一种基于多属性的工业互联网安全评估方法及系统
技术领域
本发明提出了一种基于多属性的工业互联网安全评估方法及系统,属于网络安全技术领域。
背景技术
信息技术的广泛应用和网络空间的快速发展,极大促进了社会的繁荣进步,但是,信息化发展过程中,信息安全问题日益突出,比如,病毒感染,非法入侵,暴力破解和拒绝服务供给等情况频繁发生。为了防患未然,实现对网络安全进行预测评估,根据安全的危害程度采取相应的防护措施,可以有效减少资产损失。
工业互联网是全球工业系统与高级计算、分析、感应技术以及互联网连接融合的一种结果。工业互联网的本质是通过开放的、全球化的工业级网络平台把设备、生产线、工厂、供应商、产品和客户紧密地连接和融合起来,高效共享工业经济中的各种要素资源,从而通过自动化、智能化的生产方式降低成本、增加效率,帮助制造业延长产业链,推动制造业转型发展。当前针对工业互联网的安全网络评估通常以单机为单位进行网络评估,但是完全忽略了互联网属性信息,同时过分依赖于评估人员主观判断,导致工业互联网整体的安全评估的结果不够准确。
发明内容
本发明提供了一种基于多属性的工业互联网安全评估方法及系统,用以解决现有工业互联网安全评估结果准确率较低,与实际网络安全结果偏差过大。。的问题,所采取的技术方案如下:
一种基于基于多属性的工业互联网安全评估方法,所述方法包括:
根据IP属性信息的不同,对目标工业互联网的网络设备和主机进行分类,获得与IP属性信息相对应的网络数据集合,其中,所述网络数据集合包括IP属性信息相对应的多个网络设备和主机;
以网络数据集合为单位,根据网络设备在对应互联网系统中的使用频率,确定每个网络设备的关键度,并根据关键度的大小对应对每个网络数据集合中所包含的网络设备进行排序;
按照网络设备的排序,依次对各个网络设备和主机进行安全评估,并获得所述各个网络设备和主机的安全评估结果;
利用所述各个网络设备和主机的安全评估结果,获取工业互联网的整体安全评估结果。
进一步地,所述以网络数据集合为单位,根据网络设备在对应互联网系统中的使用频率,确定每个网络设备的关键度,并根据关键度的大小对应对每个网络数据集合中所包含的网络设备进行排序,包括;
利用单位时间内,一个网络数据集合中的网络设备使用次数进行记录,并根据使用次数获取使用频率;
利用一个网络数据集合中的主机个数构建关键度系数矩阵,所述关键度系数矩阵为:
其中,m表示一个网络数据集合中的主机的个数,
表示主机和网络设备关联度,并且
表示第i个主机与第j个网络设备之间的关联度,i=1,2,3,……,m;j=1,2,3,……,n,并
且
满足如下条件:当第i个主机与第j个网络设备之间关联时,
=1;当第i个主机与第j
个网络设备之间没有关联时,
=0;
利用所述使用频率和关键度系数矩阵获取一个网络数据集合中每个网络设备的关键度,其中,关键度表示为:
其中,P表示网络设备的关键度矩阵,并且P=[p 1,p 2……,p n];p 1,p 2……,p n分别为每个网络设备的关键度,F表示网络设备的使用频率矩阵,其中,F=[f 1,f 2……,f n];f 1,f 2……,f n分别为每个网络设备的使用频率;
按照关键度从大到小的顺序对一个网络数据集合中的网络设备进行排序。
进一步地,所述对各个网络设备和主机进行安全评估的评估要素包括:网络漏洞数目及等级、网络设备访问主流安全网站的频率、网络数据流入量、抗攻击能力和流出子网络数据包目的的IP分布。
进一步地,所述按照网络设备的排序,依次对各个网络设备和主机进行安全评估,并获得所述各个网络设备和主机的安全评估结果,包括:
按照网络设备的排序,依次扫描网络设备以及所述网络设备对应的主机及网络系统的漏洞数目,并根据漏洞数目进行安全等级划分;根据漏洞数目和所述漏洞数目对应的安全等级进行安全评估,获得针对网络漏洞数目及等级的安全评估结果;
实时扫描网络设备访问主流安全网站的次数,根据访问主流安全网站的次数获取网络设备访问主流安全网站的频率;根据访问主流安全网站的频率进行安全评估,获得针对网络设备访问主流安全网站的频率的安全评估结果;
实时监测网络设备对应的主机的网络数据流入量,根据检测到的网络数据流入量进行安全评估,获得针对主机的网络数据流入量的安全评估结果;
确定一个网络数据集合中安装有网络防病毒系统的主机数量,根据安装有网络防病毒系统的主机数量进行安全评估,获得针对抗攻击能力的安全评估结果;
检测流出子网络数据包目的的IP地址,根据所述流出子网络数据包目的的IP地址确定流出子网络数据包目的的IP分布区域,根据所述IP分布区域的数量对网络的安全性进行评估,获取针对流出子网络数据包目的的IP分布的评估结果。
进一步地,所述利用所述各个网络设备和主机的安全评估结果,获取工业互联网的整体安全评估结果,包括:
利用如下公式计算安全评估值:
其中,H表示安全评估值,C 1、C 2、C 3、C 4和C 5表示评估系数,C 1取值范围为0.1-0.25,C 2取值范围为0.15-0.20;C 3取值范围为0.15-0.35;C 4取值范围为0.1-0.30;C 5取值范围为0.1-0.20,且,C 1+C 2+C 3+C 4+C 5=1;S表示网络漏洞数目对应的等级,S取值为1,2,3;Q表示漏洞数目;R t 表示针对网络设备访问主流安全网站的频率的安全评估等级,R t 取值1,2,3;W k 表示第k个主机对应的网络数据流入量;y表示安装有网络防病毒系统的主机数量;R s 表示针对流出子网络数据包目的的IP分布的安全评估等级,A表示IP分布区域个数;
将安全评估值与预设的安全评估阈值进行比较,如果安全评估值超过所述安全评估阈值,且,所述各个网络设备和主机的安全评估结果中有三个及三个以上的安全评估结果为安全等级,则评估确定所述目标工业互联网为安全的,否则,则评估所述目标工业互联网存在网络安全风险。
一种基于多属性的工业互联网安全评估系统,所述系统包括:
网络数据集合获取模块,用于根据IP属性信息的不同,对目标工业互联网的网络设备和主机进行分类,获得与IP属性信息相对应的网络数据集合,其中,所述网络数据集合包括IP属性信息相对应的多个网络设备和主机;
关键度获取模块,用于以网络数据集合为单位,根据网络设备在对应互联网系统中的使用频率,确定每个网络设备的关键度,并根据关键度的大小对应对每个网络数据集合中所包含的网络设备进行排序;
评估模块,用于按照网络设备的排序,依次对各个网络设备和主机进行安全评估,并获得所述各个网络设备和主机的安全评估结果;
评估结果获取模块,用于利用所述各个网络设备和主机的安全评估结果,获取工业互联网的整体安全评估结果。
进一步地,所述关键度获取模块包括;
使用频率获取模块,用于利用单位时间内,一个网络数据集合中的网络设备使用次数进行记录,并根据使用次数获取使用频率;
矩阵获取模块,用于利用一个网络数据集合中的主机个数构建关键度系数矩阵;
关键度计算模块,用于利用所述使用频率和关键度系数矩阵获取一个网络数据集合中每个网络设备的关键度;
排序模块,用于按照关键度从大到小的顺序对一个网络数据集合中的网络设备进行排序。
进一步地,所述对各个网络设备和主机进行安全评估的评估要素包括:网络漏洞数目及等级、网络设备访问主流安全网站的频率、网络数据流入量、抗攻击能力和流出子网络数据包目的的IP分布。
进一步地,所述评估模块包括:
漏洞数目评估模块,用于按照网络设备的排序,依次扫描网络设备以及所述网络设备对应的主机及网络系统的漏洞数目,并根据漏洞数目进行安全等级划分;根据漏洞数目和所述漏洞数目对应的安全等级进行安全评估,获得针对网络漏洞数目及等级的安全评估结果;
访问频率评估模块,用于实时扫描网络设备访问主流安全网站的次数,根据访问主流安全网站的次数获取网络设备访问主流安全网站的频率;根据访问主流安全网站的频率进行安全评估,获得针对网络设备访问主流安全网站的频率的安全评估结果;
数据流入量评估模块,用于实时监测网络设备对应的主机的网络数据流入量,根据检测到的网络数据流入量进行安全评估,获得针对主机的网络数据流入量的安全评估结果;
抗攻击能力评估模块,用于确定一个网络数据集合中安装有网络防病毒系统的主机数量,根据安装有网络防病毒系统的主机数量进行安全评估,获得针对抗攻击能力的安全评估结果;
IP分布安全评估模块,用于检测流出子网络数据包目的的IP地址,根据所述流出子网络数据包目的的IP地址确定流出子网络数据包目的的IP分布区域,根据所述IP分布区域的数量对网络的安全性进行评估,获取针对流出子网络数据包目的的IP分布的评估结果。
进一步地,所述评估结果获取模块包括:
安全评估值获取模块,用于利用安全评估值模型计算安全评估值,其中,安全评估值模型如下:
其中,H表示安全评估值,C 1、C 2、C 3、C 4和C 5表示评估系数,C 1取值范围为0.1-0.25,C 2取值范围为0.15-0.20;C 3取值范围为0.15-0.35;C 4取值范围为0.1-0.30;C 5取值范围为0.1-0.20,且,C 1+C 2+C 3+C 4+C 5=1;S表示网络漏洞数目对应的等级,S取值为1,2,3;Q表示漏洞数目;R t 表示针对网络设备访问主流安全网站的频率的安全评估等级,R t 取值1,2,3;W k 表示第k个主机对应的网络数据流入量;y表示安装有网络防病毒系统的主机数量;R s 表示针对流出子网络数据包目的的IP分布的安全评估等级,A表示IP分布区域个数;
目标工业互联网评估结果获取模块,用于将安全评估值与预设的安全评估阈值进行比较,如果安全评估值超过所述安全评估阈值,且,所述各个网络设备和主机的安全评估结果中有三个及三个以上的安全评估结果为安全等级,则评估确定所述目标工业互联网为安全的,否则,则评估所述目标工业互联网存在网络安全风险。
本发明有益效果:
本发明提出的一种基于多属性的工业互联网安全评估方法及系统,通过工业互联网的IP属性信息进行分类,能够有效针对不同IP属性的互联网设备分别进行安全势态评估,有效提高整个工业互联网安全势态评估的综合结果的准确性。同时,利用网络设备使用频率与关键度系数矩阵相结合的方式获取网络设备的关键度,能够在以IP属性信息为基础的对应的网络数据集合中有效筛选出对目标工业互联网安全势态评估起到关键性作用的网络设备,在此基础之上,以网络设备关键度为优先条件,对网络设备以及对应主机进行安全评估,同时解决了现有互联网安全势态评估过分依赖于主观评价造成的安全评估偏差,能够有效提高安全评估的准确性。
附图说明
图1为本发明所述方法的流程图;
图2为本发明所述系统的系统框图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
本发明提供了一种基于多属性的工业互联网安全评估方法及系统,用以解决现有工业互联网安全评估结果准确率较低,与实际网络安全结果不符的问题。
本发明实施例提出一种基于基于多属性的工业互联网安全评估方法,如图1所示,所述方法包括:
S1、根据IP属性信息的不同,对目标工业互联网的网络设备和主机进行分类,获得与IP属性信息相对应的网络数据集合,其中,所述网络数据集合包括IP属性信息相对应的多个网络设备和主机;
S2、以网络数据集合为单位,根据网络设备在对应互联网系统中的使用频率,确定每个网络设备的关键度,并根据关键度的大小对应对每个网络数据集合中所包含的网络设备进行排序;
S3、按照网络设备的排序,依次对各个网络设备和主机进行安全评估,并获得所述各个网络设备和主机的安全评估结果;
S4、利用所述各个网络设备和主机的安全评估结果,获取工业互联网的整体安全评估结果。
上述技术方案的工作原理为:首先,根据IP属性信息的不同,对目标工业互联网的网络设备和主机进行分类,获得与IP属性信息相对应的网络数据集合,其中,所述网络数据集合包括IP属性信息相对应的多个网络设备和主机;然后,以网络数据集合为单位,根据网络设备在对应互联网系统中的使用频率,确定每个网络设备的关键度,并根据关键度的大小对应对每个网络数据集合中所包含的网络设备进行排序;随后,按照网络设备的排序,依次对各个网络设备和主机进行安全评估,并获得所述各个网络设备和主机的安全评估结果;最后,利用所述各个网络设备和主机的安全评估结果,获取工业互联网的整体安全评估结果。
上述技术方案的效果为:通过工业互联网的IP属性信息进行分类,能够有效针对不同IP属性的互联网设备分别进行安全势态评估,有效提高整个工业互联网安全势态评估的综合结果的准确性。同时,利用网络设备使用频率与关键度系数矩阵相结合的方式获取网络设备的关键度,能够在以IP属性信息为基础的对应的网络数据集合中有效筛选出对目标工业互联网安全势态评估起到关键性作用的网络设备,在此基础之上,以网络设备关键度为优先条件,对网络设备以及对应主机进行安全评估,同时解决了现有互联网安全势态评估过分依赖于主观评价造成的安全评估偏差,能够有效提高安全评估的准确性。
本发明的一个实施例,所述以网络数据集合为单位,根据网络设备在对应互联网系统中的使用频率,确定每个网络设备的关键度,并根据关键度的大小对应对每个网络数据集合中所包含的网络设备进行排序,包括;
S201、利用单位时间内,一个网络数据集合中的网络设备使用次数进行记录,并根据使用次数获取使用频率;
S202、利用一个网络数据集合中的主机个数构建关键度系数矩阵,所述关键度系数矩阵为:
其中,m表示一个网络数据集合中的主机的个数,
表示主机和网络设备关联度,并且
表示第i个主机与第j个网络设备之间的关联度,i=1,2,3,……,m;j=1,2,3,……,n,并
且
满足如下条件:当第i个主机与第j个网络设备之间关联时,
=1;当第i个主机与第j
个网络设备之间没有关联时,
=0;
S203、利用所述使用频率和关键度系数矩阵获取一个网络数据集合中每个网络设备的关键度,其中,关键度表示为:
其中,P表示网络设备的关键度矩阵,并且P=[p 1,p 2……,p n];p 1,p 2……,p n分别为每个网络设备的关键度,F表示网络设备的使用频率矩阵,其中,F=[f 1,f 2……,f n];f 1,f 2……,f n分别为每个网络设备的使用频率;
S204、按照关键度从大到小的顺序对一个网络数据集合中的网络设备进行排序。
上述技术方案的工作原理为:利用网络设备使用频率与关键度系数矩阵相结合的方式获取网络设备的关键度,能够在以IP属性信息为基础的对应的网络数据集合中有效筛选出对目标工业互联网安全势态评估起到关键性作用的网络设备,在此基础之上,以网络设备关键度为优先条件,对网络设备以及对应主机进行安全评估。
上述技术方案的效果为:通过使用频率和关键度系数矩阵相结合的方式获取网络设备的关键度,能够快速、精准的筛选出对目标互联网的安全势态评估起到关键作用的网络设备;提高重要网络设备的筛选效率和筛选准确性,同时,解决了现有互联网安全势态评估过分依赖于主观评价造成的安全评估偏差,能够有效提高安全评估的准确性。
本发明的一个实施例,所述对各个网络设备和主机进行安全评估的评估要素包括:网络漏洞数目及等级、网络设备访问主流安全网站的频率、网络数据流入量、抗攻击能力和流出子网络数据包目的的IP分布。
其中,所述按照网络设备的排序,依次对各个网络设备和主机进行安全评估,并获得所述各个网络设备和主机的安全评估结果,包括:
S301、按照网络设备的排序,依次扫描网络设备以及所述网络设备对应的主机及网络系统的漏洞数目,并根据漏洞数目进行安全等级划分;根据漏洞数目和所述漏洞数目对应的安全等级进行安全评估,获得针对网络漏洞数目及等级的安全评估结果;
S302、实时扫描网络设备访问主流安全网站的次数,根据访问主流安全网站的次数获取网络设备访问主流安全网站的频率;根据访问主流安全网站的频率进行安全评估,获得针对网络设备访问主流安全网站的频率的安全评估结果;
S303、实时监测网络设备对应的主机的网络数据流入量,根据检测到的网络数据流入量进行安全评估,获得针对主机的网络数据流入量的安全评估结果;
S304、确定一个网络数据集合中安装有网络防病毒系统的主机数量,根据安装有网络防病毒系统的主机数量进行安全评估,获得针对抗攻击能力的安全评估结果;
S305、检测流出子网络数据包目的的IP地址,根据所述流出子网络数据包目的的IP地址确定流出子网络数据包目的的IP分布区域,根据所述IP分布区域的数量对网络的安全性进行评估,获取针对流出子网络数据包目的的IP分布的评估结果。
上述技术方案的工作原理为:分别针对每个IP属性信息对应的网络数据集合中,以及网络数据集中网络设备排序进行网络漏洞数目及等级、网络设备访问主流安全网站的频率、网络数据流入量、抗攻击能力和流出子网络数据包目的的IP分布的安全评估。
其中,针对网络漏洞数目及等级的安全评估结果中,根据网络漏洞数目来划分等级,例如,当漏洞数目为0-3个时,网络漏洞数目及等级的安全评估结果为三级安全等级(最高安全级别);当漏洞数目为4-8个时,网络漏洞数目及等级的安全评估结果为二级安全等级(次高安全级别),当漏洞数目超过8个时,网络漏洞数目及等级的安全评估结果为一级安全等级(最低安全级别)。同时,在针对网络设备访问主流安全网站的频率的安全评估过程中,根据实际情况预先设置访问频率阈值,访问频率越高安全等级越高,最终根据访问频率的大小确定安全等级,该安全等级同样分为三个安全级别,三级安全等级为最高安全级别,二级安全等级为次高安全级别,一级安全等级为最低安全级别。
针对主机的网络数据流入量的评估过程中,安全评价标准为随着主机的网络数据流入量的增加,安全评估等级随之降低。在评估过程中,根据网络应用环境和实际应用情况,预先设置两级主机的网络数据流入量阈值,根据主机的网络数据流入量与预设阈值之间的比较来确定最终的安全评估等级,所述安全评估等级同样分为三个安全级别,并且三个安全级别的级别属性与上述安全级别属性相同。
针对抗攻击能力,在网络数据集合中,安装有网络防病毒系统的主机数量占主机总数量的比例越高,安全等级越高。具体的,安装有网络防病毒系统的主机数量占主机总数量的98%——100%,则确定为三级安全等级,安装有网络防病毒系统的主机数量占主机总数量的95%——98%,则确定为二级安全等级,安装有网络防病毒系统的主机数量占主机总数量的比例低于95%,则确定为一级安全等级。
在流出子网络数据包目的的IP分布的评估过程中,随着IP分布区域的数量增加,安全级别随之减少,在评估过程中,根据网络应用环境和实际应用情况,预先设置两级IP区域分布数量阈值,根据检测到的实际IP分布数量与预设阈值之间的比较来确定最终的安全评估等级,所述安全评估等级同样分为三个安全级别,并且三个安全级别的级别属性与上述安全级别属性相同。
上述技术方案的效果为:上述安全评估过程中的评估元素能够显著体现网络安全性能;同时,通过上述评估过程能够有效提高目标工业互联网的安全势态评估准确性。
本发明的一个实施例,所述利用所述各个网络设备和主机的安全评估结果,获取工业互联网的整体安全评估结果,包括:
利用如下公式计算安全评估值:
其中,H表示安全评估值,C 1、C 2、C 3、C 4和C 5表示评估系数,C 1取值范围为0.1-0.25,C 2取值范围为0.15-0.20;C 3取值范围为0.15-0.35;C 4取值范围为0.1-0.30;C 5取值范围为0.1-0.20,且,C 1+C 2+C 3+C 4+C 5=1;S表示网络漏洞数目对应的等级,S取值为1,2,3;Q表示漏洞数目;R t 表示针对网络设备访问主流安全网站的频率的安全评估等级,R t 取值1,2,3;W k 表示第k个主机对应的网络数据流入量;y表示安装有网络防病毒系统的主机数量;R s 表示针对流出子网络数据包目的的IP分布的安全评估等级,A表示IP分布区域个数;
将安全评估值与预设的安全评估阈值进行比较,如果安全评估值超过所述安全评估阈值,且,所述各个网络设备和主机的安全评估结果中有三个及三个以上的安全评估结果为安全等级,则评估确定所述目标工业互联网为安全的,否则,则评估所述目标工业互联网存在网络安全风险。
上述技术方案的工作原理为:分别利用评估元素中的各评估结果和元素对目标工业网络的整体安全进行评估,获得最终的整体安全势态评估结果。
上述技术方案的效果为:利用各评估元素评估过程中获得的指标数据进行安全评估值的计算,获得的安全评估值更加符合目标工业互联网的真实安全势态情况,能够有效提高安全势态评估的准确性。同时,利用安全评估值与各评估元素的评估结果相结合的方式来获得最终的互联网整体安全评估结果,能够有效避免因过分依赖于主观评价造成的安全评估偏差,使安全势态评估结果更加符合实际互联网整体的客观真实情况。
本发明实施例提出了一种基于多属性的工业互联网安全评估系统,如图2所示,所述系统包括:
网络数据集合获取模块,用于根据IP属性信息的不同,对目标工业互联网的网络设备和主机进行分类,获得与IP属性信息相对应的网络数据集合,其中,所述网络数据集合包括IP属性信息相对应的多个网络设备和主机;
关键度获取模块,用于以网络数据集合为单位,根据网络设备在对应互联网系统中的使用频率,确定每个网络设备的关键度,并根据关键度的大小对应对每个网络数据集合中所包含的网络设备进行排序;
评估模块,用于按照网络设备的排序,依次对各个网络设备和主机进行安全评估,并获得所述各个网络设备和主机的安全评估结果;
评估结果获取模块,用于利用所述各个网络设备和主机的安全评估结果,获取工业互联网的整体安全评估结果。
上述技术方案的工作原理为:首先,利用网络数据集合获取模块根据IP属性信息的不同,对目标工业互联网的网络设备和主机进行分类,获得与IP属性信息相对应的网络数据集合,其中,所述网络数据集合包括IP属性信息相对应的多个网络设备和主机;然后,通过关键度获取模块以网络数据集合为单位,根据网络设备在对应互联网系统中的使用频率,确定每个网络设备的关键度,并根据关键度的大小对应对每个网络数据集合中所包含的网络设备进行排序;随后,采用评估模块按照网络设备的排序,依次对各个网络设备和主机进行安全评估,并获得所述各个网络设备和主机的安全评估结果;最后,通过评估结果获取模块利用所述各个网络设备和主机的安全评估结果,获取工业互联网的整体安全评估结果。
上述技术方案的效果为:通过工业互联网的IP属性信息进行分类,能够有效针对不同IP属性的互联网设备分别进行安全势态评估,有效提高整个工业互联网安全势态评估的综合结果的准确性。同时,利用网络设备使用频率与关键度系数矩阵相结合的方式获取网络设备的关键度,能够在以IP属性信息为基础的对应的网络数据集合中有效筛选出对目标工业互联网安全势态评估起到关键性作用的网络设备,在此基础之上,以网络设备关键度为优先条件,对网络设备以及对应主机进行安全评估,同时解决了现有互联网安全势态评估过分依赖于主观评价造成的安全评估偏差,能够有效提高安全评估的准确性。
本发明的一个实施例,所述关键度获取模块包括;
使用频率获取模块,用于利用单位时间内,一个网络数据集合中的网络设备使用次数进行记录,并根据使用次数获取使用频率;
矩阵获取模块,用于利用一个网络数据集合中的主机个数构建关键度系数矩阵;
关键度计算模块,用于利用所述使用频率和关键度系数矩阵获取一个网络数据集合中每个网络设备的关键度;
排序模块,用于按照关键度从大到小的顺序对一个网络数据集合中的网络设备进行排序。
上述技术方案的工作原理为:利用网络设备使用频率与关键度系数矩阵相结合的方式获取网络设备的关键度,能够在以IP属性信息为基础的对应的网络数据集合中有效筛选出对目标工业互联网安全势态评估起到关键性作用的网络设备,在此基础之上,以网络设备关键度为优先条件,对网络设备以及对应主机进行安全评估。
上述技术方案的效果为:通过使用频率和关键度系数矩阵相结合的方式获取网络设备的关键度,能够快速、精准的筛选出对目标互联网的安全势态评估起到关键作用的网络设备;提高重要网络设备的筛选效率和筛选准确性,同时,解决了现有互联网安全势态评估过分依赖于主观评价造成的安全评估偏差,能够有效提高安全评估的准确性。
本发明的一个实施例,所述对各个网络设备和主机进行安全评估的评估要素包括:网络漏洞数目及等级、网络设备访问主流安全网站的频率、网络数据流入量、抗攻击能力和流出子网络数据包目的的IP分布。
所述评估模块包括:
漏洞数目评估模块,用于按照网络设备的排序,依次扫描网络设备以及所述网络设备对应的主机及网络系统的漏洞数目,并根据漏洞数目进行安全等级划分;根据漏洞数目和所述漏洞数目对应的安全等级进行安全评估,获得针对网络漏洞数目及等级的安全评估结果;
访问频率评估模块,用于实时扫描网络设备访问主流安全网站的次数,根据访问主流安全网站的次数获取网络设备访问主流安全网站的频率;根据访问主流安全网站的频率进行安全评估,获得针对网络设备访问主流安全网站的频率的安全评估结果;
数据流入量评估模块,用于实时监测网络设备对应的主机的网络数据流入量,根据检测到的网络数据流入量进行安全评估,获得针对主机的网络数据流入量的安全评估结果;
抗攻击能力评估模块,用于确定一个网络数据集合中安装有网络防病毒系统的主机数量,根据安装有网络防病毒系统的主机数量进行安全评估,获得针对抗攻击能力的安全评估结果;
IP分布安全评估模块,用于检测流出子网络数据包目的的IP地址,根据所述流出子网络数据包目的的IP地址确定流出子网络数据包目的的IP分布区域,根据所述IP分布区域的数量对网络的安全性进行评估,获取针对流出子网络数据包目的的IP分布的评估结果。
上述技术方案的工作原理:通过漏洞数目评估模块按照网络设备的排序,依次扫描网络设备以及所述网络设备对应的主机及网络系统的漏洞数目,并根据漏洞数目进行安全等级划分;根据漏洞数目和所述漏洞数目对应的安全等级进行安全评估,获得针对网络漏洞数目及等级的安全评估结果;
利用访问频率评估模块实时扫描网络设备访问主流安全网站的次数,根据访问主流安全网站的次数获取网络设备访问主流安全网站的频率;根据访问主流安全网站的频率进行安全评估,获得针对网络设备访问主流安全网站的频率的安全评估结果;
采用数据流入量评估模块实时监测网络设备对应的主机的网络数据流入量,根据检测到的网络数据流入量进行安全评估,获得针对主机的网络数据流入量的安全评估结果;
通过抗攻击能力评估模块确定一个网络数据集合中安装有网络防病毒系统的主机数量,根据安装有网络防病毒系统的主机数量进行安全评估,获得针对抗攻击能力的安全评估结果;
利用IP分布安全评估模块检测流出子网络数据包目的的IP地址,根据所述流出子网络数据包目的的IP地址确定流出子网络数据包目的的IP分布区域,根据所述IP分布区域的数量对网络的安全性进行评估,获取针对流出子网络数据包目的的IP分布的评估结果。
上述技术方案的效果为:上述安全评估过程中的评估元素能够显著体现网络安全性能;同时,通过上述评估过程能够有效提高目标工业互联网的安全势态评估准确性。
本发明的一个实施例,所述评估结果获取模块包括:
安全评估值获取模块,用于利用安全评估值模型计算安全评估值,其中,安全评估值模型如下:
其中,H表示安全评估值,C 1、C 2、C 3、C 4和C 5表示评估系数,C 1取值范围为0.1-0.25,C 2取值范围为0.15-0.20;C 3取值范围为0.15-0.35;C 4取值范围为0.1-0.30;C 5取值范围为0.1-0.20,且,C 1+C 2+C 3+C 4+C 5=1;S表示网络漏洞数目对应的等级,S取值为1,2,3;Q表示漏洞数目;R t 表示针对网络设备访问主流安全网站的频率的安全评估等级,R t 取值1,2,3;W k 表示第k个主机对应的网络数据流入量;y表示安装有网络防病毒系统的主机数量;R s 表示针对流出子网络数据包目的的IP分布的安全评估等级,A表示IP分布区域个数;
目标工业互联网评估结果获取模块,用于将安全评估值与预设的安全评估阈值进行比较,如果安全评估值超过所述安全评估阈值,且,所述各个网络设备和主机的安全评估结果中有三个及三个以上的安全评估结果为安全等级,则评估确定所述目标工业互联网为安全的,否则,则评估所述目标工业互联网存在网络安全风险。
上述技术方案的工作原理为:分别利用评估元素中的各评估结果和元素对目标工业网络的整体安全进行评估,获得最终的整体安全势态评估结果。
上述技术方案的效果为:利用各评估元素评估过程中获得的指标数据进行安全评估值的计算,获得的安全评估值更加符合目标工业互联网的真实安全势态情况,能够有效提高安全势态评估的准确性。同时,利用安全评估值与各评估元素的评估结果相结合的方式来获得最终的互联网整体安全评估结果,能够有效避免因过分依赖于主观评价造成的安全评估偏差,使安全势态评估结果更加符合实际互联网整体的客观真实情况。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。