CN115378744B - 一种网络安全测试评估系统及方法 - Google Patents

Abstract

本发明公开了一种网络安全测试评估系统及方法，其中评估方法包括如下步骤：S100、设置评估周期，获取目标网络的初始待处理信息；S200、设置测试模型，对目标网络进行网络入侵检测，得到测试数据；S300、对初始待处理信息和测试数据进行外部安全风险评估和内部安全风险评估，得到外因评估分值和内因评估分值；S400、根据外因评估分值和内因评估分值计算综合评分，得到综合评估等级；S500、输出综合评估结果和相应建议。本发明相对于现有技术，通过对工业控制网络的网络通信安全进行设备性能和外部攻击两方面综合评估分析，评估更客观、全面，可以实现数据的智能化分析与处理，提高了网络安全分析的可靠性，同时提高了设备故障排查的效率。

Description

一种网络安全测试评估系统及方法

技术领域

本发明涉及网络安全技术领域，尤其涉及一种网络安全测试评估系统及方法。具体来说，属于IPC分类中的G06Q。

背景技术

工业控制网络（Industrial Control Network，ICN）是工业控制系统中的一个重要组成部分，主要通过构建特殊的网络结构将工业控制系统中所有控制设备连接起来进行数据传输并实时监控工业生产中的设备。

近些年，工业控制网络在工业互联网的作用下，逐渐呈现出开放的趋势，不再是过去封闭式运行的环境。同时，由于工业控制网络对数据传输速率有着严格要求，工业控制系统所应用的以太网和现场总线技术也正朝着复杂化、多样化、信息化的方向发展。由于工业控制网络应用了大量的新技术，在开放式、互通式的网络状态下，工业控制网络安全问题越来越受到人们的关注，当工业控制网络安全遭到威胁时，网络设备将会出现宕机，生产中断将导致经济损失，严重时可能会威胁到人类的生命安全。

对于工业控制网络来说，黑客入侵及病毒感染只是其安全中的一部分，大部分工业控制网络常见的安全事件是由其网络中任一节点的故障导致的，由于部分设备组件的疲劳、腐蚀、磨损等原因使得设备性能逐渐下降，最终超过了故障的允许值。这些网络节点故障很容易导致系统出现整体停机，最终威胁整个控制系统的安全，导致大量的经济损失和人员伤亡。

工业控制网络作为具有特殊适用对象的通信网络，其最终目的是通过传递和测量控制数据及相关信息，对现场设备进行动态调控，同时，还需要对现场环境变化及设备自身状态进行监控。

网络安全是工业控制网络设计的关键指标，是保障工业网络运行、生产安全的一个重要前提。如果工业控制网络自身发生故障或者被恶意破坏，不仅仅会导致控制设备出现故障，甚至造成财产损失和人员伤亡的严重后果。由于其自身特点和工作环境的特殊性，导致其与互联网存在着显著的差异。在工业控制网络中，控制器、网络节点、执行器等控制类节点具有易发生通讯故障，传输故障率高等问题。由于工业控制网络一般采用分布式的拓扑结构，各个通信节点距离可能较远，通讯节点数量也过多，这就增加了工业控制网络风险，易受到外部攻击或其他破坏。

综上，工业控制网络的网络通信的安全影响因素可以归纳为内因（设备性能下降）和外因（外部攻击）两个方面。因此，需要综合考虑各种因素，才能客观、全面的对工业控制网络的安全进行评估。

发明内容

本发明的目的是提供一种网络安全测试评估系统及方法，可以对内因和外因进行综合评估分析，实现数据的智能化分析与处理，提高了网络安全分析的可靠性和全面性。

为了实现上述目的，本发明采用了如下技术方案：

一种网络安全测试评估系统及方法，包括如下步骤：

S100、设置评估周期，获取目标网络的初始待处理信息；

S200、设置测试模型，对目标网络进行网络入侵检测，得到测试数据；

S300、对所述测试数据进行外部安全风险评估，得到外因评估分值，对所述初始待处理信息进行内部安全风险评估，得到内因评估分值；

S400、根据所述外因评估分值和内因评估分值计算综合评分，得到综合评估等级；

S500、输出综合评估结果和相应建议。

进一步设置为：所述外部安全风险评估包括如下步骤：

S311、提取所述测试数据的部分网络通信数据，对网络通信数据进行处理得到外部攻击行为的第一入侵特征，所述第一入侵特征包括源 IP 地址、目标 IP 地址、IP 数据包头的长度、源端口号、目标端口号、功能代码、协议标识符、报文长度、数据地址、数据量、事务处理标识符、单元标识符12项数据特征；

S312、特征值的归一化处理：对所述第一入侵特征进行归一化处理，统一入侵特征的度量单位，得到第二入侵特征；

S313、设置攻击类型标签，根据测试数据得到的日志信息识别攻击类型，对相应攻击行为打上攻击类型标签；

S314、计算某个攻击行为的平均攻击时间，即攻击成功所需的消耗时间：

其中，ti为所述第二入侵特征中某个特征值发生变化的时间跃迁，n为评估周期内某原子攻击行为发生的次数；

S315、根据不同攻击类型对目标网络可能造成的严重程度设置不同的相关系数，在评估周期内，如果存在m种攻击行为，计算评估周期内攻击行为的总平均实施时间：

其中，

为不同攻击类型对应的相关系数；

S316、根据总平均实施时间的高低判定外部安全风险等级，得到对应的外因评估分值G₁：

当T＞T₁时，外部安全风险等级为低风险，G₁=30；

当T₂≤T＜T₁时，外部安全风险等级为中风险，G₁=60；

当T＜T₃时，外部安全风险等级为高风险，G₁=90；

T₁、T₂、T₃为外部安全风险评估阈值。

进一步设置为：所述内部安全风险评估流程包括如下步骤：

S321、收集目标网络的各个组件在某一时间段的历史日志信息，提取所述历史日志信息中各个故障类型的报文丢失率和报错数，并作为待预测特征数据；

S322、将各个组件作为待分类点，将所述待预测特征数据信息作为样本集，将所述待预测特征数据输入测试模型进行计算，得到待分类点的类型预测概率和预测类型，并计算目标网络的综合故障概率P；

所述步骤S322进一步包括如下步骤：

1）输入待预测特征数据，将各个组件作为待分类点，将待预测特征数据信息作为样本集。

2）计算待分类点与样本集中第a个样本点之间的曼哈顿距离：

其中，

表示待分类点的第b个特征值，

表示样本集中第a个样本的第b个特征值，此处n=2，对应报文丢失率和报错数2个特征；

3）按照距离的递增关系进行排序，然后选取距离最小的K个点；

4）确定的K个点所在类别的出现频率，即作为该组件对应的类型预测概率P_u；

5）根据少数服从多数的原则，在K个点中占比最高的类别作为该组件的预测类型C_u；

6）计算综合故障概率：P=p₁C₁+……+p_uC_u，u表示目标网络的节点设备组件数。

S323、根据所述综合故障概率判定内部安全风险等级，得到对应的内因评估分值G₂：

当P＞0.8时，内部安全风险等级为高风险，G₂=90；

当0.5≤P＜0.8时，内部安全风险等级为中风险，G₂=60；

当P＜0.5时，内部安全风险等级为低风险，G₂=30。

进一步设置为：所述步骤S400进一步包括如下步骤：

综合评分计算过程为：G=α*G₂+β*G₁，其中α为内部安全故障的影响因子，β为外部攻击的影响因子，α＞0，β＞0，α+β=1；

当G≥85时，评定目标网络的网络安全风险等级为Ⅰ级，表示目标网络的网络通信处于高风险；

当60≤G＜85时，评定目标网络的网络安全风险等级为Ⅱ级，表示目标网络的网络通信处于中风险；

当G＜60时，评定目标网络的网络安全风险等级为Ⅲ级，表示目标网络的网络通信处于低风险。

进一步设置为：所述初始待处理信息包括但不限于历史日志信息、目标网络型号、运行的操作系统及补丁安装情况、配置情况、运行服务及服务程序版本。

进一步设置为：所述攻击类型标签包括工控蠕虫攻击、逻辑炸弹攻击、勒索病毒攻击、重放攻击、DDoS攻击以及IO劫持攻击。

本发明还公开了一种网络安全测试评估系统，用于实现上述所述的评估方法，包括输入模块、测试模块、内部安全风险评估模块、外部安全风险评估和结果输出模块，其中，

所述输入模块：用于获取目标网络的初始待处理信息；

所述测试模块：和所述输入模块相连接，存储有测试模型，用于对目标网络进行网络入侵检测以获得测试数据；

所述评估模块：用于对所述初始待处理信息和测试数据进行内部安全风险评估和外部安全风险评估，并计算综合评分结果，得到综合评估等级；

所述输出模块：用于输出综合评分结果和相应建议。综合评估结果包括外部安全风险评估结果、内部安全风险评估结果以及综合评估等级。将内部安全风险评估结果可视化，目标网络的各节点设备及其组件的型号和相应预测结果形成节点设备故障预测表，预测结果为[C₁,C₂,……C_u]×[p₁,p₂,……p_U]。

相比于现有技术，本发明的有益技术效果为：

1、通过分析外部攻击击行为的总平均实施时间，分析其攻击代价，以及不同攻击类型对系统产生的负面影响程度等指标来评估网络的安全状况。工作人员根据外部安全风险等级的判定结果，决定是否要加强目标网络安全管理措施。

2、将内部安全风险评估结果可视化，目标网络的各节点设备及其组件的型号和相应预测结果形成节点设备故障预测表，工作人员可以根据节点设备故障预测表有针对性地重点排查各节点设备及其组件。

综上所述，本发明可以对工业控制网络的网络通信安全进行设备性能和外部攻击两方面综合评估分析，客观、全面地对工业控制网络的安全进行评估，实现数据的智能化分析与处理，提高了网络安全分析的可靠性，同时提高了设备故障排查的效率。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明提供的一种网络安全测试评估方法的流程图；

图2为本发明中外部安全风险评估的流程图；

图3为本发明中内部安全风险评估的流程图；

图4为本发明提供的一种网络安全测试评估系统的结构框图；

图5本发明提供的计算机设备结构框图。

附图标记：1、输入模块；2、测试模块；3、评估模块；4、输出模块；5、存储器；6、处理器；7、网络适配器；8、通信接口；9、外部设备。

具体实施方式

下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本发明的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。

在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。

下面首先对本发明涉及的技术术语进行解释：

目标网络：需要进行网络安全测试评估的工业控制网络，包括工业控制网络中传感器、控制器、网络节点、执行器等各个节点设备。

日志信息：包括事件日志和消息日志的信息。

原子攻击：不依赖其它攻击行为，且可单独实施的攻击行为称为原子攻击。

参照图1，为本发明公开的一种网络安全测试评估方法，包括如下步骤：

S100、设置评估周期，获取目标网络的初始待处理信息，所述初始待处理信息包括但不限于历史日志信息、目标网络型号、运行的操作系统及补丁安装情况、配置情况、运行服务及服务程序版本。

S200、设置测试模型，对目标网络进行网络入侵检测，得到测试数据。

所述网络入侵检测的具体过程为：在网络中构建包含样本训练中心，首先在网络入侵检测设备上和训练中心上，配置相同网络结构的测试模型，然后由网络入侵检测设备收集目标网络网络中的网络连接数据，为训练中心提供训练样本，接下来训练中心对训练样本进行学习，实现对测试模型参数的训练，并将训练好的测试模型参数传递给网络入侵检测设备，最后网络入侵检测设备利用这些模型参数，对测试模型进行参数配置，从而实现对目标网络的网络入侵检测。

S300、对所述测试数据进行外部安全风险评估，得到外因评估分值，对所述初始待处理信息进行内部安全风险评估，得到内因评估分值。

S400、设定综合评估等级，得到综合评分结果；

S500、将所述综合评分结果可视化，输出综合评分结果和综合评估等级。

参照图2，为本发明公开的又一实施例，所述外部安全风险评估进一步包括如下步骤：

S311、提取测试数据的部分网络通信数据，网络通信数据包括IP 地址、端口号、Modbus 长度、功能码等数据特征，对网络通信数据进行处理得到外部攻击行为的第一入侵特征，所述第一入侵特征包括源 IP 地址、目标 IP 地址、IP 数据包头的长度、源端口号、目标端口号、功能代码、协议标识符、报文长度、数据地址、数据量、事务处理标识符、单元标识符12项数据特征。

网络通信数据可以分为TCP /IP 层数据特征和Modbus应用层流量数据特征两大层面的数据特征，以下简要说明选取这12项数据特征作为入侵特征的原因。

TCP /IP 层数据特征：该层继承了传统 IT 信息系统的通信方式，容易受到 DoS和IP欺骗等常见网络攻击。由于源IP地址和目标IP地址可以揭示恶意攻击的对象，并且可以识别非法攻击者的身份，因此选择两个IP地址作为特征量x1和x2；IP数据包头长度的设计是因为数据包可选字段的大小发生变化，并且选择了IP 消息长度特征量可以揭示改变IP消息长度的攻击行为。特征量x3是IP 数据包头的长度。源端口号和目标端口号可以指示应用程序使用的通信协议和服务端口。例如，Modbus 协议使用端口502，并选择两个端口号属性作为入侵检测特性 x4和x5。

Modbus应用层流量数据特征：在应用层中，传输基于Modbus协议的工业通信行为数据。提取的交通数据特征主要反映了工业通信行为的运行方式。例如，攻击者可以通过功能代码执行相应的操作来破坏系统，选择功能代码作为检测特征x6；选择协议标识符作为Modbus协议网络通信的特征x7，以防止恶意攻击改变协议；攻击者可能会使用Modbus协议进行攻击，这可能会导致生产。 数据长度可以显示格式错误的Modbus消息中的此更改，并选择长度作为数据输入功能x8；当访问设备数据时，由于访问未知数据地址的攻击特性，攻击者可能会选择数据地址作为特征x9；攻击者可以通过改变寄存器控制参数，选择读写寄存器的数据量作为特征x10；事务处理标识符用于标识请求并响应事务处理。单元标识符用于网络通信传输。攻击者可能会改变这两个特征量，阻止正常的网络通信功能或非法操作。选择对象标识符作为特征量x11，并且检测单元标识符作为特征量x12。通过分析异常行为的通信方式，分析通信网络的流量数据，因此直接选择12个入侵检测系统的输入特征量。第一入侵特征的特征描述和功能说明如下表所示。

第一入侵特征	特征描述	功能
			x1	源IP 地址	标识网络通信方向
x2	目标IP地址	标识网络通信方向
			x3	IP 包头部长度	检测IP包报文长度
x4	源端口	检测合法的服务端口
			x5	目标端口	检测合法的服务端口
x6	功能代码	揭示执行的功能
			x7	协议标识符	标识通讯协议
x8	长度	检测Modbus报文长度
			x9	数据地址	揭示请求操作寄存器
x10	数据量	读或写数据信息
			x11	事务处理标识符	标识请求或响应失误
x12	单元标识符	标识网络通讯传输

S312、特征值的归一化处理：对所述第一入侵特征进行归一化处理，统一入侵特征的度量单位，得到第二入侵特征。由于从网络上采集的入侵特征值为不同的度量单位，样本的特征属性各异，为了消除这些不利因素，需要进行归一化预处理。

S313、设置攻击类型标签，根据测试数据得到的日志信息识别攻击类型，对相应攻击行为打上攻击类型标签，攻击类型标签包括工控蠕虫攻击、逻辑炸弹攻击、勒索病毒攻击、重放攻击、DDoS攻击、IO劫持攻击。

S314、计算某个攻击行为的平均攻击时间，即攻击成功所需的消耗时间。

当攻击发生时，通常会发生尝试改写IP地址、功能码等行为，当网络通信数据中的某个特征值发生变化时，其时间跃迁定义为一次原子攻击成功后的攻击时间ti。

在攻击过程中，若某原子攻击行为发生了n 次，且存在攻击时间序列{ ti,i=1，2……n }，则该攻击行为的平均实施时间为：

S315、根据不同攻击类型对目标网络可能造成的严重程度设置不同的相关系数，在评估周期内，如果存在m种攻击行为，计算评估周期内攻击行为的总平均实施时间：

其中，

为不同攻击类型对应的相关系数。

S316、根据总平均实施时间的高低判定外部安全风险等级，得到对应的外因评估分值G₁：

当T＞T₁时，外部安全风险等级为低风险，G₁=30；

当T₂≤T＜T₁时，外部安全风险等级为中风险，G₁=60；

当T＜T₃时，外部安全风险等级为高风险，G₁=90；

T₁、T₂、T₃为外部安全风险评估阈值，攻击耗时越长，表示攻击代价越大，对应的风险评估分值越低。

工作人员根据外部安全风险等级的判定结果，决定是否要加强目标网络安全管理措施，改善目标网络的网络状态。

参照图3，为本发明公开的又一实施例，所述内部安全风险评估流程包括如下步骤：

S321、收集目标网络的各个组件在某一时间段的历史日志信息，提取所述历史日志信息中各个故障类型的报文丢失率和报错数，并作为待预测特征数据。

报文丢失率：由于系统网络故障，经常会出现数据包丢失，设备故障或者网络传输介质出现故障都会导致报文丢失，如果将传输介质看作是这个节点设备的一部分，那么可以定义为：报文丢失主要都是由节点设备故障导致的，报文丢失频率和数量的多少影响目标网络的网络安全。

报错数：在控制网络中，最初设计时都会将传输实时性作为设计原则，然而在实际过程中，由于目标网络所处的环境和磨损，总会出现通讯报错数的现象，但是一般都会在一定的容忍度范围内，如果超过了这个容忍度，就可以认为该组件具有潜在故障，影响目标网络的网络安全。

S322、将各个组件作为待分类点，将所述待预测特征数据信息作为样本集，将所述待预测特征数据和待分类点的特征值输入测试模型进行计算，得到待分类点的类型预测概率和预测类型，并计算目标网络的综合故障概率P。

1）输入待预测特征数据，将各个组件作为待分类点，将待预测特征数据信息作为样本集。

2）计算待分类点与样本集中第a个样本点之间的曼哈顿距离：

其中，

表示待分类点的第b个特征值，

表示样本集中第a个样本的第b个特征值，此处n=2，对应报文丢失率和报错数2个特征；

按照距离的递增关系进行排序，然后选取距离最小的K个点；

确定的K个点所在类别的出现频率，即作为待分类点对应的类型预测概率p_u；

5）根据少数服从多数的原则，在K个点中占比最高的类别作为待分类点的预测类型C_u；C_u=0或1，0表示对应待分类点出现故障，1表示对应待分类点运行良好。

6）P=p₁C₁+……+p_uC_u，u表示目标网络的节点设备组件数。

S323、根据所述综合故障概率判定内部安全风险等级，得到对应的内因评估分值G₂：

当P＞0.8时，内部安全风险等级为高风险，G₂=90；

当0.5≤P＜0.8时，外部安全风险等级为中风险，G₂=60；

当P＜0.5时，外部安全风险等级为低风险，G₂=30。

将内部安全风险评估结果可视化，目标网络的各节点设备及其组件的型号和相应预测结果形成节点设备故障预测表，预测结果为[C₁,C₂,……C_u]×[p₁,p₂,……p_U]，工作人员可以根据节点设备故障预测表有针对性地重点排查各节点设备。

S400、对内因和外因对目标网络网络安全的影响进行综合分析：计算综合评分，得到综合评估等级。

综合评分计算过程为：G=α*G₂+β*G₁，其中α为内部安全故障的影响因子，β为外部攻击的影响因子，α＞0，β＞0，α+β=1；

当G≥85时，评定目标网络的网络安全风险等级为Ⅰ级，表示目标网络的网络通信处于高风险；

当60≤G＜85时，评定目标网络的网络安全风险等级为Ⅱ级，表示目标网络的网络通信处于中风险；

当G＜60时，评定目标网络的网络安全风险等级为Ⅲ级，表示目标网络的网络通信处于低风险。

S500、输出综合评估结果和相应建议。综合评估结果包括外部安全风险评估结果、内部安全风险评估结果以及综合评估等级。

当综合评估等级为低风险时，表明目标网络正常；当综合评估等级为中风险时，建议加强目标网络安全管理措施，改善目标网络的网络状态；当综合评估等级为高风险时，建议停止目标网络各设备的运行操作，停机检查各设备的硬件安全和网络安全。

参照图4，为本发明公开的一种网络安全测试评估系统，用于实现上述所述的方法实施例，包括输入模块1、测试模块2、评估模块3和结果输出模块4，其中，

所述输入模块：用于获取目标网络的初始待处理信息；

所述测试模块：和所述输入模块相连接，存储有测试模型，用于对目标网络进行网络入侵检测以获得测试数据；

所述评估模块：用于对所述初始待处理信息和测试数据进行内部安全风险评估和外部安全风险评估，并计算综合评分结果，得到综合评估等级；

所述输出模块：用于输出综合评估等级和相应建议。

其具体实施过程可以参见前述方法实施例，此处不再赘述。

参照图5，为本发明提供的计算机设备实施例，该计算机设备包括：一个或多个处理器6，以及用于存储处理器的可执行指令的存储器5，存储器5和处理器6电性连接。

其中，处理器6配置为经由执行所述可执行指令来执行前述方法实施例对应的方法，其具体实施过程可以参见前述方法实施例，此处不再赘述。

值得一提的是，上述步骤S311、步骤S321并没有固定的执行顺序，处理器6可依据任意顺序先后取得上述的各项参数，或是通过多任务处理同时取得上述的所有参数，而不以图2-图3所示的步骤顺序为限。

所述的存储器5可以是不同类型存储设备，用于存储各类数据。例如，可以是计算机设备的存储器、内存，还可以是可外接于该计算机设备的存储卡，如闪存、SM卡、SD卡等。此外，存储器5可以包括包括非易失性存储器，例如硬盘、内存、插接式硬盘，智能存储卡，安全数字卡，闪存卡、至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。存储器5用于存储各类数据，例如，所述计算机设备中安装的各类应用程序、应用上述测试评估方法而设置、获取的数据等信息。

所述处理器6可以是中央处理单元，还可以是其他通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。

可选的，该计算机设备还可以包括：通信接口8，该计算机设备通过通信接口可以与一个或多个外部设备9（例如键盘、指向设备、显示器等）通信连接。

可选的，该计算机设备还可以包括：网络适配器7，该计算机设备可通过网络适配器7与一个或多个网络（例如局域网（LAN），广域网（WAN）和/或公共网络，例如因特网）通信。网络安全评估结果通过短信、公众号、内部平台、大屏展示等方式发送到外部设备9上，从而实时监控目标网络各个组件的运行状态，评估人员还可以根据综合评估结果进行有针对性地定点排查故障或升级网络安全。

本发明还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现前述方法实施例中对应的方法，其具体实施过程可以参见前述方法实施例，此处不再赘述。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (8)

1.一种网络安全测试评估方法，其特征在于，包括如下步骤：

S100、设置评估周期，获取目标网络的初始待处理信息；

S200、设置测试模型，对目标网络进行网络入侵检测，得到测试数据；

S300、对所述测试数据进行外部安全风险评估，得到外因评估分值，对所述初始待处理信息进行内部安全风险评估，得到内因评估分值；

S400、根据所述外因评估分值和内因评估分值计算综合评分，得到综合评估等级；

S500、输出综合评估结果和相应建议，所述综合评估结果包括外部安全风险评估结果、内部安全风险评估结果以及综合评估等级；

所述外部安全风险评估包括如下步骤：

S311、提取所述测试数据的部分网络通信数据，对网络通信数据进行处理得到外部攻击行为的第一入侵特征，所述第一入侵特征包括源 IP 地址、目标 IP 地址、IP 数据包头的长度、源端口号、目标端口号、功能代码、协议标识符、报文长度、数据地址、数据量、事务处理标识符、单元标识符12项数据特征；

S312、特征值的归一化处理：对所述第一入侵特征进行归一化处理，统一入侵特征的度量单位，得到第二入侵特征；

S313、设置攻击类型标签，根据测试数据得到的日志信息识别攻击类型，对相应攻击行为打上攻击类型标签；

S314、计算某个攻击行为的平均攻击时间，即攻击成功所需的消耗时间：

其中，ti为所述第二入侵特征中某个特征值发生变化的时间跃迁，n为评估周期内某原子攻击行为发生的次数；

S315、根据不同攻击类型对目标网络可能造成的严重程度设置不同的相关系数，在评估周期内，如果存在m种攻击行为，计算评估周期内攻击行为的总平均实施时间：

其中，

为不同攻击类型对应的相关系数；

S316、根据总平均实施时间的高低判定外部安全风险等级，得到对应的外因评估分值G₁：

当T＞T₁时，外部安全风险等级为低风险，G₁=30；

当T₂≤T＜T₁时，外部安全风险等级为中风险，G₁=60；

当T＜T₃时，外部安全风险等级为高风险，G₁=90；

T₁、T₂、T₃为外部安全风险评分阈值；

所述内部安全风险评估流程包括如下步骤：

S321、收集目标网络的各个组件在某一时间段的历史日志信息，提取所述历史日志信息中各个故障类型的报文丢失率和报错数，并作为待预测特征数据；

S322、将各个组件作为待分类点，将所述待预测特征数据信息作为样本集，将所述待预测特征数据和所述待分类点的特征值输入评估模型进行计算，得到所述待分类点的类型预测概率和预测类型，并计算目标网络的综合故障概率P；

S323、根据所述综合故障概率判定内部安全风险等级，得到对应的内因评估分值G₂：

当P＞0.8时，内部安全风险等级为高风险，G₂=90；

当0.5≤P＜0.8时，内部安全风险等级为中风险，G₂=60；

当P＜0.5时，内部安全风险等级为低风险，G₂=30。

2.根据权利要求1所述的一种网络安全测试评估方法，其特征在于，步骤S322中所述评估模型计算具体包括如下步骤：

1）输入待预测特征数据，将各个组件作为待分类点，将待预测特征数据信息作为样本集；

2）计算待分类点与样本集中第a个样本点之间的曼哈顿距离：

其中，

表示待分类点的第b个特征值，

表示样本集中第a个样本的第b个特征值，此处n=2，对应报文丢失率和报错数2个特征；

3）按照距离的递增关系进行排序，然后选取距离最小的K个点；

4）确定的K个点所在类别的出现频率，即作为所述待分类点对应的类型预测概率p_u；

5）根据少数服从多数的原则，在K个点中占比最高的类别作为所述待分类点的预测类型C_u；

6）计算综合故障概率：P=p₁C₁+……+p_uC_u，u表示目标网络的节点设备组件数。

3.根据权利要求1所述的一种网络安全测试评估方法，其特征在于，所述步骤S400进一步包括如下步骤：

综合评分计算过程为：G=α*G₂+β*G₁，其中α为内部安全故障的影响因子，β为外部攻击的影响因子，α＞0，β＞0，α+β=1；

当G≥85时，评定目标网络的网络安全风险等级为Ⅰ级，表示目标网络的网络通信处于高风险；

当60≤G＜85时，评定目标网络的网络安全风险等级为Ⅱ级，表示目标网络的网络通信处于中风险；

当G＜60时，评定目标网络的网络安全风险等级为Ⅲ级，表示目标网络的网络通信处于低风险。

4.根据权利要求1所述的一种网络安全测试评估方法，其特征在于，所述初始待处理信息包括但不限于历史日志信息、各节点设备及其组件的型号、运行的操作系统及补丁安装情况、配置情况、运行服务及服务程序版本。

5.根据权利要求1所述的一种网络安全测试评估方法，其特征在于，所述攻击类型标签包括工控蠕虫攻击、逻辑炸弹攻击、勒索病毒攻击、重放攻击、DDoS攻击以及IO劫持攻击。

6.一种网络安全测试评估系统，用于实现权利要求1-5任一项所述的方法，其特征在于，包括输入模块（1）、测试模块（2）、评估模块（3）和输出模块（4），其中，

所述输入模块：用于设置评估周期，以及获取目标网络的初始待处理信息；

所述测试模块：和所述输入模块相连接，存储有测试模型，用于对目标网络进行网络入侵检测以获得测试数据；

所述评估模块：用于对所述测试数据进行外部安全风险评估，得到外因评估分值，对所述初始待处理信息进行内部安全风险评估，得到内因评估分值，并计算综合评分，得到综合评估等级；

所述输出模块：用于输出综合评估结果和相应建议，所述综合评估结果包括外部安全风险评估结果、内部安全风险评估结果以及综合评估等级。

7.一种计算机设备，包括处理器（6）和存储器（5），所述存储器（5）与处理器（6）电性连接，所述存储器（5）用于存储处理器（6）的可执行指令；其中，所述处理器（6）配置为经由执行所述可执行指令来执行权利要求1-5任一项所述的方法。

8.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现上述权利要求1-5任一项所述的方法。

Images