一种基于工业系统网络实体的威胁图谱的构建方法技术方案

本发明专利技术提供了一种基于工业系统网络实体的威胁图谱的构建方法，属于工业系统的威胁图谱构建领域，该构建方法可根据现有资产设备的本身成分和已知安全缺陷，结合已知的威胁分类和危害关系构建图谱，利用知识图谱的方法进行信息安全威胁分析，得到资产的威胁向量数集，其结果可为安全措施的决策提供参考依据，并根据分析结果，动态的对资产实现持续性的安全分析和管理。该方法用于持续风险管理系统CSMS中，定期进行相应的风险计算和评估，以保证风险程度始终低于安全限定，基于图谱构建后的安全分析对威胁本身的定量分析更具直观性和可使用性。使用性。使用性。

【技术实现步骤摘要】
一种基于工业系统网络实体的威胁图谱的构建方法


[0001]本专利技术属于工业系统的威胁图谱构建
，尤其涉及一种基于工业系统网络实体的威胁图谱的构建方法。

技术介绍

[0002]通常威胁分析都是针对实时攻击和异常行为的，漏洞是被直接认定的，并未结合其所在的资产类型和网络拓扑结构进行定性的分析；现有的威胁分析就组件关系进行分析，未结合资产和其相应的漏洞类型和存在情况进行分析。这种分析结果不能有效的为准确识别和分析威胁成因和覆盖范围提供评估依据，导致最终不能做出有效的防御策略。
[0003]有效防御是成本和结果中取得的平衡，对于工程实施阶段意义重大，过度的防御实施成本过大，影响生产，防御不足不能对威胁进行缓解，仍将系统置于威胁不可控的状态。目前已有的漏洞收集累方法比较多，但仅是对漏洞收集后应用相应的方法进行漏洞本身的评估，并未与资产和资产所处的拓扑结果结合，分析结果实用性差。

技术实现思路

[0004]本专利技术实施例提供一种基于工业系统网络实体的威胁图谱的构建方法，旨在解决
技术介绍
中提出的问题。
[0005]本专利技术实施例是这样实现的，一种基于工业系统网络实体的威胁图谱的构建方法，该构建方法包括如下步骤：
[0006]S100、将原始收集的漏洞数据库与目标系统中的资产进行数据匹配，并将匹配后的数据对和元信息存入匹配数据库中；
[0007]S200、根据用户的网络环境，画出或导入所需要分析资产部分的网络拓扑关系图；
[0008]S300、将资产的安全关系取三形成一个三元风险关系组；
[0009]S400、将三元风险关系组的实例作为一个图关系节点，将网络拓扑关系变为节点边关系，并根据节点边关系构建图谱，获得一个全系统威胁表达的向量数列；
[0010]S500、根据全系统威胁表达的向量数列进行运算，识别出风险最大的节点关系，针对该节点和周边节点进行相应的缓解措施应用，得到其威胁数值，并判断是否低于安全限定；若是则结束，否则返回S400。
[0011]优选的，所述将原始收集的漏洞数据库与目标系统中的资产进行数据匹配，并将匹配后的数据对和元信息存入匹配数据库中包括：
[0012]S101、通过自动化爬虫引擎对NVD和CNNVD漏洞数据库进行主动或被动的定向获取，并对获取的数据进行信息处理，并存入关系型数据库；
[0013]S102、根据漏洞描述字段和分类字段提取漏洞可能造成影响的安全属性，使漏洞与安全属性关联；
[0014]S103、对提取的漏洞影响的安全属性与资产的匹配后与STRIDE中的威胁因素之间进行映射，从而生成漏洞影像的资产所面临的每种威胁类型。
[0015]优选的，所述数据匹配过程包括漏洞数据库基本索引信息清洗、目标系统资产数据收集并产生匹配索引信息、索引信息匹配。
[0016]优选的，所述安全属性根据微软公司STRIDE方法的对应关系，包括鉴权属性、授权属性、不可否认属性、机密属性、完整属性以及可用属性。
[0017]优选的，所述威胁因素共六种，包括虚假欺骗、篡改、拒绝承认、信息泄露、拒绝服务以及权限提升。
[0018]优选的，所述网络拓扑关系图的元素包括过程、用户、数据流以及数据存储。
[0019]优选的，所述三元风险关系组包括抽象元素的对象、漏洞以及结果。
[0020]该构建方法可根据现有资产设备的本身成分和已知安全缺陷，结合已知的威胁分类和危害关系图谱进行信息安全威胁分析，得到资产的威胁向量数集，其结果可为安全措施的决策提供参考依据，并根据分析结果，动态的对资产实现持续性的安全分析和管理。
附图说明
[0021]图1是一种基于工业系统网络实体的威胁图谱的构建方法的构建流程示意图；
[0022]图2是一种基于工业系统网络实体的威胁图谱的构建方法中S100的流程示意图；
[0023]图3是一种基于工业系统网络实体的威胁图谱的构件方法中向量数列图谱的示意图。
具体实施方式
[0024]为了使本专利技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本专利技术进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本专利技术，并不用于限定本专利技术。
[0025]本专利技术提供一种基于工业系统网络实体的威胁图谱的构建方法，如图1、图2和图3所示，该构建方法包括如下步骤：
[0026]S100、将原始收集的漏洞数据库与目标系统中的资产进行数据匹配，并将匹配后的数据对和元信息存入匹配数据库中，包括：
[0027]S101、通过自动化爬虫引擎对NVD和CNNVD漏洞数据库进行主动或被动的定向获取，并对获取的数据进行信息处理，并存入关系型数据库；
[0028]S102、根据漏洞描述字段和分类字段提取漏洞可能造成影响的安全属性，使漏洞与安全属性关联；其中，所述安全属性根据微软公司STRIDE方法的对应关系，包括鉴权属性、授权属性、不可否认属性、机密属性、完整属性以及可用属性；
[0029]S103、对提取的漏洞影响的安全属性与资产的匹配后与STRIDE中的威胁因素之间进行映射，从而生成漏洞影像的资产所面临的每种威胁类型；其中，所述威胁因素共六种，包括虚假欺骗、篡改、拒绝承认、信息泄露、拒绝服务以及权限提升。
[0030]其中，所述数据匹配过程包括漏洞数据库基本索引信息清洗、目标系统资产数据收集并产生匹配索引信息、索引信息匹配。漏洞数据库结构中包含CVE号。
[0031]例：CVE
‑
2017
‑
15361漏洞，会作用在Infineon产品实用RSALibrary1.02.013的组件上，会影响到Trusted Platform Module(TPM)firmware安全。发现在系统中有一个产生网络中的安全通信模块使用到相关产品，则建立相对应的关联，并自动匹配出会影响到机
密属性(Confidentiality)、完整属性(Integrity)并产生Spoofing、Tampering类型威胁。
[0032]上述方法生成的漏洞与影响的资产所面临的每种安全属性类型可以更好的适用STRIDE中的六种威胁与模型元素之间关系，做到针对威胁所发生的原因和对象做具体分析，并且为后续的分析步提供原始资产对象的映射。
[0033]S200、根据用户的网络环境，画出或导入所需要分析资产部分的网络拓扑关系图；其中，所述网络拓扑关系图的元素包括过程、用户、数据流以及数据存储。该步骤是将需要分析的网络结构和资产进行建模分析，形成以资产为视角的网络拓扑关系图。
[0034]S300、将资产的安全关系取三形成一个三元风险关系组，其中，所述三元风险关系组包括抽象元素的对象、漏洞以及结果，其表达为：
[0035]v
(t)
＝{obj,vul,cons}。
[0036]如S100中所例中，通信模组的安全关系三元风险关系组为：
[0037]V本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于工业系统网络实体的威胁图谱的构建方法，其特征在于，所述构建方法包括如下步骤：S100、将原始收集的漏洞数据库与目标系统中的资产进行数据匹配，并将匹配后的数据对和元信息存入匹配数据库中；S200、根据用户的网络环境，画出或导入所需要分析资产部分的网络拓扑关系图；S300、将资产的安全关系取三形成一个三元风险关系组；S400、将三元风险关系组的实例作为一个图关系节点，将网络拓扑关系变为节点边关系，并根据节点边关系构建图谱，获得一个全系统威胁表达的向量数列；S500、根据全系统威胁表达的向量数列进行运算，识别出风险最大的节点关系，针对该节点和周边节点进行相应的缓解措施应用，得到其威胁数值，并判断是否低于安全限定；若是则结束，否则返回S400。2.如权利要求1所述的基于工业系统网络实体的威胁图谱的构建方法，其特征在于，所述将原始收集的漏洞数据库与目标系统中的资产进行数据匹配，并将匹配后的数据对和元信息存入匹配数据库中包括：S101、通过自动化爬虫引擎对NVD和CNNVD漏洞数据库进行主动或被动的定向获取，并对获取的数据进行信息处理，并存入关系型数据库；S102、根据漏洞描述字段和分类字...

【专利技术属性】
技术研发人员：赵辉，巨敏，柳福龙，
申请(专利权)人：上海安锐信科技有限公司，
类型：发明
国别省市：