CN113660224B - 基于网络漏洞扫描的态势感知防御方法、装置及系统 - Google Patents
基于网络漏洞扫描的态势感知防御方法、装置及系统 Download PDFInfo
- Publication number
- CN113660224B CN113660224B CN202110858906.7A CN202110858906A CN113660224B CN 113660224 B CN113660224 B CN 113660224B CN 202110858906 A CN202110858906 A CN 202110858906A CN 113660224 B CN113660224 B CN 113660224B
- Authority
- CN
- China
- Prior art keywords
- network
- vulnerability
- information
- network node
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种基于网络漏洞扫描的态势感知防御方法、装置及系统,涉及网络安全技术领域。所述方法包括步骤:基于预设的网络漏洞扫描规则,设置用户访问网络节点的访问权限和操作权限;检测目标用户访问网络节点的日志信息和网络环境信息,发送到态势感知系统;通过态势感知系统判断前述日志信息和网络环境信息是否匹配前述目标用户对应的访问网络节点的访问权限和操作权限;在判断不匹配的情况下,触发告警。本发明能够检测到网络环境中的网络漏洞,并进行网络安全防御,以保障网络的安全稳定运行。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及基于网络漏洞扫描的态势感知防御。
背景技术
网络漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。当某个程序(包括操作系统)在设计时未考虑周全,而程序一旦遇到一个看似合理,但实际无法处理的问题时,就会引发不可预见的错误。
漏洞产生的原因,包括但不限制于输入验证错误、访问验证错误、意外情况处理错误、边界条件错误、配置错误、竞争条件、环境错误、设计错误、未知错误、其他错误。这些漏洞会使硬件、软件、协议在生命周期的各个阶段(设计、实现、运维等过程)中产生某类问题,这些问题会对系统的安全(机密性、完整性、可用性)产生影响。很多的软件漏洞就是因为应用申请了超过自身需求的权限,比如root权限,然后被恶意软件利用,也就有了对整个系统执行所有操作的权限。
目前,态势感知技术主要通过采集网络原始数据与系统运行生成的动态安全数据等信息,再对数据进行实时分析。通过这种方法能够对用户执行访问操作的网络节点进行网络漏洞扫描,进一步对网络漏洞实现网络安全态势感知。
基于此,要提供一种基于网络漏洞扫描的态势感知防御方法、装置及系统,使网络漏洞扫描结合网络安全态势感知系统,设置基于网络漏洞扫描的态势感知系统,在用户访问网络节点时,进行网络节点的漏洞扫描,并集合态势感知系统实现网络安全防御,是当前亟需解决的技术问题。
发明内容
本发明的目的在于:克服现有技术的不足,提供一种基于网络漏洞扫描的态势感知防御方法、装置及系统,基于网络漏洞扫描规则,设置用户访问网络节点的访问权限和操作权限,通过态势感知系统对目标用户的访问权限、操作权限,以及,目标用户访问网络节点的日志信息和网络环境信息进行检测,在判断不匹配的情况下视为网络环境中存在网络漏洞,触发告警,将其应用于态势感知系统,以检测网络环境中的网络漏洞,实现网络安全防御。
为解决现有的技术问题,本发明提供了如下技术方案:
一种基于网络漏洞扫描的态势感知防御方法,所述方法包括步骤:
基于预设的网络漏洞扫描规则,设置用户访问网络节点的访问权限和操作权限;
检测目标用户访问网络节点的日志信息和网络环境信息,发送到态势感知系统;
通过态势感知系统判断前述日志信息和网络环境信息是否匹配前述目标用户对应的访问网络节点的访问权限和操作权限;
在判断不匹配的情况下,触发告警。
进一步,所述告警包括紧急告警和非紧急告警,判定为紧急告警时,对对应的网络节点进行安全防御,断开前述网络节点的网络访问,对网络节点所在的网络环境进行故障处理;
和/或,定期检测出现过告警的网络节点,将前述网络节点的日志信息发送至态势感知系统进行安全分析。
进一步,所述网络漏洞对网络环境的威胁包括超危、高危、中危和低危四个等级;
在检测到的网络环境中评价为前述超危和/或高危的网络漏洞时,触发告警,并进行紧急告警;
在检测到的网络环境中评价为前述中危和/或低危的网络漏洞时,触发告警,并进行非紧急告警;
当同一时间段内发生的告警包括有紧急告警和非紧急告警时,优先处理紧急告警。
进一步,在检测目标用户访问网络节点的网络环境信息时,还包括步骤:
S111,当检测到目标用户在同一事件内对网络节点的访问权限和/或操作权限进行调整后,比对包括目标用户在执行前述事件的相关操作前、相关操作时和相关操作后在内的任意两种网络环境;
S112,获取网络环境发生变化的网络环境信息,判断网络环境内是否存在网络漏洞;
S113,分析所述网络漏洞的产生是否由前述调整的行为造成,得到前述调整的行为与网络漏洞产生之间的因果关系;
S114,根据前述因果关系,计算触发网络漏洞的评分指标,评价网络漏洞对网络环境造成威胁的等级。
进一步,所述态势感知系统能够采集前述目标用户在访问网络节点时调整网络节点的访问权限和/或操作权限的请求信息,所述请求信息还包括前述目标用户调整访问网络节点的访问权限信息和操作权限信息;
通过所述请求信息验证目标用户身份信息,检测所述目标用户的网络节点是否存在网络漏洞。
进一步,采集前述目标用户提出访问请求的IP地址,判定前述目标用户的访问或操作不符合前述网络漏洞扫描规则时,获取前述IP地址的访问或操作记录信息,并进行轨迹追溯和/或轨迹安全分析。
进一步,在前述目标用户通过IP地址提出访问请求之后,判断该目标用户对网络节点进行访问操作时的日志信息和网络环境信息是否分别匹配该目标用户访问网络节点之前的日志信息和网络环境信息。
进一步,还包括步骤,将前述目标用户访问网络节点时的日志信息和网络环境信息存储在态势感知系统中,并进行标注和追溯。
一种基于网络漏洞扫描的态势感知防御装置,其特征在于包括结构:
规则设置单元,基于预设的网络漏洞扫描规则,设置用户访问网络节点的访问权限和操作权限;
信息检测单元,用于检测目标用户访问网络节点的日志信息和网络环境信息,发送到态势感知系统;
信息分析单元,通过态势感知系统判断前述日志信息和网络环境信息是否匹配前述目标用户对应的访问网络节点的访问权限和操作权限;
信息处理单元,在判断不匹配的情况下,触发告警。
一种基于网络漏洞扫描的态势感知防御系统,其特征在于包括:
网络节点,用于收发数据;
态势感知系统,用于对数据信息进行安全分析;
系统服务器,所述系统服务器连接网络节点和态势感知系统;
所述系统服务器被配置为:
基于预设的网络漏洞扫描规则,设置用户访问网络节点的访问权限和操作权限;
检测目标用户访问网络节点的日志信息和网络环境信息,发送到态势感知系统;
通过态势感知系统判断前述日志信息和网络环境信息是否匹配前述目标用户对应的访问网络节点的访问权限和操作权限;
在判断不匹配的情况下,触发告警。
本发明由于采用以上技术方案,与现有技术相比,作为举例,具有以下的优点和积极效果:基于网络漏洞扫描规则,设置用户访问网络节点的访问权限和操作权限,通过态势感知系统对目标用户的访问权限、操作权限,以及,目标用户访问网络节点的日志信息和网络环境信息进行检测,在判断不匹配的情况下视为网络环境中存在网络漏洞,触发告警。使得网络节点受到网络攻击时能够进行网络安全防御,以保障网络的安全稳定运行。
进一步,针对网络漏洞的评分规则加入关联性影响指标,对目标用户访问网络节点时造成与该网络节点相关联的网络节点的影响进行描述,使网络漏洞对网络环境的威胁级别评分标准评定以及网络漏洞的危害等级的判定能够考虑相互关联的网络节点之间受到网络漏洞的影响。
附图说明
图1为本发明实施例提供的流程图一。
图2为本发明实施例提供的流程图二。
图3为本发明实施例提供的装置的结构示意图。
图4为本发明实施例提供的系统的结构示意图。
附图标记说明:
装置S200,节点设置单元S201,信息检测单元S202,信息分析单元S203,信息处理单元S204;
系统S300,网络节点S301,态势感知系统S302,系统服务器S303。
具体实施方式
以下结合附图和具体实施例对本发明公开的一种基于网络漏洞扫描的态势感知防御方法、装置及系统作进一步详细说明。应当注意的是,下述实施例中描述的技术特征或者技术特征的组合不应当被认为是孤立的,它们可以被相互组合从而达到更好的技术效果。在下述实施例的附图中,各附图所出现的相同标号代表相同的特征或者部件,可应用于不同实施例中。因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
需说明的是,本说明书所附图中所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定发明可实施的限定条件,任何结构的修饰、比例关系的改变或大小的调整,在不影响发明所能产生的功效及所能达成的目的下,均应落在发明所揭示的技术内容所能涵盖的范围内。本发明的
优选实施方式的范围包括另外的实现,其中可以不按所述的或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
实施例
参见图1所示,为本发明提供的一个流程图。所述方法的实施步骤S100如下:
S101,基于预设的网络漏洞扫描规则,设置用户访问网络节点的访问权限和操作权限。
其中,所述网络漏洞扫描规则包括但不限制于网络漏洞信息、网络漏洞特点、攻击方利用网络漏洞实现网络攻击的方式,对前述信息进行整合后形成网络漏洞扫描规则。
作为举例而非限制,针对网络漏洞扫描规则,可以从访问控制的角度出发,认定系统中的各种操作与系统的安全策略发生冲突时,就产生了网络漏洞。根据网络漏洞扫描规则,对所有用户的请求信息和所有网络节点的数据信息都分配对应的安全标签,对前述每个用户的请求信息的安全标签对应标识一个安全级别,对前述每个网络节点的数据信息的安全标签都对应标识一个信息安全等级。
所述请求信息包括用户信息、操作信息和对象信息。所述用户信息包括用户的个人信息,个人信息包括但不限于以下类别:
基本信息,是指用户为了完成大部分网络行为,根据服务商要求提交包括姓名、性别、年龄、电话号码和Email地址等在内的个人基本信息,同时,可以包括但不限于婚姻、信仰、职业、工作单位、收入等相对隐私的个人基本信息;
设备信息,是指用户所使用的各种计算机终端设备(包括移动和固定终端)的基本信息,如位置信息、Wifi列表信息、Mac地址、CPU信息、内存信息、SD卡信息和操作系统版本等;
账户信息,包括网银帐号、第三方支付帐号,社交帐号和重要邮箱帐号等;
隐私信息,包括通讯录信息、通话记录、短信记录、IM应用软件聊天记录、个人视频、照片等;
社会关系信息,包括好友关系、家庭成员信息和工作单位信息等;
网络行为信息,是指上网行为记录,消费者在网络上的各种活动行为,如上网时间、上网地点、输入记录、聊天交友、网站访问行为和网络游戏行为等个人信息。
所述操作信息包括前述访问许可后,对网络节点上的数据信息进行读取、存储、新建和/或删除等的操作类型。
所述对象信息包括前述操作对象(比如一个文档)的类型信息、大小信息、创建时间信息和修改文件的时间信息等。
同时,优选的,用户信息、网络环境信息、操作信息和对象信息对应的安全级别均可由具有管理员身份的用户进行管理。前述用户信息、网络环境信息、操作信息和对象信息可以在划分不同的安全级别后与网络节点的数据信息的信息安全等级挂钩,以匹配处于网络环境中的强制访问权限;也可以将划分安全级别的用户信息、网络环境信息、操作信息和对象信息进行组合,整合成前述强制访问控制规则;还可以根据网络环境对访问控制需求的变化,调整对前述用户信息、网络环境信息、操作信息和对象信息先后经过规则的鉴权顺序。
作为本实施例的一个优选实施方式,例如,可以将前述所述用户信息设置为一级用户信息、二级用户信息、三级用户信息、四级用户信息和五级用户信息。例如,一级用户信息对应为允许访问该网络系统内拥有最高信息安全等级在内的所有的网络节点的数据信息;二级用户信息对应为允许访问该网络系统内除拥有最高信息安全等级在内的网络节点的数据信息以外的所有网络节点的数据信息;依次类推,各等级的用户信息对应的可访问的网络节点的数据信息的范围依次递减,五级用户信息对应的可访问的网络节点的数据信息的范围最小。其中,针对具有一级用户的访问请求在符合强制访问权限后,可以访问一级信息、二级信息、三级信息、四级信息和五级信息在内的所有的数据信息,和/或,执行具备编辑、读写等操作类型;针对二级用户的访问请求符合强制访问权限后,可以访问二级信息、三级信息、四级信息和五级信息在内的所有的数据信息,和/或,执行具备编辑、读写等操作类型;依次类推,等级越低,对网络节点的数据信息能够进行访问和操作的允许范围就越小。
所述鉴权是指针对用户访问网络节点时的信息的用户信息、网络环境信息、操作信息和对象信息进行判断,鉴别前述信息是否符合用户访问网络节点的权限,对符合准入网络访问请求的,准许用户接入网络进行访问和/或操作。
所述鉴权顺序指对用户访问网络节点时的信息进行判断,根据预设的强制访问控制规则鉴别前述信息的访问权限的顺序。作为举例而非限制,所述鉴权顺序可以选择用户信息-OR操作信息-OR对象信息的鉴权顺序,也可以选择(用户信息AND操作信息)-OR对象信息的鉴权顺序,还可以选择例如(用户信息OR操作信息)-AND对象信息的鉴权顺序对用户的访问请求进行判断。
在执行网络漏洞扫描时,对用户的请求信息中信息的安全标签对应的安全级别,与网络中用户进行访问的网络节点的数据信息的安全标签对应的信息安全等级进行比较。当两者的安全标签相匹配时,即前述用户的请求信息中信息的安全标签对应的安全级别,与网络中用户进行访问的网络节点的数据信息的安全标签对应的信息安全等级,执行前述用户对网络节点的数据信息的访问和/或执行操作。
所述网络节点,是指处于网络环境中具有独立网络地址和数据处理功能的终端,所述的数据处理功能包括但不限于传送数据、接收数据和/或分析数据的功能。网络节点可以是工作站、客户、网络用户或个人计算机,也可以是服务器、打印机和其他网络连接的设备。整个网络环境中包括多个网络节点,这些网络节点通过通信线路连接,形成网络拓扑结构。所述通信线路可以是有线通信方式,也可以是无线通信方式。所述的访问权限和操作权限可以与网络节点的数据信息的信息安全等级相匹配;所述操作权限包括前述用户能够操作的数据信息的信息安全等级。
其中,所述信息安全等级可以是国家质量技术监督局标准规定的
计算机信息系统安全保护能力的五个等级:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级,也可以是基于用户自定义划分的网络数据信息安全保护等级。
作为举例而非限制,所述信息安全等级可以划分为五级,将信息根据安全等级划分为一级信息、二级信息、三级信息、四级信息和五级信息,其中一级信息为最重要的数据信息,各等级的数据信息的重要程度依次递减,五级信息为最不重要的数据信息。
S102,检测目标用户访问网络节点的日志信息和网络环境信息,发送到态势感知系统。
在本实施例中,所述目标用户是指前述正在对网络节点进行访问的用户。所述目标用户在进行访问网络节点的相关操作时会涉及到网络节点的访问权限和/或操作权限的调整,以达到执行相关操作的目的,在这一过程中会使网络环境中产生网络漏洞。
所述网络节点的日志信息是指网络设备、系统及服务程序等,在运作时产生的事件记录,其中,每一行日志都记载着日期、时间、使用者及动作等相关操作的描述。所述网络节点的日志信息包括但不限于下述信息:
连接持续的时间,其数值以秒为单位,例如,其数值范围可以是:[0,58329];
协议类型,包括但不限于TCP、UDP、ICMP;
目标主机的网络服务类型;
连接正常或错误的状态;
从源主机到目标主机的数据字节数,例如,其数值范围可以是:[0,1379963888];
从目标主机到源主机的数据字节数,例如,其数值范围可以是:
[0,1309937401];
连接是否来自同一个主机,是否有相同的端口;
错误分段的数量,例如,其数值范围可以是:[0,3];
加急包的个数,例如,其数值范围可以是:[0,14]。
所述的定期检测可以设置检测时间或是检测时间周期,所述的定期检测可以是下述项目,包括但不限于:
网页防篡改,用以实时监控网站目录并通过备份恢复被篡改的文件或目录,保障重要系统的网站信息不被恶意篡改,防止出现挂马、黑链、非法植入恐怖威胁等内容。
进程异常行为,用以检测资产中是否存在超出正常执行流程的行为。
异常登录,用以检测服务器上的异常登录行为。所述异常登录可以是ECS非合法IP登录、ECS在非常用地登录、ECS登录后执行异常指令序列等。
敏感文件篡改,用以检测是否存在对服务器中的敏感文件进行恶意修改。
恶意进程,用以实时检测服务器,并对检测到的病毒文件提供实时告警。可检测子项包括访问恶意IP、挖矿程序、自变异木马、恶意程序、木马程序等。
异常网络连接,检测网络显示断开或不正常的网络连接状态。所述异常网络连接可以是主动连接恶意下载源、访问恶意域名、矿池通信行为、可疑网络外连、反弹Shell网络外连、Windows异常网络连接、疑似内网横向攻击、疑似敏感端口扫描行为等。
异常账号,用以检测非合法的登录账号。
应用入侵事件,用以检测通过系统的应用组件入侵服务器的行为。
病毒检测,可用以对主流勒索病毒、DDoS木马、挖矿和木马程序、恶意程序、后门程序和蠕虫病毒等类型进行主动防御。
Web应用威胁检测,用以检测通过Web应用入侵服务器的行为。
恶意脚本,用以检测资产的系统功能是否受到恶意脚本的攻击或篡改,对可能的恶意脚本攻击行为进行告警提示。
威胁情报用以利用威胁情报库对访问流量、日志进行关联分析,识别出可能已经发生的威胁事件,主要包括恶意域名访问、恶意下载源访问、恶意IP访问等不易直接发现的入侵行为。
恶意网络行为通过流量内容、服务器行为等日志综合判断的异常网络行为,包括攻击者通过开放的网络服务入侵主机、或主机沦陷后对外发起的异常网络行为。
所述网络环境信息涉及与网络环境相关的数据信息,包括但不限制于用户首次访问时间、用户访问次数、当前时间下用户的操作类型和控制用户的访问速率等。
所述态势感知系统可以是整合防病毒软件、防火墙、入侵监测系统、安全审计系统等多个数据信息系统,以实现目前网络环境情况的评估,以及,前述网络环境未来变化趋势的预测。
优选的,所述态势感知系统可以包括但不限于数据采集、特征提取、态势评估、安全预警。
优选的,所述数据采集可以是对当前整个网络状态进行数据提取,包括但不限于网站安全日志、漏洞数据库、恶意代码数据库等多个数据进行统筹整理,也可以建立自己的信息数据库进行数据采集。
优选的,所述特征提取可以对前述数据采集过程中收集的数据进行提取,进一步,对前述数据进行数据清洗,以保障数据的完整性和可操作性,完成数据预处理操作。
优选的,所述态势评估可以通过关联事件进行数据融合处理,包括但不限于从时间、空间、协议等多个方面进行关联识别,进一步,结合数据信息、对当前的时间进行危险评估、判断事件危险等级。
优选的,所述安全预警可以是前述数据采集、特征提取、态势评估过程之后,对网络环境根据指定的标准进行评估和预测,进一步,给出安全状态预警处理。
S103,通过态势感知系统判断前述日志信息和网络环境信息是否匹配前述目标用户对应的访问网络节点的访问权限和操作权限。
S104,在判断不匹配的情况下,触发告警。
即在判定不匹配的情况下,视为前述网络环境中存在网络漏洞,从而触发告警。
优选的,所述告警包括紧急告警和非紧急告警,判定为紧急告警时,对对应的网络节点进行安全防御,断开前述网络节点的网络访问,对网络节点所在的网络环境进行故障处理;和/或,定期检测出现过告警的网络节点,将前述网络节点的日志信息发送至态势感知系统进行安全分析。
所述紧急告警能够对告警中突然发生的异常数据进行报警,所述异常数据可以是异常操作、异常行为、异常数值等;优选的,所产生的紧急告警可以在态势感知系统基于告警数据进行分析后得出,并能够提供显示异常数据的指针;所述非紧急告警是指除紧急告警之外的其它告警情形。
所述故障处理针对网络环境中出现的故障进行排查,包括步骤:观察、描述故障现象,收集可能产生故障原因的信息;分析故障的原因,并制定解决方案;逐一实施解决方案,记录故障排查过程,直至网络恢复正常。
优选的,所述网络漏洞对网络环境的威胁包括超危、高危、中危和低危四个等级。
所述网络环境的威胁的四个等级可以根据国家计算机防范入侵网络中心的评判标准进行评级。所述超危等级的网络漏洞可以是无需用户激活的蠕虫传播的漏洞;所述高危等级的网络漏洞可以是能够危及到用户隐私数据的漏洞;所述中危等级的网络漏洞可以是受限于默认配置或验证等因素的漏洞;所述低危等级的网络漏洞可以是不属于前述超危等级、高危等级和中危等级的,且对网络环境的影响最小的漏洞。
优选的,在检测到的网络环境中评价为前述超危和/或高危的网络漏洞时,触发告警,并进行紧急告警。
优选的,在检测到的网络环境中评价为前述中危和/或低危的网络漏洞时,触发告警,并进行非紧急告警。
优选的,当同一时间段内发生的告警包括有前述紧急告警和前述非紧急告警时,优先处理紧急告警。
作为本实施例的一个优选实施方式,参见图2所示,在检测目标用户访问网络节点的网络环境信息时,还包括步骤S110:
S111,当检测到目标用户在同一事件内对网络节点的访问权限和/或操作权限进行调整后,比对包括目标用户在执行前述事件的相关操作前、相关操作时和相关操作后在内的任意两种网络环境。
S112,获取网络环境发生变化的网络环境信息,判断网络环境内是否存在网络漏洞。
S113,分析所述网络漏洞的产生是否由前述调整的行为造成,得到前述调整的行为与网络漏洞产生之间的因果关系。
S114,根据前述因果关系,计算触发网络漏洞的评分指标,评价网络漏洞对网络环境造成威胁的等级。
在本实施例中,所述同一事件是指目标用户的多个具有关联性的系列操作,所述操作包括但不限制于读取、写入、编辑等;所述关联性是指前述操作与操作间存在的某种特定关系,所述特定关系例如因果关系、递进关系等。
所述触发网络漏洞的评分指标使用两组指标对漏洞进行评分,分别是可利用性指标组和影响性指标组。所述可利用性指标组描述漏洞利用的方式和难易程度,反映脆弱性组件的特征,依据脆弱性组件进行评分,所述影响性指标组描述漏洞被成功利用后给受影响组件造成的危害,依据受影响组件进行评分。
所述可利用性指标组刻画脆弱性组件(即包含漏洞的事物)的特征,反映漏洞利用的难易程度和技术要求。可利用性指标组包含四个指标,分别是攻击途径指标、攻击复杂度指标、权限要求指标和用户交互指标。每一个指标的取值都根据脆弱性组件进行判断,并且在判断某个指标的取值时不考虑其他指标。所述脆弱性组件是指包含漏洞的组件,包括但不限制于软件应用、软件模块、驱动和硬件设备。
所述攻击途径指标反映攻击者利用漏洞的途径,所述途径是否能够被攻击者通过网络、邻接、本地和物理接触等方式进行利用。
所述攻击途径指标的赋值如下:
网络方式,其脆弱性组件是网络应用,攻击者可以通过互联网利用该漏洞,即“可远程利用的”漏洞,攻击者可通过一个或多个网络跳跃(跨路由器)利用该漏洞。
邻接方式,其脆弱性组件是网络应用,但攻击者不能通过互联网(即不能跨路由器)利用该漏洞,只能在共享的物理(如,蓝牙、IEEE 802.11)或逻辑(如,本地IP子网)网络内利用该漏洞。
本地方式,其脆弱性组件不再是网络应用,攻击者通过读/写操作或运行应用程序/工具来利用该漏洞。攻击者在进行本地登录,或者是目标用户执行恶意文件后才利用该漏洞。当漏洞被攻击者利用时,需要目标用户去下载或接受恶意内容(或者需要本地传递恶意内容)的攻击途径取值为“本地”。
物理方式,指攻击者必须物理接触/操作脆弱性组件才能发起攻击,期间的物理交互可以是短暂的也可以是持续的。例如,攻击者以普通用户身份远程登录一台主机,然后在该主机上打开包含恶意内容的PDF文件,使得攻击者获得管理员权限。
所述攻击复杂度指标反映攻击者利用该漏洞实施攻击的复杂程度,所述攻击复杂度指标的赋值如下:
低:不存在专门的访问条件,攻击者可以期望重复利用漏洞;
高:漏洞的成功利用依赖于某些攻击者不能控制的条件,即,攻击者不能任意发动攻击,在预期成功发动攻击前,攻击者需要对脆弱性组件投入一定数量的准备工作。包括但不限制于下述情况:
攻击者必须对目标执行有针对性的调查,例如,目标配置的设置、序列数、共享秘密等;
攻击者必须准备目标环境以提高漏洞利用的可靠性,例如,重复利用以赢得竞争条件,或克服高级漏洞利用缓解技术;
攻击者必须将自己注入到攻击目标和受害者所请求的资源之间的逻辑网络路径中,以便读取和/或修改网络通信(如,中间人攻击)。
需要说明的是,在攻击复杂度指标取值为“高”的描述中,对攻击者在成功发动攻击前所做的准备工作没有进行定量的描述,只要攻击者必须进行一些额外的努力才能利用这个漏洞,攻击复杂度就是“高”,如漏洞利用时需要配置其他的特殊状态,需要监视或者改变受攻击实体的运行状态等。如果漏洞利用时所需要的条件要求不高,例如只需构造一些简单的数据包,则攻击复杂度为“低”。
所述权限要求指标反映攻击者成功利用漏洞需要具备的权限层级,即利用漏洞时是否需要拥有对该组件操作的权限(如管理员权限、guest权限)。权限要求指标的赋值如下:
无:攻击者在发动攻击前不需要授权,执行攻击时不需要访问任何设置或文件;
低:攻击者需要取得普通用户权限,该类权限对脆弱性组件有一定的控制能力,具有部分(非全部)功能的使用或管理权限,通常需要口令等方式进行身份认证,例如,操作系统的普通用户权限、Web等应用的注册用户权限;
高:攻击者需要取得对脆弱性组件的完全控制权限。通常,该类权限对于脆弱性组件具有绝对的控制能力,例如,操作系统的管理员权限,Web等应用的后台管理权限。
需要说明的是,在正常情况下,具有普通用户权限只能对该目标用户拥有的设置和文件进行操作。假设具有普通用户权限的攻击者通过利用漏洞获得权限提升,能够在目标系统上执行任意命令。对于这种情况,权限要求为“低”,至于权限提升后造成的危害,会在影响性指标组中体现。
所述用户交互指标反映成功利用漏洞是否需要目标用户(而不是攻击者)的参与,该指标识别攻击者是否可以根据其意愿单独利用漏洞,或者要求其他用户以某种方式参与。用户交互指标的赋值如下:
不需要:无需任何用户交互即可利用漏洞;
需要:漏洞的成功利用需要其他用户在漏洞被利用之前执行一些操作(打开某个文件、点击某个链接、访问特定的网页等),例如,某个漏洞只能在系统管理员安装应用程序期间才可能被利用,对于这种情况,用户交互指标的值是“需要”。
所述影响性指标组反映漏洞成功利用后所带来的危害。漏洞的成功利用可能危害一个或多个组件,影响性指标组的分值根据遭受最大危害的组件进行评定。所述影响性指标组依据受影响组件进行评分,所述受影响组件指漏洞被成功利用后遭受危害的组件,如软件应用、硬件设备、网络资源等。所述受影响组件可以是前述脆弱性组件本身,也可以是其他软件、硬件或网络组件。
需要说明的是,如果受漏洞影响的资源超出了脆弱性组件的范围,则受影响组件和脆弱性组件不同。例如,某即时聊天工具中存在一个漏洞,攻击者则可能会利用该漏洞可造成主机系统中的部分信息(如用户的Word文档、管理员密码、系统配置)泄露。其中,脆弱性组件是即时聊天工具,受影响组件是主机系统,脆弱性组件和受影响组件不同,漏洞的影响范围发生变化。所述影响范围是指漏洞被成功利用后遭受危害的资源的范围。
如果受漏洞影响的资源局限于脆弱性组件内部,则受影响组件和脆弱性组件相同。若受影响组件和脆弱性组件不同,则影响范围发生变化;否则,影响范围不变。例如,某数据库管理系统中存在一个漏洞,攻击者可能会利用该漏洞窃取数据库中的全部数据。其中,脆弱性组件是数据库管理系统,受影响组件还是数据库管理系统,可见,脆弱性组件和受影响组件为相同组件,漏洞的影响范围不变。
所述影响性指标组由机密性影响指标、完整性影响指标、可用性影响指标和关联性影响指标组成。
所述机密性影响指标用来度量漏洞的成功利用对信息资源的机密性的影响。所述机密性指只有授权用户才能访问受保护的信息资源,限制向未授权用户披露受保护信息。机密性影响是指对受影响服务所使用的数据的影响,例如,系统文件丢失、信息暴露等。所述机密性影响指标的赋值如下:
高:机密性完全丢失,导致受影响组件的所有资源暴露给攻击者。或者,攻击者只能得到一些受限信息,但是,暴露的信息可以导致一个直接的、严重的信息丢失,例如,攻击者获得了管理员密码、Web服务器的私有加密密钥等;
低:机密性部分丢失,攻击者可以获取一些受限信息,但是攻击者不能控制获得信息的数量和种类,被披露的信息不会引起受影响组件直接的、严重的信息丢失;
无:受影响组件的机密性没有丢失,攻击者不能获得任何机密信息。
需要说明的是,所述机密性影响指标为“高”表示攻击者能够获得受影响组件的全部信息,或者攻击者能够获得他想要的任何信息。或者,利用得到的部分信息能够进一步获得他想要的任何信息。所述机密性影响指标为“低”表示攻击者只能获得部分受限信息,不能任意获取信息,其利用得到的部分信息也不能进一步获得任意信息。
所述完整性影响指标用来度量漏洞的成功利用给完整性造成的影响。所述完整性指信息的可信性与真实性,如果攻击者能够修改被攻击对象中的文件,则完整性受到影响。所述完整性同时也包括受影响服务所使用的数据的影响。例如,Web内容被恶意修改,攻击者可以修改/替换文件等。所述完整性影响指标的赋值如下:
高:完整性完全丢失,或者完全丧失保护,例如,攻击者能够修改受影响组件中的任何文件,或者,攻击者只能修改一些文件,但是,恶意的修改能够给受影响组件带来直接的、严重的后果;
低:攻击者可以修改数据,但是不能控制修改数据造成的后果,或者修改的数量是有限的,数据修改不会给受影响组件带来直接的、严重的影响;
无:受影响组件的完整性没有丢失,攻击者不能修改受影响组件中的任何信息。
需要说明的是,所述完整性影响指标为“高”表示攻击者能够修改/替换受影响组件中的任何文件,或者攻击者能够修改/替换他想修改的任何信息。或者,攻击者能够修改/替换一些关键信息,如管理员密码。所述完整性影响指标为“低”表示攻击者只能修改/替换部分文件,不能任意修改/替换文件,也不能修改/替换关键文件。
所述可用性影响指标用来度量攻击者成功利用漏洞会给受影响组件的性能带来的影响。所述性能是指系统实现其功能的能力,从宏观上可以描述为系统能够稳定运行,在高并发访问时系统不会出现宕机,系统处理完成用户请求需要时,能够同时支撑并发访问,从微观上可以描述为处理每个事务的资源开销,资源的开销可以包括CPU,磁盘IO,内存,网络传输带宽等,甚至可以体现为服务器链接数,线程数,JVM Heap等的使用情况,也可以表现为内存的分配回收是否及时,缓存规则的命中率等。
相比于所述机密性影响指标和所述完整性影响指标用来反映漏洞的成功利用对受影响组件数据的影响,例如,网络内容被恶意修改为完整性受影响,或系统文件被窃为机密性受影响。而所述可用性影响指标能够反映攻击者成功利用漏洞对受影响组件操作的影响。所述可用性影响指标的赋值如下:
高:可用性完全丧失,攻击者能够完全拒绝对受影响组件中资源的访问,或者,攻击者可以拒绝部分可用性,但是能够给受影响组件带来直接的、严重的后果,例如,尽管攻击者不能中断已存在的连接,但是能够阻止新的链接;攻击者能够重复利用一个漏洞,虽然每个利用只能泄露少量的内存,但是重复利用可以使一个服务变得不可用;
低:攻击者能够降低资源的性能或者中断其可用性。即使能够重复利用这个漏洞,但是攻击者也不能完全拒绝合法用户的访问,受影响组件的资源是部分可用的,或在一些时候是完全可用的,但总体上不会给受影响组件带来直接的,严重的后果;
无:受影响组件的可用性不受影响,攻击者不能降低受影响组件的性能,例如,在一个互联网服务如网页、电子邮件或DNS中的漏洞,该漏洞允许攻击者修改或删除目录中的所有文件,所述漏洞的成功利用会导致完整性受影响,而可用性不会受到影响。
需要说明的是,所述可用性影响指标表示对服务自身性能和操作的影响,不是数据的影响。所述可用性影响指标为“高”表示受影响的组件完全不能响应,完全不能正常工作、不能操作、不能提供服务。或者攻击者可以阻止新的访问,通过重复利用漏洞消耗受影响组件的资源使其不能进行正常的服务。所述可用性影响指标为“低”表示受影响的组件的性能降低,部分服务受到影响,但不会造成完全不能工作。
所述关联性影响指标用来度量攻击者成功利用漏洞会给受影响组件和与受影响组件相关联的组件的性能带来的影响。所述关联性影响指标的赋值如下:
高:与受影响组件相关联的组件受到强关联影响,即攻击者将受影响组件的范围扩大至与受影响组件相关联的组件上,使访问这些受影响组件的目标用户的终端设备也受到网络漏洞的攻击,例如,单个/多个目标用户在同一时间段内调整多个网络节点的访问权限和/或操作权限后,导致网络环境内产生网络漏洞,最终使前述多个由单个/多个目标用户进行网络节点访问的关联节点受到网络攻击,造成网络节点瘫痪;
低:与受影响组件相关联的组件受到强关联影响,即攻击者将受影响组件的范围扩大至与受影响组件相关联的组件上,使访问这些受影响组件的目标用户的终端设备也受到网络漏洞的攻击,例如,单个/多个目标用户在同一时间段内调整单个网络节点的访问权限和/或操作权限后,导致网络环境内产生网络漏洞,最终使前述多个由单个/多个目标用户进行网络节点访问的关联节点受到网络攻击,造成前述网络节点中部分数据的修改或删除,总体上不会给受影响组件带来直接的,严重的后果;
无:受影响组件的关联性不受影响,攻击者不能降低与受影响组件相关联的组件的性能,例如,在一个互联网服务如网页或电子邮件,该漏洞允许攻击者修改或删除目录中的所有文件,所述攻击者成功利用漏洞会导致机密性、完整性或可用性受影响,而与受影响组件相关联的组件的性能不会受到影响。
需要说明的是,所述关联性影响指标是指与受影响组件相关联的组件的性能受到影响,而不是指受影响组件所受到的影响。所述关联性影响指标为“高”表示与受影响组件相关联的组件完全不能响应,完全不能正常工作、不能操作、不能提供服务。或者攻击者可以阻止新的访问,通过重复利用漏洞消耗受影响组件的资源使其不能进行正常的服务。所述关联性影响指标为“低”表示与受影响组件相关联的组件的性能降低,部分服务受到影响,但不会造成完全不能工作。
对上述可利用性指标组中各个指标的不同取值的组合有不同的评分,以及,影响性指标组中各个指标的不同取值的组合有不同的评分。
优选的,对网络漏洞对网络环境的威胁可采用评分或分级的方式进行评价,网络漏洞对网络环境的威胁级别的评分由可利用性指标组的评分和影响性指标组的评分两部分共同组成,网络漏洞对网络环境的威胁级别可根据其评分进行划分。
网络漏洞对网络环境的威胁级别的评分规则如下:
如果可利用性指标组评分+影响性指标组评分>10,漏洞评分=10;其中,漏洞评分=可利用性指标组评分+影响性指标组评分;所述可利用性指标组评分=攻击途径指标+攻击复杂度指标+权限要求指标+用户交互指标,所述影响性指标组评分=机密性影响指标+完整性影响指标+可用性影响指标+关联性影响指标;前述各指标的赋值折合在0到10的数值之间,漏洞分值保留到小数点后1位,如果小数点后第二位的数字大于0,则小数点后第一位数字加1。
所述网络漏洞对网络环境的威胁级别划分为四个等级,从高至低依次分为超危、高危、中危和低危。具体划分为:漏洞评分范围为9.0-10,漏洞等级为超危;漏洞评分范围为7.0-8.9,漏洞等级为高危;漏洞评分范围为4.0-6.9,漏洞等级为中危;漏洞评分范围为0-3.9,漏洞等级为低危。
上述计算触发网络漏洞的评分指标的方式不仅可以度量脆弱性组件和受影响组件相同的漏洞,而且还可以度量脆弱性组件和受影响组件不同的漏洞。例如从所述指标组中,各个指标的取值高低能够判断此次网络漏洞威胁网络的程度,从各指标组中选取出指标值最高的一项指标,该指标即为此次事件发生因果关系中的主要因素,其余指标则为此次事件发生因果关系中的次要因素。
优选的,作为本实施例的优选实施方式,还可以通过所述态势感知系统能够采集前述目标用户在访问网络节点时调整网络节点的访问权限和/或操作权限的请求信息,所述请求信息还包括前述目标用户调整访问网络节点的访问权限信息和操作权限信息;通过所述请求信息验证目标用户身份信息,检测所述目标用户的网络节点是否存在网络漏洞。
所述请求信息包括但不限于请求行、请求头部、请求数据,对所述请求信息进行实时的关联分析和路径追踪,以实现网络安全的动态分析。
此外,还需要说明的是,在防御阶段应尽可能减轻网络中数据信息受到篡改、窃取、加密、无法访问等操作所造成的网络节点的数据信息的损失。因此,在一个完整的网络环境中,当用户访问某一网络节点时,系统服务器先会通过网络漏洞扫描规则检查从前述用户访问网络节点时的信息,并对用户的访问路径和操作以网络节点日志信息的形式进行记录;对于不符合前述网络漏洞扫描规则的操作,态势感知系统可以对网络中的告警信息进行处理,对前述网络节点可以采取断开访问的措施对网络中的故障进行排查并处理,直至解决故障后再恢复该网络节点的数据传输,也可以实时检测网络环境是否是安全稳定的,在保障网络结构的正常数据传输的基础上给出针对网络节点受到网络攻击的防御策略。
作为优选的实施例,进一步,还可以,采集前述目标用户提出访问请求的IP地址,判定前述目标用户的访问或操作不符合前述网络漏洞扫描规则时,获取前述IP地址的访问或操作记录信息,并进行轨迹追溯和/或轨迹安全分析。
所述IP地址可以是根据用户遵守的IP协议所提供的统一的地址格式,所述IP地址可以为处于网络环境中的每一个网络节点和用户提出访问申请的终端设备分配一个逻辑地址,以便于态势感知系统对用户的访问路径进行跟踪,以及网络节点受到网络攻击时的追踪溯源。
优选的,在前述目标用户通过IP地址提出访问请求之后,判断该目标用户对网络节点进行访问操作时的日志信息和网络环境信息是否分别匹配该目标用户访问网络节点之前的日志信息和网络环境信息。
优选的,还可以将前述目标用户访问网络节点时的日志信息和网络环境信息存储在态势感知系统中,并进行标注和追溯。
上述技术方案尤其适用于基于网络漏洞扫描的态势感知防御针对网络环境中存在的网络漏洞进行防御的情形。
其它技术特征参考在前实施例,在此不再赘述。
参见图3所示,本发明还给出了一个实施例,提供了一种基于网络漏洞扫描的态势感知防御装置S200,其特征在于包括结构:
规则设置单元S201,基于预设的网络漏洞扫描规则,设置用户访问网络节点的访问权限和操作权限;
信息检测单元S202,用于检测目标用户访问网络节点的日志信息和网络环境信息,发送到态势感知系统;
信息分析单元S203,通过态势感知系统判断前述日志信息和网络环境信息是否匹配前述目标用户对应的访问网络节点的访问权限和操作权限;
信息处理单元S204,在判断不匹配的情况下,触发告警。
此外,参见图4所示,本发明还给出了一个实施例,提供了一种基于网络漏洞扫描的态势感知防御系统S300,其特征在于包括:
网络节点S301,用于收发数据;
态势感知系统S302,用于对数据信息进行安全分析;
系统服务器S303,所述系统服务器连接网络节点和态势感知系统;
所述系统服务器被配置为:
基于预设的网络漏洞扫描规则,设置用户访问网络节点的访问权限和操作权限;
检测目标用户访问网络节点的日志信息和网络环境信息,发送到态势感知系统;
通过态势感知系统判断前述日志信息和网络环境信息是否匹配前述目标用户对应的访问网络节点的访问权限和操作权限;
在判断不匹配的情况下,触发告警。
其它技术特征参见在前实施例,在此不再赘述。
在上面的描述中,在本公开内容的目标保护范围内,各组件可以以任意数目选择性地且操作性地进行合并。另外,像“包括”、“囊括”以及“具有”的术语应当默认被解释为包括性的或开放性的,而不是排他性的或封闭性,除非其被明确限定为相反的含义。所有技术、科技或其他方面的术语都符合本领域技术人员所理解的含义,除非其被限定为相反的含义。在词典里找到的公共术语应当在相关技术文档的背景下不被太理想化或太不实际地解释,除非本公开内容明确将其限定成那样。
虽然已出于说明的目的描述了本公开内容的示例方面,但是本领域技术人员应当意识到,上述描述仅是对本发明较佳实施例的描述,并非对本发明范围的任何限定,本发明的优选实施方式的范围包括另外的实现,其中可以不按所述出现或讨论的顺序来执行功能。本发明领域的普通技术人员根据上述揭示内容做的任何变更、修饰,均属于权利要求书的保护范围。
Claims (8)
1.一种基于网络漏洞扫描的态势感知防御方法,其特征在于,所述方法包括步骤:
基于预设的网络漏洞扫描规则,设置用户访问网络节点的访问权限和操作权限;根据前述网络漏洞扫描规则,对所有用户的请求信息和所有网络节点的数据信息都分配对应的安全标签,对前述每个用户的请求信息的安全标签对应标识一个安全级别,对前述每个网络节点的数据信息的安全标签都对应标识一个信息安全等级;在执行网络漏洞扫描时,当用户的请求信息中信息的安全标签,与网络中用户进行访问的网络节点的数据信息的安全标签相匹配时,执行前述用户对网络节点的数据信息的访问和/或操作;
检测目标用户访问网络节点的日志信息和网络环境信息,发送到态势感知系统;所述态势感知系统能够采集前述目标用户在访问网络节点时调整网络节点的访问权限和/或操作权限的请求信息,所述请求信息包括前述目标用户调整访问网络节点的访问权限信息和操作权限信息;通过所述请求信息验证目标用户身份信息,检测所述目标用户的网络节点是否存在网络漏洞;
通过态势感知系统判断前述日志信息和网络环境信息是否匹配前述目标用户对应的访问网络节点的访问权限和操作权限;
在判断不匹配的情况下,触发告警;
其中,在检测目标用户访问网络节点的网络环境信息时,包括步骤:
S111,当检测到目标用户在同一事件内对网络节点的访问权限和/或操作权限进行调整后,比对包括目标用户在执行前述事件的相关操作前、相关操作时和相关操作后在内的任意两种网络环境;所述同一事件是指目标用户的多个具有关联性的系列操作,所述操作包括读取、写入和编辑中的至少一种;所述关联性是指前述操作与操作间存在的因果关系或递进关系;
S112,获取网络环境发生变化的网络环境信息,判断网络环境内是否存在网络漏洞;
S113,分析所述网络漏洞的产生是否由前述调整的行为造成,得到前述调整的行为与网络漏洞产生之间的因果关系;
S114,根据前述因果关系,计算触发网络漏洞的评分指标,评价网络漏洞对网络环境造成威胁的等级;
其中,所述触发网络漏洞的评分指标使用可利用性指标组和影响性指标组对漏洞进行评分;
所述可利用性指标组依据脆弱性组件进行评分,用来描述漏洞利用的方式和难易程度;所述可利用性指标组能够体现脆弱性组件的特征,以反映漏洞利用的难易程度和技术要求;所述可利用性指标组包含攻击途径指标、攻击复杂度指标、权限要求指标和用户交互指标,其中,每一个指标的取值都根据脆弱性组件进行判断,并且在判断某个指标的取值时不考虑其他指标;
所述影响性指标组依据受影响组件进行评分,用以描述漏洞被成功利用后给受影响组件造成的危害;所述影响性指标组能够反映漏洞成功利用后所带来的危害;所述影响性指标组依据受影响组件进行评分,所述受影响组件指漏洞被成功利用后遭受危害的组件;所述受影响组件包括前述脆弱性组件本身、软件、硬件或网络组件中的一种;所述影响性指标组由机密性影响指标、完整性影响指标、可用性影响指标和关联性影响指标组成;所述机密性影响指标用来度量漏洞的成功利用对信息资源的机密性的影响;所述完整性影响指标用来度量漏洞的成功利用给完整性造成的影响;所述可用性影响指标能够反映攻击者成功利用漏洞对受影响组件操作的影响;所述关联性影响指标用来度量攻击者成功利用漏洞会给受影响组件和与受影响组件相关联的组件的性能带来的影响;
其中,对网络漏洞对网络环境的威胁采用评分或分级的方式进行评价,网络漏洞对网络环境的威胁级别的评分由可利用性指标组的评分和影响性指标组的评分两部分共同组成,网络漏洞对网络环境的威胁级别根据其评分进行划分。
2.根据权利要求1所述的方法,其特征在于,所述告警包括紧急告警和非紧急告警,判定为紧急告警时,对对应的网络节点进行安全防御,断开前述网络节点的网络访问,对网络节点所在的网络环境进行故障处理;
和/或,定期检测出现过告警的网络节点,将前述网络节点的日志信息发送至态势感知系统进行安全分析。
3.根据权利要求1所述的方法,其特征在于,所述网络漏洞对网络环境的威胁包括超危、高危、中危和低危四个等级;在检测到的网络环境中评价为前述超危和/或高危的网络漏洞时,触发告警,并进行紧急告警;
在检测到的网络环境中评价为前述中危和/或低危的网络漏洞时,触发告警,并进行非紧急告警;
当同一时间段内发生的告警包括有紧急告警和非紧急告警时,优先处理紧急告警。
4.根据权利要求1中所述的方法,其特征在于,采集前述目标用户提出访问请求的IP地址,判定前述目标用户的访问或操作不符合前述网络漏洞扫描规则时,获取前述IP地址的访问或操作记录信息,并进行轨迹追溯和/或轨迹安全分析。
5.根据权利要求4所述的方法,其特征在于,在前述目标用户通过IP地址提出访问请求之后,判断该目标用户对网络节点进行访问操作时的日志信息和网络环境信息是否分别匹配该目标用户访问网络节点之前的日志信息和网络环境信息。
6.根据权利要求1所述的方法,其特征在于,还包括步骤,将前述目标用户访问网络节点时的日志信息和网络环境信息存储在态势感知系统中,并进行标注和追溯。
7.一种根据权利要求1-6中任一项所述方法的基于网络漏洞扫描的态势感知防御装置,其特征在于包括结构:
规则设置单元,基于预设的网络漏洞扫描规则,设置用户访问网络节点的访问权限和操作权限;根据前述网络漏洞扫描规则,对所有用户的请求信息和所有网络节点的数据信息都分配对应的安全标签,对前述每个用户的请求信息的安全标签对应标识一个安全级别,对前述每个网络节点的数据信息的安全标签都对应标识一个信息安全等级;在执行网络漏洞扫描时,当用户的请求信息中信息的安全标签,与网络中用户进行访问的网络节点的数据信息的安全标签相匹配时,执行前述用户对网络节点的数据信息的访问和/或操作;
信息检测单元,用于检测目标用户访问网络节点的日志信息和网络环境信息,发送到态势感知系统;所述态势感知系统能够采集前述目标用户在访问网络节点时调整网络节点的访问权限和/或操作权限的请求信息,所述请求信息包括前述目标用户调整访问网络节点的访问权限信息和操作权限信息;通过所述请求信息验证目标用户身份信息,检测所述目标用户的网络节点是否存在网络漏洞;在检测目标用户访问网络节点的网络环境信息时,还包括步骤:S111,当检测到目标用户在同一事件内对网络节点的访问权限和/或操作权限进行调整后,比对包括目标用户在执行前述事件的相关操作前、相关操作时和相关操作后在内的任意两种网络环境;所述同一事件是指目标用户的多个具有关联性的系列操作,所述操作包括读取、写入和编辑中的至少一种;所述关联性是指前述操作与操作间存在的因果关系或递进关系;S112,获取网络环境发生变化的网络环境信息,判断网络环境内是否存在网络漏洞;S113,分析所述网络漏洞的产生是否由前述调整的行为造成,得到前述调整的行为与网络漏洞产生之间的因果关系;S114,根据前述因果关系,计算触发网络漏洞的评分指标,评价网络漏洞对网络环境造成威胁的等级;其中,所述触发网络漏洞的评分指标使用可利用性指标组和影响性指标组对漏洞进行评分;所述可利用性指标组依据脆弱性组件进行评分,用来描述漏洞利用的方式和难易程度;所述可利用性指标组能够体现脆弱性组件的特征,以反映漏洞利用的难易程度和技术要求;所述可利用性指标组包含攻击途径指标、攻击复杂度指标、权限要求指标和用户交互指标,其中,每一个指标的取值都根据脆弱性组件进行判断,并且在判断某个指标的取值时不考虑其他指标;所述影响性指标组依据受影响组件进行评分,用以描述漏洞被成功利用后给受影响组件造成的危害;所述影响性指标组能够反映漏洞成功利用后所带来的危害;所述影响性指标组依据受影响组件进行评分,所述受影响组件指漏洞被成功利用后遭受危害的组件;所述受影响组件包括前述脆弱性组件本身、软件、硬件或网络组件中的一种;所述影响性指标组由机密性影响指标、完整性影响指标、可用性影响指标和关联性影响指标组成;所述机密性影响指标用来度量漏洞的成功利用对信息资源的机密性的影响;所述完整性影响指标用来度量漏洞的成功利用给完整性造成的影响;所述可用性影响指标能够反映攻击者成功利用漏洞对受影响组件操作的影响;所述关联性影响指标用来度量攻击者成功利用漏洞会给受影响组件和与受影响组件相关联的组件的性能带来的影响;其中,对网络漏洞对网络环境的威胁采用评分或分级的方式进行评价,网络漏洞对网络环境的威胁级别的评分由可利用性指标组的评分和影响性指标组的评分两部分共同组成,网络漏洞对网络环境的威胁级别根据其评分进行划分;
信息分析单元,通过态势感知系统判断前述日志信息和网络环境信息是否匹配前述目标用户对应的访问网络节点的访问权限和操作权限;信息处理单元,在判断不匹配的情况下,触发告警。
8.一种根据权利要求1-6中任一项所述方法的基于网络漏洞扫描的态势感知防御系统,其特征在于包括:
网络节点,用于收发数据;
态势感知系统,用于对数据信息进行安全分析;
系统服务器,所述系统服务器连接网络节点和态势感知系统;
所述系统服务器被配置为:
基于预设的网络漏洞扫描规则,设置用户访问网络节点的访问权限和操作权限;根据前述网络漏洞扫描规则,对所有用户的请求信息和所有网络节点的数据信息都分配对应的安全标签,对前述每个用户的请求信息的安全标签对应标识一个安全级别,对前述每个网络节点的数据信息的安全标签都对应标识一个信息安全等级;在执行网络漏洞扫描时,当用户的请求信息中信息的安全标签,与网络中用户进行访问的网络节点的数据信息的安全标签相匹配时,执行前述用户对网络节点的数据信息的访问和/或操作;
检测目标用户访问网络节点的日志信息和网络环境信息,发送到态势感知系统;所述态势感知系统能够采集前述目标用户在访问网络节点时调整网络节点的访问权限和/或操作权限的请求信息,所述请求信息包括前述目标用户调整访问网络节点的访问权限信息和操作权限信息;通过所述请求信息验证目标用户身份信息,检测所述目标用户的网络节点是否存在网络漏洞;
通过态势感知系统判断前述日志信息和网络环境信息是否匹配前述目标用户对应的访问网络节点的访问权限和操作权限;
在判断不匹配的情况下,触发告警;
其中,在检测目标用户访问网络节点的网络环境信息时,还包括步骤:
S111,当检测到目标用户在同一事件内对网络节点的访问权限和/或操作权限进行调整后,比对包括目标用户在执行前述事件的相关操作前、相关操作时和相关操作后在内的任意两种网络环境;所述同一事件是指目标用户的多个具有关联性的系列操作,所述操作包括读取、写入和编辑中的至少一种;所述关联性是指前述操作与操作间存在的因果关系或递进关系;
S112,获取网络环境发生变化的网络环境信息,判断网络环境内是否存在网络漏洞;
S113,分析所述网络漏洞的产生是否由前述调整的行为造成,得到前述调整的行为与网络漏洞产生之间的因果关系;
S114,根据前述因果关系,计算触发网络漏洞的评分指标,评价网络漏洞对网络环境造成威胁的等级;
其中,所述触发网络漏洞的评分指标使用可利用性指标组和影响性指标组对漏洞进行评分;
所述可利用性指标组依据脆弱性组件进行评分,用来描述漏洞利用的方式和难易程度;所述可利用性指标组能够体现脆弱性组件的特征,以反映漏洞利用的难易程度和技术要求;所述可利用性指标组包含攻击途径指标、攻击复杂度指标、权限要求指标和用户交互指标,其中,每一个指标的取值都根据脆弱性组件进行判断,并且在判断某个指标的取值时不考虑其他指标;
所述影响性指标组依据受影响组件进行评分,用以描述漏洞被成功利用后给受影响组件造成的危害;所述影响性指标组能够反映漏洞成功利用后所带来的危害;所述影响性指标组依据受影响组件进行评分,所述受影响组件指漏洞被成功利用后遭受危害的组件;所述受影响组件包括前述脆弱性组件本身、软件、硬件或网络组件中的一种;所述影响性指标组由机密性影响指标、完整性影响指标、可用性影响指标和关联性影响指标组成;所述机密性影响指标用来度量漏洞的成功利用对信息资源的机密性的影响;所述完整性影响指标用来度量漏洞的成功利用给完整性造成的影响;所述可用性影响指标能够反映攻击者成功利用漏洞对受影响组件操作的影响;所述关联性影响指标用来度量攻击者成功利用漏洞会给受影响组件和与受影响组件相关联的组件的性能带来的影响;
其中,对网络漏洞对网络环境的威胁采用评分或分级的方式进行评价,网络漏洞对网络环境的威胁级别的评分由可利用性指标组的评分和影响性指标组的评分两部分共同组成,网络漏洞对网络环境的威胁级别根据其评分进行划分。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110858906.7A CN113660224B (zh) | 2021-07-28 | 2021-07-28 | 基于网络漏洞扫描的态势感知防御方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110858906.7A CN113660224B (zh) | 2021-07-28 | 2021-07-28 | 基于网络漏洞扫描的态势感知防御方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113660224A CN113660224A (zh) | 2021-11-16 |
| CN113660224B true CN113660224B (zh) | 2023-10-03 |
Family
ID=78490804
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110858906.7A Active CN113660224B (zh) | 2021-07-28 | 2021-07-28 | 基于网络漏洞扫描的态势感知防御方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113660224B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114189360B (zh) * | 2021-11-19 | 2023-09-29 | 上海纽盾科技股份有限公司 | 态势感知的网络漏洞防御方法、装置及系统 |
| CN114301706B (zh) * | 2021-12-31 | 2023-07-21 | 上海纽盾科技股份有限公司 | 基于目标节点中现有威胁的防御方法、装置及系统 |
| CN114448721B (zh) * | 2022-03-11 | 2023-06-13 | 全球能源互联网研究院有限公司南京分公司 | 一种漏洞无感缓解装置及方法 |
| CN114968761B (zh) * | 2022-04-11 | 2023-07-21 | 杭州德适生物科技有限公司 | 一种基于互联网的软件运行环境安全监管系统 |
| CN115460023B (zh) * | 2022-11-14 | 2023-03-17 | 国能大渡河大数据服务有限公司 | 一种用于网络安全整体保障的方法及系统 |
| CN116095683B (zh) * | 2023-04-11 | 2023-06-13 | 微网优联科技(成都)有限公司 | 无线路由器的网络安全防护方法及装置 |
| CN116361760B (zh) * | 2023-06-01 | 2023-08-15 | 湖南三湘银行股份有限公司 | 一种基于生物探针技术的身份认证装置 |
| CN117424766A (zh) * | 2023-12-19 | 2024-01-19 | 国能大渡河大数据服务有限公司 | 一种基于可信度量的威胁行为检测系统及方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103853986A (zh) * | 2014-01-03 | 2014-06-11 | 李凤华 | 一种访问控制方法和装置 |
| CN107066877A (zh) * | 2017-03-31 | 2017-08-18 | 武汉票据交易中心有限公司 | 一种交易系统的权限变更方法及系统 |
| WO2017166037A1 (zh) * | 2016-03-29 | 2017-10-05 | 深圳投之家金融信息服务有限公司 | 一种数据篡改的检测装置及方法 |
| CN108881219A (zh) * | 2018-06-14 | 2018-11-23 | 郑州云海信息技术有限公司 | 一种基于强制访问控制的文件权限管理方法及系统 |
| CN110445807A (zh) * | 2019-08-23 | 2019-11-12 | 瑞森网安(福建)信息科技有限公司 | 网络安全态势感知系统及方法 |
| US10831898B1 (en) * | 2018-02-05 | 2020-11-10 | Amazon Technologies, Inc. | Detecting privilege escalations in code including cross-service calls |
-
2021
- 2021-07-28 CN CN202110858906.7A patent/CN113660224B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103853986A (zh) * | 2014-01-03 | 2014-06-11 | 李凤华 | 一种访问控制方法和装置 |
| WO2017166037A1 (zh) * | 2016-03-29 | 2017-10-05 | 深圳投之家金融信息服务有限公司 | 一种数据篡改的检测装置及方法 |
| CN107066877A (zh) * | 2017-03-31 | 2017-08-18 | 武汉票据交易中心有限公司 | 一种交易系统的权限变更方法及系统 |
| US10831898B1 (en) * | 2018-02-05 | 2020-11-10 | Amazon Technologies, Inc. | Detecting privilege escalations in code including cross-service calls |
| CN108881219A (zh) * | 2018-06-14 | 2018-11-23 | 郑州云海信息技术有限公司 | 一种基于强制访问控制的文件权限管理方法及系统 |
| CN110445807A (zh) * | 2019-08-23 | 2019-11-12 | 瑞森网安(福建)信息科技有限公司 | 网络安全态势感知系统及方法 |
Non-Patent Citations (1)
| Title |
|---|
| Web应用SQL注入漏洞分析及防御研究;李明;《福建电脑》;20200525(第05期);正文第26-27页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113660224A (zh) | 2021-11-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113660224B (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
| KR101689298B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
| Tien et al. | KubAnomaly: Anomaly detection for the Docker orchestration platform with neural network approaches | |
| US10142343B2 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
| US20090158430A1 (en) | Method, system and computer program product for detecting at least one of security threats and undesirable computer files | |
| US10033761B2 (en) | System and method for monitoring falsification of content after detection of unauthorized access | |
| KR102222377B1 (ko) | 위협 대응 자동화 방법 | |
| CN108369541B (zh) | 用于安全威胁的威胁风险评分的系统和方法 | |
| CN113839935B (zh) | 网络态势感知方法、装置及系统 | |
| RU2762528C1 (ru) | Способ обработки событий информационной безопасности перед передачей на анализ | |
| CN110868403B (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
| CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
| KR20170091989A (ko) | 산업 제어 네트워크에서의 보안 관제 평가 시스템 및 방법 | |
| CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及系统 | |
| Deng et al. | Lexical analysis for the webshell attacks | |
| Kardile | Crypto ransomware analysis and detection using process monitor | |
| CN115883170A (zh) | 网络流量数据监测分析方法、装置及电子设备及存储介质 | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
| Beigh et al. | Intrusion detection and prevention system: issues and challenges | |
| Sharma et al. | Smartphone security and forensic analysis | |
| Kono et al. | An unknown malware detection using execution registry access | |
| CN113824678A (zh) | 处理信息安全事件以检测网络攻击的系统和方法 | |
| KR20100067383A (ko) | 서버 보안 시스템 및 서버 보안 방법 | |
| RU2763115C1 (ru) | Способ корректировки параметров модели машинного обучения для определения ложных срабатываний и инцидентов информационной безопасности | |
| CN118214607B (zh) | 基于大数据的安全评价管理方法、系统、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |