[发明专利]一种基于威胁情报的工业控制系统网络安全性分析系统及方法

摘要

本发明提出一种基于威胁情报的工业控制系统网络安全性分析系统及方法，包括：获取所有访问过工业控制系统的ip地址及相关绑定的域名；对已发现的ip地址和相关域名进行恶意性判断；基于访问ip和相关域名的绑定关系，对已有的访问ip进行分组；从时间特性，空间特性和恶意性等方面对已发现的ip组进行分析；根据已发现ip组及其相关特性，对ip组进行机器学习，建立判断ip组是否为恶意ip组的决策树模型，并对模型进行评估。根据访问ip找到工业控制系统相关的所有ip组，并通过可视化页面对工业控制系统的访问关系进行全方面分析。根据预设时间，周期性的执行上述步骤，不断提高准确率和覆盖率，更新威胁情报库和相关的恶意性和安全性分析结果。

主权项

一种基于威胁情报的工业控制系统网络安全性分析系统，其特征在于，包括：工业控制系统访问ip获取模块，用于获取访问过工控系统的ip列表；ip和域名信息获取模块，用于通过相关的安全服务提供商和工控蜜罐获取访问过工控系统的ip的具体信息，通过域名黑名单及相关威胁情报信息查询接口，对ip地址和相关域名进行恶意性判断，分析工控系统当前的安全性；ip分组模块，用于对ip和域名信息获取模块获取的ip进行分组，根据访问ip和域名的多对多关联关系；以第一个ip节点为Ia，其绑定过的域名数组为Da＝(Da1,Da2,……,Dam)，所属C类网段为Ca，所属地区为Ra；第二个ip节点为Ib，其绑定过的域名数组为Db＝(Db1,Db2,……,Dbn)，所属C类网段为Cb，所属地区为Rb；若或(Ca＝Cb)∧(Ra＝Rb),则Ia与Ib属于同一ip组，否则不属于同一个ip组；ip组属性分析模块，用于对ip组的时间特性、空间特性以及ip组的恶意性进行分析；所述ip组的时间特性包括：总体访问时间分布和访问时间分配专一性；总体访问时间分布指转换时区后的24小时中每小时访问ip数分布的标准差；访问时间分配专一性指转时区后的24小时中每小时访问ip数分布的极差除以期望；所述ip组的空间特性包括：访问ip地理分布、网段分布、域名连通性、被访问ip地理分布和被访问ip协议分布；访问ip地理分布具体又包括分散均匀性和集中性；被访问ip地理分布又包括分散均匀性和集中性；所述ip组的恶意性包括：ip恶意性打分和ip组恶意性打分；决策树建立模块，用于判断新ip组的恶意性，根据ip组的恶意性打分和设定的阈值给ip组设置是否为恶意ip组的标签，再根据ip组的时间特性、空间特性建立判断ip组是否为恶意ip组的决策树模型，并通过测试数据对模型进行评估。