CN105825130A - 一种信息安全预警方法及装置 - Google Patents

Abstract

本发明公开了一种信息安全预警方法及装置，主要内容包括：利用元模型建立信息资产库，并通过整理得到的漏洞库中的漏洞，分别与信息资产库中的信息资产总量进行相关度匹配，筛选相关度不小于预设阈值的漏洞，对筛选出的各个漏洞的风险值求和，计算得到针对该信息资产总量的总风险值，将所述总风险值与预设预警值进行比较，并在所述总风险值不小于所述预设预警值时，执行预警操作。通过漏洞与信息资产总量进行相关度匹配，能够精准的确定威胁该信息资产库的漏洞，从而，提升了信息资产的安全性，而且能够在预设的周期内自动发起预警判断操作，并在达到预设预警值时，执行预警操作，以准确实时的提醒管理者进行信息网络系统的维护。

Description

一种信息安全预警方法及装置

技术领域

本发明涉及通信技术领域，尤其涉及一种信息安全预警方法及装置。

背景技术

现有技术中，随着信息技术的发展，每个公司都有大量的信息资产来满足公司日常生产和运营需要，这些信息资产已经成为公司生存发展的重要基石。因此资产的信息资产的安全问题已经成为保障公司运作的重要因素。针对信息资产在信息安全方面的防护，主要以下面两种方式进行预警：

方式一：入侵检测技术，是为保证计算机系统的安全而设计的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。按检测方法，入侵检测技术主要可以分为误用检测、异常检测。

(1)异常检测：检测与可接受行为之间的偏差。首先总结可接受行为应该具有的特征，当用户行为与可接受行为有重大偏离时即被认为是入侵。这种检测模型漏报率低，误报率高。

(2)误用检测：检测与已知的不可接受行为之间的匹配程度。首先总结不可接受行为的特征，建立相关的特征库，当用户行为与该特征库中的记录相匹配时，系统就认为这种行为是入侵。这种检测模型误报率低、漏报率高。

方式二：安全扫描技术，是一种主动的防范措施。通过对信息资产的扫描，管理员可以了解信息资产的安全配置和运行的应用服务，及时发现安全漏洞，客观评估网络风险等级。管理员可以根据扫描的结果更正网络安全漏洞和系统中的错误配置，在黑客攻击前进行防范。按扫描方法，安全扫描技术主要可以分为插件技术、漏洞库匹配技术。

(1)插件技术：由脚本语言编写的子程序，扫描程序可以通过调用它来执行漏洞扫描，检测出系统中存在的一个或多个漏洞。添加新的插件就可以使漏洞扫描软件增加新的功能，扫描出更多的漏洞。插件编写规范化后，甚至用户自己都可以用任一脚本语言编写的插件来扩充漏洞扫描软件的功能。这种技术使漏洞扫描软件的升级维护变得相对简单，而专用脚本语言的使用也简化了编写新插件的编程工作，使漏洞扫描软件具有强的扩展性。

(2)漏洞库的匹配方法：基于网络系统漏洞库的漏洞扫描的关键部分就是它所使用的漏洞库。通过采用基于规则的匹配技术，即根据安全专家对网络系统安全漏洞、黑客攻击案例的分析和系统管理员对网络系统安全配置的实际经验，可以形成一套标准的网络系统漏洞库，然后再在此基础之上构成相应的匹配规则，由扫描程序自动的进行漏洞扫描的工作。

综上所述，入侵检测技术的安全预警方法由于检测方法主要基于特征库的模式存在一定缺陷很容易导致安全预警的漏报和误报情况，预警的精度不高，而且在性能上也有影响。安全扫描技术主要通过模拟黑客的攻击手法进行安全预警，但是，基于黑客的方式进行探测很容易造成遗漏。因此，现有的预警方案的预警准确度不高。

发明内容

本发明实施例提供一种信息安全预警方法及装置，用以解决现有技术中存在的无法进行准确预警操作的问题。

本发明实施例采用以下技术方案：

一种信息安全预警方法，针对任一信息网络系统，基于预设的元模型建立有信息资产库，所述信息资产库中包含有多个信息资产，所述漏洞库中包含的漏洞是周期更新的，每个漏洞设置有相应的风险值，且每个漏洞对信息资产库内的至少一个信息资产和/或信息资产库外的至少一个信息资产产生威胁，所述方法包括：

将当前周期内所述漏洞库中的每个漏洞分别与所述信息资产库中包含的所有信息资产进行相关度匹配，筛选相关度不小于预设阈值的漏洞；

对筛选出的各个漏洞当前的风险值求和，计算得到针对该信息资产总量的总风险值；

将所述总风险值与预设预警值进行比较；并

在所述总风险值不小于所述预设预警值时，执行预警操作。

优选地，所述当前漏洞库中每个漏洞当前的风险值与该漏洞自身被安全评级机构评估的风险成正相关，与该漏洞被修复的及时程度成负相关，与该漏洞的修复方案的发布者的能力成负相关，与该漏洞的修复方案的发布及时程度成负相关。

优选地，所述当前漏洞库中每个漏洞的风险值具体通过以下公式确定：

$P_i={\∫}_{t_0}^{t_1}{\mathrm{\ρ}}_i\left(t\right)\mathrm{dt}={\∫}_{t_0}^{t_1}\frac{A_i}{({\mathrm{\σ}}_0/{\mathrm{\α}}_i\·{\mathrm{\β}}_i)\sqrt{2\mathrm{\π}}}{e}^{-\frac{t^2}{2{({\mathrm{\σ}}_0/{\mathrm{\α}}_i\·{\mathrm{\β}}_i)}^2}}\mathrm{dt}---\left(1\right)$

其中，所述P_i为第i个漏洞的风险值，所述A_i为第i个漏洞自身被安全评级机构评估的风险值，所述σ₀为默认系数，α_i为第i个漏洞的修复方案的发布者的能力，β_i为第i个漏洞的修复方案的发布及时程度；所述t₀为确定漏洞的风险值所设定的起始时刻，所述t₁为确定漏洞的风险值所设定的结束时刻。

优选地，将当前周期内所述漏洞库中的每个漏洞分别与所述信息资产库中包含的所有信息资产进行相关度匹配，筛选相关度不小于预设阈值的漏洞，具体包括：

统计当前信息资产库中包含的各个信息资产，归一化得到各个信息资产的单位向量的总和：其中，表示第j个信息资产的单位向量；

统计当前漏洞库中的第i个漏洞所威胁的各个信息资产，归一化得到各个信息资产的单位向量的总和：其中，表示第i个漏洞所威胁的信息资产库中的各个信息资产的总和，该中包含信息资产库中的部分或全部信息资产，若该为零，则表示该漏洞对信息资产库中的信息资产没有威胁，表示第i个漏洞所威胁的信息资产库以外的其他信息资产的总和，若该为零，则表示该漏洞对信息资产库以外的其他信息资产没有威胁；利用相关度公式：

$\mathrm{Similarity}=\frac{\stackrel{\→}{X_1}\·\stackrel{\→}{X_{2i}}}{\left|\right|\stackrel{\→}{X_1}\left|\right|\·\left|\right|\stackrel{\→}{X_{2i}}\left|\right|}---\left(\text{2}\right)$

将当前信息资产库中包含的各个信息资产的总和与当前漏洞库中的第i个漏洞所威胁的各个信息资产的总和进行相关度匹配，确定第i个漏洞与所述信息资产库中各个信息资产的相关度；

待确定所有漏洞的相关度之后，筛选相关度不小于预设阈值的漏洞。

优选地，在执行预警操作之后，还包括：

将本次筛选出的各个漏洞的标识进行存储，形成对应本次预警操作的漏洞表。

一种信息安全预警装置，针对任一信息网络系统，基于预设的元模型建立有信息资产库，所述信息资产库中包含有多个信息资产，所述漏洞库中包含的漏洞是周期更新的，每个漏洞设置有相应的风险值，且每个漏洞对信息资产库内的至少一个信息资产和/或信息资产库外的至少一个信息资产产生威胁，所述装置包括：

匹配单元，用于将当前周期内所述漏洞库中的每个漏洞分别与所述信息资产库中包含的所有信息资产进行相关度匹配，筛选相关度不小于预设阈值的漏洞；

计算单元，用于对所述匹配单元筛选出的各个漏洞当前的风险值求和，计算得到针对该信息资产总量的总风险值；

比较单元，用于将所述计算单元计算得到的所述总风险值与预设预警值进行比较；

预警单元，用于在比较单元确定出所述总风险值不小于所述预设预警值时，执行预警操作。

优选地，所述当前漏洞库中每个漏洞当前的风险值与该漏洞自身被安全评级机构评估的风险成正相关，与该漏洞被修复的及时程度成负相关，与该漏洞的修复方案的发布者的能力成负相关，与该漏洞的修复方案的发布及时程度成负相关。

优选地，所述当前漏洞库中每个漏洞的风险值具体通过以下公式确定：

$P_i={\∫}_{t_0}^{t_1}{\mathrm{\ρ}}_i\left(t\right)\mathrm{dt}={\∫}_{t_0}^{t_1}\frac{A_i}{({\mathrm{\σ}}_0/{\mathrm{\α}}_i\·{\mathrm{\β}}_i)\sqrt{2\mathrm{\π}}}{e}^{-\frac{t^2}{2{({\mathrm{\σ}}_0/{\mathrm{\α}}_i\·{\mathrm{\β}}_i)}^2}}\mathrm{dt}---\left(1\right)$

其中，所述P_i为第i个漏洞的风险值，所述A_i为第i个漏洞自身被安全评级机构评估的风险值，所述σ₀为默认系数，α_i为第i个漏洞的修复方案的发布者的能力，β_i为第i个漏洞的修复方案的发布及时程度；所述t₀为确定漏洞的风险值所设定的起始时刻，所述t₁为确定漏洞的风险值所设定的结束时刻。

优选地，所述匹配单元，具体用于：

统计当前信息资产库中包含的各个信息资产，归一化得到各个信息资产的单位向量的总和：其中，表示第j个信息资产的单位向量；

统计当前漏洞库中的第i个漏洞所威胁的各个信息资产，归一化得到各个信息资产的单位向量的总和：其中，表示第i个漏洞所威胁的信息资产库中的各个信息资产的总和，该中包含信息资产库中的部分或全部信息资产，若该为零，则表示该漏洞对信息资产库中的信息资产没有威胁，表示第i个漏洞所威胁的信息资产库以外的其他信息资产的总和，若该为零，则表示该漏洞对信息资产库以外的其他信息资产没有威胁；

利用相关度公式：

$\mathrm{Similarity}=\frac{\stackrel{\→}{X_1}\·\stackrel{\→}{X_{2i}}}{\left|\right|\stackrel{\→}{X_1}\left|\right|\·\left|\right|\stackrel{\→}{X_{2i}}\left|\right|}---\left(\text{2}\right)$

将当前信息资产库中包含的各个信息资产的总和与当前漏洞库中的第i个漏洞所威胁的各个信息资产的总和进行相关度匹配，确定第i个漏洞与所述信息资产库中各个信息资产的相关度；

待确定所有漏洞的相关度之后，筛选相关度不小于预设阈值的漏洞。

优选地，所述装置还包括：

存储单元，用于在预警单元执行预警操作之后，将本次筛选出的各个漏洞的标识进行存储，形成对应本次预警操作的漏洞表。

在本发明实施例中，利用元模型建立信息资产库，并通过整理得到的漏洞库中的漏洞，分别与信息资产库中的信息资产总量进行相关度匹配，筛选相关度不小于预设阈值的漏洞，对筛选出的各个漏洞的风险值求和，计算得到针对该信息资产总量的总风险值，将所述总风险值与预设预警值进行比较，并在所述总风险值不小于所述预设预警值时，执行预警操作。通过漏洞与信息资产总量进行相关度匹配，能够精准的确定威胁该信息资产库的漏洞，从而，提升了信息资产的安全性，而且能够在预设的周期内自动发起预警判断操作，并在达到预设预警值时，执行预警操作，以准确实时的提醒管理者进行信息网络系统的维护。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例一中的信息安全预警方法步骤示意图；

图2为本发明实施例二中的信息安全预警装置的结构示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

下面通过具体的实施例对本发明的技术方案进行详细描述，本发明包括但并不限于以下实施例。

实施例一：

需要说明的是，在该方法中，可以预先建立一元模型，该元模型中设置有信息资产类型属性，该属性对应至少以下资产类型：操作系统、中间件(载体服务器)、数据库、应用。其中，操作系统又可以包括windows操作系统、Linux操作系统等；应用可以包括系统应用、各种第三方应用等。

当针对任一信息网络系统进行信息安全评估时，可根据预设的元模型中的信息资产的类型，统计各个信息资产并建立信息资产库；其中，需要说明的是，预设的元模型中的信息资产的类型可以添加或删除，那么，统计得到的信息资产库中的各个信息资产也就只能和保留的信息资产的类型相关，从而，可以灵活地对信息网络系统中的信息资产选择性的进行安全评估。在本发明实施例中，信息资产库中的各个信息资产可以由各个分支机构报送得到，也可以通过网络爬虫抓取，其获取方式较为灵活，本发明并不对此进行限定。

本发明所涉及的漏洞库，包含有多个漏洞，所述漏洞库中包含的漏洞是周期更新的，每个漏洞设置有相应的风险值，且每个漏洞对信息资产库内的至少一个信息资产和/或信息资产库外的至少一个信息资产产生威胁。具体地，每个漏洞可以威胁多个信息资产，且对每个信息资产的威胁程度不同。一般情况下，这些漏洞来源于国外权威机构漏洞库的漏洞信息、国内权威机构漏洞库的漏洞信息以及各个分支机构报送的漏洞信息，将这些漏洞信息进行汇总取最大集合，即可得到本发明所涉及的漏洞库。

如图1所示，为本发明实施例一提供的一种信息安全预警方法，该方法主要包括以下步骤：

步骤101：将当前周期内所述漏洞库中的每个漏洞分别与所述信息资产库中包含的所有信息资产进行相关度匹配，筛选相关度不小于预设阈值的漏洞。

具体地，在本发明实施例中，由于漏洞库中的每个漏洞，可能会对信息资产库中的全部或部分信息资产有威胁，也会对信息资产库以外的其他信息资产有威胁，因此，每个漏洞威胁的信息资产可能不同，例如：假设信息资产库中有100个信息资产，依次为信息资产1至信息资产100。漏洞1可能对信息资产库中的信息资产1有威胁，同时，对信息资产库中的信息资产2、信息资产3、信息资产4有威胁，同时对该信息资产库外的信息资产101、信息资产102、信息资产103有威胁，则该漏洞1只与信息资产1、信息资产2、信息资产3、信息资产4、信息资产101、信息资产102、信息资产103相关，可见，在该信息网络系统中，漏洞1仅对信息资产库中的4个信息资产有威胁，占了信息资产总量的非常小的部分，则该漏洞1对该信息资产库的威胁较小，甚至非常细微，则该漏洞1可以被忽略，并不能作为影响该信息资产库的漏洞。

具体地，在本发明实施例中，为了能够形象具体地体现漏洞库中的各个漏洞对信息资产库中的各个信息资产的威胁程度，可以通过以下方式进行筛选操作：

第一步：统计当前信息资产库中包含的各个信息资产，归一化得到各个信息资产的单位向量的总和：其中，表示第j个信息资产的单位向量；

例如：当前资产库中包含的信息资产一共有4个，即用单位向量表示总和为： $\stackrel{\→}{X_1}=\stackrel{\→}{a_1}+\stackrel{\→}{a_2}+\stackrel{\→}{a_3}+\stackrel{\→}{a_4}.$

第二步：统计当前漏洞库中的第i个漏洞所威胁的各个信息资产，归一化得到各个信息资产的单位向量的总和：其中，表示第i个漏洞所威胁的信息资产库中的各个信息资产的总和，该中包含信息资产库中的部分或全部信息资产，若该为零，则表示该漏洞对信息资产库中的信息资产没有威胁，表示第i个漏洞所威胁的信息资产库以外的其他信息资产的总和，若该为零，则表示该漏洞对信息资产库以外的其他信息资产没有威胁；

例如：统计当前的漏洞1所威胁的各个信息资产，假设该漏洞1威胁信息资产库中的信息资产1、信息资产2、信息资产3，且影响信息资产库外的信息资产6、信息资产7，则该漏洞1所威胁的各个信息资产的单位向量的总和为： $\stackrel{\→}{X_2}=\stackrel{\→}{a_1}+\stackrel{\→}{a_2}+\stackrel{\→}{a_3}+\stackrel{\→}{a_6}+\stackrel{\→}{a_7}.$

综上，上述信息资产库中的信息资产总量可以简化表示为矩阵形式： $\stackrel{\→}{X_1}=\left[\begin{array}{cccccc}1& 1& 1& 1& 0& 0\end{array}\right].$ 亦可以简化表示为矩阵形式： $\stackrel{\→}{X_2}=\left[\begin{array}{cccccc}1& 1& 1& 0& 1& 1\end{array}\right].$

第三步：利用相关度公式：

$\mathrm{Similarity}=\frac{\stackrel{\→}{X_1}\·\stackrel{\→}{X_{2i}}}{\left|\right|\stackrel{\→}{X_1}\left|\right|\·\left|\right|\stackrel{\→}{X_{2i}}\left|\right|}---\left(\text{2}\right)$

将当前信息资产库中包含的各个信息资产的总和与当前漏洞库中的第i个漏洞所威胁的各个信息资产的总和进行相关度匹配，确定第i个漏洞与所述信息资产库中各个信息资产的相关度；

将上述矩阵带入公式(2)，即可得到 $\mathrm{Similarity}=\frac{\left[\begin{array}{cccccc}1& 1& 1& 1& 0& 0\end{array}\right]\·\left[\begin{array}{cccccc}1& 1& 1& 0& 1& 1\end{array}\right]}{2\·\sqrt{5}}=\frac{\sqrt{5}}{5}.$

第四步：待确定所有漏洞的相关度之后，筛选相关度不小于预设阈值的漏洞。

其中，相关度的预设阈值可以根据管理者的管理经验进行设定，或是根据该信息资产库的重要程度进行设定。该相关度的预设阈值一般用百分比来表示，一般而言，该相关度的预设阈值可以设定为50％，超过该相关度预设阈值的漏洞可以作为影响该信息资产的漏洞，否则，不予考虑。

此外，在确定相关度时，一种较为直接的方法是：统计各个漏洞威胁的信息资产的数量，在数量超过预设阈值时，则确定该漏洞为影响该信息资产库的漏洞。例如：待评估的信息资产库中有100个信息资产，漏洞库中的各个漏洞是预设的，且每个漏洞都可能会对信息资产库中的信息资产造成威胁，假设，该漏洞库中的漏洞1仅对信息资产库中的30个信息资产造成威胁，那么，该漏洞1并不能作为影响该信息资产库的漏洞，若该漏洞库中的漏洞2对信息资产库中的60个信息资产造成威胁，那么，该漏洞2威胁的信息资产的数量已经超过50个了，因此，应该作为影响该信息资产库的漏洞。

步骤102：对筛选出的各个漏洞的风险值求和，计算得到针对该信息资产总量的总风险值。

在步骤101筛选出漏洞库中对该信息资产库有威胁的所有漏洞之后，需要对这些漏洞进行总风险值的计算。具体地，由于每个漏洞都设置有相应的风险值，将筛选出的所有漏洞的风险值求和，即可计算得到针对该信息资产库的信息资产总量的总风险值。

其中，本发明所涉及的漏洞库中的每个漏洞的风险值与该漏洞自身被安全评级机构评估的风险值成正相关，与该漏洞被修复的及时程度成负相关，与该漏洞的修复方案的发布者的能力成负相关，与该漏洞的修复方案的发布及时程度成负相关。

优选地，该漏洞库中每个漏洞的风险值具体通过以下公式(1)确定：

$P_i={\∫}_{t_0}^{t_1}{\mathrm{\ρ}}_i\left(t\right)\mathrm{dt}={\∫}_{t_0}^{t_1}\frac{A_i}{({\mathrm{\σ}}_0/{\mathrm{\α}}_i\·{\mathrm{\β}}_i)\sqrt{2\mathrm{\π}}}{e}^{-\frac{t^2}{2{({\mathrm{\σ}}_0/{\mathrm{\α}}_i\·{\mathrm{\β}}_i)}^2}}\mathrm{dt}---\left(1\right)$

其中，P_i为第i个漏洞的风险值，A_i为第i个漏洞自身被安全评级机构评估的风险值，若安全评级机构评估该漏洞为高风险漏洞，则该漏洞的风险值较大，反之风险值较小；σ₀为默认系数，该默认系数为固定的值，针对一个信息资产库而言，筛选漏洞时，都可以以一个默认系数为准；α_i为第i个漏洞的修复方案的发布者的能力，β_i为第i个漏洞的修复方案的发布及时程度；若该漏洞的修复方案的发布越及时，则该漏洞的风险值越小，反之风险值越大；t₀为设定的起始时刻，所述t₁为设定的结束时刻。由公式(1)可知，每个漏洞的风险值不仅与上述各个参数有关，还与评估该漏洞的起始时间和结束时间有关，一般而言，对于一个信息资产库，评估漏洞库中的漏洞的起始时间和结束时间是固定的，即在同一起始时间开始，分别对漏洞库中的各个漏洞进行风险值的确定，并在预定的结束时间结束，通过积分统计该t₀～t₁时间段确定的各个漏洞的风险值。

此外，本发明中所涉及的漏洞自身被安全评级机构评估的风险值，漏洞的修复方案的发布者的能力，以及漏洞的修复方案的发布及时程度，都可以有一个预设的参考值作为标准，或是实际的数值，或是归一化后的0-1之间的数值。

需要说明的是，一般而言，漏洞库中的各个漏洞的风险值在确定之后，就可以在一段时间内一直使用该风险值。若是考虑到时间的推移对风险值的影响，也可以在每次预警时进行漏洞的风险值的确定。本发明并不对这一确定的先后顺序，以及确定后是否变更进行限定，关键在于其确定的方式。

具体地，对各个漏洞的风险值求和得到针对该信息资产库的总风险值，如下述公式(3)所示：

$P\left(t\right)=\underset{k\→+\∞}{\lim }\underset{m=1}{\overset{k}{\mathrm{\Σ}}}{\∫}_{t_0}^{t_1}{p}_i\left(t\right)\mathrm{dt}=\underset{k\→+\∞}{\lim }\underset{m=1}{\overset{k}{\mathrm{\Σ}}}{\∫}_{t_0}^{t_0+\mathrm{nT}}{p}_i\left(t\right)\mathrm{dt}---\left(\text{3}\right)$

其中，P(t)为在t₀～t₁时间段该信息资产库的总风险值，k为筛选出的所有漏洞，由于漏洞的数量可能较大，这取决与该信息资产库的复杂程度，极端情况下该k的取值可以为正无穷。其中的T为预警周期，一般为一天。

步骤103：将所述总风险值与预设预警值进行比较，并在所述总风险值不小于所述预设预警值时，执行预警操作。

在本发明实施例中，需要根据管理者的管理经验或是该信息资产的重要程度，为该信息资产库设置一预设预警值；在确定了该信息资产库的总风险值之后，将该总风险值与预设预警值进行比较，若总风险值大于等于预设预警值，则该信息资产库存在较高风险，需要执行预警操作以提醒管理者；若总风险值小于预设预警值，则该信息资产库的风险较小，暂时可以维持该信息网络系统的正常工作，因此，无需执行预警操作。

优选地，在执行步骤103之后，该预警方法还包括：

将本次筛选出的各个漏洞的标识进行存储，形成对应本次预警操作的漏洞表。从而，可以将该次预警操作的各个漏洞记录下来，以便于下次出现相同的漏洞时，可以选择进行匹配操作，若匹配，则直接执行预警操作，避免了对各个漏洞的风险值求和，提升了预警判断的效率，且节约了系统资源。

通过上述整个实施例，利用元模型建立信息资产库，并通过整理得到的漏洞库中的漏洞，分别与信息资产库中的信息资产总量进行相关度匹配，筛选相关度不小于预设阈值的漏洞，对筛选出的各个漏洞的风险值求和，计算得到针对该信息资产总量的总风险值，将所述总风险值与预设预警值进行比较，并在所述总风险值不小于所述预设预警值时，执行预警操作。通过漏洞与信息资产总量进行相关度匹配，能够精准的确定威胁该信息资产库的漏洞，从而，提升了信息资产的安全性，而且能够在预设的周期内自动发起预警判断操作，并在达到预设预警值时，执行预警操作，以准确实时的提醒管理者进行信息网络系统的维护。

基于与上述信息安全预警方法属于同一发明构思，本发明实施例二还提供了一种信息按照预警装置，下面具体介绍该预警装置。

实施例二：

如图2所示，为本发明实施例二提供的信息安全预警装置，该预警装置包括以下单元：

匹配单元201，用于将当前周期内所述漏洞库中的每个漏洞分别与所述信息资产库中包含的所有信息资产进行相关度匹配，筛选相关度不小于预设阈值的漏洞。

优选地，所述匹配单元201，具体用于：

统计当前信息资产库中包含的各个信息资产，归一化得到各个信息资产的单位向量的总和：其中，表示第j个信息资产的单位向量；

统计当前漏洞库中的第i个漏洞所威胁的各个信息资产，归一化得到各个信息资产的单位向量的总和：其中，表示第i个漏洞所威胁的信息资产库中的各个信息资产的总和，该中包含信息资产库中的部分或全部信息资产，若该为零，则表示该漏洞对信息资产库中的信息资产没有威胁，表示第i个漏洞所威胁的信息资产库以外的其他信息资产的总和，若该为零，则表示该漏洞对信息资产库以外的其他信息资产没有威胁；

利用相关度公式：

$\mathrm{Similarity}=\frac{\stackrel{\→}{X_1}\·\stackrel{\→}{X_{2i}}}{\left|\right|\stackrel{\→}{X_1}\left|\right|\·\left|\right|\stackrel{\→}{X_{2i}}\left|\right|}---\left(\text{2}\right)$

将当前信息资产库中包含的各个信息资产的总和与当前漏洞库中的第i个漏洞所威胁的各个信息资产的总和进行相关度匹配，确定第i个漏洞与所述信息资产库中各个信息资产的相关度；

待确定所有漏洞的相关度之后，筛选相关度不小于预设阈值的漏洞。

计算单元202，用于对所述匹配单元筛选出的各个漏洞当前的风险值求和，计算得到针对该信息资产总量的总风险值；

比较单元203，用于将所述计算单元计算得到的所述总风险值与预设预警值进行比较，确定出所述总风险值不小于所述预设预警值；

预警单元204，用于在比较单元确定出所述总风险值不小于所述预设预警值时，执行预警操作。

优选地，所述漏洞库中每个漏洞的风险值与该漏洞自身被安全评级机构评估的风险成正相关，与该漏洞被修复的及时程度成负相关，与该漏洞的修复方案的发布者的能力成负相关，与该漏洞的修复方案的发布及时程度成负相关。

优选地，所述漏洞库中每个漏洞的风险值具体通过以下公式确定：

$P_i={\∫}_{t_0}^{t_1}{\mathrm{\ρ}}_i\left(t\right)\mathrm{dt}={\∫}_{t_0}^{t_1}\frac{A_i}{({\mathrm{\σ}}_0/{\mathrm{\α}}_i\·{\mathrm{\β}}_i)\sqrt{2\mathrm{\π}}}{e}^{-\frac{t^2}{2{({\mathrm{\σ}}_0/{\mathrm{\α}}_i\·{\mathrm{\β}}_i)}^2}}\mathrm{dt}---\left(1\right)$

其中，所述P_i为第i个漏洞的风险值，所述A_i为第i个漏洞自身被安全评级机构评估的风险值，所述σ₀为默认系数，α_i为第i个漏洞的修复方案的发布者的能力，β_i为第i个漏洞的修复方案的发布及时程度；所述t₀为确定漏洞所设定的起始时刻，所述t₁为确定漏洞所设定的结束时刻。

优选地，该预警装置还包括：存储单元，用于在预警单元执行预警操作之后，将本次筛选出的各个漏洞的标识进行存储，形成对应本次预警操作的漏洞表。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims (10)

1.一种信息安全预警方法，其特征在于，针对任一信息网络系统，基于预设的元模型建立有信息资产库，所述信息资产库中包含有多个信息资产，所述漏洞库中包含的漏洞是周期更新的，每个漏洞设置有相应的风险值，且每个漏洞对信息资产库内的至少一个信息资产和/或信息资产库外的至少一个信息资产产生威胁，所述方法包括：

将当前周期内所述漏洞库中的每个漏洞分别与所述信息资产库中包含的所有信息资产进行相关度匹配，筛选相关度不小于预设阈值的漏洞；

对筛选出的各个漏洞当前的风险值求和，计算得到针对该信息资产总量的总风险值；

将所述总风险值与预设预警值进行比较；并

在所述总风险值不小于所述预设预警值时，执行预警操作。

2.如权利要求1所述的方法，其特征在于，所述当前漏洞库中每个漏洞当前的风险值与该漏洞自身被安全评级机构评估的风险成正相关，与该漏洞被修复的及时程度成负相关，与该漏洞的修复方案的发布者的能力成负相关，与该漏洞的修复方案的发布及时程度成负相关。

3.如权利要求2所述的方法，其特征在于，所述当前漏洞库中每个漏洞的风险值具体通过以下公式确定：

$P_i={\∫}_{t_0}^{t_1}{\mathrm{\ρ}}_i\left(t\right)\mathrm{dt}={\∫}_{t_0}^{t_1}\frac{4}{({\mathrm{\σ}}_0/{\mathrm{\α}}_i\·{\mathrm{\β}}_i)\sqrt{2\mathrm{\π}}}{e}^{-\frac{t^2}{2{({\mathrm{\σ}}_0/{\mathrm{\α}}_i\·{\mathrm{\β}}_i)}^2}}\mathrm{dt}$

其中，所述P_i为第i个漏洞的风险值，所述A_i为第i个漏洞自身被安全评级机构评估的风险值，所述σ₀为默认系数，α_i为第i个漏洞的修复方案的发布者的能力，β_i为第i个漏洞的修复方案的发布及时程度；所述t₀为确定漏洞的风险值所设定的起始时刻，所述t₁为确定漏洞的风险值所设定的结束时刻。

4.如权利要求1所述的方法，其特征在于，将当前周期内所述漏洞库中的每个漏洞分别与所述信息资产库中包含的所有信息资产进行相关度匹配，筛选相关度不小于预设阈值的漏洞，具体包括：

统计当前信息资产库中包含的各个信息资产，归一化得到各个信息资产的单位向量的总和：其中，表示第j个信息资产的单位向量；

统计当前漏洞库中的第i个漏洞所威胁的各个信息资产，归一化得到各个信息资产的单位向量的总和：其中，表示第i个漏洞所威胁的信息资产库中的各个信息资产的总和，该中包含信息资产库中的部分或全部信息资产，若该为零，则表示该漏洞对信息资产库中的信息资产没有威胁，表示第i个漏洞所威胁的信息资产库以外的其他信息资产的总和，若该为零，则表示该漏洞对信息资产库以外的其他信息资产没有威胁；

利用相关度公式：

$\mathrm{Similarity}=\frac{\stackrel{\→}{X_1}\·\stackrel{\→}{X_{2i}}}{\left|\right|\stackrel{\→}{X_1}\·\stackrel{\→}{X_{2i}}\left|\right|}---\left(2\right)$

将当前信息资产库中包含的各个信息资产的总和与当前漏洞库中的第i个漏洞所威胁的各个信息资产的总和进行相关度匹配，确定第i个漏洞与所述信息资产库中各个信息资产的相关度；

待确定所有漏洞的相关度之后，筛选相关度不小于预设阈值的漏洞。

5.如权利要求1所述的方法，其特征在于，在执行预警操作之后，还包括：

将本次筛选出的各个漏洞的标识进行存储，形成对应本次预警操作的漏洞表。

6.一种信息安全预警装置，其特征在于，针对任一信息网络系统，基于预设的元模型建立有信息资产库，所述信息资产库中包含有多个信息资产，所述漏洞库中包含的漏洞是周期更新的，每个漏洞设置有相应的风险值，且每个漏洞对信息资产库内的至少一个信息资产和/或信息资产库外的至少一个信息资产产生威胁，所述装置包括：

匹配单元，用于将当前周期内所述漏洞库中的每个漏洞分别与所述信息资产库中包含的所有信息资产进行相关度匹配，筛选相关度不小于预设阈值的漏洞；

计算单元，用于对所述匹配单元筛选出的各个漏洞当前的风险值求和，计算得到针对该信息资产总量的总风险值；

比较单元，用于将所述计算单元计算得到的所述总风险值与预设预警值进行比较；

预警单元，用于在比较单元确定出所述总风险值不小于所述预设预警值时，执行预警操作。

7.如权利要求6所述的装置，其特征在于，所述当前漏洞库中每个漏洞当前的风险值与该漏洞自身被安全评级机构评估的风险成正相关，与该漏洞被修复的及时程度成负相关，与该漏洞的修复方案的发布者的能力成负相关，与该漏洞的修复方案的发布及时程度成负相关。

8.如权利要求7所述的装置，其特征在于，所述当前漏洞库中每个漏洞的风险值具体通过以下公式确定：

$P_i={\∫}_{t_0}^{t_1}{\mathrm{\ρ}}_i\left(t\right)\mathrm{dt}={\∫}_{t_0}^{t_1}\frac{4}{({\mathrm{\σ}}_0/{\mathrm{\α}}_i\·{\mathrm{\β}}_i)\sqrt{2\mathrm{\π}}}{e}^{-\frac{t^2}{2{({\mathrm{\σ}}_0/{\mathrm{\α}}_i\·{\mathrm{\β}}_i)}^2}}\mathrm{dt}$

其中，所述P_i为第i个漏洞的风险值，所述A_i为第i个漏洞自身被安全评级机构评估的风险值，所述σ₀为默认系数，α_i为第i个漏洞的修复方案的发布者的能力，β_i为第i个漏洞的修复方案的发布及时程度；所述t₀为确定漏洞的风险值所设定的起始时刻，所述t₁为确定漏洞的风险值所设定的结束时刻。

9.如权利要求6所述的装置，其特征在于，

所述匹配单元，具体用于：

统计当前信息资产库中包含的各个信息资产，归一化得到各个信息资产的单位向量的总和：其中，表示第j个信息资产的单位向量；

统计当前漏洞库中的第i个漏洞所威胁的各个信息资产，归一化得到各个信息资产的单位向量的总和：其中，表示第i个漏洞所威胁的信息资产库中的各个信息资产的总和，该中包含信息资产库中的部分或全部信息资产，若该为零，则表示该漏洞对信息资产库中的信息资产没有威胁，表示第i个漏洞所威胁的信息资产库以外的其他信息资产的总和，若该为零，则表示该漏洞对信息资产库以外的其他信息资产没有威胁；

利用相关度公式：

$\mathrm{Similarity}=\frac{\stackrel{\→}{X_1}\·\stackrel{\→}{X_{2i}}}{\left|\right|\stackrel{\→}{X_1}\·\stackrel{\→}{X_{2i}}\left|\right|}---\left(2\right)$

将当前信息资产库中包含的各个信息资产的总和与当前漏洞库中的第i个漏洞所威胁的各个信息资产的总和进行相关度匹配，确定第i个漏洞与所述信息资产库中各个信息资产的相关度；

待确定所有漏洞的相关度之后，筛选相关度不小于预设阈值的漏洞。

10.如权利要求6所述的装置，其特征在于，还包括：

存储单元，用于在预警单元执行预警操作之后，将本次筛选出的各个漏洞的标识进行存储，形成对应本次预警操作的漏洞表。