CN116647389A - 一种工业控制系统网络访问安全性预警系统及方法 - Google Patents
一种工业控制系统网络访问安全性预警系统及方法 Download PDFInfo
- Publication number
- CN116647389A CN116647389A CN202310636443.9A CN202310636443A CN116647389A CN 116647389 A CN116647389 A CN 116647389A CN 202310636443 A CN202310636443 A CN 202310636443A CN 116647389 A CN116647389 A CN 116647389A
- Authority
- CN
- China
- Prior art keywords
- user
- data operation
- access
- data
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000000034 method Methods 0.000 title claims abstract description 29
- 238000009826 distribution Methods 0.000 claims abstract description 61
- 238000004458 analytical method Methods 0.000 claims description 17
- 230000035945 sensitivity Effects 0.000 claims description 9
- 230000002159 abnormal effect Effects 0.000 claims description 7
- 238000010224 classification analysis Methods 0.000 claims description 7
- 238000004364 calculation method Methods 0.000 claims description 5
- 206010020751 Hypersensitivity Diseases 0.000 claims description 3
- 230000000774 hypoallergenic effect Effects 0.000 claims 1
- 238000004806 packaging method and process Methods 0.000 claims 1
- 238000004519 manufacturing process Methods 0.000 description 9
- 230000008569 process Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 4
- 239000000284 extract Substances 0.000 description 4
- 230000008901 benefit Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 238000009776 industrial production Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000003208 petroleum Substances 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种工业控制系统网络访问安全性预警系统及方法,涉及网络安全技术领域。本发明包括,获取每个操作种类的允许访问人员和允许访问网络位置范围;根据每个操作种类的允许访问人员和允许访问网络位置范围,挑选出不限定访问人员和和访问网络位置范围的操作种类作为低敏操作种类,并挑选出限定访问人员和/或访问网络位置范围的操作种类作为高敏操作种类;根据用户的数据操作属于低敏操作种类或高敏操作种类以及用户的数据操作的历史时刻分布以及发出网络位置分布,判断用户的访问行为是否触发预警。本发明能够提供及时有效的安全性预警。
Description
技术领域
本发明属于网络安全技术领域,特别是涉及一种工业控制系统网络访问安全性预警系统及方法。
背景技术
工业控制系统(Industrial Control System,ICS)是一种应用于工业生产过程中的自动化控制系统。随着工业自动化程度的不断提高,工业控制系统在各类生产领域得到了广泛应用,如电力、石油、化工、制造业等。工业控制系统的正常运行对生产安全和经济效益至关重要。然而,随着工业控制系统与互联网的深度融合,网络安全问题逐渐暴露出来,导致工业控制系统面临来自网络攻击的威胁。
现有的安全防护技术和产品往往针对传统信息技术(Information Technology,IT)系统设计,对工业控制系统特有的协议和设备支持不足,导致防护效果不理想。其次,现有技术在检测到潜在的安全事件时,往往缺乏及时、准确的预警能力。此外,网络访问安全性预警系统在分析和判断潜在威胁时,可能会受到攻击者对网络流量的欺骗影响,导致误报或漏报。
发明内容
本发明的目的在于提供一种工业控制系统网络访问安全性预警系统及方法,通过对用户的网络访问操作记录进行分析,能够提供及时有效的安全性预警。
为解决上述技术问题,本发明是通过以下技术方案实现的:
本发明提供一种工业控制系统网络访问安全性预警方法,包括,
接收访问请求;
获取并记录所述访问请求的发出用户、发出网络位置以及对应的数据操作;
根据所述访问请求的发出用户、发出网络位置以及对应的数据操作,获取每个用户的每次数据操作的发出网络位置以及发出时刻;
对数据操作进行分类,根据每个用户的每次数据操作的发出网络位置以及发出时刻获取用户的每个操作种类的数据操作的历史时刻分布以及发出网络位置分布;
获取每个操作种类的允许访问人员和允许访问网络位置范围;
根据每个操作种类的允许访问人员和允许访问网络位置范围,挑选出不限定访问人员和和访问网络位置范围的操作种类作为低敏操作种类,并挑选出限定访问人员和/或访问网络位置范围的操作种类作为高敏操作种类;
根据所述用户的数据操作属于低敏操作种类或高敏操作种类以及所述用户的数据操作的历史时刻分布以及发出网络位置分布,判断用户的访问行为是否触发预警。
本发明还公开了一种工业控制系统网络访问安全性预警系统,
旁路接收单元,用于接收访问请求;
解析记录单元,用于获取并记录所述访问请求的发出用户、发出网络位置以及对应的数据操作;
根据所述访问请求的发出用户、发出网络位置以及对应的数据操作,获取每个用户的每次数据操作的发出网络位置以及发出时刻;
分类分析单元,用于对数据操作进行分类,根据每个用户的每次数据操作的发出网络位置以及发出时刻获取用户的每个操作种类的数据操作的历史时刻分布以及发出网络位置分布;
获取每个操作种类的允许访问人员和允许访问网络位置范围;
根据每个操作种类的允许访问人员和允许访问网络位置范围,挑选出不限定访问人员和和访问网络位置范围的操作种类作为低敏操作种类,并挑选出限定访问人员和/或访问网络位置范围的操作种类作为高敏操作种类;
预警单元,用于根据所述用户的数据操作属于低敏操作种类或高敏操作种类以及所述用户的数据操作的历史时刻分布以及发出网络位置分布,判断用户的访问行为是否触发预警。
本发明通过分析用户的网络访问操作记录,实现了及时有效的安全性预警。系统主要包括旁路接收单元、解析记录单元、分类分析单元和预警单元。旁路接收单元负责接收访问请求,解析记录单元获取并记录相关信息。分类分析单元根据用户的每次数据操作进行分类,获取历史时刻分布和发出网络位置分布。系统确定每个操作种类的允许访问人员和允许访问网络位置范围,并将操作种类分为低敏和高敏。预警单元根据用户的数据操作类型以及历史时刻分布和发出网络位置分布,判断用户的访问行为是否触发预警。
当然,实施本发明的任一产品并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明所述一种工业控制系统网络访问安全性预警方法于一实施例的工作流程示意图;
图2为本发明所述一种工业控制系统网络访问安全性预警系统于一实施例的功能模块及信息流向示意图;
图3为本发明所述步骤S6于一实施例的工作流程示意图;
图4为本发明所述步骤S62于一实施例的工作流程示意图一;
图5为本发明所述步骤S62于一实施例的工作流程示意图二;
图6为本发明所述步骤S7于一实施例的工作流程示意图;
图7为本发明所述步骤S71于一实施例的工作流程示意图;
图8为本发明所述步骤S711于一实施例的工作流程示意图;
图9为本发明所述步骤S712于一实施例的工作流程示意图;
图10为本发明所述步骤S7121于一实施例的工作流程示意图。
附图中,各标号所代表的部件列表如下:
1-旁路接收单元,2-解析记录单元,3-分类分析单元,4-预警单元。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
由于工业控制系统相比较于普通的网络系统安全性要求较高,有鉴于此,本发明提供以下方案。
请参阅图1至2所示,本发明提供了一种工业控制系统网络访问安全性预警系统,从功能模块上划分可以包括旁路接收单元1、解析记录单元2、分类分析单元3以及预警单元4。在具体工作运行的过程中,首先由旁路接收单元1执行步骤S1用于接收访问请求,这里的旁路接收单元1可以是在远程端与控制系统之间设置,远程端发送的控制指令首先由旁路接收单元1并由预警单元4分析出预警结果之后再将控制指令发送至工业控制系统进行执行。
接下来可以由解析记录单元2执行步骤S2获取并记录访问请求的发出用户、发出网络位置以及对应的数据操作。接下来可以执行步骤S3根据访问请求的发出用户、发出网络位置以及对应的数据操作,获取每个用户的每次数据操作的发出网络位置以及发出时刻。通过解析访问请求的网络数据包,从而得到用于后续分析计算的数据。
之后由分类分析单元3执行步骤S4对数据操作进行分类,根据每个用户的每次数据操作的发出网络位置以及发出时刻获取用户的每个操作种类的数据操作的历史时刻分布以及发出网络位置分布。接下来可以执行步骤S5获取每个操作种类的允许访问人员和允许访问网络位置范围。接下来可以执行步骤S6根据每个操作种类的允许访问人员和允许访问网络位置范围,挑选出不限定访问人员和和访问网络位置范围的操作种类作为低敏操作种类,并挑选出限定访问人员和/或访问网络位置范围的操作种类作为高敏操作种类。由于访问请求的数量巨大,进行分类能够加快预警分析速度。
最后可以由预警单元4执行步骤S7根据用户的数据操作属于低敏操作种类或高敏操作种类以及用户的数据操作的历史时刻分布以及发出网络位置分布,判断用户的访问行为是否触发预警。
由此可见,以上步骤在实施的过程中,通过对用户网络访问行为记录的分析,实现了实时且高效的安全预警功能。系统主要由旁路连接模块、解析记录模块、类别分析模块和预警模块构成。旁路连接模块负责处理访问请求,解析记录模块专注于收集和记录相关信息。类别分析模块针对用户的每次数据操作进行分类,获得历史时间分布和网络位置分布。系统为各个操作类型设置允许访问的人员和网络位置范围,并将操作类型区分为低敏感度和高敏感度。预警模块根据用户的数据操作类型、历史时间分布和网络位置分布来判断用户访问行为是否引发安全告警。
与此同时,以上步骤仅是对实施步骤的概要说明,为了详细阐述执行流程,提供以上步骤的对应功能模块的部分源代码。
请参阅图3所示,由于不同的数据操作对工业控制系统具有不同的影响,例如查询生产线传感器状态的操作敏感度较低,改变生产线控制参数的操作敏感度较高,根据操作管理人员设定可以将每个操作种类批量判断为低敏操作种类或高敏操作种类。具体而言,上述的步骤S6再实施的过程中首先可以执行步骤S61根据每个数据操作归属于的操作种类以及每个操作种类属于低敏操作种类或高敏操作种类,建立数据操作归属于低敏操作种类或高敏操作种类的敏感性检索数据库。接下来可以执行步骤S62对访问请求的网络数据包进行解析得到访问请求对应的数据操作。最后可以执行步骤S63将访问请求对应的数据操作在敏感性检索数据库进行检索,得到访问请求对应的数据操作属于低敏操作种类或高敏操作种类。通过数据库检索的方式提高了数据操作种类判断的速度。
以上步骤仅是对实施步骤的概要说明,为了详细阐述执行流程,提供以上步骤的对应功能模块的部分源代码。
请参阅图4所示,为了提高检索对比的速度,上述的步骤S62在实施的过程中首先可以执行步骤S6211将每个数据操作与归属于低敏操作种类或高敏操作种类封装至同一条数据记录。接下来可以执行步骤S6212根据获取并记录的访问请求的数据操作得到每个数据操作的检索命中次数。最后可以执行步骤S6213按照每个数据操作的检索命中次数将数据记录进行排序得到敏感性检索数据库。在以上步骤中,将历史命中率高的数据记录前置,提高了后续检索的命中概率,从而增加了检索对比的速度。
以上步骤仅是对实施步骤的概要说明,为了详细阐述执行流程,提供以上步骤的对应功能模块的部分源代码。
请参阅图5所示,同样是为了提高检索比对效率,由于工业产线的生产和控制具有时效性,例如在建设调试期间较多调整控制参数,在产线稳定生产之后多调用传感器采集的数据。有鉴于此,上述的步骤S62在实施的过程中首先可以执行步骤S6221实时或间隔固定时间或间隔访问请求接收数量更新得到每个数据操作的检索命中次数。接下来可以执行步骤S6222根据实时更新得到每个数据操作的检索命中次数对敏感性检索数据库中数据记录的排序进行更新。以上步骤通过更新数据操作的检索命中次数的方式提高检索比对的命中率。
以上步骤仅是对实施步骤的概要说明,为了详细阐述执行流程,提供以上步骤的对应功能模块的部分源代码。
请参阅图6所示,为了判断用户的访问行为是否触发预警,可以结合对应用户的访问请求记录进行判断,同时也结合对应用户的访问权限进行判断。具体而言,上述的步骤S7在实施的过程中首先可以执行步骤S71对于低敏操作种类,根据用户的数据操作的历史时刻分布以及发出网络位置分布判断用户的访问行为是否异常。若是则接下来可以执行步骤S72进行预警,若否则接下来可以执行步骤S73不进行预警。接下来可以执行步骤S74对于高敏操作种类,判断访问请求的发出用户和/或发出网络位置是否超出限定访问人员和/或访问网络位置范围。若是则接下来可以执行步骤S75进行预警,若否则接下来可以执行步骤S76不进行预警。
以上步骤仅是对实施步骤的概要说明,为了详细阐述执行流程,提供以上步骤的对应功能模块的部分源代码。
请参阅图7所示,对于低敏操作种类,需要结合用户的访问请求记录进行具体判断。由于工业生产的特点,其使用者多为工程师和技术管理人员,因此用户的数据操作的时间应该是分散在工作时间内,用户的发出网络位置应该是相对集中的,尤其是办公生产场所。有鉴于此,上述的步骤S71在实施的过程中首先可以执行步骤S711根据对应用户的数据操作的历史时刻分布得到用户的数据操作的时间集中度。接下来可以执行步骤S712根据对应用户的发出网络位置分布得到用户的数据操作的空间集中度。接下来可以执行步骤S713判断用户的数据操作的时间集中度是否超过设定时间集中度阈值。若是,则接下来可以执行步骤S714判断用户的访问行为异常。若否则接下来可以执行步骤S715判断用户的数据操作的空间集中度是否小于设定空间集中度阈值。若是则接下来可以执行步骤S716判断用户的访问行为正常。若否则接下来可以执行步骤S717判断用户的访问行为异常。
以上步骤仅是对实施步骤的概要说明,为了详细阐述执行流程,提供以上步骤的对应功能模块的部分源代码。
请参阅图8所示,为了计算得到用户的数据操作的时间集中度,上述的步骤S711在具体执行的过程中首先可以执行步骤S7111根据对应用户的数据操作的历史时刻分布得到对应用户的数据操作的总次数。接下来可以执行步骤S7112根据对应用户的数据操作的历史时刻分布得到对应用户的数据操作的跨度时间。接下来可以执行步骤S7113根据对应用户的数据操作的总次数以及对应用户的数据操作的跨度时间得到对应用户的数据操作的平均间隔时间。接下来可以执行步骤S7114获取根据对应用户的数据操作的历史时刻分布得到对应用户的每次数据操作与上一次数据操作的间隔时间。接下来可以执行步骤S7115获取与上一次数据操作的间隔时间小于平均间隔时间的数据操作作为对应用户的频繁数据操作。最后可以执行步骤S7116将对应用户的频繁数据操作与对应用户的数据操作的总次数的比值作为用户的数据操作的时间集中度。
以上步骤仅是对实施步骤的概要说明,为了详细阐述执行流程,提供以上步骤的对应功能模块的部分源代码。
calculateTimeConcentration用于根据对应用户的数据操作的历史时刻分布计算用户的数据操作的时间集中度。这个方法首先从历史数据中提取时间戳,然后计算总次数、时间跨度和平均间隔时间。接着,它统计与上一次数据操作的间隔时间小于平均间隔时间的数据操作次数,并将频繁数据操作次数与总次数的比值作为时间集中度返回。
请参阅图9所示,为了具体计算得用户的数据操作的空间集中度,上述的步骤S713在实施的过程中首先可以执行步骤S7121在对应用户的发出网络位置分布中挑选出多个网络位置作为参考位置。接下来可以执行步骤S7122在多个参考位置中随机抽取若干个作为标识位置。接下来可以执行步骤S7123获取每个标识位置与其它参考位置的平均距离作为对应标识位置的密集指数。最后可以执行步骤S7124获取全部标识位置的密集指数的方差或标准差作为用户的数据操作的空间集中度。
以上步骤仅是对实施步骤的概要说明,为了详细阐述执行流程,提供以上步骤的对应功能模块的部分源代码。
calculateSpaceConcentration用于根据对应用户的发出网络位置分布计算用户的数据操作的空间集中度。这个方法首先从位置数据中提取参考位置,然后随机抽取一部分参考位置作为标识位置。接着,它计算每个标识位置的密集指数,并计算密集指数的方差。最后,返回密集指数方差的平方根作为空间集中度。
请参阅图10所示,由于网络位置的数量众多,难以进行一一计算,为了在提高计算运行时间的同时保持计算的准确度,上述的步骤S7121在实施的过程中首先可以执行步骤S71211按照对应用户的数据操作的历史时刻分布,得到对应用户的数据操作的距今时间。接下来可以执行步骤S71212按照对应用户的数据操作的距今时间由短及长依次计算相邻两次数据操作的间隔时间是否小于对应用户的数据操作的平均间隔时间。若是则接下来可以执行步骤S71213继续按照对应用户的数据操作的距今时间由短及长依次计算,若否则最后可以执行步骤S71214将已经参与依次计算的数据操作对应的网络位置作为参考位置。
以上步骤仅是对实施步骤的概要说明,为了详细阐述执行流程,提供以上步骤的对应功能模块的部分源代码。
selectReferenceLocations用于接收用户访问记录列表和用户数据操作的平均间隔时间作为输入。这个方法遍历访问记录列表,计算相邻两次数据操作的间隔时间,并检查这个间隔时间是否小于平均间隔时间。如果是,则将前一次数据操作对应的网络位置添加到参考位置列表。如果否,则中止遍历并返回已选的参考位置列表。
综上所述,本发明在实施的过程中,通过对用户网络访问行为记录的分析,达到实时且有效的安全预警目的。系统主要由旁路接收模块、解析记录模块、类别分析模块和预警模块组成。旁路接收模块用于处理访问请求,解析记录模块负责收集并记录相关数据。类别分析模块针对用户每次数据操作进行分类,获得历史时间分布和网络位置分布。系统设定各操作类别的允许访问人员及网络位置范围,将操作类别划分为低敏感和高敏感。预警模块依据用户数据操作类别、历史时间分布和网络位置分布来判断用户访问行为是否触发安全预警。
附图中的流程图和框图显示了根据本申请的多个实施例的装置、系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分,所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。
也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行相应的功能或动作的硬件,例如电路或ASIC(专用集成电路,Application Specific Integrated Circuit)来实现,或者可以用硬件和软件的组合,如固件等来实现。
尽管在此结合各实施例对本发明进行了描述,然而,在实施所要求保护的本发明过程中,本领域技术人员通过查看所述附图、公开内容、以及所附权利要求书,可理解并实现所述公开实施例的其它变化。在权利要求中,“包括”(comprising)一词不排除其他组成部分或步骤,“一”或“一个”不排除多个的情况。单个处理器或其它单元可以实现权利要求中列举的若干项功能。相互不同的从属权利要求中记载了某些措施,但这并不表示这些措施不能组合起来产生良好的效果。
以上已经描述了本申请的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
Claims (10)
1.一种工业控制系统网络访问安全性预警方法,其特征在于,包括,
接收访问请求;
获取并记录所述访问请求的发出用户、发出网络位置以及对应的数据操作;
根据所述访问请求的发出用户、发出网络位置以及对应的数据操作,获取每个用户的每次数据操作的发出网络位置以及发出时刻;
对数据操作进行分类,根据每个用户的每次数据操作的发出网络位置以及发出时刻获取用户的每个操作种类的数据操作的历史时刻分布以及发出网络位置分布;
获取每个操作种类的允许访问人员和允许访问网络位置范围;
根据每个操作种类的允许访问人员和允许访问网络位置范围,挑选出不限定访问人员和和访问网络位置范围的操作种类作为低敏操作种类,并挑选出限定访问人员和/或访问网络位置范围的操作种类作为高敏操作种类;
根据所述用户的数据操作属于低敏操作种类或高敏操作种类以及所述用户的数据操作的历史时刻分布以及发出网络位置分布,判断用户的访问行为是否触发预警。
2.根据权利要求1所述的方法,其特征在于,所述根据每个操作种类的允许访问人员和允许访问网络位置范围,挑选出不限定访问人员和和访问网络位置范围的操作种类作为低敏操作种类,并挑选出限定访问人员和/或访问网络位置范围的操作种类作为高敏操作种类的步骤,包括,
根据每个所述数据操作归属于的所述操作种类以及每个所述操作种类属于低敏操作种类或高敏操作种类,建立所述数据操作归属于低敏操作种类或高敏操作种类的敏感性检索数据库;
对所述访问请求的网络数据包进行解析得到所述访问请求对应的数据操作;
将所述访问请求对应的所述数据操作在所述敏感性检索数据库进行检索,得到所述访问请求对应的所述数据操作属于低敏操作种类或高敏操作种类。
3.根据权利要求2所述的方法,其特征在于,所述建立所述数据操作归属于低敏操作种类或高敏操作种类的敏感性检索数据库的步骤,包括,
将每个数据操作与归属于低敏操作种类或高敏操作种类封装至同一条数据记录;
根据获取并记录的所述访问请求的数据操作得到每个所述数据操作的检索命中次数;
按照每个所述数据操作的检索命中次数将所述数据记录进行排序得到所述敏感性检索数据库。
4.根据权利要求2所述的方法,其特征在于,所述建立所述数据操作归属于低敏操作种类或高敏操作种类的敏感性检索数据库的步骤,还包括,
实时或间隔固定时间或间隔所述访问请求接收数量更新得到每个所述数据操作的检索命中次数;
根据实时更新得到每个所述数据操作的检索命中次数对所述敏感性检索数据库中所述数据记录的排序进行更新。
5.根据权利要求1所述的方法,其特征在于,所述根据所述用户的数据操作属于低敏操作种类或高敏操作种类以及所述用户的数据操作的历史时刻分布以及发出网络位置分布,判断用户的访问行为是否触发预警的步骤,包括,
对于所述低敏操作种类,根据所述用户的数据操作的历史时刻分布以及发出网络位置分布判断所述用户的访问行为是否异常;
若是,则进行预警;
若否,则不进行预警;
对于所述高敏操作种类,判断所述访问请求的发出用户和/或发出网络位置是否超出限定访问人员和/或访问网络位置范围;
若是,则进行预警;
若否,则不进行预警。
6.根据权利要求5所述的方法,其特征在于,所述对于所述低敏操作种类,根据所述用户的数据操作的历史时刻分布以及发出网络位置分布判断所述用户的访问行为是否异常的步骤,包括,
对于所述低敏操作种类,
根据对应用户的数据操作的历史时刻分布得到用户的数据操作的时间集中度;
根据对应用户的发出网络位置分布得到用户的数据操作的空间集中度;
判断所述用户的数据操作的时间集中度是否超过设定时间集中度阈值;
若是,则判断所述用户的访问行为异常;
若否,则判断所述用户的数据操作的空间集中度是否小于设定空间集中度阈值;
若是,则判断所述用户的访问行为正常;
若否,则判断所述用户的访问行为异常。
7.根据权利要求6所述的方法,其特征在于,所述根据对应用户的数据操作的历史时刻分布得到用户的数据操作的时间集中度的步骤,包括,
根据对应用户的数据操作的历史时刻分布得到对应用户的数据操作的总次数;
根据对应用户的数据操作的历史时刻分布得到对应用户的数据操作的跨度时间;
根据对应用户的数据操作的总次数以及对应用户的数据操作的跨度时间得到所述对应用户的数据操作的平均间隔时间;
获取根据对应用户的数据操作的历史时刻分布得到对应用户的每次数据操作与上一次数据操作的间隔时间;
获取与上一次数据操作的间隔时间小于平均间隔时间的数据操作作为对应用户的频繁数据操作;
将对应用户的频繁数据操作与对应用户的数据操作的总次数的比值作为用户的数据操作的时间集中度。
8.根据权利要求6所述的方法,其特征在于,所述根据对应用户的发出网络位置分布得到用户的数据操作的空间集中度的步骤,包括,
在对应用户的发出网络位置分布中挑选出多个网络位置作为参考位置;
在多个所述参考位置中随机抽取若干个作为标识位置;
获取每个所述标识位置与其它参考位置的平均距离作为对应所述标识位置的密集指数;
获取全部所述标识位置的密集指数的方差或标准差作为用户的数据操作的空间集中度。
9.根据权利要求8所述的方法,其特征在于,所述在对应用户的发出网络位置分布中挑选出多个网络位置作为参考位置的步骤,包括,
按照对应用户的数据操作的历史时刻分布得到对应用户的数据操作的距今时间;
按照对应用户的数据操作的距今时间由短及长依次计算相邻两次数据操作的间隔时间是否小于对应用户的数据操作的平均间隔时间;
若是,则继续按照对应用户的数据操作的距今时间由短及长依次计算;
若否,则将已经参与依次计算的数据操作对应的网络位置作为参考位置。
10.一种工业控制系统网络访问安全性预警系统,其特征在于,
旁路接收单元,用于接收访问请求;
解析记录单元,用于获取并记录所述访问请求的发出用户、发出网络位置以及对应的数据操作;
根据所述访问请求的发出用户、发出网络位置以及对应的数据操作,获取每个用户的每次数据操作的发出网络位置以及发出时刻;
分类分析单元,用于对数据操作进行分类,根据每个用户的每次数据操作的发出网络位置以及发出时刻获取用户的每个操作种类的数据操作的历史时刻分布以及发出网络位置分布;
获取每个操作种类的允许访问人员和允许访问网络位置范围;
根据每个操作种类的允许访问人员和允许访问网络位置范围,挑选出不限定访问人员和和访问网络位置范围的操作种类作为低敏操作种类,并挑选出限定访问人员和/或访问网络位置范围的操作种类作为高敏操作种类;
预警单元,用于根据所述用户的数据操作属于低敏操作种类或高敏操作种类以及所述用户的数据操作的历史时刻分布以及发出网络位置分布,判断用户的访问行为是否触发预警。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310636443.9A CN116647389A (zh) | 2023-06-01 | 2023-06-01 | 一种工业控制系统网络访问安全性预警系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310636443.9A CN116647389A (zh) | 2023-06-01 | 2023-06-01 | 一种工业控制系统网络访问安全性预警系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116647389A true CN116647389A (zh) | 2023-08-25 |
Family
ID=87618556
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310636443.9A Withdrawn CN116647389A (zh) | 2023-06-01 | 2023-06-01 | 一种工业控制系统网络访问安全性预警系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116647389A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117745080A (zh) * | 2024-02-19 | 2024-03-22 | 北京北科融智云计算科技有限公司 | 基于多因素认证的数据访问控制和安全监管方法和系统 |
-
2023
- 2023-06-01 CN CN202310636443.9A patent/CN116647389A/zh not_active Withdrawn
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117745080A (zh) * | 2024-02-19 | 2024-03-22 | 北京北科融智云计算科技有限公司 | 基于多因素认证的数据访问控制和安全监管方法和系统 |
| CN117745080B (zh) * | 2024-02-19 | 2024-04-26 | 北京北科融智云计算科技有限公司 | 基于多因素认证的数据访问控制和安全监管方法和系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112787992B (zh) | 一种敏感数据的检测与防护的方法、装置、设备和介质 | |
| CN107992746A (zh) | 恶意行为挖掘方法及装置 | |
| CN108965340B (zh) | 一种工业控制系统入侵检测方法及系统 | |
| CN105471882A (zh) | 一种基于行为特征的网络攻击检测方法及装置 | |
| CN110324323B (zh) | 一种新能源厂站涉网端实时交互过程异常检测方法及系统 | |
| CN105681298A (zh) | 公共信息平台中的数据安全异常监测方法及系统 | |
| CN108123939A (zh) | 恶意行为实时检测方法及装置 | |
| CN112491784A (zh) | Web网站的请求处理方法及装置、计算机可读存储介质 | |
| CN116647389A (zh) | 一种工业控制系统网络访问安全性预警系统及方法 | |
| WO2021114985A1 (zh) | 一种同行对象识别方法、装置、服务器及系统 | |
| CN112671767A (zh) | 一种基于告警数据分析的安全事件预警方法及装置 | |
| CN110149303B (zh) | 一种党校的网络安全预警方法及预警系统 | |
| CN117375985A (zh) | 安全风险指数的确定方法及装置、存储介质、电子装置 | |
| CN113409555A (zh) | 一种基于物联网的实时报警联动方法及系统 | |
| RU180789U1 (ru) | Устройство аудита информационной безопасности в автоматизированных системах | |
| CN117596078A (zh) | 一种基于规则引擎实现的模型驱动用户风险行为判别方法 | |
| CN115706669A (zh) | 网络安全态势预测方法及系统 | |
| CN115373834A (zh) | 一种基于进程调用链的入侵检测方法 | |
| CN117040664A (zh) | 一种基于网络运行安全的计算机系统检测方法 | |
| CN115514581B (zh) | 一种用于工业互联网数据安全平台的数据分析方法及设备 | |
| CN109190408B (zh) | 一种数据信息的安全处理方法及系统 | |
| CN110837504A (zh) | 一种工控系统异常系统事件识别方法 | |
| CN114697087B (zh) | 一种基于报警时序的报警关联方法 | |
| CN109446398A (zh) | 智能检测网络爬虫行为的方法、装置以及电子设备 | |
| CN115801538A (zh) | 场站服务器应用资产深度识别方法、系统及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20230825 |
|
| WW01 | Invention patent application withdrawn after publication |