工控资产漏洞检测方法、设备、存储介质及装置与流程

1.本发明涉及网络安全技术领域，尤其涉及一种工控资产漏洞检测方法、设备、存储介质及装置。


背景技术：

2.目前，在对工控网络中的工控资产进行漏洞检测时，往往需要人工将工控资产信息与通用漏洞披露(common vulnerabilities&exposures，cve)信息进行匹配，并根据匹配结果确定工控资产漏洞。
3.但是，上述方式由于需要人工进行信息匹配，从而导致漏洞检测的效率以及准确率低。
4.上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。


技术实现要素：

5.本发明的主要目的在于提供一种工控资产漏洞检测方法、设备、存储介质及装置，旨在解决现有技术中工控资产漏洞检测的效率以及准确率低的技术问题。
6.为实现上述目的，本发明提供一种工控资产漏洞检测方法，所述工控资产漏洞检测方法包括以下步骤：
7.获取候选cve信息集，所述候选cve信息集基于cve信息以及工控网络中的工控资产信息生成；
8.根据所述cve信息以及所述工控资产信息进行模型训练，获得目标排序模型；
9.根据所述目标排序模型对所述候选cve信息集中的cve信息进行排序，并根据排序结果确定目标cve信息集；
10.根据所述目标cve信息集确定所述工控网络中的工控资产漏洞信息。
11.可选地，所述根据所述cve信息以及所述工控资产信息进行模型训练，获得目标排序模型的步骤，具体包括：
12.对所述cve信息以及工控资产信息进行特征提取，获得cve特征样本以及工控资产特征样本；
13.根据所述cve特征样本以及所述工控资产特征样本进行模型训练，获得目标排序模型。
14.可选地，所述根据所述cve特征样本以及所述工控资产特征样本进行模型训练，获得目标排序模型的步骤，具体包括：
15.根据所述cve特征样本以及所述工控资产特征样本对预设预测模型以及预设非线性模型进行训练，获得目标预测模型以及目标非线性模型；
16.对所述目标预测模型以及所述目标非线性模型进行模型融合，获得目标排序模型。
17.可选地，所述对所述目标预测模型以及所述目标非线性模型进行模型融合，获得目标排序模型的步骤，具体包括：
18.对所述目标预测模型以及所述目标非线性模型进行模型融合，获得当前排序模型；
19.根据所述当前排序模型对所述候选cve信息集中的cve信息进行排序，获得排序结果样本；
20.将所述排序结果样本发送至目标终端设备，并接收所述目标终端设备根据所述排序结果样本反馈的验证结果；
21.在所述验证结果为验证通过时，将所述当前排序模型作为目标排序模型。
22.可选地，所述将所述排序结果样本发送至目标终端设备，并接收所述目标终端设备根据所述排序结果样本反馈的验证结果的步骤之后，所述工控资产漏洞检测方法还包括：
23.在所述验证结果为验证未通过时，接收所述目标终端设备根据所述排序结果样本反馈的纠错信息；
24.根据所述纠错信息以及所述排序结果样本生成训练样本，并根据所述训练样本对所述当前排序模型进行训练；
25.返回所述根据所述当前排序模型对所述候选cve信息集中的cve信息进行排序，获得排序结果样本的步骤。
26.可选地，所述根据所述目标排序模型对所述候选cve信息集中的cve信息进行排序，并根据排序结果确定目标cve信息集的步骤，具体包括：
27.根据所述目标排序模型对所述候选cve信息集中的cve信息进行排序，获得排序结果；
28.根据所述排序结果对所述候选cve信息集中的cve信息进行筛选，获得目标cve信息集。
29.可选地，所述根据所述目标cve信息集确定所述工控网络中的工控资产漏洞信息的步骤之后，所述工控资产漏洞检测方法还包括：
30.获取用户终端信息，并查找所述用户终端信息对应的信息展示模板；
31.根据所述信息展示模板以及所述工控资产漏洞信息生成预警信息，并将所述预警信息发送至目标终端设备。
32.可选地，所述获取候选cve信息集的步骤之前，所述工控资产漏洞检测方法还包括：
33.获取通用漏洞披露cve信息以及工控网络中的工控资产信息，并生成cve信息对应的cve标签；
34.将所述工控资产信息与所述cve标签进行匹配，并根据所述匹配结果对所述cve信息进行筛选，获得候选cve信息集。
35.可选地，所述将所述工控资产信息与所述cve标签进行匹配，并根据所述匹配结果对所述cve信息进行筛选，获得候选cve信息集的步骤，具体包括：
36.将所述工控资产信息与所述cve标签进行模糊匹配，获得模糊匹配结果；
37.根据预设文本相似度模型确定所述cve信息与所述工控资产信息的文本相似度；
38.根据预设相似系数模型确定所述cve信息与所述工控资产信息的相似系数；
39.根据所述模糊匹配结果、所述文本相似度以及所述相似系数对所述cve信息进行筛选，获得候选cve信息集。
40.可选地，所述将所述工控资产信息与所述cve标签进行模糊匹配，获得模糊匹配结果的步骤，具体包括：
41.对所述工控资产信息进行关键词提取，获得关键工控资产信息；
42.将所述关键工控资产信息与所述cve标签进行模糊匹配，获得模糊匹配结果。
43.可选地，所述根据预设文本相似度模型确定所述cve信息与所述工控资产信息的文本相似度的步骤，具体包括：
44.根据预设词向量模型确定所述cve信息对应的cve词向量以及所述工控资产信息对应的工控资产词向量；
45.根据预设文本相似度模型、所述cve词向量以及所述工控资产词向量确定所述cve信息与所述工控资产信息的文本相似度。
46.可选地，所述根据所述模糊匹配结果、所述文本相似度以及所述相似系数对所述cve信息进行筛选，获得候选cve信息集的步骤，具体包括：
47.根据所述模糊匹配结果对所述cve信息进行筛选，获得第一cve信息集；
48.根据所述文本相似度对所述cve信息进行筛选，获得第二cve信息集；
49.根据所述相似系数对所述cve信息进行筛选，获得第三cve信息集；
50.根据所述第一cve信息集、所述第二cve信息集、所述第三cve信息集确定候选cve信息集。
51.此外，为实现上述目的，本发明还提出一种工控资产漏洞检测设备，所述工控资产漏洞检测设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的工控资产漏洞检测程序，所述工控资产漏洞检测程序配置为实现如上文所述的工控资产漏洞检测方法的步骤。
52.此外，为实现上述目的，本发明还提出一种存储介质，所述存储介质上存储有工控资产漏洞检测程序，所述工控资产漏洞检测程序被处理器执行时实现如上文所述的工控资产漏洞检测方法的步骤。
53.此外，为实现上述目的，本发明还提出一种工控资产漏洞检测装置，所述工控资产漏洞检测装置包括：获取模块、训练模块、排序模块和确定模块；
54.所述获取模块，用于获取候选cve信息集，所述候选cve信息集基于cve信息以及工控网络中的工控资产信息生成；
55.所述训练模块，用于根据所述cve信息以及所述工控资产信息进行模型训练，获得目标排序模型；
56.所述排序模块，用于根据所述目标排序模型对所述候选cve信息集中的cve信息进行排序，并根据排序结果确定目标cve信息集；
57.所述确定模块，用于根据所述目标cve信息集确定所述工控网络中的工控资产漏洞信息。
58.可选地，所述训练模块，还用于对所述cve信息以及工控资产信息进行特征提取，获得cve特征样本以及工控资产特征样本；
59.所述训练模块，还用于根据所述cve特征样本以及所述工控资产特征样本进行模型训练，获得目标排序模型。
60.可选地，所述训练模块，还用于根据所述cve特征样本以及所述工控资产特征样本对预设预测模型以及预设非线性模型进行训练，获得目标预测模型以及目标非线性模型；
61.所述训练模块，还用于对所述目标预测模型以及所述目标非线性模型进行模型融合，获得目标排序模型。
62.可选地，所述训练模块，还用于对所述目标预测模型以及所述目标非线性模型进行模型融合，获得当前排序模型；
63.所述训练模块，还用于根据所述当前排序模型对所述候选cve信息集中的cve信息进行排序，获得排序结果样本；
64.所述训练模块，还用于将所述排序结果样本发送至目标终端设备，并接收所述目标终端设备根据所述排序结果样本反馈的验证结果；
65.所述训练模块，还用于在所述验证结果为验证通过时，将所述当前排序模型作为目标排序模型。
66.可选地，所述训练模块，还用于在所述验证结果为验证未通过时，接收所述目标终端设备根据所述排序结果样本反馈的纠错信息；
67.所述训练模块，还用于根据所述纠错信息以及所述排序结果样本生成训练样本，并根据所述训练样本对所述当前排序模型进行训练；
68.所述训练模块，还用于返回所述根据所述当前排序模型对所述候选cve信息集中的cve信息进行排序，获得排序结果样本的步骤。
69.可选地，所述排序模块，还用于根据所述目标排序模型对所述候选cve信息集中的cve信息进行排序，获得排序结果；
70.所述排序模块，还用于根据所述排序结果对所述候选cve信息集中的cve信息进行筛选，获得目标cve信息集。
71.本发明中，公开了获取候选cve信息集，候选cve信息集基于cve信息以及工控网络中的工控资产信息生成，根据cve信息以及工控资产信息进行模型训练，获得目标排序模型，根据目标排序模型对候选cve信息集中的cve信息进行排序，并根据排序结果确定目标cve信息集，根据目标cve信息集确定工控网络中的工控资产漏洞信息；相较于现有的人工将工控资产信息与cve信息进行匹配来确定工控资产漏洞的方式，由于本发明中先获取根据cve信息以及工控网络中的工控资产信息生成的候选cve信息集，再根据目标排序模型对候选cve信息集中的cve信息进行排序，获得目标cve信息集，再根据目标cve信息集确定工控网络中的工控资产漏洞信息，从而能够准确识别工控网络中的工控资产漏洞，降低工业网络被攻击的风险。
附图说明
72.图1是本发明实施例方案涉及的硬件运行环境的工控资产漏洞检测设备的结构示意图；
73.图2为本发明工控资产漏洞检测方法第一实施例的流程示意图；
74.图3为本发明工控资产漏洞检测方法第二实施例的流程示意图；
75.图4为本发明工控资产漏洞检测方法第三实施例的流程示意图；
76.图5为本发明工控资产漏洞检测方法第四实施例的流程示意图；
77.图6为本发明工控资产漏洞检测方法第五实施例的流程示意图；
78.图7为本发明工控资产漏洞检测装置第一实施例的结构框图。
79.本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。
具体实施方式
80.应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
81.参照图1，图1为本发明实施例方案涉及的硬件运行环境的工控资产漏洞检测设备结构示意图。
82.如图1所示，该工控资产漏洞检测设备可以包括：处理器1001，例如中央处理器(central processing unit，cpu)，通信总线1002、用户接口1003，网络接口1004，存储器1005。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(display)，可选用户接口1003还可以包括标准的有线接口、无线接口，对于用户接口1003的有线接口在本发明中可为usb接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(wireless-fidelity，wi-fi)接口)。存储器1005可以是高速的随机存取存储器(random access memory，ram)存储器，也可以是稳定的存储器(non-volatile memory，nvm)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
83.本领域技术人员可以理解，图1中示出的结构并不构成对工控资产漏洞检测设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。
84.如图1所示，认定为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及工控资产漏洞检测程序。
85.在图1所示的工控资产漏洞检测设备中，网络接口1004主要用于连接后台服务器，与所述后台服务器进行数据通信；用户接口1003主要用于连接用户设备；所述工控资产漏洞检测设备通过处理器1001调用存储器1005中存储的工控资产漏洞检测程序，并执行本发明实施例提供的工控资产漏洞检测方法。
86.基于上述硬件结构，提出本发明工控资产漏洞检测方法的实施例。
87.参照图2，图2为本发明工控资产漏洞检测方法第一实施例的流程示意图，提出本发明工控资产漏洞检测方法第一实施例。
88.在第一实施例中，所述工控资产漏洞检测方法包括以下步骤：
89.步骤s10：获取候选cve信息集，所述候选cve信息集基于cve信息以及工控网络中的工控资产信息生成。
90.应当理解的是，本实施例的执行主体是所述工控资产漏洞检测设备，其中，所述工控资产漏洞检测设备可为个人电脑或服务器等电子设备，还可为其他可实现相同或相似功能的设备，本实施例对此不加以限制，在本实施例中，以工控资产漏洞检测设备为例说明。
91.需要说明的是，通用漏洞披露(common vulnerabilities&exposures，cve)信息可以包括cve描述、厂商信息、权限信息以及危害信息等，本实施例对此不加以限制。
92.工控资产信息可以包括工控资产设备的硬件、操作系统、固件版本以及软件版本
等信息，本实施例对此不加以限制。
93.应当理解的是，候选cve信息集基于cve信息以及工控网络中的工控资产信息生成可以是获取通用漏洞披露cve信息以及工控网络中的工控资产信息，并生成cve信息对应的cve标签，将所述工控资产信息与所述cve标签进行匹配，并根据所述匹配结果对所述cve信息进行筛选，获得候选cve信息集。
94.步骤s20：根据所述cve信息以及所述工控资产信息进行模型训练，获得目标排序模型。
95.可以理解的是，根据cve信息以及工控资产信息进行模型训练，获得目标排序模型可以是根据cve信息以及工控资产信息对预设排序模型进行模型训练，获得目标排序模型。其中，预设排序模型可以由工控资产漏洞检测设备的管理人员预先设置，本实施例对此不加以限制。
96.进一步地，为了提高模型训练的效率，所述根据cve信息以及工控资产信息进行模型训练，获得目标排序模型，包括：
97.对cve信息以及工控资产信息进行特征提取，获得cve特征样本以及工控资产特征样本，根据cve特征样本以及工控资产特征样本进行模型训练，获得目标排序模型。
98.更进一步地，为了能够避免排序模型单一导致的准确率低的缺陷，所述根据cve特征样本以及工控资产特征样本进行模型训练，获得目标排序模型，包括：
99.根据cve特征样本以及工控资产特征样本对预设预测模型以及预设非线性模型进行训练，获得目标预测模型以及目标非线性模型，对目标预测模型以及目标非线性模型进行模型融合，获得目标排序模型。
100.步骤s30：根据所述目标排序模型对所述候选cve信息集中的cve信息进行排序，并根据排序结果确定目标cve信息集。
101.应当理解的是，根据目标排序模型对候选cve信息集中的cve信息进行排序，并根据排序结果确定目标cve信息集可以是根据目标排序模型对候选cve信息集中的cve信息进行排序，获得排序结果，根据排序结果对候选cve信息集中的cve信息进行筛选，获得目标cve信息集。
102.步骤s40：根据所述目标cve信息集确定所述工控网络中的工控资产漏洞信息。
103.可以理解的是，根据目标cve信息集确定工控网络中的工控资产漏洞信息可以是对目标cve信息集中的cve信息进行逐条读取，获得cve描述、厂商信息、权限信息以及危害信息，并根据cve描述、厂商信息、权限信息以及危害信息生成工控资产漏洞信息。
104.在第一实施例中，公开了获取候选cve信息集，候选cve信息集基于cve信息以及工控网络中的工控资产信息生成，根据cve信息以及工控资产信息进行模型训练，获得目标排序模型，根据目标排序模型对候选cve信息集中的cve信息进行排序，并根据排序结果确定目标cve信息集，根据目标cve信息集确定工控网络中的工控资产漏洞信息；相较于现有的人工将工控资产信息与cve信息进行匹配来确定工控资产漏洞的方式，由于本实施例中先获取根据cve信息以及工控网络中的工控资产信息生成的候选cve信息集，再根据目标排序模型对候选cve信息集中的cve信息进行排序，获得目标cve信息集，再根据目标cve信息集确定工控网络中的工控资产漏洞信息，从而能够准确识别工控网络中的工控资产漏洞，降低工业网络被攻击的风险。
105.参照图3，图3为本发明工控资产漏洞检测方法第二实施例的流程示意图，基于上述图2所示的第一实施例，提出本发明工控资产漏洞检测方法的第二实施例。
106.在第二实施例中，所述步骤s20，包括：
107.步骤s201：对所述cve信息以及工控资产信息进行特征提取，获得cve特征样本以及工控资产特征样本。
108.应当理解的是，对cve信息以及工控资产信息进行特征提取，获得cve特征样本以及工控资产特征样本可以是基于预设特征提取脚本对cve信息以及工控资产信息进行特征提取，获得cve特征样本以及工控资产特征样本。其中，预设特征提取脚本可以由工控资产漏洞检测设备的管理人员预先设置，本实施例对此不加以限制。
109.步骤s202：根据所述cve特征样本以及所述工控资产特征样本进行模型训练，获得目标排序模型。
110.可以理解的是，根据cve特征样本以及工控资产特征样本进行模型训练，获得目标排序模型可以是根据cve特征样本以及工控资产特征样本对预设排序模型进行模型训练，获得目标排序模型。其中，预设排序模型可以由工控资产漏洞检测设备的管理人员预先设置，本实施例对此不加以限制。
111.进一步地，为了能够避免排序模型单一导致的准确率低的缺陷，所述根据cve特征样本以及工控资产特征样本进行模型训练，获得目标排序模型，包括：
112.根据cve特征样本以及工控资产特征样本对预设预测模型以及预设非线性模型进行训练，获得目标预测模型以及目标非线性模型，对目标预测模型以及目标非线性模型进行模型融合，获得目标排序模型。
113.在第二实施例中，公开了对cve信息以及工控资产信息进行特征提取，获得cve特征样本以及工控资产特征样本，根据cve特征样本以及工控资产特征样本进行模型训练，获得目标排序模型；本实施例中，通过cve信息的cve特征样本以及工控资产信息的工控资产特征样本进行模型训练，从而能够提高模型训练的效率。
114.在第二实施例中，所述步骤s30，包括：
115.步骤s301：根据所述目标排序模型对所述候选cve信息集中的cve信息进行排序，获得排序结果。
116.应当理解的是，根据目标排序模型对候选cve信息集中的cve信息进行排序，获得排序结果可以是将候选cve信息集中的cve信息输入目标排序模型，获得排序结果。
117.步骤s302：根据所述排序结果对所述候选cve信息集中的cve信息进行筛选，获得目标cve信息集。
118.可以理解的是，根据排序结果对候选cve信息集中的cve信息进行筛选，获得目标cve信息集可以是从候选cve信息集中选取排序靠前的预先数量cve信息组成目标cve信息集。其中，预设数量可以是由工控资产漏洞检测设备的管理人员预先设置，本实施例对此不加以限制。
119.在第二实施例中，公开了根据目标排序模型对候选cve信息集中的cve信息进行排序，获得排序结果，根据排序结果对候选cve信息集中的cve信息进行筛选，获得目标cve信息集，从而能够提高目标cve信息集的准确性。
120.参照图4，图4为本发明工控资产漏洞检测方法第三实施例的流程示意图，基于上
述图3所示的第二实施例，提出本发明工控资产漏洞检测方法的第三实施例。
121.在第三实施例中，所述步骤s202，包括：
122.步骤s2021：根据所述cve特征样本以及所述工控资产特征样本对预设预测模型以及预设非线性模型进行训练，获得目标预测模型以及目标非线性模型。
123.需要说明的是，预设预测模型以及预设非线性模型可以由工控资产漏洞检测设备的管理人员预先设置，本实施例对此不加以限制。
124.步骤s2022：对所述目标预测模型以及所述目标非线性模型进行模型融合，获得目标排序模型。
125.在具体实现中，例如，对cve信息以及工控资产信息进行特征提取，然后，根据cve特征样本以及工控资产特征样本通过逻辑回归训练预测模型，获得目标预测模型。因为，逻辑回归是线性模型。因此，还需要采用非线性模型来增加样本的表现能力，可以使用xgboost对cve特征样本以及工控资产特征再进行样本训练，获得目标非线性模型。针对目标预测模型以及目标非线性模型采用gbdt的推荐策略进行模型融合，得到目标排序模型。
126.进一步地，为了进一步优化排序模型，所述步骤s2022，包括：
127.对所述目标预测模型以及所述目标非线性模型进行模型融合，获得当前排序模型；
128.根据所述当前排序模型对所述候选cve信息集中的cve信息进行排序，获得排序结果样本；
129.将所述排序结果样本发送至目标终端设备，并接收所述目标终端设备根据所述排序结果样本反馈的验证结果；
130.在所述验证结果为验证通过时，将所述当前排序模型作为目标排序模型。
131.需要说明的是，目标终端设备可以是工控资产漏洞检测设备的管理人员预先设置的与工控资产漏洞检测设备关联的终端设备。例如，预先与工控资产漏洞检测设备关联的电脑，用户可以通过目标终端设备获取工控资产漏洞检测设备发送的信息。
132.可以理解的是，用户通过目标终端设备获取到排序结果样本后，可以对排序结果样本进行人工审核，并根据人工审核结果生成验证结果。
133.需要说明的是，在本实施例中，也可以不通过目标终端设备来获取排序结果样本，用户也可以直接通过工控资产漏洞检测设备的用户交互界面获取排序结果样本，本实施例对此不加以限制。
134.应当理解的是，在验证结果为验证通过时，说明当前排序模型的准确性较高，此时，可以直接将当前排序模型作为目标排序模型进行后续处理。
135.进一步地，为了更进一步优化排序模型，所述将所述排序结果样本发送至目标终端设备，并接收所述目标终端设备根据所述排序结果样本反馈的验证结果之后，还包括：
136.在所述验证结果为验证未通过时，接收所述目标终端设备根据所述排序结果样本反馈的纠错信息；
137.根据所述纠错信息以及所述排序结果样本生成训练样本，并根据所述训练样本对所述当前排序模型进行训练；
138.返回所述根据所述当前排序模型对所述候选cve信息集中的cve信息进行排序，获得排序结果样本的步骤。
139.可以理解的是，排序结果样本在未通过人工审核时，用户可以对排序结果样本进行纠错，以生成纠错信息。
140.应当理解的是，为了更进一步优化排序模型，需要将纠错信息以及排序结果样本进行合并，来生成新的训练样本，并使用训练样本对当前排序模型进行训练。
141.可以理解的是，在对当前排序模型进行训练后，需要返回根据所述当前排序模型对所述候选cve信息集中的cve信息进行排序，获得排序结果样本，以重新验证再次训练后的排序模型是否满足用户需求。
142.在第三实施例中，公开了根据cve特征样本以及工控资产特征样本对预设预测模型以及预设非线性模型进行训练，获得目标预测模型以及目标非线性模型，对目标预测模型以及目标非线性模型进行模型融合，获得目标排序模型；由于本实施例中，对训练后的目标预测模型以及目标非线性模型进行模型融合，获得目标排序模型，从而能够避免排序模型单一导致的准确率低的缺陷，进而能够提高目标排序模型的可靠性。
143.参照图5，图5为本发明工控资产漏洞检测方法第四实施例的流程示意图，基于上述图2所示的第一实施例，提出本发明工控资产漏洞检测方法的第四实施例。
144.在第四实施例中，所述步骤s10之前，还包括：
145.步骤s01：获取通用漏洞披露cve信息以及工控网络中的工控资产信息，并生成cve信息对应的cve标签。
146.需要说明的是，通用漏洞披露(common vulnerabilities&exposures，cve)信息可以包括cve描述、厂商信息、权限信息以及危害信息等，本实施例对此不加以限制。
147.工控资产信息可以包括工控资产设备的硬件、操作系统、固件版本以及软件版本等信息，本实施例对此不加以限制。
148.可以理解的是，生成cve信息对应的cve标签可以是对cve信息进行特征提取，获得cve特征，并根据cve特征生成cve信息对应的cve标签。
149.步骤s02：将所述工控资产信息与所述cve标签进行匹配，并根据所述匹配结果对所述cve信息进行筛选，获得候选cve信息集。
150.应当理解的是，将工控资产信息与cve标签进行匹配，并根据匹配结果对cve信息进行筛选，获得候选cve信息集可以是将工控资产信息与cve标签进行逐一匹配，并将匹配结果为匹配成功的cve标签对应的cve信息存入候选cve信息集。
151.进一步地，考虑到实际应用中，只将工控资产信息与cve标签进行匹配来对cve信息进行筛选，可能存在筛选条件过于简单的情况。因此，为了克服上述缺陷，所述将工控资产信息与cve标签进行匹配，并根据匹配结果对cve信息进行筛选，获得候选cve信息集，包括：
152.将工控资产信息与cve标签进行模糊匹配，获得模糊匹配结果，根据预设文本相似度模型确定cve信息与工控资产信息的文本相似度，根据预设相似系数模型确定cve信息与工控资产信息的相似系数，根据模糊匹配结果、文本相似度以及相似系数对cve信息进行筛选，获得候选cve信息集。
153.在第四实施例中，公开了获取通用漏洞披露cve信息以及工控网络中的工控资产信息，并生成cve信息对应的cve标签，将工控资产信息与cve标签进行匹配，并根据匹配结果对cve信息进行筛选，获得候选cve信息集；由于本实施例先生成cve标签，再将工控资产
信息与cve标签进行匹配，最后根据匹配结果确定候选cve信息集，从而能够对cve信息进行初步筛选，提高工控资产漏洞检测的处理效率。
154.在第四实施例中，所述步骤s40之后，还包括：
155.步骤s50：获取用户终端信息，并查找所述用户终端信息对应的信息展示模板。
156.需要说明的是，用户终端可以是工控资产漏洞检测设备的管理人员预先设置的用于接收工控资产漏洞检测设备发出消息的终端设备。
157.用户终端信息可以是终端设备型号信息等，本实施例对此不加以限制。
158.可以理解的是，查找用户终端信息对应的信息展示模板可以是在预设模板库中查找用户终端设备对应的信息展示模板。其中，预设模板库中包含用户终端信息与信息展示模板的对应关系，用户终端信息与信息展示模板的对应关系可以由工控资产漏洞检测设备的管理人员预先设置，本实施例对此不加以限制。
159.步骤s60：根据所述信息展示模板以及所述工控资产漏洞信息生成预警信息，并将所述预警信息发送至目标终端设备。
160.应当理解的是，根据信息展示模板以及工控资产漏洞信息生成预警信息可以是将工控资产漏洞信息写入信息展示模板，获得预警信息。
161.在第四实施例中，公开了获取用户终端信息，并查找用户终端信息对应的信息展示模板，根据信息展示模板以及工控资产漏洞信息生成预警信息，并将预警信息发送至目标终端设备；由于本实施例在检测到工控资产漏洞时，会先查找用户终端信息对应的信息展示模板，并根据信息展示模板以及工控资产漏洞信息生成预警信息，从而能够及时通知用户存在工控资产漏洞。
162.参照图6，图6为本发明工控资产漏洞检测方法第五实施例的流程示意图，基于上述图5所示的第四实施例，提出本发明工控资产漏洞检测方法的第五实施例。
163.在第五实施例中，所述步骤s02，包括：
164.步骤s021：将所述工控资产信息与所述cve标签进行模糊匹配，获得模糊匹配结果。
165.应当理解的是，将工控资产信息与cve标签进行模糊匹配，获得模糊匹配结果可以是基于预设模糊匹配脚本对工控资产信息以及cve标签进行模糊匹配，获得模糊匹配结果。其中，预设模糊匹配脚本可以由工控资产漏洞检测设备的管理人员预先设置，本实施例对此不加以限制。
166.进一步地，为了能够减少模糊匹配的运算量，提高模糊匹配的处理效率，所述步骤s021，包括：
167.对所述工控资产信息进行关键词提取，获得关键工控资产信息；
168.将所述关键工控资产信息与所述cve标签进行模糊匹配，获得模糊匹配结果。
169.应当理解的是，对工控资产信息进行关键词提取，获得关键工控资产信息可以是对工控资产信息进行关键词提取，获得工控领域的专有名词，并将工控领域的专有名词作为关键工控资产信息。
170.可以理解的是，将关键工控资产信息与cve标签进行模糊匹配，获得模糊匹配结果可以是基于预设模糊匹配脚本对关键工控资产信息以及cve标签进行模糊匹配，获得模糊匹配结果。其中，预设模糊匹配脚本可以由工控资产漏洞检测设备的管理人员预先设置，本
实施例对此不加以限制。
171.步骤s022：根据预设文本相似度模型确定所述cve信息与所述工控资产信息的文本相似度。
172.需要说明的是，预设文本相似度模型可以是由工控资产漏洞检测设备的管理人员预先设置，本实施例对此不加以限制。
173.进一步地，为了能够提高文本相似度的准确性，所述步骤s022，包括：
174.根据预设词向量模型确定所述cve信息对应的cve词向量以及所述工控资产信息对应的工控资产词向量；
175.根据预设文本相似度模型、所述cve词向量以及所述工控资产词向量确定所述cve信息与所述工控资产信息的文本相似度。
176.需要说明的是。预设词向量模型可以由工控资产漏洞检测设备的管理人员预先设置，在本实施例以及其他实施例中，以word2vec模型为例进行说明。
177.应当理解的是，根据预设文本相似度模型确定cve词向量与工控资产词向量的文本相似度可以是将cve词向量以及工控资产词向量输入预设文本相似度模型，获得cve词向量与工控资产词向量的文本相似度。
178.在具体实现中，例如，siemens跟simatic是经常一块出现的词，但是，它们的关联关系在纯文本匹配中完全体现不出来。因此，需要根据深度训练的词向量来确定这种关联关系。
179.步骤s023：根据预设相似系数模型确定所述cve信息与所述工控资产信息的相似系数。
180.需要说明的是，相似系数可以是jaccard相似系数，用于比较有限样本集之间的相似性与差异性。jaccard系数值越大，样本相似度越高。
181.预设相似系数模型可以是由工控资产漏洞检测设备的管理人员预先设置，本实施例对此不加以限制。
182.步骤s024：根据所述模糊匹配结果、所述文本相似度以及所述相似系数对所述cve信息进行筛选，获得候选cve信息集。
183.可以理解的是，根据模糊匹配结果、文本相似度以及相似系数对cve信息进行筛选，获得候选cve信息集可以是将模糊匹配结果、文本相似度以及相似系数作为参考信息，并根据参考信息对cve信息进行筛选，获得候选cve信息集。
184.进一步地，为了能够提高目标cve信息集的可靠性，所述步骤s024，包括：
185.根据所述模糊匹配结果对所述cve信息进行筛选，获得第一cve信息集；
186.根据所述文本相似度对所述cve信息进行筛选，获得第二cve信息集；
187.根据所述相似系数对所述cve信息进行筛选，获得第三cve信息集；
188.根据所述第一cve信息集、所述第二cve信息集、所述第三cve信息集确定候选cve信息集。
189.应当理解的是，根据模糊匹配结果对cve信息进行筛选，获得第一cve信息集可以是将模糊匹配结果为匹配成功的cve标签对应的cve信息存入第一cve信息集。
190.可以理解的是，根据文本相似度对cve信息进行筛选，获得第二cve信息集可以是根据文本相似度从大到小对cve信息进行排序，从排序结果中选取排序靠前的预先第一数
量cve信息组成第二cve信息集。其中，预设第一数量可以由工控资产漏洞检测设备的管理人员预先设置，本实施例对此不加以限制。
191.应当理解的是，根据相似系数对cve信息进行筛选，获得第三cve信息集可以是根据相似系数从大到小对cve信息进行排序，从排序结果中选取排序靠前的预设第二数量cve信息组成第三cve信息集。其中，预设第二数量可以由工控资产漏洞检测设备的管理人员预先设置，本实施例对此不加以限制。
192.可以理解的是，根据第一cve信息集、第二cve信息集、第三cve信息集确定目标cve信息集可以是将一cve信息集、第二cve信息集以及第三cve信息集进行合并，获得候选cve信息集。
193.在第五实施例中，公开了将工控资产信息与cve标签进行模糊匹配，获得模糊匹配结果，根据预设文本相似度模型确定cve信息与工控资产信息的文本相似度，根据预设相似系数模型确定cve信息与工控资产信息的相似系数，根据模糊匹配结果、文本相似度以及相似系数对cve信息进行筛选，获得候选cve信息集；相较于工控资产信息与cve标签进行匹配，并根据匹配结果对cve信息进行筛选，获得候选cve信息集的方式，由于本实施例中，通过模糊匹配结果、文本相似度以及相似系数对cve信息进行筛选，获得候选cve信息集，从而能够从多方面召回与工控资产信息关联的cve信息，进而能够提高候选cve信息集的可靠性。
194.此外，本发明实施例还提出一种存储介质，所述存储介质上存储有工控资产漏洞检测程序，所述工控资产漏洞检测程序被处理器执行时实现如上文所述的工控资产漏洞检测方法的步骤。
195.此外，参照图7，本发明实施例还提出一种工控资产漏洞检测装置，所述工控资产漏洞检测装置包括：获取模块10、训练模块20、排序模块30和确定模块40；
196.所述获取模块10，用于获取候选cve信息集，所述候选cve信息集基于cve信息以及工控网络中的工控资产信息生成。
197.所述训练模块20，用于根据所述cve信息以及所述工控资产信息进行模型训练，获得目标排序模型。
198.所述排序模块30，用于根据所述目标排序模型对所述候选cve信息集中的cve信息进行排序，并根据排序结果确定目标cve信息集。
199.所述确定模块40，用于根据所述目标cve信息集确定所述工控网络中的工控资产漏洞信息。
200.在本实施例中，公开了获取候选cve信息集，候选cve信息集基于cve信息以及工控网络中的工控资产信息生成，根据cve信息以及工控资产信息进行模型训练，获得目标排序模型，根据目标排序模型对候选cve信息集中的cve信息进行排序，并根据排序结果确定目标cve信息集，根据目标cve信息集确定工控网络中的工控资产漏洞信息；相较于现有的人工将工控资产信息与cve信息进行匹配来确定工控资产漏洞的方式，由于本实施例中先获取根据cve信息以及工控网络中的工控资产信息生成的候选cve信息集，再根据目标排序模型对候选cve信息集中的cve信息进行排序，获得目标cve信息集，再根据目标cve信息集确定工控网络中的工控资产漏洞信息，从而能够准确识别工控网络中的工控资产漏洞，降低工业网络被攻击的风险。
201.本发明所述工控资产漏洞检测装置的其他实施例或具体实现方式可参照上述各方法实施例，此处不再赘述。
202.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
203.上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。词语第一、第二、以及第三等的使用不表示任何顺序，可将这些词语解释为名称。
204.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如只读存储器镜像(read only memory image，rom)/随机存取存储器(random access memory，ram)、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。
205.以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。
206.本发明公开了a1、一种工控资产漏洞检测方法，所述工控资产漏洞检测方法包括以下步骤：
207.获取候选cve信息集，所述候选cve信息集基于cve信息以及工控网络中的工控资产信息生成；
208.根据所述cve信息以及所述工控资产信息进行模型训练，获得目标排序模型；
209.根据所述目标排序模型对所述候选cve信息集中的cve信息进行排序，并根据排序结果确定目标cve信息集；
210.根据所述目标cve信息集确定所述工控网络中的工控资产漏洞信息。
211.a2、如a1所述的工控资产漏洞检测方法，所述根据所述cve信息以及所述工控资产信息进行模型训练，获得目标排序模型的步骤，具体包括：
212.对所述cve信息以及工控资产信息进行特征提取，获得cve特征样本以及工控资产特征样本；
213.根据所述cve特征样本以及所述工控资产特征样本进行模型训练，获得目标排序模型。
214.a3、如a2所述的工控资产漏洞检测方法，所述根据所述cve特征样本以及所述工控资产特征样本进行模型训练，获得目标排序模型的步骤，具体包括：
215.根据所述cve特征样本以及所述工控资产特征样本对预设预测模型以及预设非线性模型进行训练，获得目标预测模型以及目标非线性模型；
216.对所述目标预测模型以及所述目标非线性模型进行模型融合，获得目标排序模
型。
217.a4、如a3所述的工控资产漏洞检测方法，所述对所述目标预测模型以及所述目标非线性模型进行模型融合，获得目标排序模型的步骤，具体包括：
218.对所述目标预测模型以及所述目标非线性模型进行模型融合，获得当前排序模型；
219.根据所述当前排序模型对所述候选cve信息集中的cve信息进行排序，获得排序结果样本；
220.将所述排序结果样本发送至目标终端设备，并接收所述目标终端设备根据所述排序结果样本反馈的验证结果；
221.在所述验证结果为验证通过时，将所述当前排序模型作为目标排序模型。
222.a5、如a4所述的工控资产漏洞检测方法，所述将所述排序结果样本发送至目标终端设备，并接收所述目标终端设备根据所述排序结果样本反馈的验证结果的步骤之后，所述工控资产漏洞检测方法还包括：
223.在所述验证结果为验证未通过时，接收所述目标终端设备根据所述排序结果样本反馈的纠错信息；
224.根据所述纠错信息以及所述排序结果样本生成训练样本，并根据所述训练样本对所述当前排序模型进行训练；
225.返回所述根据所述当前排序模型对所述候选cve信息集中的cve信息进行排序，获得排序结果样本的步骤。
226.a6、如a1所述的工控资产漏洞检测方法，所述根据所述目标排序模型对所述候选cve信息集中的cve信息进行排序，并根据排序结果确定目标cve信息集的步骤，具体包括：
227.根据所述目标排序模型对所述候选cve信息集中的cve信息进行排序，获得排序结果；
228.根据所述排序结果对所述候选cve信息集中的cve信息进行筛选，获得目标cve信息集。
229.a7、如a1所述的工控资产漏洞检测方法，所述根据所述目标cve信息集确定所述工控网络中的工控资产漏洞信息的步骤之后，所述工控资产漏洞检测方法还包括：
230.获取用户终端信息，并查找所述用户终端信息对应的信息展示模板；
231.根据所述信息展示模板以及所述工控资产漏洞信息生成预警信息，并将所述预警信息发送至目标终端设备。
232.a8、如a1-a7中任一项所述的工控资产漏洞检测方法，所述获取候选cve信息集的步骤之前，所述工控资产漏洞检测方法还包括：
233.获取通用漏洞披露cve信息以及工控网络中的工控资产信息，并生成cve信息对应的cve标签；
234.将所述工控资产信息与所述cve标签进行匹配，并根据所述匹配结果对所述cve信息进行筛选，获得候选cve信息集。
235.a9、如a8所述的工控资产漏洞检测方法，所述将所述工控资产信息与所述cve标签进行匹配，并根据所述匹配结果对所述cve信息进行筛选，获得候选cve信息集的步骤，具体包括：
236.将所述工控资产信息与所述cve标签进行模糊匹配，获得模糊匹配结果；
237.根据预设文本相似度模型确定所述cve信息与所述工控资产信息的文本相似度；
238.根据预设相似系数模型确定所述cve信息与所述工控资产信息的相似系数；
239.根据所述模糊匹配结果、所述文本相似度以及所述相似系数对所述cve信息进行筛选，获得候选cve信息集。
240.a10、如a9所述的工控资产漏洞检测方法，所述将所述工控资产信息与所述cve标签进行模糊匹配，获得模糊匹配结果的步骤，具体包括：
241.对所述工控资产信息进行关键词提取，获得关键工控资产信息；
242.将所述关键工控资产信息与所述cve标签进行模糊匹配，获得模糊匹配结果。
243.a11、如a9所述的工控资产漏洞检测方法，所述根据预设文本相似度模型确定所述cve信息与所述工控资产信息的文本相似度的步骤，具体包括：
244.根据预设词向量模型确定所述cve信息对应的cve词向量以及所述工控资产信息对应的工控资产词向量；
245.根据预设文本相似度模型、所述cve词向量以及所述工控资产词向量确定所述cve信息与所述工控资产信息的文本相似度。
246.a12、如a9所述的工控资产漏洞检测方法，所述根据所述模糊匹配结果、所述文本相似度以及所述相似系数对所述cve信息进行筛选，获得候选cve信息集的步骤，具体包括：
247.根据所述模糊匹配结果对所述cve信息进行筛选，获得第一cve信息集；
248.根据所述文本相似度对所述cve信息进行筛选，获得第二cve信息集；
249.根据所述相似系数对所述cve信息进行筛选，获得第三cve信息集；
250.根据所述第一cve信息集、所述第二cve信息集、所述第三cve信息集确定候选cve信息集。
251.本发明公开了b13、一种工控资产漏洞检测设备，所述工控资产漏洞检测设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的工控资产漏洞检测程序，所述工控资产漏洞检测程序被所述处理器执行时实现如上文所述的工控资产漏洞检测方法的步骤。
252.本发明公开了c14、一种存储介质，所述存储介质上存储有工控资产漏洞检测程序，所述工控资产漏洞检测程序被处理器执行时实现如上文所述的工控资产漏洞检测方法的步骤。
253.本发明公开了d15、一种工控资产漏洞检测装置，所述工控资产漏洞检测装置包括：获取模块、训练模块、排序模块和确定模块；
254.所述获取模块，用于获取候选cve信息集，所述候选cve信息集基于cve信息以及工控网络中的工控资产信息生成；
255.所述训练模块，用于根据所述cve信息以及所述工控资产信息进行模型训练，获得目标排序模型；
256.所述排序模块，用于根据所述目标排序模型对所述候选cve信息集中的cve信息进行排序，并根据排序结果确定目标cve信息集；
257.所述确定模块，用于根据所述目标cve信息集确定所述工控网络中的工控资产漏洞信息。
258.d16、如d15所述的工控资产漏洞检测装置，所述训练模块，还用于对所述cve信息以及工控资产信息进行特征提取，获得cve特征样本以及工控资产特征样本；
259.所述训练模块，还用于根据所述cve特征样本以及所述工控资产特征样本进行模型训练，获得目标排序模型。
260.d17、如d16所述的工控资产漏洞检测装置，所述训练模块，还用于根据所述cve特征样本以及所述工控资产特征样本对预设预测模型以及预设非线性模型进行训练，获得目标预测模型以及目标非线性模型；
261.所述训练模块，还用于对所述目标预测模型以及所述目标非线性模型进行模型融合，获得目标排序模型。
262.d18、如d17所述的工控资产漏洞检测装置，所述训练模块，还用于对所述目标预测模型以及所述目标非线性模型进行模型融合，获得当前排序模型；
263.所述训练模块，还用于根据所述当前排序模型对所述候选cve信息集中的cve信息进行排序，获得排序结果样本；
264.所述训练模块，还用于将所述排序结果样本发送至目标终端设备，并接收所述目标终端设备根据所述排序结果样本反馈的验证结果；
265.所述训练模块，还用于在所述验证结果为验证通过时，将所述当前排序模型作为目标排序模型。
266.d19、如d18所述的工控资产漏洞检测装置，所述训练模块，还用于在所述验证结果为验证未通过时，接收所述目标终端设备根据所述排序结果样本反馈的纠错信息；
267.所述训练模块，还用于根据所述纠错信息以及所述排序结果样本生成训练样本，并根据所述训练样本对所述当前排序模型进行训练；
268.所述训练模块，还用于返回所述根据所述当前排序模型对所述候选cve信息集中的cve信息进行排序，获得排序结果样本的步骤。
269.d20、如d15所述的工控资产漏洞检测装置，所述排序模块，还用于根据所述目标排序模型对所述候选cve信息集中的cve信息进行排序，获得排序结果；
270.所述排序模块，还用于根据所述排序结果对所述候选cve信息集中的cve信息进行筛选，获得目标cve信息集。