CN110162976A - 风险评估方法、装置及终端 - Google Patents

风险评估方法、装置及终端 Download PDF

Info

Publication number
CN110162976A
CN110162976A CN201910135801.1A CN201910135801A CN110162976A CN 110162976 A CN110162976 A CN 110162976A CN 201910135801 A CN201910135801 A CN 201910135801A CN 110162976 A CN110162976 A CN 110162976A
Authority
CN
China
Prior art keywords
machine
risk assessment
data
index
machine data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910135801.1A
Other languages
English (en)
Other versions
CN110162976B (zh
Inventor
王伟
曾凡
关塞
李家昌
聂利权
陈洁远
万志颖
阮华
于洋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN201910135801.1A priority Critical patent/CN110162976B/zh
Publication of CN110162976A publication Critical patent/CN110162976A/zh
Application granted granted Critical
Publication of CN110162976B publication Critical patent/CN110162976B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/30Computing systems specially adapted for manufacturing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明实施例公开了一种风险评估方法、装置及终端,其中方法包括:在检测到针对目标机器的风险评估触发事件时,获取目标机器相关的知识图谱,该目标机器的各个机器数据作为实体数据或者作为实体数据的属性值记录在知识图谱上,知识图谱还记录了各个机器数据之间的关系;确定用于对目标机器进行风险评估的风险评估算法,并确定风险评估算法所需的风险评估指标;根据知识图谱记录的各个机器数据之间的关系从知识图谱记录的机器数据中查找出与风险评估指标相关的关联机器数据,并根据关联机器数据确定风险评估指标的指标值;根据风险评估算法和风险评估指标的指标值对目标机器进行风险评估;可以更好地对目标机器进行风险评估。

Description

风险评估方法、装置及终端
技术领域
本发明涉及计算机技术领域,尤其涉及一种风险评估方法、装置及终端。
背景技术
随着互联网的快速发展,网络规模的不断扩大,黑客组织以及一些网络非法分子经常利用互联网技术来嗅探目标机器中所存在的漏洞以及弱密码等安全问题信息,并根据嗅探到的安全问题信息对目标机器发起入侵,从而使得目标机器的机器资产遭受严重的损失。研究表明,对目标机器进行风险评估可以有助于根据风险评估结果及时地对目标机器的安全性能进行改进,从而避免目标机器遭受黑客的入侵。因此,如何更好地对目标机器进行风险评估成为了研究热点。
发明内容
本发明实施例提供了一种风险评估方法、装置及终端,可更好地对目标机器进行风险评估。
一方面,本发明实施例提供了一种风险评估方法,包括:
在检测到针对目标机器的风险评估触发事件时,获取所述目标机器相关的知识图谱,所述目标机器的各个机器数据作为实体数据或者作为实体数据的属性值记录在所述知识图谱上,所述知识图谱还记录了各个机器数据之间的关系;
确定用于对所述目标机器进行风险评估的风险评估算法,并确定所述风险评估算法所需的风险评估指标;
根据所述知识图谱记录的各个机器数据之间的关系从所述知识图谱记录的机器数据中查找出与所述风险评估指标相关的关联机器数据,并根据所述关联机器数据确定所述风险评估指标的指标值;
根据所述风险评估算法和所述风险评估指标的指标值对所述目标机器进行风险评估。
另一方面,本发明实施例提供了一种风险评估装置,包括:
获取单元,用于在检测到针对目标机器的风险评估触发事件时,获取所述目标机器相关的知识图谱,所述目标机器的各个机器数据作为实体数据或者作为实体数据的属性值记录在所述知识图谱上,所述知识图谱还记录了各个机器数据之间的关系;
确定单元,用于确定用于对所述目标机器进行风险评估的风险评估算法,并确定所述风险评估算法所需的风险评估指标;
所述确定单元,用于根据所述知识图谱记录的各个机器数据之间的关系从所述知识图谱记录的机器数据中查找出与所述风险评估指标相关的关联机器数据,并根据所述关联机器数据确定所述风险评估指标的指标值;
评估单元,用于根据所述风险评估算法和所述风险评估指标的指标值对所述目标机器进行风险评估。
再一方面,本发明实施例提供一种终端,包括处理器、通信接口和存储器,所述处理器、通信接口和存储器相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行如下步骤:
在检测到针对目标机器的风险评估触发事件时,获取所述目标机器相关的知识图谱,所述目标机器的各个机器数据作为实体数据或者作为实体数据的属性值记录在所述知识图谱上,所述知识图谱还记录了各个机器数据之间的关系;
确定用于对所述目标机器进行风险评估的风险评估算法,并确定所述风险评估算法所需的风险评估指标;
根据所述知识图谱记录的各个机器数据之间的关系从所述知识图谱记录的机器数据中查找出与所述风险评估指标相关的关联机器数据,并根据所述关联机器数据确定所述风险评估指标的指标值;
根据所述风险评估算法和所述风险评估指标的指标值对所述目标机器进行风险评估。
本发明实施例可获取目标机器相关的知识图谱,并确定用于对目标机器进行风险评估的风险评估算法及风险评估指标。由于知识图谱上记录了目标机器的机器数据以及各机器数据之间的关系,因此根据知识图谱所记录的各机器数据之间的关系可快速地从知识图谱记录的机器数据中查找出与风险评估指标相关的关联机器数据,提高数据查找的效率。使得后续可以及时地根据关联机器数据确定风险评估指标的指标值,并根据风险评估算法和风险评估指标的指标值对目标机器进行风险评估,从而提高风险评估的实时性,更好地对目标机器进行风险评估。
附图说明
为了更清楚地说明本发明实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1a是本发明实施例提供的一种用户界面的示意图;
图1b是本发明实施例提供的一种实体的数据关系实体图;
图1c是本发明实施例提供的一种知识图谱的结构示意图;
图1d是本发明实施例提供的另一种用户界面的示意图;
图2是本发明实施例提供的一种风险评估方法的流程示意图;
图3是本发明另一实施例提供的一种风险评估方法的流程示意图;
图4是本发明实施例提供的一种存储机器数据的示意图;
图5a是本发明实施例提供的一种本体结构的示意图;
图5b是本发明实施例提供的一种配置后的知识图谱的示意图;
图6是本发明实施例提供的一种风险评估指标体系的示意图;
图7是本发明实施例提供的一种查询到的关联机器数据的示意图;
图8是本发明实施例提供的一种风险评估算法以及数据关系表的示意图;
图9是本发明实施例提供的一种风险评估装置的结构示意图;
图10是本发明实施例提供的一种终端的结构示意图。
具体实施方式
在本发明实施例中,终端可以提供一个用户界面,并在用户界面中提供一个风险评估的功能按钮以及机器标识列表,此处的风险评估是指针对机器的机器资产的风险状况评估,机器标识列表中包括一个或多个机器的机器标识的选项。如图1a所示,用户可以在用户界面选择目标机器标识,例如选择机器标识“1”作为目标机器标识;并点击风险评估的功能按钮。当终端检测到用户点击此功能按钮的点击指令后,可以将用户所选择的目标机器标识所对应的机器作为目标机器,并对该目标机器进行风险评估。
在对目标机器进行风险评估的过程中,终端可以获取与目标机器相关的知识图谱,在本发明实施例中,所谓知识图谱是指:由多个相互连接的实体数据和实体数据的属性值所构成的网状的知识结构。其中,实体数据是指实体的描述数据中用于表示实体所属类别的数据,实体数据的属性值是指实体的描述数据中用于表示实体性质的数据,所谓实体是指客观存在并可互相区别的事物;以图1b为例,针对实体A:对该实体A的描述数据包括:“CVE-2013-2110”“2013-06-21”“3”“php”;其中“CVE-2013-2110”为实体数据,表示实体A为某个类别的漏洞;“2013-06-21”“3”以及“php”均为实体数据的属性值,“2013-06-21”表示实体A的创建时间,“3”表示实体A对应的漏洞等级,“php”表示实体A对应的漏洞管理软件。也就是说,在知识图谱上,可以记录漏洞的实体数据以及该漏洞的属性,漏洞的属性包括漏洞创建时间、漏洞等级、漏洞对应的漏洞管理软件中的任意一个或者多个。在本发明实施例中,目标机器的各个机器数据作为实体数据或者实体数据的属性值记录在知识图谱上,该知识图谱还记录了各个机器数据之间的关系;其中,目标机器的机器数据是指对目标机器中的实体进行描述的描述数据,例如前述所述的“CVE-2013-2110”“2013-06-21”等等。以图1c所示的知识图谱为例,白色代表实体数据,灰色代表实体数据的属性值:知识图谱上还可以记录了主机、软件、系统软件、补丁等机器数据;主机、软件以及补丁均作为实体数据记录在知识图谱上,系统软件则作为实体数据(软件)的属性值记录在知识图谱上;并且知识图谱上还记录主机和软件之间的关系为“安装”,即主机安装软件的关系。本发明实施例所提及的主机是指:用于部署网站或者对外提供游戏、购物服务的物理服务器。
终端还可以确定用于对目标机器进行风险评估的风险评估算法以及风险评估算法所需的风险评估指标。终端在获取到知识图谱之后,根据知识图谱记录的各个机器数据之间的关系从知识图谱记录的机器数据中查找出与风险评估指标相关的关联机器数据,根据关联机器数据确定风险评估指标的指标值。然后根据风险评估算法和风险评估指标的指标值对目标机器进行风险评估。在对目标机器进行风险评估,得到风险评估结果之后,终端还可以在用户界面显示该风险评估结果,该风险评估结果中可以包括与目标机器相关的多项信息,例如评估结果中可以包括但不限于以下信息:目标机器的风险值,目标机器所存在的漏洞信息、软件信息,等等,如图1d所示。采用可视化的方式在用户界面显示该风险评估结果,可以有助于用户针对目标机器的风险评估结果针对性地对目标机器的安全性能进行改进,从而避免目标机器遭受黑客的入侵。
由此可见,终端在对目标机器进行风险评估的过程中,可获取目标机器相关的知识图谱,并确定用于对目标机器进行风险评估的风险评估算法及风险评估指标。由于知识图谱上记录了目标机器的机器数据以及各机器数据之间的关系,因此根据知识图谱所记录的各机器数据之间的关系可快速地从知识图谱记录的机器数据中查找出与风险评估指标相关的关联机器数据,提高数据查找的效率。使得后续可以及时地根据关联机器数据确定风险评估指标的指标值,并根据风险评估算法和风险评估指标的指标值对目标机器进行风险评估,从而提高风险评估的实时性,更好地对目标机器进行风险评估。
基于上述的描述,本发明实施例在图2中提出了一种风险评估方法的示意流程图。本发明实施例的所述方法可以由上述所提及的终端来实现,该终端可以包括但不限于:智能手机、平板电脑、膝上计算机等移动智能终端,以及台式电脑等。终端可以判断是否检测到针对目标机器的风险评估触发事件,若是,则可以执行步骤S201:在检测到针对目标机器的风险评估触发事件时,获取目标机器相关的知识图谱,该目标机器的各个机器数据作为实体数据或者作为实体数据的属性值记录在知识图谱上,该知识图谱还记录了各个机器数据之间的关系。其中,针对目标机器的风险评估触发事件可以包括但不限于:获取到关于目标机器的风险评估请求的事件、针对目标机器进行风险评估的风险评估周期到达的事件,等等;所谓风险评估周期到达的事件是指:终端的当前时间与上一次对目标机器进行风险评估的时间之间的间隔时长等于风险评估周期的周期时长的事件,所述当前时间是指终端系统上所显示的时间;例如终端系统上所显示的时间为16:30,那么当前时间为16:30。
在一个实施例中,用户可以在终端提供的用户界面中选择目标机器的机器标识以请求终端对目标机器进行风险评估。终端若检测到用户对目标机器的机器标识的选择指令,则可以认为获取到关于目标机器的风险评估请求的事件,即可以确定检测到了针对目标机器的风险评估触发事件。再一个实施例中,终端可以以预设的风险评估周期对目标机器进行风险评估。终端可以确定风险评估周期的周期时长,并实时计算终端的当前时间与上一次对目标机器进行风险评估的时间之间的间隔时长;若间隔时长等于周期时长,则可以认为检测到针对目标机器进行风险评估的风险评估周期到达的事件,即可以确定检测到了针对目标机器的风险评估触发事件。
终端在检测到针对目标机器的风险评估触发事件时,还可以在S202中确定用于对目标机器进行风险评估的风险评估算法,并确定风险评估算法所需的风险评估指标;此处的风险评估算法是指:用于计算得到目标机器的风险值的算法,该风险值可包括但不限于:目标机器被入侵的风险值、目标机器被攻击的风险值等。用户可以根据实际的业务需求为不同的机器设置不同的风险评估算法,不同的风险评估算法的所需的风险评估指标不同;例如:针对机器A进行风险评估的风险评估算法所需的风险评估指标可以包括:用于衡量机器A的资产重要性的指标,以及用于衡量机器A的攻击防御性的指标;又如,针对机器B进行风险评估的风险评估算法所需的风险评估指标可以包括:用于衡量机器B的资产安全性的指标,以及用于衡量机器B的机器稳定性的指标;再如,针对机器C进行风险评估的风险评估算法所需的风险评估指标可以包括:用于衡量机器C的机器稳定性的指标,等等。终端可以将各风险评估算法和对应机器的机器标识进行关联存储。
相应的,在确定用于对目标机器进行风险评估的风险评估算法时,可以确定目标机器的目标机器标识,将目标机器标识所关联的风险评估算法确定为目标机器的风险评估算法。在确定了目标机器的风险评估算法之后,可以确定风险评估算法所需的风险评估指标。在一个实施例中,风险评估指标可以包括第一风险评估指标和第二风险评估指标;其中,第一风险评估指标为用于衡量目标机器的资产重要性的指标,第二风险评估指标为用于衡量目标机器的资产安全性的指标。需要说明的是,步骤S201中的获取目标机器相关的知识图谱的步骤与步骤S202无先后顺序。
本发明实施例采用与风险评估指标相关的关联机器数据来衡量风险评估指标,例如第一风险评估指标为用于衡量目标机器的资产重要性的指标,而实践表明资产重要性通常与机器业务的机器数据相关,因此可以采用机器业务的机器数据来衡量第一风险评估指标。相应的,风险评估指标的指标值可以由该风险评估指标的关联机器数据确定。因此,在确定了风险评估指标之后,可以在S203中根据知识图谱记录的各个机器数据之间的关系从知识图谱记录的机器数据中查找出与风险评估指标相关的关联机器数据,并根据关联机器数据确定风险评估指标的指标值。在一个实施例中,风险评估指标可以包括第一风险评估指标和第二风险评估指标。因此在根据知识图谱记录的各个机器数据之间的关系从知识图谱记录的机器数据中查找出与风险评估指标相关的关联机器数据时,可以根据知识图谱记录的各个机器数据之间的关系从知识图谱记录的机器数据中分别查找出与第一风险评估指标相关的关联机器数据以及与第二风险评估指标相关的关联机器数据。
由于第一风险评估指标为用于衡量目标机器的资产重要性的指标,那么第一风险评估指标的第一关联机器数据为:用于衡量目标机器的资产重要性的机器数据。在一个实施例中,第一关联机器数据可以包括:机器业务的机器数据。由于第二风险评估指标为用于衡量目标机器的资产安全性的指标,那么第二风险评估指标的第二关联机器数据为:用于衡量目标机器的资产安全性的机器数据。在一个实施例中,第二关联机器数据包括以下至少一项:漏洞的机器数据、弱口令的机器数据,以及机器端口的机器数据。其中,漏洞是指终端在硬件、软件、协议等具体实现中或终端的系统安全策略上所存在的缺陷。弱口令是指口令复杂度小于预设复杂度的口令,即弱口令可以是指容易被破解的口令。在一个实施例中,弱口令可以指仅包含简单数字和字母的口令,例如“123abc”;再一个实施例中,弱口令可以指目标机器在操作系统或者应用服务登陆中所检测到用户使用的弱密码,例如“1234****”。机器端口是指目标机器与其他机器或终端进行通信的端口,通过机器端口的机器数据可以确定目标机器中是否存在高危端口,所谓高危端口是指容易被黑客通过端口扫描方法扫描到并进行攻击的端口。
在查找到风险评估指标的关联机器数据之后,可以根据关联机器数据确定出风险评估指标的指标值。具体的,可以获取风险评估指标对应的数据关系表,该数据关系表中包括机器数据与指标衡量值的对应关系;从数据关系表中查询关联机器数据所对应的指标衡量值,并根据查询到的关联机器数据所对应的指标衡量值确定风险评估指标的指标值。在确定了风险评估指标的指标值之后,可以在S204中根据风险评估算法和风险评估指标的指标值对目标机器进行风险评估。具体实施过程中,可以根据风险评估算法和风险评估指标的指标值进行风险计算,得到目标机器的风险值。然后基于目标机器的风险值对目标机器进行风险评估。其中,根据风险评估算法和风险评估指标的指标值进行风险计算,得到目标机器的风险值的具体实施方式可以是:根据风险评估算法计算第一风险评估指标的指标值和第二风险评估指标的指标值的乘积;将第一风险评估指标的指标值和第二风险评估指标的指标值的乘积作为目标机器的风险值。
本发明实施例可获取目标机器相关的知识图谱,并确定用于对目标机器进行风险评估的风险评估算法及风险评估指标。由于知识图谱上记录了目标机器的机器数据以及各机器数据之间的关系,因此根据知识图谱所记录的各机器数据之间的关系可快速地从知识图谱记录的机器数据中查找出与风险评估指标相关的关联机器数据,提高数据查找的效率。使得后续可以及时地根据关联机器数据确定风险评估指标的指标值,并根据风险评估算法和风险评估指标的指标值对目标机器进行风险评估,从而提高风险评估的实时性,更好地对目标机器进行风险评估。
再一个实施例中,本发明实施例在图3中提出了另一种风险评估方法的示意流程图。本发明实施例的所述风险评估方法可以由上述所提及的终端来实现,该终端可以包括但不限于:智能手机、平板电脑等移动智能终端,以及台式电脑等等。终端可以在S301中获取目标机器的资产数据,并根据资产数据确定目标机器的机器数据集合。终端在获取目标机器的资产数据时,可以先通过采集插件采集并获取目标机器的资产数据,然后根据资产数据确定目标机器的机器数据集合。具体实施过程中,可以对资产数据进行预处理,将预处理后的资产数据作为目标机器的机器数据,并采用机器数据构建机器数据集合。其中,预处理可以包括以:解析处理,和/或基于预设的数据格式对资产数据进行的格式转换处理。由于采集到的资产数据的数据格式存在无法适用于知识图谱的情况,因此基于预设的数据格式对资产数据进行格式转换,使得格式转换后所得到的机器数据集合中的各机器数据的数据格式均适用于知识图谱,从而可以提高后续配置知识图谱的效率。
在一个实施例中,资产数据可以包括离线资产数据和实时资产数据;其中,离线资产数据为更新频率小于阈值的资产数据,实时资产数据为更新频率大于阈值的资产数据,阈值可以根据经验值或者实际业务需求设置;相应的,在通过采集插件采集资产数据时,可以分别采用离线批量采集的方式采集离线资产数据,采用实时数据采集的方式采集实时资产数据。那么相应的根据资产数据确定的机器数据集合包括离线机器数据和实时机器数据;其中,离线机器数据为更新频率小于阈值的机器数据,例如关于用户的机器数据;实时机器数据为更新频率大于阈值的机器数据,例如关于进程的机器数据。
在一个实施例中,在根据资产数据确定目标机器的机器数据集合之后,终端还可以将机器数据集合存储至数据库,数据库包括第一数据库和第二数据库,如图4所示;其中,是将机器数据集合中的离线机器数据存储至第一数据库,将机器数据集合中的实时机器数据存储至第二数据库。此处的第一数据库是指用于存储离线机器数据的数据库,由于离线机器数据的更新频率较小,因此可以采用内存较小和/或读写数据较低的数据库作为第一数据库;第二数据库是指用于存储实时机器数据的数据库,由于实时机器数据的更新频率较大,因此采用内存较大和/或读写数据较快的数据库作为第二数据库;本发明实施例考虑离线机器数据的更新频率较小,因此采用内存较小和/或读写数据较低的第一数据库来存储,可以节省终端的系统资源,提高终端的运行速度。在一个实施例中,第一数据库可以包括:基于Mysql(一种关系型数据管理系统)的传统关系型数据库,和/或基于Hive(一种数据仓库工具)的分布式数据库;第二数据库可以包括:Redis(一种数据存储系统)数据库,和/或Kafka(一种开源流处理平台)数据库。
知识图谱可以根据自身的配置需求以及配置频率分别向第一数据库和第二数据库发送配置请求,以获取离线机器数据和实时机器数据。其中,知识图谱可以通过第一数据库所提供的批处理接口从第一数据库中获取离线数据。相应的,终端若接收到知识图谱的配置请求,则从数据库中获取机器数据集合,并执行采用机器数据集合配置知识图谱的步骤;其中,触发知识图谱生成关于第一数据库的配置请求的触发条件,与触发知识图谱生成关于第二数据库的配置请求的触发条件不同。在一个实施例中,触发条件不同可以包括:触发频率不同;例如,以每天一次的频率触发知识图谱生成关于第一数据库的配置请求,以每分钟一次的频率触发知识图谱生成关于第二数据库的配置请求。本发明实施例在确定了机器数据集合之后,先将机器数据集合存储至数据库以缓冲该机器数据集合;在获取到知识图谱的配置请求后,再从数据库中获取机器数据集合并执行采用机器数据集合配置知识图谱的步骤,即执行步骤S302,可降低知识图谱的数据压力。
应理解的是,终端在确定了机器数据集合之后,也可以直接在S302中采用机器数据集合配置知识图谱,该知识图谱包括实体数据、实体数据的属性值,以及各个实体数据之间的关系。此处的配置知识图谱可以包括:构建知识图谱或者更新知识图谱。在采用机器数据集合配置知识图谱时,可以先确定关于机器数据的本体结构,该本体结构包括多个机器维度的本体节点、本体节点的属性节点以及本体关系,本体关系为各个本体节点之间的关系;然后从机器数据集合中确定出作为实体数据的机器数据导入本体结构中对应的本体节点,并从机器数据集合中确定出作为实体数据的属性值的机器数据导入本体结构中对应的属性节点以配置知识图谱。
下面结合图5a-图5b对步骤S302的具体实施过程进行阐述:为了全面刻画目标机器的机器资产的风险情况,本发明实施例确定的关于机器数据的本体结构可以如图5a所示:该本体结构中包括了主机、机器端口、软件、漏洞、弱口令、扫描插件、补丁以及用户等多个维度的本体节点;其中,主机对应的本体节点的属性节点包括:基础配置、域名、IP地址、进程、文件系统、命令以及网络等;软件对应的本体节点的属性节点包括:应用软件、系统软件以及恶意软件等;漏洞对应的本体节点的属性节点包括:漏洞等级、创建时间、漏洞管理软件等;用户对应的本体节点的属性节点包括:部门以及业务模块等。本体关系包括:主机与软件之间的“安装”关系、主机与漏洞之间的“存在”关系、漏洞与软件之间的“存在”关系、主机与用户之间的“负责”关系,等等。
在确定了本体结构之后,可以从机器数据集合中确定出作为实体数据的机器数据导入本体结构中对应的本体节点;从机器数据集合中确定出作为实体数据的属性值的机器数据导入本体结构中对应的属性节点。以机器数据集合包括:“CVE-2013-2110”“CVE-2014-0037”“CVE-2014-0238”“2013-06-21”“3”“php”“1001”“445”“a”“123***”“Mysql”为例:其中,“CVE-2013-2110”“CVE-2014-0037”“CVE-2014-0238”均表示漏洞,因此均作为实体数据导入本体结构中对应的本体节点;“2013-06-21”表示漏洞,“CVE-2013-2110”的创建时间,“3”表示漏洞“CVE-2013-2110”的漏洞等级,“php”表示漏洞“CVE-2013-2110”的漏洞管理软件,因此“2013-06-21”“3”“php”均为实体数据的属性值导入本体结构中的对应的本体节点的属性节点;“1001”表示主机,“445”表示机器端口,因此“1001”和“445”均作为实体数据导入对应的本体节点;“a”表示弱口令,因此作为实体数据导入对应的本体节点中,“123***”表示弱口令“a”的号码,“Mysql”表示弱口令“a”的存储位置,即弱口令“a”存储在Mysql数据库中,因此“123***”以及“Mysql”均作为实体数据的属性值导入对应的属性节点以配置知识图谱。配置后的知识图谱可以如图5b所示,其中,白色代表实体数据,灰色代表实体数据的属性值。
需要说明的是,图5a-图5b只是举例,在实际应用中可根据实际需求增删图5a中的本体节点以及属性节点,从而调整图5b所示的知识图谱的结构。由此可见,本发明实施例通过采用通用的结构(本体结构)以及实体间的关系将目标机器的机器数据记录到知识图谱这一个逻辑结构中,使得后续可以根据知识图谱所记录的各个机器数据之间的关系快速查找到业务所需的数据,提高了数据查找效率。并且本体结构和知识图谱可根据实际需求调整,具有良好的可扩展性,降低了后续在知识图谱不断加入新的机器数据的技术难度。
在配置了知识图谱之后,终端可以将知识图谱与目标机器的目标机器标识进行统一关联,并将知识图谱存储至图数据库中,此处的图数据库包括:S2graph数据库(一种图数据库)、Neo4j数据库(一种图数据库)。终端还可以判断是否检测到针对目标机器的风险评估触发事件,若是,则可以执行步骤S303:在检测到针对目标机器的风险评估触发事件时,获取目标机器相关的知识图谱,该目标机器的各个机器数据作为实体数据或者作为实体数据的属性值记录在知识图谱上,该知识图谱还记录了各个机器数据之间的关系。在S304中确定用于对目标机器进行风险评估的风险评估算法,并确定风险评估算法所需的风险评估指标。
风险评估指标可以包括第一风险评估指标和第二风险评估指标;其中,第一风险评估指标为用于衡量目标机器的资产重要性的指标,第二风险评估指标为用于衡量目标机器的资产安全性的指标。实践表明,目标机器的资产重要性通常与目标机器的业务重要等级和是否提供对外服务两个因素相关;若目标机器的业务重要等级越高且提供对外服务,则目标机器的资产重要性越高,第一风险评估指标的指标值越大,相应的第一风险评估指标可包括资产重要性指标。目标机器的资产安全性通常包括机器脆弱性和潜在危害性;其中,机器脆弱性可采用目标机器中所存在漏洞的漏洞等级以及漏洞数量来刻画,潜在危害是指存在目标机器中却还未发现的危害;机器脆弱性和潜在危害性越高,则资产安全性越低,第二风险评估指标的指标值越大。因此,在一个实施例中,第二风险评估指标可包括机器脆弱性指标以及潜在危害性指标。
再一个实施例中,终端还可根据上述所提及的风险评估指标的相关描述构建如图6所示的风险评估指标体系。在该风险评估指标体系中,可包括资产重要性指标、机器脆弱性指标以及潜在危害性指标等至少三个风险评估指标。其中,资产重要性指标可与业务重要等级和是否提供对外服务等至少两个因素相关,业务重要等级可分为“低”、“中”、“高”等至少三个等级;机器脆弱性指标可与应用软件漏洞和操作系统漏洞等至少两个因素相关,应用软件漏洞和操作系统漏洞均可分为“高危”、“危险”、“中危”以及“低危”等至少四个漏洞等级;潜在危害性指标可与目标机器是否存在高危端口以及是否存在弱口令等至少两个因素相关。
在确定了风险评估指标之后,可以在S305中根据知识图谱记录的各个机器数据之间的关系从知识图谱记录的机器数据中查找出与风险评估指标相关的关联机器数据,并根据关联机器数据确定风险评估指标的指标值。具体的,可以根据目标机器的目标机器标识获取与风险评估指标相关的关联机器数据。风险评估指标包括第一风险评估指标和第二风险评估指标,相应的关联机器数据包括第一风险评估指标的第一关联机器数据以及第二风险评估指标的第二关联机器数据;该第一关联机器数据中包括机器业务的机器数据,该第二关联机器数据中包括漏洞的机器数据、弱口令的机器数据,以及机器端口的机器数据。
再一个实施例中,第一风险评估指标包括资产重要性指标,第二风险评估指标还可包括机器脆弱性指标以及潜在危害性指标,那么查找出的与风险评估指标相关的关联机器数据可以如图7所示:资产重要性指标的关联机器数据包括:业务重要等级的机器数据和对外服务的机器数据,业务重要等级的机器数据用于表明目标机器的业务重要等级,对外服务的机器数据用于表明目标机器是否提供对外服务;机器脆弱性指标的关联机器数据包括:漏洞的机器数据;潜在危害性指标的关联机器数据包括:弱口令的机器数据和机器端口的机器数据。
在查找出关联机器数据后,可以根据关联机器数据确定风险评估指标的指标值。具体的,可以获取风险评估指标对应的数据关系表,数据关系表中包括机器数据与指标衡量值的对应关系;从数据关系表中查询关联机器数据所对应的指标衡量值,并根据查询到的关联机器数据所对应的指标衡量值确定风险评估指标的指标值。
在一个实施例中,风险评估指标包括第一风险评估指标,第一风险评估指标包括资产重要性指标,资产重要性指标的关联机器数据包括:业务重要等级的机器数据和对外服务的机器数据。相应的,从数据关系表中查询关联机器数据所对应的指标衡量值,并根据查询到的关联机器数据所对应的指标衡量值确定风险评估指标的指标值的具体实施方式可以是:从数据关系表中查询业务重要等级的机器数据所对应的指标衡量值集合,所述指标衡量值集合中包括至少两个指标衡量值;根据数据关系表,从指标衡量值集合中确定出与对外服务的机器数据对应的目标指标衡量值;将目标指标衡量值确定为第一风险评估指标的指标值。举例来说,数据关系表可以如图8中的数据表所示:若业务重要等级的机器数据表明目标机器的业务重要等级为“高”,则对应的指标衡量值集合包括“3”和“2”两个指标衡量值;若对外服务的机器数据表明目标机器提供对外服务,则可以从指标衡量值集合中确定出目标指标衡量值为“3”,即第一风险评估指标的指标值为3。应理解的是,也可以先根据对外服务的机器数据确定出指标衡量值集合,再根据业务重要等级的机器数据从指标衡量值集合中确定出目标指标衡量值。
再一个实施例中,风险评估指标包括第二风险评估指标,第二风险评估指标包括机器脆弱性指标以及潜在危害性指标,机器脆弱性指标的关联机器数据包括:漏洞的机器数据;潜在危害性指标的关联机器数据包括:弱口令的机器数据和机器端口的机器数据。相应的,从数据关系表中查询关联机器数据所对应的指标衡量值,并根据查询到的关联机器数据所对应的指标衡量值确定风险评估指标的指标值的具体实施方式可以是:从数据关系表中查询漏洞的机器数据所对应的第一指标衡量值,并根据第一指标衡量值确定机器脆弱性指标的指标值;从数据关系表中查询弱口令的机器数据和机器端口的机器数据所对应的第二指标衡量值,并根据第二指标衡量值确定潜在危害性指标的指标值;求取机器脆弱性指标的指标值和潜在危害性指标的指标值的和作为第二风险评估指标的指标值。
其中,若终端存在多个漏洞,则获取到的漏洞的机器数据包括多个漏洞的机器数据;那么从数据关系表中查询漏洞的机器数据所对应的第一指标衡量值,并根据第一指标衡量值确定机器脆弱性指标的指标值的具体实施方式可以是:根据漏洞的机器数据确定各漏洞的漏洞等级,从数据关系表中查询各漏洞的漏洞等级所对应的第一指标衡量值,从各第一指标衡量值中选取最大的第一指标衡量值作为机器脆弱性的指标值,如式1.1所示。
S1=MAX(vul1,vul2,vul3…vuln) 式1.1
其中,S1表示机器脆弱性的指标值,vul1、vul2、vul3以及vuln表示各漏洞的漏洞等级所对应的第一指标衡量值,MAX表示取最大值。举例来说,获取到的漏洞的机器数据包括:“CVE-2013-2110”的机器数据且表明漏洞“CVE-2013-2110”的漏洞等级为“中”,“CVE-2014-0037”的机器数据且表明“CVE-2014-0037”的漏洞等级为“无”,以及“CVE-2014-0238”的机器数据且表明“CVE-2014-0238”的漏洞等级为“无”;那么在图8中所示的数据关系表中可查询到各第一衡量值分别是:“3”“1”“1”,那么最大的第一指标衡量值为“3”,则机器脆弱性指标的指标值为“3”。在其他实施例中,也可以计算各第一指标衡量值的平均值,将平均值作为机器脆弱性的指标值。
其中,从数据关系表中查询弱口令的机器数据和机器端口的机器数据所对应的第二指标衡量值,并根据第二指标衡量值确定潜在危害性指标的指标值的具体实施方式可以是:从数据关系表中查询弱口令的机器数据所对应的指标衡量值集合,所述指标衡量值集合中包括至少两个指标衡量值;根据数据关系表,从指标衡量值集合中确定出与机器端口的机器数据对应的目标指标衡量值;将目标指标衡量值确定为潜在危害性指标的指标值的指标值。举例来说,数据关系表可以如图8中的数据表所示:若弱口令的机器数据表明目标机器存在弱口令,则对应的指标衡量值集合包括“3”和“2”两个指标衡量值;若机器端口的机器数据表明目标机器存在高危端口,则可以从指标衡量值集合中确定出目标指标衡量值为“3”,即潜在危害性指标的指标值的指标值为3。应理解的是,也可以先根据机器端口的机器数据确定出指标衡量值集合,再根据弱口令的机器数据从指标衡量值集合中确定出目标指标衡量值。
在确定各风险评估指标的指标值之后,可以在S306中根据风险评估算法和风险评估指标的指标值进行风险计算,得到目标机器的风险值。具体实施过程中,可以先根据风险评估算法计算第一风险评估指标的指标值和第二风险评估指标的指标值的乘积;将第一风险评估指标的指标值和第二风险评估指标的指标值的乘积作为目标机器的风险值。在一个实施例中,由上述可知,第一风险评估指标包括资产重要性指标,第二风险评估指标包括机器脆弱性指标和潜在危害性指标,那么风险评估算法可以如式1.2所示:
S=S3*(S1+S2) 式1.2
其中,S表示目标机器的风险值,S1表示机器脆弱性指标的指标值,S2表示潜在危害性指标的指标值,S3表示资产重要性指标的指标值。在一个实施例中,可以将风险评估算法转换为式1.3所示的式子,其对应的计算方法图可以参见图8所示:
S=S3*S1+S3*S2 式1.3
在得到目标机器的风险值之后,可以在S307中基于目标机器的风险值对目标机器进行风险评估。在一种实施方式中,可以获取预设的风险值和风险等级的风险对应关系表,在风险对应关系表中查找目标机器的风险值所对应的目标风险等级,将查询到的目标风险等级作为目标机器的风险评估结果。
在一个实施例中,在配置得到知识图谱之后,还可以接收信息查询请求,信息查询请求中携带初始机器数据。在接收到查询请求之后,可以根据知识图谱记录的各个机器数据之间的关系从知识图谱的机器数据中查找出与初始机器数据存在关系的目标机器数据。具体的,可以根据知识图谱所在的图数据库提供的代码接口指定初始机器数据所对应的机器编号并将该机器编号输入至知识图谱,以使得知识图谱可以根据该机器编号定位到初始机器数据在知识图谱中的初始节点(实体节点或者属性节点),并确定出与该初始节点关联的边的值以及边所连接的相邻节点的机器数据并反馈给终端,终端则将该初始节点关联的边的值以及边所连接的相邻节点的机器数据作为目标机器数据。在获取到目标机器数据之后,可以输出目标机器数据。在一个实施例中,图数据库提供的代码接口可以包括:Neo4j数据库提供的Cypher类SQL语句接口。
例如,用户想要查询与主机相关的所有机器数据时,可以在用户界面输入“主机”。此时终端会接收到信息查询请求,该信息查询请求中携带初始机器数据“主机”。终端可以根据知识图谱所在的图数据库提供的代码接口指定初始机器数据所对应的机器编号为“1001”并将该机器编号“1001”输入至知识图谱.知识图谱可以根据“1001”定位到初始节点,并确定出如图7所示的多个与初始节点关联的边的值以及边所连接的相邻节点的机器数据并反馈给终端,终端则将知识图谱反馈的数据作为目标机器数据。在其他实施例中,配置得到知识图谱之后,还可以接收业务请求,根据该知识图谱进行与该业务请求相对应的业务处理,该业务处理可以包括:算法建设处理和/或报表统计处理。其中,算法建设处理是指:根据查询到的业务所需的机器数据设计相应的算法的处理;报表统计处理是指:根据查询到的业务所需的机器数据形成统计报表并输出的处理。
本发明实施例可获取目标机器相关的知识图谱,并确定用于对目标机器进行风险评估的风险评估算法及风险评估指标。由于知识图谱上记录了目标机器的机器数据以及各机器数据之间的关系,因此根据知识图谱所记录的各机器数据之间的关系可快速地从知识图谱记录的机器数据中查找出与风险评估指标相关的关联机器数据,提高数据查找的效率。使得后续可以及时地根据关联机器数据确定风险评估指标的指标值,并根据风险评估算法和风险评估指标的指标值对目标机器进行风险评估,从而提高风险评估的实时性,更好地对目标机器进行风险评估。
基于上述实施例的描述,在一个实施例中,本发明实施例还提出了一种如图9所示的风险评估装置的结构示意图。如图9所示,本发明实施例中的风险评估装置可包括:
获取单元101,用于在检测到针对目标机器的风险评估触发事件时,获取所述目标机器相关的知识图谱,所述目标机器的各个机器数据作为实体数据或者作为实体数据的属性值记录在所述知识图谱上,所述知识图谱还记录了各个机器数据之间的关系;
确定单元102,用于确定用于对所述目标机器进行风险评估的风险评估算法,并确定所述风险评估算法所需的风险评估指标;
所述确定单元102,用于根据所述知识图谱记录的各个机器数据之间的关系从所述知识图谱记录的机器数据中查找出与所述风险评估指标相关的关联机器数据,并根据所述关联机器数据确定所述风险评估指标的指标值;
评估单元103,用于根据风险评估算法和所述风险评估指标的指标值对所述目标机器进行风险评估。
在一个实施例中,确定单元102在用于根据所述关联机器数据确定所述风险评估指标的指标值时,可具体用于:获取所述风险评估指标对应的数据关系表,所述数据关系表中包括机器数据与指标衡量值的对应关系;从所述数据关系表中查询所述关联机器数据所对应的指标衡量值,并根据查询到的所述关联机器数据所对应的指标衡量值确定所述风险评估指标的指标值。
再一个实施例中,所述风险评估指标包括第一风险评估指标和第二风险评估指标;其中,所述第一风险评估指标的第一关联机器数据为:用于衡量所述目标机器的资产重要性的机器数据;所述第二风险评估指标的第二关联机器数据为:用于衡量所述目标机器的资产安全性的机器数据。
再一个实施例中,所述第一关联机器数据包括:机器业务的机器数据;所述第二关联机器数据包括以下至少一项:漏洞的机器数据、弱口令的机器数据,以及机器端口的机器数据。
再一个实施例中,评估单元103在用于根据风险评估算法和所述风险评估指标的指标值对所述目标机器进行风险评估时,可具体用于:根据风险评估算法和所述风险评估指标的指标值进行风险计算,得到所述目标机器的风险值;基于所述目标机器的风险值对所述目标机器进行风险评估。
再一个实施例中,评估单元103在用于根据所述风险评估算法和所述风险评估指标的指标值进行风险计算,得到所述目标机器的风险值时,可具体用于:根据所述风险评估算法计算所述第一风险评估指标的指标值和第二风险评估指标的指标值的乘积;将所述第一风险评估指标的指标值和第二风险评估指标的指标值的乘积作为所述目标机器的风险值。
再一个实施例中,获取单元101还可用于:获取所述目标机器的资产数据,并根据所述资产数据确定所述目标机器的机器数据集合;风险评估装置还可包括处理单元104,用于:采用所述机器数据集合配置知识图谱,所述知识图谱包括实体数据、所述实体数据的属性值、以及各个实体数据之间的关系。
再一个实施例中,处理单元104在用于采用所述机器数据集合配置知识图谱时,可具体用于:确定关于所述机器数据的本体结构,所述本体结构包括多个机器维度的本体节点、本体节点的属性节点以及本体关系,所述本体关系为各个本体节点之间的关系;从所述机器数据集合中确定出作为实体数据的机器数据导入所述本体结构中对应的本体节点,并从所述机器数据集合中确定出作为实体数据的属性值的机器数据导入所述本体结构中对应的属性节点以配置知识图谱。
再一个实施例中,所述机器数据集合包括离线机器数据和实时机器数据;其中,所述离线机器数据为更新频率小于阈值的机器数据,所述实时机器数据为更新频率大于所述阈值的机器数据。
再一个实施例中,在根据所述资产数据确定所述目标机器的机器数据集合之后,处理单元104还可用于:将所述机器数据集合存储至数据库,所述数据库包括第一数据库和第二数据库;其中,是将所述机器数据集合中的离线机器数据存储至所述第一数据库,将所述机器数据集合中的实时机器数据存储至所述第二数据库;若接收到所述知识图谱的配置请求,则从所述数据库中获取所述机器数据集合,并执行采用所述机器数据集合配置知识图谱的步骤;其中,触发所述知识图谱生成关于所述第一数据库的配置请求的触发条件,与触发所述知识图谱生成关于所述第二数据库的配置请求的触发条件不同。
再一个实施例中,处理单元104还可用于:接收信息查询请求,所述信息查询请求中携带初始机器数据;根据所述知识图谱记录的各个机器数据之间的关系从所述知识图谱的机器数据中查找出与所述初始机器数据存在关系的目标机器数据;输出所述目标机器数据。
本发明实施例可获取目标机器相关的知识图谱,并确定用于对目标机器进行风险评估的风险评估算法及风险评估指标。由于知识图谱上记录了目标机器的机器数据以及各机器数据之间的关系,因此根据知识图谱所记录的各机器数据之间的关系可快速地从知识图谱记录的机器数据中查找出与风险评估指标相关的关联机器数据,提高数据查找的效率。使得后续可以及时地根据关联机器数据确定风险评估指标的指标值,并根据风险评估算法和风险评估指标的指标值对目标机器进行风险评估,从而提高风险评估的实时性,更好地对目标机器进行风险评估。
请参见图10,是本发明实施例提供的一种终端的结构示意图。如图10所示,终端可包括:一个或多个处理器201;一个或多个通信接口202和存储器203。上述处理器201、通信接口202和存储器203可通过总线连接。存储器203用于存储计算机程序,所述计算机程序包括程序指令,处理器201被配置用于调用所述程序指令执行上述的风险评估方法。通信接口202中可用于实现人机交互以及获取数据。
在一个实施例中,该处理器201可以是中央处理单元(Central Processing Unit,CPU),该处理器还可以是其他通用处理器,即微处理器或者任何常规的处理器。该存储器203可以包括只读存储器和随机存取存储器,并向处理器201提供指令和数据。因此,在此对于处理器201和存储器203不作限定。
本发明实施例还提供一种计算机存储介质,所述计算机存储介质存储有计算机程序指令,由处理器201加载并执行计算机存储介质中存放的一条或一条以上计算机程序指令,以实现上述相应实施例中的方法的相应步骤;具体实现中,计算机存储介质中的至少一条计算机程序指令由处理器201加载并执行如下步骤:
在检测到针对目标机器的风险评估触发事件时,获取所述目标机器相关的知识图谱,所述目标机器的各个机器数据作为实体数据或者作为实体数据的属性值记录在所述知识图谱上,所述知识图谱还记录了各个机器数据之间的关系;
确定用于对所述目标机器进行风险评估的风险评估算法,并确定所述风险评估算法所需的风险评估指标;
根据所述知识图谱记录的各个机器数据之间的关系从所述知识图谱记录的机器数据中查找出与所述风险评估指标相关的关联机器数据,并根据所述关联机器数据确定所述风险评估指标的指标值;
根据风险评估算法和所述风险评估指标的指标值对所述目标机器进行风险评估。
在一个实施例中,在根据所述关联机器数据确定所述风险评估指标的指标值时,该至少一条计算机程序指令由处理器201加载并执行:获取所述风险评估指标对应的数据关系表,所述数据关系表中包括机器数据与指标衡量值的对应关系;从所述数据关系表中查询所述关联机器数据所对应的指标衡量值,并根据查询到的所述关联机器数据所对应的指标衡量值确定所述风险评估指标的指标值。
再一个实施例中,所述风险评估指标包括第一风险评估指标和第二风险评估指标;其中,所述第一风险评估指标的第一关联机器数据为:用于衡量所述目标机器的资产重要性的机器数据;所述第二风险评估指标的第二关联机器数据为:用于衡量所述目标机器的资产安全性的机器数据。
再一个实施例中,所述第一关联机器数据包括:机器业务的机器数据;所述第二关联机器数据包括以下至少一项:漏洞的机器数据、弱口令的机器数据,以及机器端口的机器数据。
再一个实施例中,在根据风险评估算法和所述风险评估指标的指标值对所述目标机器进行风险评估时,该至少一条计算机程序指令由处理器201加载并执行:根据风险评估算法和所述风险评估指标的指标值进行风险计算,得到所述目标机器的风险值;基于所述目标机器的风险值对所述目标机器进行风险评估。
再一个实施例中,在根据所述风险评估算法和所述风险评估指标的指标值进行风险计算,得到所述目标机器的风险值时,该至少一条计算机程序指令由处理器201加载并执行:根据所述风险评估算法计算所述第一风险评估指标的指标值和第二风险评估指标的指标值的乘积;将所述第一风险评估指标的指标值和第二风险评估指标的指标值的乘积作为所述目标机器的风险值。
再一个实施例中,该至少一条计算机程序指令还可由处理器201加载并执行:获取所述目标机器的资产数据,并根据所述资产数据确定所述目标机器的机器数据集合;采用所述机器数据集合配置知识图谱,所述知识图谱包括实体数据、所述实体数据的属性值、以及各个实体数据之间的关系。
再一个实施例中,在采用所述机器数据集合配置知识图谱时,该至少一条计算机程序指令由处理器201加载并执行:确定关于所述机器数据的本体结构,所述本体结构包括多个机器维度的本体节点、本体节点的属性节点以及本体关系,所述本体关系为各个本体节点之间的关系;从所述机器数据集合中确定出作为实体数据的机器数据导入所述本体结构中对应的本体节点,并从所述机器数据集合中确定出作为实体数据的属性值的机器数据导入所述本体结构中对应的属性节点以配置知识图谱。
再一个实施例中,所述机器数据集合包括离线机器数据和实时机器数据;其中,所述离线机器数据为更新频率小于阈值的机器数据,所述实时机器数据为更新频率大于所述阈值的机器数据。
再一个实施例中,在根据所述资产数据确定所述目标机器的机器数据集合之后,该至少一条计算机程序指令还可由处理器201加载并执行:将所述机器数据集合存储至数据库,所述数据库包括第一数据库和第二数据库;其中,是将所述机器数据集合中的离线机器数据存储至所述第一数据库,将所述机器数据集合中的实时机器数据存储至所述第二数据库;若接收到所述知识图谱的配置请求,则从所述数据库中获取所述机器数据集合,并执行采用所述机器数据集合配置知识图谱的步骤;其中,触发所述知识图谱生成关于所述第一数据库的配置请求的触发条件,与触发所述知识图谱生成关于所述第二数据库的配置请求的触发条件不同。
再一个实施例中,该至少一条计算机程序指令还可由处理器201加载并执行:接收信息查询请求,所述信息查询请求中携带初始机器数据;根据所述知识图谱记录的各个机器数据之间的关系从所述知识图谱的机器数据中查找出与所述初始机器数据存在关系的目标机器数据;输出所述目标机器数据。
本发明实施例可获取目标机器相关的知识图谱,并确定用于对目标机器进行风险评估的风险评估算法及风险评估指标。由于知识图谱上记录了目标机器的机器数据以及各机器数据之间的关系,因此根据知识图谱所记录的各机器数据之间的关系可快速地从知识图谱记录的机器数据中查找出与风险评估指标相关的关联机器数据,提高数据查找的效率。使得后续可以及时地根据关联机器数据确定风险评估指标的指标值,并根据风险评估算法和风险评估指标的指标值对目标机器进行风险评估,从而提高风险评估的实时性,更好地对目标机器进行风险评估。
需要说明的是,上述描述的终端和单元的具体工作过程,可以参考前述各个实施例中的相关描述,在此不再赘述。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所揭露的仅为本发明的部分实施例而已,当然不能以此来限定本发明之权利范围,本领域普通技术人员可以理解实现上述实施例的全部或部分流程,并依本发明权利要求所作的等同变化,仍属于发明所涵盖的范围。

Claims (13)

1.一种风险评估方法,其特征在于,包括:
在检测到针对目标机器的风险评估触发事件时,获取所述目标机器相关的知识图谱,所述目标机器的各个机器数据作为实体数据或者作为实体数据的属性值记录在所述知识图谱上,所述知识图谱还记录了各个机器数据之间的关系;
确定用于对所述目标机器进行风险评估的风险评估算法,并确定所述风险评估算法所需的风险评估指标;
根据所述知识图谱记录的各个机器数据之间的关系从所述知识图谱记录的机器数据中查找出与所述风险评估指标相关的关联机器数据,并根据所述关联机器数据确定所述风险评估指标的指标值;
根据风险评估算法和所述风险评估指标的指标值对所述目标机器进行风险评估。
2.如权利要求1所述的方法,其特征在于,所述根据所述关联机器数据确定所述风险评估指标的指标值,包括:
获取所述风险评估指标对应的数据关系表,所述数据关系表中包括机器数据与指标衡量值的对应关系;
从所述数据关系表中查询所述关联机器数据所对应的指标衡量值,并根据查询到的所述关联机器数据所对应的指标衡量值确定所述风险评估指标的指标值。
3.如权利要求1所述的方法,其特征在于,所述风险评估指标包括第一风险评估指标和第二风险评估指标;
其中,所述第一风险评估指标的第一关联机器数据为:用于衡量所述目标机器的资产重要性的机器数据;
所述第二风险评估指标的第二关联机器数据为:用于衡量所述目标机器的资产安全性的机器数据。
4.如权利要求3所述的方法,其特征在于,所述第一关联机器数据包括:机器业务的机器数据;
所述第二关联机器数据包括以下至少一项:漏洞的机器数据、弱口令的机器数据,以及机器端口的机器数据。
5.如权利要求3所述的方法,其特征在于,所述根据风险评估算法和所述风险评估指标的指标值对所述目标机器进行风险评估,包括:
根据风险评估算法和所述风险评估指标的指标值进行风险计算,得到所述目标机器的风险值;
基于所述目标机器的风险值对所述目标机器进行风险评估。
6.如权利要求5所述的方法,其特征在于,所述根据所述风险评估算法和所述风险评估指标的指标值进行风险计算,得到所述目标机器的风险值,包括:
根据所述风险评估算法计算所述第一风险评估指标的指标值和第二风险评估指标的指标值的乘积;
将所述第一风险评估指标的指标值和第二风险评估指标的指标值的乘积作为所述目标机器的风险值。
7.如权利要求1-6任一项所述的方法,其特征在于,在所述在检测到针对目标机器的风险评估触发事件时,获取所述目标机器相关的知识图谱之前,所述方法还包括:
获取所述目标机器的资产数据,并根据所述资产数据确定所述目标机器的机器数据集合;
采用所述机器数据集合配置知识图谱,所述知识图谱包括实体数据、所述实体数据的属性值、以及各个实体数据之间的关系。
8.如权利要求7所述的方法,其特征在于,所述采用所述机器数据集合配置知识图谱,包括:
确定关于所述机器数据的本体结构,所述本体结构包括多个机器维度的本体节点、本体节点的属性节点以及本体关系,所述本体关系为各个本体节点之间的关系;
从所述机器数据集合中确定出作为实体数据的机器数据导入所述本体结构中对应的本体节点,并从所述机器数据集合中确定出作为实体数据的属性值的机器数据导入所述本体结构中对应的属性节点以配置知识图谱。
9.如权利要求7所述的方法,其特征在于,所述机器数据集合包括离线机器数据和实时机器数据;其中,所述离线机器数据为更新频率小于阈值的机器数据,所述实时机器数据为更新频率大于所述阈值的机器数据。
10.如权利要求9所述的方法,其特征在于,所述根据所述资产数据确定所述目标机器的机器数据集合之后,还包括:
将所述机器数据集合存储至数据库,所述数据库包括第一数据库和第二数据库;其中,是将所述机器数据集合中的离线机器数据存储至所述第一数据库,将所述机器数据集合中的实时机器数据存储至所述第二数据库;
若接收到所述知识图谱的配置请求,则从所述数据库中获取所述机器数据集合,并执行采用所述机器数据集合配置知识图谱的步骤;
其中,触发所述知识图谱生成关于所述第一数据库的配置请求的触发条件,与触发所述知识图谱生成关于所述第二数据库的配置请求的触发条件不同。
11.如权利要求7所述的方法,其特征在于,所述方法还包括:
接收信息查询请求,所述信息查询请求中携带初始机器数据;
根据所述知识图谱记录的各个机器数据之间的关系从所述知识图谱的机器数据中查找出与所述初始机器数据存在关系的目标机器数据;
输出所述目标机器数据。
12.一种风险评估装置,其特征在于,包括:
获取单元,用于在检测到针对目标机器的风险评估触发事件时,获取所述目标机器相关的知识图谱,所述目标机器的各个机器数据作为实体数据或者作为实体数据的属性值记录在所述知识图谱上,所述知识图谱还记录了各个机器数据之间的关系;
确定单元,用于确定用于对所述目标机器进行风险评估的风险评估算法,并确定所述风险评估算法所需的风险评估指标;
所述确定单元,用于根据所述知识图谱记录的各个机器数据之间的关系从所述知识图谱记录的机器数据中查找出与所述风险评估指标相关的关联机器数据,并根据所述关联机器数据确定所述风险评估指标的指标值;
评估单元,用于根据风险评估算法和所述风险评估指标的指标值对所述目标机器进行风险评估。
13.一种终端,其特征在于,包括处理器、通信接口和存储器,所述处理器、通信接口和存储器相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行如权利要求1-11任一项所述的风险评估方法。
CN201910135801.1A 2019-02-20 2019-02-20 风险评估方法、装置及终端 Active CN110162976B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910135801.1A CN110162976B (zh) 2019-02-20 2019-02-20 风险评估方法、装置及终端

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910135801.1A CN110162976B (zh) 2019-02-20 2019-02-20 风险评估方法、装置及终端

Publications (2)

Publication Number Publication Date
CN110162976A true CN110162976A (zh) 2019-08-23
CN110162976B CN110162976B (zh) 2023-04-18

Family

ID=67645387

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910135801.1A Active CN110162976B (zh) 2019-02-20 2019-02-20 风险评估方法、装置及终端

Country Status (1)

Country Link
CN (1) CN110162976B (zh)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110609904A (zh) * 2019-09-11 2019-12-24 深圳众赢维融科技有限公司 图数据库数据处理方法、装置、电子设备及存储介质
CN110753032A (zh) * 2019-09-24 2020-02-04 支付宝(杭州)信息技术有限公司 一种风险维度组合挖掘方法、装置及设备
CN110851743A (zh) * 2019-11-19 2020-02-28 上海秒针网络科技有限公司 餐饮店位置提示方法和装置、存储介质及电子装置
CN111429255A (zh) * 2020-03-19 2020-07-17 中国建设银行股份有限公司 一种风险评估方法、装置、设备及存储介质
CN112330373A (zh) * 2020-11-30 2021-02-05 中国银联股份有限公司 用户行为分析方法、装置及计算机可读存储介质
CN112633619A (zh) * 2019-10-08 2021-04-09 阿里巴巴集团控股有限公司 风险评估方法及装置
CN112966924A (zh) * 2021-03-02 2021-06-15 杭州全视软件有限公司 一种基于风险图谱的数据治理系统及方法
CN113297044A (zh) * 2020-06-11 2021-08-24 阿里巴巴集团控股有限公司 一种运维风险预警方法及装置
CN116010467A (zh) * 2023-01-10 2023-04-25 北京天融信网络安全技术有限公司 基于通联图谱的风险发现方法、装置、设备及存储介质
CN116452323A (zh) * 2023-04-28 2023-07-18 广州市良策网络技术有限公司 风险评估方法、系统、设备及存储介质

Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101106458A (zh) * 2007-08-17 2008-01-16 华中科技大学 一种基于风险的分布式访问控制方法
US20170124497A1 (en) * 2015-10-28 2017-05-04 Fractal Industries, Inc. System for automated capture and analysis of business information for reliable business venture outcome prediction
CN106897273A (zh) * 2017-04-12 2017-06-27 福州大学 一种基于知识图谱的网络安全动态预警方法
CN107016068A (zh) * 2017-03-21 2017-08-04 深圳前海乘方互联网金融服务有限公司 知识图谱构建方法及装置
CN107229878A (zh) * 2017-06-28 2017-10-03 海南大学 一种投入决定的安全性可定义的基于数据图谱、信息图谱和知识图谱的资源安全保护方法
CN107741901A (zh) * 2016-09-28 2018-02-27 腾讯科技(深圳)有限公司 一种关联数据库语句的测试方法和装置
CN107977575A (zh) * 2017-12-20 2018-05-01 北京关键科技股份有限公司 一种基于私有云平台的代码组成分析系统和方法
CN108256063A (zh) * 2018-01-15 2018-07-06 中国人民解放军国防科技大学 一种面向网络安全的知识库构建方法
CN108270785A (zh) * 2018-01-15 2018-07-10 中国人民解放军国防科技大学 一种基于知识图谱的分布式安全事件关联分析方法
CN108875414A (zh) * 2018-06-09 2018-11-23 海南大学 基于数据图谱,信息图谱和知识图谱的建模与数据安全保护方法
CN108933793A (zh) * 2018-07-24 2018-12-04 中国人民解放军战略支援部队信息工程大学 基于知识图谱的攻击图生成方法及其装置
CN109347798A (zh) * 2018-09-12 2019-02-15 东软集团股份有限公司 网络安全知识图谱的生成方法、装置、设备及存储介质
CN109347801A (zh) * 2018-09-17 2019-02-15 武汉大学 一种基于多源词嵌入和知识图谱的漏洞利用风险评估方法

Patent Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101106458A (zh) * 2007-08-17 2008-01-16 华中科技大学 一种基于风险的分布式访问控制方法
US20170124497A1 (en) * 2015-10-28 2017-05-04 Fractal Industries, Inc. System for automated capture and analysis of business information for reliable business venture outcome prediction
CN107741901A (zh) * 2016-09-28 2018-02-27 腾讯科技(深圳)有限公司 一种关联数据库语句的测试方法和装置
CN107016068A (zh) * 2017-03-21 2017-08-04 深圳前海乘方互联网金融服务有限公司 知识图谱构建方法及装置
CN106897273A (zh) * 2017-04-12 2017-06-27 福州大学 一种基于知识图谱的网络安全动态预警方法
CN107229878A (zh) * 2017-06-28 2017-10-03 海南大学 一种投入决定的安全性可定义的基于数据图谱、信息图谱和知识图谱的资源安全保护方法
CN107977575A (zh) * 2017-12-20 2018-05-01 北京关键科技股份有限公司 一种基于私有云平台的代码组成分析系统和方法
CN108256063A (zh) * 2018-01-15 2018-07-06 中国人民解放军国防科技大学 一种面向网络安全的知识库构建方法
CN108270785A (zh) * 2018-01-15 2018-07-10 中国人民解放军国防科技大学 一种基于知识图谱的分布式安全事件关联分析方法
CN108875414A (zh) * 2018-06-09 2018-11-23 海南大学 基于数据图谱,信息图谱和知识图谱的建模与数据安全保护方法
CN108933793A (zh) * 2018-07-24 2018-12-04 中国人民解放军战略支援部队信息工程大学 基于知识图谱的攻击图生成方法及其装置
CN109347798A (zh) * 2018-09-12 2019-02-15 东软集团股份有限公司 网络安全知识图谱的生成方法、装置、设备及存储介质
CN109347801A (zh) * 2018-09-17 2019-02-15 武汉大学 一种基于多源词嵌入和知识图谱的漏洞利用风险评估方法

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110609904A (zh) * 2019-09-11 2019-12-24 深圳众赢维融科技有限公司 图数据库数据处理方法、装置、电子设备及存储介质
CN110753032A (zh) * 2019-09-24 2020-02-04 支付宝(杭州)信息技术有限公司 一种风险维度组合挖掘方法、装置及设备
CN110753032B (zh) * 2019-09-24 2021-11-16 支付宝(杭州)信息技术有限公司 一种风险维度组合挖掘方法、装置及设备
CN112633619A (zh) * 2019-10-08 2021-04-09 阿里巴巴集团控股有限公司 风险评估方法及装置
CN110851743A (zh) * 2019-11-19 2020-02-28 上海秒针网络科技有限公司 餐饮店位置提示方法和装置、存储介质及电子装置
CN111429255A (zh) * 2020-03-19 2020-07-17 中国建设银行股份有限公司 一种风险评估方法、装置、设备及存储介质
CN111429255B (zh) * 2020-03-19 2024-02-20 中国建设银行股份有限公司 一种风险评估方法、装置、设备及存储介质
CN113297044B (zh) * 2020-06-11 2024-01-09 阿里巴巴集团控股有限公司 一种运维风险预警方法及装置
CN113297044A (zh) * 2020-06-11 2021-08-24 阿里巴巴集团控股有限公司 一种运维风险预警方法及装置
CN112330373A (zh) * 2020-11-30 2021-02-05 中国银联股份有限公司 用户行为分析方法、装置及计算机可读存储介质
CN112966924A (zh) * 2021-03-02 2021-06-15 杭州全视软件有限公司 一种基于风险图谱的数据治理系统及方法
CN116010467B (zh) * 2023-01-10 2024-02-02 北京天融信网络安全技术有限公司 基于通联图谱的风险发现方法、装置、设备及存储介质
CN116010467A (zh) * 2023-01-10 2023-04-25 北京天融信网络安全技术有限公司 基于通联图谱的风险发现方法、装置、设备及存储介质
CN116452323A (zh) * 2023-04-28 2023-07-18 广州市良策网络技术有限公司 风险评估方法、系统、设备及存储介质
CN116452323B (zh) * 2023-04-28 2024-01-30 广州市良策网络技术有限公司 风险评估方法、系统、设备及存储介质

Also Published As

Publication number Publication date
CN110162976B (zh) 2023-04-18

Similar Documents

Publication Publication Date Title
CN110162976A (zh) 风险评估方法、装置及终端
US10803171B2 (en) Virus detection method, terminal and server
JP6422617B2 (ja) ネットワークアクセス動作識別プログラム、サーバ及び記憶媒体
US9443082B2 (en) User evaluation
US8412712B2 (en) Grouping methods for best-value determination from values for an attribute type of specific entity
KR20150084123A (ko) 이상행위 탐지 장치 및 방법
CN110572409B (zh) 工业互联网的安全风险预测方法、装置、设备及存储介质
CN110830445B (zh) 一种异常访问对象的识别方法及设备
WO2021012509A1 (zh) 一种异常账号检测方法、装置及计算机存储介质
CN107682345B (zh) Ip地址的检测方法、检测装置及电子设备
CN109376078A (zh) 移动应用的测试方法、终端设备及介质
CN110225104A (zh) 数据获取方法、装置及终端设备
CN110201393A (zh) 一种配置数据的存储方法、装置及电子设备
CN110851461A (zh) 非关系型数据库的审计方法、装置和存储介质
WO2024098699A1 (zh) 实体对象的威胁检测方法、装置、设备及存储介质
CN114615016A (zh) 一种企业网络安全评估方法、装置、移动终端及存储介质
CN112100619B (zh) 一种恶意文件检测方法、系统、设备及计算机存储介质
US20220391503A1 (en) Identity management endpoint collection for zero trust score system
JP6322240B2 (ja) フィッシング・スクリプトを検出するためのシステム及び方法
CN109905366A (zh) 终端设备安全验证方法、装置、可读存储介质及终端设备
CN109413108A (zh) 一种基于安全的waf检测方法和系统
CN116471174B (zh) 一种日志数据监测系统、方法、装置和存储介质
CN109376064B (zh) 一种接口测试报告的生成方法及设备
WO2020211251A1 (zh) 操作系统的监控方法和装置
CN108255710B (zh) 一种脚本的异常检测方法及其终端

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant