CN112825059A - 安全性确定方法、装置及电子设备 - Google Patents

安全性确定方法、装置及电子设备 Download PDF

Info

Publication number
CN112825059A
CN112825059A CN201911154386.0A CN201911154386A CN112825059A CN 112825059 A CN112825059 A CN 112825059A CN 201911154386 A CN201911154386 A CN 201911154386A CN 112825059 A CN112825059 A CN 112825059A
Authority
CN
China
Prior art keywords
target
security
analysis result
data
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911154386.0A
Other languages
English (en)
Other versions
CN112825059B (zh
Inventor
李海峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN201911154386.0A priority Critical patent/CN112825059B/zh
Publication of CN112825059A publication Critical patent/CN112825059A/zh
Application granted granted Critical
Publication of CN112825059B publication Critical patent/CN112825059B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3409Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment for performance assessment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/25Fusion techniques
    • G06F18/253Fusion techniques of extracted features
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0639Performance analysis of employees; Performance analysis of enterprise or organisation operations
    • G06Q10/06393Score-carding, benchmarking or key performance indicator [KPI] analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • Quality & Reliability (AREA)
  • Development Economics (AREA)
  • Educational Administration (AREA)
  • Economics (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Data Mining & Analysis (AREA)
  • General Business, Economics & Management (AREA)
  • Artificial Intelligence (AREA)
  • Operations Research (AREA)
  • Tourism & Hospitality (AREA)
  • Computer Hardware Design (AREA)
  • Game Theory and Decision Science (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Marketing (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请提供了一种安全性确定方法、装置及电子设备,其中,该安全性确定方法包括:获取目标设备当前的状态数据,状态数据包括静态数据和动态数据;根据静态数据对目标设备进行安全性分析,得到第一分析结果;根据动态数据对目标设备进行安全性分析,得到第二分析结果;将第一分析结果与第二分析结果进行融合,得到目标设备的安全度量结果。

Description

安全性确定方法、装置及电子设备
技术领域
本申请涉及计算机技术领域,具体而言,涉及一种安全性确定方法、装置及电子设备。
背景技术
计算机的安全评估技术主要以计算机系统及其提供的服务作为评估的对象,通过搜集当前计算机的配置和状态,来确定目标计算机的安全状况。但是目前的计算机的安全评估结果与计算机的真实状态可能存在一些出入。
发明内容
本申请实施例的目的在于提供一种安全性确定方法、装置及电子设备,用以确定出目标设备的安全状态。
第一方面,实施例提供一种安全性确定方法,包括:
获取目标设备当前的状态数据,所述状态数据包括静态数据和动态数据;
根据所述静态数据对所述目标设备进行安全性分析,得到第一分析结果;
根据所述动态数据对所述目标设备进行安全性分析,得到第二分析结果;
将所述第一分析结果与所述第二分析结果进行融合,得到所述目标设备的安全度量结果。
在可选的实施方式中,所述静态数据包括多项静态影响信息;所述根据所述静态数据对所述目标设备进行安全性分析,得到第一分析结果的步骤,包括:
根据所述多项静态影响信息确定出各项静态影响信息的影响分值;
根据每一项静态影响信息的影响分值确定出所述目标设备的第一分析结果。
本申请实施例提供的安全性确定方法,采用根据各种静态影响信息,从而基于各种静态影响信息确定的第一分析结果,从而使代表目标设备的静态安全性的结果的第一分析结果能够更全面地表示目标设备的状态。
在可选的实施方式中,所述静态数据包括多项动态影响信息;所述根据所述动态数据对所述目标设备进行安全性分析,得到第二分析结果的步骤,包括:
对所述多项动态影响信息进行关联组合,确定出至少一组目标动态信息,每组目标动态信息中包括至少一项动态影响信息;
将所述至少一组目标动态信息进行安全性分析,得到第二分析结果。
本申请实施例提供的安全性确定方法,由于单个动作可能不会被认为是危险动作,但是如果多个指定动作被连续执行则可能会是影响计算机安全的危险动作,因此,可以先进行关联分析,确定出至少一组目标动态信息,再进行安全性分析,从而可以更好地表达计算机的安全状况。
在可选的实施方式中,所述将所述至少一组目标动态信息进行安全性分析,得到第二分析结果的步骤,包括:
使用隐马尔科夫模型对将所述至少一组目标动态信息和所述目标设备的历史行为信息进行安全性分析,得到第二分析结果。
本申请实施例提供的安全性确定方法,采用数学模型对动态信息进行分析,从而可以更好地了解到动态信息能够表征的内容,从而使确定的第二分析结果能更好地表达计算机的安全状况。
在可选的实施方式中,所述将所述至少一组目标动态信息进行安全性分析,得到第二分析结果的步骤,包括:
将所述至少一组目标动态信息与预设的动态安全评估准则进行匹配,确定出各组目标动态信息的安全系数;
根据每组目标动态信息的安全系数确定出所述目标设备的第二分析结果。
本申请实施例提供的安全性确定方法,将目标动态信息与预设的动态安全评估准则进行匹配,可以更快速地确定出计算机的安全状况。
在可选的实施方式中,所述将所述至少一组目标动态信息与预设的动态安全评估准则进行匹配,确定出各组目标动态信息的安全系数步骤之前,所述方法还包括:
根据所述目标设备的应用类型确定出预设的动态安全评估准则。
在可选的实施方式中,所述将所述第一分析结果与所述第二分析结果进行融合,得到所述目标设备的安全度量结果的步骤,包括:
对所述第一分析结果与所述第二分析结果进行加权求和,确定出所述目标设备的安全度量结果。
本申请实施例提供的安全性确定方法,可以根据需求为第一分析结果与第二分析结果匹配权重,从而实现动静结合,确定计算机的安全状况。
在可选的实施方式中,所述对所述第一分析结果与所述第二分析结果进行加权求和,确定出所述目标设备的安全度量结果的步骤,包括:
使用第一权重对所述第一分析结果进行加权,得到第一权值;
使用第二权重对所述第二分析结果进行加权,得到第二权值,所述第一权值大于第二权值;
计算所述第一权值和第二权值之和,得到所述目标设备的安全度量结果。
本申请实施例提供的安全性确定方法,静态数据的内容更多时,将第一分析结果的权重设置为更大的值,从而将静态数据作为主要的判定依据。
在可选的实施方式中,所述获取目标设备当前的状态数据的步骤,包括:
采集目标设备当前的初始静态信息;
将所述初始静态信息进行预处理,得到所述目标设备当前的静态数据;
采集目标设备当前的动态数据,所述静态数据和所述动态数据为所述目标设备当前的状态数据。
本申请实施例提供的安全性确定方法,还将采集到的静态信息进行预处理,从而可以减小有效信息的规模,提升后续安全评估速度,避免引入错误或关联性小的数据,从而使后续计算机安全性的确定更加准确。
在可选的实施方式中,所述采集目标设备当前的初始静态数据的步骤,包括:
通过一目标应用程序采集第一静态数据;
通过一目标内核钩子程序采集第二静态数据。
本申请实施例提供的安全性确定方法,采用多种方式获取目标设备的状态数据,从而可以使后续的目标设备的确定更加准确。
在可选的实施方式中,将所述初始静态信息进行预处理,得到所述目标设备当前的静态数据的步骤,包括:
对所述初始静态信息进行去噪处理、去重处理、归一处理、归并处理中的至少一种处理,得到目标设备当前的静态数据。
本申请实施例提供的安全性确定方法,使用多种预处理方式对初始静态信息进行预处理,从而减小有效信息的规模,提升后续安全评估速度。
在可选的实施方式中,所述方法还包括:
通过可视化界面显示所述安全度量结果。
本申请实施例提供的安全性确定方法,采用可视化界面显示安全度量结果,可以方便相关人员能够了解到目标设备的安全状况。
第二方面,实施例提供一种安全性确定装置,包括:
获取模块,用于获取目标设备当前的状态数据,所述状态数据包括静态数据和动态数据;
第一分析模块,用于根据所述静态数据对所述目标设备进行安全性分析,得到第一分析结果;
第二分析模块,用于根据所述动态数据对所述目标设备进行安全性分析,得到第二分析结果;
融合模块,用于将所述第一分析结果与所述第二分析结果进行融合,得到所述目标设备的安全度量结果。
第三方面,实施例提供一种电子设备,包括:处理器、存储器,所述存储器存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述机器可读指令被所述处理器执行时执行如前述实施方式任一所述的方法的步骤。
第四方面,实施例提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如前述实施方式任一所述的方法的步骤。
本申请实施例提供的安全性确定方法、装置、电子设备及计算机可读存储介质,采用静态数据和动态数据作为目标设备的安全状况的判断基础,从而可以更全面地了解到目标设备的情况,从而使确定出的安全度量结果能够更好地表达目标设备的安全状况。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的电子设备的方框示意图。
图2为本申请实施例提供的安全性确定方法的流程图。
图3为本申请实施例提供的安全性确定方法的步骤203的详细流程图。
图4为本申请实施例提供的安全性确定装置的功能模块示意图。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
计算机安全评估技术是以计算机系统及其提供的服务作为评估的对象,通过获得当前计算机的配置和状态,与所建立的安全知识库进行对比,来确定目标计算机安全状况的系统。例如,可以通过主动的检测与计算机有关的配置、服务及软件漏洞等信息,及时的了解计算机的安全状况,这样可以方便安全管理人员可以在恶意攻击之前修复系统中存在的安全隐患。
计算机安全评估的实施过程是一个计算机的状态数据采集和数据处理的过程。更具体地,可以分为数据采集、数据处理及处理结果显示三个阶段。每一个阶段都有不同的研究内容,信息采集阶段主要研究的是哪些指标是影响计算机系统安全的指标,信息处理阶段主要研究的是如何通过合理的算法将采集的指标信息由自然语言转化定性定量的信息,而处理结果显示阶段则是通过直观易懂的表达方式,使用户了解当前计算机的安全状况。
本申请发明人对计算机的安全评估技术进行了研究,计算机的安全评估可以通过以下几种方式:1)利用Windows系统平台下计算机安全等级保护的方法,对影响计算机安全的要素,包括操作系统、重要文件或目录、浏览器、Web服务、通用服务、进程、注册表、共享文件、应用程序、驱动及其它数据等,利用综合知识库对计算机安全进行一次分析,最终得到计算机的当前安全程度。2)基于专家系统的计算机安全评估技术,通过专家系统对计算机安全的各个要素进行一次性分析与打分,然后综合得到计算机的安全性评价结果。3)基于网络行为特征关联分析的计算机安全评估方法,对已知的网络特征进行分析,确定每个网络特征的属性;监控待评估计算机单位时间内的网络通讯行为,若单位时间内的网络通讯行为与至少一个已知恶意代码的网络特征相匹配,则根据权值,对计算机的安全性进行评分;将得到的评分与预设的预警分数线进行比较,若评分大于或等于预警分数线,则确认待评估计算机存在安全威胁,否则待评估计算机不存在安全威胁。
发明人针对上述的多种方式进行了研究,发现上述的方式还存在以下不足:1)计算机中影响安全状态的要素不全面,有些仅仅包括了系统漏洞。2)计算机的安全状态时刻处于动态变化中,上述的评估技术采用定期运行的方式,不能反映计算机安全的实时变化。3)计算机的安全状态与用户行为密切相关,不同的行为类型对计算机安全影响程度打不相同,现有的评估技术仅针对计算机的静态属性进行考量,没有考虑计算机的行为模式类型。4)计算机安全的量化评估仅限于支持基于专家模式的评定,无法对不同用途的计算机设备进行自适应。
针对上述提出的不足,本申请实施例提供的安全性确定方法实现计算机安全评估可以从系统的角度反映可能的攻击的状况。详细地,不仅反映当前的攻击状态,还反映攻击的发展变化趋势,实时评估要动态把握风险在特定环境中的演化过程。其中,该特定环境可以指系统防护状况、资产安全特性、攻击威胁度和系统的漏洞等。下面通过几个实施例详细描述针对上述研究所提出来的安全性确定方法、安全性确定装置、电子设备及计算机可读存储介质。
实施例一
为便于对本实施例进行理解,首先对执行本申请实施例所公开的一种安全性确定方法的电子设备进行详细介绍。
如图1所示,是电子设备的方框示意图。电子设备100可以包括存储器111、存储控制器112、处理器113、外设接口114、输入输出单元115、显示单元116。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对电子设备100的结构造成限定。例如,电子设备100还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
上述的存储器111、存储控制器112、处理器113、外设接口114、输入输出单元115及显示单元116各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。上述的处理器113用于执行存储器中存储的可执行模块。
其中,存储器111可以是,但不限于,随机存取存储器(Random Access Memory,简称RAM),只读存储器(Read Only Memory,简称ROM),可编程只读存储器(ProgrammableRead-Only Memory,简称PROM),可擦除只读存储器(Erasable Programmable Read-OnlyMemory,简称EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-OnlyMemory,简称EEPROM)等。其中,存储器111用于存储程序,所述处理器113在接收到执行指令后,执行所述程序,本申请实施例任一实施例揭示的过程定义的电子设备100所执行的方法可以应用于处理器113中,或者由处理器113实现。
上述的处理器113可能是一种集成电路芯片,具有信号的处理能力。上述的处理器113可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(digital signalprocessor,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
上述的外设接口114将各种输入/输出装置耦合至处理器113以及存储器111。在一些实施例中,外设接口114,处理器113以及存储控制器112可以在单个芯片中实现。在其他一些实例中,他们可以分别由独立的芯片实现。
上述的输入输出单元115用于提供给用户输入数据。所述输入输出单元115可以是,但不限于,鼠标和键盘等。
上述的显示单元116在电子设备100与用户之间提供一个交互界面(例如用户操作界面)或用于显示图像数据给用户参考。在本实施例中,所述显示单元可以是液晶显示器或触控显示器。若为触控显示器,其可为支持单点和多点触控操作的电容式触控屏或电阻式触控屏等。支持单点和多点触控操作是指触控显示器能感应到来自该触控显示器上一个或多个位置处同时产生的触控操作,并将该感应到的触控操作交由处理器进行计算和处理。
可选地,本实施例中的电子设备100还可以安装有操作系统,示例性地,操作系统可以是Windows、CentOS操作系统等。
可选地,本实施例中的电子设备100还可以安装有一应用程序,用于采集电子设备100的各类状态数据。进一步地,本实施例中的电子设备100还可以安装有内核钩子程序。该内核钩子程序可以工作在Linux的内核层,具体负责:文件、进程、网络连接等部分系统信息的实时采集。
本实施例中的电子设备100可以用于执行本申请实施例提供的各个方法中的各个步骤。下面通过几个实施例详细描述安全性确定方法的实现过程。
实施例二
请参阅图2,是本申请实施例提供的安全性确定方法的流程图。下面将对图2所示的具体流程进行详细阐述。
步骤201,获取目标设备当前的状态数据,所述状态数据包括静态数据和动态数据。
示例性地,静态数据可以包括多项静态影响信息。每一项静态影响信息可以表征计算机的一种状态。例如,静态影响信息可以是系统状态,用于表征系统当前的状态。静态数据可以包括:系统状态、系统漏洞、应用漏洞、补丁安装、注册表、系统配置、应用配置、浏览器插件、安全策略、关键文件、病毒情况、进程、网络连接等静态影响信息。
示例性地,系统状态包括目标设备的操作系统类型与版本、CPU(centralprocessing unit,中文称:中央处理器)占用率、内存占用率、剩余磁盘。
示例性地,系统漏洞包括目标设备的系统软件与CVE(Common Vulnerabilities&Exposures,中文称:公共漏洞和暴露)等漏洞库。可选地,可以通过对系统软件与CVE等漏洞库逐一核查,检查出存在的系统漏洞及对应的漏洞等级等。
示例性地,应用漏洞可以通过检索目标设备的系统安装的应用程序,逐一检查各个应用程序存在的漏洞,例如,Apache应用,包括漏洞等级等。
示例性地,补丁安装可以通过对比官方补丁库与目标设备已安装软件,可以得到未安装的补丁软件。
示例性地,系统配置可以通过逐一检查目标设备的系统账户配置、登录配置、日志配置、网络配置、自启动配置、打印机配置、共享配置等获得。
示例性地,浏览器插件可以通过检查目标设备的系统中安装的浏览器的插件。在一个实例中,目标设备安装的浏览器可以是Firefox浏览器,检查已安装的浏览器插件。
示例性地,安全策略可以包括目标设备的系统所启用的安全策略。
示例性地,关键文件可以通过检查目标设备的系统中的关键文件的属性获得。该关键文件的属性可以包括读写、可执行、属主等属性。
示例性地,病毒情况可以包括更新病毒库。可选地,可以使用反病毒引擎对目标设备的系统进行病毒扫描。可选地,病毒可以包括蠕虫病毒、宏病毒、后门软件等。
示例性地,可以实时获取进程信息。示例性地,可以获取进程执行、子进程执行等进程的信息。示例性地,进程信息可以包括进程名、进程资源占用、进程文件操作、进程网络操作等。
示例性地,可以实时获取网络连接情况,网络连接情况包括网络五元组、进程信息等。
静态数据可以是静态快照数据,该静态快照数据表示目标设备在采集时刻的实时状态信息。示例性地,静态快照数据中的系统漏洞可以包括采集时刻目标设备的漏洞数量,以及各个漏洞的类型等。示例性地,静态快照数据中的注册表可以包括注册表在采集时刻的实时注册信息。
可选地,可以实时地采集目标设备的状态数据。通过实时性采集目标设备的状态数据可以保证了主机安全性变化能够被准确的感知与度量,还可以为准确的识别用户与系统行为,提供了数据源。
上述的动态数据可以包括任何表征用户行为、系统行为的数据。
可选地,静态数据可以包括第一静态数据和第二静态数据。可以通过一应用程序采集目标设备的第一静态数据。示例性地,第一静态数据可以包括系统状态、系统漏洞、应用漏洞、补丁安装、系统配置、应用配置、浏览器插件、安全策略、关键文件、病毒情况、进程、网络连接等。
可选地,通过内核钩子程序采集目标设备的第二静态数据。示例性地,第二静态数据可以包括文件、进程、网络连接等部分系统信息。
可选地,步骤201可以包括:采集目标设备当前的初始静态信息和动态数据;将所述初始静态信息进行预处理,得到所述目标设备当前的静态数据。
可选地,采集目标设备当前的初始静态数据包括:通过一目标应用程序采集第一静态数据;通过一目标内核钩子程序采集第二静态数据。
示例性地,上述的动态数据和初始静态数据的采集可以一起进行。例如,动态数据和静态数据均可以通过目标应用程序和内核钩子程序采集。
可选地,将所述初始静态信息进行预处理,得到所述目标设备当前的静态数据可以被实施为:对所述初始静态信息进行去噪处理、去重处理、归一处理、归并处理中的至少一种处理,得到目标设备当前的静态数据。
可选地,还可以对采集到的初始静态数据进行统计处理,将同一类型的数据进行统计,确定出该类型的数据的总量。示例性地,可以将同一危险等级的漏洞数量进行统计,确定出各个等级的漏洞的数量。
可选地,还可以对采集到的动态数据进行关联处理,将一些可能相关的动作进行关联。示例性地,可以将一进程打开文件、并将该文件链接到外网地址、打开另一文件的三个动作关联,三个关联的动作可以表征正在向外传输文件。
步骤202,根据所述静态数据对所述目标设备进行安全性分析,得到第一分析结果。
可选地,第一分析结果可以根据系统状态、统漏洞、应用漏洞、补丁安装、注册表、系统配置、应用配置、浏览器插件、安全策略、关键文件、病毒情况、进程、网络连接等信息得到。
示例性地,还可以根据计算机的应用类型,对静态数据中的各项数据进行安全性分析。示例性地,上述的计算机的应用类型可以是:Windows桌面计算机、Windows服务器、Linux桌面计算机、Linux服务器、可信计算机、可信服务器、服务器、移动终端设备等。
通过将目标设备的应用类型作为安全分析的基础,对静态数据进行度量评估,针对不同的应用类型的主机,即使安全要素的数据完全相同,但安全度量评估的结果可能是不同的,从而可以适应不同情况下的计算机的安全评估。
可选地,步骤202可以包括:根据所述多项静态影响信息确定出各项静态影响信息的影响分值;根据每一项静态影响信息的影响分值确定出所述目标设备的第一分析结果。
示例性地,第一分析结果可以为采用扣分制确定出的分值。例如,任意一项参数不满足设定标准则可以扣除指定分数。可选地,指定分数可以是一分、两分等,下面以一分为例进行描述。例如,CPU占用率超过第一预设值,则可以扣除一分。再例如,内存占用率超过第二预设值,则可以扣除一分。再例如,剩余磁盘小于第三预设值,则可以扣除一分。再例如,目标设备存在高危的补丁,则可以扣除一分。在一个实例中,第一分析结果可以是百分制中的一分值。
步骤203,根据所述动态数据对所述目标设备进行安全性分析,得到第二分析结果。
可选地,如图3所示,步骤203可以包括以下步骤。
步骤2031,对所述多项动态影响信息进行关联组合,确定出至少一组目标动态信息。
每组目标动态信息中包括至少一项动态影响信息。
示例性地,在执行步骤203之前,还可以对动态数据进行行为识别。该行为识别用于对采集到的动态数据进行用户行为、系统行为的识别,以筛选出进而甄别出对目标设备的安全性有影响的行为。示例性地,对目标设备的安全性有影响的行为包括账号暴力破解行为、敏感文件篡改、用户进程提权、短时间内系统资源占用急剧增加、反弹shell等。
通过对动态数据的识别,对进程、文件、网络等多种要素进行关联分析,将不影响目标设备的安全性的行为进行过滤,降低对系统运行的影响,梳理出对安全性有明确或潜在影响的行为。该部分的主要特点是针对用户或系统行为的实时准确的识别,详尽的掌握主机的动态变化,为动态安全评估打下基础。
步骤2032,将所述至少一组目标动态信息进行安全性分析,得到第二分析结果。
本实施例中,可以结合目标设备的应用类型,对识别出的各种行为进行评估。
在一种实施方式中,步骤2032可以被实施为:使用隐马尔科夫模型对将所述至少一组目标动态信息和所述目标设备的历史行为信息进行安全性分析,得到第二分析结果。
本实施例在对动态数据进行动态安全性识别,以得到第二分析结果时,可以将实时获取的动态数据转换成符合预先构建的隐马尔科夫模型的输入数据的格式。本实施例中所述的隐马尔科夫模型的输入数据可以是动态数据中表征用户或系统行为的数据,具体的可以包括将在当前时间的之前一时间节点至当前时间内进行操作产生的事件操作数据转化成定义设置的标准格式,然后根据数据的产生时间顺序整理成多组用户行为数据,也就是形成多组目标动态信息。
在另一种实施方式中,步骤2032可以被实施为:将所述至少一组目标动态信息与预设的动态安全评估准则进行匹配,确定出各组目标动态信息的安全系数;根据每组目标动态信息的安全系数确定出所述目标设备的第二分析结果。
示例性地,预设的动态安全评估准则可以包括预定义的危险行为、安全行为等。可选地,各个危险行为可以对应一项或多项动态影响信息。示例性地,未被定义为危险行为的动态影响信息组可以被判定为安全行为。
示例性地,第二分析结果也可以为采用扣分制确定的分值。若一目标动态信息对应为危险行为时,该目标动态信息对应的安全系数为扣除指定分数。若一目标动态信息对应为安全行为时,该目标动态信息对应的安全系数为零。可选地,上述的指定分数可以是一分、两分、三分等。可选地,指定分数也可以根据危险行为的等级确定,危险等级越高的危险行为对应的扣除的分数越大。
由于不同类型的电子设备所需要的动态安全评估准则可能不同,因此,可以在步骤2032之前,还可以包括:根据所述目标设备的应用类型确定出预设的动态安全评估准则。
步骤204,将所述第一分析结果与所述第二分析结果进行融合,得到所述目标设备的安全度量结果。
示例性地,第一分析结果和第二分析结果都是一分值,则步骤204可以包括:对所述第一分析结果与所述第二分析结果进行加权求和,确定出所述目标设备的安全度量结果。
可选地,步骤204可以包括:使用第一权重对所述第一分析结果进行加权,得到第一权值;使用第二权重对所述第二分析结果进行加权,得到第二权值;计算所述第一权值和第二权值之和,得到所述目标设备的安全度量结果。
可选地,第一权值大于第二权值。示例性地,第一权值和第二权值之和可以等于一。
为了方便相关人员能够更直观地了解到目标设备的所述方法还包括:通过可视化界面显示所述安全度量结果。
示例性地,可以通过目标设备的显示界面进行显示安全度量结果。
本实施例中,安全度量结果可以是一分值。示例性地,还可以将所有导致扣分的危险数据、危险行为均显示在可视化界面中,以方便相关人员了解目标设备的情况。
进一步地,还可以将上述的安全度量结果保存至本地。
可选地,还可以获取目标设备在指定时间段内的所有安全度量结果,将所有安全度量结果进行汇总,确定出目标设备指定时间段出现的异常情况。
可选地,上述的目标设备可以与一通信账号绑定,当上述的安全度量结果表征目标设备处于危险状态,可以向该通信账号发送通知消息,以通过相关人员了解目标设备的状况。当然,安全度量结果表征目标设备处于安全状态,也可以向该通信账号发送通知消息。
实施例三
基于同一申请构思,本申请实施例中还提供了与安全性确定方法对应的安全性确定装置,由于本申请实施例中的装置解决问题的原理与前述的安全性确定方法实施例相似,因此本实施例中的装置的实施可以参见上述方法的实施例中的描述,重复之处不再赘述。
请参阅图4,是本申请实施例提供的安全性确定装置的功能模块示意图。本实施例中的安全性确定装置中的各个模块用于执行上述方法实施例中的各个步骤。安全性确定装置包括:获取模块301、第一分析模块302、第二分析模块303、融合模块304;其中,
获取模块301,用于获取目标设备当前的状态数据,所述状态数据包括静态数据和动态数据;
第一分析模块302,用于根据所述静态数据对所述目标设备进行安全性分析,得到第一分析结果;
第二分析模块303,用于根据所述动态数据对所述目标设备进行安全性分析,得到第二分析结果;
融合模块304,用于将所述第一分析结果与所述第二分析结果进行融合,得到所述目标设备的安全度量结果。
一种可能的实施方式中,所述第一分析模块302,用于:
根据所述多项静态影响信息确定出各项静态影响信息的影响分值;
根据每一项静态影响信息的影响分值确定出所述目标设备的第一分析结果。
一种可能的实施方式中,所述静态数据包括多项动态影响信息;所述第二分析模块303,包括组合单元和分析单元:
该组合单元,用于对所述多项动态影响信息进行关联组合,确定出至少一组目标动态信息,每组目标动态信息中包括至少一项动态影响信息;
该分析单元,用于将所述至少一组目标动态信息进行安全性分析,得到第二分析结果。
一种可能的实施方式中,所述分析单元,用于:
使用隐马尔科夫模型对将所述至少一组目标动态信息和所述目标设备的历史行为信息进行安全性分析,得到第二分析结果。
一种可能的实施方式中,所述分析单元,用于:
将所述至少一组目标动态信息与预设的动态安全评估准则进行匹配,确定出各组目标动态信息的安全系数;
根据每组目标动态信息的安全系数确定出所述目标设备的第二分析结果。
一种可能的实施方式中,本实施例中的安全性确定装置还包括:确定模块305,用于根据所述目标设备的应用类型确定出预设的动态安全评估准则。
一种可能的实施方式中,融合模块304,用于:
对所述第一分析结果与所述第二分析结果进行加权求和,确定出所述目标设备的安全度量结果。
一种可能的实施方式中,融合模块304,用于:
使用第一权重对所述第一分析结果进行加权,得到第一权值;
使用第二权重对所述第二分析结果进行加权,得到第二权值,所述第一权值大于第二权值;
计算所述第一权值和第二权值之和,得到所述目标设备的安全度量结果。
一种可能的实施方式中,获取模块301,包括采集单元和预处理单元;
采集单元,用于采集目标设备当前的初始静态信息;
预处理单元,还用于将所述初始静态信息进行预处理,得到所述目标设备当前的静态数据;
采集目标设备当前的动态数据,所述静态数据和所述动态数据为所述目标设备当前的状态数据。
一种可能的实施方式中,获取模块301,用于:
通过一目标应用程序采集第一静态数据;
通过一目标内核钩子程序采集第二静态数据。
一种可能的实施方式中,预处理单元,用于:
对所述初始静态信息进行去噪处理、去重处理、归一处理、归并处理中的至少一种处理,得到目标设备当前的静态数据。
一种可能的实施方式中,本实施例的安全性确定装置还可以包括:显示模块306,用于通过可视化界面显示所述安全度量结果。
此外,本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行上述方法实施例中所述的安全性确定方法的步骤。
本申请实施例所提供的安全性确定方法的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行上述方法实施例中所述的安全性确定方法的步骤,具体可参见上述方法实施例,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。

Claims (15)

1.一种安全性确定方法,其特征在于,包括:
获取目标设备当前的状态数据,所述状态数据包括静态数据和动态数据;
根据所述静态数据对所述目标设备进行安全性分析,得到第一分析结果;
根据所述动态数据对所述目标设备进行安全性分析,得到第二分析结果;
将所述第一分析结果与所述第二分析结果进行融合,得到所述目标设备的安全度量结果。
2.根据权利要求1所述的方法,其特征在于,所述静态数据包括多项静态影响信息;所述根据所述静态数据对所述目标设备进行安全性分析,得到第一分析结果的步骤,包括:
根据所述多项静态影响信息确定出各项静态影响信息的影响分值;
根据每一项静态影响信息的影响分值确定出所述目标设备的第一分析结果。
3.根据权利要求1所述的方法,其特征在于,所述静态数据包括多项动态影响信息;所述根据所述动态数据对所述目标设备进行安全性分析,得到第二分析结果的步骤,包括:
对所述多项动态影响信息进行关联组合,确定出至少一组目标动态信息,每组目标动态信息中包括至少一项动态影响信息;
将所述至少一组目标动态信息进行安全性分析,得到第二分析结果。
4.根据权利要求3所述的方法,其特征在于,所述将所述至少一组目标动态信息进行安全性分析,得到第二分析结果的步骤,包括:
使用隐马尔科夫模型对将所述至少一组目标动态信息和所述目标设备的历史行为信息进行安全性分析,得到第二分析结果。
5.根据权利要求3所述的方法,其特征在于,所述将所述至少一组目标动态信息进行安全性分析,得到第二分析结果的步骤,包括:
将所述至少一组目标动态信息与预设的动态安全评估准则进行匹配,确定出各组目标动态信息的安全系数;
根据每组目标动态信息的安全系数确定出所述目标设备的第二分析结果。
6.根据权利要求5所述的方法,其特征在于,所述将所述至少一组目标动态信息与预设的动态安全评估准则进行匹配,确定出各组目标动态信息的安全系数步骤之前,所述方法还包括:
根据所述目标设备的应用类型确定出预设的动态安全评估准则。
7.根据权利要求1所述的方法,其特征在于,所述将所述第一分析结果与所述第二分析结果进行融合,得到所述目标设备的安全度量结果的步骤,包括:
对所述第一分析结果与所述第二分析结果进行加权求和,确定出所述目标设备的安全度量结果。
8.根据权利要求7所述的方法,其特征在于,所述对所述第一分析结果与所述第二分析结果进行加权求和,确定出所述目标设备的安全度量结果的步骤,包括:
使用第一权重对所述第一分析结果进行加权,得到第一权值;
使用第二权重对所述第二分析结果进行加权,得到第二权值,所述第一权值大于第二权值;
计算所述第一权值和第二权值之和,得到所述目标设备的安全度量结果。
9.根据权利要求1-8任意一项所述的方法,其特征在于,所述获取目标设备当前的状态数据的步骤,包括:
采集目标设备当前的初始静态信息;
将所述初始静态信息进行预处理,得到所述目标设备当前的静态数据;
采集目标设备当前的动态数据,所述静态数据和所述动态数据为所述目标设备当前的状态数据。
10.根据权利要求9所述的方法,其特征在于,所述采集目标设备当前的初始静态数据的步骤,包括:
通过一目标应用程序采集第一静态数据;
通过一目标内核钩子程序采集第二静态数据。
11.根据权利要求9所述的方法,其特征在于,将所述初始静态信息进行预处理,得到所述目标设备当前的静态数据的步骤,包括:
对所述初始静态信息进行去噪处理、去重处理、归一处理、归并处理中的至少一种处理,得到目标设备当前的静态数据。
12.根据权利要求1-8任意一项所述的方法,其特征在于,所述方法还包括:
通过可视化界面显示所述安全度量结果。
13.一种安全性确定装置,其特征在于,包括:
获取模块,用于获取目标设备当前的状态数据,所述状态数据包括静态数据和动态数据;
第一分析模块,用于根据所述静态数据对所述目标设备进行安全性分析,得到第一分析结果;
第二分析模块,用于根据所述动态数据对所述目标设备进行安全性分析,得到第二分析结果;
融合模块,用于将所述第一分析结果与所述第二分析结果进行融合,得到所述目标设备的安全度量结果。
14.一种电子设备,其特征在于,包括:处理器、存储器,所述存储器存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述机器可读指令被所述处理器执行时执行如权利要求1至12任一所述的方法的步骤。
15.一种计算机可读存储介质,其特征在于,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如权利要求1至12任一所述的方法的步骤。
CN201911154386.0A 2019-11-21 2019-11-21 安全性确定方法、装置及电子设备 Active CN112825059B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911154386.0A CN112825059B (zh) 2019-11-21 2019-11-21 安全性确定方法、装置及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911154386.0A CN112825059B (zh) 2019-11-21 2019-11-21 安全性确定方法、装置及电子设备

Publications (2)

Publication Number Publication Date
CN112825059A true CN112825059A (zh) 2021-05-21
CN112825059B CN112825059B (zh) 2023-11-28

Family

ID=75907853

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911154386.0A Active CN112825059B (zh) 2019-11-21 2019-11-21 安全性确定方法、装置及电子设备

Country Status (1)

Country Link
CN (1) CN112825059B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20240005255A1 (en) * 2022-06-30 2024-01-04 Dell Products, L.P. Velocity optimizer using machine learning

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101894230A (zh) * 2010-07-14 2010-11-24 国网电力科学研究院 一种基于静态和动态分析技术的主机系统安全评估方法
US20160092337A1 (en) * 2014-09-30 2016-03-31 International Business Machines Corporation Evaluating fairness in devices under test
CN108734010A (zh) * 2017-04-17 2018-11-02 北京京东尚科信息技术有限公司 文件检测的方法、装置
CN109117641A (zh) * 2018-08-15 2019-01-01 北京理工大学 一种基于i-hmm的网络安全风险评估方法
CN109711970A (zh) * 2018-08-17 2019-05-03 深圳壹账通智能科技有限公司 贷款授信平台及其授信方法、授信设备、可读存储介质
CN109800574A (zh) * 2018-12-12 2019-05-24 中国人民公安大学 基于密码算法分析的计算机病毒检测方法及系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101894230A (zh) * 2010-07-14 2010-11-24 国网电力科学研究院 一种基于静态和动态分析技术的主机系统安全评估方法
US20160092337A1 (en) * 2014-09-30 2016-03-31 International Business Machines Corporation Evaluating fairness in devices under test
CN108734010A (zh) * 2017-04-17 2018-11-02 北京京东尚科信息技术有限公司 文件检测的方法、装置
CN109117641A (zh) * 2018-08-15 2019-01-01 北京理工大学 一种基于i-hmm的网络安全风险评估方法
CN109711970A (zh) * 2018-08-17 2019-05-03 深圳壹账通智能科技有限公司 贷款授信平台及其授信方法、授信设备、可读存储介质
CN109800574A (zh) * 2018-12-12 2019-05-24 中国人民公安大学 基于密码算法分析的计算机病毒检测方法及系统

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20240005255A1 (en) * 2022-06-30 2024-01-04 Dell Products, L.P. Velocity optimizer using machine learning

Also Published As

Publication number Publication date
CN112825059B (zh) 2023-11-28

Similar Documents

Publication Publication Date Title
US9832214B2 (en) Method and apparatus for classifying and combining computer attack information
US9262638B2 (en) Hygiene based computer security
US9323928B2 (en) System and method for non-signature based detection of malicious processes
Shar et al. Web application vulnerability prediction using hybrid program analysis and machine learning
US20180293377A1 (en) Suspicious behavior detection system, information-processing device, method, and program
US20100192222A1 (en) Malware detection using multiple classifiers
CN112602081A (zh) 利用警报置信度分配来增强网络安全和操作监控
US20090328209A1 (en) Simplified Communication of a Reputation Score for an Entity
Medeiros et al. Vulnerable code detection using software metrics and machine learning
US9871826B1 (en) Sensor based rules for responding to malicious activity
CN111786974B (zh) 一种网络安全评估方法、装置、计算机设备和存储介质
US9171253B1 (en) Identifying predictive models resistant to concept drift
CN114127720A (zh) 用于多源漏洞管理的系统和方法
US20230328097A1 (en) Method And Apparatus For Measuring Information System Device Integrity And Evaluating Endpoint Posture
CN111222137A (zh) 一种程序分类模型训练方法、程序分类方法及装置
CN112784281A (zh) 一种工业互联网的安全评估方法、装置、设备及存储介质
Lin et al. A longitudinal study of removed apps in ios app store
JP6407184B2 (ja) 攻撃対策判定システム、攻撃対策判定方法及び攻撃対策判定プログラム
US9171171B1 (en) Generating a heat map to identify vulnerable data users within an organization
CN112825059B (zh) 安全性确定方法、装置及电子设备
CN108683662B (zh) 单台在网设备风险评估方法及系统
US20180157828A1 (en) Hypervisor enforcement of cryptographic policy
Ugarte-Pedrero et al. On the adoption of anomaly detection for packed executable filtering
Lin Demystifying removed apps in ios app store
KR101725450B1 (ko) 웹 페이지에 안전성을 제공하기 위한 평판관리 시스템 및 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant