[发明专利]一种工控网络威胁自动隔离方法及系统在审
| 申请号: | 202010466114.0 | 申请日: | 2020-05-28 |
| 公开(公告)号: | CN111935064A | 公开(公告)日: | 2020-11-13 |
| 发明(设计)人: | 李牧野;黄益彬;朱世顺;刘苇;景娜;陆英玮;祁龙云;金建龙;张林霞;王梓;杨康乐 | 申请(专利权)人: | 南京南瑞信息通信科技有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 南京纵横知识产权代理有限公司 32224 | 代理人: | 史俊军 |
| 地址: | 210003 *** | 国省代码: | 江苏;32 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 网络 威胁 自动 隔离 方法 系统 | ||
1.一种工控网络威胁自动隔离方法,其特征在于:包括,
获取工业控制系统内各设备的运行信息,提取运行信息的特征;
响应于预设威胁决策表内存在与运行信息特征匹配的威胁事件,获取威胁事件对应的隔离策略,隔离威胁源;
响应于预设威胁决策表内不存在与运行信息特征匹配的威胁事件,将运行信息特征输入预先训练的决策模型,获得运行信息特征对应的事件类别;响应于运行信息特征对应的事件为威胁事件,获取威胁事件对应的隔离策略,隔离威胁源,并将运行信息特征存入预设威胁决策表。
2.根据权利要求1所述的一种工控网络威胁自动隔离方法,其特征在于:运行信息包括工业控制系统日志、网络连接信息和业务运行信息;日志包括内核及操作系统日志、用户操作日志和程序运行日志,网络连接信息包括设备自身与外界的TCP/UDP连接信息,业务运行信息包括工业控制系统各类测量、控制及调试指令的信息。
3.根据权利要求1所述的一种工控网络威胁自动隔离方法,其特征在于:提取运行信息特征的过程为,
对运行信息格式进行范式化转换;
对范式化转换后的运行信息进行特征提取;
对运行信息特征进行缺失补偿,得到完整的运行信息特征。
4.根据权利要求1所述的一种工控网络威胁自动隔离方法,其特征在于:运行信息的特征包括连续型特征和类别型特征,连续型特征为0/1特征向量,类别型特征为符合标准正太分布的特征。
5.根据权利要求1所述的一种工控网络威胁自动隔离方法,其特征在于:决策模型为,
目标函数
判决函数
其中,ω为决策模型判决函数的权重,C+、C-为正向类样本和负向类样本惩罚因子,p为正向类样本数量,q为负向类样本数量,ξi、ξj为松弛变量,f(x)为待判决运行信息特征x的判决结果,(xi,yi)为训练样本,xi为训练样本中的运行信息特征,yi为xi对应的事件类别,n为训练样本数量,为第i个训练样本对应的拉格朗日乘子,b*为阈值,K(x,xi)为径向基核函数,σ为K(x,xi)的宽度参数。
6.根据权利要求1所述的一种工控网络威胁自动隔离方法,其特征在于:隔离威胁源为关闭威胁源所连接的交换机端口或禁用威胁源所有网络接口。
7.一种工控网络威胁自动隔离方法,其特征在于:包括,
特征提取模块:获取工业控制系统内各设备的运行信息,提取运行信息的特征;
第一决策模块:响应于预设威胁决策表内存在与运行信息特征匹配的威胁事件,获取威胁事件对应的隔离策略,隔离威胁源;
第二决策模块:响应于预设威胁决策表内不存在与运行信息特征匹配的威胁事件,将运行信息特征输入预先训练的决策模型,获得运行信息特征对应的事件类别;响应于运行信息特征对应的事件为威胁事件,获取威胁事件对应的隔离策略,隔离威胁源,并将运行信息特征存入预设威胁决策表。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于南京南瑞信息通信科技有限公司,未经南京南瑞信息通信科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202010466114.0/1.html,转载请声明来源钻瓜专利网。
