【技术实现步骤摘要】
一种工业控制网络安全事件关联分析方法
[0001]本专利技术涉及工业控制网络安全
,尤其涉及一种工业控制网络安全事件关联分析方法。
技术介绍
[0002]随着网络技术的发展以及工业控制网络开放程度的提升,面向工业控制网络的安全威胁方式越来越多,且造成的后果严重。当前面向工业控制网络的安全产品众多,包括防火墙、入侵检测系统、终端防护设备、网关等,这些产品面向不同的功能需求会产生多种多样的安全事件信息。在实际使用中,这些安全事件信息中含有大量的重复报警和误报警,由于网络规模的逐渐加大,致使产生了海量的报警数据,使得管理员很难实时的对海量的数据进行处理,更难以识别报警的真实性,发现信息中隐藏的攻击意图。
[0003]大部分的安全事件并不是孤立产生的,其中存在着一定的联系,安全事件关联就是通过分析各个安全事件之间以及安全事件与运行环境之间的有效关联,将原来相对孤立的网络安全事件数据进行处理,通过过滤、聚合、去伪存真,发掘隐藏在这些数据之后的事件之间的真实联系,为网络管理员提供更可信,更有价值的信息。
专利技术内...
【技术保护点】
【技术特征摘要】
1.一种工业控制网络安全事件关联分析方法,其特征在于,所述方法包括:步骤1、首先对典型工业控制网络安全事件要素进行拆解,提取工业控制网络安全事件的关键指标,并构建工业控制网络安全事件关联指标体系,作为参考指标;步骤2、对所构建的工业控制网络安全事件关联指标体系中的各指标进行量化处理,将各指标转换为标准化输入格式的数据序列;步骤3、采用灰色关联度分析算法建立工业控制网络安全事件关联分析模型,将量化处理后的参考指标数据序列和新增安全事件数据序列输入所建立的关联分析模型,得到新增安全事件数据序列与参考指标数据序列中各个安全事件的关联度值;步骤4、对所得到的关联度值进行排序,得出新增安全事件的安全等级,对用户进行相应的安全告警。2.根据权利要求1所述工业控制网络安全事件关联分析方法,其特征在于,在步骤1中,所述典型工业控制网络安全事件要素包括资产、威胁、脆弱点3大类,其中:资产是指对组织或攻击者来说具有价值属性的事物,包括数据、软件、硬件、服务和环境;威胁是指对网络及其资产构成潜在破坏的可能性因素,包括软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码、病毒;脆弱点是指资产本身存在的漏洞或缺点,能够被攻击者威胁利用从而损害组织利益,包括物理脆弱性、网络脆弱性、系统脆弱性、应用脆弱性、管理脆弱性。3.根据权利要求1所述工业控制网络安全事件关联分析方法,其特征在于,在步骤1中,所构建的工业控制网络安全事件关联指标体系包括3级,第1级为安全事件关键要素类别,包括基础要素、资产要素、威胁要素和脆弱点要素;第2级为关键要素的细粒度拆分,其中基础要素包括事件主体、发生时间、事件地址、事件位置、事件情况;资产要素包括设备厂商、设备型号、设备类型、设备IP、端口、协议、操作系统、应用软件;威胁要素包括恶意代码、病毒、物理威胁、运维威胁;脆弱点要素包括设备漏洞、系统漏洞、应用软件漏洞、访问控制漏洞、管理漏洞;第3级为关键要素的衍生指标,包括数据流分布、告警数量、告警分布、攻击事件历史发生频率、安全设备数目、设备状态分布、开放端口分布、协议分布、操作系统分布、应用软件分布、威胁特征种类、威胁分布、漏洞数量及分布、补丁数量及分布、安全策略数量及分布。4.根据权利要求1所述工业控制网络安全事件关联分析方法,其特征在于,所述步骤2的过程具体为:根据各指标的不同性质分为定性和定量指标,具体处理方法如下:对于定量指标的处理在于实现定量指标的归一化,把差异较大的数据无量纲化,采用min
‑
max标准化方法将数值映射到[0,1]区间,其中:正向指标量化处理以最小值为基准,...
【专利技术属性】
技术研发人员:吴桐,宋永立,党增江,高玫,
申请(专利权)人:北京计算机技术及应用研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。