CN113225358A - 网络安全风险评估系统 - Google Patents

网络安全风险评估系统 Download PDF

Info

Publication number
CN113225358A
CN113225358A CN202110778179.3A CN202110778179A CN113225358A CN 113225358 A CN113225358 A CN 113225358A CN 202110778179 A CN202110778179 A CN 202110778179A CN 113225358 A CN113225358 A CN 113225358A
Authority
CN
China
Prior art keywords
evaluation
module
risk assessment
risk
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110778179.3A
Other languages
English (en)
Other versions
CN113225358B (zh
Inventor
陈文�
王宇飞
黄登
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan gehou Technology Co.,Ltd.
Original Assignee
Sichuan University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan University filed Critical Sichuan University
Priority to CN202110778179.3A priority Critical patent/CN113225358B/zh
Publication of CN113225358A publication Critical patent/CN113225358A/zh
Application granted granted Critical
Publication of CN113225358B publication Critical patent/CN113225358B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2411Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on the proximity to a decision surface, e.g. support vector machines

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Algebra (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种网络安全风险评估系统,包括采用C/S架构的服务器端和客户端,以及安装在评估目标系统的代理端,所述服务器端包括:评估引擎服务模块,漏洞库,历史评估记录,融合评估模块,身份验证模块;所述客户端,包括:登陆模块,扫描配置模块,反馈处理模块,评估结果库,所述评估目标系统的代理端包括:信息收集模块,机器学习模块,机器学习更新模块,异常检测模块,资产扫描模块;本发明对网络安全风险的评估更全面和客观。

Description

网络安全风险评估系统
技术领域
本发明涉及网络安全技术领域,特别是一种网络安全风险评估系统。
背景技术
当前,各类已知和未知网络攻击已经严重威胁网络信息系统安全。在严峻的网络安全形势下,没有意识到风险便是最大的风险。需要对自己遭受的网络威胁情况、自身网络到底处于一种什么样的安全状况进行评估。通过网络安全评估,对系统当前面临的安全威胁状况进行分析,从而为进一步制定有针对性的防御提供依据,是目前网络安全领域研究的重要问题。
如何对当前的网络安全风险进行全面、准确的评估传统的网络安全风险评估技术的研究主要采用系统脆弱性分析、日志分析、事件统计分析等技术对网络中收集的攻击警报、审记日志、漏洞匹配、防病毒查杀结果、NetFlow流量检测等进行融合分析,最后通过给定的评分指标体系或评分算法对网络安全风险给出评分。
需要指出的是,上述方法虽然能从一定程度反映出系统面临的网络安全风险状况,但存在以下不足:
1)传统的网络安全风险评估系统依赖于已知漏洞,病毒特征码,攻击流量特征等先验知识对目标系统安全风险进行评估,在先验知识缺乏的情况下,难以对系统潜在的安全风险进行评估;2)传统的风险评估过程仅针对待评估的目标系统当前自身存在的脆弱性漏洞,资产权重,日志警报分析,病毒扫描结果等指标依据预定的打分标准进行打分并融合出最终的分值,忽略了邻近网络节点的安全风险对目标系统的影响,以及目标系统历史评估过程中发现的漏洞、警报,检测出的病毒,木马等威胁对当前系统状态的影响,造成评估结果存在片面性;3)传统的风险评估模型缺乏自学习,自适应能力,采用统一、固定的检测模型对所有目标系统进行风险评估,难以根据系统自身的网络环境和资产变化情况动态进行调节,缺乏自学习,自适应能力。
发明内容
为解决现有技术中存在的问题,本发明的目的是提供一种网络安全风险评估系统,本发明对网络安全风险的评估更全面和客观。
为实现上述目的,本发明采用的技术方案是:一种网络安全风险评估系统,包括采用C/S架构的服务器端和客户端,以及安装在评估目标系统的代理端,其中:
所述服务器端包括:
评估引擎服务模块,用于接受客户端的请求,执行扫描任务,并根据代理端返回的结果,启动融合评估模块,评估目标系统的安全风险;
漏洞库,用于存储已知漏洞数据;
历史评估记录,用于存储评估历史记录数据;
融合评估模块:根据漏洞评估结果、病毒查杀结果、日志告警分析结果、评估目标系统代理端返回的异常检测结果、以及网络资产评估结果,融合生成网络安全风险评估报告,最后根据网络安全风险评估报告把风险评估结果传送给客户端,所述的风险评估结果包括首轮的基本风险评估
Figure 600081DEST_PATH_IMAGE001
、次轮的历史相关风险评估
Figure 345184DEST_PATH_IMAGE002
以及末轮的邻接风险评估
Figure 47560DEST_PATH_IMAGE003
身份验证模块,用于对客户端的登陆身份,密码进行验证;
所述客户端,包括:
登陆模块,用于向服务器端发送用户名和密码,并请求登陆,登陆验证通过后,跳转到扫描配置模块,准备向服务器端发送扫描配置信息和参数;
扫描配置模块,用于用户录入评估配置信息和参数,历史风险评估结果,并发送给服务器端;
反馈处理模块,用于对风险评估结果信息进行反馈,供服务器端进行修正;
评估结果库,用于存储历次从服务器端返回的评估目标系统网络安全的风险评估结果,即基本风险评估
Figure 878113DEST_PATH_IMAGE001
、历史相关风险评估
Figure 792979DEST_PATH_IMAGE002
和邻接风险评估
Figure 658167DEST_PATH_IMAGE003
所述评估目标系统的代理端包括:
信息收集模块,用于在机器学习模型的训练阶段,收集评估目标系统的正常样本,提取样本特征,生成训练集合,供机器学习模型训练,并对机器学习模型进行迭代更新;
机器学习模块,用于基于正常样本构成的训练集合,训练特征识别模型;
机器学习更新模块,用于利用网络安全的风险评估结果为低风险的检测周期内,由信息收集模块收集的样本,以及客户端的反馈信息,对机器学习模块进行更新训练;
异常检测模块,用于对上一检测周期至今由信息收集模块采集到的样本进行分类,形成异常检测报告;
资产扫描模块,用于对所在的评估目标系统软硬件资产配置信息进行扫描。
作为本发明的进一步改进,设漏洞风险为
Figure 531445DEST_PATH_IMAGE004
,病毒/木马风险为
Figure 849294DEST_PATH_IMAGE005
,日志告警风险为
Figure 833431DEST_PATH_IMAGE006
,网络资产敏感行为风险为
Figure 553125DEST_PATH_IMAGE007
,目标系统代理端机器学习模型返回的异常检测结果为
Figure 597304DEST_PATH_IMAGE008
,所述基本风险评估
Figure 399520DEST_PATH_IMAGE001
的评估方法如下:
Figure 187347DEST_PATH_IMAGE009
其中:
Figure 761548DEST_PATH_IMAGE010
Figure 976629DEST_PATH_IMAGE011
对应的权重,
Figure 3491DEST_PATH_IMAGE012
Figure 595009DEST_PATH_IMAGE013
时,
Figure 23716DEST_PATH_IMAGE014
代表漏洞的种类,
Figure 409698DEST_PATH_IMAGE015
代表匹配到第
Figure 189435DEST_PATH_IMAGE016
类漏洞的数量,
Figure 319065DEST_PATH_IMAGE017
为第
Figure 602279DEST_PATH_IMAGE016
类漏洞的威胁程度;
Figure 424742DEST_PATH_IMAGE018
时,
Figure 426196DEST_PATH_IMAGE014
代表病毒/木马的种类,
Figure 93937DEST_PATH_IMAGE015
代表匹配到第
Figure 497237DEST_PATH_IMAGE016
类病毒/木马的数量,
Figure 490601DEST_PATH_IMAGE017
为第
Figure 713772DEST_PATH_IMAGE016
类病毒/木马的威胁程度;
Figure 450783DEST_PATH_IMAGE019
时,
Figure 708589DEST_PATH_IMAGE014
代表日志告警警报的种类,
Figure 607275DEST_PATH_IMAGE015
代表匹配到第
Figure 583322DEST_PATH_IMAGE016
类警报的数量,
Figure 858445DEST_PATH_IMAGE017
为第
Figure 970758DEST_PATH_IMAGE016
类警报的威胁程度;
Figure 305924DEST_PATH_IMAGE020
时,
Figure 503687DEST_PATH_IMAGE014
代表网络资产敏感行为的种类,
Figure 582502DEST_PATH_IMAGE015
代表匹配到第
Figure 814900DEST_PATH_IMAGE016
类网络资产敏感行为的数量,
Figure 55388DEST_PATH_IMAGE017
为第
Figure 6027DEST_PATH_IMAGE016
类网络资产敏感行为的威胁程度;
Figure 622953DEST_PATH_IMAGE021
时,
Figure 709858DEST_PATH_IMAGE014
代表异常检测的种类,
Figure 121247DEST_PATH_IMAGE015
代表匹配到第
Figure 290673DEST_PATH_IMAGE016
类异常检测的数量,
Figure 711290DEST_PATH_IMAGE017
为第
Figure 652701DEST_PATH_IMAGE016
类异常检测的指标偏离正常范围的程度。
作为本发明的进一步改进,所述历史相关风险评估
Figure 500572DEST_PATH_IMAGE002
的评估方法如下:
分别统计过去n次评估过程中
Figure 160223DEST_PATH_IMAGE022
之和,即:
历史漏洞扫描风险之和
Figure 118952DEST_PATH_IMAGE023
,其中
Figure 914869DEST_PATH_IMAGE024
表示第
Figure 199220DEST_PATH_IMAGE025
次评估过程中的漏洞扫描风险;
历史病毒/木马风险之和
Figure 815009DEST_PATH_IMAGE026
,其中
Figure 843008DEST_PATH_IMAGE027
表示第
Figure 759012DEST_PATH_IMAGE025
次评估过程中的病毒/木马风险;
历史日志告警风险之和
Figure 683105DEST_PATH_IMAGE028
,其中
Figure 317349DEST_PATH_IMAGE029
表示第
Figure 617880DEST_PATH_IMAGE025
次评估过程中的日志告警风险;
历史网络资产敏感行为之和
Figure 388390DEST_PATH_IMAGE030
,其中
Figure 748964DEST_PATH_IMAGE031
表示第
Figure 604925DEST_PATH_IMAGE025
次评估过程中的网络资产敏感行为;
Figure 709147DEST_PATH_IMAGE032
分别为历史漏洞扫描风险之和
Figure 599743DEST_PATH_IMAGE033
、病毒/木马风险之和
Figure 131218DEST_PATH_IMAGE034
、日志告警风险之和
Figure 474475DEST_PATH_IMAGE035
、以及网络资产敏感行为之和
Figure 116809DEST_PATH_IMAGE036
与当前异常检测结果
Figure 596332DEST_PATH_IMAGE037
的系统异常程度之间的影响权重,则:
Figure 298709DEST_PATH_IMAGE038
作为本发明的进一步改进,所述邻接风险评估
Figure 129261DEST_PATH_IMAGE003
包括邻接基本风险评估
Figure 575286DEST_PATH_IMAGE039
和邻接历史相关风险评估
Figure 440474DEST_PATH_IMAGE040
,所述邻接基本风险评估
Figure 313752DEST_PATH_IMAGE039
和邻接历史相关风险评估
Figure 366022DEST_PATH_IMAGE040
的评估方法如下:
设评估目标系统网络邻域内的
Figure 615737DEST_PATH_IMAGE041
个相邻系统
Figure 355940DEST_PATH_IMAGE042
,
Figure 400119DEST_PATH_IMAGE043
,……,
Figure 939685DEST_PATH_IMAGE044
,……,
Figure 727512DEST_PATH_IMAGE045
的基本风险评估
Figure 301713DEST_PATH_IMAGE001
风险分别为
Figure 516794DEST_PATH_IMAGE046
Figure 809235DEST_PATH_IMAGE047
,……,
Figure 135174DEST_PATH_IMAGE048
,……,
Figure 829460DEST_PATH_IMAGE049
,历史相关风险评估
Figure 215442DEST_PATH_IMAGE002
风险分别为
Figure 729600DEST_PATH_IMAGE050
Figure 593651DEST_PATH_IMAGE051
,……,
Figure 142444DEST_PATH_IMAGE052
,……,
Figure 699327DEST_PATH_IMAGE053
,且
Figure 700781DEST_PATH_IMAGE042
,
Figure 634102DEST_PATH_IMAGE043
,……,
Figure 37402DEST_PATH_IMAGE044
,……,
Figure 765186DEST_PATH_IMAGE045
在检测周期内与目标系统的连接数量为
Figure 253937DEST_PATH_IMAGE054
,
Figure 990948DEST_PATH_IMAGE055
,……,
Figure 248754DEST_PATH_IMAGE056
,……,
Figure 147440DEST_PATH_IMAGE057
,则:
邻接基本风险评估
Figure 123487DEST_PATH_IMAGE058
邻接历史相关风险评估
Figure 398610DEST_PATH_IMAGE059
作为本发明的进一步改进,在服务器端中,所述评估引擎服务模块分别与漏洞库,病毒库,日志记录库,评估历史记录的存储区相连接,具体地,所述评估引擎服务模块根据客户端的请求对目标网络进行漏洞扫描探测,记录漏洞匹配检测结果;病毒查杀,记录病毒查杀结果;以及日志告警分析,记录告警查询结果。
作为本发明的进一步改进,在服务器端中,所述已知漏洞数据的来源包括漏洞挖掘,或通过第三方公开库筛选进行建立,所述第三方公开库包括CVE、CNNVD、CNVD、NVD、CERT、BSRC、TSRC。
作为本发明的进一步改进,所述扫描配置模块中,录入的评估配置信息和参数包括:评估目标系统的网络拓扑结构、网络类型、带宽、运行时段、IP地址和网段,防火墙与杀毒软件安装情况,网络的逻辑划分、资产权重,以及历史风险评估结果,以便于操作人员在服务器端进行评估准备。
作为本发明的进一步改进,所述机器学习模块中,训练特征识别模型所采用的机器学习算法包括单分类支持向量机one-class SVM、人工免疫检测器或支持向量聚类算法SVDD。
作为本发明的进一步改进,在资产扫描模块中,对评估目标系统软硬件资产配置信息进行扫描具体包括:防护软件安装情况、系统漏洞补丁安装情况或端口打开情况。
本发明的有益效果是:
1、引入了基于机器学习的异常检测模块,将异常检测结果融入到网络安全风险评估结果中,异常检测模型只需要计算系统特征与机器学习模型刻画的系统正常轮廓特征的偏离程度就可以发现系统异常及与之相关的潜在风险,该过程无需关于攻击的先验知识,使风险评估具备了对未知安全风险的评估能力。
2、每次风险评估包括三轮评估过程:将评估目标系统过去一段时间检测出的风险情况“历史相关风险评估
Figure 510923DEST_PATH_IMAGE002
”、目标系统的邻接系统安全风险邻接风险评估
Figure 846089DEST_PATH_IMAGE003
”,以及当前“基本风险评估
Figure 43852DEST_PATH_IMAGE001
”相结合,形成最终的评估结果,由于同时考虑了风险的时间延续性,邻域的空间关联影响,本发明的网络安全风险评估结果较传统的风险评估方法更全面,客观。
3、本发明中的机器学习模型与风险评估结果相结合,一方面机学习模型对系统状态的异常检测结果作为风险评估模型的输入,另一方面,风险评估为低风险周期内收集的样本结合客户端的评估反馈用于对机器学习模型进行动态更新,实现了机器学习模型的自适应性和自学习,模型能够随着网络环境的变更而动态更新,以保持风险评估系统的准确性,解决了传统风险评估模型缺乏自学习、自适应能力的问题。
附图说明
图1为本发明实施例的系统模块框图。
具体实施方式
下面结合附图对本发明的实施例进行详细说明。
如图1所示,一种网络安全风险评估系统,包括采用C/S架构的服务器端和客户端,以及安装在评估目标系统的代理端。
本实施例中,服务器端包含漏洞评估引擎服务模块,漏洞库,历史评估记录,身份验证模块,以及融合评估模块。
1、服务器端包含评估引擎服务模块,监听来接受客户端的请求,根据请求包含的参数:检测的目标系统地址、网络配置情况,客户端权限等向代理端发送启动扫描指令执行扫描任务,并根据代理端返回的结果,启动评估模块,评估目标网络系统风险;
2、漏洞库,存储已知漏洞数据,漏洞信息来源可通过漏洞挖掘,以及第三方公开库筛选进行建立,可用的第三方来源包括:CVE、CNNVD、CNVD、NVD、CERT、BSRC、TSRC等;
3、历史评估记录,用来存储评估历史记录数据;
4、融合评估模块:根据漏洞评估结果,病毒和木马查杀结果,日志告警分析结果,目标系统代理端返回的异常检测结果,以及网络资产评估结果,融合生成网络安全风险评估报告,最后把评估结果传送给客户端;
融合评估模块对评估目标系统的网络安全风险的每次评估过程包括三轮评估:首轮“基本风险评估
Figure DEST_PATH_IMAGE061
”、次轮“历史相关风险评估
Figure DEST_PATH_IMAGE063
”、末轮“邻接风险评估
Figure DEST_PATH_IMAGE065
”,通过三轮评估过程对待评测的目标网络安全风险进行全面、客观的评估。
三轮评估中的首轮“基本风险评估
Figure 325929DEST_PATH_IMAGE061
”的过程如下:
设漏洞风险为
Figure DEST_PATH_IMAGE067
,病毒/木马风险为
Figure DEST_PATH_IMAGE069
,日志告警风险为
Figure DEST_PATH_IMAGE071
,网络资产敏感行为风险为
Figure DEST_PATH_IMAGE073
,目标系统代理端机器学习模型返回的异常检测结果为
Figure DEST_PATH_IMAGE075
,所述基本风险评估
Figure 961922DEST_PATH_IMAGE061
的评估方法如下:
Figure DEST_PATH_IMAGE077
其中:
Figure DEST_PATH_IMAGE079
Figure DEST_PATH_IMAGE081
对应的权重,
Figure DEST_PATH_IMAGE083
Figure DEST_PATH_IMAGE085
时,
Figure DEST_PATH_IMAGE087
代表漏洞的种类,
Figure DEST_PATH_IMAGE089
代表匹配到第
Figure DEST_PATH_IMAGE091
类漏洞的数量,
Figure DEST_PATH_IMAGE093
为第
Figure 77777DEST_PATH_IMAGE091
类漏洞的威胁程度;
Figure DEST_PATH_IMAGE095
时,
Figure 497257DEST_PATH_IMAGE087
代表病毒/木马的种类,
Figure 848604DEST_PATH_IMAGE089
代表匹配到第
Figure 935508DEST_PATH_IMAGE091
类病毒/木马的数量,
Figure 878057DEST_PATH_IMAGE093
为第
Figure 784833DEST_PATH_IMAGE091
类病毒/木马的威胁程度;
Figure DEST_PATH_IMAGE097
时,
Figure 939871DEST_PATH_IMAGE087
代表日志告警警报的种类,
Figure 881282DEST_PATH_IMAGE089
代表匹配到第
Figure 729152DEST_PATH_IMAGE091
类警报的数量,
Figure 388804DEST_PATH_IMAGE093
为第
Figure 347532DEST_PATH_IMAGE091
类警报的威胁程度;
Figure DEST_PATH_IMAGE099
时,
Figure 143450DEST_PATH_IMAGE087
代表网络资产敏感行为的种类,
Figure 896642DEST_PATH_IMAGE089
代表匹配到第
Figure 40660DEST_PATH_IMAGE091
类网络资产敏感行为的数量,
Figure 803080DEST_PATH_IMAGE093
为第
Figure 719083DEST_PATH_IMAGE091
类网络资产敏感行为的威胁程度;
Figure DEST_PATH_IMAGE101
时,
Figure 643177DEST_PATH_IMAGE087
代表异常检测的种类,
Figure 11841DEST_PATH_IMAGE089
代表匹配到第
Figure 312373DEST_PATH_IMAGE091
类异常检测的数量,
Figure 348462DEST_PATH_IMAGE093
为第
Figure 709036DEST_PATH_IMAGE091
类异常检测的指标偏离正常范围的程度。
三轮评估中的次轮“历史相关风险评估
Figure 564997DEST_PATH_IMAGE063
”的过程如下:
根据网络攻击对网络系统造成的状态异常之间的延时特性:评估目标系统检测到的漏洞、病毒/木马警报、敏感资产行为等之后到系统出现状态异常之间通常有一段安全时延。本轮评估过程关联最近一段时间内的
Figure 669219DEST_PATH_IMAGE061
历史评估结果与当前评估过程中的系统异常
Figure DEST_PATH_IMAGE103
,进行“历史相关风险评估
Figure 294235DEST_PATH_IMAGE063
”评估:
分别统计过去n次评估过程中
Figure DEST_PATH_IMAGE105
之和,即:
历史漏洞扫描风险之和
Figure DEST_PATH_IMAGE107
,其中
Figure DEST_PATH_IMAGE109
表示第
Figure DEST_PATH_IMAGE111
次评估过程中的漏洞扫描风险;
历史病毒/木马风险之和
Figure DEST_PATH_IMAGE113
,其中
Figure DEST_PATH_IMAGE115
表示第
Figure 232235DEST_PATH_IMAGE111
次评估过程中的病毒/木马风险;
历史日志告警风险之和
Figure DEST_PATH_IMAGE117
,其中
Figure DEST_PATH_IMAGE119
表示第
Figure 778754DEST_PATH_IMAGE111
次评估过程中的日志告警风险;
历史网络资产敏感行为之和
Figure DEST_PATH_IMAGE121
,其中
Figure DEST_PATH_IMAGE123
表示第
Figure 889930DEST_PATH_IMAGE111
次评估过程中的网络资产敏感行为;
Figure DEST_PATH_IMAGE125
历史评估经验权重如上表所示,表中列出的
Figure DEST_PATH_IMAGE127
分别为历史漏洞扫描风险之和
Figure DEST_PATH_IMAGE129
、病毒/木马风险之和
Figure DEST_PATH_IMAGE131
、日志告警风险之和
Figure DEST_PATH_IMAGE133
、以及网络资产敏感行为之和
Figure DEST_PATH_IMAGE135
与当前异常检测结果
Figure 38627DEST_PATH_IMAGE103
的系统异常程度之间的影响权重,通常
Figure DEST_PATH_IMAGE137
Figure DEST_PATH_IMAGE139
Figure DEST_PATH_IMAGE141
Figure DEST_PATH_IMAGE143
,且
Figure DEST_PATH_IMAGE145
,则:
Figure DEST_PATH_IMAGE147
三轮评估中的末轮“邻接风险评估
Figure 147528DEST_PATH_IMAGE065
”的过程如下:
根据网络系统之间的连通性,对目标系统的邻接风险进行评估,其基本原理为,若与目标系统广泛相连接的邻域网络系统风险较高,则目标系统的潜在风险也应该比较高。
设评估目标系统网络邻域内的
Figure DEST_PATH_IMAGE149
个相邻系统
Figure DEST_PATH_IMAGE151
,
Figure DEST_PATH_IMAGE153
,……,
Figure DEST_PATH_IMAGE155
,……,
Figure DEST_PATH_IMAGE157
的基本风险评估
Figure 650185DEST_PATH_IMAGE061
风险分别为
Figure DEST_PATH_IMAGE159
Figure DEST_PATH_IMAGE161
,……,
Figure DEST_PATH_IMAGE163
,……,
Figure DEST_PATH_IMAGE165
,历史相关风险评估
Figure 33893DEST_PATH_IMAGE063
风险分别为
Figure DEST_PATH_IMAGE167
Figure DEST_PATH_IMAGE169
,……,
Figure DEST_PATH_IMAGE171
,……,
Figure DEST_PATH_IMAGE173
,且
Figure 305605DEST_PATH_IMAGE151
,
Figure 178883DEST_PATH_IMAGE153
,……,
Figure 496732DEST_PATH_IMAGE155
,……,
Figure 746448DEST_PATH_IMAGE157
在检测周期内与目标系统的连接数量为
Figure DEST_PATH_IMAGE175
,
Figure DEST_PATH_IMAGE177
,……,
Figure DEST_PATH_IMAGE179
,……,
Figure DEST_PATH_IMAGE181
,则:
邻接基本风险评估
Figure DEST_PATH_IMAGE183
邻接历史相关风险评估
Figure DEST_PATH_IMAGE185
网络邻域的定义可以根据具体的网络配置,选择为同一网段内的网络系统,或属于同一部门,或局域网内的机器。
5、身份验证模块,对客户端发送到服务器端的登陆身份,密码进行验证。
本实施例中,客户端包含登陆模块、扫描配置模块、反馈处理模块、评估结果库。
1、登陆模块,向服务器端发送用户名,密码,请求登陆,登陆验证通过后,跳转到扫描配置模块,准备向服务器端发送扫描配置信息和参数;
2、扫描配置模块,用户录入评估配置信息和参数,并发送给服务器端,录入的评估配置信息和参数包括:目标系统的网络拓扑结构、网络类型、带宽、运行时段、IP地址和网段,防火墙与杀毒软件安装情况,网络的逻辑划分、资产权重,以及历史风险评估结果以便于操作人员在服务器端进行评估准备;
3、反馈处理模块,对评估结果信息进行反馈,包括对错误的风险判断,异常误报等,便于评估算法调整,以及基于机器学习的异常检测模型动态更新;
4、评估结果库,存储历次从服务器端返回的目标系统网络安全评估结果,包括;基本风险评估
Figure 604158DEST_PATH_IMAGE061
、历史相关风险评估
Figure 648337DEST_PATH_IMAGE063
、邻接风险评估
Figure 453482DEST_PATH_IMAGE065
结果。
本实施例中,评估目标系统的代理端包括:信息收集模块、机器学习模块、机器学习更新模块、异常检测模块、资产扫描模块。
1、信息收集模块,在机器学习模型的训练阶段,收集目标系统的正常样本,提取样本特征,包括:网络流量特征、系统行为特征、系统状态特征、用户操作特征,生成训练集合,供机器学习模型训练;此外,信息收集模块在两次风险评估之间继续收集网络样本,用于对机器学习模型进行迭代更新。
2、机器学习模块,用于对目标系统的状态进行异常检测,该模块首先基于历史收集的正常样本构成的训练集合,训练特征识别模型,可采用的机器学习算法有单分类支持向量机one-class SVM,人工免疫检测器,支持向量聚类算法SVDD等,以刻画正常特征轮廓。
3、机器学习更新模块,利用网络安全风险评估结果为低风险的检测周期内,由信息收集模块收集的样本,以及客户端针对上一次检测的检测反馈信息,对机器学习模块进行更新训练。
4、异常检测模块,将上一检测周期至今由信息收集模块采集到的样本输入训练好的机器学习模型进行分类,模型比较新收集到的样本与正常特征轮廓之间的偏程度,若样本的累积偏离程度超过阈值,则检测结果为系统出现状态异常,否则结果为系统状态正常,并返回异常检测报告。
5、资产扫描模块,对所在的目标系统软硬件资产配置信息进行扫描,包括防护软件安装情况,漏洞补丁安装情况,端口打开情况,网络流量统计结果。
以上所述实施例仅表达了本发明的具体实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。

Claims (9)

1.一种网络安全风险评估系统,其特征在于,包括采用C/S架构的服务器端和客户端,以及安装在评估目标系统的代理端,其中:
所述服务器端包括:
评估引擎服务模块,用于接受客户端的请求,执行扫描任务,并根据代理端返回的结果,启动融合评估模块,评估目标系统的安全风险;
漏洞库,用于存储已知漏洞数据;
历史评估记录,用于存储评估历史记录数据;
融合评估模块:根据漏洞评估结果、病毒查杀结果、日志告警分析结果、评估目标系统代理端返回的异常检测结果、以及网络资产评估结果,融合生成网络安全风险评估报告,最后根据网络安全风险评估报告把风险评估结果传送给客户端,所述的风险评估结果包括首轮的基本风险评估
Figure DEST_PATH_IMAGE001
、次轮的历史相关风险评估
Figure 622369DEST_PATH_IMAGE002
以及末轮的邻接风险评估
Figure DEST_PATH_IMAGE003
身份验证模块,用于对客户端的登陆身份,密码进行验证;
所述客户端,包括:
登陆模块,用于向服务器端发送用户名和密码,并请求登陆,登陆验证通过后,跳转到扫描配置模块,准备向服务器端发送扫描配置信息和参数;
扫描配置模块,用于用户录入评估配置信息和参数,历史风险评估结果,并发送给服务器端;
反馈处理模块,用于对风险评估结果信息进行反馈,供服务器端进行修正;
评估结果库,用于存储历次从服务器端返回的评估目标系统网络安全的风险评估结果,即基本风险评估
Figure 60304DEST_PATH_IMAGE001
、历史相关风险评估
Figure 480921DEST_PATH_IMAGE002
和邻接风险评估
Figure 891173DEST_PATH_IMAGE003
所述安装在评估目标系统的代理端包括:
信息收集模块,用于在机器学习模型的训练阶段,收集评估目标系统的正常样本,提取样本特征,生成训练集合,供机器学习模型训练,并对机器学习模型进行迭代更新;
机器学习模块,用于基于正常样本构成的训练集合,训练特征识别模型;
机器学习更新模块,用于利用网络安全的风险评估结果为低风险的检测周期内,由信息收集模块收集的样本,以及客户端的反馈信息,对机器学习模块进行更新训练;
异常检测模块,用于对上一检测周期至今由信息收集模块采集到的样本进行分类,形成异常检测报告;
资产扫描模块,用于对所在的评估目标系统软硬件资产配置信息进行扫描。
2.根据权利要求1所述的网络安全风险评估系统,其特征在于,设漏洞风险为
Figure 4623DEST_PATH_IMAGE004
,病毒/木马风险为
Figure DEST_PATH_IMAGE005
,日志告警风险为
Figure 116804DEST_PATH_IMAGE006
,网络资产敏感行为风险为
Figure DEST_PATH_IMAGE007
,目标系统代理端机器学习模型返回的异常检测结果为
Figure 809954DEST_PATH_IMAGE008
,所述基本风险评估
Figure 605871DEST_PATH_IMAGE001
的评估方法如下:
Figure DEST_PATH_IMAGE009
其中:
Figure 359064DEST_PATH_IMAGE010
Figure DEST_PATH_IMAGE011
对应的权重,
Figure 771591DEST_PATH_IMAGE012
Figure DEST_PATH_IMAGE013
时,
Figure DEST_PATH_IMAGE015
代表漏洞的种类,
Figure 720961DEST_PATH_IMAGE016
代表匹配到第
Figure DEST_PATH_IMAGE017
类漏洞的数量,
Figure 371385DEST_PATH_IMAGE018
为第
Figure 295479DEST_PATH_IMAGE017
类漏洞的威胁程度;
Figure DEST_PATH_IMAGE019
时,
Figure 664143DEST_PATH_IMAGE015
代表病毒/木马的种类,
Figure 230254DEST_PATH_IMAGE016
代表匹配到第
Figure 531922DEST_PATH_IMAGE017
类病毒/木马的数量,
Figure 892496DEST_PATH_IMAGE018
为第
Figure 732145DEST_PATH_IMAGE017
类病毒/木马的威胁程度;
Figure 101947DEST_PATH_IMAGE020
时,
Figure 992542DEST_PATH_IMAGE015
代表日志告警警报的种类,
Figure 789597DEST_PATH_IMAGE016
代表匹配到第
Figure 70537DEST_PATH_IMAGE017
类警报的数量,
Figure 230647DEST_PATH_IMAGE018
为第
Figure 975749DEST_PATH_IMAGE017
类警报的威胁程度;
Figure DEST_PATH_IMAGE021
时,
Figure 412547DEST_PATH_IMAGE015
代表网络资产敏感行为的种类,
Figure 508679DEST_PATH_IMAGE016
代表匹配到第
Figure 220283DEST_PATH_IMAGE017
类网络资产敏感行为的数量,
Figure 85471DEST_PATH_IMAGE018
为第
Figure 224328DEST_PATH_IMAGE017
类网络资产敏感行为的威胁程度;
Figure 729127DEST_PATH_IMAGE022
时,
Figure 713264DEST_PATH_IMAGE015
代表异常检测的种类,
Figure 432958DEST_PATH_IMAGE016
代表匹配到第
Figure 477138DEST_PATH_IMAGE017
类异常检测的数量,
Figure 282283DEST_PATH_IMAGE018
为第
Figure 70110DEST_PATH_IMAGE017
类异常检测的指标偏离正常范围的程度。
3.根据权利要求2所述的网络安全风险评估系统,其特征在于,所述历史相关风险评估
Figure 644311DEST_PATH_IMAGE024
的评估方法如下:
分别统计过去n次评估过程中
Figure 859392DEST_PATH_IMAGE026
之和,即:
历史漏洞扫描风险之和
Figure 135521DEST_PATH_IMAGE028
,其中
Figure 727039DEST_PATH_IMAGE030
表示第
Figure 155747DEST_PATH_IMAGE032
次评估过程中的漏洞扫描风险;
历史病毒/木马风险之和
Figure 541729DEST_PATH_IMAGE034
,其中
Figure 321466DEST_PATH_IMAGE036
表示第
Figure 451096DEST_PATH_IMAGE032
次评估过程中的病毒/木马风险;
历史日志告警风险之和
Figure 734310DEST_PATH_IMAGE038
,其中
Figure 556772DEST_PATH_IMAGE040
表示第
Figure 807494DEST_PATH_IMAGE032
次评估过程中的日志告警风险;
历史网络资产敏感行为之和
Figure 740815DEST_PATH_IMAGE042
,其中
Figure DEST_PATH_IMAGE044
表示第
Figure 612956DEST_PATH_IMAGE032
次评估过程中的网络资产敏感行为;
Figure DEST_PATH_IMAGE046
分别为历史漏洞扫描风险之和
Figure DEST_PATH_IMAGE048
、病毒/木马风险之和
Figure DEST_PATH_IMAGE050
、日志告警风险之和
Figure DEST_PATH_IMAGE052
、以及网络资产敏感行为之和
Figure DEST_PATH_IMAGE054
与当前异常检测结果
Figure DEST_PATH_IMAGE056
的系统异常程度之间的影响权重,则:
Figure DEST_PATH_IMAGE058
4.根据权利要求3所述的网络安全风险评估系统,其特征在于,所述邻接风险评估
Figure DEST_PATH_IMAGE060
包括邻接基本风险评估
Figure DEST_PATH_IMAGE062
和邻接历史相关风险评估
Figure DEST_PATH_IMAGE064
,所述邻接基本风险评估
Figure 214443DEST_PATH_IMAGE062
和邻接历史相关风险评估
Figure 703193DEST_PATH_IMAGE064
的评估方法如下:
设评估目标系统网络邻域内的
Figure DEST_PATH_IMAGE066
个相邻系统
Figure DEST_PATH_IMAGE068
,
Figure DEST_PATH_IMAGE070
,……,
Figure DEST_PATH_IMAGE072
,……,
Figure DEST_PATH_IMAGE074
的基本风险评估
Figure DEST_PATH_IMAGE076
风险分别为
Figure DEST_PATH_IMAGE078
Figure DEST_PATH_IMAGE080
,……,
Figure DEST_PATH_IMAGE082
,……,
Figure DEST_PATH_IMAGE084
,历史相关风险评估
Figure 282948DEST_PATH_IMAGE024
风险分别为
Figure DEST_PATH_IMAGE086
Figure DEST_PATH_IMAGE088
,……,
Figure DEST_PATH_IMAGE090
,……,
Figure DEST_PATH_IMAGE092
,且
Figure 478437DEST_PATH_IMAGE068
,
Figure 642702DEST_PATH_IMAGE070
,……,
Figure 602437DEST_PATH_IMAGE072
,……,
Figure 877561DEST_PATH_IMAGE074
在检测周期内与目标系统的连接数量为
Figure DEST_PATH_IMAGE094
,
Figure DEST_PATH_IMAGE096
,……,
Figure DEST_PATH_IMAGE098
,……,
Figure DEST_PATH_IMAGE100
,则:
邻接基本风险评估
Figure DEST_PATH_IMAGE102
邻接历史相关风险评估
Figure DEST_PATH_IMAGE104
5.根据权利要求1所述的网络安全风险评估系统,其特征在于,在服务器端中,所述评估引擎服务模块分别与漏洞库,病毒库,日志记录库,评估历史记录的存储区相连接,具体地,所述评估引擎服务模块根据客户端的请求对目标网络进行漏洞扫描探测,记录漏洞匹配检测结果;病毒查杀,记录病毒查杀结果;以及日志告警分析,记录告警查询结果。
6.根据权利要求1所述的网络安全风险评估系统,其特征在于,在服务器端中,所述已知漏洞数据的来源包括漏洞挖掘,或通过第三方公开库筛选进行建立,所述第三方公开库包括CVE、CNNVD、CNVD、NVD、CERT、BSRC、TSRC。
7.根据权利要求1所述的网络安全风险评估系统,其特征在于,所述扫描配置模块中,录入的评估配置信息和参数包括:评估目标系统的网络拓扑结构、网络类型、带宽、运行时段、IP地址和网段,防火墙与杀毒软件安装情况,网络的逻辑划分、资产权重,以及历史风险评估结果,以便于操作人员在服务器端进行评估准备。
8. 根据权利要求1所述的网络安全风险评估系统,其特征在于,所述机器学习模块中,训练特征识别模型所采用的机器学习算法包括单分类支持向量机one-class SVM、人工免疫检测器或支持向量聚类算法SVDD。
9.根据权利要求1所述的网络安全风险评估系统,其特征在于,在资产扫描模块中,对评估目标系统软硬件资产配置信息进行扫描具体包括:防护软件安装情况、系统漏洞补丁安装情况或端口打开情况。
CN202110778179.3A 2021-07-09 2021-07-09 网络安全风险评估系统 Active CN113225358B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110778179.3A CN113225358B (zh) 2021-07-09 2021-07-09 网络安全风险评估系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110778179.3A CN113225358B (zh) 2021-07-09 2021-07-09 网络安全风险评估系统

Publications (2)

Publication Number Publication Date
CN113225358A true CN113225358A (zh) 2021-08-06
CN113225358B CN113225358B (zh) 2021-09-03

Family

ID=77081256

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110778179.3A Active CN113225358B (zh) 2021-07-09 2021-07-09 网络安全风险评估系统

Country Status (1)

Country Link
CN (1) CN113225358B (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114021154A (zh) * 2021-11-24 2022-02-08 内蒙古电力(集团)有限责任公司内蒙古电力科学研究院分公司 一种网络安全风险评估系统
CN114640527A (zh) * 2022-03-21 2022-06-17 重庆市规划和自然资源信息中心 基于日志审计的不动产登记业务网络安全风险识别方法
CN115086010A (zh) * 2022-06-13 2022-09-20 北京融讯智晖技术有限公司 一种基于视频云指挥系统的网络风险评估系统
CN115563657A (zh) * 2022-09-27 2023-01-03 冯淑芳 一种数据信息安全处理方法、系统及云平台
CN116668095A (zh) * 2023-05-16 2023-08-29 江苏信创网安数据科技有限公司 一种网络安全智能评估方法及系统
WO2024098699A1 (zh) * 2022-11-11 2024-05-16 上海派拉软件股份有限公司 实体对象的威胁检测方法、装置、设备及存储介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130347116A1 (en) * 2012-06-26 2013-12-26 Zuclu Research, LLC Threat evaluation system and method
CN103716177A (zh) * 2013-11-18 2014-04-09 国家电网公司 安全风险评估方法和装置
US20170124464A1 (en) * 2015-10-28 2017-05-04 Fractal Industries, Inc. Rapid predictive analysis of very large data sets using the distributed computational graph
CN107104978A (zh) * 2017-05-24 2017-08-29 赖洪昌 一种基于深度学习的网络风险预警方法
WO2019032277A1 (en) * 2017-08-11 2019-02-14 Nec Laboratories America, Inc. AUTOMATED SOFTWARE SECURITY CATEGORIZATION HAVING A INSTALLATION LINE AND HYBRID INFORMATION SOURCES
CN110401649A (zh) * 2019-07-17 2019-11-01 湖北央中巨石信息技术有限公司 基于态势感知学习的信息安全风险评估方法和系统
CN112766672A (zh) * 2021-01-07 2021-05-07 深圳市永达电子信息股份有限公司 一种基于全面评估的网络安全保障方法及系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130347116A1 (en) * 2012-06-26 2013-12-26 Zuclu Research, LLC Threat evaluation system and method
CN103716177A (zh) * 2013-11-18 2014-04-09 国家电网公司 安全风险评估方法和装置
US20170124464A1 (en) * 2015-10-28 2017-05-04 Fractal Industries, Inc. Rapid predictive analysis of very large data sets using the distributed computational graph
CN107104978A (zh) * 2017-05-24 2017-08-29 赖洪昌 一种基于深度学习的网络风险预警方法
WO2019032277A1 (en) * 2017-08-11 2019-02-14 Nec Laboratories America, Inc. AUTOMATED SOFTWARE SECURITY CATEGORIZATION HAVING A INSTALLATION LINE AND HYBRID INFORMATION SOURCES
CN110401649A (zh) * 2019-07-17 2019-11-01 湖北央中巨石信息技术有限公司 基于态势感知学习的信息安全风险评估方法和系统
CN112766672A (zh) * 2021-01-07 2021-05-07 深圳市永达电子信息股份有限公司 一种基于全面评估的网络安全保障方法及系统

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
CHEN WEN: "System Tolerance Oriented Network Security Situational Assessment", 《 2010 INTERNATIONAL CONFERENCE ON MULTIMEDIA COMMUNICATIONS》 *
冯冰彬等: "网站漏洞挖掘与安全评估技术综述", 《网络安全技术与应用》 *
陈文等: "一种基于网络安全风险评估的入侵检测方法", 《计算机安全》 *

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114021154A (zh) * 2021-11-24 2022-02-08 内蒙古电力(集团)有限责任公司内蒙古电力科学研究院分公司 一种网络安全风险评估系统
CN114640527A (zh) * 2022-03-21 2022-06-17 重庆市规划和自然资源信息中心 基于日志审计的不动产登记业务网络安全风险识别方法
CN115086010A (zh) * 2022-06-13 2022-09-20 北京融讯智晖技术有限公司 一种基于视频云指挥系统的网络风险评估系统
CN115086010B (zh) * 2022-06-13 2023-10-24 北京融讯智晖技术有限公司 一种基于视频云指挥系统的网络风险评估系统
CN115563657A (zh) * 2022-09-27 2023-01-03 冯淑芳 一种数据信息安全处理方法、系统及云平台
CN115563657B (zh) * 2022-09-27 2023-12-01 国信金宏(成都)检验检测技术研究院有限责任公司 一种数据信息安全处理方法、系统及云平台
WO2024098699A1 (zh) * 2022-11-11 2024-05-16 上海派拉软件股份有限公司 实体对象的威胁检测方法、装置、设备及存储介质
CN116668095A (zh) * 2023-05-16 2023-08-29 江苏信创网安数据科技有限公司 一种网络安全智能评估方法及系统
CN116668095B (zh) * 2023-05-16 2024-03-29 江苏信创网安数据科技有限公司 一种网络安全智能评估方法及系统

Also Published As

Publication number Publication date
CN113225358B (zh) 2021-09-03

Similar Documents

Publication Publication Date Title
CN113225358B (zh) 网络安全风险评估系统
EP2953298B1 (en) Log analysis device, information processing method and program
CN108289088B (zh) 基于业务模型的异常流量检测系统及方法
US8418247B2 (en) Intrusion detection method and system
EP3461103B1 (en) Ip reputation
US7752665B1 (en) Detecting probes and scans over high-bandwidth, long-term, incomplete network traffic information using limited memory
JP2018530066A (ja) 低信頼度のセキュリティイベントによるセキュリティインシデントの検出
Asif et al. Network intrusion detection and its strategic importance
JP2015076863A (ja) ログ分析装置、方法およびプログラム
CN106027559A (zh) 基于网络会话统计特征的大规模网络扫描检测方法
Rose et al. Intrusion detection using network traffic profiling and machine learning for IoT
CN111428248A (zh) 一种基于等级赋分的漏洞降噪识别方法及系统
Abraham et al. Approximate string matching algorithm for phishing detection
CN116094817A (zh) 一种网络安全检测系统和方法
Bortolameotti et al. Headprint: detecting anomalous communications through header-based application fingerprinting
Gupta et al. IDS alerts classification using knowledge-based evaluation
Chakir et al. An efficient method for evaluating alerts of Intrusion Detection Systems
Raftopoulos et al. Shedding light on log correlation in network forensics analysis
US20230018096A1 (en) Analysis apparatus, analysis method, and non-transitory computer readable medium storing analysis program
Gautam et al. Anomaly detection system using entropy based technique
CN115913634A (zh) 一种基于深度学习的网络安全异常的检测方法及系统
Davanian et al. MalNet: A binary-centric network-level profiling of IoT malware
Singh et al. RETRACTED: A hybrid layered architecture for detection and analysis of network based Zero-day attack
CN117834311B (zh) 一种用于网络安全的恶意行为识别系统
CN111931168B (zh) 一种基于警报关联的僵尸机检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20220330

Address after: 610000 No. 210, second floor, No. 115, Section 1, Jinhua Road, Jinjiang District, Chengdu, Sichuan Province (self numbering)

Patentee after: Sichuan gehou Technology Co.,Ltd.

Address before: 610000, No. 24, south section of Ring Road, Sichuan, Chengdu

Patentee before: SICHUAN University

TR01 Transfer of patent right