CN111294347B - 一种工控设备的安全管理方法及*** - Google Patents

一种工控设备的安全管理方法及*** Download PDF

Info

Publication number
CN111294347B
CN111294347B CN202010074655.9A CN202010074655A CN111294347B CN 111294347 B CN111294347 B CN 111294347B CN 202010074655 A CN202010074655 A CN 202010074655A CN 111294347 B CN111294347 B CN 111294347B
Authority
CN
China
Prior art keywords
industrial control
word segmentation
information
control equipment
matching
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010074655.9A
Other languages
English (en)
Other versions
CN111294347A (zh
Inventor
章洋
余亮
常月
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qianxin Technology Group Co Ltd
Secworld Information Technology Beijing Co Ltd
Original Assignee
Qianxin Technology Group Co Ltd
Secworld Information Technology Beijing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qianxin Technology Group Co Ltd, Secworld Information Technology Beijing Co Ltd filed Critical Qianxin Technology Group Co Ltd
Priority to CN202010074655.9A priority Critical patent/CN111294347B/zh
Publication of CN111294347A publication Critical patent/CN111294347A/zh
Application granted granted Critical
Publication of CN111294347B publication Critical patent/CN111294347B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/903Querying
    • G06F16/90335Query processing
    • G06F16/90344Query processing by using string matching techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computational Linguistics (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Stored Programmes (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明实施例提供一种工控设备的安全管理方法,包括获取多个工控设备的基础数据,并对所述基础数据进行分词处理得到每个工控设备的分词结果;根据所述分词结果在安全数据库中进行匹配,所述安全数据库包括多个基于所述分词结果的安全风险信息;当满足匹配条件时生成对应工控设备的预告警信息;对所述预告警信息进行校验,当校验结果满足最终告警条件时输出最终告警信息。本发明实施例还提供一种工控设备的安全管理***。本发明实施例通过分词技术在安全数据库中进行模糊匹配生成预告警信息,然后再对预告警信息进行校验确认,以输出最终的告警信息,从而减少了告警信息的误报和漏报。

Description

一种工控设备的安全管理方法及***
技术领域
本发明涉及信息安全技术领域,尤其涉及一种工控设备的安全管理方法及***。
背景技术
现有的工控设备不允许信息监控管理平台对其进行漏洞扫描,工控设备安全威胁发现的解决方案采取的方式是采取匹配工控资产与漏洞库,通过漏洞库匹配精确度低,存在大量的误报。
发明内容
有鉴于此,本发明实施例提供了一种工控设备的安全管理方法、***、计算机设备及计算机可读存储介质,用于解决在现有工控设备的安全管理方法精确度低,存在大量误报的问题。
本发明实施例是通过下述技术方案来解决上述技术问题:
一种工控设备的安全管理方法,包括:获取多个工控设备的基础数据,并对所述基础数据进行分词处理得到每个工控设备的分词结果;
根据所述分词结果在安全数据库中进行匹配,所述安全数据库包括多个基于所述分词结果的安全风险信息;
当满足匹配条件时生成对应工控设备的预告警信息;
对所述预告警信息进行校验,当校验结果满足最终告警条件时输出最终告警信息。
进一步地,所述基础数据包括多个字段类型,所述获取多个工控设备的基础数据,并对所述基础数据进行分词处理得到每个工控设备的分词结果包括:
对所述多个字段类型进行分词处理得到每个工控设备的多个分词结果;
根据所述多个分词结果分别在安全数据库中进行匹配,当全部满足匹配条件时生成所述对应工控设备的预告警信息。
进一步地,所述多个字段类型包括工控设备的设备制造厂商标识、设备名称标识和设备版本标识,所述根据所述多个分词结果分别在安全数据库中进行匹配,当全部满足匹配条件时生成所述对应工控设备的预告警信息包括:
通过所述设备制造厂商标识在所述安全数据库中进行匹配,当满足匹配条件时生成基于所述设备制造厂商标识的第一数据库;
通过所述设备名称标识在所述第一数据库中进行匹配,当满足匹配条件时生成基于所述设备名称标识的第二数据库;
通过所述设备版本标识在所述第二数据库中进行匹配,当满足匹配条件时生成所述对应工控设备的预告警信息。
进一步地,所述对所述预告警信息进行校验,当校验结果满足最终告警条件时输出最终告警信息包括:
通过流量日志对所述预告警信息进行回溯确认;
当回溯确认结果满足所述最终告警条件时关联对应工控设备信息和所述安全数据库中对应的安全风险信息;
输出所述最终告警信息,所述最终告警信息包括对应工控设备信息和所述安全数据库中对应的安全风险信息。
进一步地,所述告警信息包括弱密码漏洞告警信息,所述通过流量日志对所述预告警信息进行回溯确认包括:
通过流量日志获取预设时间内对应工控设备的访问量数据;
当所述访问量数据超过阈值时输出所述最终告警信息。
进一步地,所述方法还包括:
生成所述安全数据库,所述安全数据库包括已知的多个设备制造厂商模糊匹配标识、设备名称模糊匹配标识和设备版本模糊匹配标识以及对应的安全风险信息
进一步地,所述安全风险信息包括工控设备漏洞信息,所述生成所述安全数据库包括:
建立初始动态工控设备漏洞信息库;
通过网络获取第三方其他工控设备漏洞信息新增或合并至所述工控设备漏洞信息中。
为了实现上述目的,本发明实施例还提供一种工控设备的安全管理***,包括:
分词模块,用于获取多个工控设备的基础数据,并对所述基础数据进行分词处理得到每个工控设备的分词结果;
匹配模块,用于根据所述分词结果在安全数据库中进行匹配,所述安全数据库包括多个基于所述分词结果的安全风险信息;
预告警信息生成模块,用于当满足匹配条件时生成对应工控设备的预告警信息;
最终告警信息输出模块,用于对所述预告警信息进行校验,当校验结果满足最终告警条件时输出最终告警信息。
为了实现上述目的,本发明实施例还提供一种计算机设备,所述计算机设备包括存储器、处理器以及存储在所述存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上所述工控设备的安全管理方法的步骤。
为了实现上述目的,本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序可被至少一个处理器所执行,以使所述至少一个处理器执行如上所述的工控设备的安全管理方法的步骤。
本发明实施例提供的工控设备的安全管理方法、***、计算机设备及计算机可读存储介质,通过分词技术在安全数据库中进行模糊匹配生成预告警信息,然后再对预告警信息进行校验确认,以输出最终的告警信息,从而减少了告警信息的误报和漏报。
以下结合附图和具体实施例对本发明进行详细描述,但不作为对本发明的限定。
附图说明
图1为本发明实施例的环境应用示意图;
图2为本发明实施例一之工控设备的安全管理方法的步骤流程图;
图3为本发明实施例一之工控设备的安全管理方法中生成所述安全数据库的步骤流程图;
图4为本发明实施例一之工控设备的安全管理方法中对所述基础数据进行分词处理的步骤流程图;
图5为本发明实施例一之工控设备的安全管理方法中生成预告警信息的步骤流程图;
图6为本发明实施例一之工控设备的安全管理方法中对所述预告警信息进行校验的步骤流程图;
图7为本发明实施例一之工控设备的安全管理方法中对所述预告警信息进行回溯确认的步骤流程图;
图8为本发明工控设备的安全管理***之实施例二的程序模块示意图;
图9为本发明计算机设备之实施例三的硬件结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
各个实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在,也不在本发明要求的保护范围之内。
图1示出了根据本发明实施例的环境应用示意图。如图1所示,在示例性的实施例中,本发明实施例所提供的工控设备的安全管理方法可以由服务器12执行。服务器12通过网络11响应终端设备10发送的工控设备漏洞检测服务请求而提供服务。
网络11用于在终端设备10和服务器12之间提供通信链路的介质。所述网络11可以包括各种连接类型。所述网络11可以为物理链路,例如同轴电缆链路、双绞线电缆链路、光纤电缆链路等。所述网络11可以为无线链路,例如蜂窝链路、卫星链路、Wi-Fi链路等。
所述终端设备10可以是任意具有接收和发送数据功能的电子设备,包括但不限于移动电话、平板个人计算机、膝上型计算机等。应该理解,图1中的终端设备10、网络11和服务器12的数目仅仅是示意性的,在此不作数目限定。
实施例一
请参阅图2,示出了本发明实施例之工控设备的安全管理方法的步骤流程图。可以理解,本方法实施例中的流程图不用于对执行步骤的顺序进行限定。下面以计算机设备为执行主体进行示例性描述,具体如下:
如图2所示,所述工控设备的安全管理方法可以包括步骤S100~S130,其中:
步骤S100,获取多个工控设备的基础数据,并对所述基础数据进行分词处理得到每个工控设备的分词结果。
具体的,所述基础数据包括但不限于设备名称、所属单位、设备类型、风险等级、系列名、所属区域、供应商、业务IP、制造厂商、重要性、设备型号、所属***、协议类型、版本号、设备名称、固件***版本等。
进一步地,所述基础数据包括多个字段类型,所述多个字段类型包括工控设备的设备制造厂商标识、设备名称标识和设备版本标识。
步骤S110,根据所述分词结果在安全数据库中进行匹配,所述安全数据库包括多个基于所述分词结果的安全风险信息。
步骤S120,当满足匹配条件时生成对应工控设备的预告警信息。
步骤S130,对所述预告警信息进行校验,当校验结果满足最终告警条件时输出最终告警信息。
在示例性的实施例中,所述方法还包括:生成所述安全数据库,所述安全数据库包括已知的多个设备制造厂商模糊匹配标识、设备名称模糊匹配标识和设备版本模糊匹配标识以及对应的安全风险信息。其中,所述安全风险信息包括工控设备漏洞信息等,工控设备漏洞信息包括但不限于:受威胁IP、单位名称、受威胁资源名称、漏洞名称、告警级别、详情信息等。其中,告警级别包括一级分类和二级分类。所述一级分类根据工控设备漏洞信息受威胁的程度可分为:一般事件、较大事件、重大事件、特殊重大事件等。所述二级分类包括但不限于:注入、缓冲区错误、访问控制错误、授权问题、输入验证、路径遍历、访问控制错误、其他等。详情信息包括但不限于:发布时间、风险等级信息、风险等级信息、漏洞类型、漏洞来源、影响厂商、影响产品、影响版本、漏洞编号、漏洞描述等。其中,风险等级信息包括:低危等级、中危等级以及高危等级。
在示例性的实施例中,图3示出了根据本申请实施例的工控设备的安全管理方法中生成所述安全数据库的步骤流程图。请参阅图3,生成所述安全数据库还可以包括步骤S200~S210,其中:
步骤S200,建立初始动态工控设备漏洞信息库。
步骤S210,通过网络获取第三方其他工控设备漏洞信息新增或合并至所述工控设备漏洞信息中。
具体的,第三方包括但不限于国内外与工控设备相关的网站。
第三方其他工控设备漏洞信息可以结合网络爬虫等方式得到,本示例性实施例中对此不做特殊限定。
在示例性的实施例中,图4示出了根据本申请实施例的工控设备的安全管理方法中对所述基础数据进行分词处理的步骤流程图。请参阅图4,对所述基础数据进行分词处理还可以包括步骤S300~S310,其中:
步骤S300,对所述多个字段类型进行分词处理得到每个工控设备的多个分词结果。
示例性的,根据字段类型对所述基础数据进行分类,得到带有工控设备的设备制造厂商标识的设备制造厂商数据、带有设备名称标识的设备名称数据和带有设备版本标识的设备版本号数据;分别对设备制造厂商数据、设备名称数据以及设备版本号数据进行分词操作,具体如下:
确定待分词的设备制造厂商数据、设备名称数据以及设备版本号数据对应的特征向量;对每个特征向量进行分词处理,以得到每个工控设备每个分词结果,每个分词结果包括对应的多个分词字段。其中,对应的特征向量用来表征不同的待分词的基础数据的特征。对待分词的基础数据进行特征向量的转化,可以通过梅尔倒谱系数、线性预测倒谱系数等方法得到。
进一步地,待分词的基础数据转化后的特征向量包括:待分词的基础数据中各单字对应的第一特征向量、两字对应的第二特征向量、三字对应的第三特征向量、专有名词对应的第四特征向量等。
例如,当基础数据为中文数据时,单字可以是一个字;当基础数据为英文时,单字可以是一个单词。“ABC制造厂商”中的专有名词指的是“ABC”;“文本显示一体机”中的专有名词指的是“文本显示”。
步骤S310,根据所述多个分词结果分别在安全数据库中进行匹配,当全部满足匹配条件时生成所述对应工控设备的预告警信息。
在示例性的实施例中,图5示出了根据本申请实施例的工控设备的安全管理方法中生成预告警信息的步骤流程图。请参阅图5,生成预告警信息还可以进一步包括步骤S400~S420,其中:
步骤S400,通过所述设备制造厂商标识在所述安全数据库中进行匹配,当满足匹配条件时生成基于所述设备制造厂商标识的第一数据库;
步骤S410,通过所述设备名称标识在所述第一数据库中进行匹配,当满足匹配条件时生成基于所述设备名称标识的第二数据库;
步骤S420,通过所述设备版本标识在所述第二数据库中进行匹配,当满足匹配条件时生成所述对应工控设备的预告警信息。
示例性的,将带有设备制造厂商标识的所述设备制造厂商数据的分词结果与所述安全数据库中的设备制造厂商模糊匹配标识进行模糊匹配,筛选出满足匹配条件的第一漏洞信息,并基于第一漏洞信息生成基于所述设备制造厂商标识的第一数据库。
将带有设备名称标识的所述设备名称数据的分词结果与所述第一数据库中的设备名称模糊匹配标识进行模糊匹配,筛选出满足匹配条件的第二漏洞信息,并基于第二漏洞信息生成基于所述设备名称标识的第二数据库。
将带有设备版本标识的所述设备版本数据的分词结果与所述第二数据库中的设备版本模糊匹配标识进行模糊匹配,筛选出满足匹配条件的第三漏洞信息,并基于第三漏洞信息生成所述对应工控设备的预告警信息。
在示例性的实施例中,所述带有设备制造厂商标识的所述设备制造厂商数据的分词结果与所述安全数据库中的设备制造厂商模糊匹配标识进行模糊匹配,筛选出满足匹配条件的第一漏洞信息可以包括:计算设备制造厂商数据的分词结果与设备制造厂商模糊匹配标识的第一相似度,筛选出超过第一模糊匹配阈值的第一相似度对应的第一漏洞信息。
在示例性的实施例中,图6示出了根据本申请实施例的工控设备的安全管理方法中对所述预告警信息进行校验的步骤流程图。请参阅图6,对所述预告警信息进行校验还可以包括步骤S500~S520,其中:
步骤S500,通过流量日志对所述预告警信息进行回溯确认。
具体的,在得到预告警信息后,通过流量日志结合工控设备漏洞的攻击行为来确认该工控设备是否存在工控漏洞。
步骤S510,当回溯确认结果满足所述最终告警条件时关联对应工控设备信息和所述安全数据库中对应的安全风险信息;
步骤S520,输出所述最终告警信息,所述最终告警信息包括对应工控设备信息和所述安全数据库中对应的安全风险信息。
在示例性的实施例中,图7示出了根据本申请实施例的工控设备的安全管理方法中对所述预告警信息进行回溯确认的步骤流程图。请参阅图7,对所述预告警信息进行回溯确认还可以包括步骤S600~S610,其中:
步骤S600,通过流量日志获取预设时间内对应工控设备的访问量数据;
步骤S610,当所述访问量数据超过阈值时输出所述最终告警信息。
具体的,当所述访问量数据超过阈值时,输出所述的最终告警信息包括弱密码漏洞告警信息。当工控设备存在弱密码漏洞时,工控设备的流量日志可能会出现登陆页面在短时间内被大量访问;因此当访问量数据超过阈值时,则可以确认工控设备存在弱密码漏洞。
本发明实施例提供的工控设备的安全管理方法、***、计算机设备及计算机可读存储介质,通过分词技术在安全数据库中进行模糊匹配生成预告警信息,然后再对预告警信息进行校验确认,以输出最终的告警信息,从而减少了告警信息的误报和漏报。
实施例二
请继续参阅图8,示出了本发明工控设备的安全管理***的程序模块示意图。在本实施例中,工控设备的安全管理***70可以包括或被分割成一个或多个程序模块,一个或者多个程序模块被存储于存储介质中,并由一个或多个处理器所执行,以完成本发明,并可实现上述工控设备的安全管理方法。本发明实施例所称的程序模块是指能够完成特定功能的一系列计算机程序指令段,比程序本身更适合于描述工控设备的安全管理***70在存储介质中的执行过程。以下描述将具体介绍本实施例各程序模块的功能:
分词模块700,用于获取多个工控设备的基础数据,并对所述基础数据进行分词处理得到每个工控设备的分词结果。
进一步地,所述分词模块700,还用于对所述多个字段类型进行分词处理得到每个工控设备的多个分词结果;根据所述多个分词结果分别在安全数据库中进行匹配,当全部满足匹配条件时生成所述对应工控设备的预告警信息。
匹配模块710,用于根据所述分词结果在安全数据库中进行匹配,所述安全数据库包括多个基于所述分词结果的安全风险信息。
预告警信息生成模块720,用于当满足匹配条件时生成对应工控设备的预告警信息。
进一步地,所述预告警信息生成模块720,还用于通过所述设备制造厂商标识在所述安全数据库中进行匹配,当满足匹配条件时生成基于所述设备制造厂商标识的第一数据库;通过所述设备名称标识在所述第一数据库中进行匹配,当满足匹配条件时生成基于所述设备名称标识的第二数据库;通过所述设备版本标识在所述第二数据库中进行匹配,当满足匹配条件时生成所述对应工控设备的预告警信息。
最终告警信息输出模块730,用于对所述预告警信息进行校验,当校验结果满足最终告警条件时输出最终告警信息。
进一步地,所述最终告警信息输出模块730,还用于通过流量日志对所述预告警信息进行回溯确认;当回溯确认结果满足所述最终告警条件时关联对应工控设备信息和所述安全数据库中对应的安全风险信息;输出所述最终告警信息,所述最终告警信息包括对应工控设备信息和所述安全数据库中对应的安全风险信息。
在示例性的实施例中,通过流量日志获取预设时间内对应工控设备的访问量数据;当所述访问量数据超过阈值时输出所述最终告警信息。
实施例三
参阅图9,是本发明实施例三之计算机设备的硬件架构示意图。本实施例中,所述计算机设备2是一种能够按照事先设定或者存储的指令,自动进行数值计算和/或信息处理的设备。该计算机设备2可以是机架式服务器、刀片式服务器、塔式服务器或机柜式服务器(包括独立的服务器,或者多个服务器所组成的服务器集群)等。如图9所示,所述计算机设备2至少包括,但不限于,可通过***总线相互通信连接存储器21、处理器22、网络接口23、以及工控设备的安全管理***70。其中:
本实施例中,存储器21至少包括一种类型的计算机可读存储介质,所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,存储器21可以是计算机设备2的内部存储单元,例如该计算机设备2的硬盘或内存。在另一些实施例中,存储器21也可以是计算机设备2的外部存储设备,例如该计算机设备2上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。当然,存储器21还可以既包括计算机设备2的内部存储单元也包括其外部存储设备。本实施例中,存储器21通常用于存储安装于计算机设备2的操作***和各类应用软件,例如上述实施例所述的工控设备的安全管理***70的程序代码等。此外,存储器21还可以用于暂时地存储已经输出或者将要输出的各类数据。
处理器22在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器22通常用于控制计算机设备2的总体操作。本实施例中,处理器22用于运行存储器21中存储的程序代码或者处理数据,例如运行工控设备的安全管理***70,以实现上述实施例的工控设备的安全管理方法。
所述网络接口23可包括无线网络接口或有线网络接口,该网络接口23通常用于在所述计算机设备2与其他电子装置之间建立通信连接。例如,所述网络接口23用于通过网络将所述计算机设备2与外部终端相连,在所述计算机设备2与外部终端之间的建立数据传输通道和通信连接等。所述网络可以是企业内部网(Intranet)、互联网(Internet)、全球移动通讯***(Global System of Mobile communication,GSM)、宽带码分多址(WidebandCode Division Multiple Access,WCDMA)、4G网络、5G网络、蓝牙(Bluetooth)、Wi-Fi等无线或有线网络。
需要指出的是,图9仅示出了具有部件20-23的计算机设备2,但是应理解的是,并不要求实施所有示出的部件,可以替代的实施更多或者更少的部件。
在本实施例中,存储于存储器21中的所述工控设备的安全管理***70还可以被分割为一个或者多个程序模块,所述一个或者多个程序模块被存储于存储器21中,并由一个或多个处理器(本实施例为处理器22)所执行,以完成本发明。
例如,图8示出了所述实现工控设备的安全管理***70实施例二的程序模块示意图,该实施例中,所述基于工控设备的安全管理***70可以被划分为分词模块700、匹配模块710、预告警信息生成模块720以及最终告警信息输出模块730。其中,本发明所称的程序模块是指能够完成特定功能的一系列计算机程序指令段,比程序更适合于描述所述工控设备的安全管理***70在所述计算机设备2中的执行过程。所述程序模块700-730的具体功能在上述实施例中已有详细描述,在此不再赘述。
实施例四
本实施例还提供一种计算机可读存储介质,如闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘、服务器、App应用商城等等,其上存储有计算机程序,程序被处理器执行时实现相应功能。本实施例的计算机可读存储介质用于存储工控设备的安全管理***70,被处理器执行时实现上述实施例所述的工控设备的安全管理方法。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (9)

1.一种工控设备的安全管理方法,其特征在于,包括:
获取多个工控设备的基础数据,并对所述基础数据进行分词处理得到每个工控设备的分词结果,所述基础数据包括多个字段类型,所述多个字段类型包括工控设备的设备制造厂商标识、设备名称标识和设备版本标识;
根据所述分词结果在安全数据库中进行匹配,所述安全数据库包括多个基于所述分词结果的安全风险信息;
当满足匹配条件时生成对应工控设备的预告警信息;
对所述预告警信息进行校验,当校验结果满足最终告警条件时输出最终告警信息;
其中,所述获取多个工控设备的基础数据,并对所述基础数据进行分词处理得到每个工控设备的分词结果包括:
对所述多个字段类型进行分词处理得到每个工控设备的多个分词结果;
根据所述多个分词结果分别在安全数据库中进行模糊匹配,当全部满足匹配条件时生成所述对应工控设备的预告警信息。
2.根据权利要求1所述的工控设备的安全管理方法,其特征在于,所述根据所述多个分词结果分别在安全数据库中进行匹配,当全部满足匹配条件时生成所述对应工控设备的预告警信息包括:
通过所述设备制造厂商标识在所述安全数据库中进行匹配,当满足匹配条件时生成基于所述设备制造厂商标识的第一数据库;
通过所述设备名称标识在所述第一数据库中进行匹配,当满足匹配条件时生成基于所述设备名称标识的第二数据库;
通过所述设备版本标识在所述第二数据库中进行匹配,当满足匹配条件时生成所述对应工控设备的预告警信息。
3.根据权利要求2所述的工控设备的安全管理方法,其特征在于,所述对所述预告警信息进行校验,当校验结果满足最终告警条件时输出最终告警信息包括:
通过流量日志对所述预告警信息进行回溯确认;
当回溯确认结果满足所述最终告警条件时关联对应工控设备信息和所述安全数据库中对应的安全风险信息;
输出所述最终告警信息,所述最终告警信息包括对应工控设备信息和所述安全数据库中对应的安全风险信息。
4.根据权利要求3所述的工控设备的安全管理方法,其特征在于,所述告警信息包括弱密码漏洞告警信息,所述通过流量日志对所述预告警信息进行回溯确认包括:
通过流量日志获取预设时间内对应工控设备的访问量数据;
当所述访问量数据超过阈值时输出所述最终告警信息。
5.根据权利要求4所述的工控设备的安全管理方法,其特征在于,还包括:
生成所述安全数据库,所述安全数据库包括已知的多个设备制造厂商模糊匹配标识、设备名称模糊匹配标识和设备版本模糊匹配标识以及对应的安全风险信息。
6.根据权利要求5所述的工控设备的安全管理方法,其特征在于,所述安全风险信息包括工控设备漏洞信息,所述生成所述安全数据库包括:
建立初始动态工控设备漏洞信息库;
通过网络获取第三方其他工控设备漏洞信息新增或合并至所述工控设备漏洞信息中。
7.一种工控设备的安全管理***,其特征在于,包括:
分词模块,用于获取多个工控设备的基础数据,并对所述基础数据进行分词处理得到每个工控设备的分词结果,所述基础数据包括多个字段类型,所述多个字段类型包括工控设备的设备制造厂商标识、设备名称标识和设备版本标识;
匹配模块,用于根据所述分词结果在安全数据库中进行匹配,所述安全数据库包括多个基于所述分词结果的安全风险信息;
预告警信息生成模块,用于当满足匹配条件时生成对应工控设备的预告警信息;
最终告警信息输出模块,用于对所述预告警信息进行校验,当校验结果满足最终告警条件时输出最终告警信息;
其中,所述分词模块还用于:
对所述多个字段类型进行分词处理得到每个工控设备的多个分词结果;
根据所述多个分词结果分别在安全数据库中进行模糊匹配,当全部满足匹配条件时生成所述对应工控设备的预告警信息。
8.一种计算机设备,所述计算机设备包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至6任一项所述的工控设备的安全管理方法的步骤。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序可被至少一个处理器所执行,以使所述至少一个处理器执行如权利要求1至6中任一项所述的工控设备的安全管理方法的步骤。
CN202010074655.9A 2020-01-22 2020-01-22 一种工控设备的安全管理方法及*** Active CN111294347B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010074655.9A CN111294347B (zh) 2020-01-22 2020-01-22 一种工控设备的安全管理方法及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010074655.9A CN111294347B (zh) 2020-01-22 2020-01-22 一种工控设备的安全管理方法及***

Publications (2)

Publication Number Publication Date
CN111294347A CN111294347A (zh) 2020-06-16
CN111294347B true CN111294347B (zh) 2022-06-10

Family

ID=71024381

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010074655.9A Active CN111294347B (zh) 2020-01-22 2020-01-22 一种工控设备的安全管理方法及***

Country Status (1)

Country Link
CN (1) CN111294347B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112822291A (zh) * 2021-02-07 2021-05-18 国网福建省电力有限公司电力科学研究院 一种工控设备的监测方法与装置
CN113779620A (zh) * 2021-08-19 2021-12-10 成都鲁易科技有限公司 程序文件的校验方法、装置、存储介质及计算机设备

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103944915A (zh) * 2014-04-29 2014-07-23 浙江大学 一种工业控制***威胁检测防御装置、***及方法
CN107787467A (zh) * 2015-06-10 2018-03-09 江森自控科技公司 具有用于建筑物设备的智能通信控制器的建筑物自动化***
CN108737417A (zh) * 2018-05-16 2018-11-02 南京大学 一种面向工业控制***的脆弱性检测方法
CN109299224A (zh) * 2018-10-23 2019-02-01 广州九乐维信息科技有限公司 基于Zabbix的解决方案查询方法、装置、计算机设备
CN109635276A (zh) * 2018-11-12 2019-04-16 厦门市美亚柏科信息股份有限公司 一种信息匹配方法及终端
CN109784031A (zh) * 2018-12-14 2019-05-21 北京奇安信科技有限公司 一种账户身份验证处理方法及装置
CN110166290A (zh) * 2019-05-16 2019-08-23 平安科技(深圳)有限公司 基于日志文件的告警方法及装置
CN110381090A (zh) * 2019-08-23 2019-10-25 新华三信息安全技术有限公司 终端异常检测方法、装置、检测设备及机器可读存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10171486B2 (en) * 2015-12-02 2019-01-01 International Business Machines Corporation Security and authentication daisy chain analysis and warning system

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103944915A (zh) * 2014-04-29 2014-07-23 浙江大学 一种工业控制***威胁检测防御装置、***及方法
CN107787467A (zh) * 2015-06-10 2018-03-09 江森自控科技公司 具有用于建筑物设备的智能通信控制器的建筑物自动化***
CN108737417A (zh) * 2018-05-16 2018-11-02 南京大学 一种面向工业控制***的脆弱性检测方法
CN109299224A (zh) * 2018-10-23 2019-02-01 广州九乐维信息科技有限公司 基于Zabbix的解决方案查询方法、装置、计算机设备
CN109635276A (zh) * 2018-11-12 2019-04-16 厦门市美亚柏科信息股份有限公司 一种信息匹配方法及终端
CN109784031A (zh) * 2018-12-14 2019-05-21 北京奇安信科技有限公司 一种账户身份验证处理方法及装置
CN110166290A (zh) * 2019-05-16 2019-08-23 平安科技(深圳)有限公司 基于日志文件的告警方法及装置
CN110381090A (zh) * 2019-08-23 2019-10-25 新华三信息安全技术有限公司 终端异常检测方法、装置、检测设备及机器可读存储介质

Also Published As

Publication number Publication date
CN111294347A (zh) 2020-06-16

Similar Documents

Publication Publication Date Title
CN109558748B (zh) 数据处理方法、装置、电子设备及存储介质
CN110177108B (zh) 一种异常行为检测方法、装置及验证***
CN111666565A (zh) 沙箱仿真测试方法、装置、计算机设备和存储介质
CN108256322B (zh) 安全测试方法、装置、计算机设备和存储介质
CN112039900B (zh) 网络安全风险检测方法、***、计算机设备和存储介质
CN111294347B (zh) 一种工控设备的安全管理方法及***
CN112491930B (zh) ***风险动态监控方法、***、计算机设备及存储介质
CN116599747A (zh) 一种网络与信息安全服务***
US10931790B2 (en) Systems and methods for securely transferring selective datasets between terminals with multi-applications support
CN111415683A (zh) 语音识别异常告警方法、装置、计算机设备和存储介质
CN115563600A (zh) 数据审核方法和装置、电子设备及存储介质
CN113434254B (zh) 客户端部署方法、装置、计算机设备及存储介质
CN114297735A (zh) 数据处理方法及相关装置
CN107294981B (zh) 一种认证的方法和设备
CN116089920A (zh) 一种敏感字段预警方法、***、计算机设备及介质
CN114567678B (zh) 一种云安全服务的资源调用方法、装置及电子设备
CN114143074B (zh) webshell攻击识别装置及方法
CN111949363A (zh) 业务访问的管理方法、计算机设备、存储介质及***
CN115242608A (zh) 告警信息的生成方法、装置、设备及存储介质
EP4093076A1 (en) Method, mobile equipment, and system for vulnerability detection and prevention in a sim, and storage media
CN113542238A (zh) 一种基于零信任的风险判定方法及***
CN112015494A (zh) 第三方api工具调用方法、***及装置
CN115412346B (zh) 一种报文检测方法、装置、电子设备及存储介质
CN115809466B (zh) 基于stride模型的安全需求生成方法、装置、电子设备及介质
CN114362960B (zh) 资源账户的数据监管方法、装置、计算机设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088

Applicant after: Qianxin Technology Group Co.,Ltd.

Applicant after: Qianxin Wangshen information technology (Beijing) Co., Ltd

Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088

Applicant before: Qianxin Technology Group Co.,Ltd.

Applicant before: Wangshen information technology (Beijing) Co., Ltd

GR01 Patent grant
GR01 Patent grant