CN112163753A - 资产风险评估方法、装置、计算机设备和存储介质 - Google Patents
资产风险评估方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN112163753A CN112163753A CN202011001681.5A CN202011001681A CN112163753A CN 112163753 A CN112163753 A CN 112163753A CN 202011001681 A CN202011001681 A CN 202011001681A CN 112163753 A CN112163753 A CN 112163753A
- Authority
- CN
- China
- Prior art keywords
- asset
- attack
- risk assessment
- evaluated
- alarm information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012502 risk assessment Methods 0.000 title claims abstract description 92
- 238000000034 method Methods 0.000 title claims abstract description 58
- 238000011156 evaluation Methods 0.000 claims description 41
- 238000004590 computer program Methods 0.000 claims description 12
- 239000011159 matrix material Substances 0.000 claims description 4
- 230000036541 health Effects 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 15
- 238000004891 communication Methods 0.000 description 9
- 230000008569 process Effects 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000000638 solvent extraction Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 238000011835 investigation Methods 0.000 description 2
- 230000035515 penetration Effects 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000011838 internal investigation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0635—Risk analysis of enterprise or organisation activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Business, Economics & Management (AREA)
- Software Systems (AREA)
- Human Resources & Organizations (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Strategic Management (AREA)
- Entrepreneurship & Innovation (AREA)
- Economics (AREA)
- Educational Administration (AREA)
- General Business, Economics & Management (AREA)
- Tourism & Hospitality (AREA)
- Quality & Reliability (AREA)
- Operations Research (AREA)
- Marketing (AREA)
- Game Theory and Decision Science (AREA)
- Development Economics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请涉及一种资产风险评估方法、装置、计算机设备和存储介质,其中,该资产风险评估方法包括:接收所述待评估资产的告警信息;基于所述告警信息获取所述告警信息的攻击深度,所述攻击深度为所述待评估资产受攻击的程度;获取所述待评估资产的安全特征值;基于所述攻击深度获取所述安全特征值的特征权重;基于所述安全特征值以及其特征权重对所述待评估资产进行风险评估,得到风险评估结果。上述资产风险评估方法、装置、计算机设备和存储介质以告警信息的攻击深度作为标准,确定资产的各个安全特征值的特征权重,对资产风险进行自动化评估,无需依赖人工经验,提高了评估效率和准确度。
Description
技术领域
本申请涉及信息安全技术领域,特别是涉及一种资产风险评估方法、装置、计算机设备和存储介质。
背景技术
根据国家及单位等对网络资产提出的安全需要,安全人员必须保证信息系统及其传输和存储的信息的机密性、完整性、可用性。在资产过多,安全设备及其产生的告警数量过多的情况下,难以及时了解资产的安全状况并做出处理,且安全检查过程中缺少重点,速度较慢。
传统的对资产进行风险评估的方法中,资产的各个特征值的权重判断依赖于专家知识,特征值权重的大小直接影响到评估结果,效率较低,准确性不高。
发明内容
本申请实施例提供了一种资产风险评估方法、装置、计算机设备和存储介质,以至少解决相关技术中传统的对资产进行风险评估的方法中,各个特征值的权重判断依赖于专家知识,特征值权重的大小直接影响到评估结果,效率较低,准确性不高的问题。
第一方面,本申请实施例提供了一种资产风险评估方法,包括:
接收所述待评估资产的告警信息;
基于所述告警信息获取所述告警信息的攻击深度,所述攻击深度为所述待评估资产受攻击的程度;
获取所述待评估资产的安全特征值;
基于所述攻击深度获取所述安全特征值的特征权重;
基于所述安全特征值以及其特征权重对所述待评估资产进行风险评估,得到风险评估结果。
在其中一些实施例中,所述基于所述告警信息获取所述告警信息的攻击深度包括:
基于所述告警信息的内容和攻击方法对所述告警信息进行攻击链划分;
基于所述攻击链获取所述告警信息的攻击深度。
在其中一些实施例中,所述获取所述待评估资产的安全特征值包括:
获取所述待评估资产受到攻击的攻击链覆盖率、受攻击次数、受攻击广度、资产弱点情况、资产防护等级以及资产失陷情况;
基于所述攻击链覆盖率、受攻击次数、受攻击广度、资产弱点情况、资产防护等级以及资产失陷情况获取特征值。
在其中一些实施例中,所述基于所述攻击深度获取所述安全特征值的特征权重包括:
所述攻击深度越深,则所述攻击链覆盖率、资产失陷情况的特征值的特征权重越大,所述受攻击次数、受攻击广度、资产弱点情况以及资产防护等级的特征值的特征权重越小。
在其中一些实施例中,所述基于所述安全特征值以及其特征权重对所述待评估资产进行风险评估,得到风险评估结果包括:
将所述安全特征值与所述特征权重矩阵相乘,得到风险评估系数;
基于所述风险评估系数得到所述风险评估结果。
在其中一些实施例中,所述风险评估结果包括失陷、高风险、中风险、低风险以及健康5个等级。
在其中一些实施例中,所述基于所述安全特征值以及其特征权重对所述待评估资产进行风险评估,得到风险评估结果之后还包括:
基于所述待评估资产的类别获取所述待评估资产的价值参数;
基于所述待评估资产的价值参数以及风险评估结果得到资产综合评估结果。
第二方面,本申请实施例提供了一种资产风险评估装置,包括:
接收模块,用于接收所述待评估资产的告警信息;
攻击深度获取模块,用于基于所述告警信息获取所述告警信息的攻击深度,所述攻击深度为所述待评估资产受攻击的程度;
特征值获取模块,用于获取所述待评估资产的安全特征值;
特征权重获取模块,用于基于所述攻击深度获取所述安全特征值的特征权重;
评估模块,用于基于所述安全特征值以及其特征权重对所述待评估资产进行风险评估,得到风险评估结果。
第三方面,本申请实施例提供了一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第一方面所述的资产风险评估方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一方面所述的资产风险评估方法。
相比于相关技术,本申请实施例提供的资产风险评估方法、装置、计算机设备和存储介质,通过接收所述待评估资产的告警信息;基于所述告警信息获取所述告警信息的攻击深度;获取所述待评估资产的安全特征值;基于所述攻击深度获取所述安全特征值的特征权重;基于所述安全特征值以及其特征权重对所述待评估资产进行风险评估,得到风险评估结果的方式,以告警信息的攻击深度作为标准,确定资产的各个安全特征值的特征权重,对资产风险进行自动化评估,无需依赖人工经验,提高了评估效率和准确度。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本发明一实施例的资产风险评估方法的流程示意图;
图2为本申请一实施例的资产风险评估方法的攻击链划分的示意图;
图3为本发明一实施例的资产风险评估方法的攻击深度赋值的示意图;
图4为本发明一实施例的资产风险评估方法的风险评估系数与风险评估结果的对应关系图;
图5为本发明另一实施例的资产风险评估方法的示意图;
图6为本发明一实施例的资产风险评估装置的结构框图;
图7为本发明一实施例的计算机设备的硬件结构示意图
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
显而易见地,下面描述中的附图仅仅是本申请的一些示例或实施例,对于本领域的普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图将本申请应用于其他类似情景。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
请参阅图1,图1为本发明一实施例的资产风险评估方法的流程示意图。
在本实施例中,资产风险评估方法包括:
S101,接收待评估资产的告警信息。
可以理解的,每个告警信息都是探针对对应资产进行检测后获取到的隐患数据。
S102,基于告警信息获取告警信息的攻击深度,攻击深度为待评估资产受攻击的程度。
示例性地,攻击深度是通过对告警信息划分攻击链后,基于告警信息的攻击链,判断待评估资产受攻击的程度,并对受攻击程度进行赋值得到的。可以理解的,资产受攻击程度越深,则攻击深度越大。具体的,可以根据攻击链划分情况以及告警信息的实际情况对攻击深度进行赋值。
S103,获取待评估资产的安全特征值。
在本实施例中,对待评估资产的安全特征进行赋值,使安全情况数值化,以便后续进行风险评估。
S104,基于攻击深度获取安全特征值的特征权重。
可以理解的,对于攻击深度不同的告警信息对应的待评估资产,其安全风险不同,需要关注的侧重点不同,则其安全特征在风险评估中的权重也要相应变化。
S105,基于安全特征值以及其特征权重对待评估资产进行风险评估,得到风险评估结果。
示例性地,基于安全特征值以及对应的特征权重,可以计算得到一个表示待评估资产风险情况的数值,即风险评估结果。
上述资产风险评估方法,通过接收待评估资产的告警信息;基于告警信息获取告警信息的攻击深度;获取待评估资产的安全特征值;基于攻击深度获取安全特征值的特征权重;基于安全特征值以及其特征权重对待评估资产进行风险评估,得到风险评估结果的方式,以告警信息的攻击深度作为标准,确定资产的各个安全特征值的特征权重,对资产风险进行自动化评估,无需依赖人工经验,提高了评估效率和准确度。
在另一个实施例中,基于述告警信息获取告警信息的攻击深度包括:基于告警信息的内容和攻击方法对告警信息进行攻击链划分;基于攻击链获取告警信息的攻击深度。可以理解的,将告警信息划分为包括侦查、投递、利用、命令控制、内部侦查、横向渗透以及获利七个节点的攻击链。请参阅图2,图2为本申请一实施例的资产风险评估方法的攻击链划分的示意图。在其他实施例中,可以根据实际情况采用其他类型的攻击链划分方法。
请参阅图3,图3为本发明一实施例的资产风险评估方法的攻击深度赋值的示意图。可以理解的,当待评估资产为攻击发起方时,大部分情况下可能表明资产存在问题,比如被控制或感染木马,所以攻击深度较深,例如,当资产发起的攻击的攻击链位置位于侦查这个节点时,攻击深度为10。而当待评估资产为攻击遭受方时,根据受到的攻击所处的攻击链位置逐渐深入,攻击深度逐渐加深,例如当资产遭受的攻击的攻击链位置位于侦查这个节点时,攻击深度为1,当资产遭受的攻击的攻击链位置位于投递这个节点时,攻击深度为2。在其他实施例中,对攻击深度的具体赋值可以根据实际情况决定。具体的,按照攻击链位置对攻击深度进行赋值,攻击深度越深则数值越大,得到攻击深度分级KL{Deepth1,Deepth2,Deepth3,...,Deepthn},Deepth1<Deepth2<Deepth3<...<Deepthn。
在另一个实施例中,对待评估资产涉及到的告警信息,根据攻击深度进行分组统计,攻击深度不为0则视为覆盖,得到攻击行为的集合并根据攻击深度进行排序,得到集合D{d1,d2,d3,...,di},其中d1<d2<d3<...<di。待评估资产受到的攻击深度dmax=di。
在另一个实施例中,获取待评估资产的安全特征值包括:获取待评估资产受到攻击的攻击链覆盖率、受攻击次数、受攻击广度、资产弱点情况、资产防护等级以及资产失陷情况;基于攻击链覆盖率、受攻击次数、受攻击广度、资产弱点情况、资产防护等级以及资产失陷情况获取特征值。可以理解的,待评估资产受到攻击的攻击链覆盖率、受攻击次数、受攻击广度、资产弱点情况、资产防护等级以及资产失陷情况为待评估资产的安全特征,基于上述安全特征的具体情况,可以得出每个安全特征的特征值。具体的,基于告警信息的内容对待评估资产受到的攻击进行分类,对基于告警信息即可判断出已失陷的资产打上已失陷标签,还可以根据告警信息判断攻击造成的危害大小及误报率,基于攻击造成的危害大小及误报率对对应的告警信息进行高、中、低威胁等级评定。
示例性地,基于攻击链覆盖率、受攻击次数、受攻击广度、资产弱点情况、资产防护等级以及资产失陷情况获取特征值具体包括:
将各安全特征采取一定算法转换为数值λi,取值范围在{0,1},最终得到安全特征值F=[λ1,λ2,λ3,...λn]。待评估资产的安全特征包括:
1、前置攻击链覆盖率
可以理解的,前置攻击链即为告警信息对应的攻击中,除攻击深度最高的攻击之外的攻击的攻击链。对待评估资产涉及到的告警信息根据攻击深度进行分组统计,攻击深度不为0则视为覆盖,得到攻击步骤集合{d1,d2,d3,...,dmax},去掉dmax,得到前置攻击链集合Dpre;取攻击深度分级KL中小于dmax的元素,得到KL的子集KLpre;可以理解的,前置攻击链覆盖率的特征值λpre=count(Dpre)/count(KLpre)。示例性地,假设待评估资产相关的告警信息触发了攻击链里3个步骤:侦查,利用,内部侦查,集合d表示每个攻击链是否被触发:d={1,0,1,0,1,0,0},去掉dmax,则count(Dpre)=2;count(KLpre)=10,λpre=2/10。
2、受攻击次数
3、受攻击广度
4、资产弱点情况
对资产进行渗透测试或漏洞扫描,得到资产弱点报告。根据扫描到的弱点的威胁等级、数量以及其对应的权重进行计算特征值,资产弱点情况的特征值为λvul=min(count(vulhigh)*5+count(vulmedium)*2+count(vullow)*2)/100,1),其中,vul表示漏洞,vulhigh为高危漏洞,vulmedium为中危漏洞,vullow为低危漏洞。
5、资产防护等级
6、资产失陷情况
统计待评估资产涉及到的失陷告警数量,存在失陷情况则资产失陷情况的特征值λfall为1,无则λfall为0。
在另一个实施例中,基于攻击深度获取安全特征值的特征权重包括:攻击深度越深,则攻击链覆盖率、资产失陷情况的特征值的特征权重越大,受攻击次数、受攻击广度、资产弱点情况以及资产防护等级的特征值的特征权重越小。示例性地,攻击深度越深,则特定攻击行为权重更大,攻击深度越浅,则告警次数、广度、资产风险等行为特征、资产安全等级类别的权重更大。
可以理解的,将安全特征分为与攻击深度正相关和负相关。对Deepth来说,n越大,攻击深度及其正相关特征的权值越大。根据安全特征类型及占比确定特征权重W=[w1,w2,w3,...,wi]。例如,攻击深度为dmax,特征权重W=[λpre,λfrequency,λtype,λvul,λsecurity,λfall],则W1=[0.1,0.2,0.2,0.2,0.2,0.1],W2=[0.3,0.2,0,0,0.1,0.1,0.1],W3=[0.5,0,0.1,0.1,0.1,0.2]。
可以理解的,安全特征的选取、攻击深度的赋值以及特征值的权重分配均可以根据实际应用场景进行确定。
在另一个实施例中,基于安全特征值以及其特征权重对待评估资产进行风险评估,得到风险评估结果包括:将安全特征值与特征权重矩阵相乘,得到风险评估系数;基于风险评估系数得到风险评估结果。示例性地,通过安全特征的集合F和权重集合W进行风险评估系数计算,得到风险评估系数result=sum(F*WT)/sum(W)。
请参阅图4,图4为本发明一实施例的资产风险评估方法的风险评估系数与风险评估结果的对应关系图。具体的,风险评估结果包括失陷、高风险、中风险、低风险以及健康5个等级,当风险评估系数result≥0.95时,对应资产为失陷等级;当0.7≤result<0.95时,对应资产为高风险等级;当0.3≤result<0.7时,对应资产为中风险等级;当0.1≤result<0.3时,对应资产为低风险等级;当result<0.1时,对应资产为健康等级。可以理解的,风险评估系数与风险评估结果的对应关系可以根据实际应用场景进行确定。
在另一个实施例中,基于安全特征值以及其特征权重对待评估资产进行风险评估,得到风险评估结果之后还包括:基于待评估资产的类别获取待评估资产的价值参数;基于待评估资产的价值参数以及风险评估结果得到资产综合评估结果。示例性地,根据待评估资产的类别、机密性、可用性、完整性对资产价值V进行评定,资产综合评价结果为[V,result],用于对待评估资产进行综合评价。
请参阅图5,图5为本发明另一实施例的资产风险评估方法的示意图。示例性地,接收告警数据,对告警数据进行预处理,基于预处理后的告警数据和待评估资产的情况进行数据筛选,得到攻击深度以及安全特征,安全特征包括待评估资产受到攻击的前置攻击链覆盖率、受攻击次数、受攻击广度、资产弱点情况、资产防护等级以及资产失陷情况,具体的,通过资产弱点扫描结果报告得到资产弱点评分,通过权限控制防护措施得到资产防护等级,另外,通过资产的机密性、完整性以及可用性得到资产价值;继而,对攻击链进行分组统计,根据攻击深度确定安全特征特征值的特征权重配比,基于特征权重配比以及上述安全特征的特征值进行风险计算,并根据资产价值进行优先级评估,综合风险计算结果以及资产价值得到综合评估结果。
上述资产风险评估方法,通过接收待评估资产的告警信息;基于告警信息获取告警信息的攻击深度;获取待评估资产的安全特征值;基于攻击深度获取安全特征值的特征权重;基于安全特征值以及其特征权重对待评估资产进行风险评估,得到风险评估结果的方式,以告警信息的攻击深度作为标准,确定资产的各个安全特征值的特征权重,对资产风险进行自动化评估,无需依赖人工经验,提高了评估效率和准确度。
需要说明的是,在上述流程中或者附图的流程图中示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本实施例还提供了一种资产风险评估装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图6是根据本申请实施例的资产风险评估装置的结构框图,如图6所示,该装置包括:
接收模块10,用于接收待评估资产的告警信息。
攻击深度获取模块20,用于基于告警信息获取告警信息的攻击深度,攻击深度为待评估资产受攻击的程度。
攻击深度获取模块20,还用于:
基于告警信息的内容和攻击方法对告警信息进行攻击链划分;
基于攻击链获取告警信息的攻击深度。
特征值获取模块30,用于获取待评估资产的安全特征值。
特征值获取模块30,还用于:
获取待评估资产受到攻击的攻击链覆盖率、受攻击次数、受攻击广度、资产弱点情况、资产防护等级以及资产失陷情况;
基于攻击链覆盖率、受攻击次数、受攻击广度、资产弱点情况、资产防护等级以及资产失陷情况获取特征值。
特征权重获取模块40,用于基于攻击深度获取安全特征值的特征权重。
特征权重获取模块40,还用于攻击深度越深,则攻击链覆盖率、资产失陷情况的特征值的特征权重越大,受攻击次数、受攻击广度、资产弱点情况以及资产防护等级的特征值的特征权重越小。
评估模块50,用于基于安全特征值以及其特征权重对待评估资产进行风险评估,得到风险评估结果。
评估模块50,还用于:
将安全特征值与特征权重矩阵相乘,得到风险评估系数;
基于风险评估系数得到风险评估结果。
资产风险评估装置,还包括:综合评估模块。
综合评估模块,用于:
基于待评估资产的类别获取待评估资产的价值参数;
基于待评估资产的价值参数以及风险评估结果得到资产综合评估结果。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
另外,结合图1描述的本申请实施例资产风险评估方法可以由计算机设备来实现。图7为根据本申请实施例的计算机设备的硬件结构示意图。
计算机设备可以包括处理器71以及存储有计算机程序指令的存储器72。
具体地,上述处理器71可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,简称为ASIC),或者可以被配置成实施本申请实施例的一个或多个集成电路。
其中,存储器72可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器72可包括硬盘驱动器(Hard Disk Drive,简称为HDD)、软盘驱动器、固态驱动器(SolidState Drive,简称为SSD)、闪存、光盘、磁光盘、磁带或通用串行总线(Universal SerialBus,简称为USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器72可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器72可在数据处理装置的内部或外部。在特定实施例中,存储器72是非易失性(Non-Volatile)存储器。在特定实施例中,存储器72包括只读存储器(Read-Only Memory,简称为ROM)和随机存取存储器(RandomAccess Memory,简称为RAM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(ProgrammableRead-Only Memory,简称为PROM)、可擦除PROM(Erasable ProgrammableRead-Only Memory,简称为EPROM)、电可擦除PROM(Electrically Erasable ProgrammableRead-Only Memory,简称为EEPROM)、电可改写ROM(Electrically Alterable Read-OnlyMemory,简称为EAROM)或闪存(FLASH)或者两个或更多个以上这些的组合。在合适的情况下,该RAM可以是静态随机存取存储器(Static Random-Access Memory,简称为SRAM)或动态随机存取存储器(Dynamic Random Access Memory,简称为DRAM),其中,DRAM可以是快速页模式动态随机存取存储器(Fast Page Mode Dynamic Random Access Memory,简称为FPMDRAM)、扩展数据输出动态随机存取存储器(Extended Date Out Dynamic RandomAccess Memory,简称为EDODRAM)、同步动态随机存取内存(Synchronous Dynamic Random-Access Memory,简称SDRAM)等。
存储器72可以用来存储或者缓存需要处理和/或通信使用的各种数据文件,以及处理器71所执行的可能的计算机程序指令。
处理器71通过读取并执行存储器72中存储的计算机程序指令,以实现上述实施例中的任意一种资产风险评估方法。
在其中一些实施例中,计算机设备还可包括通信接口73和总线70。其中,如图7所示,处理器71、存储器72、通信接口73通过总线70连接并完成相互间的通信。
通信接口73用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。通信接口73还可以实现与其他部件例如:外接设备、图像/数据采集设备、数据库、外部存储以及图像/数据处理工作站等之间进行数据通信。
总线70包括硬件、软件或两者,将计算机设备的部件彼此耦接在一起。总线70包括但不限于以下至少之一:数据总线(Data Bus)、地址总线(Address Bus)、控制总线(Control Bus)、扩展总线(Expansion Bus)、局部总线(Local Bus)。举例来说而非限制,总线70可包括图形加速接口(Accelerated Graphics Port,简称为AGP)或其他图形总线、增强工业标准架构(Extended Industry Standard Architecture,简称为EISA)总线、前端总线(Front Side Bus,简称为FSB)、超传输(Hyper Transport,简称为HT)互连、工业标准架构(Industry Standard Architecture,简称为ISA)总线、无线带宽(InfiniBand)互连、低引脚数(Low Pin Count,简称为LPC)总线、存储器总线、微信道架构(Micro ChannelArchitecture,简称为MCA)总线、外围组件互连(Peripheral Component Interconnect,简称为PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(Serial AdvancedTechnology Attachment,简称为SATA)总线、视频电子标准协会局部(Video ElectronicsStandards Association Local Bus,简称为VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线70可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线,但本申请考虑任何合适的总线或互连。
该计算机设备可以基于获取到的计算机程序指令,执行本申请实施例中的资产风险评估方法,从而实现结合图1描述的资产风险评估方法。
另外,结合上述实施例中的资产风险评估方法,本申请实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种资产风险评估方法。
上述资产风险评估方法、装置、计算机设备和存储介质,通过接收待评估资产的告警信息;基于告警信息获取告警信息的攻击深度;获取待评估资产的安全特征值;基于攻击深度获取安全特征值的特征权重;基于安全特征值以及其特征权重对待评估资产进行风险评估,得到风险评估结果的方式,以告警信息的攻击深度作为标准,确定资产的各个安全特征值的特征权重,对资产风险进行自动化评估,无需依赖人工经验,提高了评估效率和准确度。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种资产风险评估方法,其特征在于,包括:
接收所述待评估资产的告警信息;
基于所述告警信息获取所述告警信息的攻击深度,所述攻击深度为所述待评估资产受攻击的程度;
获取所述待评估资产的安全特征值;
基于所述攻击深度获取所述安全特征值的特征权重;
基于所述安全特征值以及其特征权重对所述待评估资产进行风险评估,得到风险评估结果。
2.根据权利要求1所述的资产风险评估方法,其特征在于,所述基于所述告警信息获取所述告警信息的攻击深度包括:
基于所述告警信息的内容和攻击方法对所述告警信息进行攻击链划分;
基于所述攻击链获取所述告警信息的攻击深度。
3.根据权利要求2所述的资产风险评估方法,其特征在于,所述获取所述待评估资产的安全特征值包括:
获取所述待评估资产受到攻击的攻击链覆盖率、受攻击次数、受攻击广度、资产弱点情况、资产防护等级以及资产失陷情况;
基于所述攻击链覆盖率、受攻击次数、受攻击广度、资产弱点情况、资产防护等级以及资产失陷情况获取特征值。
4.根据权利要求3所述的资产风险评估方法,其特征在于,所述基于所述攻击深度获取所述安全特征值的特征权重包括:
所述攻击深度越深,则所述攻击链覆盖率、资产失陷情况的特征值的特征权重越大,所述受攻击次数、受攻击广度、资产弱点情况以及资产防护等级的特征值的特征权重越小。
5.根据权利要求1所述的资产风险评估方法,其特征在于,所述基于所述安全特征值以及其特征权重对所述待评估资产进行风险评估,得到风险评估结果包括:
将所述安全特征值与所述特征权重矩阵相乘,得到风险评估系数;
基于所述风险评估系数得到所述风险评估结果。
6.根据权利要求5所述的资产风险评估方法,其特征在于,所述风险评估结果包括失陷、高风险、中风险、低风险以及健康5个等级。
7.根据权利要求1所述的资产风险评估方法,其特征在于,所述基于所述安全特征值以及其特征权重对所述待评估资产进行风险评估,得到风险评估结果之后还包括:
基于所述待评估资产的类别获取所述待评估资产的价值参数;
基于所述待评估资产的价值参数以及风险评估结果得到资产综合评估结果。
8.一种资产风险评估装置,其特征在于,包括:
接收模块,用于接收所述待评估资产的告警信息;
攻击深度获取模块,用于基于所述告警信息获取所述告警信息的攻击深度,所述攻击深度为所述待评估资产受攻击的程度;
特征值获取模块,用于获取所述待评估资产的安全特征值;
特征权重获取模块,用于基于所述攻击深度获取所述安全特征值的特征权重;
评估模块,用于基于所述安全特征值以及其特征权重对所述待评估资产进行风险评估,得到风险评估结果。
9.一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7中任一项所述的资产风险评估方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至7中任一项所述的资产风险评估方法。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011001681.5A CN112163753A (zh) | 2020-09-22 | 2020-09-22 | 资产风险评估方法、装置、计算机设备和存储介质 |
PCT/CN2021/092222 WO2022062416A1 (zh) | 2020-09-22 | 2021-05-07 | 资产风险评估方法、装置、计算机设备和存储介质 |
US18/027,372 US20230376606A1 (en) | 2020-09-22 | 2021-05-07 | Asset risk assessment method, apparatus, computer device, and storage medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011001681.5A CN112163753A (zh) | 2020-09-22 | 2020-09-22 | 资产风险评估方法、装置、计算机设备和存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112163753A true CN112163753A (zh) | 2021-01-01 |
Family
ID=73863150
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011001681.5A Pending CN112163753A (zh) | 2020-09-22 | 2020-09-22 | 资产风险评估方法、装置、计算机设备和存储介质 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20230376606A1 (zh) |
CN (1) | CN112163753A (zh) |
WO (1) | WO2022062416A1 (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113326514A (zh) * | 2021-07-30 | 2021-08-31 | 紫光恒越技术有限公司 | 网络资产的风险评估方法、装置、交换机、设备及服务器 |
CN113343243A (zh) * | 2021-04-29 | 2021-09-03 | 浙江乾冠信息安全研究院有限公司 | 机构风险评估方法、装置、电子设备及介质 |
CN113887942A (zh) * | 2021-09-30 | 2022-01-04 | 绿盟科技集团股份有限公司 | 数据处理方法、装置、电子设备和存储介质 |
CN113922998A (zh) * | 2021-09-29 | 2022-01-11 | 湖北天融信网络安全技术有限公司 | 一种漏洞风险评估方法、装置、电子设备及可读存储介质 |
CN114070650A (zh) * | 2022-01-11 | 2022-02-18 | 浙江国利网安科技有限公司 | 网络资产评估方法、装置、电子设备及可读储存介质 |
WO2022062416A1 (zh) * | 2020-09-22 | 2022-03-31 | 杭州安恒信息技术股份有限公司 | 资产风险评估方法、装置、计算机设备和存储介质 |
CN114598504A (zh) * | 2022-02-21 | 2022-06-07 | 烽台科技(北京)有限公司 | 一种风险评估方法、装置、电子设备及可读存储介质 |
CN114679339A (zh) * | 2022-05-26 | 2022-06-28 | 杭州安恒信息技术股份有限公司 | 一种物联网资产评分方法、装置、设备及介质 |
CN114760189A (zh) * | 2022-03-30 | 2022-07-15 | 深信服科技股份有限公司 | 一种信息确定方法、设备和计算机可读存储介质 |
CN115022025A (zh) * | 2022-05-27 | 2022-09-06 | 中电长城网际系统应用有限公司 | 差分攻击风险量化评估方法、装置、计算机设备及介质 |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114884712B (zh) * | 2022-04-26 | 2023-11-07 | 绿盟科技集团股份有限公司 | 一种网络资产风险级别信息确定方法、装置、设备及介质 |
CN115150202B (zh) * | 2022-09-02 | 2022-11-25 | 北京云科安信科技有限公司 | 一种互联网it信息资产搜集及攻击探测的方法 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107819771A (zh) * | 2017-11-16 | 2018-03-20 | 国网湖南省电力有限公司 | 一种基于资产依赖关系的信息安全风险评估方法及系统 |
CN109660539A (zh) * | 2018-12-20 | 2019-04-19 | 北京神州绿盟信息安全科技股份有限公司 | 失陷设备识别方法、装置、电子设备及存储介质 |
CN110033202A (zh) * | 2019-04-22 | 2019-07-19 | 广东电网有限责任公司 | 一种电力业务系统的风险评估方法及评估系统 |
CN110138778A (zh) * | 2019-05-15 | 2019-08-16 | 福州大学 | 一种基于博弈论的网络攻击风险控制方法及系统 |
CN110598404A (zh) * | 2019-09-17 | 2019-12-20 | 腾讯科技(深圳)有限公司 | 安全风险监控方法、监控装置、服务器和存储介质 |
CN111245807A (zh) * | 2020-01-07 | 2020-06-05 | 北京工业大学 | 基于攻击链因子的网络态势量化评估方法 |
CN111385291A (zh) * | 2020-03-02 | 2020-07-07 | 北京百度网讯科技有限公司 | 车辆信息安全漏洞的评价方法、装置、设备及存储介质 |
CN111556037A (zh) * | 2020-04-21 | 2020-08-18 | 杭州安恒信息技术股份有限公司 | 网站系统安全指数评估的方法和装置 |
CN111565184A (zh) * | 2020-04-29 | 2020-08-21 | 杭州安恒信息技术股份有限公司 | 一种网络安全评估装置、方法、设备及介质 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7181364B2 (en) * | 2005-04-15 | 2007-02-20 | Network Appliance, Inc. | Automated detecting and reporting on field reliability of components |
CN110851839B (zh) * | 2019-11-12 | 2022-03-11 | 杭州安恒信息技术股份有限公司 | 基于风险的资产评分方法和系统 |
CN112163753A (zh) * | 2020-09-22 | 2021-01-01 | 杭州安恒信息技术股份有限公司 | 资产风险评估方法、装置、计算机设备和存储介质 |
-
2020
- 2020-09-22 CN CN202011001681.5A patent/CN112163753A/zh active Pending
-
2021
- 2021-05-07 WO PCT/CN2021/092222 patent/WO2022062416A1/zh active Application Filing
- 2021-05-07 US US18/027,372 patent/US20230376606A1/en active Pending
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107819771A (zh) * | 2017-11-16 | 2018-03-20 | 国网湖南省电力有限公司 | 一种基于资产依赖关系的信息安全风险评估方法及系统 |
CN109660539A (zh) * | 2018-12-20 | 2019-04-19 | 北京神州绿盟信息安全科技股份有限公司 | 失陷设备识别方法、装置、电子设备及存储介质 |
CN110033202A (zh) * | 2019-04-22 | 2019-07-19 | 广东电网有限责任公司 | 一种电力业务系统的风险评估方法及评估系统 |
CN110138778A (zh) * | 2019-05-15 | 2019-08-16 | 福州大学 | 一种基于博弈论的网络攻击风险控制方法及系统 |
CN110598404A (zh) * | 2019-09-17 | 2019-12-20 | 腾讯科技(深圳)有限公司 | 安全风险监控方法、监控装置、服务器和存储介质 |
CN111245807A (zh) * | 2020-01-07 | 2020-06-05 | 北京工业大学 | 基于攻击链因子的网络态势量化评估方法 |
CN111385291A (zh) * | 2020-03-02 | 2020-07-07 | 北京百度网讯科技有限公司 | 车辆信息安全漏洞的评价方法、装置、设备及存储介质 |
CN111556037A (zh) * | 2020-04-21 | 2020-08-18 | 杭州安恒信息技术股份有限公司 | 网站系统安全指数评估的方法和装置 |
CN111565184A (zh) * | 2020-04-29 | 2020-08-21 | 杭州安恒信息技术股份有限公司 | 一种网络安全评估装置、方法、设备及介质 |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022062416A1 (zh) * | 2020-09-22 | 2022-03-31 | 杭州安恒信息技术股份有限公司 | 资产风险评估方法、装置、计算机设备和存储介质 |
CN113343243A (zh) * | 2021-04-29 | 2021-09-03 | 浙江乾冠信息安全研究院有限公司 | 机构风险评估方法、装置、电子设备及介质 |
CN113326514B (zh) * | 2021-07-30 | 2021-10-29 | 紫光恒越技术有限公司 | 网络资产的风险评估方法、装置、交换机、设备及服务器 |
CN113326514A (zh) * | 2021-07-30 | 2021-08-31 | 紫光恒越技术有限公司 | 网络资产的风险评估方法、装置、交换机、设备及服务器 |
CN113922998A (zh) * | 2021-09-29 | 2022-01-11 | 湖北天融信网络安全技术有限公司 | 一种漏洞风险评估方法、装置、电子设备及可读存储介质 |
CN113887942A (zh) * | 2021-09-30 | 2022-01-04 | 绿盟科技集团股份有限公司 | 数据处理方法、装置、电子设备和存储介质 |
CN114070650A (zh) * | 2022-01-11 | 2022-02-18 | 浙江国利网安科技有限公司 | 网络资产评估方法、装置、电子设备及可读储存介质 |
CN114070650B (zh) * | 2022-01-11 | 2022-05-17 | 浙江国利网安科技有限公司 | 网络资产评估方法、装置、电子设备及可读储存介质 |
CN114598504A (zh) * | 2022-02-21 | 2022-06-07 | 烽台科技(北京)有限公司 | 一种风险评估方法、装置、电子设备及可读存储介质 |
CN114598504B (zh) * | 2022-02-21 | 2023-11-03 | 烽台科技(北京)有限公司 | 一种风险评估方法、装置、电子设备及可读存储介质 |
CN114760189A (zh) * | 2022-03-30 | 2022-07-15 | 深信服科技股份有限公司 | 一种信息确定方法、设备和计算机可读存储介质 |
CN114679339A (zh) * | 2022-05-26 | 2022-06-28 | 杭州安恒信息技术股份有限公司 | 一种物联网资产评分方法、装置、设备及介质 |
CN114679339B (zh) * | 2022-05-26 | 2022-08-26 | 杭州安恒信息技术股份有限公司 | 一种物联网资产评分方法、装置、设备及介质 |
CN115022025A (zh) * | 2022-05-27 | 2022-09-06 | 中电长城网际系统应用有限公司 | 差分攻击风险量化评估方法、装置、计算机设备及介质 |
CN115022025B (zh) * | 2022-05-27 | 2024-04-02 | 中电长城网际系统应用有限公司 | 差分攻击风险量化评估方法、装置、计算机设备及介质 |
Also Published As
Publication number | Publication date |
---|---|
WO2022062416A1 (zh) | 2022-03-31 |
US20230376606A1 (en) | 2023-11-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112163753A (zh) | 资产风险评估方法、装置、计算机设备和存储介质 | |
CN112019521B (zh) | 一种资产评分方法、装置、计算机设备及存储介质 | |
CN112819336B (zh) | 一种基于电力监控系统网络威胁的量化方法及系统 | |
KR20140033145A (ko) | 악성 프로세스들의 비서명 기반 검출을 위한 시스템 및 방법 | |
CN110417772A (zh) | 攻击行为的分析方法及装置、存储介质、电子装置 | |
CN114553523A (zh) | 基于攻击检测模型的攻击检测方法及装置、介质、设备 | |
CN113408609A (zh) | 一种网络攻击检测方法及系统 | |
CN111669365B (zh) | 网络安全测试方法及装置 | |
CN112153062B (zh) | 基于多维度的可疑终端设备检测方法及系统 | |
CN111786974A (zh) | 一种网络安全评估方法、装置、计算机设备和存储介质 | |
CN109583056A (zh) | 一种基于仿真平台的网络攻防工具效能评估方法及系统 | |
CN116366374A (zh) | 基于大数据的电网网络管理的安全评估方法、系统及介质 | |
CN114866338B (zh) | 网络安全检测方法、装置及电子设备 | |
CN109714342B (zh) | 一种电子设备的保护方法及装置 | |
CN116800504A (zh) | 一种终端物理指纹提取及非法接入动态认证方法和装置 | |
CN115174278B (zh) | 一种网络威胁等级评估方法及装置 | |
CN115119197B (zh) | 基于大数据的无线网络风险分析方法、装置、设备及介质 | |
CN112087414A (zh) | 挖矿木马的检测方法及装置 | |
CN115643065A (zh) | 一种网络攻击事件检测方法及系统 | |
CN113238971A (zh) | 基于状态机的自动化渗透测试系统及方法 | |
CN113378162B (zh) | 可执行和可链接格式文件的检验方法、装置及存储介质 | |
CN111125692B (zh) | 反爬虫方法及装置 | |
CN109688159A (zh) | 网络隔离违规识别方法、服务器及计算机可读存储介质 | |
CN116432208B (zh) | 工业互联网数据的安全管理方法、装置、服务器及系统 | |
CN111143833B (zh) | 一种非法应用程序类别识别方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210101 |