CN117527402A - 一种lng接收站网络安全状态检测及风险处置方法 - Google Patents
一种lng接收站网络安全状态检测及风险处置方法 Download PDFInfo
- Publication number
- CN117527402A CN117527402A CN202311608462.7A CN202311608462A CN117527402A CN 117527402 A CN117527402 A CN 117527402A CN 202311608462 A CN202311608462 A CN 202311608462A CN 117527402 A CN117527402 A CN 117527402A
- Authority
- CN
- China
- Prior art keywords
- network
- behavior
- receiving station
- lng receiving
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 20
- 238000000034 method Methods 0.000 title claims abstract description 20
- 230000006399 behavior Effects 0.000 claims abstract description 130
- 238000004458 analytical method Methods 0.000 claims abstract description 32
- 239000013598 vector Substances 0.000 claims abstract description 19
- 239000000523 sample Substances 0.000 claims abstract description 12
- 238000004364 calculation method Methods 0.000 claims abstract description 4
- 238000005516 engineering process Methods 0.000 claims description 13
- 230000000875 corresponding effect Effects 0.000 claims description 7
- 238000007689 inspection Methods 0.000 claims description 4
- 230000002159 abnormal effect Effects 0.000 claims description 3
- 230000000903 blocking effect Effects 0.000 claims description 3
- 238000010219 correlation analysis Methods 0.000 claims description 3
- 238000013135 deep learning Methods 0.000 claims description 3
- 239000003999 initiator Substances 0.000 claims description 3
- 230000002596 correlated effect Effects 0.000 claims description 2
- 238000012351 Integrated analysis Methods 0.000 claims 1
- 238000011897 real-time detection Methods 0.000 abstract 1
- 238000012544 monitoring process Methods 0.000 description 4
- 206010000117 Abnormal behaviour Diseases 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000007792 addition Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Alarm Systems (AREA)
Abstract
本发明属于LNG接收站网络安全检测技术领域,具体公开一种LNG接收站网络安全状态检测及风险处置方法,用于LNG接收站网络安全检测和评估。所述方法包括:在各LNG接收站部署分布式探针,获取LNG接收站网络行为的行为特征向量及行为特征值,形成LNG接收站的网络行为模型;利用预设关联性计算模型对所述行为特征值与LNG接收站内其他安全类产品的规则与告警日志进行处理,生成各LNG接受站网络行为白名单规则,将网络行为白名单与设备行为之外的通用安全关键因素融合,形成安全规则;获取各LNG接收站实时全部流量并进行深度解析得到行为特征向量及特征值,上传至统一的安全综合分析平台,实现LNG接收站网络安全状态的实时检测、告警及协同防护。
Description
技术领域
本发明属于LNG接收站网络安全检测技术领域,尤其涉及一种LNG接收站网络安全状态检测及风险处置方法。
背景技术
随着工业化与信息化的深度推进,LNG接收站也从传统意义上的接收站不断向着智能化接收站演进,大量的LNG接收站设备被暴露在网络环境中,极易被远程控制或者引发网络攻击,造成重大安全事故。为了保障LNG接收站安全,除了应用防火墙等必要的边界防护技术外,有必要对LNG接收站的网络状态进行实时检测与评估,并进行统一管理,及时发现LNG接收站的网络安全隐患,并及时对存在风险的LNG接收站设备进行警告,最小化网络风险的影响范围,以保障LNG接收站存储、传输安全与信息安全。
传统的工业控制系统具有工控设备庞杂、工控点位数量多、各工控系统之间相互孤立的特点。相较于上述传统的工业控制系统,LNG接收站是一个设备相对简单、工控点位较少的小型工业控制系统,LNG接收站分布在同一个油气管道的不同关键地点,各接收站之间虽然距离较远,但数量较多,且各接收站之间相互关联。若采用传统工控系统网络安全监测方法,即在每个LNG接收站独立架设网络安全监测系统,则需要极大硬件成本,且只能孤立分析每个单独的LNG接收站自身网络安全状态,无法做到各接收站的安全状态综合评判。
发明内容
本发明的目的在于提供一种LNG接收站网络安全状态检测及风险处置方法,有效解决传统工控系统网络安全监测方法无法做到各LNG接收站的安全状态综合评判的问题。
为解决上述技术问题,本发明采用的技术方案是:
一种LNG接收站网络安全状态检测及风险处置方法,在各LNG站点的核心交换机上部署用于获取流经核心交换机的所有流量的分布式探针,在LNG工控数据监管终端部署安全综合分析平台,所述方法包括以下步骤:S1、网络行为特征提取,将提取到的所有行为特征集合至安全综合分析平台的网络行为特征库,形成LNG接收站的网络行为模型。
S2、通过分布式探针获取各LNG接收站内其他安全类产品的安全策略与告警日志,并使用深度学习算法提取安全策略与告警日志特征。
S3、利用预置的关联性计算模型对步骤S1中提取的行为特征和步骤S2中提取的安全策略与告警日志特征进行处理,计算出行为特征和安全策略与告警日志之间的关联性,并依据所述关联性预生成各LNG接收站网络行为白名单规则。
S4、确定设备行为之外的LNG接收站安全关键因素,所述安全关键因素准确反映网络安全状况并与潜在威胁相关,将所述网络行为白名单规则与所述安全关键因素融合,形成安全规则,将所述安全规则集合至安全综合分析平台。
S5、实时获取各LNG接收站的全部网络流量,并从总流量中分离出不同功能模块不同网络行为数据,通过深度包检测技术和深度流检测技术,解析相应行为流量得到行为特征向量及特征值,将所述行为特征向量及特征值上传至安全综合分析平台。
S6、利用步骤S1中形成的所述网络行为模型对步骤S5的行为特征向量及特征值进行解析,然后与步骤S4生成的安全规则进行比对,判定网络行为的合法性,若识别到网络安全风险,则在安全综合分析平台对非法的网络安全风险进行告警并下发至存在网络安全风险的LNG接收站。
S7、利用预置的网络安全风险关联性分析平台,将步骤S6中最新识别的网络安全风险与先前产生的网络安全风险进行综合分析,计算一定时间尺度上各网络安全风险的关联性,推演安全风险传播路径,若最新识别的网络安全风险与先前产生的网络安全风险具有相关性,则安全综合分析平台对所有LNG接收站进行广播,并下发由所述安全综合分析平台智能生成的安全策略至各LNG接收站,阻断网络风险传播路径,最小化网络安全风险对整个油气管网造成的影响范围。
进一步地,在步骤S1中,首先,选择能够衡量LNG接收站是否符合网络安全要求的数据源,其次,在LNG接收站未受到网络攻击时,从选择的数据源处获取数据,然后,利用深度包检测技术和深度流检测技术对所述数据源进行解析处理,得到相对应的网络行为特征向量及特征值,统计所述网络行为特征向量及特征值随时间变化的特性,将提取到的所有行为特征向量及特征值集合至安全综合分析平台的网络行为特征库,形成LNG接收站的网络行为模型。
进一步地,在步骤S2中,所述其他安全类产品包括但不限于边界防护和态势感知,所述安全策略与告警日志特征包括但不限于安全策略的主体、客体、行为和动作、日志发生的时间、日志的主体和客体、日志类型和动作。
进一步地,在步骤S4中,所述安全关键因素包括但不限于网络流量的带宽利用率、异常连接的数量、网络攻击频率和行为的合规性。
进一步地,在步骤S4中,将所述网络行为白名单规则与所述安全关键因素融合,输出所有合规或非法行为的安全指标,包括但不限于网络行为的请求方和应答方、网络行为的操作允许范围、行为发生的时间段、行为的网络流量大小范围和行为违规的严重程度。
进一步地,在步骤S6中,所述告警信息包括但不限于LNG接收站的信息、接收站内产生危险网络行为的设备信息、危险网络行为的发起方与接受方以及所违反的安全规则。
本发明的有益技术效果是:
本发明极大的节约了硬件成本,实现了各LNG接收站之间安全状态的综合、全面分析以及安全风险协同防护,充分保障LNG接收站的存储、传输安全与信息安全。
具体实施方式
本发明通过部署分布式探针的方法,在各LNG站点采集站内各设备的行为特征,利用LNG接收站原有的工控数据上传到监管终端的数据通道,将其采集到的行为特征统一上传至位于监管终端处的安全综合分析平台,综合、全面评估LNG接收站网络安全状态,同时根据检测到的安全风险智能生成安全策略并下发至各LNG接收站,最小化网络安全风险造成的影响范围。下面通过具体的实施例进一步详细说明。
一种LNG接收站网络安全状态检测及风险处置方法,首先需要进行相关的软硬件部署:(1)在各LNG站点的核心交换机上部署用于获取流经核心交换机的所有流量的分布式探针。所述分布式探针可以是一个硬件设备,也可以是一种软件。(2)在LNG工控数据监管终端部署安全综合分析平台。所述安全综合分析平台可以是一个硬件设备,也可以是一种软件。所述安全综合分析平台可以获取各LNG接收站分布式探针上传的数据即行为特征,对各LNG接收站的网络安全状态进行综合、全面分析,智能生成安全策略并下发至各LNG接收站。所述LNG接收站网络安全状态检测及风险处置方法分为以下几个步骤。
(一)提取网络行为特征,形成LNG接收站的网络行为模型。
LNG接收站集成了不同功能的工控设备,这些工控设备包含了数据监控、数据采集、分布控制等多个模块,每个功能模块都具有各自的网络行为,且每个行为都具有独特的网络数据特征,如行为发生的时间段,行为的主体与客体,行为所对应网络流量的关键字、工控协议功能码的特定排列组合等。LNG接收站的行为具有高度的确定性,一个LNG接收站在进行安装调试和投入运营之后,其配置基本上就确定了。
考虑到LNG接收站网络行为的确定性,并基于这种网络行为的确定性,统计得LNG接收站的网络行为模型,则该网络行为模型也具有一定的确定性。
基于该相对确定的网络行为模型进行LNG接收站网络安全状态的判断,得到的判断结果比较准确。并且,在本实施例中,通过合理选择与所述LNG接收站相关的数据源,并从选择的数据源处获取数据,根据获取到的数据确定LNG接收站的网络行为模型。再基于确定的网络行为模型判断LNG接收站的网络是否存在异常行为,能够实现对工业控制系统的网络安全的有效监视。
首先,在选择数据源时,选择能够衡量该LNG接收站是否符合网络安全要求的数据源,使得后续在进行接收站网络异常行为判断时所依据的数据更能够针对网络安全的需求,判断结果更准确。其次,在LNG接收站未受到网络攻击时,从选择的数据源处获取数据,然后,利用深度包检测(DPI)技术和深度流检测(DFI)技术,对上述数据源进行解析处理,得到相对应的网络行为特征向量及特征值。进一步地,统计所述网络行为特征向量及特征值随时间变化的特性。
将提取到的所有行为特征集合至安全综合分析平台的网络行为特征库,形成LNG接收站的网络行为模型,这样,能够准确获知接收站的正常行为特征,从而在后续进行特征比对时得到的系统异常行为判断的结果更准确。
(二)生成安全规则。
通过分布式探针获取各LNG接收站的边界防护、态势感知等其他安全类产品的安全策略与历史告警日志,并使用适当的深度学习算法提取安全策略与告警日志特征,这些特征包括安全策略的主体、客体、行为、动作以及日志发生的时间、日志的主体、客体、日志类型、动作等。
将步骤(一)中提取到的网络行为特征与上述提取得到的安全策略与告警日志特征输入预置的关联性分析模块,利用预置的关联性计算模型对所述安全策略与告警日志特征、网络行为特征进行处理,计算出网络行为特征与安全策略、告警日志之间的关联性,并依据所述关联性预生成各LNG接收站网络行为白名单规则。所述白名单规则的准确性取决于步骤(一)的网络行为流量(标准行为流量)以及安全策略与告警日志的丰富度。
除了基于关联性模型生成的网络行为白名单,也需要定义设备行为之外的LNG接收站安全关键因素,包括网络流量的带宽利用率、异常连接的数量、网络攻击频率、行为的合规性等。确保选择的安全关键因素能够准确反映网络安全状况并与潜在威胁相关。
结合网络行为白名单与LNG接收站安全关键因素,输出所有合规或非法行为的安全指标,生成安全规则。所述安全指标包括网络行为的请求方和应答方、网络行为的操作允许范围、行为发生的时间段、行为的网络流量大小范围、行为违规的严重程度等。
将生成的所有安全规则集合至安全综合分析平台,有利于准确判断各LNG接收站上传的网络行为合法性。
(三)实时网络行为特征解析与上传。
利用分布式探针从LNG接收站的交换机镜像口实时获取LNG接收站的全部网络流量,并从总流量中分离出不同功能模块不同网络行为数据,通过DPI技术和DFI技术,解析相应行为流量的具体特征,将行为特征的主体、客体、时间范围、特征值等上传至安全综合分析平台。出于硬件成本的角度以及对各LNG接收站网络行为能够综合、全面分析的角度考虑,分布式探针自身不对解析到的网络行为进行合法性判断。
(四)网络安全状态检测、告警与协同防护。
利用步骤(一)中形成的所述网络行为模型对步骤(三)中各LNG接收站上传的网络行为特征进行解析,然后与步骤(二)中生成的安全规则进行比对,判定网络行为的合法性,若识别到网络安全风险,则在安全综合分析平台对非法的网络安全风险进行告警并下发至存在网络安全风险的LNG接收站。所述告警信息包括LNG接收站自身的详细信息、接收站内产生危险网络行为的设备信息、危险网络行为的发起方与接受方、所违反的安全规则等。
利用预置的网络安全风险关联性分析平台,将最新识别的网络安全风险与先前产生的网络安全风险进行综合分析,计算一定时间尺度上各网络安全风险的关联性,推演安全风险传播路径,若最新识别的网络安全风险与先前产生的网络安全风险具有相关性,则安全综合分析平台对所有LNG接收站进行广播,并下发由所述安全综合分析平台智能生成的安全策略至各LNG接收站,阻断网络风险传播路径,最小化网络安全风险对整个油气管网造成的影响范围。
本发明极大的节约了硬件成本,实现各LNG接收站之间安全状态综合、全面分析以及安全风险协同防护,充分保障LNG接收站的存储、传输安全与信息安全。
当然,上述说明并非是对本发明的限制,本发明也并不仅限于上述举例,本技术领域的技术人员在本发明的实质范围内所做出的变化、改型、添加或替换,也应属于本发明的保护范围。
Claims (6)
1.一种LNG接收站网络安全状态检测及风险处置方法,其特征在于,在各LNG站点的核心交换机上部署用于获取流经核心交换机的所有流量的分布式探针,在LNG工控数据监管终端部署安全综合分析平台,所述方法包括以下步骤:
S1、网络行为特征提取,将提取到的所有行为特征集合至安全综合分析平台的网络行为特征库,形成LNG接收站的网络行为模型;
S2、通过分布式探针获取各LNG接收站内其他安全类产品的安全策略与告警日志,并使用深度学习算法提取安全策略与告警日志特征;
S3、利用预置的关联性计算模型对步骤S1中提取的行为特征和步骤S2中提取的安全策略与告警日志特征进行处理,计算出行为特征和安全策略与告警日志之间的关联性,并依据所述关联性预生成各LNG接收站网络行为白名单规则;
S4、确定设备行为之外的LNG接收站安全关键因素,所述安全关键因素准确反映网络安全状况并与潜在威胁相关,将所述网络行为白名单规则与所述安全关键因素融合,形成安全规则,将所述安全规则集合至安全综合分析平台;
S5、实时获取各LNG接收站的全部网络流量,并从总流量中分离出不同功能模块不同网络行为数据,通过深度包检测技术和深度流检测技术,解析相应行为流量得到行为特征向量及特征值,将所述行为特征向量及特征值上传至安全综合分析平台;
S6、利用步骤S1中形成的所述网络行为模型对步骤S5的行为特征向量及特征值进行解析,然后与步骤S4生成的安全规则进行比对,判定网络行为的合法性,若识别到网络安全风险,则在安全综合分析平台对非法的网络安全风险进行告警并下发至存在网络安全风险的LNG接收站;
S7、利用预置的网络安全风险关联性分析平台,将步骤S6中最新识别的网络安全风险与先前产生的网络安全风险进行综合分析,计算一定时间尺度上各网络安全风险的关联性,推演安全风险传播路径,若最新识别的网络安全风险与先前产生的网络安全风险具有相关性,则安全综合分析平台对所有LNG接收站进行广播,并下发由所述安全综合分析平台智能生成的安全策略至各LNG接收站,阻断网络风险传播路径,最小化网络安全风险对整个油气管网造成的影响范围。
2.根据权利要求1所述的LNG接收站网络安全状态检测及风险处置方法,其特征在于,在步骤S1中,首先,选择能够衡量LNG接收站是否符合网络安全要求的数据源,其次,在LNG接收站未受到网络攻击时,从选择的数据源处获取数据,然后,利用深度包检测技术和深度流检测技术对所述数据源进行解析处理,得到相对应的网络行为特征向量及特征值,统计所述网络行为特征向量及特征值随时间变化的特性,将提取到的所有行为特征向量及特征值集合至安全综合分析平台的网络行为特征库,形成LNG接收站的网络行为模型。
3.根据权利要求2所述的LNG接收站网络安全状态检测及风险处置方法,其特征在于,在步骤S2中,所述其他安全类产品包括但不限于边界防护和态势感知,所述安全策略与告警日志特征包括但不限于安全策略的主体、客体、行为和动作、日志发生的时间、日志的主体和客体、日志类型和动作。
4.根据权利要求3所述的LNG接收站网络安全状态检测及风险处置方法,其特征在于,在步骤S4中,所述安全关键因素包括但不限于网络流量的带宽利用率、异常连接的数量、网络攻击频率和行为的合规性。
5.根据权利要求4所述的LNG接收站网络安全状态检测及风险处置方法,其特征在于,在步骤S4中,将所述网络行为白名单规则与所述安全关键因素融合,输出所有合规或非法行为的安全指标,包括但不限于网络行为的请求方和应答方、网络行为的操作允许范围、行为发生的时间段、行为的网络流量大小范围和行为违规的严重程度。
6.根据权利要求5所述的LNG接收站网络安全状态检测及风险处置方法,其特征在于,在步骤S6中,所述告警信息包括但不限于LNG接收站的信息、接收站内产生危险网络行为的设备信息、危险网络行为的发起方与接受方以及所违反的安全规则。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311608462.7A CN117527402A (zh) | 2023-11-29 | 2023-11-29 | 一种lng接收站网络安全状态检测及风险处置方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311608462.7A CN117527402A (zh) | 2023-11-29 | 2023-11-29 | 一种lng接收站网络安全状态检测及风险处置方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117527402A true CN117527402A (zh) | 2024-02-06 |
Family
ID=89741858
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311608462.7A Pending CN117527402A (zh) | 2023-11-29 | 2023-11-29 | 一种lng接收站网络安全状态检测及风险处置方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117527402A (zh) |
-
2023
- 2023-11-29 CN CN202311608462.7A patent/CN117527402A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101538709B1 (ko) | 산업제어 네트워크를 위한 비정상 행위 탐지 시스템 및 방법 | |
| CN104052730A (zh) | 用于工业控制系统的智能计算机物理入侵检测与防御系统和方法 | |
| CN107241224A (zh) | 一种变电站的网络风险监测方法及系统 | |
| CN107566163A (zh) | 一种用户行为分析关联的告警方法及装置 | |
| CN102594783B (zh) | 一种网络安全应急响应方法 | |
| CN115996146B (zh) | 数控系统安全态势感知与分析系统、方法、设备及终端 | |
| CN107517205B (zh) | 基于概率的智能变电站网络异常流量检测模型构建方法 | |
| CN110324323A (zh) | 一种新能源厂站涉网端实时交互过程异常检测方法及系统 | |
| Kaouk et al. | A review of intrusion detection systems for industrial control systems | |
| CN105812200A (zh) | 异常行为检测方法及装置 | |
| CN108712433A (zh) | 一种网络安全检测方法和系统 | |
| CN112734977B (zh) | 一种基于物联网的设备风险预警系统及算法 | |
| CN109889512A (zh) | 一种充电桩can报文的异常检测方法及装置 | |
| CN106287225A (zh) | 一种燃气在线监测预警系统及其检测控制方法 | |
| CN115001877A (zh) | 一种基于大数据的信息安全运维管理系统及方法 | |
| CN117392801A (zh) | 一种电缆沟火灾预警系统 | |
| CN105827611A (zh) | 一种基于模糊推理的分布式拒绝服务网络攻击检测方法和系统 | |
| CN107896229A (zh) | 一种计算机网络异常检测的方法、系统及移动终端 | |
| CN117879961A (zh) | 一种态势感知系统的威胁预警分析模型 | |
| Sen et al. | Towards an approach to contextual detection of multi-stage cyber attacks in smart grids | |
| CN117375985A (zh) | 安全风险指数的确定方法及装置、存储介质、电子装置 | |
| CN109194501A (zh) | 智能自动化的内网应用系统应急响应处置的方法 | |
| CN117527402A (zh) | 一种lng接收站网络安全状态检测及风险处置方法 | |
| AU2019290036A1 (en) | System for technology infrastructure analysis | |
| CN108650124A (zh) | 一种基于WebGIS的电网通信预警系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication |