CN117014184A - 一种应用于网络安全监测***的资产管理方法 - Google Patents

一种应用于网络安全监测***的资产管理方法 Download PDF

Info

Publication number
CN117014184A
CN117014184A CN202310797197.5A CN202310797197A CN117014184A CN 117014184 A CN117014184 A CN 117014184A CN 202310797197 A CN202310797197 A CN 202310797197A CN 117014184 A CN117014184 A CN 117014184A
Authority
CN
China
Prior art keywords
asset
enterprise
value
vulnerability
level
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310797197.5A
Other languages
English (en)
Inventor
代长昊
徐廷洋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huaneng Ningxia Energy Co ltd
Ningxia Jinli Photovoltaic Power Co ltd
Original Assignee
Huaneng Ningxia Energy Co ltd
Ningxia Jinli Photovoltaic Power Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huaneng Ningxia Energy Co ltd, Ningxia Jinli Photovoltaic Power Co ltd filed Critical Huaneng Ningxia Energy Co ltd
Priority to CN202310797197.5A priority Critical patent/CN117014184A/zh
Publication of CN117014184A publication Critical patent/CN117014184A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种应用于网络安全监测***的资产管理方法,涉及数据处理技术领域,包括并根据企业内部网络拓扑结构确定原始资产范围边界;分析企业内部网络拓扑结构与企业外部网络拓扑结构之间的网络流量,得到流量信息;通过交互程度对原始资产范围边界进行延伸,得到目标资产范围边界;在目标资产范围边界内对资产进行识别和分类,根据标签确定每个资产的价值;基于每个资产的价值所处范围构建不同级别的资产档案,并确定每个级别资产档案的脆弱性程度;根据资产档案的级别和脆弱性程度选定安全措施策略。保证了资产范围的精度,从而提高资产识别的可靠性,提高安全监测的适应性。

Description

一种应用于网络安全监测***的资产管理方法
技术领域
本申请涉及数据处理技术领域,更具体地,涉及一种应用于网络安全监测***的资产管理方法。
背景技术
网络安全监测***是一种用于实时监测网络安全状态和响应安全事件的***。在网络安全监测***中,资产管理是一项重要的任务,其主要目的是确定网络中的所有资产,包括硬件和软件资产,并对其进行分类和管理。这样可以更好地保护***的安全性和稳定性。
现有技术中,往往将企业自身的网络拓扑作为资产识别的范围,并未考虑外界接触的网络拓扑,导致资产范围不准确,资产识别存在漏识别。并且资产的价值和脆弱性判断不准确,导致安全措施策略适应性较差。
因此,如何提高资产范围的准确性和安全防护的适应性,是目前有待解决的技术问题。
发明内容
本发明提供一种应用于网络安全监测***的资产管理方法,用以解决现有技术中资产范围不准确、安全防护适应性差、资产管理效率低的技术问题。
所述方法包括:
获取企业内部网络拓扑结构,并根据企业内部网络拓扑结构确定原始资产范围边界;
获取企业外部网络拓扑结构,分析企业内部网络拓扑结构与企业外部网络拓扑结构之间的网络流量,得到流量信息;
通过流量信息确定企业内部网络拓扑结构中节点与企业外部网络拓扑结构中节点的交互程度,从而对原始资产范围边界进行延伸,得到目标资产范围边界;
在目标资产范围边界内对资产进行识别和分类,从而构建每个资产对应的标签,根据标签确定每个资产的价值;
基于每个资产的价值所处范围构建不同级别的资产档案,并确定每个级别资产档案的脆弱性程度;
根据资产档案的级别和脆弱性程度选定安全措施策略,并依据安全措施策略对对应的资产进行安全防护。
本申请一些实施例中,分析企业内部网络拓扑结构与企业外部网络拓扑结构之间的网络流量,得到流量信息,包括:
通过对企业内部网络拓扑结构与企业外部网络拓扑结构进行扫描分别构建内部节点列表和外部节点列表,内部节点列表中包含企业内部网络拓扑结构中的所有节点,外部节点列表中包含企业外部网络拓扑结构中的所有节点;
分析企业内部网络拓扑结构与企业外部网络拓扑结构之间的网络数据包的来源、目的和流向,并对内部节点列表和外部节点列表中的节点进行关联,得到第一关联节点列表;
获取内部节点列表和外部节点列表两表的节点之间的访问日志、安全日志、***日志、应用程序日志和网络设备日志中的至少一种,并对内部节点列表和外部节点列表中的节点进行关联,得到第二关联节点列表;
通过第一关联节点列表和第二关联节点列表构建内部节点列表和外部节点列表中的节点走向图,并确定每个节点的流量作为流量信息。
本申请一些实施例中,通过流量信息确定企业内部网络拓扑结构中节点与企业外部网络拓扑结构中节点的交互程度,包括:
计算每个内部节点与其在节点走向图中相关的每个外部节点的流量比例以及通信模式相似度;
其中,N为通信模式相似度,n为通信模式的校准方式数量,αi为第i个校准方式对应的权重,Qi为第i个校准方式对应的相似程度,K为所有校准方式的最大相似程度之和;
基于流量比例以及通信模式相似度确定节点的交互程度;
其中,M为交互程度,β为转换系数,T为流量比例,exp表示指数函数,k为预设常数。
本申请一些实施例中,从而对原始资产范围边界进行延伸,得到目标资产范围边界,包括:
将流量信息确定企业内部网络拓扑结构中节点与企业外部网络拓扑结构中节点的交互程度超过交互程度阈值的外部节点作为延伸点,并依据延伸点和节点走向图的节点走向对原始资产范围边界进行延伸,从而得到目标资产范围边界。
本申请一些实施例中,在目标资产范围边界内对资产进行识别和分类,从而构建每个资产对应的标签,包括:
在目标资产范围边界内对资产进行识别,得到所有资产,并对所有资产进行身份标签的生成;
对资产进行多属性类别分类,并获取企业的资产每个属性类别权重,从而确定资产的多属性权重,生成类别标签;
通过资产的功能不同对资产进行功能分类,并确定功能权重,生成功能权重标签;
通过身份标签、类别标签和功能标签建立资产的标签结构组(身份标签,类别标签,功能标签)。
本申请一些实施例中,根据标签确定每个资产的价值,包括:
获取资产的数据信息价值、生产力价值、对业务影响价值和维护价值;
基于资产的数据信息价值、生产力价值、对业务影响价值、维护价值、类别标签和功能标签确定资产价值;
其中,L为资产价值,γ1为数据信息价值对应的权重,W1为数据信息价值,exp表示指数函数,Z1为多属性权重,k1为第一预设常量,γ2为生产力价值对应的权重,W2为生产力价值,Z2为功能权重,k2为第二预设常量,γ3为对业务影响价值的权重,W3为对业务影响价值,Z01为多属性权重阈值,Z02为功能权重阈值,k3为第三预设常量,γ4为维护价值对应的权重,W4为维护价值。
本申请一些实施例中,并确定每个级别资产档案的脆弱性程度,包括:
计算每个级别资产档案中每个资产的脆弱性程度;
其中,J为脆弱性程度,n为资产中漏洞个数,δi为第i个漏洞的危害权重,Yi为第i个漏洞的影响量,Pi为第i个漏洞的公开程度,Dmin为δiYiPi中的最小值,[]为取整符号;
通过每个级别资产档案中每个资产的脆弱性程度得到每个级别资产档案的脆弱性程度。
本申请一些实施例中,根据资产档案的级别和脆弱性程度选定安全措施策略,包括:
若资产档案的级别和脆弱性程度符合预设匹配关系,则采用对应的预设安全措施策略;
若资产档案的级别和脆弱性程度不符合预设匹配关系,且匹配偏离距离超过匹配偏离距离阈值,则基于匹配偏离距离匹配偏离距离阈值之差来选定安全措施策略;
其中,资产档案的级别和脆弱性程度的预设匹配关系为不同的级别对应有不同的标定脆弱性程度,匹配偏离距离为脆弱性程度大于标定脆弱性程度的量。
本申请一些实施例中,在并依据安全措施策略对对应的资产进行安全防护之后,所述方法还包括:
通过资产的脆弱性程度确定对应资产的更新频率。
通过应用以上技术方案,获取企业内部网络拓扑结构,并根据企业内部网络拓扑结构确定原始资产范围边界;获取企业外部网络拓扑结构,分析企业内部网络拓扑结构与企业外部网络拓扑结构之间的网络流量,得到流量信息;通过流量信息确定企业内部网络拓扑结构中节点与企业外部网络拓扑结构中节点的交互程度,从而对原始资产范围边界进行延伸,得到目标资产范围边界;在目标资产范围边界内对资产进行识别和分类,从而构建每个资产对应的标签,根据标签确定每个资产的价值;基于每个资产的价值所处范围构建不同级别的资产档案,并确定每个级别资产档案的脆弱性程度;根据资产档案的级别和脆弱性程度选定安全措施策略,并依据安全措施策略对对应的资产进行安全防护。本申请通过企业内部网络拓扑结构与企业外部网络拓扑结构来对原始资产范围边界进行延伸,保证了资产范围的精度,从而提高资产识别的可靠性。通过资产档案的级别和脆弱性程度选定安全措施策略,以此保证安全防护的适应性,提高资产的安全性,从而提升资产管理的效率。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了本发明实施例提出的一种应用于网络安全监测***的资产管理方法的流程示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供一种应用于网络安全监测***的资产管理方法,如图1所示,该方法包括以下步骤:
步骤S101,获取企业内部网络拓扑结构,并根据企业内部网络拓扑结构确定原始资产范围边界。
本实施例中,原始资产范围边界即为内部网络的边界。
步骤S102,获取企业外部网络拓扑结构,分析企业内部网络拓扑结构与企业外部网络拓扑结构之间的网络流量,得到流量信息。
本实施例中,企业的资产划分不仅与其内部网络拓扑相关,而且与其合作企业的网络拓扑息息相关。企业外部网络拓扑结构即为合作企业与其接触的网络拓扑。
本申请一些实施例中,分析企业内部网络拓扑结构与企业外部网络拓扑结构之间的网络流量,得到流量信息,包括:
通过对企业内部网络拓扑结构与企业外部网络拓扑结构进行扫描分别构建内部节点列表和外部节点列表,内部节点列表中包含企业内部网络拓扑结构中的所有节点,外部节点列表中包含企业外部网络拓扑结构中的所有节点;
分析企业内部网络拓扑结构与企业外部网络拓扑结构之间的网络数据包的来源、目的和流向,并对内部节点列表和外部节点列表中的节点进行关联,得到第一关联节点列表;
获取内部节点列表和外部节点列表两表的节点之间的访问日志、安全日志、***日志、应用程序日志和网络设备日志中的至少一种,并对内部节点列表和外部节点列表中的节点进行关联,得到第二关联节点列表;
通过第一关联节点列表和第二关联节点列表构建内部节点列表和外部节点列表中的节点走向图,并确定每个节点的流量作为流量信息。
本实施例中,获取内部节点列表和外部节点列表两表的节点之间的访问日志、安全日志、***日志、应用程序日志和网络设备日志中的至少一种。
访问日志(Access Logs):记录了访问网络资源的事件,包括访问时间、来源IP地址、目标IP地址、访问方法等。
安全日志(Security Logs):记录了安全事件和攻击行为,例如登录失败、拒绝服务攻击、恶意软件攻击等。
***日志(System Logs):记录了***运行过程中的事件和错误信息,例如***启动、服务启动、***崩溃等。
应用程序日志(Application Logs):记录了应用程序运行过程中的事件和信息,例如数据库访问日志、Web应用程序日志、电子邮件日志等。
网络设备日志(Network Device Logs):记录了网络设备运行过程中的事件和信息,例如路由器日志、交换机日志、防火墙日志等。
上述日志均可以在一定程度上表征内部节点与外部节点的交互,只要能表征内部节点与外部节点接触的日志类型,均属于本申请保护范围。
本实施例中,通过分析网络数据包来得到第一关联节点列表,可以使用网络流量监测工具,如Wireshark、tcpdump等,分析网络数据包。通过日志来得到第二关联节点列表,兼顾网络数据包和日志两个因素得到所需的内外部节点之间的关系。
本实施例中,通过第一关联节点列表和第二关联节点列表构建内部节点列表和外部节点列表中的节点走向图。是指第一关联节点列表和第二关联节点列表两者的内容的并集,从而构建节点走向图,可以将节点走向图理解为内外部节点之间的流程,并显示节点的流量信息。
步骤S103,通过流量信息确定企业内部网络拓扑结构中节点与企业外部网络拓扑结构中节点的交互程度,从而对原始资产范围边界进行延伸,得到目标资产范围边界。
本实施例中,根据交互程度对上个步骤中的节点进行筛选,并根据筛选后的节点进行范围边界延伸,目标资产范围边界即为所需识别的资产范围。
本申请一些实施例中,通过流量信息确定企业内部网络拓扑结构中节点与企业外部网络拓扑结构中节点的交互程度,包括:
计算每个内部节点与其在节点走向图中相关的每个外部节点的流量比例以及通信模式相似度;
其中,N为通信模式相似度,n为通信模式的校准方式数量,αi为第i个校准方式对应的权重,Qi为第i个校准方式对应的相似程度,K为所有校准方式的最大相似程度之和;
基于流量比例以及通信模式相似度确定节点的交互程度;
其中,M为交互程度,β为转换系数,T为流量比例,exp表示指数函数,k为预设常数。
本实施例中,内外部节点之间的流量比例可以反应两个节点间的交互程度。比例越高,表示两个节点之间的交互越频繁,相关程度越高。通信模式也可以在一定程度上反应节点间的交互程度。如果两个节点之间的通信模式相同,则它们之间的相关程度可能较高。
本实施例中,通信模式的校准方式包括通信协议、通信端口、通信方向等。K为所有校准方式的最大相似程度之和,是指αiQi各项最大相似度之和,即两者的通信模式完全相同。
本实施例中,表示对交互程度的修正,/>取值范围在0.1-0.15之间。
本申请一些实施例中,从而对原始资产范围边界进行延伸,得到目标资产范围边界,包括:
将流量信息确定企业内部网络拓扑结构中节点与企业外部网络拓扑结构中节点的交互程度超过交互程度阈值的外部节点作为延伸点,并依据延伸点和节点走向图的节点走向对原始资产范围边界进行延伸,从而得到目标资产范围边界。
本实施例中,去除掉不合要求的节点,将符合要求的节点为准进行原始资产范围边界延伸。
上述方案有益效果:
通过数据包括分析和日志分析来确定存在交互的所有外部节点,并根据流量比例以及通信模式相似度确定与外节点的交互程度,以此延伸原始资产范围边界。提高了资产范围的准确性,为下一步资产识别打下良好基础,保证了资产识别的可靠性。
步骤S104,在目标资产范围边界内对资产进行识别和分类,从而构建每个资产对应的标签,根据标签确定每个资产的价值。
本实施例中,识别出每一个资产,并对识别出的资产进行分类,构建标签,确定资产价值。通过网络扫描、手动检查等方式,识别出网络中存在的所有资产。
本申请一些实施例中,在目标资产范围边界内对资产进行识别和分类,从而构建每个资产对应的标签,包括:
在目标资产范围边界内对资产进行识别,得到所有资产,并对所有资产进行身份标签的生成;
对资产进行多属性类别分类,并获取企业的资产每个属性类别权重,从而确定资产的多属性权重,生成类别标签;
通过资产的功能不同对资产进行功能分类,并确定功能权重,生成功能权重标签;
通过身份标签、类别标签和功能标签建立资产的标签结构组(身份标签,类别标签,功能标签)。
本实施例中,对资产进行多属性类别分类,并获取企业的资产每个属性类别权重,从而确定资产的多属性权重。例如,依据资产所处位置、部门归属、资产技术类型(多属性)进行逐一分类。得到某个资产的资产所处位置类别1、部门归属1、资产技术类型1等,这些叫做每个属性类别。属性类别权重是指资产技术类型一共有10种,即资产技术类型1-10,赋予每种类型不同的权重,总权重和为1。多属性权重为所处位置类别1、部门归属1、资产技术类型1分别对应的权重之和。
本实施例中,资产的功能不同对资产进行功能分类,并确定功能权重。资产的功能包括计算、存储、传输等功能,不同功能对应权重不同。
本实施例中,资产的标签结构组(身份标签,类别标签,功能标签),身份标签用以识别资产的身份信息,类别标签用以确定资产的多属性权重,功能标签用以确定资产的功能权重。
本申请一些实施例中,根据标签确定每个资产的价值,包括:
获取资产的数据信息价值、生产力价值、对业务影响价值和维护价值;
基于资产的数据信息价值、生产力价值、对业务影响价值、维护价值、类别标签和功能标签确定资产价值;
其中,L为资产价值,γ1为数据信息价值对应的权重,W1为数据信息价值,exp表示指数函数,Z1为多属性权重,k1为第一预设常量,γ2为生产力价值对应的权重,W2为生产力价值,Z2为功能权重,k2为第二预设常量,γ3为对业务影响价值的权重,W3为对业务影响价值,Z01为多属性权重阈值,Z02为功能权重阈值,k3为第三预设常量,γ4为维护价值对应的权重,W4为维护价值。
本实施例中,资产价值的评价主要受以下四个方面影响。
数据信息价值,资产中包含的数据和信息可以帮助组织做出决策,提高效率和竞争力,因此可以通过评估这些数据和信息的价值来确定资产的价值。
生产力价值,资产可以为组织提供生产力和产能,例如服务器可以提供计算能力,存储设备可以提供存储空间,因此可以通过评估资产的生产力和产能来确定其价值。
对业务影响价值,资产对组织的业务连续性和安全具有重要影响,例如核心应用程序和数据库等,因此可以通过评估其对业务连续性和安全的影响来确定资产的价值。
维护价值,资产需要定期维护和更新,这些成本也可以作为确定资产价值的参考因素之一。
本实施例中,资产类别不同,多属性权重不同,对数据信息价值产生不同影响。资产功能权重不同,会影响生产力价值。而对业务影响价值受多属性权重和功能权重共同影响。
步骤S105,基于每个资产的价值所处范围构建不同级别的资产档案,并确定每个级别资产档案的脆弱性程度。
本实施例中,每个资产的价值所处范围不同,对应有不同级别的资产档案。资产档案的级别越高说明资产越重要。资产档案可以看作将很多价值相近的资产划分到一个区域内,方便后续的计算以及安全防护。这里每个级别资产档案的脆弱性程度,是资产档案的脆弱性程度,并非具体资产的。
本申请一些实施例中,并确定每个级别资产档案的脆弱性程度,包括:
计算每个级别资产档案中每个资产的脆弱性程度;
其中,J为脆弱性程度,n为资产中漏洞个数,δi为第i个漏洞的危害权重,Yi为第i个漏洞的影响量,Pi为第i个漏洞的公开程度,Dmin为δiYiPi中的最小值,[]为取整符号;
通过每个级别资产档案中每个资产的脆弱性程度得到每个级别资产档案的脆弱性程度。
本实施例中,通过每个资产的脆弱性程度,确定每个档案对应的综合脆弱性程度。
步骤S106,根据资产档案的级别和脆弱性程度选定安全措施策略,并依据安全措施策略对对应的资产进行安全防护。
本实施例中,根据资产档案的级别和脆弱性程度选定安全措施策略,级别越高、脆弱性程度越高,所需的安全措施策略即安全防护等级越高。
本申请一些实施例中,根据资产档案的级别和脆弱性程度选定安全措施策略,包括:
若资产档案的级别和脆弱性程度符合预设匹配关系,则采用对应的预设安全措施策略;
若资产档案的级别和脆弱性程度不符合预设匹配关系,且匹配偏离距离超过匹配偏离距离阈值,则基于匹配偏离距离匹配偏离距离阈值之差来选定安全措施策略;
其中,资产档案的级别和脆弱性程度的预设匹配关系为不同的级别对应有不同的标定脆弱性程度,匹配偏离距离为脆弱性程度大于标定脆弱性程度的量。
本实施例中,每个资产档案的级别对应有一个标定脆弱性程度范围。当脆弱性程度大于此等级对应的标定脆弱性程度,即为存在匹配偏离距离。
本实施例中,基于匹配偏离距离匹配偏离距离阈值之差来选定安全措施策略,根据差值来提高安全措施策略。
上述方案的有益效果:
通过对资产识别构建的标签结构数组,来确定每个资产的价值,从而划分资产档案的等级,将资产并入资产档案中,依据资产档案的脆弱性程度和级别选定不同的安全防护策略。提高了安全监测的适应性和精度,保证了资产能够稳定长久运行。
本申请一些实施例中,在并依据安全措施策略对对应的资产进行安全防护之后,所述方法还包括:
通过资产的脆弱性程度确定对应资产的更新频率。
本实施例中,通过资产的脆弱性程度确定对应资产的更新频率,是指依据资产脆弱性程度设定资产的更新频率,更新是指定期审查资产,将失效资产删除或对变化资产进行更新等操作。每个资产的脆弱性程度对应有一个资产的更新频率。脆弱性程度越高,资产的更新频率越大,反之,同理。
通过应用以上技术方案,获取企业内部网络拓扑结构,并根据企业内部网络拓扑结构确定原始资产范围边界;获取企业外部网络拓扑结构,分析企业内部网络拓扑结构与企业外部网络拓扑结构之间的网络流量,得到流量信息;通过流量信息确定企业内部网络拓扑结构中节点与企业外部网络拓扑结构中节点的交互程度,从而对原始资产范围边界进行延伸,得到目标资产范围边界;在目标资产范围边界内对资产进行识别和分类,从而构建每个资产对应的标签,根据标签确定每个资产的价值;基于每个资产的价值所处范围构建不同级别的资产档案,并确定每个级别资产档案的脆弱性程度;根据资产档案的级别和脆弱性程度选定安全措施策略,并依据安全措施策略对对应的资产进行安全防护。本申请通过企业内部网络拓扑结构与企业外部网络拓扑结构来对原始资产范围边界进行延伸,保证了资产范围的精度,从而提高资产识别的可靠性。通过资产档案的级别和脆弱性程度选定安全措施策略,以此保证安全防护的适应性,提高资产的安全性,从而提升资产管理的效率。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施场景所述的方法。
最后应说明的是:以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不驱使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

Claims (9)

1.一种应用于网络安全监测***的资产管理方法,其特征在于,所述方法包括:
获取企业内部网络拓扑结构,并根据企业内部网络拓扑结构确定原始资产范围边界;
获取企业外部网络拓扑结构,分析企业内部网络拓扑结构与企业外部网络拓扑结构之间的网络流量,得到流量信息;
通过流量信息确定企业内部网络拓扑结构中节点与企业外部网络拓扑结构中节点的交互程度,从而对原始资产范围边界进行延伸,得到目标资产范围边界;
在目标资产范围边界内对资产进行识别和分类,从而构建每个资产对应的标签,根据标签确定每个资产的价值;
基于每个资产的价值所处范围构建不同级别的资产档案,并确定每个级别资产档案的脆弱性程度;
根据资产档案的级别和脆弱性程度选定安全措施策略,并依据安全措施策略对对应的资产进行安全防护。
2.如权利要求1所述的应用于网络安全监测***的资产管理方法,其特征在于,分析企业内部网络拓扑结构与企业外部网络拓扑结构之间的网络流量,得到流量信息,包括:
通过对企业内部网络拓扑结构与企业外部网络拓扑结构进行扫描分别构建内部节点列表和外部节点列表,内部节点列表中包含企业内部网络拓扑结构中的所有节点,外部节点列表中包含企业外部网络拓扑结构中的所有节点;
分析企业内部网络拓扑结构与企业外部网络拓扑结构之间的网络数据包的来源、目的和流向,并对内部节点列表和外部节点列表中的节点进行关联,得到第一关联节点列表;
获取内部节点列表和外部节点列表两表的节点之间的访问日志、安全日志、***日志、应用程序日志和网络设备日志中的至少一种,并对内部节点列表和外部节点列表中的节点进行关联,得到第二关联节点列表;
通过第一关联节点列表和第二关联节点列表构建内部节点列表和外部节点列表中的节点走向图,并确定每个节点的流量作为流量信息。
3.如权利要求2所述的应用于网络安全监测***的资产管理方法,其特征在于,通过流量信息确定企业内部网络拓扑结构中节点与企业外部网络拓扑结构中节点的交互程度,包括:
计算每个内部节点与其在节点走向图中相关的每个外部节点的流量比例以及通信模式相似度;
其中,N为通信模式相似度,n为通信模式的校准方式数量,αi为第i个校准方式对应的权重,Qi为第i个校准方式对应的相似程度,K为所有校准方式的最大相似程度之和;
基于流量比例以及通信模式相似度确定节点的交互程度;
其中,M为交互程度,β为转换系数,T为流量比例,exp表示指数函数,k为预设常数。
4.如权利要求3所述的应用于网络安全监测***的资产管理方法,其特征在于,从而对原始资产范围边界进行延伸,得到目标资产范围边界,包括:
将流量信息确定企业内部网络拓扑结构中节点与企业外部网络拓扑结构中节点的交互程度超过交互程度阈值的外部节点作为延伸点,并依据延伸点和节点走向图的节点走向对原始资产范围边界进行延伸,从而得到目标资产范围边界。
5.如权利要求1所述的应用于网络安全监测***的资产管理方法,其特征在于,在目标资产范围边界内对资产进行识别和分类,从而构建每个资产对应的标签,包括:
在目标资产范围边界内对资产进行识别,得到所有资产,并对所有资产进行身份标签的生成;
对资产进行多属性类别分类,并获取企业的资产每个属性类别权重,从而确定资产的多属性权重,生成类别标签;
通过资产的功能不同对资产进行功能分类,并确定功能权重,生成功能权重标签;
通过身份标签、类别标签和功能标签建立资产的标签结构组(身份标签,类别标签,功能标签)。
6.如权利要求5所述的应用于网络安全监测***的资产管理方法,其特征在于,根据标签确定每个资产的价值,包括:
获取资产的数据信息价值、生产力价值、对业务影响价值和维护价值;
基于资产的数据信息价值、生产力价值、对业务影响价值、维护价值、类别标签和功能标签确定资产价值;
其中,L为资产价值,γ1为数据信息价值对应的权重,W1为数据信息价值,exp表示指数函数,Z1为多属性权重,k1为第一预设常量,γ2为生产力价值对应的权重,W2为生产力价值,Z2为功能权重,k2为第二预设常量,γ3为对业务影响价值的权重,W3为对业务影响价值,Z01为多属性权重阈值,Z02为功能权重阈值,k3为第三预设常量,γ4为维护价值对应的权重,W4为维护价值。
7.如权利要求1所述的应用于网络安全监测***的资产管理方法,其特征在于,并确定每个级别资产档案的脆弱性程度,包括:
计算每个级别资产档案中每个资产的脆弱性程度;
其中,J为脆弱性程度,n为资产中漏洞个数,δi为第i个漏洞的危害权重,Yi为第i个漏洞的影响量,Pi为第i个漏洞的公开程度,Dmin为δiYiPi中的最小值,[]为取整符号;
通过每个级别资产档案中每个资产的脆弱性程度得到每个级别资产档案的脆弱性程度。
8.如权利要求7所述的应用于网络安全监测***的资产管理方法,其特征在于,根据资产档案的级别和脆弱性程度选定安全措施策略,包括:
若资产档案的级别和脆弱性程度符合预设匹配关系,则采用对应的预设安全措施策略;
若资产档案的级别和脆弱性程度不符合预设匹配关系,且匹配偏离距离超过匹配偏离距离阈值,则基于匹配偏离距离匹配偏离距离阈值之差来选定安全措施策略;
其中,资产档案的级别和脆弱性程度的预设匹配关系为不同的级别对应有不同的标定脆弱性程度,匹配偏离距离为脆弱性程度大于标定脆弱性程度的量。
9.如权利要求7所述的应用于网络安全监测***的资产管理方法,其特征在于,在并依据安全措施策略对对应的资产进行安全防护之后,所述方法还包括:
通过资产的脆弱性程度确定对应资产的更新频率。
CN202310797197.5A 2023-06-28 2023-06-28 一种应用于网络安全监测***的资产管理方法 Pending CN117014184A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310797197.5A CN117014184A (zh) 2023-06-28 2023-06-28 一种应用于网络安全监测***的资产管理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310797197.5A CN117014184A (zh) 2023-06-28 2023-06-28 一种应用于网络安全监测***的资产管理方法

Publications (1)

Publication Number Publication Date
CN117014184A true CN117014184A (zh) 2023-11-07

Family

ID=88568162

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310797197.5A Pending CN117014184A (zh) 2023-06-28 2023-06-28 一种应用于网络安全监测***的资产管理方法

Country Status (1)

Country Link
CN (1) CN117014184A (zh)

Similar Documents

Publication Publication Date Title
US11637853B2 (en) Operational network risk mitigation system and method
US10140453B1 (en) Vulnerability management using taxonomy-based normalization
EP1768045A2 (en) Application of cut-sets to network interdependency security risk assessment
US9021595B2 (en) Asset risk analysis
US8539018B2 (en) Analysis of IT resource performance to business organization
TW201629824A (zh) 使用適應性行爲輪廓之異常檢測技術
CN111565205A (zh) 网络攻击识别方法、装置、计算机设备和存储介质
US11240119B2 (en) Network operation
CN111866027A (zh) 一种基于情报分析的资产安全评估方法及***
US11876674B1 (en) Network segmentation
CN112560046A (zh) 一种业务数据安全指数的评估方法及装置
CN115378712A (zh) 一种基于政务区块链底座的威胁情报共享方法
CN117014184A (zh) 一种应用于网络安全监测***的资产管理方法
KR102590081B1 (ko) 보안 규제 준수 자동화 장치
CN117391214A (zh) 模型训练方法、装置及相关设备
CN110995465A (zh) 信通点位全景视图信息运维方法及***
CN117294530B (zh) 工业互联网标识解析二级节点数据安全管理方法及***
CN117176476B (zh) 一种基于节点权重的网络安全评估方法及***
US20240015165A1 (en) Method for verifying security technology deployment efficacy across a computer network
CN114205146B (zh) 一种多源异构安全日志的处理方法及装置
US20230388313A1 (en) Automatic User Group Manager
US20240015164A1 (en) Method for verifying security technology deployment efficacy across a computer network
CN114816964B (zh) 风险模型构建方法、风险检测方法、装置、计算机设备
CN116721704B (zh) 一种分级防护的生物信息数据库的更新方法及***
US11968222B2 (en) Supply chain attack detection

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination