本發明公開了一種基于工業網絡流量的異常評估方法與系統，該方法包括如下步驟：異常校驗步驟，通過已知的多源安全信息過濾被誤報的異常信息；異常聚合步驟，通過聚合算法減少異常流量數量，實現工業網絡異常信息標準化；異常關聯步驟，通過異常關聯分析、感知和預測安全事件。該異常評估系統有利于提高工控網絡流量的解釋性和可預測性，提升網絡態勢感知能力，及時規避工業網絡中的安全風險。

技術領域

本發明涉及工業網絡異常評估的技術，具體而言，涉及一種基于工控網絡流量的異常評估方法與系統。

背景技術

工業控制網絡數據種類繁多，數據量龐大，由于網絡結構的復雜性，針對網絡的攻擊和惡意行為越來越多，利用網絡存在的漏洞和安全缺陷對網絡系統進行的攻擊層出不窮。網絡流量異常檢測方法可以有效檢測出網絡中的異常流量，識別流量風險。然而，目前的異常檢測算法大多止步于為每一條數據打上標簽，標記為正常或者異常。這些異常中有的是假異常，有的是短時間已經發出不再需要重復發出的異常。大量被誤判為異常的正常流量數據與少量被正確判斷為異常的異常數據混雜在一起，會嚴重削弱入侵檢測系統的可用性，這也是基于異常的入侵檢測系統難以實際使用的原因之一。

目前的異常檢測方法亟需解決以下問題：

(1)虛假異常比例較高：異常檢測算法往往只基于數據發現異常，高比例的虛假異常往往會影響后續的異常行為關聯；

(2)異常流量數據量大：工業網絡遭遇攻擊時產生大量異常流量，大量數據憑借人工手段難以探究規律；

(3)難以感知和預測安全事件：現有方法基于安全事件的事后評判，缺少實時展示當前網絡安全風險和預測可能的安全事件的方法。

發明內容

本發明的目的在于提供一種基于工業網絡流量的異常評估方法與系統實現方式，提高工控網絡流量的解釋性和可預測性，提升網絡態勢感知能力，及時規避工業網絡中的安全風險。

為實現上述目的，本發明的技術方案提供了一種基于工業網絡流量的異常評估方法與系統實現方式，可以減少虛假異常數量，聚合重復異常，有效挖掘異常關聯，實現安全風險預測；

該發明的技術方案是提供了一種基于工控網絡流量的異常評估方法，其特征在于其特征在于，包括如下步驟：

步驟1、基于多源安全信息的異常校驗，通過已知的設備信息、漏洞信息、網絡拓撲信息，以及實時服務信息過濾確定為正常的異常信息，使用多源模糊評價方法確定異常校驗結果；

步驟2、進行異常流量聚合，通過聚合算法對異構多協議異常信息進行精簡和標準化，分協議聚合異常流量，并將分協議聚合異常流量轉化為統一格式的異常信息，減少異常流量數量；

步驟3、實現基于攻擊圖的異常關聯，根據先驗知識挖掘攻擊意圖、重建攻擊場景，根據關聯關系構建安全事件圖模型，實時展示網絡安全態勢，根據圖模型推理并預測可能發生的安全事件。

進一步地，步驟1中，多源模糊評價方法通過以下方式實現：

確定評價因子集和評價標注，評價因子分為三類，分別對應操作系統相關性、網絡服務相關性和漏洞信息相關性；

計算當前異常信息與評價因子的隸屬度，隸屬度計算根據規則定義查表計算；

確定權重向量，權重向量根據專家的經驗來決定，目的是減少兩層模糊綜合評價模型中的不確定性；

計算異常相關的安全信息與目標主機信息的相關分數，首先在模糊綜合評價的第二級執行評估，利用二級評估的結果決定一級評估和最終相關度，根據最終相關度決定是否過濾異常。

進一步地，步驟2中，進行異常流量聚合時，

對于記錄R_a和R_b，聚合相似度的度量方式為：