CN110417721B - 安全风险评估方法、装置、设备及计算机可读存储介质 - Google Patents
安全风险评估方法、装置、设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN110417721B CN110417721B CN201910178289.9A CN201910178289A CN110417721B CN 110417721 B CN110417721 B CN 110417721B CN 201910178289 A CN201910178289 A CN 201910178289A CN 110417721 B CN110417721 B CN 110417721B
- Authority
- CN
- China
- Prior art keywords
- security
- risk
- safety
- value
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0635—Risk analysis of enterprise or organisation activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
Abstract
本发明实施例公开了安全风险评估方法,包括:收集用于安全风险评估的风险数据;在收集的风险数据未达到阈值的情况下,基于风险数据统计安全类型中发生的安全事件项的频次以及安全事件项的风险价值,确定安全类型的安全风险损失值;根据安全类型的安全风险损失值和定义的安全风险损失值,计算得到安全风险量化值;在收集的风险数据达到阈值的情况下,将收集的风险数据输入训练好的机器学习模型,计算得到安全风险量化值;采用本发明,分情况来计算安全风险损失值,在前期可以通过专家经验来人工定义安全风险初始值,计算安全风险损失值,在后期通过机器学习的方式来自动计算安全风险损失值,可以更加全面和精准地计算企业的安全风险量化值。
Description
技术领域
本发明涉及计算机领域,尤其涉及一种安全风险评估方法、一种安全风险评估装置、一种安全风险评估设备及一种计算机可读存储介质。
背景技术
在当今万物互联的大背景下,各领域均在快速的推进数字化转型,各行各业的企业基本均已以多样的方式接入到这个智能环境,越来越多的数据、服务、计算、设备涌入虚拟的网络空间,企业普遍面临着来自网络空间的攻击、探测、窃取等安全风险。
近年来,各方已经清楚意识到网络风险的威胁,并逐渐展开或加大在网络风险评估和管控方面的研究。例如针对网络风险评估,广泛被认可的方案之一是对网络风险进行量化,它的主要思想是用一个数字来衡量企业的网络风险,现有技术普遍在量化过程中考虑对网络安全影响的多种因素,如被利用的安全漏洞报告频次,域名被劫持的报告频次,网络空间中该资产的自身价值等;然而随着各行业信息化的不断推进,网络空间变得越来越复杂,从前的简单的网络风险量化方法不再适用,尤其不再适用于信息化时代的企业。
针对当今在信息化时代有着复杂表现的网络空间,如何更加全面和精准地计算企业的安全风险量化值,是人们研究的热点问题。
发明内容
本发明实施例所要解决的技术问题在于,提供一种安全风险评估方法、一种安全风险评估装置、一种安全风险评估设备及一种计算机可读存储介质,可以更加全面和精准地计算企业的安全风险量化值。
为了解决上述技术问题,本发明实施例一方面公开了一种安全风险评估方法,包括
收集用于安全风险评估的风险数据;
在收集的所述风险数据未达到阈值的情况下,基于所述风险数据统计安全类型中发生的安全事件项的频次以及所述安全事件项的风险价值,确定所述安全类型的安全风险损失值;根据所述安全类型的安全风险损失值和定义的所述安全类型的安全风险初始值,计算得到安全风险量化值;
在收集的所述风险数据达到阈值的情况下,将收集的所述风险数据输入训练好的机器学习模型,计算得到安全风险量化值。
本发明实施例另一方面公开了一种安全风险评估装置,包括:
收集单元,用于收集用于安全风险评估的风险数据;
第一计算单元,用于在收集的所述风险数据未达到阈值的情况下,基于所述风险数据统计安全类型中发生的安全事件项的频次以及所述安全事件项的风险价值,确定所述安全类型的安全风险损失值;根据所述安全类型的安全风险损失值和定义的所述安全类型的安全风险初始值,计算得到安全风险量化值;
第二计算单元,用于在收集的所述风险数据达到阈值的情况下,将收集的所述风险数据输入训练好的机器学习模型,计算得到安全风险量化值。
本发明实施例另一方面公开了安全风险评估设备,包括处理器和存储器,所述处理器和存储器相互连接,其中,所述存储器用于存储数据处理代码,所述处理器被配置用于调用所述程序代码,执行上述安全风险评估方法。
本发明实施例另一方面公开了一种计算机可读存储介质,所述计算机可读存储介质存储有程序指令,所述程序指令当被处理器执行时使所述处理器执行上述安全风险评估方法。
实施本发明实施例,收集用于安全风险评估的风险数据后,在收集的风险数据未达到阈值的情况下,根据定义的安全类型的安全风险初始值,以及基于风险数据确定的安全类型的安全风险损失值,计算得到安全风险量化值,在收集的风险数据达到阈值的情况下,将收集的风险数据输入训练好的机器学习模型,计算得到安全风险量化值;也就是说分情况来计算安全风险损失值,在前期可以通过专家经验来人工定义安全风险初始值,计算安全风险损失值,在后期通过机器学习的方式来自动计算安全风险损失值,可以更加全面和精准地计算企业的安全风险量化值。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的安全风险评估方法的整体架构图;
图2是本发明实施例提供的安全风险评估方法的流程示意图;
图3a是本发明提供的安全风险评估方法的另一实施例的流程示意图;
图3b示出的本发明实施例提供的定义企业安全检查项的原理示意图;
图4是本发明实施例提供的安全风险评估中进行安全修复建议的流程示意图;
图5是本发明实施例提供的安全风险评估装置的结构示意图;
图6是本发明实施例提供的安全风险评估设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了更好的理解本发明实施例提供的安全风险评估方法、装置和设备,下面先对本发明实施例安全风险评估的整体架构进行描述,如图1示出的本发明实施例提供的安全风险评估方法的整体架构图,安全风险评估设备先收集用于安全风险评估的风险数据,其中,风险数据可以根据数据来源进行分类,图1中收集的风险数据以包括外部威胁情报数据、企业自身上报数据、模块安全评测数据为例;然后根据收集的风险数据对企业的安全风险进行评估,得到安全风险量化值,并可以通过在安全风险评估设备显示该安全风险量化值、或向企业相关用户发送该安全风险量化值等方式,向企业输出安全风险量化值,以提示或指导或协助企业进行安全风险管控;该安全风险量化值可以为预先针对企业定义的多个安全维度或多个安全域的安全风险量化值,图1中以包括物理安全、网络安全、主机安全、业务安全、应用安全和数据安全,6个安全维度为例。另外,安全风险评估设备(也可称为大数据中心)还可以对于企业上报的数据和安全事件有针对性地分析出企业的修复方案,或者可以定期的计算行业安全报告和针对企业的个性化安全报告。
该安全风险评估设备即本发明实施例执行该安全风险评估方法的装置或设备,可以包括但不限于服务器等网络设备,台式计算机、膝上型计算机、平板计算机、智能终端等终端设备。该服务器可以为独立服务器,也可以为集群服务器。本发明实施例不做限制。
下面先结合图2示出的本发明实施例提供的安全风险评估方法的流程示意图,具体说明本发明实施例图1中的如何进行安全风险评估,如何计算安全风险量化值,可以包括以下步骤:
步骤S200:收集用于安全风险评估的风险数据;
具体地,本发明实施例中的风险数据可以根据数据来源进行分类,例如包括外部威胁情报数据、企业自身上报数据、模块安全评测数据,等等。该收集的风险数据可以通过互联网接收得到的数据,也可以在本地直接接收的数据,例如通过在互联网搜索企业外部的威胁情报库,以收集外部威胁情报数据;又如通过互联网接收企业根据运行状况上报的数据,或当安全风险评估设备在企业本地侧,则直接接收企业传输过来的上报数据,或接收企业上报的通过模块安全评测得到的评测数据。
步骤S202:在收集的所述风险数据未达到阈值的情况下,基于所述风险数据统计安全类型中发生的安全事件项的频次以及所述安全事件项的风险价值,确定所述安全类型的安全风险损失值;
具体地,在步骤S200收集的所述风险数据未达到阈值的情况下,安全风险评估设备基于步骤S200收集的风险数据可以根据设定的计算安全风险损失值的算法来确定出各安全类型所对应的安全风险损失值,该计算安全风险损失值的算法可以包括统计安全类型中发生的安全事件项的频次以及安全事件项的风险价值,计算出安全类型的安全风险损失值。其中,本发明实施例中的每个安全类型可以设置具体的细分的安全事件项(或安全检查项),具体可以预先通过对企业负责人和相关业务人员进行业务访谈、问卷调查或者安全需求查询定义出企业个性化的安全事件项,如医疗行业有黄牛挂号、如IT行业有僵尸网络通信流量特征识别、访问矿池域名、访问矿池互联网协议地址(Internet Protocol Address,IP),等等。再者,可以加入一些网络安全行业共性的安全事件项。
在其中一种实施方式中,可以预先定义各个安全事件项的风险价值,那么可以基于所述风险数据统计安全类型中发生的安全事件项的频次以及该安全事件项的风险价值,确定安全类型的安全风险损失值。例如将安全事件项的频次乘以该安全事件项的风险价值,得到该安全事件项的安全风险损失值,然后针对安全类型中发生的所有安全事件项计算得到的安全风险损失值进行求和,即可得到该安全类型的安全风险损失值,如公式1:
CM=Σlog(counti)×Mi 公式1
其中,CM为安全类型的安全风险损失值,counti为安全事件项i的发生频次,Mi为安全事件项i的风险价值。
步骤S204:根据所述安全类型的安全风险损失值和定义的所述安全类型的安全风险初始值,计算得到安全风险量化值;
具体地,可以预先定义安全类型的安全风险初始值,比如通过企业安全风险领域的专家针对具体企业中具体的安全类型进行定义,定义出各个安全类型的安全风险初始值或安全价值总分;又如设置定义安全风险初始值的定义算法,针对具体企业中具体的安全类型自动定义出安全风险。本发明实施例中的安全类型可以为企业安全风险领域具体涉及的类型项,比如僵尸网络通信类型、访问矿池类型、钓鱼邮件类型,等等,那么如下表1:
| 安全类型 | 安全风险初始值 |
| 僵尸网络通信 | 200 |
| 访问矿池 | 180 |
| 钓鱼邮件 | 220 |
| … | … |
表1
可以定义僵尸网络通信类型的安全风险初始值为200、定义访问矿池类型的安全风险初始值为180、定义钓鱼邮件类型的安全风险初始值为220,等等。
在其中一种实施方式中,在收集的所述风险数据未达到阈值的情况下,步骤S202可以将定义的安全类型的安全风险初始值减去安全类型的安全风险损失值,得到该安全类型的安全风险量化值。比如,以上述表1为例,基于风险数据确定出钓鱼邮件类型的安全风险损失值为35,那么钓鱼邮件类型的安全风险量化值为220-35=185;以同样的方式计算各个安全类型的安全风险量化值,然后将各个安全类型计算出来的安全风险量化值相加即可得到企业对应的安全风险量化值。
在另一种实施方式中,本发明实施例中的安全风险量化值可以为基于多个安全维度计算得到的量化值,该安全维度对应有各自的安全类型。也就是说,可以针对企业设置多个安全维度(或多个安全域)的安全风险评估,例如可以物理安全、网络安全、主机安全、应用安全、业务安全和数据安全,6个安全维度,每个安全维度可以再设置多个安全类型。并且在一个安全维度下的安全类型可以定义各自的权重,那么在收集的所述风险数据未达到阈值的情况下,步骤S202在计算得到各安全类型的安全风险量化值后,针对一个安全维度,将该安全维度下所有的安全类型的安全风险量化值进行加权求和,得到该安全维度下的安全风险量化值。再进一步地,可以将所有安全维度下的安全风险量化值相加得到企业对应的安全风险量化值,或者企业设置的安全维度也定义有各自的权重,那么可以将所有安全维度下的安全风险量化值加权求和得到企业对应的安全风险量化值。
步骤S206:在收集的所述风险数据达到阈值的情况下,将收集的所述风险数据输入训练好的机器学习模型,计算得到安全风险量化值。
具体地,本发明实施例可以预先训练好应用于计算安全风险量化值的机器学习模型或回归模型,那么在收集的所述风险数据达到阈值的情况下,步骤S206可以将收集的风险数据输入该机器学习模型中,从而计算得到安全风险量化值。
在其中一种实施方式中,本发明实施例可以根据企业的实际情况或根据研发人员的经验来设置收集的所述风险数据是否达到阈值的条件,以分不同情况或分不同方式来计算安全风险损失值。例如,可以设置收集风险数据的时长,若收集风险数据的时长未达到阈值(即表明收集的所述风险数据未达到阈值),则以步骤S202、S204的方式计算安全风险量化值,若收集风险数据的时长达到阈值(即表明收集的所述风险数据达到阈值),则以步骤S206的方式计算安全风险量化值;又如,可以设置收集风险数据的数据量,若收集风险数据的数据量未达到阈值(即表明收集的所述风险数据未达到阈值),则以步骤S202、S204的方式计算安全风险量化值,若收集风险数据的数据量达到阈值(即表明收集的所述风险数据达到阈值),则以步骤S206的方式计算安全风险量化值。
也就是说,实施本发明实施例,分情况来计算安全风险损失值,在前期可以通过专家经验来人工定义安全风险初始值,计算安全风险损失值,在后期通过机器学习的方式来自动计算安全风险损失值,可以更加全面和精准地计算企业的安全风险量化值。
下面,结合图3a示出的本发明提供的安全风险评估方法的另一实施例的流程示意图,以另外一种实施方式来说明本发明实施例如何进行安全风险评估,如何计算安全风险量化值,可以包括以下步骤:
步骤S300:定义用于进行安全风险评估的安全事件项;
具体地,可以针对企业设置多个安全维度(或多个安全域),每个安全维度可以设置多个安全类型,每个安全类型可以再设置具体的细分的安全事件项(或安全检查项)。可以预先通过对企业负责人和相关业务人员进行业务访谈、问卷调查或者安全需求查询定义出企业个性化的安全事件项,如医疗行业有黄牛挂号、如IT行业有僵尸网络通信流量特征识别、访问矿池域名、访问矿池互联网协议地址(Internet Protocol Address,IP),等等。再者,可以加入一些网络安全行业共性的安全事件项,可以覆盖有物理安全、网络安全、主机安全、应用安全、业务安全和数据安全6个安全维度。如图3b示出的本发明实施例提供的定义企业安全检查项的原理示意图,图3b中以针对企业定义细化出146个安全检查项为例,一个安全类型下可以定义所属一个或多个安全检查项,一个安全维度下可以定义所属一个或多个安全类型。
步骤S302:收集用于安全风险评估的风险数据;
具体地,可以从外部威胁情报库、企业自身上报数据、模块安全评测引擎3个数据源来收集风险数据。
步骤S304:对收集的风险数据进行去重;
具体地,关于步骤S302收集的风险数据,可以针对企业上报数据的过程中,一台机器多次重复上报的数据,或者同一数据被多台不同机器上报的情况,对重复数据进行删除。
步骤S306:判断是否为冷启动阶段;
具体地,本发明实施例中判断是否为冷启动阶段,可以相当于上述图2实施例中判断收集的风险数据是否达到阈值。以设置收集风险数据的时长作为判断条件为例,例如阈值为60天,那么若收集风险数据的时长少于60天,即判断为冷启动阶段,执行步骤S308,以根据定义的安全类型的安全风险初始值,以及基于所述风险数据确定的所述安全类型的安全风险损失值,计算得到安全风险量化值;若收集风险数据的时长大于等于60天了,即判断不为冷启动阶段,执行步骤S314,以将收集的所述风险数据输入训练好的机器学习模型,计算得到安全风险量化值。
步骤S308:基于风险数据统计安全类型中发生的安全事件项,并计算安全事件项的风险价值;
步骤S310:对各个安全维度的安全风险量化值进行加权求和;
具体地,步骤S308和步骤S310即为根据定义的安全类型的安全风险初始值,以及基于风险数据确定的所述安全类型的安全风险损失值,计算得到安全风险量化值。
在其中一种实施方式中,计算事件扣分时,可以基于风险数据统计安全类型中发生的安全事件项,并计算安全事件项的风险价值,其中,一个安全类型包括至少一个安全事件项;然后根据安全事件项出现的频次,以及安全类型中发生的所有安全事件项的风险价值,统计安全类型的安全风险损失值;将定义的安全类型的安全风险初始值减去安全风险损失值,得到安全类型的安全风险量化值。具体地,本发明实施例可以对风险数据预先定义一个或多个字段,例如威胁类型(risk_type)、置信度(confidence_score)、严重性(serverity)、资产重要性(impact),并且可以定义一个安全事件项的风险价值(或基础价值)M的计算方式,例如公式2:
M=Fr×Fc×Fs×Fi 公式2
其中,M为安全事件项的风险价值;Fr为安全事件项risk_type的值;Fc为安全事件项confidence_score的值;Fs为安全事件项serverity的值;Fi为安全事件项impact的值。
其中risk_type可以取值为1和2,分别表示威胁性和脆弱性;confidence_score可以取值0-1,值越大表示收集的该条风险数据的信息越可信,它可以来源于第三方评估;serverity可以取值1-5,值越大表示该安全项性质越恶略,它可以依据专家经验定义;impact可以取值1-5,值越大表示该资产越重要,它主要由企业提供。例如下面表2,举例一个企业的风险数据定义的字段:
表2
那么针对收集的风险数据,以其中出现的一个安全事件项C为例,可以根据定义的字段,先分析出该安全事件项C对应的各个字段的取值,根据定义的M的计算方式,计算安全事件项C的风险价值;并统计该安全事件项C在企业观察到或记录到的发生频次count,形成一个(C,count,M)的三元组,然后将三元组按安全事件项通过如下方式转化为二元组(C,CM=sum(log(count)*M)),其中CM表示该安全事件项C所属的安全类型的安全风险损失值(或平均损失)。
在其中一种实施方式中,按安全维度进行汇总时,以物理安全P、网络安全N、主机安全H、业务安全B、应用安全A和数据安全D,6个安全维度为例,可以根据安全事件项的定义,将其划分到所属的安全维度中,然后将步骤S308计算得到的安全事件项二元组(C,CM=sum(log(count)*M))转化为三元组(F,C,TM),其中F可取P,N,H,A,B或D,TM=FS-CM,FS可以为由专家经验定义的安全类型的安全风险初始值(或价值总分),也就是说,将定义的安全类型的安全风险初始值FS减去安全风险损失值CM,得到安全类型的安全风险量化值TM。进一步地,可以根据专家经验预先定义各个安全类型在所属的安全维度中的权重,例如一个安全类型的重要性S可取值1-10,那么可以将三元组(F,C,TM)根据安全维度F对TM进行加权求和,得到(F,FCM),FCM为安全维度的安全风险量化值。若没有定义各个安全类型在所属的安全维度中的权重,那么也可以直接将三元组(F,C,TM)根据安全维度F对TM进行求和,得到(F,FCM)。
步骤S312:对计算得到的每个安全维度的安全风险量化值进行评分转换;
具体地,本发明实施例还可以对计算得到的每个安全维度的安全风险量化值进行评分转换,以转换到指定的取值区间,比如预先定义每个安全维度的安全风险量化值的区间在0-1000之间,那么对步骤S310计算得到的安全风险量化值进行尺度缩放,得到转换后的安全风险量化值。
步骤S314:从冷启动阶段收集的风险数据中整理出训练数据和测试数据;
具体地,在步骤S306判断为冷启动阶段后,还可以从该冷启动阶段收集的风险数据中整理出训练数据和测试数据;也就是说,利用冷启动阶段收集的风险数据,作为机器学习的模型整理训练数据和测试数据。其中,训练数据特征字段可以包括多维度特征,比如安全事件项发生频次的log、企业的资产数量、平均资产价值、对企业安全风险意识的量化值等等。
步骤S316:利用冷启动阶段整理出的训练数据和测试数据,对机器学习模型进行训练,以得到模型的最佳参数;在不为冷启动阶段的情况下,将收集的风险数据输入训练好的机器学习模型,得到安全类型的系数;
具体地,在步骤S306判断为冷启动阶段的情况下,利用冷启动阶段整理出的训练数据和测试数据,对机器学习模型进行训练。例如,可以假设安全风险量化值与多维度特征为线性关系,那么可以利用最小二乘法进行线性模型的参数学习过程,并进行假设检验,以得到模型的最佳参数。
在其中一种实施方式中,本发明实施例在训练好机器学习模型之后,还可以包括:将计算得到的各个安全维度对应的安全风险量化值作为时间序列,输入到预测模型进行预测,得到未来预设时间段内的安全风险量化值或出现的安全事件。该预测模型可以为差分整合移动平均自回归(Autoregressive Integrated Moving Average,ARIMA)模型,又称整合移动平均自回归模型(移动也可称作滑动)。因此本发明实施例可以利用企业以往的安全风险状况,对其未来一段时间内的风险进行预知,能够更好的帮助企业把握自身的安全风险状况,帮助企业更好的进行安全风险防范。
在步骤S306判断不为冷启动阶段的情况下,将收集的风险数据输入训练好的机器学习模型,得到安全类型的系数;具体地,可以得出各个安全类型对应的系数。
步骤S318:对各个安全维度的安全风险量化值进行加权求和;
具体地,在步骤S306判断不为冷启动阶段的情况下,将收集的风险数据输入训练好的机器学习模型,得到安全类型的系数后,可以利用该系数分别计算各个安全维度的安全风险损失值。
在其中一种实施方式中,如公式3:
CM=k×log(count)公式3
其中,CM为安全类型的安全风险量化值,k为安全类型的系数,log(count)为安全类型出现的频次。
也就是说,可以将该安全类型的系数乘以该安全类型出现的频次,得到该安全类型的安全风险量化值,例如得到二元组(C,CM);CM等于该安全类型的系数乘以该安全类型出现的频次,表示该安全事件项C所属的安全类型的安全风险损失值(或平均损失);再将该二元组利用安全事件项C所属的安全维度F,转化为三元组(F,C,CM)。进一步地,可以根据预先定义各个安全类型在所属的安全维度中的权重,例如一个安全类型的重要性S可取值1-10,那么可以将三元组(F,C,TM)根据安全维度F对TM进行加权求和,得到(F,FCM),FCM为安全维度的安全风险量化值。若没有定义各个安全类型在所属的安全维度中的权重,那么也可以直接将三元组(F,C,TM)根据安全维度F对TM进行求和,得到(F,FCM)。
步骤S320:输出最终的安全风险量化值;
具体地,本发明实施例还可以个性化的为企业输出最终的安全风险量化值(或综合安全风险量化值),例如预先根据企业的实际情况定义或设定各个安全维度的权值,以6个安全维度为例,预先根据企业的实际情况定义或设定6个安全维度的权值,那么对步骤S318或步骤S312得出的各个安全维度的安全风险量化值进行加权求和,得到最终的安全风险量化值。
步骤S322:接收针对该安全风险量化值的反馈信息,根据该反馈信息对安全风险量化值进行调整。
具体地,本发明实施例在得到安全风险量化值后,还可以接收针对该安全风险量化值的反馈信息,根据该反馈信息对安全风险量化值进行调整。例如,可以为企业提供对安全风险量化值(或评分)的反馈机制,比如可以为企业对安全风险量化值选择过低、较低、准确、较高、过高五个等级。在对企业进行具体反馈的方式可以为,针对冷启动阶段,在基于专家经验的过程中,指导专家经验权重的调整;针对非冷启动阶段,通过机器学习模型,比如在线性回归的过程中,可以将其转化为实际结果标记(label)值的确定,以调整label值。例如,过低转化为label值加20分,较低转化为label转化为加10分,准确转化为label值不变,较高转化为label值减10分,过高转化为label值减20分。
在其中一种实施方式中,本发明实施例在收集到用于安全风险评估的风险数据之后,还可以进行安全修复建议,具体可以包括:根据安全事件未修复记录确定目标安全事件,对确定出的目标安全事件进行有效性评分排序,根据排序结果生成推荐修复安全事件项信息,接收根据所述推荐修复安全事件项信息输入的修复决策指令,并根据所述修复决策指令进行修复。
下面结合图4示出的本发明实施例提供的安全风险评估中进行安全修复建议的流程示意图,举例说明本发明实施例如何进行安全修复建议:
步骤S400:根据安全事件未修复记录确定目标安全事件;
具体地,可以针对预先定义的多个或所有安全事件项(即安全事件)进行未修复时长的记录,当某个安全事件项的记录超过阈值时,将该安全事件项确定为目标安全事件(或企业典型安全事件)。在其中一种实施方式中,该未修复时长的记录可以以天为单元,比如阈值为10天,那么若某安全事件项超过10天未进行修复,则将该安全事件项确定为目标安全事件。
步骤S402:根据定义的安全事件项的严重性的权值对目标安全事件进行严重性排序;
具体地,可以预先根据专家经验对每个定义的安全事件项设置严重性的权值(或者平均基础价值),然后根据严重性的权值对目标安全事件进行排序,严重性的权值大的排前面,严重性的权值小的排后面。
步骤S404:检查目标安全事件是否存在历史修复;
具体地,根据排序后的目标安全事件,逐个在企业修复日志中检查,目标安全事件是否存在历史修复记录。若检查存在历史修复记录,则执行步骤S406;若检车不存在历史修复记录,则执行步骤S408。
在其中一种实施方式中,对于企业实时发生的安全事件,本发明实施例可以自动的进行上报,以及自动更新修复日志。
步骤S406:对该目标安全事件对应的历史修复选项进行有效性的评分,根据评分对历史修复选项进行排序;
具体地,根据所述历史修复记录中的反馈信息确定该目标安全事件的有效性评分,也就是说,对该目标安全事件对应的历史修复选项进行有效性的评分,该评分可以从历史修复记录中的反馈得到,然后根据评分对历史修复选项进行排序。
步骤S408:提取目标安全事件的关键字段,根据关键字段从修复知识库返回所述目标安全事件的有效性评分,根据所述有效性评分对修复选项进行排序;
具体地,若目标安全事件不存在历史修复记录,则提取该目标安全事件的关键字段,根据关键字段从修复知识库返回该目标安全事件的有效性评分。例如,从该目标安全事件中提取关键字段,然后进行安全事件分类,并基于分类结果,从专家经验库或专家知识库中返回修复选项集合,并得到该修复选项的有效性评分,根据该评分对修复选项进行排序。
步骤S410:根据有效性评分的排序结果生成推荐修复安全事件项信息;
具体地,可以根据有效性评分的排序结果生成推荐修复安全事件项信息;例如将排序中的前N位(如前5位)修复选项作为推荐修复安全事件项,或者将前N%(如前60%)的修复选项作为推荐修复安全事件项。
步骤S412:接收根据所述推荐修复安全事件项信息输入的修复决策指令;
具体地,安全风险评估设备可以将安全事件详情和推荐修复选项提供给企业的相关安全负责人进行决策,企业安全负责人根据步骤S410提供的数据进行决策,另外,本发明实施例也支持相关安全负责人自定义修复决策。企业的相关安全负责人决策后,认为需要进行修复,那么可以向该安全风险评估设备输入修复决策指令,那么该安全风险评估设备即接收到根据该推荐修复安全事件项信息输入的修复决策指令。
步骤S414:根据所述修复决策指令进行修复。
具体地,安全风险评估设备可以根据修复决策指令自动地对安全事件进行修复,并自动更新修复日志。
通过本发明实施例,安全风险评估设备可以利用专家安全知识、企业以往风险处理措施,对检测到或上报的安全事件进行实时的修复或协助修复,从而更好地支持协助企业安全风险的建设和管理,它帮助企业定期的排查、解决问题,可以更好地帮助企业实时的应对发生的安全事件。
本发明实施例的安全风险评估方法可以应用到针对企业的安全风险管理中,如医院、学校、金融机构等。当前,信息化时代的企业在网络空间中有着复杂的表现,特别是随着云服务、云计算的不断发展和普及,越来越多的企业将服务、计算或数据托管在云端;而且,企业的信息化办公,使得每家企业都有许多的主机或者服务器,有自己的内网,防火墙等,由于企业在安全意识和管理上参差不齐,导致企业在自身的办公系统或办公网络环境的建设上,网络安全防范措施不足。另外,企业中包括众多不同角色的员工,它们是影响企业主机或服务器安全状态的主要因素,由于角色和行为习惯、兴趣爱好不同,使得企业内的主机也有个性化的安全环境。还有,企业不同于普通的网络空间实体,它们往往都有或简单或复杂的系统如网站、小程序、应用程序(APP)来支持他们的各种复杂业务,而这些平台的安全性直接影响到与使用该业务的公民信息。而且,企业有自己的域名,网站等,由于企业本身巨大的价值吸引力,这些内容在网络空间极易成为黑客攻击的对象;数据对于每个企业来说,都是最有价值的部分,因此,对于企业来说,重要数据泄露、丢失也是安全风险量化中重要的一个部分。因此,当前企业的安全风险量化决不能像传统的安全风险量化那样,仅考虑单个维度,少数安全风险项。
通过实施本发明实施例,收集用于安全风险评估的风险数据后,在收集的风险数据未达到阈值的情况下,根据定义的安全类型的安全风险初始值,以及基于风险数据确定的安全类型的安全风险损失值,计算得到安全风险量化值,在收集的风险数据达到阈值的情况下,将收集的风险数据输入训练好的机器学习模型,计算得到安全风险量化值;也就是说分情况来计算安全风险损失值,在前期可以通过专家经验来人工定义安全风险初始值,计算安全风险损失值,在后期通过机器学习的方式来自动计算安全风险损失值;并且可以针对企业的需求从多安全维度来评估安全风险,可以更加全面和精准地计算企业的安全风险量化值。
另外,对于企业而言,做好安全感知和管控工作,不仅要求其能够实时的对其安全风险进行感知,更要求它能够预见其未来一段时间内的安全风险状况,并且能够有效的、实时的应对它所面临的安全事件,例如当有入侵行为后,能够实时感知,并结合业务情况,关闭端口或者报警给安全人员等。并且,企业所在行业的安全风险状况和企业自身一段时间内的安全意识评估也是对企业安全风险管控的一个意义重大的信息。本发明实施例可以输入预测模型预测安全风险,帮助企业更好地进行安全风险防范。另外,还可以进行安全修复建议、对安全风险量化值的反馈,能够从感知、预知、修复、反馈四个环节形成企业安全风险管理的良好闭环;并且可以为企业提供多方位的数据感知,如行业报告、个性化的安全评估报告等,以帮助企业决策者宏观的感知到企业的安全风险状况,帮助更好的进行企业的安全建设管理。
为了便于更好地实施本发明实施例的上述方案,本发明还对应提供了一种安全风险评估装置,如图5示出的本发明实施例提供的安全风险评估装置的结构示意图,安全风险评估装置50包括收集单元500、第一计算单元502、第二计算单元504,其中,
收集单元500用于收集用于安全风险评估的风险数据;
第一计算单元502用于在收集的所述风险数据未达到阈值的情况下,基于所述风险数据统计安全类型中发生的安全事件项的频次以及所述安全事件项的风险价值,确定所述安全类型的安全风险损失值;根据所述安全类型的安全风险损失值和定义的所述安全类型的安全风险初始值,计算得到安全风险量化值;
第二计算单元504用于在收集的所述风险数据达到阈值的情况下,将收集的所述风险数据输入训练好的机器学习模型,计算得到安全风险量化值。
在其中一种实施方式中,安全风险量化值基于多个安全维度计算得到的量化值,所述安全维度对应有各自的安全类型。
在其中一种实施方式中,安全风险评估装置50还可以包括信息接收单元和调整单元,其中,
信息接收单元,用于在第二计算单元504将收集的所述风险数据输入训练好的机器学习模型,计算得到安全风险量化值之后,接收针对所述安全风险量化值的反馈信息;
调整单元,用于根据所述反馈信息对所述安全风险量化值进行调整。
在其中一种实施方式中,安全风险评估装置50还可以包括预测单元,用于在第二计算单元504将收集的所述风险数据输入训练好的机器学习模型,计算得到安全风险量化值之后,将计算得到的各个安全维度对应的安全风险量化值作为时间序列,输入到预测模型进行预测,得到未来预设时间段内的安全风险量化值或出现的安全事件。
在其中一种实施方式中,第一计算单元502可以包括风险价值计算单元、统计单元、第一运算单元、第一加权单元和第一求和单元,其中,
风险价值计算单元,用于基于所述风险数据统计所述安全类型中发生的安全事件项,并计算所述安全事件项的风险价值;其中,一个安全类型包括至少一个安全事件项;
统计单元,用于根据所述安全事件项出现的频次,以及所述安全类型中发生的所有安全事件项的风险价值,统计所述安全类型的安全风险损失值;
第一运算单元,用于将定义的安全类型的安全风险初始值减去所述安全风险损失值,得到所述安全类型的安全风险量化值;
第一加权单元,用于根据定义的各个安全类型的权重,对所述安全维度中的安全类型的安全风险量化值进行加权,得到所述安全维度的安全风险量化值;
第一求和单元,用于对各个安全维度的安全风险量化值进行加权求和,得到最终的安全风险量化值。
在其中一种实施方式中,安全风险评估装置50还可以包括模型训练单元,用于在收集的所述风险数据未达到阈值的情况下,从收集的所述风险数据中整理出训练数据和测试数据,并利用所述训练数据和测试数据对机器学习模型进行训练;
第二计算单元504可以包括:数据输入单元、第二运算单元、第二加权单元和第二求和单元,其中,
数据输入单元,用于将收集的所述风险数据输入训练好的机器学习模型,得到所述安全类型的系数;
第二运算单元,用于将所述安全类型的系数乘以所述安全类型出现的频次,得到所述安全类型的安全风险量化值;
第二加权单元,用于根据定义的各个安全类型的权重,对所述安全维度中的安全类型的安全风险量化值进行加权,得到所述安全维度的安全风险量化值;
第二求和单元,用于对各个安全维度的安全风险量化值进行加权求和,得到最终的安全风险量化值。
在其中一种实施方式中,安全风险评估装置50还可以包括事件确定单元、排序生成单元和修复单元,其中,
事件确定单元,用于在收集单元500收集用于安全风险评估的风险数据之后,根据安全事件未修复记录确定目标安全事件;
排序生成单元,用于对确定出的目标安全事件进行有效性评分排序,根据排序结果生成推荐修复安全事件项信息;
修复单元,用于接收根据所述推荐修复安全事件项信息输入的修复决策指令,并根据所述修复决策指令进行修复。
在其中一种实施方式中,排序生成单元可以包括评分单元、提取返回单元和信息生成单元,其中,
评分单元,用于在判断出所述目标安全事件存在历史修复记录的情况下,根据所述历史修复记录中的反馈信息确定所述目标安全事件的有效性评分;
提取返回单元,用于在判断出所述目标安全事件不存在历史修复记录的情况下,提取所述目标安全事件的关键字段,根据所述关键字段从修复知识库返回所述目标安全事件的有效性评分;
信息生成单元,用于对所述有效性评分进行排序,根据排序结果生成推荐修复安全事件项信息。
本发明实施例中的安全风险评估装置50各单元用于对应执行上述各方法实施例中图1至图4实施例中的安全风险评估方法的步骤,这里不再赘述。
为了便于更好地实施本发明实施例的上述方案,本发明还对应提供了一种安全风险评估设备,下面结合附图来进行详细说明:
如图6示出的本发明实施例提供的安全风险评估设备的结构示意图,安全风险评估设备60可以包括处理器61、显示屏62、存储器64和通信模块65,处理器61、显示屏62、存储器64和通信模块65可以通过总线66相互连接。存储器64可以是高速随机存储记忆体(Random Access Memory,RAM)存储器,也可以是非易失性的存储器(non-volatilememory),例如至少一个磁盘存储器,存储器64包括本发明实施例中的flash。存储器64可选的还可以是至少一个位于远离前述处理器61的存储系统。存储器64用于存储应用程序代码,可以包括操作系统、网络通信模块、用户接口模块以及安全风险评估程序,通信模块65用于与外部设备进行信息和数据交互;处理器61被配置用于调用该程序代码,执行以下步骤:
通过通信模块65收集用于安全风险评估的风险数据;在收集的所述风险数据未达到阈值的情况下,基于所述风险数据统计安全类型中发生的安全事件项的频次以及所述安全事件项的风险价值,确定所述安全类型的安全风险损失值;根据所述安全类型的安全风险损失值和定义的所述安全类型的安全风险初始值,计算得到安全风险量化值;在收集的所述风险数据达到阈值的情况下,将收集的所述风险数据输入训练好的机器学习模型,计算得到安全风险量化值。
其中,所述安全风险量化值基于多个安全维度计算得到的量化值,所述安全维度对应有各自的安全类型。
其中,处理器61将收集的所述风险数据输入训练好的机器学习模型,计算得到安全风险量化值之后,还可以执行:
通过用户接口模块接收针对所述安全风险量化值的反馈信息;
根据所述反馈信息对所述安全风险量化值进行调整。
其中,处理器61将收集的所述风险数据输入训练好的机器学习模型,计算得到安全风险量化值之后,还可以执行:
将计算得到的各个安全维度对应的安全风险量化值作为时间序列,输入到预测模型进行预测,得到未来预设时间段内的安全风险量化值或出现的安全事件。
其中,处理器61根据定义的安全类型的安全风险初始值,以及基于所述风险数据确定的所述安全类型的安全风险损失值,计算得到安全风险量化值,包括:
基于所述风险数据统计所述安全类型中发生的安全事件项,并计算所述安全事件项的风险价值;其中,一个安全类型包括至少一个安全事件项;
根据所述安全事件项出现的频次,以及所述安全类型中发生的所有安全事件项的风险价值,统计所述安全类型的安全风险损失值;
将定义的安全类型的安全风险初始值减去所述安全风险损失值,得到所述安全类型的安全风险量化值;
根据定义的各个安全类型的权重,对所述安全维度中的安全类型的安全风险量化值进行加权,得到所述安全维度的安全风险量化值;
对各个安全维度的安全风险量化值进行加权求和,得到最终的安全风险量化值。
其中,在收集的所述风险数据未达到阈值的情况下,处理器61还可以执行从收集的所述风险数据中整理出训练数据和测试数据,并利用所述训练数据和测试数据对机器学习模型进行训练;
处理器61将收集的所述风险数据输入训练好的机器学习模型,计算得到安全风险量化值,可以包括:
将收集的所述风险数据输入训练好的机器学习模型,得到所述安全类型的系数;
将所述安全类型的系数乘以所述安全类型出现的频次,得到所述安全类型的安全风险量化值;
根据定义的各个安全类型的权重,对所述安全维度中的安全类型的安全风险量化值进行加权,得到所述安全维度的安全风险量化值;
对各个安全维度的安全风险量化值进行加权求和,得到最终的安全风险量化值。
其中,处理器61通过通信模块65收集用于安全风险评估的风险数据之后,还可以执行:
根据安全事件未修复记录确定目标安全事件;
对确定出的目标安全事件进行有效性评分排序,根据排序结果生成推荐修复安全事件项信息;
接收根据所述推荐修复安全事件项信息输入的修复决策指令,并根据所述修复决策指令进行修复。
其中,处理器61对确定出的目标安全事件进行有效性评分排序,根据排序结果生成推荐修复安全事件项信息包括:
在判断出所述目标安全事件存在历史修复记录的情况下,根据所述历史修复记录中的反馈信息确定所述目标安全事件的有效性评分;
在判断出所述目标安全事件不存在历史修复记录的情况下,提取所述目标安全事件的关键字段,根据所述关键字段从修复知识库返回所述目标安全事件的有效性评分;
对所述有效性评分进行排序,根据排序结果生成推荐修复安全事件项信息。
需要说明的是,本发明实施例中安全风险评估设备中处理器61的执行步骤可参考上述各方法实施例中图1至图4实施例中的安全风险评估方法的具体实现方式,这里不再赘述。
实施本发明实施例,收集用于安全风险评估的风险数据后,在收集的风险数据未达到阈值的情况下,根据定义的安全类型的安全风险初始值,以及基于风险数据确定的安全类型的安全风险损失值,计算得到安全风险量化值,在收集的风险数据达到阈值的情况下,将收集的风险数据输入训练好的机器学习模型,计算得到安全风险量化值;也就是说分情况来计算安全风险损失值,在前期可以通过专家经验来人工定义安全风险初始值,计算安全风险损失值,在后期通过机器学习的方式来自动计算安全风险损失值,可以更加全面和精准地计算企业的安全风险量化值。而且,还可以输入预测模型预测安全风险,帮助企业更好地进行安全风险防范。另外,还可以进行安全修复建议、对安全风险量化值的反馈,能够从感知、预知、修复、反馈四个环节形成企业安全风险管理的良好闭环。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。
Claims (10)
1.一种安全风险评估方法,其特征在于,包括:
收集用于安全风险评估的风险数据;
在收集的所述风险数据未达到阈值的情况下,基于所述风险数据从多个安全维度计算得到安全风险量化值,所述多个安全维度中的每个安全维度包括多个安全类型,所述多个安全类型中的每个安全类型包括至少一个安全事件项,所述至少一个安全事件项包括企业个性化的安全事件项,所述多个安全维度包括物理安全、网络安全、主机安全、业务安全、应用安全和数据安全;
统计每个安全维度下的安全类型中发生的安全事件项的频次以及所述安全事件项的风险价值,所述安全事件项预先定义有多个字段,所述多个字段包括威胁类型、置信度、严重性和资产重要性,所述安全事件项的风险价值通过第一公式计算得到,所述第一公式为:
,其中,所述M为所述安全事件项的风险价值,所述
为所述威胁类型字段对应的值,所述
为所述置信度字段对应的值,所述
为所述严重性字段对应的值,所述
为所述资产重要性字段对应的值;
根据所述安全事件项出现的频次,以及各个安全类型中发生的所有安全事件项的风险价值,统计各个安全类型的安全风险损失值;
将针对各个安全类型所定义的安全类型的安全风险初始值减去各个安全类型的安全风险损失值,得到各个安全类型的安全风险量化值;
根据定义的各个安全类型的权重,对各个安全维度中的多个安全类型的安全风险量化值进行加权,得到各个安全维度的安全风险量化值;
对各个安全维度的安全风险量化值进行加权求和,得到最终的安全风险量化值;
在收集的所述风险数据达到阈值的情况下,将收集的所述风险数据输入训练好的机器学习模型,计算得到安全风险量化值。
2.如权利要求1所述的方法,其特征在于,所述风险数据包括外部威胁情报数据、企业自身上报数据和模块安全评测数据。
3.如权利要求1所述的方法,其特征在于,所述将收集的所述风险数据输入训练好的机器学习模型,计算得到安全风险量化值之后,还包括:
接收针对所述安全风险量化值的反馈信息;
根据所述反馈信息对所述安全风险量化值进行调整。
4.如权利要求1所述的方法,其特征在于,所述将收集的所述风险数据输入训练好的机器学习模型,计算得到安全风险量化值之后,还包括:
将计算得到的各个安全维度对应的安全风险量化值作为时间序列,输入到预测模型进行预测,得到未来预设时间段内的安全风险量化值或出现的安全事件。
5.如权利要求1或4所述的方法,其特征在于,在收集的所述风险数据未达到阈值的情况下,还包括从收集的所述风险数据中整理出训练数据和测试数据,并利用所述训练数据和测试数据对机器学习模型进行训练;
所述将收集的所述风险数据输入训练好的机器学习模型,计算得到安全风险量化值,包括:
将收集的所述风险数据输入训练好的机器学习模型,得到所述安全类型的系数;
将所述安全类型的系数乘以所述安全类型出现的频次,得到所述安全类型的安全风险量化值;
根据定义的各个安全类型的权重,对所述安全维度中的安全类型的安全风险量化值进行加权,得到所述安全维度的安全风险量化值;
对各个安全维度的安全风险量化值进行加权求和,得到最终的安全风险量化值。
6.如权利要求1-4任一项所述的方法,其特征在于,所述收集用于安全风险评估的风险数据之后,还包括:
根据安全事件未修复记录确定目标安全事件;
对确定出的目标安全事件进行有效性评分排序,根据排序结果生成推荐修复安全事件项信息;
接收根据所述推荐修复安全事件项信息输入的修复决策指令,并根据所述修复决策指令进行修复。
7.如权利要求6所述的方法,其特征在于,所述对确定出的目标安全事件进行有效性评分排序,根据排序结果生成推荐修复安全事件项信息包括:
在判断出所述目标安全事件存在历史修复记录的情况下,根据所述历史修复记录中的反馈信息确定所述目标安全事件的有效性评分;
在判断出所述目标安全事件不存在历史修复记录的情况下,提取所述目标安全事件的关键字段,根据所述关键字段从修复知识库返回所述目标安全事件的有效性评分;
对所述有效性评分进行排序,根据排序结果生成推荐修复安全事件项信息。
8.一种安全风险评估装置,其特征在于,包括:
收集单元,用于收集用于安全风险评估的风险数据;
第一计算单元,用于在收集的所述风险数据未达到阈值的情况下,基于所述风险数据从多个安全维度计算得到安全风险量化值,所述多个安全维度中的每个安全维度包括多个安全类型,所述多个安全类型中的每个安全类型包括至少一个安全事件项,所述至少一个安全事件项包括企业个性化的安全事件项,所述多个安全维度包括物理安全、网络安全、主机安全、业务安全、应用安全和数据安全;
所述第一计算单元,包括风险价值计算单元、统计单元、第一运算单元、第一加权单元和第一求和单元,其中,
风险价值计算单元,用于基于所述风险数据统计所述安全类型中发生的安全事件项,并计算所述安全事件项的风险价值;其中,所述安全事件项预先定义有多个字段,所述多个字段包括威胁类型、置信度、严重性和资产重要性,所述安全事件项的风险价值通过第一公式计算得到,所述第一公式为:
,所述M为所述安全事件项的风险价值,所述
为所述威胁类型字段对应的值,所述
为所述置信度字段对应的值,所述
为所述严重性字段对应的值,所述
为所述资产重要性字段对应的值;一个安全类型包括至少一个安全事件项;
统计单元,用于根据所述安全事件项出现的频次,以及各个安全类型中发生的所有安全事件项的风险价值,统计各个安全类型的安全风险损失值;
第一运算单元,用于将针对各个安全类型所定义的安全类型的安全风险初始值减去各个安全类型的安全风险损失值,得到各个安全类型的安全风险量化值;
第一加权单元,用于根据定义的各个安全类型的权重,对各个安全维度中的安全类型的安全风险量化值进行加权,得到各个安全维度的安全风险量化值;
第一求和单元,用于对各个安全维度的安全风险量化值进行加权求和,得到最终的安全风险量化值;
第二计算单元,用于在收集的所述风险数据达到阈值的情况下,将收集的所述风险数据输入训练好的机器学习模型,计算得到安全风险量化值。
9.一种安全风险评估设备,其特征在于,包括处理器和存储器,所述处理器和存储器相互连接,其中,所述存储器用于存储程序代码,所述处理器被配置用于调用所述程序代码,执行如权利要求1-7任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有程序指令,所述程序指令当被处理器执行时使所述处理器执行如权利要求1-7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910178289.9A CN110417721B (zh) | 2019-03-07 | 2019-03-07 | 安全风险评估方法、装置、设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910178289.9A CN110417721B (zh) | 2019-03-07 | 2019-03-07 | 安全风险评估方法、装置、设备及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110417721A CN110417721A (zh) | 2019-11-05 |
| CN110417721B true CN110417721B (zh) | 2021-10-26 |
Family
ID=68358135
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910178289.9A Active CN110417721B (zh) | 2019-03-07 | 2019-03-07 | 安全风险评估方法、装置、设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110417721B (zh) |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022000430A1 (zh) * | 2020-07-02 | 2022-01-06 | 深圳市欢太科技有限公司 | 服务器威胁评定方法及相关产品 |
| CN111865981B (zh) * | 2020-07-20 | 2021-05-07 | 交通运输信息安全中心有限公司 | 网络安全脆弱性评估系统及方法 |
| CN112003272B (zh) * | 2020-08-11 | 2021-12-14 | 东北电力大学 | 一种基于卷积神经网络的电力系统频率安全控制方法 |
| CN112231692A (zh) * | 2020-10-13 | 2021-01-15 | 中移(杭州)信息技术有限公司 | 安全认证方法、装置、设备及存储介质 |
| CN112651027A (zh) * | 2020-12-30 | 2021-04-13 | 北京嘀嘀无限科技发展有限公司 | 数据风险预测方法、装置、设备、存储介质和程序产品 |
| CN112668913A (zh) * | 2020-12-31 | 2021-04-16 | 深圳前海微众银行股份有限公司 | 基于联邦学习的网络构建方法、装置、设备及存储介质 |
| CN112511568A (zh) * | 2021-02-06 | 2021-03-16 | 北京安帝科技有限公司 | 一种网络安全事件的关联分析方法、装置及存储介质 |
| CN113037728B (zh) * | 2021-02-26 | 2023-08-15 | 上海派拉软件股份有限公司 | 一种实现零信任的风险判定方法、装置、设备及介质 |
| CN113326508B (zh) * | 2021-06-04 | 2023-02-07 | 中国电子信息产业集团有限公司第六研究所 | 一种平台安全风险的评估方法及评估装置 |
| CN113660667B (zh) * | 2021-10-18 | 2021-12-28 | 四川浮舟科技有限责任公司 | 一种用于运营商网络的非法劫持快速监测方法及系统 |
| CN114019942B (zh) * | 2021-11-04 | 2023-08-29 | 哈尔滨工业大学 | 一种基于分时频率的工业机器人系统安全威胁评价方法 |
| CN114331164A (zh) * | 2021-12-31 | 2022-04-12 | 上海时代光华教育发展有限公司 | 学习管理系统成熟度评估方法、装置及电子设备 |
| CN114615016B (zh) * | 2022-02-09 | 2023-08-01 | 广东能源集团科学技术研究院有限公司 | 一种企业网络安全评估方法、装置、移动终端及存储介质 |
| CN114978575B (zh) * | 2022-03-31 | 2024-03-01 | 中国信息通信研究院 | 医疗联网设备的安全等级确定方法 |
| CN114707181B (zh) * | 2022-04-08 | 2023-03-31 | 北京国信网联科技有限公司 | 一种基于机器学习的数据安全交换系统及方法 |
| CN116305137B (zh) * | 2023-01-12 | 2023-10-13 | 四川大学 | 一种面向开源项目的安全性自动化评估方法及装置 |
| CN116109116B (zh) * | 2023-04-13 | 2023-06-16 | 中建安装集团有限公司 | 一种基于云计算的应用程序综合监管控制系统及方法 |
| CN116723059B (zh) * | 2023-08-10 | 2023-10-20 | 湖南润科通信科技有限公司 | 一种针对网络信息的安全分析系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107480533A (zh) * | 2017-08-08 | 2017-12-15 | 深圳市腾讯计算机系统有限公司 | 一种漏洞修复的方法、装置及装置 |
| CN108229176A (zh) * | 2017-12-29 | 2018-06-29 | 北京神州绿盟信息安全科技股份有限公司 | 一种确定Web应用防护效果的方法及装置 |
| CN108304308A (zh) * | 2018-02-07 | 2018-07-20 | 平安普惠企业管理有限公司 | 用户行为监控方法、装置、计算机设备和存储介质 |
| CN108959934A (zh) * | 2018-06-11 | 2018-12-07 | 平安科技(深圳)有限公司 | 安全风险评估方法、装置、计算机设备和存储介质 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109102394A (zh) * | 2018-08-14 | 2018-12-28 | 深圳市人民政府金融发展服务办公室 | 风险评估方法、装置及计算机可读存储介质 |
| CN108921456A (zh) * | 2018-08-21 | 2018-11-30 | 深圳市人民政府金融发展服务办公室 | 风险评估方法、装置及计算机可读存储介质 |
| CN109345065A (zh) * | 2018-08-22 | 2019-02-15 | 平安科技(深圳)有限公司 | 一种规避损失分析方法及装置、存储介质、计算机设备 |
| CN109409677A (zh) * | 2018-09-27 | 2019-03-01 | 深圳壹账通智能科技有限公司 | 企业信用风险评估方法、装置、设备及存储介质 |
-
2019
- 2019-03-07 CN CN201910178289.9A patent/CN110417721B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107480533A (zh) * | 2017-08-08 | 2017-12-15 | 深圳市腾讯计算机系统有限公司 | 一种漏洞修复的方法、装置及装置 |
| CN108229176A (zh) * | 2017-12-29 | 2018-06-29 | 北京神州绿盟信息安全科技股份有限公司 | 一种确定Web应用防护效果的方法及装置 |
| CN108304308A (zh) * | 2018-02-07 | 2018-07-20 | 平安普惠企业管理有限公司 | 用户行为监控方法、装置、计算机设备和存储介质 |
| CN108959934A (zh) * | 2018-06-11 | 2018-12-07 | 平安科技(深圳)有限公司 | 安全风险评估方法、装置、计算机设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110417721A (zh) | 2019-11-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110417721B (zh) | 安全风险评估方法、装置、设备及计算机可读存储介质 | |
| CN110399925B (zh) | 账号的风险识别方法、装置及存储介质 | |
| US11507881B2 (en) | Analysis apparatus, analysis method, and analysis program for calculating prediction error and extracting error factor | |
| CN112700252B (zh) | 一种信息安全性检测方法、装置、电子设备和存储介质 | |
| CN111738549A (zh) | 食品安全风险评估方法、装置、设备及存储介质 | |
| CN111786950A (zh) | 基于态势感知的网络安全监控方法、装置、设备及介质 | |
| US20230328087A1 (en) | Method for training credit threshold, method for detecting ip address, computer device and storage medium | |
| CN110798440B (zh) | 异常用户检测方法、装置、系统及计算机存储介质 | |
| CN107392022A (zh) | 爬虫识别、处理方法及相关装置 | |
| CN111754241A (zh) | 一种用户行为感知方法、装置、设备及介质 | |
| CN111539493A (zh) | 一种告警预测方法、装置、电子设备及存储介质 | |
| CN109729069B (zh) | 异常ip地址的检测方法、装置与电子设备 | |
| CN114612018B (zh) | 一种内控风险监测方法、系统和可读存储介质 | |
| CN115001934A (zh) | 一种工控安全风险分析系统及方法 | |
| CN108804501B (zh) | 一种检测有效信息的方法及装置 | |
| CN114398465A (zh) | 互联网服务平台的异常处理方法、装置和计算机设备 | |
| CN115659351B (zh) | 一种基于大数据办公的信息安全分析方法、系统及设备 | |
| CN116545679A (zh) | 一种工业情境安全基础框架及网络攻击行为特征分析方法 | |
| CN114861163A (zh) | 异常帐号的识别方法、装置、设备、存储介质及程序产品 | |
| CN112199573B (zh) | 一种非法交易主动探测方法及系统 | |
| CN113691552A (zh) | 威胁情报有效性评估方法、装置、系统及计算机存储介质 | |
| CN114819436A (zh) | 一种金融风险的管理方法、装置以及存储介质 | |
| CN113300997A (zh) | 多维度网络设备评估方法和装置、计算机可读存储介质 | |
| Kostadinov et al. | Reducing the number of incidents in converged IT infrastructure using correlation approach | |
| CN115296840B (zh) | 基于关联节点安全状态的安全预警方法、装置及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |