一种工业网络安全事件基础数据定向采集方法及系统与流程

1.本发明涉及一种工业网络安全事件基础数据定向采集方法及系统，属于工业网络安全检测技术领域。


背景技术：

2.工业互联网的发展使得工业企业的网络（包括it和ot网络）从封闭孤立走向开放互联，工控网络的暴露面扩大、面临的网络安全威胁显著增加。为更好地分析网络安全事件，全量基础数据采集是一种十分必要且有效的解决方案。通过基础数据的留存，为进一步的网络安全事件的分析提供数据基础，可有效支撑网络安全事件的分析处置工作。
3.在工业企业场景下，以太网、工业总线两个层面构成了工控网络数据通信交换的核心通道。近年来，除了通过以太网进行攻击的行为之外，频繁出现针对总线等非以太网协议的工控网络的漏洞利用与攻击事件。部分网络安全事件可以通过对现有的网络安全设备实时发现并告警的事件数据直接进行研判来确认，但仍有大量的网络安全事件需要在网络安全设备事件数据的基础上，通过对事件当时一定时间范围内的日志、流量、总线等基础数据进行二次研判分析，最终确定网络安全事件的真实性和危害程度，并对网络安全事件进行溯源、追踪。因此，需要留存工业企业场景下日志、以太网、工业总线等类型的基础数据，用于后续的研判分析。
4.工业企业工控数据采集点位多，全量采集数据规模爆炸。一般规模的工业企业工控网络全量采集点位超过1万个，实时信号采集周期可达毫秒级。全量采集日志/总线/网络流量数据对存储和计算资源需求大，而与网络攻击事件直接相关的数据占比很低，难以落地实施。亟需研究高效的、定向的工业网络安全事件基础数据采集的方法与系统，以精准采集与网络安全事件相关的基础数据，降低单次事件中数据采集的点位和规模，从而达到工业企业存算资源与网络安全事件分析业务需求之间的平衡。
5.针对工业企业网络安全事件相关的基础数据采集的问题，现有的技术方案主要针对日志和以太网数据进行采集。业界普遍通过部署全流量采集存储设备，对以太网流量进行采集、存储和分析，而针对工业总线数据尚较少涉及。同时，由于受到实施、存算资源成本的影响，以太网全流量采集设备也难以覆盖到所有节点，因此，现有技术无法对工业网络中的各个网络环节进行有效覆盖，难以支撑全面的网络安全事件分析研判需求。


技术实现要素：

6.本发明所要解决的技术问题是提供一种工业网络安全事件基础数据定向采集方法，采用全新策略设计，从网络结构维度与时间维度两方面分析执行数据采集，不仅降低单次事件的数据采集范围，而且能够避免所需采集基础数据的遗漏。
7.本发明为了解决上述技术问题采用以下技术方案：本发明设计了一种工业网络安全事件基础数据定向采集方法，按如下步骤a至步骤c，基于工业企业内部网络中各类网络安全设备上目标网络安全告警事件的采集，实现关于目标网络安全告警事件的基础数据定
向采集；步骤a. 获得目标网络安全告警事件所对应预设各类型采集数据结果，并结合预设网络安全事件知识库，获得目标网络安全告警事件所关联预设各类型攻击链相关数据，构成目标网络安全告警事件所对应的事件分析结果数据，然后进入步骤b；步骤b. 根据目标网络安全告警事件所对应的事件分析结果数据，计算获得目标网络安全告警事件所对应的影响距离l，进而获得目标数据采集范围，同时获得目标采集时间窗口，由目标数据采集范围与目标采集时间窗口，构成目标网络安全告警事件所对应的目标采集策略，然后进入步骤c；步骤c. 基于目标网络安全告警事件所对应的目标采集策略，采集目标数据采集范围对应目标采集时间窗口的基础数据，实现关于目标网络安全告警事件的基础数据定向采集。
8.作为本发明的一种优选技术方案：还包括步骤bc如下，执行完步骤b之后，进入步骤bc；步骤bc. 针对目标网络安全告警事件所对应的目标采集策略，结合所获各历史采集策略，去除目标采集策略中时空重复部分，更新目标采集策略，然后进入步骤c。
9.作为本发明的一种优选技术方案：还包括步骤d如下，执行完步骤c之后，进入步骤d；步骤d. 基于目标网络安全告警事件、以及历史所获各网络安全告警事件分别对应所处攻击链平均持续时间窗口t，以最长所处攻击链平均持续时间窗口t作为周期，存储步骤c所采集的基础数据，并清除超过周期的基础数据。
10.作为本发明的一种优选技术方案：所述步骤a包括步骤a1至步骤a3如下；步骤a1. 获得目标网络安全告警事件所对应预设各类型采集数据结果，包括事件设备ip/设备名、事件时间、事件类型、置信度α，然后进入步骤a2；步骤a2. 基于预先存储各类网络安全告警事件分别所对应危险等级h、所处攻击链环节序号s、以及所处攻击链平均持续时间窗口t的网络安全事件知识库，根据目标网络安全告警事件的事件类型，获得目标网络安全告警事件所关联的危险等级h、所处攻击链环节序号s、以及所处攻击链平均持续时间窗口t，然后进入步骤a3；步骤a3. 由目标网络安全告警事件所对应的事件设备ip/设备名、事件时间、置信度α、危险等级h、所处攻击链环节序号s、以及所处攻击链平均持续时间窗口t，构成目标网络安全告警事件所对应的事件分析结果数据，然后进入步骤b。
11.作为本发明的一种优选技术方案：所述步骤b中，根据目标网络安全告警事件所对应的事件分析结果数据，按如下步骤b1-1至步骤b1-3，计算获得目标网络安全告警事件所对应的影响距离l，进而获得目标数据采集范围；步骤b1-1. 根据目标网络安全告警事件所对应事件分析结果数据中的危险等级h、事件时间，结合历史所获各网络安全告警事件分别对应的危险等级h、事件时间，计算获得当前总体安全因子c，然后进入步骤b1-2；步骤b1-2. 以目标网络安全告警事件所对应事件分析结果数据中的置信度α、危险等级h、所处攻击链环节序号s，结合当前总体安全因子c的相乘结果，计算获得目标网络安全告警事件所对应的影响距离l，然后进入步骤b1-3；
步骤b1-3. 以目标网络安全告警事件所对应事件分析结果数据中事件设备ip/设备名为主节点，以目标网络安全告警事件所对应影响距离l为目标节点跳数，基于工业企业内部网络拓扑结构，获得距离主节点的目标节点跳数范围内的各节点设备、以及各条节点设备间路径，构成目标数据采集范围。
12.作为本发明的一种优选技术方案：所述步骤b1-1中，根据目标网络安全告警事件所对应事件分析结果数据中的危险等级h，结合历史所获各网络安全告警事件分别对应的危险等级h，获得当前平均危险等级；同时根据目标网络安全告警事件所对应事件分析结果数据中的事件时间，以该事件时间所属预设时长周期内网络安全告警事件数量、除以各历史该预设时长周期内网络安全告警事件平均数量的结果，作为当前事件频率水平；进而计算获得平均危险等级与事件频率水平的相乘结果，构成当前总体安全因子c。
13.作为本发明的一种优选技术方案：所述步骤b中，根据目标网络安全告警事件所对应事件分析结果数据中的事件时间、以及所处攻击链平均持续时间窗口t，以该事件时间沿时序方向的前后所处攻击链平均持续时间窗口t，构成目标采集时间窗口。
14.与上述相对应，本发明还要解决的技术问题是提供一种工业网络安全事件基础数据定向采集方法的系统，采用模块化设计，高效实现所设计基础数据定向采集，不仅降低单次事件的数据采集范围，而且能够避免所需采集基础数据的遗漏。
15.本发明为了解决上述技术问题采用以下技术方案：本发明设计了一种工业网络安全事件基础数据定向采集方法的系统，包括网络安全事件采集分析模块、基础数据采集策略研判模块、基础数据采集存储模块；其中，网络安全事件采集分析模块用于针对目标网络安全告警事件，执行步骤a，获得目标网络安全告警事件所对应预设各类型采集数据结果，并结合预设网络安全事件知识库，获得目标网络安全告警事件所关联预设各类型攻击链相关数据，构成目标网络安全告警事件所对应的事件分析结果数据，并发送至基础数据采集策略研判模块，然后进入步骤b；基础数据采集策略研判模块针对目标网络安全告警事件所对应的事件分析结果数据，执行步骤b，根据目标网络安全告警事件所对应的事件分析结果数据，计算获得目标网络安全告警事件所对应的影响距离l，进而获得目标数据采集范围，同时获得目标采集时间窗口，由目标数据采集范围与目标采集时间窗口，构成目标网络安全告警事件所对应的目标采集策略，并发送至基础数据采集存储模块，然后进入步骤bc；基础数据采集存储模块针对目标网络安全告警事件所对应的目标采集策略，执行步骤bc， 针对目标网络安全告警事件所对应的目标采集策略，结合所获各历史采集策略，去除目标采集策略中时空重复部分，更新目标采集策略，然后进入步骤c；进一步由基础数据采集存储模块针对目标采集策略，执行步骤c，基于目标网络安全告警事件所对应的目标采集策略，采集目标数据采集范围对应目标采集时间窗口的基础数据，实现关于目标网络安全告警事件的基础数据定向采集。
16.作为本发明的一种优选技术方案：还包括包含各类型数据采集设备的基础数据采集设备，所述基础数据采集存储模块根据基础数据采集设备中各类型数据采集设备分别所
覆盖工业企业内部网络拓扑结构中的节点设备、以及节点设备间路径，将更新后的目标采集策略发送至相应各类型数据采集设备，分别执行对应目标采集时间窗口的基础数据采集，并将所采集基础数据返回至基础数据采集存储模块进行存储。
17.作为本发明的一种优选技术方案：所述基础数据采集存储模块针对步骤c所采集的基础数据，执行步骤d实现基础数据存储。
18.本发明所述一种工业网络安全事件基础数据定向采集方法及系统，采用以上技术方案与现有技术相比，具有以下技术效果：本发明所设计一种工业网络安全事件基础数据定向采集方法及系统，基于工业企业内部网络中各类网络安全设备上目标网络安全告警事件的采集，通过目标数据采集范围与目标采集时间窗口的构建，组合目标网络安全告警事件所对应的目标采集策略，进而执行基础数据的定向采集；设计有效降低了采集数据的时间和空间范围，提高了采集效率；同时基于最大平均持续时间窗口值，可有效确定数据在采集设备上的留存时间范围，避免大量数据积压带来的存储压力；而且设计实现了对采集范围的动态调整，基于整体网络的总体网络威胁指数、事件的危险等级、置信度等指标动态调整采集范围，提高了采集数据的精准度，避免大量无效数据的采集，又尽可能保障有效数据无遗漏。
附图说明
19.图1是本发明设计工业网络安全事件基础数据定向采集方法的流程示意图；图2是本发明设计工业网络安全事件基础数据定向采集方法的系统的架构示意图。
具体实施方式
20.下面结合说明书附图对本发明的具体实施方式作进一步详细的说明。
21.针对现有方案存在的不足，本发明提出一种工业网络安全事件基础数据定向采集方法及系统，具体设计思路如下：（1）本方案首先描述工业企业网络拓扑与基础数据采集设备之间的对应关系，即每台采集设备支持采集的网络范围。网络拓扑由点（即设备，可包括it设备、工控设备等）和路径（即通信链路，可包括以太网链路、工业总线链路等）构成。网络安全事件基础数据采集设备支持对点上的日志、配置、安全软件分析结果等数据的采集，以及对路径上的以太网网络流量、工业总线链路数据的全量采集。
22.（2）进而，本方案定义网络安全事件的表达方式。每一类网络安全事件在由事件类型、事件描述、危险等级等元素描述的基础上，针对事件在攻击链中所处的环节位置，增加攻击链环节序号、攻击链平均持续时间窗口等元素，用于后续的采集策略配置。每一类网络安全事件支持多种的检测规则，每个检测规则支持配置相应的置信度，用于表示该规则结果的可信程度。
23.（3）当工业网络中发生网络安全事件告警后，由事件分析可以得出其影响的主节点。以该主节点为中心节点，本方案提出一种定向采集方法，计算本次事件所需采集的节点或路径数据的范围。方法基于网络安全事件类型对应的危险等级、置信度、攻击链环节序号等要素，结合总体环境因子，计算得出该次事件的影响距离，以及每段距离上需要采集的时
间窗口。以中心节点为圆心，结合影响距离，可获得本次网络安全事件影响的节点和路径，从而形成基础数据采集策略。
24.（4）将基础数据采集策略与历史已有的采集策略进行比对，去除时空重复的部分，而后通知相应的采集设备，提取对应数据并汇总存储、归档，最终完成一次网络安全事件的基础数据采集。
25.（5）对于所有网络安全事件类型统计最大采集时间窗口。每台采集设备上采集数据所需保存的最长时间长度以最大采集时间窗口为准，超过该时间长度的数据可以及时清除，以降低采集设备的存算压力。
26.基于上述设计思路，本发明所设计工业网络安全事件基础数据定向采集方法，实际应用当中，如图1所示，具体按如下步骤a至步骤c，基于工业企业内部网络中各类网络安全设备上目标网络安全告警事件的采集，实现关于目标网络安全告警事件的基础数据定向采集，这里目标网络安全告警事件，主要指工业企业内部网络中已有的防火墙、入侵检测、主机审计等网络安全设备上产生的目标网络安全告警事件。
27.步骤a. 获得目标网络安全告警事件所对应预设各类型采集数据结果，并结合预设网络安全事件知识库，获得目标网络安全告警事件所关联预设各类型攻击链相关数据，构成目标网络安全告警事件所对应的事件分析结果数据，然后进入步骤b。
28.实际应用当中，上述步骤a具体设计执行如下步骤a1至步骤a3。
29.步骤a1. 获得目标网络安全告警事件所对应预设各类型采集数据结果，包括事件设备ip/设备名、事件时间、事件类型、置信度α，然后进入步骤a2。这里置信度α，百分比，值越高可信程度越大。置信度与事件的检测规则相关，同意类型事件存在多种检测规则。检测规则更严格、更复杂一般来说置信度高，但检测效率往往偏低。
30.步骤a2. 基于预先存储各类网络安全告警事件分别所对应危险等级h、所处攻击链环节序号s、以及所处攻击链平均持续时间窗口t的网络安全事件知识库，根据目标网络安全告警事件的事件类型，获得目标网络安全告警事件所关联的危险等级h、所处攻击链环节序号s、以及所处攻击链平均持续时间窗口t，然后进入步骤a3。
31.以当前主流的att&ck模型为例，一个端到端的攻击链可以由14种策略环节组成，包括：1侦察、2信息搜集、3初始访问、4执行、5持久化、6权限提升、7防御规避、8凭据访问、9发现、10横向移动、11收集、12命令和控制、13渗透、14影响。每种策略的动作执行会产生多种的网络安全事件类型。知识库收集并整理攻击链的策略及其对应的网络安全事件类型。通过网络安全事件类型字段可以查找其在攻击链中对应的环节序号，以及该类型网络安全事件的危险等级。每个攻击链的策略环节存在一定的攻击持续时间，一个攻击链的每个环节的平均时间记为攻击链的平均持续时间窗口t。
32.步骤a3. 由目标网络安全告警事件所对应的事件设备ip/设备名、事件时间、置信度α、危险等级h、所处攻击链环节序号s、以及所处攻击链平均持续时间窗口t，构成目标网络安全告警事件所对应的事件分析结果数据，然后进入步骤b。
33.步骤b. 根据目标网络安全告警事件所对应的事件分析结果数据，计算获得目标网络安全告警事件所对应的影响距离l，进而获得目标数据采集范围，同时获得目标采集时间窗口，由目标数据采集范围与目标采集时间窗口，构成目标网络安全告警事件所对应的目标采集策略，然后进入步骤bc。
34.上述步骤b在实际应用当中，根据目标网络安全告警事件所对应的事件分析结果数据，按如下步骤b1-1至步骤b1-3，计算获得目标网络安全告警事件所对应的影响距离l，进而获得目标数据采集范围。
35.步骤b1-1. 根据目标网络安全告警事件所对应事件分析结果数据中的危险等级h，结合历史所获各网络安全告警事件分别对应的危险等级h，获得当前平均危险等级；同时根据目标网络安全告警事件所对应事件分析结果数据中的事件时间，以该事件时间所属预设时长周期内网络安全告警事件数量、除以各历史该预设时长周期内网络安全告警事件平均数量的结果，作为当前事件频率水平；进而计算获得平均危险等级与事件频率水平的相乘结果，构成当前总体安全因子c，然后进入步骤b1-2。这里，总体安全因子值越高，代表当前网络中事件危险等级越高、数量越多，环境安全性越差、越危险。
36.步骤b1-2. 以目标网络安全告警事件所对应事件分析结果数据中的置信度α、危险等级h、所处攻击链环节序号s，结合当前总体安全因子c的相乘结果，计算获得目标网络安全告警事件所对应的影响距离l，并四舍五入取整，然后进入步骤b1-3。
37.网络安全告警事件的可信度越高、危险等级越危险、网络的总体安全性越差，则说明潜在入侵的节点范围越广、攻击链涉及的环节越多，影响距离越大，需要采集的节点和路径越多。反之，网络安全告警事件可信度差、危险等级低、网络总体安全性好，则网络安全告警事件的关联范围越小，影响距离越小，需要采集的节点和路径越少。影响距离最高为按照所处的攻击链环节序号，前后全链采集，最低为只采集自身节点，无需关联采集。
38.步骤b1-3. 以目标网络安全告警事件所对应事件分析结果数据中事件设备ip/设备名为主节点，以目标网络安全告警事件所对应影响距离l为目标节点跳数，基于工业企业内部网络拓扑结构，获得距离主节点的目标节点跳数范围内的各节点设备、以及各条节点设备间路径，构成目标数据采集范围。
39.并且上述步骤b在实际应用当中，根据目标网络安全告警事件所对应事件分析结果数据中的事件时间、以及所处攻击链平均持续时间窗口t，以该事件时间沿时序方向的前后所处攻击链平均持续时间窗口t，构成目标采集时间窗口。
40.步骤bc. 针对目标网络安全告警事件所对应的目标采集策略，结合所获各历史采集策略，去除目标采集策略中时空重复部分，更新目标采集策略，然后进入步骤c。
41.步骤c. 基于目标网络安全告警事件所对应的目标采集策略，采集目标数据采集范围对应目标采集时间窗口的基础数据，实现关于目标网络安全告警事件的基础数据定向采集，然后进入步骤d。
42.步骤d. 基于目标网络安全告警事件、以及历史所获各网络安全告警事件分别对应所处攻击链平均持续时间窗口t，以最长所处攻击链平均持续时间窗口t作为周期，存储步骤c所采集的基础数据，并清除超过周期的基础数据。
43.基于上述技术方案设计的工业网络安全事件基础数据定向采集方法，进一步设计了实现此方法的系统，实际应用当中，如图2所示，具体设计包括网络安全事件采集分析模块、基础数据采集策略研判模块、基础数据采集存储模块、以及包含各类型数据采集设备的基础数据采集设备。
44.其中，网络安全事件采集分析模块用于针对目标网络安全告警事件，执行步骤a，获得目标网络安全告警事件所对应预设各类型采集数据结果，并结合预设网络安全事件知
识库，获得目标网络安全告警事件所关联预设各类型攻击链相关数据，构成目标网络安全告警事件所对应的事件分析结果数据，并发送至基础数据采集策略研判模块，然后进入步骤b。
45.基础数据采集策略研判模块针对目标网络安全告警事件所对应的事件分析结果数据，执行步骤b，根据目标网络安全告警事件所对应的事件分析结果数据，计算获得目标网络安全告警事件所对应的影响距离l，进而获得目标数据采集范围，同时获得目标采集时间窗口，由目标数据采集范围与目标采集时间窗口，构成目标网络安全告警事件所对应的目标采集策略，并发送至基础数据采集存储模块，然后进入步骤bc。
46.基础数据采集存储模块针对目标网络安全告警事件所对应的目标采集策略，执行步骤bc， 针对目标网络安全告警事件所对应的目标采集策略，结合所获各历史采集策略，去除目标采集策略中时空重复部分，更新目标采集策略，然后进入步骤c。
47.进一步由基础数据采集存储模块针对目标采集策略，执行步骤c，基于目标网络安全告警事件所对应的目标采集策略，采集目标数据采集范围对应目标采集时间窗口的基础数据，实现关于目标网络安全告警事件的基础数据定向采集。
48.具体设计中，基础数据采集存储模块根据基础数据采集设备中各类型数据采集设备分别所覆盖工业企业内部网络拓扑结构中的节点设备、以及节点设备间路径，将更新后的目标采集策略发送至相应各类型数据采集设备，分别执行对应目标采集时间窗口的基础数据采集，并将所采集基础数据返回至基础数据采集存储模块，由基础数据采集存储模块执行步骤d实现基础数据存储。
49.本发明设计实际应用当中，实现了工业网络安全事件基础数据动态、定向采集方法，包括影响距离的计算和时间窗口的确定，明确了需要采集基础数据的设备范围和时间范围；而且实现了基于整体网络的总体网络威胁指数、事件的危险等级、置信度等指标动态调整采集范围的方法，有效降低采集的时空范围，保障了事件基础数据采集的可实施性。
50.本发明设计基于工业企业内部网络中各类网络安全设备上目标网络安全告警事件的采集，通过目标数据采集范围与目标采集时间窗口的构建，组合目标网络安全告警事件所对应的目标采集策略，进而执行基础数据的定向采集；设计有效降低了采集数据的时间和空间范围，提高了采集效率；同时基于最大平均持续时间窗口值，可有效确定数据在采集设备上的留存时间范围，避免大量数据积压带来的存储压力；而且设计实现了对采集范围的动态调整，基于整体网络的总体网络威胁指数、事件的危险等级、置信度等指标动态调整采集范围，提高了采集数据的精准度，避免大量无效数据的采集，又尽可能保障有效数据无遗漏。
51.上面结合附图对本发明的实施方式作了详细说明，但是本发明并不限于上述实施方式，在本领域普通技术人员所具备的知识范围内，还可以在不脱离本发明宗旨的前提下做出各种变化。