一种基于多属性的工业互联网安全态势评价系统的制作方法

1.本发明涉及互联网安全评价技术，具体涉及一种基于多属性的工业互联网安全态势评价系统。


背景技术：

2.工业互联网安全态势评价方面，多属性综合评价是一种参照多个评价指标对评价对象进行综合评价的方法。
3.目前工业互联网安全态势评价是基于评价者给出的主观偏好信息或评价者直接根据经验给出权值系数，其可以体现评价者的经验判断，属性的相对重要程度一般不会违反人们的常识，但其随意性较大，决策准确性和可靠性稍差。


技术实现要素：

4.本发明的目的是提供一种基于多属性的工业互联网安全态势评价系统，以解决现有技术中的上述不足之处。
5.为了实现上述目的，本发明提供如下技术方案：一种基于多属性的工业互联网安全态势评价系统，包括数据采集单元、数据存储单元、数据筛分单元、数据计算单元、数据判定单元、数据传输单元和中央控制处理单元；
6.数据采集单元，用于分别对主机硬件信息及软件信息进行扫描，并对扫描的数据进行采集；
7.数据存储单元，用于分别对数据采集单元采集到的数据、数据计算单元计算得出的数据进行存储备份；
8.数据筛分单元，用于对储存的数据进行分类识别、并去除无用的信息；
9.数据计算单元，用于计算分类后数据的风险值；
10.数据判定单元，用于对风险值进行判定、并划分风险等级；
11.数据传输单元，用于对数据采集单元采集到的数据进行传输；
12.中央控制处理单元，用于控制数据采集单元开始数据采集工作，且在接收数据筛分单元的数据后经处理后发给数据计算单元进行数据计算。
13.进一步地，所述数据采集单元的输出端与数据传输单元输入端连接，所述数据传输单元的输出端分别与数据存储单元的输入端和数据筛分单元的输入端连接，所述数据存储单元的输出端与中央控制处理单元的输入端连接，所述数据筛分单元的输出端与中央控制处理单元的输入端连接，所述中央控制处理单元的输出端分别与数据采集单元的输入端和数据计算单元的输入端连接，所述数据计算单元的输出端分别与数据判定单元的输入端和数据存储单元的输入端连接，所述数据判定单元的输出端与中央控制处理单元的输入端连接。
14.进一步地，所述数据采集单元包括第一输入模块、硬件信息扫描模块、软件信息扫描模块、扫描算法模型和第一输出模块，所述第一输入模块的输入端与中央控制处理单元
的输出端连接，所述第一输入模块的输出端分别与硬件信息扫描模块和软件信息扫描模块的输入端连接，所述硬件信息扫描模块和软件信息扫描模块的输出端均与扫描算法模型的输入端连接，所述扫描算法模型的输出端与第一输出模块的输入端连接，所述第一输出模块的输出端与数据传输单元的输入端连接。
15.进一步地，所述扫描算法模型采用算法步骤如下：
16.s1、定义阈值，以交互的方式由用户定义阈值；
17.s2、扫描数据库，用固定大小为w的窗口扫描数据库，并根据用户定义的阈值对数据进行过滤处理；for(list＝0；list《lastone；list++)//从第一条记录扫描到数据库结束；for(j＝0；j《w；j++)//用每一个新进入窗口的记录与前面的w-1个记录进行比较；{strfirst＝dataset(list+j)；strnew＝dataset(list+w)；
18.s3、过滤处理，通过对两条记录的比较看是否满足判断条件，进行过滤处理；
19.if(判断条件1)//判断条件1为判断两条记录是否来自同一个数据源，如果是则不进行比较跳到下一记录，如果不是则对判断条件2进行判断；
20.if(判断条件2)//判断条件1成立时:判断条件2为判断两条记录的长度和字符的差异度是否大于用户定义的阈值，如果大于则跳到下一记录，否则用q-gram算法对两条记录进行比较，看是否符合相似条件；
21.q-gram(strw，strtmp)；用q-gram算法比较两条记录，判断是否符合相似条件，如果相似则添加到相似队列，否则两条记录比较完毕；
22.新记录与窗口中的前w-1个记录比较结束，窗口向下移动。
23.进一步地，所述数据筛分单元包括第二输入模块、数据资产识别模块、脆弱性识别模块、威胁性识别模块和无用信息识别模块和第二输出模块，所述第二输入模块的输入端与数据传输单元的输出端连接，所述第二输入模块的输出端依次与无用信息识别模块、数据资产识别模块、脆弱性识别模块和威胁性识别模块的输入端连接，所述无用信息识别模块、数据资产识别模块、脆弱性识别模块和威胁性识别模块的输出端均与第二输出模块的输入端连接，所述第二输出模块的输出端与中央控制处理单元的输入端连接。
24.进一步地，所述脆弱性识别模块由四个部分组成:
25.第一，单点脆弱性计算：单点脆弱性的计算是整个层次的计算基础，因此，单点脆弱性的计算的准确性决定着其他层次的计算的准确性，单点脆弱性根据cvss(通用漏洞评价体系)进行赋值计算，cvss(通用漏洞评价体系)是由niac开发，first维护的一个开放并且能够被产品厂商免费采用的标准，它将软件漏洞分为基本度量，时间度量，环境度量，cvss的计算是通过这三个度量维度的“滚动叠代”来完成，具体计算公式在cvss中已有描述，在此不做赘述，对比其他脆弱性评价标准，cvss的优势在于提出了一种通用脆弱性等级评定的框架，在时间标准和环境标准上可以由用户自评，适用于下一代电信网，因此，在此做为单点脆弱性的计算依据。最后依照cvss的规定，单点脆弱性的值域为[0，3]；
[0026]
第二，主机脆弱性计算：主机脆弱性计算根据单点脆弱性计算完成，具体计算公式如下：
[0027][0028]
v(h)＝log2vs
ꢀꢀ
(2)，其中，vs表示主机上的单点脆弱性的统计和，v(h)表示主机
脆弱性计算结果，即vs的以2为底的对数值。这样做主要是对主机脆弱性的第一步计算结果进行值域约束，即将第一步计算结果约束到[0，4]的值域，如果vs的值大于16的话，那么认为v(h)为4，否则按照上述公式(2)计算；
[0029]
第三，业务脆弱性计算；
[0030]
根据脆弱性评估模型，业务脆弱性计算根据主机脆弱性计算结果，结合主机在业务中的重要性来完成，具体计算公式如下：
[0031][0032]
其中，v(hi)表示与该业务相关的主机脆弱性计算结果，与该业务相关主要体现在三个方面，分别是主机为业务部署性主机，即业务部署在该主机上，主机为流程性主机，即业务的流程性交互需要通过该类型主机完成，例如软交换设备等；主机为传输性主机，即业务的信令交互需要该类型主机完成，θi表示主机在业务中的权重调整系数。通过对主机重要性bi归一化处理获得，bi表示主机在业务中的重要性，主机重要性取决于主机类型，主机中数据的重要
[0033][0033]
其中，v表示网络脆弱性计算结果，v(s)表示网络中某个业务的脆弱性计算结果，φi表示某个业务在网络中的权重调整系数，通过对业务在网络中的重要性wi归一化处理计算而得，wi表示某个业务在网络中的重要性，类似主机重要性一样，业务在网络中的重要性同样取决于很多因，在此，根据业务被使用的能力来计算业务在网络中的重要性，即wi表示业务一天内被使用的平均次数。
[0034]
进一步地，所述数据计算单元包括第三输入模块、可能性计算模型、损失计算模型、风险值计算模型和第三输出模块，所述第三输入模块的输入端与中央控制处理单元的输出端连接，所述第三输出模块的输出端分别与可能性计算模型和损失计算模型的输入端连接，所述可能性计算模型和损失计算模型的输出端均与风险值计算模型的输入端连接，所述风险值计算模型的输出端与第三输出模块的输入端连接，所述第三输出模块的输出端与数据判定单元的输入端连接。
[0035]
进一步地，所述可能性计算模型计算公式如下：安全事件发生的可能性＝l(t，v)；
[0036]
损失计算模型计算公式如下：安全事件发生后的损失＝f(ia，va)；
[0037]
风险值计算模型计算公式如下：风险值＝r(l(t，v)，f(ia，va))；其中，r表示安全风险计算函数，a表示资产，t表示威胁，v表示网络脆弱性，ia表示资产价值，va表示脆弱性的严重程度，l表示安全事件发生的可能性，f表示安全事件发生后的损失。
[0038]
与现有技术相比，本发明提供的一种基于多属性的工业互联网安全态势评价系统，能够准确判断出互联网安全等级，进而能够对工业互联网安全态势进行准确评价，从而为后续风险处置提高了很高的参考价值。
附图说明
[0039]
为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。
[0040]
图1为本发明的一种基于多属性的工业互联网安全态势评价系统原理框图；
[0041]
图2为本发明的数据采集单元原理框图；
[0042]
图3为本发明的数据筛分单元原理框图；
[0043]
图4为本发明的数据计算单元原理框图。
[0044]
附图标记说明：
[0045]
1、数据采集单元；11、硬件信息扫描模块；12、软件信息扫描模块；13、扫描算法模型；2、数据存储单元；3、数据筛分单元；31、数据资产识别模块；32、脆弱性识别模块；33、威胁性识别模块；34、无用信息识别模块；4、数据计算单元；41、可能性计算模型；42、损失计算模型；43、风险值计算模型；5、数据判定单元；6、数据传输单元；7、中央控制处理单元。
具体实施方式
[0046]
为了使本领域的技术人员更好地理解本发明的技术方案，下面将结合附图对本发明作进一步的详细介绍。
[0047]
请参阅图1-4，一种基于多属性的工业互联网安全态势评价系统，包括数据采集单元1、数据存储单元2、数据筛分单元3、数据计算单元4、数据判定单元5、数据传输单元6和中央控制处理单元7；数据采集单元1，用于分别对主机硬件信息及软件信息进行扫描，并对扫描的数据进行采集；数据存储单元2，用于分别对数据采集单元1采集到的数据、数据计算单元4计算得出的数据进行存储备份；数据筛分单元3，用于对储存的数据进行分类识别、并去除无用的信息；数据计算单元4，用于计算分类后数据的风险值；数据判定单元5，用于对风险值进行判定、并划分风险等级；数据传输单元6，用于对数据采集单元1采集到的数据进行传输；中央控制处理单元7，用于控制数据采集单元1开始数据采集工作，且在接收数据筛分单元3的数据后经处理后发给数据计算单元4进行数据计算。
[0048]
数据采集单元1的输出端与数据传输单元6输入端连接，数据传输单元6的输出端分别与数据存储单元2的输入端和数据筛分单元3的输入端连接，数据存储单元2的输出端与中央控制处理单元7的输入端连接，数据筛分单元3的输出端与中央控制处理单元7的输入端连接，中央控制处理单元7的输出端分别与数据采集单元1的输入端和数据计算单元4的输入端连接，数据计算单元4的输出端分别与数据判定单元5的输入端和数据存储单元2的输入端连接，数据判定单元5的输出端与中央控制处理单元7的输入端连接。
[0049]
数据采集单元1包括第一输入模块、硬件信息扫描模块11、软件信息扫描模块12、扫描算法模型13和第一输出模块，第一输入模块的输入端与中央控制处理单元7的输出端连接，第一输入模块的输出端分别与硬件信息扫描模块11和软件信息扫描模块12的输入端连接，硬件信息扫描模块11和软件信息扫描模块12的输出端均与扫描算法模型13的输入端连接，扫描算法模型13的输出端与第一输出模块的输入端连接，第一输出模块的输出端与数据传输单元6的输入端连接。
[0050]
扫描算法模型13采用算法步骤如下：
[0051]
s1、定义阈值，以交互的方式由用户定义阈值；
[0052]
s2、扫描数据库，用固定大小为w的窗口扫描数据库，并根据用户定义的阈值对数据进行过滤处理；for(list＝0；list《lastone；list++)//从第一条记录扫描到数据库结束；for(j＝0；j《w；j++)//用每一个新进入窗口的记录与前面的w-1个记录进行比较；{strfirst＝dataset(list+j)；strnew＝dataset(list+w)；
[0053]
s3、过滤处理，通过对两条记录的比较看是否满足判断条件，进行过滤处理；
[0054]
if(判断条件1)//判断条件1为判断两条记录是否来自同一个数据源，如果是则不进行比较跳到下一记录，如果不是则对判断条件2进行判断；
[0055]
if(判断条件2)//判断条件1成立时:判断条件2为判断两条记录的长度和字符的差异度是否大于用户定义的阈值，如果大于则跳到下一记录，否则用q-gram算法对两条记录进行比较，看是否符合相似条件；
[0056]
q-gram(strw，strtmp)；用q-gram算法比较两条记录，判断是否符合相似条件，如果相似则添加到相似队列，否则两条记录比较完毕；
[0057]
新记录与窗口中的前w-1个记录比较结束，窗口向下移动。
[0058]
数据筛分单元3包括第二输入模块、数据资产识别模块31、脆弱性识别模块32、威胁性识别模块33和无用信息识别模块34和第二输出模块，第二输入模块的输入端与数据传输单元6的输出端连接，第二输入模块的输出端依次与无用信息识别模块34、数据资产识别模块31、脆弱性识别模块32和威胁性识别模块33的输入端连接，无用信息识别模块34、数据资产识别模块31、脆弱性识别模块32和威胁性识别模块33的输出端均与第二输出模块的输入端连接，第二输出模块的输出端与中央控制处理单元7的输入端连接。
[0059]
脆弱性识别模块由四个部分组成:
[0060]
第一，单点脆弱性计算：单点脆弱性的计算是整个层次的计算基础，因此，单点脆弱性的计算的准确性决定着其他层次的计算的准确性，单点脆弱性根据cvss(通用漏洞评价体系)进行赋值计算，cvss(通用漏洞评价体系)是由niac开发，first维护的一个开放并且能够被产品厂商免费采用的标准，它将软件漏洞分为基本度量，时间度量，环境度量，cvss的计算是通过这三个度量维度的“滚动叠代”来完成，具体计算公式在cvss中已有描述，在此不做赘述，对比其他脆弱性评价标准，cvss的优势在于提出了一种通用脆弱性等级评定的框架，在时间标准和环境标准上可以由用户自评，适用于下一代电信网，因此，在此做为单点脆弱性的计算依据。最后依照cvss的规定，单点脆弱性的值域为[0，3]；
[0061]
第二，主机脆弱性计算：主机脆弱性计算根据单点脆弱性计算完成，具体计算公式如下：
[0062][0063]
v(h)＝log2vs
ꢀꢀ
(2)，其中，vs表示主机上的单点脆弱性的统计和，v(h)表示主机脆弱性计算结果，即vs的以2为底的对数值。这样做主要是对主机脆弱性的第一步计算结果进行值域约束，即将第一步计算结果约束到[0，4]的值域，如果vs的值大于16的话，那么认为v(h)为4，否则按照上述公式(2)计算；
[0064]
第三，业务脆弱性计算；
[0065]
根据脆弱性评估模型，业务脆弱性计算根据主机脆弱性计算结果，结合主机在业
务中的重要性来完成，具体计算公式如下：
[0066][0067]
其中，v(hi)表示与该业务相关的主机脆弱性计算结果，与该业务相关主要体现在三个方面，分别是主机为业务部署性主机，即业务部署在该主机上，主机为流程性主机，即业务的流程性交互需要通过该类型主机完成，例如软交换设备等；主机为传输性主机，即业务的信令交互需要该类型主机完成，θi表示主机在业务中的权重调整系数。通过对主机重要性bi归一化处理获得，bi表示主机在业务中的重要性，主机重要性取决于主机类型，主机中数据的重要性等许多因素，为了保证量化计算的准确性和简洁性，根据上文描述，结合专家经验，将重要性设定为固定值，v(s)表示业务脆弱性评估计算结果；
[0068]
第四，网络脆弱性计算：网络脆弱性计算根据业务脆弱性计算结果，结合业务在网络中的重要性计算完成，具体公式如下：
[0069][0070]
其中，v表示网络脆弱性计算结果，v(s)表示网络中某个业务的脆弱性计算结果，φi表示某个业务在网络中的权重调整系数，通过对业务在网络中的重要性wi归一化处理计算而得，wi表示某个业务在网络中的重要性，类似主机重要性一样，业务在网络中的重要性同样取决于很多因，在此，根据业务被使用的能力来计算业务在网络中的重要性，即wi表示业务一天内被使用的平均次数。
[0071]
数据计算单元4包括第三输入模块、可能性计算模型41、损失计算模型42、风险值计算模型43和第三输出模块，第三输入模块的输入端与中央控制处理单元7的输出端连接，第三输出模块的输出端分别与可能性计算模型41和损失计算模型42的输入端连接，可能性计算模型41和损失计算模型42的输出端均与风险值计算模型43的输入端连接，风险值计算模型43的输出端与第三输出模块的输入端连接，第三输出模块的输出端与数据判定单元5的输入端连接。
[0072]
可能性计算模型41计算公式如下：安全事件发生的可能性＝l(t，v)；
[0073]
损失计算模型42计算公式如下：安全事件发生后的损失＝f(ia，va)；
[0074]
风险值计算模型43计算公式如下：风险值＝r(l(t，v)，f(ia，va))；
[0075]
其中，r表示安全风险计算函数，t表示威胁，v表示网络脆弱性，ia表示资产价值，va表示脆弱性的严重程度，l表示安全事件发生的可能性，f表示安全事件发生后的损失；
[0076]
风险值计算模型43通过相乘法或矩阵法得出最终的风险值，基于矩阵法计算风险值的过程描述如下：假设资产a1的风险值计算输入信息，具体如下：资产价值：a1＝2，威胁发生频率：t1＝2，脆弱性严重程度：脆弱性v1＝2。
[0077]
使用矩阵法计算的过程，具体如下：步骤一，计算安全事件发生的可能性，构建安全事件发生可能性矩阵，如下表所示
[0078]
安全事件发生可能性矩阵，根据威胁发生频率值和脆弱性严重程度值在矩阵中进行对照，确定安全事件发生的可能性值＝6；
[0079]
步骤二，安全事件发生可能性等级划分，建立安全事件发生可能性等级划分表，对计算得到的安全事件发生可能性进行等级划分，如下表所示，对照确定安全事件发生可能性等级值＝2
[0080][0081]
安全事件发生可能性等级划分；
[0082]
步骤三，计算安全事件的损失，构建安全事件损失矩阵，如下表所示
[0083]
安全事件损失矩阵，根据资产价值和脆弱性严重程度值在矩阵中进行对照，确定安全事件损失值＝5；
[0084]
步骤四，划分安全事件损失等级，建立安全事件损失等级划分表，对计算得到的安全事件损失值进行等级划分，如下表所示，
[0085]
对照确定安全事件损失等级值＝1；
[0086]
安全事件损失等级划分；
[0087]
步骤五，计算风险值，首先构建风险矩阵，如下表所示，然后，根据上面已经计算出的结果，即安全事件发生可能性等级值＝2，安全事件损失等级值＝1，对照风险矩阵表查询，确定安全事件风险值＝6；
[0088][0089]
风险矩阵；
[0090]
步骤六，结果判定，首先建立风险等级划分表，如下表所示。然后，对照风险等级划分表查询，确定风险等级为2
[0091][0092]
风险等级划分；
[0093]
步骤七，输出，根据计算得出资产a1的风险值＝6，风险等级为2；
[0094]
其中，风险等级越高，风险也就越高，如下示例表：
[0095][0096]
工作原理：使用时，首先通过中央控制处理单元7指令数据采集单元1中的硬件信息扫描模块11和软件信息扫描模块12对主机的所运行的源ip地址、目的ip地址、协议号、源端口、目的端口、服务类型、接口索引、sshd、sql、http等进行逐一扫描，硬件信息扫描模块11和软件信息扫描模块12通过扫描算法模型13减少了相同数据匹配次数，进而有效提高了数据扫描的速度，扫描算法模型13通过第一输出模块将扫描后的数据传输给数据传输单元6，数据传输单元6将得到的原始数据先传输给数据存储单元2进行备份，再传输给数据筛分单元3中的第二输入模块，第二输入模块将原始数据依次通过无用信息识别模块34、数据资产识别模块31、脆弱性识别模块32和威胁性识别模块33进行分类识别，无用信息识别模块34、数据资产识别模块31、脆弱性识别模块32和威胁性识别模块33将识别到的信息通过第二输出模块传输给中央控制处理单元7，中央控制处理单元7将无用信息识别模块34去除后，将剩下的数据资产识别模块31、脆弱性识别模块32和威胁性识别模块33识别的信息传输给数据计算单元4中的第三输入模块，第三输入模块分别数据资产识别模块31、脆弱性识别模块32和威胁性识别模块33的数据信息传输给可能性计算模型41和损失计算模型42进行计算，得出各自的数值后传递给风险值计算模型43，风险值计算模型43通过相乘法或矩阵法得出最终的风险值，再通过第三输出模块将风险值传递给数据判定单元5，数据判定单元5根据风险值得出最终的风险等级，从而达到对工业互联网安全态势准确评价的目的。
[0097]
以上只通过说明的方式描述了本发明的某些示范性实施例，毋庸置疑，对于本领域的普通技术人员，在不偏离本发明的精神和范围的情况下，可以用各种不同的方式对所描述的实施例进行修正。因此，上述附图和描述在本质上是说明性的，不应理解为对本发明权利要求保护范围的限制。

技术特征：
1.一种基于多属性的工业互联网安全态势评价系统，其特征在于，包括数据采集单元(1)、数据存储单元(2)、数据筛分单元(3)、数据计算单元(4)、数据判定单元(5)、数据传输单元(6)和中央控制处理单元(7)；数据采集单元(1)，用于分别对主机硬件信息及软件信息进行扫描，并对扫描的数据进行采集；数据存储单元(2)，用于分别对数据采集单元(1)采集到的数据、数据计算单元(4)计算得出的数据进行存储备份；数据筛分单元(3)，用于对储存的数据进行分类识别、并去除无用的信息；数据计算单元(4)，用于计算分类后数据的风险值；数据判定单元(5)，用于对风险值进行判定、并划分风险等级；数据传输单元(6)，用于对数据采集单元(1)采集到的数据进行传输；中央控制处理单元(7)，用于控制数据采集单元(1)开始数据采集工作，且在接收数据筛分单元(3)的数据后经处理后发给数据计算单元(4)进行数据计算。2.根据权利要求1所述的一种基于多属性的工业互联网安全态势评价系统，其特征在于，所述数据采集单元(1)的输出端与数据传输单元(6)输入端连接，所述数据传输单元(6)的输出端分别与数据存储单元(2)的输入端和数据筛分单元(3)的输入端连接，所述数据存储单元(2)的输出端与中央控制处理单元(7)的输入端连接，所述数据筛分单元(3)的输出端与中央控制处理单元(7)的输入端连接，所述中央控制处理单元(7)的输出端分别与数据采集单元(1)的输入端和数据计算单元(4)的输入端连接，所述数据计算单元(4)的输出端分别与数据判定单元(5)的输入端和数据存储单元(2)的输入端连接，所述数据判定单元(5)的输出端与中央控制处理单元(7)的输入端连接。3.根据权利要求1所述的一种基于多属性的工业互联网安全态势评价系统，其特征在于，所述数据采集单元(1)包括第一输入模块、硬件信息扫描模块(11)、软件信息扫描模块(12)、扫描算法模型(13)和第一输出模块，所述第一输入模块的输入端与中央控制处理单元(7)的输出端连接，所述第一输入模块的输出端分别与硬件信息扫描模块(11)和软件信息扫描模块(12)的输入端连接，所述硬件信息扫描模块(11)和软件信息扫描模块(12)的输出端均与扫描算法模型(13)的输入端连接，所述扫描算法模型(13)的输出端与第一输出模块的输入端连接，所述第一输出模块的输出端与数据传输单元(6)的输入端连接。4.根据权利要求3所述的一种基于多属性的工业互联网安全态势评价系统，其特征在于，所述扫描算法模型(13)采用算法步骤如下：s1、定义阈值，以交互的方式由用户定义阈值；s2、扫描数据库，用固定大小为w的窗口扫描数据库，并根据用户定义的阈值对数据进行过滤处理；for(list＝0；list<lastone；list++)//从第一条记录扫描到数据库结束；for(j＝0；j<w；j++)//用每一个新进入窗口的记录与前面的w-1个记录进行比较；{strfirst＝dataset(list+j)；strnew＝dataset(list+w)；s3、过滤处理，通过对两条记录的比较看是否满足判断条件，进行过滤处理；if(判断条件1)//判断条件1为判断两条记录是否来自同一个数据源，如果是则不进行比较跳到下一记录，如果不是则对判断条件2进行判断；if(判断条件2)//判断条件1成立时:判断条件2为判断两条记录的长度和字符的差异
度是否大于用户定义的阈值，如果大于则跳到下一记录，否则用q-gram算法对两条记录进行比较，看是否符合相似条件；q-gram(strw，strtmp)；用q-gram算法比较两条记录，判断是否符合相似条件，如果相似则添加到相似队列，否则两条记录比较完毕；新记录与窗口中的前w-1个记录比较结束，窗口向下移动。5.根据权利要求1所述的一种基于多属性的工业互联网安全态势评价系统，其特征在于，所述数据筛分单元(3)包括第二输入模块、数据资产识别模块(31)、脆弱性识别模块(32)、威胁性识别模块(33)和无用信息识别模块(34)和第二输出模块，所述第二输入模块的输入端与数据传输单元(6)的输出端连接，所述第二输入模块的输出端依次与无用信息识别模块(34)、数据资产识别模块(31)、脆弱性识别模块(32)和威胁性识别模块(33)的输入端连接，所述无用信息识别模块(34)、数据资产识别模块(31)、脆弱性识别模块(32)和威胁性识别模块(33)的输出端均与第二输出模块的输入端连接，所述第二输出模块的输出端与中央控制处理单元(7)的输入端连接。6.根据权利要求5所述的一种基于多属性的工业互联网安全态势评价系统，其特征在于，所述脆弱性识别模块由四个部分组成:第一，单点脆弱性计算：单点脆弱性的计算是整个层次的计算基础，因此，单点脆弱性的计算的准确性决定着其他层次的计算的准确性，单点脆弱性根据cvss(通用漏洞评价体系)进行赋值计算，cvss(通用漏洞评价体系)是由niac开发，first维护的一个开放并且能够被产品厂商免费采用的标准，它将软件漏洞分为基本度量，时间度量，环境度量，cvss的计算是通过这三个度量维度的“滚动叠代”来完成，具体计算公式在cvss中已有描述，在此不做赘述，对比其他脆弱性评价标准，cvss的优势在于提出了一种通用脆弱性等级评定的框架，在时间标准和环境标准上可以由用户自评，适用于下一代电信网，因此，在此做为单点脆弱性的计算依据。最后依照cvss的规定，单点脆弱性的值域为[0，3]；第二，主机脆弱性计算：主机脆弱性计算根据单点脆弱性计算完成，具体计算公式如下：v(h)＝log2vs
ꢀꢀꢀꢀ
(2)其中，vs表示主机上的单点脆弱性的统计和，v(h)表示主机脆弱性计算结果，即vs的以2为底的对数值。这样做主要是对主机脆弱性的第一步计算结果进行值域约束，即将第一步计算结果约束到[0，4]的值域，如果vs的值大于16的话，那么认为v(h)为4，否则按照上述公式(2)计算；第三，业务脆弱性计算；根据脆弱性评估模型，业务脆弱性计算根据主机脆弱性计算结果，结合主机在业务中的重要性来完成，具体计算公式如下：的重要性来完成，具体计算公式如下：其中，v(hi)表示与该业务相关的主机脆弱性计算结果，与该业务相关主要体现在三个方面，分别是主机为业务部署性主机，即业务部
署在该主机上，主机为流程性主机，即业务的流程性交互需要通过该类型主机完成，例如软交换设备等；主机为传输性主机，即业务的信令交互需要该类型主机完成，θi表示主机在业务中的权重调整系数。通过对主机重要性bi归一化处理获得，bi表示主机在业务中的重要性，主机重要性取决于主机类型，主机中数据的重要性等许多因素，为了保证量化计算的准确性和简洁性，根据上文描述，结合专家经验，将重要性设定为固定值，v(s)表示业务脆弱性评估计算结果；第四，网络脆弱性计算：网络脆弱性计算根据业务脆弱性计算结果，结合业务在网络中的重要性计算完成，具体公式如下：的重要性计算完成，具体公式如下：其中，v表示网络脆弱性计算结果，v(s)表示网络中某个业务的脆弱性计算结果，φi表示某个业务在网络中的权重调整系数，通过对业务在网络中的重要性wi归一化处理计算而得，wi表示某个业务在网络中的重要性，类似主机重要性一样，业务在网络中的重要性同样取决于很多因，在此，根据业务被使用的能力来计算业务在网络中的重要性，即wi表示业务一天内被使用的平均次数。7.根据权利要求1所述的一种基于多属性的工业互联网安全态势评价系统，其特征在于，所述数据计算单元(4)包括第三输入模块、可能性计算模型(41)、损失计算模型(42)、风险值计算模型(43)和第三输出模块，所述第三输入模块的输入端与中央控制处理单元(7)的输出端连接，所述第三输出模块的输出端分别与可能性计算模型(41)和损失计算模型(42)的输入端连接，所述可能性计算模型(41)和损失计算模型(42)的输出端均与风险值计算模型(43)的输入端连接，所述风险值计算模型(43)的输出端与第三输出模块的输入端连接，所述第三输出模块的输出端与数据判定单元(5)的输入端连接。8.根据权利要求7所述的一种基于多属性的工业互联网安全态势评价系统，其特征在于，所述可能性计算模型(41)计算公式如下：安全事件发生的可能性＝l(t，v)；损失计算模型(42)计算公式如下：安全事件发生后的损失＝f(ia，va)；风险值计算模型(43)计算公式如下：风险值＝r(l(t，v)，f(ia，va))；其中，r表示安全风险计算函数，a表示资产，t表示威胁，v表示网络脆弱性，ia表示资产价值，va表示脆弱性的严重程度，l表示安全事件发生的可能性，f表示安全事件发生后的损失。

技术总结
本发明公开了一种基于多属性的工业互联网安全态势评价系统，涉及互联网安全评价领域，包括数据采集单元、数据存储单元、数据筛分单元、数据计算单元、数据判定单元、数据传输单元和中央控制处理单元；数据采集单元，用于分别对主机硬件信息及软件信息进行扫描，并对扫描的数据进行采集；数据存储单元，用于分别对数据采集单元采集到的数据、数据计算单元计算得出的数据进行存储备份；数据筛分单元，用于对储存的数据进行分类识别、并去除无用的信息；数据计算单元，用于计算分类后数据的风险值；该基于多属性的工业互联网安全态势评价系统能够准确判断出互联网安全等级，进而能够对工业互联网安全态势进行准确评价。工业互联网安全态势进行准确评价。工业互联网安全态势进行准确评价。


技术研发人员：郑忠斌 凌颖 黄海艇 杨俊 彭新 阮大治 孙学伟 张楠笛 冯源 张旻 冯益民
受保护的技术使用者：工业互联网创新中心（上海）有限公司
技术研发日：2022.10.25
技术公布日：2023/9/23