【技术实现步骤摘要】
一种基于工控网络流量的异常评估方法与系统
本专利技术涉及工业网络异常评估的技术,具体而言,涉及一种基于工控网络流量的异常评估方法与系统。
技术介绍
工业控制网络数据种类繁多,数据量庞大,由于网络结构的复杂性,针对网络的攻击和恶意行为越来越多,利用网络存在的漏洞和安全缺陷对网络系统进行的攻击层出不穷。网络流量异常检测方法可以有效检测出网络中的异常流量,识别流量风险。然而,目前的异常检测算法大多止步于为每一条数据打上标签,标记为正常或者异常。这些异常中有的是假异常,有的是短时间已经发出不再需要重复发出的异常。大量被误判为异常的正常流量数据与少量被正确判断为异常的异常数据混杂在一起,会严重削弱入侵检测系统的可用性,这也是基于异常的入侵检测系统难以实际使用的原因之一。目前的异常检测方法亟需解决以下问题:(1)虚假异常比例较高:异常检测算法往往只基于数据发现异常,高比例的虚假异常往往会影响后续的异常行为关联;(2)异常流量数据量大:工业网络遭遇攻击时产生大量异常流量,大量数据凭借人工手段难以探究规律;(...
【技术保护点】
1.一种基于工控网络流量的异常评估方法,其特征在于其特征在于,包括如下步骤:/n步骤1、基于多源安全信息的异常校验,通过已知的设备信息、漏洞信息、网络拓扑信息,以及实时服务信息过滤确定为正常的异常信息,使用多源模糊评价方法确定异常校验结果;/n步骤2、进行异常流量聚合,通过聚合算法对异构多协议异常信息进行精简和标准化,分协议聚合异常流量,并将分协议聚合异常流量转化为统一格式的异常信息,减少异常流量数量;/n步骤3、实现基于攻击图的异常关联,根据先验知识挖掘攻击意图、重建攻击场景,根据关联关系构建安全事件图模型,实时展示网络安全态势,根据图模型推理并预测可能发生的安全事件。/n
【技术特征摘要】
1.一种基于工控网络流量的异常评估方法,其特征在于其特征在于,包括如下步骤:
步骤1、基于多源安全信息的异常校验,通过已知的设备信息、漏洞信息、网络拓扑信息,以及实时服务信息过滤确定为正常的异常信息,使用多源模糊评价方法确定异常校验结果;
步骤2、进行异常流量聚合,通过聚合算法对异构多协议异常信息进行精简和标准化,分协议聚合异常流量,并将分协议聚合异常流量转化为统一格式的异常信息,减少异常流量数量;
步骤3、实现基于攻击图的异常关联,根据先验知识挖掘攻击意图、重建攻击场景,根据关联关系构建安全事件图模型,实时展示网络安全态势,根据图模型推理并预测可能发生的安全事件。
2.如权利要求1所述的基于工控网络流量的异常评估方法,其特征在于,步骤1中,多源模糊评价方法通过以下方式实现:
确定评价因子集和评价标注,评价因子分为三类,分别对应操作系统相关性、网络服务相关性和漏洞信息相关性;
计算当前异常信息与评价因子的隶属度,隶属度计算根据规则定义查表计算;
确定权重向量,权重向量根据专家的经验来决定,目的是减少两层模糊综合评价模型中的不确定性;
计算异常相关的安全信息与目标主机信息的相关分数,首先在模糊综合评价的第二级执行评估,利用二级评估的结果决定一级评估和最终相关度,根据最终相关度决定是否过滤异常。
3.如权利要求1所述的基于工控网络流量的异常评估方法,其特征在于,步骤2中,进行异常流量聚合时,
对于记录Ra和Rb,聚合相似度的度量方式为:
Dist(Raj,Rbj)=1-Sim(Raj,Rbj)
其...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。