CN113542278B - 一种网络安全评估方法、系统及装置 - Google Patents
一种网络安全评估方法、系统及装置 Download PDFInfo
- Publication number
- CN113542278B CN113542278B CN202110807681.2A CN202110807681A CN113542278B CN 113542278 B CN113542278 B CN 113542278B CN 202110807681 A CN202110807681 A CN 202110807681A CN 113542278 B CN113542278 B CN 113542278B
- Authority
- CN
- China
- Prior art keywords
- security
- network
- data
- asset
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/28—Databases characterised by their database models, e.g. relational or object models
- G06F16/284—Relational databases
- G06F16/285—Clustering or classification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Abstract
本申请公开了一种网络安全评估方法、系统及装置,包括:以非侵入的方式对用户的网络资产在网络空间所暴露的漏洞数据进行采集,按照预设的多个安全维度,对采集到的数据进行分类,得到各个安全维度下的数据;根据各个安全维度下的数据,通过安全模型对网络资产的网络安全进行评估,得到安全评估结果。其中,该安全模型以与该网络资产同类型的样本网络资产在网络空间所产生的各个安全维度下的数据作为训练样本,以该样本网络资产所对应的安全评估结果作为样本标签训练得到。本申请网络安全评估的整个过程不需要在用户方部署第三方硬件或软件,也不需要进行内网渗透,在安全问题零引入的基础上实现了用户网络资产的网络安全评估。
Description
技术领域
本申请涉及网络安全技术领域,更具体地说,是涉及一种网络安全评估方法、系统及装置。
背景技术
随着互联网技术的发展,网络环境日趋复杂,企业面临的安全问题逐渐呈现多样化的趋势。作为企业发现网络安全问题并采取应对措施的前提,网络安全监测在企业网络安全中的重要性不断提升。
在传统的网络安全监测中,需要为每个企业定制化地部署网络安全监测服务,同时需要在企业内部部署第三方硬件或独立软件,从而带来额外的性能和存储开销,容易对企业的在线业务产生影响,并且往往需要专门的技术团队对企业内部署的第三方硬件或独立软件进行更新和维护。
发明内容
有鉴于此,本申请提供了一种网络安全评估方法、系统及装置,以实现用户资产网络安全的评估。
为实现上述目的,本申请第一方面提供了一种网络安全评估方法,包括:
以非侵入的方式对用户的网络资产在网络空间所暴露的漏洞数据进行采集,得到原始采集数据;
按照预设的多个安全维度,对所述原始采集数据进行分类,得到各个安全维度下的数据;
根据各个安全维度下的数据,通过安全模型对所述网络资产的网络安全进行评估,得到安全评估结果;
其中,所述安全模型以与所述网络资产同类型的样本网络资产在网络空间所产生的各个安全维度下的数据作为训练样本,以所述样本网络资产所对应的安全评估结果作为样本标签训练得到。
优选地,所述以非侵入的方式对用户的网络资产在网络空间所暴露的漏洞数据进行采集的过程,包括:
根据所述用户的域名和/或IP,以非侵入的方式在网络空间进行扫描探测,得到所述网络资产;
获取所述网络资产的指纹信息,以及根据所述指纹信息,对所述网络资产在网络空间所暴露的漏洞数据进行采集。
优选地,所述指纹信息包括DNS信息、所开放的端口、所开放的服务和/或备案信息。
优选地,所述以非侵入的方式对用户的网络资产在网络空间所暴露的漏洞数据进行采集,得到原始采集数据的过程,还包括:
通过爬虫技术获取互联网、暗网上的公开数据;
根据所述网络资产的域名、IP和/或指纹信息,从所述公开数据中筛选出与所述网络资产相关的数据,以及将所述数据并入到所述原始采集数据中。
优选地,还包括:
根据所述安全评估结果以及预设的告警规则,向所述用户发送告警消息。
优选地,所述根据所述安全评估结果以及预设的告警规则,向所述用户发送告警消息的过程,包括:
将所述安全评估结果与历史的安全评估结果进行对比分析,判断安全评估结果中是否包括新出现的安全问题;
若是,则向所述用户发出告警消息。
优选地,所述安全维度包括网络安全、端口安全、DNS安全、邮件安全、补丁漏洞、应用安全、IP声誉、资产暴露和/或数据安全;
所述安全评估结果包括所述网络资产在各个安全维度下的安全评估结果以及整体评估结果。
优选地,在所述对原始采集数据进行分类之前,还包括:
对所述原始采集数据进行数据清洗。
本申请第二方面提供了一种网络安全评估系统,包括:
安全评估模块,用于根据上述的网络安全评估方法对用户的网络资产进行网络安全评估,得到安全评估结果;
历史数据模块,用于对历史的安全评估结果进行管理;
问题列表模块,用于对安全评估结果中的问题进行管理;
报告生成模块,用于根据安全评估结果以预设的形式生成安全评估报告;
报告管理模块,用于对安全评估报告进行管理。
本申请第三方面提供了一种网络安全评估装置,包括:
数据采集单元,用于以非侵入的方式对用户的网络资产在网络空间所暴露的漏洞数据进行采集,得到原始采集数据;
数据分类单元,用于按照预设的多个安全维度,对所述原始采集数据进行分类,得到各个安全维度下的数据;
安全评估单元,用于根据各个安全维度下的数据,通过安全模型对所述网络资产的网络安全进行评估,得到安全评估结果;
其中,所述安全模型以与所述网络资产同类型的样本网络资产在网络空间所产生的各个安全维度下的数据作为训练样本,以训练所述样本网络资产所对应的安全评估结果作为样本标签训练得到。
经由上述的技术方案可知,本申请实施例的网络安全评估方法中,预先定义好多个安全维度并预先设计一安全模型。当需要对用户的网络资产进行网络安全评估时,以与待评估的网络资产相同类型的网络资产为样本网络资产,以所述样本网络资产在网络空间所产生的各个安全维度下的数据作为训练样本,以所述样本网络资产所对应的安全评估结果作为样本标签,对所述安全模型进行训练,得到训练后的安全模型。
然后通过以非侵入的方式对用户的网络资产在网络空间所暴露的漏洞数据进行采集,按照预设的多个安全维度,对所述采集到的数据进行分类,得到各个安全维度下的数据。最后根据各个安全维度下的数据,通过训练好的安全模型对网络资产的网络安全进行评估。本申请网络安全评估的整个过程不需要在用户方部署第三方硬件或软件,对用户不产生额外的性能和存储的开销,也不涉及用户方现场的更新及维护,为用户节省了资源且免除了维护费用,以及无需进行内网渗透,在安全问题零引入的基础上实现了用户网络资产的网络安全评估。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例公开的网络安全评估方法的示意图;
图2为本申请实施例公开的网络安全评估系统的示意图;
图3为本申请实施例公开的网络安全评估装置的示意图;
图4为本申请实施例公开的网络安全评估设备的硬件结构框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
请参阅图1,本申请实施例提供的网络安全评估方法,可以包括如下步骤:
步骤S100,非侵入地对网络资产所暴露的漏洞数据进行采集。
具体地,以非侵入的方式对用户的网络资产在网络空间所暴露的漏洞数据(Vulnerability Data)进行采集,得到原始采集数据。
其中,网络资产可以是计算机或通信网络中使用的各种设备,包括主机、路由器、交换机等网络设备中的一种或多种设备。
以非侵入的方式对数据进行采集可以是通过网络资产扫描器远程对数据进行采集。例如,可以在取得用户的同意后,通过FOFA(白帽汇推出的一款网络空间搜索引擎)、NMAP(Network Mapper,一款开放源代码的网络探测和安全审核的工具)、F-NAScan(网络资产信息扫描)中的一种或多种技术工具,在整个网络空间针对用户的信息系统进行非侵入式的数据采集。
步骤S200,根据安全维度,对采集得到的漏洞数据进行分类。
具体地,按照预设的多个安全维度,对步骤S100中的原始采集数据进行分类,得到各个安全维度下的数据。
其中,该多个安全维度分别从多个角度去衡量安全攻防的相关指标,可以全方位立体式的综合反映网络资产的安全状况。
步骤S300,根据分类后的漏洞数据,通过安全模型对网络安全进行评估。
具体地,根据各个安全维度下的数据,通过安全模型对该网络资产的网络安全进行评估,得到安全评估结果。
其中,该安全模型以与步骤S100中的网络资产同类型的样本网络资产在网络空间所产生的各个安全维度下的数据作为训练样本,以该样本网络资产所对应的安全评估结果作为样本标签训练得到。
本申请实施例通过以非侵入的方式对用户的网络资产在网络空间所暴露的漏洞数据进行采集,按照预设的多个安全维度,对所述采集到的数据进行分类,得到各个安全维度下的数据。最后根据各个安全维度下的数据,通过训练好的安全模型对网络资产的网络安全进行评估。
本申请网络安全评估的整个过程不需要在用户方部署第三方硬件或软件,对用户不产生额外的性能和存储的开销,也不涉及用户方现场的更新及维护,为用户节省了资源且免除了维护费用,以及无需进行内网渗透,在安全问题零引入的基础上实现了用户网络资产的网络安全评估。
上述步骤S100中,可以有多种方式实现对数据进行采集。基于此,在一个可选的实施例中,上述步骤S100中以非侵入的方式对用户的网络资产在网络空间所暴露的漏洞数据进行采集的过程,可以包括:
A1,根据该用户的域名或IP,以非侵入的方式在网络空间进行扫描探测,得到用户的网络资产;
A2,获取该网络资产的指纹信息,以及根据该指纹信息,对该网络资产在网络空间所暴露的漏洞数据进行采集。
其中,A1中的域名可以为用户的网络资产(如网站服务器)的域名,IP可以为用户的网络资产(如主机、路由器、交换机)的IP。
A2中的指纹信息可以包括DNS信息、所开放的端口、所开放的服务和备案信息中的一种或多种信息。其中,备案信息是用户对具体网络设备的备案信息,其可以包括品牌、型号、维修记录、上线时间等信息。
此外,获取了网络资产的指纹信息以及网络资产在网络空间所暴露的漏洞数据后,还可以将该指纹信息和数据加以分析、聚合,输出资产画像,以帮助用户更好的掌握自己的网络资产的分布状况,明确网络资产的类型与数量,也为网络安全的全面评级和监测提供了全方位的线索。
上述对用户的网络资产在网络空间所暴露的漏洞数据的采集过程主要针对该网络资产在设备层级所产生的数据。此外,还可以从网络空间中各网站页面中收集通过该网络资产所产生的或者与该网络资产相关的数据。
基于此,在一个可选的实施例中,上述步骤S100中以非侵入的方式对用户的网络资产在网络空间所暴露的漏洞数据进行采集,得到原始采集数据的过程,还可以包括:
B1,通过爬虫(Python)技术获取互联网、暗网上的公开数据;
B2,根据该网络资产的域名、IP和/或指纹信息,从该公开数据中筛选出与该网络资产相关的数据,以及将该数据并入到该原始采集数据中,以得到更为丰富及完整的采集数据。
例如,通过爬虫技术获取互联网、暗网上的公开数据后,通过对IP地址以及域名信息进行数据映射,获取与网络资产相关的数据,然后将该数据并入步骤S100中的该原始采集数据中,以作为网络评估的考量对象。
通过本申请实施例的网络安全评估方法评估出用户网络资产的安全状况后,形成一份网络安全评估结果。一方面,可以由用户提出索要该网络安全评估结果;另一方面,根据网络评估的具体评估结果,依据网络安全的风险程度、危急程度等,还可以主动向用户提出告警,以便用户及时采取相应的安全防范措施。
基于此,在一个可选的实施例中,本申请实施例提供的网络安全评估方法,还可以包括:
根据该安全评估结果以及预设的告警规则,向用户发送告警消息。
上述告警规则可以定义成多种形式的规则,可选的,根据该安全评估结果以及预设的告警规则,向用户发送告警消息的过程,可以包括:
将该安全评估结果与历史的安全评估结果进行对比分析,判断安全评估结果中是否包括新出现的安全问题;
若是,则向用户发出告警消息。
可以理解的是,本申请实施例提供的网络安全评估方法对用户的网络资产进行安全评估的过程,是针对某一段时间,该网络资产在网络资产空间所产生的数据进行安全评估。
用户可以选择通过本申请实施例提供的网络安全评估方法,实现对网络资产7×24小时不间断的监测与评估,从而得到不同时间段的实时安全评估结果。历史的安全评估结果可以作为当前安全评估结果的一个参考,并可以以此来区分新增的安全风险。
本申请发明人认为新增的安全问题是值得关注的事件,因此通过将该安全评估结果与历史的安全评估结果进行对比分析,判断安全评估结果中是否包括新出现的安全问题,并针对新出现的安全问题想用户发出告警消息,便于用户及时的对此作出反应。
本申请的发明人发现,传统的网络安全监测系统大多集中在安全攻防技术层面,而忽视了针对信用、声誉等社会工程学相关维度的量化评估,具有一定的局限性。
基于此,在一个可选的实施例中,本申请实施例提供的网络安全评估方法中提及的安全维度,可以包括网络安全、端口安全、DNS安全、邮件安全、补丁漏洞、应用安全、IP声誉、资产暴露和数据安全中的一种或多种。
具体地,网络安全可以是网络资产的Web服务中不安全的设置,示例如SSL/TLS协议的脆弱性配置、自签发的SSL证书配置等。
端口安全可以是网络资产中所开放的问题端口,示例如MySQL、RDP、Elasitcsearch等服务的端口。
DNS安全可以是网络资产中关于DNS的不安全设置,示例如公开的DNS递归解析服务、DNS域传送漏洞、域名保护状态等。
邮件安全可以是网络资产中邮件系统的防护能力,示例如邮件系统是否启用了SPF策略、SMTP服务是否正常运行等。同时从黑客社会工程学攻击的角度考量,还可以对网络资产的域名下的邮箱进行互联网检索,查看其是否在互联网上暴露。
补丁漏洞可以是常见的应用系统漏洞,示例如SQL注入、XSS漏洞;可以是各个常见应用曾经曝光的漏洞,示例如windows的永恒之蓝、OpenSSL的心脏滴血等。
应用安全可以是网络资产的Web应用中常见的脆弱性配置,示例如Web应用是否使用了不安全的低版本PHP、登录入口是否有防暴破措、是否存在弱口令账号等等。
IP声誉可以是网络资产面临的恶意软件攻击,也可以是被其他威胁情报列入恶意黑名单的相关指标。
资产暴露可以是用户的重要网络资产的不当暴露,示例如代码托管平台、重要业务系统后台等在互联网上公开可访问等。
数据安全可以是与网络资产的域名相关的邮箱数据是否泄露、源代码是否在Github等平台上暴露等数据泄露事件。
相应地,步骤S300中的安全评估结果包括网络资产在上述各个安全维度下的安全评估结果以及整体评估结果。
该整体评估结果的计算方法可以是根据各个安全维度下的安全评估结果,综合考量各种用户的网络资产内部的安全指标、自身状况、外部安全态势、历史安全数据等因素进行数学建模,计算得出0~100的企业网络安全状态评级。其中,企业的网络安全评级越高,信息系统的安全性越好。
本申请实施例提供的网络安全评估方法从安全管理角度出发定义了上述的9大安全维度,其不仅涵盖了安全攻防相关的网络安全、端口安全、DNS安全、邮件安全、补丁漏洞、应用安全、资产暴漏和数据安全这8大维度,还进一步提出了IP声誉的概念,通过IP地址映射结合社会工程学,对企业的IP声誉进行细粒度评估。通过对上述各个维度的综合分析,对用户网络资产进行网络安全评级与监测,可以全方位立体式的综合反映被监测对象的安全状况。
上述步骤S100中所获取的原始采集数据可能会存在脏数据、无效数据等。基于此,在一个可选的实施例中,上述步骤S200中,在对原始采集数据进行分类之前,还可以包括:对该原始采集数据进行数据清洗。
数据清洗(Data Cleaning)是对数据进行重新审查和校验的过程,目的在于删除重复信息、纠正存在的错误,并提供数据一致性检查。通过对原始采集数据进行数据清洗,过滤掉不符合要求的数据,提高了数据质量,从而提高了网络安全评估的有效性。
此外,可选地,在步骤S200中,根据安全维度对采集得到的数据进行分类后,还可以进一步根据分类后的数据的属性特征形成威胁情报库、漏洞库、安全事件库以及产品生命周期信息库。
其中,威胁情报库可以包括威胁情报数据,示例如:近半年,国内DDOS攻击趋势逐月上升,且电商行业为最易受攻击企业,在所有行业中占比30%;
漏洞库可以包括漏洞信息,示例如Microsoft Exchange Server安全漏洞、JiraServer and Jira Data Center跨站脚本漏洞;
安全事件库可以包括安全事件数据,示例如:某企业2021年3月8日遭遇DDOS攻击,持续15分钟,峰值流量15Gb,业务中断3分钟,造成损失200万。
产品生命周期信息库可以包括产品生命周期信息,示例如:Internet Explorer(IE)10及更早版本的支持已于2016年1月12日结束,其生命周期结束到达尽头。
下面对本申请实施例提供的网络安全评估系统进行描述,下文描述的网络安全评估系统将会运用到上述各实施例中所述的网络安全评估方法。
请参阅图2,本申请实施例提供的网络安全评估系统可以包括:
安全评估模块11,用于根据上述各实施例提供的网络安全评估方法对用户的网络资产进行网络安全评估,得到安全评估结果;
历史数据模块12,用于对历史的安全评估结果进行管理;
问题列表模块13,用于对安全评估结果中的问题进行管理;
报告生成模块14,用于根据安全评估结果以预设的形式生成安全评估报告;
报告管理模块15,用于对安全评估报告进行管理。
具体地,安全评估模块11根据上述网络安全评估方法对用户的网络资产进行网络安全评估,以及向用户提供评分接口。用户可以通过调用评分接口发送评分请求。
安全评估模块11通过GUI界面向用户展示当前用户对应网络资产的整体安全评级,每个评估项的具体评级以及造成评级降低的具体安全问题,同时通过云服务接口向用户提供其他相关服务。
历史数据模块12对历史的安全评估结果进行管理,以及向用户展示其对应的网络资产的安全评级变化趋势以及当前网络资产与行业的对比情况。
问题列表模块13对安全评估结果中的问题进行管理,向用户展示当前用户对应网络资产在评估中发现的问题以及问题的细节描述,并给出问题对应的改进措施。
报告生成模块14根据安全评估结果以预设的形式生成安全评估报告,展示当前用户相关网络资产的问题统计以及每个安全维度下的评级,并通过图标向用户展示了用户相关网络资产在各个安全维度下的评级与行业平均水平的对比,同时,用户可以通过点击生成报告按钮生成详细监测报告。
报告管理模块15对安全评估报告进行管理,向用户提供历史报告数据,用户可以通过该页面查看历史数据并进行进一步分析。
下面对本申请实施例提供的网络安全评估装置进行描述,下文描述的网络安全评估装置与上文描述的网络安全评估方法可相互对应参照。
请参阅图3,本申请实施例提供的网络安全评估装置,可以包括:
数据采集单元21,用于以非侵入的方式对用户的网络资产在网络空间所暴露的漏洞数据进行采集,得到原始采集数据;
数据分类单元22,用于按照预设的多个安全维度,对所述原始采集数据进行分类,得到各个安全维度下的数据;
安全评估单元23,用于根据各个安全维度下的数据,通过安全模型对所述网络资产的网络安全进行评估,得到安全评估结果;
其中,所述安全模型以与所述网络资产同类型的样本网络资产在网络空间所产生的各个安全维度下的数据作为训练样本,以训练所述样本网络资产所对应的安全评估结果作为样本标签训练得到。
在一个可选的实施例中,数据采集单元21以非侵入的方式对用户的网络资产在网络空间所暴露的漏洞数据进行采集的过程,可以包括:
根据所述用户的域名和/或IP,以非侵入的方式在网络空间进行扫描探测,得到所述网络资产;
获取所述网络资产的指纹信息,以及根据所述指纹信息,对所述网络资产在网络空间所暴露的漏洞数据进行采集。
在一个可选的实施例中,数据采集单元21以非侵入的方式对用户的网络资产在网络空间所暴露的漏洞数据进行采集,得到原始采集数据的过程,还可以包括:
通过爬虫技术获取互联网、暗网上的公开数据;
根据所述网络资产的域名、IP和/或指纹信息,从所述公开数据中筛选出与所述网络资产相关的数据,以及将所述数据并入到所述原始采集数据中。
在一个可选的实施例中,本申请实施例提供的网络安全评估装置,还可以包括:
告警单元24,用于根据所述安全评估结果以及预设的告警规则,向所述用户发送告警消息。
在一个可选的实施例中,告警单元24根据所述安全评估结果以及预设的告警规则,向所述用户发送告警消息的过程,可以包括:
将所述安全评估结果与历史的安全评估结果进行对比分析,判断安全评估结果中是否包括新出现的安全问题;
若是,则向所述用户发出告警消息。
本申请实施例提供的网络安全评估装置可应用于网络安全评估装置设备,如服务器等。可选的,图4示出了网络安全评估装置设备的硬件结构框图,参照图4,网络安全评估装置设备的硬件结构可以包括:至少一个处理器31,至少一个通信接口32,至少一个存储器33和至少一个通信总线34。
在本申请实施例中,处理器31、通信接口32、存储器33、通信总线34的数量为至少一个,且处理器31、通信接口32、存储器33通过通信总线34完成相互间的通信;
处理器31可能是一个中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本申请实施例的一个或多个集成电路等;
存储器32可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatilememory)等,例如至少一个磁盘存储器;
其中,存储器33存储有程序,处理器31可调用存储器33存储的程序,所述程序用于:
以非侵入的方式对用户的网络资产在网络空间所暴露的漏洞数据进行采集,得到原始采集数据;
按照预设的多个安全维度,对所述原始采集数据进行分类,得到各个安全维度下的数据;
根据各个安全维度下的数据,通过安全模型对所述网络资产的网络安全进行评估,得到安全评估结果;
其中,所述安全模型以与所述网络资产同类型的样本网络资产在网络空间所产生的各个安全维度下的数据作为训练样本,以所述样本网络资产所对应的安全评估结果作为样本标签训练得到。
可选的,所述程序的细化功能和扩展功能可参照上文描述。
本申请实施例还提供一种存储介质,该存储介质可存储有适于处理器执行的程序,所述程序用于:
以非侵入的方式对用户的网络资产在网络空间所暴露的漏洞数据进行采集,得到原始采集数据;
按照预设的多个安全维度,对所述原始采集数据进行分类,得到各个安全维度下的数据;
根据各个安全维度下的数据,通过安全模型对所述网络资产的网络安全进行评估,得到安全评估结果;
其中,所述安全模型以与所述网络资产同类型的样本网络资产在网络空间所产生的各个安全维度下的数据作为训练样本,以所述样本网络资产所对应的安全评估结果作为样本标签训练得到。
可选的,所述程序的细化功能和扩展功能可参照上文描述。
综上所述:
本申请实施例的网络安全评估方法中,预先定义好多个安全维度并预先设计一安全模型。当需要对用户的网络资产进行网络安全评估时,以与待评估的网络资产相同类型的网络资产为样本网络资产,以所述样本网络资产在网络空间所产生的各个安全维度下的数据作为训练样本,以所述样本网络资产所对应的安全评估结果作为样本标签,对所述安全模型进行训练,得到训练后的安全模型。
然后通过以非侵入的方式对用户的网络资产在网络空间所暴露的漏洞数据进行采集,按照预设的多个安全维度,对所述采集到的数据进行分类,得到各个安全维度下的数据。最后根据各个安全维度下的数据,通过训练好的安全模型对网络资产的网络安全进行评估。本申请网络安全评估的整个过程不需要在用户方部署第三方硬件或软件,对用户不产生额外的性能和存储的开销,也不涉及用户方现场的更新及维护,为用户节省了资源且免除了维护费用,以及无需进行内网渗透,在安全问题零引入的基础上实现了用户网络资产的网络安全评估。
进一步地,本申请实施例从安全管理角度出发定义了9大安全维度,其不仅涵盖了安全攻防相关的网络安全、端口安全、DNS安全、邮件安全、补丁漏洞、应用安全、资产暴漏和数据安全这8大维度,还进一步提出了IP声誉的概念,通过IP地址映射结合社会工程学,对企业的IP声誉进行细粒度评估。通过对上述各个维度的综合分析,对用户网络资产进行网络安全评级与监测,可以全方位立体式的综合反映被监测对象的安全状况。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间可以根据需要进行组合,且相同相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (8)
1.一种网络安全评估方法,其特征在于,包括:
以非侵入的方式对用户的网络资产在网络空间所暴露的漏洞数据进行采集,得到原始采集数据;
按照预设的多个安全维度,对所述原始采集数据进行分类,得到各个安全维度下的数据;
根据各个安全维度下的数据,通过安全模型对所述网络资产的网络安全进行评估,得到安全评估结果;
其中,所述安全模型以与所述网络资产同类型的样本网络资产在网络空间所产生的各个安全维度下的数据作为训练样本,以所述样本网络资产所对应的安全评估结果作为样本标签训练得到;
所述以非侵入的方式对用户的网络资产在网络空间所暴露的漏洞数据进行采集的过程,包括:
根据所述用户的域名和/或IP,以非侵入的方式在网络空间进行扫描探测,得到所述网络资产;
获取所述网络资产的指纹信息,以及根据所述指纹信息,对所述网络资产在网络空间所暴露的漏洞数据进行采集;
所述安全维度包括网络安全、端口安全、DNS安全、邮件安全、补丁漏洞、应用安全、IP声誉、资产暴露和/或数据安全;
所述安全评估结果包括所述网络资产在各个安全维度下的安全评估结果以及整体评估结果。
2.根据权利要求1所述的方法,其特征在于,所述指纹信息包括DNS信息、所开放的端口、所开放的服务和/或备案信息。
3.根据权利要求1所述的方法,其特征在于,所述以非侵入的方式对用户的网络资产在网络空间所暴露的漏洞数据进行采集,得到原始采集数据的过程,还包括:
通过爬虫技术获取互联网、暗网上的公开数据;
根据所述网络资产的域名、IP和/或指纹信息,从所述公开数据中筛选出与所述网络资产相关的数据,以及将所述数据并入到所述原始采集数据中。
4.根据权利要求1所述的方法,其特征在于,还包括:
根据所述安全评估结果以及预设的告警规则,向所述用户发送告警消息。
5.根据权利要求4所述的方法,其特征在于,所述根据所述安全评估结果以及预设的告警规则,向所述用户发送告警消息的过程,包括:
将所述安全评估结果与历史的安全评估结果进行对比分析,判断安全评估结果中是否包括新出现的安全问题;
若是,则向所述用户发出告警消息。
6.根据权利要求1所述的方法,其特征在于,在对原始采集数据进行分类之前,还包括:
对所述原始采集数据进行数据清洗。
7.一种网络安全评估系统,其特征在于,包括:
安全评估模块,用于根据权利要求1~6中任一项所述的方法对用户的网络资产进行网络安全评估,得到安全评估结果;
历史数据模块,用于对历史的安全评估结果进行管理;
问题列表模块,用于对安全评估结果中的问题进行管理;
报告生成模块,用于根据安全评估结果以预设的形式生成安全评估报告;
报告管理模块,用于对安全评估报告进行管理。
8.一种网络安全评估装置,其特征在于,包括:
数据采集单元,用于以非侵入的方式对用户的网络资产在网络空间所暴露的漏洞数据进行采集,得到原始采集数据;
数据分类单元,用于按照预设的多个安全维度,对所述原始采集数据进行分类,得到各个安全维度下的数据;
安全评估单元,用于根据各个安全维度下的数据,通过安全模型对所述网络资产的网络安全进行评估,得到安全评估结果;
其中,所述安全模型以与所述网络资产同类型的样本网络资产在网络空间所产生的各个安全维度下的数据作为训练样本,以训练所述样本网络资产所对应的安全评估结果作为样本标签训练得到;
所述以非侵入的方式对用户的网络资产在网络空间所暴露的漏洞数据进行采集的过程,包括:
根据所述用户的域名和/或IP,以非侵入的方式在网络空间进行扫描探测,得到所述网络资产;
获取所述网络资产的指纹信息,以及根据所述指纹信息,对所述网络资产在网络空间所暴露的漏洞数据进行采集;
所述安全维度包括网络安全、端口安全、DNS安全、邮件安全、补丁漏洞、应用安全、IP声誉、资产暴露和/或数据安全;
所述安全评估结果包括所述网络资产在各个安全维度下的安全评估结果以及整体评估结果。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110807681.2A CN113542278B (zh) | 2021-07-16 | 2021-07-16 | 一种网络安全评估方法、系统及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110807681.2A CN113542278B (zh) | 2021-07-16 | 2021-07-16 | 一种网络安全评估方法、系统及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113542278A CN113542278A (zh) | 2021-10-22 |
CN113542278B true CN113542278B (zh) | 2023-04-25 |
Family
ID=78099850
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110807681.2A Active CN113542278B (zh) | 2021-07-16 | 2021-07-16 | 一种网络安全评估方法、系统及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113542278B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114422269A (zh) * | 2022-03-28 | 2022-04-29 | 北京源堡科技有限公司 | 一种基于机器学习的网络安全评估方法和系统 |
CN115296892B (zh) * | 2022-08-02 | 2023-11-24 | 中国电子科技集团公司信息科学研究院 | 数据信息服务系统 |
CN116366316B (zh) * | 2023-03-16 | 2024-02-27 | 中国华能集团有限公司北京招标分公司 | 一种网络空间测绘方法 |
CN117473527A (zh) * | 2023-11-07 | 2024-01-30 | 新华三网络信息安全软件有限公司 | 数据安全风险的分析方法、装置、设备及存储介质 |
CN117473512B (zh) * | 2023-12-28 | 2024-03-22 | 湘潭大学 | 基于网络测绘的漏洞风险评估方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107104978A (zh) * | 2017-05-24 | 2017-08-29 | 赖洪昌 | 一种基于深度学习的网络风险预警方法 |
CN107147515A (zh) * | 2017-03-21 | 2017-09-08 | 华南师范大学 | 一种基于mln的网络空间安全态势预测方法及系统 |
CN112019519A (zh) * | 2020-08-06 | 2020-12-01 | 杭州安恒信息技术股份有限公司 | 网络安全情报威胁度的检测方法、装置和电子装置 |
CN112784281A (zh) * | 2021-01-21 | 2021-05-11 | 恒安嘉新(北京)科技股份公司 | 一种工业互联网的安全评估方法、装置、设备及存储介质 |
-
2021
- 2021-07-16 CN CN202110807681.2A patent/CN113542278B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107147515A (zh) * | 2017-03-21 | 2017-09-08 | 华南师范大学 | 一种基于mln的网络空间安全态势预测方法及系统 |
CN107104978A (zh) * | 2017-05-24 | 2017-08-29 | 赖洪昌 | 一种基于深度学习的网络风险预警方法 |
CN112019519A (zh) * | 2020-08-06 | 2020-12-01 | 杭州安恒信息技术股份有限公司 | 网络安全情报威胁度的检测方法、装置和电子装置 |
CN112784281A (zh) * | 2021-01-21 | 2021-05-11 | 恒安嘉新(北京)科技股份公司 | 一种工业互联网的安全评估方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN113542278A (zh) | 2021-10-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113542278B (zh) | 一种网络安全评估方法、系统及装置 | |
US11750659B2 (en) | Cybersecurity profiling and rating using active and passive external reconnaissance | |
US10848517B1 (en) | Cybersecurity risk assessment on an industry basis | |
JP6863969B2 (ja) | 低信頼度のセキュリティイベントによるセキュリティインシデントの検出 | |
US20220014547A1 (en) | Method and device for managing security in a computer network | |
US20220014560A1 (en) | Correlating network event anomalies using active and passive external reconnaissance to identify attack information | |
US9069954B2 (en) | Security threat detection associated with security events and an actor category model | |
CN113474776A (zh) | 用于实时检测,表征,和补救基于电子邮件的威胁的威胁检测平台 | |
WO2020142245A1 (en) | Identification, prediction, and assessment of cyber security risk | |
Bryant et al. | Improving SIEM alert metadata aggregation with a novel kill-chain based classification model | |
US20140172495A1 (en) | System and method for automated brand protection | |
US20210360032A1 (en) | Cybersecurity risk analysis and anomaly detection using active and passive external reconnaissance | |
US10742664B2 (en) | Probabilistically detecting low-intensity, multi-modal threats using synthetic events | |
Lippmann et al. | Continuous security metrics for prevalent network threats: introduction and first four metrics | |
US20230362200A1 (en) | Dynamic cybersecurity scoring and operational risk reduction assessment | |
US11973788B2 (en) | Continuous scoring of security controls and dynamic tuning of security policies | |
WO2011149773A2 (en) | Security threat detection associated with security events and an actor category model | |
Chiappetta et al. | An anomaly-based approach to the analysis of the social behavior of VoIP users | |
Khan et al. | Towards augmented proactive cyberthreat intelligence | |
Savola et al. | Towards security effectiveness measurement utilizing risk-based security assurance | |
US20230396640A1 (en) | Security event management system and associated method | |
US20220224711A1 (en) | Systems, devices, and methods for observing and/or securing data access to a computer network | |
Bhatt et al. | Selecting Best Software Vulnerability Scanner Using Intuitionistic Fuzzy Set TOPSIS. | |
Mascetti et al. | EPIC: a methodology for evaluating privacy violation risk in cybersecurity systems | |
Haber et al. | Security administrators: A breed apart |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |