技術(shù)領(lǐng)域

本發(fā)明涉及大數(shù)據(jù)分析技術(shù)領(lǐng)域，特別是涉及一種基于大數(shù)據(jù)分析的威脅資產(chǎn)的排名方法和裝置。

背景技術(shù)

隨著工業(yè)化與信息化進(jìn)程的不斷交叉融合，越來(lái)越多的信息技術(shù)應(yīng)用到了工業(yè)領(lǐng)域。管理信息網(wǎng)絡(luò)與生產(chǎn)控制網(wǎng)絡(luò)之間實(shí)現(xiàn)了數(shù)據(jù)交換，導(dǎo)致工業(yè)控制系統(tǒng)不再是一個(gè)獨(dú)立運(yùn)行的系統(tǒng)，而已經(jīng)與管理系統(tǒng)甚至互聯(lián)網(wǎng)互聯(lián)互通。工業(yè)控制系統(tǒng)中大量使用了工業(yè)以太網(wǎng)和專(zhuān)用通信協(xié)議進(jìn)行工業(yè)控制系統(tǒng)的集成。大規(guī)模使用的pc服務(wù)器、pc終端產(chǎn)品、通用操作系統(tǒng)和數(shù)據(jù)庫(kù)，使得傳統(tǒng)網(wǎng)絡(luò)上常見(jiàn)的安全問(wèn)題已經(jīng)在工業(yè)控制網(wǎng)絡(luò)中出現(xiàn)。

為了反應(yīng)工業(yè)網(wǎng)絡(luò)中的資產(chǎn)受威脅狀況，一個(gè)快速分析工業(yè)網(wǎng)絡(luò)中的海量數(shù)據(jù)，能真實(shí)反映工業(yè)資產(chǎn)收到威脅輕重程度及擴(kuò)散范圍的好的威脅資產(chǎn)排名方法尤為重要。

發(fā)明內(nèi)容

基于此，有必要針對(duì)傳統(tǒng)技術(shù)存在的問(wèn)題，提供一種基于大數(shù)據(jù)分析的威脅資產(chǎn)的排名方法和裝置，能夠解決了對(duì)實(shí)時(shí)海量數(shù)據(jù)進(jìn)行分析后獲取的威脅數(shù)據(jù)及關(guān)聯(lián)關(guān)系為輸入，采用經(jīng)過(guò)改進(jìn)的PageRank算法，給出能反映資產(chǎn)威脅輕重的資產(chǎn)排名，進(jìn)一步采用此方法可以快速的反應(yīng)當(dāng)前資產(chǎn)威脅狀況，對(duì)PageRank算法的改進(jìn)也減小了計(jì)算的開(kāi)銷(xiāo)，提高了速度。

第一方面，本發(fā)明實(shí)施例提供了一種基于大數(shù)據(jù)分析的威脅資產(chǎn)的排名方法，所述方法包括：接收工業(yè)網(wǎng)絡(luò)數(shù)據(jù)，并對(duì)所述工業(yè)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行處理，其中，所述工業(yè)網(wǎng)絡(luò)數(shù)據(jù)為以互聯(lián)網(wǎng)形式采集并傳輸?shù)陌喾N工業(yè)的資產(chǎn)數(shù)據(jù)；對(duì)基于所述資產(chǎn)數(shù)據(jù)處理后生成的威脅資產(chǎn)進(jìn)行計(jì)算與排名，并將排名后的結(jié)果進(jìn)行反饋與顯示。

在其中一個(gè)實(shí)施例中，所述接收工業(yè)網(wǎng)絡(luò)數(shù)據(jù)包括：在預(yù)設(shè)周期內(nèi)，由固定采集設(shè)備或移動(dòng)采集設(shè)備完成對(duì)所述工業(yè)網(wǎng)絡(luò)數(shù)據(jù)的采集。

在其中一個(gè)實(shí)施例中，對(duì)所述工業(yè)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行處理包括：根據(jù)預(yù)設(shè)的所述資產(chǎn)數(shù)據(jù)的多種屬性對(duì)所述資產(chǎn)數(shù)據(jù)進(jìn)行威脅判定，并生成受影響資產(chǎn)的關(guān)聯(lián)關(guān)系以及威脅類(lèi)型評(píng)分，其中，所述多種屬性包括：資產(chǎn)白名單、行為白名單以及威脅特征庫(kù)；根據(jù)所述受影響資產(chǎn)的所述關(guān)聯(lián)關(guān)系以及所述威脅類(lèi)型評(píng)分判斷所述資產(chǎn)數(shù)據(jù)為非擴(kuò)散性威脅資產(chǎn)還是擴(kuò)散性威脅資產(chǎn)。

在其中一個(gè)實(shí)施例中，所述非擴(kuò)散性威脅資產(chǎn)為針對(duì)目標(biāo)資產(chǎn)的威脅資產(chǎn)。

在其中一個(gè)實(shí)施例中，所述擴(kuò)散性威脅資產(chǎn)為在攻擊目標(biāo)資產(chǎn)后還繼續(xù)攻擊其他資產(chǎn)的威脅資產(chǎn)或者基于當(dāng)前目標(biāo)資產(chǎn)攻擊其它資產(chǎn)的威脅資產(chǎn)。

在其中一個(gè)實(shí)施例中，所述對(duì)處理后生成的威脅資產(chǎn)進(jìn)行計(jì)算與排名包括：對(duì)擴(kuò)散性威脅資產(chǎn)，以資產(chǎn)作為結(jié)點(diǎn)，以從源資產(chǎn)到目的資產(chǎn)的威脅值作為邊，通過(guò)采用PageRank算法進(jìn)行資產(chǎn)威脅積分計(jì)算；根據(jù)預(yù)設(shè)時(shí)間段內(nèi)獲取的PageRank積分、威脅路徑以及威脅類(lèi)型，進(jìn)行增量計(jì)算，生成排名評(píng)分。

在其中一個(gè)實(shí)施例中，所述PageRank算法還包括：判定所述資產(chǎn)為新增節(jié)點(diǎn)，則根據(jù)與新增節(jié)點(diǎn)有關(guān)的所有節(jié)點(diǎn)計(jì)算新增節(jié)點(diǎn)的PageRank積分；或判定所述以從源資產(chǎn)到目的資產(chǎn)的威脅值如果為新增邊，則更新所有在該節(jié)點(diǎn)的威脅路徑上之后所有節(jié)點(diǎn)的對(duì)應(yīng)PageRank積分；或判定所述以從源資產(chǎn)到目的資產(chǎn)的威脅值作為邊，如果該邊為已存在的邊但威脅積分存在變化，則更新威脅路徑上之后所有節(jié)點(diǎn)的積分。

第二方面，本發(fā)明實(shí)施例提供了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)上存儲(chǔ)有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)上述第一方面的基于大數(shù)據(jù)分析的威脅資產(chǎn)的排名方法。

第三方面，本發(fā)明實(shí)施例提供了一種包含指令的計(jì)算機(jī)程序產(chǎn)品，當(dāng)該計(jì)算機(jī)程序產(chǎn)品在計(jì)算機(jī)上運(yùn)行時(shí)，使得計(jì)算機(jī)執(zhí)行上述第一方面所述的方法。

第四方面，本發(fā)明實(shí)施例提供了一種基于大數(shù)據(jù)分析的威脅資產(chǎn)的排名裝置，所述裝置包括：接收模塊，用于接收工業(yè)網(wǎng)絡(luò)數(shù)據(jù)，其中，所述工業(yè)網(wǎng)絡(luò)數(shù)據(jù)以互聯(lián)網(wǎng)形式采集并傳輸?shù)陌喾N工業(yè)的資產(chǎn)數(shù)據(jù)；處理模塊，用于對(duì)所述工業(yè)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行處理；計(jì)算排名模塊，用于對(duì)基于所述資產(chǎn)數(shù)據(jù)處理后生成的威脅資產(chǎn)進(jìn)行計(jì)算與排名；反饋與顯示模塊，用于將排名后的結(jié)果進(jìn)行反饋與顯示。