[發明專利]一種用于工控情報的處置方法及系統在審
| 申請號: | 202211577840.5 | 申請日: | 2022-12-09 |
| 公開(公告)號: | CN115774876A | 公開(公告)日: | 2023-03-10 |
| 發明(設計)人: | 唐云;杜帥;楊迪 | 申請(專利權)人: | 中能融合智慧科技有限公司 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56;G06F21/55 |
| 代理公司: | 北京正和明知識產權代理事務所(普通合伙) 11845 | 代理人: | 劉陽陽 |
| 地址: | 100013 北京市東城*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 用于 情報 處置 方法 系統 | ||
1.一種用于工控情報的處置方法,其特征在于,所述方法包括:
步驟S1、定時從安全情報網站爬取開源安全情報內容,并對所述開源安全情報內容進行提取處理得到基礎情報數據;
步驟S2、定時采集工控網絡交換機進/出口的流量信息,并對所述流量信息進行提取處理得到待檢測數據或者待檢測數據和待檢測文件;
步驟S3、將所述待檢測數據與所述基礎情報數據進行碰撞處理并記錄碰撞命中結果;
步驟S4、將所述待檢測文件導入到虛擬仿真裝置中進行檢測,并使用行為監測軟件對所述待檢測文件的運行過程進行實時監控得到運行過程記錄日志,將所述運行過程記錄日志與所述虛擬仿真裝置中預設規則進行匹配得到文件檢測結果;
步驟S5、對所述碰撞命中結果和所述文件檢測結果進行匯總并分析處理得到威脅文檔文件和規則文檔文件。
2.根據權利要求1所述的一種用于工控情報的處置方法,其特征在于,所述步驟S1具體包括:
使用爬蟲腳本定時從安全情報網站爬取開源安全情報內容;
利用python腳本對所述開源安全情報內容進行解析得到內容中的IP、域名、URL以及關聯信息;
將解析得到的URL、IP、域名以及關聯信息進行分類并存儲至情報數據庫。
3.根據權利要求2所述的一種用于工控情報的處置方法,其特征在于,在所述步驟S1中,將解析得到的IP、域名、URL以及關聯信息進行分類并存儲至情報數據庫具體為:將解析得到的IP、域名、URL以及關聯信息分別存儲至所述情報數據庫中對應的IP情報表、域名情報表以及URL情報表中形成所述基礎情報數據。
4.根據權利要求3所述的一種用于工控情報的處置方法,其特征在于,所述步驟S2具體包括:
定時捕獲工控網絡交換機進/出口的流量信息;
對所述流量信息進行還原處理形成IP會話日志和DNS會話日志;
對所述IP會話日志和所述DNS會話日志中的IP、域名以及關聯信息進行提取并記錄提取得到的信息作為基礎數據,提取得到的IP和域名分別放入待檢測IP表和待檢測域名表中以作為待檢測數據;如果所述IP會話日志對應的IP會話流量中存在文件,則對文件進行還原提取以得到待檢測文件,并記錄所述待檢測文件與所述待檢測數據中IP和域名之間的關聯。
5.根據權利要求4所述的一種用于工控情報的處置方法,其特征在于,所述步驟S3具體包括:
對所述待檢測IP表和所述待檢測域名表進行去重處理得到去重后的數據,并將去重后的數據與情報數據庫中白名單表的數據進行批量匹配以得到去重去白名單后的待檢測IP表和待檢測域名表,其中,白名單表中存儲的是企業自身資產IP、域名以及正常業務鏈接;
分別對去重去白名單后的所述待檢測IP表與所述IP情報表,以及去重去白名單后的所述待檢測域名表與所述域名情報表進行碰撞處理得到碰撞結果IP表和碰撞結果域名表;
在所述情報數據庫中遍歷查詢所述碰撞結果IP表和所述碰撞結果域名表中的數據以補齊命中的IP、域名相關信息形成威脅IP表和威脅域名表,所述威脅IP表和威脅域名表構成所述碰撞命中結果。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于中能融合智慧科技有限公司,未經中能融合智慧科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202211577840.5/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:一種光觸媒及光觸媒的制備方法
- 下一篇:一種螺桿壓縮機滑閥機構及其工作過程
