【技术实现步骤摘要】
本专利技术涉及网络数据审计,尤其涉及一种基于工业互联网的工控审计方法及装置。
技术介绍
1、随着工业互联网与信息网络的融合进程加速进行。传统的网络通信技术在工业控制网络中得到了广泛应用。工业互联网正朝着面向人机物全面互联的方向发展,从原本面向人人交互的互联模式逐渐转变。这一转变不仅拓展了现有网络空间的功能和边界,也颠覆了传统工控系统的封闭格局。在工业互联网的控制层、设备层、网络层等各个层级之间,安全问题愈加突显,而且安全风险不断叠加,形成了复杂的安全形势。
2、具体而言,随着黑客大会、白帽社区以及开源社区的兴起,攻击工控系统的方法变得越来越容易获取。大量工控系统软件和硬件设备存在的安全漏洞及利用方法可以通过公开或半公开的渠道获取,这极大地增加了工控网络受到攻击的风险。这种趋势使得工控系统的安全面临前所未有的挑战,目前的人工审计方式难以满足当前的应用需求,需要更加全面和高效的网络安全审计策略来应对。
技术实现思路
1、本专利技术提供一种基于工业互联网的工控审计方法及装置,用以解决现有技术中工控系统安全审计的准确性和效率不足的缺陷。
2、本专利技术提供一种基于工业互联网的工控审计方法,包括:
3、获取待审计时间段内的工控协议数据和网络行为数据;
4、基于所述工控协议数据与协议数据库中各类工控协议的协议规则模板之间的相似度,确定所述工控协议数据对应的协议规则模板,基于所述工控协议数据对应的协议规则模板解析所述工控协议数据的控制信息,并基于所
5、基于所述网络行为数据中各单位时间的网络流量的统计特征,和/或基于所述网络行为数据中当前运行程序信息与历史运行程序信息之间的差异,确定第二审计结果;
6、基于所述第一审计结果和所述第二审计结果对网络安全事件进行等级评估,得到所述待审计时间段的网络安全评估结果。
7、根据本专利技术提供的一种基于工业互联网的工控审计方法,所述基于所述工控协议数据的控制信息、完整报文数据以及数据区报文数据确定第一审计结果,包括:
8、基于被标注为正常的样本工控协议数据的样本控制信息以及所述工控协议数据的控制信息,确定所述工控协议数据的控制异常分析结果;
9、基于已训练的全局异常分析模型对所述工控协议数据的完整报文数据进行异常分析,得到所述工控协议数据的完整报文异常分析结果;其中,所述全局异常分析模型是基于样本工控协议数据的样本完整报文数据以及所述样本工控协议数据的标签训练得到的;
10、基于已训练的局部异常分析模型对所述工控协议数据的数据区报文数据进行异常分析,得到所述工控协议数据的数据区报文异常分析结果;其中,所述局部异常分析模型是基于样本工控协议数据的样本数据区报文数据以及所述样本工控协议数据的标签训练得到的;
11、基于所述工控协议数据的控制异常分析结果、完整报文异常分析结果和数据区报文异常分析结果,确定所述第一审计结果。
12、根据本专利技术提供的一种基于工业互联网的工控审计方法,所述工控协议数据与协议数据库中任一类工控协议的协议规则模板之间的相似度是基于如下步骤确定的:
13、确定所述工控协议数据与所述任一类工控协议的协议规则模板之间的所有公共子序列以及最长公共子序列;
14、基于所述工控协议数据与所述任一类工控协议的协议规则模板之间的最长公共子序列的序列长度,以及所述工控协议数据与所述任一类工控协议的协议规则模板的序列长度,确定差异因素;
15、基于所述工控协议数据与所述任一类工控协议的协议规则模板之间的所有公共子序列的序列长度总和、所述工控协议数据与所述任一类工控协议的协议规则模板的序列长度,以及所述差异因素,确定序列一致性因素;
16、计算所述工控协议数据与所述任一类工控协议的协议规则模板之间的编辑距离,并基于所述工控协议数据与所述任一类工控协议的协议规则模板之间的最长公共子序列的序列长度以及所述工控协议数据与所述任一类工控协议的协议规则模板之间的编辑距离,确定序列相似性因素;
17、基于所述序列一致性因素和所述序列相似性因素,确定所述工控协议数据与所述任一类工控协议的协议规则模板之间的相似度。
18、根据本专利技术提供的一种基于工业互联网的工控审计方法,所述协议数据库中各类工控协议的协议规则模板是基于如下步骤构建的:
19、特征提取步骤:提取协议数据库中各样本工控协议数据的文本特征;其中,任一样本工控协议数据的文本特征是基于所述任一样本工控协议数据中各语段的词频和逆文档频率确定的;
20、聚类步骤:基于当前类簇数量设定值,结合各样本工控协议数据的文本特征对各样本工控协议数据进行聚类,得到多个当前类簇,并获取各个类簇的聚类中心;
21、迭代步骤:对所述多个当前类簇进行聚类评价,得到当前聚类评价值;若所述当前聚类评价值大于当前最佳评价值,则基于所述当前聚类评价值更新所述当前最佳评价值,并基于所述多个当前类簇及其聚类中心,更新当前最佳聚类类簇以及各个当前最佳聚类类簇的聚类中心;增加所述当前类簇数量设定值,并重复所述聚类步骤,直至所述当前类簇数量设定值达到预设数值;
22、模板确定步骤:基于各个当前最佳聚类类簇的聚类中心,确定各类工控协议的协议规则模板。
23、根据本专利技术提供的一种基于工业互联网的工控审计方法,所述基于所述网络行为数据中各单位时间的网络流量的统计特征,和/或基于所述网络行为数据中当前运行程序信息与历史运行程序信息之间的差异,确定第二审计结果,包括:
24、基于所述网络行为数据中各单位时间的网络流量的统计特征,确定网络流量异常分析结果;其中,所述统计特征包括各单位时间的网络流量的平均值、方差与分位数;
25、和/或,基于所述网络行为数据中当前运行程序信息与历史时间段内的历史运行程序信息,确定与所述历史运行程序信息不匹配的当前运行程序信息,作为疑似异常运行程序;基于所述疑似异常运行程序在所述待审计时间段的各个单位时间内的运行次数,以及所述疑似异常运行程序的内存信息,确定运行程序异常分析结果;
26、基于所述网络流量异常分析结果和/或所述运行程序异常分析结果,确定所述第二审计结果。
27、根据本专利技术提供的一种基于工业互联网的工控审计方法,所述确定第二审计结果,之后还包括:
28、若所述网络流量异常分析结果或所述运行程序异常分析结果为异常,则在不断电、不断网的前提下发出网络安全警报;
29、若所述网络流量异常分析结果和所述运行程序异常分析结果均为异常,则在断网不断电的前提下发出网络安全警报。
30、根据本专利技术提供的一种基于工业互联网的工控审计方法,所述基于所述第一审计结果和所述第二审计结果对网络安全事件进行等级评估,得到所述待审计时间段的网络安全评估结果,包括:
3本文档来自技高网...
【技术保护点】
1.一种基于工业互联网的工控审计方法,其特征在于,包括:
2.根据权利要求1所述的基于工业互联网的工控审计方法,其特征在于,所述基于所述工控协议数据的控制信息、完整报文数据以及数据区报文数据确定第一审计结果,包括:
3.根据权利要求1所述的基于工业互联网的工控审计方法,其特征在于,所述基于所述网络行为数据中各单位时间的网络流量的统计特征,和/或基于所述网络行为数据中当前运行程序信息与历史运行程序信息之间的差异,确定第二审计结果,包括:
4.根据权利要求3所述的基于工业互联网的工控审计方法,其特征在于,所述确定第二审计结果,之后还包括:
5.根据权利要求1所述的基于工业互联网的工控审计方法,其特征在于,所述基于所述第一审计结果和所述第二审计结果对网络安全事件进行等级评估,得到所述待审计时间段的网络安全评估结果,包括:
6.一种基于工业互联网的工控审计装置,其特征在于,包括:
7.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利
8.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述基于工业互联网的工控审计方法。
...【技术特征摘要】
1.一种基于工业互联网的工控审计方法,其特征在于,包括:
2.根据权利要求1所述的基于工业互联网的工控审计方法,其特征在于,所述基于所述工控协议数据的控制信息、完整报文数据以及数据区报文数据确定第一审计结果,包括:
3.根据权利要求1所述的基于工业互联网的工控审计方法,其特征在于,所述基于所述网络行为数据中各单位时间的网络流量的统计特征,和/或基于所述网络行为数据中当前运行程序信息与历史运行程序信息之间的差异,确定第二审计结果,包括:
4.根据权利要求3所述的基于工业互联网的工控审计方法,其特征在于,所述确定第二审计结果,之后还包括:
5.根据权利要求1...
【专利技术属性】
技术研发人员:吕长浩,田纲,占凯,张帅,崔誉凡,赵雪友,
申请(专利权)人:本溪钢铁集团信息自动化有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。