数控系统安全态势感知与分析系统、方法、设备及终端技术方案

本发明专利技术属于信息安全技术领域，公开了一种数控系统安全态势感知与分析系统、方法、设备及终端，采集数控机床高频大数据和低频或静态数据并进行预处理和存储，将数据转换为结构化数据，对非结构化数据进行索引和存储；对预处理后的数据进行分析和挖掘，实现信息安全的监控预警、安全审计、安全度量、运营管理和情报管理；对海量数据的原始数据、分析结果数据和管控数据进行可视化展示，提供人机交互界面，并向安全管理人员呈现全方位安全状态。本发明专利技术的数控系统安全态势感知与分析系统具备资产管理、安全风险分析、异常攻击发现、违规行为监测、流量监测、大数据态势分析功能，安全威胁检测精确率大于95％，误报率小于5％，漏报率小于5％。5％。5％。

【技术实现步骤摘要】
数控系统安全态势感知与分析系统、方法、设备及终端


[0001]本专利技术属于信息安全
，尤其涉及一种数控系统安全态势感知与分析系统、方法、设备及终端。

技术介绍

[0002]目前，面向复杂网络的安全态势感知模型主要是针对大规模复杂网络的特点提出的态势感知模型，以提高复杂网络系统安全性和主动防御能力，林鹏文《基于大数据的网络安全态势感知研究》针对大数据时代网络复杂，产生数据的速度快、数量大且结构各异，使得传统的网络安全态势感知方法难以有效应对这一问题，研究了基于大数据分析技术的网络安全态势评估、网络安全态势预测和网络安全态势可视化。但是这种方法不具备强大的网络攻击检测能力。胡浩《基于攻击图的网络安全态势感知方法研究》针对近年来网络攻击威胁逐渐呈现出的大规模、协同、多阶段等特点，研究了面向多步攻击的网络安全态势感知方法，有效支撑安全管理员的决策。但是这种方法在大数据环境下网络安全态势预测不足。雷文鑫《面向边缘计算的安全态势感知模型》等针对工业互联网边缘计算设备易受到攻击的情况，研究提出一种边缘计算设备的态势感知模型，通过分析不同时刻下系统的状态对系统可能遭遇的攻击进行警示和检测，以达到保护边缘设备安全的目的。但是这种模型忽略了目前工业控制系统中密码应用安全的重要性。
[0003]通过上述分析，现有技术存在的问题及缺陷为：
[0004]一、大数据环境下网络安全态势特征要素提取困难：安全数据来源多样，数据种类和格式丰富，海量历史数据存在的大量错误和冗余，网络安全数据实时变化，数据多维、特征多样，特征与特征之间存在关联关系，信息融合处理计算复杂，容易导致数据维数灾难；
[0005]二、大数据环境下网络安全网络入侵检测准确率不高：网络攻击数据的特征维度多且复杂，虽然通过数据降维可提高数据处理的效率，但对于大规模攻击和协同攻击的多个攻击分类检测仍然存在较大的复杂性和计算量，还需进一步提高分类检测的效率，在大规模攻击和协同攻击检测时，多个网络攻击的数据到达时往往分布不平衡，网络攻击检测效果不佳，准确率、精确率有待提高；
[0006]三、大数据环境下网络安全态势预测不足：现有的网络安全态势预测对历史经验知识的学习仍存在不足，且历史数据和知识中包含大量不确定性的信息，这些不确定性的历史信息在一定程度上是不完整的、不精确的、矛盾的，缺乏能解决不确定性问题，且自动化、智能化的网络安全态势预测方法；现有网络安全预测算法在提高学习效率、收敛速度、预测准确度方面还有待进一步研究；四、密码安全作为信息安全的基础性核心技术的重要性重视不够。目前工业控制系统中大量密码产品投入应用，但许多密码产品的安全性还有待检验，应用使用的密码产品没有统一标准，密码方案的安全性也不同。

技术实现思路

[0007]针对现有技术存在的问题，本专利技术提供了一种数控系统安全态势感知与分析系
统、方法、设备及终端，尤其涉及一种基于国产密码的数控系统安全态势感知与分析系统、方法、介质、设备及终端。
[0008]本专利技术是这样实现的，一种数控系统安全态势感知与分析方法，数控系统安全态势感知与分析方法包括：采集层通过NC
‑
Link采集数控机床高频大数据和低频或静态数据；大数据层对采集数据的预处理和存储，将数据转换为结构化数据，对非结构化数据进行索引和存储；分析层对预处理后的数据进行分析和挖掘，管控层实现信息安全的监控预警、安全审计、安全度量、运营管理和情报管理；利用呈现层对海量数据的原始数据、分析结果数据和管控数据进行可视化展示，提供人机交互界面，并向安全管理人员呈现全方位安全状态。
[0009]进一步，数控系统安全态势感知与分析方法包括以下步骤：
[0010]步骤一，通过资产管理描述网络内的资产态势；
[0011]步骤二，利用风险计算模型实现安全风险分析；
[0012]步骤三，采集密码应用信息，并发现异常攻击；
[0013]步骤四，分别进行违规行为和流量的监测；
[0014]步骤五，分析大数据态势，进行态势感知应急响应；
[0015]步骤六，构建基于国产密码的知识库。
[0016]进一步，步骤一中的资产管理包括：
[0017]通过主动发现、导入或创建的方式识别和梳理目标网络中要被防护的资产及业务对象。所获得并维护的被防护对象信息将在整个态势分析呈现过程中，被其他维度的感知所利用，成为面向安全对象安全态势分析的基础。其中，资产包括：数控机床、刀具、加工零件、PLC、工业机器人、搬运小车、传送带、料库、数控系统、产线系统、产线网络、适配器、代理器、采集网络。获取数控装备的主机IP地址、开放协议、扫描时间、位置的基础信息以及设备型号、厂商、通讯id、设备的工作时长、CPU使用率、剩余内存、剩余硬盘、网速、操作系统以及MAC地址的关键信息。
[0018]资产管理提供基于拓扑的资产视图，提供按图形化模式显示资产，直接查看资产的状态、事件、威胁、风险及告警信息。
[0019]采用半定量方法给资产赋值，通过对资产的属性定量赋值，用于反映资产价值；信息资产具有完整性、机密性与可用性三种安全属性。通过考察三种不同的安全属性，分别赋值，用于反映资产价值；
[0020][0021]其中，C代表机密性赋值，I代表完整性赋值，A代表可用性赋值，Round表示四舍五入处理，用于体现资产价值赋值中不同因素互不相干性特点。
[0022]步骤二中的风险计算模型为：
[0023]风险值＝R(A,T,V)＝R(L(T,V),F(Ia,Va))；
[0024]其中，R表示安全风险计算函数，A表示资产，T表示威胁，V表示脆弱性；Ia表示安全事件所作用的资产价值，Va表示脆弱性严重程度，L表示威胁利用资产的脆弱性导致安全事件发生的可能性，F表示安全事件发生后产生的损失。根据企业自身技术能力选择相应风险计算方法计算风险值，包括相乘法和矩阵法。
[0025]进一步，步骤三中的密码应用信息采集包括：
[0026]收集应用所使用的密码方案和运行密码产品的使用信息，以此构建态势预警平台，对应用密码产品的应用进行态势感知，预警使用密码产品的风险，实现预测、防御、响应和检测的目的；其中，所述运行密码产品的使用信息包括状态信息、加密信息和解密信息。
[0027]态势感知平台通过NC
‑
Link的工业网络安全网关对密码应用信息数据进行采集，输送给数据分析和态势感知模块，数据分析和态势感知模块对网络的威胁态势信息、设备态势信息进行处理，生成信息安全整体态势分析信息；信息安全威胁预警模块对态势信息中的网络攻击构建攻击图，并对攻击图信息进行预测，生成最终的威胁预警信息；安全防护策略生成与优化模块将威胁预警信息进行分析，结合威胁情报中心的信息生成有效的安全防护策略分发到相应设备上，实现整体的安全防护。
[0028]通过构建动态特征库，以机器学习中的关联分析为指导，对密码应用数据进行关联挖掘分析，从频繁项集中获取关联规则，并通过频繁项集本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种数控系统安全态势感知与分析方法，其特征在于，数控系统安全态势感知与分析方法包括：采集层通过NC
‑
Link采集数控机床高频大数据和低频或静态数据；大数据层对采集数据的预处理和存储，将数据转换为结构化数据，对非结构化数据进行索引和存储；分析层对预处理后的数据进行分析和挖掘，管控层实现信息安全的监控预警、安全审计、安全度量、运营管理和情报管理；利用呈现层对海量数据的原始数据、分析结果数据和管控数据进行可视化展示，提供人机交互界面，并向安全管理人员呈现全方位安全状态。2.如权利要求1所述的数控系统安全态势感知与分析方法，其特征在于，数控系统安全态势感知与分析方法包括以下步骤：步骤一，通过资产管理描述网络内的资产态势；步骤二，利用风险计算模型实现安全风险分析；步骤三，采集密码应用信息，并发现异常攻击；步骤四，分别进行违规行为和流量的监测；步骤五，分析大数据态势，进行态势感知应急响应；步骤六，构建基于国产密码的知识库。3.如权利要求2所述的数控系统安全态势感知与分析方法，其特征在于，步骤一中的资产管理包括：通过主动发现、导入或创建的方式识别和梳理目标网络中要被防护的资产及业务对象；所获得并维护的被防护对象信息将在整个态势分析呈现过程中，被其他维度的感知所利用，成为面向安全对象安全态势分析的基础；其中，资产包括：数控机床、刀具、加工零件、PLC、工业机器人、搬运小车、传送带、料库、数控系统、产线系统、产线网络、适配器、代理器、采集网络；获取数控装备的主机IP地址、开放协议、扫描时间、位置的基础信息以及设备型号、厂商、通讯id、设备的工作时长、CPU使用率、剩余内存、剩余硬盘、网速、操作系统以及MAC地址的关键信息；资产管理提供基于拓扑的资产视图，提供按图形化模式显示资产，直接查看资产的状态、事件、威胁、风险及告警信息；采用半定量方法给资产赋值，通过对资产的属性定量赋值，用于反映资产价值；信息资产具有完整性、机密性与可用性三种安全属性；通过考察三种不同的安全属性，分别赋值，用于反映资产价值；其中，C代表机密性赋值，I代表完整性赋值，A代表可用性赋值，Round表示四舍五入处理，用于体现资产价值赋值中不同因素互不相干性特点；步骤二中的风险计算模型为：风险值＝R(A,T,V)＝R(L(T,V),F(Ia,Va))；其中，R表示安全风险计算函数，A表示资产，T表示威胁，V表示脆弱性；Ia表示安全事件所作用的资产价值，Va表示脆弱性严重程度，L表示威胁利用资产的脆弱性导致安全事件发生的可能性，F表示安全事件发生后产生的损失；根据企业自身技术能力选择相应风险计算方法计算风险值，包括相乘法和矩阵法。4.如权利要求2所述的数控系统安全态势感知与分析方法，其特征在于，步骤三中的密
码应用信息采集包括：收集应用所使用的密码方案和运行密码产品的使用信息，以此构建态势预警平台，对应用密码产品的应用进行态势感知，预警使用密码产品的风险，实现预测、防御、响应和检测的目的；其中，所述运行密码产品的使用信息包括状态信息、加密信息和解密信息；态势感知平台通过NC
‑
Link的工业网络安全网关对密码应用信息数据进行采集，输送给数据分析和态势感知模块，数据分析和态势感知模块对网络的威胁态势信息、设备态势信息进行处理，生成信息安全整体态势分析信息；信息安全威胁预警模块对态势信息中的网络攻击构建攻击图，并对攻击图信息进行预测，生成最终的威胁预警信息；安全防护策略生成与优化模块将威胁预警信息进行分析，结合威胁情报中心的信息生成有效的安全防护策略分发到相应设备上，实现整体的安全防护；通过构建动态特征库，以机器学习中的关联分析为指导，对密码应用数据进行关联挖掘分析，从频繁项集中获取关联规则，并通过频繁项集中的支持度，计算关联规则的可信度，从而寻找出潜在的隐式威胁数据，并将分析结果作为构建密码应用信息特征库的输入。5.如权利要求4所述的数控系统安全态势感知与分析方法，其特征在于，异常攻击发现包括：异常流量感知、异常用户发现、异常主机设备发现以及异常攻击态势评估分析四个功能；1)异常流量感知：采用异常流量监测和感知技术为安全态势平台提供数据支持；利用特征分析、网络行为分析和家族基因进行木马窃密监测防护：侧重于窃密安全事件监测防护，包括木马窃密监测、疑似木马告警和木马事件处置；2)异常用户监测：异常用户监测包含有多元日志统预处理与正常行为建模、疑似异常行为识别、以及自适应异常判定模块，在整体上具备对目标场景中多应用业务正常用户行为建模和异常用户自动识别的能力，包括异常用户操作识别、变点检测、多域异常检测、时间序列异常检测和信息融合功能；3)异常主机监测：异常主机监测包括主机异常审计模块、系统调用主机异常检测模块以及用户行为的主机异常检测模块；4)异常攻击态势评估分析：异常攻击态势评估分析模块用于感知所有攻击行为的来源、目标、规模、影响和结果；攻击感知基于汇总全网相关的攻击行为相关信息，通过统计分析、关联融合手段对攻击信息进行处理，从而获得全景式的攻击...

【专利技术属性】
技术研发人员：汤学明，罗吉，艾贻彪，
申请(专利权)人：华中科技大学，
类型：发明
国别省市：