CN113055407A - 一种资产的风险信息确定方法、装置、设备及存储介质 - Google Patents
一种资产的风险信息确定方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN113055407A CN113055407A CN202110430363.9A CN202110430363A CN113055407A CN 113055407 A CN113055407 A CN 113055407A CN 202110430363 A CN202110430363 A CN 202110430363A CN 113055407 A CN113055407 A CN 113055407A
- Authority
- CN
- China
- Prior art keywords
- information
- risk
- asset
- target asset
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 78
- 238000003860 storage Methods 0.000 title claims abstract description 30
- 238000001514 detection method Methods 0.000 claims description 52
- 238000004590 computer program Methods 0.000 claims description 13
- 230000008859 change Effects 0.000 claims description 4
- 230000009286 beneficial effect Effects 0.000 abstract description 2
- 238000009434 installation Methods 0.000 description 10
- 230000006399 behavior Effects 0.000 description 9
- 230000008569 process Effects 0.000 description 9
- 238000004891 communication Methods 0.000 description 8
- 238000009825 accumulation Methods 0.000 description 7
- 230000001360 synchronised effect Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 238000003306 harvesting Methods 0.000 description 5
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000007423 decrease Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000008485 antagonism Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000010219 correlation analysis Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000011835 investigation Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000005422 blasting Methods 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种资产的风险信息确定方法、装置、设备及存储介质。该方法的步骤包括:统计目标资产的安全相关数据;其中,安全相关数据包括攻击信息;根据安全相关数据确定目标资产的风险值;基于风险值确定目标资产对应的风险信息。由于本方法是根据目标资产包括攻击信息在内的安全相关数据得到目标资产的风险值,进而根据风险值生成目标资产相应的风险信息,因此目标资产的风险信息是根据反映其所受攻击情况的安全相关数据动态产生的,相对提高了风险信息的准确性,进而确保了目标资产的网络整体安全。此外,本申请还提供一种资产的风险信息确定装置、设备及存储介质,有益效果同上所述。
Description
技术领域
本申请涉及网络安全领域,特别是涉及一种资产的风险信息确定方法、装置、设备及存储介质。
背景技术
风险信息指的是传统安全设备识别网络攻击者行为后产生的一种提示性报警。
目前行业主流的安全检测能力主要使用规则引擎、行为模型等途径对被监控的资产进行网络流量、主机行为等参数进行监控,针对某一个特定资产的流量、主机行为特征进行识别出现异常或者攻击行为后即产生一定格式的风险信息。
当前的风险信息往往具有相应且固定的风险值,但是由于当前攻击者进行的网络攻击具有很高的隐蔽性和高对抗性,导致风险信息的风险水平往往与真实风险水平存在较大差异,并且当风险信息的风险较低的风险信息往往不会引起用户重视,难以确保网络整体安全。
由此可见,提供一种资产的风险信息确定方法,以相对提高风险信息的准确性,进而确保网络整体安全,是本领域技术人员需要解决的问题。
发明内容
本申请的目的是提供一种资产的风险信息确定方法、装置、设备及存储介质,以相对提高风险信息的准确性,进而确保网络整体安全风险信息的准确性。
为解决上述技术问题,本申请提供一种资产的风险信息确定方法,包括:
统计目标资产的安全相关数据;其中,安全相关数据包括攻击信息;
根据安全相关数据确定目标资产的风险值;
基于风险值确定目标资产对应的风险信息。
优选地,还包括:
基于风险信息生成告警事件。
优选地,还包括:
根据风险信息确定检测复杂度;
基于检测复杂度对目标资产执行相应检测操作。
优选地,攻击信息包括攻击阶段;
根据安全相关数据确定目标资产的风险值,包括:
根据攻击阶段确定检测能力权重;
利用检测能力权重生成目标资产的风险值。
优选地,安全相关数据还包括脆弱性信息,攻击信息包括历史安全事件;
根据安全相关数据确定目标资产的风险值,包括:
根据第一关联信息生成风险值,其中,第一关联信息表征该目标资产对应的脆弱性信息与该目标资产对应的历史安全事件之间的相关性。
优选地,攻击信息包括历史安全事件;
根据安全相关数据确定目标资产的风险值,包括:
根据第二关联信息生成风险值,其中,第二关联信息表征该目标资产对应的各历史安全事件之间的相关性。
优选地,安全相关数据还包括脆弱性信息,攻击信息包括攻击阶段及历史安全事件;
根据安全相关数据确定目标资产的风险值,包括:
根据攻击阶段、脆弱性信息、历史安全事件、第一关联信息及第二关联信息确定风险值;其中,第一关联信息表征该目标资产对应的脆弱性信息与该目标资产对应的历史安全事件之间的相关性,第二关联信息表征该目标资产对应的各历史安全事件之间的相关性。
优选地,根据攻击阶段、脆弱性信息、历史安全事件、第一关联信息及第二关联信息确定风险值,包括:
对攻击阶段对应的分值、基于脆弱性信息对应的分值、基于历史安全事件生成的分值、基于第一关联信息生成的分值以及基于第二关联信息生成的分值执行累加或加权累加操作,得到风险值。
优选地,在目标资产的安全相关数据发生变化的情况下,方法还包括:
根据变化后的安全相关数据计算新风险值,基于新风险值确定的新风险信息更新目标资产的风险信息。
此外,本申请还提供一种资产的风险信息确定装置,包括:
攻击信息统计模块,用于统计目标资产的安全相关数据;其中,安全相关数据包括攻击信息;
风险值生成模块,用于根据安全相关数据确定目标资产的风险值;
风险信息生成模块,用于基于风险值确定目标资产对应的风险信息。
此外,本申请还提供一种资产的风险信息确定设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现如上述的资产的风险信息确定方法的步骤。
此外,本申请还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述的资产的风险信息确定方法的步骤。
本申请所提供的资产的风险信息确定方法,首先统计目标资产的安全相关数据,该安全相关数据包括攻击信息,进而根据安全相关数据确定目标资产的风险值,并基于风险值确定目标资产对应的风险信息。由于本方法是根据目标资产包括攻击信息在内的安全相关数据得到目标资产的风险值,进而根据风险值生成目标资产相应的风险信息,因此目标资产的风险信息是根据反映其所受攻击情况的安全相关数据动态产生的,相对提高了风险信息的准确性,进而确保了目标资产的网络整体安全。此外,本申请还提供一种资产的风险信息确定装置、设备及存储介质,有益效果同上所述。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例公开的一种资产的风险信息确定方法的流程图;
图2为本申请实施例公开的一种资产的风险信息确定方法的流程图;
图3为本申请实施例公开的一种资产的风险信息确定方法的流程图;
图4为本申请实施例公开的一种资产的风险信息确定方法的流程图;
图5为本申请实施例公开的一种资产的风险信息确定方法的流程图;
图6为本申请实施例公开的一种具体应用场景下的资产的风险信息确定方法的逻辑示意图;
图7为本申请实施例公开的一种资产的风险信息确定装置的结构示意图;
图8为本申请实施例公开的一种资产的风险信息确定设备的硬件组成结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下,所获得的所有其他实施例,都属于本申请保护范围。
当前的风险信息往往具有相应且固定的风险值,但是由于当前攻击者进行的网络攻击具有很高的隐蔽性和高对抗性,导致风险信息的风险水平往往与真实风险水平存在较大差异,并且当风险信息的风险较低的风险信息往往不会引起用户重视,难以确保网络整体安全。
为此,本申请的核心是提供一种资产的风险信息确定方法,以相对提高风险信息的准确性,进而确保网络整体安全风险信息的准确性。
为了使本技术领域的人员更好地理解本申请方案,下面结合附图和具体实施方式对本申请作进一步的详细说明。
本申请技术方案的硬件组成框架可以包括:网络资产、网络安全设备以及万维网网关。网络资产包括但不限于是个人主机、服务器或移动终端等。其中,网络安全设备分别与网络资产以及万维网网关存在通信关系,目的是根据实际的监控需求获取网络资产与万维网网关通信所产生的网络数据,进而实现对网络资产的网络事件的判定以及监控。
如图1所示的,本申请实施例公开了一种资产的风险信息确定方法,包括:
步骤S10:统计目标资产的安全相关数据。
其中,安全相关数据包括攻击信息。
需要说明的是,本实施例的执行主体包括但不限于对网络资产的风险信息进行监控的网络安全设备,如防火墙以及安全路由器等。
本步骤首先统计目标资产的安全相关数据,其中,目标资产包括但不限于受网络安全设备进行安全监控的服务器或电脑等;另外,本步骤中统计的安全相关数据至少包括攻击信息,攻击信息指的是设备当前所受的网络攻击或可能受到攻击的风险的相关参数信息,包括但不限于攻击频率、攻击时长等。
步骤S11:根据安全相关数据确定目标资产的风险值。
在统计目标资产的安全相关数据之后,本步骤进一步根据安全相关数据确定目标资产的风险值,目的是在后续步骤中进一步根据风险值生成目标资产对应的风险信息。其中,由于目标资产的风险值根据安全相关数据确定,因此目标资产的风险值应至少根据安全相关数据中的攻击信息计算得到,进而风险值至少受攻击信息的变化而变化。
步骤S12:基于风险值确定目标资产对应的风险信息。
在根据安全相关数据确定目标资产的风险值之后,本步骤进一步基于风险值确定目标资产对应的风险信息,由于风险值至少根据攻击信息生成,因此基于风险值生成的风险信息的内容至少根据攻击信息的具体内容产生。
本实施例中,可以直接将目标资产的风险值作为该目标资产对应的风险信息,还可以将目标资产的风险值进行线性变换后得到该目标资产的风险信息;在一些其他的实施例中,还可以将目标资产的风险值及目标资产的攻击信息作为该目标资产对应的风险信息,或者将目标资产的风险值及目标资产的属性信息(名称、归属域等)作为该目标资产对应的风险信息;或者将目标资产的风险值、目标资产的攻击信息及目标资产的属性信息(名称、归属域等)作为该目标资产对应的风险信息。
本申请所提供的资产的风险信息确定方法,首先统计目标资产的安全相关数据,该安全相关数据包括攻击信息,进而根据安全相关数据确定目标资产的风险值,并基于风险值确定目标资产对应的风险信息。由于本方法是根据目标资产包括攻击信息在内的安全相关数据得到目标资产的风险值,进而根据风险值生成目标资产相应的风险信息,因此目标资产的风险信息是根据反映其所受攻击情况的安全相关数据动态产生的,相对提高了风险信息的准确性,进而确保了目标资产的网络整体安全。
在上述实施例的基础上,作为一种优选的实施方式,方法还包括:
基于风险信息生成告警事件。
需要说明的是,由于风险信息往往记录有与网络攻击相关的属性参数,而风险信息能够有助于技术人员获悉当前的网络风险,并采取相应的安全措施解除网络风险,因此为了能够进一步确保技术人员及时获悉当前的网络风险,本实施方式在生成风险信息之后,进一步根据基于风险信息生成告警事件,目的是通过告警事件的方式提示技术人员当前存在网络风险并显示风险信息的相关内容,技术人员通过告警事件的方式能够有效获取到风险信息,从而提高目标资产的安全性。
更进一步的,基于风险信息生成告警事件后,告警事件可以通过在网络安全设备的前端界面中弹窗显示的方式提示技术人员,或者以微信、QQ或短信息等方式来通知技术人员,以此进一步提高技术人员获悉告警事件的效率。
在上述实施例的基础上,作为一种优选的实施方式,方法还包括:
根据风险信息确定检测复杂度;
基于检测复杂度对目标资产执行相应检测操作。
需要说明的是,在生成目标资产的风险信息之后,往往需要对目标资产中的文件进行整体检测,以此对目标资产中的恶意文件进行处理,该处理可以包括隔离或删除,而不同的风险信息往往表征目标资产受到不同程度的攻击或存在不同程度的风险,在不同风险程度下,目标资产中的恶意文件的类型以及数量也往往存在差异,检测恶意文件的过程也存在差异,因此为了进一步确保目标资产的整体安全性,本实施方式在生成目标资产的风险信息之后,进一步根据风险信息确定检测复杂度,并基于检测复杂度对目标资产执行相应的检测操作,以此能够进一步确保对目标资产进行检测的可靠性,从而进一步保证目标资产的整体安全性。
更进一步的,所述风险信息与所述检测复杂度呈正相关性,不同的检测复杂度对应不同量级的检测操作,每一量级的各检测操作分别对应不同的主题的检测操作。
具体地,目标资产的风险信息的受到的攻击的程度越高,或者目标资产的存在的风险的程度越高,该目标资产对应的检测复杂度越高,对该目标资产执行的检测操作越复杂。
比如,检测复杂度为最高级的情况下,检测操作的量级可以为1000个检测引擎,该1000个检测引擎分别对应不同主体的检测操作,比如该1000个检测引擎可以包括文件检测引擎、域名检测引擎、UEBA((user and entity behavior analytics,用户和实体行为分析)检测引擎、IP检测引擎等,分别对目标资产对应的文件、域名、UEBA行为、IP等进行检测,在此不一一赘述。
如图2所示的,本申请实施例公开了一种资产的风险信息确定方法,包括:
步骤S20:统计目标资产的安全相关数据。
其中,安全相关数据包括攻击信息,攻击信息包括攻击阶段。
需要说明的是,本实施方式中,攻击信息进一步包括攻击阶段,攻击阶段指的是当前正处于的网络攻击在整体攻击逻辑中的阶段等级,攻击阶段与攻击逻辑的执行进度存在正相关性,攻击逻辑可以理解为是攻击链,网络攻击操作往往具有逻辑上的时序关系,本申请重点是将黑客的攻击逻辑结合被保护的资产分为了多个攻击阶段,并针对检测能力进行攻击阶段的划分,按照逻辑关系的攻击阶段(从前到后),攻击阶段逐渐增加。
示例性地,攻击阶段可以按照攻击逻辑依次划分为侦查阶段、武器化阶段、投放阶段、利用阶段、安装阶段、控制阶段、收割阶段,其中:
在侦查阶段,包括对目标资产的研究、识别和选择,比如,抓取网站信息、邮件地址、技术信息等,在该阶段,还包括对目标资产的脆弱性的识别,比如,目标资产存在漏洞,存在风险端口,或者存在弱密码等;
在武器化阶段,可以将具有远程访问功能的木马与利用工具(比如漏洞利用工具)结合,形成可投递的攻击载荷(比如文档、脚本等);
在投放阶段,将构建的有效的攻击载荷传输到目标资产,比如通过电子邮件、网页或移动存储介质等;
在利用阶段,攻击载荷投递给目标资产后,通过利用过程(比如,漏洞利用过程)来触发攻击载荷;
在安装阶段,在触发攻击载荷后,可以在目标资产中安装可以远程访问的木马、后门等,来获得持续访问权限;
在控制阶段,获取访问权限后,目标资产可以向外连接互联网上的命令或者控制其他资产,来建立通道,完成持续控制功能;
在收割阶段,攻击者可以通过一系列攻击活动来实现攻击目的,这些目的可以包括对敏感数据的窃取或破坏等。
步骤S21:根据攻击阶段确定检测能力权重。
在获取到包括攻击阶段在内的安全相关数据之后,本步骤进一步攻击阶段确定检测能力权重。由于考虑到随着攻击阶段的逐渐增加,目标资产受到的攻击或存在的安全漏洞,风险程度都会随之增加,本实施例根据攻击阶段确定检测能力权重,并作为后续步骤中生成风险值的权重参数。检测能力权重与攻击阶段之间应为正相关关系,即检测能力权重随着攻击阶段的增加而增加,检测能力权重随着攻击阶段的降低而降低。
比如,目标资产处于安装阶段对应的检测能力权重大于目标资产处于利用阶段对应的检测能力权重;目标资产处于控制阶段对应的检测能力权重大于目标资产处于安装阶段对应的检测能力权重。
步骤S22:利用检测能力权重生成目标资产的风险值。
在根据攻击阶段确定检测能力权重之后,本步骤进一步利用检测能力权重生成目标资产的风险值,以此能够相对确保风险值的准确性。
风险值与检测能力权重之间应存在正相关性,即风险值随检测能力权重的增加而增加,风险值随着检测能力权重的减小而减小。
步骤S23:基于风险值确定目标资产对应的风险信息。
本实施例进一步确保了风险值的准确性,进而确保了目标资产对应的风险信息的准确性。
如图3所示的,本申请实施例公开了一种资产的风险信息确定方法,包括:
步骤S30:统计目标资产的安全相关数据。
其中,安全相关数据包括攻击信息以及脆弱性信息,攻击信息包括历史安全事件。
需要说明的是,本实施例中的安全相关数据进一步包括脆弱性信息,脆弱性信息可以理解为目标资产对应的漏洞信息、开放的端口信息、使用的软件的风险信息、补丁更新状况信息、配置项目信息、密码策略信息和/或公网访问信息;另外,本实施例中的攻击信息包括的历史安全事件,指的是当前所监控的目标资产在历史时刻下产生的安全事件,历史时刻可以认为在本申请的资产的风险信息确定方法执行时刻之前的任意时间点或时间区间。
步骤S31:根据第一关联信息生成风险值。
其中,第一关联信息表征该目标资产对应的脆弱性信息与该目标资产对应的历史安全事件之间的相关性。
在获取到安全相关数据之后,本步骤进一步基于安全相关数据中脆弱性信息与历史安全事件之间的第一关联信息生成风险值,由于历史安全事件能够表征在目标资产中已经发生的网络攻击行为或已经存在的安全漏洞,而历史安全事件也往往与网络资产的网络安全漏洞之间存在关联关系,因此根据第一关联性生成风险值,能够相对提高生成风险值所需参数维度的多样性,能够相对确保风险值的准确性。
具体地,可以根据目标资产存在的脆弱性信息推断出该目标资产可能出现的安全事件,如果历史安全事件中包括该可能出现的安全事件的情况下,该第一关联信息生成的风险值越大。
比如,在脆弱性信息中包括弱密码的情况下,如果历史安全事件包括针对账号的***攻击,那么该脆弱性信息与该目标资产对应的历史安全事件之间的相关性越强,该第一关联信息生成的风险值越大。
在本申请实施例中,可以在网络安全设备中记录每种类型的脆弱性信息与历史安全事件的相关性。为了便于后续分析,可以将脆弱性信息与历史安全事件的相关性以数值的形式记录。安全事件之间的相关性越高,则对应的数值取值越大。为了方便查询,可以将每种类型的脆弱性信息与历史安全事件的相关性对应的数值以列表的形式记录。在实际应用中,在获取到安全相关数据中包括的脆弱性信息和攻击信息中包括的历史安全事件之后,通过查找上述列表,可以确定出安全相关数据中的脆弱性信息与攻击信息中包括的历史安全事件对应的数值。考虑到安全相关数据中的脆弱性信息可能有多种,历史安全事件也可能有多种,因此,在确定出每种脆弱性信息与每种历史安全事件的数值之后,可以取所有数值中的最大值作为风险值。
步骤S32:基于风险值确定目标资产对应的风险信息。
本实施例中,可以直接将目标资产的风险值作为该目标资产对应的风险信息,还可以将目标资产的风险值进行线性变换后得到该目标资产的风险信息;在一些其他的实施例中,还可以将目标资产的风险值及目标资产的安全相关数据(脆弱信息和/或攻击信息)作为该目标资产对应的风险信息,或者将目标资产的风险值及目标资产的属性信息(名称、归属域等)作为该目标资产对应的风险信息;或者将目标资产的风险值、目标资产的安全相关数据及目标资产的属性信息(名称、归属域等)作为该目标资产对应的风险信息。
本实施例进一步确保了风险值的准确性,进而确保了目标资产对应的风险信息的准确性。
如图4所示的,本申请实施例公开了一种资产的风险信息确定方法,包括:
步骤S40:统计目标资产的安全相关数据。
其中,安全相关数据包括攻击信息,攻击信息包括历史安全事件。
本实施例中的攻击信息包括的历史安全事件,指的是当前所监控的目标资产在历史时刻下产生的安全事件。
步骤S41:根据第二关联信息生成风险值。
其中,第二关联信息表征该目标资产对应的各历史安全事件之间的相关性。
考虑到各攻击阶段包含的攻击逻辑有所不同,且各攻击阶段中发生的安全事件具有一定的时序关系,不同安全事件之间可能在攻击逻辑上存在先后顺序,因此,在本申请实施例中,可以对各安全事件在攻击逻辑上的先后顺序进行分析,确定出各安全事件之间的相关性。为了便于后续分析,可以将安全事件的相关性以分数值的形式记录。安全事件之间的相关性越高,则对应的分数值取值越大。为了方便查询,可以将各历史安全事件之间的相关性对应的分数值以列表的形式记录。
本实施例中,可以预先将各攻击阶段中可能发生的安全事件,及各安全事件之间可能的时序关系设定为一个链条,在计算各安全事件的相关性的过程中,可以将目标资产发生的所有安全事件与预先设定的链条进行匹配,匹配度越高则该目标资产发生的各安全事件之间的相关性越高。
本实施例以安装阶段、控制阶段及收割阶段为例进行说明,在攻击链中的各攻击阶段中,安装阶段处于控制阶段之前,在安装阶段,可以在目标资产中安装可以远程访问的木马、后门等,来获得持续访问权限控制;在控制阶段,基于在安装阶段获取的访问权限,目标资产可以非法向外连接互联网上的命令,或者控制其他资产,来建立控制通道,完成持续控制功能;在收割阶段,可以窃取目标资产的数据、加密目标资产的文件进行勒索、篡改目标资产的数据等。因此,可以将安装阶段、控制阶段和收割阶段的各安全事件及各安全事件在逻辑上的先后顺序设置为链条:木马或者后门->非法外连或者控制通道通信->数据窃取或勒索或篡改。如果目标资产对应的各安全事件匹配该链条,能匹配到的安全事件越多,说明该目标资产对应的各安全事件和该链条的匹配度越高,该目标资产发生的各安全事件之间的相关性越高,第二关联信息对应的值越大。
在本申请实施例中,可以在网络安全设备中内置不同安全事件之间对应的分数值。在实际应用中,在获取到攻击信息中包括的历史安全事件之后,通过不同安全事件之间对应的分数值,可以确定出攻击信息中各历史安全事件之间对应的分数值。考虑到攻击信息中包含的历史安全事件的数量往往较多,每两个历史安全事件之间有其对应的一个分数值,为了实现对多个历史安全事件的综合分析,可以采用关联分析算法对历史安全事件之间的分数值进行分析,以最终确定出目标资产的风险值。
需要强调的是,本实施例在获取到目标资产的安全相关数据之后,进一步根据安全相关数据中的各历史安全事件之间的第二关联信息进一步生成风险值,由于历史安全事件之间往往具有一定的逻辑关联性,因此基于历史安全事件之间的第二关联信息生成风险值,能够相对提高生成风险值所需参数维度的多样性,进而确保风险值的准确性。
步骤S42:基于风险值确定目标资产对应的风险信息。
本实施例中,可以直接将目标资产的风险值作为该目标资产对应的风险信息,还可以将目标资产的风险值进行线性变换后得到该目标资产的风险信息;在一些其他的实施例中,还可以将目标资产的风险值及目标资产的攻击信息作为该目标资产对应的风险信息,或者将目标资产的风险值及目标资产的属性信息(名称、归属域等)作为该目标资产对应的风险信息;或者将目标资产的风险值、目标资产的攻击信息及目标资产的属性信息(名称、归属域等)作为该目标资产对应的风险信息。
本实施例进一步确保了风险值的准确性,进而确保了目标资产对应的风险信息的准确性。
如图5所示的,本申请实施例公开了一种资产的风险信息确定方法,包括:
步骤S50:统计目标资产的安全相关数据。
其中,安全相关数据包括攻击信息以及脆弱性信息,攻击信息包括攻击阶段及历史安全事件;
步骤S51:根据攻击阶段、脆弱性信息、历史安全事件、第一关联信息及第二关联信息确定风险值。
其中,第一关联信息表征该目标资产对应的脆弱性信息与该目标资产对应的历史安全事件之间的相关性,第二关联信息表征该目标资产对应的各历史安全事件之间的相关性。
基于第一关联信息确定目标资产对应的脆弱性信息与该目标资产对应的历史安全事件之间的相关性的方式可以参见S31的介绍,在此不再赘述。
基于第二关联信息确定目标资产对应的各历史安全事件之间的相关性的方式可以参见S41的介绍,在此不再赘述。
步骤S52:基于风险值确定目标资产对应的风险信息。
本实施例中,可以直接将目标资产的风险值作为该目标资产对应的风险信息,还可以将目标资产的风险值进行线性变换后得到该目标资产的风险信息;在一些其他的实施例中,还可以将目标资产的风险值及目标资产的安全相关数据(攻击信息和/或脆弱性信息)作为该目标资产对应的风险信息,或者将目标资产的风险值及目标资产的属性信息(名称、归属域等)作为该目标资产对应的风险信息;或者将目标资产的风险值、目标资产的安全相关数据及目标资产的属性信息(名称、归属域等)作为该目标资产对应的风险信息。
本实施例重点是通过攻击阶段以及脆弱性信息、历史安全事件、脆弱性信息与历史安全事件之间的第一关联信息以及历史安全事件之间的第二关联信息生成风险值。本实施方式中的历史安全事件,指的是当前所监控的网络资产在历史时刻下产生的安全事件,由于历史安全事件能够表征在网络资产中已经发生的网络攻击行为,而历史安全事件之间往往存在网络攻击的逻辑关联性,并且历史安全事件也往往与网络资产的网络安全漏洞之间存在关联关系。本实施方式在攻击阶段以及脆弱性信息的基础上进一步结合历史安全事件、脆弱性信息与历史安全事件的第一关联信息,以及历史安全事件之间的第二关联信息生成风险值,能够进一步提高生成风险值所需参数维度的多样性,进而相对确保了风险值的准确性。
更进一步的,作为一种优选的实施方式,根据攻击阶段、脆弱性信息、历史安全事件、第一关联信息及第二关联信息确定风险值,包括:
对攻击阶段对应的分值、基于脆弱性信息对应的分值、基于历史安全事件生成的分值、基于第一关联信息生成的分值以及基于第二关联信息生成的分值执行累加或加权累加操作,得到风险值。
本实施方式根据脆弱性信息生成相应的分值,根据历史安全事件生成相应的分值,根据第一关联信息生成相应的分值,并根据第二关联信息生成相应的分值,以此进一步对攻击阶段、基于脆弱性信息生成的分值、基于历史安全事件生成的分值、基于第一关联信息生成的分值以及基于第二关联信息生成的分值执行累加操作,在进行累加操作的过程中,可以是先对各类维度对应的分值进行加权运算,进而对各维度的加权后分值进行累加运算得到风险值。另外,各类维度的安全相关数据应具有相应的分值转化规则,应根据实际情况而定,在此不做具体限定。
在上述一系列实施例的基础上,作为一种优选的实施方式,在目标资产的安全相关数据发生变化的情况下,方法还包括:
根据变化后的安全相关数据计算新风险值,基于新风险值确定的新风险信息更新目标资产的风险信息。
由于考虑到随着目标资产的运行,目标资产的安全相关数据会随着目标资产的网络行为而发生相应的变化,因此本实施方式在目标资产的安全相关数据发生变化时,进一步根据变化后的安全相关数据计算新风险值,基于新风险值确定的新风险信息更新目标资产的风险信息,以此进一步确保了风险信息的时效性以及准确性。
为了加深对于本申请上述实施例的理解,本申请还提供一种具体应用场景下的场景实施例做进一步说明。
本方案提出一种资产的风险值的确定方法,首先引入攻击链的概念黑客攻击往往存在逻辑上的时序关系,本方案将黑客的入侵路径按照结合被保护的资产分为了多个攻击阶段,并针对检测能力进行攻击阶段的划分;单个检测能力按照逻辑关系的攻击阶段(从前到后)、风险等级排序后(从高到低),按照时间先后发生的顺序后针对待检测的元数据依次进行分析,产生对应的安全告警事件。
每产生一个风险信息则更新对应的被保护资产的风险值,资产的风险值主要来自于二个方面:资产自身的脆弱性、风险信息告警的风险与类型;资产的自身的脆弱性主要包括当前资产开放的端口、使用的软件的风险、补丁更新状况、配置项目、密码策略、公网访问等因素具备强相关;典型场景如当前资产开发3306数据端口、公网可以访问则对应的风险级别相对较高。
网络资产的风险值公式为:
Risk(A)=Sum(Value(攻击阶段)、value(脆弱性风险)、value(安全事件集)、F(脆弱性、安全事件)、F(安全事件X、安全事件Y));
在上述公式中:
攻击阶段:不同的攻击阶段对应的风险数值不一致,攻击阶段深度越高对应的风险数值就越高;
脆弱性风险:当前资产存在的一些不安全因素;
安全事件:不同的安全事件对应的不同的等级、此处主要是基于对安全事件的次数、攻击状态(成功失败)、攻击种类多样性等因素具备强相关性;
F(脆弱性、安全事件事件):即安全事件与脆弱性的相关性,如当前资产若存在一些弱密码的脆弱性,当前遭受到基于密码的暴力破解攻击,当前数值的会偏高;若存在一些弱口令、又遭受一些漏洞利用攻击由于相关性较弱,当前数值较低;分析平台内置了每一个脆弱性与安全事件的相关性的对应的数值;
F(安全事件X、安全事件Y、安全事件Z...):即安全事件与安全事件的相关性、部分安全事件在攻击逻辑上存在一定的时序关系,具有时间上的先后顺序与攻击逻辑上的先后顺序;基于对历史安全事件的分析计算、平台内置了每个安全事件之间的转换概率关系即我们理解的相关性;
由于Risk(A)是由多个数值进行计算的每个参数的权重不尽相同。权重从大到小依次可以为:Value(攻击阶段)>value(脆弱性风险)>value(安全事件集)>F(脆弱性、安全事件事件)>F(安全事件X、安全事件Y)。
在未产生安全事件之前当前资产根据自身的脆弱性计算当前的Risk(A),攻击阶段处于初始阶段;通过探针采集到数据之后各个检测能力按照顺序开始对元数据进行分析;每次产生一个安全事件,即开始更新当前资产的Risk(A)的数值与当前的攻击阶段stages数值,分析平台根据当前资产Risk(A)的数值,动态调整当前检测能力报警的级别,针对部分低风险的安全告警、或者不同阶段的检测能力会调整到高风险级别从而进一步反馈影响到当前的Risk(A)的数值。
如图6所示,当前被保护的资产因为产生的安全告警A影响到了Risk(A)的风险值、且处于当前的Stage2的攻击阶段;之后又产生的安全报警B,安全告警B原本应该是一个低风险的报警且处于Stage3的攻击阶段,由于存在满足时间上的先后顺序且存在攻击阶段的逻辑关系,从而将当前安全事件的报警提升到高风险的报警策略,进一步影响了Risk(A)的风险值、并更新当前资产的攻击阶段到Stage3。由于攻击场景的不同,攻击阶段包含的攻击逻辑有所不同,基于攻击逻辑的先后顺序,Stage3处于Stage2之后。例如,Stage2可以为安装阶段、Stage3为控制阶段。Stage2可以在目标资产中安装可以远程访问的木马、后门等,来获得持续访问权限控制;Stage3获取访问权限后,目标资产可以向外连接互联网上的命令或者控制其他资产,来建立通道,完成持续控制功能。通过已发生的安全事件与当前新出现的安全事件进行对比与逻辑关联性分析能够更好的调整安全事件的告警等级与当前主机的风险级别或者选择开启或者关闭部分检测能力,原本容易被忽略的报警信息通过此类动态调节的方式能够充分的让用户发现并及时的响应处理,同时通过调整当前主机的Risk(A)进一步调整在后续阶段与先前阶段的检测能力的各类选项,进而在产生新的风险信息时,动态调整风险信息中的告警等级。
请参见图7所示,本申请实施例公开了一种资产的风险信息确定装置,包括:
攻击信息统计模块10,用于统计目标资产的安全相关数据;其中,安全相关数据包括攻击信息;
风险值生成模块11,用于根据安全相关数据确定目标资产的风险值;
风险信息生成模块12,用于基于风险值确定目标资产对应的风险信息。
在一种具体实施方式中,装置还包括:
告警事件生成模块,用于基于风险信息生成告警事件。
在一种具体实施方式中,装置还包括:
复杂度确定模块,用于根据风险信息确定检测复杂度;
复杂度检测模块,用于基于检测复杂度对目标资产执行相应检测操作。
在一种具体实施方式中,攻击信息包括攻击阶段;
风险值生成模块11,包括:
权重确定模块,用于根据攻击阶段确定检测能力权重;
权重运算模块,用于利用检测能力权重生成目标资产的风险值。
在一种具体实施方式中,安全相关数据还包括脆弱性信息,攻击信息包括历史安全事件;
风险值生成模块11,包括:
第一关联生成模块,用于根据第一关联信息生成风险值,其中,第一关联信息表征该目标资产对应的脆弱性信息与该目标资产对应的历史安全事件之间的相关性。
在一种具体实施方式中,攻击信息包括历史安全事件;
风险值生成模块11,包括:
第二关联生成模块,用于根据第二关联信息生成风险值,其中,第二关联信息表征该目标资产对应的各历史安全事件之间的相关性。
在一种具体实施方式中,安全相关数据还包括脆弱性信息,攻击信息包括攻击阶段及历史安全事件;
风险值生成模块11,包括:
综合生成模块,用于根据攻击阶段、脆弱性信息、历史安全事件、第一关联信息及第二关联信息确定风险值;其中,第一关联信息表征该目标资产对应的脆弱性信息与该目标资产对应的历史安全事件之间的相关性,第二关联信息表征该目标资产对应的各历史安全事件之间的相关性。
在一种具体实施方式中,综合生成模块,包括:
分值综合生成模块,用于对攻击阶段对应的分值、基于脆弱性信息对应的分值、基于历史安全事件生成的分值、基于第一关联信息生成的分值以及基于第二关联信息生成的分值执行累加或加权累加操作,得到风险值。
在一种具体实施方式中,在目标资产的安全相关数据发生变化的情况下,装置还包括:
风险信息更新模块,用于根据变化后的安全相关数据计算新风险值,基于新风险值确定的新风险信息更新目标资产的风险信息。
本申请所提供的资产的风险信息确定装置,首先统计目标资产的安全相关数据,该安全相关数据包括攻击信息,进而根据安全相关数据确定目标资产的风险值,并基于风险值确定目标资产对应的风险信息。由于本装置是根据目标资产包括攻击信息在内的安全相关数据得到目标资产的风险值,进而根据风险值生成目标资产相应的风险信息,因此目标资产的风险信息是根据反映其所受攻击情况的安全相关数据动态产生的,相对提高了风险信息的准确性,进而确保了目标资产的网络整体安全。
基于上述程序模块的硬件实现,且为了实现本申请实施例的资产的风险信息确定方法,本申请实施例还提供了一种资产的风险信息确定设备,运行有虚拟机且与虚拟机对应的虚拟机磁盘建立有通信连接,图8为本申请实施例资产的风险信息确定设备的硬件组成结构示意图,如图8所示,资产的风险信息确定设备包括:
通信接口1,能够与其它设备比如网络设备等进行信息交互;
处理器2,与通信接口1连接,以实现与其它设备进行信息交互,用于运行计算机程序时,执行上述一个或多个技术方案提供的资产的风险信息确定方法。而所述计算机程序存储在存储器3上。
当然,实际应用时,资产的风险信息确定设备中的各个组件通过总线***4耦合在一起。可理解,总线***4用于实现这些组件之间的连接通信。总线***4除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图8中将各种总线都标为总线***4。
本申请实施例中的存储器3用于存储各种类型的数据以支持资产的风险信息确定设备的操作。这些数据的示例包括:用于在资产的风险信息确定设备上操作的任何计算机程序。
可以理解,存储器3可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random AccessMemory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本申请实施例描述的存储器2旨在包括但不限于这些和任意其它适合类型的存储器。
上述本申请实施例揭示的资产的风险信息确定方法可以应用于处理器2中,或者由处理器2实现。处理器2可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述资产的风险信息确定方法的各步骤可以通过处理器2中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器2可以是通用处理器、DSP,或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器2可以实现或者执行本申请实施例中的公开的各资产的风险信息确定方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的资产的风险信息确定方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器3,处理器2读取存储器3中的程序,结合其硬件完成前述资产的风险信息确定方法的步骤。
处理器2执行所述程序时实现本申请实施例的各个资产的风险信息确定方法中的相应流程,为了简洁,在此不再赘述。
在示例性实施例中,本申请实施例还提供了一种存储介质,即计算机存储介质,具体为计算机可读存储介质,例如包括存储计算机程序的存储器3,上述计算机程序可由处理器2执行,以完成前述资产的风险信息确定方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置、终端和资产的风险信息确定方法,可以通过其它的方式实现。以上所描述的设备实施例仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个***,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本申请各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述资产的风险信息确定方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述资产的风险信息确定方法实施例的步骤;而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台资产的风险信息确定设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例的资产的风险信息确定方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
本申请所提供的资产的风险信息确定设备,首先统计目标资产的安全相关数据,该安全相关数据包括攻击信息,进而根据安全相关数据确定目标资产的风险值,并基于风险值确定目标资产对应的风险信息。由于本设备是根据目标资产包括攻击信息在内的安全相关数据得到目标资产的风险值,进而根据风险值生成目标资产相应的风险信息,因此目标资产的风险信息是根据反映其所受攻击情况的安全相关数据动态产生的,相对提高了风险信息的准确性,进而确保了目标资产的网络整体安全。
此外,本申请实施例还公开了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述的资产的风险信息确定方法的步骤。
本申请所提供的计算机可读存储介质,首先统计目标资产的安全相关数据,该安全相关数据包括攻击信息,进而根据安全相关数据确定目标资产的风险值,并基于风险值确定目标资产对应的风险信息。由于本计算机可读存储介质是根据目标资产包括攻击信息在内的安全相关数据得到目标资产的风险值,进而根据风险值生成目标资产相应的风险信息,因此目标资产的风险信息是根据反映其所受攻击情况的安全相关数据动态产生的,相对提高了风险信息的准确性,进而确保了目标资产的网络整体安全。
以上对本申请所提供的一种资产的风险信息确定方法、装置、设备及存储介质进行了详细介绍。说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (11)
1.一种资产的风险信息确定方法,其特征在于,包括:
统计目标资产的安全相关数据;其中,所述安全相关数据包括攻击信息;
根据所述安全相关数据确定所述目标资产的风险值;
基于所述风险值确定所述目标资产对应的风险信息。
2.根据权利要求1所述的资产的风险信息确定方法,其特征在于,还包括:
基于所述风险信息生成告警事件。
3.根据权利要求1所述的资产的风险信息确定方法,其特征在于,还包括:
根据所述风险信息确定检测复杂度;
基于所述检测复杂度对所述目标资产执行相应检测操作。
4.根据权利要求1所述的资产的风险信息确定方法,其特征在于,所述攻击信息包括攻击阶段;
所述根据所述安全相关数据确定所述目标资产的风险值,包括:
根据所述攻击阶段确定检测能力权重;
利用所述检测能力权重生成所述目标资产的风险值。
5.根据权利要求1所述的资产的风险信息确定方法,其特征在于,所述安全相关数据还包括脆弱性信息,所述攻击信息包括历史安全事件;
所述根据所述安全相关数据确定所述目标资产的风险值,包括:
根据第一关联信息生成所述风险值,其中,所述第一关联信息表征该目标资产对应的脆弱性信息与该目标资产对应的历史安全事件之间的相关性。
6.根据权利要求1所述的资产的风险信息确定方法,其特征在于,所述攻击信息包括历史安全事件;
所述根据所述安全相关数据确定所述目标资产的风险值,包括:
根据第二关联信息生成所述风险值,其中,所述第二关联信息表征该目标资产对应的各历史安全事件之间的相关性。
7.根据权利要求1所述的资产的风险信息确定方法,其特征在于,所述安全相关数据还包括脆弱性信息,所述攻击信息包括攻击阶段及历史安全事件;
所述根据所述安全相关数据确定所述目标资产的风险值,包括:
根据所述攻击阶段、所述脆弱性信息、所述历史安全事件、第一关联信息及第二关联信息确定所述风险值;其中,所述第一关联信息表征该目标资产对应的脆弱性信息与该目标资产对应的历史安全事件之间的相关性,所述第二关联信息表征该目标资产对应的各历史安全事件之间的相关性。
8.根据权利要求1至7任意一项所述的资产的风险信息确定方法,其特征在于,在所述目标资产的安全相关数据发生变化的情况下,所述方法还包括:
根据变化后的安全相关数据计算新风险值,基于新风险值确定的新风险信息更新所述目标资产的所述风险信息。
9.一种资产的风险信息确定装置,其特征在于,包括:
攻击信息统计模块,用于统计目标资产的安全相关数据;其中,所述安全相关数据包括攻击信息;
风险值生成模块,用于根据所述安全相关数据确定所述目标资产的风险值;
风险信息生成模块,用于基于所述风险值确定所述目标资产对应的风险信息。
10.一种资产的风险信息确定设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至8任一项所述的资产的风险信息确定方法的步骤。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至8任一项所述的资产的风险信息确定方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110430363.9A CN113055407A (zh) | 2021-04-21 | 2021-04-21 | 一种资产的风险信息确定方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110430363.9A CN113055407A (zh) | 2021-04-21 | 2021-04-21 | 一种资产的风险信息确定方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113055407A true CN113055407A (zh) | 2021-06-29 |
Family
ID=76519973
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110430363.9A Pending CN113055407A (zh) | 2021-04-21 | 2021-04-21 | 一种资产的风险信息确定方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113055407A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113872959A (zh) * | 2021-09-24 | 2021-12-31 | 绿盟科技集团股份有限公司 | 一种风险资产等级判定和动态降级方法和装置及设备 |
| CN113965356A (zh) * | 2021-09-28 | 2022-01-21 | 新华三信息安全技术有限公司 | 一种安全事件分析方法、装置、设备及机器可读存储介质 |
| CN114666148A (zh) * | 2022-03-31 | 2022-06-24 | 深信服科技股份有限公司 | 风险评估方法、装置及相关设备 |
| CN114884712A (zh) * | 2022-04-26 | 2022-08-09 | 绿盟科技集团股份有限公司 | 一种网络资产风险级别信息确定方法、装置、设备及介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101300566A (zh) * | 2005-10-28 | 2008-11-05 | 微软公司 | 风险驱动的遵从管理 |
| US20150172309A1 (en) * | 2013-12-18 | 2015-06-18 | Cytegic Ltd. | Security risk mapping of potential targets |
| CN105871882A (zh) * | 2016-05-10 | 2016-08-17 | 国家电网公司 | 基于网络节点脆弱性和攻击信息的网络安全风险分析方法 |
| CN112364351A (zh) * | 2020-12-30 | 2021-02-12 | 杭州海康威视数字技术股份有限公司 | 设备威胁发现方法、装置、计算设备及存储介质 |
| CN112532631A (zh) * | 2020-11-30 | 2021-03-19 | 深信服科技股份有限公司 | 一种设备安全风险评估方法、装置、设备及介质 |
-
2021
- 2021-04-21 CN CN202110430363.9A patent/CN113055407A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101300566A (zh) * | 2005-10-28 | 2008-11-05 | 微软公司 | 风险驱动的遵从管理 |
| US20150172309A1 (en) * | 2013-12-18 | 2015-06-18 | Cytegic Ltd. | Security risk mapping of potential targets |
| CN105871882A (zh) * | 2016-05-10 | 2016-08-17 | 国家电网公司 | 基于网络节点脆弱性和攻击信息的网络安全风险分析方法 |
| CN112532631A (zh) * | 2020-11-30 | 2021-03-19 | 深信服科技股份有限公司 | 一种设备安全风险评估方法、装置、设备及介质 |
| CN112364351A (zh) * | 2020-12-30 | 2021-02-12 | 杭州海康威视数字技术股份有限公司 | 设备威胁发现方法、装置、计算设备及存储介质 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113872959A (zh) * | 2021-09-24 | 2021-12-31 | 绿盟科技集团股份有限公司 | 一种风险资产等级判定和动态降级方法和装置及设备 |
| CN113872959B (zh) * | 2021-09-24 | 2023-05-16 | 绿盟科技集团股份有限公司 | 一种风险资产等级判定和动态降级方法和装置及设备 |
| CN113965356A (zh) * | 2021-09-28 | 2022-01-21 | 新华三信息安全技术有限公司 | 一种安全事件分析方法、装置、设备及机器可读存储介质 |
| CN113965356B (zh) * | 2021-09-28 | 2023-12-26 | 新华三信息安全技术有限公司 | 一种安全事件分析方法、装置、设备及机器可读存储介质 |
| CN114666148A (zh) * | 2022-03-31 | 2022-06-24 | 深信服科技股份有限公司 | 风险评估方法、装置及相关设备 |
| CN114666148B (zh) * | 2022-03-31 | 2024-02-23 | 深信服科技股份有限公司 | 风险评估方法、装置及相关设备 |
| CN114884712A (zh) * | 2022-04-26 | 2022-08-09 | 绿盟科技集团股份有限公司 | 一种网络资产风险级别信息确定方法、装置、设备及介质 |
| CN114884712B (zh) * | 2022-04-26 | 2023-11-07 | 绿盟科技集团股份有限公司 | 一种网络资产风险级别信息确定方法、装置、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113055407A (zh) | 一种资产的风险信息确定方法、装置、设备及存储介质 | |
| CN107211016B (zh) | 会话安全划分和应用程序剖析器 | |
| US9870470B2 (en) | Method and apparatus for detecting a multi-stage event | |
| US9836600B2 (en) | Method and apparatus for detecting a multi-stage event | |
| US8549645B2 (en) | System and method for detection of denial of service attacks | |
| Moustafa et al. | Data analytics-enabled intrusion detection: Evaluations of ToN_IoT linux datasets | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| CN113660224B (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及*** | |
| US20230007032A1 (en) | Blockchain-based host security monitoring method and apparatus, medium and electronic device | |
| WO2013117148A1 (zh) | 检测远程入侵计算机行为的方法及*** | |
| CN111683084B (zh) | 一种智能合约入侵检测方法、装置、终端设备及存储介质 | |
| CN110868403B (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
| CN111800405A (zh) | 检测方法及检测设备、存储介质 | |
| CN110135162A (zh) | Webshell后门识别方法、装置、设备及存储介质 | |
| CN113472789B (zh) | 一种攻击检测方法、攻击检测***、存储介质和电子设备 | |
| JP2006146600A (ja) | 動作監視サーバ、端末装置及び動作監視システム | |
| CN115086081B (zh) | 一种蜜罐防逃逸方法及*** | |
| US11763004B1 (en) | System and method for bootkit detection | |
| CN114417349A (zh) | 攻击结果判定方法、装置、电子设备及存储介质 | |
| Kono et al. | An unknown malware detection using execution registry access | |
| CN110909349A (zh) | docker容器内反弹shell的检测方法和*** | |
| CN116846608B (zh) | 弱口令识别方法、装置、***、电子设备和存储介质 | |
| Han et al. | Honeyid: Unveiling hidden spywares by generating bogus events | |
| CN114285622B (zh) | 一种主动诱捕安全防御方法、***、电子设备及存储介质 | |
| CN117134999B (zh) | 一种边缘计算网关的安全防护方法、存储介质及网关 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210629 |
|
| RJ01 | Rejection of invention patent application after publication |