[发明专利]安全防护产品的防御性评估方法、装置、设备及介质

权利要求书

1.一种安全防护产品的防御性评估方法，其特征在于，包括：

获取威胁情报与待防护的工业互联网设备的操作系统；

基于获取的每一操作系统，均生成一对应的虚拟机，每一虚拟机用于虚拟运行对应工业互联网设备的操作系统；

在相应的虚拟机中和/或各虚拟机之间设置待评估的安全防护产品，并获取安全防护产品的检测结果；

获取各工业互联网设备的行为记录数据；

基于威胁情报、各工业互联网设备的行为记录数据，确定恶意代码在工业互联网设备之间的攻击路径；

基于威胁情报、各工业互联网设备的行为记录数据，以及恶意代码在工业互联网设备之间的攻击路径，确定攻击者身份和攻击意图；

基于威胁情报、各工业互联网设备的行为记录数据、恶意代码在工业互联网设备之间的攻击路径、攻击者身份和攻击意图，与所述检测结果进行对比，对安全防护产品的防御性进行评估。

2.根据权利要求1所述的方法，其特征在于，

获取各工业互联网设备的行为记录数据，包括：

基于各虚拟机，获取对应的工业互联网设备内部的指令行为数据、调用行为数据及触发行为数据；

获取各工业互联网设备之间的网络行为数据，包括五元组数据、检测报文数据和网络文件数据；

对获取的行为数据的威胁程度进行分析；

基于行为数据的威胁程度，对获取的行为数据进行降维处理，剔除威胁程度偏低的行为数据，得到降维处理后的各工业互联网设备的行为记录数据。

3.根据权利要求2所述的方法，其特征在于，

所述对获取的行为数据的威胁程度进行分析，包括：

基于威胁情报，对工业互联网设备内部的指令行为数据、调用行为数据及触发行为数据的威胁程度进行判定；

对网络文件数据进行静态分析，基于静态分析结果，对各工业互联网设备之间的网络行为数据的威胁程度进行判定。

4.根据权利要求2所述的方法，其特征在于，

所述基于威胁情报、各工业互联网设备的行为记录数据，确定恶意代码在工业互联网设备之间的攻击路径，包括：

基于降维处理后的各工业互联网设备的行为记录数据，将涉及相同的文件、网络、进程和/或资源的行为进行关联；

基于行为记录的时间顺序，对关联后的行为进行排序，得到行为序列；

基于威胁情报和得到的行为序列，确定恶意代码在工业互联网设备之间的攻击路径。

5.根据权利要求4所述的方法，其特征在于，

所述基于威胁情报和得到的行为序列，确定恶意代码在工业互联网设备之间的攻击路径，包括：

基于威胁情报对得到的行为序列进行筛选，剔除威胁度低的行为序列；

基于筛选后的行为序列，构建概率攻击图；其中，概率攻击图中的每一个节点对应一个工业互联网设备，每一个边对应一个攻击行为与该攻击行为发生的概率；

基于概率攻击图，确定恶意代码在工业互联网设备之间的攻击路径。

6.根据权利要求1所述的方法，其特征在于，

所述基于威胁情报、各工业互联网设备的行为记录数据、恶意代码在工业互联网设备之间的攻击路径、攻击者身份和攻击意图，与所述检测结果进行对比，对安全防护产品的防御性进行评估，包括：

基于威胁情报、各工业互联网设备的行为记录数据、恶意代码在工业互联网设备之间的攻击路径，确定检测结果未能检测到的漏检行为；

基于漏检行为对应的行为记录数据、攻击路径、攻击者身份和攻击意图，进行战损评价；

基于战损评价结果，对相应的安全防护产品的防御性进行评估。