CN116938599A - 一种工控网络的安全感知预警方法及系统 - Google Patents
一种工控网络的安全感知预警方法及系统 Download PDFInfo
- Publication number
- CN116938599A CN116938599A CN202311182025.3A CN202311182025A CN116938599A CN 116938599 A CN116938599 A CN 116938599A CN 202311182025 A CN202311182025 A CN 202311182025A CN 116938599 A CN116938599 A CN 116938599A
- Authority
- CN
- China
- Prior art keywords
- external
- sets
- network
- probability information
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 230000008447 perception Effects 0.000 title claims abstract description 38
- 238000004519 manufacturing process Methods 0.000 claims abstract description 116
- 230000002093 peripheral effect Effects 0.000 claims abstract description 93
- 238000012937 correction Methods 0.000 claims abstract description 31
- 238000004364 calculation method Methods 0.000 claims abstract description 21
- 238000004458 analytical method Methods 0.000 claims abstract description 20
- 238000012544 monitoring process Methods 0.000 claims abstract description 17
- 208000015181 infectious disease Diseases 0.000 claims description 55
- 239000011159 matrix material Substances 0.000 claims description 15
- 238000009826 distribution Methods 0.000 claims description 14
- 238000004891 communication Methods 0.000 claims description 12
- 238000003066 decision tree Methods 0.000 claims description 5
- 238000013507 mapping Methods 0.000 claims description 4
- 238000011156 evaluation Methods 0.000 claims description 3
- 230000000694 effects Effects 0.000 abstract description 9
- 241000700605 Viruses Species 0.000 abstract description 6
- 230000005540 biological transmission Effects 0.000 abstract description 3
- 230000008569 process Effects 0.000 description 5
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000012827 research and development Methods 0.000 description 4
- 238000010276 construction Methods 0.000 description 3
- 241000894007 species Species 0.000 description 3
- 238000012360 testing method Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000009776 industrial production Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Technology Law (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种工控网络的安全感知预警方法及系统,涉及网络安全技术领域,该方法包括:通过信息采集工站,调取预设时间范围内,多个生产节点内的多个外围工具的使用次数和使用时间、更新次数和更新时间,并采集多个外界设备集合的外界访问次数集合和外界访问时间集合,输入安全识别工站,计算获得多个网络故障概率信息;通过预警分析工站,进行修正分析计算,获得多个安全感知结果,并进行预警。本发明解决了现有技术中由于工控网络安全监控方法存在局限性,导致安全预警效果不佳的技术问题,达到了通过监测工控网络各个数据交换对象的计算机病毒传播概率,对工控网络安全进行全方位监控,以保证工控网络的运行安全的技术效果。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种工控网络的安全感知预警方法及系统。
背景技术
随着通用协议、通用硬件、通用软件在工业控制网络中的应用,对工业控制网络的攻击也在不断增长,现有的网络监控产品很多,但由于多数面向的是传统信息网络,存在一定的局限性,无法从工业控制网络的各个生产环节进行网络安全监控,安全预警效果不佳,无法满足当前的工况网络安全预警需求。
发明内容
本申请提供了一种工控网络的安全感知预警方法及系统,用于解决现有技术中由于工控网络安全监控方法存在局限性,导致安全预警效果不佳的技术问题。
本申请的第一个方面,提供了一种工控网络的安全感知预警方法,所述方法包括:通过信息采集工站,采集工控网络内多个生产节点的多个节点网络配置数据;调取预设时间范围内,多个生产节点内用于生产控制的多个外围工具被多个生产节点使用的次数和使用时间,获得多个外围使用次数和多个外围使用时间;采集多个外围工具被多个外界设备集合进行配置更新的次数和更新时间,获得多个更新次数和多个更新时间,并采集多个外界设备集合与外界网络和设备进行通信连接的次数和时间,获得多个外界访问次数集合和多个外界访问时间集合;通过安全识别工站,根据所述多个外界访问次数和多个外界访问时间,对多个外界设备的被攻击概率进行识别,获得多个外界被攻击概率信息集合;根据多个更新次数和多个更新时间集合,对多个外围工具被多个外界设备传染的概率进行识别,获得多个更新感染概率信息;根据多个外围使用次数和多个外围使用时间,对多个生产节点被多个外围工具传染的概率进行识别,获得多个使用感染概率信息;结合多个外界被攻击概率信息集合、多个更新感染概率信息和多个使用感染概率信息,计算获得多个网络故障概率信息;通过预警分析工站,基于多个节点网络配置数据,对多个网络故障概率信息进行修正分析计算,获得多个安全感知结果,并进行预警,多个安全感知结果包括多个修正网络故障概率信息。
本申请的第二个方面,提供了一种工控网络的安全感知预警系统,所述系统包括:节点网络配置数据采集模块,所述节点网络配置数据采集模块用于通过信息采集工站,采集工控网络内多个生产节点的多个节点网络配置数据;外围使用数据获取模块,所述外围使用数据获取模块用于调取预设时间范围内,多个生产节点内用于生产控制的多个外围工具被多个生产节点使用的次数和使用时间,获得多个外围使用次数和多个外围使用时间;外界访问数据获取模块,所述外界访问数据获取模块用于采集多个外围工具被多个外界设备集合进行配置更新的次数和更新时间,获得多个更新次数和多个更新时间,并采集多个外界设备集合与外界网络和设备进行通信连接的次数和时间,获得多个外界访问次数集合和多个外界访问时间集合;外界被攻击概率获取模块,所述外界被攻击概率获取模块用于通过安全识别工站,根据所述多个外界访问次数和多个外界访问时间,对多个外界设备的被攻击概率进行识别,获得多个外界被攻击概率信息集合;更新感染概率获取模块,所述更新感染概率获取模块用于根据多个更新次数和多个更新时间集合,对多个外围工具被多个外界设备传染的概率进行识别,获得多个更新感染概率信息;使用感染概率获取模块,所述使用感染概率获取模块用于根据多个外围使用次数和多个外围使用时间,对多个生产节点被多个外围工具传染的概率进行识别,获得多个使用感染概率信息;网络故障概率信息获取模块,所述网络故障概率信息获取模块用于结合多个外界被攻击概率信息集合、多个更新感染概率信息和多个使用感染概率信息,计算获得多个网络故障概率信息;安全感知预警模块,所述安全感知预警模块用于通过预警分析工站,基于多个节点网络配置数据,对多个网络故障概率信息进行修正分析计算,获得多个安全感知结果,并进行预警,多个安全感知结果包括多个修正网络故障概率信息。
本申请中提供的一个或多个技术方案,至少具有如下技术效果或优点:
本申请提供的一种工控网络的安全感知预警方法,涉及网络安全技术领域,通过信息采集工站,调取预设时间范围内,多个生产节点内的多个外围工具的使用次数和使用时间、多个外围工具被多个外界设备集合进行配置更新的更新次数和更新时间、多个外界设备集合与外界网络和设备进行通信连接的外界访问次数集合和外界访问时间集合,输入安全识别工站,计算获得多个网络故障概率信息,通过预警分析工站,进行修正分析计算,获得多个安全感知结果,并进行预警,解决了现有技术中由于工控网络安全监控方法存在局限性,导致安全预警效果不佳的技术问题,实现了通过监测工控网络各个数据交换对象的计算机病毒传播概率,对工控网络安全进行全方位监控,以保证工控网络的运行安全的技术效果。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种工控网络的安全感知预警方法流程示意图;
图2为本申请实施例提供的一种工控网络的安全感知预警方法中获得多个外界被攻击概率信息集合的流程示意图;
图3为本申请实施例提供的一种工控网络的安全感知预警方法中获得多个安全感知结果的流程示意图;
图4为本申请实施例提供的一种工控网络的安全感知预警系统结构示意图。
附图标记说明:节点网络配置数据采集模块11,外围使用数据获取模块12,外界访问数据获取模块13,外界被攻击概率获取模块14,更新感染概率获取模块15,使用感染概率获取模块16,网络故障概率信息获取模块17,安全感知预警模块18。
具体实施方式
本申请提供了一种工控网络的安全感知预警方法,用于解决现有技术中由于工控网络安全监控方法存在局限性,导致安全预警效果不佳的技术问题。
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整的描述。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或服务器不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或模块。
实施例一:
如图1所示,本申请提供了一种工控网络的安全感知预警方法,所述方法包括:
S10:通过信息采集工站,采集工控网络内多个生产节点的多个节点网络配置数据;
进一步的,本申请实施例步骤S10还包括:
S11:通过信息采集工站,采集工控网络内多个生产节点的操作系统、网络协议、防火墙、漏洞数量;
S12:整合所述多个生产节点的操作系统、网络协议、防火墙、漏洞数量,作为多个节点网络配置数据。
可选的,所述工控网络是用于工业过程控制的网络,是由不同类型的控制器、传感器和执行机构组成的复杂系统,其中包含多个用来控制工艺生产流程节点的生产节点,通过控制器来控制多个生产节点进行工业生产。本申请通过信息采集工站,分别采集目标工控网络内各个生产节点的操作系统、网络协议、防火墙和漏洞数量,并将这些节点网络信息进行整合,共同作为多个节点网络配置数据,可以反映目标工控网络内各个生产节点的网络配置信息。
S20:调取预设时间范围内,多个生产节点内用于生产控制的多个外围工具被多个生产节点使用的次数和使用时间,获得多个外围使用次数和多个外围使用时间;
进一步的,本申请实施例步骤S20还包括:
S21:根据多个生产节点的运行数据日志,采集预设时间范围内,多个生产节点使用多个外围工具的次数和每次的使用时间,获得多个外围使用次数和多个单次使用时间集合;
S22:根据多个单次使用时间集合,计算获得多个外围工具的多个外围使用时间。
应当理解的是,预设一个工控网络安全监测周期,例如一个月,以此作为预设时间范围,从所述目标工控网络的历史运行数据中,调取多个生产节点的运行数据日志,并基于所述预设时间范围,从所述运行数据日志中,分别采集多个生产节点使用多个外围工具的次数和每次的使用时间,获得多个外围使用次数和多个单次使用时间集合。
进一步的,根据所述多个单次使用时间集合中每个外围工具的单次使用时间集合,分别计算每个外围工具的总使用时间,获得多个外围工具的多个外围使用时间,所述外围工具是指用来控制生产设备的启动U盘,其中包含用于控制生产设备的程序及控制数据,可以根据生产设备或生成流程的变更情况进行更新,在使用所述外围工具进行生产设备控制的过程中,有可能因为自身携带病毒对目标工况网络造成威胁,因此需要对其进行使用次数和使用时间的采集。
S30:采集多个外围工具被多个外界设备集合进行配置更新的次数和更新时间,获得多个更新次数和多个更新时间,并采集多个外界设备集合与外界网络和设备进行通信连接的次数和时间,获得多个外界访问次数集合和多个外界访问时间集合;
示例性的,根据外围工具更新记录,分别采集多个外围工具被多个外界设备集合进行配置更新的次数和更新时间,获得多个更新次数和多个更新时间,所述外界设备是指用来为启动U盘装载新程序的计算机设备。进一步的,采集多个外界设备集合与外界网络和设备进行通信连接的次数和时间,获得多个外界访问次数集合和多个外界访问时间集合,所述外界网络和设备是指用来进行控制程序研发的研发设备和网络,与所述多个外界设备集合通信连接,在新研发程序的传输过程中,可能会携带病毒,因此需要进行通信次数和通信时间采集。
S40:通过安全识别工站,根据所述多个外界访问次数和多个外界访问时间,对多个外界设备的被攻击概率进行识别,获得多个外界被攻击概率信息集合;
进一步的,如图2所示,本申请实施例步骤S40还包括:
S41:根据多个外界设备的网络监测数据记录,调取多个预设时间范围内的多个样本外界访问次数和多个样本外界访问时间;
S42:基于不同样本外界访问次数和不同样本外界访问时间下,外界设备被外界网络病毒攻击的次数,计算获得多个样本外界被攻击概率信息;
S43:将外界访问次数和外界访问时间作为决策特征,将外界被攻击概率信息作为决策结果,采用多个样本外界访问次数、多个样本外界访问时间和多个样本外界被攻击概率信息,基于决策树,构建外界攻击概率预测通道,嵌入安全识别工站;
S44:基于外界攻击概率预测通道,采用多个外界访问次数集合和多个外界访问时间集合进行决策预测,获得多个外界被攻击概率信息集合。
可选的,从所述多个外界设备的网络监测数据记录中,也就是所述多个外界设备的历史网络监测数据,调取多个预设时间范围内的多个样本外界访问次数和多个样本外界访问时间,并分别提取不同样本外界访问次数和不同样本外界访问时间下,外界设备被外界网络病毒攻击的次数,并根据不同样本外界访问时间下的被攻击次数和访问次数,计算获得多个样本外界被攻击概率信息,也就是不同样本外界访问时间下的被攻击概率。
进一步的,基于决策树的架构,进行外界攻击概率预测通道搭建,所述决策树是一种基本的分类与回归方法,从根节点开始,对实例的某一决策特征进行比对,根据比对结果将实例分配到子节点,再由子节点进行决策特征比对并分配,直至到达叶节点,将该实例分到叶节点的类别中。本申请通过将外界访问次数和外界访问时间作为决策特征,将外界被攻击概率信息作为决策结果,并采用多个样本外界访问次数、多个样本外界访问时间和多个样本外界被攻击概率信息,搭建外界攻击概率预测通道,并将其嵌入所述安全识别工站。
进一步的,将所述多个外界访问次数集合和多个外界访问时间集合输入所述外界攻击概率预测通道,进行攻击概率预测,根据所述外界攻击概率预测通道各叶节点对应的样本外界被攻击概率信息,获得多个外界被攻击概率信息集合,可以反映目标工控网络被外界研发设备携带的病毒攻击的概率。
S50:根据多个更新次数和多个更新时间集合,对多个外围工具被多个外界设备传染的概率进行识别,获得多个更新感染概率信息;
在本申请一种可能的实施例中,参照步骤S40的概率识别方法,使用与所述外界攻击概率预测通道相同的构建思路,将更新次数和更新时间作为决策特征,将更新感染概率信息作为决策结果,采用多个样本更新次数、多个样本更新时间集合和多个样本更新感染概率信息,构建更新感染概率预测通道,并基于所述更新感染概率预测通道,采用所述多个更新次数和多个更新时间集合,对多个外围工具被多个外界设备传染的概率进行识别,获得多个更新感染概率信息,可以反映多个外围工具被多个外界设备传染的概率。
S60:根据多个外围使用次数和多个外围使用时间,对多个生产节点被多个外围工具传染的概率进行识别,获得多个使用感染概率信息;
具体的,参照步骤S40的概率识别方法,使用与所述外界攻击概率预测通道相同的构建思路,将外围使用次数和外围使用时间作为决策特征,将使用感染概率信息作为决策结果,采用多个样本外围使用次数、多个样本外围使用时间和多个样本使用感染概率信息,构建使用感染概率预测通道,并基于所述使用感染概率预测通道,采用所述多个外围使用次数和多个外围使用时间,对多个生产节点被多个外围工具传染的概率进行识别,获得多个使用感染概率信息,可以反映多个生产节点被多个外围工具传染的概率。
S70:结合多个外界被攻击概率信息集合、多个更新感染概率信息和多个使用感染概率信息,计算获得多个网络故障概率信息;
应当理解是的,结合多个外界设备、外围工具、生产节点可能被感染的多个外界被攻击概率信息集合、多个更新感染概率信息和多个使用感染概率信息,计算整个目标工控网络被感染的概率,也就是多个网络故障概率信息
进一步的,本申请实施例步骤S70还包括:
S71:分别根据多个外界访问次数集合和多个外界访问时间集合内外界访问次数的大小和外界访问时间的大小,进行权重分配,获得多个权重分配结果;
S72:分别采用多个权重分配结果,对多个外界被攻击概率信息集合内的外界被攻击概率信息进行加权计算,获得多个加权外界被攻击概率信息;
S73:按照多个生产节点,对多个加权外界被攻击概率信息、多个更新感染概率信息和多个使用感染概率信息进行划分,并计算乘积,获得多个网络故障概率信息。
其中,分别根据多个外界访问次数集合和多个外界访问时间集合内外界访问次数和外界访问时间的大小,进行权重分配,也就是根据多个外界设备被外部研发设备和网络访问的次数和时间大小,为其分配相应的被攻击权重,得到多个权重分配结果,也就是多个外部设备各自的权重分配结果,其中,外界访问次数越多、外界访问时间越长,越容易受到攻击,则分配的权重越大。
进一步的,分别采用多个权重分配结果,对多个外界设备的多个外界被攻击概率信息集合内的外界被攻击概率信息进行加权计算,得到多个加权外界被攻击概率信息,也就是一个外围工具对应的所有外部设备被攻击的概率。进一步的,按照多个生产节点,对多个加权外界被攻击概率信息、多个更新感染概率信息和多个使用感染概率信息进行划分,也就是匹配每个生产节点对应的加权外界被攻击概率信息、更新感染概率信息和使用感染概率信息,并进行乘积计算,得到多个网络故障概率信息,可以反映每个生产节点的网络故障概率。
S80:通过预警分析工站,基于多个节点网络配置数据,对多个网络故障概率信息进行修正分析计算,获得多个安全感知结果,并进行预警,多个安全感知结果包括多个修正网络故障概率信息。
应当理解的是,通过预警分析工站,根据目标工控网络的各个生产节点的多个节点网络配置数据,计算各个生产节点的网络配置安全等级,不同网络配置安全等级的生产节点屏蔽网络攻击的能力不同,因此需要根据网络配置安全等级生成相应的网络故障修正系数,来对多个网络故障概率信息进行修正,得到更加准确的多个修正网络故障概率信息,以此作为多个安全感知结果,并按照安全感知结果显示的网络故障概率进行预警,以保证目标工控网络的安全运行。
进一步的,如图3所示,本申请实施例步骤S80还包括:
S81:获取多个样本节点网络配置数据,并划分获得多类配置数据类型的多个样本节点配置数据集;
S82:根据多个样本节点配置数据集内不同的样本节点配置数据,获取对应的配置安全评分,获得多个样本配置安全评分集;
S83:基于多个样本节点配置数据集和多个样本配置安全评分集,构建网络配置安全评分对照表;
S84:采用多个节点网络配置数据,进行映射匹配,获得多个节点配置安全评分集;
S85:基于多个节点配置安全评分集,构建节点配置安全评分矩阵:
;
其中,S为节点配置安全评分矩阵,为第一个生产节点的操作系统配置安全评分,/>为第n个生产节点的操作系统配置安全评分,/>为第一个生产节点的漏洞配置安全评分,/>为第n个生产节点的漏洞配置安全评分,n为多个生产节点的数量;
S86:基于节点配置安全评分矩阵,计算获得n个生产节点的n个故障概率修正系数;
S87:采用n个故障概率修正系数,对多个网络故障概率信息进行修正计算,获得多个安全感知结果。
进一步的,本申请实施例步骤S86还包括:
S86-1:基于节点配置安全评分矩阵,计算n个生产节点的n个故障概率修正系数,如下式:
;
;
;
;
;
其中,为第i个生产节点的相对安全评分,/>为根据操作系统、网络协议、防火墙、漏洞数量对网络安全影响程度分配的第j种配置数据类型的权重,/>为第i个生产节点的第j种配置安全评分,/>和/>为第j种配置安全评分内n个配置安全评分中的最小值和最大值,/>为第i个生产节点的标准安全评分,/>为第j种配置安全评分的标准值,/>为第i个生产节点的故障概率修正系数。
应当理解的是,基于大数据,采集多个样本节点网络配置数据,也就是多个样本生产节点的操作系统、网络协议、防火墙和漏洞数量数据,并划分为包含多类配置数据类型的多个样本节点配置数据集,进一步的,根据多个样本节点配置数据集内不同的样本节点配置数据,进行样本节点攻击测试,并由专业人员进行测试评分,获取对应的配置安全评分,组成多个样本配置安全评分集。
进一步的,使用多个样本节点配置数据集和多个样本配置安全评分集作为构建数据,构建网络配置安全评分对照表,并采用目标工控网络的多个节点网络配置数据,与网络配置安全评分对照表进行映射匹配,获得多个节点配置安全评分集,使用多个节点配置安全评分集中的数据,构建节点配置安全评分矩阵:;
其中,S为节点配置安全评分矩阵,为第一个生产节点的操作系统配置安全评分,/>为第n个生产节点的操作系统配置安全评分,/>为第一个生产节点的漏洞配置安全评分,/>为第n个生产节点的漏洞配置安全评分,n为多个生产节点的数量。
进一步的,基所述于节点配置安全评分矩阵进行各个生产节点的故障概率修正系数计算,获得n个生产节点的n个故障概率修正系数,计算公式如下:
;
;
;
;
;
其中,为第i个生产节点的相对安全评分,/>为根据操作系统、网络协议、防火墙、漏洞数量对网络安全影响程度分配的第j种配置数据类型的权重,/>为第i个生产节点的第j种配置安全评分,/>和/>为第j种配置安全评分内n个配置安全评分中的最小值和最大值,/>为第i个生产节点的标准安全评分,/>为第j种配置安全评分的标准值,/>为第i个生产节点的故障概率修正系数。
进一步的,分别采用所述n个故障概率修正系数,将对应的多个网络故障概率信息进行修正计算,获得多个安全感知结果,也就是多个修正后的网络故障概率信息,可以更加准确的反映目标工控网络各生产节点的网络故障概率。
综上所述,本申请实施例至少具有如下技术效果:
本申请通过信息采集工站,调取预设时间范围内,多个生产节点内的多个外围工具的使用次数和使用时间、多个外围工具被多个外界设备集合进行配置更新的更新次数和更新时间、多个外界设备集合与外界网络和设备进行通信连接的外界访问次数集合和外界访问时间集合,输入安全识别工站,计算获得多个网络故障概率信息,通过预警分析工站,进行修正分析计算,获得多个安全感知结果,并进行预警。
达到了通过监测工控网络各个数据交换对象的计算机病毒传播概率,对工控网络安全进行全方位监控,以保证工控网络的运行安全的技术效果。
实施例二:
基于与前述实施例中一种工控网络的安全感知预警方法相同的发明构思,如图4所示,本申请提供了一种工控网络的安全感知预警系统,本申请实施例中的系统与方法实施例基于同样的发明构思。其中,所述系统包括:
节点网络配置数据采集模块11,所述节点网络配置数据采集模块11用于通过信息采集工站,采集工控网络内多个生产节点的多个节点网络配置数据;
外围使用数据获取模块12,所述外围使用数据获取模块12用于调取预设时间范围内,多个生产节点内用于生产控制的多个外围工具被多个生产节点使用的次数和使用时间,获得多个外围使用次数和多个外围使用时间;
外界访问数据获取模块13,所述外界访问数据获取模块13用于采集多个外围工具被多个外界设备集合进行配置更新的次数和更新时间,获得多个更新次数和多个更新时间,并采集多个外界设备集合与外界网络和设备进行通信连接的次数和时间,获得多个外界访问次数集合和多个外界访问时间集合;
外界被攻击概率获取模块14,所述外界被攻击概率获取模块14用于通过安全识别工站,根据所述多个外界访问次数和多个外界访问时间,对多个外界设备的被攻击概率进行识别,获得多个外界被攻击概率信息集合;
更新感染概率获取模块15,所述更新感染概率获取模块15用于根据多个更新次数和多个更新时间集合,对多个外围工具被多个外界设备传染的概率进行识别,获得多个更新感染概率信息;
使用感染概率获取模块16,所述使用感染概率获取模块16用于根据多个外围使用次数和多个外围使用时间,对多个生产节点被多个外围工具传染的概率进行识别,获得多个使用感染概率信息;
网络故障概率信息获取模块17,所述网络故障概率信息获取模块17用于结合多个外界被攻击概率信息集合、多个更新感染概率信息和多个使用感染概率信息,计算获得多个网络故障概率信息;
安全感知预警模块18,所述安全感知预警模块18用于通过预警分析工站,基于多个节点网络配置数据,对多个网络故障概率信息进行修正分析计算,获得多个安全感知结果,并进行预警,多个安全感知结果包括多个修正网络故障概率信息。
进一步的,所述节点网络配置数据采集模块11还用于执行以下步骤:
通过信息采集工站,采集工控网络内多个生产节点的操作系统、网络协议、防火墙、漏洞数量;
整合所述多个生产节点的操作系统、网络协议、防火墙、漏洞数量,作为多个节点网络配置数据。
进一步的,所述外围使用数据获取模块12还用于执行以下步骤:
根据多个生产节点的运行数据日志,采集预设时间范围内,多个生产节点使用多个外围工具的次数和每次的使用时间,获得多个外围使用次数和多个单次使用时间集合;
根据多个单次使用时间集合,计算获得多个外围工具的多个外围使用时间。
进一步的,所述外界被攻击概率获取模块14还用于执行以下步骤:
根据多个外界设备的网络监测数据记录,调取多个预设时间范围内的多个样本外界访问次数和多个样本外界访问时间;
基于不同样本外界访问次数和不同样本外界访问时间下,外界设备被外界网络病毒攻击的次数,计算获得多个样本外界被攻击概率信息;
将外界访问次数和外界访问时间作为决策特征,将外界被攻击概率信息作为决策结果,采用多个样本外界访问次数、多个样本外界访问时间和多个样本外界被攻击概率信息,基于决策树,构建外界攻击概率预测通道,嵌入安全识别工站;
基于外界攻击概率预测通道,采用多个外界访问次数集合和多个外界访问时间集合进行决策预测,获得多个外界被攻击概率信息集合。
进一步的,所述网络故障概率信息获取模块17还用于执行以下步骤:
分别根据多个外界访问次数集合和多个外界访问时间集合内外界访问次数的大小和外界访问时间的大小,进行权重分配,获得多个权重分配结果;
分别采用多个权重分配结果,对多个外界被攻击概率信息集合内的外界被攻击概率信息进行加权计算,获得多个加权外界被攻击概率信息;
按照多个生产节点,对多个加权外界被攻击概率信息、多个更新感染概率信息和多个使用感染概率信息进行划分,并计算乘积,获得多个网络故障概率信息。
进一步的,所述安全感知预警模块18还用于执行以下步骤:
获取多个样本节点网络配置数据,并划分获得多类配置数据类型的多个样本节点配置数据集;
根据多个样本节点配置数据集内不同的样本节点配置数据,获取对应的配置安全评分,获得多个样本配置安全评分集;
基于多个样本节点配置数据集和多个样本配置安全评分集,构建网络配置安全评分对照表;
采用多个节点网络配置数据,进行映射匹配,获得多个节点配置安全评分集;
基于多个节点配置安全评分集,构建节点配置安全评分矩阵:
;
其中,S为节点配置安全评分矩阵,为第一个生产节点的操作系统配置安全评分,/>为第n个生产节点的操作系统配置安全评分,/>为第一个生产节点的漏洞配置安全评分,/>为第n个生产节点的漏洞配置安全评分,n为多个生产节点的数量;
基于节点配置安全评分矩阵,计算获得n个生产节点的n个故障概率修正系数;
采用n个故障概率修正系数,对多个网络故障概率信息进行修正计算,获得多个安全感知结果。
进一步的,所述安全感知预警模块18还用于执行以下步骤:
基于节点配置安全评分矩阵,计算n个生产节点的n个故障概率修正系数,如下式:
;
;
;
;
;
其中,为第i个生产节点的相对安全评分,/>为根据操作系统、网络协议、防火墙、漏洞数量对网络安全影响程度分配的第j种配置数据类型的权重,/>为第i个生产节点的第j种配置安全评分,/>和/>为第j种配置安全评分内n个配置安全评分中的最小值和最大值,/>为第i个生产节点的标准安全评分,/>为第j种配置安全评分的标准值,/>为第i个生产节点的故障概率修正系数。
需要说明的是,上述本申请实施例先后顺序仅仅为了描述,不代表实施例的优劣。且上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
以上所述仅为本申请的较佳实施例,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
本说明书和附图仅仅是本申请的示例性说明,且视为已覆盖本申请范围内的任意和所有修改、变化、组合或等同物。显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。这样,倘若本申请的这些修改和变型属于本申请及其等同技术的范围之内,则本申请意图包括这些改动和变型在内。
Claims (8)
1.一种工控网络的安全感知预警方法,其特征在于,所述方法应用于一工控网络的安全感知预警设备,所述设备包括信息采集工站、安全识别工站和预警分析工站,所述方法包括:
通过信息采集工站,采集工控网络内多个生产节点的多个节点网络配置数据;
调取预设时间范围内,多个生产节点内用于生产控制的多个外围工具被多个生产节点使用的次数和使用时间,获得多个外围使用次数和多个外围使用时间;
采集多个外围工具被多个外界设备集合进行配置更新的次数和更新时间,获得多个更新次数和多个更新时间,并采集多个外界设备集合与外界网络和设备进行通信连接的次数和时间,获得多个外界访问次数集合和多个外界访问时间集合;
通过安全识别工站,根据所述多个外界访问次数和多个外界访问时间,对多个外界设备的被攻击概率进行识别,获得多个外界被攻击概率信息集合;
根据多个更新次数和多个更新时间集合,对多个外围工具被多个外界设备传染的概率进行识别,获得多个更新感染概率信息;
根据多个外围使用次数和多个外围使用时间,对多个生产节点被多个外围工具传染的概率进行识别,获得多个使用感染概率信息;
结合多个外界被攻击概率信息集合、多个更新感染概率信息和多个使用感染概率信息,计算获得多个网络故障概率信息;
通过预警分析工站,基于多个节点网络配置数据,对多个网络故障概率信息进行修正分析计算,获得多个安全感知结果,并进行预警,多个安全感知结果包括多个修正网络故障概率信息。
2.根据权利要求1所述的方法,其特征在于,所述方法包括:
通过信息采集工站,采集工控网络内多个生产节点的操作系统、网络协议、防火墙、漏洞数量;
整合所述多个生产节点的操作系统、网络协议、防火墙、漏洞数量,作为多个节点网络配置数据。
3.根据权利要求1所述的方法,其特征在于,所述方法包括:
根据多个生产节点的运行数据日志,采集预设时间范围内,多个生产节点使用多个外围工具的次数和每次的使用时间,获得多个外围使用次数和多个单次使用时间集合;
根据多个单次使用时间集合,计算获得多个外围工具的多个外围使用时间。
4.根据权利要求1所述的方法,其特征在于,所述方法包括:
根据多个外界设备的网络监测数据记录,调取多个预设时间范围内的多个样本外界访问次数和多个样本外界访问时间;
基于不同样本外界访问次数和不同样本外界访问时间下,外界设备被外界网络病毒攻击的次数,计算获得多个样本外界被攻击概率信息;
将外界访问次数和外界访问时间作为决策特征,将外界被攻击概率信息作为决策结果,采用多个样本外界访问次数、多个样本外界访问时间和多个样本外界被攻击概率信息,基于决策树,构建外界攻击概率预测通道,嵌入安全识别工站;
基于外界攻击概率预测通道,采用多个外界访问次数集合和多个外界访问时间集合进行决策预测,获得多个外界被攻击概率信息集合。
5.根据权利要求1所述的方法,其特征在于,所述方法包括:
分别根据多个外界访问次数集合和多个外界访问时间集合内外界访问次数的大小和外界访问时间的大小,进行权重分配,获得多个权重分配结果;
分别采用多个权重分配结果,对多个外界被攻击概率信息集合内的外界被攻击概率信息进行加权计算,获得多个加权外界被攻击概率信息;
按照多个生产节点,对多个加权外界被攻击概率信息、多个更新感染概率信息和多个使用感染概率信息进行划分,并计算乘积,获得多个网络故障概率信息。
6.根据权利要求2所述的方法,其特征在于,所述方法包括:
获取多个样本节点网络配置数据,并划分获得多类配置数据类型的多个样本节点配置数据集;
根据多个样本节点配置数据集内不同的样本节点配置数据,获取对应的配置安全评分,获得多个样本配置安全评分集;
基于多个样本节点配置数据集和多个样本配置安全评分集,构建网络配置安全评分对照表;
采用多个节点网络配置数据,进行映射匹配,获得多个节点配置安全评分集;
基于多个节点配置安全评分集,构建节点配置安全评分矩阵:
;
其中,S为节点配置安全评分矩阵,为第一个生产节点的操作系统配置安全评分,为第n个生产节点的操作系统配置安全评分,/>为第一个生产节点的漏洞配置安全评分,/>为第n个生产节点的漏洞配置安全评分,n为多个生产节点的数量;
基于节点配置安全评分矩阵,计算获得n个生产节点的n个故障概率修正系数;
采用n个故障概率修正系数,对多个网络故障概率信息进行修正计算,获得多个安全感知结果。
7.根据权利要求6所述的方法,其特征在于,所述方法包括:
基于节点配置安全评分矩阵,计算n个生产节点的n个故障概率修正系数,如下式:
;
;
;
;
;
其中,为第i个生产节点的相对安全评分,/>为根据操作系统、网络协议、防火墙、漏洞数量对网络安全影响程度分配的第j种配置数据类型的权重,/>为第i个生产节点的第j种配置安全评分,/>和/>为第j种配置安全评分内n个配置安全评分中的最小值和最大值,/>为第i个生产节点的标准安全评分,/>为第j种配置安全评分的标准值,/>为第i个生产节点的故障概率修正系数。
8.一种工控网络的安全感知预警系统,其特征在于,所述系统包括:
节点网络配置数据采集模块,所述节点网络配置数据采集模块用于通过信息采集工站,采集工控网络内多个生产节点的多个节点网络配置数据;
外围使用数据获取模块,所述外围使用数据获取模块用于调取预设时间范围内,多个生产节点内用于生产控制的多个外围工具被多个生产节点使用的次数和使用时间,获得多个外围使用次数和多个外围使用时间;
外界访问数据获取模块,所述外界访问数据获取模块用于采集多个外围工具被多个外界设备集合进行配置更新的次数和更新时间,获得多个更新次数和多个更新时间,并采集多个外界设备集合与外界网络和设备进行通信连接的次数和时间,获得多个外界访问次数集合和多个外界访问时间集合;
外界被攻击概率获取模块,所述外界被攻击概率获取模块用于通过安全识别工站,根据所述多个外界访问次数和多个外界访问时间,对多个外界设备的被攻击概率进行识别,获得多个外界被攻击概率信息集合;
更新感染概率获取模块,所述更新感染概率获取模块用于根据多个更新次数和多个更新时间集合,对多个外围工具被多个外界设备传染的概率进行识别,获得多个更新感染概率信息;
使用感染概率获取模块,所述使用感染概率获取模块用于根据多个外围使用次数和多个外围使用时间,对多个生产节点被多个外围工具传染的概率进行识别,获得多个使用感染概率信息;
网络故障概率信息获取模块,所述网络故障概率信息获取模块用于结合多个外界被攻击概率信息集合、多个更新感染概率信息和多个使用感染概率信息,计算获得多个网络故障概率信息;
安全感知预警模块,所述安全感知预警模块用于通过预警分析工站,基于多个节点网络配置数据,对多个网络故障概率信息进行修正分析计算,获得多个安全感知结果,并进行预警,多个安全感知结果包括多个修正网络故障概率信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311182025.3A CN116938599B (zh) | 2023-09-14 | 2023-09-14 | 一种工控网络的安全感知预警方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311182025.3A CN116938599B (zh) | 2023-09-14 | 2023-09-14 | 一种工控网络的安全感知预警方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116938599A true CN116938599A (zh) | 2023-10-24 |
CN116938599B CN116938599B (zh) | 2023-11-17 |
Family
ID=88382913
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311182025.3A Active CN116938599B (zh) | 2023-09-14 | 2023-09-14 | 一种工控网络的安全感知预警方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116938599B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107203199A (zh) * | 2017-06-12 | 2017-09-26 | 北京匡恩网络科技有限责任公司 | 一种工控网络安全预警方法及系统 |
US10848515B1 (en) * | 2016-12-02 | 2020-11-24 | University Of South Florida | Predictive model for overall network security risk |
CN112433518A (zh) * | 2020-10-20 | 2021-03-02 | 中国科学院沈阳计算技术研究所有限公司 | 一种基于循环神经网络的工业控制系统入侵检测方法 |
CN114547600A (zh) * | 2022-02-21 | 2022-05-27 | 恒安嘉新(北京)科技股份公司 | 一种工控系统安全防护方法、装置、设备及介质 |
WO2023123530A1 (zh) * | 2021-12-31 | 2023-07-06 | 公安部第三研究所 | 一种基于可信计算的工控防御方法与系统 |
-
2023
- 2023-09-14 CN CN202311182025.3A patent/CN116938599B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10848515B1 (en) * | 2016-12-02 | 2020-11-24 | University Of South Florida | Predictive model for overall network security risk |
CN107203199A (zh) * | 2017-06-12 | 2017-09-26 | 北京匡恩网络科技有限责任公司 | 一种工控网络安全预警方法及系统 |
CN112433518A (zh) * | 2020-10-20 | 2021-03-02 | 中国科学院沈阳计算技术研究所有限公司 | 一种基于循环神经网络的工业控制系统入侵检测方法 |
WO2023123530A1 (zh) * | 2021-12-31 | 2023-07-06 | 公安部第三研究所 | 一种基于可信计算的工控防御方法与系统 |
CN114547600A (zh) * | 2022-02-21 | 2022-05-27 | 恒安嘉新(北京)科技股份公司 | 一种工控系统安全防护方法、装置、设备及介质 |
Non-Patent Citations (1)
Title |
---|
张娜: "工业控制网络安全风险及防护策略", 《安全、健康和环境》, vol. 20, no. 1 * |
Also Published As
Publication number | Publication date |
---|---|
CN116938599B (zh) | 2023-11-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Anton et al. | Anomaly-based intrusion detection in industrial data with SVM and random forests | |
CN107645503B (zh) | 一种基于规则的恶意域名所属dga家族的检测方法 | |
CN111262722B (zh) | 一种用于工业控制系统网络的安全监测方法 | |
US10257216B2 (en) | Method and system for obtaining and analyzing forensic data in a distributed computer infrastructure | |
US10158653B1 (en) | Artificial intelligence with cyber security | |
US20170293757A1 (en) | Systems and Methods for Enhancing Control System Security by Detecting Anomalies in Descriptive Characteristics of Data | |
JP2019110513A (ja) | 異常検知方法、学習方法、異常検知装置、および、学習装置 | |
Ucar et al. | The analysis of firewall policy through machine learning and data mining | |
CN112165484B (zh) | 基于深度学习与侧信道分析的网络加密流量识别方法装置 | |
CN113660196A (zh) | 一种基于深度学习的网络流量入侵检测方法及装置 | |
CN116938599B (zh) | 一种工控网络的安全感知预警方法及系统 | |
CN115795330A (zh) | 一种基于ai算法的医疗信息异常检测方法及系统 | |
CN112073396A (zh) | 一种内网横向移动攻击行为的检测方法及装置 | |
KR102590081B1 (ko) | 보안 규제 준수 자동화 장치 | |
CN107241334A (zh) | 网络病毒防护方法和用于网络病毒防护的路由器 | |
CN115484112B (zh) | 支付大数据安全防护方法、系统及云平台 | |
CN111291378A (zh) | 威胁情报判研方法及装置 | |
CN114372497A (zh) | 多模态安全数据分类方法和分类系统 | |
CN112861142A (zh) | 数据库的风险等级确定方法和装置、存储介质及电子装置 | |
US20210243219A1 (en) | Security handling skill measurement system, method, and program | |
CN117574135B (zh) | 一种电网攻击事件检测方法、装置、设备及存储介质 | |
CN116915459B (zh) | 一种基于大语言模型的网络威胁分析方法 | |
CN112565200B (zh) | 基于边缘智能的工控网络误用入侵检测预警系统 | |
Scientific | INTRUSION DETECTION SYSTEM FOR (IOT) NETWORKS USING CONVOLUTIONAL NEURAL NETWORK (CNN) AND XGBOOST ALGORITHM | |
EP4033386A1 (en) | Systems and methods for sensor trustworthiness |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |