【技术实现步骤摘要】
本专利技术属于数据分析,具体涉及一种基于数据关联分析的行业工业系统网络威胁处置方法及装置。
技术介绍
1、在工业系统网络安全领域,为保证行业特定应用环境的安全性,目前已有一系列的威胁处置方法。
2、一般安全防护体系多数侧重于基础设施的防护,如防火墙、ids(intrusiondetection system,侵入检测系统)和ips(intrusion prevention system,侵入防御系统)等。这些系统基于已知的规则进行威胁检测,缺乏对于复杂、多变攻击场景和apt(advancedpersistent threat,高级持续性威胁)的有效识别和处理能力。另一方面,现有技术中还存在一些威胁预警系统采用大规模机器学习的方法进行威胁检测,但这种方法通常需要大量的样本数据和计算资源;更为重要的是,它们对海量数据的处理和分析通常是离线的,这意味着在出现新的、未知的威胁时,可能无法及时作出有效响应。
3、可见,现有技术通常基于人工规则和策略进行威胁检测,不仅效率低下,而且容易出现误报和漏报的情况,即使有些方法试图通过自动化手段进行威胁处置,也缺乏足够的灵活性和精度,无法满足不同行业和应用场景下多变的安全需求。
技术实现思路
1、为了解决现有技术中存在的上述问题,本专利技术提供了一种基于数据关联分析的行业工业系统网络威胁处置方法。本专利技术要解决的技术问题通过以下技术方案实现:
2、第一方面,本专利技术提供一种基于数据关联分析的行业工业系统网络威胁处
3、采集行业工业系统的数据并建立关联度量化模型;所述数据包括:网络流量数据、日志和告警信息;
4、将所述数据输入威胁感知大数据分析平台,以使其利用所述关联度量化模型对所述数据进行处理,得到威胁感知数据;
5、对所述威胁感知数据进行聚类,形成多个威胁类别后,按照所述威胁类别对获取的实时威胁数据中包含的攻击行为所对应的威胁进行分类,并生成最终预警;
6、针对所述最终预警,从预先建立的规则引擎中选择响应策略并执行该响应策略中包含的响应动作。
7、在本专利技术的一个实施例中,采集行业工业系统的数据并建立关联度量化模型的步骤,包括:
8、采集行业工业系统的数据并进行数据清洗;
9、对清洗后的数据进行格式化处理和标准化处理;
10、利用apriori关联分析算法,对标准化处理后的数据建立关联度量化模型。
11、在本专利技术的一个实施例中,对所述威胁感知数据进行聚类,形成多个威胁类别后,按照所述威胁类别对获取的实时威胁数据进行分类,并生成最终预警的步骤,包括:
12、利用k-means算法对所述威胁感知数据进行聚类,形成多个威胁类别;
13、基于所述威胁类别,对获取的实时威胁数据中包含的攻击行为所对应的威胁进行分类并标记相关信息,所述相关信息至少包括:网段、主机和域名中的至少一种;
14、根据所述攻击行为的攻击特征,判断是否生成最终预警。
15、在本专利技术的一个实施例中,根据所述攻击行为的攻击特征,判断是否生成最终预警的步骤,包括:
16、从所述实时威胁数据中获取所述攻击行为的攻击特征;
17、当所述攻击特征满足预设条件时,生成告警信息;
18、利用决策树算法对所述告警信息进行筛选,并利用支持向量机识别误报和漏报,得到最终预警。
19、在本专利技术的一个实施例中,针对所述最终预警,从预先建立的规则引擎中选择响应策略并执行该响应策略中包含的响应动作的步骤之前,还包括:
20、利用模糊逻辑判断所述最终预警的优先级。
21、在本专利技术的一个实施例中,所述规则引擎包括按照威胁种类的优先级设置的多种响应策略,所述响应策略为针对不同攻击对应的威胁种类而预设的响应动作组合。
22、在本专利技术的一个实施例中,针对所述最终预警,从预先建立的规则引擎中选择响应策略并执行该响应策略中包含的响应动作的步骤,包括:
23、根据所述最终预警的优先级,从预先建立的规则引擎中选择该优先级对应响应策略;
24、执行所选择的响应策略中的响应动作,并对所述攻击做进一步处置与分析。
25、在本专利技术的一个实施例中,执行所选择的响应策略中的响应动作,并对所述攻击做进一步处置与分析的步骤之后,还包括:
26、评估所述响应动作的有效性;
27、若有效,则表示对于本次威胁预警的处置成功;反之,则优化所述关联度量化模型。
28、第二方面,本专利技术提供一种基于数据关联分析的行业工业系统网络威胁处置装置,包括:
29、采集模块,用于采集行业工业系统的数据并建立关联度量化模型;所述数据包括:网络流量数据、日志和告警信息;
30、输入模块,用于将所述数据输入威胁感知大数据分析平台,以使其利用所述关联度量化模型对所述数据进行处理,得到威胁感知数据;
31、分类模块,用于对所述威胁感知数据进行聚类,形成多个威胁类别后,按照所述威胁类别对获取的实时威胁数据中包含的攻击行为所对应的威胁进行分类,并生成最终预警;
32、处置模块,用于针对所述最终预警,从预先建立的规则引擎中选择响应策略并执行该响应策略中包含的响应动作。
33、第三方面,本专利技术还提供一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
34、存储器,用于存放计算机程序;
35、处理器,用于执行存储器上所存放的程序时,实现第一方面所述的方法步骤。
36、与现有技术相比,本专利技术的有益效果在于:
37、本专利技术提供一种基于数据关联分析的行业工业系统网络威胁处置方法及装置,通过灵活的数据采集、高度自定义的关联度量化模型以及多层次的威胁响应机制,大大提升了工业系统网络安全的可靠性和实用性。
38、以下将结合附图及实施例对本专利技术做进一步详细说明。
本文档来自技高网...【技术保护点】
1.一种基于数据关联分析的行业工业系统网络威胁处置方法,其特征在于,包括:
2.根据权利要求1所述的基于数据关联分析的行业工业系统网络威胁处置方法,其特征在于,采集行业工业系统的数据并建立关联度量化模型的步骤,包括:
3.根据权利要求1所述的基于数据关联分析的行业工业系统网络威胁处置方法,其特征在于,对所述威胁感知数据进行聚类,形成多个威胁类别后,按照所述威胁类别对获取的实时威胁数据进行分类,并生成最终预警的步骤,包括:
4.根据权利要求3所述的基于数据关联分析的行业工业系统网络威胁处置方法,其特征在于,根据所述攻击行为的攻击特征,判断是否生成最终预警的步骤,包括:
5.根据权利要求1所述的基于数据关联分析的行业工业系统网络威胁处置方法,其特征在于,针对所述最终预警,从预先建立的规则引擎中选择响应策略并执行该响应策略中包含的响应动作的步骤之前,还包括:
6.根据权利要求5所述的基于数据关联分析的行业工业系统网络威胁处置方法,其特征在于,所述规则引擎包括按照威胁种类的优先级设置的多种响应策略,所述响应策略为针对不同攻击对应
7.根据权利要求6所述的基于数据关联分析的行业工业系统网络威胁处置方法,其特征在于,针对所述最终预警,从预先建立的规则引擎中选择响应策略并执行该响应策略中包含的响应动作的步骤,包括:
8.根据权利要求7所述的基于数据关联分析的行业工业系统网络威胁处置方法,其特征在于,执行所选择的响应策略中的响应动作,并对所述攻击做进一步处置与分析的步骤之后,还包括:
9.一种基于数据关联分析的行业工业系统网络威胁处置装置,其特征在于,包括:
10.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
...【技术特征摘要】
1.一种基于数据关联分析的行业工业系统网络威胁处置方法,其特征在于,包括:
2.根据权利要求1所述的基于数据关联分析的行业工业系统网络威胁处置方法,其特征在于,采集行业工业系统的数据并建立关联度量化模型的步骤,包括:
3.根据权利要求1所述的基于数据关联分析的行业工业系统网络威胁处置方法,其特征在于,对所述威胁感知数据进行聚类,形成多个威胁类别后,按照所述威胁类别对获取的实时威胁数据进行分类,并生成最终预警的步骤,包括:
4.根据权利要求3所述的基于数据关联分析的行业工业系统网络威胁处置方法,其特征在于,根据所述攻击行为的攻击特征,判断是否生成最终预警的步骤,包括:
5.根据权利要求1所述的基于数据关联分析的行业工业系统网络威胁处置方法,其特征在于,针对所述最终预警,从预先建立的规则引擎中选择响应策略并执行该响应策略中包含的响应动作的步骤之前,还包括:
<...【专利技术属性】
技术研发人员:黄泽宇,杨锐,车沅熹,戚玉涛,张海宾,李晓军,
申请(专利权)人:西安电子科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。