CN115622867A - 一种工控***安全事件预警分类方法及*** - Google Patents
一种工控***安全事件预警分类方法及*** Download PDFInfo
- Publication number
- CN115622867A CN115622867A CN202211222036.5A CN202211222036A CN115622867A CN 115622867 A CN115622867 A CN 115622867A CN 202211222036 A CN202211222036 A CN 202211222036A CN 115622867 A CN115622867 A CN 115622867A
- Authority
- CN
- China
- Prior art keywords
- early warning
- data set
- industrial control
- analysis result
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 51
- 238000004458 analytical method Methods 0.000 claims abstract description 48
- 238000013210 evaluation model Methods 0.000 claims abstract description 26
- 238000012545 processing Methods 0.000 claims abstract description 16
- 230000008569 process Effects 0.000 claims abstract description 12
- 230000002159 abnormal effect Effects 0.000 claims description 33
- 230000006399 behavior Effects 0.000 claims description 18
- 239000013598 vector Substances 0.000 claims description 15
- 238000003860 storage Methods 0.000 claims description 14
- 230000007547 defect Effects 0.000 claims description 10
- 238000013528 artificial neural network Methods 0.000 claims description 8
- 238000012549 training Methods 0.000 claims description 7
- 238000013527 convolutional neural network Methods 0.000 claims description 5
- 238000007405 data analysis Methods 0.000 claims description 4
- 238000012544 monitoring process Methods 0.000 claims description 4
- 238000004364 calculation method Methods 0.000 claims description 3
- 238000004891 communication Methods 0.000 claims description 2
- 230000001788 irregular Effects 0.000 claims description 2
- 230000008520 organization Effects 0.000 abstract description 4
- 238000002360 preparation method Methods 0.000 abstract description 3
- 230000002349 favourable effect Effects 0.000 abstract 1
- 230000015654 memory Effects 0.000 description 17
- 238000007726 management method Methods 0.000 description 5
- 230000009286 beneficial effect Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000009776 industrial production Methods 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种工控***安全事件预警分类方法及***,首先获取工业***的原始日志报文及协议信息;然后对原始日志报文及协议信息进行解析得到解析结果;最后利用风险识别评估模型对解析结果进行识别,将风险识别结果与预设等级分类数据库进行匹配,得到对应等级的预警信息,并将预警信息按等级分类发送处理。本发明实施例可以根据对工控***的运行数据的解析结果进行风险识别,将其对应预警信息的等级分类发送处理,更有利于工控***的节点管理、资产自发现、预警和告警通知处理,同时对于协调组织资源调度等各项应急处置准备工作具有重要的预警分析参考价值。
Description
技术领域
本发明涉及安全预警技术领域,具体涉及一种工控***安全事件预警分类方法及***。
背景技术
目前工业控制***信息安全越来越受到重视,建立健全工控安全应急工作机制,提高应对工控安全事件的组织协调和应急处置能力,预防和减少工控安全事件造成的损失和危害,是保障工业生产正常运行,维护经济安全的重要措施。
工控安全应急处理中需要进行工控安全监测、态势研判、预警、应急处置、事件评估等工作;现有的预警平台对于预警信息的发布以及预警信息处理是重要的工控安全管理工作,然而现有的预警方法不能对安全事件进行有效划分,不利于工控***的设备管理及资源调度。
发明内容
有鉴于此,本发明实施例提供了一种工控***安全事件预警分类方法及***,以解决问题背景技术中的指出的技术缺陷。
为达到上述目的,本发明提供如下技术方案:
本发明实施例提供了一种工控***安全事件预警分类方法,包括:
获取工业***的原始日志报文及协议信息;
对原始日志报文及协议信息进行解析得到解析结果;
利用风险识别评估模型对解析结果进行识别,将风险识别结果与预设等级分类数据库进行匹配,得到对应等级的预警信息,并将预警信息按等级分类发送处理。
在一实施例中,所述对原始日志报文及协议信息进行解析得到解析结果的过程,包括:
对原始日志报文中的异常日志报文进行解析得到异常报文数据集合;对协议信息中的异常协议参数进行解析得到异常协议数据集合;根据异常报文数据集合以及异常协议数据集合解析确定对应的攻击对象,将攻击对象进行解析得到攻击对象数据集合;将每组攻击对象、其对应的异常报文数据集合、异常协议数据集合三者对应关系建立形成关联数据集,将所述关联数据集作为解析结果。
在一实施例中,所述利用风险识别评估模型对解析结果进行识别,得到风险识别结果的过程,包括:
将典型攻击行为数据集作为样本输入深度卷积神经网络并对其进行训练,将训练好的神经网络作为风险识别评估模型,所述典型的关联数据集不定时更新;
实时获取含有关联数据集的解析结果,输入至所述风险识别评估模型中得到风险识别结果。
在一实施例中,所述将典型攻击行为数据集作为样本输入深度卷积神经网络进行训练,得到风险识别评估模型的过程,包括:
对典型攻击行为数据集进行采集得到样本数据集,所述样本数据集包括多个日志文本数据分段;对每个样本数据集中含有异常日志报文的数据分段分割形成多个数据识别区域;
提取每个数据识别区域的日志关键词,将每个数据识别区域中的日志关键词与当前数据识别区域带有异常日志报文中词频最高的日志关键词进行相似度计算,基于得到的相似度值作为关联数据特征值;
汇集具有典型攻击行为数据集的关联数据特征值形成第一特征向量;
基于典型攻击行为数据集包含的多个数据识别区域及对应的第一特征向量训练深度卷积神经网络得到风险识别评估模型。
在一实施例中,所述利用风险识别评估模型对解析结果进行识别,将风险识别结果与预设等级分类数据库进行匹配,得到对应等级的预警信息的过程,包括:
对待识别的含有关联数据集的解析结果进行分割得到多个数据分段,并对每个数据分段进行分割形成多个数据识别区域,输入风险识别评估模型,得到每个数据识别区域的第二特征向量;
计算第一特征向量与第二特征向量的相似度作为目标相似度;
当目标相似度大于预设相似度阈值时,则判定待识别的解析结果中的每个数据识别区域存在典型日志缺陷;
将待识别的解析结果中的每个数据识别区域输入预设等级分类数据库进行匹配,得到待识别的解析结果中的每个数据识别区域与对应的具有典型攻击行为的样本数据集中的每个数据识别区域一致的缺陷类型,根据预设评级关系确定缺陷类型对应等级的预警信息。
在一实施例中,所述日志报文包括:节点、设备类型、设备名称、IP地址、时间、事件级别、报警类型、源IP地址、目的IP地址、事件协议字段。
本发明实施例还提供了一种工控***安全事件预警分类***,包括:
数据采集模块,用于获取工业***的原始日志报文及协议信息;
数据解析模块,用于对原始日志报文及协议信息进行解析得到解析结果;
预警分类模块,用于利用风险识别评估模型对解析结果进行识别,将风险识别结果与预设等级分类数据库进行匹配,得到对应等级的预警信息,并将预警信息按等级分类发送处理。
在一实施例中,所述工控***安全事件预警分类***,还包括:
节点生成模块,用于基于日志报文识别工业***网络设备的类型,并形成相应类型对应设备的节点,并监视节点的在线状态,一旦节点所在线路异常则实时生成预警信息;
节点状态上报模块,用于预设配置好工控后台的IP地址,待检测到预警信息时则自动上传预警信息到工控后台。
本发明实施例还提供了一种电子设备,包括:
存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行本发明实施例提供的工控***安全事件预警分类方法。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行本发明实施例提供的工控***安全事件预警分类方法。
本发明技术方案,具有如下优点:
本发明提供了一种工控***安全事件预警分类方法及***,首先获取工业***的原始日志报文及协议信息;然后对原始日志报文及协议信息进行解析得到解析结果;最后利用风险识别评估模型对解析结果进行识别,将风险识别结果与预设等级分类数据库进行匹配,得到对应等级的预警信息,并将预警信息按等级分类发送处理。本发明实施例可以根据对工控***的运行数据的解析结果进行风险识别,将其对应预警信息的等级分类发送处理,更有利于节点管理、资产自发现、预警和告警通知处理,同时对于协调组织资源调度等各项应急处置准备工作具有重要的预警分析参考价值。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中的工控***安全事件预警分类方法的流程图;
图2为本发明实施例中的工控***安全事件预警分类***的一个示例的功能模块组成图;
图3为本发明实施例中的工控***安全事件预警分类***的另一个示例的功能模块组成图;
图4为本发明实施例中的电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
根据本发明实施例,提供了一种工控***安全事件预警分类方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机***中执行,如图1所示,包括如下步骤:
步骤S1:获取工业***的原始日志报文及协议信息。
实际应用中,工业***的原始日志报文包括:节点、设备类型、设备名称、IP地址、时间、事件级别、报警类型、源IP地址、目的IP地址、事件协议字段,工控协议包括:Modbus、S7、Profinet、OPC、DNP3仅作为举例,不以此为限。
步骤S2:对原始日志报文及协议信息进行解析得到解析结果。
该步骤通过接入底层工控网络的数据(日志报文内容、TCP/IP协议栈及工业控制协议)进行解析,能够实时发现工业网络中的异常行为和攻击事件并产生告警,便于事后的调查取证,同时也可为安全防护策略的配置提供参考依据。
具体地的解析过程为:对原始日志报文中的异常日志报文进行解析得到异常报文数据集合;对协议信息中的异常协议参数进行解析得到异常协议数据集合;根据异常报文数据集合以及异常协议数据集合解析确定对应的攻击对象,将攻击对象进行解析得到攻击对象数据集合;将每组攻击对象、其对应的异常报文数据集合、异常协议数据集合三者对应关系建立形成关联数据集,将关联数据集作为解析结果。
步骤S3:利用风险识别评估模型对解析结果进行识别,将风险识别结果与预设等级分类数据库进行匹配,得到对应等级的预警信息,并将预警信息按等级分类发送处理。
在进行风险识别之前需要构建风险识别评估模型,本发明实施例是将典型攻击行为数据集作为样本输入深度卷积神经网络并对其进行训练,将训练好的神经网络作为风险识别评估模型,典型的关联数据集不定时更新(根据工控***实际运行情况确定),然后实时获取含有关联数据集的解析结果,输入至所述风险识别评估模型中得到风险识别结果。
在一具体实施例中,执行步骤S3的过程,包括如下步骤:
步骤S31:对典型攻击行为数据集进行采集得到样本数据集,所述样本数据集包括多个日志文本数据分段;对每个样本数据集中含有异常日志报文的数据分段分割形成多个数据识别区域;
步骤S32:提取每个数据识别区域的日志关键词,将每个数据识别区域中的日志关键词与当前数据识别区域带有异常日志报文中词频最高的日志关键词进行相似度计算,基于得到的相似度值作为关联数据特征值;
步骤S33:汇集具有典型攻击行为数据集的关联数据特征值形成第一特征向量;
步骤S34:基于典型攻击行为数据集包含的多个数据识别区域及对应的第一特征向量训练深度卷积神经网络得到风险识别评估模型;
步骤S35:对待识别的含有关联数据集的解析结果进行分割得到多个数据分段,并对每个数据分段进行分割形成多个数据识别区域,输入风险识别评估模型,得到每个数据识别区域的第二特征向量;
步骤S36:计算第一特征向量与第二特征向量的相似度作为目标相似度;
步骤S37:当目标相似度大于预设相似度阈值时,则判定待识别的解析结果中的每个数据识别区域存在典型日志缺陷;
步骤S38:将待识别的解析结果中的每个数据识别区域输入预设等级分类数据库进行匹配,得到待识别的解析结果中的每个数据识别区域与对应的具有典型攻击行为的样本数据集中的每个数据识别区域一致的缺陷类型,根据预设评级关系确定缺陷类型对应等级的预警信息。
步骤S39:将预警信息按等级分类发送处理。例如将高等级的安全事件直接产生告警,对于低等级的等级分类进行过滤舍弃或发送缓期执行的预警信息。
本发明提供的工控***安全事件预警分类方法,通过分级预警发送更有利于节点管理、资产自发现、预警和告警通知处理,同时对于协调组织资源调度等各项应急处置准备工作具有重要的预警分析参考价值。
本实施例还提供一种工控***安全事件预警分类***,如图2所示,包括:
数据采集模块1,用于获取工业***的原始日志报文及协议信息;详细内容参见上述方法实施例中步骤S1的相关描述,在此不再进行赘述。
数据解析模块2,用于对原始日志报文及协议信息进行解析得到解析结果;详细内容参见上述方法实施例中步骤S2的相关描述,在此不再进行赘述。
预警分类模块3,用于利用风险识别评估模型对解析结果进行识别,将风险识别结果与预设等级分类数据库进行匹配,得到对应等级的预警信息,并将预警信息按等级分类发送处理;详细内容参见上述方法实施例中步骤S3的相关描述,在此不再进行赘述。
在一实施例中,上述工控***安全事件预警分类***,如图3所示,还包括:
节点生成模块4,用于基于日志报文识别工业***网络设备的类型,并形成相应类型对应设备的节点,并监视节点的在线状态,一旦节点所在线路异常则实时生成预警信息;
节点状态上报模块5,用于预设配置好工控后台的IP地址,待检测到预警信息时则自动上传预警信息到工控后台。实际应用中节点状态上报模块在将预警信息发送给工控后台的同时也上传至云端平台进行备份保存,用于后续对工控***进行大数据分析时,便于调取历史信息,可以用来调整典型攻击行为或者更新预警或告警策略。
通过上述两个功能模块,可根据日志内容自动识别设备类型形成相应节点,减少用户工作量,只需在节点上配置好平台的IP地址,日志就会自动上传到平台,根据日志信息,***会自动识别节点类型和事件类型,用户无需干预。一旦节点地址发生改变,***会自动更新相关记录,不会造成记录中断,方便管理。
本实施例中的工控***安全事件预警分类***是以功能单元的形式来呈现,这里的单元是指执行一个或多个软件或固定程序的处理器和存储器,和/或其他可以提供上述功能的器件。
上述各个模块的更进一步的功能描述与上述对应实施例相同,在此不再赘述。
根据本发明实施例还提供了一种电子设备,如图4所示,该电子设备可以包括处理器901和存储器902,其中处理器901和存储器902可以通过总线或者其他方式连接,图4中以通过总线连接为例。
处理器901可以为中央处理器(Central Processing Unit,CPU)。处理器901还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。
存储器902作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块,如本发明方法实施例中的方法所对应的程序指令/模块。处理器901通过运行存储在存储器902中的非暂态软件程序、指令以及模块,从而执行处理器的各种功能应用以及数据处理,即实现上述方法实施例中的方法。
存储器902可以包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需要的应用程序;存储数据区可存储处理器901所创建的数据等。此外,存储器902可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器902可选包括相对于处理器901远程设置的存储器,这些远程存储器可以通过网络连接至处理器901。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
一个或者多个模块存储在存储器902中,当被处理器901执行时,执行上述方法实施例中的方法。
上述电子设备具体细节可以对应参阅上述方法实施例中对应的相关描述和效果进行理解,此处不再赘述。
本领域技术人员可以理解,实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random Access Memory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-StateDrive,SSD)等;存储介质还可以包括上述种类的存储器的组合。
虽然结合附图描述了本发明的实施例,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。
Claims (10)
1.一种工控***安全事件预警分类方法,其特征在于,包括:
获取工业***的原始日志报文及协议信息;
对原始日志报文及协议信息进行解析得到解析结果;
利用风险识别评估模型对解析结果进行识别,将风险识别结果与预设等级分类数据库进行匹配,得到对应等级的预警信息,并将预警信息按等级分类发送处理。
2.根据权利要求1所述的工控***安全事件预警分类方法,其特征在于,所述对原始日志报文及协议信息进行解析得到解析结果的过程,包括:
对原始日志报文中的异常日志报文进行解析得到异常报文数据集合;对协议信息中的异常协议参数进行解析得到异常协议数据集合;根据异常报文数据集合以及异常协议数据集合解析确定对应的攻击对象,将攻击对象进行解析得到攻击对象数据集合;将每组攻击对象、其对应的异常报文数据集合、异常协议数据集合三者对应关系建立形成关联数据集,将所述关联数据集作为解析结果。
3.根据权利要求2所述的工控***安全事件预警分类方法,其特征在于,所述利用风险识别评估模型对解析结果进行识别,得到风险识别结果的过程,包括:
将典型攻击行为数据集作为样本输入深度卷积神经网络并对其进行训练,将训练好的神经网络作为风险识别评估模型,所述典型的关联数据集不定时更新;
实时获取含有关联数据集的解析结果,输入至所述风险识别评估模型中得到风险识别结果。
4.根据权利要求3所述的工控***安全事件预警分类方法,其特征在于,所述将典型攻击行为数据集作为样本输入深度卷积神经网络进行训练,得到风险识别评估模型的过程,包括:
对典型攻击行为数据集进行采集得到样本数据集,所述样本数据集包括多个日志文本数据分段;对每个样本数据集中含有异常日志报文的数据分段分割形成多个数据识别区域;
提取每个数据识别区域的日志关键词,将每个数据识别区域中的日志关键词与当前数据识别区域带有异常日志报文中词频最高的日志关键词进行相似度计算,基于得到的相似度值作为关联数据特征值;
汇集具有典型攻击行为数据集的关联数据特征值形成第一特征向量;
基于典型攻击行为数据集包含的多个数据识别区域及对应的第一特征向量训练深度卷积神经网络得到风险识别评估模型。
5.根据权利要求4所述的工控***安全事件预警分类方法,其特征在于,所述利用风险识别评估模型对解析结果进行识别,将风险识别结果与预设等级分类数据库进行匹配,得到对应等级的预警信息的过程,包括:
对待识别的含有关联数据集的解析结果进行分割得到多个数据分段,并对每个数据分段进行分割形成多个数据识别区域,输入风险识别评估模型,得到每个数据识别区域的第二特征向量;
计算第一特征向量与第二特征向量的相似度作为目标相似度;
当目标相似度大于预设相似度阈值时,则判定待识别的解析结果中的每个数据识别区域存在典型日志缺陷;
将待识别的解析结果中的每个数据识别区域输入预设等级分类数据库进行匹配,得到待识别的解析结果中的每个数据识别区域与对应的具有典型攻击行为的样本数据集中的每个数据识别区域一致的缺陷类型,根据预设评级关系确定缺陷类型对应等级的预警信息。
6.根据权利要求1所述的工控***安全事件预警分类方法,其特征在于,所述日志报文包括:节点、设备类型、设备名称、IP地址、时间、事件级别、报警类型、源IP地址、目的IP地址、事件协议字段。
7.一种工控***安全事件预警分类***,其特征在于,包括:
数据采集模块,用于获取工业***的原始日志报文及协议信息;
数据解析模块,用于对原始日志报文及协议信息进行解析得到解析结果;
预警分类模块,用于利用风险识别评估模型对解析结果进行识别,将风险识别结果与预设等级分类数据库进行匹配,得到对应等级的预警信息,并将预警信息按等级分类发送处理。
8.根据权利要求7所述的工控***安全事件预警分类***,其特征在于,还包括:
节点生成模块,用于基于日志报文识别工业***网络设备的类型,并形成相应类型对应设备的节点,并监视节点的在线状态,一旦节点所在线路异常则实时生成预警信息;
节点状态上报模块,用于预设配置好工控后台的IP地址,待检测到预警信息时则自动上传预警信息到工控后台。
9.一种电子设备,其特征在于,包括:
存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行权利要求1-6中任一项所述的工控***安全事件预警分类方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行权利要求1-6中任一项所述的工控***安全事件预警分类方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211222036.5A CN115622867A (zh) | 2022-10-08 | 2022-10-08 | 一种工控***安全事件预警分类方法及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211222036.5A CN115622867A (zh) | 2022-10-08 | 2022-10-08 | 一种工控***安全事件预警分类方法及*** |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115622867A true CN115622867A (zh) | 2023-01-17 |
Family
ID=84860926
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211222036.5A Pending CN115622867A (zh) | 2022-10-08 | 2022-10-08 | 一种工控***安全事件预警分类方法及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115622867A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117013690A (zh) * | 2023-06-28 | 2023-11-07 | 航粤智能电气股份有限公司 | 一种临电箱事件预警处理方法、***和计算机设备 |
CN117473225A (zh) * | 2023-10-17 | 2024-01-30 | 杭州智顺科技有限公司 | 日志数据治理方法、装置、电子设备及可读存储介质 |
-
2022
- 2022-10-08 CN CN202211222036.5A patent/CN115622867A/zh active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117013690A (zh) * | 2023-06-28 | 2023-11-07 | 航粤智能电气股份有限公司 | 一种临电箱事件预警处理方法、***和计算机设备 |
CN117013690B (zh) * | 2023-06-28 | 2024-02-23 | 航粤智能电气股份有限公司 | 一种临电箱事件预警处理方法、***和计算机设备 |
CN117473225A (zh) * | 2023-10-17 | 2024-01-30 | 杭州智顺科技有限公司 | 日志数据治理方法、装置、电子设备及可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111885012B (zh) | 基于多种网络设备信息采集的网络态势感知方法及*** | |
CN115622867A (zh) | 一种工控***安全事件预警分类方法及*** | |
CN110493025B (zh) | 一种基于多层有向图的故障根因诊断的方法及装置 | |
CN108521339B (zh) | 一种基于集群日志的反馈式节点故障处理方法及*** | |
CN111866016B (zh) | 日志的分析方法及*** | |
EP2936772B1 (en) | Network security management | |
JP2021060987A (ja) | コンピュータネットワークにおけるデータ効率のよい脅威検出の方法 | |
CN108121645A (zh) | 一种日志质量评估方法、装置、服务器以及存储介质 | |
CN110009347B (zh) | 一种区块链交易信息审计的方法及装置 | |
CN112532435B (zh) | 一种运维方法、运维管理平台、设备及介质 | |
CN111444072A (zh) | 客户端的异常识别方法、装置、计算机设备和存储介质 | |
US20180005139A1 (en) | Generate alerts while monitoring a machine learning model in real time | |
CN110363381B (zh) | 一种信息处理方法和装置 | |
CN108306997B (zh) | 域名解析监控方法及装置 | |
CN112019523A (zh) | 一种工控***的网络审计方法和装置 | |
CN117093461A (zh) | 一种时延检测分析的方法、***、设备和存储介质 | |
CN114443437A (zh) | 告警根因输出方法、装置、设备、介质和程序产品 | |
CN114138601A (zh) | 一种业务告警方法、装置、设备及存储介质 | |
CN113282920B (zh) | 日志异常检测方法、装置、计算机设备和存储介质 | |
CN114238402A (zh) | 告警数据处理方法、装置、存储介质以及电子设备 | |
CN115689320A (zh) | 基站运行的健康管理方法、装置及计算机可读存储介质 | |
CN107612755A (zh) | 一种云资源的管理方法及其装置 | |
CN111277427B (zh) | 一种数据中心网络设备的巡检方法及*** | |
CN111352820A (zh) | 一种高性能应用运行状态预测和监控方法、设备和装置 | |
CN110990223A (zh) | 一种基于***日志的监控告警方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |