CN103078852A - 一种资产状态判别方法及装置 - Google Patents
一种资产状态判别方法及装置 Download PDFInfo
- Publication number
- CN103078852A CN103078852A CN2012105876060A CN201210587606A CN103078852A CN 103078852 A CN103078852 A CN 103078852A CN 2012105876060 A CN2012105876060 A CN 2012105876060A CN 201210587606 A CN201210587606 A CN 201210587606A CN 103078852 A CN103078852 A CN 103078852A
- Authority
- CN
- China
- Prior art keywords
- assets
- state
- coefficient
- vector
- asset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种资产状态判别方法及装置,该方法包括:为各资产配置初始状态向量,并获取各资产的资产记录信息;针对任一资产,若确定该资产的资产记录信息中存在资产登记记录信息和资产扫描记录信息,则将该资产的初始状态向量中与资产的恶意接入状态、违规接入状态、疑似状态对应的状态系数值调整为零,并对该资产依次进行存活度判别、伤害度判别及受控度判别,以及根据得到的存活概率、伤害概率及受控概率依次对该资产的当前状态系数值进行修正,并根据修正后的各状态系数值,确定该资产的当前状态。通过本发明所述方案,能够根据修正后的与资产的各潜在状态一一对应的状态系数值,确定各资产的当前状态,提高了资产状态判别的准确性。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种资产状态判别方法及装置。
背景技术
随着网络技术的不断发展及信息化进程的日渐深入,计算机网络已成为企业等大型系统高效运营的重要支撑手段,稳定、高效、安全的网络环境逐渐成为企业等各大型系统的重要需求。与此同时,随着各种网络攻击技术的先进化与普及化,企业等大型系统面临着随时被攻击的危险,经常遭受不同程度的入侵和破坏,严重干扰了系统网络的正常运行。为了应对不断变化的各类威胁,企业等大型系统开始逐步引入防病毒、防火墙、IDS(Intrusion DetectionSystems,入侵检测系统)、VPN(Virtual Private Network,虚拟专用网络)等各类安全防御产品和技术。同时,为了在这些安全产品间建立有效地协作,以避免安全“孤岛”,SOC(SecurityOperations Center,安全运营中心)应运而生,所述SOC为一集中安全管理系统,其以资产为核心,以安全事件管理为关键流程,采用安全域划分的思想,建立一套实时的资产风险模型,协助系统管理员进行事件分析、风险分析、预警管理以及应急响应处理等。
具体地,所述SOC可以采用完全基于先验知识的关联方法、部分先验知识的关联方法以及不基于先验知识的关联方法等关联方法来建立安全产品之间的协作,其中,所述完全基于先验知识的关联方法可以为开放源码的报警关联和风险评估软件OSSIM(Open Source Security Information Management,开源安全信息管理系统)等,所述部分先验知识的关联方法可以为Hyper-Alert(综合报警)检测模型等,所述不基于先验知识的关联方法可以为SRI国际组织开发的EMERALD等。
但是,无论SOC采用何种关联方法,资产管理均是SOC正常运行的基石,各类安全信息以此为基础进行汇总和分析。一般而言,SOC中的资产信息通常可以有以下来源:一是资产管理人员直接提供的资产信息,如通过手工录入或者从其他资产管理软件中导入的资产信息;一是漏洞扫描设备产生的报告信息,包括资产IP(网络协议)地址、系统版本、开启服务等,但是漏洞扫描设备所产生的报告信息并不能够包括资产的管理类信息,如责任人、用途、物理位置等;另外一种来源是各类安全防护设备产生的报警和日志信息,如IDS、防火墙、防病毒软件、内网监控系统等产生的报警和日志信息等,其主要体现威胁事件。通常情况下,上述多种来源的资产信息是彼此符合、相互印证的,但是,在某些情况下仍会产生资产信息不一致的问题,如人工登记资产信息时发生错误或是资产信息更新不及时,分配的地址、用途被擅自修改等;或者,设备由于自身原因或遭到攻击无法正常运行;再或,进入系统内部的人员非恶意或是恶意地接入自带设备;又或,出现针对完整网段的蠕虫传播、自动化扫描或攻击从而产生大量没有真实目标的攻击报警等。
由于SOC的一切汇总和分析工作都是以资产为基础进行的,因此,当出现上述资产信息不一致问题时,会导致所确定的各资产的状态并不准确,进而会显著影响SOC汇总和分析结果的准确度。
发明内容
本发明实施例提供了一种资产状态判别方法及装置,用以解决现有技术中存在的资产信息不一致所导致的所确定的资产状态并不准确的问题。
一种资产状态判别方法,包括:
预先为系统中的各资产配置包括多个状态分向量的初始状态向量,其中,各状态分向量分别与资产的各潜在状态一一对应,且各状态分向量具备相同的初始状态系数值,所述资产为系统中的物理设备资产或虚拟设备资产;
获取各资产的资产记录信息,并针对任一资产,判断该资产的资产记录信息中是否存在资产登记记录信息;
若是,则将该资产的初始状态向量中与资产的恶意接入状态、违规接入状态、疑似状态分别对应的状态分向量的状态系数值进行乘零处理,并判断该资产的资产记录信息中是否存在资产扫描记录信息,若是,则保持该资产当前状态向量中的各状态分向量的状态系数值不变,并对该资产依次进行存活度判别、伤害度判别以及受控度判别,以及,
根据得到的该资产的存活概率、伤害概率以及受控概率依次对该资产的当前状态向量中的各状态分向量的状态系数值进行修正,并根据修正后的各状态系数值,确定该资产的当前状态。
一种资产状态判别装置,包括:
初始状态设置模块,用于预先为系统中的各资产配置包括多个状态分向量的初始状态向量,其中,各状态分向量分别与资产的各潜在状态一一对应,且各状态分向量具备相同的初始状态系数值,所述资产为系统中的物理设备资产或虚拟设备资产;
资产记录确定模块,用于获取各资产的资产记录信息;
状态系数修正模块,用于针对任一资产,判断该资产的资产记录信息中是否存在资产登记记录信息;若是,则将该资产的初始状态向量中与资产的恶意接入状态、违规接入状态、疑似状态分别对应的状态分向量的状态系数值进行乘零处理,并判断该资产的资产记录信息中是否存在资产扫描记录信息,若是,则保持该资产当前状态向量中的各状态分向量的状态系数值不变,并对该资产依次进行存活度判别、伤害度判别以及受控度判别,以及,根据得到的该资产的存活概率、伤害概率以及受控概率依次对该资产的当前状态向量中的各状态分向量的状态系数值进行修正;
状态类别判别模块,用于根据修正后的各状态系数值,确定该资产的当前状态。
本发明有益效果如下:
本发明实施例提供了一种资产状态判别方法及装置,所述方法包括:确定各资产的资产记录信息;针对任一资产,若确定该资产的资产记录信息中存在资产登记记录信息和资产扫描记录信息,则将预先配置的该资产的初始状态向量中与资产的恶意接入状态、违规接入状态、疑似状态分别对应的状态分向量的状态系数值调整为零,并对该资产依次进行存活度判别、伤害度判别以及受控度判别,以及,根据得到的存活概率、伤害概率以及受控概率依次对该资产的当前状态向量中的各状态分向量的状态系数值进行修正,并根据修正后的各状态系数值,确定该资产的当前状态。通过本发明所述方案,能够根据修正后的与资产的各潜在状态一一对应的状态系数值的高低,确定各资产的当前状态,提高了资产状态判别的准确性。
附图说明
图1所示为本发明实施例一中所述资产状态判别方法的流程示意图;
图2所示为各资产的潜在状态的分类示意图;
图3所示为本发明实施例二中所述资产状态判别装置的结构示意图。
具体实施方式
下面结合说明书附图对本发明实施例作进一步说明,但本发明不局限于下面的实施例。
实施例一:
如图1所示,其为本发明实施例一中所述资产状态判别方法的流程示意图,所述方法包括以下步骤:
步骤101:预先为系统中的各资产配置包括多个状态分向量的初始状态向量,其中,各状态分向量分别与资产的各潜在状态一一对应,且各状态分向量具备相同的初始状态系数值,所述资产为系统中的物理设备资产或虚拟设备资产。
具体地,在本发明各实施例中,所述资产可以为系统中的以IP地址为单位的服务器等主机设备或虚拟主机设备,本发明实施例对此不作任何限定。
具体地,所述资产的潜在状态包括正常状态、故障状态、登记错误状态、恶意接入状态、违规接入状态以及疑似状态;也就是说,特定时刻的某一资产的当前状态可以为正常状态(可将其表示为S1)、故障状态(可将其表示为S2)、登记错误状态(可将其表示为S3)、恶意接入状态(可将其表示为S4)、违规接入状态(可将其表示为S5)以及疑似状态(可将其表示为S6)等六种中的任意一种;具体地,所述资产的潜在状态的分类示意图可以如图2所示。
其中,所述资产的当前状态为正常状态是指:该资产为运行良好且记录正确的合法设备;
所述资产的当前状态为故障状态是指:该资产为记录正确的合法设备,但由于自身原因或遭到外部攻击而处于下线状态或处于受控制状态;
所述资产的当前状态为登记错误状态时是指:该资产为合法设备,但由于记录错误或资产本身的设置变更,导致记录与该资产的实际情况并不匹配;
所述资产的当前状态为恶意接入状态时是指:该资产为非法接入的设备,且涉及恶意行为;
所述资产的当前状态为违规接入状态是指:该资产为非法接入的设备,且不涉及恶意行为;
所述资产的当前状态为疑似状态是指:难以找到该资产确实的存在记录,可能曾由于扫描或自动攻击而产生过针对该资产地址的报警事件。
具体地,在本步骤101中,预先为系统中的各资产配置的包括多个状态分向量的初始状态向量可以表示为:
V=[V1,V2,V3,V4,V5,V6];
其中,各状态分向量的初始状态系数值可以设置为1或其他任意数值,本发明实施例对此不作任何限定;具体地,在本发明各实施例中,可以假定所设置的初始状态系数值为1,即各资产的初始状态向量可以表示为:
V=[1,1,1,1,1,1]。
具体地,在本发明各实施例中,可以假设各状态分向量V1、V2、V3、V4、V5、V6分别与资产的正常状态、故障状态、登记错误状态、恶意接入状态、违规接入状态以及疑似状态一一对应,本发明实施例对此不作任何限定。
步骤102:获取系统中各资产的资产记录信息。
其中,所述资产记录信息包括以下信息中的一种或多种:资产登记记录信息、资产扫描记录信息以及资产事件记录信息。
具体地,所述资产登记记录信息是指采用人工方式录入或从其他资产管理软件中导入的资产信息;所述资产扫描记录信息是指漏洞扫描设备产生的报告信息;所述资产事件记录信息是指各类安全防护设备所产生的报警和日志信息。
需要说明的是,步骤101和步骤102是在进行资产状态判别之前所进行的资产初始状态向量配置以及资产记录信息合并的步骤,并不是每次进行资产状态判别时必须执行的步骤,在执行完步骤101和步骤102后,可以多次执行以下资产状态判别步骤。
步骤103:针对任一资产,判断该资产的资产记录信息中是否存在资产登记记录信息,若是,则执行步骤104,否则,则执行步骤105。
步骤104:将预先配置的该资产的初始状态向量中与资产的恶意接入状态、违规接入状态、疑似状态分别对应的状态分向量的状态系数值进行乘零处理,并跳转至步骤1061。
具体地,如图2所示,对于存在资产登记记录信息的资产,可以确认其不会属于非法接入状态,即不会属于恶意接入状态、违规接入状态以及疑似状态,因此,可以在保持该资产的初始状态向量中的与资产的正常状态、故障状态以及登记错误状态分别对应的状态分向量的状态系数值不变的前提下,将预先配置的该资产的初始状态向量中与资产的恶意接入状态、违规接入状态、疑似状态分别对应的状态分向量的状态系数值调整为零,即对该资产可能的状态进行状态过滤;具体地,以资产的初始状态向量为V=[1,1,1,1,1,1]为例,调整后的该资产的当前状态向量可以表示为:
V=[1,1,1,0,0,0]。
步骤105:将预先配置的该资产的初始状态向量中与资产的正常状态、故障状态分别对应的状态分向量的状态系数值进行乘零处理,并跳转至步骤1062。
具体地,如图2所示,对于不存在资产登记记录信息的资产,可以确认其不会属于正常状态以及故障状态,因此,可以在保持该资产的初始状态向量中的与资产的登记错误状态、恶意接入状态、违规接入状态以及疑似状态分别对应的状态分向量的状态系数值不变的前提下,将预先配置的该资产的初始状态向量中与资产的正常状态、故障状态分别对应的状态分向量的状态系数值调整为零,即对该资产可能的状态进行状态过滤;具体地,以资产的初始状态向量为V=[1,1,1,1,1,1]为例,调整后的该资产的当前状态向量可以表示为:
V=[0,0,1,1,1,1]。
步骤1061:判断该资产的资产记录信息中是否存在资产扫描记录信息,若是,则保持该资产当前状态向量中的各状态分向量的状态系数值不变,并执行步骤1071,否则,则执行步骤1081。
步骤1071:对该资产进行存活度判别,并根据得到的存活概率对该资产的当前状态向量中的各状态分向量的状态系数值进行修正,并跳转至步骤110。
具体地,可以通过以下公式来对该资产进行存活度判别:
其中,P1为该资产的存活概率,n为该资产经历过的扫描次数,所述n为正整数,t0为当前时间,且每次扫描日期从近及远分别记为t1、t2、…、tn,相应地,扫描中该资产是否存活记为r1、r2、…、rn,且值为1表示该资产存活、为0表示该资产未存活;以及,所述k为基准值,表示若该资产仅在k日前经过扫描且当时存活,则其对应的存活概率为50%,所述k为大于0的任意数值。
也就是说,历史记录中该资产存活的次数越多、距当前时间越近,则该资产当前存活的可能性越大。
进一步地,在本步骤中,根据得到的存活概率对该资产的当前状态向量中的各状态分向量的状态系数值进行修正,可以包括:
将该资产的当前状态向量中与资产的正常状态、故障状态、登记错误状态、恶意接入状态、违规接入状态、疑似状态分别对应的各状态分向量的状态系数值与P1、1-P1、1-P1、0、0、0一一对应相乘,得到修正后的各状态系数值。
具体地,以该资产的当前状态向量为V=[1,1,1,0,0,0]为例,在本步骤中,修正后的该资产的当前状态向量可以表示为:
V=[P1,1-P1,1-P1,0,0,0]。
步骤1081:将该资产的当前状态向量中与资产的正常状态、违规接入状态分别对应的状态分向量的状态系数值进行乘零处理,并跳转至步骤109。
具体地,在本步骤1081中,可以确定该资产的资产记录信息中存在资产登记记录信息但不存在资产扫描记录信息,因此,可以确定该资产不会属于正常状态以及违规接入状态,继而可以在保持该资产的当前状态向量中的与资产的故障状态、登记错误状态、恶意接入状态以及疑似状态分别对应的状态分向量的状态系数值不变的前提下,将该资产的当前状态向量中与资产的正常状态、违规接入状态分别对应的状态分向量的状态系数值调整为零,即对该资产可能的状态进行状态过滤。
具体地,以该资产的当前状态向量为V=[1,1,1,0,0,0]为例,在本步骤中,修正后的该资产的当前状态向量可以表示为:
V=[0,1,1,0,0,0]。
步骤109:对该资产进行交叉匹配,并根据得到的交叉概率对该资产的当前状态向量中的各状态分向量的状态系数值进行修正,并跳转至步骤110。
具体地,对资产进行交叉匹配,可以包括:
根据系统中的各资产的资产登记记录信息以及资产扫描记录信息,确定存在于资产登记记录信息中但不存在于最后一次资产扫描所形成的资产扫描记录信息中的各资产,以及存在于最后一次资产扫描所形成的资产扫描记录信息中但不存在于资产登记记录信息中的各资产;
从存在于资产登记记录信息中但不存在于最后一次资产扫描所形成的资产扫描记录信息中的各资产,以及存在于最后一次资产扫描所形成的资产扫描记录信息中但不存在于资产登记记录信息中的各资产中分别选取一个资产,并按照以下公式对选取到的该两个资产进行交叉匹配:
其中,Pm为选取到的该两个资产的交叉概率,n为各资产的关键属性个数(所述关键属性可以为资产的IP地址、所属网络、系统类型、系统版本等,本发明实施例对此不作任何限定),r1、r2、…、rn分别为资产的各关键属性的权重(各关键属性的权重需要根据实际情况进行设定,本发明实施例对此也不作任何限定);mi为比对结果,相同为1,不同为0;以及,所述m为基准数值,表示允许资产平均存在m项关键属性偏差,其中,所述m、n为正整数,n>2m。
进一步地,根据得到的交叉概率对该资产的当前状态向量中的各状态分向量的状态系数值进行修正,具体可以包括:
将该资产的当前状态向量中与资产的正常状态、故障状态、登记错误状态、恶意接入状态、违规接入状态、疑似状态分别对应的各状态分向量的状态系数值与1-Pm、1-Pm、Pm、1-Pm、1-Pm、1-Pm一一对应相乘,得到修正后的各状态系数值。
具体地,以该资产的当前状态向量为V=[0,1,1,0,0,0]为例,在本步骤中,修正后的该资产的当前状态向量可以表示为:
V=[0,1-Pm,Pm,0,0,0]。
步骤1062:判断该资产的资产记录信息中是否存在资产扫描记录信息,若是,则保持该资产当前状态向量中的各状态分向量的状态系数值不变,并执行步骤1072,否则,则执行步骤1082。
步骤1072:对该资产进行存活度判别,并根据得到的存活概率对该资产的当前状态向量中的各状态分向量的状态系数值进行修正,并跳转至步骤109。
具体地,可以通过以下公式来对该资产进行存活度判别:
其中,P1为该资产的存活概率,n为该资产经历过的扫描次数,所述n为正整数,t0为当前时间,且每次扫描日期从近及远分别记为t1、t2、…、tn,相应地,扫描中该资产是否存活记为r1、r2、…、rn,且值为1表示该资产存活、为0表示该资产未存活;以及,所述k为基准值,表示若该资产仅在k日前经过扫描且当时存活,则其对应的存活概率为50%,所述k为大于0的任意数值。
进一步地,在本步骤中,根据得到的存活概率对该资产的当前状态向量中的各状态分向量的状态系数值进行修正,可以包括:
将该资产的当前状态向量中与资产的正常状态、故障状态、登记错误状态、恶意接入状态、违规接入状态、疑似状态分别对应的各状态分向量的状态系数值与0、0、P1、P1、P1、1-P1一一对应相乘,得到修正后的各状态系数值。
具体地,以资产的当前状态向量为V=[0,0,1,1,1,1]为例,在本步骤中,调整后的该资产的当前状态向量可以表示为:
V=[0,0,P1,P1,P1,1-P1]。
步骤1082:将该资产的当前状态向量中与资产的正常状态、违规接入状态分别对应的状态分向量的状态系数值调整为零,并跳转至步骤110。
具体地,在本步骤1082中,可以确定该资产的资产记录信息中存在资产登记记录信息但不存在资产扫描记录信息,因此,可以确定该资产不会属于正常状态以及违规接入状态,继而可以在保持该资产的当前状态向量中的与资产的故障状态、登记错误状态、恶意接入状态以及疑似状态分别对应的状态分向量的状态系数值不变的前提下,将该资产的当前状态向量中与资产的正常状态、违规接入状态分别对应的状态分向量的状态系数值调整为零,即对该资产可能的状态进行状态过滤。
具体地,以资产的当前状态向量为V=[0,0,1,1,1,1]为例,在本步骤中,调整后的该资产的当前状态向量可以表示为:
V=[0,0,1,1,0,1]。
步骤110:对该资产进行伤害度判别,并根据得到的伤害概率对该资产的当前状态向量中的各状态分向量的状态系数值进行修正。
具体地,可以通过以下公式来对该资产进行伤害度判别:
其中,P2为该资产的伤害概率,n为该资产经历过的事件攻击次数,所述n为正整数,t0为当前时间,且每次事件时间按从近及远分别记为t1、t2、…、tn,各事件的严重程度分别记为s1、s2、…、sn;以及,所述k、T为基准数值,表示若该资产在时间T之前经历严重程度为k的事件攻击,则其对应的伤害概率为50%,所述k、T为大于0的任意数值。
也就是说,该资产受到的攻击越多、程度越严重、距离当前时间越近,则该资产对应的伤害度也越大。
进一步地,根据得到的伤害概率对该资产的当前状态向量中的各状态分向量的状态系数值进行修正,具体包括:
将该资产的当前状态向量中与资产的正常状态、故障状态、登记错误状态、恶意接入状态、违规接入状态、疑似状态分别对应的各状态分向量的状态系数值与1-P2、P2、1-P2、1-P2、1-P2、1-P2一一对应相乘,得到修正后的各状态系数值。
具体地,以该资产的当前状态向量为V=[P1,1-P1,1-P1,0,0,0]为例,在本步骤107中,修正后的该资产的当前状态向量可以表示为:
V=[P1(1-P2),(1-P1)P2,(1-P1)(1-P2),0,0,0]。
步骤111:对该资产进行受控度判别,并根据得到的受控概率对该资产的当前状态向量中的各状态分向量的状态系数值进行修正。
具体地,可以通过以下公式来对该资产进行受控度判别:
其中,P3为该资产的受控概率,n为该资产发起的事件攻击次数,所述n为正整数,t0为当前时间,且每次事件时间按从近及远分别记为t1、t2、…、tn,各事件的严重程度分别记为s1、s2、…、sn;以及,所述k、T为基准数值,表示若该资产在时间T之前发起严重程度为k的事件攻击,则其对应的受控概率为50%,所述k、T为大于0的任意数值。
也就是说,该资产发起的攻击越多、程度越严重、距当前时间越近,则该资产的受控度也越高。
进一步地,根据得到的受控概率对该资产的当前状态向量中的各状态分向量的状态系数值进行修正,具体包括:
将该资产的当前状态向量中与资产的正常状态、故障状态、登记错误状态、恶意接入状态、违规接入状态、疑似状态分别对应的各状态分向量的状态系数值与1-P3、1-P3、1-P3、P3、1-P3、1-P3一一对应相乘,得到修正后的各状态系数值。
具体地,以该资产的当前状态向量为V=[P1(1-P2),(1-P1)P2,(1-P1)(1-P2),0,0,0]为例,在本步骤108中,修正后的该资产的当前状态向量可以表示为:
V=[P1(1-P2)(1-P3),(1-P1)P2(1-P3),(1-P1)(1-P2)(1-P3),0,0,0]。
步骤112:根据修正后的各状态系数值,确定该资产的当前状态。
具体地,在本步骤中,根据修正后的各状态系数值,确定该资产的当前状态,可以包括:
根据修正后的各状态系数值,按照以下公式确定与该资产的当前状态向量中的各状态分向量的状态系数值一一对应的概率系数值,并根据确定的各概率系数值的高低,确定该资产的当前状态:
其中,Vi为状态系数值,Pi为概率系数值。
例如,将对应的概率系数值最高的状态分向量所对应的潜在状态作为该资产的当前状态。
或者,还可以直接根据修正后的各状态系数值的高低,确定该资产的当前状态;例如,将具备的状态系数值最高的状态分向量所对应的潜在状态作为该资产的当前状态。
本发明实施例一提供了一种资产状态判别方法,所述方法包括:针对系统中的任一资产,若确定该资产的资产记录信息中存在资产登记记录信息和资产扫描记录信息,则将预先配置的该资产的初始状态向量中与资产的恶意接入状态、违规接入状态、疑似状态分别对应的状态分向量的状态系数值调整为零,并对该资产依次进行存活度判别、伤害度判别以及受控度判别,以及,根据得到的存活概率、伤害概率以及受控概率依次对该资产的当前状态向量中的各状态分向量的状态系数值进行修正,并根据修正后的各状态系数值,确定该资产的当前状态。
进一步地,所述方法还包括:针对任一资产,若确定该资产的资产记录信息中存在资产登记记录信息但不存在资产扫描记录信息时,将预先配置的该资产的初始状态向量中与资产的正常状态、恶意接入状态、违规接入状态、疑似状态分别对应的状态分向量的状态系数值调整为零,并对该资产依次进行交叉匹配、伤害度判别以及受控度判别,以及,根据得到的交叉概率、伤害概率以及受控概率依次对该资产的当前状态向量中的各状态分向量的状态系数值进行修正,并根据修正后的各状态系数值,确定该资产的当前状态。
或者,针对任一资产,若确定该资产的资产记录信息中不存在资产登记记录信息但存在资产扫描记录信息时,将预先配置的该资产的初始状态向量中与资产的正常状态、故障状态分别对应的状态分向量的状态系数值调整为零,并对该资产依次进行存活度判别、交叉匹配、伤害度判别以及受控度判别,以及,根据得到的存活概率、交叉概率、伤害概率以及受控概率依次对该资产的当前状态向量中的各状态分向量的状态系数值进行修正,并根据修正后的各状态系数值,确定该资产的当前状态。
或者,针对任一资产,若确定该资产的资产记录信息中不存在资产登记记录信息也不存在资产扫描记录信息时,将预先配置的该资产的初始状态向量中与资产的正常状态、故障状态、违规接入状态分别对应的状态分向量的状态系数值调整为零,并对该资产依次进行伤害度判别以及受控度判别,以及,根据得到的伤害概率以及受控概率依次对该资产的当前状态向量中的各状态分向量的状态系数值进行修正,并根据修正后的各状态系数值,确定该资产的当前状态。
通过本发明实施例一所述技术方案,能够根据修正后的与资产的各潜在状态一一对应的状态系数值的高低,确定各资产的当前状态,提高了资产状态判别的准确性,进而提高了SOC分析和汇总结果的准确性;具体地,通过本发明实施例一所述技术方案,能够发现资产列表中处于故障的资产对象、存在登记错误或配置错误的资产对象以及非法接入的资产对象等,避免了重要资产脱离SOC的监控范围,并且提高了SOC的安全性。
实施例二:
如图3所示,其为本发明实施例二中所述资产状态判别装置的结构示意图,所述资产状态判别装置可以为一独立设备或一集成在系统服务器等设备中的集成设备,本发明实施例对此不作任何限定,具体地,所述资产状态判别装置包括初始状态设置模块11、资产记录确定模块12、状态系数修正模块13以及状态类别判别模块14,其中:
所述初始状态设置模块11用于预先为系统中的各资产配置包括多个状态分向量的初始状态向量,其中,各状态分向量分别与资产的各潜在状态一一对应,且各状态分向量具备相同的初始状态系数值,所述资产为系统中的物理设备资产或虚拟设备资产。
具体地,在本发明各实施例中,所述资产可以为系统中的以IP地址为单位的服务器等主机设备或虚拟主机设备,本发明实施例对此不作任何限定。
具体地,所述资产的潜在状态包括正常状态、故障状态、登记错误状态、恶意接入状态、违规接入状态以及疑似状态;也就是说,特定时刻的某一资产的当前状态可以为正常状态(可将其表示为S1)、故障状态(可将其表示为S2)、登记错误状态(可将其表示为S3)、恶意接入状态(可将其表示为S4)、违规接入状态(可将其表示为S5)以及疑似状态(可将其表示为S6)等六种中的任意一种;具体地,所述资产的潜在状态的分类示意图可以如图2所示。
其中,所述资产的当前状态为正常状态是指:该资产为运行良好且记录正确的合法设备;
所述资产的当前状态为故障状态是指:该资产为记录正确的合法设备,但由于自身原因或遭到外部攻击而处于下线状态或处于受控制状态;
所述资产的当前状态为登记错误状态时是指:该资产为合法设备,但由于记录错误或资产本身的设置变更,导致记录与该资产的实际情况并不匹配;
所述资产的当前状态为恶意接入状态时是指:该资产为非法接入的设备,且涉及恶意行为;
所述资产的当前状态为违规接入状态是指:该资产为非法接入的设备,且不涉及恶意行为;
所述资产的当前状态为疑似状态是指:难以找到该资产确实的存在记录,可能曾由于扫描或自动攻击而产生过针对该资产地址的报警事件。
进一步地,预先为系统中的各资产配置的包括多个状态分向量的初始状态向量可以表示为:
V=[V1,V2,V3,V4,V5,V6];
其中,各状态分向量的初始状态系数值可以设置为1或其他任意数值,本发明实施例对此不作任何限定;具体地,在本发明各实施例中,可以假定所设置的初始状态系数值为1,即各资产的初始状态向量可以表示为:
V=[1,1,1,1,1,1]。
具体地,在本发明各实施例中,可以假设各状态分向量V1、V2、V3、V4、V5、V6分别与资产的正常状态、故障状态、登记错误状态、恶意接入状态、违规接入状态以及疑似状态一一对应,本发明实施例对此不作任何限定。
所述资产记录确定模块12用于获取系统中各资产的资产记录信息;其中,所述资产记录信息包括以下信息中的一种或多种:资产登记记录信息、资产扫描记录信息以及资产事件记录信息;具体地,所述资产登记记录信息是指采用人工方式录入或从其他资产管理软件中导入的资产信息;所述资产扫描记录信息是指漏洞扫描设备产生的报告信息;所述资产事件记录信息是指各类安全防护设备所产生的报警和日志信息。
所述状态系数修正模块13用于针对任一资产,判断该资产的资产记录信息中是否存在资产登记记录信息;若是,则将该资产的初始状态向量中与资产的恶意接入状态、违规接入状态、疑似状态分别对应的状态分向量的状态系数值进行乘零处理,并判断该资产的资产记录信息中是否存在资产扫描记录信息,若是,则保持该资产当前状态向量中的各状态分向量的状态系数值不变,并对该资产依次进行存活度判别、伤害度判别以及受控度判别,以及,根据得到的该资产的存活概率、伤害概率以及受控概率依次对该资产的当前状态向量中的各状态分向量的状态系数值进行修正。
所述状态类别判别模块14用于根据修正后的各状态系数值,确定该资产的当前状态;具体地,所述状态类别判别模块14用于根据修正后的各状态系数值,按照以下公式确定与该资产的当前状态向量中的各状态分向量的状态系数值一一对应的概率系数值,并根据确定的各概率系数值的高低,确定该资产的当前状态:
其中,Vi为状态系数值,Pi为概率系数值。
或者,所述状态类别判别模块14还用于直接根据修正后的各状态系数值的高低,确定该资产的当前状态;例如,将对应的状态系数值最高的状态分向量所对应的潜在状态作为该资产的当前状态。
具体地,所述状态系数修正模块13还用于针对任一资产,在确定该资产的资产记录信息中存在资产登记记录信息之后,若确定该资产的资产记录信息中不存在资产扫描记录信息,则将该资产的当前状态向量中与资产的正常状态、违规接入状态分别对应的状态分向量的状态系数值进行乘零处理,并对该资产依次进行交叉匹配、伤害度判别以及受控度判别,以及,根据得到的交叉概率、伤害概率以及受控概率依次对该资产的当前状态向量中的各状态分向量的状态系数值进行修正。
进一步地,所述状态系数修正模块13还用于针对任一资产,若确定该资产的资产记录信息中不存在资产登记记录信息,则将该资产的初始状态向量中与资产的正常状态、故障状态分别对应的状态分向量的状态系数值进行乘零处理,并判断该资产的资产记录信息中是否存在资产扫描记录信息,若是,则保持该资产当前状态向量中的各状态分向量的状态系数值不变,并对该资产依次进行存活度判别、交叉匹配、伤害度判别以及受控度判别,以及,根据得到的存活概率、交叉概率、伤害概率以及受控概率依次对该资产的当前状态向量中的各状态分向量的状态系数值进行修正。
进一步地,所述状态系数修正模块13还用于针对任一资产,在确定该资产的资产记录信息中不存在资产登记记录信息之后,若确定该资产的资产记录信息中不存在资产扫描记录信息,则将该资产的当前状态向量中与资产的正常状态、违规接入状态分别对应的状态分向量的状态系数值进行乘零处理,并对该资产依次进行伤害度判别以及受控度判别,以及,根据得到的伤害概率以及受控概率依次对该资产的当前状态向量中的各状态分向量的状态系数值进行修正。
具体地,所述状态系数修正模块13可以包括存活度判别子模块1311以及第一系数修正子模块1312,其中:
所述存活度判别子模块1311用于通过以下公式对该资产进行存活度判别:
其中,P1为该资产的存活概率,n为该资产经历过的扫描次数,所述n为正整数,t0为当前时间,且每次扫描日期从近及远分别记为t1、t2、…、tn,相应地,扫描中该资产是否存活记为r1、r2、…、rn,且值为1表示该资产存活、为0表示该资产未存活;以及,所述k为基准值,表示若该资产仅在k日前经过扫描且当时存活,则其对应的存活概率为50%,所述k为大于0的任意数值;
所述第一系数修正子模块1312用于针对资产记录信息中存在资产登记记录信息和资产扫描记录信息的任一资产,将该资产的当前状态向量中与资产的正常状态、故障状态、登记错误状态、恶意接入状态、违规接入状态、疑似状态分别对应的各状态分向量的状态系数值与P1、1-P1、1-P1、0、0、0一一对应相乘,得到修正后的各状态系数值;以及,针对资产记录信息中不存在资产登记记录信息但存在资产扫描记录信息的任一资产,将该资产的当前状态向量中与资产的正常状态、故障状态、登记错误状态、恶意接入状态、违规接入状态、疑似状态分别对应的各状态分向量的状态系数值与0、0、P1、P1、P1、1-P1一一对应相乘,得到修正后的各状态系数值。
进一步地,所述状态系数修正模块13还可以包括伤害度判别子模块1321以及第二系数修正子模块1322,其中:
所述伤害度判别子模块1321用于通过以下公式对该资产进行伤害度判别:
其中,P2为该资产的伤害概率,n为该资产经历过的事件攻击次数,所述n为正整数,t0为当前时间,且每次事件时间按从近及远分别记为t1、t2、…、tn,各事件的严重程度分别记为s1、s2、…、sn;以及,所述k、T为基准数值,表示若该资产在时间T之前经历严重程度为k的事件攻击,则其对应的伤害概率为50%,所述k、T为大于0的任意数值;
所述第二系数修正子模块1322用于将该资产的当前状态向量中与资产的正常状态、故障状态、登记错误状态、恶意接入状态、违规接入状态、疑似状态分别对应的各状态分向量的状态系数值与1-P2、P2、1-P2、1-P2、1-P2、1-P2一一对应相乘,得到修正后的各状态系数值。
进一步地,所述状态系数修正模块13还可以包括受控度判别子模块1331以及第三系数修正子模块1332,其中:
所述受控度判别子模块1331用于通过以下公式对该资产进行受控度判别:
其中,P3为该资产的受控概率,n为该资产发起的事件攻击次数,所述n为正整数,t0为当前时间,且每次事件时间按从近及远分别记为t1、t2、…、tn,各事件的严重程度分别记为s1、s2、…、sn;以及,所述k、T为基准数值,表示若该资产在时间T之前发起严重程度为k的事件攻击,则其对应的受控概率为50%,所述k、T为大于0的任意数值;
所述第三系数修正子模块1332用于将该资产的当前状态向量中与资产的正常状态、故障状态、登记错误状态、恶意接入状态、违规接入状态、疑似状态分别对应的各状态分向量的状态系数值与1-P3、1-P3、1-P3、P3、1-P3、1-P3一一对应相乘,得到修正后的各状态系数值。
进一步地,所述状态系数修正模块13还可以包括交叉匹配子模块1341以及第四系数修正子模块1342,其中:
所述交叉匹配子模块1341用于根据系统中的各资产的资产登记记录信息以及资产扫描记录信息,确定存在于资产登记记录信息中但不存在于最后一次资产扫描所形成的资产扫描记录信息中的各资产,以及存在于最后一次资产扫描所形成的资产扫描记录信息中但不存在于资产登记记录信息中的各资产;从存在于资产登记记录信息中但不存在于最后一次资产扫描所形成的资产扫描记录信息中的各资产,以及存在于最后一次资产扫描所形成的资产扫描记录信息中但不存在于资产登记记录信息中的各资产中分别选取一个资产,并按照以下公式对选取到的该两个资产进行交叉匹配:
其中,Pm为选取到的该两个资产的交叉概率,n为各资产的关键属性个数(所述关键属性可以为资产的IP地址、所属网络、系统类型、系统版本等,本发明实施例对此不作任何限定),r1、r2、…、rn分别为资产的各关键属性的权重(各关键属性的权重需要根据实际情况进行设定,本发明实施例对此也不作任何限定);mi为比对结果,相同为1,不同为0;以及,所述m为基准数值,表示允许资产平均存在m项关键属性偏差,其中,所述m、n为正整数,n>2m;
所述第四系数修正子模块1342用于将该资产的当前状态向量中与资产的正常状态、故障状态、登记错误状态、恶意接入状态、违规接入状态、疑似状态分别对应的各状态分向量的状态系数值与1-Pm、1-Pm、Pm、1-Pm、1-Pm、1-Pm一一对应相乘,得到修正后的各状态系数值。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (20)
1.一种资产状态判别方法,其特征在于,所述方法包括:
预先为系统中的各资产配置包括多个状态分向量的初始状态向量,其中,各状态分向量分别与资产的各潜在状态一一对应,且各状态分向量具备相同的初始状态系数值,所述资产为系统中的物理设备资产或虚拟设备资产;
获取各资产的资产记录信息,并针对任一资产,判断该资产的资产记录信息中是否存在资产登记记录信息;
若是,则将该资产的初始状态向量中与资产的恶意接入状态、违规接入状态、疑似状态分别对应的状态分向量的状态系数值进行乘零处理,并判断该资产的资产记录信息中是否存在资产扫描记录信息,若是,则保持该资产当前状态向量中的各状态分向量的状态系数值不变,并对该资产依次进行存活度判别、伤害度判别以及受控度判别,以及,
根据得到的该资产的存活概率、伤害概率以及受控概率依次对该资产的当前状态向量中的各状态分向量的状态系数值进行修正,并根据修正后的各状态系数值,确定该资产的当前状态。
2.如权利要求1所述的资产状态判别方法,其特征在于,
所述资产的潜在状态包括正常状态、故障状态、登记错误状态、恶意接入状态、违规接入状态以及疑似状态。
3.如权利要求2所述的资产状态判别方法,其特征在于,所述方法还包括:
在确定该资产的资产记录信息中存在资产登记记录信息之后,若确定该资产的资产记录信息中不存在资产扫描记录信息,则将该资产的当前状态向量中与资产的正常状态、违规接入状态分别对应的状态分向量的状态系数值进行乘零处理,并对该资产依次进行交叉匹配、伤害度判别以及受控度判别,以及,
根据得到的交叉概率、伤害概率以及受控概率依次对该资产的当前状态向量中的各状态分向量的状态系数值进行修正,并根据修正后的各状态系数值,确定该资产的当前状态。
4.如权利要求3所述的资产状态判别方法,其特征在于,所述方法还包括:
若确定该资产的资产记录信息中不存在资产登记记录信息,则将该资产的初始状态向量中与资产的正常状态、故障状态分别对应的状态分向量的状态系数值进行乘零处理,并判断该资产的资产记录信息中是否存在资产扫描记录信息,若是,则保持该资产当前状态向量中的各状态分向量的状态系数值不变,并对该资产依次进行存活度判别、交叉匹配、伤害度判别以及受控度判别,以及,
根据得到的存活概率、交叉概率、伤害概率以及受控概率依次对该资产的当前状态向量中的各状态分向量的状态系数值进行修正,并根据修正后的各状态系数值,确定该资产的当前状态。
5.如权利要求4所述的资产状态判别方法,其特征在于,所述方法还包括:
在确定该资产的资产记录信息中不存在资产登记记录信息之后,若确定该资产的资产记录信息中不存在资产扫描记录信息,则将该资产的当前状态向量中与资产的正常状态、违规接入状态分别对应的状态分向量的状态系数值进行乘零处理,并对该资产依次进行伤害度判别以及受控度判别,以及,
根据得到的伤害概率以及受控概率依次对该资产的当前状态向量中的各状态分向量的状态系数值进行修正,并根据修正后的各状态系数值,确定该资产的当前状态。
6.如权利要求5所述的资产状态判别方法,其特征在于,通过以下公式对该资产进行存活度判别:
其中,P1为该资产的存活概率,n为该资产经历过的扫描次数,所述n为正整数,t0为当前时间,且每次扫描日期从近及远分别记为t1、t2、…、tn,相应地,扫描中该资产是否存活记为r1、r2、…、rn,且值为1表示该资产存活、为0表示该资产未存活;以及,所述k为基准值,表示若该资产仅在k日前经过扫描且当时存活,则其对应的存活概率为50%,所述k为大于0的任意数值;
针对资产记录信息中存在资产登记记录信息和资产扫描记录信息的任一资产,根据得到的存活概率对该资产的当前状态向量中的各状态分向量的状态系数值进行修正,具体包括:
将该资产的当前状态向量中与资产的正常状态、故障状态、登记错误状态、恶意接入状态、违规接入状态、疑似状态分别对应的各状态分向量的状态系数值与P1、1-P1、1-P1、0、0、0一一对应相乘,得到修正后的各状态系数值;
针对资产记录信息中不存在资产登记记录信息但存在资产扫描记录信息的任一资产,根据得到的存活概率对该资产的当前状态向量中的各状态分向量的状态系数值进行修正,具体包括:
将该资产的当前状态向量中与资产的正常状态、故障状态、登记错误状态、恶意接入状态、违规接入状态、疑似状态分别对应的各状态分向量的状态系数值与0、0、P1、P1、P1、1-P1一一对应相乘,得到修正后的各状态系数值。
7.如权利要求5所述的资产状态判别方法,其特征在于,通过以下公式对该资产进行伤害度判别:
其中,P2为该资产的伤害概率,n为该资产经历过的事件攻击次数,所述n为正整数,t0为当前时间,且每次事件时间按从近及远分别记为t1、t2、…、tn,各事件的严重程度分别记为s1、s2、…、sn;以及,所述k、T为基准数值,表示若该资产在时间T之前经历严重程度为k的事件攻击,则其对应的伤害概率为50%,所述k、T为大于0的任意数值;
根据得到的伤害概率对该资产的当前状态向量中的各状态分向量的系数值进行修正,具体包括:
将该资产的当前状态向量中与资产的正常状态、故障状态、登记错误状态、恶意接入状态、违规接入状态、疑似状态分别对应的各状态分向量的状态系数值与1-P2、P2、1-P2、1-P2、1-P2、1-P2一一对应相乘,得到修正后的各状态系数值。
8.如权利要求5所述的资产状态判别方法,其特征在于,通过以下公式对该资产进行受控度判别:
其中,P3为该资产的受控概率,n为该资产发起的事件攻击次数,所述n为正整数,t0为当前时间,且每次事件时间按从近及远分别记为t1、t2、…、tn,各事件的严重程度分别记为s1、s2、…、sn;以及,所述k、T为基准数值,表示若该资产在时间T之前发起严重程度为k的事件攻击,则其对应的受控概率为50%,所述k、T为大于0的任意数值;
根据得到的受控概率对该资产的当前状态向量中的各状态分向量的状态系数值进行修正,具体包括:
将该资产的当前状态向量中与资产的正常状态、故障状态、登记错误状态、恶意接入状态、违规接入状态、疑似状态分别对应的各状态分向量的状态系数值与1-P3、1-P3、1-P3、P3、1-P3、1-P3一一对应相乘,得到修正后的各状态系数值。
9.如权利要求5所述的资产状态判别方法,其特征在于,对资产进行交叉匹配,具体包括:
根据系统中的各资产的资产登记记录信息以及资产扫描记录信息,确定存在于资产登记记录信息中但不存在于最后一次资产扫描所形成的资产扫描记录信息中的各资产,以及存在于最后一次资产扫描所形成的资产扫描记录信息中但不存在于资产登记记录信息中的各资产;
从存在于资产登记记录信息中但不存在于最后一次资产扫描所形成的资产扫描记录信息中的各资产,以及存在于最后一次资产扫描所形成的资产扫描记录信息中但不存在于资产登记记录信息中的各资产中分别选取一个资产,并按照以下公式对选取到的该两个资产进行交叉匹配:
其中,Pm为选取到的该两个资产的交叉概率,n为各资产的关键属性个数,r1、r2、…、rn分别为资产的各关键属性的权重;mi为比对结果,相同为1,不同为0;以及,所述m为基准数值,表示允许资产平均存在m项关键属性偏差,其中,所述m、n为正整数,n>2m;
根据得到的交叉概率对该资产的当前状态向量中的各状态分向量的状态系数值进行修正,具体包括:
将该资产的当前状态向量中与资产的正常状态、故障状态、登记错误状态、恶意接入状态、违规接入状态、疑似状态分别对应的各状态分向量的状态系数值与1-Pm、1-Pm、Pm、1-Pm、1-Pm、1-Pm一一对应相乘,得到修正后的各状态系数值。
10.如权利要求1~9任一所述的资产状态判别方法,其特征在于,根据修正后的各状态系数值,确定该资产的当前状态,具体包括:
根据修正后的各状态系数值,按照以下公式确定与该资产的当前状态向量中的各状态分向量的状态系数值一一对应的概率系数值,并根据确定的各概率系数值的高低,确定该资产的当前状态:
其中,Vi为状态系数值,Pi为概率系数值。
11.一种资产状态判别装置,其特征在于,所述装置包括:
初始状态设置模块,用于预先为系统中的各资产配置包括多个状态分向量的初始状态向量,其中,各状态分向量分别与资产的各潜在状态一一对应,且各状态分向量具备相同的初始状态系数值,所述资产为系统中的物理设备资产或虚拟设备资产;
资产记录确定模块,用于获取各资产的资产记录信息;
状态系数修正模块,用于针对任一资产,判断该资产的资产记录信息中是否存在资产登记记录信息;若是,则将该资产的初始状态向量中与资产的恶意接入状态、违规接入状态、疑似状态分别对应的状态分向量的状态系数值进行乘零处理,并判断该资产的资产记录信息中是否存在资产扫描记录信息,若是,则保持该资产当前状态向量中的各状态分向量的状态系数值不变,并对该资产依次进行存活度判别、伤害度判别以及受控度判别,以及,根据得到的该资产的存活概率、伤害概率以及受控概率依次对该资产的当前状态向量中的各状态分向量的状态系数值进行修正;
状态类别判别模块,用于根据修正后的各状态系数值,确定该资产的当前状态。
12.如权利要求11所述的资产状态判别装置,其特征在于,
所述资产的潜在状态包括正常状态、故障状态、登记错误状态、恶意接入状态、违规接入状态以及疑似状态。
13.如权利要求12所述的资产状态判别装置,其特征在于,
所述状态系数修正模块,还用于在确定该资产的资产记录信息中存在资产登记记录信息之后,若确定该资产的资产记录信息中不存在资产扫描记录信息,则将该资产的当前状态向量中与资产的正常状态、违规接入状态分别对应的状态分向量的状态系数值进行乘零处理,并对该资产依次进行交叉匹配、伤害度判别以及受控度判别,以及,根据得到的交叉概率、伤害概率以及受控概率依次对该资产的当前状态向量中的各状态分向量的状态系数值进行修正。
14.如权利要求13所述的资产状态判别装置,其特征在于,
所述状态系数修正模块,还用于若确定该资产的资产记录信息中不存在资产登记记录信息,则将该资产的初始状态向量中与资产的正常状态、故障状态分别对应的状态分向量的状态系数值进行乘零处理,并判断该资产的资产记录信息中是否存在资产扫描记录信息,若是,则保持该资产当前状态向量中的各状态分向量的状态系数值不变,并对该资产依次进行存活度判别、交叉匹配、伤害度判别以及受控度判别,以及,根据得到的存活概率、交叉概率、伤害概率以及受控概率依次对该资产的当前状态向量中的各状态分向量的状态系数值进行修正。
15.如权利要求14所述的资产状态判别装置,其特征在于,
所述状态系数修正模块,还用于在确定该资产的资产记录信息中不存在资产登记记录信息之后,若确定该资产的资产记录信息中不存在资产扫描记录信息,则将该资产的当前状态向量中与资产的正常状态、违规接入状态分别对应的状态分向量的状态系数值进行乘零处理,并对该资产依次进行伤害度判别以及受控度判别,以及,根据得到的伤害概率以及受控概率依次对该资产的当前状态向量中的各状态分向量的状态系数值进行修正。
16.如权利要求15所述的资产状态判别装置,其特征在于,所述状态系数修正模块包括存活度判别子模块以及第一系数修正子模块,其中:
所述存活度判别子模块,用于通过以下公式对该资产进行存活度判别:
其中,P1为该资产的存活概率,n为该资产经历过的扫描次数,所述n为正整数,t0为当前时间,且每次扫描日期从近及远分别记为t1、t2、…、tn,相应地,扫描中该资产是否存活记为r1、r2、…、rn,且值为1表示该资产存活、为0表示该资产未存活;以及,所述k为基准值,表示若该资产仅在k日前经过扫描且当时存活,则其对应的存活概率为50%,所述k为大于0的任意数值;
所述第一系数修正子模块,用于针对资产记录信息中存在资产登记记录信息和资产扫描记录信息的任一资产,将该资产的当前状态向量中与资产的正常状态、故障状态、登记错误状态、恶意接入状态、违规接入状态、疑似状态分别对应的各状态分向量的状态系数值与P1、1-P1、1-P1、0、0、0一一对应相乘,得到修正后的各状态系数值;以及,针对资产记录信息中不存在资产登记记录信息但存在资产扫描记录信息的任一资产,将该资产的当前状态向量中与资产的正常状态、故障状态、登记错误状态、恶意接入状态、违规接入状态、疑似状态分别对应的各状态分向量的状态系数值与0、0、P1、P1、P1、1-P1一一对应相乘,得到修正后的各状态系数值。
17.如权利要求15所述的资产状态判别装置,其特征在于,所述状态系数修正模块包括伤害度判别子模块以及第二系数修正子模块,其中:
所述伤害度判别子模块,用于通过以下公式对该资产进行伤害度判别:
其中,P2为该资产的伤害概率,n为该资产经历过的事件攻击次数,所述n为正整数,t0为当前时间,且每次事件时间按从近及远分别记为t1、t2、…、tn,各事件的严重程度分别记为s1、s2、…、sn;以及,所述k、T为基准数值,表示若该资产在时间T之前经历严重程度为k的事件攻击,则其对应的伤害概率为50%,所述k、T为大于0的任意数值;
所述第二系数修正子模块,用于将该资产的当前状态向量中与资产的正常状态、故障状态、登记错误状态、恶意接入状态、违规接入状态、疑似状态分别对应的各状态分向量的状态系数值与1-P2、P2、1-P2、1-P2、1-P2、1-P2一一对应相乘,得到修正后的各状态系数值。
18.如权利要求15所述的资产状态判别装置,其特征在于,所述状态系数修正模块包括受控度判别子模块以及第三系数修正子模块,其中:
所述受控度判别子模块,用于通过以下公式对该资产进行受控度判别:
其中,P3为该资产的受控概率,n为该资产发起的事件攻击次数,所述n为正整数,t0为当前时间,且每次事件时间按从近及远分别记为t1、t2、…、tn,各事件的严重程度分别记为s1、s2、…、sn;以及,所述k、T为基准数值,表示若该资产在时间T之前发起严重程度为k的事件攻击,则其对应的受控概率为50%,所述k、T为大于0的任意数值;
所述第三系数修正子模块,用于将该资产的当前状态向量中与资产的正常状态、故障状态、登记错误状态、恶意接入状态、违规接入状态、疑似状态分别对应的各状态分向量的状态系数值与1-P3、1-P3、1-P3、P3、1-P3、1-P3一一对应相乘,得到修正后的各状态系数值。
19.如权利要求15所述的资产状态判别装置,其特征在于,所述状态系数修正模块包括交叉匹配子模块以及第四系数修正子模块,其中:
所述交叉匹配子模块,用于根据系统中的各资产的资产登记记录信息以及资产扫描记录信息,确定存在于资产登记记录信息中但不存在于最后一次资产扫描所形成的资产扫描记录信息中的各资产,以及存在于最后一次资产扫描所形成的资产扫描记录信息中但不存在于资产登记记录信息中的各资产;从存在于资产登记记录信息中但不存在于最后一次资产扫描所形成的资产扫描记录信息中的各资产,以及存在于最后一次资产扫描所形成的资产扫描记录信息中但不存在于资产登记记录信息中的各资产中分别选取一个资产,并按照以下公式对选取到的该两个资产进行交叉匹配:
其中,Pm为选取到的该两个资产的交叉概率,n为各资产的关键属性个数,r1、r2、…、rn分别为资产的各关键属性的权重;mi为比对结果,相同为1,不同为0;以及,所述m为基准数值,表示允许资产平均存在m项关键属性偏差,其中,所述m、n为正整数,n>2m;
所述第四系数修正子模块,用于将该资产的当前状态向量中与资产的正常状态、故障状态、登记错误状态、恶意接入状态、违规接入状态、疑似状态分别对应的各状态分向量的状态系数值与1-Pm、1-Pm、Pm、1-Pm、1-Pm、1-Pm一一对应相乘,得到修正后的各状态系数值。
20.如权利要求11~19任一所述的资产状态判别装置,其特征在于,
所述状态类别判别模块,具体用于根据修正后的各状态系数值,按照以下公式确定与该资产的当前状态向量中的各状态分向量的状态系数值一一对应的概率系数值,并根据确定的各概率系数值的高低,确定该资产的当前状态:
其中,Vi为状态系数值,Pi为概率系数值。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210587606.0A CN103078852B (zh) | 2012-12-28 | 2012-12-28 | 一种资产状态判别方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210587606.0A CN103078852B (zh) | 2012-12-28 | 2012-12-28 | 一种资产状态判别方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103078852A true CN103078852A (zh) | 2013-05-01 |
CN103078852B CN103078852B (zh) | 2015-07-15 |
Family
ID=48155256
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210587606.0A Active CN103078852B (zh) | 2012-12-28 | 2012-12-28 | 一种资产状态判别方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103078852B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112800432A (zh) * | 2021-02-05 | 2021-05-14 | 绿盟科技集团股份有限公司 | 一种漏洞描述与资产匹配方法、装置、设备及介质 |
CN113326514A (zh) * | 2021-07-30 | 2021-08-31 | 紫光恒越技术有限公司 | 网络资产的风险评估方法、装置、交换机、设备及服务器 |
CN114861185A (zh) * | 2022-07-05 | 2022-08-05 | 江苏荣泽信息科技股份有限公司 | 用于企业级台账的共识机制处理方法及装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101136767A (zh) * | 2006-09-01 | 2008-03-05 | 华为技术有限公司 | 一种电信网络的资产安全管理方法、系统及网元设备 |
CN101150432A (zh) * | 2007-08-24 | 2008-03-26 | 北京启明星辰信息技术有限公司 | 一种信息系统风险评估方法及系统 |
CN101436967A (zh) * | 2008-12-23 | 2009-05-20 | 北京邮电大学 | 一种网络安全态势评估方法及其系统 |
CN101916405A (zh) * | 2010-08-26 | 2010-12-15 | 北京天融信科技有限公司 | 一种资产弱点的管理装置 |
CN102360485A (zh) * | 2011-09-30 | 2012-02-22 | 广东电网公司信息中心 | 一种增量风险评估的软件方法及系统 |
-
2012
- 2012-12-28 CN CN201210587606.0A patent/CN103078852B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101136767A (zh) * | 2006-09-01 | 2008-03-05 | 华为技术有限公司 | 一种电信网络的资产安全管理方法、系统及网元设备 |
CN101150432A (zh) * | 2007-08-24 | 2008-03-26 | 北京启明星辰信息技术有限公司 | 一种信息系统风险评估方法及系统 |
CN101436967A (zh) * | 2008-12-23 | 2009-05-20 | 北京邮电大学 | 一种网络安全态势评估方法及其系统 |
CN101916405A (zh) * | 2010-08-26 | 2010-12-15 | 北京天融信科技有限公司 | 一种资产弱点的管理装置 |
CN102360485A (zh) * | 2011-09-30 | 2012-02-22 | 广东电网公司信息中心 | 一种增量风险评估的软件方法及系统 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112800432A (zh) * | 2021-02-05 | 2021-05-14 | 绿盟科技集团股份有限公司 | 一种漏洞描述与资产匹配方法、装置、设备及介质 |
CN113326514A (zh) * | 2021-07-30 | 2021-08-31 | 紫光恒越技术有限公司 | 网络资产的风险评估方法、装置、交换机、设备及服务器 |
CN113326514B (zh) * | 2021-07-30 | 2021-10-29 | 紫光恒越技术有限公司 | 网络资产的风险评估方法、装置、交换机、设备及服务器 |
CN114861185A (zh) * | 2022-07-05 | 2022-08-05 | 江苏荣泽信息科技股份有限公司 | 用于企业级台账的共识机制处理方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN103078852B (zh) | 2015-07-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100955281B1 (ko) | 위협 관리를 위한 보안 위험도 평가 방법 | |
CN101803337B (zh) | 入侵检测方法和系统 | |
CN106209826A (zh) | 一种网络安全设备监测的安全事件分析方法 | |
CN100511159C (zh) | 用于解决对计算机系统的侵入攻击的方法和系统 | |
CN101668012B (zh) | 安全事件检测方法及装置 | |
CN102546638A (zh) | 一种基于场景的混合入侵检测方法及系统 | |
CN107786532A (zh) | 工业自动化系统和云连接器中使用虚拟蜜罐的系统和方法 | |
CN106886202A (zh) | 控制装置、综合生产系统及其控制方法 | |
CN103078852B (zh) | 一种资产状态判别方法及装置 | |
CN107547229A (zh) | 一种基于大数据的安全运维管理平台智能控制的实现方法 | |
Chen et al. | Unified security and safety risk assessment-a case study on nuclear power plant | |
CN112968885A (zh) | 一种边缘计算平台安全防护方法和装置 | |
CN117375985A (zh) | 安全风险指数的确定方法及装置、存储介质、电子装置 | |
CN102307184A (zh) | 基于入侵容忍的信息资产保护方法 | |
CN116861419B (zh) | 一种ssr上主动防御日志告警方法 | |
CN117061372A (zh) | 一种网络流量监测与分析实时处理平台 | |
CN114285630B (zh) | 一种安全域风险告警方法、系统、装置及可读存储介质 | |
Schauer et al. | Detecting sophisticated attacks in maritime environments using hybrid situational awareness | |
Papa et al. | A transfer function based intrusion detection system for SCADA systems | |
KR101646329B1 (ko) | 지역 기반 사이버 침해 대응 분석 시스템 및 그 방법 | |
CN114037286A (zh) | 一种基于大数据电力调度自动化敏感数据检测方法及系统 | |
Kohli | Developing cyber security asset management framework for UK rail | |
WO2021107822A1 (ru) | Способ защиты систем управления транспортных средств от вторжений | |
KR20220083046A (ko) | Erp 시스템의 로그추출에 의한 효과적인 머신러닝 시스템 | |
Awodele et al. | A Multi-Layered Approach to the Design of Intelligent Intrusion Detection and Prevention System (IIDPS). |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP01 | Change in the name or title of a patent holder | ||
CP01 | Change in the name or title of a patent holder |
Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Patentee after: NSFOCUS Technologies Group Co.,Ltd. Patentee after: NSFOCUS TECHNOLOGIES Inc. Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd. Patentee before: NSFOCUS TECHNOLOGIES Inc. |