CN113300997A - 多维度网络设备评估方法和装置、计算机可读存储介质 - Google Patents
多维度网络设备评估方法和装置、计算机可读存储介质 Download PDFInfo
- Publication number
- CN113300997A CN113300997A CN202010106911.8A CN202010106911A CN113300997A CN 113300997 A CN113300997 A CN 113300997A CN 202010106911 A CN202010106911 A CN 202010106911A CN 113300997 A CN113300997 A CN 113300997A
- Authority
- CN
- China
- Prior art keywords
- threat
- network equipment
- information
- scoring
- multidimensional
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000011156 evaluation Methods 0.000 title claims abstract description 91
- 239000011159 matrix material Substances 0.000 claims abstract description 62
- 238000000034 method Methods 0.000 claims abstract description 21
- 238000011002 quantification Methods 0.000 claims description 11
- 238000004364 calculation method Methods 0.000 claims description 10
- 230000002596 correlated effect Effects 0.000 claims description 9
- 230000000875 corresponding effect Effects 0.000 claims description 6
- 238000000605 extraction Methods 0.000 claims description 4
- 230000002194 synthesizing effect Effects 0.000 claims description 3
- 238000004458 analytical method Methods 0.000 abstract description 4
- 238000004445 quantitative analysis Methods 0.000 abstract description 3
- 238000004422 calculation algorithm Methods 0.000 description 24
- 238000010586 diagram Methods 0.000 description 16
- 238000005516 engineering process Methods 0.000 description 7
- 238000013139 quantization Methods 0.000 description 6
- 239000000284 extract Substances 0.000 description 5
- 238000013077 scoring method Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 238000011160 research Methods 0.000 description 4
- 239000002131 composite material Substances 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000007619 statistical method Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012550 audit Methods 0.000 description 1
- 238000013142 basic testing Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开涉及一种多维度网络设备评估方法和装置、计算机可读存储介质。该多维度网络设备评估方法包括:以预定时间间隔从网络设备管理中心提取网络设备信息;从海量情报数据库中检索出来网络设备信息相关联的威胁情报信息;按照预设的多维评分矩阵对威胁情报信息分别进行量化评分,获取网络设备的各要素评分结果;对网络设备的各要素评分结果进行汇总,确定网络设备的威胁程度。本公开通过对网络设备多维度属性进行数据采集、分析后形成结构化的网络设备情报信息,并进行威胁量化分析,从而实现了企业各网络设备风险透明化。
Description
技术领域
本公开涉及信息安全领域,特别涉及一种多维度网络设备评估方法和装置、计算机可读存储介质。
背景技术
信息技术的快速发展和网络空间的大范围应用,极大促进了社会进步和繁荣,但随之信息安全问题在信息化发展过程中日益突出。
发明内容
发明人通过研究发现:相关技术网络设备等资产的威胁性评估更多集中在网络设备当前参与的威胁事件,对情报的其他要素考虑较少,例如:相关技术没有考虑网络设备参与的历史威胁事件、不同威胁事件随事件的衰减、网络设备相关联情报要素(漏洞、恶意样本、白名单、备案信息)等要素均没有考虑,导致网络设备的评估上考虑的维度太少。
鉴于以上技术问题中的至少一项,本公开提供了一种多维度网络设备评估方法和装置、计算机可读存储介质,可以对网络设备多维度属性进行数据采集、分析后形成结构化的网络设备情报信息。
根据本公开的一个方面,提供一种多维度网络设备评估方法,包括:
以预定时间间隔从网络设备管理中心提取网络设备信息;
从海量情报数据库中检索出来网络设备信息相关联的威胁情报信息;
按照预设的多维评分矩阵对威胁情报信息分别进行量化评分,获取网络设备的各要素评分结果;
对网络设备的各要素评分结果进行汇总,确定网络设备的威胁程度。
在本公开的一些实施例中,所述网络设备的威胁程度包括威胁性指标和脆弱性指标;
所述按照预设的多维评分矩阵对威胁情报信息分别进行量化评分,获取网络设备的各要素评分结果包括:
按照预设的威胁性多维评分矩阵对网络设备信息关联的威胁情报要素进行威胁性量化评分,计算网络设备信息的威胁性综合评分;
按照预设的脆弱性多维评分矩阵对网络设备信息关联的威胁情报要素进行脆弱性量化评分,计算网络设备信息的脆弱性综合评分。
在本公开的一些实施例中,所述多维度网络设备评估方法还包括:
通过网络设备情报订阅的方式预先订阅关键要素,在关键要素更新的情况下,及时推送消息;
从海量情报数据库中检索出来网络设备信息相关联的关键要素对应的威胁情报信息。
在本公开的一些实施例中,所述网络设备信息包括网络设备的IP地址、统一资源定位符和域名中的至少一项。
在本公开的一些实施例中,所述按照预设的威胁性多维评分矩阵对网络设备信息关联的威胁情报要素进行威胁性量化评分,计算网络设备信息的威胁性综合评分包括:
通过关联引擎找出其网络设备信息关联的威胁性维度,其中,所述威胁性维度包括网络设备的当前恶意类型、恶意历史、备案信息和命中白名单中的至少一项;
基于威胁性维度进行量化和综合评分,确定网络设备信息的威胁程度。
在本公开的一些实施例中,所述基于威胁性维度进行量化和综合评分,确定网络设备信息的威胁程度包括:
通过预设的恶意历史衰减评分矩阵,对历史威胁事件进行评估;
通过预设白名单影响评分矩阵和备案评分矩阵,对网络设备的备案情况和白名单情况进行评估;
根据用户实际情况,预设各威胁性维度权重系数;
根据各威胁性维度权重系数加权计算的方式将各威胁性维度的情报属性汇总综合,生成网络设备信息的威胁分值。
在本公开的一些实施例中,所述按照预设的脆弱性多维评分矩阵对网络设备信息关联的威胁情报要素进行脆弱性量化评分,计算网络设备信息的脆弱性综合评分包括:
通过关联引擎找出其网络设备信息关联的脆弱性维度,其中,所述威胁性维度包括关联漏洞程度、开放的端口和服务、配置合规性、关联的恶意样本情况中的至少一项;
基于脆弱性维度进行量化和综合评分,确定网络设备信息的威胁程度。
根据本公开的另一方面,提供一种多维度网络设备评估装置,包括:
设备信息提取模块,用于以预定时间间隔从网络设备管理中心提取网络设备信息;
威胁情报检索模块,用于从海量情报数据库中检索出来网络设备信息相关联的威胁情报信息;
量化评分模块,用于按照预设的多维评分矩阵对威胁情报信息分别进行量化评分,获取网络设备的各要素评分结果;
威胁程度确定模块,用于对网络设备的各要素评分结果进行汇总,确定网络设备的威胁程度。
在本公开的一些实施例中,所述多维度网络设备评估装置用于执行实现如上述任一实施例所述的多维度网络设备评估方法的操作。
根据本公开的另一方面,提供一种多维度网络设备评估装置,包括存储器和处理器,其中:
存储器,用于存储指令;
处理器,用于执行所述指令,使得所述多维度网络设备评估装置执行实现如上述任一实施例所述的多维度网络设备评估方法的操作。
根据本公开的另一方面,提供一种计算机可读存储介质,其中,所述计算机可读存储介质存储有计算机指令,所述指令被处理器执行时实现如上述任一实施例所述的多维度网络设备评估方法。
本公开通过对网络设备多维度属性进行数据采集、分析后形成结构化的网络设备情报信息,并进行威胁量化分析,从而实现了企业各网络设备风险透明化。
附图说明
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本公开多维度网络设备评估方法一些实施例的示意图。
图2为本公开多维度网络设备评估方法另一些实施例的示意图。
图3为本公开一些实施例中网络设备情报信息关联的示意图。
图4为本公开一些实施例中基于多维评分矩阵的网络设备威胁性评分方法的示意图。
图5为本公开一些实施例中基于多维评分矩阵的网络设备脆弱性评分方法的示意图。
图6为本公开多维度网络设备评估方法又一些实施例的示意图。
图7为本公开多维度网络设备评估装置一些实施例的示意图。
图8为本公开多维度网络设备评估装置另一些实施例的示意图。
具体实施方式
下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。基于本公开中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
发明人通过研究发现:相关技术的网络设备威胁评分方法确定的评分结果无法综合各方面信息,客观真实的反映网络设备的风险状态。
图1为本公开多维度网络设备评估方法一些实施例的示意图。优选的,本实施例可由本公开多维度网络设备评估装置执行。该方法包括以下步骤:
步骤11,以预定时间间隔从网络设备管理中心提取网络设备信息(资产信息)。
在本公开的一些实施例中,所述网络设备信息可以包括电脑、服务器等网络设备的IP地址、统一资源定位符和域名中的至少一项。
在本公开的一些实施例中,所述网络设备信息可以为用户的网络设备等资产的信息。
步骤12,从海量情报数据库中检索出来网络设备信息相关联的威胁情报信息。
步骤13,按照预设的多维评分矩阵对威胁情报信息分别进行量化评分,获取网络设备的各要素评分结果。
在本公开的一些实施例中,所述多维评分矩阵可以包括威胁性多维评分矩阵和脆弱性多维评分矩阵中的至少一项。
在本公开的一些实施例中,所述威胁性威胁情报信息可以包括网络设备的当前恶意类型、恶意历史、备案信息和命中白名单中的至少一项。
在本公开的一些实施例中,所述脆弱性威胁情报信息可以包括网络设备的关联漏洞程度、开放的端口和服务、配置合规性、关联的恶意样本情况中的至少一项。
步骤14,对网络设备的各要素评分结果进行汇总,确定网络设备的威胁程度。
在本公开的一些实施例中,所述网络设备的威胁程度可以包括威胁性指标和脆弱性指标。
基于本公开上述实施例提供的多维度网络设备评估方法,为防患未然,对网络设备(网络设备)多维度属性进行数据采集、分析后形成结构化的网络设备情报信息,并进行威胁量化分析,从而实现企业各网络设备风险透明化,在实时防护和安全处置时能为安全人员提供较全面多维度信息,便于提供准确的情报,可以有针对性的对网络设备采取措施,从而有效的降低企业的网络设备损失。
图2为本公开多维度网络设备评估方法另一些实施例的示意图。优选的,本实施例可由本公开多维度网络设备评估装置执行。该方法可以包括以下步骤:
步骤21,威胁情报关联引擎以预定时间间隔定期从网络设备管理中心提取网络设备信息,其中,网络设备信息可以包括网络设备的IP地址、URL(Uniform ResourceLocator,统一资源定位符)和域名中的至少一项。
步骤22,通过情报检索API(Application Programming Interface,应用程序接口)从海量情报数据库中检索出网络设备信息对应的威胁i情报要素;之后执行步骤23和步骤25。
步骤23,按照预设的威胁性多维评分矩阵对网络设备信息关联的威胁情报要素进行威胁性量化评分。
步骤24,根据预设威胁性量化评分表及权重,计算网络设备信息的威胁性综合评分;之后执行步骤27。
步骤25,按照预设的脆弱性多维评分矩阵对网络设备信息关联的威胁情报要素进行脆弱性量化评分。
步骤26,根据预设脆弱性量化评分表及权重,计算网络设备信息的脆弱性综合评分;之后执行步骤27。
步骤27,通过综合评分引擎将各情报要素的量化评分汇总,综合出来后生成最终的威胁评分(威胁性指标和脆弱性指标)。
为了解决相关技术评估方法维度单一,不能真实客观反映网络设备风险状态的问题,本公开上述实施例创造了一种基于威胁情报的多维度网络设备评估方法,从本地化的威胁情报中心挖掘实时、精准、全面的网络设备情报及上下文关联信息,触发式获取待评估网络设备关联的情报要素,不影响实时性的情况下最大化提高效率;采用独特的“多维评分矩阵”对网络设备情报信息进行评估,最终生成准确、客观的网络设备威胁性指标和网络设备脆弱性指标,更加真实反映网络设备的威胁状态。
发明人通过研究还发现:相关技术***对网络设备评估都是定期(每天或每小时)进行,频率太高会造成很大的资源浪费和性能问题,频率太低可能实时性不够,造成网络设备威胁评估不够及时。
图3为本公开一些实施例中网络设备情报信息关联的示意图。该网络设备情报信息关联方法(例如图1实施例中的步骤12或图2实施例中的步骤22)可以包括以下步骤:
步骤31,威胁情报关联引擎定期(可预设)从网络设备管理中心提取网络设备信息(IP/URL/域名)。
步骤32,通过情报检索API进行情报关联检索,获取网络设备(IP/URL/域名)关联的威胁情报信息。
步骤33,按网络设备输出多维度情报列表,用于评估。
在本公开的一些实施例中,所述多维度情报列表可以包括当前恶意类型、恶意历史、备案信息、命中白名单、关联漏洞程度、开放的端口和服务、配置合规性、关联的恶意样本情况中的至少一项。
在本公开的一些实施例中,如图3所示,所述多维度网络设备评估方法还可以包括:通过网络设备情报订阅的方式预先订阅关键要素,在关键要素更新的情况下,及时推送消息;从海量情报数据库中检索出来网络设备信息相关联的关键要素对应的威胁情报信息。
本公开上述实施例的威胁情报具有时效性,更新频率达小时级。同时本公开上述实施例为了提高效率,通过网络设备情报订阅的方法预先订阅关键要素,有更新及时推送消息,威胁情报关联引擎再快速进行相关检索,而非全部检索。
本公开上述实施例提出的基于威胁情报的多维度网络设备评估方法,是一种基于多维度网络设备情报及上下文信息进行量化的评估方法,相比相关技术较为单一维度评估技术具有以下优点:
本公开上述实施例从本地化的威胁情报中心挖掘实时、精准、全面的网络设备情报及上下文关联信息,触发式获取待评估网络设备关联的情报要素,提高精准性和实时性。
本公开上述实施例威胁情报关联引擎定期(可预设)从网络设备管理中心提取网络设备信息(IP/URL/域名),通过情报检索API进行情报关联检索,获取网络设备(IP/URL/域名)关联的威胁情报信息,按网络设备输出多维度情报列表,用于评估;由于威胁情报具有时效性,更新频率达小时级,同时为了提高效率,通过网络设备情报订阅的方法预先订阅关键要素,有更新及时推送消息,威胁情报关联引擎再快速进行相关检索,而非全部检索。这样,通过定期触发全量评估(预设)+事件触发增量评估(订阅推送),保证网络设备评估及时性的同时提高处理效率。
图4为本公开一些实施例中基于多维评分矩阵的网络设备威胁性评分方法的示意图。
网络设备的威胁性,通过以往的威胁事件和威胁情报上下文信息对网络可能受到的威胁攻击进行预测评估。网络设备威胁性主要参考网络设备的不良情报维度来判决,不同的情报维度有着不同的权重。
如图4所示,该网络设备威胁性评分方法(例如图2实施例中的步骤23和24)可以包括步骤41-步骤43,其中:
步骤41,关联引擎找出其具体关联的威胁性维度(网络设备当前恶意类型、恶意历史、备案信息、命中白名单)。
步骤42,基于这些威胁性维度进行量化。
在本公开的一些实施例中,步骤42可以包括步骤421-步骤424,其中:
步骤421,对网络设备关联的网络设备当前恶意类型进行量化评分。
此要素主要参考当前网络设备(对应的IP/域名/URL)是否恶意和具体的恶意类型等情报要素。网络设备当前的恶意类型代表网络设备近期被观测到参与的网络攻击的情况。网络设备被攻陷后,往往会被黑客利用,并参与到对其他网络设备的攻击行为中。通过集成全网共享的威胁情报能有效的观测此网络设备是否沦陷并在运营商网络以外参与攻击的行为,因此网络设备在全网参与的攻击情况是网络设备威胁性的重要指标。
在本公开的一些实施例中,如图4所示,步骤421可以包括:预设恶意类型量化评分矩阵;计算恶意类型评分结果R。
在本公开的一些实施例中,网络设备当前威胁类型的威胁分值通过例如表1的预设量化评分矩阵进行转换,网络设备参与的攻击严重程度越大,该分值越高。
表1
步骤422,对网络设备关联的网络设备恶意历史进行量化评分。
此要素主要参考网络设备在过去一段历史时间内是否有恶意攻击行为,以及其具体的恶意攻击类型等。基于大数据的统计分析,网络攻击很大比例来源于曾经参与过网络攻击的“惯犯”网络设备,因此采用时间维度的关联,对历史上曾经参与恶意攻击的网络设备,进行评估具有很好的效果。
在本公开的一些实施例中,如图4所示,步骤422可以包括:预设时间衰减评分矩阵;计算恶意历史评分结果R。
在本公开的一些实施例中,网络设备恶意历史的威胁分值通过如表2所示的量化评分矩阵(预设时间衰减评分矩阵)进行转换,参与网络攻击时间越长,威胁衰减后分值越低。
表2
步骤423,对网络设备关联的备案信息进行量化评分。
基于通常非备案的域名/IP威胁性比备案域名/IP威胁性更高,备案信息过期的比未过期的威胁性更高。因此网络设备的是否备案情况、备案信息是否过期等指标也是评分考虑的要素。
在本公开的一些实施例中,如图4所示,步骤423可以包括:预设如表3所示的备案评分矩阵(备案信息评分表);计算备案评分结果R。
威胁评分 | 有ICP备案 | 无ICP备案 |
备案信息未过期 | 0 | 100 |
备案信息已过期 | Threatx | 100 |
表3
步骤424,对网络设备关联的命中白名单进行量化评分。
由于CDN(Content Delivery Network,内容分发网络)技术和云主机租用等场景越来越广泛,网络设备的使用者可能出现不唯一,例如:CDN节点会为诸多域名同时提供服务,云主机会涉及攻击完ip释放后被新用户租用等场景。这些情况下会对网络设备威胁评分带来误报。同时有的网络设备虽然进行网络扫描等行为,但是企业预先先知道的扫描节点(例如固定部署的扫描器或扫描主机)。这些网络设备的在算法计算时应该排除在外。
网络设备命中白名单的情况通过白名单影响系数u影响总体的威胁评分,网络设备在白名单中越靠前,说明网络设备越可信,其威胁概率越低(白名单影响系数)。
在本公开的一些实施例中,如图4所示,步骤424可以包括:预设如表4所示的白名单影响评分矩阵(白名单影响系数表);计算白名单影响系数u。
表4
步骤43,根据各维度预设权重M计算威胁性综合评分,最终输出网络设备的威胁程度(网络设备脆弱性指标),
由于网络设备关联的情报要素较多,同时情报要素都是实时变化的(分钟级更新),为了满足评分的实时性和准确性要求,平台对网络设备评分采用实时计算而不是按天更新计算。
为了满足多用户并行查询时对实时计算的压力,本公开采用对计算资源压力较小和更易计算的线性加权算法:威胁评分算法采用如下的多维权重系数加权计算的方式将以上各个维度的情报属性汇总综合,生成百分制的网络设备威胁分值。
其中:u为白名单的影响系数
Ri为各要素的量化后评分。
本公开上述实施例可以基于恶意类型、恶意历史、备案信息及白名单的网络设备威胁性“多维评分矩阵”
本公开上述实施例中网络设备威胁性评估算法综合考虑了网络设备当前恶意类型、恶意历史、备案信息和白名单等网络设备情报要素。
本公开上述实施例根据网络攻击“惯犯”性,通过预设的恶意历史衰减评分矩阵,对历史威胁事件进行评估可以提高威胁性评估的可信度。
本公开上述实施例可以通过预设白名单影响评分矩阵和备案评分矩阵,对网络设备的备案情况和白名单情况进行评估(白名单可直接影响结果,作为综合评分影响系数更为合理),可以有效避免误报,从而提高威胁性评估的准确性。
本公开上述实施例可以根据企业实际情况,预设各维度权重系数,提高关键属性对网络设备评估的影响程度,使得评估结果更加客观。
图5为本公开一些实施例中基于多维评分矩阵的网络设备脆弱性评分方法的示意图。
步骤51,通过关联引擎找出其具体关联的脆弱性维度(关联漏洞程度、开放的端口和服务、配置合规性、关联的恶意样本情况)。
步骤52,基于这些脆弱性维度进行量化评分。
在本公开的一些实施例中,步骤52可以包括步骤521-步骤524,其中:
步骤521,对网络设备关联的漏洞程度进行量化评分。
网络设备直接关联的漏洞情况是网络设备脆弱性最直接的指标。当网络设备上存在的漏洞越多,说明网络设备越容易遭受黑客的入侵。算法对网络设备关联的漏洞个数进行量化,将漏洞个数、漏洞的严重程度转换成脆弱性评分值。
在本公开的一些实施例中,如图5所示,步骤521可以包括:预设基于CVSS的漏洞评分算法;计算漏洞评分结果R。
在本公开的一些实施例中,漏洞的风险值基于CVSS评分标准。假设一个主机共有n个漏洞,按照危险程度从高到低排列的漏洞列表为:a1,a2,a3,…an,漏洞风险值V1为:
V1=rv*k1
其中:
k1为转换系数,将最终威胁分值转换为[0,100]
步骤522,对网络设备开放的服务端口数量进行量化评分。
根据多年网络设备安全稽查的运营经验,大多数网络攻击都是从外部发起,因为主机开发的端口服务越多,为黑客提供入侵的机会越多。这些端口服务尤其是重要服务往往是黑客重点利用和攻击的入口,因此网络设备关联服务端口数量越多,其脆弱性越大。脆弱性评分算法对IP网络设备开放的服务端口个数统计,开放的端口数目越多,代表其越容易受到攻击,网络设备的脆弱性也越大。
在本公开的一些实施例中,如图5所示,步骤522可以包括:预设暴露面影响评分算法;计算暴露面评分结果R。
在本公开的一些实施例中,具体网络设备开放服务数影响评分如下:
其中,k2为转换系数,x为网络设备当前开放端口数量,开放的端口数越多脆弱性指标越高。
步骤523,对网络设备关联的恶意样本情况进行量化评分。
参考知名恶意样本情报厂商Virustotal,大量的恶意软件的会通过网络访问来攻击具体的网络设备,因此样本情报中的网络设备和样本的关联关系,说明了网络设备在已知病毒软件中的“被卷入”或“被瞄准”的程度。通过对网络设备情报中对恶意样本的反向关联程度的统计,可以有效的反映该网络设备的脆弱性。脆弱性评分通过对样本情报和恶意软件的关联程度进行量化评分,关联恶意软件越多的网络设备,其脆弱性越高,反正脆弱性越低。
在本公开的一些实施例中,如图5所示,步骤523可以包括:预设恶意样本数量评分矩阵;计算恶意样本评分结果R。
在本公开的一些实施例中,网络设备关联恶意样本的脆弱性分值通过如下转换矩阵(恶意样本量化评分表)进行评分量化:
关联的恶意样本个数 | 脆弱性量化评分 |
0 | 0 |
0<Count<5 | v1 |
5<=Count<10 | v2 |
10<=Count<50 | v3 |
50<=Count<100 | v4 |
100<=Count | 100 |
表5
步骤524,对网络设备合规情况进行量化评分。
在本公开的一些实施例中,如图5所示,步骤524可以包括:根据预设的配置合规度评估算法矩阵,计算配置合规度评分结果R。
在本公开的一些实施例中,配置核查可以由多模版组成,配置脆弱性值T4的计算由单模版脆弱性值rbi计算,计算算法如下:
V4=rb*k4
其中,
k4为转换系数,将最终分值转换为[0,100]
wi为不符合配置项的权重,m为不符合配置项的个数;wj为配置项的权重,n为所有配置项的个数。
步骤53,根据各维度的预设权重计算威胁性综合评分,最终输出网络设备的威胁程度(网络设备脆弱性指标)。
在本公开的一些实施例中,类似威胁评分算法的应用场景,脆弱性评分也是基于实时计算的场景,同时要满足多用户并行查询的要求。为了满足实时计算场景,脆弱性评分同样采用计算力更可行的线性加权算法:
脆弱性评分算法通过多维权重系数加权计算的方式将以上各个维度的情报属性汇总综合,生成百分制的网络设备脆弱性分值。
其中:Mi为各脆弱性要素的权重,Ti为各脆弱性要素的量化分值。
本公开上述实施例可以基于网络设备的漏洞、开放端口服务、恶意样本、配置合规的脆弱性“多维评分矩阵”。
本公开上述实施例的威胁情报中的网络设备和样本的关联关系,说明了网络设备在恶意软件中的“被瞄准”的程度,通过恶意样本评分矩阵对网络设备关联的恶意样本进行评估,可以有效的反映该网络设备脆弱性情况。
本公开上述实施例网络设备合规与否真实反映了该企业网络设备的脆弱程度,因此将网络设备合规情况作为脆弱性评估算法的一个因子能够更加精准地反映网络设备的脆弱性情况。
本公开上述实施例可根据企业实际情况预设各维度权重系数,提高关键属性对网络设备评估的影响程度,使得评估结果更加客观。
下面通过具体实施例对本公开多维度网络设备评估方法进行说明。
图6为本公开多维度网络设备评估方法又一些实施例的示意图。优选的,本实施例可由本公开多维度网络设备评估装置执行。该方法可以包括步骤61-步骤64,其中:
步骤61,预设多维评分矩阵。
在本公开的一些实施例中,步骤61可以包括步骤611-步骤616,其中:
步骤611,预设如表6所示的恶意类型量化评分表。
表6
步骤612,预设如表7所示的网络设备威胁衰减表。
表7
步骤613,预设如表8所示的备案信息表。
威胁评分 | 有ICP备案 | 无ICP备案 |
备案信息未过期 | 0 | 100 |
备案信息已过期 | 50 | 100 |
表8
步骤614,预设如表9所示的白名单影响系数表。
表9
步骤615,预设如表10所示的恶意样本量化表。
关联的恶意样本个数 | 脆弱性量化评分 |
0 | 0 |
0<Count<5 | 10 |
5<=Count<10 | 50 |
10<=Count<50 | 70 |
50<=Count<100 | 90 |
100<=Count | 100 |
表10
步骤616,预设如表11和表12所示的恶意样本量化表。
威胁性属性 | 权重值 |
恶意类型权重 | 0.5 |
恶意历史权重 | 0.3 |
备案信息权重 | 0.2 |
表11
脆弱性属性 | 权重值 |
漏洞权重 | 0.4 |
开放端口和服务权重 | 0.1 |
恶意样本权重 | 0.3 |
配置合规性权重 | 0.2 |
表12
步骤62,假设待评估网络设备为a,获取其a网络设备信息(IPa、URLa、域名a),通过威胁情报中心提供的IP检索API、URL检索API、域名检索API分别检索网络设备a的情报要素信息,假设获取信息示意表为表13:
表13
步骤63,计算多维矩阵评分
在本公开的一些实施例中,步骤63可以包括步骤631-步骤632,其中:
步骤631,计算网络设备威胁性多维矩阵评分
首先,步骤62检索出的各威胁性属性评分结果,输入到步骤61中的量化表,得出各维度评分结果:
1)恶意类型量化评分结果:80
2)恶意历史量化评分结果:0
3)备案信息量化评分结果:50
4)白名单影响系数:1
步骤632,计算网络设备脆弱性多维矩阵评分
首先,步骤62检索出的各脆弱性属性评分结果,输入到步骤61中的量化表,得出各维度评分结果:
1)漏洞量化评分结果:35
2)开放的端口服务评分结果:23
3)恶意样本量化评分结果:10
4)配置合规评分结果:0
步骤64,计算网络设备综合评分
在本公开的一些实施例中,步骤64可以包括步骤641-步骤643,其中:
步骤641,计算网络设备威胁性综合评分
在本公开的一些实施例中,步骤641可以包括:根据多维量化矩阵算法计算出网络设备a的威胁性综合评分:
威胁性评分Ta=34分
步骤642,计算网络设备脆弱性综合评分
在本公开的一些实施例中,步骤642可以包括:根据多维量化矩阵算法计算出网络设备a的威胁性综合评分:
威胁性评分Va=21.9分
步骤643,最终得出a网络设备的评分结果(Ta,Va)=(34,21.9)
本公开上述实施例从威胁情报中心挖掘网络设备的多维情报信息,通过定期触发全量评估(预设)+事件触发增量评估(订阅推送),保证网络设备评估及时性的同时提高处理效率。
本公开上述实施例威胁情报关联引擎定期(可预设)从网络设备管理中心提取网络设备信息(IP/URL/域名),通过情报检索API进行情报关联检索,获取网络设备(IP/URL/域名)关联的威胁情报信息,按网络设备输出多维度情报列表,用于评估;由于威胁情报具有时效性,更新频率达小时级,同时为了提高效率,通过网络设备情报订阅的方法预先订阅关键要素,有更新及时推送消息,威胁情报关联引擎再快速进行相关检索,而非全部检索。
本公开上述实施例中网络设备威胁性评估算法参考了网络设备参与的历史威胁事件及不同威胁事件随时间的衰减情况、备案信息、命中白名单。基于大数据的统计分析,网络攻击很大比例来源于曾经参与过网络攻击的“惯犯”,因此采用时间维度的关联,对历史上曾经参与恶意攻击的网络设备,进行评估具有很好的效果;备案信息、命中白名单等属性的参与评估,可以有效规避威胁检测带来误报,从而减少威胁性评估算法的误报。
本公开上述实施例中网络设备脆弱性评估算法考虑了网络设备的配置合规及关联的恶意样本情况。网络设备合规与否也反映了网络设备的脆弱程度,因此将网络设备合规情况作为脆弱性评估算法的一个因子能够客观反映企业网络设备的脆弱性情况;大量的恶意软件的会通过网络访问来攻击具体的网络设备,因此威胁情报中的网络设备和样本的关联关系,说明了网络设备在已知病毒软件中的“被卷入”或“被瞄准”的程度。通过对网络设备情报中对恶意样本的反向关联程度的统计,可以有效的反映该网络设备的脆弱性。
图7为本公开多维度网络设备评估装置一些实施例的示意图。如图7所示,所述多维度网络设备评估装置可以包括设备信息提取模块71、威胁情报检索模块72、量化评分模块73和威胁程度确定模块74,其中:
设备信息提取模块71,用于以预定时间间隔从网络设备管理中心提取网络设备信息。
在本公开的一些实施例中,所述网络设备信息可以包括网络设备的IP地址、统一资源定位符和域名中的至少一项。
威胁情报检索模块72,用于从海量情报数据库中检索出来网络设备信息相关联的威胁情报信息。
在本公开的一些实施例中,设备信息提取模块71和威胁情报检索模块72的功能可以由威胁情报关联引擎实现。
量化评分模块73,用于按照预设的多维评分矩阵对威胁情报信息分别进行量化评分,获取网络设备的各要素评分结果。
在本公开的一些实施例中,量化评分模块73可以用于按照预设的威胁性多维评分矩阵对网络设备信息关联的威胁情报要素进行威胁性量化评分,计算网络设备信息的威胁性综合评分;按照预设的脆弱性多维评分矩阵对网络设备信息关联的威胁情报要素进行脆弱性量化评分,计算网络设备信息的脆弱性综合评分。
在本公开的一些实施例中,量化评分模块73在按照预设的威胁性多维评分矩阵对网络设备信息关联的威胁情报要素进行威胁性量化评分,计算网络设备信息的威胁性综合评分的情况下,用于通过关联引擎找出其网络设备信息关联的威胁性维度,其中,所述威胁性维度包括网络设备的当前恶意类型、恶意历史、备案信息和命中白名单中的至少一项;基于威胁性维度进行量化和综合评分,确定网络设备信息的威胁程度。
在本公开的一些实施例中,量化评分模块73在基于威胁性维度进行量化和综合评分,确定网络设备信息的威胁程度的情况下,用于通过预设的恶意历史衰减评分矩阵,对历史威胁事件进行评估;通过预设白名单影响评分矩阵和备案评分矩阵,对网络设备的备案情况和白名单情况进行评估;根据用户实际情况,预设各威胁性维度权重系数;根据各威胁性维度权重系数加权计算的方式将各威胁性维度的情报属性汇总综合,生成网络设备信息的威胁分值。
在本公开的一些实施例中,量化评分模块73在按照预设的脆弱性多维评分矩阵对网络设备信息关联的威胁情报要素进行脆弱性量化评分,计算网络设备信息的脆弱性综合评分的情况下,可以用于通过关联引擎找出其网络设备信息关联的脆弱性维度,其中,所述威胁性维度包括关联漏洞程度、开放的端口和服务、配置合规性、关联的恶意样本情况中的至少一项;基于脆弱性维度进行量化和综合评分,确定网络设备信息的威胁程度。
威胁程度确定模块74,用于对网络设备的各要素评分结果进行汇总,确定网络设备的威胁程度。
在本公开的一些实施例中,量化评分模块73和威胁程度确定模块74的功能可以由综合评分引擎实现。
在本公开的一些实施例中,所述网络设备的威胁程度可以包括威胁性指标和脆弱性指标。
在本公开的一些实施例中,所述多维度网络设备评估装置还可以用于通过网络设备情报订阅的方式预先订阅关键要素,在关键要素更新的情况下,及时推送消息;从海量情报数据库中检索出来网络设备信息相关联的关键要素对应的威胁情报信息。
在本公开的一些实施例中,所述多维度网络设备评估装置用于执行实现如上述任一实施例(例如图1-图6任一实施例)所述的多维度网络设备评估方法的操作。
本公开上述实施例从威胁情报中心挖掘网络设备的多维情报信息,通过定期触发全量评估(预设)+事件触发增量评估(订阅推送),保证网络设备评估及时性的同时提高处理效率。
本公开上述实施例威胁情报关联引擎定期(可预设)从网络设备管理中心提取网络设备信息(IP/URL/域名),通过情报检索API进行情报关联检索,获取网络设备(IP/URL/域名)关联的威胁情报信息,按网络设备输出多维度情报列表,用于评估;由于威胁情报具有时效性,更新频率达小时级,同时为了提高效率,通过网络设备情报订阅的方法预先订阅关键要素,有更新及时推送消息,威胁情报关联引擎再快速进行相关检索,而非全部检索。
图8为本公开多维度网络设备评估装置另一些实施例的示意图。如图8所示,所述多维度网络设备评估装置可以包括存储器81和处理器82,其中:
存储器81,用于存储指令。
处理器82,用于执行所述指令,使得所述多维度网络设备评估装置执行实现如上述任一实施例(例如图1-图6任一实施例)所述的多维度网络设备评估方法的操作。
本公开上述实施例提供了一种基于威胁情报的多维度网络设备评估装置,项目来源于前置性安全防护基础试验平台之大数据智能威胁检测研究,本公开上述实施例可以为网络设备预警提供可量化的威胁评分指标,为安全人员在实时防护和安全处置时提供有力的参考。
为了解决相关技术评估方式维度单一,不能真实客观反映网络设备风险状态的问题,本公开上述实施例创造了一种基于威胁情报的多维度网络设备评估装置,从本地化的威胁情报中心挖掘实时、精准、全面的网络设备情报及上下文关联信息,触发式获取待评估网络设备关联的情报要素,不影响实时性的情况下最大化提高效率;采用独特的“多维评分矩阵”对网络设备情报信息进行评估,最终生成准确、客观的网络设备威胁性指标和网络设备脆弱性指标,更加真实反映网络设备的威胁状态。
根据本公开的另一方面,提供一种计算机可读存储介质,其中,所述计算机可读存储介质存储有计算机指令,所述指令被处理器执行时实现如上述任一实施例(例如图1-图6任一实施例)所述的多维度网络设备评估方法。
本公开上述实施例中网络设备威胁性评估算法参考了网络设备参与的历史威胁事件及不同威胁事件随时间的衰减情况、备案信息、命中白名单。基于大数据的统计分析,网络攻击很大比例来源于曾经参与过网络攻击的“惯犯”,因此采用时间维度的关联,对历史上曾经参与恶意攻击的网络设备,进行评估具有很好的效果;备案信息、命中白名单等属性的参与评估,可以有效规避威胁检测带来误报,从而减少威胁性评估算法的误报。
本公开上述实施例中网络设备脆弱性评估算法考虑了网络设备的配置合规及关联的恶意样本情况。网络设备合规与否也反映了网络设备的脆弱程度,因此将网络设备合规情况作为脆弱性评估算法的一个因子能够客观反映企业网络设备的脆弱性情况;大量的恶意软件的会通过网络访问来攻击具体的网络设备,因此威胁情报中的网络设备和样本的关联关系,说明了网络设备在已知病毒软件中的“被卷入”或“被瞄准”的程度。通过对网络设备情报中对恶意样本的反向关联程度的统计,可以有效的反映该网络设备的脆弱性。
在上面所描述的多维度网络设备评估装置可以实现为用于执行本申请所描述功能的通用处理器、可编程逻辑控制器(PLC)、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件或者其任意适当组合。
至此,已经详细描述了本公开。为了避免遮蔽本公开的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指示相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
本公开的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本公开限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本公开的原理和实际应用,并且使本领域的普通技术人员能够理解本公开从而设计适于特定用途的带有各种修改的各种实施例。
Claims (10)
1.一种多维度网络设备评估方法,其特征在于,包括:
以预定时间间隔从网络设备管理中心提取网络设备信息;
从海量情报数据库中检索出来网络设备信息相关联的威胁情报信息;
按照预设的多维评分矩阵对威胁情报信息分别进行量化评分,获取网络设备的各要素评分结果;
对网络设备的各要素评分结果进行汇总,确定网络设备的威胁程度。
2.根据权利要求1所述的多维度网络设备评估方法,其特征在于,所述网络设备的威胁程度包括威胁性指标和脆弱性指标;
所述按照预设的多维评分矩阵对威胁情报信息分别进行量化评分,获取网络设备的各要素评分结果包括:
按照预设的威胁性多维评分矩阵对网络设备信息关联的威胁情报要素进行威胁性量化评分,计算网络设备信息的威胁性综合评分;
按照预设的脆弱性多维评分矩阵对网络设备信息关联的威胁情报要素进行脆弱性量化评分,计算网络设备信息的脆弱性综合评分。
3.根据权利要求1或2所述的多维度网络设备评估方法,其特征在于,还包括:
通过网络设备情报订阅的方式预先订阅关键要素,在关键要素更新的情况下,及时推送消息;
从海量情报数据库中检索出来网络设备信息相关联的关键要素对应的威胁情报信息。
4.根据权利要求1或2所述的多维度网络设备评估方法,其特征在于,所述网络设备信息包括网络设备的IP地址、统一资源定位符和域名中的至少一项。
5.根据权利要求2所述的多维度网络设备评估方法,其特征在于,所述按照预设的威胁性多维评分矩阵对网络设备信息关联的威胁情报要素进行威胁性量化评分,计算网络设备信息的威胁性综合评分包括:
通过关联引擎找出其网络设备信息关联的威胁性维度,其中,所述威胁性维度包括网络设备的当前恶意类型、恶意历史、备案信息和命中白名单中的至少一项;
基于威胁性维度进行量化和综合评分,确定网络设备信息的威胁程度。
6.根据权利要求5所述的多维度网络设备评估方法,其特征在于,所述基于威胁性维度进行量化和综合评分,确定网络设备信息的威胁程度包括:
通过预设的恶意历史衰减评分矩阵,对历史威胁事件进行评估;
通过预设白名单影响评分矩阵和备案评分矩阵,对网络设备的备案情况和白名单情况进行评估;
根据用户实际情况,预设各威胁性维度权重系数;
根据各威胁性维度权重系数加权计算的方式将各威胁性维度的情报属性汇总综合,生成网络设备信息的威胁分值。
7.根据权利要求2所述的多维度网络设备评估方法,其特征在于,所述按照预设的脆弱性多维评分矩阵对网络设备信息关联的威胁情报要素进行脆弱性量化评分,计算网络设备信息的脆弱性综合评分包括:
通过关联引擎找出其网络设备信息关联的脆弱性维度,其中,所述威胁性维度包括关联漏洞程度、开放的端口和服务、配置合规性、关联的恶意样本情况中的至少一项;
基于脆弱性维度进行量化和综合评分,确定网络设备信息的威胁程度。
8.一种多维度网络设备评估装置,其特征在于,包括:
设备信息提取模块,用于以预定时间间隔从网络设备管理中心提取网络设备信息;
威胁情报检索模块,用于从海量情报数据库中检索出来网络设备信息相关联的威胁情报信息;
量化评分模块,用于按照预设的多维评分矩阵对威胁情报信息分别进行量化评分,获取网络设备的各要素评分结果;
威胁程度确定模块,用于对网络设备的各要素评分结果进行汇总,确定网络设备的威胁程度;
其中,所述多维度网络设备评估装置用于执行实现如权利要求1-7中任一项所述的多维度网络设备评估方法的操作。
9.一种多维度网络设备评估装置,其特征在于,包括存储器和处理器,其中:
存储器,用于存储指令;
处理器,用于执行所述指令,使得所述多维度网络设备评估装置执行实现如权利要求1-6中任一项所述的多维度网络设备评估方法的操作。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述指令被处理器执行时实现如权利要求1-6中任一项所述的多维度网络设备评估方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010106911.8A CN113300997A (zh) | 2020-02-21 | 2020-02-21 | 多维度网络设备评估方法和装置、计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010106911.8A CN113300997A (zh) | 2020-02-21 | 2020-02-21 | 多维度网络设备评估方法和装置、计算机可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113300997A true CN113300997A (zh) | 2021-08-24 |
Family
ID=77317469
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010106911.8A Pending CN113300997A (zh) | 2020-02-21 | 2020-02-21 | 多维度网络设备评估方法和装置、计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113300997A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115174250A (zh) * | 2022-07-19 | 2022-10-11 | 北京安天网络安全技术有限公司 | 网络资产安全评估方法、装置、电子设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110161069A1 (en) * | 2009-12-30 | 2011-06-30 | Aptus Technologies, Inc. | Method, computer program product and apparatus for providing a threat detection system |
CN108092981A (zh) * | 2017-12-22 | 2018-05-29 | 北京明朝万达科技股份有限公司 | 一种数据安全保护方法及装置 |
CN109672674A (zh) * | 2018-12-19 | 2019-04-23 | 中国科学院信息工程研究所 | 一种网络威胁情报可信度识别方法 |
CN109862003A (zh) * | 2019-01-24 | 2019-06-07 | 深信服科技股份有限公司 | 本地威胁情报库的生成方法、装置、***及存储介质 |
CN110620759A (zh) * | 2019-07-15 | 2019-12-27 | 公安部第一研究所 | 基于多维关联的网络安全事件危害指数评估方法及其*** |
-
2020
- 2020-02-21 CN CN202010106911.8A patent/CN113300997A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110161069A1 (en) * | 2009-12-30 | 2011-06-30 | Aptus Technologies, Inc. | Method, computer program product and apparatus for providing a threat detection system |
CN108092981A (zh) * | 2017-12-22 | 2018-05-29 | 北京明朝万达科技股份有限公司 | 一种数据安全保护方法及装置 |
CN109672674A (zh) * | 2018-12-19 | 2019-04-23 | 中国科学院信息工程研究所 | 一种网络威胁情报可信度识别方法 |
CN109862003A (zh) * | 2019-01-24 | 2019-06-07 | 深信服科技股份有限公司 | 本地威胁情报库的生成方法、装置、***及存储介质 |
CN110620759A (zh) * | 2019-07-15 | 2019-12-27 | 公安部第一研究所 | 基于多维关联的网络安全事件危害指数评估方法及其*** |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115174250A (zh) * | 2022-07-19 | 2022-10-11 | 北京安天网络安全技术有限公司 | 网络资产安全评估方法、装置、电子设备及存储介质 |
CN115174250B (zh) * | 2022-07-19 | 2024-02-23 | 北京安天网络安全技术有限公司 | 网络资产安全评估方法、装置、电子设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Zhu et al. | OFS-NN: an effective phishing websites detection model based on optimal feature selection and neural network | |
CN110620759B (zh) | 基于多维关联的网络安全事件危害指数评估方法及其*** | |
CN110417721B (zh) | 安全风险评估方法、装置、设备及计算机可读存储介质 | |
Lian et al. | An Intrusion Detection Method Based on Decision Tree‐Recursive Feature Elimination in Ensemble Learning | |
CN109241461B (zh) | 一种用户画像构建方法及装置 | |
CN110602029B (zh) | 一种用于识别网络攻击的方法和*** | |
CN111818198B (zh) | 域名检测方法、域名检测装置和设备以及介质 | |
CN109949154B (zh) | 客户信息分类方法、装置、计算机设备和存储介质 | |
US10505986B1 (en) | Sensor based rules for responding to malicious activity | |
US9756063B1 (en) | Identification of host names generated by a domain generation algorithm | |
CN110708339B (zh) | 一种基于web日志的关联分析方法 | |
CN107592305A (zh) | 一种基于elk和redis的防刷方法及*** | |
CN116305168A (zh) | 一种多维度信息安全风险评估方法、***及存储介质 | |
CN108809928B (zh) | 一种网络资产风险画像方法及装置 | |
CN114650176A (zh) | 钓鱼网站的检测方法、装置、计算机设备及存储介质 | |
CN115329338A (zh) | 基于云计算服务的信息安全风险分析方法及分析*** | |
CN113300997A (zh) | 多维度网络设备评估方法和装置、计算机可读存储介质 | |
WO2021041830A1 (en) | System and method for machine learning based prediction of social media influence operations | |
TW201539217A (zh) | 文件分析系統、文件分析方法、以及文件分析程式 | |
CN111881170B (zh) | 时效性查询内容字段挖掘方法、装置、设备和存储介质 | |
CN114862212A (zh) | 互联网资产的管理方法及其装置、电子设备及存储介质 | |
Fei | Data visualisation in digital forensics | |
CN115840939A (zh) | 安全漏洞处理方法、装置、计算机设备和存储介质 | |
CN110457600B (zh) | 查找目标群体的方法、装置、存储介质和计算机设备 | |
CN113572781A (zh) | 网络安全威胁信息归集方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210824 |
|
RJ01 | Rejection of invention patent application after publication |