[发明专利]工控系统入侵检测处理方法、系统、装置及存储介质有效
| 申请号: | 202310756573.6 | 申请日: | 2023-06-26 |
| 公开(公告)号: | CN116488949B | 公开(公告)日: | 2023-09-01 |
| 发明(设计)人: | 贺敏超;霍朝宾;王绍杰;衣然;王晔;万佳蓉;周帅;荆琛;王颐硕 | 申请(专利权)人: | 中国电子信息产业集团有限公司第六研究所 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40;G06F21/55 |
| 代理公司: | 北京绘聚高科知识产权代理事务所(普通合伙) 11832 | 代理人: | 罗硕 |
| 地址: | 100080 *** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 系统 入侵 检测 处理 方法 装置 存储 介质 | ||
1.一种工控系统入侵检测处理方法,其特征在于,由基于旁路方式部署在所述工控系统各个工作模块的各个检测模块构成检测系统;所述处理方法包括:
所述工控系统对至少一个历史访问终端的终端标签进行加密生成加密标签,并将所述加密标签和对应的终端标识信息传输至所述检测系统;
各个所述检测模块根据所述终端标识信息生成所述至少一个历史访问终端的终端特征的特征数据量;
基于机器学习算法,通过各个所述检测模块按照其对应的所述至少一个历史访问终端的终端特征和所述加密标签进行训练构建检测模型;
根据所述特征数据量的大小的顺序,依次将上一所述检测模块的所述检测模型生成的所述至少一个历史访问终端的检测结果,输入到当前所述检测模块对检测模型进行优化,并基于优化后的当前所述检测模型生成所述至少一个历史访问终端的检测结果传输至下一所述检测模块,直至最后一个的所述检测模块的检测模型完成优化,得到入侵检测模型;
根据当前发送访问请求的访问终端的终端数据生成当前终端特征;将所述当前终端特征输入所述入侵检测模型中,得到终端检测结果。
2.根据权利要求1所述的处理方法,其特征在于,所述处理方法还包括:
当所述终端检测结果为通过检测,且所述当前发送访问请求的访问终端为新访问终端时,根据所述入侵检测模型对所述新访问终端的检测结果,从历史访问终端中匹配相似终端;
计算各个所述相似终端的权限平均等级和访问平均有效期;
将所述工控系统中的基础访问权限和所述权限平均等级中较低的一个作为所述新访问终端的访问权限;
将所述访问平均有效期作为所述新访问终端的访问有效期。
3.根据权利要求2所述的处理方法,其特征在于,所述根据所述入侵检测模型对所述新访问终端的检测结果,从历史访问终端中匹配相似终端,包括:
根据所述新访问终端的检测结果,确定所述新访问终端所属的终端类别组;所述终端类别组包括具有相同类别的历史访问终端;
将对应的所述终端类别组中的历史访问终端作为所述新访问终端的相似终端。
4.根据权利要求3所述的处理方法,其特征在于,所述处理方法还包括:
根据所述入侵检测模型对各个所述历史访问终端的终端特征分别进行检测,得到相应的终端检测结果;
根据所述终端检测结果对所述历史访问终端进行聚类,得到多组终端类别组。
5.根据权利要求4所述的处理方法,其特征在于,所述终端检测结果包括:终端安全评分;
所述根据所述终端检测结果对所述历史访问终端进行聚类,得到多组终端类别组,包括:
根据各个所述历史访问终端的终端安全评分的大小排序结果,将所述历史访问终端进行聚类,得到多组终端类别组;每组所述终端类别组中包括至少两个历史访问终端,且任一历史访问终端的终端安全评分与至少一个历史访问终端的终端安全评分的排序结果相邻。
6.根据权利要求2所述的处理方法,其特征在于,所述处理方法还包括:
从所述相似终端中确定出现非法操作的终端,作为参考终端;
根据所述参考终端出现的非法操作,从规则库中匹配相应的入侵检测规则;
实时获取所述新访问终端在所述工控系统内的操作日志信息,根据所述入侵检测规则对所述操作日志信息进行匹配,根据匹配结果确定所述新访问终端是否出现异常。
7.根据权利要求6所述的处理方法,其特征在于,所述处理方法还包括:
当所述新访问终端出现异常时,向预设管理员终端发送所述新访问终端的终端信息以及异常信息。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国电子信息产业集团有限公司第六研究所,未经中国电子信息产业集团有限公司第六研究所许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202310756573.6/1.html,转载请声明来源钻瓜专利网。
