CN117749429A - 一种工业网络未知威胁检测方法、装置、设备和介质 - Google Patents
一种工业网络未知威胁检测方法、装置、设备和介质 Download PDFInfo
- Publication number
- CN117749429A CN117749429A CN202311615893.6A CN202311615893A CN117749429A CN 117749429 A CN117749429 A CN 117749429A CN 202311615893 A CN202311615893 A CN 202311615893A CN 117749429 A CN117749429 A CN 117749429A
- Authority
- CN
- China
- Prior art keywords
- file
- data packet
- target data
- original file
- threat detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 42
- 238000001514 detection method Methods 0.000 claims abstract description 67
- 230000006854 communication Effects 0.000 claims abstract description 37
- 238000004891 communication Methods 0.000 claims abstract description 36
- 238000004458 analytical method Methods 0.000 claims abstract description 25
- 230000006798 recombination Effects 0.000 claims abstract description 7
- 238000005215 recombination Methods 0.000 claims abstract description 7
- 238000003860 storage Methods 0.000 claims description 14
- 238000004088 simulation Methods 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 9
- 230000004044 response Effects 0.000 claims description 7
- 230000009467 reduction Effects 0.000 claims description 3
- 238000006243 chemical reaction Methods 0.000 claims description 2
- 238000004140 cleaning Methods 0.000 claims description 2
- 238000012544 monitoring process Methods 0.000 abstract description 17
- 230000008520 organization Effects 0.000 abstract description 7
- 230000007123 defense Effects 0.000 abstract description 5
- 230000006399 behavior Effects 0.000 description 15
- 230000006870 function Effects 0.000 description 12
- 238000010586 diagram Methods 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 8
- 230000000694 effects Effects 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 238000012550 audit Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000007547 defect Effects 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000000644 propagated effect Effects 0.000 description 3
- 102100026278 Cysteine sulfinic acid decarboxylase Human genes 0.000 description 2
- 241000700605 Viruses Species 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000005206 flow analysis Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 108010064775 protein C activator peptide Proteins 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 230000007480 spreading Effects 0.000 description 2
- 238000003892 spreading Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000003723 Smelting Methods 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 231100000749 chronicity Toxicity 0.000 description 1
- 239000003086 colorant Substances 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000009792 diffusion process Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000009776 industrial production Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 239000002184 metal Substances 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000002688 persistence Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000007482 viral spreading Effects 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开的实施例公开了一种工业网络未知威胁检测方法、装置、设备和介质。该方法的一具体实施方式包括:获取目标数据包;根据目标数据包的通讯协议,对目标数据包进行解析,得到解析结果;根据解析结果对目标数据包进行重组还原,得到目标数据包对应的原始文件;对原始文件进行威胁检测,得到威胁检测结果。该实施方式能够应用于网络攻防高对抗场景下工业网络的安全监测取证,实现对工业网络中传播未知恶意文件的识别和溯源能力,实现篡改工业组态配置文件的恶意行为监测,对网络武器技术模式和黑客组织来源的追溯。
Description
技术领域
本公开的实施例涉及计算机技术领域,具体涉及一种工业网络未知威胁检测方法、装置、电子设备和计算机可读介质。
背景技术
工业控制设备及系统已广泛应用于电力能源、核能水利、石油化工、金属冶炼、轨道交通、加工制造等国民经济的多个领域,成为国家关键工业基础设施的重要组成部分。近几年在工业控制系统中发现的漏洞数量明显增多,针对物联网、工业领域业务网络的攻击事件急剧上升。
工业网络场景下的威胁监测往往基于网络流量分析技术,并单一通过恶意特征匹配或白名单基线的方式进行异常识别,主要以工业控制系统入侵检测产品、工业控制系统网络审计产品两种形态进行网络通讯的数据采集、协议解析和异常识别。
但当前工业网络场景下的威胁监测技术只能对已公开的入侵行为进行检测,并不具备分析、识别恶意文件载荷传播的能力,无法挖掘高级可持续性威胁线索,尤其是通过篡改工业控制系统工程组态文件内容的方式植入恶意功能的文件,现有威胁监测技术无法进行有效识别。
发明内容
本公开的内容部分用于以简要的形式介绍构思,这些构思将在后面的具体实施方式部分被详细描述。本公开的内容部分并不旨在标识要求保护的技术方案的关键特征或必要特征,也不旨在用于限制所要求的保护的技术方案的范围。
本公开的一些实施例提出了一种工业网络未知威胁检测方法、装置、电子设备和计算机可读介质,来解决以上背景技术部分提到的技术问题。
第一方面,本公开的一些实施例提供了一种工业网络未知威胁检测方法,该方法包括:获取目标数据包;根据上述目标数据包的通讯协议,对上述目标数据包进行解析,得到解析结果;根据上述解析结果对上述目标数据包进行重组还原,得到上述目标数据包对应的原始文件;对上述原始文件进行威胁检测,得到威胁检测结果。
第二方面,本公开的一些实施例提供了一种工业网络未知威胁检测装置,装置包括:获取单元,被配置成获取目标数据包;解析单元,被配置成根据上述目标数据包的通讯协议,对上述目标数据包进行解析,得到解析结果;还原单元,被配置成根据上述解析结果对上述目标数据包进行重组还原,得到上述目标数据包对应的原始文件;检测单元,被配置成对上述原始文件进行威胁检测,得到威胁检测结果。
第三方面,本申请实施例提供了一种电子设备,该网络设备包括:一个或多个处理器;存储装置,用于存储一个或多个程序;当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现如第一方面中任一实现方式描述的方法。
第四方面,本申请实施例提供了一种计算机可读介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面中任一实现方式描述的方法。
本公开的上述各个实施例中的一个实施例具有如下有益效果:能够应用于网络攻防高对抗场景下工业网络的安全监测取证,实现对工业网络中传播未知恶意文件的识别和溯源能力,实现篡改工业组态配置文件的恶意行为监测,对网络武器技术模式和黑客组织来源进行追溯,解决了传统工业控制系统入侵检测和流量审计技术不具备未知威胁恶意文件发现能力的问题,避免出现无法对入侵背景和入侵技术过程进行溯源的缺陷。
附图说明
结合附图并参考以下具体实施方式,本公开各实施例的上述和其他特征、优点及方面将变得更加明显。贯穿附图中,相同或相似的附图标记表示相同或相似的元素。应当理解附图是示意性的,元件和元素不一定按照比例绘制。
图1是根据本公开的一些实施例的工业网络未知威胁检测方法的一个应用场景的示意图;
图2是根据本公开的工业网络未知威胁检测方法的一些实施例的流程图;
图3是根据本公开的工业网络未知威胁检测装置的一些实施例的结构示意图;
图4是适于用来实现本公开的一些实施例的电子设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的实施例。虽然附图中显示了本公开的某些实施例,然而应当理解的是,本公开可以通过各种形式来实现,而且不应该被解释为限于这里阐述的实施例。相反,提供这些实施例是为了更加透彻和完整地理解本公开。应当理解的是,本公开的附图及实施例仅用于示例性作用,并非用于限制本公开的保护范围。
另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互组合。
需要注意,本公开中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分,并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系。
需要注意,本公开中提及的“一个”、“多个”的修饰是示意性而非限制性的,本领域技术人员应当理解,除非在上下文另有明确指出,否则应该理解为“一个或多个”。
本公开实施方式中的多个装置之间所交互的消息或者信息的名称仅用于说明性的目的,而并不是用于对这些消息或信息的范围进行限制。
下面将参考附图并结合实施例来详细说明本公开。
图1是根据本公开一些实施例的工业网络未知威胁检测方法的一个应用场景的示意图。
如图1所示,服务器101可以获取目标数据包102;根据上述目标数据包102的通讯协议,对上述目标数据包进行解析,得到解析结果103;根据上述解析结果103对上述目标数据包102进行重组还原,得到上述目标数据包102对应的原始文件104;对上述原始文件104进行威胁检测,得到威胁检测结果105。
可以理解的是,工业网络未知威胁检测方法可以是由终端设备来执行,或者也可以是由服务器101来执行,上述方法的执行主体还可以包括上述终端设备与上述服务器101通过网络相集成所构成的设备,或者还可以是各种软件程序来执行。其中,终端设备可以是具有信息处理能力的各种电子设备,包括但不限于智能手机、平板电脑、电子书阅读器、膝上型便携计算机和台式计算机等等。执行主体也可以体现为服务器101、软件等。当执行主体为软件时,可以安装在上述所列举的电子设备中。其可以实现成例如用来提供分布式服务的多个软件或软件模块,也可以实现成单个软件或软件模块。在此不做具体限定。
应该理解,图1中的服务器数目仅仅是示意性的。根据实现需要,可以具有任意数目的服务器。
继续参考图2,示出了根据本公开的工业网络未知威胁检测方法的一些实施例的流程200。该工业网络未知威胁检测方法,包括以下步骤:
步骤201,获取目标数据包。
在一些实施例中,工业网络未知威胁检测方法的执行主体(例如图1所示的服务器)可以通过有线连接方式或者无线连接方式获取目标数据包。需要指出的是,上述无线连接方式可以包括但不限于3G/4G连接、WiFi连接、蓝牙连接、WiMAX连接、Zigbee连接、UWB(ultra wideband)连接、以及其他现在已知或将来开发的无线连接方式。具体的,上述目标数据包通常是指需要进行威胁检测的数据包,可以人为选取也可以是随机选取,上述执行主体可以并行采集工业基础设施内部的生产管理、生产控制网络流量,对特定通讯协议的数据报文进行数据流分析。
步骤202,根据上述目标数据包的通讯协议,对上述目标数据包进行解析,得到解析结果。
在一些实施例中,基于步骤201中得到的目标数据包,上述执行主体(例如图1所示的服务器)可以对上述根据上述目标数据包的通讯协议,对上述目标数据包进行解析,得到解析结果。
作为示例,对基于FTP、SMB、NFS、HTTP等协议通讯的会话,按其协议规约对上述目标数据包进行解析,对特定操作做进一步解码,以HTTP协议为例,对HTTP协议的请求头、响应头、Payload分别解码。
作为又一示例,对基于3S-CODESYS、KW-MULTIPROG、Infoteam-OpenPCS等主流工控组态软件以及西门子S7COMM(含S7comm-Plus)、艾默生DeviceNetTM、罗克韦尔EtherNET/IP、施耐德Modbus等主流品牌工控设备的工业协议通讯的会话,按其协议规约对上述目标数据包进行解析,对特定操作做进一步解码,以S7COMM协议为例,对其功能码0x1a(Requestdownload)请求下载、0x1b(Download block)下载块、0x1c(Download ended)下载结束、0x1d(Start upload)开始上传、0x1e(Upload)上传、0x1f(End upload)上传结束分别解码。
步骤203,根据上述解析结果对上述目标数据包进行重组还原,得到上述目标数据包对应的原始文件。
在一些实施例中,上述执行主体可以根据上述解析结果对上述目标数据包进行重组还原,得到上述目标数据包对应的原始文件。
依据上述解码结果,对传输文件做逆向重组还原,并将还原后的文件存储留存。例如FTP协议,识别其信令控制数据流,并在其数据传输数据流上重组还原出文件,并进行存储。对整个会话的PCAP报文同步进行存储,便于后续检测分析和取证。
依据上述解码结果,对上下载的工控组态(配置)文件做逆向重组还原,并将还原后的文件存储留存。例如S7COMM协议,识别其信令控制数据流,并在其数据传输数据流上重组还原出组态文件,并进行存储。对整个会话的PCAP报文同步进行存储,便于后续检测分析和取证。
步骤204,对上述原始文件进行威胁检测,得到威胁检测结果。
在一些实施例中,上述执行主体可以对上述原始文件进行威胁检测,得到威胁检测结果。具体的,上述执行主体可以根据上述原始文件的文件结构和行为特征对上述原始文件进行威胁检测,得到威胁检测结果。在这里,上述文件结构通常是指上述原始文件的文件特征,包括:上述原始文件的文件编译向量、API调用向量、文件特征值、文件头、文件尾以及文件校验和。上述原始文件的行为特征通常是指上述原始文件运行后的行为,包括:运行状态、现场物理设备的监控操作的行为、调用系统的行为。
在一些实施例的一些可选的实现方式中,上述执行主体可以响应于确定上述目标数据包的通讯协议格式为常规通讯协议,通过多维特征码检测模式对上述原始文件的文件编译向量、API调用向量以及文件特征值进行恶意文件知识库匹配,得到威胁检测结果。
在这里,上述常规通讯协议通常是指FTP、SMB、NFS、HTTP等通讯协议。
在一些实施例的一些可选的实现方式中,上述执行主体可以在虚拟化仿真环境中动态执行上述原始文件,根据上述原始文件在上述虚拟化仿真环境中的运行报告确定上述原始文件威胁检测结果。
具体的,上述执行主体可以将常规的还原文件通过多维特征码检测模式对文件编译向量、API调用向量,以及文件特征值进行恶意文件知识库匹配,同时在创建的windows、vxworks虚拟化监测环境中使用动态执行的方式,观察其调用系统的行为判别是否具备威胁性。
在一些实施例的一些可选的实现方式中,上述执行主体可以响应于确定上述目标数据包的通讯协议格式为工业通讯协议,对上述原始文件进行自动化逆向,得到上述原始文件的文件头、文件尾和文件校验和;通过工业嵌入式多维特征码检测模式对上述原始文件的文件头、文件尾、文件校验和、文件编译向量、系统接口调用向量以及文件特征值进行恶意文件知识库匹配,得到威胁检测结果。
从而可以快速识别已知恶意文件的频繁变种,以及加密、加壳等对抗行为,对于未知(高级威胁)恶意文件的高危操作,尤其是对嵌入式操作系统的不良影响可以进行识别。
在这里,上述工业通讯协议通常是指基于3S-CODESYS、KW-MULTIPROG、Infoteam-OpenPCS等主流工控组态软件以及西门子S7COMM(含S7comm-Plus)、艾默生DeviceNetTM、罗克韦尔EtherNET/IP、施耐德Modbus等主流品牌工控设备的工业协议通讯。
在一些实施例的一些可选的实现方式中,上述执行主体可以在vxworks嵌入式实时系统虚拟化仿真环境和soft-PLC嵌入式仿真工控运行平台虚拟化环境中利用触发嵌入式设备运行上述原始文件,根据上述原始文件在上述虚拟化仿真环境中的运行报告确定上述原始文件威胁检测结果。
具体的,上述执行主体可以将工业组态(配置)的原始文件进行自动化逆向,获取文件头、文件尾,文件校验和等特征,通过工业嵌入式多维特征码检测模式对文件编译向量、系统接口调用向量,以及文件特征值进行恶意文件知识库匹配,同时不依赖于硬件架构创建组态文件执行的soft-PLC仿真运行平台,触发嵌入式设备工程运行,观察原始文件对于嵌入式自动化设备的运行状态以及现场物理设备的监控操作的方法判别是否具备威胁性。
从而可以有效识别通过对工控组态文件进行篡改或预置恶意功能的方式所形成的工业特种病毒,从而有效预防对工业现场设备的恶意操作和破坏风险,以及通过嵌入式控制设备“武器化”的方式进行病毒反向扩散传播的行为。
在一些实施例的一些可选的实现方式中,上述执行主体可以响应于确定上述原始文件的威胁检测结果满足预设条件,抽取上述原始文件的文件特征、行为特征以及元数据通讯特征;对上述原始文件的文件特征、行为特征以及元数据通讯特征进行数据清洗以及格式转换,得到规约数据;利用上述规约数据从威胁情报库中确定上述规约数据的关联数据,以及将上述关联数据的历史威胁源头以及历史影响确定为上述原始文件的威胁源头以及影响。
在这里,上述关联数据通常是指在上述威胁情报库中与上述原始文件特征相同或相似的威胁情报,威胁组织的常用特征是比较固定的,数据库里的这些会标定为某个源头组织的。
具体的,上述执行主体可以抽取原始文件的文件结构和行为特征,以及通讯过程全量数据的(IP、域名、Email、URL、证书等)标签,并且引入时间和场景维度对工控ATT&CK框架进行完善,使其更具有工业网络攻防特色,关联溯源前首先对各数据源返回的原始数据进行清洗、格式转换等,然后对数据治理后的转换为格式化、符合模型定义的规约数据,确认相应数据类型下的关联维度,并爬取本地私有威胁情报库中数据,通过递归方式实现关键指标线索的拓展和关键特征收集,从而揭示了同一安全事件在时间轴上的变化和发展,以及不同安全事件在相同技术、战术环节中的细节差异,最终确定威胁源头和威胁入侵行为采用的技术手段及造成的影响。
可以将传统基于时间点的检测模式延伸到基于历史时间窗的检测模式,从而有效应对能高级可持续性威胁的持续性、长期性两种重要特征,快速准确定位攻击源、重建攻击链进而发现攻击意图和攻击背景。
从而具备工业网络场景下未知恶意文件载荷传播的监测、溯源能力,尤其是通过植入恶意功能程序并伪装成工业控制系统的工程组态配置文件的形式对嵌入式控制设备进行非法操控,或通过“PLC武器化”进行反向病毒传播扩散的行为具有很好的识别效果。工业恶意文件传播的监测过程进行工业生产管理、控制网络中的流量数据采集,将基于FTP、NFS等协议传播的文件进行重组还原存储,同时将基于工业组态软件私有协议传播的工程配置文件也进行重组还原存储。将常规还原文件分别投入静态检测引擎中和操作系统级虚拟化监测环境中触发。将工业组态配置文件投入到对应品牌soft-PLC仿真平台应用级虚拟化环境中触发,验证工程文件的安全性。通过该种方法可以实现对工业网络中传播的未知恶意文件载荷的识别,以及具体恶意行为的分析。基于工控系统攻击监测框架模型形成的私有威胁情报资源池,对工业相关恶意文件的重要指标和攻击技术模式进行比对,从而确认其黑客组织源头和相关网络武器之间的关联性。
本公开的上述各个实施例中的一个实施例具有如下有益效果:能够应用于网络攻防高对抗场景下工业网络的安全监测取证,实现对工业网络中传播未知恶意文件的识别和溯源能力,实现篡改工业组态配置文件的恶意行为监测,对网络武器技术模式和黑客组织来源进行追溯,解决了传统工业控制系统入侵检测和流量审计技术不具备未知威胁恶意文件发现能力的问题,避免出现无法对入侵背景和入侵技术过程进行溯源的缺陷。
进一步参考图3,作为对上述各图所示方法的实现,本公开提供了一种工业网络未知威胁检测装置的一些实施例,这些装置实施例与图2所示的那些方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图3所示,一些实施例的工业网络未知威胁检测装置300包括:获取单元301、解析单元302、还原单元303和检测单元304。其中,获取单元301,被配置成获取目标数据包;解析单元302,被配置成根据上述目标数据包的通讯协议,对上述目标数据包进行解析,得到解析结果;还原单元303,被配置成根据上述解析结果对上述目标数据包进行重组还原,得到上述目标数据包对应的原始文件;检测单元304,被配置成对上述原始文件进行威胁检测,得到威胁检测结果。
可以理解的是,该装置300中记载的诸单元与参考图2描述的方法中的各个步骤相对应。由此,上文针对方法描述的操作、特征以及产生的有益效果同样适用于装置300及其中包含的单元,在此不再赘述。
本公开的上述各个实施例中的一个实施例具有如下有益效果:能够应用于网络攻防高对抗场景下工业网络的安全监测取证,实现对工业网络中传播未知恶意文件的识别和溯源能力,实现篡改工业组态配置文件的恶意行为监测,对网络武器技术模式和黑客组织来源进行追溯,解决了传统工业控制系统入侵检测和流量审计技术不具备未知威胁恶意文件发现能力的问题,避免出现无法对入侵背景和入侵技术过程进行溯源的缺陷。
下面参考图4,其示出了适于用来实现本公开的一些实施例的电子设备(例如图1中的服务器)400的结构示意图。图4示出的电子设备仅仅是一个示例,不应对本公开的实施例的功能和使用范围带来任何限制。
如图4所示,电子设备400可以包括处理装置(例如中央处理器、图形处理器等)401,其可以根据存储在只读存储器(ROM)402中的程序或者从存储装置408加载到随机访问存储器(RAM)403中的程序而执行各种适当的动作和处理。在RAM 403中,还存储有电子设备400操作所需的各种程序和数据。处理装置401、ROM 402以及RAM 403通过总线404彼此相连。输入/输出(I/O)接口405也连接至总线404。
通常,以下装置可以连接至I/O接口405:包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置406;包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置407;包括例如磁带、硬盘等的存储装置408;以及通信装置409。通信装置409可以允许电子设备400与其他设备进行无线或有线通信以交换数据。虽然图4示出了具有各种装置的电子设备400,但是应理解的是,并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。图4中示出的每个方框可以代表一个装置,也可以根据需要代表多个装置。
特别地,根据本公开的一些实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的一些实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的一些实施例中,该计算机程序可以通过通信装置409从网络上被下载和安装,或者从存储装置408被安装,或者从ROM 402被安装。在该计算机程序被处理装置401执行时,执行本公开的一些实施例的方法中限定的上述功能。
需要说明的是,本公开的一些实施例上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
在本公开的一些实施例中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开的一些实施例中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
在一些实施方式中,客户端、服务器可以利用诸如HTTP(HyperText TransferProtocol,超文本传输协议)之类的任何当前已知或未来研发的网络协议进行通信,并且可以与任意形式或介质的数字数据通信(例如,通信网络)互连。通信网络的示例包括局域网(“LAN”),广域网(“WAN”),网际网(例如,互联网)以及端对端网络(例如,ad hoc端对端网络),以及任何当前已知或未来研发的网络。
上述计算机可读介质可以是上述电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备:获取目标数据包;根据上述目标数据包的通讯协议,对上述目标数据包进行解析,得到解析结果;根据上述解析结果对上述目标数据包进行重组还原,得到上述目标数据包对应的原始文件;对上述原始文件进行威胁检测,得到威胁检测结果。
可以以一种或多种程序设计语言或其组合来编写用于执行本公开的一些实施例的操作的计算机程序代码,上述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)——连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开的一些实施例中的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中,例如,可以描述为:一种处理器包括获取单元、解析单元、还原单元和检测单元。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定,例如,获取单元还可以被描述为“获取目标数据包的单元”。
本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如,非限制性地,可以使用的示范类型的硬件逻辑部件包括:现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑设备(CPLD)等等。
以上描述仅为本公开的一些较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本公开的实施例中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开的实施例中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (9)
1.一种工业网络未知威胁检测方法,包括:
获取目标数据包;
根据所述目标数据包的通讯协议,对所述目标数据包进行解析,得到解析结果;
根据所述解析结果对所述目标数据包进行重组还原,得到所述目标数据包对应的原始文件;
对所述原始文件进行威胁检测,得到威胁检测结果。
2.根据权利要求1所述的方法,其中,所述对所述原始文件进行威胁检测,得到威胁检测结果,包括:
响应于确定所述目标数据包的通讯协议格式为常规通讯协议,通过多维特征码检测模式对所述原始文件的文件编译向量、API调用向量以及文件特征值进行恶意文件知识库匹配,得到威胁检测结果。
3.根据权利要求2所述的方法,所述方法还包括:
在虚拟化仿真环境中动态执行所述原始文件,根据所述原始文件在所述虚拟化仿真环境中的运行报告确定所述原始文件威胁检测结果。
4.根据权利要求1所述的方法,其中,所述对所述原始文件进行威胁检测,得到威胁检测结果,包括:
响应于确定所述目标数据包的通讯协议格式为工业通讯协议,对所述原始文件进行自动化逆向,得到所述原始文件的文件头、文件尾和文件校验和;
通过工业嵌入式多维特征码检测模式对所述原始文件的文件头、文件尾、文件校验和、文件编译向量、系统接口调用向量以及文件特征值进行恶意文件知识库匹配,得到威胁检测结果。
5.根据权利要求4所述的方法,其中,所述方法还包括:
在vxworks嵌入式实时系统虚拟化仿真环境和soft-PLC嵌入式仿真工控运行平台虚拟化环境中利用触发嵌入式设备运行所述原始文件,根据所述原始文件在所述虚拟化仿真环境中的运行报告确定所述原始文件威胁检测结果。
6.根据权利要求1所述的方法,其中,所述方法还包括:
响应于确定所述原始文件的威胁检测结果满足预设条件,抽取所述原始文件的文件特征、行为特征以及元数据通讯特征;
对所述原始文件的文件特征、行为特征以及元数据通讯特征进行数据清洗以及格式转换,得到规约数据;
利用所述规约数据从威胁情报库中确定所述规约数据的关联数据,以及将所述关联数据的历史威胁源头以及历史影响确定为所述原始文件的威胁源头以及影响。
7.一种用于威胁检测结果确定的装置,包括:
获取单元,被配置成获取目标数据包;
解析单元,被配置成根据所述目标数据包的通讯协议,对所述目标数据包进行解析,得到解析结果;
还原单元,被配置成根据所述解析结果对所述目标数据包进行重组还原,得到所述目标数据包对应的原始文件;
检测单元,被配置成对所述原始文件进行威胁检测,得到威胁检测结果。
8.一种电子设备,包括:
一个或多个处理器;
存储装置,其上存储有一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-6中任一所述的方法。
9.一种计算机可读介质,其上存储有计算机程序,其中,所述程序被处理器执行时实现如权利要求1-6中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311615893.6A CN117749429A (zh) | 2023-11-29 | 2023-11-29 | 一种工业网络未知威胁检测方法、装置、设备和介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311615893.6A CN117749429A (zh) | 2023-11-29 | 2023-11-29 | 一种工业网络未知威胁检测方法、装置、设备和介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117749429A true CN117749429A (zh) | 2024-03-22 |
Family
ID=90257045
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311615893.6A Pending CN117749429A (zh) | 2023-11-29 | 2023-11-29 | 一种工业网络未知威胁检测方法、装置、设备和介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117749429A (zh) |
-
2023
- 2023-11-29 CN CN202311615893.6A patent/CN117749429A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107729352B (zh) | 页面资源加载方法及终端设备 | |
| US10255370B2 (en) | Automated compliance checking through analysis of cloud infrastructure templates | |
| US9584541B1 (en) | Cyber threat identification and analytics apparatuses, methods and systems | |
| US8805995B1 (en) | Capturing data relating to a threat | |
| CN111131320B (zh) | 资产识别方法、装置、系统和介质 | |
| CN107562426B (zh) | 无埋点式云端收集分析浏览器Trace的方法及系统 | |
| CN111930709B (zh) | 数据存储方法、装置、电子设备和计算机可读介质 | |
| CN110545277B (zh) | 应用于安全系统的风险处理方法、装置、计算设备、介质 | |
| CN111371778A (zh) | 攻击团伙的识别方法、装置、计算设备以及介质 | |
| CN114726633B (zh) | 流量数据处理方法及装置、存储介质及电子设备 | |
| CN110443044B (zh) | 区块链客户端漏洞挖掘方法、装置、设备及存储介质 | |
| CN111666218A (zh) | 代码审计方法、装置、电子设备及介质 | |
| Shen et al. | An experiment study on federated learning testbed | |
| CN117978516A (zh) | 告警数据处理方法、装置、介质及电子设备 | |
| CN109474567B (zh) | Ddos攻击溯源方法、装置、存储介质及电子设备 | |
| CN116708178A (zh) | 网络设备变更历史的回溯方法、装置、设备、介质及产品 | |
| CN117749429A (zh) | 一种工业网络未知威胁检测方法、装置、设备和介质 | |
| US11556649B2 (en) | Methods and apparatus to facilitate malware detection using compressed data | |
| CN111181982B (zh) | 异常数据的识别方法、装置、计算设备以及介质 | |
| CN111371745B (zh) | 用于确定ssrf漏洞的方法和装置 | |
| CN114826707B (zh) | 处理用户威胁的方法、装置、电子设备和计算机可读介质 | |
| CN117424764B (zh) | 系统资源访问请求信息处理方法、装置、电子设备和介质 | |
| Paráda et al. | Possible Scenario for Malware Exploit Investigation with Data-Driven Architecture | |
| CN118740430A (zh) | 网络安全信息传输方法、装置、设备和介质 | |
| CN114416668B (zh) | 一种pkg诱饵文件生成方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |