[发明专利]一种工控系统漏洞扫描工具综合评价方法

权利要求书

1.一种工控系统漏洞扫描工具综合评价方法，其特征在于：包括以下步骤：

步骤(1)：根据漏洞扫描工具支持的扫描对象、知识库及漏洞库、扫描报告三个基本属性的完备性进行评估，计算基本属性评分，其中支持的扫描对象的评估要素包括对操作系统、网络设备、数据库、安全设备、应用软件、工控设备的工控系统资产的全面支持，知识库及漏洞库的评估要素包括对工控系统的型号、版本、厂商信息的识别，与CVE、CNVD公用漏洞发布平台进行定期同步，扫描报告包括漏洞评分、修复建议和预防措施相关信息；

按照高、中、低三级进行评分，评分对应3、2、1，漏洞扫描工具T_i的基本属性评分p_i为三个基本属性的评分之和；

步骤(2)：对参与评估的m个漏洞扫描工具，选定n个工控系统，确定资产扫描范围，确定扫描频率、发包速率扫描策略，避免给工控系统造成异常，关闭扫描对象节点上的主机卫士、防火墙类影响结果的程序，并行对设定范围内的资产进行漏洞扫描，扫描结束后汇总扫描漏洞，则漏洞扫描工具T_i对n个工控系统的漏洞扫描结果对应的漏洞数量集合表示为S_i＝{s_i1，s_i2…s_in}，s_i1表示漏洞扫描工具T_i对第1个工控系统扫描的漏洞总数；

步骤(3)：根据漏洞扫描工具T_i的扫描结果漏洞集，利用漏洞POC进行验证，将确实存在的可利用的漏洞形成工具有效漏洞集，属于工具扫描结果漏洞集但不在工具有效漏洞集中的漏洞形成工具误报漏洞集，将m个漏洞扫描工具对每个工控系统的有效漏洞集进行集合相并，得到每个工控系统对应的总体有效漏洞数量集，n个工控系统对应的总体有效漏洞数量集Z＝{z₁，z₂…z_n}，属于工控系统总体有效漏洞集但不属于某个漏洞扫描工具有效漏洞集的漏洞形成该漏洞扫描工具漏报漏洞集，再由漏洞扫描工具T_i的有效漏洞集、误报漏洞集、漏报漏洞集得到对应的有效漏洞数量集Y_i＝{y_i1，y_i2…y_in}、误报漏洞数量集W_i＝{w_i1，w_i2…w_in}、漏报漏洞数量集X_i＝{x_i1，x_i2…x_in}；

根据上述的4个漏洞数量集，计算漏洞扫描工具T_i对第j个工控系统的漏洞扫描结果的有效率评分a_ij、误报率评分b_ij、漏报率评分c_ij：

a_ij＝y_ij/z_j (1)

b_ij＝1-w_ij/s_ij (2)

c_ij＝1-x_ij/s_ij (3)

将漏洞扫描工具T_i对n个工控系统的漏洞扫描结果的有效率评分、漏报率评分、误报率评分形成集合D_i＝{d_i1，d_i2…d_iv}，其中v＝3n，由样本标准偏差计算集合D_i的数据稳定度o_i，再由数据稳定度o_i计算漏洞可信度评分f_i；

步骤(4)：在漏洞扫描工具T_i对第j个工控系统进行漏洞扫描过程中，记录被扫时间段内对象的CPU的利用率为e_ij、内存的利用率为g_ij、硬盘的利用率为h_ij、网络的利用率为k_ij的平均利用率计算影响分析指标，扫描对象为多个资产，则利用率数据取多个资产的平均值；先计算漏洞扫描工具T_i对第j个工控系统进行漏洞扫描过程中的影响分析评分r_ij，再对n个工控系统的评分进行算数平均得到漏洞扫描工具T_i的影响分析评分r_i；

r_ij＝((1-e_ij)+(1-g_ij)+(1-h_ij)+(1-k_ij))*10/4 (6)

步骤(5)：漏洞扫描工具T_i对第j个工控系统扫描的消耗时间为t_ij，扫描对象为多个资产，则消耗时间取多个资产的累计值，将漏洞扫描工具T_i对n个工控系统的扫描时间进行累加得到总消耗时间t_i，根据t_i计算漏洞扫描工具对应的漏洞扫描效率评分u_i；

u_i＝(1-t_i/MAX(t₁,t₂...t_n))*10 (8)

步骤(6)：由基本属性评分p_i、漏洞可信度评分f_i、影响分析评分r_i、扫描效率评分u_i根据权重系数计算漏洞扫描工具T_i的汇总评分；

v_i＝r_i*0.1+p_i*0.6+f_i*0.2+u_i*0.1 (9)。