【技术实现步骤摘要】
一种基于工控协议的高危安全风险识别方法及装置
本专利技术实施例涉及网络安全
,具体涉及一种基于工控协议的高危安全风险识别方法及装置。
技术介绍
随着工控技术的发展,工控网络极易发生高危安全风险,因此,对这些高危安全风险进行识别显得尤为重要。现有技术进行高危安全风险的识别方法,通常是基于工控行业的应用场景来实现的,例如针对石化行业有对应的高危安全风险的识别方法,由于该识别方法与石化行业应用场景密切相关,因此,无法将该方法应用到其他工控行业的应用场景,即具有较大的应用局限性。另一方面,由于工控行业的特殊特点,例如强干扰、大滞后等,对高危安全风险识别的准确度也带来了极大难度。因此,如何避免上述缺陷,能够提高识别风险的通用性和准确性,成为亟须解决的问题。
技术实现思路
针对现有技术存在的问题,本专利技术实施例提供一种基于工控协议的高危安全风险识别方法及装置。第一方面,本专利技术实施例提供一种基于工控协议的高危安全风险识别方法,所述方法包括:获取网络流量中的工控数据单帧;所述工控数据单帧与工控协议的安全相关;若判断获知所述工控数据单帧的第一行为特征不在第一预设数据库中,则...
【技术保护点】
1.一种基于工控协议的高危安全风险识别方法,其特征在于,包括:获取网络流量中的工控数据单帧;所述工控数据单帧与工控协议的安全相关;若判断获知所述工控数据单帧的第一行为特征不在第一预设数据库中,则存储所述第一行为特征;若在预设时段内获取到多个关联工控数据单帧,则将所有关联工控数据单帧和所述工控数据单帧组成工控数据帧序列;所述关联工控数据单帧的行为特征与所述第一行为特征相对应;解析所述工控数据帧序列,以获取所述工控数据帧序列的第二行为特征,若判断获知所述第二行为特征在第二预设数据库中,则确定存在高危安全风险。
【技术特征摘要】
1.一种基于工控协议的高危安全风险识别方法,其特征在于,包括:获取网络流量中的工控数据单帧;所述工控数据单帧与工控协议的安全相关;若判断获知所述工控数据单帧的第一行为特征不在第一预设数据库中,则存储所述第一行为特征;若在预设时段内获取到多个关联工控数据单帧,则将所有关联工控数据单帧和所述工控数据单帧组成工控数据帧序列;所述关联工控数据单帧的行为特征与所述第一行为特征相对应;解析所述工控数据帧序列,以获取所述工控数据帧序列的第二行为特征,若判断获知所述第二行为特征在第二预设数据库中,则确定存在高危安全风险。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:若判断获知所述工控数据单帧的第一行为特征在所述第一预设数据库中,则直接确定存在所述高危安全风险。3.根据权利要求1或2所述的方法,其特征在于,所述第一预设数据库中的第一预设行为特征包括:停止PLC运行、删除模块或请求下载。4.根据权利要求1或2所述的方法,其特征在于,所述第二预设数据库中的第二预设行为特征包括:暴力破解、压力测试或异常逻辑跳转。5.根据权利要求1或2所述的方法,其特征在于,在确定存在高危安全风险的步骤之后,所述方法还包括:生成用于阻断网络通信的阻断流量;分别发送所述阻断流量至所述网络通信的发送方和接收方。6.根据权利要求1或2所述的方法,其特征在于,所述获取网络流量中的工控数据单帧,包括:获取待识别工控数据单帧,确定所述待识别工控数据单帧对应的待识别字段;若判断获知所述待识别字段是预设安全相关字段,则将所述待识别工控数据单帧确定为所述工控数据单帧。7.根据权利要求6所述的方法,其特征在于,所述预设安全相关字段包括命令控制字段。8.一种基于工控协议的高危安全风险识别装置,其特征在于,包括:获取单元,用于获取网络流量中的工控数据单帧;所述工控数据单帧与工控协议的安全相关;存储单元,用于若判断获知所述工控数据单帧的第一行为特征不...
【专利技术属性】
技术研发人员:张钊,黄东华,
申请(专利权)人:北京奇安信科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。