面向工业生产互联网安全的数据监控方法及装置制造方法及图纸

本申请公开了一种面向工业生产互联网安全的数据监控方法及装置，方法包括：从工业生产系统的日志数据提取关键日志信息，并依据关键日志信息构建起源图；利用图自编码器从起源图中提取潜在异常的可疑事件链；计算所有潜在异常的可疑事件链的异常得分并进行优先级排序；依据优先级排序确定真实的网络攻击。本申请通过关键日志信息和潜在异常的可疑事件链的提取在维护数据语义的条件下实现了日志数据的过滤，有效缓解了当前数据监控方法中运行开销大、存储成本高的问题。存储成本高的问题。存储成本高的问题。

【技术实现步骤摘要】
面向工业生产互联网安全的数据监控方法及装置


[0001]本申请涉及计算机安全
，更具体地，涉及一种面向工业生产互联网安全的数据监控方法及装置。

技术介绍

[0002]目前，工业生产平台和联网设备成为网络攻击主要目标。工业生产互联网安全包含设备、控制、网络、平台、数据安全等方面，安全防护流程复杂，防护难度大。国内工业生产平台和联网设备频繁遭受扫描探测和恶意程序监测，重要敏感数据时有泄露。工业生产平台面临的安全风险突出，弱口令、权限绕过、远程命令执行、信息泄露、模块安全等安全漏洞较为普遍，且大部分都是中高危漏洞。
[0003]当前数据驱动的时代背景下，工业生产相关的日志数据作为反映系统运行情况的第一手资料，在工业生产中安全监控、威胁感知、入侵检测等起到关键作用，具有极大的分析价值。通过对相关信息的监控、收集、分析和管理，可以直观审视工业生产的安全状况，从而对系统中潜在的安全风险进行监测，并能对未来短期内安全状况做出合理准确的预测。
[0004]然而，随着各类物联网设备投入使用和大规模集群的兴起，面对如此庞大的海量监测数据，传统的日志处理方式并不能对其进行有效分析。根据调研显示，当前基于数据驱动的工业生产网络安全监测系统存在如下问题：
[0005]第一，当前工业生产日志数据监测系统存在运行开销大、存储成本高的问题。安全相关人员借助原生的系统审计日志收集工具去了解系统活动，如Windows的事件跟踪日志系统ETW、linux的内核审计模块Audit，它们记录系统中的各种动作和事件，方便管理员根据系统审计日志开展多项安全分析任务。然而，ETW和Audit的运行开销，存储成本极其昂贵。在实际的生产活动中，一台服务器机器每天可以生成大约130GB的数据，而一台客户机机器每天可以生成大约5GB的数据，这些方法部署昂贵的原因在于这些日志采集工具处理、传输、存储了巨大的原始日志。其中，包括大量良性活动，这些良性活动充当了与安全检测无关的噪音和背景活动，一方面浪费了大量不必要的时间成本和宝贵的计算资源，导致网络攻击分析效率低下，另一方面干扰了对少量关键可疑活动的分析，导致分析结果不准确。
[0006]第二，当前工业生产日志数据监测系统无法合理、准确计算可疑事件的异常问题。PrioTracker通过事件发生频率和拓扑特征来判断事件是否异常，然而，它只考虑单个事件的异常，导致大量误报；Nodoze考虑整个事件链的异常，利用概率转移矩阵在整个可疑依赖路径上进行异常值传播和聚合，然而事件异常值计算的特征过少，同样导致误报频发。总而言之，现有方法使得调查人员往往深陷于警报疲劳的问题，导致攻击响应速度迟缓。然而，网络攻击调查是一项时间关键的任务，迟缓的攻击响应速度一方面意味着更长的受损系统恢复时间，这容易造成财务损失的剧增。另一方面阻碍了攻击意图的理解和攻击痕迹的跟踪，这可能进一步造成工业核心基础生产设施的损害。

技术实现思路

[0007]本申请提供一种面向工业生产互联网安全的数据监控方法及装置，通过关键日志信息和潜在异常的可疑事件链的提取在维护数据语义的条件下实现了日志数据的过滤，有效缓解了当前数据监控方法中运行开销大、存储成本高的问题。
[0008]本申请提供了一种面向工业生产互联网安全的数据监控方法，包括：
[0009]从工业生产系统的日志数据提取关键日志信息，并依据关键日志信息构建起源图；
[0010]利用图自编码器从起源图中提取潜在异常的可疑事件链；
[0011]计算所有潜在异常的可疑事件链的异常得分并进行优先级排序；
[0012]依据优先级排序确定真实的网络攻击。
[0013]优选地，利用图自编码器从起源图中提取潜在异常的可疑事件链，具体包括：
[0014]将起源图输入图自编码器，获得重构图；
[0015]计算重构图中每个第一节点的重构误差；
[0016]筛选出重构误差大于阈值的第二节点，利用所有第二节点的重构误差构建残差图，残差图中包含多个潜在异常的可疑事件链。
[0017]优选地，计算所有潜在异常的可疑事件链的异常得分，具体包括：
[0018]提取潜在异常的可疑事件链中的多个异常值特征；
[0019]依据所有异常值特征以及衰减因子计算潜在异常的可疑事件链的异常得分，其中，衰减因子依据潜在异常的可疑事件链的路径长度的变化而变化。
[0020]优选地，残差图是一个权重图，残差图中每个第二节点的权重是该第二节点的重构误差。
[0021]优选地，起源图是利用关键日志信息构建的带时间戳的有向无环图，用于表示实体之间的依赖关系和因果关系。
[0022]本申请还提供一种面向工业生产互联网安全的数据监控装置，包括起源图构建模块、第一提取模块、排序模块以及网络攻击确定模块；
[0023]起源图构建模块用于从工业生产系统的日志数据提取关键日志信息，并依据关键日志信息构建起源图；
[0024]第一提取模块用于利用图自编码器从起源图中提取潜在异常的可疑事件链；
[0025]排序模块用于计算所有潜在异常的可疑事件链的异常得分并进行优先级排序；
[0026]网络攻击确定模块用于依据优先级排序确定真实的网络攻击。
[0027]优选地，第一提取模块包括重构图构建模块、误差计算模块以及残差图构建模块；
[0028]重构图构建模块用于将起源图输入图自编码器，获得重构图；
[0029]误差计算模块用于计算重构图中每个第一节点的重构误差；
[0030]残差图构建模块用于筛选出重构误差大于阈值的第二节点，利用所有第二节点的重构误差构建残差图，所述残差图中包含多个潜在异常的可疑事件链。
[0031]优选地，排序模块包括第二提取模块和得分计算模块；
[0032]第二提取模块用于提取潜在异常的可疑事件链中的多个异常值特征；
[0033]得分计算模块用于依据所有异常值特征以及衰减因子计算潜在异常的可疑事件链的异常得分，其中，衰减因子依据潜在异常的可疑事件链的路径长度的变化而变化。
[0034]优选地，残差图是一个权重图，残差图中每个第二节点的权重是该第二节点的重构误差。
[0035]优选地，起源图是利用关键日志信息构建的带时间戳的有向无环图，用于表示实体之间的依赖关系和因果关系。
[0036]通过以下参照附图对本申请的示例性实施例的详细描述，本申请的其它特征及其优点将会变得清楚。
附图说明
[0037]被结合在说明书中并构成说明书的一部分的附图示出了本申请的实施例，并且连同其说明一起用于解释本申请的原理。
[0038]图1为本申请提供的面向工业生产互联网安全的数据监控方法的流程图；
[0039]图2为本申请提供的提取潜在异常的可疑事件链的流程图；
[0040]图3为本申请提供的图自编码器模型框架的示意图；
[0041]图4为本申请提供的面向工业生产互联网安全的数据监控装置的结构图。...

【技术保护点】

【技术特征摘要】
1.一种面向工业生产互联网安全的数据监控方法，其特征在于，包括：从工业生产系统的日志数据提取关键日志信息，并依据所述关键日志信息构建起源图；利用图自编码器从所述起源图中提取潜在异常的可疑事件链；计算所有潜在异常的可疑事件链的异常得分并进行优先级排序；依据所述优先级排序确定真实的网络攻击。2.根据权利要求1所述的面向工业生产互联网安全的数据监控方法，其特征在于，所述利用图自编码器从所述起源图中提取潜在异常的可疑事件链，具体包括：将所述起源图输入所述图自编码器，获得重构图；计算所述重构图中每个第一节点的重构误差；筛选出重构误差大于阈值的第二节点，利用所有第二节点的重构误差构建残差图，所述残差图中包含多个潜在异常的可疑事件链。3.根据权利要求1所述的面向工业生产互联网安全的数据监控方法，其特征在于，计算所有潜在异常的可疑事件链的异常得分，具体包括：提取潜在异常的可疑事件链中的多个异常值特征；依据所有异常值特征以及衰减因子计算所述潜在异常的可疑事件链的异常得分，其中，所述衰减因子依据所述潜在异常的可疑事件链的路径长度的变化而变化。4.根据权利要求2所述的面向工业生产互联网安全的数据监控方法，其特征在于，所述残差图是一个权重图，所述残差图中每个第二节点的权重是所述第二节点的重构误差。5.根据权利要求1所述的面向工业生产互联网安全的数据监控方法，其特征在于，所述起源图是利用所述关键日志信息构建的带时间戳的有向无环图，用于表示实体之间的依赖关系和因果关系。6.一种面向工业生产互联网安全的数据监控装置，其特征在于，包括起源图构建模块、第一提取模块、排序模块以及网络攻击确定模块；所述起源图构...

【专利技术属性】
技术研发人员：金泳，楼卫东，高扬华，
申请(专利权)人：浙江中烟工业有限责任公司，
类型：发明
国别省市：