一种工业物联网漏洞的评估方法与流程

1.本发明涉及网络安全技术领域，更具体地说，涉及一种工业物联网漏洞的评估方法。


背景技术：

2.工业物联网将各种信息传感设备，如射频识别装置、红外感应器、全球定位系统、激光扫描器，乃至服务器，个人手机/智能手表/智能耳机等个人移动终端等与结合起来。其目的是让所有的物品都与网络连接在一起，方便识别，也因此当前工业互联网和物联网中的漏洞成为黑客主要攻击目标。工业物联网中各设备使用程度不同，相关漏洞根据使用偏好对用户的影响也不同。
3.由于漏洞信息繁杂，部分用户不会对所有漏洞进行修补或防护，这造成相当的安全隐患，因此需要一种根据自己的使用及偏好情况，确定各种漏洞对用户使用系统的影响及危害程度的方法，供工业互联网安全网关或漏洞防护系统对系统防护或漏洞修补参考。


技术实现要素：

4.本发明提供了一种工业物联网漏洞的评估方法，解决现有漏洞信息繁杂，部分用户不会对所有漏洞进行修补或防护，从而造成安全隐患的问题。
5.为解决上述问题，一方面，本发明提供一种工业物联网漏洞的评估方法，包括：
6.根据用户的主观使用记录或计划获取用户对每一个对象的使用偏好值；
7.根据使用偏好值对系统已有漏洞进行客观加权评估；
8.依据使用偏好值及客观加权评估的结果获得基于偏好的系统漏洞列表。
9.所述对象包括应用、软件及设备。
10.所述根据用户的主观使用记录或计划获取用户对每一个对象的使用偏好值，包括：
11.统计系统历史记录或未来计划中每一个对象被使用的频率；
12.统计系统历史记录或未来计划中每一个对象被使用的时长；
13.统计系统未来计划中每一个对象最接近的启用时间距当前时刻的时长；
14.设任一对象被使用的频率的权重为w
fre
，被使用的时长的权重为w
dur
，最接近的启用时间距当前时刻的时长的权重为w
val
，则其在系统中的使用偏好值为：
15.pi＝rei*
fre
+uri*
dur
+ali*
val
16.其中，pi为所述对象的使用偏好值，frei为所述对象被使用的频率，duri为所述对象被使用的时长，vali为所述对象最接近的启用时间距当前时刻的时长；
17.将系统中所有对象根据偏好值由大到小排列，从而获得使用偏好列表。
18.所述根据使用偏好值对系统已有漏洞进行客观加权评估，包括：
19.对保密性进行评估以确定保密性取值；
20.对完整性进行评估以确定完整性取值；
21.对可用性进行评估以确定可用性取值；
22.设置保密性权值、完整性权值及可用性权值；
23.计算使用偏好列表中任一对象的评估值为：
24.ei＝eci*
sec
+nti*
int
+sei*
use
25.其中，ei为所述对象的评估值，seci为所述对象的保密性取值，inti为所述对象的完整性取值，usei为所述对象的可用性取值，w
sec
为保密性权值，w
int
为完整性权值，w
use
为可用性权值。
26.所述对保密性进行评估以确定保密性取值，包括：
27.若漏洞被利用后对使用偏好列表中任一对象的保密性不造成影响，则确定保密性取值为第一预设值；
28.若漏洞被利用后可访问使用偏好列表中任一对象中部分未经授权的信息以造成保密信息泄露，则确定保密性取值为第二预设值；
29.若漏洞被利用后可完全控制并访问使用偏好列表中任一对象，则确定保密性取值为第三预设值。
30.所述对完整性进行评估以确定完整性取值，包括：
31.若漏洞被利用后对使用偏好列表中任一对象的完整性没有造成影响，则确定完整性取值为第一预设值；
32.若漏洞被利用后可能修改使用偏好列表中任一对象中部分文件配置及信息，且没有获得控制权或者仅能在有限的范围内修改文件配置及信息，则确定完整性取值为第二预设值；
33.若漏洞被利用后可修改使用偏好列表中任一对象的任意文件配置及信息，则确定完整性取值为第三预设值。
34.所述对可用性进行评估以确定可用性取值，包括：
35.若漏洞被利用后对使用偏好列表中任一对象的可用性没有影响，则确定可用性取值为第一预设值；
36.若漏洞被利用后可能对使用偏好列表中任一对象的可用性方面有性能的降低或者中断，则确定可用性取值为第二预设值；
37.若漏洞被利用后可导致使用偏好列表中任一对象完全不可用，则确定可用性取值为第三预设值。
38.所述根据使用偏好值对系统已有漏洞进行客观加权评估，还包括：
39.通过漏洞扫描发现漏洞及其信息。
40.所述依据使用偏好值及客观加权评估的结果获得基于偏好的系统漏洞列表，包括：
41.设置使用偏好列表中有n种对象，并设置任一对象的使用偏好值的权值为w
p
，已获得漏洞对使用偏好列表中任一对象的评估值的权值为we；
42.计算漏洞对使用的影响评估值：
43.44.将所有漏洞对使用的影响评估值按照大小排序以获得基于偏好的系统漏洞列表。
45.一方面，提供一种计算机可读存储介质，所述存储介质中存储有多条指令，所述指令适于由处理器加载以执行以上所述的一种工业物联网漏洞的评估方法。
46.本发明的有益效果是：通过汇总系统的主观使用记录及计划，并通过加权规则对使用记录项打分，获得系统的使用偏好列表，对系统已有漏洞从使用偏好角度进行客观加权评估，获得基于偏好的系统漏洞列表，以供工业互联网安全网关或漏洞防护系统对系统防护或漏洞修补参考，防止用户因不了解相关系统漏洞对自己使用的影响，忽视对危险漏洞进行修补或防护而造成的安全隐患。
附图说明
47.为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
48.图1是本发明一实施例提供的一种工业物联网漏洞的评估方法的流程图；
49.图2是本发明一实施例提供的一种工业物联网漏洞的评估方法的方框示意图。
具体实施方式
50.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
51.在本发明的描述中，需要理解的是，术语“中心”、“纵向”、“横向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个特征。在本发明的描述中，“多个”的含义是两个或两个以上，除非另有明确具体的限定。
52.在本发明中，“示例性”一词用来表示“用作例子、例证或说明”。本发明中被描述为“示例性”的任何实施例不一定被解释为比其它实施例更优选或更具优势。为了使本领域任何技术人员能够实现和使用本发明，给出了以下描述。在以下描述中，为了解释的目的而列出了细节。应当明白的是，本领域普通技术人员可以认识到，在不使用这些特定细节的情况下也可以实现本发明。在其它实例中，不会对公知的结构和过程进行详细阐述，以避免不必要的细节使本发明的描述变得晦涩。因此，本发明并非旨在限于所示的实施例，而是与符合本发明所公开的原理和特征的最广范围相一致。
53.本发明通过汇总系统的主观使用记录及计划(包括并不限于工业物联网中车间设备、传感器，网站服务器、个人电脑、手机移动终端中的应用或软件，智能家电等的历史使用
记录及未来可能的使用计划)，通过加权规则(包括并不限于从系统中各软件/应用的使用时长、使用频率、历史最后使用使用时刻、未来最近计划使用时刻、工业互联网内车间中对各设备的历史使用及未来使用计划等角度加权评估)对使用记录项打分，获得系统的使用偏好列表，对系统已有漏洞从使用偏好角度进行客观加权评估(对偏好列表中系统中设备/应用/软件从完整性、保密性、可用性方面受到的影响进行评估)，获得基于偏好的系统漏洞列表，以供工业互联网安全网关或漏洞防护系统对系统防护或漏洞修补参考。
54.参见图1，图1是本发明一实施例提供的一种工业物联网漏洞的评估方法的流程图，所述工业物联网漏洞的评估方法包括s1-s3：
55.s1、根据用户的主观使用记录或计划获取用户对每一个对象的使用偏好值；所述对象包括应用、软件及设备。
56.本实施例中，根据主观使用记录或计划(使用频率、使用时长、最近计划使用时间等数据)通过规则总结用户使用偏好列表。
57.步骤s1包括步骤s11-s15：
58.s11、统计系统历史记录或未来计划中每一个对象被使用的频率。
59.本实施例中，统计系统历史记录或未来计划中某应用/软件/设备等被使用的频率fre，使用频率越高，fre根据一定规则取值越高(例如统计过去3个月记录获知某应用每周平均被使用1次，可规定其fre＝1，并规定其他应用每周使用次数每增加1次fre增加10％，如果每2周使用一次则fre＝0.5，每3周使用一次则fre＝0.3
…
)，其偏好权重参数为w
fre
(0≤w
fre
≤1)。
60.s12、统计系统历史记录或未来计划中每一个对象被使用的时长。
61.本实施例中，统计系统历史记录或未来计划中某应用/软件/设备等被使用的时长dur，使用时长越高，dur根据一定规则取值越高(例如未来2周中某车间设备平均每日使用1小时，可规定其dur＝1，并规定其他设备每日使用时长每增加1小时dur增加10％，如果每2日使用1小时则dur＝0.5，每3日使用1小时则dur＝0.3
…
)，其偏好权重参数为w
dur
(0≤w
dur
≤1)。
62.s13、统计系统未来计划中每一个对象最接近的启用时间距当前时刻的时长。
63.本实施例中，统计系统未来计划中某应用/软件/设备等最接近的启用时间距当前时刻的时长val，越接近当前时刻，val根据一定规则取值越高(例如某设备未来1小时将被启用，可规定其val＝1，并规定其他设备启用时间每提前10分钟，val增加10％，启用时间每推迟1小时，val减少10％)，其偏好权重参数为w
val
(0≤w
val
≤1)。
64.s14、设任一对象被使用的频率的权重为w
fre
，被使用的时长的权重为w
dur
，最接近的启用时间距当前时刻的时长的权重为w
val
，则其在系统中的使用偏好值为：
65.pi＝rei*
fre
+uri*
dur
+ali*
val
66.其中，pi为所述对象的使用偏好值，frei为所述对象被使用的频率，duri为所述对象被使用的时长，vali为所述对象最接近的启用时间距当前时刻的时长。
67.本实施例中，设某应用/软件/设备为e，任一对象被使用的频率的权重为w
fre
，被使用的时长的权重为w
dur
，最接近的启用时间距当前时刻的时长的权重为w
val
可以根据实际需要设置。
68.s15、将系统中所有对象根据偏好值由大到小排列，从而获得使用偏好列表。
69.本实施例中，将系统中所有应用/软件/设备根据p的值由大到小列表，获得使用偏好列表。
70.s2、根据使用偏好值对系统已有漏洞进行客观加权评估。
71.本实施例中，对系统已有漏洞从使用偏好角度进行客观加权评估。
72.步骤s2包括步骤s21-s25：
73.s21、对保密性进行评估以确定保密性取值；步骤s21包括步骤s211-s213：
74.s211、若漏洞被利用后对使用偏好列表中任一对象的保密性不造成影响，则确定保密性取值为第一预设值。
75.本实施例中，该漏洞被利用后对偏好列表中某设备/软件/应用的保密性不造成影响，sec＝0。
76.s212、若漏洞被利用后可访问使用偏好列表中任一对象中部分未经授权的信息以造成保密信息泄露，则确定保密性取值为第二预设值。
77.本实施例中，该漏洞被利用后可访问偏好列表中某设备/软件/应用部分未经授权的信息，造成保密信息泄露，sec＝1。
78.s213、若漏洞被利用后可完全控制并访问使用偏好列表中任一对象，则确定保密性取值为第三预设值。
79.本实施例中，该漏洞被利用后可完全控制访问偏好列表中某设备/软件/应用，sec＝2。
80.s22、对完整性进行评估以确定完整性取值；步骤s22包括步骤s221-s223：
81.s221、若漏洞被利用后对使用偏好列表中任一对象的完整性没有造成影响，则确定完整性取值为第一预设值。
82.本实施例中，该漏洞被利用后对偏好列表中某设备/软件/应用完整性没有造成影响，int＝0。
83.s222、若漏洞被利用后可能修改使用偏好列表中任一对象中部分文件配置及信息，且没有获得控制权或者仅能在有限的范围内修改文件配置及信息，则确定完整性取值为第二预设值。
84.本实施例中，该漏洞被利用后可能修改偏好列表中某设备/软件/应用部分文件配置及信息，但不会获得控制权，或仅能在有限的范围内修改文件配置及信息，int＝1。
85.s223、若漏洞被利用后可修改使用偏好列表中任一对象的任意文件配置及信息，则确定完整性取值为第三预设值。
86.本实施例中，该漏洞被利用后可修改偏好列表中某设备/软件/应用的的任意文件配置及信息，int＝2。
87.s23、对可用性进行评估以确定可用性取值；步骤s23包括步骤s231-s233：
88.s231、若漏洞被利用后对使用偏好列表中任一对象的可用性没有影响，则确定可用性取值为第一预设值。
89.本实施例中，该漏洞被利用后对偏好列表中某设备/软件/应用的可用性没有影响，use＝0。
90.s232、若漏洞被利用后可能对使用偏好列表中任一对象的可用性方面有性能的降低或者中断，则确定可用性取值为第二预设值。
91.本实施例中，该漏洞被利用后可能对偏好列表中某设备/软件/应用可用性方面有性能的降低或者中断，use＝1。
92.s233、若漏洞被利用后可导致使用偏好列表中任一对象完全不可用，则确定可用性取值为第三预设值。
93.本实施例中，该漏洞被利用后可导致偏好列表中某设备/软件/应用完全不可用，use＝2。
94.s24、设置保密性权值、完整性权值及可用性权值。
95.本实施例中，保密性、完整性、可用性的评估权值设为w
sec
，w
int
，w
use
，满足0≤w
sec
，w
int
，w
use
≤1，具体取值根据需求而定。
96.s25、计算使用偏好列表中任一对象的评估值为：
97.ei＝eci*
sec
+nti*
int
+sei*
use
98.其中，ei为所述对象的评估值，seci为所述对象的保密性取值，inti为所述对象的完整性取值，usei为所述对象的可用性取值，w
sec
为保密性权值，w
int
为完整性权值，w
use
为可用性权值。
99.s26、通过漏洞扫描发现漏洞及其信息。
100.本实施例中，系统漏洞数据库中有事先通过漏洞扫描(包括并不限于cgi漏洞扫描、pop3漏洞扫描、ftp漏洞扫描、ssh漏洞扫描、http漏洞扫描、smtp漏洞扫描、imap漏洞扫描等,这些漏洞扫描是基于网络上发布的漏洞库的，将扫描结果与网络漏洞库相关数据匹配比较得到漏洞信息，此外还包括没有相应网络漏洞库的各种扫描，例如unicode遍历目录漏洞探测、ftp弱势密码探测等，这些扫描通过使用插件(功能模块技术)进行模拟攻击，测试出目标主机的漏洞信息)发现的各种漏洞及其信息(包括内部漏洞标识、漏洞名称、漏洞类别、cve号等)。
101.s3、依据使用偏好值及客观加权评估的结果获得基于偏好的系统漏洞列表。步骤s3包括步骤s31-s33：
102.s31、设置使用偏好列表中有n种对象，并设置任一对象的使用偏好值的权值为w
p
，已获得漏洞对使用偏好列表中任一对象的评估值的权值为we。
103.本实施例中，设偏好列表中有n种不同的应用/软件/设备，根据步骤s1已获得工业互联网中各应用/软件/设备的使用偏好值p，设其权值为w
p
，步骤s2已获得各漏洞对偏好列表中某设备/软件/应用的评估值e，设其权值为we。
104.s32、计算漏洞对使用的影响评估值：
[0105][0106]
s33、将所有漏洞对使用的影响评估值按照大小排序以获得基于偏好的系统漏洞列表。
[0107]
本实施例中，将所有漏洞对使用的影响评估值按照大小排序获得基于偏好的系统漏洞列表。该列表可供工业互联网安全网关或漏洞防护系统对系统防护或漏洞修补参考。
[0108]
综上，通过汇总系统的主观使用记录及计划，通过加权规则对使用记录项打分，获得系统的使用偏好列表，对系统已有漏洞从使用偏好角度进行客观加权评估，获得基于偏
好的系统漏洞列表。本发明提出的评估方法可用于工业物联网、安全网关、漏洞扫描系统等用于评估漏洞对用户的影响。
[0109]
本领域普通技术人员可以理解，上述实施例的各种方法中的全部或部分步骤可以通过指令来完成，或通过指令控制相关的硬件来完成，该指令可以存储于一计算机可读存储介质中，并由处理器进行加载和执行。为此，本发明实施例提供一种存储介质，其中存储有多条指令，该指令能够被处理器进行加载，以执行本发明实施例所提供的任一种工业物联网漏洞的评估方法中的步骤。
[0110]
其中，该存储介质可以包括：只读存储器(rom，read only memory)、随机存取记忆体(ram，random access memory)、磁盘或光盘等。
[0111]
由于该存储介质中所存储的指令，可以执行本发明实施例所提供的任一种工业物联网漏洞的评估方法中的步骤，因此，可以实现本发明实施例所提供的任一种工业物联网漏洞的评估方法所能实现的有益效果，详见前面的实施例，在此不再赘述。
[0112]
以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。