【技术实现步骤摘要】
一种工业网络安全事件基础数据定向采集方法及系统
[0001]本专利技术涉及一种工业网络安全事件基础数据定向采集方法及系统,属于工业网络安全检测
技术介绍
[0002]工业互联网的发展使得工业企业的网络(包括IT和OT网络)从封闭孤立走向开放互联,工控网络的暴露面扩大、面临的网络安全威胁显著增加。为更好地分析网络安全事件,全量基础数据采集是一种十分必要且有效的解决方案。通过基础数据的留存,为进一步的网络安全事件的分析提供数据基础,可有效支撑网络安全事件的分析处置工作。
[0003]在工业企业场景下,以太网、工业总线两个层面构成了工控网络数据通信交换的核心通道。近年来,除了通过以太网进行攻击的行为之外,频繁出现针对总线等非以太网协议的工控网络的漏洞利用与攻击事件。部分网络安全事件可以通过对现有的网络安全设备实时发现并告警的事件数据直接进行研判来确认,但仍有大量的网络安全事件需要在网络安全设备事件数据的基础上,通过对事件当时一定时间范围内的日志、流量、总线等基础数据进行二次研判分析,最终确定网络安全事件的真实性和危害程度,并对网络安全事件进行溯源、追踪。因此,需要留存工业企业场景下日志、以太网、工业总线等类型的基础数据,用于后续的研判分析。
[0004]工业企业工控数据采集点位多,全量采集数据规模爆炸。一般规模的工业企业工控网络全量采集点位超过1万个,实时信号采集周期可达毫秒级。全量采集日志/总线/网络流量数据对存储和计算资源需求大,而与网络攻击事件直接相关的数据占比很低,难以落地实施。亟需研究高 ...
【技术保护点】
【技术特征摘要】
1.一种工业网络安全事件基础数据定向采集方法,其特征在于:按如下步骤A至步骤C,基于工业企业内部网络中各类网络安全设备上目标网络安全告警事件的采集,实现关于目标网络安全告警事件的基础数据定向采集;步骤A. 获得目标网络安全告警事件所对应预设各类型采集数据结果,并结合预设网络安全事件知识库,获得目标网络安全告警事件所关联预设各类型攻击链相关数据,构成目标网络安全告警事件所对应的事件分析结果数据,然后进入步骤B;步骤B. 根据目标网络安全告警事件所对应的事件分析结果数据,计算获得目标网络安全告警事件所对应的影响距离L,进而获得目标数据采集范围,同时获得目标采集时间窗口,由目标数据采集范围与目标采集时间窗口,构成目标网络安全告警事件所对应的目标采集策略,然后进入步骤C;步骤C. 基于目标网络安全告警事件所对应的目标采集策略,采集目标数据采集范围对应目标采集时间窗口的基础数据,实现关于目标网络安全告警事件的基础数据定向采集。2.根据权利要求1所述一种工业网络安全事件基础数据定向采集方法,其特征在于:还包括步骤BC如下,执行完步骤B之后,进入步骤BC;步骤BC. 针对目标网络安全告警事件所对应的目标采集策略,结合所获各历史采集策略,去除目标采集策略中时空重复部分,更新目标采集策略,然后进入步骤C。3.根据权利要求2所述一种工业网络安全事件基础数据定向采集方法,其特征在于:还包括步骤D如下,执行完步骤C之后,进入步骤D;步骤D. 基于目标网络安全告警事件、以及历史所获各网络安全告警事件分别对应所处攻击链平均持续时间窗口t,以最长所处攻击链平均持续时间窗口t作为周期,存储步骤C所采集的基础数据,并清除超过周期的基础数据。4.根据权利要求1至3中任意一项所述一种工业网络安全事件基础数据定向采集方法,其特征在于:所述步骤A包括步骤A1至步骤A3如下;步骤A1. 获得目标网络安全告警事件所对应预设各类型采集数据结果,包括事件设备IP/设备名、事件时间、事件类型、置信度α,然后进入步骤A2;步骤A2. 基于预先存储各类网络安全告警事件分别所对应危险等级h、所处攻击链环节序号s、以及所处攻击链平均持续时间窗口t的网络安全事件知识库,根据目标网络安全告警事件的事件类型,获得目标网络安全告警事件所关联的危险等级h、所处攻击链环节序号s、以及所处攻击链平均持续时间窗口t,然后进入步骤A3;步骤A3. 由目标网络安全告警事件所对应的事件设备IP/设备名、事件时间、置信度α、危险等级h、所处攻击链环节序号s、以及所处攻击链平均持续时间窗口t,构成目标网络安全告警事件所对应的事件分析结果数据,然后进入步骤B。5.根据权利要求4所述一种工业网络安全事件基础数据定向采集方法,其特征在于:所述步骤B中,根据目标网络安全告警事件所对应的事件分析结果数据,按如下步骤B1
‑
1至步骤B1
‑
3,计算获得目标网络安全告警事件所对应的影响距离L,进而获得目标数据采集范围;步骤B1
‑
1. 根据目标网络安全告警事件所对应事件分析结果数据中的危险等级h、事件时间,结合历史所获各网络安全告警事件分别对应的危险等级h、事件时间,计算获得当
前总体安全因子c,然后进入步骤B1
‑
2;步骤B1
‑
2. 以目标网络安全告警事件所对应事件分析结果数据中的置信度α、危险等级h、所处攻击链环节序号s,结合当前总体安全因子c的相乘结果,计算获得目标网络安全告警事件所对应的影响距离L,然后进入步骤B...
【专利技术属性】
技术研发人员:陈亮,赵彦,林冠洲,吴博,周莹莹,张子奇,霍然,
申请(专利权)人:国家计算机网络与信息安全管理中心北京分中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。