一种工业网络安全事件基础数据定向采集方法及系统技术方案

本发明专利技术涉及一种工业网络安全事件基础数据定向采集方法及系统，基于工业企业内部网络中各类网络安全设备上目标网络安全告警事件的采集，通过目标数据采集范围与目标采集时间窗口的构建，组合目标网络安全告警事件所对应的目标采集策略，进而执行基础数据的定向采集；设计有效降低了采集数据的时间和空间范围，提高了采集效率；同时基于最大平均持续时间窗口值，可有效确定数据在采集设备上的留存时间范围，避免大量数据积压带来的存储压力；而且设计实现了对采集范围的动态调整，基于整体网络的总体网络威胁指数、事件的危险等级、置信度等指标动态调整采集范围，提高了采集数据的精准度，避免大量无效数据的采集，又尽可能保障有效数据无遗漏。能保障有效数据无遗漏。能保障有效数据无遗漏。

【技术实现步骤摘要】
一种工业网络安全事件基础数据定向采集方法及系统


[0001]本专利技术涉及一种工业网络安全事件基础数据定向采集方法及系统，属于工业网络安全检测


技术介绍

[0002]工业互联网的发展使得工业企业的网络（包括IT和OT网络）从封闭孤立走向开放互联，工控网络的暴露面扩大、面临的网络安全威胁显著增加。为更好地分析网络安全事件，全量基础数据采集是一种十分必要且有效的解决方案。通过基础数据的留存，为进一步的网络安全事件的分析提供数据基础，可有效支撑网络安全事件的分析处置工作。
[0003]在工业企业场景下，以太网、工业总线两个层面构成了工控网络数据通信交换的核心通道。近年来，除了通过以太网进行攻击的行为之外，频繁出现针对总线等非以太网协议的工控网络的漏洞利用与攻击事件。部分网络安全事件可以通过对现有的网络安全设备实时发现并告警的事件数据直接进行研判来确认，但仍有大量的网络安全事件需要在网络安全设备事件数据的基础上，通过对事件当时一定时间范围内的日志、流量、总线等基础数据进行二次研判分析，最终确定网络安全事件的真实性和危害程度，并对网络安全事件进行溯源、追踪。因此，需要留存工业企业场景下日志、以太网、工业总线等类型的基础数据，用于后续的研判分析。
[0004]工业企业工控数据采集点位多，全量采集数据规模爆炸。一般规模的工业企业工控网络全量采集点位超过1万个，实时信号采集周期可达毫秒级。全量采集日志/总线/网络流量数据对存储和计算资源需求大，而与网络攻击事件直接相关的数据占比很低，难以落地实施。亟需研究高效的、定向的工业网络安全事件基础数据采集的方法与系统，以精准采集与网络安全事件相关的基础数据，降低单次事件中数据采集的点位和规模，从而达到工业企业存算资源与网络安全事件分析业务需求之间的平衡。
[0005]针对工业企业网络安全事件相关的基础数据采集的问题，现有的技术方案主要针对日志和以太网数据进行采集。业界普遍通过部署全流量采集存储设备，对以太网流量进行采集、存储和分析，而针对工业总线数据尚较少涉及。同时，由于受到实施、存算资源成本的影响，以太网全流量采集设备也难以覆盖到所有节点，因此，现有技术无法对工业网络中的各个网络环节进行有效覆盖，难以支撑全面的网络安全事件分析研判需求。

技术实现思路

[0006]本专利技术所要解决的技术问题是提供一种工业网络安全事件基础数据定向采集方法，采用全新策略设计，从网络结构维度与时间维度两方面分析执行数据采集，不仅降低单次事件的数据采集范围，而且能够避免所需采集基础数据的遗漏。
[0007]本专利技术为了解决上述技术问题采用以下技术方案：本专利技术设计了一种工业网络安全事件基础数据定向采集方法，按如下步骤A至步骤C，基于工业企业内部网络中各类网络安全设备上目标网络安全告警事件的采集，实现关于目标网络安全告警事件的基础数据定
向采集；步骤A. 获得目标网络安全告警事件所对应预设各类型采集数据结果，并结合预设网络安全事件知识库，获得目标网络安全告警事件所关联预设各类型攻击链相关数据，构成目标网络安全告警事件所对应的事件分析结果数据，然后进入步骤B；步骤B. 根据目标网络安全告警事件所对应的事件分析结果数据，计算获得目标网络安全告警事件所对应的影响距离L，进而获得目标数据采集范围，同时获得目标采集时间窗口，由目标数据采集范围与目标采集时间窗口，构成目标网络安全告警事件所对应的目标采集策略，然后进入步骤C；步骤C. 基于目标网络安全告警事件所对应的目标采集策略，采集目标数据采集范围对应目标采集时间窗口的基础数据，实现关于目标网络安全告警事件的基础数据定向采集。
[0008]作为本专利技术的一种优选技术方案：还包括步骤BC如下，执行完步骤B之后，进入步骤BC；步骤BC. 针对目标网络安全告警事件所对应的目标采集策略，结合所获各历史采集策略，去除目标采集策略中时空重复部分，更新目标采集策略，然后进入步骤C。
[0009]作为本专利技术的一种优选技术方案：还包括步骤D如下，执行完步骤C之后，进入步骤D；步骤D. 基于目标网络安全告警事件、以及历史所获各网络安全告警事件分别对应所处攻击链平均持续时间窗口t，以最长所处攻击链平均持续时间窗口t作为周期，存储步骤C所采集的基础数据，并清除超过周期的基础数据。
[0010]作为本专利技术的一种优选技术方案：所述步骤A包括步骤A1至步骤A3如下；步骤A1. 获得目标网络安全告警事件所对应预设各类型采集数据结果，包括事件设备IP/设备名、事件时间、事件类型、置信度α，然后进入步骤A2；步骤A2. 基于预先存储各类网络安全告警事件分别所对应危险等级h、所处攻击链环节序号s、以及所处攻击链平均持续时间窗口t的网络安全事件知识库，根据目标网络安全告警事件的事件类型，获得目标网络安全告警事件所关联的危险等级h、所处攻击链环节序号s、以及所处攻击链平均持续时间窗口t，然后进入步骤A3；步骤A3. 由目标网络安全告警事件所对应的事件设备IP/设备名、事件时间、置信度α、危险等级h、所处攻击链环节序号s、以及所处攻击链平均持续时间窗口t，构成目标网络安全告警事件所对应的事件分析结果数据，然后进入步骤B。
[0011]作为本专利技术的一种优选技术方案：所述步骤B中，根据目标网络安全告警事件所对应的事件分析结果数据，按如下步骤B1
‑
1至步骤B1
‑
3，计算获得目标网络安全告警事件所对应的影响距离L，进而获得目标数据采集范围；步骤B1
‑
1. 根据目标网络安全告警事件所对应事件分析结果数据中的危险等级h、事件时间，结合历史所获各网络安全告警事件分别对应的危险等级h、事件时间，计算获得当前总体安全因子c，然后进入步骤B1
‑
2；步骤B1
‑
2. 以目标网络安全告警事件所对应事件分析结果数据中的置信度α、危险等级h、所处攻击链环节序号s，结合当前总体安全因子c的相乘结果，计算获得目标网络安全告警事件所对应的影响距离L，然后进入步骤B1
‑
3；
步骤B1
‑
3. 以目标网络安全告警事件所对应事件分析结果数据中事件设备IP/设备名为主节点，以目标网络安全告警事件所对应影响距离L为目标节点跳数，基于工业企业内部网络拓扑结构，获得距离主节点的目标节点跳数范围内的各节点设备、以及各条节点设备间路径，构成目标数据采集范围。
[0012]作为本专利技术的一种优选技术方案：所述步骤B1
‑
1中，根据目标网络安全告警事件所对应事件分析结果数据中的危险等级h，结合历史所获各网络安全告警事件分别对应的危险等级h，获得当前平均危险等级；同时根据目标网络安全告警事件所对应事件分析结果数据中的事件时间，以该事件时间所属预设时长周期内网络安全告警事件数量、除以各历史该预设时长周期内网络安全告警事件平均数量的结果，作为当前事件频率水平；进而计算获得平均危险等级与事件频率水平的相乘结果，构成当前总体安全因子c。
[0013]作为本专利技术本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种工业网络安全事件基础数据定向采集方法，其特征在于：按如下步骤A至步骤C，基于工业企业内部网络中各类网络安全设备上目标网络安全告警事件的采集，实现关于目标网络安全告警事件的基础数据定向采集；步骤A. 获得目标网络安全告警事件所对应预设各类型采集数据结果，并结合预设网络安全事件知识库，获得目标网络安全告警事件所关联预设各类型攻击链相关数据，构成目标网络安全告警事件所对应的事件分析结果数据，然后进入步骤B；步骤B. 根据目标网络安全告警事件所对应的事件分析结果数据，计算获得目标网络安全告警事件所对应的影响距离L，进而获得目标数据采集范围，同时获得目标采集时间窗口，由目标数据采集范围与目标采集时间窗口，构成目标网络安全告警事件所对应的目标采集策略，然后进入步骤C；步骤C. 基于目标网络安全告警事件所对应的目标采集策略，采集目标数据采集范围对应目标采集时间窗口的基础数据，实现关于目标网络安全告警事件的基础数据定向采集。2.根据权利要求1所述一种工业网络安全事件基础数据定向采集方法，其特征在于：还包括步骤BC如下，执行完步骤B之后，进入步骤BC；步骤BC. 针对目标网络安全告警事件所对应的目标采集策略，结合所获各历史采集策略，去除目标采集策略中时空重复部分，更新目标采集策略，然后进入步骤C。3.根据权利要求2所述一种工业网络安全事件基础数据定向采集方法，其特征在于：还包括步骤D如下，执行完步骤C之后，进入步骤D；步骤D. 基于目标网络安全告警事件、以及历史所获各网络安全告警事件分别对应所处攻击链平均持续时间窗口t，以最长所处攻击链平均持续时间窗口t作为周期，存储步骤C所采集的基础数据，并清除超过周期的基础数据。4.根据权利要求1至3中任意一项所述一种工业网络安全事件基础数据定向采集方法，其特征在于：所述步骤A包括步骤A1至步骤A3如下；步骤A1. 获得目标网络安全告警事件所对应预设各类型采集数据结果，包括事件设备IP/设备名、事件时间、事件类型、置信度α，然后进入步骤A2；步骤A2. 基于预先存储各类网络安全告警事件分别所对应危险等级h、所处攻击链环节序号s、以及所处攻击链平均持续时间窗口t的网络安全事件知识库，根据目标网络安全告警事件的事件类型，获得目标网络安全告警事件所关联的危险等级h、所处攻击链环节序号s、以及所处攻击链平均持续时间窗口t，然后进入步骤A3；步骤A3. 由目标网络安全告警事件所对应的事件设备IP/设备名、事件时间、置信度α、危险等级h、所处攻击链环节序号s、以及所处攻击链平均持续时间窗口t，构成目标网络安全告警事件所对应的事件分析结果数据，然后进入步骤B。5.根据权利要求4所述一种工业网络安全事件基础数据定向采集方法，其特征在于：所述步骤B中，根据目标网络安全告警事件所对应的事件分析结果数据，按如下步骤B1
‑
1至步骤B1
‑
3，计算获得目标网络安全告警事件所对应的影响距离L，进而获得目标数据采集范围；步骤B1
‑
1. 根据目标网络安全告警事件所对应事件分析结果数据中的危险等级h、事件时间，结合历史所获各网络安全告警事件分别对应的危险等级h、事件时间，计算获得当
前总体安全因子c，然后进入步骤B1
‑
2；步骤B1
‑
2. 以目标网络安全告警事件所对应事件分析结果数据中的置信度α、危险等级h、所处攻击链环节序号s，结合当前总体安全因子c的相乘结果，计算获得目标网络安全告警事件所对应的影响距离L，然后进入步骤B...

【专利技术属性】
技术研发人员：陈亮，赵彦，林冠洲，吴博，周莹莹，张子奇，霍然，
申请(专利权)人：国家计算机网络与信息安全管理中心北京分中心，
类型：发明
国别省市：