CN108092985B - 网络安全态势分析方法、装置、设备及计算机存储介质 - Google Patents

网络安全态势分析方法、装置、设备及计算机存储介质 Download PDF

Info

Publication number
CN108092985B
CN108092985B CN201711427724.4A CN201711427724A CN108092985B CN 108092985 B CN108092985 B CN 108092985B CN 201711427724 A CN201711427724 A CN 201711427724A CN 108092985 B CN108092985 B CN 108092985B
Authority
CN
China
Prior art keywords
network security
network
score
value
preset
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201711427724.4A
Other languages
English (en)
Other versions
CN108092985A (zh
Inventor
何春根
陈奋
陈荣有
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xiamen Fuyun Information Technology Co ltd
Original Assignee
Xiamen Fuyun Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xiamen Fuyun Information Technology Co ltd filed Critical Xiamen Fuyun Information Technology Co ltd
Priority to CN201711427724.4A priority Critical patent/CN108092985B/zh
Publication of CN108092985A publication Critical patent/CN108092985A/zh
Application granted granted Critical
Publication of CN108092985B publication Critical patent/CN108092985B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请设计网络安全领域,尤其涉及网络安全态势分析方法、装置、设备及计算机存储介质。该方法中用于评估网络安全态势的指定参数定量计算整体网络安全积分,并结合资产和基于网络安全日志关联分析引擎计算得到的可信度值计算网络安全态势指数,实现了定性和定量结合度量网络安全态势。此外,由于计算过程采用简单的数学运算方法,相比现有技术复杂的模型和计算方法处理效率更高。故此,本申请提供了一种能够较全面的度量网络完全态势且计算简单的网络安全态势度量方法。

Description

网络安全态势分析方法、装置、设备及计算机存储介质
技术领域
本申请涉及网络安全技术领域,尤其涉及网络安全态势分析方法、装置、设备及计算机存储介质。
背景技术
安全度量的目标是把专业的安全数据翻译成决策者关心的、与核心业务关联的评价指标,形成对安全态势度量的指标体系,并最终为管理者决策提供依据。当前在实际应用中的态势度量分析算法主要有基于逻辑关系、基于数学模型、基于概率统计三类算法。具体如下:
1、基于逻辑关系的整体态势度量算法:依据安全态势要素信息之间内在的逻辑,对信息进行融合。基于逻辑关系的典型应用就是告警关联,基于告警信息之间的逻辑关系进行融合,从而获取整体的攻击态势。告警之间的逻辑关系包括告警属性特征的相似性、预定义模型中的关联性、攻击的前提和后继条件之间的相关性。该算法的优点是能从时间序列上将多个单个危险性事件拼接出攻击过程全貌,缺点是态势要素数据特征提取要求过高,针对复杂、隐蔽的攻击过程由单个事件的攻击路径和关联性较弱导致效果很差。同时该算法用于计算整体安全态势的度量有很大的局限性,仅限于描述攻击态势。
2、基于数学模型的整体态势度量算法:综合考虑影响态势的各项态势因素,构造评定函数,建立态势因素集合到态势空间的映射关系。常用的算法包括加权平均算法,通常由态势因素和其重要性权值共同确定。该类算法的优点是直观,缺点是权值的选择缺乏统一的标准或实践指南,大多是根据经验值确定。
3、基于概率统计的整体态势度量算法:充分利用先验知识的统计特性,结合信息不确定性,建立态势度量的模型,然后通过模型评估网络的整体安全态势。常见的基于概率统计的方法包括贝叶斯网络和隐马尔可夫模型。
贝叶斯网络:一个贝叶斯网络是一个有向无环图(DAG),其节点表示一个变量,边代表变量之间的联系,节点存储本节点的相当于父节点的条件概率分布。
隐马尔可夫模型:是马尔可夫链的一种,它的状态不能直接观察到,但能通过感测向量序列观察到,每一个观测向量是由一个具有相应概率密度分布的状态序列产生。所以隐马尔可夫模型是一个双重随机过程。
基于概率统计的整体态势度量算法可以融合最新的证据信息和先验知识,过程清晰,易于理解。缺点是要求数据源大,同时需要的存储量和匹配计算的运算量也大,容易造成位数爆炸,影响实时性;另外特征提取、模型构建和先验知识的获取非常困难,规则的抽取过于复杂。
由此可见,现有技术网络安全态势的度量方法,要么具有一定的局限性难以从各个层次评估网络安全态势,要么处理过程复杂,计算负担较大。故此,需要一种能够从更多层面定量描述网络完全态势,且计算效率高的方法。
发明内容
本申请实施例提供网络安全态势分析方法、装置、设备及计算机存储介质,用以解决现有技术中存在的网络安全态势分析方法、装置、设备及计算机存储介质等的问题。
第一方面,本申请实施例提供的一种网络安全态势分析方法,所述方法包括:
在当前评估周期内持续获取影响网络安全的指定参数;
根据预设的参数与预设分值的对应关系,确定获取的指定参数对应的分值;其中,提高网络安全的指定参数对应的分值为正值,降低网络安全的指定参数对应的分值为负值;
计算当前网络安全态势积分值与确定的分值的和值,得到整体网络安全积分;其中,每个评估周期开始时对应的当前网络安全态势积分值为预设的满分值;
根据整体网络安全积分、指定的资产价值分值以及预先基于网络安全日志关联分析引擎计算得到的可信度值,计算网络安全态势指数;
显示计算的网络安全态势指数对应的网络安全态势等级。
第二方面,本申请实施例提供一种网络安全态势分析装置,所述装置包括:
获取模块,用于在当前评估周期内持续获取影响网络安全的指定参数;
分值确定模块,用于根据预设的参数与预设分值的对应关系,确定获取的指定参数对应的分值;其中,提高网络安全的指定参数对应的分值为正值,降低网络安全的指定参数对应的分值为负值;
积分值计算模块,用于计算当前网络安全态势积分值与确定的分值的和值,得到整体网络安全积分;其中,每个评估周期开始时对应的当前网络安全态势积分值为预设的满分值;
安全指数计算模块,用于根据整体网络安全积分、指定的资产价值分值以及预先基于网络安全日志关联分析引擎计算得到的可信度值,计算网络安全态势指数;
显示模块,用于显示计算的网络安全态势指数对应的网络安全态势等级。
第三方面,本申请实施例提供一种计算设备,包括存储器和处理器,其中,所述存储器用于存储程序指令,所述处理器用于调用所述存储器中存储的程序指令,按照获得的程序指令执行本申请实施例任一所述的网络安全态势分析方法。
第四方面、本申请实施例提供一种计算机存储介质,所述计算机存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行如本申请实施例任一所述的网络安全态势分析方法。
申请实施例中,根据指定参数定量计算整体网络安全积分,并结合资产和基于网络安全日志关联分析引擎计算得到的可信度值计算网络安全态势指数,实现了定性和定量结合度量网络安全态势。此外,由于计算过程采用简单的数学运算方法,相比现有技术复杂的模型和计算方法处理效率更高。故此,本申请提供了一种能够较全面的度量网络完全态势且计算简单的网络安全态势度量方法。
附图说明
图1所示为本申请实施例提供的网络安全态势分析方法的流程示意图;
图2所示为本申请实施例提供的结合采用不同颜色显示网络安全态势的界面示意图;
图3所示为本申请实施例提供的网络安全态势拓扑示意图;
图4所示为本申请实施例提供的整体网络安全积分配置流程示意图;
图5所示为本申请实施例提供的网络安全态势分析装置的结构示意图;
图6所示为本申请实施例提供的计算设备的结构示意图。
具体实施方式
本申请实施例提供一种网络安全态势分析方法、装置、设备及计算机存储介质。在该方法中在当前评估周期内持续获取影响网络安全的指定参数;根据预设的参数与预设分值的对应关系,确定获取的指定参数对应的分值;其中,高网络安全的指定参数对应的分值为正值,降低网络安全的指定参数对应的分值为负值;计算当前网络安全态势积分值与确定的分值的和值,得到整体网络安全积分;其中,每个评估周期开始时对应的当前网络安全态势积分值为预设的满分值;根据整体网络安全积分、指定的资产价值分值以及预先基于网络安全日志关联分析引擎计算得到的可信度值,计算网络安全态势指数;显示计算的网络安全态势指数对应的网络安全态势等级。这样,通过指定参数对应的分值,可以定量描述网络安全态势,再结合资产价值分值以及可信度值,进一步实现定量与定性结合度量网络安全态势。而计算方法采用的均是简单的数学运算方法,所以网络安全态势的分析处理简单,效率高,实时性高。
下面结合具体实施例,对本申请实施例提供的网络安全态势的分析方法做进一步说明。
实施例一
如图1所示,为本申请实施例提供的网络安全态势分析方法的流程示意图,该方法包括:
步骤101:在当前评估周期内持续获取影响网络安全的指定参数。
其中,每个评估周期的时长可以根据实际需求确定,例如5分钟、10分钟等,本申请实施例对此不作限定。
其中,在一个实施例中,所述指定参数包括以下中的至少一种:
漏洞,危险性事件、漏洞修复事件、网络可用性故障、业务可用性故障、网络可用性故障恢复事件、业务可用性故障恢复事件等。具体实施时,可以根据实际情况确定影响网络安全的数据作为制定参数,对此不作限定。
其中,可以通过持续性监测操作系统、应用软件的漏洞、风险配置项来检测漏洞。
危险性事件指能够影响网络安全的事件,可以包括用户关注的安全类事件、普通攻击和针对性攻击。其中,安全类事件包括安全事件的数量与分布,安全设备检测或已阻断的安全问题。安全类事件可以进一步细化分类,如:入侵事件、木马事件、蠕虫事件等。普通攻击如DDos(Distributed Denial ofService,分布式拒绝服务)攻击、蠕虫等,针对性攻击如持续性暴力、定向渗透攻击、定向网页扫描攻击等。具体实施时,可以通过分析安全日志确定是否存在定性攻击。
除此之外,危险性事件还可以包括内网员工行为审计,如在安全审计、安全检查中发现的用户违规行为的数量、级别、分布情况等。
3)业务可用性故障可包括:硬件设备、业务、域名的可用性、响应时间等。除此之外,还可以包括用户体验状态,如对时间敏感性服务、公众服务都非常关注的服务提供的质量,也就是对用户使用服务时的感觉,如用户对服务的评价、页面打开时间、查询等待时间等。
此外,还可以包括系统可靠性:系统已经提供多长时间的有效服务,以及系统服务的后续支撑能力。包括两部分指标,一是系统正常运行累计的统计指标,包括硬件、软件服务运行时间等;二是系统现状指标,如CPU(Central Processing Unit,中央处理器)状态、业务流量与分布、存储空间、用户连接数、用户并发数等。
步骤102:根据预设的参数与预设分值的对应关系,确定获取的指定参数对应的分值;其中,提高网络安全的指定参数对应的分值为正值,降低网络安全的指定参数对应的分值为负值。
其中,在一个实施例中,漏洞与该漏洞对应的漏洞修复事件对应的分值互为相反数;
网络可用性故障与对应的网络可用性故障恢复事件对应的分值互为相反数;
业务可用性故障与对应的业务可用性故障恢复事件对应的分值互为相反数。
例如,漏洞A对应的分值为-5分,则漏洞A被修复的事件对应的分值为5分,其它互为相反数的指定参数以此类推,本申请实施例不再赘述。
其中,在一个实施例中,若所述指定参数包括漏洞,所述根据预设的参数与预设分值的对应关系,确定获取的指定参数对应的分值,包括:
确定漏洞对应的漏洞等级,将所述漏洞等级对应的分值作为所述漏洞的分值;
若所述指定参数包括危险性事件,所述根据预设的参数与预设分值的对应关系,确定获取的指定参数对应的分值之前,所述方法还包括:确定所述危险性事件为定向性攻击事件;这样,定性危险性事件对网络安全态势影响较大,对定向性攻击事件进行处理,能够提高网络安全态势度量的准确性的同时提高处理效率。
若所述指定参数包括网络可用性故障,所述根据预设的参数与预设分值的对应关系,确定获取的指定参数对应的分值之前,所述方法还包括:确定该网络可用性故障为预先配置的重要故障;
同理,若所述指定参数包括业务可用性故障,所述根据预设的参数与预设分值的对应关系,确定获取的指定参数对应的分值之前,所述方法还包括:
确定该业务可用性故障为预先配置的重要故障。
也就是说用户可以根据自己的需求设置重要故障,例如重要的服务器发生故障,重要的业务发生故障,这样能够快速的从网络安全态势的度量中发现重要设备和重要业务出现问题,能够为用户做好预警和后续处理提供有效的支撑。
步骤103:计算当前网络安全态势积分值与确定的分值的和值,得到整体网络安全积分;其中,每个评估周期开始时对应的当前网络安全态势积分值为预设的满分值。
其中,在一个实施例中,数据泄露往往是用户关注的重点,对用户关心的敏感数据建立服务器级、文件级的跟踪监控是必要的,具体实施时可以预先配置基本的敏感数据单元为单位的用户列表变化。这个过程可以包括对敏感数据的查询、修改、传输、输出、存储等。本申请实施例中所述指定参数还包括敏感数据入侵事件,所述方法还包括:将当前网络安全态势积分值清零。也就是说本申请提供的方法,在发现重要的敏感数据入侵事件时,能够及时将网络安全态势积分值清零,即标准网络安全遭受极大的威胁,可以迅速的让用户得知,提高网络安全态势度量的实时性。
步骤104:根据整体网络安全积分、指定的资产价值分值以及预先基于网络安全日志关联分析引擎计算得到的可信度值,计算网络安全态势指数。
其中,在一个实施例中,所述根据整体网络安全积分、指定的资产价值分值以及预先基于网络安全日志关联分析引擎计算得到的可信度值,计算网络安全态势指数,包括:计算整体网络安全积分与指定的资产价值分值以及预先基于网络安全日志关联分析引擎计算得到的可信度值之间的乘积,并计算该乘积除以预设因子得到的计算结果作为所述网络安全态势指数。这样,通过乘法和除法既可以实现将定量和定性结合起来度量网络安全态势,操作简便,易于实现。
具体实施时,可以根据以下公式(1)来计算网络安全态势指数:
网络安全态势指数=整体网络安全积分×资产价值×可信度/5000(1)
其中:
整体网络安全积分取值范围:0-100分
资产价值取值范围:0-5分,默认2分,取值越高说明资产价值越高,具体实施时,可以用户确定。
可信度取值范围:0-10分,默认1分,取值越高说明可信度越大。
步骤105:显示计算的网络安全态势指数对应的网络安全态势等级。
其中,在一个实施例中,显示计算的网络安全态势指数对应的网络安全态势等级,包括:
确定网络安全态势指数所在的预设网络安全态势指数范围;
获取确定的预设网络安全态势指数范围对应的颜色;
在预设网络安全态势图中显示所述颜色。
具体实施时,可以按照严重程度分为红、橙、黄、绿四色预警。例如表1所示建立对应安全等级表来评价整体网络安全态势。需要说明的是表1仅用于说明本申请实施例,具体实施时的颜色和态势指数范围可以根据实际需要设定。
表1
Figure BDA0001524272860000081
Figure BDA0001524272860000091
这样,本申请实施例相当于实现不同安全等级对应不同的颜色,使得用户仅通过颜色就可以确定网络安全态势情况,相比数值显示,更加直观容易理解,能够提高用户体验。
其中,在一个实施例中,所述方法还包括:统计所述当前评估周期内高危漏洞的个数,遭遇定向攻击的个数、遭遇大规模分布式拒绝攻击DDOS的次数以及网络顺畅程度,并显示。如图2所示,为结合采用不同颜色显示网络安全态势的界面示意图,其中,从事件、攻击、漏洞、可用性四个维度来度量网络安全态势,中间标有安全状态的圆圈具体实施时可以为绿色,让用户通过绿色了解到网络处于安全状态。此外,图下方还分别设有高危漏洞、网络顺畅、定性攻击和大规模DDOS来进一步描述一个评估周期内的网络状态,便于用户了解更多的网络安全信息。
其中,在一个实施例中,所述方法还包括:获取所述当前评估周期内遭遇的攻击、重要设备故障预警各自对应的处置流程与预案并显示。例如,提供DNS遭劫持、网站遭遇DDos攻击、CC(ChallengeCollapsar)攻击、网页非法篡改、主机房设备故障等预警处置流程与预案,可为快速决策和安全管理提供可视化的分析服务。
总而言之,如图3所示,网络安全态势可以覆盖从网络基础运行维度、网络脆弱性维度和网络威胁性维度三个维度,对网络安全态势形成一个完整的评价。
其中,在一个实施例中,网络安全态势积分值的满分值可设置为100。具体实施时可如图4所示,采用整体网络安全积分来表征时间序列上的整体网络安全态势变化,具体实施时,在每个评估周期内:
当发现漏洞,根据漏洞高、中、低危三个等级,每个漏洞扣减相应的积分;
当检测到攻击发生时,判断是否为定向性攻击(比如:定向人工渗透攻击、持续WEB扫描攻击等),如果是则扣减相应的态势积分;
当监控到网络或业务可用性告警时,判断该告警的网络或业务服务是否重要,如果是则扣减相应的态势积分;
当检测出入侵控制,或数据泄露、窃取、篡改时,则态势积分归零;
当漏洞修复时,则恢复该漏洞所扣减的态势积分;
当网络或业务可用性故障恢复时,则根据恢复后网络或业务服务可用性监测数据重新评估,并根据恢复情况扣减相应的态势积分;
当入侵控制,或数据泄露、窃取、篡改事故应急处置成功时,则恢复该事件对应的态势积分;
最后综合计算当前整体态势积分。
综上所述,本申请实施例根据指定参数度量网络安全态势积分值,并能够把资产、业务、数据的可用性、风险、漏洞等要素结合起来,可以从不同层次对网络整体安全态势进行评估。
实施例二
基于相同的发明构思,本申请实施例提供一种网络安全态势分析装置,该装置的实现原理与有益效果与实施例一相似,在此不再赘述。如图5所示,所述装置包括:
获取模块501,用于在当前评估周期内持续获取影响网络安全的指定参数;
分值确定模块502,用于根据预设的参数与预设分值的对应关系,确定获取的指定参数对应的分值;其中,提高网络安全的指定参数对应的分值为正值,降低网络安全的指定参数对应的分值为负值;
积分值计算模块503,用于计算当前网络安全态势积分值与确定的分值的和值,得到整体网络安全积分;其中,每个评估周期开始时对应的当前网络安全态势积分值为预设的满分值;
安全指数计算模块504,用于根据整体网络安全积分、指定的资产价值分值以及预先基于网络安全日志关联分析引擎计算得到的可信度值,计算网络安全态势指数;
显示模块505,用于显示计算的网络安全态势指数对应的网络安全态势等级。
其中,在一个实施例中,所述安全指数计算模块,具体用于计算整体网络安全积分与指定的资产价值分值以及预先基于网络安全日志关联分析引擎计算得到的可信度值之间的乘积,并计算该乘积除以预设因子得到的计算结果作为所述网络安全态势指数。
其中,在一个实施例中,所述指定参数包括以下中的至少一种:
漏洞,危险性事件、漏洞修复事件、网络可用性故障、业务可用性故障、网络可用性故障恢复事件、业务可用性故障恢复事件;其中,
漏洞与该漏洞对应的漏洞修复事件对应的分值互为相反数;
网络可用性故障与对应的网络可用性故障恢复事件对应的分值互为相反数;
业务可用性故障与对应的业务可用性故障恢复事件对应的分值互为相反数;
若所述指定参数包括漏洞,所述分值确定模块,用于确定漏洞对应的漏洞等级,将所述漏洞等级对应的分值作为所述漏洞的分值;
若所述指定参数包括危险性事件,在所述分值确定模块根据预设的参数与预设分值的对应关系,确定获取的指定参数对应的分值之前,所述装置还包括:
定向性攻击事件确定模块,用于确定所述危险性事件为定向性攻击事件;
若所述指定参数包括网络可用性故障,所述分值确定模块根据预设的参数与预设分值的对应关系,确定获取的指定参数对应的分值之前,所述装置还包括:
第一重要故障确定模块,用于确定该网络可用性故障为预先配置的重要故障;
若所述指定参数包括业务可用性故障,所述分值确定模块根据预设的参数与预设分值的对应关系,确定获取的指定参数对应的分值之前,所述装置还包括:
第二要故障确定模块,用于确定该业务可用性故障为预先配置的重要故障。
其中,在一个实施例中,所述指定参数还包括敏感数据入侵事件,所述装置还包括:
清零模块,用于将当前网络安全态势积分值清零。
其中,在一个实施例中,所述装置还包括:
附加模块,用于统计所述当前评估周期内高危漏洞的个数,遭遇定向攻击的个数、遭遇大规模分布式拒绝攻击DDOS的次数以及网络顺畅程度,并显示。
其中,在一个实施例中,所述装置还包括:
预案模块,用于获取所述当前评估周期内遭遇的攻击、重要设备故障预警各自对应的处置流程与预案并显示。
其中,在一个实施例中,所述显模块,包括:
指数范围确定单元,用于确定网络安全态势指数所在的预设网络安全态势指数范围;
颜色获取单元,用于获取确定的预设网络安全态势指数范围对应的颜色;
显示单元,用于在预设网络安全态势图中显示所述颜色。
本申请实施例中,根据指定参数定量计算整体网络安全积分,并结合资产和基于网络安全日志关联分析引擎计算得到的可信度值计算网络安全态势指数,实现了定性和定量结合度量网络安全态势。此外,由于计算过程采用简单的数学运算方法,相比现有技术复杂的模型和计算方法处理效率更高。故此,本申请提供了一种能够较全面的度量网络完全态势且计算简单的网络安全态势度量装置。
实施例三
本申请实施例三还提供了一种计算设备,该计算设备具体可以为桌面计算机、便携式计算机、智能手机、平板电脑、个人数字助理(Personal Digital Assistant,PDA)等。如图6所示,该计算设备可以包括中央处理器(Center Processing Unit,CPU)601、存储器602、输入设备603,输出设备604等,输入设备可以包括键盘、鼠标、触摸屏等,输出设备可以包括显示设备,如液晶显示器(Liquid Crystal Display,LCD)、阴极射线管(Cathode RayTube,CRT)等。
存储器可以包括只读存储器(ROM)和随机存取存储器(RAM),并向处理器提供存储器中存储的程序指令和数据。在本申请实施例中,存储器可以用于存储网络安全态势分析方法的程序指令。处理器通过调用存储器存储的程序指令,处理器用于按照获得的程序指令执行:在当前评估周期内持续获取影响网络安全的指定参数;
根据预设的参数与预设分值的对应关系,确定获取的指定参数对应的分值;其中,提高网络安全的指定参数对应的分值为正值,降低网络安全的指定参数对应的分值为负值;
计算当前网络安全态势积分值与确定的分值的和值,得到整体网络安全积分;其中,每个评估周期开始时对应的当前网络安全态势积分值为预设的满分值;
根据整体网络安全积分、指定的资产价值分值以及预先基于网络安全日志关联分析引擎计算得到的可信度值,计算网络安全态势指数;
显示计算的网络安全态势指数对应的网络安全态势等级。
实施例四
本申请实施例四提供了一种计算机存储介质,用于储存为上述计算设备所用的计算机程序指令,其包含用于执行上述网络安全态势分析方法的程序。
所述计算机存储介质可以是计算机能够存取的任何可用介质或数据存储设备,包括但不限于磁性存储器(例如软盘、硬盘、磁带、磁光盘(MO)等)、光学存储器(例如CD、DVD、BD、HVD等)、以及半导体存储器(例如ROM、EPROM、EEPROM、非易失性存储器(NAND FLASH)、固态硬盘(SSD))等。
最后应说明的是:以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

Claims (9)

1.一种网络安全态势分析方法,其特征在于,所述方法包括:
在当前评估周期内持续获取影响网络安全的指定参数;
根据预设的参数与预设分值的对应关系,确定获取的指定参数对应的分值;其中,提高网络安全的指定参数对应的分值为正值,降低网络安全的指定参数对应的分值为负值;
计算当前网络安全态势积分值与确定的分值的和值,得到整体网络安全积分;其中,每个评估周期开始时对应的当前网络安全态势积分值为预设的满分值;
根据整体网络安全积分、指定的资产价值分值以及预先基于网络安全日志关联分析引擎计算得到的可信度值,计算网络安全态势指数;
显示计算的网络安全态势指数对应的网络安全态势等级;
所述根据整体网络安全积分、指定的资产价值分值以及预先基于网络安全日志关联分析引擎计算得到的可信度值,计算网络安全态势指数,包括:
计算整体网络安全积分与指定的资产价值分值以及预先基于网络安全日志关联分析引擎计算得到的可信度值之间的乘积,并计算该乘积除以预设因子得到的计算结果作为所述网络安全态势指数。
2.根据权利要求1所述的方法,其特征在于,所述指定参数包括以下中的至少一种:
漏洞,危险性事件、漏洞修复事件、网络可用性故障、业务可用性故障、网络可用性故障恢复事件、业务可用性故障恢复事件;其中,
漏洞与该漏洞对应的漏洞修复事件对应的分值互为相反数;
网络可用性故障与对应的网络可用性故障恢复事件对应的分值互为相反数;
业务可用性故障与对应的业务可用性故障恢复事件对应的分值互为相反数;
若所述指定参数包括漏洞,所述根据预设的参数与预设分值的对应关系,确定获取的指定参数对应的分值,包括:
确定漏洞对应的漏洞等级,将所述漏洞等级对应的分值作为所述漏洞的分值;
若所述指定参数包括危险性事件,所述根据预设的参数与预设分值的对应关系,确定获取的指定参数对应的分值之前,所述方法还包括:
确定所述危险性事件为定向性攻击事件;
若所述指定参数包括网络可用性故障,所述根据预设的参数与预设分值的对应关系,确定获取的指定参数对应的分值之前,所述方法还包括:
确定该网络可用性故障为预先配置的重要故障;
若所述指定参数包括业务可用性故障,所述根据预设的参数与预设分值的对应关系,确定获取的指定参数对应的分值之前,所述方法还包括:
确定该业务可用性故障为预先配置的重要故障。
3.根据权利要求2所述的方法,其特征在于,所述指定参数还包括敏感数据入侵事件,所述方法还包括:
将当前网络安全态势积分值清零。
4.根据权利要求2所述的方法,其特征在于,所述方法还包括:
统计所述当前评估周期内高危漏洞的个数,遭遇定向攻击的个数、遭遇大规模分布式拒绝攻击DDOS的次数以及网络顺畅程度,并显示。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
获取所述当前评估周期内遭遇的攻击、重要设备故障预警各自对应的处置流程与预案并显示。
6.根据权利要求1-5中任一所述的方法,其特征在于,所述显示计算的网络安全态势指数对应的网络安全态势等级,包括:
确定网络安全态势指数所在的预设网络安全态势指数范围;
获取确定的预设网络安全态势指数范围对应的颜色;
在预设网络安全态势图中显示所述颜色。
7.一种网络安全态势分析装置,其特征在于,所述装置包括:
获取模块,用于在当前评估周期内持续获取影响网络安全的指定参数;
分值确定模块,用于根据预设的参数与预设分值的对应关系,确定获取的指定参数对应的分值;其中,提高网络安全的指定参数对应的分值为正值,降低网络安全的指定参数对应的分值为负值;
积分值计算模块,用于计算当前网络安全态势积分值与确定的分值的和值,得到整体网络安全积分;其中,每个评估周期开始时对应的当前网络安全态势积分值为预设的满分值;
安全指数计算模块,用于根据整体网络安全积分、指定的资产价值分值以及预先基于网络安全日志关联分析引擎计算得到的可信度值,计算网络安全态势指数;
显示模块,用于显示计算的网络安全态势指数对应的网络安全态势等级;
所述安全指数计算模块,具体用于计算整体网络安全积分与指定的资产价值分值以及预先基于网络安全日志关联分析引擎计算得到的可信度值之间的乘积,并计算该乘积除以预设因子得到的计算结果作为所述网络安全态势指数。
8.一种计算设备,其特征在于,包括存储器和处理器,其中,所述存储器用于存储程序指令,所述处理器用于调用所述存储器中存储的程序指令,按照获得的程序指令执行如权利要求1~6任一所述的网络安全态势分析方法。
9.一种计算机存储介质,其特征在于,所述计算机存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行如权利要求1~6任一所述的网络安全态势分析方法。
CN201711427724.4A 2017-12-26 2017-12-26 网络安全态势分析方法、装置、设备及计算机存储介质 Active CN108092985B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711427724.4A CN108092985B (zh) 2017-12-26 2017-12-26 网络安全态势分析方法、装置、设备及计算机存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711427724.4A CN108092985B (zh) 2017-12-26 2017-12-26 网络安全态势分析方法、装置、设备及计算机存储介质

Publications (2)

Publication Number Publication Date
CN108092985A CN108092985A (zh) 2018-05-29
CN108092985B true CN108092985B (zh) 2021-04-06

Family

ID=62179433

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711427724.4A Active CN108092985B (zh) 2017-12-26 2017-12-26 网络安全态势分析方法、装置、设备及计算机存储介质

Country Status (1)

Country Link
CN (1) CN108092985B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110912788B (zh) * 2018-09-18 2021-07-23 珠海格力电器股份有限公司 联网控制方法及装置、存储介质、处理器
CN110443515A (zh) * 2019-08-09 2019-11-12 杭州安恒信息技术股份有限公司 基于威胁指数的物联网安全检测方法与系统
CN112929222A (zh) * 2021-03-04 2021-06-08 睿石网云(杭州)科技有限公司 一种复杂应用系统运行态势感知方法
CN113127882B (zh) * 2021-04-23 2023-06-09 杭州安恒信息安全技术有限公司 一种终端安全防护方法、装置、设备及可读存储介质
CN114285638A (zh) * 2021-12-24 2022-04-05 江苏瑞新信息技术股份有限公司 一种网络空间安全防护能力指数度量方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101610174A (zh) * 2009-07-24 2009-12-23 深圳市永达电子股份有限公司 一种日志关联分析系统与方法
CN103366244A (zh) * 2013-06-19 2013-10-23 深圳市易聆科信息技术有限公司 一种实时获取网络风险值的方法及系统
CN103581186A (zh) * 2013-11-05 2014-02-12 中国科学院计算技术研究所 一种网络安全态势感知方法及系统
CN104766137A (zh) * 2015-03-27 2015-07-08 中国人民解放军信息工程大学 一种基于证据理论的网络安全态势预测方法
CN105516130A (zh) * 2015-12-07 2016-04-20 北京安信天行科技有限公司 一种数据处理方法和装置
CN107204876A (zh) * 2017-05-22 2017-09-26 成都网络空间安全技术有限公司 一种网络安全风险评估方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10122762B2 (en) * 2016-06-15 2018-11-06 Empow Cyber Security Ltd. Classification of security rules

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101610174A (zh) * 2009-07-24 2009-12-23 深圳市永达电子股份有限公司 一种日志关联分析系统与方法
CN103366244A (zh) * 2013-06-19 2013-10-23 深圳市易聆科信息技术有限公司 一种实时获取网络风险值的方法及系统
CN103581186A (zh) * 2013-11-05 2014-02-12 中国科学院计算技术研究所 一种网络安全态势感知方法及系统
CN104766137A (zh) * 2015-03-27 2015-07-08 中国人民解放军信息工程大学 一种基于证据理论的网络安全态势预测方法
CN105516130A (zh) * 2015-12-07 2016-04-20 北京安信天行科技有限公司 一种数据处理方法和装置
CN107204876A (zh) * 2017-05-22 2017-09-26 成都网络空间安全技术有限公司 一种网络安全风险评估方法

Also Published As

Publication number Publication date
CN108092985A (zh) 2018-05-29

Similar Documents

Publication Publication Date Title
CN108092985B (zh) 网络安全态势分析方法、装置、设备及计算机存储介质
US11997129B1 (en) Attack-related events and alerts
US10404737B1 (en) Method for the continuous calculation of a cyber security risk index
Bryant et al. Improving SIEM alert metadata aggregation with a novel kill-chain based classification model
Al-Janabi Pragmatic miner to risk analysis for intrusion detection (PMRA-ID)
CN101459537A (zh) 基于多层次多角度分析的网络安全态势感知系统及方法
CN108270723B (zh) 一种电力网络预测攻击路径的获取方法
WO2022150513A1 (en) Systems, devices, and methods for observing and/or securing data access to a computer network
Chatzipoulidis et al. Information infrastructure risk prediction through platform vulnerability analysis
Elfeshawy et al. Divided two-part adaptive intrusion detection system
KR20080079767A (ko) 대형 네트워크에서 실시간 사이버 침입에 대한 이벤트유형의 정형화 시스템 및 방법
Vavilis et al. An anomaly analysis framework for database systems
Ehis Optimization of Security Information and Event Management (SIEM) Infrastructures, and Events Correlation/Regression Analysis for Optimal Cyber Security Posture
Gonzalez-Granadillo et al. Enhancing information sharing and visualization capabilities in security data analytic platforms
Salazar et al. Monitoring approaches for security and safety analysis: application to a load position system
US11575702B2 (en) Systems, devices, and methods for observing and/or securing data access to a computer network
CN114168967A (zh) 一种工控系统安全态势预测方法和系统
CN113904828A (zh) 接口的敏感信息检测方法、装置、设备、介质和程序产品
Khorev et al. Assessing Information Risks When Using Web Applications Using Fuzzy Logic
Aime et al. The risks with security metrics
CA3204098C (en) Systems, devices, and methods for observing and/or securing data access to a computer network
US11930000B2 (en) Detection of anomalous authentications
US20240080332A1 (en) System and method for gathering, analyzing, and reporting global cybersecurity threats
Wen et al. A Metamodel for Web Application Security Evaluation
Bamhdi FLORA: Fuzzy Logic-Objective Risk Analysis for Intrusion Detectionand Prevention

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant