CN114374528A - 一种数据安全检测方法、装置、电子设备及介质 - Google Patents
一种数据安全检测方法、装置、电子设备及介质 Download PDFInfo
- Publication number
- CN114374528A CN114374528A CN202111403128.9A CN202111403128A CN114374528A CN 114374528 A CN114374528 A CN 114374528A CN 202111403128 A CN202111403128 A CN 202111403128A CN 114374528 A CN114374528 A CN 114374528A
- Authority
- CN
- China
- Prior art keywords
- internet
- industrial
- attack
- data
- feature library
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 69
- 238000000034 method Methods 0.000 claims abstract description 27
- 230000006855 networking Effects 0.000 claims abstract description 14
- 241000700605 Viruses Species 0.000 claims description 29
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 claims description 16
- 238000012545 processing Methods 0.000 claims description 10
- 238000003860 storage Methods 0.000 claims description 8
- 238000010276 construction Methods 0.000 claims description 5
- 238000004590 computer program Methods 0.000 claims description 4
- 230000002155 anti-virotic effect Effects 0.000 description 19
- 238000012544 monitoring process Methods 0.000 description 10
- 230000006854 communication Effects 0.000 description 7
- 238000004519 manufacturing process Methods 0.000 description 7
- 230000002159 abnormal effect Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 6
- 230000000694 effects Effects 0.000 description 6
- 230000006399 behavior Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 241000283086 Equidae Species 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 230000009545 invasion Effects 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- VNWKTOKETHGBQD-UHFFFAOYSA-N methane Chemical compound C VNWKTOKETHGBQD-UHFFFAOYSA-N 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 239000000779 smoke Substances 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000004888 barrier function Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 238000009776 industrial production Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 239000003345 natural gas Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 238000003892 spreading Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/23—Updating
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2455—Query execution
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computational Linguistics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供了一种数据安全检测方法、装置、电子设备及介质,适用于工业互联网;所述方法包括以下步骤:构建物联网攻击特征库,物联网攻击特征库中包括多种类型的工业特征库和多种类型的互联网特征库;抓取所述工业互联网中的数据流,并将所抓取的数据流与物联网攻击特征库进行匹配,得到匹配结果;根据所述匹配结果,判断抓取的数据流中是否存在与所述物联网攻击特征库匹配的数据;若存在,则判定所述工业互联网被攻击,并针对存在工业攻击特征或互联网攻击特征的数据生成攻击警告信息。本申请能够检测与互联网互联的工业网络中的安全隐患,保障工业网络中的信息安全。
Description
技术领域
本申请涉及信息技术安全技术领域,具体而言,涉及一种数据安全检测方法、装置、电子设备及介质。
背景技术
随着计算机和网络技术的发展,特别是信息化与工业产业深度融合以及物联网的快速发展,工业控制***产品越来越多接入网络,面临着互联网上复杂的生态环境,以各种方式与互联网等公共网络连接,病毒、木马等威胁正在向工业控制***扩散,工业控制***信息安全问题日益突出。
现有的数据安全检测方法主要是针对互联网,能够检测针对互联网的入侵、病毒等威胁,现有的工业网络与互联网连接,使得工业网络通过网络互联将自己暴露在互联网上,承受着被攻击的风险,却没有完善的安全检测机制。
发明内容
有鉴于此,本申请的目的在于提供一种数据安全检测方法、装置、电子设备及介质,检测与互联网互联的工业网络中的安全隐患,保障工业网络中的信息安全。
本申请实施例提供的一种数据安全检测方法,适用于工业互联网;所述方法包括以下步骤:
构建物联网攻击特征库,所述物联网攻击特征库中包括多种类型的工业特征库和多种类型的互联网特征库;
抓取所述工业互联网中的数据流,并将所抓取的数据流与所述物联网攻击特征库进行匹配,得到匹配结果;
根据所述匹配结果,判断所述抓取的数据流中是否存在与所述物联网攻击特征库匹配的数据;
若存在,则判定所述工业互联网被攻击,并针对所述存在工业攻击特征或互联网攻击特征的数据生成攻击警告信息。
在一些实施例中,所述的数据安全检测方法,构建攻击特征库后,所述方法还包括;
实时检测外部的安全数据库中,工业攻击特征或互联网攻击特征是否更新;
若更新,则根据更新的工业攻击特征或互联网攻击特征,实时更新所述更新的工业攻击特征或互联网攻击特征所对应的工业特征库或互联网特征库。
在一些实施例中,所述的数据安全检测方法,所述工业特征库的类型和互联网特征库的类型,均至少包括以下之一:入侵特征库、病毒特征库、应用特征库、木马特征库、webmail特征库、垃圾邮件特征库。
在一些实施例中,所述的数据安全检测方法,所述应用特征库中,针对满足预设条件的应用,自定义该应用的安全策略。
在一些实施例中,所述的数据安全检测方法,所述构建物联网攻击特征库,所构建的物联网攻击特征库中还包括工业协议白名单;
所述抓取所述工业互联网中的数据流之后,所述方法还包括以下步骤:
将抓取所述工业互联网中的数据流中数据携带的工业协议与所述工业协议白名单进行匹配,得到匹配结果;
若匹配结果符合预设放行条件,则放行该数据流中的数据;
若匹配结果不符合预设放行条件,则对该数据进行异常处理。
在一些实施例中,还提供一种基于工业互联网的安全检测装置,包括:
构建模块,用于构建物联网攻击特征库,所述物联网攻击特征库中包括多种类型的工业特征库和多种类型的互联网特征库;
抓取模块,用于抓取所述工业互联网中的数据流,并将所抓取的数据流与所述物联网攻击特征库进行匹配,得到匹配结果;
判断模块,用于根据所述匹配结果,判断所述抓取的数据流中是否存在与所述物联网攻击特征库匹配的数据;
生成模块,用于在所述抓取的数据流中存在与所述物联网攻击特征库匹配的数据时,则判定所述工业互联网被攻击,并针对所述存在工业攻击特征或互联网攻击特征的数据生成攻击警告信息。
在一些实施例中,所述的基于工业互联网的安全检测装置,还包括:
检测模块,用于实时检测外部的安全数据库中,工业攻击特征或互联网攻击特征是否更新;
更新模块,用于在检测模块检测到工业攻击特征或互联网攻击特征更新时,则根据更新的工业攻击特征或互联网攻击特征,实时更新所述更新的工业攻击特征或互联网攻击特征所对应的工业特征库或互联网特征库。
在一些实施例中,所述的基于工业互联网的安全检测装置,还包括:
匹配模块,用于将抓取所述工业互联网中的数据流中数据携带的工业协议与所述工业协议白名单进行匹配,得到匹配结果;
放行模块,用于在匹配结果符合预设放行条件,则放行该数据流中的数据;
处理模块,用于在匹配结果不符合预设放行条件,则对该数据进行异常处理。
在一些实施例中,还提供一种电子设备,包括处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行所述的数据安全检测方法的步骤。
在一些实施例中,还提供一种计算机可读存储介质,所述存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行所述的数据安全检测方法的步骤。
本申请通过既包括互联网特征库,又包括工业网络特征库构建的物联网攻击特征库,从互联网干威胁和专门针对工业网络的威胁两方面来检测所述工业网络的数据是否安全;其中,所述互联网特征库和工业网络特征库均包括多种类型,在传统入侵检测、病毒检测和应用特征库基础之上,增加了木马库,webmail、垃圾邮件等特征库,以从多个维度检测数据是否安全。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本申请实施例所述的数据安全检测方法的方法流程图;
图2示出了本申请实施例所述的另一种数据安全检测方法的方法流程图;
图3示出了本申请实施例所述的基于工业互联网的安全检测装置的结构示意图;
图4示出了本申请实施例所述的另一种基于工业互联网的安全检测装置的结构示意图;
图5示出了本申请实施例所述的另一种基于工业互联网的安全检测装置的结构示意图;
图6示出了本申请实施例所述的电子设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,应当理解,本申请中附图仅起到说明和描述的目的,并不用于限定本申请的保护范围。另外,应当理解,示意性的附图并未按实物比例绘制。本申请中使用的流程图示出了根据本申请的一些实施例实现的操作。应该理解,流程图的操作可以不按顺序实现,没有逻辑的上下文关系的步骤可以反转顺序或者同时实施。此外,本领域技术人员在本申请内容的指引下,可以向流程图添加一个或多个其他操作,也可以从流程图中移除一个或多个操作。
另外,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,本申请实施例中将会用到术语“包括”,用于指出其后所声明的特征的存在,但并不排除增加其它的特征。
信息安全领域传统的“老三样”为防火墙,入侵检测***(IDS)和杀毒软件。
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。
在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet) 分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet, Internet上的人也无法和公司内部的人进行通信。
入侵检测***(IDS)入侵检测是软件和硬件的组合,是防火墙的合理补充,是防火墙之后的第二道安全闸门。不同于防火墙,IDS入侵检测***是一个监听设备,IDS挂接在所有所关注流量都必须流经的链路上。在这里, "所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。因此,IDS在交换式网络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源的位置。例如:服务器区域的交换机上;Internet 接入路由器之后的第一台交换机上;重点保护网段的局域网交换机上。
入侵检测***(IDS)根据所采用的技术分为:1)异常检测:异常检测的假设是入侵者活动异常于正常主体的活动,建立正常活动的“活动简档”,当前主体的活动违反其统计规律时,认为可能是“入侵”行为。2)特征检测:特征检测假设入侵者活动可以用一种模式来表示,***的目标是检测主体活动是否符合这些模式。
杀毒软件,也称反病毒软件或防毒软件,是用于消除电脑病毒、特洛伊木马和恶意软件等计算机威胁的一类软件。
杀毒软件通常集成监控识别、病毒扫描和清除、自动升级、主动防御等功能,有的杀毒软件还带有数据恢复、防范黑客入侵、网络流量控制等功能,是计算机防御***(包含杀毒软件,防火墙,特洛伊木马和恶意软件的查杀程序,入侵预防***等)的重要组成部分。
杀毒软件是一种可以对病毒、木马等一切已知的对计算机有危害的程序代码进行清除的程序工具。杀毒软件的任务是实时监控和扫描磁盘。部分反病毒软件通过在***添加驱动程序的方式,进驻***,并且随操作***启动。大部分的杀毒软件还具有防火墙功能。反病毒软件的实时监控方式因软件而异。有的反病毒软件,是通过在内存里划分一部分空间,将电脑里流过内存的数据与反病毒软件自身所带的病毒库(包含病毒定义)的特征码相比较,以判断是否为病毒。另一些反病毒软件则在所划分到的内存空间里面,虚拟执行***或用户提交的程序,根据其行为或结果作出判断。
防火墙、还是杀毒软件、入侵检测***(IDS)均需要制定一定的监测策略,通过检测数据是否符合该检测策略,来检测数据是否安全。但随着计算机和网络技术的发展,随着“工业4.0”、“两化融”、“互联网+”的趋势到来,传统的工控***通过网络互联使自己暴露在互联网上,从而导致***本身很容易遭到来自企业管理网或互联网的病毒、木马、黑客的攻击,这些攻击往往针对工业网络的特点,现有的防火墙、还是杀毒软件、入侵检测***(IDS)中的监测策略均是针对互联网的,所构建的攻击特征库(防火墙、还是杀毒软件、入侵检测***(IDS)的攻击特征库)中均是互联网特征库。这就导致现有的互联网的数据安全检测方法,并不能有效检测出数据中针对工业互联网的攻击,这将会导致工控***所控制的关键基础设施、重要***等存在巨大的安全风险和隐患。
基于此,本申请提出一种数据安全检测方法,适用于工业互联网;如图1所示,所述方法包括以下步骤:
S101、构建物联网攻击特征库,所述物联网攻击特征库中包括多种类型的工业特征库和多种类型的互联网特征库;
S102、抓取所述工业互联网中的数据流,并将所抓取的数据流与所述物联网攻击特征库进行匹配,得到匹配结果;
S103、根据所述匹配结果,判断所述抓取的数据流中是否存在与所述物联网攻击特征库匹配的数据;
S104、若存在,则判定所述工业互联网被攻击,并针对所述存在工业攻击特征或互联网攻击特征的数据生成攻击警告信息。
所述步骤S101中,所述工业特征库的类型和互联网特征库的类型,均至少包括以下之一:入侵特征库、病毒特征库、应用特征库、木马特征库、 webmail特征库、垃圾邮件特征库。
所述属于工业特征库的入侵特征库、病毒特征库、应用特征库、木马特征库、webmail特征库、垃圾邮件特征库,其中所制定的检测策略均针对所述工业网络。
所述工业网络,又称之为工业控制***,包括有信息决策层、过程监控层和现场设备层三层。各层之间的数据相互交互。
所述信息决策层,应用于员工日常办公、企业信息发布、企业信息数据库的建立和维护、报表提交和查询等功能。企业内部局域网会与外部互联网共存使用,并采用一些隔离控制的策略,比如管理员授权等;在内网与外网的通信过程中,企业也会使用安全防护产品,如安全网闸等。企业信息网的建立,完成了工业生产方数据网络的双向通信,同时给生产网络打开了一条通往互联网的大门。黑客更有机会收集到企业信息管理***的身份认证、准入地址等信息,并根据所获信息登录办公***。
过程监控层连接信息信息网和生产现场,为了保证各部分局域网能够顺利通讯,实现数据传输一般采用工业以太网协议,进一步增强了工业网络的开放性。过程监控层能够实时采集现场设备的实时生产数据,并向现场设备发送生产指令。
现场设备层是将PLC等控制器与传感器等底层设备相连接。
因此,所述针对工业网络的攻击,既包括针对所述信息决策层的互联网攻击,例如,攻击所述企业内部局域网,以获取企业信息;也包括针对工业控制***的攻击,例如向现场设备发送错误的生产指令,在PLC上植入入侵程序等等。
因此,本申请所构建的物联网攻击特征库中,既包括互联网特征库,又包括工业网络特征库,从而全面的检测所述工业网络的数据是否安全。其中,所述互联网特征库和工业网络特征库均包括多种类型,以从多个维度检测数据是否安全。
所述步骤S102中,将所述抓取的数据流与所述物联网攻击特征库进行匹配,得到匹配结果,具体包括多种不同的匹配方式。
例如,在一些实施例中,实时采集所述处理现场设备层中设备的运行状态、运行参数、实时生产数据,通过所述现场设备的变化情况来识别针对工业网络的攻击行为。
所述通过所述现场设备的变化情况来识别针对工业网络的攻击行为,可以通过多种方法实现,例如基于模型检测,基于机器学习的方法检测。
例如,对于属于工业特征库下的病毒特征库、木马特征库而言,里面记录着工业网络病毒、木马的种种"相貌特征",从而检测工业网络中的数据与所述工业网络病毒、木马的相似程度作为匹配结果。
在所述步骤S103中,根据所述匹配结果,判断所述抓取的数据流中是否存在与所述物联网攻击特征库匹配的数据,例如,当工业网络中的数据与所述工业网络病毒、木马的相似度达到预设阈值,则判定该数据为病毒、木马。
由于工业网络遭受攻击,可能会造成设备停产,给企业造成经济损失,对于供电网络、天然气网络等工业网络,则会造成更大的社会损失,因此,需要更加谨慎的判断所述数据中是否存在攻击特征。针对一数据的单次检测,往往需匹配多条安全策略,若该数据与任一安全策略的匹配结果满足预设的匹配条件,则判断所述数据为异常数据。
在所述步骤S104中,所述并针对所述存在工业攻击特征或互联网攻击特征的数据生成攻击警告信息,具体包括:
根据判断结果,针对该数据预先设置两种行为方式:放行、警告;
若所述数据与所述物联网攻击特征库的匹配结果满足预设放行条件,则放行所述数据,以实现所述工业网络中不同层级之间的相互通讯,使所述工业控制***正常生产。
若所述数据与所述物联网攻击特征库的匹配结果不满足预设放行条件,则针对该数据生成警告信息。
对于工业互联网而言,所述警告信息中包含相关现场设备的信息,若书相关现场设备为:该存在所述存在工业攻击特征或互联网攻击特征的数据所经过的现场设备。现场设备的信息包括编号、位置、接口等。
例如,检测出数据异常后,该数据为接口为1xxxx的烟雾传感器,编号为2xxx的IC识别芯片所实时采集的数据,经过地点为3xxx的PLC进行解析和重新包装后,发送至设备监控层中的编号为4xxx的监控主机,监控主机将其转发至企业信息网中。
基于此,所述警告信息可以弹窗,所述弹窗信息中包括有具体的现场设备的信息。例如,烟雾传感器1xxxx所发送的数据异常,该异常数据为 xxx,请及时处理。
在一些实施例中,在针对该数据生成警告信息后,所述数据安全检测方法还包括:所述工业网络针对该数据做出反应,以切换该数据在工业网络中的传输。
具体的,所述工业网络针对该数据做出反应,包括:所述工业网络根据用户自定义的动作,针对该数据做出反映。
物联网攻击特征库需要不断更新,才能更加准确的检测所述工业网络中的数据是否安全。
以病毒数据库为例,以往杀毒软件一般是每隔几天就会更新病毒库,但是由于电脑病毒数量的剧增,外部的病毒库的更新速度甚至是以小时来计算。
基于此,所述的数据安全检测方法,在构建攻击特征库后,所述方法还包括;
实时检测外部的安全数据库中,工业攻击特征或互联网攻击特征是否更新;
若更新,则根据更新的工业攻击特征或互联网攻击特征,实时更新所述更新的工业攻击特征或互联网攻击特征所对应的工业特征库或互联网特征库。
所述外部的安全数据库包括与所述互联网分类下的入侵特征库、病毒特征库、应用特征库、木马特征库、webmail特征库、垃圾邮件和所述工业网络分类下的入侵特征库、病毒特征库、应用特征库、木马特征库、webmail 特征库、垃圾邮件相关的数据库。
实时检测外部的安全数据库中,工业攻击特征或互联网攻击特征是否更新,具体包括:
所述物联网攻击特征库与所述互联网分类下的入侵特征库、病毒特征库、应用特征库、木马特征库、webmail特征库、垃圾邮件等数据库,以及和所述工业网络分类下的入侵特征库、病毒特征库、应用特征库、木马特征库、webmail特征库、垃圾邮件等数据库通讯连接;
当所述物联网攻击特征库接收到任一数据库的更新信息时,则更新该数据库对应的特征库。
在本实施例中,当所述物联网攻击特征库接收到任一数据库的更新信息时,根据所接收的更新操作,更新该数据库对应的特征库。
例如,在所述当所述物联网攻击特征库接收到任一数据库的更新信息时,在用户的主机上弹出“是否更新”,若用户选择是,则立即更新该数据库对应的特征库。若用户选择否,在暂时不更新该数据库对应的特征库,在经过预设时间段后,重新弹出该“是否更新”的提醒。
在本实时例中,所述的数据安全检测方法,所述应用特征库中,针对满足预设条件的应用,自定义该应用的安全策略。
如今,PC端和移动端的各类型应用不计其数,并且新应用还在不断涌现。当可识别的应用越来越多,每个应用的更新越来越快,容易出现两个问题:一是针对现有的应用的安全策略不能满足新出现的应用的识别需求;而是对于已经安装的应用,现有的安全策略不能满足更新后的应用的识别需求。
因此,针对满足预设条件的应用,自定义该应用的安全策略,以提高应用特征库匹配的效率和准确率。
例如,针对满足预设条件的应用,可以包括:已安装的应用、添加在白名单中的应用、风险等级高的应用、添加在黑名单中的应用。
对于已安装的应用、添加在白名单中的应用的数据,则采用相对宽松的安全策略。
对于风险等级高的应用、添加在黑名单中的应用的数据,则采用相对严格的安全策略。
本申请中,所述数据安全检测方法,所述构建物联网攻击特征库,所构建的物联网攻击特征库中还包括工业协议白名单;
所述抓取所述工业互联网中的数据流之后,如图2所示,所述方法还包括以下步骤:
S201、将抓取所述工业互联网中的数据流中数据携带的工业协议与所述工业协议白名单进行匹配,得到匹配结果;
S202、若匹配结果符合预设放行条件,则放行该数据流中的数据;
S203、若匹配结果不符合预设放行条件,则对该数据进行异常处理。
工业网络通常都是使用单一的工业协议通信,如Modbus TCP,OPC,IEC-104等。因此,工业协议白名单通过匹配工业流量中的协议特征,放行白名单中的协议规则,对白名单以外的数据进行异常处理,可以排除掉大量针对工业网络的异常数据。
用户能够根据本企业工业网络的中所采用的工业协议,自定义所述工业协议白名单,以及修改所述工业协议白名单。
本申请实施例还提供一种基于工业互联网的安全检测装置,如图3所示,包括:
构建模块301,用于构建物联网攻击特征库,所述物联网攻击特征库中包括多种类型的工业特征库和多种类型的互联网特征库;
抓取模块302,用于抓取所述工业互联网中的数据流,并将所抓取的数据流与所述物联网攻击特征库进行匹配,得到匹配结果;
判断模块303,用于根据所述匹配结果,判断所述抓取的数据流中是否存在与所述物联网攻击特征库匹配的数据;
生成模块304,用于在所述抓取的数据流中存在与所述物联网攻击特征库匹配的数据时,则判定所述工业互联网被攻击,并针对所述存在工业攻击特征或互联网攻击特征的数据生成攻击警告信息。
本申请实施例所述的基于工业互联网的安全检测装置,如图4所示,所述安全检测装置还包括:
检测模块401,用于实时检测外部的安全数据库中,工业攻击特征或互联网攻击特征是否更新;
更新模块402,用于在检测模块检测到工业攻击特征或互联网攻击特征更新时,则根据更新的工业攻击特征或互联网攻击特征,实时更新所述更新的工业攻击特征或互联网攻击特征所对应的工业特征库或互联网特征库。
本申请实施例所述的基于工业互联网的安全检测装置,如图5所示,还包括:
匹配模块501,用于将抓取所述工业互联网中的数据流中数据携带的工业协议与所述工业协议白名单进行匹配,得到匹配结果;
放行模块502,用于在匹配结果符合预设放行条件,则放行该数据流中的数据;
处理模块503,用于在匹配结果不符合预设放行条件,则对该数据进行异常处理。
本申请实施例所述的基于工业互联网的安全检测装置,所述构建模块中包括:自定义模块,用于针对所述应用特征库中满足预设条件的应用,自定义该应用的安全策略。
本申请实施例还提供一种电子设备,如图6所示,包括处理器601、存储器602和总线603,所述存储器602存储有所述处理器601可执行的机器可读指令,当电子设备运行时,所述处理器601与所述存储器602之间通过总线603通信,所述机器可读指令被所述处理器601执行时执行所述的数据安全检测方法的步骤。
本申请实施例还提供一种计算机可读存储介质,所述存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行所述的数据安全检测方法的步骤。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***和装置的具体工作过程,可以参考方法实施例中的对应过程,本申请中不再赘述。在本申请所提供的几个实施例中,应该理解到,所揭露的***、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个模块或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,平台服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、 ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种数据安全检测方法,其特征在于,适用于工业互联网;所述方法包括以下步骤:
构建物联网攻击特征库,所述物联网攻击特征库中包括多种类型的工业特征库和多种类型的互联网特征库;
抓取所述工业互联网中的数据流,并将所抓取的数据流与所述物联网攻击特征库进行匹配,得到匹配结果;
根据所述匹配结果,判断所述抓取的数据流中是否存在与所述物联网攻击特征库匹配的数据;
若存在,则判定所述工业互联网被攻击,并针对所述存在工业攻击特征或互联网攻击特征的数据生成攻击警告信息。
2.根据权利要求1所述的数据安全检测方法,其特征在于,构建攻击特征库后,所述方法还包括;
实时检测外部的安全数据库中,工业攻击特征或互联网攻击特征是否更新;
若更新,则根据更新的工业攻击特征或互联网攻击特征,实时更新所述更新的工业攻击特征或互联网攻击特征所对应的工业特征库或互联网特征库。
3.根据权利要求1所述的数据安全检测方法,其特征在于,
所述工业特征库的类型和互联网特征库的类型,均至少包括以下之一:入侵特征库、病毒特征库、应用特征库、木马特征库、webmail特征库、垃圾邮件特征库。
4.根据权利要求3所述的数据安全检测方法,其特征在于,所述应用特征库中,针对满足预设条件的应用,自定义该应用的安全策略。
5.根据权利要求1所述的数据安全检测方法,其特征在于,
所述构建物联网攻击特征库,所构建的物联网攻击特征库中还包括工业协议白名单;
所述抓取所述工业互联网中的数据流之后,所述方法还包括以下步骤:
将抓取所述工业互联网中的数据流中数据携带的工业协议与所述工业协议白名单进行匹配,得到匹配结果;
若匹配结果符合预设放行条件,则放行该数据流中的数据;
若匹配结果不符合预设放行条件,则对该数据进行异常处理。
6.一种基于工业互联网的安全检测装置,其特征在于,包括:
构建模块,用于构建物联网攻击特征库,所述物联网攻击特征库中包括多种类型的工业特征库和多种类型的互联网特征库;
抓取模块,用于抓取所述工业互联网中的数据流,并将所抓取的数据流与所述物联网攻击特征库进行匹配,得到匹配结果;
判断模块,用于根据所述匹配结果,判断所述抓取的数据流中是否存在与所述物联网攻击特征库匹配的数据;
生成模块,用于在所述抓取的数据流中存在与所述物联网攻击特征库匹配的数据时,则判定所述工业互联网被攻击,并针对所述存在工业攻击特征或互联网攻击特征的数据生成攻击警告信息。
7.根据权利要求6所述的基于工业互联网的安全检测装置,其特征在于,还包括:
检测模块,用于实时检测外部的安全数据库中,工业攻击特征或互联网攻击特征是否更新;
更新模块,用于在检测模块检测到工业攻击特征或互联网攻击特征更新时,则根据更新的工业攻击特征或互联网攻击特征,实时更新所述更新的工业攻击特征或互联网攻击特征所对应的工业特征库或互联网特征库。
8.根据权利要求6所述的基于工业互联网的安全检测装置,其特征在于,还包括:
匹配模块,用于将抓取所述工业互联网中的数据流中数据携带的工业协议与所述工业协议白名单进行匹配,得到匹配结果;
放行模块,用于在匹配结果符合预设放行条件,则放行该数据流中的数据;
处理模块,用于在匹配结果不符合预设放行条件,则对该数据进行异常处理。
9.一种电子设备,其特征在于,包括处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行如权利要求1至5任意一项所述的数据安全检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行如权利要求1至5任一所述的数据安全检测方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111403128.9A CN114374528A (zh) | 2021-11-24 | 2021-11-24 | 一种数据安全检测方法、装置、电子设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111403128.9A CN114374528A (zh) | 2021-11-24 | 2021-11-24 | 一种数据安全检测方法、装置、电子设备及介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114374528A true CN114374528A (zh) | 2022-04-19 |
Family
ID=81138105
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111403128.9A Pending CN114374528A (zh) | 2021-11-24 | 2021-11-24 | 一种数据安全检测方法、装置、电子设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114374528A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115065552A (zh) * | 2022-07-27 | 2022-09-16 | 北京六方云信息技术有限公司 | 工业通讯防护方法、装置、终端设备及存储介质 |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110288692A1 (en) * | 2010-05-20 | 2011-11-24 | Accenture Global Services Gmbh | Malicious attack detection and analysis |
CN103500305A (zh) * | 2013-09-04 | 2014-01-08 | 中国航天科工集团第二研究院七〇六所 | 一种基于云计算的恶意代码分析***和方法 |
CN105978897A (zh) * | 2016-06-28 | 2016-09-28 | 南京南瑞继保电气有限公司 | 一种电力二次***僵尸网络的检测方法 |
CN106209870A (zh) * | 2016-07-18 | 2016-12-07 | 北京科技大学 | 一种针对分布式工业控制***的网络入侵检测*** |
US20160359825A1 (en) * | 2015-06-02 | 2016-12-08 | Rockwell Automation Technologies, Inc. | Active Response Security System for Industrial Control Infrastructure |
CN106982235A (zh) * | 2017-06-08 | 2017-07-25 | 江苏省电力试验研究院有限公司 | 一种基于iec 61850的电力工业控制网络入侵检测方法及*** |
CN106997435A (zh) * | 2017-04-14 | 2017-08-01 | 广东浪潮大数据研究有限公司 | 一种操作***安全防控的方法、装置及*** |
US9928359B1 (en) * | 2015-07-15 | 2018-03-27 | Security Together Corporation | System and methods for providing security to an endpoint device |
CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测*** |
CN112333211A (zh) * | 2021-01-05 | 2021-02-05 | 博智安全科技股份有限公司 | 一种基于机器学习的工控行为检测方法和*** |
CN113645232A (zh) * | 2021-08-10 | 2021-11-12 | 克拉玛依和中云网技术发展有限公司 | 一种面向工业互联网的智能化流量监测方法、***及存储介质 |
-
2021
- 2021-11-24 CN CN202111403128.9A patent/CN114374528A/zh active Pending
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110288692A1 (en) * | 2010-05-20 | 2011-11-24 | Accenture Global Services Gmbh | Malicious attack detection and analysis |
CN103500305A (zh) * | 2013-09-04 | 2014-01-08 | 中国航天科工集团第二研究院七〇六所 | 一种基于云计算的恶意代码分析***和方法 |
US20160359825A1 (en) * | 2015-06-02 | 2016-12-08 | Rockwell Automation Technologies, Inc. | Active Response Security System for Industrial Control Infrastructure |
US9928359B1 (en) * | 2015-07-15 | 2018-03-27 | Security Together Corporation | System and methods for providing security to an endpoint device |
CN105978897A (zh) * | 2016-06-28 | 2016-09-28 | 南京南瑞继保电气有限公司 | 一种电力二次***僵尸网络的检测方法 |
CN106209870A (zh) * | 2016-07-18 | 2016-12-07 | 北京科技大学 | 一种针对分布式工业控制***的网络入侵检测*** |
CN106997435A (zh) * | 2017-04-14 | 2017-08-01 | 广东浪潮大数据研究有限公司 | 一种操作***安全防控的方法、装置及*** |
CN106982235A (zh) * | 2017-06-08 | 2017-07-25 | 江苏省电力试验研究院有限公司 | 一种基于iec 61850的电力工业控制网络入侵检测方法及*** |
CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测*** |
CN112333211A (zh) * | 2021-01-05 | 2021-02-05 | 博智安全科技股份有限公司 | 一种基于机器学习的工控行为检测方法和*** |
CN113645232A (zh) * | 2021-08-10 | 2021-11-12 | 克拉玛依和中云网技术发展有限公司 | 一种面向工业互联网的智能化流量监测方法、***及存储介质 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115065552A (zh) * | 2022-07-27 | 2022-09-16 | 北京六方云信息技术有限公司 | 工业通讯防护方法、装置、终端设备及存储介质 |
CN115065552B (zh) * | 2022-07-27 | 2023-01-10 | 北京六方云信息技术有限公司 | 工业通讯防护方法、装置、终端设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110495138B (zh) | 工业控制***及其网络安全的监视方法 | |
JP5248612B2 (ja) | 侵入検知の方法およびシステム | |
JP6104149B2 (ja) | ログ分析装置及びログ分析方法及びログ分析プログラム | |
US11477214B2 (en) | Cloud-based orchestration of incident response using multi-feed security event classifications with machine learning | |
WO2000054458A1 (en) | Intrusion detection system | |
KR101744631B1 (ko) | 네트워크 보안 시스템 및 보안 방법 | |
JP2020022208A (ja) | 通信ネットワークに接続された作業環境への攻撃を検出する方法 | |
CN214306527U (zh) | 一种燃气管网调度监控网络安全*** | |
US20230179617A1 (en) | Leveraging user-behavior analytics for improved security event classification | |
CN116827675A (zh) | 一种网络信息安全分析*** | |
CN114374528A (zh) | 一种数据安全检测方法、装置、电子设备及介质 | |
CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及*** | |
KR20020075319A (ko) | 지능형 보안 엔진과 이를 포함하는 지능형 통합 보안 시스템 | |
CN117749426A (zh) | 一种基于图神经网络的异常流量检测方法 | |
CN116781380A (zh) | 一种校园网安全风险终端拦截溯源*** | |
Pranggono et al. | Intrusion detection systems for critical infrastructure | |
Saini et al. | Vulnerability and Attack Detection Techniques: Intrusion Detection System | |
CN112417434A (zh) | 一种结合ueba机制的程序白名单防护方法 | |
CN111541644A (zh) | 基于动态主机配置协议实现的防止非法ip扫描技术 | |
Bendiab et al. | IoT Security Frameworks and Countermeasures | |
Ali et al. | Intrusion detection and prevention against cyber attacks for an energy management system | |
Sandhu et al. | A study of the novel approaches used in intrusion detection and prevention systems | |
Singh et al. | A review on intrusion detection system | |
Hilker | Next challenges in bringing artificial immune systems to production in network security | |
Hart et al. | An introduction to automated intrusion detection approaches |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |