CN118400191B - 工控网络攻击事件溯源处理方法及装置 - Google Patents
工控网络攻击事件溯源处理方法及装置 Download PDFInfo
- Publication number
- CN118400191B CN118400191B CN202410832655.9A CN202410832655A CN118400191B CN 118400191 B CN118400191 B CN 118400191B CN 202410832655 A CN202410832655 A CN 202410832655A CN 118400191 B CN118400191 B CN 118400191B
- Authority
- CN
- China
- Prior art keywords
- data
- industrial control
- preset
- control network
- analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000003672 processing method Methods 0.000 title claims description 38
- 238000004458 analytical method Methods 0.000 claims abstract description 195
- 238000012545 processing Methods 0.000 claims abstract description 93
- 238000000034 method Methods 0.000 claims abstract description 50
- 238000007405 data analysis Methods 0.000 claims abstract description 15
- 238000004422 calculation algorithm Methods 0.000 claims description 91
- 239000000523 sample Substances 0.000 claims description 85
- 238000009826 distribution Methods 0.000 claims description 61
- 238000005070 sampling Methods 0.000 claims description 44
- 238000000605 extraction Methods 0.000 claims description 25
- 230000003595 spectral effect Effects 0.000 claims description 22
- 230000002159 abnormal effect Effects 0.000 claims description 18
- 230000000694 effects Effects 0.000 claims description 17
- 238000002372 labelling Methods 0.000 claims description 15
- 239000013598 vector Substances 0.000 claims description 15
- 238000012549 training Methods 0.000 claims description 14
- 238000004891 communication Methods 0.000 claims description 12
- 230000001537 neural effect Effects 0.000 claims description 8
- 239000011159 matrix material Substances 0.000 claims description 7
- 238000000354 decomposition reaction Methods 0.000 claims description 5
- 238000010276 construction Methods 0.000 claims description 4
- 238000005457 optimization Methods 0.000 claims description 2
- 125000004122 cyclic group Chemical group 0.000 claims 1
- 238000012544 monitoring process Methods 0.000 description 24
- 230000006870 function Effects 0.000 description 15
- 230000008569 process Effects 0.000 description 14
- 238000007726 management method Methods 0.000 description 12
- 238000004519 manufacturing process Methods 0.000 description 10
- 238000013135 deep learning Methods 0.000 description 9
- 238000001514 detection method Methods 0.000 description 9
- 238000007621 cluster analysis Methods 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 8
- 230000006399 behavior Effects 0.000 description 6
- 238000004590 computer program Methods 0.000 description 6
- 230000004044 response Effects 0.000 description 6
- 230000001276 controlling effect Effects 0.000 description 5
- 206010000117 Abnormal behaviour Diseases 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 4
- 238000013461 design Methods 0.000 description 4
- 238000010801 machine learning Methods 0.000 description 3
- 238000013439 planning Methods 0.000 description 3
- 238000009827 uniform distribution Methods 0.000 description 3
- 241001501944 Suricata Species 0.000 description 2
- 238000012098 association analyses Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000036541 health Effects 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 238000003064 k means clustering Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000003909 pattern recognition Methods 0.000 description 2
- 238000007781 pre-processing Methods 0.000 description 2
- 238000004886 process control Methods 0.000 description 2
- 238000011897 real-time detection Methods 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 238000003860 storage Methods 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 241000287828 Gallus gallus Species 0.000 description 1
- 206010033799 Paralysis Diseases 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 238000013527 convolutional neural network Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000007418 data mining Methods 0.000 description 1
- 238000013136 deep learning model Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 239000012467 final product Substances 0.000 description 1
- 239000012530 fluid Substances 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000003908 quality control method Methods 0.000 description 1
- 239000002994 raw material Substances 0.000 description 1
- 238000010223 real-time analysis Methods 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 238000012827 research and development Methods 0.000 description 1
- 230000000452 restraining effect Effects 0.000 description 1
- 231100000279 safety data Toxicity 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
- G06F18/232—Non-hierarchical techniques
- G06F18/2321—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
- G06F18/23213—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/0464—Convolutional networks [CNN, ConvNet]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/0895—Weakly supervised learning, e.g. semi-supervised or self-supervised learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
- H04L43/045—Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- General Physics & Mathematics (AREA)
- Computational Linguistics (AREA)
- Biophysics (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Molecular Biology (AREA)
- Evolutionary Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Probability & Statistics with Applications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供一种工控网络攻击事件溯源处理方法及装置,方法包括:通过采集处理层和预设轮询规则进行实时工控网络数据获取操作,得到工控网络转发数据,通过分析处理层判断工控网络转发数据是否与预设指纹特征数据库中的指纹特征匹配,若是,则输出与指纹特征对应的第一分析结果并进行综合分析溯源操作,否则,将工控网络转发数据输入预设工控系统数据报文分析模型,得到第二分析结果并进行综合分析溯源操作,通过展示层将综合分析溯源结果输入预设告警模型进行数据分析操作,得到对应的告警信息,本申请能够通过分布式数据采集和集中式综合分析进行工控网络攻击事件溯源并进行告警展示,提高工控网络攻击事件溯源的精度和可操作性。
Description
技术领域
本申请涉及数据处理领域,具体涉及一种工控网络攻击事件溯源处理方法及装置。
背景技术
工业控制系统(Industrial Control Systems, ICS)通常用于监控和控制工业生产过程中的设备和机械。由于工控网络通常涉及到关键基础设施,如电力、水务、石油、天然气以及交通等,它们对于信息安全和经济运行至关重要。因此,工控网络攻击可能会带来严重的后果。
当前,以开放、互联为特征TCP/IP协议占据着网络通信协议的主导,工控网络也大多构建在基于TCP/IP协议的网络上,然而TCP/IP协议在设计之初主要是用于科学研究,并没有考虑到安全性,伴随着网络通信的发展,利用TCP/IP的设计缺陷进行工控网络攻击成为一个不可忽视的问题。
对工控网络中网络攻击溯源,定位网络攻击的源头,是遏制网络攻击的前提。然而,定位工控网络攻击的源头面临采集数据丢失、伪造源IP地址攻击、利用跳板机(又称“肉鸡”、傀儡机、僵尸主机等)攻击等攻击手段,给工控网络攻击事件的溯源带来了极大的挑战,为此,有学者提出了分组标记分析溯源法、发送特定ICMP分析溯源法、链路测试分析溯源法等攻击溯源方法,但这些方法普遍存在分析溯源精度不高、可操作性不强等问题,难以在实际工控网络环境中推广应用。
发明内容
针对现有技术中的问题,本申请提供一种工控网络攻击事件溯源处理方法及装置,能够通过分布式数据采集和集中式综合分析进行工控网络攻击事件溯源并告警展示,提高工控网络攻击事件溯源的精度和可操作性。
为了解决上述问题中的至少一个,本申请提供以下技术方案:
第一方面,本申请提供一种工控网络攻击事件溯源处理方法,包括:
根据所述采集处理层和预设轮询规则进行实时工控网络数据获取操作,确定对应的工控网络数据,将所述工控网络数据根据预设优化分配算法进行数据分配操作,确定对应的数据分配路径,并将所述工控网络数据依据所述数据分配路径进行数据转发,得到对应的工控网络转发数据,其中,采集处理层包括分布式采集探针程序和分布式采集探针设备中的至少一种;
通过所述分析处理层接收所述工控网络转发数据,判断所述工控网络转发数据是否与预设指纹特征数据库中的指纹特征匹配,若是,则输出与所述指纹特征对应的第一分析结果并进行综合分析溯源操作,否则,将所述工控网络转发数据输入预设工控系统数据报文分析模型,得到所述工控系统数据报文分析模型输出的第二分析结果并进行综合分析溯源操作,其中,所述指纹特征包括特定字段、字节序列以及统计信息中的至少一种;
通过所述展示层将经过所述综合分析溯源操作后得到的综合分析溯源结果输入预设告警模型进行数据分析操作,得到对应的告警信息,将所述告警信息输出到所述展示层的展示界面进行展示。
进一步地,在所述通过所述分析处理层接收所述工控网络转发数据,判断所述工控网络转发数据是否与预设指纹特征数据库中的指纹特征匹配之前,包括:
获取历史工控网络流量数据包,根据预设协议分析规则对所述历史工控网络流量数据包中的协议信息进行特征提取操作,得到对应的指纹特征;
对所述指纹特征进行标签标注操作,得到经过所述标签标注操作之后的标签信息,根据所述指纹特征和所述标签信息确定对应的流量样本库;
对所述流量样本库进行数据聚类操作和数据分类操作,确定对应的预设指纹特征数据库。
进一步地,在所述将所述工控网络转发数据输入预设工控系统数据报文分析模型,得到所述工控系统数据报文分析模型输出的第二分析结果并进行综合分析溯源操作之前,包括:
根据所述历史工控网络流量数据包和预设谱聚类算法确定对应的初始化聚类中心;
将所述历史工控网络流量数据包输入预设卷积神经循环网络进行特征提取操作,根据经过所述特征提取操作后的第一特征进行不确定性采样操作和信息密度采样操作,确定对应的特征样本,根据所述特征样本和预设特征标注规则确定对应的第二特征,根据所述第一特征和所述第二特征确定对应的半监督特征数据集;
根据所述半监督特征数据集对所述初始化聚类中心进行约束聚类操作,根据经过所述约束聚类操作之后得到的优化聚类中心更新所述预设谱聚类算法的参数,确定对应的工控系统数据报文分析模型。
进一步地,在所述根据所述采集处理层和预设轮询规则进行实时工控网络数据获取操作,确定对应的工控网络数据之前,包括:
根据预设时间间隔确定对应的时间轮询规则;
根据预设负载均衡状态确定对应的负载轮询规则;
根据所述时间轮询规则和负载轮询规则确定对应的预设轮询规则。
进一步地,在所述将所述工控网络数据根据预设哈希分配算法进行数据分配操作,确定对应的数据分配路径之前,包括:
提取所述历史工控网络流量数据包中的流量特征和分配效果特征,确定对应的历史特征数据集,根据所述历史特征数据集和预设聚类算法进行流量识别操作,确定对应的流量类型特征;
根据所述流量类型特征对预设时间序列预测模型进行模型训练,确定经过所述模型训练后的模型预测结果,其中,所述预测结果包括流量模式和分配效果;
根据所述模型预测结果对预设哈希分配算法进行调整操作,确定对应的预设优化分配算法。
进一步地,所述根据所述模型预测结果对预设哈希分配算法进行调整操作,确定对应的预设优化分配算法,包括:
根据所述模型预测结果中的所述流量模式调整第一阶段哈希分配算法,确定数据包的初步分配结果;
根据所述模型预测结果中的所述分配效果和所述数据包的初步分配结果对第二阶段哈希分配算法进行调整操作,将经过所述调整操作后的第二阶段哈希分配算法确定为预设哈希分配算法。
进一步地,所述将所述历史工控网络流量数据包输入预设卷积神经循环网络进行特征提取操作,根据经过所述特征提取操作后的第一特征进行不确定性采样操作和信息密度采样操作,确定对应的特征样本,根据所述特征样本和预设特征标注规则确定对应的第二特征,根据所述第一特征和所述第二特征确定对应的半监督特征数据集,包括:
将所述历史工控网络流量数据包输入预设卷积神经循环网络进行特征提取操作,根据经过所述特征提取操作后的第一特征进行不确定性采样操作确定对应的最不确定样本,根据经过所述特征提取操作后的第一特征进行信息密度采样操作确定对应的高密度区域样本,根据所述最不确定样本和所述高密度区域样本确定对应的特征样本;
根据所述特征样本和预设特征标注规则确定对应的第二特征,根据所述第一特征和所述第二特征确定对应的半监督特征数据集。
进一步地,所述根据所述半监督特征数据集对所述初始化聚类中心进行约束聚类操作,根据经过所述约束聚类操作之后得到的优化聚类中心更新所述预设谱聚类算法的参数,确定对应的工控系统数据报文分析模型,包括:
对所述半监督特征数据集进行相似性矩阵构建操作和特征向量分解操作,确定对应的半监督特征向量;
根据所述半监督特征向量对所述初始化聚类中心进行硬约束操作,确定对应的优化聚类中心;
根据所述优化聚类中心对所述预设谱聚类算法的参数进行调整操作,确定对应的工控系统数据报文分析模型。
进一步地,所述通过所述展示层将经过所述综合分析溯源操作后得到的综合分析溯源结果输入预设告警模型进行数据分析操作,得到对应的告警信息,包括:
通过所述展示层将经过所述综合分析溯源操作后得到的综合分析溯源结果输入预设告警模型确定对应的异常信息;
根据所述异常信息和预设告警分类规则,得到对应的告警信息。
第二方面,本申请提供一种工控网络攻击事件溯源处理装置,包括:
采集处理模块,用于根据所述采集处理层和预设轮询规则进行实时工控网络数据获取操作,确定对应的工控网络数据,将所述工控网络数据根据预设优化分配算法进行数据分配操作,确定对应的数据分配路径,并将所述工控网络数据依据所述数据分配路径进行数据转发,得到对应的工控网络转发数据,其中,采集处理层包括分布式采集探针程序和分布式采集探针设备中的至少一种;
综合分析模块,用于通过所述分析处理层接收所述工控网络转发数据,判断所述工控网络转发数据是否与预设指纹特征数据库中的指纹特征匹配,若是,则输出与所述指纹特征对应的第一分析结果并进行综合分析溯源操作,否则,将所述工控网络转发数据输入预设工控系统数据报文分析模型,得到所述工控系统数据报文分析模型输出的第二分析结果并进行综合分析溯源操作,其中,所述指纹特征包括特定字段、字节序列以及统计信息中的至少一种;
展示模块,用于通过所述展示层将经过所述综合分析溯源操作后得到的综合分析溯源结果输入预设告警模型进行数据分析操作,得到对应的告警信息,将所述告警信息输出到所述展示层的展示界面进行展示。
第三方面,本申请提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现所述的工控网络攻击事件溯源处理方法的步骤。
第四方面,本申请提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现所述的工控网络攻击事件溯源处理方法的步骤。
第五方面,本申请提供一种计算机程序产品,包括计算机程序/指令,该计算机程序/指令被处理器执行时实现所述的工控网络攻击事件溯源处理方法的步骤。
由上述技术方案可知,本申请提供一种工控网络攻击事件溯源处理方法及装置,通过采集处理层和预设轮询规则进行实时工控网络数据获取操作,得到工控网络转发数据,通过分析处理层判断工控网络转发数据是否与预设指纹特征数据库中的指纹特征匹配,若是,则输出与指纹特征对应的第一分析结果并进行综合分析溯源操作,否则,将工控网络转发数据输入预设工控系统数据报文分析模型,得到第二分析结果并进行综合分析溯源操作,通过展示层将综合分析溯源结果输入预设告警模型进行数据分析操作,得到对应的告警信息,由此能够通过分布式数据采集和集中式综合分析进行工控网络攻击事件溯源并进行告警展示,提高工控网络攻击事件溯源的精度和可操作性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例中的工控网络攻击事件溯源处理方法的流程示意图之一;
图2为本申请实施例中的工控网络攻击事件溯源处理方法的流程示意图之二;
图3为本申请实施例中的工控网络攻击事件溯源处理方法的流程示意图之三;
图4为本申请实施例中的工控网络攻击事件溯源处理方法的流程示意图之四;
图5为本申请实施例中的工控网络攻击事件溯源处理方法的流程示意图之五;
图6为本申请实施例中的工控网络攻击事件溯源处理方法的流程示意图之六;
图7为本申请实施例中的工控网络攻击事件溯源处理方法的流程示意图之七;
图8为本申请实施例中的工控网络攻击事件溯源处理方法的流程示意图之八;
图9为本申请实施例中的工控网络攻击事件溯源处理方法的流程示意图之九;
图10为本申请实施例中的工控网络攻击事件溯源处理装置的结构示意图;
图11为本申请一具体实施例中的工控网络攻击事件溯源处理系统的流程示意图之一;
图12为本申请一具体实施例中的工控网络攻击事件溯源处理方法的流程示意图之一。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请技术方案中对数据的获取、存储、使用、处理等均符合国家法律法规的相关规定。
考虑到定位工控网络攻击的源头面临采集数据丢失、伪造源IP地址攻击、利用跳板机攻击等攻击手段,隐藏了真正的攻击者,给工控网络攻击事件的溯源带来了极大的挑战,当前的攻击溯源方法普遍存在分析溯源精度不高、可操作性不强,难以在实际工控网络环境中推广应用的问题。本申请提供一种工控网络攻击事件溯源处理方法及装置,通过采集处理层和预设轮询规则进行实时工控网络数据获取操作,得到工控网络转发数据,通过分析处理层判断工控网络转发数据是否与预设指纹特征数据库中的指纹特征匹配,若是,则输出与指纹特征对应的第一分析结果并进行综合分析溯源操作,否则,将工控网络转发数据输入预设工控系统数据报文分析模型,得到第二分析结果并进行综合分析溯源操作,通过展示层将综合分析溯源结果输入预设告警模型进行数据分析操作,得到对应的告警信息,由此能够通过分布式数据采集和集中式综合分析进行工控网络攻击事件溯源并进行告警展示,提高工控网络攻击事件溯源的精度和可操作性。
为了通过分布式数据采集和集中式综合分析进行工控网络攻击事件溯源并进行告警展示,提高工控网络攻击事件溯源的精度和可操作性,本申请提供一种工控网络攻击事件溯源处理方法的实施例,参见图1,所述工控网络攻击事件溯源处理方法具体包含有如下内容:
步骤S101:根据所述采集处理层和预设轮询规则进行实时工控网络数据获取操作,确定对应的工控网络数据,将所述工控网络数据根据预设优化分配算法进行数据分配操作,确定对应的数据分配路径,并将所述工控网络数据依据所述数据分配路径进行数据转发,得到对应的工控网络转发数据,其中,采集处理层包括分布式采集探针程序和分布式采集探针设备中的至少一种;
可选的,本实施例中,采集处理层采用分布式数据采集探针,可以部署于生产单位网络、网络骨干、汇聚或接入层以及工控生产现场各层,接受数据分析中心的监控配置信息,采集实施数据,监测待测链路与设备的状态、安全事件、业务、 性能与流量等。
具体的,在工控网络环境中以SCADA网络举例说明,工控安全监测溯源系统管理分析平台部署:首先,在采集处理层把 “数据采集探针”部署在汇聚交换机旁,通过端口镜像方复制该工业以太网中的通讯报文,分析处理层把“工控系统数据报文分析模型”部署在控制中心,以B/S方式实现对“数据采集探针”的远程集合管理和数据综合分析。
可选的,本实施例中,将所述工控网络数据根据预设哈希分配算法进行数据分配操作,是通过与主机CPU共享独占内存单元的方式依指定规则将不同组别的数据包HASH(哈希算法)到不同的CPU上去实现的。其中,指定规则主要指的是一套预先设定的用于检测和分析工控网络中潜在攻击事件的准则或条件。
举例说明,指定规则可以是,流量规则,关注网络流量中的异常模式,例如突增的流量、异常的通信协议、非法的IP地址或端口等。具体的,如果系统检测到某个设备在短时间内发送了大量非标准的通信协议数据包,这可能违反了流量规则,提示可能存在攻击行为。行为规则,用于检测工控系统中设备和应用的异常行为。具体的,如果某个设备在没有授权的情况下更改了其配置或操作状态,或者某个应用程序尝试执行与其常规行为不符的操作,这些都可能违反行为规则。安全事件规则,基于已知的安全漏洞、攻击模式或恶意代码的特征来设定。具体的,如果系统检测到某个文件被篡改或某个进程尝试执行恶意代码,这可能触发安全事件规则,表明系统遭受了攻击。
进一步举例说明,假设在一本实际的工控网络环境中,分布式监测系统(采集处理层)被部署在各个关键节点上,包括控制设备、交换机、服务器等。这些节点上的数据采集探针不断收集网络流量、系统日志等信息,并将这些信息传输到中心监测平台(分析处理层)。
中心监测平台(分析处理层)根据预先设定的指定规则对这些数据进行分析和比对。假设系统设定了以下流量规则:任何来自未知IP地址的ICMP(Internet ControlMessage Protocol)请求都应被视为异常。当系统捕获到一个来自未知IP地址的ICMP请求时,它将触发这个规则。
通过指定规则,工控网络攻击事件分布式监测方法能够实现对潜在攻击行为的准确检测和及时响应,从而提高工控系统的安全性和稳定性,其中,指定规则可以根据算法模型进行预测生成,增加了规则的适应性,以使数据分配操作更能适应当前的工控网络环境和设备。
可选的,本实施例中,采集处理层的数据采集探针既可以是软件工具,也可以是硬件设备,或者二者的结合。作为软件工具,数据采集探针是一种安装在被监视设备上的程序,用于收集各种类型的信息,如系统状态、网络流量、应用程序日志等,这些信息随后被发送到远程存储库以供分析使用。作为硬件设备,数据采集探针可能是一种专门的设备,用于捕获和分析网络数据包或系统事件。这些设备通常具备高速的数据处理能力,可以实时地对网络流量进行监控和分析。在更复杂的场景中,数据采集探针可能结合了软件和硬件的特点,形成一个完整的解决方案。这样的探针不仅具备强大的数据采集能力,还能通过内置的分析算法对收集到的数据进行初步处理,从而提供更为准确和及时的监测结果。
步骤S102:通过所述分析处理层接收所述工控网络转发数据,判断所述工控网络转发数据是否与预设指纹特征数据库中的指纹特征匹配,若是,则输出与所述指纹特征对应的第一分析结果并进行综合分析溯源操作,否则,将所述工控网络转发数据输入预设工控系统数据报文分析模型,得到所述工控系统数据报文分析模型输出的第二分析结果并进行综合分析溯源操作,其中,所述指纹特征包括特定字段、字节序列以及统计信息中的至少一种;
可选的,本实施例中,预设指纹特征数据库中的指纹特征是根据提取的字段、字节序列和统计信息集合而成的,指纹特征具有唯一性和可识别性,以便于区分不同的协议流量,这些指纹特征将作为区分不同协议流量的关键依据。
可选的,本实施例中,在指纹特征的基础上建立指纹特征库,指纹特征数据库采用高效的数据存储和索引技术,实现对指纹特征的快速查询和匹配。同时,结合机器学习等技术,对指纹特征进行聚类、分类等操作,提高异常检测的准确性和效率。
可以理解的是,这一步骤提供了一个对捕获到的工控网络流量数据进行数据分析并进行数据比对的指纹特征数据库,该指纹特征数据库包括但不限于既往的异常流量信息。通过实时采集网络流量数据,并与指纹特征数据库进行比对,可以检测是否存在异常流量,一旦发现异常流量,立即触发告警机制,通知管理人员进行处理。
可选的,本实施例中,在指纹数据库中比对不到的数据为未标记数据,将这些未标记的流量数据输入预设工控系统数据报文分析模型进行模型分析,对实时数据进行在线匹配,输出结果。
可选的,本实施例中,预设工控系统数据报文分析模型的训练过程如下:
1. 谱聚类初始化:首先,使用传统的谱聚类算法对数据进行初步聚类,得到初始的聚类结果和聚类中心。
2. 深度学习特征提取:然后,利用深度学习模型(如自编码器或卷积神经网络)对数据进行特征提取,得到更加抽象和有意义的特征表示。
3. 主动学习选择标注样本:接着,基于主动学习策略,选择对聚类结果影响较大的未标记样本进行人工标注,生成新的带标记数据。
4. 半监督谱聚类:最后,结合新的带标记数据和深度学习提取的特征,使用半监督谱聚类算法进行聚类。在聚类过程中,可以利用约束条件来优化聚类结果,使得聚类结果更加符合实际需求。
可以理解的是,工控系统数据报文分析模型是一种改进的半监督聚类算法,该算法结合了谱聚类、深度学习以及主动学习三种技术,主要目的是提高聚类精度和效率,特别是在处理大规模数据集时。
可选的,本实施例中,改进方式包括但不限于:
1. 集成主动学习:主动学习是一种让算法能够主动选择需要标注的数据样本进行人工标注的策略,从而有效减少人工标注的成本。在半监督聚类算法中,引入主动学习可以使得算法更加智能地选择那些对聚类结果影响较大的未标记样本进行标注,从而提高聚类的准确性。
2. 优化约束条件:约束条件在半监督聚类中扮演着重要的角色。优化约束条件的生成和使用方式,比如通过更加精确的约束条件定义,或者引入更复杂的约束关系,可以使得聚类结果更加符合实际需求。
3. 结合深度学习:深度学习在特征提取和表示学习方面具有很强的能力。将深度学习技术引入半监督聚类算法中,可以帮助算法更好地理解和利用数据的内在结构和特征,从而提高聚类的性能。
可以理解的是,通过这种改进的半监督聚类算法,可以充分利用带标记数据和未标记数据的信息,同时结合深度学习和主动学习的优势,提高聚类的准确性和效率。这对于处理工控网络攻击事件溯源处理中的大规模数据集是非常有益的,可以为工业网络运行维护、规划设计、业务部署、协议研究与设备研发提供更为准确和可靠的网络运行实际数据。
步骤S103:通过所述展示层将经过所述综合分析溯源操作后得到的综合分析溯源结果输入预设告警模型进行数据分析操作,得到对应的告警信息,将所述告警信息输出到所述展示层的展示界面进行展示。
可选的,本实施例中,将综合溯源结果输入展示层告警模型进行告警信息分析,并输出告警信息,可以实时对异常攻击信息进行分类并且进行告警展示,方便管理人员对于警报信息的维护。
这个例子展示了本实施例如何建立一个完整的工控网络攻击事件溯源系统,通过采集处理层、分析处理层以及展示层的协同合作,进行工控网络攻击事件溯源并进行告警展示,提高工控网络攻击事件溯源的精度和可操作性。
从上述描述可知,本申请实施例提供的工控网络攻击事件溯源处理方法,能够通过采集处理层和预设轮询规则进行实时工控网络数据获取操作,得到工控网络转发数据,通过分析处理层判断工控网络转发数据是否与预设指纹特征数据库中的指纹特征匹配,若是,则输出与指纹特征对应的第一分析结果并进行综合分析溯源操作,否则,将工控网络转发数据输入预设工控系统数据报文分析模型,得到第二分析结果并进行综合分析溯源操作,通过展示层将综合分析溯源结果输入预设告警模型进行数据分析操作,得到对应的告警信息,由此能够通过分布式数据采集和集中式综合分析进行工控网络攻击事件溯源并进行告警展示,提高工控网络攻击事件溯源的精度和可操作性。
在本申请的工控网络攻击事件溯源处理方法的一实施例中,参见图2,还可以具体包含如下内容:
步骤S201:获取历史工控网络流量数据包,根据预设协议分析规则对所述历史工控网络流量数据包中的协议信息进行特征提取操作,得到对应的指纹特征;
步骤S202:对所述指纹特征进行标签标注操作,得到经过所述标签标注操作之后的标签信息,根据所述指纹特征和所述标签信息确定对应的流量样本库;
步骤S203:对所述流量样本库进行数据聚类操作和数据分类操作,确定对应的预设指纹特征数据库。
可选的,本实施例中,根据预设协议分析规则对所述历史工控网络流量数据包中的协议信息进行特征提取操作,其中,预设协议包括Modbus TCP、ProfiNet、EtherNet/IP以及S7中的至少一种。可以理解的是,采用这些协议,系统能够根据预设协议分析规则识别这些协议的通信模式,并分析通信行为以检测异常活动。
可选的,本实施例中,预设协议分析规则包括:
1.对捕获到的数据包进行解码,将原始的二进制数据转换为可读的格式。
2.通过分析数据包的头部信息,如源地址、目的地址、端口号等,初步识别数据包所属的协议类型。
3.对于每个识别出的协议,提取其关键字段,如TCP/UDP的端口号、IP数据包的TTL(Time to Live)值、HTTP请求的URL等。
4.对协议数据包中的有效载荷(payload)进行分析,提取特定的字段、字节序列以及统计信息中的至少一种。
可以理解的是,本实施例中,根据提取的字段、字节序列和统计信息,形成每个协议的指纹特征,指纹特征具有唯一性和可识别性,以便于区分不同的协议流量,这些指纹特征将作为区分不同协议流量的关键依据。
可选的,本实施例中,协议指纹特征提取,针对采集到的网络流量数据,利用协议分析技术提取出各种协议的指纹特征。
可选的,本实施例中,流量样本库建立,基于提取的协议指纹特征,建立流量样本库。流量样本库中包含各类协议的典型流量样本,每个样本都带有相应的指纹特征和标签信息。这些样本可以用于后续的异常检测、模式识别等任务。
可选的,本实施例中,指纹特征数据库构建,在流量样本库的基础上,进一步构建指纹特征数据库。指纹特征数据库采用高效的数据存储和索引技术,实现对指纹特征的快速查询和匹配。同时,结合机器学习等技术,对指纹特征进行聚类、分类等操作,提高异常检测的准确性和效率。
可选的,本实施例中,基于构建的指纹特征数据库,实现的应用功能包括但不限于以下几点:
(1)实时监控与异常检测:通过实时采集网络流量数据,并与指纹特征数据库进行比对,检测是否存在异常流量。一旦发现异常流量,立即触发告警机制,通知管理人员进行处理。
(2)溯源处理:当发生工控网络攻击事件时,利用指纹特征数据库对攻击流量进行溯源分析。通过追踪攻击流量的来源和路径,确定攻击者的身份和位置,为后续的应对和处置提供依据。
(3)业务健康度分析与故障预警:结合指纹特征数据库中的历史流量数据和统计分析结果,对工控系统的业务健康度进行评估。同时,根据流量变化的趋势和规律,预测可能出现的故障或异常情况,并提前发出预警信息,以便管理人员及时采取措施进行防范和应对。
通过基于协议指纹特征进行流量样本库的建立及指纹特征数据库的应用,可以有效提升工控网络的安全防护能力。这不仅可以减少网络攻击事件对工控系统造成的损失和影响,还可以提高系统的可靠性和稳定性,为工控网络系统的持续发展提供有力保障。
通过步骤S203,本实施例构建了一个指纹特征数据库,该数据库可以实现对指纹特征的快速查询和匹配提高异常检测的准确性和效率。
在本申请的工控网络攻击事件溯源处理方法的一实施例中,参见图3,还可以具体包含如下内容:
步骤S301:根据所述历史工控网络流量数据包和预设谱聚类算法确定对应的初始化聚类中心;
步骤S302:将所述历史工控网络流量数据包输入预设卷积神经循环网络进行特征提取操作,根据经过所述特征提取操作后的第一特征进行不确定性采样操作和信息密度采样操作,确定对应的特征样本,根据所述特征样本和预设特征标注规则确定对应的第二特征,根据所述第一特征和所述第二特征确定对应的半监督特征数据集;
步骤S303:根据所述半监督特征数据集对所述初始化聚类中心进行约束聚类操作,根据经过所述约束聚类操作之后得到的优化聚类中心更新所述预设谱聚类算法的参数,确定对应的工控系统数据报文分析模型。
可选的,本实施例中,谱聚类是一种基于图论的聚类方法,它利用数据点之间的相似性来构建一个相似性图,并通过分析这个图的谱特性来确定聚类中心。
可选的,本实施例中,不确定性采样操作是选择那些模型预测最不确定的样本,在分类任务训练中,模型对于某些样本的类别判断非常接近,即分类概率分布接近于均匀分布,这种情况下,模型无法确定这些样本的真实类别,因此它们被认为是不确定性较高的样本。
可选的,本实施例中,不确定性采样的实现方式可以采取预测概率采样、置信区间采样以及熵采样中的至少一种。预测概率,对于每个样本,计算模型预测的类别概率分布。选择那些概率分布最接近均匀分布的样本。置信区间,计算每个样本预测的置信区间。选择那些置信区间最宽的样本,表示模型对这些样本的预测最不确定。熵,使用熵的概念来量化样本的不确定性。熵越高,表示样本的不确定性越大。
可以理解的是,不确定性采样可以帮助模型学习那些难以分类的样本,从而提高模型的泛化能力。
可选的,本实施例中,信息密度采样是选择那些包含最多信息量的样本,这些样本大部分位于数据分布的边界区域,因为它们提供了关于数据分布的更多信息。
可选的,本实施例中,信息密度采样可以采取边界样本采样、密度估计采样以及聚类分析采样中的至少一种,边界样本,选择那些位于不同类别决策边界附近的样本。这些样本可以帮助模型更好地理解不同类别之间的界限。密度估计,使用密度估计技术(如核密度估计)来确定样本的密度。选择那些位于低密度区域的样本,因为这些区域的样本提供了更多关于数据分布的信息。聚类分析,通过聚类分析确定样本的分布,选择那些位于聚类边界或聚类中心的样本。
可以理解的是,信息密度采样可以帮助模型学习数据分布的细节,特别是在数据分布的边缘区域,这些区域通常包含了更多的信息。
可选的,本实施例中将不确定性采样和信息密度采样结合使用,以选择那些既具有高不确定性又包含丰富信息的特征样本。这种结合使用可以更有效地利用有限的标注数据,提高半监督学习模型的性能。
可以理解的是,通过这两种采样策略,模型可以更专注于那些对提高性能最有帮助的样本,从而在有限的标注数据下实现更好的学习效果。
可选的,本实施例中,预设特征标注规则是在聚类算法中引入的主动学习策略,选择对聚类结果影响较大的未标记样本进行人工标注,生成新的带标记数据。主动学习是一种让算法能够主动选择需要标注的数据样本进行人工标注的策略,从而有效减少人工标注的成本。在半监督聚类算法中,引入主动学习可以使得算法更加智能地选择那些对聚类结果影响较大的未标记样本进行标注,从而提高聚类的准确性。
可以理解的是,第一特征是历史工控流量网络数据中提取的特征,第二特征是采集第一特征中最不确定和密度最大的信息并进行主动学习标注得到的,这样得到的第二特征用来约束训练,优化聚类结果。
可选的,本实施例中,结合新的主动学习标记数据和深度学习提取的特征,集成为半监督数据集用于训练谱聚类算法模型,半监督学习结合了有标签和无标签的数据,以提高模型在有限标签数据情况下的性能。
可选的,本实施例中,使用半监督特征数据集对初始化聚类中心进行约束聚类操作,是进行调整聚类中心的操作,使得它们更加符合特征数据集的分布。根据约束聚类操作之后得到的优化聚类中心来更新预设谱聚类算法的参数,有助于改进聚类算法的性能。
可以理解的是,这一步骤结合了谱聚类、深度学习和主动学习三种技术,得到了一个工控系统数据报文分析模型,这个模型可以用于实时分析和识别工控系统中的网络流量模式,以便于检测异常行为或潜在的安全威胁。
通过步骤S303,本实施例构建了一个工控网络数据实时检测分析的数据报文模型,该模型可以实时检测工控网络环境中的攻击数据并进行追踪溯源。
在本申请的工控网络攻击事件溯源处理方法的一实施例中,参见图4,还可以具体包含如下内容:
步骤S401:根据预设时间间隔确定对应的时间轮询规则,根据预设负载均衡状态确定对应的负载轮询规则;
步骤S402:根据所述时间轮询规则和负载轮询规则确定对应的预设轮询规则。
可选的,本实施例中,时间轮询规则,轮询通常按照预定的时间间隔进行,监控系统会定时向每个设备或探针发送查询请求。时间间隔可以是每一小时进行检查或者每一天进行检查,通过轮询规则定期查询各个数据采集探针的状态和收集的数据。值得注意的是,时间间隔设定的更改不影响本发明实施例的实现。
可选的,本实施例中,负载轮询规则,轮询可以设计为在不同设备或探针之间均衡负载,避免对单个设备或探针的过度查询。定期检查网络设备的性能指标,如带宽使用、延迟、丢包率等。
可以理解的是,根据上述轮询规则的设定,可以适用于需要定期更新状态信息的场景,避免过度消耗网络资源和设备性能。
通过步骤S402,本实施例成功地制定了一个适用于各种场景的轮询规则,通过对于该规则的设定可以避免过度消耗网络资源和设备性能。
在本申请的工控网络攻击事件溯源处理方法的一实施例中,参见图5,还可以具体包含如下内容:
步骤S501:提取所述历史工控网络流量数据包中的流量特征和分配效果特征,确定对应的历史特征数据集,根据所述历史特征数据集和预设聚类算法进行流量识别操作,确定对应的流量类型特征;
步骤S502:根据所述流量类型特征对预设时间序列预测模型进行模型训练,确定经过所述模型训练后的模型预测结果,其中,所述预测结果包括流量模式和分配效果;
步骤S503:根据所述模型预测结果对预设哈希分配算法进行调整操作,确定对应的预设优化分配算法。
可选的,本实施例中,历史特征数据集是将分布式探针收集的数据中获取历史工控网络流量数据包进行特征提取后集合成的,用于后续的分析和模型训练。
其中,流量特征是从历史数据中提取与流量本身相关的特征,包括流量大小、协议类型以及端口号中的至少一种。分配效果特征是与之前流量分配效果相关的特征,包括延迟、丢包率以及处理时间中的至少一种。
可选的,本实施例中,使用预设聚类算法对流量数据进行聚类分析,通过聚类结果,识别不同的流量模式或流量类型。利用确定的流量类型特征,对一个预设时间序列预测模型进行训练,训练后的模型能够预测未来的流量模式和分配效果。其中,预设聚类算法包括K-means和层次聚类中的至少一种。
以K-means聚类算法确定流量模式举例说明,首先对收集到的流量数据进行数据预处理,包括数据清洗、数据标准化以及特征选择中的至少一种;其次,通过肘部法则确定K-means聚类算法的K值,使用流量数据训练聚类模型,根据聚类结果得到流量模式。
可选的,本实施例中,根据模型的预测结果,对现有的预设哈希分配算法进行调整。首先设定一个优化的流量分配策略,该策略基于预测的流量模式和分配效果,目的是提高网络性能,如降低延迟、避免拥塞等。
根据模型的预测结果,动态调整哈希算法的参数。举例说明:
场景1.如果预测到某个时间段内特定类型的流量会激增,可以预先调整哈希函数,使得这类流量能够更均匀地分配到不同的CPU上。
场景2.如果识别到某些IP地址或端口的流量异常,可以调整哈希算法来避免这些流量对系统性能的影响。
通过S503步骤,本实施例成功得到了一个预设优化分配算法,该算法可以快速确定最优转发路线,将探针监测获得的完整数据低延迟且高效的转发。
在本申请的工控网络攻击事件溯源处理方法的一实施例中,参见图6,还可以具体包含如下内容:
步骤S601:根据所述模型预测结果中的所述流量模式调整第一阶段哈希分配算法,确定数据包的初步分配结果;
步骤S602:根据所述模型预测结果中的所述分配效果和所述数据包的初步分配结果对第二阶段哈希分配算法进行调整操作,将经过所述调整操作后的第二阶段哈希分配算法确定为预设哈希分配算法。
可选的,本实施例中,第一阶段调整,首先,分析时间序列预测模型的输出结果,关注预测的流量模式。举例说明,流量模式可以包括流量的高峰和低谷时段和流量大小的预测值中的至少一种,基于预测的流量模式,调整第一阶段哈希分配算法的参数,此阶段的目的是根据流量状况动态调整分配到不同处理单元的数据量,以免造成单处理器流量负载过大瘫痪。
可选的,本实施例中,第二阶段调整,首先,分析时间序列预测模型的输出结果,关注预测的分配效果。举例说明,分配效果可以包括预测的延迟指标、丢包率指标以及吐量指标中的至少一种,基于预测的分配效果和第一阶段调整后的哈希分配算法的参数,进行第二阶段哈希分配算法的调整。此阶段目的是考虑如何在第一阶段的基础上进一步优化性能,减少因分配产生的数据延迟、数据丢包以及吐量。
可以理解的是,评估第一阶段哈希算法产生的初步分配结果,检查是否符合预期的分配效果,识别任何潜在的问题点或需要改进的地方。根据预测的分配效果和初步分配结果,调整第二阶段哈希分配算法。这一阶段的调整可能更加细致,考虑如何在第一阶段的基础上进一步优化性能。
举例说明,假设时间序列预测模型预测到在接下来的一个小时内,由于某个事件,网络流量将显著增加,则首先,使用时间序列模型预测流量大小和模式,调整第一阶段哈希算法,可以通过引入额外的哈希函数来分散流量。其次,根据预测的系统负载和第一阶段的分配结果,调整第二阶段哈希算法,确保高负载的处理单元不会过载,最后,实施调整后的哈希算法,并监控系统性能。
通过S602步骤,本实施例成功通过二阶段改进的哈希算法更进一步的优化数据包分配路径,根据时间序列模型预测结果,动态地调整二阶段哈希算法,以适应不断变化的网络条件和业务需求。
在本申请的工控网络攻击事件溯源处理方法的一实施例中,参见图7,还可以具体包含如下内容:
步骤S701:将所述历史工控网络流量数据包输入预设卷积神经循环网络进行特征提取操作,根据经过所述特征提取操作后的第一特征进行不确定性采样操作确定对应的最不确定样本,根据经过所述特征提取操作后的第一特征进行信息密度采样操作确定对应的高密度区域样本,根据所述最不确定样本和所述高密度区域样本确定对应的特征样本;
步骤S702:根据所述特征样本和预设特征标注规则确定对应的第二特征,根据所述第一特征和所述第二特征确定对应的半监督特征数据集。
可选的,本实施例中,不确定性采样的实现方式可以采取预测概率采样、置信区间采样以及熵采样中的至少一种。预测概率,对于每个样本,计算模型预测的类别概率分布。选择那些概率分布最接近均匀分布的样本。置信区间,计算每个样本预测的置信区间。选择那些置信区间最宽的样本,表示模型对这些样本的预测最不确定。熵,使用熵的概念来量化样本的不确定性。熵越高,表示样本的不确定性越大。
可以理解的是,不确定性采样可以帮助模型学习那些难以分类的样本,从而提高模型的泛化能力。
可选的,本实施例中,信息密度采样是选择那些包含最多信息量的样本,这些样本大部分位于数据分布的边界区域,因为它们提供了关于数据分布的更多信息。
可选的,本实施例中,信息密度采样可以采取边界样本采样、密度估计采样以及聚类分析采样中的至少一种,边界样本,选择那些位于不同类别决策边界附近的样本。这些样本可以帮助模型更好地理解不同类别之间的界限。密度估计,使用密度估计技术(如核密度估计)来确定样本的密度。选择那些位于低密度区域的样本,因为这些区域的样本提供了更多关于数据分布的信息。聚类分析,通过聚类分析确定样本的分布,选择那些位于聚类边界或聚类中心的样本。
可以理解的是,信息密度采样可以帮助模型学习数据分布的细节,特别是在数据分布的边缘区域,这些区域通常包含了更多的信息。
可选的,本实施例中,特征样本由以下部分组成:
最不确定样本:通过不确定性采样实现,这些样本可以帮助模型学习如何处理那些难以分类的情况。
高密度区域样本:通过信息密度采样实现,这些样本有助于模型捕捉数据的主要特征和分布,提高模型对常见情况的识别能力。
特征样本的确定涉及到对不确定性采样和信息密度采样得到的样本进行综合考虑,选择那些既具有代表性又能够提供最多信息的样本。
可以理解的是,将不确定性采样和信息密度采样结合使用,以选择那些既具有高不确定性又包含丰富信息的特征样本。这种结合使用可以更有效地利用有限的标注数据,提高半监督学习模型的性能。
通过S702步骤,本实施例通过这种结合不确定性采样和信息密度采样的方法,可以构建一个更加全面的特征样本集,这个样本集既包含了模型难以预测的样本,也包含了数据中常见的、信息丰富的样本。这样的样本集对于提高模型的泛化能力和对复杂情况的处理能力是非常有帮助的。
在本申请的工控网络攻击事件溯源处理方法的一实施例中,参见图8,还可以具体包含如下内容:
步骤S801:对所述半监督特征数据集进行相似性矩阵构建操作和特征向量分解操作,确定对应的半监督特征向量;
步骤S802:根据所述半监督特征向量对所述初始化聚类中心进行硬约束操作,确定对应的优化聚类中心;
步骤S803:根据所述优化聚类中心对所述预设谱聚类算法的参数进行调整操作,确定对应的工控系统数据报文分析模型。
可选的,本实施例中,半监督特征数据集的相似性矩阵构建,这个矩阵表示数据集中样本之间的相似度,相似度可以使用距离度量或相似度度量(如欧氏距离或余弦相似度)来计算。
可选的,本实施例中,对相似性矩阵进行特征向量分解操作,计算相似性矩阵的特征值和特征向量,特征向量分解允许找到数据在低维空间中的表示,这些表示能够捕捉到数据的主要结构和模式。
可选的,本实施例中,半监督特征向量是指那些结合了有标签和无标签数据信息的特征向量,它们用于指导聚类过程。
可选的,本实施例中,硬约束操作优化聚类中心,利用半监督特征向量,对初始化聚类中心进行硬约束操作。硬约束是指在聚类过程中,某些样本必须属于特定的聚类中心。
可以理解的是,硬约束操作是使用有标签数据来指导聚类中心的确定,确保聚类结果与已知的标签信息一致。通过硬约束操作,可以得到一组优化的聚类中心,更符合数据的实际分布,并且与有标签数据的标签信息相匹配。
可选的,本实施例中,根据优化的聚类中心,对预设的谱聚类算法的参数进行调整。包括调整聚类的数量、相似性阈值以及其他控制聚类过程的参数,参数调整的目的是提高聚类算法的性能,确保聚类结果的准确性和可靠性。最终,根据调整后的谱聚类算法参数,确定工控系统数据报文分析模型。
可以理解的是,上述整个过程是一个迭代和反馈的过程,通过结合有标签和无标签数据,不断优化聚类算法的性能,以适应工控系统数据报文的复杂性和动态性。通过这种方法,可以提高工控系统网络安全的监控和预警能力。
通过S803步骤,本实施例成功确定了工控系统数据报文分析模型,该模型能够实时对新的数据报文进行有效的聚类分析,识别出数据中的正常模式和潜在的异常行为。
在本申请的工控网络攻击事件溯源处理方法的一实施例中,参见图9,还可以具体包含如下内容:
步骤S901:通过所述展示层将经过所述综合分析溯源操作后得到的综合分析溯源结果输入预设告警模型确定对应的异常信息;
步骤S902:根据所述异常信息和预设告警分类规则,得到对应的告警信息。
可选的,本实施例中,综合分析溯源结果其中包含了所有分析的数据和发现的潜在问题,展示层作为用户界面,接收这些综合分析溯源结果,并将其作为输入数据。展示层将综合分析结果输入到告警模型中,模型会分析这些数据并确定是否存在任何异常信息,例如,流量突增、未授权访问尝试或可疑的配置更改。一旦检测到异常,系统会根据预设的告警分类规则来确定这些异常信息的具体类别。告警分类规则基于异常的性质、严重程度、影响范围等因素。根据匹配到的告警分类规则,系统生成具体的告警信息,这些信息包括告警的类型、时间、位置、可能的影响以及推荐的响应措施。
可选的,本实施例中,预设告警模型是提前经过训练所得到的损失函数最小的聚类算法模型。
可选的,本实施例中,告警信息通过展示层以可视化的方式呈现给用户,同时也可以发送到用户的电子邮件、手机或其他通知渠道。通知方式的选择不影响本发明实施例的实现。
通过S902步骤,本实施例成功地构建了一个告警模型,该模型可以接收溯源结果,将溯源结果进行分类并实时展示告警。
为了通过分布式数据采集和集中式综合分析进行工控网络攻击事件溯源并进行告警展示,提高工控网络攻击事件溯源的精度和可操作性,本申请提供一种用于实现所述工控网络攻击事件溯源处理方法的全部或部分内容的工控网络攻击事件溯源处理装置的实施例,参见图10,所述工控网络攻击事件溯源处理装置具体包含有如下内容:
采集处理模块10,用于根据所述采集处理层和预设轮询规则进行实时工控网络数据获取操作,确定对应的工控网络数据,将所述工控网络数据根据预设优化分配算法进行数据分配操作,确定对应的数据分配路径,并将所述工控网络数据依据所述数据分配路径进行数据转发,得到对应的工控网络转发数据,其中,采集处理层包括分布式采集探针程序和分布式采集探针设备中的至少一种;
综合分析模块20,用于通过所述分析处理层接收所述工控网络转发数据,判断所述工控网络转发数据是否与预设指纹特征数据库中的指纹特征匹配,若是,则输出与所述指纹特征对应的第一分析结果并进行综合分析溯源操作,否则,将所述工控网络转发数据输入预设工控系统数据报文分析模型,得到所述工控系统数据报文分析模型输出的第二分析结果并进行综合分析溯源操作,其中,所述指纹特征包括特定字段、字节序列以及统计信息中的至少一种报文分析模型;
展示模块30,用于通过所述展示层将经过所述综合分析溯源操作后得到的综合分析溯源结果输入预设告警模型进行数据分析操作,得到对应的告警信息,将所述告警信息输出到所述展示层的展示界面进行展示。
从上述描述可知,本申请实施例提供的工控网络攻击事件溯源处理装置,能够通过采集处理层和预设轮询规则进行实时工控网络数据获取操作,得到工控网络转发数据,通过分析处理层判断工控网络转发数据是否与预设指纹特征数据库中的指纹特征匹配,若是,则输出与指纹特征对应的第一分析结果并进行综合分析溯源操作,否则,将工控网络转发数据输入预设工控系统数据报文分析模型,得到第二分析结果并进行综合分析溯源操作,通过展示层将综合分析溯源结果输入预设告警模型进行数据分析操作,得到对应的告警信息,由此能够通过分布式数据采集和集中式综合分析进行工控网络攻击事件溯源并进行告警展示,提高工控网络攻击事件溯源的精度和可操作性。
为了通过分布式数据采集和集中式综合分析进行工控网络攻击事件溯源并进行告警展示,提高工控网络攻击事件溯源的精度和可操作性,本申请提供一种实现工控网络攻击事件溯源处理方法的系统的具体实施例,参见图11,所述工控网络攻击事件溯源处理系统以真实工控网络环境为例,包含有如下内容:
构建一个完整的网络攻击事件溯源体系以实现工控网络攻击事件溯源处理方法,其中,硬件设备层包括设备层、控制中心层、信息网层。
a)设备层,用于支撑采集处理层的功能,数据采集探针部署在设备层的关键节点,如工业交换机,实时捕获网络流量、系统日志等原始数据。这些原始数据是溯源分析的基础。值得注意的是,工业交换机是其中一种实施例,将工业交换机替换为工业服务器、工控终端等设备不影响本发明实施例的实现。
可选的,本实施例中,设备层的主要硬件包括:
数据采集探针:主要负责在设备层采集原始数据,并对这些数据进行初步处理,以便后续的分析。
工业交换机 (Industrial Switch): 用于连接工业设备和网络的交换机。
工程师站 (Engineer Station): 工程师用于设计、编程或监控工业自动化系统的计算机工作站。
PLC (Programmable Logic Controller): 可编程逻辑控制器,用于控制工业过程。
PTU (Power Take-off Unit): 动力输出装置,用于将机械能转换为其他形式的能量。
马达 (Motor): 将电能转换为机械能的设备。
驱动器 (Driver): 控制马达或其他执行器的设备。
抓取装置 (Gripper): 用于抓取或搬运物品的机械装置。
监控设备 (Monitoring Equipment): 用于监控生产过程或环境的设备。
传感器 (Sensor): 检测和响应物理条件(如温度、压力、湿度等)的设备。
阀鸟 (Valve): 控制流体流动的设备,用于开关或调节流量。
可以理解的是,在设备层部署数据采集设备和安全监控模块,设备层用于支撑采集处理层功能的实现,通过采集处理层实时采集设备的运行数据和安全日志。这些数据经过初步处理后,上传至分析处理层进行进一步的分析和处理。
b)控制中心层,用于支撑分析处理层的功能,作为整个溯源处理方法的核心,控制中心层负责接收来自各个采集探针的数据,并进行集中管理和调度。它可以根据不同的分析需求,灵活配置和调度资源,确保分析的准确性和高效性。
可选的,本实施例中,控制中心层的主要硬件包括:
历史数据 (Historical Data): 存储在数据库中的过去发生的事件或数据记录。
实时数据 (Real-time Data): 实时收集和处理的数据,用于快速响应和决策。
工控安全监测及溯源系统管理平台:用于支持工控系统数据报文分析模型的功能。
可以理解的是,控制中心层作为整个溯源处理方法的决策和管理中枢,起到了协调和调度的作用,且用于支撑分析处理层功能的实现,通过分析处理层对接收到的数据进行深入的分析和溯源处理,利用专业的安全分析工具、算法和模型,对原始数据进行模式识别、异常检测、关联分析等操作,从而识别出攻击事件的来源、路径和目的。
c)信息网层,用于支撑展示层的功能,信息网层是工控网络中的信息传输和交换层,负责实现各层级之间的通信和数据交互。
可选的,本实施例中,信息网层的主要硬件包括:
ERP服务器(Enterprise Resource Planning,简称ERP)是一种集成化的软件解决方案,用于管理和协调企业各个部门的运营和业务流程,包括采购、销售、资产管理、生产计划、质量控制、人力资源管理等。ERP服务器实际上是安装了ERP系统、存放了ERP程序的服务器,其硬件配置与所运行的ERP软件有密切关系,通常要求大内存、大硬盘和好的带宽。使用者可以通过浏览器或移动设备,通过网络访问ERP服务器。
MES服务器:(Manufacturing Execution System,简称MES)是一套专为制造企业车间执行层设计的生产信息化管理系统,全面覆盖从原材料进厂到最终产品出厂的整个增值过程。它在企业管理架构中占据至关重要的位置,承接了过程控制层之上的复杂管理需求,并为ERP系统提供准确的数据支持。
OPC监控终端 (OPC Monitoring Terminal): OPC(OLE for Process Control)是一种工业通信协议,用于数据交换。OPC监控终端用于实时监控和控制工业过程。
可以理解的是,信息网层用于支撑展示层功能的实现,通过展示层以可视化方式呈现给管理员或分析人员,可以直观了解攻击事件的全貌,快速做出决策和响应。
通过工控溯源系统的构建,在整个溯源处理过程中,设备层、控制中心层和信息网层相互协作,共同创建了一个完整的溯源处理体系。设备层提供实时监测数据和日志,控制中心层进行决策和协调,信息网层提供通信支持和可视化展示。通过各层级的协同工作,实现对工控网络攻击事件的快速溯源和定位。
为了通过分布式数据采集和集中式综合分析进行工控网络攻击事件溯源并进行告警展示,提高工控网络攻击事件溯源的精度和可操作性,本申请提供一种工控网络攻击事件溯源处理方法的具体实施例,参见图12,所述工控网络攻击事件溯源处理方法以真实工控网络环境为例,包含有如下内容:
a)采集处理层,功能由设备层支持,采集处理层在采集到原始数据后,探针会对数据进行清洗、过滤和格式化,以去除噪声和无关信息,提取出与攻击事件相关的关键信息。同时,探针还可以对数据进行初步的分析和聚合,形成更高级别的数据摘要或报警信息。
可以理解的是,网络流量采集和初步分析,指收集通过网络传输的数据包对收集到的数据进行初步的分析处理。Suricata,Suricata是一个开源的入侵检测系统(IDS)能够实时监视网络传输,并根据预设的策略在发现可疑传输时发出警报,对于网络安全的维护和防护起到重要作用。PF_RING,PF_RING是一个高性能的网络数据包捕获库。两者结合用于高效的网络流量监控和分析。数据标记,指的是在数据采集和初步分析过程中对数据进行标记,以便后续分类和分析。
b)分析处理层,功能由控制中心层支持,分析处理层对接收到的数据进行深入分析。这包括利用已知的攻击模式、行为特征等进行模式匹配和异常检测,以及运用机器学习、数据挖掘等技术进行关联分析和溯源推理。通过分析处理层的工作,可以识别出攻击事件的来源、路径和目的,为后续的应急响应和防范提供重要依据。
可以理解的是,分析处理层的核心分析功能是由工控系统数据报文分析模型来实现的,模型实现过程包括,实时检测、聚类、扩围、关键事件规则标识匹配等。
其中,STORM,STORM是由Twitter开源的类似于Hadoop的实时数据处理框架。STORM是分布式流式数据处理系统,强大的分布式集群管理、便捷的针对流式数据的编程模型、高容错保障这些都是其成为流式实时数据处理的首选。关键事件规则标识匹配,指通过规则匹配来识别关键事件或异常行为。标记类数据,指已经被分类或标记的数据。未标记类数据,指尚未分类或标记的数据。聚类、扩围,数据分析技术,用于将相似的数据点聚集在一起,并可能扩展到相关数据。ES数据库,基于Lucene的搜索引擎,通常用于日志数据的存储和搜索。
c)展示层,功能由信息网层支持,分析处理层的结果通过展示层以可视化方式呈现给管理员或分析人员。展示层提供友好的用户界面和交互功能,允许用户查看攻击事件的详细信息、溯源图谱、统计报告等。通过展示层,用户可以直观了解攻击事件的全貌,快速做出决策和响应。
其中,告警显示 (Alert Display),用于显示安全事件或异常情况的告警信息。
Web,指的是基于互联网的应用程序和服务,系统通过Web界面提供服务。
可以理解的是,展示层将分析处理层的结果以用户友好的方式展现出来,为用户提供了便捷的操作和查看体验。
通过上述三个层级,在溯源处理方法中相互协作,共同完成对攻击事件的溯源任务。采集处理层负责提供原始数据和初步处理结果,分析处理层则对这些数据进行深入的分析和挖掘,以揭示攻击事件的真相,最后展示层将这些分析结果以直观的方式呈现给用户。
通过这样的层次化设计,该溯源处理方法能够有效地整合和处理大量的安全数据,提高溯源效率和准确性,为工控网络的安全管理提供有力支持。
本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (8)
1.一种工控网络攻击事件溯源处理方法,其特征在于,应用于工控网络系统,所述工控网络系统包括采集处理层、分析处理层以及展示层,所述采集处理层与所述分析处理层通信连接,所述分析处理层与所述展示层通信连接,所述方法包括:
根据所述采集处理层和预设轮询规则进行实时工控网络数据获取操作,确定对应的工控网络数据,将所述工控网络数据根据预设优化分配算法进行数据分配操作,确定对应的数据分配路径,并将所述工控网络数据依据所述数据分配路径进行数据转发,得到对应的工控网络转发数据,其中,采集处理层包括分布式采集探针程序和分布式采集探针设备中的至少一种;
获取历史工控网络流量数据包,根据预设协议分析规则对所述历史工控网络流量数据包中的协议信息进行特征提取操作,得到对应的指纹特征;对所述指纹特征进行标签标注操作,得到经过所述标签标注操作之后的标签信息,根据所述指纹特征和所述标签信息确定对应的流量样本库;对所述流量样本库进行数据聚类操作和数据分类操作,确定对应的预设指纹特征数据库;通过所述分析处理层接收所述工控网络转发数据,判断所述工控网络转发数据是否与预设指纹特征数据库中的指纹特征匹配,若是,则输出与所述指纹特征对应的第一分析结果并进行综合分析溯源操作,否则,根据所述历史工控网络流量数据包和预设谱聚类算法确定对应的初始化聚类中心,将所述历史工控网络流量数据包输入预设卷积神经循环网络进行特征提取操作,根据经过所述特征提取操作后的第一特征进行不确定性采样操作和信息密度采样操作,确定对应的特征样本,根据所述特征样本和预设特征标注规则确定对应的第二特征,根据所述第一特征和所述第二特征确定对应的半监督特征数据集,根据所述半监督特征数据集对所述初始化聚类中心进行约束聚类操作,根据经过所述约束聚类操作之后得到的优化聚类中心更新所述预设谱聚类算法的参数,确定对应的工控系统数据报文分析模型,将所述工控网络转发数据输入预设工控系统数据报文分析模型,得到所述工控系统数据报文分析模型输出的第二分析结果并进行综合分析溯源操作,其中,所述指纹特征包括特定字段、字节序列以及统计信息中的至少一种;
通过所述展示层将经过所述综合分析溯源操作后得到的综合分析溯源结果输入预设告警模型进行数据分析操作,得到对应的告警信息,将所述告警信息输出到所述展示层的展示界面进行展示。
2.根据权利要求1所述的工控网络攻击事件溯源处理方法,其特征在于,在所述根据所述采集处理层和预设轮询规则进行实时工控网络数据获取操作,确定对应的工控网络数据之前,包括:
根据预设时间间隔确定对应的时间轮询规则,根据预设负载均衡状态确定对应的负载轮询规则;
根据所述时间轮询规则和负载轮询规则确定对应的预设轮询规则。
3.根据权利要求1所述的工控网络攻击事件溯源处理方法,其特征在于,在所述将所述工控网络数据根据预设优化分配算法进行数据分配操作,确定对应的数据分配路径之前,包括:
提取所述历史工控网络流量数据包中的流量特征和分配效果特征,确定对应的历史特征数据集,根据所述历史特征数据集和预设聚类算法进行流量识别操作,确定对应的流量类型特征;
根据所述流量类型特征对预设时间序列预测模型进行模型训练,确定经过所述模型训练后的模型预测结果,其中,所述预测结果包括流量模式和分配效果;
根据所述模型预测结果对预设哈希分配算法进行调整操作,确定对应的预设优化分配算法。
4.根据权利要求3所述的工控网络攻击事件溯源处理方法,其特征在于,所述根据所述模型预测结果对预设哈希分配算法进行调整操作,确定对应的预设优化分配算法,包括:
根据所述模型预测结果中的所述流量模式调整第一阶段哈希分配算法,确定数据包的初步分配结果;
根据所述模型预测结果中的所述分配效果和所述数据包的初步分配结果对第二阶段哈希分配算法进行调整操作,将经过所述调整操作后的第二阶段哈希分配算法确定为预设哈希分配算法。
5.根据权利要求1所述的工控网络攻击事件溯源处理方法,其特征在于,所述将所述历史工控网络流量数据包输入预设卷积神经循环网络进行特征提取操作,根据经过所述特征提取操作后的第一特征进行不确定性采样操作和信息密度采样操作,确定对应的特征样本,根据所述特征样本和预设特征标注规则确定对应的第二特征,根据所述第一特征和所述第二特征确定对应的半监督特征数据集,包括:
将所述历史工控网络流量数据包输入预设卷积神经循环网络进行特征提取操作,根据经过所述特征提取操作后的第一特征进行不确定性采样操作确定对应的最不确定样本,根据经过所述特征提取操作后的第一特征进行信息密度采样操作确定对应的高密度区域样本,根据所述最不确定样本和所述高密度区域样本确定对应的特征样本;
根据所述特征样本和预设特征标注规则确定对应的第二特征,根据所述第一特征和所述第二特征确定对应的半监督特征数据集。
6.根据权利要求1所述的工控网络攻击事件溯源处理方法,其特征在于,所述根据所述半监督特征数据集对所述初始化聚类中心进行约束聚类操作,根据经过所述约束聚类操作之后得到的优化聚类中心更新所述预设谱聚类算法的参数,确定对应的工控系统数据报文分析模型,包括:
对所述半监督特征数据集进行相似性矩阵构建操作和特征向量分解操作,确定对应的半监督特征向量;
根据所述半监督特征向量对所述初始化聚类中心进行硬约束操作,确定对应的优化聚类中心;
根据所述优化聚类中心对所述预设谱聚类算法的参数进行调整操作,确定对应的工控系统数据报文分析模型。
7.根据权利要求1所述的工控网络攻击事件溯源处理方法,其特征在于,所述通过所述展示层将经过所述综合分析溯源操作后得到的综合分析溯源结果输入预设告警模型进行数据分析操作,得到对应的告警信息,包括:
通过所述展示层将经过所述综合分析溯源操作后得到的综合分析溯源结果输入预设告警模型确定对应的异常信息;
根据所述异常信息和预设告警分类规则,得到对应的告警信息。
8.根据权利要求1所述的工控网络攻击事件溯源处理方法,其特征在于,还包括一种工控网络攻击事件溯源处理装置,所述装置包括:
采集处理模块,用于根据所述采集处理层和预设轮询规则进行实时工控网络数据获取操作,确定对应的工控网络数据,将所述工控网络数据根据预设优化分配算法进行数据分配操作,确定对应的数据分配路径,并将所述工控网络数据依据所述数据分配路径进行数据转发,得到对应的工控网络转发数据,其中,采集处理层包括分布式采集探针程序和分布式采集探针设备中的至少一种;
综合分析模块,用于通过分析处理层接收所述工控网络转发数据,判断所述工控网络转发数据是否与预设指纹特征数据库中的指纹特征匹配,若是,则输出与所述指纹特征对应的第一分析结果并进行综合分析溯源操作,否则,将所述工控网络转发数据输入预设工控系统数据报文分析模型,得到所述工控系统数据报文分析模型输出的第二分析结果并进行综合分析溯源操作,其中,所述指纹特征包括特定字段、字节序列以及统计信息中的至少一种;
展示模块,用于通过展示层将经过所述综合分析溯源操作后得到的综合分析溯源结果输入预设告警模型进行数据分析操作,得到对应的告警信息,将所述告警信息输出到所述展示层的展示界面进行展示。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410832655.9A CN118400191B (zh) | 2024-06-26 | 2024-06-26 | 工控网络攻击事件溯源处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410832655.9A CN118400191B (zh) | 2024-06-26 | 2024-06-26 | 工控网络攻击事件溯源处理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN118400191A CN118400191A (zh) | 2024-07-26 |
| CN118400191B true CN118400191B (zh) | 2024-08-30 |
Family
ID=92006079
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410832655.9A Active CN118400191B (zh) | 2024-06-26 | 2024-06-26 | 工控网络攻击事件溯源处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN118400191B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN119766707A (zh) * | 2025-03-10 | 2025-04-04 | 北京涵鑫盛科技有限公司 | 基于通信请求实时解析的设备间溯源图构建方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114584401A (zh) * | 2022-05-06 | 2022-06-03 | 国家计算机网络与信息安全管理中心江苏分中心 | 一种面向大规模网络攻击的追踪溯源系统及方法 |
| CN116015903A (zh) * | 2022-12-29 | 2023-04-25 | 南京仁可科技有限公司 | 一种网络安全态势感知综合分析系统及其方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114422213B (zh) * | 2021-12-31 | 2023-07-25 | 南京邮电大学 | 基于int的异常流量检测方法和装置 |
| CN117749446A (zh) * | 2023-12-07 | 2024-03-22 | 中移动信息技术有限公司 | 攻击对象溯源方法、装置、设备及介质 |
-
2024
- 2024-06-26 CN CN202410832655.9A patent/CN118400191B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114584401A (zh) * | 2022-05-06 | 2022-06-03 | 国家计算机网络与信息安全管理中心江苏分中心 | 一种面向大规模网络攻击的追踪溯源系统及方法 |
| CN116015903A (zh) * | 2022-12-29 | 2023-04-25 | 南京仁可科技有限公司 | 一种网络安全态势感知综合分析系统及其方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN118400191A (zh) | 2024-07-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Khan et al. | HML-IDS: A hybrid-multilevel anomaly prediction approach for intrusion detection in SCADA systems | |
| US20220353286A1 (en) | Artificial intelligence cyber security analyst | |
| CN117411703B (zh) | 一种面向Modbus协议的工业控制网络异常流量检测方法 | |
| EP2487860B1 (en) | Method and system for improving security threats detection in communication networks | |
| Nakhodchi et al. | Steeleye: An application-layer attack detection and attribution model in industrial control systems using semi-deep learning | |
| Kaouk et al. | A review of intrusion detection systems for industrial control systems | |
| CN118400191B (zh) | 工控网络攻击事件溯源处理方法及装置 | |
| CN117439916A (zh) | 一种网络安全测试评估系统及方法 | |
| CN119211000A (zh) | 一种电力通信网络故障预测与诊断系统 | |
| Xue et al. | Prediction of computer network security situation based on association rules mining | |
| Kummerow et al. | Cyber-physical data stream assessment incorporating Digital Twins in future power systems | |
| CN118413379A (zh) | 工业环境下僵尸网络智能识别与防御系统 | |
| CN116896462A (zh) | 基于网络安全管理的智慧矿山网络态势感知系统 | |
| Sreelakshmi et al. | Enhancing intrusion detection systems with machine learning | |
| Alem et al. | A hybrid intrusion detection system in industry 4.0 based on ISA95 standard | |
| CN119011190A (zh) | 异常流量检测方法及相关设备 | |
| Adjei et al. | Robust network anomaly detection with K-nearest neighbors (KNN) enhanced digital twins | |
| Al-Muntaser et al. | Cybersecurity advances in scada systems | |
| CN117354251A (zh) | 一种电力物联终端特征的自动化提取方法 | |
| Sahu et al. | Sustainable Machine Learning for Real-Time DDoS Attack Detection and Mitigation in Industry 4.0 CPS | |
| Liang | Research on network security filtering model and key algorithms based on network abnormal traffic analysis | |
| Skoumperdis et al. | A novel self-learning cybersecurity system for smart grids | |
| Francia | A machine learning test data set for continuous security monitoring of industrial control systems | |
| CN118381682B (zh) | 工控网络攻击事件综合分析溯源方法及装置 | |
| Qiu et al. | Automatic feature extraction model of power iot terminal |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |