CN110557389A - 一种新型的脆弱性安全评估系统 - Google Patents
一种新型的脆弱性安全评估系统 Download PDFInfo
- Publication number
- CN110557389A CN110557389A CN201910831310.0A CN201910831310A CN110557389A CN 110557389 A CN110557389 A CN 110557389A CN 201910831310 A CN201910831310 A CN 201910831310A CN 110557389 A CN110557389 A CN 110557389A
- Authority
- CN
- China
- Prior art keywords
- subsystem
- scanning
- vulnerability
- assessment system
- novel
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
本发明公开了一种新型的脆弱性安全评估系统,包括以下指标:黑客入侵脚印探测;黑客入侵配置改变;黑客留的暗门或者雷;黑客入侵的可能性探测;结合以上指标,然后,以定时任务的模式进行扫描,对前后两次扫描结果进行基线对比,完成资产的监控;本发明的有益效果是:给出了当前资产的总体安全情况;动态地让客户对当前资产有更直观的认识;减少扫描的误报率;通过设置的报警模块,可用于对异常数据进行报警,从而方便及时进行处理。
Description
技术领域
本发明属于网络安全技术领域,具体涉及一种新型的脆弱性安全评估系统。
背景技术
脆弱性扫描在计算机网络及物联网安全整体防御体系中处于事前的位置,有着相当重要的地位。脆弱性扫描系统已有约20年的历史,从产品的功能来看,这些年也是从单一的系统漏扫发展到集系统漏扫、WEB漏扫、基线核查为一体的脆弱性评估系统。
系统漏扫的主要原理是通过主动发包以获得相应系统资产的指纹信息,进而可以根据此信息(比如版本号、补丁号)判断该资产是否有漏洞。当然,还有其它的一些方法做为补充。
WEB漏扫的主要原理是通过爬虫爬出网站的链接,继而对每一个链接进行分析,根据分析结果发送修改的HTTPREQUEST包进行攻击尝试,然后对RESPONSE包进行分析以判断该链接是否含有相应的WEB漏洞。
基线核查的原理是对待核查的系统或者网络的各类资产的配置文件(或者某些不以文件体现的配置项)与基线知识库进行匹配以识别配置缺陷。
目前这些产品存在以下一些问题,一是不能直观地结合系统漏扫、WEB漏扫、基线核查反应当前网络资产的脆弱性情况;二是不能动态地让客户对当前系统或者网络有个直观的认识;三是因为误报会让结果大打折扣。
发明内容
本发明的目的在于提供一种新型的脆弱性安全评估系统,以解决上述背景技术中提出的不能直观地结合系统漏扫、WEB漏扫、基线核查反应当前网络资产的脆弱性情况;不能动态地让客户对当前系统或者网络有个直观的认识;因为误报会让结果大打折扣的问题。
为实现上述目的,本发明提供如下技术方案:一种新型的脆弱性安全评估系统,包括以下指标:
黑客入侵脚印探测;
黑客入侵配置改变;
黑客留的暗门或者雷;
黑客入侵的可能性探测;
结合以上指标,然后,以定时任务的模式进行扫描,对前后两次扫描结果进行基线对比,完成资产的监控。
作为本发明的一种优选的技术方案,总体结构包括检查中心,分析中心。
作为本发明的一种优选的技术方案,所述检查中心包括漏洞扫描子系统、后门扫描子系统、配置核查子系统、日志审查子系统。
作为本发明的一种优选的技术方案,所述分析中心由监控子系统、分析子系统与展示子系统构成。
作为本发明的一种优选的技术方案,还包括分析模块用于对信息事进行分析形成脆弱性、威胁性指标,形成当下的总体安全状况。
作为本发明的一种优选的技术方案,还包括展现模块,该展现模块用于对总体安全状况以图表进行展示。
作为本发明的一种优选的技术方案,还包括控制器,该控制器把漏洞情况上报给分析中心。
作为本发明的一种优选的技术方案,还包括报警模块,该报警模块用于对异常数据进行报警。
与现有技术相比,本发明的有益效果是:
(1)给出了当前资产的总体安全情况;
(2)动态地让客户对当前资产有更直观的认识;
(3)减少扫描的误报率;
(4)通过设置的报警模块,可用于对异常数据进行报警,从而方便及时进行处理。
附图说明
图1为本发明的总体的结构示意图;
图2为本发明的漏洞扫描子系统结构示意图;
图3为本发明的后门扫描子系统结构示意图;
图4为本发明的配置核查子系统结构示意图;
图5为本发明的日志审计子系统结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1、图2、图3、图4和图5,本发明提供一种技术方案:一种新型的脆弱性安全评估系统,包括以下指标:
黑客入侵脚印探测;
黑客入侵配置改变;
黑客留的暗门或者雷;
黑客入侵的可能性探测;
结合以上指标,然后,以定时任务的模式进行扫描,对前后两次扫描结果进行基线对比,完成资产的监控。
总体结构包括检查中心,分析中心。
检查中心包括漏洞扫描子系统、后门扫描子系统、配置核查子系统、日志审查子系统。其中,
漏洞扫描子系统
在传统的模式下,主要以主动发包的模式得到资产的信息,然后以插件的模式与漏洞库的条目相匹配以扫描是否有相应的漏洞;在封闭或者保护的模式下,通过AGENT收集资产的信息,然后与漏洞库的条目相匹配以扫描是否有相应的漏洞。
后门扫描子系统
后门木马是层出不穷的,所以以基于黑名单的方法一方面滞后,另一方面工作量大,所以我们以白名单的方法;白名单的方法就会有一定的误报,所以如果以基线的方法比对前后两次的结果和其它一些因素会降低误报;以未知的服务经人工审核后构成基线;下一次扫描出现新的未知服务,可视为后门;经过人工审核后,对此服务进行定性,并考虑是否纳入基线;最主要的是后门扫描子系统其实与漏洞扫描子系统的服务探测是一样的,因此可以在漏洞扫描子系统中集成进后门扫描子系统;
需要说明的是:这是一种新型的未知木马检测方法,其创新性体现在三个方面,一方面是白名单的建立,一方面是检测机制,一方面是可疑木马的审核机制;
白名单的建立不同于业内普遍的用已知的文件MD5值,或者360的专利CN105516151A所用的历史被删除记录,我们用的是已知网络服务的指纹特征做为白名单,这样的方法不是以对付全部木马为基本使命的,但实际上又是一种切实有效的方法,具体如下:先用子系统扫描一下服务;以未知的服务经人工审核后构成基线;下一次扫描出现新的未知服务,可视为后门;经过人工审核后,对此服务进行定性,并考虑是否纳入基线;我们的检测机制用的是一种远程扫描的方法,不同于一般的防毒公司所用的本地检测的方法;通过网络发送特征包,通过网络接收包,分析包,为远程扫描方法;
对于可疑木马的审核机制我们以监控的模式进行二次对比(或者说基线的方法);同时也因为各种模块的配合,可以调整该次发现的可疑率。
配置核查子系统
配置核查子系统在此架构中有两层作用,第一层作用就是指出资产当前配置的脆弱性;第二层作用就是指出与前一次对比资产配置是否发生了变化,通过分析黑客修改的可能性来进行定性与定量。
日志审查子系统
对于不高明的黑客,通常在入侵之后会留下一些痕迹,这些痕迹可以通过一些配置文件或者命令可以得到;
远程可以通过授权访问的方法,本地以AGENT的方法取得;
然后分析这些日志,把结果抽象成如下一个四元组表;
然后就可以根据这个四元组表对结果进行定性与定量;操作类型与用户是关键;用户做了不允许的操作类型有违规可能(以状态做为考量指标);用户做了异常的操作是为违规(与异常规则库进行匹配);每类操作类型都有一定权值,因为有很多操作有可能就是正常操作,当把所有的这些权值按算法比如简单的加权平均就可对日志进行定量,亦可定性。
这个子系统与配置核查系统的采集部分是相同的,分析部分略微有所区别,并且要复杂,因此实际上是在配置核查里松耦合地集成了日志审查子系统;区别如下:两者抽象过程不同,配置核查可以不抽象,但是日志审查需要抽象成四元组;在单次检查过程中,配置核查往往没有时间的先后考虑,但日志审查中,时间是四元组的一个维度;最主要的是后门扫描子系统其实与漏洞扫描子系统的服务探测是一样的,因此可以在漏洞扫描子系统中集成进后门扫描子系统;
子系统相互关系
检查中心主要作用就是进行信息采集,把采集到的信息发送到分析中心,分析中心主要功能是向各子系统下发任务并把这些上报信息事件分类成脆弱性与威胁性两类,然后把这两类事件按一定的算法进行关联分析,以确定网络的总体安全情况;
以漏洞扫描子系统与配置核查子系统采集到的事件形成脆弱性指标,以后门扫描子系统与日志审查子系统采集到的事件形成威胁性指标;
从子系统结构来看,漏洞扫描子系统与后门扫描子系统可以组合成一个系统;配置核查子系统与日志审查子系统可以组合成一个系统。
监控
监控模块属于分析中心的一个模块,它的功能就是每隔一段时间向各子系统下发任务;
各采集子模块把信息上报给分析中心的分析模块;
分析模块对上报信息事件进行分析定性定量;
就样就能使用户对当前的网络的总体安全情况,以及安全的变化情况有一个直观的了解;
同时,前后一段时间两次结果的对比也是进行安全分析的一个维度。
子系统交互协助说明
起先部署系统时,日志审查、配置核查、后门检查、漏洞扫描系统得到一个总体报告和分类报告,这构成基线,在经过用户审核后,用户的配置成为配置核查的一个自定义策略,当再次进行检查时,同类的配置项,用户自定义策略优先发生作用。如果有未知的服务,经用户审核后,也构成木马的一个自定义策略。
(监控模块)进行第二次检查时漏洞扫描、配置核查新增软件或者设备的配置核查构成脆弱性指标;后门检查、配置核查已有配置项的配置核查、日志审查构成威胁性指标。
脆弱性指标与威胁性指标由分析中心按“基于黑客攻击序列模式的关联方法和模糊评估方法”“进行关联分析与评估”得到总体安全状况。
关联算法
算法用“基于黑客攻击序列模式的关联方法和模糊评估方法”;
黑客攻击事件以G->C->R来表示一个经典的黑客攻击事件,其中G表示信息探测类,C表示控制与利益兑现,R表示清除脚印等保护自身的操作,其中漏扫与配置核查的结果对应G,后门与配置核查的结果对应C,日志审计对应R,当然在实际执行过程中,日志审计的某些事件也对应C;
以上攻击事件序列实际上还体现了因果关联法的特征,这几个环节实际上构成了三个重要维度,具有前后关系,因此采用有向图的方式来表达,因此算法的执行过程实际上是围绕这个有向图来进行模式匹配;
对于有向图前向节点缺失的事件,引入折扣因子,以表示有误报的可能。
基于黑客攻击序列模式的关联方法(资产)
T=θ*F(W·R)
为算子,根据经典算法的结论,算子在综合评估中体现权数作用相当明显,具有很大优势,因此采用此算子。
F([X1,X2,…Xm])为归一化函数,其算法如下:
X=MIN(L1,X1)+MIN(L2,X2)+…+MIN(Lm,Xm)
F([X1,X2,…Xm])=F(X)
(在实际实现过程中也可以采用相应的对数)
“基于黑客攻击序列模式的关联方法和模糊评估方法”(网络总体)
指导思想
网络中各资产有相应的资产安全综合评估值,为了体现资产风险值高的总体网络安全综合评估值高,资产风险值低的总体网络安全综合评估值低的这个宗旨,因此还是用模糊理论来建模。
首先确定资产风险值论域的集合R={R1,R2,…Rn},每个元素Ri为一个模糊子集,为每一个标度确定一个边界范围
首先确定资产风险值论域的集合,每个元素为一个模糊子集,为每一个标度确定一个边界范围。
具体而言,R={重要威胁,较重要威胁,中等威胁,威胁程度中等偏下,威胁程度很低}
可以设定,并分别用数字{1,0.75,0.5,0.25,0}来表示。
如此就定义好了每一个资产安全综合值在网络评估中的类别,然后通过网络总体风险评估的算法,就能得出当前网络总体风险评估值。
评估算法
NOS=F(WR)
还是取算子。
R1=f([R11,R12,…,R1n])
R2=f([R21,R22,…,R2n])
R3=f([R31,R32,…,R3n])
R4=f([R41,R42,…,R4n])
R5=f([R51,R52,…,R5n])
F([X1,X2,…Xm])为归一化函数,其算法如下:
NOS=F(X)
由此,可得出网络的总体安全评估值。
本实施例中,优选的,分析中心由监控子系统、分析子系统与展示子系统构成。
本实施例中,优选的,还包括分析模块用于对信息事进行分析形成脆弱性、威胁性指标,形成当下的总体安全状况。
本实施例中,优选的,还包括展现模块,该展现模块用于对总体安全状况以图表进行展示。
本实施例中,优选的,还包括控制器,该控制器把漏洞情况上报给分析中心。
本实施例中,优选的,还包括报警模块,该报警模块用于对异常数据进行报警。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (8)
1.一种新型的脆弱性安全评估系统,其特征在于,包括以下指标:
黑客入侵脚印探测;
黑客入侵配置改变;
黑客留的暗门或者雷;
黑客入侵的可能性探测;
结合以上指标,然后,以定时任务的模式进行扫描,对前后两次扫描结果进行基线对比,完成资产的监控。
2.根据权利要求1所述的一种新型的脆弱性安全评估系统,其特征在于:总体结构包括检查中心,分析中心。
3.根据权利要求2所述的一种新型的脆弱性安全评估系统,其特征在于:所述检查中心包括漏洞扫描子系统、后门扫描子系统、配置核查子系统、日志审查子系统。
4.根据权利要求2所述的一种新型的脆弱性安全评估系统,其特征在于:所述分析中心由监控子系统、分析子系统与展示子系统构成。
5.根据权利要求1所述的一种新型的脆弱性安全评估系统,其特征在于:还包括分析模块用于对信息事进行分析形成脆弱性、威胁性指标,形成当下的总体安全状况。
6.根据权利要求5所述的一种新型的脆弱性安全评估系统,其特征在于:还包括展现模块,该展现模块用于对总体安全状况以图表进行展示。
7.根据权利要求1所述的一种新型的脆弱性安全评估系统,其特征在于:还包括控制器,该控制器把漏洞情况上报给分析中心。
8.根据权利要求1所述的一种新型的脆弱性安全评估系统,其特征在于:还包括报警模块,该报警模块用于对异常数据进行报警。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910831310.0A CN110557389A (zh) | 2019-09-04 | 2019-09-04 | 一种新型的脆弱性安全评估系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910831310.0A CN110557389A (zh) | 2019-09-04 | 2019-09-04 | 一种新型的脆弱性安全评估系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110557389A true CN110557389A (zh) | 2019-12-10 |
Family
ID=68738967
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910831310.0A Pending CN110557389A (zh) | 2019-09-04 | 2019-09-04 | 一种新型的脆弱性安全评估系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110557389A (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103927491A (zh) * | 2014-04-30 | 2014-07-16 | 南方电网科学研究院有限责任公司 | 基于scap的安全基线评估方法 |
CN106295332A (zh) * | 2016-08-30 | 2017-01-04 | 湖北工业大学 | 基于区间数和理想解的信息安全风险评估方法 |
CN108737425A (zh) * | 2018-05-24 | 2018-11-02 | 北京凌云信安科技有限公司 | 基于多引擎漏洞扫描关联分析的脆弱性管理系统 |
CN108881110A (zh) * | 2017-05-10 | 2018-11-23 | 全球能源互联网研究院 | 一种安全态势评估与防御策略联合决策方法及系统 |
WO2019084693A1 (en) * | 2017-11-06 | 2019-05-09 | Cyber Defence Qcd Corporation | Methods and systems for monitoring cyber-events |
CN109743187A (zh) * | 2018-11-23 | 2019-05-10 | 北京奇安信科技有限公司 | 工控网络异常检测方法及装置 |
-
2019
- 2019-09-04 CN CN201910831310.0A patent/CN110557389A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103927491A (zh) * | 2014-04-30 | 2014-07-16 | 南方电网科学研究院有限责任公司 | 基于scap的安全基线评估方法 |
CN106295332A (zh) * | 2016-08-30 | 2017-01-04 | 湖北工业大学 | 基于区间数和理想解的信息安全风险评估方法 |
CN108881110A (zh) * | 2017-05-10 | 2018-11-23 | 全球能源互联网研究院 | 一种安全态势评估与防御策略联合决策方法及系统 |
WO2019084693A1 (en) * | 2017-11-06 | 2019-05-09 | Cyber Defence Qcd Corporation | Methods and systems for monitoring cyber-events |
CN108737425A (zh) * | 2018-05-24 | 2018-11-02 | 北京凌云信安科技有限公司 | 基于多引擎漏洞扫描关联分析的脆弱性管理系统 |
CN109743187A (zh) * | 2018-11-23 | 2019-05-10 | 北京奇安信科技有限公司 | 工控网络异常检测方法及装置 |
Non-Patent Citations (1)
Title |
---|
苗科: "《基于指标提取的网络安全态势感知技术研究》", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Ransbotham et al. | Choice and chance: A conceptual model of paths to information security compromise | |
Barbará et al. | ADAM: a testbed for exploring the use of data mining in intrusion detection | |
CN114584405B (zh) | 一种电力终端安全防护方法及系统 | |
Abdallah et al. | Intrusion detection systems using supervised machine learning techniques: a survey | |
Yu | A survey of anomaly intrusion detection techniques | |
Nadiammai et al. | A comprehensive analysis and study in intrusion detection system using data mining techniques | |
Baci et al. | Machine learning approach for intrusion detection systems as a cyber security strategy for Small and Medium Enterprises | |
Asaju et al. | Intrusion detection system on a computer network using an ensemble of randomizable filtered classifier, K-nearest neighbor algorithm | |
Hoang et al. | A survey of tools and techniques for web attack detection | |
Fessi et al. | A decisional framework system for computer network intrusion detection | |
Rastogi et al. | Network anomalies detection using statistical technique: A chi-square approach | |
El-Taj et al. | Intrusion detection and prevention response based on signature-based and anomaly-based: Investigation study | |
Leghris et al. | Improved security intrusion detection using intelligent techniques | |
CN110557389A (zh) | 一种新型的脆弱性安全评估系统 | |
Hakkoymaz | Classifying Database Users for Intrusion Prediction and Detection in Data Security | |
Di | Design of the Network Security Intrusion Detection System Based on the Cloud Computing | |
Aslan | Using machine learning techniques to detect attacks in computer networks | |
Yeshwanth et al. | Adoption and Assessment of Machine Learning Algorithms in Security Operations Centre for Critical Infrastructure | |
KISHORE | Evaluating Shallow and Deep Neural Networks for Intrusion Detection Systems Cyber Security | |
Prajapati et al. | Network intrusion detection using machine learning | |
Kishore et al. | Intrusion Detection System a Need | |
Dutt et al. | Survey of bio-inspired techniques based on system resource usage in intrusion detection | |
Rajwar et al. | Comparative Evaluation of Machine Learning Methods for Network Intrusion Detection System | |
Prabu et al. | An Automated Intrusion Detection and Prevention Model for Enhanced Network Security and Threat Assessment | |
Torkaman et al. | A threat-aware Host Intrusion Detection System architecture model |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191210 |
|
RJ01 | Rejection of invention patent application after publication |