CN116743503B - 一种基于工控资产的健康度评估方法 - Google Patents
一种基于工控资产的健康度评估方法 Download PDFInfo
- Publication number
- CN116743503B CN116743503B CN202311011932.1A CN202311011932A CN116743503B CN 116743503 B CN116743503 B CN 116743503B CN 202311011932 A CN202311011932 A CN 202311011932A CN 116743503 B CN116743503 B CN 116743503B
- Authority
- CN
- China
- Prior art keywords
- industrial control
- asset
- event
- health
- control asset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000036541 health Effects 0.000 title claims abstract description 120
- 238000011156 evaluation Methods 0.000 title claims abstract description 16
- 230000006854 communication Effects 0.000 claims description 55
- 238000004891 communication Methods 0.000 claims description 53
- 238000000034 method Methods 0.000 claims description 38
- 230000002159 abnormal effect Effects 0.000 claims description 15
- 230000005856 abnormality Effects 0.000 claims description 13
- 238000013210 evaluation model Methods 0.000 claims description 9
- 238000011160 research Methods 0.000 claims description 7
- 238000004458 analytical method Methods 0.000 claims description 5
- 238000012545 processing Methods 0.000 claims description 5
- 238000011161 development Methods 0.000 claims description 4
- 238000012795 verification Methods 0.000 claims description 3
- 230000008859 change Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 238000004519 manufacturing process Methods 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 238000001514 detection method Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 230000003862 health status Effects 0.000 description 2
- 230000000246 remedial effect Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Data Mining & Analysis (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种基于工控资产的健康度评估方法,涉及网络安全技术领域,包括S100、设计工控资产事件集;S200、设计自适应权重模糊规则;S300、调整自适应权重模糊规则参数;S400、部署工控资产健康评估模型;S500、收集工控资产信息;S600、评估工控资产健康度。本发明建立多因素模糊工控资产健康评估模型,对工控网络中的在网工控资产的健康度进行准确评估,为网络攻击的目标预测及工控资产的升级替换提供依据,更好地了解资产运行情况,进一步管理资产及网络安全配置。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于工控资产的健康度评估方法。
背景技术
随着智能化成为制造业发展的方向,传统的工控网络逐步突破原有的边界,为工控***带来了一些入侵的风险。但是无论攻击的技术有多么高超、路径有多么复杂,最终的攻击一定会落在工控网络的某一个资产上,所以针对资产健康状态的评估显得至关重要。目前,市面上针对资产的分析以信息网的主机、服务器资产为主,但这些技术与方法一进入工控***就成了“睁眼瞎”,无法识别工控***中常用的工业控制器,更是无法获取工业控制器运行状态。针对工控***的资产管理与状态检测,在安全领域仍处于空白状态,常规的PLC工控厂商也仅仅将状态监测作为调试和查错时的手段,不具备实时性。
目前,在工控领域,存在一些方法对工控资产的状态进行评估和预测,但那些更多的是对设备的硬件状态及故障的检测与预测,这些故障大多有迹可循,可以通过持续地对易故障点监测进行预测。但网络攻击具有随机性与突变性,需要的监测点更多,且对预测算法的参数自适应要求更高,现有对设备故障的算法和选取的监测点并不具备对由网络攻击带来的风险预测的能力,还存在完善的空间。
因此,本领域的技术人员致力于开发一种基于工控资产的健康度评估方法。
发明内容
有鉴于现有技术的上述缺陷,本发明所要解决的技术问题是如何在资产状态发生变化的前期,预测可能产生的风险。
发明人分析,工控***与物理世界息息相关,一旦网络威胁通过信息网络渗透进入工控***,无论采取怎样的攻击的路径或手段,最终会落到工控***的某一个资产上。清晰地掌握资产地健康状态,就能在资产状态发生变化地前期,预测可能产生的风险。发明人引用多参数识别技术研究生产设备健康状态评估方法,构建多维度工控资产健康度评估模型,根据当前网络情况、资产重要程度自适应调整事件评估权重,生成相应资产的健康度评分,并输出资产预测风险点,计算生产设备的健康度,通过各项权重计算,分析不同指标在评估健康状态中的所占比,得到指标评价方式,完成生产设备健康状态评估。建立联合“信息-功能”安全的综合评估指标与体系,准确对工控资产的健康度进行评估,提前发现资产风险,降低损失。
发明人基于网络内的工控资产(统称工控资产)通信交互特征,提取工控资产信息及运行特征,包括工控资产类型、工控资产型号、操作***、在离线状态、资源使用信息、运行日志、开放服务端口;结合工控网络中的会话信息特征,再提取通信特征,包括通信内容、通信协议、流量信息;对获取的信息进行分析预处理,融合时序变化特征,输出事件及事件等级;构建多维度工控资产健康度评估模型,根据当前网络情况、资产重要程度自适应调整事件评估权重,生成相应工控资产的健康度评分,并输出工控资产预测风险点。
本发明的一个实施例中,提供了一种基于工控资产的健康度评估方法,包括如下步骤:
S100、设计工控资产事件集,工控资产事件集覆盖资产可能发生的事件;
S200、设计自适应权重模糊规则,根据实际情况自适应不同属性工控资产信息在健康度评估中的权重,建立多因素模糊工控资产健康评估模型;
S300、调整自适应权重模糊规则参数,将多因素模糊工控资产健康评估模型带入实际应用场景验证,根据不同的行业特性对自适应权重模糊规则参数进行再调整;
S400、部署工控资产健康评估模型,将工控资产健康评估模型部署在服务器;
S500、收集工控资产信息,对工控资产信息收集,工控资产信息覆盖工控资产全生命周期所涉及的工控资产信息要素,包括固有属性、运行特征、通信特征;
S600、评估工控资产健康度,使用部署工控资产健康评估模型的服务器,对收集工控资产信息进行分析,输出工控资产健康度评分。
可选地,在上述实施例中的基于工控资产的健康度评估方法中,步骤S100包括:
S110、设计工控资产信息,确定评估工控资产健康度需要的所有基础信息库;
S120、设计工控资产事件集,基于工控资产信息,结合工控资产事件发生的时间和事件分析的规则,综合分析工控资产信息要素的关联关系,设计工控资产事件集,对在网工控资产的状态进行准确描述,并定位相应状态的事件等级。
进一步地,在上述实施例中的基于工控资产的健康度评估方法中,工控资产信息覆盖工控资产全生命周期所涉及的工控资产信息要素,包括固有属性、运行特征、通信特征。
进一步地,在上述实施例中的基于工控资产的健康度评估方法中,固有属性为工控资产的基本信息,包括但不限于类型、品牌、型号、模块、操作***。
进一步地,在上述实施例中的基于工控资产的健康度评估方法中,运行特征为工控资产在运行中的特征信息,包括但不限于在离线状态、开放服务端口、故障状态、资源使用信息、运行日志。
进一步地,在上述实施例中的基于工控资产的健康度评估方法中,通信特征为工控资产在通信过程中的信息,包括但不限于开发服务、通信内容、通信协议、和流量信息。
进一步地,在上述实施例中的基于工控资产的健康度评估方法中,工控资产包括工业控制器、工业主机、人机界面设备(HMI)、智能仪表、交换机、机床和摄像头。
进一步地,在上述实施例中的基于工控资产的健康度评估方法中,工控资产事件集是工控资产事件的集合,工控资产事件包括事件类别、事件名称和事件等级。
进一步地,在上述实施例中的基于工控资产的健康度评估方法中,事件类别包括漏洞事件、运行状态、通信异常和故障研判。
进一步地,在上述实施例中的基于工控资产的健康度评估方法中,漏洞事件包括高危漏洞、中危漏洞和低危漏洞,对应的事件等级分别是4、3、2,事件等级越高,说明存在风险的可能性越大。
进一步地,在上述实施例中的基于工控资产的健康度评估方法中,运行状态包括工控资产故障、工控资产离线和资产资源超限,对应的事件等级分别是4、3、3,事件等级越高,说明存在风险的可能性越大。
进一步地,在上述实施例中的基于工控资产的健康度评估方法中,通信异常包括开放服务异常和流量异常,对应的事件等级分别是4、3,事件等级越高,说明存在风险的可能性越大。
进一步地,在上述实施例中的基于工控资产的健康度评估方法中,故障研判包括存在入侵风险和存在使用寿命风险,对应的事件等级分别是4、4,事件等级越高,说明存在风险的可能性越大。
可选地,在上述实施例中的动态构建网络流量检测模型的方法中,步骤S200包括:
S210、建立多因素模糊工控资产健康评估模型,基于工控资产事件集及工控资产的重要程度,建立多因素模糊工控资产健康评估模型;
S220、确定工控资产事件评分基础权重,定义不同工控资产事件的权重范围;
S230、设计工控资产健康度评估算法,根据上述工控资产健康评估模型,设计工控资产健康度评估算法;
S240、定义基于输入和输出的模糊集,确定工控资产事件的模糊规则。
进一步地,在上述实施例中的基于工控资产的健康度评估方法中,步骤S210包括对固有属性健康评分、运行特征健康评分、通信特征健康评分和故障研判健康评分。
进一步地,在上述实施例中的基于工控资产的健康度评估方法中,固有属性健康评分取值为固有属性事件评分*固有属性评分权重,固有属性事件评分和工控资产现存的漏洞的等级及数量相关,工控资产现存的漏洞的等级越高,工控资产现存的漏洞的数量越多,固有属性事件评分越低。
进一步地,在上述实施例中的基于工控资产的健康度评估方法中,运行状态健康评分取值为运行状态事件评分*运行状态评分权重,运行状态事件评分和工控资产现存的运行状态类的事件等级、发生频率及持续时间相关,工控资产现存的运行状态类的事件等级越高,发生频率越高、持续时间越长,运行状态事件评分越低。
进一步地,在上述实施例中的基于工控资产的健康度评估方法中,通信异常健康评分取值为通信异常事件评分*通信异常评分权重,通信异常事件评分和工控资产现存的通信异常类的事件等级、发生频率及持续时间相关,工控资产现存的通信异常类的事件等级越高、发生频率越高、持续时间越长,通信异常事件评分越低。
进一步地,在上述实施例中的基于工控资产的健康度评估方法中,故障研判健康评分取值为故障研判事件评分*故障研判评分权重,故障研判事件评分和工控资产现存的故障研判类的事件等级、发生概率相关,故障研判事件是对未来可能发生的风险的预测事件,工控资产现存的故障研判类的事件等级越高、发生概率越高,故障研判事件评分越低。
进一步地,在上述实施例中的基于工控资产的健康度评估方法中,步骤S220还包括工控资产的重要程度模糊化处理,资产越重要,固有属性的事件评分权重越低,运行状态及通信异常的评分事件权重越高。
进一步地,在上述实施例中的基于工控资产的健康度评估方法中,步骤S230还包括对工控资产的固有属性、运行状态、通信异常、故障研判的事件等级及工控资产重要程度进行模糊化处理,设计基于事件等级、资产重要程度的模糊规则,基于资产重要程度加权输出该资产的健康度评分;当做出相应处置动作或补救手段时,事件评分或资产漏洞情况根据解决的程度发生变化,工控资产的健康度评分做出相应更新。
进一步地,在上述实施例中的基于工控资产的健康度评估方法中,步骤S240还包括:定义基于输入的模糊集,输入为事件等级、事件频率、持续时间、资产重要程度;定义基于输出的模糊集输出为工控资产事件评分E(s),模糊集均为{BN,MN,SN,OZ,SP,MP,BP},分别表示“负大值”、“负中值”、“负小值”、“零值”、“正小值”、“正中值”、“正大值”。
进一步地,在上述实施例中的基于工控资产的健康度评估方法中,步骤S240还包括设计基于工控资产事件评分E(s)的模糊规则、隶属函数,E(s)的论域为:E(s)={0,100},E(0)=100。
可选地,在上述实施例中的动态构建网络流量检测模型的方法中,步骤S600包括:
S610、工控资产的重要程度模糊化处理,工控资产越重要,固有属性的事件评分权重越低,运行状态及通信异常的评分事件权重越高;
S620、对工控资产的固有属性、运行状态、通信异常、故障研判的事件等级及工控资产重要程度模糊化处理;
S630、基于事件等级、事件频率、持续时间、资产重要程度和资产重要程度加权输出工控资产的健康度评分。
本发明提出一种基于工控资产的健康度评估方法,建立多因素模糊工控资产健康评估模型,对工控网络中的在网工控资产的健康度进行准确评估,为网络攻击的目标预测及工控资产的升级替换提供依据,更好地了解资产运行情况,进一步管理资产及网络安全配置。
以下将结合附图对本发明的构思、具体结构及产生的技术效果作进一步说明,以充分地了解本发明的目的、特征和效果。
附图说明
图1是图示根据示例性实施例的基于工控资产的健康度评估方法流程图。
具体实施方式
以下参考说明书附图介绍本发明的多个优选实施例,使其技术内容更加清楚和便于理解。本发明可以通过许多不同形式的实施例来得以体现,本发明的保护范围并非仅限于文中提到的实施例。
在附图中,结构相同的部件以相同数字标号表示,各处结构或功能相似的组件以相似数字标号表示。附图所示的每一组件的尺寸和厚度是任意示出的,本发明并没有限定每个组件的尺寸和厚度。为了使图示更清晰,附图中有些地方示意性地适当夸大了部件的厚度。
发明人设计了一种基于工控资产的健康度评估方法,如图1所示,包括如下步骤:
S100、设计工控资产事件集,工控资产事件集覆盖资产可能发生的事件,工控资产包括工业控制器、工业主机、人机界面设备(HMI)、智能仪表、交换机、机床和摄像头,工控资产事件集是工控资产事件的集合,工控资产事件包括事件类别、事件名称和事件等级;事件类别包括漏洞事件、运行状态、通信异常和故障研判,漏洞事件包括高危漏洞、中危漏洞和低危漏洞,对应的事件等级分别是4、3、2,事件等级越高,说明存在风险的可能性越大;运行状态包括工控资产故障、工控资产离线和资产资源超限,对应的事件等级分别是4、3、3,事件等级越高,说明存在风险的可能性越大;通信异常包括开放服务异常和流量异常,对应的事件等级分别是4、3,事件等级越高,说明存在风险的可能性越大;故障研判包括存在入侵风险和存在使用寿命风险,对应的事件等级分别是4、4,事件等级越高,说明存在风险的可能性越大;
S100具体包括:
S110、设计工控资产信息,确定评估工控资产健康度需要的所有基础信息库,工控资产信息覆盖工控资产全生命周期所涉及的工控资产信息要素,包括固有属性、运行特征、通信特征,其中,固有属性为工控资产的基本信息,包括但不限于类型、品牌、型号、模块、操作***;运行特征为工控资产在运行中的特征信息,包括但不限于在离线状态、开放服务端口、故障状态、资源使用信息、运行日志;通信特征为工控资产在通信过程中的信息,包括但不限于开发服务、通信内容、通信协议、和流量信息;
S120、设计工控资产事件集,基于工控资产信息,结合工控资产事件发生的时间和事件分析的规则,综合分析工控资产信息要素的关联关系,设计工控资产事件集,对在网工控资产的状态进行准确描述,并定位相应状态的事件等级。
S200、设计自适应权重模糊规则,根据实际情况自适应不同属性工控资产信息在健康度评估中的权重,建立多因素模糊工控资产健康评估模型;包括:
S210、建立多因素模糊工控资产健康评估模型,基于工控资产事件集及工控资产的重要程度,建立多因素模糊工控资产健康评估模型,包括对固有属性健康评分、运行特征健康评分、通信特征健康评分和故障研判健康评分,固有属性健康评分取值为固有属性事件评分*固有属性评分权重,固有属性事件评分和工控资产现存的漏洞的等级及数量相关,工控资产现存的漏洞的等级越高,工控资产现存的漏洞的数量越多,固有属性事件评分越低;运行状态健康评分取值为运行状态事件评分*运行状态评分权重,运行状态事件评分和工控资产现存的运行状态类的事件等级、发生频率及持续时间相关,工控资产现存的运行状态类的事件等级越高,发生频率越高、持续时间越长,运行状态事件评分越低;通信异常健康评分取值为通信异常事件评分*通信异常评分权重,通信异常事件评分和工控资产现存的通信异常类的事件等级、发生频率及持续时间相关,工控资产现存的通信异常类的事件等级越高、发生频率越高、持续时间越长,通信异常事件评分越低;故障研判健康评分取值为故障研判事件评分*故障研判评分权重,故障研判事件评分和工控资产现存的故障研判类的事件等级、发生概率相关,故障研判事件是对未来可能发生的风险的预测事件,工控资产现存的故障研判类的事件等级越高、发生概率越高,故障研判事件评分越低;
S220、确定工控资产事件评分基础权重,定义不同工控资产事件的权重范围,包括工控资产的重要程度模糊化处理,资产越重要,固有属性的事件评分权重越低,运行状态及通信异常的评分事件权重越高;
S230、设计工控资产健康度评估算法,根据上述工控资产健康评估模型,设计工控资产健康度评估算法,包括对工控资产的固有属性、运行状态、通信异常、故障研判的事件等级及工控资产重要程度进行模糊化处理,设计基于事件等级、资产重要程度的模糊规则,基于资产重要程度加权输出该资产的健康度评分;当做出相应处置动作或补救手段时,事件评分或资产漏洞情况根据解决的程度发生变化,工控资产的健康度评分做出相应更新;
S240、定义基于输入和输出的模糊集,确定工控资产事件的模糊规则,包括:定义基于输入的模糊集,输入为事件等级、事件频率、持续时间、资产重要程度;定义基于输出的模糊集输出为事件评分E(s),模糊集均为{BN,MN,SN,OZ,SP,MP,BP},分别表示“负大值”、“负中值”、“负小值”、“零值”、“正小值”、“正中值”、“正大值”,包括设计基于事件评分E(s)的模糊规则、隶属函数,E(s)的论域为:E(s)={0,100},E(0)=100。
S300、调整自适应权重模糊规则参数,将多因素模糊工控资产健康评估模型带入实际应用场景验证,根据不同的行业特性对自适应权重模糊规则参数进行再调整;
S400、部署工控资产健康评估模型,将工控资产健康评估模型部署在服务器;
S500、收集工控资产信息,对工控资产信息收集,工控资产信息覆盖工控资产全生命周期所涉及的工控资产信息要素,包括固有属性、运行特征、通信特征;
S600、评估工控资产健康度,使用部署工控资产健康评估模型的服务器,对收集工控资产信息进行分析,输出工控资产健康度评分,具体包括:
S610、工控资产的重要程度模糊化处理,工控资产越重要,固有属性的事件评分权重越低,运行状态及通信异常的评分事件权重越高;
S620、对工控资产的固有属性、运行状态、通信异常、故障研判的事件等级及工控资产重要程度模糊化处理;
S630、基于事件等级、事件频率、持续时间、资产重要程度和资产重要程度加权输出工控资产的健康度评分。
以上详细描述了本发明的较佳具体实施例。应当理解,本领域的普通技术人员无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此,凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案,皆应在由权利要求书所确定的保护范围内。
Claims (7)
1.一种基于工控资产的健康度评估方法,其特征在于,包括如下步骤:
S100、设计工控资产事件集,所述工控资产事件集覆盖资产可能发生的事件;
S200、根据实际情况自适应不同属性工控资产信息在健康度评估中的权重,建立多因素模糊工控资产健康评估模型,设计自适应权重模糊规则;
S300、调整自适应权重模糊规则参数,将所述工控资产健康评估模型带入实际应用场景验证,根据不同的行业特性对所述自适应权重模糊规则参数进行再调整;
S400、部署工控资产健康评估模型,将所述工控资产健康评估模型部署在服务器;
S500、收集工控资产信息,对工控资产信息收集,所述工控资产信息覆盖工控资产全生命周期所涉及的工控资产信息要素,包括固有属性、运行特征、通信特征;
S600、评估工控资产健康度,使用部署所述工控资产健康评估模型的所述服务器,对收集所述工控资产信息进行分析,输出工控资产健康度评分;
所述步骤S200包括:
S210、建立多因素模糊工控资产健康评估模型,对固有属性健康评分、运行特征健康评分、通信特征健康评分和故障研判健康评分;固有属性健康评分取值为固有属性事件评分×固有属性评分权重;运行状态健康评分取值为运行状态事件评分×运行状态评分权重;通信异常健康评分取值为通信异常事件评分×通信异常评分权重;故障研判健康评分取值为故障研判事件评分×故障研判评分权重;
S220、确定工控资产事件评分基础权重,定义不同工控资产事件的权重范围,包括工控资产的重要程度模糊化处理,资产越重要,固有属性的事件评分权重越低,运行状态及通信异常的评分事件权重越高;
S230、设计工控资产健康度评估算法,根据上述工控资产健康评估模型,设计工控资产健康度评估算法,包括对工控资产的固有属性、运行状态、通信异常、故障研判的事件等级及工控资产重要程度进行模糊化处理,设计基于事件等级、资产重要程度的模糊规则;
S240、定义基于输入和输出的模糊集,确定工控资产事件的模糊规则。
2.如权利要求1所述的基于工控资产的健康度评估方法,其特征在于,所述步骤S100包括:
S110、设计工控资产信息,确定评估工控资产健康度需要的所有基础信息库;
S120、设计工控资产事件集,基于所述工控资产信息,结合工控资产事件发生的时间和事件分析的规则,综合分析工控资产信息要素的关联关系,设计所述工控资产事件集,对在网工控资产的状态进行准确描述,并定位相应状态的事件等级。
3.如权利要求1所述的基于工控资产的健康度评估方法,其特征在于,所述固有属性为工控资产的基本信息,包括但不限于类型、品牌、型号、模块、操作***。
4.如权利要求1所述的基于工控资产的健康度评估方法,其特征在于,所述运行特征为工控资产在运行中的特征信息,包括但不限于在离线状态、开放服务端口、故障状态、资源使用信息、运行日志。
5.如权利要求1所述的基于工控资产的健康度评估方法,其特征在于,所述通信特征为工控资产在通信过程中的信息,包括但不限于开发服务、通信内容、通信协议、和流量信息。
6.如权利要求1所述的基于工控资产的健康度评估方法,其特征在于,所述工控资产事件集是工控资产事件的集合,所述工控资产事件包括事件类别、事件名称和事件等级。
7.如权利要求1所述的基于工控资产的健康度评估方法,其特征在于,所述步骤S600包括:
S610、工控资产的重要程度模糊化处理,所述工控资产越重要,固有属性的事件评分权重越低,运行状态及通信异常的评分事件权重越高;
S620、对工控资产的固有属性、运行状态、通信异常、故障研判的事件等级及工控资产重要程度模糊化处理;
S630、基于事件等级、事件频率、持续时间、资产重要程度和资产重要程度加权输出所述工控资产的健康度评分。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311011932.1A CN116743503B (zh) | 2023-08-11 | 2023-08-11 | 一种基于工控资产的健康度评估方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311011932.1A CN116743503B (zh) | 2023-08-11 | 2023-08-11 | 一种基于工控资产的健康度评估方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116743503A CN116743503A (zh) | 2023-09-12 |
| CN116743503B true CN116743503B (zh) | 2023-11-07 |
Family
ID=87917220
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311011932.1A Active CN116743503B (zh) | 2023-08-11 | 2023-08-11 | 一种基于工控资产的健康度评估方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116743503B (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108768710A (zh) * | 2018-05-18 | 2018-11-06 | 国家电网公司信息通信分公司 | 一种光传输网络健康的动态权重评估方法、模型及装置 |
| CN109495502A (zh) * | 2018-12-18 | 2019-03-19 | 北京威努特技术有限公司 | 一种工控网络安全健康指数评估方法和装置 |
| CN109639670A (zh) * | 2018-12-10 | 2019-04-16 | 北京威努特技术有限公司 | 一种基于知识图谱的工控网络安全态势量化评估方法 |
| CN111695823A (zh) * | 2020-06-16 | 2020-09-22 | 清华大学 | 一种基于工控网络流量的异常评估方法与*** |
| CN113326514A (zh) * | 2021-07-30 | 2021-08-31 | 紫光恒越技术有限公司 | 网络资产的风险评估方法、装置、交换机、设备及服务器 |
| CN113610171A (zh) * | 2021-08-13 | 2021-11-05 | 西安热工研究院有限公司 | 一种工控***安全性评估方法 |
| CN113671909A (zh) * | 2021-06-30 | 2021-11-19 | 云南昆钢电子信息科技有限公司 | 一种钢铁工控设备安全监测***和方法 |
| WO2022028012A1 (zh) * | 2020-08-07 | 2022-02-10 | 杭州安恒信息技术股份有限公司 | 资产评分方法、装置、计算机设备及存储介质 |
| CN115640998A (zh) * | 2022-10-21 | 2023-01-24 | 杭州安恒信息技术股份有限公司 | 一种风险评估方法、装置、设备及存储介质 |
-
2023
- 2023-08-11 CN CN202311011932.1A patent/CN116743503B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108768710A (zh) * | 2018-05-18 | 2018-11-06 | 国家电网公司信息通信分公司 | 一种光传输网络健康的动态权重评估方法、模型及装置 |
| CN109639670A (zh) * | 2018-12-10 | 2019-04-16 | 北京威努特技术有限公司 | 一种基于知识图谱的工控网络安全态势量化评估方法 |
| CN109495502A (zh) * | 2018-12-18 | 2019-03-19 | 北京威努特技术有限公司 | 一种工控网络安全健康指数评估方法和装置 |
| CN111695823A (zh) * | 2020-06-16 | 2020-09-22 | 清华大学 | 一种基于工控网络流量的异常评估方法与*** |
| WO2022028012A1 (zh) * | 2020-08-07 | 2022-02-10 | 杭州安恒信息技术股份有限公司 | 资产评分方法、装置、计算机设备及存储介质 |
| CN113671909A (zh) * | 2021-06-30 | 2021-11-19 | 云南昆钢电子信息科技有限公司 | 一种钢铁工控设备安全监测***和方法 |
| CN113326514A (zh) * | 2021-07-30 | 2021-08-31 | 紫光恒越技术有限公司 | 网络资产的风险评估方法、装置、交换机、设备及服务器 |
| CN113610171A (zh) * | 2021-08-13 | 2021-11-05 | 西安热工研究院有限公司 | 一种工控***安全性评估方法 |
| CN115640998A (zh) * | 2022-10-21 | 2023-01-24 | 杭州安恒信息技术股份有限公司 | 一种风险评估方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116743503A (zh) | 2023-09-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113965404B (zh) | 一种网络安全态势自适应主动防御***及方法 | |
| CN115996146B (zh) | 数控***安全态势感知与分析***、方法、设备及终端 | |
| EP2943843A1 (en) | Method, device and computer program for monitoring an industrial control system | |
| CN115378744B (zh) | 一种网络安全测试评估***及方法 | |
| Lyu et al. | Bayesian network based C2P risk assessment for cyber-physical systems | |
| CN113822421A (zh) | 基于神经网络的异常定位方法、***、设备及存储介质 | |
| EP2747365A1 (en) | Network security management | |
| Leite et al. | A hybrid and learning agent architecture for network intrusion detection | |
| CN112511351A (zh) | 基于mes标识数据互通***的安全态势预测方法及*** | |
| CN113269327A (zh) | 一种基于机器学习的流量异常预测方法 | |
| CN117411703A (zh) | 一种面向Modbus协议的工业控制网络异常流量检测方法 | |
| CN112906775A (zh) | 一种设备故障预测方法及*** | |
| CN117973902A (zh) | 一种基于保电平台故障处置智能决策方法及*** | |
| CN116882756B (zh) | 基于区块链的电力安全管控方法 | |
| CN116743503B (zh) | 一种基于工控资产的健康度评估方法 | |
| Alem et al. | A hybrid intrusion detection system in industry 4.0 based on ISA95 standard | |
| CN115659351B (zh) | 一种基于大数据办公的信息安全分析方法、***及设备 | |
| CN116909712A (zh) | 基于机器学习的智能任务调度***及其方法 | |
| Larrinaga et al. | Implementation of a reference architecture for cyber physical systems to support condition based maintenance | |
| CN116346405A (zh) | 基于数据统计的网络安全运维能力评估***及方法 | |
| KR102417752B1 (ko) | 산업 제어 시스템에서의 ai 기반 위협 탐지 시스템 및 그 방법 | |
| CN110855650B (zh) | 一种非法文件上传检测方法 | |
| CN116700197B (zh) | 一种工控监测分析预警***及分析预警处理方法 | |
| Sivakumar et al. | Intrusion Detection System for Securing the SCADA Industrial Control System | |
| CN117807590B (zh) | 基于人工智能的信息安全预测及监控***及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |