(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211019511.9 (22)申请日 2022.08.24 (65)同一申请的已公布的文献号 申请公布号 CN 115102793 A (43)申请公布日 2022.09.23 (73)专利权人 北京网藤科技有限公司 地址 100070 北京市丰台区科 学城海鹰路8 号院3号楼 A座301 (72)发明人 刘长喜　 (74)专利代理 机构 北京星通盈泰知识产权代理 有限公司 1 1952 专利代理师 黄正奇 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/12(2022.01)(56)对比文件 CN 105429824 A,2016.0 3.23 CN 10481 1437 A,2015.07.2 9 CN 113342594 A,2021.09.0 3 CN 110033174 A,2019.07.19 CN 113992407 A,202 2.01.28 CN 114301705 A,2022.04.08 CN 1094746 07 A,2019.0 3.15 US 202102 9167 A1,2021.01.28 审查员 李婷婷 (54)发明名称 基于日志信息分析的工控网络安全策略匹 配方法和系统 (57)摘要 本发明涉及基于日志信息分析的工控网络 安全策略匹配方法及系统， 其特征在于， 包括以 下步骤： S1： 配置安全策略并生成安全策略配置 文件； S2： 解析工控网络日志信息， 获取工控网络 当前安全风险的场景特征描述集； S3： 将场景特 征描述集与安全策略配置文件的适用性信息进 行匹配， 生成工控网络当前安全风险适用的安全 策略配置文件库； S4： 从安全策略配置文件库中 调取安全策略配置文件， 并解析该安全 策略配置 文件形成安全验证条件； S5： 获取工控网络当前 请求及请求的上下文信息， 并与安全验证条件进 行对比， 做出安全验证结果。 本发明所提供的对 工控网络的日志信息进行解析， 生成工控网络安 全风险场景特征描述集， 从而获取安全验证条 件。 权利要求书3页 说明书7页 附图3页 CN 115102793 B 2022.11.08 CN 115102793 B 1.基于日志信息分析的工控网络安全策略匹配方法， 其特 征在于， 包括以下步骤： S1： 配置安全策略并生成安全策略配置文件； S2： 解析工控网络日志信息， 获取工控网络当前安全风险的场景 特征描述集； S3： 将场景特征描述集与安全策略配置文件的适用性信息进行匹配， 生成工控网络当 前安全风险适用的安全策略配置文件库； S4： 从安全策略配置文件库中调取安全策略配置文件， 并解析该安全策略配置文件形 成安全验证条件； S5： 获取工控 网络当前请求及请求的上下文信 息， 并与安全验证条件进行对比， 做出安 全验证结果。 2.根据权利要求1所述的基于日志信息分析的工控网络安全策略匹配方法， 其特征在 于， 所述S1包括： S11： 配置访问控制策略， 设置工控网络中数据和文件访问请求的安全验证， 以及设置 在通过安全 验证的情况 下对数据和文件的访问范围和时限； S12： 配置资源调用控制策略， 设置工控网络中软件和硬件资源调用请求的安全验证， 以及设置在通过安全 验证的情况 下对软件和硬件资源调用的范围和级别； S13： 配置进程控制策略， 设置工控网络中对于启动应用进程的请求的安全验证， 以及 设置在通过安全 验证的情况 下对应用进程的权限管理。 3.根据权利要求1所述的基于日志信息分析的工控网络安全策略匹配方法， 其特征在 于， 所述S2包括： S21： 获取工控网络当前日志信息， 读取日志信息中的告警事件信息以及其他日志信 息， 并将告警事 件信息类型以及发生频率作为告警统计指标纳入场景 特征描述集； S22： 将每一条其他日志信息所对应事件类型以及发生频率作为其他统计指标， 并与预 设统计指标进行比较； S23： 根据比较结果， 若所述其他统计指标落入了预设统计指标的范围， 则将所述其他 统计指标纳入场景 特征描述集。 4.根据权利要求1所述的基于日志信息分析的工控网络安全策略匹配方法， 其特征在 于， 所述S3包括： S31： 将当前安全风险的场景特征描述集中告警统计指标以及其他统计指标， 与安全策 略配置文件中的适用性信息进行匹配； S32： 在安全策略配置文件中选取与所述告警统计指标以及其他统计指标匹配的安全 策略配置文件， 并生成工控网络当前安全风险适用的安全策略配置文件库。 5.根据权利要求1所述的基于日志信息分析的工控网络安全策略匹配方法， 其特征在 于， 所述步骤S5包括： S51： 通过交 互接口获得面向工控网络的访问请求、 调用请求或者应用进程启动请求； S52： 通过嵌入工控网络操作系统内核的钩子函数拦截所述访问请求、 调用请求或者应 用进程启动请求， 并获取 所述访问请求、 调用请求或者应用进程启动请求的上 下文信息； S53： 将所述访问请求、 调用请求或者应用进程启动请求及其上下文信息， 与步骤S4中 形成的安全 验证条件进行比对， 并做出安全 验证结果。 6.基于日志信息分析的工控网络安全策略匹配系统， 其特 征在于， 包括：权　利　要　求　书 1/3 页 2 CN 115102793 B 2安全策略配置模块， 用于配置安全策略并生成安全策略配置文件； 安全策略解析模块， 用于解析工控网络日志信息， 获取工控网络当前安全风险的场景 特征描述集； 安全策略配置文件库生成模块， 用于将场景特征描述集与安全策略配置文件的适用性 信息进行匹配， 生成工控网络当前安全风险适用的安全策略配置文件库； 安全验证条件生成模块， 用于从安全策略配置文件库中调取安全策略配置文件， 并解 析该安全策略配置文件形成安全 验证条件； 安全验证模块， 用于获取工控网络当前请求及请求的上下文信息， 并与安全验证条件 进行对比， 做出安全 验证结果。 7.根据权利要求6所述的基于日志信息分析的工控网络安全策略匹配系统， 其特征在 于， 所述安全策略配置模块包括： 访问控制策略配置子模块， 用于配置访 问控制策略， 设置工控网络中数据和文件访 问 请求的安全 验证， 以及设置在通过安全 验证的情况 下对数据和文件的访问范围和时限； 资源调用控制策略配置子模块， 用于设置工控 网络中软件和硬件资源调用请求的安全 验证， 以及设置在通过安全 验证的情况 下对软件和硬件资源调用的范围和级别； 进程控制策略配置子模块， 用于设置工控网络中对于启动应用进程的请求的安全验 证， 以及设置在通过安全 验证的情况 下对应用进程的权限管理。 8.根据权利要求6所述的基于日志信息分析的工控网络安全策略匹配系统， 其特征在 于， 所述安全策略解析模块包括： 告警解析子模块， 用于获取工控网络当前日志信息， 读取日志信息中的告警事件信息 以及其他日志信息， 并将告警事件信息类型以及发生频率作为告警统计指标纳 入场景特征 描述集； 日志解析子模块， 用于将每一条其他日志信 息所对应事件类型以及发生频率作为其他 统计指标， 并与预设统计指标进行比较； 场景特征描述集生成子模块， 用于根据比较结果， 若所述其他统计指标落入了预设统 计指标的范围， 则将所述 其他统计指标纳入场景 特征描述集。 9.根据权利要求6所述的基于日志信息分析的工控网络安全策略匹配系统， 其特征在 于， 所述安全策略配置文件库生成模块包括： 安全策略匹配子模块， 用于将当前安全风险的场景特征描述集中告警统计指标以及其 他统计指标， 与安全策略配置文件中的适用性信息进行匹配； 安全策略选取子模块， 用于在安全策略配置文件中选取与所述告警统计指标以及其他 统计指标匹配的安全策略配置文件， 并生成工控网络当前安全风险适用的安全策略配置文 件库。 10.根据权利要求6所述的基于日志信息分析的工控 网络安全策略匹配系统， 其特征在 于， 所述安全验证模块包括： 请求获取子模块， 用于通过交互接口获得面向工控网络的访 问请求、 调用请求或者应 用进程启动请求； 请求拦截子模块， 用于通过嵌入工控网络操作系统内核的钩子函数拦截所述访问请 求、 调用请求或者应用进程启动 请求， 并获取所述访问请求、 调用请求或者应用进程启动请权　利　要　求　书 2/3 页 3 CN 115102793 B 3