CN110213236A - 确定业务安全风险的方法、电子设备及计算机存储介质 - Google Patents
确定业务安全风险的方法、电子设备及计算机存储介质 Download PDFInfo
- Publication number
- CN110213236A CN110213236A CN201910368658.0A CN201910368658A CN110213236A CN 110213236 A CN110213236 A CN 110213236A CN 201910368658 A CN201910368658 A CN 201910368658A CN 110213236 A CN110213236 A CN 110213236A
- Authority
- CN
- China
- Prior art keywords
- attacker
- information
- attack
- service security
- security system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请涉及信息安全技术领域,公开了一种确定业务安全风险的方法、电子设备及计算机可读存储介质,其中,确定业务安全风险的方法包括:采集业务安全系统系统的运行数据,并根据运行数据获取对业务安全系统进行攻击的相关信息,相关信息包括攻击者信息、攻击利用的资源信息、攻击方法、攻击原因中的至少一项;接着对运行数据进行分析处理,确定攻击对业务安全系统造成的业务损失信息;接着基于相关信息与业务损失信息,确定攻击的风险评估信息。本申请实施例的方法,可以全方位了解和感知攻击者,协助改善攻击者和防守者处于不对等地位的局面,能够及时对业务安全系统的情境态势进行有效监控,确定可能存在的风险,从而针对性地制定风控策略。
Description
技术领域
本申请涉及信息安全技术领域,具体而言,本申请涉及一种确定业务安全风险方法、电子设备及计算机存储介质。
背景技术
随着计算机及互联网技术的迅猛发展,网络规模的不断扩大,网络拓扑结构变得越来越复杂,监测网络威胁行为的难度又上升了一个等级,虽然目前防火墙和入侵检测技术的应用已经非常普遍,但是面对着攻击手段的日趋多样化和网络安全要求的不断提高,检测已经发生的入侵,已经不能满足计算机安全的要求。
尤其在业务安全对抗场景中,通常防守者在明,攻击者在暗,导致业务安全的风险控制常常处于不利位置,而且攻击者有专业团队和团伙、充裕的攻击准备和移动时间,同时也具备成熟的工具和完善的服务支持,致使业务安全对抗场景中攻击者与防守者间处于不对等地位的局面,于是亟需一种改变这个局面的方法。
发明内容
本申请的目的旨在至少能解决上述的技术缺陷之一,特提出以下技术方案:
一方面,提供了一种确定业务安全风险的方法,包括:
采集业务安全系统的运行数据,并根据所述运行数据获取对业务安全系统进行攻击的相关信息,相关信息包括攻击者信息、攻击利用的资源信息、攻击方法、攻击原因中的至少一项;
对所述运行数据进行分析处理,确定攻击对业务安全系统造成的业务损失信息;
基于相关信息与业务损失信息,确定攻击的风险评估信息。
在一种可能的实现方式中,攻击者信息包括以下至少一项:
攻击者的数量;攻击者的团伙信息;各个攻击者分别对应的角色信息;各个攻击者间的协作信息;
攻击者的团伙信息包括以下至少一项:团伙数量;团伙间的关联关系。
在另一种可能的实现方式中,根据运行数据获取对业务安全系统进行攻击的攻击者信息,包括:
对运行数据进行分析处理,得到相应的人员相关信息;
基于人员相关信息,通过第一预定渠道获取对业务安全系统进行攻击的至少一个攻击者的联系信息;
根据各个攻击者的联系信息,在各个攻击者分别对应的预定社交关系网中进行染色处理,得到各攻击者分别属于的团伙及团伙信息。
在另一种可能的实现方式中,根据各个攻击者的联系信息,在各个攻击者分别对应的预定社交关系网中进行染色处理,得到各攻击者分别属于的团伙及团伙信息,包括:
在攻击者的预定社交关系网中,根据预定染色总阶数,在每一染色阶数中确定与上一染色阶数中的第一攻击者的关联度大于或等于预定阈值的第二攻击者;
确定第一攻击者与第二攻击者属于同一团伙。
在另一种可能的实现方式中,根据运行数据获取对业务安全系统进行攻击利用的资源信息,包括:
对运行数据进行分析处理,得到相应的网络设备操作数据;
基于网络设备操作数据,通过第二预定渠道获取对业务安全系统进行攻击利用的各种资源类型;
对各种资源类型分别进行数据分析处理,得到各种资源类型的资源信息;
资源类型包括以下至少一项:终端设备;服务器设备;攻击软件;互联网协议IP地址;带宽。
在另一种可能的实现方式中,资源信息包括以下至少一项:资源来源;资源数量;资源更新频率;资源成本;资源新增量;资源流出量;资源收敛特征。
在另一种可能的实现方式中,根据运行数据获取对业务安全系统进行攻击的攻击方法,包括:
对运行数据进行分析处理,得到相应的日志数据;
基于日志数据,通过蜜罐技术向攻击者提供业务安全系统的至少一个样本帐号,并对至少一个样本帐号的日志数据进行分析处理,得到攻击者对业务安全系统进行攻击的攻击方法;或者,
基于日志数据,通过对获取到的攻击业务安全系统的攻击软件,进行测试或逆向分析,得到攻击软件的软件特征,并基于软件特征,模拟得到攻击者对业务安全系统进行攻击的攻击方法。
在另一种可能的实现方式中,当资源信息包括资源成本与资源数量时,根据运行数据获取对业务安全系统进行攻击的攻击原因,包括:
对运行数据进行分析处理,得到相应的网络流量信息;
基于网络流量信息,通过第三预定渠道或者模拟攻击者对业务安全系统进行攻击,确定攻击者对业务安全系统进行攻击的获利点;
通过对资源成本与资源数量进行推算,或者基于预定场景根据资源成本与资源数量进行测试,确定攻击者对业务安全系统进行攻击的成本与收益;
根据获利点、成本与收益,确定攻击者对业务安全系统进行攻击的攻击原因。
在另一种可能的实现方式中,对运行数据进行分析处理,确定攻击对业务安全系统造成的业务损失信息,包括:
对运行数据进行分析处理,得到相应的网络描述信息;
基于预建立的审计系统与网络描述信息,确定当前对业务安全系统进行攻击的攻击者数量;
根据预定风控策略对确定出的攻击者数量进行打击,得到打击量;
根据攻击者数量与打击量的差值,确定攻击对业务安全系统造成的业务损失信息。
在另一种可能的实现方式中,还包括:
根据攻击者数量与预建立的审计系统的预定覆盖率的比值,预测对业务安全系统进行攻击的实际的攻击者总数量。
在另一种可能的实现方式中,还包括:
根据风险评估信息确定相应的风控策略,以对攻击进行主动防御。
另一方面,提供了一种确定业务安全风险的装置,包括:
获取模块,用于采集业务安全系统的运行数据,并根据运行数据获取对业务安全系统进行攻击的相关信息,相关信息包括攻击者信息、攻击利用的资源信息、攻击方法、攻击原因中的至少一项;
第一确定模块,用于对运行数据进行分析处理,确定攻击对业务安全系统造成的业务损失信息;
第二确定模块,用于基于相关信息与业务损失信息,确定攻击的风险评估信息。
在一种可能的实现方式中,攻击者信息包括以下至少一项:
攻击者的数量;攻击者的团伙信息;各个攻击者分别对应的角色信息;各个攻击者间的协作信息;
攻击者的团伙信息包括以下至少一项:团伙数量;团伙间的关联关系。
在另一种可能的实现方式中,获取模块包括第一分析子模块、联系信息获取子模块与染色处理子模块;
第一分析子模块,用于对运行数据进行分析处理,得到相应的人员相关信息;
联系信息获取子模块,用于基于人员相关信息,通过第一预定渠道获取对业务安全系统进行攻击的至少一个攻击者的联系信息;
染色处理子模块,用于根据各个攻击者的联系信息,在各个攻击者分别对应的预定社交关系网中进行染色处理,得到各攻击者分别属于的团伙及团伙信息。
在另一种可能的实现方式中,染色处理子模块具体用于在攻击者的预定社交关系网中,根据预定染色总阶数,在每一染色阶数中确定与上一染色阶数中的第一攻击者的关联度大于或等于预定阈值的第二攻击者;以及确定第一攻击者与第二攻击者属于同一团伙。
在另一种可能的实现方式中,获取模块包括第二分析子模块、资源获取子模块与分析处理子模块;
第二分析子模块,用于对运行数据进行分析处理,得到相应的网络设备操作数据;
资源获取子模块,用于基于网络设备操作数据,通过第二预定渠道获取对业务安全系统进行攻击利用的各种资源类型;
分析处理子模块,用于对各种资源类型分别进行数据分析处理,得到各种资源类型的资源信息;
资源类型包括以下至少一项:终端设备;服务器设备;攻击软件;互联网协议IP地址;带宽。
在另一种可能的实现方式中,资源信息包括以下至少一项:资源来源;资源数量;资源更新频率;资源成本;资源新增量;资源流出量;资源收敛特征。
在另一种可能的实现方式中,获取模块包括第三分析子模块、第一攻击方法获取子模块与第二攻击方法获取子模块;
第三分析子模块,用于对运行数据进行分析处理,得到相应的日志数据;
第一攻击方法获取子模块,用于基于日志数据,通过蜜罐技术向攻击者提供业务安全系统的至少一个样本帐号,并对至少一个样本帐号的日志数据进行分析处理,得到攻击者对业务安全系统进行攻击的攻击方法;
第二攻击方法获取子模块,用于基于日志数据,通过对获取到的攻击业务安全系统的攻击软件,进行测试或逆向分析,得到攻击软件的软件特征,并基于软件特征,模拟得到攻击者对业务安全系统进行攻击的攻击方法。
在另一种可能的实现方式中,当资源信息包括资源成本与资源数量时,获取模块包括第四分析子模块、第一确定子模块、第二确定子模块与攻击原因确定子模块;
第四分析子模块,用于对运行数据进行分析处理,得到相应的网络流量信息;
第一确定子模块,用于基于网络流量信息,通过第三预定渠道或者模拟攻击者对业务安全系统进行攻击,确定攻击者对业务安全系统进行攻击的获利点;
第二确定子模块,用于通过对资源成本与资源数量进行推算,或者基于预定场景根据资源成本与资源数量进行测试,确定攻击者对业务安全系统进行攻击的成本与收益;
攻击原因确定子模块,用于根据获利点、成本与收益,确定攻击者对业务安全系统进行攻击的攻击原因。
在另一种可能的实现方式中,确定模块包括第五分析子模块、攻击数量确定子模块、打击量确定子模块与损失确定子模块:
第五分析子模块,用于对运行数据进行分析处理,得到相应的网络描述信息;
攻击数量确定子模块,用于基于预建立的审计系统与网络描述信息,确定当前对业务安全系统进行攻击的攻击者数量;
打击量确定子模块,用于根据预定风控策略对确定出的攻击者数量进行打击,得到打击量;
损失确定子模块,用于根据攻击者数量与打击量的差值,确定攻击对业务安全系统造成的业务损失信息。
在另一种可能的实现方式中,还包括第三确定模块;
第三确定模块,用于根据攻击者数量与预建立的审计系统的预定覆盖率的比值,预测对业务安全系统进行攻击的实际的攻击者总数量。
在另一种可能的实现方式中,还包括:第四确定模块;
第四确定模块,用于根据风险评估信息确定相应的风控策略,以对攻击进行主动防御。
另一方面,提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行所述程序时实现上述的确定业务安全系统风险的方法。
另一方面,提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,该程序被处理器执行时实现上述的确定业务安全系统风险的方法。
本申请实施例提供的确定业务安全风险的方法,基于对业务安全系统进行攻击的相关信息以及攻击对业务安全系统造成的业务损失信息,确定攻击的风险评估信息,可以全方位了解和感知攻击者,不仅能够协助改善攻击者和防守者处于不对等地位的局面,而且能够及时对业务安全系统的情境态势进行有效监控,确定可能存在的攻击风险,为网络安全管理员的决策分析提供依据,便于后续有针对性地制定风控策略,将不安全因素带来的风险和损失降到最低。
本申请附加的方面和优点将在下面的描述中部分给出,这些将从下面的描述中变得明显,或通过本申请的实践了解到。
附图说明
本申请上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为本申请实施例的确定业务安全风险的方法的流程示意图;
图2为本申请实施例的在攻击者的预定社交关系网中进行染色处理的示意图;
图3为本申请实施例的获取对业务安全进行攻击的攻击者信息的架构图;
图4为本申请实施例的获取攻击者利用的资源信息的架构图;
图5为本申请实施例的获取对业务安全进行攻击的攻击方法的架构图;
图6为本申请实施例的攻击者的成本与收益的计算过程示意图;
图7为本申请实施例的获取对业务安全进行攻击的攻击原因的架构图;
图8为本申请实施例的实际攻击者总数量、发现的攻击者数量、打击量及漏出的攻击者数量之间的关系示意图;
图9为本申请实施例的确定攻击对业务安全造成的业务损失的架构图;
图10为本申请实施例的确定业务安全风险的整体架构图;
图11为本申请实施例的确定业务安全风险的装置的基本结构示意图;
图12为本申请实施例的确定业务安全风险的装置的详细结构示意图;
图13为本申请实施例的电子设备的结构示意图。
具体实施方式
下面详细描述本申请的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本申请,而不能解释为对本申请的限制。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本申请的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或无线耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
本申请提供的确定业务安全风险的方法、电子设备及计算机可读存储介质,旨在解决现有技术的如上技术问题。
下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本申请的实施例进行描述。
本申请一个实施例提供了一种确定业务安全风险的方法,该方法可以由终端设备执行,也可以由服务器执行,如图1所示,包括:
步骤S110,采集业务安全系统的运行数据,并根据运行数据获取对业务安全系统进行攻击的相关信息,所述相关信息包括攻击者信息、攻击利用的资源信息、攻击方法、攻击原因中的至少一项。
具体地,在业务安全场景中,终端设备或服务器实时采集业务安全系统的运行数据,并根据采集到的运行数据对攻击者的威胁进行主动感知,通过改变视角,由先前的被攻击者角度转换到攻击者角度,重点研究攻击者,获取攻击者对业务安全系统进行攻击的相关信息,从而合理评估攻击者的实力,有效监控风险,在一定程度上解决攻防不对等的局面,为终端设备或服务器由被动对抗转变到主动防御提供前提保障。
进一步地,上述相关信息可以包括攻击者信息,也可以包括攻击利用的资源信息,也可以包括攻击方法,还可以包括攻击原因,当然也可以包括对业务安全系统进行攻击的其它信息,本申请实施例不对其做限制。
步骤S120,对运行数据进行分析处理,确定攻击对业务安全系统造成的业务损失信息。
具体地,在业务安全场景中,终端设备或服务器可以对采集到的运行数据进行相应的分析处理,从而全面感知攻击者对业务安全系统进行攻击造成的业务损失信息,为评估风险提供评估依据。
步骤S130,基于相关信息与业务损失信息,确定攻击的风险评估信息。
具体地,在业务安全场景中,终端设备或服务器可以根据得到的相关信息与业务损失信息,准确衡量当前攻击的风险紧急程度或风险等级等风险评估信息,即确定攻击的风险评估信息,从而确定出可能存在的攻击风险,进而对业务安全系统的情境态势进行有效监控,为网络安全管理员的决策分析提供依据,便于网络安全管理员后续有针对性地制定风控策略。
本申请实施例提供的确定业务安全风险的方法,基于对业务安全系统进行攻击的相关信息以及攻击对业务安全系统造成的业务损失信息,确定攻击的风险评估信息,可以全方位了解和感知攻击者,不仅能够协助改善攻击者和防守者处于不对等地位的局面,而且能够及时对业务安全系统的情境态势进行有效监控,确定可能存在的攻击风险,为网络安全管理员的决策分析提供依据,便于其后续有针对性地制定风控策略,将不安全因素对业务安全系统造成的风险和损失降到最低。
在本申请实施例的一种可能的实现方式中,获取对业务安全系统进行攻击的攻击者信息,包括:步骤a,对运行数据进行分析处理,得到相应的人员相关信息;步骤b,基于人员相关信息,通过第一预定渠道获取对业务安全系统进行攻击的至少一个攻击者的联系信息;步骤c,根据各个攻击者的联系信息,在各个攻击者分别对应的预定社交关系网中进行染色处理,得到各攻击者分别属于的团伙及团伙信息。
具体地,终端设备或服务器在采集到业务安全系统的运行数据后,可以对该运行数据进行分析处理,得到使用或访问该业务安全系统的人员相关信息,例如用户账号、用户名称、用户ID、用户访问时间、用户访问频率等等,当然也可以为现有技术中的其它人员相关信息,本申请实施例不对其做限制。
具体地,上述步骤c可以为:在攻击者的预定社交关系网中,根据预定染色总阶数,在每一染色阶数中确定与上一染色阶数中的第一攻击者的关联度大于或等于预定阈值的第二攻击者;以及确定第一攻击者与第二攻击者属于同一团伙。
其中,上述的攻击者信息包括以下至少一项:攻击者的数量;攻击者的团伙信息;各个攻击者分别对应的角色信息;各个攻击者间的协作信息。攻击者的团伙信息包括以下至少一项:团伙数量;团伙间的关联关系。
下面对本实现方式的上述内容进行具体介绍:
具体地,为了合理评估攻击者的实力,需要对攻击者进行重点研究,例如获取攻击者的人员规模有多少人,又例如获取攻击者有多少个团伙、主要的大团伙的情况、团伙的覆盖率以及团伙间的关联关系等,再例如获取攻击者的产业链信息,该产业链信息具体可以包括各个攻击者的角色分工、各个攻击者之间的上下游协作情况等等。即通过对攻击者进行重点研究,获取攻击者的数量、攻击者的团伙信息(包括团伙数量和/或团伙间的关联关系)、各个攻击者分别对应的角色信息、各个攻击者间的协作信息等攻击者信息,从而有效评估攻击者实力,并通过监控攻击者人员规模协助评估风险态势。
具体地,在获取攻击者信息的过程中,可以基于得到相应的人员相关信息,通过预定的情报社工得到一个或多个黑产帐号或黑产联系方式,并通过各个黑产帐号之间的关联关系进行团伙挖掘,或者通过各个黑产联系方式之间的关联关系进行团伙挖掘,得到攻击者的团伙信息。其中,此处的预定的情报社工即为上述的第一预定渠道,黑产帐号或黑产联系方式即为上述的攻击者的联系信息,此处的团伙挖掘可以采用基于关键词、N度好友、上下文挖掘及自然人数据等的深网扩散方法,当然也可以采用其它可能的团伙挖掘方法,本申请实施例不对其做限制。
进一步地,在获取攻击者的团伙信息的过程中,可以将通过预定的情报社工(即第一预定渠道)获取到的攻击者的联系信息作为“种子”,通过基于该“种子”在攻击者的预定社交关系网中进行染色处理,得到相关联的团伙及团伙信息。其中,在该预定社交关系网中,各个点为攻击者结点,代表攻击者个体,边为攻击者与攻击者之间的关联关系,可以为该边赋予权重,该权重由攻击者之间的关联程度决定,如果攻击者之间的关联程度属于特别紧密的情况,则权重较大,如果攻击者之间的关联程度属于一般紧密的情况,则权重相对较小,如果攻击者之间的关联程度属于不关联的情况,则权重为零。
进一步地,图2给出了在攻击者的预定社交关系网中进行染色处理的示意图。在图2中,P0为“种子”结点,即P0为通过预定的情报社工获取到的攻击者的联系信息,P1为通过染色处理得到的与“种子”结点直接关联的结点,P2为通过染色处理得到的与P1结点直接关联的结点,P3为通过染色处理得到的与P2结点直接关联的结点,依此类推,最终可以基于该“种子”结点P0在攻击者的预定社交关系网中的染色处理,得到与P0相关联的团伙及团伙信息。
进一步地,在攻击者的预定社交关系网中进行染色处理的过程中,可以根据实际业务安全场景的需要,预先为攻击者之间的关联程度设定一个合适的阈值(即上述的预定阈值),如果攻击者之间的关联度大于或等于该阈值,则可以认为其属于同一团伙,如果攻击者之间的关联度小于该阈值,则可以认为其不属于同一团伙。此外,在攻击者的预定社交关系网中进行染色处理的过程中,可以根据实际业务安全场景的需要,预先设定合理的染色总阶数(记作J),该染色总阶数表示通过“种子”扩展的结点层级数,如果J取值为1,则表示只扩展与“种子”结点P0直接关联的攻击者(例如结点P1),如果J取值为2,则表示扩展与“种子”结点P0直接关联的攻击者(例如结点P1),并且扩展与结点P1直接关联的攻击者(例如结点P2)。
进一步地,在攻击者的预定社交关系网中进行染色处理的过程中,可以根据预定染色总阶数(记作J),在每一染色阶数(记作Jp)中确定与上一染色阶数中的第一攻击者的关联度大于或等于预定阈值的第二攻击者,并确定第一攻击者与第二攻击者属于同一团伙。如图2所示,在实际应用中,首先确定“种子”结点,即图2中的结点P0,接着通过结点P0进行扩散,第一步为一阶扩散,即Jp=1,表示扩散与“种子”结点直接相关联的下一层结点,并保留边权重大于或等于预定阈值的一阶结点,例如图2中的结点P1,即“种子”结点P0与结点P1属于同一团伙,其中,该边权重即为“种子”结点P0与结点P1之间的关联关系,同时摒弃边权重小于预定阈值的一阶结点,例如图2中的填充灰色的结点P1。接着,第二步为二阶扩散,即Jp=2,表示扩散与结点P1直接相关联的下一层结点,并保留边权重大于或等于预定阈值的一阶结点,例如图2中的结点P2,即结点P1与结点P2属于同一团伙,从而间接可以得到结点P0、结点P1及结点P2属于同一团伙。接着,第三步为三阶扩散、第四步为四阶扩散,即当Jp小于或等于染色总阶数J时,继续对下一阶结点进行扩散,同样选择边权重大于或等于预定阈值的结点,直至染色阶数Jp达到染色总阶数J,则停止结点扩散,至此得到与“种子”结点P0属于同一团伙的所有结点,从而得到各攻击者分别属于的团伙及团伙信息。
进一步地,图3给出了本实现方式的获取对业务安全进行攻击的攻击者信息的架构图,在图3中,通过预定的情报社工的情报感知以及团伙挖掘这一技术手段,获取对业务安全系统进行攻击的攻击者信息,从而实现评估攻击者实力与监控风险态势的目标,其中,攻击者信息包括但不限团伙数、覆盖率、人员规模及产业链等。
在本申请实施例的另一种可能的实现方式中,获取对业务安全系统进行攻击利用的资源信息,包括:步骤d,对运行数据进行分析处理,得到相应的网络设备操作数据信息;步骤e,基于网络设备操作数据信息,通过第二预定渠道获取对业务安全系统进行攻击利用的各种资源类型;步骤f,对各种资源类型分别进行数据分析处理,得到各种资源类型的资源信息。其中,资源类型包括以下至少一项:终端设备;服务器设备;攻击软件;互联网协议IP地址;带宽。资源信息包括以下至少一项:资源来源;资源数量;资源更新频率;资源成本;资源新增量;资源流出量;资源收敛特征。
具体地,为了合理评估攻击者的实力,需要获取攻击者所利用资源的各种资源类型及各种资源类型的资源信息等资源情况,从而根据获取到的资源情况有效评估攻击者的实力,而且可以通过对所利用资源的各个特征维度的分析,进行资源收敛、资源数量及资源成本等的监控,从而能够预警攻击风险。
具体地,在实际应用中,可以通过对攻击者进行重点研究,获取攻击者用到的资源类型以及各类资源的主要信息,比如资源来源、资源数量、资源更新频率、资源成本、资源新增量、资源流出量、资源收敛特征以及其它特征等。其中,对攻击者进行重点研究的过程,可以为:首先,终端设备或服务器在采集到业务安全系统的运行数据后,可以对该运行数据进行分析处理,得到访问该业务安全系统的网络设备操作数据信息,例如网络设备的运行状态信息、网络设备参数信息等,当然也可以为现有技术中的其它网络设备操作数据信息,本申请实施例不对其做限制。
具体地,在获取到相应的网络设备操作数据信息后,可以基于该网络设备操作数据信息,通过预定的情报渠道(即上述的第二预定渠道)获得攻击者所需要的各种资源类型,例如IP、终端设备、服务器、攻击软件以及带宽等,接着,对获取到的各种资源类型进行后台数据分析处理,得到各资源类型的来源、资源数量、资源更新频率、资源成本、资源新增量、资源流出量、资源收敛特征以及其它特征等资源信息。
以IP资源为例,需要获取攻击者在某个业务安全场景下使用的IP池的规模、IP池中各IP的来源地(比如A城市、B公司等)、IP池中的IP新增量情况和IP流出量情况、IP池中IP的更新频率(比如攻击者为避免IP被发现,会频繁更新IP,例如秒播IP)、IP池中的IP是否有收敛特征(比如攻击者使用的IP常常为IDC(Internet Data Center,互联网数据中心)属性的IP)。其中:
1)IP池的规模=计数去重(攻击者恶意审计请求使用的IP);
2)IP的来源地=计数分布(攻击者恶意审计请求使用的IP来源地),
该IP的来源地可通过自审计或访问已有的IP库来确定;
3)IP新增量=当前周期中出现且不出现之前所有周期中的IP量;
4)IP流出量=一定时间内不再出现在攻击者请求中的IP量。
需要说明的是,对于该某个业务安全场景中使用的其它类型的资源,其资源信息的分析过程与上述IP资源的资源信息的分析过程类似,在此不再赘述。
进一步地,图4给出了本实现方式的获取攻击者利用的资源信息的架构图,在图4中,通过预定的情报社工的情报感知这一技术手段,获取对业务安全进行攻击时利用的各类资源,并通过后台数据分析处理,获取各类资源的资源来源、资源数量、资源更新频率、资源成本、资源新增量、资源流出量、资源收敛特征及其它特征等资源信息,从而有效评估攻击者实力、资源收敛情况及监控风险等。
在本申请实施例的另一种可能的实现方式中,根据运行数据获取对业务安全系统进行攻击的攻击方法,包括步骤g与步骤h,其中,步骤g:对运行数据进行分析处理,得到相应的日志数据;步骤h:基于日志数据,通过蜜罐技术向攻击者提供业务安全系统的至少一个样本帐号,并对至少一个样本帐号的日志数据进行分析处理,得到攻击者对业务安全系统进行攻击的攻击方法;或者,基于日志数据,通过对获取到的攻击业务安全系统的攻击软件,进行测试或逆向分析,得到攻击软件的软件特征,并基于软件特征,模拟得到攻击者对业务安全系统进行攻击的攻击方法。
具体地,获知攻击者对业务安全系统进行攻击的攻击方法,可以帮助防守者针对性的制定打击策略,并评估攻击者的攻击成本。其中,在实际应用中,可以根据攻击者在主要的资源类型(例如IP、终端设备等)上的变化特征或变化规律、攻击者的攻击路径的特征或变化规律等,获取攻击者对业务安全系统进行攻击的攻击方法。
具体地,在实际应用中,终端设备或服务器在采集到业务安全系统的运行数据后,可以对该运行数据进行分析处理,得到访问该业务安全系统的日志数据,例如访问量、访问时间、是否发生访问异常等,当然可以为现有技术中的其它日志数据,本申请实施例不对其做限制。
具体地,在获取到相应的日志数据后,可以基于该日志数据通过蓝军分析方法(例如放蛇、蜜罐、软件分析等),来定位至少一个样本帐号(即样本数据),并通过后台数据分析该至少一个样本帐号,得到攻击者对业务安全系统进行攻击的攻击方法。下面对其进行具体介绍:
一种情况,蓝军分析可以通过放蛇、蜜罐等方式,诱使攻击者使用防守者预先经过周密布置而设定的至少一个样本帐号,对业务安全系统进行攻击,同时,通过后台日志数据捕获攻击者基于该至少一个样本帐号的攻击行为,并对该至少一个样本帐号的后台日志数据进行分析处理,从而得到攻击者对业务安全系统进行攻击的攻击方法。其中,攻击方法主要包括资源的变化情况和更新情况、攻击者的攻击行为的路径特征,比如是否具有周期特征。
另一种情况,蓝军分析可以通过软件分析的方式,模拟攻击者的攻击方法。其中,在模拟攻击者的攻击方法的过程中,通常是通过对攻击者使用的软件进行测试或做逆向分析、流量分析等,来得到软件特征,比如信息流特征、访问路径特征等,并基于得到的软件特征,模拟或推测得到攻击者对业务安全系统进行攻击的攻击方法。
进一步地,图5给出了本实现方式的获取对业务安全系统进行攻击的攻击方法的架构图,在图5中,通过蓝军分析与后台数据分析,得到资源类型变化规律、攻击行为的路径特征等攻击方法,从而有效评估攻击者攻击成本,帮助防守者针对性的制定打击策略。
本申请实施例提供了另一种可能的实现方式,获取对业务安全系统进行攻击的攻击原因,包括:步骤i,对运行数据进行分析处理,得到相应的网络流量信息;步骤j,基于网络流量信息,通过第三预定渠道或者模拟攻击者对业务安全系统进行攻击,确定攻击者对业务安全系统进行攻击的获利点;步骤k,通过对资源成本与资源数量进行推算,或者基于预定场景根据资源成本与资源数量进行测试,确定攻击者对业务安全系统进行攻击的成本与收益;步骤p,根据获利点、成本与收益,确定攻击者对业务安全系统进行攻击的攻击原因。
具体地,获知攻击者对业务安全系统进行攻击的攻击原因,一方面可以评估风险,另一方面清楚的体现业务安全系统的安全价值。其中,在实际应用中,可以根据攻击者对业务安全系统进行攻击的获利点、成本与收益,来推测攻击者对业务安全系统进行攻击的攻击原因,即将攻击需要用到的资源、服务成本、可以获取的收益及利润率等作为主要的输出指标。
具体地,终端设备或服务器在采集到业务安全系统的运行数据后,可以对该运行数据进行分析处理,得到业务安全系统的网络流量信息,在获取到网络流量信息后,可以基于该网络流量信息,确定攻击者对业务安全系统进行攻击的获利点。在实际应用中,可以基于该网络流量信息,通过预定的情报社工(即上述的第三预定渠道)获知,例如通过深入攻击者组织套话得到,又例如通过模拟攻击者对某个业务安全场景进行攻击得到。此外,攻击者对业务安全系统进行攻击的成本与收益,可以通过资源成本和资源数量推算得到,也可以通过对真实的业务场景的测试得到,其中,在对真实的业务场景进行测试的过程中,一般是根据多天、多场景的测试样本数据,来推测攻击者对业务安全系统进行攻击的成本与收益。在测试的过程中可能存在误差,但是对于确定攻击者对业务安全系统进行攻击的成本与收益已经足够。
其中,成本的核算方式可以分为如下两种情况:
情况一:通过预定的情报社工获取攻击者使用的主要资源的资源单价,再结合分析得到的相应的资源数量、资源新增量与资源流出量,来计算资源成本。其中,资源成本=资源数量*资源单价,资源数量根据资源存量、资源新增量及资源流出量得到,具体为:资源数量=资源存量+资源新增量-资源流出量,假如资源为一次性购买,则资源数量为资源新增量。
情况二:通过蓝军分析来模拟攻击者对某个业务安全场景进行攻击,将在模拟过程中使用的资源实际成本可以作为抽样,并将模拟过程中使用的资源数量作为抽样资源数量,接着将资源实际成本扩展到总体资源,就可以得到攻击者对业务安全系统进行攻击的成本,其中,计算方式为:资源成本=资源实际成本*(总体资源数量/抽样资源数量)。
收益的核算主要取决于攻击者攻击后的收益,同时也要结合攻击成功率换算突破风控策略的最终收益,其中,攻击成功率一般受风控策略影响,严格的风控策略会使得攻击者攻击的成功率有效下降。例如在帐号安全领域,攻击者成功盗号后的收益包括所盗号码中的虚拟财产、号码本身的价值(比如靓号)、以及号码可利用的价值(比如群发信息、诈骗等)等等。
进一步地,图6给出了攻击者的成本与收益的计算过程示意图,在图6中,收益与成本的比值即为攻击者的收益率,其中,攻击后的预期收益与攻击成功率共同影响着最终的攻击收益,攻击成本取决于资源单价与资源数量。同时,图7给出了本实现方式的获取对业务安全系统进行攻击的攻击原因的架构图,在图7中,通过蓝军分析与成本收益的数据分析,得到攻击者的攻击成本、攻击收益、攻击利润率及成本收益模型等,从而可以根据攻击成本、攻击收益、攻击利润率及成本收益模型等,确定出攻击者的攻击原因,进而协助评估攻击风险和体现业务安全场景的安全价值。
本申请实施例提供了另一种可能的实现方式,确定攻击对业务安全系统造成的业务损失信息,包括:步骤t,对运行数据进行分析处理,得到相应的网络描述信息,步骤u,基于预建立的审计系统与网络描述信息,确定当前对业务安全系统进行攻击的攻击者数量;步骤v,根据预定风控策略对确定出的攻击者数量进行打击,得到打击量;步骤w根据攻击者数量与打击量的差值,确定攻击对业务安全系统造成的业务损失信息。
具体地,确定攻击者对业务安全系统进行攻击造成的业务损失,可以有效评估风险,同时也可以协助业务安全系统决定是否打击、何时打击以及采用何种打击策略等。其中,在确定攻击者对业务安全系统进行攻击造成的业务损失的过程中,可以通过数据分析及运营,得到流入到业务安全系统的实际攻击者总数量、当前发现的对业务安全系统进行攻击的攻击者数量、对攻击者数量进行打击的打击量及未被打击到而漏出的攻击者数量等,并根据漏出的攻击者数量,确定攻击对业务安全系统造成的业务损失。
具体地,流入到业务安全场景中的实际攻击者总数量,通常会在一定程度上被识别和发现,而且发现的越多越可以被有效地拦截。在实际的业务安全应用场景中,确定当前对业务安全系统进行攻击的攻击者数量的过程,可以为:对终端设备或服务器采集到的业务安全系统的运行数据进行分析处理,得到相应的网络描述信息,在获取到网络描述信息后,可以根据基于恶意审计逻辑预先建立的审计系统与该网络描述信息,对攻击者进行全面的感知,判断哪些是攻击者的请求,即确定当前对业务安全系统进行攻击的攻击者数量。
其中,该审计系统具有一定的覆盖率,该覆盖率是根据攻击者样本数据推算得到的,即在预设数量的攻击者样本数据中,查看通过预先建立的审计系统发现的攻击者样本数据的数量,则可以将发现的攻击者样本数据的数量与预设数量的比值作为覆盖率。假如,攻击者样本数据的总数量为100,将该100个攻击者样本数据输入到预先建立的审计系统,查看该预先建立的审计系统发现的攻击者样本数据的数量,比如50个,则该预先建立的审计系统的覆盖率为50/100=0.5。
具体地,在确定出当前对某个业务安全场景进行攻击的攻击者数量后,可以根据该预先建立的审计系统的覆盖率,反推出流入到该某个业务安全场景中的实际攻击者总数量,其中,实际攻击者总数量为攻击者数量与覆盖率的比值。假如,通过该预先建立的审计系统发现的攻击者数量为100,且该预先建立的审计系统覆盖率为0.5,则流入的实际攻击者总数量为100/0.5=200,即实际流入业务安全系统中的攻击者总数量为200。
进一步地,上述被预先建立的审计系统发现的攻击者数量,会被当前所采用的风控策略拦截,拦截率越高表示攻击者漏出的越少,从而攻击收益越少,其中,漏出的攻击者数量为发现的攻击者数量与拦截的攻击者数量的差值,上述的风控策略采取实时打击,为了防止误伤,通常将拦截率设定为低于100%。由于造受攻击造成的业务损失,主要取决于漏出的攻击者数量,因此,业务损失与漏出的攻击者数量成正比,即漏出的攻击者数量越少,业务损失越少,漏出的攻击者数量越多,业务损失越多。需要说明的是,攻击者漏出所导致的风险,需要结合具体的业务安全场景具体核算。
进一步地,图8给出了实际的攻击者总数量、发现的攻击者数量、打击量及漏出的攻击者数量之间的关系示意图。同时,图9给出了本实现方式的确定攻击对业务安全造成的业务损失的架构图,在图9中,通过情报社工的情报感知确定资源链条、了解流入与流出产业链,并通过数据运营体系确定流入的实际攻击者总数量、发现量及打击量,从而协合防守者监控风险、提高防守者的对抗效率以及评估对抗价值等。
根据对本申请实施例的上述描述,可以得到本申请实施例确定业务安全系统风险的整体架构图,如图10所示,其中,图10中的上半部分是确定对业务安全系统进行攻击的相关信息以及对业务安全系统造成的业务损失,相关信息包括但不限于攻击者信息、攻击利用的资源信息、攻击方法及攻击原因等,图10中的下半部分为本申请实施例中所采用的具体解决方案(详见上述关于各实现方式的描述)。
进一步地,在确定出攻击的风险评估信息后,可以根据该风险评估信息确定相应的风控策略,以对该攻击进行主动防御、有效监控等。包括但不限于如下几种情况:
情况一:假如当前业务安全场景所采用的风控策略为策略E,且策略E能够防御中等风险中的三级风险,若确定出攻击的风险评估信息显示当前风险为紧急风险或者风险等级属于一级风险,则当前业务安全系统场景可以根据预设的匹配方案,从风控策略库中自动选择与该风险评估信息相匹配的风控策略,比如自动选择使用风控策略A,即上调风控策略的防御级别。另外,当前业务安全系统场景也可以向该业务安全系统场景的网络管理员发送风险提示信息,以使得网络管理员将当前业务安全系统场景的风险策略调整为风控策略A。
情况二:假如当前业务安全系统场景所采用的风控策略为策略E,且策略E能够防御中等风险中的三级风险,若确定出攻击的风险评估信息显示当前风险为弱风险或者风险等级属于十级风险,则当前业务安全系统场景可以根据预设的匹配方案,从风控策略库中自动选择与该风险评估信息相匹配的风控策略,比如自动选择使用风控策略H,即下调风控策略的防御级别。在一种可能的方式中,当前业务安全系统场景也可以向该业务安全系统场景的网络管理员发送风险提示信息,以使得网络管理员将当前业务安全系统场景的风险策略调整为风控策略H。
情况三:假如当前业务安全系统场景所采用的风控策略为策略E,且策略E能够防御中等风险中的三级风险,若当前确定出攻击的风险评估信息显示当前风险为四级风险,则当前业务安全系统场景可以不对风控策略进行调整,也可以根据需要自动选择与该风险评估信息相匹配的风控策略,比如自动选择使用风控策略F,即下调风控策略的防御级别。
图11为本申请又一实施例提供的一种确定业务安全风险的装置的基本结构示意图,如图11所示,该装置1100可以包括获取模块1101、第一确定模块1102与第二确定模块1103,其中:
获取模块1101用于采集业务安全系统的运行数据,并根据运行数据,获取对业务安全系统进行攻击的相关信息,相关信息包括攻击者信息、攻击利用的资源信息、攻击方法、攻击原因中的至少一项;
第一确定模块1102用于对运行数据进行分析处理,确定攻击对业务安全系统造成的业务损失信息;
第二确定模块1103用于基于相关信息与业务损失信息,确定攻击的风险评估信息。
本申请实施例提供的装置,基于对业务安全系统进行攻击的相关信息以及攻击对业务安全系统造成的业务损失信息,确定攻击的风险评估信息,可以全方位了解和感知攻击者,不仅能够协助改善攻击者和防守者处于不对等地位的局面,而且能够及时对业务安全系统的情境态势进行有效监控,确定可能存在的攻击风险,为网络安全管理员的决策分析提供依据,便于后续有针对性地制定风控策略,将不安全因素带来的风险和损失降到最低。
图12为本申请又一实施例提供的一种确定业务安全风险的装置的详细结构示意图,如图12所示,该装置1200可以包括获取模块1201、第一确定模块1202、第二确定模块1203、第三确定模块1204及第四确定模块1205,其中,图12中的获取模块1201所实现的功能与图11中的获取模块1101相同,图12中的第一确定模块1202所实现的功能与图11中的第一确定模块1102相同,图12中的第二确定模块1203所实现的功能与图11中的第二确定模块1103相同,在此不再赘述。下面对图12所示的确定业务安全风险的装置进行详细介绍:
攻击者信息包括以下至少一项:
攻击者的数量;攻击者的团伙信息;各个攻击者分别对应的角色信息;各个攻击者间的协作信息;
攻击者的团伙信息包括以下至少一项:团伙数量;团伙间的关联关系。
在一种可能的实现方式中,获取模块1201包括第一分析子模块12011、联系信息获取子模块12012与染色处理子模块12013;如图12所示,其中:
第一分析子模块12011,用于对运行数据进行分析处理,得到相应的人员相关信息;
联系信息获取子模块12012,用于基于人员相关信息,通过第一预定渠道获取对业务安全系统进行攻击的至少一个攻击者的联系信息;
染色处理子模块12013,用于根据各个攻击者的联系信息,在各个攻击者分别对应的预定社交关系网中进行染色处理,得到各攻击者分别属于的团伙及团伙信息。
在一种可能的实现方式中,染色处理子模块12013具体用于在攻击者的预定社交关系网中,根据预定染色总阶数,在每一染色阶数中确定与上一染色阶数中的第一攻击者的关联度大于或等于预定阈值的第二攻击者;以及确定第一攻击者与第二攻击者属于同一团伙。
在一种可能的实现方式中,获取模块1201包括第二分析子模块12014、资源获取子模块12015与分析处理子模块12016,如图12所示,其中:
第二分析子模块12014,用于对运行数据进行分析处理,得到相应的网络设备操作数据;
资源获取子模块12015,用于基于网络设备操作数据,通过第二预定渠道获取对业务安全系统进行攻击利用的各种资源类型;
分析处理子模块12016,用于对各种资源类型分别进行数据分析处理,得到各种资源类型的资源信息;
资源类型包括以下至少一项:终端设备;服务器设备;攻击软件;互联网协议IP地址;带宽。
在一种可能的实现方式中,资源信息包括以下至少一项:资源来源;资源数量;资源更新频率;资源成本;资源新增量;资源流出量;资源收敛特征。
在一种可能的实现方式中,获取模块1201包括第三分析子模块12017、第一攻击方法获取子模块12018与第二攻击方法获取子模块12019,如图12所示,其中:
第三分析子模块12017,用于对运行数据进行分析处理,得到相应的日志数据;
第一攻击方法获取子模块12018,用于基于日志数据,通过蜜罐技术向攻击者提供业务安全系统的至少一个样本帐号,并对至少一个样本帐号的日志数据进行分析处理,得到攻击者对业务安全系统进行攻击的攻击方法;
第二攻击方法获取子模块12019,用于基于日志数据,通过对获取到的攻击业务安全系统的攻击软件,进行测试或逆向分析,得到攻击软件的软件特征,并基于软件特征,模拟得到攻击者对业务安全系统进行攻击的攻击方法。
在一种可能的实现方式中,当资源信息包括资源成本与资源数量时,获取模块1201包括第四分析子模块12020、第一确定子模块12021、第二确定子模块12022与攻击原因确定子模块12023,如图12所示,其中:
第四分析子模块12020,用于对运行数据进行分析处理,得到相应的网络流量信息;
第一确定子模块12021,用于基于网络流量信息,通过第三预定渠道或者模拟攻击者对业务安全系统进行攻击,确定攻击者对业务安全系统进行攻击的获利点;
第二确定子模块12022,用于通过对资源成本与资源数量进行推算,或者基于预定场景根据资源成本与资源数量进行测试,确定攻击者对业务安全系统进行攻击的成本与收益;
攻击原因确定子模块12023,用于根据获利点、成本与收益,确定攻击者对业务安全系统进行攻击的攻击原因。
在一种可能的实现方式中,确定模块1202包括第五分析子模块、12021、攻击数量确定子模块12022、打击量确定子模块12023与损失确定子模块12024,如图12所示,其中:
第五分析子模块12021,用于对运行数据进行分析处理,得到相应的网络描述信息;
攻击数量确定子模块12022,用于基于预建立的审计系统与网络描述信息,确定当前对业务安全系统进行攻击的攻击者数量;
打击量确定子模块12023,用于根据预定风控策略对确定出的攻击者数量进行打击,得到打击量;
损失确定子模块12024,用于根据攻击者数量与打击量的差值,确定攻击对业务安全系统造成的业务损失。
在一种可能的实现方式中,该装置还包括第三确定模块1204,如图12所示,其中:
第三确定模块1204,用于根据攻击者数量与预建立的审计系统的预定覆盖率的比值,预测对业务安全系统进行攻击的实际的攻击者总数量。
在一种可能的实现方式中,该装置还包括:第四确定模块1205,如图12所示,其中:
第四确定模块1205,用于根据风险评估信息确定相应的风控策略,以对攻击进行主动防御。
本申请另一实施例提供了一种电子设备,如图13所示,图13所示的电子设备1300包括:处理器1301和存储器1303。其中,处理器1301和存储器1303相连,如通过总线1302相连。进一步地,电子设备1300还可以包括收发器1304。需要说明的是,实际应用中收发器1304不限于一个,该电子设备1300的结构并不构成对本申请实施例的限定。
其中,处理器1301应用于本申请实施例中,用于实现图11或图12所示的获取模块、第一确定模块及第二确定模块的功能,以及图12所示的第三确定模块与第四确定模块的功能。
处理器1301可以是CPU,通用处理器,DSP,ASIC,FPGA或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。处理器1301也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等。
总线1302可包括一通路,在上述组件之间传送信息。总线1302可以是PCI总线或EISA总线等。总线1302可以分为地址总线、数据总线、控制总线等。为便于表示,图13中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器1303可以是ROM或可存储静态信息和指令的其他类型的静态存储设备,RAM或者可存储信息和指令的其他类型的动态存储设备,也可以是EEPROM、CD-ROM或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。
存储器1303用于存储执行本申请方案的应用程序代码,并由处理器1301来控制执行。处理器1301用于执行存储器1303中存储的应用程序代码,以实现图11或图12所示实施例提供的确定业务安全风险的装置的动作。
本申请实施例提供的电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行程序时,可实现:基于对业务安全系统进行攻击的相关信息以及攻击对业务安全系统造成的业务损失信息,确定攻击的风险评估信息,可以全方位了解和感知攻击者,不仅能够协助改善攻击者和防守者处于不对等地位的局面,而且能够及时对业务安全系统的情境态势进行有效监控,确定可能存在的攻击风险,为网络安全管理员的决策分析提供依据,便于后续有针对性地制定风控策略,将不安全因素带来的风险和损失降到最低。
本申请实施例提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该程序被处理器执行时实现实施例一所示的方法。基于对业务安全系统进行攻击的相关信息以及攻击对业务安全系统造成的业务损失信息,确定攻击的风险评估信息,可以全方位了解和感知攻击者,不仅能够协助改善攻击者和防守者处于不对等地位的局面,而且能够及时对业务安全系统的情境态势进行有效监控,确定可能存在的攻击风险,为网络安全管理员的决策分析提供依据,便于后续有针对性地制定风控策略,将不安全因素带来的风险和损失降到最低。
本申请实施例提供的计算机可读存储介质适用于上述方法的任一实施例。
应该理解的是,虽然附图的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,其可以以其他的顺序执行。而且,附图的流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,其执行顺序也不必然是依次进行,而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
以上所述仅是本申请的部分实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (14)
1.一种确定业务安全风险的方法,其特征在于,包括:
采集业务安全系统的运行数据,并根据所述运行数据获取对业务安全系统进行攻击的相关信息,所述相关信息包括攻击者信息、攻击利用的资源信息、攻击方法、攻击原因中的至少一项;
对所述运行数据进行分析处理,确定所述攻击对业务安全系统造成的业务损失信息;
基于所述相关信息与所述业务损失信息,确定所述攻击的风险评估信息。
2.根据权利要求1所述的方法,其特征在于,所述攻击者信息包括以下至少一项:
攻击者的数量;攻击者的团伙信息;各个攻击者分别对应的角色信息;各个攻击者间的协作信息;
所述攻击者的团伙信息包括以下至少一项:团伙数量;团伙间的关联关系。
3.根据权利要求2所述的方法,其特征在于,根据所述运行数据获取对业务安全系统进行攻击的攻击者信息,包括:
对所述运行数据进行分析处理,得到相应的人员相关信息;
基于所述人员相关信息,通过第一预定渠道获取对所述业务安全系统进行攻击的至少一个攻击者的联系信息;
根据各个攻击者的联系信息,在各个攻击者分别对应的预定社交关系网中进行染色处理,得到各攻击者分别属于的团伙及团伙信息。
4.根据权利要求3所述的方法,其特征在于,根据各个攻击者的联系信息,在各个攻击者分别对应的预定社交关系网中进行染色处理,得到各攻击者分别属于的团伙及团伙信息,包括:
在攻击者的预定社交关系网中,根据预定染色总阶数,在每一染色阶数中确定与上一染色阶数中的第一攻击者的关联度大于或等于预定阈值的第二攻击者;
确定所述第一攻击者与所述第二攻击者属于同一团伙。
5.根据权利要求1所述的方法,其特征在于,根据所述运行数据获取对业务安全系统进行攻击利用的资源信息,包括:
对所述运行数据进行分析处理,得到相应的网络设备操作数据;
基于所述网络设备操作数据,通过第二预定渠道获取对所述业务安全系统进行攻击利用的各种资源类型;
对所述各种资源类型分别进行数据分析处理,得到所述各种资源类型的资源信息;
所述资源类型包括以下至少一项:终端设备;服务器设备;攻击软件;互联网协议IP地址;带宽。
6.根据权利要求1或5所述的方法,其特征在于,所述资源信息包括以下至少一项:资源来源;资源数量;资源更新频率;资源成本;资源新增量;资源流出量;资源收敛特征。
7.根据权利要求1所述的方法,其特征在于,根据所述运行数据获取对业务安全系统进行攻击的攻击方法,包括:
对所述运行数据进行分析处理,得到相应的日志数据;
基于所述日志数据,通过蜜罐技术向攻击者提供所述业务安全系统的至少一个样本帐号,并对所述至少一个样本帐号的日志数据进行分析处理,得到攻击者对所述业务安全系统进行攻击的攻击方法;或者,
基于所述日志数据,通过对获取到的攻击所述业务安全系统的攻击软件,进行测试或逆向分析,得到所述攻击软件的软件特征,并基于所述软件特征,模拟得到攻击者对所述业务安全系统进行攻击的攻击方法。
8.根据权利要求1所述的方法,其特征在于,当资源信息包括资源成本与资源数量时,根据所述运行数据获取对业务安全系统进行攻击的攻击原因,包括:
对所述运行数据进行分析处理,得到相应的网络流量信息;
基于所述网络流量信息,通过第三预定渠道或者模拟攻击者对所述业务安全系统进行攻击,确定攻击者对所述业务安全系统进行攻击的获利点;
通过对资源成本与资源数量进行推算,或者基于预定场景根据所述资源成本与所述资源数量进行测试,确定攻击者对所述业务安全系统进行攻击的成本与收益;
根据所述获利点、所述成本与所述收益,确定攻击者对业务安全系统进行攻击的攻击原因。
9.根据权利要求1所述的方法,其特征在于,对所述运行数据进行分析处理,确定所述攻击对业务安全系统造成的业务损失信息,包括:
对所述运行数据进行分析处理,得到相应的网络描述信息;
基于预建立的审计系统与所述网络描述信息,确定当前对所述业务安全系统进行攻击的攻击者数量;
根据预定风控策略对确定出的攻击者数量进行打击,得到打击量;
根据所述攻击者数量与所述打击量的差值,确定所述攻击对业务安全系统造成的业务损失信息。
10.根据权利要求9所述的方法,其特征在于,还包括:
根据所述攻击者数量与所述预建立的审计系统的预定覆盖率的比值,预测对所述业务安全系统进行攻击的实际的攻击者总数量。
11.根据权利要求1-10任一项所述的方法,其特征在于,还包括:
根据所述风险评估信息确定相应的风控策略,以对所述攻击进行主动防御。
12.一种确定业务安全风险的装置,其特征在于,包括:
获取模块,用于采集业务安全系统的运行数据,并根据所述运行数据,获取对业务安全系统进行攻击的相关信息,所述相关信息包括攻击者信息、攻击利用的资源信息、攻击方法、攻击原因中的至少一项;
第一确定模块,用于对所述运行数据进行分析处理,确定所述攻击对业务安全系统造成的业务损失信息;
第二确定模块,用于基于所述相关信息与所述业务损失信息,确定所述攻击的风险评估信息。
13.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1-11任一项所述的确定业务安全风险的方法。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,该程序被处理器执行时实现权利要求1-11任一项所述的确定业务安全风险的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910368658.0A CN110213236B (zh) | 2019-05-05 | 2019-05-05 | 确定业务安全风险的方法、电子设备及计算机存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910368658.0A CN110213236B (zh) | 2019-05-05 | 2019-05-05 | 确定业务安全风险的方法、电子设备及计算机存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110213236A true CN110213236A (zh) | 2019-09-06 |
| CN110213236B CN110213236B (zh) | 2022-09-27 |
Family
ID=67786785
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910368658.0A Active CN110213236B (zh) | 2019-05-05 | 2019-05-05 | 确定业务安全风险的方法、电子设备及计算机存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110213236B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110826006A (zh) * | 2019-11-22 | 2020-02-21 | 支付宝(杭州)信息技术有限公司 | 基于隐私数据保护的异常采集行为识别方法和装置 |
| CN110955899A (zh) * | 2019-12-13 | 2020-04-03 | 中国工商银行股份有限公司 | 安全测试方法、装置、测试设备以及介质 |
| CN111182533A (zh) * | 2019-12-06 | 2020-05-19 | 武汉极意网络科技有限公司 | 一种互联网攻击团伙的定位方法及系统 |
| CN111984311A (zh) * | 2020-07-03 | 2020-11-24 | 华南理工大学 | 一种基于运行日志的软件结构复现的方法 |
| CN112351028A (zh) * | 2020-11-04 | 2021-02-09 | 内蒙古电力(集团)有限责任公司内蒙古电力科学研究院分公司 | 一种基于网络安全风险评估系统 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130074188A1 (en) * | 2011-09-16 | 2013-03-21 | Rapid7 LLC. | Methods and systems for improved risk scoring of vulnerabilities |
| US20150381649A1 (en) * | 2014-06-30 | 2015-12-31 | Neo Prime, LLC | Probabilistic Model For Cyber Risk Forecasting |
| CN106790198A (zh) * | 2016-12-30 | 2017-05-31 | 北京神州绿盟信息安全科技股份有限公司 | 一种信息系统风险评估方法及系统 |
| CN107046543A (zh) * | 2017-04-26 | 2017-08-15 | 国家电网公司 | 一种面向攻击溯源的威胁情报分析系统 |
| CN107147670A (zh) * | 2017-06-16 | 2017-09-08 | 福建中信网安信息科技有限公司 | 基于博弈体系的apt防御方法 |
| CN108418841A (zh) * | 2018-05-18 | 2018-08-17 | 广西电网有限责任公司 | 基于ai的下一代关键信息基础设施网络安全态势感知系统 |
| CN108769077A (zh) * | 2018-07-06 | 2018-11-06 | 武汉思普崚技术有限公司 | 一种网络安全溯源分析的方法及装置 |
| CN108989335A (zh) * | 2018-08-16 | 2018-12-11 | 南方电网科学研究院有限责任公司 | 一种电力信息物理融合系统的保护方法及设备 |
-
2019
- 2019-05-05 CN CN201910368658.0A patent/CN110213236B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130074188A1 (en) * | 2011-09-16 | 2013-03-21 | Rapid7 LLC. | Methods and systems for improved risk scoring of vulnerabilities |
| US20150381649A1 (en) * | 2014-06-30 | 2015-12-31 | Neo Prime, LLC | Probabilistic Model For Cyber Risk Forecasting |
| CN106790198A (zh) * | 2016-12-30 | 2017-05-31 | 北京神州绿盟信息安全科技股份有限公司 | 一种信息系统风险评估方法及系统 |
| CN107046543A (zh) * | 2017-04-26 | 2017-08-15 | 国家电网公司 | 一种面向攻击溯源的威胁情报分析系统 |
| CN107147670A (zh) * | 2017-06-16 | 2017-09-08 | 福建中信网安信息科技有限公司 | 基于博弈体系的apt防御方法 |
| CN108418841A (zh) * | 2018-05-18 | 2018-08-17 | 广西电网有限责任公司 | 基于ai的下一代关键信息基础设施网络安全态势感知系统 |
| CN108769077A (zh) * | 2018-07-06 | 2018-11-06 | 武汉思普崚技术有限公司 | 一种网络安全溯源分析的方法及装置 |
| CN108989335A (zh) * | 2018-08-16 | 2018-12-11 | 南方电网科学研究院有限责任公司 | 一种电力信息物理融合系统的保护方法及设备 |
Non-Patent Citations (1)
| Title |
|---|
| 杨云雪等: "基于企业环境的网络安全风险评估", 《计算机科学与探索》 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110826006A (zh) * | 2019-11-22 | 2020-02-21 | 支付宝(杭州)信息技术有限公司 | 基于隐私数据保护的异常采集行为识别方法和装置 |
| CN110826006B (zh) * | 2019-11-22 | 2021-03-19 | 支付宝(杭州)信息技术有限公司 | 基于隐私数据保护的异常采集行为识别方法和装置 |
| CN111182533A (zh) * | 2019-12-06 | 2020-05-19 | 武汉极意网络科技有限公司 | 一种互联网攻击团伙的定位方法及系统 |
| CN111182533B (zh) * | 2019-12-06 | 2023-09-08 | 武汉极意网络科技有限公司 | 一种互联网攻击团伙的定位方法及系统 |
| CN110955899A (zh) * | 2019-12-13 | 2020-04-03 | 中国工商银行股份有限公司 | 安全测试方法、装置、测试设备以及介质 |
| CN110955899B (zh) * | 2019-12-13 | 2022-02-22 | 中国工商银行股份有限公司 | 安全测试方法、装置、测试设备以及介质 |
| CN111984311A (zh) * | 2020-07-03 | 2020-11-24 | 华南理工大学 | 一种基于运行日志的软件结构复现的方法 |
| CN111984311B (zh) * | 2020-07-03 | 2022-04-22 | 华南理工大学 | 一种基于运行日志的软件结构复现的方法 |
| CN112351028A (zh) * | 2020-11-04 | 2021-02-09 | 内蒙古电力(集团)有限责任公司内蒙古电力科学研究院分公司 | 一种基于网络安全风险评估系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110213236B (zh) | 2022-09-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110213236A (zh) | 确定业务安全风险的方法、电子设备及计算机存储介质 | |
| CN112448857A (zh) | 靶场的构建方法、装置、设备及存储介质 | |
| Liu et al. | Incentive-based modeling and inference of attacker intent, objectives, and strategies | |
| CN101867498B (zh) | 一种网络安全态势评估方法 | |
| Rush et al. | Coevolutionary agent-based network defense lightweight event system (CANDLES) | |
| CN110474878B (zh) | 基于动态阈值的DDoS攻击态势预警方法和服务器 | |
| CN106534195A (zh) | 一种基于攻击图的网络攻击者行为分析方法 | |
| CN108040070A (zh) | 一种网络安全测试平台及方法 | |
| CN106790294A (zh) | 一种5g网络安全风险评估方法 | |
| Pham et al. | Are we compromised? Modelling security assessment games | |
| Vakilinia et al. | 3-way game model for privacy-preserving cybersecurity information exchange framework | |
| CN108011894A (zh) | 一种软件定义网络下僵尸网络检测系统及方法 | |
| CN108418835A (zh) | 一种基于Netflow日志数据的端口扫描攻击检测方法及装置 | |
| CN106096406B (zh) | 一种安全漏洞回溯分析方法及装置 | |
| Wen et al. | Are the popular users always important for information dissemination in online social networks? | |
| Khan et al. | SartCyber Security Awareness Measurement Model (APAT) | |
| CN105391066B (zh) | 一种智能电网模拟运行系统 | |
| CN101808084B (zh) | 一种大规模网络安全事件模拟与仿真方法及其控制方法 | |
| CN106850203B (zh) | 密码算法的安全性评估方法和装置 | |
| CN110430158A (zh) | 采集代理部署方法及装置 | |
| CN115983389A (zh) | 一种基于强化学习的攻防博弈决策方法 | |
| Hamacher et al. | Public security: simulations need to replace conventional wisdom | |
| Moore et al. | A short-cycle framework approach to integrating psychometric feedback and data analytics to rapid cyber defense | |
| Alese et al. | A location privacy system in mobile network using game theory | |
| Welch et al. | A framework for an information warfare simulation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |