工控协议特征攻击过滤分析系统的制作方法

本发明属于过滤分析领域，涉及一种特征攻击分析过滤技术，具体是工控协议特征攻击过滤分析系统。

背景技术：

公开号为cn106599997a的专利公开了一种基于零动态工控攻击检测识别系统，包括工控建模模块、攻击检测模块以及攻击识别模块：工控建模模块用于构建面向石化、电力行业的工业控制系统结构模型框架；攻击检测模块用于提取相应的攻击状态观测值和特征，包括构建集中式攻击检测过滤器模型、分布式攻击检测过滤器模型；攻击识别模块用于构建集中式攻击识别过滤器，识别相应的攻击集。本发明还涉及一种基于零动态工控攻击检测识别方法，提出面向工业控制系统的安全模型及攻击检测识别过滤器，用以检测和识别工控系统安全威胁，尤其是应用过程中的受到的各种攻击，达到对工业控制系统信息的智能分析、安全评估及安全事件准确定位，实现工业控制系统的异常行为检测。

但是该专利仅仅对攻击的特征进行了识别，并为对其受到的攻击类型进行分类，并进行总结分析，当前的工控网络的安全程度；为了解决这一技术缺陷，现提供一种解决方案。

技术实现要素：

本发明的目的在于提供工控协议特征攻击过滤分析系统。

本发明的目的可以通过以下技术方案实现：

工控协议特征攻击过滤分析系统，包括工控网络、攻击监测端、数据归纳单元、数据融合单元、反应监测单元、处理器、显示单元、数据库、意见生成单元和输入单元；

其中，所述攻击监测端用于对工控网络进行监控，自动获取其受攻击信息，受攻击信息包括受击类型和受击时间；受击类型为受到攻击的病毒类型，病毒类型具体分类为，按照现行病毒分类方法将病毒类型划分为蠕虫病毒、木马病毒、系统病毒、脚本病毒和其他的五种类型；并将上述类型依次标记为bi，i＝1...5；所述攻击监测端用于将受攻击信息传输到数据归纳单元，所述数据归纳单元用于对受攻击信息进行受击分析，具体分析步骤如下：

步骤一：获取到受攻击信息内的受击类型和受击时间；

步骤二：将每一次的受击类型标记为bij，i＝1...5，j＝1...n；bij具体表示为第j个攻击的i型病毒；将对应的受击时间标记为tj，j＝1...n，且bij与tj一一对应；

步骤三：获取到最新的受击时间tn，根据受击时间tn对受击类型bij进行归纳，归纳方法如下：

s1：令n＝n-1，获取到对应的tn-1，利用tn和tn-1获取到二者之间的时间隔值g1；

s2：获取到tn-1；

s3：将n-1视为n，重复步骤s1，得到tn-1与tn-2之间的时间隔值g2；

s4：重复步骤s3,直至得到所有的时间隔值gi，i＝1...n-1；

s5：获取到gi；

s6：令i＝1；获取对应的g1；

s7：i＝i+1，获取对应的g2；

s8：求取选择到的gi的均值，将其标记为p，此处可以表示为g1和g2之间的均值；

s9：对选取到的gi求取其关联值qg，当qg≤x1时，则表示g2与g1关联，此时将对应的受击时间tn、tn-1、tn-2归为同频攻击；

s10：令i＝i+1，获取到对应的g3，之后按照步骤s8-s9原理判定g3对应的tn-3是否满足条件，属于同频攻击，具体也就是将g3加入s8-s9的公式中计算；

s11：获取到所有的同频攻击的受击时间对应的受击类型，并将其标记为同频受击类型hij,i＝1...5，j＝1...m，获取到同频攻击中受击时间的最早时间到最晚时间之间的间隔时间，将该间隔时间标记为容纳时间，获取到容纳时间内的受击类型的总个数，将其标记为容纳个数；

s12：将间隔时间内遭受最多的攻击个数的受击类型标记为当前热门类型攻击；

s13：根据公式计算受级，受级＝容纳个数/容纳时间；当受级大于x2时，表示高危时段到来，产生高危信号；否则产生普通信号；

所述数据归纳单元用于将同频受击类型hij、高危信号和普通信号传输到数据融合单元；

所述反应监测单元用于监测受击类型的困扰时间，困扰时间指代遭受攻击后出现异常到异常修复的时间；所述反应监测单元用于将同频受击类型hij的困扰时间，并将该困扰时间标记为同频困扰时间kij；所述反应监测单元用于将同频困扰时间kij传输到数据融合单元，所述数据融合单元用于对同频困扰时间kij、同频受击类型hij进行融合处理得到容纳时间、惯性病毒类型和害值总和；

所述数据融合单元用于将容纳时间、惯性病毒类型和害值总和传输到处理器；

所述处理器还用于在接收到数据融合单元传输的惯性病毒类型时，将惯性病毒类型传输到显示单元，所述显示单元接收处理器传输的惯性病毒类型并实时显示“当前该类病毒+惯性病毒类型+为高频率病毒，请注意防护该类型”。

进一步地，所述融合处理的具体处理步骤为：

s100：根据同频困扰时间kij标定hij的差异分cij，具体标定如下：

当kij＝0时，将对应的差异分cij标记为1；

当kij≤x3时，将对应的差异分cij标记为1.5；

当kij>x3时，将对应的差异分cij标记为2.5；

s200：根据统计到的同频受击类型hij，将hij的值赋予为1；

s300：根据公式i＝1...5；计算得到对应五类病毒类型的害值vi，i＝1...5；

s400：对vi进行求和，得到害值总和；

s500：将vi值最小的对应病毒类型标记为惯性病毒类型。

进一步地，所述处理器用于将害值总和传输到意见生成单元；所述意见生成单元用于对害值总和进行意见分析，具体分析步骤为：

ss1：获取到害值总和；

ss2：当害值总和≤x4时，自动生成害值一般信号；

ss3：当x4<害值总和<x5时，自动生成害值中等信号；

ss4：当害值总和≥x5时，自动生成高害值信号；

所述意见生成单元在生产害值一般信号时将其返回到处理器，所述处理器接收意见生成单元返回的害值一般信号时，自动驱动显示单元显示“容纳时间+受到危害程度一般”。

进一步地，所述意见生成单元在生产害值中等信号时将其返回到处理器，所述处理器接收意见生成单元返回的害值中等信号时，自动驱动显示单元显示“容纳时间+受到危害程度较高，提请用户注意”。

进一步地，所述意见生成单元在生产高害值信号时将其返回到处理器，所述处理器接收意见生成单元返回的高害值信号时，自动驱动显示单元显示“容纳时间+受到危害程度极高，请立刻最出反应”。

进一步地，所述数据融合单元在接收到数据归纳单元传输的高危信号时，将其传输到处理器，所述处理器用于在接收到数据融合单元传输的高危信号时，会驱动显示单元显示“当前病毒攻击频繁，请注意”。

进一步地，所述数据融合单元在接收到数据归纳单元传输的普通信号时，将其传输到处理器，所述处理器用于在接收到数据融合单元传输的普通信号时，会驱动显示单元显示“当前存在病毒攻击，请注意”。

本发明的有益效果：

本发明通过攻击监测端对遭受到的攻击进行拾取和按照现有的技术规则对其进行分类，并根据相关因素进行攻击关联，将一段时间内的攻击划分为同频攻击；之后借助数据归纳单元和相关的数据进行处理，得到一些关键的影响因素，具体为同频受击类型、高危信号和普通信号；再通过反应监测单元进行收到攻击所造成的影响和相关数据的拾取，之后再结合数据归纳单元归纳到的数据进行综合分析，得到容纳时间、惯性病毒类型和害值总和，并根据这些结果处理出不同的警示，提醒用户注意当前工控网络的具体受攻击情况和稳定程度；本发明简单有效且易于实用。

附图说明

为了便于本领域技术人员理解，下面结合附图对本发明作进一步的说明。

图1为本发明工控协议特征攻击过滤分析系统的系统框图。

具体实施方式

如图1所示，工控协议特征攻击过滤分析系统，包括工控网络、攻击监测端、数据归纳单元、数据融合单元、反应监测单元、处理器、显示单元、数据库、意见生成单元和输入单元；

其中，所述攻击监测端用于对工控网络进行监控，自动获取其受攻击信息，受攻击信息包括受击类型和受击时间；受击类型为受到攻击的病毒类型，病毒类型具体分类为，按照现行病毒分类方法将病毒类型划分为蠕虫病毒、木马病毒、系统病毒、脚本病毒和其他的五种类型；并将上述类型依次标记为bi，i＝1...5；所述攻击监测端用于将受攻击信息传输到数据归纳单元，所述数据归纳单元用于对受攻击信息进行受击分析，具体分析步骤如下：

步骤一：获取到受攻击信息内的受击类型和受击时间；

步骤二：将每一次的受击类型标记为bij，i＝1...5，j＝1...n；bij具体表示为第j个攻击的i型病毒；将对应的受击时间标记为tj，j＝1...n，且bij与tj一一对应；

步骤三：获取到最新的受击时间tn，根据受击时间tn对受击类型bij进行归纳，归纳方法如下：

s1：令n＝n-1，获取到对应的tn-1，利用tn和tn-1获取到二者之间的时间隔值g1；

s2：获取到tn-1；

s3：将n-1视为n，重复步骤s1，得到tn-1与tn-2之间的时间隔值g2；

s4：重复步骤s3,直至得到所有的时间隔值gi，i＝1...n-1；

s5：获取到gi；

s6：令i＝1；获取对应的g1；

s7：i＝i+1，获取对应的g2；

s8：求取选择到的gi的均值，将其标记为p，此处可以表示为g1和g2之间的均值；

s9：对选取到的gi求取其关联值qg，当qg≤x1时，则表示g2与g1关联，此时将对应的受击时间tn、tn-1、tn-2归为同频攻击；

s10：令i＝i+1，获取到对应的g3，之后按照步骤s8-s9原理判定g3对应的tn-3是否满足条件，属于同频攻击，具体也就是将g3加入s8-s9的公式中计算；

s11：获取到所有的同频攻击的受击时间对应的受击类型，并将其标记为同频受击类型hij,i＝1...5，j＝1...m，获取到同频攻击中受击时间的最早时间到最晚时间之间的间隔时间，将该间隔时间标记为容纳时间，获取到容纳时间内的受击类型的总个数，将其标记为容纳个数；

s12：将间隔时间内遭受最多的攻击个数的受击类型标记为当前热门类型攻击；

s13：根据公式计算受级，受级＝容纳个数/容纳时间；当受级大于x2时，表示高危时段到来，产生高危信号；否则产生普通信号；

所述数据归纳单元用于将同频受击类型hij、高危信号和普通信号传输到数据融合单元；

所述反应监测单元用于监测受击类型的困扰时间，困扰时间指代遭受攻击后出现异常到异常修复的时间；所述反应监测单元用于将同频受击类型hij的困扰时间，并将该困扰时间标记为同频困扰时间kij；所述反应监测单元用于将同频困扰时间kij传输到数据融合单元，所述数据融合单元用于对同频困扰时间kij、同频受击类型hij进行融合处理，具体处理步骤为：

s100：根据同频困扰时间kij标定hij的差异分cij，具体标定如下：

当kij＝0时，将对应的差异分cij标记为1；

当kij≤x3时，将对应的差异分cij标记为1.5；

当kij>x3时，将对应的差异分cij标记为2.5；

s200：根据统计到的同频受击类型hij，将hij的值赋予为1；

s300：根据公式i＝1...5；计算得到对应五类病毒类型的害值vi，i＝1...5；

s400：对vi进行求和，得到害值总和；

s500：将vi值最小的对应病毒类型标记为惯性病毒类型；

所述数据融合单元用于将容纳时间、惯性病毒类型和害值总和传输到处理器；所述处理器用于将害值传输到意见生成单元；所述意见生成单元用于对害值总和进行意见分析，具体分析步骤为：

ss1：获取到害值总和；

ss2：当害值总和≤x4时，自动生成害值一般信号；

ss3：当x4<害值总和<x5时，自动生成害值中等信号；

ss4：当害值总和≥x5时，自动生成高害值信号；

所述意见生成单元在生产害值一般信号时将其返回到处理器，所述处理器接收意见生成单元返回的害值一般信号时，自动驱动显示单元显示“容纳时间+受到危害程度一般”；

所述意见生成单元在生产害值中等信号时将其返回到处理器，所述处理器接收意见生成单元返回的害值中等信号时，自动驱动显示单元显示“容纳时间+受到危害程度较高，提请用户注意”；

所述意见生成单元在生产高害值信号时将其返回到处理器，所述处理器接收意见生成单元返回的高害值信号时，自动驱动显示单元显示“容纳时间+受到危害程度极高，请立刻最出反应”；

所述处理器还用于在接收到数据融合单元传输的惯性病毒类型时，将惯性病毒类型传输到显示单元，所述显示单元接收处理器传输的惯性病毒类型并实时显示“当前该类病毒+惯性病毒类型+为高频率病毒，请注意防护该类型”。

所述数据融合单元在接收到数据归纳单元传输的高危信号时，将其传输到处理器，所述处理器用于在接收到数据融合单元传输的高危信号时，会驱动显示单元显示“当前病毒攻击频繁，请注意”；

所述数据融合单元在接收到数据归纳单元传输的普通信号时，将其传输到处理器，所述处理器用于在接收到数据融合单元传输的普通信号时，会驱动显示单元显示“当前存在病毒攻击，请注意”。

工控协议特征攻击过滤分析系统，在工作时，首先通过攻击监测端对遭受到的攻击进行拾取和按照现有的技术规则对其进行分类，并根据相关因素进行攻击关联，将一段时间内的攻击划分为同频攻击；之后借助数据归纳单元和相关的数据进行处理，得到一些关键的影响因素，具体为同频受击类型、高危信号和普通信号；再通过反应监测单元进行收到攻击所造成的影响和相关数据的拾取，之后再结合数据归纳单元归纳到的数据进行综合分析，得到容纳时间、惯性病毒类型和害值总和，并根据这些结果处理出不同的警示，提醒用户注意当前工控网络的具体受攻击情况和稳定程度；本发明简单有效且易于实用。

以上内容仅仅是对本发明结构所作的举例和说明，所属本技术领域的技术人员对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代，只要不偏离发明的结构或者超越本权利要求书所定义的范围，均应属于本发明的保护范围。