(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111402686.3 (22)申请日 2021.11.19 (71)申请人 北京计算机技 术及应用研究所 地址 100080 北京市海淀区永定路51号西 工业区96号楼 (72)发明人 吴桐　宋永立　党增江　高玫　 (74)专利代理 机构 北京凯特来知识产权代理有 限公司 1 1260 代理人 郑立明　陈亮 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/0631(2022.01) H04L 41/14(2022.01) (54)发明名称 一种工业控制网络安全 事件关联分析方法 (57)摘要 本发明公开了一种工业控制网络安全事件 关联分析方法， 首先对典型工业控制网络安全事 件要素进行拆解， 提取工业控制网络安全事件的 关键指标， 并构建工业控制网络安全事件关联指 标体系； 对工业控制网络安全事件关联指标体系 中的各指标进行量化处理； 采用灰色关联度分析 算法建立关联分析模型， 将量化处理后的参考指 标数据序列和新增安全事件数据序列输入所建 立的关联分析模 型， 得到新增安全事件 数据序列 与参考指标数据序列中各个安全事件的关联度 值； 对所得到的关联度值进行排序， 得出新增安 全事件的安全等级。 上述方法能够将各种复杂的 网络安全事件进行充分关联分析， 找出它们之间 的关系， 并去掉冗余， 给出完整的事 件描述。 权利要求书2页 说明书4页 附图1页 CN 114172699 A 2022.03.11 CN 114172699 A 1.一种工业控制网络安全 事件关联分析 方法， 其特 征在于， 所述方法包括： 步骤1、 首先对典型工业控制网络安全事件要素进行拆解， 提取工业控制网络安全事件 的关键指标， 并构建工业控制网络安全 事件关联指标体系， 作为 参考指标； 步骤2、 对所构建的工业控制网络安全事件关联指标体系中的各指标进行量化处理， 将 各指标转换为标准 化输入格式的数据 序列； 步骤3、 采用灰色关联度分析算法建立工业控制网络安全事件关联分析模型， 将量化处 理后的参考指标数据序列和新增安全事件数据序列输入所建立的关联分析模型， 得到新增 安全事件数据序列与参考指标数据序列中各个安全 事件的关联度值； 步骤4、 对所得到的关联度值进行排序， 得出新增安全事件的安全等级， 对用户进行相 应的安全告警。 2.根据权利要求1所述工业控制网络安全事件关联分析方法， 其特征在于， 在步骤1中， 所述典型工业控制网络安全 事件要素包括资产、 威胁、 脆弱点3大类， 其中： 资产是指对组织或攻击者来说具有价值属性的事物， 包括数据、 软件、 硬件、 服务和环 境； 威胁是指对网络及其资产构成潜在破坏的可能性因素， 包括软硬件故障、 物理环境威 胁、 无作为或操作失误、 管理不到位、 恶意代码、 病毒； 脆弱点是指资产本身存在的漏洞或缺点， 能够被攻击者威胁利用从而损害组织利益， 包括物理脆弱性、 网络脆弱性、 系统脆弱性、 应用脆弱性、 管理脆弱性。 3.根据权利要求1所述工业控制网络安全事件关联分析方法， 其特征在于， 在步骤1中， 所构建的工业控制网络安全事件关联指标体系包括3级， 第1级为安全事件关键要素类别， 包括基础要素、 资产要素、 威胁要素和脆弱点要素； 第2级为关键要素的细粒度拆分， 其中基础要素包括事件主体、 发生时间、 事件地址、 事 件位置、 事件情况； 资产要素包括设备厂商、 设备型号、 设备类型、 设备IP、 端口、 协议、 操作 系统、 应用软件； 威胁要素包括恶意代码、 病毒、 物理威胁、 运维威胁； 脆弱点要素包括设备 漏洞、 系统漏洞、 应用软件漏洞、 访问控制漏洞、 管理漏洞； 第3级为关键要素的衍生指标， 包括数据流分布、 告警数量、 告警分布、 攻击事件历史发 生频率、 安全设备数目、 设备状态分布、 开放端口分布、 协议分布、 操作系统分布、 应用软件 分布、 威胁特 征种类、 威胁分布、 漏洞数量及分布、 补丁数量及分布、 安全策略数量及分布。 4.根据权利要求1所述工业控制网络安全事件关联分析方法， 其特征在于， 所述步骤2 的过程具体为： 根据各指标的不同性质分为定性和定量指标， 具体处 理方法如下： 对于定量指标的处理在于实现定量指标的归一化， 把差异较大的数据无量纲化， 采用 min‑max标准化方法将数值映射到[0,1]区间， 其中： 正向指标量 化处理以最小值 为基准， 公式如下： 负向指标量 化处理以最大值 为基准， 公式如下： 权　利　要　求　书 1/2 页 2 CN 114172699 A 2其中vi为转换前的值； vj为转换后的值； vmin是指标样本的最小值； vmax是指标样本的最 大值； 对于定性指标的处理采用最大隶属度的方法来实现， 首先基于语义确定一个评价等级 集合V， 其中的每 个元素都是一个模糊子集； 划分多个范围， 并为每一个范围确定一个真值 来表示； 判断每一个元 素所在的边界范围， 并由此判断该 元素属于哪个模糊子集； 最后将该模糊子集的真值赋予这个元 素。 5.根据权利要求1所述工业控制网络安全事件关联分析方法， 其特征在于， 所述步骤3 的过程具体为： 首先确定工业控制网络安全 事件参考指标数据序列为： T＝[T1,T2,…,Tk]， Tk＝(tk(1),tk(2),…,tk(n))； 其中， k为作为参考指标的安全事件个数； n为指标个数； tk(n)表示第k个参考安全事件 的第n个指标； 参考指标包括工业控制网络中不同等级的典型安全事件及需要作为参考值进行关联 关系判断的安全 事件； 然后定义 新增安全 事件数据序列为： X＝[X1,X2,…,Xm]， 其中Xm＝(xm(1),xm(2),…,xm(n))； 其中， m为新增需要进行分析的安全事件个数； n为指标个数； xm(n)表示第m个新增安全 事件的第n个指标； 对参考指标数据序列和新增安全 事件数据序列进行归一 化处理； 采用灰色关联度分析算法， 计算参考指标数据序列和新增安全事件数据序列的各指标 关联系数， 计算方法如下公式所示： 其中， i＝1,2,…,m， l＝1,2,…,n； ρ 为调节参数， ρ ∈(0,+∞)， ρ 越小， 分辨力越大； 进一步的， 新增安全事件Xi(i＝1,2, …,m)与参考安全事件数据Tk(l)的关联度定义为 如下公式： 由于工业控制网络安全事件日趋复杂， 多个安全事件与某一安全事件的关联度定义为 如下公式： 权　利　要　求　书 2/2 页 3 CN 114172699 A 3