一种智慧城市的风险感知方法及系统与流程

本技术涉及城市安全管理，具体而言，涉及一种智慧城市的风险感知方法。

背景技术：

1、智慧城市指在已建环境中对物理系统、数字系统、人类系统进行有效整合，由于城镇化建设的步伐不断加快，每年有上千万的农村人口进入城市。随着城市人口不断膨胀，大城市病成为困扰各个城市建设与管理的首要难题，资源短缺、环境污染、交通拥堵、安全隐患等问题日益突出。为了破解大城市病的困局，智慧城市应运而生，将新一代信息技术充分运用在城市中的各行各业，实现了信息化、工业化与城镇化深度融合，有助于缓解大城市病，提高城镇化质量。随着城市治理现代化的纵深推进，运用科技创新手段和前沿技术，全方位多层次多角度增强城市协调统筹能力、贯彻执行能力以及信息传导效能，“全周期管理”意识于智慧城市建设的过程中，对信息网络、系统、传感器以及设备之间的连接更加依赖，也给网络安全埋下了无法估量的隐患，因此智慧城市网络安全保障研究意义重大。

2、目前，国内智慧城市建设和应用过程中，对安全相关内容缺少统一考虑。在安全能力建设方面，大多只考虑某一种安全能力的建设，缺少对公共安全、网络安全、数据安全交换的综合安全防护体系的建设与验证，无法形成智慧城市网络信息安全综合免疫能力，同时针对多领域、跨行业、多类型智慧城市业务集成环境下的安全防护能力的体系建设和安全能力验证存在较大不足。在威胁检测方面，以模式匹配为代表的已知威胁检测技术相对比较成熟，但仍需解决智慧城市网络所具有的海量异构、分级分区部署所带来的检测效率问题。在安全态势分析方面，涉及海量多元异构数据的汇聚、融合、分析等，其中核心技术是风险的感知和推演，在数据异构海量、管理多元化的条件下感知其中的风险信息，并推演出未来的风险态势。在安全威胁预警处置方面，主要涉及发现安全威胁后的预警、阻断、恢复、取证、反制等工作，研究的重点是安全威胁处置工作的自动化和可视化，代表性的技术是安全编排与自动化。

3、传统的安全态势感知系统主要针对单一网络环境，亟需解决智慧城市应用的“大数据、云计算、物联网、移动通信”给安全防护带来的网络结构复杂、边界模糊、海量异构设备互联、威胁传播的蝴蝶效应等问题。智慧城市万物互联复杂环境中具有技术体制差异、应用场景多样、数据形态繁复多样、数据共享复杂、威胁跨域传播等特点，人、机、物在智慧城市的网络空间和物理空间跨层投射、多维交互，新型智慧城市的安全问题出现高级持续性、认知域与社会域交织、网络空间威胁深度传导等新属性。导致智慧城市信息系统在长期持续运行中面临公共安全与网络安全综合免疫防护能力缺失的巨大挑战。

技术实现思路

1、本技术的目的在于，为了克服现有的技术缺陷，提供了一种智慧城市的风险感知方法及系统，通过层次分析和模糊评价的方法来检测所遭受到的攻击风险，对评判目标给出客观评价结果，解决智慧城市无法适应风险信息的动态变化的问题，有效增强智慧城市风险感知与处置能力。

2、本技术目的通过下述技术方案来实现：

3、第一方面，本技术提出了一种智慧城市的风险感知方法，包括：

4、数据采集：通过部署的agent服务采集智慧城市数据，所述智慧城市数据包括传感器数据、原始流量数据、安全设备日志以及外部上传数据；

5、数据预处理：对所述智慧城市数据进行预处理操作得到预处理后的数据，所述预处理操作包括分类、去重、归一化；

6、安全事件关联：利用预处理后的数据对安全事件进行资产关联分析、漏洞关联分析以及攻击事件关联分析；

7、风险感知处置：通过综合评价数学模型对风险信息进行量化评估，得到模糊综合评价，根据评价结果针对智慧城市安全风险发出告警信息。

8、在一种可选的实施方式中，所述传感器数据包括视频传感器和物联网传感器采集的智慧城市数据；

9、所述原始流量数据为流量探针所采集的城市数据流量；

10、所述安全设备日志是通过智慧城市智能安全网关所采集的数据。

11、3.如权利要求1所述的智慧城市的风险感知方法，其特征在于，所述资产关联分析是对网络设备的设备类型、ip、mac、端口、协议、版本进行分析；

12、所述漏洞关联分析是对漏洞编号、漏洞类型、cvss评分进行分析；

13、所述攻击事件关联分析是对攻击来源、实现过程进行分析。

14、在一种可选的实施方式中，所述资产关联分析、所述漏洞关联分析以及所述攻击事件关联分析均是利用属性相似度分析方法所进行的；

15、所述属性相似度分析方法是一种定义相似度函数，对预处理后的数据进行比较分析，寻找相似的属性，采用杰卡德相似系数提取资产相似度、攻击事件相似度以及漏洞相似度的方法。

16、在一种可选的实施方式中，所述资产相似度为：a(asset)和b(asset)是不同的资产值，α是资产相似度阈值；

17、所述攻击事件相似度为：a(event)和b(event)是不同的攻击事件值，β是攻击事件相似度阈值；

18、漏洞相似度为：a(vul)和b(vul)是不同的漏洞值，γ是漏洞相似度阈值。

19、在一种可选的实施方式中，包括：

20、构建因素集合矩阵u＝[u1,u2,…rn]，对所述因素集合矩阵中的每个元素的加权值进行整合得到权重集矩阵a＝[a1,a2,…an]；

21、构建评价集矩阵v＝[v1,v2,…vn]；

22、根据评价集矩阵对所述集合矩阵中的每个元素进行单因素模糊评价得到模糊子集矩阵ri＝[ri1,ri2,…rim]；

23、根据所述模糊子集矩阵ri＝[ri1,ri2,…rim]得到单因素评价矩阵

24、根据得到评判对象的模糊综合评价b。

25、在一种可选的实施方式中，构建智慧城市风险评价指标体系，所述智慧城市风险评价指标体系为二级指标体系；

26、一级指标包括危害性、脆弱性、可靠性以及效率，一级指标下设置有多个二级指标，所述危害性包括攻击事件报警数量、攻击事件对目标的影响、攻击事件对环境的影响、攻击事件发生的频率和关联度；

27、所述脆弱性包括漏洞数量和危害等级、漏洞利用代码成熟度以及漏洞是否修复；

28、所述可靠性包括发生攻击事件的次数、系统非正常运行的次数以及系统易维护性和易操作性；

29、所述效率包括时间开、cpu负载以及内存开销。

30、第二方面，本技术提出了一种智慧城市的风险感知系统，所述系统包括：

31、数据采集模块，用于通过部署的agent服务采集智慧城市数据，所述智慧城市数据包括传感器数据、原始流量数据、安全设备日志以及外部上传数据；

32、数据预处理模块，用于对所述智慧城市数据进行预处理操作得到预处理后的数据，所述预处理操作包括分类、去重、归一化；

33、安全事件关联模块，用于利用预处理后的数据对安全事件进行资产关联分析、漏洞关联分析以及攻击事件关联分析；

34、风险感知处置模块，用于对风险信息进行量化评估，得到智慧城市的安全风险态势，根据评价结果针对智慧城市安全风险发出告警信息。

35、第三方面，本技术还提出了一种计算机设备，所述计算机设备包括处理器和存储器，所述存储器中存储有计算机程序，所述计算机程序由所述处理器加载并执行以实现如第一方面任一项所述的智慧城市的风险感知方法。

36、第四方面，本技术还提出了一种计算机可读存储介质，所述存储介质中存储有计算机程序，所述计算机程序由处理器加载并执行以实现如第一方面任一项所述的智慧城市的风险感知方法。

37、上述本技术主方案及其各进一步选择方案可以自由组合以形成多个方案，均为本技术可采用并要求保护的方案；且本技术，(各非冲突选择)选择之间以及和其他选择之间也可以自由组合。本领域技术人员在了解本技术方案后根据现有技术和公知常识可明了有多种组合，均为本技术所要保护的技术方案，在此不做穷举。

38、本技术公开了一种智慧城市的风险感知方法及系统，首先通过部署的agent服务采集智慧城市数据，然后对智慧城市数据进行预处理操作得到预处理后的数据，再利用预处理后的数据对安全事件进行资产关联分析、漏洞关联分析以及攻击事件关联分析，最后通过综合评价数学模型对风险信息进行量化评估，得到模糊综合评价，根据评价结果针对智慧城市安全风险发出告警信息。利用多个维度的数据对事件进行关联分析来解决误报率和重复告警率较高的问题，利用基于层次分析和模糊评价的方法来检测所遭受到的攻击风险，结合多个维度对评判目标给出客观评价结果，解决无法适应风险信息的动态变化等问题，实现智慧城市风险动态感知的效果。