[发明专利]一种工控环境下安全资源汇聚与情报共享的系统及方法

权利要求书

1.一种工控环境下安全资源汇聚与情报共享的系统，其特征在于，包括：厂站侧平台和中心侧平台；

所述厂站侧平台，用于：

采集各安全分区内设备的数据,一部分数据直接传输所述中心侧平台;

接收攻击检测规则，基于所述攻击检测规则对所采集的数据进行边缘计算，并回传攻击检测结果至所述中心侧平台；

接收溯源取证指令，基于所述溯源取证指令对所采集的数据进行边缘计算，并回传取证数据至所述中心侧平台；

所述中心侧平台，包括：规则生成模块和分析模块，用于：

接收所述厂站侧平台直接传输的数据，形成基础数据库；

所述规则生成模块基于联动共享机制，接收威胁情报并对威胁情报进行综合汇聚，形成攻击检测规则；

下发所述攻击检测规则，并接收所述厂站侧平台回传的攻击检测结果；

下发所述溯源取证指令，并接收所述厂站侧平台回传的取证数据；

所述分析模块对所述基础数据库和威胁情报进行综合分析，形成溯源取证指令，并基于接收的取证数据研判攻击威胁程度，还原完整攻击过程。

2.如权利要求1所述的系统，其特征在于，所述厂站侧平台包括：

相对应各安全分区设置的采集器，用于采集各安全分区的数据；

分析服务器，用于接收各安全分区的数据，并基于所匹配的攻击检测规则或溯源取证指令进行边缘计算。

3.如权利要求1所述的系统，其特征在于，所述厂站侧平台与中心侧平台之间进行双向数据交互，传输数据采用支持国密算法的纵向加密设备进行加密。

4.如权利要求1所述的系统，其特征在于，所述厂站侧平台与中心侧平台在数据传输之前应进行双向身份认证，认证通过后进行后续的数据交互。

5.一种工控环境下安全资源汇聚与情报共享的方法，其特征在于，包括：

构建厂站侧平台和中心侧平台；

所述厂站侧平台采集各安全分区内设备的数据,并将一部分数据直接传输所述中心侧平台，在所述中心侧平台形成基础数据库；

所述厂站侧平台接收所述中心侧平台下发的攻击检测规则，基于所述攻击检测规则对所采集的数据进行边缘计算，并回传攻击检测结果至所述中心侧平台；

所述厂站侧平台接收所述中心侧平台下发的溯源取证指令，基于所述溯源取证指令对所采集的数据进行边缘计算，并回传取证数据至所述中心侧平台；

所述中心侧平台基于联动共享机制，接收威胁情报并对威胁情报进行综合汇聚，形成攻击检测规则；

所述中心侧平台对所述基础数据库和威胁情报进行综合分析，形成溯源取证指令，并基于接收的取证数据研判攻击威胁程度，还原完整攻击过程。

6.如权利要求5所述的方法，其特征在于，所述厂站侧平台通过相对应各安全分区设置的采集器，采集各安全分区的数据；

所述厂站侧平台通过分析服务器接收各安全分区的数据，并基于所匹配的攻击检测规则或溯源取证指令进行边缘计算。

7.如权利要求5所述的方法，其特征在于，所述厂站侧平台与中心侧平台之间进行双向数据交互，传输数据采用支持国密算法的纵向加密设备进行加密。

8.如权利要求5所述的方法，其特征在于，所述厂站侧平台与中心侧平台在数据传输之前应进行双向身份认证，认证通过后进行后续的数据交互。