CN111859400A - 风险评估方法、装置、计算机系统和介质 - Google Patents
风险评估方法、装置、计算机系统和介质 Download PDFInfo
- Publication number
- CN111859400A CN111859400A CN202010747916.9A CN202010747916A CN111859400A CN 111859400 A CN111859400 A CN 111859400A CN 202010747916 A CN202010747916 A CN 202010747916A CN 111859400 A CN111859400 A CN 111859400A
- Authority
- CN
- China
- Prior art keywords
- threat
- data
- threat data
- risk
- sample
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 130
- 238000012502 risk assessment Methods 0.000 title claims abstract description 71
- 238000012544 monitoring process Methods 0.000 claims abstract description 108
- 230000007123 defense Effects 0.000 claims abstract description 52
- 238000012360 testing method Methods 0.000 claims description 26
- 238000004590 computer program Methods 0.000 claims description 15
- 230000015654 memory Effects 0.000 claims description 8
- 238000012216 screening Methods 0.000 claims description 2
- 230000008569 process Effects 0.000 description 49
- 238000010586 diagram Methods 0.000 description 22
- 230000000116 mitigating effect Effects 0.000 description 13
- 238000004364 calculation method Methods 0.000 description 12
- 238000005336 cracking Methods 0.000 description 10
- 238000010276 construction Methods 0.000 description 9
- 238000012545 processing Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 8
- 230000006399 behavior Effects 0.000 description 7
- 238000000354 decomposition reaction Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 238000013461 design Methods 0.000 description 6
- 230000000694 effects Effects 0.000 description 5
- 238000000605 extraction Methods 0.000 description 5
- 230000006872 improvement Effects 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 5
- 230000002159 abnormal effect Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 4
- 230000008676 import Effects 0.000 description 4
- 238000012038 vulnerability analysis Methods 0.000 description 4
- 230000003542 behavioural effect Effects 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 3
- 238000013480 data collection Methods 0.000 description 3
- 238000011156 evaluation Methods 0.000 description 3
- 238000012797 qualification Methods 0.000 description 3
- 238000012163 sequencing technique Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000010485 coping Effects 0.000 description 2
- 238000013075 data extraction Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 230000004665 defense response Effects 0.000 description 2
- 238000004806 packaging method and process Methods 0.000 description 2
- 238000004088 simulation Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 239000000758 substrate Substances 0.000 description 2
- 108010001267 Protein Subunits Proteins 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000013210 evaluation model Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/02—Knowledge representation; Symbolic representation
- G06N5/022—Knowledge engineering; Knowledge acquisition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Computational Linguistics (AREA)
- Mathematical Physics (AREA)
- Evolutionary Computation (AREA)
- Data Mining & Analysis (AREA)
- Artificial Intelligence (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本公开提供了一种风险评估方法,涉及信息安全领域,该方法包括:获取待测系统的监测数据;将监测数据与威胁规则库进行匹配,以确定命中威胁规则库的监测数据为威胁数据,其中,威胁规则库基于知识库构建得到;确定威胁数据的风险等级;以及,基于威胁数据的风险等级,确定待测系统的防御策略。本公开还提供了一种风险评估装置、计算机系统和介质。
Description
技术领域
本公开涉及信息安全领域,更具体地,涉及一种风险评估方法、装置、计算机系统和介质。
背景技术
基于PASTA(The Process for Attack Simulation and Threat Analysis,以风险为中心的攻击模拟和威胁分析过程)的风险评估方案主要由七个子步骤组成:定义目标、定义技术范围、应用程序分解、威胁分析、漏洞和弱点分析、攻击建模、风险与影响分析。但每个步骤都非常复杂,目前业界对于威胁模型的构建主要是基于已知威胁事件及场景的构建,或对自身系统有足够了解的构建,基于PASTA进行威胁建模以及风险评估的应用和落地还存在一定的困难,存在威胁场景不够全面准确、对人员能力要求过高、威胁事件的处理缺乏轻重缓急的情况。而且在构建和维护威胁模型的过程中,不仅需要对系统深入了解的人员,还需要投入大量的时间和精力来进行模型的更新和系统加固,但往往效果并不理想。
发明内容
本公开的一个方面提供了一种风险评估方法,包括:获取待测系统的监测数据;将监测数据与威胁规则库进行匹配,以确定命中威胁规则库的监测数据为威胁数据,其中,威胁规则库基于知识库构建得到;确定威胁数据的风险等级;以及,基于威胁数据的风险等级,确定待测系统的防御策略。
可选地,上述方法还包括:获取关于待测系统的样本威胁数据;基于知识库,提取样本威胁数据的特征信息;以及,基于特征信息,构建威胁规则库。
可选地,上述知识库包括:通用攻击模式枚举及分类CAPEC知识库。上述基于知识库,提取样本威胁数据的特征信息包括:根据CAPEC知识库关于攻击域的分类方式,确定样本威胁数据的目标类别;根据CAPEC知识库关于攻击模式的分类方式,确定样本威胁数据的攻击类别;根据上述目标类别、攻击类别和CAPEC知识库的分级方式,确定样本威胁数据所属的CAPEC攻击树;以及,根据CAPEC知识库针对CAPEC攻击树的描述信息,确定样本威胁数据的特征信息。
可选地,上述样本威胁数据包括多个样本威胁数据,多个样本威胁数据属于M个攻击类别,M为大于等于1的整数。上述基于所述特征信息,构建威胁规则库包括:针对所述M个攻击类别中的每个攻击类别,基于属于该攻击类别的样本威胁数据的特征信息,构建针对该攻击类别的子规则库;以及,由针对M个攻击类别的M个子规则库构成威胁规则库。
可选地,上述提取样本威胁数据的特征信息还包括:提取所述样本威胁数据的通用特征信息,通用特征信息包括如下至少一项:源IP地址、目的IP地址、源端口信息、目的端口信息、URL信息、有效载荷信息和异常日志信息。
可选地,上述方法还包括:在上述将监测数据与威胁规则库进行匹配之前,基于知识库,提取监测数据的特征信息。上述将监测数据与威胁规则库进行匹配包括:将监测数据的特征信息与威胁规则库进行匹配。
可选地,上述获取关于待测系统的样本威胁数据包括如下至少一项:确定针对待测系统的资产的潜在威胁数据,以作为样本威胁数据;获取针对待测系统的威胁情报,并从威胁情报中筛选出潜在威胁数据,以作为样本威胁数据;以及,监测待测系统的真实威胁数据,以作为样本威胁数据。
可选地,上述确定威胁数据的风险等级包括:获取威胁数据的风险因素,风险因素包括如下至少一项:威胁数据所针对的资产的重要程度指标、威胁数据的受影响用户数量、威胁数据的发生可能性指标、威胁数据所导致的潜在损失指标、威胁数据的利用难度指标、威胁数据的发现难度指标;根据风险因素,计算威胁数据的风险评估值;以及,根据风险评估值确定所述威胁数据所属的风险等级。
可选地,上述获取所述威胁数据的风险因素包括:从知识库中获取威胁数据的风险因素。
可选地,上述计算威胁数据的风险评估值包括:计算上述重要程度指标、上述受影响用户数量、上述潜在损失指标、上述利用难度指标和上述发现难度指标之和的预定比例,以得到威胁数据的危急程度指标;以及,对上述危急程度指标和上述威胁数据的发生可能性指标之乘积进行开方运算,以得到风险评估值。上述根据风险评估值确定所述威胁数据所属的风险等级包括:根据风险评估值所落入的预定区间范围,确定风险等级。
可选地,上述方法还包括:每隔预定时间周期,重复执行上述获取待测系统的监测数据、上述将监测数据与威胁规则库进行匹配、以及上述确定威胁数据的风险等级的操作;以及,在本次所确定的风险等级相对于前次所确定的风险等级发生变化时,对防御策略进行调整。
可选地,上述威胁数据包括多个威胁数据。上述基于威胁数据的风险等级,确定待测系统的防御策略包括:将多个威胁数据按照风险等级降序排列,以得到风险排序;分别确定风险排序中的前预定数量个威胁数据各自的防御策略;以及,分别执行上述预定数量个威胁数据各自的防御策略。
本公开的另一方面提供了一种风险评估装置,包括:监测模块、匹配模块、风险评估模块和防御模块。监测模块用于获取待测系统的监测数据。匹配模块用于将监测数据与威胁规则库进行匹配,以确定命中威胁规则库的监测数据为威胁数据。其中,威胁规则库基于知识库构建得到。风险评估模块用于确定所述威胁数据的风险等级。防御模块用于基于威胁数据的风险等级,确定待测系统的防御策略。
本公开的另一方面提供了一种计算机系统,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时用于实现如上所述的方法。
本公开的另一方面提供了一种计算机可读存储介质,存储有计算机可执行指令,所述指令在被执行时用于实现如上所述的方法。
本公开的另一方面提供了一种计算机程序,所述计算机程序包括计算机可执行指令,所述指令在被执行时用于实现如上所述的方法。
根据本公开的实施例,预先基于知识库构建威胁规则库,在针对待测系统的监测过程中基于该威胁规则库进行威胁分析。由于知识库可以列举已发现的各种攻击模式并提供攻击模式的标准化分类方法,故可以理解为本公开利用知识库所提供的标准化分析规则来进行威胁分析,并在确定威胁数据后进一步进行风险评估。依赖于知识库的全面性和权威性,根据本公开实施例的风险评估方法可以面对较为全面的威胁场景,并在确定威胁后准确地评估风险,以实现针对威胁事件的有效处理。降低了对监控人员的专业要求,便捷有效地实现了基于PASTA的风险评估方案。
附图说明
为了更完整地理解本公开及其优势,现在将参考结合附图的以下描述,其中:
图1示意性示出了根据本公开实施例的应用风险评估方法和装置的示例性系统架构;
图2示意性示出了根据本公开实施例的风险评估方法的流程图;
图3示意性示出了根据本公开实施例的风险评估系统的示例结构图;
图4示意性示出了根据本公开实施例图3所示的威胁确定装置310的示例结构图;
图5示意性示出了根据本公开实施例图4所示的威胁获取单元3121的示例结构图;
图6示意性示出了根据本公开实施例图3所示的威胁匹配装置320的示例结构图;
图7示意性示出了根据本公开实施例图3所示的威胁定性装置330的示例结构图;
图8示意性示出了根据本公开另一实施例的风险评估方法的示例流程图;
图9示意性示出了根据本公开实施例的登录过程的示例数据流图;
图10示意性示出了根据本公开实施例的风险评估装置的框图;以及
图11示意性示出了根据本公开实施例的计算机系统的框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。在使用类似于“A、B或C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B或C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。
本公开的实施例提供了一种风险评估方法和装置。该风险评估方法可以包括监测过程、匹配过程、评估过程和防御过程。在监测过程中,获取待测系统的监测数据。在匹配过程中,将监测数据与威胁规则库进行匹配,以确定命中威胁规则库的监测数据为威胁数据。其中,威胁规则库基于知识库构建得到。在评估过程中确定威胁数据的风险等级。并在防御过程中基于威胁数据的风险等级,确定待测系统的防御策略。
基于PASTA的风险评估方案主要由七个子步骤组成:定义目标、定义技术范围、应用程序分解、威胁分析、漏洞和弱点分析、攻击建模、风险与影响分析。但每个步骤都非常复杂,目前业界对于威胁模型的构建主要是基于已知威胁事件及场景的构建,或对自身系统有足够了解的构建,基于PASTA进行威胁建模以及风险评估的应用和落地还存在一定的困难,存在威胁场景不够全面准确、对人员能力要求过高、威胁事件的处理缺乏轻重缓急的情况。而且在构建和维护威胁模型的过程中,不仅需要对系统深入了解的人员,还需要投入大量的时间和精力来进行模型的更新和系统加固,但往往效果并不理想。为克服基于PASTA进行威胁建模以及风险评估的应用难点,本公开实施例提供了基于知识库进行威胁建模的方案,从而基于所构建的威胁模型进行风险评估方法和装置,请参阅图1。
图1示意性示出了根据本公开实施例的可以应用风险评估方法和装置的示例性系统架构100。需要注意的是,图1所示仅为可以应用本公开实施例的系统架构的示例,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。
如图1所示,根据该实施例的系统架构100可以包括监控服务器110,网络120和多个服务器/服务器集群130。网络120用以在监控服务器110和服务器/服务器集群130之间提供通信链路的介质。
监控服务器110上可以安装有威胁建模及风险评估软件。监控服务器110可以通过各种威胁建模及风险评估软件对任一服务器/服务器集群130进行威胁建模和风险评估,以在任一服务器/服务器集群130上采取相应的防御策略。
示例性地,本公开实施例所提供的风险评估方法可以由监控服务器110执行。相应地,本公开实施例所提供的安全评估装置可以设置于监控服务器110中。例如,监控服务器110可以针对任一服务器/服务器集群130进行威胁模型构建,并在就监测该任一服务器/服务器集群130的过程中基于该威胁模型来确定该任一服务器/服务器集群130是否遭受到威胁、威胁的风险等级等具体情况,进而在该服务器/服务器集群130上实施相应的防御策略,可以尽量避免威胁可能带来的影响和损失。在其他实施例中,本公开实施例所提供的风险评估方法也可以由服务器/服务器集群130执行。
应该理解,图1中的监控服务器、网络和服务器/服务器集群的数目仅仅是示意性的。根据实际需要,可以具有任意数目的监控服务器、网络和服务器/服务器集群。
根据本公开的实施例,提供了一种风险评估方法。下面结合附图进行示例性说明。应注意,以下方法中各个操作的序号仅作为该操作的表示以便描述,而不应被看作表示该各个操作的执行顺序。除非明确指出,否则该方法不需要完全按照所示顺序来执行。
图2示意性示出了根据本公开实施例的风险评估方法的流程图,该方法例如可以由如图1所示的监控服务器110执行,可以将如图1所示的任一服务器/服务器集群130作为待测系统。在其他例子中,该方法也可以由待测系统自身来执行,在此不做限制。
如图2所示,该风险评估方法可以包括操作S201~S204。
在操作S201,获取待测系统的监测数据。
本例中,待测系统作为监测对象,以通过监测数据来获知待测系统的运行状态和威胁事件发生情形。
在操作S202,将监测数据与威胁规则库进行匹配,以确定命中威胁规则库的监测数据为威胁(threat)数据。
其中,威胁规则库基于知识库构建得到。知识库为信息安全风险评估相关的知识库,可以列举已发现的各种攻击模式并提供攻击模式的标准化分类方法。威胁数据为威胁事件的相关数据。
在操作S203,确定威胁数据的风险等级。
在操作S204,基于威胁数据的风险等级,确定待测系统的防御策略。
本领域技术人员可以理解,根据本公开实施例的风险评估方法预先基于知识库构建威胁规则库,在针对待测系统的监测过程中基于该威胁规则库进行威胁分析。由于知识库可以列举已发现的各种攻击模式并提供攻击模式的标准化分类方法,故可以理解为本公开利用知识库所提供的标准化分析规则来进行威胁分析,并在确定威胁数据后进一步进行风险评估。依赖于知识库的全面性和权威性,根据本公开实施例的风险评估方法可以面对较为全面的威胁场景,并在确定威胁后准确地评估风险,以实现针对威胁事件的有效处理。降低了对监控人员的专业要求,便捷有效地实现了基于PASTA的风险评估方案。
根据本公开的实施例,在获取到多个威胁数据的情况下,上述基于威胁数据的风险等级,确定待测系统的防御策略的过程可以包括:将多个威胁数据按照风险等级降序排列,以得到风险排序;分别确定风险排序中的前预定数量个威胁数据各自的防御策略;以及,分别执行上述预定数量个威胁数据各自的防御策略。也就是说,针对风险等级较高的威胁数据,需要采取更高的优先级来制定并执行相应的防御策略,以实现针对威胁事件的有序、有选择的处理机制,提高威胁防御效率。此外,还可以周期性地执行上述操作S201~S203,并在所监测到的风险排序发生变化时动态地更新防御策略,以实现针对威胁事件的动态防御。可以应对更加复杂多变的威胁场景。其中,风险排序发生变化可能仅为单一风险因素的变化导致的,例如威胁数据的风险发生的可能性发生变化时,可以进行防御应对的调整。
根据本公开的实施例,在开始进行监测之前,需要预先基于知识库来构建威胁规则库。示例性地,该构建过程可以包括:获取关于待测系统的样本威胁数据;基于知识库,提取样本威胁数据的特征信息;以及,基于特征信息,构建威胁规则库。
示例性地,获取关于待测系统的多个样本威胁数据。按照知识库中针对攻击模式的标准化分类方式,可以确定每个样本威胁数据所属的攻击类别,从而将多个样本威胁数据划分至M个攻击类别,M为大于等于1的整数。针对该M个攻击类别中的每个攻击类别,基于属于该攻击类别的全部样本威胁数据的特征信息,可以构建针对该攻击类别的子规则库,故针对M个攻击类别可以构建M个子规则库。由该M个子规则库构成威胁规则库。
可以理解,基于上述方式构建的威胁规则库中可以包含各种样本威胁数据的特征信息。为便于与威胁规则库进行匹配,在获取到监测数据之后,可以先基于知识库提取监测数据的特征信息,然后再将监测数据的特征信息与威胁规则库上述将监测数据与威胁规则库进行匹配包括:将监测数据的特征信息与威胁规则库进行匹配。
下面举例说明样本威胁数据的获取方式以及特征信息的提取方式。
示例性地,待测系统的样本威胁数据可以包括待测系统的潜在威胁数据和真实威胁数据中的至少一项。潜在威胁数据可以是待测系统中尚未发生但通过预定方式预测待测系统可能会发生的威胁事件的相关数据。例如,可以按照如下两种方式中的至少一种来获取待测系统的潜在威胁数据:方式1,确定针对待测系统的资产的潜在威胁数据,以作为样本威胁数据;方式2,获取针对待测系统的威胁情报,并从威胁情报中筛选出潜在威胁数据,以作为样本威胁数据。真实威胁数据可以是待测系统中真实发生的威胁事件的相关数据,例如由监测服务器监测得到的历史威胁数据。
在一个具体的例子中,本公开实施例所使用的知识库例如为CAPEC(CommonAttack Pattern Enumeration and Classification,通用攻击模式枚举及分类)知识库,该知识库可以提供标准化的攻击模式分类方法以及全面的攻击模式枚举知识库。上述基于知识库,提取样本威胁数据的特征信息的过程可以包括:根据CAPEC知识库关于攻击域的分类方式,确定样本威胁数据的目标类别;根据CAPEC知识库关于攻击模式的分类方式,确定样本威胁数据的攻击类别;根据上述目标类别、攻击类别和CAPEC知识库的分级方式,确定样本威胁数据所属的CAPEC攻击树;以及,根据CAPEC知识库针对CAPEC攻击树的描述信息,确定样本威胁数据的特征信息。在其他例子中,也可以使用其他信息安全风险评估相关的知识库,例如CWE(Common Weakness Enumeration,通用漏洞枚举)知识库等,其使用原理与上述类似,在此不做限制。
进一步地,上述提取样本威胁数据的特征信息还可以包括:提取样本威胁数据的通用特征信息。通用特征信息例如包括如下至少一项:源IP(Internet Protocol,网际互联协议)地址、目的IP地址、源端口信息、目的端口信息、URL(Uniform Resource Locator,统一资源定位符)信息、有效载荷(payload)信息、异常日志信息等。这些通用特征信息可以用于描述与样本威胁数据对应的威胁事件的静态特征和行为特征。
可以理解,利用CAPEC知识库中已有的针对较为全面的威胁事件的标准化分类分级方式以及描述信息,可以查找到样本威胁数据的特征信息。再结合样本威胁数据自身携带的通用特征信息,可以准确、全面地描述关于待测系统的样本威胁数据。进而可以构建出准确有效的威胁规则库。整个过程均可由机器自动化完成,减少人工设置和参与,提高准确率和效率。提取监测数据的特征信息的过程与以上实施例所述的提取样本威胁事件的过程类似,在此不再赘述。
上述实施例基于CAPEC知识库对样本威胁数据进行分析处理并构建威胁规则库,将待测系统的资产(asset)所面临的潜在威胁与监测到的真实威胁结合起来,将PASTA方法中的定义技术范围、威胁分析、漏洞和弱点分析等确定威胁的过程进行优化,提供了一种全面的、可落地的威胁建模方法。此外,通过引入实时监测到的威胁数据,实现对风险等级的动态排序和防御策略的动态调整,最终实现简单有效的动态威胁识别、威胁列举、评分、威胁缓解的动态防御。
下面参考图3~图7,以功能模块的形式对根据本公开实施例的风险评估方法进行示例性展开说明。
图3示意性示出了根据本公开实施例的风险评估系统的示例结构图,该风险评估系统用于实施本公开实施例的风险评估方法,例如具体包括基于CAPEC的PASTA威胁建模改进方法及动态防御实现方法。例如待测系统为企业的服务器或服务器集群,待测系统中的软件、硬件、数据等对应于企业资产。
如图3所示,该风险评估系统300可以包括:威胁确定装置310、威胁匹配装置320和威胁定性装置330。
威胁确定装置310可以从企业资产、威胁情报和实时监测数据中获取、分析、筛选出样本威胁数据。例如可以执行上文实施例中获取样本威胁数据的过程。威胁匹配装置320可以结合威胁确定装置310所确定的样本威胁数据,进行威胁规则库设计。例如可以执行上文实施例中构建威胁规则库的过程。并且威胁匹配装置320可以对监测到的实际监测数据进行特征提取和规则库匹配。利用上文实施例中针对监测数据的特征提取和匹配过程。威胁定性装置330可以对威胁数据进行风险等级计算、排序以及缓和策略配置,并可以根据实时监测数据的变化,动态地调整防御策略。通过这三个模块的相互协作,共同完成了基于CAPEC的PASTA威胁建模改进方法及动态防御实现。下面示例性地分别进行说明。
威胁确定装置310主要用于对PASTA威胁建模过程的简化和改进,基于CAPEC知识库对企业资产自身的潜在安全威胁、收集到的威胁情报以及实时监控过程中所面临的真实威胁进行分析,以得到样本威胁数据。并针对样本威胁数据给出CAPEC攻击树描述及关键威胁数据,从样本威胁数据中提取目标资产、关键字/行为特征、攻击可能性(1ikelihood)、典型严重性、相关弱点、所需技能/条件/资源、缓解措施等特征信息。然后将样本威胁数据及其特征信息写入指定数据库以待调用。
威胁匹配装置320主要用于威胁规则库设计,以及针对真实监测数据的规则库命中比较。例如结合威胁确定装置310所确定的样本威胁数据(包括潜在威胁和/或真实威胁),进行威胁规则库设计。并且采集监测数据,将采集到的监测数据与威胁规则库进行命中比较,以便确定威胁数据,并在后续对威胁数据进行排序。
威胁定性装置330主要用于确定威胁数据的风险等级,并基于风险等级对威胁数据进行排序,进一步地,还可以进行缓和策略配置。对于经过风险等级计算和风险等级排序的威胁数据,进行缓和策略配置。通过周期性地执行上述采集监测数据、匹配、以及确定风险等级的过程,依据实时监测到的风险发生的可能性,对风险等级进行动态更新,以实现威胁的动态防御应对。
图4示意性示出了根据本公开实施例图3所示的威胁确定装置310的示例结构图。
如图4所示,威胁确定装置310可以包括潜在威胁确定单元311和真实威胁确定单元312。潜在威胁确定单元311可以包括资产威胁分析单元3111和威胁情报分析单元3112。真实威胁确定单元312可以包括威胁获取单元3121和真实威胁分析单元3122。
示例性地,潜在威胁确定单元311用于从企业资产自身的安全威胁和收集到的威胁情报中分析、筛选、提取出潜在威胁数据。例如,资产威胁分析单元3111对于资产自身的安全威胁,基于CAPEC知识库中的攻击域视图(表征针对攻击域的分类方法)对攻击域的分类分层方法,对企业资产进行分类及CAPEC攻击树描述,并且根据实际情况对这些资产可能面临的风险进行分解分析,获取资产自身的潜在威胁数据的特征信息。威胁情报分析单元3112可以对于收集到的威胁情报进行分析提取,筛选出潜在威胁数据及其特征信息。
示例性地,真实威胁确定单元312可以根据实时监控过程中所面临的真实威胁情况,对威胁数据进行获取和分析。例如,真实威胁数据的获取过程可以通过威胁获取单元3121完成,对真实威胁数据的分类、分解过程可以由真实威胁分析单元3122基于CAPEC攻击机制视图(表征针对攻击模式的分类方法)对攻击模式的分类分层方法来进行。
图5示意性示出了根据本公开实施例图4所示的威胁获取单元3121的示例结构图。
如图5所示,威胁获取单元3121可以包括威胁数据收集单元31211、威胁数据提取单元31212和威胁数据存入单元31213。威胁获取单元3121用于收集、提取和存入真实威胁数据。其中,威胁数据收集单元31211用于进行真实威胁数据的收集。真实威胁数据的收集来自于实时监测到的监测数据,如数据报文、日志信息等。威胁数据提取单元31212用于提取监测数据的一般包含源IP、目的IP、端口、URL、有效载荷、系统异常日志等特征信息。此外,威胁数据存入单元31213基于CAPEC知识库的攻击机制视图,对定位到的威胁数据进行CAPEC攻击树分析及相关攻击模式的关键信息描述等,以作为威胁数据的特征信息。
图6示意性示出了根据本公开实施例图3所示的威胁匹配装置320的示例结构图。如图6所示,威胁匹配装置320可以包括:威胁规则库设计单元321、数据采集及导入单元322和匹配单元323。
示例性地,威胁规则库设计单元321用于结合威胁确定装置310所确定的潜在威胁数据、真实威胁数据及其相关特性信息,采用模块化的结构设计,通过对攻击方法进行系统分类,将攻击方法进行逐级划分范围,再根据不同的攻击类别建立各个子规则库模块。各个子规则库可以描述具体各种类型攻击(对应于不同攻击类别)的静态特征和行为特征。例如,一个子规则库应可以包括IP、域名、端口、关键字、行为特征等特征信息,不同特征信息之间可直接使用逗号隔开。
数据采集及导入单元322可以从威胁数据来源进行监测数据的提取和监测数据的导入。数据来源包括网络数据源(如数据报文)、主机数据源(如设备日志)、以及在威胁获取单元3121中已有相关的数据记录。监测数据的提取过程包括提取监测数据的如IP、域名、端口、有效载荷、日志等特征信息。其中,IP、域名、端口等特征信息用于定位监测数据所针对的企业资产,有效载荷、日志等特征信息用于表征监测数据的关键字特征和/或行为特征。然后将提取到的监测数据的特征信息存入到数据库中,以待后续匹配过程。
匹配单元323用于将数据采集及导入单元322采集的监测数据的特征信息与威胁规则库设计单元321所建立的威胁规则库进行匹配,如果一条监测数据命中威胁规则库,则确定该监测数据为威胁数据,可以进入到下一步的威胁定性装置330。否则确定该监测数据为正常数据,无需进行风险评估及防御处理。
图7示意性示出了根据本公开实施例图3所示的威胁定性装置330的示例结构图。
如图7所示,威胁定性装置330可以包括:威胁风险等级计算单元331、威胁风险等级排序单元332和威胁缓和策略配置单元333。
示例性地,威胁风险等级计算单元331用于计算威胁的风险等级,例如,通过兼容企业已有的风险等级算法,结合风险因素(例如资产的重要程度、风险发生的可能性、CAPEC知识库对威胁后果的判断情况以及算法需要的其它数据等),对威胁数据的风险等级进行综合计算。其中,风险发生的可能性主要来自于威胁获取单元3121中记录的数据,此项数据可以根据需求定期更新(例如将预定时间周期设置为一周、一月等,在此不做限制),是进行动态防御的关键依据。
威胁风险等级排序单元332用于根据威胁风险等级计算单元331的计算结果,对威胁风险等级进行排序,以达到有轻重缓急的差异化威胁应对。
威胁缓和策略配置单元333用于根据威胁风险等级排序单元332的排序结果,对威胁缓和策略进行分类配置。此配置单元需结合威胁获取单元3121中记录的风险发生的可能性(例如根据预定时间周期内的监测数据进行统计得到),对相关威胁应对策略进行动态调整,最终实现威胁的动态防御。
下面参考图8~图9,结合一个具体例子对上文中各实施例进行示例性说明。图8示意性示出了根据本公开另一实施例的风险评估方法的示例流程图,图9示意性示出了根据本公开实施例的登录过程的示例数据流图。
根据本公开实施例的风险评估方法,可以实现基于知识库的PASTA威胁建模改进方法及动态防御实现,上文实施例已经对威胁建模的改进过程及动态防御实现的整体技术方案进行介绍,下面以软件A的登录过程所面临的明文暴力破解威胁为例(此处以资产自身的潜在威胁为例,对收集到的威胁情报和真实威胁的分解过程与此过程类似,故不再重复),对其威胁确定、匹配和定性过程进行示例描述,并且对相关的动态防御过程进行介绍,具体流程参见图8,登录过程的数据流图(Data Flow Diagram,DFD)请参见图9。
如图8所示,在操作S801,风险评估系统开始运行,威胁确定装置310通过调用潜在威胁确定单元311和真实威胁确定单元312对企业面临的潜在威胁和真实威胁进行收集、分类和分解,并存入数据库。上述收集的潜在威胁和真实威胁以威胁数据的形式存在,可统称为样本威胁数据,针对任一样本威胁数据(例如软件A的登录过程所面临的明文暴力破解威胁的日志),可以进行如下分类、分解过程,以提取相应的特征信息。
首先,定义该样本威胁数据的目标类别为软件。该过程中,根据CAPEC知识库对攻击域的分类:软件、硬件、通信、供应链、社会工程、物理安全,确定样本威胁数据的目标类别。
然后,定义样本威胁数据的技术范围为“明文暴力破解(49)”。其中“49”为知识库中针对该威胁数据“明文暴力破解”的编号,下文中同理。
其次,根据如图9所示的登录过程的数据流图进行应用程序分解。主要涉及登录时的数据输入、服务器处理过程等。
接着,进行威胁分析,以表征该威胁的行为特征。例如,该样本威胁数据的行为特征为:通过暴力破解获取用户权限,导致可用性、机密性受损。
接着,基于知识库中的分类和分层方法,确定该样本威胁数据所属的知识库。例如进行CAPEC攻击树分析,得到该样本威胁数据所属的攻击树为:“软件(513)-暴力破解(112)-明文暴力破解(49)”。其中,“513”为知识库中针对该攻击域“软件”的编号,“112”为知识库中针对攻击类别“暴力破解”的编号。
此外,还可以针对样本威胁数据进行漏洞弱点及缓解措施分析,如表1所示,表1展示了知识库中针对上述攻击树的关键描述信息。
表1
表1中,“攻击可能性”表征该样本威胁数据所对应的威胁事件发生的可能性。“典型严重性”表征该样本威胁数据所对应的威胁事件可能造成的潜在损失。“相关弱点”表征该样本威胁数据所针对的弱点。“所需技能/条件/资源”表征该样本威胁数据所对应的威胁事件的实施条件,进而表征该样本威胁数据所对应的威胁事件的利用难度。“缓解策略”表征针对该样本威胁数据可以制定的防御策略。以上各项信息均可以作为样本威胁数据的特征信息以供后续构建威胁规则库以及计算风险等级等过程使用。
在操作S802,威胁匹配装置320结合威胁确定装置310所确定的样本威胁数据及其特征信息,进行威胁规则库设计,并将采集到的监测数据与威胁规则库进行匹配,确定命中的监测数据为威胁数据。
例如,对于明文暴力破解威胁,其行为特征为:同一个IP在短时间内触发大量错误警报,报文中的用户名相同,密码为明文无规则的字符串。一旦触发即封禁该源IP。因此其威胁规则库设计应结合该威胁数据的特征信息,如:
{<des_ip,192.168.1.1>,<port,80>,<url,”https://www.test.com/login.php”>,<msg,response_error_range(50,1000)>,<msg,...>}
其中,“192.168.1.1”为该威胁数据的目的IP地址,“80”为该威胁数据的端口号,https://www.test.com/login.php为该威胁数据所针对的URL。
监测数据的数据来源为数据报文和应用日志。从数据报文中提取源IP、目的IP、域名、端口、有效载荷、时间戳等特征信息,从应用日志中提取同一时间段内的异常日志信息,然后汇总存入到威胁数据库中。
针对采集到的监测数据,可以从监测数据的如目的IP、域名、端口等特征信息定位到软件A,从监测数据的异常日志信息获知行为特征。例如,行为特征为同一个源IP在10秒内的登录异常次数为100。将监测数据的特征信息与预先构建的威胁规则库进行匹配。如果发现命中威胁规则库,确定该监测数据为威胁数据。进入到下一步的威胁定性装置。
在操作S803,威胁定性装置330对威胁数据的风险等级进行计算和排序。
威胁风险等级计算单元31:此处可沿用企业已有的风险等级计算方法,结合资产的重要程度、风险发生的可能性、CAPEC对威胁后果的判断情况以及算法需要的其它数据,对威胁数据的风险等级进行综合计算。为展示具体的计算过程,此处使用风险等级计算公式(1)。
其中,L表征风险等级,X表征威胁数据所对应威胁的发生可能性,Y表征威胁数据的危急程度。威胁发生的可能性可以根据不同级别划分至不同数值区间,例如,当威胁发生的可能性极低、可被忽略时,X可以取值为0;当威胁发生的可能性较低时,X可以在区间[1,2]内取值;当威胁发生的可能性中等时,X可以在区间[3,5]内取值;当威胁发生的可能性较高时,X可以在区间[6,8]内取值;当威胁发生的可能性严重时,X可以在区间[9,10]内取值。从而将X归类到0~10的具体值。危急程度Y可以按照公式(2)进行计算。
其中,F1表征威胁数据所针对的资产重要程度,F2表征威胁数据的受影响用户的数量,F3表征威胁数据所造成的潜在损失,F4表征威胁数据的利用难度,F5表征威胁数据的发现难度。可以理解为Y等于多个风险因素的加权求和,各个风险因素的权重总和为1,本例中各个风险因素的权重均为1/5。上述每个风险因素的指标值也可以按照忽略、低、中、高、严重分别归类到0~10的具体值。上述风险因素中的部分或全部可以来自于知识库,例如表1所示的威胁数据的特性信息。
根据操作S801中所列的明文暴力破解(49)的漏洞弱点分析,其风险等级计算过程如下:
威胁发生的可能性:中,分值5;
资产重要程度(Value):重要资产,分值7;
受影响用户(Affected users):对外应用,一些用户,但不多,分值4;
潜在损失(Damage Potential):高,企业用户数据被盗用或影响,分值8;
利用难度(Exploitability):互联网上存在恶意软件,此漏洞可被轻易地利用,分值3;
发现难度(Discoverability):可以通过猜测或监测网络活动来发现,分值5。
按照公式(1)和公式(2)计算得知登录过程中的明文暴力破解(49)风险等级为5.19,对应等级为中。
在操作S804,威胁的动态防御实现过程,对威胁缓和策略进行配置,并且判断实时监测的威胁数据中风险发生的可能性是否有变化。如果没有变化,则直接执行操作S805,进入到威胁应对环节。如果有变化,则结合最新的监测数据,重新执行操作S803,进行重新的风险等级计算及风险排序,并重新回到本操作S804。
在操作S805,威胁的应对环节,先通过S802中匹配到的威胁规则库处置策略,对源IP实施封禁,再基于风险排序和相关威胁缓和策略的配置,根据企业实际情况和风险等级的高低,有计划地实施表1中所列举的对漏洞弱点分析的缓解策略(例如设置密码时限;强化密码规则;实现密码节流机制,如限制错误密码尝试次数、引入超时时间等),以实现动态防御。
可以理解,根据本公开实施例的风险评估方法可以实现基于知识库的PASTA威胁建模改进方法及动态防御实现。上文中实施例依据知识库所提供的全面的攻击模式列表,以及基于攻击机制和攻击域对攻击模式构建的分层方法,对PASTA威胁建模过程进行优化,将威胁建模的实现过程简化为威胁确定、威胁匹配和威胁定性三个主要步骤。同时,基于知识库分别对资产面临的潜在威胁和实时监控到的真实威胁进行分析及威胁特征匹配,并且结合现有评估模型和真实风险发生的可能性,对资产面临的威胁进行分类和动态排序,最终实现有针对性的动态防御。这样不仅可以简化威胁建模过程,还可以保证威胁模型的全面性和准确性,并且依据实时的威胁监测结果,动态调整防御策略,在减轻安全人员工作难度的同时,有效提高企业的系统安全性。
图10示意性示出了根据本公开实施例的风险评估装置的框图,可以应用于如图1所示的监控服务器,或者其他可以用于安全评估的各种类型的计算机系统。在其他例子中,该方法也可以由待测系统自身来执行,在此不做限制。
如图10所示,该风险评估装置1000可以包括:监测模块1010、匹配模块1020、风险评估模块1030和防御模块1040。
监测模块1010用于获取待测系统的监测数据。
匹配模块1020用于将监测数据与威胁规则库进行匹配,以确定命中威胁规则库的监测数据为威胁数据。其中,威胁规则库基于知识库构建得到。
风险评估模块1030用于确定所述威胁数据的风险等级。
防御模块1040用于基于威胁数据的风险等级,确定待测系统的防御策略。
需要说明的是,装置部分实施例中各模块/单元/子单元等的实施方式、解决的技术问题、实现的功能、以及达到的技术效果分别与方法部分实施例中各对应的步骤的实施方式、解决的技术问题、实现的功能、以及达到的技术效果相同或类似,在此不再赘述。
根据本公开的实施例的模块、子模块、单元、子单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,根据本公开实施例的模块、子模块、单元、子单元中的一个或多个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
例如,监测模块1010、匹配模块1020、风险评估模块1030和防御模块1040中的任意多个可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公开的实施例,监测模块1010、匹配模块1020、风险评估模块1030和防御模块1040中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,监测模块1010、匹配模块1020、风险评估模块1030和防御模块1040中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图11示意性示出了根据本公开实施例的适于实现上文描述的方法的计算机系统的框图。图11示出的计算机系统仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图11所示,根据本公开实施例的计算机系统1100包括处理器1101,其可以根据存储在只读存储器(ROM)1102中的程序或者从存储部分1108加载到随机访问存储器(RAM)1103中的程序而执行各种适当的动作和处理。处理器1101例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC)),等等。处理器1101还可以包括用于缓存用途的板载存储器。处理器1101可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
在RAM 1103中,存储有系统1100操作所需的各种程序和数据。处理器1101、ROM1102以及RAM 1103通过总线1104彼此相连。处理器1101通过执行ROM 1102和/或RAM 1103中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意,所述程序也可以存储在除ROM 1102和RAM 1103以外的一个或多个存储器中。处理器1101也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
根据本公开的实施例,系统1100还可以包括输入/输出(I/O)接口1105,输入/输出(I/O)接口1105也连接至总线1104。系统1100还可以包括连接至I/O接口1105的以下部件中的一项或多项:包括键盘、鼠标等的输入部分1106;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分1107;包括硬盘等的存储部分1108;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分1109。通信部分1109经由诸如因特网的网络执行通信处理。驱动器1110也根据需要连接至I/O接口1105。可拆卸介质1111,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器1110上,以便于从其上读出的计算机程序根据需要被安装入存储部分1108。
根据本公开的实施例,根据本公开实施例的方法流程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读存储介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分1109从网络上被下载和安装,和/或从可拆卸介质1111被安装。在该计算机程序被处理器1101执行时,执行本公开实施例的系统中限定的上述功能。根据本公开的实施例,上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。
本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,尽管已经参照本公开的特定示例性实施例示出并描述了本公开,但是本领域技术人员应该理解,在不背离所附权利要求及其等同物限定的本公开的精神和范围的情况下,可以对本公开进行形式和细节上的多种改变。因此,本公开的范围不应该限于上述实施例,而是应该不仅由所附权利要求来进行确定,还由所附权利要求的等同物来进行限定。
Claims (15)
1.一种风险评估方法,包括:
获取待测系统的监测数据;
将所述监测数据与威胁规则库进行匹配,以确定命中所述威胁规则库的监测数据为威胁数据,其中,所述威胁规则库基于知识库构建得到;
确定所述威胁数据的风险等级;以及
基于所述威胁数据的风险等级,确定所述待测系统的防御策略。
2.根据权利要求1所述的方法,还包括:
获取关于所述待测系统的样本威胁数据;
基于所述知识库,提取所述样本威胁数据的特征信息;以及
基于所述特征信息,构建所述威胁规则库。
3.根据权利要求2所述的方法,其中,所述知识库包括:通用攻击模式枚举及分类CAPEC知识库;
所述基于所述知识库,提取所述样本威胁数据的特征信息包括:
根据所述CAPEC知识库关于攻击域的分类方式,确定所述样本威胁数据的目标类别;
根据所述CAPEC知识库关于攻击模式的分类方式,确定所述样本威胁数据的攻击类别;
根据所述目标类别、所述攻击类别和所述CAPEC知识库的分级方式,确定所述样本威胁数据所属的CAPEC攻击树;以及
根据所述CAPEC知识库针对所述CAPEC攻击树的描述信息,确定所述样本威胁数据的特征信息。
4.根据权利要求3所述的方法,其中,所述样本威胁数据包括多个样本威胁数据,所述多个样本威胁数据属于M个攻击类别,M为大于等于1的整数;
所述基于所述特征信息,构建所述威胁规则库包括:
针对所述M个攻击类别中的每个攻击类别,基于属于所述攻击类别的样本威胁数据的特征信息,构建针对所述攻击类别的子规则库;以及
由针对所述M个攻击类别的M个子规则库构成所述威胁规则库。
5.根据权利要求3所述的方法,所述提取所述样本威胁数据的特征信息还包括:
提取所述样本威胁数据的通用特征信息,所述通用特征信息包括如下至少一项:源IP地址、目的IP地址、源端口信息、目的端口信息、URL信息、有效载荷信息和异常日志信息。
6.根据权利要求2所述的方法,还包括:在所述将所述监测数据与威胁规则库进行匹配之前,基于所述知识库,提取所述监测数据的特征信息;
所述将所述监测数据与威胁规则库进行匹配包括:将所述监测数据的特征信息与所述威胁规则库进行匹配。
7.根据权利要求2所述的方法,其中,所述获取关于所述待测系统的样本威胁数据包括如下至少一项:
确定针对所述待测系统的资产的潜在威胁数据,以作为所述样本威胁数据;
获取针对所述待测系统的威胁情报,并从所述威胁情报中筛选出潜在威胁数据,以作为所述样本威胁数据;以及
监测所述待测系统的真实威胁数据,以作为所述样本威胁数据。
8.根据权利要求1~7任一项所述的方法,其中,所述确定所述威胁数据的风险等级包括:
获取所述威胁数据的风险因素,所述风险因素包括如下至少一项:所述威胁数据所针对的资产的重要程度指标、所述威胁数据的受影响用户数量、所述威胁数据的发生可能性指标、所述威胁数据所导致的潜在损失指标、所述威胁数据的利用难度指标、所述威胁数据的发现难度指标;
根据所述风险因素,计算所述威胁数据的风险评估值;以及
根据风险评估值确定所述威胁数据所属的风险等级。
9.根据权利要求8所述的方法,其中,所述获取所述威胁数据的风险因素包括:
从所述知识库中获取所述威胁数据的风险因素。
10.根据权利要求8所述的方法,其中,所述计算所述威胁数据的风险评估值包括:
计算所述重要程度指标、所述受影响用户数量、所述潜在损失指标、所述利用难度指标和所述发现难度指标之和的预定比例,以得到所述威胁数据的危急程度指标;以及
对所述危急程度指标和所述威胁数据的发生可能性指标之乘积进行开方运算,以得到所述风险评估值;
所述根据风险评估值确定所述威胁数据所属的风险等级包括:根据所述风险评估值所落入的预定区间范围,确定所述风险等级。
11.根据权利要求1~7任一项所述的方法,还包括:
每隔预定时间周期,重复执行所述获取待测系统的监测数据、所述将所述监测数据与威胁规则库进行匹配、以及所述确定所述威胁数据的风险等级的操作;以及
在所述风险等级相对于前次确定的风险等级发生变化时,对所述防御策略进行调整。
12.根据权利要求1~7任一项所述的方法,其中,所述威胁数据包括多个威胁数据;
所述基于所述威胁数据的风险等级,确定所述待测系统的防御策略包括:
将所述多个威胁数据按照风险等级降序排列,以得到风险排序;
分别确定所述风险排序中的前预定数量个威胁数据各自的防御策略;以及
分别执行所述预定数量个威胁数据各自的防御策略。
13.一种风险评估装置,包括:
监测模块,用于获取待测系统的监测数据;
匹配模块,用于将所述监测数据与威胁规则库进行匹配,以确定命中所述威胁规则库的监测数据为威胁数据,其中,所述威胁规则库基于知识库构建得到;
风险评估模块,用于确定所述威胁数据的风险等级;以及
防御模块,用于基于所述威胁数据的风险等级,确定所述待测系统的防御策略。
14.一种计算机系统,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时用于实现如权利要求1~12任一项所述的方法。
15.一种计算机可读存储介质,存储有计算机可执行指令,所述指令在被执行时用于实现如权利要求1~12任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010747916.9A CN111859400B (zh) | 2020-07-29 | 2020-07-29 | 风险评估方法、装置、计算机系统和介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010747916.9A CN111859400B (zh) | 2020-07-29 | 2020-07-29 | 风险评估方法、装置、计算机系统和介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111859400A true CN111859400A (zh) | 2020-10-30 |
| CN111859400B CN111859400B (zh) | 2024-06-25 |
Family
ID=72946148
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010747916.9A Active CN111859400B (zh) | 2020-07-29 | 2020-07-29 | 风险评估方法、装置、计算机系统和介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111859400B (zh) |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113032785A (zh) * | 2021-03-26 | 2021-06-25 | 深信服科技股份有限公司 | 一种文档检测方法、装置、设备及存储介质 |
| CN113783845A (zh) * | 2021-08-16 | 2021-12-10 | 北京百度网讯科技有限公司 | 确定云服务器上实例风险等级的方法、装置及电子设备 |
| CN113806737A (zh) * | 2021-09-01 | 2021-12-17 | 厦门服云信息科技有限公司 | 一种恶意进程风险等级评估方法、终端设备及存储介质 |
| CN113922991A (zh) * | 2021-09-18 | 2022-01-11 | 深信服科技股份有限公司 | 一种资源监控方法、装置、电子设备及存储介质 |
| CN113973012A (zh) * | 2021-10-18 | 2022-01-25 | 北京安天网络安全技术有限公司 | 一种威胁检测方法、装置、电子设备及可读存储介质 |
| CN114003904A (zh) * | 2021-12-31 | 2022-02-01 | 北京微步在线科技有限公司 | 情报共享方法、装置、计算机设备及存储介质 |
| CN114584402A (zh) * | 2022-05-07 | 2022-06-03 | 浙江御安信息技术有限公司 | 一种基于攻击特征识别标签库的威胁过滤研判方法 |
| CN114598514A (zh) * | 2022-02-24 | 2022-06-07 | 烽台科技(北京)有限公司 | 工控威胁检测方法及装置 |
| CN114884686A (zh) * | 2022-03-17 | 2022-08-09 | 新华三信息安全技术有限公司 | 一种php威胁识别方法及装置 |
| CN115051859A (zh) * | 2022-06-15 | 2022-09-13 | 国网智能电网研究院有限公司 | 情报分析方法、情报分析装置、电子设备及介质 |
| CN115134121A (zh) * | 2022-05-30 | 2022-09-30 | 深圳开源互联网安全技术有限公司 | 基于rasp的第三方库安全攻击防护方法及相关装置 |
| CN115174233A (zh) * | 2022-07-08 | 2022-10-11 | 广东瑞普科技股份有限公司 | 基于大数据的网络安全分析方法、设备、系统及介质 |
| CN115361185A (zh) * | 2022-08-10 | 2022-11-18 | 重庆电子工程职业学院 | 一种网络安全甄别研判系统及方法 |
| CN115713339A (zh) * | 2023-01-09 | 2023-02-24 | 量子科技长三角产业创新中心 | 一种数据量子计算管控方法、装置、设备及计算机介质 |
| CN116186705A (zh) * | 2022-11-17 | 2023-05-30 | 北京东方通科技股份有限公司 | 基于源代码静态分析的软件安全代码分析器及其检测方法 |
| CN117478433A (zh) * | 2023-12-27 | 2024-01-30 | 天津市品茗科技有限公司 | 一种网络与信息安全动态预警系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102521497A (zh) * | 2011-12-05 | 2012-06-27 | 广东省电力调度中心 | 电网运行风险处理方法与系统 |
| CN102799834A (zh) * | 2012-06-07 | 2012-11-28 | 天津大学 | 基于系统资产的软件安全需求分析方法 |
| CN109542081A (zh) * | 2018-11-14 | 2019-03-29 | 江苏大学 | 一种基于线下车辆减速度曲线的线上行车危险估计方法 |
| CN110263172A (zh) * | 2019-06-26 | 2019-09-20 | 国网江苏省电力有限公司南京供电分公司 | 一种电网监控告警信息事件化自主识别方法 |
| CN111083126A (zh) * | 2019-12-05 | 2020-04-28 | 国网浙江省电力有限公司电力科学研究院 | 一种基于专家知识库的渗透测试风险评估方法以及模型 |
-
2020
- 2020-07-29 CN CN202010747916.9A patent/CN111859400B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102521497A (zh) * | 2011-12-05 | 2012-06-27 | 广东省电力调度中心 | 电网运行风险处理方法与系统 |
| CN102799834A (zh) * | 2012-06-07 | 2012-11-28 | 天津大学 | 基于系统资产的软件安全需求分析方法 |
| CN109542081A (zh) * | 2018-11-14 | 2019-03-29 | 江苏大学 | 一种基于线下车辆减速度曲线的线上行车危险估计方法 |
| CN110263172A (zh) * | 2019-06-26 | 2019-09-20 | 国网江苏省电力有限公司南京供电分公司 | 一种电网监控告警信息事件化自主识别方法 |
| CN111083126A (zh) * | 2019-12-05 | 2020-04-28 | 国网浙江省电力有限公司电力科学研究院 | 一种基于专家知识库的渗透测试风险评估方法以及模型 |
Non-Patent Citations (3)
| Title |
|---|
| 王伟: "基于知识图谱的分布式安全事件关联分析技术研究", 中国优秀硕士学位论文全文数据库 信息科技辑 * |
| 赵刚等: "结合灰色网络威胁分析的信息安全风险评估", 清华大学学报(自然科学版), vol. 53, no. 12, 31 December 2013 (2013-12-31), pages 1761 - 1767 * |
| 赵英明等: "铁路客票发售与预订系统风险评估研究", 铁道运输与经济, vol. 42, no. 1, 15 January 2020 (2020-01-15), pages 72 - 76 * |
Cited By (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113032785A (zh) * | 2021-03-26 | 2021-06-25 | 深信服科技股份有限公司 | 一种文档检测方法、装置、设备及存储介质 |
| CN113783845A (zh) * | 2021-08-16 | 2021-12-10 | 北京百度网讯科技有限公司 | 确定云服务器上实例风险等级的方法、装置及电子设备 |
| CN113806737A (zh) * | 2021-09-01 | 2021-12-17 | 厦门服云信息科技有限公司 | 一种恶意进程风险等级评估方法、终端设备及存储介质 |
| CN113806737B (zh) * | 2021-09-01 | 2023-11-28 | 厦门服云信息科技有限公司 | 一种恶意进程风险等级评估方法、终端设备及存储介质 |
| CN113922991A (zh) * | 2021-09-18 | 2022-01-11 | 深信服科技股份有限公司 | 一种资源监控方法、装置、电子设备及存储介质 |
| CN113973012A (zh) * | 2021-10-18 | 2022-01-25 | 北京安天网络安全技术有限公司 | 一种威胁检测方法、装置、电子设备及可读存储介质 |
| CN113973012B (zh) * | 2021-10-18 | 2024-03-15 | 北京安天网络安全技术有限公司 | 一种威胁检测方法、装置、电子设备及可读存储介质 |
| CN114003904B (zh) * | 2021-12-31 | 2022-03-08 | 北京微步在线科技有限公司 | 情报共享方法、装置、计算机设备及存储介质 |
| CN114003904A (zh) * | 2021-12-31 | 2022-02-01 | 北京微步在线科技有限公司 | 情报共享方法、装置、计算机设备及存储介质 |
| CN114598514A (zh) * | 2022-02-24 | 2022-06-07 | 烽台科技(北京)有限公司 | 工控威胁检测方法及装置 |
| CN114884686A (zh) * | 2022-03-17 | 2022-08-09 | 新华三信息安全技术有限公司 | 一种php威胁识别方法及装置 |
| CN114884686B (zh) * | 2022-03-17 | 2024-03-08 | 新华三信息安全技术有限公司 | 一种php威胁识别方法及装置 |
| CN114584402A (zh) * | 2022-05-07 | 2022-06-03 | 浙江御安信息技术有限公司 | 一种基于攻击特征识别标签库的威胁过滤研判方法 |
| CN115134121A (zh) * | 2022-05-30 | 2022-09-30 | 深圳开源互联网安全技术有限公司 | 基于rasp的第三方库安全攻击防护方法及相关装置 |
| CN115051859A (zh) * | 2022-06-15 | 2022-09-13 | 国网智能电网研究院有限公司 | 情报分析方法、情报分析装置、电子设备及介质 |
| CN115174233A (zh) * | 2022-07-08 | 2022-10-11 | 广东瑞普科技股份有限公司 | 基于大数据的网络安全分析方法、设备、系统及介质 |
| CN115174233B (zh) * | 2022-07-08 | 2024-03-26 | 广东瑞普科技股份有限公司 | 基于大数据的网络安全分析方法、设备、系统及介质 |
| CN115361185A (zh) * | 2022-08-10 | 2022-11-18 | 重庆电子工程职业学院 | 一种网络安全甄别研判系统及方法 |
| CN116186705A (zh) * | 2022-11-17 | 2023-05-30 | 北京东方通科技股份有限公司 | 基于源代码静态分析的软件安全代码分析器及其检测方法 |
| CN115713339B (zh) * | 2023-01-09 | 2023-05-12 | 量子科技长三角产业创新中心 | 一种数据量子计算管控方法、装置、设备及计算机介质 |
| CN115713339A (zh) * | 2023-01-09 | 2023-02-24 | 量子科技长三角产业创新中心 | 一种数据量子计算管控方法、装置、设备及计算机介质 |
| CN117478433A (zh) * | 2023-12-27 | 2024-01-30 | 天津市品茗科技有限公司 | 一种网络与信息安全动态预警系统 |
| CN117478433B (zh) * | 2023-12-27 | 2024-04-19 | 天津市品茗科技有限公司 | 一种网络与信息安全动态预警系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111859400B (zh) | 2024-06-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111859400B (zh) | 风险评估方法、装置、计算机系统和介质 | |
| US11184401B2 (en) | AI-driven defensive cybersecurity strategy analysis and recommendation system | |
| US20220210200A1 (en) | Ai-driven defensive cybersecurity strategy analysis and recommendation system | |
| US11347867B2 (en) | Methods and apparatuses to evaluate cyber security risk by establishing a probability of a cyber-attack being successful | |
| CN111786950B (zh) | 基于态势感知的网络安全监控方法、装置、设备及介质 | |
| US20190075123A1 (en) | Systems and methods for cyber intrusion detection and prevention | |
| US20230362200A1 (en) | Dynamic cybersecurity scoring and operational risk reduction assessment | |
| RU2757597C1 (ru) | Системы и способы сообщения об инцидентах компьютерной безопасности | |
| US20220210202A1 (en) | Advanced cybersecurity threat mitigation using software supply chain analysis | |
| WO2018216000A1 (en) | A system and method for on-premise cyber training | |
| WO2017152877A1 (zh) | 网络威胁事件评估方法及装置 | |
| Xiao et al. | From patching delays to infection symptoms: Using risk profiles for an early discovery of vulnerabilities exploited in the wild | |
| Kotenko et al. | Evaluation of Computer Network Security based on Attack Graphs and Security Event Processing. | |
| CN117478433B (zh) | 一种网络与信息安全动态预警系统 | |
| CN114553596B (zh) | 适用于网络安全的多维度安全情况实时展现方法及系统 | |
| Chourasiya et al. | Classification of cyber attack using machine learning technique at microsoft azure cloud | |
| CN116846619A (zh) | 一种自动化网络安全风险评估方法、系统及可读存储介质 | |
| Petersen | Data mining for network intrusion detection: A comparison of data mining algorithms and an analysis of relevant features for detecting cyber-attacks | |
| Doynikova et al. | Enhancement of probabilistic attack graphs for accurate cyber security monitoring | |
| CN113378159A (zh) | 一种基于集中管控的威胁情报的评估方法 | |
| Kai et al. | Development of qualification of security status suitable for cloud computing system | |
| Hu et al. | ACTracker: A fast and efficient attack investigation method based on event causality | |
| Slamet et al. | Campus hybrid intrusion detection system using snort and c4. 5 algorithm | |
| Castro et al. | Techniques and Tools for Runtime Security Monitoring and Analysis of Microservices | |
| WO2019186535A1 (en) | Bio-inspired agile cyber-security assurance framework |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |