一种工业网络未知威胁检测方法、装置、设备和介质与流程

本公开的实施例涉及计算机，具体涉及一种工业网络未知威胁检测方法、装置、电子设备和计算机可读介质。

背景技术：

1、工业控制设备及系统已广泛应用于电力能源、核能水利、石油化工、金属冶炼、轨道交通、加工制造等国民经济的多个领域，成为国家关键工业基础设施的重要组成部分。近几年在工业控制系统中发现的漏洞数量明显增多，针对物联网、工业领域业务网络的攻击事件急剧上升。

2、工业网络场景下的威胁监测往往基于网络流量分析技术，并单一通过恶意特征匹配或白名单基线的方式进行异常识别，主要以工业控制系统入侵检测产品、工业控制系统网络审计产品两种形态进行网络通讯的数据采集、协议解析和异常识别。

3、但当前工业网络场景下的威胁监测技术只能对已公开的入侵行为进行检测，并不具备分析、识别恶意文件载荷传播的能力，无法挖掘高级可持续性威胁线索，尤其是通过篡改工业控制系统工程组态文件内容的方式植入恶意功能的文件，现有威胁监测技术无法进行有效识别。

技术实现思路

1、本公开的内容部分用于以简要的形式介绍构思，这些构思将在后面的具体实施方式部分被详细描述。本公开的内容部分并不旨在标识要求保护的技术方案的关键特征或必要特征，也不旨在用于限制所要求的保护的技术方案的范围。

2、本公开的一些实施例提出了一种工业网络未知威胁检测方法、装置、电子设备和计算机可读介质，来解决以上背景技术部分提到的技术问题。

3、第一方面，本公开的一些实施例提供了一种工业网络未知威胁检测方法，该方法包括：获取目标数据包；根据上述目标数据包的通讯协议，对上述目标数据包进行解析，得到解析结果；根据上述解析结果对上述目标数据包进行重组还原，得到上述目标数据包对应的原始文件；对上述原始文件进行威胁检测，得到威胁检测结果。

4、第二方面，本公开的一些实施例提供了一种工业网络未知威胁检测装置，装置包括：获取单元，被配置成获取目标数据包；解析单元，被配置成根据上述目标数据包的通讯协议，对上述目标数据包进行解析，得到解析结果；还原单元，被配置成根据上述解析结果对上述目标数据包进行重组还原，得到上述目标数据包对应的原始文件；检测单元，被配置成对上述原始文件进行威胁检测，得到威胁检测结果。

5、第三方面，本申请实施例提供了一种电子设备，该网络设备包括：一个或多个处理器；存储装置，用于存储一个或多个程序；当一个或多个程序被一个或多个处理器执行，使得一个或多个处理器实现如第一方面中任一实现方式描述的方法。

6、第四方面，本申请实施例提供了一种计算机可读介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如第一方面中任一实现方式描述的方法。

7、本公开的上述各个实施例中的一个实施例具有如下有益效果：能够应用于网络攻防高对抗场景下工业网络的安全监测取证，实现对工业网络中传播未知恶意文件的识别和溯源能力，实现篡改工业组态配置文件的恶意行为监测，对网络武器技术模式和黑客组织来源进行追溯，解决了传统工业控制系统入侵检测和流量审计技术不具备未知威胁恶意文件发现能力的问题，避免出现无法对入侵背景和入侵技术过程进行溯源的缺陷。

技术特征：

1.一种工业网络未知威胁检测方法，包括：

2.根据权利要求1所述的方法，其中，所述对所述原始文件进行威胁检测，得到威胁检测结果，包括：

3.根据权利要求2所述的方法，所述方法还包括：

4.根据权利要求1所述的方法，其中，所述对所述原始文件进行威胁检测，得到威胁检测结果，包括：

5.根据权利要求4所述的方法，其中，所述方法还包括：

6.根据权利要求1所述的方法，其中，所述方法还包括：

7.一种用于威胁检测结果确定的装置，包括：

8.一种电子设备，包括：

9.一种计算机可读介质，其上存储有计算机程序，其中，所述程序被处理器执行时实现如权利要求1-6中任一所述的方法。

技术总结
本公开的实施例公开了一种工业网络未知威胁检测方法、装置、设备和介质。该方法的一具体实施方式包括：获取目标数据包；根据目标数据包的通讯协议，对目标数据包进行解析，得到解析结果；根据解析结果对目标数据包进行重组还原，得到目标数据包对应的原始文件；对原始文件进行威胁检测，得到威胁检测结果。该实施方式能够应用于网络攻防高对抗场景下工业网络的安全监测取证，实现对工业网络中传播未知恶意文件的识别和溯源能力，实现篡改工业组态配置文件的恶意行为监测，对网络武器技术模式和黑客组织来源的追溯。

技术研发人员：赵云龙,郭明强,刘深峰
受保护的技术使用者：北京中创云安科技有限公司
技术研发日：
技术公布日：2024/3/24