一种信息安全事件报警级别评估方法及系统与流程

本发明涉及工业信息安全，具体涉及一种信息安全事件报警级别评估方法及系统。

背景技术：

1、目前，工业控制系统和信息化逐步进行深度融合，生产系统也从封闭走向开放，系统边界也越来越模糊，对外开放的服务逐步增多，外露的接口也越来越多，导致系统面临的安全风险也越来越大。工控系统日益成为“众矢之的”，黑客有目的地探测并锁定攻击目标变得更加容易。另外，针对工控系统的漏洞挖掘和漏洞发布越来越多，大量工控系统安全漏洞、攻击方法可以通过互联网等多种公开或半公开渠道扩散，极易被黑客等不法分子获取利用，加上工控协议自身的脆弱性，攻击变的越来越简单，工业控制系统与现实世界相关，一旦遭受攻击损失是无法估量的。现在常用的安全防御系统可从网络、终端等多个层面进行防护，能够根据策略阻挡绝大多数攻击，但在预设策略范围以外或者攻击前的探测行为等都无法及时察觉，无法及时预警，在探测阶段阻断攻击。

技术实现思路

1、有鉴于此，本发明提供一种信息安全事件报警级别评估方法及系统，解决现有技术无法在预设策略范围以外或攻击前及时察觉、预警并阻断探测攻击行为的问题。

2、为达到上述目的，本发明提供如下技术方案：

3、第一方面，本发明实施例提供了一种信息安全事件报警级别评估方法，所述方法包括：

4、获取数据在传输过程中的传输数据信息，所述传输数据信息包括传输报文数据和传输内容数据；

5、获取数据经过转折后传输的转折数据信息，所述转折数据信息包括：转折报文数据和转折内容数据；

6、根据所述传输数据信息和转折数据信息得到安全评估信息；

7、将所述安全评估信息经过神经网络处理得到安全等级。

8、本发明实施例提供的信息安全事件报警级别评估方法，通过监测网络上的数据流和通讯数据，利用海量的规则对网络攻击行为和其他信息安全事件进行精准匹配，从而达到及时发现攻击并预警，精确评估安全等级并阻断探测行为的目的。

9、可选地，所述转折数据信息包括：

10、传转数据信息，数据从发送端传输到转发端过程中产生的数据信息；

11、转收数据信息，数据从转折端传输到接收端过程中产生的数据信息。

12、将在传输过程中的数据进行细化分类，便于更精确的对传输数据进行处理，保证了对安全事件评估报警的准确性。

13、可选地，所述安全评估信息包括：

14、报文判断向量，基于所述传输报文数据和所述转折报文数据利用二叉树数据结构分析得到；

15、时间安全值，基于所述传输报文数据和所述转折报文数据得到，时间安全值为1表示传输过程经过的时间为安全时间，时间安全值为0表示传输过程经过的时间为不安全时间；

16、内容相似数据，基于所述传输数据信息和所述转折数据信息得到，包括长度相似值和内容相似值。

17、通过报文判断向量、事件安全值和内容相似数据对安全事件进行评估，更客观准确的反映安全事件的特点，便于后续进行处理分类，准确评估报警。

18、可选地，所述报文判断向量的获取过程为：

19、获取根节点和预设协议规范标准规定的报头字段长度，其中，根节点表示每个报头代码片段；

20、将报头字段长度作为二叉树的层数，1和0分别作为二叉树节点中左孩子的值和右孩子的值，构建报文判断二叉树；

21、获取多个切分转折报文数据和多个切分传输报文数据，并将其输入所述报文判断二叉树，得到多个判断结果，若切分转折报文数据等于切分传输报文数据，则判断结果为1，若切分转折报文数据不等于切分传输报文数据，则判断结果为0；

22、将所有切分转折报文数据和所有切分传输报文数据输入报文判断二叉树，得到所有判断结果，将所有判断结果按顺序构建为一个向量，得到报文判断向量。

23、通过构建判断二叉树，将安全信息中的值输入判断二叉树进行对比，多次重复输入数据得到多个判断值，从而判断数据是否合适，节省存储空间。

24、可选地，所述时间安全值的获取过程包括：

25、获取数据传输距离和传输时间，将传输距离除以传输时间得到传输速率；

26、获取数据转折距离和转折时间，将转折距离除以转折时间得到转折速率；

27、将所述转折速率除以传输速率得到传输熵值，比较传输熵值和预设时间阈值的大小，若传输熵值小于预设时间阈值，则时间安全值设置为1，若传输熵值大于预设时间阈值，则时间安全值设置为0。

28、实际应用中，相同长度的数据传输速率接近，但转发速率和传输速率相差较大，可能导致数据被拦截窃取或更改地址导致传输其他数据，通过计算转折速率和传输速率的商得到传输熵值，将传输熵值与预设时间阈值进行比较得到时间安全值，这样判断事件是否安全更加准确。

29、可选地，所述内容相似数据的获取过程包括：

30、分别将转折报文数据和传输报文数据中所有fin值为1的数据长度相加，分别得到完整转折内容数据长度和完整传输内容数据长度，若完整转折内容数据长度等于完整传输内容数据长度，则长度相似值设置为1，若完整转折内容数据长度不等于完整传输内容数据长度，则长度相似值设置为0；

31、转折报文数据中所有fin值为1的数据组成完整转折内容数据集合，传输报文数据中所有fin值为1的数据组成完整传输内容数据集合；

32、将完整转折内容数据集合中的数据和完整传输内容数据集合中的数据进行相似判断，若数据相似，则相似数据个数加1，直至判断完所有数据，得到数据的相似长度；

33、用所述相似长度除以完整转折内容数据长度，得到内容相似值，内容相似值为1表示传输内容数据相同，内容相似值为0表示传输内容数据不同。

34、由于数据传输过程中可能被替代，所以对传输数据的内容进行判断，由于数据可能被加密，所以用数据的相似性进行判断，这样的判断方法保证了判断的准确性。

35、可选地，所述将所述安全评估信息经过预设神经网络处理得到安全等级的过程包括：

36、比较内容相似值与预设的第一相似阈值、第二相似阈值、第三相似阈值之间的大小关系，得到内容相似向量，所述内容相似向量长度为3；

37、若内容相似向量中的第三向量值为1，则内容安全事件值设为1，若内容相似向量中的第三向量值为0，则内容安全事件值设为0；

38、将报文判断向量的值、时间安全值、内容长度相似值和安全事件值相加，得到事件安全数量；

39、将报文判断向量、时间安全值、内容相似数据输入第一神经网络，得到第一安全等级向量；

40、将第一安全等级向量和事件安全数量输入第二神经网络，调整安全等级，得到第二安全等级向量，其中，第二安全等级向量中最大的向量值为最终评估的安全等级。

41、本发明提供的信息安全事件报警级别评估方法，利用计算得到的将报文判断向量的值、时间安全值、内容长度相似值和安全事件值，经过两次神经网络的预测及调整，加深时间安全数量的重要性，更加准确的对安全等级进行判断。

42、第二方面，本发明实施例提供了一种信息安全事件报警级别评估系统，包括：

43、传输获取模块，用于获取数据在传输过程中的传输数据信息，所述传输数据信息包括传输报文数据和传输内容数据；

44、转折获取模块，用于获取数据经过转折后传输的转折数据信息，所述转折数据信息包括：转折报文数据和转折内容数据；

45、数据分析模块，用于根据所述传输数据信息和转折数据信息得到安全评估信息；

46、安全评估模块，用于将所述安全评估信息经过预设神经网络处理得到安全等级。

47、本发明实施例提供的信息安全事件报警级别评估系统，通过监测网络上的数据流和通讯数据，利用海量的规则对网络攻击行为和其他信息安全事件进行精准匹配，从而达到及时发现攻击并预警，精确评估安全等级并阻断探测行为的目的。

48、第三方面，本发明实施例提供了一种计算机设备，包括：存储器和处理器，所述存储器和所述处理器之间互相通信连接，所述存储器中存储有计算机指令，所述处理器通过执行所述计算机指令，从而执行第一方面，或者第一方面任意一种可选实施方式中所述的方法。

49、第四方面，本发明实施例提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使所述计算机执行第一方面，或者第一方面任意一种可选实施方式中所述的方法。