一种用于工控情报的处置方法及系统与流程

1.本发明涉及工控网络安全技术领域，更具体地，涉及一种用于工控情报的处置方法及系统。


背景技术：

2.现阶段情报系统多缺乏时效性，对最新的安全事件的捕获能力欠缺，告警数据量大，事件处置不及时。而且很多安全设备的规则策略多是基于ioc的规则(威胁指示器即indicator of compromise，缩写为ioc，其是在检测或取证中，具有高置信度的威胁对象或特征信息。)，基于ioc进行梳理，上线规则耗时耗力，信息比较滞后，且易产生很大的误报，这也在很大程度上增加了分析师人才的工作量，使分析师大量的时间应付这些之前的攻击手段形成的告警，这使得分析过程耗时耗力，产生结果低效，没有应对新型网络攻击的能力，且过多的告警让分析师应接不暇，疲于应对，就会产生很多告警无法研判、漏报现象。
3.因此，如何提供一种用于工控情报的处置方法及系统以将安全分析人员从庞杂的低效耗时工作中解放出来并实现对网络攻击高效快速处理成为本领域亟需解决的技术难题。


技术实现要素：

4.本发明的目的是提供一种用于工控情报的处置方法、系统、电子设备及存储介质。
5.本发明第一方面公开了一种用于工控情报的处置方法，所述方法包括：
6.步骤s1、定时从安全情报网站爬取开源安全情报内容，并对所述开源安全情报内容进行提取处理得到基础情报数据；
7.步骤s2、定时采集工控网络交换机进/出口的流量信息，并对所述流量信息进行提取处理得到待检测数据或者待检测数据和待检测文件；
8.步骤s3、将所述待检测数据与所述基础情报数据进行碰撞处理并记录碰撞命中结果；
9.步骤s4、将所述待检测文件导入到虚拟仿真装置中进行检测，并使用行为监测软件对所述待检测文件的运行过程进行实时监控得到运行过程记录日志，将所述运行过程记录日志与所述虚拟仿真装置中预设规则进行匹配得到文件检测结果；
10.步骤s5、对所述碰撞命中结果和所述文件检测结果进行汇总并分析处理得到威胁文档文件和规则文档文件。
11.根据本发明第一方面的方法，所述步骤s1具体包括：
12.使用爬虫脚本定时从安全情报网站爬取开源安全情报内容；
13.利用python脚本对所述开源安全情报内容进行解析得到内容中的ip、域名、url以及关联信息；
14.将解析得到的url、ip、域名以及关联信息进行分类并存储至情报数据库。
15.根据本发明第一方面的方法，在所述步骤s1中，将解析得到的ip、域名、url以及关
联信息进行分类并存储至情报数据库具体为：将解析得到的ip、域名、url以及关联信息分别存储至所述情报数据库中对应的ip情报表、域名情报表以及url情报表中形成所述基础情报数据。
16.根据本发明第一方面的方法，所述步骤s2具体包括：
17.定时捕获工控网络交换机进/出口的流量信息；
18.对所述流量信息进行还原处理形成ip会话日志和dns会话日志；
19.对所述ip会话日志和所述dns会话日志中的ip、域名以及关联信息进行提取并记录提取得到的信息作为基础数据，提取得到的ip和域名分别放入待检测ip表和待检测域名表中以作为待检测数据；如果所述ip会话日志对应的ip会话流量中存在文件，则对文件进行还原提取以得到待检测文件，并记录所述待检测文件与所述待检测数据中ip和域名之间的关联。
20.根据本发明第一方面的方法，所述步骤s3具体包括：
21.对所述待检测ip表和所述待检测域名表进行去重处理得到去重后的数据，并将去重后的数据与情报数据库中白名单表的数据进行批量匹配以得到去重去白名单后的待检测ip表和待检测域名表，其中，白名单表中存储的是企业自身资产ip、域名以及正常业务链接；
22.分别对去重去白名单后的所述待检测ip表与所述ip情报表，以及去重去白名单后的所述待检测域名表与所述域名情报表进行碰撞处理得到碰撞结果ip表和碰撞结果域名表；
23.在所述情报数据库中遍历查询所述碰撞结果ip表和所述碰撞结果域名表中的数据以补齐命中的ip、域名相关信息形成威胁ip表和威胁域名表，所述威胁ip表和威胁域名表构成所述碰撞命中结果。
24.根据本发明第一方面的方法，所述步骤s4具体包括：
25.将所述待检测文件存入虚拟仿真装置的预设文档中，依次对所述待检测文件进行解压和文件类型识别处理，并对识别后的文件进行遍历分类打包；
26.依据打包后的文件名将打包后的文件传入相应的虚拟仿真环境中；
27.在虚拟仿真环境中将打包文件进行解压并运行，使用行为监测软件实时监控解压后的文件的运行过程，若解压后的文件为可运行文件，则对文件运行过程中调用的进程、线程、访问的系统服务、创建的文件/目录、运行释放的子文件以及子文件运行时的情况进行检测形成运行过程记录日志，并将运行过程记录日志调用的进程、线程、开启的服务、是否有外联链接，是否设置注册表与预设规则进行匹配以生成一个运行报告；若解压后的文件为不可运行文件时，则对文件中的元素进行预设规则特征值匹配生成一个分析报告；
28.对所述运行报告和所述分析报告进行遍历以记录有问题的文件的名称得到可疑文件名称记录表，所述运行报告和所述分析报告和所述可疑文件名称记录表构成所述文件检测结果。
29.根据本发明第一方面的方法，所述步骤s5具体包括：
30.提取所述威胁ip表中的ip和所述威胁域名表中的域名生成列表，并对所述可疑文件名称记录表进行遍历提取得到文件名称，将提取的文件名称与所述基础数据进行匹配，并对匹配到的关联ip和域名与所述威胁ip表、所述威胁域名表中的ip和域名进行关联和新
增，以得到新增的恶意文件或者新的威胁ip表和新的威胁域名表或者新的检测报告文件；
31.对新的威胁ip表和新的威胁域名表中的ip和域名进行提取，并按照第一预设规则模板生成ip规则文档和域名规则文档，其中以ip和域名命名ip规则文档和域名规则文档；对新的检测报告文件中的ioc信息进行提取，提取得到的ip、域名和url链接按照第二预设规则模板形成文件规则文档，其中以ip、域名及url命名文件规则文档；
32.对生成的所述ip规则文档、所述域名规则文档和所述文件规则文档中同名的ip、域名规则进行去重处理形成规则文档文件，并将新的威胁ip表、新的威胁域名表以及新的检测报告文件中提取的ip、域名及url进行去重处理分别形成威胁ip文档、威胁域名文档以及威胁url文档，其中，所述威胁ip文档、所述威胁域名文档以及所述威胁url文档构成威胁文档文件；
33.分别从所述威胁ip文档、所述威胁域名文档以及所述威胁url文档中提取ip、域名和url，并对提取的ip、域名和url进行封禁处理；
34.将新的威胁ip表、新的威胁域名表、检新的测报告文件以及规则文档文件输出至所述情报数据库。
35.本发明第二方面公开了一种用于工控情报的处置系统，所述系统包括：
36.爬取模块，被配置为，定时从安全情报网站爬取开源安全情报内容，并对所述开源安全情报内容进行提取处理得到基础情报数据；
37.采集模块，被配置为，定时采集工控网络交换机进/出口的流量信息，并对所述流量信息进行提取处理得到待检测数据或者待检测数据和待检测文件；
38.碰撞处理模块，被配置为，将所述待检测数据与所述基础情报数据进行碰撞处理并记录碰撞命中结果；
39.检测模块，被配置为，将所述待检测文件导入到虚拟仿真装置中进行检测，并使用行为监测软件对所述待检测文件的运行过程进行实时监控得到运行过程记录日志，将所述运行过程记录日志与所述虚拟仿真装置中预设规则进行匹配得到文件检测结果；
40.分析模块，被配置为，对所述碰撞命中结果和所述文件检测结果进行汇总并分析处理得到威胁文档文件和规则文档文件。
41.本发明第三方面公开了一种电子设备。电子设备包括存储器和处理器，存储器存储有计算机程序，处理器执行计算机程序时，实现本公开第一方面中任一项的一种用于工控情报的处置方法中的步骤。
42.本发明第四方面公开了一种计算机可读存储介质。计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时，实现本公开第一方面中任一项的一种用于工控情报的处置方法中的步骤。
43.根据本发明公开的技术内容，具有如下有益效果：
44.综上，本发明提出的方案能够从根本上解决情报时效性，原生情报捕获能力差，对新兴攻击组织、攻击方式识别能力差的难题，充分发挥“智能 人工”的优势。能及时的自动化的捕获已有的恶意攻击行为，也可以捕获未知的，不确定的攻击行为，大大加强情报捕获，分析能力。从根本上将分析师从大量的误报及大量的反复告警中解放出来，可以有更多时间提升自己，投入到真实、负责的告警研判中去，提高整体的响应效率和服务水平，进而提升客户满意度，为后续服务的开展和业务的推进提供强有力的支持。
45.通过以下参照附图对本发明的示例性实施例的详细描述，本发明的其它特征及其优点将会变得清楚。
附图说明
46.被结合在说明书中并构成说明书的一部分的附图示出了本发明的实施例，并且连同其说明一起用于解释本发明的原理。
47.图1为根据实施例提供的一种用于工控情报的处置方法的流程示意图一；
48.图2未根据实施例提供的一种用于工控情报的处置方法的流程示意图二；
49.图3为根据实施例提供的一种用于工控情报的处置方法的流程示意图三；
50.图4为根据实施例提供的一种用于工控情报的处置方法的流程示意图四；
51.图5为根据实施例提供的一种用于工控情报的处置方法的流程示意图五；
52.图6为根据实施例提供的一种用于工控情报的处置方法的流程示意图六；
53.图7为根据本发明实施例的一种用于工控情报的处置系统的结构图；
54.图8为根据本发明实施例的一种电子设备的结构图。
具体实施方式
55.现在将参照附图来详细描述本发明的各种示例性实施例。应注意到：除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
56.以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本发明及其应用或使用的任何限制。
57.对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为说明书的一部分。
58.在这里示出和讨论的所有例子中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它例子可以具有不同的值。
59.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。
60.实施例1：
61.本发明公开了一种用于工控情报的处置方法。图1为根据本发明实施例的一种用于工控情报的处置方法的流程图，如图1所示，所述方法包括：
62.步骤s1、定时从安全情报网站爬取开源安全情报内容，并对所述开源安全情报内容进行提取处理得到基础情报数据；
63.步骤s2、定时采集工控网络交换机进/出口的流量信息，并对所述流量信息进行提取处理得到待检测数据或者待检测数据和待检测文件；
64.步骤s3、将所述待检测数据与所述基础情报数据进行碰撞处理并记录碰撞命中结果；
65.步骤s4、将所述待检测文件导入到虚拟仿真装置中进行检测，并使用行为监测软件对所述待检测文件的运行过程进行实时监控得到运行过程记录日志，将所述运行过程记录日志与所述虚拟仿真装置中预设规则进行匹配得到文件检测结果；
66.步骤s5、对所述碰撞命中结果和所述文件检测结果进行汇总并分析处理得到威胁文档文件和规则文档文件。
67.在步骤s1中，定时从安全情报网站爬取开源安全情报内容，并对所述开源安全情报内容进行提取处理得到基础情报数据。
68.在一些实施例中，参见图2所示，所述步骤s1具体包括：
69.步骤s11：使用爬虫脚本定时从安全情报网站爬取开源安全情报内容；
70.步骤s12：利用python脚本对所述开源安全情报内容进行解析得到内容中的ip、域名、url以及关联信息；
71.步骤s13：将解析得到的url、ip、域名以及关联信息进行分类并存储至情报数据库。
72.在一些实施例中，在所述步骤s1中，将解析得到的ip、域名、url以及关联信息进行分类并存储至情报数据库具体为：将解析得到的ip、域名、url以及关联信息分别存储至所述情报数据库中对应的ip情报表、域名情报表以及url情报表中形成所述基础情报数据。
73.具体的，本实施例中步骤s1主要是定时的自动化从安全情报网站爬取开源安全情报内容，对其进行提取，主要提取其中的域名、ip、url等数据，存储到情报数据库作为基础情报数据。
74.实施中，使用爬虫脚本以天、周为周期定时自动从各大安全情报网站自动化获取开源安全情报内容，来源如：(1)开源的黑名单网站firehol、sans.edu等；(2)安全资讯类网站上的网络安全研究文章；(3)网络安全情报资讯订阅。之后使用python脚本通过获取具体安全情报内容的下载链接，使用多线程的方式获取安全情报内容，对爬取的内容进行解析，获取内容中的url、ip、域名以及关联信息。最后按照不同的数据种类在情报数据库中创建3张表，分别为ip、域名、url类信息，并为每个不同来源的数据建立索引，高效的存储到情报数据库。对这些数据进行汇总分类，存储到情报库中作为基础情报数据，例如特征：情报ip、域名、url相关的情报，并对来源，更新时间，威胁类型等作记录并存储，分别存储到ip情报表、域名情报表、url情报表。同时可对企业/公司自身资产ip、域名、正常业务链接进行加入白名单操作，并将白名单数据存储到情报数据库白名单表。
75.在步骤s2中，定时采集工控网络交换机进/出口的流量信息，并对所述流量信息进行提取处理得到待检测数据或者待检测数据和待检测文件。
76.在一些实施例中，参见图3所示，所述步骤s2具体包括：
77.步骤s21：定时捕获工控网络交换机进/出口的流量信息；
78.步骤s22：对所述流量信息进行还原处理形成ip会话日志和dns会话日志；
79.步骤s23：对所述ip会话日志和所述dns会话日志中的ip、域名以及关联信息进行提取并记录提取得到的信息作为基础数据，提取得到的ip和域名分别放入待检测ip表和待检测域名表中以作为待检测数据；如果所述ip会话日志对应的ip会话流量中存在文件，则对文件进行还原提取以得到待检测文件，并记录所述待检测文件与所述待检测数据中ip和域名之间的关联。
80.具体的，本实施例的步骤s2主要是定时采集工控网络交换机进/出口流量，对流量进行处理，生成ip会话日志和dns日志格式，并提取出ip，域名作为待检测数据，如果ip会话流量中存在文件，对文件进行提取作为待检测文件，并做好ip、域名与文件的关联记录。
81.实施中，首先定时捕获工控网络交换机进/出口流量信息。之后对流量信息进行还原处理，形成会话日志的格式，如按tcp序列号升序排列，对于tcp头部中确认号码相同的流量数据包进行整合成会话信息；根据协议信息不同，形成不同的协议信息分类；对会话信息进行整合，形成ip会话日志和dns会话日志。接着对流量中的ip、域名及与之关联信息进行提取，如源ip、目的ip、访问时间，访问目录等不限(根据需要设置)对流量中的文件进行提取，并与会话中的ip、域名做好关联记录标识为文件会话关联表，并将提取出的信息记录到ip、域名日志记录表中命名为基础数据。支持将提权的信息放入文档中或excel表格中，并把提取的ip、域名分别放入两个表格中(待检测ip表、待检测域名表)，将提取的文件进行打包存入到指定的文档中，命名为待检测文件。
82.在步骤s3中，将所述待检测数据与所述基础情报数据进行碰撞处理并记录碰撞命中结果。
83.在一些实施例中，参见图4所示，所述步骤s3具体包括：
84.步骤s31：对所述待检测ip表和所述待检测域名表进行去重处理得到去重后的数据，并将去重后的数据与情报数据库中白名单表的数据进行批量匹配以得到去重去白名单后的待检测ip表和待检测域名表，其中，白名单表中存储的是企业自身资产ip、域名以及正常业务链接；
85.步骤s32：分别对去重去白名单后的所述待检测ip表与所述ip情报表，以及去重去白名单后的所述待检测域名表与所述域名情报表进行碰撞处理得到碰撞结果ip表和碰撞结果域名表；
86.步骤s33：在所述情报数据库中遍历查询所述碰撞结果ip表和所述碰撞结果域名表中的数据以补齐命中的ip、域名相关信息形成威胁ip表和威胁域名表，所述威胁ip表和威胁域名表构成所述碰撞命中结果。
87.具体的，本实施例中步骤s3主要是对待检测数据中的ip，域名与情报数据库中的基础情报数据进行碰撞，并记录碰撞命中结果(如果没有命中ip、域名则记录为空/0)。
88.实施中，首先对待检测ip表和待检测域名表进行去重，并将去重后的数据与情报数据库中白名单表中数据进行批量匹配，最终得到去重去白名单后的待检测ip表和待检测域名表。之后去重去除白名单的待检测ip表、、待检测域名表与情报数据库中待检测ip表、待检测域名表分别进行碰撞，输出碰撞结果ip表、碰撞结果域名表。最后在情报数据库遍历查询碰撞结果ip表、碰撞结果域名表中的数据对命中的ip、域名相关信息补齐，形成威胁ip表(ip、所在地、威胁类型、常用攻击手段、可信度、更新时间等)、威胁域名表(域名、威胁类型、关联攻击手段、可信度、更新时间等)。
89.在步骤s4中，将所述待检测文件导入到虚拟仿真装置中进行检测，并使用行为监测软件对所述待检测文件的运行过程进行实时监控得到运行过程记录日志，将所述运行过程记录日志与所述虚拟仿真装置中预设规则进行匹配得到文件检测结果。
90.在一些实施例中，参见图5所示，所述步骤s4具体包括：
91.步骤s41：将所述待检测文件存入虚拟仿真装置的预设文档中，依次对所述待检测文件进行解压和文件类型识别处理，并对识别后的文件进行遍历分类打包；
92.步骤s42：依据打包后的文件名将打包后的文件传入相应的虚拟仿真环境中；
93.步骤s43：在虚拟仿真环境中将打包文件进行解压并运行，使用行为监测软件实时
监控解压后的文件的运行过程，若解压后的文件为可运行文件，则对文件运行过程中调用的进程、线程、访问的系统服务、创建的文件/目录、运行释放的子文件以及子文件运行时的情况进行检测形成运行过程记录日志，并将运行过程记录日志调用的进程、线程、开启的服务、是否有外联链接，是否设置注册表与预设规则进行匹配以生成一个运行报告；若解压后的文件为不可运行文件时，则对文件中的元素进行预设规则特征值匹配生成一个分析报告；
94.步骤s44：对所述运行报告和所述分析报告进行遍历以记录有问题的文件的名称得到可疑文件名称记录表，所述运行报告和所述分析报告和所述可疑文件名称记录表构成所述文件检测结果。
95.具体的，本实施例中步骤s4主要是将待检测文件导入到虚拟仿真装置中，进行检测，并使用行为监测软件对文件运行过程实时监控并形成运行过程记录日志，对日志与虚拟仿真装置中预设规则(恶意行为规则)进行匹配，如有命中，与步骤s2中文件与ip和域名的关联记录进行匹配，获取命中的恶意文件与域名/ip的关联记录，对文件作恶意记录，作为文件检测结果(如果文件无恶意则记录为空/0)。
96.实施中，对待检测文件存入特定的文档中，对文件进行解压，通过文件后缀名对文件类型进行识别，对文件进行遍历分类打包，类型：文本文件，可在windows系统运行.exe、.sys、.com、.bat，可在linux系统elf、.sh等文件，对文件分类打包后进行重命名分为：文本类文件，windows可执行文件，linux系统可执行文件。之后依据打包后的文件名将文件分别传入windows仿真系统、linux仿真系统的特定目录下。虚拟仿真装置可以同时运行至少两个虚拟仿真环境，对虚拟仿真环境依照公司设备进行仿真处理，对主要开放的端口、服务、系统功能配置进行模拟，在虚拟仿真装置中实现对文件运行过程的实时监测，(1)对于可运行的文件，对文件运行过程中调用的进程、线程、访问的系统服务、创建的文件/目录，运行释放的子文件，子文件运行时的情况等进行检测记录形成运行过程记录日志，将运行过程记录日志调用的进程、线程、开启的服务、是否有外联链接，是否设置注册表等与预设规则进行匹配，并对匹配结果进行梳理总结，按照预设模板形成报告，一个文件的运行结果形成一个运行报告，并对预设规则命中的文件和无问题的文件进行分文件储存，分别为：可疑文件和无问题文件；(2)对于不可运行的文件，对文件中的元素进行预设规则特征值匹配，如有命中，则进行记录，预设规则不限于：文件中有可疑链接地址、可疑ioc、可疑的特征值元素等，对文件分析结果按照预设模板形成报告，一个文件的分析结果形成一个分析报告，将命中规则的文件分析报告和无命中规则的文件分析报告分包储存，分别为可疑文档文件和无问题文档文件。对虚拟仿真装置中特定目录下的文件检测报告文件导出，并对导出的文件进行遍历，对有问题的文件的名称进行记录，命名为：可疑文件名称记录表，其中表中的文件名称和导入虚拟仿真装置时的名称要一致。
97.在步骤s5中，对所述碰撞命中结果和所述文件检测结果进行汇总并分析处理得到威胁文档文件和规则文档文件。
98.在一些实施例中，参见图6所示，所述步骤s5具体包括：
99.步骤s51：提取所述威胁ip表中的ip和所述威胁域名表中的域名生成列表，并对所述可疑文件名称记录表进行遍历提取得到文件名称，将提取的文件名称与所述基础数据进行匹配，并对匹配到的关联ip和域名与所述威胁ip表、所述威胁域名表中的ip和域名进行
关联和新增，以得到新增的恶意文件或者新的威胁ip表和新的威胁域名表或者新的检测报告文件；
100.步骤s52：对新的威胁ip表和新的威胁域名表中的ip和域名进行提取，并按照第一预设规则模板生成ip规则文档和域名规则文档，其中以ip和域名命名ip规则文档和域名规则文档；对新的检测报告文件中的ioc信息进行提取，提取得到的ip、域名和url链接按照第二预设规则模板形成文件规则文档，其中以ip、域名及url命名文件规则文档；
101.步骤s53：对生成的所述ip规则文档、所述域名规则文档和所述文件规则文档中同名的ip、域名规则进行去重处理形成规则文档文件，并将新的威胁ip表、新的威胁域名表以及新的检测报告文件中提取的ip、域名及url进行去重处理分别形成威胁ip文档、威胁域名文档以及威胁url文档，其中，所述威胁ip文档、所述威胁域名文档以及所述威胁url文档构成威胁文档文件；
102.步骤s54：分别从所述威胁ip文档、所述威胁域名文档以及所述威胁url文档中提取ip、域名和url，并对提取的ip、域名和url进行封禁处理；
103.步骤s55：将新的威胁ip表、新的威胁域名表、检新的测报告文件以及规则文档文件输出至所述情报数据库。
104.具体的，本实施例中步骤s5主要是对步骤s3和步骤s4的结果数据进行分析汇总，以不同的需要做处理，生成威胁报告输出，生成规则文档。并可联动防火墙进行恶意ioc封禁。
105.实施中，首先对碰撞结果威胁ip表、威胁域名表中的ip、域名进行提取形成列表；对可疑文件名称记录表进行遍历，提取出文件名称，将提取的文件名称与基础数据进行匹配，对匹配到的关联ip和域名与威胁ip表、威胁域名表中的ip和域名进行关联新增，(1)即对已存在于威胁ip、域名表中的ip和域名，在其表中新增一列恶意文件，对恶意文件信息进行记录；(2)对于文件关联ip和域名不存在于威胁ip、域名表中的，可在表中新增关联ip、域名和可疑文件的信息在威胁ip，域名表中做新增；形成新的威胁ip表、新的威胁域名表；(3)对检测报告文件进行关联ip、域名信息补全，如果已有恶意记录的ip，域名，则在报告中新增详细的ip，域名记录信息；如果没有记录的ip、域名，则新增ip和域名信息；新增ip，域名后形成新的检测报告文件。之后(1)对新的威胁ip表1、新的威胁域名表1中的ip和域名进行提取，按照预设的规则模板进行生成ip、域名规则存储到规则文件1中(一条规则生成一个文档，以ip和域名为规则文档名)；(2)对新的检测报告文件中的ioc信息进行提取，ip、域名、url链接等按照预设的规则模板形成规则存储到规则文件2中(一条规则生成一个文档，以ip、域名、url等为规则文档名)；(3)对规则文件1和规则文件2中同名的ip、域名规则去除重复项，保留唯一值，形成规则文档文件。(4)将新的威胁ip表、新的威胁域名表、新的检测报告文件中的ip、域名、url进行提取，去重，形成威胁ip文档、威胁域名文档、威胁url文档。最后，利用自动化程序，登陆防火墙，(1)登陆ip封禁页面，读取威胁ip文档，将ip提取封禁，在封禁之前需要弹框提醒，需要管理员确认，管理员可以通过查询情报数据库或者文件检测报告来对封禁ip进行确认(30分钟未确认，则进行自动封禁，并做封禁记录。)。(2)登陆域名封禁页面，读取威胁域名文档，将域名提取封禁，在封禁之前需要弹框提醒，需要管理员确认，管理员可以通过查询情报数据库或者文件检测报告来对封禁ip进行确认(30分钟未确认，则进行自动封禁，并做封禁记录。)。(3)登陆url封禁页面，读取威胁url文档，将url提
取封禁，在封禁之前需要弹框提醒，需要管理员确认，管理员可以通过查询情报数据库或者文件检测报告来对封禁ip进行确认(30分钟未确认，则进行自动封禁，并做封禁记录。)。将新的威胁ip表、新的威胁域名表、新的检测报告文件、和规则文档文件输出。对于检测报告文件关联的ip、域名、url发送至情报数据库，完成更新。(1)对于没有记录的ip、域名、url按照表中格式进行新增。(2)对于有记录的ip、域名、url，则对其进行增量更新。
106.综上，本发明提出的方案能够从根本上解决情报时效性，原生情报捕获能力差，对新兴攻击组织、攻击方式识别能力差的难题，充分发挥“智能 人工”的优势。能及时的自动化的捕获已有的恶意攻击行为，也可以捕获未知的，不确定的攻击行为，大大加强情报捕获，分析能力。从根本上将分析师从大量的误报及大量的反复告警中解放出来，可以有更多时间提升自己，投入到真实、负责的告警研判中去，提高整体的响应效率和服务水平，进而提升客户满意度，为后续服务的开展和业务的推进提供强有力的支持。
107.实施例2：
108.本发明公开了一种用于工控情报的处置系统。图7为根据本发明实施例的一种用于工控情报的处置系统的结构图；如图7所示，所述系统100包括：
109.爬取模块101，被配置为，定时从安全情报网站爬取开源安全情报内容，并对所述开源安全情报内容进行提取处理得到基础情报数据；
110.采集模块102，被配置为，定时采集工控网络交换机进/出口的流量信息，并对所述流量信息进行提取处理得到待检测数据或者待检测数据和待检测文件；
111.碰撞处理模块103，被配置为，将所述待检测数据与所述基础情报数据进行碰撞处理并记录碰撞命中结果；
112.检测模块104，被配置为，将所述待检测文件导入到虚拟仿真装置中进行检测，并使用行为监测软件对所述待检测文件的运行过程进行实时监控得到运行过程记录日志，将所述运行过程记录日志与所述虚拟仿真装置中预设规则进行匹配得到文件检测结果；
113.分析模块105，被配置为，对所述碰撞命中结果和所述文件检测结果进行汇总并分析处理得到威胁文档文件和规则文档文件。
114.在一些实施例中，所述爬取模块101具体包括：
115.情报自动化获取单元，被配置为使用爬虫脚本定时从安全情报网站爬取开源安全情报内容；
116.数据提取分析单元，被配置为利用python脚本对所述开源安全情报内容进行解析得到内容中的ip、域名、url以及关联信息；
117.基础情报库存储单元，被配置为将解析得到的url、ip、域名以及关联信息进行分类并存储至情报数据库。
118.实施中，情报自动化获取单元使用爬虫脚本以天、周为周期定时自动从各大情报网站自动化获取网络安全情报数据，数据来源如：(1)开源的黑名单网站firehol、sans.edu等，(2)安全资讯类网站上的网络安全研究文章；(3)网络安全情报资讯订阅。数据提取分析单元，对爬取的数据和订阅数据使用自动化脚本进行提取，提取ip、域名、链接及关联信息等数据，对提取的数据汇总分类。使用python脚本通过获取具体安全情报文件的下载链接，使用多线程的方式获取安全情报文件，对爬取的文件进行解析，获取文件中的url、ip、域名以及关联信息。基础情报库存储单元按照不同的数据种类对在数据库中创建3张表，分别为
ip、域名、url类信息，并为每个不同来源的数据建立索引，高效的存储到情报数据库。对这些数据进行汇总分类，存储到情报数据库中作为基础情报数据。特征：情报ip、域名、url相关的情报，并对来源，更新时间，威胁类型等作记录并存储，分别存储到ip情报表、域名情报表、url情报表。对公司自身资产ip、域名、正常业务链接进行加入白名单，并将白名单数据存储到情报数据库白名单表。
119.在一些实施例中，所述采集模块102具体包括：
120.流量捕获单元，被配置为定时捕获工控网络交换机进/出口的流量信息；
121.流量还原单元，被配置为对所述流量信息进行还原处理形成ip会话日志和dns会话日志；
122.流量提取单元，被配置为对所述ip会话日志和所述dns会话日志中的ip、域名以及关联信息进行提取并记录提取得到的信息作为基础数据，提取得到的ip和域名分别放入待检测ip表和待检测域名表中以作为待检测数据；如果所述ip会话日志对应的ip会话流量中存在文件，则对文件进行还原提取以得到待检测文件，并记录所述待检测文件与所述待检测数据中ip和域名之间的关联。
123.实施中，流量捕获单元定时捕获工控网络交换机进/出口流量信息。流量还原单元对流量信息进行还原处理，形成会话日志的格式，特征：按tcp序列号升序排列，对于tcp头部中确认号码相同的流量数据包进行整合成会话信息；根据协议信息不同，形成不同的协议信息分类；对会话信息进行整合，形成ip会话日志和dns会话日志。流量提取单元对流量中的ip、域名及与之关联信息进行提取，特征：源ip、目的ip、访问时间，访问目录等不限(根据需要设置)对流量中的文件进行提取，并与会话中的ip、域名做好关联记录标识为文件会话关联表，并将提取出的信息记录到ip、域名日志记录表中命名为基础数据。支持将提权的信息放入文档中或excel表格中。并把提取的ip、域名分别放入两个表格中(待检测ip表、待检测域名表)，将提取的文件进行打包存入到指定的文档中，命名为待检测文件。待数据提取完毕，将基础数据、待检测ip表、待检测域名表发送至自动化碰撞单元，将待检测文件发送至虚拟仿真装置。将基础数据发送至分析模块。
124.在一些实施例中，所述碰撞处理模块103具体包括：
125.自动化数据梳理单元，被配置为对所述待检测ip表和所述待检测域名表进行去重处理得到去重后的数据，并将去重后的数据与情报数据库中白名单表的数据进行批量匹配以得到去重去白名单后的待检测ip表和待检测域名表，其中，白名单表中存储的是企业自身资产ip、域名以及正常业务链接；
126.自动化碰撞单元，被配置为分别对去重去白名单后的所述待检测ip表与所述ip情报表，以及去重去白名单后的所述待检测域名表与所述域名情报表进行碰撞处理得到碰撞结果ip表和碰撞结果域名表；
127.碰撞结果梳理单元，被配置为在所述情报数据库中遍历查询所述碰撞结果ip表和所述碰撞结果域名表中的数据以补齐命中的ip、域名相关信息形成威胁ip表和威胁域名表，所述威胁ip表和威胁域名表构成所述碰撞命中结果。
128.实施中，自动化数据梳理单元：对接收到待检测ip表，待检测域名表进行去重，并将去重后的数据与情报库中白名单表中数据进行批量匹配，最终得到去重去白名单的待检测ip表、待检测域名表。自动化碰撞单元去重去除白名单的待检测ip表和待检测域名表与
情报库数据库中的ip、域名分别进行碰撞，输出碰撞结果ip表、碰撞结果域名表。碰撞结果梳理单元在情报数据库遍历查询碰撞结果ip表、碰撞结果域名表中的数据对命中的ip、域名相关信息补齐，形成威胁ip表(ip、所在地、威胁类型、常用攻击手段、可信度、更新时间等)、威胁域名表(域名、威胁类型、关联攻击手段、可信度、更新时间等)。并将威胁ip表、威胁域名表发送至分析模块。
129.在一些实施例中，所述检测模块104具体包括：
130.文件类型识别分包单元，被配置为将所述待检测文件存入虚拟仿真装置的预设文档中，依次对所述待检测文件进行解压和文件类型识别处理，并对识别后的文件进行遍历分类打包；
131.文件打包上传虚拟仿真装置单元，被配置为依据打包后的文件名将打包后的文件传入相应的虚拟仿真环境中；
132.虚拟仿真装置，被配置为在虚拟仿真环境中将打包文件进行解压并运行，使用行为监测软件实时监控解压后的文件的运行过程，若解压后的文件为可运行文件，则对文件运行过程中调用的进程、线程、访问的系统服务、创建的文件/目录、运行释放的子文件以及子文件运行时的情况进行检测形成运行过程记录日志，并将运行过程记录日志调用的进程、线程、开启的服务、是否有外联链接，是否设置注册表与预设规则进行匹配以生成一个运行报告；若解压后的文件为不可运行文件时，则对文件中的元素进行预设规则特征值匹配生成一个分析报告；
133.检测结果导出单元，被配置为对所述运行报告和所述分析报告进行遍历以记录有问题的文件的名称得到可疑文件名称记录表，所述运行报告和所述分析报告和所述可疑文件名称记录表构成所述文件检测结果。
134.实施中，文件类型识别分包单元对接收到的待检测文件存入特定的文档中，对文件进行解压，通过文件后缀名对文件类型进行识别，对文件进行遍历分类打包，类型：文本文件，可在windows系统运行.exe、.sys、.com、.bat，可在linux系统elf、.sh等文件，对文件分类打包后进行重命名分为：文本类文件，windows可执行文件，linux系统可执行文件。文件打包上传虚拟仿真装置单元主要作用就是依据打包后的文件名将文件分别传入windows仿真系统、linux仿真系统的特定目录下。虚拟仿真装置：此装置可以同时运行至少两个虚拟仿真系统，对虚拟仿真系统依照公司设备进行仿真处理，对主要开放的端口、服务、系统功能配置进行模拟，在虚拟仿真装置中实现对文件运行过程的实时监测，(1)对于可运行的文件，对文件运行过程中调用的进程、线程、访问的系统服务、创建的文件/目录，运行释放的子文件，子文件运行时的情况等进行检测记录形成运行过程记录日志，将运行过程记录日志调用的进程、线程、开启的服务、是否有外联链接，是否设置注册表等与预设规则进行匹配，并对匹配结果进行梳理总结，按照预设模板形成报告，一个文件的运行结果形成一个运行报告，并对预设规则命中的文件和无问题的文件进行分文件储存，分别为：可疑文件和无问题文件；(2)对于不可运行的文件，对文件中的元素进行预设规则特征值匹配，如有命中，则进行记录，预设规则不限于：文件中有可疑链接地址、可疑ioc、可疑的特征值元素等，对文件分析结果按照预设模板形成报告，一个文件的分析结果形成一个分析报告，将命中规则的文件分析报告和无命中规则的文件分析报告分包储存，分别为可疑文档文件和无问题文档文件。检测结果导出单元：对虚拟仿真装置中特定目录下的文件检测报告文件导出，
并对导出的文件进行遍历，对有问题的文件的名称进行记录，命名为：可疑文件名称记录表，其中表中的文件名称和导入虚拟仿真装置时的名称要一致，便于分析模块使用。将导出的检测报告文件和可疑文件名称记录表发送至分析模块。
135.在一些实施例中，所述分析模块105具体包括：
136.数据分析单元，被配置为提取所述威胁ip表中的ip和所述威胁域名表中的域名生成列表，并对所述可疑文件名称记录表进行遍历提取得到文件名称，将提取的文件名称与所述基础数据进行匹配，并对匹配到的关联ip和域名与所述威胁ip表、所述威胁域名表中的ip和域名进行关联和新增，以得到新增的恶意文件或者新的威胁ip表和新的威胁域名表或者新的检测报告文件；
137.规则生成单元，被配置为对新的威胁ip表和新的威胁域名表中的ip和域名进行提取，并按照第一预设规则模板生成ip规则文档和域名规则文档，其中以ip和域名命名ip规则文档和域名规则文档；对新的检测报告文件中的ioc信息进行提取，提取得到的ip、域名和url链接按照第二预设规则模板形成文件规则文档，其中以ip、域名及url命名文件规则文档；
138.数据汇总单元，被配置为对生成的所述ip规则文档、所述域名规则文档和所述文件规则文档中同名的ip、域名规则进行去重处理形成规则文档文件，并将新的威胁ip表、新的威胁域名表以及新的检测报告文件中提取的ip、域名及url进行去重处理分别形成威胁ip文档、威胁域名文档以及威胁url文档，其中，所述威胁ip文档、所述威胁域名文档以及所述威胁url文档构成威胁文档文件；
139.威胁情报封禁单元，被配置为分别从所述威胁ip文档、所述威胁域名文档以及所述威胁url文档中提取ip、域名和url，并对提取的ip、域名和url进行封禁处理；
140.威胁情报输出单元，被配置为将新的威胁ip表、新的威胁域名表、检新的测报告文件以及规则文档文件输出至所述情报数据库。
141.实施中，数据分析单元对接收到的数据进行分析，对接收到的碰撞结果威胁ip表、威胁域名表中的ip、域名进行提取以列表的形式分别发送规则生成单元；对接收到的可疑文件名称记录表进行遍历，提取出文件名称，将提取的文件名称与接收到的基础数据进行匹配，对匹配到的关联ip和域名与威胁ip表、威胁域名表中的ip和域名进行关联新增，(1)即对已存在于威胁ip、域名表中的ip和域名，在其表中新增一列恶意文件，对恶意文件信息进行记录；(2)对于文件关联ip和域名不存在于威胁ip、域名表中的，可在表中新增关联ip、域名和可疑文件的信息在威胁ip，域名表中做新增；形成新的威胁ip表、新的威胁域名表；(3)对检测报告文件进行关联ip、域名信息补全，如果已有恶意记录的ip，域名，则在报告中新增详细的ip，域名记录信息；如果没有记录的ip、域名，则新增ip和域名信息；新增ip，域名后形成新的检测报告文件。规则生成单元用于(1)对新的威胁ip表、新的威胁域名表中的ip和域名进行提取，按照预设规则模板进行生成ip、域名规则存储到规则文件1中(一条规则生成一个文档，以ip和域名为规则文档名)；(2)对检测报告文件中的ioc信息进行提取，ip、域名、url链接等按照预设规则模板形成规则存储规则文件2中(一条规则生成一个文档，以ip、域名、url等为规则文档名)。数据汇总单元对规则文件1和规则文件2中同名的ip、域名规则去除重复项，保留唯一值，形成规则文档文件。将新的威胁ip表、新的威胁域名表、新的检测报告文件中的ip、域名、url进行提取，去重，形成威胁ip文档、威胁域名文档、威胁
url文档，并将这些文档发送至威胁情报封禁单元。威胁情报封禁单元利用自动化程序，登陆防火墙，(1)登陆ip封禁页面，读取威胁ip文档，将ip提取封禁，在封禁之前需要弹框提醒，需要管理员确认，管理员可以通过查询情报数据库或者文件检测报告来对封禁ip进行确认(30分钟未确认，则进行自动封禁，并做封禁记录。)。(2)登陆域名封禁页面，读取威胁域名文档，将域名提取封禁，在封禁之前需要弹框提醒，需要管理员确认，管理员可以通过查询情报数据库或者文件检测报告来对封禁ip进行确认(30分钟未确认，则进行自动封禁，并做封禁记录。)。(3)登陆url封禁页面，读取威胁url文档，将url提取封禁，在封禁之前需要弹框提醒，需要管理员确认，管理员可以通过查询情报数据库或者文件检测报告来对封禁ip进行确认(30分钟未确认，则进行自动封禁，并做封禁记录。)。威胁情报输出单元：将新的威胁ip表、新的威胁域名表、新的检测报告文件以及规则文档文件输出。对于检测报告文件关联的ip、域名、url发送至情报数据库，完成更新。对于没有记录的ip、域名、url按照表中格式进行新增。对于有记录的ip、域名、url，则对其进行增量更新。
142.综上所述，本发明提出的方案将从根本上解决情报时效性，原生情报捕获能力差，对新兴攻击组织、攻击方式识别能力差的难题，充分发挥“智能 人工”的优势。能及时的自动化的捕获已有的恶意攻击行为，也可以捕获未知的，不确定的攻击行为，大大加强情报捕获，分析能力。从根本上将分析师从大量的误报及大量的反复告警中解放出来，可以有更多时间提升自己，投入到真实、负责的告警研判中去，提高整体的响应效率和服务水平，进而提升客户满意度，为后续服务的开展和业务的推进提供强有力的支持。该系统的建设也是对能源行业智能化、自动化转型的一项尝试与创新。通过此系统以点带面，验证此系统在面对复杂且数量巨大的数据时究竟能够带来哪些变化。若试点成功，将大大提高各大企业情报捕获能力、情报梳理能力，也将推动企业从被动防御跨步到主动防御的环节。可以及时获取新型组织、新型攻击手段、攻击工具等画像，提高我司向各服务客户提供情报的能力和服务质量。进一步向能源行业尤其是我司用户进行推广，为我司开拓新业务的同时也符合国家现阶段政策对于能源行业提质增效的要求。
143.实施例3：
144.本发明公开了一种电子设备。电子设备包括存储器和处理器，存储器存储有计算机程序，处理器执行计算机程序时，实现本发明公开实施例1中任一项的一种用于工控情报的处置方法中的步骤。
145.图8为根据本发明实施例的一种电子设备的结构图，如图8所示，电子设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中，该电子设备的处理器用于提供计算和控制能力。该电子设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该电子设备的通信接口用于与外部的终端进行有线或无线方式的通信，无线方式可通过wifi、运营商网络、近场通信(nfc)或其他技术实现。该电子设备的显示屏可以是液晶显示屏或者电子墨水显示屏，该电子设备的输入装置可以是显示屏上覆盖的触摸层，也可以是电子设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。
146.本领域技术人员可以理解，图8中示出的结构，仅仅是与本公开的技术方案相关的部分的结构图，并不构成对本技术方案所应用于其上的电子设备的限定，具体的电子设备
可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
147.实施例4：
148.本发明公开了一种计算机可读存储介质。计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时，实现本发明的实施例1中任一项的一种用于工控情报的处置方法中的步骤。
149.请注意，以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。以上实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术专利的保护范围应以所附权利要求为准。
150.本说明书中描述的主题及功能操作的实施例可以在以下中实现：数字电子电路、有形体现的计算机软件或固件、包括本说明书中公开的结构及其结构性等同物的计算机硬件、或者它们中的一个或多个的组合。本说明书中描述的主题的实施例可以实现为一个或多个计算机程序，即编码在有形非暂时性程序载体上以被数据处理装置执行或控制数据处理装置的操作的计算机程序指令中的一个或多个模块。可替代地或附加地，程序指令可以被编码在人工生成的传播信号上，例如机器生成的电、光或电磁信号，该信号被生成以将信息编码并传输到合适的接收机装置以由数据处理装置执行。计算机存储介质可以是机器可读存储设备、机器可读存储基板、随机或串行存取存储器设备、或它们中的一个或多个的组合。
151.本说明书中描述的处理及逻辑流程可以由执行一个或多个计算机程序的一个或多个可编程计算机执行，以通过根据输入数据进行操作并生成输出来执行相应的功能。所述处理及逻辑流程还可以由专用逻辑电路—例如fpga(现场可编程门阵列)或asic(专用集成电路)来执行，并且装置也可以实现为专用逻辑电路。
152.适合用于执行计算机程序的计算机包括，例如通用和/或专用微处理器，或任何其他类型的中央处理单元。通常，中央处理单元将从只读存储器和/或随机存取存储器接收指令和数据。计算机的基本组件包括用于实施或执行指令的中央处理单元以及用于存储指令和数据的一个或多个存储器设备。通常，计算机还将包括用于存储数据的一个或多个大容量存储设备，例如磁盘、磁光盘或光盘等，或者计算机将可操作地与此大容量存储设备耦接以从其接收数据或向其传送数据，抑或两种情况兼而有之。然而，计算机不是必须具有这样的设备。此外，计算机可以嵌入在另一设备中，例如移动电话、个人数字助理(pda)、移动音频或视频播放器、游戏操纵台、全球定位系统(gps)接收机、或例如通用串行总线(usb)闪存驱动器的便携式存储设备，仅举几例。
153.适合于存储计算机程序指令和数据的计算机可读介质包括所有形式的非易失性存储器、媒介和存储器设备，例如包括半导体存储器设备(例如eprom、eeprom和闪存设备)、磁盘(例如内部硬盘或可移动盘)、磁光盘以及cd rom和dvd-rom盘。处理器和存储器可由专用逻辑电路补充或并入专用逻辑电路中。
154.虽然本说明书包含许多具体实施细节，但是这些不应被解释为限制任何发明的范
围或所要求保护的范围，而是主要用于描述特定发明的具体实施例的特征。本说明书内在多个实施例中描述的某些特征也可以在单个实施例中被组合实施。另一方面，在单个实施例中描述的各种特征也可以在多个实施例中分开实施或以任何合适的子组合来实施。此外，虽然特征可以如上所述在某些组合中起作用并且甚至最初如此要求保护，但是来自所要求保护的组合中的一个或多个特征在一些情况下可以从该组合中去除，并且所要求保护的组合可以指向子组合或子组合的变型。
155.类似地，虽然在附图中以特定顺序描绘了操作，但是这不应被理解为要求这些操作以所示的特定顺序执行或顺次执行、或者要求所有例示的操作被执行，以实现期望的结果。在某些情况下，多任务和并行处理可能是有利的。此外，上述实施例中的各种系统模块和组件的分离不应被理解为在所有实施例中均需要这样的分离，并且应当理解，所描述的程序组件和系统通常可以一起集成在单个软件产品中，或者封装成多个软件产品。
156.由此，主题的特定实施例已被描述。其他实施例在所附权利要求书的范围以内。在某些情况下，权利要求书中记载的动作可以以不同的顺序执行并且仍实现期望的结果。此外，附图中描绘的处理并非必需所示的特定顺序或顺次顺序，以实现期望的结果。在某些实现中，多任务和并行处理可能是有利的。
157.以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。
158.虽然已经通过例子对本发明的一些特定实施例进行了详细说明，但是本领域的技术人员应该理解，以上例子仅是为了进行说明，而不是为了限制本发明的范围。本领域的技术人员应该理解，可在不脱离本发明的范围和精神的情况下，对以上实施例进行修改。本发明的范围由所附权利要求来限定。