一种基于关联规则的工业控制系统复杂攻击检测方法技术方案

技术编号:41129439 阅读:20 留言:0更新日期:2024-04-30 17:58
本发明专利技术涉及智能终端安全技术领域,提供一种基于关联规则的工业控制系统复杂攻击检测方法,其包括以下步骤:S1:在数据库中启用关联规则;S2:配置关联规则粒度;S3:配置关联规则参数;S4:将逻辑规则转化为XML语言;S5:XML规则转化为规则树;S6:实时事件流插入待匹配队列;S7:复杂攻击检测算法与中间结果backlogs匹配;S8:复杂攻击检测算法与规则树directives匹配;S9:匹配成功计算事件风险值;S10:产生攻击树,向后台预警;S11:告警存储攻击数据库。本发明专利技术能增强云端对复杂攻击的识别和检测能力。

【技术实现步骤摘要】

本专利技术涉及智能终端安全,具体地说,涉及一种基于关联规则的工业控制系统复杂攻击检测方法


技术介绍

1、随着智慧工业的发展,工业控制系统与互联网的联系越来越紧密,但是随之而来的安全问题也不容忽视,目前主要通过在工业控制系统的各个设备上部署ids安全组件,对系统的异常行为进行监控,但是ids只能用于检测端到端的单步攻击。但是,随着电子技术、信息技术的迅猛发展,攻击方式也由单一攻击向复杂的apt(advanced persistent threat高级可持续攻击)方向发展,apt攻击通常具有:长期性、高度针对性、多层次性、隐蔽性等特点。对于工业网络中apt一类的复杂攻击事件,仅通过ids组件难以识别。因此,出现了终端ids和云端soc(security operations center)结合的面向智能工业系统的新一代态势感知系统,在工控系统的各个设备上部署ids,通过匹配规则产生安全事件告警,并实时将告警数据上传到云端,利用云端的算力和资源进行识别复杂攻击。大多数研究者倾向于将复杂攻击定义为多步攻击,指根据由多个步骤所构成的多步攻击产生的安全事件告警来构建本文档来自技高网...

【技术保护点】

1.一种基于关联规则的工业控制系统复杂攻击检测方法,其特征在于:包括以下步骤:

2.根据权利要求1所述的一种基于关联规则的工业控制系统复杂攻击检测方法,其特征在于:S1中,关联规则主要来源于两种途径,一是,通过专家经验获得,二是,通过对历史的海量安全事件库进行关联分析,挖掘出有效的复杂攻击模式,并进一步生成关联规则;

3.根据权利要求2所述的一种基于关联规则的工业控制系统复杂攻击检测方法,其特征在于:S3中,为了在规则匹配过程中,能对构成复杂攻击的单一步骤的风险值量化表示,需要管理员根据规则的命中率和经验,为关联规则配置两个参数,包括整条关联规则的优先级prior...

【技术特征摘要】

1.一种基于关联规则的工业控制系统复杂攻击检测方法,其特征在于:包括以下步骤:

2.根据权利要求1所述的一种基于关联规则的工业控制系统复杂攻击检测方法,其特征在于:s1中,关联规则主要来源于两种途径,一是,通过专家经验获得,二是,通过对历史的海量安全事件库进行关联分析,挖掘出有效的复杂攻击模式,并进一步生成关联规则;

3.根据权利要求2所述的一种基于关联规则的工业控制系统复杂攻击检测方法,其特征在于:s3中,为了在规则匹配过程中,能对构成复杂攻击的单一步骤的风险值量化表示,需要管理员根据规则的命中率和经验,为关联规则配置两个参数,包括整条关联规则的优先级priority、单步规则的可信度reliability;另外,需要根据设备的重要程度,确定设备的重要值。

4.根据权利要求3所述的一种基于关联规则的工业控制系统复杂攻击检测方法,其特征在于:s4中,通过xml格式表示数据库中的关联规则,对攻击场景进行结构化表示,用于后续的复杂攻击检测,通过嵌套的树形结构表示复杂攻击的多个攻击步骤,即复杂攻击和单步攻击之间1:n的关系。

5.根据权利要求4所述的一种基于关联规则的工业控制系统复杂攻击检测方法,其特征在于:s5中,对于启用的关联规则,遍历每一条关联规则,将directives标签作为n叉树的父节点,rule标签及其包含的属性组织为对象,并作为子节点,然后根据rule标签之前的嵌套层次关系,构建起完整的n叉树。

6.根据权利要求5所述的一种基于关联规则的工业控制系统复杂攻击检测...

【专利技术属性】
技术研发人员:王亚鑫罗蕾黄岳钧
申请(专利权)人:广州安行信息安全科技有限公司
类型:发明
国别省市:

相关技术
    暂无相关专利
网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1