工控网络安全事件实时通知方法、系统、设备及介质

摘要

本申请涉及一种工控网络安全事件实时通知方法、系统、设备及介质，包括采集工控网络流量数据；对工控网络流量数据进行检测分析，生成告警事件；将告警事件进行关联分析，生成与实体资产相关联的网络安全事件；将网络安全事件推送至数据共享平台以实现数据共享；其中，数据共享平台采用IT/OT网络融合的信息共享方式，将网络安全事件通过移动互联网实现数据共享；数据共享平台实时将网络安全事件发送至对应终端设备，最终使得用户可通过查看终端设备消息，提升网络安全事件通报响应效率。

说明书

技术领域

本申请涉及网络安全技术领域，特别是涉及一种工控网络安全事件实时通知方法、系统、设备及介质。

背景技术

目前能源工业互联网态势感知平台，通过已经采集发电场工控网络生产大区和管理大区的网络流量数据，经过专网传输至中心侧平台由安全专家进行工控生产环境的网络流量分析，针对分析后发现的网络安全事件，继续通过专网推送至集团侧平台告知场站安全运维人员处置安全事件。由于工控环境对安全性要求高的特点，通过集团侧平台查看网络安全事件，只能在专网内的固定机器查阅，经常不能及时查看和处理安全事件。因此，通过当前的事件通知方式很难第一时间告知用户需要进行网络安全事件处置，而网络安全事件往往会在短时间内发生范围蔓延，如果不及时处理发现的网络事件会导致网络攻击轻松突破防护，造成严重后果。

因此由于目前工控网络安全仅仅可以在某一时段发现网络安全隐患，不能及时通知用户进行有效的处置应对，错过了消除隐患的最佳时机。同时导致用户在处理过程中也无法与安全专家进行有效的互动，不能实时有效的跟踪安全事件的处理过程和结果，导致沟通处理成本增加，降低工作效率，严重甚至会对工控生产造成巨大损失。

发明内容

本申请提供了一种工控网络安全事件实时通知方法、系统、设备及介质，针对目前工控网络安全仅仅可以在某一时段发现网络安全隐患，不能及时通知用户进行有效的处置应对，不能实时有效的跟踪安全事件的处理过程和结果的问题，提出了一种工控网络安全事件实时通知的方法，尽可能提高安全事件通知至用户的时效，降低沟通成本，提高工作效率。

第一方面，本申请提供了一种工控网络安全事件实时通知方法，该方法包括：采集工控网络流量数据；对所述工控网络流量数据进行检测分析，生成告警事件；将所述告警事件进行关联分析，生成与实体资产相关联的网络安全事件；将所述网络安全事件推送至数据共享平台以实现数据共享；其中，所述数据共享平台采用IT/OT网络融合的信息共享方式，将所述网络安全事件通过移动互联网实现数据共享；所述数据共享平台实时将所述网络安全事件发送至对应终端设备。

可选的是，所述采集工控网络流量数据，包括：基于专用加密UDP、端口镜像、分光器中的一种或者多种进行实时采集工控网络流量数据；同时，利用零拷贝、轮询、大页缓存、无锁执行中的一种或者多种方式对所述工控网络流量数据的采集效能进行优化。

可选的是，所述对所述工控网络流量数据进行检测分析，生成告警事件，包括：对采集的所述工控网络流量数据进行逐层解析、识别与分析；基于检测引擎检测针对所述工控网络流量数据发出的威胁攻击，并生成告警事件。

可选的是，所述将所述告警事件进行关联分析，生成与实体资产相关联的网络安全事件，包括：采用实时与定时的方式对采集的所述工控网络流量数据进行深度挖掘与清洗，并自下而上形成包括协议日志、告警信息、威胁事件的数据池；将所述数据池与实体资产进行关联分析，通过核实所述告警事件生成与实体资产相关联的网络安全事件。

可选的是，所述数据共享平台实时将所述网络安全事件发送至对应终端设备，包括：基于所述数据共享平台，将所述网络安全事件与终端设备配套的APP软件通过移动互联网实现数据通信；所述数据共享平台实时将所述网络安全事件发送至对应终端设备APP软件上。

可选的是，在所述数据共享平台实时将所述网络安全事件发送至对应终端设备APP软件上之前，还包括：提示所述终端设备是否接收所述网络安全事件；若是，则将所述网络安全事件发送至对应终端设备；否则，不再发送所述网络安全事件至对应终端设备。

可选的是，所述数据共享平台实时将所述网络安全事件发送至对应终端设备APP软件上，还包括：基于所述终端设备APP软件接收的所述网络安全事件，根据所述终端设备APP软件进行反馈和/或呼叫求助。

第二方面，本申请提供了一种工控网络安全事件实时通知系统，该系统包括：采集模块，用于采集工控网络流量数据；检测分析模块，用于对所述工控网络流量数据进行检测分析，生成告警事件；处理模块，用于将所述告警事件进行关联分析，生成与实体资产相关联的网络安全事件；共享模块，用于将所述网络安全事件推送至数据共享平台以实现数据共享，所述数据共享平台采用IT/OT网络融合的信息共享方式，将所述网络安全事件通过移动互联网实现数据共享；发送模块，用于所述数据共享平台实时将所述网络安全事件发送至对应终端设备。

第三方面，本申请还提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现上述所述方法的步骤。

第四方面，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现上述所述方法的步骤。

本申请至少具有以下优点：

根据本申请实施例所提供的技术内容，通过将获取的工控网络流量数据进行检测分析，生成告警事件，通过对获取的数据进一步关联分析，将生成的告警事件进行核实研判生成网络安全事件，并将网络安全事件与实体资产相关联，通过数据共享平台，采用IT/OT网络融合的信息共享方式，建立通过移动互联网将工控网络以及与终端设备配套的APP软件实现数据通信，进而实现将网络安全事件利用终端设备配套的APP软件快速触达用户，使得用户实现通过对终端设备消息进行查看和反馈，提升网络安全事件通报响应效率，帮助工控企业可以用最短的时间阻断安全风险。

附图说明

图1为一个实施例中显示工控网络安全事件实时通知方法的应用环境图；

图2为一个实施例中显示工控网络安全事件实时通知方法的流程示意图；

图3为一个实施例中显示工控网络安全事件实时通知方法的流程框图；

图4为一个实施例中显示工控网络流量生成告警事件的流程结构图；

图5为一个实施例中显示告警事件关联实体资产的流程示意图；

图6为一个实施例中显示数据共享平台发送数据的流程示意图；

图7为一个实施例中显示工控网络安全事件实时通知系统结构框图；

图8为一个实施例中计算机设备的示意性结构图。

具体实施方式

以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本申请的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，当在本说明书中使用属于“包含”和/或“包括”时，其指明存在特征、步骤、操作、器件、组件和/或它们的组合。

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合附图对本申请的各实施例进行详细的阐述。然而，本领域的普通技术人员可以理解，在本申请各实施例中，为了使读者更好地理解本申请而提出了许多技术细节。但是，即使没有这些技术细节和基于以下各实施例的种种变化和修改，也可以实现本申请所要求保护的技术方案。以下各个实施例的划分是为了描述方便，不应对本申请的具体实现方式构成任何限定，各个实施例在不矛盾的前提下可以相互结合，相互引用。

为了方便理解，首先对本申请所适用的系统进行描述。本申请提供的一种工控网络安全事件实时通知方法，可以应用于如图1所示的系统架构中。该系统包括：用户空间文件服务器103和终端设备101，终端设备101通过网络与用户空间文件服务器103通过网络进行通信。其中，用户空间文件服务器103可以是一个基于NFSv3\v4协议的文件服务器，运行在Linux坏境下，而NFS(网络文件系统)是文件系统之上的一个网络抽象，可允许运行于终端设备101的远程客户端以与本地文件系统相类似的方式，通过网络进行访问。终端设备101可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑等，用户空间文件服务器103可以用独立的服务器或者是多个服务器组成的服务器集群来实现。

图2为本申请实施例提供的一种工控网络安全事件实时通知方法的流程示意图，该方法可以由如图1所示系统中的用户空间文件服务器执行。

如图2所示，该方法可以包括以下步骤：

S201、采集工控网络流量数据；

S202、对工控网络流量数据进行检测分析，生成告警事件；

S203、将告警事件进行关联分析，生成与实体资产相关联的网络安全事件；

S204、将网络安全事件推送至数据共享平台以实现数据共享；

其中，数据共享平台采用IT/OT网络融合的信息共享方式，将网络安全事件通过移动互联网实现数据共享。

S205、数据共享平台实时将网络安全事件发送至对应终端设备。

下面对每个步骤具体展开详细说明：

S201、采集工控网络流量数据；

如图2、图3所示，在本实施例中，需要说明的是，采集工控网络流量数据，使用专门用于获取网络链路流量数据的硬件设备，采集工控网络流量数据，从而便于后续操作分析。

S202、对工控网络流量数据进行检测分析，生成告警事件；

在本实施例中，需要说明的是，对工控网络采集的全流量进行存储，并对工控网络流量数据进行检测分析，以检测出入侵的威胁数据，生成告警事件，以便后续提示告警。

S203、将告警事件进行关联分析，生成与实体资产相关联的网络安全事件；

在本实施例中，需要说明的是，针对获取的工控网络流量数据分析后产生的告警事件，进行多层次数据分析，得到分析后的数据，以便与机构、资产等实体进行关联分析，从而得到与实体资产相关联的网络安全事件，以便于后续将确认的网络安全事件推送至数据共享平台。

S204、将网络安全事件推送至数据共享平台以实现数据共享；

其中，数据共享平台采用IT/OT网络融合的信息共享方式，将网络安全事件通过移动互联网实现数据共享。

在本实施例中，需要说明的是，OT即Operational Technology的简写，实质为电子、信息、软件与控制技术的综合运用。OT可定义为对企业的各类终端、流程和事件进行监控或控制的软硬件技术，含数据采集和自动控制技术。因此，OT既包括硬件设施，如机器人、电机、阀门、数控机床等，也包括对这些设施进行控制的各种软件技术。当前，互联网、物联网、大数据、人工智能(AI)、边缘计算、高性能计算等信息技术(IT)越来越多地渗透到工业领域，并与工业技术进行融合发展，产生了以工业互联网为代表的工业“互联网+”融合应用。

通过IT与OT以及通信技术(CT)正在深度融合，使得工业互联网初步实现了数据和实体的全面联接。本实施例中IT/OT网络融合的信息共享方式是指互联网与工控领域的结合。网络安全事件处于工控网络，数据共享平台处于移动互联网环境，通过数据共享平台实现将工控网络的网络安全事件发送至处于移动互联网环境的数据共享平台，以便后续快速发送至相关联的机构，实现数据共享。

S205、数据共享平台实时将网络安全事件发送至对应终端设备；

如图2、图3所示，在本实施例中，需要说明的是，将工控网络中发现的网络安全事件汇总至数据共享平台，通过移动互联网与终端设备实现数据通信，从而将汇总在共享数据平台的网络安全事件通过移动互联网发送至对应终端设备，以便于用户快速对终端设备消息进行查看。

在一些实施例中，在S201中，采集工控网络流量数据，包括：基于专用加密UDP、端口镜像、分光器中的一种或者多种进行实时采集工控网络流量数据；同时，利用零拷贝、轮询、大页缓存、无锁执行中的一种或者多种方式对工控网络流量数据的采集效能进行优化。

在本实施例中，需要说明的是，采用专用加密UDP流量，原始分光镜像流量进行实时采集，其中镜像采集是指通过在网络的核心层或汇聚层交换机上设置端口镜像，将交换机上联端口的出境流量复制(镜像)一份到Openet BSMP前置机上，即可采集到所有用户访问网络的请求。分光器采集是指对于某些节点，宽带接入服务器通过光口GE链路直接与核心路由器(一般为Cisco GSR)相连，宽带接入服务器及GSR均不支持端口镜像，这时采用分光器进行流量采集是最合适的方法。通过采用分光镜像进行流量采集，当采集系统故障时，对现有网络及业务无任何影响，成本低可靠性高。

这里具体是通过交换机流量镜像端口的链路，对链路上所有的数据报文进行处理，提取流量监测所需的协议字段甚至全部报文内容。同时利用零拷贝、轮询、大页缓存、无锁执行等技术对数据包的捕获效能进行优化。其中零拷贝技术，解放CPU，文件数据直接从内核发送出去，无需再拷贝到应用程序缓冲区；轮询是基站为终端分配带宽的一种处理流程，实现有效分配，节省带宽；页缓存是一种重要的磁盘高速缓存，它通过软件机制实现，将容量大而低速设备中的部分数据存放到容量小而快速的设备中，这样速度快的设备将作为低速设备的缓存，当访问低速设备中的数据时，可以直接从缓存中获取数据而不需再访问低速设备，从而节省了整体的访问时间；无锁执行实现不用阻塞等待而实现同步操作。通过各种技术优化获取数据的效能，以满足在高带宽网络中对流量数据高速稳定捕获的要求。

参照图2、图4所示，在一些实施例中，在S202中，对工控网络流量数据进行检测分析，生成告警事件，包括：

S2021、对采集的工控网络流量数据进行解析、识别与分析；

S2022、基于检测引擎检测针对网络流量数据发出的威胁攻击，并生成告警事件。

在本实施例中，需要说明的是，对工控网络流量数据进行解析、识别与分析，具体的针对流量特征识别、接入的全部会话流，进行元数据解析以及文件还原。同时通过入侵行为检测引擎、WEB应用检测引擎、威胁情报检测引擎、恶意文件检测引擎、DDOS检测引擎和WEBshell检测引擎等多种方式，能对传统入侵攻击、WEB攻击和高级威胁进行检测并产生告警，生成告警事件。

参照图2、图5所示，在一些实施例中，在S203中，将告警事件进行关联分析，生成与实体资产相关联的网络安全事件，包括：

S2031、采用实时与定时的方式对采集的工控网络流量数据进行深度挖掘与清洗，并自下而上形成包括协议日志、告警信息、威胁事件的数据池；

S2032、将数据池与实体资产进行关联分析，通过核实告警事件生成与实体资产相关联的网络安全事件。

在本实施例中，需要说明的是，对采集的工控网络流量数据进行深度挖掘与清洗，自下而上形成协议日志、告警信息、威胁事件等数据池。根据获取的工控网络流量数据中出现的敏感字段请求，依据数据流的方向判断是否为误报，发现请求响应成功的攻击，得到确定的告警事件，将分析得到的告警事件与实体资产对应生成网络安全事件。

具体的，例如查询扫描探测类攻击，短时间外网IP频繁发起“服务后门”访问行为，可能属于黑客通过工具发起WEBSHELL扫描，尝试是否存在webshell后门；如果出现攻击成功的，可以在浏览器地址输入栏输入风险告警中的URL，判断是否存在账户、密码等其他可疑的输入口，从而判断是不是误报，若确认不是误报，立即进行应急处置，生成告警事件。

另外，告警事件包括但不限于告警触发时间、告警名称、目标资产、源IP地址、源端口、目的IP地址、目的端口、网络协议、威胁等级等。经过多层次分析，依据告警事件中包括的目标资产、目的ip地址等将生成的告警事件与对应的机构、资产等实体资产进行关联，根据关联后的告警事件，生成网络安全事件，以便于后续通过数据共享平台将网络安全事件推送至对应的机构。

参照图2、图3所示，在一些实施例中，S204中，将网络安全事件推送至数据共享平台以实现数据共享。

在本实施例中，需要说明的是，采用IT/OT网络融合的信息共享方式，建立通过移动互联网将工控网络中的网络安全事件汇总以及与终端设备实现数据共享的平台从而实现数据共享。将工业网络中通过数据共享平台汇聚确认的网络安全事件，实时通过移动互联网送至终端设备，方便工控网络安全人员及时查看和接收安全事件。

在一些实施例中，参照图2、图6所示，S205中，数据共享平台实时将网络安全事件发送至对应终端设备，包括：

S2051、基于数据共享平台，将网络安全事件与终端设备配套的APP软件通过移动互联网实现数据通信；

S2052、数据共享平台实时将网络安全事件发送至对应终端设备APP软件上。

在本实施例中，需要说明的是，通过IT/OT网络融合的信息共享方式，建立通过移动互联网将工控网络以及与终端设备配套的APP软件实现数据共享，进而实现利用终端设备配套的APP软件快速触达用户。

具体的，终端设备可以是智能穿戴装置，例如智能手表，当然智能手表也可采用其他智能装置，本申请不做一一列举，本实施例仅以智能手表为例，实现将网络安全事件的数据通过智能手表配套的APP软件快速触达用户，实现数据共享，便于用户及时作出处理，提高触达时效。

在一些实施例中，参照图3、图6所示，S2052中，在数据共享平台实时将网络安全事件发送至对应终端设备APP软件上之前，还包括：提示终端设备是否接收网络安全事件；若是，则将网络安全事件发送至对应终端设备；否则，不再发送网络安全事件至对应终端设备。

在本实施例中，需要说明的是，通过在将网络安全事件发送到关联的实体资产上时，在与其通信连接的终端设备APP软件上发送提示，便于用户自主选择是否立即接收检测分析出的网络安全事件，为能源工控网络企业提供及时且有效的安全服务，大幅提升应急响应和处置效能。

另外，在一些实施例中，参照图3所示，数据共享平台实时将网络安全事件发送至对应终端设备APP软件上，还包括：基于终端设备APP软件接收的网络安全事件，根据终端设备APP软件进行反馈和/或呼叫求助。

在本实施例中，需要说明的是，在用户接收到经分析确认的相关联的网络安全事件后，用户在终端设备进行消息查看后，可立即进行反馈对网络安全事件进行处理。

具体的，在一个例子中，用户佩戴智能手表，通过智能手表进行安全事件反馈，并可通过智能手表配套的APP进行呼叫求助，提升安全事件通报响应效率并实现安全闭环管理能力。

以上各个步骤流程主要是在工控网络环境中，参照图2、图3，获取工控网络流量数据，进而将获取的工控网络流量数据进行检测分析，生成告警事件，通过对获取的数据进一步关联分析，将生成的告警事件进行核实研判生成网络安全事件，并将网络安全事件与实体资产相关联，以便于后续通过移动互联网将相关联的网络安全事件发送至对应的实体资产上。将生成的网络安全事件上送至数据共享中心，通过在移动互联网环境中的数据共享平台，采用IT/OT网络融合的信息共享方式，建立通过移动互联网将工控网络以及与终端设备配套的APP软件实现数据通信，进而实现将网络安全事件利用终端设备配套的APP软件快速触达用户。在触达用户之前，提示是否接收发送的网络安全事件，若用户选择是，则将网络安全事件发送至终端设备以进行接收，若不是，则将网络安全事件关闭。通过分发网络安全事件至对应的实体资产上，使得用户实现通过对终端设备消息进行查看和反馈，便可立即对网络安全事件进行响应处理，提升网络安全事件通报响应效率，实现了安全闭环管理，帮助工控企业可以用最短的时间阻断安全风险。

参照图7所示，本申请实施了还提供了一种工控网络安全事件实时通知系统，该系统可以包括：采集模块、预处理模块、处理模块、共享模块、接收模块。其中各组成模块的主要功能如下：

采集模块301，用于采集工控网络流量数据；

检测分析模块302，用于对工控网络流量数据进行检测分析，生成告警事件；

处理模块303，用于将告警事件进行关联分析，生成与实体资产相关联的网络安全事件；

共享模块304，用于将网络安全事件推送至数据共享平台以实现数据共享，数据共享平台采用IT/OT网络融合的信息共享方式，将网络安全事件通过移动互联网实现数据共享；

发送模块305，用于数据共享平台实时将网络安全事件发送至对应终端设备。

根据本申请的实施例，本申请还提供了一种计算机设备、一种计算机可读存储介质。

如图8所示，是根据本申请实施例的计算机设备的框图。计算机设备旨在表示各种形式的数字计算机或移动装置。其中数字计算机可以包括台式计算机、便携式计算机、工作台、个人数字助理、服务器、大型计算机和其它适合的计算机。移动装置可以包括平板电脑、智能电话、可穿戴式设备等。

如图8所示，设备600包括计算单元601、ROM 602、RAM 603、总线604以及输入/输出(I/O)接口605，计算单元601、ROM 602以及RAM 603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。

计算单元601可以根据存储在只读存储器(ROM)602中的计算机指令或者从存储单元608加载到随机访问存储器(RAM)603中的计算机指令，来执行本申请方法实施例中的各种处理。计算单元601可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元601可以包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。在一些实施例中，本申请实施例提供的方法可被实现为计算机软件程序，其被有形地包含于计算机可读存储介质，例如存储单元608。

RAM 603还可存储设备600操作所需的各种程序和数据。计算机程序的部分或者全部可以经由ROM 602和/或通信单元609而被载入和/或安装到设备600上。

设备600中的输入单元606、输出单元607、存储单元608和通信单元609可以连接至I/O接口605。其中，输入单元606可以是诸如键盘、鼠标、触摸屏、麦克风等；输出单元607可以是诸如显示器、扬声器、指示灯等。设备600能够通过通信单元609与其他设备进行信息、数据等的交换。

需要说明的是，该设备还可以包括实现正常运行所必需的其他组件。也可以仅包含实现本申请方案所必需的组件，而不必包含图中所示的全部组件。

此处描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件和/或它们的组合中实现。

用于实施本申请的方法的计算机指令可以采用一个或多个编程语言的任何组合来编写。这些计算机指令可以提供给计算单元601，使得计算机指令当由诸如处理器等计算单元601执行时使执行本申请方法实施例中涉及的各步骤。

本申请提供的计算机可读存储介质可以是有形的介质，其可以包含或存储计算机指令，用以执行本申请方法实施例中涉及的各步骤。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的等形式的存储介质。

上述具体实施方式，并不构成对本申请保护范围的限制。本领域技术人员应该明白的是，根据设计要求和其他因素，可以进行各种修改、组合、子组合和替代。任何在本申请的精神和原则之内所作的修改、等同替换和改进等，均应包含在本申请保护范围之内。