CN112737101B - 一种面向多监测域的网络安全风险评估方法及系统 - Google Patents

一种面向多监测域的网络安全风险评估方法及系统 Download PDF

Info

Publication number
CN112737101B
CN112737101B CN202011418780.3A CN202011418780A CN112737101B CN 112737101 B CN112737101 B CN 112737101B CN 202011418780 A CN202011418780 A CN 202011418780A CN 112737101 B CN112737101 B CN 112737101B
Authority
CN
China
Prior art keywords
asset
value
sub
domain
threat
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011418780.3A
Other languages
English (en)
Other versions
CN112737101A (zh
Inventor
吕志泉
韩志辉
严寒冰
丁丽
李志辉
朱天
桑亚飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
National Computer Network and Information Security Management Center
Original Assignee
National Computer Network and Information Security Management Center
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by National Computer Network and Information Security Management Center filed Critical National Computer Network and Information Security Management Center
Priority to CN202011418780.3A priority Critical patent/CN112737101B/zh
Publication of CN112737101A publication Critical patent/CN112737101A/zh
Application granted granted Critical
Publication of CN112737101B publication Critical patent/CN112737101B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02JCIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
    • H02J13/00Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/06Energy or water supply

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Economics (AREA)
  • Health & Medical Sciences (AREA)
  • Human Resources & Organizations (AREA)
  • Strategic Management (AREA)
  • Water Supply & Treatment (AREA)
  • General Health & Medical Sciences (AREA)
  • Power Engineering (AREA)
  • Marketing (AREA)
  • Primary Health Care (AREA)
  • Public Health (AREA)
  • Tourism & Hospitality (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种面向多监测域的网络安全风险评估方法及系统,其中面向多监测域的网络安全风险评估方法,包括:对资产的机密性、完整性、可用性和资产类型重要性进行评分,以得到资产的价值;对资产进行脆弱性扫描,得到资产的脆弱性值;对资产在预设周期内的多源威胁检测引擎告警日志进行分析,得到资产所遭受攻击的威胁度值;根据资产的价值、脆弱性值和威胁度值,得出资产安全风险值;根据资产的安全风险值,计算该资产所在子域在预设周期内的安全风险值;根据子域的安全风险值,计算该子域所在全网在预设周期内的安全风险值。本发明从多维度对多子域多资产安全风险进行监测评估,改善现有方法面向单一信息系统或单一资产安全风险评估的局限性。

Description

一种面向多监测域的网络安全风险评估方法及系统
技术领域
本发明涉及网络安全监测领域,特别涉及一种面向多监测域的网络安全风险评估方法及系统。
背景技术
近年来,随着信息化的发展和网络安全的底线要求,面向特定行业(如金融行业)、特定业务(如政务平台)、特定单位(如公安)等需求的网络安全监测预警平台、网络安全态势感知平台等具有“宏观性”的系统建设需求不断涌现。在此类平台技术需求中,具备对所监测网络的整体安全风险评估能力是关键技术之一。需要强调的是,所述监测网络通常由多个不同且相对独立的监测子域组成,即多监测域,其在逻辑上具有统一性,在物理上具有相对独立性,如所监测网络接入有多家不同的单位。
然而,现有网络安全风险评估方法从应用场景上主要是面向单一信息系统或单一资产,因此不能有效地迁移适应面向多监测域的新场景风险评估需求。此外,从技术思路上,现有安全风险评估方法仍主要是基于漏洞或者基于威胁为主要考虑维度进行评估,因此所考虑评估因素存在一定局限性。
因此如何解决从多个维度对多个监测域的网络安全风险评估成为一个亟待解决的问题。
发明内容
本发明所要解决的问题为:从多个维度对多个监测域进行网络安全风险评估,本发明公开了一种网络安全风险评估方法,旨在能够适用于具有多个监测域的场景的风险评估,并综合考虑多种来源渠道的数据形成资产脆弱性、威胁度、价值的评估要素,从而有效提高风险评估的准确度与实时性,进而有益于辅助决策者实施处置和预警。本发明以监测全网、监测子域、单一资产三个层级的多监测域场景为例进行阐述,其中监测全网由多个监测子域组成,监测子域由多个单一资产组成。
本发明技术解决方案为:一种面向多监测域的网络安全风险评估方法及系统,其中,面向多监测域的网络安全风险评估方法,包括:
步骤1:对被监测的至少一个子域中的至少一个资产的机密性、完整性、可用性和资产类型重要性进行评分,以得到所述至少一个资产的价值;
步骤2:对被监测的所述至少一个子域中的所述至少一个资产进行脆弱性扫描,以得到所述至少一个资产的脆弱性值;
步骤3:对被监测的所述至少一个子域中的所述至少一个资产在预设周期内的多源威胁检测引擎告警日志进行分析,以得到所述至少一个资产所遭受攻击的威胁度值;
步骤4:根据所述至少一个资产的价值、所述至少一个资产的脆弱性值和所述至少一个资产的威胁度值,得出所述至少一个资产的安全风险值;
步骤5:根据所述至少一个资产的安全风险值,计算所述至少一个资产所在子域在预设周期内的安全风险值;
步骤6:根据所述至少一个子域的安全风险值,计算所述至少一个子域所在全网在预设周期内的安全风险值。
本发明与现有技术相比,具有以下优点:
1、本发明所公开的一种面向多监测域的网络安全风险评估方法和系统,主要适用于对多个不同防护目标子域的网络进行监测场景中,而不仅仅是面向单一资产或单一信息系统的技术方案。通过监测多个子域及其子域内部的多个资产的安全风险值,可以有效及时地发现全网中的高风险的子域和资产,从而实现从多个维度对多个监测域的网络安全风险评估。
2、在资产的威胁度值的量化评估方面,根据多种不同威胁检测引擎所提供的监测结果数据的关联融合实现对资产威胁度的评估,具有更好的准确性和可信度。
附图说明
图1为本发明实施例中面向多监测域的网络安全风险评估方法的流程图;
图2为本发明实施例中面向多监测域的网络安全风险评估方法中的网络层级结构示意图;
图3为本发明实施例中面向多监测域的网络安全风险评估方法中步骤1的流程图;
图4为本发明实施例中面向多监测域的网络安全风险评估方法中步骤2的流程图;
图5为本发明实施例中面向多监测域的网络安全风险评估方法中步骤3的流程图;
图6为本发明实施例中面向多监测域的网络安全风险评估方法中步骤4的流程图;
图7为本发明实施例中面向多监测域的网络安全风险评估系统的架构图。
具体实施方式
本发明提供了一种面向多监测域的网络安全风险评估方法及系统,旨在能够适用于具有多个监测域的场景的风险评估,并综合考虑多种来源渠道的数据形成资产脆弱性、威胁度、价值的评估要素,从而有效提高网络安全风险评估的准确度与实时性,进而有益于辅助决策者实施处置和预警。为了使本发明的目的、技术方案及优点更加清楚,以下通过具体实施,并结合附图,对本发明进一步详细说明。
实施例一
如图1所示,本发明实施例提供的一种面向多监测域的网络安全风险评估方法,包括下述步骤:
步骤1:对被监测的至少一个子域中的至少一个资产的机密性、完整性、可用性和资产类型重要性进行评分,以得到至少一个资产的价值;
步骤2:对被监测的至少一个子域中的至少一个资产进行脆弱性扫描,以得到至少一个资产的脆弱性值;
步骤3:对被监测的至少一个子域中的至少一个资产在预设周期内的多源威胁检测引擎告警日志进行分析,以得到至少一个资产所遭受攻击的威胁度值;
步骤4:根据至少一个资产的价值、至少一个资产的脆弱性值和至少一个资产的威胁度值,得出至少一个资产的安全风险值;
步骤5:根据至少一个资产的安全风险值,计算至少一个资产所在子域在预设周期内的安全风险值;
步骤6:根据至少一个子域的安全风险值,计算至少一个子域所在全网在预设周期内的安全风险值。
如图2所示,本发明从全网、子域、单一资产的三个维度对其的进行三个不同层级的网络安全风险监测。一个全网可以包括一个或多个子域,每个子域可以包括一个或多个资产。通过上述步骤,对全网、子域、单一资产进行网络安全风险监测。
在一个实施例中,如图3所示,上述步骤1:对被监测的至少一个子域中的至少一个资产的机密性、完整性、可用性和资产类型重要性进行评分,以得到至少一个资产的价值,可通过下述步骤得到:
S11、对至少一个资产的机密性进行评分,得到其机密性值Ci
S12、对至少一个资产的完整性进行评分,得到其完整性值Ii
S13、对至少一个资产的可用性进行评分,得到其可用性值Ai
S14、根据至少一个资产类型进行评分,得到其资产类型重要性值Pi
S15、根据如下公式(1),计算得出至少一个资产的价值Wi
Figure BDA0002821319420000041
其中,Wi表示被监测子域中的第i个资产的价值,round函数表示四舍五入后保留小数点后3位。
本发明通过接入资产识别引擎所输出的资产详细日志数据,并依据国家标准《GBT20984–2007信息安全技术信息安全风险评估规范》中对资产的机密性值Ci、完整性值Ii、可用性值Ai进行评分并赋值,并结合资产类型重要性值Pi,实现对资产的价值的计算。
举例来说,对于资产的机密性值Ci、完整性值Ii、可用性值Ai以及资产类型重要性值Pi评分赋值如表1所示:
表1 资产价值评估要素量化取值
资产价值评估因素 很高 中等 很低
机密性值C<sub>i</sub> 10 8 6 4 2
完整性值I<sub>i</sub> 10 8 6 4 2
可用性值A<sub>i</sub> 10 8 6 4 2
资产类型重要性值P<sub>i</sub> 10 8 6 4 2
其中,资产类型重要性Pi可根据其类型,如表2所示,进行评分:
表2 资产类型分类及重要性
资产类型 资产类型的重要性 分值
数据库服务器 很高 10
Web服务器 8
核心业务系统 中等 6
一般业务系统 4
其它 很低 2
在一个实施例中,如图4所示,上述步骤2:对被监测的至少一个子域中的至少一个资产进行脆弱性扫描,以得到对至少一个资产的脆弱性值,可通过下述步骤得到:
S21、对至少一个子域中的至少一个资产进行脆弱性扫描;
S22、根据如下公式(2),计算得出至少一个资产的脆弱性值Vi:
Figure BDA0002821319420000042
其中,Q表示扫描发现该资产上存在漏洞的个数,Temporal(k)为利用CVSS3.0(Common Vulnerability Scoring System通用漏洞评估方法)对第k个漏洞进行评分的分值,其取值范围为[0,10];σ为漏洞攻击的容易程度,取值范围为[0,1],可以通过根据专家经验或者历史数据经验进行设置。σ可实现的具体例子如表3所示。
表3 漏洞攻击的容易程度量化取值
漏洞攻击容易程度(σ取值) 描述
0.2 容易
0.4 一般
0.6 中等
0.8 很难
在一个实施例中,如图5所示,上述步骤3:对被监测的至少一个子域中的至少一个资产在预设周期内的多源威胁检测引擎告警日志进行分析,以得到至少一个资产所遭受攻击的威胁度值,包括:
S31、根据接入多源威胁检测引擎的告警日志,通过关联融合归一化形成数据流的威胁告警日志;
通过在预设的周期内,根据所接入多源威胁检测引擎的告警日志,多源威胁检测引擎可包括多个子引擎,例如:子引擎1:针对HTTP流量日志的威胁检测、子引擎2:针对DNS流量日志的威胁检测、子引擎3:针对邮件流量日志的威胁检测、子引擎4:针对SSL加密流量日志的威胁检测、子引擎5:针对网络流日志的威胁检测、子引擎6:针对恶意代码传播的威胁检测、子引擎7:基于威胁情报的威胁检测等多个子引擎。
综合上述多个子引擎的告警日志中的时间戳、源IP、源端口、目的IP、目的端口以及传输层协议进行关联融合归一化处理,从而形成六元组,基于该六元组的数据流粒度构建其威胁告警日志。
S32、根据威胁告警日志,通过如下公式(3),计算得出至少一个资产的威胁度值Ti:
Figure BDA0002821319420000051
其中,W为所述资产i有关的威胁告警日志的数量,ω为第ω条告警数据流;n代表威胁告警日志的引擎总数量;m表示告警第ω条告警数据流为安全事件的检测引擎数量;ez表示第z个检测引擎的可信度,取值范围为[1,10];fz表示第z个检测引擎是否对给定的流是否有告警,如果有告警,取值为1,否则为0;τz表示告警事件类型所对应攻击链阶段的威胁度,τz取值可参考表4,优选的,攻击链阶段可采用美国知名军工企业洛克希德马丁公司所提出的“网络杀伤链模型(Cyber Kill Chain)”;α和β分别为权重值,需满足α+β=1。
表4 各攻击链阶段对应的风险值
攻击链阶段 威胁度(τ<sub>z</sub>取值)
侦查探测(Reconnaissance) 2
制作工具(Weaponization) 不设置
工具投递(Delivery) 3
触发工具(Exploitation) 4
安装植入(Installation) 5
命令控制(Command and Control) 7
恶意活动(Actions on Objectives) 8
在一个实施例中,如图6所示,上述步骤4:根据至少一个资产的价值、至少一个资产的脆弱性值和至少一个资产的威胁度值,得出至少一个资产的安全风险值,包括:
根据如下公式(4),计算得出至少一个资产安全风险值Ri:
Figure BDA0002821319420000061
其中,Ri表示被监测子域中的第i个资产安全风险值。
在一个实施例中,上述步骤5:根据至少一个资产的安全风险值,计算至少一个资产所在子域在预设周期内的安全风险值,包括:
根据如下公式(5),计算得出至少一个资产所在子域在预设周期内的安全风险值
Figure BDA0002821319420000062
Figure BDA0002821319420000063
假设一个子域有N个资产,按照在预设周期内N个资产的安全风险值从高到低排列的列表为{R1,R2,…,Rt,…,RN};其中,
Figure BDA0002821319420000064
表示列表中排名前K个资产安全风险值的平均值,K值为可配置参数,可根据实际需要设定;
Figure BDA0002821319420000065
为影响系数,θ为收敛系数,用于保证
Figure BDA0002821319420000066
的计算结果在[0,1]之间。
在一个实施例中,上述步骤6:根据至少一个子域的安全风险值,计算至少一个子域所在全网在预设周期内的安全风险值,包括:
根据如下公式(6),得出至少一个子域所在全网在预设周期内的安全风险值R:
Figure BDA0002821319420000071
假设一个被监测全网包括M个被监测子域(可根据单位、业务等具体需求划分子域),按照在预设周期内M个子域的安全风险值从高到低排列的列表为
Figure BDA0002821319420000072
其中,
Figure BDA0002821319420000073
表示列表中排名前K个监测子域风险值的平均值,K值为可配置参数,可根据实际需要设定;
Figure BDA0002821319420000074
为影响系数,θ为收敛系数,用于保证
Figure BDA0002821319420000075
的计算结果在[0,1]之间。
本发明对于子域以及子域中的资产的选择不做限制,可以是从全网中选择一个、部分或全部子域进行安全风险的监测,以及从子域中选择一个、部分或全部资产进行安全风险的监测,可以根据实际需要进行选择。
本发明提供的一种面向多监测域的网络安全风险评估方法主要适用于多个不同防护目标子域的网络进行监测场景中,而不仅仅是面向单一资产或单一信息系统的技术方案。通过监测全网、及其多个子域以及子域内部的多个资产的安全风险值,从而实现对全网、子域以及资产的实时安全风险监测,可以及时有效地发现全网中的高风险的子域或资产,从而实现从多个维度对多个监测域的网络安全风险评估。
同时,本发明在资产的威胁度值的量化评估方面,可以根据多种不同威胁检测引擎所提供的监测结果数据的关联融合,构建六元组,以实现对资产威胁度的归一化评估,具有更好的准确性和可信度。
实施例二
如图7所示,本发明实施例提供了一种面向多监测域的网络安全风险评估系统,包括如下模块:
资产价值计算模块,用于对被监测的至少一个子域中的至少一个资产的机密性、完整性、可用性和资产类型重要性进行评分,以得到至少一个资产的价值;
资产脆弱性计算模块,用于对被监测的至少一个子域中的至少一个资产进行脆弱性扫描,以得到至少一个资产的脆弱性值;
资产威胁度计算模块,用于对被监测的至少一个子域中的至少一个资产在预设周期内的多源威胁检测引擎告警日志进行分析,以得到至少一个资产所遭受攻击的威胁度值;
资产安全风险计算模块,用于根据至少一个资产的价值、至少一个资产的脆弱性值和至少一个资产的威胁度值,得出至少一个资产的安全风险值;
子域安全风险计算模块,用于根据至少一个资产的安全风险值,计算至少一个资产所在子域在预设周期内的安全风险值;
全网安全风险计算模块,用于根据所述至少一个子域的安全风险值,计算至少一个子域所在全网在预设周期内的安全风险值。
其中,资产威胁度计算模块,通过在预设的周期内,根据所接入多源检测引擎的告警日志,多源检测引擎包括多个子引擎,例如:子引擎1:针对HTTP流量日志的威胁检测、子引擎2:针对DNS流量日志的威胁检测、子引擎3:针对邮件流量日志的威胁检测、子引擎4:针对SSL加密流量日志的威胁检测、子引擎5:针对网络流日志的威胁检测、子引擎6:针对恶意代码传播的威胁检测、子引擎7:基于威胁情报的威胁检测等多个子引擎等,进行关联融合归一化处理,从而用于计算资产威胁度值。
提供以上实施例仅仅是为了描述本发明的目的,而并非要限制本发明的范围。本发明的范围由所附权利要求限定。不脱离本发明的精神和原理而做出的各种等同替换和修改,均应涵盖在本发明的范围之内。

Claims (6)

1.一种面向多监测域的网络安全风险评估方法,其特征在于,包括:
步骤1:对被监测的至少一个子域中的至少一个资产的机密性、完整性、可用性和资产类型重要性进行评分,以得到所述至少一个资产的价值;
步骤2:对被监测的所述至少一个子域中的所述至少一个资产进行脆弱性扫描,以得到所述至少一个资产的脆弱性值;
步骤3:对被监测的所述至少一个子域中的所述至少一个资产在预设周期内的多源威胁检测引擎告警日志进行分析,以得到所述至少一个所述资产所遭受攻击的威胁度值;
步骤4:根据所述至少一个资产的价值、所述至少一个资产的脆弱性值和所述至少一个所述资产的威胁度值,得出所述至少一个资产的安全风险值;
步骤5:根据所述至少一个资产的安全风险值,计算所述至少一个资产所在子域在预设周期内的安全风险值;
步骤6:根据所述至少一个子域的安全风险值,计算所述至少一个子域所在全网在预设周期内的安全风险值;
所述步骤5:根据所述至少一个资产的安全风险值,计算所述至少一个资产所在子域在预设周期内的安全风险值,包括:
根据如下公式(5),计算得出所述至少一个资产所在子域在预设周期内的安全风险值
Figure FDA0003603573610000011
Figure FDA0003603573610000012
其中,
Figure FDA0003603573610000013
表示前排名前K个资产安全风险值的平均值,
Figure FDA0003603573610000014
为影响系数,θ为收敛系数;
所述步骤6:根据所述至少一个子域的安全风险值,计算所述至少一个子域所在全网在预设周期内的安全风险值,包括:
根据如下公式(6),得出所述至少一个子域所在全网在预设周期内的安全风险值R:
Figure FDA0003603573610000015
其中,
Figure FDA0003603573610000021
表示前排名前K个监测子域风险值的平均值,
Figure FDA0003603573610000022
为影响系数,θ为收敛系数。
2.根据权利要求1所述的面向多监测域的网络安全风险评估方法,其特征在于,所述步骤1:对被监测的至少一个子域中的至少一个资产的机密性、完整性、可用性和资产类型重要性进行评分,以得到所述至少一个资产的价值,包括:
对所述至少一个资产的机密性进行评分,得到其机密性值Ci
对所述至少一个资产的完整性进行评分,得到其完整性值Ii
对所述至少一个资产的可用性进行评分,得到其可用性值Ai
根据所述至少一个资产类型进行评分,得到其资产类型重要性值Pi
根据如下公式(1),计算得出所述至少一个资产的价值Wi
Figure FDA0003603573610000023
3.根据权利要求1所述的面向多监测域的网络安全风险评估方法,其特征在于,
所述步骤2:对被监测的所述至少一个子域中的所述至少一个资产进行脆弱性扫描,以得到对所述至少一个资产的脆弱性值,包括:
对所述至少一个子域中的所述至少一个资产进行脆弱性扫描;
根据如下公式(2),计算得出所述至少一个资产的脆弱性值Vi:
Figure FDA0003603573610000024
其中,Temporal(k)为利用CVSS 3.0对第k个漏洞进行评分的分值,Q表示扫描发现该资产上存在漏洞的个数,σ为漏洞攻击的容易程度。
4.根据权利要求1所述的面向多监测域的网络安全风险评估方法,其特征在于,
所述步骤3:对被监测的所述至少一个子域中的所述至少一个资产在预设周期内的多源威胁检测引擎告警日志进行分析,以得到所述至少一个所述资产所遭受攻击的威胁度值,包括:
根据接入所述多源威胁检测引擎的告警日志,通过关联融合归一化形成数据流的威胁告警日志;
根据所述威胁告警日志,通过如下公式(3),计算得出所述至少一个资产的威胁度值Ti:
Figure FDA0003603573610000025
其中,W为所述资产i有关的威胁告警日志的数量,ω为第ω条告警数据流,n代表所述威胁告警日志的引擎总数量,m表示告警所述数据流为安全事件的检测引擎数量,ez表示第z个检测引擎的可信度,fz表示z个检测引擎是否对给定的流是否有告警;τz表示告警事件类型所对应攻击链阶段的威胁程度,α和β分别为权重值。
5.根据权利要求1所述的面向多监测域的网络安全风险评估方法,其特征在于,
所述步骤4:根据所述至少一个资产的价值、所述至少一个资产的脆弱性值和所述至少一个所述资产的威胁度值,得出所述至少一个资产的安全风险值,包括:
根据如下公式(4),计算得出所述至少一个资产安全风险值Ri
Figure FDA0003603573610000031
6.一种面向多监测域的网络安全风险评估系统,其特征在于,包括:
资产价值计算模块,用于对被监测的至少一个子域中的至少一个资产的机密性、完整性、可用性和资产类型重要性进行评分,以得到所述至少一个资产的价值;
资产脆弱性计算模块,用于对被监测的所述至少一个子域中的所述至少一个资产进行脆弱性扫描,以得到所述至少一个资产的脆弱性值;
资产威胁度计算模块,用于对被监测的所述至少一个子域中的所述至少一个资产在预设周期内的多源威胁检测引擎告警日志进行分析,以得到所述至少一个所述资产所遭受攻击的威胁度值;
资产安全风险计算模块,用于根据所述至少一个资产的价值、所述至少一个资产的脆弱性值和所述至少一个所述资产的威胁度值,得出所述至少一个资产的安全风险值;
子域安全风险计算模块,用于根据所述至少一个资产的安全风险值,计算所述至少一个资产所在子域在预设周期内的安全风险值,包括:
根据如下公式(5),计算得出所述至少一个资产所在子域在预设周期内的安全风险值
Figure FDA0003603573610000032
Figure FDA0003603573610000033
其中,
Figure FDA0003603573610000034
表示前排名前K个资产安全风险值的平均值,
Figure FDA0003603573610000035
为影响系数,θ为收敛系数;
全网安全风险计算模块,用于根据所述至少一个子域的安全风险值,计算所述至少一个子域所在全网在预设周期内的安全风险值,包括:
根据如下公式(6),得出所述至少一个子域所在全网在预设周期内的安全风险值R:
Figure FDA0003603573610000041
其中,
Figure FDA0003603573610000042
表示前排名前K个监测子域风险值的平均值,
Figure FDA0003603573610000043
为影响系数,θ为收敛系数。
CN202011418780.3A 2020-12-07 2020-12-07 一种面向多监测域的网络安全风险评估方法及系统 Active CN112737101B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011418780.3A CN112737101B (zh) 2020-12-07 2020-12-07 一种面向多监测域的网络安全风险评估方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011418780.3A CN112737101B (zh) 2020-12-07 2020-12-07 一种面向多监测域的网络安全风险评估方法及系统

Publications (2)

Publication Number Publication Date
CN112737101A CN112737101A (zh) 2021-04-30
CN112737101B true CN112737101B (zh) 2022-08-26

Family

ID=75598349

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011418780.3A Active CN112737101B (zh) 2020-12-07 2020-12-07 一种面向多监测域的网络安全风险评估方法及系统

Country Status (1)

Country Link
CN (1) CN112737101B (zh)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113255118B (zh) * 2021-05-11 2023-05-30 上海机电工程研究所 基于杀伤链的武器装备体系优化方法和系统
CN113378158A (zh) * 2021-05-24 2021-09-10 南京航空航天大学 一种移动网络风险脆弱性的评估方法及装置
CN113468542A (zh) * 2021-07-07 2021-10-01 国家计算机网络与信息安全管理中心江苏分中心 一种暴露面资产风险评估方法、装置、设备及介质
CN114070650B (zh) * 2022-01-11 2022-05-17 浙江国利网安科技有限公司 网络资产评估方法、装置、电子设备及可读储存介质
CN114500024B (zh) * 2022-01-19 2024-03-22 恒安嘉新(北京)科技股份公司 一种网络资产的管理方法、装置、设备及存储介质
CN114757790B (zh) * 2022-04-06 2022-10-11 山东新潮信息技术有限公司 一种利用神经网络对多源情报风险评估的方法
CN115080554B (zh) * 2022-07-22 2022-11-11 安徽省大数据中心 一种基于多维数据碰撞分析的告警方法及系统
CN115987672B (zh) * 2022-12-28 2023-09-26 北京天融信网络安全技术有限公司 网络设备的风险确定方法、装置、设备及介质
CN116405322B (zh) * 2023-06-05 2023-09-01 北京源堡科技有限公司 评估网络风险处置优先级的方法、装置、设备及介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8201257B1 (en) * 2004-03-31 2012-06-12 Mcafee, Inc. System and method of managing network security risks
CN106960269A (zh) * 2017-02-24 2017-07-18 浙江鹏信信息科技股份有限公司 基于层次分析法的安全应急处置方法及系统
CN107204876A (zh) * 2017-05-22 2017-09-26 成都网络空间安全技术有限公司 一种网络安全风险评估方法
CN107819771A (zh) * 2017-11-16 2018-03-20 国网湖南省电力有限公司 一种基于资产依赖关系的信息安全风险评估方法及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8201257B1 (en) * 2004-03-31 2012-06-12 Mcafee, Inc. System and method of managing network security risks
CN106960269A (zh) * 2017-02-24 2017-07-18 浙江鹏信信息科技股份有限公司 基于层次分析法的安全应急处置方法及系统
CN107204876A (zh) * 2017-05-22 2017-09-26 成都网络空间安全技术有限公司 一种网络安全风险评估方法
CN107819771A (zh) * 2017-11-16 2018-03-20 国网湖南省电力有限公司 一种基于资产依赖关系的信息安全风险评估方法及系统

Also Published As

Publication number Publication date
CN112737101A (zh) 2021-04-30

Similar Documents

Publication Publication Date Title
CN112737101B (zh) 一种面向多监测域的网络安全风险评估方法及系统
CN110620759B (zh) 基于多维关联的网络安全事件危害指数评估方法及其系统
CN107819771B (zh) 一种基于资产依赖关系的信息安全风险评估方法及系统
JP6736657B2 (ja) 標準化されたフォーマットでサイバー脅威情報を安全に配送し交換するコンピュータ化されたシステム
US7352280B1 (en) System and method for intruder tracking using advanced correlation in a network security system
EP3343867B1 (en) Methods and apparatus for processing threat metrics to determine a risk of loss due to the compromise of an organization asset
US6775657B1 (en) Multilayered intrusion detection system and method
US20170220801A1 (en) Cyber security
US20100268818A1 (en) Systems and methods for forensic analysis of network behavior
US7950058B1 (en) System and method for collaborative information security correlation in low bandwidth environments
CN111865982B (zh) 基于态势感知告警的威胁评估系统及方法
KR20040035572A (ko) 정보 인프라에서의 종합 침해사고 대응시스템 및 그운영방법
CN110460481B (zh) 一种网络关键资产的识别方法
Trejo et al. DNS-ADVP: A machine learning anomaly detection and visual platform to protect top-level domain name servers against DDoS attacks
CN114553471A (zh) 一种租户安全管理系统
CN117478433B (zh) 一种网络与信息安全动态预警系统
JP4500921B2 (ja) ログ分析装置、ログ分析方法およびログ分析プログラム
CN113411297A (zh) 基于属性访问控制的态势感知防御方法及系统
KR100625096B1 (ko) 트래픽 변화량과 해킹 위협률의 상호 연관성 분석에 기초한예경보 방법 및 그 시스템
KR102414334B1 (ko) 자율협력주행 도로인프라 위협탐지 방법 및 장치
Kivalov et al. Detection and prediction of DDoS cyber attacks using spline functions
CN114301700A (zh) 调整网络安全防御方案的方法、装置、系统及存储介质
CN116827697A (zh) 网络攻击事件的推送方法、电子设备及存储介质
TWI744545B (zh) 分散式網路流分析惡意行為偵測系統與其方法
CN114500122B (zh) 一种基于多源数据融合的特定网络行为分析方法和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant