[发明专利]一种面向电力系统核心业务的深入攻击识别方法及装置

权利要求书

1.一种面向电力系统核心业务的深入攻击识别方法，其特征在于，所述方法包括：

输入电力系统资产管理核心业务，所述资产管理核心业务包括资产发现，所述述资产发现支持通过漏洞扫描进行资产的自动发现，将扫描到的资产自动导入，以对资产管理核心业务的业务逻辑进行深入式攻击识别，定位不同业务场景下相关核心业务数据的实际运行情况；

触发漏洞情报更新和漏洞信息更新，识别各个环节下可能存在的攻击行为，并对资产与漏洞情报进行关联分析，生成基于资产的漏洞预警威胁情报，并上传至漏洞预警管理模块；

对指定时间段内所有资产生成安全分析报告，以应对常规和非常规攻击手段，并处置风险漏洞的攻击手段。

2.如权利要求1所述的面向电力系统核心业务的深入攻击识别方法，其特征在于，所述漏洞情报更新通过漏洞情报管理模块来实现，所述漏洞情报管理模块采集漏洞情报，将信息保存到本地漏洞库，然后和资产进行关联。

3.如权利要求2所述的面向电力系统核心业务的深入攻击识别方法，其特征在于，所述漏洞情报管理模块采集漏洞情报，将信息保存到本地漏洞库，然后和资产进行关联包括：

收到公网漏洞情报；

当该漏洞不存在漏洞库中时，则添加该漏洞到漏洞库中，并根据漏洞的影响受体、版本号与资产比对是否匹配，若匹配则判断该漏洞是否在白名单中，若不存在则关联资产并添加到漏洞跟踪表；

当该漏洞存在漏洞库中时，则判断是否需要更新该漏洞，若需要则更新该漏洞至漏洞库中，然后根据漏洞的影响受体、版本号与资产比对是否匹配，若匹配则判断该漏洞是否在白名单中，若不存在则关联资产并添加到漏洞跟踪表。

4.如权利要求1所述的面向电力系统核心业务的深入攻击识别方法，其特征在于，所述漏洞信息更新通过漏洞管理模块来实现，所述漏洞管理模块包括漏洞信息库，用于持久存储系统运行中产生的资产漏洞信息。

5.如权利要求4所述的面向电力系统核心业务的深入攻击识别方法，其特征在于，所述漏洞信息库的来源包括人工录入，扫描结果导入及预警系统输入；其中，人工录入、扫描结果导入需要经标准化处理，并验证后进入漏洞信息库；预警系统输入的漏洞信息，直接进入漏洞信息库。

6.如权利要求5所述的面向电力系统核心业务的深入攻击识别方法，其特征在于，所述资产漏洞信息的更新通过如下方式：

下发基本漏洞采集任务，采集主机、WEB漏洞；

判断所采集到的漏洞是否在白名单中，若不在，则将漏洞添加到漏洞跟踪表，并和漏洞跟踪表中历史数据比对，判断对应资产是否有减少漏洞，若是，则更新历史漏斗状态为已整改。

当判断所采集到漏洞是在白名单中时，还包括：

判断漏洞库中是否存在该漏洞；

若否，则添加该漏洞到漏洞库中；

若是，则判断是否需要更新该漏洞，若是，则更新该漏洞至漏洞库中。

7.如权利要求1所述的面向电力系统核心业务的深入攻击识别方法，其特征在于，所述安全分析报告包括资产中各危险等级漏洞的数量、已修复漏洞数量、未修复漏洞数量、可忽略漏洞数量，资产评估状态，提供统计展示视图，并生成统计报表。

8.如权利要求1所述的面向电力系统核心业务的深入攻击识别方法，其特征在于，所述资产管理核心业务还包括资产信息与标签录入，包括资产名称、资产IP、资产编号、资产类型、操作系统、所属单位、所属部门、地理位置、上线时间、责任人、厂商、购置日期。

9.一种面向电力系统核心业务的深入攻击识别装置，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至8任一所述方法的步骤。

10.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至8任一所述方法的步骤。