[发明专利]工控威胁检测方法及装置

说明书

本申请适用于智能工业控制技术领域，提供了一种工控威胁检测方法，包括：从工控威胁知识库中获取威胁对比数据，并从威胁对比数据中提取威胁特征；通过工控系统采集工控安全事件的工业控制安全数据，并从工业控制安全数据中提取工控安全特征；将威胁特征与工控安全信息特征进行分析比较，得到威胁相似度；根据威胁相似度判定工控安全事件的级别，并根据级别对所述工控安全事件进行处理。本方法采用分级响应机制，服务器对工控安全事件进行分级，针对不同的级别区间采用不同的处理方式，可以快速地对工控安全事件进行响应，提高了对工业控制系统中的威胁的检测效率。

技术领域

本申请属于智能工业控制技术领域，尤其涉及工控威胁检测方法及装置。

背景技术

工业控制系统(简称工控系统)作为国家重点信息基础设施的重要组成部分，其安全性受到了越来越多的重视，但工控系统建立之初是以业务优先，并未考虑太多安全方面的因素。

而传统的防护方式也只是采用防火墙、杀毒软件等被动防护方式，因此工控系统极易因本身存在的漏洞而使得工业控制过程处于威胁当中，因此急需一种对工业控制系统中的威胁进行检测和预测的方法。

发明内容

本申请实施例提供了工控威胁检测方法及装置，可以解决对工业控制系统中的威胁进行检测和预测的问题。

第一方面，本申请实施例提供了一种工控威胁检测方法，包括：从工控威胁知识库中获取威胁对比数据，并从威胁对比数据中提取威胁特征；通过工控系统采集工控安全事件的工业控制安全数据，并从工业控制安全数据中提取工控安全特征；将威胁特征与工控安全信息特征进行分析比较，得到威胁相似度；根据威胁相似度判定工控安全事件的级别，并根据级别对工控安全事件进行处理。

在第一方面的一种可能的实现方式中，威胁对比数据包括威胁文件数据、威胁行为数据和威胁日志数据；从工控威胁知识库中获取威胁对比数据，并从威胁对比数据中提取威胁特征，包括：将威胁文件数据利用信息摘要算法进行编码，得到威胁文件特征；对威胁行为数据进行计算得到将威胁行为特征；从威胁日志数据中获取日志记录，从日志记录中提取威胁日志特征；将威胁文件特征、威胁行为特征以及威胁日志特征整合成威胁特征。

在第一方面的一种可能的实现方式中，工业控制安全数据包括工控文件数据、工控行为数据以及工控日志数据，通过工控系统采集工业控制安全数据，并从工业控制安全数据中提取工控安全特征，包括：将工控文件数据利用信息摘要算法进行编码，得到工控文件特征；对工控行为数据进行计算得到工控行为特征；从威胁日志数据中获取日志记录，从日志记录中提取工控日志特征；将工控文件特征、工控行为特征以及工控日志特征整合成工控安全特征。

在第一方面的一种可能的实现方式中，将威胁特征与工控安全特征进行分析比较，得到威胁相似度，包括：将威胁特征进行规格化处理，得到关于威胁文件特征、威胁行为特征以及威胁日志特征的威胁特征向量；将工控安全特征进行规格化处理，得到关于工控文件特征、工控行为特征以及工控日志特征的工控安全特征向量；计算威胁特征向量和工控安全特征向量之间的余弦相似度。

在第一方面的一种可能的实现方式中，根据威胁相似度判定工控安全事件的级别，包括：设定第一威胁阈值、第二威胁阈值以及第三威胁阈值；若威胁相似度小于第一威胁阈值，则判定工控安全事件为无威胁事件；若威胁相似度小于第二威胁阈值且大于第一威胁阈值，则判定工控安全事件为一级威胁事件；若威胁相似度小于第三威胁阈值且大于第二威胁阈值，则判定工控安全事件为二级威胁事件；若威胁相似度大于第三威胁阈值，则判定工控安全事件为三级威胁事件。

在第一方面的一种可能的实现方式中，根据级别对工控安全事件进行处理，包括：若工控安全事件为一级威胁事件，则向客户端发送事件告警信息；若工控安全事件为二级威胁事件，则对有威胁的进程进行阻止，并标定具有威胁的通信地址；若工控安全事件为三级威胁事件，则生成综合策略推荐至人工进行处理。