本发明涉及信息可视化技术领域,尤其涉及一种基于可视化的威胁告警展示方法。
背景技术:
基于可视化的威胁告警展示方法,是对工业控制系统现场网络安全状态的实时呈现,也是对突发异常事件的告警。一旦发生告警,现场监屏人员可立即通知现场维护人员实地检修,并对相关威胁现场进行处理。但在实际情况中,该告警方法还存在一些不足,主要包括:
(1)关联度低。现场网络安全的核心是联网状态下的各个设备、各个分区的安全,所以想要展现网络的安全状态,就需要对设备、分区的安全状态进行展现。但现有系统对于现场设备统计可能存在不全面、不完整。上到各分区、小到各配件,只显示不体现,整体逻辑关联度低。尤其面对大量的现场设备时,大大降低了威胁处理效率。直接阻碍问题的处理效果。
(2)不够直观。即使在完整统计现场设备分区的情况下,现有系统的告警展示信息有时过于冗余,亦或过于专业。用户在初始阶段需要花费大量时间学习和接受培训,一旦发生威胁事件,展示结果也不直观,不利于用户快速锁定重点威胁,使得处理效率降低,用户体验满意度不高。
技术实现要素:
针对上述问题中存在的不足之处,本发明提供了一种基于可视化的威胁告警展示方法,通过对关键资产信息的录入,并以关键资产节点为核心形成线形的资产信息链条,在威胁事件发生时,定位威胁在资产链条的位置,并在网络拓补图中显示,威胁展示同时还会以高中低类显示,涉及设备或分区以安全分数体现安全程度,对当前威胁节点报文深度分析,以五元组信息匹配链条前后节点信息,并以显著标识信息显示,点击标识节点,威胁可视化准确定位,保障威胁展现的准确性和关联信息的逻辑性,有效地提高了威胁告警事件的处理效率和精准性,从而提高了工业控制系统运行的安全性。
为实现上述目的,本发明提供了一种基于可视化的威胁告警展示方法,包括:对系统中以关键资产为节点的资产信息链条进行实时的威胁监控;当威胁事件触发告警时,确定威胁在所述资产信息链条中的位置;以预设的判断依据分析所述威胁的威胁等级,以预设的计算方法计算所述威胁的安全分数;在网络拓扑图中显示所述威胁的标识信息以及所述威胁等级和所述安全分数;在检测到所述标识信息被点击时,触发显示所述威胁的具体节点信息。
在上述技术方案中,优选地,所述当威胁事件触发告警时,确定威胁在所述资产信息链条中的位置具体包括:当威胁事件触发告警时,对节点报文进行深度分析并判断异常的节点报文;根据异常节点报文的五元组结果,确定与所述五元组结果关联的节点信息;根据节点信息确定威胁在所述资产信息链条中的位置。
在上述技术方案中,优选地,所述以预设的判断依据分析所述威胁的威胁等级,以预设的计算方法计算所述威胁的安全分数具体包括:根据所述威胁所在节点的设备或区域的属性,以及预设的设备或区域的属性与威胁等级的对应关系,确定所述威胁的威胁等级;根据所述威胁所在节点的设备或区域的属性,计算所述区域或设备的不同属性的加权平均值作为安全分数。
在上述技术方案中,优选地,所述关键资产包括用户预先录入系统的设备、辖区和厂区,所述资产信息链条为根据现场边界逻辑定义的关系,所述节点信息为用户预先录入系统的所述节点对应的设备、辖区或厂区的具体信息。
在上述技术方案中,优选地,所述网络拓扑图为根据所述资产信息链条的节点信息生成的拓扑结构图。
在上述技术方案中,优选地,基于可视化的威胁告警展示方法还包括:在确定威胁在所述资产信息链条中的位置后,对所述威胁对应的节点的设备或区域发出告警信息。
在上述技术方案中,优选地,基于可视化的威胁告警展示方法还包括:将确定的所述威胁的威胁等级和安全分数以及所述威胁所在的节点信息进行存储。
与现有技术相比,本发明的有益效果为:通过对关键资产信息的录入,并以关键资产节点为核心形成线形的资产信息链条,在威胁事件发生时,定位威胁在资产链条的位置,并在网络拓补图中显示,威胁展示同时还会以高中低类显示,涉及设备或分区以安全分数体现安全程度,对当前威胁节点报文深度分析,以五元组信息匹配链条前后节点信息,并以显著标示显示,点击标识节点,威胁可视化准确定位,保障威胁展现的准确性和关联信息的逻辑性,有效地提高了威胁告警事件的处理效率和精准性,从而提高了工业控制系统运行的安全性。
附图说明
图1为本发明一种实施例公开的基于可视化的威胁告警展示方法的流程示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合附图对本发明做进一步的详细描述:
如图1所示,根据本发明提供的一种基于可视化的威胁告警展示方法的实施例,包括:步骤S101,对系统中以关键资产为节点的资产信息链条进行实时的威胁监控;步骤S102,当威胁事件触发告警时,确定威胁在资产信息链条中的位置;步骤S103,以预设的判断依据分析威胁的威胁等级,以预设的计算方法计算威胁的安全分数;步骤S104,在网络拓扑图中显示威胁的标识信息以及威胁等级和安全分数;步骤S105,在检测到标识信息被点击时,触发显示威胁的具体节点信息。
在该实施例中,优选地,当威胁事件触发告警时,确定威胁在资产信息链条中的位置具体包括:当威胁事件触发告警时,对节点报文进行深度分析并判断异常的节点报文;根据异常节点报文的五元组结果,确定与五元组结果关联的节点信息;根据节点信息确定威胁在资产信息链条中的位置。
在该实施例中,优选地,以预设的判断依据分析威胁的威胁等级,以预设的计算方法计算威胁的安全分数具体包括:根据威胁所在节点的设备或区域的属性,以及预设的设备或区域的属性与威胁等级的对应关系,确定威胁的威胁等级;根据威胁所在节点的设备或区域的属性,计算区域或设备的不同属性的加权平均值作为安全分数。
在上述实施例中,优选地,关键资产包括用户预先录入系统的设备、辖区和厂区,资产信息链条为根据现场边界逻辑定义的关系,节点信息为用户预先录入系统的节点对应的设备、辖区或厂区的具体信息。
在上述实施例中,优选地,网络拓扑图为根据资产信息链条的节点信息生成的拓扑结构图。
在该实施例中,具体地,资产信息主要来自前期用户对关键资产信息的录入,以及后期系统发现资产的确认与补录。关键节点链条符合现场边界逻辑,非新引入概念,链条亦非实际存在,是系统根据现场边界逻辑定义的一种关系。一旦得到节点信息,系统就会自动生成网络拓扑图。其中,资产信息的准确性需要由用户方确认及保证。
具体地,当系统处于初始状态时,用户手动导入关键资产信息,即设备、辖区与厂区等信息,以设备、辖区和厂区等关键资产构造的节点为核心形成资产信息链条。当系统中由于威胁事件触发告警时,即某设备或某区域发生异常事件时,系统会即刻对威胁在资产信息链条中的位置进行定位,并在网络拓扑图中显示,威胁同时还会以高中低类显示,涉及设备或分区以安全分数体现安全程度,与此同时,系统对当前威胁节点报文深度分析,五元组信息匹配链条前后节点信息,确定与威胁关联的预设的设备信息、控制回路、配电室或控制区等信息,并根据以上匹配成功的信息在后台迅速定位链接,以显著的标识信息显示。当用户点击被标识节点后,可在相应区域的网络拓扑图中准确发现威胁所在。
本发明上述实施例中提出的方法采用业务逻辑关键信息匹配机制,以大量完整的链条化信息为数据库,保障威胁展现的准确性,以此为核心展开链条前后的溯源,保证关联信息的逻辑性。采用安全分数、威胁分级和网络拓扑图的方式对告警事件进行展示,较好地贴合了用户对于已知元素和未知威胁的认知能力,实现了稳定过渡,相比引入专业名词、技术而导致系统使用复杂度提升的情况,可以显著改善用户使用的便利性。基于链条化信息,实现对于工业控制网络的可视化构建,进一步实现了链条信息的空间展示。相比传统无图或者是只有图的模式,图像加标记更有利于直接发现、总结威胁相关路径。依托安全分数、威胁分级、网络拓扑图三大已知元素,形成威胁感知的有效桥梁,极大地提高了用户对于威胁的认知能力和处理效率。
在上述实施例中,优选地,基于可视化的威胁告警展示方法还包括:在确定威胁在资产信息链条中的位置后,对威胁对应的节点的设备或区域发出告警信息。
在该实施例中,在确定威胁在资产信息链条中的位置后,不止在网络拓扑图中显示威胁的标识信息,还向该威胁所在节点的设备、辖区或分区发送告警信息,以提醒用户威胁事件的发生。告警信息包括屏幕标识显示、声光报警等。
在上述实施例中,优选地,基于可视化的威胁告警展示方法还包括:将确定的威胁的威胁等级和安全分数以及威胁所在的节点信息进行存储。
在该实施例中,将计算或分析得到的威胁的威胁等级、安全分数以及威胁所在的节点信息存储起来,以便后期对此次威胁事件的详细信息进行查阅。
以上所述为本发明的实施方式,考虑到现有技术中威胁告警方法的关联度低、不够直观的技术问题,本发明提出了一种基于可视化的威胁告警展示方法,通过对关键资产信息的录入,并以关键资产节点为核心形成线形的资产信息链条,在威胁事件发生时,定位威胁在资产链条的位置,并在网络拓补图中显示,威胁展示同时还会以高中低类显示,涉及设备或分区以安全分数体现安全程度,对当前威胁节点报文深度分析,以五元组信息匹配链条前后节点信息,并以显著标识信息显示,点击标识节点,威胁可视化准确定位,保障威胁展现的准确性和关联信息的逻辑性,有效地提高了威胁告警事件的处理效率和精准性,从而提高了工业控制系统运行的安全性。
以上仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。