CN117857156A - 基于工控行为分析的工控网络威胁分析方法 - Google Patents
基于工控行为分析的工控网络威胁分析方法 Download PDFInfo
- Publication number
- CN117857156A CN117857156A CN202311790080.0A CN202311790080A CN117857156A CN 117857156 A CN117857156 A CN 117857156A CN 202311790080 A CN202311790080 A CN 202311790080A CN 117857156 A CN117857156 A CN 117857156A
- Authority
- CN
- China
- Prior art keywords
- industrial control
- data
- behavior
- abnormal
- data set
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 43
- 230000006399 behavior Effects 0.000 claims abstract description 82
- 206010000117 Abnormal behaviour Diseases 0.000 claims abstract description 54
- 230000002159 abnormal effect Effects 0.000 claims abstract description 28
- 238000012544 monitoring process Methods 0.000 claims abstract description 23
- 238000007637 random forest analysis Methods 0.000 claims abstract description 8
- 238000004891 communication Methods 0.000 claims abstract description 7
- 238000001514 detection method Methods 0.000 claims abstract description 6
- 230000006870 function Effects 0.000 claims description 36
- 238000000034 method Methods 0.000 claims description 33
- 238000003066 decision tree Methods 0.000 claims description 24
- 238000012549 training Methods 0.000 claims description 15
- 238000013145 classification model Methods 0.000 claims description 9
- 230000000694 effects Effects 0.000 claims description 9
- 238000012360 testing method Methods 0.000 claims description 9
- 238000012795 verification Methods 0.000 claims description 9
- 230000008569 process Effects 0.000 claims description 8
- 238000007619 statistical method Methods 0.000 claims description 7
- 238000006243 chemical reaction Methods 0.000 claims description 6
- 238000000605 extraction Methods 0.000 claims description 6
- 230000008859 change Effects 0.000 claims description 3
- 238000010276 construction Methods 0.000 claims description 3
- 238000011156 evaluation Methods 0.000 claims description 3
- 238000001914 filtration Methods 0.000 claims description 3
- 238000012886 linear function Methods 0.000 claims description 3
- 238000012806 monitoring device Methods 0.000 claims description 3
- 238000012937 correction Methods 0.000 claims description 2
- 238000009792 diffusion process Methods 0.000 claims description 2
- 230000002708 enhancing effect Effects 0.000 claims description 2
- 230000008439 repair process Effects 0.000 claims description 2
- 238000003892 spreading Methods 0.000 abstract description 5
- 230000007480 spreading Effects 0.000 abstract description 5
- 238000004422 calculation algorithm Methods 0.000 abstract description 3
- 238000005206 flow analysis Methods 0.000 abstract description 2
- 230000004044 response Effects 0.000 abstract description 2
- 238000004590 computer program Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000003860 storage Methods 0.000 description 3
- 206010033799 Paralysis Diseases 0.000 description 2
- 230000004075 alteration Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000013450 outlier detection Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及基于工控行为分析的工控网络威胁分析方法,具体涉及工控***安全保护领域,通过对工控***中的实时行为进行监视和分析,发现异常活动、异常通信模式或其他异常行为,提供实时的网络流量分析和设备行为监控,基于工控行为分析的方法识别威胁的类型和潜在影响通过分析和理解威胁行为模式,采取适当的措施减轻威胁以及防止其进一步扩散,通过结合多种数据源和随机森林算法对设备和网络行为进行深度分析,提高威胁检测的准确性,并更好地区分正常行为和恶意行为,通过实时监测工控网络的行为,及时发现异常活动并提供警报,通过快速响应减少潜在的威胁对***造成的损害,并采取适当的措施来应对威胁。
Description
技术领域
本发明涉及工控***安全保护领域,更具体地说,本发明涉及基于工控行为分析的工控网络威胁分析方法。
背景技术
随着网络威胁日益增加,工控***的安全性也变得越来越重要,工控***直接关系到人们的生命安全和财产安全,由于工控***的特殊性质以及其设计目标为实时性和可靠性,使其更容易受到网络攻击和威胁。
传统的工控网络威胁分析方法基于静态规则,仅能针对已知攻击模式进行检测和防御,无法发现新型威胁和高级攻击手段,且不能及时发现和对抗这些漏洞,导致攻击者利用的时间窗口较长。
利用随机森林算法进行预测行为比对收集数据集,判断行为是否异常,通过对工控***中的实时行为进行监视和分析,发现异常活动、异常通信模式以及高级攻击手段,基于工控行为分析的方法识别威胁的类型和新型威胁。
发明内容
本发明针对现有技术中存在的技术问题,提供基于工控行为分析的工控网络威胁分析方法,通过对工控***中的实时行为进行监视和分析,发现异常活动、异常通信模式或其他异常行为,并基于工控行为分析的方法识别威胁的类型和新型威胁,以解决上述背景技术中提出的问题。
本发明解决上述技术问题的技术方案如下:基于工控行为分析的工控网络威胁分析方法,包括以下步骤:
S101:通过网络监控设备捕获工控***中的网络流量数据,调用工控***中各个组件的日志数据,通过工控***的配置文件、设备配置信息以及工况***内部监测获取各个设备配置信息以及状态信息,并利用工控***数据库中的创建列记录工控***中用户的操作行为;
S102:检查数据集中是否存在缺失值,并使用插值方法进行填补,检查数据集中是否存在异常值,并使用统计方法进行异常值检测和修正,检查数据中是否为正确数据类型,并将数据转换为正确的数据类型;
S103:将通过处理的工控行为数据集划分为训练集、验证集和测试集,并利用随机森林建立工控***中各个组件的行为分类模型,根据模型的最终分类结果并比对工控行为数据集,用于判断行为是否异常;
S104:通过判断的异常行为对特定组件和功能的影响,并评估其对整个***的级联效应、特殊权限的需求以及对数据完整性的威胁,对异常行为进行评级;
S105:通过及时获取相关漏洞信息,并对其进行评估和分类,用于确定漏洞的严重程度和影响范围,通过限制对敏感数据和功能的访问,并且实施最小权限原则,进行威胁响应。
在一个优选地实施方式中,所述S101中,通过网络监控设备捕获工控***中的网络流量数据,包括网络通信的源IP地址、目标IP地址、端口号、协议类型、数据包大小信息,对网络监控设备以及入侵检测***进行配置,包括设置设备的IP地址、端口监听、过滤规则,调用工控***中各个组件的日志数据,包括操作***日志、应用程序日志以及网络设备日志,用于提供关于***活动、异常事件、用户访问的信息,通过工控***的配置文件和设备配置信息获取设备的型号、版本号、网络配置、访问控制规则,利用工况***内部监测获取各个设备的状态信息,包括CPU利用率、内存利用率、磁盘空间使用情况,调用工控***数据库,并利用数据库中的创建列记录工控***中用户的操作行为,包括登录、权限变更、文件操作,将所有收集的数据汇集到工控行为数据集中,并存储到临时数据中心。
在一个优选地实施方式中,所述S102中,检查数据集中是否存在缺失值,并使用插值方法进行填补,所述差值方法为线性差值,根据已知数据集中的数据点建立的坐标系,并通过线性函数对缺失值进行估计,其具体公式为:
其中(Xi,Yi)表示已知第i个数据集中的数据点坐标系的横坐标和纵坐标,(Xi+1,Yi+1)表示已知第i+1个数据集中的数据点坐标系的横坐标和纵坐标,(X,Y)表示数据集中的缺失数据点坐标系估计的横坐标和纵坐标,检查数据集中是否存在异常值,并使用统计方法进行异常值检测和修正,所述统计方法为Z-score方法,通过计算数据集中的数据点与其均值之间的偏差,并将其标准化为标准差的倍数来检测和修正异常值,其具体公式为:
其中Z表示Z-score值,为数据集中的数据点与均值之间的偏差程度,xi表示数据集中的数据点,n表示数据集中的数据点的个数,检查数据中是否存在重复记录,并进行合并重复记录,检查数据中是否为正确数据类型,并将数据转换为正确的数据类型,其中转换具体步骤为:利用网络监控设备查看数据集中的每个数据点,并确定其具有的正确数据类型,利用Python库中函数进行转换,其中函数包括int()函数、float()函数。
在一个优选地实施方式中,所述S103中,将通过处理的工控行为数据集划分为训练集、验证集和测试集,其中70%的数据作为训练集,20%的数据作为验证集,10%的数据作为测试集,利用随机森林建立工控***中各个组件的行为分类模型,其具体步骤为:从原始工控行为数据集中的训练集随机抽取一定数量的样本,生成一个新的数据集,通过重复多次随机抽取,生成多个不同的数据集,从所有特征中随机选择一定数量的特征,用于构建决策树,通过重复多次随机抽取,生成多个不同的特征集,使用新的数据集和特征集,构建多个决策树,其构建过程中,每个节点都使用一个特征进行划分,直到满足节点样本数量小于10,将多个决策树利用加权投票方法进行投票,得到最终的分类结果,所述加权投票具体步骤为:对于每棵决策树,根据其在训练过程中的性能给予一个权重,对所有决策树的投票结果进行统计,并计算加权投票的得分,其具体公式为:
其中Score(c)表示类别c的加权投票的得分,wi表示第i棵决策树的权重,Vote(c,i)表示第i棵决策树对类别c的投票结果,调用S101中的工控行为数据集,将未知的工控行为数据输入训练好的分类模型中,根据模型的最终分类结果并比对工控行为数据集,用于判断行为是否异常。
在一个优选地实施方式中,所述S104中,评估其对特定组件和功能的影响,确定异常行为是否只会影响到一个特定的***组件、设备以及功能,当异常行为仅限于一个特定区域和功能,并不涉及整个工控***的关键部分,判断该异常行为威胁程度较低,通过判断的异常行为评估其对整个***的级联效应,通过了解异常行为是否具有扩散、蔓延以及连锁反应的潜力,当异常行为迅速蔓延并影响到其他关键组件以及功能,导致整个***瘫痪以及无法正常运行,判断该异常行为威胁程度较高,通过评估异常行为对关键依赖的影响,工控***依赖于其他外部***、网络以及设施,当异常行为严重干扰以及中断关键依赖,判断该异常行为威胁程度较高,通过评估异常行为对数据完整性的威胁,其导致数据损坏、篡改以及丢失,并影响***的正确运行和决策制定,当异常行为破坏关键数据的完整性,判断该异常行为威胁程度较高,通过评估异常行为是否具备特殊的权限进行实施,当异常行为需要高级权限以及管理员权限进行操作,包括修改配置文件、访问敏感数据以及执行***命令,判断该异常行为威胁程度较低。
在一个优选地实施方式中,所述S105中,通过及时获取相关漏洞信息,并对其进行评估和分类,用于确定漏洞的严重程度和影响范围,并根据评估结果,通过S104中风险等级分类,优先修补高风险漏洞,通过限制对敏感数据和功能的访问,并且实施最小权限原则,所述最小权限原则将不同的权限分配给不同的角色,并根据工作职责确定每个角色所需的最低权限,将权限控制细化到最小的单元,只授权用户访问特定的资源,包括文件、文件夹以及数据库表,定期审查用户的权限并进行清理,删除不再需要的权限,并利用访问控制列表限制用户对***资源的访问和操作,对于已经发生的威胁事件,制定紧急计划,包括隔离受感染的设备、清除恶意软件、恢复数据以及***配置,并将此次威胁时间记录在云端数据中心,用于加强后续防御措施。
本发明的有益效果是:通过对工控***中的实时行为进行监视和分析,发现异常活动、异常通信模式或其他异常行为,从而及早发现威胁,提供实时的网络流量分析和设备行为监控,基于工控行为分析的方法识别威胁的类型和潜在影响,帮助安全团队进行快速响应,通过分析和理解威胁行为模式,采取适当的措施减轻威胁以及防止其进一步扩散,通过结合多种数据源和算法对设备和网络行为进行深度分析,提高威胁检测的准确性,减少误报率,并更好地区分正常行为和恶意行为,通过实时监测工控网络的行为,及时发现异常活动并提供警报,通过快速响应减少潜在的威胁对***造成的损害,并采取适当的措施来应对威胁。
附图说明
图1为本发明***流程图;
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
在本申请的描述中,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个所述特征。在本申请的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
在本申请的描述中,术语“例如”一词用来表示“用作例子、例证或说明”。本申请中被描述为“例如”的任何实施例不一定被解释为比其它实施例更优选或更具优势。为了使本领域任何技术人员能够实现和使用本发明,给出了以下描述。在以下描述中,为了解释的目的而列出了细节。应当明白的是,本领域普通技术人员可以认识到,在不使用这些特定细节的情况下也可以实现本发明。在其它实例中,不会对公知的结构和过程进行详细阐述,以避免不必要的细节使本发明的描述变得晦涩。因此,本发明并非旨在限于所示的实施例,而是与符合本申请所公开的原理和特征的最广范围相一致。
本实施例提供了如图1所示基于工控行为分析的工控网络威胁分析方法,具体包括以下步骤:
S101:通过网络监控设备捕获工控***中的网络流量数据,调用工控***中各个组件的日志数据,通过工控***的配置文件、设备配置信息以及工况***内部监测获取各个设备配置信息以及状态信息,并利用工控***数据库中的创建列记录工控***中用户的操作行为;
进一步地,通过网络监控设备捕获工控***中的网络流量数据,包括网络通信的源IP地址、目标IP地址、端口号、协议类型、数据包大小信息,对网络监控设备以及入侵检测***进行配置,包括设置设备的IP地址、端口监听、过滤规则,调用工控***中各个组件的日志数据,包括操作***日志、应用程序日志以及网络设备日志,用于提供关于***活动、异常事件、用户访问的信息,通过工控***的配置文件和设备配置信息获取设备的型号、版本号、网络配置、访问控制规则,利用工况***内部监测获取各个设备的状态信息,包括CPU利用率、内存利用率、磁盘空间使用情况,调用工控***数据库,并利用数据库中的创建列记录工控***中用户的操作行为,包括登录、权限变更、文件操作,将所有收集的数据汇集到工控行为数据集中,并存储到临时数据中心。
S102:检查数据集中是否存在缺失值,并使用插值方法进行填补,检查数据集中是否存在异常值,并使用统计方法进行异常值检测和修正,检查数据中是否为正确数据类型,并将数据转换为正确的数据类型;
进一步地,检查数据集中是否存在缺失值,并使用插值方法进行填补,所述差值方法为线性差值,根据已知数据集中的数据点建立的坐标系,并通过线性函数对缺失值进行估计,其具体公式为:
其中(Xi,Yi)表示已知第i个数据集中的数据点坐标系的横坐标和纵坐标,(Xi+1,Yi+1)表示已知第i+1个数据集中的数据点坐标系的横坐标和纵坐标,(X,Y)表示数据集中的缺失数据点坐标系估计的横坐标和纵坐标,检查数据集中是否存在异常值,并使用统计方法进行异常值检测和修正,所述统计方法为Z-score方法,通过计算数据集中的数据点与其均值之间的偏差,并将其标准化为标准差的倍数来检测和修正异常值,其具体公式为:
其中Z表示Z-score值,为数据集中的数据点与均值之间的偏差程度,xi表示数据集中的数据点,n表示数据集中的数据点的个数,检查数据中是否存在重复记录,并进行合并重复记录,检查数据中是否为正确数据类型,并将数据转换为正确的数据类型,其中转换具体步骤为:利用网络监控设备查看数据集中的每个数据点,并确定其具有的正确数据类型,利用Python库中函数进行转换,其中函数包括int()函数、float()函数。
S103:将通过处理的工控行为数据集划分为训练集、验证集和测试集,并利用随机森林建立工控***中各个组件的行为分类模型,根据模型的最终分类结果并比对工控行为数据集,用于判断行为是否异常;
进一步地,将通过处理的工控行为数据集划分为训练集、验证集和测试集,其中70%的数据作为训练集,20%的数据作为验证集,10%的数据作为测试集,利用随机森林建立工控***中各个组件的行为分类模型,其具体步骤为:从原始工控行为数据集中的训练集随机抽取一定数量的样本,生成一个新的数据集,通过重复多次随机抽取,生成多个不同的数据集,从所有特征中随机选择一定数量的特征,用于构建决策树,通过重复多次随机抽取,生成多个不同的特征集,使用新的数据集和特征集,构建多个决策树,其构建过程中,每个节点都使用一个特征进行划分,直到满足节点样本数量小于10,将多个决策树利用加权投票方法进行投票,得到最终的分类结果,所述加权投票具体步骤为:对于每棵决策树,根据其在训练过程中的性能给予一个权重,对所有决策树的投票结果进行统计,并计算加权投票的得分,其具体公式为:
其中Score(c)表示类别c的加权投票的得分,wi表示第i棵决策树的权重,Vote(c,i)表示第i棵决策树对类别c的投票结果,调用S101中的工控行为数据集,将未知的工控行为数据输入训练好的分类模型中,根据模型的最终分类结果并比对工控行为数据集,用于判断行为是否异常。
S104:通过判断的异常行为对特定组件和功能的影响,并评估其对整个***的级联效应、特殊权限的需求以及对数据完整性的威胁,对异常行为进行评级;
进一步地,评估其对特定组件和功能的影响,确定异常行为是否只会影响到一个特定的***组件、设备以及功能,当异常行为仅限于一个特定区域和功能,并不涉及整个工控***的关键部分,判断该异常行为威胁程度较低,通过判断的异常行为评估其对整个***的级联效应,通过了解异常行为是否具有扩散、蔓延以及连锁反应的潜力,当异常行为迅速蔓延并影响到其他关键组件以及功能,导致整个***瘫痪以及无法正常运行,判断该异常行为威胁程度较高,通过评估异常行为对关键依赖的影响,工控***依赖于其他外部***、网络以及设施,当异常行为严重干扰以及中断关键依赖,判断该异常行为威胁程度较高,通过评估异常行为对数据完整性的威胁,其导致数据损坏、篡改以及丢失,并影响***的正确运行和决策制定,当异常行为破坏关键数据的完整性,判断该异常行为威胁程度较高,通过评估异常行为是否具备特殊的权限进行实施,当异常行为需要高级权限以及管理员权限进行操作,包括修改配置文件、访问敏感数据以及执行***命令,判断该异常行为威胁程度较低。
S105:通过及时获取相关漏洞信息,并对其进行评估和分类,用于确定漏洞的严重程度和影响范围,通过限制对敏感数据和功能的访问,并且实施最小权限原则,进行威胁响应;
进一步地,通过及时获取相关漏洞信息,并对其进行评估和分类,用于确定漏洞的严重程度和影响范围,并根据评估结果,通过S104中风险等级分类,优先修补高风险漏洞,通过限制对敏感数据和功能的访问,并且实施最小权限原则,所述最小权限原则将不同的权限分配给不同的角色,并根据工作职责确定每个角色所需的最低权限,将权限控制细化到最小的单元,只授权用户访问特定的资源,包括文件、文件夹以及数据库表,定期审查用户的权限并进行清理,删除不再需要的权限,并利用访问控制列表限制用户对***资源的访问和操作,对于已经发生的威胁事件,制定紧急计划,包括隔离受感染的设备、清除恶意软件、恢复数据以及***配置,并将此次威胁时间记录在云端数据中心,用于加强后续防御措施。
需要说明的是,在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详细描述的部分,可以参见其它实施例的相关描述。
本领域内的技术人员应明白,本发明的实施例可提供为方法、***、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式计算机或者其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包括这些改动和变型在内。
Claims (8)
1.基于工控行为分析的工控网络威胁分析方法,其特征在于,具体包括以下步骤:
S101:通过网络监控设备捕获工控***中的网络流量数据,调用工控***中各个组件的日志数据,通过工控***的配置文件、设备配置信息以及工况***内部监测获取各个设备配置信息以及状态信息,并利用工控***数据库中的创建列记录工控***中用户的操作行为;
S102:检查数据集中是否存在缺失值,并使用插值方法进行填补,检查数据集中是否存在异常值,并使用统计方法进行异常值检测和修正,检查数据中是否为正确数据类型,并将数据转换为正确的数据类型;
S103:将通过处理的工控行为数据集划分为训练集、验证集和测试集,并利用随机森林建立工控***中各个组件的行为分类模型,根据模型的最终分类结果并比对工控行为数据集,用于判断行为是否异常;
S104:通过判断的异常行为对特定组件和功能的影响,并评估其对整个***的级联效应、特殊权限的需求以及对数据完整性的威胁,对异常行为进行评级;
S105:通过及时获取相关漏洞信息,并对其进行评估和分类,用于确定漏洞的严重程度和影响范围,通过限制对敏感数据和功能的访问,并且实施最小权限原则,进行威胁响应。
2.根据权利要求1所述的基于工控行为分析的工控网络威胁分析方法,其特征在于:所述S101中,网络流量数据,包括网络通信的源IP地址、目标IP地址、端口号、协议类型、数据包大小信息,对网络监控设备以及入侵检测***进行配置,包括设置设备的IP地址、端口监听、过滤规则,调用工控***中各个组件的日志数据,包括操作***日志、应用程序日志以及网络设备日志,用于提供关于***活动、异常事件、用户访问的信息,通过工控***的配置文件和设备配置信息获取设备的型号、版本号、网络配置、访问控制规则,利用工况***内部监测获取各个设备的状态信息,包括CPU利用率、内存利用率、磁盘空间使用情况,调用工控***数据库,并利用数据库中的创建列记录工控***中用户的操作行为,包括登录、权限变更、文件操作,将所有收集的数据汇集到工控行为数据集中,并存储到临时数据中心。
3.根据权利要求1所述的基于工控行为分析的工控网络威胁分析方法,其特征在于:所述S102中,使用插值方法对数据集中的缺失值进行填补,插值方法为线性差值,根据已知数据集中的数据点建立的坐标系,并通过线性函数对缺失值进行估计,其具体公式为:
其中(Xi,Yi)表示已知第i个数据集中的数据点坐标系的横坐标和纵坐标,(Xi+1,Yi+1)表示已知第i+1个数据集中的数据点坐标系的横坐标和纵坐标,(X,Y)表示数据集中的缺失数据点坐标系估计的横坐标和纵坐标,对填补后的数据进行异常值的检测。
4.根据权利要求3所述的基于工控行为分析的工控网络威胁分析方法,其特征在于:使用统计方法进行异常值检测和修正,所述统计方法为Z-score方法,通过计算数据集中的数据点与其均值之间的偏差,并将其标准化为标准差的倍数来检测和修正异常值,其具体公式为:
其中Z表示Z-score值,为数据集中的数据点与均值之间的偏差程度,xi表示数据集中的数据点,n表示数据集中的数据点的个数,检查数据中是否存在重复记录,并进行合并重复记录,检查数据中是否为正确数据类型,并将数据转换为正确的数据类型,其中转换具体步骤为:利用网络监控设备查看数据集中的每个数据点,并确定其具有的正确数据类型,利用Python库中函数进行转换,其中函数包括int()函数、float()函数。
5.根据权利要求1所述的基于工控行为分析的工控网络威胁分析方法,其特征在于:所述S103中,将通过处理的工控行为数据集划分为训练集、验证集和测试集,其中70%的数据作为训练集,20%的数据作为验证集,10%的数据作为测试集,利用随机森林建立工控***中各个组件的行为分类模型,其具体步骤为:从原始工控行为数据集中的训练集随机抽取一定数量的样本,生成一个新的数据集,通过重复多次随机抽取,生成多个不同的数据集,从所有特征中随机选择一定数量的特征,用于构建决策树,通过重复多次随机抽取,生成多个不同的特征集,使用新的数据集和特征集,构建多个决策树,其构建过程中,每个节点都使用一个特征进行划分,直到满足节点样本数量小于10,将多个决策树利用加权投票方法进行投票,得到最终的分类结果。
6.根据权利要求5所述的基于工控行为分析的工控网络威胁分析方法,其特征在于:所述加权投票具体步骤为:对于每棵决策树,根据其在训练过程中的性能给予一个权重,对所有决策树的投票结果进行统计,并计算加权投票的得分,其具体公式为:
其中Score(c)表示类别c的加权投票的得分,wi表示第i棵决策树的权重,Vote(c,i)表示第i棵决策树对类别c的投票结果,调用S101中的工控行为数据集,将未知的工控行为数据输入训练好的分类模型中,根据模型的最终分类结果并比对工控行为数据集,用于判断行为是否异常。
7.根据权利要求1所述的基于工控行为分析的工控网络威胁分析方法,其特征在于:所述S104中,确定异常行为是否只影响到一个特定的***组件、设备以及功能,当异常行为仅限于一个特定区域和功能,并不涉及整个工控***的关键部分,判断该异常行为威胁程度较低,通过判断的异常行为评估其对整个***的级联效应,通过了解异常行为是否具有扩散、蔓延以及连锁反应的潜力,当异常行为迅速蔓延并影响到其他关键组件以及功能,导致整个***瘫痪以及无法正常运行,判断该异常行为威胁程度较高,通过评估异常行为对关键依赖的影响,工控***依赖于其他外部***、网络以及设施,当异常行为严重干扰以及中断关键依赖,判断该异常行为威胁程度较高,通过评估异常行为对数据完整性的威胁,其导致数据损坏、篡改以及丢失,并影响***的正确运行和决策制定,当异常行为破坏关键数据的完整性,判断该异常行为威胁程度较高,通过评估异常行为是否具备特殊的权限进行实施,当异常行为需要高级权限以及管理员权限进行操作,包括修改配置文件、访问敏感数据以及执行***命令,判断该异常行为威胁程度较低。
8.根据权利要求1所述的基于工控行为分析的工控网络威胁分析方法,其特征在于:所述S105中,通过及时获取相关漏洞信息,并对其进行评估和分类,用于确定漏洞的严重程度和影响范围,并根据评估结果,通过S104中风险等级分类,优先修补高风险漏洞,通过限制对敏感数据和功能的访问,并且实施最小权限原则,所述最小权限原则将不同的权限分配给不同的角色,并根据工作职责确定每个角色所需的最低权限,将权限控制细化到最小的单元,只授权用户访问特定的资源,包括文件、文件夹以及数据库表,定期审查用户的权限并进行清理,删除不再需要的权限,并利用访问控制列表限制用户对***资源的访问和操作,对于已经发生的威胁事件,制定紧急计划,包括隔离受感染的设备、清除恶意软件、恢复数据以及***配置,并将此次威胁时间记录在云端数据中心,用于加强后续防御措施。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311790080.0A CN117857156A (zh) | 2023-12-22 | 2023-12-22 | 基于工控行为分析的工控网络威胁分析方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311790080.0A CN117857156A (zh) | 2023-12-22 | 2023-12-22 | 基于工控行为分析的工控网络威胁分析方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117857156A true CN117857156A (zh) | 2024-04-09 |
Family
ID=90532331
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311790080.0A Pending CN117857156A (zh) | 2023-12-22 | 2023-12-22 | 基于工控行为分析的工控网络威胁分析方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117857156A (zh) |
-
2023
- 2023-12-22 CN CN202311790080.0A patent/CN117857156A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6201614B2 (ja) | ログ分析装置、方法およびプログラム | |
CN112819336B (zh) | 一种基于电力监控***网络威胁的量化方法及*** | |
JP6528448B2 (ja) | ネットワーク攻撃監視装置、ネットワーク攻撃監視方法、及びプログラム | |
CN111600880A (zh) | 异常访问行为的检测方法、***、存储介质和终端 | |
CN104899513B (zh) | 一种工业控制***恶意数据攻击的数据图检测方法 | |
US20170061126A1 (en) | Process Launch, Monitoring and Execution Control | |
CN106850647B (zh) | 基于dns请求周期的恶意域名检测算法 | |
CN110545280B (zh) | 一种基于威胁检测准确度的量化评估方法 | |
KR101692982B1 (ko) | 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템 | |
WO2019035120A1 (en) | SYSTEM AND METHOD FOR DETECTING CYBER-THREATS | |
CN116319061A (zh) | 一种智能控制网络*** | |
CN110769007A (zh) | 一种基于异常流量检测的网络安全态势感知方法及装置 | |
CN116094817A (zh) | 一种网络安全检测***和方法 | |
RU180789U1 (ru) | Устройство аудита информационной безопасности в автоматизированных системах | |
CN111104670B (zh) | 一种apt攻击的识别和防护方法 | |
CN111565201A (zh) | 一种基于多属性的工业互联网安全评估方法及*** | |
Kumar et al. | Statistical based intrusion detection framework using six sigma technique | |
CN113709097B (zh) | 网络风险感知方法及防御方法 | |
CN117857156A (zh) | 基于工控行为分析的工控网络威胁分析方法 | |
Jakhale | Design of anomaly packet detection framework by data mining algorithm for network flow | |
CN117290823B (zh) | 一种app智能检测与安全防护方法、计算机设备及介质 | |
CN117834311B (zh) | 一种用于网络安全的恶意行为识别*** | |
CN113055396B (zh) | 一种跨终端溯源分析的方法、装置、***和存储介质 | |
CN115514582B (zh) | 基于att&ck的工业互联网攻击链关联方法及*** | |
CN114186232A (zh) | 一种网络攻击团队识别方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |