一种面向工业控制系统报警数据的分析系统与方法,其包括信息收集模块和综合分析模块,信息收集模块用于收集工业控制系统的拓扑信息、报警数据以及漏洞信息;综合分析模块,用于对报警类别和系统安全状态进行预测评估,根据预测评估的结果,为不同类别的报警提供相应的处理分析方法,并预测下一个攻击目标,本申请通过处理工控系统报警数据,分析报警产生的原因,预测系统安全状态和未来攻击事件,为分析处理工控系统的安全事件提供依据,可广泛应用于大数据处理领域。用于大数据处理领域。用于大数据处理领域。
【技术实现步骤摘要】
一种面向工业控制系统报警数据的分析系统与方法
[0001]本专利技术涉及大数据处理领域,尤其是涉及一种面向工业控制系统报警数据的分析系统与方法。
技术介绍
[0002]工业控制系统广泛应用于工业制造领域,随着工业4.0的到来,工业化和信息化融合日益加深,工业控制系统越来越智能化。随之而来的是工控网络规模、复杂性的提高,以及与公用网络的联系更加密切。这使得工控系统更容易暴露,针对工控系统的攻击越来越多,工控系统的安全性面临严峻挑战。工业防火墙、工业入侵检测系统同传统的防火墙一起被用来保护工控系统,当攻击发生时,它们会产生大量的报警数据,通过对这些报警数据进行分析,可以及时获悉系统安全状态,为进一步处理安全事件提供有力依据。
[0003]针对工业控制系统的报警数据分析工具较少,现有的分析工具只能静态评估系统安全性,不能动态实时预测系统安全状态;通常对固定类型的单条报警数据进行分析,不能进行多条不同类型、不同位置报警数据的关联分析,迁移性、扩展性较差。目前的工控系统报警数据分析工具主要处理分析网络层报警,缺少对系统中其它软件产生的报警数据的检测分析。
技术实现思路
[0004]为解决上述技术问题,本专利技术提供一种面向工业控制系统报警数据的分析系统与方法。
[0005]本申请实施例的第一方面提供了一种面向工业控制系统报警数据的分析系统,其包括:
[0006]信息收集模块,用于收集工业控制系统的拓扑信息、报警数据以及漏洞信息;
[0007]综合分析模块,用于对报警类别和系统安全状态进行预测评估,根据预测评估的结果,为不同类别的报警提供相应的处理分析方法,并预测下一个攻击目标。
[0008]优选的,所述信息收集模块包括:
[0009]网络拓扑获取模块,用于收集拓扑信息,并将所述拓扑信息存储至系统中;
[0010]网络层报警数据产生分析模块,用于收集报警数据,并对报警数据聚类,训练模型进行未来攻击模型预测;
[0011]漏洞扫描模块,用于收集漏洞信息,并整合构建系统漏洞库。
[0012]优选的,所述网络层报警数据产生分析模块中报警数据的收集,采用流量处理模块获取或通过检测规则配置模块匹配产生。
[0013]优选的,综合分析模块包括安全状态预测模块、系统威胁性评估模块、网络层报警链产生模块、组态报警分析模块以及攻击预测模块。
[0014]优选的,所述安全状态预测模块用于通过报警数据的攻击描述与安全状态的联系构建隐含马尔可夫模型,通过隐含马尔可夫模型,得到未来报警数据的安全状态。
[0015]优选的,所述系统威胁性评估模块用于根据获得的安全状态和报警数据攻击模式信息,进行系统威胁评分。
[0016]优选的,所述网络层报警链产生模块用于对报警数据进行关联分析,提取出报警链。
[0017]优选的,所述组态报警分析模块用于对报警记录进行分析,并将可能由网络攻击事件引发的报警与非网络攻击事件引发的报警区分开来,以提供相应的分析手段。
[0018]优选的,所述攻击预测模块用于根据各模块获取的数据及分析结果,预测下一个攻击目标。
[0019]本申请的第二方面提供了一种面向工业控制系统报警数据的分析方法,包括以下步骤:
[0020]收集工业控制系统的拓扑信息、报警数据以及漏洞信息;
[0021]对报警类别和系统安全状态进行预测评估,根据预测评估的结果,为不同类别的报警提供相应的处理分析方法,并预测下一个攻击目标。
[0022]本专利技术通过收集分析工控系统的拓扑信息、报警数据、漏洞信息,预测未来报警数据的类别,生成报警链,对系统安全状态进行预测评估,计算工控系统中节点的报警安全评分,综合预测评估的结果,为不同类别的报警提供不同的处理分析方法,同时预测下一个可能遭到攻击的节点。本申请通过多种技术手段,综合分析工控系统产生的网络层报警和组态软件报警,评估系统安全状态,预测未来攻击,溯源报警产生的原因,为管理员处理安全事件、保护工控系统提供了有力支撑。
附图说明
[0023]图1为本申请一实施例提供的一种面向工业控制系统报警数据的分析系统的系统架构图;
[0024]图2为本申请一实施例提供的一种面向工业控制系统报警数据的分析系统的系统模块图;
[0025]图3为图2所示的实施例中安全状态预测模块的安全状态获取流程图。
具体实施方式
[0026]为了使本申请所要解决的技术问题、技术方案及有益效果更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
[0027]请参阅图1,为本申请一实施例提供的一种面向工业控制系统报警数据的分析系统的系统架构图,为了便于说明,仅示出了与本实施例相关的部分,详述如下:
[0028]在其中一实施例中,一种面向工业控制系统报警数据的分析系统,其包括:
[0029]信息收集模块,用于收集工业控制系统的拓扑信息、报警数据以及漏洞信息。
[0030]具体地,如图2所示,信息收集模块包括网络拓扑获取模块、网络层报警数据产生分析模块以及漏洞扫描模块。
[0031]其中,网络拓扑获取模块,支持以多种文件格式导入已有的拓扑数据,导入的数据必须包含拓扑中节点的ip地址信息以及节点之间的连通性信息,也可以使用系统自带的探
测器获取网络拓扑:探测器以较小的带宽占用、较低的频率周期性扫描整个网络,收集拓扑信息,获得的拓扑数据存储在系统中,可供其它模块使用。
[0032]网络层报警数据产生分析模块用于收集报警数据,并对报警数据聚类,训练模型进行未来攻击模型预测。
[0033]网络层报警数据是由网络中特定流量产生的报警数据,可以选择流量处理模块获取的流量,或通过与检测规则配置模块匹配产生报警数据;也可以直接选择外部报警数据进行导入。
[0034]流量处理模块用于获取流量,系统采用分布式流量获取方式,主要功能由控制器和采集器实现,控制器负责管理采集器,同时提供数据接口,可将流量数据输出,采集器部署在网络边界位置,以被动方式收集流量,获得的流量信息定期汇集到控制器,控制器和采集器之间的连接方式可以配置为控制器主动,由控制器主动连接采集器,也可以配置为采集器主动,由采集器主动连接控制器。
[0035]检测规则配置模块用于匹配流量并产生相关的报警数据,对于常见的攻击方式,根据其具体特征,系统提取并内置了检测规则,用户可以直接选择并配置,用户也可以自定义检测规则,如在实际的工控网络中,选择源地址、目的地址、端口号、协议类型及协议字段等信息,在细粒度上,定义工控设备之间流量数据的检测规则,在粗粒度上,定义整个网络中流量数据的检测规则,利用漏洞扫描模块中的漏洞指纹信息,用户可以自定义针对某个具体漏洞的检测规则,用户自定义的规则可以自命名,同时可以选择是否保存到系统,如果将自定义规则存储在系统,下次配置时可以直接使用。
[0036]本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种面向工业控制系统报警数据的分析系统,其特征在于,包括:信息收集模块,用于收集工业控制系统的拓扑信息、报警数据以及漏洞信息;综合分析模块,用于对报警类别和系统安全状态进行预测评估,根据预测评估的结果,为不同类别的报警提供相应的处理分析方法,并预测下一个攻击目标。2.根据权利要求1所述的一种面向工业控制系统报警数据的分析系统,其特征在于,所述信息收集模块包括:网络拓扑获取模块,用于收集拓扑信息,并将所述拓扑信息存储至系统中;网络层报警数据产生分析模块,用于收集报警数据,并对报警数据聚类,训练模型进行未来攻击模型预测;漏洞扫描模块,用于收集漏洞信息,并整合构建系统漏洞库。3.根据权利要求2所述的一种面向工业控制系统报警数据的分析系统,其特征在于,所述网络层报警数据产生分析模块中报警数据的收集,采用流量处理模块获取或通过检测规则配置模块匹配产生。4.根据权利要求1所述的一种面向工业控制系统报警数据的分析系统,其特征在于,所述综合分析模块包括安全状态预测模块、系统威胁性评估模块、网络层报警链产生模块、组态报警分析模块以及攻击预测模块。5.根据权利要求4所述的一种面向工业控制系统报警数据的分析系统,其特征在于,所述安全状态预...
【专利技术属性】
技术研发人员:柏军,徐有方,王子博,张耀方,王佰玲,
申请(专利权)人:威海天之卫网络空间安全科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。