基于SOAR的油田工控安全监管方法技术

本发明专利技术提供一种基于SOAR的油田工控安全监管方法，该基于SOAR的油田工控安全监管方法包括：步骤1，针对在油田工控系统中采集到的示功图日志，进行图像形状分析，确定发生预警时，将预警事件发送至SOAR模块：步骤2，SOAR模块分析得到是否属于攻击安全事件，进而发出针对资产异常的风险告警；步骤3，SOAR模块进行网络根本故障源诊断；步骤4，SOAR模块对判断为具有风险的工控设备所属的网络区域进行相应的响应动作。该基于SOAR的油田工控安全监管方法降低事件响应的错误率，同时降低了由人为判定带来的误差，整体提高了油田工控安全的安全可靠的监管能力。监管能力。监管能力。

【技术实现步骤摘要】
基于SOAR的油田工控安全监管方法


[0001]本专利技术涉及油田安全监管
，特别是涉及到一种基于SOAR的油田工控安全监管方法。

技术介绍

[0002]面对海量的油田安全数据.只有分析提炼出有价值的情报来辅助决策，进而才能进行正确的处置。从风险管理的角度来说，作为海量安全数据的事件(Event)只代表一种客观的状态，初步分析提炼可以加工成需要关注的告警(Alert),与事件(Event)相比，告警(Alert)数量从亿万条减少了千百条，同时告警(Alert)具有了严重程度(比如高中低)。单条告警(Alert)程度并不能作为处置的决策，以时间前后进行排序也无法休现处置的优先级。告警(Alert)还需要进一步加工聚合，形成体现优先级的风险事件(Incident)。理论上来讲，风险事件(Incident)需要从数量、准确性以及上下文信息丰富性，都应该比告警(Alert)有明显的改善才可以，起码要达到人为(甚至是机器)可以逐条判定与决策的程度。达到了安全事件(Incident)的良好效果，通过研判决策剔除结果通知类事件(如成功拦截事件)，剩下的安全事件(Incident)就是需要进行处置的，也就是安全事故(Accident)。这条鸿沟为什么难以跨越,非常明显，就是如何聚合以风险为视角的安全事件(Incident),并且判定这些安全事件(Incident)需要如何处置。
[0003]目前普遍的情况是可以分析到告警(Alert)层面，但由于各种原因所致，告警(Alert)的准确率可以达到百分之六十以上，还可能有牺牲检测率的嫌疑。
[0004]在申请号：CN201210219995.1的中国专利申请中，涉及到一种油田物联网系统通信方法，兼容现有的油田监控方案，同时具备广阔的拓展空间和灵活的协议升级模式，包括如下步骤：1)发送方打包通信帧，所述通信帧由包头标识段、包长度数据段、包类型段、包体段和包尾校验段组成；包体段包括多个子包，所述包体段各子包的数据长度和类型可变，包类型段包括油田公司编码、厂家编码、版本号、通信类型编码、自身与目标设备的识别编码和包序列号；2)接收方接收通信帧，分析包头标识段、包长度数据段、包类型段和包尾校验段的数据，做相应处理。
[0005]在申请号：CN201510193797.6的中国专利申请中，涉及到一种油田勘探开发生产多卫星综合服务平台及工作方法,该平台基于BS架构,是由通讯卫星分别与动中通天线和平台控制中心的中心站通讯。北斗导航卫星分别与北斗数传终端、车载终端和手持终端与平台控制中心的北斗指挥机通讯,车载终端和手持终端也可通过3G网络与平台控制中心的服务器系统通讯构成。
[0006]在申请号：CN202010410269.2的中国专利申请中，涉及到一种基于物联网大数据的油田单拉罐井生产运行调度优化系统，包括：用于采集单拉罐的生产参数的生产传感模块，用于采集拉油车的工作参数的车载监控监测模块，和设置于油田指挥站场的调度终端；调度终端分别与生产传感模块和车载监控监测模块通信连接，而使得调度终端能够基于生产参数和/或工作参数输出用于拉油车将地理位置彼此各异的单拉罐内的原油拉油至卸油
点的拉油方案；调度终端独立于油田指挥站场的内网而分别能够与生产传感模块和车载监控监测模块建立数据连接，以使得生产传感模块和车载监控监测模块能够在不获取内网数据的情况下能够通信连接。
[0007]以上现有技术均与本专利技术有较大区别，现有技术未能将油田的工控系统发生的通讯进行异常分析，并与安全事件进行统一关联、统一监管。未能解决我们想要解决的技术问题，为此我们专利技术了一种新的基于SOAR的油田工控安全监管方法，解决了以上技术问题。

技术实现思路

[0008]本专利技术的目的是提供一种采用分析油田工控系统中的示功图日志事件，与SOAR的编排技术进行复合联动的基于SOAR的油田工控安全监管方法。
[0009]本专利技术的目的可通过如下技术措施来实现：基于SOAR的油田工控安全监管方法，该基于SOAR的油田工控安全监管方法包括：
[0010]步骤1，针对在油田工控系统中采集到的示功图日志，进行图像形状分析，确定发生预警时，将预警事件发送至SOAR模块：
[0011]步骤2，SOAR模块分析得到是否属于攻击安全事件，进而发出针对资产异常的风险告警；
[0012]步骤3，SOAR模块进行网络根本故障源诊断；
[0013]步骤4，SOAR模块对判断为具有风险的工控设备所属的网络区域进行相应的响应动作。
[0014]本专利技术的目的还可通过如下技术措施来实现：
[0015]步骤1包括：
[0016]步骤1a，采集油田工控监控系统中的示功图日志，过滤出日志中的数值字段，根据一组数据的XY坐标位置，确定该组数据的图形；
[0017]步骤1b，将分析到的数据图形与正常示功图做比对，判断是否存在异常事件；
[0018]步骤1c，当存在异常事件时，分析产生异常图形的日志的上下文相关信息；
[0019]步骤1d，确定是否发生预警，当发生预警时，将预警事件发送至SOAR模块。
[0020]在步骤1b中，当分析到的图像形状为正规闭合四边形时，判断为正常事件；当分析到的图像形状为波浪形线性时，判断为工控资产状态异常事件；当分析到的图像形状为正规非闭合时，判断为网络通讯异常事件。
[0021]在步骤1c中，当判断为工控资产状态异常时，确定异常图形反映的资产的IP，将该事件的IP地址与油田资产名称、资产价值、资产类型、资产标签进行关联；通过风险计算公式计算风险值：
[0022]风险值＝资产价值*弱点值*威胁严重性*威胁频度，
[0023]其中，资产价值、弱点值、威胁严重程度互相独立，单独计算，以尽量减少运算量；资产价值只保存当前值，不记录历史变化趋势；威胁频度、威胁严重性则保存每一次运算的历史结果；
[0024]风险值的取值范围：0～125
[0025]其中：资产价值：0～5
[0026]弱点值：1～5
[0027]威胁严重性：1～5
[0028]威胁频度：0～1。
[0029]在步骤1c中，根据风险计算方法，计算每种资产面临的风险值，根据风险值的分布状况，为每个等级设定风险值范围，并对所有风险计算结果进行等级处理；每个等级代表了相应风险的严重程度，如下：
[0030]风险值：1
‑
25，风险等级:1，标识很低；
[0031]风险值：26
‑
50，风险等级:2，标识低；
[0032]风险值：51
‑
75，风险等级:3，标识中等；
[0033]风险值：76
‑
100，风险等级:4，标识高；
[0034]风险值：101
‑
125，风险等级:5，标识很高。
[0035]在步骤1d中，预警发生分为低、中、高三个等级，如果计算得到的风险等级为3级，则发生低级本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.基于SOAR的油田工控安全监管方法，其特征在于，该基于SOAR的油田工控安全监管方法包括：步骤1，针对在油田工控系统中采集到的示功图日志，进行图像形状分析，确定发生预警时，将预警事件发送至SOAR模块：步骤2，SOAR模块分析得到是否属于攻击安全事件，进而发出针对资产异常的风险告警；步骤3，SOAR模块进行网络根本故障源诊断；步骤4，SOAR模块对判断为具有风险的工控设备所属的网络区域进行相应的响应动作。2.根据权利要求1所述的基于SOAR的油田工控安全监管方法，其特征在于，步骤1包括：步骤1a，采集油田工控监控系统中的示功图日志，过滤出日志中的数值字段，根据一组数据的XY坐标位置，确定该组数据的图形；步骤1b，将分析到的数据图形与正常示功图做比对，判断是否存在异常事件；步骤1c，当存在异常事件时，分析产生异常图形的日志的上下文相关信息；步骤1d，确定是否发生预警，当发生预警时，将预警事件发送至SOAR模块。3.根据权利要求2所述的基于SOAR的油田工控安全监管方法，其特征在于，在步骤1b中，当分析到的图像形状为正规闭合四边形时，判断为正常事件；当分析到的图像形状为波浪形线性时，判断为工控资产状态异常事件；当分析到的图像形状为正规非闭合时，判断为资产网络通讯异常事件。4.根据权利要求3所述的基于SOAR的油田工控安全监管方法，其特征在于，在步骤1c中，当判断为工控资产状态异常时，确定异常图形反映的资产的IP，将该事件的IP地址与油田资产名称、资产价值、资产类型、资产标签进行关联；通过风险计算公式计算风险值：风险值＝资产价值*弱点值*威胁严重性*威胁频度，其中，资产价值、弱点值、威胁严重程度互相独立，单独计算，以尽量减少运算量；资产价值只保存当前值，不记录历史变化趋势；威胁频度、威胁严重性则保存每一次运算的历史结果；风险值的取值范围：0～125其中：资产价值：0～5弱点值：1～5威胁严重性：1～5威胁频度：0～1。5.根据权利要求4所述的基于SOAR的油田工控安全监管方法，其特征在于，在步骤1c中，根据风险计算方法，计算每种资产面临的风险值，根据风险值的分布状况，为每个等级设定风险值范围，并对所有风险计算结果进行等级处理；每个等级代表了相应风险的严重程度，如下：风险值：1
‑
25，风险等级:1，标识很低；风险值：26
‑
50，风险等级:2，标识低；风险值：51
‑
75，风险等级:3，标识中等；风险值：76
‑
100，风险等级:4，标识高；风险值：101
‑
125，风险等级:5，标识很高。
6.根据权利要求5所述的基于SOAR的油田工控安全监管方法，其特征在于，在步骤1d中，预警发生分为低、中、高三个等级，如果计算得到的风险等级为3级，则发生低级预警；如果计算得到的风险等级为4级，则发生中级预警；如果计算得到的风险等级为5级，则发生高级预警；将预警事件发送至SOAR模块。7.根据权利要求6所述的基于SOAR的油田工控安全监管方法，其特征在于，在步骤2中，SOAR模块将该预警事件与该预警事件所针对的目标资产当前具有的漏洞信息进行关联，包括端口关联和漏洞编号关联；分析得到是否属于攻击安全事件，进而发出针对资产异常的风险告警。8.根据权利要求7所述的基于SOAR的油田工控安全监管方法，其特征在于，在步骤2中，SOAR模块接收到预警事件后，判断其发生的预警等级，进一步地对产生的预警的内容做调查、丰富化。9.根据权利要求8所述的基于SOAR的油田工控安全监管方法，其...

【专利技术属性】
技术研发人员：杨耀忠，段鸿杰，匡波，刘宝军，罗阳，胥林，冯海涛，郭海静，杨岳，史进，
申请(专利权)人：中国石油化工股份有限公司胜利油田分公司信息化管理中心，
类型：发明
国别省市：