【技术实现步骤摘要】
一种工控网络威胁自动隔离方法及系统
本专利技术涉及一种工控网络威胁自动隔离方法及系统,属于信息安全
技术介绍
工业控制系统与传统信息系统相比,具有高实时性、高可靠性和工作连续性等方面的特殊要求,但同时网络安全防御能力也相对匮乏。纵观当前市面上工业控制系统网络安全防护方案,侧重点多放在事前的安全基线核查与脆弱性扫描、事中的网络安全数据监测与预警、事后的攻击溯源与安全加固,缺乏事中的就地化自动阻断机制或自动阻断手段,同时,多数基于模式匹配的威胁检测方法无法有效应更新威胁特征库,威胁特征库更新缓慢成为影响安全防护系统漏报率和准确率的关键因素。介于此,有必要从技术上改进现有工业控制系统网络威胁侦查和自动处置技术。
技术实现思路
本专利技术提供了一种工控网络威胁自动隔离方法及系统,解决了
技术介绍
中披露的问题。为了解决上述技术问题,本专利技术所采用的技术方案是:一种工控网络威胁自动隔离方法,包括,获取工业控制系统内各设备的运行信息,提取运行信息的特征;响应于预设威胁决策表内存...
【技术保护点】
1.一种工控网络威胁自动隔离方法,其特征在于:包括,/n获取工业控制系统内各设备的运行信息,提取运行信息的特征;/n响应于预设威胁决策表内存在与运行信息特征匹配的威胁事件,获取威胁事件对应的隔离策略,隔离威胁源;/n响应于预设威胁决策表内不存在与运行信息特征匹配的威胁事件,将运行信息特征输入预先训练的决策模型,获得运行信息特征对应的事件类别;响应于运行信息特征对应的事件为威胁事件,获取威胁事件对应的隔离策略,隔离威胁源,并将运行信息特征存入预设威胁决策表。/n
【技术特征摘要】
1.一种工控网络威胁自动隔离方法,其特征在于:包括,
获取工业控制系统内各设备的运行信息,提取运行信息的特征;
响应于预设威胁决策表内存在与运行信息特征匹配的威胁事件,获取威胁事件对应的隔离策略,隔离威胁源;
响应于预设威胁决策表内不存在与运行信息特征匹配的威胁事件,将运行信息特征输入预先训练的决策模型,获得运行信息特征对应的事件类别;响应于运行信息特征对应的事件为威胁事件,获取威胁事件对应的隔离策略,隔离威胁源,并将运行信息特征存入预设威胁决策表。
2.根据权利要求1所述的一种工控网络威胁自动隔离方法,其特征在于:运行信息包括工业控制系统日志、网络连接信息和业务运行信息;日志包括内核及操作系统日志、用户操作日志和程序运行日志,网络连接信息包括设备自身与外界的TCP/UDP连接信息,业务运行信息包括工业控制系统各类测量、控制及调试指令的信息。
3.根据权利要求1所述的一种工控网络威胁自动隔离方法,其特征在于:提取运行信息特征的过程为,
对运行信息格式进行范式化转换;
对范式化转换后的运行信息进行特征提取;
对运行信息特征进行缺失补偿,得到完整的运行信息特征。
4.根据权利要求1所述的一种工控网络威胁自动隔离方法,其特征在于:运行信息的特征包括连续型特征和类别型特征,连续型特征为0/1特征向量,类别型特征为符合标准正太分布的特征。
5.根据权利要求1所述的一种工控网络威胁自动隔离方法,其特征在于:决策模型为,
目标函数
判决函数
其中,ω为决策模型判决函数的权重,C+、C-为正向类样本和负向类样本惩罚因子,p为正向类样本数量,q为负向类样本数量,ξi、ξj为松弛变量,f(x)为待判决运行信息特征x的判决结果,(xi,yi)为训练样本,xi为训练样本中的运行信息特征,yi为xi对应的事件类别,n为训练样本数量,为第i个训练样本对应的拉格朗日乘子,b*为阈值,K(x,xi)为径向基核函...
【专利技术属性】
技术研发人员:李牧野,黄益彬,朱世顺,刘苇,景娜,陆英玮,祁龙云,金建龙,张林霞,王梓,杨康乐,
申请(专利权)人:南京南瑞信息通信科技有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。