CN119047836B - 一种电力监控系统资产风险评估方法、装置、终端设备及存储介质 - Google Patents
一种电力监控系统资产风险评估方法、装置、终端设备及存储介质Info
- Publication number
- CN119047836B CN119047836B CN202411238920.7A CN202411238920A CN119047836B CN 119047836 B CN119047836 B CN 119047836B CN 202411238920 A CN202411238920 A CN 202411238920A CN 119047836 B CN119047836 B CN 119047836B
- Authority
- CN
- China
- Prior art keywords
- asset
- monitoring system
- vulnerability
- power monitoring
- evaluated
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0635—Risk analysis of enterprise or organisation activities
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/213—Feature extraction, e.g. by transforming the feature space; Summarisation; Mappings, e.g. subspace methods
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/06—Energy or water supply
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Human Resources & Organizations (AREA)
- Theoretical Computer Science (AREA)
- Economics (AREA)
- Physics & Mathematics (AREA)
- Strategic Management (AREA)
- General Physics & Mathematics (AREA)
- Marketing (AREA)
- Tourism & Hospitality (AREA)
- General Business, Economics & Management (AREA)
- Entrepreneurship & Innovation (AREA)
- Data Mining & Analysis (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Health & Medical Sciences (AREA)
- Evolutionary Computation (AREA)
- Artificial Intelligence (AREA)
- Water Supply & Treatment (AREA)
- General Health & Medical Sciences (AREA)
- General Engineering & Computer Science (AREA)
- Evolutionary Biology (AREA)
- Primary Health Care (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Public Health (AREA)
- Development Economics (AREA)
- Educational Administration (AREA)
- Life Sciences & Earth Sciences (AREA)
- Game Theory and Decision Science (AREA)
- Operations Research (AREA)
- Quality & Reliability (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种电力监控系统资产风险评估方法、装置、终端设备及存储介质,方法包括:根据获取的待评估电力监控系统的网络拓扑数据及系统运行数据,对待评估电力监控系统进行通信协议分析,得到待评估监控系统的资产;根据待评估电力监控系统的资产,在预设的时间间隔内对资产进行态势感知,构建待评估电力监控系统的资产暴露面数据库;根据资产暴露面数据库及预设的漏洞数据库对待评估电力监控系统进行漏洞扫描,得到资产的脆弱性信息;根据资产暴露面数据库、脆弱性信息及漏洞数据库,对待评估电力监控系统进行风险评估,得到待评估电力监控系统的资产风险评估结果。通过实施本发明,降低电力监控系统风险评估的难度。
Description
技术领域
本发明涉及信息技术领域,尤其涉及一种电力监控系统资产风险评估方法、装置、终端设备及存储介质。
背景技术
电力监控系统资产是指用于监视和控制电力生产及供应过程的所有物理和非物理资产。电力监控系统通常由多个系统组成,这些子系统可能来自不同厂商的设备,不同厂商设备采用不同技术和通信协议,导致监控设备通常具有很强的独特性,无法使用通用的漏洞库和风险量化标准,增加风险评估的难度。同时,因为电力监控系统对业务连续性的要求较高,任何可能导致系统中断的操作包括漏洞扫描都需要谨慎进行。频繁使用漏洞库开展漏洞扫描等风险评估操作,会对设备运行和业务连续性带来影响,在扫描过程触发系统故障的概率升高,产生额外的安全隐患。但若电力监控系统资产风险评估频率过低,又难以洞察其实时风险状况,难以满足电力监控系统的资产风险动态变化的需求。
发明内容
本发明实施例提供一种电力监控系统资产风险评估方法、装置、终端设备及存储介质,能有效解决现有技术频繁使用漏洞库开展漏洞扫描等风险评估操作,会对设备运行和业务连续性带来影响,在扫描过程触发系统故障的概率升高,产生额外的安全隐患。但若电力监控系统资产风险评估频率过低,又难以洞察其实时风险状况,难以满足电力监控系统的资产风险动态变化的需求的问题。
本发明一实施例提供一种电力监控系统资产风险评估方法,包括:
获取待评估电力监控系统的网络拓扑数据以及系统运行数据;
根据所述网络拓扑数据以及所述系统运行数据,对待评估电力监控系统进行通信协议分析,得到待评估监控系统的资产;
根据待评估电力监控系统的资产,在预设的时间间隔内对资产进行态势感知,构建待评估电力监控系统的资产暴露面数据库;
根据所述资产暴露面数据库以及预设的漏洞数据库对待评估电力监控系统进行漏洞扫描,得到资产的脆弱性信息;
根据所述资产暴露面数据库、所述脆弱性信息以及漏洞数据库,对待评估电力监控系统进行风险评估,得到待评估电力监控系统的资产风险评估结果。
进一步地,根据所述网络拓扑数据以及所述系统运行数据,对待评估电力监控系统进行通信协议分析,得到待评估监控系统的资产,包括:
根据所述网络拓扑数据,确定待评估电力监控系统中各节点的节点属性信息;所述节点属性信息包括:节点IP地址、节点端口号以及节点服务类型;
根据所述系统运行数据中的系统专有协议,采用协议逆向法和数据包解析法对系统专有协议进行通信协议分析,得到待评估电力监控系统的专有协议特征;
根据所述节点属性信息、所述专有协议特征以及预设的专有协议特征模型库,判断待评估电力监控系统中是否存在系统专有协议响应端口;
若是,则获取系统专有协议响应端口的响应报文,根据所述响应报文识别得到待评估监控系统的资产;
若否,则根据专有协议特征构建资产发现引擎,并根据所述资产发现引擎扫描待评估电力监控系统的端口,得到待评估电力监控系统的资产。
进一步地,根据待评估电力监控系统的资产,在预设的时间间隔内对资产进行态势感知,构建待评估电力监控系统的资产暴露面数据库,包括:
根据待评估电力监控系统的资产,确定资产的网络行为特征、通信模式特征以及服务状态特征;
根据所述网络行为特征、所述通信模式特征以及所述服务状态特征,在预设的时间间隔内对资产进行聚类,得到资产组;
根据所述网络行为特征、所述通信模式特征以及所述服务状态特征分析不同资产之间的网络通信关系,构建资产之间的资产关联拓扑图;
根据所述资产组以及所述资产关联拓扑图,构建得到待评估电力监控系统的资产暴露面数据库。
进一步地,预设的漏洞数据库的构建,包括:
获取电力监控系统的历史漏洞事件信息以及历史漏洞事件信息所对应的历史漏洞信息;所述历史漏洞信息包括漏洞描述、漏洞影响版本以及漏洞风险等级;
根据所述历史漏洞事件信息进行语义提取,得到漏洞攻击手法、攻击设备类型;
根据所述漏洞描述进行语义提取,得到漏洞类型;
根据漏洞攻击手法、攻击设备类型、漏洞类型、漏洞影响版本以及漏洞风险等级,构建漏洞数据库。
进一步地,根据所述资产暴露面数据库以及预设的漏洞数据库对待评估电力监控系统进行漏洞扫描,得到资产的脆弱性信息,包括:
根据所述资产暴露面数据库,确定资产的基本属性;所述基本属性包括操作系统版本、中间件版本以及开放端口类型;
根据所述基本属性在预设的漏洞数据库中所对应的漏洞影响版本,确定所述基本属性所对应的漏洞类型;
根据基本属性所对应的漏洞类型对待评估电力监控系统的资产进行漏洞扫描,生成初步脆弱性列表;所述初步脆弱性列表包括:潜在漏洞、潜在漏洞初步风险等级以及已存在漏洞;
根据所述初步脆弱性列表对潜在漏洞进行代码审计,得到资产的脆弱性信息。
进一步地,根据所述资产暴露面数据库、所述脆弱性信息以及漏洞数据库,对待评估电力监控系统进行风险评估,得到待评估电力监控系统的资产风险评估结果,包括:
根据所述脆弱性信息以及漏洞数据库进行关联,计算得到用于表示漏洞危害程度的第一评分;
根据所述资产暴露面数据库,确定用于表示资产重要程度的第二评分;
根据所述第一评分以及所述第二评分,计算得到待评估电力监控系统的综合风险评分;
根据所述综合风险评分以及预设的风险阈值,判断所述综合风险评分与预设的风险阈值的大小关系,得到待评估电力监控系统的资产风险评估结果。
进一步地,还包括:
实时监测待评估电力监控系统的资产暴露面数据库,在资产暴露面数据库变化的情况下,根据变化后的资产暴露面数据库以及变化前的资产暴露面数据库,计算两者的库相似度;
在库相似度小于预设的相似度阈值的情况下,将变化后的资产暴露面数据库和漏洞数据库进行关联,得到与待评估电力监控系统的资产暴露面相关联的最新漏洞;
根据最新漏洞所对应的漏洞风险等级,确定漏洞风险等级所对应的防护等级;
根据所述防护等级,启动所述防护等级所对应的防火墙和IPS防护策略;并根据防火墙和IPS防护策略,对待评估电力监控系统进行防护。
作为上述方案的改进,本发明另一实施例对应提供了一种电力监控系统资产风险评估装置,包括:
系统数据获取模块,用于获取待评估电力监控系统的网络拓扑数据以及系统运行数据;
系统资产发现模块,用于根据所述网络拓扑数据以及所述系统运行数据,对待评估电力监控系统进行通信协议分析,得到待评估监控系统的资产;
资产数据库构建模块,用于根据待评估电力监控系统的资产,在预设的时间间隔内对资产进行态势感知,构建待评估电力监控系统的资产暴露面数据库;
漏洞扫描模块,用于根据所述资产暴露面数据库以及预设的漏洞数据库对待评估电力监控系统进行漏洞扫描,得到资产的脆弱性信息;
风险评估模块,用于根据所述资产暴露面数据库、所述脆弱性信息以及漏洞数据库,对待评估电力监控系统进行风险评估,得到待评估电力监控系统的资产风险评估结果。
本发明另一实施例提供了一种终端设备,包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序,所述处理器执行所述计算机程序时实现如上述实施例中所述的一种电力监控系统资产风险评估方法。
本发明另一实施例提供了一种计算机可读存储介质,所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行上述实施例所述的一种电力监控系统资产风险评估方法。
通过实施本发明,至少具有如下有益效果:
本发明提供一种电力监控系统资产风险评估方法、装置、终端设备及存储介质,其方法能够获取待评估电力监控系统的网络拓扑数据以及系统运行数据;根据所述网络拓扑数据以及所述系统运行数据,对待评估电力监控系统进行通信协议分析,得到待评估监控系统的资产;根据待评估电力监控系统的资产,在预设的时间间隔内对资产进行态势感知,构建待评估电力监控系统的资产暴露面数据库;根据所述资产暴露面数据库以及预设的漏洞数据库对待评估电力监控系统进行漏洞扫描,得到资产的脆弱性信息;根据所述资产暴露面数据库、所述脆弱性信息以及漏洞数据库,对待评估电力监控系统进行风险评估,得到待评估电力监控系统的资产风险评估结果。通过分析待评估电力监控系统的网络拓扑数据和系统运行数据,可以识别出待评估监控系统的资产,然后在预设的时间间隔内对资产进行态势感知,构建待评估电力监控系统的资产暴露面数据库,从而进行漏洞扫描,实现在预设时间间隔内进行漏洞扫描开展评估工作,既不频繁使用漏洞扫描,漏洞扫描的频率也不会过低;同时根据资产暴露面数据库、脆弱性信息以及漏洞数据库,对待评估电力监控系统进行风险评估,得到待评估电力监控系统的资产风险评估结果,能够全面评估电力监控系统中资产暴露面情况和漏洞情况,即使系统的资产中有来自不同厂商的设备,也能根据构建的资产暴露面数据库和资产的脆弱性信息进行量化分析,降低电力监控系统风险评估的难度。
附图说明
图1是本发明一实施例提供的一种电力监控系统资产风险评估方法的流程示意图;
图2是本发明一实施例提供的一种电力监控系统资产风险评估装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见图1,是本发明一实施例提供的一种电力监控系统资产风险评估方法的流程示意图,包括:
S1、获取待评估电力监控系统的网络拓扑数据以及系统运行数据;
S2、根据所述网络拓扑数据以及所述系统运行数据,对待评估电力监控系统进行通信协议分析,得到待评估监控系统的资产;
S3、根据待评估电力监控系统的资产,在预设的时间间隔内对资产进行态势感知,构建待评估电力监控系统的资产暴露面数据库;
S4、根据所述资产暴露面数据库以及预设的漏洞数据库对待评估电力监控系统进行漏洞扫描,得到资产的脆弱性信息;
S5、根据所述资产暴露面数据库、所述脆弱性信息以及漏洞数据库,对待评估电力监控系统进行风险评估,得到待评估电力监控系统的资产风险评估结果。
具体地,待评估电力监控系统的网络拓扑数据包括系统节点以及系统节点的拓扑关系,采用网络扫描,可以获取网络拓扑结构得到网络拓扑数据,然后确定待评估电力监控系统中各节点的节点属性信息;所述节点属性信息包括:节点IP地址、节点端口号以及节点服务类型。系统运行数据包括系统部署环境,如系统专有协议,I EC60870-5-104、DNP3和Modbus等。待评估监控系统的资产是指在监控系统中发挥各种功能和作用的设备、软件、数据等资源。资产暴露面数据库指的是待评估电力监控系统在网络空间中暴露给外部攻击者的资产信息的数据库。预设的漏洞数据库是一个存储和分类各种已知安全漏洞的数据库。资产的脆弱性信息表示指资产或资产组中存在的可能被威胁利用造成损害的薄弱环节。这些薄弱环节可能存在于配置、硬件、软件和信息等各个方面。资产风险评估结果包括待评估电力监控系统资产风险评估得分。
在本发明一优选的实施例中,先获取待评估电力监控系统的网络拓扑数据以及系统运行数据;然后根据所述网络拓扑数据以及所述系统运行数据,对待评估电力监控系统进行通信协议分析,得到待评估监控系统的资产;接着根据待评估电力监控系统的资产,在预设的时间间隔内对资产进行态势感知,构建待评估电力监控系统的资产暴露面数据库;然后根据所述资产暴露面数据库以及预设的漏洞数据库对待评估电力监控系统进行漏洞扫描,得到资产的脆弱性信息;最后根据所述资产暴露面数据库、所述脆弱性信息以及漏洞数据库,对待评估电力监控系统进行风险评估,得到待评估电力监控系统的资产风险评估结果。
优选地,根据所述网络拓扑数据以及所述系统运行数据,对待评估电力监控系统进行通信协议分析,得到待评估监控系统的资产,包括:
根据所述网络拓扑数据,确定待评估电力监控系统中各节点的节点属性信息;所述节点属性信息包括:节点IP地址、节点端口号以及节点服务类型;
根据所述系统运行数据中的系统专有协议,采用协议逆向法和数据包解析法对系统专有协议进行通信协议分析,得到待评估电力监控系统的专有协议特征;
根据所述节点属性信息、所述专有协议特征以及预设的专有协议特征模型库,判断待评估电力监控系统中是否存在系统专有协议响应端口;
若是,则获取系统专有协议响应端口的响应报文,根据所述响应报文识别得到待评估监控系统的资产;
若否,则根据专有协议特征构建资产发现引擎,并根据所述资产发现引擎扫描待评估电力监控系统的端口,得到待评估电力监控系统的资产。
具体地,协议逆向法和数据包解析法是现有技术。预设的专有协议特征模型库,包括了协议报文格式、关键字段和状态机中提取的所有专有协议的协议特征,协议特征包括语法特征和语义特征。例如I EC60870-5-104、DNP3、Modbus等,充分利用这些协议的公开规范和特征,提取关键字段和协议报文格式,构建专门的专有协议特征模型库。
在本发明一优选的实施例中,根据所述网络拓扑数据,确定待评估电力监控系统中各节点的节点属性信息;所述节点属性信息包括:节点IP地址、节点端口号以及节点服务类型。可以根据节点属性信息构建电力监控系统的网络拓扑图,得到的网络拓扑图和不同系统的异构性为专有协议的识别提供了基础信息和参考依据。针对所述系统的部署环境,通过系统指纹识别,识别出不同子系统的操作系统类型、版本号和中间件类型,判断所述系统的异构性。网络拓扑图揭示了系统中各节点的分布和通信关系,而异构性分析则帮助理解不同子系统可能使用的操作系统和中间件,从而推测可能采用的专有协议。结合这些信息,可以更有效地进行流量捕获和解析,并利用专有协议特征模型库识别出具体的专有协议类型和版本,从而实现对电力调控系统内部通信的全面了解和监控。
具体地,在不影响系统正常运行的情况下,采用流量镜像等被动获取数据的方式,对系统内部通信流量进行抓包。利用构建好的专有协议特征模型库,对抓取到的流量数据进行解析和特征提取,识别出系统中采用的专有协议类型、版本等专有协议特征。又或者采用协议逆向和数据包解析,从协议报文的格式、字段和状态机中提取所述专有协议的协议特征。然后根据节点属性信息,通过模拟协议通信流程信息,探测电力监控系统中网络接口、服务端口和专用接口,判断待评估电力监控系统中是否存在系统专有协议响应端口,即判断端口是否存在专有协议的响应;若存在专有协议的端口,则获取系统专有协议响应端口的响应报文,根据端口响应的报文内容,利用专有协议特征模型库中的内容,识别得到待评估监控系统的资产,得到资产的类型、版本和配置;若否,则根据专有协议特征构建资产发现引擎,并根据所述资产发现引擎扫描待评估电力监控系统的端口,得到待评估电力监控系统的资产。
示意性地,待评估电力监控系统的资产包括:设备类型:识别出电力监控系统中不同设备的类型,例如PLC(可编程逻辑控制器)、RTU(远程终端单元)、SCADA系统(监控和数据采集系统)、智能电表等;设备版本:确定各设备或系统中所运行的软件或固件的版本信息,这对于了解系统的更新状态和潜在漏洞至关重要;设备配置:获取设备的配置信息,包括网络接口的配置、服务端口的设定、启用的协议及其参数等。这些配置数据可以帮助进一步理解设备的运行方式和潜在的安全风险;网络接口:识别电力监控系统中各设备的网络接口,获取相关的IP地址、MAC地址等关键信息;服务端口:发现并记录系统中设备开放的服务端口,了解这些端口所承载的服务类型和协议,确定它们的具体用途;专用接口:识别系统中可能存在的专用接口,这些接口可能用于特定的专有协议通信,是设备与其他系统或设备进行专有通信的重要途径。
示意性地,判断待评估电力监控系统中是否存在系统专有协议响应端口包括:(1)根据预设的专有协议特征模型库,构建符合特定专有协议的通信报文。这些报文模拟真实的通信过程,包含适当的格式、内容和顺序,以确保它们能够触发设备的响应。并设计自适应的协议通信框架,使得报文能够根据不同协议的特征动态调整,以适应各种协议的细微差异。(2)使用构建好的通信报文,通过不同的探测技术(如TCPSYN扫描、UDP探测、ARP扫描等),对电力监控系统中的网络接口、服务端口和专用接口进行探测。向目标端口发送构建好的协议报文,模拟通信请求。(3)通过网络扫描工具或流量捕获工具(如Wi reshark、Tcpdump等),捕获目标端口返回的响应报文。(4)将捕获到的响应报文与专有协议特征模型库中的内容进行对比,判断响应报文是否符合已知的专有协议特征。(5)如果响应报文的格式、字段、状态等特征与专有协议特征模型库中的某个专有协议特征匹配,则可以确定该端口使用了该专有协议。(6)同时将识别出的端口与资产信息进行关联,生成端口与资产的映射关系,并将其记录在资产库中。
具体地,通过对电力监控系统专有协议的深入分析,首先搭建一套协议逆向分析环境,包括流量镜像、数据包捕获、协议解码等工具,以Wi reshark、Tcpdump等为代表,选取典型的专有协议数据包样本,利用Wi reshark等工具进行解码和分析,观察协议报文的格式、字段、长度等特征,并与通用的应用层协议如HTTP、FTP等进行对比,总结专有协议的特殊性。再利用IDAPro、O l lydbg等逆向工程工具,对专有协议的关键通信程序或模块进行反汇编和调试,分析协议的状态机、数据结构、编解码等内部实现逻辑,对逆向分析的结果进行抽象和提炼,提取出一套完整的专有协议特征模型库。根据提取出的专有协议特征,创建一套资产发现的引擎,充分考虑专有协议的特殊性,设计一套自适应的协议通信框架,能够根据不同协议的特征,动态调整通信报文的格式、内容、顺序等参数。根据专有协议特征模型库,创建资产发现的引擎,引擎实现多种探测技术,如TCPSYN扫描、UDP探测、ARP扫描等,通过构造不同的协议报文,探测系统中开放的IP地址、端口号、MAC地址等信息,通过端口指纹识别技术,匹配专有协议特征模型库中的规则,识别出端口背后的设备类型、版本、服务等信息,生成端口与资产的映射关系。引擎还具备自动化扫描和定期巡检的能力,通过持续的网络扫描和资产盘点,动态更新资产库的内容。
优选地,根据待评估电力监控系统的资产,在预设的时间间隔内对资产进行态势感知,构建待评估电力监控系统的资产暴露面数据库,包括:
根据待评估电力监控系统的资产,确定资产的网络行为特征、通信模式特征以及服务状态特征;
根据所述网络行为特征、所述通信模式特征以及所述服务状态特征,在预设的时间间隔内对资产进行聚类,得到资产组;
根据所述网络行为特征、所述通信模式特征以及所述服务状态特征分析不同资产之间的网络通信关系,构建资产之间的资产关联拓扑图;
根据所述资产组以及所述资产关联拓扑图,构建得到待评估电力监控系统的资产暴露面数据库。
在本发明一优选的实施例中,根据待评估电力监控系统的资产,采用被动流量监听和主动探测,获取资产的网络通信数据、服务端口状态和应用程序信息;通过数据清洗和特征提取,得到资产的网络行为特征、通信模式特征和服务状态特征。根据所述网络行为特征、所述通信模式特征以及所述服务状态特征,在预设的时间间隔内采用机器学习算法对资产进行聚类,得到资产组;然后采用数据关联分析,判断不同资产之间的网络通信关系、服务调用关系和数据传输关系,根据所述网络行为特征、所述通信模式特征以及所述服务状态特征分析不同资产之间的网络通信关系,构建资产之间的资产关联拓扑图。对每个资产组内的资产,采用深度学习算法,构建对应资产网络行为和通信模式的特征模型;将所述网络行为特征、所述通信模式特征和所述服务状态特征输入到对应的特征模型中,得到资产在特征模型下的特征向量表示;通过特征向量比对和相似度计算,判断新增资产与已有资产的相似程度,确定资产在资产分类体系中的类别;将资产的特征向量、资产关联拓扑图和分类信息,存储到数据库中,构建细粒度的资产暴露面数据库。
在本发明另一优选的实施例中,通过被动流量监听和主动探测,获取到某资产在1小时内与5个不同IP地址通信,开放了80、443、3306等3个服务端口,使用了Ngi nx、Tomcat、MySQL等3种应用程序。经过数据清洗和特征提取,得到该资产每分钟平均接收数据包数为1000,平均发送数据包数为800,80端口每秒处理并发连接数最高达到50,443端口的连接成功率为98%,3306端口的平均响应时间为10毫秒。利用数据关联分析,发现该资产与其他3个资产之间存在网络通信,其中2个资产调用了该资产的服务,另1个资产接收了该资产传输的数据,由此构建出资产间的资产关联拓扑图。采用K-means聚类算法,根据网络行为特征、通信模式特征和服务状态特征,将1000个资产分为5个资产组。对每个资产组内的资产,使用长短期记忆神经网络,构建包含10个隐藏层、每层100个神经元的特征模型。将资产的特征向量输入已训练好的特征模型,得到一个200维的特征向量表示。计算该向量与资产库中所有资产向量的欧氏距离,发现与某个资产的距离最小,仅为1,据此判断该新增资产属于该资产所在的类别。将新增资产的200维特征向量、包含5个节点10条边的资产关联拓扑图以及所属类别信息,存入资产暴露面数据库,至此该资产已纳入细粒度的管理范畴。
具体地,预设的漏洞数据库的构建,包括:
获取电力监控系统的历史漏洞事件信息以及历史漏洞事件信息所对应的历史漏洞信息;所述历史漏洞信息包括漏洞描述、漏洞影响版本以及漏洞风险等级;
根据所述历史漏洞事件信息进行语义提取,得到漏洞攻击手法、攻击设备类型;
根据所述漏洞描述进行语义提取,得到漏洞类型;
根据漏洞攻击手法、攻击设备类型、漏洞类型、漏洞影响版本以及漏洞风险等级,构建漏洞数据库。
在本发明一优选的实施例中,获取电力监控系统的历史漏洞事件信息以及历史漏洞事件信息所对应的历史漏洞信息;所述历史漏洞信息包括漏洞描述、漏洞影响版本以及漏洞风险等级;利用自然语言处理,对历史漏洞事件信息进行语义提取,得到漏洞攻击手法、攻击设备类型;并根据所述漏洞描述进行语义提取,得到漏洞类型。然后可以提取电力监控设备的特性和脆弱点,得到安全风险因素,对漏洞数据库进行再次优化,所述安全风险因素包括默认口令、硬编码凭据、调试接口。最后根据漏洞攻击手法、攻击设备类型、漏洞类型、漏洞影响版本以及漏洞风险等级,构建漏洞数据库。
优选地,根据所述资产暴露面数据库以及预设的漏洞数据库对待评估电力监控系统进行漏洞扫描,得到资产的脆弱性信息,包括:
根据所述资产暴露面数据库,确定资产的基本属性;所述基本属性包括操作系统版本、中间件版本以及开放端口类型;
根据所述基本属性在预设的漏洞数据库中所对应的漏洞影响版本,确定所述基本属性所对应的漏洞类型;
根据基本属性所对应的漏洞类型对待评估电力监控系统的资产进行漏洞扫描,生成初步脆弱性列表;所述初步脆弱性列表包括:潜在漏洞、潜在漏洞初步风险等级以及已存在漏洞;
根据所述初步脆弱性列表对潜在漏洞进行代码审计,得到资产的脆弱性信息。
在本发明一优选的实施例中,资产的脆弱性信息是指资产在设计、实现、配置中存在的缺陷或弱点,这些弱点可能会被威胁利用来对资产造成损害。根据所述资产暴露面数据库,确定资产的基本属性;所述基本属性包括操作系统版本、中间件版本以及开放端口类型;通过分析所述基本属性,在预设的漏洞数据库中查找与基本属性所对应的漏洞影响版本,确定基本属性所对应的漏洞类型。根据基本属性所对应的漏洞类型对待评估电力监控系统的资产进行漏洞扫描,生成初步脆弱性列表,若初步脆弱性列表不为空,则根据漏洞数据库中漏洞风险等级,采用代码审计技术,对初步脆弱性列表中的潜在漏洞进行代码审计,确认资产中存在的脆弱性,确定资产中已存在的漏洞以及潜在漏洞的初步风险等级。根据潜在漏洞和已存在漏洞,形成安全漏洞清单,根据安全漏洞清单采用渗透测试,对资产进行模拟攻击,判断安全漏洞是否可以被远程利用。测试过程中,通过构造特定的攻击场景,验证漏洞的可利用性和实际危害。若安全漏洞可以被远程利用,则通过对扫描过程进行动态跟踪和调试,确定安全漏洞的利用条件和危害程度。通过动态跟踪和调试进一步确定漏洞的利用条件(如是否需要特定权限、访问条件)和危害程度(如数据泄露的范围、对系统完整性的破坏等),最后得到资产的脆弱性信息。
优选地,根据所述资产暴露面数据库、所述脆弱性信息以及漏洞数据库,对待评估电力监控系统进行风险评估,得到待评估电力监控系统的资产风险评估结果,包括:
根据所述脆弱性信息以及漏洞数据库进行关联,计算得到用于表示漏洞危害程度的第一评分;
根据所述资产暴露面数据库,确定用于表示资产重要程度的第二评分;
根据所述第一评分以及所述第二评分,计算得到待评估电力监控系统的综合风险评分;
根据所述综合风险评分以及预设的风险阈值,判断所述综合风险评分与预设的风险阈值的大小关系,得到待评估电力监控系统的资产风险评估结果。
在本发明一优选的实施例中,根据所述脆弱性信息以及漏洞数据库进行关联,根据脆弱性信息中的危害程度以及漏洞数据库中的漏洞风险等级,计算得到用于表示漏洞危害程度的第一评分;然后根据所述资产暴露面数据库以及脆弱性信息,根据资产暴露面数据库中的资产关联拓扑图确定资产中各节点的连接关系和资产组分类关系的重要性,然后根据脆弱性信息中的利用条件和资产组分类关系的重要性,确定用于表示资产重要程度的第二评分;接着根据所述第一评分以及所述第二评分,计算得到待评估电力监控系统的综合风险评分。最后根据所述综合风险评分以及预设的风险阈值,判断所述综合风险评分与预设的风险阈值的大小关系,得到待评估电力监控系统的资产风险评估结果,例如预设的风险阈值分为高风险8-10分,中风险6-8分,低风险6分以下,综合风险评分为8分,则待评估电力监控系统的资产风险评估结果为高风险;综合风险评分为6分,则待评估电力监控系统的资产风险评估结果为中风险;综合风险评分为5分,则待评估电力监控系统的资产风险评估结果为低风险。
在本发明一优选的实施例中,对100个电力监控设备漏洞进行语义分析和提取,其中漏洞描述相似度大于80%的漏洞归为一类,最终得到漏洞数据库包含75个典型漏洞。在漏洞数据库优化时,例如分析了50起事件案件,其中有30起事件涉及漏洞数据库中的漏洞,通过关联分析更新了漏洞库中20%的漏洞信息。在设备功能解析时,例如分析1000台电力监控设备,发现其中有400台设备存在默认口令风险,300台设备存在调试接口风险,100台设备存在硬编码凭据风险,据此对漏洞数据库进行优化。在漏洞风险评估时,例如某电力监控设备存在一个严重漏洞,其危害程度评分为4分,利用难度评分为2分,则该漏洞的综合风险评分为4×2=8分,属于高风险等级。在形成设备风险评估报告时,例如对1000台电力监控设备进行风险评估,最终评估出其中有100台高风险设备,300台中风险设备,600台低风险设备。
在本发明另一优选的实施例中,发现某资产使用Wi ndowsServer2012操作系统,中间件为ApacheTomcat5,开放端口为80、443、3389等。分析发现该资产的操作系统、中间件版本均较老,其相关漏洞库包含3个高危漏洞,5个中危漏洞,确定需要重点检测SQL注入、文件上传等漏洞类型。采用漏洞扫描,对资产进行检测,发现存在1个SQL注入、2个弱口令等6个初步脆弱性。根据脆弱性风险等级,采用代码审计技术,重点审计2个高风险的SQL注入脆弱性,最终确认资产存在1个SQL注入漏洞。通过渗透测试,发现该SQL注入漏洞可被远程利用,攻击者可通过构造恶意SQL语句,获取数据库中的敏感信息。经过跟踪调试,确定该漏洞的利用条件是需要一个未授权的数据库连接,危害程度为可获取数据库90%的敏感数据。采用风险评估模块中,综合考虑资产重要性、漏洞危害程度等因素,通过公式计算得到该资产的风险评分为8.5分,其中满分10,属于高风险。分析资产安全隐患,例如Web应用程序存在1个高风险SQL注入漏洞,中间件版本较老存在多个安全隐患,服务器未及时打补丁等,形成资产安全风险评估报告,建议尽快修复漏洞,并升级软件版本,加强安全防护。
示意性地,还包括:
实时监测待评估电力监控系统的资产暴露面数据库,在资产暴露面数据库变化的情况下,根据变化后的资产暴露面数据库以及变化前的资产暴露面数据库,计算两者的库相似度;
在库相似度小于预设的相似度阈值的情况下,将变化后的资产暴露面数据库和漏洞数据库进行关联,得到与待评估电力监控系统的资产暴露面相关联的最新漏洞;
根据最新漏洞所对应的漏洞风险等级,确定漏洞风险等级所对应的防护等级;
根据所述防护等级,启动所述防护等级所对应的防火墙和IPS防护策略;并根据防火墙和IPS防护策略,对待评估电力监控系统进行防护。
在本发明一优选的实施例中,实时监测待评估电力监控系统的资产暴露面数据库,在资产暴露面数据库变化的情况下,根据变化后的资产暴露面数据库以及变化前的资产暴露面数据库,计算两者的库相似度,判断电力监控系统是否遭受新的攻击导致系统的网络拓扑数据和系统运行数据发生改变从而导致资产暴露面数据库发生改变。然后在库相似度小于预设的相似度阈值的情况下,说明遭受新的攻击导致系统的网络拓扑数据和系统运行数据发生改变,将变化后的资产暴露面数据库和漏洞数据库进行关联,得到与待评估电力监控系统的资产暴露面相关联的最新漏洞;根据最新漏洞在漏洞数据库所对应的漏洞风险等级,确定漏洞风险等级所对应的防护等级。如果漏洞数据库中未记载有该类型的漏洞,则将最新漏洞响应为最高风险等级,存储在漏洞数据库中,以确定所对应的防护等级为最高级。最后根据所述防护等级,启动所述防护等级所对应的防火墙和IPS防护策略;并根据防火墙和IPS防护策略,对待评估电力监控系统进行防护。
在本发明另一优选的实施例中,根据资产的暴露面数据,通过资产指纹识别,提取每个资产的技术栈特征,构建资产画像;对脆弱性信息进行标准化处理和融合,消除冗余和噪声,形成资产的脆弱性全景视图;将风险评估结果与资产画像、所述脆弱性全景视图进行关联,运用图数据库构建资产安全知识图谱;根据资产安全知识图谱,采用随机森林,构建风险预测模型,根据资产当前面临的威胁情况信息和脆弱性信息,预测资产遭受的威胁事件和风险级别;若预测的风险级别超过预设的风险阈值,则触发风险告警,生成风险告警信息,告警信息包括风险描述、风险级别、受影响的资产;根据预测出的威胁事件和风险级别,结合资产的重要性信息和脆弱性信息,生成相应的安全防护策略,安全防护策略包括访问控制、数据加密和安全监控的措施。具体来说,通过使用网络爬虫技术,如Scrapy框架,可以高效得到资产的暴露面数据。利用资产指纹识别技术,如Nmap工具,提取资产的操作系统、Web服务器、数据库等技术栈特征,构建多维度的资产画像。对收集到的脆弱性信息,采用CVE标准进行归一化处理,通过相似度算法如余弦相似度,对脆弱性进行聚类融合,去除冗余和噪声数据,最终形成资产的脆弱性全景视图。使用图数据库Neo4j,将资产画像、脆弱性全景与风险评估结果进行关联建模,构建资产安全知识图谱。在此基础上,选择随机森林算法,训练风险预测模型。模型的输入特征包括资产面临的威胁情况如恶意IP访问次数、脆弱性的严重程度等,输出资产遭受威胁事件的概率和风险级别。当预测的风险级别超过预设阈值如7,时,触发风险告警,生成包含风险描述、风险级别、受影响资产的告警信息。进一步地,结合资产重要性评分和脆弱性严重程度,自动生成安全防护策略。如对高风险资产,部署访问控制措施,对敏感数据进行AES加密,同时加强安全监控,设置异常行为检测规则等。通过实施本实施例可以实现资产安全风险的自动发现、预警和防护,大幅提升安全运营效率。通过风险预测模型,能够前瞻性地识别潜在威胁,生成告警信息和防护策略,提高应急响应速度;综合考虑资产暴露面、已知漏洞和历史事件案例,进行定制化的风险评估,生成针对性的安全防护策略。这一过程的动态性和自适应性,确保了防护措施的有效性和及时性;通过持续的资产暴露面监测与差异分析,不断更新资产暴露面数据库和漏洞数据库,实现风险评估与防护策略的动态调整,实现自我适应和不断优化闭环安全防护体系;将上述技术手段融入资产的整个生命周期管理中,从资产的引入到退役,全程覆盖安全风险评估与防护,确保新加入的资产也能迅速融入整体安全框架,减少因资产变动带来的安全盲区和风险。
在本发明另一优选的实施例中,根据资产暴露面监测系统获取资产暴露面变化信息,通过差异分析算法比对资产暴露面库中的历史数据,判断出新增或变化的暴露面数据;将暴露面数据更新到资产暴露面数据库中,实现资产暴露面数据库的动态更新;采用数据关联分析,将更新后的资产暴露面数据库与漏洞数据库进行动态关联,判断出与新增或变化暴露面相关联的漏洞;根据漏洞关联分析的结果,从风险知识库中获取与漏洞相对应的风险指标;将新增或变化暴露面、漏洞和风险指标进行综合评估,判断资产的最新风险评分和风险等级;若最新风险评分或风险等级超出预设风险阈值,则触发安全防护策略的更新机制;根据最新风险评分和风险等级,确定所述安全防护策略,根据所述安全防护策略匹配防护策略配置;通过防护策略配置下发接口,将更新后的安全防护策略自动下发到相关的安全防护设备,包括防火墙和IPS,动态调整安全防护策略;持续监测资产暴露面变化信息和防护效果信息,实时反馈资产暴露面变化信息和防护效果信息,形成动态闭环的持续防护机制。具体来说,资产暴露面监测系统每隔5分钟获取一次资产暴露面变化信息,通过差异分析算法比对资产暴露面库中的历史数据,判断出新增或变化的暴露面数据。差异分析算法采用基于相似度的比对方法,设置相似度阈值为8,高于该阈值的数据视为未发生变化,低于该阈值的数据视为新增或变化数据。将差异分析得到的新增或变化暴露面数据更新到资产暴露面库中,实现资产暴露面库的动态更新,更新频率为每小时一次。采用数据关联分析,利用自然语言处理技术,提取更新后的资产暴露面库和漏洞库中的关键词,通过词向量相似度计算,将相似度大于9的暴露面和漏洞进行关联,判断出与新增或变化暴露面相关联的漏洞。根据漏洞关联分析的结果,从风险知识库中获取与漏洞相对应的风险指标,包括漏洞危害级别、漏洞利用难度等。将新增或变化暴露面、关联漏洞和风险指标进行综合评估,采用基于规则的风险评估模型,设置不同风险因素的权重,计算得到资产的最新风险评分,根据评分区间划分风险等级,若最新风险评分超过8分或风险等级为高风险,则触发安全防护策略的更新机制。根据最新风险评分和风险等级,从安全防护策略知识库中匹配对应的防护措施,知识库中预设了不同风险等级对应的防火墙规则和IPS规则模板,根据风险情况生成有针对性的防护策略配置。通过安全配置下发接口,采用SSH协议,将更新后的防护策略自动下发到防火墙和IPS设备,下发过程耗时不超过1分钟,动态调整防护策略。持续监测资产暴露面变化信息和防护效果信息,监测周期为10分钟,实时反馈资产暴露面变化信息和防护效果信息,若出现防护策略失效或资产暴露面持续恶化等情况,则自动触发上述流程,形成动态闭环的持续防护机制,实现对资产安全风险的实时感知和快速响应。
在本发明又一优选的实施例中,根据发现电力监控系统中的资产,获取资产的关键信息;通过关键信息分析判断资产的安全风险等级,确定高风险资产清单。若资产为高风险资产,则根据安全防护策略,匹配安全防护措施,形成资产安全加固方案;采用自动化配置管理工具,将资产安全加固方案应用到资产,完成资产安全防护;获取资产运行过程中的日志和监控数据,通过安全分析,判断资产安全状态和风险变化,识别可疑行为;若发现资产安全事件或风险变化,则触发资产安全响应流程,根据预设的处置方案进行处置;若资产变更时,重新获取资产信息,进入资产风险预测和防护流程,实现资产全生命周期的持续性管控。具体来说,通过资产发现工具自动扫描电力监控系统网络,获取资产的IP地址、操作系统、端口、服务等关键信息,采用资产指纹识别技术,识别率达到95%以上。利用风险预测模型对资产的漏洞、配置、权限等因素进行综合评估,通过模糊综合评判法计算资产的安全风险得分,风险等级划分为低、中、高三个等级,其中得分大于8分的资产列为高风险资产。针对高风险资产,匹配相应的安全防护措施,如关闭非必要端口、修复漏洞、加强身份认证等,形成资产安全加固方案。通过Ans i b l e等自动化配置管理工具,将加固方案应用到资产上,实现批量、快速的安全防护。持续监控资产的系统日志、网络流量等数据,采用机器学习算法进行安全分析,通过异常检测模型判断资产的安全状态,识别可疑行为。当发现安全事件时,通过预设的自动化响应流程,快速隔离受影响资产,阻断攻击传播。当资产发生变更时,如添加新设备、升级软件等,重新触发资产安全评估流程,动态更新资产的风险状况和防护措施。通过资产管理平台,集中展示资产的安全风险、防护状态、安全事件等信息,形成直观的资产安全可视化视图。利用资产安全大数据,通过机器学习算法优化风险预测模型,提高风险识别的准确性,同时动态调整安全防护策略,实现智能化、自适应的资产安全管控。
通过实施本实施例,分析待评估电力监控系统的网络拓扑数据和系统运行数据,可以识别出待评估监控系统的资产,然后在预设的时间间隔内对资产进行态势感知,构建待评估电力监控系统的资产暴露面数据库,从而进行漏洞扫描,实现在预设时间间隔内进行漏洞扫描开展评估工作,既不频繁使用漏洞扫描,漏洞扫描的频率也不会过低;同时根据资产暴露面数据库、脆弱性信息以及漏洞数据库,对待评估电力监控系统进行风险评估,得到待评估电力监控系统的资产风险评估结果,能够全面评估电力监控系统中资产暴露面情况和漏洞情况,即使系统的资产中有来自不同厂商的设备,也能根据构建的资产暴露面数据库和资产的脆弱性信息进行量化分析,降低电力监控系统风险评估的难度。
参见图2,是本发明一实施例提供的一种电力监控系统资产风险评估装置的结构示意图,包括:
系统数据获取模块,用于获取待评估电力监控系统的网络拓扑数据以及系统运行数据;
系统资产发现模块,用于根据所述网络拓扑数据以及所述系统运行数据,对待评估电力监控系统进行通信协议分析,得到待评估监控系统的资产;
资产数据库构建模块,用于根据待评估电力监控系统的资产,在预设的时间间隔内对资产进行态势感知,构建待评估电力监控系统的资产暴露面数据库;
漏洞扫描模块,用于根据所述资产暴露面数据库以及预设的漏洞数据库对待评估电力监控系统进行漏洞扫描,得到资产的脆弱性信息;
风险评估模块,用于根据所述资产暴露面数据库、所述脆弱性信息以及漏洞数据库,对待评估电力监控系统进行风险评估,得到待评估电力监控系统的资产风险评估结果。
本发明提供了一种电力监控系统资产风险评估装置,根据系统数据获取模块获取待评估电力监控系统的网络拓扑数据以及系统运行数据;然后在系统资产发现模块,根据所述网络拓扑数据以及所述系统运行数据,对待评估电力监控系统进行通信协议分析,得到待评估监控系统的资产;接着在资产数据库构建模块,根据待评估电力监控系统的资产,在预设的时间间隔内对资产进行态势感知,构建待评估电力监控系统的资产暴露面数据库;然后在漏洞扫描模块,根据所述资产暴露面数据库以及预设的漏洞数据库对待评估电力监控系统进行漏洞扫描,得到资产的脆弱性信息;最后在风险评估模块,根据所述资产暴露面数据库、所述脆弱性信息以及漏洞数据库,对待评估电力监控系统进行风险评估,得到待评估电力监控系统的资产风险评估结果。通过分析待评估电力监控系统的网络拓扑数据和系统运行数据,可以识别出待评估监控系统的资产,然后在预设的时间间隔内对资产进行态势感知,构建待评估电力监控系统的资产暴露面数据库,从而进行漏洞扫描,实现在预设时间间隔内进行漏洞扫描开展评估工作,既不频繁使用漏洞扫描,漏洞扫描的频率也不会过低;同时根据资产暴露面数据库、脆弱性信息以及漏洞数据库,对待评估电力监控系统进行风险评估,得到待评估电力监控系统的资产风险评估结果,能够全面评估电力监控系统中资产暴露面情况和漏洞情况,即使系统的资产中有来自不同厂商的设备,也能根据构建的资产暴露面数据库和资产的脆弱性信息进行量化分析,降低电力监控系统风险评估的难度。
需说明的是,以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外,本发明提供的装置实施例附图中,模块之间的连接关系表示它们之间具有通信连接,具体可以实现为一条或多条通信总线或信号线。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
所属领域的技术人员可以清楚地了解到,为了方便和简洁,上述描述的装置的具体工作过程,可参考前述方法实施例中对应的过程,在此不再赘述。
本发明另一实施例还提供了一种终端设备,包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序,所述处理器执行所述计算机程序时实现如上述实施例中所述的一种电力监控系统资产风险评估方法。所述终端设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述终端设备可包括,但不仅限于,处理器、存储器。
所述处理器可以是中央处理单元(Centra l Process i ng Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digita l Signa l Processor,DSP)、专用集成电路(App l icat ion Speci fic I ntegrated Ci rcuit,ASI C)、现成可编程门阵列(Fie ld-Programmab l e Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,所述处理器是所述终端设备的控制中心,利用各种接口和线路连接整个终端设备的各个部分。
所述存储器可用于存储所述计算机程序,所述处理器通过运行或执行存储在所述存储器内的计算机程序,以及调用存储在存储器内的数据,实现所述终端设备的各种功能。所述存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等;存储数据区可存储根据手机的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Med ia Card,SMC),安全数字(Secure Digita l,SD)卡,闪存卡(F l ash Card)、至少一个磁盘存储器件、闪存器件或其他易失性固态存储器件。
本发明另一实施例提供了一种计算机可读存储介质,所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行上述实施例所述的一种电力监控系统资产风险评估方法。
所述存储介质为计算机可读存储介质,所述计算机程序存储在所述计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-On l y Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围。
Claims (8)
1.一种电力监控系统资产风险评估方法,其特征在于,包括:
获取待评估电力监控系统的网络拓扑数据以及系统运行数据;
根据所述网络拓扑数据以及所述系统运行数据,对待评估电力监控系统进行通信协议分析,得到待评估监控系统的资产;
根据待评估电力监控系统的资产,在预设的时间间隔内对资产进行态势感知,构建待评估电力监控系统的资产暴露面数据库;
根据所述资产暴露面数据库以及预设的漏洞数据库对待评估电力监控系统进行漏洞扫描,得到资产的脆弱性信息;
根据所述资产暴露面数据库、所述脆弱性信息以及漏洞数据库,对待评估电力监控系统进行风险评估,得到待评估电力监控系统的资产风险评估结果;
根据所述网络拓扑数据以及所述系统运行数据,对待评估电力监控系统进行通信协议分析,得到待评估监控系统的资产,包括:
根据所述网络拓扑数据,确定待评估电力监控系统中各节点的节点属性信息;所述节点属性信息包括:节点IP地址、节点端口号以及节点服务类型;
根据所述系统运行数据中的系统专有协议,采用协议逆向法和数据包解析法对系统专有协议进行通信协议分析,得到待评估电力监控系统的专有协议特征;
根据所述节点属性信息、所述专有协议特征以及预设的专有协议特征模型库,判断待评估电力监控系统中是否存在系统专有协议响应端口;
若是,则获取系统专有协议响应端口的响应报文,根据所述响应报文识别得到待评估监控系统的资产;
若否,则根据专有协议特征构建资产发现引擎,并根据所述资产发现引擎扫描待评估电力监控系统的端口,得到待评估电力监控系统的资产;
根据待评估电力监控系统的资产,在预设的时间间隔内对资产进行态势感知,构建待评估电力监控系统的资产暴露面数据库,包括:
根据待评估电力监控系统的资产,确定资产的网络行为特征、通信模式特征以及服务状态特征;
根据所述网络行为特征、所述通信模式特征以及所述服务状态特征,在预设的时间间隔内对资产进行聚类,得到资产组;
根据所述网络行为特征、所述通信模式特征以及所述服务状态特征分析不同资产之间的网络通信关系,构建资产之间的资产关联拓扑图;
根据所述资产组以及所述资产关联拓扑图,构建得到待评估电力监控系统的资产暴露面数据库。
2.如权利要求1所述的一种电力监控系统资产风险评估方法,其特征在于,预设的漏洞数据库的构建,包括:
获取电力监控系统的历史漏洞事件信息以及历史漏洞事件信息所对应的历史漏洞信息;所述历史漏洞信息包括漏洞描述、漏洞影响版本以及漏洞风险等级;
根据所述历史漏洞事件信息进行语义提取,得到漏洞攻击手法、攻击设备类型;
根据所述漏洞描述进行语义提取,得到漏洞类型;
根据漏洞攻击手法、攻击设备类型、漏洞类型、漏洞影响版本以及漏洞风险等级,构建漏洞数据库。
3.如权利要求2所述的一种电力监控系统资产风险评估方法,其特征在于,根据所述资产暴露面数据库以及预设的漏洞数据库对待评估电力监控系统进行漏洞扫描,得到资产的脆弱性信息,包括:
根据所述资产暴露面数据库,确定资产的基本属性;所述基本属性包括操作系统版本、中间件版本以及开放端口类型;
根据所述基本属性在预设的漏洞数据库中所对应的漏洞影响版本,确定所述基本属性所对应的漏洞类型;
根据基本属性所对应的漏洞类型对待评估电力监控系统的资产进行漏洞扫描,生成初步脆弱性列表;所述初步脆弱性列表包括:潜在漏洞、潜在漏洞初步风险等级以及已存在漏洞;
根据所述初步脆弱性列表对潜在漏洞进行代码审计,得到资产的脆弱性信息。
4.如权利要求1所述一种电力监控系统资产风险评估方法,其特征在于,根据所述资产暴露面数据库、所述脆弱性信息以及漏洞数据库,对待评估电力监控系统进行风险评估,得到待评估电力监控系统的资产风险评估结果,包括:
根据所述脆弱性信息以及漏洞数据库进行关联,计算得到用于表示漏洞危害程度的第一评分;
根据所述资产暴露面数据库以及所述脆弱性信息,确定用于表示资产重要程度的第二评分;
根据所述第一评分以及所述第二评分,计算得到待评估电力监控系统的综合风险评分;
根据所述综合风险评分以及预设的风险阈值,判断所述综合风险评分与预设的风险阈值的大小关系,得到待评估电力监控系统的资产风险评估结果。
5.如权利要求2所述的一种电力监控系统资产风险评估方法,其特征在于,还包括:
实时监测待评估电力监控系统的资产暴露面数据库,在资产暴露面数据库变化的情况下,根据变化后的资产暴露面数据库以及变化前的资产暴露面数据库,计算两者的库相似度;
在库相似度小于预设的相似度阈值的情况下,将变化后的资产暴露面数据库和漏洞数据库进行关联,得到与待评估电力监控系统的资产暴露面相关联的最新漏洞;
根据最新漏洞所对应的漏洞风险等级,确定漏洞风险等级所对应的防护等级;
根据所述防护等级,启动所述防护等级所对应的防火墙和IPS防护策略;并根据防火墙和IPS防护策略,对待评估电力监控系统进行防护。
6.一种电力监控系统资产风险评估装置,其特征在于,包括:
系统数据获取模块,用于获取待评估电力监控系统的网络拓扑数据以及系统运行数据;
系统资产发现模块,用于根据所述网络拓扑数据以及所述系统运行数据,对待评估电力监控系统进行通信协议分析,得到待评估监控系统的资产;
资产数据库构建模块,用于根据待评估电力监控系统的资产,在预设的时间间隔内对资产进行态势感知,构建待评估电力监控系统的资产暴露面数据库;
漏洞扫描模块,用于根据所述资产暴露面数据库以及预设的漏洞数据库对待评估电力监控系统进行漏洞扫描,得到资产的脆弱性信息;
风险评估模块,用于根据所述资产暴露面数据库、所述脆弱性信息以及漏洞数据库,对待评估电力监控系统进行风险评估,得到待评估电力监控系统的资产风险评估结果;
其中,所述系统资产发现模块,用于根据所述网络拓扑数据以及所述系统运行数据,对待评估电力监控系统进行通信协议分析,得到待评估监控系统的资产,包括:
根据所述网络拓扑数据,确定待评估电力监控系统中各节点的节点属性信息;所述节点属性信息包括:节点IP地址、节点端口号以及节点服务类型;
根据所述系统运行数据中的系统专有协议,采用协议逆向法和数据包解析法对系统专有协议进行通信协议分析,得到待评估电力监控系统的专有协议特征;
根据所述节点属性信息、所述专有协议特征以及预设的专有协议特征模型库,判断待评估电力监控系统中是否存在系统专有协议响应端口;
若是,则获取系统专有协议响应端口的响应报文,根据所述响应报文识别得到待评估监控系统的资产;
若否,则根据专有协议特征构建资产发现引擎,并根据所述资产发现引擎扫描待评估电力监控系统的端口,得到待评估电力监控系统的资产;
所述资产数据库构建模块,用于根据待评估电力监控系统的资产,在预设的时间间隔内对资产进行态势感知,构建待评估电力监控系统的资产暴露面数据库,包括:
根据待评估电力监控系统的资产,确定资产的网络行为特征、通信模式特征以及服务状态特征;
根据所述网络行为特征、所述通信模式特征以及所述服务状态特征,在预设的时间间隔内对资产进行聚类,得到资产组;
根据所述网络行为特征、所述通信模式特征以及所述服务状态特征分析不同资产之间的网络通信关系,构建资产之间的资产关联拓扑图;
根据所述资产组以及所述资产关联拓扑图,构建得到待评估电力监控系统的资产暴露面数据库。
7.一种终端设备,其特征在于,包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1至5中任意一项所述的一种电力监控系统资产风险评估方法。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行如权利要求1至5中任意一项所述的一种电力监控系统资产风险评估方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202411238920.7A CN119047836B (zh) | 2024-09-05 | 2024-09-05 | 一种电力监控系统资产风险评估方法、装置、终端设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202411238920.7A CN119047836B (zh) | 2024-09-05 | 2024-09-05 | 一种电力监控系统资产风险评估方法、装置、终端设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN119047836A CN119047836A (zh) | 2024-11-29 |
| CN119047836B true CN119047836B (zh) | 2025-10-10 |
Family
ID=93572010
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202411238920.7A Active CN119047836B (zh) | 2024-09-05 | 2024-09-05 | 一种电力监控系统资产风险评估方法、装置、终端设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN119047836B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN119415915A (zh) * | 2025-01-06 | 2025-02-11 | 中能融合智慧科技有限公司 | 电力设备安全检测方法、装置和终端设备 |
| CN120257315A (zh) * | 2025-03-17 | 2025-07-04 | 南京聚铭网络科技有限公司 | 一种安全运营平台的数据保护方法及系统 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117857162A (zh) * | 2023-12-27 | 2024-04-09 | 智网安云(武汉)信息技术有限公司 | 一种可配置的自动化资产风险评估方法、装置及介质 |
-
2024
- 2024-09-05 CN CN202411238920.7A patent/CN119047836B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117857162A (zh) * | 2023-12-27 | 2024-04-09 | 智网安云(武汉)信息技术有限公司 | 一种可配置的自动化资产风险评估方法、装置及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN119047836A (zh) | 2024-11-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12047396B2 (en) | System and method for monitoring security attack chains | |
| US8418247B2 (en) | Intrusion detection method and system | |
| CN110598404B (zh) | 安全风险监管方法、监管装置、服务器和存储介质 | |
| CN120050079A (zh) | 基于人工智能的网络安全渗透检测方法及系统 | |
| CN118381627A (zh) | 一种llm驱动的工业网络入侵检测方法和响应系统 | |
| CN118101250A (zh) | 一种网络安全检测方法及系统 | |
| CN117478433B (zh) | 一种网络与信息安全动态预警系统 | |
| CN119047836B (zh) | 一种电力监控系统资产风险评估方法、装置、终端设备及存储介质 | |
| Danish | Enhancing cyber security through predictive analytics: Real-time threat detection and response | |
| CN119205351A (zh) | 一种资产风险的追踪溯源方法及装置 | |
| CN119276602B (zh) | 一种基于人工智能的变电站网络安全防御系统 | |
| CN117527412B (zh) | 数据安全监测方法及装置 | |
| CN110213226A (zh) | 基于风险全要素辨识关联的网络攻击场景重建方法及系统 | |
| CN117478364A (zh) | 基于企业研发核心数据的传输防泄密方法及系统 | |
| CN118018231A (zh) | 隔离区的安全策略管理方法、装置、设备和存储介质 | |
| CN119172150A (zh) | 一种基于大数据的网络安全管理系统 | |
| CN118138361A (zh) | 一种基于可自主进化智能体的安全策略制定方法和系统 | |
| CN120050097B (zh) | 一种网络攻击研判方法、系统、程序产品、设备及介质 | |
| CN118449768A (zh) | 一种用在威胁分析和风险评估中的自动化威胁建模方法 | |
| CN120415882A (zh) | 一种电力监控系统配网网络安全管理主动防御系统 | |
| CN118432940A (zh) | 网络安全检测方法、装置、电子设备及计算机可读介质 | |
| CN120956448A (zh) | 一种基于物联网的数据安全监测预警方法 | |
| CN119849314A (zh) | 基于可信计算的安全推演方法和装置 | |
| Bhardwaj et al. | Machine learning and artificial intelligence for detecting cyber security threats in iot environmment | |
| CN118200022B (zh) | 基于大数据网络恶意攻击的数据加密方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |