基于网络攻击趋势的设备基站健康态势感知系统及方法技术方案

本发明专利技术公开了基于网络攻击趋势的设备基站健康态势感知系统及方法，包括步骤S100：构建网络攻击预警模型；对不同网络攻击与不同设备漏洞之间进行关联关系的建立；步骤S200：对各网络攻击之间存在的漏洞关联关系进行识别判断；步骤S300：实时对工控计算机设备端基于当前的各项设备运行数据，通过网络攻击预警模型得到预警预测的若干预警网络攻击；对当前工控计算机设备端计算第一网络攻击趋势值；步骤S400：对当前工控计算机设备端计算第二网络攻击趋势值；步骤S500：将第一网络攻击趋势值和第二网络攻击趋势值整合得到当前工控计算机设备端的综合网络攻击趋势值；基于综合网络攻击趋势值向工控计算机设备端连接的基站反馈预警信息。预警信息。预警信息。

【技术实现步骤摘要】
基于网络攻击趋势的设备基站健康态势感知系统及方法


[0001]本专利技术涉及信息安全
，具体为基于网络攻击趋势的设备基站健康态势感知系统及方法。

技术介绍

[0002]通过连接基站向工控设备发送控制指令的工控计算机设备端，在整个工控流程中至关重要，一旦工控计算机设备端持续遭受网络攻击，且网络攻击呈趋势向的时候，也就意味着当前工控计算机设备端向工控设备发送的控制指令的准确度越低，指令被篡改、窃取的可能性越高；
[0003]通常，不同的计算机设备由于自身配置的问题，内部漏洞的呈现方式也是不同的，同样的，因为配置不同的问题，在遭受不同网络攻击时的修复能力也是不同的，对网络攻击趋势进行分析掌握也就是分析不同的计算机设备端在遭受不同网络攻击时呈现的漏洞修复与被网络攻击之间的问题。

技术实现思路

[0004]本专利技术的目的在于提供基于网络攻击趋势的设备基站健康态势感知系统及方法，以解决上述
技术介绍
中提出的问题。
[0005]为了解决上述技术问题，本专利技术提供如下技术方案：基于网络攻击趋势的设备基站健康态势感知方法，方法包括：
[0006]步骤S100：基于工控计算机设备端在历史遭受不同网络攻击前的各项设备运行数据，构建网络攻击预警模型；基于历史运行日志规律，对不同网络攻击与不同设备漏洞之间进行关联关系的建立；
[0007]步骤S200：基于各网络攻击与不同设备漏洞之间的关联关系，对各网络攻击之间存在的漏洞关联关系进行识别判断；基于漏洞关联关系的识别判断结果，对每种网络攻击捕捉关联网络攻击，分别得到每种网络攻击对应的关联网络攻击集；
[0008]步骤S300：实时对工控计算机设备端基于当前的各项设备运行数据，通过网络攻击预警模型得到预警预测的若干预警网络攻击；基于对若干预警网络攻击之间的关联关系分布情况，对当前工控计算机设备端计算第一网络攻击趋势值φ1；
[0009]步骤S400：基于对若干预警网络攻击对应的所有关联漏洞进行修复时间的分析，对当前工控计算机设备端计算第二网络攻击趋势值φ2；
[0010]步骤S500：将第一网络攻击趋势值和第二网络攻击趋势值整合得到当前工控计算机设备端的综合网络攻击趋势值φ
综
＝φ1×
φ2；当综合网络攻击趋势值φ
综
大于综合网络攻击趋势值阈值时，向工控计算机设备端连接的基站反馈预警信息，停止向工控设备发送控制指令，通知技术人员对工控计算机设备端进行设备检修和维护。
[0011]进一步的，步骤S100包括：
[0012]步骤S101：分别提取工控计算机设备端在历史遭受不同网络攻击前的各项设备性
能参数；分别将各项设备性能参数转换成若干个结构化的数据单元，并将若干个结构化的数据单元对应转换为若干个矩阵数据，设若干个矩阵数据作为工控计算机设备端在遭受不同网络攻击前的各项设备运行数据的若干个特征向量；分别将若干个特征向量通过深度神经网络进行数据训练，对应建立网络攻击预警模型；
[0013]步骤S102：提取工控计算机设备端的历史运行日志，在历史运行日志中提取工控计算机设备端在基于不同种网络攻击出现时执行的漏洞修复指令；基于漏洞修复指令获取对应不同种网络攻击出现时工控计算机设备端存在的设备漏洞，分别将获取到的设备漏洞与对应的网络攻击之间建立关联关系；
[0014]步骤S103：分别对各网络攻击找寻与其存在关联关系的所有设备漏洞，分别得到对应不同网络攻击的关联漏洞集。
[0015]进一步的，步骤S200包括：
[0016]步骤S201：分别对每种网络攻击，找寻与其对应的关联漏洞集之间存在相同设备漏洞和区别设备漏洞的其他不同种网络攻击，并初步判断当前种类的网络攻击与对应的其他种类的网络攻击之间存在漏洞关联关系；若存在网络攻击A，初步判断与网络攻击A之间存在漏洞关联关系的网络攻击汇成的集合为A
′
＝{A
′1,A
′2,
…
,A
′
v
}；其中，A
′1,A
′2,
…
,A
′
v
分别表示初步判断与网络攻击A之间存在漏洞关联关系的第1、2、
…
、v种网络攻击；
[0017]步骤S202：若第q个关联网络攻击A
′
q
与网络攻击A之间的相同关联漏洞集为：
[0018][0019]其中，P
A
表示网络攻击A对应的关联漏洞集；表示网络攻击A
′
q
对应的关联漏洞集；各自的区别关联漏洞集为：
[0020][0021][0022]其中，P
′
A
表示集合P
A
与集合之间的区别关联漏洞集；表示集合与集合之间的区别关联漏洞集；
[0023]计算第q个网络攻击A
′
q
与网络攻击A之间的漏洞关联值
[0024][0025]其中，card(P
’
A
)、card(P
A
)分别表示集合P
’
A
、集合集合集合P
A
内设备漏洞个数值；
[0026]上述计算漏洞关联值的过程，相当于在两个呈现关联关系的网路攻击中，先计算选中的设备漏洞不是两个网络攻击都具备的设备漏洞的概率，该概率越大意味着对其中一个网络攻击进行漏洞修复的时候，另一个网络攻击开始攻击起效的可能性越大；
[0027]步骤S203：设置漏洞关联值阈值，分别计算集合A
′
内各网络攻击与网络攻击A之间的漏洞关联值，对漏洞关联值小于漏洞关联值阈值的网络攻击从集合A
′
中剔除；得到新集合A
″
；最终判断新集合A
″
内各网络攻击与网络攻击A之间互为关联网络攻击，存在漏洞关联，将新集合A
″
内各网络攻击与网络攻击A之间建立关联标识；
[0028]上述分析识别关联网络攻击的目的是为了后续计算网络攻击趋势值做技术铺垫，分析会对工控计算机设备端造成危害的网络攻击趋势；分析识别关联网络攻击，是因为，在实际过程中，往往具备关联关系的网络攻击之间呈现趋势向时对计算机设备产生的攻击危害是有效且精准的，因为不同的计算机设备由于自身配置的原因，对于不同网络攻击呈现的防御能力和修复能力是不一样的；具备关联的网络攻击之间存在对应的设备漏洞重合部分和不重合部分，当一个网络攻击开始对计算机设备攻击起效，且计算机设备开始对该网络攻击对应的设备漏洞进行修复时，连续遭受到与该网络攻击之间呈现关联关系的网络攻击时，往往给计算机设备带来进一步的二次伤害，因为还未完全修复完当前网络攻击带来的设备漏洞时，与当前网络攻击呈现关联关系的其他网络攻击在计算机设备端上攻击起效的可能性越大。
[0029]步骤S204：分别对每种网络攻击进行关联网络攻击判断，分别得到每本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.基于网络攻击趋势的设备基站健康态势感知方法，其特征在于，所述方法包括：步骤S100：基于工控计算机设备端在历史遭受不同网络攻击前的各项设备运行数据，构建网络攻击预警模型；基于历史运行日志规律，对不同网络攻击与不同设备漏洞之间进行关联关系的建立；步骤S200：基于各网络攻击与不同设备漏洞之间的关联关系，对各网络攻击之间存在的漏洞关联关系进行识别判断；基于漏洞关联关系的识别判断结果，对每种网络攻击捕捉关联网络攻击，分别得到每种网络攻击对应的关联网络攻击集；步骤S300：实时对工控计算机设备端基于当前的各项设备运行数据，通过网络攻击预警模型得到预警预测的若干预警网络攻击；基于对若干预警网络攻击之间的关联关系分布情况，对当前工控计算机设备端计算第一网络攻击趋势值φ1；步骤S400：基于对若干预警网络攻击对应的所有关联漏洞进行修复时间的分析，对当前工控计算机设备端计算第二网络攻击趋势值φ2；步骤S500：将第一网络攻击趋势值和第二网络攻击趋势值整合得到当前工控计算机设备端的综合网络攻击趋势值φ
综
＝φ1×
φ2；当综合网络攻击趋势值φ
综
大于综合网络攻击趋势值阈值时，向工控计算机设备端连接的基站反馈预警信息，停止向工控设备发送控制指令，通知技术人员对工控计算机设备端进行设备检修和维护。2.根据权利要求1所述的基于网络攻击趋势的设备基站健康态势感知方法，其特征在于，所述步骤S100包括：步骤S101：分别提取工控计算机设备端在历史遭受不同网络攻击前的各项设备性能参数；分别将各项设备性能参数转换成若干个结构化的数据单元，并将所述若干个结构化的数据单元对应转换为若干个矩阵数据，设所述若干个矩阵数据作为工控计算机设备端在遭受不同网络攻击前的各项设备运行数据的若干个特征向量；分别将若干个特征向量通过深度神经网络进行数据训练，对应建立网络攻击预警模型；步骤S102：提取所述工控计算机设备端的历史运行日志，在所述历史运行日志中提取工控计算机设备端在基于不同种网络攻击出现时执行的漏洞修复指令；基于所述漏洞修复指令获取对应不同种网络攻击出现时工控计算机设备端存在的设备漏洞，分别将获取的设备漏洞与对应的网络攻击之间建立关联关系；步骤S103：分别对各网络攻击找寻与其存在关联关系的所有设备漏洞，分别得到对应不同网络攻击的关联漏洞集。3.根据权利要求2所述的基于网络攻击趋势的设备基站健康态势感知方法，其特征在于，所述步骤S200包括：步骤S201：分别对每种网络攻击，找寻与其对应的关联漏洞集之间存在相同设备漏洞和区别设备漏洞的其他不同种网络攻击，并初步判断当前种类的网络攻击与对应的其他种类的网络攻击之间存在漏洞关联关系；若存在网络攻击A，初步判断与网络攻击A之间存在漏洞关联关系的网络攻击汇成的集合为A'＝{A'1,A'2,
…
,A'
v
}；其中，A'1,A'2,
…
,A'
v
分别表示初步判断与网络攻击A之间存在漏洞关联关系的第1、2、
…
、v种网络攻击；步骤S202：若第q个关联网络攻击A'
q
与网络攻击A之间的相同关联漏洞集为：
其中，P
A
表示网络攻击A对应的关联漏洞集；表示网络攻击A'
q
对应的关联漏洞集；各自的区别关联漏洞集为：各自的区别关联漏洞集为：其中，P
’
A
表示集合P
A
与集合之间的区别关联漏洞集；表示集合与集合之间的区别关联漏洞集；计算第q个网络攻击A'
q
与网络攻击A之间的漏洞关联值与网络攻击A之间的漏洞关联值其中，card(P
’
A
)、card(P
A
)分别表示集合P
’
A
、集合集合集合P
A
内设备漏洞个数值；步骤S203：设置漏洞关联值阈值，分别计算集合A'内各网络攻击与网络攻击A之间的漏洞关联值，对漏洞关联值小于漏洞关联值阈值的网络攻击从集合A'中剔除；得到新集合A”；最终判断新集合A”内各网络攻击与网络攻击A之间互为关联网络攻击，存在漏洞关联，将新集合A”内各网络攻击与网络攻击A之间建立关联标识。步骤S204：分别对每种网络攻击进行关联网络攻击判断，分别得到每种网络攻击对应的关联网络攻击集。4.根据权利要求2所述的基于网络攻击趋势的设备基站健康态势感知方法，其特征在于，所述步骤S300包括：步骤S301：实时采集当前工控计算机设备端的各项设备性能参数，利用网络攻击预警模型对当前工控计算机设备端进行实时预警网络攻击的识别匹配，得到当前工控计算机设备端的预警网络攻击集合{a1，a2，
…
，a
n
}；其中，a1，a2，
…
，a
n
分别表示基于当前工控计算机设备端的各项设备性能参数得到的预警匹配得分大于预警匹配得分阈值的第1，2，
…
，n种网络攻击；步骤S302：对预警网络攻击集合{a1，a2，
…
，a
n
}内各预警网络攻击进行关联网络攻击查询；分别累计得到集合{a1，a2，
…
，a
n
}内各预警网络攻击的关联网络攻击个数得到第一网络攻击趋势值5.根据权利要求4所述的基于网络攻击趋势的设备基站健康态势感知方法，其特征在于，所述步骤S400包括：步骤S401：步骤S302：分别获取集合{a1，a2，
…
，a
n
}内各网络攻击对应的设备漏洞集；将所有所述关联漏洞集进行漏洞种类整合，得到当前工控计算机设备端存在的所有关联漏洞，所述所有关联漏洞包括{b1，b2，
…<...

【专利技术属性】
技术研发人员：陈良汉，洪超，钟海维，
申请(专利权)人：珠海市鸿瑞信息技术股份有限公司，
类型：发明
国别省市：