CN110620696A - 针对企业网络安全态势感知的评分方法和装置 - Google Patents

针对企业网络安全态势感知的评分方法和装置 Download PDF

Info

Publication number
CN110620696A
CN110620696A CN201910938973.2A CN201910938973A CN110620696A CN 110620696 A CN110620696 A CN 110620696A CN 201910938973 A CN201910938973 A CN 201910938973A CN 110620696 A CN110620696 A CN 110620696A
Authority
CN
China
Prior art keywords
index
information value
bad
calculating
total number
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910938973.2A
Other languages
English (en)
Inventor
李起瑞
范渊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DBAPPSecurity Co Ltd
Hangzhou Dbappsecurity Technology Co Ltd
Original Assignee
Hangzhou Dbappsecurity Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Dbappsecurity Technology Co Ltd filed Critical Hangzhou Dbappsecurity Technology Co Ltd
Priority to CN201910938973.2A priority Critical patent/CN110620696A/zh
Publication of CN110620696A publication Critical patent/CN110620696A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/147Network analysis or design for predicting network behaviour
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information

Abstract

本发明提供了针对企业网络安全态势感知的评分方法和装置,包括:获取安全元数据,安全元数据包括多个安全元子数据,每个安全元子数据包括多个指标;计算每个指标对应的信息价值;根据每个指标对应的信息价值,选取满足预测条件的多个指标;将满足预测条件的多个指标通过逻辑回归模型,得到每个指标对应的权重系数;根据满足预测条件的每个指标和每个指标对应的权重系数,计算当前综合评分;其中,预测条件是每个指标对应的信息价值大于或等于预设信息价值,多个安全元子数据包括流量数据、资产数据、告警数据、漏洞数据和事件数据,可以通过逻辑回归模型计算每个指标对应的权重系数,准确度高,通过当前综合评分直观地了解当日的网络安全情况。

Description

针对企业网络安全态势感知的评分方法和装置
技术领域
本发明涉及网络安全技术领域,尤其是涉及针对企业网络安全态势感知的评分方法和装置。
背景技术
随着计算机网络技术的飞速发展,以及大规模、分布式高速网络被大量的应用,互联网已经渗透到人们的学习、工作和生活中的方方面面,成为人们之间信息交流和资源共享的重要手段。在互联网规模迅速发展的同时,与其相关的网络安全事件却频频发生,网络安全问题日益突出。当前互联网面临的安全形势主要表现在以下几个方面:网站被植入后门,隐蔽性攻击事件呈不断增长的态势,网站的用户信息成为黑客窃取的重点;网络钓鱼日趋猖狂,严重影响在线金融服务和电子商务的发展;拒绝服务攻击仍然是影响网络安全运行的最主要的威胁之一;持续增加的各种安全漏洞给信息系统安全带来严重威胁。因此,应采取相应的措施保证网络系统的安全运行。
针对互联网面临的安全形势,建立企业网络安全态势感知系统,通过全面采集网络中的威胁、风险和隐患等各类安全数据,并运用大数据分析和数据挖掘技术,实现对多源异构数据的集中化存储和数据分析挖掘,结合大数据的多种关联分析能力和多种评估模型对事件场景进行分析检测,为业务安全提供不同维度的态势分析。
目前的评估模型主要包括基于LAHP-IGFNN的网络安全态势评估模型、基于遗传算法改进的BP神经网络安全态势评估模型和基于信息融合的网络安全态势评估模型。上述评估模型主要采用加权平均法,但是,加权平均法对权重的选择没有统一的标准,往往根据经验设定,从而降低网络安全态势感知评估的准确度,并且相比较展示分数的形式,采用图形或曲线的复杂形式使企业管理人员无法直观的了解当日的网络安全情况。
发明内容
有鉴于此,本发明的目的在于提供针对企业网络安全态势感知的评分方法和装置,可以通过逻辑回归模型计算每个指标对应的权重系数,准确度高,通过当前综合评分直观地了解当日的网络安全情况。
第一方面,本发明实施例提供了针对企业网络安全态势感知的评分方法,所述方法包括:
获取安全元数据,所述安全元数据包括多个安全元子数据,每个所述安全元子数据包括多个指标;
计算所述每个指标对应的信息价值;
根据所述每个指标对应的信息价值,选取满足预测条件的多个指标;
将所述满足预测条件的多个指标通过逻辑回归模型,得到所述每个指标对应的权重系数;
根据所述满足预测条件的每个指标和所述每个指标对应的权重系数,计算当前综合评分;
其中,所述预测条件是所述每个指标对应的信息价值大于或等于预设信息价值,所述多个安全元子数据包括流量数据、资产数据、告警数据、漏洞数据和事件数据。
进一步的,所述计算所述每个指标对应的信息价值包括,重复执行以下处理,直至每个指标均被遍历:
获取当前指标对应的多个观测值;
将所述多个观测值采用无监督分箱方法中的等频分箱法,并按照从小到大的顺序进行排列,得到排列后的观测值;
根据所述多个观测值的个数,将所述排列后的观测值进行等分得到多个分箱组;
根据每个所述分箱组统计糟糕情况的数量、糟糕情况的总数、正常情况的数量和正常情况的总数;
根据所述糟糕情况的数量、所述糟糕情况的总数、所述正常情况的数量和所述正常情况的总数,计算所述当前指标对应的信息价值。
进一步的,所述根据所述糟糕情况的数量、所述糟糕情况的总数、所述正常情况的数量和所述正常情况的总数,计算所述当前指标对应的信息价值,包括:
根据下式计算所述当前指标对应的信息价值,包括:
其中,IV为所述当前指标对应的信息价值,BT为所述糟糕情况的总数,GT为所述正常情况的总数,Bi为所述糟糕情况的数量,Gi为所述正常情况的数量,i∈[1,k],k为所述分箱组的个数,WOEi为证据权重,是对分箱后的每组中的指标取某个值的时候对目标评分的一种影响,bad占比为所述糟糕情况的数量占所述糟糕情况的总数的比例,good占比为所述正常情况的数量占所述正常情况的总数的比例。
进一步的,所述根据所述满足预测条件的每个指标和所述每个指标对应的权重系数,计算当前综合评分,包括:
根据下式计算所述当前综合评分:
其中,Score为所述当前综合评分,A和B均为常数,w0为初始权重系数,wi为所述每个指标对应的权重系数,xi为所述满足预测条件的每个指标,A+Bw0为基础得分,z为所述指标的个数。
第二方面,本发明实施例提供了针对企业网络安全态势感知的评分装置,所述装置包括:
获取单元,用于获取安全元数据,所述安全元数据包括多个安全元子数据,每个所述安全元子数据包括多个指标;
处理单元,用于计算所述每个指标对应的信息价值;
选取单元,用于根据所述每个指标对应的信息价值,选取满足预测条件的多个指标;
权重系数计算单元,用于将所述满足预测条件的多个指标通过逻辑回归模型,得到所述每个指标对应的权重系数;
综合评分计算单元,用于根据所述满足预测条件的每个指标和所述每个指标对应的权重系数,计算当前综合评分;
其中,所述预测条件是所述每个指标对应的信息价值大于或等于预设信息价值,所述多个安全元子数据包括流量数据、资产数据、告警数据、漏洞数据和事件数据。
进一步的,所述处理单元具体用于重复执行以下处理,直至每个指示均被遍历:
获取当前指标对应的多个观测值;
将所述多个观测值采用无监督分箱方法中的等频分箱法,并按照从小到大的顺序进行排列,得到排列后的观测值;
根据所述多个观测值的个数,将所述排列后的观测值进行等分得到多个分箱组;
根据每个所述分箱组统计糟糕情况的数量、糟糕情况的总数、正常情况的数量和正常情况的总数;
根据所述糟糕情况的数量、所述糟糕情况的总数、所述正常情况的数量和所述正常情况的总数,计算所述当前指标对应的信息价值。
进一步的,所述处理单元具体用于:
根据下式计算所述当前指标对应的信息价值,包括:
其中,IV为所述当前指标对应的信息价值,BT为所述糟糕情况的总数,GT为所述正常情况的总数,Bi为所述糟糕情况的数量,Gi为所述正常情况的数量,i∈[1,k],k为所述分箱组的个数,WOEi为证据权重,是对分箱后的每组中的指标取某个值的时候对目标评分的一种影响,bad占比为所述糟糕情况的数量占所述糟糕情况的总数的比例,good占比为所述正常情况的数量占所述正常情况的总数的比例。
进一步的,所述综合评分计算单元具体用于:
根据下式计算所述当前综合评分:
其中,Score为所述当前综合评分,A和B均为常数,w0为初始权重系数,wi为所述每个指标对应的权重系数,xi为所述满足预测条件的每个指标,A+Bw0为基础得分,z为所述指标的个数。
第三方面,本发明实施例提供了电子设备,包括存储器、处理器,所述存储器上存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上所述的方法的步骤。
第四方面,本发明实施例提供了具有处理器可执行的非易失的程序代码的计算机可读介质,所述程序代码使所述处理器执行如上所述的方法。
本发明实施例提供了针对企业网络安全态势感知的评分方法和装置,包括:获取安全元数据,安全元数据包括多个安全元子数据,每个安全元子数据包括多个指标;计算每个指标对应的信息价值;根据每个指标对应的信息价值,选取满足预测条件的多个指标;将满足预测条件的多个指标通过逻辑回归模型,得到每个指标对应的权重系数;根据满足预测条件的每个指标和每个指标对应的权重系数,计算当前综合评分;其中,预测条件是每个指标对应的信息价值大于或等于预设信息价值,多个安全元子数据包括流量数据、资产数据、告警数据、漏洞数据和事件数据,可以通过逻辑回归模型计算每个指标对应的权重系数,准确度高,通过当前综合评分直观地了解当日的网络安全情况。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一提供的针对企业网络安全态势感知的评分方法流程图;
图2为本发明实施例二提供的网络安全态势感知的评分模型示意图;
图3为本发明实施例三提供的针对企业网络安全态势感知的评分装置示意图。
图标:
1-获取单元;2-处理单元;3-选取单元;4-权重系数计算单元;5-综合评分计算单元。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为便于对本实施例进行理解,下面对本发明实施例进行详细介绍。
实施例一:
图1为本发明实施例一提供的针对企业网络安全态势感知的评分方法流程图。
参照图1,该方法包括以下步骤:
步骤S101,获取安全元数据,安全元数据包括多个安全元子数据,每个安全元子数据包括多个指标;
具体地,多个安全元子数据包括流量数据、资产数据、告警数据、漏洞数据和事件数据。流量数据包括x11,x12,…,x1m指标、告警数据包括x21,x22,…,x2n指标、资产数据包括x31,x32,…,x3r指标、漏洞数据包括x41,x42,…,x4s指标和事件数据包括x51,x52,…,x5t指标。通过获取流量数据的指标、资产数据的指标、告警数据的指标、漏洞数据的指标和事件数据的指标,从而说明网络的真实安全状态,并能够实时反映安全状态所发生的变化。
步骤S102,计算每个指标对应的信息价值;
具体地,将安全元数据中的每个指标进行分箱处理,即将连续变量离散化,将多状态的离散变量合并为少状态的离散变量。计算每个指标(x11,x12,…,x1m、x21,x22,…,x2n、x31,x32,…,x3r、x41,x42,…,x4s、x51,x52,…,x5t)对应的信息价值,然后根据每个指标对应的信息价值将不满足预测条件的指标删除。即将每个指标对应的信息价值与预设信息价值进行比较,如果每个指标对应的信息价值大于或等于预设信息价值,则将该信息价值对应的指标留下。其中,预设信息价值设定为0.03,具体参照表1:
表1
IV 预测能力
<0.03 无预测能力
0.03-0.09
0.1-0.29
0.3-0.49
>=0.5 极高
将安全元数据中的每个指标进行分箱处理,就是将不满足预测条件的多个指标去除,从而确保当前综合评分计算的准确性。
步骤S103,根据每个指标对应的信息价值,选取满足预测条件的多个指标;
步骤S104,将满足预测条件的多个指标通过逻辑回归模型,得到每个指标对应的权重系数;
具体地,根据每个指标对应的信息价值,选取满足预测条件的多个指标(x'11,x'12,…,x'1m'、x'21,x'22,…,x'1n'、x'31,x'32,…,x'3r'、x'41,x'42,…,x'4s'、x'51,x'52,…,x'5t'),将满足预测条件的多个指标统一标识为(x1,x2,…,xz)。
基于逻辑回归模型的基本原理,将Good(正常天数)的概率定为P,则Bad(异常天数)的概率为1-P,可得到评分卡模型设定的分值刻度可以通过将分值表示为比率对数的线性表达式来定义,即由公式(1)可知:
Score=A+B*ln(odds) (1)
其中,Score为评分卡设定的分值,A和B均为常数,odds为比率。
通常情况下,需要设定两个分值:
(1)设定的比率odds的预期分值为P0
(2)比率翻番的分值为PDO;
因此,比率odds的预期分值为P0,比率为2odds的点分值为P0+PDO,代入公式(1)后,具体参照公式(2)和公式(3):
P0=A+B*ln(odds) (2)
P0+PDO=A+B*ln(2odds) (3)
因此,得到常数A和B的值,由公式(4)和公式(5)可知:
A=P0-B*ln(odds) (5)
其中,P0+PDO为比率为2odds的点分值,P0为比率odds的预期分值。
根据上述公式,并结合逻辑回归模型计算得到当前综合评分。
步骤S105,根据满足预测条件的每个指标和每个指标对应的权重系数,计算当前综合评分;
其中,预测条件是每个指标对应的信息价值大于或等于预设信息价值。
这里,在计算得到当前综合评分后,可以直观地向管理人员展现企业当前的安全态势。
进一步的,步骤S102包括以下步骤,重复执行以下处理,直至每个指标均被遍历包括:
步骤S201,获取当前指标对应的多个观测值;
步骤S202,将多个观测值采用无监督分箱方法中的等频分箱法,并按照从小到大的顺序进行排列,得到排列后的观测值;
步骤S203,根据多个观测值的个数,将排列后的观测值进行等分得到多个分箱组;
步骤S204,根据每个分箱组统计糟糕情况的数量、糟糕情况的总数、正常情况的数量和正常情况的总数;
步骤S205,根据糟糕情况的数量、糟糕情况的总数、正常情况的数量和正常情况的总数,计算当前指标对应的信息价值。
具体地,由于安全元数据包括流量数据、资产数据、告警数据、漏洞数据和事件数据。而流量数据、资产数据、告警数据、漏洞数据和事件数据中分别包括多个指标。此处,以告警数据中的指标x21,x22,…,x2n为例,其中,x21为WEB(World Wide Web,全球广域网)攻击类告警、x22为DGA(Domain generation algorithms,域名生成算法)域名请求类告警、x23为恶意文件攻击等。WEB攻击类告警的取值内容为每日告警数量,具体如表2所示。在表2中,WEB攻击类告警对应的日期为8月1日至8月30日,分别记录8月每日对应的告警次数,例如,8月1日的告警次数为20次。
表2
将指标WEB攻击类告警做分箱处理,即将观测值按照从小到大的顺序进行排列,并根据观测值的个数分为K部分,并将每部分作为一个分箱组。此处取K=6,分箱处理后的结果参照表3:
表3
组序号 x<sub>21</sub>WEB攻击类告警 Good(正常天数) Bad(异常天数)
1 20-32 3 2
2 34-46 2 3
3 46-60 3 2
4 61-70 3 2
5 79-93 1 4
6 96-120 1 4
ALL 13 17
在分箱处理后,计算每个指标的信息价值,参照公式(6)。当WEB攻击类告警计算完成后,再计算DGA域名请求类告警,直至每个指标均通过上述方法计算完成,从而得到每个指标对应的信息价值。
进一步的,步骤S205包括:
根据公式(1)计算当前指标对应的信息价值,包括:
其中,IV为当前指标对应的信息价值,BT为糟糕情况的总数,GT为正常情况的总数,Bi为糟糕情况的数量,Gi为正常情况的数量,i∈[1,k],k为分箱组的个数,WOEi为证据权重,是对分箱后的每组中的指标取某个值的时候对目标评分的一种影响,bad占比为糟糕情况的数量占糟糕情况的总数的比例,good占比为正常情况的数量占正常情况的总数的比例。
进一步的,步骤S105包括:
根据公式(7)计算当前综合评分:
其中,Score为当前综合评分,A和B均为常数,w0为初始权重系数,wi为每个指标对应的权重系数,xi为满足预测条件的每个指标,A+Bw0为基础得分,z为指标的个数。
本发明实施例提供了针对企业网络安全态势感知的评分方法,包括:获取安全元数据,安全元数据包括多个安全元子数据,每个安全元子数据包括多个指标;计算每个指标对应的信息价值;根据每个指标对应的信息价值,选取满足预测条件的多个指标;将满足预测条件的多个指标通过逻辑回归模型,得到每个指标对应的权重系数;根据满足预测条件的每个指标和每个指标对应的权重系数,计算当前综合评分;其中,预测条件是每个指标对应的信息价值大于或等于预设信息价值,多个安全元子数据包括流量数据、资产数据、告警数据、漏洞数据和事件数据,可以通过逻辑回归模型计算每个指标对应的权重系数,准确度高,通过当前综合评分直观地了解当日的网络安全情况。
实施例二:
图2为本发明实施例二提供的网络安全态势感知的评分模型示意图。
参照图2,态势感知是以安全大数据为基础,对能够引起网络态势发生变化的要素进行获取、理解、评估和呈现,以及对未来发展趋势预测的一个过程;态势感知是从全局视角提升对安全威胁的发现识别、理解分析、和响应处置的一种能力。
随着网络信息技术的快速发展,木马、僵尸网络、钓鱼网站等传统网络安全威胁有增无减,DDoS攻击、高级持续性威胁(APT)攻击等新型网络攻击愈演愈烈,越来越多的企业亟需建立一套网络安全态势感知的评分模型,帮助安全人员直观的监测企业整体信息系统的安全水平及态势发展。
通过采集全网各类网络设备(交换机、路由器)、安全设备(防火墙、漏洞扫描、IDS(Intrusion Detection Systems,入侵检测系统)/IPS(Intrusion Prevention System,入侵防御系统)/WAF(Web Application Firewall,网站应用防火墙)、负载均衡和资产探测等)的安全告警日志、流量数据,并结合第三方威胁情报数据,建立安全防护主题数据库,包括流量、告警、资源、漏洞、事件五类数据主题库。
通过对上述数据进行挑选和分析,建立企业网络档案。在网络档案的基础上深入探究攻击行为,一方面检验攻击的准确性,并排除误报;另一方面可根据攻击轨迹预判下一步攻击行为。在了解攻击行为的基础上,结合威胁情报对主机进行有监督的分类算法,可识别失陷主机,发现网络中的异常行为。采用先进的评分卡模型,使用逻辑回归模型计算网络档案、异常行为、攻击行为、威胁情报等指标特征对综合评分的影响权重,整合流量、告警、资源、漏洞、事件五大类数据最终实现企业网络安全态势综合评分。
其中,评分卡模型是运用先进的数据挖掘和统计分析技术的风险评估预测方法,其原理是将变量证据权重转换WOE编码方式离散化之后运用辑回归模型进行的一种二分类变量的广义线性模型,最终以一个评分来综合评估目标对象。
实施例三:
图3为本发明实施例三提供的针对企业网络安全态势感知的评分装置示意图。
参照图3,该装置包括:
获取单元1,用于获取安全元数据,安全元数据包括多个安全元子数据,每个安全元子数据包括多个指标;
处理单元2,用于计算每个指标对应的信息价值;
选取单元3,用于根据每个指标对应的信息价值,选取满足预测条件的多个指标;
权重系数计算单元4,用于将满足预测条件的多个指标通过逻辑回归模型,得到每个指标对应的权重系数;
综合评分计算单元5,用于根据满足预测条件的每个指标和每个指标对应的权重系数,计算当前综合评分;
其中,预测条件是每个指标对应的信息价值大于或等于预设信息价值,多个安全元子数据包括流量数据、资产数据、告警数据、漏洞数据和事件数据。
进一步的,处理单元2具体用于重复执行以下处理,直至每个指示均被遍历:
获取当前指标对应的多个观测值;
将多个观测值采用无监督分箱方法中的等频分箱法,并按照从小到大的顺序进行排列,得到排列后的观测值;
根据多个观测值的个数,将排列后的观测值进行等分得到多个分箱组;
根据每个分箱组统计糟糕情况的数量、糟糕情况的总数、正常情况的数量和正常情况的总数;
根据糟糕情况的数量、糟糕情况的总数、正常情况的数量和正常情况的总数,计算当前指标对应的信息价值。
进一步的,处理单元2具体用于:
根据下式计算当前指标对应的信息价值,包括:
其中,IV为当前指标对应的信息价值,BT为糟糕情况的总数,GT为正常情况的总数,Bi为糟糕情况的数量,Gi为正常情况的数量,i∈[1,k],k为分箱组的个数,WOEi为证据权重,是对分箱后的每组中的指标取某个值的时候对目标评分的一种影响,bad占比为糟糕情况的数量占糟糕情况的总数的比例,good占比为正常情况的数量占正常情况的总数的比例。
进一步的,综合评分计算单元5具体用于:
根据下式计算所述当前综合评分:
其中,Score为所述当前综合评分,A和B均为常数,w0为初始权重系数,wi为所述每个指标对应的权重系数,xi为所述满足预测条件的每个指标,A+Bw0为基础得分,z为所述指标的个数。
本发明实施例提供了针对企业网络安全态势感知的评分装置,包括:获取安全元数据,安全元数据包括多个安全元子数据,每个安全元子数据包括多个指标;计算每个指标对应的信息价值;根据每个指标对应的信息价值,选取满足预测条件的多个指标;将满足预测条件的多个指标通过逻辑回归模型,得到每个指标对应的权重系数;根据满足预测条件的每个指标和每个指标对应的权重系数,计算当前综合评分;其中,预测条件是每个指标对应的信息价值大于或等于预设信息价值,多个安全元子数据包括流量数据、资产数据、告警数据、漏洞数据和事件数据,可以通过逻辑回归模型计算每个指标对应的权重系数,准确度高,通过当前综合评分直观地了解当日的网络安全情况。
本发明实施例还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述实施例提供的针对企业网络安全态势感知的评分方法的步骤。
本发明实施例还提供一种具有处理器可执行的非易失的程序代码的计算机可读介质,计算机可读介质上存储有计算机程序,计算机程序被处理器运行时执行上述实施例的针对企业网络安全态势感知的评分方法的步骤。
本发明实施例所提供的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
另外,在本发明实施例的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。

Claims (10)

1.一种针对企业网络安全态势感知的评分方法,其特征在于,所述方法包括:
获取安全元数据,所述安全元数据包括多个安全元子数据,每个所述安全元子数据包括多个指标;
计算所述每个指标对应的信息价值;
根据所述每个指标对应的信息价值,选取满足预测条件的多个指标;
将所述满足预测条件的多个指标通过逻辑回归模型,得到所述每个指标对应的权重系数;
根据所述满足预测条件的每个指标和所述每个指标对应的权重系数,计算当前综合评分;
其中,所述预测条件是所述每个指标对应的信息价值大于或等于预设信息价值,所述多个安全元子数据包括流量数据、资产数据、告警数据、漏洞数据和事件数据。
2.根据权利要求1所述的针对企业网络安全态势感知的评分方法,其特征在于,所述计算所述每个指标对应的信息价值包括,重复执行以下处理,直至每个指标均被遍历:
获取当前指标对应的多个观测值;
将所述多个观测值采用无监督分箱方法中的等频分箱法,并按照从小到大的顺序进行排列,得到排列后的观测值;
根据所述多个观测值的个数,将所述排列后的观测值进行等分得到多个分箱组;
根据每个所述分箱组统计糟糕情况的数量、糟糕情况的总数、正常情况的数量和正常情况的总数;
根据所述糟糕情况的数量、所述糟糕情况的总数、所述正常情况的数量和所述正常情况的总数,计算所述当前指标对应的信息价值。
3.根据权利要求2所述的针对企业网络安全态势感知的评分方法,其特征在于,所述根据所述糟糕情况的数量、所述糟糕情况的总数、所述正常情况的数量和所述正常情况的总数,计算所述当前指标对应的信息价值,包括:
根据下式计算所述当前指标对应的信息价值,包括:
其中,IV为所述当前指标对应的信息价值,BT为所述糟糕情况的总数,GT为所述正常情况的总数,Bi为所述糟糕情况的数量,Gi为所述正常情况的数量,i∈[1,k],k为所述分箱组的个数,WOEi为证据权重,是对分箱后的每组中的指标取某个值的时候对目标评分的一种影响,bad占比为所述糟糕情况的数量占所述糟糕情况的总数的比例,good占比为所述正常情况的数量占所述正常情况的总数的比例。
4.根据权利要求1所述的针对企业网络安全态势感知的评分方法,其特征在于,所述根据所述满足预测条件的每个指标和所述每个指标对应的权重系数,计算当前综合评分,包括:
根据下式计算所述当前综合评分:
其中,Score为所述当前综合评分,A和B均为常数,w0为初始权重系数,wi为所述每个指标对应的权重系数,xi为所述满足预测条件的每个指标,A+Bw0为基础得分,z为所述指标的个数。
5.一种针对企业网络安全态势感知的评分装置,其特征在于,所述装置包括:
获取单元,用于获取安全元数据,所述安全元数据包括多个安全元子数据,每个安全元子数据包括多个指标;
处理单元,用于计算所述每个指标对应的信息价值;
选取单元,用于根据所述每个指标对应的信息价值,选取满足预测条件的多个指标;
权重系数计算单元,用于将所述满足预测条件的多个指标通过逻辑回归模型,得到所述每个指标对应的权重系数;
综合评分计算单元,用于根据所述满足预测条件的每个指标和所述每个指标对应的权重系数,计算当前综合评分;
其中,所述预测条件是所述每个指标对应的信息价值大于或等于预设信息价值,所述多个安全元子数据包括流量数据、资产数据、告警数据、漏洞数据和事件数据。
6.根据权利要求5所述的针对企业网络安全态势感知的评分装置,其特征在于,所述处理单元具体用于重复执行以下处理,直至每个指示均被遍历:
获取当前指标对应的多个观测值;
将所述多个观测值采用无监督分箱方法中的等频分箱法,并按照从小到大的顺序进行排列,得到排列后的观测值;
根据所述多个观测值的个数,将所述排列后的观测值进行等分得到多个分箱组;
根据每个所述分箱组统计糟糕情况的数量、糟糕情况的总数、正常情况的数量和正常情况的总数;
根据所述糟糕情况的数量、所述糟糕情况的总数、所述正常情况的数量和所述正常情况的总数,计算所述当前指标对应的信息价值。
7.根据权利要求6所述的针对企业网络安全态势感知的评分装置,其特征在于,所述处理单元具体用于:
根据下式计算所述当前指标对应的信息价值,包括:
其中,IV为所述当前指标对应的信息价值,BT为所述糟糕情况的总数,GT为所述正常情况的总数,Bi为所述糟糕情况的数量,Gi为所述正常情况的数量,i∈[1,k],k为所述分箱组的个数,WOEi为证据权重,是对分箱后的每组中的指标取某个值的时候对目标评分的一种影响,bad占比为所述糟糕情况的数量占所述糟糕情况的总数的比例,good占比为所述正常情况的数量占所述正常情况的总数的比例。
8.根据权利要求5所述的针对企业网络安全态势感知的评分装置,其特征在于,所述综合评分计算单元具体用于:
根据下式计算所述当前综合评分:
其中,Score为所述当前综合评分,A和B均为常数,w0为初始权重系数,wi为所述每个指标对应的权重系数,xi为所述满足预测条件的每个指标,A+Bw0为基础得分,z为所述指标的个数。
9.一种电子设备,包括存储器、处理器,所述存储器上存储有可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现上述权利要求1至4任一项所述的方法的步骤。
10.一种具有处理器可执行的非易失的程序代码的计算机可读介质,其特征在于,所述程序代码使所述处理器执行所述权利要求1至4任一项所述的方法。
CN201910938973.2A 2019-09-29 2019-09-29 针对企业网络安全态势感知的评分方法和装置 Pending CN110620696A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910938973.2A CN110620696A (zh) 2019-09-29 2019-09-29 针对企业网络安全态势感知的评分方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910938973.2A CN110620696A (zh) 2019-09-29 2019-09-29 针对企业网络安全态势感知的评分方法和装置

Publications (1)

Publication Number Publication Date
CN110620696A true CN110620696A (zh) 2019-12-27

Family

ID=68924950

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910938973.2A Pending CN110620696A (zh) 2019-09-29 2019-09-29 针对企业网络安全态势感知的评分方法和装置

Country Status (1)

Country Link
CN (1) CN110620696A (zh)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111431869A (zh) * 2020-03-09 2020-07-17 北京神州绿盟信息安全科技股份有限公司 漏洞情报热度的获取方法及装置
CN111556037A (zh) * 2020-04-21 2020-08-18 杭州安恒信息技术股份有限公司 网站系统安全指数评估的方法和装置
CN112270362A (zh) * 2020-11-02 2021-01-26 山东万里红信息技术有限公司 一种物联网健康大数据态势感知方法
CN113035299A (zh) * 2021-04-02 2021-06-25 北京药明津石医药科技有限公司 分中心推荐方法、装置、计算机设备和存储介质
CN114389840A (zh) * 2021-12-09 2022-04-22 华迪计算机集团有限公司 基于glm析因方法确定网络攻击源所在区域的方法及系统
CN115080554A (zh) * 2022-07-22 2022-09-20 安徽省大数据中心 一种基于多维数据碰撞分析的告警方法及系统
CN115314415A (zh) * 2022-07-08 2022-11-08 北京天融信网络安全技术有限公司 网络安全态势预测方法、装置、电子设备及存储介质
CN115694912A (zh) * 2022-09-30 2023-02-03 郑州云智信安安全技术有限公司 一种网络资产安全指数的计算方法

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090132347A1 (en) * 2003-08-12 2009-05-21 Russell Wayne Anderson Systems And Methods For Aggregating And Utilizing Retail Transaction Records At The Customer Level
CN103581186A (zh) * 2013-11-05 2014-02-12 中国科学院计算技术研究所 一种网络安全态势感知方法及系统
US20180091540A1 (en) * 2016-09-27 2018-03-29 Cisco Technology, Inc. Security posture scoring
CN108632081A (zh) * 2018-03-26 2018-10-09 中国科学院计算机网络信息中心 网络态势评估方法、装置及存储介质
CN109246153A (zh) * 2018-11-09 2019-01-18 中国银行股份有限公司 网络安全态势分析模型和网络安全评估方法
CN109345368A (zh) * 2018-08-22 2019-02-15 中国平安人寿保险股份有限公司 基于大数据的信用评估方法、装置、电子设备及存储介质
CN109636591A (zh) * 2018-12-28 2019-04-16 浙江工业大学 一种基于机器学习的信用评分卡开发方法
CN109754157A (zh) * 2018-11-30 2019-05-14 畅捷通信息技术股份有限公司 一种反映企业健康经营、融资增信的评分方法及系统

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090132347A1 (en) * 2003-08-12 2009-05-21 Russell Wayne Anderson Systems And Methods For Aggregating And Utilizing Retail Transaction Records At The Customer Level
CN103581186A (zh) * 2013-11-05 2014-02-12 中国科学院计算技术研究所 一种网络安全态势感知方法及系统
US20180091540A1 (en) * 2016-09-27 2018-03-29 Cisco Technology, Inc. Security posture scoring
CN108632081A (zh) * 2018-03-26 2018-10-09 中国科学院计算机网络信息中心 网络态势评估方法、装置及存储介质
CN109345368A (zh) * 2018-08-22 2019-02-15 中国平安人寿保险股份有限公司 基于大数据的信用评估方法、装置、电子设备及存储介质
CN109246153A (zh) * 2018-11-09 2019-01-18 中国银行股份有限公司 网络安全态势分析模型和网络安全评估方法
CN109754157A (zh) * 2018-11-30 2019-05-14 畅捷通信息技术股份有限公司 一种反映企业健康经营、融资增信的评分方法及系统
CN109636591A (zh) * 2018-12-28 2019-04-16 浙江工业大学 一种基于机器学习的信用评分卡开发方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
TIANFIELD,HUAGLORY: "《Cyber Security Situational Awareness》", 《IEEE》 *

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111431869A (zh) * 2020-03-09 2020-07-17 北京神州绿盟信息安全科技股份有限公司 漏洞情报热度的获取方法及装置
CN111431869B (zh) * 2020-03-09 2022-04-19 绿盟科技集团股份有限公司 漏洞情报热度的获取方法及装置
CN111556037A (zh) * 2020-04-21 2020-08-18 杭州安恒信息技术股份有限公司 网站系统安全指数评估的方法和装置
CN112270362A (zh) * 2020-11-02 2021-01-26 山东万里红信息技术有限公司 一种物联网健康大数据态势感知方法
CN113035299A (zh) * 2021-04-02 2021-06-25 北京药明津石医药科技有限公司 分中心推荐方法、装置、计算机设备和存储介质
CN114389840A (zh) * 2021-12-09 2022-04-22 华迪计算机集团有限公司 基于glm析因方法确定网络攻击源所在区域的方法及系统
CN114389840B (zh) * 2021-12-09 2023-08-01 华迪计算机集团有限公司 基于glm析因方法确定网络攻击源所在区域的方法及系统
CN115314415A (zh) * 2022-07-08 2022-11-08 北京天融信网络安全技术有限公司 网络安全态势预测方法、装置、电子设备及存储介质
CN115314415B (zh) * 2022-07-08 2023-09-26 北京天融信网络安全技术有限公司 网络安全态势预测方法、装置、电子设备及存储介质
CN115080554A (zh) * 2022-07-22 2022-09-20 安徽省大数据中心 一种基于多维数据碰撞分析的告警方法及系统
CN115694912A (zh) * 2022-09-30 2023-02-03 郑州云智信安安全技术有限公司 一种网络资产安全指数的计算方法
CN115694912B (zh) * 2022-09-30 2023-08-04 郑州云智信安安全技术有限公司 一种网络资产安全指数的计算方法

Similar Documents

Publication Publication Date Title
CN110620759B (zh) 基于多维关联的网络安全事件危害指数评估方法及其系统
CN110620696A (zh) 针对企业网络安全态势感知的评分方法和装置
US20220124108A1 (en) System and method for monitoring security attack chains
US10803183B2 (en) System, method, and computer program product for detecting and assessing security risks in a network
US10404737B1 (en) Method for the continuous calculation of a cyber security risk index
US9680938B1 (en) System, method, and computer program product for tracking user activity during a logon session
CN105516130B (zh) 一种数据处理方法和装置
CN113486351A (zh) 一种民航空管网络安全检测预警平台
CN101459537A (zh) 基于多层次多角度分析的网络安全态势感知系统及方法
CN111786950A (zh) 基于态势感知的网络安全监控方法、装置、设备及介质
CN114615016B (zh) 一种企业网络安全评估方法、装置、移动终端及存储介质
CA3078261A1 (en) Systems and methods for cybersecurity risk assessment of users of a computer network
CN117478433B (zh) 一种网络与信息安全动态预警系统
Folino et al. An ensemble-based framework for user behaviour anomaly detection and classification for cybersecurity
Petersen Data mining for network intrusion detection: A comparison of data mining algorithms and an analysis of relevant features for detecting cyber-attacks
Alshammari Design of capability maturity model integration with cybersecurity risk severity complex prediction using bayesian-based machine learning models
Qassim et al. Strategy to Reduce False Alarms in Intrusion Detection and Prevention Systems.
CN115659351B (zh) 一种基于大数据办公的信息安全分析方法、系统及设备
Gyanchandani et al. Intrusion detection using C4. 5: performance enhancement by classifier combination
Xing et al. Hierarchical network security measurement and optimal proactive defense in cloud computing environments
CN115987544A (zh) 一种基于威胁情报的网络安全威胁预测方法及系统
CN113055362B (zh) 异常行为的预防方法、装置、设备及存储介质
Ehis Optimization of Security Information and Event Management (SIEM) Infrastructures, and Events Correlation/Regression Analysis for Optimal Cyber Security Posture
Dai et al. Research on power mobile Internet security situation awareness model based on zero trust
Reddy MACHINE LEARNING MODELS FOR ANOMALY DETECTION IN CLOUD INFRASTRUCTURE SECURITY

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20191227

RJ01 Rejection of invention patent application after publication