CN117768199A - 一种数据泄露风险指数分析方法、装置、设备及介质 - Google Patents

一种数据泄露风险指数分析方法、装置、设备及介质 Download PDF

Info

Publication number
CN117768199A
CN117768199A CN202311785308.7A CN202311785308A CN117768199A CN 117768199 A CN117768199 A CN 117768199A CN 202311785308 A CN202311785308 A CN 202311785308A CN 117768199 A CN117768199 A CN 117768199A
Authority
CN
China
Prior art keywords
threat
data leakage
value
log
leakage risk
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311785308.7A
Other languages
English (en)
Inventor
黄云宇
彭传粤
张晖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tianyi Safety Technology Co Ltd
Original Assignee
Tianyi Safety Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tianyi Safety Technology Co Ltd filed Critical Tianyi Safety Technology Co Ltd
Priority to CN202311785308.7A priority Critical patent/CN117768199A/zh
Publication of CN117768199A publication Critical patent/CN117768199A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种数据泄露风险指数分析方法、装置、设备及介质,本申请中,电子设备获取网络通信日志之后,首先根据高价值威胁情报对网络通信日志进行第一次筛选,得到威胁日志;然后根据设定时间维度统计分析与高价值威胁情报的通信频率,对威胁日志进行第二次筛选,得到高置信威胁日志;最后根据高置信威胁日志的包大小和情报价值等级系数,确定数据泄露风险指数。采用本申请提供的方法,能够准确的进行数据泄露风险指数分析,根据得到的数据泄露风险指数可以准确地进行数据泄露风险评估。

Description

一种数据泄露风险指数分析方法、装置、设备及介质
技术领域
本申请涉及网络安全技术领域,尤其涉及一种数据泄露风险指数分析方法、装置、设备及介质。
背景技术
在21世纪的全球信息化、数字化、智能化时代下,网络已经成了时代发展的主动脉,互联网安全发展则是免疫***。而当下的互联网面临着高级持续性威胁(AdvancedPersistent Threat,APT)、勒索、信息窃取、分布式拒绝服务攻击DDoS等攻击威胁,攻击威胁尝试控制关基***或窃取高机密情报信息。因此,需要从互联网角度及时感知和评估每一个高价值情报的数据泄露风险。
基于上述考虑,针对威胁情报数据,如何提供一种准确的数据泄露风险指数分析方法是目前亟需解决的技术问题。
发明内容
本申请提供了一种数据泄露风险指数分析方法、装置、设备及介质,用以解决的问题。
第一方面,本申请提供了一种数据泄露风险指数分析方法,所述方法包括:
获取网络通信日志,根据高价值威胁情报对所述网络通信日志进行筛选,得到威胁日志;
根据设定时间维度统计分析与所述高价值威胁情报的通信频率,对所述威胁日志进行筛选,得到高置信威胁日志;
根据所述高置信威胁日志的包大小和情报价值等级系数,确定数据泄露风险指数。
第二方面,本申请提供了一种数据泄露风险指数分析装置,所述装置包括:
第一筛选模块,用于获取网络通信日志,根据高价值威胁情报对所述网络通信日志进行筛选,得到威胁日志;
第二筛选模块,用于根据设定时间维度统计分析与所述高价值威胁情报的通信频率,对所述威胁日志进行筛选,得到高置信威胁日志;
确定模块,用于根据所述高置信威胁日志的包大小和情报价值等级系数,确定数据泄露风险指数。
第三方面,本申请提供了一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现所述的方法步骤。
第四方面,本申请提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现所述的方法步骤。
本申请提供了一种数据泄露风险指数分析方法、装置、设备及介质,所述方法包括:获取网络通信日志,根据高价值威胁情报对所述网络通信日志进行筛选,得到威胁日志;根据设定时间维度统计分析与所述高价值威胁情报的通信频率,对所述威胁日志进行筛选,得到高置信威胁日志;根据所述高置信威胁日志的包大小和情报价值等级系数,确定数据泄露风险指数。
上述的技术方案具有如下优点或有益效果:
本申请中,电子设备获取网络通信日志之后,首先根据高价值威胁情报对网络通信日志进行第一次筛选,得到威胁日志;然后根据设定时间维度统计分析与高价值威胁情报的通信频率,对威胁日志进行第二次筛选,得到高置信威胁日志;最后根据高置信威胁日志的包大小和情报价值等级系数,确定数据泄露风险指数。采用本申请提供的方法,能够准确的进行数据泄露风险指数分析,根据得到的数据泄露风险指数可以准确地进行数据泄露风险评估。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请提供的数据泄露风险指数分析过程示意图;
图2为本申请提供的数据泄露风险指数分析过程示意图;
图3为本申请提供的数据泄露风险指数分析过程示意图;
图4为本申请提供的数据泄露风险指数分析过程示意图;
图5为本申请提供的数据泄露风险指数分析过程示意图;
图6为本申请提供的数据泄露风险指数分析过程示意图;
图7为本申请提供的数据泄露风险指数分析***架构图;
图8为本申请提供的高价值情报日志采集***示意图;
图9为本申请提供的高价值木马通信频率采集***示意图;
图10为本申请提供的高价值数据泄露风险指数分析装置示意图;
图11为本申请提供的数据泄露风险指数分析装置结构示意图;
图12为本申请提供的电子设备结构示意图。
具体实施方式
为使本申请的目的和实施方式更加清楚,下面将结合本申请示例性实施例中的附图,对本申请示例性实施方式进行清楚、完整地描述,显然,描述的示例性实施例仅是本申请一部分实施例,而不是全部的实施例。
需要说明的是,本申请中对于术语的简要说明,仅是为了方便理解接下来描述的实施方式,而不是意图限定本申请的实施方式。除非另有说明,这些术语应当按照其普通和通常的含义理解。
本申请中说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”等是用于区别类似或同类的对象或实体,而不必然意味着限定特定的顺序或先后次序,除非另外注明。应该理解这样使用的用语在适当情况下可以互换。
术语“包括”和“具有”以及他们的任何变形,意图在于覆盖但不排他的包含,例如,包含了一系列组件的产品或设备不必限于清楚地列出的所有组件,而是可包括没有清楚地列出的或对于这些产品或设备固有的其它组件。
术语“模块”是指任何已知或后来开发的硬件、软件、固件、人工智能、模糊逻辑或硬件或/和软件代码的组合,能够执行与该元件相关的功能。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
为了方便解释,已经结合具体的实施方式进行了上述说明。但是,上述示例性的讨论不是意图穷尽或者将实施方式限定到上述公开的具体形式。根据上述的教导,可以得到多种修改和变形。上述实施方式的选择和描述是为了更好的解释原理以及实际的应用,从而使得本领域技术人员更好的使用所述实施方式以及适于具体使用考虑的各种不同的变形的实施方式。
以下对本申请实施例中的部分技术用语进行解释说明,以便于本领域技术人员理解。
高价值情报(High-Value Intelligence):高精准、高威胁的情报信息。
情报价值等级系数(Intelligence Value Level Coefficient):威胁情报等级系数。
有效通信数据包大小临界值(Critical Value of Effective CommunicationPacket Size):威胁情报通讯数据基础包大小。
通信频率(Communication Frequency)、数据泄露风险指数(Data Leakage RiskIndex)。
NetFlow:是一种网络监测功能,可以收集进入及离开网络界面的网际互连协议(Internet Protocol,IP)封包的数量及资讯;其中,一个NetFlow流定义为在一个源IP地址和目的IP地址间传输的单向数据包流,且所有数据包具有共同的传输层源、目的端口号。
沙箱:是一种用于隔离和管理网络环境的虚拟环境。它模拟网络中的真实场景,并提供对网络资源的限制和监控。沙箱可以提供一些虚拟的硬件和软件资源,如文件***、网络、操作***等,使应用程序或进程可以在这个虚拟环境中运行,而不会对计算机***产生任何不良影响。如果应用程序或进程试图访问沙箱之外的资源或执行危险操作,沙箱会拦截这些请求并采取相应的安全措施,例如禁止该操作或中止应用程序或进程。
高价值数据泄露风险比(High-Value Data Leakage Risk Ratio):数据泄露风险指数占数据风险指数比例,比例越大说明数据泄露越明显。
本申请检测攻击对象向攻击资产数据传输的指标,体现在攻击过程中,攻击对象存在的数据泄露风险,且数据泄露风险指数占数据风险指数比例越大,攻击越强烈,特别是攻击对象数据被往外传输时,数据泄露指数会出现几何倍数增长。
以下结合说明书附图对本申请的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本申请,并不用于限定本申请,并且在不冲突的情况下,本申请实施例及实施例中的特征可以相互组合。
图1为本申请提供的数据泄露风险指数分析过程示意图,该过程包括以下步骤:
S101:获取网络通信日志,根据高价值威胁情报对所述网络通信日志进行筛选,得到威胁日志。
S102:根据设定时间维度统计分析与所述高价值威胁情报的通信频率,对所述威胁日志进行筛选,得到高置信威胁日志。
S103:根据所述高置信威胁日志的包大小和情报价值等级系数,确定数据泄露风险指数。
本申请提供的数据泄露风险指数分析方法应用于电子设备,该电子设备可以是PC、电脑、服务器等设备。服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式***,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(Content DeliveryNetwork,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。
电子设备获取网络通信日志,根据高价值威胁情报对网络通信日志进行筛选,得到威胁日志。其中,电子设备获取预设时间段的网络通信日志,预设时间段可以为:一天、几天、一周或者一个月等时间区间。根据高价值威胁情报的IP和端口信息,对网络通信日志进行筛选,得到威胁日志。
电子设备确定出威胁日志之后,再根据设定时间维度统计分析与所述高价值威胁情报的通信频率,对威胁日志进行筛选,得到高置信威胁日志。可选的,将威胁日志中与高价值威胁情报的通信频率较高的威胁日志确定为高置信威胁日志。较佳的,所述根据设定时间维度统计分析与所述高价值威胁情报的通信频率,对所述威胁日志进行筛选,得到高置信威胁日志包括:根据设定时间维度统计分析,从所述威胁日志中筛选出与所述高价值威胁情报的通信频率大于预设的第一频率阈值,且端口变化频率小于预设的第二频率阈值的威胁日志作为高置信威胁日志。其中,预设的第一频率阈值大于预审的第二频率阈值。
图2为本申请提供的数据泄露风险指数分析过程示意图,该过程包括以下步骤:
S201:获取网络通信日志,根据高价值威胁情报对所述网络通信日志进行筛选,得到威胁日志。
S202:根据设定时间维度统计分析,从所述威胁日志中筛选出与所述高价值威胁情报的通信频率大于预设的第一频率阈值,且端口变化频率小于预设的第二频率阈值的威胁日志作为高置信威胁日志。
S203:根据所述高置信威胁日志的包大小和情报价值等级系数,确定数据泄露风险指数。
其中,每个威胁日志中包含用户的来源IP地址、目的IP地址、访问URL请求时间及响应时间等信息。电子设备可以根据威胁日志包含的源IP地址和目的IP地址,以及高价值威胁情报的IP和端口信息,通过“双向震荡”模型,筛选出高置信威胁日志。"双向震荡"模型是根据一定时间维度统计分析与高价值情报(IP:Port)存在高频率通信,且端口变化频率不大条件进行筛选,得到高置信威胁日志。这样,通过高置信威胁日志进行数据泄露风险指数分析,能够提高后续获得数据泄露风险指数的可靠性。
根据高置信威胁日志的包大小和情报价值等级系数,确定数据泄露风险指数。需要说明的是,由于在数据泄露风险指数分析的过程中,通常都是针对同一攻击源或攻击事件(即同一威胁)在攻击活动周期中不同时间段的数据泄露风险指数分析,因此,上述情报价值等级系数是与威胁情报数据(或威胁)本身相关的特征,可以是针对不同类型的威胁情报数据预先设定的。例如:APT攻击,情报价值等级系数为5;勒索、数据窃取情报价值等级系数为3;远控、挖矿情报价值等级系数为2;蠕虫攻击情报价值等级系数为1。
图3为本申请提供的数据泄露风险指数分析的过程示意图,该过程包括以下步骤:
S301:获取网络通信日志,根据高价值威胁情报对所述网络通信日志进行筛选,得到威胁日志。
S302:根据设定时间维度统计分析与所述高价值威胁情报的通信频率,对所述威胁日志进行筛选,得到高置信威胁日志。
S303:根据预先确定的威胁通信频率、所述高置信威胁日志的包大小和情报价值等级系数,确定数据泄露风险指数。
可选的,根据公式确定数据泄露风险指数。式中,Db为数据泄露风险指数,G为情报价值等级系数,G可以为预设值,Ps为高置信威胁日志的包大小,f为威胁通信频率,t为指数时间计算单位,t默认为1天。
图4为本申请提供的数据泄露风险指数分析的过程示意图,该过程包括以下步骤:
S401:获取网络通信日志,根据高价值威胁情报对所述网络通信日志进行筛选,得到威胁日志。
S402:根据设定时间维度统计分析与所述高价值威胁情报的通信频率,对所述威胁日志进行筛选,得到高置信威胁日志。
S403:根据预先确定的威胁通信频率、所述高置信威胁日志的包大小、高置信数据泄露风险比和情报价值等级系数,确定高价值数据泄露风险指数。
可选的,根据公式确定高价值数据泄露风险指数。式中,Dbh为高价值数据泄露风险指数,G为情报价值等级系数,Ps为威胁日志数据包大小,Pdb为高价值数据泄露风险比,f为威胁通信频率,t为指数时间计算单位,t默认为1天。
所述方法还包括:
判断所述数据泄露风险指数是否大于数据泄露风险指数预警值,如果是,生成数据泄露风险预警信息。
数据泄露风险指数预警值可以是根据经验预先设定的参数值。较佳的,确定所述数据泄露风险指数预警值的过程包括:根据预先确定的威胁通信频率、所述高置信威胁日志的包大小、高置信数据泄露风险比、情报价值等级系数和攻击活动周期,确定所述数据泄露风险指数预警值。
可选的,根据公式确定数据泄露风险指数预警值。式中,Dbw为高价值数据泄露风险指数,G为情报价值等级系数,Ps为威胁日志数据包大小,Pdb为高价值数据泄露风险比,f为威胁通信频率,Td为攻击活动周期。攻击活动周期是指攻击开始时间至攻击结束时间之间的时间长度。
其中,当根据预先确定的威胁通信频率、所述高置信威胁日志的包大小和情报价值等级系数,确定数据泄露风险指数大于所述数据泄露风险指数预警值时,生成数据泄露风险预警信息。或者当根据预先确定的威胁通信频率、所述高置信威胁日志的包大小、高置信数据泄露风险比和情报价值等级系数,确定高价值数据泄露风险指数大于所述数据泄露风险指数预警值时,生成数据泄露风险预警信息。
预先确定威胁通信频率的过程包括:
预先通过对高价值威胁数据进行动态分析,提取通信日志数量并记录提取开始时间和结束时间;
根据所述通信日志数量、提取开始时间和结束时间确定所述威胁通信频率。
高价值威胁数据例如是木马数据,高价值木马沙箱动态分析。沙箱动态分析高价值木马,提取通信日志pcap;关键指标数据提取。提取开始时间(Ts)、结束时间(Te)和通信日志数量(Sum);确定威胁通信频率可以是f=Sum÷(Te-Ts),式中,f为威胁通信频率,Sum为威胁日志数量,Te为结束时间,Ts为开始时间。
根据设定时间维度统计分析与所述高价值威胁情报的通信频率,对所述威胁日志进行筛选,得到高置信威胁日志之后,可以根据预设的数据包大小对高置信威胁日志进一步筛选得到高价值威胁日志。例如,预设的数据包大小为74字节,获取高置信威胁日志的数据包大小,将数据包大小大于74字节的高置信威胁日志确定为高价值威胁日志。计算高价值威胁日志包大小的和,以及高置信威胁日志包大小的和,将高价值威胁日志包大小的和,与高置信威胁日志包大小的和的比值,确定为高置信数据泄露风险比。
图5为本申请提供的数据泄露风险指数分析过程示意图,该过程包括以下步骤:
S501:获取网络通信日志,根据高价值威胁情报对所述网络通信日志进行筛选,得到威胁日志。
S502:根据设定时间维度统计分析与所述高价值威胁情报的通信频率,对所述威胁日志进行筛选,得到高置信威胁日志。
S503:根据预先确定的威胁通信频率、所述高置信威胁日志的包大小和情报价值等级系数,确定数据泄露风险指数。
S504:根据预先确定的威胁通信频率、所述高置信威胁日志的包大小、高置信数据泄露风险比、情报价值等级系数和攻击活动周期,确定数据泄露风险指数预警值。
S505:若所述数据泄露风险指数大于数据泄露风险指数预警值,生成数据泄露风险预警信息。
图6为本申请提供的数据泄露风险指数分析过程示意图,该过程包括以下步骤:
S601:获取网络通信日志,根据高价值威胁情报对所述网络通信日志进行筛选,得到威胁日志。
S602:根据设定时间维度统计分析与所述高价值威胁情报的通信频率,对所述威胁日志进行筛选,得到高置信威胁日志。
S603:根据预先确定的威胁通信频率、所述高置信威胁日志的包大小、高置信数据泄露风险比和情报价值等级系数,确定高价值数据泄露风险指数。
S604:根据预先确定的威胁通信频率、所述高置信威胁日志的包大小、高置信数据泄露风险比、情报价值等级系数和攻击活动周期,确定数据泄露风险指数预警值。
S605:若所述高价值数据泄露风险指数大于数据泄露风险指数预警值,生成数据泄露风险预警信息。
需要说明的是,在本申请实施例中,并不对上述威胁的具体种类进行任何限定,例如,威胁可以为木马,也可以为其他,若假定威胁为木马的时候,服务器通过上述数据泄露风险指数分析方法,可以实现对(高价值)木马的沙箱动态分析,即通过沙箱分析高价值木马,可以提取到高置信威胁日志(如,通信日志网络数据包PCAP)的威胁日志特征,也即关键指标数据;进一步地,上述威胁通信频率也可称之为木马通信频率。
在一种可选的实现方式中,电子设备获取网络通信日志,根据高价值威胁情报对所述网络通信日志进行筛选,得到威胁日志;根据设定时间维度统计分析与所述高价值威胁情报的通信频率,对所述威胁日志进行筛选,得到高置信威胁日志;根据所述高置信威胁日志的包大小和情报价值等级系数,确定数据泄露风险指数。根据预先确定的威胁通信频率、所述高置信威胁日志的包大小、高置信数据泄露风险比、情报价值等级系数和攻击活动周期,确定数据泄露风险指数预警值。若所述数据泄露风险指数大于数据泄露风险指数预警值,生成数据泄露风险预警信息。这样,便可实现及时地对高置信威胁进行预警,以便快速复盘和评估重大网络攻击威胁的风险态势,从而及时地做出应对措施,保护网络安全。
例如,确定出的数据泄露风险指数预警值为85,若本申请确定数据泄露风险指数为90,90>85,此时生成数据泄露风险预警信息。再例如,确定出的数据泄露风险指数预警值为85,若本申请确定数据泄露风险指数为70,70<85,此时不生成数据泄露风险预警信息。
数据泄露风险指数是检测攻击对象向攻击资产数据传输的指标,体现在攻击过程中,攻击对象存在的数据泄露风险,且数据泄露风险指数占数据风险指数比例越大,攻击越强烈,特别是攻击对象数据被往外传输时,数据泄露指数会出现几何倍数增长。
图7为本申请提供的数据泄露风险指数分析***架构图,包括目标终端71和服务器72。目标终端71和服务器72之间可通过通信网络进行信息交互,其中,通信网络采用的通信方式可包括:无线通信方式和有线通信方式。
示例性的,目标终端71可通过蜂窝移动通信技术接入网络,与服务器72进行通信,其中,所述蜂窝移动通信技术,比如,包括第五代移动通信(5th Generation MobileNetworks,5G)技术。
可选的,目标终端71可通过短距离无线通信方式接入网络,与服务器72进行通信,其中,所述短距离无线通信方式,比如,包括无线保真(Wireless Fidelity,Wi-Fi)技术。
本申请实施例对上述***架构中涉及的通信设备的数量不做任何限制,例如,可以更多目标终端71,或者没有目标终端71,或者还包括其他网络设备,如图7所示,仅以目标终端71和服务器72为例进行描述,下面对上述各设备及其各自的功能进行简要介绍。
目标终端71,是一种可以向用户提供语音和/或数据连通性的设备,可以是支持有线和/或无线连接方式的设备。
示例性的,目标终端71包括但不限于:手机、平板电脑、笔记本电脑、掌上电脑、移动互联网设备(Mobile Internet Device,MID)、可穿戴设备,虚拟现实(Virtual Reality,VR)设备、增强现实(Augmented Reality,AR)设备、工业控制中的无线终端设备、无人驾驶中的无线终端设备、智能电网中的无线终端设备、运输安全中的无线终端设备、智慧城市中的无线终端设备,或智慧家庭中的无线终端设备等。
此外,目标终端71上可以安装有相关的客户端,该客户端可以是软件,例如,应用程序(Application,APP)、浏览器、短视频软件等,也可以是网页、小程序等;需要说明的是,在本申请实施例中,目标终端71可以使上述与数据泄露风险指数分析相关的客户端,向服务器72发送网络通信日志,以便进行后续的威胁风险指数分析等方法步骤。
服务器72可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式***,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(Content Delivery Network,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。
需要说明的是,在本申请实施例中,服务器72用于获取网络通信日志,根据高价值威胁情报对所述网络通信日志进行筛选,得到威胁日志;根据设定时间维度统计分析与所述高价值威胁情报的通信频率,对所述威胁日志进行筛选,得到高置信威胁日志;根据所述高置信威胁日志的包大小和情报价值等级系数,确定数据泄露风险指数。根据预先确定的威胁通信频率、所述高置信威胁日志的包大小、高置信数据泄露风险比、情报价值等级系数和攻击活动周期,确定数据泄露风险指数预警值。若所述数据泄露风险指数大于数据泄露风险指数预警值,生成数据泄露风险预警信息。采用本申请提供的方法,能够准确的进行数据泄露风险指数分析,根据得到的数据泄露风险指数可以准确地进行数据泄露风险评估。
可选的,在本申请实施例中,服务器上可部署用于数据泄露风险指数分析的模型/装置,即采用服务器上预先训练好的数据泄露风险指数分析模型/装置,来实现对威胁情报数据的数据泄露风险指数分析。
需要说明的是,上述***架构仅是为了便于理解本申请的精神和原理而示出,本申请的实施方式在此方面不受任何限制。
本申请提供了一种数据泄露风险指数分析方法,目的在于实现:1、大流量数据威胁日志筛选:从骨干网netflow侧自动化筛选高价值情报威胁日志数据,自动化提取攻击对象向攻击资产泄露数据的威胁日志信息;2、数据泄露风险指数转化:可自动化将威胁日志转化成数据泄露风险指数,分析高价值威胁日志在各时间段的数据泄露风险状态,从数据泄露风险角度横向对比不同时间的攻击威胁活动数据失窃状态;3、自动化数据泄露风险预警:对骨干网的高价值攻击数据泄露风险进行自动化预警,及时阻断数据泄露风险持续外溢;4、自动化检测与复盘:可协助对高价值攻击事件进行互联网历史攻击链路复盘和当下攻击发展状态实时检测以及快速评估数据泄露风险。
高价值情报日志采集***实现过程如下:
1、netfow日志采集。采集全骨干网日的netflow日志信息;
2、高价值情报日志筛选,细节如下:
2.1、提取高价值情报库验证后的高价值情报,对netflow日志做情报监控和筛选;
2.2、利用源和目的”双向震荡”模型降噪过滤***/扫描日志,筛选出的高置信情报日志;
3、高价值情报威胁日志分析,细节如下:
3.1、提取威胁日志关联国内受威胁资产列表;
3.2、调用资产管理***定位国内受威胁资产。
高价值木马通信频率采集***实现过程如下:
1、高价值木马沙箱动态分析。沙箱动态分析高价值木马,提取通信日志pcap;
2、关键指标数据提取。提取开始时间(Ts)、结束时间(Te)、通信日志数量(Sum)、数据包大小Size;
3、木马通信频率计算模型:木马通信频率:f=Sum/(Te-Ts)。
本申请中,f为威胁通信频率,Sum为威胁日志数量,Te为结束时间,Ts为开始时间,Td为攻击活动周期,Db为数据泄露风险指数,G为情报价值等级系数,Pdb为高价值数据泄露风险比,t为指数时间计算单位,Dbh为高价值数据泄露风险指数,Ps为攻击对象向攻击资产传输日志数据包大小和,Dbw为高价值数据泄露风险指数。
高价值情报日志采集***筛选出对应高置信威胁日志,输出起始、结束时间,通信日志包数量和,攻击对象向攻击资产通信日志包大小和,高价值攻击对象向攻击资产通信日志包大小和;根据高价值木马通信频率采集***计算出木马通讯频率;根据有效通信数据包大小临界值筛选出高价值日志包数量和。
数据计算:高价值数据泄露风险比,活动周期。
计算模型:
数据泄露风险指数=(情报价值等级系数*攻击对象向攻击资产通信日志包大小和/木马通信频率/指数时间计算单位)开方;
高价值数据泄露风险指数=(情报价值等级系数*(攻击对象向攻击资产通信日志包大小和*高价值数据泄露风险比)/木马通信频率/指数时间计算单位)开方;
数据泄露风险预警值=(情报价值等级系数*(攻击对象向攻击资产通信日志包大小和*高价值数据泄露风险比)/木马通信频率/指数时间计算单位/活动周期)开方。
本申请在威胁日志进行数据泄露风险关键指标提取和威胁日志进行数据泄露风险指数算法模型化两方面具备有益效果。
威胁日志进行数据泄露风险关键指标提取方面:
1、通信数据包分析。按指数时间计算单位统计通信日志包数量和、日志包大小和,按有效通信数据包大小临界值,筛选攻击对象向攻击资产通信日志包大小和,提取日志起始、结束时间,计算威胁活动周期、高价值数据泄露风险比。
2、原始通信时长和通信频率计算。通过计算威胁日志起始时间于结束时间的时间差获取原始通信时长,结合通信数据包数量和计算通信频率。
威胁日志进行数据泄露风险指数算法公式化方面:
1、数据泄露风险指数转化:(情报价值等级系数*攻击对象向攻击资产通信日志包大小和/木马通信频率/指数时间计算单位)开方;
2、高价值数据泄露风险指数转化:(情报价值等级系数*(通信日志包大小和*高价值数据泄露风险比)/木马通信频率/指数时间计算单位)开方;
3、数据泄露风险指数预警转化:(情报价值等级系数*(攻击对象向攻击资产通信日志包大小和*高价值数据泄露风险比)/木马通信频率/指数时间计算单位/活动周期)开方。
本申请适用于构建互联网网络空间威胁狩猎***,包括:针对境外对境内的高价值网络攻击事件,大型攻防演练等行动的风险评估,如APT攻击,“护网行动”;赋能落地到高价值情报狩猎***的数据泄露风险评估模块,实时监测高价值情报数据泄露风险状态,亦可复盘攻击事件历史数据泄露风险情况;执行监管指令,快速复盘和评估重大网络攻击事件中的数据泄露风险态势和实时攻击状态,实现高精准的联防联控目的。
本申请提供新的角度和使用新的数据泄露风险分析模型做风险分析与评估,填充APT攻击画像中数据泄露刻画的“真空地带”;补充针对高价值安全事件的互联网侧多维度安全评估,从国家宏观角度可实现互联网攻击链路复原分析,评估攻击事件的网络数据泄露风险状态,指导后续安全建设方向;从网络安全建设角度评估,集成到高价值情报狩猎***,可填补威胁情报To B市场真空,拥有较大的安全市场需求和紧迫性。
图8为本申请提供的高价值情报日志采集***示意图,包括骨干网路由、高价值威胁情报库、资产管理***、Netflow日志、高价值情报日志筛选/检测模块、高价值情报分析模块和高置信威胁日志。
图9为本申请提供的高价值木马通信频率采集***示意图,包括高价值木马、沙箱、PCAP通信日志、结束时间、开始时间、通信日志数量和木马通信频率。
图10为本申请提供的高价值数据泄露风险指数分析装置示意图,包括对情报价值等级系数、威胁日志数据、木马通信频率、威胁情报IP:Port、有效通信数据包大小临界值进行数据分析,得到结束时间、起始时间、通信日志包数量和、高价值攻击目标向攻击资产通信日志包大小和、攻击目标向攻击资产通信日志包大小和。根据高价值攻击目标向攻击资产通信日志包大小和、攻击目标向攻击资产通信日志包大小和确定高价值数据泄露风险比,根据结束时间、起始时间确定活动周期,根据高价值数据泄露风险比和活动周期确定高价值数据泄露风险指数。
图11为本申请提供的数据泄露风险指数分析装置结构示意图,包括:
第一筛选模块111,用于获取网络通信日志,根据高价值威胁情报对所述网络通信日志进行筛选,得到威胁日志;
第二筛选模块112,用于根据设定时间维度统计分析与所述高价值威胁情报的通信频率,对所述威胁日志进行筛选,得到高置信威胁日志;
确定模块113,用于根据所述高置信威胁日志的包大小和情报价值等级系数,确定数据泄露风险指数。
第二筛选模块112,用于根据设定时间维度统计分析,从所述威胁日志中筛选出与所述高价值威胁情报的通信频率大于预设的第一频率阈值,且端口变化频率小于预设的第二频率阈值的威胁日志作为高置信威胁日志。
确定模块113,用于根据预先确定的威胁通信频率、所述高置信威胁日志的包大小和情报价值等级系数,确定数据泄露风险指数。
确定模块113,用于根据预先确定的威胁通信频率、所述高置信威胁日志的包大小、高置信数据泄露风险比和情报价值等级系数,确定高价值数据泄露风险指数。
确定模块113,还用于判断所述数据泄露风险指数是否大于数据泄露风险指数预警值,如果是,生成数据泄露风险预警信息。
确定模块113,还用于根据预先确定的威胁通信频率、所述高置信威胁日志的包大小、高置信数据泄露风险比、情报价值等级系数和攻击活动周期,确定所述数据泄露风险指数预警值。
确定模块113,还用于预先通过对高价值威胁数据进行动态分析,提取通信日志数量并记录提取开始时间和结束时间;根据所述通信日志数量、提取开始时间和结束时间确定所述威胁通信频率。
本申请还提供了一种电子设备,如图12所示,包括:处理器121、通信接口122、存储器123和通信总线124,其中,处理器121,通信接口122,存储器123通过通信总线124完成相互间的通信;
所述存储器123中存储有计算机程序,当所述程序被所述处理器121执行时,使得所述处理器121执行以上任一方法步骤。
上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口122用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选地,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括中央处理器、网络处理器(NetworkProcessor,NP)等;还可以是数字信号处理器(Digital Signal Processing,DSP)、专用集成电路、现场可编程门陈列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。
本申请还提供了一种计算机存储可读存储介质,所述计算机可读存储介质内存储有可由电子设备执行的计算机程序,当所述程序在所述电子设备上运行时,使得所述电子设备执行时实现以上任一方法步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (10)

1.一种数据泄露风险指数分析方法,其特征在于,所述方法包括:
获取网络通信日志,根据高价值威胁情报对所述网络通信日志进行筛选,得到威胁日志;
根据设定时间维度统计分析与所述高价值威胁情报的通信频率,对所述威胁日志进行筛选,得到高置信威胁日志;
根据所述高置信威胁日志的包大小和情报价值等级系数,确定数据泄露风险指数。
2.如权利要求1所述的方法,其特征在于,所述根据设定时间维度统计分析与所述高价值威胁情报的通信频率,对所述威胁日志进行筛选,得到高置信威胁日志包括:
根据设定时间维度统计分析,从所述威胁日志中筛选出与所述高价值威胁情报的通信频率大于预设的第一频率阈值,且端口变化频率小于预设的第二频率阈值的威胁日志作为高置信威胁日志。
3.如权利要求1所述的方法,其特征在于,根据所述高置信威胁日志的包大小和情报价值等级系数,确定数据泄露风险指数包括:
根据预先确定的威胁通信频率、所述高置信威胁日志的包大小和情报价值等级系数,确定数据泄露风险指数。
4.如权利要求3所述的方法,其特征在于,根据所述高置信威胁日志的包大小和情报价值等级系数,确定数据泄露风险指数包括:
根据预先确定的威胁通信频率、所述高置信威胁日志的包大小、高置信数据泄露风险比和情报价值等级系数,确定高价值数据泄露风险指数。
5.如权利要求1所述的方法,其特征在于,所述方法还包括:
判断所述数据泄露风险指数是否大于数据泄露风险指数预警值,如果是,生成数据泄露风险预警信息。
6.如权利要求5所述的方法,其特征在于,确定所述数据泄露风险指数预警值的过程包括:
根据预先确定的威胁通信频率、所述高置信威胁日志的包大小、高置信数据泄露风险比、情报价值等级系数和攻击活动周期,确定所述数据泄露风险指数预警值。
7.如权利要求3、4或6所述的方法,其特征在于,预先确定威胁通信频率的过程包括:
预先通过对高价值威胁数据进行动态分析,提取通信日志数量并记录提取开始时间和结束时间;
根据所述通信日志数量、提取开始时间和结束时间确定所述威胁通信频率。
8.一种数据泄露风险指数分析装置,其特征在于,所述装置包括:
第一筛选模块,用于获取网络通信日志,根据高价值威胁情报对所述网络通信日志进行筛选,得到威胁日志;
第二筛选模块,用于根据设定时间维度统计分析与所述高价值威胁情报的通信频率,对所述威胁日志进行筛选,得到高置信威胁日志;
确定模块,用于根据所述高置信威胁日志的包大小和情报价值等级系数,确定数据泄露风险指数。
9.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求1-7任一项所述的方法步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-7任一项所述的方法步骤。
CN202311785308.7A 2023-12-22 2023-12-22 一种数据泄露风险指数分析方法、装置、设备及介质 Pending CN117768199A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311785308.7A CN117768199A (zh) 2023-12-22 2023-12-22 一种数据泄露风险指数分析方法、装置、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311785308.7A CN117768199A (zh) 2023-12-22 2023-12-22 一种数据泄露风险指数分析方法、装置、设备及介质

Publications (1)

Publication Number Publication Date
CN117768199A true CN117768199A (zh) 2024-03-26

Family

ID=90310037

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311785308.7A Pending CN117768199A (zh) 2023-12-22 2023-12-22 一种数据泄露风险指数分析方法、装置、设备及介质

Country Status (1)

Country Link
CN (1) CN117768199A (zh)

Similar Documents

Publication Publication Date Title
CN109660539B (zh) 失陷设备识别方法、装置、电子设备及存储介质
Fachkha et al. Internet-scale Probing of CPS: Inference, Characterization and Orchestration Analysis.
CN109829297B (zh) 监控装置、方法及其电脑存储介质
KR101388090B1 (ko) 이벤트 분석에 기반한 사이버 공격 탐지 장치 및 방법
CN105577608B (zh) 网络攻击行为检测方法和装置
CN111274583A (zh) 一种大数据计算机网络安全防护装置及其控制方法
US12010134B2 (en) Systems and methods of adaptively securing network communication channels
EP3053046B1 (en) Network intrusion detection
CN109962891A (zh) 监测云安全的方法、装置、设备和计算机存储介质
Patil et al. Distributed frameworks for detecting distributed denial of service attacks: a comprehensive review, challenges and future directions
Gasior et al. Network covert channels on the android platform
CN113411295A (zh) 基于角色的访问控制态势感知防御方法及***
Sree et al. HADM: detection of HTTP GET flooding attacks by using Analytical hierarchical process and Dempster–Shafer theory with MapReduce
CN114301706B (zh) 基于目标节点中现有威胁的防御方法、装置及***
CN113132316A (zh) 一种Web攻击检测方法、装置、电子设备及存储介质
Sahu et al. Detection of rogue nodes in AMI networks
CN109474623B (zh) 网络安全防护及其参数确定方法、装置及设备、介质
KR101598187B1 (ko) DDoS 공격 차단 방법 및 장치
Repetto Adaptive monitoring, detection, and response for agile digital service chains
Le et al. A threat computation model using a Markov Chain and common vulnerability scoring system and its application to cloud security
Magare et al. Security and privacy issues in smart city: Threats and their countermeasures
CN114205169B (zh) 网络安全防御方法、装置及***
CN116527385A (zh) 视频监控网络的深度安全检测方法、装置、设备及介质
KR20130033161A (ko) 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템
CN117768199A (zh) 一种数据泄露风险指数分析方法、装置、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination