[发明专利]基于可视化的威胁告警展示方法

说明书

本发明公开了一种基于可视化的威胁告警展示方法，包括：对系统中以关键资产为节点的资产信息链条进行实时的威胁监控；当威胁事件触发告警时，确定威胁在资产信息链条中的位置；以预设的判断依据分析威胁的威胁等级，以预设的计算方法计算威胁的安全分数；在网络拓扑图中显示威胁的标识信息以及威胁等级和安全分数；在检测到标识信息被点击时，触发显示威胁的具体节点信息。通过本发明的技术方案，保障了威胁展现的准确性和关联信息的逻辑性，有效地提高了威胁告警事件的处理效率和精准性，从而提高了工业控制系统运行的安全性。

技术领域

本发明涉及信息可视化技术领域，尤其涉及一种基于可视化的威胁告警展示方法。

背景技术

基于可视化的威胁告警展示方法，是对工业控制系统现场网络安全状态的实时呈现，也是对突发异常事件的告警。一旦发生告警，现场监屏人员可立即通知现场维护人员实地检修，并对相关威胁现场进行处理。但在实际情况中，该告警方法还存在一些不足，主要包括：

(1)关联度低。现场网络安全的核心是联网状态下的各个设备、各个分区的安全，所以想要展现网络的安全状态，就需要对设备、分区的安全状态进行展现。但现有系统对于现场设备统计可能存在不全面、不完整。上到各分区、小到各配件，只显示不体现，整体逻辑关联度低。尤其面对大量的现场设备时，大大降低了威胁处理效率。直接阻碍问题的处理效果。

(2)不够直观。即使在完整统计现场设备分区的情况下，现有系统的告警展示信息有时过于冗余，亦或过于专业。用户在初始阶段需要花费大量时间学习和接受培训，一旦发生威胁事件，展示结果也不直观，不利于用户快速锁定重点威胁，使得处理效率降低，用户体验满意度不高。

发明内容

针对上述问题中存在的不足之处，本发明提供了一种基于可视化的威胁告警展示方法，通过对关键资产信息的录入，并以关键资产节点为核心形成线形的资产信息链条，在威胁事件发生时，定位威胁在资产链条的位置，并在网络拓补图中显示，威胁展示同时还会以高中低类显示，涉及设备或分区以安全分数体现安全程度，对当前威胁节点报文深度分析，以五元组信息匹配链条前后节点信息，并以显著标识信息显示，点击标识节点，威胁可视化准确定位，保障威胁展现的准确性和关联信息的逻辑性，有效地提高了威胁告警事件的处理效率和精准性，从而提高了工业控制系统运行的安全性。

为实现上述目的，本发明提供了一种基于可视化的威胁告警展示方法，包括：对系统中以关键资产为节点的资产信息链条进行实时的威胁监控；当威胁事件触发告警时，确定威胁在所述资产信息链条中的位置；以预设的判断依据分析所述威胁的威胁等级，以预设的计算方法计算所述威胁的安全分数；在网络拓扑图中显示所述威胁的标识信息以及所述威胁等级和所述安全分数；在检测到所述标识信息被点击时，触发显示所述威胁的具体节点信息。

在上述技术方案中，优选地，所述当威胁事件触发告警时，确定威胁在所述资产信息链条中的位置具体包括：当威胁事件触发告警时，对节点报文进行深度分析并判断异常的节点报文；根据异常节点报文的五元组结果，确定与所述五元组结果关联的节点信息；根据节点信息确定威胁在所述资产信息链条中的位置。

在上述技术方案中，优选地，所述以预设的判断依据分析所述威胁的威胁等级，以预设的计算方法计算所述威胁的安全分数具体包括：根据所述威胁所在节点的设备或区域的属性，以及预设的设备或区域的属性与威胁等级的对应关系，确定所述威胁的威胁等级；根据所述威胁所在节点的设备或区域的属性，计算所述区域或设备的不同属性的加权平均值作为安全分数。

在上述技术方案中，优选地，所述关键资产包括用户预先录入系统的设备、辖区和厂区，所述资产信息链条为根据现场边界逻辑定义的关系，所述节点信息为用户预先录入系统的所述节点对应的设备、辖区或厂区的具体信息。

在上述技术方案中，优选地，所述网络拓扑图为根据所述资产信息链条的节点信息生成的拓扑结构图。