The invention discloses a vulnerability trend analysis and early warning method and system for industrial control system, which includes: establishing several probes with core protocols in industrial control system, deploying probes in public network and intranet; collecting attack information by probes in an interactive manner; sending the collected attack information to data analysis module by simulation industrial control system probes, and data analysis model. Block is responsible for data analysis and vulnerability mining; data analysis module generates attack utilization rule base and vulnerability base based on the results of data analysis and vulnerability mining; data analysis module uses generated attack utilization rule base and vulnerability base to analyze the attack information sent back by matching probes, and reports the analysis results of attack information to security equipment and early warning display platform. The invention simulates the industrial control system, induces it to attack the simulated industrial control system, collects its attack means, analyses vulnerabilities, and early warns users of the serious vulnerabilities existing in or to be exploited in the production environment.
【技术实现步骤摘要】
一种工控系统漏洞趋势分析与预警方法及系统
本专利技术涉及工控系统安全领域,具体涉及一种工控系统漏洞趋势分析与预警方法及系统。
技术介绍
传统信息安全防御体系包括:防火墙、UTM、IPS、IDS、漏洞扫描系统、防病毒系统、终端管理系统、WAF、DB-AUDIT以及安全监控平台等,从网络结构分层方面看,产品体系已经健全,然而,在实际功能方面,不足之处也比较明显,主要表现在以下三个方面:1、这些传统的安全产品都只能抵御来自某个方面的安全威胁,形成了一个个的“安全防御孤岛”。2、缺乏对海量多维度的信息安全数据进行有效的融合关联分析,无法产生协同效应。3、不能使这些安全监测数据成为上层安全决策的有效资源。这些传统的安全防御设施大多数都通过分析网络七层中安全设备的日志对已经发生的攻击行为进行分析和监测,基本都是被动防御的思路,缺乏网络安全态势感知与联动预警的能力,当检测到网络攻击事件之后再采取相应的应急措施,往往为时已晚,因为此时网络攻击已经发生过去了,攻击已经造成了不可挽回的损失。
技术实现思路
本专利技术要解决的技术问题是提供一种工控系统漏洞趋势分析与预警方法及系统,仿真生产环境关键控制部分,通过模拟黑客攻击关注的核心:工业控制系统,诱导其向仿真的工业控制系统发出攻击,收集其攻击手段,分析漏洞,提前向用户预警生产环境内存在或将被利用的严重漏洞信息。为了解决上述技术问题,本专利技术提供了一种工控系统漏洞趋势分析与预警方法,其特征在于,包括:仿真建立若干带有工业控制系统中核心协议的探针,将探针部署在公网和工业互联网完成度较高的内网中;仿真的工业控制系统探针以交互的方式收集 ...
【技术保护点】
1.一种工控系统漏洞趋势分析与预警方法,其特征在于,包括:仿真建立若干带有工业控制系统中核心协议的探针,将探针部署在公网和工业互联网完成度较高的内网中;仿真的工业控制系统探针以交互的方式收集攻击信息;仿真的工业控制系统探针将收集的攻击信息发送到数据分析模块中,数据分析模块负责对数据分析和漏洞挖掘;数据分析模块根据数据分析和漏洞挖掘的结果生成攻击利用规则库和漏洞库;数据分析模块利用已生成的攻击利用规则库和漏洞库,分析匹配探针发送回的攻击信息,将攻击信息分析结果上报至安全设备和预警展示平台。
【技术特征摘要】
1.一种工控系统漏洞趋势分析与预警方法,其特征在于,包括:仿真建立若干带有工业控制系统中核心协议的探针,将探针部署在公网和工业互联网完成度较高的内网中;仿真的工业控制系统探针以交互的方式收集攻击信息;仿真的工业控制系统探针将收集的攻击信息发送到数据分析模块中,数据分析模块负责对数据分析和漏洞挖掘;数据分析模块根据数据分析和漏洞挖掘的结果生成攻击利用规则库和漏洞库;数据分析模块利用已生成的攻击利用规则库和漏洞库,分析匹配探针发送回的攻击信息,将攻击信息分析结果上报至安全设备和预警展示平台。2.如权利要求1所述的工控系统漏洞趋势分析与预警方法,其特征在于,将仿真的工业控制系统探针以分布式的方式部署在公网中,诱导公网中的攻击信息主动攻击探针,探针用于收集攻击信息,探针将公网中收集的攻击信息发送到数据分析模块中,数据分析模块针对公网部署探针返回的海量数据基于大数据技术,进行数据分析和漏洞挖掘,首先统计海量数据中实际对于工控生产环境造成威胁的关键字符,生成攻击利用规则库,从海量数据中挖掘出符合攻击利用规则库的行为,将该种行为定义为漏洞利用并生成漏洞库。3.如权利要求2所述的工控系统漏洞趋势分析与预警方法,其特征在于,将仿真的工业控制系统探针部署在内网中,利用数据分析模块已生成的攻击利用规则库和漏洞库,结合内网中的探针发回的数据进行分析匹配,首先基于攻击利用规则库,与攻击利用规则库快速匹配,查找出造成威胁的关键字符,之后,从关键字符中发掘符合攻击利用规则的行为,与漏洞库数据匹配,分析出具体的漏洞信息,并将结果和警告上报给安全设备和预警展示平台,起到预警和阻断双重作用。4.如权利要求1任意一项所述的工控系统漏洞趋势分析与预警方法,其特征在于,探针上设置的核心协议包括:Modbus、OPC、S7common、IEC04、EtherNet/IP、kamstrup、bacnet。5.如权利要求4所述的工控系统漏洞趋势分析与预警方法,其特征在于,探针交互过程包括:模拟上位机与工业控制...
【专利技术属性】
技术研发人员:吴志华,袁键,董超,施靖萱,杨枭,
申请(专利权)人:江苏亨通工控安全研究院有限公司,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。