[发明专利]一种工控网络威胁自动隔离方法及系统

说明书

本发明公开了一种工控网络威胁自动隔离方法，包括获取工业控制系统内各设备的运行信息，提取运行信息的特征；响应于预设威胁决策表内存在与运行信息特征匹配的威胁事件，获取威胁事件对应的隔离策略，隔离威胁源；响应于预设威胁决策表内不存在与运行信息特征匹配的威胁事件，将运行信息特征输入预先训练的决策模型，获得运行信息特征对应的事件类别；响应于运行信息特征对应的事件为威胁事件，获取威胁事件对应的隔离策略，隔离威胁源，并将运行信息特征存入预设威胁决策表。同时公开了相应的系统。本发明组合应用威胁决策表与决策模型，有效实现事中威胁源隔离，在保证威胁检测效率的同时，以自学习方式不断完善威胁决策表，实现实时更新，以提高网络安全威胁识别精准度。

技术领域

本发明涉及一种工控网络威胁自动隔离方法及系统，属于信息安全技术领域。

背景技术

工业控制系统与传统信息系统相比，具有高实时性、高可靠性和工作连续性等方面的特殊要求，但同时网络安全防御能力也相对匮乏。纵观当前市面上工业控制系统网络安全防护方案，侧重点多放在事前的安全基线核查与脆弱性扫描、事中的网络安全数据监测与预警、事后的攻击溯源与安全加固，缺乏事中的就地化自动阻断机制或自动阻断手段，同时，多数基于模式匹配的威胁检测方法无法有效应更新威胁特征库，威胁特征库更新缓慢成为影响安全防护系统漏报率和准确率的关键因素。介于此，有必要从技术上改进现有工业控制系统网络威胁侦查和自动处置技术。

发明内容

本发明提供了一种工控网络威胁自动隔离方法及系统，解决了背景技术中披露的问题。

为了解决上述技术问题，本发明所采用的技术方案是：

一种工控网络威胁自动隔离方法，包括，

获取工业控制系统内各设备的运行信息，提取运行信息的特征；

响应于预设威胁决策表内存在与运行信息特征匹配的威胁事件，获取威胁事件对应的隔离策略，隔离威胁源；

响应于预设威胁决策表内不存在与运行信息特征匹配的威胁事件，将运行信息特征输入预先训练的决策模型，获得运行信息特征对应的事件类别；响应于运行信息特征对应的事件为威胁事件，获取威胁事件对应的隔离策略，隔离威胁源，并将运行信息特征存入预设威胁决策表。

运行信息包括工业控制系统日志、网络连接信息和业务运行信息；日志包括内核及操作系统日志、用户操作日志和程序运行日志，网络连接信息包括设备自身与外界的TCP/UDP连接信息，业务运行信息包括工业控制系统各类测量、控制及调试指令的信息。

提取运行信息特征的过程为，

对运行信息格式进行范式化转换；

对范式化转换后的运行信息进行特征提取；

对运行信息特征进行缺失补偿，得到完整的运行信息特征。

运行信息的特征包括连续型特征和类别型特征，连续型特征为0/1特征向量，类别型特征为符合标准正太分布的特征。

决策模型为，

目标函数

判决函数