本发明专利技术公开一种工业通讯防护方法、装置、终端设备及存储介质,属于工业通讯安全领域,该工业通讯防护方法包括:获取工业流量数据,从所述工业流量数据中提取协议特征;对所述协议特征基于预设的协议特征匹配规则进行匹配,得到第一匹配结果;根据所述协议特征的第一匹配结果,并基于威胁检测规则检测所述工业流量数据中的安全性威胁。本发明专利技术通过对工业通讯中的协议特征进行配置、学习和检测,并通过人工干预威胁判定,确保能够有效、快速地检测出工业通讯流量中的安全性威胁,保障了工业控制系统在通讯时的安全性。统在通讯时的安全性。统在通讯时的安全性。
【技术实现步骤摘要】
工业通讯防护方法、装置、终端设备及存储介质
[0001]本专利技术涉及工业通讯安全领域,尤其涉及一种工业通讯防护方法、装置、终端设备及存储介质。
技术介绍
[0002]随着工业自动化的推进,工业控制系统的应用也越来越广泛。ICS(Industrial control system,工业控制系统)是包括监控和SCADA(Supervisory Control And Data Acquisition,数据采集系统)、DCS(Dorsal Column Stimulator,分布控制系统)等多种类型控制系统的总称,系统中的组件,包括可程序化逻辑控制器、传感器、转换器、发射器、控制器与执行器等,它们的控制系统上位机、操作员站和工程师站往往使用工控协议(S7)进行数据的传输与通信,然而,工业控制系统的安全问题日益剧增,尤其是工业控制系统在生产过程中受到的网络安全威胁。
[0003]现有的工业控制系统对通讯场景内/外网进行隔离,隔离了外网攻击,但对于内网通讯防护相对薄弱,当操作员或控制系统上机位进行不当操作,无法有效的防护,有可能造成不估量的损失。部分厂商采用机器学习/建模/检测方式进行防护,然而,工业通讯流量相对比较小且内容相同,部分流量仅在某个时刻才会出现,造成资源浪费,而且机器学习检测依赖学习到的模型,但并不清楚具体操作内容或威胁程度,那么对于小概率出现的正常操作流量产生误报的可能性较高。
[0004]因此,如何有效的检测出工业流量数据中的安全性威胁,从而对工业流量数据进行处理,确保工业通讯流量的安全性是当前亟待解决的问题。
技术实现思路
[0005]本申请的主要目的在于提供一种工业通讯防护方法、装置、终端设备及存储介质,旨在解决如何有效的检测出工业流量数据中的安全性威胁,从而对工业流量数据进行处理,确保工业通讯流量的安全性的技术问题。
[0006]为实现上述目的,本申请实施例提供一种工业通讯防护方法,应用于工业通讯安全
,所述工业通讯防护方法包括以下步骤:获取工业流量数据,从所述工业流量数据中提取协议特征;对所述协议特征基于预设的协议特征匹配规则进行匹配,得到第一匹配结果;根据所述协议特征的第一匹配结果,并基于威胁检测规则检测所述工业流量数据中的安全性威胁。
[0007]可选的,所述对所述协议特征基于预设的协议特征匹配规则进行匹配,得到第一匹配结果的步骤包括:将所述协议特征进行特征唯一值的运算,得到所述协议特征的第一特征唯一值;将所述第一特征唯一值与特征缓存中的数据进行匹配,得到第一匹配结果,所述特征缓存包括已知特征缓存和临时特征缓存。
[0008]可选的,所述根据所述协议特征的第一匹配结果,并基于威胁检测规则检测所述工业流量数据中的安全性威胁的步骤包括:若所述第一匹配结果为匹配成功,则根据特征缓存的数据确定所述协议特征的特征权值;判断所述特征权值是否达到预设的异常阈值;若是,则确定检测到安全性威胁。
[0009]可选的,所述根据所述协议特征的第一匹配结果,并基于威胁检测规则检测所述工业流量数据中的安全性威胁的步骤还包括:若所述第一匹配结果为匹配失败,则将所述协议特征与预先配置的敏感动作特征进行匹配,得到第二匹配结果;若所述第二匹配结果为失败,则将所述协议特征上报告警,将所述协议特征及相关数据添加到临时特征缓存中,进行增量特征的学习,并根据预先配置的特征规则动作进行处理;若所述第二匹配结果为成功,则确定检测到安全性威胁。
[0010]可选的,所述工业通讯防护方法还包括:在检测到安全性威胁时,对所述工业流量数据进行处理,具体包括:在检测到安全性威胁时,将所述协议特征及相关数据添加到临时特征缓存中,进行所述增量特征的学习,并根据预先配置的特征规则动作进行处理;和/或在检测到安全性威胁时,将所述协议特征上报,并由人工干预处理,所述人工干预为告警、通过和丢弃中任一种。
[0011]可选的,所述在检测到安全性威胁时,将所述协议特征上报,并由人工干预处理,所述人工干预为告警、通过和丢弃中任一种的步骤之后还包括:根据所述人工干预对所述协议特征进行威胁等级划分,得到第一划分结果;若所述人工干预为告警或通过,则将所述协议特征及相关数据存入所述已知特征存缓存;若所述人工干预为丢弃,则标识所述工业流量数据为丢弃状态。
[0012]可选的,所述增量特征的学习的步骤包括:获取所述临时特征缓存中所述协议特征的特征权值;根据预设威胁阈值范围和时间对所述特征权值进行威胁等级划分,得到第二划分结果,所述威胁阈值范围包括最高威胁、可疑威胁、无威胁;根据所述第二划分结果,对所述特征缓存进行处理;根据所述第二划分结果,更新所述协议特征对应的特征规则动作为告警、通过和丢弃中任一种。
[0013]可选的,所述根据预设威胁范围和时间对所述特征权值进行威胁等级划分,得到第二划分结果,所述威胁范围包括最高威胁范围、可疑威胁范围、无威胁范围的步骤包括:计算所述协议特征在单位时间的特征权值,若所述特征权值满足所述最高威胁范围,则将所述协议特征的威胁等级判定为高威胁;计算所述协议特征在预设时间段内的特征权值,若所述特征权值满足所述可疑威胁范围,则将所述协议特征的威胁等级判定为可疑威胁;
计算所述协议特征在预设时间周期内的特征权值,若所述特征权值满足所述无威胁范围,则将所述协议特征的威胁等级判定为无威胁。
[0014]可选的,所述获取工业流量数据,从所述工业流量数据中提取协议特征的步骤之前还包括:根据预先配置的学习策略,进行协议特征的学习,得到协议特征的学习结果;将所述学习结果与所述已知特征缓存中的数据做对比,计算差异比例;将所述差异比例与预先设定的差异阈值做对比;若所述差异比例大于预先设定的差异阈值,则将所述学习结果同步到所述已知特征缓存。
[0015]可选的,所述根据预先配置的学习策略,进行协议特征的学习,得到协议特征的学习结果的步骤之前还包括:从数据库中获取原始特征数据;根据所述原始特征数据中的精准特征标识,判断所述原始特征数据中的特征是否为已知特征;若所述原始特征数据中的协议特征为已知特征,则将所述原始特征数据存入所述所述已知特征缓存;若所述原始特征数据中的协议特征非已知特征,则将所述原始特征数据存入所述临时特征缓存或对所述临时特征缓存进行更新。
[0016]本申请实施案例还提出一种工业通讯防护装置,所述工业通讯防护装置包括:提取模块,用于获取工业流量数据,从所述工业流量数据中提取协议特征;匹配模块,用于对所述协议特征基于预设的协议特征匹配规则进行匹配,得到第一匹配结果;学习操作模块,用于根据所述协议特征的第一匹配结果,并基于威胁检测规则检测所述工业流量数据中的安全性威胁。
[0017]本申请实施例还提出一种终端设备,所述终端设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的工业通讯防护程序,所述工业通讯防护程序被所述处理器执行时实现所述工业通讯防护方法的步骤。
[0018]本申请实施例还提出一种存储介质,所述存储介质上存储有工业通讯防护程本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种工业通讯防护方法,其特征在于,所述工业通讯防护方法包括以下步骤:获取工业流量数据,从所述工业流量数据中提取协议特征;对所述协议特征基于预设的协议特征匹配规则进行匹配,得到第一匹配结果;根据所述协议特征的第一匹配结果,并基于威胁检测规则检测所述工业流量数据中的安全性威胁。2.根据权利要求1所述的工业通讯防护方法,其特征在于,所述对所述协议特征基于预设的协议特征匹配规则进行匹配,得到第一匹配结果的步骤包括:将所述协议特征进行特征唯一值的运算,得到所述协议特征的第一特征唯一值;将所述第一特征唯一值与特征缓存中的数据进行匹配,得到第一匹配结果,所述特征缓存包括已知特征缓存和临时特征缓存;所述根据所述协议特征的第一匹配结果,并基于威胁检测规则检测所述工业流量数据中的安全性威胁的步骤包括:若所述第一匹配结果为匹配成功,则根据特征缓存的数据确定所述协议特征的特征权值;判断所述特征权值是否达到预设的异常阈值;若是,则确定检测到安全性威胁;若所述第一匹配结果为匹配失败,则将所述协议特征与预先配置的敏感动作特征进行匹配,得到第二匹配结果;若所述第二匹配结果为失败,则将所述协议特征上报告警,将所述协议特征及相关数据添加到临时特征缓存中,进行增量特征的学习,并根据预先配置的特征规则动作进行处理;若所述第二匹配结果为成功,则确定检测到安全性威胁。3.根据权利要求2所述的工业通讯防护方法,其特征在于,所述工业通讯防护方法还包括:在检测到安全性威胁时,对所述工业流量数据进行处理,具体包括:在检测到安全性威胁时,将所述协议特征及相关数据添加到临时特征缓存中,进行所述增量特征的学习,并根据预先配置的特征规则动作进行处理;和/或在检测到安全性威胁时,将所述协议特征上报,并由人工干预处理,所述人工干预为告警、通过和丢弃中任一种;根据所述人工干预对所述协议特征进行威胁等级划分,得到第一划分结果;若所述人工干预为告警或通过,则将所述协议特征及相关数据存入所述已知特征存缓存;若所述人工干预为丢弃,则标识所述工业流量数据为丢弃状态。4.根据权利要求3所述的工业通讯防护方法,其特征在于,所述增量特征的学习的步骤包括:获取所述临时特征缓存中所述协议特征的特征权值;根据预设威胁阈值范围和时间对所述特征权值进行威胁等级划分,得到第二划分结果,所述威胁阈值范围包括最高威胁、可疑威胁、无威胁;根据所述第二划分结果,对所述特征缓存进行处理;
根据所述第二划分结果,更新所述协议特征对应的特征规则动作为告警、通过和丢弃中任一种。5.根据...
【专利技术属性】
技术研发人员:贾建利,
申请(专利权)人:北京六方云科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。