CN117811783A - 一种基于内生安全的工业控制网络动态防御方法及系统 - Google Patents

一种基于内生安全的工业控制网络动态防御方法及系统 Download PDF

Info

Publication number
CN117811783A
CN117811783A CN202311789891.9A CN202311789891A CN117811783A CN 117811783 A CN117811783 A CN 117811783A CN 202311789891 A CN202311789891 A CN 202311789891A CN 117811783 A CN117811783 A CN 117811783A
Authority
CN
China
Prior art keywords
coefficient
anomaly
user
environment
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311789891.9A
Other languages
English (en)
Inventor
王圣达
刘丹妮
窦增
武迪
杨宇
强晟
祁晗
陈鹤
史春辉
姜秀红
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jilin Jineng Electric Power Communication Co ltd
Information and Telecommunication Branch of State Grid Jilin Electric Power Co Ltd
Original Assignee
Jilin Jineng Electric Power Communication Co ltd
Information and Telecommunication Branch of State Grid Jilin Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jilin Jineng Electric Power Communication Co ltd, Information and Telecommunication Branch of State Grid Jilin Electric Power Co Ltd filed Critical Jilin Jineng Electric Power Communication Co ltd
Priority to CN202311789891.9A priority Critical patent/CN117811783A/zh
Publication of CN117811783A publication Critical patent/CN117811783A/zh
Pending legal-status Critical Current

Links

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于内生安全的工业控制网络动态防御方法及系统,涉及网络安全技术领域,该系统通过引入内生安全理念,系统不仅在硬件、用户和环境方面建立了自我保护机制,还通过深度学习用户异常行为,制定访问权限和优先级规则,从而提升了系统的自适应性,系统能够更好地适应不同的威胁情境,有效应对复杂多变的网络攻击,为工业控制系统提供了更强大的内在安全保障,系统不仅在硬件、用户和环境方面建立了自我保护机制,还通过深度学习用户异常行为,制定访问权限和优先级规则,从而提升了系统的自适应性,系统能够更好地适应不同的威胁情境,为工业控制系统提供了更强大的内在安全保障。

Description

一种基于内生安全的工业控制网络动态防御方法及系统
技术领域
本发明涉及网络安全领域,具体为一种基于内生安全的工业控制网络动态防御方法及系统。
背景技术
工业控制网络在现代制造业中扮演着至关重要的角色,它涵盖了诸如生产设备、传感器和执行器关键组件,形成了制造业工业控制系统。随着工业互联网的发展,这些网络变得更加复杂和智能化,但与之相伴而来的是对网络安全的不断威胁,在这一大的领域中,内生安全成为一种备受关注的方法,内生安全强调的是系统的自我保护能力,这种方法不仅仅关注外部威胁的拦截,更注重系统内部的异常检测和自我修复,在制造业工业控制系统中,这一理念得以体现。
现阶段许多传统的工业控制网络安全方案存在一些局限性,对于异常行为的检测和防御通常是基于静态规则和模式匹配的,缺乏对动态变化的适应性,其次,针对不同类型的异常包括流量异常、环境异常、用户异常和硬件异常,的综合分析和联动防御机制较为薄弱,最后,现有的系统往往忽视了对制造业工业控制系统内部硬件、用户和环境的综合安全管理。
发明内容
(一)解决的技术问题
针对现有技术的不足,本发明提供了一种基于内生安全的工业控制网络动态防御方法及系统,解决了背景技术中提到的问题。
技术方案
为实现以上目的,本发明通过以下技术方案予以实现:包括监测模块、数据处理模块、异常分析模块、内生安全模块、异常评估模块和响应模块;
在制造业工业控制系统中,安装若干个监测工具和脚本,由监测模块对制造业工业控制综合系统环境异常数据、用户异常数据和硬件异常数据进行监测,并由数据处理模块对综合系统环境异常数据、用户异常数据和硬件异常数据进行预处理;
所述异常分析模块包括第一分析单元、第二分析单元、第三分析单元和第四相关分析单元,所述第一分析单元用于依据综合系统环境异常数据,提取流量异常数据集,分析计算获取到流量异常系数Llxs,并从综合系统环境异常数据中提取环境异常数据集,分析计算获取到环境异常系数Hjxs;并由第二分析单元从所述用户异常数据中,提取当前制造业工业控制系统中的用户访问数据集,计算获得用户访问系数Fwxs;再由第三分析单元依据硬件异常数据,提取硬件异常数据集,进行计算分析获取到硬件异常系数Yjxs;并由第四相关分析单元将流量异常系数Llxs和环境异常系数Hjxs进行无量纲处理后汇总,获取综合系统环境异常系数Ycxs,并将硬件异常系数Yjxs、综合异常系数Ycxs和用户访问系数Fwxs进行无量纲后相关联,获得综合监测系数Zhxs;
所述综合系统环境异常系数Ycxs、硬件异常系数Yjxs和用户访问系数Fwxs分别通过以下公式获取:
Yjxs=[(Wd*b1)+(Dl*b2)+(Bd*b3)+(Lj*b4)+(Wl*b5)]+B;
式中,a1表示流量异常系数Llxs的比例系数,a2表示环境异常系数Hjxs的比例系数,其中,a1+a2≠1,0.01<a1<0.87,0<a2<0.98,其具体值由用户调整设置,A为第一修正常数;
Wd表示Cpu温度,Dl表示电源电流值,Bd表示电源波动率,Lj表示Usb设备连接数量,Wl表示网络设备连接数量,b1、b2、b3、b4和B5分别为Cpu温度Wd、电源电流值Dl、电源波动率Bd、Usb设备连接数量Lj和网络设备连接数量Wl,的比例系数,且,0<b1<1,0<b2<1,0<b3<1,0<b4<1,0<b5<1,其具体值由用户调整设置,B为第二修正常数;
Fdz表示IP地址访问频率,Fxz表示访问下载字节,Fsl表示访问上传字节,Fpl表示数据访问频率,Fsc表示访问试错次数;
由内生安全模块对制造业工业控制系统,中的硬件状态、用户访问和系统异常,设置二次递进式授权,并设置分析异常行为和学习模式,并做出适应性的决策;
由异常评估模块设置异常评估阈值Q,将综合监测系数Zhxs与异常评估阈值Q进行对比评估,获得评估结果,并由响应模块根据评估结果生成响应机制,对评估结果进行处理。
优选的,所述监测模块包括第一监测单元、第二监测单元和第三监测单元;
所述第一监测单元用于采用第一集成脚本工具组和第二集成脚本工具组,对制造业工业控制系统中的,系统流量使用和系统环境进行检测,获得综合系统环境异常数据;
所述第一集成脚本工具组包括Wireshark、Traceroute、iperf、Nmap和netstat;
所述第二集成脚本工具组包括性能监视器、Nagios和任务管理器;
所述第二监测单元用于采用第三集成脚本工具组,对制造业工业控制系统中的用户访问信息进行采集,获取用户异常数据;
所述第三集成脚本工具组包括AWStats、Kibana、Fail2Ban和操作者日志记录工具;
所述第三监测单元用于采用第四集成脚本工具组,对制造业工业控制系统的硬件特征进行检测,获取硬件异常数据;
所述第四集成脚本工具组包括HWMonitor、PowerShell、网络协、USBView和议分析工具。
优选的,所述数据处理模块包括第一处理单元、第二处理单元和第三处理单元;
所述第一处理单元用于对第一监测单元所监测到的综合系统环境异常数据进行原始数据整合,将所检测到的综合系统环境异常数据重新整合处理,获得流量异常数据集和环境异常数据集,所述流量异常数据集包括传输速率Lcs、延迟率Lyc、上行速度Lsx、下行速度Lxx、端口扫描次数Ldk和网络连接次数Ljc;所述环境异常数据集包括系统利用率Xly、进程占用量Xjc、线程占用量Xxc、句柄值Xjb和分页缓冲池含量Xfy;
所述第二处理单元用于对第二监测单元所监测到的用户异常数据进行整合处理,获取用户异常数据集,所述用户异常数据集包括IP地址访问频率Fdz、访问下载字节Fxz,访问上传字节Fsl,数据访问频率Fpl和访问试错次数Fsc;
所述第三处理单元用于对第三监测单元所监测到的硬件异常数据进行整合处理,获取硬件异常数据集,所述硬件异常数据集包括Cpu温度Wd、电源电流值Dl、电源波动率Bd、Usb设备连接数量Lj和网络设备连接数量Wl。
优选的,所述第一分析单元包括流量异常分析单元和环境异常分析单元;
所述流量异常分析单元用于依据所述综合系统环境异常数据中的流量异常数据集,进行无量纲处理后,汇总计算获得流量异常系数Llxs;
所述流量异常系数Llxs通过以下公式获取:
优选的,所述环境异常分析单元用于依据所述综合系统环境异常数据中的环境异常数据集,进行无量纲处理后,汇总计算获得环境异常系数Hjxs;
所述环境异常系数Hjxs通过以下公式获取:
优选的,第四相关分析单元用于依据第一分析单元、第二分析单元和第三分析单元,将所获取的综合系统环境异常系数Ycxs、硬件异常系数Yjxs和用户访问系数Fwxs,无量纲处理后,进行相关联计算综合监测系数Zhxs;
所述综合监测系数Zhxs通过以下公式获取:
式中,c1、c2和c3分别表示综合系统环境异常系数Ycxs、硬件异常系数Yjxs和用户访问系数Fwxs的比例系数,其中,0<c1<1,0<c2<1,0<c3<1,其具体值由用户调整设置,C为第三修正常数。
优选的,所述内生安全模块包括设置访问权限单元和优先级限制单元;
所述设置访问权限单元通过深度学习用户异常行为,不断进行迭代分析,制定用户访问机制,并通过深度学习制造业工业控制系统访问目标文件,进行限制用户访问文件权限,所述制造业工业控制系统访问目标文件包括PLC程序文件、HMI项目文件、CAD文件、设备配置文件、数据日志文件和固件文件,具体访问限权设置如下;
通过RBAC系统将用户访问权限分为一级用户、二级用户和三级用户;
一级用户:拥有只读HMI项目文件和CAD文件权限,禁止对访问目标文件进行修改、删除和下载;
二级用户:拥有只读所有制造业工业控制系统访问目标文件权限,禁止对访问目标文件进行修改、删除和下载;
三级用户:拥有对所有制造业工业控制系统访问目标文件,进行阅览、访问、修改、删除和下载权限;
所述优先级限制单元通过内生安全,对制造业工业控制系统中的硬件监测、系统环境检测和用户访问检测,进行优先级规则定为硬件监测>用户访问监测>系统环境监测,若上一级监测存在异常,将禁止进入下一级。
优选的,通过内生安全模块进行初步防御后,启动异常评估模块通过预设异常评估阈值Q,对综合系统环境异常系数Ycxs、硬件异常系数Yjxs和用户访问系数Fwxs汇总或获取的综合监测系数Zhxs,进行对比评估,具体评估结果如下;
当综合监测系数Zhxs≥异常评估阈值Q时,表示制造业工业控制系统存在异常,则生第一评估结果;
当综合监测系数Zhxs<异常评估阈值Q时,表示制造业工业控制系统正常,无需生成评估结果。
优选的,所述异常评估模块将所生成的第一评估结果,发送至响应模块,由响应模块对所获取的第一评估结果进行分析,并根据分析结果生成响应机制,对异常区域进行处理,具体处理方案如下;
当响应模块接收到第一评估结果时,启动第一响应预案,系统通过自动启动蜜罐来追踪入侵者,收集有关攻击者行为和技术的信息,然后再次回流至监测模块对制造业工业控制系统进行监测,并通过动态防御系统自动隔离受感染的系统和设备,同时自动切断一切USB连接口和网络端口,并将生成预警报告,通知相关的安全团队或管理员。
一种基于内生安全的工业控制网络动态防御方法,包括以下步骤:
S1、首先通过监测模块在制造业工业控制系统中安装若干个监测工具和脚本,对综合系统环境异常数据、用户异常数据和硬件异常数据进行监测;
S2、通过数据处理模块对所检测到的原始数据进行重新整合处理,获得流量异常数据集、环境异常数据集、用户异常数据集和硬件异常数据集,并将这些数据发送至异常分析模块进行分析计算;
S3、异常分析模块流量异常数据集、环境异常数据集、用户异常数据集和硬件异常数据集进行分析计算分别获得流量异常系数Llxs、环境异常系数Hjxs、用户访问系数Fwxs和硬件异常系数Yjxs,然后再将流量异常系数Llxs和环境异常系数Hjxs进行汇总,获取综合系统环境异常系数Ycxs,并将硬件异常系数Yjxs、综合异常系数Ycxs和用户访问系数Fwxs进行无量纲后相关联,获得综合监测系数Zhxs;
S4、通过内生安全模块深度学习用户异常行为,制定用户访问机制,对访问用户进行权限设置,获取制造业工业控制系统访问目标文件相应权限,并制定优先级规则,进行初步防御;
S5、通过异常评估模块预设异常评估阈值Q,与综合监测系数Zhxs进行对比评估,获得评估结果并由响应模块根据评估结果生成响应机制,对评估结果进行处理。
有益效果
本发明提供了一种基于内生安全的工业控制网络动态防御方法及系统。具备以下有益效果:
(1)通过引入内生安全理念,系统不仅在硬件、用户和环境方面建立了自我保护机制,还通过深度学习用户异常行为,制定访问权限和优先级规则,从而提升了系统的自适应性。这意味着系统能够更好地适应不同的威胁情境,有效应对复杂多变的网络攻击,为工业控制系统提供了更强大的内在安全保障。
(2)通过引入内生安全理念,系统不仅在硬件、用户和环境方面建立了自我保护机制,还通过深度学习用户异常行为,制定访问权限和优先级规则,从而提升了系统的自适应性。这意味着系统能够更好地适应不同的威胁情境,有效应对复杂多变的网络攻击,为工业控制系统提供了更强大的内在安全保障。
(3)该系统的优化不仅在于提高了网络安全性,更在于降低了对人工干预的依赖。通过内生安全的学习和适应性决策,系统能够在检测到异常情况时自动进行相应的处理,包括启动蜜罐、隔离受感染的系统和设备、切断USB和网络连接等。这减轻了安全团队或管理员的负担,使系统能够更迅速、更有效地应对潜在的威胁,提高了整体的响应速度。
附图说明
图1为本发明一种基于内生安全的工业控制网络动态防御系统流程示意图;
图2为本发明一种基于内生安全的工业控制网络动态防御方法步骤示意图。
图中:1、监测模块;2、数据处理模块;3、异常分析模块;4、内生安全模块;5、异常评估模块;6、响应模块;11、第一监测单元;12、第二监测单元;13、第三监测单元;21、第一处理单元;22、第二处理单元;23、第三处理单元;31、第一分析单元;32、第二分析单元;33、第三分析单元;34、第四相关分析单元;311、流量异常分析单元;312、环境异常分析单元;41、设置访问权限单元;42、优先级限制单元。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
请参阅图1,本发明提供一种基于内生安全的工业控制网络动态防御系统,为实现以上目的,本发明通过以下技术方案予以实现:包括监测模块1、数据处理模块2、异常分析模块3、内生安全模块4、异常评估模块5和响应模块6;
在制造业工业控制系统中,安装若干个监测工具和脚本,由监测模块1对制造业工业控制综合系统环境异常数据、用户异常数据和硬件异常数据进行监测,并由数据处理模块2对综合系统环境异常数据、用户异常数据和硬件异常数据进行预处理;
异常分析模块3包括第一分析单元31、第二分析单元32、第三分析单元33和第四相关分析单元34,第一分析单元31用于依据综合系统环境异常数据,提取流量异常数据集,分析计算获取到流量异常系数Llxs,并从综合系统环境异常数据中提取环境异常数据集,分析计算获取到环境异常系数Hjxs;并由第二分析单元32从用户异常数据中,提取当前制造业工业控制系统中的用户访问数据集,计算获得用户访问系数Fwxs;再由第三分析单元33依据硬件异常数据,提取硬件异常数据集,进行计算分析获取到硬件异常系数Yjxs;并由第四相关分析单元34将流量异常系数Llxs和环境异常系数Hjxs进行无量纲处理后汇总,获取综合系统环境异常系数Ycxs,并将硬件异常系数Yjxs、综合异常系数Ycxs和用户访问系数Fwxs进行无量纲后相关联,获得综合监测系数Zhxs;
综合系统环境异常系数Ycxs、硬件异常系数Yjxs和用户访问系数Fwxs分别通过以下公式获取:
Yjxs=[(Wd*b1)+(Dl*b2)+(Bd*b3)+(Lj*b4)+(Wl*b5)]+B;
式中,a1表示流量异常系数Llxs的比例系数,a2表示环境异常系数Hjxs的比例系数,其中,a1+a2≠1,0.01<a1<0.87,0<a2<0.98,其具体值由用户调整设置,A为第一修正常数;
Wd表示Cpu温度,Dl表示电源电流值,Bd表示电源波动率,Lj表示Usb设备连接数量,Wl表示网络设备连接数量,b1、b2、b3、b4和B5分别为Cpu温度Wd、电源电流值Dl、电源波动率Bd、Usb设备连接数量Lj和网络设备连接数量Wl,的比例系数,且,0<b1<1,0<b2<1,0<b3<1,0<b4<1,0<b5<1,其具体值由用户调整设置,B为第二修正常数;
Fdz表示IP地址访问频率,Fxz表示访问下载字节,Fsl表示访问上传字节,Fpl表示数据访问频率,Fsc表示访问试错次数;
由内生安全模块4对制造业工业控制系统,中的硬件状态、用户访问和系统异常,设置二次递进式授权,并设置分析异常行为和学习模式,并做出适应性的决策;
由异常评估模块5设置异常评估阈值Q,将综合监测系数Zhxs与异常评估阈值Q进行对比评估,获得评估结果,并由响应模块6根据评估结果生成响应机制,对评估结果进行处理。
本实施例中,通过监测多方面的异常数据,包括环境、用户、硬件等,系统能够全面感知潜在的威胁,内生安全模块的二次递进式授权和自适应决策机制使系统具备了更高层次的自我保护和适应性,系统能够动态调整授权级别,更灵活地适应不同的威胁情境,提高了整体系统的自适应性,系统设置了异常评估阈值,通过对综合监测系数的评估实现了动态响应,这确保了系统对异常情况的快速响应,并通过响应模块生成相应的措施,同时,设置异常评估阈值降低了误报的可能性,提高了异常评估的准确性,系统通过内生安全模块的自适应决策和动态响应机制,减轻了对人工干预的依赖,系统能够在检测到异常情况时自动进行处理,改善整体的响应速度和对人工操作的需求。
实施例2
本实施例是在实施例1中进行的解释说明,请参照图1,具体的:监测模块1包括第一监测单元11、第二监测单元12和第三监测单元13;
第一监测单元11用于采用第一集成脚本工具组和第二集成脚本工具组,对制造业工业控制系统中的,系统流量使用和系统环境进行检测,获得综合系统环境异常数据;
第一集成脚本工具组包括Wireshark、Traceroute、iperf、Nmap和netstat;
第二集成脚本工具组包括性能监视器、Nagios和任务管理器;
第二监测单元12用于采用第三集成脚本工具组,对制造业工业控制系统中的用户访问信息进行采集,获取用户异常数据;
第三集成脚本工具组包括AWStats、Kibana、Fail2Ban和操作者日志记录工具;
第三监测单元13用于采用第四集成脚本工具组,对制造业工业控制系统的硬件特征进行检测,获取硬件异常数据;
第四集成脚本工具组包括HWMonitor、PowerShell、网络协、USBView和议分析工具。
本实施例中,通过第一监测单元11、第二监测单元12和第三监测单元13,系统采用了多层次的监测手段,分别涵盖了系统流量使用和系统环境、用户访问信息以及硬件特征。这样的设计使得系统能够全面感知制造业工业控制系统的各个方面,提高了对潜在威胁的感知能力;
其中,第一集成脚本工具组通过Wireshark检测传输速率Lcs,通过Traceroute检测延迟率Lyc,通过iperf上行速度Lsx和下行速度Lxx,通过Nmap检测端口扫描次数Ldk,通过netstat检测网络连接次数Ljc;
第二集成脚本工具组通过性能监视器检测系统利用率Xly,通过Nagios检测进程占用量Xjc和线程占用量Xxc,通过任务管理器检测分页缓冲池含量Xfy;
第三集成脚本工具组通过AWStats检测IP地址访问频率Fdz,通过Kibana检测访问下载字节Fxz和访问上传字节Fsl,通过Fail2Ban检测访问试错次数Fsc,通过操作者日志记录工具检测数据访问频率Fpl;
第四集成脚本工具组通过HWMonitor检测温度Wd,通过PowerShell检测电源电流值Dl和电源波动率Bd,通过USBView检测Usb设备连接数量Lj,通过网络议分析工具检测网络设备连接数量Wl。
实施例3
本实施例是在实施例1中进行的解释说明,请参照图1,具体的:数据处理模块2包括第一处理单元21、第二处理单元22和第三处理单元23;
第一处理单元21用于对第一监测单元11所监测到的综合系统环境异常数据进行原始数据整合,将所检测到的综合系统环境异常数据重新整合处理,获得流量异常数据集和环境异常数据集,流量异常数据集包括传输速率Lcs、延迟率Lyc、上行速度Lsx、下行速度Lxx、端口扫描次数Ldk和网络连接次数Ljc;环境异常数据集包括系统利用率Xly、进程占用量Xjc、线程占用量Xxc、句柄值Xjb和分页缓冲池含量Xfy;
第二处理单元22用于对第二监测单元12所监测到的用户异常数据进行整合处理,获取用户异常数据集,用户异常数据集包括IP地址访问频率Fdz、访问下载字节Fxz,访问上传字节Fsl、数据访问频率Fpl和访问试错次数Fsc;
第三处理单元23用于对第三监测单元13所监测到的硬件异常数据进行整合处理,获取硬件异常数据集,硬件异常数据集包括Cpu温度Wd、电源电流值Dl、电源波动率Bd、Usb设备连接数量Lj和网络设备连接数量Wl。
本实施例中,在对流量异常中的传输速率Lcs、延迟率Lyc、上行速度Lsx和下行速度Lxx进行检测是为了检测该制造业工业控制系统是否存在流量异常行为,若存在异常行为可能存在入侵的风险,对端口扫描次数Ldk的分析,是因为端口扫描是一种常见的网络攻击方式,攻击者通过扫描目标系统的开放端口来寻找潜在的攻击入口,异常的端口扫描次数Ld可能表明网络受到恶意扫描,需要及时采取防御措施,异常的网络连接次数Ljc可能表明存在异常的网络活动,如大量的连接请求,可能是攻击行为的迹象,在对环境异常检测中,系统在遭受攻击时,其系统环境的系统利用率Xly、进程占用量Xjc、线程占用量Xxc和分页缓冲池含量Xfy会被恶意占用,导致系统崩溃,产生漏洞,其中异常的句柄值Xjb可能表示系统资源泄漏或者是一种潜在的攻击迹象,攻击者可能试图通过滥用句柄来影响系统的稳定性,对于异常的行为,还有硬件异常现象和用户访问异常现象,通过对这些数据的分析,系统可以进行全面的异常检测,通过监测系统环境、用户行为和硬件状态,有助于及早发现潜在问题,提高系统的稳定性和安全性。
实施例4
本实施例是在实施例1中进行的解释说明,请参照图1,具体的:第一分析单元31包括流量异常分析单元311和环境异常分析单元312;
流量异常分析单元311用于依据综合系统环境异常数据中的流量异常数据集,进行无量纲处理后,汇总计算获得流量异常系数Llxs;
流量异常系数Llxs通过以下公式获取:
本实施例中,第一分析单元31的流量异常分析单元311通过无量纲处理和综合分析,提供了有益的流量异常系数Llxs,有助于系统监测和决策支持。
实施例5
本实施例是在实施例4中进行的解释说明,请参照图1,具体的:环境异常分析单元312用于依据综合系统环境异常数据中的环境异常数据集,进行无量纲处理后,汇总计算获得环境异常系数Hjxs;
环境异常系数Hjxs通过以下公式获取:
本实施例中,环境异常分析单元312通过无量纲处理和综合分析,提供了有益的环境异常系数Hjxs,有助于系统监测和决策支持,这种方法可以帮助管理人员更全面地了解系统的健康状况,并及时采取行动以维护系统的稳定性和可靠性。
实施例6
本实施例是在实施例1中进行的解释说明,请参照图1,具体的:第四相关分析单元34用于依据第一分析单元31、第二分析单元32和第三分析单元33,将所获取的综合系统环境异常系数Ycxs、硬件异常系数Yjxs和用户访问系数Fwxs,无量纲处理后,进行相关联计算综合监测系数Zhxs;
综合监测系数Zhxs通过以下公式获取:
式中,c1、c2和c3分别表示综合系统环境异常系数Ycxs、硬件异常系数Yjxs和用户访问系数Fwxs的比例系数,其中,0<c1<1,0<c2<1,0<c3<1,其具体值由用户调整设置,C为第三修正常数。
本实施例中,第四相关分析单元34通过综合不同来源的异常系数,考虑用户设定的权重和修正项,提供了一个全面的综合监测系数Zhxs,有助于系统的综合健康评估和问题预测。
实施例7
本实施例是在实施例1中进行的解释说明,请参照图1,具体的:内生安全模块4包括设置访问权限单元41和优先级限制单元42;
设置访问权限单元41通过深度学习用户异常行为,不断进行迭代分析,制定用户访问机制,并通过深度学习制造业工业控制系统访问目标文件,进行限制用户访问文件权限,制造业工业控制系统访问目标文件包括PLC程序文件、HMI项目文件、CAD文件、设备配置文件、数据日志文件和固件文件,具体访问限权设置如下;
通过RBAC系统将用户访问权限分为一级用户、二级用户和三级用户;
一级用户:拥有只读HMI项目文件和CAD文件权限,禁止对访问目标文件进行修改、删除和下载;
二级用户:拥有只读所有制造业工业控制系统访问目标文件权限,禁止对访问目标文件进行修改、删除和下载;
三级用户:拥有对所有制造业工业控制系统访问目标文件,进行阅览、访问、修改、删除和下载权限;
优先级限制单元42通过内生安全,对制造业工业控制系统中的硬件监测、系统环境检测和用户访问检测,进行优先级规则定为硬件监测>用户访问监测>系统环境监测,若上一级监测存在异常,将禁止进入下一级。
本实施例中,设置访问权限单元41通过深度学习实时监测用户在制造业工业控制系统中的访问行为,并通过RBAC系统将访问用户一级用户、二级用户和三级用户分别拥有不同级别的文件访问权限,从只读到可读可写,限制了对目标文件的操作,优先级限制单元42通过内生安全规则制定硬件监测、用户访问监测和系统环境监测的优先级,当系统检测到任何异常时,通过设定的优先级规则,系统优先关注硬件监测,其次是用户访问监测,最后是系统环境监测,层级异常禁止策略确保在异常发生时,系统能够迅速响应,阻止潜在风险传播。
实施例8
本实施例是在实施例7中进行的解释说明,请参照图1,具体的:通过内生安全模块4进行初步防御后,启动异常评估模块5通过预设异常评估阈值Q,对综合系统环境异常系数Ycxs、硬件异常系数Yjxs和用户访问系数Fwxs汇总后获取的综合监测系数Zhxs,进行对比评估,具体评估结果如下;
当综合监测系数Zhxs≥异常评估阈值Q时,表示制造业工业控制系统存在异常,则生第一评估结果;
当综合监测系数Zhxs<异常评估阈值Q时,表示制造业工业控制系统正常,无需生成评估结果。
本实施例中,通过内生安全模块4的初步防御和异常评估模块5的对比评估,系统能够在发现异常时及时生成评估结果,帮助系统管理员快速采取适当的措施,提高了制造业工业控制系统的安全性和稳定性。
实施例9
本实施例是在实施例8中进行的解释说明,请参照图1,具体的:异常评估模块5将所生成的第一评估结果,发送至响应模块6,由响应模块6对所获取的第一评估结果进行分析,并根据分析结果生成响应机制,对异常区域进行处理,具体处理方案如下;
当响应模块6接收到第一评估结果时,启动第一响应预案,系统通过自动启动蜜罐来追踪入侵者,收集有关攻击者行为和技术的信息,然后再次回流至监测模块1对制造业工业控制系统进行监测,并通过动态防御系统自动隔离受感染的系统和设备,同时自动切断一切USB连接口和网络端口,并将生成预警报告,通知相关的安全团队或管理员。
本实施例中,该系统通过协同多个模块,结合深度学习、蜜罐技术、动态防御系统等先进技术,为制造业工业控制系统提供全面安全防护和实时响应,有效提高了系统整体的安全性和稳定性。
实施例10
请参阅图2,一种基于内生安全的工业控制网络动态防御方法,包括以下步骤:
S1、首先通过监测模块1在制造业工业控制系统中安装若干个监测工具和脚本,对综合系统环境异常数据、用户异常数据和硬件异常数据进行监测;
S2、通过数据处理模块2对所检测到的原始数据进行重新整合处理,获得流量异常数据集、环境异常数据集、用户异常数据集和硬件异常数据集,并将这些数据发送至异常分析模块3进行分析计算;
S3、异常分析模块3流量异常数据集、环境异常数据集、用户异常数据集和硬件异常数据集进行分析计算分别获得流量异常系数Llxs、环境异常系数Hjxs、用户访问系数Fwxs和硬件异常系数Yjxs,然后再将流量异常系数Llxs和环境异常系数Hjxs进行汇总,获取综合系统环境异常系数Ycxs,并将硬件异常系数Yjxs、综合异常系数Ycxs和用户访问系数Fwxs进行无量纲后相关联,获得综合监测系数Zhxs;
S4、通过内生安全模块4深度学习用户异常行为,制定用户访问机制,对访问用户进行权限设置,获取制造业工业控制系统访问目标文件相应权限,并制定优先级规则,进行初步防御;
S5、通过异常评估模块5预设异常评估阈值Q,与综合监测系数Zhxs进行对比评估,获得评估结果并由响应模块6根据评估结果生成响应机制,对评估结果进行处理。
具体示例:一个某某制造业公司,该某某制造业公司引入了一种基于内生安全的工业控制网络动态防御方法及系统,以下是该某某制造业公司的示例。
综合系统环境异常系数Ycxs:
比例系数:a1=0.02,a2=0.14,第一修正常数A:0.07;
硬件异常系数Yjxs:
Yjxs=[(14*0.12)+(12*0.11)+(13*0.07)+(5*0.1)+(6*0.04)]+0.29=5.5;
Cpu温度Wd:14,电源电流值Dl:12,电源波动率Bd:13,Usb设备连接数量Lj:5,网络设备连接数量Wl:6,比例系数:b1=0.12,b2=0.11,b3=0.07,b4=0.1,b5=0.04,第二修正常数B:0.12;
流量异常系数Llxs:
传输速率Lcs:8,延迟率Lyc:4,上行速度Lsx:2,下行速度Lxx:6,端口扫描次数Ldk:18,网络连接次数Ljc:12;
综合监测系数Zhxs:
比例系数:c1=0.31,c2=0.03,c3=0.08,第三修正常数C:0.13;
环境异常系数Hjxs:
系统利用率Xly:3,进程占用量Xjc:9,线程占用量Xxc:7,句柄值Xjb:12,分页缓冲池含量Xfy:16;
IP地址访问频率Fdz:12,访问下载字节Fxz:31,访问上传字节Fsl:32,数据访问频率Fpl:7,访问试错次数Fsc:3,
其中,计算结果均取小数点后两位;
此时将异常评估阈值Q设置为1,此时综合监测系数Zhxs≥异常评估阈值Q,表示制造业工业控制系统存在异常,则生第一评估结果,响应模块6启动第一响应预案。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。

Claims (10)

1.一种基于内生安全的工业控制网络动态防御系统,其特征在于:包括监测模块(1)、数据处理模块(2)、异常分析模块(3)、内生安全模块(4)、异常评估模块(5)和响应模块(6);
在制造业工业控制系统中,安装若干个监测工具和脚本,由监测模块(1)对制造业工业控制综合系统环境异常数据、用户异常数据和硬件异常数据进行监测,并由数据处理模块(2)对综合系统环境异常数据、用户异常数据和硬件异常数据进行预处理;
所述异常分析模块(3)包括第一分析单元(31)、第二分析单元(32)、第三分析单元(33)和第四相关分析单元(34),所述第一分析单元(31)用于依据综合系统环境异常数据,提取流量异常数据集,分析计算获取到流量异常系数Llxs,并从综合系统环境异常数据中提取环境异常数据集,分析计算获取到环境异常系数Hjxs;并由第二分析单元(32)从所述用户异常数据中,提取当前制造业工业控制系统中的用户访问数据集,计算获得用户访问系数Fwxs;再由第三分析单元(33)依据硬件异常数据,提取硬件异常数据集,进行计算分析获取到硬件异常系数Yjxs;并由第四相关分析单元(34)将流量异常系数Llxs和环境异常系数Hjxs进行无量纲处理后汇总,获取综合系统环境异常系数Ycxs,并将硬件异常系数Yjxs、综合异常系数Ycxs和用户访问系数Fwxs进行无量纲后相关联,获得综合监测系数Zhxs;
所述综合系统环境异常系数Ycxs、硬件异常系数Yjxs和用户访问系数Fwxs分别通过以下公式获取:
Yjxs=[(Wd*b1)+(Dl*b2)+(Bd*b3)+(Lj*b4)+(Wl*b5)]+B;
式中,a1表示流量异常系数Llxs的比例系数,a2表示环境异常系数Hjxs的比例系数,其中,a1+a2≠1,0.01<a1<0.87,0<a2<0.98,其具体值由用户调整设置,A为第一修正常数;
Wd表示Cpu温度,Dl表示电源电流值,Bd表示电源波动率,Lj表示Usb设备连接数量,Wl表示网络设备连接数量,b1、b2、b3、b4和B5分别为Cpu温度Wd、电源电流值Dl、电源波动率Bd、Usb设备连接数量Lj和网络设备连接数量Wl,的比例系数,且,0<b1<1,0<b2<1,0<b3<1,0<b4<1,0<b5<1,其具体值由用户调整设置,B为第二修正常数;
Fdz表示IP地址访问频率,Fxz表示访问下载字节,Fsl表示访问上传字节,Fpl表示数据访问频率,Fsc表示访问试错次数;
由内生安全模块(4)对制造业工业控制系统,中的硬件状态、用户访问和系统异常,设置二次递进式授权,并设置分析异常行为和学习模式,并做出适应性的决策;
由异常评估模块(5)设置异常评估阈值Q,将综合监测系数Zhxs与异常评估阈值Q进行对比评估,获得评估结果,并由响应模块(6)根据评估结果生成响应机制,对评估结果进行处理。
2.根据权利要求1所述的一种基于内生安全的工业控制网络动态防御系统,其特征在于:所述监测模块(1)包括第一监测单元(11)、第二监测单元(12)和第三监测单元(13);
所述第一监测单元(11)用于采用第一集成脚本工具组和第二集成脚本工具组,对制造业工业控制系统中的,系统流量使用和系统环境进行检测,获得综合系统环境异常数据;
所述第一集成脚本工具组包括Wireshark、Traceroute、iperf、Nmap和netstat;
所述第二集成脚本工具组包括性能监视器、Nagios和任务管理器;
所述第二监测单元(12)用于采用第三集成脚本工具组,对制造业工业控制系统中的用户访问信息进行采集,获取用户异常数据;
所述第三集成脚本工具组包括AWStats、Kibana、Fail2Ban和操作者日志记录工具;
所述第三监测单元(13)用于采用第四集成脚本工具组,对制造业工业控制系统的硬件特征进行检测,获取硬件异常数据;
所述第四集成脚本工具组包括HWMonitor、PowerShell、USBView和网络协议分析工具。
3.根据权利要求1所述的一种基于内生安全的工业控制网络动态防御系统,其特征在于:所述数据处理模块(2)包括第一处理单元(21)、第二处理单元(22)和第三处理单元(23);
所述第一处理单元(21)用于对第一监测单元(11)所监测到的综合系统环境异常数据进行原始数据整合,将所检测到的综合系统环境异常数据重新整合处理,获得流量异常数据集和环境异常数据集,所述流量异常数据集包括传输速率Lcs、延迟率Lyc、上行速度Lsx、下行速度Lxx、端口扫描次数Ldk和网络连接次数Ljc;所述环境异常数据集包括系统利用率Xly、进程占用量Xjc、线程占用量Xxc、句柄值Xjb和分页缓冲池含量Xfy;
所述第二处理单元(22)用于对第二监测单元(12)所监测到的用户异常数据进行整合处理,获取用户异常数据集,所述用户异常数据集包括IP地址访问频率Fdz、访问下载字节Fxz、访问上传字节Fsl、数据访问频率Fpl和访问试错次数Fsc;
所述第三处理单元(23)用于对第三监测单元(13)所监测到的硬件异常数据进行整合处理,获取硬件异常数据集,所述硬件异常数据集包括Cpu温度Wd、电源电流值Dl、电源波动率Bd、Usb设备连接数量Lj和网络设备连接数量Wl。
4.根据权利要求1所述的一种基于内生安全的工业控制网络动态防御系统,其特征在于:所述第一分析单元(31)包括流量异常分析单元(311)和环境异常分析单元(312);
所述流量异常分析单元(311)用于依据所述综合系统环境异常数据中的流量异常数据集,进行无量纲处理后,汇总计算获得流量异常系数Llxs;
所述流量异常系数Llxs通过以下公式获取:
5.根据权利要求4所述的一种基于内生安全的工业控制网络动态防御系统,其特征在于:所述环境异常分析单元(312)用于依据所述综合系统环境异常数据中的环境异常数据集,进行无量纲处理后,汇总计算获得环境异常系数Hjxs;
所述环境异常系数Hjxs通过以下公式获取:
6.根据权利要求1所述的一种基于内生安全的工业控制网络动态防御系统,其特征在于:第四相关分析单元(34)用于依据第一分析单元(31)、第二分析单元(32)和第三分析单元(33),将所获取的综合系统环境异常系数Ycxs、硬件异常系数Yjxs和用户访问系数Fwxs,无量纲处理后,进行相关联计算综合监测系数Zhxs;
所述综合监测系数Zhxs通过以下公式获取:
式中,c1、c2和c3分别表示综合系统环境异常系数Ycxs、硬件异常系数Yjxs和用户访问系数Fwxs的比例系数,其中,0<c1<1,0<c2<1,0<c3<1,其具体值由用户调整设置,C为第三修正常数。
7.根据权利要求6所述的一种基于内生安全的工业控制网络动态防御系统,其特征在于:所述内生安全模块(4)包括设置访问权限单元(41)和优先级限制单元(42);
所述设置访问权限单元(41)通过深度学习用户异常行为,不断进行迭代分析,制定用户访问机制,并通过深度学习制造业工业控制系统访问目标文件,进行限制用户访问文件权限,所述制造业工业控制系统访问目标文件包括PLC程序文件、HMI项目文件、CAD文件、设备配置文件、数据日志文件和固件文件,具体访问限权设置如下;
通过RBAC系统将用户访问权限分为一级用户、二级用户和三级用户;
一级用户:拥有只读HMI项目文件和CAD文件权限,禁止对访问目标文件进行修改、删除和下载;
二级用户:拥有只读所有制造业工业控制系统访问目标文件权限,禁止对访问目标文件进行修改、删除和下载;
三级用户:拥有对所有制造业工业控制系统访问目标文件,进行阅览、访问、修改、删除和下载权限;
所述优先级限制单元(42)通过内生安全,对制造业工业控制系统中的硬件监测、系统环境检测和用户访问检测,进行优先级规则定为硬件监测>用户访问监测>系统环境监测,若上一级监测存在异常,将禁止进入下一级。
8.根据权利要求7所述的一种基于内生安全的工业控制网络动态防御系统,其特征在于:通过内生安全模块(4)进行初步防御后,启动异常评估模块(5)通过预设异常评估阈值Q,对综合系统环境异常系数Ycxs、硬件异常系数Yjxs和用户访问系数Fwxs汇总或获取的综合监测系数Zhxs,进行对比评估,具体评估结果如下;
当综合监测系数Zhxs≥异常评估阈值Q时,表示制造业工业控制系统存在异常,则生第一评估结果;
当综合监测系数Zhxs<异常评估阈值Q时,表示制造业工业控制系统正常,无需生成评估结果。
9.根据权利要求8所述的一种基于内生安全的工业控制网络动态防御系统,其特征在于:所述异常评估模块(5)将所生成的第一评估结果,发送至响应模块(6),由响应模块(6)对所获取的第一评估结果进行分析,并根据分析结果生成响应机制,对异常区域进行处理,具体处理方案如下;
当响应模块(6)接收到第一评估结果时,启动第一响应预案,系统通过自动启动蜜罐来追踪入侵者,收集有关攻击者行为和技术的信息,然后再次回流至监测模块(1)对制造业工业控制系统进行监测,并通过动态防御系统自动隔离受感染的系统和设备,同时自动切断一切USB连接口和网络端口,并将生成预警报告,通知相关的安全团队或管理员。
10.一种基于内生安全的工业控制网络动态防御方法,包括上述权利要求1~9任一一项所述的一种基于内生安全的工业控制网络动态防御系统,其特征在于:包括以下步骤:
S1、首先通过监测模块(1)在制造业工业控制系统中安装若干个监测工具和脚本,对综合系统环境异常数据、用户异常数据和硬件异常数据进行监测;
S2、通过数据处理模块(2)对所检测到的原始数据进行重新整合处理,获得流量异常数据集、环境异常数据集、用户异常数据集和硬件异常数据集,并将这些数据发送至异常分析模块(3)进行分析计算;
S3、异常分析模块(3)流量异常数据集、环境异常数据集、用户异常数据集和硬件异常数据集进行分析计算分别获得流量异常系数Llxs、环境异常系数Hjxs、用户访问系数Fwxs和硬件异常系数Yjxs,然后再将流量异常系数Llxs和环境异常系数Hjxs进行汇总,获取综合系统环境异常系数Ycxs,并将硬件异常系数Yjxs、综合异常系数Ycxs和用户访问系数Fwxs进行无量纲后相关联,获得综合监测系数Zhxs;
S4、通过内生安全模块(4)深度学习用户异常行为,制定用户访问机制,对访问用户进行权限设置,获取制造业工业控制系统访问目标文件相应权限,并制定优先级规则,进行初步防御;
S5、通过异常评估模块(5)预设异常评估阈值Q,与综合监测系数Zhxs进行对比评估,获得评估结果并由响应模块(6)根据评估结果生成响应机制,对评估结果进行处理。
CN202311789891.9A 2023-12-25 2023-12-25 一种基于内生安全的工业控制网络动态防御方法及系统 Pending CN117811783A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311789891.9A CN117811783A (zh) 2023-12-25 2023-12-25 一种基于内生安全的工业控制网络动态防御方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311789891.9A CN117811783A (zh) 2023-12-25 2023-12-25 一种基于内生安全的工业控制网络动态防御方法及系统

Publications (1)

Publication Number Publication Date
CN117811783A true CN117811783A (zh) 2024-04-02

Family

ID=90432873

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311789891.9A Pending CN117811783A (zh) 2023-12-25 2023-12-25 一种基于内生安全的工业控制网络动态防御方法及系统

Country Status (1)

Country Link
CN (1) CN117811783A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118132345A (zh) * 2024-05-06 2024-06-04 深圳市阿尔丰科技有限公司 一种面向自助终端的移动支付方法及系统

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118132345A (zh) * 2024-05-06 2024-06-04 深圳市阿尔丰科技有限公司 一种面向自助终端的移动支付方法及系统

Similar Documents

Publication Publication Date Title
CN109962891B (zh) 监测云安全的方法、装置、设备和计算机存储介质
US20240064168A1 (en) Incorporating software-as-a-service data into a cyber threat defense system
US20210273957A1 (en) Cyber security for software-as-a-service factoring risk
CN111245793A (zh) 网络数据的异常分析方法及装置
CN114978770B (zh) 基于大数据的物联网安全风险预警管控方法及系统
US20050182950A1 (en) Network security system and method
US20200195672A1 (en) Analyzing user behavior patterns to detect compromised nodes in an enterprise network
US20170061126A1 (en) Process Launch, Monitoring and Execution Control
JP2015076863A (ja) ログ分析装置、方法およびプログラム
Gómez et al. Design of a snort-based hybrid intrusion detection system
US20200134175A1 (en) Chain of events representing an issue based on an enriched representation
CN117811783A (zh) 一种基于内生安全的工业控制网络动态防御方法及系统
KR101951730B1 (ko) 지능형 지속위협 환경에서의 통합 보안 시스템
CN112491860A (zh) 一种面向工业控制网络的协同入侵检测方法
KR100989347B1 (ko) 보안규칙 기반의 웹공격 탐지 방법
CN117240526A (zh) 基于人工智能的网络攻击自动化防御系统
CN112738107A (zh) 一种网络安全的评价方法、装置、设备及存储介质
Leghris et al. Improved security intrusion detection using intelligent techniques
Schneidewind Metrics for mitigating cybersecurity threats to networks
CN113949539A (zh) 一种核电厂kns系统网络安全的保护方法及kns系统
CN118094532B (zh) 一种处理存储硬件智能防护方法
CN115314244B (zh) 一种白名单安全防护方法、装置、设备及可读存储介质
CN117395076B (zh) 基于大数据的网络感知异常检测系统与方法
KR102616603B1 (ko) 네트워크 보안 지원 방법 및 이를 이용하는 보안 지원 장치
US20230328083A1 (en) Network vulnerability assessment

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination