CN109696892A - 一种安全自动化***及其控制方法 - Google Patents
一种安全自动化***及其控制方法 Download PDFInfo
- Publication number
- CN109696892A CN109696892A CN201811574965.6A CN201811574965A CN109696892A CN 109696892 A CN109696892 A CN 109696892A CN 201811574965 A CN201811574965 A CN 201811574965A CN 109696892 A CN109696892 A CN 109696892A
- Authority
- CN
- China
- Prior art keywords
- attack
- module
- log
- automation system
- safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 28
- 238000004519 manufacturing process Methods 0.000 claims abstract description 63
- 238000007405 data analysis Methods 0.000 claims abstract description 29
- 238000012550 audit Methods 0.000 claims abstract description 24
- 230000008859 change Effects 0.000 claims description 10
- 230000006399 behavior Effects 0.000 claims description 9
- 102220605052 Histone H4-like protein type G_S61A_mutation Human genes 0.000 claims description 3
- 102220479869 Protein FAM180A_S62A_mutation Human genes 0.000 claims description 3
- 206010022000 influenza Diseases 0.000 claims description 2
- 235000013399 edible fruits Nutrition 0.000 claims 1
- 230000009286 beneficial effect Effects 0.000 abstract 1
- 235000012907 honey Nutrition 0.000 description 52
- 241000208713 Dionaea Species 0.000 description 11
- 238000012544 monitoring process Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 238000004088 simulation Methods 0.000 description 2
- 206010054949 Metaplasia Diseases 0.000 description 1
- 101150030531 POP3 gene Proteins 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013497 data interchange Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000007717 exclusion Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000015689 metaplastic ossification Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/4185—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/30—Nc systems
- G05B2219/31—From computer integrated manufacturing till monitoring
- G05B2219/31088—Network communication between supervisor and cell, machine group
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Manufacturing & Machinery (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明安全自动化***及其控制方法,应用于自动化生产***中;安全自动化***与自动化生产***具有相同的生产环境;安全自动化***包括:获取模块,获取攻击行为;分类识别模块,连接获取模块,对攻击行为进行分类;多个引诱攻击模块,每个引诱攻击模块与分类识别模块连接,将对应类型的攻击行为生成对应的日志;数据分析模块,与每个引诱攻击模块连接,从日志中读取得到各个攻击行为的攻击源信息并统计;判断模块,连接数据分析模块,将超过预设阈值的攻击源整合至报警信息中输出;自动化模块,与判断模块连接,将报警信息写入自动化生产***中。本发明的有益效果在于:提高自动化生产***的安全性和可靠性,提高收集和审计攻击行为的效率。
Description
技术领域
本发明涉及生产安全技术领域,尤其涉及一种安全自动化***及其控制方法。
背景技术
随着生产安全技术的不断提高以及互联网技术的快速普及,可以给生产安全技术领域带来新机遇,但也带来了新的威胁。由于互联网的连通性,使得恶意分子可在任何一个连接互联网的终端上,远程对生产设备发起精准攻击。在发生网络安全事件时,人们迫切的想知道恶意分子对生产设备的服务器进行攻击的类型以及如何杜绝这些恶意分子的攻击。而发生网络安全事件的生产设备上含有大量安全事件相关信息,对这些安全信息进行采集并集中分析,能够有效得出安全事件发生过程,为安全事件处置提供方向。
现有技术中,当前在生产安全事件的应急处置上的工作均靠人员手动查看安全信息,以人工方式排查和审计,以确定攻击行为是否为对生产设备的恶意攻击行为,而后对恶意攻击行为进行防护。然而通过人工方式对安全信息进行排查和审计,存在安全信息志分散、体量大,人工方式费时费力,效率及准确率低的缺点。
发明内容
针对现有技术中存在的上述问题,现提供一种旨在通过设置与自动化生产***具有相同的生产环境的安全自动化***,并通过安全自动化***收集攻击行为,并对攻击行为进行分类和分析,将进行分类和分析后的攻击源自动化写入自动化生产***,从而提高自动化生产***的安全性和可靠性,以及提高收集和审计攻击行为的效率的安全自动化***及其控制方法。
具体技术方案如下:
一种安全自动化***,应用于自动化生产***中;其中,安全自动化***与自动化生产***具有相同的生产环境;
安全自动化***具体包括:
获取模块,用于获取对安全自动化***进行攻击得到的攻击行为;
分类识别模块,连接获取模块,用于采用预设的攻击类型对攻击行为进行分类;
多个引诱攻击模块,每个引诱攻击模块与分类识别模块连接,每个引诱攻击模块对应于一个类型的攻击行为,并用于作为对应类型的攻击行为的攻击对象,生成对应的日志并输出;
数据分析模块,与每个引诱攻击模块连接,用于接收各个引诱攻击模块输出的日志,并从日志的特定字段中读取得到各个攻击行为的攻击源信息并进行统计,数据分析模块输出统计结果;
判断模块,连接数据分析模块,判断模块用于根据统计结果,判断各个攻击源的攻击次数是否超过一预设阈值,并将超过预设阈值的攻击源整合至一报警信息中输出;
自动化模块,与判断模块连接,用于将报警信息写入自动化生产***中。
优选的,安全自动化***,其中,数据分析模块包括:
数据分析单元,接收每个日志,并从日志的特定字段中读取得到各个攻击行为的攻击源信息;
数据统计单元,与数据分析单元连接,对各个攻击行为的同一攻击源信息进行统计,并输出统计结果。
优选的,安全自动化***,其中,自动化模块包括:
写入单元,将报警信息写入自动化生产***中;
生成单元,将报警信息生成写入文件;
防火墙单元,与文本生成单元连接,将文本文件中的攻击源信息写入自动化生产***的防火墙中。
优选的,安全自动化***,其中,包括一安全审计模块,安全审计模块与自动化模块连接,安全审计模块包括:
第一安全审计单元,记录自动化模块写入自动化生产***中的报警信息,以生成第一记录内容,并将第一记录内容发送给管理员;
第二安全审计单元,实时监控自动化模块将攻击源信息写入防火墙的行为以及防火墙依据攻击源信息进行的变更记录,以生成第二记录内容,并将第二记录内容发送给管理员。
优选的,安全自动化***,其中,包括存储模块,存储模块分别与获取模块,分类识别模块,每个引诱攻击模块和判断模块连接,用于存储攻击行为,攻击行为的分类标签,日志和报警信息。
还包括一种安全自动化***的控制方法,应用于安全自动化***中;其中,安全自动化***应用于自动化生产***中;
控制方法包括以下步骤:
步骤S1,获取对安全自动化***进行攻击得到的攻击行为;
步骤S2,采用预设的攻击类型对攻击行为进行分类;
步骤S3,将每个类型的攻击行为生成对应的日志并输出;
步骤S4,接收各个引诱攻击模块输出的日志,并从日志的特定字段中读取得到各个攻击行为的攻击源信息并进行统计,数据分析模块输出统计结果;
步骤S5,判断各个攻击源的攻击次数是否超过预设阈值;
若是,将超过预设阈值的攻击源整合至一报警信息中输出;
若否,返回步骤S1;
步骤S6,将报警信息写入自动化生产***中。
优选的,安全自动化***的控制方法,其中,步骤S4包括以下步骤:
步骤S41,接收每个日志,并从日志的特定字段中读取得到各个攻击行为的攻击源信息;
步骤S42,对各个攻击行为的同一攻击源信息进行统计,并输出统计结果。
优选的,安全自动化***的控制方法,其中,步骤S6包括以下步骤:
步骤S61A,记录自动化模块写入自动化生产***中的报警信息,以生成第一记录内容;
步骤S62A,将第一记录内容发送给管理员。
优选的,安全自动化***的控制方法,其中,步骤S6包括以下步骤:
步骤S61B,实时监控自动化模块将攻击源信息写入防火墙的行为以及防火墙依据攻击源信息进行的变更记录,以生成第二记录内容;
步骤S62B,将第二记录内容发送给管理员。
上述技术方案具有如下优点或有益效果:通过设置与自动化生产***具有相同的生产环境的安全自动化***,并通过安全自动化***收集攻击行为,并对攻击行为进行分类和分析,将进行分类和分析后的攻击源自动化写入自动化生产***,从而提高自动化生产***的安全性和可靠性,以及提高收集和审计攻击行为的效率。
附图说明
参考所附附图,以更加充分的描述本发明的实施例。然而,所附附图仅用于说明和阐述,并不构成对本发明范围的限制。
图1为本发明安全自动化***实施例的结构示意图;
图2为本发明安全自动化***实施例的数据分析模块的结构示意图;
图3为本发明安全自动化***实施例的自动化模块的结构示意图;
图4为本发明安全自动化***的控制方法的实施例的自动化模块的流程图;
图5为本发明安全自动化***的控制方法的实施例的自动化模块的步骤S4的流程图;
图6为本发明安全自动化***的控制方法的实施例的自动化模块的步骤S6的流程图A;
图7为本发明安全自动化***的控制方法的实施例的自动化模块的步骤S6的流程图B。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
下面结合附图和具体实施例对本发明作进一步说明,但不作为本发明的限定。
如图1所示,本发明包括一种安全自动化***,应用于自动化生产***1中;安全自动化***2与自动化生产***1具有相同的生产环境;
安全自动化***2具体包括:
获取模块21,用于获取对安全自动化***2进行攻击得到的攻击行为;
分类识别模块22,连接获取模块21,用于采用预设的攻击类型对攻击行为进行分类;
多个引诱攻击模块23,每个引诱攻击模块23与分类识别模块22连接,每个引诱攻击模块23对应于一个类型的攻击行为,并用于作为对应类型的攻击行为的攻击对象,生成对应的日志并输出;
数据分析模块24,与每个引诱攻击模块23连接,用于接收各个引诱攻击模块23输出的日志,并从日志的特定字段中读取得到各个攻击行为的攻击源信息并进行统计,数据分析模块24输出统计结果;
判断模块25,连接数据分析模块24,判断模块25用于根据统计结果,判断各个攻击源的攻击次数是否超过一预设阈值,并将超过预设阈值的攻击源整合至一报警信息中输出;
自动化模块26,与判断模块25连接,用于将报警信息写入自动化生产***1中。
在上述实施例中,通过设置与自动化生产***1具有相同的生产环境的安全自动化***2,并通过安全自动化***2的获取模块21收集攻击行为,通过分类识别模块22对攻击行为进行分类,通过每个引诱攻击模块23对应于一个类型的攻击行为,并用于作为对应类型的攻击行为的攻击对象,生成对应的日志并输出,通过数据分析模块24对日志的特定字段中读取得到各个攻击行为的攻击源信息并进行统计,通过判断模块25对统计结果进行判断并得到报警信息,通过自动化模块26将报警信息自动化写入自动化生产***1,从而提高自动化生产***1的安全性和可靠性,通过自动化的方式更省时省力,而且提高写入效率及准确率。
进一步地,作为优选的实施方式,多个引诱攻击模块23可以为多个蜜罐模块,每个蜜罐模块根据蜜罐技术对应于一个类型的攻击行为,并用于作为对应类型的攻击行为的攻击对象,生成对应的蜜罐日志并输出。
进一步地,在上述优选的实施方式中,每个蜜罐模块包括:
第一蜜罐模块——Cowrie蜜罐,即交互式基于SSH(Secure Shell,安全外壳协议)的蜜罐,可以对扫描SSH和TELNET(远程终端协议)暴力破解账户和密码进行记录,当用户破解账户和密码登录后,保存通过wget(一种从网络上自动下载文件的自由工具)和curl(CommandLine Uniform Resource Locator,是一个利用URL(Uniform Resource Locator,统一资源定位符)语法在命令行下工作的文件传输工具)下载的文件以及通过SFTP(SecureFile TransferProtocol,安全文件传送协议)和SCP(secure copy,传送命令)上传的文件。
即第一蜜罐模块所针对的攻击行为为暴力破解账户和密码的攻击行为。换言之,第一蜜罐模块中所模拟的***漏洞为针对该攻击行为的***漏洞。
第二蜜罐模块——Honeytrap蜜罐,用于记录针对传输控制协议(TransmissionControl Protocol,TCP)或用户数据报协议(User Datagram Protocol,UDP)服务的攻击行为;并且Honeytrap蜜罐作为一个守护程序模拟一些知名的服务,并能够分析攻击字符串,执行相应的下载文件指令。
即第二蜜罐模块中的攻击行为为针对传输控制协议或用户数据报协议服务(如SMTP、pop3、远程桌面等服务)的攻击行为。
第三蜜罐模块——Elasticpot蜜罐,即一种模拟elastcisearch(一种用于分布式全文检索的搜索服务器)RCE(Reverse Compile Enginering,远程执行)漏洞的蜜罐,通过伪造函数在/,/_search,/_nodes(一个节点)的请求上回应脆弱ES(elastcisearch)实例的JSON(一种基于JavaScript语言的轻量级的数据交换格式)格式消息。
第四蜜罐模块——Glastopf蜜罐,即一种低交互型Web(World Wide Web,全球广域网)应用蜜罐,Glastopf蜜罐它能够模拟成千上万的web漏洞,针对攻击的不同攻击手段来回应攻击者,然后从对目标Web应用程序的攻击过程中收集数据。它的目标是针对自动化漏洞扫描/利用工具,通过对漏洞利用方式进行归类,针对某一类的利用方式返回对应的合理结果,以此实现低交互。
即第四蜜罐模块中的攻击行为为针对自动化漏洞扫描/利用的攻击行为。
第五蜜罐模块——Dionaea蜜罐,Dionaea是运行于Linux(一种操作***)上的一个应用程序,将程序运行于网络环境下,它开放Internet(互联网)常见服务的默认端口,当有外来连接时,模拟正常服务给予反馈,同时记录下出入网络数据流。网络数据流经由检测模块检测后按类别进行处理,如果有shellcode(填充数据)则进行仿真执行;程序会自动下载shellcode中指定或后续攻击命令指定下载的恶意文件。
即第五蜜罐模块中的攻击行为为shellcode中指定或后续攻击命令指定下载的恶意文件中的攻击行为。
进一步地,在上述优选的实施方式中,每个蜜罐模块生成对应的蜜罐日志。
例如,Cowrie蜜罐模块生成对应的cowrie蜜罐日志;
Honeytrap蜜罐模块生成对应的honeytrap模块日志;
Elasticpot蜜罐模块生成对应的elasticpot模块日志;
Glastopf蜜罐模块生成对应的glastopf模块日志;
Dionaea蜜罐模块生成对应的dionaea模块日志。
进一步地,在上述实施例中,如图2所示,数据分析模块24包括:
数据分析单元241,接收每个日志,并从日志的特定字段中读取得到各个攻击行为的攻击源信息;
数据统计单元242,与数据分析单元241连接,对各个攻击行为的同一攻击源信息进行统计,并输出统计结果。
进一步地,作为优选的实施方式,当攻击行为在第一蜜罐模块——Cowrie蜜罐中的攻击行为时,Cowrie蜜罐生成对应的cowrie模块日志,数据分析单元241接收每个cowrie模块日志,并从cowrie模块日志的特定字段中读取得到各个攻击行为的攻击源信息(例如:读取cowrie模块日志中特定字段为src_ip中攻击行为的攻击源信息),数据统计单元242对各个攻击行为的同一攻击源信息进行统计,并输出统计结果,即通过统计得到的同一攻击源信息的数量,即同一个攻击源的攻击次数。
随后将统计结果输出给判断模块25,判断模块25用于根据统计结果,判断各个攻击源的攻击次数是否超过一预设阈值,并将超过预设阈值的攻击源整合至一报警信息中输出。
即通过上述实施方案了解第一蜜罐模块的cowrie模块日志中的每个攻击源是否进行恶意攻击。
进一步地,作为优选的实施方式,当攻击行为在第二蜜罐模块——Honeytrap蜜罐中的攻击行为时,Honeytrap蜜罐生成对应的honeytrap模块日志,数据分析单元241接收每个honeytrap模块日志,并从honeytrap模块日志的特定字段中读取得到各个攻击行为的攻击源信息(例如:读取honeytrap模块日志中特定字段为remote_ip中攻击行为的攻击源信息),数据统计单元242对各个攻击行为的同一攻击源信息进行统计,并输出统计结果,即通过统计得到的同一攻击源信息的数量,即同一个攻击源的攻击次数。
随后将统计结果输出给判断模块25,判断模块25用于根据统计结果,判断各个攻击源的攻击次数是否超过一预设阈值,并将超过预设阈值的攻击源整合至一报警信息中输出。
即通过上述实施方案了解第一蜜罐模块的honeytrap模块日志中的每个攻击源是否进行恶意攻击。
进一步地,作为优选的实施方式,当攻击行为在第三蜜罐模块——Elasticpot蜜罐中的攻击行为时,Elasticpot蜜罐生成对应的elasticpot模块日志,数据分析单元241接收每个elasticpot模块日志,并从elasticpot模块日志的特定字段中读取得到各个攻击行为的攻击源信息(例如:读取elasticpot模块日志中特定字段为src_ip中攻击行为的攻击源信息),数据统计单元242对各个攻击行为的同一攻击源信息进行统计,并输出统计结果,即通过统计得到的同一攻击源信息的数量,即同一个攻击源的攻击次数。
随后将统计结果输出给判断模块25,判断模块25用于根据统计结果,判断各个攻击源的攻击次数是否超过一预设阈值,并将超过预设阈值的攻击源整合至一报警信息中输出。
即通过上述实施方案了解第三蜜罐模块的elasticpot模块日志中的每个攻击源是否进行恶意攻击。
进一步地,作为优选的实施方式,当攻击行为在第四蜜罐模块——Glastopf蜜罐中的攻击行为时,Glastopf蜜罐生成对应的glastopf模块日志,数据分析单元241接收每个glastopf模块日志,并从glastopf模块日志的特定字段中读取得到各个攻击行为的攻击源信息(例如:读取glastopf模块日志中特定字段为IP中攻击行为的攻击源信息),数据统计单元242对各个攻击行为的同一攻击源信息进行统计,并输出统计结果,即通过统计得到的同一攻击源信息的数量,即同一个攻击源的攻击次数。
随后将统计结果输出给判断模块25,判断模块25用于根据统计结果,判断各个攻击源的攻击次数是否超过一预设阈值,并将超过预设阈值的攻击源整合至一报警信息中输出。
即通过上述实施方案了解第四蜜罐模块的glastopf模块日志中的每个攻击源是否进行恶意攻击。
进一步地,作为优选的实施方式,当攻击行为在第五蜜罐模块——Dionaea蜜罐中的攻击行为时,Dionaea蜜罐生成对应的dionaea模块日志,数据分析单元241接收每个dionaea模块日志,并从dionaea模块日志的特定字段中读取得到各个攻击行为的攻击源信息(例如:读取dionaea模块日志中特定字段为src_ip中攻击行为的攻击源信息),数据统计单元242对各个攻击行为的同一攻击源信息进行统计,并输出统计结果,即通过统计得到的同一攻击源信息的数量,即同一个攻击源的攻击次数。
随后将统计结果输出给判断模块25,判断模块25用于根据统计结果,判断各个攻击源的攻击次数是否超过一预设阈值,并将超过预设阈值的攻击源整合至一报警信息中输出。
即通过上述实施方案了解第五蜜罐模块的dionaea模块日志中的每个攻击源是否进行恶意攻击。
进一步地,在上述实施例中,判断模块25将超过预设阈值的攻击源整合至报警信息中输出的同时,判断模块25将满足报警条件的每个类型的分析数据生成邮件告知管理者,以使管理者能够及时被通知到,进而可以为准确、快速排除威胁提供最佳时机。
当然除了邮件方式,还可以通过短信、微信等方式告知管理者。
进一步地,在上述实施例中,如图3所示,自动化模块26包括:
写入单元261,将报警信息写入自动化生产***1中;
生成单元262,将报警信息生成写入文件;
防火墙单元263,与文本生成单元262连接,将文本文件中的攻击源信息写入自动化生产***1的防火墙中,从而阻止文本文件中的攻击源信息对应的攻击源对自动化生产***1的访问。
其中,写入文件可以为文本文件,也可以为其他可以写入自动化生产***1的防火墙的文件。
进一步地,在上述实施例中,包括一安全审计模块27,安全审计模块27与自动化模块26连接,安全审计模块27包括:
第一安全审计单元,记录自动化模块26写入自动化生产***1中的报警信息,以生成第一记录内容,并将第一记录内容通过邮件方式发送给管理员,用于追溯变更;
第二安全审计单元,实时监控自动化模块26将攻击源信息写入自动化生产***1的防火墙的行为以及防火墙依据攻击源信息进行的变更记录,以生成第二记录内容,并将第二记录内容通过邮件方式发送给管理员。
其中,除了邮件方式,还可以通过短信、微信等方式告知管理者。
进一步地,作为优选的实施方式,在自动化模块26将源地址写入自动化生产***1的防火墙时,触发防火墙中的本地日志,同时将本地日志发送给远端服务器中,远端服务器中的安全审计模块27中的第二安全审计单元通过实时监控的方式生成第二记录内容,并将第二记录内容通过邮件方式发送给管理员,从而可进行全面和及时的审计,快速发现安全隐患、定位安全问题。
进一步地,在上述实施例中,包括存储模块28,存储模块28分别与获取模块21,分类识别模块22,每个引诱攻击模块23和判断模块25连接,用于存储攻击行为,攻击行为的分类标签,日志和报警信息。
存储模块28对各个模块的信息进行存储,方便后续的调用和审计。
还包括一种安全自动化***的控制方法,应用于安全自动化***2中;其中,安全自动化***2应用于自动化生产***1中;
如图4所示,控制方法包括以下步骤:
步骤S1,获取对安全自动化***2进行攻击得到的攻击行为;
步骤S2,采用预设的攻击类型对攻击行为进行分类;
步骤S3,将每个类型的攻击行为生成对应的日志并输出;
步骤S4,接收各个引诱攻击模块23输出的日志,并从日志的特定字段中读取得到各个攻击行为的攻击源信息并进行统计,数据分析模块24输出统计结果;
步骤S5,判断各个攻击源的攻击次数是否超过预设阈值;
若是,将超过预设阈值的攻击源整合至一报警信息中输出;
若否,返回步骤S1;
步骤S6,将报警信息写入自动化生产***1中。
在上述实施例中,通过设置与自动化生产***1具有相同的生产环境的安全自动化***2,通过依次收集攻击行为,对攻击行为进行分类和统计,并对统计结果进行判断并得到报警信息,最后将报警信息自动化写入自动化生产***1,从而保护自动化生产***1,通过自动化的方式更省时省力,而且提高写入效率及准确率。
进一步地,在上述实施例中,如图5所示,步骤S4包括以下步骤:
步骤S41,接收每个日志,并从日志的特定字段中读取得到各个攻击行为的攻击源信息;
步骤S42,对各个攻击行为的同一攻击源信息进行统计,并输出统计结果。
即通过计算得到的统计结果和预设阈值进行比较,从而判断每个攻击源是否进行恶意攻击。
进一步地,在上述实施例中,如图6所示,步骤S6包括以下步骤:
步骤S61A,记录自动化模块26写入自动化生产***1中的报警信息,以生成第一记录内容;
步骤S62A,将第一记录内容发送给管理员。
进一步地,在上述实施例中,如图7所示,步骤S6包括以下步骤:
步骤S61B,实时监控自动化模块26将攻击源信息写入防火墙的行为以及防火墙依据攻击源信息进行的变更记录,以生成第二记录内容;
步骤S62B,将第二记录内容发送给管理员。
将第一记录内容和第二记录内容通过邮件方式发送给管理员,从而可进行全面和及时的审计,快速发现安全隐患、定位安全问题。
以上所述仅为本发明较佳的实施例,并非因此限制本发明的实施方式及保护范围,对于本领域技术人员而言,应当能够意识到凡运用本发明说明书及图示内容所作出的等同替换和显而易见的变化所得到的方案,均应当包含在本发明的保护范围内。
Claims (9)
1.一种安全自动化***,应用于自动化生产***中;其特征在于,所述安全自动化***与所述自动化生产***具有相同的生产环境;
所述安全自动化***具体包括:
获取模块,用于获取对所述安全自动化***进行攻击得到的攻击行为;
分类识别模块,连接所述获取模块,用于采用预设的攻击类型对所述攻击行为进行分类;
多个引诱攻击模块,每个所述引诱攻击模块与所述分类识别模块连接,每个所述引诱攻击模块对应于一个类型的所述攻击行为,并用于作为对应类型的所述攻击行为的攻击对象,生成对应的日志并输出;
数据分析模块,与每个所述引诱攻击模块连接,用于接收各个所述引诱攻击模块输出的所述日志,并从所述日志的特定字段中读取得到各个所述攻击行为的攻击源信息并进行统计,所述数据分析模块输出统计结果;
判断模块,连接所述数据分析模块,所述判断模块用于根据所述统计结果,判断各个所述攻击源的攻击次数是否超过一预设阈值,并将超过所述预设阈值的所述攻击源整合至一报警信息中输出;
自动化模块,与所述判断模块连接,用于将所述报警信息写入所述自动化生产***中。
2.如权利要求1所述的安全自动化***,其特征在于,所述数据分析模块包括:
数据分析单元,接收每个所述日志,并从所述日志的特定字段中读取得到各个所述攻击行为的攻击源信息;
数据统计单元,与所述数据分析单元连接,对各个所述攻击行为的同一所述攻击源信息进行统计,并输出所述统计结果。
3.如权利要求1所述的安全自动化***,其特征在于,所述自动化模块包括:
写入单元,将所述报警信息写入所述自动化生产***中;
生成单元,将所述报警信息生成写入文件;
防火墙单元,与所述文本生成单元连接,将文本文件中的所述攻击源信息写入所述自动化生产***的防火墙中。
4.如权利要求3所述的安全自动化***,其特征在于,包括一安全审计模块,所述安全审计模块与所述自动化模块连接,所述安全审计模块包括:
第一安全审计单元,记录所述自动化模块写入所述自动化生产***中的所述报警信息,以生成第一记录内容,并将所述第一记录内容发送给管理员;
第二安全审计单元,实时监控所述自动化模块将所述攻击源信息写入防火墙的行为以及所述防火墙依据所述攻击源信息进行的变更记录,以生成第二记录内容,并将所述第二记录内容发送给所述管理员。
5.如权利要求1所述的安全自动化***,其特征在于,包括一存储模块,所述存储模块分别与所述获取模块,所述分类识别模块,每个所述引诱攻击模块和所述判断模块连接,用于存储所述攻击行为,所述攻击行为的分类标签,所述日志和所述报警信息。
6.一种安全自动化***的控制方法,应用于安全自动化***中;其特征在于,所述安全自动化***应用于自动化生产***中;
所述控制方法包括以下步骤:
步骤S1,获取对所述安全自动化***进行攻击得到的攻击行为;
步骤S2,采用预设的攻击类型对所述攻击行为进行分类;
步骤S3,将每个类型的所述攻击行为生成对应的日志并输出;
步骤S4,接收各个所述引诱攻击模块输出的所述日志,并从所述日志的特定字段中读取得到各个所述攻击行为的攻击源信息并进行统计,所述数据分析模块输出统计结果;
步骤S5,判断各个所述攻击源的攻击次数是否超过一预设阈值;
若是,将超过所述预设阈值的所述攻击源整合至一报警信息中输出;
若否,返回步骤S1;
步骤S6,将所述报警信息写入所述自动化生产***中。
7.如权利要求6所述的安全自动化***的控制方法,其特征在于,所述步骤S4包括以下步骤:
步骤S41,接收每个所述日志,并从所述日志的特定字段中读取得到各个所述攻击行为的攻击源信息;
步骤S42,对各个所述攻击行为的同一所述攻击源信息进行统计,并输出所述统计结果。
8.如权利要求6所述的安全自动化***的控制方法,其特征在于,所述步骤S6包括以下步骤:
步骤S61A,记录所述自动化模块写入所述自动化生产***中的所述报警信息,以生成第一记录内容;
步骤S62A,将所述第一记录内容发送给管理员。
9.如权利要求6所述的安全自动化***的控制方法,其特征在于,所述步骤S6包括以下步骤:
步骤S61B,实时监控所述自动化模块将所述攻击源信息写入防火墙的行为以及所述防火墙依据所述攻击源信息进行的变更记录,以生成第二记录内容;
步骤S62B,将所述第二记录内容发送给所述管理员。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811574965.6A CN109696892A (zh) | 2018-12-21 | 2018-12-21 | 一种安全自动化***及其控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811574965.6A CN109696892A (zh) | 2018-12-21 | 2018-12-21 | 一种安全自动化***及其控制方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109696892A true CN109696892A (zh) | 2019-04-30 |
Family
ID=66232779
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811574965.6A Pending CN109696892A (zh) | 2018-12-21 | 2018-12-21 | 一种安全自动化***及其控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109696892A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110417772A (zh) * | 2019-07-25 | 2019-11-05 | 浙江大华技术股份有限公司 | 攻击行为的分析方法及装置、存储介质、电子装置 |
| CN111565199A (zh) * | 2020-07-14 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 网络攻击信息处理方法、装置、电子设备及存储介质 |
Citations (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005210601A (ja) * | 2004-01-26 | 2005-08-04 | Nippon Telegr & Teleph Corp <Ntt> | 不正侵入検知装置 |
| US20070283436A1 (en) * | 2006-06-02 | 2007-12-06 | Nicholas Duffield | Method and apparatus for large-scale automated distributed denial of service attack detection |
| CN102075365A (zh) * | 2011-02-15 | 2011-05-25 | 中国工商银行股份有限公司 | 一种网络攻击源定位及防护的方法、装置 |
| CN102724176A (zh) * | 2012-02-23 | 2012-10-10 | 北京市计算中心 | 一种面向云计算环境的入侵检测*** |
| CN102790778A (zh) * | 2012-08-22 | 2012-11-21 | 常州大学 | 一种基于网络陷阱的DDoS攻击防御*** |
| CN102882884A (zh) * | 2012-10-13 | 2013-01-16 | 山东电力集团公司电力科学研究院 | 信息化生产环境下基于蜜网的风险预警***及方法 |
| CN103227797A (zh) * | 2013-05-08 | 2013-07-31 | 上海电机学院 | 分布式电力企业信息网络安全管理*** |
| CN103312679A (zh) * | 2012-03-15 | 2013-09-18 | 北京启明星辰信息技术股份有限公司 | 高级持续威胁的检测方法和*** |
| CN103561004A (zh) * | 2013-10-22 | 2014-02-05 | 西安交通大学 | 基于蜜网的协同式主动防御*** |
| CN105376245A (zh) * | 2015-11-27 | 2016-03-02 | 杭州安恒信息技术有限公司 | 一种基于规则的apt攻击行为的检测方法 |
| CN105721417A (zh) * | 2015-11-16 | 2016-06-29 | 哈尔滨安天科技股份有限公司 | 一种挂载于工控***中的蜜罐装置及工控*** |
| CN105959250A (zh) * | 2015-10-22 | 2016-09-21 | 杭州迪普科技有限公司 | 网络攻击黑名单管理方法及装置 |
| CN106027549A (zh) * | 2016-06-30 | 2016-10-12 | 大连楼兰科技股份有限公司 | 局域网内的arp泛洪攻击的预警方法及装置 |
| CN107124332A (zh) * | 2017-05-25 | 2017-09-01 | 天津大学 | 一种无线传感器网络的安全性分析方法 |
| CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测***、方法及部署架构 |
| CN107294971A (zh) * | 2017-06-23 | 2017-10-24 | 西安交大捷普网络科技有限公司 | 服务器攻击源的威胁度排序方法 |
| CN107404465A (zh) * | 2016-05-20 | 2017-11-28 | 阿里巴巴集团控股有限公司 | 网络数据分析方法及服务器 |
| CN107483481A (zh) * | 2017-09-11 | 2017-12-15 | 杭州谷逸网络科技有限公司 | 一种工业控制***攻防模拟平台及其实现方法 |
| CN107809321A (zh) * | 2016-09-08 | 2018-03-16 | 南京联成科技发展股份有限公司 | 一种安全风险评估和告警生成的实现方法 |
| CN108390856A (zh) * | 2018-01-12 | 2018-08-10 | 北京奇艺世纪科技有限公司 | 一种DDoS攻击检测方法、装置及电子设备 |
| CN108769071A (zh) * | 2018-07-02 | 2018-11-06 | 腾讯科技(深圳)有限公司 | 攻击信息处理方法、装置和物联网蜜罐*** |
-
2018
- 2018-12-21 CN CN201811574965.6A patent/CN109696892A/zh active Pending
Patent Citations (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005210601A (ja) * | 2004-01-26 | 2005-08-04 | Nippon Telegr & Teleph Corp <Ntt> | 不正侵入検知装置 |
| US20070283436A1 (en) * | 2006-06-02 | 2007-12-06 | Nicholas Duffield | Method and apparatus for large-scale automated distributed denial of service attack detection |
| CN102075365A (zh) * | 2011-02-15 | 2011-05-25 | 中国工商银行股份有限公司 | 一种网络攻击源定位及防护的方法、装置 |
| CN102724176A (zh) * | 2012-02-23 | 2012-10-10 | 北京市计算中心 | 一种面向云计算环境的入侵检测*** |
| CN103312679A (zh) * | 2012-03-15 | 2013-09-18 | 北京启明星辰信息技术股份有限公司 | 高级持续威胁的检测方法和*** |
| CN102790778A (zh) * | 2012-08-22 | 2012-11-21 | 常州大学 | 一种基于网络陷阱的DDoS攻击防御*** |
| CN102882884A (zh) * | 2012-10-13 | 2013-01-16 | 山东电力集团公司电力科学研究院 | 信息化生产环境下基于蜜网的风险预警***及方法 |
| CN103227797A (zh) * | 2013-05-08 | 2013-07-31 | 上海电机学院 | 分布式电力企业信息网络安全管理*** |
| CN103561004A (zh) * | 2013-10-22 | 2014-02-05 | 西安交通大学 | 基于蜜网的协同式主动防御*** |
| CN105959250A (zh) * | 2015-10-22 | 2016-09-21 | 杭州迪普科技有限公司 | 网络攻击黑名单管理方法及装置 |
| CN105721417A (zh) * | 2015-11-16 | 2016-06-29 | 哈尔滨安天科技股份有限公司 | 一种挂载于工控***中的蜜罐装置及工控*** |
| CN105376245A (zh) * | 2015-11-27 | 2016-03-02 | 杭州安恒信息技术有限公司 | 一种基于规则的apt攻击行为的检测方法 |
| CN107404465A (zh) * | 2016-05-20 | 2017-11-28 | 阿里巴巴集团控股有限公司 | 网络数据分析方法及服务器 |
| CN106027549A (zh) * | 2016-06-30 | 2016-10-12 | 大连楼兰科技股份有限公司 | 局域网内的arp泛洪攻击的预警方法及装置 |
| CN107809321A (zh) * | 2016-09-08 | 2018-03-16 | 南京联成科技发展股份有限公司 | 一种安全风险评估和告警生成的实现方法 |
| CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测***、方法及部署架构 |
| CN107124332A (zh) * | 2017-05-25 | 2017-09-01 | 天津大学 | 一种无线传感器网络的安全性分析方法 |
| CN107294971A (zh) * | 2017-06-23 | 2017-10-24 | 西安交大捷普网络科技有限公司 | 服务器攻击源的威胁度排序方法 |
| CN107483481A (zh) * | 2017-09-11 | 2017-12-15 | 杭州谷逸网络科技有限公司 | 一种工业控制***攻防模拟平台及其实现方法 |
| CN108390856A (zh) * | 2018-01-12 | 2018-08-10 | 北京奇艺世纪科技有限公司 | 一种DDoS攻击检测方法、装置及电子设备 |
| CN108769071A (zh) * | 2018-07-02 | 2018-11-06 | 腾讯科技(深圳)有限公司 | 攻击信息处理方法、装置和物联网蜜罐*** |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110417772A (zh) * | 2019-07-25 | 2019-11-05 | 浙江大华技术股份有限公司 | 攻击行为的分析方法及装置、存储介质、电子装置 |
| CN111565199A (zh) * | 2020-07-14 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 网络攻击信息处理方法、装置、电子设备及存储介质 |
| CN111565199B (zh) * | 2020-07-14 | 2021-10-01 | 腾讯科技(深圳)有限公司 | 网络攻击信息处理方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20240121263A1 (en) | Autonomous report composer | |
| CN105407103B (zh) | 一种基于多粒度异常检测的网络威胁评估方法 | |
| CN103026345B (zh) | 用于事件监测优先级的动态多维模式 | |
| CN106131023A (zh) | 一种信息安全风险强力识别*** | |
| CN108933791A (zh) | 一种基于电力信息网安全防护策略智能优化方法及装置 | |
| Cunningham et al. | Evaluating intrusion detection systems without attacking your friends: The 1998 DARPA intrusion detection evaluation | |
| CN107070929A (zh) | 一种工控网络蜜罐*** | |
| CN103563302A (zh) | 网络资产信息管理 | |
| CN101447991A (zh) | 用于测试入侵检测***的测试装置及测试方法 | |
| Singh et al. | An approach to understand the end user behavior through log analysis | |
| CN106685984A (zh) | 一种基于数据包捕获技术的网络威胁分析***及方法 | |
| CN101820413A (zh) | 一种网络安全最佳防护策略的选择方法 | |
| CN103295155A (zh) | 证券核心业务***监控方法 | |
| CN110210213A (zh) | 过滤恶意样本的方法及装置、存储介质、电子装置 | |
| CN110149319A (zh) | Apt组织的追踪方法及装置、存储介质、电子装置 | |
| CN109696892A (zh) | 一种安全自动化***及其控制方法 | |
| CN107454068B (zh) | 一种结合免疫危险理论的蜜网安全态势感知方法 | |
| Colbert et al. | A process-oriented intrusion detection method for industrial control systems | |
| Xin et al. | Fuzzy feature extraction and visualization for intrusion detection | |
| Lee et al. | A study on efficient log visualization using d3 component against apt: How to visualize security logs efficiently? | |
| CN102209006A (zh) | 规则测试设备及方法 | |
| US20080072321A1 (en) | System and method for automating network intrusion training | |
| Moore et al. | Discovering phishing dropboxes using email metadata | |
| Yu et al. | A visualization analysis tool for DNS amplification attack | |
| Li et al. | The research on network security visualization key technology |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190430 |