一种面向工控系统的漏洞优先级分析方法、系统、设备及存储介质技术方案

本发明专利技术涉及一种面向工控系统的漏洞优先级分析方法、系统、设备及存储介质，是指：通过探测扫描得到的场景与漏洞信息，结合PoC给出结合场景的漏洞可利用性度量，再基于CVSS框架，该度量值结合漏洞报告中的CVSS评分，给出漏洞的优先级评分。本发明专利技术缓解了工控系统中CVSS评分因为只考虑漏洞本身属性而导致的偏差。该系统有效地缓解了工控系统下漏洞验证的压力，并基于CVSS高效地、自动地给出了在漏洞所在场景下的漏洞优先级评分，同时提供推荐的PoC，方便进行下一步的验证。方便进行下一步的验证。

【技术实现步骤摘要】
一种面向工控系统的漏洞优先级分析方法、系统、设备及存储介质


[0001]本专利技术涉及一种面向工控系统的漏洞优先级分析方法、系统、设备及存储介质，属于网络安全


技术介绍

[0002]随着物联网的发展，工业控制系统与互联网的融合程度逐渐加深，但传统工控系统的在设计时重在追求功能，对安全方面的考虑较为欠缺，导致工控系统中大量网络安全漏洞暴露于互联网中，使得工控系统网络安全事件频发。而且工控系统是与国家重要基础设施行业，比如能源、交通运输、关键制造、电力电网等行业紧密相关，一旦发生工控网络安全事件，可能造成非常严重的后果，所以及时发现并处理工控系统中存在的漏洞有着重要意义。
[0003]但工控网络与传统互联网不同，适用于传统互联网的漏洞扫描管理方法不一定适用于工控网络。工控的生产设备要求长时间连续运行，停机成本高昂，而且工控设备对扫描敏感，短时间涌现大量的探测扫描包影响工控设备之间通信的实时性，易导致出错。所以对工控系统进行漏洞扫描、验证与修复要有科学的策略。当前工控系统中的漏洞管理一般采用通用漏洞评分系统(Common Vulne本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种面向工控系统的漏洞优先级分析方法，其特征在于，是指：通过探测扫描得到的场景与漏洞信息，结合PoC给出结合场景的漏洞可利用性度量，再基于CVSS框架，该度量值结合漏洞报告中的CVSS评分，给出漏洞的优先级评分。2.根据权利要求1所述的一种面向工控系统的漏洞优先级分析方法，其特征在于，所述漏洞优先级分析方法，包括步骤如下：(1)资产探测与漏洞扫描：经过资产探测与漏洞扫描得到基础性信息，基础性信息包括漏洞报告、与漏洞对应的场景信息、CVSS评分；(2)基础可利用性度量：将漏洞报告输入基于深度学习的漏洞可利用性判别模型，过滤掉可利用性低的漏洞，得到有足够可利用性的漏洞及其基础可利用性度量；(3)漏洞场景相似度度量：将与漏洞对应的场景信息与对应的PoC输入漏洞场景相似度度量模块进行相似度计算，得到该漏洞的场景相似度，同时获得了与当前场景匹配程度最高的PoC；(4)根据基础可利用性度量和漏洞场景相似度度量得到结合场景的漏洞可利用性度量；(5)漏洞优先级评分：将结合场景的漏洞可利用性度量输入基于CVSS的漏洞优先级评分模块，根据结合场景的漏洞可利用性度量与CVSS评分计算得到漏洞优先级评分。3.根据权利要求2所述的一种面向工控系统的漏洞优先级分析方法，其特征在于，所述基于深度学习的漏洞可利用性判别模型的生成过程如下：1)从漏洞库中获取漏洞信息，生成漏洞报告；2)对漏洞报告进行标记，利用PoC库查询该漏洞报告中的漏洞是否有对应的PoC，进行可利用性标记，如果存在对应的PoC，将该漏洞报告标记为1，若不存在对应PoC，则标记为0；3)对漏洞报告进行文本预处理，包括：分词、去除标点符号、去除停用词以及词形还原；4)对漏洞报告使用word2vec技术进行漏洞文本向量化，得到带标记的漏洞文本向量；5)将带标记的漏洞文本向量输入到基于门控循环单元神经网络的文本分类模型中进行训练；基于深度学习的漏洞可利用性判别模型基于门控循环单元神经网络的文本分类模型，该基于门控循环单元神经网络的文本分类模型包括GRU层、全连接层以及软最大层；输入的带标记的漏洞文本向量经过GRU层获得众多特征；这些特征输入到全连接层，与全连接层的权重矩阵相乘，权重矩阵代表每个维度特征的重要程度，全连接层就对这些特征进行加权求和得到两个类别的分数，软最大层将两个类别的分数映射为概率，概率大的即为所分类别。4.根据权利要求2所述的一种面向工控系统的漏洞优先级分析方法，其特征在于，步骤(2)中，基础可利用性度量，具体是指：6)对步骤(1)得到的漏洞报告进行文本预处理，包括：分词、去除标点符号、去除停用词以及词形还原；7)对漏洞报告使用word2vec技术进行漏洞文本向量化，得到带标记的漏洞文本向量；8)将处理好的带标记的漏洞文本向量输入到基于门控循环单元神经网络的文本分类模型中进行分类，得到所分类别，同时输出所分类别的对应概率PE(vul)。5.根据权利要求2所述的一种面向工控系统的漏洞优先级分析方法，其特征在于，步骤
(3)，通过余弦相似度度量方法进行漏洞场景相似度度量，具体是指：9)将资产探测与漏洞扫描得到的与漏洞对应的场景信息给定操作系统、操作系统版本、服务、服务版本、可用的攻击方式五个维度的具体类型，直接给每个维度赋值为1，作为资产探测与漏洞扫描到的信息向量；10)对于PoC，进行分词、去除标点符号以及词形还原；11)对步骤10)处理好的PoC提取关键信息，即包括操作系统、操作系统版本、服务、服务版本、攻击方式的关键词，将提取出的关键词与资产探测与漏洞扫描得到的与漏洞对应的场景信息比对，若与资产探测与漏洞扫描得到的与漏洞对应的场景信息一致，则对应维度赋值为1，若不一致，则将对应维度赋值为0，得到PoC的对应信息向量；12)计算漏洞的场景相似度，漏洞的场景相似度度量公式如式(I)所示：式(I)中，对于有多...

【专利技术属性】
技术研发人员：程晟滔，王佰玲，张格，张哲宇，王子博，
申请(专利权)人：国家工业信息安全发展研究中心，
类型：发明
国别省市：