risk assessment Methods 0.000 claims abstract description 7
- 230000003068 static effect Effects 0.000 claims abstract description 7
- 230000000007 visual effect Effects 0.000 claims abstract description 7
- 230000003993 interaction Effects 0.000 claims abstract description 6
- 238000005259 measurement Methods 0.000 claims abstract description 6
- 230000006399 behavior Effects 0.000 claims description 49
- 230000004044 response Effects 0.000 claims description 43
- 238000007405 data analysis Methods 0.000 claims description 20
- 230000008447 perception Effects 0.000 claims description 16
- 238000004364 calculation method Methods 0.000 claims description 15
- 238000005516 engineering process Methods 0.000 claims description 15
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 claims description 14
- 238000011156 evaluation Methods 0.000 claims description 13
- 238000010276 construction Methods 0.000 claims description 12
- 238000012545 processing Methods 0.000 claims description 12
- 230000004927 fusion Effects 0.000 claims description 11
- 238000007781 pre-processing Methods 0.000 claims description 11
- 230000008569 process Effects 0.000 claims description 11
- 238000009826 distribution Methods 0.000 claims description 10
- 230000005856 abnormality Effects 0.000 claims description 9
- 238000012098 association analyses Methods 0.000 claims description 9
- 238000004422 calculation algorithm Methods 0.000 claims description 9
- 239000011159 matrix material Substances 0.000 claims description 8
- 230000007123 defense Effects 0.000 claims description 7
- 230000007246 mechanism Effects 0.000 claims description 7
- 239000000523 sample Substances 0.000 claims description 6
- 230000009471 action Effects 0.000 claims description 5
- 238000000605 extraction Methods 0.000 claims description 5
- 238000004590 computer program Methods 0.000 claims description 4
- 238000013461 design Methods 0.000 claims description 4
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 3
- 238000004891 communication Methods 0.000 claims description 3
- 238000007418 data mining Methods 0.000 claims description 3
- 230000008676 import Effects 0.000 claims description 3
- 238000010801 machine learning Methods 0.000 claims description 3
- 238000004519 manufacturing process Methods 0.000 claims description 3
- 238000005457 optimization Methods 0.000 claims description 3
- 238000003672 processing method Methods 0.000 claims description 3
- 108090000623 proteins and genes Proteins 0.000 claims description 3
- 238000004445 quantitative analysis Methods 0.000 claims description 3
- 238000010223 real-time analysis Methods 0.000 claims description 3
- 238000007619 statistical method Methods 0.000 claims description 3
- 238000003860 storage Methods 0.000 claims description 2
- 238000009960 carding Methods 0.000 claims 1
- 238000012549 training Methods 0.000 description 26
- 238000012360 testing method Methods 0.000 description 14
- 238000002347 injection Methods 0.000 description 12
- 239000007924 injection Substances 0.000 description 12
- 230000000694 effects Effects 0.000 description 6
- ZPUCINDJVBIVPJ-LJISPDSOSA-N cocaine Chemical compound O([C@H]1C[C@@H]2CC[C@@H](N2C)[C@H]1C(=O)OC)C(=O)C1=CC=CC=C1 ZPUCINDJVBIVPJ-LJISPDSOSA-N 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 241000700605 Viruses Species 0.000 description 4
- 238000013528 artificial neural network Methods 0.000 description 4
- 231100000279 safety data Toxicity 0.000 description 4
- 239000000243 solution Substances 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000013527 convolutional neural network Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 210000002569 neuron Anatomy 0.000 description 3
- 230000002265 prevention Effects 0.000 description 3
- 238000011160 research Methods 0.000 description 3
- 238000003491 array Methods 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 238000007477 logistic regression Methods 0.000 description 2
- 238000007637 random forest analysis Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000009411 base construction Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000005094 computer simulation Methods 0.000 description 1
- 230000008094 contradictory effect Effects 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000013499 data model Methods 0.000 description 1
- 238000003066 decision tree Methods 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 238000007499 fusion processing Methods 0.000 description 1
- 235000019580 granularity Nutrition 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000012821 model calculation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000008092 positive effect Effects 0.000 description 1
- 238000011002 quantification Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000012827 research and development Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 238000011895 specific detection Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于信息安全技术领域,公开了一种数控系统安全态势感知与分析系统、方法、设备及终端,采集数控机床高频大数据和低频或静态数据并进行预处理和存储,将数据转换为结构化数据,对非结构化数据进行索引和存储;对预处理后的数据进行分析和挖掘,实现信息安全的监控预警、安全审计、安全度量、运营管理和情报管理;对海量数据的原始数据、分析结果数据和管控数据进行可视化展示,提供人机交互界面,并向安全管理人员呈现全方位安全状态。本发明的数控系统安全态势感知与分析系统具备资产管理、安全风险分析、异常攻击发现、违规行为监测、流量监测、大数据态势分析功能,安全威胁检测精确率大于95%,误报率小于5%,漏报率小于5%。
Description
技术领域
本发明属于信息安全技术领域,尤其涉及一种数控系统安全态势感知与分析系统、方法、设备及终端。
背景技术
目前,面向复杂网络的安全态势感知模型主要是针对大规模复杂网络的特点提出的态势感知模型,以提高复杂网络系统安全性和主动防御能力,林鹏文《基于大数据的网络安全态势感知研究》针对大数据时代网络复杂,产生数据的速度快、数量大且结构各异,使得传统的网络安全态势感知方法难以有效应对这一问题,研究了基于大数据分析技术的网络安全态势评估、网络安全态势预测和网络安全态势可视化。但是这种方法不具备强大的网络攻击检测能力。胡浩《基于攻击图的网络安全态势感知方法研究》针对近年来网络攻击威胁逐渐呈现出的大规模、协同、多阶段等特点,研究了面向多步攻击的网络安全态势感知方法,有效支撑安全管理员的决策。但是这种方法在大数据环境下网络安全态势预测不足。雷文鑫《面向边缘计算的安全态势感知模型》等针对工业互联网边缘计算设备易受到攻击的情况,研究提出一种边缘计算设备的态势感知模型,通过分析不同时刻下系统的状态对系统可能遭遇的攻击进行警示和检测,以达到保护边缘设备安全的目的。但是这种模型忽略了目前工业控制系统中密码应用安全的重要性。
通过上述分析,现有技术存在的问题及缺陷为:
一、大数据环境下网络安全态势特征要素提取困难:安全数据来源多样,数据种类和格式丰富,海量历史数据存在的大量错误和冗余,网络安全数据实时变化,数据多维、特征多样,特征与特征之间存在关联关系,信息融合处理计算复杂,容易导致数据维数灾难;
二、大数据环境下网络安全网络入侵检测准确率不高:网络攻击数据的特征维度多且复杂,虽然通过数据降维可提高数据处理的效率,但对于大规模攻击和协同攻击的多个攻击分类检测仍然存在较大的复杂性和计算量,还需进一步提高分类检测的效率,在大规模攻击和协同攻击检测时,多个网络攻击的数据到达时往往分布不平衡,网络攻击检测效果不佳,准确率、精确率有待提高;
三、大数据环境下网络安全态势预测不足:现有的网络安全态势预测对历史经验知识的学习仍存在不足,且历史数据和知识中包含大量不确定性的信息,这些不确定性的历史信息在一定程度上是不完整的、不精确的、矛盾的,缺乏能解决不确定性问题,且自动化、智能化的网络安全态势预测方法;现有网络安全预测算法在提高学习效率、收敛速度、预测准确度方面还有待进一步研究;四、密码安全作为信息安全的基础性核心技术的重要性重视不够。目前工业控制系统中大量密码产品投入应用,但许多密码产品的安全性还有待检验,应用使用的密码产品没有统一标准,密码方案的安全性也不同。
发明内容
针对现有技术存在的问题,本发明提供了一种数控系统安全态势感知与分析系统、方法、设备及终端,尤其涉及一种基于国产密码的数控系统安全态势感知与分析系统、方法、介质、设备及终端。
本发明是这样实现的,一种数控系统安全态势感知与分析方法,数控系统安全态势感知与分析方法包括:采集层通过NC-Link采集数控机床高频大数据和低频或静态数据;大数据层对采集数据的预处理和存储,将数据转换为结构化数据,对非结构化数据进行索引和存储;分析层对预处理后的数据进行分析和挖掘,管控层实现信息安全的监控预警、安全审计、安全度量、运营管理和情报管理;利用呈现层对海量数据的原始数据、分析结果数据和管控数据进行可视化展示,提供人机交互界面,并向安全管理人员呈现全方位安全状态。
进一步,数控系统安全态势感知与分析方法包括以下步骤:
步骤一,通过资产管理描述网络内的资产态势;
步骤二,利用风险计算模型实现安全风险分析;
步骤三,采集密码应用信息,并发现异常攻击;
步骤四,分别进行违规行为和流量的监测;
步骤五,分析大数据态势,进行态势感知应急响应;
步骤六,构建基于国产密码的知识库。
进一步,步骤一中的资产管理包括:
通过主动发现、导入或创建的方式识别和梳理目标网络中要被防护的资产及业务对象。所获得并维护的被防护对象信息将在整个态势分析呈现过程中,被其他维度的感知所利用,成为面向安全对象安全态势分析的基础。其中,资产包括:数控机床、刀具、加工零件、PLC、工业机器人、搬运小车、传送带、料库、数控系统、产线系统、产线网络、适配器、代理器、采集网络。获取数控装备的主机IP地址、开放协议、扫描时间、位置的基础信息以及设备型号、厂商、通讯id、设备的工作时长、CPU使用率、剩余内存、剩余硬盘、网速、操作系统以及MAC地址的关键信息。
资产管理提供基于拓扑的资产视图,提供按图形化模式显示资产,直接查看资产的状态、事件、威胁、风险及告警信息。
采用半定量方法给资产赋值,通过对资产的属性定量赋值,用于反映资产价值;信息资产具有完整性、机密性与可用性三种安全属性。通过考察三种不同的安全属性,分别赋值,用于反映资产价值;
其中,C代表机密性赋值,I代表完整性赋值,A代表可用性赋值,Round表示四舍五入处理,用于体现资产价值赋值中不同因素互不相干性特点。
步骤二中的风险计算模型为:
风险值=R(A,T,V)=R(L(T,V),F(Ia,Va));
其中,R表示安全风险计算函数,A表示资产,T表示威胁,V表示脆弱性;Ia表示安全事件所作用的资产价值,Va表示脆弱性严重程度,L表示威胁利用资产的脆弱性导致安全事件发生的可能性,F表示安全事件发生后产生的损失。根据企业自身技术能力选择相应风险计算方法计算风险值,包括相乘法和矩阵法。
进一步,步骤三中的密码应用信息采集包括:
收集应用所使用的密码方案和运行密码产品的使用信息,以此构建态势预警平台,对应用密码产品的应用进行态势感知,预警使用密码产品的风险,实现预测、防御、响应和检测的目的;其中,所述运行密码产品的使用信息包括状态信息、加密信息和解密信息。
态势感知平台通过NC-Link的工业网络安全网关对密码应用信息数据进行采集,输送给数据分析和态势感知模块,数据分析和态势感知模块对网络的威胁态势信息、设备态势信息进行处理,生成信息安全整体态势分析信息;信息安全威胁预警模块对态势信息中的网络攻击构建攻击图,并对攻击图信息进行预测,生成最终的威胁预警信息;安全防护策略生成与优化模块将威胁预警信息进行分析,结合威胁情报中心的信息生成有效的安全防护策略分发到相应设备上,实现整体的安全防护。
通过构建动态特征库,以机器学习中的关联分析为指导,对密码应用数据进行关联挖掘分析,从频繁项集中获取关联规则,并通过频繁项集中的支持度,计算关联规则的可信度,从而寻找出潜在的隐式威胁数据,并将分析结果作为构建密码应用信息特征库的输入。
异常攻击发现包括:异常流量感知、异常用户发现、异常主机设备发现以及异常攻击态势评估分析四个功能。
1)异常流量感知。采用异常流量监测和感知技术为安全态势平台提供数据支持;利用特征分析、网络行为分析和家族基因进行木马窃密监测防护:侧重于窃密安全事件监测防护,包括木马窃密监测、疑似木马告警和木马事件处置。
2)异常用户监测。异常用户监测包含有多元日志统预处理与正常行为建模、疑似异常行为识别、以及自适应异常判定模块,在整体上具备对目标场景中多应用业务正常用户行为建模和异常用户自动识别的能力,包括异常用户操作识别、变点检测、多域异常检测、时间序列异常检测和信息融合功能。
3)异常主机监测。异常主机监测包括主机异常审计模块、系统调用主机异常检测模块以及用户行为的主机异常检测模块。
4)异常攻击态势评估分析。异常攻击态势评估分析模块用于感知所有攻击行为的来源、目标、规模、影响和结果。攻击感知基于汇总全网相关的攻击行为相关信息,通过统计分析、关联融合手段对攻击信息进行处理,从而获得全景式的攻击态势监视。攻击感知从遭受攻击、攻击的类型、分布、攻击关系、趋势和攻击结果维度进行攻击态势的呈现,包括分别从内部和外部的视角监视受攻击和发起攻击的态势,攻击在网络、主机、表示应用、数据层面上的分布和趋势,攻击的源目关系态势,攻击类型在不同安全域及业务系统或资产类型上的分布,攻击成功与否的结果态势。
进一步,步骤四中的违规行为监测包括:
采用基于业务白名单的异常违规行为监测方法,通过对具体业务流全路径动态行为的综合分析,围绕业务安全需求,对关键业务路径、敏感数据资源进行动态综合监控和分析,实现对未知威胁的快速感知和深度分析,以及对未知安全事件的回溯评估、检测和取证。
基于业务白名单的异常违规行为的检测流程包括业务访问行为合规性检测、敏感URL访问检测以及业务用户访问权限的关键行为检测,具体包括:
1)从业务访问URL中抓取认证通过的账号,将姓名、身份证明和当前登录IP进方行关联,形成动态字典表;
2)抓取网络访问流量信息和URL命令数据,若数据不在网络访问行为白名单之内用则发出异常违规行为告警提示,否则进行URL监控;
3)建立角色-模块-URL对应库和业务-账号角色表,并动态维护IP-用户-角色对应表;
4)发生URL访问后;根据URL判断URL与角色的权限符合情况,不符合则产生关异常违规行为告警。
采用基于在线流量深度挖掘的网络空间态势量化方法进行流量检测,包括:
1)利用流量探针获取多维度态势特征指标,精确刻画网络流量中的态势特征;2)通过对特征指标的异常检测,采用面向态势特征的自适应学习与异常分析技术,发现态势的微观异常,进行异常态势的事件表达;3)关联微观的态势异常事件,面向态势特征的自适应学习与异常分析触发更高级别的宏观态势异常告警;采用信号处理方法,从特征指标的时间序列中,挖掘出隐藏的可能异常的信号量,予以发现和预警,实现未知隐性态势的异常发现。
进一步,步骤五中的大数据态势分析包括:
通过以下三个步骤将安全数据转化为威胁情报:1)数据预处理,通过特征抽取、数据融合和关联分析方式,将原始数据进行重新组织,形成基础的数据关系网络图谱;2)模型设计,结合实际攻击中的数据统计特征、攻击链特征、行为特征等,设计数据分析的流程、方法和规则、形成大数据分析的工具模型;3)数据分析,通过实时分析、离线分析方式,对预处理后的数据依据分析模型进行深度挖掘,从中发现潜在威胁、预判位置风险、感知网络安全态势。
态势感知应急响应包括:
当系统发生威胁时通过自动响应和人工响应两种方式,并在威胁发生时候采用联动响应策略,包括对关联分析及评估结果的告知功能及网络安全事件发生的响应机制。当系统出现安全威胁时,系统内部采用响应策略将威胁信息通过短信或Email的形式发送给不同的网络管理员,形成联动响应的策略机制。
安全事件的响应流程:系统根据网络安全态势评估结果采用系统内部响应措施,并将系统威胁信息发送至网络安全管理员;通过对响应时间进行分析比对,采取相应措施,并发送,联动响应需要通过插件进行调用实现。
步骤六中的基于国产密码的知识库构建包括:支持构建和扩充国产密码相关政策、法律法规,支持构建和方便检索常用问题处置方案。态势感知平台的NC-Link采集器根据采集信息类型,旁路连接交换机、路由器或连接防火墙、入侵检测系统的安全设备;密码应用信息的采集通过连接在NC-Link工业网络安全网关上进行获取,态势感知平台与下级平台采取级联的方式进行信息共享。
本发明的另一目的在于提供一种应用所述的数控系统安全态势感知与分析方法的数控系统安全态势感知与分析系统,数控系统安全态势感知与分析系统包括:包括采集层、大数据层、分析层、管控层和呈现层。
采集层,用于通过NC-Link采集数控机床高频大数据和低频或静态数据;
大数据层,用于实现对采集数据的预处理和存储,将需要的数据转换为结构化数据,对非结构化数据进行索引和存储;
分析层,用于对预处理后的海量数据进行数据分析和挖掘,支持国产密码算法和硬件设备的登记与识别,支持常用安全协议的解析和漏洞的发现,支持通过数据流发现明密文信息,支持与密码检测设备的联动;
管控层,用于实现信息安全的监控预警、安全审计、安全度量、运营管理和情报管理的工作;
呈现层,用于负责对海量数据的原始数据、分析结果数据和管控数据进行可视化展示,提供人机交互界面,向安全管理人员呈现全方位安全状态。
本发明的另一目的在于提供一种计算机设备,计算机设备包括存储器和处理器,存储器存储有计算机程序,计算机程序被处理器执行时,使得处理器执行所述的数控系统安全态势感知与分析方法的步骤。
本发明的另一目的在于提供一种计算机可读存储介质,存储有计算机程序,计算机程序被处理器执行时,使得处理器执行所述的数控系统安全态势感知与分析方法的步骤。
本发明的另一目的在于提供一种信息数据处理终端,信息数据处理终端用于实现所述的数控系统安全态势感知与分析系统。
结合上述的技术方案和解决的技术问题,本发明所要保护的技术方案所具备的优点及积极效果为:
本发明收集应用所使用的密码方案和运行密码产品的实用信息,例如状态信息、加密信息、解密信息等,以此来构建态势感知预警平台,对应用密码产品的应用进行态势感知,预警使用密码产品的风险,增强密码产品的安全性,以达到预测、防御、响应和检测的目的。另外,本发明还支持构建和扩充国产密码相关政策、法律、法规;支持构建和方便检索常用问题处置方案。
本发明提供的数控系统安全态势感知与分析系统具备资产管理、安全风险分析、异常攻击发现、违规行为监测、流量监测、大数据态势分析功能;能感知DDos、Webshell、僵尸网络、木马、蠕虫、病毒、SQL注入、XML注入、跨站脚本攻击、端口扫描等网络安全威胁、具备未知的0day攻击、APT攻击态势感知能力;安全威胁检测精确率大于95%,误报率小于5%,漏报率小于5%。
本发明的技术方案填补了国内外业内技术空白:本发明具有显著的创新特点:通过NC-Link的工业网络安全网关对密码应用信息数据进行采集和分析,实现了使用密码产品的应用的态势感知,预警使用密码产品的风险,增强密码产品的安全性;通过支持构建和扩充国产密码相关政策、法律、法规实现常用密码安全问题方案的快速检索。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图做简单的介绍,显而易见地,下面所描述的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的数控系统安全态势感知与分析方法流程图;
图2是本发明实施例提供的数控系统安全态势感知与分析系统框架图;
图3是本发明实施例提供的风险计算模型示意图;
图4是本发明实施例提供的基于国产密码态势感知与分析系统典型部署图。
图5是本发明实施例提供的直接使用sklearn库中的fit函数进行训练,根据训练结果进行预测的特征重要性示意图;
图6是本发明实施例提供的模型效果评估效果的示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
针对现有技术存在的问题,本发明提供了一种数控系统安全态势感知与分析系统、方法、设备及终端,下面结合附图对本发明作详细的描述。
为了使本领域技术人员充分了解本发明如何具体实现,该部分是对权利要求技术方案进行展开说明的解释说明实施例。
如图1所示,数控系统安全态势感知是指对数控系统中海量数据环境中不断变化的网络安全特征要素进行采集与分析,对来源多样的网络安全特征进行数据提取与信息融合,实时评估网络安全态势,预测未来网络安全态势发展的趋势。数控系统安全态势感知技术可为网络管理和技术人员实时了解数控系统的网络安全状况提供方法和手段,可为决策者的网络安全管控提供及时准确的决策支撑,做好主动的网络安全防御。
数控系统安全态势感知系统通过采集层采集数控机床高频大数据和低频静态数据,通过大数据层实现对采集数据的预处理和存储,通过分析层实现对预处理后的海量数据进行实时和历史分析,通过管控层实现日常安全管理的工作,最后通过呈现层负责对海量数据的原始数据、分析结果数据和管控数据进行可视化展示。
本发明实施例提供的数控系统安全态势感知与分析方法包括以下步骤:
S101,通过资产管理描述网络内的资产态势;
S102,利用风险计算模型实现安全风险分析;
S103,采集密码应用信息,并发现异常攻击;
S104,分别进行违规行为和流量的监测;
S105,分析大数据态势,进行态势感知应急响应;
S106,构建基于国产密码的知识库。
如图2所示,本发明实施例还提供了一种基于国产密码的数控系统安全态势感知与分析系统,包括采集层、大数据层、分析层、管控层和呈现层。
其中,采集层通过NC-Link采集数控机床高频大数据和低频或静态数据;大数据层实现对采集数据的预处理和存储,将需要的数据转换为结构化数据,对非结构化数据进行索引和存储;分析层对预处理后的海量数据进行数据分析和挖掘,支持国产密码算法和硬件设备的登记与识别,支持常用安全协议的解析和漏洞的发现,支持通过数据流发现明密文信息,支持与密码检测设备的联动;管控层实现信息安全的监控预警、安全审计、安全度量、运营管理和情报管理的工作;呈现层负责对海量数据的原始数据、分析结果数据和管控数据进行可视化展示,提供人机交互界面,向安全管理人员呈现全方位安全状态。
作为优选实施例,本发明实施例提供的数控系统安全态势感知与分析方法具体包括以下步骤:
(1)资产管理
资产管理用于描述网络内的资产态势,是态势感知的基础。首先通过主动发现、导入或创建的方式来识别和梳理目标网络中要被防护的资产及业务对象。所获得并维护的被防护对象信息将在整个态势分析呈现过程中,被其他维度的感知所利用,成为面向安全对象安全态势分析的基础。本发明实施例提供的主要资产包括:数控机床、刀具、加工零件、PLC、工业机器人、搬运小车、传送带、料库、数控系统、产线系统、产线网络、适配器、代理器、采集网络等。可获取数控装备的主机IP地址、开放协议、扫描时间、位置等基础信息以及设备型号、厂商、通讯id、设备的工作时长、CPU使用率、剩余内存、剩余硬盘、网速、操作系统以及MAC地址等关键信息。
资产管理提供基于拓扑的资产视图,提供按图形化模式显示资产,可直接查看该资产的状态、事件、威胁、风险及告警信息。
本发明实施例采用半定量方法给资产赋值,即通过对资产的属性定量赋值,可大地反映资产价值。信息资产具有完整性、机密性与可用性三种安全属性。安全属性的不同通常也意味着安全控制、保护功能需求的不同。通过考察三种不同的安全属性,分别赋值,可以大致反映资产价值。
其中,C代表机密性赋值,I代表完整性赋值,A代表可用性赋值,Round表示四舍五入处理。公式体现了资产价值赋值中不同因素互不相干性特点。
(2)安全风险分析
本发明实施例采用GB/T20984-2007《信息安全技术信息安全风险评估规范》中的风险模型计算来计算风险。风险的计算模型如图3所示,用公式的形式化来描述。
风险值=R(A,T,V)=R(L(T,V),F(Ia,Va))
其中,R表示安全风险计算函数,A表示资产,T表示威胁,V表示脆弱性;Ia表示安全事件所作用的资产价值,Va表示脆弱性严重程度,L表示威胁利用资产的脆弱性导致安全事件发生的可能性,F表示安全事件发生后产生的损失。可根据企业自身的技术能力选择相应的风险计算方法计算风险值,如相乘法或者矩阵法,安全属性赋值依据参见GB/T20984-2007。
(3)密码应用信息采集
密码安全作为信息安全的基础性核心技术,是信息保护和网络信任体系建设的基础,也是实行信息安全等级保护不可或缺的关键技术。目前工业控制系统中大量密码产品投入应用,但许多密码产品的安全性还有待检验,应用使用的密码产品没有统一标准,密码方案的安全性也不同。本发明实施例将收集应用所使用的密码方案和运行密码产品的使用信息,例如状态信息、加密信息、解密信息等,以此来构建态势预警平台,对应用密码产品的应用进行态势感知,预警使用密码产品的风险,增强密码产品的安全性,以达到预测、防御、响应和检测的目的。
态势感知平台通过NC-Link的工业网络安全网关对密码应用信息数据进行采集,输送给数据分析和态势感知模块,数据分析和态势感知模块对网络的威胁态势信息,设备态势信息等进行处理,生成信息安全整体态势分析信息;信息安全威胁预警模块对态势信息中的网络攻击构建攻击图,并对攻击图信息进行预测,生成最终的威胁预警信息;安全防护策略生成与优化模块将这些威胁预警信息进行分析,结合威胁情报中心的信息生成有效的安全防护策略分发到相应设备上,实现整体的安全防护。
本发明实施例将构建动态特征库,以机器学习中的关联分析为指导,对密码应用数据进行关联挖掘分析,从频繁项集中获取关联规则,并通过频繁项集中的支持度,计算关联规则的可信度,从而寻找出潜在的隐式威胁数据,并将分析结果作为构建密码应用信息特征库的输入。
(4)异常攻击发现
异常攻击发现包括:异常流量感知、异常用户发现、异常主机设备发现以及异常攻击态势评估分析四个主要功能。
1)异常流量感知。仅依靠防火墙、入侵检测、防病毒、访问控制网络安全防护技术,不能满足网络安全的需求。本发明实施例采用异常流量监测和感知技术为安全态势平台提供重要数据支持,提高网络安全检测防护能力。利用特征分析、网络行为分析和家族基因进行木马窃密监测防护:侧重于窃密安全事件监测防护,包括木马窃密监测,疑似木马告警,木马事件处置等功能。
2)异常用户监测。异常用户监测包含有多元日志统预处理与正常行为建模、疑似异常行为识别、以及自适应异常判定模块,在整体上具备对目标场景中多应用业务正常用户行为建模和异常用户自动识别的能力。包括:异常用户操作识别、变点检测、多域异常检测、时间序列异常检测、信息融合等功能。
3)异常主机监测。异常主机监测包括主机异常审计模块、系统调用主机异常检测模块以及用户行为的主机异常检测模块。
4)异常攻击态势评估分析。异常攻击态势评估分析模块用于感知所有攻击行为的来源、目标、规模、影响和结果。攻击感知基于汇总全网相关的攻击行为相关信息,通过统计分析、关联融合等手段对攻击信息进行处理,从而获得全景式的攻击态势监视。攻击感知从遭受攻击、攻击的类型、分布、攻击关系、趋势、攻击结果等维度进行攻击态势的呈现。包括分别从内部和外部的视角监视受攻击和发起攻击的态势,攻击在网络、主机、表示应用、数据层面上的分布和趋势,攻击的源目关系态势,攻击类型在不同安全域及业务系统或资产类型上的分布,攻击成功与否的结果态势等。
(5)违规行为监测
采用基于业务白名单的异常违规行为监测方法,通过对具体业务流全路径动态行为的综合分析,围绕业务安全需求,对关键业务路径、敏感数据资源进行动态综合监控和分析,实现对未知威胁的快速感知和深度分析,以及对未知安全事件的回溯评估、检测和取证。
基于业务白名单的异常违规行为的具体检测流程包括,业务访问行为合规性检测,敏感URL访问检测,业务用户访问权限的关键行为检测。处理思路包括:
1)从业务访问URL中抓取认证通过的账号,将姓名、身份证明和当前登录IP进方行关联,形成动态字典表;
2)抓取网络访问流量信息和URL命令数据,若数据不在网络访问行为白名单之内用则发出异常违规行为告警提示,否则进行URL监控;
3)建立角色-模块-URL对应库和业务-账号角色表;并动态维护IP-用户-角色对应表;
4)发生URL访问后;根据URL判断URL与角色的权限符合情况,不符合则产生关异常违规行为告警。
(6)流量监测
采用基于在线流量深度挖掘的网络空间态势量化方法进行流量检测。1)利用流量探针获取多维度态势特征指标,来精确刻画网络流量中的态势特征。2)通过对特征指标的异常检测,采用面向态势特征的自适应学习与异常分析技术,发现态势的微观异常,进行异常态势的事件表达。3)关联微观的态势异常事件,面向态势特征的自适应学习与异常分析触发更高级别的宏观态势异常告警;采用信号处理方法,从特征指标的时间序列中,挖掘出隐藏的可能异常的信号量,予以发现和预警,实现未知隐性态势的异常发现。
(7)大数据态势分析
通过以下三个步骤将安全数据转化为威胁情报:1)数据预处理,通过特征抽取、数据融合、关联分析等方式,将原始数据进行重新组织,形成基础的数据关系网络图谱;2)模型设计,结合实际攻击中的数据统计特征、攻击链特征、行为特征等,设计数据分析的流程、方法和规则、形成大数据分析的工具模型;3)数据分析,通过实时分析、离线分析等方式,对预处理后的数据依据分析模型进行深度挖掘,从中发现潜在威胁、预判位置风险、感知网络安全态势。
(8)态势感知应急响应
当系统发生威胁时通过自动响应和人工响应两种方式,并在威胁发生时候采用联动响应策略。主要功能包含对关联分析及评估结果的告知功能及网络安全事件发生的响应机制。当系统出现安全威胁时候,系统内部采用一定的响应策略,同时将威胁信息通过短信或Email的形式发送给不同的网络管理员,这样就形成了联动响应的策略机制,提高了网络安全管理的效率,同时也提高了系统的及时响应能力。
安全事件的响应流程:首先是系统根据网络安全态势评估结果采用系统内部响应措施,然后将系统威胁信息发送至网络安全管理员。通过对响应时间进行分析比对,采取相应措施,并发送,联动响应需要通过插件进行调用实现。
(9)基于国产密码的知识库构建
支持构建和扩充国产密码相关政策、法律、法规;支持构建和方便检索常用问题处置方案。
本发明实施例提供的基于国产密码态势感知与分析系统部署如图4所示。
态势感知平台的NC-Link采集器根据采集信息的类型,可以旁路连接常用的交换机、路由器上,也可以连接在防火墙、入侵检测系统等安全设备上,密码应用信息的采集可以通过连接在本发明的NC-Link工业网络安全网关上进行获取。态势感知平台也可以与下级平台采取级联的方式进行信息共享。
为了证明本发明的技术方案的创造性和技术价值,该部分是对权利要求技术方案进行具体产品上或相关技术上的应用实施例。
态势感知技术首先对各种影响数控系统安全性的要素进行检测获取,然后对安全信息采用分类、归并、建立数据模型、分析等手段进行融合,接着对融合的信息进行综合分析,得到网络的整体安全状况及其应对措施,并对网络安全状况的发展趋势进行预测,最后为数控系统信息安全管理提供可靠的数据参考和决策支持。
1)态势察觉
任何单一的情况或状态都不能称之为态势,网络安全态势感知体系需实现多层次多维度的态势要素采集,包括对以下六种类型的数据的接入:
来自网络安全防护系统的数据:例如防火墙、IDS/IPS、WAF、网络安全审计系统等设备的日志或告警数据;
来自重要服务器与主机的数据:例如服务器安全日志、进程调用和文件访问等信息,基于网络与基于主机的协同能够大大提升网络威胁感知能力;
网络骨干节点的数据:例如核心交换的原始网络数据,网络节点数据采集得越多,追踪、确认网络攻击路径的可能性就越大;
漏洞数据:基于主动的漏洞评估、渗透测试发现的漏洞数据;
直接的威胁感知数据:例如Honeynet(蜜网)诱捕的网络攻击数据,对网络攻击源及攻击路径的追踪探测数据;
协同合作数据:包括权威部门发布的病毒蠕虫爆发的预警数据,网络安全公司或研究机构提供的威胁情报等。
为保障态势感知结果准确和全面,应最大限度地确保获取数据的完整,因此需对所有检测设备获得的原始数据进行分析。因处理的数据量大,如采取较为复杂的关联技术,则处理时间会较长,系统的实时性较差。为满足系统实时性的要求,网络安全态势感知体系的态势理解过程首先可采用简单的数据级融合,然后分析融合后数据的相关性,具体处理过程分为如下几步:
分析原始安全数据,将安全数据归类为资产数据、威胁数据、脆弱性数据,不考虑数据类之间的关系;
去除重复冗余信息,合并同类信息,修正错误信息,得到规范化的资产数据集、威胁数据集、脆弱性数据集;
将资产、威胁和脆弱性相关联,综合分析得到安全事件数据集。
2)态势评估
态势评估是网络安全态势感知的核心,是对网络安全状况的定性定量描述。可采用多层次多维度多粒度的态势评估框架。由专题评估、要素评估和整体评估三个层次构成,每个层次分别从不同的维度,每个维度分别从不同的粒度对网络安全态势进行评估。
3)态势预测
网络安全态势感知体系中的态势预测指根据当前的网络状况,找出网络安全隐患进行分析,对未来一定时间内的安全趋势进行判断,并提供相应的解决方法。
在全面获取网络威胁相关状态数据的前提下,设定不同的场景和条件,根据网络安全的历史和当前状态信息,建立符合网络及业务场景的分析模型,并基于网络威胁结合资产脆弱性来进行态势预测,能够更好地反映网络安全在未来一段时间内的发展趋势。
安全态势预测的目标不是产生准确的预警信息,而是要将预测结果用于决策分析与支持,特别是对网络攻防对抗的支持。
4)安全决策
网络态势感知体系为数控系统提供不同层级的安全决策支撑,推动安全决策的地执行实现感知-响应的闭环:
管理层的高层领导,可掌握全网的整体安全态势,评估全网和为安全态势感知提供必要的决策支撑。
管理层的各部门领导,可掌握部门所属业务信息系统的安全态势,查阅所属业务系统的运行报告和安全报告,并协调部门间运维流程和安全事件的处理。
执行层的安全人员,可将管理层的工作目标落实分解,形成系统可执行的策略、指标、规则、计划和任务;可以查看网络和业务系统的安全资产运行状况、安全风险走势、重要的安全事件处理情况,安全分析报表报告;可以随时掌握计划和任务的进展情况,实现对一线运维人员的考核。安全人员最终可以通过系统生成提交给管理层的各类安全报表报告。
执行层的运维人员,可持续对网络资产及信息系统进行运行监测、安全审计、任务处理与应急响应。
本发明实施例在研发或者使用过程中取得了一些积极效果,和现有技术相比的确具备很大的优势,下面内容结合试验过程的数据、图表等进行描述。
1)DDoS威胁感知
实验使用人工神经网络(ANN)实现了DDoS攻击检测,模型含有8个神经元的输入层,两个含有100个神经元的隐藏层和由1个神经元构成的输出层。
数据收集:工具调用Tshark(Wireshark提供的命令行工具)选择监听某一接口,然后调用csvgather函数,收集该接口在某段时间收集得到的数据包。
模型训练:使用第一步搜集到的数据或者已有数据集对模型进行训练
应用模型:选择监听端口和调用的模型,将监听接口中的数据不断的写入到LiveAnn.csv文件中,然后调用MLP_Live_predict函数加载的模型去预测LiveAnn.csv中每一行对应的target值。如果预测结果为ddos的流量超出了总体预测数据的半数则认为检测到了DDoS攻击。
使用现有数据集的模型训练结果:从混淆矩阵的显示结果来看,对角线上的数字的大小占据了总数的绝大部分,而对角线上的数字就代表预测正确的个数,而错误的预测结果不到0.1%。从分类报告显示看,无论是精确率,召回率还是F1-score都是非常接近100%的。因此总体来说,模型的预测效果是非常好的。
2)Webshell威胁感知
使用层感知机(MLP)神经网络实现了webshell攻击检测,神经网络有两层隐藏层,分别有5个节点和2个节点。
训练数据:规定white files是正常合法文件的集合,black files是webshell文件的集合。使用2-gram词袋模型和TF-IDF提取样本文件的文本特征进行学习。将训练集列表x使用2-gram模型提取词袋模型。然后将x使用TF-IDF进行处理。
模型训练:使用第一步搜集到的数据或者已有数据集对模型进行训练
本检测工具提供的一个预测模型样本是由2592个webshell文件和2508个normal文件作为输入样本(有60%的样本被真正用于训练)所训练出来的模型。
在输入样本的测试集中:
准确率约为97.7%、精确率约为98.3%、召回率约为97.2%、F1分数约为0.978。
在专门用于测试的500个测试样本集中:
准确率约为97.5%、精确率约为97.2%、召回率约为97.8%、F1分数约为0.975。
3)僵尸网络威胁感知
通过逻辑回归算法(Logistic Regression),感知机算法(Preceptron),决策树算法(Running DecisionTreeRegressor),高斯朴素贝叶斯算法(Gaussian Naive Bayes)、最邻近结点算法(KNN Classifier)分别对网络流量进行预测,判断是否是来自僵尸网络的流量。
负责监测的终端首先使用Tshark等网络协议分析器从实时网络捕获数据包数据。再将捕获到的数据包输入到模型中进行预测模拟、判断。
用训练出来的模型对数据集进行预测,并评估各个模型的表现。从分类报告显示看,精确率是非常接近100%的。因此总体来说,模型的预测效果是非常好的。
4)SQL&XML注入威胁感知
使用snort入侵防御系统实现了对SQL注入与XML注入的检测,包含sql注入检测规则700+条与xml注入检测规则50+条。
在需要进行检测的网络终端上配置snort入侵检测系统;
将针对sql注入与xml注入的规则加入规则库并进行配置;
开始snort系统的实时监听进行检测。
在Vmware环境下搭建两台ubuntu虚拟机A与B;在虚拟机A中搭建snort入侵检测系统并配置使用sql注入与xml注入规则集;虚拟机B对虚拟机A发起攻击。
snort系统成功检测到攻击并对用户告警。
5)感知端口扫描
PortSentry可以实时检测几乎所有类型的网络扫描,并对扫描行为做出反应。一旦发现可疑的行为,PortSentry可以采取如下一些特定措施来加强防范:
给出虚假的路由信息,把所有的信息流都重定向到一个不存在的主机;
自动将对服务器进行端口扫描的主机加到TCP-Wrappers的/etc/hosts.deny文件中去;
利用Netfilter机制,用包过滤程序,比如iptables和ipchain等,把所有非法数据包(来自对服务器进行端口扫描的主机)都过滤掉;
通过syslog()函数给出一个目志消息,甚至可以返回给扫描者一段警告信息。
测试:在主机A上启动PortSentry后,先暂时清空portsentry.ignore里的文件,然后在主机B上启动扫描命令nmap扫描主机A。稍等片刻,就会发现/etc/hosts.deny中会出现ALL:“主机B的IP”的字样,证明此软件配置都是生效的。
联合其他工具进行扫描阻止
6)感知跨站脚本攻击
预处理:训练样本为跨站脚本攻击代码的数据集。在训练之前,读取文件所有输入句子的内容,转换成ASCII码。将ASCII码转换成一个100x100的矩阵,再转换成CV2的数据格式,对矩阵除以128数据的处理。最后把数据的形状进行重塑,使其成为CNN模型的输入。
特征提取:主要根据数据集的Label标签进行特征的分类。
训练及测试:使用经典的CNN卷积神经网络进行训练。直接使用了sklearn库中的conv2d和max_pooling2d函数来搭建神经网络。卷积网络架构设计如下,包含了三层卷积:
训练集+测试集。训练集占60%,测试集占40%。
直接使用keras库中的fit函数进行训练,根据训练结果进行预测。
当验证准确率〉97%时停止。模型训练,随后对测试集进行预测:
确定预测的阈值,输出真正的预测数和错误地预测数。
最后得到测试集中的攻击和良性数据的数量。
7)病毒检测、木马检测
预处理:训练样本为多分类ELF文件数据集。在训练前,读取ELF文件内容信息,形成数据表。
特征提取:主要根据数据集的ELF文件header信息、section信息、segment信息、调试信息等内容进行特征的分类。
训练及测试:随机森林RandomForestClassifier,建立随机森林分类器模型。
训练集+测试集。训练集占70%,测试集占30%。
直接使用sklearn库中的fit函数进行训练,根据训练结果进行预测。特征重要性如图5所示。
输出Confusion Matrix混淆矩阵。模型效果评估如图6所示。
应当注意,本发明的实施方式可以通过硬件、软件或者软件和硬件的结合来实现。硬件部分可以利用专用逻辑来实现;软件部分可以存储在存储器中,由适当的指令执行系统,例如微处理器或者专用设计硬件来执行。本领域的普通技术人员可以理解上述的设备和方法可以使用计算机可执行指令和/或包含在处理器控制代码中来实现,例如在诸如磁盘、CD或DVD-ROM的载体介质、诸如只读存储器(固件)的可编程的存储器或者诸如光学或电子信号载体的数据载体上提供了这样的代码。本发明的设备及其模块可以由诸如超大规模集成电路或门阵列、诸如逻辑芯片、晶体管等的半导体,或者诸如现场可编程门阵列、可编程逻辑设备等的可编程硬件设备的硬件电路实现,也可以用由各种类型的处理器执行的软件实现,也可以由上述硬件电路和软件的结合例如固件来实现。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,凡在本发明的精神和原则之内所做的做的任何修改、等同替换和改进等,都应涵盖在本发明的保护范围之内。
Claims (10)
1.一种数控系统安全态势感知与分析方法,其特征在于,数控系统安全态势感知与分析方法包括:采集层通过NC-Link采集数控机床高频大数据和低频或静态数据;大数据层对采集数据的预处理和存储,将数据转换为结构化数据,对非结构化数据进行索引和存储;分析层对预处理后的数据进行分析和挖掘,管控层实现信息安全的监控预警、安全审计、安全度量、运营管理和情报管理;利用呈现层对海量数据的原始数据、分析结果数据和管控数据进行可视化展示,提供人机交互界面,并向安全管理人员呈现全方位安全状态。
2.如权利要求1所述的数控系统安全态势感知与分析方法,其特征在于,数控系统安全态势感知与分析方法包括以下步骤:
步骤一,通过资产管理描述网络内的资产态势;
步骤二,利用风险计算模型实现安全风险分析;
步骤三,采集密码应用信息,并发现异常攻击;
步骤四,分别进行违规行为和流量的监测;
步骤五,分析大数据态势,进行态势感知应急响应;
步骤六,构建基于国产密码的知识库。
3.如权利要求2所述的数控系统安全态势感知与分析方法,其特征在于,步骤一中的资产管理包括:
通过主动发现、导入或创建的方式识别和梳理目标网络中要被防护的资产及业务对象;所获得并维护的被防护对象信息将在整个态势分析呈现过程中,被其他维度的感知所利用,成为面向安全对象安全态势分析的基础;其中,资产包括:数控机床、刀具、加工零件、PLC、工业机器人、搬运小车、传送带、料库、数控系统、产线系统、产线网络、适配器、代理器、采集网络;获取数控装备的主机IP地址、开放协议、扫描时间、位置的基础信息以及设备型号、厂商、通讯id、设备的工作时长、CPU使用率、剩余内存、剩余硬盘、网速、操作系统以及MAC地址的关键信息;
资产管理提供基于拓扑的资产视图,提供按图形化模式显示资产,直接查看资产的状态、事件、威胁、风险及告警信息;
采用半定量方法给资产赋值,通过对资产的属性定量赋值,用于反映资产价值;信息资产具有完整性、机密性与可用性三种安全属性;通过考察三种不同的安全属性,分别赋值,用于反映资产价值;
其中,C代表机密性赋值,I代表完整性赋值,A代表可用性赋值,Round表示四舍五入处理,用于体现资产价值赋值中不同因素互不相干性特点;
步骤二中的风险计算模型为:
风险值=R(A,T,V)=R(L(T,V),F(Ia,Va));
其中,R表示安全风险计算函数,A表示资产,T表示威胁,V表示脆弱性;Ia表示安全事件所作用的资产价值,Va表示脆弱性严重程度,L表示威胁利用资产的脆弱性导致安全事件发生的可能性,F表示安全事件发生后产生的损失;根据企业自身技术能力选择相应风险计算方法计算风险值,包括相乘法和矩阵法。
4.如权利要求2所述的数控系统安全态势感知与分析方法,其特征在于,步骤三中的密码应用信息采集包括:
收集应用所使用的密码方案和运行密码产品的使用信息,以此构建态势预警平台,对应用密码产品的应用进行态势感知,预警使用密码产品的风险,实现预测、防御、响应和检测的目的;其中,所述运行密码产品的使用信息包括状态信息、加密信息和解密信息;
态势感知平台通过NC-Link的工业网络安全网关对密码应用信息数据进行采集,输送给数据分析和态势感知模块,数据分析和态势感知模块对网络的威胁态势信息、设备态势信息进行处理,生成信息安全整体态势分析信息;信息安全威胁预警模块对态势信息中的网络攻击构建攻击图,并对攻击图信息进行预测,生成最终的威胁预警信息;安全防护策略生成与优化模块将威胁预警信息进行分析,结合威胁情报中心的信息生成有效的安全防护策略分发到相应设备上,实现整体的安全防护;
通过构建动态特征库,以机器学习中的关联分析为指导,对密码应用数据进行关联挖掘分析,从频繁项集中获取关联规则,并通过频繁项集中的支持度,计算关联规则的可信度,从而寻找出潜在的隐式威胁数据,并将分析结果作为构建密码应用信息特征库的输入。
5.如权利要求4所述的数控系统安全态势感知与分析方法,其特征在于,异常攻击发现包括:异常流量感知、异常用户发现、异常主机设备发现以及异常攻击态势评估分析四个功能;
1)异常流量感知:采用异常流量监测和感知技术为安全态势平台提供数据支持;利用特征分析、网络行为分析和家族基因进行木马窃密监测防护:侧重于窃密安全事件监测防护,包括木马窃密监测、疑似木马告警和木马事件处置;
2)异常用户监测:异常用户监测包含有多元日志统预处理与正常行为建模、疑似异常行为识别、以及自适应异常判定模块,在整体上具备对目标场景中多应用业务正常用户行为建模和异常用户自动识别的能力,包括异常用户操作识别、变点检测、多域异常检测、时间序列异常检测和信息融合功能;
3)异常主机监测:异常主机监测包括主机异常审计模块、系统调用主机异常检测模块以及用户行为的主机异常检测模块;
4)异常攻击态势评估分析:异常攻击态势评估分析模块用于感知所有攻击行为的来源、目标、规模、影响和结果;攻击感知基于汇总全网相关的攻击行为相关信息,通过统计分析、关联融合手段对攻击信息进行处理,从而获得全景式的攻击态势监视;攻击感知从遭受攻击、攻击的类型、分布、攻击关系、趋势和攻击结果维度进行攻击态势的呈现,包括分别从内部和外部的视角监视受攻击和发起攻击的态势,攻击在网络、主机、表示应用、数据层面上的分布和趋势,攻击的源目关系态势,攻击类型在不同安全域及业务系统或资产类型上的分布,攻击成功与否的结果态势。
6.如权利要求2所述的数控系统安全态势感知与分析方法,其特征在于,步骤四中的违规行为监测包括:
采用基于业务白名单的异常违规行为监测方法,通过对具体业务流全路径动态行为的综合分析,围绕业务安全需求,对关键业务路径、敏感数据资源进行动态综合监控和分析,实现对未知威胁的快速感知和深度分析,以及对未知安全事件的回溯评估、检测和取证;
基于业务白名单的异常违规行为的检测流程包括业务访问行为合规性检测、敏感URL访问检测以及业务用户访问权限的关键行为检测,具体包括:
1)从业务访问URL中抓取认证通过的账号,将姓名、身份证明和当前登录IP进方行关联,形成动态字典表;
2)抓取网络访问流量信息和URL命令数据,若数据不在网络访问行为白名单之内用则发出异常违规行为告警提示,否则进行URL监控;
3)建立角色-模块-URL对应库和业务-账号角色表,并动态维护IP-用户-角色对应表;
4)发生URL访问后;根据URL判断URL与角色的权限符合情况,不符合则产生关异常违规行为告警;
采用基于在线流量深度挖掘的网络空间态势量化方法进行流量检测,包括:
1)利用流量探针获取多维度态势特征指标,精确刻画网络流量中的态势特征;2)通过对特征指标的异常检测,采用面向态势特征的自适应学习与异常分析技术,发现态势的微观异常,进行异常态势的事件表达;3)关联微观的态势异常事件,面向态势特征的自适应学习与异常分析触发更高级别的宏观态势异常告警;采用信号处理方法,从特征指标的时间序列中,挖掘出隐藏的可能异常的信号量,予以发现和预警,实现未知隐性态势的异常发现。
7.如权利要求2所述的数控系统安全态势感知与分析方法,其特征在于,步骤五中的大数据态势分析包括:
通过以下三个步骤将安全数据转化为威胁情报:1)数据预处理,通过特征抽取、数据融合和关联分析方式,将原始数据进行重新组织,形成基础的数据关系网络图谱;2)模型设计,结合实际攻击中的数据统计特征、攻击链特征、行为特征等,设计数据分析的流程、方法和规则、形成大数据分析的工具模型;3)数据分析,通过实时分析、离线分析方式,对预处理后的数据依据分析模型进行深度挖掘,从中发现潜在威胁、预判位置风险、感知网络安全态势;
态势感知应急响应包括:
当系统发生威胁时通过自动响应和人工响应两种方式,并在威胁发生时候采用联动响应策略,包括对关联分析及评估结果的告知功能及网络安全事件发生的响应机制;当系统出现安全威胁时,系统内部采用响应策略将威胁信息通过短信或Email的形式发送给不同的网络管理员,形成联动响应的策略机制;
安全事件的响应流程:系统根据网络安全态势评估结果采用系统内部响应措施,并将系统威胁信息发送至网络安全管理员;通过对响应时间进行分析比对,采取相应措施,并发送,联动响应需要通过插件进行调用实现;
步骤六中的基于国产密码的知识库构建包括:支持构建和扩充国产密码相关政策、法律法规,支持构建和方便检索常用问题处置方案;态势感知平台的NC-Link采集器根据采集信息类型,旁路连接交换机、路由器或连接防火墙、入侵检测系统的安全设备;密码应用信息的采集通过连接在NC-Link工业网络安全网关上进行获取,态势感知平台与下级平台采取级联的方式进行信息共享。
8.一种应用如权利要求1~7任意一项所述的数控系统安全态势感知与分析方法的数控系统安全态势感知与分析系统,其特征在于,数控系统安全态势感知与分析系统包括:包括采集层、大数据层、分析层、管控层和呈现层;
采集层,用于通过NC-Link采集数控机床高频大数据和低频或静态数据;
大数据层,用于实现对采集数据的预处理和存储,将需要的数据转换为结构化数据,对非结构化数据进行索引和存储;
分析层,用于对预处理后的海量数据进行数据分析和挖掘,支持国产密码算法和硬件设备的登记与识别,支持常用安全协议的解析和漏洞的发现,支持通过数据流发现明密文信息,支持与密码检测设备的联动;
管控层,用于实现信息安全的监控预警、安全审计、安全度量、运营管理和情报管理的工作;
呈现层,用于负责对海量数据的原始数据、分析结果数据和管控数据进行可视化展示,提供人机交互界面,向安全管理人员呈现全方位安全状态。
9.一种计算机可读存储介质,存储有计算机程序,计算机程序被处理器执行时,使得处理器执行如权利要求1~6任意一项所述的数控系统安全态势感知与分析方法的步骤。
10.一种信息数据处理终端,其特征在于,信息数据处理终端用于实现如权利要求7所述的数控系统安全态势感知与分析系统。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211633157.9A CN115996146A (zh) | 2022-12-19 | 2022-12-19 | 数控系统安全态势感知与分析系统、方法、设备及终端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211633157.9A CN115996146A (zh) | 2022-12-19 | 2022-12-19 | 数控系统安全态势感知与分析系统、方法、设备及终端 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115996146A true CN115996146A (zh) | 2023-04-21 |
Family
ID=85993267
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211633157.9A Pending CN115996146A (zh) | 2022-12-19 | 2022-12-19 | 数控系统安全态势感知与分析系统、方法、设备及终端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115996146A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116232768A (zh) * | 2023-05-08 | 2023-06-06 | 汉兴同衡科技集团有限公司 | 一种信息安全评估方法、系统、电子设备及存储介质 |
| CN116232770A (zh) * | 2023-05-08 | 2023-06-06 | 中国石油大学(华东) | 一种基于sdn控制器的企业网络安全防护系统及方法 |
| CN116389174A (zh) * | 2023-06-07 | 2023-07-04 | 北京全路通信信号研究设计院集团有限公司 | 网络安全管控方法和装置 |
| CN116992460A (zh) * | 2023-09-25 | 2023-11-03 | 成都市蓉通数智信息技术有限公司 | 一种基于智能协同的软件运营管理系统 |
| CN117270785A (zh) * | 2023-10-13 | 2023-12-22 | 北京泓鹏网络科技有限公司 | 一种基于大数据平台的数据安全存储方法及系统 |
| CN117834308A (zh) * | 2024-03-06 | 2024-04-05 | 网思科技集团有限公司 | 一种网络安全态势感知方法、系统和介质 |
| CN117834308B (zh) * | 2024-03-06 | 2024-05-17 | 网思科技集团有限公司 | 一种网络安全态势感知方法、系统和介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测系统、方法及部署架构 |
| US20170346846A1 (en) * | 2016-05-31 | 2017-11-30 | Valarie Ann Findlay | Security threat information gathering and incident reporting systems and methods |
| CN110647085A (zh) * | 2019-10-15 | 2020-01-03 | 北京明略软件系统有限公司 | 参数的调整方法及装置 |
| CN112215505A (zh) * | 2020-10-19 | 2021-01-12 | 国网山东省电力公司电力科学研究院 | 一种适应于电力行业的数据安全智能管控平台 |
| CA3177985A1 (en) * | 2021-12-17 | 2022-06-23 | Strong Force Vcn Portfolio 2019, Llc | Robot fleet management and additive manufacturing for value chain networks |
| US20220274703A1 (en) * | 2021-02-28 | 2022-09-01 | Michele Di Cosola | Autonomous Inspection System within a Smart Self-Healing Node Centric Blockchain Network for Safety and Quality Management |
-
2022
- 2022-12-19 CN CN202211633157.9A patent/CN115996146A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170346846A1 (en) * | 2016-05-31 | 2017-11-30 | Valarie Ann Findlay | Security threat information gathering and incident reporting systems and methods |
| CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测系统、方法及部署架构 |
| CN110647085A (zh) * | 2019-10-15 | 2020-01-03 | 北京明略软件系统有限公司 | 参数的调整方法及装置 |
| CN112215505A (zh) * | 2020-10-19 | 2021-01-12 | 国网山东省电力公司电力科学研究院 | 一种适应于电力行业的数据安全智能管控平台 |
| US20220274703A1 (en) * | 2021-02-28 | 2022-09-01 | Michele Di Cosola | Autonomous Inspection System within a Smart Self-Healing Node Centric Blockchain Network for Safety and Quality Management |
| CA3177985A1 (en) * | 2021-12-17 | 2022-06-23 | Strong Force Vcn Portfolio 2019, Llc | Robot fleet management and additive manufacturing for value chain networks |
Non-Patent Citations (2)
| Title |
|---|
| 王鑫;海军;汤凯;杜鹏;晏亮;: "基于商密SM9算法的安全高效数据采集网关研究", 电力安全技术, no. 11, 15 November 2018 (2018-11-15) * |
| 管磊;胡光俊;王专;: "基于大数据的网络安全态势感知技术研究", 信息网络安全, no. 09, 10 September 2016 (2016-09-10) * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116232768A (zh) * | 2023-05-08 | 2023-06-06 | 汉兴同衡科技集团有限公司 | 一种信息安全评估方法、系统、电子设备及存储介质 |
| CN116232770A (zh) * | 2023-05-08 | 2023-06-06 | 中国石油大学(华东) | 一种基于sdn控制器的企业网络安全防护系统及方法 |
| CN116389174A (zh) * | 2023-06-07 | 2023-07-04 | 北京全路通信信号研究设计院集团有限公司 | 网络安全管控方法和装置 |
| CN116389174B (zh) * | 2023-06-07 | 2023-09-12 | 北京全路通信信号研究设计院集团有限公司 | 网络安全管控方法和装置 |
| CN116992460A (zh) * | 2023-09-25 | 2023-11-03 | 成都市蓉通数智信息技术有限公司 | 一种基于智能协同的软件运营管理系统 |
| CN116992460B (zh) * | 2023-09-25 | 2024-02-02 | 成都市蓉通数智信息技术有限公司 | 一种基于智能协同的软件运营管理系统 |
| CN117270785A (zh) * | 2023-10-13 | 2023-12-22 | 北京泓鹏网络科技有限公司 | 一种基于大数据平台的数据安全存储方法及系统 |
| CN117834308A (zh) * | 2024-03-06 | 2024-04-05 | 网思科技集团有限公司 | 一种网络安全态势感知方法、系统和介质 |
| CN117834308B (zh) * | 2024-03-06 | 2024-05-17 | 网思科技集团有限公司 | 一种网络安全态势感知方法、系统和介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Khan et al. | HML-IDS: A hybrid-multilevel anomaly prediction approach for intrusion detection in SCADA systems | |
| Kaur et al. | Artificial intelligence for cybersecurity: Literature review and future research directions | |
| US11336669B2 (en) | Artificial intelligence cyber security analyst | |
| Sarker | Machine learning for intelligent data analysis and automation in cybersecurity: current and future prospects | |
| CN115996146A (zh) | 数控系统安全态势感知与分析系统、方法、设备及终端 | |
| CN112651006A (zh) | 一种电网安全态势感知平台架构 | |
| Jiang et al. | Anomaly detection via one class SVM for protection of SCADA systems | |
| AU2020102142A4 (en) | Technique for multilayer protection from quantifiable vulnerabilities in industrial cyber physical system | |
| Pradhan et al. | Intrusion detection system (IDS) and their types | |
| El-Kady et al. | Analysis of safety and security challenges and opportunities related to cyber-physical systems | |
| EP2747365A1 (en) | Network security management | |
| Sharma et al. | Layered approach for intrusion detection using naïve Bayes classifier | |
| Wu et al. | Alert correlation for detecting cyber-manufacturing attacks and intrusions | |
| Maglaras et al. | Novel intrusion detection mechanism with low overhead for SCADA systems | |
| CN112596984A (zh) | 业务弱隔离环境下的数据安全态势感知系统 | |
| Salazar et al. | Monitoring approaches for security and safety analysis: application to a load position system | |
| Agrawal et al. | A SURVEY ON ATTACKS AND APPROACHES OF INTRUSION DETECTION SYSTEMS. | |
| Ehis | Optimization of Security Information and Event Management (SIEM) Infrastructures, and Events Correlation/Regression Analysis for Optimal Cyber Security Posture | |
| Tashfeen | Intrusion Detection System Using AI and Machine Learning Algorithm | |
| Yeshwanth et al. | Adoption and Assessment of Machine Learning Algorithms in Security Operations Centre for Critical Infrastructure | |
| Xu et al. | AI and machine learning for the analysis of data flow characteristics in industrial network communication security | |
| Alomiri et al. | Machine learning-based security mechanism to detect and prevent cyber-attack in IoT networks | |
| Prabu et al. | An Automated Intrusion Detection and Prevention Model for Enhanced Network Security and Threat Assessment | |
| Rajwar et al. | Comparative Evaluation of Machine Learning Methods for Network Intrusion Detection System | |
| Fovino et al. | Distributed intrusion detection system for SCADA protocols |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |