一种基于态势感知的基础设施监测预警方法及系统

技术领域

本发明属于自动检测领域，具体涉及一种基于态势感知的基础设施监测预警方法及系统。

背景技术

现在的企业规模越来越大，所拥有的资产也随之增加，由于资产的增加，其安全性也需要得到重视，需要监测全厂网络安全态势，从电厂内生产控制大区、生产非控制大区及管理大区的核心交换机或重要主机、网络设备、安全设备采集数据，进行流量分析以及态势评估。

基于此，本发明提供一种基于态势感知的基础设施监测预警方法及系统，以保证企业资产的安全性。

发明内容

本发明的目的是解决现有企业中资产保护中遇到的问题。

为实现上述目的，本发明提供一种基于态势感知的基础设施监测预警方法及系统，以保证企业资产的安全性。

本发明的技术方案为：一种基于态势感知的基础设施监测预警方法，

S1：自动获取资产数据，通过自动获取的资产与手工录入资产进行比对，进行差异确认，并将差异结果上传车态感知主站进行确认；

S2：根据确认结果获取全网络数据、全资产安全日志和事件信息，对数据进行多维度挖掘，将挖掘结果传输至态势感知分析中心，确认分析结果；

S3：根据分析结果对威胁事件进行检测，确认检测结果；

S4：对检测结果与工控协议数据库的深度过滤解析进行智能感知以及通信状态异常确认，并形成告警数据，将所述告警数据同步到数据库；

S5：采用人工智能的深度学习技术，通过预测模型对获取的数据库数据进行训练，确定威胁能力。

作为本发明的进一步改进，自动获取资产数据，通过自动获取的资产与手工录入资产进行比对，进行差异确认，并将差异结果上传车态感知主站进行确认具体包括，通过探测采集、镜像流量、NMAP、SNMP手段自动发现厂站装置监测范围内的资产。

作为本发明的进一步改进，根据分析结果对威胁事件进行检测与分析，提供对网络链路全流量数据采集、转发与存储，基于异常流量建模、攻击行为建模技术进行威胁检测。

作为本发明的进一步改进，对检测结果与工控协议数据库的深度过滤解析进行智能感知以及通信状态异常确认，并形成告警数据，将所述告警数据同步到数据库具体包括，通过原始通信报文分析通信状态机异常情况，根据事件告警规则(CPU阈值、内存阈值、磁盘阈值等)匹配，将范式化后的事件形成告警，同时记录到数据库。

一种基于态势感知的基础设施监测预警系统，

所述监测预警系统包括资产发现模块、数据采集模块、安全监视模块、预测分析模块、态势评估模块以及配置管理模块；

资产发现模块，用于自动获取资产数据，通过自动获取的资产与手工录入资产进行比对，进行差异确认，并将差异结果上传车态感知主站；

数据采集模块，用于根据确认结果获取全网络数据、全资产安全日志和事件信息，对数据进行多维度挖掘，将挖掘结果传输至态势感知分析中心，确认分析结果；

预测分析模块，用于根据分析结果对威胁事件进行检测，确认检测结果；

态势评估模块，用于对检测结果与工控协议数据库的深度过滤解析进行智能感知以及通信状态异常确认，并形成告警数据，将所述告警数据同步到数据库。

作为本发明的进一步改进，所述的态势评估模块还包括态势可视化、风险评估、智能告警提醒、事件处置建议、资产管理、统计分析、态势报告模块。

作为本发明的进一步改进，所述系统还包括智能告警提醒模块，所述智能告警提醒模块按照告警级别、告警时间、告警设备类型、告警设备IP将事件告警信息通过通信协议主动上送主站，主站将告警信息通过短信、语音、铃声等方式，将最新的事件实时推送给用户。

作为本发明的进一步改进，所述系统还包括事件处置模块，用于在可疑威胁事件确认后，进行处置并形成事件闭环管理。

作为本发明的进一步改进，所述系统还包括安全监视模块，用于对厂内所绑定重要资产的安全态势进行实时监测。

作为本发明的进一步改进，所述系统还包括配置管理模块，对整个态势感知系统进行运维监控管理。

采用本发明提供的基于态势感知的基础设施监测预警方法及系统，可有效的保障工厂资产的安全，通过监测全厂网络安全态势，从电厂内生产控制大区、生产非控制大区及管理大区的核心交换机或重要主机、网络设备、安全设备采集数据，进行流量分析以及态势评估和预警，实现了基础设置的检测预警。

附图说明

图1是本发明基于态势感知的基础设施监测预警方法的流程图；

图2是本发明基于态势感知的基础设施监测预警系统的示意图。

具体实施方式

下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。

如图所示，本发明公开一种基于态势感知的基础设施监测预警方法；

S1：自动获取资产数据，通过自动获取的资产与手工录入资产进行比对，进行差异确认，并将差异结果上传车态感知主站进行确认，所述自动获取的资产数据包括通过终端数据采集设备、网路数据采集设备和安全数据采集设备分别采集主机设备信息、网路设备信息和安全设备信息等；

S2：根据确认结果获取全网络数据、全资产安全日志和事件信息，对数据进行多维度挖掘，将挖掘结果传输至态势感知分析中心，确认分析结果；

S3：根据分析结果对威胁事件进行检测，确认检测结果；

S4：对检测结果与工控协议数据库的深度过滤解析进行智能感知以及通信状态异常确认，并形成告警数据，将所述告警数据同步到数据库；

具体的，对比电力行业的工控协议数据的深度过滤解析进行智能感知，通信状态异常情况采集指通过镜像站内网络设备的端口抓取原始通信报文，包括IEC61850、IEC103、IEC104等规约报文，分析通信状态机异常情况，根据事件告警规则(CPU阈值、内存阈值、磁盘阈值等)匹配，将范式化后的事件形成告警，同时记录到数据库；

S5：采用人工智能的深度学习技术，通过预测模型对获取的数据库数据进行训练，确定威胁能力，根据威胁能力进行预警。

其中，自动获取资产数据，通过自动获取的资产与手工录入资产进行比对，进行差异确认，并将差异结果上传车态感知主站进行确认具体包括，通过探测采集、镜像流量、NMAP、SNMP手段自动发现厂站装置监测范围内的资产。

其中，根据分析结果对威胁事件进行检测与分析，提供对网络链路全流量数据采集、转发与存储，基于异常流量建模、攻击行为建模技术进行威胁检测。

其中，对检测结果与工控协议数据库的深度过滤解析进行智能感知以及通信状态异常确认，并形成告警数据，将所述告警数据同步到数据库具体包括，通过原始通信报文分析通信状态机异常情况，根据事件告警规则(CPU阈值、内存阈值、磁盘阈值等)匹配，将范式化后的事件形成告警，同时记录到数据库。

如图2所示，本发明还公开了一种基于态势感知的基础设施监测预警系统，用于监测全厂网络安全态势，从电厂内生产控制大区、生产非控制大区及管理大区的核心交换机或重要主机、网络设备、安全设备采集数据，进行流量分析以及态势评估，

所述监测预警系统包括资产发现模块、数据采集模块、安全监视模块、预测分析模块、态势评估模块以及配置管理模块；

资产发现模块，用于自动获取资产数据，通过自动获取的资产与手工录入资产进行比对，进行差异确认，并将差异结果上传车态感知主站；

该资产发现模块还用于将厂内的重要主机以及交换机、路由器等安全设备与态势感知系统进行绑定；

数据采集模块，用于根据确认结果获取全网络数据、全资产安全日志和事件信息，对数据进行多维度挖掘，将挖掘结果传输至态势感知分析中心，确认分析结果，还用于采用分布式监测体系将关键基础设施的网络全流量进行实时数据采集；

预测分析模块，用于根据分析结果对威胁事件进行检测，确认检测结果，还用于对采集到的网络流量数据和进行数据清洗、抽取和归并等预处理操作，通过数据挖掘引擎、协议分析引擎、攻击分析引擎、流量分析引擎等对预处理后的数据进行深度的挖掘分析，并结合网络异常行为模型预测网络安全态势，所述的态势评估模块还包括态势可视化、风险评估、智能告警提醒、事件处置建议、资产管理、统计分析、态势报告模块，所示态势感知模块还用于全方位对当前网络安全态势进行评估，并通过数据可视化工具对态势评估结果进行综合展示。

作为本发明的进一步改进，所述系统还包括智能告警提醒模块，所述智能告警提醒模块按照告警级别、告警时间、告警设备类型、告警设备IP将事件告警信息通过通信协议主动上送主站，主站将告警信息通过短信、语音、铃声等方式，将最新的事件实时推送给用户。

其中，所述系统还包括事件处置模块，用于在可疑威胁事件确认后，进行处置并形成事件闭环管理，具体的所述事件处置模块，在可疑威胁事件一经确认后，可由管理员发起工单处置流程，系统将自动精准匹配处置建议，进入事件应急处置环节，管理员可参照进行处置。处置完成后，填写处置报告，形成事件闭环管理。。

其中，所述系统还包括安全监视模块，用于对厂内所绑定重要资产的安全态势进行实时监测。

其中，所述系统还包括配置管理模块，对整个态势感知系统进行运维监控管理。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。