(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211306537.1 (22)申请日 2022.10.25 (71)申请人 天津丈八网络安全科技有限公司 地址 300000 天津市滨 海新区滨 海高新区 塘沽海洋 科技园海缘路199号东4-1号 楼401-07 申请人 北京丈八网络安全科技有限公司 (72)发明人 王珩　陆宇翔　闫俊　王杨　 (74)专利代理 机构 北京恒和顿知识产权代理有 限公司 1 1014 专利代理师 魏骞 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/0631(2022.01) H04L 41/147(2022.01) (54)发明名称 一种网络安全测试评估系统及方法 (57)摘要 本发明公开了一种网络安全测试评估系统 及方法， 其中评估方法包括如下步骤： S100、 设置 评估周期， 获取目标网络的初始待处理信息； S200、 设置测试模型， 对目标网络进行网络入侵 检测， 得到测试数据； S300、 对初始待处理信息和 测试数据进行外部安全风险评估和 内部安全风 险评估， 得到外因评估分值和内因评估分值； S400、 根据外因评估分值和内因评估分值计算综 合评分， 得到综合评估等级； S500、 输 出综合评估 结果和相应建议。 本发明相对于现有技术， 通过 对工业控制 网络的网络通信安全进行设备性能 和外部攻击两方面综合评估分析， 评估更客观、 全面， 可以实现数据的智 能化分析与处理， 提高 了网络安全分析的可靠性， 同时提高了设备故障 排查的效率。 权利要求书3页 说明书9页 附图4页 CN 115378744 A 2022.11.22 CN 115378744 A 1.一种网络安全测试评估方法， 其特 征在于， 包括如下步骤： S100、 设置评估周期， 获取目标网络的初始待处 理信息； S200、 设置测试模型， 对目标网络进行网络入侵检测， 得到测试 数据； S300、 对所述初始待处理信息和所述测试数据进行外部安全风险评估和内部安全风险 评估， 得到 外因评估分值和内因评估分值； S400、 根据所述外因评估分值和内因评估分值计算综合评分， 得到综合评估等级； S500、 输出综合评估结果和相应建议， 所述综合评估结果包括外部安全风险评估结果、 内部安全风险评估结果以及综合评估等级。 2.根据权利要求1所述的一种网络安全测试评估方法， 其特征在于， 所述外部安全风险 评估包括如下步骤： S311、 提取所述测试数据的部分网络通信数据， 对网络通信数据进行处理得到外部攻 击行为的第一入侵特征， 所述第一入侵特征包括源  IP 地址、 目标  IP 地址、 IP 数据包头 的长度、 源端口号、 目标端口号、 功能代码、 协议标识符、 报文长度、 数据地址、 数据量、 事务 处理标识符、 单 元标识符12项数据特 征； S312、 特征值的归一化处理： 对所述第一入侵特征进行归一化处理， 统一入侵特征的度 量单位， 得到第二入侵特 征； S313、 设置攻击类型标签， 根据测试数据得到的日志信息识别攻击类型， 对相应攻击行 为打上攻击类型 标签； S314、 计算某个攻击行为的平均攻击时间， 即攻击成功所需的消耗时间： 其中， ti为所述第 二入侵特征中某个特征值发生变化的时间跃迁， n为评估周期内某原 子攻击行为发生的次数； S315、 根据不同攻击类型对目标网络可能造成的严重程度设置不同的相 关系数， 在评 估周期内， 可能存在m种攻击行为， 计算评估周期内攻击行为的总平均实施时间： 其中， 为不同攻击类型对应的相关系数； S316、 根据总平均实施时间的高低判定外部安全风险等级， 得到对应的外因评估分值 G1： 当T＞T1时， 外部安全风险等级为低风险， G1=90； 当T2≤T＜T1时， 外部安全风险等级为中风险， G1=60； 当T＜T3时， 外部安全风险等级为高风险， G1=30； T1、 T2、 T3为外部安全风险评分阈值。 3.根据权利要求2所述的一种网络安全测试评估方法， 其特征在于， 所述内部安全风险 评估流程包括如下步骤： S321、 收集目标网络的各个组件在某一时间段的历史日志信息， 提取所述历史日志信权　利　要　求　书 1/3 页 2 CN 115378744 A 2息中各个故障类型的报文丢失率和报错数， 并作为待预测特 征数据； S322、 将所述待预测特征数据输入评估模型进行计算， 得到各个组件出现的故障概率 和预测类型， 并计算目标网络的综合故障概 率P； S323、 根据所述综合故障概 率判定内部安全风险等级， 得到对应的外因评估分值G2： 当P＞0.8时， 内部安全风险等级为高风险， G2=90； 当0.5≤P＜0.8时， 内部安全风险等级为中风险， G2=60； 当P＜0.5时， 内部安全风险等级为低风险， G2=30。 4.根据权利要求3所述的一种网络安全测试评估方法， 其特征在于， 步骤S322中所述评 估模型计算具体包括如下步骤： 1） 输入待预测特征数据， 将各个组件作为待分类点， 将待预测特征数据信息作为样本 集； 2） 计算待分类点与样本集中第a个样本点之间的曼哈顿距离： 其中， 表示待分类点的第b个特征值， 表示样本集中第a个样本的第b个特征值， 此 处n=2， 对应报文丢失率和报错数2个特 征； 按照距离的递增关系进行排序， 然后选取距离最小的K个点； 确定的K个点所在类别的出现频率， 即作为该组件 对应的类型 预测概率pu； 根据少数服从多数的原则， 在K个点中占比最高的类别作为该组件的预测类型Cu； 计算综合故障概 率： P=p1C1+……+puCu， u表示目标网络的节点设备组件数。 5.根据权利要求4所述的一种网络安全测试评估方法， 其特征在于， 所述步骤S400进一 步包括如下步骤： 综合评分计算过程为： G=α *G1+β *G2， 其中α 为内部安全故障的影响因子， β 为外部攻击的 影响因子， α ＞0， β ＞0， α +β =1； 当G≥85时， 评定目标网络的网络安全风险等级为 Ⅰ级， 表示目标网络的网络通信处于 高风险； 当60≤G＜85时， 评定目标网络的网络安全风险等级为 Ⅱ级， 表示目标网络的网络通信 处于中风险； 当G＜60时， 评定目标网络的网络安全风险等级为 Ⅲ级， 表示目标网络的网络通信处于 低风险。 6.根据权利要求1所述的一种网络安全测试评估方法， 其特征在于， 所述初始待处理信 息包括但不限于历史日志信息、 各节点设备及其组件的型号、 运行 的操作系统及补丁安装 情况、 配置情况、 运行服 务及服务程序版本 。 7.根据权利要求2所述的一种网络安全测试评估方法， 其特征在于， 所述攻击类型标签 包括工控蠕虫攻击、 逻辑炸弹攻击、 勒索病毒攻击、 重放攻击、 DDoS  Attack攻击、 IO劫持攻 击。 8.一种网络安全测试评估系 统， 其特征在于， 包括输入模块 （1） 、 测试模块 （2） 、 评估模 块 （3） 和输出模块 （4） ， 其中， 所述输入 模块： 用于获取目标网络的初始待处 理信息；权　利　要　求　书 2/3 页 3 CN 115378744 A 3