一种工业控制网络安全过滤方法,包括以下步骤:步骤1、构建网络安全知识库;步骤2、获取工业网络安全设备中的安全报警日志,并进行分类;步骤3:将分类后的安全报警日志转变为统一数据格式下进行存储;步骤4:滤除重复、无效的安全报警日志;步骤5:对步骤4中得到的安全报警日志与步骤1中的网络安全知识库进行对比,并将对比后的结果按照重要性进行排序,并合并成一个文件,依次按照重要性顺序发送至目标运维人员,能够统一的管理告警信息,并且进行过滤告警信息,尽快找准重要信息,降低了工作人员的压力,方便了运维人员的实际工作,节省了人力物力,统一不同安全日志信息,方便整理管理,效率高且效果好。
【技术实现步骤摘要】
一种工业控制网络安全过滤系统及方法
本专利技术涉及工业控制系统网络安全
,更具体的说是涉及一种工业控制网络安全过滤方法和系统。
技术介绍
在工业化和信息化“两化融合”的背景下,现代工业企业迫切需要实现由离散控制系统(DCS)和监视控制系统(SCADA)组成的企业生产过程控制的最底层,与上层管理信息系统(ERP、OA等等)之间互联、互通,实现决策层、经营管控层与操作执行层之间的双向信息流交互,使企业对生产现场保持及时的双向信息反馈,消除信息孤岛与断层现象,进一步发挥信息系统的集成效益。在这样的背景下,各种不安全因素会随着正常的信息流进入工业控制网络,导致企业生产的不稳定,特别是一些关系到国计民生的重大型企业,面临着日益严重的安全威胁。目前的设备和资产大多都基于网络部署,共同接入工业企业内部的统一网络,统一分配ip地址管理,但是由于不同部门不同层次的实际网络需求,设备较多,网络结构复杂,使用的是不同厂家不同批次的网络安全产品。过去企业实际采用的网络安全设备来源多样,时间跨度长,其日志告警信息大多只能登陆到各自设备进行查看,随着设备信息化不断提升,各安全设备厂商的安全报警日志也逐渐实现了信息化管理,能够在特定的网页上浏览并分析处置告警,但是也因此存在碎片化管理问题,因此需要一套适合企业实际情况的统一平台来集中管理。同时产生的告警信息大多类型庞杂,信息量较大,不利于信息运维人员进行查看管理,快速排查出真正的隐患问题,需要设计一套分类管理安全报警日志信息并进行过滤处理的信息系统。。
技术实现思路
r>(一)解决的技术问题本专利技术公开了一种工业控制网络安全过滤方法和系统,快速便捷的提升信息的安全。(二)技术方案为实现上述目的,本专利技术提供如下技术方案:一种工业控制网络安全过滤方法,其特征在于,包括以下步骤:步骤1、构建网络安全知识库;步骤2、获取工业网络安全设备中的安全报警日志,并进行分类;步骤3:将分类后的安全报警日志转变为统一数据格式下进行存储;步骤4:滤除重复、无效的安全报警日志;步骤5:对步骤4中得到的安全报警日志与步骤1中的网络安全知识库进行对比,并将对比后的结果按照重要性进行排序,并合并成一个文件,依次按照重要性顺序发送至目标运维人员。本专利技术改进有,所述步骤1中的构建网络安全知识库具体包括:步骤1-1、将现有的数据进行关系连接,并构建出初步网络安全知识库;步骤1-2、根据数据关系推理模型对初步网络安全知识库进行关系推理,获得缺失关系;步骤1-3、根据缺失关系进行资料收集,并不断的完善网络安全知识库。本专利技术改进有,所述步骤1-1中,现有的数据为安全的网络知识,获得正确关系数据,所述步骤1-2中,数据关系为非安全的网络知识推断出的关系,获得错误关系数据,并根据错误关系数据进行关系推理。本专利技术改进有,所述步骤1中采用网络爬虫工具进行安全报警日志。本专利技术改进有,所述安全报警日志包括编号、网络类型、时间、ip、端口、状态码、漏洞名称、用户名、负责人和初步分析结果;所述攻击安全报警日志包括攻击类型、预警编号、攻击时间、源ip、目的ip、源端口、目的端口、源ip负责人、目的ip负责人、攻击次数和处置建议。本专利技术改进有,所述步骤4中无效的安全报警日志包括利用源IP、源端口、目的IP和目的端口滤除工业系统外部非常规访问。本专利技术进一步提供一种工业控制网络安全过滤系统,包括:网络安全知识库,连接正确的网络安全关系;安全报警采集模块,采集工业网络安全设备中的安全报警日志;筛选模块,连接安全报警采集模块,并筛选重复、无效的安全报警日志;过滤模块,连接筛选模块及网络安全知识库,并将筛选模块筛选后的安全报警日志与网络安全知识库进行对比,过滤,并形成预警文件。(三)有益效果与现有技术相比,本专利技术提供了一种工业控制网络安全过滤方法和系统,具备以下有益效果:能够统一的管理告警信息,并且进行过滤告警信息,尽快找准重要信息,降低了工作人员的压力,方便了运维人员的实际工作,节省了人力物力,统一不同安全日志信息,方便整理管理,效率高且效果好。附图说明图1为本专利技术图的流程示意图;图2为本专利技术图的构建网络安全知识库的流程示意图;具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。请参阅图1及图2,本专利技术提供一种工业控制网络安全过滤系统,包括:网络安全知识库,连接正确的网络安全关系;安全报警采集模块,采集工业网络安全设备中的安全报警日志;筛选模块,连接安全报警采集模块,并筛选重复、无效的安全报警日志;过滤模块,连接筛选模块及网络安全知识库,并将筛选模块筛选后的安全报警日志与网络安全知识库进行对比,过滤,并形成预警文件。上述系统的具体过程,参照本专利技术进一步提供的一种工业控制网络安全过滤方法,包括以下步骤:步骤1、构建网络安全知识库;步骤2、获取工业网络安全设备中的安全报警日志,并进行分类。步骤3:将分类后的安全报警日志转变为统一数据格式下进行存储;步骤4:滤除重复、无效的安全报警日志;步骤5:对步骤4中得到的安全报警日志与步骤1中的网络安全知识库进行对比,并将对比后的结果按照重要性进行排序,并合并成一个文件,依次按照重要性顺序发送至目标运维人员。对各类网络安全设备的日志进行统一管控需要提取各类设备安全报警日志的共同信息,将采集来的数据放置在统一的数据格式下进行存储,其次需要制定相应的技术规则来滤除重复、无效的日志信息,最后通过网络安全知识库过滤,获得告警信息,可以在前述操作的基础上依据告警重复次数、告警类型重要性和告警所涉设备资产重要性按照重要性进行排序,并按设备或IP对告警进行合并,依次按照重要性顺序发送至目标运维人员,以方便运维人员管控。本专利技术改进有,所述步骤1中的构建网络安全知识库具体包括:步骤1-1、将现有的数据进行关系连接,并构建出初步网络安全知识库;步骤1-2、根据数据关系推理模型对初步网络安全知识库进行关系推理,获得缺失关系;步骤1-3、根据缺失关系进行资料收集,并不断的完善网络安全知识库。本专利技术改进有,所述步骤1-1中,现有的数据为安全的网络知识,获得正确关系数据,所述步骤1-2中,数据关系为非安全的网络知识推断出的关系,获得错误关系数据,并根据错误关系数据进行关系推理。本专利技术改进有,所述步骤1中采用网络爬虫工具进行安全报警日志。安全事件数据包括各类安全事件数据如钓鱼事件数据、远控木马数据、恶意软件数据、漏洞利用数据、网站后门数据、DDOS攻击数据、流数本文档来自技高网...
【技术保护点】
1.一种工业控制网络安全过滤方法,其特征在于,包括以下步骤:/n步骤1、构建网络安全知识库;/n步骤2、获取工业网络安全设备中的安全报警日志,并进行分类;/n步骤3:将分类后的安全报警日志转变为统一数据格式下进行存储;/n步骤4:滤除重复、无效的安全报警日志;/n步骤5:对步骤4中得到的安全报警日志与步骤1中的网络安全知识库进行对比,并将对比后的结果按照重要性进行排序,并合并成一个文件,依次按照重要性顺序发送至目标运维人员。/n
【技术特征摘要】
1.一种工业控制网络安全过滤方法,其特征在于,包括以下步骤:
步骤1、构建网络安全知识库;
步骤2、获取工业网络安全设备中的安全报警日志,并进行分类;
步骤3:将分类后的安全报警日志转变为统一数据格式下进行存储;
步骤4:滤除重复、无效的安全报警日志;
步骤5:对步骤4中得到的安全报警日志与步骤1中的网络安全知识库进行对比,并将对比后的结果按照重要性进行排序,并合并成一个文件,依次按照重要性顺序发送至目标运维人员。
2.根据权利要求1所述的一种工业控制网络安全过滤方法,其特征在于,所述步骤1中的构建网络安全知识库具体包括:
步骤1-1、将现有的数据进行关系连接,并构建出初步网络安全知识库;
步骤1-2、根据数据关系推理模型对初步网络安全知识库进行关系推理,获得缺失关系;
步骤1-3、根据缺失关系进行资料收集,并不断的完善网络安全知识库。
3.根据权利要求2所述的一种工业控制网络安全过滤方法,其特征在于,所述步骤1-1中,现有的数据为安全的网络知识,获得正确关系数据,所述步骤1-2中,数据关系为非安全的网络知识推断出的关系,获得错误关系数据,并根据错误关系数...
【专利技术属性】
技术研发人员:贾晓东,任国强,施展,黄彬彬,毛腾飞,
申请(专利权)人:江苏天创科技有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。