【技术实现步骤摘要】
本专利技术涉及工控镜像流量采集领域,特别是一种工控镜像流量采集的优化方法及系统。
技术介绍
1、现有的工控系统网络安全保障主要依赖于各类网络安全设备和工控安全设备的共同保护,这些设备会通过实时监测网络流量数据、系统日志以及设备性能等多方面信息,以识别和防御网络安全事件,然而,当前的工控网络安全防护体系通常分散布置,设备间的协同工作不甚明确和高效,可能导致安全事件的响应不够及时和准确,此外,现有技术的数据采集和处理方式较为单一和局限,可能无法全面和深入地分析网络安全事件的原因和性质,从而影响到安全事件的处理效果和系统的安全性能。
技术实现思路
1、本部分的目的在于概述本专利技术的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和专利技术名称中可能会做些简化或省略以避免使本部分、说明书摘要和专利技术名称的目的模糊,而这种简化或省略不能用于限制本专利技术的范围。
2、鉴于上述和/或现有的工控镜像流量采集的优化方法及系统中存在的问题,提出了本专利技术。
3、因此,本专利技术所要解决的问题在于现有技术的数据采集和处理方式较为单一和局限,可能无法全面和深入地分析网络安全事件的原因和性质,从而影响到安全事件的处理效果和系统的安全性能。
4、为解决上述技术问题,本专利技术提供如下技术方案:一种工控镜像流量采集的优化方法,其包括,通过布置在交换机的探针主动采集工控镜像流量数据;
5、管控平台接收探针采集的工控镜像流量数据进行集
6、管控平台对经处理后的数据集进行集中分析获取数据中的网络安全事件,并自动分级响应;
7、根据最终处理结果生成安全事件报告,并记录在数据库中。
8、作为本专利技术所述工控镜像流量采集的优化方法的一种优选方案,其中:所述探针按种类分为流量采集探针、日志采集探针、性能采集探针以及终端信息探针,所述流量采集探针为硬件,部署在核心交换机,所述日志采集探针、性能采集探针以及终端信息探针为软件。
9、作为本专利技术所述工控镜像流量采集的优化方法的一种优选方案,其中:所述探针按采集能力和性能分为调度级采集探针和车间级采集探针,所述车间级采集探针采集车间级服务器、工作站、网络设备和安全防护设备的安全信息数据,所述调度级采集探针采集重点服务器、工作站、网络设备和安全防护设备自身感知的安全数据,并且具备网关机功能,能够接收并转发来自车间级的安全信息数据。
10、作为本专利技术所述工控镜像流量采集的优化方法的一种优选方案,其中:所述管控平台接收调度级采集探针采集和转发的工控镜像流量数据后需要对数据进行处理,包括数据过滤、数据标准化以及数据丰富化,所述数据过滤包括数据清洗、数据修改以及数据删除,所述数据标准化将过滤后的数据格式统一化处理后进行数据丰富化形成完善的数据集。
11、作为本专利技术所述工控镜像流量采集的优化方法的一种优选方案,其中:所述管控平台在响应安全事件时建立不同角色用户,对权限进行分配,包括执行端、数据端以及监管端;
12、所述执行端负责制定安全事件处理措施,执行端到达现场后根据实际情况对安全事件评级做出分级确认或否定反馈给数据端,处理完毕后执行端向数据端返送处理结果确认解决安全事件,执行端在处理安全事件时全程记录执行过程生成处理记录上传至管控平台;
13、所述数据端不涉及处理过程,具备对数据的管理权限,数据端在收到执行端对安全事件评级做出反馈后根据反馈结果对安全事件分级进行检查调整并生成调整记录上传至管控平台,调整后的安全事件分级再次发送给执行端;
14、所述监管端具备对执行端和数据端的监管权限,在监管过程中会生成监管记录供后续查询,监管端能够通过管控平台查询所有记录。
15、作为本专利技术所述工控镜像流量采集的优化方法的一种优选方案,其中:所述管控平台分析数据获取安全事件后对安全事件进行分级,分为普通事件,重要事件以及紧急事件,所述普通事件、重要事件以及紧急事件按照安全事件重要程度由低至高进行排序,所述管控平台按照安全事件分级分配处理任务:
16、若管控平台判定为普通事件,则通知执行端将事件纳入工作进程并按照时间由先至后的顺序进行排序处理,执行端在处理普通事件时首先对根据实际情况对事件分级进行重新评定,若评定为普通级,则向数据端返送确认通知并开始处理事件,若评定为更高级的事件,则向数据端返送否定通知通知数据端对事件评级进行修改,修改后重新接收事件并按照事件重新评定等级进行处理,若在处理普通事件进程中接收到任意其余更高级的安全事件,则将所有普通事件处理排序调整至高级安全事件后,执行端处理完毕后生成处理进程记录上传至管控中心,数据端和监管端在处理进程记录上附着电子签名信息后存储至管控中心数据库中;
17、若管控平台判定为重要事件,则通知数据端对安全事件数据进行实时检测并向执行端进行实时汇报,执行端接收安全事件信息并在24小时内根据事件实际情况对事件分级进行重新评定,若评定事件分级正确,则向数据端返送确认通知并开始处理事件,若评定事件分级为普通级,则向数据端返送否定通知通知数据端对事件评级进行修改,修改后重新接收事件并将事件按照时间顺序排列在工作进程中,若评定事件分级为紧急事件,则立即向数据端和监管端发出预警通知数据端和监管端对事件处理进程进行关注,并在数据端修改事件评级后重新接收事件信息立即开始处理,若在处理重要事件时接收到紧急事件通知,则将紧急事件处理进程调整至首位立即处理并重置24小时限定时间,重要事件处理完毕后数据端生成数据监测记录,执行端生成处理进程记录上传至管控中心,监管端在数据监测记录和处理进程记录上附着电子签名信息后存储至数据库中;
18、若管控中心判断为紧急事件,则立即通知监管端对数据端和执行端进行监管,数据端对紧急事件所有数据进行实时监测,执行端接收紧急事件通知后将事件处理进程调整至首位,并立即进行对事件等级的重新评定,若评定事件等级正确,则向数据端返送正确通知并立即开始处理,处理过程全程记录,若评定事件等级为重要事件或普通事件,则向数据端和监管端发送否定通知,数据端根据执行端返送的事件信息对事件分级进行修改后重新发送至执行端,执行端将事件列入待处理进程,监管端生成事件分级错误记录,若执行端接收到多个紧急事件通知,则按照紧急事件出现时间由先至后进行排序处理,紧急事件处理完毕后监管端生成监管记录,数据端生成数据监测记录,执行端生成处理进程记录上传至管控中心,监管端、数据端、执行端在所有记录上附上三种电子签名后存储至数据库。
19、作为本专利技术所述工控镜像流量采集的优化方法的一种优选方案,其中:所述管控中心在接收到事件处理记录后,根据安全事件出现原因、事件类型、事件分级、来源数据、出现时间、处理时间、影响范围以及事件后果生成安全事件报告存储至数据库中。
20、本专利技术还提供了一种工控镜像流量采集的优化系统,其特征在于:包括,获取模块、处理模块、分析模块以及存储模块;
【技术保护点】
1.一种工控镜像流量采集的优化方法,其特征在于:包括,
2.如权利要求1所述的工控镜像流量采集的优化方法,其特征在于:所述探针按种类分为流量采集探针、日志采集探针、性能采集探针以及终端信息探针,所述流量采集探针为硬件,部署在核心交换机,所述日志采集探针、性能采集探针以及终端信息探针为软件。
3.如权利要求2所述的工控镜像流量采集的优化方法,其特征在于:所述探针按采集能力和性能分为调度级采集探针和车间级采集探针,所述车间级采集探针采集车间级服务器、工作站、网络设备和安全防护设备的安全信息数据,所述调度级采集探针采集重点服务器、工作站、网络设备和安全防护设备自身感知的安全数据,并且具备网关机功能,能够接收并转发来自车间级的安全信息数据。
4.如权利要求3所述的工控镜像流量采集的优化方法,其特征在于:所述管控平台接收调度级采集探针采集和转发的工控镜像流量数据后需要对数据进行处理,包括数据过滤、数据标准化以及数据丰富化,所述数据过滤包括数据清洗、数据修改以及数据删除,所述数据标准化将过滤后的数据格式统一化处理后进行数据丰富化形成完善的数据集。
<...【技术特征摘要】
1.一种工控镜像流量采集的优化方法,其特征在于:包括,
2.如权利要求1所述的工控镜像流量采集的优化方法,其特征在于:所述探针按种类分为流量采集探针、日志采集探针、性能采集探针以及终端信息探针,所述流量采集探针为硬件,部署在核心交换机,所述日志采集探针、性能采集探针以及终端信息探针为软件。
3.如权利要求2所述的工控镜像流量采集的优化方法,其特征在于:所述探针按采集能力和性能分为调度级采集探针和车间级采集探针,所述车间级采集探针采集车间级服务器、工作站、网络设备和安全防护设备的安全信息数据,所述调度级采集探针采集重点服务器、工作站、网络设备和安全防护设备自身感知的安全数据,并且具备网关机功能,能够接收并转发来自车间级的安全信息数据。
4.如权利要求3所述的工控镜像流量采集的优化方法,其特征在于:所述管控平台接收调度级采集探针采集和转发的工控镜像流量数据后需要对数据进行处理,包括数据过滤、数据标准化以及数据丰富化,所述数据过滤包括数据清洗、数据修改以及数据删除,所述数据标准化将过滤后的数据格式统一化处理后进行数据丰富化形成完善的数据集。
5.如权利要求4所述的工控镜像流量采集的优化方法,其...
【专利技术属性】
技术研发人员:霍朝宾,王绍杰,衣然,柯皓仁,周帅,贺敏超,万佳蓉,荆琛,
申请(专利权)人:中国电子信息产业集团有限公司第六研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。