CN113055379A - 一种面向全网关键基础设施的风险态势感知方法和系统 - Google Patents
一种面向全网关键基础设施的风险态势感知方法和系统 Download PDFInfo
- Publication number
- CN113055379A CN113055379A CN202110267193.7A CN202110267193A CN113055379A CN 113055379 A CN113055379 A CN 113055379A CN 202110267193 A CN202110267193 A CN 202110267193A CN 113055379 A CN113055379 A CN 113055379A
- Authority
- CN
- China
- Prior art keywords
- key infrastructure
- vulnerability
- detection
- port
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 28
- 230000008447 perception Effects 0.000 title claims abstract description 15
- 238000001514 detection method Methods 0.000 claims abstract description 99
- 238000012502 risk assessment Methods 0.000 claims abstract description 17
- 238000005520 cutting process Methods 0.000 claims abstract description 9
- 239000000523 sample Substances 0.000 claims description 8
- 238000004891 communication Methods 0.000 claims description 5
- 239000000047 product Substances 0.000 description 14
- 238000003860 storage Methods 0.000 description 11
- 238000004590 computer program Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 239000012466 permeate Substances 0.000 description 1
- 239000003208 petroleum Substances 0.000 description 1
- 239000010865 sewage Substances 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种面向全网关键基础设施的风险态势感知方法和系统,所述方法包括如下步骤:S1.通过分布式任务管理模块进行目标互联网IP段的切割、随机化;S2.通过端口发现扫描器进行关键基础设施开放端口的发现;S3.使用合规协议探测包完成对关键基础设施的探测;S4.使用设备指纹库对设备响应的合规数据包进行设备信息提取以及设备识别;S5.通过漏洞检测规则匹配库精确匹配、关联设备的漏洞风险;S6.基于探测结果与漏洞库进行风险评估、威胁预警。本方法和系统可针对特定关键基础设施的资产发现,采用非入侵的漏洞检测方式,安全发现互联网关键基础设施,即时完成资产漏洞检测、资产风险评估,及时应对全网风险态势。
Description
技术领域
本发明涉及计算机通信、软件保护领域,具体涉及一种面向全网关键基础设施的风险态势感知方法和系统。
背景技术
新基建是政企业务数字化运营进一步深入的加速器,随着信息化和工业化的逐步融合,工业控制系统的信息化程度越来越高。通用软硬件和网络设施的广泛使用,打破了传统工业控制系统原本的“隔离保护”,在不断促进工业互联网发展的同时,传统IT网络所面临的安全问题逐渐渗透到工业互联网中。然而,与传统IT网络相比,工业互联网的特征更加复杂,不仅其涉及的设备种类更多、更复杂,所使用的公有协议或私有协议更多,同时对整个工业系统生产环境的稳定性、实时性要求更高,所以对它构成安全威胁的因素也就更多、更复杂。
工业控制系统广泛应用在石油石化、水利电力、食品加工和污水处理等关键基础设施领域。工业的发展带来了工业设备的广泛应用,随着使用范围和数量的急剧增加,工业控制系统的网络安全问题日渐被更多的群体所关注,工业控制系统或设备信息安全漏洞所带来的潜在威胁也越来越被人们所重视。
现有技术多采用全端口扫描、Nmap nse脚本的方式,进行全网资产发现,一方面由于全端口扫描容易导致检测速度慢、针对性不强等缺点;同时,Nmap nse脚本带有一定的攻击性,容易影响关键基础设施的正常运行。现有的互联网资产发现、安全检测平台也未使用高精确度、非入侵性的漏洞检测方式评估互联网关键基础设施的风险态势。
基于全端口扫描的方式,只适应于发现各类潜在资产包括Web服务器、云平台等,但不适合互联网关键基础设施的针对性发现,同时全端口扫描容易导致漏报,也会严重影响关键基础设施的正常运作,甚至导致非恶意网络攻击。
现有的网络测绘技术,仍侧重于互联网资产的端口、服务、系统的扫描发现,尚未使用基于合规协议的探针包方式发现全网的关键基础设施,同时未采用非入侵式的资产风险检测方式,及时发现关键资产的漏洞风险,进行互联网上关键资产的风险评估,完成资产发现、漏洞检测、风险评估等全面的态势感知工作。
发明内容
针对现有技术存在的问题,本发明的目的在于提供一种针对特定关键基础设施的资产发现,并采用非入侵的漏洞检测方式,安全发现互联网关键基础设施,即时完成资产漏洞检测、资产风险评估,及时应对全网风险态势的技术解决方案。
基于上述目的,本发明提供一种面向全网关键基础设施的风险态势感知方法,包括如下步骤:
S1.通过分布式任务管理模块进行目标互联网IP段的切割、随机化;
S2.通过端口发现扫描器进行关键基础设施开放端口的发现;
S3.使用合规协议探测包完成对关键基础设施的探测;
S4.使用设备指纹库对设备响应的合规数据包进行设备信息提取以及设备识别;
S5.通过漏洞检测规则匹配库精确匹配、关联设备的漏洞风险;
S6.基于探测结果与漏洞库进行风险评估、威胁预警。
进一步,所述分布式任务管理模块对于互联网的大IP段进行划分切割,并将划分后的子IP段自动化地分配到各个探测调度器,所述探测调度器将对IP进行进一步的随机化。
进一步,所述端口发现扫描器为异步扫描器,基于关键基础设施采用特定端口实现特定协议通信的方式,预先设定好针对关键基础设施的特定端口列表,由异步扫描方式完成对互联网关键基础设施的端口发现。
进一步,还具有端口探测模块和资产探测模块,所述端口探测模块用于发现资产开放端口,所述资产探测模块用于匹配、调度针对资产开放端口相对应的合规协议探测包;
基于工控协议采用特定的协议端口,通过分类调用与发现端口相对匹配的工控协议探针进行工控设备信息的合法探测,每个工控协议都具有产品标识的查询元数据,所述工控协议包括Modbus、Ethernet/IP、Profinet、S7以及适用于关键基础设施使用的IT协议。
进一步,所述设备指纹库的包括内部网络范围内所有合法无线网络设备的MAC地址。
进一步,建立漏洞检测规则匹配库,实现对关键基础设施细分产品的精确检测规则匹配,基于所述工控协议获取到的产品标识元数据,进行厂商、产品的分类,到目标厂商的设备漏洞检测规则中快速查询与设备匹配的规则,进一步基于查询到的漏洞检测规则完成漏洞关联;其中,所述产品标识元数据包括设备厂商、产品型号、版本号。
进一步,基于漏洞信息完成设备漏洞详情呈现,得到关键基础设施的漏洞检测结果;所述漏洞详情包括:漏洞对应的CVE编号、CNNVD编号、CNVD编号、漏洞等级、漏洞类型、漏洞描述和/或解决方案。
进一步,还包括自更新模块,用于周期性跟进最新漏洞数据,及时捕获关键基础设施的最新风险数据,以及时发现、通报关键资产的重大威胁,完成全网的安全态势感知。
另一方面,本发明还提供一种面向全网关键基础设施的风险态势感知系统,包括:
分布式任务管理模块,用于完成互联网IP段的切割、随机化;
端口发现扫描器,用于进行关键基础设施开放端口的发现;
合规协议探测包,用于安全、无损地完成对关键基础设施的探测;
设备指纹库,用于设备响应的合规数据包进行设备信息提取以及设备识别;
漏洞检测规则匹配库,用于精确匹配、关联设备的漏洞风险;
结果显示模块,基于探测结果与漏洞库进行风险评估、威胁预警。
进一步,还具有端口探测模块和资产探测模块,所述端口探测模块用于发现资产开放端口,所述资产探测模块用于匹配、调度针对资产开放端口相对应的合规协议探测包;
以及自更新模块,用于周期性跟进最新漏洞数据,及时捕获关键基础设施的最新风险数据,以及时发现、通报关键资产的重大威胁,完成全网的安全态势感知。
相对于现有的全网扫描技术,本发明基于搭建的资产探测模块,可以更快速、更准确地发现互联网上的关键基础设施,并不会由于扫描流量影响设备的正常运作。
同时,本发明通过搭建设备漏洞检测规则匹配库,在发现关键资产的同时完成对目标资产的漏洞检测、风险评估,提供了一种资产发现、漏洞检测、风险评估的态势感知技术。
附图说明
图1示出了根据本发明的面向全网关键基础设施的风险态势感知方法和系统原理示意图。
具体实施方式
下面将结合附图,对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明,并不用于限制本发明。
随着信息化和工业化的逐步融合,工业控制系统的信息化程度越来越高。打破了传统工业控制系统原本的“隔离保护”,越来越多的关键基础设施暴露在互联网当中。对于及时发现暴露在互联网上的关键基础设施,并进行相应的漏洞检测、风险评估工作,是当前全网安全态势感知中必不可少的部分。有鉴于此,本发明专门提供了一种针对关键基础设施的资产发现方法,并搭建独特的、高精度的漏洞检测规则库,完成对互联网关键基础设施的风险评估,以支持全网安全态势的需要,解决关键基础设施快速发现、非入侵风险评估的技术难题。
如图1所示,根据本发明的面向全网关键基础设施的风险态势感知方法包括如下步骤:
S1.分布式任务管理模块,进行目标互联网IP段的切割、随机化;
S2.端口发现扫描器进行关键基础设施开放端口的发现;
S3.合规协议探测包完成对关键基础设施的探测;
S4.设备指纹库对设备响应的合规数据包进行设备信息提取以及设备识别;
S5.漏洞检测规则匹配库精确匹配、关联设备的漏洞风险;
S6.基于探测结果与漏洞库进行风险评估、威胁预警。
具体地,各个步骤的详细内容如下:
S1.分布式任务管理模块,进行目标互联网IP段的切割、随机化;
对于互联网的大IP段,需要进行合理的划分切割,以采用分布式的全网探测方法加快对互联网资产的发现。由任务管理模块将划分后的子IP段自动化地分配到各个探测调度器,探测调度器将对IP进行进一步的随机化,以避免对局部网络的稳定性影响。
S2.端口发现扫描器进行关键基础设施开放端口的发现;
所述端口发现扫描器为异步扫描器masscan,由异步扫描器masscan完成对关键基础设施潜在端口的发现;这里的异步扫描器masscan将使用开源扫描器,进行资产的端口发现。基于关键基础设施采用特定端口实现特定协议通信的方式,预先设定好针对关键基础设施的特定端口列表,以快速发现关键资产的开放端口,由masscan的异步扫描方式完成对互联网关键基础设施的端口发现。
S3.合规协议探测包完成对关键基础设施的探测;
关键资产探测,端口探测模块发现的资产开放端口,由资产探测模块匹配、调度针对资产特定端口相对应的合规协议探测包。
所述端口探测模块是用于发现开放端口的模块,基于开放的端口,再由资产探测模块匹配与端口相对应的合规协议探测包进行资产数据的探测。基于工控协议采用特定的协议端口,分类调用与发现端口相对匹配的工控协议探针进行工控设备信息的合法探测,由于采用了遵循工控协议约定的合规协议探测包,不仅可以准确无误地获取到完整、可靠的设备标识数据,同时不会对稳定性、实时性要求极高的工控网络环境造成影响,本探测方法为无感、无损的主动式方法。
在关键基础设施网络中,每个相关工控协议都具有从设备位置、厂商到固件版本等产品标识的查询元数据,包括Modbus、Ethernet/IP、Profinet、S7等工控专有协议,同样适用于关键基础设施使用的IT协议,例如SNMP协议。像Siemens、Rockwell、Schneider等供应商的资产发现产品也肯定会使用它们,工控协议基本都具有查询元数据的特定功能。
关键基础设施通信协议这样的特性设计,其实就是为了方便设备厂商在工作站、HMI上发现、获取网络中各个设备的配置细节而这样目的性设计的,这就是工控协议合法探针能够正常工作的原因。
S4.设备指纹库,基于关键资产的设备指纹库对设备响应的合规数据包进行设备信息提取以及设备识别。
其中,设备指纹库的建立是为了排除非法无线网络设备为企业的内部网络带来的安全隐患,网络管理系统根据内部网络范围内所有合法无线网络设备的MAC(Media AccessControl,介质访问控制)地址,建立合法无线网络设备指纹库,合法无线网络设备指纹库包括内部网络范围内所有合法无线网络设备的MAC地址。
S5.漏洞检测规则匹配库,精确匹配、关联设备的漏洞风险;
通过关键基础设施各厂商的产品目录册,设计覆盖全面的产品精确划分方法,并结合人工审阅厂商漏洞安全公告的漏洞核对方式,建立细致的漏洞检测规则匹配库,实现对关键基础设施细分产品的精确检测规则匹配,从而确保漏洞检测模块准确关联目标资产存在的漏洞,大大提高基于静态漏洞检测的误报率,同时避免漏报潜在漏洞风险。
基于每个相关协议获取到设备厂商、产品型号、版本号等产品标识元数据,进行厂商、产品的分类,到目标厂商的设备漏洞检测规则中快速查询与设备匹配的规则,进一步基于查询到的漏洞检测规则完成已知漏洞关联。
S6.基于探测结果与漏洞库进行风险评估、威胁预警。
最后基于漏洞信息完成设备漏洞详情呈现,得到目标关键基础设施的漏洞检测结果。漏洞详情包括:漏洞对应的CVE编号、CNNVD编号、CNVD编号、漏洞等级、漏洞类型、漏洞描述、解决方案等信息。
使用自更新模块,周期性跟进最新漏洞数据,及时捕获关键基础设施的最新风险数据,以及时发现、通报关键资产的重大威胁,快速完成全网的安全态势感知。
本发明还涉及一种面向全网关键基础设施的风险态势感知系统,所述系统包括:
分布式任务管理模块,用于完成互联网IP段的切割、随机化;
端口发现扫描器,用于进行关键基础设施开放端口的发现;
合规协议探测包,用于安全、无损地完成对关键基础设施的探测;
设备指纹库,用于设备响应的合规数据包进行设备信息提取以及设备识别;
漏洞检测规则匹配库,用于精确匹配、关联设备的漏洞风险;
结果显示模块,基于探测结果与漏洞库进行风险评估、威胁预警。
并且,所述系统还具有端口探测模块和资产探测模块,所述端口探测模块用于发现资产开放端口,所述资产探测模块用于匹配、调度针对资产开放端口相对应的合规协议探测包;以及进一步包括自更新模块,用于周期性跟进最新漏洞数据,及时捕获关键基础设施的最新风险数据,以及时发现、通报关键资产的重大威胁,完成全网的安全态势感知。
本发明实施例还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述面向全网关键基础设施的风险态势感知方法实施例的各个过程,且能达到相同的技术效果。其中,所述的计算机可读存储介质,如只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
Claims (10)
1.一种面向全网关键基础设施的风险态势感知方法,其特征在于,包括如下步骤:
S1.通过分布式任务管理模块进行目标互联网IP段的切割、随机化;
S2.通过端口发现扫描器进行关键基础设施开放端口的发现;
S3.使用合规协议探测包完成对关键基础设施的探测;
S4.使用设备指纹库对设备响应的合规数据包进行设备信息提取以及设备识别;
S5.通过漏洞检测规则匹配库精确匹配、关联设备的漏洞风险;
S6.基于探测结果与漏洞库进行风险评估、威胁预警。
2.根据权利要求1所述的面向全网关键基础设施的风险态势感知方法,其特征在于,
所述分布式任务管理模块对于互联网的大IP段进行划分切割,并将划分后的子IP段自动化地分配到各个探测调度器,所述探测调度器将对IP进行进一步的随机化。
3.根据权利要求1或2所述的面向全网关键基础设施的风险态势感知方法,其特征在于,
所述端口发现扫描器为异步扫描器,基于关键基础设施采用特定端口实现特定协议通信的方式,预先设定好针对关键基础设施的特定端口列表,由异步扫描方式完成对互联网关键基础设施的端口发现。
4.根据权利要求3所述的面向全网关键基础设施的风险态势感知方法,其特征在于,
还具有端口探测模块和资产探测模块,所述端口探测模块用于发现资产开放端口,所述资产探测模块用于匹配、调度针对资产开放端口相对应的合规协议探测包;
基于工控协议采用特定的协议端口,通过分类调用与发现端口相对匹配的工控协议探针进行工控设备信息的合法探测,每个工控协议都具有产品标识的查询元数据,所述工控协议包括Modbus、Ethernet/IP、Profinet、S7以及适用于关键基础设施使用的IT协议。
5.根据权利要求4所述的面向全网关键基础设施的风险态势感知方法,其特征在于,
所述设备指纹库的包括内部网络范围内所有合法无线网络设备的MAC地址。
6.根据权利要求5所述的面向全网关键基础设施的风险态势感知方法,其特征在于,
建立漏洞检测规则匹配库,实现对关键基础设施细分产品的精确检测规则匹配,基于所述工控协议获取到的产品标识元数据,进行厂商、产品的分类,到目标厂商的设备漏洞检测规则中快速查询与设备匹配的规则,进一步基于查询到的漏洞检测规则完成漏洞关联;其中,所述产品标识元数据包括设备厂商、产品型号、版本号。
7.根据权利要求6所述的面向全网关键基础设施的风险态势感知方法,其特征在于,
基于漏洞信息完成设备漏洞详情呈现,得到关键基础设施的漏洞检测结果;所述漏洞详情包括:漏洞对应的CVE编号、CNNVD编号、CNVD编号、漏洞等级、漏洞类型、漏洞描述和/或解决方案。
8.根据权利要求7所述的面向全网关键基础设施的风险态势感知方法,其特征在于,
还包括自更新模块,用于周期性跟进最新漏洞数据,及时捕获关键基础设施的最新风险数据,以及时发现、通报关键资产的重大威胁,完成全网的安全态势感知。
9.一种面向全网关键基础设施的风险态势感知系统,其特征在于,包括:
分布式任务管理模块,用于完成互联网IP段的切割、随机化;
端口发现扫描器,用于进行关键基础设施开放端口的发现;
合规协议探测包,用于安全、无损地完成对关键基础设施的探测;
设备指纹库,用于设备响应的合规数据包进行设备信息提取以及设备识别;
漏洞检测规则匹配库,用于精确匹配、关联设备的漏洞风险;
结果显示模块,基于探测结果与漏洞库进行风险评估、威胁预警。
10.根据权利要求9所述的面向全网关键基础设施的风险态势感知系统,其特征在于,
还具有端口探测模块和资产探测模块,所述端口探测模块用于发现资产开放端口,所述资产探测模块用于匹配、调度针对资产开放端口相对应的合规协议探测包;
以及自更新模块,用于周期性跟进最新漏洞数据,及时捕获关键基础设施的最新风险数据,以及时发现、通报关键资产的重大威胁,完成全网的安全态势感知。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110267193.7A CN113055379A (zh) | 2021-03-11 | 2021-03-11 | 一种面向全网关键基础设施的风险态势感知方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110267193.7A CN113055379A (zh) | 2021-03-11 | 2021-03-11 | 一种面向全网关键基础设施的风险态势感知方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113055379A true CN113055379A (zh) | 2021-06-29 |
Family
ID=76511646
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110267193.7A Pending CN113055379A (zh) | 2021-03-11 | 2021-03-11 | 一种面向全网关键基础设施的风险态势感知方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113055379A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113765922A (zh) * | 2021-09-08 | 2021-12-07 | 福建天晴数码有限公司 | 一种反向探测进行风险控制的系统 |
| CN114244755A (zh) * | 2021-12-15 | 2022-03-25 | 北京恒安嘉新安全技术有限公司 | 一种资产探测方法、装置、设备及存储介质 |
| CN114513329A (zh) * | 2021-12-31 | 2022-05-17 | 徐工汉云技术股份有限公司 | 一种工业互联网信息安全评估方法及装置 |
| CN114844953A (zh) * | 2022-05-12 | 2022-08-02 | 机械工业仪器仪表综合技术经济研究所 | 基于工业互联网的石化装置仪表自控设备安全监测系统 |
| CN115333864A (zh) * | 2022-10-14 | 2022-11-11 | 北京珞安科技有限责任公司 | 一种工控漏洞扫描方法及系统 |
| CN115913786A (zh) * | 2023-01-09 | 2023-04-04 | 国家工业信息安全发展研究中心 | 一种工业互联网设备的漏洞验证方法及系统 |
| CN117527663A (zh) * | 2023-11-22 | 2024-02-06 | 北京有略安全技术有限公司 | 网络安全等级保护自动化检测系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060191007A1 (en) * | 2005-02-24 | 2006-08-24 | Sanjiva Thielamay | Security force automation |
| US20140137257A1 (en) * | 2012-11-12 | 2014-05-15 | Board Of Regents, The University Of Texas System | System, Method and Apparatus for Assessing a Risk of One or More Assets Within an Operational Technology Infrastructure |
| CN108390861A (zh) * | 2018-01-29 | 2018-08-10 | 中国电子科技网络信息安全有限公司 | 一种网络空间工控资产的威胁检测方法 |
| CN109613899A (zh) * | 2018-12-21 | 2019-04-12 | 国家计算机网络与信息安全管理中心 | 一种基于配置表的工控系统安全风险评估的方法 |
| US20200106793A1 (en) * | 2018-10-02 | 2020-04-02 | Olympus Infotech, LLC | Methods, systems, and computer program products for continuous cyber risk monitoring |
| CN112087462A (zh) * | 2020-09-11 | 2020-12-15 | 北京顶象技术有限公司 | 一种工控系统的漏洞检测方法和装置 |
-
2021
- 2021-03-11 CN CN202110267193.7A patent/CN113055379A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060191007A1 (en) * | 2005-02-24 | 2006-08-24 | Sanjiva Thielamay | Security force automation |
| US20140137257A1 (en) * | 2012-11-12 | 2014-05-15 | Board Of Regents, The University Of Texas System | System, Method and Apparatus for Assessing a Risk of One or More Assets Within an Operational Technology Infrastructure |
| CN108390861A (zh) * | 2018-01-29 | 2018-08-10 | 中国电子科技网络信息安全有限公司 | 一种网络空间工控资产的威胁检测方法 |
| US20200106793A1 (en) * | 2018-10-02 | 2020-04-02 | Olympus Infotech, LLC | Methods, systems, and computer program products for continuous cyber risk monitoring |
| CN109613899A (zh) * | 2018-12-21 | 2019-04-12 | 国家计算机网络与信息安全管理中心 | 一种基于配置表的工控系统安全风险评估的方法 |
| CN112087462A (zh) * | 2020-09-11 | 2020-12-15 | 北京顶象技术有限公司 | 一种工控系统的漏洞检测方法和装置 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113765922A (zh) * | 2021-09-08 | 2021-12-07 | 福建天晴数码有限公司 | 一种反向探测进行风险控制的系统 |
| CN113765922B (zh) * | 2021-09-08 | 2023-03-14 | 福建天晴数码有限公司 | 一种反向探测进行风险控制的系统 |
| CN114244755A (zh) * | 2021-12-15 | 2022-03-25 | 北京恒安嘉新安全技术有限公司 | 一种资产探测方法、装置、设备及存储介质 |
| CN114244755B (zh) * | 2021-12-15 | 2023-11-14 | 北京恒安嘉新安全技术有限公司 | 一种资产探测方法、装置、设备及存储介质 |
| CN114513329A (zh) * | 2021-12-31 | 2022-05-17 | 徐工汉云技术股份有限公司 | 一种工业互联网信息安全评估方法及装置 |
| CN114844953A (zh) * | 2022-05-12 | 2022-08-02 | 机械工业仪器仪表综合技术经济研究所 | 基于工业互联网的石化装置仪表自控设备安全监测系统 |
| CN115333864A (zh) * | 2022-10-14 | 2022-11-11 | 北京珞安科技有限责任公司 | 一种工控漏洞扫描方法及系统 |
| CN115333864B (zh) * | 2022-10-14 | 2023-01-10 | 北京珞安科技有限责任公司 | 一种工控漏洞扫描方法及系统 |
| CN115913786A (zh) * | 2023-01-09 | 2023-04-04 | 国家工业信息安全发展研究中心 | 一种工业互联网设备的漏洞验证方法及系统 |
| CN115913786B (zh) * | 2023-01-09 | 2023-05-23 | 国家工业信息安全发展研究中心 | 一种工业互联网设备的漏洞验证方法及系统 |
| CN117527663A (zh) * | 2023-11-22 | 2024-02-06 | 北京有略安全技术有限公司 | 网络安全等级保护自动化检测系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113055379A (zh) | 一种面向全网关键基础设施的风险态势感知方法和系统 | |
| CN110149350B (zh) | 一种告警日志关联的网络攻击事件分析方法及装置 | |
| EP3253018B1 (en) | Network intrusion detection based on geographical information | |
| CN112651006B (zh) | 一种电网安全态势感知系统 | |
| CN107404465B (zh) | 网络数据分析方法及服务器 | |
| Bryant et al. | Improving SIEM alert metadata aggregation with a novel kill-chain based classification model | |
| Detken et al. | SIEM approach for a higher level of IT security in enterprise networks | |
| CN110210213B (zh) | 过滤恶意样本的方法及装置、存储介质、电子装置 | |
| CN104125197A (zh) | 一种安全基线系统及其实现安全检查的方法 | |
| CN111935082A (zh) | 一种网络威胁信息关联系统及方法 | |
| CN108259630B (zh) | 未备案网站探测方法、平台和系统 | |
| CN111478889B (zh) | 一种告警方法及装置 | |
| CN112087462A (zh) | 一种工控系统的漏洞检测方法和装置 | |
| CN108234426B (zh) | Apt攻击告警方法和apt攻击告警装置 | |
| CN113111951A (zh) | 数据处理方法以及装置 | |
| CN116451215A (zh) | 关联分析方法及相关设备 | |
| CN115733646A (zh) | 网络安全威胁评估方法、装置、设备及可读存储介质 | |
| Niedermaier et al. | Efficient passive ICS device discovery and identification by MAC address correlation | |
| CN111193727A (zh) | 运行监测系统及运行监测方法 | |
| Sen et al. | Towards an approach to contextual detection of multi-stage cyber attacks in smart grids | |
| CN117792733A (zh) | 一种网络威胁的检测方法及相关装置 | |
| Erlansari et al. | Early Intrusion Detection System (IDS) using Snort and Telegram approach | |
| CN113098852A (zh) | 一种日志处理方法及装置 | |
| CN116684329A (zh) | 一种网络资产发现方法、装置和存储介质 | |
| CN115567258A (zh) | 网络安全态势感知方法、系统、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210629 |
|
| RJ01 | Rejection of invention patent application after publication |