一种供应链管理系统的安全检测方法及装置

技术领域

本申请实施例涉及信息安全技术领域，尤其涉及一种供应链管理系统的安全检测方法及装置。

背景技术

随着信息通信技术(information and communications technology，ICT)供应链产品及服务的广泛应用，各方对于ICT供应链技术越来越重视。由于ICT供应链覆盖生产、检测、物流等各个环节，由开发方、运输方、使用方、测试方等各方参与其中，一旦供应链中的某个环节出现安全问题，将导致供应链提供的产品及服务存在安全隐患，增加管控难度。

发明内容

有鉴于此，本申请实施例的目的在于提出一种供应链管理系统的安全检测方法及装置，能够检测供应链中存在漏洞的资产。

基于上述目的，本申请实施例提供了一种供应链管理系统的安全检测方法，包括：

获取供应链上的资产信息；其中，所述资产信息包括网络资产信息和组件信息；

根据所述资产信息和预设的漏洞信息构建资产漏洞知识图谱；其中，所述资产漏洞知识图谱包括网络资产、组件以及漏洞之间的关联关系；

根据所述资产漏洞知识图谱，确定存在漏洞的目标资产。

可选的，根据所述资产信息和预设的漏洞信息构建资产漏洞知识图谱，包括：

以所述网络资产信息和/或组件信息为头实体，所述漏洞信息为尾实体，构造包括头实体、三者中两两之间的关系、尾实体的三元组；

利用预设的关联分析模型，基于所述三元组构建所述资产漏洞知识图谱。

可选的，获取供应链上的资产信息，包括：

在发送资产探测报文后，获取资产响应报文；

对所述资产响应报文进行解析，得到所述资产信息。

可选的，所述获取供应链上的资产信息之后，还包括：

对所述资产信息进行预处理，得到预处理后的资产信息；

根据所述资产信息和预设的漏洞信息构建资产漏洞知识图谱，包括：

根据所述预处理后的资产信息和所述漏洞信息构建所述资产漏洞知识图谱。

可选的，构建所述资产漏洞知识图谱之后，还包括：

基于所述资产漏洞知识图谱，从供应链的产品、企业、资产维度，显示供应链视图。

本申请实施例还提供一种供应链管理系统的安全检测装置，包括：

获取模块，用于获取供应链上的资产信息；其中，所述资产信息包括网络资产信息和组件信息；

构建模块，用于根据所述资产信息和预设的漏洞信息构建资产漏洞知识图谱；其中，所述资产漏洞知识图谱包括网络资产、组件以及漏洞之间的关联关系；

定位模块，用于根据所述资产漏洞知识图谱，确定存在漏洞的目标资产。

可选的，所述构建模块，用于以所述网络资产信息和/或组件信息为头实体，所述漏洞信息为尾实体，构造包括头实体、三者中两两之间的关系、尾实体的三元组；利用预设的关联分析模型，基于所述三元组构建所述资产漏洞知识图谱。

可选的，所述获取模块，用于在发送资产探测报文后，获取资产响应报文；对所述资产响应报文进行解析，得到所述资产信息。

可选的，装置还包括：

预处理模块，用于对所述资产信息进行预处理，得到预处理后的资产信息；

所述构建模块，用于根据所述预处理后的资产信息和所述漏洞信息构建所述资产漏洞知识图谱。

可选的，显示模块，用于基于所述资产漏洞知识图谱，从供应链的产品、企业、资产维度，显示供应链视图。

从上面所述可以看出，本申请实施例提供的供应链管理系统的安全检测方法及装置，在获取供应链上的资产信息后，根据资产信息和预设的漏洞信息构建资产漏洞知识图谱，根据资产漏洞知识图谱，确定存在漏洞的目标资产。通过构建包括网络资产、组件与漏洞之间关联关系的知识图谱，可以快速定位供应链中存在漏洞的资产及关联信息，保证供应链安全性。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例的方法流程示意图；

图2为本申请实施例的资产漏洞知识图谱示意图；

图3为本申请实施例的装置结构示意图；

图4为本申请实施例的电子设备结构示意图。

具体实施方式

为使本公开的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本公开进一步详细说明。

需要说明的是，除非另外定义，本申请实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本申请实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同，而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电性的连接，不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系，当被描述对象的绝对位置改变后，则该相对位置关系也可能相应地改变。

如图1所示，本申请实施例的供应链管理系统的安全检测方法，包括：

S101：获取供应链上的资产信息；其中，资产信息包括网络资产信息和组件信息；

本实施例中，ICT供应链上的资产包括硬件、软件、数据库、网络资产、应用服务等。一些方式中，可基于配置的IP地址，向目标资产发送资产探测报文，并接收目标资产针对资产探测报文的资产响应报文，通过对资产响应报文进行解析，获得各项资产信息；或者，基于被动接收的流量，通过解析获得各项资产信息。其中，网络资产信息包括IP地址、端口、域名、服务、通信协议、资产名称、设备类型、所属厂商等，组件信息包括操作系统、数据库、中间件等等。

一些实施方式中，可通过发送SYN数据包或者构造预定协议类型的探测数据包，接收并解析响应的响应包，获得所需资产信息。为减少探测数据的数量，基于单包响应时延统计识别目标资产的操作系统，只发送单个SYN包进行探测，利用随机模型对SYN/ACK重传数据包的超时时间指纹进行分析和识别，该随机模型充分考虑了网络抖动延迟、丢包、人为协议栈内容修改等多种因素，能够提高资产探测的效果及准确性。

一些实施例中，获取供应链上的资产信息之后，还包括：对资产信息进行预处理，得到预处理后的资产信息；之后，根据预处理后的资产信息和漏洞信息构建资产漏洞知识图谱。即，从探测数据包中解析出各项资产信息之后，对资产信息进行预处理，包括过滤无效信息和错误信息、将数据转换为适于后续处理的数据格式等。一些方式中，可将预处理后的数据保存于分布式存储服务器中，利用分布式存储服务器分散存储数据，降低存储负荷，提高系统的可靠性，通过对分布式存储服务器进行统一调度，提高数据处理效率。

可选的，对于预处理后的资产信息，可以发布订阅消息的方式，将数据实时的存储于分布式服务器中。可选的，在分布式服务器中配置列式存储数据库，将预处理后的资产信息保存于列式存储数据库中，提高数据查询效率。

一些方式中，供应链中的部分资产信息还可通过从预定的组织机构获取，例如，从第三方机构获取特定资产的出厂日期、设计参数等信息，使得供应链中保存资产的完整信息。

S102：根据资产信息和预设的漏洞信息构建资产漏洞知识图谱；其中，资产漏洞知识图谱包括网络资产、组件以及漏洞之间的关联关系；

本实施例中，结合图2所示，在供应链中利用漏洞扫描工具进行扫描，当检测到存在漏洞时，根据采集获取的漏洞信息，确定与漏洞信息关联的组件，将资产信息与漏洞信息再进行叠加关联，例如，漏洞信息与某个IP地址、端口号、域名关联等。

在确定了组件与漏洞信息之间的关系，网络资产与漏洞信息之间的关系之后，构建包括资产X，漏洞Y，资产与漏洞之间的关联关系S之间的三元组，表示为(X，S，Y)，资产X为头实体，S为关系，Y为尾实体。构建三元组之后，利用关联分析模型对组件、网络资产与漏洞信息之间的关系进行关联性分析，根据关联性分析结果构建资产漏洞知识图谱。

具体的，以资产X和漏洞Y为实体，构建实体集E＝{e

本实施例中，关联分析模型基于TransE模型实现。将训练集划分为关系三元组和属性三元组Y，假设给定实体X的嵌入时，关系三元组和属性三元组条件独立，则训练集上的似然值表示为：

P(S,Y|X)＝P(S|X)P(Y|X)＝∏

其中，∏

P(e,a,v|X)使用分类模型进行建模，表示为：

V

其中，h(e,a,υ)为评分函数，表示为：

h(e,a,υ)＝-||f(W

式中，f()为非线性激活函数，W

由于属性和关系的划分方便对属性之间关联进行建模，将公式(1)中的P(e,a,v|X)替换为P(e,a,υ|X)∝(υ|e,a,X)P(e,a,v|Y(e))，得到：

其中，P(e,a,v|Y(e))为给定实体e的其他属性Y(e)时，属性三元组(e,a,v)的概率，表示为：

其中，z()为衡量属性间预测相关性的得分函数，用于评价属性三元组(e,a,υ)与每一个包含在属性Y(e)中的属性三元组之间的相关性，且相关性得分正比于

是属性/>

S103：根据资产漏洞知识图谱，确定存在漏洞的目标资产。

本实施例中，根据资产、组件和漏洞信息之间的关系，构建资产漏洞知识图谱之后，可基于资产漏洞知识图谱定位存在漏洞的资产。对于存在漏洞的资产，输出相应的告警信息，以便运维人员及时对供应链中的漏洞进行处理。

一些实施例中，本申请的供应链管理系统的安全检测方法，还包括：基于资产漏洞知识图谱，从供应链的产品、企业、资产维度，显示供应链视图。即，在构建资产漏洞知识图谱之后，可以从供应链中的产品维度显示供应链产品视图，从供应链中的企业及其信息维度显示供应链企业视图，可以从供应链中的资产维度显示供应链资产视图。

可选的，供应链产品视图、供应链企业视图、供应链资产视图等的可视化效果可以有多种显现方式。基于分布式存储服务器中存储的数据，可以按照预设的条件或是输入的查询条件，显示供应链的各类信息，显示参数均可灵活设置。

一些具体实施方式中，构建供应链管理系统的过程包括：通过调研了解供应链企业、产品、服务、项目、人员等情况，得到包括项目列表、企业列表、产品列表、服务列表、人员列表等内容的详细信息。基于调研结果，进一步沟通具体需求，确定开发目标。搭建基础环境，定义逐级安全策略，明确需要开启的服务、端口、协议、访问方向及设备。根据系统设计方案进行开发、测试，测试通过后进入部署运行阶段。供应链系统部署运行，对使用人员进行系统培训，运行过程中未发现重大安全问题，提交系统验收，将供应链系统交付使用。利用供应链管理系统，可以降低成本，实现降耗增效，对供应链资产进行全方位管理，提高运营效率，提升供应链安全管控水平。

需要说明的是，本申请实施例的方法可以由单个设备执行，例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下，由多台设备相互配合来完成。在这种分布式场景的情况下，这多台设备中的一台设备可以只执行本申请实施例的方法中的某一个或多个步骤，这多台设备相互之间会进行交互以完成所述的方法。

需要说明的是，上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

如图3所示，本申请实施例还提供一种供应链管理系统的安全检测装置，包括：

获取模块，用于获取供应链上的资产信息；其中，所述资产信息包括网络资产信息和组件信息；

构建模块，用于根据所述资产信息和预设的漏洞信息构建资产漏洞知识图谱；其中，所述资产漏洞知识图谱包括网络资产、组件以及漏洞之间的关联关系；

定位模块，用于根据所述资产漏洞知识图谱，确定存在漏洞的目标资产。

为了描述的方便，描述以上装置时以功能分为各种模块分别描述。当然，在实施本申请实施例时可以把各模块的功能在同一个或多个软件和/或硬件中实现。

上述实施例的装置用于实现前述实施例中相应的方法，并且具有相应的方法实施例的有益效果，在此不再赘述。

图4示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图，该设备可以包括：处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。

处理器1010可以采用通用的CPU(Central Processing Unit，中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit，ASIC)、或者一个或多个集成电路等方式实现，用于执行相关程序，以实现本说明书实施例所提供的技术方案。

存储器1020可以采用ROM(Read Only Memory，只读存储器)、RAM(Random AccessMemory，随机存取存储器)、静态存储设备，动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序，在通过软件或者固件来实现本说明书实施例所提供的技术方案时，相关的程序代码保存在存储器1020中，并由处理器1010来调用执行。

输入/输出接口1030用于连接输入/输出模块，以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出)，也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等，输出设备可以包括显示器、扬声器、振动器、指示灯等。

通信接口1040用于连接通信模块(图中未示出)，以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信，也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。

总线1050包括一通路，在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。

需要说明的是，尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050，但是在具体实施过程中，该设备还可以包括实现正常运行所必需的其他组件。此外，本领域的技术人员可以理解的是，上述设备中也可以仅包含实现本说明书实施例方案所必需的组件，而不必包含图中所示的全部组件。

上述实施例的电子设备用于实现前述实施例中相应的方法，并且具有相应的方法实施例的有益效果，在此不再赘述。

本实施例的计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。

所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本公开的范围(包括权利要求)被限于这些例子；在本公开的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，步骤可以以任意顺序实现，并存在如上所述的本申请实施例的不同方面的许多其它变化，为了简明它们没有在细节中提供。

另外，为简化说明和讨论，并且为了不会使本申请实施例难以理解，在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外，可以以框图的形式示出装置，以便避免使本申请实施例难以理解，并且这也考虑了以下事实，即关于这些框图装置的实施方式的细节是高度取决于将要实施本申请实施例的平台的(即，这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如，电路)以描述本公开的示例性实施例的情况下，对本领域技术人员来说显而易见的是，可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本申请实施例。因此，这些描述应被认为是说明性的而不是限制性的。

尽管已经结合了本公开的具体实施例对本公开进行了描述，但是根据前面的描述，这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如，其它存储器架构(例如，动态RAM(DRAM))可以使用所讨论的实施例。

本申请实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此，凡在本申请实施例的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本公开的保护范围之内。