CN109861865A - 一种告警联动方法、装置、系统、计算机设备和存储介质 - Google Patents
一种告警联动方法、装置、系统、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN109861865A CN109861865A CN201910115174.5A CN201910115174A CN109861865A CN 109861865 A CN109861865 A CN 109861865A CN 201910115174 A CN201910115174 A CN 201910115174A CN 109861865 A CN109861865 A CN 109861865A
- Authority
- CN
- China
- Prior art keywords
- network
- alarm
- linkage
- linkage strategy
- strategy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及通信技术领域,特别是涉及一种告警联动方法、装置、系统、计算机设备和存储介质。所述方法包括如下步骤:接收告警源发送的告警信息,识别网络攻击类型;根据所述网络攻击类型获取候选联动策略集合;计算执行所述候选联动策略集合中各项联动策略的网络风险值,并将所述网络风险值最小时对应的所述联动策略作为目标联动策略;根据所述目标联动策略执行对应的告警联动动作。本发明实施例中的告警联动方法,在接收告警时,通过将所有匹配的策略都查询出来,然后通过评估和选择步骤来选择最优的策略,能达到全局上的最优效果,能够在较短的时间内取得更优的攻击应对结果。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种告警联动方法、装置、系统、计算机设备和存储介质。
背景技术
随着网络攻击手段越来越复杂,尤其是高级持续威胁攻击越来越常态化,企业在面对大规模网络的管理问题上需要有效的监测手段来发现网络中的异常行为,并且快速准确地进行应急处置,以避免进一步的经济损失,第一时间对网络攻击进行阻断。
目前很多企业部署了网络安全管理系统,甚至于态势感知系统来监测网络资产的安全状况,但是面对数以万计的大量安全告警往往束手无策,缺乏有力的应急响应的手段。现有技术中针对这类告警的处理,一方面普遍采用的专家人工应急响应方法,主要依赖专家经验;另一方面,通过在网络中部署的安全防护设备,如防火墙、入侵检测和网络隔离装置等往往执行各自单一的安全防护策略,容易形成安全孤岛,无法形成有效的联动防御,通常也无法达到最优的防御效果。
可见,现有技术中,对于网络攻击的处置,需要人为有针对性的进行处理,反应时间长、时效性差;或者在网络中设置特定的网络防御关卡,但是其灵活性不足,且相互之间通常没有协同防护的作用,无法全面有效地进行防御。
发明内容
基于此,有必要针对上述的问题,提供一种告警联动方法、装置、系统、计算机设备和存储介质。
在其中一个实施例中,本发明提供了一种告警联动方法,所述方法包括如下步骤:
接收告警源发送的告警信息,识别网络攻击类型;
根据所述网络攻击类型获取候选联动策略集合;
计算执行所述候选联动策略集合中各项联动策略的网络风险值,并将所述网络风险值最小时对应的所述联动策略作为目标联动策略;
根据所述目标联动策略执行对应的告警联动动作。
在其中一个实施例中,本发明提供了一种告警联动装置,包括:
攻击类型识别模块,用于接收告警源发送的告警信息,识别网络攻击类型;
联动策略查询模块,用于根据所述网络攻击类型获取候选联动策略集合;
联动策略决策模块,用于计算执行所述候选联动策略集合中各项联动策略的网络风险值,并将所述网络风险值最小时对应的所述联动策略作为目标联动策略;
联动策略执行模块,用于根据所述目标联动策略执行对应的告警联动动作。
在其中一个实施例中,本发明还提供一种告警联动系统,包括:
告警信息采集装置,用于采集告警信息,并将告警信息发送至告警联动装置;
告警联动装置,用于接收所述告警信息,并执行如上所述告警联动方法,以执行对应的告警联动动作。
在其中一个实施例中,本发明还提供一种计算机设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行上述所述告警联动方法的步骤。
在其中一个实施例中,本发明还提供一种存储介质,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行上述所述告警联动方法的步骤。
本发明实施例中的告警联动方法、装置、系统、计算机设备和存储介质,在接收告警时,通过将所有匹配的策略都查询出来,然后通过评估和选择步骤来选择最优的策略,能达到全局上的最优效果;同时将防御策略的评估和策略实施后攻击效果的变化相结合,使得攻击效果的评估为策略选择提供反馈信息,从而提供了一种自动评估策略效果的计算方法,能够在较短的时间内取得更优的攻击应对结果。
附图说明
图1为一个实施例中提供的告警联动方法的应用环境图;
图2为一个实施例中提供的告警联动方法的流程图;
图3为一个实施例中计算网络风险值的流程图;
图4为一个实施例中分析网络攻击链的流程图;
图5为一个实施例中告警联动装置的结构框图;
图6为一个实施例中提供的联动策略决策模块的结构框图;
图7为另一个实施例中提供的分析网络攻击链的流程图;
图8为一个实施例中提供的告警联动系统的结构框图;
图9为一个实施例中计算机设备的内部结构框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
可以理解,本申请所使用的术语“第一”、“第二”等可在本文中用于描述各种元件,但除非特别说明,这些元件不受这些术语限制。这些术语仅用于将第一个元件与另一个元件区分。举例来说,在不脱离本申请的范围的情况下,可以将第一xx单元称为第二xx单元,且类似地,可将第二xx单元称为第一xx单元。
图1为一个实施例中提供的告警联动方法的应用环境图,如图1所示,在该应用环境中,包括告警设备110、告警采集设备120和告警联动设备130。
告警设备110是指网络系统中的被攻击对象,属于网络系统中的网络节点,具体可以是计算机设备或者计算机软件,比如邮件服务器、Web服务器,系统发生故障时,监控单元将视故障情况给出告警信号。
告警采集设备120用于对告警设备给出的告警信号进行采集和统一管理的设备,告警采集设备120是以计算机技术为基础的过程控制与调度系统设备,它可以对网络进行监视和控制,以实现数据采集、控制、参数测量与调节以及各类信号的报警等功能,比如可以是计算机、手机、台式机和其他云端服务器等。
告警联动设备130用于针对告警采集设备120采集到的告警信号进行告警策略的选择和联动,以快速应对网络攻击对网络系统的破坏,比如可以是计算机、手机、台式机和其他云端服务器等。
实施例一
如图2所示,在一个实施例中,提出了一种告警联动方法,本实施例主要以该方法应用于上述图1中的告警联动设备130来举例说明,具体可以包括以下步骤:
步骤S201,接收告警源发送的告警信息,识别网络攻击类型;
步骤S202,根据网络攻击类型获取候选联动策略集合;
步骤S203,计算执行候选联动策略集合中各项联动策略的网络风险值,并将网络风险值最小时对应的联动策略作为目标联动策略;
步骤S204,根据目标联动策略执行对应的告警联动动作。
在本发明实施例中,网络攻击类型是指网络系统所受到的威胁,比如对邮件服务器的暴力口令破解、对Web服务器的SQL渗透等。联动策略的触发条件从网络攻击类型的特征出发,抽取可量化的指标,比如对邮件服务器的暴力口令破解,可以从输错口令的次数和频率,尝试登录邮件服务器的地理位置等方面来提取触发条件并寻找最佳的联动策略。
在本发明实施例中,根据网络攻击类型获取候选联动策略集合之前,还包括:
接收并存储用户输入的联动策略,联动策略包含针对网络攻击类型的告警联动动作,告警联动动作可以是包括切断网络连接、锁定账号和更新软件补丁中的一种或几种。
在本发明实施例中,用户进行联动策略的编写时,可以围绕具体的网络安全防御场景,比如可以包括四个方面的内容:防御的目标、防御的行为、策略的触发条件和策略的防御动作。防御的目标通常是一个具体的网络节点或者设备对象,比如邮件服务器、Web服务器等;防御的行为代表网络资产所受到的威胁,比如对邮件服务器的暴力口令破解、对Web服务器的SQL渗透等;策略的触发条件从网络威胁的特征出发,抽取可量化的指标,比如对邮件服务器的暴力口令破解,可以从输错口令的次数和频率,尝试登录邮件服务器的地理位置等方面来提取防御场景得触发条件;策略的防御动作指具体的应急处置措施,比如所述的切断网络连接、锁定帐号、更新软件补丁等。
在本发明实施例中,计算执行候选联动策略集合中各项联动策略的网络风险值,具体包括:
步骤S301,根据告警信息分析所有网络攻击路线,确定网络攻击链;
步骤S302,模拟对网络攻击链执行候选联动策略集合中的各项联动策略,并计算执行联动策略后各条网络攻击链的风险值;
步骤S303,根据网络攻击链的风险值计算网络风险值。
在本发明实施例中,告警信息可以是包含对于每一种告警提示信息的解释,包括告警的详细解释、告警的参数、告警对系统的影响、告警的可能原因和处理告警的建议说明;候选联动策略集合中包含应对某一种网络攻击或者网络攻击后系统的特征所应采取的联动策略,可以是针对某一个节点也可以是针对整个网络攻击链做出的联动策略。
其中,根据告警信息分析网络攻击路线,采用逆向深度优先算法,具体包括:
步骤S401,根据告警信息确定网络攻击的最终目标;
步骤S402,遍历预设的网络攻击模板库,确定攻击最终目标的攻击手段和该攻击手段利用的安全漏洞;
步骤S403,将安全漏洞作为攻击路线中的攻击目标,进一步遍历网络攻击模板库,确定攻击安全漏洞的攻击手段和该攻击手段利用的上一级安全漏洞,以确定完整的网络攻击路线。
本发明实施例中,从攻击的最终目标开始逆向推导,首先遍历网络攻击模板库,寻找符合此攻击目标的攻击手段和攻击目标上存在的和攻击手段相应的安全漏洞,然后遍历符合条件的漏洞,遍历检查攻击符合条件是否满足,如果不符合继续递归运算,如果符合则形成一条攻击路径,并继续遍历其他漏洞,从而能够有针对性的对网络攻击链进行快速追踪,提高联动策略的选择和执行效率。
在本发明实施例中,计算执行联动策略的网络风险值,具体包括:
计算网络攻击路线上各个安全漏洞的风险率,可用公式表示为:
其中,R(Vk)(k=1,2,…,m)为安全漏洞的风险率,Pp为安全漏洞的流行度、Pd为安全漏洞的容易度、Pe为安全漏洞的影响力;
在本发明实施例中,安全漏洞的流行度是指现实中某个安全漏洞用于攻击实际目标的使用频繁度,取值0.1为极少使用,0.5为经常使用,1为广泛使用;容易度是指利用某个安全漏洞执行攻击所必须的技巧,取值0.1为很少或不需技巧,0.5为普通的安全级别,1为高级的安全级别;影响力是指利用某个漏洞实施成功攻击后导致的潜在损害,取值0.1为目标的一些无关紧要的信息,0.5为普通用户账户或拒绝服务,1为超级用户账户或类似的信息。
根据安全漏洞的风险率计算各条网络攻击链的风险值,可用公式表示为:
R(Li)=R(V1)×R(V2)×...×R(Vm)
其中,R(Li)(i=1,2,…,n)为网络攻击链的风险值,R(Vk)(k=1,2,…,m)为安全漏洞的风险率;
根据网络攻击链的风险值计算网络风险值,可用公式表示为:
R(G)=R(L1)+R(L2)+...+R(Lm)
其中,R(G)为网络风险值,R(Li)(i=1,2,…,n)为网络攻击链的风险值。
在本发明实施例中,将网络风险值最小时对应的联动策略作为目标联动策略,还包括:
若存在多个相同风险值最小时对应的联动策略,则选择对网络架构改动最小或运行影响最小或稳定性最好的联动策略。
具体的,在一个实施例中,当接收到一条告警信息:主机C的MySQL数据库遭到非授权更改。根据告警信息查询联动策略,并根据关联漏洞的网络攻击链,生成候选联动策略集合,候选的联动策略集合包括的联动策略有:
P1:升级MySQL;
P2:修改默认配置,即关闭MySQL用户配置文件的权限;
P3:修改弱口令-V1;
P4:升级Newgrp应用软件;
假定实施了P1到P4后,计算整体网络风险值分别为0、0、0、0.167,对于策略P1,升级MySQL会影响到系统业务的运行,而且新版本MySQL的稳定性有待测试,故最后管理员根据联动策略的可实施性,可选择的联动策略为P2或P3,即关闭主机C的MySQL用户配置文件权限或修改主机A的弱口令。
本发明实施例中的告警联动方法,在接收告警时,通过将所有匹配的策略都查询出来,然后通过评估和选择步骤来选择最优的策略,能达到全局上的最优效果;同时将防御策略的评估和策略实施后攻击效果的变化相结合,使得攻击效果的评估为策略选择提供反馈信息,从而提供了一种自动评估策略效果的计算方法,能够在较短的时间内取得更优的攻击应对结果。
实施例二
如图5所示,在一个实施例中,提供了一种告警联动装置,该告警联动装置可以集成于上述的告警联动设备130中,具体可以包括:
攻击类型识别模块501,用于接收告警源发送的告警信息,识别网络攻击类型;
联动策略查询模块502,用于根据网络攻击类型获取候选联动策略集合;
联动策略决策模块503,用于计算执行候选联动策略集合中各项联动策略的网络风险值,并将网络风险值最小时对应的联动策略作为目标联动策略;
联动策略执行模块504,用于根据目标联动策略执行对应的告警联动动作。
在本发明实施例中,网络攻击类型是指网络系统所受到的威胁,比如对邮件服务器的暴力口令破解、对Web服务器的SQL渗透等。联动策略的触发条件从网络攻击类型的特征出发,抽取可量化的指标,比如对邮件服务器的暴力口令破解,可以从输错口令的次数和频率,尝试登录邮件服务器的地理位置等方面来提取触发条件并寻找最佳的联动策略。
在本发明实施例中,根据网络攻击类型获取候选联动策略集合之前,还包括:
接收并存储用户输入的联动策略,联动策略包含针对网络攻击类型的告警联动动作,告警联动动作可以是包括切断网络连接、锁定账号和更新软件补丁中的一种或几种。
在本发明实施例中,用户进行联动策略的编写时,可以围绕具体的网络安全防御场景,比如可以包括四个方面的内容:防御的目标、防御的行为、策略的触发条件和策略的防御动作。防御的目标通常是一个具体的网络节点或者设备对象,比如邮件服务器、Web服务器等;防御的行为代表网络资产所受到的威胁,比如对邮件服务器的暴力口令破解、对Web服务器的SQL渗透等;策略的触发条件从网络威胁的特征出发,抽取可量化的指标,比如对邮件服务器的暴力口令破解,可以从输错口令的次数和频率,尝试登录邮件服务器的地理位置等方面来提取防御场景得触发条件;策略的防御动作指具体的应急处置措施,比如所述的切断网络连接、锁定帐号、更新软件补丁等。
在本发明实施例中,联动策略决策模块503,包括:
攻击链分析单元601,用于根据告警信息分析所有网络攻击路线,确定网络攻击链;
攻击链风险计算单元602,同于模拟对网络攻击链执行候选联动策略集合中的各项联动策略,并计算执行联动策略后各条网络攻击链的风险值;
网络风险计算单元603,用于根据网络攻击链的风险值计算网络风险值。
在本发明实施例中,告警信息可以是包含对于每一种告警提示信息的解释,包括告警的详细解释、告警的参数、告警对系统的影响、告警的可能原因和处理告警的建议说明;候选联动策略集合中包含应对某一种网络攻击或者网络攻击后系统的特征所应采取的联动策略,可以是针对某一个节点也可以是针对整个网络攻击链做出的联动策略。
在本发明实施例中,计算执行联动策略后的网络风险值,具体包括:
计算网络攻击路线上各个安全漏洞的风险率,可用公式表示为:
其中,R(Vk)(k=1,2,…,m)为安全漏洞的风险率,Pp为安全漏洞的流行度、Pd为安全漏洞的容易度、Pe为安全漏洞的影响力。
在本发明实施例中,安全漏洞的流行度是指现实中某个安全漏洞用于攻击实际目标的使用频繁度,取值0.1为极少使用,0.5为经常使用,1为广泛使用;容易度是指利用某个安全漏洞执行攻击所必须的技巧,取值0.1为很少或不需技巧,0.5为普通的安全级别,1为高级的安全级别;影响力是指利用某个漏洞实施成功攻击后导致的潜在损害,取值0.1为目标的一些无关紧要的信息,0.5为普通用户账户或拒绝服务,1为超级用户账户或类似的信息。
根据安全漏洞的风险率计算各条网络攻击链的风险值,可用公式表示为:
R(Li)=R(V1)×R(V2)×...×R(Vm)
其中,R(Li)(i=1,2,…,n)为网络攻击链的风险值,R(Vk)(k=1,2,…,m)为安全漏洞的风险率;
根据网络攻击链的风险值计算网络风险值,可用公式表示为:
R(G)=R(L1)+R(L2)+...+R(Lm)
其中,R(G)为网络风险值,R(Li)(i=1,2,…,n)为网络攻击链的风险值。
在本发明实施例中,根据告警信息分析网络攻击路线,采用逆向深度优先算法,具体包括:
步骤S701,根据告警信息确定网络攻击的最终目标;
步骤S702,遍历预设的网络攻击模板库,确定攻击最终目标的攻击手段和该攻击手段利用的安全漏洞;
步骤S703,将安全漏洞作为攻击路线中的攻击目标,进一步遍历网络攻击模板库,确定攻击安全漏洞的攻击手段和该攻击手段利用的上一级安全漏洞,以确定完整的网络攻击路线。
在本发明实施例中,将网络风险值最小时对应的联动策略作为目标联动策略,还包括:
若存在多个相同风险值最小时对应的联动策略,则选择对网络架构改动最小或运行影响最小或稳定性最好的联动策略。
本发明实施例中的告警联动装置,在接收告警时,通过将所有匹配的策略都查询出来,然后通过评估和选择步骤来选择最优的策略,能达到全局上的最优效果;同时将防御策略的评估和策略实施后攻击效果的变化相结合,使得攻击效果的评估为策略选择提供反馈信息,从而提供了一种自动评估策略效果的计算方法,能够在较短的时间内取得更优的攻击应对结果。
实施例三
如图8所示,在一个实施例中,提供了一种告警联动系统801,本发明实施例提供的一种告警联动系统801,包括:
告警信息采集装置802,用于采集告警信息,并将告警信息发送至告警联动装置;
告警联动装置803,用于接收所述告警信息,并执行所述告警联动方法,以执行对应的告警联动动作。
本发明实施例中的告警联动系统,在接收告警时,通过将所有匹配的策略都查询出来,然后通过评估和选择步骤来选择最优的策略,能达到全局上的最优效果;同时将防御策略的评估和策略实施后攻击效果的变化相结合,使得攻击效果的评估为策略选择提供反馈信息,从而提供了一种自动评估策略效果的计算方法,能够在较短的时间内取得更优的攻击应对结果。
实施例四
如图9所示,为本发明实施例提供的一种计算机设备的结构框图,本发明实施例提供的一种计算机设备,包括存储器901、处理器902、通信模块903和用户接口904。
存储器901中存储有操作系统905,用于处理各种基本系统服务和用于执行硬件相关任务的程序;还存储有应用软件906,用于实现本发明实施例中的告警联动方法的各个步骤。
在本发明实施例中,存储器901可以是高速随机存取存储器,诸如DRAM、SRAM、DDR、RAM、或者其他随机存取固态存储设备,或者非易失性存储器,诸如一个或多个硬盘存储设备、光盘存储设备、内存设备等。
在本发明实施例中,处理器902可通过通信模块903接收和发送数据以实现区块链网络通信或者本地通信。
用户接口904可以包括一个或多个输入设备907,比如键盘、鼠标、触屏显示器,用户接口904还可以包括一个或者多个输出设备908,比如显示器、扩音器等。
实施例五
另外,本发明实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时,使得处理器执行上述告警联动方法的步骤。
应该理解的是,虽然本发明各实施例的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,各实施例中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一非易失性计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种告警联动方法,其特征在于,包括如下步骤:
接收告警源发送的告警信息,识别网络攻击类型;
根据所述网络攻击类型获取候选联动策略集合;
计算执行所述候选联动策略集合中各项联动策略的网络风险值,并将所述网络风险值最小时对应的所述联动策略作为目标联动策略;
根据所述目标联动策略执行对应的告警联动动作。
2.如权利要求1所述的告警联动方法,其特征在于,所述根据所述网络攻击类型获取候选联动策略集合之前,还包括:
接收并存储用户输入的联动策略,所述联动策略包含针对所述网络攻击类型的告警联动动作,所述告警联动动作可以是包括切断网络连接、锁定账号和更新软件补丁中的一种或几种。
3.如权利要求1所述的告警联动方法,其特征在于,所述计算执行所述候选联动策略集合中各项联动策略的网络风险值,具体包括:
根据所述告警信息分析所有网络攻击路线,确定网络攻击链;
模拟对所述网络攻击链执行所述候选联动策略集合中的各项所述联动策略,并计算执行所述联动策略后各条所述网络攻击链的风险值;
根据所述网络攻击链的风险值计算所述网络风险值。
4.如权利要求3所述的告警联动方法,其特征在于,所述根据所述告警信息分析网络攻击路线,采用逆向深度优先算法,具体包括:
根据所述告警信息确定网络攻击的最终目标;
遍历预设的网络攻击模板库,确定攻击所述最终目标的攻击手段和该攻击手段利用的安全漏洞;
将所述安全漏洞作为攻击路线中的攻击目标,进一步遍历所述网络攻击模板库,确定攻击所述安全漏洞的攻击手段和该攻击手段利用的上一级安全漏洞,以确定完整的网络攻击路线。
5.如权利要求3所述的告警联动方法,其特征在于,所述计算执行所述联动策略的网络风险值,具体包括:
计算所述网络攻击路线上各个所述安全漏洞的风险率,可用公式表示为:
其中,R(Vk)(k=1,2,…,m)为所述安全漏洞的风险率,Pp为所述安全漏洞的流行度、Pd为所述安全漏洞的容易度、Pe为所述安全漏洞的影响力;
根据所述安全漏洞的风险率计算各条所述网络攻击链的风险值,可用公式表示为:
R(Li)=R(V1)×R(V2)×...×R(Vm)
其中,R(Li)(i=1,2,…,n)为所述网络攻击链的风险值,R(Vk)(k=1,2,…,m)为所述安全漏洞的风险率;
根据所述网络攻击链的风险值计算所述网络风险值,可用公式表示为:
R(G)=R(L1)+R(L2)+...+R(Lm)
其中,R(G)为所述网络风险值,R(Li)(i=1,2,…,n)为所述网络攻击链的风险值。
6.如权利要求1所述的告警联动方法,其特征在于,所述将所述网络风险值最小时对应的所述联动策略作为目标联动策略,还包括:
若存在多个相同风险值最小时对应的所述联动策略,则选择对网络架构改动最小或运行影响最小或稳定性最好的联动策略。
7.一种告警联动装置,其特征在于,包括:
攻击类型识别模块,用于接收告警源发送的告警信息,识别网络攻击类型;
联动策略查询模块,用于根据所述网络攻击类型获取候选联动策略集合;
联动策略决策模块,用于计算执行所述候选联动策略集合中各项联动策略的网络风险值,并将所述网络风险值最小时对应的所述联动策略作为目标联动策略;
联动策略执行模块,用于根据所述目标联动策略执行对应的告警联动动作。
8.一种告警联动系统,其特征在于,包括:
告警信息采集装置,用于采集告警信息,并将告警信息发送至告警联动装置;
告警联动装置,用于接收所述告警信息,并执行权利要求1~6任一项所述告警联动方法,以执行对应的告警联动动作。
9.一种计算机设备,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行权利要求1至6中任一项权利要求所述告警联动方法的步骤。
10.一种存储介质,其特征在于,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行权利要求1至6中任一项权利要求所述告警联动方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910115174.5A CN109861865A (zh) | 2019-02-14 | 2019-02-14 | 一种告警联动方法、装置、系统、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910115174.5A CN109861865A (zh) | 2019-02-14 | 2019-02-14 | 一种告警联动方法、装置、系统、计算机设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109861865A true CN109861865A (zh) | 2019-06-07 |
Family
ID=66897882
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910115174.5A Pending CN109861865A (zh) | 2019-02-14 | 2019-02-14 | 一种告警联动方法、装置、系统、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109861865A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112217828A (zh) * | 2020-10-16 | 2021-01-12 | 深信服科技股份有限公司 | 一种攻击检测方法、装置、电子设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101127594A (zh) * | 2007-10-10 | 2008-02-20 | 杭州华三通信技术有限公司 | 一种安全信息联动处理装置及方法 |
| CN104901960A (zh) * | 2015-05-26 | 2015-09-09 | 汉柏科技有限公司 | 一种基于告警策略的网络安全管理设备及方法 |
| CN109302380A (zh) * | 2018-08-15 | 2019-02-01 | 全球能源互联网研究院有限公司 | 一种安全防护设备联动防御策略智能决策方法及系统 |
-
2019
- 2019-02-14 CN CN201910115174.5A patent/CN109861865A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101127594A (zh) * | 2007-10-10 | 2008-02-20 | 杭州华三通信技术有限公司 | 一种安全信息联动处理装置及方法 |
| CN104901960A (zh) * | 2015-05-26 | 2015-09-09 | 汉柏科技有限公司 | 一种基于告警策略的网络安全管理设备及方法 |
| CN109302380A (zh) * | 2018-08-15 | 2019-02-01 | 全球能源互联网研究院有限公司 | 一种安全防护设备联动防御策略智能决策方法及系统 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112217828A (zh) * | 2020-10-16 | 2021-01-12 | 深信服科技股份有限公司 | 一种攻击检测方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11693964B2 (en) | Cyber security using one or more models trained on a normal behavior | |
| Sánchez et al. | Bibliographical review on cyber attacks from a control oriented perspective | |
| Hughes et al. | Quantitative metrics and risk assessment: The three tenets model of cybersecurity | |
| Al-Janabi | Pragmatic miner to risk analysis for intrusion detection (PMRA-ID) | |
| Shmatko et al. | Development of methodological foundations for designing a classifier of threats to cyberphysical systems | |
| Peng et al. | Defending a parallel system against a strategic attacker with redundancy, protection and disinformation | |
| Grechishnikov et al. | Algorithmic model of functioning of the system to detect and counter cyber attacks on virtual private network | |
| CN109660515A (zh) | 攻击链检测方法及装置 | |
| Shahin et al. | Frameworks proposed to address the threat of cyber-physical attacks to lean 4.0 systems | |
| Almajed et al. | Using machine learning algorithm for detection of cyber-attacks in cyber physical systems | |
| López et al. | Dynamic risk assessment in information systems: state-of-the-art | |
| CN110289995A (zh) | 基于利用属性攻击图的社交网络行为监控方法及装置 | |
| CN114448718B (zh) | 一种并行检测和修复的网络安全保障方法 | |
| Yeboah-ofori et al. | Cybercrime and risks for cyber physical systems: A review | |
| Karabacak et al. | Zero Trust and Advanced Persistent Threats: Who Will Win the War? | |
| Bagchi et al. | Role of intelligence inputs in defending against cyber warfare and cyberterrorism | |
| CN109861865A (zh) | 一种告警联动方法、装置、系统、计算机设备和存储介质 | |
| You et al. | Review on cybersecurity risk assessment and evaluation and their approaches on maritime transportation | |
| Martins et al. | Information security model to military organizations in environment of information warfare | |
| Kott | Science of cyber security as a system of models and problems | |
| Gheorghică et al. | A new framework for enhanced measurable cybersecurity in computer networks | |
| Kapiton et al. | Automated setup system security configuration of network equipment. | |
| Nazarov | Logical-and-probabilistic models for estimating the level of information security of modern information and communication networks | |
| Belesioti et al. | Security and resilience in critical infrastructures | |
| Chim et al. | A RISK-BASED LAYERED DEFENCE FOR MANAGING THE TRUSTED INSIDER THREAT. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190607 |