基于资产测绘的工业互联网企业网络安全威胁识别方法技术

本发明专利技术公开了基于资产测绘的工业互联网企业网络安全威胁识别方法，属于网络安全技术领域；在前期通过实时上行流量和实时下行流量来对对应生产设备的运行状态实施初步的监测分析以及分类，通过对前期监测分析的运行监测状态异常的核验设备实施威胁核验，将生产设备监测的各方面异常数据进行联立计算来对生产设备受到的威胁状态进行评估和标记，从网络安全威胁识别反应方面和从网络安全威胁处理反应方面实施评估；本发明专利技术用于解决现有方案中没有对识别获取的异常实施不同维度的分析评估，不能根据评估结果对后续实施的网络安全威胁识别及处理方案进行动态调整来提高网络安全威胁识别及处理整体效果的技术问题。威胁识别及处理整体效果的技术问题。威胁识别及处理整体效果的技术问题。

【技术实现步骤摘要】
基于资产测绘的工业互联网企业网络安全威胁识别方法


[0001]本专利技术涉及网络安全
，具体涉及基于资产测绘的工业互联网企业网络安全威胁识别方法。

技术介绍

[0002]资产测绘是通过一些技术手段、工具来探测网络空间中的一些信息之后将查到的资产数据进行关联展现出来；网络安全的威胁主要分为两种，一种是网络中信息的威胁，另一种是网络本身的威胁。
[0003]现有的工业互联网企业网络安全威胁识别方案在实施时，大多数是通过对工业互联网企业生产的网络方面实施监测分析以及预警，没有对前期发现的异常进行初步的评估分类，然后根据分类的结果对监测发现的识别反应和处理反应实施监测评估，没有根据评估结果对后续实施的网络安全威胁识别及处理方案进行动态调整，导致网络安全威胁识别及处理的整体效果不佳。

技术实现思路

[0004]本专利技术的目的在于提供基于资产测绘的工业互联网企业网络安全威胁识别方法，用于解决现有方案中没有对识别获取的异常实施不同维度的分析评估，不能根据评估结果对后续实施的网络安全威胁识别及处理方案进行动态调整来提高网络安全威胁识别及处理整体效果的技术问题。
[0005]本专利技术的目的可以通过以下技术方案实现：基于资产测绘的工业互联网企业网络安全威胁识别方法，包括：对工业互联网企业不同生产设备的运行状态实施监测获取运行监测数据，通过对运行监测数据进行分析评估获取生产设备对应的运行监测状态；对运行监测状态异常的核验设备实施的网络安全威胁识别及处理方案进行追溯评估，并根据评估结果对不同运行监测状态异常的核验设备后续实施的网络安全威胁识别及处理方案进行动态调整。
[0006]优选地，获取工业互联网企业包含的所有生产设备以及对应的生产编号，根据生产编号获取生产设备对应的设备名称和设备类型并分别设定为第一标识和第二标识；根据第二标识对对应生产设备进行数字化处理时，将第二标识与数据库中存储的设备类型
‑
权重表进行遍历匹配获取对应的类型权重LQ；根据第一标识和生产编号获取生产设备对应的实时上行流量和实时下行流量，以及，根据第二标识获取生产设备对应的标准上行流量范围和实时下行流量范围。
[0007]优选地，对生产设备的实时运行状态进行监测分析时，将生产设备对应的实时上行流量和实时下行流量分别与对应的标准上行流量范围和实时下行流量范围进行比对判断；若实时上行流量属于标准上行流量范围以及实时下行流量属于标准下行流量范
围，则生成正常运行信号并提示运行监测状态正常；若实时上行流量不属于标准上行流量范围以及实时下行流量不属于标准下行流量范围至少有一个成立，则生成异常运行信号并将对应的生产设备标记为核验设备，根据异常运行信号对核验设备的异常实施威胁核验，得到威胁核验分析数据并提示运行监测状态异常。
[0008]优选地，威胁核验分析数据的获取步骤包括：获取异常运行信号生成的时间点并标记为第一分析时间点，统计第一分析时间点以后核验设备出现异常运行信号的总次数ZC，以及每次异常运行信号出现时的持续时长CS，提取核验设备对应标记的类型权重、出现异常运行信号的总次数以及每次异常运行信号出现时持续时长的数值并通过公式计算获取核验设备对应的威胁状态系数Wz；根据威胁状态系数对核验设备受到的威胁状态进行评估得到由轻度威胁信号和第二分析时间点、重度威胁信号和第三分析时间点构成的威胁核验分析数据。
[0009]优选地，威胁状态系数Wz的计算公式为：；式中，w1、w2均为大于零的常量系数，且w1＞w2；w1+w2=1；根据威胁状态系数对核验设备受到的威胁状态进行评估时；若威胁状态系数小于威胁状态阈值，则生成轻度威胁信号并将对应的核验设备标记为一类设备，以及获取其对应的坐标位置以及实施一类告警提示，并将轻度威胁信号生成的时间点标记为第二分析时间点；若威胁状态系数不小于威胁状态阈值，则生成重度威胁信号并将对应的核验设备标记为二类设备，以及获取其对应的坐标位置以及实施二类告警提示，并将重度威胁信号生成的时间点标记为第三分析时间点。
[0010]优选地，从网络安全威胁识别反应方面实施评估时，获取运行监测状态异常的核验设备对应的威胁核验分析数据并遍历，根据遍历获取的轻度威胁信号或者重度威胁信号分别获取第二分析时间点或者第三分析时间与第一分析时间点之间的识别反应时差SF；将识别反应时差与核验设备对应的类型权重通过公式Sf=LQ
×
(SF
‑
SF0+α)计算获取识别反应度Sf；式中，α为设备网络补偿因子；根据识别反应度对对应运行监测状态异常的核验设备的识别反应实施评估分类时，若识别反应度不大于零，则生成识别反应正常标签；若识别反应度大于零，则生成识别反应异常标签；识别反应度以及对应的识别反应正常标签或者识别反应异常标签构成识别反应评估数据。
[0011]优选地，从网络安全威胁处理反应方面实施评估时，获取运行监测状态异常的生产设备对应的威胁核验分析数据并遍历，根据遍历获取的轻度威胁信号或者重度威胁信号分别实施对应的一类网络安全威胁识别处理方案或者二类网络安全威胁识别处理方案，以及将对应方案开始处理的时间点标记为处理开始时间点；根据处理开始时间点获取与第二分析时间点或者第三分析时间之间的处理反应时差CF；将处理反应时差与核验设备对应的类型权重通过公式Cf=LQ
×
(CF/CF0+β)计算获取处理反应度Cf；式中，β为处理网络补偿因子；
根据处理反应度对对应运行监测状态异常的核验设备的处理反应实施评估分类时，若处理反应度不大于K，则生成处理反应正常标签；K为正整数；若处理反应度大于K，则生成处理反应异常标签；处理反应度以及对应的处理反应正常标签或者处理反应异常标签构成处理反应评估数据；识别反应评估数据和处理反应评估数据构成核验设备的评估结果。
[0012]优选地，根据评估结果对不同运行监测状态异常的核验设备后续实施的网络安全威胁识别及处理方案进行动态调整时，统计监测周期内所有核验设备对应的评估结果并遍历，统计遍历获取的识别反应异常标签总数和处理反应异常标签总数并标记为BZk，k=1，2；提取标记的识别反应异常标签总数和处理反应异常标签总数的数值并通过公式计算获取阶段网络安全威胁识别的识别处理反应系数Sck，其中，Sc1为识别反应系数，Sc2为处理反应系数；根据识别处理反应系数对工业互联网企业的阶段网络安全威胁识别状态进行评估得到由第一识别反应指令或者第二识别反应指令以及第一处理反应指令或者第二处理反应指令构成的阶段识别评估数据。
[0013]优选地，根据识别处理反应系数对工业互联网企业的阶段网络安全威胁识别状态进行评估时，将识别反应系数和处理反应系数分别与对应的识别反应阈值和处理反应阈值进行比对判断；若识别反应系数小于识别反应阈值以及处理反应系数小于处理反应阈值，则生成第一识别反应指令以及第一处理反应指令；若识别反应系数不小于识别反应阈值以及处理反应系数不小于处理反应阈值，则生成第二识别反应指令以及第二处理反应指令。
[0014]优选地，根据本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.基于资产测绘的工业互联网企业网络安全威胁识别方法，其特征在于，包括：对工业互联网企业不同生产设备的运行状态实施监测获取运行监测数据，通过对运行监测数据进行分析评估获取生产设备对应的运行监测状态；对运行监测状态异常的核验设备实施的网络安全威胁识别及处理方案进行追溯评估，并根据评估结果对不同运行监测状态异常的核验设备后续实施的网络安全威胁识别及处理方案进行动态调整。2.根据权利要求1所述的基于资产测绘的工业互联网企业网络安全威胁识别方法，其特征在于，获取工业互联网企业包含的所有生产设备以及对应的生产编号，根据生产编号获取生产设备对应的设备名称和设备类型并分别设定为第一标识和第二标识；根据第二标识对对应生产设备进行数字化处理时，将第二标识与数据库中存储的设备类型
‑
权重表进行遍历匹配获取对应的类型权重LQ；根据第一标识和生产编号获取生产设备对应的实时上行流量和实时下行流量，以及，根据第二标识获取生产设备对应的标准上行流量范围和实时下行流量范围。3.根据权利要求2所述的基于资产测绘的工业互联网企业网络安全威胁识别方法，其特征在于，对生产设备的实时运行状态进行监测分析时，将生产设备对应的实时上行流量和实时下行流量分别与对应的标准上行流量范围和实时下行流量范围进行比对判断；若实时上行流量属于标准上行流量范围以及实时下行流量属于标准下行流量范围，则生成正常运行信号并提示运行监测状态正常；若实时上行流量不属于标准上行流量范围以及实时下行流量不属于标准下行流量范围至少有一个成立，则生成异常运行信号并将对应的生产设备标记为核验设备，根据异常运行信号对核验设备的异常实施威胁核验，得到威胁核验分析数据并提示运行监测状态异常。4.根据权利要求3所述的基于资产测绘的工业互联网企业网络安全威胁识别方法，其特征在于，威胁核验分析数据的获取步骤包括：获取异常运行信号生成的时间点并标记为第一分析时间点，统计第一分析时间点以后核验设备出现异常运行信号的总次数ZC，以及每次异常运行信号出现时的持续时长CS，提取核验设备对应标记的类型权重、出现异常运行信号的总次数以及每次异常运行信号出现时持续时长的数值并通过公式计算获取核验设备对应的威胁状态系数Wz；根据威胁状态系数对核验设备受到的威胁状态进行评估得到由轻度威胁信号和第二分析时间点、重度威胁信号和第三分析时间点构成的威胁核验分析数据。5.根据权利要求4所述的基于资产测绘的工业互联网企业网络安全威胁识别方法，其特征在于，威胁状态系数Wz的计算公式为：；式中，w1、w2均为大于零的常量系数，且w1＞w2；w1+w2=1；根据威胁状态系数对核验设备受到的威胁状态进行评估时；若威胁状态系数小于威胁状态阈值，则生成轻度威胁信号并将对应的核验设备标记为一类设备，以及获取其对应的坐标位置以及实施一类告警提示，并将轻度威胁信号生成的时间点标记为第二分析时间点；若威胁状态系数不小于威胁状态阈值，则生成重度威胁信号并将对应的核验设备标记
为二类设备，以及获取其对应的坐标位置以及实施二类告警提示，并将重度威胁信号生成的时间点标记为第三分析时间点。6.根据权利要求1所述的基于资产测绘的工业互联网企业网络安全威胁识别方法，其特征在于，从网络安全威胁识别反应方面实施评估时，获取运行监测状态异常的核验设备对应的威胁核验分析数据并遍历，根据遍历获取的轻度威胁信号或者重度威胁信号分别获取第二分析时间...

【专利技术属性】
技术研发人员：刘红梅，陈晓光，刘洪波，王晟，赵帅，王其松，韩增辉，王海洋，崔晓雷，李超峰，
申请(专利权)人：中国移动通信集团山东有限公司，
类型：发明
国别省市：