[发明专利]安全防护产品的防御性评估方法、装置、设备及介质

说明书

本发明提供了一种安全防护产品的防御性评估方法、装置、设备及介质，其中方法包括：获取威胁情报与工业互联网设备的操作系统；基于获取的每一操作系统，均生成一对应的虚拟机；在相应的虚拟机中和/或各虚拟机之间设置待评估的安全防护产品，并获取安全防护产品的检测结果；获取各工业互联网设备的行为记录数据；确定恶意代码在工业互联网设备之间的攻击路径；确定攻击者身份和攻击意图；基于威胁情报、各工业互联网设备的行为记录数据、恶意代码在工业互联网设备之间的攻击路径、攻击者身份和攻击意图，与检测结果进行对比，对安全防护产品的防御性进行评估。本发明能够对工业互联网场景下的安全防护产品的防御性进行有效评估。

技术领域

本发明涉及工业互联网技术领域，特别涉及一种安全防护产品的防御性评估方法、装置、设备及介质。

背景技术

工业互联网广泛应于电力、交通、能源、水利、冶金、航空航天等重要基础设施领域。随着技术不断发展，工业互联网的安全面临更加严峻的挑战。为维护工业互联网环境下的设备安全，常需要使用安全防护产品，以便打造工业互联网安全防御与保护体系。但是，区别于互联网，工业互联网环境下设备类型繁多，且通常采用封闭的操作系统，难以有效地分析与评估设备内或设备间的安全防护产品的防御性。

发明内容

基于现有技术难以有效评估工业互联网环境下安全防护产品的防御性的问题，本发明实施例提供了一种安全防护产品的防御性评估方法、装置、电子设备及存储介质，能够基于行为记录与安全防护产品的检测结果进行分析与对比，进而有效评估工业互联网场景下的安全防护产品的防御性。

第一方面，本发明实施例提供了一种安全防护产品的防御性评估方法，包括：

获取威胁情报与待防护的工业互联网设备的操作系统；

基于获取的每一操作系统，均生成一对应的虚拟机，每一虚拟机用于虚拟运行对应工业互联网设备的操作系统；

在相应的虚拟机中和/或各虚拟机之间设置待评估的安全防护产品，并获取安全防护产品的检测结果；

获取各工业互联网设备的行为记录数据；

基于威胁情报、各工业互联网设备的行为记录数据，确定恶意代码在工业互联网设备之间的攻击路径；

基于威胁情报、各工业互联网设备的行为记录数据，以及恶意代码在工业互联网设备之间的攻击路径，确定攻击者身份和攻击意图；

基于威胁情报、各工业互联网设备的行为记录数据、恶意代码在工业互联网设备之间的攻击路径、攻击者身份和攻击意图，与所述检测结果进行对比，对安全防护产品的防御性进行评估。

可选地，获取各工业互联网设备的行为记录数据，包括：

基于各虚拟机，获取对应的工业互联网设备内部的指令行为数据、调用行为数据及触发行为数据；

获取各工业互联网设备之间的网络行为数据，包括五元组数据、检测报文数据和网络文件数据；

对获取的行为数据的威胁程度进行分析；

基于行为数据的威胁程度，对获取的行为数据进行降维处理，剔除威胁程度偏低的行为数据，得到降维处理后的各工业互联网设备的行为记录数据。

可选地，所述对获取的行为数据的威胁程度进行分析，包括：

基于威胁情报，对工业互联网设备内部的指令行为数据、调用行为数据及触发行为数据的威胁程度进行判定；

对网络文件数据进行静态分析，基于静态分析结果，对各工业互联网设备之间的网络行为数据的威胁程度进行判定。

可选地，所述基于威胁情报、各工业互联网设备的行为记录数据，确定恶意代码在工业互联网设备之间的攻击路径，包括：