CN115618349A - 工控资产漏洞检测方法、设备、存储介质及装置 - Google Patents

工控资产漏洞检测方法、设备、存储介质及装置 Download PDF

Info

Publication number
CN115618349A
CN115618349A CN202110787278.8A CN202110787278A CN115618349A CN 115618349 A CN115618349 A CN 115618349A CN 202110787278 A CN202110787278 A CN 202110787278A CN 115618349 A CN115618349 A CN 115618349A
Authority
CN
China
Prior art keywords
cve
information
industrial control
control asset
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110787278.8A
Other languages
English (en)
Inventor
田龙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou 360 Intelligent Security Technology Co Ltd
Original Assignee
Suzhou 360 Intelligent Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suzhou 360 Intelligent Security Technology Co Ltd filed Critical Suzhou 360 Intelligent Security Technology Co Ltd
Priority to CN202110787278.8A priority Critical patent/CN115618349A/zh
Publication of CN115618349A publication Critical patent/CN115618349A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种工控资产漏洞检测方法、设备、存储介质及装置,该方法包括:获取通用漏洞披露CVE信息以及工控网络中的工控资产信息,并生成CVE信息对应的CVE标签,将工控资产信息与CVE标签进行匹配,并根据匹配结果对CVE信息进行筛选,获得目标CVE信息集,根据目标CVE信息集确定工控网络中的工控资产漏洞信息;相较于现有的人工将工控资产信息与CVE信息进行匹配的方式,由于本发明先生成CVE标签,再将工控资产信息与CVE标签进行匹配,最后根据匹配结果确定工控资产漏洞信息,从而能够准确识别工控网络中的工控资产漏洞,降低工业网络被攻击的风险。

Description

工控资产漏洞检测方法、设备、存储介质及装置
技术领域
本发明涉及网络安全技术领域,尤其涉及一种工控资产漏洞检测方法、设备、存储介质及装置。
背景技术
目前,在对工控网络中的工控资产进行漏洞检测时,往往需要人工将工控资产信息与通用漏洞披露(Common Vulnerabilities&Exposures,CVE)信息进行匹配,并根据匹配结果确定工控资产漏洞。
但是,上述方式由于需要人工进行信息匹配,从而导致漏洞检测的效率以及准确率低。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种工控资产漏洞检测方法、设备、存储介质及装置,旨在解决现有技术中工控资产漏洞检测的效率以及准确率低的技术问题。
为实现上述目的,本发明提供一种工控资产漏洞检测方法,所述工控资产漏洞检测方法包括以下步骤:
获取通用漏洞披露CVE信息以及工控网络中的工控资产信息,并生成CVE信息对应的CVE标签;
将所述工控资产信息与所述CVE标签进行匹配,并根据匹配结果对所述CVE信息进行筛选,获得目标CVE信息集;
根据所述目标CVE信息集确定所述工控网络中的工控资产漏洞信息。
可选地,所述将所述工控资产信息与所述CVE标签进行匹配,并根据匹配结果对所述CVE信息进行筛选,获得目标CVE信息集的步骤,具体包括:
将所述工控资产信息与所述CVE标签进行模糊匹配,获得模糊匹配结果;
根据预设文本相似度模型确定所述CVE信息与所述工控资产信息的文本相似度;
根据预设相似系数模型确定所述CVE信息与所述工控资产信息的相似系数;
根据所述模糊匹配结果、所述文本相似度以及所述相似系数对所述CVE信息进行筛选,获得目标CVE信息集。
可选地,所述将所述工控资产信息与所述CVE标签进行模糊匹配,获得模糊匹配结果的步骤,具体包括:
对所述工控资产信息进行关键词提取,获得关键工控资产信息;
将所述关键工控资产信息与所述CVE标签进行模糊匹配,获得模糊匹配结果。
可选地,所述根据预设文本相似度模型确定所述CVE信息与所述工控资产信息的文本相似度的步骤,具体包括:
根据预设词向量模型确定所述CVE信息对应的CVE词向量以及所述工控资产信息对应的工控资产词向量;
根据预设文本相似度模型确定所述CVE词向量与所述工控资产词向量的文本相似度。
可选地,所述根据所述模糊匹配结果、所述文本相似度以及所述相似系数对所述CVE信息进行筛选,获得目标CVE信息集的步骤,具体包括:
根据所述模糊匹配结果对所述CVE信息进行筛选,获得第一CVE信息集;
根据所述文本相似度对所述CVE信息进行筛选,获得第二CVE信息集;
根据所述相似系数对所述CVE信息进行筛选,获得第三CVE信息集;
根据所述第一CVE信息集、所述第二CVE信息集、所述第三CVE信息集确定目标CVE信息集。
可选地,所述获取通用漏洞披露CVE信息以及工控网络中的工控资产信息,并生成CVE信息对应的CVE标签的步骤,具体包括:
通过预设脚本获取通用漏洞披露CVE信息以及工控网络中的工控资产信息;
对所述CVE信息进行特征提取,获得CVE特征,并根据所述CVE特征生成CVE信息对应的CVE标签。
可选地,所述对所述CVE信息进行特征提取,获得CVE特征,并根据所述CVE特征生成CVE信息对应的CVE标签的步骤之前,所述工控资产漏洞检测方法还包括:
对所述CVE信息以及所述工控资产信息进行分词,并根据分词结果生成关键词集;
对所述CVE信息以及所述工控资产信息进行样本标记,获得样本标记结果;
相应地,所述对所述CVE信息进行特征提取,获得CVE特征,并根据所述CVE特征生成CVE信息对应的CVE标签的步骤,具体包括:
根据所述关键词集以及所述样本标记结果对所述CVE信息进行特征提取,获得CVE特征,并根据所述CVE特征生成CVE信息对应的CVE标签。
可选地,所述对所述CVE信息以及所述工控资产信息进行分词,并根据分词结果生成关键词集的步骤,具体包括:
对所述CVE信息以及所述工控资产信息进行分词,获得分词结果;
根据所述分词结果进行词频统计,并根据所述词频统计结果生成关键词集。
可选地,所述通过预设脚本获取通用漏洞披露CVE信息以及工控网络中的工控资产信息的步骤,具体包括:
在检测到未设置代理IP时,生成提醒信息,并接收用户根据所述提醒信息反馈的访问时间间隔;
根据所述访问时间间隔通过预设脚本获取通用漏洞披露CVE信息;
获取工控网络的网络类型信息,并根据所述网络类型信息确定目标信息获取脚本;
通过所述目标信息获取脚本获取工控网络中的工控资产信息。
可选地,所述根据所述目标CVE信息集确定所述工控网络中的工控资产漏洞信息的步骤之前,所述工控资产漏洞检测方法还包括:
根据所述CVE信息以及所述工控资产信息进行模型训练,获得目标排序模型;
根据所述目标排序模型对所述目标CVE信息集中的CVE信息进行排序,并根据排序结果确定待分析CVE信息集;
相应地,所述根据所述目标CVE信息集确定所述工控网络中的工控资产漏洞信息的步骤,具体包括:
根据所述待分析CVE信息集确定所述工控网络中的工控资产漏洞信息。
可选地,所述根据所述CVE信息以及所述工控资产信息进行模型训练,获得目标排序模型的步骤,具体包括:
对所述CVE信息以及工控资产信息进行特征提取,获得CVE特征样本以及工控资产特征样本;
根据所述CVE特征样本以及所述工控资产特征样本进行模型训练,获得目标排序模型。
可选地,所述根据所述CVE特征样本以及所述工控资产特征样本进行模型训练,获得目标排序模型的步骤,具体包括:
根据所述CVE特征样本以及所述工控资产特征样本对预设预测模型以及预设非线性模型进行训练,获得目标预测模型以及目标非线性模型;
对所述目标预测模型以及所述目标非线性模型进行模型融合,获得目标排序模型。
此外,为实现上述目的,本发明还提出一种工控资产漏洞检测设备,所述工控资产漏洞检测设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的工控资产漏洞检测程序,所述工控资产漏洞检测程序配置为实现如上文所述的工控资产漏洞检测方法的步骤。
此外,为实现上述目的,本发明还提出一种存储介质,所述存储介质上存储有工控资产漏洞检测程序,所述工控资产漏洞检测程序被处理器执行时实现如上文所述的工控资产漏洞检测方法的步骤。
此外,为实现上述目的,本发明还提出一种工控资产漏洞检测装置,所述工控资产漏洞检测装置包括:获取模块、筛选模块和确定模块;
所述获取模块,用于获取通用漏洞披露CVE信息以及工控网络中的工控资产信息,并生成CVE信息对应的CVE标签;
所述筛选模块,用于将所述工控资产信息与所述CVE标签进行匹配,并根据匹配结果对所述CVE信息进行筛选,获得目标CVE信息集;
所述确定模块,用于根据所述目标CVE信息集确定所述工控网络中的工控资产漏洞信息。
可选地,所述筛选模块,还用于将所述工控资产信息与所述CVE标签进行模糊匹配,获得模糊匹配结果;
所述筛选模块,还用于根据预设文本相似度模型确定所述CVE信息与所述工控资产信息的文本相似度;
所述筛选模块,还用于根据预设相似系数模型确定所述CVE信息与所述工控资产信息的相似系数;
所述筛选模块,还用于根据所述模糊匹配结果、所述文本相似度以及所述相似系数对所述CVE信息进行筛选,获得目标CVE信息集。
可选地,所述筛选模块,还用于对所述工控资产信息进行关键词提取,获得关键工控资产信息;
所述筛选模块,还用于将所述关键工控资产信息与所述CVE标签进行模糊匹配,获得模糊匹配结果。
可选地,所述筛选模块,还用于根据预设词向量模型确定所述CVE信息对应的CVE词向量以及所述工控资产信息对应的工控资产词向量;
所述筛选模块,还用于根据预设文本相似度模型确定所述CVE词向量与所述工控资产词向量的文本相似度。
可选地,所述筛选模块,还用于根据所述模糊匹配结果对所述CVE信息进行筛选,获得第一CVE信息集;
所述筛选模块,还用于根据所述文本相似度对所述CVE信息进行筛选,获得第二CVE信息集;
所述筛选模块,还用于根据所述相似系数对所述CVE信息进行筛选,获得第三CVE信息集;
所述筛选模块,还用于根据所述第一CVE信息集、所述第二CVE信息集、所述第三CVE信息集确定目标CVE信息集。
可选地,所述获取模块,还用于通过预设脚本获取通用漏洞披露CVE信息以及工控网络中的工控资产信息;
所述获取模块,还用于对所述CVE信息进行特征提取,获得CVE特征,并根据所述CVE特征生成CVE信息对应的CVE标签。
本发明中,公开了获取通用漏洞披露CVE信息以及工控网络中的工控资产信息,并生成CVE信息对应的CVE标签,将工控资产信息与CVE标签进行匹配,并根据匹配结果对CVE信息进行筛选,获得目标CVE信息集,根据目标CVE信息集确定工控网络中的工控资产漏洞信息;相较于现有的人工将工控资产信息与CVE信息进行匹配的方式,由于本发明先生成CVE标签,再将工控资产信息与CVE标签进行匹配,最后根据匹配结果确定工控资产漏洞信息,从而能够准确识别工控网络中的工控资产漏洞,降低工业网络被攻击的风险。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的工控资产漏洞检测设备的结构示意图;
图2为本发明工控资产漏洞检测方法第一实施例的流程示意图;
图3为本发明工控资产漏洞检测方法第二实施例的流程示意图;
图4为本发明工控资产漏洞检测方法第三实施例的流程示意图;
图5为本发明工控资产漏洞检测方法第四实施例的流程示意图;
图6为本发明工控资产漏洞检测方法第五实施例的流程示意图;
图7为本发明工控资产漏洞检测装置第一实施例的结构框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的工控资产漏洞检测设备结构示意图。
如图1所示,该工控资产漏洞检测设备可以包括:处理器1001,例如中央处理器(Central Processing Unit,CPU),通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display),可选用户接口1003还可以包括标准的有线接口、无线接口,对于用户接口1003的有线接口在本发明中可为USB接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(WIreless-FIdelity,WI-FI)接口)。存储器1005可以是高速的随机存取存储器(Random Access Memory,RAM)存储器,也可以是稳定的存储器(Non-volatileMemory,NVM),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的结构并不构成对工控资产漏洞检测设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,认定为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及工控资产漏洞检测程序。
在图1所示的工控资产漏洞检测设备中,网络接口1004主要用于连接后台服务器,与所述后台服务器进行数据通信;用户接口1003主要用于连接用户设备;所述工控资产漏洞检测设备通过处理器1001调用存储器1005中存储的工控资产漏洞检测程序,并执行本发明实施例提供的工控资产漏洞检测方法。
基于上述硬件结构,提出本发明工控资产漏洞检测方法的实施例。
参照图2,图2为本发明工控资产漏洞检测方法第一实施例的流程示意图,提出本发明工控资产漏洞检测方法第一实施例。
在第一实施例中,所述工控资产漏洞检测方法包括以下步骤:
步骤S10:获取通用漏洞披露CVE信息以及工控网络中的工控资产信息,并生成CVE信息对应的CVE标签。
应当理解的是,本实施例的执行主体是所述工控资产漏洞检测设备,其中,所述工控资产漏洞检测设备可为个人电脑或服务器等电子设备,还可为其他可实现相同或相似功能的设备,本实施例对此不加以限制,在本实施例中,以工控资产漏洞检测设备为例说明。
需要说明的是,通用漏洞披露(Common Vulnerabilities&Exposures,CVE)信息可以包括CVE描述、厂商信息、权限信息以及危害信息等,本实施例对此不加以限制。
工控资产信息可以包括工控资产设备的硬件、操作系统、固件版本以及软件版本等信息,本实施例对此不加以限制。
可以理解的是,生成CVE信息对应的CVE标签可以是对CVE信息进行特征提取,获得CVE特征,并根据CVE特征生成CVE信息对应的CVE标签。
需要说明的是,CVE特征可以包括设备厂商、CVE类型、版本信息以及命名实体识别(Named Entity Recognition,NER)。其中,CVE类型可以包括硬件类型以及软件类型,本实施例对此不加以限制。
步骤S20:将所述工控资产信息与所述CVE标签进行匹配,并根据匹配结果对所述CVE信息进行筛选,获得目标CVE信息集。
应当理解的是,将工控资产信息与CVE标签进行匹配,并根据匹配结果对CVE信息进行筛选,获得目标CVE信息集可以是将工控资产信息与CVE标签进行逐一匹配,并将匹配结果为匹配成功的CVE标签对应的CVE信息存入目标CVE信息集。
进一步地,考虑到实际应用中,只将工控资产信息与CVE标签进行匹配来对CVE信息进行筛选,可能存在筛选条件过于简单的情况。因此,为了克服上述缺陷,所述将工控资产信息与CVE标签进行匹配,并根据匹配结果对CVE信息进行筛选,获得目标CVE信息集,包括:
将工控资产信息与CVE标签进行模糊匹配,获得模糊匹配结果,根据预设文本相似度模型确定CVE信息与工控资产信息的文本相似度,根据预设相似系数模型确定CVE信息与工控资产信息的相似系数,根据模糊匹配结果、文本相似度以及相似系数对CVE信息进行筛选,获得目标CVE信息集。
步骤S30:根据所述目标CVE信息集确定所述工控网络中的工控资产漏洞信息。
可以理解的是,根据目标CVE信息集确定工控网络中的工控资产漏洞信息可以是对目标CVE信息集中的CVE信息进行逐条读取,获得CVE描述、厂商信息、权限信息以及危害信息,并根据CVE描述、厂商信息、权限信息以及危害信息生成工控资产漏洞信息。
在第一实施例中,公开了获取通用漏洞披露CVE信息以及工控网络中的工控资产信息,并生成CVE信息对应的CVE标签,将工控资产信息与CVE标签进行匹配,并根据匹配结果对CVE信息进行筛选,获得目标CVE信息集,根据目标CVE信息集确定工控网络中的工控资产漏洞信息;相较于现有的人工将工控资产信息与CVE信息进行匹配的方式,由于本实施例先生成CVE标签,再将工控资产信息与CVE标签进行匹配,最后根据匹配结果确定工控资产漏洞信息,从而能够准确识别工控网络中的工控资产漏洞,降低工业网络被攻击的风险。
参照图3,图3为本发明工控资产漏洞检测方法第二实施例的流程示意图,基于上述图2所示的第一实施例,提出本发明工控资产漏洞检测方法的第二实施例。
在第二实施例中,所述步骤S10,包括:
步骤S101:通过预设脚本获取通用漏洞披露CVE信息以及工控网络中的工控资产信息。
应当理解的是,预设脚本可以由工控资产漏洞检测设备的管理人员预先设置,在本实施例以及其他实施例中,以爬虫脚本为例进行说明。
需要说明的是,通用漏洞披露(Common Vulnerabilities&Exposures,CVE)信息可以包括CVE描述、厂商信息、权限信息以及危害信息等,本实施例对此不加以限制。
工控资产信息可以包括工控资产设备的硬件、操作系统、固件版本以及软件版本等信息,本实施例对此不加以限制。
步骤S102:对所述CVE信息进行特征提取,获得CVE特征,并根据所述CVE特征生成CVE信息对应的CVE标签。
需要说明的是,CVE特征可以包括设备厂商、CVE类型、版本信息以及命名实体识别(Named Entity Recognition,NER)。其中,CVE类型可以包括硬件类型以及软件类型,本实施例对此不加以限制。
在第二实施例中,通过预设脚本获取通用漏洞披露CVE信息以及工控网络中的工控资产信息,对所述CVE信息进行特征提取,获得CVE特征,并根据所述CVE特征生成CVE信息对应的CVE标签,从而能够快速生成CVE信息对应的CVE标签。
在第二实施例中,所述步骤S20,包括:
步骤S201:将所述工控资产信息与所述CVE标签进行模糊匹配,获得模糊匹配结果。
应当理解的是,将工控资产信息与CVE标签进行模糊匹配,获得模糊匹配结果可以是基于预设模糊匹配脚本对工控资产信息以及CVE标签进行模糊匹配,获得模糊匹配结果。其中,预设模糊匹配脚本可以由工控资产漏洞检测设备的管理人员预先设置,本实施例对此不加以限制。
进一步地,为了能够减少模糊匹配的运算量,提高模糊匹配的处理效率,所述将工控资产信息与CVE标签进行模糊匹配,获得模糊匹配结果,包括:
对工控资产信息进行关键词提取,获得关键工控资产信息,将关键工控资产信息与CVE标签进行模糊匹配,获得模糊匹配结果。
步骤S202:根据预设文本相似度模型确定所述CVE信息与所述工控资产信息的文本相似度。
需要说明的是,预设文本相似度模型可以是由工控资产漏洞检测设备的管理人员预先设置,本实施例对此不加以限制。
进一步地,为了能够提高文本相似度的准确性,所述根据预设文本相似度模型确定CVE信息与工控资产信息的文本相似度,包括:
根据预设词向量模型确定CVE信息对应的CVE词向量以及工控资产信息对应的工控资产词向量,根据预设文本相似度模型确定CVE词向量与工控资产词向量的文本相似度。
步骤S203:根据预设相似系数模型确定所述CVE信息与所述工控资产信息的相似系数。
需要说明的是,相似系数可以是Jaccard相似系数,用于比较有限样本集之间的相似性与差异性。Jaccard系数值越大,样本相似度越高。
预设相似系数模型可以是由工控资产漏洞检测设备的管理人员预先设置,本实施例对此不加以限制。
步骤S204:根据所述模糊匹配结果、所述文本相似度以及所述相似系数对所述CVE信息进行筛选,获得目标CVE信息集。
可以理解的是,根据模糊匹配结果、文本相似度以及相似系数对CVE信息进行筛选,获得目标CVE信息集可以是将模糊匹配结果、文本相似度以及相似系数作为参考信息,并根据参考信息对CVE信息进行筛选,获得目标CVE信息集。
在第二实施例中,公开了将工控资产信息与CVE标签进行模糊匹配,获得模糊匹配结果,根据预设文本相似度模型确定CVE信息与工控资产信息的文本相似度,根据预设相似系数模型确定CVE信息与工控资产信息的相似系数,根据模糊匹配结果、文本相似度以及相似系数对CVE信息进行筛选,获得目标CVE信息集;相较于工控资产信息与CVE标签进行匹配,并根据匹配结果对CVE信息进行筛选,获得目标CVE信息集的方式,由于本实施例中,通过模糊匹配结果、文本相似度以及相似系数对CVE信息进行筛选,获得目标CVE信息集,从而能够从多方面召回与工控资产信息关联的CVE信息,进而能够提高目标CVE信息集的可靠性。
参照图4,图4为本发明工控资产漏洞检测方法第三实施例的流程示意图,基于上述图3所示的第二实施例,提出本发明工控资产漏洞检测方法的第三实施例。
在第三实施例中,所述步骤S101,包括:
步骤S1011:在检测到未设置代理IP时,生成提醒信息,并接收用户根据所述提醒信息反馈的访问时间间隔。
应当理解的是,在未设置代理IP时,频繁访问网站,可能会被网站认为是恶意攻击,从而导致后续无法正常访问。因此,在未设置代理IP访问网站时,需要设置访问网站的频率,以避免被误认为恶意攻击。
需要说明的是,提醒信息可以是由工控资产漏洞检测设备的管理人员预先设置,本实施例对此不加以限制。
步骤S1012:根据所述访问时间间隔通过预设脚本获取通用漏洞披露CVE信息。
需要说明的是,通用漏洞披露(Common Vulnerabilities&Exposures,CVE)信息可以包括CVE描述、厂商信息、权限信息以及危害信息等,本实施例对此不加以限制。
在具体实现中,可以利用爬虫技术去CVE官网爬取CVE信息。其中,在不利用代理IP进行爬取时,需要注意访问网址的频率,例如,利用python的scrapy框架设置好访问时间间隔,然后将爬取的数据进行结构化存储。
步骤S1013:获取工控网络的网络类型信息,并根据所述网络类型信息确定目标信息获取脚本。
需要说明的是,网络类型信息可以是公共网络以及shodan官网等,本实施例对此不加以限制。
应当理解的是,根据网络类型信息确定目标信息获取脚本可以是在预设脚本表中查找网络类型信息对应的目标信息获取脚本。其中,预设脚本表中包含网络类型信息与信息获取脚本的对应关系,网络类型信息与信息获取脚本的对应关系可以由工控资产漏洞检测设备的管理人员预先设置,例如,公共网络对应assert-sniffer脚本,shodan官网对应爬虫脚本,本实施例对此不加以限制。
步骤S1014:通过所述目标信息获取脚本获取工控网络中的工控资产信息。
需要说明的是,工控资产信息可以包括工控资产设备的硬件、操作系统、固件版本以及软件版本等信息,本实施例对此不加以限制。
在具体实现中,例如,可以部署assert-sniffer到公网进行主动探测,获得工控资产信息;或利用爬虫技术去shodan官网爬取已有的工控资产信息。
在第三实施例中,公开了获取当前代理IP信息,并根据当前代理IP信息确定访问时间间隔,根据访问时间间隔通过预设脚本获取通用漏洞披露CVE信息,获取工控网络信息,并根据工控网络信息确定目标信息获取脚本,通过目标信息获取脚本获取工控网络中的工控资产信息;由于本实施例在未设置代理IP访问网站时,可以提醒用户设置访问时间间隔,并根据访问时间间隔通过预设脚本获取通用漏洞披露CVE信息,从而能够避免被误认为恶意攻击。
在第三实施例中,所述步骤S102之前,还包括:
步骤S1010:对所述CVE信息以及所述工控资产信息进行分词,并根据分词结果生成关键词集。
应当理解的是,对CVE信息以及工控资产信息进行分词可以是通过预设分词模型对CVE信息以及工控资产信息进行分词。其中,预设分词模型可以是由工控资产漏洞检测设备的管理人员预先设置,本实施例对此不加以限制。
进一步地,为了能够提高关键词集的可靠性,所述步骤S1010,包括:
对所述CVE信息以及所述工控资产信息进行分词,获得分词结果;
根据所述分词结果进行词频统计,并根据所述词频统计结果生成关键词集。
可以理解的是,根据分词结果进行词频统计,并根据词频统计结果生成关键词集可以是根据分词结果确定待处理词语,对待处理词语进行词频统计,获得待处理词语的词频,并根据词频对待处理词语进行排序,根据排序结果对待处理词语进行筛选,获得关键词集。
在具体实现中,对CVE信息以及工控资产信息进行分词,然后统计里面出现的词的词频,将里边词频出现较高的词单独提取出来。例如,对top1000的词进行提取,形成关键词集。
步骤S1020:对所述CVE信息以及所述工控资产信息进行样本标记,获得样本标记结果。
在具体实现中,挑选一部分CVE信息以及工控资产信息进行样本标注。例如,挑选1000条CVE信息以及工控资产信息进行样本标注。
相应地,所述步骤S102,包括:
步骤S102':根据所述关键词集以及所述样本标记结果对所述CVE信息进行特征提取,获得CVE特征,并根据所述CVE特征生成CVE信息对应的CVE标签。
需要说明的是,CVE特征可以包括设备厂商、CVE类型、版本信息以及命名实体识别(Named Entity Recognition,NER)。其中,CVE类型可以包括硬件类型以及软件类型,本实施例对此不加以限制。
在第三实施例中,通过对CVE信息以及工控资产信息进行分词,并根据分词结果生成关键词集,对CVE信息以及工控资产信息进行样本标记,获得样本标记结果,根据关键词集以及样本标记结果对CVE信息进行特征提取,获得CVE特征,并根据CVE特征生成CVE信息对应的CVE标签,从而能够提高CVE标签的准确性。
参照图5,图5为本发明工控资产漏洞检测方法第四实施例的流程示意图,基于上述图3所示的第二实施例,提出本发明工控资产漏洞检测方法的第四实施例。
在第四实施例中,所述步骤S201,包括:
步骤S2011:对所述工控资产信息进行关键词提取,获得关键工控资产信息。
应当理解的是,对工控资产信息进行关键词提取,获得关键工控资产信息可以是对工控资产信息进行关键词提取,获得工控领域的专有名词,并将工控领域的专有名词作为关键工控资产信息。
步骤S2012:将所述关键工控资产信息与所述CVE标签进行模糊匹配,获得模糊匹配结果。
可以理解的是,将关键工控资产信息与CVE标签进行模糊匹配,获得模糊匹配结果可以是基于预设模糊匹配脚本对关键工控资产信息以及CVE标签进行模糊匹配,获得模糊匹配结果。其中,预设模糊匹配脚本可以由工控资产漏洞检测设备的管理人员预先设置,本实施例对此不加以限制。
在第四实施例中,公开了对工控资产信息进行关键词提取,获得关键工控资产信息,将关键工控资产信息与CVE标签进行模糊匹配,获得模糊匹配结果;相较于直接将将工控资产信息与CVE标签进行模糊匹配的方式,由于本实施例中,先对工控资产信息进行关键词提取后,再将提取到的关键工控资产信息与CVE标签进行模糊匹配,从而能够减少模糊匹配的运算量,提高模糊匹配的处理效率。
在第四实施例中,所述步骤S202,包括:
步骤S2021:根据预设词向量模型确定所述CVE信息对应的CVE词向量以及所述工控资产信息对应的工控资产词向量。
需要说明的是。预设词向量模型可以由工控资产漏洞检测设备的管理人员预先设置,在本实施例以及其他实施例中,以Word2vec模型为例进行说明。
步骤S2022:根据预设文本相似度模型确定所述CVE词向量与所述工控资产词向量的文本相似度。
应当理解的是,根据预设文本相似度模型确定CVE词向量与工控资产词向量的文本相似度可以是将CVE词向量以及工控资产词向量输入预设文本相似度模型,获得CVE词向量与工控资产词向量的文本相似度。
在具体实现中,例如,Siemens跟SIMATIC是经常一块出现的词,但是,它们的关联关系在纯文本匹配中完全体现不出来。因此,需要根据深度训练的词向量来确定这种关联关系。
在第四实施例中,公开了根据预设词向量模型确定CVE信息对应的CVE词向量以及工控资产信息对应的工控资产词向量,根据预设文本相似度模型确定CVE词向量与工控资产词向量的文本相似度;相较于直接根据预设文本相似度模型确定CVE信息与工控资产信息的文本相似度,由于本实施例中,先确定CVE信息对应的CVE词向量以及工控资产信息对应的工控资产词向量,再根据预设文本相似度模型确定CVE词向量与工控资产词向量的文本相似度,从而能够提高文本相似度的准确性。
在第四实施例中,所述步骤S204,包括:
步骤S2041:根据所述模糊匹配结果对所述CVE信息进行筛选,获得第一CVE信息集。
应当理解的是,根据模糊匹配结果对CVE信息进行筛选,获得第一CVE信息集可以是将模糊匹配结果为匹配成功的CVE标签对应的CVE信息存入第一CVE信息集。
步骤S2042:根据所述文本相似度对所述CVE信息进行筛选,获得第二CVE信息集。
可以理解的是,根据文本相似度对CVE信息进行筛选,获得第二CVE信息集可以是根据文本相似度从大到小对CVE信息进行排序,从排序结果中选取排序靠前的预先第一数量CVE信息组成第二CVE信息集。其中,预设第一数量可以由工控资产漏洞检测设备的管理人员预先设置,本实施例对此不加以限制。
步骤S2043:根据所述相似系数对所述CVE信息进行筛选,获得第三CVE信息集。
应当理解的是,根据相似系数对CVE信息进行筛选,获得第三CVE信息集可以是根据相似系数从大到小对CVE信息进行排序,从排序结果中选取排序靠前的预设第二数量CVE信息组成第三CVE信息集。其中,预设第二数量可以由工控资产漏洞检测设备的管理人员预先设置,本实施例对此不加以限制。
步骤S2044:根据所述第一CVE信息集、所述第二CVE信息集、所述第三CVE信息集确定目标CVE信息集。
可以理解的是,根据第一CVE信息集、第二CVE信息集、第三CVE信息集确定目标CVE信息集可以是将一CVE信息集、第二CVE信息集以及第三CVE信息集进行合并,获得目标CVE信息集。
在第四实施例中,公开了根据模糊匹配结果对CVE信息进行筛选,获得第一CVE信息集,根据文本相似度对CVE信息进行筛选,获得第二CVE信息集,根据相似系数对CVE信息进行筛选,获得第三CVE信息集,根据第一CVE信息集、第二CVE信息集、第三CVE信息集确定目标CVE信息集;相较于直接根据模糊匹配结果、文本相似度以及相似系数对CVE信息进行筛选,获得目标CVE信息集的方式,由于本实施例中分别根据模糊匹配结果、文本相似度以及相似系数生成CVE信息集,再对CVE信息集进行合并,获得目标CVE信息集,从而能够提高目标CVE信息集的可靠性。
参照图6,图6为本发明工控资产漏洞检测方法第五实施例的流程示意图,基于上述图2所示的第一实施例,提出本发明工控资产漏洞检测方法的第五实施例。
在第五实施例中,所述步骤S30之前,还包括:
步骤S210:根据所述CVE信息以及所述工控资产信息进行模型训练,获得目标排序模型。
应当理解的是,根据CVE信息以及工控资产信息进行模型训练,获得目标排序模型可以是将CVE信息以及工控资产信息输入预设初始排序模型进行模型训练,获得目标排序模型。其中,预设初始排序模型可以由工控资产漏洞检测设备的管理人员预先设置,本实施例对此不加以限制。
进一步地,考虑到在实际实际应用中,若直接使用CVE信息以及工控资产信息进行模型训练,运算量大。为克服上述缺陷,所述步骤S210,包括:
对所述CVE信息以及工控资产信息进行特征提取,获得CVE特征样本以及工控资产特征样本;
根据所述CVE特征样本以及所述工控资产特征样本进行模型训练,获得目标排序模型。
应当理解的是,对CVE信息以及工控资产信息进行特征提取,获得CVE特征样本以及工控资产特征样本可以是基于预设特征提取脚本对CVE信息以及工控资产信息进行特征提取,获得CVE特征样本以及工控资产特征样本。其中,预设特征提取脚本可以由工控资产漏洞检测设备的管理人员预先设置,本实施例对此不加以限制。
进一步地,为了提高模型训练的可靠性,所述根据所述CVE特征样本以及所述工控资产特征样本进行模型训练,获得目标排序模型,包括:
根据所述CVE特征样本以及所述工控资产特征样本对预设预测模型以及预设非线性模型进行训练,获得目标预测模型以及目标非线性模型;
对所述目标预测模型以及所述目标非线性模型进行模型融合,获得目标排序模型。
在具体实现中,例如,对CVE信息以及工控资产信息进行特征提取,然后,根据CVE特征样本以及工控资产特征样本通过逻辑回归训练预测模型,获得目标预测模型。因为,逻辑回归是线性模型。因此,还需要采用非线性模型来增加样本的表现能力,可以使用xgboost对CVE特征样本以及工控资产特征再进行样本训练,获得目标非线性模型。针对目标预测模型以及目标非线性模型采用GBDT的推荐策略进行模型融合,得到目标排序模型。
步骤S220:根据所述目标排序模型对所述目标CVE信息集中的CVE信息进行排序,并根据排序结果确定待分析CVE信息集。
可以理解的是,将目标CVE信息集中的CVE信息输入目标排序模型后,会自动生成排序结果,从排序结果中选取预设第三数量的CVE信息组成待分析CVE信息集。其中,预设第三数量可以由工控资产漏洞检测设备的管理人员预先设置,本实施例对此不加以限制。
相应地,所述步骤S30,包括:
步骤S30':根据所述待分析CVE信息集确定所述工控网络中的工控资产漏洞信息。
应当理解的是,根据待分析CVE信息集确定工控网络中的工控资产漏洞信息可以是对待分析CVE信息集中的CVE信息进行逐条读取,获得CVE描述、厂商信息、权限信息以及危害信息,并根据CVE描述、厂商信息、权限信息以及危害信息生成工控资产漏洞信息。
在第五实施例中,公开了根据CVE信息以及工控资产信息进行模型训练,获得目标排序模型,根据目标排序模型对目标CVE信息集中的CVE信息进行排序,并根据排序结果确定待分析CVE信息集,根据待分析CVE信息集确定工控网络中的工控资产漏洞信息;由于本实施例在生成目标信息集后,再通过目标排序模型对目标CVE信息集中的CVE信息进行排序,根据排序结果生成待分析CVE信息集,再根据待分析CVE信息集确定工控网络中的工控资产漏洞信息,从而能够进一步提高工控资产漏洞检测的准确性。
此外,本发明实施例还提出一种存储介质,所述存储介质上存储有工控资产漏洞检测程序,所述工控资产漏洞检测程序被处理器执行时实现如上文所述的工控资产漏洞检测方法的步骤。
此外,参照图7,本发明实施例还提出一种工控资产漏洞检测装置,所述工控资产漏洞检测装置包括:获取模块10、筛选模块20和确定模块30;
所述获取模块10,用于获取通用漏洞披露CVE信息以及工控网络中的工控资产信息,并生成CVE信息对应的CVE标签。
需要说明的是,通用漏洞披露(Common Vulnerabilities&Exposures,CVE)信息可以包括CVE描述、厂商信息、权限信息以及危害信息等,本实施例对此不加以限制。
工控资产信息可以包括工控资产设备的硬件、操作系统、固件版本以及软件版本等信息,本实施例对此不加以限制。
可以理解的是,生成CVE信息对应的CVE标签可以是对CVE信息进行特征提取,获得CVE特征,并根据CVE特征生成CVE信息对应的CVE标签。
需要说明的是,CVE特征可以包括设备厂商、CVE类型、版本信息以及命名实体识别(Named Entity Recognition,NER)。其中,CVE类型可以包括硬件类型以及软件类型,本实施例对此不加以限制。
所述筛选模块20,用于将所述工控资产信息与所述CVE标签进行匹配,并根据匹配结果对所述CVE信息进行筛选,获得目标CVE信息集。
应当理解的是,将工控资产信息与CVE标签进行匹配,并根据匹配结果对CVE信息进行筛选,获得目标CVE信息集可以是将工控资产信息与CVE标签进行逐一匹配,并将匹配结果为匹配成功的CVE标签对应的CVE信息存入目标CVE信息集。
进一步地,考虑到实际应用中,只将工控资产信息与CVE标签进行匹配来对CVE信息进行筛选,可能存在筛选条件过于简单的情况。因此,为了克服上述缺陷,所述筛选模块20,还用于将工控资产信息与CVE标签进行模糊匹配,获得模糊匹配结果,根据预设文本相似度模型确定CVE信息与工控资产信息的文本相似度,根据预设相似系数模型确定CVE信息与工控资产信息的相似系数,根据模糊匹配结果、文本相似度以及相似系数对CVE信息进行筛选,获得目标CVE信息集。
所述确定模块30,用于根据所述目标CVE信息集确定所述工控网络中的工控资产漏洞信息。
可以理解的是,根据目标CVE信息集确定工控网络中的工控资产漏洞信息可以是对目标CVE信息集中的CVE信息进行逐条读取,获得CVE描述、厂商信息、权限信息以及危害信息,并根据CVE描述、厂商信息、权限信息以及危害信息生成工控资产漏洞信息。
在本实施例中,公开了获取通用漏洞披露CVE信息以及工控网络中的工控资产信息,并生成CVE信息对应的CVE标签,将工控资产信息与CVE标签进行匹配,并根据匹配结果对CVE信息进行筛选,获得目标CVE信息集,根据目标CVE信息集确定工控网络中的工控资产漏洞信息;相较于现有的人工将工控资产信息与CVE信息进行匹配的方式,由于本实施例先生成CVE标签,再将工控资产信息与CVE标签进行匹配,最后根据匹配结果确定工控资产漏洞信息,从而能够准确识别工控网络中的工控资产漏洞,降低工业网络被攻击的风险。
本发明所述工控资产漏洞检测装置的其他实施例或具体实现方式可参照上述各方法实施例,此处不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。词语第一、第二、以及第三等的使用不表示任何顺序,可将这些词语解释为名称。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如只读存储器镜像(Read Only Memory image,ROM)/随机存取存储器(Random AccessMemory,RAM)、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
本发明公开了A1、一种工控资产漏洞检测方法,所述工控资产漏洞检测方法包括以下步骤:
获取通用漏洞披露CVE信息以及工控网络中的工控资产信息,并生成CVE信息对应的CVE标签;
将所述工控资产信息与所述CVE标签进行匹配,并根据匹配结果对所述CVE信息进行筛选,获得目标CVE信息集;
根据所述目标CVE信息集确定所述工控网络中的工控资产漏洞信息。
A2、如A1所述的工控资产漏洞检测方法,所述将所述工控资产信息与所述CVE标签进行匹配,并根据匹配结果对所述CVE信息进行筛选,获得目标CVE信息集的步骤,具体包括:
将所述工控资产信息与所述CVE标签进行模糊匹配,获得模糊匹配结果;
根据预设文本相似度模型确定所述CVE信息与所述工控资产信息的文本相似度;
根据预设相似系数模型确定所述CVE信息与所述工控资产信息的相似系数;
根据所述模糊匹配结果、所述文本相似度以及所述相似系数对所述CVE信息进行筛选,获得目标CVE信息集。
A3、如A2所述的工控资产漏洞检测方法,所述将所述工控资产信息与所述CVE标签进行模糊匹配,获得模糊匹配结果的步骤,具体包括:
对所述工控资产信息进行关键词提取,获得关键工控资产信息;
将所述关键工控资产信息与所述CVE标签进行模糊匹配,获得模糊匹配结果。
A4、如A2所述的工控资产漏洞检测方法,所述根据预设文本相似度模型确定所述CVE信息与所述工控资产信息的文本相似度的步骤,具体包括:
根据预设词向量模型确定所述CVE信息对应的CVE词向量以及所述工控资产信息对应的工控资产词向量;
根据预设文本相似度模型确定所述CVE词向量与所述工控资产词向量的文本相似度。
A5、如A2所述的工控资产漏洞检测方法,所述根据所述模糊匹配结果、所述文本相似度以及所述相似系数对所述CVE信息进行筛选,获得目标CVE信息集的步骤,具体包括:
根据所述模糊匹配结果对所述CVE信息进行筛选,获得第一CVE信息集;
根据所述文本相似度对所述CVE信息进行筛选,获得第二CVE信息集;
根据所述相似系数对所述CVE信息进行筛选,获得第三CVE信息集;
根据所述第一CVE信息集、所述第二CVE信息集、所述第三CVE信息集确定目标CVE信息集。
A6、如A1所述的工控资产漏洞检测方法,所述获取通用漏洞披露CVE信息以及工控网络中的工控资产信息,并生成CVE信息对应的CVE标签的步骤,具体包括:
通过预设脚本获取通用漏洞披露CVE信息以及工控网络中的工控资产信息;
对所述CVE信息进行特征提取,获得CVE特征,并根据所述CVE特征生成CVE信息对应的CVE标签。
A7、如A6所述的工控资产漏洞检测方法,所述对所述CVE信息进行特征提取,获得CVE特征,并根据所述CVE特征生成CVE信息对应的CVE标签的步骤之前,所述工控资产漏洞检测方法还包括:
对所述CVE信息以及所述工控资产信息进行分词,并根据分词结果生成关键词集;
对所述CVE信息以及所述工控资产信息进行样本标记,获得样本标记结果;
相应地,所述对所述CVE信息进行特征提取,获得CVE特征,并根据所述CVE特征生成CVE信息对应的CVE标签的步骤,具体包括:
根据所述关键词集以及所述样本标记结果对所述CVE信息进行特征提取,获得CVE特征,并根据所述CVE特征生成CVE信息对应的CVE标签。
A8、如A7所述的工控资产漏洞检测方法,所述对所述CVE信息以及所述工控资产信息进行分词,并根据分词结果生成关键词集的步骤,具体包括:
对所述CVE信息以及所述工控资产信息进行分词,获得分词结果;
根据所述分词结果进行词频统计,并根据所述词频统计结果生成关键词集。
A9、如A6所述的工控资产漏洞检测方法,所述通过预设脚本获取通用漏洞披露CVE信息以及工控网络中的工控资产信息的步骤,具体包括:
在检测到未设置代理IP时,生成提醒信息,并接收用户根据所述提醒信息反馈的访问时间间隔;
根据所述访问时间间隔通过预设脚本获取通用漏洞披露CVE信息;
获取工控网络的网络类型信息,并根据所述网络类型信息确定目标信息获取脚本;
通过所述目标信息获取脚本获取工控网络中的工控资产信息。
A10、如A1-A9中任一项所述的工控资产漏洞检测方法,所述根据所述目标CVE信息集确定所述工控网络中的工控资产漏洞信息的步骤之前,所述工控资产漏洞检测方法还包括:
根据所述CVE信息以及所述工控资产信息进行模型训练,获得目标排序模型;
根据所述目标排序模型对所述目标CVE信息集中的CVE信息进行排序,并根据排序结果确定待分析CVE信息集;
相应地,所述根据所述目标CVE信息集确定所述工控网络中的工控资产漏洞信息的步骤,具体包括:
根据所述待分析CVE信息集确定所述工控网络中的工控资产漏洞信息。
A11、如A10所述的工控资产漏洞检测方法,所述根据所述CVE信息以及所述工控资产信息进行模型训练,获得目标排序模型的步骤,具体包括:
对所述CVE信息以及工控资产信息进行特征提取,获得CVE特征样本以及工控资产特征样本;
根据所述CVE特征样本以及所述工控资产特征样本进行模型训练,获得目标排序模型。
A12、如A11所述的工控资产漏洞检测方法,所述根据所述CVE特征样本以及所述工控资产特征样本进行模型训练,获得目标排序模型的步骤,具体包括:
根据所述CVE特征样本以及所述工控资产特征样本对预设预测模型以及预设非线性模型进行训练,获得目标预测模型以及目标非线性模型;
对所述目标预测模型以及所述目标非线性模型进行模型融合,获得目标排序模型。
本发明公开了B13、一种工控资产漏洞检测设备,所述工控资产漏洞检测设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的工控资产漏洞检测程序,所述工控资产漏洞检测程序被所述处理器执行时实现上文所述的工控资产漏洞检测方法的步骤。
本发明公开了C14、一种存储介质,所述存储介质上存储有工控资产漏洞检测程序,所述工控资产漏洞检测程序被处理器执行时实现上文所述的工控资产漏洞检测方法的步骤。
本发明公开了D15、一种工控资产漏洞检测装置,所述工控资产漏洞检测装置包括:获取模块、筛选模块和确定模块;
所述获取模块,用于获取通用漏洞披露CVE信息以及工控网络中的工控资产信息,并生成CVE信息对应的CVE标签;
所述筛选模块,用于将所述工控资产信息与所述CVE标签进行匹配,并根据匹配结果对所述CVE信息进行筛选,获得目标CVE信息集;
所述确定模块,用于根据所述目标CVE信息集确定所述工控网络中的工控资产漏洞信息。
D16、如D15所述的工控资产漏洞检测装置,所述筛选模块,还用于将所述工控资产信息与所述CVE标签进行模糊匹配,获得模糊匹配结果;
所述筛选模块,还用于根据预设文本相似度模型确定所述CVE信息与所述工控资产信息的文本相似度;
所述筛选模块,还用于根据预设相似系数模型确定所述CVE信息与所述工控资产信息的相似系数;
所述筛选模块,还用于根据所述模糊匹配结果、所述文本相似度以及所述相似系数对所述CVE信息进行筛选,获得目标CVE信息集。
D17、如D16所述的工控资产漏洞检测装置,所述筛选模块,还用于对所述工控资产信息进行关键词提取,获得关键工控资产信息;
所述筛选模块,还用于将所述关键工控资产信息与所述CVE标签进行模糊匹配,获得模糊匹配结果。
D18、如D16所述的工控资产漏洞检测装置,所述筛选模块,还用于根据预设词向量模型确定所述CVE信息对应的CVE词向量以及所述工控资产信息对应的工控资产词向量;
所述筛选模块,还用于根据预设文本相似度模型确定所述CVE词向量与所述工控资产词向量的文本相似度。
D19、如D16所述的工控资产漏洞检测装置,所述筛选模块,还用于根据所述模糊匹配结果对所述CVE信息进行筛选,获得第一CVE信息集;
所述筛选模块,还用于根据所述文本相似度对所述CVE信息进行筛选,获得第二CVE信息集;
所述筛选模块,还用于根据所述相似系数对所述CVE信息进行筛选,获得第三CVE信息集;
所述筛选模块,还用于根据所述第一CVE信息集、所述第二CVE信息集、所述第三CVE信息集确定目标CVE信息集。
D20、如D15所述的工控资产漏洞检测装置,所述获取模块,还用于通过预设脚本获取通用漏洞披露CVE信息以及工控网络中的工控资产信息;
所述获取模块,还用于对所述CVE信息进行特征提取,获得CVE特征,并根据所述CVE特征生成CVE信息对应的CVE标签。

Claims (10)

1.一种工控资产漏洞检测方法,其特征在于,所述工控资产漏洞检测方法包括以下步骤:
获取通用漏洞披露CVE信息以及工控网络中的工控资产信息,并生成CVE信息对应的CVE标签;
将所述工控资产信息与所述CVE标签进行匹配,并根据匹配结果对所述CVE信息进行筛选,获得目标CVE信息集;
根据所述目标CVE信息集确定所述工控网络中的工控资产漏洞信息。
2.如权利要求1所述的工控资产漏洞检测方法,其特征在于,所述将所述工控资产信息与所述CVE标签进行匹配,并根据匹配结果对所述CVE信息进行筛选,获得目标CVE信息集的步骤,具体包括:
将所述工控资产信息与所述CVE标签进行模糊匹配,获得模糊匹配结果;
根据预设文本相似度模型确定所述CVE信息与所述工控资产信息的文本相似度;
根据预设相似系数模型确定所述CVE信息与所述工控资产信息的相似系数;
根据所述模糊匹配结果、所述文本相似度以及所述相似系数对所述CVE信息进行筛选,获得目标CVE信息集。
3.如权利要求2所述的工控资产漏洞检测方法,其特征在于,所述将所述工控资产信息与所述CVE标签进行模糊匹配,获得模糊匹配结果的步骤,具体包括:
对所述工控资产信息进行关键词提取,获得关键工控资产信息;
将所述关键工控资产信息与所述CVE标签进行模糊匹配,获得模糊匹配结果。
4.如权利要求2所述的工控资产漏洞检测方法,其特征在于,所述根据预设文本相似度模型确定所述CVE信息与所述工控资产信息的文本相似度的步骤,具体包括:
根据预设词向量模型确定所述CVE信息对应的CVE词向量以及所述工控资产信息对应的工控资产词向量;
根据预设文本相似度模型确定所述CVE词向量与所述工控资产词向量的文本相似度。
5.如权利要求2所述的工控资产漏洞检测方法,其特征在于,所述根据所述模糊匹配结果、所述文本相似度以及所述相似系数对所述CVE信息进行筛选,获得目标CVE信息集的步骤,具体包括:
根据所述模糊匹配结果对所述CVE信息进行筛选,获得第一CVE信息集;
根据所述文本相似度对所述CVE信息进行筛选,获得第二CVE信息集;
根据所述相似系数对所述CVE信息进行筛选,获得第三CVE信息集;
根据所述第一CVE信息集、所述第二CVE信息集、所述第三CVE信息集确定目标CVE信息集。
6.如权利要求1所述的工控资产漏洞检测方法,其特征在于,所述获取通用漏洞披露CVE信息以及工控网络中的工控资产信息,并生成CVE信息对应的CVE标签的步骤,具体包括:
通过预设脚本获取通用漏洞披露CVE信息以及工控网络中的工控资产信息;
对所述CVE信息进行特征提取,获得CVE特征,并根据所述CVE特征生成CVE信息对应的CVE标签。
7.如权利要求6所述的工控资产漏洞检测方法,其特征在于,所述对所述CVE信息进行特征提取,获得CVE特征,并根据所述CVE特征生成CVE信息对应的CVE标签的步骤之前,所述工控资产漏洞检测方法还包括:
对所述CVE信息以及所述工控资产信息进行分词,并根据分词结果生成关键词集;
对所述CVE信息以及所述工控资产信息进行样本标记,获得样本标记结果;
相应地,所述对所述CVE信息进行特征提取,获得CVE特征,并根据所述CVE特征生成CVE信息对应的CVE标签的步骤,具体包括:
根据所述关键词集以及所述样本标记结果对所述CVE信息进行特征提取,获得CVE特征,并根据所述CVE特征生成CVE信息对应的CVE标签。
8.一种工控资产漏洞检测设备,其特征在于,所述工控资产漏洞检测设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的工控资产漏洞检测程序,所述工控资产漏洞检测程序被所述处理器执行时实现如权利要求1至7中任一项所述的工控资产漏洞检测方法的步骤。
9.一种存储介质,其特征在于,所述存储介质上存储有工控资产漏洞检测程序,所述工控资产漏洞检测程序被处理器执行时实现如权利要求1至7中任一项所述的工控资产漏洞检测方法的步骤。
10.一种工控资产漏洞检测装置,其特征在于,所述工控资产漏洞检测装置包括:获取模块、筛选模块和确定模块;
所述获取模块,用于获取通用漏洞披露CVE信息以及工控网络中的工控资产信息,并生成CVE信息对应的CVE标签;
所述筛选模块,用于将所述工控资产信息与所述CVE标签进行匹配,并根据匹配结果对所述CVE信息进行筛选,获得目标CVE信息集;
所述确定模块,用于根据所述目标CVE信息集确定所述工控网络中的工控资产漏洞信息。
CN202110787278.8A 2021-07-12 2021-07-12 工控资产漏洞检测方法、设备、存储介质及装置 Pending CN115618349A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110787278.8A CN115618349A (zh) 2021-07-12 2021-07-12 工控资产漏洞检测方法、设备、存储介质及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110787278.8A CN115618349A (zh) 2021-07-12 2021-07-12 工控资产漏洞检测方法、设备、存储介质及装置

Publications (1)

Publication Number Publication Date
CN115618349A true CN115618349A (zh) 2023-01-17

Family

ID=84855616

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110787278.8A Pending CN115618349A (zh) 2021-07-12 2021-07-12 工控资产漏洞检测方法、设备、存储介质及装置

Country Status (1)

Country Link
CN (1) CN115618349A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117708834A (zh) * 2024-02-06 2024-03-15 长扬科技(北京)股份有限公司 资产漏洞检测方法及装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117708834A (zh) * 2024-02-06 2024-03-15 长扬科技(北京)股份有限公司 资产漏洞检测方法及装置
CN117708834B (zh) * 2024-02-06 2024-04-23 长扬科技(北京)股份有限公司 资产漏洞检测方法及装置

Similar Documents

Publication Publication Date Title
CN109872162B (zh) 一种处理用户投诉信息的风控分类识别方法及系统
CN110826006B (zh) 基于隐私数据保护的异常采集行为识别方法和装置
CN111800404B (zh) 一种对恶意域名的识别方法、装置以及存储介质
CN109711160B (zh) 应用程序检测方法、装置及神经网络系统
CN113486350B (zh) 恶意软件的识别方法、装置、设备及存储介质
CN112688810B (zh) 网络资产信息获取方法、设备及可读存储介质
CN112765003B (zh) 一种基于app行为日志的风险预测方法
CN115146712A (zh) 物联网资产识别方法、装置、设备及存储介质
CN112612756A (zh) 异常文件的修复方法、装置、设备及存储介质
CN113139025A (zh) 一种威胁情报的评价方法、装置、设备及存储介质
CN110489032B (zh) 用于电子书的词典查询方法及电子设备
CN112580047A (zh) 工业恶意代码标记方法、设备、存储介质及装置
CN112529575A (zh) 风险预警方法、设备、存储介质及装置
CN111476633A (zh) 产品服务推荐平台、产品服务的路径推荐方法及介质
CN115618349A (zh) 工控资产漏洞检测方法、设备、存储介质及装置
CN111259207A (zh) 短信的识别方法、装置及设备
CN112182451A (zh) 网页内容摘要生成方法、设备、存储介质及装置
CN113254577A (zh) 敏感文件检测方法、装置、设备及存储介质
CN110895587A (zh) 用于确定目标用户的方法和装置
CN115618350A (zh) 工控资产漏洞检测方法、设备、存储介质及装置
CN112685618A (zh) 用户特征识别方法、装置、计算设备及计算机存储介质
CN114265777B (zh) 应用程序的测试方法、装置、电子设备及存储介质
CN114169006A (zh) 隐私合规检测模型的训练方法、隐私合规检测方法及装置
CN113434695A (zh) 金融事件抽取方法、装置、电子设备及存储介质
CN115495737A (zh) 恶意程序失效方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination