一种工控网络威胁自动隔离方法及系统技术方案

本发明专利技术公开了一种工控网络威胁自动隔离方法，包括获取工业控制系统内各设备的运行信息，提取运行信息的特征；响应于预设威胁决策表内存在与运行信息特征匹配的威胁事件，获取威胁事件对应的隔离策略，隔离威胁源；响应于预设威胁决策表内不存在与运行信息特征匹配的威胁事件，将运行信息特征输入预先训练的决策模型，获得运行信息特征对应的事件类别；响应于运行信息特征对应的事件为威胁事件，获取威胁事件对应的隔离策略，隔离威胁源，并将运行信息特征存入预设威胁决策表。同时公开了相应的系统。本发明专利技术组合应用威胁决策表与决策模型，有效实现事中威胁源隔离，在保证威胁检测效率的同时，以自学习方式不断完善威胁决策表，实现实时更新，以提高网络安全威胁识别精准度。

A method and system of automatic threat isolation for industrial control network

【技术实现步骤摘要】
一种工控网络威胁自动隔离方法及系统
本专利技术涉及一种工控网络威胁自动隔离方法及系统，属于信息安全

技术介绍
工业控制系统与传统信息系统相比，具有高实时性、高可靠性和工作连续性等方面的特殊要求，但同时网络安全防御能力也相对匮乏。纵观当前市面上工业控制系统网络安全防护方案，侧重点多放在事前的安全基线核查与脆弱性扫描、事中的网络安全数据监测与预警、事后的攻击溯源与安全加固，缺乏事中的就地化自动阻断机制或自动阻断手段，同时，多数基于模式匹配的威胁检测方法无法有效应更新威胁特征库，威胁特征库更新缓慢成为影响安全防护系统漏报率和准确率的关键因素。介于此，有必要从技术上改进现有工业控制系统网络威胁侦查和自动处置技术。
技术实现思路
本专利技术提供了一种工控网络威胁自动隔离方法及系统，解决了
技术介绍
中披露的问题。为了解决上述技术问题，本专利技术所采用的技术方案是：一种工控网络威胁自动隔离方法，包括，获取工业控制系统内各设备的运行信息，提取运行信息的特征；响应于预设威胁决策表内存在与运行信息特征匹配的威胁事件，获取威胁事件对应的隔离策略，隔离威胁源；响应于预设威胁决策表内不存在与运行信息特征匹配的威胁事件，将运行信息特征输入预先训练的决策模型，获得运行信息特征对应的事件类别；响应于运行信息特征对应的事件为威胁事件，获取威胁事件对应的隔离策略，隔离威胁源，并将运行信息特征存入预设威胁决策表。运行信息包括工业控制系统日志、网络连接信息和业务运行信息；日志包括内核及操作系统日志、用户操作日志和程序运行日志，网络连接信息包括设备自身与外界的TCP/UDP连接信息，业务运行信息包括工业控制系统各类测量、控制及调试指令的信息。提取运行信息特征的过程为，对运行信息格式进行范式化转换；对范式化转换后的运行信息进行特征提取；对运行信息特征进行缺失补偿，得到完整的运行信息特征。运行信息的特征包括连续型特征和类别型特征，连续型特征为0/1特征向量，类别型特征为符合标准正太分布的特征。决策模型为，目标函数判决函数其中，ω为决策模型判决函数的权重，C+、C-为正向类样本和负向类样本惩罚因子，p为正向类样本数量，q为负向类样本数量，ξi、ξj为松弛变量，f(x)为待判决运行信息特征x的判决结果，(xi,yi)为训练样本，xi为训练样本中的运行信息特征，yi为xi对应的事件类别，n为训练样本数量，为第i个训练样本对应的拉格朗日乘子，b*为阈值，K(x,xi)为径向基核函数，σ为K(x,xi)的宽度参数。隔离威胁源为关闭威胁源所连接的交换机端口或禁用威胁源所有网络接口。一种工控网络威胁自动隔离方法，包括，特征提取模块：获取工业控制系统内各设备的运行信息，提取运行信息的特征；第一决策模块：响应于预设威胁决策表内存在与运行信息特征匹配的威胁事件，获取威胁事件对应的隔离策略，隔离威胁源；第二决策模块：响应于预设威胁决策表内不存在与运行信息特征匹配的威胁事件，将运行信息特征输入预先训练的决策模型，获得运行信息特征对应的事件类别；响应于运行信息特征对应的事件为威胁事件，获取威胁事件对应的隔离策略，隔离威胁源，并将运行信息特征存入预设威胁决策表。第二决策模块采用的决策模型为，目标函数判决函数其中，ω为决策模型判决函数的权重，C+、C-为正向类样本和负向类样本惩罚因子，p为正向类样本数量，q为负向类样本数量，ξi、ξj为松弛变量，f(x)为待判决运行信息特征x的判决结果，(xi,yi)为训练样本，xi为训练样本中的运行信息特征，yi为xi对应的事件类别，n为训练样本数量，为第i个训练样本对应的拉格朗日乘子，b*为阈值，K(x,xi)为径向基核函数，σ为K(x,xi)的宽度参数。一种存储一个或多个程序的计算机可读存储介质，所述一个或多个程序包括指令，所述指令当由计算设备执行时，使得所述计算设备执行工控网络威胁自动隔离方法。一种计算设备，包括一个或多个处理器、存储器以及一个或多个程序，其中一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行，所述一个或多个程序包括用于执行工控网络威胁自动隔离方法的指令。本专利技术所达到的有益效果：1、本专利技术组合应用威胁决策表与决策模型，有效实现事中威胁源隔离，在保证威胁检测效率的同时，以自学习方式不断完善威胁决策表，实现实时更新，以提高网络安全威胁识别精准度；2、本专利技术的决策模型通过引入径向基核函数处理线性不可分样本，通过引入松弛变量解决样本噪音，生成可信决策模型，通过算法优化提高模型的查全率与查准率，从而降低防护系统漏报率、提高检测准确率。附图说明图1为本专利技术方法的流程图。具体实施方式下面结合附图对本专利技术作进一步描述。以下实施例仅用于更加清楚地说明本专利技术的技术方案，而不能以此来限制本专利技术的保护范围。如图1所示，一种工控网络威胁自动隔离方法，包括以下步骤；步骤1，获取工业控制系统内各设备的运行信息，提取运行信息的特征。运行信息包括工业控制系统日志、网络连接信息和业务运行信息；其中，通过在各类设备上安装探针程序，实现日志和网络连接信息的获取；通过交换机镜像技术实时捕获网络应用层报文，获取各设备业务运行信息。探针通过读取并监听本机系统日志，实时采集本机运行信息；其中，日志包括内核及操作系统日志、用户操作日志和程序运行日志；本机运行信息包括电源状态、CPU温度、CPU利用率、内存使用率、硬盘使用率、网口流量、外设接入与拔出信息、用户登录与退出信息、用户登录失败信息、用户操作信息、用户权限变更信息、关键进程异常信息、关键文件变更信息等。探针程序通过netstat等shell命令查看本机网络连接情况，包括设备自身与外界的TCP/UDP连接信息、TCP连接CLOSE_WAIT数量、网络端口监听情况等。对捕获到的交换机镜像流量进行深度分析，实时获取各设备业务运行信息，业务运行信息包括工业控制系统各类测量、控制及调试指令的信息。具体以IEC-60875-5-104通信规约为例，解析104报文中类型标识、可变帧结构限定词、传送原因等关键字段，分别提取测量、控制及调试指令，并打上时标，形成该设备在不同时间段内的业务指令链。在提取运行信息特征之前，先对运行信息进行过滤，过滤掉无用或冗余的垃圾信息，在进行运行信息判重与归并，防止因大量重复计算影响后续决策模型的运行效率。提取运行信息特征的过程：1)对运行信息格式进行范式化转换；2)对范式化转换后的运行信息进行特征提取；3)对运行信息特征进行缺失补偿，得到完整的运行信息特征。对于上述特征可分为连续型特征和类别型特征，连续型特征为0/1特征向量，如应用层协议名称，编码方案如表1所示，支持214种应用层协议解析与编本文档来自技高网...

【技术保护点】
1.一种工控网络威胁自动隔离方法，其特征在于：包括，/n获取工业控制系统内各设备的运行信息，提取运行信息的特征；/n响应于预设威胁决策表内存在与运行信息特征匹配的威胁事件，获取威胁事件对应的隔离策略，隔离威胁源；/n响应于预设威胁决策表内不存在与运行信息特征匹配的威胁事件，将运行信息特征输入预先训练的决策模型，获得运行信息特征对应的事件类别；响应于运行信息特征对应的事件为威胁事件，获取威胁事件对应的隔离策略，隔离威胁源，并将运行信息特征存入预设威胁决策表。/n

【技术特征摘要】
1.一种工控网络威胁自动隔离方法，其特征在于：包括，
获取工业控制系统内各设备的运行信息，提取运行信息的特征；
响应于预设威胁决策表内存在与运行信息特征匹配的威胁事件，获取威胁事件对应的隔离策略，隔离威胁源；
响应于预设威胁决策表内不存在与运行信息特征匹配的威胁事件，将运行信息特征输入预先训练的决策模型，获得运行信息特征对应的事件类别；响应于运行信息特征对应的事件为威胁事件，获取威胁事件对应的隔离策略，隔离威胁源，并将运行信息特征存入预设威胁决策表。


2.根据权利要求1所述的一种工控网络威胁自动隔离方法，其特征在于：运行信息包括工业控制系统日志、网络连接信息和业务运行信息；日志包括内核及操作系统日志、用户操作日志和程序运行日志，网络连接信息包括设备自身与外界的TCP/UDP连接信息，业务运行信息包括工业控制系统各类测量、控制及调试指令的信息。


3.根据权利要求1所述的一种工控网络威胁自动隔离方法，其特征在于：提取运行信息特征的过程为，
对运行信息格式进行范式化转换；
对范式化转换后的运行信息进行特征提取；
对运行信息特征进行缺失补偿，得到完整的运行信息特征。


4.根据权利要求1所述的一种工控网络威胁自动隔离方法，其特征在于：运行信息的特征包括连续型特征和类别型特征，连续型特征为0/1特征向量，类别型特征为符合标准正太分布的特征。


5.根据权利要求1所述的一种工控网络威胁自动隔离方法，其特征在于：决策模型为，
目标函数



判决函数






其中，ω为决策模型判决函数的权重，C+、C-为正向类样本和负向类样本惩罚因子，p为正向类样本数量，q为负向类样本数量，ξi、ξj为松弛变量，f(x)为待判决运行信息特征x的判决结果，(xi,yi)为训练样本，xi为训练样本中的运行信息特征，yi为xi对应的事件类别，n为训练样本数量，为第i个训练样本对应的拉格朗日乘子，b*为阈值，K(x,xi)为径向基核函...

【专利技术属性】
技术研发人员：李牧野，黄益彬，朱世顺，刘苇，景娜，陆英玮，祁龙云，金建龙，张林霞，王梓，杨康乐，
申请(专利权)人：南京南瑞信息通信科技有限公司，
类型：发明
国别省市：江苏;32