一种非验证式的漏洞匹配方法组成比例

本发明专利技术公开了一种非验证式的漏洞匹配方法，通过将获取的工控系统的系统信息与构建的资产信息

【技术实现步骤摘要】
一种非验证式的漏洞匹配方法


[0001]本专利技术涉及工业控制系统信息安全
，具体涉及一种面向工业控制系统的非验证式的漏洞匹配方法。

技术介绍

[0002]工业控制系统，简称工控系统，其组件构成主要包括数据采集与监控系统、分布式控制系统、可编程逻辑控制器、远程终端、智能电子设备以及确保各组件通信的各类接口等。工控系统被广泛应用于石油、石化、冶金、电力、燃气、煤矿、烟草以及市政等领域，用于控制关键生产设备的运行。工控系统一旦遭到破坏，不仅会影响产业经济的持续发展，还可能会对国家安全造成巨大损害。所以，对工控系统进行定期的安全检测评估尤为必要。
[0003]漏洞检测是评估工控系统是否安全的重要手段，但传统的基于验证式的漏洞匹配方法在漏洞匹配的交互验证过程中可能会影响甚至中断工控系统对关键生产设备安全运行的控制进程，给设备正常运行带来不必要的安全风险。所以，验证式的漏洞匹配方法难以适用工控系统。

技术实现思路

[0004]本专利技术以克服传统的验证式漏洞匹配算法难以适用工控系统的问题为目的，提供了一种非验证式的漏洞匹配方法。
[0005]为达此目的，本专利技术采用以下技术方案：
[0006]提供一种非验证式的漏洞匹配方法，包括：
[0007]步骤S1，将获取的工控系统的系统信息与构建的资产信息
‑
漏洞集映射基表中记载的资产信息作相似度计算，并判断所计算的相似度值是否大于预设的相似度阈值，
[0008]若是，则基于预先构建的所述资产信息与对应漏洞集间的映射关系从所述映射基表中匹配出参与相似度计算的所述资产信息对应的所述漏洞集；
[0009]若否，则向用户返回漏洞匹配失败结果；
[0010]步骤S2，判断步骤S1匹配出的所述漏洞集中是否存在专属于指定的系统服务的漏洞，
[0011]若是，则识别出所述漏洞专属的系统服务并转入步骤S3；
[0012]若否，则跳过步骤S3转入步骤S4；
[0013]步骤S3，判断所述工控系统中是否未安装所述系统服务，
[0014]若是，则从所述漏洞集中剔除专属于所述系统服务的所述漏洞并转入步骤S4
[0015]若否，则保留所述漏洞集中专属于所述系统服务的所述漏洞并转入步骤S4；
[0016]步骤S4，将所述漏洞集与所述工控系统的漏洞修复记录作漏洞信息匹配，并将成功匹配到的已修复的所述漏洞从所述漏洞集中剔除。
[0017]作为本专利技术的一种优选方案，所述步骤S1中，通过以下公式(1)对所述工控系统的所述系统信息和所述映射基表中的所述资产信息作相似度计算：
[0018][0019]公式(1)中，s表示所述工控系统的所述系统信息与所述映射基表中的所述资产信息的相似度值；
[0020]s
k
表示第k个相似度值，k＝1、2、3，s1、s2、s3分别表示所述工控系统的所述系统信息中记载的厂商名称、系统型号、型号版本和所述映射基表的所述资产信息中记载的厂商名称、系统型号、型号版本的相似度值；
[0021]w
k
表示s
k
在相似度计算中的权重。
[0022]作为本专利技术的一种优选方案，所述工控系统的所述系统信息中记载的厂商名称与所述映射基表的所述资产信息中记载的厂商名称的相似度值s1通过以下公式(2)计算而得：
[0023][0024]公式(2)中，M
col
表示从所述工控系统的所述系统信息中识别到的厂商名称的长度；
[0025]M
gat
表示从所述映射基表中识别到的厂商名称的长度；
[0026]M
max
表示识别到的厂商名称的最长允许长度；
[0027]M
min
表示识别到的厂商名称的最短允许长度。
[0028]作为本专利技术的一种优选方案，所述工控系统的所述系统信息中记载的系统型号与所述映射基表的所述资产信息中记载的系统型号的相似度值s2通过以下公式(3)计算而得：
[0029][0030]公式(3)中，T
col
表示从所述工控系统的所述系统信息中识别到的系统型号的长度；
[0031]T
gat
表示从所述映射基表中识别到的系统型号的长度；
[0032]T
max
表示识别到的系统型号的最长允许长度；
[0033]T
min
表示识别到的系统型号的最短允许长度。
[0034]作为本专利技术的一种优选方案，计算所述相似度值s2时，首先判断从所述工控系统的所述系统信息中识别到的系统型号是否预设有对应的正则表达式或定制表达式，
[0035]若是，则对从所述系统信息中识别到的系统型号按照预设的正则表达式或定制表达式作表达式转换，T
col
表示作表达式转换后的系统型号的长度；
[0036]若否，则不对从所述系统信息中识别到的系统型号作表达式转换。
[0037]作为本专利技术的一种优选方案，所述工控系统的所述系统信息中记载的型号版本与所述映射基表的所述资产信息中记载的系统型号的相似度值s3通过以下公式(4)计算而得：
[0038][0039]公式(4)中，E
col
表示从所述工控系统的所述系统信息中识别到的型号版本的长度；
[0040]E
gat
表示从所述映射基表中识别到的型号版本的长度；
[0041]E
max
表示识别到的型号版本的最长允许长度；
[0042]E
min
表示识别到的型号版本的最短允许长度。
[0043]作为本专利技术的一种优选方案，所述资产信息
‑
漏洞集映射基表通过以下方法步骤构建而得：
[0044]步骤L1，从CVE、CNNVD以及CNVD平台以漏洞信息下载或爬取方式获取漏洞信息并汇聚成漏洞库信息表；
[0045]步骤L2，从所述漏洞库信息表中记录的每条漏洞描述信息中拆解出对应漏洞所能影响的系统的资产信息；
[0046]步骤L3，将每条所述资产信息对应的所有漏洞形成为漏洞集，并生成每条所述资产信息与对应的所述漏洞集之间的映射关系；
[0047]步骤L4，将步骤L2拆解的所述资产信息、步骤L3形成的所述漏洞集以及所述映射关系记录在所述映射基表中。
[0048]作为本专利技术的一种优选方案，对所述工控系统的所述系统信息作信息转换后再发起与所述映射基表中的所述资产信息的相似度计算，对所述系统信息进行信息转换的方法包括：
[0049]步骤A1，提取所述系统信息中的厂商名称、系统型号和型号版本；
[0050]步骤A2，判断所提取的厂商名称是否以通用形式表达，
[0051]若是，则转入步骤A3；
[0052]若否，则将提取到的厂商名称转换为通用的厂商名称表达式后转入步骤A3；
[0053本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种非验证式的漏洞匹配方法，其特征在于，包括：步骤S1，将获取的工控系统的系统信息与构建的资产信息
‑
漏洞集映射基表中记载的资产信息作相似度计算，并判断所计算的相似度值是否大于预设的相似度阈值，若是，则基于预先构建的所述资产信息与对应漏洞集间的映射关系从所述映射基表中匹配出参与相似度计算的所述资产信息对应的所述漏洞集；若否，则向用户返回漏洞匹配失败结果；步骤S2，判断步骤S1匹配出的所述漏洞集中是否存在专属于指定的系统服务的漏洞，若是，则识别出所述漏洞专属的系统服务并转入步骤S3；若否，则跳过步骤S3转入步骤S4；步骤S3，判断所述工控系统中是否未安装所述系统服务，若是，则从所述漏洞集中剔除专属于所述系统服务的所述漏洞并转入步骤S4若否，则保留所述漏洞集中专属于所述系统服务的所述漏洞并转入步骤S4；步骤S4，将所述漏洞集与所述工控系统的漏洞修复记录作漏洞信息匹配，并将成功匹配到的已修复的所述漏洞从所述漏洞集中剔除。2.根据权利要求1所述的非验证式的漏洞匹配方法，其特征在于，所述步骤S1中，通过以下公式(1)对所述工控系统的所述系统信息和所述映射基表中的所述资产信息作相似度计算：公式(1)中，s表示所述工控系统的所述系统信息与所述映射基表中的所述资产信息的相似度值；s
k
表示第k个相似度值，k＝1、2、3，s1、s2、s3分别表示所述工控系统的所述系统信息中记载的厂商名称、系统型号、型号版本和所述映射基表的所述资产信息中记载的厂商名称、系统型号、型号版本的相似度值；w
k
表示s
k
在相似度计算中的权重。3.根据权利要求2所述的非验证式的漏洞匹配方法，其特征在于，所述工控系统的所述系统信息中记载的厂商名称与所述映射基表的所述资产信息中记载的厂商名称的相似度值s1通过以下公式(2)计算而得：公式(2)中，M
col
表示从所述工控系统的所述系统信息中识别到的厂商名称的长度；M
gat
表示从所述映射基表中识别到的厂商名称的长度；M
max
表示识别到的厂商名称的最长允许长度；M
min
表示识别到的厂商名称的最短允许长度。4.根据权利要求2所述的非验证式的漏洞匹配方法，其特征在于，所述工控系统的所述系统信息中记载的系统型号与所述映射基表的所述资产信息中记载的系统型号的相似度值s2通过以下公式(3)计算而得：
公式(3)中，T
col
表示从所述工控系统的所述系统信息中识别到的系统型号的长度；T
gat
表示从所述映射基表中识别到的系统型号的长度；T
max
表示识别到的系统型号的最长允许...

【专利技术属性】
技术研发人员：黄佳，阮涛，左海波，张宙，洪涛，张扬，郦建新，姚铮，程学，
申请(专利权)人：浙江齐安信息科技有限公司，
类型：发明
国别省市：