具体实施方式

下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本发明，而非对本发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部结构。

在更加详细地讨论示例性实施例之前应当提到的是，一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各步骤描述成顺序的处理，但是其中的许多步骤可以被并行地、并发地或者同时实施。此外，各步骤的顺序可以被重新安排。当其操作完成时所述处理可以被终止，但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。

图1为本发明实施例提供的一种工业互联网的安全评估系统的结构框图。如图1所示，该工业互联网的安全评估系统100包括：数字模拟模块110、威胁检测模块120和安全评估模块130；

所述数字模拟模块110，用于基于数字孪生技术，对工业互联网系统进行数字模拟，构建工业数字孪生体；

所述威胁检测模块120，用于获取所述工业互联网及所述工业数字孪生体的行为数据信息，并基于所述行为数据信息对所述工业互联网进行威胁检测，并将威胁检测结果发送至安全评估模块130；

所述安全评估模块130，用于基于所述威胁检测结果对所述工业互联网进行安全评估。

其中，数字孪生是对物理世界进行数字化表征的一种方式，是充分利用物理模型、传感器更新、运行历史等数据，集成多学科、多物理量、多尺度、多概率的仿真过程，在虚拟空间中完成映射，从而反映相对应的实体装备的全生命周期过程。数字孪生强调了数字世界与物理世界的双向联接，实现物理孪生体与数字孪生体的同步和反馈。数字仿真不再是孤立、静止的“模型”，而是可以随着物理世界变化、与物理世界互动，甚至影响物理世界的“孪生体”，这种改变一方面增加了数字仿真的真实性，同时也使得数字孪生可以更好的发挥作用。数字孪生价值的本质是数据价值，通过建立在海量数据之上的高级数据分析能力和智能应用，实现了对数字孪生价值的应用。通过对数据的分析和挖掘，建立起物理实体的数据模型，可以更好的认识世界的潜在规律，并支撑做出正确的决策。

在本发明实施例中，数字模拟模块110可以理解为工业互联网的安全评估系统100的基础，其中，数字模拟模块110主要用于：基于数字孪生技术，对工业互联网进行数字模拟，构建工业数字孪生体，其中，工业数字孪生体可以理解为与工业互联网对应的模拟的互联网络。可选的，数字模拟模块110具体用于：基于数字孪生技术，对工业互联网系统中的IT(Internet Technology，信息技术)域、OT(Operation Technology，操作技术)域及漏洞进行数字模拟，构建工业数字孪生体。示例性的，数字模拟模块110可以基于数字孪生技术对工业互联网中的IT域(如办公系统、路由器、操作系统、WEB服务、数据库、中间件、HTTP(Hypertext Transfer Protocol，超文本传输协议)、FTP(File Transfer Protocol，文件传输协议)及Telnet等)进行数字模拟，也可对工业互联网中的OT域的设备(如PLC、DCS控制器等)、系统(如SCADA、HMI等)及协议(如modbus、s7、IEC-104等)进行数字模拟，还可以对工业互联网中的漏洞进行数字模拟，建立工业数字孪生体。其中，基于数字孪生技术构建的高仿真工业数字孪生体不是简单地模拟某些协议或服务，而是通过数据模拟将系统显得更加真实，一方面减少攻击者的怀疑，另一方面有助于深入跟踪攻击者的行为，为尝试发现敏感数据而进行的横向移动进行监控。威胁检测模块120可以通过在工业互联网及工业数字孪生体的现场设备生产层、现场控制层、过程检测层、生产管理层及企业网络层等各层之间和外网出口部署探针采集设备，实时采集工业互联网及工业数字孪生体的行为数据信息。威胁检测模块120基于行为数据信息对工业互联网进行威胁检测，例如，威胁检测模块120对行为数据信息打标签，并与对应的各类特征库进行特征匹配，以实现对工业互联网进行威胁检测。可选的，所述行为数据信息包括：行为数据产生时间、行为数据类型、行为数据危险级别、源IP地址、源端口、目的IP地址及目的端口。其中，当工业数字孪生体中产生行为数据时，可直接认为工业数字孪生体中的行为数据为异常数据，则认为工业互联网存在安全威胁；当根据行为数据信息确定行为数据为工业互联网产生的交互行为数据时，可对行为数据信息进行分析，判断工业互联网是否存在安全威胁，如行为数据信息与特征库的数据不匹配时，可认为与该行为数据信息对应的行为数据可能对工业互联网存在安全威胁。在本发明实施例中，威胁检测模块120根据行为数据信对工业互联网进行威胁检测，确定威胁检测结果，其中，威胁检测结果不仅包括工业互联网是否存在安全威胁，以及若工业互联网存在安全威胁时的安全威胁类型，其中，安全威胁类型可以包括网络攻击、系统攻击、恶意程序、异常行为等。安全评估模块130获取威胁检测模块120发送的威胁检测结果，并根据威胁检测结果对工业互联网进行安全评估。例如，当威胁检测结果为工业互联网不存在安全威胁时，可确定工业互联网的安全性很高，而当威胁检测结果为工业互联网存在安全威胁时，可进一步根据安全威胁类型，确定工业互联网的安全性高低。

本发明实施例提供了一种工业互联网的安全评估系统，所述系统包括：数字模拟模块、威胁检测模块和安全评估模块；所述数字模拟模块，用于基于数字孪生技术，对工业互联网系统进行数字模拟，构建工业数字孪生体；所述威胁检测模块，用于获取所述工业互联网及所述工业数字孪生体的行为数据信息，并基于所述行为数据信息对所述工业互联网进行威胁检测，并将威胁检测结果发送至安全评估模块；所述安全评估模块，用于基于所述威胁检测结果对所述工业互联网进行安全评估。通过采用上述技术手段，可以基于数字孪生构建与工业互联网实体对应的数字孪生体，并基于数字孪生体及工业互联网的行为数据信息，对工业互联网进行安全评估，在大大降低成本投入的前提下，可提高对工业互联网进行安全评估的快速性和准确性。

图2为本实施例提供的另一种工业互联网的安全评估系统的结构框图。如图2所示，所述工业互联网的安全评估系统100还包括态势感知模块140；所述态势感知模块140，用于获取所述威胁检测模块120发送的所述行为数据信息，并对所述行为数据信息进行关联分析，确定所述工业互联网中的安全态势，并将所述安全态势发送至所述安全评估模块130；所述安全评估模块130具体用于，基于所述威胁检测结果及所述安全态势对所述工业互联网进行安全评估。这样设置的好处在于，可以进一步地对威胁检测模块120未检测出的高级攻击和未知威胁进行有效发现，以进一步提高对工业互联网进行安全评估的准确性。

具体的，威胁检测模块120将采集的行为数据信息发送至态势感知模块140，态势感知模块140对行为数据信息进行关联分析，以对未知威胁(可以理解为威胁检测模块120为检测出的威胁行为)进行挖掘，如可对0day及APT等高级攻击与未知威胁进行有效发现，从而确定工业互联网中的安全态势。例如，可基于预先构建的安全态势智能分析模型，对威胁检测模块120采集的行为数据信息进行综合分析，确定工业互联网中的安全态势，其中，安全态势智能分析模型为基于大量的历史行为数据信息构建的机器学习模型。态势感知模块140将确定的工业互联网中的安全态势发送至安全评估模块130，安全评估模块130根据威胁检测结果及安全态势对工业互联网进行准确、全面的安全评估。可选的，所述态势感知模块140还用于：当确定所述工业互联网的安全态势为被攻击状态时，确定所述工业互联网的攻击源。具体的，当态势感知模块140对行为数据信息进行关联分析后，确定工业互联网的安全态势为被攻击状态时，态势感知模块140进一步对行为数据信息进行分析，确定工业互联网的攻击源。可选的，威胁检测模块120还可将威胁检测结果发送至态势感知模块140，当态势感知模块140根据威胁检测结果确定工业互联网存在安全威胁时，进行威胁预警，以尽快提醒管理人员工业互联网存在安全威胁，从而可尽可能保护工业互联网的安全性。

如图2所示，所述系统还包括自动化响应模块150；所述自动化响应模块150，用于基于所述威胁检测结果及所述工业互联网中的安全态势，确定安全防御策略，并将所述安全防御策略发送至所述工业互联网，以使所述工业互联网基于所述安全防御策略进行安全响应。这样设置的好处在于，可以保证工业互联网的安全运行，实现工业互联网安全运营持续的自动化响应，大幅度其提升安全运营的效率。

具体的，自动化响应模块150接收威胁检测模块120发送的威胁检测结果及态势感知模块140发送的工业互联网的安全态势，并根据威胁检测结果及安全态势，确定安全防御策略，其中，安全防御策略可以理解为针对不同的威胁检测结果及安全态势，自动定制的安全防御方法。自动化响应模块150将安全防御策略发送至工业互联网，以使工业互联网基于安全防御策略进行安全响应。可选的，自动化响应模块150还可依托SOAR的安全编排自动化响应能力，依据完整精确的取证信息对所保障的工业互联网进行快速隔离、清除、加固，以保证整体网络及业务的安全运行，实现安全运营持续的自动化响应，大幅度提升安全运营的效率。可选的，自动化响应模块150还可以将安全防御策略发送至其他安全防控设备，使安全防控设备以回注的方式实现攻击数据对工业互联网访问的封堵，也可与防火墙等安全设备联动基于安全防御策略实现访问控制，以避免工业互联网的安全风险的进一步扩大。当然，自动化响应模块150还可对工业互联网中已经被攻击的主机进行加固和修复。

如图2所示，所述系统还包括：可视化界面呈现模块160；所述可视化界面呈现模块160，用于将所述行为数据信息、所述威胁检测结果及所述安全态势在可视化界面进行展示。具体的，在本发明实施例中，可视化界面呈现模块160可以以预设方式将行为数据信息、威胁检测结果及安全态势在可视化界面进行展示。可选的，还可以将包括工业数字孪生体的运行状态、安全事件数量分析、按时间趋势分析、事件类型分布、事件详情查询、攻击源信息等信息在可视化界面进行直观展示，以使安全技术人员基于告警相关信息进行综合研判，启动处置响应。

图3是本发明实施例提供的另一种工业互联网的安全评估系统的结构框图，可结合上述实施例对该结构框图进行理解，在此不再赘述。

图4为本实施例提供的一种工业互联网的安全评估方法的流程图。如图4所示，该方法包括如下步骤：

步骤410，基于数字孪生技术，对工业互联网系统进行数字模拟，构建工业数字孪生体。

步骤420，获取所述工业互联网及所述工业数字孪生体的行为数据信息，并基于所述行为数据信息对所述工业互联网进行威胁检测，确定威胁检测结果。

步骤430，基于所述威胁检测结果对所述工业互联网进行安全评估。

本发明实施例提供的工业互联网的安全评估方法，可以基于数字孪生构建与工业互联网实体对应的数字孪生体，并基于数字孪生体及工业互联网的行为数据信息，对工业互联网进行安全评估，在大大降低成本投入的前提下，可提高对工业互联网进行安全评估的快速性和准确性。

可选的，在基于所述威胁检测结果对所述工业互联网进行安全评估之前，还包括：

对所述行为数据信息进行关联分析，确定所述工业互联网中的安全态势；

相应的，基于所述威胁检测结果对所述工业互联网进行安全评估，包括：

基于所述威胁检测结果及所述安全态势对所述工业互联网进行安全评估。

可选的，所述方法还包括：

基于所述威胁检测结果及所述工业互联网中的安全态势，确定安全防御策略，并将所述安全防御策略发送至所述工业互联网，以使所述工业互联网基于所述安全防御策略进行安全响应。

注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解，本发明不限于这里所述的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽然通过以上实施例对本发明进行了较为详细的说明，但是本发明不仅仅限于以上实施例，在不脱离本发明构思的情况下，还可以包括更多其他等效实施例，而本发明的范围由所附的权利要求范围决定。