本發明公開了一種用于工控情報的處置方法及系統，所述方法包括：定時從安全情報網站爬取開源安全情報內容并對其進行提取處理得到基礎情報數據；定時采集工控網絡交換機進/出口的流量信息并對其進行提取處理得到待檢測數據或者待檢測數據和待檢測文件；將待檢測數據與基礎情報數據進行碰撞處理并記錄碰撞命中結果；將待檢測文件導入到虛擬仿真裝置中進行檢測，并使用行為監測軟件對待檢測文件的運行過程進行實時監控得到運行過程記錄日志，將運行過程記錄日志與虛擬仿真裝置中預設規則進行匹配得到文件檢測結果；對碰撞命中結果和文件檢測結果進行匯總并分析處理得到威脅文檔文件和規則文檔文件，該方法解決了情報時效性差及捕獲能力差的問題。

技術領域

本發明涉及工控網絡安全技術領域，更具體地，涉及一種用于工控情報的處置方法及系統。

背景技術

現階段情報系統多缺乏時效性，對最新的安全事件的捕獲能力欠缺，告警數據量大，事件處置不及時。而且很多安全設備的規則策略多是基于IOC的規則(威脅指示器即Indicator of compromise，縮寫為IOC，其是在檢測或取證中，具有高置信度的威脅對象或特征信息。)，基于IOC進行梳理，上線規則耗時耗力，信息比較滯后，且易產生很大的誤報，這也在很大程度上增加了分析師人才的工作量，使分析師大量的時間應付這些之前的攻擊手段形成的告警，這使得分析過程耗時耗力，產生結果低效，沒有應對新型網絡攻擊的能力，且過多的告警讓分析師應接不暇，疲于應對，就會產生很多告警無法研判、漏報現象。

因此，如何提供一種用于工控情報的處置方法及系統以將安全分析人員從龐雜的低效耗時工作中解放出來并實現對網絡攻擊高效快速處理成為本領域亟需解決的技術難題。

發明內容

本發明的目的是提供一種用于工控情報的處置方法、系統、電子設備及存儲介質。

本發明第一方面公開了一種用于工控情報的處置方法，所述方法包括：

步驟S1、定時從安全情報網站爬取開源安全情報內容，并對所述開源安全情報內容進行提取處理得到基礎情報數據；

步驟S2、定時采集工控網絡交換機進/出口的流量信息，并對所述流量信息進行提取處理得到待檢測數據或者待檢測數據和待檢測文件；

步驟S3、將所述待檢測數據與所述基礎情報數據進行碰撞處理并記錄碰撞命中結果；

步驟S4、將所述待檢測文件導入到虛擬仿真裝置中進行檢測，并使用行為監測軟件對所述待檢測文件的運行過程進行實時監控得到運行過程記錄日志，將所述運行過程記錄日志與所述虛擬仿真裝置中預設規則進行匹配得到文件檢測結果；

步驟S5、對所述碰撞命中結果和所述文件檢測結果進行匯總并分析處理得到威脅文檔文件和規則文檔文件。

根據本發明第一方面的方法，所述步驟S1具體包括：

使用爬蟲腳本定時從安全情報網站爬取開源安全情報內容；

利用python腳本對所述開源安全情報內容進行解析得到內容中的IP、域名、URL以及關聯信息；

將解析得到的URL、IP、域名以及關聯信息進行分類并存儲至情報數據庫。

根據本發明第一方面的方法，在所述步驟S1中，將解析得到的IP、域名、URL以及關聯信息進行分類并存儲至情報數據庫具體為：將解析得到的IP、域名、URL以及關聯信息分別存儲至所述情報數據庫中對應的IP情報表、域名情報表以及URL情報表中形成所述基礎情報數據。

根據本發明第一方面的方法，所述步驟S2具體包括：

定時捕獲工控網絡交換機進/出口的流量信息；

對所述流量信息進行還原處理形成IP會話日志和DNS會話日志；