CN112671800A - 一种威胁量化企业风险值的方法 - Google Patents
一种威胁量化企业风险值的方法 Download PDFInfo
- Publication number
- CN112671800A CN112671800A CN202110033570.0A CN202110033570A CN112671800A CN 112671800 A CN112671800 A CN 112671800A CN 202110033570 A CN202110033570 A CN 202110033570A CN 112671800 A CN112671800 A CN 112671800A
- Authority
- CN
- China
- Prior art keywords
- threat
- network
- detection
- host
- intrusion
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 21
- 238000011002 quantification Methods 0.000 title claims description 11
- 238000001514 detection method Methods 0.000 claims abstract description 122
- 238000012360 testing method Methods 0.000 claims abstract description 6
- 238000004458 analytical method Methods 0.000 claims description 24
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 9
- 238000004364 calculation method Methods 0.000 claims description 6
- 230000006399 behavior Effects 0.000 claims description 5
- 230000002159 abnormal effect Effects 0.000 claims description 4
- 230000006870 function Effects 0.000 claims description 4
- 230000003993 interaction Effects 0.000 claims description 4
- 238000012544 monitoring process Methods 0.000 claims description 3
- 230000002265 prevention Effects 0.000 claims description 3
- 238000012545 processing Methods 0.000 claims description 3
- 230000005856 abnormality Effects 0.000 claims description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000012093 association test Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000007429 general method Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012950 reanalysis Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种威胁量化企业风险值的方法,该方法使用基于网络的威胁检测引擎与基于主机的入侵检测***相结合的方式进行关联测试威胁,所述网络威胁检测引擎部署在中央管理器上,在检测到网络威胁之后,将这些威胁情报汇总到主机检测的引擎中,通过AI引擎分析威胁,得到风险检测结果,最后通过公式运算,得到威胁风险值。本发明有机结合了基于网络的威胁检测与基于主机的入侵检测,可操作性强,能够有效维护网络安全、企业业务安全和稳定性,通过威胁风险值可以更直观地看到企业的威胁风险,为中小型企业部署伪装代理提供了便利。
Description
技术领域
本发明涉及一种计算机信息安全检测领域,具体涉及一种威胁量化企业风险值的方法。
背景技术
现有技术中,已有计算机检测企业威胁的方法,一般的检测威胁的方式都是单独的基于主机的威胁检测,或者是单独的基于网络的威胁检测,不存在同时检测主机和网络方面的威胁,并且更精准的量化企业威胁量化值的方法,使用者难以对威胁的严重程度有一个比较直观了解。所以,本技术方案要解决的技术问题是如何将两者结合起来,既能检测主机方面的威胁,又能检测网络方面的威胁。
发明内容
发明目的:本发明的目的在于针对现有技术的不足,提供一种威胁量化企业风险值的方法,相较于现有技术,结合了基于主机的检测方式和基于网络的检测方式,此两种方式并非两个独立的框架,而是在检测到网络威胁之后,将这些威胁情报汇总到主机检测的引擎中,通过AI引擎分析威胁,得到风险检测结果。
一种威胁量化企业风险值的方法,其特征在于:该方法使用网络威胁检测引擎与基于主机的入侵检测***相结合的方式进行关联测试威胁,所述网络威胁检测引擎部署在中央管理器上,包括以下步骤:
步骤1:基于网络威胁检测,使用一种 AI Engine网络威胁检测引擎,进行网络层方面的检测,能够实时进行入侵检测、入侵防御、网络安全监控和离线pcap数据包文件处理,使用广泛且完整的签名语言来匹配已知的威胁、策略违反以及恶意行为和异常行为,从而发现来自各个端口上的异常流量,网络威胁检测***收集异常行为数据后转发给网络威胁检测引擎进行分析,并将分析结果转发给中央管理器;
步骤2:基于主机的入侵检测,使用一种基于主机的入侵检测***,所述基于主机的入侵检测***含有一个中央管理器(manager)以及若干个代理服务器(agent),所述代理服务器会通过一种安全且经过身份验证的通道收集***数据,所述主机入侵检测***对收集到的数据进行分析,并将分析结果转发给中央管理器;
步骤3:中央管理器分别接收网络威胁检测引擎的分析和基于主机的入侵检测***的分析,综合二者,中央管理器进行AI Engine分析,最后,产生安全警报发送给管理员。
所述步骤1中,基于网络威胁检测,在网络层可以定义到网络威胁来源的IP地址和端口、流量通过的传输协议以及去向的主机IP地址和端口,并且记录下检测到该网络流量的时间,以及对该网络流量的特征进行分析。
所述步骤2中,基于主机的入侵检测***支持检测Rootkit、恶意软件和***异常,并可以对***配置文件进行基本安全检查,对指定文件的完整性、内容和其他属性进行监视,对注册表项进行监视。
所述的步骤2中,基于主机的入侵检测主要针对主机的威胁来源的IP地址与端口,检测该威胁对基于主机的入侵检测***中被威胁的主机进行的威胁操作,以及检测威胁的信息,包括威胁的具体时间、涉及的相关网络协议和数据包具体特征等。
所述步骤2中,通过主机的入侵检测***对可能检测到的威胁事件进行等级划分,威胁等级以数字标明,威胁事件主要分为探测事件和入侵事件,对特定事件的加权取值进行计算,使用指数函数计算出探测事件与入侵事件相互作用下的风险值K,公式如下:
其中Bt是探测事件的风险权值,BI是入侵事件的风险权值,为计算方便,以及方法的可用性,将威胁量化企业风险值四舍五入取两位小数,作为最后的企业风险值S,S=ROUND2[K],因此最后的公式如下:
其中,Tr为企业风险事件收集数据中,探测事件占总风险事件的比例;
Tn为企业风险事件收集的数据中,探测事件的数量,Tn为整数且Tn≥0;
Ir为企业风险事件收集数据中,入侵事件占总风险事件的比例;
In为企业风险事件收集的数据中,入侵事件的数量,In为整数且In≥0。
本发明技术方案带来的有益效果有:
1、 方便使用者更加有效、便捷、全面地监控风险和威胁,无论是来自网络层面的还是来自主机层面的。
2、 方便使用者更直观地查看并对比风险的严重程度。
附图说明
图1为本发明的网络入侵检测与主机入侵检测关联测试威胁流程图。
具体实施方式
下面对本发明技术方案进行详细说明,但是本发明的保护范围不局限于所述实施例。
一种威胁量化企业风险值的方法,使用网络威胁检测引擎与基于主机的入侵检测***相结合的方式进行关联测试威胁,网络威胁检测引擎部署在中央管理器上,如图1所示,本发明提出的方法主要步骤包括:
步骤1:基于网络威胁检测,使用一种 AI Engine网络威胁检测引擎,能够实时进行入侵检测、入侵防御、网络安全监控和离线pcap数据包文件处理,进行网络层方面的检测,所述网络威胁检测引擎针对某一网络硬件设备(例如centos7***,该***包含一个网络硬件设备eth0即是eth0网卡,这种网络威胁检测引擎就可以针对这个eth0网卡进行检测,若有其他可用的与外部通信的网络硬件设备也同样可以监控),使用广泛且完整的签名语言来匹配已知的威胁、策略违反以及恶意行为和异常行为,从而发现来自各个端口上的异常流量,网络威胁检测***收集异常行为数据后转发给网络威胁检测引擎进行分析,并将分析结果转发给中央管理器,对于未知的新兴的威胁,该网络威胁检测引擎也支持用户使用机器学习匹配检测;
步骤2:基于主机的入侵检测,使用一种基于主机的入侵检测***,所述基于主机的入侵检测***含有一个中央管理器(manager)以及若干个代理服务器(agent),所述代理服务器会通过一种安全且经过身份验证的通道收集***数据,该通道建立时,manager会生成一个与agent相关的唯一的预共享密钥,此后双方可根据这些预共享密钥进行安全信道的通信和数据传送,实时提供数据加密和压缩功能,所述主机入侵检测***对收集到的数据进行分析,并将分析结果转发给中央管理器,同时,代理服务器也将其收集到的***数据转发给中央管理器,此类数据包括日志消息、文件散列和检测到的异常数据等;
步骤3:中央管理器分别接收网络威胁检测引擎的分析和基于主机的入侵检测***的分析,综合二者,中央管理器进行AI Engine分析,最后,产生安全警报发送给管理员。
具体的,步骤1和步骤2不分先后顺序,网络威胁检测引擎对收集到的数据进行分析,得到json格式的日志,网络威胁检测引擎作为威胁信息收集来源,可提供更全面的威胁检测数据,包括了网络层面和主机层面;基于主机的入侵检测***对收集到的数据进行分析,能够预先将原始的日志进行解析,从中提取出一些可用的数据,得到一一对应的json格式数据,得到json格式数据后方便了中央管理器进行再分析。因为代理服务器的数据也会发送给中央管理器,中央管理器会进行初步预分析,将威胁信息预转化为一个个键值对,类似json格式,然后中央管理器再根据规则,进行AI Engine分析匹配后得到最后的报警日志,这种报警日志语言通俗易懂,更加贴合用户的阅读习惯。
网络威胁检测在网络层可以定义到网络威胁来源IP地址和端口、流量(此处流量是指网络请求,即其他主机发送过来的数据包)通过的传输协议以及去向的主机IP地址和端口,并记录下检测到该网络流量的时间,以及对该网络流量的特征进行分析。例如,某些数据包向主机80端口发起请求,请求主机80端口的回复,那么根据该特征判断此类请求希望请求http服务,然而实际上主机没有开启http服务,所以合理怀疑此类请求是可疑攻击。
基于主机的入侵检测***支持检测Rootkit、恶意软件和***异常,并可以对***配置文件进行基本安全检查,对指定文件的完整性、内容和其他属性进行监视,对注册表项进行监视。
在主机层可以检测到针对主机的威胁来源的IP地址与端口,检测该威胁对基于主机的入侵检测***中被威胁的主机进行的威胁操作,以及检测威胁的信息,包括威胁的具体时间、涉及的相关网络协议和数据包具体特征等。如果该威胁已经成功与主机进行连接,并对主机进行了操作,基于主机的入侵检测***将会记录下该威胁对主机进行的操作内容、操作时间以及***所运用的检测方式和特征分析,对于敏感操作(如文件修改等),还会记录下其具体属性以便分析。
基于主机的入侵检测***将在规则集内含有对可能检测到的威胁事件的等级进行划分,等级以数字标明,威胁事件主要分为探测事件(1-9等级)和入侵事件(10-14等级),其中,探测类信息一般是通过探测工具等,进行一种简单探测,被网络威胁引擎或基于主机的入侵检测***所记录,也包含一些正常的可能的误用行为,入侵类信息是非常严重的威胁,被入侵检测***定义为“入侵”行为,该威胁可能会对主机或其承载的信息造成极大程度的破坏。具体的等级划分如下表:
表1
通过主机的入侵检测***对可能检测到的威胁的等级进行划分为探测事件和入侵事件,通过对特定事件的加权取值进行计算。
根据一种风险计算方法,得到探测事件的风险权值Bt,公示如下:
根据一种风险计算方法,得到入侵事件的风险权值BI,公式如下:
根据一种风险计算方法,使用指数函数计算出探测事件与入侵事件相互作用下的风险值K,公式如下:
其中Bt是探测事件的风险权值,BI是入侵事件的风险权值,得到风险值K,由于K是企业威胁量化值,取得的值实际上是探测事件的占比与入侵事件占比的大小相互作用取得的一个结果,因此,K的取值为0≤K。为计算方便,以及方法的可用性,将威胁量化企业风险值四舍五入取两位小数,作为最后的企业风险值S,S=ROUND2[K],S的取值为0≤S。
因此最后的公式如下:
其中,Tr为企业风险事件收集数据中,探测事件占总风险事件的比例;
Tn为企业风险事件收集的数据中,探测事件的数量,Tn为整数且Tn≥0;
Ir为企业风险事件收集数据中,入侵事件占总风险事件的比例;
In为企业风险事件收集的数据中,入侵事件的数量,In为整数且In≥0。
本发明使用网络威胁检测引擎与基于主机的入侵检测***相结合的方式进行关联测试威胁,在中央管理器上部署网络威胁检测引擎,由于基于主机的入侵检测***中,指向代理服务器的网络流量同样会被关联到中央管理器的网络硬件设备上,因此中央管理器中不仅可以收集到所有代理服务器在主机层方面的威胁信息,还可以收集到所有代理服务器在网络层方面的威胁信息,并且为了方便分析,在中央管理器的入侵检测***中,通过AI学习加入了对网络威胁检测引擎得到的安全日志的分析,将主机威胁信息与网络威胁信息一起记录到中央管理器的入侵检测***的安全日志中,从而达到网络入侵检测与主机入侵检测关联测试威胁的目的。
本发明相较于现有技术,结合了基于主机的检测方式和基于网络的检测方式,此两种检测方式并非两个独立的框架,而是有机的整合,在检测到网络威胁之后,将这些威胁情报汇总到主机检测的引擎中,通过AI引擎分析威胁,得到风险检测结果,具体通过计算方程式得到风险值,可以更加直观的看到威胁风险的严重程度,方便使用者更加有效、便捷、全面地监控风险和威胁。
如上所述,尽管参照特定的优选实施例已经表示和表述了本发明,但其不得解释为对本发明自身的限制。在不脱离所附权利要求定义的本发明的精神和范围前提下,可对其在形式上和细节上作出各种变化。
Claims (5)
1.一种威胁量化企业风险值的方法,其特征在于:该方法使用网络威胁检测引擎与基于主机的入侵检测***相结合的方式进行关联测试威胁,所述网络威胁检测引擎部署在中央管理器上,包括以下步骤:
步骤1:基于网络威胁检测,使用一种 AI Engine网络威胁检测引擎,进行网络层方面的检测,能够实时进行入侵检测、入侵防御、网络安全监控和离线pcap数据包文件处理,使用签名语言来匹配已知的威胁、策略违反以及恶意行为和异常行为,从而发现来自各个端口上的异常流量,网络威胁检测***收集异常行为数据后转发给网络威胁检测引擎进行分析,并将分析结果转发给中央管理器;
步骤2:基于主机的入侵检测,使用一种基于主机的入侵检测***,所述基于主机的入侵检测***含有一个中央管理器(manager)以及若干个代理服务器(agent),所述代理服务器会通过一种安全且经过身份验证的通道收集***数据,所述主机入侵检测***对收集到的数据进行分析,并将分析结果转发给中央管理器;
步骤3:中央管理器分别接收网络威胁检测引擎的分析和基于主机的入侵检测***的分析,综合二者,中央管理器进行AI Engine分析,最后,产生安全警报发送给管理员。
2.根据权利要求1所述的一种威胁量化企业风险值的方法,其特征在于:所述的步骤1中,基于网络威胁检测在网络层可以定义到网络威胁来源的IP地址和端口、流量(网络请求)通过的传输协议以及去向的主机IP地址和端口,并且记录下检测到该网络流量的时间点,以及对该网络流量的特征进行分析。
3.根据权利要求1所述的一种威胁量化企业风险值的方法,其特征在于:所述的步骤2中,基于主机的入侵检测***支持检测Rootkit、恶意软件和***异常,并可以对***配置文件进行基本安全检查,对指定文件的完整性、内容和其他属性进行监视,对注册表项进行监视。
4.根据权利要求1或2所述的一种威胁量化企业风险值的方法,其特征在于:所述的步骤2中,基于主机的入侵检测主要针对主机的威胁来源的IP地址与端口,检测该威胁对基于主机的入侵检测***中被威胁的主机进行的威胁操作,以及检测威胁的信息,包括威胁的具体时间、涉及的相关网络协议和数据包具体特征。
5.根据权利要求1所述的一种威胁量化企业风险值的方法,其特征在于:所述的步骤2中,通过主机的入侵检测***对可能检测到的威胁事件进行等级划分,威胁等级以数字标明,威胁事件主要分为探测事件和入侵事件,对特定事件的加权取值进行计算,使用指数函数计算出探测事件与入侵事件相互作用下的风险值K,公式如下:
K=log2(Bt + BI)
其中Bt是探测事件的风险权值,BI是入侵事件的风险权值,为计算方便,以及方法的可用性,将威胁量化企业风险值四舍五入取两位小数,作为最后的企业风险值S,S=ROUND2[K],因此最后的公式如下:
其中,Tr为企业风险事件收集数据中,探测事件占总风险事件的比例;
Tn为企业风险事件收集的数据中,探测事件的数量,Tn为整数且Tn≥0;
Ir为企业风险事件收集数据中,入侵事件占总风险事件的比例;
In为企业风险事件收集的数据中,入侵事件的数量,In为整数且In≥0。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110033570.0A CN112671800B (zh) | 2021-01-12 | 2021-01-12 | 一种威胁量化企业风险值的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110033570.0A CN112671800B (zh) | 2021-01-12 | 2021-01-12 | 一种威胁量化企业风险值的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112671800A true CN112671800A (zh) | 2021-04-16 |
| CN112671800B CN112671800B (zh) | 2023-09-26 |
Family
ID=75414316
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110033570.0A Active CN112671800B (zh) | 2021-01-12 | 2021-01-12 | 一种威胁量化企业风险值的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112671800B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115983636A (zh) * | 2022-12-26 | 2023-04-18 | 深圳市中政汇智管理咨询有限公司 | 风险评估方法、装置、设备及存储介质 |
| CN117118717A (zh) * | 2023-09-01 | 2023-11-24 | 湖北顺安伟业科技有限公司 | 一种用户信息威胁分析方法及*** |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103036745A (zh) * | 2012-12-21 | 2013-04-10 | 北京邮电大学 | 云计算中一种基于神经网络的异常检测*** |
| WO2015120752A1 (zh) * | 2014-02-17 | 2015-08-20 | 北京奇虎科技有限公司 | 网络威胁处理方法及设备 |
| US20160191559A1 (en) * | 2014-11-03 | 2016-06-30 | Vectra Networks, Inc. | System for implementing threat detection using threat and risk assessment of asset-actor interactions |
| CN107172022A (zh) * | 2017-05-03 | 2017-09-15 | 成都国腾实业集团有限公司 | 基于入侵途径的apt威胁检测方法和*** |
-
2021
- 2021-01-12 CN CN202110033570.0A patent/CN112671800B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103036745A (zh) * | 2012-12-21 | 2013-04-10 | 北京邮电大学 | 云计算中一种基于神经网络的异常检测*** |
| WO2015120752A1 (zh) * | 2014-02-17 | 2015-08-20 | 北京奇虎科技有限公司 | 网络威胁处理方法及设备 |
| US20160191559A1 (en) * | 2014-11-03 | 2016-06-30 | Vectra Networks, Inc. | System for implementing threat detection using threat and risk assessment of asset-actor interactions |
| CN107172022A (zh) * | 2017-05-03 | 2017-09-15 | 成都国腾实业集团有限公司 | 基于入侵途径的apt威胁检测方法和*** |
Non-Patent Citations (3)
| Title |
|---|
| 刘丽;付慧;: "移动Agent在分布式入侵检测***中的应用研究", no. 28 * |
| 朱旭: "入侵检测***中告警融合机制的研究", no. 10, pages 1 * |
| 黄爱民,傅光轩: "一种基于移动Agent的分布式入侵检测***模型MABDIDS", no. 06, pages 2 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115983636A (zh) * | 2022-12-26 | 2023-04-18 | 深圳市中政汇智管理咨询有限公司 | 风险评估方法、装置、设备及存储介质 |
| CN115983636B (zh) * | 2022-12-26 | 2023-11-17 | 深圳市中政汇智管理咨询有限公司 | 风险评估方法、装置、设备及存储介质 |
| CN117118717A (zh) * | 2023-09-01 | 2023-11-24 | 湖北顺安伟业科技有限公司 | 一种用户信息威胁分析方法及*** |
| CN117118717B (zh) * | 2023-09-01 | 2024-05-31 | 湖北顺安伟业科技有限公司 | 一种用户信息威胁分析方法及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112671800B (zh) | 2023-09-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11463457B2 (en) | Artificial intelligence (AI) based cyber threat analyst to support a cyber security appliance | |
| Rao et al. | A model for generating synthetic network flows and accuracy index for evaluation of anomaly network intrusion detection systems | |
| Mutz et al. | An experience developing an IDS stimulator for the black-box testing of network intrusion detection systems | |
| US7197762B2 (en) | Method, computer readable medium, and node for a three-layered intrusion prevention system for detecting network exploits | |
| CN106411562B (zh) | 一种电力信息网络安全联动防御方法及*** | |
| McHugh | Intrusion and intrusion detection | |
| US20030084319A1 (en) | Node, method and computer readable medium for inserting an intrusion prevention system into a network stack | |
| CN105812200B (zh) | 异常行为检测方法及装置 | |
| CA2886058A1 (en) | Identifying and mitigating malicious network threats | |
| WO2009037333A2 (en) | Intrusion detection method and system | |
| CN112602301A (zh) | 用于高效网络保护的方法和*** | |
| CN112671800A (zh) | 一种威胁量化企业风险值的方法 | |
| Mangrulkar et al. | Network attacks and their detection mechanisms: A review | |
| Hareesh et al. | Anomaly detection system based on analysis of packet header and payload histograms | |
| Ádám et al. | Artificial neural network based IDS | |
| Dressler et al. | Flow-based worm detection using correlated honeypot logs | |
| CN114006722A (zh) | 发现威胁的态势感知验证方法、装置及*** | |
| CN113794590A (zh) | 处理网络安全态势感知信息的方法、装置及*** | |
| KR100772177B1 (ko) | 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치 | |
| US20230156019A1 (en) | Method and system for scoring severity of cyber attacks | |
| Zanero | Flaws and frauds in the evaluation of IDS/IPS technologies | |
| Yang et al. | Design a hybrid flooding attack defense scheme under the cloud computing environment | |
| Abudalfa et al. | Evaluating performance of supervised learning techniques for developing real-time intrusion detection system | |
| JP2006330926A (ja) | ウィルス感染検知装置 | |
| KR100961438B1 (ko) | 실시간 침입 탐지 시스템 및 방법, 그리고 그 방법을수행하기 위한 프로그램이 기록된 기록매체 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |