CN110545280A - 一种基于威胁检测准确度的量化评估方法 - Google Patents

一种基于威胁检测准确度的量化评估方法 Download PDF

Info

Publication number
CN110545280A
CN110545280A CN201910848817.7A CN201910848817A CN110545280A CN 110545280 A CN110545280 A CN 110545280A CN 201910848817 A CN201910848817 A CN 201910848817A CN 110545280 A CN110545280 A CN 110545280A
Authority
CN
China
Prior art keywords
threat
asset
detection accuracy
accuracy
detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910848817.7A
Other languages
English (en)
Other versions
CN110545280B (zh
Inventor
吴鹏
陆立业
陈燕斌
杨然
刘一兵
邵将
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Huasai Online Technology Co Ltd
Original Assignee
Beijing Huasai Online Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Huasai Online Technology Co Ltd filed Critical Beijing Huasai Online Technology Co Ltd
Priority to CN201910848817.7A priority Critical patent/CN110545280B/zh
Publication of CN110545280A publication Critical patent/CN110545280A/zh
Application granted granted Critical
Publication of CN110545280B publication Critical patent/CN110545280B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种基于威胁检测准确度的量化评估方法,基于待检测资产中的异常流量构建攻击链;对攻击链包含的威胁事件,以及威胁资产的关联信息进行评估,确定所述威胁事件和威胁资产关联信息的检测准确度;根据所述检测准确度的综合评分,确定检测资产威胁的准确度等级;上述方案将威胁检测异常流量的自关联准确度评估与关联漏洞、区域边界和通信网络、资产环境威胁检测的准确度评估相结合,以确定威胁检测结果的准确度,以便用户在海量数据中快速获取价值最高的异常流量。

Description

一种基于威胁检测准确度的量化评估方法
技术领域
本发明属于网络安全检测技术领域,具体涉及一种基于威胁检测准确度的量化评估方法。
背景技术
随着我国互联网脚步的加快,威胁不断加剧,网络安全隐患越来越多。对网络和设备的攻击,可能破坏企业重要装置的正常测控,由此引发的后果是灾难性的。国家对网络的安全越来越重视。但是当前仍然缺乏一种可量化的威胁准确度评估方法,可以直观、量化的评定一个网络威胁的准确度。现有威胁检测往往会产生大量异常流量信息,单纯的列出异常流量信息,难以发掘其中具有风险或者有价值的威胁信息。
其中,发明专利CN101309179B一种基于主机活跃性和通信模式分析实时异常流量检测方法,通过知识库与检测出的流量进行对比,对比一致的归为异常流量。这种方式检测方法单一,对异常流量评估准确度较低。
而发明专利CN109617888A一种基于神经网络的异常流量检测方法及***,通过神经网络模型进行训练提高异常流量检测的准确性。但该方法需要大量训练,且训练的模型对环境依赖较大。
发明内容
为了解决现有技术的问题,本发明提供一种基于威胁检测准确度的量化评估方法,通过对异常流量的多个指标进行量化计算,关联威胁检测结果,评估威胁检测结果的准确度,以便用户在海量数据中快速获取到价值最高的异常流量。
为了实现上述发明目的,本发明采取如下技术方案:
一种基于威胁检测准确度的量化评估方法,所述方法包括:
基于待检测资产中的异常流量构建攻击链;
对所述攻击链包含的威胁事件,以及威胁资产的关联信息进行评估,确定所述威胁事件和威胁资产关联信息的检测准确度;
根据所述检测准确度的综合评分,确定检测资产威胁的准确度等级。
优选的,所述基于待检测资产中的异常流量构建攻击链包括:
通过扫描工具获取待检测资产在单位时间段内的异常流量;
将所述异常流量输入安全分析器,输出攻击链G;其中,
所述攻击链G包含n个威胁事件L1、L2,……,Ln。
优选的,所述对攻击链包含的威胁事件,以及威胁资产的关联信息进行评估,确定所述威胁事件和威胁资产关联信息的检测准确度包括:
根据预先定义的威胁事件攻击阶段,划分攻击链中的威胁事件;
对处于不同攻击阶段的威胁事件进行评估,确定威胁事件的检测准确度;
逐一计算资产威胁关联的漏洞检测准确度、区域边界和通信网络、资产环境的检测准确度;
其中,所述攻击阶段包括:渗透入侵,C&C通信,横向移动,数据收集和数据外发。
进一步地,通过下式确定威胁事件的检测准确度:
WX=Max(xi)
其中,WX表示威胁事件的检测准确度评分,xi表示第i个威胁事件Li的检测准确度。
进一步地,所述逐一计算资产威胁关联的漏洞检测准确度包括:
通过检测威胁事件的相关信息,获得资产威胁关联的漏洞;
根据所述漏洞严重程度的最大值,确定漏洞的检测准确度;
其中,所述威胁事件相关信息包括:引发威胁事件的相关组件、端口和服务信息。
进一步地,通过下式确定漏洞的检测准确度:
LD=10Max(yi)
其中,yi为第i个关联漏洞的严重程度,LD为漏洞的检测准确度评分。
进一步地,所述逐一计算资产威胁关联的区域边界和通信网络的检测准确度包括:
将资产威胁关联的区域边界和通信网络定义为资产的第一计算要素;
根据所述资产的第一计算要素均值,确定第一计算要素的检测准确度,以实现资产威胁关联的区域边界和通信网络的检测准确度评估;
其中,所述区域边界和通信网络的检测包括:非法外联控制、非法内联控制和隔离装置的检测。
进一步地,通过下式确定第一计算要素的检测准确度:
其中,WL为资产威胁关联的区域边界和通信网络的检测准确度评分,zi表示资产的第i 个第一计算要素,m表示第一计算要素数量。
进一步地,所述逐一计算资产威胁关联的资产环境的检测准确度包括:
将资产威胁关联的资产环境定义为资产的第二计算要素;
根据所述资产的第二计算要素均值,确定第二计算要素的检测准确度,以实现资产威胁关联的资产环境的检测准确度评估;
其中,所述资产威胁关联的资产环境包括:服务配置、组件配置、违规外设和***配置。
进一步地,通过下式确定第二计算要素的检测准确度:
其中,HJ为资产威胁关联的资产环境检测准确度评分,vi表示资产的第i个第二计算要素,k表示第二计算要素数量。
优选的,通过下式确定检测准确度的综合评分:
P=αWX+βLD+γWL+δHJ
其中,P为检测准确度的综合评分,α为威胁事件自身的权重,β为资产威胁关联的漏洞权重,γ为资产威胁关联的区域边界和通信网络的权重,δ资产威胁关联的资产环境权重。
与最接近的现有技术相比,本发明具有的有益效果:
本发明提出的一种基于威胁检测准确度的量化评估方法,首先基于待检测资产中的异常流量构建攻击链;通过威胁检测出的流量在一定时间内进行分析,得到威胁事件的攻击链,根据所处攻击链的攻击阶段,可判断威胁检测的准确度;通过这种方式可以过滤掉大量无关联或是误报的威胁信息。
针对通过威胁本身判断其准确度的局限性,其次对攻击链包含的威胁事件以及威胁资产的关联信息进行评估,确定威胁事件和威胁资产关联信息的检测准确度。通过威胁事件,关联可能威胁的资产的漏洞、区域边界和通信网络、资产环境的相关信息,进一步判断威胁是否真正的构成攻击,可以大大提高检测威胁信息的准确度。
最后根据检测准确度的综合评分,确定检测资产威胁的准确度等级,以便用户在海量数据中快速获取价值最高的异常流量,有利于技术人员对于整个信息安全的发展态势的掌控,在一定程度上确保了网络资产的安全性和网络的正常运行。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中,类似的元件或部分一般由类似的附图标记标识。附图中,各元件或部分并不一定按照实际的比例绘制。
图1为本发明具体实施方式提供的基于威胁检测准确度的量化评估方法流程图;
图2为本发明具体实施方式提供的攻击链示意图。
具体实施方式
下面结合附图对本发明的具体实施方式做进一步的详细说明。
为了具体了解本发明提供的技术方案,将在下面的实施例中对本发明的技术方案做出详细的描述和说明。显然,本发明提供的实施例并不限定于本领域的技术人员所熟习的特殊细节。本发明的较佳实施例详细描述如下,除这些描述外,本发明还可以具有其他实施方式。
如图1所示,本发明具体实施方式涉及一种基于威胁检测准确度的量化评估方法,该方法具体包括以下步骤:
S1基于待检测资产中的异常流量构建攻击链;
S2对攻击链包含的威胁事件,以及威胁资产的关联信息进行评估,确定所述威胁事件和威胁资产关联信息的检测准确度;
S3根据所述检测准确度的综合评分,确定检测资产威胁的准确度等级。
步骤S1中,基于待检测资产中的异常流量构建攻击链包括:
通过扫描工具获取待检测资产在单位时间段内的异常流量;
将所述异常流量输入安全分析器,输出攻击链G;其中,
所述攻击链G包含n个威胁事件L1、L2,……,Ln。
本发明引入美国学者Xinming(Simon)OU所带领研究团队开发的安全分析器MulVAL,用于生成攻击链,帮助***管理员更好地控制资产风险。可发现利用同一主机或不同主机之间的漏洞组合带来的安全问题。攻击链考虑到漏洞间的交互作用,能够很好地反映出多阶段的威胁事给资产带来的风险。
步骤S2中,对攻击链包含的威胁事件,以及威胁资产的关联信息进行评估,确定所述威胁事件和威胁资产关联信息的检测准确度包括:
a、根据预先定义的威胁事件攻击阶段,划分攻击链中的威胁事件;其中,攻击阶段包括:渗透入侵,C&C通信,横向移动,数据收集和数据外发。
b、对处于不同攻击阶段的威胁事件进行评估,确定威胁事件的检测准确度;
c、逐一计算资产威胁关联的漏洞检测准确度、区域边界和通信网络、资产环境的检测准确度.
步骤b,通过下式确定威胁事件的检测准确度:
WX=Max(xi)
其中,WX表示威胁事件的检测准确度评分,xi表示第i个威胁事件Li的检测准确度。
步骤c中,逐一计算资产威胁关联的漏洞检测准确度包括:
通过检测威胁事件的相关信息,获得资产威胁关联的漏洞;
根据所述漏洞严重程度的最大值,确定漏洞的检测准确度;
其中,所述威胁事件相关信息包括:引发威胁事件的相关组件、端口和服务信息。
通过下式确定漏洞的检测准确度:
LD=10Max(yi)
其中,yi为第i个关联漏洞的严重程度,LD为漏洞的检测准确度评分。
步骤c中,逐一计算资产威胁关联的区域边界和通信网络的检测准确度包括:
将资产威胁关联的区域边界和通信网络定义为资产的第一计算要素;
根据资产的第一计算要素均值,确定第一计算要素的检测准确度,以实现资产威胁关联的区域边界和通信网络的检测准确度评估;
其中,所述区域边界和通信网络的检测包括:非法外联控制、非法内联控制和隔离装置的检测。
通过下式确定第一计算要素的检测准确度:
其中,WL为资产威胁关联的区域边界和通信网络的检测准确度评分,zi表示资产的第i 个第一计算要素,m表示第一计算要素数量。
步骤c中,所述逐一计算资产威胁关联的资产环境的检测准确度包括:
将资产威胁关联的资产环境定义为资产的第二计算要素;
根据资产的第二计算要素均值,确定第二计算要素的检测准确度,以实现资产威胁关联的资产环境的检测准确度评估;其中,所述资产威胁关联的资产环境包括:服务配置、组件配置、违规外设和***配置。
通过下式确定第二计算要素的检测准确度:
其中,HJ为资产威胁关联的资产环境检测准确度评分,vi表示资产的第i个第二计算要素,k表示第二计算要素数量。
步骤S3中,通过下式确定检测准确度的综合评分:
P=αWX+βLD+γWL+δHJ
其中,P为检测准确度的综合评分,α为威胁事件自身的权重,β为资产威胁关联的漏洞权重,γ为资产威胁关联的区域边界和通信网络的权重,δ资产威胁关联的资产环境权重。可根据关联的各部分的关键程度定义权重值,例如α=0.3,β=0.3,γ=0.2,δ=0.2。根据综合评分P,定义威胁检测准确度综合评分级别:
准确度度低:0≤P<38、准确度度中:38≤P<63、准确度度高:63≤P<100
通过执行步骤S1-S3,方便了用户在海量数据中快速获取到价值最高的异常流量。此外,用户还可以针对异常流量、以及威胁资产的关联信息制定相应的防御策略。例如访问控制限制、打补丁、应用软件升级、修改默认用户名与密码和查杀木马等等。
实施例1:根据上述具体实施方式提出以下实施例:
(1)基于威胁流量自身的准确度评估
威胁事件一般存在多个攻击阶段:1、渗透入侵,2、C&C通信,3、横向移动,4、数据收集,5、数据外发。基于资产在一段时间内(如:24小时内)对流量进行分析,可以得到威胁事件的攻击链(如图2)。对于不构成攻击链的异常流量,可能是误报或者无用信息,这样的流量只需继续观察。但根据所处的攻击链中的异常流量,可以通过不同的阶段根据不同的结论给出一个准确度评分。
定义:WX为威胁准确度评分,WX的计算公式如下:
WX=Max(xi)
其中xi表示第i个威胁事件准确度评分。根据威胁事件结论,现在定义威胁事件准确度评分。如下表所示。威胁事件会有多条,威胁事件处于攻击链越深准确度越大。
威胁事件结论 准确度
继续观察 10
疑似成功 40
威胁扩散 60
设备沦陷 80
深度受害 100
(2)关联其他维度的准确度评估
1、漏洞关联分析
每个资产可能存在漏洞,会影响相关组件、端口、服务等,威胁事件可能会利用这些漏洞,对资产进一步的威胁。当威胁事件产生后,根据组件、端口、服务等相关信息,关联威胁危害的资产的漏洞,可以进一步的提升威胁检测的可信度。如:威胁检测出“PHP-Update'Guestadd.PHP'多个SQL注入”的威胁,然后关联资产所有组件查看是否有PHP组件,再通过先前对PHP组件的漏洞扫描结果分析,若存在CVE编号为“CVE-2006-6880”的漏洞则说明该威胁很可能通过SQL注入入侵资产。漏洞危害越严重,威胁资产的可能性越大,现在通过,威胁关联出的漏洞的严重程度,来建立可信度的评分。漏洞的严重程度一般分为三档:高危、中危和低危。根据漏洞的严重程度不同,每个漏洞都有固定的漏洞评分,漏洞评分的取值参考CVSS的评定。
定义,LD为威胁关联漏洞的准确度评分。LD计算公式如下:
LD=10Max(xi)
其中,xi为一个漏洞的的CVSS评分,10倍是为了后续计算总分对齐的系数,一
般多条漏洞,取决于最严重的一条漏洞,在这里求出这些漏洞的最大值,作为最终威胁准确度判定的一个方面。
2、关联区域边界和通信网络的准确度评估
在未发现主机违规外联至外网情况,资产与外部数据之间的交换是隔离的。威胁检测出的异常流量信息可能是内网流量报文回放导致,这种条件下的威胁度较低,同时威胁的准确也相对较低。而在不合规的情况下,即资产与外网或是外部数据有交互行为,此时异常流量,可能会加大资产的风险,同时威胁的准确也相对较高。区域边界和通信网络的检测主要是非法外联控制、非法内联控制、隔离装置检测等方面的检测。
定义,WL为威胁关联的区域边界和通信网络的准确度评分,WL的计算公式如下:
其中,xi表示资产的第i个计算要素,n表示要计算要素数。现在定义计算要素准确度评分。如下表所示。
计算要素 准确度
非法外联控制 40
非法内联控制 20
隔离装置检测 40
3、关联资产环境的准确度评估
威胁除了与上述的漏洞,区域边界和通信网络,相关之外,还与资产本身的相关环境或配置有关,如果配置过于简单或者为默认,则威胁对资产的威胁准确度就会变高。如:现有威胁为暴力破解,而资产操作***密码为弱口令,那么该威胁很有可能利用这点获取资产的控制权。相关环境包括,服务配置、组件配置、违规外设,***配置等方面。
定义,HJ为威胁关联的资产环境的准确度评分,HJ的计算公式如下,
其中,xi表示资产的第i个计算要素,n表示要计算要素数。
现在定义计算要素准确度评分。如下表所示
计算要素 准确度评分
服务配置 25
组件配置 25
违规外设 25
操作***配置 25
(3)威胁检测准确度综合评分计算
定义:P为检测准确度综合评分,P的计算公式如下:
P=αWX+βLD+γWL+δHJ
其中,α为威胁检测自身的权重,β为关联漏洞的权重,γ为关联的区域边界和通信网络的权重,δ关联资产环境的权重。根据各部分的关键程度,定义α=0.3,β=0.3,γ=0.2,δ=0.2。
根据综合评分P,定义如下威胁检测准确度综合评分级别:
准确度度低:0≤P<38
准确度度中:38≤P<63
准确度度高:63≤P<100
实施例2:基于同一发明构思,本申请还提出一种安全防护设备联动防御策略智能决策***,所述***包括:
构建模块,用于基于待检测资产中的异常流量构建攻击链;
评估模块,用于对攻击链包含的威胁事件,以及威胁资产的关联信息进行评估,确定所述威胁事件和威胁资产关联信息的检测准确度;
准确度确定模块,用于根据检测准确度的综合评分,确定检测资产威胁的准确度等级。
本领域内的技术人员应明白,本申请的实施例可提供为方法、***、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和 /或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

Claims (10)

1.一种基于威胁检测准确度的量化评估方法,其特征在于,所述方法包括:
基于待检测资产中的异常流量构建攻击链;
对所述攻击链包含的威胁事件,以及威胁资产的关联信息进行评估,确定所述威胁事件和威胁资产关联信息的检测准确度;
根据所述检测准确度的综合评分,确定检测资产威胁的准确度等级。
2.根据权利要求1所述的方法,其特征在于,所述基于待检测资产中的异常流量构建攻击链包括:
通过扫描工具获取待检测资产在单位时间段内的异常流量;
将所述异常流量输入安全分析器,输出攻击链G;其中,
所述攻击链G包含n个威胁事件L1、L2,……,Ln。
3.根据权利要求1所述的方法,其特征在于,所述对攻击链包含的威胁事件,以及威胁资产的关联信息进行评估,确定所述威胁事件和威胁资产关联信息的检测准确度包括:
根据预先定义的威胁事件攻击阶段,划分攻击链中的威胁事件;
对处于不同攻击阶段的威胁事件进行评估,确定威胁事件的检测准确度;
逐一计算资产威胁关联的漏洞检测准确度、区域边界和通信网络、资产环境的检测准确度;
其中,所述攻击阶段包括:渗透入侵,C&C通信,横向移动,数据收集和数据外发。
4.根据权利要求3所述的方法,其特征在于,通过下式确定威胁事件的检测准确度:
WX=Max(xi)
其中,WX表示威胁事件的检测准确度评分,xi表示第i个威胁事件Li的检测准确度。
5.根据权利要求3所述的方法,其特征在于,所述逐一计算资产威胁关联的漏洞检测准确度包括:
通过检测威胁事件的相关信息,获得资产威胁关联的漏洞;
根据所述漏洞严重程度的最大值,确定漏洞的检测准确度;
其中,所述威胁事件相关信息包括:引发威胁事件的相关组件、端口和服务信息。
6.根据权利要求5所述的方法,其特征在于,通过下式确定漏洞的检测准确度:
LD=10Max(yi)
其中,yi为第i个关联漏洞的严重程度,LD为漏洞的检测准确度评分。
7.根据权利要求3所述的方法,其特征在于,所述逐一计算资产威胁关联的区域边界和通信网络的检测准确度包括:
将资产威胁关联的区域边界和通信网络定义为资产的第一计算要素;
根据所述资产的第一计算要素均值,确定第一计算要素的检测准确度,以实现资产威胁关联的区域边界和通信网络的检测准确度评估;
其中,所述区域边界和通信网络的检测包括:非法外联控制、非法内联控制和隔离装置的检测;
通过下式确定第一计算要素的检测准确度:
其中,WL为资产威胁关联的区域边界和通信网络的检测准确度评分,zi表示资产的第i个第一计算要素,m表示第一计算要素数量。
8.根据权利要求3所述的方法,其特征在于,所述逐一计算资产威胁关联的资产环境的检测准确度包括:
将资产威胁关联的资产环境定义为资产的第二计算要素;
根据所述资产的第二计算要素均值,确定第二计算要素的检测准确度,以实现资产威胁关联的资产环境的检测准确度评估;
其中,所述资产威胁关联的资产环境包括:服务配置、组件配置、违规外设和***配置。
9.根据权利要求8所述的方法,其特征在于,通过下式确定第二计算要素的检测准确度:
其中,HJ为资产威胁关联的资产环境检测准确度评分,vi表示资产的第i个第二计算要素,k表示第二计算要素数量。
10.根据权利要求1所述的方法,其特征在于,通过下式确定检测准确度的综合评分:
P=αWX+βLD+γWL+δHJ
其中,P为检测准确度的综合评分,α为威胁事件自身的权重,β为资产威胁关联的漏洞权重,γ为资产威胁关联的区域边界和通信网络的权重,δ资产威胁关联的资产环境权重。
CN201910848817.7A 2019-09-09 2019-09-09 一种基于威胁检测准确度的量化评估方法 Active CN110545280B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910848817.7A CN110545280B (zh) 2019-09-09 2019-09-09 一种基于威胁检测准确度的量化评估方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910848817.7A CN110545280B (zh) 2019-09-09 2019-09-09 一种基于威胁检测准确度的量化评估方法

Publications (2)

Publication Number Publication Date
CN110545280A true CN110545280A (zh) 2019-12-06
CN110545280B CN110545280B (zh) 2021-12-24

Family

ID=68713003

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910848817.7A Active CN110545280B (zh) 2019-09-09 2019-09-09 一种基于威胁检测准确度的量化评估方法

Country Status (1)

Country Link
CN (1) CN110545280B (zh)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110881050A (zh) * 2019-12-20 2020-03-13 万翼科技有限公司 安全威胁检测方法及相关产品
CN111147491A (zh) * 2019-12-26 2020-05-12 深信服科技股份有限公司 一种漏洞修复方法、装置、设备及存储介质
CN111314361A (zh) * 2020-02-24 2020-06-19 杭州安恒信息技术股份有限公司 一种基于细菌觅食算法的攻击威胁感知方法和装置
CN112819336A (zh) * 2021-02-03 2021-05-18 国家电网有限公司 一种基于电力监控***网络威胁的量化方法及***
CN113542250A (zh) * 2021-07-09 2021-10-22 中国工商银行股份有限公司 基于区块链的网络威胁分析方法、装置及***
CN113591092A (zh) * 2021-06-22 2021-11-02 中国电子科技集团公司第三十研究所 一种基于漏洞组合的攻击链构建方法
CN115580426A (zh) * 2022-08-23 2023-01-06 国网江苏省电力有限公司电力科学研究院 5g电力业务***威胁检测方法、***、存储器及设备
CN115580426B (zh) * 2022-08-23 2024-06-28 国网江苏省电力有限公司电力科学研究院 5g电力业务***威胁检测方法、***、存储器及设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105427172A (zh) * 2015-12-04 2016-03-23 北京华热科技发展有限公司 一种风险评估方法及***
US20160248805A1 (en) * 2014-03-05 2016-08-25 Netflix, Inc. Network security system with remediation based on value of attacked assets
CN107204876A (zh) * 2017-05-22 2017-09-26 成都网络空间安全技术有限公司 一种网络安全风险评估方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160248805A1 (en) * 2014-03-05 2016-08-25 Netflix, Inc. Network security system with remediation based on value of attacked assets
CN105427172A (zh) * 2015-12-04 2016-03-23 北京华热科技发展有限公司 一种风险评估方法及***
CN107204876A (zh) * 2017-05-22 2017-09-26 成都网络空间安全技术有限公司 一种网络安全风险评估方法

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110881050A (zh) * 2019-12-20 2020-03-13 万翼科技有限公司 安全威胁检测方法及相关产品
CN111147491A (zh) * 2019-12-26 2020-05-12 深信服科技股份有限公司 一种漏洞修复方法、装置、设备及存储介质
CN111314361A (zh) * 2020-02-24 2020-06-19 杭州安恒信息技术股份有限公司 一种基于细菌觅食算法的攻击威胁感知方法和装置
CN111314361B (zh) * 2020-02-24 2022-09-23 杭州安恒信息技术股份有限公司 一种基于细菌觅食算法的攻击威胁感知方法和装置
CN112819336A (zh) * 2021-02-03 2021-05-18 国家电网有限公司 一种基于电力监控***网络威胁的量化方法及***
CN112819336B (zh) * 2021-02-03 2023-12-15 国家电网有限公司 一种基于电力监控***网络威胁的量化方法及***
CN113591092A (zh) * 2021-06-22 2021-11-02 中国电子科技集团公司第三十研究所 一种基于漏洞组合的攻击链构建方法
CN113591092B (zh) * 2021-06-22 2023-05-09 中国电子科技集团公司第三十研究所 一种基于漏洞组合的攻击链构建方法
CN113542250A (zh) * 2021-07-09 2021-10-22 中国工商银行股份有限公司 基于区块链的网络威胁分析方法、装置及***
CN115580426A (zh) * 2022-08-23 2023-01-06 国网江苏省电力有限公司电力科学研究院 5g电力业务***威胁检测方法、***、存储器及设备
CN115580426B (zh) * 2022-08-23 2024-06-28 国网江苏省电力有限公司电力科学研究院 5g电力业务***威胁检测方法、***、存储器及设备

Also Published As

Publication number Publication date
CN110545280B (zh) 2021-12-24

Similar Documents

Publication Publication Date Title
CN110545280B (zh) 一种基于威胁检测准确度的量化评估方法
CN107220549B (zh) 基于cvss的漏洞风险基础评估方法
US20090106843A1 (en) Security risk evaluation method for effective threat management
CN112819336B (zh) 一种基于电力监控***网络威胁的量化方法及***
CN111565184A (zh) 一种网络安全评估装置、方法、设备及介质
WO2019222662A1 (en) Methods and apparatuses to evaluate cyber security risk by establishing a probability of a cyber-attack being successful
CN110474878B (zh) 基于动态阈值的DDoS攻击态势预警方法和服务器
CN111368302B (zh) 基于攻击者攻击策略生成的自动威胁检测方法
WO2017040957A1 (en) Process launch, monitoring and execution control
CN113434866B (zh) 仪表功能安全和信息安全策略的统一风险量化评估方法
CN105681274B (zh) 一种原始告警信息处理的方法及装置
KR101692982B1 (ko) 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템
Mirza et al. Anticipating Advanced Persistent Threat (APT) countermeasures using collaborative security mechanisms
RU2610395C1 (ru) Способ расследования распределенных событий компьютерной безопасности
Wang et al. Using ontologies to perform threat analysis and develop defensive strategies for mobile security
CN110598180A (zh) 一种基于统计分析的事件检测方法、装置及***
Li et al. Network security situation assessment method based on Markov game model
CN117478433B (zh) 一种网络与信息安全动态预警***
Ehis Optimization of security information and event management (SIEM) infrastructures, and events correlation/regression analysis for optimal cyber security posture
CN114531283A (zh) 入侵检测模型的鲁棒性测定方法、***、存储介质及终端
Chandrasekaran et al. Spycon: Emulating user activities to detect evasive spyware
CN109951484B (zh) 针对机器学习产品进行攻击的测试方法及***
CN114448718B (zh) 一种并行检测和修复的网络安全保障方法
KR20090115496A (ko) 접근패턴 분석을 통한 개인정보 유출 시도의 실시간 탐지방법 및 시스템
CN108197471B (zh) 一种恶意软件检测方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant