CN114598506A - 工控网络安全风险溯源方法、装置、电子设备及存储介质 - Google Patents
工控网络安全风险溯源方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114598506A CN114598506A CN202210162006.3A CN202210162006A CN114598506A CN 114598506 A CN114598506 A CN 114598506A CN 202210162006 A CN202210162006 A CN 202210162006A CN 114598506 A CN114598506 A CN 114598506A
- Authority
- CN
- China
- Prior art keywords
- equipment
- network
- industrial control
- alarm event
- event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Telephonic Communication Services (AREA)
Abstract
本申请实施例公开了一种工控网络安全风险溯源方法、装置、电子设备及计算机可读存储介质,用于在出现安全事件时快速准确地定位出工控网络中网络风险位置。该方法包括:获取工控网络的网络通讯数据、工控主机的日志数据以及网络设备的状态数据,工控网络包括工控主机和网络设备;根据网络通讯数据、日志数据和状态数据进行告警处理,得到告警事件信息,告警事件信息包括告警事件、以及告警事件关联的设备资产;获取溯源参数,溯源参数包括溯源时间范围、设备资产以及告警事件的名称;根据溯源参数,确定与告警事件关联的目标设备资产、设备隐患被访问通讯行为列表以及与告警事件关联的安全事件列表。
Description
技术领域
本申请属于工控网络技术领域,尤其涉及一种工控网络安全风险溯源方法、装置、电子设备及计算机可读存储介质。
背景技术
随着工业互联网的不断普及和深入推进,工控网络的结构日趋复杂,工控网络的网络设备类型日益繁多。工控网络相对于IT网络,其涉及网络设备更多,网络通讯协议更为复杂。
目前,在网络安全事件(例如,病毒、外网工具、设备故障或生产异常等)产生时,由于工控网络复杂结构等特性,难以定位或溯源出网络风险位置。
发明内容
本申请实施例提供了一种工控网络安全风险溯源方法、装置、电子设备及计算机可读存储介质,可以快速准确地定位出工控网络中网络风险位置。
第一方面,本申请实施例提供了一种工控网络安全风险溯源方法,包括:
获取工控网络的网络通讯数据、工控主机的日志数据以及网络设备的状态数据,工控网络包括工控主机和网络设备;
根据网络通讯数据、日志数据和状态数据进行告警处理,得到告警事件信息,告警事件信息包括告警事件、以及告警事件关联的设备资产;
获取溯源参数,溯源参数包括溯源时间范围、设备资产以及告警事件的名称;
根据溯源参数,确定与告警事件关联的目标设备资产、设备隐患被访问通讯行为列表以及与告警事件关联的安全事件列表。
由上可见,本申请实施例根据网络通讯数据、日志数据和状态数据进行告警处理,并在出现告警事件时,根据告警事件的相关信息进行溯源,定位出相关联的设备资产和可能出现的安全事件。
在第一方面的一些可能的实现方式中,根据溯源参数,确定与告警事件关联的目标设备资产、设备隐患被访问通讯行为列表以及与告警事件关联的安全事件列表,包括:
查找设备资产的网络通讯行为和关联的目标设备资产;
查找与告警事件的名称关联的安全事件,并生成安全事件列表;
根据网络通讯行为、目标设备资产以及告警事件信息,计算设备资产的安全风险系数和目标设备资产的安全风险系数;
根据安全风险系数和溯源时间范围,生成设备隐患被访问通讯行为列表。
在第一方面的一些可能的实现方式中,根据网络通讯行为、目标设备资产以及告警事件信息,计算设备资产的安全风险系数,包括:
根据告警事件的等级系数、事件发生总数、事件修复难度系数以及事件持续天数,计算设备资产的被扣除安全系数;
根据被扣除安全系数得到设备资产的安全系数;
根据安全系数、设备资产的重要等级、目标设备资产的重要等级、以及设备隐患事件总数,得到设备资产的安全风险系数;
其中,网络通讯行为包括设备隐患事件总数,告警事件信息包括等级系数、事件发生总数、事件修复难度系数和事件持续天数。
在第一方面的一些可能的实现方式中,获取工控网络的网络通讯数据、工控主机的日志数据以及网络设备的状态数据,包括:
获取流量探针组件采集的工控网络的网络通讯数据;
获取工控主机探针组件采集的日志数据;
获取远程探针组件采集的网络设备的状态数据。
在第一方面的一些可能的实现方式中,日志数据包括工控主机的运行状态、进程、工控软件日志、***配置和操作日志,状态数据包括网络设备的运行状态和网络状态。
第二方面,本申请实施例提供一种工控网络安全风险溯源装置,包括:
数据获取模块,用于获取工控网络的网络通讯数据、工控主机的日志数据以及网络设备的状态数据,工控网络包括工控主机和网络设备;
告警模块,用于根据网络通讯数据、日志数据和状态数据进行告警处理,得到告警事件信息,告警事件信息包括告警事件、以及告警事件关联的设备资产;
参数获取模块,用于获取溯源参数,溯源参数包括溯源时间范围、设备资产以及告警事件的名称;
溯源模块,用于根据溯源参数,确定与告警事件关联的目标设备资产、设备隐患被访问通讯行为列表以及与告警事件关联的安全事件列表。
在第二方面的一些可能的实现方式中,溯源模块具体用于:
查找设备资产的网络通讯行为和关联的目标设备资产;
查找与告警事件的名称关联的安全事件,并生成安全事件列表;
根据网络通讯行为、目标设备资产以及告警事件信息,计算设备资产的安全风险系数和目标设备资产的安全风险系数;
根据安全风险系数和溯源时间范围,生成设备隐患被访问通讯行为列表。
在第二方面的一些可能的实现方式中,溯源模块具体用于:
根据告警事件的等级系数、事件发生总数、事件修复难度系数以及事件持续天数,计算设备资产的被扣除安全系数;
根据被扣除安全系数得到设备资产的安全系数;
根据安全系数、设备资产的重要等级、目标设备资产的重要等级、以及设备隐患事件总数,得到设备资产的安全风险系数;
其中,网络通讯行为包括设备隐患事件总数,告警事件信息包括等级系数、事件发生总数、事件修复难度系数和事件持续天数。
第三方面,本申请实施例提供一种电子设备,包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序,处理器执行计算机程序时实现如上述第一方面任一项的方法。
第四方面,本申请实施例一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时实现如上述第一方面任一项的方法。
第五方面,本申请实施例提供了一种计算机程序产品,当计算机程序产品在电子设备上运行时,使得电子设备执行上述第一方面中任一项所述的方法。
可以理解的是,上述第二方面至第五方面的有益效果可以参见上述第一方面中的相关描述,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的工控网络安全风险溯源方法的一种流程示意图;
图2为本申请实施例提供的工控网络安全风险溯源装置的结构示意框图;
图3为本申请实施例提供的工控网络安全风险溯源***示意框图;
图4为本申请实施例提供的电子设备的结构示意框图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定***结构、技术之类的具体细节,以便透彻理解本申请实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中,省略对众所周知的***、装置、电路以及方法的详细说明,以免不必要的细节妨碍本申请的描述。
应当理解,当在本申请说明书和所附权利要求书中使用时,术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
如在本申请说明书和所附权利要求书中所使用的那样,术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地,短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。
另外,在本申请说明书和所附权利要求书的描述中,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
在本申请说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此,在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例,而是意味着“一个或多个但不是所有的实施例”,除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”,除非是以其他方式另外特别强调。
本申请实施例提供的工控网络安全溯源方法可以应用于监控节点等电子设备上。其中,工控网络中包括多种类型的设备,例如,工控主机、安全设备、工控设备、以及网络设备等,网络设备可以包括交换机、路由器和网关等。在工控网络部署多个监控节点。本申请实施例中,通过在工控网络中的各个网络节点部署监控探针,并根据监控探针上报的相关数据,得到工控网络中设备安全风险溯源结果,可以帮助大型工控网络在安全运营的故障风险监控修改。
本申请实施例对工控网络安全溯源方法所应用的电子设备的具体类型不作任何限制。
请参见图1,为本申请实施例提供的工控网络安全风险溯源方法的一种流程示意图,该方法可以包括以下步骤:
步骤S101、获取工控网络的网络通讯数据、工控主机的日志数据以及网络设备的状态数据,工控网络包括工控主机和网络设备。
具体应用中,网络通讯流量可以由部署在网络中的流量探针组件采集的,所采集的网络通讯数据可以包括通信协议异常操作指令和协议功能码等信息。而日志数据可以由部署于工控主机的工控组件探针组件采集,工控主机探针组件采集工控主机的CPU使用率、内存使用率、磁盘使用率等运行状态信息,以及运行进程、***配置、Window/Linux***的错误日志和操作日志等信息。日志数据可以包括但不限于日志数据包括工控主机的运行状态、进程、工控软件日志、***配置和操作日志。网络设备的状态数据可以由部署于网络设备的远程探针组件采集的,通过远程探针组件和网络设备、安全设备支持的管理协议SNMP、SSH、TELNET等方式收集设备运行状态、以及网络状态等信息。状态数据可以包括网络设备的运行状态和网络状态等。
步骤S102、根据网络通讯数据、日志数据和状态数据进行告警处理,得到告警事件信息,告警事件信息包括告警事件、以及告警事件关联的设备资产。
在采集到相关数据之后,将这些相关数据和预先设置的告警规则进行计算对比,如果相关数据符合预先设置的告警规则,则输出告警事件信息。
其中,告警规则可以例如包括该数据包含或不包含某种数据,比如,如果网络通讯数据包含或不包含A种数据,则判定满足对应的告警规则,输出告警事件;还可以包括数据小于或大于阈值,或者在某个数值范围内,比如,如果日志数据中的CPU使用率超出某个阈值,则判定满足对应的告警规则,输出告警事件。
示例性地,告警指标可以包括网络通讯互联是否发生变化、阈值是否超限、状态变化、目标对象是否在预置名单中(即访问对象是否合法,通常情况下是不允许访问目标对象的)、以及是否包含特征值(即一些预先设置的特定数值或参数)。
在一些实施例中,对于重复的告警事件,可以将重复告警事件的相关信息,根据告警资产和告警事件字段进行数据聚合计算,并将告警事件和原始事件信息进行关联。原始事件信息是指产生告警事件的数据,例如,网络通讯数据、日志数据和状态数据等。
告警事件信息可以包括但不限于告警事件、告警事件关联的设备资产、告警等级、告警类型、告警摘要以及告警时间等信息。
步骤S103、获取溯源参数,溯源参数包括溯源时间范围、设备资产以及告警事件的名称。
上述溯源参数可以是运维人员在***输出告警事件的相关信息后,根据告警事件输入的参数,也可以是***根据告警事件自动生成的参数。具体应用中,设备资产通常体现是指异常设备,且具体为异常设备的IP地址。
步骤S104、根据溯源参数,确定与告警事件关联的目标设备资产、设备隐患被访问通讯行为列表以及与告警事件关联的安全事件列表。
在一些实施例中,首先,根据设备资产的IP,查找设备资产的网络通讯行为和关联的目标设备资产。与设备资产的IP关联的目标设备资产可以基于网络通讯行为和网络拓扑图得到。其中,通过网络通讯行为可以得知该设备资产和哪个设备之间存在网络通信行为,通过网络拓扑图可以得知工控网络中各个网络节点的连接关系即网络链路。这样,通过网络通讯行为和网络拓扑,可以找出异常设备和异常设备关联的相关设备,进而得到设备周期感染链。
然后,查找与告警事件的名称关联的安全事件,并生成安全事件列表。安全事件是***产生的,例如,安全事件可以包括但不限于病毒、外网攻击、设备故障、以及生产异常等。
接着,根据网络通讯行为、目标设备资产以及告警事件信息,计算设备资产的安全风险系数和目标设备资产的安全风险系数。
具体地,网络通讯行为包括设备隐患事件总数,告警事件信息包括等级系数、事件发生总数、事件修复难度系数和事件持续天数。先根据告警事件的等级系数、事件发生总数、事件修复难度系数以及事件持续天数,计算设备资产的被扣除安全系数,即事件等级系数*事件发生总数*修复难度系数*持续天数=被扣除安全系数。再根据被扣除安全系数得到设备资产的安全系数。这样,可以计算出设备资产(即异常设备)和相关联的目标设备的被扣除安全系数,并根据各个设备的被扣除安全系数,在初始安全系数的基础上扣除每个设备的安全系数,得到每个设备新的安全系数。然后根据安全系数、设备资产的重要等级、目标设备资产的重要等级、以及设备隐患事件总数,得到设备资产的安全风险系数,即设备重要性*关联设备重要性*设备安全系数*设备隐患事件总数=设备风险系数。
然后,根据安全风险系数和溯源时间范围,生成设备隐患被访问通讯行为列表。具体地,根据安全风险系数的高低,以及在溯源时间范围内产生的网络通讯行为的双端设备,生成设备隐患被访问通讯行为列表。
由上可见,本申请实施例根据网络通讯数据、日志数据和状态数据进行告警处理,并在出现告警事件时,根据告警事件的相关信息进行溯源,定位出相关联的设备资产和可能出现的安全事件。
应当理解的是,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
对应于上文实施例所述的工控网络安全风险溯源方法,图2示出了本申请实施例提供的工控网络安全风险溯源装置的结构框图,为了便于说明,仅示出了与本申请实施例相关的部分。
参照图2,该装置包括:
数据获取模块21,用于获取工控网络的网络通讯数据、工控主机的日志数据以及网络设备的状态数据,工控网络包括工控主机和网络设备;
告警模块22,用于根据网络通讯数据、日志数据和状态数据进行告警处理,得到告警事件信息,告警事件信息包括告警事件、以及告警事件关联的设备资产;
参数获取模块23,用于获取溯源参数,溯源参数包括溯源时间范围、设备资产以及告警事件的名称;
溯源模块24,用于根据溯源参数,确定与告警事件关联的目标设备资产、设备隐患被访问通讯行为列表以及与告警事件关联的安全事件列表。
在一些可能的实现方式中,溯源模块具体用于:查找设备资产的网络通讯行为和关联的目标设备资产;查找与告警事件的名称关联的安全事件,并生成安全事件列表;根据网络通讯行为、目标设备资产以及告警事件信息,计算设备资产的安全风险系数和目标设备资产的安全风险系数;根据安全风险系数和溯源时间范围,生成设备隐患被访问通讯行为列表。
在一些可能的实现方式中,溯源模块具体用于:根据告警事件的等级系数、事件发生总数、事件修复难度系数以及事件持续天数,计算设备资产的被扣除安全系数;根据被扣除安全系数得到设备资产的安全系数;根据安全系数、设备资产的重要等级、目标设备资产的重要等级、以及设备隐患事件总数,得到设备资产的安全风险系数;
其中,网络通讯行为包括设备隐患事件总数,告警事件信息包括等级系数、事件发生总数、事件修复难度系数和事件持续天数。
在一些可能的实现方式中,数据获取模块具体用于:获取流量探针组件采集的工控网络的网络通讯数据;获取工控主机探针组件采集的日志数据;获取远程探针组件采集的网络设备的状态数据。
在一些可能的实现方式中,日志数据包括工控主机的运行状态、进程、工控软件日志、***配置、操作日志、操作***漏洞及补丁、网络连接、网络服务、网络通信以及安全防护状态等,状态数据包括网络设备的运行状态和网络状态。
为了更好地对本申请实施例提供的技术方案进行介绍说明,下面结合图3示出的工控网络安全风险溯源***进行示例性介绍。
请参见图3,工控网络安全风险溯源***可以包括信息采集模块31、告警模块32以及安全风险溯源模块33。信息采集模块31和告警模块32连接,告警模块32和安全风险溯源模块33连接。
其中,信息采集模块31用于采集各个设备的相关数据。示例性地,采集工控主机、控制设备、网络设备和安全设备等设备的相关数据。具体地,信息采集模块31接收工控主机探针上报的工控主机的日志数据,接收流量探针上报的网络通讯数据,接收远程探针上报的状态数据。并且,将接收到的这些数据进行数据归一化处理,并将各个数据和对应设备资产进行关联。
告警模块32用于基于预先设置的告警规则,对信息采集模块31采集的数据进行告警处理,并输出告警事件和告警事件的相关信息。进一步地,还可以根据告警事件给出风险处置建议。
安全风险溯源模块33用于根据告警模块32输出的告警事件相关信息和工控网络的网络拓扑图,进行安全风险溯源,快速定位出网络安全风险的源头。
具体来说,安全风险溯源模块33通过监控节点通过流量或者ARP通讯缓存可以发现已知的所有设备,这些节点可能是安全风险传播源。
在产生安全风险时,查找出当前网络中所有关联设备历史周期产生的通讯行为和历史安全事件,再基于这些数据进一步筛选缩小范围去逐一排查风险源。
通过解析网络通讯访问行为,以及源设备对目的设备产生的通讯行为日志(其包括源IP、目的IP、目的端口),匹配到目的设备对端设备隐患事件特征,并计算该设备的设备风险系数。通过设备风险比对得到最有可能是真是的安全风险源头。
在发现安全风险事件时,通过历史运行状态、安全事件、以及配置***等信息,通过时间线关联展示出当前设备在一定时间产生的所有网络通讯行为、以及操作行为等信息,得到设备感染周期链。
在工艺生产设备产生故障告警时,则通过控制设备关联上位机,在当前工控控制网络进行风险溯源;通过记录上位机的网络通讯连接树、控制设备历史运行状态、控制设备配置文件、生产工艺测点数据、以及上位机通讯操作行为,形成时序走势,按时间节点组合到一起,生成基线趋势,并通过对比安全基线去进行风险点异常定位。
需要说明的是,上述装置/单元之间的信息交互、执行过程等内容,由于与本申请实施例方法实施例基于同一构思,其具体功能及带来的技术效果,具体可参见方法实施例部分,此处不再赘述。
图4为本申请一实施例提供的电子设备的结构示意图。如图4所示,该实施例的电子设备4包括:至少一个处理器40(图4中仅示出一个)、存储器41以及存储在所述存储器41中并可在所述至少一个处理器40上运行的计算机程序42,所述处理器40执行所述计算机程序42时实现上述任意各个目标跟踪方法实施例中的步骤。
所述电子设备4可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。该电子设备可包括,但不仅限于,处理器40、存储器41。本领域技术人员可以理解,图4仅仅是电子设备4的举例,并不构成对电子设备4的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如还可以包括输入输出设备、网络接入设备等。
所称处理器40可以是中央处理单元(Central Processing Unit,CPU),该处理器40还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器41在一些实施例中可以是所述电子设备4的内部存储单元,例如电子设备4的硬盘或内存。所述存储器41在另一些实施例中也可以是所述电子设备4的外部存储设备,例如所述电子设备4上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,所述存储器41还可以既包括所述电子设备4的内部存储单元也包括外部存储设备。所述存储器41用于存储操作***、应用程序、引导装载程序(BootLoader)、数据以及其他程序等,例如所述计算机程序的程序代码等。所述存储器41还可以用于暂时地存储已经输出或者将要输出的数据。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述***中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本申请实施例还提供了一种电子设备,该电子设备包括:至少一个处理器、存储器以及存储在所述存储器中并可在所述至少一个处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述任意各个方法实施例中的步骤。
本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现可实现上述各个方法实施例中的步骤。
本申请实施例提供了一种计算机程序产品,当计算机程序产品在电子设备上运行时,使得电子设备执行时实现可实现上述各个方法实施例中的步骤。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质至少可以包括:能够将计算机程序代码携带到拍照装置/终端设备的任何实体或装置、记录介质、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,RandomAccess Memory)、电载波信号、电信信号以及软件分发介质。例如U盘、移动硬盘、磁碟或者光盘等。在某些司法管辖区,根据立法和专利实践,计算机可读介质不可以是电载波信号和电信信号。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请所提供的实施例中,应该理解到,所揭露的装置、电子设备和方法,可以通过其它的方式实现。例如,以上所描述的装置/电子设备实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
以上所述实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。
Claims (10)
1.一种工控网络安全风险溯源方法,其特征在于,包括:
获取工控网络的网络通讯数据、工控主机的日志数据以及网络设备的状态数据,所述工控网络包括所述工控主机和所述网络设备;
根据所述网络通讯数据、所述日志数据和所述状态数据进行告警处理,得到告警事件信息,所述告警事件信息包括告警事件、以及所述告警事件关联的设备资产;
获取溯源参数,所述溯源参数包括溯源时间范围、所述设备资产以及所述告警事件的名称;
根据所述溯源参数,确定与所述告警事件关联的目标设备资产、设备隐患被访问通讯行为列表以及与所述告警事件关联的安全事件列表。
2.如权利要求1所述的方法,其特征在于,根据所述溯源参数,确定与所述告警事件关联的目标设备资产、设备隐患被访问通讯行为列表以及与所述告警事件关联的安全事件列表,包括:
查找所述设备资产的网络通讯行为和关联的所述目标设备资产;
查找与所述告警事件的名称关联的安全事件,并生成所述安全事件列表;
根据所述网络通讯行为、所述目标设备资产以及所述告警事件信息,计算所述设备资产的安全风险系数和所述目标设备资产的安全风险系数;
根据所述安全风险系数和所述溯源时间范围,生成所述设备隐患被访问通讯行为列表。
3.如权利要求2所述的方法,其特征在于,根据所述网络通讯行为、所述目标设备资产以及所述告警事件信息,计算所述设备资产的安全风险系数,包括:
根据所述告警事件的等级系数、事件发生总数、事件修复难度系数以及事件持续天数,计算所述设备资产的被扣除安全系数;
根据所述被扣除安全系数得到所述设备资产的安全系数;
根据所述安全系数、所述设备资产的重要等级、所述目标设备资产的重要等级、以及设备隐患事件总数,得到所述设备资产的安全风险系数;
其中,所述网络通讯行为包括所述设备隐患事件总数,所述告警事件信息包括所述等级系数、所述事件发生总数、所述事件修复难度系数和所述事件持续天数。
4.如权利要求1所述的方法,其特征在于,获取工控网络的网络通讯数据、工控主机的日志数据以及网络设备的状态数据,包括:
获取流量探针组件采集的所述工控网络的所述网络通讯数据;
获取工控主机探针组件采集的所述日志数据;
获取远程探针组件采集的所述网络设备的所述状态数据。
5.如权利要求4所述的方法,其特征在于,所述日志数据包括所述工控主机的运行状态、进程、工控软件日志、***配置和操作日志,所述状态数据包括所述网络设备的运行状态和网络状态。
6.一种工控网络安全风险溯源装置,其特征在于,包括:
数据获取模块,用于获取工控网络的网络通讯数据、工控主机的日志数据以及网络设备的状态数据,所述工控网络包括所述工控主机和所述网络设备;
告警模块,用于根据所述网络通讯数据、所述日志数据和所述状态数据进行告警处理,得到告警事件信息,所述告警事件信息包括告警事件、以及所述告警事件关联的设备资产;
参数获取模块,用于获取溯源参数,所述溯源参数包括溯源时间范围、所述设备资产以及所述告警事件的名称;
溯源模块,用于根据所述溯源参数,确定与所述告警事件关联的目标设备资产、设备隐患被访问通讯行为列表以及与所述告警事件关联的安全事件列表。
7.如权利要求6所述的装置,其特征在于,所述溯源模块具体用于:
查找所述设备资产的网络通讯行为和关联的所述目标设备资产;
查找与所述告警事件的名称关联的安全事件,并生成所述安全事件列表;
根据所述网络通讯行为、所述目标设备资产以及所述告警事件信息,计算所述设备资产的安全风险系数和所述目标设备资产的安全风险系数;
根据所述安全风险系数和所述溯源时间范围,生成所述设备隐患被访问通讯行为列表。
8.如权利要求6所述的装置,其特征在于,所述溯源模块具体用于:
根据所述告警事件的等级系数、事件发生总数、事件修复难度系数以及事件持续天数,计算所述设备资产的被扣除安全系数;
根据所述被扣除安全系数得到所述设备资产的安全系数;
根据所述安全系数、所述设备资产的重要等级、所述目标设备资产的重要等级、以及设备隐患事件总数,得到所述设备资产的安全风险系数;
其中,所述网络通讯行为包括所述设备隐患事件总数,所述告警事件信息包括所述等级系数、所述事件发生总数、所述事件修复难度系数和所述事件持续天数。
9.一种电子设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至5任一项所述的方法。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210162006.3A CN114598506B (zh) | 2022-02-22 | 2022-02-22 | 工控网络安全风险溯源方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210162006.3A CN114598506B (zh) | 2022-02-22 | 2022-02-22 | 工控网络安全风险溯源方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114598506A true CN114598506A (zh) | 2022-06-07 |
| CN114598506B CN114598506B (zh) | 2023-06-30 |
Family
ID=81804359
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210162006.3A Active CN114598506B (zh) | 2022-02-22 | 2022-02-22 | 工控网络安全风险溯源方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114598506B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113765704A (zh) * | 2021-08-10 | 2021-12-07 | 广州天懋信息***股份有限公司 | 一种专网数据采集方法、装置、设备及储存介质 |
| CN116318969A (zh) * | 2023-03-15 | 2023-06-23 | 中国华能集团有限公司北京招标分公司 | 一种多元设备日志接入方法 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101212338A (zh) * | 2006-12-30 | 2008-07-02 | 上海复旦光华信息科技股份有限公司 | 基于监控探针联动的网络安全事件溯源***与方法 |
| US20130183924A1 (en) * | 2008-01-28 | 2013-07-18 | Michael Martin Saigh | Personal safety mobile notification system |
| US20160189510A1 (en) * | 2014-12-30 | 2016-06-30 | Alarm.Com Incorporated | Digital fingerprint tracking |
| CN109462599A (zh) * | 2018-12-13 | 2019-03-12 | 烽台科技(北京)有限公司 | 一种蜜罐管理*** |
| CN110764969A (zh) * | 2019-10-25 | 2020-02-07 | 新华三信息安全技术有限公司 | 网络攻击溯源方法及装置 |
| CN111490970A (zh) * | 2020-02-19 | 2020-08-04 | 西安交大捷普网络科技有限公司 | 一种网络攻击的溯源分析方法 |
| CN111858482A (zh) * | 2020-07-15 | 2020-10-30 | 北京市燃气集团有限责任公司 | 一种攻击事件追踪溯源方法、***、终端及存储介质 |
| CN112636978A (zh) * | 2020-12-23 | 2021-04-09 | 深信服科技股份有限公司 | 安全事件处理方法、装置、设备及计算机可读存储介质 |
| CN113034028A (zh) * | 2021-04-13 | 2021-06-25 | 上海汉邦京泰数码技术有限公司 | 一种责任溯源的认定*** |
| CN113672939A (zh) * | 2021-08-23 | 2021-11-19 | 杭州安恒信息技术股份有限公司 | 一种终端行为告警溯源分析的方法、装置、设备及介质 |
-
2022
- 2022-02-22 CN CN202210162006.3A patent/CN114598506B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101212338A (zh) * | 2006-12-30 | 2008-07-02 | 上海复旦光华信息科技股份有限公司 | 基于监控探针联动的网络安全事件溯源***与方法 |
| US20130183924A1 (en) * | 2008-01-28 | 2013-07-18 | Michael Martin Saigh | Personal safety mobile notification system |
| US20160189510A1 (en) * | 2014-12-30 | 2016-06-30 | Alarm.Com Incorporated | Digital fingerprint tracking |
| CN109462599A (zh) * | 2018-12-13 | 2019-03-12 | 烽台科技(北京)有限公司 | 一种蜜罐管理*** |
| CN110764969A (zh) * | 2019-10-25 | 2020-02-07 | 新华三信息安全技术有限公司 | 网络攻击溯源方法及装置 |
| CN111490970A (zh) * | 2020-02-19 | 2020-08-04 | 西安交大捷普网络科技有限公司 | 一种网络攻击的溯源分析方法 |
| CN111858482A (zh) * | 2020-07-15 | 2020-10-30 | 北京市燃气集团有限责任公司 | 一种攻击事件追踪溯源方法、***、终端及存储介质 |
| CN112636978A (zh) * | 2020-12-23 | 2021-04-09 | 深信服科技股份有限公司 | 安全事件处理方法、装置、设备及计算机可读存储介质 |
| CN113034028A (zh) * | 2021-04-13 | 2021-06-25 | 上海汉邦京泰数码技术有限公司 | 一种责任溯源的认定*** |
| CN113672939A (zh) * | 2021-08-23 | 2021-11-19 | 杭州安恒信息技术股份有限公司 | 一种终端行为告警溯源分析的方法、装置、设备及介质 |
Non-Patent Citations (3)
| Title |
|---|
| YUEYING HEL, SHAOJIA DE, XIONGJIAN LIANG: "The research and application of network trace-back technology", 《2010 3RD IEEE INTERNATIONAL CONFERENCE ON BROADBAND NETWORK AND MULTIMEDIA TECHNOLOGY (IC-BNMT)》, pages 1245 - 1250 * |
| 王涛,张淋,邹初建: "基于大数据技术的攻击溯源研究", 《信息安全与通信保密》, pages 106 - 116 * |
| 邓志东、唐振营、李慧芹、谢瑞楠、刘爽: "安全数据的自动化猎捕和多源告警的溯源研究", 《信息记录材料》, pages 90 - 93 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113765704A (zh) * | 2021-08-10 | 2021-12-07 | 广州天懋信息***股份有限公司 | 一种专网数据采集方法、装置、设备及储存介质 |
| CN113765704B (zh) * | 2021-08-10 | 2022-09-27 | 广州天懋信息***股份有限公司 | 一种专网数据采集方法、装置、设备及储存介质 |
| CN116318969A (zh) * | 2023-03-15 | 2023-06-23 | 中国华能集团有限公司北京招标分公司 | 一种多元设备日志接入方法 |
| CN116318969B (zh) * | 2023-03-15 | 2024-01-26 | 中国华能集团有限公司北京招标分公司 | 一种多元设备日志接入方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114598506B (zh) | 2023-06-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9736173B2 (en) | Differential dependency tracking for attack forensics | |
| CN111178760B (zh) | 风险监测方法、装置、终端设备及计算机可读存储介质 | |
| CN110535702B (zh) | 一种告警信息处理方法及装置 | |
| US8051028B2 (en) | Method and apparatus for generating configuration rules for computing entities within a computing environment using association rule mining | |
| US8095984B2 (en) | Systems and methods of associating security vulnerabilities and assets | |
| US11818014B2 (en) | Multi-baseline unsupervised security-incident and network behavioral anomaly detection in cloud-based compute environments | |
| US20200021511A1 (en) | Performance analysis for transport networks using frequent log sequence discovery | |
| CN114598506A (zh) | 工控网络安全风险溯源方法、装置、电子设备及存储介质 | |
| US11240263B2 (en) | Responding to alerts | |
| CN102611713B (zh) | 基于熵运算的网络入侵检测方法和装置 | |
| CN113671909A (zh) | 一种钢铁工控设备安全监测***和方法 | |
| CN114760201B (zh) | 工控设备的数据采集方法、装置、设备及存储介质 | |
| CN113206761B (zh) | 一种应用连接检测方法、装置、电子设备及存储介质 | |
| CN114338372A (zh) | 网络信息安全监控方法及*** | |
| CN112600719A (zh) | 告警聚类方法、装置及存储介质 | |
| CN113411302A (zh) | 局域网设备网络安全预警方法及装置 | |
| CN108965318B (zh) | 检测工业控制网络中未授权接入设备ip的方法及装置 | |
| CN111193727A (zh) | 运行监测***及运行监测方法 | |
| CN114070752A (zh) | 测试方法、装置、电子设备及计算机可读存储介质 | |
| JP7396371B2 (ja) | 分析装置、分析方法及び分析プログラム | |
| CN112817827A (zh) | 运维方法、装置、服务器、设备、***及介质 | |
| CN111654405A (zh) | 通信链路的故障节点方法、装置、设备及存储介质 | |
| JP2017199250A (ja) | 計算機システム、データの分析方法、及び計算機 | |
| CN114553551B (zh) | 对入侵防御***进行测试的方法及装置 | |
| CN114500247A (zh) | 工控网络故障诊断方法、装置、电子设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |