CN111539644A - 一种网络资产风险控制方法及装置 - Google Patents

一种网络资产风险控制方法及装置 Download PDF

Info

Publication number
CN111539644A
CN111539644A CN202010360291.0A CN202010360291A CN111539644A CN 111539644 A CN111539644 A CN 111539644A CN 202010360291 A CN202010360291 A CN 202010360291A CN 111539644 A CN111539644 A CN 111539644A
Authority
CN
China
Prior art keywords
asset
time period
current time
network
threat
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010360291.0A
Other languages
English (en)
Other versions
CN111539644B (zh
Inventor
吴浪
邹昊
胡启明
李学良
陈景妹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NATIONAL COMPUTER VIRUS EMERGENCY RESPONSE CENTER
Nsfocus Technologies Inc
Nsfocus Technologies Group Co Ltd
Original Assignee
NATIONAL COMPUTER VIRUS EMERGENCY RESPONSE CENTER
Nsfocus Technologies Inc
Nsfocus Technologies Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NATIONAL COMPUTER VIRUS EMERGENCY RESPONSE CENTER, Nsfocus Technologies Inc, Nsfocus Technologies Group Co Ltd filed Critical NATIONAL COMPUTER VIRUS EMERGENCY RESPONSE CENTER
Priority to CN202010360291.0A priority Critical patent/CN111539644B/zh
Publication of CN111539644A publication Critical patent/CN111539644A/zh
Application granted granted Critical
Publication of CN111539644B publication Critical patent/CN111539644B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0635Risk analysis of enterprise or organisation activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0639Performance analysis of employees; Performance analysis of enterprise or organisation operations
    • G06Q10/06393Score-carding, benchmarking or key performance indicator [KPI] analysis

Landscapes

  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Engineering & Computer Science (AREA)
  • Strategic Management (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Economics (AREA)
  • Development Economics (AREA)
  • Educational Administration (AREA)
  • Operations Research (AREA)
  • Marketing (AREA)
  • Game Theory and Decision Science (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种网络资产风险控制方法及装置,用以解决现有的网络资产风险控制方法的评分准确率较低而影响了网络资产的风险控制效率的问题。所述网络资产风险控制方法,包括:获取网络资产相关数据,所述数据至少包括网络资产标识;当确定从预设网络资产阻断信息列表中查找到所述网络资产标识时,从所述网络资产阻断信息列表中获取所述网络资产标识对应的预设阈值;根据所述数据确定所述当前时间周期的所述网络资产的风险评分;当确定所述网络资产的风险评分大于等于所述预设阈值时,对所述网络资产进行阻断。

Description

一种网络资产风险控制方法及装置
技术领域
本发明涉及信息安全技术领域,尤其涉及一种网络资产风险控制方法及装置。
背景技术
随着网络攻击的频繁发生,攻击事件的海量增加,对于海量的攻击事件,如何迅速辨别当前的网络状况和现有的高危网络资产成为重点,从而对高危网络资产进行快速响应以降低风险。
现有的网络资产风险控制方法是计算网络资产的漏洞的危险值,进而,根据漏洞的危险值对网络资产进行风险评分,或者根据网络资产当前被攻击的次数和网络攻击事件进行风险评分,但是,仅仅根据网络资产的漏洞或者网络攻击事件对网络资产进行风险评分,其评分准确率较低,进而,影响了对网络资产的风险控制效率。
发明内容
为了解决现有的网络资产风险控制方法的评分准确率较低而影响了网络资产的风险控制效率的问题,本发明实施例提供了一种网络资产风险控制方法及装置。
第一方面,本发明实施例提供了一种网络资产风险控制方法,包括:
获取网络资产相关数据,所述数据至少包括网络资产标识、当前时间周期的所述网络资产的攻击事件和所述攻击事件对应的攻击结果、所述当前时间周期的所述网络资产的资产受攻击状态、所述当前时间周期的所述网络资产的攻击源网络协议IP地址的个数、所述当前时间周期的前N个时间周期的所述网络资产的攻击源IP地址的个数、所述当前时间周期的所述网络资产的漏洞;
当确定从预设网络资产阻断信息列表中查找到所述网络资产标识时,从所述网络资产阻断信息列表中获取所述网络资产标识对应的预设阈值;
根据所述数据确定所述当前时间周期的所述网络资产的风险评分;
当确定所述网络资产的风险评分大于等于所述预设阈值时,对所述网络资产进行阻断。
本发明实施例提供的网络资产风险控制方法中,大数据安全分析(BigdataSecurity Analytics,BSA)平台获取网络资产相关数据,所述数据至少包括:网络资产标识、当前时间周期的所述网络资产的攻击事件和所述攻击事件对应的攻击结果、所述当前时间周期的所述网络资产的资产受攻击状态、所述当前时间周期的所述网络资产的攻击源网络协议IP地址的个数、所述当前时间周期的前N个时间周期的所述网络资产的攻击源IP地址的个数、所述当前时间周期的所述网络资产的漏洞,如果从预设网络资产阻断信息列表中查找到所述网络资产标识时,则从所述网络资产阻断信息列表中获取所述网络资产标识对应的预设阈值,根据所述数据确定所述当前时间周期的所述网络资产的风险评分,当确定所述网络资产的风险评分大于等于所述预设阈值时,对所述网络资产进行阻断,根据上述流程,对网络资产进行风险评分时,综合考虑了当前时间周期的所述网络资产的攻击事件和所述攻击事件对应的攻击结果、当前时间周期的所述网络资产的资产受攻击状态、当前时间周期的所述网络资产的攻击源网络协议IP地址的个数、当前时间周期的前N个时间周期的所述网络资产的攻击源IP地址的个数以及当前时间周期的所述网络资产的漏洞,其不仅从更多维的角度来确定网络资产的风险评分,还考虑了历史时间周期的所述网络资产的攻击源IP地址的个数对当前时间周期的网络资产的风险评分的影响,能够更加准确地评估当前时间周期的网络资产的风险评分,进而,提高了网络资产的风险控制效率。
可选地,所述方法,还包括:
从所述网络资产阻断信息列表中获取所述网络资产标识对应的解除阻断方式;
根据所述解除阻断方式对所述网络资产解除阻断。
较佳地,所述解除阻断方式包括定时解除方式;
根据所述解除阻断方式对所述网络资产解除阻断,具体包括:
当确定所述解除阻断方式为定时解除方式时,从所述网络资产阻断信息列表中获取所述网络资产标识对应的预设时长;
根据所述预设时长对所述网络资产解除阻断。
较佳地,根据所述预设时长对所述网络资产解除阻断,具体包括:
获取指定时间段内所述网络资产的第一风险评分,所述指定时间段在阻断所述网络资产时对应的第一时刻之后、且达到所述预设时长时对应的第二时刻之前;
当确定所述第一风险评分小于所述预设阈值时,对所述网络资产解除阻断;
当确定所述第一风险评分大于等于所述预设阈值时,且达到所述预设时长对应的第二时刻,则对所述网络资产解除阻断。
较佳地,根据所述数据确定所述当前时间周期的所述网络资产的风险评分,具体包括:
确定当前时间周期的所述网络资产的资产周期威胁指数,所述资产周期威胁指数表征所述网络资产在当前时间周期内的受威胁程度;
根据所述网络资产的资产周期威胁指数和所述当前时间周期的前N个时间周期的所述网络资产的资产周期威胁指数,确定所述网络资产的资产威胁指数,所述资产威胁指数表征截止到当前时间周期所述网络资产的受威胁程度;
确定所述当前时间周期的所述网络资产的资产脆弱性指数,所述资产脆弱性指数表征所述网络资产的脆弱程度;
根据所述资产威胁指数和所述资产脆弱性指数确定在所述当前时间周期的所述网络资产的风险评分。
上述较佳的实施方式中,大数据安全分析平台确定当前时间周期的所述网络资产的资产周期威胁指数,所述资产周期威胁指数表征所述网络资产在当前时间周期内的受威胁程度,根据所述网络资产的资产周期威胁指数和当前时间周期的前N个时间周期的所述网络资产的资产周期威胁指数,确定所述网络资产的资产威胁指数,所述资产威胁指数表征截止到当前时间周期所述网络资产的受威胁程度,确定当前时间周期的所述网络资产的资产脆弱性指数,所述资产脆弱性指数表征所述网络资产的脆弱程度,进而,根据所述资产威胁指数和所述资产脆弱性指数确定在所述当前时间周期的所述网络资产的风险评分,上述流程中,根据当前时间周期内的网络资产的资产周期威胁指数以及历史时间周期内的网络资产的资产周期威胁指数共同确定当前时间周期的网络资产的资产威胁指数,由于考虑了历史危险度对当前时间周期的危险度的影响,不会因为当前时间周期检测不到威胁而认为其不存在危险,并且,进而根据网络资产的资产威胁指数和资产脆弱性指数确定在当前时间周期内网络资产的风险评分,更加准确地进行风险评估,提高了网络资产的风险评分的准确率。
较佳地,确定所述当前时间周期的网络资产的资产周期威胁指数,具体包括:
确定所述当前时间周期的所述网络资产的资产威胁严重程度、资产受攻击状态评分和资产威胁面;
根据所述网络资产的资产威胁严重程度、资产受攻击状态评分和资产威胁面,确定所述当前时间周期的所述网络资产的资产周期威胁指数。
较佳地,根据所述网络资产的资产威胁严重程度、资产受攻击状态评分和资产威胁面,确定所述当前时间周期的所述网络资产的资产周期威胁指数,具体包括:
通过以下公式计算所述当前时间周期的所述网络资产的资产周期威胁指数:
w=α*S+β*Q+γ*P
其中,w表示所述当前时间周期的所述网络资产的资产周期威胁指数;
S表示所述当前时间周期的所述网络资产的资产威胁严重程度;
α表示S的权重;
Q表示所述当前时间周期的所述网络资产的资产受攻击状态评分;
β表示Q的权重;
P表示所述当前时间周期的所述网络资产的资产威胁面;
γ表示P的权重。
较佳地,确定所述当前时间周期的所述网络资产的资产威胁严重程度,具体包括:
根据预设的攻击事件和威胁等级的对应关系确定所述攻击事件的威胁等级,所述威胁等级表征攻击事件的危险程度;
根据所述威胁等级中的最高威胁等级和所述最高威胁等级的攻击事件的攻击结果、以及攻击结果为攻击成功的攻击事件中威胁等级最高的攻击事件的威胁等级,确定所述当前时间周期的所述网络资产的资产威胁严重程度。
较佳地,确定所述当前时间周期的所述网络资产的资产受攻击状态评分,具体包括:
从预设的资产受攻击状态和资产受攻击状态评分的对应关系中查找所述资产受攻击状态;
获取所述资产受攻击状态对应的资产受攻击状态评分。
较佳地,确定所述当前时间周期的所述网络资产的资产威胁面,具体包括:
确定所述当前时间周期和所述当前时间周期的前N个时间周期中的所述网络资产的最高攻击源IP地址个数;
根据在所述当前时间周期内所述网络资产的攻击源IP地址的个数和所述最高攻击源IP地址个数,确定所述当前时间周期的所述网络资产的资产威胁面。
较佳地,根据所述威胁等级中的最高威胁等级和所述最高威胁等级的攻击事件的攻击结果、以及攻击结果为攻击成功的攻击事件中威胁等级最高的攻击事件的威胁等级,确定所述当前时间周期的所述网络资产的资产威胁严重程度,具体包括:
通过以下公式计算所述当前时间周期的所述网络资产的资产威胁严重程度:
S=(r1*Te1+r2*Te2*Re)*10/5
其中,S表示所述当前时间周期的所述网络资产的资产威胁严重程度;
Te1表示所述网络资产的攻击事件中攻击结果为攻击成功的攻击事件中威胁等级最高的攻击事件的威胁等级;
r1表示Te1的权重;
Te2表示所述网络资产的攻击事件的威胁等级中的最高威胁等级;
r2表示Te2的权重;
Re表示所述网络资产的攻击事件中最高威胁等级的攻击事件的攻击结果,如果攻击成功,则Re=1,如果攻击失败,则Re=0.1,如果攻击结果不确定,则Re=0.5。
较佳地,根据在所述当前时间周期内所述网络资产的攻击源IP地址的个数和所述最高攻击源IP地址个数,确定所述当前时间周期的所述网络资产的资产威胁面,具体包括:
通过以下公式计算所述当前时间周期的所述网络资产的资产威胁面:
Figure BDA0002474756520000061
其中,P表示所述当前时间周期的所述网络资产的资产威胁面;
c表示在所述当前时间周期内所述网络资产的攻击源IP地址的个数;
cmax表示所述当前时间周期和所述当前时间周期的前N个时间周期中的所述网络资产的最高攻击源IP地址个数。
较佳地,根据所述资产威胁指数和所述资产脆弱性指数确定所述当前时间周期的所述网络资产的风险评分,具体包括:
通过以下公式计算在所述当前时间周期的所述网络资产的风险评分:
Risk=c1*W+c2*R
其中,Risk表示所述当前时间周期的所述网络资产的风险评分;
W表示所述网络资产的资产威胁指数;
c1表示W的权重;
R表示所述当前时间周期的所述网络资产的资产脆弱性指数;
c2表示R的权重。
较佳地,根据所述网络资产的资产周期威胁指数和所述当前时间周期的前N个时间周期的所述网络资产的资产周期威胁指数,确定所述网络资产的资产威胁指数,具体包括:
通过以下公式计算所述网络资产的资产威胁指数:
Figure BDA0002474756520000071
其中,W表示所述网络资产的资产威胁指数;
n表示距离所述当前时间周期的周期个数,i=0,1,......,n-1,n=N+1;
wi表示距离所述当前时间周期的周期个数为i的时间周期的所述网络资产的资产周期威胁指数;
bi表示wi的权重,
Figure BDA0002474756520000072
较佳地,确定所述当前时间周期的所述网络资产的资产脆弱性指数,具体包括:
根据预设的网络资产和资产价值的对应关系确定所述网络资产的资产价值,所述资产价值用于表征网络资产的重要等级;
根据预设的漏洞和风险指数的对应关系确定各漏洞的风险指数,所述漏洞的风险指数表征漏洞的危险程度;
根据所述资产价值和所述各漏洞的风险指数确定所述当前时间周期的所述网络资产的资产脆弱性指数。
较佳地,根据所述资产价值和所述各漏洞的风险指数确定所述当前时间周期的所述网络资产的资产脆弱性指数,具体包括:
通过以下公式计算所述当前时间周期的所述网络资产的资产脆弱性指数:
Figure BDA0002474756520000081
其中,R表示所述当前时间周期的所述网络资产的资产脆弱性指数;
aj表示所述当前时间周期的所述网络资产的第j个漏洞的风险指数,j=1,2,3,......,m,m表示所述当前时间周期的所述网络资产的漏洞的个数,a1>a2>a3>......>am
V表示所述网络资产的资产价值。
可选地,所述方法,还包括:
根据所述当前时间周期的权限域中包含的网络资产的资产周期威胁指数确定所述当前时间周期的所述权限域的周期威胁指数,其中,所述权限域表征管理的网络资产的范围,所述权限域包含至少二个网络资产,所述权限域的周期威胁指数表征所述权限域在当前时间周期内的受威胁程度;
根据所述权限域的周期威胁指数和所述当前时间周期的前N个时间周期的所述权限域的周期威胁指数,确定所述权限域的威胁指数,所述权限域的威胁指数表征截止到所述当前时间周期所述权限域的受威胁程度;
根据所述权限域中包含的网络资产的资产脆弱性指数确定当前时间周期的所述权限域的脆弱性指数,所述权限域的脆弱性指数表征所述权限域的脆弱程度;
根据所述权限域的威胁指数和所述权限域的脆弱性指数确定所述当前时间周期的所述权限域的风险评分。
较佳地,根据所述当前时间周期的权限域中包含的网络资产的资产周期威胁指数确定所述当前时间周期的所述权限域的周期威胁指数,具体包括:
通过以下公式计算所述当前时间周期的所述权限域的周期威胁指数:
Figure BDA0002474756520000091
其中,w'表示所述当前时间周期的所述权限域的周期威胁指数;
Vk表示所述当前时间周期的所述权限域中的第k个网络资产的资产价值,k=1,2,......,M,M表示所述权限域包含的网络资产的个数;
wk表示所述当前时间周期的所述权限域中的第k个网络资产的资产周期威胁指数。
较佳地,根据所述权限域的周期威胁指数和所述当前时间周期的前N个时间周期的所述权限域的周期威胁指数,确定所述权限域的威胁指数,具体包括:
通过以下公式计算所述权限域的威胁指数:
Figure BDA0002474756520000092
其中,W'表示所述权限域的威胁指数;
n表示距离所述当前时间周期的周期个数,i=0,1,......,n-1,n=N+1;
wi'表示距离所述当前时间周期的周期个数为i的时间周期的所述权限域的周期威胁指数;
bi表示wi'的权重,
Figure BDA0002474756520000093
较佳地,根据所述权限域中包含的网络资产的资产脆弱性指数确定当前时间周期的所述权限域的脆弱性指数,具体包括:
通过以下公式计算当前时间周期的所述权限域的脆弱性指数:
Figure BDA0002474756520000101
其中,Rlm表示当前时间周期的所述权限域的脆弱性指数;
Rk表示所述当前时间周期的所述权限域中的第k个网络资产的资产脆弱性指数,k=1,2,.....M.,M表示所述权限域包含的网络资产的个数,R1>R2>R3>......>RM
较佳地,根据所述权限域的威胁指数和所述权限域的脆弱性指数确定在所述当前时间周期的所述权限域的风险评分,具体包括:
通过以下公式计算所述当前时间周期的所述权限域的风险评分:
Risk'=d1*W'+d2*Rlm
其中,Risk'表示所述当前时间周期的所述权限域的风险评分;
W'表示所述权限域的威胁指数;
d1表示W'的权重;
Rlm表示所述当前时间周期的所述权限域的脆弱性指数;
d2表示Rlm的权重。
可选地,所述方法,还包括:
获取所述权限域的标识;
当确定从所述网络资产阻断信息列表中查找到所述权限域的标识时,从所述网络资产阻断信息列表中获取所述权限域的标识对应的第一预设阈值;
当确定所述权限域的风险评分大于等于所述第一预设阈值时,对所述权限域中的网络资产进行阻断;
从所述网络资产阻断信息列表中获取所述权限域的标识对应的解除阻断方式;
根据所述解除阻断方式对所述权限域中的网络资产解除阻断。
第二方面,本发明实施例提供了一种网络资产风险控制装置,包括:
第一获取单元,用于获取网络资产相关数据,所述数据至少包括网络资产标识、当前时间周期的所述网络资产的攻击事件和所述攻击事件对应的攻击结果、所述当前时间周期的所述网络资产的资产受攻击状态、所述当前时间周期的所述网络资产的攻击源网络协议IP地址的个数、所述当前时间周期的前N个时间周期的所述网络资产的攻击源IP地址的个数、所述当前时间周期的所述网络资产的漏洞;
第二获取单元,用于当确定从预设网络资产阻断信息列表中查找到所述网络资产标识时,从所述网络资产阻断信息列表中获取所述网络资产标识对应的预设阈值;
第一确定单元,用于根据所述数据确定所述当前时间周期的所述网络资产的风险评分;
网络资产阻断单元,用于当确定所述网络资产的风险评分大于等于所述预设阈值时,对所述网络资产进行阻断。
可选地,所述装置,还包括:
第三获取单元,用于从所述网络资产阻断信息列表中获取所述网络资产标识对应的解除阻断方式;
网络资产阻断解除单元,根据所述解除阻断方式对所述网络资产解除阻断。
较佳地,所述解除阻断方式包括定时解除方式;
所述网络资产阻断解除单元,具体用于当确定所述解除阻断方式为定时解除方式时,从所述网络资产阻断信息列表中获取所述网络资产标识对应的预设时长;根据所述预设时长对所述网络资产解除阻断。
较佳地,所述网络资产阻断解除单元,具体用于获取指定时间段内所述网络资产的第一风险评分,所述指定时间段在阻断所述网络资产时对应的第一时刻之后、且达到所述预设时长时对应的第二时刻之前;当确定所述第一风险评分小于所述预设阈值时,对所述网络资产解除阻断;当确定所述第一风险评分大于等于所述预设阈值时,且达到所述预设时长对应的第二时刻,则对所述网络资产解除阻断。
较佳地,所述第一确定单元,具体用于确定所述当前时间周期的所述网络资产的资产周期威胁指数,所述资产周期威胁指数表征所述网络资产在当前时间周期内的受威胁程度;根据所述网络资产的资产周期威胁指数和所述当前时间周期的前N个时间周期的所述网络资产的资产周期威胁指数,确定所述网络资产的资产威胁指数,所述资产威胁指数表征截止到当前时间周期所述网络资产的受威胁程度;确定所述当前时间周期的所述网络资产的资产脆弱性指数,所述资产脆弱性指数表征所述网络资产的脆弱程度;根据所述资产威胁指数和所述资产脆弱性指数确定所述当前时间周期的所述网络资产的风险评分。
较佳地,所述第一确定单元,具体用于确定所述当前时间周期的所述网络资产的资产威胁严重程度、资产受攻击状态评分和资产威胁面;根据所述网络资产的资产威胁严重程度、资产受攻击状态评分和资产威胁面,确定所述当前时间周期的所述网络资产的资产周期威胁指数。
较佳地,所述第一确定单元,具体用于通过以下公式计算所述当前时间周期的所述网络资产的资产周期威胁指数:
w=α*S+β*Q+γ*P
其中,w表示所述当前时间周期的所述网络资产的资产周期威胁指数;
S表示所述当前时间周期的所述网络资产的资产威胁严重程度;
α表示S的权重;
Q表示所述当前时间周期的所述网络资产的资产受攻击状态评分;
β表示Q的权重;
P表示所述当前时间周期的所述网络资产的资产威胁面;
γ表示P的权重。
较佳地,所述第一确定单元,具体用于根据预设的攻击事件和威胁等级的对应关系确定所述攻击事件的威胁等级,所述威胁等级表征攻击事件的危险程度;根据所述威胁等级中的最高威胁等级和所述最高威胁等级的攻击事件的攻击结果、以及攻击结果为攻击成功的攻击事件中威胁等级最高的攻击事件的威胁等级,确定所述当前时间周期的所述网络资产的资产威胁严重程度。
较佳地,所述第一确定单元,具体用于从预设的资产受攻击状态和资产受攻击状态评分的对应关系中查找所述资产受攻击状态;获取所述资产受攻击状态对应的资产受攻击状态评分。
较佳地,所述第一确定单元,具体用于确定所述当前时间周期和所述当前时间周期的前N个时间周期中的所述网络资产的最高攻击源IP地址个数;根据在所述当前时间周期内所述网络资产的攻击源IP地址的个数和所述最高攻击源IP地址个数,确定所述当前时间周期的所述网络资产的资产威胁面。
较佳地,所述第一确定单元,具体用于通过以下公式计算所述当前时间周期的所述网络资产的资产威胁严重程度:
S=(r1*Te1+r2*Te2*Re)*10/5
其中,S表示所述当前时间周期的所述网络资产的资产威胁严重程度;
Te1表示所述网络资产的攻击事件中攻击结果为攻击成功的攻击事件中威胁等级最高的攻击事件的威胁等级;
r1表示Te1的权重;
Te2表示所述网络资产的攻击事件的威胁等级中的最高威胁等级;
r2表示Te2的权重;
Re表示所述网络资产的攻击事件中最高威胁等级的攻击事件的攻击结果,如果攻击成功,则Re=1,如果攻击失败,则Re=0.1,如果攻击结果不确定,则Re=0.5。
较佳地,所述第一确定单元,具体用于通过以下公式计算所述当前时间周期的所述网络资产的资产威胁面:
Figure BDA0002474756520000131
其中,P表示所述当前时间周期的所述网络资产的资产威胁面;
c表示在所述当前时间周期内所述网络资产的攻击源IP地址的个数;
cmax表示所述当前时间周期和所述当前时间周期的前N个时间周期中的所述网络资产的最高攻击源IP地址个数。
较佳地,所述第一确定单元,具体用于通过以下公式计算在所述当前时间周期的所述网络资产的风险评分:
Risk=c1*W+c2*R
其中,Risk表示所述当前时间周期的所述网络资产的风险评分;
W表示所述网络资产的资产威胁指数;
c1表示W的权重;
R表示所述当前时间周期的所述网络资产的资产脆弱性指数;
c2表示R的权重。
较佳地,所述第一确定单元,具体用于通过以下公式计算所述网络资产的资产威胁指数:
Figure BDA0002474756520000141
其中,W表示所述网络资产的资产威胁指数;
n表示距离所述当前时间周期的周期个数,i=0,1,......,n-1,n=N+1;
wi表示距离所述当前时间周期的周期个数为i的时间周期的所述网络资产的资产周期威胁指数;
bi表示wi的权重,
Figure BDA0002474756520000142
较佳地,所述第一确定单元,具体用于根据预设的网络资产和资产价值的对应关系确定所述网络资产的资产价值,所述资产价值用于表征网络资产的重要等级;根据预设的漏洞和风险指数的对应关系确定各漏洞的风险指数,所述漏洞的风险指数表征漏洞的危险程度;根据所述资产价值和所述各漏洞的风险指数确定所述当前时间周期的所述网络资产的资产脆弱性指数。
较佳地,所述第一确定单元,具体用于通过以下公式计算所述当前时间周期的所述网络资产的资产脆弱性指数:
Figure BDA0002474756520000151
其中,R表示所述当前时间周期的所述网络资产的资产脆弱性指数;
aj表示所述当前时间周期的所述网络资产的第j个漏洞的风险指数,j=1,2,3,......,m,m表示所述当前时间周期的所述网络资产的漏洞的个数,a1>a2>a3>......>am
V表示所述网络资产的资产价值。
可选地,所述装置,还包括:
第二确定单元,用于根据所述当前时间周期的权限域中包含的网络资产的资产周期威胁指数确定所述当前时间周期的所述权限域的周期威胁指数,其中,所述权限域表征管理的网络资产的范围,所述权限域包含至少二个网络资产,所述权限域的周期威胁指数表征所述权限域在当前时间周期内的受威胁程度;
第三确定单元,用于根据所述权限域的周期威胁指数和所述当前时间周期的前N个时间周期的所述权限域的周期威胁指数,确定所述权限域的威胁指数,所述权限域的威胁指数表征截止到所述当前时间周期所述权限域的受威胁程度;
第四确定单元,用于根据所述权限域中包含的网络资产的资产脆弱性指数确定当前时间周期的所述权限域的脆弱性指数,所述权限域的脆弱性指数表征所述权限域的脆弱程度;
第五确定单元,用于根据所述权限域的威胁指数和所述权限域的脆弱性指数确定所述当前时间周期的所述权限域的风险评分。
较佳地,所述第二确定单元,具体用于通过以下公式计算所述当前时间周期的所述权限域的周期威胁指数:
Figure BDA0002474756520000161
其中,w'表示所述当前时间周期的所述权限域的周期威胁指数;
Vk表示所述当前时间周期的所述权限域中的第k个网络资产的资产价值,k=1,2,......,M,M表示所述权限域包含的网络资产的个数;
wk表示所述当前时间周期的所述权限域中的第k个网络资产的资产周期威胁指数。
较佳地,所述第三确定单元,具体用于通过以下公式计算所述权限域的威胁指数:
Figure BDA0002474756520000162
其中,W'表示所述权限域的威胁指数;
n表示距离所述当前时间周期的周期个数,i=0,1,......,n-1,n=N+1;
wi'表示距离所述当前时间周期的周期个数为i的时间周期的所述权限域的周期威胁指数;
bi表示wi'的权重,
Figure BDA0002474756520000163
较佳地,所述第四确定单元,具体用于通过以下公式计算当前时间周期的所述权限域的脆弱性指数:
Figure BDA0002474756520000164
其中,Rlm表示当前时间周期的所述权限域的脆弱性指数;
Rk表示所述当前时间周期的所述权限域中的第k个网络资产的资产脆弱性指数,k=1,2,.....M.,M表示所述权限域包含的网络资产的个数,R1>R2>R3>......>RM
较佳地,所述第五确定单元,具体用于通过以下公式计算所述当前时间周期的所述权限域的风险评分:
Risk'=d1*W'+d2*Rlm
其中,Risk'表示所述当前时间周期的所述权限域的风险评分;
W'表示所述权限域的威胁指数;
d1表示W'的权重;
Rlm表示所述当前时间周期的所述权限域的脆弱性指数;
d2表示Rlm的权重。
可选地,所述装置,还包括:
第四获取单元,用于获取所述权限域的标识;
第五获取单元,用于当确定从所述网络资产阻断信息列表中查找到所述权限域的标识时,从所述网络资产阻断信息列表中获取所述权限域的标识对应的第一预设阈值;
权限域阻断单元,用于当确定所述权限域的风险评分大于等于所述第一预设阈值时,对所述权限域中的网络资产进行阻断;
第六获取单元,用于从所述网络资产阻断信息列表中获取所述权限域的标识对应的解除阻断方式;
权限域阻断解除单元,用于根据所述解除阻断方式对所述权限域中的网络资产解除阻断。
本发明提供的网络资产风险控制装置的技术效果可以参见上述第一方面或第一方面的各个实现方式的技术效果,此处不再赘述。
第三方面,本发明实施例提供了一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现本发明所述的网络资产风险控制方法。
第四方面,本发明实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本发明所述的网络资产风险控制方法中的步骤。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明实施例提供的网络资产风险控制方法的实施流程示意图;
图2为本发明实施例中,确定当前时间周期的网络资产的风险评分的实施流程示意图;
图3为本发明实施例中,确定当前时间周期的网络资产的资产周期威胁指数的实施流程示意图;
图4为本发明实施例中,确定当前时间周期的网络资产的资产威胁严重程度的实施流程示意图;
图5为本发明实施例中,确定当前时间周期的网络资产的资产受攻击状态评分的实施流程示意图;
图6为本发明实施例中,确定当前时间周期的网络资产的资产威胁面的实施流程示意图;
图7为本发明实施例中,确定当前时间周期的网络资产的资产脆弱性指数的实施流程示意图;
图8为本发明实施例中,确定当前时间周期的权限域的风险评分的实施流程示意图;
图9为本发明实施例中,对网络资产解除阻断的实施流程示意图;
图10为本发明实施例中,当解除阻断方式为定时解除方式时,对网络资产解除阻断的实施流程示意图;
图11为本发明实施例中,对权限域进行阻断的实施流程示意图;
图12为本发明实施例中,对权限域解除阻断的实施流程示意图;
图13为本发明实施例提供的网络资产风险控制装置的结构示意图;
图14为本发明实施例提供的电子设备的结构示意图。
具体实施方式
为了解决现有的网络资产风险控制方法的评分准确率较低而影响了网络资产的风险控制效率的问题,本发明实施例提供了一种网络资产风险控制方法及装置。
现有的根据网络资产的漏洞或者网络攻击事件对网络资产进行风险评分的方法忽略了以下几个问题:
第一,在评分的过程中忽略了网络资产的状态,网络攻击事件发生在网络资产上,但是,如果一个网络资产被攻陷了,没有再继续被攻击,其状态依旧是十分危险的,其危险并没有消失,只是被隐藏起来了。
第二,忽略了网络资产对于整个网络的重要性,一个废弃的网络资产对整个网络的危害和一个核心网络资产对整个网络的危害程度是不同的,如果核心网络资产被攻击,其危险性更强。
第三,忽略了历史的危险情况,当网络资产被攻击后,可能在其后的几天内并没有发现该网络资产的更多网络攻击情况,但并不代表该网络资产就不存在危险了,可能被隐藏起来了,可以认为其危险度降低,但是并不代表一定不存在危险,因此,需要考虑其历史危险值。
第四,在复杂的网络环境中,对网络资产的管理权限需要进行区分,因此,不能仅仅关注整体的网络状况,还需要关注不同权限域的安全状况,其中,权限域指管理的网络资产的范围,这样可以更快的响应,不同权限域的网络环境的风险是不同的,让每个权限域的管理员能够更清晰地了解自身管理范围内的风险程度,能够对存在风险的网络资产进行更具有针对性以及更高效的管理。
基于此,本发实施例提供了一种网络资产风险控制方法及装置。
以下结合说明书附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明,并且在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
在本文中,需要理解的是,本发明所涉及的技术术语中:
1、网络资产:主要是计算机(或通讯)网络中使用的各种设备。主要包括主机、网络设备(路由器、交换机等)和安全设备(防火墙等)。
需要说明的是,本发明实施例中,网络资产还可以包括网址,所述网站可以但不不限于为提供网络服务的网址。
如图1所示,其为本发明实施例提供的网络资产风险控制方法的实施流程示意图,可以包括以下步骤:
S111、获取网络资产相关数据。
具体实施时,大数据安全分析平台获取网络资产相关数据,所述数据至少包括网络资产标识、当前时间周期的所述网络资产的攻击事件和所述攻击事件对应的攻击结果、所述当前时间周期的所述网络资产的资产受攻击状态、所述当前时间周期的所述网络资产的攻击源IP(Internet Protocol,网络协议)地址的个数、所述当前时间周期的前N个时间周期的所述网络资产的攻击源IP地址的个数、所述当前时间周期的所述网络资产的漏洞。其中,时间周期可以预先自行设置,例如可以将1天(00:00~24:00)划分为一个时间周期,本发明实施例对此不作限定。N为大于等于1的整数,N的取值可以根据实际需要自行设置,本发明实施例对此不作限定。
S112、当确定从预设网络资产阻断信息列表中查找到所述网络资产标识时,从所述网络资产阻断信息列表中获取所述网络资产标识对应的预设阈值。
具体实施时,大数据安全分析平台预先设置一个网络资产阻断信息列表,所述网络资产阻断信息列表中包含需要阻断的网络资产标识和预设阈值、解除阻断方式的对应关系,所述解除阻断方式包括手动解除方式和定时解除方式,当所述解除阻断方式为定时解除方式时,所述网络资产阻断信息列表中还包括需要阻断的网络资产标识对应的预设时长,所述预设时长也就是定时解除方式对应的定时时长。
具体实施时,大数据安全分析平台当确定从预设网络资产阻断信息列表中查找到所述网络资产标识时,从所述网络资产阻断信息列表中获取所述网络资产标识对应的预设阈值。
S113、根据所述数据确定所述当前时间周期的所述网络资产的风险评分。
具体实施时,按照如图2所示的流程确定当前时间周期的网络资产的风险评分,可以包括以下步骤:
S11、确定当前时间周期的网络资产的资产周期威胁指数。
具体实施时,大数据安全分析平台确定所述当前时间周期的所述网络资产的资产周期威胁指数,所述资产周期威胁指数表征所述网络资产在当前时间周期内的受威胁程度。
具体地,按照如图3所示的流程确定当前时间周期的网络资产的资产周期威胁指数,可以包括以下步骤:
S21、确定当前时间周期的网络资产的资产威胁严重程度、资产受攻击状态评分和资产威胁面。
具体实施时,大数据安全分析平台确定在当前时间周期内所述网络资产的资产威胁严重程度、资产受攻击状态评分和资产威胁面。其中,所述资产威胁严重程度用于表征网络资产受到威胁的严重程度,所述资产受攻击状态评分表征网络资产遭受攻击后的状态的评分,所述资产威胁面表征网络资产受威胁的可能度,攻击者的数量越多,网络资产受威胁的可能越大。
具体地,按照如图4所示的流程确定当前时间周期的网络资产的资产威胁严重程度,可以包括以下步骤:
S31、根据预设的攻击事件和威胁等级的对应关系确定攻击事件的威胁等级。
具体实施时,大数据安全分析平台预先根据攻击事件的严重程度对不同的攻击事件划分为不同的威胁等级,例如,可以划分为五个等级,分别用1~5五个数值表示,数值越大,表示攻击事件的严重程度越大,其中,所述威胁等级表征攻击事件的危险程度。大数据安全分析平台存储攻击事件和威胁等级的对应关系。
具体地,大数据安全分析平台根据所述攻击事件和威胁等级的对应关系确定所述当前时间周期的所述网络资产的各攻击事件对应的威胁等级。
S32、根据所述威胁等级中的最高威胁等级和所述最高威胁等级的攻击事件的攻击结果、以及攻击结果为攻击成功的攻击事件中威胁等级最高的攻击事件的威胁等级,确定所述当前时间周期的所述网络资产的资产威胁严重程度。
具体实施时,大数据安全分析平台根据所述威胁等级中的最高威胁等级和所述最高威胁等级的攻击事件的攻击结果、以及攻击结果为攻击成功的攻击事件中威胁等级最高的攻击事件的威胁等级,确定所述当前时间周期的所述网络资产的资产威胁严重程度。
具体地,可以通过以下公式计算所述当前时间周期的所述网络资产的资产威胁严重程度:
S=(r1*Te1+r2*Te2*Re)*10/5
其中,S表示所述当前时间周期的所述网络资产的资产威胁严重程度;
Te1表示所述网络资产的攻击事件中攻击结果为攻击成功的攻击事件中威胁等级最高的攻击事件的威胁等级;
r1表示Te1的权重;
Te2表示所述网络资产的攻击事件的威胁等级中的最高威胁等级;
r2表示Te2的权重;
Re表示所述网络资产的攻击事件中最高威胁等级的攻击事件的攻击结果,如果攻击成功,则Re=1,如果攻击失败,则Re=0.1,如果攻击结果不确定,则Re=0.5。
具体实施时,按照如图5所示的流程确定所述当前时间周期的所述网络资产的资产受攻击状态评分,可以包括以下步骤:
S41、从预设的资产受攻击状态和资产受攻击状态评分的对应关系中查找所述资产受攻击状态。
其中,资产受攻击状态可以但不限于包括以下几种状态:(1)确认失陷但未处理完成;(2)疑似失陷状态;(3)最近被攻击但未失陷;(4)未失陷且未受攻击。
具体实施时,大数据安全分析平台预先设置资产受攻击状态对应的资产受攻击状态评分,并存储所述资产受攻击状态和资产受攻击状态评分的对应关系,例如,可以将资产受攻击状态为“确认失陷但未处理完成”对应的资产受攻击状态评分设置为9分,将“疑似失陷状态”对应的资产受攻击状态评分设置为7分,将“最近被攻击但未失陷”对应的资产受攻击状态评分设置为5分,将“未失陷且未受攻击”对应的资产受攻击状态评分设置为0分,本发明实施例对此不作限定。
具体地,大数据安全分析平台从所述资产受攻击状态和资产受攻击状态评分的对应关系中查找所述网络资产相关数据中的所述网络资产的资产受攻击状态。
S42、获取所述资产受攻击状态对应的资产受攻击状态评分。
具体实施时,大数据安全分析平台获取所述资产受攻击状态对应的资产受攻击状态评分。
具体实施时,按照如图6所示的流程确定所述当前时间周期的所述网络资产的资产威胁面,可以包括以下步骤:
S51、确定当前时间周期和所述当前时间周期的前N个时间周期中的网络资产的最高攻击源IP地址个数。
具体实施时,大数据安全分析平台将所述网络资产相关数据中的所述当前时间周期的所述网络资产的攻击源IP的个数,和所述当前时间周期的前N个时间周期各周期的所述网络资产的攻击源IP的个数进行比较,确定其中的最高攻击源IP地址个数。
S52、根据在所述当前时间周期内所述网络资产的攻击源IP地址的个数和所述最高攻击源IP地址个数,确定所述当前时间周期的所述网络资产的资产威胁面。
具体实施时,可以通过以下公式计算所述当前时间周期的所述网络资产的资产威胁面:
Figure BDA0002474756520000241
其中,P表示所述当前时间周期的所述网络资产的资产威胁面;
c表示在所述当前时间周期内所述网络资产的攻击源IP地址的个数;
cmax表示所述当前时间周期和所述当前时间周期的前N个时间周期中的所述网络资产的最高攻击源IP地址个数。
S22、根据所述网络资产的资产威胁严重程度、资产受攻击状态评分和资产威胁面,确定所述当前时间周期的所述网络资产的资产周期威胁指数。
具体实施时,大数据安全分析平台根据所述网络资产的资产威胁严重程度、资产受攻击状态评分和资产威胁面,确定所述当前时间周期的所述网络资产的资产周期威胁指数。
具体地,可以通过以下公式计算所述当前时间周期的所述网络资产的资产周期威胁指数:
w=α*S+β*Q+γ*P
其中,w表示所述当前时间周期的所述网络资产的资产周期威胁指数;
S表示所述当前时间周期的所述网络资产的资产威胁严重程度;
α表示S的权重;
Q表示所述当前时间周期的所述网络资产的资产受攻击状态评分;
β表示Q的权重;
P表示所述当前时间周期的所述网络资产的资产威胁面;
γ表示P的权重。
具体实施时,α+β+γ=1,α,β,γ的值可以根据网络资产的资产威胁严重程度、资产受攻击状态评分以及资产威胁面的重要程度自行设定,例如,设置为:
Figure BDA0002474756520000251
本发明实施例对此不作限定。
S12、根据所述网络资产的资产周期威胁指数和所述当前时间周期的前N个时间周期的所述网络资产的资产周期威胁指数,确定所述网络资产的资产威胁指数。
具体实施时,大数据安全分析平台根据所述网络资产的资产周期威胁指数和所述当前时间周期的前N个时间周期的所述网络资产的资产周期威胁指数,确定所述网络资产的资产威胁指数,所述资产威胁指数表征截止到当前时间周期所述网络资产的受威胁程度。
具体地,可以通过以下公式计算所述网络资产的资产威胁指数:
Figure BDA0002474756520000252
其中,W表示所述网络资产的资产威胁指数;
n表示距离所述当前时间周期的周期个数,i=0,1,......,n-1,n=N+1;
wi表示距离所述当前时间周期的周期个数为i的时间周期的所述网络资产的资产周期威胁指数;
bi表示wi的权重,
Figure BDA0002474756520000253
具体实施时,wi也就是所述当前时间周期的前i个时间周期所述网络资产的资产周期威胁指数。假设一个时间周期为1天,假设N=4,则n=5,则
Figure BDA0002474756520000261
其中,w0为距离当天的天数为0天的网络资产的资产周期威胁指数,即当天的网络资产的资产周期威胁指数,w1为距离当天的天数为1天的网络资产的资产周期威胁指数,即当天前1天的网络资产的资产周期威胁指数,w2为距离当天的天数为2天的网络资产的资产周期威胁指数,即当天前2天的网络资产的资产周期威胁指数,w3为距离当天的天数为3天的网络资产的资产周期威胁指数,即当天前3天的网络资产的资产周期威胁指数,w4为距离当天的天数为4天的网络资产的资产周期威胁指数,即当天前4天的网络资产的资产周期威胁指数。
S13、确定所述当前时间周期的所述网络资产的资产脆弱性指数。
具体实施时,大数据安全分析平台确定所述当前时间周期的所述网络资产的资产脆弱性指数,所述资产脆弱性指数表征所述网络资产的脆弱程度。
具体地,按照如图7所示的流程确定当前时间周期的所述网络资产的资产脆弱性指数,可以包括以下步骤:
S61、根据预设的网络资产和资产价值的对应关系确定网络资产的资产价值。
具体实施时,所述资产价值用于表征网络资产的重要等级,大数据安全分析平台预先根据网络资产的重要程度设置其对应的资产价值,可以用1~5五个数值表示,资产价值的数值越高,表示该网络资产越重要,并存储网络资产和资产价值的对应关系。本发明实施例中,以网络资产标识表示该网络资产。
S62、根据预设的漏洞和风险指数的对应关系确定各漏洞的风险指数。
具体实施时,所述漏洞的风险指数表征漏洞的危险程度。大数据安全分析平台预先设置漏洞对应的风险指数,并存储漏洞和风险指数的对应关系,所述漏洞的风险指数表征漏洞的危险程度。
具体地,大数据安全分析平台根据所述漏洞和风险指数的对应关系确定所述网络资产相关数据中的所述当前时间周期的所述网络资产的各漏洞的风险指数。
具体地,大数据安全分析平台从所述漏洞和风险指数的对应关系中查找所述各漏洞,并获取所述各漏洞对应的风险指数。
S63、根据所述资产价值和所述各漏洞的风险指数确定所述当前时间周期的所述网络资产的资产脆弱性指数。
具体实施时,可以通过以下公式计算所述当前时间周期的所述网络资产的资产脆弱性指数:
Figure BDA0002474756520000271
其中,R表示所述当前时间周期的所述网络资产的资产脆弱性指数;
aj表示所述当前时间周期的所述网络资产的第j个漏洞的风险指数,j=1,2,3,......,m,m表示所述当前时间周期的所述网络资产的漏洞的个数,a1>a2>a3>......>am
V表示所述网络资产的资产价值。
S14、根据所述资产威胁指数和所述资产脆弱性指数确定所述当前时间周期的所述网络资产的风险评分。
具体实施时,可以通过以下公式计算在所述当前时间周期的所述网络资产的风险评分:
Risk=c1*W+c2*R
其中,Risk表示在所述当前时间周期的所述网络资产的风险评分;
W表示所述网络资产的资产威胁指数;
c1表示W的权重;
R表示所述当前时间周期的所述网络资产的资产脆弱性指数;
c2表示R的权重。
具体实施时,c1+c2=1,c1和c2的值可以根据实际情况自行设定,本发明实施例对此不作限定。
可选地,针对包含了若干网络资产的权限域,还可以进一步评估权限域的风险评分,可以按照如图8所示的流程确定当前时间周期的权限域的风险评分,包括以下步骤:
S71、根据当前时间周期的权限域中包含的网络资产的资产周期威胁指数确定所述当前时间周期的所述权限域的周期威胁指数。
具体实施时,大数据安全分析平台根据所述当前时间周期的权限域中包含的网络资产的资产周期威胁指数确定所述当前时间周期的所述权限域的周期威胁指数,其中,所述权限域表征管理的网络资产的范围,所述权限域包含至少二个网络资产,所述权限域的周期威胁指数表征所述权限域在当前时间周期内的受威胁程度。
具体地,可以通过以下公式计算所述当前时间周期的所述权限域的周期威胁指数:
Figure BDA0002474756520000281
其中,w'表示所述当前时间周期的所述权限域的周期威胁指数;
Vk表示所述当前时间周期的所述权限域中的第k个网络资产的资产价值,k=1,2,......,M,M表示所述权限域包含的网络资产的个数;
wk表示所述当前时间周期的所述权限域中的第k个网络资产的资产周期威胁指数。
S72、根据所述权限域的周期威胁指数和所述当前时间周期的前N个时间周期的所述权限域的周期威胁指数,确定所述权限域的威胁指数。
具体实施时,所述权限域的威胁指数表征截止到所述当前时间周期所述权限域的受威胁程度。
具体地,可以通过以下公式计算所述权限域的威胁指数:
Figure BDA0002474756520000291
其中,W'表示所述权限域的威胁指数;
n表示距离所述当前时间周期的周期个数,i=0,1,......,n-1,n=N+1;
wi'表示距离所述当前时间周期的周期个数为i的时间周期的所述权限域的周期威胁指数;
bi表示wi'的权重,
Figure BDA0002474756520000292
具体实施时,wi'也就是所述当前时间周期的前i个时间周期的所述权限域的周期威胁指数。
S73、根据所述权限域中包含的网络资产的资产脆弱性指数确定当前时间周期的所述权限域的脆弱性指数。
其中,所述权限域的脆弱性指数表征所述权限域的脆弱程度。
具体实施时,可以通过以下公式计算当前时间周期的所述权限域的脆弱性指数:
Figure BDA0002474756520000293
其中,Rlm表示当前时间周期的所述权限域的脆弱性指数;
Rk表示所述当前时间周期的所述权限域中的第k个网络资产的资产脆弱性指数,k=1,2,.....M.,M表示所述权限域包含的网络资产的个数,R1>R2>R3>......>RM
S74、根据所述权限域的威胁指数和所述权限域的脆弱性指数确定所述当前时间周期的所述权限域的风险评分。
具体实施时,可以通过以下公式计算在所述当前时间周期的所述权限域的风险评分:
Risk'=d1*W'+d2*Rlm
其中,Risk'表示在所述当前时间周期的所述权限域的风险评分;
W'表示所述权限域的威胁指数;
d1表示W'的权重;
Rlm表示所述当前时间周期的所述权限域的脆弱性指数;
d2表示Rlm的权重。
S114、当确定所述网络资产的风险评分大于等于所述预设阈值时,对所述网络资产进行阻断。
具体实施时,大数据安全分析平台将所述网络资产的风险评分和所述预设阈值进行比较,当所述网络资产的风险评分大于等于所述预设阈值时,对所述网络资产进行阻断。
进一步地,按照如图9所示的流程对所述网络资产解除阻断,可以包括以下步骤:
S81、从网络资产阻断信息列表中获取网络资产标识对应的解除阻断方式。
具体实施时,大数据安全分析平台从所述网络资产阻断信息列表中的预设的网络资产标识和解除阻断方式的对应关系中,获取所述网络资产标识对应的解除阻断方式。
S82、根据所述解除阻断方式对所述网络资产解除阻断。
具体实施时,当解除阻断为手动解除方式时,管理员则可以根据实际情况对所述消息手动解除阻断即可。
当解除阻断方式为定时解除方式时,按照如图10所示的流程对所述网络资产解除阻断,可以包括以下步骤:
S91、当确定解除阻断方式为定时解除方式时,从网络资产阻断信息列表中获取网络资产标识对应的预设时长。
具体实施时,大数据安全分析平台当确定所述解除阻断方式为定时解除方式时,从所述预设网络资产阻断信息列表中获取所述网络资产标识对应的预设时长。
S92、根据所述预设时长对所述网络资产解除阻断。
具体实施时,大数据安全分析平台获取指定时间段内所述网络资产的风险评分,记为第一风险评分,所述指定时间段在阻断所述网络资产时对应的第一时刻之后、且达到所述预设时长时对应的第二时刻之前,所述指定时间段是指所述当前时间周期的后面的若干时间周期,且其在达到所述预设时长时对应的第二时刻之前,逐个按时间周期获取所述第一风险评分。当确定所述第一风险评分小于所述预设阈值时,对所述网络资产解除阻断。当确定所述第一风险评分大于等于所述预设阈值时,且达到所述预设时长对应的第二时刻,则对所述网络资产解除阻断,也就是说,如果当达到所述预设时长对应的第二时刻时,所述第一风险评分仍大于等于所述预设阈值,则直接对所述网络资产解除阻断。
可选地,所述网络资产阻断信息列表还可以包括预设权限域的标识和预设阈值、预设解除阻断方式的对应关系,同样地,所述解除阻断方式包括手动解除方式和定时解除方式,当所述解除阻断方式为定时解除方式时,所述网络资产阻断信息列表中还包括需要阻断的权限域的标识对应的预设时长,这里对权限域的阻断的则是对所述权限域标识对应的权限域中包含的所有网络资产。
具体实施时,按照如图11所示的流程对权限域进行阻断,可以包括以下步骤:
S100、获取权限域的标识。
具体实施时,大数据安全分析平台获取权限域的标识。
S101、当确定从网络资产阻断信息列表中查找到所述权限域的标识时,从所述网络资产阻断信息列表中获取所述权限域的标识对应的第一预设阈值。
具体实施时,大数据安全分析平台当确定从预设网络资产阻断信息列表中查找到所述权限域的标识时,从所述网络资产阻断信息列表中获取所述权限域的标识对应的预设阈值,记为第一预设阈值。
S102、当确定所述权限域的风险评分大于等于所述第一预设阈值时,对所述权限域中的网络资产进行阻断。
具体实施时,大数据安全分析平台获取所述当前时间周期的所述权限域的风险评分,将所述权限域的风险评分和所述第一预设阈值进行比较,如果所述权限域的风险评分大于等于所述第一预设阈值时,则对所述权限域中的各网络资产进行阻断。
S103、从所述网络资产阻断信息列表中获取所述权限域的标识对应的解除阻断方式。
具体实施时,大数据安全分析平台从所述网络资产阻断信息列表中的预设的权限域的标识和解除阻断方式的对应关系中,获取所述权限域的标识对应的解除阻断方式。
S104、根据所述解除阻断方式对所述权限域中的网络资产解除阻断。
具体实施时,当解除阻断为手动解除方式时,管理员则可以根据实际情况对所述权限域中的各网络资产手动解除阻断即可。
当解除阻断方式为定时解除方式时,按照如图12所示的流程对所述权限域解除阻断,即对所述权限域中的网络资产解除阻断,可以包括以下步骤:
S1041、当确定解除阻断方式为定时解除方式时,从网络资产阻断信息列表中获取权限域的标识对应的第一预设时长。
具体实施时,大数据安全分析平台当确定所述解除阻断方式为定时解除方式时,从所述预设网络资产阻断信息列表中获取所述权限域的标识对应的预设时长,记为第一预设时长。
S1042、根据所述第一预设时长对所述权限域中的网络资产解除阻断。
具体实施时,大数据安全分析平台获取第一指定时间段内所述权限域的风险评分,记为第二风险评分,所述第一指定时间段在阻断所述权限域的网络资产时对应的第三时刻之后、且达到所述第一预设时长时对应的第四时刻之前,所述指定时间段是指所述当前时间周期的后面的若干时间周期,且其在达到所述第一预设时长时对应的第四时刻之前,逐个按时间周期获取所述第二风险评分。当确定所述第二风险评分小于所述第一预设阈值时,对所述权限域中的各网络资产解除阻断。当确定所述第二风险评分大于等于所述第一预设阈值时,且达到所述第一预设时长对应的第四时刻,则对所述权限域中的各网络资产解除阻断,也就是说,如果当达到所述第一预设时长对应的第四时刻时,所述第二风险评分仍大于等于所述第一预设阈值,则直接对所述权限域中的各网络资产解除阻断。
本发明实施例提供的网络资产风险控制方法中,根据当前时间周期内的网络资产的资产周期威胁指数以及历史时间周期内的网络资产的资产周期威胁指数共同确定待评判当前时间周期对应的网络资产的资产威胁指数,由于考虑了历史危险度对当前时间周期的危险度的影响,不会因为当前时间周期检测不到威胁而认为其不存在危险,并且,进而,根据网络资产的资产威胁指数和资产脆弱性指数确定在当前时间周期内网络资产的风险评分,更加准确地进行风险评估,提高了风险评分的准确率,进而,提高了网络资产的风险控制效率。并且,通过权限域的风险评分,可以区分每个权限域的危险程度,从而,可以更快地定位出问题的节点。且基于网络资产的风险评分和权限域的风险评分,可以对单个网络资产和权限域中的网络资产进行自动化封堵和解除封堵,通过对危险的网络资产的封堵,降低了其发送的危险请求进入***,减少其危险性,当风险值低于某一阈值时,可认为其风险减低,则解除封堵,提高了安全性。
基于同一发明构思,本发明实施例还提供了一种网络资产风险控制装置,由于上述网络资产风险控制装置解决问题的原理与网络资产风险控制方法相似,因此上述装置的实施可以参见方法的实施,重复之处不再赘述。
如图13所示,其为本发明实施例提供的网络资产风险控制装置的结构示意图,可以包括:
第一获取单元111,用于获取网络资产相关数据,所述数据至少包括网络资产标识、当前时间周期的所述网络资产的攻击事件和所述攻击事件对应的攻击结果、所述当前时间周期的所述网络资产的资产受攻击状态、所述当前时间周期的所述网络资产的攻击源网络协议IP地址的个数、所述当前时间周期的前N个时间周期的所述网络资产的攻击源IP地址的个数、所述当前时间周期的所述网络资产的漏洞;
第二获取单元112,用于当确定从预设网络资产阻断信息列表中查找到所述网络资产标识时,从所述网络资产阻断信息列表中获取所述网络资产标识对应的预设阈值;
第一确定单元113,用于根据所述数据确定所述当前时间周期的所述网络资产的风险评分;
网络资产阻断单元114,用于当确定所述网络资产的风险评分大于等于所述预设阈值时,对所述网络资产进行阻断。
可选地,所述装置,还包括:
第三获取单元,用于从所述网络资产阻断信息列表中获取所述网络资产标识对应的解除阻断方式;
网络资产阻断解除单元,根据所述解除阻断方式对所述网络资产解除阻断。
较佳地,所述解除阻断方式包括定时解除方式;
所述网络资产阻断解除单元,具体用于当确定所述解除阻断方式为定时解除方式时,从所述网络资产阻断信息列表中获取所述网络资产标识对应的预设时长;根据所述预设时长对所述网络资产解除阻断。
较佳地,所述网络资产阻断解除单元,具体用于获取指定时间段内所述网络资产的第一风险评分,所述指定时间段在阻断所述网络资产时对应的第一时刻之后、且达到所述预设时长时对应的第二时刻之前;当确定所述第一风险评分小于所述预设阈值时,对所述网络资产解除阻断;当确定所述第一风险评分大于等于所述预设阈值时,且达到所述预设时长对应的第二时刻,则对所述网络资产解除阻断。
较佳地,所述第一确定单元113,具体用于确定所述当前时间周期的所述网络资产的资产周期威胁指数,所述资产周期威胁指数表征所述网络资产在当前时间周期内的受威胁程度;根据所述网络资产的资产周期威胁指数和所述当前时间周期的前N个时间周期的所述网络资产的资产周期威胁指数,确定所述网络资产的资产威胁指数,所述资产威胁指数表征截止到当前时间周期所述网络资产的受威胁程度;确定所述当前时间周期的所述网络资产的资产脆弱性指数,所述资产脆弱性指数表征所述网络资产的脆弱程度;根据所述资产威胁指数和所述资产脆弱性指数确定所述当前时间周期的所述网络资产的风险评分。
较佳地,所述第一确定单元113,具体用于确定所述当前时间周期的所述网络资产的资产威胁严重程度、资产受攻击状态评分和资产威胁面;根据所述网络资产的资产威胁严重程度、资产受攻击状态评分和资产威胁面,确定所述当前时间周期的所述网络资产的资产周期威胁指数。
较佳地,所述第一确定单元113,具体用于通过以下公式计算所述当前时间周期的所述网络资产的资产周期威胁指数:
w=α*S+β*Q+γ*P
其中,w表示所述当前时间周期的所述网络资产的资产周期威胁指数;
S表示所述当前时间周期的所述网络资产的资产威胁严重程度;
α表示S的权重;
Q表示所述当前时间周期的所述网络资产的资产受攻击状态评分;
β表示Q的权重;
P表示所述当前时间周期的所述网络资产的资产威胁面;
γ表示P的权重。
较佳地,所述第一确定单元113,具体用于根据预设的攻击事件和威胁等级的对应关系确定所述攻击事件的威胁等级,所述威胁等级表征攻击事件的危险程度;根据所述威胁等级中的最高威胁等级和所述最高威胁等级的攻击事件的攻击结果、以及攻击结果为攻击成功的攻击事件中威胁等级最高的攻击事件的威胁等级,确定所述当前时间周期的所述网络资产的资产威胁严重程度。
较佳地,所述第一确定单元113,具体用于从预设的资产受攻击状态和资产受攻击状态评分的对应关系中查找所述资产受攻击状态;获取所述资产受攻击状态对应的资产受攻击状态评分。
较佳地,所述第一确定单元113,具体用于确定所述当前时间周期和所述当前时间周期的前N个时间周期中的所述网络资产的最高攻击源IP地址个数;根据在所述当前时间周期内所述网络资产的攻击源IP地址的个数和所述最高攻击源IP地址个数,确定所述当前时间周期的所述网络资产的资产威胁面。
较佳地,所述第一确定单元,具体用于通过以下公式计算所述当前时间周期的所述网络资产的资产威胁严重程度:
S=(r1*Te1+r2*Te2*Re)*10/5
其中,S表示所述当前时间周期的所述网络资产的资产威胁严重程度;
Te1表示所述网络资产的攻击事件中攻击结果为攻击成功的攻击事件中威胁等级最高的攻击事件的威胁等级;
r1表示Te1的权重;
Te2表示所述网络资产的攻击事件的威胁等级中的最高威胁等级;
r2表示Te2的权重;
Re表示所述网络资产的攻击事件中最高威胁等级的攻击事件的攻击结果,如果攻击成功,则Re=1,如果攻击失败,则Re=0.1,如果攻击结果不确定,则Re=0.5。
较佳地,所述第一确定单元113,具体用于通过以下公式计算所述当前时间周期的所述网络资产的资产威胁面:
Figure BDA0002474756520000361
其中,P表示所述当前时间周期的所述网络资产的资产威胁面;
c表示在所述当前时间周期内所述网络资产的攻击源IP地址的个数;
cmax表示所述当前时间周期和所述当前时间周期的前N个时间周期中的所述网络资产的最高攻击源IP地址个数。
较佳地,所述第一确定单元113,具体用于通过以下公式计算在所述当前时间周期的所述网络资产的风险评分:
Risk=c1*W+c2*R
其中,Risk表示所述当前时间周期的所述网络资产的风险评分;
W表示所述网络资产的资产威胁指数;
c1表示W的权重;
R表示所述当前时间周期的所述网络资产的资产脆弱性指数;
c2表示R的权重。
较佳地,所述第一确定单元113,具体用于通过以下公式计算所述网络资产的资产威胁指数:
Figure BDA0002474756520000371
其中,W表示所述网络资产的资产威胁指数;
n表示距离所述当前时间周期的周期个数,i=0,1,......,n-1,n=N+1;
wi表示距离所述当前时间周期的周期个数为i的时间周期的所述网络资产的资产周期威胁指数;
bi表示wi的权重,
Figure BDA0002474756520000372
较佳地,所述第一确定单元113,具体用于根据预设的网络资产和资产价值的对应关系确定所述网络资产的资产价值,所述资产价值用于表征网络资产的重要等级;根据预设的漏洞和风险指数的对应关系确定各漏洞的风险指数,所述漏洞的风险指数表征漏洞的危险程度;根据所述资产价值和所述各漏洞的风险指数确定所述当前时间周期的所述网络资产的资产脆弱性指数。
较佳地,所述第一确定单元113,具体用于通过以下公式计算所述当前时间周期的所述网络资产的资产脆弱性指数:
Figure BDA0002474756520000381
其中,R表示所述当前时间周期的所述网络资产的资产脆弱性指数;
aj表示所述当前时间周期的所述网络资产的第j个漏洞的风险指数,j=1,2,3,......,m,m表示所述当前时间周期的所述网络资产的漏洞的个数,a1>a2>a3>......>am
V表示所述网络资产的资产价值。
可选地,所述装置,还包括:
第二确定单元,用于根据所述当前时间周期的权限域中包含的网络资产的资产周期威胁指数确定所述当前时间周期的所述权限域的周期威胁指数,其中,所述权限域表征管理的网络资产的范围,所述权限域包含至少二个网络资产,所述权限域的周期威胁指数表征所述权限域在当前时间周期内的受威胁程度;
第三确定单元,用于根据所述权限域的周期威胁指数和所述当前时间周期的前N个时间周期的所述权限域的周期威胁指数,确定所述权限域的威胁指数,所述权限域的威胁指数表征截止到所述当前时间周期所述权限域的受威胁程度;
第四确定单元,用于根据所述权限域中包含的网络资产的资产脆弱性指数确定当前时间周期的所述权限域的脆弱性指数,所述权限域的脆弱性指数表征所述权限域的脆弱程度;
第五确定单元,用于根据所述权限域的威胁指数和所述权限域的脆弱性指数确定所述当前时间周期的所述权限域的风险评分。
较佳地,所述第二确定单元,具体用于通过以下公式计算所述当前时间周期的所述权限域的周期威胁指数:
Figure BDA0002474756520000391
其中,w'表示所述当前时间周期的所述权限域的周期威胁指数;
Vk表示所述当前时间周期的所述权限域中的第k个网络资产的资产价值,k=1,2,......,M,M表示所述权限域包含的网络资产的个数;
wk表示所述当前时间周期的所述权限域中的第k个网络资产的资产周期威胁指数。
较佳地,所述第三确定单元,具体用于通过以下公式计算所述权限域的威胁指数:
Figure BDA0002474756520000392
其中,W'表示所述权限域的威胁指数;
n表示距离所述当前时间周期的周期个数,i=0,1,......,n-1,n=N+1;
wi'表示距离所述当前时间周期的周期个数为i的时间周期的所述权限域的周期威胁指数;
bi表示wi'的权重,
Figure BDA0002474756520000393
较佳地,所述第四确定单元,具体用于通过以下公式计算当前时间周期的所述权限域的脆弱性指数:
Figure BDA0002474756520000394
其中,Rlm表示当前时间周期的所述权限域的脆弱性指数;
Rk表示所述当前时间周期的所述权限域中的第k个网络资产的资产脆弱性指数,k=1,2,.....M.,M表示所述权限域包含的网络资产的个数,R1>R2>R3>......>RM
较佳地,所述第五确定单元,具体用于通过以下公式计算所述当前时间周期的所述权限域的风险评分:
Risk'=d1*W'+d2*Rlm
其中,Risk'表示所述当前时间周期的所述权限域的风险评分;
W'表示所述权限域的威胁指数;
d1表示W'的权重;
Rlm表示所述当前时间周期的所述权限域的脆弱性指数;
d2表示Rlm的权重。
可选地,所述装置,还包括:
第四获取单元,用于获取所述权限域的标识;
第五获取单元,用于当确定从所述网络资产阻断信息列表中查找到所述权限域的标识时,从所述网络资产阻断信息列表中获取所述权限域的标识对应的第一预设阈值;
权限域阻断单元,用于当确定所述权限域的风险评分大于等于所述第一预设阈值时,对所述权限域中的网络资产进行阻断;
第六获取单元,用于从所述网络资产阻断信息列表中获取所述权限域的标识对应的解除阻断方式;
权限域阻断解除单元,用于根据所述解除阻断方式对所述权限域中的网络资产解除阻断。
基于同一技术构思,本发明实施例还提供了一种电子设备110,参照图14所示,电子设备110用于实施上述方法实施例记载的网络资产风险控制方法,该实施例的电子设备110可以包括:存储器1101、处理器1102以及存储在所述存储器中并可在所述处理器上运行的计算机程序,例如网络资产风险评分程序。所述处理器执行所述计算机程序时实现上述各个网络资产风险控制方法实施例中的步骤,例如图1所示的步骤S111。或者,所述处理器执行所述计算机程序时实现上述各装置实施例中各模块/单元的功能,例如111。
本发明实施例中不限定上述存储器1101、处理器1102之间的具体连接介质。本申请实施例在图14中以存储器1101、处理器1102之间通过总线1103连接,总线1103在图14中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。所述总线1103可以分为地址总线、数据总线、控制总线等。为便于表示,图14中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器1101可以是易失性存储器(volatile memory),例如随机存取存储器(random-access memory,RAM);存储器1101也可以是非易失性存储器(non-volatilememory),例如只读存储器,快闪存储器(flash memory),硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD)、或者存储器1101是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器1101可以是上述存储器的组合。
处理器1102,用于实现如图1所示的一种网络资产风险控制方法,包括:
所述处理器1102,用于调用所述存储器1101中存储的计算机程序执行如图1中所示的步骤S111、获取网络资产相关数据,步骤S112、当确定从预设网络资产阻断信息列表中查找到所述网络资产标识时,从所述网络资产阻断信息列表中获取所述网络资产标识对应的预设阈值,步骤S113、根据所述数据确定所述当前时间周期的所述网络资产的风险评分,和步骤S114、当确定所述网络资产的风险评分大于等于所述预设阈值时,对所述网络资产进行阻断。
本申请实施例还提供了一种计算机可读存储介质,存储为执行上述处理器所需执行的计算机可执行指令,其包含用于执行上述处理器所需执行的程序。
在一些可能的实施方式中,本发明提供的网络资产风险控制方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在电子设备上运行时,所述程序代码用于使所述电子设备执行本说明书上述描述的根据本发明各种示例性实施方式的网络资产风险控制方法中的步骤,例如,所述电子设备可以执行如图1中所示的步骤S111、获取网络资产相关数据,步骤S112、当确定从预设网络资产阻断信息列表中查找到所述网络资产标识时,从所述网络资产阻断信息列表中获取所述网络资产标识对应的预设阈值,步骤S113、根据所述数据确定所述当前时间周期的所述网络资产的风险评分,和步骤S114、当确定所述网络资产的风险评分大于等于所述预设阈值时,对所述网络资产进行阻断。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
本发明的实施方式的用于网络资产风险控制的程序产品可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在计算设备上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。
可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
应当注意,尽管在上文详细描述中提及了装置的若干单元或子单元,但是这种划分仅仅是示例性的并非强制性的。实际上,根据本发明的实施方式,上文描述的两个或更多单元的特征和功能可以在一个单元中具体化。反之,上文描述的一个单元的特征和功能可以进一步划分为由多个单元来具体化。
此外,尽管在附图中以特定顺序描述了本发明方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
本领域内的技术人员应明白,本发明的实施例可提供为方法、装置、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(装置)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (46)

1.一种网络资产风险控制方法,其特征在于,包括:
获取网络资产相关数据,所述数据至少包括网络资产标识、当前时间周期的所述网络资产的攻击事件和所述攻击事件对应的攻击结果、所述当前时间周期的所述网络资产的资产受攻击状态、所述当前时间周期的所述网络资产的攻击源网络协议IP地址的个数、所述当前时间周期的前N个时间周期的所述网络资产的攻击源IP地址的个数、所述当前时间周期的所述网络资产的漏洞;
当确定从预设网络资产阻断信息列表中查找到所述网络资产标识时,从所述网络资产阻断信息列表中获取所述网络资产标识对应的预设阈值;
根据所述数据确定所述当前时间周期的所述网络资产的风险评分;
当确定所述网络资产的风险评分大于等于所述预设阈值时,对所述网络资产进行阻断。
2.如权利要求1所述的方法,其特征在于,还包括:
从所述网络资产阻断信息列表中获取所述网络资产标识对应的解除阻断方式;
根据所述解除阻断方式对所述网络资产解除阻断。
3.如权利要求2所述的方法,其特征在于,所述解除阻断方式包括定时解除方式;
根据所述解除阻断方式对所述网络资产解除阻断,具体包括:
当确定所述解除阻断方式为定时解除方式时,从所述网络资产阻断信息列表中获取所述网络资产标识对应的预设时长;
根据所述预设时长对所述网络资产解除阻断。
4.如权利要求3所述的方法,其特征在于,根据所述预设时长对所述网络资产解除阻断,具体包括:
获取指定时间段内所述网络资产的第一风险评分,所述指定时间段在阻断所述网络资产时对应的第一时刻之后、且达到所述预设时长时对应的第二时刻之前;
当确定所述第一风险评分小于所述预设阈值时,对所述网络资产解除阻断;
当确定所述第一风险评分大于等于所述预设阈值时,且达到所述预设时长对应的第二时刻,则对所述网络资产解除阻断。
5.如权利要求1所述的方法,其特征在于,根据所述数据确定所述当前时间周期的所述网络资产的风险评分,具体包括:
确定所述当前时间周期的所述网络资产的资产周期威胁指数,所述资产周期威胁指数表征所述网络资产在当前时间周期内的受威胁程度;
根据所述网络资产的资产周期威胁指数和所述当前时间周期的前N个时间周期的所述网络资产的资产周期威胁指数,确定所述网络资产的资产威胁指数,所述资产威胁指数表征截止到当前时间周期所述网络资产的受威胁程度;
确定所述当前时间周期的所述网络资产的资产脆弱性指数,所述资产脆弱性指数表征所述网络资产的脆弱程度;
根据所述资产威胁指数和所述资产脆弱性指数确定所述当前时间周期的所述网络资产的风险评分。
6.如权利要求5所述的方法,其特征在于,确定所述当前时间周期的网络资产的资产周期威胁指数,具体包括:
确定所述当前时间周期的所述网络资产的资产威胁严重程度、资产受攻击状态评分和资产威胁面;
根据所述网络资产的资产威胁严重程度、资产受攻击状态评分和资产威胁面,确定所述当前时间周期的所述网络资产的资产周期威胁指数。
7.如权利要求6所述的方法,其特征在于,根据所述网络资产的资产威胁严重程度、资产受攻击状态评分和资产威胁面,确定所述当前时间周期的所述网络资产的资产周期威胁指数,具体包括:
通过以下公式计算所述当前时间周期的所述网络资产的资产周期威胁指数:
w=α*S+β*Q+γ*P
其中,w表示所述当前时间周期的所述网络资产的资产周期威胁指数;
S表示所述当前时间周期的所述网络资产的资产威胁严重程度;
α表示S的权重;
Q表示所述当前时间周期的所述网络资产的资产受攻击状态评分;
β表示Q的权重;
P表示所述当前时间周期的所述网络资产的资产威胁面;
γ表示P的权重。
8.如权利要求6所述的方法,其特征在于,确定所述当前时间周期的所述网络资产的资产威胁严重程度,具体包括:
根据预设的攻击事件和威胁等级的对应关系确定所述攻击事件的威胁等级,所述威胁等级表征攻击事件的危险程度;
根据所述威胁等级中的最高威胁等级和所述最高威胁等级的攻击事件的攻击结果、以及攻击结果为攻击成功的攻击事件中威胁等级最高的攻击事件的威胁等级,确定所述当前时间周期的所述网络资产的资产威胁严重程度。
9.如权利要求6所述的方法,其特征在于,确定所述当前时间周期的所述网络资产的资产受攻击状态评分,具体包括:
从预设的资产受攻击状态和资产受攻击状态评分的对应关系中查找所述资产受攻击状态;
获取所述资产受攻击状态对应的资产受攻击状态评分。
10.如权利要求6所述的方法,其特征在于,确定所述当前时间周期的所述网络资产的资产威胁面,具体包括:
确定所述当前时间周期和所述当前时间周期的前N个时间周期中的所述网络资产的最高攻击源IP地址个数;
根据在所述当前时间周期内所述网络资产的攻击源IP地址的个数和所述最高攻击源IP地址个数,确定所述当前时间周期的所述网络资产的资产威胁面。
11.如权利要求8所述的方法,其特征在于,根据所述威胁等级中的最高威胁等级和所述最高威胁等级的攻击事件的攻击结果、以及攻击结果为攻击成功的攻击事件中威胁等级最高的攻击事件的威胁等级,确定所述当前时间周期的所述网络资产的资产威胁严重程度,具体包括:
通过以下公式计算所述当前时间周期的所述网络资产的资产威胁严重程度:
S=(r1*Te1+r2*Te2*Re)*10/5
其中,S表示所述当前时间周期的所述网络资产的资产威胁严重程度;
Te1表示所述网络资产的攻击事件中攻击结果为攻击成功的攻击事件中威胁等级最高的攻击事件的威胁等级;
r1表示Te1的权重;
Te2表示所述网络资产的攻击事件的威胁等级中的最高威胁等级;
r2表示Te2的权重;
Re表示所述网络资产的攻击事件中最高威胁等级的攻击事件的攻击结果,如果攻击成功,则Re=1,如果攻击失败,则Re=0.1,如果攻击结果不确定,则Re=0.5。
12.如权利要求10所述的方法,其特征在于,根据在所述当前时间周期内所述网络资产的攻击源IP地址的个数和所述最高攻击源IP地址个数,确定所述当前时间周期的所述网络资产的资产威胁面,具体包括:
通过以下公式计算所述当前时间周期的所述网络资产的资产威胁面:
Figure FDA0002474756510000041
其中,P表示所述当前时间周期的所述网络资产的资产威胁面;
c表示在所述当前时间周期内所述网络资产的攻击源IP地址的个数;
cmax表示所述当前时间周期和所述当前时间周期的前N个时间周期中的所述网络资产的最高攻击源IP地址个数。
13.如权利要求5所述的方法,其特征在于,根据所述资产威胁指数和所述资产脆弱性指数确定所述当前时间周期的所述网络资产的风险评分,具体包括:
通过以下公式计算在所述当前时间周期的所述网络资产的风险评分:
Risk=c1*W+c2*R
其中,Risk表示所述当前时间周期的所述网络资产的风险评分;
W表示所述网络资产的资产威胁指数;
c1表示W的权重;
R表示所述当前时间周期的所述网络资产的资产脆弱性指数;
c2表示R的权重。
14.如权利要求5所述的方法,其特征在于,根据所述网络资产的资产周期威胁指数和所述当前时间周期的前N个时间周期的所述网络资产的资产周期威胁指数,确定所述网络资产的资产威胁指数,具体包括:
通过以下公式计算所述网络资产的资产威胁指数:
Figure FDA0002474756510000051
其中,W表示所述网络资产的资产威胁指数;
n表示距离所述当前时间周期的周期个数,i=0,1,......,n-1,n=N+1;
wi表示距离所述当前时间周期的周期个数为i的时间周期的所述网络资产的资产周期威胁指数;
bi表示wi的权重,
Figure FDA0002474756510000052
15.如权利要求5所述的方法,其特征在于,确定所述当前时间周期的所述网络资产的资产脆弱性指数,具体包括:
根据预设的网络资产和资产价值的对应关系确定所述网络资产的资产价值,所述资产价值用于表征网络资产的重要等级;
根据预设的漏洞和风险指数的对应关系确定各漏洞的风险指数,所述漏洞的风险指数表征漏洞的危险程度;
根据所述资产价值和所述各漏洞的风险指数确定所述当前时间周期的所述网络资产的资产脆弱性指数。
16.如权利要求15所述的方法,其特征在于,根据所述资产价值和所述各漏洞的风险指数确定所述当前时间周期的所述网络资产的资产脆弱性指数,具体包括:
通过以下公式计算所述当前时间周期的所述网络资产的资产脆弱性指数:
Figure FDA0002474756510000061
其中,R表示所述当前时间周期的所述网络资产的资产脆弱性指数;
aj表示所述当前时间周期的所述网络资产的第j个漏洞的风险指数,j=1,2,3,......,m,m表示所述当前时间周期的所述网络资产的漏洞的个数,a1>a2>a3>......>am
V表示所述网络资产的资产价值。
17.如权利要求5、6、7或16任一项所述的方法,其特征在于,还包括:
根据所述当前时间周期的权限域中包含的网络资产的资产周期威胁指数确定所述当前时间周期的所述权限域的周期威胁指数,其中,所述权限域表征管理的网络资产的范围,所述权限域包含至少二个网络资产,所述权限域的周期威胁指数表征所述权限域在当前时间周期内的受威胁程度;
根据所述权限域的周期威胁指数和所述当前时间周期的前N个时间周期的所述权限域的周期威胁指数,确定所述权限域的威胁指数,所述权限域的威胁指数表征截止到所述当前时间周期所述权限域的受威胁程度;
根据所述权限域中包含的网络资产的资产脆弱性指数确定当前时间周期的所述权限域的脆弱性指数,所述权限域的脆弱性指数表征所述权限域的脆弱程度;
根据所述权限域的威胁指数和所述权限域的脆弱性指数确定所述当前时间周期的所述权限域的风险评分。
18.如权利要求17所述的方法,其特征在于,根据所述当前时间周期的权限域中包含的网络资产的资产周期威胁指数确定所述当前时间周期的所述权限域的周期威胁指数,具体包括:
通过以下公式计算所述当前时间周期的所述权限域的周期威胁指数:
Figure FDA0002474756510000071
其中,w'表示所述当前时间周期的所述权限域的周期威胁指数;
Vk表示所述当前时间周期的所述权限域中的第k个网络资产的资产价值,k=1,2,......,M,M表示所述权限域包含的网络资产的个数;
wk表示所述当前时间周期的所述权限域中的第k个网络资产的资产周期威胁指数。
19.如权利要求17所述的方法,其特征在于,根据所述权限域的周期威胁指数和所述当前时间周期的前N个时间周期的所述权限域的周期威胁指数,确定所述权限域的威胁指数,具体包括:
通过以下公式计算所述权限域的威胁指数:
Figure FDA0002474756510000072
其中,W'表示所述权限域的威胁指数;
n表示距离所述当前时间周期的周期个数,i=0,1,......,n-1,n=N+1;
wi'表示距离所述当前时间周期的周期个数为i的时间周期的所述权限域的周期威胁指数;
bi表示wi'的权重,
Figure FDA0002474756510000081
20.如权利要求17所述的方法,其特征在于,根据所述权限域中包含的网络资产的资产脆弱性指数确定当前时间周期的所述权限域的脆弱性指数,具体包括:
通过以下公式计算当前时间周期的所述权限域的脆弱性指数:
Figure FDA0002474756510000082
其中,Rlm表示当前时间周期的所述权限域的脆弱性指数;
Rk表示所述当前时间周期的所述权限域中的第k个网络资产的资产脆弱性指数,k=1,2,.....M.,M表示所述权限域包含的网络资产的个数,R1>R2>R3>......>RM
21.如权利要求19或20所述的方法,其特征在于,根据所述权限域的威胁指数和所述权限域的脆弱性指数确定在所述当前时间周期的所述权限域的风险评分,具体包括:
通过以下公式计算所述当前时间周期的所述权限域的风险评分:
Risk'=d1*W'+d2*Rlm
其中,Risk'表示所述当前时间周期的所述权限域的风险评分;
W'表示所述权限域的威胁指数;
d1表示W'的权重;
Rlm表示所述当前时间周期的所述权限域的脆弱性指数;
d2表示Rlm的权重。
22.如权利要求17所述的方法,其特征在于,还包括:
获取所述权限域的标识;
当确定从所述网络资产阻断信息列表中查找到所述权限域的标识时,从所述网络资产阻断信息列表中获取所述权限域的标识对应的第一预设阈值;
当确定所述权限域的风险评分大于等于所述第一预设阈值时,对所述权限域中的网络资产进行阻断;
从所述网络资产阻断信息列表中获取所述权限域的标识对应的解除阻断方式;
根据所述解除阻断方式对所述权限域中的网络资产解除阻断。
23.一种网络资产风险控制装置,其特征在于,包括:
第一获取单元,用于获取网络资产相关数据,所述数据至少包括网络资产标识、当前时间周期的所述网络资产的攻击事件和所述攻击事件对应的攻击结果、所述当前时间周期的所述网络资产的资产受攻击状态、所述当前时间周期的所述网络资产的攻击源网络协议IP地址的个数、所述当前时间周期的前N个时间周期的所述网络资产的攻击源IP地址的个数、所述当前时间周期的所述网络资产的漏洞;
第二获取单元,用于当确定从预设网络资产阻断信息列表中查找到所述网络资产标识时,从所述网络资产阻断信息列表中获取所述网络资产标识对应的预设阈值;
第一确定单元,用于根据所述数据确定所述当前时间周期的所述网络资产的风险评分;
网络资产阻断单元,用于当确定所述网络资产的风险评分大于等于所述预设阈值时,对所述网络资产进行阻断。
24.如权利要求23所述的装置,其特征在于,还包括:
第三获取单元,用于从所述网络资产阻断信息列表中获取所述网络资产标识对应的解除阻断方式;
网络资产阻断解除单元,根据所述解除阻断方式对所述网络资产解除阻断。
25.如权利要求24所述的装置,其特征在于,所述解除阻断方式包括定时解除方式;
所述网络资产阻断解除单元,具体用于当确定所述解除阻断方式为定时解除方式时,从所述网络资产阻断信息列表中获取所述网络资产标识对应的预设时长;根据所述预设时长对所述网络资产解除阻断。
26.如权利要求25所述的装置,其特征在于,
所述网络资产阻断解除单元,具体用于获取指定时间段内所述网络资产的第一风险评分,所述指定时间段在阻断所述网络资产时对应的第一时刻之后、且达到所述预设时长时对应的第二时刻之前;当确定所述第一风险评分小于所述预设阈值时,对所述网络资产解除阻断;当确定所述第一风险评分大于等于所述预设阈值时,且达到所述预设时长对应的第二时刻,则对所述网络资产解除阻断。
27.如权利要求23所述的装置,其特征在于,
所述第一确定单元,具体用于确定所述当前时间周期的所述网络资产的资产周期威胁指数,所述资产周期威胁指数表征所述网络资产在当前时间周期内的受威胁程度;根据所述网络资产的资产周期威胁指数和所述当前时间周期的前N个时间周期的所述网络资产的资产周期威胁指数,确定所述网络资产的资产威胁指数,所述资产威胁指数表征截止到当前时间周期所述网络资产的受威胁程度;确定所述当前时间周期的所述网络资产的资产脆弱性指数,所述资产脆弱性指数表征所述网络资产的脆弱程度;根据所述资产威胁指数和所述资产脆弱性指数确定所述当前时间周期的所述网络资产的风险评分。
28.如权利要求27所述的装置,其特征在于,
所述第一确定单元,具体用于确定所述当前时间周期的所述网络资产的资产威胁严重程度、资产受攻击状态评分和资产威胁面;根据所述网络资产的资产威胁严重程度、资产受攻击状态评分和资产威胁面,确定所述当前时间周期的所述网络资产的资产周期威胁指数。
29.如权利要求28所述的装置,其特征在于,
所述第一确定单元,具体用于通过以下公式计算所述当前时间周期的所述网络资产的资产周期威胁指数:
w=α*S+β*Q+γ*P
其中,w表示所述当前时间周期的所述网络资产的资产周期威胁指数;
S表示所述当前时间周期的所述网络资产的资产威胁严重程度;
α表示S的权重;
Q表示所述当前时间周期的所述网络资产的资产受攻击状态评分;
β表示Q的权重;
P表示所述当前时间周期的所述网络资产的资产威胁面;
γ表示P的权重。
30.如权利要求28所述的装置,其特征在于,
所述第一确定单元,具体用于根据预设的攻击事件和威胁等级的对应关系确定所述攻击事件的威胁等级,所述威胁等级表征攻击事件的危险程度;根据所述威胁等级中的最高威胁等级和所述最高威胁等级的攻击事件的攻击结果、以及攻击结果为攻击成功的攻击事件中威胁等级最高的攻击事件的威胁等级,确定所述当前时间周期的所述网络资产的资产威胁严重程度。
31.如权利要求28所述的装置,其特征在于,
所述第一确定单元,具体用于从预设的资产受攻击状态和资产受攻击状态评分的对应关系中查找所述资产受攻击状态;获取所述资产受攻击状态对应的资产受攻击状态评分。
32.如权利要求28所述的装置,其特征在于,
所述第一确定单元,具体用于确定所述当前时间周期和所述当前时间周期的前N个时间周期中的所述网络资产的最高攻击源IP地址个数;根据在所述当前时间周期内所述网络资产的攻击源IP地址的个数和所述最高攻击源IP地址个数,确定所述当前时间周期的所述网络资产的资产威胁面。
33.如权利要求30所述的装置,其特征在于,
所述第一确定单元,具体用于通过以下公式计算所述当前时间周期的所述网络资产的资产威胁严重程度:
S=(r1*Te1+r2*Te2*Re)*10/5
其中,S表示所述当前时间周期的所述网络资产的资产威胁严重程度;
Te1表示所述网络资产的攻击事件中攻击结果为攻击成功的攻击事件中威胁等级最高的攻击事件的威胁等级;
r1表示Te1的权重;
Te2表示所述网络资产的攻击事件的威胁等级中的最高威胁等级;
r2表示Te2的权重;
Re表示所述网络资产的攻击事件中最高威胁等级的攻击事件的攻击结果,如果攻击成功,则Re=1,如果攻击失败,则Re=0.1,如果攻击结果不确定,则Re=0.5。
34.如权利要求32所述的装置,其特征在于,
所述第一确定单元,具体用于通过以下公式计算所述当前时间周期的所述网络资产的资产威胁面:
Figure FDA0002474756510000121
其中,P表示所述当前时间周期的所述网络资产的资产威胁面;
c表示在所述当前时间周期内所述网络资产的攻击源IP地址的个数;
cmax表示所述当前时间周期和所述当前时间周期的前N个时间周期中的所述网络资产的最高攻击源IP地址个数。
35.如权利要求27所述的装置,其特征在于,
所述第一确定单元,具体用于通过以下公式计算在所述当前时间周期的所述网络资产的风险评分:
Risk=c1*W+c2*R
其中,Risk表示所述当前时间周期的所述网络资产的风险评分;
W表示所述网络资产的资产威胁指数;
c1表示W的权重;
R表示所述当前时间周期的所述网络资产的资产脆弱性指数;
c2表示R的权重。
36.如权利要求27所述的装置,其特征在于,
所述第一确定单元,具体用于通过以下公式计算所述网络资产的资产威胁指数:
Figure FDA0002474756510000131
其中,W表示所述网络资产的资产威胁指数;
n表示距离所述当前时间周期的周期个数,i=0,1,......,n-1,n=N+1;
wi表示距离所述当前时间周期的周期个数为i的时间周期的所述网络资产的资产周期威胁指数;
bi表示wi的权重,
Figure FDA0002474756510000132
37.如权利要求27所述的装置,其特征在于,
所述第一确定单元,具体用于根据预设的网络资产和资产价值的对应关系确定所述网络资产的资产价值,所述资产价值用于表征网络资产的重要等级;根据预设的漏洞和风险指数的对应关系确定各漏洞的风险指数,所述漏洞的风险指数表征漏洞的危险程度;根据所述资产价值和所述各漏洞的风险指数确定所述当前时间周期的所述网络资产的资产脆弱性指数。
38.如权利要求37所述的装置,其特征在于,
所述第一确定单元,具体用于通过以下公式计算所述当前时间周期的所述网络资产的资产脆弱性指数:
Figure FDA0002474756510000141
其中,R表示所述当前时间周期的所述网络资产的资产脆弱性指数;
aj表示所述当前时间周期的所述网络资产的第j个漏洞的风险指数,j=1,2,3,......,m,m表示所述当前时间周期的所述网络资产的漏洞的个数,a1>a2>a3>......>am
V表示所述网络资产的资产价值。
39.如权利要求27、28、29或38任一项所述的装置,其特征在于,还包括:
第二确定单元,用于根据所述当前时间周期的权限域中包含的网络资产的资产周期威胁指数确定所述当前时间周期的所述权限域的周期威胁指数,其中,所述权限域表征管理的网络资产的范围,所述权限域包含至少二个网络资产,所述权限域的周期威胁指数表征所述权限域在当前时间周期内的受威胁程度;
第三确定单元,用于根据所述权限域的周期威胁指数和所述当前时间周期的前N个时间周期的所述权限域的周期威胁指数,确定所述权限域的威胁指数,所述权限域的威胁指数表征截止到所述当前时间周期所述权限域的受威胁程度;
第四确定单元,用于根据所述权限域中包含的网络资产的资产脆弱性指数确定当前时间周期的所述权限域的脆弱性指数,所述权限域的脆弱性指数表征所述权限域的脆弱程度;
第五确定单元,用于根据所述权限域的威胁指数和所述权限域的脆弱性指数确定所述当前时间周期的所述权限域的风险评分。
40.如权利要求39所述的装置,其特征在于,
所述第二确定单元,具体用于通过以下公式计算所述当前时间周期的所述权限域的周期威胁指数:
Figure FDA0002474756510000151
其中,w'表示所述当前时间周期的所述权限域的周期威胁指数;
Vk表示所述当前时间周期的所述权限域中的第k个网络资产的资产价值,k=1,2,......,M,M表示所述权限域包含的网络资产的个数;
wk表示所述当前时间周期的所述权限域中的第k个网络资产的资产周期威胁指数。
41.如权利要求39所述的装置,其特征在于,
所述第三确定单元,具体用于通过以下公式计算所述权限域的威胁指数:
Figure FDA0002474756510000152
其中,W'表示所述权限域的威胁指数;
n表示距离所述当前时间周期的周期个数,i=0,1,......,n-1,n=N+1;
wi'表示距离所述当前时间周期的周期个数为i的时间周期的所述权限域的周期威胁指数;
bi表示wi'的权重,
Figure FDA0002474756510000153
42.如权利要求39所述的装置,其特征在于,
所述第四确定单元,具体用于通过以下公式计算当前时间周期的所述权限域的脆弱性指数:
Figure FDA0002474756510000154
其中,Rlm表示当前时间周期的所述权限域的脆弱性指数;
Rk表示所述当前时间周期的所述权限域中的第k个网络资产的资产脆弱性指数,k=1,2,.....M.,M表示所述权限域包含的网络资产的个数,R1>R2>R3>......>RM
43.如权利要求42或43所述的装置,其特征在于,
所述第五确定单元,具体用于通过以下公式计算所述当前时间周期的所述权限域的风险评分:
Risk'=d1*W'+d2*Rlm
其中,Risk'表示所述当前时间周期的所述权限域的风险评分;
W'表示所述权限域的威胁指数;
d1表示W'的权重;
Rlm表示所述当前时间周期的所述权限域的脆弱性指数;
d2表示Rlm的权重。
44.如权利要求39所述的装置,其特征在于,还包括:
第四获取单元,用于获取所述权限域的标识;
第五获取单元,用于当确定从所述网络资产阻断信息列表中查找到所述权限域的标识时,从所述网络资产阻断信息列表中获取所述权限域的标识对应的第一预设阈值;
权限域阻断单元,用于当确定所述权限域的风险评分大于等于所述第一预设阈值时,对所述权限域中的网络资产进行阻断;
第六获取单元,用于从所述网络资产阻断信息列表中获取所述权限域的标识对应的解除阻断方式;
权限域阻断解除单元,用于根据所述解除阻断方式对所述权限域中的网络资产解除阻断。
45.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1~22任一项所述的网络资产风险控制方法。
46.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1~22任一项所述的网络资产风险控制方法中的步骤。
CN202010360291.0A 2020-04-30 2020-04-30 一种网络资产风险控制方法及装置 Active CN111539644B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010360291.0A CN111539644B (zh) 2020-04-30 2020-04-30 一种网络资产风险控制方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010360291.0A CN111539644B (zh) 2020-04-30 2020-04-30 一种网络资产风险控制方法及装置

Publications (2)

Publication Number Publication Date
CN111539644A true CN111539644A (zh) 2020-08-14
CN111539644B CN111539644B (zh) 2023-11-24

Family

ID=71978987

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010360291.0A Active CN111539644B (zh) 2020-04-30 2020-04-30 一种网络资产风险控制方法及装置

Country Status (1)

Country Link
CN (1) CN111539644B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112217824A (zh) * 2020-10-13 2021-01-12 福建奇点时空数字科技有限公司 一种基于流量感知的网络资产符合性分析方法
CN112784281A (zh) * 2021-01-21 2021-05-11 恒安嘉新(北京)科技股份公司 一种工业互联网的安全评估方法、装置、设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8495745B1 (en) * 2009-11-30 2013-07-23 Mcafee, Inc. Asset risk analysis
CN104901960A (zh) * 2015-05-26 2015-09-09 汉柏科技有限公司 一种基于告警策略的网络安全管理设备及方法
CN105427172A (zh) * 2015-12-04 2016-03-23 北京华热科技发展有限公司 一种风险评估方法及***
US20160226893A1 (en) * 2015-01-30 2016-08-04 Wipro Limited Methods for optimizing an automated determination in real-time of a risk rating of cyber-attack and devices thereof
CN110505206A (zh) * 2019-07-19 2019-11-26 广东电网有限责任公司信息中心 一种基于动态联防的互联网威胁监测防御方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8495745B1 (en) * 2009-11-30 2013-07-23 Mcafee, Inc. Asset risk analysis
US20160226893A1 (en) * 2015-01-30 2016-08-04 Wipro Limited Methods for optimizing an automated determination in real-time of a risk rating of cyber-attack and devices thereof
CN104901960A (zh) * 2015-05-26 2015-09-09 汉柏科技有限公司 一种基于告警策略的网络安全管理设备及方法
CN105427172A (zh) * 2015-12-04 2016-03-23 北京华热科技发展有限公司 一种风险评估方法及***
CN110505206A (zh) * 2019-07-19 2019-11-26 广东电网有限责任公司信息中心 一种基于动态联防的互联网威胁监测防御方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
赵粤征: "绿盟安全风险评估算法", pages 1 - 10, Retrieved from the Internet <URL:http://blog.nsfocus.net/nsfocus-security-risk-assessment-algorithms-system/> *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112217824A (zh) * 2020-10-13 2021-01-12 福建奇点时空数字科技有限公司 一种基于流量感知的网络资产符合性分析方法
CN112784281A (zh) * 2021-01-21 2021-05-11 恒安嘉新(北京)科技股份公司 一种工业互联网的安全评估方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN111539644B (zh) 2023-11-24

Similar Documents

Publication Publication Date Title
US20210112092A1 (en) Preventing advanced persistent threat attack
CN112073411B (zh) 一种网络安全推演方法、装置、设备及存储介质
US9507944B2 (en) Method for simulation aided security event management
CN105763561B (zh) 一种攻击防御方法和装置
Yi et al. Overview on attack graph generation and visualization technology
US11997127B2 (en) Policy based vulnerability identification, correlation, remediation, and mitigation
CN112534432A (zh) 不熟悉威胁场景的实时缓解
Pasquale et al. Adaptive evidence collection in the cloud using attack scenarios
US10320817B2 (en) Systems and methods for detecting an attack on an auto-generated website by a virtual machine
CN111226426B (zh) 多层网络拓扑中的攻击流的标识
CN112511561A (zh) 网络攻击路径确定方法、设备、存储介质及装置
CN111539644B (zh) 一种网络资产风险控制方法及装置
US20180083990A1 (en) Network Security Device and Application
Maheshwari et al. Faster detection and prediction of DDoS attacks using MapReduce and time series analysis
CN113872959B (zh) 一种风险资产等级判定和动态降级方法和装置及设备
Kotenko et al. Countermeasure selection in SIEM systems based on the integrated complex of security metrics
CN116015717A (zh) 一种网络防御方法、装置、设备及存储介质
CN111147300A (zh) 一种网络安全告警置信度评估方法及装置
CN111131166B (zh) 一种用户行为预判方法及相关设备
Hudic et al. A multi-layer and multitenant cloud assurance evaluation methodology
CN112291199B (zh) 一种报文处理方法、装置、电子设备及存储介质
CN115604018B (zh) 一种网络安全监控方法、***、设备及存储介质
KR101535381B1 (ko) Ip 주소 및 url를 이용한 인터넷 접속 차단 방법
US20240211589A1 (en) Risk based remote browser isolation
CN115834190B (zh) 主机管控方法、装置、设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant