CN112751828B - 对网络攻击事件的损失评估方法、装置和电子设备 - Google Patents

对网络攻击事件的损失评估方法、装置和电子设备 Download PDF

Info

Publication number
CN112751828B
CN112751828B CN202011476453.3A CN202011476453A CN112751828B CN 112751828 B CN112751828 B CN 112751828B CN 202011476453 A CN202011476453 A CN 202011476453A CN 112751828 B CN112751828 B CN 112751828B
Authority
CN
China
Prior art keywords
loss
security
network attack
attack event
traffic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011476453.3A
Other languages
English (en)
Other versions
CN112751828A (zh
Inventor
魏桂臣
赵晴
许放
张宏亮
杨寒冰
陈玥希
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Zhongdian Feihua Communication Co Ltd
Original Assignee
Beijing Zhongdian Feihua Communication Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Zhongdian Feihua Communication Co Ltd filed Critical Beijing Zhongdian Feihua Communication Co Ltd
Priority to CN202011476453.3A priority Critical patent/CN112751828B/zh
Publication of CN112751828A publication Critical patent/CN112751828A/zh
Application granted granted Critical
Publication of CN112751828B publication Critical patent/CN112751828B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3457Performance evaluation by simulation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0639Performance analysis of employees; Performance analysis of enterprise or organisation operations
    • G06Q10/06393Score-carding, benchmarking or key performance indicator [KPI] analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Entrepreneurship & Innovation (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Development Economics (AREA)
  • Educational Administration (AREA)
  • Economics (AREA)
  • Quality & Reliability (AREA)
  • Computer Hardware Design (AREA)
  • Strategic Management (AREA)
  • Tourism & Hospitality (AREA)
  • Operations Research (AREA)
  • Marketing (AREA)
  • General Business, Economics & Management (AREA)
  • Health & Medical Sciences (AREA)
  • Game Theory and Decision Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开中一个或多个实施例提供对网络攻击事件的损失评估方法、装置和电子设备;所述方法包括:首先对网络中与HTTP和HTTPS协议相关的流量进行存储;同时,在程序平台上建立业务仿真环境;之后,将存储的流量在搭建的包括了发送侧、接收侧、和请求侧的重放环境中重放,并进行检测分析;具体的,将主动判定出流量中网络攻击事件,并对具体的行为,按照国标GB/Z20986‑2007中的标准进行分类与分级;进一步的,自动将所述网络攻击事件的类别与级别,介入损失估算的模型中,完成对具体损失金额的估算。本方案实现了通过监测分析,对攻击事件进行精准并统一的分类与分级,从而使得对损失的估算准确迅速,并且实现损失估算的自动化。

Description

对网络攻击事件的损失评估方法、装置和电子设备
技术领域
本公开中一个或多个实施例涉及计算机技术领域,尤其涉及对网络攻击事件的损失评估方法、装置和电子设备。
背景技术
在网络与信息安全问题日益突出的情况下,对网络攻击事件的监测与防护往往都是被动的,在遭受的攻击行为后,也就很难做到准确估算具体损失,另一方面,对于损失的估算,采取人工估算的方式,当各种损失的参考标准介入后,使得人工估算损失的工作复杂化,估算的准确性降低。
基于此,需要一种能够实现将网络安全分析与损失评估相结合,并能够准确评估结果的方案。
发明内容
有鉴于此,本公开中一个或多个实施例的目的在于提出对网络攻击事件的损失评估方法、装置和电子设备,以解决主动监测网络攻击事件,并将监测分析的结果与损失估算相结合的问题。
基于上述目的,本公开中一个或多个实施例提供了对网络攻击事件的损失评估方法,包括:基于对网络中与HTTP和HTTPS协议相关的流量进行存储,在程序平台上建立业务仿真环境;之后,将存储的流量在搭建的包括了发送侧、接收侧、和请求侧的重放环境中重放,并进行检测分析,并主动判定出流量中网络攻击事件;响应于确定的网络攻击事件,根据信息安全分类分级的标准规范,对所述网络攻击事件进行分级与分类;利用所述分级与所述分类,建立损失估算模型;响应于确定的所述分级与所述分类,采取所述损失估算模型,对所述网络攻击事件造成的损失进行评估,以得到具体的损失数额。
基于同一发明构思,本公开中一个或多个实施例还提供了对网络攻击事件的损失评估装置,包括:
仿真模块,被配置为:响应于确定的网络攻击事件,根据信息安全分类分级的标准规范,对所述网络攻击事件进行分级与分类;利用所述分级与所述分类,建立损失估算模型;
估算模块,被配置为:响应于确定的所述分级与所述分类,采取所述损失估算模型,对所述网络攻击事件造成的损失进行评估,以得到具体的损失数额。
基于同一发明构思,本公开中一个或多个实施例还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上任意一项所述的对网络攻击事件的损失评估方法。
基于同一发明构思,本公开中一个或多个实施例还提供了一种非暂态计算机可读存储介质,其中,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行如上述对网络攻击事件的损失评估方法。
从上面所述可以看出,本公开中一个或多个实施例提供的对网络攻击事件的损失评估方法、装置和电子设备,基于在仿真业务环境中对真实流量进行重放的技术,综合考虑用了网络攻击事件的评定标准,以及真实情况中的各种损失类型,来对网络攻击事件进行综合分析,从而实现对攻击事件自动分类分级,自动估算损失,并使得损失估算的准确性与效率均大大提高。
附图说明
为了更清楚地说明本公开中一个或多个实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开中一个或多个实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本公开中一个或多个实施例的对网络攻击事件的损失评估方法的流程示意图;
图2为本公开中一个或多个实施例的对网络攻击事件的损失评估装置模块示意图;
图3为本公开中一个或多个实施例的对网络攻击事件的损失评估方法的整体流程示意图;
图4为本公开中一个或多个实施例的对网络攻击事件的基础分析的装置模块示意图;
图5为本公开中一个或多个实施例的电子设备结构示意图。
具体实施方式
为使本公开的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本公开进一步详细说明。
需要说明的是,除非另外定义,本公开中一个或多个实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本公开一个或多个实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。
如背景技术部分所述,现有的对网络攻击事件的损失评估方法还难以满足生产的需要。申请人在实现本公开的过程中发现,现有的对网络攻击事件的损失评估方法存在的主要问题在于:难以通过监测分析,对攻击事件进行精准并统一的分类与分级,从而使得对损失的估算无法准确,并且无法将损失估算自动化。
有鉴于此,本公开中一个或多个实施例提供了对网络攻击事件的损失评估方法,具体的,基于对网络中与HTTP和HTTPS协议相关的流量进行存储,在程序平台上建立业务仿真环境;之后,将存储的流量在搭建的包括了发送侧、接收侧、和请求侧的重放环境中重放,并进行检测分析,并主动判定出流量中网络攻击事件;响应于确定的网络攻击事件,根据信息安全分类分级的标准规范,对所述网络攻击事件进行分级与分类;利用所述分级与所述分类,建立损失估算模型;响应于确定的所述分级与所述分类,采取所述损失估算模型,对所述网络攻击事件造成的损失进行评估,以得到具体的损失数额。
以下,通过具体的实施例,并结合图3示出的整体流程示意图,来详细说明本公开中一个或多个实施例的技术方法。
参考图1,本说明书一个实施例的对网络攻击事件的损失评估方法,包括以下步骤:
步骤S101、响应于确定业务仿真环境中发生了网络攻击事件,根据预定的信息安全分类分级标准,确定所述网络攻击事件的安全类别和安全级别。
在本公开中,基于对网络行为的分析,并确定网络攻击事件的基础上,对于安全类别系数与安全级别系数,可以参考GB/Z20986-2007(信息安全技术-标准规范信息安全分类分级指南中的安全分类与分级)进行具体制定。其中,对于所述安全类别系数按照有害程序事件、网络攻击事件、信息破坏事件、和信息内容安全事件被划分为4个不同类别区间,并依据不同类别的严重程度,将所述有害程序事件、网络攻击事件、信息破坏事件、和信息内容安全事件,依次划分为0至20,30至50,60至80,以及90至100之间的不同数值,每类事件可以根据具体需求划分更加细致的子类事件,并对应与该区间内的相应数值。
对于所述安全级别系数按照一般事件、较大事件、重大事件、以及特别重大事件被划分为4个不同级别区间,0至0.2,0.3至0.5,0.6至0.8,以及0.9至1之间的不同数值之间的不同数值,具体的划分标准可以依据系统损失的程度,与社会影响的程度。
步骤S102、基于所确定的安全类别和安全级别,利用预先建立的损失估算模型估算所述网络攻击事件造成的损失。
在本公开的实施例中,损失估算模型分为两部分:直接损失,与间接损失,两部分之和为总体损失的估算值;具体的损失估算模型为:
Figure BDA0002835588650000051
其中,Cf表示公司总资产的数值;P表示单系统或单部门资产综合的数值,由于很多网络攻击事件可以是针对例如财会部门,销售系统等单一部门或单一系统,因此模型中引入的所述单系统或单部门为遭受网络攻击事件的系统或部门;Cu表示可预见损失的数值,可以包括:被破坏的业务系统需要重新开发的费用,中心部署防火墙的费用等;S表示安全类别系数,T表示安全级别系数,以及U表示间接损失,可以包括:涉及损失的相应处罚等。
需要说明的是,S与T的在区间内的取值,可以根据具体的需求对子类事件以及严重程度进行相应的调整;例如同样的网络扫描窃听事件在不同的公司内的严重程度会有不同,此时,可以对取值根据具体的情况进行区间内的调整。
进一步的,将各类破坏信息安全事件的对应S与T的取值,预设至运行重放环境的程序平台中;实现在所述程序平台判定具体事件后,自动触发该事件与相应取值的赋值操作。
在本公开中,使用上述估算模型,对具体的网络攻击事件进行估算;在一些具体示例中,例如,公司总资产为1000万;遭受网络攻击事件的业务应用系统总资产核实为200万;依据国标GB/Z20986-2007,将此次破坏信息安全的事件判定为网络攻击事件中的漏洞攻击事件,具体的S取值为30至50区间中的40;并依据国标GB/Z20986-2007,将此次破坏信息安全的事件判定为一般事件,具体的,T的取值为0.2;经核算,业务系统恢复需要重新开发,重新开发业务系统的预算为100万;重新部署和安装防火墙的预算为20万;以及入侵检测防御系统预算为20万;未涉及相关处罚费用等间接损失。
根据上述事件,将具体的数值自动带入计算模型:
Figure BDA0002835588650000052
最终,损失估算模型将本次网络攻击事件估算为950万。
在本公开中,参考图3,对于前述实施例中的方法,还可以包括以下对于网络事件的监测与分析的基础:
步骤S301、通过交换机流量镜像接口,将业务应用在网络出口的真实流量镜像存储到存储设备中,得到镜像流量。
在本公开中,为了完成上述步骤,首先通过交换机上设置的镜像端口,对互联网出口上的所有数据利用端口镜像的方式进行采集;并将其中与HTTP协议与HTTPS协议相关的流量进行存储。
同时,模仿运行的业务应用,在设备的程序平台上建立1:1比例的高度仿真的业务仿真环境,具体的,所述业务仿真环境与真实网络中流量请求端的系统所具备的各项配置,包括操作系统,及其版本,安装的各种插件、组件、数据库、中间件版本等完全一致。
需要说明的是,对于业务仿真环境的建立,也可以通过对所模拟的系统进行镜像操作,或者通过虚拟化快照的方式实现1:1的仿真建设,在本实施例中,对仿真建设方式不做具体限定;并且,从数据安全的角度触发,本说明书中实施例涉及的数据,可以采用伪数据或者脱敏数据。
步骤S302、利用重放工具,在预先模仿所述业务应用而建立的所述业务仿真环境中重放所述镜像流量。
在本公开中,进一步的,需要在设备的程序平台上搭建流量进行重放时的重放环境;在本实施例中,重放环境可以包括:发送侧、接收侧、和请求侧。其中,将发送侧与接收侧设置在同一载体上,此处的载体可以是虚拟设备上的同一程序平台,用来模拟发送数据包,和接收数据包的功能,也即模拟互联网中的发送终端,与接收终端;请求侧为所述业务仿真环境,也即模拟互联网中的请求端;在实际网络运行中,接收端与请求端可以为同一设备。
在本发明的一些实施例中,基于搭建的所述重放环境与所述业务仿真环境,将存储的所述流量在重放环境中进行重放,通过程序平台上的重放工具,实现将真实的网络数据交换等操作以及各种事件在进行模拟重现的效果。
步骤S303、监测所述业务仿真环境中因重放所述镜像流量而发生的变化,并对所述变化进行分析,以确定所述业务仿真环境中是否发生了所述网络攻击事件。
在本发明的一些实施例中,当所述流量进行重放时,重放环境的程序平台将对所述流量进行监测,其中的监测的对象为所述流量中的操作行为,具体可以包括:在业务仿真环境中因重放产生的各类文件、日志、权限和行为变化,文件的属性变化,以及新增文件等。
进一步的,对于监测对象操作行为进行的判定,具体主要是执行默认的规则策略,采取基线与多事件关联分析进行动态监测的结果;其中,所述基线主要是对业务仿真环境中,发生非正常变化的情况进行告警,这种非正常变化可以包括:权限发生变化,更改业务仿真环境的用户密码或增加新用户等;其中,关联分析主要是针对各种事件发生变化所产生的关联关系进行检测,对关联关系的检测可以包括:文件属性变化的需进行文件内容或恶意代码检测,新增的文件需要执行沙箱检测判定是否存在未知威胁,发现有暴力破解业务仿真环境中的某用户名密码的操作,同时发现被破解的用户名在异地登陆等;关联分析的结果是业务仿真环境中的某用户名密码被攻击者获得,或者攻击者获得了业务仿真环境的操作权限等,则将所述流量中的该操作行为判定为网络攻击事件。
从上面所述可以看出,本公开中一个或多个实施例提供的对网络攻击事件的损失评估方法、装置和电子设备,基于在仿真业务环境中对真实流量进行重放的技术,综合考虑用了网络攻击事件的评定标准,以及真实情况中的各种损失类型,来对网络攻击事件进行综合分析,从而实现对攻击事件自动分类分级,自动估算损失,并使得损失估算的准确性与效率均大大提高。
需要说明的是,本公开中一个或多个实施例的方法可以由单个设备执行,例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下,由多台设备相互配合来完成。在这种分布式场景的情况下,这多台设备中的一台设备可以只执行本公开中一个或多个实施例的方法中的某一个或多个步骤,这多台设备相互之间会进行交互以完成所述的方法。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
基于同一发明构思,与上述任意实施例方法相对应的,本公开中一个或多个实施例还提供了对网络攻击事件的损失评估装置。
参考图2,所述安全分析与损失评估的装置,包括:
确定模块S201,被配置为:响应于确定业务仿真环境中发生了网络攻击事件,根据预定的信息安全分类分级标准确定所述网络攻击事件的安全类别和安全级别;
估算模块S202,被配置为:基于所确定的安全类别和安全级别,利用预先建立的损失估算模型估算所述网络攻击事件造成的损失。
作为一个可选的实施例,所述确定模块S201,具体被配置为:在本公开中,基于对网络行为的分析,并确定网络攻击事件的基础上,对于安全类别系数与安全级别系数,可以参考GB/Z20986-2007(信息安全技术-标准规范信息安全分类分级指南中的安全分类与分级)进行具体制定。其中,对于所述安全类别系数按照有害程序事件、网络攻击事件、信息破坏事件、和信息内容安全事件被划分为4个不同类别区间,并依据不同类别的严重程度,将所述有害程序事件、网络攻击事件、信息破坏事件、和信息内容安全事件,依次划分为0至20,30至50,60至80,以及90至100之间的不同数值,每类事件可以根据具体需求划分更加细致的子类事件,并对应与该区间内的相应数值。
对于所述安全级别系数按照一般事件、较大事件、重大事件、以及特别重大事件被划分为4个不同级别区间,0至0.2,0.3至0.5,0.6至0.8,以及0.9至1之间的不同数值之间的不同数值,具体的划分标准可以依据系统损失的程度,与社会影响的程度。
作为一个可选的实施例,所述估算模块S202,具体被配置为:将损失估算模型分为两部分:直接损失,与间接损失,两部分之和为总体损失的估算值;具体的损失估算模型为:
Figure BDA0002835588650000081
其中,Cf表示公司总资产的数值;P表示单系统或单部门资产综合的数值,由于很多网络攻击事件可以是针对例如财会部门,销售系统等单一部门或单一系统,因此模型中引入的所述单系统或单部门为遭受网络攻击事件的系统或部门;Cu表示可预见损失的数值,可以包括:被破坏的业务系统需要重新开发的费用,中心部署防火墙的费用等;S表示安全类别系数,T表示安全级别系数,以及U表示间接损失,可以包括:涉及损失的相应处罚等。
需要说明的是,S与T的在区间内的取值,可以根据具体的需求对子类事件以及严重程度进行相应的调整;例如同样的网络扫描窃听事件在不同的公司内的严重程度会有不同,此时,可以对取值根据具体的情况进行区间内的调整。
进一步的,将各类破坏信息安全事件的对应S与T的取值,预设至运行重放环境的程序平台中;实现在所述程序平台判定具体事件后,自动触发该事件与相应取值的赋值操作。
在本公开中,使用上述估算模型,对具体的网络攻击事件进行估算;在一些具体示例中,例如,公司总资产为1000万;遭受网络攻击事件的业务应用系统总资产核实为200万;依据国标GB/Z20986-2007,将此次破坏信息安全的事件判定为网络攻击事件中的漏洞攻击事件,具体的S取值为30至50区间中的40;并依据国标GB/Z20986-2007,将此次破坏信息安全的事件判定为一般事件,具体的,T的取值为0.2;经核算,业务系统恢复需要重新开发,重新开发业务系统的预算为100万;重新部署和安装防火墙的预算为20万;以及入侵检测防御系统预算为20万;未涉及相关处罚费用等间接损失。
根据上述事件,将具体的数值自动带入计算模型:
Figure BDA0002835588650000091
最终,损失估算模型将本次网络攻击事件估算为950万。
在本公开中,参考图3和图4,对于前述实施例中的装置,还可以包括以下基础模块部分:
镜像模块S401,具备被配置为:通过交换机对网络中的流量进行镜像存储,并将存储的所述流量在搭建的重放环境中重放。
在本公开中,首先通过交换机上设置的镜像端口,对互联网出口上的所有数据利用端口镜像的方式进行采集;并将其中与HTTP协议与HTTPS协议相关的流量进行存储。
同时,模仿运行的业务应用,在设备的程序平台上建立1:1比例的高度仿真的业务仿真环境,具体的,所述业务仿真环境与真实网络中流量请求端的系统所具备的各项配置,包括操作系统,及其版本,安装的各种插件、组件、数据库、中间件版本等完全一致。
需要说明的是,对于业务仿真环境的建立,也可以通过对所模拟的系统进行镜像操作,或者通过虚拟化快照的方式实现1:1的仿真建设,在本实施例中,对仿真建设方式不做具体限定;并且,从数据安全的角度触发,本说明书中实施例涉及的数据,可以采用伪数据或者脱敏数据。
流量重放模块S402,具体被配置为:需要在设备的程序平台上搭建流量进行重放时的重放环境;在本实施例中,重放环境可以包括:发送侧、接收侧、和请求侧。其中,将发送侧与接收侧设置在同一载体上,此处的载体可以是虚拟设备上的同一程序平台,用来模拟发送数据包,和接收数据包的功能,也即模拟互联网中的发送终端,与接收终端;请求侧为所述业务仿真环境,也即模拟互联网中的请求端;在实际网络运行中,接收端与请求端可以为同一设备。
在本发明的一些实施例中,基于搭建的所述重放环境与所述业务仿真环境,将存储的所述流量在重放环境中进行重放,通过程序平台上的重放工具,实现将真实的网络数据交换等操作以及各种事件在进行模拟重现的效果。
监测分析模块S403,具体被配置为:响应于对所述流量重放时的监测分析,确定所述流量中的行为是否为网络攻击事件的行为。
在本发明的一些实施例中,当所述流量进行重放时,重放环境的程序平台将对所述流量进行监测,其中的监测的对象为所述流量中的操作行为,具体可以包括:在业务仿真环境中因重放产生的各类文件、日志、权限和行为变化,文件的属性变化,以及新增文件等。
进一步的,对于监测对象操作行为进行的判定,具体主要是执行默认的规则策略,采取基线与多事件关联分析进行动态监测的结果;其中,所述基线主要是对业务仿真环境中,发生非正常变化的情况进行告警,这种非正常变化可以包括:权限发生变化,更改业务仿真环境的用户密码或增加新用户等;其中,关联分析主要是针对各种事件发生变化所产生的关联关系进行检测,对关联关系的检测可以包括:文件属性变化的需进行文件内容或恶意代码检测,新增的文件需要执行沙箱检测判定是否存在未知威胁,发现有暴力破解业务仿真环境中的某用户名密码的操作,同时发现被破解的用户名在异地登陆等;关联分析的结果是业务仿真环境中的某用户名密码被攻击者获得,或者攻击者获得了业务仿真环境的操作权限等,则将所述流量中的该操作行为判定为网络攻击事件。
为了描述的方便,描述以上装置时以功能分为各种模块分别描述。当然,在实施本公开中一个或多个实施例时可以把各模块的功能在同一个或多个软件和/或硬件中实现。
上述实施例的装置用于实现前述任一实施例中相应的对网络攻击事件的损失评估方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
基于同一发明构思,与上述任意实施例方法相对应的,本公开中一个或多个实施例还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上任意一实施例所述的网络安全分析与损失评估的法。
图5示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图,该设备可以包括:处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
处理器1010可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本说明书实施例所提供的技术方案。
存储器1020可以采用ROM(Read Only Memory,只读存储器)、RAM(Random AccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器1020中,并由处理器1010来调用执行。
输入/输出接口1030用于连接输入/输出模块,以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口1040用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。
总线1050包括一通路,在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本说明书实施例方案所必需的组件,而不必包含图中所示的全部组件。
上述实施例的装置用于实现前述任一实施例中相应的对网络攻击事件的损失评估方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
基于同一发明构思,与上述任意实施例方法相对应的,本公开中一个或多个实施例还提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行如上任一实施例所述的对网络攻击事件的损失评估方法。
本实施例的计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
上述实施例的存储介质存储的计算机指令用于使所述计算机执行如上任一实施例所述的对网络攻击事件的损失评估方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本公开的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本公开中一个或多个实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本公开中一个或多个实施例难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本公开中一个或多个实施例难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本公开中一个或多个实施例的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本公开的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本公开中一个或多个实施例。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本公开的具体实施例对本公开进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本公开中一个或多个实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本公开中一个或多个实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本公开的保护范围之内。

Claims (8)

1.一种对网络攻击事件的损失评估方法,其特征在于,包括:
响应于确定业务仿真环境中发生了网络攻击事件,根据预定的信息安全分类分级标准,确定所述网络攻击事件的安全类别和安全级别;
基于所确定的安全类别和安全级别,利用预先建立的损失估算模型估算所述网络攻击事件造成的损失;其中,所述损失估算模型为:
Figure FDA0003774962780000011
其中,L表示损失,Cf表示公司总资产,P表示遭受攻击的业务系统或部门的总资产,Cu表示可预见损失,S表示安全类别系数,T表示安全级别系数,U表示间接损失。
2.根据权利要求1所述的方法,其特征在于,
所述信息安全分类分级标准包括国家标准GB/Z20986-2007《信息安全技术-标准规范信息安全分类分级指南》;
所述安全类别为4个预定安全类别之一,S基于所述安全类别而在0至100之间取值;
所述安全级别为4个预定安全级别之一,T基于所述安全级别而在0至1之间取值。
3.根据权利要求1至2中任一所述的方法,其特征在于,还包括:
通过交换机流量镜像接口,将业务应用在网络出口的真实流量镜像存储到存储设备中,得到镜像流量;
利用重放工具,在预先模仿所述业务应用而建立的所述业务仿真环境中重放所述镜像流量;
监测所述业务仿真环境中因重放所述镜像流量而发生的变化,并对所述变化进行分析,以确定所述业务仿真环境中是否发生了所述网络攻击事件。
4.根据权利要求3所述的方法,其特征在于,将所述真实流量镜像存储到所述存储设备中包括:将所述真实流量中符合HTTP协议的第一部分流量和符合HTTPS协议的第二部分流量分别存储到所述存储设备中。
5.根据权利要求3所述的方法,其特征在于,用于重放所述镜像流量的发送侧和接收侧为同一载体,用于重放所述镜像流量的请求侧为所述业务仿真环境。
6.根据权利要求3所述的方法,其特征在于,所述变化包括下列中至少一个:文件变化、日志变化、权限变化和行为变化。
7.一种对网络攻击事件的损失评估装置,其特征在于,包括:
确定模块,被配置为:响应于确定业务仿真环境中发生了网络攻击事件,根据预定的信息安全分类分级标准确定所述网络攻击事件的安全类别和安全级别;
估算模块,被配置为:基于所确定的安全类别和安全级别,利用预先建立的损失估算模型估算所述网络攻击事件造成的损失;其中,所述损失估算模型为:
Figure FDA0003774962780000021
其中,L表示损失,Cf表示公司总资产,P表示遭受攻击的业务系统或部门的总资产,Cu表示可预见损失,S表示安全类别系数,T表示安全级别系数,U表示间接损失。
8.一种电子设备,包括存储器、处理器及存储在所述存储器上并可由所述处理器执行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至6中任意一项所述的方法。
CN202011476453.3A 2020-12-14 2020-12-14 对网络攻击事件的损失评估方法、装置和电子设备 Active CN112751828B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011476453.3A CN112751828B (zh) 2020-12-14 2020-12-14 对网络攻击事件的损失评估方法、装置和电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011476453.3A CN112751828B (zh) 2020-12-14 2020-12-14 对网络攻击事件的损失评估方法、装置和电子设备

Publications (2)

Publication Number Publication Date
CN112751828A CN112751828A (zh) 2021-05-04
CN112751828B true CN112751828B (zh) 2022-10-14

Family

ID=75647873

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011476453.3A Active CN112751828B (zh) 2020-12-14 2020-12-14 对网络攻击事件的损失评估方法、装置和电子设备

Country Status (1)

Country Link
CN (1) CN112751828B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101047542A (zh) * 2006-03-31 2007-10-03 中国科学院软件研究所 大规模网络安全性分析的方法
CN107196895A (zh) * 2016-11-25 2017-09-22 北京神州泰岳信息安全技术有限公司 网络攻击溯源实现方法及装置
CN109345065A (zh) * 2018-08-22 2019-02-15 平安科技(深圳)有限公司 一种规避损失分析方法及装置、存储介质、计算机设备
CN111461307A (zh) * 2020-04-02 2020-07-28 武汉大学 一种基于生成对抗网络的通用扰动生成方法
CN111881935A (zh) * 2020-06-19 2020-11-03 北京邮电大学 一种基于内容感知gan的对抗样本生成方法
CN111967006A (zh) * 2020-08-13 2020-11-20 成都考拉悠然科技有限公司 基于神经网络模型的自适应黑盒对抗攻击方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10778713B2 (en) * 2018-02-26 2020-09-15 International Business Machines Corporation Method and system to manage risk of vulnerabilities and corresponding change actions to address malware threats

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101047542A (zh) * 2006-03-31 2007-10-03 中国科学院软件研究所 大规模网络安全性分析的方法
CN107196895A (zh) * 2016-11-25 2017-09-22 北京神州泰岳信息安全技术有限公司 网络攻击溯源实现方法及装置
CN109345065A (zh) * 2018-08-22 2019-02-15 平安科技(深圳)有限公司 一种规避损失分析方法及装置、存储介质、计算机设备
CN111461307A (zh) * 2020-04-02 2020-07-28 武汉大学 一种基于生成对抗网络的通用扰动生成方法
CN111881935A (zh) * 2020-06-19 2020-11-03 北京邮电大学 一种基于内容感知gan的对抗样本生成方法
CN111967006A (zh) * 2020-08-13 2020-11-20 成都考拉悠然科技有限公司 基于神经网络模型的自适应黑盒对抗攻击方法

Also Published As

Publication number Publication date
CN112751828A (zh) 2021-05-04

Similar Documents

Publication Publication Date Title
US11019114B2 (en) Method and system for application security evaluation
CN106487775B (zh) 一种基于云平台的业务数据的处理方法和装置
CN108268354B (zh) 数据安全监控方法、后台服务器、终端及系统
US10375101B2 (en) Computer implemented techniques for detecting, investigating and remediating security violations to IT infrastructure
Manadhata et al. Measuring the attack surfaces of two FTP daemons
CN104519032A (zh) 一种互联网账号的安全策略及系统
US20230362200A1 (en) Dynamic cybersecurity scoring and operational risk reduction assessment
CN109302423B (zh) 一种漏洞扫描能力测试方法和装置
Papamartzivanos et al. A cloud-based architecture to crowdsource mobile app privacy leaks
CN113761519B (zh) 一种Web应用程序的检测方法、装置及存储介质
US11477245B2 (en) Advanced detection of identity-based attacks to assure identity fidelity in information technology environments
WO2016121348A1 (ja) マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラムが格納された記録媒体
CN114138590A (zh) Kubernetes集群的运维处理方法、装置及电子设备
CN109684863A (zh) 数据防泄漏方法、装置、设备及存储介质
CN107122664B (zh) 安全防护方法及装置
CN112765611B (zh) 一种越权漏洞检测方法、装置、设备及存储介质
CN112751828B (zh) 对网络攻击事件的损失评估方法、装置和电子设备
CN117032894A (zh) 容器安全状态检测方法、装置、电子设备及存储介质
CN111241547B (zh) 一种越权漏洞的检测方法、装置及系统
US20230156019A1 (en) Method and system for scoring severity of cyber attacks
CN115795475A (zh) 软件系统风险的确定方法、装置及电子设备
CN111800427B (zh) 一种物联网设备评估方法、装置及系统
Kai et al. Development of qualification of security status suitable for cloud computing system
KR100961992B1 (ko) 마르코프 체인을 이용한 사이버 범죄 행위 분석 방법, 그장치 및 이를 기록한 기록매체
KR102608923B1 (ko) 보안 취약점에 대한 가치 평가 방법 및 장치

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right

Effective date of registration: 20211109

Address after: 100089 south building, block a, Dongxu International Center, Fanyang Road, Fengtai District, Beijing

Applicant after: Beijing Zhongdian Feihua Communication Co.,Ltd.

Address before: 100070 south building, block a, Dongxu International Center, Fanyang Road, Fengtai District, Beijing

Applicant before: Beijing Zhongdian Feihua Communication Co.,Ltd.

Applicant before: STATE GRID INFORMATION & TELECOMMUNICATION GROUP Co.,Ltd.

TA01 Transfer of patent application right
GR01 Patent grant
GR01 Patent grant