CN109962916A - 一种基于多属性的工业互联网安全态势评价方法 - Google Patents

Abstract

本发明涉及一种基于多属性的工业互联网安全态势评价方法，包括目标工业互联网相关软硬件构建，对国际互联网关口的网络流量进行监测分析，以每个目标地区Web资产合集为目标、得到目标地区Web资产的安全威胁指标，以每个地区硬件以及相关系统合集为目标、得到目标地区的硬件以及相关系统的安全威胁指标，根据每个目标地区的工业互联网相关协议端口被扫描次数、得出所有目标地区的综合安全威胁评价指标。上述技术方案中提供的基于多属性的工业互联网安全态势评价方法，有效解决了现有工业互联网安全态势评价技术局限于客观评价或主观评价的造成的权值系数不合理、决策准确性和可靠性稍差的问题，有效提高了工业互联网安全态势评价的水平和准确性。

Description

一种基于多属性的工业互联网安全态势评价方法

技术领域

本发明涉及互联网基础资源测量领域，具体涉及一种基于多属性的工业互联网安全态势评价方法。

背景技术

在工业互联网安全态势评价方面，通常的方法是分别对不同行业和区域的工控设备进行多属性综合评价。多属性综合评价方法是一种参照多个评价指标对各个评价对象进行综合评价的方法。其中，权值的合理确定会直接影响评价结果的准确性。目前权值的确定大体可以分为两类：客观赋权法和主观赋权法。客观赋权法，例如标准差法、离差最大化法，熵权法等，是没有评价者的任何主观信息，只利用评价对象各指标的数值，通过建立一定的数学模型计算出权值系数，其缺点是忽视了评价者的主观知识与经验等主观偏好信息，有时会出现权值系数不合理的现象。主观赋权法，例如层次分析法、专家调查法、AHP法等，是基于评价者给出的主观偏好信息或评价者直接根据经验给出权值系数，其可以体现评价者的经验判断，属性的相对重要程度一般不会违反人们的常识，但其随意性较大，决策准确性和可靠性稍差。因此，亟需设计一种新的技术方案，以综合解决现有技术存在的问题。

发明内容

本发明的目的是提供一种基于多属性的工业互联网安全态势评价方法，其能有效解决现有的客观赋权法会出现权值系数不合理现象以及主观赋权法随意性大、决策准确性和可靠性差的问题。

为解决上述技术问题，本发明采用了以下技术方案：

一种基于多属性的工业互联网安全态势评价方法，包括以下步骤：

步骤1：目标工业互联网相关软硬件构建，在网络测量的基础上，从工业互联网测量数据、IP属性信息数据、网络安全数据库中，得到所有目标区域的工业互联网相关软硬件集合，每个目标地区的Web资产集合记为E_i，设备以及相关系统集合记为H_i；

步骤2：对国际互联网关口的网络流量进行监测分析，对目标地区工业互联网相关协议端口进行监测，为期一周，只要有针对相关协议端口的扫描行为，就判定该目标地区被扫描，记录目标地区的工业互联网相关协议端口被扫描次数，对每个目标地区的被扫描次数采用最大最小标量化处理方法后记为A_i；

步骤3：以步骤1获取的每个目标地区Web资产合集为目标，进行安全巡检，记录每个Web资产存在的安全漏洞进行归类与统计分析，得到目标地区的Web资产的安全威胁指标B_i；

步骤4：以步骤1获取的每个地区硬件以及相关系统合集为目标，在CNVD漏洞库中进行检索汇总，获得每个目标区域的硬件以及相关系统的相关漏洞，得到目标地区的硬件以及相关系统的安全威胁指标C_i；

步骤5：根据每个目标地区的工业互联网相关协议端口被扫描次数记为A_i，Web资产的安全威胁指标B_i，硬件以及相关系统的安全威胁指标C_i，构建所有目标地区工业互联网的Web资产安全威胁评价指标B，设备安全威胁评价指标C，然后给出所有目标地区的综合安全威胁评价指标D。

其中，步骤1中，目标地区i的Web资产集合记为设备以及相关系统集合记为

步骤2中，所有目标地区i∈{1,2,...,M}，设工业互联网相关协议端口集合X＝{x₁,x₂,...,x_m}，地区i的端口x_j的被扫描次数为目标地区的被扫描次数则每个目标地区的工业互联网相关协议端口被扫描次数：

步骤3中，设地区i的Web资产的安全威胁评分为表示Web资产的漏洞威胁等级，则地区i的Web资产安全威胁指标：

公式(2)中取值为1表示该Web资产只存在低危漏洞，3表示存在中危漏洞，不存在高危漏洞，5表示存在高危漏洞。

步骤4中，设地区i的设备或相关系统的安全威胁评分表示设备或相关系统的漏洞威胁等级，则地区i的设备和相关系统安全威胁指标：

公式(3)中取值为1表示该设备和相关系统只存在低危漏洞，3表示存在中危漏洞，不存在高危漏洞，5表示存在高危漏洞。

步骤5中，所有地区的目标工业互联网的Web资产的安全威胁评价指标B＝{B₁,B₂,...,B_M}，所有区域的设备或相关系统的安全威胁评价指标C＝{C₁,C₂,...,C_M}；所有目标地区i的综合安全威胁评价指标，目标地区i的综合安全威胁评价指标D_i为：

上述技术方案中提供的基于多属性的工业互联网安全态势评价方法，通过工业互联网的多属性测量、评价的方式获取工业互联网测量数据后进行分析，提出多属性的工业互联网安全态势评价方法，解决现有工业互联网安全态势评价技术局限于客观评价或主观评价的造成的权值系数不合理、决策准确性和可靠性稍差的问题，能够有效提高工业互联网安全态势评价的水平和准确性。

附图说明

图1为工业互联网相关软硬件的系统结构图；

图2为对所有目标地区的被扫描次数采用最大最小标量化处理方法的实施流程图；

图3为单个目标地区Web资产的安全威胁指标测量实施流程图；

图4单个目标地区硬件以及相关系统的安全威胁指标测量实施流程图；

图5为检测到发生被扫描行为次数的省市排行；

图6为我国各个省份电力互联网的综合安全威胁指数排名。

具体实施方式

为了使本发明的目的及优点更加清楚明白，以下结合实施例对本发明进行具体说明。应当理解，以下文字仅仅用以描述本发明的一种或几种具体的实施方式，并不对本发明具体请求的保护范围进行严格限定。

本发明采取的技术方案如图1～6所示，一种基于多属性的工业互联网安全态势评价方法，包括以下步骤：

步骤1：目标工业互联网相关软硬件构建，在网络测量的基础上，从工业互联网测量数据、IP属性信息数据、网络安全数据库中，得到所有目标区域的工业互联网相关软硬件集合，每个目标地区的Web资产集合记为E_i，设备以及相关系统集合记为H_i；如图1所示，其为工业互联网相关软硬件包含的四层，将硬件层和操作系统层作为设备以及相关系统，将应用支持软件和业务应用作为Web资产；

步骤2：对国际互联网关口的网络流量进行监测分析，对目标地区工业互联网相关协议端口进行监测，为期一周，只要有针对相关协议端口的扫描行为，就判定该目标地区被扫描，记录目标地区的工业互联网相关协议端口被扫描次数，对每个目标地区的被扫描次数采用最大最小标量化处理方法后记为A_i；

步骤3：以步骤1获取的每个目标地区Web资产合集为目标，进行安全巡检，记录每个Web资产存在的安全漏洞进行归类与统计分析，得到目标地区的Web资产的安全威胁指标B_i；

步骤4：以步骤1获取的每个地区硬件以及相关系统合集为目标，在CNVD漏洞库中进行检索汇总，获得每个目标区域的硬件以及相关系统的相关漏洞，得到目标地区的硬件以及相关系统的安全威胁指标C_i；

步骤5：根据每个目标地区的工业互联网相关协议端口被扫描次数记为A_i，Web资产的安全威胁指标B_i，硬件以及相关系统的安全威胁指标C_i，构建所有目标地区工业互联网的Web资产安全威胁评价指标B，设备安全威胁评价指标C，然后给出所有目标地区的综合安全威胁评价指标D。

其中，步骤1中，目标地区i的Web资产集合记为设备以及相关系统集合记为

步骤2中，所有目标地区i∈{1,2,...,M}，设工业互联网相关协议端口集合X＝{x₁,x₂,...,x_m}，地区i的端口x_j的被扫描次数为目标地区的被扫描次数则每个目标地区的工业互联网相关协议端口被扫描次数：

步骤3中，设地区i的Web资产的安全威胁评分为表示Web资产的漏洞威胁等级，则地区i的Web资产安全威胁指标：

公式(2)中取值为1表示该Web资产只存在低危漏洞，3表示存在中危漏洞，不存在高危漏洞，5表示存在高危漏洞。

步骤4中，设地区i的设备或相关系统的安全威胁评分表示设备或相关系统的漏洞威胁等级，则地区i的设备和相关系统安全威胁指标：

公式(3)中取值为1表示该设备和相关系统只存在低危漏洞，3表示存在中危漏洞，不存在高危漏洞，5表示存在高危漏洞。

步骤5中，所有地区的目标工业互联网的Web资产的安全威胁评价指标B＝{B₁,B₂,...,B_M}，所有区域的设备或相关系统的安全威胁评价指标C＝{C₁,C₂,...,C_M}；所有目标地区i的综合安全威胁评价指标，目标地区i的综合安全威胁评价指标D_i为：

图2、图3、图4分别为对所有目标地区的被扫描次数采用最大最小标量化处理方法的实施流程图、单个目标地区Web资产的安全威胁指标测量实施流程图、单个目标地区硬件以及相关系统的安全威胁指标测量实施流程图。

另外实施过程中电力行业互联网探测到电力行业Web资产有21个系统存在各种类型的安全漏洞，硬件以及相关系统的相关漏洞总计157条，其中高危漏洞60条、中危漏洞64条以及低危漏洞4条。对国际互联网关口捕获的网络流量进行分析，累计检测到针对于中国境内IEC-104协议设备的扫描行为3500772次，图5检测到发生被扫描行为次数的省市排行。我国各个省份电力互联网的综合安全威胁指数排名如图6所示。

上面结合附图对本发明的实施方式作了详细说明，但是本发明并不限于上述实施方式，对于本技术领域的普通技术人员来说，在获知本发明中记载内容后，在不脱离本发明原理的前提下，还可以对其作出若干同等变换和替代，这些同等变换和替代也应视为属于本发明的保护范围。

Claims (6)

1.一种基于多属性的工业互联网安全态势评价方法，其特征在于，包括以下步骤：

步骤1：目标工业互联网相关软硬件构建，在网络测量的基础上，从工业互联网测量数据、IP属性信息数据、网络安全数据库中，得到所有目标区域的工业互联网相关软硬件集合，每个目标地区的Web资产集合记为E_i，设备以及相关系统集合记为H_i；

步骤2：对国际互联网关口的网络流量进行监测分析，对目标地区工业互联网相关协议端口进行监测，为期一周，只要有针对相关协议端口的扫描行为，就判定该目标地区被扫描，记录目标地区的工业互联网相关协议端口被扫描次数，对每个目标地区的被扫描次数采用最大最小标量化处理方法后记为A_i；

步骤3：以步骤1获取的每个目标地区Web资产合集为目标，进行安全巡检，记录每个Web资产存在的安全漏洞进行归类与统计分析，得到目标地区的Web资产的安全威胁指标B_i；

步骤4：以步骤1获取的每个地区硬件以及相关系统合集为目标，在CNVD漏洞库中进行检索汇总，获得每个目标区域的硬件以及相关系统的相关漏洞，得到目标地区的硬件以及相关系统的安全威胁指标C_i；

步骤5：根据每个目标地区的工业互联网相关协议端口被扫描次数记为A_i，Web资产的安全威胁指标B_i，硬件以及相关系统的安全威胁指标C_i，构建所有目标地区工业互联网的Web资产安全威胁评价指标B，设备安全威胁评价指标C，然后给出所有目标地区的综合安全威胁评价指标D。

2.根据权利要求1所述的基于多属性的工业互联网安全态势评价方法，其特征在于：步骤1中，目标地区i的Web资产集合记为设备以及相关系统集合记为

3.根据权利要求1所述的基于多属性的工业互联网安全态势评价方法，其特征在于：步骤2中，所有目标地区i∈{1,2,...,M}，设工业互联网相关协议端口集合X＝{x₁,x₂,...,x_m}，地区i的端口x_j的被扫描次数为目标地区的被扫描次数则每个目标地区的工业互联网相关协议端口被扫描次数：

4.根据权利要求1所述的基于多属性的工业互联网安全态势评价方法，其特征在于：步骤3中，设地区i的Web资产的安全威胁评分为表示Web资产的漏洞威胁等级，则地区i的Web资产安全威胁指标：

公式(2)中取值为1表示该Web资产只存在低危漏洞，3表示存在中危漏洞，不存在高危漏洞，5表示存在高危漏洞。

5.根据权利要求1所述的基于多属性的工业互联网安全态势评价方法，其特征在于：步骤4中，设地区i的设备或相关系统的安全威胁评分表示设备或相关系统的漏洞威胁等级，则地区i的设备和相关系统安全威胁指标：

公式(3)中取值为1表示该设备和相关系统只存在低危漏洞，3表示存在中危漏洞，不存在高危漏洞，5表示存在高危漏洞。

6.根据权利要求1所述的基于多属性的工业互联网安全态势评价方法，其特征在于：步骤5中，所有地区的目标工业互联网的Web资产的安全威胁评价指标B＝{B₁,B₂,...,B_M}，所有区域的设备或相关系统的安全威胁评价指标C＝{C₁,C₂,...,C_M}；所有目标地区i的综合安全威胁评价指标，目标地区i的综合安全威胁评价指标D_i为：