【技术实现步骤摘要】
本专利技术涉及智能终端安全,具体地说,涉及一种基于关联规则的工业控制系统复杂攻击检测方法。
技术介绍
1、随着智慧工业的发展,工业控制系统与互联网的联系越来越紧密,但是随之而来的安全问题也不容忽视,目前主要通过在工业控制系统的各个设备上部署ids安全组件,对系统的异常行为进行监控,但是ids只能用于检测端到端的单步攻击。但是,随着电子技术、信息技术的迅猛发展,攻击方式也由单一攻击向复杂的apt(advanced persistent threat高级可持续攻击)方向发展,apt攻击通常具有:长期性、高度针对性、多层次性、隐蔽性等特点。对于工业网络中apt一类的复杂攻击事件,仅通过ids组件难以识别。因此,出现了终端ids和云端soc(security operations center)结合的面向智能工业系统的新一代态势感知系统,在工控系统的各个设备上部署ids,通过匹配规则产生安全事件告警,并实时将告警数据上传到云端,利用云端的算力和资源进行识别复杂攻击。大多数研究者倾向于将复杂攻击定义为多步攻击,指根据由多个步骤所构成的多步攻击产生
...【技术保护点】
1.一种基于关联规则的工业控制系统复杂攻击检测方法,其特征在于:包括以下步骤:
2.根据权利要求1所述的一种基于关联规则的工业控制系统复杂攻击检测方法,其特征在于:S1中,关联规则主要来源于两种途径,一是,通过专家经验获得,二是,通过对历史的海量安全事件库进行关联分析,挖掘出有效的复杂攻击模式,并进一步生成关联规则;
3.根据权利要求2所述的一种基于关联规则的工业控制系统复杂攻击检测方法,其特征在于:S3中,为了在规则匹配过程中,能对构成复杂攻击的单一步骤的风险值量化表示,需要管理员根据规则的命中率和经验,为关联规则配置两个参数,包括整条关联规
...【技术特征摘要】
1.一种基于关联规则的工业控制系统复杂攻击检测方法,其特征在于:包括以下步骤:
2.根据权利要求1所述的一种基于关联规则的工业控制系统复杂攻击检测方法,其特征在于:s1中,关联规则主要来源于两种途径,一是,通过专家经验获得,二是,通过对历史的海量安全事件库进行关联分析,挖掘出有效的复杂攻击模式,并进一步生成关联规则;
3.根据权利要求2所述的一种基于关联规则的工业控制系统复杂攻击检测方法,其特征在于:s3中,为了在规则匹配过程中,能对构成复杂攻击的单一步骤的风险值量化表示,需要管理员根据规则的命中率和经验,为关联规则配置两个参数,包括整条关联规则的优先级priority、单步规则的可信度reliability;另外,需要根据设备的重要程度,确定设备的重要值。
4.根据权利要求3所述的一种基于关联规则的工业控制系统复杂攻击检测方法,其特征在于:s4中,通过xml格式表示数据库中的关联规则,对攻击场景进行结构化表示,用于后续的复杂攻击检测,通过嵌套的树形结构表示复杂攻击的多个攻击步骤,即复杂攻击和单步攻击之间1:n的关系。
5.根据权利要求4所述的一种基于关联规则的工业控制系统复杂攻击检测方法,其特征在于:s5中,对于启用的关联规则,遍历每一条关联规则,将directives标签作为n叉树的父节点,rule标签及其包含的属性组织为对象,并作为子节点,然后根据rule标签之前的嵌套层次关系,构建起完整的n叉树。
6.根据权利要求5所述的一种基于关联规则的工业控制系统复杂攻击检测...
【专利技术属性】
技术研发人员:王亚鑫,罗蕾,黄岳钧,
申请(专利权)人:广州安行信息安全科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。