CN111193728B - 网络安全评估方法、装置、设备及存储介质 - Google Patents
网络安全评估方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN111193728B CN111193728B CN201911337891.9A CN201911337891A CN111193728B CN 111193728 B CN111193728 B CN 111193728B CN 201911337891 A CN201911337891 A CN 201911337891A CN 111193728 B CN111193728 B CN 111193728B
- Authority
- CN
- China
- Prior art keywords
- attack
- network
- source
- event
- ranking
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/147—Network analysis or design for predicting network behaviour
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Abstract
本申请适用于网络安全技术领域,提供了一种网络安全评估方法、装置、设备及存储介质。方法包括获取目标网络在多个连续时间窗口上的网络攻击数据集;其中,每个网络攻击数据集包括多种用于描述攻击事件的攻击信息;对多个网络攻击数据集进行处理,生成每一种攻击信息的攻击趋势图,根据多种攻击趋势图对目标网络的安全性进行评估。本申请提供的网络安全评估方法,一方面可以根据攻击趋势图对攻击事件的各攻击信息的变化趋势进行预判,提高了网络安全评估的时效性;另一方面,基于多种攻击信息的攻击趋势图,可以完整的描述网络攻击过程,相比于现有技术中基于孤立的告警信息进行评估的方法,提高了网络安全评估的准确性。
Description
技术领域
本申请属于网络安全技术领域,尤其涉及一种网络安全评估方法、装置、设备及存储介质。
背景技术
工业控制系统(Industrial Control System,以下简称ICS)控制现在工业基础设施(例如电力系统、石油与天然气系统、化工业系统、水利系统、交通控制系统以及工业制造系统等)的运行。随着现代工业基础设施的发展,ICS由封闭孤立式的系统向开放互联式的系统转变,导致ICS面临大量的网络攻击,给ICS的信息安全带来风险,及时、准确的识别ICS的网络中的网络攻击事件对提高ICS的网络安全性至关重要。
现有技术中,通过在网络设备,例如入侵防护系统(Intrusion PreventionSystem,以下简称IPS)设备上配置网络攻击黑名单,以使得网络设备通过该黑名单监测网络攻击,并进行告警。
只有在目标设备受到网络攻击后,才可以获取到该网络攻击事件的攻击信息,网络安全评估存在一定的滞后,导致网络安全评估的时效性较差;且当前的网络攻击多通过孤立的告警信息进行展示,无法从整体上描述网络攻击过程,导致网络安全评估的准确性较差。
发明内容
有鉴于此,本申请实施例提供了一种网络安全评估方法、装置、设备及存储介质,以解决现有技术中网络安全评估时效性以及准确性较差的技术问题。
第一方面,本申请实施例提供了一种网络安全评估方法,包括:
获取目标网络在多个连续时间窗口上的网络攻击数据集;其中,每个网络攻击数据集包括多种用于描述攻击事件的攻击信息;
对多个网络攻击数据集进行处理,生成每一种攻击信息的攻击趋势图;
根据多种攻击趋势图对目标网络的安全性进行评估。
在第一方面的一种可能的实现方式中,获取目标网络在多个连续时间窗口上的网络攻击数据集,包括:
接收各网络监测设备在多个连续时间窗口上采集的攻击信息;其中,攻击信息包括各个攻击事件的源IP地址、目标IP地址、目标网络协议以及攻击数据包;
根据预设规则对各攻击事件的攻击数据包进行分析,确定每个攻击事件的攻击等级;
按照预先得到的源IP地址与攻击组织之间的对应关系,确定每个攻击事件的源IP地址对应的攻击组织;
针对每个时间窗口,根据该时间窗口上的所有攻击事件的源IP地址、目标IP地址、目标网络协议、攻击等级以及攻击组织生成目标网络在该时间窗口的网络攻击数据集。
在第一方面的一种可能的实现方式中,对多个网络攻击数据集进行处理,生成每一种攻击信息的攻击趋势图,包括:
根据各个攻击事件的源IP地址,对各个攻击事件的攻击源进行分组,生成多个攻击源区;
针对每个攻击源区,根据多个网络攻击数据集,确定该攻击源区在各个时间窗口上发起攻击事件的频次,并生成该攻击源区的攻击事件变化图;
或,
根据各个攻击事件的目标IP地址,将各个攻击事件的攻击目标进行分组,生成多个攻击目标区;
针对每个攻击目标区,根据多个网络攻击数据集,确定该攻击目标区在各个时间窗口上遭受攻击事件的频次,并生成攻击目标区的攻击事件变化图。
在第一方面的一种可能的实现方式中,对多个网络攻击数据集进行处理,生成每一种攻击信息的攻击趋势图,包括:
根据各个攻击事件的源IP地址,对各个攻击事件的攻击源进行分组,生成多个攻击源区;
针对每个攻击源区,根据多个网络攻击数据集,确定该攻击源区在每个时间窗口上发起的所有攻击事件中所包含的源IP地址的数目;
根据各个攻击源区在每个时间窗口上发起的所有攻击事件中所包含的源IP地址的数目,生成每个攻击源区的攻击者变化图。
在第一方面的一种可能的实现方式中,根据各个攻击事件的源IP地址,对各个攻击事件的攻击源进行分组,生成多个攻击源区之后,方法还包括:
针对每个网络攻击数据集,按照攻击事件的发生频次对多个攻击源区进行排名,按照攻击等级的发生频次对多个攻击等级进行排名,并根据每个攻击源区的排名以及每个攻击等级的排名,生成多个攻击源区的旭日图;其中,所述旭日图用于对不同攻击源区发起攻击事件的严重程度进行评估;旭日图的第一层为按照排名布置的多个攻击源区,旭日图的第二层为按照排名布置的所述多个攻击等级。
在第一方面的一种可能的实现方式中,对多个网络攻击数据集进行处理,生成每一种攻击信息的攻击趋势图,包括:
根据多个网络攻击数据集,确定各攻击等级在每个时间窗口上的发生频次;
根据各攻击等级在每个时间窗口上的发生频次,生成各攻击等级的攻击趋势图;
或,
根据多个网络攻击数据集,确定各目标网络协议在每个时间窗口上遭受攻击的频次;
根据各目标网络协议在每个时间窗口上遭受攻击的频次,生成各目标网络协议的攻击趋势图;
或,
根据多个网络攻击数据集,确定各攻击组织在每个时间窗口上发起攻击的频次;
根据各攻击组织在每个时间窗口上发起攻击的频次,生成各攻击组织的攻击趋势图。
第二方面,本申请实施例提供了一种网络安全评估装置,包括:
获取模块,用于获取目标网络在多个连续时间窗口上的网络攻击数据集;其中,每个网络攻击数据集包括多种用于描述攻击事件的攻击信息;
处理模块,用于对多个网络攻击数据集进行处理,生成每一种攻击信息的攻击趋势图;
评估模块,用于根据多种攻击趋势图对目标网络的安全性进行评估。
第三方面,本申请实施例提供了一种网络安全评估设备,包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述第一方面任一项方法的步骤。
第四方面,本申请实施例提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时实现上述第一方面任一项方法的步骤。
第五方面,本申请实施例提供了一种计算机程序产品,当计算机程序产品在终端设备上运行时,使得终端设备执行上述第一方面中任一项的方法。
本申请实施例提供的网络安全评估方法,获取目标网络在多个连续时间窗口上的网络攻击数据集;其中,每个网络攻击数据集包括多种用于描述攻击事件的攻击信息;对多个网络攻击数据集进行处理,生成每一种攻击信息的攻击趋势图,然后根据多种攻击趋势图对目标网络的安全性进行评估。基于此,可以根据当前的网络攻击数据集获得攻击事件的攻击趋势图,具体表现为每一种攻击信息的攻击趋势图;一方面可以根据攻击趋势图对攻击事件各攻击信息的变化趋势进行预判,提高了网络安全评估的时效性;另一方面,通过多种攻击信息的攻击趋势图,可以完整的描述网络攻击过程,相比于现有技术中基于孤立的告警信息进行评估的方法,提高了网络安全评估的准确性。
可以理解的是,上述第二方面至第五方面的有益效果可以参见上述第一方面中的相关描述,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请一实施例提供的网络安全评估系统的架构示意图;
图2是本申请一实施例提供的网络安全评估方法的流程示意图;
图3是本申请一实施例提供的目标网络协议的旭日图的示意图;
图4是本申请一实施例提供的获取多个时间窗口上的网络攻击数据集的流程示意图;
图5是本申请一实施例提供的生成攻击信息的攻击趋势图的流程示意图;
图6是本申请另一实施例提供的生成攻击信息的攻击趋势图的流程示意图;
图7是本申请又一实施例提供的生成攻击信息的攻击趋势图的流程示意图;
图8是本申请一实施例提供的网络安全评估装置的结构示意图;
图9是本申请一实施例提供的网络安全评估设备的结构示意图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本申请实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本申请的描述。
应当理解,在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
在本申请说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此,在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例,而是意味着“一个或多个但不是所有的实施例”,除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”,除非是以其他方式另外特别强调。
图1为本申请一实施例提供的网络安全评估系统的架构示意图,如图1所示,本申请实施例提供的网络安全评估方法可以应用如图1所示的网络安全评估系统。
网络安全评估系统包括网络安全评估设备10和多个网络监测设备20。应理解的是,实际应用中,网络安全评估系统还可以包括路由设备以及网络防护设备等,本实施例提供的网络安全评估系统仅为一示例性说明。
其中,网络监测设备20用于对目标网络的攻击事件进行监测,获取各攻击事件的攻击信息,并将该攻击信息上报至网络安全评估设备10。网络安全评估设备10用于对网络监测设备20进行配置管理以及进行目标网络的安全评估。
在获取攻击事件之前,预先对网络监测设备20进行部署和配置。
其中,网络监测设备20的部署,可以采用分布式部署或者集中式部署,在此不做具体限制。
在网络监测设备20部署完成后,网络安全评估设备10向各个网络监测设备20下发配置信息,其中配置信息包括上报的预设时长,攻击告警的阈值等,各网络监测设备20根据该配置目标网络的攻击事件进行监测,获取每个攻击事件的多种攻击信息以及攻击数据包,并将多种攻击信息以及攻击数据包上报至网络安全评估设备10,网络安全评估设备10根据攻击信息和攻击包进行分析处理,评估目标网络的网络安全。
下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行示例性说明。值得说明的是,下文中列举的具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。
图2为本申请一实施例提供的网络安全评估方法的流程示意图,本实施例的执行主体为图1中的网络安全评估设备。如图2所示,该网络安全评估方法包括:
S201、获取目标网络在多个连续时间窗口上的网络攻击数据集;其中,每个网络攻击数据集包括多种用于描述攻击事件的攻击信息。
本实施例中,目标网络可以为工业控制系统的通信网络。
每个时间窗口的长度可以预先设置,例如每个时间窗口的长度为1小时,梁旭时间窗口的持续时间为24小时。其中,时间窗口的长度越短,则根据网络攻击数据集生成的攻击趋势图越准确。
每个网络攻击数据集包括对应的时间窗口上发生的所有攻击事件的攻击信息,每个攻击事件的攻击信息有多种,包括但不限于:各个攻击事件的源IP地址、目标IP地址、目标网络协议以及攻击数据包。
其中,源IP地址为发起攻击事件设备的IP地址,可以通过源IP地址确定发起攻击事件的设备的所在地。目标IP地址为攻击事件的目标设备的IP地址,可以通过目标IP地址确定易遭受网络攻击的设备以及设备的所处地。
其中,目标网络协议为每个攻击事件攻击的通信协议。
示例性的,假设目标网络为工业控制系统的工业网络,一般大型工业客户的工业控制系统包括来自不同厂商的设备,不同的设备可能采用不同的上位机应用系统以及采用不同的工业控制协议(例如厂商的私有协议)。因此,目标网络协议为工业控制协议,工业控制协议有多种,不同工业控制协议遭受的攻击事件的频次不同,通过对工业控制协议遭受的频次进行分析,可以确定易被攻击的工业控制协议以及工业控制协议的类型。
其中,攻击数据包用于描述攻击事件对目标IP对应的设备上的数据的处理,示例性的,攻击事件对目标IP对应的设备上的数据的处理可以包括仅读取、读写操作、删除操作等。本实施例中,可以根据攻击数据包的确定攻击事件的攻击等级。
S202、对多个网络攻击数据集进行处理,生成每一种攻击信息的攻击趋势图;
本实施例中,攻击趋势图可以包括每一种攻击信息的折线图,多种攻击信息的旭日图和分布图等。
在一种实施方式中,攻击趋势图为直线图,具体表现为源IP地址、目标IP地址、目标网络协议的折线图,以便根据上述多个折线图确定每种攻击信息的变化趋势。
例如:可以获取每个时间窗口的源IP地址的数目,并根据该数据生成全局攻击者变化趋势图,每一个源IP可以理解为一个攻击者,评估在该多个连续时间窗口上源IP数量的变化趋势。
在另一种实施方式中,攻击趋势图可以为用于横向比较每种攻击信息的发生情况的旭日图和分布图。
其中,旭日图也称为太阳图,是一种圆环镶接图,每一个圆环就代表了同一级别的比例数据,离原点越近的圆环级别越高,最内层的圆表示层次结构的顶级。除了圆环外,旭日图还有若干从原点放射出去的‘射线’,这些‘射线’展示出了不同级别数据间的脉络关系。
示例性的,请参阅图3,图3为本申请一实施例提供的目标网络协议的旭日图的示意图。如图3所示,目标网络协议的旭日图的第一层为各目标网络协议的排名,旭日图的第二层为各目标网络协议对应的攻击时间的攻击等级的排名。假设目标网络协议有两个,其中协议1可以为Modbus串行通信;协议2可以为西门子的以太网通信协议S7comm。
首先按照攻击事件的发生频次对两个协议进行排名,其中S7comm为第一,Modbus串行通信为第二。然后,获取每个目标网络协议遭受的攻击事件的攻击等级,根据攻击等级的发生频次对每个目标网络协议的攻击等级进行排名,具体表征为S7comm遭受的攻击事件的攻击等级排名为高中低;Modbus串行通信遭受攻击事件的攻击等级排名为中高低。最后,根据攻击组织的排名以及每个目标网络协议的攻击等级进行排名生成该两个协议的旭日图。其中,旭日图的第一层为按照排名布置的多个目标网络协议,旭日图的第二层为按照排名布置的多个攻击等级,具体表现为每个目标网络协议的攻击等级的排名。
在又一种实施方式中,攻击趋势图可以为排名表。
示例性的,可以每一个时间窗口获取攻击事件的预设排名(如TOP5)的源IP地址、目标网络协议、目标IP地址。其中,预设排名的源IP地址用于确定恶意IP,预设排名的攻击协议用于确定易被攻击的工控协议类型,所述预设排名的目标IP地址用于确定易被攻击的IP,以及该IP所了隶属的地区。应理解的是,也可以获取所有连续时间窗口上攻击事件的预设排名(如TOP5)的源IP地址、目标网络协议、目标IP地址,以进行后续的网络安全评估。
S203、根据多种攻击趋势图对目标网络的安全性进行评估。
可以根据多种攻击信息的攻击趋势图对目标网络的安全性进行评估。
本申请实施例提供的网络安全评估方法,可以根据当前的网络攻击数据集获得攻击事件的攻击趋势图,具体表现为每一种攻击信息的攻击趋势图;一方面可以根据攻击趋势图对攻击事件各攻击信息的变化趋势进行预判,提高了网络安全评估的时效性;另一方面,通过多种攻击信息的攻击趋势图,可以完整的描述网络攻击过程,进而提高了网络安全评估的准确性。
图4为本申请一实施例提供的获取多个时间窗口上的网络攻击数据集的流程示意图。本实施例在图2实施例的基础上,对步骤S201中获取目标网络在多个连续时间窗口上的网络攻击数据集进行了示例性说明;如图4所示,获取目标网络在多个连续时间窗口上的网络攻击数据集,包括:
S401、接收各网络监测设备在多个连续时间窗口上采集的攻击信息;其中,攻击信息包括各个攻击事件的源IP地址、目标IP地址、目标网络协议以及攻击数据包。
网络检测监测设备按照预设时长,对传输的各个数据包进行采样分析,获得分析结果,并基于该分析结果,确定是否包含网络攻击事件。
若是,则确定该网络攻击事件多种攻击信息,其中,攻击信息包括源IP地址、目标IP地址、目标网络协议。
网络检测监测将该网络攻击事件的攻击信息以及包含该攻击信息的数据包上报给网络安全评估设备。
S402、根据预设规则对各攻击事件的攻击数据包进行分析,确定每个攻击事件的攻击等级。
本实施例中,攻击事件的攻击等级可以包括高、中、低三个等级。
示例性的,若攻击事件中仅对目标IP地址的数据进行读取,则确定该攻击事件的攻击等级为低,若攻击事件对目标IP地址的数据进行了修改,则确定该攻击事件的攻击等级为中;若攻击事件在目标IP地址安装恶意程序代码包,则确定该攻击事件的攻击等级为高。
S403、按照预先得到的源IP地址与攻击组织之间的对应关系,确定每个攻击事件的源IP地址对应的攻击组织。
本实施例中,攻击组织可以为源攻击对象。例如:黑客组织,竞争公司等。每个攻击组织可以通过多个源IP地址对目标IP地址进行攻击。
本实施例中,在确定每个攻击事件的攻击组织之前,可以根据目标网络中已明确攻击组织的大量攻击事件建立源IP地址与攻击组织之间的对应关系,并将该对应关系预先存储在表格中。
网络安全评估设备在获取每个攻击事件的源IP地址后,在上述表格中进行索引,确定该源IP地址对应的攻击组织,将该攻击组织确定为该攻击事件的攻击组织。
本实施例中,攻击组织可以有多个,可以基于每个时间窗口采集的攻击信息,获取到该时间窗口的所有攻击事件,按照攻击事件的发生频次对多个攻击组织进行排名,确定当前窗口发起攻击次数最多的攻击组织,以便对该攻击组织进行针对性防御。
进一步地,可以获取每个攻击组织发起的攻击事件的攻击等级,根据攻击等级的发生频次对每个攻击组织的攻击等级进行排名,然后根据攻击组织的排名以及每个攻击组织的攻击等级进行排名,生成该多个攻击组织的旭日图。其中,攻击组织的旭日图的第一层为按照排名布置的多个攻击组织,旭日图的第二层为按照排名布置的多个攻击等级,具体表现为每个攻击组织的攻击等级的排名。可以基于该旭日图识别不同攻击组织发起攻击的情况及严重程度。
S404、针对每个时间窗口,根据该时间窗口上的所有攻击事件的源IP地址、目标IP地址、目标网络协议、攻击等级以及攻击组织生成目标网络在该时间窗口的网络攻击数据集。
网络监测设备按照预设时长将采集到的攻击事件的攻击数据包以及攻击事件的攻击信息发送至网络安全评估设备。因此,在每个时间窗口,网络安全评估设备接收到多个网络监测设备发送的多个攻击事件相关数据。
网络安全评估设备分别对每个攻击事件的攻击信息和攻击数据包进行预处理后,获得每个攻击事件的源IP地址、目标IP地址、目标网络协议、攻击等级以及攻击组织,然后根据所有攻击事件的攻击事件的源IP地址、目标IP地址、目标网络协议、攻击等级以及攻击组织生成该时间窗口上的网络攻击数据集。
目标网络协议有多种,在本实施例中,可以获取多种目标网络协议的旭日图,以方便的展现对于各种协议发起攻击的情况及严重程度。
本申请实施例提供的网络安全评估方法,可以获取目标网络在每个时间窗口的网络攻击数据集,进而可以根据每个时间窗口的网络攻击数据集获得攻击组织、目标网络协议的旭日图,对各种网络协议遭受攻击的情况及严重程度,和各攻击组织发起攻击的情况及严重进行直观的展示。
每一种攻击信息在不同的时间窗口上的表征不同,在获取到多个网路攻击数据集之后,通过对多个网络攻击数据集进行处理,可以生成各种攻击信息的攻击趋势图,下面通过图4至图7所述实施例分别进行示例性说明。
图5为本申请一实施例提供的生成攻击信息的攻击趋势图的流程示意图。本实施例在上述实施例的基础上,例如图4所述实施例,对步骤S202中对所多个网络攻击数据集进行处理,生成每一种攻击信息的攻击趋势图进行了示例性说明;如图5所示,通过对多个网络攻击数据集进行处理,生成每一种攻击信息的攻击趋势图,包括:
S501:根据各个攻击事件的源IP地址,对各个攻击事件的攻击源进行分组,生成多个攻击源区。
本实施例中,网络安全评估设备获取各个攻击事件的源IP地址,将同一个区域网段的IP地址划分为一组,并根据IP区域网段和地理区域的对应关系,将每一组IP对应一个地理区域,进而生成多个攻击源区。
其中,地理区域可以根据现有的攻击事件的来源地的频次进行预先划分,例如地理区域可以预先划分为中国、美国、新加坡、荷兰、英国、其他区域等。区域网段和地理区域的对应关系为已知且确定的。
S502:针对每个攻击源区,根据多个网络攻击数据集,确定该攻击源区在各个时间窗口上发起攻击事件的频次,并生成该攻击源区的攻击事件变化图。
在不同事件窗口,每个攻击源区发起攻击事件的频次会发生变化,在获得攻击源区后,获得每个攻击源区在各个时间窗口发起攻击事件的频次,基于每个攻击源区发起攻击事件的频次,绘制生成每个攻击源区的攻击事件折线图,用于描述不同源区发起攻击事件的变化趋势。
示例性的,每个小时作为一个时间窗口,多个连续时间窗口持续24个小时的时间,则可以获取各个攻击源区24小时内发起的攻击事件的折线图,进而可以获得每个攻击源区发起攻击事件的变化趋势。
为了横向比较当前各个源区发起的攻击事件的情况,获得各个攻击源区的在上述多个连续时间窗口发起攻击事件的频次,并基于该频次生成攻击世界地图,用于直观地展示世界各地发起攻击事件的情况。示例性的,可以选取发起攻击事件的频次最高的5的攻击源区生成攻击世界地图。
为了展现不同攻击源区发起攻击事件严重程度,生成多个攻击源区旭日图。其中多个攻击园区旭日图可以为基于多个网路攻击数据集获得,也可以分别基于每个网络攻击数据集获取一个旭日图。
例如:获取多个攻击源区在每个时间窗口上的旭日图的过程可以参考如下:
针对每个网络攻击数据集,按照攻击事件的发生频次对多个攻击源区进行排名,按照攻击等级的发生频次对多个攻击等级进行排名,并根据每个攻击源区的排名以及每个攻击等级的排名,生成所述多个攻击源区的旭日图,其中,旭日图的第一层为按照排名布置的所述多个攻击源区,旭日图的第二层为按照排名布置的多个攻击等级。
实际应用中,每个攻击事件不仅包括源IP地址,还包括目标IP地址,可以基于该目标IP地址,确定攻击事件的攻击目标区,进而确定每个攻击目标区的攻击事件变化图、被攻击世界地图以及旭日图。
示例性的,获取每个攻击目标去的攻击事件变化图的过程可以参考如下:根据各个攻击事件的目标IP地址,将各个攻击事件的攻击目标进行分组,生成多个攻击目标区;针对每个攻击目标区,根据多个网络攻击数据集,确定该攻击目标区在各个时间窗口上遭受攻击事件的频次,并生成该攻击目标区的攻击事件变化图。
在生成多个攻击目标区后,生成被攻击世界地图过程与步骤402中生成攻击世界地图的技术方案相似,生成该多个攻击目标区的旭日图的过程与步骤402中生成多个攻击源区的旭日图的技术方案相似。在此不再赘述。
本申请实施例提供的网络安全评估方法,根据各个攻击事件的源IP地址,将所有攻击事件的攻击源分为多个攻击源区,然后分别获得每个攻击源区的攻击事件变化图,即每个攻击源区发起攻击事件的变化趋势,进而可以根据该变化趋势进行网络的安全评估,甚至可以提前进行安全风险预判。
另一方面,在每个时间窗口内,通过攻击世界地图和旭日图对多个攻击源区的发起的攻击事件的情况和严重程度进行横向比较,确定较危险的攻击源区,以便进行针对性的安全防御。
图6为本申请另一实施例提供的生成攻击信息的攻击趋势图的流程示意图。本实施例在上述实施例的基础上,例如图4所述实施例,对步骤S202中对所多个网络攻击数据集进行处理,生成每一种攻击信息的攻击趋势图进行了示例性说明;如图6所示,通过对多个网络攻击数据集进行处理,生成每一种攻击信息的攻击趋势图,包括:
S601、根据各个攻击事件的源IP地址,对各个攻击事件的攻击源进行分组,生成多个攻击源区。
本实施例中,生成多个攻击源区的技术方案可以与步骤501相同。
S602、针对每个攻击源区,根据多个网络攻击数据集,确定该攻击源区在每个时间窗口上发起的所有攻击事件中所包含的源IP地址的数目。
S603、根据各个攻击源区在每个时间窗口上发起的所有攻击事件中所包含的源IP地址的数目,生成每个攻击源区的攻击者变化图。
其中,每个源IP地址对应一个攻击者,攻击者变化图用于表征不同攻击源区攻击者的变化趋势。
本实施例还可以生成攻击者分布地图,用于直观的展示世界各地攻击者分布情况。
图7为本申请又一实施例提供的生成攻击信息的攻击趋势图的流程示意图。本实施例在上述实施例的基础上,例如图4所述实施例,对步骤S202中对所多个网络攻击数据集进行处理,生成每一种攻击信息的攻击趋势图进行了示例性说明;如图7所示,通过对多个网络攻击数据集进行处理,生成每一种攻击信息的攻击趋势图,包括:
S701、根据所述多个网络攻击数据集,确定各攻击等级在每个时间窗口上的发生频次。
S702、根据各攻击等级在每个时间窗口上的发生频次,生成各攻击等级的攻击趋势图。
本实施例中,还可以根据多个网络攻击数据集生成目标网络协议的攻击趋势图,以及各攻击组织的攻击趋势图。
其中,生成目标网络协议的攻击趋势图的步骤可以参考如下:
根据多个网络攻击数据集,确定各目标网络协议在每个时间窗口上遭受攻击的频次;根据各目标网络协议在每个时间窗口上遭受攻击的频次,生成各目标网络协议的攻击趋势图;
其中,生成各攻击组织的攻击趋势图的步骤可以参考如下:
根据多个网络攻击数据集,确定各攻击组织在每个时间窗口上发起攻击的频次;根据各攻击组织在每个时间窗口上发起攻击的频次,生成各攻击组织的攻击趋势图。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
基于上述实施例所提供的网络安全评估,本发明实施例进一步给出实现上述方法实施例的装置实施例。
图8为本申请一实施例提供的网络安全评估装置的结构示意图。如图7所示,网络安全评估装置80包括获取模块801、处理模块802和评估模块803。
获取模块801,用于获取目标网络在多个连续时间窗口上的网络攻击数据集;其中,每个网络攻击数据集包括多种用于描述攻击事件的攻击信息。
处理模块802,用于对多个网络攻击数据集进行处理,生成每一种攻击信息的攻击趋势图。
评估模块803,用于根据多种攻击趋势图对目标网络的安全性进行评估。
本申请实施例提供的网络安全评估装置,获取模块801获取目标网络在多个连续时间窗口上的网络攻击数据集;其中,每个网络攻击数据集包括多种用于描述攻击事件的攻击信息;处理模块802对多个网络攻击数据集进行处理,生成每一种攻击信息的攻击趋势图,以根据多种攻击趋势图对目标网络的安全性进行评估。基于此,可以根据当前的网络攻击数据集获得攻击事件的攻击趋势图,具体表现为每一种攻击信息的攻击趋势图;一方面可以根据攻击趋势图对攻击事件各攻击信息的变化趋势进行预判,提高了网络安全评估的时效性;另一方面,通过多种攻击信息的攻击趋势图,可以完整的描述网络攻击过程,进而提高了网络安全评估的准确性。
在一种实施方式中,获取模块801,具体用于:
接收各网络监测设备在多个连续时间窗口上采集的攻击信息;其中,攻击信息包括各个攻击事件的源IP地址、目标IP地址、目标网络协议以及攻击数据包;
根据预设规则对各攻击事件的攻击数据包进行分析,确定每个攻击事件的攻击等级;
按照预先得到的源IP地址与攻击组织之间的对应关系,确定每个攻击事件的源IP地址对应的攻击组织;
针对每个时间窗口,根据该时间窗口上的所有攻击事件的源IP地址、目标IP地址、目标网络协议、攻击等级以及攻击组织生成目标网络在该时间窗口的网络攻击数据集。
在一种实施方式中,处理模块802,具体用于:
根据各个攻击事件的源IP地址,对各个攻击事件的攻击源进行分组,生成多个攻击源区;
针对每个攻击源区,根据多个网络攻击数据集,确定该攻击源区在各个时间窗口上发起攻击事件的频次,并生成该攻击源区的攻击事件变化图;
或,
根据各个攻击事件的目标IP地址,将各个攻击事件的攻击目标进行分组,生成多个攻击目标区;
针对每个攻击目标区,根据多个网络攻击数据集,确定该攻击目标区在各个时间窗口上遭受攻击事件的频次,并生成攻击目标区的攻击事件变化图。
在一种实施方式中,处理模块802,还具体用于:
根据各个攻击事件的源IP地址,对各个攻击事件的攻击源进行分组,生成多个攻击源区;
针对每个攻击源区,根据多个网络攻击数据集,确定该攻击源区在每个时间窗口上发起的所有攻击事件中所包含的源IP地址的数目;
根据各个攻击源区在每个时间窗口上发起的所有攻击事件中所包含的源IP地址的数目,生成每个攻击源区的攻击者变化图。
在一种实施方式中,处理模块802,还具体用于:
针对每个网络攻击数据集,按照攻击事件的发生频次对多个攻击源区进行排名,按照攻击等级的发生频次对多个攻击等级进行排名,并根据每个攻击源区的排名以及每个攻击等级的排名,生成多个攻击源区的旭日图,以根据旭日图对不同攻击源区发起攻击事件的严重程度进行评估;其中,旭日图的第一层为按照排名布置的多个攻击源区,旭日图的第二层为按照排名布置的所述多个攻击等级。
在一种实施方式中,处理模块802,还具体用于:
根据多个网络攻击数据集,确定各攻击等级在每个时间窗口上的发生频次;
根据各攻击等级在每个时间窗口上的发生频次,生成各攻击等级的攻击趋势图;
或,
根据多个网络攻击数据集,确定各目标网络协议在每个时间窗口上遭受攻击的频次;
根据各目标网络协议在每个时间窗口上遭受攻击的频次,生成各目标网络协议的攻击趋势图;
或,
根据多个网络攻击数据集,确定各攻击组织在每个时间窗口上发起攻击的频次;
根据各攻击组织在每个时间窗口上的发起攻击的频次,生成各攻击组织的攻击趋势图。
在一种实施方式中,目标网络协议有多种;处理模块802,还具体用于:
按照攻击事件的发生频次对多个目标网络协议进行排名,按照攻击等级的发生频次对多个攻击等级进行排名,并根据每个目标网络协议的排名以及每个攻击等级的排名,生成多个目标网络协议的旭日图;以根据该旭日图对不同目标网络协议接受攻击事件的严重程度进行评估;其中,旭日图的第一层为按照排名布置的多个目标网络协议,旭日图的第二层为按照排名布置的多个攻击等级。
图8所示实施例提供的网络安全评估装置,可用于执行上述方法实施例中的技术方案,其实现原理和技术效果类似,本实施例此处不再赘述。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述系统中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
图9是本申请一实施例提供的网络安全评估设备的示意图。如图9所示,该实施例的网络安全评估设备90包括:至少一个处理器901、存储器902以及存储在所述存储器902中并可在所述处理器901上运行的计算机程序。网络安全评估设备还包括通信部件903,其中,处理器901、存储器902以及通信部件903通过总线904连接。
所述处理器901执行所述计算机程序时实现上述各个网络安全评估方法实施例中的步骤,例如图2所示实施例中的步骤S201至步骤S202。或者,所述处理器901执行所述计算机程序时实现上述各装置实施例中各模块/单元的功能,例如图8所示模块801和模块802的功能。
示例性的,所述计算机程序可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在所述存储器902中,并由所述处理器901执行,以完成本申请。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序在所述网络安全评估设备90中的执行过程。
本领域技术人员可以理解,图9仅仅是网络安全评估设备的示例,并不构成对网络安全评估设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如输入输出设备、网络接入设备、总线等。
所称处理器901可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器902可以是网络安全评估设备的内部存储单元,也可以是网络安全评估设备的外部存储设备,例如插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。所述存储器902用于存储所述计算机程序以及网络安全评估设备所需的其他程序和数据。所述存储器902还可以用于暂时地存储已经输出或者将要输出的数据。
总线可以是工业标准体系结构(Industry Standard Architecture,ISA)总线、外部设备互连(Peripheral Component,PCI)总线或扩展工业标准体系结构(ExtendedIndustry Standard Architecture,EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,本申请附图中的总线并不限定仅有一根总线或一种类型的总线。
本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现可实现上述各个方法实施例中的步骤。
本申请实施例提供了一种计算机程序产品,当计算机程序产品在移动终端上运行时,使得移动终端执行时实现可实现上述各个方法实施例中的步骤。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质至少可以包括:能够将计算机程序代码携带到拍照装置/终端设备的任何实体或装置、记录介质、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,RandomAccess Memory)、电载波信号、电信信号以及软件分发介质。例如U盘、移动硬盘、磁碟或者光盘等。在某些司法管辖区,根据立法和专利实践,计算机可读介质不可以是电载波信号和电信信号。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请所提供的实施例中,应该理解到,所揭露的装置/网络设备和方法,可以通过其它的方式实现。例如,以上所描述的装置/网络设备实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
以上所述实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。
Claims (7)
1.一种网络安全评估方法,其特征在于,包括:
获取目标网络在多个连续时间窗口上的网络攻击数据集;其中,每个网络攻击数据集包括多种用于描述攻击事件的攻击信息;
对所述多个网络攻击数据集进行处理,生成每一种攻击信息的攻击趋势图;根据所述多种攻击趋势图对目标网络的安全性进行评估;
所述获取目标网络在多个连续时间窗口上的网络攻击数据集,包括:
接收各网络监测设备在所述多个连续时间窗口上采集的攻击信息;其中,所述攻击信息包括各个攻击事件的源IP地址、目标IP地址、目标网络协议以及攻击数据包;
根据预设规则对各攻击事件的攻击数据包进行分析,确定每个攻击事件的攻击等级;
按照预先得到的源IP地址与攻击组织之间的对应关系,确定每个攻击事件的源IP地址对应的攻击组织;
针对每个时间窗口,根据该时间窗口上的所有攻击事件的源IP地址、目标IP地址、目标网络协议、攻击等级以及攻击组织生成目标网络在所述时间窗口的网络攻击数据集;
所述对所述多个网络攻击数据集进行处理,生成每一种攻击信息的攻击趋势图,包括:
根据各个攻击事件的源IP地址,对各个攻击事件的攻击源进行分组,生成多个攻击源区;
针对每个攻击源区,根据所述多个网络攻击数据集,确定该攻击源区在每个时间窗口上发起的所有攻击事件中所包含的源IP地址的数目;
根据各个攻击源区在每个时间窗口上发起的所有攻击事件中所包含的源IP地址的数目,生成每个攻击源区的攻击者变化图;
所述根据各个攻击事件的源IP地址,对各个攻击事件的攻击源进行分组,生成多个攻击源区之后,所述方法还包括:
针对每个网络攻击数据集,按照攻击事件的发生频次对所述多个攻击源区进行排名,按照攻击等级的发生频次对所述多个攻击等级进行排名,并根据每个攻击源区的排名以及每个攻击等级的排名,生成所述多个攻击源区的旭日图,其中,所述旭日图用于对不同攻击源区发起攻击事件的严重程度进行评估;所述旭日图的第一层为按照排名布置的所述多个攻击源区,所述旭日图的第二层为按照排名布置的所述多个攻击等级。
2.如权利要求1所述的网络安全评估方法,其特征在于,所述对所述多个网络攻击数据集进行处理,生成每一种攻击信息的攻击趋势图,还包括:
针对每个攻击源区,根据所述多个网络攻击数据集,确定该攻击源区在各个时间窗口上发起攻击事件的频次,并生成所述攻击源区的攻击事件变化图;
或,
根据各个攻击事件的目标IP地址,将各个攻击事件的攻击目标进行分组,生成多个攻击目标区;
针对每个攻击目标区,根据所述多个网络攻击数据集,确定该攻击目标区在各个时间窗口上遭受攻击事件的频次,并生成所述攻击目标区的攻击事件变化图。
3.如权利要求1所述的网络安全评估方法,其特征在于,所述对所述多个网络攻击数据集进行处理,生成每一种攻击信息的攻击趋势图,包括:
根据所述多个网络攻击数据集,确定各攻击等级在每个时间窗口上的发生频次;
根据各攻击等级在每个时间窗口上的发生频次,生成各攻击等级的攻击趋势图;
或,
根据所述多个网络攻击数据集,确定各目标网络协议在每个时间窗口上遭受攻击的频次;
根据各目标网络协议在每个时间窗口上遭受攻击的频次,生成各目标网络协议的攻击趋势图;
或,
根据所述多个网络攻击数据集,确定各攻击组织在每个时间窗口上发起攻击的频次;
根据各攻击组织在每个时间窗口上发起攻击的频次,生成各攻击组织的攻击趋势图。
4.如权利要求1所述的网络安全评估方法,其特征在于,所述目标网络协议有多种;
所述获取目标网络在多个连续时间窗口上的网络攻击数据集之后,所述方法还包括:
按照攻击事件的发生频次对所述多个目标网络协议进行排名,按照攻击等级的发生频次对所述多个攻击等级进行排名,并根据每个目标网络协议的排名以及每个攻击等级的排名,生成所述多个目标网络协议的旭日图;其中,所述旭日图用于对不同目标网络协议接受攻击事件的严重程度进行评估;所述旭日图的第一层为按照排名布置的所述多个目标网络协议,所述旭日图的第二层为按照排名布置的所述多个攻击等级。
5.一种网络安全评估装置,其特征在于,包括:
获取模块,用于获取目标网络在多个连续时间窗口上的网络攻击数据集;其中,每个网络攻击数据集包括多种用于描述攻击事件的攻击信息;
处理模块,用于对所述多个网络攻击数据集进行处理,生成每一种攻击信息的攻击趋势图;
评估模块,用于根据所述多种攻击趋势图对目标网络的安全性进行评估;
所述获取模块具体用于:
接收各网络监测设备在所述多个连续时间窗口上采集的攻击信息;其中,所述攻击信息包括各个攻击事件的源IP地址、目标IP地址、目标网络协议以及攻击数据包;
根据预设规则对各攻击事件的攻击数据包进行分析,确定每个攻击事件的攻击等级;
按照预先得到的源IP地址与攻击组织之间的对应关系,确定每个攻击事件的源IP地址对应的攻击组织;
针对每个时间窗口,根据该时间窗口上的所有攻击事件的源IP地址、目标IP地址、目标网络协议、攻击等级以及攻击组织生成目标网络在所述时间窗口的网络攻击数据集;
所述处理模块,具体用于:
根据各个攻击事件的源IP地址,对各个攻击事件的攻击源进行分组,生成多个攻击源区;
针对每个攻击源区,根据所述多个网络攻击数据集,确定该攻击源区在每个时间窗口上发起的所有攻击事件中所包含的源IP地址的数目;
根据各个攻击源区在每个时间窗口上发起的所有攻击事件中所包含的源IP地址的数目,生成每个攻击源区的攻击者变化图;
所述处理模块,还具体用于:
针对每个网络攻击数据集,按照攻击事件的发生频次对所述多个攻击源区进行排名,按照攻击等级的发生频次对所述多个攻击等级进行排名,并根据每个攻击源区的排名以及每个攻击等级的排名,生成所述多个攻击源区的旭日图,其中,所述旭日图用于对不同攻击源区发起攻击事件的严重程度进行评估;所述旭日图的第一层为按照排名布置的所述多个攻击源区,所述旭日图的第二层为按照排名布置的所述多个攻击等级。
6.一种网络安全评估设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至4任一项所述方法的步骤。
7.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911337891.9A CN111193728B (zh) | 2019-12-23 | 2019-12-23 | 网络安全评估方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911337891.9A CN111193728B (zh) | 2019-12-23 | 2019-12-23 | 网络安全评估方法、装置、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111193728A CN111193728A (zh) | 2020-05-22 |
CN111193728B true CN111193728B (zh) | 2022-04-01 |
Family
ID=70707482
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911337891.9A Active CN111193728B (zh) | 2019-12-23 | 2019-12-23 | 网络安全评估方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111193728B (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114257391B (zh) * | 2020-09-24 | 2024-01-26 | 中国电信股份有限公司 | 风险评估方法、装置及计算机可读存储介质 |
CN112333168B (zh) * | 2020-10-27 | 2023-03-24 | 杭州安恒信息技术股份有限公司 | 一种攻击识别方法、装置、设备及计算机可读存储介质 |
CN114531262A (zh) * | 2020-11-23 | 2022-05-24 | 中国电信股份有限公司 | 识别漏洞扫描行为的方法和装置 |
CN112751883B (zh) * | 2021-01-19 | 2023-11-24 | 杨建鑫 | Ip威胁分值判定方法、装置、设备及介质 |
CN114301716B (zh) * | 2022-02-22 | 2023-05-26 | 绿盟科技集团股份有限公司 | 一种网络安全评估方法、装置、网络安全设备及存储介质 |
CN114726623B (zh) * | 2022-04-08 | 2023-11-28 | 北京天融信网络安全技术有限公司 | 一种高级威胁攻击评估方法、装置、电子设备及存储介质 |
CN115037508B (zh) * | 2022-04-25 | 2023-08-22 | 哈尔滨工业大学(威海) | 一种面向工业控制系统的多步攻击建模方法及系统 |
CN115225347B (zh) * | 2022-06-30 | 2023-12-22 | 烽台科技(北京)有限公司 | 靶场资源监控的方法和装置 |
CN115242465A (zh) * | 2022-07-01 | 2022-10-25 | 电子科技大学成都学院 | 一种网络设备配置方法及网络设备 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105407103A (zh) * | 2015-12-19 | 2016-03-16 | 中国人民解放军信息工程大学 | 一种基于多粒度异常检测的网络威胁评估方法 |
CN105553957A (zh) * | 2015-12-09 | 2016-05-04 | 国家电网公司 | 基于大数据的网络安全态势感知预警方法和系统 |
CN105681303A (zh) * | 2016-01-15 | 2016-06-15 | 中国科学院计算机网络信息中心 | 一种大数据驱动的网络安全态势监测及可视化方法 |
CN109614181A (zh) * | 2018-11-15 | 2019-04-12 | 中国科学院计算机网络信息中心 | 移动终端的安全态势展示方法、装置及存储介质 |
CN110336784A (zh) * | 2019-05-22 | 2019-10-15 | 北京瀚海思创科技有限公司 | 基于大数据的网络攻击识别预测系统、方法以及存储介质 |
CN110381013A (zh) * | 2019-05-28 | 2019-10-25 | 三明学院 | 一种网络安全态势感控方法、装置、设备和存储介质 |
CN110460576A (zh) * | 2019-07-11 | 2019-11-15 | 珠海市鸿瑞信息技术股份有限公司 | 一种多功能网络安全态势感知系统 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140259095A1 (en) * | 2013-03-06 | 2014-09-11 | James Alvin Bryant | Method of providing cyber security as a service |
US20170359306A1 (en) * | 2016-06-10 | 2017-12-14 | Sophos Limited | Network security |
CN110602042B (zh) * | 2019-08-07 | 2022-04-29 | 中国人民解放军战略支援部队信息工程大学 | 基于级联攻击链模型的apt攻击行为分析检测方法及装置 |
-
2019
- 2019-12-23 CN CN201911337891.9A patent/CN111193728B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105553957A (zh) * | 2015-12-09 | 2016-05-04 | 国家电网公司 | 基于大数据的网络安全态势感知预警方法和系统 |
CN105407103A (zh) * | 2015-12-19 | 2016-03-16 | 中国人民解放军信息工程大学 | 一种基于多粒度异常检测的网络威胁评估方法 |
CN105681303A (zh) * | 2016-01-15 | 2016-06-15 | 中国科学院计算机网络信息中心 | 一种大数据驱动的网络安全态势监测及可视化方法 |
CN109614181A (zh) * | 2018-11-15 | 2019-04-12 | 中国科学院计算机网络信息中心 | 移动终端的安全态势展示方法、装置及存储介质 |
CN110336784A (zh) * | 2019-05-22 | 2019-10-15 | 北京瀚海思创科技有限公司 | 基于大数据的网络攻击识别预测系统、方法以及存储介质 |
CN110381013A (zh) * | 2019-05-28 | 2019-10-25 | 三明学院 | 一种网络安全态势感控方法、装置、设备和存储介质 |
CN110460576A (zh) * | 2019-07-11 | 2019-11-15 | 珠海市鸿瑞信息技术股份有限公司 | 一种多功能网络安全态势感知系统 |
Non-Patent Citations (1)
Title |
---|
一种拟态构造的web威胁态势分析方法;李卫超,张铮,王立群,刘镇武,刘浩;《计算机工程》;20190628;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN111193728A (zh) | 2020-05-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111193728B (zh) | 网络安全评估方法、装置、设备及存储介质 | |
US11792229B2 (en) | AI-driven defensive cybersecurity strategy analysis and recommendation system | |
US20220210200A1 (en) | Ai-driven defensive cybersecurity strategy analysis and recommendation system | |
US10601848B1 (en) | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators | |
US8191149B2 (en) | System and method for predicting cyber threat | |
US20220201042A1 (en) | Ai-driven defensive penetration test analysis and recommendation system | |
US20220224723A1 (en) | Ai-driven defensive cybersecurity strategy analysis and recommendation system | |
EP2080317B1 (en) | Apparatus and a security node for use in determining security attacks | |
CN111125737B (zh) | 基于区块链的环境监测系统 | |
CN111178760B (zh) | 风险监测方法、装置、终端设备及计算机可读存储介质 | |
CN109962891A (zh) | 监测云安全的方法、装置、设备和计算机存储介质 | |
CN111600880A (zh) | 异常访问行为的检测方法、系统、存储介质和终端 | |
CN107566390B (zh) | 一种基于威胁情报的工业控制系统网络安全性分析系统及方法 | |
JP7069399B2 (ja) | コンピュータセキュリティインシデントを報告するためのシステムおよび方法 | |
CN109995736A (zh) | 检测威胁攻击的方法、装置、设备和存储介质 | |
CN114598504B (zh) | 一种风险评估方法、装置、电子设备及可读存储介质 | |
WO2021216163A2 (en) | Ai-driven defensive cybersecurity strategy analysis and recommendation system | |
CN114598506B (zh) | 工控网络安全风险溯源方法、装置、电子设备及存储介质 | |
CN114666101B (zh) | 一种攻击溯源检测系统及方法 | |
CN111193727A (zh) | 运行监测系统及运行监测方法 | |
CN116232770B (zh) | 一种基于sdn控制器的企业网络安全防护系统及方法 | |
CN110881016B (zh) | 一种网络安全威胁评估方法及装置 | |
CN114884735A (zh) | 一种基于安全态势的多源数据智能评估系统 | |
CN114268446A (zh) | 数据资产安全性评估方法、装置以及存储介质 | |
CN113497793A (zh) | 模型的优化方法、告警事件的检测方法、装置和设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |