本發(fā)明涉及網(wǎng)絡(luò)安全的��,具體涉及一種網(wǎng)絡(luò)安全策略優(yōu)化方法及系統(tǒng)�。
背景技術(shù):
1、在現(xiàn)代工業(yè)生產(chǎn)中,特別是關(guān)鍵制造工廠,其生產(chǎn)網(wǎng)絡(luò)承載著所有控制指令和數(shù)據(jù)流動��。為確保生產(chǎn)連續(xù)性和數(shù)據(jù)完整性�����,許多工廠引入了自適應(yīng)網(wǎng)絡(luò)安全系統(tǒng)��,該系統(tǒng)能夠?qū)崟r分析網(wǎng)絡(luò)通信數(shù)據(jù)�����,描繪正常行為畫像�,并對偏離行為進(jìn)行異常標(biāo)記和響應(yīng)���,例如隔離設(shè)備或調(diào)整防火墻規(guī)則�。在系統(tǒng)部署初期����,其在識別和阻斷未經(jīng)授權(quán)訪問及惡意數(shù)據(jù)注入方面表現(xiàn)出色�,顯著提升了工廠的網(wǎng)絡(luò)安全防護(hù)水平。
2���、然而��,攻擊者發(fā)現(xiàn)該自適應(yīng)網(wǎng)絡(luò)安全系統(tǒng)在面對大量“無害”背景噪聲或偶發(fā)性��、非關(guān)鍵異常時���,會傾向于通過策略優(yōu)化來降低警報優(yōu)先級����,以避免誤報�。攻擊者利用此特性,通過控制外部跳板服務(wù)器���,向工廠網(wǎng)絡(luò)發(fā)送一系列看似隨機但精心設(shè)計的“探測性”數(shù)據(jù)包����。這些數(shù)據(jù)包特征微弱����,嚴(yán)格控制在單個事件告警閾值之下,不含已知惡意載荷��。系統(tǒng)在監(jiān)測到這些零星��、低強度的異常行為時,最初標(biāo)記為“低風(fēng)險事件”��,但由于其長期反復(fù)出現(xiàn)且未升級為真正威脅��,系統(tǒng)逐漸將其歸類為“背景噪聲”或“偶發(fā)性網(wǎng)絡(luò)抖動”��。
3��、這種隱蔽滲透可能導(dǎo)致嚴(yán)重后果��,例如通過微小�����、漸進(jìn)式的參數(shù)修改�����,導(dǎo)致產(chǎn)品質(zhì)量下降�����、設(shè)備壽命縮短���,甚至引發(fā)生產(chǎn)事故�。同時���,被竊取的數(shù)據(jù)以極低頻率�、極小碎片形式通過這些“無害”通道緩慢外泄�,使得數(shù)據(jù)泄露難以發(fā)現(xiàn)。工廠的自適應(yīng)安全系統(tǒng)因其“優(yōu)化”邏輯����,反而成為攻擊者利用的盲點,持續(xù)將真正的威脅誤判為無害背景活動��,甚至主動為攻擊者的滲透行為“開綠燈”�,導(dǎo)致工廠在不知不覺中遭受巨大潛在損失。
4��、針對上述問題�����,現(xiàn)有技術(shù)亟需改進(jìn)�����。
技術(shù)實現(xiàn)思路
1、本技術(shù)公開了一種網(wǎng)絡(luò)安全策略優(yōu)化方法及系統(tǒng)�����,旨在解決自適應(yīng)網(wǎng)絡(luò)安全系統(tǒng)在面對攻擊者利用其“優(yōu)化”邏輯進(jìn)行隱蔽滲透時���,無法有效識別和阻斷威脅�,反而可能為攻擊行為“開綠燈”的問題���。
2�、本技術(shù)的技術(shù)方案如下:
3���、第一方面����,本技術(shù)公開了一種網(wǎng)絡(luò)安全策略優(yōu)化方法��,包括:
4��、獲取自適應(yīng)網(wǎng)絡(luò)安全系統(tǒng)對網(wǎng)絡(luò)通信模式進(jìn)行調(diào)整管理過程的檢測敏感度調(diào)整記錄�,并基于檢測敏感度調(diào)整記錄,識別出檢測敏感度持續(xù)降低的通信模式�;
5����、對通信模式進(jìn)行多維度風(fēng)險再評估����,得到多維度風(fēng)險再評估結(jié)果�����;多維度風(fēng)險再評估包括將通信模式與預(yù)設(shè)的異常行為進(jìn)行關(guān)聯(lián)分析�,得到關(guān)聯(lián)分析信息;獲取工業(yè)生產(chǎn)流程的當(dāng)前狀態(tài)和操作邏輯���;結(jié)合當(dāng)前狀態(tài)和操作邏輯�����,對通信模式在工業(yè)控制系統(tǒng)中的合理性進(jìn)行驗證���,得到合理性驗證信息;
6����、根據(jù)多維度風(fēng)險再評估結(jié)果,調(diào)整并優(yōu)化自適應(yīng)網(wǎng)絡(luò)安全系統(tǒng)的安全策略,生成并發(fā)出警報信息�����。
7���、通過該技術(shù)方案�����,本技術(shù)能夠主動識別并重新評估那些被自適應(yīng)安全系統(tǒng)誤判為“無害”的通信模式�����,從而有效發(fā)現(xiàn)潛在的隱蔽滲透行為����,避免系統(tǒng)因“優(yōu)化”邏輯而成為攻擊者的盲點��,顯著提升了工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)能力�。
8、進(jìn)一步地�,結(jié)合當(dāng)前狀態(tài)和操作邏輯,對通信模式在工業(yè)控制系統(tǒng)中的合理性進(jìn)行驗證����,得到合理性驗證信息的步驟包括:
9��、識別通信模式中是否包含對工業(yè)控制系統(tǒng)中非功能性參數(shù)的修改操作�����,以及判斷當(dāng)前工業(yè)生產(chǎn)線是否處于異常處理流程或柔性生產(chǎn)模式,得到修改識別結(jié)果和狀態(tài)模式判斷結(jié)果����;
10、當(dāng)修改識別結(jié)果表示通信模式包含修改操作���,且狀態(tài)模式判斷結(jié)果表示當(dāng)前工業(yè)生產(chǎn)線處于異常處理流程或柔性生產(chǎn)模式時�,根據(jù)當(dāng)前工業(yè)控制系統(tǒng)的實時運行狀態(tài)以及通信模式中包含的非功能性參數(shù)新值�����,生成臨時系統(tǒng)狀態(tài)副本���;
11�、從預(yù)設(shè)的工業(yè)擾動事件庫中��,根據(jù)通信模式所修改的非功能性參數(shù)的類型和作用,選擇關(guān)聯(lián)度達(dá)到預(yù)設(shè)閾值的擾動事件����,并將擾動事件的模擬效果添加到臨時系統(tǒng)狀態(tài)副本中;
12����、利用預(yù)設(shè)的工業(yè)控制邏輯推演引擎,模擬臨時系統(tǒng)狀態(tài)副本在擾動事件影響下的行為演變����,基于行為演變判斷是否觸發(fā)非預(yù)期的連鎖反應(yīng),并計算潛在風(fēng)險評分����;
13、若潛在風(fēng)險評分超過預(yù)設(shè)風(fēng)險閾值���,則表示存在潛在風(fēng)險����,并提升通信模式的內(nèi)部關(guān)注級別���,阻止通信模式的檢測敏感度降低����。
14、通過該技術(shù)方案����,本技術(shù)能夠通過模擬工業(yè)擾動事件對系統(tǒng)狀態(tài)副本的影響,深入評估通信模式中非功能性參數(shù)修改的潛在風(fēng)險���,從而在不影響實際生產(chǎn)的前提下�����,提前發(fā)現(xiàn)并阻止可能導(dǎo)致非預(yù)期連鎖反應(yīng)的惡意行為,有效避免了因參數(shù)微調(diào)而引發(fā)的生產(chǎn)事故或質(zhì)量問題��。
15��、在上述基礎(chǔ)上��,從預(yù)設(shè)的工業(yè)擾動事件庫中�,根據(jù)通信模式所修改的非功能性參數(shù)的類型和作用,選擇關(guān)聯(lián)度達(dá)到預(yù)設(shè)閾值的擾動事件�,并將擾動事件的模擬效果添加到臨時系統(tǒng)狀態(tài)副本中的步驟包括:
16、識別出通信模式中非功能性參數(shù)的類型和作用�����;
17、獲取當(dāng)前工業(yè)生產(chǎn)線的實時運行狀態(tài)和歷史運行數(shù)據(jù)�����;
18���、分析非功能性參數(shù)與傳感器讀數(shù)���、執(zhí)行器響應(yīng)或網(wǎng)絡(luò)通信模式的歷史異常關(guān)聯(lián),得到歷史異常關(guān)聯(lián)信息�;
19、監(jiān)測當(dāng)前工業(yè)生產(chǎn)線的環(huán)境條件和設(shè)備老化程度�,得到環(huán)境條件信息和設(shè)備老化程度信息;
20�、根據(jù)非功能性參數(shù)的類型和作用、當(dāng)前工業(yè)生產(chǎn)線的實時運行狀態(tài)����、歷史運行數(shù)據(jù)、環(huán)境條件����、設(shè)備老化程度信息以及歷史異常關(guān)聯(lián)信息����,構(gòu)建若干個基礎(chǔ)擾動事件���,形成復(fù)合擾動事件�;
21����、將復(fù)合擾動事件的模擬效果添加到臨時系統(tǒng)狀態(tài)副本中。
22����、通過該技術(shù)方案,本技術(shù)能夠綜合考慮多種因素構(gòu)建復(fù)合擾動事件��,使得風(fēng)險評估更加全面和精準(zhǔn)��,避免了單一擾動事件評估的局限性�,從而更有效地識別出復(fù)雜攻擊場景下的潛在威脅�。
23、更進(jìn)一步地����,利用預(yù)設(shè)的工業(yè)控制邏輯推演引擎���,模擬臨時系統(tǒng)狀態(tài)副本在擾動事件影響下的行為演變,基于行為演變判斷是否觸發(fā)非預(yù)期的連鎖反應(yīng)����,并計算潛在風(fēng)險評分的步驟包括:
24、識別通信模式中非功能性參數(shù)的修改����,以及擾動事件對工業(yè)生產(chǎn)線設(shè)備或工業(yè)控制邏輯的瞬時影響;
25��、根據(jù)非功能性參數(shù)的修改和瞬時影響�,構(gòu)建多維度影響路徑;多維度影響路徑包括參數(shù)變化路徑���、設(shè)備狀態(tài)轉(zhuǎn)換路徑和網(wǎng)絡(luò)通信行為路徑�;
26�、監(jiān)測每個多維度影響路徑上的關(guān)鍵指標(biāo);關(guān)鍵指標(biāo)包括參數(shù)偏離安全范圍的幅度����、設(shè)備狀態(tài)轉(zhuǎn)換的非預(yù)期性指標(biāo)、以及網(wǎng)絡(luò)通信流量或延遲的異常波動;
27���、設(shè)置累積風(fēng)險閾值���;
28、當(dāng)任一多維度影響路徑上的關(guān)鍵指標(biāo)達(dá)到預(yù)設(shè)的瞬時異常閾值��,或多維度影響路徑上的關(guān)鍵指標(biāo)在不同時間點累積效應(yīng)導(dǎo)致綜合累積值超過累積風(fēng)險閾值時�,觸發(fā)非預(yù)期的連鎖反應(yīng)的識別;
29����、根據(jù)非預(yù)期的連鎖反應(yīng)對生產(chǎn)連續(xù)性、產(chǎn)品質(zhì)量和設(shè)備壽命的潛在影響程度�����,以及非預(yù)期的連鎖反應(yīng)發(fā)生的概率�����,計算潛在風(fēng)險評分���。
30、通過該技術(shù)方案,本技術(shù)能夠通過構(gòu)建多維度影響路徑并監(jiān)測關(guān)鍵指標(biāo)��,更細(xì)致地分析擾動事件可能引發(fā)的連鎖反應(yīng)��,并綜合考慮其影響程度和發(fā)生概率��,從而提供更精確的潛在風(fēng)險評分��,為安全策略的調(diào)整提供更可靠的依據(jù)�����。
31���、在一些優(yōu)選的實施方案中��,監(jiān)測每個多維度影響路徑上的關(guān)鍵指標(biāo)的步驟包括:
32�、當(dāng)監(jiān)測到工業(yè)生產(chǎn)線的運行狀態(tài)��、產(chǎn)品類型或設(shè)備配置發(fā)生變化時�,獲取與當(dāng)前變化后的生產(chǎn)狀態(tài)、產(chǎn)品類型或設(shè)備配置相匹配的關(guān)鍵指標(biāo)預(yù)期安全范圍或正常行為基線���;
33�、獲取當(dāng)前工業(yè)生產(chǎn)線的實際運行數(shù)據(jù);
34���、根據(jù)實際運行數(shù)據(jù)���,與關(guān)鍵指標(biāo)預(yù)期安全范圍或正常行為基線進(jìn)行比對,得到關(guān)鍵指標(biāo)的偏離程度和趨勢��;
35��、根據(jù)偏離程度和趨勢����,動態(tài)調(diào)整關(guān)鍵指標(biāo)的異常判斷閾值。
36�、通過該技術(shù)方案,本技術(shù)能夠根據(jù)工業(yè)生產(chǎn)線的動態(tài)變化����,實時調(diào)整關(guān)鍵指標(biāo)的異常判斷閾值,從而避免了固定閾值可能導(dǎo)致的誤報或漏報�,提高了異常檢測的準(zhǔn)確性和適應(yīng)性。
37����、作為可選方案,當(dāng)監(jiān)測到工業(yè)生產(chǎn)線的運行狀態(tài)��、產(chǎn)品類型或設(shè)備配置發(fā)生變化時����,獲取與當(dāng)前變化后的生產(chǎn)狀態(tài)、產(chǎn)品類型或設(shè)備配置相匹配的關(guān)鍵指標(biāo)預(yù)期安全范圍或正常行為基線的步驟包括:
38��、識別工業(yè)生產(chǎn)線的運行狀態(tài)�����、產(chǎn)品類型或設(shè)備配置發(fā)生變化涉及的生產(chǎn)參數(shù)����、設(shè)備類型和工藝流程;
39�����、根據(jù)生產(chǎn)參數(shù)���、設(shè)備類型和工藝流程�,從預(yù)設(shè)的基線單元庫中獲取若干個對應(yīng)的基礎(chǔ)基線單元��;
40、根據(jù)基礎(chǔ)基線單元的關(guān)聯(lián)關(guān)系和組合邏輯���,構(gòu)建復(fù)合基線���;
41、根據(jù)復(fù)合基線����,獲取與當(dāng)前變化后的生產(chǎn)狀態(tài)、產(chǎn)品類型或設(shè)備配置相匹配的關(guān)鍵指標(biāo)預(yù)期安全范圍或正常行為基線��。
42�����、通過該技術(shù)方案��,本技術(shù)能夠通過組合基礎(chǔ)基線單元構(gòu)建復(fù)合基線�����,靈活適應(yīng)工業(yè)生產(chǎn)線的復(fù)雜變化�����,確保關(guān)鍵指標(biāo)的預(yù)期安全范圍或正常行為基線始終與實際生產(chǎn)情況相匹配,提高了基線管理的效率和準(zhǔn)確性��。
43���、在此基礎(chǔ)上,根據(jù)基礎(chǔ)基線單元的關(guān)聯(lián)關(guān)系和組合邏輯��,構(gòu)建復(fù)合基線的步驟包括:
44�、根據(jù)基礎(chǔ)基線單元之間的邏輯依賴關(guān)系和生產(chǎn)流程中的時序關(guān)系,構(gòu)建組合序列��;
45��、根據(jù)組合序列���,模擬組合序列在正常運行條件下的行為演變���,得到模擬行為數(shù)據(jù);
46�、根據(jù)模擬行為數(shù)據(jù),生成組合模式對應(yīng)的復(fù)合基線���。
47�、通過該技術(shù)方案,本技術(shù)能夠通過模擬組合序列的行為演變來生成復(fù)合基線�,使得基線更加貼近實際運行情況,提高了基線的準(zhǔn)確性和可靠性���,從而更好地支持關(guān)鍵指標(biāo)的異常判斷����。
48���、更進(jìn)一步地���,根據(jù)基礎(chǔ)基線單元之間的邏輯依賴關(guān)系和生產(chǎn)流程中的時序關(guān)系,構(gòu)建組合序列的步驟包括:
49���、當(dāng)監(jiān)測到工業(yè)生產(chǎn)線引入新增設(shè)備時��,分析新增設(shè)備的接口規(guī)范和控制協(xié)議�,得到接口規(guī)范和控制協(xié)議信息�;
50、當(dāng)監(jiān)測到工業(yè)生產(chǎn)線采用新的生產(chǎn)工藝時����,分析新的工藝流程各生產(chǎn)環(huán)節(jié)的輸入輸出關(guān)系和操作順序��,得到輸入輸出關(guān)系和操作順序信息����;
51��、根據(jù)接口規(guī)范和控制協(xié)議信息以及輸入輸出關(guān)系和操作順序信息�����,識別基礎(chǔ)基線單元之間的新型邏輯依賴關(guān)系和時序關(guān)系���;
52、將新型邏輯依賴關(guān)系和時序關(guān)系整合到組合序列的構(gòu)建規(guī)則中����。
53、通過該技術(shù)方案�����,本技術(shù)能夠及時識別并整合新型設(shè)備和新工藝帶來的邏輯依賴關(guān)系和時序關(guān)系����,確?���;€構(gòu)建規(guī)則的實時更新和適應(yīng)性�����,從而有效應(yīng)對工業(yè)生產(chǎn)線的快速變化�。
54、在一種實施方式中��,根據(jù)基礎(chǔ)基線單元之間的邏輯依賴關(guān)系和生產(chǎn)流程中的時序關(guān)系�����,構(gòu)建組合序列的步驟包括:
55�����、當(dāng)工業(yè)生產(chǎn)線采用新的生產(chǎn)工藝時���,基于對應(yīng)的新型邏輯依賴關(guān)系和時序關(guān)系�����,識別出與現(xiàn)有的組合序列構(gòu)建規(guī)則之間的沖突點����;
56、分析沖突點的沖突類型���;沖突類型包括邏輯矛盾�����、時序錯位或參數(shù)范圍重疊���;
57�、根據(jù)沖突類型,從預(yù)設(shè)的沖突解決策略庫中選擇對應(yīng)的解決策略����;解決策略包括優(yōu)先級調(diào)整、規(guī)則合并或參數(shù)范圍細(xì)化��;
58�����、應(yīng)用解決策略,對現(xiàn)有的組合序列構(gòu)建規(guī)則進(jìn)行調(diào)整�;
59、對調(diào)整后的組合序列構(gòu)建規(guī)則進(jìn)行邏輯一致性驗證����,消除調(diào)整后的組合序列構(gòu)建規(guī)則的邏輯漏洞,生成經(jīng)過驗證的基線單元組合序列構(gòu)建規(guī)則�;
60、根據(jù)基線單元組合序列構(gòu)建規(guī)則�����,構(gòu)建組合序列���。
61���、通過該技術(shù)方案,本技術(shù)能夠有效識別并解決新工藝引入可能導(dǎo)致的基線構(gòu)建規(guī)則沖突�����,確?��;€規(guī)則的邏輯一致性和準(zhǔn)確性��,從而避免因規(guī)則沖突而引發(fā)的誤判或漏報��。
62�����、第二方面��,本技術(shù)還公開了一種網(wǎng)絡(luò)安全策略優(yōu)化系統(tǒng)�����,用于執(zhí)行網(wǎng)絡(luò)安全策略優(yōu)化��,包括:
63�����、通信模式識別模塊���,用于獲取自適應(yīng)網(wǎng)絡(luò)安全系統(tǒng)對網(wǎng)絡(luò)通信模式進(jìn)行調(diào)整管理過程的檢測敏感度調(diào)整記錄,并基于檢測敏感度調(diào)整記錄�,識別出檢測敏感度持續(xù)降低的通信模式;
64����、多維風(fēng)險評估模塊�����,用于對通信模式進(jìn)行多維度風(fēng)險再評估�,得到多維度風(fēng)險再評估結(jié)果����;多維度風(fēng)險再評估包括將通信模式與預(yù)設(shè)的異常行為進(jìn)行關(guān)聯(lián)分析,得到關(guān)聯(lián)分析信息����;獲取工業(yè)生產(chǎn)流程的當(dāng)前狀態(tài)和操作邏輯;結(jié)合當(dāng)前狀態(tài)和操作邏輯����,對通信模式在工業(yè)控制系統(tǒng)中的合理性進(jìn)行驗證,得到合理性驗證信息�����;
65���、網(wǎng)絡(luò)策略優(yōu)化模塊���,用于根據(jù)多維度風(fēng)險再評估結(jié)果���,調(diào)整并優(yōu)化自適應(yīng)網(wǎng)絡(luò)安全系統(tǒng)的安全策略,生成并發(fā)出警報信息���。
66����、通過該技術(shù)方案�����,本技術(shù)能夠提供一個集成的系統(tǒng)��,通過模塊化的設(shè)計�����,實現(xiàn)對網(wǎng)絡(luò)安全策略的自動化優(yōu)化���,有效提升了工業(yè)控制系統(tǒng)應(yīng)對隱蔽滲透攻擊的能力,保障了生產(chǎn)的連續(xù)性和安全性����。
67�����、有益效果:本技術(shù)公開的網(wǎng)絡(luò)安全策略優(yōu)化方法���,通過獲取自適應(yīng)網(wǎng)絡(luò)安全系統(tǒng)對網(wǎng)絡(luò)通信模式的檢測敏感度調(diào)整記錄,并識別出檢測敏感度持續(xù)降低的通信模式���,能夠主動發(fā)現(xiàn)那些可能被系統(tǒng)誤判為“無害”的潛在威脅���。在此基礎(chǔ)上,對這些通信模式進(jìn)行多維度風(fēng)險再評估����,不僅將通信模式與預(yù)設(shè)的異常行為進(jìn)行關(guān)聯(lián)分析,更結(jié)合工業(yè)生產(chǎn)流程的當(dāng)前狀態(tài)和操作邏輯�����,對通信模式在工業(yè)控制系統(tǒng)中的合理性進(jìn)行深入驗證����。這種全面的評估機制���,能夠有效識別出攻擊者利用系統(tǒng)“優(yōu)化”邏輯進(jìn)行的隱蔽滲透行為,例如通過微小�����、漸進(jìn)式的參數(shù)修改或低頻數(shù)據(jù)竊取�����。最終��,根據(jù)多維度風(fēng)險再評估結(jié)果�,調(diào)整并優(yōu)化自適應(yīng)網(wǎng)絡(luò)安全系統(tǒng)的安全策略,并生成警報信息��,從而避免了系統(tǒng)因“優(yōu)化”邏輯而成為攻擊者的盲點���,有效解決了現(xiàn)有技術(shù)中自適應(yīng)安全系統(tǒng)在面對精心設(shè)計的隱蔽攻擊時�����,無法有效識別和阻斷威脅���,甚至主動為攻擊行為“開綠燈”的問題���。本技術(shù)的技術(shù)方案顯著提升了工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)水平�����,保障了生產(chǎn)的連續(xù)性����、產(chǎn)品質(zhì)量和設(shè)備壽命,避免了潛在的巨大損失�����。