WO2019218875A1

WO2019218875A1 - 单台在网设备风险评估方法及***

Info

Publication number: WO2019218875A1
Application number: PCT/CN2019/085191
Authority: WO
Inventors: 涂大志; 郭景楠; 王新成; 王志
Original assignee: 深圳市联软科技股份有限公司
Priority date: 2018-05-14
Filing date: 2019-04-30
Publication date: 2019-11-21
Also published as: CN108683662A; CN108683662B

Abstract

本发明提供的单台在网设备风险评估方法及***，该方法中，设置多个检查项、以及每个检查项的风险等级；根据检查项对待测单台在网设备进行实时检测，得到检测结果；存储预设的评估时间内得到的检测结果，包括检测结果中出现告警的检查项、该检查项的风险等级、以及待测单台在网设备出现告警的次数；根据预设的评估模型对存储的检测结果进行分析，得到设备行为损失值；根据设备行为损失值计算待测单台在网设备的风险分值。该方法抛弃现有技术中取所有检查项中的最高告警分值的思路，定时对网络设备进行检测，对某时间段内所有的检测结果进行统计，能够加入告警次数进行分析，评估方法更有效。

Description

单台在网设备风险评估方法及***

技术领域

本发明属于互联网技术领域，具体涉及单台在网设备风险评估方法及***。

背景技术

现有技术中，单台在网设备风险评价主要有以下几种方式：

1.设定检测规则，设定多条检测项，根据检测项对网络设备进行检测，通过每条检测项的威胁程度人为确定风险等级，作为网络设备风险衡量指标；

2.设定设备检查项目，所有检查项目设定分值，单一检测项的告警无法直观的展现设备风险总体状况。

以上两种方法的评价粒度太粗疏，而且一般网络风险评价均是在某个时间段内的风险状态，但是设备可能在某时段内，若干危险检测会频繁告警，但风险等级或扣分相同，无法将告警次数合理地加入考察，无法综合考虑多种告警的结果，于是无法对网络安全管理员提供有效的参考。

发明内容

针对现有技术中的缺陷，本发明提供单台在网设备风险评估方法及***，能够加入告警次数进行分析，能够综合考虑多种告警的类型，评估方法更有效。

第一方面，一种单台在网设备风险评估方法，包括以下步骤：

设置多个检查项、以及每个检查项的风险等级；

根据检查项对待测单台在网设备进行实时检测，得到检测结果；

存储预设的评估时间内得到的检测结果，包括检测结果中出现告警的检查项、该检查项的风险等级、以及待测单台在网设备出现告警的次数；

根据预设的评估模型对存储的检测结果进行分析，得到设备行为损失值；

根据设备行为损失值计算待测单台在网设备的风险分值。

进一步地，所述根据检查项对待测单台在网设备进行实时检测，得到检测结果具体包括；

根据检查项对待测单台在网设备进行实时检测；

对出现告警的检查项的风险等级进行评分，得到告警分值；

记录告警分值；

所述检测结果包括所述告警分值。

进一步地，所述根据预设的评估模型对所有的检测结果进行分析，得到设备行为损失值具体包括：

设置分析时间；

当分析时间到达时，通过下式计算设备行为损失值：

behavior_loss＝(max_level+sum_level×0.1)×max_level×tanh(check_count)；

其中，behavior_loss为待测单台在网设备的设备行为损失值，max_level为待测单台在网设备的检测结果中最高的告警分值，sum_level为待测单台在网设备的检测结果中所有告警分值之和，check_count为待测单台在网设备出现告警的累计次数，

进一步地，所述根据设备行为损失值计算待测单台在网设备的风险分值具体包括：

设置满分分值；

采用扣分法，在满分分值的基础上，减去待测单台在网设备的设备行为损失值，得到所述风险分值。

第二方面，一种单台在网设备风险评估***，包括：

设置单元：用于设置多个检查项、以及每个检查项的风险等级；

检测单元：用于根据检查项对待测单台在网设备进行实时检测，得到检测结果；

统计单元：用于存储预设的评估时间内得到的检测结果，包括检测结果中出现告警的检查项、该检查项的风险等级、以及待测单台在网设备出现告警的次数；

评估单元：用于根据预设的评估模型对存储的检测结果进行分析，得到设备行为损失值；还用于根据设备行为损失值计算待测单台在网设备的风险分值。

根据检查项对待测单台在网设备进行实时检测；

对出现告警的检查项的风险等级进行评分，得到告警分值；

记录告警分值；

所述检测结果包括所述告警分值。

设置分析时间；

当分析时间到达时，通过下式计算设备行为损失值：

behavior_loss＝(max_level+sum_level×0.1)×max_level×tanh(check_count)；

设置满分分值；

由上述技术方案可知，本发明提供的单台在网设备风险评估方法及***，抛弃现有技术中取所有检查项中的最高告警分值的思路，定时对网络设备进行检测，对某时间段内所有的检测结果进行统计，能够加入告警次数进行分析，评估方法更有效。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中，类似的元件或部分一般由类似的附图标记标识。附图中，各元件或部分并不一定按照实际的比例绘制。

图1为实施例一提供的评估方法的流程图。

图2为实施例四提供的评估***的模块框图。

具体实施方式

下面将结合附图对本发明技术方案的实施例进行详细的描述。以下实施例仅用于更加清楚地说明本发明的技术方案，因此只作为示例，而不能以此来限制本发明的保护范围。需要注意的是，除非另有说明，本申请使用的技术术语或者科学术语应当为本发明所属领域技术人员所理解的通常意义。

应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。

如在本说明书和所附权利要求书中所使用的那样，术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地，短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。

实施例一：

参见图1，一种单台在网设备风险评估方法，包括以下步骤：

S1:设置多个检查项、以及每个检查项的风险等级；

具体地，检查项出现告警包括“不合规行为”、“异常行为”、“危险行为”三个方面。例如如果检测到网络设备的IP/MAC地址变化、设备名发生变化、操作***发生变化等，则认为出现异常行为。不同的检查项根据其威胁程度定义风险等级，对于威胁程度低的检查项，其风险等级低。对于威胁程度高的检查项，其风险等级高。单台在网设备包含PC设备、网络设备、移动设备、IoT设备、ICS设备等。

S2:根据检查项对待测单台在网设备进行实时检测，得到检测结果；

具体地，待测单台在网设备在进行检测时，需要对所有的检查项进行检测。检测结果中包含了所有合规行为、不合规行为、异常行为、危险行为的检查项，还记录了告警行为的检查项的风险等级。在根据检查项进行检测时，是实时进行检测，这样能实时检测网络设备的安全性。

S3:存储预设的评估时间内得到的检测结果，包括检测结果中出现告警的检查项、该检查项的风险等级、以及待测单台在网设备出现告警的次数；

具体地，统计告警的检查项，方便后续进行风险评估。单台在网设备出现告警的次数即所有检测报告中出现告警的检查项的累计数量。

S4:根据预设的评估模型对存储的检测结果进行分析，得到设备行为损失值；

具体地，可以定时对检测结果进行分析。例如：例如设置分析时间，分析时间可以为一个小时、两个小时分析一次，对待测单台在网设备的风险状态进行更新。如果评估时间设置为24小时，即表示对当天待测单台在网设备的风险状态进行更新。也就是说待测单台在网设备一直根据检查项进行检测，如果一个小时分析一次，则获取待测单台在网设备当天获得的检测结果进行分析，并更新待测单台在网设备的风险状态。这样保证了待测单台在网设备的风险状态是实时更新的。

S5:根据设备行为损失值计算待测单台在网设备的风险分值。

该方法抛弃现有技术中取所有检查项中的最高告警分值的思路，定时对网络设备进行检测，对某时间段内所有的检测结果进行统计，能够加入告警次数进行分析，评估方法更有效。

实施例二：

实施例二提供的方法，在实施例一的基础上，增加以下内容：

所述根据检查项对待测单台在网设备进行检测，得到检测结果具体包括；

根据检查项对待测单台在网设备进行实时检测；

对出现告警的检查项的风险等级进行评分，得到告警分值；

记录告警分值；

所述检测结果包括所述告警分值。

具体地，风险等级通过评分体现更加直观，风险等级越高，分值越高。例如：设备在非工作时间接入的风险等级为4分，安装了违规的企业软件的风险等级为6分。当检查项A出现1次告警时，风险等级是4，如果检查项A出现2次告警时，风险等级升级变成5。

本发明实施例所提供的方法，为简要描述，该实施例部分未提及之处，可参考实施例一中相应内容。

实施例三：

实施例三提供的方法，在实施例二的基础上，增加以下内容：

所述根据预设的评估模型对所有的检测结果进行分析，得到设备行为损失值具体包括：

设置分析时间；

当分析时间到达时，通过下式计算设备行为损失值：

behavior_loss＝(max_level+sum_level×0.1)×max_level×tanh(check_count)；

具体地，由于网络设备在客户现场部署后，随着部署时间的增加，其检测项数量越来越大。而在建立评估模型时，不能估计部署后网络设备的检查项数量上限。所以，该方法中双曲正切模型完全不受告警次数上限对评估模型健壮性的影响。评估模型得到的结果始终为正数，介于[0，100]。通过上述公式得到的计算设备行为损失值能够随着该检查项出现告警的次数增大而增大。即如果待测单台在网设备出现告警的次数越多，其风险等级越高。

在分析时，将评估时间内的所有检测结果作为评估模型的输入。例如：如果分析时间到达时，待测单台在网设备有3份检测结果中，出现告警的检查项的次数分别为5、7、4。3份检测结果中；最高的风险等级的分值为6；3份检测结果中，出现告警的检查项的风险等级的分值之和分别为25,50,22。则max_level＝6，sum_level＝25+50+22＝97，check_count＝5+7+4＝16。

可选地，所述根据设备行为损失值计算待测单台在网设备的风险分值具体包括：

设置满分分值；

具体地，满分分值可以设置为100分，风险分值等于100减去设备行为损失值。设备行为损失值越大，风险分值越低，网络设备的风险越高。反之，设备行为损失值越小，风险分值越高，网络设备的风险越低。网络设备最安全的情况为100分，最危险的情况为0分。分值等级划分及定性描述由用户个性化配置。

本发明实施例所提供的方法，为简要描述，该实施例部分未提及之处，可参考实施例二中相应内容。

实施例四：

参见图2，实施例四提供了一种单台在网设备风险评估***，包括：

根据检查项对待测单台在网设备进行实时检测；

对出现告警的检查项的风险等级进行评分，得到告警分值；

记录告警分值；

所述检测结果包括所述告警分值。

设置分析时间；

当分析时间到达时，通过下式计算设备行为损失值：

behavior_loss＝(max_level+sum_level×0.1)×max_level×tanh(check_count)；

设置满分分值；

本发明实施例所提供的装置，其实现原理及产生的技术效果和前述方法实施例相同，为简要描述，装置实施例部分未提及之处，可参考前述方法实施例中相应内容。

在本申请所提供的几个实施例中，应该理解到，所揭露的***和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个***，或一些特征可以忽略，或不执行。另外，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接，也可以是电的，机械的或其它的形式连接。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围，其均应涵盖在本发明的权利要求和说明书的范围当中。

Claims

一种单台在网设备风险评估方法，其特征在于，包括以下步骤：

设置多个检查项、以及每个检查项的风险等级；

根据检查项对待测单台在网设备进行实时检测，得到检测结果；

存储预设的评估时间内得到的检测结果，包括检测结果中出现告警的检查项、该检查项的风险等级、以及待测单台在网设备出现告警的次数；

根据预设的评估模型对存储的检测结果进行分析，得到设备行为损失值；

根据设备行为损失值计算待测单台在网设备的风险分值。
根据权利要求1所述单台在网设备风险评估方法，其特征在于，

所述根据检查项对待测单台在网设备进行实时检测，得到检测结果具体包括；

根据检查项对待测单台在网设备进行实时检测；

对出现告警的检查项的风险等级进行评分，得到告警分值；

记录告警分值；

所述检测结果包括所述告警分值。
根据权利要求2所述单台在网设备风险评估方法，其特征在于，

所述根据预设的评估模型对所有的检测结果进行分析，得到设备行为损失值具体包括：

设置分析时间；

当分析时间到达时，通过下式计算设备行为损失值：

behavior_loss＝(max_level+sum_level×0.1)×max_level×tanh(check_count)；

其中，behavior_loss为待测单台在网设备的设备行为损失值，max_level为待测单台在网设备的检测结果中最高的告警分值，sum_level为待测单台在网设备的检测结果中所有告警分值之和，check_count为待测单台在网设备出现告警的累计次数，
根据权利要求1-3中任一权利要求所述单台在网设备风险评估方法，其特征在于，

所述根据设备行为损失值计算待测单台在网设备的风险分值具体包括：

设置满分分值；

采用扣分法，在满分分值的基础上，减去待测单台在网设备的设备行为损失值，得到所述风险分值。
一种单台在网设备风险评估***，其特征在于，包括：

设置单元：用于设置多个检查项、以及每个检查项的风险等级；

检测单元：用于根据检查项对待测单台在网设备进行实时检测，得到检测结果；

统计单元：用于存储预设的评估时间内得到的检测结果，包括检测结果中出现告警的检查项、该检查项的风险等级、以及待测单台在网设备出现告警的次数；

评估单元：用于根据预设的评估模型对存储的检测结果进行分析，得到设备行为损失值；还用于根据设备行为损失值计算待测单台在网设备的风险分值。
根据权利要求5所述单台在网设备风险评估***，其特征在于，

所述根据检查项对待测单台在网设备进行实时检测，得到检测结果具体包括；

根据检查项对待测单台在网设备进行实时检测；

对出现告警的检查项的风险等级进行评分，得到告警分值；

记录告警分值；

所述检测结果包括所述告警分值。
根据权利要求6所述单台在网设备风险评估***，其特征在于，

所述根据预设的评估模型对所有的检测结果进行分析，得到设备行为损失值具体包括：

设置分析时间；

当分析时间到达时，通过下式计算设备行为损失值：

behavior_loss＝(max_level+sum_level×0.1)×max_level×tanh(check_count)；

其中，behavior_loss为待测单台在网设备的设备行为损失值，max_level为待测单台在网设备的检测结果中最高的告警分值，sum_level为待测单台在网设备的检测结果中所有告警分值之和，check_count为待测单台在网设备出现告警的累计次数，
根据权利要求5-7中任一权利要求所述单台在网设备风险评估***，其特征在于，

所述根据设备行为损失值计算待测单台在网设备的风险分值具体包括：

设置满分分值；

采用扣分法，在满分分值的基础上，减去待测单台在网设备的设备行为损失值，得到所述风险分值。