【技术实现步骤摘要】
本申请涉及网络安全,尤其涉及一种llm驱动的自适应工业网络安全防护方法及防火墙装置。
技术介绍
1、在工业生产环境中,工业网络主要用于连接各种工业设备和系统,实现数据信息的传输、处理和控制。工业网络控制着关键的工业生产过程,所以网络安全问题至关重要。
2、相关技术中,大多采用网络防火墙来对工业网络进行保护。传统的防火墙一般 通过预先定义的规则来允许或阻止网络流量。
3、然而随着网络技术的不断进步和工业自动化的快速发展,网络安全威胁变得越来越复杂多变,传统的防火墙缺乏有效及时的应对能力,其防护效果比较有限,已经无法满足工业网络安全需求。因此,如何提升工业网络安全是目前亟需解决的问题。
技术实现思路
1、针对上述技术问题和缺陷,本专利技术的目的是提供一种llm驱动的自适应工业网络安全防护方法及防火墙装置,可以将大型语言模型(llm)引入网络安全领域,为防火墙提供强大的学习和理解能力,使其能够更准确地识别威胁,并且能够根据识别出的威胁针对性的调整防御规则,大大提高了防御效果,保护了工业网络安全。
2、为了实现上述目的, 第一方面,本专利技术提供一种llm驱动的自适应工业网络安全防护方法,应用于防火墙装置,该方法包括:获取工业网络的实时流量信息;将该实时流量信息输入至基于llm的网络威胁识别模型,以确定该实时流量信息是否包含网络威胁信息;若是,则通过该网络威胁识别模型确定该网络威胁信息的威胁类型,该威胁类型包括网络行为类型和/或异常流量模式;根据该威胁类
3、基于上述实施例的方案,采用了llm(large language model,大型语言模型)作为核心技术,能够有效识别和分类各种网络威胁,包括网络行为类型和异常流量模式。本实施例通过实时获取工业网络的实时流量信息,并将其输入至基于llm的网络威胁识别模型,能够迅速判断该实时流量信息是否包含网络威胁信息,从而实现对网络威胁的快速响应。本实施例方法还具有自适应性,能够根据工业网络的环境变化信息,如设备变化、网络协议变换、网络威胁变化和网络拓扑结构变化,动态更新网络威胁识别模型。这确保了防护措施与当前网络环境相匹配,提高了系统的安全防护能力。此外,本实施例实现了自动化的规则调整。当识别到网络威胁时,系统通过网络威胁识别模型确定威胁类型,并根据威胁类型调整当前的防御规则,得到调整后的防御规则。这样能够根据不同的威胁类型采取相应的防御措施,实现更加精细化的安全防护。
4、在一些实施例中,在根据该网络环境变化信息更新该网络威胁识别模型的步骤之后,还包括:获取日志记录,该日志记录包括该网络威胁信息的集合和防御规则调整记录;根据该日志记录生成网络安全报告。
5、采用上述实施例,通过获取日志记录,实现了网络安全状况的全面监控。这些日志记录不仅包含了网络威胁信息的集合,还详细记录了防御规则的调整情况。基于这些日志记录,防火墙装置能够生成详尽的网络安全报告。该报告不仅反映了网络面临的各种威胁及其处理情况,还展示了防御规则调整的效果,为网络安全团队提供了有力的决策支持。通过这种方式,本方案有效提升了网络安全防护的智能化和自适应性。
6、在一些实施例中,在获取工业网络的实时流量信息的步骤之前,还包括:在与外部的网络威胁情报平台建立通信连接后,从该网络威胁情报平台获取新的网络威胁信息;基于该新的网络威胁信息,对该网络威胁识别模型和防御规则进行更新。
7、采用上述实施例,通过与外部的网络威胁情报平台建立通信连接,实现了实时获取最新的网络威胁信息。这些新的网络威胁信息包括新出现的恶意软件、漏洞、攻击手法等,对于及时防范和应对网络安全威胁至关重要。在获取到新的网络威胁信息后,本方案会基于这些信息对现有的网络威胁识别模型和防御规则进行更新。这样,防火墙装置就能够识别并防御这些新出现的威胁,提高工业网络自适应的安全防护能力。这种与外部网络威胁情报平台的实时通信和更新机制,使得本方案的网络安全防护更加全面、及时和有效。
8、在一些实施例中,在根据该网络环境变化信息更新该网络威胁识别模型的步骤之后,还包括:当发生网络安全事件后,将该网络安全事件的事件信息上传至区块链上;响应于目标用户端的查询指令,从该区块链上获取该事件信息;将该事件信息发送至该目标用户端。
9、采用上述实施例,通过采用区块链技术,实现了网络安全事件信息的透明、可信和不可篡改记录。当发生网络安全事件时,事件信息会被立即上传至区块链上,确保信息的真实性和不可更改性。目标用户端在需要了解事件详情时,可以发出查询指令。防火墙装置会响应这一指令,从区块链上获取相关的事件信息。这些信息经过验证后,会被发送至目标用户端,确保用户能够获取到准确、全面的网络安全事件详情。这种基于区块链的信息共享机制,不仅增强了网络安全事件的透明度,还提高了信息的安全性和可信度,为网络安全事件的快速响应和处置提供了有力支持。
10、在一些实施例中,在根据该网络环境变化信息更新该网络威胁识别模型的步骤之后,还包括:配置该工业网络的测试环境,该测试环境与该工业网络的生产环境相隔离;按照预设的测试场景和测试参数,对该测试环境发起模拟攻击测试;记录该模拟攻击测试的持续期间产生的测试结果,该测试结果包括防火墙日志、警报信息和防火墙性能数据中的至少一种;基于该测试结果生成测试报告,该测试报告用于该网络威胁识别模型和防御规则的更新。
11、采用上述实施例,通过精心配置工业网络的测试环境,确保其与生产环境完全隔离,从而不会对实际生产造成任何影响。在隔离的测试环境中,方案按照预设的测试场景和参数发起模拟攻击测试,全面评估网络的安全防护能力。测试期间,方案实时记录防火墙日志、警报信息和性能数据等关键测试结果,确保数据的完整性和准确性。测试结束后,方案基于这些测试结果生成详细的测试报告,为网络威胁识别模型和防御规则的更新提供有力依据。这一流程不仅提高了工业网络的安全防护水平,还增强了网络安全团队的应急响应能力。
12、在一些实施例中,在配置该工业网络的测试环境的步骤之前,还包括:基于历史威胁数据、最新的威胁情报以及潜在的攻击模式,确定要模拟攻击的测试场景,该测试场景包括端口扫描、恶意软件传播和漏洞利用中的至少一种;响应于参数设定指令,确定测试参数,该测试参数包括测试持续时间、攻击强度和攻击频率中的至少一种。
13、采用上述实施例,利用历史威胁数据、最新的威胁情报和潜在的攻击模式,综合分析了工业网络可能面临的威胁,从而精准确定了模拟攻击的测试场景。这个场景全面覆盖了端口扫描、恶意软件传播和漏洞利用等多种攻击方式,确保测试能够真实反映网络的实际安全状况。同时,方案还通过响应参数设定指令,本文档来自技高网...
【技术保护点】
1.一种LLM驱动的自适应工业网络安全防护方法,其特征在于,应用于防火墙装置,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,在所述根据所述网络环境变化信息更新所述网络威胁识别模型的步骤之后,还包括:
3.根据权利要求1所述的方法,其特征在于,在所述获取工业网络的实时流量信息的步骤之前,还包括:
4.根据权利要求1所述的方法,其特征在于,在所述根据所述网络环境变化信息更新所述网络威胁识别模型的步骤之后,还包括:
5.根据权利要求1-4任一项所述的方法,其特征在于,在所述根据所述网络环境变化信息更新所述网络威胁识别模型的步骤之后,还包括:
6.根据权利要求5所述的方法,其特征在于,在所述配置所述工业网络的测试环境的步骤之前,还包括:
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
8.一种防火墙装置,其特征在于,包括:一个或多个处理器和存储器;
9.一种计算机可读存储介质,存储有计算机指令,其特征在于,当所述计算机指令在防火墙装置上运行时,使得所述防火墙装置执行如权
10.一种计算机程序产品,其特征在于,当所述计算机程序产品在防火墙装置上运行时,使得所述防火墙装置执行如权利要求1-7中任一项所述的方法。
...【技术特征摘要】
1.一种llm驱动的自适应工业网络安全防护方法,其特征在于,应用于防火墙装置,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,在所述根据所述网络环境变化信息更新所述网络威胁识别模型的步骤之后,还包括:
3.根据权利要求1所述的方法,其特征在于,在所述获取工业网络的实时流量信息的步骤之前,还包括:
4.根据权利要求1所述的方法,其特征在于,在所述根据所述网络环境变化信息更新所述网络威胁识别模型的步骤之后,还包括:
5.根据权利要求1-4任一项所述的方法,其特征在于,在所述根据所述网络环境变化信息更新所述网络威胁识别模型的步骤之后...
【专利技术属性】
技术研发人员:李季,乐翔,楚兵,刘盈,
申请(专利权)人:宁波和利时信息安全研究院有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。