工业主机终端安全防护方法、存储介质及计算机装置转让专利
申请号 : CN202210665441.8
文献号 : CN115174155B
文献日 : 2023-05-02
发明人 : 申晓杰 , 黄宇 , 廖华 , 邓厚兵 , 李闯 , 潘鹏 , 梁阳 , 袁卫义 , 李更达 , 邓朝翥 , 陈方之 , 姜宪法
申请人 : 中国南方电网有限责任公司超高压输电公司南宁监控中心
摘要 :
本发明公开了一种工业主机终端安全防护方法,其特征是:所述的工业主机终端与数据服务器位于数据层,所述的数据层接受管理端层发布的访问权限信息;所述的工业主机终端与次控制节点之间进行数据交互;所述的次控制节点接受主监控节点的轮询控制信息,且次控制节点也向所述的主控制节点发送返回控制信息;所述的主监控节点进行返回数据识别,根据返回控制信息的接收情况,对所述的次监控节点进行替换和/或删除和/或保持;所述的数据层接收所述的管理端发布的访问权限,所述的工业主机终端根据收到的访问权限信息过滤所述的次监控节点的数据交互。本发明具有次监控节点替换性高,便于维护,终端算力节省,避免卡顿,生产安全性强的优势。
权利要求 :
1.工业主机终端安全防护方法,其特征是:
所述的工业主机终端与数据服务器位于数据层,所述的数据层接收管理端层发布的访问权限信息;所述管理端层上设置管理端;
所述的工业主机终端与次监控节点之间进行数据交互;
所述的次监控节点接受主监控节点的轮询控制信息,且次监控节点也向所述的主监控节点发送返回控制信息;
所述的主监控节点进行返回数据识别,根据返回控制信息的接收情况,对所述的次监控节点进行替换和/或删除和/或保持;
所述的数据层接收所述的管理端发布的访问权限,所述的工业主机终端根据收到的访问权限信息过滤所述的次监控节点的数据交互;
主监控节点对返回数据进行识别,当个别次监控节点发送的返回控制信息错误或未发送返回控制信息时,主监控节点将节点失效信息发送给管理端,管理端再将失效节点权限迁移的信息发送给含有工业主机终端的数据层,并将撤销失效节点权限的信息发送给数据层;所述的工业主机终端记录威胁检测信息并数据交互到所述的次监控节点;
所述的返回数据识别采用决策树算法,对威胁检测信息进行分类;
所述的决策树算法采用输入威胁检测信息的训练数据集D、特征集A、预设停止条件ε和最小样本数s,构建决策树T;构建决策树T时,计算特征集A中的当前特征Ai在训练集D中的稳定指数iin;
对当前特征Ai的每一种可能取值ai,按照Ai=ai的判别为真与否将训练数据集D切分为D1和D2两部分,利用iin(D,A)(式1)来获得使Ai=ai的稳定指数;在特征Ai和每一种可能取值ai中,检出稳定指数最小的特征作为最优特征,以该最优特征的每一个可能值作为优化划分点,根据优化划分点将当前节点划分为两个子节点,把这两个子节点作为数据集的划分对象;对所述的两个子节点迭代;判断稳定指数下降是否小于ε,子节点中样本数是否少于s,如满足停止条件则终止递归,返回决策树T;
(式1)
其中,A为给定的特征集,a为符合特征A的样本,且其可以把训练数据集D划分为D1,D2两部分。
2.根据权利要求1所述的工业主机终端安全防护方法,其特征是:所述的工业主机终端记录威胁检测信息并数据交互到所述的次监控节点;所述的威胁检测信息包括:行为记录和存储日志。
3.计算机装置,其特征是:包括一个或多个处理器;存储器;以及一个或多个计算机程序,其中所述一个或多个计算机程序被存储在所述存储器中,所述一个或多个计算机程序包括指令,当所述指令被所述装置执行时,使得所述装置执行如权利要求1 或2所述的工业主机终端安全防护方法。
4.计算机存储介质,其特征是:所述计算机存储介质存储一个或多个计算机程序,当所述指令被执行时,能执行如权利要求1 或2所述的工业主机终端安全防护方法。
说明书 :
工业主机终端安全防护方法、存储介质及计算机装置
技术领域
[0001] 本发明涉及工控网络安全监测技术领域,尤其涉及一种工业主机终端安全防护方法及存储介质。
背景技术
[0002] 在自动化行业发展的初期,工厂的工业控制系统网络相对封闭,工业控制系统一度被认为是绝对独立的,不可能受到外部网络攻击的。但是近年来为了实现实时的数据采集与生产控制,满足"两化融合"的需求和管理的方便,通过逻辑隔离的方式,使工业控制系统和企业管理系统可以直接进行通信,而企业管理系统一般直接连接互联网,在这种情况下,工业控制系统接入的范围不仅扩展到了企业网,而且面临着来自互联网的威胁,攻击也逐年增加。
[0003] 现有技术如公告号为CN112738063A的中国发明专利申请,公开了一种工业控制系统网络安全监测平台,包括:控制器防护模块;主机防护模块;边界、区域防护模块;综合预警与审计模块;态势感知模块;远程维护模块;权限控制模块。该发明的一种工业控制系统网络安全监测平台,实现对钢铁工业互联网整体安全情况进行实时统一监测,准确、及时发现存在的安全漏洞等安全隐患。
发明内容
[0004] 本发明的目的在于针对现有技术提供一种算力分配均衡、终端算力负载小、风险防控严密、节点替换性高、生产安全性强的工业主机终端安全防护方法。
[0005] 工业主机终端安全防护方法,其中:工业主机终端与数据服务器位于数据层,数据层接受管理端层发布的访问权限信息;工业主机终端与次控制节点之间进行数据交互;次控制节点接受主监控节点的轮询控制信息,且次控制节点也向主控制节点发送返回控制信息;主监控节点进行返回数据识别,根据返回控制信息的接收情况,对次监控节点进行替换和/或删除和/或保持;
[0006] 数据层接收管理端发布的访问权限,工业主机终端根据收到的访问权限信息过滤次监控节点的数据交互。通过多层监控和隔离使得各层上的算力分配均衡,避免工业主机终端去运行或定制消耗大量算力的监控分析程序;终端算力负载小,仅仅需要部署轻量化软件用于采集有关威胁检测信息的数据;风险防控严密,采用多层监控方式隔离传播风险;通过层级和节点替换方式,使得次监控节点替换性高,便于维护,终端算力节省,避免卡顿,生产安全性强。
[0007] 为了优化本技术方案,所采取的措施还包括:
[0008] 工业主机终端记录威胁检测信息并数据交互到次监控节点;威胁检测信息包括:行为记录、存储日志。通过记录、日志等信息,汇总威胁检测结果。作为一种优选方案,可以基于白名单规则匹配技术,针对不同层级的终端进行分级管理,防止病毒木马等恶意程序感染的安全软件产品,确保被各层只有白名单内置程序、进程才允许运行,防止已知和未知恶意程序的侵入,进而防止操作系统被破坏。进一步的,可以通过生成对抗网络技术(GAN),基于神经网络原理,运用深度学习技术,构件判别模型,不断积累和采集病毒和恶意代码样本,进行模型判别及对抗,通过验证,运行对抗网络技术,可以大大的提高漏识率同时还能有效降低降低误识率。
[0009] 返回数据识别采用决策树算法,对威胁检测信息进行分类。决策树算法在本发明的多层监控架构下,显示出较高的管理效率。
[0010] 决策树算法采用输入威胁检测信息的训练数据集D、特征集A、预设停止条件ε和最小样本数s,构建决策树T;构建决策树T时,计算特征集A中的当前特征Ai在训练集D中的稳定指数iin。iin的数值越大,表示D集合的稳定性越差。通过引入inn指标,对集合的稳定性进行评价,为迭代递归提供优化,能有效的平衡次监控节点与主监控节点之间数据读写比例。递归后决策树T的运算事件与主监控节点输入的数据流的速度与算力处理平衡较好。
[0011] 对当前特征Ai的每一种可能取值ai,按照Ai=ai的判别为真与否将训练数据集D切分为Di和D2两部分,利用iin(D,A)(式1)来获得时Ai=ai的稳定指数;在特征Ai和每一种可能取值ai中,检出稳定指数最小的特征作为最优特征,以该最优特征的每一个可能值作为优化划分点,根据优化划分点讲当前节点划分为两个子节点,把这两个子节点作为数据集的划分对象;对两个子节点迭代;判断稳定指数下降是否小于ε,子节点中样本数是否少于s,如满足停止条件则终止递归,返回决策树T。
[0012] 本发明还公开了计算机装置,其包括一个或多个处理器;存储器;以及一个或多个计算机程序,其中上述一个或多个计算机程序被存储在上述存储器中,上述一个或多个计算机程序包括指令,当上述指令被装置执行时,使得装置执行上述的方法。
[0013] 本发明还公开了计算机存储介质,该计算机存储介质存储一个或多个计算机程序,当指令被执行时,能执行上述的方法。
[0014] 本发明由于采用了次控制节点接受主监控节点的轮询控制信息,且次控制节点也向主控制节点发送返回控制信息;主监控节点进行返回数据识别,根据返回控制信息的接收情况,对次监控节点进行替换和/或删除和/或保持;数据层接收管理端发布的访问权限,工业主机终端根据收到的访问权限信息过滤次监控节点的数据交互。通过多层监控和隔离使得各层上的算力分配均衡,避免工业主机终端去运行或定制消耗大量算力的监控分析程序;终端算力负载小,仅仅需要部署轻量化软件用于采集有关威胁检测信息的数据;风险防控严密,采用多层监控方式隔离传播风险;通过层级和节点替换方式,使得次监控节点替换性高,便于维护,终端算力节省,避免卡顿,生产安全性强。因而,本发明具有算力分配均衡、终端算力负载小、风险防控严密、节点替换性高、生产安全性强的优点。
附图说明
[0015] 图1为本发明实施例分层架构示意图;
[0016] 图2为本发明实施例应答步骤示意图;
[0017] 图3为本发明实施例效果对比示意图。
具体实施方式
[0018] 以下结合附实施例对本发明作进一步详细描述。
[0019] 实施例:
[0020] 工业主机终端安全防护方法,其中:工业主机终端与数据服务器位于数据层,数据层接受管理端层发布的访问权限信息;工业主机终端与次控制节点之间进行数据交互;次控制节点接受主监控节点的轮询控制信息,且次控制节点也向主控制节点发送返回控制信息;主监控节点进行返回数据识别,根据返回控制信息的接收情况,对次监控节点进行替换和/或删除和/或保持;
[0021] 数据层接收管理端发布的访问权限,工业主机终端根据收到的访问权限信息过滤次监控节点的数据交互。通过多层监控和隔离使得各层上的算力分配均衡,避免工业主机终端去运行或定制消耗大量算力的监控分析程序;终端算力负载小,仅仅需要部署轻量化软件用于采集有关威胁检测信息的数据;风险防控严密,采用多层监控方式隔离传播风险;通过层级和节点替换方式,使得次监控节点替换性高,便于维护,终端算力节省,避免卡顿,生产安全性强。
[0022] 为了优化本技术方案,所采取的措施还包括:
[0023] 工业主机终端记录威胁检测信息并数据交互到次监控节点;威胁检测信息包括:行为记录、存储日志。通过记录、日志等信息,汇总威胁检测结果。作为一种优选方案,可以基于白名单规则匹配技术,针对不同层级的终端进行分级管理,防止病毒木马等恶意程序感染的安全软件产品,确保被各层只有白名单内置程序、进程才允许运行,防止已知和未知恶意程序的侵入,进而防止操作系统被破坏。进一步的,可以通过生成对抗网络技术(GAN),基于神经网络原理,运用深度学习技术,构件判别模型,不断积累和采集病毒和恶意代码样本,进行模型判别及对抗,通过验证,运行对抗网络技术,可以大大的提高漏识率同时还能有效降低降低误识率。
[0024] 返回数据识别采用决策树算法,对威胁检测信息进行分类。决策树算法在本发明的多层监控架构下,显示出较高的管理效率。
[0025] 决策树算法采用输入威胁检测信息的训练数据集D、特征集A、预设停止条件ε和最小样本数s,构建决策树T;构建决策树T时,计算特征集A中的当前特征Ai在训练集D中的稳定指数iin。iin的数值越大,表示D集合的稳定性越差。通过引入inn指标,对集合的稳定性进行评价,为迭代递归提供优化,能有效的平衡次监控节点与主监控节点之间数据读写比例。递归后决策树T的运算事件与主监控节点输入的数据流的速度与算力处理平衡较好。
[0026] 对当前特征Ai的每一种可能取值ai,按照Ai=ai的判别为真与否将训练数据集D切分为Di和D2两部分,利用iin(D,A)(式1)来获得时Ai=ai的稳定指数;在特征Ai和每一种可能取值ai中,检出稳定指数最小的特征作为最优特征,以该最优特征的每一个可能值作为优化划分点,根据优化划分点讲当前节点划分为两个子节点,把这两个子节点作为数据集的划分对象;对两个子节点迭代;判断稳定指数下降是否小于ε,子节点中样本数是否少于s,如满足停止条件则终止递归,返回决策树T。
[0027] 本发明还公开了计算机装置,其包括一个或多个处理器;存储器;以及一个或多个计算机程序,其中上述一个或多个计算机程序被存储在上述存储器中,上述一个或多个计算机程序包括指令,当上述指令被装置执行时,使得装置执行上述的方法。
[0028] 本发明还公开了计算机存储介质,该计算机存储介质存储一个或多个计算机程序,当指令被执行时,能执行上述的方法。
[0029] 为了保证高可用性集群中各节点的状态能尽可能短的时间内掌握及在次监控节点异常时激活业务切换活动,在各节点之间根据集群的情况选择不同的心跳(即轮询控制信息)类型建立多层心跳网络。心跳网络分为管理端层、主监控层、次监控层和数据层。管理端层上设置管理端,主监控层的节点与次监控层的节点之间通过周期性传送简短心跳信息向其它节点表明自身的状态及监控对端的状态。当某一次监控节点在多层心跳网络中没有传送心跳信息达到一定次数时,主监控节点就认定该节点是失效的,按事先设定的监控关系和备份监控信息接管失效次监控节点的业务(接管服务IP、服务名、数据访问权限来实现访问的切换)。当失效的次监控节点完成故障修复后,再次传送心跳信息后,它可以按切换策略从其它次监控节点接管服务或作为一个备用节点进行 standby工作。
[0030] 通过管理端将含有次监控节点出现故障后的替代关系的替代表传输给主监控节点,管理端还将各个次监控节点对于数据层上各个工业主机终端的访问权限发送给数据层以及位于数据层上的工业主机终端。主监控节点收到管理端发布的替代表后,将分配监控替代关系的信息发放给各个次监控节点,各个次监控节点向根据监控替代关系备份指定的次监控节点。
[0031] 管理端将监控命令信息发给主监控节点,主监控节点将轮询控制信息发送给相应的次监控节点。主监控节点对返回数据进行识别,当个别次监控节点返回的控制信息错误或为返回控制信息时,主监控节点将节点失效信息发送给管理端。管理端再将失效节点权限迁移的信息发送给含有工业主机终端的数据层,并将撤销失效权限的信息发送给数据层。至此,出问题的次监控节点被从管理角色中删除并替换掉,以便维修恢复。
[0032] 决策树T的构建算法伪代码如下:
[0033] 输入:威胁检测信息的训练数据集D、特征集A、预设停止条件ε和最小样本数s。
[0034] 输出:决策树T。
[0035] 1) 计算所述的特征集A中的当前特征Ai在训练集D中的稳定指数iin;
[0036] 2)对当前特征Ai的每一种可能取值ai,按照Ai=ai的判别为真与否将训练数据集D切分为Di和D2两部分,利用iin(D,A)(式1)来获得时Ai=ai的稳定指数;
[0037] 3)在特征Ai和每一种可能取值ai中,检出稳定指数最小的特征作为最优特征,以该最优特征的每一个可能值作为优化划分点,根据优化划分点讲当前节点划分为两个子节点,把这两个子节点作为数据集的划分对象;
[0038] 4)对所述的两个子节点迭代执行1)至3)步骤;
[0039] 5)判断稳定指数下降是否小于ε,子节点中样本数是否少于s,如满足停止条件则终止递归,返回决策树T。
[0040] 稳定指数iin的运算方法如下:
[0041]
[0042] 其中,A为给定的特征集,a为符合特征A的样本,且其可以把训练样本集D划分为D1,D2两部分。令D中包含K类,D中属于第k类的样本为Ck,则式1中iin(D)的算法表达如下,[0043]
[0044] iin(D)的算法体现了概率分布。将上述算法实现的危险检测信息的分类程序部署在主监控节点上,能将数据层的众多工业主机终端的算力专注到控制上,将检测所用的算力转移到主监控节点。能避免工业主机终端在运行检测预警程序过程中,算力资源分配到检测程序,而造成工业控制程序算力的压缩、卡顿等风险。主监控节点进行检测算力的负担,可以通过匹配相应算力的硬件解决,且即使出现短期算力不足,也不至于影响到正常的工业控制;如图3,对比了背景技术中的监控方式和本发明在逐步增加轮询心跳并发多情况下,本发明具有一定的响应速度优势。通过次监控节点分组分摊读取工业主机终端的方式,能隔离工业主机终端和主监控节点间的风险传递。当某个次监控节点反馈出现问题,则对该监控节点进行替换,保持“主监控节点‑次监控节点”组网的健康运行。
[0045] 尽管已结合优选的实施例描述了本发明,然其并非用以限定本发明,任何本领域技术人员,在不脱离本发明的精神和范围的情况下,能够对在这里列出的主题实施各种改变、同等物的置换和修改,因此本发明的保护范围当视所提出的权利要求限定的范围为准。