一种面向电力系统核心业务的深入攻击识别方法及装置

摘要

本发明公开了一种面向电力系统核心业务的深入攻击识别方法及装置，本方法通过对电力系统内相关核心业务系统业务逻辑进行深入式攻击识别，定位不同业务场景下相关业务数据的实际运行情况，识别各个环节下可能存在的攻击行为，并对资产与漏洞情报进行关联分析，生成基于资产的漏洞预警，并上传漏洞预警，基于漏洞情报的信息可以动态、实时提供基于资产的漏洞预警，通过漏洞预警可实现攻击行为的深入式识别，能有效应对常规和非常规攻击手段，快速处置基于注入漏洞或溢出漏洞等风险漏洞的攻击手段，提高系统的安全性。

说明书

技术领域

本发明涉及计算机技术领域，具体涉及一种面向电力系统核心业务的深入攻击识别方法及装置。

背景技术

随着互联网的普及，万物互联已成趋势；网络安全问题已成为不可忽视的问题；而网络安全隐患的主要原因是安全漏洞的存在；目前主要检测漏洞的方式有漏洞扫描器扫描、人工渗透测试；漏洞扫描器虽然能扫描出绝大部分的已知漏洞，但是由于扫描器的扫描能力不一，存在的误报率也不一样；而人工渗透只能解决有限的漏洞检测；漏洞管理涵盖了资产发现、漏洞扫描、漏洞评估、漏洞修复、补丁管理、合规检查等全过程；因此，如果漏洞在一定数量级的情况下，完成对漏洞管理的过程是一个不可能完成的任务。

信息系统没有绝对的安全，但目前的电力系统核心业务的漏洞管理存在一定的脆弱性，容易受到攻击，影响安全性。

发明内容

本发明的目的在于克服上述现有技术的不足，提供一种面向电力系统核心业务的深入攻击识别方法及装置，以提高安全性。

为实现上述目的，本发明的技术方案是：

第一方面，本发明实施例提供了面向电力系统核心业务的深入攻击识别方法，所述方法包括

输入电力系统资产管理核心业务，所述资产管理核心业务包括资产发现，所述述资产发现支持通过漏洞扫描进行资产的自动发现，将扫描到的资产自动导入，以对资产管理核心业务的业务逻辑进行深入式攻击识别，定位不同业务场景下相关核心业务数据的实际运行情况；

触发漏洞情报更新和漏洞信息更新，识别各个环节下可能存在的攻击行为，并对资产与漏洞情报进行关联分析，生成基于资产的漏洞预警威胁情报，并上传至漏洞预警管理模块；

对指定时间段内所有资产生成安全分析报告，以应对常规和非常规攻击手段，并处置风险漏洞的攻击手段。

进一步地，所述漏洞情报更新通过漏洞情报管理模块来实现，所述漏洞情报管理模块采集漏洞情报，将信息保存到本地漏洞库，然后和资产进行关联。

进一步地，所述漏洞情报管理模块采集漏洞情报，将信息保存到本地漏洞库，然后和资产进行关联包括：

收到公网漏洞情报；

当该漏洞不存在漏洞库中时，则添加该漏洞到漏洞库中，并根据漏洞的影响受体、版本号与资产比对是否匹配，若匹配则判断该漏洞是否在白名单中，若不存在则关联资产并添加到漏洞跟踪表；

当该漏洞存在漏洞库中时，则判断是否需要更新该漏洞，若需要则更新该漏洞至漏洞库中，然后根据漏洞的影响受体、版本号与资产比对是否匹配，若匹配则判断该漏洞是否在白名单中，若不存在则关联资产并添加到漏洞跟踪表。

进一步地，所述漏洞信息更新通过漏洞管理模块来实现，所述漏洞管理模块包括漏洞信息库，用于持久存储系统运行中产生的资产漏洞信息。

进一步地，所述漏洞信息库的来源包括人工录入，扫描结果导入及预警系统输入；其中，人工录入、扫描结果导入需要经标准化处理，并验证后进入漏洞信息库；预警系统输入的漏洞信息，直接进入漏洞信息库。

进一步地，所述资产漏洞信息的更新通过如下方式：

下发基本漏洞采集任务，采集主机、WEB漏洞；

判断所采集到的漏洞是否在白名单中，若不在，则将漏洞添加到漏洞跟踪表，并和漏洞跟踪表中历史数据比对，判断对应资产是否有减少漏洞，若是，则更新历史漏斗状态为已整改。

当判断所采集到漏洞是在白名单中时，还包括：

判断漏洞库中是否存在该漏洞；

若否，则添加该漏洞到漏洞库中；

若是，则判断是否需要更新该漏洞，若是，则更新该漏洞至漏洞库中。

进一步地，所述安全分析报告包括资产中各危险等级漏洞的数量、已修复漏洞数量、未修复漏洞数量、可忽略漏洞数量，资产评估状态，提供统计展示视图，并生成统计报表。

进一步地，所述资产管理核心业务还包括资产信息与标签录入，包括资产名称、资产IP、资产编号、资产类型、操作系统、所属单位、所属部门、地理位置、上线时间、责任人、厂商、购置日期。

第二方面，本发明实施例提供了一种面向电力系统核心业务的深入攻击识别装置，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上任一所述方法的步骤。

第三方面，本发明实施例提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现如上任一所述方法的步骤。

本发明与现有技术相比，其有益效果在于：

本方法通过对电力系统内相关核心业务系统业务逻辑进行深入式攻击识别，定位不同业务场景下相关业务数据的实际运行情况，识别各个环节下可能存在的攻击行为，并对资产与漏洞情报进行关联分析，生成基于资产的漏洞预警，并上传漏洞预警，基于漏洞情报的信息可以动态、实时提供基于资产的漏洞预警，通过漏洞预警可实现攻击行为的深入式识别，能有效应对常规和非常规攻击手段，快速处置基于注入漏洞或溢出漏洞等风险漏洞的攻击手段，提高系统的安全性。

附图说明

图1为本发明实施例1提供的面向电力系统核心业务的深入攻击识别方法的逻辑图；

图2为漏洞情报更新流程图；

图3为漏洞信息更新流程图；

图4为本发明实施例2提供的面向电力系统核心业务的深入攻击识别装置的组成示意图。

具体实施方式

下面结合附图和实施例对本发明的技术方案做进一步的说明。

实施例1：

参阅图1所示，本实施例提供的面向电力系统核心业务的深入攻击识别方法包括：

输入电力系统资产管理核心业务，所述资产管理核心业务包括资产发现，所述述资产发现支持通过漏洞扫描进行资产的自动发现，将扫描到的资产自动导入，以对资产管理核心业务的业务逻辑进行深入式攻击识别，定位不同业务场景下相关核心业务数据的实际运行情况；

触发漏洞情报更新和漏洞信息更新，识别各个环节下可能存在的攻击行为，并对资产与漏洞情报进行关联分析，生成基于资产的漏洞预警威胁情报，并上传至漏洞预警管理模块；

对指定时间段内所有资产生成安全分析报告，以应对常规和非常规攻击手段，并处置风险漏洞的攻击手段。

本方法通过对电力系统内相关核心业务系统业务逻辑进行深入式攻击识别，定位不同业务场景下相关业务数据的实际运行情况，识别各个环节下可能存在的攻击行为，并对资产与漏洞情报进行关联分析，生成基于资产的漏洞预警，并上传漏洞预警，基于漏洞情报的信息可以动态、实时提供基于资产的漏洞预警，通过漏洞预警可实现攻击行为的深入式识别，能有效应对常规和非常规攻击手段，快速处置基于注入漏洞或溢出漏洞等风险漏洞的攻击手段，提高系统的安全性。

在本实施例中，上述的漏洞预警管理模块依据获取到的最新威胁情报，结合系统所辖资产信息，精确分析威胁情报对资产的影响程度或危害级别(产生资产预警记录项)，并实时地向系统发出资产脆弱性预警信号，实现高效、准确的资产关联分析，产生即时、可靠的资产预警信号，实现对资产脆弱性持续的监测，自动驱动资产漏洞闭环处理业务流程进行即时的修复及加固；还用于实现实现预警分析策略可配置，预警处理过程可配置，实现验证业务、确认业务过程的可配置；实现预警公告策略可配置，预警公告可订阅，实现预警信息可操作、可维护、可持久存储及可展示。

在本实施例中，上述的漏洞情报更新通过漏洞情报管理模块来实现，该漏洞情报管理模块采集漏洞情报，将信息保存到本地漏洞库，然后和资产进行关联，有受到漏洞影响到的资源，就会产生漏洞告警。例如：一个资源的类型是mysql数据，版本为5.0，在漏洞情报里有一条漏洞，这条漏洞影响到mysql 5.0版本，那么这条漏洞就会产生一条资源维护人员的待办漏洞信息，如图2所示，具体包括如下步骤：

收到公网漏洞情报；

当该漏洞不存在漏洞库中时，则添加该漏洞到漏洞库中，并根据漏洞的影响受体、版本号与资产比对是否匹配，若匹配则判断该漏洞是否在白名单中，若不存在则关联资产并添加到漏洞跟踪表；

当该漏洞存在漏洞库中时，则判断是否需要更新该漏洞，若需要则更新该漏洞至漏洞库中，然后根据漏洞的影响受体、版本号与资产比对是否匹配，若匹配则判断该漏洞是否在白名单中，若不存在则关联资产并添加到漏洞跟踪表。

如此，即可以即时地获取到最新的漏洞情报，并快速地识别其危害性，为后续的修复、加固及预防环节赢得更多的时间，将其对资产的危害程度尽可能地降到最低或消除。从而能够做到漏洞情报的快速响应(即时发现漏洞情报，快速识别其危害性)，有效地驱动漏洞预警分析(结合资产信息，精确分析漏洞对资产的危害程度)系统即时地发出预资产警信号或威胁预警公告，进而触发业务系统运维管理人员快速、有效地做出修补或加固响应。

具体地在本实施例中，上述漏洞信息更新通过漏洞管理模块来实现，所述漏洞管理模块包括漏洞信息库，用于持久存储系统运行中产生的资产漏洞信息。其中，该漏洞信息库的来源包括人工录入，扫描结果导入及预警系统输入；其中，人工录入、扫描结果导入需要经标准化处理，并验证后进入漏洞信息库；预警系统输入的漏洞信息，直接进入漏洞信息库。

具体地，如图3所示，该资产漏洞信息的更新通过如下方式：

下发基本漏洞采集任务，采集主机、WEB漏洞；

判断所采集到的漏洞是否在白名单中，若不在，则将漏洞添加到漏洞跟踪表，并和漏洞跟踪表中历史数据比对，判断对应资产是否有减少漏洞，若是，则更新历史漏斗状态为已整改。

当判断所采集到漏洞是在白名单中时，还包括：

判断漏洞库中是否存在该漏洞；

若否，则添加该漏洞到漏洞库中；

若是，则判断是否需要更新该漏洞，若是，则更新该漏洞至漏洞库中。

如此，通过上述方式，即可以收集整个网络的弱点情况并进行统一管理，使得管理人员可以清楚掌握全网的安全健康状况。

在本实施中，上述的安全分析报告包括资产中各危险等级漏洞的数量、已修复漏洞数量、未修复漏洞数量、可忽略漏洞数量，资产评估状态，提供统计展示视图，并生成统计报表，以便于管理人员直观地了解情况。

在本实施中，上述的资产管理核心业务还包括资产信息与标签录入，包括资产名称、资产IP、资产编号、资产类型、操作系统、所属单位、所属部门、地理位置、上线时间、责任人、厂商、购置日期，亦即支持对所有资产进行统一管理。

实施例2：

参阅图4所示，本实施例提供的面向电力系统核心业务的深入攻击识别装置包括处理器41、存储器42以及存储在该存储器42中并可在所述处理器41上运行的计算机程序43，例如面向电力系统核心业务的深入攻击识别程序。该处理器41执行所述计算机程序43时实现上述实施例1步骤，例如图1所示的方法步骤。

示例性的，所述计算机程序43可以被分割成一个或多个模块/单元，所述一个或者多个模块/单元被存储在所述存储器42中，并由所述处理器41执行，以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述所述计算机程序43在所述面向电力系统核心业务的深入攻击识别装置中的执行过程。

所述面向电力系统核心业务的深入攻击识别装置可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述面向电力系统核心业务的深入攻击识别装置可包括，但不仅限于，处理器41、存储器42。本领域技术人员可以理解，图4仅仅是面向电力系统核心业务的深入攻击识别装置的示例，并不构成面向电力系统核心业务的深入攻击识别装置的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如所述面向电力系统核心业务的深入攻击识别装置还可以包括输入输出设备、网络接入设备、总线等。

所称处理器41可以是中央处理单元(Central Processing Unit，CPU)，还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(FieldProgrammable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

所述存储器42可以是所述面向电力系统核心业务的深入攻击识别装置的内部存储元，例如面向电力系统核心业务的深入攻击识别装置的硬盘或内存。所述存储器42也可以是所述面向电力系统核心业务的深入攻击识别装置的外部存储设备，例如所述面向电力系统核心业务的深入攻击识别装置上配备的插接式硬盘，智能存储卡(SmartMedia Card，SMC)，安全数字(Secure Digital，SD)卡，闪存卡(Flash Card)等。进一步地，所述存储器42还可以既包括所述面向电力系统核心业务的深入攻击识别装置的内部存储单元也包括外部存储设备。所述存储器42用于存储所述计算机程序以及所述面向电力系统核心业务的深入攻击识别装置所需的其他程序和数据。所述存储器42还可以用于暂时地存储已经输出或者将要输出的数据。

实施例3：

本实施例提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现实施例1所述方法的步骤。

所示计算机可读介质可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下：具有一个或多个布线的电连接部(电子装置)，便携式计算机盘盒(磁装置)，随机存取存储器(RAM)，只读存储器(ROM)，可擦除可编辑只读存储器(EPROM或闪速存储器)，光纤装置，以及便携式光盘只读存储器(CDROM)。另外，计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质，例如通过对纸或其他介质进行光学扫描，接着进行编辑、解译或必要时以其他合适方式进行处理再以电子方式获得所述程序，然后将其存储在计算机存储器中

上述实施例只是为了说明本发明的技术构思及特点，其目的是在于让本领域内的普通技术人员能够了解本发明的内容并据以实施，并不能以此限制本发明的保护范围。凡是根据本发明内容的实质所做出的等效的变化或修饰，都应涵盖在本发明的保护范围内。