CN110535859B - 网络安全应急能力确定方法、装置及电子设备 - Google Patents

网络安全应急能力确定方法、装置及电子设备 Download PDF

Info

Publication number
CN110535859B
CN110535859B CN201910811728.5A CN201910811728A CN110535859B CN 110535859 B CN110535859 B CN 110535859B CN 201910811728 A CN201910811728 A CN 201910811728A CN 110535859 B CN110535859 B CN 110535859B
Authority
CN
China
Prior art keywords
network
vulnerability
area
determining
network area
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910811728.5A
Other languages
English (en)
Other versions
CN110535859A (zh
Inventor
杨冀龙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Knownsec Information Technology Co Ltd
Original Assignee
Beijing Knownsec Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Knownsec Information Technology Co Ltd filed Critical Beijing Knownsec Information Technology Co Ltd
Priority to CN201910811728.5A priority Critical patent/CN110535859B/zh
Publication of CN110535859A publication Critical patent/CN110535859A/zh
Application granted granted Critical
Publication of CN110535859B publication Critical patent/CN110535859B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种网络安全应急能力确定方法、装置及电子设备,涉及计算机网络技术领域。该方法包括:确定网络区域是否受到范围性的网络漏洞攻击;在确定网络区域受到范围性的网络漏洞攻击时,周期性地向网络区域内的网络设备发送漏洞探测包;接收网络设备返回的用于响应漏洞探测包的响应信息;基于响应信息确定网络区域内存在漏洞的网络设备的设备数量;基于设备数量确定网络区域内存在漏洞的网络设备所占的比例降低至预设比例时所需的时长;基于时长确定网络区域的网络安全应急能力。通过网络区域真实遭受漏洞攻击时的应急反应情况的相关数据判定其网络安全应急能力,提高了网络完全应急能力判定的准确性和真实性。

Description

网络安全应急能力确定方法、装置及电子设备
技术领域
本申请涉及计算机网络技术领域,具体而言,涉及一种网络安全应急能力确定方法、装置及电子设备。
背景技术
随着计算机网络的迅速发展,越来越多的基础设施、生活必备设施均依赖网络运行,网络已经成为人们生活必不可少的部分。因此,网络安全是如今保证各地区平稳运行的重要条件,而计算机系统中的网络漏洞则对网络安全造成了极大的威胁。但是现有的漏洞检测方式通常是在人为设计模拟的环境下进行漏洞检测,无法体现真实的漏洞攻击场景下的网络安全应急能力,存在准确性、真实性较差的问题。
发明内容
有鉴于此,本申请实施例的目的在于提供一种网络安全应急能力确定方法、装置及电子设备,以改善现有技术中存在的网络安全应急能力检测准确性、真实性较差的问题。
本申请实施例提供了一种网络安全应急能力确定方法,所述方法包括:确定网络区域是否受到范围性的网络漏洞攻击;在确定所述网络区域受到范围性的网络漏洞攻击时,周期性地向所述网络区域内的网络设备发送第一漏洞探测数据包;接收所述网络区域内的网络设备返回的用于响应所述第一漏洞探测数据包的第一漏洞探测响应信息;基于所述第一漏洞探测响应信息确定所述网络区域内存在漏洞的网络设备的设备数量;基于所述设备数量确定所述网络区域内存在漏洞的网络设备所占的比例降低至第一预设比例时所需的第一时长;基于所述第一时长确定所述网络区域的网络安全应急能力。
通过上述实施方式,在网络区域受到网络漏洞攻击的真实情形下,通过漏洞探测方式确定该网络区域存在漏洞的网络设备随时间的变化,基于存在漏洞的网络设备的占比降低至预设比例的时长确定该网络区域的网络安全应急能力,从而在真实的漏洞攻击情况下实现了网络安全应急能力的检测,提高了网络安全应急能力判定的真实性和准确性。
可选地,所述确定网络区域是否受到范围性的网络漏洞攻击,包括:周期性地向所述网络区域内的网络设备发送第二漏洞探测数据包;接收所述网络区域内的网络设备返回的用于响应所述第二漏洞探测数据包的第二漏洞探测响应信息;在所述第二漏洞探测响应信息表征所述网络区域内存在漏洞的网络设备所占的比例达到第二预设比例时,确定所述网络区域受到范围性的网络漏洞攻击。
在上述实现方式中,通过漏洞探测方式获取存在漏洞的网络设备所占比例,再确定网络区域是否受到网络漏洞攻击,以确定网络安全应急能力判定是在真实的网络漏洞攻击情形下进行,保证了判定真实性。
可选地,所述周期性地向所述网络区域内的网络设备发送第一漏洞探测数据包,包括:确定所述网络漏洞攻击的漏洞类型;周期性地向所述网络区域内的网络设备发送针对所述漏洞类型的第一漏洞探测数据包。
可选地,所述确定所述网络漏洞攻击的漏洞类型,包括:周期性地向所述网络区域内的网络设备发送针对各种类型的第三漏洞探测数据包;接收所述网络区域内的网络设备返回的用于响应所述第三漏洞探测数据包的第三漏洞探测响应信息;基于所述第三漏洞探测响应信息确定在预设时长内存在漏洞的网络设备所占的比例超过预设阈值的第一漏洞类型;将所述第一漏洞类型作为所述网络漏洞攻击的漏洞类型。
在上述实现方式中,针对网络漏洞攻击的漏洞类型发送漏洞探测数据包,提高了探测准确性。
可选地,所述基于所述设备数量确定所述网络区域内存在漏洞的网络设备所占的比例降低至第一预设比例时所需的第一时长,包括:在每次接收所述第一漏洞探测响应信息时,记录当前的接收时间和存在漏洞的网络设备的设备数量;基于每次接受所述第一漏洞探测响应信息时记录的接收时间和设备数量,建立存在漏洞的网络设备的数量变化趋势信息;基于所述数量变化趋势信息所述网络区域内存在漏洞的网络设备所占的比例降低至所述第一预设比例时所需的第一时长。
在上述实现方式中,通过存在漏洞的网络设备的数量变化趋势信息获得存在漏洞的网络设备所占比例降低至预设比例时所需的时长,应用了真实漏洞攻击情况下获取的准确数据,从而提高了网络安全应急响应能力判定的真实性和准确性。
可选地,所述基于所述数量变化趋势信息所述网络区域内存在漏洞的网络设备所占的比例降低至所述第一预设比例时所需的第一时长,包括:基于所述数量变化趋势信息确定所述网络区域内存在漏洞的网络设备所占的比例低至所述第一预设比例时,获取当前的第一时刻;自所述第一时刻起,在预设观察时间内存在漏洞的网络设备的数量波动是否小于预设波动阈值;在所述预设观察时间内所述数量波动一直小于所述预设波动阈值时,将从确定所述网络区域受到范围性的网络漏洞攻击时至所述第二时刻的时长作为所述第一时长。
在上述实现方式中,在存在漏洞的网络设备的数量稳定时才确定网络设备的恢复所用时长,进一步提高了网络安全应急能力判定的准确率。
可选地,所述基于所述时长确定所述网络区域的网络安全应急能力,包括:在所述时长小于预设安全时长时,将所述网络区域的网络安全应急能力标记为第一等级;在所述时长大于或等于所述预设安全时长时,将所述网络区域的网络安全应急能力标记为第二等级,所述第一等级高于所述第二等级。
本申请实施例还提供了一种网络安全应急能力确定装置,所述装置包括:攻击确定模块,用于确定网络区域是否受到范围性的网络漏洞攻击;探测包发送模块,用于在确定所述网络区域受到范围性的网络漏洞攻击时,周期性地向所述网络区域内的网络设备发送第一漏洞探测数据包;响应信息接收模块,用于接收所述网络区域内的网络设备返回的用于响应所述第一漏洞探测数据包的第一漏洞探测响应信息;漏洞确定模块,用于基于所述第一漏洞探测响应信息确定所述网络区域内存在漏洞的网络设备的设备数量;时长确定模块,用于基于所述设备数量确定所述网络区域内存在漏洞的网络设备所占的比例降低至第一预设比例时所需的第一时长;应急能力确定模块,用于基于所述第一时长确定所述网络区域的网络安全应急能力。
通过上述实施方式,在网络区域受到网络漏洞攻击的真实情形下,通过漏洞探测方式确定该网络区域存在漏洞的网络设备随时间的变化,基于存在漏洞的网络设备的占比降低至预设比例的时长确定该网络区域的网络安全应急能力,从而在真实的漏洞攻击情况下实现了网络安全应急能力的检测,提高了网络安全应急能力判定的真实性和准确性。
可选地,所述攻击确定模块还用于:周期性地向所述网络区域内的网络设备发送第二漏洞探测数据包;接收所述网络区域内的网络设备返回的用于响应所述第二漏洞探测数据包的第二漏洞探测响应信息;在所述第二漏洞探测响应信息表征所述网络区域内存在漏洞的网络设备所占的比例达到第二预设比例时,确定所述网络区域受到范围性的网络漏洞攻击。
在上述实现方式中,通过漏洞探测方式获取存在漏洞的网络设备所占比例,再确定网络区域是否受到网络漏洞攻击,以确定网络安全应急能力判定是在真实的网络漏洞攻击情形下进行,保证了判定真实性。
可选地,所述探测包发送模块具体用于:确定所述网络漏洞攻击的漏洞类型;周期性地向所述网络区域内的网络设备发送针对所述漏洞类型的第一漏洞探测数据包。
可选地,所述探测包发送模块具体还用于:周期性地向所述网络区域内的网络设备发送针对各种类型的第三漏洞探测数据包;接收所述网络区域内的网络设备返回的用于响应所述第三漏洞探测数据包的第三漏洞探测响应信息;基于所述第三漏洞探测响应信息确定在预设时长内存在漏洞的网络设备所占的比例超过预设阈值的第一漏洞类型;将所述第一漏洞类型作为所述网络漏洞攻击的漏洞类型。
在上述实现方式中,针对网络漏洞攻击的漏洞类型发送漏洞探测数据包,提高了探测准确性。
可选地,所述时长确定模块具体用于:在每次接收所述第一漏洞探测响应信息时,记录当前的接收时间和存在漏洞的网络设备的设备数量;基于每次接受所述第一漏洞探测响应信息时记录的接收时间和设备数量,建立存在漏洞的网络设备的数量变化趋势信息;基于所述数量变化趋势信息所述网络区域内存在漏洞的网络设备所占的比例降低至所述第一预设比例时所需的第一时长。
在上述实现方式中,通过存在漏洞的网络设备的数量变化趋势信息获得存在漏洞的网络设备所占比例降低至预设比例时所需的时长,应用了真实漏洞攻击情况下获取的准确数据,从而提高了网络安全应急响应能力判定的真实性和准确性。
可选地,所述时长确定模块具体还用于:基于所述数量变化趋势信息确定所述网络区域内存在漏洞的网络设备所占的比例低至所述第一预设比例时,获取当前的第一时刻;自所述第一时刻起,在预设观察时间内存在漏洞的网络设备的数量波动是否小于预设波动阈值;在所述预设观察时间内所述数量波动一直小于所述预设波动阈值时,将从确定所述网络区域受到范围性的网络漏洞攻击时至所述第二时刻的时长作为所述第一时长。
在上述实现方式中,在存在漏洞的网络设备的数量稳定时才确定网络设备的恢复所用时长,进一步提高了网络安全应急能力判定的准确率。
可选地,所述应急能力确定模块具体用于:在所述时长小于预设安全时长时,将所述网络区域的网络安全应急能力标记为第一等级;在所述时长大于或等于所述预设安全时长时,将所述网络区域的网络安全应急能力标记为第二等级,所述第一等级高于所述第二等级。
本申请实施例还提供了一种电子设备,所述电子设备包括存储器和处理器,所述存储器中存储有程序指令,所述处理器读取并运行所述程序指令时,执行上述任一实现方式中的步骤。
本申请实施例还提供了一种可读取存储介质,所述可读取存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行上述任一实现方式中的步骤。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种网络安全应急能力确定方法的流程示意图;
图2为本申请实施例提供的一种网络漏洞攻击确定步骤的流程示意图;
图3为本申请实施例提供的一种漏洞类型确定步骤的流程示意图;
图4为本申请实施例提供的一种第一时长确定步骤的流程示意图;
图5为本申请实施例提供的一种网络安全应急能力确定装置的模块示意图。
图标:20-网络安全应急能力确定装置;21-攻击确定模块;22-探测包发送模块;23-响应信息接收模块;24-漏洞确定模块;25-时长确定模块;26-应急能力确定模块。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行描述。
经本申请人研究发现,在需要判定某网络区域应对规模性的网络漏洞攻击时的网络安全应急能力时,往往是通过人为设计对漏洞攻击情景进行模拟,在模拟环境下进行网络安全应急能力的检测,无法真实体现网络安全应急能力,因为现实中真正的网络安全事件与人为设计模拟的时间通常具有差异,人为设计模拟通常是基于以前的网络攻击事件资料进行,真实环境中的网络安全事件采用的漏洞攻击方式往往是以前从未出现过的,是人为设计无法模拟的,且安全应急测试可以提前进行准备,无法真实地反映网络安全应急响应能力。因此,现有的网络安全应急能力判定的方式存在真实性和准确性较差的问题。
为了解决上述问题,本申请实施例提供了一种网络安全应急能力确定方法。请参考图1,图1为本申请实施例提供的一种网络安全应急能力确定方法的流程示意图。该网络安全应急能力确定方法的具体步骤可以如下:
步骤S11:确定网络区域是否受到范围性的网络漏洞攻击。
可选地,按地理位置分类,可以将计算机网络分为局域网、广域网和城域网,上述网络区域可以是以局域网、广域网或城域网为单位划分。局域网一般在几十米到几公里范围内,一个局域网可以容纳几台至几千台计算机;广域网是将分布在各地的局域网络连接起来的网络,是“网间网”;城域网是在一个城市范围内所建立的计算机通信网。
应当理解的是,除了上述计算机网络领域中的常规划分,本实施例中的网络区域还可以是根据网络设备连接关系或网络设备所属地理空间区域进行网络区域的划分。
请参考图2,图2为本申请实施例提供的一种网络漏洞攻击确定步骤的流程示意图,该网络漏洞攻击步骤具体可以如下:
步骤S11.1:周期性地向网络区域内的网络设备发送第二漏洞探测数据包。
应当理解的是,本实施例中的第一漏洞探测数据包、第二漏洞探测数据包、第三漏洞探测数据包等可以为同一类型的数据包。可选地,上述数据包可以是安全扫描中用于模拟黑客攻击方式的扫描数据包,例如,该扫描数据包可以是端口扫描方式中的TCP(Transmission Control Protocol传输控制协议)connect()扫描包、Reverse-ident扫描包、Traceroute扫描包等。
步骤S11.2:接收网络区域内的网络设备返回的用于响应第二漏洞探测数据包的第二漏洞探测响应信息。
应当理解的是,本实施例中的第一漏洞探测响应信息、第二漏洞探测响应信息、第三漏洞探测响应信息等可以为同一类型的响应信息。上述数据包为安全扫描中对扫描数据包的响应信息,具体地,以Traceroute扫描包的返回信息为例,在主机tracert端口在正常关闭状态时会向漏洞探测数据包的发送方返回icmp信息,以通过信息往返时间计算跳数、路径信息和时延情况,从而判断该网络设备是否存在相关漏洞。此外,该响应信息还可以是对端口扫描方式中的TCPconnect()扫描包、Reverse-ident扫描包、Traceroute扫描包等的响应信息。
步骤S11.3:在第二漏洞探测响应信息表征网络区域内存在漏洞的网络设备所占的比例达到第二预设比例时,确定网络区域受到范围性的网络漏洞攻击。
应当理解的是,第二预设比例可以根据该网络区域的具体情况设置为10%、20%或其他任意数值。
步骤S12:在确定网络区域受到范围性的网络漏洞攻击时,周期性地向网络区域内的网络设备发送第一漏洞探测数据包。
可选地,本实施例中周期性发送第一漏洞探测数据包的周期可以根据该网络区域及漏洞攻击的具体情况进行调整,可以是12小时、24小时或其他任意时长。
同时,考虑到网络漏洞攻击的类型有成百上千种,如果能确定漏洞攻击的类型,针对性地进行漏洞探测数据包发送,能够进一步提高网络安全应急能力的判定准确性。因此步骤S12具体可以包括:确定网络漏洞攻击的漏洞类型;周期性地向网络区域内的网络设备发送针对漏洞类型的第一漏洞探测数据包。
具体地,请参考图3,图3为本申请实施例提供的一种漏洞类型确定步骤的流程示意图,该漏洞类型确定步骤可以如下:
步骤S12.1:周期性地向网络区域内的网络设备发送针对各种类型的第三漏洞探测数据包。
常见的漏洞类型有SQL(Structured Query Language,结构化查询语言)注入漏洞、跨站脚本漏洞、弱口令漏洞、HTTP(Hypertext transfer protocol,超文本传输协议)报头追踪漏洞等。可选地,本实施例可以将与上述常见漏洞类型及其他类型的漏洞对应的漏洞探测数据包一并发送至网络区域中的所有网络设备,从而达到全面性、覆盖性的需求。
步骤S12.2:接收网络区域内的网络设备返回的用于响应第三漏洞探测数据包的第三漏洞探测响应信息。
应当理解的是,第三漏洞探测响应信息可以直接携带有表征漏洞类型的信息,也可以是接收该第三漏洞探测响应信息的设备通过第三漏洞探测响应信息的其他字段特征分析确定漏洞类型。
步骤S12.3:基于第三漏洞探测响应信息确定在预设时长内存在漏洞的网络设备所占的比例超过预设阈值的第一漏洞类型。
上述预设阈值可以根据不同漏洞类型的网络漏洞的传播速度进行具体调整。
步骤S12.4:将第一漏洞类型作为网络漏洞攻击的漏洞类型。
在确定漏洞类型后,可以通过针对网络漏洞攻击的漏洞类型发送漏洞探测数据包,提高了探测准确性。
步骤S13:接收网络区域内的网络设备返回的用于响应第一漏洞探测数据包的第一漏洞探测响应信息。
可选地,本实施例在接收第一漏洞探测响应信息、第二漏洞探测响应信息或第三漏洞探测响应信息时,可以是每隔一定时长通过消息队列等形式对其进行主动获取,或是不间断地持续接收响应信息。
步骤S14:基于第一漏洞探测响应信息确定网络区域内存在漏洞的网络设备的设备数量。
步骤S15:基于设备数量确定网络区域内存在漏洞的网络设备所占的比例降低至第一预设比例时所需的第一时长。
应当理解的是,本实施例中的第一预设比例可以根据该网络区域遭受漏洞攻击的具体情况进行调整,可以是1%、2%、5%或其他任意数值。
具体地,请参考图4,图4为本申请实施例提供的一种第一时长确定步骤的流程示意图,该第一时长确定步骤具体可以如下:
步骤S15.1:在每次接收第一漏洞探测响应信息时,记录当前的接收时间和存在漏洞的网络设备的设备数量。
步骤S15.2:基于每次接受第一漏洞探测响应信息时记录的接收时间和设备数量,建立存在漏洞的网络设备的数量变化趋势信息。
可选地,上述数量变化趋势信息可以是表格、图表等能够展示数量变化趋势的形式。
步骤S15.3:基于数量变化趋势信息网络区域内存在漏洞的网络设备所占的比例降低至第一预设比例时所需的第一时长。
可选地,除了在存在漏洞的网络设备所占比例降低至第一预设比例时确定第一时长,还可以是在存在漏洞的网络设备的数量恢复至范围性的网络漏洞攻击前的数量时确定第一时长。
步骤S16:基于第一时长确定网络区域的网络安全应急能力。
上述第一时长的值越小,代表该网络区域修复漏洞的速度越快,则该网络区域的网络安全应急能力越强。
可选地,本实施例可以将网络安全应急能力划分为两个等级,具体包括:在时长小于预设安全时长时,将网络区域的网络安全应急能力标记为第一等级;在时长大于或等于预设安全时长时,将网络区域的网络安全应急能力标记为第二等级,第一等级高于第二等级。
其中,预设安全时长可以根据该网络区域对网络安全应急能力的具体需求进行调整。
下面对本实施例的步骤执行进行举例说明,某主机周期性地向A地区、B地区和C地区的网络设备发送第二漏洞探测数据包,并接收网络设备返回的第二漏洞探测响应信息,根据第二漏洞探测响应信息确定A地区存在漏洞的网络设备在某天从前一天的1000左右上升至4000左右,B地区存在漏洞的网络设备从前一天的0左右上升至6000左右,C地区存在漏洞的网络设备从前一天的1000左右上升至3000左右,上升比例均超过第二预设比例20%,则确定A、B、C地区在当天发生了范围性的网络漏洞攻击事件,每个地区的网络设备总量均为10000。接下来周期性地向A、B、C地区的网络设备发送第一漏洞探测数据包,并接收A、B、C地区的网络设备返回的第一漏洞探测响应信息,记录每次接收到第一漏洞探测响应信息的接收时间和存在漏洞的网络设备的设备数量,建立存在漏洞的网络设备的数量变化趋势信息,以数量变化趋势信息为表格为例,请参考表1,表1示出了存在漏洞的网络设备的数量变化趋势。
表1
Figure BDA0002184665340000121
可见A地区存在漏洞的网络设备所占比例在受到漏洞攻击后从40%降低至第一预设比例20%以下的第一时长为一天,B地区存在漏洞的网络设备所占比例在受到漏洞攻击后的第三天仍未降低至20%以下,C地区存在漏洞的网络设备所占比例在受到漏洞攻击后从30%降低至第一预设比例20%以下的第一时长为三天,因此三地区的网络安全应急能力的强弱排序应当是A>C>B。进一步地,若预设安全时长为1天时,A地区的网络安全应急能力达标,为第一等级,B、C地区的网络安全应急能力不达标,为第二等级。
为了更好地实现上述网络安全应急能力确定方法,本申请实施例还提供了一种网络安全应急能力确定装置20。
请参考图5,图5为本申请实施例提供的一种网络安全应急能力确定装置的模块示意图。
网络安全应急能力确定装置20包括:
攻击确定模块21,用于确定网络区域是否受到范围性的网络漏洞攻击;
探测包发送模块22,用于在确定网络区域受到范围性的网络漏洞攻击时,周期性地向网络区域内的网络设备发送第一漏洞探测数据包;
响应信息接收模块23,用于接收网络区域内的网络设备返回的用于响应第一漏洞探测数据包的第一漏洞探测响应信息;
漏洞确定模块24,用于基于第一漏洞探测响应信息确定网络区域内存在漏洞的网络设备的设备数量;
时长确定模块25,用于基于设备数量确定网络区域内存在漏洞的网络设备所占的比例降低至第一预设比例时所需的第一时长;
应急能力确定模块26,用于基于第一时长确定网络区域的网络安全应急能力。
其中,攻击确定模块21还用于:周期性地向网络区域内的网络设备发送第二漏洞探测数据包;接收网络区域内的网络设备返回的用于响应第二漏洞探测数据包的第二漏洞探测响应信息;在第二漏洞探测响应信息表征网络区域内存在漏洞的网络设备所占的比例达到第二预设比例时,确定网络区域受到范围性的网络漏洞攻击。
探测包发送模块22具体用于:确定网络漏洞攻击的漏洞类型;周期性地向网络区域内的网络设备发送针对漏洞类型的第一漏洞探测数据包。
可选地,探测包发送模块22具体还用于:周期性地向网络区域内的网络设备发送针对各种类型的第三漏洞探测数据包;接收网络区域内的网络设备返回的用于响应第三漏洞探测数据包的第三漏洞探测响应信息;基于第三漏洞探测响应信息确定在预设时长内存在漏洞的网络设备所占的比例超过预设阈值的第一漏洞类型;将第一漏洞类型作为网络漏洞攻击的漏洞类型。
时长确定模块25具体用于:在每次接收第一漏洞探测响应信息时,记录当前的接收时间和存在漏洞的网络设备的设备数量;基于每次接受第一漏洞探测响应信息时记录的接收时间和设备数量,建立存在漏洞的网络设备的数量变化趋势信息;基于数量变化趋势信息网络区域内存在漏洞的网络设备所占的比例降低至第一预设比例时所需的第一时长。
时长确定模块25具体还用于:基于数量变化趋势信息确定网络区域内存在漏洞的网络设备所占的比例低至第一预设比例时,获取当前的第一时刻;自第一时刻起,在预设观察时间内存在漏洞的网络设备的数量波动是否小于预设波动阈值;在预设观察时间内数量波动一直小于预设波动阈值时,将从确定网络区域受到范围性的网络漏洞攻击时至第二时刻的时长作为第一时长。
应急能力确定模块26具体用于:在时长小于预设安全时长时,将网络区域的网络安全应急能力标记为第一等级;在时长大于或等于预设安全时长时,将网络区域的网络安全应急能力标记为第二等级,第一等级高于第二等级。
本申请实施例还提供了一种电子设备,该电子设备包括存储器和处理器,存储器中存储有程序指令,处理器读取并运行程序指令时,执行本实施例提供的网络安全应急能力确定方法中任一项方法中的步骤。
应当理解是,该电子设备可以是个人电脑(personal computer,PC)、平板电脑、智能手机、个人数字助理(personal digital assistant,PDA)等具有逻辑计算功能的电子设备。
本申请实施例还提供了一种可读取存储介质,可读取存储介质中存储有计算机程序指令,计算机程序指令被一处理器读取并运行时,执行网络安全应急能力确定方法中的步骤。
综上所述,本申请实施例提供了一种网络安全应急能力确定方法、装置及电子设备,所述方法包括:确定网络区域是否受到范围性的网络漏洞攻击;在确定网络区域受到范围性的网络漏洞攻击时,周期性地向网络区域内的网络设备发送第一漏洞探测数据包;接收网络区域内的网络设备返回的用于响应第一漏洞探测数据包的第一漏洞探测响应信息;基于第一漏洞探测响应信息确定网络区域内存在漏洞的网络设备的设备数量;基于设备数量确定网络区域内存在漏洞的网络设备所占的比例降低至第一预设比例时所需的第一时长;基于第一时长确定网络区域的网络安全应急能力。
通过上述实施方式,在网络区域受到网络漏洞攻击的真实情形下,通过漏洞探测方式确定该网络区域存在漏洞的网络设备随时间的变化,基于存在漏洞的网络设备的占比降低至预设比例的时长确定该网络区域的网络安全应急能力,从而在真实的漏洞攻击情况下实现了网络安全应急能力的检测,提高了网络安全应急能力判定的真实性和准确性。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的框图显示了根据本申请的多个实施例的设备的可能实现的体系架构、功能和操作。在这点上,框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图中的每个方框、以及框图的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。因此本实施例还提供了一种可读取存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行区块数据存储方法中任一项所述方法中的步骤。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims (7)

1.一种网络安全应急能力确定方法,其特征在于,所述方法包括:
确定网络区域是否受到范围性的网络漏洞攻击;
在确定所述网络区域受到范围性的网络漏洞攻击时,周期性地向所述网络区域内的网络设备发送第一漏洞探测数据包;
接收所述网络区域内的网络设备返回的用于响应所述第一漏洞探测数据包的第一漏洞探测响应信息;
基于所述第一漏洞探测响应信息确定所述网络区域内存在漏洞的网络设备的设备数量;
基于所述设备数量确定所述网络区域内存在漏洞的网络设备所占的比例降低至第一预设比例时所需的第一时长;
基于所述第一时长确定所述网络区域的网络安全应急能力;
所述周期性地向所述网络区域内的网络设备发送第一漏洞探测数据包,包括:
确定所述网络漏洞攻击的漏洞类型;
周期性地向所述网络区域内的网络设备发送针对所述漏洞类型的第一漏洞探测数据包;
所述确定所述网络漏洞攻击的漏洞类型,包括:
周期性地向所述网络区域内的网络设备发送针对各种类型的第三漏洞探测数据包;
接收所述网络区域内的网络设备返回的用于响应所述第三漏洞探测数据包的第三漏洞探测响应信息;
基于所述第三漏洞探测响应信息确定在预设时长内存在漏洞的网络设备所占的比例超过预设阈值的第一漏洞类型;
将所述第一漏洞类型作为所述网络漏洞攻击的漏洞类型。
2.根据权利要求1所述的方法,其特征在于,所述确定网络区域是否受到范围性的网络漏洞攻击,包括:
周期性地向所述网络区域内的网络设备发送第二漏洞探测数据包;
接收所述网络区域内的网络设备返回的用于响应所述第二漏洞探测数据包的第二漏洞探测响应信息;
在所述第二漏洞探测响应信息表征所述网络区域内存在漏洞的网络设备所占的比例达到第二预设比例时,确定所述网络区域受到范围性的网络漏洞攻击。
3.根据权利要求1所述的方法,其特征在于,所述基于所述设备数量确定所述网络区域内存在漏洞的网络设备所占的比例降低至第一预设比例时所需的第一时长,包括:
在每次接收所述第一漏洞探测响应信息时,记录当前的接收时间和存在漏洞的网络设备的设备数量;
基于每次接收所述第一漏洞探测响应信息时记录的接收时间和设备数量,建立存在漏洞的网络设备的数量变化趋势信息;
基于所述数量变化趋势信息确定所述网络区域内存在漏洞的网络设备所占的比例降低至所述第一预设比例时所需的第一时长。
4.根据权利要求1所述的方法,其特征在于,所述基于所述时长确定所述网络区域的网络安全应急能力,包括:
在所述时长小于预设安全时长时,将所述网络区域的网络安全应急能力标记为第一等级;
在所述时长大于或等于所述预设安全时长时,将所述网络区域的网络安全应急能力标记为第二等级,所述第一等级高于所述第二等级。
5.一种网络安全应急能力确定装置,其特征在于,所述装置包括:
攻击确定模块,用于确定网络区域是否受到范围性的网络漏洞攻击;
探测包发送模块,用于在确定所述网络区域受到范围性的网络漏洞攻击时,周期性地向所述网络区域内的网络设备发送第一漏洞探测数据包;所述周期性地向所述网络区域内的网络设备发送第一漏洞探测数据包,包括:确定所述网络漏洞攻击的漏洞类型;周期性地向所述网络区域内的网络设备发送针对所述漏洞类型的第一漏洞探测数据包;所述确定所述网络漏洞攻击的漏洞类型,包括:周期性地向所述网络区域内的网络设备发送针对各种类型的第三漏洞探测数据包;接收所述网络区域内的网络设备返回的用于响应所述第三漏洞探测数据包的第三漏洞探测响应信息;基于所述第三漏洞探测响应信息确定在预设时长内存在漏洞的网络设备所占的比例超过预设阈值的第一漏洞类型;将所述第一漏洞类型作为所述网络漏洞攻击的漏洞类型;
响应信息接收模块,用于接收所述网络区域内的网络设备返回的用于响应所述第一漏洞探测数据包的第一漏洞探测响应信息;
漏洞确定模块,用于基于所述第一漏洞探测响应信息确定所述网络区域内存在漏洞的网络设备的设备数量;
时长确定模块,用于基于所述设备数量确定所述网络区域内存在漏洞的网络设备所占的比例降低至第一预设比例时所需的第一时长;
应急能力确定模块,用于基于所述第一时长确定所述网络区域的网络安全应急能力。
6.一种电子设备,其特征在于,所述电子设备包括存储器和处理器,所述存储器中存储有程序指令,所述处理器读取并运行所述程序指令时,执行权利要求1-4任一项所述方法中的步骤。
7.一种可读取存储介质,其特征在于,所述可读取存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器运行时,执行权利要求1-4任一项所述方法中的步骤。
CN201910811728.5A 2019-08-29 2019-08-29 网络安全应急能力确定方法、装置及电子设备 Active CN110535859B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910811728.5A CN110535859B (zh) 2019-08-29 2019-08-29 网络安全应急能力确定方法、装置及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910811728.5A CN110535859B (zh) 2019-08-29 2019-08-29 网络安全应急能力确定方法、装置及电子设备

Publications (2)

Publication Number Publication Date
CN110535859A CN110535859A (zh) 2019-12-03
CN110535859B true CN110535859B (zh) 2021-12-14

Family

ID=68665318

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910811728.5A Active CN110535859B (zh) 2019-08-29 2019-08-29 网络安全应急能力确定方法、装置及电子设备

Country Status (1)

Country Link
CN (1) CN110535859B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113806751A (zh) * 2021-09-24 2021-12-17 深信服科技股份有限公司 一种确定漏洞和情报信息活跃度的方法,装置及介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107483410A (zh) * 2017-07-21 2017-12-15 中国联合网络通信集团有限公司 网络安全管理方法及装置
CN107645510A (zh) * 2017-10-19 2018-01-30 北京知道创宇信息技术有限公司 一种地区安全防范能力的计算方法及计算设备
CN108632081A (zh) * 2018-03-26 2018-10-09 中国科学院计算机网络信息中心 网络态势评估方法、装置及存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120203590A1 (en) * 2011-02-04 2012-08-09 Bank Of America Corporation Technology Risk Assessment, Forecasting, and Prioritization

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107483410A (zh) * 2017-07-21 2017-12-15 中国联合网络通信集团有限公司 网络安全管理方法及装置
CN107645510A (zh) * 2017-10-19 2018-01-30 北京知道创宇信息技术有限公司 一种地区安全防范能力的计算方法及计算设备
CN108632081A (zh) * 2018-03-26 2018-10-09 中国科学院计算机网络信息中心 网络态势评估方法、装置及存储介质

Also Published As

Publication number Publication date
CN110535859A (zh) 2019-12-03

Similar Documents

Publication Publication Date Title
CN109829310B (zh) 相似攻击的防御方法及装置、系统、存储介质、电子装置
US11546371B2 (en) System and method for determining actions to counter a cyber attack on computing devices based on attack vectors
Sendi et al. Real time intrusion prediction based on optimized alerts with hidden Markov model
CN110719291A (zh) 一种基于威胁情报的网络威胁识别方法及识别系统
US8799189B2 (en) Multiple hypothesis tracking
US8515881B2 (en) Multiple hypothesis tracking
CN110602032A (zh) 攻击识别方法及设备
CN110719299A (zh) 防御网络攻击的蜜罐构建方法、装置、设备及介质
CN113329029A (zh) 一种针对apt攻击的态势感知节点防御方法及系统
CN114189361B (zh) 防御威胁的态势感知方法、装置及系统
CN110535859B (zh) 网络安全应急能力确定方法、装置及电子设备
CN109474623B (zh) 网络安全防护及其参数确定方法、装置及设备、介质
CN112398857A (zh) 防火墙测试方法、装置、计算机设备和存储介质
CN115664764A (zh) 一种流量阻断系统及方法
CN115955333A (zh) C2服务器识别方法、装置、电子设备及可读存储介质
EP4262144A1 (en) Network threat processing method and communication apparatus
falah ALjawahery et al. Efficient energy management in smart homes using IoT-based low-power wide-area network (LoRaWAN) protocol
RU2635256C1 (ru) Способ защиты информационно-вычислительной сети от несанкционированных воздействий
CN114301716B (zh) 一种网络安全评估方法、装置、网络安全设备及存储介质
CN117579388B (zh) 智能网联工控系统风险评估方法、系统、设备及介质
US11811823B2 (en) Complete data exfiltration profile and model (CODAEX)
Cohen Managing network security: Simulating network security
Hajdarevic Cyber Security Audit in Business Environments
Kim et al. A method for risk measurement of botnet's malicious activities
Swihart Expected Coverage (ExCov): A Proposal to Compare Fuzz Test Coverage within an Infinite Input Space

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant