【技术实现步骤摘要】
基于SOAR的油田工控安全监管方法
[0001]本专利技术涉及油田安全监管
,特别是涉及到一种基于SOAR的油田工控安全监管方法。
技术介绍
[0002]面对海量的油田安全数据.只有分析提炼出有价值的情报来辅助决策,进而才能进行正确的处置。从风险管理的角度来说,作为海量安全数据的事件(Event)只代表一种客观的状态,初步分析提炼可以加工成需要关注的告警(Alert),与事件(Event)相比,告警(Alert)数量从亿万条减少了千百条,同时告警(Alert)具有了严重程度(比如高中低)。单条告警(Alert)程度并不能作为处置的决策,以时间前后进行排序也无法休现处置的优先级。告警(Alert)还需要进一步加工聚合,形成体现优先级的风险事件(Incident)。理论上来讲,风险事件(Incident)需要从数量、准确性以及上下文信息丰富性,都应该比告警(Alert)有明显的改善才可以,起码要达到人为(甚至是机器)可以逐条判定与决策的程度。达到了安全事件(Incident)的良好效果,通过研判决策剔除结果通知类事件(如成功拦截事件),剩下的安全事件(Incident)就是需要进行处置的,也就是安全事故(Accident)。这条鸿沟为什么难以跨越,非常明显,就是如何聚合以风险为视角的安全事件(Incident),并且判定这些安全事件(Incident)需要如何处置。
[0003]目前普遍的情况是可以分析到告警(Alert)层面,但由于各种原因所致,告警(Alert)的准确率可以达到百分之六十以上,还可能有牺 ...
【技术保护点】
【技术特征摘要】
1.基于SOAR的油田工控安全监管方法,其特征在于,该基于SOAR的油田工控安全监管方法包括:步骤1,针对在油田工控系统中采集到的示功图日志,进行图像形状分析,确定发生预警时,将预警事件发送至SOAR模块:步骤2,SOAR模块分析得到是否属于攻击安全事件,进而发出针对资产异常的风险告警;步骤3,SOAR模块进行网络根本故障源诊断;步骤4,SOAR模块对判断为具有风险的工控设备所属的网络区域进行相应的响应动作。2.根据权利要求1所述的基于SOAR的油田工控安全监管方法,其特征在于,步骤1包括:步骤1a,采集油田工控监控系统中的示功图日志,过滤出日志中的数值字段,根据一组数据的XY坐标位置,确定该组数据的图形;步骤1b,将分析到的数据图形与正常示功图做比对,判断是否存在异常事件;步骤1c,当存在异常事件时,分析产生异常图形的日志的上下文相关信息;步骤1d,确定是否发生预警,当发生预警时,将预警事件发送至SOAR模块。3.根据权利要求2所述的基于SOAR的油田工控安全监管方法,其特征在于,在步骤1b中,当分析到的图像形状为正规闭合四边形时,判断为正常事件;当分析到的图像形状为波浪形线性时,判断为工控资产状态异常事件;当分析到的图像形状为正规非闭合时,判断为资产网络通讯异常事件。4.根据权利要求3所述的基于SOAR的油田工控安全监管方法,其特征在于,在步骤1c中,当判断为工控资产状态异常时,确定异常图形反映的资产的IP,将该事件的IP地址与油田资产名称、资产价值、资产类型、资产标签进行关联;通过风险计算公式计算风险值:风险值=资产价值*弱点值*威胁严重性*威胁频度,其中,资产价值、弱点值、威胁严重程度互相独立,单独计算,以尽量减少运算量;资产价值只保存当前值,不记录历史变化趋势;威胁频度、威胁严重性则保存每一次运算的历史结果;风险值的取值范围:0~125其中:资产价值:0~5弱点值:1~5威胁严重性:1~5威胁频度:0~1。5.根据权利要求4所述的基于SOAR的油田工控安全监管方法,其特征在于,在步骤1c中,根据风险计算方法,计算每种资产面临的风险值,根据风险值的分布状况,为每个等级设定风险值范围,并对所有风险计算结果进行等级处理;每个等级代表了相应风险的严重程度,如下:风险值:1
‑
25,风险等级:1,标识很低;风险值:26
‑
50,风险等级:2,标识低;风险值:51
‑
75,风险等级:3,标识中等;风险值:76
‑
100,风险等级:4,标识高;风险值:101
‑
125,风险等级:5,标识很高。
6.根据权利要求5所述的基于SOAR的油田工控安全监管方法,其特征在于,在步骤1d中,预警发生分为低、中、高三个等级,如果计算得到的风险等级为3级,则发生低级预警;如果计算得到的风险等级为4级,则发生中级预警;如果计算得到的风险等级为5级,则发生高级预警;将预警事件发送至SOAR模块。7.根据权利要求6所述的基于SOAR的油田工控安全监管方法,其特征在于,在步骤2中,SOAR模块将该预警事件与该预警事件所针对的目标资产当前具有的漏洞信息进行关联,包括端口关联和漏洞编号关联;分析得到是否属于攻击安全事件,进而发出针对资产异常的风险告警。8.根据权利要求7所述的基于SOAR的油田工控安全监管方法,其特征在于,在步骤2中,SOAR模块接收到预警事件后,判断其发生的预警等级,进一步地对产生的预警的内容做调查、丰富化。9.根据权利要求8所述的基于SOAR的油田工控安全监管方法,其...
【专利技术属性】
技术研发人员:杨耀忠,段鸿杰,匡波,刘宝军,罗阳,胥林,冯海涛,郭海静,杨岳,史进,
申请(专利权)人:中国石油化工股份有限公司胜利油田分公司信息化管理中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。