CN112699382B - 物联网网络安全风险的评估方法、装置及计算机存储介质 - Google Patents
物联网网络安全风险的评估方法、装置及计算机存储介质 Download PDFInfo
- Publication number
- CN112699382B CN112699382B CN202110316709.2A CN202110316709A CN112699382B CN 112699382 B CN112699382 B CN 112699382B CN 202110316709 A CN202110316709 A CN 202110316709A CN 112699382 B CN112699382 B CN 112699382B
- Authority
- CN
- China
- Prior art keywords
- internet
- things
- security risk
- nodes
- score
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 59
- 238000012502 risk assessment Methods 0.000 title description 21
- 238000004891 communication Methods 0.000 claims abstract description 83
- 230000007246 mechanism Effects 0.000 claims abstract description 83
- 238000011156 evaluation Methods 0.000 claims abstract description 46
- 239000013598 vector Substances 0.000 claims abstract description 43
- 230000008030 elimination Effects 0.000 claims description 7
- 238000003379 elimination reaction Methods 0.000 claims description 7
- 230000006855 networking Effects 0.000 claims 2
- 238000005516 engineering process Methods 0.000 description 9
- 238000012937 correction Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 230000002159 abnormal effect Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 230000004927 fusion Effects 0.000 description 3
- 230000014509 gene expression Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 230000010485 coping Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000003449 preventive effect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000009193 crawling Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 238000013210 evaluation model Methods 0.000 description 1
- 238000007499 fusion processing Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 231100000279 safety data Toxicity 0.000 description 1
- 238000001228 spectrum Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/28—Databases characterised by their database models, e.g. relational or object models
- G06F16/284—Relational databases
- G06F16/288—Entity relationship models
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0635—Risk analysis of enterprise or organisation activities
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y30/00—IoT infrastructure
- G16Y30/10—Security thereof
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y40/00—IoT characterised by the purpose of the information processing
- G16Y40/50—Safety; Security of things, users, data or systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Human Resources & Organizations (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Entrepreneurship & Innovation (AREA)
- Strategic Management (AREA)
- Software Systems (AREA)
- Economics (AREA)
- Operations Research (AREA)
- Marketing (AREA)
- Tourism & Hospitality (AREA)
- Game Theory and Decision Science (AREA)
- Educational Administration (AREA)
- General Business, Economics & Management (AREA)
- Quality & Reliability (AREA)
- Development Economics (AREA)
- Data Mining & Analysis (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种物联网网络安全风险的评估方法、装置及计算机存储介质,包括:获取待评估物联网中各个物联网设备的设备信息;根据预存的知识图谱获取各个物联网设备的子图;根据子图分别获取硬件架构、操作系统、应用服务以及通讯方式所在节点的特征向量中心性得分;根据特征向量中心性得分以及物联网设备已使用的安全机制数量确定物联网设备的安全风险得分;根据安全风险得分获取待评估物联网的评估得分。本发明通过包含漏洞节点的知识图谱子图计算物联网设备在硬件架构、操作系统、应用服务以及通讯方式上面临的安全风险,根据安全风险以及安全机制综合评估物联网的整体安全风险,实现了在物联网设备未出现异常表现时的预先安全评估。
Description
技术领域
本发明涉及物联网技术领域,尤其涉及物联网网络安全风险的评估方法、装置及计算机存储介质。
背景技术
随着智能电网、智能家居、智慧医疗、智慧交通等领域的飞速发展,物联网设备的市场需求不断增长。由于物联网中包含了感知层的内容,而大多数物联网设备的硬件资源比较有限,难以执行传统互联网安全中较为严格全面的安全防护手段,因此对物联网网络环境进行安全风险评估变得十分重要。
传统的技术手段侧重于借助安全检测设备通过物联网设备的外部异常表现来发现安全威胁和漏洞,例如,检测物联网设备的外部网络流量是否异常,以判断是否存在安全风险,但这种方法无法在物联网设备未出现异常表现时对潜在风险进行预先评估,以尽早做出预防措施。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种物联网网络安全风险的评估方法、装置及计算机存储介质,旨在物联网设备未出现异常表现时,对物联网网络进行安全评估。
为实现上述目的,本发明提供一种物联网网络安全风险的评估方法,所述物联网网络安全风险的评估方法包括以下步骤:
获取待评估物联网中各个物联网设备的设备信息,其中,所述设备信息包括所述物联网设备的硬件架构、操作系统、应用服务以及通讯方式;
根据预存的知识图谱获取各个所述物联网设备的子图,其中,所述子图包括分别与所述物联网设备的所述硬件架构、所述操作系统、所述应用服务以及所述通讯方式所在节点连接的漏洞节点;
根据所述子图分别获取所述硬件架构、所述操作系统、所述应用服务以及所述通讯方式所在节点的特征向量中心性得分;
根据所述特征向量中心性得分以及所述物联网设备已使用的安全机制数量确定所述物联网设备的安全风险得分;
根据所述安全风险得分获取所述待评估物联网的评估得分。
可选地,所述根据所述特征向量中心性得分以及所述物联网设备已使用的安全机制数量确定所述物联网设备的安全风险得分的步骤包括:
获取所述子图中各个所述漏洞节点对应的应使用安全机制数量;
根据所述物联网设备已使用的安全机制数量以及所述应使用安全机制数量确定所述物联网设备的安全机制影响系数;
根据所述特征向量中心性得分以及所述安全机制影响系数确定所述物联网设备的安全风险得分。
可选地,所述根据所述安全风险得分获取所述待评估物联网的评估得分的步骤包括:
获取所述待评估物联网中各个所述物联网设备的业务类型对应的业务权重系数;
根据所述业务权重系数以及所述安全风险得分获取所述待评估物联网的评估得分。
可选地,所述根据所述安全风险得分获取所述待评估物联网的评估得分的步骤之后,还包括:
确定与所述评估得分对应的安全风险等级;
输出与所述安全风险等级对应的预警提示信息。
可选地,所述获取待评估物联网中各个物联网设备的设备信息的步骤之前,还包括:
获取物联网的预设知识图谱模型,其中,所述预设知识图谱模型包括各个实体节点类型之间的关系,所述关系包括包含、具有、保护、消除、存在、利用以及使用中的任一个,所述实体节点类型包括物联网网络、物联网设备、操作系统、硬件架构、应用服务、通讯方式、安全机制、漏洞、威胁以及攻击手段;
根据所述预设知识图谱模型生成预存的所述知识图谱。
可选地,所述根据所述预设知识图谱模型生成预存的所述知识图谱的步骤包括:
从预设数据源提取多个实体节点,所述实体节点与所述实体节点类型对应;
在多个所述实体节点中,获取与第一实体节点的第一实体节点类型存在所述关系的第二实体节点类型,以及获取所述第二实体节点类型对应的第二实体节点;
根据所述第一实体节点、所述第二实体节点以及所述第一实体节点类型与所述第二实体节点类型存在的所述关系生成数据组,其中,预存的所述知识图谱包括所述数据组。
可选地,所述根据预存的知识图谱获取各个所述物联网设备的子图的步骤包括:
根据预存的所述知识图谱分别获取所述物联网设备的所述硬件架构、所述操作系统、所述应用服务以及所述通讯方式存在的漏洞;
根据所述物联网设备的所述硬件架构、所述操作系统、所述应用服务以及所述通讯方式存在的所述漏洞建立所述漏洞节点;
将所述硬件架构、所述操作系统、所述应用服务以及所述通讯方式所在节点分别连接至对应的所述漏洞节点,以生成所述物联网设备的子图。
可选地,所述将所述硬件架构、所述操作系统、所述应用服务以及所述通讯方式所在节点分别连接至对应的所述漏洞节点,以生成所述物联网设备的子图的步骤包括:
将所述硬件架构、所述操作系统、所述应用服务以及所述通讯方式所在节点分别连接至对应的所述漏洞节点;
将所述漏洞节点连接至对应的威胁节点,将所述威胁节点连接至对应的攻击手段节点,以生成所述物联网设备的子图,其中,所述威胁节点对应的威胁利用所述漏洞节点对应的漏洞,并采用所述攻击手段节点对应的攻击手段实施攻击。
此外,为实现上述目的,本发明还提供一种物联网网络安全风险的评估装置,所述物联网网络安全风险的评估装置包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的物联网网络安全风险的评估程序,所述物联网网络安全风险的评估程序被所述处理器执行时实现如上所述中任一项所述的物联网网络安全风险的评估方法的步骤。
此外,为实现上述目的,本发明还提供一种计算机存储介质,所述计算机存储介质上存储有物联网网络安全风险的评估程序,所述物联网网络安全风险的评估程序被处理器执行时实现如上所述中任一项所述的物联网网络安全风险的评估方法的步骤。
本发明实施例提出的物联网网络安全风险的评估方法、装置及计算机存储介质,获取待评估物联网中各个物联网设备的设备信息,其中,所述设备信息包括所述物联网设备的硬件架构、操作系统、应用服务以及通讯方式;根据预存的知识图谱获取各个所述物联网设备的子图,其中,所述子图包括分别与所述物联网设备的所述硬件架构、所述操作系统、所述应用服务以及所述通讯方式所在节点连接的漏洞节点;根据所述子图分别获取所述硬件架构、所述操作系统、所述应用服务以及所述通讯方式所在节点的特征向量中心性得分;根据所述特征向量中心性得分以及所述物联网设备已使用的安全机制数量确定所述物联网设备的安全风险得分;根据所述安全风险得分获取所述待评估物联网的评估得分。本发明通过包含漏洞节点的知识图谱子图计算物联网设备在硬件架构、操作系统、应用服务以及通讯方式上面临的安全风险,根据安全风险以及安全机制综合评估物联网的整体安全风险,实现了在物联网设备未出现异常表现时的预先安全评估。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的终端结构示意图;
图2为本发明物联网网络安全风险的评估方法的一实施例的流程示意图;
图3为本发明物联网网络安全风险的评估方法另一实施例的流程示意图;
图4为本发明物联网网络安全风险的评估方法再一实施例的流程示意图;
图5为本发明物联网网络安全风险的评估方法又一实施例的流程示意图;
图6为本发明物联网领域安全本体设计图;
图7为本发明物联网领域安全知识图谱构建流程图;
图8为本发明构建的待评估物联网网络安全风险评估有向图示意;
图9为本发明安全风险评估流程图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例提供一种解决方案,通过包含漏洞节点的知识图谱子图计算物联网设备在硬件架构、操作系统、应用服务以及通讯方式上面临的安全风险,根据安全风险以及安全机制综合评估物联网的整体安全风险,实现了在物联网设备未出现异常表现时的预先安全评估。
如图1所示,图1是本发明实施例方案涉及的硬件运行环境的终端结构示意图。
本发明实施例终端为PC(Personal Computer,个人计算机)、智能手机、平板电脑等终端设备。
如图1所示,该终端可以包括:处理器1001,例如CPU(central processing unit,中央处理器),网络接口1004,用户接口1003,存储器1005,通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM(Random Access Memory,随机存取存储器)存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的终端结构并不构成对终端的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及物联网网络安全风险的评估程序。
在图1所示的终端中,网络接口1004主要用于连接后台服务器,与后台服务器进行数据通信;用户接口1003主要用于连接客户端(用户端),与客户端进行数据通信;而处理器1001可以用于调用存储器1005中存储的物联网网络安全风险的评估程序,并执行以下操作:
获取待评估物联网中各个物联网设备的设备信息,其中,所述设备信息包括所述物联网设备的硬件架构、操作系统、应用服务以及通讯方式;
根据预存的知识图谱获取各个所述物联网设备的子图,其中,所述子图包括分别与所述物联网设备的所述硬件架构、所述操作系统、所述应用服务以及所述通讯方式所在节点连接的漏洞节点;
根据所述子图分别获取所述硬件架构、所述操作系统、所述应用服务以及所述通讯方式所在节点的特征向量中心性得分;
根据所述特征向量中心性得分以及所述物联网设备已使用的安全机制数量确定所述物联网设备的安全风险得分;
根据所述安全风险得分获取所述待评估物联网的评估得分。
进一步地,处理器1001可以调用存储器1005中存储的物联网网络安全风险的评估程序,还执行以下操作:
获取所述子图中各个所述漏洞节点对应的应使用安全机制数量;
根据所述物联网设备已使用的安全机制数量以及所述应使用安全机制数量确定所述物联网设备的安全机制影响系数;
根据所述特征向量中心性得分以及所述安全机制影响系数确定所述物联网设备的安全风险得分。
进一步地,处理器1001可以调用存储器1005中存储的物联网网络安全风险的评估程序,还执行以下操作:
获取所述待评估物联网中各个所述物联网设备的业务类型对应的业务权重系数;
根据所述业务权重系数以及所述安全风险得分获取所述待评估物联网的评估得分。
进一步地,处理器1001可以调用存储器1005中存储的物联网网络安全风险的评估程序,还执行以下操作:
确定与所述评估得分对应的安全风险等级;
输出与所述安全风险等级对应的预警提示信息。
进一步地,处理器1001可以调用存储器1005中存储的物联网网络安全风险的评估程序,还执行以下操作:
获取物联网的预设知识图谱模型,其中,所述预设知识图谱模型包括各个实体节点类型之间的关系,所述关系包括包含、具有、保护、消除、存在、利用以及使用中的任一个,所述实体节点类型包括物联网网络、物联网设备、操作系统、硬件架构、应用服务、通讯方式、安全机制、漏洞、威胁以及攻击手段;
根据所述预设知识图谱模型生成预存的所述知识图谱。
进一步地,处理器1001可以调用存储器1005中存储的物联网网络安全风险的评估程序,还执行以下操作:
从预设数据源提取多个实体节点,所述实体节点与所述实体节点类型对应;
在多个所述实体节点中,获取与第一实体节点的第一实体节点类型存在所述关系的第二实体节点类型,以及获取所述第二实体节点类型对应的第二实体节点;
根据所述第一实体节点、所述第二实体节点以及所述第一实体节点类型与所述第二实体节点类型存在的所述关系生成数据组,其中,预存的所述知识图谱包括所述数据组。
进一步地,处理器1001可以调用存储器1005中存储的物联网网络安全风险的评估程序,还执行以下操作:
根据预存的所述知识图谱分别获取所述物联网设备的所述硬件架构、所述操作系统、所述应用服务以及所述通讯方式存在的漏洞;
根据所述物联网设备的所述硬件架构、所述操作系统、所述应用服务以及所述通讯方式存在的所述漏洞建立所述漏洞节点;
将所述硬件架构、所述操作系统、所述应用服务以及所述通讯方式所在节点分别连接至对应的所述漏洞节点,以生成所述物联网设备的子图。
进一步地,处理器1001可以调用存储器1005中存储的物联网网络安全风险的评估程序,还执行以下操作:
将所述硬件架构、所述操作系统、所述应用服务以及所述通讯方式所在节点分别连接至对应的所述漏洞节点;
将所述漏洞节点连接至对应的威胁节点,将所述威胁节点连接至对应的攻击手段节点,以生成所述物联网设备的子图,其中,所述威胁节点对应的威胁利用所述漏洞节点对应的漏洞,并采用所述攻击手段节点对应的攻击手段实施攻击。
参照图2,在一实施例中,物联网网络安全风险的评估方法包括以下步骤:
步骤S10,获取待评估物联网中各个物联网设备的设备信息,其中,所述设备信息包括所述物联网设备的硬件架构、操作系统、应用服务以及通讯方式;
在本实施例中,实施例终端为PC(Personal Computer,个人计算机)等终端设备。用户可通过手动指定待评估的物联网,以使终端设备获取待评估物联网中所有物联网设备的设备信息,以开始对待评估物联网进行安全风险评估。或者用户也可手动输入待评估物联网中所有物联网设备的设备信息。
可选地,不同的物联网设备的设备信息不同,设备信息包括物联网设备的硬件架构、操作系统、应用服务以及通讯方式。硬件架构指硬件架构属性信息,例如硬件名称、架构类别、硬件版本号、发布厂商等,操作系统指操作系统属性信息,例如系统名称、系统版本号、发布厂商等,应用服务指应用服务属性信息,例如应用名称、应用版本号、发布厂商等,通讯方式指通讯方式包括属性信息,例如协议名称、协议版本号、发布厂商。可选地,设备信息还包括物联网设备属性信息,例如设备名称、设备类别、设备版本号、发布厂商等。
可选地,由于物联网设备的作用均是通过传感器采集环境数据,属于物联网的感知层,其硬件资源比较有限,安全防护较差,因此,在对待评估物联网进行安全风险评估时,通过从物联网的硬件以及软件上综合进行评估,即从物联网设备的硬件架构、操作系统、应用服务以及通讯方式上进行安全风险评估。
步骤S20,根据预存的知识图谱获取各个所述物联网设备的子图,其中,所述子图包括分别与所述物联网设备的所述硬件架构、所述操作系统、所述应用服务以及所述通讯方式所在节点连接的漏洞节点;
在本实施例中,预先生成并存储有物联网的知识图谱,根据设备信息在物联网的知识图谱中找到待评估物联网中各个物联网设备,以进行物联网设备的安全风险评估。子图是图论的基本概念之一,指节点集和边集分别是某一图的节点集的子集和边集的子集的图。
可选地,物联网的知识图谱依据物联网的特点生成,记录了物联网网络、物联网设备、操作系统、硬件架构、应用服务、通讯方式、安全机制、漏洞、威胁以及攻击手段之间的关系,关系包含包含、具有、保护、消除、存在、利用以及使用等,因此,可在预存的知识图谱中获取到分别与待评估物联网中各个物联网设备的硬件架构、操作系统、应用服务以及通讯方式存在关联的其他漏洞、威胁以及攻击手段等信息。需要说明的是,在硬件架构、操作系统、应用服务以及通讯方式不同时,硬件架构、操作系统、应用服务以及通讯方式分别对应的漏洞、威胁以及攻击手段也可不同。
可选地,在预存的知识图谱中获取各个物联网设备的子图时,针对单个物联网设备,根据该物联网设备的硬件架构、操作系统、应用服务以及通讯方式分别获取存在关联的其他漏洞、威胁以及攻击手段,以根据关联关系获取该物联网设备的子图。
可选地,参照图8,子图包括多个实体节点以及实体节点的连接关系。其中,由于硬件架构、操作系统、应用服务以及通讯方式均可能存在漏洞,因此,在子图中,物联网设备的硬件架构、操作系统、应用服务以及通讯方式所在节点均可直接连接至漏洞节点。可选地,由于同一漏洞可能受到不同威胁采用不同攻击手段的攻击,造成安全风险,因此,子图还可包括威胁节点和/或攻击手段节点,漏洞节点可直接连接至威胁节点,威胁节点可直接连接至攻击手段节点。
步骤S30,根据所述子图分别获取所述硬件架构、所述操作系统、所述应用服务以及所述通讯方式所在节点的特征向量中心性得分;
在本实施例中,由于对于单个物联网设备的子图,可根据子图分别获取硬件架构、操作系统、应用服务以及通讯方式所在节点的特征向量中心性得分,特征向量中心性得分用于表征硬件架构、操作系统、应用服务以及通讯方式中的对应一个面临的安全风险高低。其中,由于漏洞、威胁以及攻击手段的数量均会影响到硬件架构、操作系统、应用服务以及通讯方式面临的安全风险高低,因此,根据子图中硬件架构、操作系统、应用服务以及通讯方式与漏洞、威胁以及攻击手段的连接顺序,在计算特征向量中心性得分时,仅计算节点关系长度小于或等于4个节点的范围内的特征向量中心性得分。
步骤S40,根据所述特征向量中心性得分以及所述物联网设备已使用的安全机制数量确定所述物联网设备的安全风险得分;
在本实施例中,在计算得到待评估物联网中各个物联网设备在硬件架构、操作系统、应用服务以及通讯方式上的特征向量中心性得分,获取对应的物联网设备已使用的安全机制数量,以根据特征向量中心性得分以及已使用的安全机制数量确定该物联网设备的安全风险得分,在安全风险得分越高时安全风险越高,其中,设备信息可包括物联网设备使用的各个安全机制的属性信息,例如机制名称、补丁信息等,从而可通过设备信息确定物联网设备已使用的安全机制数量。
可选地,在确定单个物联网设备的安全风险得分时,首先计算该物联网设备在硬件架构、操作系统、应用服务以及通讯方式上的特征向量中心性得分之和,并通过物联网设备已使用的安全机制数量修正特征向量中心性得分之和,得到物联网设备的安全风险得分。
可选地,预先设置有物联网设备已使用的安全机制数量与修正值的对应关系,在根据修正值修正特征向量中心性得分之和时,安全机制数量越大,修正后的特征向量中心性得分之和越小。
步骤S50,根据所述安全风险得分获取所述待评估物联网的评估得分。
在本实施例中,在计算得到待评估物联网中各个物联网设备的安全风险得分后,根据安全风险得分获取待评估物联网的评估得分,例如,可将待评估物联网中各个物联网设备的安全风险得分之和作为待评估物联网的评估得分。
可选地,由于不同物联网设备承担的业务功能的类型不同,其对物联网网络的安全影响也是不同的,因此,可预先对业务类型的不同物联网设备设置不同的业务类型修正值,以根据业务类型修正值修正对应的物联网设备的安全风险得分,并将各个物联网设备修正后的安全风险得分之和作为待评估物联网的评估得分,例如,业务类型修正值可以是业务权重系数,以根据待评估物联网中各个物联网设备的业务类型对应的业务权重系数以及安全风险得分获取待评估物联网的评估得分。
可选地,在获取到待评估物联网的评估得分后,还可确定评估得分对应的数值区间,并获取数值区间对应的安全风险等级,并输出安全风险等级对应的预警提示信息,以提示用户待评估物联网的安全风险情况,例如,在安全风险等级为中或者高时,输出提示,以提示用户对待评估物联网采取预防措施。
在本实施例公开的技术方案中,通过包含漏洞节点的知识图谱子图计算物联网设备在硬件架构、操作系统、应用服务以及通讯方式上面临的安全风险,根据安全风险以及安全机制综合评估物联网的整体安全风险,实现了在物联网设备未出现异常表现时的预先安全评估。
在另一实施例中,如图3所示,在上述图2所示的实施例基础上,步骤S40包括:
步骤S41,获取所述子图中各个所述漏洞节点对应的应使用安全机制数量;
在本实施例中,可基于先验知识获取各个漏洞节点对应的应使用安全机制数量,例如,在预存的知识图谱中找到该漏洞节点对应的漏洞,并获取该漏洞节点对应的漏洞存在关联关系的所有安全机制的节点的数量,作为该漏洞节点对应的应使用安全机制数量,该漏洞节点对应的应使用安全机制数量即为目前可应用于消除该漏洞的安全机制的总数量。
步骤S42,根据所述物联网设备已使用的安全机制数量以及所述应使用安全机制数量确定所述物联网设备的安全机制影响系数;
在本实施例中,设备信息可包括物联网设备使用的各个安全机制的属性信息,例如机制名称、补丁信息等,从而可通过设备信息确定物联网设备已使用的安全机制数量。
在本实施例中,针对单个物联网设备,将物联网设备的子图的所有漏洞节点对应的应使用安全机制数量之和作为该物联网设备的应使用安全机制数量,根据该物联网设备的已使用的安全机制数量以及应使用安全机制数量计算该物联网设备尚未使用的安全机制数量,将该物联网设备尚未使用的安全机制数量与该物联网设备的应使用安全机制数量的比值作为安全机制影响系数。
步骤S43,根据所述特征向量中心性得分以及所述安全机制影响系数确定所述物联网设备的安全风险得分。
在本实施例中,针对单个物联网设备,将物联网设备的硬件架构、操作系统、应用服务以及通讯方式所在节点的特征向量中心性得分之和作为物联网设备的特征向量中心性得分,将物联网设备的特征向量中心性得分与物联网设备的安全机制影响系数的乘积作为物联网设备的安全风险得分。可选地,也可在物联网设备的特征向量中心性得分的基础上采用安全机制影响系数进行加减乘除等常规数学运算,得到物联网设备的安全风险得分。
在本实施例公开的技术方案中,根据特征向量中心性得分以及安全机制影响系数确定物联网设备的安全风险得分,在评估物联网的安全风险时综合考虑漏洞、威胁、攻击手段以及安全机制等因素,评估得到的物联网设备的安全风险得分更加准确。
在再一实施例中,如图4所示,在图2至图3任一实施例所示的基础上,步骤S10之前,还包括:
步骤S60,获取物联网的预设知识图谱模型,其中,所述预设知识图谱模型包括各个实体节点类型之间的关系,所述关系包括包含、具有、保护、消除、存在、利用以及使用中的任一个,所述实体节点类型包括物联网网络、物联网设备、操作系统、硬件架构、应用服务、通讯方式、安全机制、漏洞、威胁以及攻击手段;
在本实施例中,参照图6,按照物联网的特点构建物联网的预设知识图谱模型(即安全本体模型),预设知识图谱模型包括多个实体节点类型,例如,物联网网络、物联网设备、操作系统、硬件架构、应用服务、通讯方式、安全机制、漏洞、威胁以及攻击手段等实体节点类型,关系包括包含、具有、保护、消除、存在、利用以及使用等,例如,物联网网络包含物联网设备、物联网设备具有硬件架构、硬件架构存在漏洞、威胁利用漏洞等,因此,预设知识图谱模型的结构一般为{实体;关系;实体}的三元数据组,例如,{物联网网络;包含;物联网设备}。
步骤S70,根据所述预设知识图谱模型生成预存的所述知识图谱。
在本实施例中,从多个指定的数据源获取原始数据,通过识别原始数据确定各个实体、多个实体之间的关系,从而建立各个实体对应的实体节点,在多个实体节点中,获取与第一实体节点的第一实体节点类型存在关系的第二实体节点类型的第二实体节点,根据第一实体节点、第二实体节点以及第一实体节点与第二实体节点的所述关系得到{实体;关系;实体}的三元数据组,将多个实体节点中的各个节点依次作为第一节点,从而得到多组{实体;关系;实体}的三元数据组,并将多组{实体;关系;实体}的三元数据组作为预存的知识图谱,其中,每一实体节点均对应有实体节点类型,例如,第一实体节点与第一实体节点类型对应,第二实体节点与第二实体节点类型对应。
可选地,指定的数据源包括亚马逊公司(Amazon)和京东网站(JD.COM)、通用平台库(CPE,Common Platform Enumeration)、物联网漏洞库(VULHUB,Vulnerability hub)、物联网安全漏洞库(IOTVD,Internet of Things Vulnerability Database)以及通用漏洞库(CVE,Common Vulnerabilities & Exposures)、国家信息安全漏洞共享平台(CNVD,ChinaNational Vulnerability Database)、国家信息安全漏洞库(CNNVD,China NationalVulnerability Database of Information Security)、通用攻击模式库(CAPEC,CommonAttack Pattern Enumeration and Classification)和攻击行为模型知识库(ATT&CK,Adversarial Tactics,Techniques and Common Knowledge)、研究文献、技术报告、物联网安全专题网站等。
可选地,在从多个指定的数据源获取原始数据后,还可对原始数据进行知识融合,其中,知识融合包括语义消歧和共指消解。语义消歧:歧义与消歧是自然语言理解中最核心的问题,在词义、句义、篇章含义层次都会出现语言根据上下文语义不同的现象,语义消歧即指根据上下文确定对象语义的过程。共指消解:人们为了避免重复,习惯用代词、称谓和缩略语来指代前面提到的实体全称,通过共指消解可识别不同关联数据源中相同实体的不同指代词。
在本实施例公开的技术方案中,获取物联网的预设知识图谱模型,根据按照物联网的预设知识图谱模型生成预存的知识图谱,从而得到物联网中各个实体之间的关系。
在又一实施例中,如图5所示,在图2至图4任一实施例所示的基础上,步骤S20包括:
步骤S21,根据预存的所述知识图谱分别获取所述物联网设备的所述硬件架构、所述操作系统、所述应用服务以及所述通讯方式存在的漏洞;
在本实施例中,由于预存的知识图谱存储有物联网中各个实体之间的关系,实体包括物联网网络、物联网设备、操作系统、硬件架构、应用服务、通讯方式、安全机制、漏洞、威胁以及攻击手段等,因此,可通过预存的知识图谱分别获取与待识别物联网中各个物联网设备的硬件架构、操作系统、应用服务以及通讯方式存在关系的漏洞,即分别获取硬件架构、操作系统、应用服务以及通讯方式存在的漏洞。
步骤S22,根据所述物联网设备的所述硬件架构、所述操作系统、所述应用服务以及所述通讯方式存在的所述漏洞建立所述漏洞节点;
步骤S23,将所述硬件架构、所述操作系统、所述应用服务以及所述通讯方式所在节点分别连接至对应的所述漏洞节点,以生成所述物联网设备的子图。
在本实施例中,以硬件架构、操作系统、应用服务以及通讯方式存在的各个漏洞分别建立漏洞节点,并硬件架构、操作系统、应用服务以及通讯方式所在节点分别连接至对应的漏洞节点,以生成物联网设备的子图,例如,在硬件架构存在漏洞1,操作系统存在漏洞2时,将硬件架构所在的节点连接至漏洞1所在的节点,将操作系统所在的节点连接至漏洞2所在的节点。
可选地,参照图8,子图还可包括威胁节点和/或攻击手段节点,威胁节点的威胁利用漏洞节点的漏洞,并采用攻击手段节点的攻击手段实施攻击,即威胁节点与其他节点的关系为:威胁节点利用漏洞节点,威胁节点采用攻击手段节点,因此,在生成子图时,还可将漏洞节点连接至对应的威胁节点,将威胁节点连接至对应的攻击手段节点。
在本实施例公开的技术方案中,将硬件架构、操作系统、应用服务以及通讯方式所在节点分别连接至对应的漏洞节点,以生成物联网设备的子图,从而得到单个物联网设备的实体节点的关系。
在又一实施例中,基于上述各个实施例所述的物联网网络安全风险的评估方法,对上述各个实施例所述的物联网网络安全风险的评估方法的细节进行详细说明,以更好地支持上述各个实施例。
传统的技术手段侧重于借助安全检测设备通过物联网设备的外部异常表现来发现安全威胁和漏洞,根据检测结果进行安全风险评估,这种方法的本质并没有做到事前预防风险,也无法有效整合设备资产情况、攻击威胁、漏洞情况、网络拓扑等多要素进行综合性的安全评估。因此,需要一种能够处理复杂安全关系,能够有效应对物联网领域不断动态变化的安全威胁的评估模型。
本发明针对物联网环境的特点设计了物联网安全知识本体模型,整合物联网环境多源安全数据信息,构建物联网领域安全知识图谱,依托知识图谱技术并结合特征向量中心性算法进行物联网的网络安全风险评估,提供相应安全风险预警,帮助安全管理人员进行安全分析,降低物联网安全风险。本发明设计的方法能够快速准确查询到物联网系统的关联安全信息,并在事前提供综合客观的安全风险评估。
本申请提供的物联网网络安全风险的评估方法具体包括以下步骤:
步骤1:参照图7,构建物联网领域安全知识图谱。
1、根据图6设计的安全本体模型,定义知识图谱中包括以下几类实体节点:物联网网络(IoT Network,Internet of Things Network)、物联网设备(IoT Device,Internetof Things Device)、硬件架构(Hardware)、操作系统(OS,operation system)、应用服务(Application)、通讯方式(Communication)、安全机制(Security Mechanism)、漏洞(Vulnerability)、威胁(Threat)、攻击手段(Attack)。实体节点间关系定义如下表所示:
实体节点类型 | 关系 | 实体节点类型 |
物联网网络 | 包含 | 物联网设备 |
物联网设备 | 具有 | 硬件架构 |
物联网设备 | 具有 | 操作系统 |
物联网设备 | 具有 | 应用服务 |
物联网设备 | 具有 | 通讯方式 |
安全机制 | 保护 | 物联网设备 |
安全机制 | 消除 | 漏洞 |
硬件架构 | 存在 | 漏洞 |
操作系统 | 存在 | 漏洞 |
应用服务 | 存在 | 漏洞 |
通讯方式 | 存在 | 漏洞 |
威胁 | 利用 | 漏洞 |
威胁 | 使用 | 攻击手段 |
其中:
1)物联网网络节点代表各种物联网设备与互联网结合起来而形成的一个网络;
2)物联网设备节点代表采用物联网技术的各种信息传感设备;
3)操作系统节点代表物联网设备中所采用的各种底层系统软件;
4)应用服务节点代表物联网设备为满足用户不同领域、不同问题的应用需求而提供的各种软件服务;
5)通讯方式节点代表连接不同物联网设备的互联网络所采用的各种通讯协议;
6)硬件架构节点代表物联网设备中的各种物理组件及采用的架构;
7)漏洞节点代表物联网设备中硬件或软件的缺陷;
8)硬件架构节点代表物联网设备中的各种物理组件,如CPU(central processingunit,中央处理器)、内存等,以及它们采用的架构;
9)安全机制节点代表针对漏洞所采取的应对策略或手段,例如安装补丁、身份认证、加密保护等;
10)威胁节点代表利用设备中一个或多个漏洞可以发起的攻击行为;
11)攻击手段节点代表发起攻击的过程中所使用的方法及工具。
2、各实体节点的属性信息如下:
实体节点类别 | 属性信息 |
物联网网络 | 网络名称、拓扑结构、网络带宽 |
物联网设备 | 设备名称、设备类别、设备版本号、发布厂商 |
操作系统 | 系统名称、系统版本号、发布厂商 |
硬件架构 | 硬件名称、架构类别、硬件版本号、发布厂商 |
应用服务 | 应用名称、应用版本号、发布厂商 |
通讯方式 | 协议名称、协议版本号、发布厂商 |
安全机制 | 机制名称、补丁信息 |
漏洞 | 漏洞编号、漏洞名称、漏洞类型、漏洞危害等级、漏洞发布时间、漏洞描述信息 |
威胁 | 威胁名称、威胁等级、威胁描述 |
攻击手段 | 攻击手段编号、攻击手段名称、所用工具、方法描述 |
3、知识抽取:通过网络爬虫技术对物联网相关安全知识转化为文本数据,进行实体、关系与属性的信息抽取。物联网设备类信息通过亚马逊公司(Amazon)和京东网站(JD.COM)去爬取物联网设备基本信息及其使用的硬件架构、操作系统、应用服务、通讯方式。此外,硬件架构、操作系统、应用服务、通讯方式的具体属性信息还参考通用平台库(CPE,Common Platform Enumeration)进行提取。漏洞类安全知识来源包括:物联网漏洞库(VULHUB,Vulnerability hub)、物联网安全漏洞库(IOTVD,Internet of ThingsVulnerability Database)以及通用漏洞库(CVE,Common Vulnerabilities &Exposures)、国家信息安全漏洞共享平台(CNVD,China National VulnerabilityDatabase)、国家信息安全漏洞库(CNNVD,China National Vulnerability Database ofInformation Security)中物联网相关的漏洞信息。威胁及攻击手段类安全知识来源包括:通用攻击模式库(CAPEC,Common Attack Pattern Enumeration and Classification)和攻击行为模型知识库(ATT&CK,Adversarial Tactics,Techniques and CommonKnowledge)中物联网相关威胁信息。此外,还通过研究文献、技术报告、物联网安全专题网站,使用实体识别工具提取实体节点以及不同节点间关系,进一步扩充知识规模。
4、知识融合:物联网安全知识多源且异构,在知识融合过程需要对爬取出来信息进行语义消歧和共指消解。之后,将处理后的知识数据构建成为{实体;关系;实体}的三元组形式,并记录实体节点的属性信息,供后续存入图数据库。
5、知识存储:本发明使用原生图数据库(Neo4j)进行知识存储。在知识存储前先根据实体节点及关系名称构建图数据库索引,提升查找及存储效率。之后通过Py2neo(Neo4j数据库的python驱动)库对Neo4j图数据库进行操作,将知识数据存入图数据库。
6、知识更新:由于物联网环境的复杂多变,安全知识需要不断动态更新。本发明建立周期性更新机制,定期重新从“知识抽取”中描述的渠道获取知识数据,对图数据库中的知识进行更新。
步骤2:参照图9,根据待评估的一组物联网设备信息在知识图谱中匹配提取相关子图,并根据物联网设备间网络互联情况创建物联网网络节点以及与物联网设备节点的连接关系。
1、首先根据给定的物联网设备信息,在已构建好的知识图谱中查询描述该物联网设备的节点是否已存在,若存在,则进行下一步;若不存在,则新创建表示该设备的实体节点,并根据该设备的硬件架构、操作系统、应用服务、通讯方式信息在知识图谱中创建该设备节点到这4类节点的关联关系。
2、使用Cypher(Neo4j的图形查询语言)语句提取以物联网设备为起始节点关系长度≦4的所有节点与关联关系,构成该设备的相关子图,子图可参照图8。多个物联网设备则提取出多个相关子图。
3、创建表示待评估物联网网络的实体节点,并创建接入该网络的物联网设备节点的关联关系,从而将多个物联网设备的相关子图组合构建成一个针对该物联网网络的安全风险评估有向图。
步骤3:根据该物联网网络的安全风险评估有向图使用特征向量中心性算法计算各物联网设备节点关联的“操作系统”、“硬件架构”、“应用服务”、“通讯方式”4类实体节点的特征向量中心性评分。
1、特征向量中心性(Eigenvector Centrality)算法在衡量一个节点重要性时不仅考虑了邻居节点的数量还考虑了其重要性,其特点是一个节点的特征向量中心性与其临近节点的中心性得分的总和成正比,意味着与重要节点连接的节点更加重要。根据本体模型设计可以看出,“操作系统”、“硬件架构”、“应用服务”、“通讯方式”4类实体节点直接与“漏洞”节点相关联,而漏洞的数量及中心性与设备所面临的安全风险成正比。因此,针对物联网设备的操作系统、硬件架构、应用服务、通讯方式4个方面计算特征向量中心性能够较好反映面临的安全风险。
2、为Neo4j图数据库安装配置图形数据科学算法库(GDS,Graph Data Science),通过该算法库为提取的安全风险评估子图调用特征向量中心性(EigenvectorCentrality)算法,获取图中“操作系统”、“硬件架构”、“应用服务”、“通讯方式”4类实体节点的特征向量中心性得分。
步骤4:参照图9,根据该物联网网络的安全风险评估有向图中“安全机制”节点情况,计算物联网设备安全机制影响系数,并结合上述特征向量中心性得分计算物联网设备的安全风险评估得分。
1、物联网设备安全机制影响系数α计算:
其中,P sum 代表子图中针对物联网设备相关漏洞应当使用的安全机制总数,P no 代表子图中针对物联网设备相关漏洞尚未使用的安全机制数量。当P sum 为0时,安全机制影响系数为1。
2、物联网设备安全风险评估得分D计算:
其中,S HD ,S OS ,S AP ,S CM 分别代表硬件架构、操作系统、应用服务、通讯方式4类实体节点的特征向量中心性得分,n1,n2,n3,n4分别代表物联网设备节点关联的4类实体节点数量。将这些特征向量中心性得分求和乘以安全机制影响系数作为物联网设备的安全风险评估得分。
步骤5:根据物联网网络中不同业务权重,计算该物联网网络的综合安全风险评估得分。
在一个物联网网络中,由于不同物联网设备承担的业务功能不同,其对物联网网络的安全影响也是不同的。因此,针对不同物联网设备引入业务权重系数ω,定义数值范围为[1,100]的整数,由用户根据实际场景事先设定。该物联网网络的综合安全风险评估得分E计算公式如下:
其中,D代表各个物联网设备的安全风险评估得分,n为物联网网络下互联的物联网设备数量。
步骤6:将不同数值段的安全风险评估得分映射为不同等级的安全风险级别。根据评估的物联网网络的综合安全风险评估得分,为该物联网网络提供相应风险预警,供相关人员进行参考与比较,做出应对措施。
1、本申请结合了物联网安全领域相关知识、有效整合设备资产情况、攻击威胁、漏洞情况、网络拓扑等多要素构建了针对物联网安全领域的知识图谱。
2、本申请充分利用了知识图谱里包含的复杂安全知识,基于图理论中的特征向量中心性算法来计算实体节点的重要性,从而进一步计算得出物联网网络安全风险评估指标。
3、本申请区别于传统安全风险评估方法,真正做到事前预防风险,能够结合物联网安全领域复杂关联关系进行综合客观的安全风险评估。
此外,本发明实施例还提出一种物联网网络安全风险的评估装置,所述物联网网络安全风险的评估装置包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的物联网网络安全风险的评估程序,所述物联网网络安全风险的评估程序被所述处理器执行时实现如上各个实施例所述的物联网网络安全风险的评估方法的步骤。
此外,本发明实施例还提出一种计算机存储介质,所述计算机存储介质上存储有物联网网络安全风险的评估程序,所述物联网网络安全风险的评估程序被处理器执行时实现如上各个实施例所述的物联网网络安全风险的评估方法的步骤。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM(Read-Only Memory,只读存储器)/RAM(Random Access Memory,随机存取存储器)、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (7)
1.一种物联网网络安全风险的评估方法,其特征在于,所述物联网网络安全风险的评估方法包括以下步骤:
获取待评估物联网中各个物联网设备的设备信息,其中,所述设备信息包括所述物联网设备的硬件架构、操作系统、应用服务以及通讯方式;
在预存的知识图谱中分别获取各个所述物联网设备的所述硬件架构、所述操作系统、所述应用服务以及所述通讯方式存在的漏洞、利用所述漏洞的威胁、所述威胁实施攻击时所采用的攻击手段、消除所述漏洞的安全机制;
根据所述物联网设备的所述硬件架构、所述操作系统、所述应用服务以及所述通讯方式存在的所述漏洞建立漏洞节点,将所述硬件架构、所述操作系统、所述应用服务以及所述通讯方式所在节点分别连接至对应的所述漏洞节点,将所述漏洞节点连接至所述威胁对应的威胁节点,将所述威胁节点连接至所述攻击手段对应的攻击手段节点,以生成所述物联网设备的子图,其中,所述子图包括分别与所述物联网设备的所述硬件架构、所述操作系统、所述应用服务以及所述通讯方式所在节点连接的漏洞节点、所述漏洞节点连接的威胁节点、所述威胁节点连接的攻击手段节点;
根据所述子图分别获取所述硬件架构、所述操作系统、所述应用服务以及所述通讯方式所在节点的特征向量中心性得分;
根据消除所述漏洞的所述安全机制确定所述物联网设备对应的应使用安全机制数量,根据所述应使用安全机制数量确定所述物联网设备对应的未使用安全机制数量,根据所述未使用安全机制数量确定所述物联网设备的安全机制影响系数;
根据所述特征向量中心性得分以及所述安全机制影响系数确定所述物联网设备的安全风险得分;
根据所述安全风险得分获取所述待评估物联网的评估得分。
2.如权利要求1所述的物联网网络安全风险的评估方法,其特征在于,所述根据所述安全风险得分获取所述待评估物联网的评估得分的步骤包括:
获取所述待评估物联网中各个所述物联网设备的业务类型对应的业务权重系数;
根据所述业务权重系数以及所述安全风险得分获取所述待评估物联网的评估得分。
3.如权利要求1所述的物联网网络安全风险的评估方法,其特征在于,所述根据所述安全风险得分获取所述待评估物联网的评估得分的步骤之后,还包括:
确定与所述评估得分对应的安全风险等级;
输出与所述安全风险等级对应的预警提示信息。
4.如权利要求1所述的物联网网络安全风险的评估方法,其特征在于,所述获取待评估物联网中各个物联网设备的设备信息的步骤之前,还包括:
获取物联网的预设知识图谱模型,其中,所述预设知识图谱模型包括各个实体节点类型之间的关系,所述关系包括包含、具有、保护、消除、存在、利用以及使用中的任一个,所述实体节点类型包括物联网网络、物联网设备、操作系统、硬件架构、应用服务、通讯方式、安全机制、漏洞、威胁以及攻击手段;
根据所述预设知识图谱模型生成预存的所述知识图谱。
5.如权利要求4所述的物联网网络安全风险的评估方法,其特征在于,所述根据所述预设知识图谱模型生成预存的所述知识图谱的步骤包括:
从预设数据源提取多个实体节点,所述实体节点与所述实体节点类型对应;
在多个所述实体节点中,获取与第一实体节点的第一实体节点类型存在所述关系的第二实体节点类型,以及获取所述第二实体节点类型对应的第二实体节点;
根据所述第一实体节点、所述第二实体节点以及所述第一实体节点类型与所述第二实体节点类型存在的所述关系生成数据组,其中,预存的所述知识图谱包括所述数据组。
6.一种物联网网络安全风险的评估装置,其特征在于,所述物联网网络安全风险的评估装置包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的物联网网络安全风险的评估程序,所述物联网网络安全风险的评估程序被所述处理器执行时实现如权利要求1至5中任一项所述的物联网网络安全风险的评估方法的步骤。
7.一种计算机存储介质,其特征在于,所述计算机存储介质上存储有物联网网络安全风险的评估程序,所述物联网网络安全风险的评估程序被处理器执行时实现如权利要求1至5中任一项所述的物联网网络安全风险的评估方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110316709.2A CN112699382B (zh) | 2021-03-25 | 2021-03-25 | 物联网网络安全风险的评估方法、装置及计算机存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110316709.2A CN112699382B (zh) | 2021-03-25 | 2021-03-25 | 物联网网络安全风险的评估方法、装置及计算机存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112699382A CN112699382A (zh) | 2021-04-23 |
CN112699382B true CN112699382B (zh) | 2021-06-18 |
Family
ID=75515639
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110316709.2A Active CN112699382B (zh) | 2021-03-25 | 2021-03-25 | 物联网网络安全风险的评估方法、装置及计算机存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112699382B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114338411B (zh) * | 2021-12-24 | 2023-12-19 | 安天科技集团股份有限公司 | 一种武器系统网空模型创建方法、装置、设备及介质 |
CN114817929B (zh) * | 2022-04-19 | 2022-11-22 | 北京天防安全科技有限公司 | 物联网漏洞动态追踪和处理方法、装置、电子设备及介质 |
CN114679339B (zh) * | 2022-05-26 | 2022-08-26 | 杭州安恒信息技术股份有限公司 | 一种物联网资产评分方法、装置、设备及介质 |
CN114978770B (zh) * | 2022-07-25 | 2022-11-08 | 睿至科技集团有限公司 | 基于大数据的物联网安全风险预警管控方法及系统 |
CN117150508B (zh) * | 2023-09-06 | 2024-07-05 | 国网河南省电力公司信息通信分公司 | 一种基于云平台的物联网终端风险评估方法与系统 |
CN117370987B (zh) * | 2023-10-13 | 2024-03-12 | 南京审计大学 | 基于知识图谱的云服务平台安全审计漏洞评测方法及系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106850607A (zh) * | 2017-01-20 | 2017-06-13 | 北京理工大学 | 基于攻击图的网络安全态势的量化评估方法 |
CN109639670A (zh) * | 2018-12-10 | 2019-04-16 | 北京威努特技术有限公司 | 一种基于知识图谱的工控网络安全态势量化评估方法 |
CN109948911A (zh) * | 2019-02-27 | 2019-06-28 | 北京邮电大学 | 一种计算网络产品信息安全风险的评估方法 |
CN110110094A (zh) * | 2019-04-22 | 2019-08-09 | 华侨大学 | 基于社交网络知识图谱的跨网络人物关联方法 |
-
2021
- 2021-03-25 CN CN202110316709.2A patent/CN112699382B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106850607A (zh) * | 2017-01-20 | 2017-06-13 | 北京理工大学 | 基于攻击图的网络安全态势的量化评估方法 |
CN109639670A (zh) * | 2018-12-10 | 2019-04-16 | 北京威努特技术有限公司 | 一种基于知识图谱的工控网络安全态势量化评估方法 |
CN109948911A (zh) * | 2019-02-27 | 2019-06-28 | 北京邮电大学 | 一种计算网络产品信息安全风险的评估方法 |
CN110110094A (zh) * | 2019-04-22 | 2019-08-09 | 华侨大学 | 基于社交网络知识图谱的跨网络人物关联方法 |
Also Published As
Publication number | Publication date |
---|---|
CN112699382A (zh) | 2021-04-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112699382B (zh) | 物联网网络安全风险的评估方法、装置及计算机存储介质 | |
CN112131882B (zh) | 一种多源异构网络安全知识图谱构建方法及装置 | |
Ramesh et al. | An efficacious method for detecting phishing webpages through target domain identification | |
US20200396244A1 (en) | Complex Application Attack Quantification, Testing, Detection and Prevention | |
EP3713191B1 (en) | Identifying legitimate websites to remove false positives from domain discovery analysis | |
CN108090351B (zh) | 用于处理请求消息的方法和装置 | |
CN110162976B (zh) | 风险评估方法、装置及终端 | |
CN112165462A (zh) | 基于画像的攻击预测方法、装置、电子设备及存储介质 | |
CN106874253A (zh) | 识别敏感信息的方法及装置 | |
CN111224941B (zh) | 一种威胁类型识别方法及装置 | |
Thuraisingham et al. | A data driven approach for the science of cyber security: Challenges and directions | |
US10552781B2 (en) | Task transformation responsive to confidentiality assessments | |
Huang et al. | A novel approach to evaluate software vulnerability prioritization | |
CN114547415A (zh) | 工业物联网中基于网络威胁情报的攻击模拟方法 | |
JP2019101672A (ja) | サイバー攻撃情報処理プログラム、サイバー攻撃情報処理方法および情報処理装置 | |
Gao et al. | Graph mining-based trust evaluation mechanism with multidimensional features for large-scale heterogeneous threat intelligence | |
Dugyala et al. | [Retracted] Analysis of Malware Detection and Signature Generation Using a Novel Hybrid Approach | |
Wang et al. | Exploring topic models to discern cyber threats on Twitter: A case study on Log4Shell | |
CN110097258B (zh) | 一种用户关系网络建立方法、装置及计算机可读存储介质 | |
Martín et al. | Clonespot: Fast detection of android repackages | |
CN115599345A (zh) | 一种基于知识图谱的应用安全需求分析推荐方法 | |
CN113869904A (zh) | 可疑数据识别方法、装置、电子设备、介质和计算机程序 | |
CN114417883A (zh) | 一种数据处理方法、装置及设备 | |
US11128653B1 (en) | Automatically generating a machine-readable threat model using a template associated with an application or service | |
CN111782967A (zh) | 信息处理方法、装置、电子设备和计算机可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |