【技术实现步骤摘要】
【国外来华专利技术】用于运营技术系统的分析装置、方法、系统和存储介质
本专利技术涉及工业网络与信息安全
,尤其涉及用于运营技术(OperationalTechnology,OT)系统的分析装置、方法、系统和存储介质。
技术介绍
OT系统,也可称为工业控制系统(IndustrialControlSystem,ICS),被配置为用于实现工业过程的自动控制。一个OT系统可以是一个风力发电系统、一个汽车制造车间、一个制药厂、一个城市的污水处理系统等。传统的OT系统采用封闭式设计,网络攻击很难对其造成威胁。然而,随着自动化制造、过程控制技术的发展,OT系统广泛采用信息技术(InformationTechnology,IT),已不再是一个封闭的系统,因此OT系统所面临的安全威胁日益严重,保护OT系统免于安全攻击的需求变得迫切。比如:一个工业企业的合资公司或子公司,甚至服务外包公司的网络,都可能与该工业企业的OT系统连接,这就存在网络攻击的风险。OT系统的复杂性和可变性增加了安全分析的难度。如何对一个复杂的、动态变化的OT系统进行有效的...
【技术保护点】
1.用于运营技术系统的分析装置(10),其特征在于,包括:/n一个解析模块(101),用于从数据存储区获取与所述运营技术系统相关的第一数据,解析出所述第一数据的第一特征;/n一个识别模块(102),用于从所述第一特征中识别出异常特征;/n一个模型生成模块(103),用于从所述数据存储区中获取与所述异常特征相关的第二数据,基于所述第二数据生成算法模型,所述算法模型用于识别与所述异常特征相关的攻击行为。/n
【技术特征摘要】
【国外来华专利技术】1.用于运营技术系统的分析装置(10),其特征在于,包括:
一个解析模块(101),用于从数据存储区获取与所述运营技术系统相关的第一数据,解析出所述第一数据的第一特征;
一个识别模块(102),用于从所述第一特征中识别出异常特征;
一个模型生成模块(103),用于从所述数据存储区中获取与所述异常特征相关的第二数据,基于所述第二数据生成算法模型,所述算法模型用于识别与所述异常特征相关的攻击行为。
2.根据权利要求1所述的用于运营技术系统的分析装置(10),其特征在于,所述第一数据包含所述运营技术系统的安全日志;
所述解析模块(101),用于执行下列中的至少一个:
解析出所述安全日志的实时趋势以作为所述第一特征;
解析出所述安全日志的历史均值以作为所述第一特征;
解析出所述安全日志的类型分布以作为所述第一特征;
解析出所述安全日志中涉及到预定的工控应用操作的时间序列以作为所述第一特征。
3.根据权利要求1所述的用于运营技术系统的分析装置(10),其特征在于,所述第一数据包含所述运营技术系统的安全日志的关联化数据;
所述解析模块(101),用于执行下列中的至少一个:
从所述关联化数据中提取预定数目的安全风险事件以作为所述第一特征;
从所述关联化数据中提取出安全事件以作为所述第一特征;
从所述关联化数据中提取行为序列以作为所述第一特征,所述行为序列包含多个相关联的安全事件。
4.根据权利要求1所述的用于运营技术系统的分析装置(10),其特征在于,所述第一数据包含所述运营技术系统的网络流量;
所述解析模块(101),用于执行下列中的至少一个:
解析出所述网络流量中第一预定时间内的域名系统请求以作为所述第一特征;
解析出所述网络流量中第二预定时间内的超文本传输协议请求以作为所述第一特征;
解析出所述网络流量中第三预定时间内的域权限查询请求以作为所述第一特征;
解析出所述网络流量中第四预定时间内的工控协议访问请求以作为所述第一特征。
5.根据权利要求1所述的用于运营技术系统的分析装置(10),其特征在于,所述第一数据包含所述运营技术系统的网络流量的关联化数据;
所述解析模块(101),用于执行下列中的至少一个:
从所述关联化数据中提取预定数目的安全风险事件以作为所述第一特征;
从所述关联化数据中提取出安全事件以作为所述第一特征;
从所述关联化数据中提取行为序列以作为所述第一特征,所述行为序列包含多个相关联的安全事件。
6.根据权利要求1-5中任一项所述的用于运营技术系统的分析装置(10),其特征在于,还包括:
一个展示模块(104),用于在可视化界面上展示所述第一特征;
其中所述识别模块(102),用于基于在所述可视化界面上被触发的第一交互指令,从所述第一特征中识别出所述异常特征;
所述模型生成模块(103),用于基于在所述可视化界面上被触发的第二交互指令,在所述数据存储区中对所述异常特征执行数据挖掘以获取所述第二数据。
7.根据权利要求6所述的用于运营技术系统的分析装置(10),其特征在于,
所述模型生成模块(103)在对异常特征执行数据挖掘时,具体用于执行下列操作中的至少一个:
对与所述异常特征相关的数据执行缩放;
对与所述异常特征相关的数据执行过滤;
对与所述异常特征相关的数据执行探索与发现;
对与所述异常特征相关的数据执行取证分析。
8.根据权利要求1-5中任一项所述的用于运营技术系统的分析装置(10),其特征在于,所述模型生成模块(103)在基于第二数据生成算法模型时,具体用于执行:
确定与所述异常特征相关的异常安全事件的第一统计特征;
确定与所述异常特征相关的异常安全行为的第二统计特征;
确定与所述异常特征相关的攻击行为的指纹;
基于人工定制方式,确定用于检测所述与异常特征相关的异常安全事件的人工定制算法;
基于机器学习方式,确定用于检测与所述异常特征相关的异常安全事件的分类识别算法;
汇聚所述第一统计特征、第二统计特征、指纹、人工定制算法和所述分类识别算法以生成所述算法模型。
9.用于运营技术系统的分析系统(30),其特征在于,包括:
一个数据获取装置(401),用于采集所述运营技术系统的原始数据;
一个数据处理装置(402),用于对所述原始数据执行数据准备,对所述数据准备后的数据执行后处理,根据机器学习算法从所述数据准备后的数据和所述后处理后的数据中实时检测异常;
一个存储装置(403),用于提供与所述运营技术系统相关的第一数据,所述第一数据包括所述原始数据、所述数据准备后数据和所述后处理的数据;
一个分析装置(404),用于获取与所述运营技术系统相关的第一数据,解析出所述第一数据的第一特征,从所述第一特征中识别出异常特征,从所述存储装置(403)中获取与所述异常特征相关的第二数据,基于所述第二数据生成算法模型,所述算法模型用于识别与所述异常特征相关的攻击行为,并将所述算法模型发送到所述数据处理装置(402);
其中所述数据处理装置(402),还用于基于所述算法模型更新所述机器学习算法。
10.根据权利要求9所述的用于运营技术系统的分析系统(30),其特征在于,所述第一数据包含所述运营技术系统的安全日志;
所述分析装置(404),用于执行下列中的至少一个:
解析出所述安全日志的实时趋势以作为所述第一特征;
解析出所述安全日志的历史均值以作为所述第一特征;
解析出所述安全日志的类型分布以作为所述第一特征;
解析出所述安全日志中涉及到预定的工控应用操作的时间序列以作为所述第一特征。
11.根据权利要求9所述的用于运营技术系统的分析系统(30),其特征在于,所述第一数据包含所述运营技术系统的安全日志的关联化数据;
所述分析装置(404),用于执行下列中的至少一个:
从所述关联化数据中提取预定数目的安全风险事件以作为所述第一特征;
从所述关联化数据中提取出安全事件以作为所述第一特征;
从所述关联化数据中提取行为序列以作为所述第一特征,所述行为序列包含多个相关联的安全事件。
12.根据权利要求9所述的用于运营技术系统的分析系统(30),其特征在于,所述第一数据包含所述运营技术系统的网络流量;
所述分析装置(404),用于执行下列中的至少一个:
解析出所述网络流量中第一预定时间内的域名系统请求以作为所述第一特征;
解析出所述网络流量中第二预定时间内的超文本传输协议请求以作为所述第一特征;
解析出所述网络流量中第三预定时间内的域权限查询请求以作为所述第一特征;
解析出所述网络流量中第四预定时间内的工控协议访问请求以作为所述第一特征。
13.根据权利要求9所述的用于运营技术系统的分析系统(30),其特征在于,所述第一数据包含所述运营技术系统的网络流量的关联化数据;
所述分析装置(404),用于执行下列中的至少一个:
从所述关联化数据中提取预定数目的安全风险事件以作为所述第一特征;
从所述关联化数据中提取出安全事件以作为所述第一特征;
从所述关联化数据中提取行为序列以作为所述第一特征,所述行为序列包含多个相关联的安全事件。
14.根据权利要求9-13中任一项所述的用于运营技术系统的分析系统(30),其特征在于,
所述分析装置(404),还用于在可视化界面上展示所述第一特征;
其中所述从第一特征中识别出异常特征包括:基于在所述可视化界面上被触发的交互指令,从所述第一特征中识别出所述异常特征;所述从存储装置(403)中获取与所述异常特征相关的第二数据包括:基...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。