CN111865982A - 基于态势感知告警的威胁评估系统及方法 - Google Patents

基于态势感知告警的威胁评估系统及方法 Download PDF

Info

Publication number
CN111865982A
CN111865982A CN202010700800.XA CN202010700800A CN111865982A CN 111865982 A CN111865982 A CN 111865982A CN 202010700800 A CN202010700800 A CN 202010700800A CN 111865982 A CN111865982 A CN 111865982A
Authority
CN
China
Prior art keywords
threat
target
asset
threats
assets
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010700800.XA
Other languages
English (en)
Other versions
CN111865982B (zh
Inventor
戴明
杜渐
邢宏伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Traffic And Transportation Information Security Center Co ltd
Original Assignee
Traffic And Transportation Information Security Center Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Traffic And Transportation Information Security Center Co ltd filed Critical Traffic And Transportation Information Security Center Co ltd
Priority to CN202010700800.XA priority Critical patent/CN111865982B/zh
Publication of CN111865982A publication Critical patent/CN111865982A/zh
Application granted granted Critical
Publication of CN111865982B publication Critical patent/CN111865982B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Abstract

本公开描述了一种基于态势感知告警的威胁评估系统,是基于态势感知产生的告警信息对目标信息系统的目标资产面临的威胁进行威胁评估的系统,其包括:资产评估模块,其对目标信息系统包含的资产进行识别;威胁评估模块,其基于态势感知告警对资产中的目标资产面临的威胁进行识别,获得目标资产面临威胁的种类、威胁发生次数、威胁影响等级和每一个影响等级威胁的数量,通过威胁发生次数基于泊松过程获得目标威胁发生次数,从而基于目标威胁发生次数获得威胁发生频度,并且威胁评估模块基于威胁影响等级、每一个影响等级威胁的数量和威胁发生频度获得威胁严重性评分。由此能够对目标信息系统的目标资产进行较为准确的威胁评估。

Description

基于态势感知告警的威胁评估系统及方法
技术领域
本公开具体涉及一种基于态势感知告警的威胁评估系统及方法。
背景技术
随着政府部门、企事业单位以及各行各业对信息系统依赖程度的日益增强,信息安全问题受到普遍关注。运用风险评估去识别安全风险、解决信息安全问题得到了广泛的认识和应用。
信息安全的风险评估就是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度。信息系统的风险评估可以在很大程度上防范信息安全风险产生,或将风险控制在可接受的水平,最大限度地保障信息系统的安全,是提升信息系统整体安全防护水平的重要科学方法之一。
目前针对信息安全的风险评估中的威胁评估,已经出现了很多评估方法。然而,这些已有的威胁评估方法通常在分析信息系统所面临的威胁时往往存在考虑不全面的问题,会导致对信息系统进行威胁评估的评估结果不够准确。
发明内容
本公开是有鉴于上述的状况而提出的,其目的在于提供一种较为准确的基于态势感知告警的威胁评估系统及方法。
为此,本公开的第一方面提供了一种基于态势感知告警的威胁评估系统,是基于态势感知产生的告警信息对目标信息系统的目标资产面临的威胁进行威胁评估的系统,其特征在于,包括:资产评估模块,其对所述目标信息系统包含的资产进行识别;威胁评估模块,其基于所述态势感知告警对所述资产中的目标资产面临的威胁进行识别,获得所述目标资产面临威胁的种类、威胁发生次数、威胁影响等级和每一个影响等级威胁的数量,通过所述威胁发生次数基于泊松过程获得目标威胁发生次数,从而基于所述目标威胁发生次数获得威胁发生频度,并且所述威胁评估模块基于所述威胁影响等级、所述每一个影响等级威胁的数量和所述威胁发生频度获得威胁严重性评分。
在本公开中,通过资产评估模块对目标信息系统中的资产进行识别,通过威胁评估模块获得资产中的目标资产对应的威胁严重性评分。由此能够对目标信息系统的目标资产进行较为准确的威胁评估。
本公开的第一方面所涉及威胁评估系统中,可选地,所述目标资产涉及多类威胁,所述威胁评估模块针对所述多类威胁依次对所述目标资产进行威胁评估,分别获得所述目标资产面临各类威胁时对应的威胁严重性评分,所述威胁评估模块基于多个威胁严重性评分获得所述目标资产的目标威胁严重性评分。由此能够获得目标资产的目标威胁严重性评分。
本公开的第一方面所涉及威胁评估系统中,可选地,所述目标信息系统包括多个资产,所述威胁评估系统依次将多个资产作为目标资产进行威胁评估,获得各个资产对应的威胁严重性评分或目标威胁严重性评分。由此能够目标信息系统中的各个资产进行威胁评估。
本公开的第一方面所涉及威胁评估系统中,可选地,所述威胁严重性评分满足:
Figure BDA0002592959840000021
其中,N表示为目标资产面临的威胁总数,Impact表示为威胁影响等级,Ni为第i个影响等级威胁的数量,f表示为威胁发生频度,所述威胁发生频度满足:
Figure BDA0002592959840000022
其中,c表示为目标威胁发生次数。由此能够获得威胁严重性评分。
本公开的第一方面所涉及威胁评估方法中,可选地,所述资产评估模块通过部署资产探针对所述目标信息系统中的资产进行识别。在这种情况下,能够通过资产探针识别出目标信息系统中包含的资产。
本公开的第二方面提供了一种基于态势感知告警的威胁评估方法,是基于态势感知产生的告警信息对目标信息系统的目标资产面临的威胁进行威胁评估的方法,其特征在于,包括:对所述目标信息系统包含的资产进行识别;基于所述态势感知告警对所述资产中的目标资产面临的威胁进行识别,获得所述目标资产面临威胁的种类、威胁发生次数、威胁影响等级和每一个影响等级威胁的数量,通过所述威胁发生次数基于泊松过程获得目标威胁发生次数,从而基于所述目标威胁发生次数获得威胁发生频度,并且基于所述威胁影响等级、所述每一个影响等级威胁的数量和所述威胁发生频度获得威胁严重性评分。
在本公开中,对目标信息系统中的资产进行识别,通过威胁评估获得资产中的目标资产对应的威胁严重性评分。由此能够对目标信息系统的目标资产进行较为准确的威胁评估。
本公开的第二方面所涉及威胁评估方法中,可选地,所述目标资产涉及多类威胁,针对所述多类威胁依次对所述目标资产进行威胁评估,分别获得所述目标资产面临各类威胁时对应的威胁严重性评分,基于多个威胁严重性评分获得所述目标资产的目标威胁严重性评分。由此能够获得目标资产的目标威胁严重性评分。
本公开的第二方面所涉及威胁评估方法中,可选地,所述目标信息系统包括多个资产,所述威胁评估系统依次将多个资产作为目标资产进行威胁评估,获得各个资产对应的威胁严重性评分或目标威胁严重性评分。由此能够目标信息系统中的各个资产进行威胁评估。
本公开的第二方面所涉及威胁评估方法中,可选地,所述威胁严重性评分满足:
Figure BDA0002592959840000031
其中,N表示为目标资产的威胁总数,Impact表示为威胁影响等级,Ni为第i个影响等级威胁的数量,f表示为威胁发生频度,所述威胁发生频度满足:
Figure BDA0002592959840000032
其中,c表示为目标威胁发生次数。由此能够获得威胁严重性评分。
本公开的第二方面所涉及威胁评估方法中,可选地,通过部署资产探针对所述目标信息系统中的资产进行识别。在这种情况下,能够通过资产探针识别出目标信息系统中包含的资产。
根据本公开,能够提供较为准确对目标信息系统中的目标资产进行威胁评估的基于态势感知告警的威胁评估系统及方法。
附图说明
现在将仅通过参考附图的例子进一步详细地解释本公开的实施示例,其中:
图1示出了本公开的示例所涉及的基于态势感知告警的威胁评估系统的应用场景图。
图2示出了本公开的示例所涉及的目标信息系统的结构框图。
图3示出了本公开的示例所涉及的目标资产面临的威胁的结构框图。
图4示出了本公开的示例所涉及的风险评估系统的应用场景图。
图5示出了本公开的示例所涉及的风险评估系统的应用流程框图。
图6示出了本公开的另一示例所涉及的风险评估系统的结构框图。
图7示出了本公开的示例所涉及的基于态势感知告警的威胁评估方法的流程图。
图8示出了本公开的示例所涉及的风险评估方法的流程图。
具体实施方式
以下,参考附图,详细地说明本公开的优选实施方式。在下面的说明中,对于相同的部件赋予相同的符号,省略重复的说明。另外,附图只是示意性的图,部件相互之间的尺寸的比例或者部件的形状等可以与实际的不同。
随着各行各业对信息系统依赖程度的日益增强,往往需要对信息系统进行风险评估去识别安全风险和解决信息安全问题等。本公开提供了一种能够较为高效且较为准确的对目标信息系统的目标资产进行威胁评估的基于态势感知告警的威胁评估系统及方法。
图1示出了本公开的示例所涉及的威胁评估系统的应用场景图。
本实施方式的示例所涉及的威胁评估系统10(参见图1)是基于态势感知告警的威胁评估系统10。具体而言,威胁评估系统10是基于态势感知告警(即基于态势感知产生的告警信息)对目标信息系统200的目标资产进行威胁评估的威胁评估系统。在一些示例中,威胁评估系统10可以包括资产评估模块110和威胁评估模块130。
在本实施方式的示例所涉及的威胁评估系统10中,如图1所示,威胁评估系统10可以包括资产评估模块110。在一些示例中,资产评估模块110可以对目标信息系统200中的资产进行识别。也就是说,资产评估模块110可以识别出目标信息系统200中包含的资产。
图2示出了本公开的示例所涉及的目标信息系统的结构框图。
在一些示例中,目标信息系统200可以是需要进行威胁评估的信息系统。例如,目标信息系统200可以是网络信息系统、云服务信息系统、特定应用领域的信息系统等。对于特定应用领域的目标信息系统200而言,目标信息系统200例如可以为交通运输信息系统。
在一些示例中,资产可以是对目标信息系统200具有价值的资源且作为安全策略保护的对象。由此能够便于后续识别资产。在一些示例中,根据资产的表现形式,可以将目标信息系统200中的资产分为数据、软件、硬件、服务、人员等类型。
在一些示例中,目标信息系统200可以包括一个或多个资产。例如,如图2所示,目标信息系统200可以包括资产210、资产220、资产230、资产240、资产250等,这里,图2仅代表性地示出5个资产,但本实施方式不限于此,目标信息系统200还可以包括其他更多资产。在一些示例中,资产210可以为数据资产,资产220可以为软件资产,资产230可以为硬件资产,资产240可以为服务资产,资产250可以为人员资产。但本实施方式不限于此,资产210、资产220、资产230、资产240和资产250也可以分别为其他资产。
在一些示例中,目标资产可以是目标信息系统200包含的资产中的任一个(例如,资产210)。在一些示例中,目标资产可以由威胁评估系统10从多个资产中选取一个。在另一些示例中,目标资产可以由相关技术人员自行确定。
在一些示例中,目标信息系统200可以包括若干个资产。在这种情况下,威胁评估系统10可以依次将各个资产作为目标资产进行评估。例如,如图2所示,威胁评估系统10可以依次将资产210、资产220、资产230资产240和资产250作为目标资产分别进行评估。威胁评估系统10可以获得各个资产对应的威胁严重性评分或目标威胁严重性评分(稍后描述)。由此能够对目标信息系统200的各个资产进行威胁评估。
在一些示例中,资产评估模块110可以通过多种资产识别方法对目标信息系统200的资产进行识别。其中,资产评估模块110所采用的资产识别方法可以为主动采集、被动采集或基于搜索引擎非入侵式识别等。在一些示例中,资产评估模块110可以采用被动采集的识别方式对目标信息系统200中的资产进行识别,例如稍后描述的部署资产探针。
在一些示例中,被动采集的识别方式可以是通过分析采集的网络流量得到目标信息系统中资产的信息。在这种情况下,通过被动采集的识别方式能够有效抑制对网络运行的影响,并且可以无额外网络流量插入;被动采集的识别方式也可以对安全设备保护的网络资产进行探测识别;被动采集的识别方式可以有利于对长期的历史数据进行积累。由此,能够有利于掌握网络资产发展变化的过程。
在一些示例中,被动采集的识别方式可以依托目标信息系统200关联的产生态势感知告警的系统(例如稍后描述的态势感知系统20),可以将大量的网络流量数据作为数据源来支撑对资产的识别。由此能够保证资产识别过程的全面性和高效性。
在一些示例中,资产评估模块110可以通过部署资产探针对目标信息系统200中的资产进行识别。在这种情况下,能够通过资产探针识别出目标信息系统中包含的资产。具体而言,资产探针可以被部署在目标信息系统200所处的网络环境中,可以通过采集网络环境中的协议类型、流量内容等进行综合分析从而对目标信息系统200的资产进行识别。
在一些示例中,资产探针在网络环境中的采集对象可以包括流量中应用层HTTP、FTP、SMTP等协议数据包中的特殊字段banner;资产探针的采集对象还可以包括IP、TCP三次握手、DHCP等协议数据包的指纹特征等。在一些示例中,部分应用层协议数据包中可以包含网络资产信息,例如HTTP协议的User-Agent字段中包含了操作系统、浏览器版本等信息,资产探针可以对其包含的资产进行识别。在这种情况下,通过资产探针能够实现对主机、端口、操作系统、应用等资产的识别。
在一些示例中,资产评估模块110除了如上所述通过部署资产探针对目标信息系统200中的资产进行识别之外,还可以对目标信息系统200中包含的资产的种类和数量等进行统计。也就是说,资产评估模块110可以利用资产探针对识别出的资产的种类进行确认,并统计资产的数量等信息。
在一些示例中,资产评估模块110可以从资产中选出目标资产,资产评估模块110可以确认目标资产在不同安全属性方面的价值,即资产评估模块110可以对目标资产的不同安全属性方面进行赋值。具体而言,资产评估模块110可以根据目标资产的种类和预设的资产评分标准(稍后描述)对目标资产的在保密性、完整性和可用性这三个安全属性方面进行赋值。在这种情况下,通过能够对目标资产的不同安全属性方面进行赋值能够在一定程度上确认目标资产的价值。
在一些示例中,相关技术人员可以基于各类信息系统的价值基准(稍后具体描述)来确认该信息系统包含的各个资产的资产评分,从而获得该类信息系统的资产评分标准并存储在资产评估模块110。在一些示例中,各类信息系统的价值基准可以由该信息系统的作用和种类来决定。
在一些示例中,相关技术人员可以预先确认目标信息系统200所相关的行业(简称“相关行业”),将相关行业内可能含有的信息系统进行分类。在一些示例中,可以根据信息系统的作用将相关行业内的信息系统进行分类。例如,交通运输行业的信息系统(简称“交通运输信息系统”)可以根据信息系统作用分为生产服务类系统、行政管理类系统以及基础支撑类系统。其中,生产服务类系统可以是支撑各交通运输服务部门提供对货物、旅客等运输服务活动的信息服务、生产保障类系统,如轨道交通信号系统、道路交通监控系统、智能闸口系统、各组织机构的门户网站、公路水路出行服务系统和国家交通运输物流公共信息平台等;行政管理类系统可以是支撑各级交通运输管理部门和运输服务单位为了维持自身组织活动或者进行交通运输行业行政管理事务而建设的信息系统,如各组织机构的办公系统、船舶产品检验管理系统及网约车监管信息交互平台等;基础支撑类系统可以是支撑交通运输行业各类系统在计算、操作或通信等方面的运行环境,如各组织机构的数据中心、云计算平台、高速公路光纤网和地理信息平台等。
在一些示例中,信息系统的种类(或作用)不同,信息系统在不同安全属性的要求也可能存在差异。也即不同种类的信息系统可以在保密性、完整性和可用性这三个安全属性的要求存在差异。例如,生产服务类系统和基础支撑类系统在可用性方面要求较高,行政管理类系统在保密性方面要求较高。
在一些示例中,可以根据划分的信息系统的种类确认相关行业的信息系统在不同安全属性方面的价值基准。在一些示例中,价值基准可以是基于业务管理和服务保障重要性水平,对该相关行业内不同类别的信息系统在保密性、完整性和可用性这三个安全属性的最小要求程度。
在一些示例中,信息系统的价值基准可以通过对该信息系统在保密性、完整性和可用性这三个安全属性的赋值来体现。具体而言,若某一安全属性的赋值越大对应该类信息系统在该安全属性的要求越高(也即该类信息系统在该安全属性方面的价值越大)。价值基准可以是该信息系统在保密性、完整性和可用性这三个安全属性的最小赋值。在这种情况下,对目标资产进行评估赋值时可以不小于该目标资产对应的价值基准。
作为一个示例,例如对于交通运输行业的信息系统而言,根据信息系统的种类以及在不同安全属性的要求对各类信息系统在保密性、完整性和可用性这三个安全属性进行赋值,其中,赋值越大说明该类信息系统在该安全属性的要求越高,如生活服务类系统在保密性、完整性和可用性的赋值可以为2、3和4,说明生活服务类系统对于可用性方面的要求较高(参见表1)。在一些示例中,价值基准可以由相关技术人员确定,也可以由相关行业共同确定。
表1交通运输行业三类信息系统的价值基准示例
信息系统类别 保密性 完整性 可用性
生产服务类 2 3 4
行政管理类 3 2 2
基础支撑类 2 2 3
在一些示例中,可以基于价值基准获得该类信息系统的资产评分标准。在一些示例中,资产评分标准可以包括该类信息系统所可能涉及的各类资产以及各类资产在不同安全属性方面的赋值。例如,相关技术人员可以统计该类信息系统所可能包含的资产的种类,并可以基于价值基准对该类目标系统所可能包含的各类资产类别分别进行评分,从而获得资产评分标准。在一些示例中,资产评分标准在各个安全属性的赋值可以不小于对应的价值基准在该安全属性的赋值。也即,对目标信息系统所可能包含的各类资产进行评分时,可以使该类资产在不同安全属性方面的评分不小于目标信息系统对应的价值基准。在一些示例中,资产评分标准可以是预先设定在资产评估模块110中。具体而言,可以预先确认目标信息系统200的种类及其对应的价值标准,相关技术人员可以基于价值标准预先对该类信息系统可能包含的各类资产在不同安全属性方面进行评分或赋值,从而可以获得该类信息系统的资产评分标准,并可以预先将资产评分标准存储在资产评估模块。
在一些示例中,资产评估模块110可以基于目标资产的种类以及资产评分标准对目标资产在不同安全属性方面进行赋值。具体而言,资产评估模块110可以获得目标资产的种类,并可以根据目标资产的种类确认该目标资产对应的资产评分标准。由此能够对目标资产进行对应的赋值。
在一些示例中,资产评估模块110可以基于目标资产在不同安全属性方面(例如保密性、完整性和可用性)的赋值确认目标资产的价值评分。目标资产的价值评分可以满足:
Figure BDA0002592959840000091
其中,Ai是目标资产的价值评分,si分别为目标资产在保密性(s1)、完整性(s2)和可用性(s3)方面的价值基准,ai是目标资产在保密性(a1)、完整性(a2)和可用性(a3)方面的赋值。由此能够获得目标资产的价值评分。在本实施方式所涉及的示例中,si和ai的赋值范围可以是[1,5],最小粒度是0.01。
在一些示例中,资产评估模块110可以配置在态势感知系统20中。在这种情况下,态势感知系统20可以采用被动采集的识别方式(例如,部署资产探针)在目标信息系统200的网络流量中进行采集和分析,从中识别出目标信息系统200包含的资产。
在一些示例中,如图1所示,威胁评估系统10还可以包括威胁评估模块130。在一些示例中,威胁可以是指可能对资产或组织造成损害事故的潜在原因。在一些示例中,威胁评估模块130可以基于态势感知告警对目标信息系统200面临的威胁进行监测和识别。例如,威胁评估模块130可以从中获得目标资产面临的威胁的发生次数(也即威胁发生次数)。
在一些示例中,态势感知告警可以基于目标信息系统200关联的例如态势感知系统20产生。具体而言,态势感知系统20可以在目标信息系统200的网络环境(也称“目标网络”)中部署多个探针,对目标信息系统200的出口流量数据进行监测并生成态势感知告警(或称“告警信息”)。作为一个示例,例如对于交通信息系统而言,态势感知系统20在交通行业多家单位部署了探针,对交通信息系统出口流量数据进行全镜像采集获得告警信息。在这种情况下,能够获取目标网络的大量流量数据作为告警分析的基础,能够保证威胁检测的全面性与高效性。在一些示例中,态势感知系统20还可以支持溯源功能。态势感知系统20可以对过去发生的安全事件及告警均有记录,并可以查询。在一些示例中,安全事件可以是指信息系统由于存在自身脆弱性,在遭受人为原因、软硬件缺陷或故障、自然灾害等外部的威胁时,信息系统的网络、数据等资产出现负面影响的事件。在一些示例中,态势感知告警可以包括被监测系统(目标信息系统200)面临的威胁,例如可以包括威胁的种类及数量、特定时间段内各类攻击发生的时间和影响程度等。
在一些示例中,态势感知系统20的监测范围可以包括恶意代码的网络传播、木马后门等恶意程序的网络通信活动、恶意地址的访问、扫描侦听攻击、漏洞探测攻击、高级持续性攻击、DDos攻击、DNS劫持攻击以及僵尸网络等。在这种情况下,能够最大程度上监测到针对目标资产遭受到的攻击情况,从而获得较为准确的单位时间内的威胁发生次数。
在一些示例中,为了弥补基于态势感知产生的态势感知告警中可能存在的误报与漏报问题,可以采用随机过程对威胁发生次数进行进一步完善。例如,威胁评估模块130可以对告警得出的威胁发生次数采用泊松过程进行优化得到优化后的威胁发生次数(即目标威胁发生次数)。在这种情况下,能够便于获得较为准确的目标威胁发生次数。
图3示出了本公开的示例所涉及的目标资产面临的威胁的结构框图。
在一些示例中,威胁评估模块130可以从态势感知告警中获得目标资产涉及的一类或多类威胁。例如,如图3所示,目标资产面临的威胁可以包括威胁T1、威胁T2、威胁T3、威胁T4和威胁T5等,这里,图3仅代表性地示出5类威胁,但本实施方式不限于此,目标资产还可以面临其他更多威胁(具体可以参见下表2)。
在一些示例中,威胁评估模块130可以从一类或多类威胁中选出任一类威胁(例如威胁T1)作为目标威胁对目标资产进行威胁评估获得威胁严重性评分。在一些示例中,目标威胁中可以包括一个或多个威胁。
在一些示例中,威胁评估模块130可以从态势感知告警获得目标信息系统200面临的威胁等相关信息,例如可以包括威胁的种类、数量及影响程度、特定时间段内各类攻击发生的时间等信息。在一些示例中,威胁评估模块130也可以对过去发生的安全事件及告警等记录进行查询和统计获得目标信息系统200面临的威胁的相关信息。在一些示例中,威胁评估模块130也可以从中筛选出目标资产面临的威胁等相关信息。
在一些示例中,可以基于威胁的表现形式进行分类。例如,可以参考威胁分类表将目标信息系统200面临的威胁进行分类。威胁分类表可以参见下表2。
表2威胁分类表
Figure BDA0002592959840000111
Figure BDA0002592959840000121
在一些示例中,如上所述,威胁评估模块130可以从态势感知告警(即基于态势感知产生的告警信息)中获得目标资产面临的威胁。在一些示例中,威胁评估模块130可以从目标资产面临的威胁中选取任一类作为目标威胁。在一些示例中,威胁评估模块130可以基于态势感知告警确定目标威胁的相关信息。例如,威胁评估模块130可以获得目标威胁的种类、威胁发生次数(即目标威胁对应的威胁发生次数)、威胁影响等级(也称“影响等级”)和每一个影响等级威胁的数量。
通常而言,任一信息系统涉及的任一类威胁在不同的时间段内威胁发生次数可以没有必然的联系,可以是相互独立的且不存在明显差异,可以是服从统一分布的随机变量,由此可以认为威胁发生次数满足泊松分布。在一些示例中,威胁发生次数可以符合泊松分布,由此可以采用泊松过程对威胁发生次数进行优化,获得目标威胁发生次数。
在一些示例中,为了弥补基于态势感知产生的态势感知告警中可能存在的误报与漏报问题,威胁评估模块130可以对基于告警信息得出的威胁发生次数采用泊松过程进行优化,可以基于优化后的威胁发生次数(即目标威胁发生次数)获得目标信息系统面临威胁的威胁发生频度。具体而言,可以根据泊松分布的定义,可以假设威胁发生次数在充分小的时间间隔(Δt→0)内发生一次的概率为λΔt,而发生两次或两次以上的概率非常小,可以忽略不记,因此可以基于泊松过程对威胁发生次数进行优化。在一些示例中,泊松分布的概率分布满足:
Figure BDA0002592959840000131
k=0,1,2…,其中,λ可以为泊松分布中的常数,λ可以根据态势感知产生的告警信息获得,即获得目标威胁在单位时间内发生的次数(即频率),也就是说,该频率可以作为泊松分布中的常数λ。
在一些示例中,若λ较大时,可以用参数为(λ,λ)的正态分布例如X~N(λ,λ)来对该部分的威胁发生次数进行优化。
在一些示例中,威胁评估模块130可以获得目标资产涉及的目标威胁T的威胁发生次数,目标威胁T可以服从参数为λΔt的泊松分布。在一些示例中,威胁评估模块130可以根据相关行业的整体情况获得目标威胁对应的置信水平,该目标威胁满足:Pro(TROT≤c)=1-α,该公式表示为在一定时间t内,目标威胁T的威胁发生次数不大于c的概率为1-α,。其中,TROT表示为在一定时间t内目标威胁T的威胁发生次数,1-α表示为目标威胁T对应的置信水平。在一些示例中,置信度α的值可以由相关技术人员根据相关行业的整体情况预先设定好并存储在威胁评估模块130中。在一些示例中,威胁评估模块130可以从满足泊松分布的目标威胁T对应的泊松分布表中获得c(即目标威胁发生次数)的值。
在一些示例中,威胁评估模块130可以将目标威胁发生次数转化为威胁发生频度。例如,威胁评估模块130可以采用基于双曲正切函数法将目标威胁发生次数转化为威胁发生频度,即将c转化为位于0-1之间的数值f,转化的计算公式可以满足:
Figure BDA0002592959840000141
其中,π/4表示为平衡因子。
在一些示例中,威胁评估模块130可以对目标信息系统200面临的威胁进行威胁识别和评估。在一些示例中,威胁评估模块130可以根据“国标GB/T 20984-2007信息安全风险评估规范”中的威胁等级划分来获得目标信息系统200面临的威胁的影响等级(也即威胁影响等级)。其中,“国标GB/T 20984-2007信息安全风险评估规范”对所有的安全事件类型(包括威胁)进行影响评级,且将影响等级划分为1至5级,详见下表3:
表3威胁影响等级划分
Figure BDA0002592959840000142
在一些示例中,威胁评估模块130可以参照上表对威胁进行评估,获得各威胁对应的威胁影响等级。由此,威胁评估模块130能够获得目标威胁中各个威胁对应的威胁影响等级。在一些示例中,威胁评估模块130可以基于威胁影响等级获得目标威胁中各个威胁影响等级对应的威胁数量(即每一个影响等级威胁的数量)。
在一些示例中,威胁评估模块130可以根据威胁影响等级、每一个影响等级威胁的数量和威胁发生频度获得威胁严重性评分。具体而言,威胁评估模块130可以基于目标威胁中各个威胁对应的威胁影响等级、每一个影响等级威胁的数量、威胁发生频度f和威胁数量获得威胁严重性评分。威胁严重性评分可以满足:
Figure BDA0002592959840000151
其中,N表示为目标资产的威胁总数(即目标资产所面临的威胁的总数量),Impact表示为威胁影响等级,Ni表示为第i个影响等级威胁的数量(即目标威胁中对应的影响等级为i的数量)。在本实施方式所涉及的示例中,Impact的取值可以参考“国标GB/T 20984-2007信息安全风险评估规范”中的影响等级划分,取值范围可以是[1,5]。
在一些示例中,若目标资产面临多类威胁,威胁评估模块130可以针对多类威胁依次获得各类威胁对应的威胁严重性评分。例如,如图3所示,威胁评估模块130可以依次获得威胁T1、威胁T2、威胁T3、威胁T4和威胁T5各自对应的威胁严重性评分。
在一些示例中,若目标资产面临多类威胁,威胁评估模块130可以获得多个威胁严重性评分,并可以基于多个威胁严重性评分获得该目标资产的目标威胁严重性评分。具体而言,威胁评估模块130可以对多个威胁严重性评分进行加权求和或求平均获得该目标资产的目标威胁严重性评分。在一些示例中,若威胁评估模块130对多个威胁严重性评分进行加权求和获得目标威胁严重性评分,则各个威胁严重性评分对应的权重可以根据该威胁严重性评分对应的威胁种类在相关行业的影响大小确定。在一些示例中,相关技术人员可以确认相关行业所可能包含的各类威胁以及各类威胁所占的权重并预先存储在威胁评估模块130中。在一些示例中,相关技术人员可以确认相关行业所可能包含的各类威胁以及各类威胁所占的权重并预先存储在威胁评估模块130中。在本实施方式所涉及的示例中,威胁严重性评分和目标威胁严重性评分的取值范围可以是[0,5]。
在一些示例中,威胁评估系统10可以根据目标资产对应的威胁严重性评分或目标威胁严重性评分来评估目标资产面临威胁的威胁严重程度。在一些示例中,威胁评估系统10可以预先设定多个阈值区间,各个阈值区间可以分别对应不同的等级。威胁评估系统10可以判断目标资产对应的威胁严重性评分或目标威胁严重性评分所处于的阈值区间以及对应的等级。在一些示例中,阈值区间可以根据威胁严重性评分和目标威胁严重性评分的取值范围来确认。例如,阈值区间为0~1、1~2、2~3、3~4和4~5五个区间,并分别对应极低、低、中、高和极高等五个评判威胁严重程度的等级。在一些示例中,在获取威胁严重程度或之后描述的综合威胁严重性评分可以优先使用各个资产的目标威胁严重性评分。若任一资产仅面临一类威胁,则可以将该资产对应的威胁严重性评分作为其对应的目标威胁严重性评分。
在一些示例中,若目标信息系统200包含一个或多个资产,威胁评估系统10可以依次将各个资产作为目标资产进行威胁评估。威胁评估系统10可以获得各个资产对应的威胁严重性评分或目标威胁严重性评分,并可以获得各个资产对应的威胁严重程度。
在一些示例中,威胁评估系统10可以根据目标信息系统200中各个资产对应的威胁严重性评分或目标威胁严重性评分获得目标信息系统200对应的综合威胁严重性评分。由此,能够获得目标信息系统200对应的综合威胁严重性评分。例如,威胁评估系统10可以通过加权求和的计算方式获得综合威胁严重性评分。其中,各个威胁严重性评分或目标威胁严重性评分对应的权重可以由对应资产的价值评分来确定,例如,价值评分越高,其对应的权重也越大。在这种情况下,威胁评估系统10可以根据综合威胁严重性评分来评估目标信息系统200面临威胁的综合威胁严重程度。
在另一些示例中,威胁评估系统10也可以根据目标信息系统200中各个资产对应的威胁严重程度获得目标信息系统200对应的综合威胁严重程度。在一些示例中,威胁评估系统10可以根据各个资产对应的威胁严重程度在各个等级的数量来确定目标信息系统200的综合威胁严重程度。例如,若目标信息系统200中威胁严重程度在中等级以上的等级(例如,位于高等级或极高等级)对应的资产数量大于总资产数量的25%或威胁严重程度位于极高等级对应的资产数量大于总资产数量的10%,则目标信息系统200的总威胁严重程度为较为严重;若目标信息系统200中威胁严重程度在低等级以上的等级大于总资产数量的35%,则目标信息系统200的综合威胁严重程度为一般严重;其余的情况可以认为目标信息系统200的综合威胁严重程度为不太严重。
图4示出了本公开的示例所涉及的风险评估系统的应用场景图。图5示出了本公开的示例所涉及的风险评估系统的应用流程框图。
在一些示例中,本公开的示例所涉及的威胁评估系统10可以与脆弱性评估模块120、风险评估模块140构成风险评估系统1(参见图4)。在一些示例中,如图4所示,风险评估系统1可以包括脆弱性评估模块120。在一些示例中,脆弱性评估模块120可以对目标信息系统200的目标资产的脆弱性进行识别和评估。
在一些示例中,脆弱性评估模块120可以对目标信息系统200的目标资产涉及的漏洞和配置项两方面对目标资产的脆弱性进行评估。也就是说,脆弱性评估模块120可以对目标信息系统200的目标资产涉及的漏洞和配置项进行检查获得漏洞风险值和配置项脆弱性值,从而可以获取脆弱性评分。
在一些示例中,脆弱性评估模块120可以从目标信息系统200的目标资产涉及的漏洞和配置项两方面对目标资产的脆弱性进行评估。
在一些示例中,脆弱性评估模块120可以对目标信息系统200进行漏洞扫描获得目标信息系统200的各资产存在的漏洞。在一些示例中,脆弱性评估模块120还可以统计各资产存在的漏洞的数量,并统计该目标信息系统200涉及的所有漏洞的数量(即系统漏洞数量)。
在一些示例中,漏洞扫描可以依托标准漏洞库(例如,国家信息安全漏洞库)来进行。在一些示例中,漏洞扫描可以支持CVE/CWE/BUGTRAQ/CNCVE/CNNVD等漏洞最新标准。在一些示例中,脆弱性评估模块120可以对目标信息系统200进行漏洞扫描。该漏洞扫描可以全面覆盖主流通用脆弱性类型,例如脆弱性类型可以包括系统主机、WEB应用程序、软件数据库、中间件和组件框架、主流应用软件、网络通信协议等的所有脆弱性标准。另外,在一些示例中,脆弱性类型还可以包括常见的系统SMB/RDP、BUFOVERFLOW、WEB各类注入、XSS、CSRF、信息泄露、文件包含、各种版本指纹等。
在一些示例中,脆弱性评估模块120可以对各资产存在的各个漏洞进行评估。例如可以根据该漏洞在相关行业以往的影响程度对该漏洞进行评分获得分别与各个漏洞对应的漏洞评分。在另一些示例中,相关技术人员可以预先对相关行业存在的漏洞进行评分并存储在脆弱性评估模块120。例如,相关技术人员可以依据各个漏洞在相关行业以往的影响程度对该漏洞进行评分。在这种情况下,脆弱性评估模块120可以根据该评分对通过漏洞扫描获得的各资产存在的漏洞进行评估。具体而言,脆弱性评估模块120可以从该评分中找出与通过漏洞扫描获得的各个漏洞相对应的评分并作为该漏洞的漏洞评分。
在一些示例中,漏洞评分越高可以说明该漏洞的漏洞风险等级越高。
在一些示例中,脆弱性评估模块120可以从各资产存在的漏洞中(例如,目标信息系统200对应的所有未处置完成的漏洞)获得目标资产所涉及的漏洞(也称“目标漏洞”)。在一些示例中,脆弱性评估模块120可以将目标漏洞的漏洞风险等级(即漏洞评分bi的大小)从高到低的进行排列为b1,b2,b3,…bn,其中,b1表示为目标漏洞中最大的漏洞评分,n表示为目标漏洞的数量。
在一些示例中,脆弱性评估模块120可以根据漏洞评分和系统漏洞数量获得漏洞风险值,漏洞风险值可以满足:
Figure BDA0002592959840000181
其中,N表示为系统漏洞数量,bi表示为第i个漏洞的漏洞评分,
Figure BDA0002592959840000182
表示为影响系数,
Figure BDA0002592959840000183
表示为收敛系数,
Figure BDA0002592959840000184
可以用于平衡影响系数的数值。若影响系数与收敛系数乘积数值越小,则可以表示漏洞对系统造成的影响越低;若乘积数值越大,则可以表示漏洞对系统造成的影响越高。在本实施方式所涉及的示例中,bi和rv的赋值范围可以是[0,5],最小粒度是0.01。
在一些示例中,由上式对漏洞风险值的获取可知,目标资产的漏洞风险值可以主要由目标资产涉及的具有较高的漏洞风险等级的目标漏洞决定。若处置目标资产涉及的目标漏洞,则可以减小目标资产的脆弱性(即可以减小目标资产的脆弱性评分)。在一些示例中,脆弱性评分越高可以说明目标资产的脆弱性越高。
在一些示例中,若目标资产脆弱性评估模块120并未获得目标资产对应的目标漏洞,则本公开可以认为该目标资产的漏洞风险值设置为N/A(全称为“Not applicable”),其中N/A表示为不适用,也即该漏洞扫描不适用于该目标资产。
在一些示例中,脆弱性评估模块120可以对目标信息系统200涉及的配置项进行检测获得配置问题,且可以获得配置项脆弱性值。具体而言,脆弱性评估模块120可以根据多个单模板核查表单对目标信息系统200及其子系统进行基线检查,从而可以对目标信息系统200涉及的配置项进行核查。在一些示例中,单模板核查表单可以参照等级保护2.0当中的脆弱性核查表单获得。
在一些示例中,脆弱性评估模块120可以获得与各个单模板核查表单对应的不符合配置项的个数和配置项的个数,并可以统计获得所有单模板核查表单对应的配置项总数。
在一些示例中,脆弱性评估模块120可以获得与各个不符合配置项对应的权重wi和与各个配置项对应的权重wj。在一些示例中,权重wi和权重wj可以均设置为1。但本公开的示例不限于此,权重wi和权重wj可以由脆弱性评估模块120或相关技术人员根据目标信息系统200的种类及作用自行设定。
在一些示例中,脆弱性评估模块120可以根据权重wi、权重wj以及与各个单模板核查表单对应的不符合配置项个数和配置项个数获得各个子系统的不符合项占比系数,该子系统的不符合项占比系数可以和目标数值相乘获得该子系统对应的部分配置项脆弱性值,该子系统对应的部分配置项脆弱性值可以满足:
Figure BDA0002592959840000191
其中,wi表示为第i个不符合配置项对应的权重,m表示为不符合配置项的个数,wj表示为第j个配置项对应的权重,n表示为配置项的个数,Y表示为目标数值,rbi表示为第i个子系统对应的部分配置项脆弱性值。在一些示例中,目标数值Y可以参考脆弱性评估模块120在获取漏洞风险值时的赋值范围所确定。在本实施方式所涉及的示例中,目标数值Y可以取值为5。
在一些示例中,脆弱性评估模块120可以根据各个子系统的部分配置项脆弱性值和单模板核查表单的数量获得目标信息系统200的配置项脆弱性值,目标信息系统200的配置项脆弱性值可以满足:
Figure BDA0002592959840000201
其中,N表示为单模板核查表单的数量。
在一些示例中,脆弱性评估模块120可以根据目标资产的漏洞风险值和目标信息系统200的配置项脆弱性值获得目标资产的脆弱性评分。
例如,脆弱性评估模块120可以根据漏洞风险值和配置项脆弱性值通过加权求和获得脆弱性评分。在一些示例中,脆弱性评估模块120可以自行确认漏洞风险值和配置项脆弱性值各自所占的权重。在另一些示例中,漏洞风险值和配置项脆弱性值各自所占的权重可以预先由相关技术人员设定好并存储在脆弱性评估模块120。
在一些示例中,漏洞风险值和配置项脆弱性值各自所占的权重可以根据在相关行业的实际重要性来确定。例如,在交通运输行业风险评估中,漏洞扫描与基线检查两部分在脆弱性评估中占比约为3:7,即漏洞风险值所占的权重为0.3,配置项脆弱性值所占的权重为0.7,该脆弱性评分可以满足:V=0.3*rv+0.7*rb。在一些示例中,漏洞风险值所占的权重和配置项脆弱性值所占的权重之和可以为1。
在一些示例中,风险评估模块140可以对目标信息系统及其目标资产进行风险评估(稍后描述)。
在一些示例中,如图4所示,风险评估系统1可以包括风险评估模块140。在一些示例中,风险评估模块140可以基于价值评分、脆弱性评分和威胁严重性评分(或目标威胁严重性评分)获得目标资产的风险值,从而可以获得目标信息系统200的目标资产的风险等级。
在一些示例中,风险评估模块140利用相乘法获得目标资产的风险值。具体而言,风险评估模块140可以利用威胁评估模块130获得的威胁严重性评分(或目标威胁严重性评分)和脆弱性评估模块120获得的脆弱性评分确定安全事件发生的可能性(参见图5)。风险评估模块140可以利用资产评估模块110获得的目标资产的价值评分和脆弱性评估模块120获得的脆弱性评分确定安全事件的损失(参见图5,也即目标资产在出现安全事件时可能造成的损失)。风险评估模块140可以基于安全事件发生的可能性和安全事件的损失确定目标资产对应的风险值。例如,目标资产对应的风险值满足:
Figure BDA0002592959840000211
Figure BDA0002592959840000212
其中,A表示价值评分,V表示脆弱性评分,T表示威胁严重性评分或目标威胁严重性评分。
在一些示例中,相关技术人员可以基于风险评估系统1对资产、脆弱性和威胁的赋值范围划分多个风险等级,即可以确定各个风险等级对应的目标数值范围,从而可以获得风险评估标准并能够预先存储在风险评估模块140中。在一些示例中,风险评估模块140可以基于目标资产对应的风险值以及预先存储的风险评估标准获得目标资产的风险等级。例如,在本实施方式所涉及的示例中,风险评估系统1对资产、脆弱性和威胁的相关赋值范围可以为[0,5],风险评估标准可以如下表4所示:
表4风险评估标准
风险值 1-5 6-10 11-15 16-20 21-25
风险等级 1 2 3 4 5
风险级别 极低 极高
在一些示例中,风险评估模块140获得目标资产的风险值可以和预设的风险评估标准(例如上表4)进行比较,可以确定风险值的位于哪个目标数值范围内,从而获得目标资产的风险等级。
在一些示例中,目标信息系统200可以包含多个资产,风险评估系统1可以对多个资产依次进行评估,获得各个资产对应的风险值,并获得各个资产的风险等级。由此能够对目标信息系统200中的各个资产进行风险评估。
在一些示例中,若目标信息系统200包含多个资产,则风险评估系统1可以获得目标信息系统200中各个资产对应的风险等级,风险评估系统1可以基于目标信息系统200中各个资产对应的风险等级对目标信息系统200进行评估,获得目标信息系统200的风险评估结果。由此能够对目标信息系统200进行风险评估。
在一些示例中,风险评估系统1可以统计目标信息系统200包含的资产的总数量,风险评估系统1还可以统计目标信息系统200中各个风险等级对应的资产数量。由此能够获得各个风险等级对应的资产数量占资产总数量的百分比。在一些示例中,风险评估系统1可以基于百分比和预先设定的风险评估结果表来对目标信息系统200进行风险评估。由此能够获得目标信息系统200的风险评估结果。在一些示例中,风险评估结果表可以参考下表5,可以预先设定多个阈值来判断目标信息系统200是属于高风险、中风险或低风险。
表5风险评估结果表
Figure BDA0002592959840000221
如上表5所示,若目标信息系统200中风险等级4对应的资产数量大于总资产数量的25%、风险等级5对应的资产数量大于总资产数量的10%或风险等级4与风险等级5对应的资产数量之和大于总资产数量的25%,则目标信息系统200的风险评估结果为高风险;若目标信息系统200中风险等级3对应的资产数量大于总资产数量的35%或目标信息系统200中风险等级3、风险等级4和风险等级5对应的资产数量之和大于总资产数量的35%,则目标信息系统200的风险评估结果为中风险;其余的情况可以认为目标信息系统200的风险评估结果为低风险。但本公开的示例不限于此,相关技术人员可以设定不同的阈值来评估目标信息系统200,获得目标信息系统200的风险评估结果。
在一些示例中,若目标信息系统200包含一个资产,则风险评估系统1可以获得该资产对应的风险等级,并将该资产对应的风险等级作为目标信息系统200的风险等级。
图6示出了本公开的另一示例所涉及的基于态势感知告警的风险评估系统1的结构框图。
在一些示例中,如图6所示,资产评估模块110和威胁评估模块130可以配置在同一个系统模块(例如态势感知系统20)中,即利用一个系统模块获得目标资产的价值评分和威胁严重性评分。在一些示例中,脆弱性评估模块120和风险评估模块140可以配置在同一个系统模块(例如安全评估系统30)中,即利用一个系统模块获得目标资产的脆弱性评分,进而获得目标资产的风险值和风险等级。
具体而言,风险评估系统1可以包括态势感知系统20和安全评估系统30,其中,态势感知系统20可以用于对目标信息系统200的目标资产及其面临的威胁进行识别和评估,能够获得价值评分和威胁严重性评分;安全评估系统30可以用于对目标信息系统200的目标资产的脆弱性进行识别和评估,获得脆弱性评分,安全评估系统30还可以利用价值评分、威胁严重性评分和脆弱性评分获得目标资产的风险值和风险等级。
以下,结合附图详细描述本实施方式的示例所涉及的基于态势感知告警的威胁评估方法。图7示出了本公开的示例所涉及的基于态势感知告警的威胁评估方法的流程图。
本实施方式的示例所涉及的威胁评估方法是基于态势感知产生的告警信息对目标信息系统的目标资产面临的威胁进行评估的威胁评估方法,其可以包括:可以对目标信息系统包含的资产进行识别(步骤S10);可以基于态势感知告警对资产中的目标资产面临的威胁进行识别,可以获得目标资产面临威胁的种类、威胁发生次数、威胁影响等级和每一个影响等级威胁的数量,可以通过威胁发生次数基于泊松过程获得目标威胁发生次数,从而可以基于目标威胁发生次数获得威胁发生频度,并且可以基于威胁影响等级、每一个影响等级威胁的数量和威胁发生频度获得威胁严重性评分(步骤S20)。
在本公开中,可以对目标信息系统中的资产进行识别,可以通过威胁评估获得资产中的目标资产对应的威胁严重性评分。由此能够对目标信息系统进行较为准确的威胁评估。
在本实施方式中,威胁评估方法中的目标资产和威胁严重性评分等的识别和获取可以参照上述的目标资产和威胁严重性评分。
在步骤S10中,如上所述,可以对目标信息系统包含的资产进行识别。也就是说,可以识别出目标信息系统200中包含的资产。
具体而言,在步骤S10中,可以通过部署资产探针对目标信息系统中的资产进行识别。步骤S10的实现具体可以参考上述资产评估模块110。
在一些示例中,目标信息系统可以包括一个或多个资产,可以依次将各个资产作为目标资产进行威胁评估,并可以获得各个资产对应的威胁严重性评分。由此能够目标信息系统中的各个资产进行威胁评估。
在步骤S20中,如上所述,可以基于态势感知告警对资产中的目标资产面临的威胁进行识别,可以获得目标资产面临威胁的种类、威胁发生次数、威胁影响等级和每一个影响等级威胁的数量;可以利用泊松过程对威胁发生次数进行优化获得目标威胁发生次数,从而可以基于目标威胁发生次数获得威胁发生频度,并且可以基于威胁影响等级、每一个影响等级威胁的数量和威胁发生频度获得威胁严重性评分。
在一些示例中,在步骤S20中,可以通过态势感知告警对目标信息系统的网络环境进行监测,可以识别目标资产涉及的一类或多类威胁,可以从中选出任一类威胁(即目标威胁)对目标资产进行威胁评估;可以获得目标威胁对应的威胁发生次数,并可以根据“GB/T20984-2007信息安全风险评估规范”中威胁等级划分获得目标威胁中各个威胁的威胁影响等级及目标威胁中各个威胁影响等级对应的威胁数量。在一些示例中,可以采用泊松过程对威胁发生次数进行优化获得目标威胁发生次数,可以将目标威胁发生次数转化为威胁发生频度;可以根据威胁影响等级、目标威胁中各个威胁影响等级对应的威胁数量(即每一个影响等级威胁的数量)和威胁发生频度获得威胁严重性评分。步骤S20的实现具体可以参考上述威胁评估模块130。
在一些示例中,若目标资产涉及多类威胁,可以针对多类威胁依次获得各类威胁对应的威胁严重性评分,可以基于多个威胁严重性评分获得该目标资产的目标威胁严重性评分。例如,可以对多个威胁严重性评分进行加权求和或求平均获得该目标资产的目标威胁严重性评分。在一些示例中,各个威胁严重性评分对应的权重可以根据该威胁严重性评分对应的威胁种类在相关行业的影响大小确定。
图8示出了本公开的示例所涉及的风险评估方法的流程图。
在一些示例中,如图8所示,相对于上述风险评估系统1而言,本公开的示例所涉及的风险评估方法可以包括:可以对目标信息系统的目标资产进行识别,并可以识别目标资产的种类,从而对目标资产的保密性、完整性和可用性进行评估和赋值,获得目标资产的价值评分(步骤S11);对目标信息系统的目标资产涉及的漏洞和配置项进行检查获得漏洞风险值和配置项脆弱性值,以获取脆弱性评分(步骤S21);可以基于态势感知告警对目标资产面临的威胁进行识别,可以获得目标资产面临的威胁种类以及威胁影响等级和威胁发生次数,可以利用泊松过程对威胁发生次数进行优化获得目标威胁发生次数,从而可以基于目标威胁发生次数获得威胁发生频度,进而可以基于威胁影响等级、每一个影响等级威胁的数量和威胁发生频度获得威胁严重性评分(步骤S31);可以基于价值评分、脆弱性评分和威胁严重性评分获得目标资产的风险值,以获得目标信息系统的目标资产的风险等级(步骤S41)。
在步骤S11中,如上所述,可以对目标信息系统的目标资产进行识别,并识别目标资产的种类,从而可以对目标资产的保密性、完整性和可用性进行评估和赋值,获得目标资产的价值评分。
具体而言,在步骤S11中,可以通过部署资产探针对目标信息系统中的资产进行识别,并从一个或多个资产中选出任一个作为目标资产,可以对相关行业中的信息系统进行分类并确定各类信息系统在不同安全属性方面的价值基准;可以预先确定目标信息系统的种类并获得对应的价值基准,可以根据价值基准对该类目标信息系统可能包含的各类资产进行评分获得资产评分标准;可以根据资产评分标准和目标资产的种类对目标资产的保密性、完整性和可用性进行赋值,可以根据目标资产在保密性、完整性和可用性方面的赋值进行加权求和等方式获得目标资产的价值评分。步骤S11的实现具体可以参考上述资产评估模块110。
在一些示例中,目标信息系统可以包括一个或多个资产,可以依次将各个资产作为目标资产进行评估,获得各个资产对应的风险值,进而可以获得各个资产的风险等级。由此能够对目标信息系统中的各个资产进行风险评估。
在步骤S21中,如上所述,可以对目标信息系统的目标资产涉及的漏洞和配置项进行检查获得漏洞风险值和配置项脆弱性值,以获取脆弱性评分。
在一些示例中,在步骤S21中,可以通过对目标信息系统进行漏洞扫描获得目标信息系统的各资产存在的漏洞;可以从各资产存在的漏洞中获得系统漏洞数量和目标资产涉及的目标漏洞,并获取目标漏洞的数量以及各漏洞对应的漏洞评分;根据系统漏洞数量、目标漏洞的数量和各漏洞对应的漏洞评分可以获得目标资产的漏洞风险值。在一些示例中,在步骤S21中,还可以根据多个单模板核查表单对目标信息系统及其子系统进行基线检查,从而可以对目标信息系统涉及的配置项进行核查;可以获得各个单模板核查表单对应的不符合配置项的个数和配置项的个数以及各个不符合配置项对应的权重wi和与各个配置项对应的权重wj,进而可以基于单模板核查表单的个数获得目标信息系统的配置项脆弱性值,可以对漏洞风险值和配置项脆弱性值进行加权求和获得脆弱性评分。步骤S21的实现具体可以参考上述脆弱性评估模块120。
在一些示例中,在本公开所涉及的风险评估方法中,步骤S31的实现可以分别参见上述资产评估方法中的步骤S20。
在一些示例中,在本公开所涉及的风险评估方法中,步骤S21和步骤S31并无先后顺序。例如,既可以在步骤S31之前先执行步骤S21,又可以在S31之后执行步骤S21。
在步骤S41中,如上所述,可以基于价值评分、脆弱性评分和威胁严重性评分获得目标资产的风险值,以获得目标信息系统的目标资产的风险等级。
在一些示例中,在步骤S41中,可以通过相乘法和上述的基于价值评分、脆弱性评分和威胁严重性评分(或目标威胁严重性评分)获得目标资产的风险值,例如,目标资产对应的风险值满足:
Figure BDA0002592959840000261
其中,A表示价值评分,V表示脆弱性评分,T表示威胁严重性评分或目标威胁严重性评分。在步骤S41中,可以基于上述步骤S11~S31中对资产、脆弱性和威胁的赋值范围划分多个风险等级(即风险评估标准),通过风险评估标准可以确定各个风险等级对应的目标数值范围,可以根据目标资产的风险值和风险评估标准确定目标资产的风险等级。步骤S41的实现具体可以参考上述风险评估模块140。
在一些示例中,目标信息系统可以包含多个资产,可以对多个资产依次进行评估,获得各个资产对应的风险值,并获得各个资产的风险等级。由此能够对目标信息系统中的各个资产进行风险评估。
在一些示例中,若目标信息系统包含多个资产,则可以获得目标信息系统中各个资产对应的风险等级,可以基于目标信息系统中各个资产对应的风险等级对目标信息系统进行评估,获得目标信息系统的风险等级。由此能够对目标信息系统进行风险评估。
在一些示例中,可以统计目标信息系统包含的资产的总数量,可以统计目标信息系统中各个风险等级对应的资产数量,由此能够获得各个风险等级对应的资产数量占资产总数量的百分比,可以基于百分比和风险评估结果表来对目标信息系统进行风险评估。由此能够获得目标信息系统的风险评估结果。
在一些示例中,若目标信息系统包含一个资产,则可以获得该资产对应的风险等级,并可以将该资产对应的风险等级作为目标信息系统的风险等级。
虽然已经示出和描述了本公开的特定实施例,但是对于本领域技术人员而言显而易见的是,基于本公开的教导,可以做出变形和修改而不偏离本公开及其更广泛的方面,因此所附权利要求将在其范围内涵盖在本公开的真实精神和范围内的所有这些改变和修改。本领域技术人员将理解,一般而言,本公开中使用的术语一般意图为“开放”术语(例如术语“包括”应被解释为“包括但不限于”,术语“具有”应被解释为“至少具有”,术语“包括”应被解释为“包括但不限于”等)。

Claims (10)

1.一种基于态势感知告警的威胁评估系统,是基于态势感知产生的告警信息对目标信息系统的目标资产面临的威胁进行威胁评估的系统,其特征在于,包括:资产评估模块,其对所述目标信息系统包含的资产进行识别;威胁评估模块,其基于所述态势感知告警对所述资产中的目标资产面临的威胁进行识别,获得所述目标资产面临威胁的种类、威胁发生次数、威胁影响等级和每一个影响等级威胁的数量,通过所述威胁发生次数基于泊松过程获得目标威胁发生次数,从而基于所述目标威胁发生次数获得威胁发生频度,并且所述威胁评估模块基于所述威胁影响等级、所述每一个影响等级威胁的数量和所述威胁发生频度获得威胁严重性评分。
2.如权利要求1所述的威胁评估系统,其特征在于,
所述目标资产涉及多类威胁,所述威胁评估模块针对所述多类威胁依次对所述目标资产进行威胁评估,分别获得所述目标资产面临各类威胁时对应的威胁严重性评分,所述威胁评估模块基于多个威胁严重性评分获得所述目标资产的目标威胁严重性评分。
3.如权利要求1或2所述的威胁评估系统,其特征在于,
所述目标信息系统包括多个资产,所述威胁评估系统依次将多个资产作为目标资产进行威胁评估,获得各个资产对应的威胁严重性评分或目标威胁严重性评分。
4.如权利要求1所述的威胁评估系统,其特征在于,
所述威胁严重性评分满足:
Figure FDA0002592959830000011
其中,N表示为目标资产面临的威胁总数,Impact表示为威胁影响等级,Ni为第i个影响等级威胁的数量,f表示为威胁发生频度,所述威胁发生频度满足:
Figure FDA0002592959830000012
其中,c表示为目标威胁发生次数。
5.如权利要求1所述的威胁评估系统,其特征在于,
所述资产评估模块通过部署资产探针对所述目标信息系统中的资产进行识别。
6.一种基于态势感知告警的威胁评估方法,是基于态势感知产生的告警信息对目标信息系统的目标资产面临的威胁进行威胁评估的方法,其特征在于,包括:对所述目标信息系统包含的资产进行识别;基于所述态势感知告警对所述资产中的目标资产面临的威胁进行识别,获得所述目标资产面临威胁的种类、威胁发生次数、威胁影响等级和每一个影响等级威胁的数量,通过所述威胁发生次数基于泊松过程获得目标威胁发生次数,从而基于所述目标威胁发生次数获得威胁发生频度,并且基于所述威胁影响等级、所述每一个影响等级威胁的数量和所述威胁发生频度获得威胁严重性评分。
7.如权利要求6所述的威胁评估方法,其特征在于,
所述目标资产涉及多类威胁,针对所述多类威胁依次对所述目标资产进行威胁评估,分别获得所述目标资产面临各类威胁时对应的威胁严重性评分,基于多个威胁严重性评分获得所述目标资产的目标威胁严重性评分。
8.如权利要求6或7所述的威胁评估方法,其特征在于,
所述目标信息系统包括多个资产,依次将多个资产作为目标资产进行威胁评估,获得各个资产对应的威胁严重性评分或目标威胁严重性评分。
9.如权利要求6所述的威胁评估方法,其特征在于,
所述威胁严重性评分满足:
Figure FDA0002592959830000021
其中,N表示为目标资产的威胁总数,Impact表示为威胁影响等级,Ni为第i个影响等级威胁的数量,f表示为威胁发生频度,所述威胁发生频度满足:
Figure FDA0002592959830000022
其中,c表示为目标威胁发生次数。
10.如权利要求6所述的威胁评估方法,其特征在于,
通过部署资产探针对所述目标信息系统中的资产进行识别。
CN202010700800.XA 2020-07-20 2020-07-20 基于态势感知告警的威胁评估系统及方法 Active CN111865982B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010700800.XA CN111865982B (zh) 2020-07-20 2020-07-20 基于态势感知告警的威胁评估系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010700800.XA CN111865982B (zh) 2020-07-20 2020-07-20 基于态势感知告警的威胁评估系统及方法

Publications (2)

Publication Number Publication Date
CN111865982A true CN111865982A (zh) 2020-10-30
CN111865982B CN111865982B (zh) 2021-05-07

Family

ID=73000719

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010700800.XA Active CN111865982B (zh) 2020-07-20 2020-07-20 基于态势感知告警的威胁评估系统及方法

Country Status (1)

Country Link
CN (1) CN111865982B (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112688971A (zh) * 2021-03-18 2021-04-20 国家信息中心 功能损害型网络安全威胁识别装置及信息系统
CN113067829A (zh) * 2021-03-25 2021-07-02 北京天融信网络安全技术有限公司 一种威胁信息处理方法及装置
CN114019942A (zh) * 2021-11-04 2022-02-08 哈尔滨工业大学 一种基于分时频率的工业机器人系统安全威胁评价方法
CN114285630A (zh) * 2021-12-22 2022-04-05 杭州安恒信息技术股份有限公司 一种安全域风险告警方法、系统、装置及可读存储介质
CN114615016A (zh) * 2022-02-09 2022-06-10 广东能源集团科学技术研究院有限公司 一种企业网络安全评估方法、装置、移动终端及存储介质
CN115314415A (zh) * 2022-07-08 2022-11-08 北京天融信网络安全技术有限公司 网络安全态势预测方法、装置、电子设备及存储介质

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090106843A1 (en) * 2007-10-18 2009-04-23 Pil-Yong Kang Security risk evaluation method for effective threat management
CN101459537A (zh) * 2008-12-20 2009-06-17 中国科学技术大学 基于多层次多角度分析的网络安全态势感知系统及方法
CN103581186A (zh) * 2013-11-05 2014-02-12 中国科学院计算技术研究所 一种网络安全态势感知方法及系统
CN105516130A (zh) * 2015-12-07 2016-04-20 北京安信天行科技有限公司 一种数据处理方法和装置
CN106713233A (zh) * 2015-11-13 2017-05-24 国网智能电网研究院 一种网络安全状态的判断与保护方法
CN106960269A (zh) * 2017-02-24 2017-07-18 浙江鹏信信息科技股份有限公司 基于层次分析法的安全应急处置方法及系统
CN109064018A (zh) * 2018-07-31 2018-12-21 郑州向心力通信技术股份有限公司 一种信息安全风险评估系统及方法
CN109302396A (zh) * 2018-10-10 2019-02-01 西安邮电大学 一种基于风险评估的网络安全态势感知方法
CN110851839A (zh) * 2019-11-12 2020-02-28 杭州安恒信息技术股份有限公司 基于风险的资产评分方法和系统

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090106843A1 (en) * 2007-10-18 2009-04-23 Pil-Yong Kang Security risk evaluation method for effective threat management
CN101459537A (zh) * 2008-12-20 2009-06-17 中国科学技术大学 基于多层次多角度分析的网络安全态势感知系统及方法
CN103581186A (zh) * 2013-11-05 2014-02-12 中国科学院计算技术研究所 一种网络安全态势感知方法及系统
CN106713233A (zh) * 2015-11-13 2017-05-24 国网智能电网研究院 一种网络安全状态的判断与保护方法
CN105516130A (zh) * 2015-12-07 2016-04-20 北京安信天行科技有限公司 一种数据处理方法和装置
CN106960269A (zh) * 2017-02-24 2017-07-18 浙江鹏信信息科技股份有限公司 基于层次分析法的安全应急处置方法及系统
CN109064018A (zh) * 2018-07-31 2018-12-21 郑州向心力通信技术股份有限公司 一种信息安全风险评估系统及方法
CN109302396A (zh) * 2018-10-10 2019-02-01 西安邮电大学 一种基于风险评估的网络安全态势感知方法
CN110851839A (zh) * 2019-11-12 2020-02-28 杭州安恒信息技术股份有限公司 基于风险的资产评分方法和系统

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112688971A (zh) * 2021-03-18 2021-04-20 国家信息中心 功能损害型网络安全威胁识别装置及信息系统
CN113067829A (zh) * 2021-03-25 2021-07-02 北京天融信网络安全技术有限公司 一种威胁信息处理方法及装置
CN113067829B (zh) * 2021-03-25 2023-05-02 北京天融信网络安全技术有限公司 一种威胁信息处理方法及装置
CN114019942A (zh) * 2021-11-04 2022-02-08 哈尔滨工业大学 一种基于分时频率的工业机器人系统安全威胁评价方法
CN114019942B (zh) * 2021-11-04 2023-08-29 哈尔滨工业大学 一种基于分时频率的工业机器人系统安全威胁评价方法
CN114285630A (zh) * 2021-12-22 2022-04-05 杭州安恒信息技术股份有限公司 一种安全域风险告警方法、系统、装置及可读存储介质
CN114285630B (zh) * 2021-12-22 2024-03-22 杭州安恒信息技术股份有限公司 一种安全域风险告警方法、系统、装置及可读存储介质
CN114615016A (zh) * 2022-02-09 2022-06-10 广东能源集团科学技术研究院有限公司 一种企业网络安全评估方法、装置、移动终端及存储介质
CN114615016B (zh) * 2022-02-09 2023-08-01 广东能源集团科学技术研究院有限公司 一种企业网络安全评估方法、装置、移动终端及存储介质
CN115314415A (zh) * 2022-07-08 2022-11-08 北京天融信网络安全技术有限公司 网络安全态势预测方法、装置、电子设备及存储介质
CN115314415B (zh) * 2022-07-08 2023-09-26 北京天融信网络安全技术有限公司 网络安全态势预测方法、装置、电子设备及存储介质

Also Published As

Publication number Publication date
CN111865982B (zh) 2021-05-07

Similar Documents

Publication Publication Date Title
CN111859393B (zh) 基于态势感知告警的风险评估系统及方法
CN111865981B (zh) 网络安全脆弱性评估系统及方法
CN111865982B (zh) 基于态势感知告警的威胁评估系统及方法
CN110620759B (zh) 基于多维关联的网络安全事件危害指数评估方法及其系统
US10878102B2 (en) Risk scores for entities
US7526806B2 (en) Method and system for addressing intrusion attacks on a computer system
TWI573036B (zh) 針對威脅評估之風險評分技術
US20090106843A1 (en) Security risk evaluation method for effective threat management
CN114584405B (zh) 一种电力终端安全防护方法及系统
Bryant et al. Improving SIEM alert metadata aggregation with a novel kill-chain based classification model
CN105009132A (zh) 基于置信因子的事件关联
CN113542279A (zh) 一种网络安全风险评估方法、系统及装置
CN114615016B (zh) 一种企业网络安全评估方法、装置、移动终端及存储介质
CN110620696A (zh) 针对企业网络安全态势感知的评分方法和装置
CN107277080A (zh) 一种基于安全即服务的互联网风险管理方法及系统
CN117478433B (zh) 一种网络与信息安全动态预警系统
US20230396640A1 (en) Security event management system and associated method
CN116050841B (zh) 信息安全风险评估方法、装置、终端设备及存储介质
Qassim et al. Strategy to Reduce False Alarms in Intrusion Detection and Prevention Systems.
CN115378643B (zh) 一种基于蜜点的网络攻击防御方法和系统
CN116094817A (zh) 一种网络安全检测系统和方法
You et al. Review on cybersecurity risk assessment and evaluation and their approaches on maritime transportation
Xi et al. Quantitative threat situation assessment based on alert verification
CN113378159A (zh) 一种基于集中管控的威胁情报的评估方法
Kai et al. Development of qualification of security status suitable for cloud computing system

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant