本发明涉及工业信息安全技术领域,特别是涉及工业信息安全监测方法、装置、计算机设备和存储介质。
背景技术:
针对于工业资产信息安全监测方法,现有技术主要为资产被动识别、扫描发现等,入侵检测技术更多关注于网络数据流量捕获、处理流程优化、误报率降低等方面。
现有技术的漏洞监测主要包括数据的监听,识别监听数据中的漏洞威胁,根据识别出的威胁发出对应警报或者执行相应的处理流程。
现有技术存在的一个主要问题是只从已经发生的安全事件角度出发,不能对潜在威胁作出分析、研判、告警,不能针对性地给出防护建议。
技术实现要素:
基于此,有必要针对上述的问题,提供一种工业信息安全监测方法、装置、计算机设备和存储介质。
在其中一个实施例中,本发明实施例提供了一种工业信息安全监测方法,所述工业信息安全监测方法包括:
获取工业网络数据;
对所述工业网络数据进行事件特征提取;
将提取出的所述事件特征与预设的事件特征库进行匹配,确定所述事件特征关联的漏洞以及资产对象;
确定所述漏洞以及所述资产对象的类型,并根据确定出的所述漏洞以及所述资产对象不同类型的组合生成警告信息或者预警信息。
在其中一个实施例中,本发明实施例提供了一种工业信息安全监测装置,所述工业信息安全监测装置包括:
监听模块,用于获取工业网络数据;
特征提取模块,用于对所述工业网络数据进行事件特征提取;
匹配模块,用于将提取出的所述事件特征与预设的事件特征库进行匹配,确定所述事件特征关联的漏洞以及资产对象;
生成模块,用于确定所述漏洞以及所述资产对象的类型,并根据确定出的所述漏洞以及所述资产对象不同类型的组合生成警告信息或者预警信息。
在一个实施例中,本发明还提供了一种计算机设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行上述工业信息安全监测方法的步骤。
在一个实施例中,本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行上述工业信息安全监测方法的步骤。
本发明实施例提供的工业信息安全监测方法以事件为驱动,从事件、资产对象以及漏洞多维度进行分析,充分挖掘了三类要素的内存联系;同时既分析已检测到的事件,也分析既有资产对象的潜在威胁,实现了警告以及预告,提高了信息监测的全面性以及安全性。
附图说明
图1为一个实施例中提供的工业信息安全监测方法的应用环境图;
图2为一个实施例中工业信息安全监测方法的流程图;
图3为图2中对所述工业网络数据进行事件特征提取的具体步骤;
图4为图2中将提取出的所述事件特征与预设的事件特征库进行匹配,确定所述事件特征关联的漏洞以及资产对象的具体步骤;
图5为图2中确定所述漏洞以及所述资产对象的类型的具体步骤;
图6为图2中将所述漏洞分类为已验证漏洞以及待验证漏洞的具体步骤;
图7为图5中将所述资产对象分类为已知资产对象以及未知资产对象的具体步骤;
图8为图5中根据确定出的所述漏洞以及所述资产对象不同类型的组合生成警告信息或者预警信息的具体步骤;
图9为一个实施例中提供的工业信息安全监测装置的结构框图;
图10为一个实施例中计算机设备的内部结构框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
可以理解,本发明所使用的术语“第一”、“第二”等可在本文中用于描述各种元件,但除非特别说明,这些元件不受这些术语限制。这些术语仅用于将第一个元件与另一个元件区分。举例来说,在不脱离本发明的范围的情况下,可以将第一xx脚本称为第二xx脚本,且类似地,可将第二xx脚本称为第一xx脚本。
图1为一个实施例中提供的工业信息安全监测方法的应用环境图,如图1所示,在该应用环境中,包括若干资产对象、工业交换机以及工业资产安全监测装置。
在本发明实施例中,资产对象主要是指工业中各个可以单向或者双向进行信息交换的设备、装置、系统等,这些资产对象在运行过程中具有信息交换的需求,而信息交换即涉及到信息的安全问题,本发明即在于解决信息交换过程中的信息安全监测问题。在图1中,主要以生产活动中运动的设备为例作为说明,而设备中实际具有信息交换需求的主要为其中的控制装置,例如图1中的工业主机、plc控制器等,可以理解,此仅仅是示例的性的,并不用于限定资产对象的具体形式。
在本发明实施例中,可选的,资产对象通过工业交换机实现与其它设备、系统或者网络进行信息交换,工业交换机同样为可选的具体实现方式,仅仅为示例性的。
在本发明实施例中,在工业资产安全监测装置上运行本发明实施例提供的工业信息安全监测方法,该工业资产安全监测装置与上述工业交换机连接,工业交换机配置有镜像口,通过该镜像口可以获取资产设备的交互数据,实现旁路接入,属于一种被动监听且无损的数据获取方式。在本发明实施例中,对于工业资产安全监测装置的具体组成不作限定,其可以是单独的计算机设备,也可以是集成的计算机群组。
如图2所示,在一个实施例中,提出了一种工业信息安全监测方法,本实施例主要以该方法应用于上述图1中的工业资产安全监测装置来举例说明。具体可以包括步骤s202~s208:
步骤s202,获取工业网络数据。
在本发明实施例中,工业网络数据可以通过在工业交换机上配置镜像口实现无损监听,这种监听方式是被动式的,可以减小资源的消耗。优选地,在本发明实施例中,获取工业网络数据由工业网络数据的传输动作而触发,属于一种被动式监测,由事件本身进行驱动。
步骤s204,对所述工业网络数据进行事件特征提取。
在本发明实施例中,通过对工业网络数据进行事件特征的提取,可以确定相应的事件类型从而进一步挖掘事件对应的漏洞以及资产对象等,区别于现有仅仅通过包括事件本身的分析,扩展了分析的维度,可以提升数据分析的全面性以及可靠性。
步骤s206,将提取出的所述事件特征与预设的事件特征库进行匹配,确定所述事件特征关联的漏洞以及资产对象。
在本发明实施例中,事件特征库中预存了大量已知的事件及其对应的特征,在本发明实施例中,事件对应的特征包括事件特征、事件与漏洞的关联关系以及事件与资产对象的关联系统等。进一步地,事件特征库可以根据已经接收到的事件特征进行更新,从而在使用过程中不断地丰富事件特征库。优选地,对于事件特征库,还允许使用者对事件特征库中进行编辑,以自定义事件的特征以及事件与漏洞、资产对象的关联关系等。
步骤s208,确定所述漏洞以及所述资产对象的类型,并根据确定出的所述漏洞以及所述资产对象不同类型的组合生成警告信息或者预警信息。
在本发明实施例中,系统生成的警报信息包括警告信息以及预警信息,警告信息即是针对确定发生的事件(包含漏洞以及对应的资产对象)进行警告,而预警信息即是对可能存在的风险进行提示。
本发明实施例提供的工业信息安全监测方法以事件为驱动,从事件、资产对象以及漏洞多维度进行分析,充分挖掘了三类要素的内存联系;同时既分析已检测到的事件,也分析既有资产对象的潜在威胁,实现了警告以及预告,提高了信息监测的全面性以及安全性。
在一个实施例中,如图3所示,步骤s204即对所述工业网络数据进行事件特征提取具体可以包括步骤s302~s304:
步骤s302,提取所述工业网络数据的网络特征,所述网络特征包括源ip、源端口、目的ip、目的端口以及传输协议。
步骤s304,提取所述工业网络数据的应用特征。
在本发明实施例中,事件特征包括网络特征以及应用特征,网络特征可以用于标识该网络报文的通信概要信息,而应用特征可用于标识该网络报文的功能应用信息,两者结合,形成事件特征。
本发明实施例提供的工业信息安全监测方法通过由事件对事件信息中的网络特征以及应用特征进行挖掘,可以进一步识别该事件深层次的信息,可以提高对事件的识别准确性,做到解析事件的内涵信息。
在一个实施例中,如图4所示,步骤s206即将提取出的所述事件特征与预设的事件特征库进行匹配,确定所述事件特征关联的漏洞以及资产对象,具体可以包括步骤s402~s406:
步骤s402,利用预设的事件特征库,根据所述事件特征包含的网络特征以及应用特征确定所述事件特征对应的事件。
在本发明实施例中,根据事件特征中包含的网络特征以及应用特征对事件进行识别,可以进一步地区别差别较小的事件,提升事件的识别能力。此处需要理解的是,在此前的步骤中,事件仅仅是作为一个非特定的名称,系统仅识别出存在此事件,之后通过应用事件特征库对该事件的具体信息进行识别。
步骤s404,根据所述事件特征库中事件与漏洞的关联关系确定与所述事件对应的漏洞。
在本发明实施例中,根据识别的结果可以确定与该事件对应的漏洞,确定的方式是根据事件特征库中的预存的事件与漏洞的对应关系。
步骤s406,根据所述事件特征库中事件与资产对象的关联关系确定与所述事件对应的资产对象。
在本发明实施例中,此外,还可以根据事件特征库中事件与资产对象的对应关系确定该事件可能对应的资产对象。需要说明的是,对于同一事件,可以同时对应多个资产对象。
本发明实施例提供的工业信息安全监测方法通过利用事件特征库对事件对应的漏洞以及资产对象进行识别,从而进一步挖掘了事件与漏洞、资产对象的关联关系,充分利用了事件特征的信息,实现了多维度的信息分析。
在一个实施例中,如图5所示,步骤s208中确定所述漏洞以及所述资产对象的类型,具体可以包括步骤s502~s504:
步骤s502,将所述漏洞分类为已验证漏洞以及待验证漏洞;
步骤s504,将所述资产对象分类为已知资产对象以及未知资产对象。
在本发明实施例中,对于漏洞还可以包括将漏洞进行分类的过程,通过这种处理,系统不仅能够识别已知漏洞,对于新漏洞还可以提供相应的警示作用。
在本发明实施例中,对于资产对象,包括已知对象以及未知对象,需要说明的是,在本发明实施例中,未知对象在系统并不一定存在,可以用于备用连接口的指代,还有可以用于已下线对象的描述,可以形成一种警示信息的预估。例如,某事件发生后,通过对已下线资产对象与漏洞的关系,可以提示若此时该下线资产对象上线可能产生的风险等。
本发明实施例提供的工业信息安全监测方法包括对漏洞以及资产对象的分类,可以进一步的发现潜在安全威胁,提信息安全预警的能力。
在一个实施例中,如图6所示,步骤s502将所述漏洞分类为已验证漏洞以及待验证漏洞,具体可以包括步骤s602~s604:
步骤s602,提取漏洞信息,所述漏洞信息包括漏洞id、漏洞详情以及解决方案。
步骤s604,将所述漏洞信息输入预设的漏洞数据库,若对应的漏洞信息为首次输入则将该漏洞划分为待验证漏洞,否则将该漏洞划分为已验证漏洞。
在本发明实施例中,将对应的漏洞信息是否为首次输入作为判断是否为已知漏洞的依据是一种可选的实现方式,基础上于本发明的漏洞数据库可以在使用的过程中自动更新,故通过判断是否为首次输入即可以判断该漏洞是否为已知漏洞;当然,采用其它的判断方法也可以实现。通过判断漏洞是否为已知漏洞,可以将漏洞划分为已验证漏洞和待验证漏洞,这种方式充分考虑了未知漏洞存在的风险。
在一个实施例中,如图7所示,步骤s504将所述资产对象分类为已知资产对象以及未知资产对象,具体可以包括步骤s702~s704:
步骤s702,提取资产对象信息,所述资产对象信息包括资产id、资产详情;
步骤s704,将所述资产对象信息输入预设的资产数据库,若所述资产信息在被监听的工业网络中存在对应的资产对象,则将所述资产信息对应的资产对象划分为已知资产对象,否则划分为未知资产对象。
在本发明实施例中,获取的资产对象信息来源于事件特征库中的预存信息,属于信息层面的确认,而通过资产数据库可以进一步地查验当前的工业网络中是否存在对应的资产对象。这种方式既包括对在线资产对象的对应,同时还考虑了未知资产对象(例如离线资产对象)的风险问题。
在一个实施例中,如图8所示,步骤s208中根据确定出的所述漏洞以及所述资产对象不同类型的组合生成警告信息或者预警信息,具体可以包括步骤s802~s804:
步骤s802,若所述漏洞为已验证漏洞且所述资产对象为已知资产对象,则生成警告信息并输出;
步骤s804,若所述漏洞为待验证漏洞且所述资产对象为已知资产对象,则生成预警信息并输出。
在本发明实施例中,可以理解,还包括对资产对象是否为已知资产对象的判断过程以及对漏洞是否为待验证漏洞的判断过程。判断的具体方式可以是将待判断对象与相应数据库的中已知对象进行匹配从而确定。
以下以一个具体实施例说明本发明的实施过程,参考图1所示:
将工业资产信息安全监测装置接入工业网络中。在工业网络内的交换机配置镜像口,接入工业资产信息安全监测装置对应网口,装置以旁路接入、被动监听的无损监听方式,实现数据的捕获。
工业主机a与西门子s7-200plc进行通信。在此工业场景中,s7comm协议的stop操作是高危操作,会使s7-200plc置为stop状态,该特征存在于此工业资产信息安全监测装置的事件特征库内。实时监听镜像数据,其中no.8报文的内容为stop操作,提取其事件特征示例:(1)网络特征:生成五元组,<10.75.249.18,2853,10.75.249.22,102,s7comm>;(2)应用特征:解析该报文的s7comm协议应用层内容,<rosctr:job,function:plcstop(0x29),pi:p_program>。
事件特征库内存在应用特征<rosctr:job,function:plcstop(0x29),pi:p_program>的关联关系。将该应用特征记为a1,其关联的漏洞记为v1,关联的资产记为p1,事件特征库内的关联关系包括<a1,v1,p1>。
事件特征库内的关联关系为<a1,v1,p1>。其中,v1是此安全事件发生所利用的一条漏洞,具体为cnvd编号cnvd-2019-37706的漏洞,该漏洞可导致plc被远程控制;此外,p1是此安全事件中涉及的关键资产西门子s7-200plc。
在漏洞库基础库中,西门子s7-200plc相关漏洞包括v1、v2,编号分别为cnvd-2019-37706、cnvd-2019-40162。由于事件a1的上报关联到了漏洞v1,此条漏洞被标识为已验证。相应地,v2为待验证。漏洞v1的详情包括但不限于:漏洞名称(siemenss7-200simaticplc存在远程控制漏洞)、漏洞编号(cnvd-2019-37706)、发现日期(2019-11-07)、危害等级(中)、补丁信息(www.cnvd.org.cn/patchinfo/show/182175)等内容。v2的详情包括但不限于:漏洞名称(siemenssimatics7-200smartplc存在认证绕过漏洞)、漏洞编号(cnvd-2019-40162)、发现日期(2019-11-17)、危害等级(中)、补丁信息(www.cnvd.org.cn/patchinfo/show/183799)等内容。
事件监测分析模块得出的相关资产为p1,具体为西门子s7-200plc,标识为已发现。p1的详情包括但不限于:资产名称(西门子s7-200plc)、资产详情(小型的可编程序控制器,适用于各行各业,各种场合中的检测、监测及控制的自动化)。
根据已验证的漏洞数据v1(cnvd-2019-37706)和已发现的资产数据p1(西门子s7-200plc),整合生成此工业网络环境内既有资产因安全漏洞而发生的安全事件的告警信息,具体为:告警事件(西门子s7-200plc被远程控制为stop状态)、相关漏洞(cnvd-2019-37706)、相关资产(西门子s7-200plc)、补丁信息(www.cnvd.org.cn/patchinfo/show/182175)、处置建议(立即恢复设备正常运行状态,降低设备异常造成的损失;建议立即下载官方补丁进行漏洞修复;加强网络边界防护措施;加强网络访问控制管理)等。
根据已发现资产数据p1(西门子s7-200plc),结合该资产所对应的漏洞库基础库内的待验证漏洞数据,关联得出该资产的潜在漏洞v2(cnvd-2019-40162),尚未发生因该漏洞被利用而产生的安全事件,生成预警信息,具体为:预警事件(西门子s7-200plc存在认证绕过漏洞被利用的潜在风险)、相关漏洞(cnvd-2019-40162)、相关资产(西门子s7-200plc)、补丁信息(www.cnvd.org.cn/patchinfo/show/183799)、处置建议(建议及时下载官方补丁进行修复;建议加强网络边界隔离)。
如图9所示,在一个实施例中,提供了一种工业信息安全监测装置,该工业信息安全监测装置具体可以包括:
监听模块901,用于获取工业网络数据;
特征提取模块902,用于对所述工业网络数据进行事件特征提取;
匹配模块903,用于将提取出的所述事件特征与预设的事件特征库进行匹配,确定所述事件特征关联的漏洞以及资产对象;
生成模块904,用于确定所述漏洞以及所述资产对象的类型,并根据确定出的所述漏洞以及所述资产对象不同类型的组合生成警告信息或者预警信息。
在本发明实施例中,对于上述各个模块的作用的解释说明请参考前述工作信息安全监测方法有关内容的说明,前述方法的任意组合同样适用于该工业信息安全监测装置。
本发明实施例提供的工业信息安全监测装置以事件为驱动,从事件、资产对象以及漏洞多维度进行分析,充分挖掘了三类要素的内存联系;同时既分析已检测到的事件,也分析既有资产对象的潜在威胁,实现了警告以及预告,提高了信息监测的全面性以及安全性。
图10示出了一个实施例中计算机设备的内部结构图。如图10所示,该计算机设备包括该计算机设备包括通过系统总线连接的处理器、存储器、网络接口、输入装置和显示屏。其中,存储器包括非易失性存储介质和内存储器。该计算机设备的非易失性存储介质存储有操作系统,还可存储有计算机程序,该计算机程序被处理器执行时,可使得处理器实现本发明实施例提供的工业信息安全监测方法。该内存储器中也可储存有计算机程序,该计算机程序被处理器执行时,可使得处理器执行本发明实施例提供的工业信息安全监测方法。计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图10中示出的结构,仅仅是与本发明方案相关的部分结构的框图,并不构成对本发明方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,本发明实施例提供的工业信息安全监测装置可以实现为一种计算机程序的形式,计算机程序可在如图10所示的计算机设备上运行。计算机设备的存储器中可存储组成该工业信息安全监测装置的各个程序模块,比如,图9所示的监听模块、特征提取模块、匹配模块和生成模块。各个程序模块构成的计算机程序使得处理器执行本说明书中描述的本发明各个实施例的工业信息安全监测方法中的步骤。
例如,图10所示的计算机设备可以通过如图9所示的工业信息安全监测装置中的监听模块执行步骤s202;计算机设备可通过特征提取模块执行步骤s204;计算机设备可通过匹配模块执行步骤s206;计算机设备可通过生成模块执行步骤s208。
在一个实施例中,提出了一种计算机设备,所述计算机设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
获取工业网络数据;
对所述工业网络数据进行事件特征提取;
将提取出的所述事件特征与预设的事件特征库进行匹配,确定所述事件特征关联的漏洞以及资产对象;
确定所述漏洞以及所述资产对象的类型,并根据确定出的所述漏洞以及所述资产对象不同类型的组合生成警告信息或者预警信息。
在一个实施例中,提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时,使得处理器执行以下步骤:
获取工业网络数据;
对所述工业网络数据进行事件特征提取;
将提取出的所述事件特征与预设的事件特征库进行匹配,确定所述事件特征关联的漏洞以及资产对象;
确定所述漏洞以及所述资产对象的类型,并根据确定出的所述漏洞以及所述资产对象不同类型的组合生成警告信息或者预警信息。
应该理解的是,虽然本发明各实施例的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,各实施例中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一非易失性计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,本发明所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限,ram以多种形式可得,诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双数据率sdram(ddrsdram)、增强型sdram(esdram)、同步链路(synchlink)dram(sldram)、存储器总线(rambus)直接ram(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
1.一种工业信息安全监测方法,其特征在于,所述工业信息安全监测方法包括:
获取工业网络数据;
对所述工业网络数据进行事件特征提取;
将提取出的所述事件特征与预设的事件特征库进行匹配,确定所述事件特征关联的漏洞以及资产对象;
确定所述漏洞以及所述资产对象的类型,并根据确定出的所述漏洞以及所述资产对象不同类型的组合生成警告信息或者预警信息。
2.根据权利要求1所述的工业信息安全监测方法,其特征在于,所述对所述工业网络数据进行事件特征提取,包括以下步骤:
提取所述工业网络数据的网络特征,所述网络特征包括源ip、源端口、目的ip、目的端口以及传输协议;
提取所述工业网络数据的应用特征。
3.根据权利要求2所述的工业信息安全监测方法,其特征在于,所述将提取出的所述事件特征与预设的事件特征库进行匹配,确定所述事件特征关联的漏洞以及资产对象,包括以下步骤:
利用预设的事件特征库,根据所述事件特征包含的网络特征以及应用特征确定所述事件特征对应的事件;
根据所述事件特征库中事件与漏洞的关联关系确定与所述事件对应的漏洞;
根据所述事件特征库中事件与资产对象的关联关系确定与所述事件对应的资产对象。
4.根据权利要求1所述的工业信息安全监测方法,其特征在于,所述确定所述漏洞以及所述资产对象的类型,包括以下步骤:
将所述漏洞分类为已验证漏洞以及待验证漏洞;
将所述资产对象分类为已知资产对象以及未知资产对象。
5.根据权利要求4所述的工业信息安全监测方法,其特征在于,所述将所述漏洞分类为已验证漏洞以及等验证漏洞,包括以下步骤:
提取漏洞信息,所述漏洞信息包括漏洞id、漏洞详情以及解决方案;
将所述漏洞信息输入预设的漏洞数据库,若对应的漏洞信息为首次输入则将该漏洞划分为待验证漏洞,否则将该漏洞划分为已验证漏洞。
6.根据权利要求4所述的工业信息安全监测方法,其特征在于,所述将所述资产对象分类为已知资产对象以及未知资产对象,包括以下步骤:
提取资产对象信息,所述资产对象信息包括资产id、资产详情;
将所述资产对象信息输入预设的资产数据库,若所述资产信息在被监听的工业网络中存在对应的资产对象,则将所述资产信息对应的资产对象划分为已知资产对象,否则划分为未知资产对象。
7.根据权利要求1或4所述的工业信息安全监测方法,其特征在于,所述根据确定出的所述漏洞以及所述资产对象不同类型的组合生成警告信息或者预警信息,包括以下步骤:
若所述漏洞为已验证漏洞且所述资产对象为已知资产对象,则生成警告信息并输出;
若所述漏洞为待验证漏洞且所述资产对象为已知资产对象,则生成预警信息并输出。
8.一种工业信息安全监测装置,其特征在于,所述工业信息安全监测装置包括:
监听模块,用于获取工业网络数据;
特征提取模块,用于对所述工业网络数据进行事件特征提取;
匹配模块,用于将提取出的所述事件特征与预设的事件特征库进行匹配,确定所述事件特征关联的漏洞以及资产对象;
生成模块,用于确定所述漏洞以及所述资产对象的类型,并根据确定出的所述漏洞以及所述资产对象不同类型的组合生成警告信息或者预警信息。
9.一种计算机设备,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行权利要求1至7中任一项权利要求所述工业信息安全监测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行权利要求1至7中任一项权利要求所述工业信息安全监测方法的步骤。
技术总结