申请/专利权人：武汉卓尔信息科技有限公司;华中科技大学

申请日：2023-12-22

公开（公告）日：2024-04-09

公开（公告）号：CN117857156A

主分类号：H04L9/40

分类号：H04L9/40

优先权：

专利状态码：在审-实质审查的生效

法律状态：2024.04.26#实质审查的生效;2024.04.09#公开

摘要：本发明涉及基于工控行为分析的工控网络威胁分析方法，具体涉及工控系统安全保护领域，通过对工控系统中的实时行为进行监视和分析，发现异常活动、异常通信模式或其他异常行为，提供实时的网络流量分析和设备行为监控，基于工控行为分析的方法识别威胁的类型和潜在影响通过分析和理解威胁行为模式，采取适当的措施减轻威胁以及防止其进一步扩散，通过结合多种数据源和随机森林算法对设备和网络行为进行深度分析，提高威胁检测的准确性，并更好地区分正常行为和恶意行为，通过实时监测工控网络的行为，及时发现异常活动并提供警报，通过快速响应减少潜在的威胁对系统造成的损害，并采取适当的措施来应对威胁。

主权项：1.基于工控行为分析的工控网络威胁分析方法，其特征在于，具体包括以下步骤：S101：通过网络监控设备捕获工控系统中的网络流量数据，调用工控系统中各个组件的日志数据，通过工控系统的配置文件、设备配置信息以及工况系统内部监测获取各个设备配置信息以及状态信息，并利用工控系统数据库中的创建列记录工控系统中用户的操作行为；S102：检查数据集中是否存在缺失值，并使用插值方法进行填补，检查数据集中是否存在异常值，并使用统计方法进行异常值检测和修正，检查数据中是否为正确数据类型，并将数据转换为正确的数据类型；S103：将通过处理的工控行为数据集划分为训练集、验证集和测试集，并利用随机森林建立工控系统中各个组件的行为分类模型，根据模型的最终分类结果并比对工控行为数据集，用于判断行为是否异常；S104：通过判断的异常行为对特定组件和功能的影响，并评估其对整个系统的级联效应、特殊权限的需求以及对数据完整性的威胁，对异常行为进行评级；S105：通过及时获取相关漏洞信息，并对其进行评估和分类，用于确定漏洞的严重程度和影响范围，通过限制对敏感数据和功能的访问，并且实施最小权限原则，进行威胁响应。

全文数据：

权利要求：

百度查询： 武汉卓尔信息科技有限公司;华中科技大学 基于工控行为分析的工控网络威胁分析方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD