【技术实现步骤摘要】
本专利技术涉及工业数据安全领域,尤其是涉及到一种工业数据攻击检测方法、装置、设备及介质。
技术介绍
1、鉴于工业互联网的数据安全面临的风险,攻击检测技术已成为保护工业数据安全的重要手段之一。目前业界在这方面技术也取得了很大的进展。随着5g和边缘计算的发展,边缘服务器承载了越来越多计算密集型和延迟敏感的应用,其面临的攻击也日益复杂,尤其多步攻击手段的应用使得攻击更难以检测。因此,针对复杂的应用场景和多样的攻击类型,开发出更精准和实时的攻击检测技术已成为保障边缘计算安全的重中之重。
2、在攻击检测技术方面,工业控制网络场景中的典型攻击方法包括信息检测(ip探测、操作系统识别、工业控制设备识别、软件版本识别等)、端口扫描(modbus 502端口、dnp320000端口、s7 102端口等)、工控协议利用(协议未加密、缺乏身份验证等),这些攻击均会导致工业互联网数据的泄露或丢失,针对不同的网络环境和攻击类型,现有技术中提出了基于规则的检测、基于状态的检测以及基于数据驱动的机器学习检测等多种检测技术。这些方法各有优势,也解决了一些威胁场景下的攻击检测问题。但是就复杂的多步攻击而言,现有技术仍面临一定的挑战,至少存在以下技术问题:
3、(1)基于规则的方法需要大量的安全领域知识,对零日漏洞的检测效果较差,也难以应对复杂的多步攻击联合利用;
4、(2)现有的基于机器学习的方法更侧重对数据本身的特征判别,对攻击步骤间的相关性把握不足;
5、(3)基于状态的方法对理想化假设的工控环境适用性较好,但
6、现有技术对复杂多步攻击的识别准确率不高,难以准确定位攻击者的具体攻击模式,容易因攻击导致工业数据泄露。
技术实现思路
1、有鉴于此,本专利技术提供了一种工业数据攻击检测方法,解决现有技术中对复杂多步攻击的识别准确率不高,难以准确定位攻击者的具体攻击模式,容易造成工业数据泄露的技术问题。
2、根据本专利技术的第一方面,提供了一种工业数据攻击检测方法,包括:
3、监测实时数据访问流量,获取所述数据访问流量的关键信息;
4、根据所述数据访问流量的关键信息,判断所述数据访问流量与预设规则的匹配情况,生成告警事件,其中,所告警事件中携带有告警类型信息;
5、根据所述告警事件的告警类型及告警事件关联度矩阵,预测下一步的数据攻击行为,其中,告警事件关联度矩阵由不同类型的告警事件之间的关联度计算生成,不同类型的告警事件之间的关联度由不同类型的告警事件的频数和相似度计算获得。
6、根据本专利技术的第二方面,提供了一种工业数据攻击检测装置,包括:
7、获取模块,用于监测实时数据访问流量,获取所述数据访问流量的关键信息;
8、告警模块,用于根据所述数据访问流量的关键信息,判断所述数据访问流量与预设规则的匹配情况,生成告警事件,其中,所告警事件中携带有告警类型信息;
9、预测模块,用于根据所述告警事件的告警类型及告警事件关联度矩阵,预测下一步的数据攻击行为,其中,告警事件关联度矩阵由不同类型的告警事件之间的关联度计算生成,不同类型的告警事件之间的关联度由不同类型的告警事件的频数和相似度计算获得。
10、根据本专利技术的第三方面,提供了一种计算机设备,包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述的工业数据攻击检测方法的步骤。
11、根据本专利技术的第四方面,提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时实现上述的工业数据攻击检测方法的步骤。
12、借由上述技术方案,本专利技术提供的一种工业数据攻击检测方法、装置、设备及介质,通过监测实时数据访问流量,获取数据访问流量的关键信息,根据数据访问流量的关键信息,判断数据访问流量与预设规则的匹配情况,生成告警事件,根据告警事件的告警类型及告警事件关联度矩阵,预测下一步的数据攻击行为。
13、上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,并可依照说明书的内容予以实施,并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的具体实施方式。
本文档来自技高网...【技术保护点】
1.一种工业数据攻击检测方法,其特征在于,包括:
2.根据权利要求1所述的工业数据攻击检测方法,其特征在于,所述监测实时数据访问流量,获取所述数据访问流量的关键信息的步骤之前,包括:
3.根据权利要求2所述的工业数据攻击检测方法,其特征在于,所述对工业互联网的历史数据访问流量进行监测,当数据访问流量匹配预设规则时生成告警事件的步骤,包括:
4.根据权利要求2所述的工业数据攻击检测方法,其特征在于,所述对工业互联网的历史数据访问流量记录进行扫描检测,当数据访问流量匹配预设规则时生成告警事件的步骤之后,包括:
5.根据权利要求2所述的工业数据攻击检测方法,其特征在于,所述根据时间窗口和攻击类型,对生成的所述告警事件进行聚合处理的步骤,包括:
6.根据权利要求2所述的工业数据攻击检测方法,其特征在于,所述根据聚合处理后的告警事件,计算不同告警事件之间的关联度,生成告警事件关联度矩阵的步骤,包括:
7.根据权利要求2所述的工业数据攻击检测方法,其特征在于,所述根据告警事件关联度矩阵及关联度阈值,生成告警关联有向图的步
8.一种工业数据攻击检测装置,其特征在于,包括:
9.一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7中任一项所述的工业数据攻击检测方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述的工业数据攻击检测方法的步骤。
...【技术特征摘要】
1.一种工业数据攻击检测方法,其特征在于,包括:
2.根据权利要求1所述的工业数据攻击检测方法,其特征在于,所述监测实时数据访问流量,获取所述数据访问流量的关键信息的步骤之前,包括:
3.根据权利要求2所述的工业数据攻击检测方法,其特征在于,所述对工业互联网的历史数据访问流量进行监测,当数据访问流量匹配预设规则时生成告警事件的步骤,包括:
4.根据权利要求2所述的工业数据攻击检测方法,其特征在于,所述对工业互联网的历史数据访问流量记录进行扫描检测,当数据访问流量匹配预设规则时生成告警事件的步骤之后,包括:
5.根据权利要求2所述的工业数据攻击检测方法,其特征在于,所述根据时间窗口和攻击类型,对生成的所述告警事件进行聚合处理的步骤,包括:
6.根据权利要求2所述的工业...
【专利技术属性】
技术研发人员:孙岩,柳彩云,李俊,张煜珠,杨雨晨,
申请(专利权)人:国家工业信息安全发展研究中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。