本申请实施例公开了一种内网渗透过程还原方法和系统,通过捕获攻击事件;根据所述攻击事件获取所述攻击事件对应的流量元数据特征;根据所述攻击事件对应的流量元数据特征基于数据库确定所述攻击事件对应的攻击类别;进一步,基于机器学习组件对所述攻击事件对应的攻击类别进行关联分析和聚类,得到所述攻击事件对应的攻击路径。实现了攻击过程的还原,为防止网络入侵技术提供重要依据。
本发明公开了一种木马文件溯源方法、系统及设备,通过三因子模型分析从多角度、多形态、多层次刻画了木马文件的基因特征,为木马文件溯源提供了更全面、更精准的木马指纹数据,提高了木马文件的分析、识别能力,为木马文件溯源提供了更完备的数据资源。并且与云端黑客指纹档案库联动,能够结合黑客组织的行为习惯,进行木马文件的关联与溯源,拓展了木马文件的分析维度,能够识别隐藏更深、设计更巧的木马文件并溯源。另外,采用多源数据综合评判的木马文件溯源方法,真正实现了多源数据的融合、关联与应用,能够识别高级别、复杂木马样本,具备更精准的判定和溯源能力。
本发明公开了一种基于流量分析的工业防火墙策略自动生成部署方法,管理员登录工业防火墙管理模块;通过策略自动学习配置模块选择学习时长、学习粒度、防护粒度和应用场景条目进行学习;策略自动学习配置模块将管理员配置的学习粒度、应用场景条目下发至智能流量分析模块;智能流量分析模块根据配置条目解析流入工业防火墙的流量,并将解析后的元数据进行储存;策略自动学习配置模块根据设置的学习时长启动定时器模块,定时器超时触发策略生成模块运行;策略生成模块根据管理员配置的防护粒度、应用场景和存储模块中的元数据,利用策略生成算法生成多维度的防护策略并自动部署。本发明解决了现有工业防火墙难以快速应对网络环境变化的问题。
基于动态口令的工业控制设备身份认证方法及装置,工业控制终端发起设备注册请求,由工业控制终端计算本机硬件特征码及设备序列号,并将本机硬件特征码及设备序列号发送给认证服务器;向工业控制终端输入随机授权码,随机授权码由认证服务器对本机硬件特征码及设备序列号进行校验审批通过后产生;工业控制终端获取当前本地时间,工业控制终端根据当前本地时间和第二杂凑值得出第一动态口令;工业控制终端将本机硬件特征码、当前本地时间和第一动态口令发送给认证服务器;工业控制终端接收认证服务器发送的验证结果。本发明由通信双方各自得到种子密钥,保证密钥不经网络传输前提下安全分发;不需要人工参与,提高了身份认证的准确性和安全性。
