CN117811796A - 一种工控网络访问控制方法、装置、设备及存储介质 - Google Patents
一种工控网络访问控制方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN117811796A CN117811796A CN202311840179.7A CN202311840179A CN117811796A CN 117811796 A CN117811796 A CN 117811796A CN 202311840179 A CN202311840179 A CN 202311840179A CN 117811796 A CN117811796 A CN 117811796A
- Authority
- CN
- China
- Prior art keywords
- access
- behavior
- real
- time
- industrial control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 56
- 230000006399 behavior Effects 0.000 claims abstract description 383
- 238000004891 communication Methods 0.000 claims abstract description 78
- 230000002159 abnormal effect Effects 0.000 claims abstract description 50
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 18
- 238000004458 analytical method Methods 0.000 claims abstract description 14
- 238000004590 computer program Methods 0.000 claims description 16
- 230000000007 visual effect Effects 0.000 claims description 7
- 230000003542 behavioural effect Effects 0.000 claims description 2
- 230000006870 function Effects 0.000 description 12
- 238000010586 diagram Methods 0.000 description 5
- 238000001914 filtration Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 238000013473 artificial intelligence Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000010485 coping Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 206010063385 Intellectualisation Diseases 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000007621 cluster analysis Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种工控网络访问控制方法、装置、设备及存储介质,工控网络中包含多个工控设备,该方法包括:获取各工控设备对应的历史通信数据,根据历史通信数据确定各工控设备对应的历史访问行为;通过行为分析算法将历史访问行为划分为正常访问行为和异常访问行为,并根据正常访问行为确定原始行为基线;获取各工控设备对应的实时通信数据,根据实时通信数据确定实时访问行为;定期根据实时访问行为出现的频率和预设频率阈值,对原始行为基线进行更新,并根据更新行为基线检测异常访问行为。本发明的技术方案可以提高工控网络的安全性,降低对工控网络进行访问控制的成本。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种工控网络访问控制方法、装置、设备及存储介质。
背景技术
随着互联网的快速发展,大数据、云计算和人工智能等新型信息技术开始与传统工业进行融合,工业控制系统逐渐走向智能化。工业控制网络与互联网深度融合,在促进工业进一步发展的同时,传统信息网络中的各种安全威胁已经逐步延伸至工业控制网络中。访问控制作为信息安全的关键组成部分,用于确保只有授权的用户能够访问系统、资源或数据。
现有技术中,通常通过预设的访问控制规则进行工控网络的访问控制。具体的,可以获取用户身份信息,并在用户身份信息验证通过后,根据预设的访问控制规则确定用户访问行为是否正常。如果用户访问行为异常,则触发告警机制。
但是,由于现有技术中的访问控制规则在工控网络的整个生命周期内保持不变,因此现有技术无法适应网络环境和网络威胁动态变化的情况,导致工控网络的安全性不高。
发明内容
本发明提供了一种工控网络访问控制方法、装置、设备及存储介质,提高了工控网络的安全性,降低了对工控网络进行访问控制的成本。
第一方面,本发明实施例提供了一种工控网络访问控制方法,工控网络中包含多个工控设备,该方法包括:
获取各工控设备对应的历史通信数据,根据历史通信数据确定各工控设备对应的历史访问行为;
通过行为分析算法将历史访问行为划分为正常访问行为和异常访问行为,并根据正常访问行为确定原始行为基线;
获取各工控设备对应的实时通信数据,根据实时通信数据确定实时访问行为;
定期根据实时访问行为出现的频率和预设频率阈值,对原始行为基线进行更新,并根据更新行为基线检测异常访问行为。
可选的,根据正常访问行为确定原始行为基线,包括:
获取与正常访问行为处于同一会话中的关联访问行为,确定正常访问行为与和关联访问行为之间的目标访问顺序;
根据正常访问行为和目标访问顺序,确定原始行为基线。
可选的,定期根据实时访问行为出现的频率和预设频率阈值,对原始行为基线进行更新,包括:
当实时访问行为与正常访问行为不同,且实时访问行为出现的频率大于预设频率阈值时,根据实时访问行为对原始行为基线进行更新。
可选的,根据更新行为基线检测异常访问行为,包括:
获取与实时访问行为处于同一会话中的关联实时访问请求,确定实时访问行为和关联实时访问行为之间的实时访问顺序;
确定实时访问行为和实时访问顺序与更新行为基线之间的匹配分数;
根据匹配分数和预设分数阈值,确定实时访问行为是否为异常访问行为。
可选的,确定实时访问行为和实时访问顺序与所述更新行为基线之间的匹配分数,包括:
根据实时访问行为和实时访问顺序,确定当前行为基线;
根据当前行为基线和更新行为基线之间的相似度,确定匹配分数。
可选的,该方法,还包括:
实时获取外部威胁情报,并根据外部威胁情报和异常访问行为调整各工控设备对应的访问权限,得到更新访问权限。
可选的,在得到更新访问权限之后,还包括:
将更新访问权限和更新行为基线,通过可视化界面展示给用户。
第二方面,本发明实施例还提供了一种工控网络访问控制装置,包括:
历史行为获取模块,用于获取各工控设备对应的历史通信数据,根据历史通信数据确定各工控设备对应的历史访问行为;
原始基线确定模块,用于通过行为分析算法将历史访问行为划分为正常访问行为和异常访问行为,并根据正常访问行为确定原始行为基线;
实时行为获取模块,用于获取各工控设备对应的实时通信数据,根据实时通信数据确定实时访问行为;
行为基线更新模块,用于定期根据实时访问行为出现的频率和预设频率阈值,对原始行为基线进行更新,以根据更新行为基线检测异常访问行为。
第三方面,本发明实施例还提供了一种电子设备,该电子设备包括:
至少一个处理器;以及
与至少一个处理器通信连接的存储器;其中,
存储器存储有可被至少一个处理器执行的计算机程序,计算机程序被至少一个处理器执行,以使至少一个处理器能够执行本发明任一实施例提供的工控网络访问控制方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,该计算机可读存储介质存储有计算机指令,计算机指令用于使处理器执行时实现本发明任一实施例提供的工控网络访问控制方法。
本发明实施例提供的技术方案,通过获取各工控设备对应的历史通信数据,根据历史通信数据确定各工控设备对应的历史访问行为;通过行为分析算法将历史访问行为划分为正常访问行为和异常访问行为,并根据正常访问行为确定原始行为基线;获取各工控设备对应的实时通信数据,根据实时通信数据确定实时访问行为;定期根据实时访问行为出现的频率和预设频率阈值,对原始行为基线进行更新,并根据更新行为基线检测异常访问行为的技术手段,提高了工控网络的安全性,降低了对工控网络进行访问控制的成本。
应当理解,本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征,也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例一提供的一种工控网络访问控制方法的流程图;
图2是根据本发明实施例二提供的另一种工控网络访问控制方法的流程图;
图3是根据本发明实施例提供的一种优选的工控网络访问控制方法的流程图;
图4是根据本发明实施例三提供的一种工控网络访问控制装置的结构示意图;
图5是实现本发明实施例四提供的一种电子设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例一
图1是根据本发明实施例一提供的一种工控网络访问控制方法的流程图,本实施例可适用于对工控网络中各工控设备进行访问控制的情况,该方法可以由工控网络访问控制装置来执行,该工控网络访问控制装置可以采用硬件和/或软件的形式实现,该工控网络访问控制装置可配置于电子设备如计算机中。
如图1所示,本实施例公开的一种工控网络访问控制方法包括:
S110、获取各工控设备对应的历史通信数据,根据历史通信数据确定各工控设备对应的历史访问行为。
在本实施例中,历史通信数据可以包括各工控设备之间的通信数据,以及各工控设备与外界访问设备之间的通信数据。外界访问设备可以任何具有通信功能的设备,本实施例并不对外界通信设备的类型进行限定。历史访问行为可以用于反映各工控设备被访问的情况,如访问时间、访问频率和访问时长等。
在此步骤,具体的,可以在工控网络中部署通信监控系统,并通过上述通信监控系统实时采集各工控设备对应的历史通信数据。可以从历史通信数据中获取工业协议报文和通信时间。
然后,可以对工业协议报文进行解码和会话还原,得到多个通信特征。上述通信特征可以包括用户名、用户账号、协议类型、数据包长度、功能码和响应状态等。之后,可以获取与各通信特征对应的预设过滤条件,并根据各预设过滤条件和通信特征对历史通信数据进行过滤。预设过滤条件可以根据历史经验进行确定。最后,可以根据过滤后的历史通信数据确定历史访问行为。
S120、通过行为分析算法将历史访问行为划分为正常访问行为和异常访问行为,并根据正常访问行为确定原始行为基线。
在本实施例中,行为分析算法可以是能够对历史访问行为进行分类的算法,如聚类算法和关联规则算法等。
在此步骤,可选的,由于在实际应用中正常访问行为的数量通常大于异常访问行为的数量,因此可以通过行为分析算法,基于数量差异将历史访问行为划分为正常访问行为和异常访问行为。
或者,可以根据行为分析算法和预设访问规则,将历史访问行为划分为正常访问行为和异常访问行为。正常访问行为可以是满足预设访问规则的行为。异常访问行为可以是不满足预设访问规则的行为。预设访问规则可以包括预设访问频率、访问时间段和预设访问时长等。各工控设备对应的预设访问规则可以不同。
示例性的,在当前工控设备对应的预设访问频率为10秒/次,预设访问时间段为8:00-12:00,预设访问时长为5秒时,如果一个历史访问行为对应的访问时长为10秒,则可以将该历史访问行为作为异常访问行为。
可选的,可以从正常访问行为中获取正常访问频率、正常访问时间段和正常访问时长等正常访问信息,并根据上述正常访问信息确定原始行为基线。然后,可以将原始行为基线转换成用户可直观理解的原始访问控制规则。上述原始访问控制规则可以用于检测异常访问行为。
S130、获取各工控设备对应的实时通信数据,根据实时通信数据确定实时访问行为。
在本实施例中,实时通信数据可以是实时产生的通信数据。
S140、定期根据实时访问行为出现的频率和预设频率阈值,对原始行为基线进行更新,并根据更新行为基线检测异常访问行为。
在一个具体实施方式中,可以判断在预设时间段内是否存在出现的频率大于预设频率阈值的实时访问行为。若是,则可以将上述实时访问行为作为正常访问行为对原始行为基线进行更新。
然后,可以获取当前实时访问行为,并确定当前实时访问行为偏离更新行为基线的程度。如果偏离程度大于预设偏差阈值,则可以将当前实时访问行为作为异常访问行为。可选的,可以在检测到异常访问行为时,触发实时告警机制,以使网络管理员及时采取对应的安全防护措施。
接上例的,如果1个小时内有40%以上访问时长为8秒的实时访问行为,或者连续多次出现访问时长为8秒的实时访问行为,则可以将访问时长为8秒的访问行为作为正常访问行为。
如果实时访问行为对应的互联网协议(Internet Protocol,IP)地址与历史访问行为对应的IP地址均不相同,则可以将该IP地址的实时访问行为作为异常访问行为。
这样设置的好处在于,相比于根据固定访问控制规则进行工控网络访问控制的现有技术,本实施例的技术方案通过定期根据实时访问行为出现的频率和预设频率阈值对原始行为基线进行更新,并根据更新行为基线检测异常访问行为,可以实现对不同网络环境进行动态适应,提高了对工控网络的安全性。其次,本实施例的方案通过自动更新行为基线,减轻了网络管理员的管理负担,降低了对工控网络进行访问控制的成本。
本实施例的技术方案,通过获取各工控设备对应的历史通信数据,根据历史通信数据确定各工控设备对应的历史访问行为;通过行为分析算法将历史访问行为划分为正常访问行为和异常访问行为,并根据正常访问行为确定原始行为基线;获取各工控设备对应的实时通信数据,根据实时通信数据确定实时访问行为;定期根据实时访问行为出现的频率和预设频率阈值,对原始行为基线进行更新,并根据更新行为基线检测异常访问行为的技术手段,解决了根据固定访问控制规则进行工控网络的访问控制,导致工控网络安全性不高的问题,提高了工控网络的安全性,降低了对工控网络进行访问控制的成本。
实施例二
图2是根据本发明实施例二提供的另一种工控网络访问控制方法的流程图,本实施例是基于上述各实施例的进一步优化与扩展,并可以与上述实施方式中各个可选技术方案结合。
如图2所示,本实施例公开的另一种工控网络访问控制方法包括:
S210、获取各工控设备对应的历史通信数据,根据历史通信数据确定各工控设备对应的历史访问行为。
在此步骤,可选的,可以实时采集工控网络流量,并通过对工控网络流量进行分析得到历史访问行为。
S220、通过行为分析算法将历史访问行为划分为正常访问行为和异常访问行为。
S230、获取与正常访问行为处于同一会话中的关联访问行为,确定正常访问行为与和关联访问行为之间的目标访问顺序。
在本实施例中,关联访问行为可以是与正常访问行为处于同一传输控制协议(Transmission Control Protocol,TCP)会话中的访问行为。正常访问行为与关联访问行为对应的访问时间不同。
在一个具体实施方式中,可以获取正常访问行为和关联访问行为分别对应的访问时间和功能码,并根据功能码以及访问时间的先后,确定正常访问行为与和关联访问行为之间的目标访问顺序。其中,功能码可以用于标识各访问行为对应的功能。
S240、根据正常访问行为和目标访问顺序,确定原始行为基线。
S250、获取各工控设备对应的实时通信数据,根据实时通信数据确定实时访问行为。
S260、当实时访问行为与正常访问行为不同,且实时访问行为出现的频率大于预设频率阈值时,根据实时访问行为对原始行为基线进行更新。
示例性的,当预设访问时间段为8:00-12:00,且预设频率阈值为5时,如果连续出现10次,访问时间为7:00的实时访问行为,则可以将访问时间为7:00的实时访问行为作为正常访问行为,并更新原始行为基线。
需要说明的是,在对原始行为基线进行更新后,如果在预设时间段内又出现满足基线更新条件的实时访问行为,则可以基于更新行为基线进行更新。基线更新条件可以是在预设时间段内实时访问行为与正常访问行为不同,且实时访问行为出现的频率大于预设频率阈值。
S270、获取与实时访问行为处于同一会话中的关联实时访问请求,确定实时访问行为和关联实时访问行为之间的实时访问顺序。
在本实施例中,可以获取实时访问行为和关联实时访问行为分别对应的访问时间和功能码,并根据功能码以及访问时间确定实时访问行为和关联实时访问行为之间的实时访问顺序。
可选的,可以记录各实时访问行为及其对应的响应状态,以作为闭环访问环节对更新行为基线进行优化。其次,通过记录各实时访问行为及其对应的响应状态,可以为后续的审计和调查提供可追溯的日志。
S280、确定实时访问行为和实时访问顺序与更新行为基线之间的匹配分数。
在本实施例中,匹配分数可以用于检测实时访问行为是否为异常访问行为。可选的,可以根据实时访问行为与更新行为基线之间的匹配程度以及第一权重系数,确定第一分数。根据实时访问顺序与更新行为基线之间的匹配程度以及第二权重系数,确定第二分数,最后,根据第一分数和第二分数,确定匹配分数。
以电力系统信息采集为例,假设实时访问行为对应的功能码表示开始采集数据,关联实时访问行为对应的功能码表示开始传输数据,并且实时访问行为对应的访问时间在关联实时访问行为对应的访问时间之前,则可以确定实时访问顺序与更新行为基线匹配,得到第二分数。
在本发明实施例的一个可选实施方式中,确定实时访问行为和实时访问顺序与更新行为基线之间的匹配分数,包括:根据实时访问行为和实时访问顺序,确定当前行为基线;根据当前行为基线和更新行为基线之间的相似度,确定匹配分数。
具体的,可以通过下述具体计算公式确定匹配分数:
其中,Matchs为匹配分数,wi是第i个特征的权重,Fa,i是实时访问行为中第i个特征的值,Fb,i是更新行为基线中第i个特征的值。Simmea为当前行为基线和更新行为基线之间的相似度,Varmea为当前行为基线和更新行为基线之间的差异度度量。第i个特征可以是实时访问行为对应的任意特征或实时访问顺序。
可选的,实时访问行为对应的特征可以包括访问频率、访问时间段、访问时长、设备IP和设备类型等。
S290、根据匹配分数和预设分数阈值,确定实时访问行为是否为异常访问行为。
在本实施例中,预设分数阈值可以根据用户需求进行设置。具体的,如果匹配分数大于预设分数阈值,则可以认为实时访问行为异常。可选的,可以在发现存在漏洞或异常访问行为时,自动化地提供漏洞修复建议或者限制相关设备或用户的访问权限。
在本发明实施例的一个可选实施方式中,该方法,还包括:实时获取外部威胁情报,并根据外部威胁情报和异常访问行为调整各工控设备对应的访问权限,得到更新访问权限。
在本实施例中,外部威胁情报可以包括木马、恶意域名和恶意IP等。具体的,可以通过对异常访问行为的关键特征进行提取,并对关键特征进行聚类分析,得到多个聚类。上述关键特征可以包括通信方向、数据流大小和报文字段等。然后,可以根据各聚类的密度和规模,评估各聚类的异常程度。之后,可以根据聚类之间的关联关系(也即相似度),生成候选攻击链。最后,可以根据外部威胁情报和候选攻击链调整各工控设备的访问权限。
示例性的,如果当前实时访问行为对应的IP地址与外部威胁情报或异常访问行为对应的IP地址相同,则可以取消当前实时访问行为的访问权限。
这样设置的好处在于,通过根据异常访问行为和外部威胁情报进行访问控制,可以实现动态适应不同的网络环境和威胁情况,提高了对未知威胁的应对能力。
可选的,在得到更新访问权限之后,还包括:将更新访问权限和更新行为基线,通过可视化界面展示给用户。
这样设置的好处在于,通过可视化界面,可以使用户更加直观地了解更新行为基线以及更新访问权限,便于及时调整访问策略。
本实施例的技术方案,通过根据历史通信数据确定历史访问行为;将历史访问行为划分为正常访问行为和异常访问行为;获取与正常访问行为处于同一会话中的关联访问行为,确定正常访问行为与和关联访问行为之间的目标访问顺序;根据正常访问行为和目标访问顺序,确定原始行为基线;获取各工控设备对应的实时通信数据,根据实时通信数据确定实时访问行为;当实时访问行为与正常访问行为不同,且实时访问行为出现的频率大于预设频率阈值时,根据实时访问行为对原始行为基线进行更新;获取与实时访问行为处于同一会话中的关联实时访问请求,确定实时访问行为和关联实时访问行为之间的实时访问顺序;确定实时访问行为和实时访问顺序与更新行为基线之间的匹配分数;根据匹配分数和预设分数阈值,确定实时访问行为是否为异常访问行为的技术手段,解决了根据固定访问控制规则进行工控网络的访问控制,导致工控网络安全性不高的问题,可以实现动态适应不同的网络环境和威胁情况,提高了对未知威胁的应对能力和工控网络的安全性。
图3是根据本发明实施例提供的一种优选的工控网络访问控制方法的流程图。如图3所示,可以实时采集历史通信数据,通过深度数据包检测引擎对历史通信数据进行协议解码和会话还原,得到通信特征。然后,可以获取与各通信特征对应的预设过滤条件,并根据各预设过滤条件和通信特征对历史通信数据进行过滤。根据过滤后的历史通信数据确定历史访问行为,并通过行为分析算法将历史访问行为划分为正常访问行为和异常访问行为。之后,可以获取与正常访问行为处于同一会话中的关联访问行为,确定正常访问行为与和关联访问行为之间的目标访问顺序。根据正常访问行为和目标访问顺序,确定原始行为基线。最后,可以获取各工控设备对应的实时通信数据,根据实时通信数据确定实时访问行为。定期根据实时访问行为出现的频率和预设频率阈值,对原始行为基线进行更新,并根据更新行为基线检测异常访问行为。
实施例三
图4为本发明实施例三提供的一种工控网络访问控制装置的结构示意图,本实施例可适用于对工控设备进行访问控制的情况,该工控网络访问控制装置可以采用硬件和/或软件的形式实现,并可配置于电子设备如计算机中。
如图4所示,本实施例公开的工控网络访问控制装置包括:
历史行为获取模块41,用于获取各所述工控设备对应的历史通信数据,根据所述历史通信数据确定各所述工控设备对应的历史访问行为;
原始基线确定模块42,用于通过行为分析算法将所述历史访问行为划分为正常访问行为和异常访问行为,并根据所述正常访问行为确定原始行为基线;
实时行为获取模块43,用于获取各所述工控设备对应的实时通信数据,根据所述实时通信数据确定实时访问行为;
行为基线更新模块44,用于定期根据所述实时访问行为出现的频率和预设频率阈值,对所述原始行为基线进行更新,以根据更新行为基线检测异常访问行为。
本实施例中的技术方案,通过历史行为获取模块、原始基线确定模块、实时行为获取模块和行为基线更新模块的相互配合,解决了根据固定访问控制规则进行工控网络的访问控制,导致工控网络安全性不高的问题,提高了工控网络的安全性,降低了对工控网络进行访问控制的成本。
可选的,原始基线确定模块42包括:
目标顺序确定单元,用于获取与正常访问行为处于同一会话中的关联访问行为,确定正常访问行为与和关联访问行为之间的目标访问顺序;
原始基线确定单元,用于根据正常访问行为和目标访问顺序,确定原始行为基线。
可选的,行为基线更新模块44包括:
行为基线更新单元,用于当实时访问行为与正常访问行为不同,且实时访问行为出现的频率大于预设频率阈值时,根据实时访问行为对原始行为基线进行更新;
实时顺序确定单元,用于获取与实时访问行为处于同一会话中的关联实时访问请求,确定实时访问行为和关联实时访问行为之间的实时访问顺序;
匹配分数确定单元,用于确定实时访问行为和实时访问顺序与更新行为基线之间的匹配分数;
异常行为检测单元,用于根据匹配分数和预设分数阈值,确定实时访问行为是否为异常访问行为;
当前基线确定单元,用于根据实时访问行为和实时访问顺序,确定当前行为基线;
基线匹配单元,用于根据当前行为基线和更新行为基线之间的相似度,确定匹配分数。
可选的,该装置还包括权限调整模块,该模块包括:
权限调整单元,用于实时获取外部威胁情报,并根据外部威胁情报和异常访问行为调整各工控设备对应的访问权限,得到更新访问权限;
可视化展示单元,用于将更新访问权限和更新行为基线,通过可视化界面展示给用户。
本发明实施例所提供的工控网络访问控制装置可执行本发明任意实施例所提供的工控网络访问控制方法,具备执行方法相应的功能模块和有益效果。本实施例中未详尽描述的内容可以参考本申请任意方法实施例中的描述。
实施例四
图5示出了可以用来实施本发明的实施例的电子设备10的结构示意图。电子设备10旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备10还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备(如头盔、眼镜、手表等)和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本发明的实现。
如图5所示,电子设备10包括至少一个处理器11,以及与至少一个处理器11通信连接的存储器,如只读存储器(ROM)12、随机访问存储器(RAM)13等,其中,存储器存储有可被至少一个处理器执行的计算机程序,处理器11可以根据存储在只读存储器(ROM)12中的计算机程序或者从存储单元18加载到随机访问存储器(RAM)13中的计算机程序,来执行各种适当的动作和处理。在RAM 13中,还可存储电子设备10操作所需的各种程序和数据。处理器11、ROM 12以及RAM 13通过总线14彼此相连。输入/输出(I/O)接口15也连接至总线14。
电子设备10中的多个部件连接至I/O接口15,包括:输入单元16,例如键盘、鼠标等;输出单元17,例如各种类型的显示器、扬声器等;存储单元18,例如磁盘、光盘等;以及通信单元19,例如网卡、调制解调器、无线通信收发机等。通信单元19允许电子设备10通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
处理器11可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器11的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习算法的处理器、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。处理器11执行上文所描述的各个方法和处理,例如工控网络访问控制方法。
在一些实施例中,工控网络访问控制方法可被实现为计算机程序,其被有形地包含于计算机可读存储介质,例如存储单元18。在一些实施例中,计算机程序的部分或者全部可以经由ROM 12和/或通信单元19而被载入和/或安装到电子设备10上。当计算机程序加载到RAM 13并由处理器11执行时,可以执行上文描述的工控网络访问控制方法的一个或多个步骤。备选地,在其他实施例中,处理器11可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行工控网络访问控制方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、复杂可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本发明的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本发明的上下文中,计算机可读存储介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。备选地,计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在电子设备上实施此处描述的系统和技术,该电子设备具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给电子设备。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)、区块链网络和互联网。
计算系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,又称为云计算服务器或云主机,是云计算服务体系中的一项主机产品,以解决了传统物理主机与VPS服务中,存在的管理难度大,业务扩展性弱的缺陷。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本发明的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (10)
1.一种工控网络访问控制方法,其特征在于,所述工控网络中包含多个工控设备,所述方法包括:
获取各所述工控设备对应的历史通信数据,根据所述历史通信数据确定各所述工控设备对应的历史访问行为;
通过行为分析算法将所述历史访问行为划分为正常访问行为和异常访问行为,并根据所述正常访问行为确定原始行为基线;
获取各所述工控设备对应的实时通信数据,根据所述实时通信数据确定实时访问行为;
定期根据所述实时访问行为出现的频率和预设频率阈值,对所述原始行为基线进行更新,并根据更新行为基线检测异常访问行为。
2.根据权利要求1所述的方法,其特征在于,所述根据所述正常访问行为确定原始行为基线,包括:
获取与所述正常访问行为处于同一会话中的关联访问行为,确定正常访问行为与和关联访问行为之间的目标访问顺序;
根据所述正常访问行为和目标访问顺序,确定原始行为基线。
3.根据权利要求1所述的方法,其特征在于,所述定期根据所述实时访问行为出现的频率和预设频率阈值,对所述原始行为基线进行更新,包括:
当所述实时访问行为与所述正常访问行为不同,且所述实时访问行为出现的频率大于预设频率阈值时,根据所述实时访问行为对所述原始行为基线进行更新。
4.根据权利要求2所述的方法,其特征在于,所述根据更新行为基线检测异常访问行为,包括:
获取与所述实时访问行为处于同一会话中的关联实时访问请求,确定实时访问行为和关联实时访问行为之间的实时访问顺序;
确定所述实时访问行为和实时访问顺序与所述更新行为基线之间的匹配分数;
根据所述匹配分数和预设分数阈值,确定所述实时访问行为是否为异常访问行为。
5.根据权利要求4所述的方法,其特征在于,所述确定所述实时访问行为和实时访问顺序与所述更新行为基线之间的匹配分数,包括:
根据所述实时访问行为和实时访问顺序,确定当前行为基线;
根据所述当前行为基线和所述更新行为基线之间的相似度,确定匹配分数。
6.根据权利要求1所述的方法,其特征在于,所述方法,还包括:
实时获取外部威胁情报,并根据所述外部威胁情报和异常访问行为调整各所述工控设备对应的访问权限,得到更新访问权限。
7.根据权利要求6所述的方法,其特征在于,在得到更新访问权限之后,还包括:
将所述更新访问权限和更新行为基线,通过可视化界面展示给用户。
8.一种工控网络访问控制装置,其特征在于,所述工控网络中包含多个工控设备,所述装置包括:
历史行为获取模块,用于获取各所述工控设备对应的历史通信数据,根据所述历史通信数据确定各所述工控设备对应的历史访问行为;
原始基线确定模块,用于通过行为分析算法将所述历史访问行为划分为正常访问行为和异常访问行为,并根据所述正常访问行为确定原始行为基线;
实时行为获取模块,用于获取各所述工控设备对应的实时通信数据,根据所述实时通信数据确定实时访问行为;
行为基线更新模块,用于定期根据所述实时访问行为出现的频率和预设频率阈值,对所述原始行为基线进行更新,以根据更新行为基线检测异常访问行为。
9.一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-7中任一项所述的工控网络访问控制方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现权利要求1-7中任一项所述的工控网络访问控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311840179.7A CN117811796A (zh) | 2023-12-28 | 2023-12-28 | 一种工控网络访问控制方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311840179.7A CN117811796A (zh) | 2023-12-28 | 2023-12-28 | 一种工控网络访问控制方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117811796A true CN117811796A (zh) | 2024-04-02 |
Family
ID=90432784
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311840179.7A Pending CN117811796A (zh) | 2023-12-28 | 2023-12-28 | 一种工控网络访问控制方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117811796A (zh) |
-
2023
- 2023-12-28 CN CN202311840179.7A patent/CN117811796A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108429651B (zh) | 流量数据检测方法、装置、电子设备及计算机可读介质 | |
| CN110535702B (zh) | 一种告警信息处理方法及装置 | |
| US11507881B2 (en) | Analysis apparatus, analysis method, and analysis program for calculating prediction error and extracting error factor | |
| CN112003838B (zh) | 网络威胁的检测方法、装置、电子装置和存储介质 | |
| KR102440335B1 (ko) | 이상 감지 관리 방법 및 그 장치 | |
| WO2018159337A1 (ja) | プロファイル生成装置、攻撃検知装置、プロファイル生成方法、および、プロファイル生成プログラム | |
| CN107682354B (zh) | 一种网络病毒检测方法、装置及设备 | |
| CN115904656A (zh) | 应用于芯片中的状态控制方法、装置、设备及存储介质 | |
| CN117609992A (zh) | 一种数据泄密检测方法、装置及存储介质 | |
| CN113901441A (zh) | 一种用户异常请求检测方法、装置、设备及存储介质 | |
| CN116668264A (zh) | 一种告警聚类的根因分析方法、装置、设备及存储介质 | |
| CN112769595A (zh) | 异常检测方法、装置、电子设备及可读存储介质 | |
| CN115134386B (zh) | 一种物联网态势感知系统、方法、设备及介质 | |
| CN113452700B (zh) | 处理安全信息的方法、装置、设备以及存储介质 | |
| CN117811796A (zh) | 一种工控网络访问控制方法、装置、设备及存储介质 | |
| CN115589339A (zh) | 网络攻击类型识别方法、装置、设备以及存储介质 | |
| CN115333783A (zh) | Api调用的异常检测方法、装置、设备及存储介质 | |
| CN114039837A (zh) | 告警数据处理方法、装置、系统、设备和存储介质 | |
| CN111935180A (zh) | 安防设备主动防御方法、装置及系统 | |
| CN111258845A (zh) | 事件风暴的检测 | |
| CN113032774A (zh) | 异常检测模型的训练方法、装置、设备及计算机存储介质 | |
| CN117395071B (zh) | 一种异常检测方法、装置、设备及存储介质 | |
| CN115664726A (zh) | 一种恶意beacon通信的检测方法和装置 | |
| CN116915463B (zh) | 一种调用链数据安全分析方法、装置、设备及存储介质 | |
| CN115871754B (zh) | 轨道交通控制信号系统、检测方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |