CN110852641A - 一种资产数据的监控方法、系统及相关装置 - Google Patents

Abstract

本申请提供一种资产数据的监控方法，包括：获取资产数据的历史数据、安全事件、告警事件和隐患漏洞事件；根据各安全事件、各告警事件和各隐患漏洞事件对应的威胁等级计算资产评分；确定历史数据中问题重复率超过预设值的问题事件类别；根据资产数据的类型、资产评分和问题事件类别进行隐患趋势评分；根据隐患趋势评分执行对应的监控措施。本申请实现了基于历史数据和当前数据的资产安全分析，同时基于历史数据和当前数据对于资产的安全状况进行统计，根据资产的隐患趋势评分确定资产的隐患所在，以便于采用相应的监控措施。本申请还提供一种资产数据的监控系统、计算机可读存储介质和一种资产数据的监控终端，具有上述有益效果。

Description

一种资产数据的监控方法、系统及相关装置

技术领域

本申请涉及大数据领域，特别涉及一种资产数据的监控方法、系统及相关装置。

背景技术

在目前的互联网的态势感知大环境下，对于资产的实时监测，往往只能在告警发生之后通报到资产单位。而且针对于资产安全状态的评分没有明确的特征表现。而一旦发生资产问题容易给资产单位带来较大的损失，因此，如何提高资产数据的安全性是本领域技术人员亟需解决的技术问题。

发明内容

本申请的目的是提供一种资产数据的监控方法、监控系统、计算机可读存储介质和一种资产数据的监控终端，能够实现对资产数据的安全监控。

为解决上述技术问题，本申请提供一种资产数据的监控方法，具体技术方案如下：

获取资产数据的历史数据、安全事件、告警事件和隐患漏洞事件；

根据各所述安全事件、各所述告警事件和各所述隐患漏洞事件对应的威胁等级计算资产评分；

确定所述历史数据中问题重复率超过预设值的问题事件类别；

根据所述资产数据的类型、所述资产评分和所述问题事件类别进行隐患趋势评分；

根据所述隐患趋势评分执行对应的监控措施。

其中，根据所述安全事件、所述告警事件和所述隐患漏洞事件的威胁等级计算资产评分包括：

根据各所述安全事件的威胁等级计算事件评分；

根据各所述告警事件的威胁等级计算告警评分；

根据各所述隐患漏洞事件的威胁等级计算隐患评分；

根据所述事件评分、所述告警评分和所述隐患评分的平均分计算资产评分。

其中，根据各所述安全事件的威胁等级计算事件评分包括：

根据第一评分公式和各所述安全事件的威胁等级计算事件评分；所述第一评分公式为事件评分＝预设满分-威胁等级系数×安全事件数×第一偏移量；

则相应的，根据各所述告警事件的威胁等级计算告警评分包括：

根据第二评分公式和各所述告警事件的威胁等级计算告警评分；所述第二评分公式为告警评分＝预设满分-威胁等级系数×告警事件数×第二偏移量；

根据各所述隐患漏洞事件的威胁等级计算隐患评分包括：

根据第三评分公式和各所述隐患漏洞事件的威胁等级计算隐患评分；所述第三评分公式为隐患评分＝预设满分-威胁等级系数×隐患漏洞事件数×第三偏移量。

其中，还包括：

根据所述隐患趋势评分进行隐形趋势分析，得到隐患整改指令，以便根据所述隐患整改指令修复隐患。

其中，根据所述隐患趋势评分执行对应的监控措施包括：

根据所述隐患趋势评分为所述资产数据打标签；

根据所述标签对应的安全特征调用相应的监控措施。

本申请还提供一种资产数据的监控系统，包括：

数据获取模块，用于获取资产数据的历史数据、安全事件、告警事件和隐患漏洞事件；

资产评分模块，用于根据各所述安全事件、各所述告警事件和各所述隐患漏洞事件对应的威胁等级计算资产评分；

问题确定模块，用于确定所述历史数据中问题重复率超过预设值的问题事件类别；

隐患评估模块，用于根据所述资产数据的类型、所述资产评分和所述问题事件类别进行隐患趋势评分；

资产监控模块，用于根据所述隐患趋势评分执行对应的监控措施。

其中，所述资产评分模块包括：

第一评分单元，用于根据各所述安全事件的威胁等级计算事件评分；

第二评分单元，用于根据各所述告警事件的威胁等级计算告警评分；

第三评分单元，用于根据各所述隐患漏洞事件的威胁等级计算隐患评分；

资产评分计算单元，用于根据所述事件评分、所述告警评分和所述隐患评分的平均分计算资产评分。

其中，还包括：

隐患分析模块，用于根据所述隐患趋势评分进行隐形趋势分析，得到隐患整改指令，以便根据所述隐患整改指令修复隐患。

本申请还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上所述的监控方法的步骤。

本申请还提供一种资产数据的监控终端，包括存储器和处理器，所述存储器中存有计算机程序，所述处理器调用所述存储器中的计算机程序时实现如上所述的监控方法的步骤。

本申请提供一种资产数据的监控方法，具体技术方案如下：获取资产数据的历史数据、安全事件、告警事件和隐患漏洞事件；根据各所述安全事件、各所述告警事件和各所述隐患漏洞事件对应的威胁等级计算资产评分；确定所述历史数据中问题重复率超过预设值的问题事件类别；根据所述资产数据的类型、所述资产评分和所述问题事件类别进行隐患趋势评分；根据所述隐患趋势评分执行对应的监控措施。

本申请通过将安全事件、告警事件和隐患漏洞事件视为当前数据，并对资产数据的历史数据进行统计得到相应的资产评分，实现了基于历史数据和当前数据的资产安全分析，同时基于历史数据和当前数据对于资产的安全状况进行统计，根据资产的隐患趋势评分确定资产的隐患所在，以便于采用相应的监控措施，避免发生安全事故。本申请还提供一种资产数据的监控系统、计算机可读存储介质和一种资产数据的监控终端，具有上述有益效果，此处不再赘述。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本申请实施例所提供的一种资产数据的监控方法的流程图；

图2为本申请实施例所提供的一种资产数据的监控系统结构示意图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

请参考图1，图1为本申请实施例所提供的一种资产数据的监控方法的流程图，该监控方法包括：

S101：获取资产数据的历史数据、安全事件、告警事件和隐患漏洞事件；

资产数据指的是网站或者服务器等具有资产价值的数据。本步骤旨在获取历史数据和各类事件的数据，在此对于如何获取历史数据和各类事件的数据不作限定。通常，可以利用探针获取安全事件和告警事件，而隐患漏洞事件则可以通过人工录入、第三方上报或者采用其他检测扫描方法等，而历史数据则可以通过获取历史日志得到。

S102：根据各所述安全事件、各所述告警事件和各所述隐患漏洞事件对应的威胁等级计算资产评分；

本步骤旨在根据安全事件、告警事件和隐患漏洞事件计算资产评分。容易理解的是，本步骤所计算得到的评分仅为一个相对量化的值。具体计算步骤可以如下：

第一步：根据各所述安全事件的威胁等级计算事件评分；根据各所述告警事件的威胁等级计算告警评分；根据各所述隐患漏洞事件的威胁等级计算隐患评分；

第二步：根据所述事件评分、所述告警评分和所述隐患评分的平均分计算资产评分。

更具体的，第一步可以为其根据第一评分公式和各安全事件的威胁等级计算事件评分；第一评分公式为事件评分＝预设满分-威胁等级系数×安全事件数×第一偏移量；根据第二评分公式和各告警事件的威胁等级计算告警评分；第二评分公式为告警评分＝预设满分-威胁等级系数×告警事件数×第二偏移量；根据第三评分公式和各隐患漏洞事件的威胁等级计算隐患评分；第三评分公式为隐患评分＝预设满分-威胁等级系数×隐患漏洞事件数×第三偏移量。

在此对于威胁等级不作限定，应由本领域技术人员进行相应设定，例如可以分为四级：紧急-4，高危-3，中危-2，低危-1，每个等级后对应的数字则为对应的威胁等级系数。第一偏移量、第二偏移量和第三偏移量均为自定义系数，也可以设置默认为0.5，此值可由用户自定义，若评分规则严格，则加大偏移量即可。举例而言，现有20个紧急事件，10个中危事件，预设满分为100分，采用上文所述的四级威胁等级，第一偏移量为0.5，则此时告警评分＝100–(4×20×0.5)–(2×10×0.5)＝50分。

S103：确定所述历史数据中问题重复率超过预设值的问题事件类别；

本步骤旨在确定历史数据中重复出现的问题事件。主要对该资产的历史数据进行比对整理，分析出资产容易产生问题的方向，例如告警有重复出现的隐患立即修复。

举例而言：1.现有网站重复出现垃圾邮件的告警，即可对该资产新增(攻击意图：利用型攻击；攻击链：渗透攻击)的标签，其对应的问题事件为垃圾邮件重复出现，相应的类别可以为邮件类。

2.现有网站重复出现邮件头欺骗安全事件，即可对该资产新增(攻击意图：利用型攻击；攻击链：扫描探查)的标签。其对应的问题事件为危险邮件，相应的类别依旧可以为邮件类。

3.现有网站重复出现SQL注入漏洞的隐患，即可对该资产新增(隐患分类：SQL盲注；造成后果：易被利用于SQL注入)。其对应的问题事件为网站漏洞，相应的类别可以为网站漏洞。

容易理解的是，问题事件的类别应根据具体的事件进行相应的确定，在此不作具体限定。

S104：根据所述资产数据的类型、所述资产评分和所述问题事件类别进行隐患趋势评分；

本步骤旨在进行隐患趋势评分，其数据来源包括上文步骤得到的资产评分，以及资产数据类型等。但通常，主要负责隐患漏洞对资产的影响趋势，主要分为隐性趋势和显性趋势。其中隐性趋势需要结合资产的类型和具体隐患漏洞进行分析(例如该漏洞会对此资产造成什么后果)，而显性趋势则要分析已有漏洞，把漏洞的威胁等级换算为资产的趋势等级。通常还可以设置隐患趋势评分范围，当然，容易理解的是，该评分范围与隐患趋势评分的评分规则相关。在此对于隐患趋势评分的评分规则不作限定，类似的，可以采用与资产评分相同的评分方式：

隐患趋势评分＝迭代等级+威胁等级×出现次数×预设偏移量；

隐患趋势评分范围:低0～6，中6～10，高10∞(10以上都为高，若重复出现隐患为0，则趋势等级为0)。迭代等级可以认为是资产评分相对应的等级，

例:现有等级为紧急,出现次数为2次,等级为中等，出现次数为4，偏移量为0.5的隐患趋势评分为4×2×0.5+2×4×0.5＝8(高)。

S105：根据所述隐患趋势评分执行对应的监控措施。

本步骤旨在根据隐患趋势评分进行相应的监控。容易理解的是，根据隐患趋势评分可以得到当前的隐患程度，而不用的隐患程度应该对应采取不用的监控措施。

优选的，可以先根据隐患趋势评分为资产数据打标签，再根据标签对应的安全特征调用相应的监控措施。打标签的意思指将资产数据的特征以标签形式标注，例如，资产邮件系统存在易被利用攻击，并有sql注入的隐患，则可以将该隐患打标签，便于资产监控系统或者资产监管人员根据标签直接确定资产的安全隐患。而采取的监控措施在此不作具体限定，应根据具体的隐患采用相应的措施。例如，针对有sql注入隐患，可以令所有的查询语句使用数据库提供的参数化查询接口，以防止sql注入攻击。

可以看出，无论是进行资产评分还是进行隐患趋势评分，均是根据资产数据的历史状态和当前状态进行相对的量化得到的相对评分。上文所述的评分规则仅为本申请所举例的一种评分规则，本领域技术人员也可以在本申请的基础上依据本申请所公开的数据来源采用其他量化的方式得到相应的评分或者等级等，均应在本申请所请求的保护范围内。

本申请实施例通过将安全事件、告警事件和隐患漏洞事件视为当前数据，并对资产数据的历史数据进行统计得到相应的资产评分，实现了基于历史数据和当前数据的资产安全分析，同时基于历史数据和当前数据对于资产的安全状况进行统计，根据资产的隐患趋势评分确定资产的隐患所在，以便于采用相应的监控措施，避免发生安全事故。

基于上述实施例，作为优选的实施例，还可以包括：

根据所述隐患趋势评分进行隐形趋势分析，得到隐患整改指令，以便根据所述隐患整改指令修复隐患。

例如，一般性的建议：解决SQL注入问题的关键是对所有可能来自用户输入的数据进行严格的检查、对数据库配置使用最小权限原则。

[1]所有的查询语句都使用数据库提供的参数化查询接口，参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中。当前几乎所有的数据库系统都提供了参数化SQL语句执行接口，使用此接口可以非常有效的防止SQL注入攻击。

[2]对进入数据库的特殊字符(""\尖括号&×；等)进行转义处理，或编码转换。

[3]严格限制变量类型，比如整型变量就采用intval()函数过滤，数据库中的存储字段必须对应为int型。

[4]数据长度应该严格规定，能在一定程度上防止比较长的SQL注入语句无法正确执行。

[5]网站每个数据层的编码统一，建议全部使用UTF-8编码，上下层编码不一致有可能导致一些过滤模型被绕过。

[6]严格限制网站用户的数据库的操作权限，给此用户提供仅仅能够满足其工作的权限，从而最大限度的减少注入攻击对数据库的危害。

[7]避免网站显示SQL错误信息，比如类型错误、字段不匹配等，防止攻击者利用这些错误信息进行一些判断。

[8]确认PHP配置文件中的magicquotesgpc选项保持开启。

[9]在部署应用前，始终要做安全审评(security review)。建立一个正式的安全过程(formal security process)，在每次更新时，对所有的编码做审评。发布部署应用还是更新应用时须安全审评。

[10]禁止将敏感性数据在数据库里以明文存放。

[11]使用第三方Web防火墙来加固整个网站系统。应用程序级别的漏洞，仅仅依靠对服务器的基本设置做一些改动是不能够解决的，必须从提高应用程序的开发人员的安全意识入手，加强对代码安全性的控制，在服务端正式处理之前对每个被提交的参数进行合法性检查，以从根本上解决sql注入问题。

容易理解的是，上文所述的内容为隐形趋势分析过程，根据隐形趋势分析可以得到相应的隐患整改指令，该隐患整改指令并非必须为系统操作指令，还可以为系统各项操作的规定或者规则等。同样的，上文所述的一般性的建议的任一项或任几项的组合也可以作为根据隐患趋势评分对应执行的监控措施。

下面对本申请实施例提供的一种资产数据的监控系统进行介绍，下文描述的监控系统与上文描述的一种资产数据的监控方法可相互对应参照。

参见图2，图2为本申请实施例所提供的一种资产数据的监控系统结构示意图，本申请还提供一种资产数据的监控系统，包括：

数据获取模块100，用于获取资产数据的历史数据、安全事件、告警事件和隐患漏洞事件；

资产评分模块200，用于根据各所述安全事件、各所述告警事件和各所述隐患漏洞事件对应的威胁等级计算资产评分；

问题确定模块300，用于确定所述历史数据中问题重复率超过预设值的问题事件类别；

隐患评估模块400，用于根据所述资产数据的类型、所述资产评分和所述问题事件类别进行隐患趋势评分；

资产监控模块500，用于根据所述隐患趋势评分执行对应的监控措施。

基于上述实施例，作为优选的实施例，所述资产评分模块200包括：

第一评分单元，用于根据各所述安全事件的威胁等级计算事件评分；

第二评分单元，用于根据各所述告警事件的威胁等级计算告警评分；

第三评分单元，用于根据各所述隐患漏洞事件的威胁等级计算隐患评分；

资产评分计算单元，用于根据所述事件评分、所述告警评分和所述隐患评分的平均分计算资产评分。

基于上述实施例，作为优选的实施例，还包括：

隐患分析模块，用于根据所述隐患趋势评分进行隐形趋势分析，得到隐患整改指令，以便根据所述隐患整改指令修复隐患。

本申请还提供了一种计算机可读存储介质，其上存有计算机程序，该计算机程序被执行时可以实现上述实施例所提供的步骤。该存储介质可以包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

本申请还提供了一种资产数据的监控终端，可以包括存储器和处理器，所述存储器中存有计算机程序，所述处理器调用所述存储器中的计算机程序时，可以实现上述实施例所提供的步骤。当然所述资产数据的监控终端还可以包括各种网络接口，电源等组件。

说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例提供的系统而言，由于其与实施例提供的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以对本申请进行若干改进和修饰，这些改进和修饰也落入本申请权利要求的保护范围内。

还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims (10)

1.一种资产数据的监控方法，其特征在于，包括：

获取资产数据的历史数据、安全事件、告警事件和隐患漏洞事件；

根据各所述安全事件、各所述告警事件和各所述隐患漏洞事件对应的威胁等级计算资产评分；

确定所述历史数据中问题重复率超过预设值的问题事件类别；

根据所述资产数据的类型、所述资产评分和所述问题事件类别进行隐患趋势评分；

根据所述隐患趋势评分执行对应的监控措施。

2.根据权利要求1所述的监控方法，其特征在于，根据所述安全事件、所述告警事件和所述隐患漏洞事件的威胁等级计算资产评分包括：

根据各所述安全事件的威胁等级计算事件评分；

根据各所述告警事件的威胁等级计算告警评分；

根据各所述隐患漏洞事件的威胁等级计算隐患评分；

根据所述事件评分、所述告警评分和所述隐患评分的平均分计算资产评分。

3.根据权利要求1或2所述的监控方法，其特征在于，根据各所述安全事件的威胁等级计算事件评分包括：

根据第一评分公式和各所述安全事件的威胁等级计算事件评分；所述第一评分公式为事件评分＝预设满分-威胁等级系数×安全事件数×第一偏移量；

则相应的，根据各所述告警事件的威胁等级计算告警评分包括：

根据第二评分公式和各所述告警事件的威胁等级计算告警评分；所述第二评分公式为告警评分＝预设满分-威胁等级系数×告警事件数×第二偏移量；

根据各所述隐患漏洞事件的威胁等级计算隐患评分包括：

根据第三评分公式和各所述隐患漏洞事件的威胁等级计算隐患评分；所述第三评分公式为隐患评分＝预设满分-威胁等级系数×隐患漏洞事件数×第三偏移量。

4.根据权利要求1所述的监控方法，其特征在于，还包括：

根据所述隐患趋势评分进行隐形趋势分析，得到隐患整改指令，以便根据所述隐患整改指令修复隐患。

5.根据权利要求1所述的监控方法，其特征在于，根据所述隐患趋势评分执行对应的监控措施包括：

根据所述隐患趋势评分为所述资产数据打标签；

根据所述标签对应的安全特征调用相应的监控措施。

6.一种资产数据的监控系统，其特征在于，包括：

数据获取模块，用于获取资产数据的历史数据、安全事件、告警事件和隐患漏洞事件；

资产评分模块，用于根据各所述安全事件、各所述告警事件和各所述隐患漏洞事件对应的威胁等级计算资产评分；

问题确定模块，用于确定所述历史数据中问题重复率超过预设值的问题事件类别；

隐患评估模块，用于根据所述资产数据的类型、所述资产评分和所述问题事件类别进行隐患趋势评分；

资产监控模块，用于根据所述隐患趋势评分执行对应的监控措施。

7.根据权利要求6所述的监控系统，其特征在于，所述资产评分模块包括：

第一评分单元，用于根据各所述安全事件的威胁等级计算事件评分；

第二评分单元，用于根据各所述告警事件的威胁等级计算告警评分；

第三评分单元，用于根据各所述隐患漏洞事件的威胁等级计算隐患评分；

资产评分计算单元，用于根据所述事件评分、所述告警评分和所述隐患评分的平均分计算资产评分。

8.根据权利要求6所述的监控系统，其特征在于，还包括：

隐患分析模块，用于根据所述隐患趋势评分进行隐形趋势分析，得到隐患整改指令，以便根据所述隐患整改指令修复隐患。

9.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1-5任一项所述的监控方法的步骤。

10.一种资产数据的监控终端，其特征在于，包括存储器和处理器，所述存储器中存有计算机程序，所述处理器调用所述存储器中的计算机程序时实现如权利要求1-5任一项所述的监控方法的步骤。

Images