CN112364351A - 设备威胁发现方法、装置、计算设备及存储介质 - Google Patents

设备威胁发现方法、装置、计算设备及存储介质 Download PDF

Info

Publication number
CN112364351A
CN112364351A CN202011607274.9A CN202011607274A CN112364351A CN 112364351 A CN112364351 A CN 112364351A CN 202011607274 A CN202011607274 A CN 202011607274A CN 112364351 A CN112364351 A CN 112364351A
Authority
CN
China
Prior art keywords
equipment
risk
group
threat
determining
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011607274.9A
Other languages
English (en)
Other versions
CN112364351B (zh
Inventor
王滨
张峰
万里
何承润
王星
刘松
殷丽华
李超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Hikvision Digital Technology Co Ltd
Original Assignee
Hangzhou Hikvision Digital Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Hikvision Digital Technology Co Ltd filed Critical Hangzhou Hikvision Digital Technology Co Ltd
Priority to CN202011607274.9A priority Critical patent/CN112364351B/zh
Publication of CN112364351A publication Critical patent/CN112364351A/zh
Application granted granted Critical
Publication of CN112364351B publication Critical patent/CN112364351B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请提出了设备威胁发现方法、装置、计算设备及存储介质。一种设备威胁发现方法,包括:获取设备组的登记信息,所述登记信息用于描述设备组中各设备的身份信息和运行状态信息;根据所述登记信息,确定设备组的风险等级,其中不同风险等级表示设备组的不同安全状态;通过与风险等级对应的设备识别方式,对设备组中设备进行设备识别,得到设备识别结果,其中,设备识别结果用于表示识别到的设备信息,风险等级越高对应的设备识别方式准确度越高;通过与风险等级对应的威胁检测方式,利用设备识别结果进行威胁检测,得到设备识别结果对应的设备的威胁检测结果,其中,风险等级越高对应的威胁检测方式准确度越高。

Description

设备威胁发现方法、装置、计算设备及存储介质
技术领域
本申请涉及信息安全技术领域,特别涉及设备威胁发现方法、装置、计算设备及存储介质。
背景技术
在一些应用场景中,需要对安防设备等设备的安全威胁进行检测。
目前的威胁检测方案,通常针对设备组(即包括多个设备的设备网)中单个设备,采用单一的威胁检测方式进行威胁发现。例如,威胁检测方案采用主动检测方式(即向待检测设备发送测试数据包)。主动检测方式检测准确度高,而风险较高(主动检测可能会造成设备重启或设备瘫痪)。目前的威胁检测方案由于采用固定的威胁检测方式,目前的威胁检测方案对设备造成的风险是不可调节的。
有鉴于此,如何在设备威胁检测时提高对风险控制的方便性是需要解决的技术问题。
发明内容
本申请提出了设备威胁发现方法、装置、计算设备及存储介质,能够在设备威胁检测时提高对风险控制的方便性。
根据本申请一个方面,提供一种设备威胁发现方法,包括:
获取设备组的登记信息,所述登记信息用于描述设备组中各设备的身份信息和运行状态信息;
根据所述登记信息,确定设备组的风险等级,其中不同风险等级表示设备组的不同安全状态;
通过与风险等级对应的设备识别方式,对设备组中设备进行设备识别,得到设备识别结果,其中,设备识别结果用于表示识别到的设备信息,风险等级越高对应的设备识别方式准确度越高;
通过与风险等级对应的威胁检测方式,利用设备识别结果进行威胁检测,得到设备识别结果对应的设备的威胁检测结果,其中,风险等级越高对应的威胁检测方式准确度越高。
在一些实施例中,上述方法进一步包括:
根据威胁检测结果,采用与风险等级对应的威胁消除方式,对设备组进行威胁消除;
生成设备威胁检测报告,所述设备威胁检测报告包括下述中至少一种:登记信息、设备识别结果、威胁检测结果和威胁消除结果。
在一些实施例中,所述获取设备组的登记信息,包括:获取设备厂商、设备型号、设备上线年份、设备组中安全事件类型、设备组中安全事件数量、设备组中最近一次安全事件时间;
所述根据所述登记信息,确定设备组的风险等级,包括:
根据对登记信息中各内容项的风险程度的评分规则,对登记信息中各内容项进行风险评分;
获取用于分析设备组的风险等级的层次结构中各层的权重向量,所述层次结构包括:目标层、准则层和因素层,其中,目标层包括设备组的风险等级,准则层的权重向量包括:资产脆弱性的权重分量和环境安全性的权重分量,因素层的权重向量包括:第一权重向量和第二权重向量,第一权重向量包括:设备厂商的权重分量、设备型号的权重分量、设备上线年份的权重分量,第二权重向量包括:设备组中安全事件类型的权重分量、设备组中安全事件数量的权重分量和设备组中最近一次安全事件时间的权重分量;
根据第一权重向量,对设备厂商的风险评分、设备型号的风险评分、设备上线年份的风险评分进行加权求和,并将求和结果作为资产脆弱性的风险评分;
根据第二权重向量,对设备组中安全事件类型的风险评分、设备组中安全事件数量的风险评分、设备组中最近一次安全事件时间的风险评分进行加权求和,并将求和结果作为环境安全性的风险评分;
根据资产脆弱性的权重分量、环境安全性的权重分量,对资产脆弱性的风险评分、环境安全性的风险评分进行加权求和,并将求和结果作为设备组的风险评分;
根据设备组的风险评分,确定设备组的风险等级,所述风险等级的取值范围包括:高风险、中风险和低风险。
在一些实施例中,所述层次结构中各层的权重向量的生成方式,包括:
构建所述层次结构;
针对设备厂商、设备型号、设备上线年份中两两项之间重要程度的比值,构建第一成对比较阵;
检测第一成对比较阵的一致性指标,所述第一成对比较阵的一致性指标用于评估第一成对比较阵中各比值的矛盾程度;
确定第一成对比较阵对应的一致性指标比率是否低于一致性阈值,其中,第一成对比较阵对应的一致性指标比率为:第一成对比较阵的一致性指标与第一成对比较阵对应的随机一致性指标之间的比值,第一成对比较阵对应的随机一致性指标根据第一成对比较阵的矩阵规模确定;
在第一成对比较阵的一致性指标比率高于一致性阈值时,重新执行所述构建第一成对比较阵的操作,直到第一成对比较阵的一致性指标比率低于一致性阈值;
根据第一成对比较阵,确定第一权重向量;
针对设备组中安全事件类型、设备组中安全事件数量、设备组中最近一次安全事件时间中两两项之间重要程度的比值,构建第二成对比较阵;
检测第二成对比较阵的一致性指标,所述第二成对比较阵的一致性指标用于评估第二成对比较阵中各比值的矛盾程度;
确定第二成对比较阵的一致性指标比率是否低于一致性阈值,其中,第二成对比较阵对应的一致性指标比率为:第二成对比较阵的一致性指标与第二成对比较阵对应的随机一致性指标之间的比值,第二成对比较阵对应的随机一致性指标根据第二成对比较阵的矩阵规模确定;
在第二成对比较阵的一致性指标比率高于一致性阈值时,重新执行所述构建第二成对比较阵的操作,直到第二成对比较阵的一致性指标比率低于一致性阈值;根据第二成对比较阵,确定第二权重向量;
针对资产脆弱性和环境安全性之间的重要程度的比值,构建第三成对比较阵;
根据第三成对比较阵,确定准则层的权重向量;
确定因素层相对于准则层是否符合一致性要求;
在因素层相对于准则层不符合一致性要求时,调整第一成对比较阵和第二成对比较阵中一致性指标比率高的成对比较阵,直到因素层相对于准则层符合一致性要求。
在一些实施例中,所述检测第一成对比较阵的一致性指标,包括:对第一成对比较阵依次执行按列归一化、按行求和以及向量归一化,得到第一权重向量;根据第一成对比较阵和第一权重向量,确定第一成对比较阵的最大特征根;根据最大特征根,确定第一成对比较阵的一致性指标;
所述确定因素层相对于准则层是否符合一致性要求,包括:
根据第一权重向量和第二权重向量,对第一成对比较阵的一致性指标和第二成对比较阵的一致性指标进行加权求和,得到第一加权值;
根据第一权重向量和第二权重向量,对第一成对比较阵的随机一致性指标和第二成对比较阵的随机一致性指标进行加权求和,得到第二加权值;
计算第一加权值与第二加权值的比值,并将其作为因素层相对于准则层的一致性指标比率;
检测因素层相对于准则层的一致性指标比率是否低于一致性阈值;
在因素层相对于准则层的一致性指标比率低于一致性阈值时,确定因素层相对于准则层符合一致性要求。
在一些实施例中,所述根据对登记信息中各内容项的风险程度的评分规则,对登记信息中各内容项进行风险评分,包括:
将设备厂商与厂商黑名单进行匹配,在匹配到厂商黑名单时确定设备厂商的风险评分为高风险,在未匹配到厂商黑名单时确定设备厂商的风险评分为低风险值;
将设备型号与型号黑名单进行匹配,在匹配到型号黑名单时确定设备型号的风险评分为高风险值,在未匹配到型号黑名单时确定设备型号的风险评分为低风险值;
在设备上线年份处于第一年份阈值和第二年份阈值之间时确定设备上线年份的风险评分为中风险值,在设备上线年份低于第一年份阈值时确定设备上线年份的风险评分为低风险值,在设备上线年份高于第二年份阈值时确定设备上线年份的风险评分为高风险值,其中第一年份阈值小于第二年份阈值;
在设备组中安全事件数量处于第一数量阈值和第二数量阈值之间时确定设备组中安全事件数量的风险评分为中风险值,在设备组中安全事件数量低于第一数量阈值时确定设备组中安全事件数量的风险评分为低风险值,在设备组中安全事件数量高于第二数量阈值时确定设备组中安全事件数量的风险评分为高风险值;
将设备组中安全事件类型与类型黑名单进行匹配,在设备组中安全事件类型匹配到类型黑名单中高风险事件类型时确定设备组中安全事件类型的风险评分为高风险值,在安全事件类型属于类型黑名单中低风险事件类型时确定设备组中安全事件类型的风险评分为低风险值;
在设备组中最近一次安全事件时间处于第一时长阈值和第二时长阈值之间时确定设备组中最近一次安全事件时间的风险评分为中风险值,在设备组中最近一次安全事件时间小于第一时长阈值时确定设备组中最近一次安全事件时间的风险评分为低风险值,在设备组中最近一次安全事件时间大于第二时长阈值时确定设备组中最近一次安全事件时间的风险评分为高风险值。
在一些实施例中,所述获取设备组的登记信息,包括:获取登记的设备数量、设备厂商、设备型号和安全威胁事件记录;
所述根据所述登记信息,确定设备组的风险等级,包括:
在设备组的在线设备比例低于第一比例阈值,设备组中缺失设备厂商和设备型号的设备比例超过第二比例阈值,并且设备组发生过安全威胁事件时,确定设备组的风险等级为高风险;
在设备组满足第一条件时,确定设备组的风险等级为低风险,其中,第一条件包括下述中任一个:设备组的在线设备比例低于第一比例阈值,设备组中缺失设备厂商和设备型号的设备低于第二比例阈值,并且设备组未发生过安全威胁事件;设备组的在线设备比例达到第一比例阈值,设备组中缺失设备厂商和设备型号的设备比例超过第二比例阈值,并且设备组未发生过安全威胁事件;设备组的在线设备比例达到第一比例阈值,设备组中缺失设备厂商和设备型号的设备低于第二比例阈值,并且设备组未发生过安全威胁事件;
在设备组满足第二条件时,确定设备组的风险等级为中风险,其中,第二条件包括下述中任一个:设备组的在线设备比例低于第一比例阈值,并且设备组中缺失设备厂商和设备型号的设备比例超过第二比例阈值,并且设备组未发生过安全威胁事件;设备组的在线设备比例低于第一比例阈值或者设备组中缺失设备厂商和设备型号的设备比例超过第二比例阈值,并且设备组发生过安全威胁事件。
在一些实施例中,所述通过与风险等级对应的设备识别方式,对设备组中设备进行设备识别,得到设备识别结果,包括:
在设备组的风险等级为高风险时,向设备组中各设备发送探测包,并根据各设备返回的设备的数据流进行设备识别,设备的数据流包括设备进行一次完整通信连接的数据;
在设备的风险等级为低风险或中风险时,监测设备组中设备的数据流,并根据数据流进行设备识别。
在一些实施例中,所述通过与风险等级对应的威胁检测方式,利用设备识别结果进行威胁检测,得到设备识别结果对应的设备的威胁检测结果,包括:
对于设备识别结果对应的任一个设备,根据该设备在设备识别结果中的设备型号和版本号,比对设备威胁漏洞库,确定该设备存在的设备威胁漏洞,所述设备威胁漏洞表示设备本身存在的漏洞;
在风险等级为高风险时,对该设备的全部设备威胁漏洞进行漏洞验证;
在风险等级为中风险时,选择该设备的部分设备威胁漏洞进行漏洞验证;
在风险等级为低风险时,不对该设备的设备威胁漏洞进行漏洞验证;
在风险等级为高风险时,对该设备的异常威胁进行检测,其中,异常威胁包括下述中至少一个:设备配置不当、设备非法替换和设备非法接入,其中,设备配置不当的检测方式包括:检测设备是否属于弱口令、检测安全壳服务是否未关闭和检测设备的敏感端口是否为关闭;设备非法替换的检测方式包括:确定设备识别结果中该设备的设备信息是否与登记信息是否匹配;设备非法接入的检测方式包括:该设备的设备信息是否记录在所述登记信息中。
在一些实施例中,所述根据威胁检测结果,采用与风险等级对应的威胁消除方式,对设备组进行威胁消除,包括:
对于设备威胁漏洞,在风险等级为高风险时,对设备进行软件升级处理,并在软件升级失败时进行设备阻断处理;
对于设备非法替换的异常威胁,在风险等级为中风险或者高风险时,进行设备阻断处理;
对于设备非法接入的异常威胁,在风险等级为高风险时,进行设备阻断处理。
根据本申请一个方面,提供一种设备威胁发现装置,包括:
风险定级单元,获取设备组的登记信息,所述登记信息用于描述设备组中各设备的身份信息和运行状态信息;根据所述登记信息,确定设备组的风险等级,其中不同风险等级表示设备组的不同安全状态;
设备识别单元,通过与风险等级对应的设备识别方式,对设备组中设备进行设备识别,得到设备识别结果,其中,设备识别结果用于表示识别到的设备信息,风险等级越高对应的设备识别方式准确度越高;
威胁检测单元,通过与风险等级对应的威胁检测方式,利用设备识别结果进行威胁检测,得到设备识别结果对应的设备的威胁检测结果,其中,风险等级越高对应的威胁检测方式准确度越高。
在一些实施例中,上述装置进一步包括威胁消除模块:
根据威胁检测结果,采用与风险等级对应的威胁消除方式,对设备组进行威胁消除;
生成设备威胁检测报告,所述设备威胁检测报告包括下述中至少一种:登记信息、设备识别结果、威胁检测结果和威胁消除结果。
根据本申请一个方面,提供一种计算设备,包括:
存储器;
处理器;
程序,存储在该存储器中并被配置为由所述处理器执行,所述程序包括用于执行根据本申请的设备威胁发现方法的指令。
根据本申请一个方面,提供一种存储介质,存储有程序,所述程序包括指令,所述指令当由计算设备执行时,使得所述计算设备执行根据本申请的设备威胁发现方法。
综上,根据本申请实施例的设备威胁发现方案,通过利用设备组的登记信息确定设备组整体的风险等级,并且采用与风险等级对应的设备识别方式和威胁检测方式。这样,设备威胁发现方案可以根据设备组的整体风险等级确定对设备组的一体化的威胁发现方式(即,同时确定设备识别方式和威胁检测方式)。
另外,由于根据风险等级确定设备识别方式和威胁检测方式,本申请的设备威胁发现方案能够提高对风险(即设备识别方式和威胁检测方式对设备造成的风险)控制的方便性。这样,针对不同的风险等级(即针对不同的部署场景中设备组的安全状态),设备威胁发现方案能够自动化地采用不同的处理手段(即设备识别方式和威胁检测方式),从而提高处理手段选择的灵活性。
另外说明的是,不同的设备识别方式(威胁检测方式)会有不同的破坏性(即对设备造成不同的风险)和不同的检测准确度。设备识别方式(威胁检测方式)的检测准确度越高,破坏性也越高。由于风险等级越高对应的设备识别方式(威胁检测方式)风险越高,因此设备威胁发现方案可以针对不同的风险等级,选择最适合的设备识别方式(威胁检测方式)。例如,设备组的风险等级较低,设备威胁发现方案可以采用破坏性低的设备识别方式(威胁检测方式)。而在设备组的风险等级较高时,需要对设备进行比较彻底的检测,因此,设备威胁发现方案可以采用准确度高的设备识别方式(威胁检测方式)。
附图说明
图1示出了根据本申请一些实施例的应用场景的示意图;
图2示出了根据本申请一些实施例的设备威胁发现方法200的流程图;
图3示出了根据本申请一些实施例的确定设备组的风险等级的方法300的流程图;
图4示出了根据本申请一些实施例的确定设备组的风险等级的方法400的流程图;
图5示出了根据本申请一些实施例的确定设备组的风险等级的方法500的流程图;
图6示出了根据本申请一些实施例的层次结构的示意图;
图7示出了根据本申请一些实施例的层次结构中各层的权重向量的生成方法700的流程图;
图8示出了根据本申请一些实施例的检测第一成对比较阵的一致性的方法800的流程图;
图9示出了根据本申请一些实施例的确定风险评分的方法900的流程图;
图10示出了根据本申请一些实施例的设备识别的方法1000的流程图;
图11示出了根据本申请一些实施例的威胁检测的方法1100的流程图;
图12示出了根据本申请一些实施例的设备威胁发现方法1200的流程图;
图13示出了根据本申请一些实施例的威胁消除的方法1300的流程图;
图14示出了根据本申请一些实施例的设备威胁发现装置1400的示意图;
图15示出了根据本申请一些实施例的设备威胁发现装置1500的示意图;
图16示出了根据本申请一些实施例的计算设备的示意图。
具体实施方式
为使本申请的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本申请进一步详细说明。
图1示出了根据本申请一些实施例的应用场景的示意图。
如图1所示,应用场景可以包括设备组110、管理平台120和计算设备130。这里,设备组110可以包括多个设备。设备组110也可以称为设备网或者设备集群。设备组中例如可以包括网络摄像机(IPC)、硬盘录像机(DNR)和网络录像机(NVR)等安防设备,但不限于此。管理平台120可以对设备组110中设备进行管理。管理平台120例如可以记录设备的登记信息。登记信息例如可以包括设备厂商、设备数量、设备型号、设备版本号、设备序列号、安全威胁事件等信息。
计算设备130可以对设备组中设备进行威胁检测。下面结合图2对威胁检测方式进行说明。
图2示出了根据本申请一些实施例的设备威胁发现方法200的流程图。方法200例如可以在图1的计算设备130中执行。
如图2所示,在步骤S201中,获取设备组的登记信息。登记信息用于描述设备组中各设备的身份信息和运行状态信息。这里,设备组例如可以包括多个安防设备等。例如,步骤S201可以从设备组的管理平台获取登记信息。
在步骤S202中,根据登记信息,确定设备组的风险等级。其中,不同风险等级表示设备组的不同安全状态。
在步骤S203中,通过与风险等级对应的设备识别方式,对设备组中设备进行设备识别,得到设备识别结果。其中,风险等级越高对应的设备识别方式准确度越高。设备识别结果表示识别到的设备信息。设备信息例如包括设备身份信息和运行状态信息。
在步骤S204中,通过与风险等级对应的威胁检测方式,利用设备识别结果进行威胁检测,得到设备识别结果对应的设备的威胁检测结果,其中,风险等级越高对应的威胁检测方式准确度越高。
综上,根据本申请实施例的设备威胁发现方案,通过利用设备组的登记信息确定设备组整体的风险等级,并且采用与风险等级对应的设备识别方式和威胁检测方式。这样,设备威胁发现方案可以根据设备组的整体风险等级确定对设备组的一体化的威胁发现方式(即,同时确定设备识别方式和威胁检测方式)。
另外,由于根据风险等级确定设备识别方式和威胁检测方式,本申请的设备威胁发现方案能够提高对风险(即设备识别方式和威胁检测方式对设备造成的风险)控制的方便性。这样,针对不同的风险等级(即针对不同的部署场景中设备组的安全状态),设备威胁发现方案能够自动化地采用不同的处理手段(即设备识别方式和威胁检测方式),从而提高处理手段选择的灵活性。
另外说明的是,不同的设备识别方式(威胁检测方式)会有不同的破坏性(即对设备造成不同的风险)和不同的检测准确度。设备识别方式(威胁检测方式)的检测准确度越高,破坏性也越高。由于风险等级越高对应的设备识别方式(威胁检测方式)风险越高,因此设备威胁发现方案可以针对不同的风险等级,选择最适合的设备识别方式(威胁检测方式)。例如,设备组的风险等级较低,设备威胁发现方案可以采用破坏性低的设备识别方式(威胁检测方式)。而在设备组的风险等级较高时,需要对设备进行比较彻底的检测,因此,设备威胁发现方案可以采用准确度高的设备识别方式(威胁检测方式)。
在一些实施例中,步骤S201可以获取登记的设备数量、设备厂商、设备型号和安全威胁事件记录。步骤S202可以实施为方法300。
如图3所示,在步骤S301中,在设备组的在线设备比例低于第一比例阈值,设备组中缺失设备厂商和设备型号的设备比例超过第二比例阈值,并且设备组发生过安全威胁事件时,确定设备组的风险等级为高风险。其中第一比例阈值例如为40%,第二比例阈值例如为60%。安全威胁事件例如为设备遭遇过僵尸病毒或挖矿病毒等威胁。
在步骤S302中,在设备组满足第一条件时,确定设备组的风险等级为低风险。其中,第一条件包括下述中任一个:设备组的在线设备比例低于第一比例阈值,设备组中缺失设备厂商和设备型号的设备低于第二比例阈值,并且设备组未发生过安全威胁事件;设备组的在线设备比例达到第一比例阈值,设备组中缺失设备厂商和设备型号的设备比例超过第二比例阈值,并且设备组未发生过安全威胁事件;设备组的在线设备比例达到第一比例阈值,设备组中缺失设备厂商和设备型号的设备低于第二比例阈值,并且设备组未发生过安全威胁事件。
在步骤S303中,在设备组满足第二条件时,确定设备组的风险等级为中风险。其中,第二条件包括下述中任一个:设备组的在线设备比例低于第一比例阈值,并且设备组中缺失设备厂商和设备型号的设备比例超过第二比例阈值,并且设备组未发生过安全威胁事件;设备组的在线设备比例低于第一比例阈值或者设备组中缺失设备厂商和设备型号的设备比例超过第二比例阈值,并且设备组发生过安全威胁事件。
综上,方法300能够根据设备组的登记信息,从整体考虑设备组的风险等级。风险等级的范围可以包括低中高三个等级。另外说明的是,方法300为示例性说明,步骤S202可以根据需要设定更多或更少的风险等级。
在一些实施例中,步骤S202可以实施为方法400。
如图4所示,在步骤S401中,将设备组的风险值初始化为0。
在步骤S402中,在设备组的在线设备比例低于第一比例阈值时,将风险值加1。其中,第一比例阈值例如为40%。
在步骤S403中,在设备组中缺失设备厂商和设备型号的设备比例超过第二比例阈值时,将风险值加1。第二比例阈值例如为60%
在步骤S404中,在设备组发生过安全威胁事件时,将风险值加2。安全威胁事件例如为设备遭遇过僵尸病毒或挖矿病毒等威胁。
在步骤S405中,在风险值不超过1时,确定设备组的风险等级为低风险;在风险值超过1且不超过3时,确定设备组的风险等级为中风险;在风险值超过3时,确定设备组的风险等级为高风险。
综上,方法400可以根据多维度的信息(在线设备比例、设备组中缺失设备厂商和设备型号的设备的比例和安全威胁事件)计算设备组的整体风险,从而能够提高风险评估的准确性。
在一些实施例中,步骤S201可以获取设备厂商、设备型号、设备上线年份、设备组中安全事件类型、设备组中安全事件数量、设备组中最近一次安全事件时间等内容项。
为了对设备组的风险等级进行合理评估,本申请实施例可以采用层次分析法确定风险等级。层次分析法可以将复杂的问题系统化,由不同层面给予层级分解,并透过量化的运算,找到脉络后加以综合评估。在采用层级分析法确定风险等级的场景中,步骤S202例如可以实施为方法500。
如图5所示,在步骤S501中,根据对登记信息中各内容项的风险程度的评分规则,对登记信息中各内容项进行风险评分。这里,本申请实施例可以根据实际需要设定评分规则,本申请对此不做限制。
在步骤S502中,获取用于分析设备组的风险等级的层次结构中各层的权重向量。层次结构中各层的权重向量例如可以是在执行方法500之前在线下生成的。
层次结构包括:目标层、准则层和因素层。例如图6示出层次结构的示意图。
其中,目标层包括设备组的风险等级。换言之,层次结构的目标是确定设备组的风险等级。准则层的内容项包括:资产脆弱性和环境安全性。准则层的权重向量包括:资产脆弱性的权重分量和环境安全性的权重分量。准则层的权重向量例如可以表示为2×1的向量。
因素层包括与准则层中各内容项对应的因素。例如,在因素层中,与资产脆弱性有关的因素包括:设备厂商、设备型号、设备上线年份。其中,设备上线年份表示设备上线的累计年数。与环境安全性有关的因素包括:设备组中安全事件类型、设备组中安全事件数量和设备组中最近一次安全事件时间。设备组中最近一次安全事件时间表示最近一次安全事件的发生时间距离当前时间的时长。
因素层的权重向量包括:第一权重向量和第二权重向量。第一权重向量包括:设备厂商的权重分量、设备型号的权重分量、设备上线年份的权重分量。第二权重向量包括:设备组中安全事件类型的权重分量、设备组中安全事件数量的权重分量和设备组中最近一次安全事件时间的权重分量。这里,第一和第二权重向量都可以表示为3×1的向量。
在步骤S503中,根据第一权重向量,对设备厂商的风险评分、设备型号的风险评分、设备上线年份的风险评分进行加权求和,并将求和结果作为资产脆弱性的风险评分。
例如,第一权重向量为3×1的向量A1,设备厂商的风险评分、设备型号的风险评分和设备上线年份的风险评分可以组成1×3的向量B1。步骤S503可以将B1×A1的结果作为资产脆弱性的风险评分。
在步骤S504中,根据第二权重向量,对设备组中安全事件类型的风险评分、设备组中安全事件数量的风险评分、设备组中最近一次安全事件时间的风险评分进行加权求和,并将求和结果作为环境安全性的风险评分。
例如,第二权重向量为3×1的向量A2,设备组中安全事件类型的风险评分、设备组中安全事件数量的风险评分、设备组中最近一次安全事件时间的风险评分可以组成1×3的向量B2。步骤S504可以将B2×A2的结果作为环境安全性的风险评分。
在步骤S505中,根据资产脆弱性的权重分量、环境安全性的权重分量,对资产脆弱性的风险评分、环境安全性的风险评分进行加权求和,并将求和结果作为设备组的风险评分。
例如,资产脆弱性的权重分量和环境安全性的权重分量可以组成准则层的2×1的权重向量C1,步骤S505可以将[B1×A1,B2×A2 ] C1作为目标层的结果,即作为设备组的风险评分。
在步骤S506中,根据设备组的风险评分,确定设备组的风险等级。风险等级的取值范围包括:高风险、中风险和低风险。例如,风险评分的取值范围为[0,1]。在风险评分低于0.5时,设备组的风险等级为低风险。在风险评分处于0.5与0.8之间时,设备组的风险等级为中风险。在风险评分大于0.8时,设备组的风险等级为高风险。
综上,方法500能够采用层次化分析方式,能够将影响风险等级的多个因素进行层次化建模(即建立层次结构),从而能够将复杂问题系统化,并对各层的内容进行分解量化(即确定各层的权重向量),从而能够对多个因素对风险等级的影响进行系统化评估,从而能够更准确和更合理的确定风险等级。
在一些实施例中,步骤S502获取的层次结构中各层的权重向量的生成方式可以实施为方法700。
如图7所示,在步骤S701中,构建层次结构。
在步骤S702中,针对设备厂商、设备型号、设备上线年份中两两项之间重要程度的比值,构建第一成对比较阵。这里,成对比较阵是一种特殊的对称矩阵,矩阵的每行与每列均代表特定因素的重要性,矩阵中的值表示行与列对应因素的重要程度的比值。例如,一个成对比较阵涉及5个因素。5个因素中任意两个因素可以表示为x与y。成对比较阵的量化表例如可以表示为下表1。例如,因素x与y重要性相同,二者比值为1。如果因素x比y略重要,x与y的比值为3。因素y相对于x的比值为1/3。
表1成对比较阵的量化表
Figure 455624DEST_PATH_IMAGE001
5个因素构建的成对比较阵为5×5的矩阵,例如为矩阵D。
Figure 75828DEST_PATH_IMAGE002
这里,步骤S702第一成对比较阵涉及3个因素,第一成对比较阵为一个3×3矩阵。
在步骤S703中,检测第一成对比较阵的一致性指标。第一成对比较阵的一致性指标用于评估第一成对比较阵中各比值的矛盾程度。例如,一个成对比较阵体现a比b重要,b比c重要。如果c比a,则确定a、b和c之间的比值量化存在矛盾。反之,如果a比c重要,则确定a、b和c之间的比值量化不存在矛盾。这里,矛盾程度越低,成对比较阵的协调性越高。
在步骤S704中,确定第一成对比较阵对应的一致性指标比率是否低于一致性阈值。其中,第一成对比较阵对应的一致性指标比率为:第一成对比较阵的一致性指标与第一成对比较阵对应的随机一致性指标之间的比值,第一成对比较阵对应的随机一致性指标根据第一成对比较阵的矩阵规模确定,即根据第一成对比较阵对应的因素数量确定。一致性阈值例如为0.1,但不限于此。在第一成对比较阵的一致性指标比率高于一致性阈值时,方法700可以重新执行步骤S702至S703,直到第一成对比较阵的一致性指标比率低于一致性阈值。这里,重新执行步骤S702时,本申请实施例可以调整第一成对比较阵中的比值,以重新构建第一成对比较阵。
在步骤S704确定第一成对比较阵的一致性指标比率低于一致性阈值时,方法700可以执行步骤S705。在步骤S705中,根据第一成对比较阵,确定第一权重向量。
类似于步骤S702-S705的执行方式,方法700还可以执行步骤S706-S709,以确定第二权重向量。在步骤S706中,针对设备组中安全事件类型、设备组中安全事件数量、设备组中最近一次安全事件时间中两两项之间重要程度的比值,构建第二成对比较阵。
在步骤S707中,检测第二成对比较阵的一致性指标。这里,一致性指标用于评估第二成对比较阵中各比值的矛盾程度。
在步骤S708中,确定第二成对比较阵的一致性指标比率是否低于一致性阈值。其中,第二成对比较阵对应的一致性指标比率为:第二成对比较阵的一致性指标与第二成对比较阵对应的随机一致性指标之间的比值,第二成对比较阵对应的随机一致性指标根据第二成对比较阵的矩阵规模确定。
在第二成对比较阵的一致性指标比率高于一致性阈值时,方法700可以重新执行S706-S708,直到第二成对比较阵的一致性指标比率低于一致性阈值。
在步骤S709中,根据第二成对比较阵,确定第二权重向量。
在步骤S710中,针对资产脆弱性和环境安全性之间的重要程度的比值,构建第三成对比较阵。
在步骤S711中,根据第三成对比较阵,确定准则层的权重向量。
综上,方法700可以针对各层结构构建成对比较阵,从而能够确定各层结构的权重向量。另外,方法700可以对成对比较阵的一致性进行分析,从而提高成对比较阵的协调性,以便提高风险等级评估的权重合理性和提高风险等级评估的准确性。
在一些实施例中,步骤S703检测第一成对比较阵的一致性指标,可以实施为方法800。
在步骤S801中,对第一成对比较阵依次执行按列归一化、按行求和以及向量归一化,得到第一权重向量。
下式以成对比较阵D为例,对权重向量的生成过程进行说明。
Figure 793248DEST_PATH_IMAGE004
步骤S801对成对比较阵按列归一化处理操作可以表示为:
Figure 188458DEST_PATH_IMAGE005
Figure 393043DEST_PATH_IMAGE006
表示矩阵中的比值,i表示比值所在的行,j表示比值坐在的列,n 表示矩阵行数,
Figure 215505DEST_PATH_IMAGE007
表示矩阵列向量归一化处理后的矩阵。
另外,步骤S801对归一化处理后的矩阵按行相加的操作可以表示为下式:
Figure 170954DEST_PATH_IMAGE008
Figure 104275DEST_PATH_IMAGE009
表示矩阵按行相加后得到的向量;
另外,步骤S801对相加后的向量进行归一化处理,得出近似特征根,即权重向量:
Figure 773154DEST_PATH_IMAGE010
在步骤S802中,根据第一成对比较阵和第一权重向量,确定第一成对比较阵的最大特征根。
例如,步骤S802可以首先计算第一成对比较阵与第一权重向量之积,得到计算结果。计算结果中第i行分量可以表示为(Aw) i
以D成对比较阵为例,计算结果的获取过程为:
Figure 156731DEST_PATH_IMAGE011
步骤S802可以根据计算结果和第一权重向量,确定最大特征根。
最大特征根λ的计算方式为:
Figure 848743DEST_PATH_IMAGE012
以D成对比较阵为例,
Figure 585755DEST_PATH_IMAGE013
在步骤S803中,根据最大特征根,确定第一成对比较阵的一致性。
在一些实施例中,步骤S803可以基于下述方式确定成对比较阵的一致性指标:
Figure 843561DEST_PATH_IMAGE014
其中,CI 表示一致性的取值,CI=0则成对比较阵完全一致,接近于0则有满意的一致性,越大则一致性越差。
需要说明的是,n阶一致阵的唯一非零特征根为n,n阶正互反阵A的最大特征根λ大 于等于n,当且仅当λ等于n时A为一致阵。用最大特征值对应的特征向量作为被比较因素对 上层某因素影响的权向量,不一致性越大,引起的判断误差也就越大,因此可以使用
Figure 162154DEST_PATH_IMAGE015
的大小来衡量A的不一致性程度。
另外说明的是,一致性指的是:若A比B的重要性程度为i,B比C的重要性程度为j,则A比C的重要性程度为i×j。实际上成对比较阵一般不完全符合一致性,所以在一定不一致的取值范围内,成对比较阵可以认为符合一致性要求。
本实施将成对比较阵的一致性与随机一致性指标RI进行比较,若一致性指标与随 机一致性指标比率
Figure 590730DEST_PATH_IMAGE016
小于阈值TH,则表示有满意的一致性,本实施例阈值TH设为 0.1。随机一致性指标如表2所示。表2中n表示成对比较阵的矩阵规模,即成对比较阵的行数 (成对比较阵的行数与列数相同):
表2随机一致性指标表
n 1 2 3 4 5 6 7 8 9
RI 0 0 0.58 0.9 1.12 1.24 1.32 1.41 1.45
以上文成对比较阵D为例,其一致性指标比率为:
Figure 865853DEST_PATH_IMAGE017
因此,矩阵D符合一致性要求。
另外说明的是,第一和第二成对比较阵可以基于类似的方式检验一致性。
在一些实施例中,步骤S710涉及的准则层包括:资产脆弱性和环境安全性,对应因素层的两个权重向量,即,第一权重向量和第二权重向量。本申请实施例还可以检测因素层相对于准则层的一致性。方法700还可以执行步骤S712,确定因素层相对于准则层是否符合一致性要求。
具体而言,步骤S712可以根据第一权重向量和第二权重向量,对第一成对比较阵的一致性指标和第二成对比较阵的一致性指标进行加权求和,得到第一加权值。
另外,步骤S712可以根据第一权重向量和第二权重向量,对第一成对比较阵的随机一致性指标和第二成对比较阵的随机一致性指标进行加权求和,得到第二加权值。
在此基础上,步骤S712可以计算第一加权值与第二加权值的比值,并将其作为因素层相对于准则层的一致性指标比率。在因素层相对于准则层的一致性指标比率低于一致性阈值时,步骤S712可以确定因素层相对于准则层符合一致性要求。否则,在因素层相对于准则层的一致性指标比率高于一致性阈值时,步骤S712可以确定因素层相对于准则层不符合一致性要求。
例如,第一和第二权重向量例如分别为B1,B2,对应的一致性指标分别为CI1,CI2,对应的随机一致性指标为RI1,RI2,因此,因素层对准则层的层次总排序,即因素层相对于对准则层的一致性指标比率为:
Figure 447007DEST_PATH_IMAGE018
当CR<0.1时,认为因素层对准则层符合一致性要求,否则方法700可以执行步骤S713,在因素层相对于准则层不符合一致性要求时,调整第一成对比较阵和第二成对比较阵中一致性指标比率高的成对比较阵,直到因素层相对于准则层符合一致性要求。这里,每次调整一个成对比较阵后,需要重新计算相应的权重向量。例如,在需要调整第一成对比较阵时,步骤S713可以执行类似于步骤S702-S705的操作。在需要调整第二成对比较阵时,步骤S713可以执行类似于步骤S706-S709的操作。
综上,通过步骤S712和S713,本申请实施例可以保证因素层相对于准则层的一致性要求,从而提高层次结构中权重向量的准确性,进而使得确定的风险等级更准确和更合理。
在一些实施例中,步骤S501可以实施为方法900。
如图9所示,在步骤S901中,将设备厂商与厂商黑名单进行匹配,在匹配到厂商黑名单时确定设备厂商的风险评分为高风险,在未匹配到厂商黑名单时确定设备厂商的风险评分为低风险值。
在步骤S902中,将设备型号与型号黑名单进行匹配,在匹配到型号黑名单时确定设备型号的风险评分为高风险值,在未匹配到型号黑名单时确定设备型号的风险评分为低风险值。
在步骤S903中,在设备上线年份处于第一年份阈值和第二年份阈值之间时确定设备上线年份的风险评分为中风险值,在设备上线年份低于第一年份阈值时确定设备上线年份的风险评分为低风险值,在设备上线年份高于第二年份阈值时确定设备上线年份的风险评分为高风险值。其中第一年份阈值小于第二年份阈值。第一年份阈值例如为5年,第二年份阈值例如为10年。
在步骤S904中,在设备组中安全事件数量处于第一数量阈值和第二数量阈值之间时确定设备组中安全事件数量的风险评分为中风险值,在设备组中安全事件数量低于第一数量阈值时确定设备组中安全事件数量的风险评分为低风险值,在设备组中安全事件数量高于第二数量阈值时确定设备组中安全事件数量的风险评分为高风险值。这里,第一数量阈值例如为设备组的设备数量与0.01之积。第二数量阈值例如为设备组的设备数量与0.1之积。
在步骤S905中,将设备组中安全事件类型与类型黑名单进行匹配,在设备组中安全事件类型匹配到类型黑名单中高风险事件类型时确定设备组中安全事件类型的风险评分为高风险值,在安全事件类型属于类型黑名单中低风险事件类型时确定设备组中安全事件类型的风险评分为低风险值。其中,类型黑名单中高风险事件类型例如包括僵尸网络、挖矿病毒和木马后门等。类型黑名单中低风险事件类型例如包括端口扫描和目录遍历等。
在步骤S906中,在设备组中最近一次安全事件时间处于第一时长阈值和第二时长阈值之间时确定设备组中最近一次安全事件时间的风险评分为中风险值,在设备组中最近一次安全事件时间小于第一时长阈值时确定设备组中最近一次安全事件时间的风险评分为低风险值,在设备组中最近一次安全事件时间大于第二时长阈值时确定设备组中最近一次安全事件时间的风险评分为高风险值。这里,第一时长阈值例如为3个月或者6个月。第二时长阈值例如为12个月。另外说明的是,方法900中低风险值例如为0,中风险值例如为0.5,高风险值例如为1。
综上,方法900能够根据各内容项的风险程度的评分规则,分别确定各内容项的风险评分,以便综合考虑各内容项的风险评分确定设备组的风险等级。
在一些实施例中,步骤S203可以实施为方法1000。
在步骤S1001中,在设备组的风险等级为高风险时,向设备组中各设备发送探测包,并根据各设备返回的设备的数据流进行设备识别。其中,设备的数据流包括设备进行一次完整通信连接的数据。例如,设备在基于TCP协议与管理平台(或者用户端)通信时,设备的数据流可以是设备开始建立连接至断开连接的过程为一次完整通信连接。步骤S1001可以基于TCP协议进行TCP重组,再提取数据流中的有效载荷(payload)数据进行设备识别。
在步骤S1002中,在设备的风险等级为低风险或中风险时,监测设备组中设备的数据流,并根据数据流进行设备识别。
这里,如果仅根据数据包进行设备识别,则可能会被攻击者构造的数据包影响,导致设备识别结果错误。步骤S1001和S1002通过数据流进行识别可以降低被攻击者构造的数据包影响的风险,提高设备识别结果的准确度。
另外,方法1000可以根据不同的风险等级,为设备组选择合适的设备识别方式。这里,发送探测包的主动识别方式准确度高。主动识别方式有一定破坏性,比如有可能导致设备奔溃宕机重启或失联。而监测设备组中设备的数据流的被动识别方式准确度低且没有破坏性。在风险等级高时,方法1000可以通过步骤S1001对设备组中设备进行高准确度的识别,从而能够对设备组进行比较彻底的检测。而在风险等级低时,方法1000可以通过步骤S1002的被动识别方式进行检测,能够避免对设备组的破坏,即避免造成设备奔溃或其他不可挽回的损失。简言之,方法1000能够基于风险等级,在选择设备识别方式时综合考虑准确性和破坏性,从而可以根据实际需求确定合适的设备识别方式。
在一些实施例中,步骤S204可以实施为方法1100。
如图11所示,在步骤S1101中,对于设备识别结果对应的任一个设备,根据该设备在设备识别结果中的设备型号和版本号,比对设备威胁漏洞库,确定该设备存在的设备威胁漏洞。设备威胁漏洞表示设备本身存在的漏洞。
在步骤S1102中,在风险等级为高风险时,对该设备的全部设备威胁漏洞进行漏洞验证。例如,S1102可以进行目录遍历、权限绕过、木马上传和用户名密码遍历等验证操作。
在步骤S1103中,在风险等级为中风险时,选择该设备的部分设备威胁漏洞进行漏洞验证。例如,步骤S1103可以对进行目录遍历、权限绕过的验证操作。
在步骤S1104中,在风险等级为低风险时,不对该设备的设备威胁漏洞进行漏洞验证。
在步骤S1105中,在风险等级为高风险时,对该设备的异常威胁进行检测。其中,异常威胁包括下述中至少一个:设备配置不当、设备非法替换和设备非法接入。其中,设备配置不当的检测方式包括:检测设备是否属于弱口令、检测安全壳(ssh)服务是否未关闭和检测设备的敏感端口是否为关闭。设备非法替换的检测方式包括:确定设备识别结果中该设备的设备信息是否与登记信息是否匹配。设备非法接入的检测方式包括:该设备的设备信息是否记录在所述登记信息中。
综上,方法1100能够针对不同的风险等级,采用不同的设备威胁检测方式,从而能够自动化根据风险等级选择合适的设备威胁检测方式。
另外,方法1100能够对设备进行设备威胁漏洞和异常威胁检测,从而能够较全面检测设备存在的威胁,提高威胁检测的范围和更契合实际场景中存在的威胁问题。
图12示出了根据本申请一些实施例的设备威胁发现方法1200的流程图。方法1200例如可以在图1的计算设备130中执行。
如图12所示,在步骤S1201中,获取设备组的登记信息。这里,设备组例如可以包括多个安防设备等。例如,步骤S1201可以从设备组的管理平台获取登记信息。
在步骤S1202中,根据登记信息,确定设备组的风险等级。其中,不同风险等级表示设备组的不同安全状态。
在步骤S1203中,通过与风险等级对应的设备识别方式,对设备组中设备进行设备识别,得到设备识别结果。其中,设备识别结果用于表示识别到的设备信息,风险等级越高对应的设备识别方式准确度越高。
在步骤S1204中,通过与风险等级对应的威胁检测方式,利用设备识别结果进行威胁检测,得到设备识别结果对应的设备的威胁检测结果,其中,风险等级越高对应的威胁检测方式准确度越高。
在步骤S1205中,根据威胁检测结果,采用与风险等级对应的威胁消除方式,对设备组进行威胁消除。
在步骤S1206中,生成设备威胁检测报告。设备威胁检测报告包括下述中至少一种:登记信息、设备识别结果、威胁检测结果和威胁消除结果。
综上,根据本申请的设备威胁发现方法1200,能够根据风险等级对设备存在的威胁采用相应的威胁消除方式,从能够自动化根据风险等级选择合适的设备威胁消除方式。
在一些实施例中,步骤S1205可以实施为方法1300。
如图13所示,在步骤S1301中,对于设备威胁漏洞,在风险等级为高风险时,对设备进行软件升级处理,并在软件升级失败时进行设备阻断处理。这里,设备阻断的方式包括两种。一种是联动防火墙或IDS设备增加IP地址黑名单进行阻断。另一种是构建阻断报文,向设备发送构建好的流量数据包,破坏设备正常交互流程。
在步骤S1302中,对于设备非法替换的异常威胁,在风险等级为中风险或者高风险时,进行设备阻断处理。另外,在风险等级为低风险时,步骤S1302可以仅记录设备非法替换的信息,而不进行阻断。
在步骤S1303中,对于设备非法接入的异常威胁,在风险等级为高风险时,进行设备阻断处理。另外,在风险等级为低或中风险时,步骤S1303可以仅记录设备非法接入的信息,而不进行阻断。
综上,方法1300可以针对不同风险等级采用不同的风险消除方式,从而从能够自动化根据风险等级选择合适的设备威胁消除方式。
图14示出根据本申请一些实施例的设备威胁发现装置1400的示意图。装置1400例如可以部署在图1的计算设备130中。
装置1400可以包括:风险定级单元1401、设备识别单元1402、威胁检测单元1403。
风险定级单元1401,获取设备组的登记信息。根据所述登记信息,风险定级单元1401确定设备组的风险等级,其中不同风险等级表示设备组的不同安全状态。
设备识别单元1402,通过与风险等级对应的设备识别方式,对设备组中设备进行设备识别,得到设备识别结果。设备识别结果用于表示识别到的设备信息,风险等级越高对应的设备识别方式准确度越高。
威胁检测单元1403,通过与风险等级对应的威胁检测方式,利用设备识别结果进行威胁检测,得到设备识别结果对应的设备的威胁检测结果,其中,风险等级越高对应的威胁检测方式准确度越高。
综上,根据本申请实施例的设备威胁发现方案,通过利用设备组的登记信息确定设备组整体的风险等级,并且采用与风险等级对应的设备识别方式和威胁检测方式。这样,设备威胁发现方案可以根据设备组的整体风险等级确定对设备组的一体化的威胁发现方式(即,同时确定设备识别方式和威胁检测方式)。
另外,由于根据风险等级确定设备识别方式和威胁检测方式,本申请的设备威胁发现方案能够提高对风险(即设备识别方式和威胁检测方式对设备造成的风险)控制的方便性。这样,针对不同的风险等级(即针对不同的部署场景中设备组的安全状态),设备威胁发现方案能够自动化地采用不同的处理手段(即设备识别方式和威胁检测方式),从而提高处理手段选择的灵活性。
另外说明的是,不同的设备识别方式(威胁检测方式)会有不同的破坏性(即对设备造成不同的风险)和不同的检测准确度。设备识别方式(威胁检测方式)的检测准确度越高,破坏性也越高。由于风险等级越高对应的设备识别方式(威胁检测方式)风险越高,因此设备威胁发现方案可以针对不同的风险等级,选择最适合的设备识别方式(威胁检测方式)。例如,设备组的风险等级较低,设备威胁发现方案可以采用破坏性低的设备识别方式(威胁检测方式)。而在设备组的风险等级较高时,需要对设备进行比较彻底的检测,因此,设备威胁发现方案可以采用准确度高的设备识别方式(威胁检测方式)。
图15示出根据本申请一些实施例的设备威胁发现装置1500的示意图。装置1500例如可以部署在图1的计算设备130中。
装置1500可以包括:风险定级单元1501、设备识别单元1502、威胁检测单元1503和威胁消除模块1504。
风险定级单元1501,获取设备组的登记信息。根据所述登记信息,风险定级单元1501确定设备组的风险等级,其中不同风险等级表示设备组的不同安全状态。
设备识别单元1502,通过与风险等级对应的设备识别方式,对设备组中设备进行设备识别,得到设备识别结果。其中,设备识别结果用于表示识别到的设备信息,风险等级越高对应的设备识别方式准确度越高。
威胁检测单元1503,通过与风险等级对应的威胁检测方式,利用设备识别结果进行威胁检测,得到设备识别结果对应的设备的威胁检测结果。其中,风险等级越高对应的威胁检测方式准确度越高。威胁消除模块1504,根据威胁检测结果,采用与风险等级对应的威胁消除方式,对设备组进行威胁消除。另外,威胁消除模块1504,还可以生成设备威胁检测报告。设备威胁检测报告包括下述中至少一种:登记信息、设备识别结果、威胁检测结果和威胁消除结果。装置1500更具体的实施方式与方法200类似,这里不再赘述。
图16示出了根据本申请一些实施例的计算设备的示意图。如图16所示,该计算设备包括一个或者多个处理器(CPU)1602、通信模块1604、存储器1606、用户接口1610,以及用于互联这些组件的通信总线1608。
处理器1602可通过通信模块1604接收和发送数据以实现网络通信和/或本地通信。
用户接口1610包括一个或多个输出设备1612,其包括一个或多个扬声器和一个或多个屏幕。用户接口1610也包括一个或多个输入设备1614。用户接口1610例如可以是按钮,但不限于此。
存储器1606可以是高速随机存取存储器,诸如DRAM、SRAM、DDR RAM、或其他随机存取固态存储设备;或者非易失性存储器,诸如一个或多个磁盘存储设备、光盘存储设备、闪存设备,或其他非易失性固态存储设备。
存储器1606存储处理器1602可执行的指令集,包括:
操作系统1616,包括用于处理各种基本系统服务和用于执行硬件相关任务的程序;
应用1618,包括用于实现上述方案的各种程序。这种程序能够实现上述各实例中的处理流程,比如可以包括设备威胁发现方法200。
另外,本申请的每一个实施例可以通过由数据处理设备如计算机执行的数据处理程序来实现。显然,数据处理程序构成了本发明。此外,通常存储在一个存储介质中的数据处理程序通过直接将程序读取出存储介质或者通过将程序安装或复制到数据处理设备的存储设备(如硬盘和\或内存)中执行。因此,这样的存储介质也构成了本发明。存储介质可以使用任何类型的记录方式,例如纸张存储介质(如纸带等)、磁存储介质(如软盘、硬盘、闪存等)、光存储介质(如CD-ROM等)、磁光存储介质(如MO等)等。
因此本申请还公开了一种非易失性存储介质,其中存储有程序。该程序包括指令,所述指令当由处理器执行时,使得计算设备执行根据本申请的设备威胁发现方法。
另外,本申请所述的方法步骤除了可以用数据处理程序来实现,还可以由硬件来实现,例如,可以由逻辑门、开关、专用集成电路(ASIC)、可编程逻辑控制器和嵌微控制器等来实现。因此这种可以实现本申请所述确定对象之间关系信息的方法的硬件也可以构成本申请。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (13)

1.一种设备威胁发现方法,其特征在于,包括:
获取设备组的登记信息,所述登记信息用于描述设备组中各设备的身份信息和运行状态信息;
根据所述登记信息,确定设备组的风险等级,其中不同风险等级表示设备组的不同安全状态;
通过与风险等级对应的设备识别方式,对设备组中设备进行设备识别,得到设备识别结果,其中,设备识别结果用于表示识别到的设备信息,风险等级越高对应的设备识别方式准确度越高;
通过与风险等级对应的威胁检测方式,利用设备识别结果进行威胁检测,得到设备识别结果对应的设备的威胁检测结果,其中,风险等级越高对应的威胁检测方式准确度越高。
2.如权利要求1所述的设备威胁发现方法,其特征在于,进一步包括:
根据威胁检测结果,采用与风险等级对应的威胁消除方式,对设备组进行威胁消除;
生成设备威胁检测报告,所述设备威胁检测报告包括下述中至少一种:登记信息、设备识别结果、威胁检测结果和威胁消除结果。
3.如权利要求1所述的设备威胁发现方法,其特征在于,所述获取设备组的登记信息,包括:获取设备厂商、设备型号、设备上线年份、设备组中安全事件类型、设备组中安全事件数量、设备组中最近一次安全事件时间;
所述根据所述登记信息,确定设备组的风险等级,包括:
根据对登记信息中各内容项的风险程度的评分规则,对登记信息中各内容项进行风险评分;
获取用于分析设备组的风险等级的层次结构中各层的权重向量,所述层次结构包括:目标层、准则层和因素层,其中,目标层包括设备组的风险等级,准则层的权重向量包括资产脆弱性的权重分量和环境安全性的权重分量,因素层的权重向量包括第一权重向量和第二权重向量,第一权重向量包括设备厂商的权重分量、设备型号的权重分量、设备上线年份的权重分量,第二权重向量包括设备组中安全事件类型的权重分量、设备组中安全事件数量的权重分量和设备组中最近一次安全事件时间的权重分量;
根据第一权重向量,对设备厂商的风险评分、设备型号的风险评分、设备上线年份的风险评分进行加权求和,并将求和结果作为资产脆弱性的风险评分;
根据第二权重向量,对设备组中安全事件类型的风险评分、设备组中安全事件数量的风险评分、设备组中最近一次安全事件时间的风险评分进行加权求和,并将求和结果作为环境安全性的风险评分;
根据资产脆弱性的权重分量、环境安全性的权重分量,对资产脆弱性的风险评分、环境安全性的风险评分进行加权求和,并将求和结果作为设备组的风险评分;
根据设备组的风险评分,确定设备组的风险等级,所述风险等级的取值范围包括:高风险、中风险和低风险。
4.如权利要求3所述的设备威胁发现方法,其特征在于,所述层次结构中各层的权重向量的生成方式,包括:
构建所述层次结构;
针对设备厂商、设备型号、设备上线年份中两两项之间重要程度的比值,构建第一成对比较阵;
检测第一成对比较阵的一致性指标,所述第一成对比较阵的一致性指标用于评估第一成对比较阵中各比值的矛盾程度;
确定第一成对比较阵对应的一致性指标比率是否低于一致性阈值,其中,第一成对比较阵对应的一致性指标比率为:第一成对比较阵的一致性指标与第一成对比较阵对应的随机一致性指标之间的比值,第一成对比较阵对应的随机一致性指标根据第一成对比较阵的矩阵规模确定;
在第一成对比较阵的一致性指标比率高于一致性阈值时,重新执行所述构建第一成对比较阵的操作,直到第一成对比较阵的一致性指标比率低于一致性阈值;
根据第一成对比较阵,确定第一权重向量;
针对设备组中安全事件类型、设备组中安全事件数量、设备组中最近一次安全事件时间中两两项之间重要程度的比值,构建第二成对比较阵;
检测第二成对比较阵的一致性指标,所述第二成对比较阵的一致性指标用于评估第二成对比较阵中各比值的矛盾程度;
确定第二成对比较阵的一致性指标比率是否低于一致性阈值,其中,第二成对比较阵对应的一致性指标比率为:第二成对比较阵的一致性指标与第二成对比较阵对应的随机一致性指标之间的比值,第二成对比较阵对应的随机一致性指标根据第二成对比较阵的矩阵规模确定;
在第二成对比较阵的一致性指标比率高于一致性阈值时,重新执行所述构建第二成对比较阵的操作,直到第二成对比较阵的一致性指标比率低于一致性阈值;根据第二成对比较阵,确定第二权重向量;
针对资产脆弱性和环境安全性之间的重要程度的比值,构建第三成对比较阵;
根据第三成对比较阵,确定准则层的权重向量;
确定因素层相对于准则层是否符合一致性要求;
在因素层相对于准则层不符合一致性要求时,调整第一成对比较阵和第二成对比较阵中一致性指标比率高的成对比较阵,直到因素层相对于准则层符合一致性要求。
5.如权利要求4所述的设备威胁发现方法,其特征在于,
所述检测第一成对比较阵的一致性指标,包括:对第一成对比较阵依次执行按列归一化、按行求和以及向量归一化,得到第一权重向量;根据第一成对比较阵和第一权重向量,确定第一成对比较阵的最大特征根;根据最大特征根,确定第一成对比较阵的一致性指标;
所述确定因素层相对于准则层是否符合一致性要求,包括:
根据第一权重向量和第二权重向量,对第一成对比较阵的一致性指标和第二成对比较阵的一致性指标进行加权求和,得到第一加权值;
根据第一权重向量和第二权重向量,对第一成对比较阵的随机一致性指标和第二成对比较阵的随机一致性指标进行加权求和,得到第二加权值;
计算第一加权值与第二加权值的比值,并将其作为因素层相对于准则层的一致性指标比率;
检测因素层相对于准则层的一致性指标比率是否低于一致性阈值;
在因素层相对于准则层的一致性指标比率低于一致性阈值时,确定因素层相对于准则层符合一致性要求。
6.如权利要求3所述的设备威胁发现方法,其特征在于,所述根据对登记信息中各内容项的风险程度的评分规则,对登记信息中各内容项进行风险评分,包括:
将设备厂商与厂商黑名单进行匹配,在匹配到厂商黑名单时确定设备厂商的风险评分为高风险,在未匹配到厂商黑名单时确定设备厂商的风险评分为低风险值;
将设备型号与型号黑名单进行匹配,在匹配到型号黑名单时确定设备型号的风险评分为高风险值,在未匹配到型号黑名单时确定设备型号的风险评分为低风险值;
在设备上线年份处于第一年份阈值和第二年份阈值之间时确定设备上线年份的风险评分为中风险值,在设备上线年份低于第一年份阈值时确定设备上线年份的风险评分为低风险值,在设备上线年份高于第二年份阈值时确定设备上线年份的风险评分为高风险值,其中第一年份阈值小于第二年份阈值;
在设备组中安全事件数量处于第一数量阈值和第二数量阈值之间时确定设备组中安全事件数量的风险评分为中风险值,在设备组中安全事件数量低于第一数量阈值时确定设备组中安全事件数量的风险评分为低风险值,在设备组中安全事件数量高于第二数量阈值时确定设备组中安全事件数量的风险评分为高风险值;
将设备组中安全事件类型与类型黑名单进行匹配,在设备组中安全事件类型匹配到类型黑名单中高风险事件类型时确定设备组中安全事件类型的风险评分为高风险值,在安全事件类型属于类型黑名单中低风险事件类型时确定设备组中安全事件类型的风险评分为低风险值;
在设备组中最近一次安全事件时间处于第一时长阈值和第二时长阈值之间时确定设备组中最近一次安全事件时间的风险评分为中风险值,在设备组中最近一次安全事件时间小于第一时长阈值时确定设备组中最近一次安全事件时间的风险评分为低风险值,在设备组中最近一次安全事件时间大于第二时长阈值时确定设备组中最近一次安全事件时间的风险评分为高风险值。
7.如权利要求1所述的设备威胁发现方法,其特征在于,所述获取设备组的登记信息,包括:获取登记的设备数量、设备厂商、设备型号和安全威胁事件记录;
所述根据所述登记信息,确定设备组的风险等级,包括:
在设备组的在线设备比例低于第一比例阈值,设备组中缺失设备厂商和设备型号的设备比例超过第二比例阈值,并且设备组发生过安全威胁事件时,确定设备组的风险等级为高风险;
在设备组满足第一条件时,确定设备组的风险等级为低风险,其中,第一条件包括下述中任一个:设备组的在线设备比例低于第一比例阈值,设备组中缺失设备厂商和设备型号的设备低于第二比例阈值,并且设备组未发生过安全威胁事件;设备组的在线设备比例达到第一比例阈值,设备组中缺失设备厂商和设备型号的设备比例超过第二比例阈值,并且设备组未发生过安全威胁事件;设备组的在线设备比例达到第一比例阈值,设备组中缺失设备厂商和设备型号的设备低于第二比例阈值,并且设备组未发生过安全威胁事件;
在设备组满足第二条件时,确定设备组的风险等级为中风险,其中,第二条件包括下述中任一个:设备组的在线设备比例低于第一比例阈值,并且设备组中缺失设备厂商和设备型号的设备比例超过第二比例阈值,并且设备组未发生过安全威胁事件;设备组的在线设备比例低于第一比例阈值或者设备组中缺失设备厂商和设备型号的设备比例超过第二比例阈值,并且设备组发生过安全威胁事件。
8.如权利要求7所述的设备威胁发现方法,其特征在于,所述通过与风险等级对应的设备识别方式,对设备组中设备进行设备识别,得到设备识别结果,包括:
在设备组的风险等级为高风险时,向设备组中各设备发送探测包,并根据各设备返回的设备的数据流进行设备识别,设备的数据流包括设备进行一次完整通信连接的数据;
在设备的风险等级为低风险或中风险时,监测设备组中设备的数据流,并根据数据流进行设备识别。
9.如权利要求3或7所述的设备威胁发现方法,其特征在于,所述通过与风险等级对应的威胁检测方式,利用设备识别结果进行威胁检测,得到设备识别结果对应的设备的威胁检测结果,包括:
对于设备识别结果对应的任一个设备,根据该设备在设备识别结果中的设备型号和版本号,比对设备威胁漏洞库,确定该设备存在的设备威胁漏洞,所述设备威胁漏洞表示设备本身存在的漏洞;
在风险等级为高风险时,对该设备的全部设备威胁漏洞进行漏洞验证;
在风险等级为中风险时,选择该设备的部分设备威胁漏洞进行漏洞验证;
在风险等级为低风险时,不对该设备的设备威胁漏洞进行漏洞验证;
在风险等级为高风险时,对该设备的异常威胁进行检测,其中,异常威胁包括下述中至少一个:设备配置不当、设备非法替换和设备非法接入,其中,设备配置不当的检测方式包括:检测设备是否属于弱口令、检测安全壳服务是否未关闭和检测设备的敏感端口是否为关闭;设备非法替换的检测方式包括:确定设备识别结果中该设备的设备信息是否与登记信息是否匹配;设备非法接入的检测方式包括:该设备的设备信息是否记录在所述登记信息中。
10.如权利要求2所述的设备威胁发现方法,其特征在于,所述根据威胁检测结果,采用与风险等级对应的威胁消除方式,对设备组进行威胁消除,包括:
对于设备威胁漏洞,在风险等级为高风险时,对设备进行软件升级处理,并在软件升级失败时进行设备阻断处理;
对于设备非法替换的异常威胁,在风险等级为中风险或者高风险时,进行设备阻断处理;
对于设备非法接入的异常威胁,在风险等级为高风险时,进行设备阻断处理。
11.一种设备威胁发现装置,其特征在于,包括:
风险定级单元,获取设备组的登记信息,所述登记信息用于描述设备组中各设备的身份信息和运行状态信息;根据所述登记信息,确定设备组的风险等级,其中不同风险等级表示设备组的不同安全状态;
设备识别单元,通过与风险等级对应的设备识别方式,对设备组中设备进行设备识别,得到设备识别结果,其中,设备识别结果用于表示识别到的设备信息,风险等级越高对应的设备识别方式准确度越高;
威胁检测单元,通过与风险等级对应的威胁检测方式,利用设备识别结果进行威胁检测,得到设备识别结果对应的设备的威胁检测结果,其中,风险等级越高对应的威胁检测方式准确度越高。
12.一种计算设备,其特征在于,包括:
存储器;
处理器;
程序,存储在该存储器中并被配置为由所述处理器执行,所述程序包括用于执行权利要求1-10中任一项所述的设备威胁发现方法的指令。
13.一种存储介质,存储有程序,所述程序包括指令,其特征在于,所述指令当由计算设备执行时,使得所述计算设备执行如权利要求1-10中任一项所述的设备威胁发现方法。
CN202011607274.9A 2020-12-30 2020-12-30 设备威胁发现方法、装置、计算设备及存储介质 Active CN112364351B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011607274.9A CN112364351B (zh) 2020-12-30 2020-12-30 设备威胁发现方法、装置、计算设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011607274.9A CN112364351B (zh) 2020-12-30 2020-12-30 设备威胁发现方法、装置、计算设备及存储介质

Publications (2)

Publication Number Publication Date
CN112364351A true CN112364351A (zh) 2021-02-12
CN112364351B CN112364351B (zh) 2021-05-07

Family

ID=74534703

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011607274.9A Active CN112364351B (zh) 2020-12-30 2020-12-30 设备威胁发现方法、装置、计算设备及存储介质

Country Status (1)

Country Link
CN (1) CN112364351B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113055407A (zh) * 2021-04-21 2021-06-29 深信服科技股份有限公司 一种资产的风险信息确定方法、装置、设备及存储介质
CN113395297A (zh) * 2021-08-18 2021-09-14 北京华云安信息技术有限公司 漏洞处理方法、装置、设备和计算机可读存储介质
CN114745163A (zh) * 2022-03-24 2022-07-12 烽台科技(北京)有限公司 零信任工控网络设备的风险评估方法、装置、设备及介质
WO2023185900A1 (zh) * 2022-03-30 2023-10-05 维沃移动通信有限公司 一种安全状态评估方法及装置、电子设备和可读存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107315953A (zh) * 2016-04-26 2017-11-03 中芯国际集成电路制造(天津)有限公司 设备安全检测系统及检测方法
CN108600275A (zh) * 2018-05-29 2018-09-28 广西电网有限责任公司 基于人工智能的威胁情景感知信息安全主动防御系统
CN109257348A (zh) * 2018-09-13 2019-01-22 杭州安恒信息技术股份有限公司 一种基于工业控制系统的集群漏洞挖掘方法和装置
CN111444514A (zh) * 2020-03-19 2020-07-24 腾讯科技(深圳)有限公司 信息安全风险评估方法及装置、设备、存储介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107315953A (zh) * 2016-04-26 2017-11-03 中芯国际集成电路制造(天津)有限公司 设备安全检测系统及检测方法
CN108600275A (zh) * 2018-05-29 2018-09-28 广西电网有限责任公司 基于人工智能的威胁情景感知信息安全主动防御系统
CN109257348A (zh) * 2018-09-13 2019-01-22 杭州安恒信息技术股份有限公司 一种基于工业控制系统的集群漏洞挖掘方法和装置
CN111444514A (zh) * 2020-03-19 2020-07-24 腾讯科技(深圳)有限公司 信息安全风险评估方法及装置、设备、存储介质

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113055407A (zh) * 2021-04-21 2021-06-29 深信服科技股份有限公司 一种资产的风险信息确定方法、装置、设备及存储介质
CN113395297A (zh) * 2021-08-18 2021-09-14 北京华云安信息技术有限公司 漏洞处理方法、装置、设备和计算机可读存储介质
CN114745163A (zh) * 2022-03-24 2022-07-12 烽台科技(北京)有限公司 零信任工控网络设备的风险评估方法、装置、设备及介质
CN114745163B (zh) * 2022-03-24 2023-07-25 烽台科技(北京)有限公司 零信任工控网络设备的风险评估方法、装置、设备及介质
WO2023185900A1 (zh) * 2022-03-30 2023-10-05 维沃移动通信有限公司 一种安全状态评估方法及装置、电子设备和可读存储介质

Also Published As

Publication number Publication date
CN112364351B (zh) 2021-05-07

Similar Documents

Publication Publication Date Title
CN112364351B (zh) 设备威胁发现方法、装置、计算设备及存储介质
Ge et al. Distributed Krein space-based attack detection over sensor networks under deception attacks
CN108494810B (zh) 面向攻击的网络安全态势预测方法、装置及系统
JP4901179B2 (ja) 時限式実行可能エージェントを使用したソフトウェア保全性保護のための方法および装置
CN113168469B (zh) 用于行为威胁检测的系统及方法
US20180004941A1 (en) Model-based computer attack analytics orchestration
RU2715025C2 (ru) Способ автоматизированного тестирования программно-аппаратных систем и комплексов
US20230370491A1 (en) System and method for cyber exploitation path analysis and response using federated networks
CN112385196B (zh) 用于报告计算机安全事故的系统和方法
CN113676484A (zh) 一种攻击溯源方法、装置和电子设备
US20200380117A1 (en) Aggregating anomaly scores from anomaly detectors
CN111865899B (zh) 威胁驱动的协同采集方法及装置
Prasath et al. A meta‐heuristic Bayesian network classification for intrusion detection
US20230244915A1 (en) Methods of training variational autoencoders to recognize anomalous data in distributed systems
CN111953665A (zh) 服务器攻击访问识别方法及系统、计算机设备、存储介质
EP4027276B1 (en) Anomaly detection based on an event tree
CN112437051B (zh) 网络风险检测模型负反馈训练方法、装置及计算机设备
CN117290700A (zh) 基于双模图特征融合的无线通信网络异常检测方法
CN117391214A (zh) 模型训练方法、装置及相关设备
JP7516653B2 (ja) 端末検証を実現するための方法、装置、システム、デバイス、および記憶媒体
Jiang et al. Anomaly Detection and Access Control for Cloud-Edge Collaboration Networks.
CN113168468A (zh) 用于行为威胁检测的系统及方法
Parmar A classification based approach to create database policy for Intrusion Detection and Respond anomaly requests
CN117459178B (zh) 一种基于语义导向的无人机通信干扰方法和系统
US20240370556A1 (en) Machine Learning Based Threat Hunting

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant