工控网络攻击事件溯源处理方法及装置与流程

本技术涉及数据处理领域，具体涉及一种工控网络攻击事件溯源处理方法及装置。

背景技术：

1、工业控制系统（industrial control systems, ics）通常用于监控和控制工业生产过程中的设备和机械。由于工控网络通常涉及到关键基础设施，如电力、水务、石油、天然气以及交通等，它们对于信息安全和经济运行至关重要。因此，工控网络攻击可能会带来严重的后果。

2、当前，以开放、互联为特征tcp/ip协议占据着网络通信协议的主导，工控网络也大多构建在基于tcp/ip协议的网络上，然而tcp/ip协议在设计之初主要是用于科学研究，并没有考虑到安全性，伴随着网络通信的发展，利用tcp/ip的设计缺陷进行工控网络攻击成为一个不可忽视的问题。

3、对工控网络中网络攻击溯源，定位网络攻击的源头，是遏制网络攻击的前提。然而，定位工控网络攻击的源头面临采集数据丢失、伪造源ip地址攻击、利用跳板机(又称“肉鸡”、傀儡机、僵尸主机等)攻击等攻击手段，给工控网络攻击事件的溯源带来了极大的挑战，为此，有学者提出了分组标记分析溯源法、发送特定icmp分析溯源法、链路测试分析溯源法等攻击溯源方法，但这些方法普遍存在分析溯源精度不高、可操作性不强等问题，难以在实际工控网络环境中推广应用。

技术实现思路

1、针对现有技术中的问题，本技术提供一种工控网络攻击事件溯源处理方法及装置，能够通过分布式数据采集和集中式综合分析进行工控网络攻击事件溯源并告警展示，提高工控网络攻击事件溯源的精度和可操作性。

2、为了解决上述问题中的至少一个，本技术提供以下技术方案：

3、第一方面，本技术提供一种工控网络攻击事件溯源处理方法，包括：

4、根据所述采集处理层和预设轮询规则进行实时工控网络数据获取操作，确定对应的工控网络数据，将所述工控网络数据根据预设优化分配算法进行数据分配操作，确定对应的数据分配路径，并将所述工控网络数据依据所述数据分配路径进行数据转发，得到对应的工控网络转发数据，其中，采集处理层包括分布式采集探针程序和分布式采集探针设备中的至少一种；

5、通过所述分析处理层接收所述工控网络转发数据，判断所述工控网络转发数据是否与预设指纹特征数据库中的指纹特征匹配，若是，则输出与所述指纹特征对应的第一分析结果并进行综合分析溯源操作，否则，将所述工控网络转发数据输入预设工控系统数据报文分析模型，得到所述工控系统数据报文分析模型输出的第二分析结果并进行综合分析溯源操作，其中，所述指纹特征包括特定字段、字节序列以及统计信息中的至少一种；

6、通过所述展示层将经过所述综合分析溯源操作后得到的综合分析溯源结果输入预设告警模型进行数据分析操作，得到对应的告警信息，将所述告警信息输出到所述展示层的展示界面进行展示。

7、进一步地，在所述通过所述分析处理层接收所述工控网络转发数据，判断所述工控网络转发数据是否与预设指纹特征数据库中的指纹特征匹配之前，包括：

8、获取历史工控网络流量数据包，根据预设协议分析规则对所述历史工控网络流量数据包中的协议信息进行特征提取操作，得到对应的指纹特征；

9、对所述指纹特征进行标签标注操作，得到经过所述标签标注操作之后的标签信息，根据所述指纹特征和所述标签信息确定对应的流量样本库；

10、对所述流量样本库进行数据聚类操作和数据分类操作，确定对应的预设指纹特征数据库。

11、进一步地，在所述将所述工控网络转发数据输入预设工控系统数据报文分析模型，得到所述工控系统数据报文分析模型输出的第二分析结果并进行综合分析溯源操作之前，包括：

12、根据所述历史工控网络流量数据包和预设谱聚类算法确定对应的初始化聚类中心；

13、将所述历史工控网络流量数据包输入预设卷积神经循环网络进行特征提取操作，根据经过所述特征提取操作后的第一特征进行不确定性采样操作和信息密度采样操作，确定对应的特征样本，根据所述特征样本和预设特征标注规则确定对应的第二特征，根据所述第一特征和所述第二特征确定对应的半监督特征数据集；

14、根据所述半监督特征数据集对所述初始化聚类中心进行约束聚类操作，根据经过所述约束聚类操作之后得到的优化聚类中心更新所述预设谱聚类算法的参数，确定对应的工控系统数据报文分析模型。

15、进一步地，在所述根据所述采集处理层和预设轮询规则进行实时工控网络数据获取操作，确定对应的工控网络数据之前，包括：

16、根据预设时间间隔确定对应的时间轮询规则；

17、根据预设负载均衡状态确定对应的负载轮询规则；

18、根据所述时间轮询规则和负载轮询规则确定对应的预设轮询规则。

19、进一步地，在所述将所述工控网络数据根据预设哈希分配算法进行数据分配操作，确定对应的数据分配路径之前，包括：

20、提取所述历史工控网络流量数据包中的流量特征和分配效果特征，确定对应的历史特征数据集，根据所述历史特征数据集和预设聚类算法进行流量识别操作，确定对应的流量类型特征；

21、根据所述流量类型特征对预设时间序列预测模型进行模型训练，确定经过所述模型训练后的模型预测结果，其中，所述预测结果包括流量模式和分配效果；

22、根据所述模型预测结果对预设哈希分配算法进行调整操作，确定对应的预设优化分配算法。

23、进一步地，所述根据所述模型预测结果对预设哈希分配算法进行调整操作，确定对应的预设优化分配算法，包括：

24、根据所述模型预测结果中的所述流量模式调整第一阶段哈希分配算法，确定数据包的初步分配结果；

25、根据所述模型预测结果中的所述分配效果和所述数据包的初步分配结果对第二阶段哈希分配算法进行调整操作，将经过所述调整操作后的第二阶段哈希分配算法确定为预设哈希分配算法。

26、进一步地，所述将所述历史工控网络流量数据包输入预设卷积神经循环网络进行特征提取操作，根据经过所述特征提取操作后的第一特征进行不确定性采样操作和信息密度采样操作，确定对应的特征样本，根据所述特征样本和预设特征标注规则确定对应的第二特征，根据所述第一特征和所述第二特征确定对应的半监督特征数据集，包括：

27、将所述历史工控网络流量数据包输入预设卷积神经循环网络进行特征提取操作，根据经过所述特征提取操作后的第一特征进行不确定性采样操作确定对应的最不确定样本，根据经过所述特征提取操作后的第一特征进行信息密度采样操作确定对应的高密度区域样本，根据所述最不确定样本和所述高密度区域样本确定对应的特征样本；

28、根据所述特征样本和预设特征标注规则确定对应的第二特征，根据所述第一特征和所述第二特征确定对应的半监督特征数据集。

29、进一步地，所述根据所述半监督特征数据集对所述初始化聚类中心进行约束聚类操作，根据经过所述约束聚类操作之后得到的优化聚类中心更新所述预设谱聚类算法的参数，确定对应的工控系统数据报文分析模型，包括：

30、对所述半监督特征数据集进行相似性矩阵构建操作和特征向量分解操作，确定对应的半监督特征向量；

31、根据所述半监督特征向量对所述初始化聚类中心进行硬约束操作，确定对应的优化聚类中心；

32、根据所述优化聚类中心对所述预设谱聚类算法的参数进行调整操作，确定对应的工控系统数据报文分析模型。

33、进一步地，所述通过所述展示层将经过所述综合分析溯源操作后得到的综合分析溯源结果输入预设告警模型进行数据分析操作，得到对应的告警信息，包括：

34、通过所述展示层将经过所述综合分析溯源操作后得到的综合分析溯源结果输入预设告警模型确定对应的异常信息；

35、根据所述异常信息和预设告警分类规则，得到对应的告警信息。

36、第二方面，本技术提供一种工控网络攻击事件溯源处理装置，包括：

37、采集处理模块，用于根据所述采集处理层和预设轮询规则进行实时工控网络数据获取操作，确定对应的工控网络数据，将所述工控网络数据根据预设优化分配算法进行数据分配操作，确定对应的数据分配路径，并将所述工控网络数据依据所述数据分配路径进行数据转发，得到对应的工控网络转发数据，其中，采集处理层包括分布式采集探针程序和分布式采集探针设备中的至少一种；

38、综合分析模块，用于通过所述分析处理层接收所述工控网络转发数据，判断所述工控网络转发数据是否与预设指纹特征数据库中的指纹特征匹配，若是，则输出与所述指纹特征对应的第一分析结果并进行综合分析溯源操作，否则，将所述工控网络转发数据输入预设工控系统数据报文分析模型，得到所述工控系统数据报文分析模型输出的第二分析结果并进行综合分析溯源操作，其中，所述指纹特征包括特定字段、字节序列以及统计信息中的至少一种；

39、展示模块，用于通过所述展示层将经过所述综合分析溯源操作后得到的综合分析溯源结果输入预设告警模型进行数据分析操作，得到对应的告警信息，将所述告警信息输出到所述展示层的展示界面进行展示。

40、第三方面，本技术提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现所述的工控网络攻击事件溯源处理方法的步骤。

41、第四方面，本技术提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现所述的工控网络攻击事件溯源处理方法的步骤。

42、第五方面，本技术提供一种计算机程序产品，包括计算机程序/指令，该计算机程序/指令被处理器执行时实现所述的工控网络攻击事件溯源处理方法的步骤。

43、由上述技术方案可知，本技术提供一种工控网络攻击事件溯源处理方法及装置，通过采集处理层和预设轮询规则进行实时工控网络数据获取操作，得到工控网络转发数据，通过分析处理层判断工控网络转发数据是否与预设指纹特征数据库中的指纹特征匹配，若是，则输出与指纹特征对应的第一分析结果并进行综合分析溯源操作，否则，将工控网络转发数据输入预设工控系统数据报文分析模型，得到第二分析结果并进行综合分析溯源操作，通过展示层将综合分析溯源结果输入预设告警模型进行数据分析操作，得到对应的告警信息，由此能够通过分布式数据采集和集中式综合分析进行工控网络攻击事件溯源并进行告警展示，提高工控网络攻击事件溯源的精度和可操作性。