CN112511351A - 基于mes标识数据互通***的安全态势预测方法及*** - Google Patents

基于mes标识数据互通***的安全态势预测方法及*** Download PDF

Info

Publication number
CN112511351A
CN112511351A CN202011388034.4A CN202011388034A CN112511351A CN 112511351 A CN112511351 A CN 112511351A CN 202011388034 A CN202011388034 A CN 202011388034A CN 112511351 A CN112511351 A CN 112511351A
Authority
CN
China
Prior art keywords
situation
threat
value
data
mes
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011388034.4A
Other languages
English (en)
Other versions
CN112511351B (zh
Inventor
柴森春
王昭洋
李孟洋
崔灵果
李慧芳
姚分喜
张百海
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Institute of Technology BIT
Original Assignee
Beijing Institute of Technology BIT
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Institute of Technology BIT filed Critical Beijing Institute of Technology BIT
Priority to CN202011388034.4A priority Critical patent/CN112511351B/zh
Publication of CN112511351A publication Critical patent/CN112511351A/zh
Application granted granted Critical
Publication of CN112511351B publication Critical patent/CN112511351B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/04Network management architectures or arrangements
    • H04L41/044Network management architectures or arrangements comprising hierarchical management structures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/147Network analysis or design for predicting network behaviour
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及一种基于MES标识数据互通***的安全态势预测方法及***。该方法包括获取MES标识数据互通***的安全态势评估模型;根据安全态势评估模型提取企业节点层中每个企业节点的网络安全态势要素;根据网络安全态势要素确定每个企业节点的态势威胁值;根据安全态势评估模型,采用自下而上以及逐层融合的策略,对每个企业节点的态势威胁值进行数据融合,得到MES标识数据互通***的整体态势威胁值;根据设定日期内的所述整体态势威胁值以及所述自回归移动平均模型确定整体态势威胁预测值。本发明能够准确定位MES标识数据互通***中的安全漏洞,并实现对***中的安全态势评估,从而帮助安全管理人员制定有效的防护方案。

Description

基于MES标识数据互通***的安全态势预测方法及***
技术领域
本发明涉及网络安全态势感知技术领域,特别是涉及一种基于MES标识数据互通***的安全态势预测方法及***。
背景技术
制造执行***(Manufacturing Execution System,MES)是一套位于上层的计划管理***与底层的工业控制之间的面向车间层的管理信息***。并且随着工业互联网技术的快速发展,面向MES的标识数据互通***也随即被提出。该***的应用能够实现将多个企业的不同MES***互联互通,形成统一的规范标准,为MES***提供一种更加普适的数据交互解决方案。
目前在MES***中应用的网络安全技术一般为防火墙技术、入侵检测技术、加密技术以及网络安全扫描技术等安全技术,这些安全技术能够在一定程度上保证信息的安全。但是随着工业互联网技术的发展以及黑客攻击技术的专业化,传统的防御体系已经不能满足MES标识数据互通***安全防护的需求。现如今,网络安全态势感知技术逐渐成为技术人员研究的一个重点课题。网络安全态势感知技术以安全大数据为基础,从***全局的视角对整个***进行安全评估及风险预测。因此,为了满足MES标识数据互通***安全防护的需求,如何更加全面准确地实现对整个***的安全态势评估,是一项亟待解决的问题。
发明内容
本发明的目的是提供一种基于MES标识数据互通***的安全态势预测方法及***,准确定位MES标识数据互通***中的安全漏洞,并实现对***中的安全态势评估,从而帮助安全管理人员制定有效的防护方案。
为实现上述目的,本发明提供了如下方案:
一种基于MES标识数据互通***的安全态势预测方法,包括:
获取MES标识数据互通***的安全态势评估模型;所述安全态势评估模型为MES标识数据互通***的整体架构;所述安全态势评估模型自上而下分别为根节点层、顶级节点层、二级节点层和企业节点层;
根据所述安全态势评估模型提取所述企业节点层中每个企业节点的网络安全态势要素;所述网络安全态势要素包括:原始报警信息以及原始流量数据;
根据所述网络安全态势要素确定每个企业节点的态势威胁值;
根据所述安全态势评估模型,采用自下而上以及逐层融合的策略,对每个企业节点的态势威胁值进行数据融合,得到所述MES标识数据互通***的整体态势威胁值;
根据设定日期内的所述整体态势威胁值以及所述自回归移动平均模型确定整体态势威胁预测值;所述设定日期为30天。
可选的,所述根据所述网络安全态势要素确定每个企业节点的态势威胁值,具体包括:
对所述原始报警信息进行预处理;所述预处理包括数据归一化以及数据聚类;
根据预处理后的原始报警信息确定每一攻击类型发生次数占攻击发生总次数的比例;
根据所述每一攻击类型发生次数占攻击发生总次数的比例,采用漏洞评分***确定每一攻击类型的威胁等级;
对所述原始流量数据进行特征提取,得到所述原始流量数据的特征;
根据所述原始流量数据的特征,利用卷积神经网络判断所述原始流量数据是否异常;若所述原始流量数据异常,则保存为布尔值1,若所述原始流量数据正常,则保存为布尔值0;所述卷积神经网络以所述原始流量数据的特征为输入,以判断结果为输出;所述判断结果为原始流量数据正常或原始流量数据异常;
统计原始流量数据异常的主机数量;
根据每一攻击类型的威胁等级以及相应的原始流量数据异常的主机数量确定每个企业节点的态势威胁值。
可选的,所述根据所述安全态势评估模型,采用自下而上以及逐层融合的策略,对每个企业节点的态势威胁值进行数据融合,得到所述MES标识数据互通***的整体态势威胁值,具体包括:
获取每个企业节点的权重;
将所述二级节点层中的每个二级节点对应的所有企业节点的态势威胁值,根据对应的权重进行数据融合,得到所述二级节点层各个节点的态势威胁值;
将所述顶级节点层中每个顶级节点对应的所有二级节点的态势威胁值进行数据融合,得到每个顶级节点的态势威胁值;
将每个顶级节点的态势威胁值进行数据融合,得到所述根节点层的态势威胁值;所述根节点层的态势威胁值为所述MES标识数据互通***的整体态势威胁值。
可选的,所述根据设定日期内的所述整体态势威胁值以及所述自回归移动平均模型确定整体态势威胁预测值,之后还包括:
将所述整体态势威胁预测值进行反馈。
一种基于MES标识数据互通***的安全态势预测***,包括:
安全态势评估模型获取模块,用于获取MES标识数据互通***的安全态势评估模型;所述安全态势评估模型为MES标识数据互通***的整体架构;所述安全态势评估模型自上而下分别为根节点层、顶级节点层、二级节点层和企业节点层;
网络安全态势要素确定模块,用于根据所述安全态势评估模型提取所述企业节点层中每个企业节点的网络安全态势要素;所述网络安全态势要素包括:原始报警信息以及原始流量数据;
态势威胁值确定模块,用于根据所述网络安全态势要素确定每个企业节点的态势威胁值;
整体态势威胁值确定模块,用于根据所述安全态势评估模型,采用自下而上以及逐层融合的策略,对每个企业节点的态势威胁值进行数据融合,得到所述MES标识数据互通***的整体态势威胁值;
整体态势威胁预测值确定模块,用于根据设定日期内的所述整体态势威胁值以及所述自回归移动平均模型确定整体态势威胁预测值;所述设定日期为30天。
可选的,所述态势威胁值确定模块具体包括:
预处理单元,用于对所述原始报警信息进行预处理;所述预处理包括数据归一化以及数据聚类;
攻击占比确定单元,用于根据预处理后的原始报警信息确定每一攻击类型发生次数占攻击发生总次数的比例;
威胁等级确定单元,用于根据所述每一攻击类型发生次数占攻击发生总次数的比例,采用漏洞评分***确定每一攻击类型的威胁等级;
特征提取单元,用于对所述原始流量数据进行特征提取,得到所述原始流量数据的特征;
原始流量数据判断单元,用于根据所述原始流量数据的特征,利用卷积神经网络判断所述原始流量数据是否异常;若所述原始流量数据异常,则保存为布尔值1,若所述原始流量数据正常,则保存为布尔值0;所述卷积神经网络以所述原始流量数据的特征为输入,以判断结果为输出;所述判断结果为原始流量数据正常或原始流量数据异常;
异常统计单元,用于统计原始流量数据异常的主机数量;
态势威胁值确定单元,用于根据每一攻击类型的威胁等级以及相应的原始流量数据异常的主机数量确定每个企业节点的态势威胁值。
可选的,所述整体态势威胁值确定模块具体包括:
企业节点的权重获取单元,用于获取每个企业节点的权重;
二级节点层各个节点的态势威胁值确定单元,用于将所述二级节点层中的每个二级节点对应的所有企业节点的态势威胁值,根据对应的权重进行数据融合,得到所述二级节点层各个节点的态势威胁值;
顶级节点的态势威胁值确定单元,用于将所述顶级节点层中每个顶级节点对应的所有二级节点的态势威胁值进行数据融合,得到每个顶级节点的态势威胁值;
整体态势威胁值确定单元,用于将每个顶级节点的态势威胁值进行数据融合,得到所述根节点层的态势威胁值;所述根节点层的态势威胁值为所述MES标识数据互通***的整体态势威胁值。
可选的,还包括:
反馈模块,用于将所述整体态势威胁预测值进行反馈。
根据本发明提供的具体实施例,本发明公开了以下技术效果:
本发明所提供的一种基于MES标识数据互通***的安全态势预测方法及***,根据网络安全态势要素确定每个企业节点的态势威胁值,准确定位***中的安全漏洞,并实现对***中的安全态势评估,从而帮助安全管理人员制定有效的防护方案。根据安全态势评估模型,采用自下而上以及逐层融合的策略,对每个企业节点的态势威胁值进行数据融合,得到MES标识数据互通***的整体态势威胁值。实现多个企业节点同时进行安全态势评估,加快整个MES标识数据互通***的安全态势评估速度。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明所提供的一种基于MES标识数据互通***的安全态势预测方法流程示意图;
图2为本发明所提供的一种基于MES标识数据互通***的安全态势预测方法的结构示意图;
图3为本发明所提供的MES标识数据互通***的安全态势评估模型结构示意图;
图4为本发明所提供的一种基于MES标识数据互通***的安全态势预测***结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的目的是提供一种基于MES标识数据互通***的安全态势预测方法及***,准确定位MES标识数据互通***中的安全漏洞,并实现对***中的安全态势评估,从而帮助安全管理人员制定有效的防护方案。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
图1为本发明所提供的一种基于MES标识数据互通***的安全态势预测方法流程示意图,图2为本发明所提供的一种基于MES标识数据互通***的安全态势预测方法的结构示意图,如图1和图2所示,一种基于MES标识数据互通***的安全态势预测方法,包括:
S101,获取MES标识数据互通***的安全态势评估模型;所述安全态势评估模型为MES标识数据互通***的整体架构;所述安全态势评估模型自上而下分别为根节点层、顶级节点层、二级节点层和企业节点层。
S102,根据所述安全态势评估模型提取所述企业节点层中每个企业节点的网络安全态势要素;所述网络安全态势要素包括:原始报警信息以及原始流量数据。原始报警信息为MES***中所存在的安全防护***(例如防火墙或入侵检测***)所提示的报警信息。
S103,根据所述网络安全态势要素确定每个企业节点的态势威胁值。
S103具体包括:
对所述原始报警信息进行预处理;所述预处理包括数据归一化以及数据聚类。
采用自然语言处理的方法,将各企业MES***中所产生的报警信息进行归一化处理。
通过采用决策树算法,输入归一化后的报警信息数据,将相同攻击类型的数据聚为一类,最终输出多个不同攻击类型的数据类。
根据预处理后的原始报警信息确定每一攻击类型发生次数占攻击发生总次数的比例。
根据所述每一攻击类型发生次数占攻击发生总次数的比例,采用漏洞评分***确定每一攻击类型的威胁等级。
对所述原始流量数据进行特征提取,得到所述原始流量数据的特征。具体的,利用提取工具CICFlowMeter进行特征的提取。CIC-IDS-2018入侵检测数据集对卷积神经网络进行训练。
根据所述原始流量数据的特征,利用卷积神经网络判断所述原始流量数据是否异常;若所述原始流量数据异常,则保存为布尔值1,若所述原始流量数据正常,则保存为布尔值0;所述卷积神经网络以所述原始流量数据的特征为输入,以判断结果为输出;所述判断结果为原始流量数据正常或原始流量数据异常。
统计原始流量数据异常的主机数量。
根据每一攻击类型的威胁等级以及相应的原始流量数据异常的主机数量确定每个企业节点的态势威胁值。
作为一个具体的实施例,根据所述网络安全态势要素确定每个企业节点的态势威胁值,具体包括:
步骤1:原始报警信息采集:收集某一企业节点MES***中的原始报警信息,此原始报警信息为该MES***中所存在的安全防护***(例如防火墙或入侵检测***)所提示的报警信息。由于不同的安全防护***所产生的报警信息可能不同,所以需要对所采集的所有报警信息进行归一化处理。信息归一化处理的过程为:将***中产生的原始报警信息作为输入内容,通过自然语言处理的方法,输出5个特征单词。
定义归一化后的报警信息格式为xi={Type,SIP,SPort,DIP,DPort}。
其中i表示报警信息的序号,Type表示攻击类型,SIP表示入侵者IP,SPort表示入侵者所使用的端口,DIP表示受到攻击的重要敏感数据IP,DPort表示受到攻击的重要敏感数据端口。
步骤2:报警信息聚类:经过归一化后的报警信息根据攻击类型可能分为不同的数据类型,所以需要将相同攻击类型的数据聚为一类,并生成多个不同攻击类型的数据类。在分类算法中,决策树算法的优点是速度快、准确性高,为了满足安全防护的实时准确性,在本发明方法中采用决策树的方法对归一化后的报警信息进行聚类工作。
步骤3:原始流量数据采集:利用***中的流量监视器采集实时采集企业节点MES***中每台主机一天内所产生的流量信息,将采集的流量信息作为原始数据并通过流量特征提取工具CICFlowMeter提取流量的特征,之后经卷积神经网络(在本发明方法中利用CIC-IDS-2018入侵检测数据集对卷积神经网络进行训练)输出后确定流量是否异常。若流量数据异常,则保存为布尔值1,若流量数据正常,则保存为布尔值0。
步骤4:单个企业节点网络安全态势评估
步骤5:定义P为某种攻击类型发生次数占所有攻击类型发生次数的比。以天为单位作为时间周期,收集每天内所产生的聚类后的***报警信息。统计***中攻击发生的总次数A以及各攻击类型所发生的的次数Bi。之后计算某一攻击类型发生的次数占攻击发生总次数的比例P。公式为:
Figure BDA0002810325830000081
步骤6:定义R为攻击威胁等级。在本发明方法中,采用CVSS即通用漏洞评分***对攻击威胁等级进行评定,用R表示某种攻击类型的威胁程度。攻击类型的最终得分最大为10,最小为0。得分7~10的漏洞通常被认为比较严重,得分在4~6.9之间的是中级漏洞,0~3.9的则是低级漏洞。
步骤7:定义N为异常流量状况。统计每天内某一企业节点MES***中的异常流量情况,统计公式为:
Figure BDA0002810325830000082
F为企业节点MES***中异常流量状况。f为该MES***中每台主机的异常流量状况。当f=0时,表示流量正常;当f=1,表示流量异常。n表示该MES***中的主机数量。
步骤8:安全态势要素融合。将以上安全态势要素进行融合得到一天内某种攻击对某企业MES***的威胁程度e,将此威胁程度量化为:e=P*R+F。e的值越大,表示MES***所受的威胁程度越高。
作为一个具体的实施例,将以上安全态势要素进行融合得到一天内某种攻击对某企业MES***的威胁程度e,将此威胁程度量化为:e=P*R+F。e的值越大,表示MES***所受的威胁程度越高。
S104,根据所述安全态势评估模型,采用自下而上以及逐层融合的策略,对每个企业节点的态势威胁值进行数据融合,得到所述MES标识数据互通***的整体态势威胁值。
S104获取每个企业节点的权重。
将所述二级节点层中的每个二级节点对应的所有企业节点的态势威胁值,根据对应的权重进行数据融合,得到所述二级节点层各个节点的态势威胁值。
将所述顶级节点层中每个顶级节点对应的所有二级节点的态势威胁值进行数据融合,得到每个顶级节点的态势威胁值。
将每个顶级节点的态势威胁值进行数据融合,得到所述根节点层的态势威胁值;所述根节点层的态势威胁值为所述MES标识数据互通***的整体态势威胁值。
S105,根据设定日期内的所述整体态势威胁值以及所述自回归移动平均模型确定整体态势威胁预测值;所述设定日期为30天。
最终通过将每种攻击类型对某企业MES***的威胁程度e进行累加,可以得出该企业节点MES***一天内的安全态势,表示为:
Figure BDA0002810325830000091
E代表该企业节点MES***的安全态势,e代表某单种攻击对某企业MES***的威胁程度,n代表所有攻击类型的数量。
统计整个***的网络安全态势。通过设置各企业节点网络安全态势的权重,将各企业节点MES***的网络安全态势进行融合,得到各二级节点的网络安全态势,以此类推,最终得到整个***的网络安全态势。其计算公式为
Figure BDA0002810325830000101
S表示经过数据融合之后得到的上层各节点的网络安全态势,G表示本层各节点的网络安全态势,n表示上层某节点所属的本层所有节点的数目。例如在企业节点层中各节点的网络安全态势进行数据融合得到二级节点层中各节点网络安全态势过程中,将企业层各节点网络安全态势E作为本层各节点的网络安全态势G,经过数据融合后得到二级节点层中各节点网络安全态势即为公式中所述的上层各节点的网络安全态势S。经过逐层向上融合,最终掌握整个***一天内的网络安全态势值。
为了帮助安全管理人员全面的掌握***的安全态势并以此制定相应的应对策略,S105之后还包括:
将所述整体态势威胁预测值进行反馈。
图4为本发明所提供的一种基于MES标识数据互通***的安全态势预测***结构示意图,如图4所示,本发明所提供的一种基于MES标识数据互通***的安全态势预测***,包括:安全态势评估模型获取模块401、网络安全态势要素确定模块402、态势威胁值确定模块403、整体态势威胁值确定模块404以及整体态势威胁预测值确定模块405。
安全态势评估模型获取模块401用于获取MES标识数据互通***的安全态势评估模型;所述安全态势评估模型为MES标识数据互通***的整体架构;所述安全态势评估模型自上而下分别为根节点层、顶级节点层、二级节点层和企业节点层。
网络安全态势要素确定模块402用于根据所述安全态势评估模型提取所述企业节点层中每个企业节点的网络安全态势要素;所述网络安全态势要素包括:原始报警信息以及原始流量数据。
态势威胁值确定模块403用于根据所述网络安全态势要素确定每个企业节点的态势威胁值。
整体态势威胁值确定模块404用于根据所述安全态势评估模型,采用自下而上以及逐层融合的策略,对每个企业节点的态势威胁值进行数据融合,得到所述MES标识数据互通***的整体态势威胁值。
整体态势威胁预测值确定模块405用于根据设定日期内的所述整体态势威胁值以及所述自回归移动平均模型确定整体态势威胁预测值;所述设定日期为30天。
所述态势威胁值确定模块403具体包括:预处理单元、攻击占比确定单元、威胁等级确定单元、特征提取单元、原始流量数据判断单元、异常统计单元以及态势威胁值确定单元。
预处理单元用于对所述原始报警信息进行预处理;所述预处理包括数据归一化以及数据聚类。
攻击占比确定单元用于根据预处理后的原始报警信息确定每一攻击类型发生次数占攻击发生总次数的比例。
威胁等级确定单元用于根据所述每一攻击类型发生次数占攻击发生总次数的比例,采用漏洞评分***确定每一攻击类型的威胁等级。
特征提取单元用于对所述原始流量数据进行特征提取,得到所述原始流量数据的特征。
原始流量数据判断单元用于根据所述原始流量数据的特征,利用卷积神经网络判断所述原始流量数据是否异常;若所述原始流量数据异常,则保存为布尔值1,若所述原始流量数据正常,则保存为布尔值0;所述卷积神经网络以所述原始流量数据的特征为输入,以判断结果为输出;所述判断结果为原始流量数据正常或原始流量数据异常。
异常统计单元用于统计原始流量数据异常的主机数量。
态势威胁值确定单元用于根据每一攻击类型的威胁等级以及相应的原始流量数据异常的主机数量确定每个企业节点的态势威胁值。
所述整体态势威胁值确定模块404具体包括:企业节点的权重获取单元、二级节点层各个节点的态势威胁值确定单元、顶级节点的态势威胁值确定单元以及整体态势威胁值确定单元。
企业节点的权重获取单元用于获取每个企业节点的权重。
二级节点层各个节点的态势威胁值确定单元用于将所述二级节点层中的每个二级节点对应的所有企业节点的态势威胁值,根据对应的权重进行数据融合,得到所述二级节点层各个节点的态势威胁值。
顶级节点的态势威胁值确定单元用于将所述顶级节点层中每个顶级节点对应的所有二级节点的态势威胁值进行数据融合,得到每个顶级节点的态势威胁值。
整体态势威胁值确定单元用于将每个顶级节点的态势威胁值进行数据融合,得到所述根节点层的态势威胁值;所述根节点层的态势威胁值为所述MES标识数据互通***的整体态势威胁值。
为了帮助安全管理人员全面的掌握***的安全态势并以此制定相应的应对策略,本发明所提供的一种基于MES标识数据互通***的安全态势预测***,还包括:反馈模块。
反馈模块用于将所述整体态势威胁预测值进行反馈。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的***而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。

Claims (8)

1.一种基于MES标识数据互通***的安全态势预测方法,其特征在于,包括:
获取MES标识数据互通***的安全态势评估模型;所述安全态势评估模型为MES标识数据互通***的整体架构;所述安全态势评估模型自上而下分别为根节点层、顶级节点层、二级节点层和企业节点层;
根据所述安全态势评估模型提取所述企业节点层中每个企业节点的网络安全态势要素;所述网络安全态势要素包括:原始报警信息以及原始流量数据;
根据所述网络安全态势要素确定每个企业节点的态势威胁值;
根据所述安全态势评估模型,采用自下而上以及逐层融合的策略,对每个企业节点的态势威胁值进行数据融合,得到所述MES标识数据互通***的整体态势威胁值;
根据设定日期内的所述整体态势威胁值以及所述自回归移动平均模型确定整体态势威胁预测值;所述设定日期为30天。
2.根据权利要求1所述的一种基于MES标识数据互通***的安全态势预测方法,其特征在于,所述根据所述网络安全态势要素确定每个企业节点的态势威胁值,具体包括:
对所述原始报警信息进行预处理;所述预处理包括数据归一化以及数据聚类;
根据预处理后的原始报警信息确定每一攻击类型发生次数占攻击发生总次数的比例;
根据所述每一攻击类型发生次数占攻击发生总次数的比例,采用漏洞评分***确定每一攻击类型的威胁等级;
对所述原始流量数据进行特征提取,得到所述原始流量数据的特征;
根据所述原始流量数据的特征,利用卷积神经网络判断所述原始流量数据是否异常;若所述原始流量数据异常,则保存为布尔值1,若所述原始流量数据正常,则保存为布尔值0;所述卷积神经网络以所述原始流量数据的特征为输入,以判断结果为输出;所述判断结果为原始流量数据正常或原始流量数据异常;
统计原始流量数据异常的主机数量;
根据每一攻击类型的威胁等级以及相应的原始流量数据异常的主机数量确定每个企业节点的态势威胁值。
3.根据权利要求1所述的一种基于MES标识数据互通***的安全态势预测方法,其特征在于,所述根据所述安全态势评估模型,采用自下而上以及逐层融合的策略,对每个企业节点的态势威胁值进行数据融合,得到所述MES标识数据互通***的整体态势威胁值,具体包括:
获取每个企业节点的权重;
将所述二级节点层中的每个二级节点对应的所有企业节点的态势威胁值,根据对应的权重进行数据融合,得到所述二级节点层各个节点的态势威胁值;
将所述顶级节点层中每个顶级节点对应的所有二级节点的态势威胁值进行数据融合,得到每个顶级节点的态势威胁值;
将每个顶级节点的态势威胁值进行数据融合,得到所述根节点层的态势威胁值;所述根节点层的态势威胁值为所述MES标识数据互通***的整体态势威胁值。
4.根据权利要求1所述的一种基于MES标识数据互通***的安全态势预测方法,其特征在于,所述根据设定日期内的所述整体态势威胁值以及所述自回归移动平均模型确定整体态势威胁预测值,之后还包括:
将所述整体态势威胁预测值进行反馈。
5.一种基于MES标识数据互通***的安全态势预测***,其特征在于,包括:
安全态势评估模型获取模块,用于获取MES标识数据互通***的安全态势评估模型;所述安全态势评估模型为MES标识数据互通***的整体架构;所述安全态势评估模型自上而下分别为根节点层、顶级节点层、二级节点层和企业节点层;
网络安全态势要素确定模块,用于根据所述安全态势评估模型提取所述企业节点层中每个企业节点的网络安全态势要素;所述网络安全态势要素包括:原始报警信息以及原始流量数据;
态势威胁值确定模块,用于根据所述网络安全态势要素确定每个企业节点的态势威胁值;
整体态势威胁值确定模块,用于根据所述安全态势评估模型,采用自下而上以及逐层融合的策略,对每个企业节点的态势威胁值进行数据融合,得到所述MES标识数据互通***的整体态势威胁值;
整体态势威胁预测值确定模块,用于根据设定日期内的所述整体态势威胁值以及所述自回归移动平均模型确定整体态势威胁预测值;所述设定日期为30天。
6.根据权利要求5所述的一种基于MES标识数据互通***的安全态势预测***,其特征在于,所述态势威胁值确定模块具体包括:
预处理单元,用于对所述原始报警信息进行预处理;所述预处理包括数据归一化以及数据聚类;
攻击占比确定单元,用于根据预处理后的原始报警信息确定每一攻击类型发生次数占攻击发生总次数的比例;
威胁等级确定单元,用于根据所述每一攻击类型发生次数占攻击发生总次数的比例,采用漏洞评分***确定每一攻击类型的威胁等级;
特征提取单元,用于对所述原始流量数据进行特征提取,得到所述原始流量数据的特征;
原始流量数据判断单元,用于根据所述原始流量数据的特征,利用卷积神经网络判断所述原始流量数据是否异常;若所述原始流量数据异常,则保存为布尔值1,若所述原始流量数据正常,则保存为布尔值0;所述卷积神经网络以所述原始流量数据的特征为输入,以判断结果为输出;所述判断结果为原始流量数据正常或原始流量数据异常;
异常统计单元,用于统计原始流量数据异常的主机数量;
态势威胁值确定单元,用于根据每一攻击类型的威胁等级以及相应的原始流量数据异常的主机数量确定每个企业节点的态势威胁值。
7.根据权利要求5所述的一种基于MES标识数据互通***的安全态势预测***,其特征在于,所述整体态势威胁值确定模块具体包括:
企业节点的权重获取单元,用于获取每个企业节点的权重;
二级节点层各个节点的态势威胁值确定单元,用于将所述二级节点层中的每个二级节点对应的所有企业节点的态势威胁值,根据对应的权重进行数据融合,得到所述二级节点层各个节点的态势威胁值;
顶级节点的态势威胁值确定单元,用于将所述顶级节点层中每个顶级节点对应的所有二级节点的态势威胁值进行数据融合,得到每个顶级节点的态势威胁值;
整体态势威胁值确定单元,用于将每个顶级节点的态势威胁值进行数据融合,得到所述根节点层的态势威胁值;所述根节点层的态势威胁值为所述MES标识数据互通***的整体态势威胁值。
8.根据权利要求5所述的一种基于MES标识数据互通***的安全态势预测***,其特征在于,还包括:
反馈模块,用于将所述整体态势威胁预测值进行反馈。
CN202011388034.4A 2020-12-01 2020-12-01 基于mes标识数据互通***的安全态势预测方法及*** Active CN112511351B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011388034.4A CN112511351B (zh) 2020-12-01 2020-12-01 基于mes标识数据互通***的安全态势预测方法及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011388034.4A CN112511351B (zh) 2020-12-01 2020-12-01 基于mes标识数据互通***的安全态势预测方法及***

Publications (2)

Publication Number Publication Date
CN112511351A true CN112511351A (zh) 2021-03-16
CN112511351B CN112511351B (zh) 2021-11-09

Family

ID=74969203

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011388034.4A Active CN112511351B (zh) 2020-12-01 2020-12-01 基于mes标识数据互通***的安全态势预测方法及***

Country Status (1)

Country Link
CN (1) CN112511351B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113407687A (zh) * 2021-06-04 2021-09-17 海南师范大学 一种基于人工智能的自然语言处理设备
CN114615016A (zh) * 2022-02-09 2022-06-10 广东能源集团科学技术研究院有限公司 一种企业网络安全评估方法、装置、移动终端及存储介质
CN114771107A (zh) * 2022-06-22 2022-07-22 佛山豪德数控机械有限公司 一种智能制造生产线用可识别喷码位置的喷码机***
CN115242423A (zh) * 2022-05-25 2022-10-25 中国交通信息科技集团有限公司 工业互联网安全态势展示***

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104394015A (zh) * 2014-11-13 2015-03-04 河南理工大学 一种网络安全态势评估方法
CN107767015A (zh) * 2017-09-05 2018-03-06 南京国际船舶设备配件有限公司 一种基于mes的生产***
CN108600155A (zh) * 2018-03-07 2018-09-28 上海洺淀智能科技有限公司 一种汇聚层网络安全防止外侵的工业控制***
CN109150868A (zh) * 2018-08-10 2019-01-04 海南大学 网络安全态势评估方法及装置
US20190037012A1 (en) * 2016-04-01 2019-01-31 Innogy Innovation Gmbh Production System Controllable by Means of a Peer-to-Peer Application
CN109508848A (zh) * 2018-08-08 2019-03-22 武汉理工光科股份有限公司 企业生产安全风险评估和管理***
CN109547431A (zh) * 2018-11-19 2019-03-29 国网河南省电力公司信息通信公司 一种基于cs和改进bp神经网络的网络安全态势评估方法
CN110673555A (zh) * 2019-09-21 2020-01-10 苏州浪潮智能科技有限公司 一种基于mes***的故障现象异常预警方法及***

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104394015A (zh) * 2014-11-13 2015-03-04 河南理工大学 一种网络安全态势评估方法
US20190037012A1 (en) * 2016-04-01 2019-01-31 Innogy Innovation Gmbh Production System Controllable by Means of a Peer-to-Peer Application
CN107767015A (zh) * 2017-09-05 2018-03-06 南京国际船舶设备配件有限公司 一种基于mes的生产***
CN108600155A (zh) * 2018-03-07 2018-09-28 上海洺淀智能科技有限公司 一种汇聚层网络安全防止外侵的工业控制***
CN109508848A (zh) * 2018-08-08 2019-03-22 武汉理工光科股份有限公司 企业生产安全风险评估和管理***
CN109150868A (zh) * 2018-08-10 2019-01-04 海南大学 网络安全态势评估方法及装置
CN109547431A (zh) * 2018-11-19 2019-03-29 国网河南省电力公司信息通信公司 一种基于cs和改进bp神经网络的网络安全态势评估方法
CN110673555A (zh) * 2019-09-21 2020-01-10 苏州浪潮智能科技有限公司 一种基于mes***的故障现象异常预警方法及***

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
MAHYAR AZARMIPOUR;HAITHAM ELFAHAM;CASPAR GRIES;TOBIAS KLEINERT;U: ""A Service-based Architecture for the Interaction of Control and MES Systems in Industry 4.0 Environment"", 《2020 IEEE 18TH INTERNATIONAL CONFERENCE ON INDUSTRIAL INFORMATICS (INDIN)》 *
柴森春,张译霖,马宝罗: ""面向MES的工业互联网标识数据互通***设计"", 《信息通信技术与政策》 *
邓勇杰: ""基于改进灰色理论的网络安全态势预测方法研究"", 《中国优秀硕士学位论文全文数据库 信息科技辑》 *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113407687A (zh) * 2021-06-04 2021-09-17 海南师范大学 一种基于人工智能的自然语言处理设备
CN113407687B (zh) * 2021-06-04 2022-06-07 海南师范大学 一种基于人工智能的自然语言处理设备
CN114615016A (zh) * 2022-02-09 2022-06-10 广东能源集团科学技术研究院有限公司 一种企业网络安全评估方法、装置、移动终端及存储介质
CN114615016B (zh) * 2022-02-09 2023-08-01 广东能源集团科学技术研究院有限公司 一种企业网络安全评估方法、装置、移动终端及存储介质
CN115242423A (zh) * 2022-05-25 2022-10-25 中国交通信息科技集团有限公司 工业互联网安全态势展示***
CN114771107A (zh) * 2022-06-22 2022-07-22 佛山豪德数控机械有限公司 一种智能制造生产线用可识别喷码位置的喷码机***

Also Published As

Publication number Publication date
CN112511351B (zh) 2021-11-09

Similar Documents

Publication Publication Date Title
CN112511351B (zh) 基于mes标识数据互通***的安全态势预测方法及***
CN102098180B (zh) 一种网络安全态势感知方法
CN110351244A (zh) 一种基于多卷积神经网络融合的网络入侵检测方法及***
CN107528832A (zh) 一种面向***日志的基线构建与未知异常行为检测方法
EP2936772B1 (en) Network security management
CN106973038A (zh) 基于遗传算法过采样支持向量机的网络入侵检测方法
CN109344617A (zh) 一种物联网资产安全画像方法与***
KR101692982B1 (ko) 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템
CN112560029A (zh) 基于智能分析技术的网站内容监测和自动化响应防护方法
CN115987615A (zh) 一种网络行为安全预警方法及***
Qu et al. A network security situation evaluation method based on DS evidence theory
CN105827611B (zh) 一种基于模糊推理的分布式拒绝服务网络攻击检测方法和***
CN115001934A (zh) 一种工控安全风险分析***及方法
CN112383525A (zh) 一种评价水平和准确性高的工业互联网安全态势评价方法
CN117375985A (zh) 安全风险指数的确定方法及装置、存储介质、电子装置
CN113709170A (zh) 资产安全运营***、方法和装置
CN116302809A (zh) 边缘端数据分析计算装置
CN115378711A (zh) 一种工控网络的入侵检测方法和***
CN115396324A (zh) 一种网络安全态势感知预警处理***
CN112866278B (zh) 一种基于大数据的计算机网络信息安全防护***
CN117040664A (zh) 一种基于网络运行安全的计算机***检测方法
CN112528325B (zh) 一种数据信息的安全处理方法及***
CN115659351B (zh) 一种基于大数据办公的信息安全分析方法、***及设备
CN116545679A (zh) 一种工业情境安全基础框架及网络攻击行为特征分析方法
Salazar et al. Monitoring approaches for security and safety analysis: application to a load position system

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant