基于资产测绘的工业互联网企业网络安全威胁识别方法与流程

1.本发明涉及网络安全技术领域，具体涉及基于资产测绘的工业互联网企业网络安全威胁识别方法。


背景技术：

2.资产测绘是通过一些技术手段、工具来探测网络空间中的一些信息之后将查到的资产数据进行关联展现出来；网络安全的威胁主要分为两种，一种是网络中信息的威胁，另一种是网络本身的威胁。
3.现有的工业互联网企业网络安全威胁识别方案在实施时，大多数是通过对工业互联网企业生产的网络方面实施监测分析以及预警，没有对前期发现的异常进行初步的评估分类，然后根据分类的结果对监测发现的识别反应和处理反应实施监测评估，没有根据评估结果对后续实施的网络安全威胁识别及处理方案进行动态调整，导致网络安全威胁识别及处理的整体效果不佳。


技术实现要素：

4.本发明的目的在于提供基于资产测绘的工业互联网企业网络安全威胁识别方法，用于解决现有方案中没有对识别获取的异常实施不同维度的分析评估，不能根据评估结果对后续实施的网络安全威胁识别及处理方案进行动态调整来提高网络安全威胁识别及处理整体效果的技术问题。
5.本发明的目的可以通过以下技术方案实现：基于资产测绘的工业互联网企业网络安全威胁识别方法，包括：对工业互联网企业不同生产设备的运行状态实施监测获取运行监测数据，通过对运行监测数据进行分析评估获取生产设备对应的运行监测状态；对运行监测状态异常的核验设备实施的网络安全威胁识别及处理方案进行追溯评估，并根据评估结果对不同运行监测状态异常的核验设备后续实施的网络安全威胁识别及处理方案进行动态调整。
6.优选地，获取工业互联网企业包含的所有生产设备以及对应的生产编号，根据生产编号获取生产设备对应的设备名称和设备类型并分别设定为第一标识和第二标识；根据第二标识对对应生产设备进行数字化处理时，将第二标识与数据库中存储的设备类型-权重表进行遍历匹配获取对应的类型权重lq；根据第一标识和生产编号获取生产设备对应的实时上行流量和实时下行流量，以及，根据第二标识获取生产设备对应的标准上行流量范围和实时下行流量范围。
7.优选地，对生产设备的实时运行状态进行监测分析时，将生产设备对应的实时上行流量和实时下行流量分别与对应的标准上行流量范围和实时下行流量范围进行比对判断；若实时上行流量属于标准上行流量范围以及实时下行流量属于标准下行流量范
围，则生成正常运行信号并提示运行监测状态正常；若实时上行流量不属于标准上行流量范围以及实时下行流量不属于标准下行流量范围至少有一个成立，则生成异常运行信号并将对应的生产设备标记为核验设备，根据异常运行信号对核验设备的异常实施威胁核验，得到威胁核验分析数据并提示运行监测状态异常。
8.优选地，威胁核验分析数据的获取步骤包括：获取异常运行信号生成的时间点并标记为第一分析时间点，统计第一分析时间点以后核验设备出现异常运行信号的总次数zc，以及每次异常运行信号出现时的持续时长cs，提取核验设备对应标记的类型权重、出现异常运行信号的总次数以及每次异常运行信号出现时持续时长的数值并通过公式计算获取核验设备对应的威胁状态系数wz；根据威胁状态系数对核验设备受到的威胁状态进行评估得到由轻度威胁信号和第二分析时间点、重度威胁信号和第三分析时间点构成的威胁核验分析数据。
9.优选地，威胁状态系数wz的计算公式为：；式中，w1、w2均为大于零的常量系数，且w1＞w2；w1+w2=1；根据威胁状态系数对核验设备受到的威胁状态进行评估时；若威胁状态系数小于威胁状态阈值，则生成轻度威胁信号并将对应的核验设备标记为一类设备，以及获取其对应的坐标位置以及实施一类告警提示，并将轻度威胁信号生成的时间点标记为第二分析时间点；若威胁状态系数不小于威胁状态阈值，则生成重度威胁信号并将对应的核验设备标记为二类设备，以及获取其对应的坐标位置以及实施二类告警提示，并将重度威胁信号生成的时间点标记为第三分析时间点。
10.优选地，从网络安全威胁识别反应方面实施评估时，获取运行监测状态异常的核验设备对应的威胁核验分析数据并遍历，根据遍历获取的轻度威胁信号或者重度威胁信号分别获取第二分析时间点或者第三分析时间与第一分析时间点之间的识别反应时差sf；将识别反应时差与核验设备对应的类型权重通过公式sf=lq
×
(sf-sf0+α)计算获取识别反应度sf；式中，α为设备网络补偿因子；根据识别反应度对对应运行监测状态异常的核验设备的识别反应实施评估分类时，若识别反应度不大于零，则生成识别反应正常标签；若识别反应度大于零，则生成识别反应异常标签；识别反应度以及对应的识别反应正常标签或者识别反应异常标签构成识别反应评估数据。
11.优选地，从网络安全威胁处理反应方面实施评估时，获取运行监测状态异常的生产设备对应的威胁核验分析数据并遍历，根据遍历获取的轻度威胁信号或者重度威胁信号分别实施对应的一类网络安全威胁识别处理方案或者二类网络安全威胁识别处理方案，以及将对应方案开始处理的时间点标记为处理开始时间点；根据处理开始时间点获取与第二分析时间点或者第三分析时间之间的处理反应时差cf；将处理反应时差与核验设备对应的类型权重通过公式cf=lq
×
(cf/cf0+β)计算获取处理反应度cf；式中，β为处理网络补偿因子；
根据处理反应度对对应运行监测状态异常的核验设备的处理反应实施评估分类时，若处理反应度不大于k，则生成处理反应正常标签；k为正整数；若处理反应度大于k，则生成处理反应异常标签；处理反应度以及对应的处理反应正常标签或者处理反应异常标签构成处理反应评估数据；识别反应评估数据和处理反应评估数据构成核验设备的评估结果。
12.优选地，根据评估结果对不同运行监测状态异常的核验设备后续实施的网络安全威胁识别及处理方案进行动态调整时，统计监测周期内所有核验设备对应的评估结果并遍历，统计遍历获取的识别反应异常标签总数和处理反应异常标签总数并标记为bzk，k=1，2；提取标记的识别反应异常标签总数和处理反应异常标签总数的数值并通过公式计算获取阶段网络安全威胁识别的识别处理反应系数sck，其中，sc1为识别反应系数，sc2为处理反应系数；根据识别处理反应系数对工业互联网企业的阶段网络安全威胁识别状态进行评估得到由第一识别反应指令或者第二识别反应指令以及第一处理反应指令或者第二处理反应指令构成的阶段识别评估数据。
13.优选地，根据识别处理反应系数对工业互联网企业的阶段网络安全威胁识别状态进行评估时，将识别反应系数和处理反应系数分别与对应的识别反应阈值和处理反应阈值进行比对判断；若识别反应系数小于识别反应阈值以及处理反应系数小于处理反应阈值，则生成第一识别反应指令以及第一处理反应指令；若识别反应系数不小于识别反应阈值以及处理反应系数不小于处理反应阈值，则生成第二识别反应指令以及第二处理反应指令。
14.优选地，根据阶段识别评估数据中的第一识别反应指令以及第一处理反应指令维持现有的网络安全威胁识别方案以及网络安全威胁处理方案的实施，以及根据阶段识别评估数据中的第二识别反应指令以及第二处理反应指令更新调整网络安全威胁识别方案以及网络安全威胁处理方案的实施。
15.相比于现有方案，本发明实现的有益效果：本发明公开的一方面，在前期通过监测的实时上行流量和实时下行流量来对对应生产设备的运行状态实施初步的监测分析以及分类，可以为后续生产设备对应的异常状态的核验分析提供可靠的局部监测分析数据的支持，提高了后续生产设备异常状态监测分析的效率。
16.本发明公开的另一方面，通过对前期监测分析的运行监测状态异常的核验设备实施威胁核验，通过将生产设备监测的各方面异常数据进行联立计算来对生产设备受到的威胁状态进行评估和标记，既可以获取到运行监测状态异常的核验设备对应的威胁状态程度，又可以为后续工业互联网企业网络安全威胁识别和处理方案的动态调整提供可靠的局部数据支持，提高了网络安全威胁识别监测分析的多样性。
17.本发明公开的其它方面，通过对前期监测识别发现的异常生产设备实施不同维度的数据挖掘，通过从网络安全威胁识别反应方面和从网络安全威胁处理反应方面实施评
估，可以获取到工业互联网企业网络安全威胁识别处理不同方面的阶段状态，同时又可以为后续不同方面的处理方案的动态调整提供可靠的数据支持，通过对后续不同方面的处理方案实施动态调整，可以有效提高工业互联网企业网络安全威胁识别及处理的监测分析方面和拓展挖掘方面的整体效果。
附图说明
18.下面结合附图对本发明作进一步的说明。
19.图1为本发明基于资产测绘的工业互联网企业网络安全威胁识别方法的流程框图。
具体实施方式
20.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。
21.如图1所示，本发明为基于资产测绘的工业互联网企业网络安全威胁识别方法，包括：对工业互联网企业不同生产设备的运行状态实施监测获取运行监测数据，通过对运行监测数据进行分析评估获取生产设备对应的运行监测状态；包括：获取工业互联网企业包含的所有生产设备以及对应的生产编号，根据生产编号获取生产设备对应的设备名称和设备类型并分别设定为第一标识和第二标识；其中，设备类型基于现有工业互联网企业生产设备的划分标准来划分确定，包括但不限于运输类型、加工类型、组装类型和检测类型；这里的生产设备是指可以通过工业互联网实施生产数据交互的；根据第二标识对对应生产设备进行数字化处理时，将第二标识与数据库中存储的设备类型-权重表进行遍历匹配获取对应的类型权重lq；其中，设备类型-权重表包含若干不同的设备类型以及对应的类型权重，不同的设备类型预先关联一个对应的类型权重，类型权重用于对文本类的设备类型进行数字化表示，类型权重的具体数值可以根据对应生产设备的生产大数据模拟得到；根据第一标识和生产编号获取生产设备对应的实时上行流量和实时下行流量，以及，根据第二标识获取生产设备对应的标准上行流量范围和实时下行流量范围；对生产设备的实时运行状态进行监测分析时，将生产设备对应的实时上行流量和实时下行流量分别与对应的标准上行流量范围和实时下行流量范围进行比对判断；这里的比对判断是通过提取实时上行流量和实时下行流量的数值来实现的，标准上行流量范围和实时下行流量范围根据生产设备的历史生产大数据模拟得到；若实时上行流量属于标准上行流量范围以及实时下行流量属于标准下行流量范围，则生成正常运行信号并提示运行监测状态正常；若实时上行流量不属于标准上行流量范围以及实时下行流量不属于标准下行流量范围至少有一个成立，则生成异常运行信号并将对应的生产设备标记为核验设备；
需要说明的是，本发明实施例通过监测的实时上行流量和实时下行流量来对对应生产设备的运行状态实施初步的监测分析以及分类，可以为后续生产设备对应的异常状态的核验分析提供可靠的局部监测分析数据的支持，提高了后续生产设备异常状态监测分析的效率；根据异常运行信号对核验设备的异常实施威胁核验，得到威胁核验分析数据并提示运行监测状态异常；包括：获取异常运行信号生成的时间点并标记为第一分析时间点，第一分析时间点的单位精确到秒，同样后续的不同时间点的单位均精确到秒，统计第一分析时间点以后核验设备出现异常运行信号的总次数zc，以及每次异常运行信号出现时的持续时长cs，持续时长的单位为秒，提取核验设备对应标记的类型权重、出现异常运行信号的总次数以及每次异常运行信号出现时持续时长的数值并通过公式计算获取核验设备对应的威胁状态系数wz；式中，w1、w2均为大于零的常量系数，且w1＞w2；w1+w2=1，公式中的常量系数可以由本领域的技术人员根据实际情况设定或者通过大量数据模拟获得；需要说明的是，威胁状态系数是用于将生产设备监测的各方面异常数据进行联立计算来对其受到的威胁状态进行评估的数值；威胁状态系数越大，表示对应生产设备受到的威胁状态越严重；根据威胁状态系数对核验设备受到的威胁状态进行评估时，若威胁状态系数小于威胁状态阈值，则生成轻度威胁信号并将对应的核验设备标记为一类设备，以及获取其对应的坐标位置以及实施一类告警提示，并将轻度威胁信号生成的时间点标记为第二分析时间点；威胁状态阈值通过对应生产设备的历史威胁大数据模拟得到；若威胁状态系数不小于威胁状态阈值，则生成重度威胁信号并将对应的核验设备标记为二类设备，以及获取其对应的坐标位置以及实施二类告警提示，并将重度威胁信号生成的时间点标记为第三分析时间点；第二分析时间点和第三分析时间点的单位均精确到秒；威胁状态系数以及对应的轻度威胁信号和第二分析时间点、重度威胁信号和第三分析时间点构成核验设备对应的威胁核验分析数据；本发明实施例中，通过对前期监测分析的运行监测状态异常的核验设备实施威胁核验，通过将生产设备监测的各方面异常数据进行联立计算获取威胁状态系数，根据威胁状态系数来对生产设备受到的威胁状态进行评估和标记，既可以获取到运行监测状态异常的核验设备对应的威胁状态程度，又可以为后续工业互联网企业网络安全威胁识别和处理方案的动态调整提供可靠的局部数据支持，提高了网络安全威胁识别监测分析的多样性。
22.对运行监测状态异常的核验设备实施的网络安全威胁识别及处理方案进行追溯评估，并根据评估结果对不同运行监测状态异常的核验设备后续实施的网络安全威胁识别及处理方案进行动态调整；包括：从网络安全威胁识别反应方面实施评估时，获取运行监测状态异常的核验设备对应的威胁核验分析数据并遍历，根据遍历获取的轻度威胁信号或者重度威胁信号分别获取第二分析时间点或者第三分析时间与第一分析时间点之间的识别反应时差sf；识别反应时
长的单位为秒；将识别反应时差与核验设备对应的类型权重通过公式sf=lq
×
(sf-sf0+α)计算获取识别反应度sf；式中，α为设备网络补偿因子，可以对生产设备当下的网络数据进行模拟训练得到，网络数据包括但不限于网速和网络延迟；需要说明的是，识别反应度是用于将核验设备监测并获取到异常的各方面数据进行联立计算来对其识别反应状态进行评估的数值；识别反应度越小，表示对应核验设备的异常识别反应状态越佳；根据识别反应度对对应运行监测状态异常的核验设备的识别反应实施评估分类时，若识别反应度不大于零，则生成识别反应正常标签；若识别反应度大于零，则生成识别反应异常标签；识别反应度以及对应的识别反应正常标签或者识别反应异常标签构成识别反应评估数据；从网络安全威胁处理反应方面实施评估时，获取运行监测状态异常的生产设备对应的威胁核验分析数据并遍历，根据遍历获取的轻度威胁信号或者重度威胁信号分别实施对应的一类网络安全威胁识别处理方案或者二类网络安全威胁识别处理方案，以及将对应方案开始处理的时间点标记为处理开始时间点；以及，根据处理开始时间点获取与第二分析时间点或者第三分析时间之间的处理反应时差cf；将处理反应时差与核验设备对应的类型权重通过公式cf=lq
×
(cf/cf0+β)计算获取处理反应度cf；式中，β为处理网络补偿因子，可以对处理服务器当下的网络数据进行模拟训练得到；需要说明的是，处理反应度是用于将核验设备监测识别并处理异常的各方面数据进行联立计算来对其处理反应状态进行评估的数值；识别反应度越小，表示对应核验设备的异常识别反应状态越佳；根据处理反应度对对应运行监测状态异常的核验设备的处理反应实施评估分类时，若处理反应度不大于k，则生成处理反应正常标签；k为正整数；若处理反应度大于k，则生成处理反应异常标签；处理反应度以及对应的处理反应正常标签或者处理反应异常标签构成处理反应评估数据；识别反应评估数据和处理反应评估数据构成核验设备的评估结果；根据评估结果对不同运行监测状态异常的核验设备后续实施的网络安全威胁识别及处理方案进行动态调整时，统计监测周期内所有核验设备对应的评估结果并遍历，监测周期的单位为天，具体的可以为七天，统计遍历获取的识别反应异常标签总数和处理反应异常标签总数并标记为bzk，k=1，2；bz1为识别反应异常标签总数，bz2为处理反应异常标签总数；提取标记的识别反应异常标签总数和处理反应异常标签总数的数值并通过公式计算获取阶段网络安全威胁识别的识别处理反应系数sck，其中，sc1为识别反应系数，sc2为处理反应系数；需要说明的是，识别处理反应系数是用于将监测周期内所有核验设备的监测分析
结果进行联立来对阶段的识别反应状态和处理反应状态进行整体评估的数值；根据识别处理反应系数对工业互联网企业的阶段网络安全威胁识别状态进行评估时，将识别反应系数和处理反应系数分别与对应的识别反应阈值和处理反应阈值进行比对判断；识别反应阈值和处理反应阈值通过生成设备对应的历史识别处理大数据模拟得到；若识别反应系数小于识别反应阈值以及处理反应系数小于处理反应阈值，则生成第一识别反应指令以及第一处理反应指令；若识别反应系数不小于识别反应阈值以及处理反应系数不小于处理反应阈值，则生成第二识别反应指令以及第二处理反应指令；第一识别反应指令或者第二识别反应指令以及第一处理反应指令或者第二处理反应指令构成阶段识别评估数据；根据阶段识别评估数据中的第一识别反应指令以及第一处理反应指令维持现有的网络安全威胁识别方案以及网络安全威胁处理方案的实施，以及根据阶段识别评估数据中的第二识别反应指令以及第二处理反应指令更新调整网络安全威胁识别方案以及网络安全威胁处理方案的实施；其中，更新调整网络安全威胁识别方案以及网络安全威胁处理方案的实施可以通过现有的技术手段来提高识别数据模型和处理数据模型的训练更新频次。
23.本发明实施例中，通过对前期监测识别发现的异常生产设备实施不同维度的数据挖掘，通过从网络安全威胁识别反应方面和从网络安全威胁处理反应方面实施评估，可以获取到工业互联网企业网络安全威胁识别处理不同方面的阶段状态，同时又可以为后续不同方面的处理方案的动态调整提供可靠的数据支持，通过对后续不同方面的处理方案实施动态调整，可以有效提高工业互联网企业网络安全威胁识别及处理的监测分析方面和拓展挖掘方面的整体效果。
24.此外，上述中涉及的公式均是去除量纲取其数值计算，是由采集大量数据进行软件模拟得到最接近真实情况的一个公式。
25.在本发明所提供的几个实施例中，应该理解到，所揭露的方法，可以通过其它的方式实现。例如，以上所描述的发明实施例仅仅是示意性的，例如，模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。
26.作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
27.另外，在本发明各个实施例中的各功能模块可以集成在一个处理模块中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用硬件加软件功能模块的形式实现。
28.对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的基本特征的情况下，能够以其他的具体形式实现本发明。
29.最后应说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或等同替换，而不脱离本发明技术方案的精神和范围。

技术特征：
1.基于资产测绘的工业互联网企业网络安全威胁识别方法，其特征在于，包括：对工业互联网企业不同生产设备的运行状态实施监测获取运行监测数据，通过对运行监测数据进行分析评估获取生产设备对应的运行监测状态；对运行监测状态异常的核验设备实施的网络安全威胁识别及处理方案进行追溯评估，并根据评估结果对不同运行监测状态异常的核验设备后续实施的网络安全威胁识别及处理方案进行动态调整。2.根据权利要求1所述的基于资产测绘的工业互联网企业网络安全威胁识别方法，其特征在于，获取工业互联网企业包含的所有生产设备以及对应的生产编号，根据生产编号获取生产设备对应的设备名称和设备类型并分别设定为第一标识和第二标识；根据第二标识对对应生产设备进行数字化处理时，将第二标识与数据库中存储的设备类型-权重表进行遍历匹配获取对应的类型权重lq；根据第一标识和生产编号获取生产设备对应的实时上行流量和实时下行流量，以及，根据第二标识获取生产设备对应的标准上行流量范围和实时下行流量范围。3.根据权利要求2所述的基于资产测绘的工业互联网企业网络安全威胁识别方法，其特征在于，对生产设备的实时运行状态进行监测分析时，将生产设备对应的实时上行流量和实时下行流量分别与对应的标准上行流量范围和实时下行流量范围进行比对判断；若实时上行流量属于标准上行流量范围以及实时下行流量属于标准下行流量范围，则生成正常运行信号并提示运行监测状态正常；若实时上行流量不属于标准上行流量范围以及实时下行流量不属于标准下行流量范围至少有一个成立，则生成异常运行信号并将对应的生产设备标记为核验设备，根据异常运行信号对核验设备的异常实施威胁核验，得到威胁核验分析数据并提示运行监测状态异常。4.根据权利要求3所述的基于资产测绘的工业互联网企业网络安全威胁识别方法，其特征在于，威胁核验分析数据的获取步骤包括：获取异常运行信号生成的时间点并标记为第一分析时间点，统计第一分析时间点以后核验设备出现异常运行信号的总次数zc，以及每次异常运行信号出现时的持续时长cs，提取核验设备对应标记的类型权重、出现异常运行信号的总次数以及每次异常运行信号出现时持续时长的数值并通过公式计算获取核验设备对应的威胁状态系数wz；根据威胁状态系数对核验设备受到的威胁状态进行评估得到由轻度威胁信号和第二分析时间点、重度威胁信号和第三分析时间点构成的威胁核验分析数据。5.根据权利要求4所述的基于资产测绘的工业互联网企业网络安全威胁识别方法，其特征在于，威胁状态系数wz的计算公式为：；式中，w1、w2均为大于零的常量系数，且w1＞w2；w1+w2=1；根据威胁状态系数对核验设备受到的威胁状态进行评估时；若威胁状态系数小于威胁状态阈值，则生成轻度威胁信号并将对应的核验设备标记为一类设备，以及获取其对应的坐标位置以及实施一类告警提示，并将轻度威胁信号生成的时间点标记为第二分析时间点；若威胁状态系数不小于威胁状态阈值，则生成重度威胁信号并将对应的核验设备标记
为二类设备，以及获取其对应的坐标位置以及实施二类告警提示，并将重度威胁信号生成的时间点标记为第三分析时间点。6.根据权利要求1所述的基于资产测绘的工业互联网企业网络安全威胁识别方法，其特征在于，从网络安全威胁识别反应方面实施评估时，获取运行监测状态异常的核验设备对应的威胁核验分析数据并遍历，根据遍历获取的轻度威胁信号或者重度威胁信号分别获取第二分析时间点或者第三分析时间与第一分析时间点之间的识别反应时差sf；将识别反应时差与核验设备对应的类型权重通过公式sf=lq
×
(sf-sf0+α)计算获取识别反应度sf；式中，α为设备网络补偿因子；根据识别反应度对对应运行监测状态异常的核验设备的识别反应实施评估分类时，若识别反应度不大于零，则生成识别反应正常标签；若识别反应度大于零，则生成识别反应异常标签；识别反应度以及对应的识别反应正常标签或者识别反应异常标签构成识别反应评估数据。7.根据权利要求6所述的基于资产测绘的工业互联网企业网络安全威胁识别方法，其特征在于，从网络安全威胁处理反应方面实施评估时，获取运行监测状态异常的生产设备对应的威胁核验分析数据并遍历，根据遍历获取的轻度威胁信号或者重度威胁信号分别实施对应的一类网络安全威胁识别处理方案或者二类网络安全威胁识别处理方案，以及将对应方案开始处理的时间点标记为处理开始时间点；根据处理开始时间点获取与第二分析时间点或者第三分析时间之间的处理反应时差cf；将处理反应时差与核验设备对应的类型权重通过公式cf=lq
×
(cf/cf0+β)计算获取处理反应度cf；式中，β为处理网络补偿因子；根据处理反应度对对应运行监测状态异常的核验设备的处理反应实施评估分类时，若处理反应度不大于k，则生成处理反应正常标签；k为正整数；若处理反应度大于k，则生成处理反应异常标签；处理反应度以及对应的处理反应正常标签或者处理反应异常标签构成处理反应评估数据；识别反应评估数据和处理反应评估数据构成核验设备的评估结果。8.根据权利要求7所述的基于资产测绘的工业互联网企业网络安全威胁识别方法，其特征在于，根据评估结果对不同运行监测状态异常的核验设备后续实施的网络安全威胁识别及处理方案进行动态调整时，统计监测周期内所有核验设备对应的评估结果并遍历，统计遍历获取的识别反应异常标签总数和处理反应异常标签总数并标记为bzk，k=1，2；提取标记的识别反应异常标签总数和处理反应异常标签总数的数值并通过公式计算获取阶段网络安全威胁识别的识别处理反应系数sck，其中，sc1为识别反应系数，sc2为处理反应系数；根据识别处理反应系数对工业互联网企业的阶段网络安全威胁识别状态进行评估得到由第一识别反应指令或者第二识别反应指令以及第一处理反应指令或者第二处理反应指令构成的阶段识别评估数据。9.根据权利要求8所述的基于资产测绘的工业互联网企业网络安全威胁识别方法，其
特征在于，根据识别处理反应系数对工业互联网企业的阶段网络安全威胁识别状态进行评估时，将识别反应系数和处理反应系数分别与对应的识别反应阈值和处理反应阈值进行比对判断；若识别反应系数小于识别反应阈值以及处理反应系数小于处理反应阈值，则生成第一识别反应指令以及第一处理反应指令；若识别反应系数不小于识别反应阈值以及处理反应系数不小于处理反应阈值，则生成第二识别反应指令以及第二处理反应指令。10.根据权利要求8所述的基于资产测绘的工业互联网企业网络安全威胁识别方法，其特征在于，根据阶段识别评估数据中的第一识别反应指令以及第一处理反应指令维持现有的网络安全威胁识别方案以及网络安全威胁处理方案的实施，以及根据阶段识别评估数据中的第二识别反应指令以及第二处理反应指令更新调整网络安全威胁识别方案以及网络安全威胁处理方案的实施。

技术总结
本发明公开了基于资产测绘的工业互联网企业网络安全威胁识别方法，属于网络安全技术领域；在前期通过实时上行流量和实时下行流量来对对应生产设备的运行状态实施初步的监测分析以及分类，通过对前期监测分析的运行监测状态异常的核验设备实施威胁核验，将生产设备监测的各方面异常数据进行联立计算来对生产设备受到的威胁状态进行评估和标记，从网络安全威胁识别反应方面和从网络安全威胁处理反应方面实施评估；本发明用于解决现有方案中没有对识别获取的异常实施不同维度的分析评估，不能根据评估结果对后续实施的网络安全威胁识别及处理方案进行动态调整来提高网络安全威胁识别及处理整体效果的技术问题。威胁识别及处理整体效果的技术问题。威胁识别及处理整体效果的技术问题。


技术研发人员：刘红梅 陈晓光 刘洪波 王晟 赵帅 王其松 韩增辉 王海洋 崔晓雷 李超峰
受保护的技术使用者：中国移动通信集团山东有限公司
技术研发日：2023.08.07
技术公布日：2023/9/7