[发明专利]一种威胁情报自动生成方法及系统

说明书

本发明公开了一种威胁情报自动生成方法及系统，所述方法包括：获取与工业控制系统安全相关联的数据，所述数据至少包括第一类数据、第二类数据、第三类数据；针对所述第一类数据，对所述数据进行情报处理统计，并基于统计结果进行实体及关系的抽取；将抽取出来的内容存储至图数据库中；针对所述第二类数据，对所述数据进行实体识别，并基于识别结果进行关系抽取；将抽取出来的内容存储至图数据库中；针对所述第三类数据，对所述数据进行情报处理统计，并将统计结果存储至情报数据库中；利用第一类算法对所述图数据库中存储的内容进行分析，以及利用第二类算法对所述情报数据库中存储的内容进行分析，基于分析结果生成威胁情报。

技术领域

本发明涉及工业控制系统安全技术领域，尤其涉及一种针对工业控制系统安全的威胁情报自动生成方法及系统。

背景技术

工业控制系统(ICS，Industrial Control Systems)是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成。ICS包括数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED)，以及确保各组件通信的接口，被称为“系统中的系统”。ICS广泛应用于核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造等国家关键基础设施等领域，用于控制关键生产设备的运行。

随着近年来“中国制造2025”、“互联网+”以及“工业4.0”计划的提出，在网络互连的大背景下，工业控制系统的互连已经成为不可避免的趋势。互连一方面可以提高生产力，提升创新能力，减少工业能源及资源消耗，助力产业模式转型升级，另一方面也会因为互联而诱发一系列网络安全问题，工业控制系统一直面临着来自内部和外部的各种恶意病毒的攻击。目前，工业控制系统遭受的网络攻击已经成为最严重的国家安全挑战之一。一些重点领域中的工业控制系统一旦遭到破坏，不仅会影响产业经济的持续发展，更会对国家安全造成巨大的损害。目前针对工业控制系统安全问题，仍主要采取传统安全防护措施，如防火墙、入侵检测、权限检测等。

传统网络中威胁情报感知技术的作用对象单一、相互之间独立、粒度不够，给威胁情报的精确、完整、高效感知带来诸多不便。云计算虚拟化技术的出现极大地扩展了网络的规模，增加了信息系统的复杂性，给威胁情报感知带来了新的挑战。

发明内容

为解决上述技术问题，本发明实施例提供了一种威胁情报自动生成方法及系统。

本发明实施例提供的威胁情报自动生成方法，包括：

获取与工业控制系统安全相关联的数据，所述数据至少包括第一类数据、第二类数据、第三类数据；

针对所述第一类数据，对所述数据进行情报处理统计，并基于统计结果进行实体及关系的抽取；将抽取出来的内容存储至图数据库中；

针对所述第二类数据，对所述数据进行实体识别，并基于识别结果进行关系抽取；将抽取出来的内容存储至图数据库中；

针对所述第三类数据，对所述数据进行情报处理统计，并将统计结果存储至情报数据库中；

利用第一类算法对所述图数据库中存储的内容进行分析，以及利用第二类算法对所述情报数据库中存储的内容进行分析，基于分析结果生成威胁情报。

本发明实施例中，所述获取与工业控制系统安全相关联的数据，包括：

利用蜜罐系统采集网络攻击流量数据，所述网络攻击流量数据属于所述第一类数据；

利用扫描系统采集工业控制设备分布数据及漏洞数据，所述工业控制设备分布数据及漏洞数据属于所述第一类数据；

采集来自互联网空间的数据，所述互联网空间的数据包括结构化数据、非结构化数据，其中，所述结构化数据属于所述第一类数据，所述非结构化数据属于所述第二类数据；