网络安全性分析方法及系统技术方案

本发明专利技术提供一种网络安全性分析方法及系统，所述方法包括：查询预先构建的威胁情报库中是否存在对应工业控制系统的威胁系数；若不存在，获取工业控制系统的所有访问IP数据，确定活跃IP；对活跃IP进行分组，对得到的IP分组进行属性分析，得到IP分组的威胁系数；基于威胁系数计算工业控制系统的第一网络安全性评分；若存在，根据威胁系数与工业控制系统的网络安全性评分之间的对应关系，将查询到的工业控制系统的威胁系数转换为工业控制系统的第二网络安全性评分；对第一网络安全性评分或第二网络安全性评分高于预设网络安全性阈值的工业控制系统进行安全预警，应用该方法，能够对工控设备的威胁情报进行管理，提高数据的可靠性。靠性。靠性。

【技术实现步骤摘要】
网络安全性分析方法及系统


[0001]本专利技术涉及网络安全
，尤其涉及一种网络安全性分析方法及系统。

技术介绍

[0002]工业控制系统作为传统信息系统的延伸和扩展，沿用了许多在信息
被广泛使用，且被证明行之有效的安全手段。
[0003]在现有技术中，安全手段有工业防火墙和工控蜜罐等。由于工业控制系统有许多不同于传统信息系统的特征，工业防火墙需要支持工业控制系统中的专有协议(如DNP3、ICCP、Modbus等)以及需要支持工业控制现场的高温高湿等恶劣环境。与传统信息系统不同，在工控场景下，蜜罐所模拟的对象往往是一个PLC、RTU，或者是某一个控制系统(如DCS、SCADA等)。
[0004]由此可知，由于工业控制系统有着许多不同于传统信息系统的特征，现有的安全手段往往需要进行必要的调整和改进，以适应工控领域的应用需求和应用环境，且现有的安全手段因专有协议和规范种类繁多导致对网络安全性考虑不足，缺乏对工控设备的威胁情报的审计管理，而且数据来源不可靠。

技术实现思路

[0005]有鉴于此，本专利技术实施例提供一种网络安全性分析方法及系统，以解决现有技术中对网络安全性考虑不足、缺乏对工控设备的威胁情报的审计管理以及数据来源不可靠的问题。
[0006]为实现上述目的，本专利技术实施例提供如下技术方案：
[0007]本专利技术实施例第一方面公开了一种网络安全性分析方法，所述方法包括：
[0008]查询预先构建的威胁情报库中是否存在对应工业控制系统的威胁系数；
[0009]若不存在，获取所述工业控制系统的所有访问IP数据，并基于所述访问IP数据分析IP的活跃度，确定活跃IP；
[0010]对所述活跃IP进行分组，对得到的IP分组进行属性分析，得到所述IP分组的威胁系数；
[0011]基于所述威胁系数计算所述工业控制系统的第一网络安全性评分；
[0012]若存在，根据所述威胁系数与所述工业控制系统的网络安全性评分之间的对应关系，将查询到的所述工业控制系统的威胁系数转换为所述工业控制系统的第二网络安全性评分；
[0013]将所述第一网络安全性评分或所述第二网络安全性评分分别与预设网络安全性阈值进行对比，对所述第一网络安全性评分或所述第二网络安全性评分高于所述预设网络安全性阈值的工业控制系统进行安全预警。
[0014]可选的，所述获取所述工业控制系统的所有访问IP数据，并基于所述访问IP数据分析IP的活跃度，确定活跃IP，包括：
[0015]基于安全服务提供商和工控蜜罐，获取所述工业控制系统的所有访问IP和所述访问IP连接的域名，所述访问IP与所述访问IP连接的域名之间存在绑定关系；
[0016]根据所述访问IP访问所述工业控制系统的访问周期，得到所述访问IP的活跃度；
[0017]若所述活跃度为低活跃度，确定所述访问IP为非活跃IP，并将所述访问IP进行过滤；
[0018]若所述活跃度为高活跃度，确定所述访问IP为活跃IP。
[0019]可选的，所述对所述活跃IP进行分组，对得到的IP分组进行属性分析，得到所述IP分组的威胁系数，包括：
[0020]解析所述活跃IP，得到所述活跃IP与所述活跃IP连接的域名之间的绑定关系、所述活跃IP所在网段以及所述活跃IP所属地区；
[0021]根据所述活跃IP与所述活跃IP连接的域名之间的绑定关系、所述活跃IP所在网段以及所述活跃IP所属地区，对所述活跃IP进行分组，得到多个IP分组；
[0022]针对每一IP分组，对所述IP分组进行访问方式分析，得到所述IP分组的访问方式，所述访问方式包括善意访问方式和恶意访问方式；
[0023]基于所述访问方式，确定所述IP分组的类型以及所述IP分组中访问IP连接的域名的类型，所述IP分组的类型包括非恶意IP分组和恶意IP分组，所述域名的类型包括非恶意域名和恶意域名；
[0024]对所述IP分组进行时间特性分析，得到所述IP分组的时间特性，所述时间特性包括总体访问时间分布和访问时间分配专一性；
[0025]对所述IP分组进行空间特性分析，得到所述IP分组的空间特性，所述空间特性至少包括访问IP地理分布、网段分布和域名连通性，所述域名连通性为IP分组中的访问IP连接的域名以及访问IP连接的域名的连通性；
[0026]根据所述域名的类型、所述时间特性和所述空间特性，得到所述IP分组的威胁系数。
[0027]可选的，所述根据所述域名的类型、所述时间特性和所述空间特性，得到所述IP分组的威胁系数，包括：
[0028]根据所述访问IP的连通度、所述访问IP连接的域名、所述域名对应的度以及所述域名的恶意值，得到IP的威胁系数，其中，所述IP的威胁系数为1到m个连通的访问IP的和乘以所述访问IP连接的域名对应的度和所述域名的恶意值，所述域名的恶意值由所述域名为恶意域名或非恶意域名确定，m为正整数；
[0029]根据所述IP的威胁系数和所述IP分组的IP数量，得到IP组的威胁系数，其中，所述IP分组包含n个访问IP，所述IP组的威胁系数为从1到n对所述IP的威胁系数进行求和，n为正整数。
[0030]可选的，所述基于所述威胁系数计算所述工业控制系统的第一网络安全性评分，包括：
[0031]根据所述IP的威胁系数和所述IP组的威胁系数，得到所述工业控制系统的IP分组中的恶意IP分组数量和非恶意IP分组数量；
[0032]基于所述恶意IP分组数量、所述非恶意IP分组数量以及所述IP组的威胁系数，计算所述工业控制系统的第一网络安全性评分，其中，所述第一网络安全性评分为所述恶意
IP分组的加权威胁系数的和值。
[0033]可选的，还包括：
[0034]将所述IP的威胁系数和所述IP组的威胁系数分别与已有情报数据中的威胁系数进行匹配，其中，所述已有情报数据至少包括开源情报数据和外部情报数据，所述外部情报数据是利用爬虫系统获取；
[0035]若所述IP的威胁系数和所述IP组的威胁系数均与所述外部情报数据中的威胁系数匹配，确定所述IP的威胁系数和所述IP组的威胁系数的数据正确，得到通过审核的IP的威胁系数和IP组的威胁系数；
[0036]若任一所述IP的威胁系数和所述IP组的威胁系数与所述外部情报数据中的威胁系数不匹配，确定所述IP的威胁系数和所述IP组的威胁系数的数据不正确，得到未通过审核的IP的威胁系数和IP组的威胁系数。
[0037]可选的，在所述得到通过审核的IP的威胁系数和IP组的威胁系数以及得到未通过审核的访问IP的威胁系数和IP组的威胁系数之后，还包括：
[0038]将所述通过审核的IP的威胁系数和IP组的威胁系数添加至所述威胁情报库中，并将所述未通过审核的IP的威胁系数和IP组的威胁系数备份至预先构建的威胁情报备份库中。
[0039]本专利技术实施例第二方面公开了一种网络安全性分析系统，所述系统包括：本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络安全性分析方法，其特征在于，所述方法包括：查询预先构建的威胁情报库中是否存在对应工业控制系统的威胁系数；若不存在，获取所述工业控制系统的所有访问IP数据，并基于所述访问IP数据分析IP的活跃度，确定活跃IP；对所述活跃IP进行分组，对得到的IP分组进行属性分析，得到所述IP分组的威胁系数；基于所述威胁系数计算所述工业控制系统的第一网络安全性评分；若存在，根据所述威胁系数与所述工业控制系统的网络安全性评分之间的对应关系，将查询到的所述工业控制系统的威胁系数转换为所述工业控制系统的第二网络安全性评分；将所述第一网络安全性评分或所述第二网络安全性评分分别与预设网络安全性阈值进行对比，对所述第一网络安全性评分或所述第二网络安全性评分高于所述预设网络安全性阈值的工业控制系统进行安全预警。2.根据权利要求1所述的方法，其特征在于，所述获取所述工业控制系统的所有访问IP数据，并基于所述访问IP数据分析IP的活跃度，确定活跃IP，包括：基于安全服务提供商和工控蜜罐，获取所述工业控制系统的所有访问IP和所述访问IP连接的域名，所述访问IP与所述访问IP连接的域名之间存在绑定关系；根据所述访问IP访问所述工业控制系统的访问周期，得到所述访问IP的活跃度；若所述活跃度为低活跃度，确定所述访问IP为非活跃IP，并将所述访问IP进行过滤；若所述活跃度为高活跃度，确定所述访问IP为活跃IP。3.根据权利要求1所述的方法，其特征在于，所述对所述活跃IP进行分组，对得到的IP分组进行属性分析，得到所述IP分组的威胁系数，包括：解析所述活跃IP，得到所述活跃IP与所述活跃IP连接的域名之间的绑定关系、所述活跃IP所在网段以及所述活跃IP所属地区；根据所述活跃IP与所述活跃IP连接的域名之间的绑定关系、所述活跃IP所在网段以及所述活跃IP所属地区，对所述活跃IP进行分组，得到多个IP分组；针对每一IP分组，对所述IP分组进行访问方式分析，得到所述IP分组的访问方式，所述访问方式包括善意访问方式和恶意访问方式；基于所述访问方式，确定所述IP分组的类型以及所述IP分组中访问IP连接的域名的类型，所述IP分组的类型包括非恶意IP分组和恶意IP分组，所述域名的类型包括非恶意域名和恶意域名；对所述IP分组进行时间特性分析，得到所述IP分组的时间特性，所述时间特性包括总体访问时间分布和访问时间分配专一性；对所述IP分组进行空间特性分析，得到所述IP分组的空间特性，所述空间特性至少包括访问IP地理分布、网段分布和域名连通性，所述域名连通性为IP分组中的访问IP连接的域名以及访问IP连接的域名的连通性；根据所述域名的类型、所述时间特性和所述空间特性，得到所述IP分组的威胁系数。4.根据权利要求3所述的方法，其特征在于，所述根据所述域名的类型、所述时间特性和所述空间特性，得到所述IP分组的威胁系数，包括：根据所述访问IP的连通度、所述访问IP连接的域名、所述域名对应的度以及所述域名
的恶意值，得到IP的威胁系数，其中，所述IP的威胁系数为1到m个连通的访问IP的和乘以所述访问IP连接的域名对应的度和所述域名的恶意值，所述域名的恶意值由所述域名为恶意域名或非恶意域名确定，m为正整数；根据所述IP的威胁系数和所述IP分组的IP数量，得到IP组的威胁系数，其中，所述IP分组包含n个访问IP，所述IP组的威胁系数为从1到n对所述IP的威胁系数进行求和，n为正整数。5.根据权利要求1所述的方法，其特征在于，所述基于所述威胁系数计算所述工业控制系统的第一网络安全性评分，包括：根据所述IP的威胁系数和所述IP组的威胁系数，得到所述工业控制系统的IP分组中的恶意IP分组数量和非恶意IP分组数量；基于所述恶意IP分组数量、所述非恶意IP分组数量以及所述IP组的威胁系数，计算所述工业控制系统的第一网络安全性评分，其中，所述第一网络安全性评分为所述恶意IP分组的加权威胁系数的和值。6.根据权利要求3所述的方法，其特征在于，还包括：将所述IP的威胁系数和所述IP组的威胁系数分别与已有情报数据中的威胁系数进行匹...

【专利技术属性】
技术研发人员：伊胜伟，高洋，谢丰，李斌，张浩，宋璟，霍杏梅，
申请(专利权)人：中国信息安全测评中心，
类型：发明
国别省市：