本发明专利技术公开了一种工业协议规则推荐方法和装置,包括以下步骤:S1、配置工业协议规则和处理方式,根据处理方式将命中规则后产生的日志数据确定为安全事件,并将安全事件保存到数据库;S2、根据安全事件,提取安全事件的关键特征属性和特征值;S3、为安全事件的关键特征属性和特征值定义权重值,并计算安全事件的总的权重分值,依据权重分值建立危害等级模型;S4、按照安全事件的源ip进行分组,对安全事件进行合并,并安全危害等级模型进行统计分析,生成统计分析结果;S5、根据统计分析结果生成工业协议推荐规则。降低了人工成本,提高了及时性,在确定规则时效率更高。在确定规则时效率更高。在确定规则时效率更高。
【技术实现步骤摘要】
一种工业协议规则推荐方法和装置
[0001]本专利技术涉及计算机技术及工控安全领域,具体涉及一种工业协议规则推荐方法和装置。
技术介绍
[0002]随着工业信息化的迅猛发展,工业控制系统由从原始的封闭独立走向开放、由单机走向互联、由自动化走向智能化。但在工业企业获得巨大发展的环境背景下,也滋生了大量安全隐患。
[0003]为了工业网络的安全,需要在工业网络中引入工控防火墙、工业网闸等安全设备来保证工业网络中设备的安全。而这些安全设备,通常是通过配置工业协议规则,来匹配网络流量报文,实现对报文的放行或者阻断,同时记录安全事件,进而保证工业网络中工控设备的安全。一般情况下,为了不影响工业网络中的业务,应及时调整工业协议规则,在发现异常流量时,及时下发规则对其进行阻断。
[0004]在上述方式中,通过分析安全事件发现异常流量,但是哪些安全事件是有效的,是会有潜在安全问题的,需要人工来判断。如果安全事件数量庞大,则需逐条判断,确认效率低,人力成本高。同时,工业协议相对复杂,受人为因素影响,新创建的规则准确性低,有阻断正常业务的风险。
技术实现思路
[0005]针对现有技术中的上述不足,本专利技术提供的一种工业协议规则推荐方法和装置解决了以往人工调整策略所存在的实效差、准确率低、人力成本高的问题。
[0006]为了达到上述专利技术目的,本专利技术采用的技术方案为:一种工业协议规则推荐方法,包括以下步骤:
[0007]S1、配置工业协议规则和处理方式,根据处理方式将命中规则后产生的日志数据确定为安全事件,并将安全事件保存到数据库;
[0008]S2、根据安全事件,提取安全事件的关键特征属性和特征值;
[0009]S3、为安全事件的关键特征属性和特征值定义权重值,并计算安全事件的总的权重分值,依据权重分值建立危害等级模型;
[0010]S4、按照安全事件的源ip进行分组,对安全事件进行合并,并安全危害等级模型进行统计分析,生成统计分析结果;
[0011]S5、根据统计分析结果生成工业协议推荐规则。
[0012]进一步地:所述安全事件的关键特征属性包括源IP、目的IP、风险等级、事件类型、处理方式、工业协议、规则项。
[0013]进一步地:所述工业协议包括Modbus、S7、IEC104、OPCDA、OPCUA、CIP、MMS、DNP3、FINS,所述处理方式包括放行、警告、阻断和丢弃。
[0014]进一步地:所述危害等级模型为:定义权重分值大于10分的安全事件为高危害性,
定义权重分值大于5分且小于等于10分的安全事件为中危害性,定义权重分值小于等于5分的安全事件为低危害性。
[0015]进一步地:所述统计分析为按照安全事件的源IP进行分组,并结合危害等级模型,对安全事件进行合并和统计分析,最终生成统计分析结果。
[0016]进一步地:所述步骤S5具体为:对于危害性统计分析结果进行下钻分析,分别统计安全事件中的事件类型、风险等级、处理方式的占比;通过设置阈值,来生成推荐策略;所述阈值配置包括处理方式阈值、事件类型统计阈值、风险等级阈值;当统计结果大于阈值时,则生成工业协议推荐策略。
[0017]进一步地:所述工业协议推荐策略包括源IP、目的IP、协议、规则项、动作,所述规则项是依据工业协议规范中定义的特征。
[0018]进一步地:按照特征的操作类型,对工业协议的特征进行分类,可以分为读操作、写操作、关键操作;定义读操作的特征集合为读操作模板、定义写操作的特征集合为写操作模板,定义关键操作的特征的集合为关键操作模板。
[0019]一种工业协议规则推荐装置,包括:
[0020]事件获取模块,用于获取网络流量中有报文命中工业协议规则产生的安全事件的数据;
[0021]模型定义模块,用于提取安全事件的特征属性,定义特征属性的值的权重,生成危害等级模型;
[0022]统计分析模块,用于根据定义好的特征属性和特征值,计算安全事件权重得分,根据得分进行统计分析;
[0023]策略推荐模块,用于根据统计分析结果,生成工业协议推荐策略。
[0024]本专利技术的有益效果为:本专利技术提供一种工业协议规则推荐方法和装置,当监测到工业网络中的安全事件时,能快速分析并从中提取出有效事件,自动生成新的推荐策略,在使用安全设备保护工业网络时,降低了人工成本,提高了及时性,在确定规则时效率更高。
附图说明
[0025]图1是根据本专利技术实施例的数据处理方法流程图;
[0026]图2是根据本专利技术实施例的数据转换装置结构示意图。
具体实施方式
[0027]下面对本专利技术的具体实施方式进行描述,以便于本
的技术人员理解本专利技术,但应该清楚,本专利技术不限于具体实施方式的范围,对本
的普通技术人员来讲,只要各种变化在所附的权利要求限定和确定的本专利技术的精神和范围内,这些变化是显而易见的,一切利用本专利技术构思的专利技术创造均在保护之列。
[0028]本专利技术实施例中描述的工业协议规则指的是定义一种格式来描述工业协议报文的特点,所述格式包括源IP、目的IP、源端口、目的端口、报文的深度、偏移量、值、动作等信息。所述工业协议规则用于匹配工业网络中是否有相应的报文,并执行相应的动作。所述工业协议规则还包括所述工业协议包括但不限于Modbus、S7、IEC104、OPCDA、OPCUA、CIP、MMS、DNP3、FINS等。所述动作,包括放行、警告、阻断和丢弃。
[0029]在实际应用中,依据工业网络特点,配置工业协议规则,来保护工业设备的安全,当网络流量报文匹配到工业协议的规则时,会执行预先定义的动作,并上报对应的安全事件。所述安全事件包括了动作、源IP、目的IP、特征、事件类型、风险等级等关键属性。对于工业协议的未知操作,一般定义为告警操作,保证业务通信顺畅。
[0030]本实施例提供了一种工业协议规则推荐方法,如图1所示,为本实施例提供的一个示意图,具体步骤为:
[0031]步骤101,配置工控协议规则和处理方式,根据处理方式将命中规则后产生的日志数据确定为安全事件,并将安全事件保存到数据库。
[0032]在本专利技术实施例中,在工业网络中,为了保护工业设备,需要在安全设备上配置工业协议规则以及处理方式,用以根据定义的规则,检查网络中是否存在相应的流量,如果存在则用预定义的处理方式进行处理。例如,在工业网络中,使用工业防火墙保护工控设备的边界,在工业防火墙上配置工业协议规则,如果网络流量中存在和工业协议规则匹配的报文,则执行相应的处理方式,并产生的日志数据,并把这类数据确定为安全事件,同时将安全事件保存到数据库当中。在工业网络中,通常为了保证工业设备的业务通信正常,不会过多的配置阻断规则。
[0033]步骤102,根据所述安全事件,提取安全事件的关键特征属性和特征值;
[0034]在本专利技术实施例中,首先对安全事件的数据进行关键特征属性提取,需要说明的是,在本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种工业协议规则推荐方法,其特征在于,包括以下步骤:S1、配置工业协议规则和处理方式,根据处理方式将命中规则后产生的日志数据确定为安全事件,并将安全事件保存到数据库;S2、根据安全事件,提取安全事件的关键特征属性和特征值;S3、为安全事件的关键特征属性和特征值定义权重值,并计算安全事件的总的权重分值,依据权重分值建立危害等级模型;S4、按照安全事件的源ip进行分组,对安全事件进行合并,并安全危害等级模型进行统计分析,生成统计分析结果;S5、根据统计分析结果生成工业协议推荐规则。2.根据权利要求1所述的工业协议规则推荐方法,其特征在于,所述安全事件的关键特征属性包括源IP、目的IP、风险等级、事件类型、处理方式、工业协议、规则项。3.根据权利要求1所述的工业协议规则推荐方法,其特征在于,所述工业协议包括Modbus、S7、IEC104、OPCDA、OPCUA、CIP、MMS、DNP3、FINS,所述处理方式包括放行、警告、阻断和丢弃。4.根据权利要求1所述的工业协议规则推荐方法,其特征在于,所述危害等级模型为:定义权重分值大于10分的安全事件为高危害性,定义权重分值大于5分且小于等于10分的安全事件为中危害性,定义权重分值小于等于5分的安全事件为低危害性。5.根据权利要求1所述的工业协议规则推荐方法,其特征在于,所述统计分析为按照安全事件的源IP进行分组,并结合危害等级模型,对安全...
【专利技术属性】
技术研发人员:李欣,李元正,焦威,王思同,
申请(专利权)人:成都国泰网信科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。