CN113672935A - 安全告警风险评估方法、装置、电子设备和存储介质 - Google Patents
安全告警风险评估方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN113672935A CN113672935A CN202110960777.2A CN202110960777A CN113672935A CN 113672935 A CN113672935 A CN 113672935A CN 202110960777 A CN202110960777 A CN 202110960777A CN 113672935 A CN113672935 A CN 113672935A
- Authority
- CN
- China
- Prior art keywords
- attack
- risk
- dimension
- risk assessment
- dimensions
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络安全技术领域,提供一种安全告警风险评估方法、装置、电子设备和存储介质。所述安全告警风险评估方法包括:响应于安全告警,自告警信息中提取网络攻击的攻击特征;根据所述攻击特征的维度,获取网络资产的同维度的指纹特征;按所述维度对所述攻击特征和所述指纹特征进行比对,获得所述攻击特征与所述指纹特征之间基于所述维度的匹配关系;至少根据所述匹配关系,获得所述网络攻击的风险评估结果。本发明能够根据攻击特征和同维度的指纹特征,从攻击本身和资产属性角度精细准确地评估网络攻击的风险,利于发掘高价值告警信息,过滤掉海量的无效告警,为安全响应与处置提供依据,提升效率。
Description
技术领域
本发明涉及网络安全技术领域,具体地说,涉及一种安全告警风险评估方法、装置、电子设备和存储介质。
背景技术
安全检测设备/系统在检测网络安全的过程中会产生大量的安全告警日志,安全人员很难从海量的日志信息中筛选出高价值的告警信息,不利于快速有效地进行安全响应与处置。针对上述问题,目前业内主要采用以下技术进行告警信息的处理:
技术一:告警信息合并去重技术,通过格式化、去重、归并等手段处理告警信息,存在仅关注同源/目的的日志统计汇总,无法解决高价值日志提取的问题,无法剔除探测、扫描等攻击产生的无效告警日志;
技术二:告警信息过滤筛选技术,通过以威胁情报信息、攻击类型、攻击等级等作为过滤条件,筛选日志信息,存在筛选未充分考虑资产属性,易丢失关键告警信息的问题。
需要说明的是,上述背景技术部分公开的信息仅用于加强对本发明的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
有鉴于此,本发明提供一种安全告警风险评估方法、装置、电子设备和存储介质,能够根据攻击特征和同维度的指纹特征,从攻击本身和资产属性角度精细准确地评估网络攻击的风险,利于发掘高价值告警信息,过滤掉海量的无效告警,为安全响应与处置提供依据,提升效率。
本发明的一个方面提供一种安全告警风险评估方法,包括:响应于安全告警,自告警信息中提取网络攻击的攻击特征;根据所述攻击特征的维度,获取网络资产的同维度的指纹特征;按所述维度对所述攻击特征和所述指纹特征进行比对,获得所述攻击特征与所述指纹特征之间基于所述维度的匹配关系;至少根据所述匹配关系,获得所述网络攻击的风险评估结果。
在一些实施例中,所述维度包括系统维度和应用维度。
在一些实施例中,所述系统维度包括:操作系统维度、中间件维度和数据库维度;所述应用维度包括:开发语言维度、开发框架维度和第三方组件维度。
在一些实施例中,所述获得所述攻击特征与所述指纹特征之间基于所述维度的匹配关系,包括:于一维度下所述攻击特征包含或被包含于所述指纹特征且所述攻击特征与所述指纹特征不均为空,获得该维度下所述攻击特征与所述指纹特征相匹配的匹配关系;于一维度下所述攻击特征和所述指纹特征均为空,获得该维度下所述攻击特征与所述指纹特征疑似匹配的匹配关系;于一维度下所述攻击特征不包含且不被包含于所述指纹特征,获得该维度下所述攻击特征与所述指纹特征不匹配的匹配关系。
在一些实施例中,所述自告警信息中提取网络攻击的攻击特征后,还包括:根据所述网络攻击的攻击目标,确定所述网络攻击的风险类型;所述获得所述网络攻击的风险评估结果,包括:根据所述匹配关系和所述风险类型,获得所述风险评估结果。
在一些实施例中,所述确定所述网络攻击的风险类型,包括:当所述攻击目标为系统控制权限,确定所述风险类型为高危型;当所述攻击目标为系统敏感数据,确定所述风险类型为中危型;当所述攻击目标不为所述系统控制权限和所述系统敏感数据,确定所述风险类型为低危型。
在一些实施例中,所述匹配关系包括相匹配、疑似匹配和不匹配;所述风险类型包括风险值依次降低的高危型、中危型和低危型;所述获得所述风险评估结果,包括:根据所述攻击特征与所述指纹特征之间相匹配的维度数量、疑似匹配的维度数量和不匹配的维度数量以及所述风险类型的风险值,计算所述风险评估结果,使所述风险评估结果与所述相匹配的维度数量、所述疑似匹配的维度数量和所述风险类型的风险值正相关并与所述不匹配的维度数量负相关。
在一些实施例中,所述风险评估结果与所述风险类型的风险值的正相关系数、所述风险评估结果与所述相匹配的维度数量的正相关系数及所述风险评估结果与所述疑似匹配的维度数量的正相关系数依次降低。
在一些实施例中,所述计算所述风险评估结果时,使用如下公式:
其中,result为所述风险评估结果,x为所述相匹配的维度数量,y为所述不匹配的维度数量,z为所述疑似匹配的维度数量,type为所述风险类型,f(type)为所述风险类型的风险值。
在一些实施例中,所述告警信息为告警日志,所述指纹特征获取自网络流量和/或资产数据库。
本发明的又一个方面提供一种安全告警风险评估装置,包括:攻击特征获取模块,用于响应于安全告警,自告警信息中提取网络攻击的攻击特征;指纹特征获取模块,用于根据所述攻击特征的维度,获取网络资产的同维度的指纹特征;同维特征比对模块,用于按所述维度对所述攻击特征和所述指纹特征进行比对,获得所述攻击特征与所述指纹特征之间基于所述维度的匹配关系;风险结果计算模块,用于至少根据所述匹配关系,获得所述网络攻击的风险评估结果。
本发明的又一个方面提供一种电子设备,包括:一处理器;一存储器,所述存储器中存储有可执行指令;其中,所述可执行指令被所述处理器执行时,实现如上述任意实施例描述的安全告警风险评估方法。
本发明的又一个方面提供一种计算机可读的存储介质,用于存储程序,所述程序被处理器执行时实现如上述任意实施例描述的安全告警风险评估方法。
本发明与现有技术相比的有益效果至少包括:
本发明根据攻击特征获取同维度的指纹特征,并按照维度比对攻击特征和指纹特征,能够从攻击本身和资产属性角度精细准确地评估网络攻击的风险,利于发掘高价值告警信息,过滤掉海量的无效告警,为安全响应与处置提供依据,提升效率;进一步地,还能结合网络攻击的危害程度,运用数学概率计算网络攻击的风险评估结果,客观地反映告警信息的风险情况,具备更强的容错性,提供更低的漏报率。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本发明。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。显而易见地,下面描述的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出本发明一实施例中安全告警风险评估方法的步骤示意图;
图2示出本发明一实施例中获得攻击特征与指纹特征之间基于维度的匹配关系的场景示意图;
图3示出本发明又一实施例中安全告警风险评估方法的步骤示意图;
图4示出本发明一实施例中确定网络攻击的风险类型的场景示意图;
图5示出本发明一实施例中安全告警风险评估装置的模块示意图;
图6示出本发明一实施例中电子设备的结构示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的实施方式。相反,提供这些实施方式使本发明全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。
附图仅为本发明的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
此外,附图中所示的流程仅是示例性说明,不是必须包括所有的步骤。例如,有的步骤可以分解,有的步骤可以合并或部分合并,且实际执行的顺序有可能根据实际情况改变。具体描述时使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。需要说明的是,在不冲突的情况下,本发明的实施例及不同实施例中的特征可以相互组合。
图1示出一实施例中安全告警风险评估方法的主要步骤,参照图1所示,本实施例中安全告警风险评估方法主要包括如下步骤。
步骤S110,响应于安全告警,自告警信息中提取网络攻击的攻击特征。
安全告警由安全检测设备/系统发出,当安全检测设备/系统检测到存在网络攻击,发出安全告警,产生告警日志,内容包括攻击类型、攻击目标等。告警信息即为告警日志,可根据预定义的规则,对告警日志进行解析,提取出网络攻击的攻击特征。攻击特征具体包括系统特征和应用特征,其中系统特征进一步包括操作系统、中间件和数据库特征维度,应用特征进一步包括开发语言、开发框架和第三方组件特征维度。
进行攻击特征的解析提取时,若未能从告警日志中解析出某一维度的攻击特征,可使用“*”号代表该维度的攻击特征未能被定义。
在其他实施例中,也可以对告警日志进行解析以提取出网络攻击的其他维度的攻击特征,而不以上述列举为限。
步骤S120,根据攻击特征的维度,获取网络资产的同维度的指纹特征。
指纹特征具体获取自网络流量和/或资产数据库。可根据预定义的规则,对网络资产的指纹信息进行解析,提取出指纹特征。进行指纹特征的解析提取时,按照上述列举的维度,分别提取出网络资产的各个维度的指纹特征,具体包括网络资产的系统特征和应用特征,其中系统特征进一步包括操作系统、中间件和数据库特征维度,应用特征进一步包括开发语言、开发框架和第三方组件特征维度。
进行指纹特征的解析提取时,若未能从网络流量/资产数据库等数据中分析出某个维度的指纹特征,可使用“-”号代表该维度的指纹特征未能被定义。
当然,在其他实施例中,也可以对网络流量和/或资产数据库进行解析以提取出网络资产的其他维度的指纹特征,而不以此处列举为限。
步骤S130,按维度对攻击特征和指纹特征进行比对,获得攻击特征与指纹特征之间基于维度的匹配关系。
在一个实施例中,对攻击特征和指纹特征进行比对后,具体输出相匹配的维度数量、不匹配的维度数量和疑似匹配的维度数量。图2示出一实施例中获得攻击特征与指纹特征之间基于维度的匹配关系的场景,参照图2所示,攻击特征210与指纹特征220之间基于维度比对的逻辑具体为:于一维度下攻击特征210a包含或被包含于指纹特征220a且攻击特征210a与指纹特征220a不均为空,则获得该维度下攻击特征210a与指纹特征220a相匹配的匹配关系230;于一维度下攻击特征210b和指纹特征220b均为空,即攻击特征210b为“*”号状态且指纹特征220b为“-”号状态,则获得该维度下攻击特征210b与指纹特征220b疑似匹配的匹配关系240;于一维度下攻击特征210c不包含且不被包含于指纹特征220c,则获得该维度下攻击特征210c与指纹特征220c不匹配的匹配关系250。
步骤S140,至少根据匹配关系,获得网络攻击的风险评估结果。
上述的安全告警风险评估方法,解析提取网络攻击的攻击特征和网络资产的指纹特征时,特征维度细、针对性强,选取的特征分为系统特征和应用特征,并细分为操作系统、中间件、数据库、开发语言、开发框架、第三方组件等六个维度子特征,特征选取与系统强关联,能根据特征较好地区分系统,同时与攻击针对的资产属性也是强关联,为特征比对分析提供更好的根据;并通过比对同维度的攻击特征和指纹特征,从攻击本身和资产属性角度精细准确地评估网络攻击的风险,利于发掘高价值告警信息,过滤掉海量的无效告警,为安全响应与处置提供依据,提升效率。
进一步地,在安全告警风险评估方法中,还可结合网络攻击的危害程度,运用数学概率计算网络攻击的风险评估结果,客观地反映告警信息的风险情况,具备更强的容错性,提供更低的漏报率。
图3示出又一实施例中安全告警风险评估方法的主要步骤,本实施例相对于图1所示的实施例,将步骤S110替换为步骤S110’,将步骤S140替换为步骤S140’,其余相同的步骤标号代表相同的处理步骤,对于相同的处理步骤不再重复说明。参照图3所示,本实施例中安全告警风险评估方法主要包括如下步骤。
步骤S110’,响应于安全告警,自告警信息中提取网络攻击的攻击特征,并根据网络攻击的攻击目标,确定网络攻击的风险类型。
根据告警日志的告警类型,对网络攻击的危害程度进行分析,分为高危、中危、低危三种类型。图4示出一实施例中确定网络攻击的风险类型的场景,参照图4所示,对于网络攻击410:当攻击目标为系统控制权限,则确定其风险类型为高危型420;当攻击目标为系统敏感数据,则确定其风险类型为中危型430;当攻击目标不为系统控制权限和系统敏感数据,则确定风险类型为低危型440。
高危攻击类型具体指:攻击成功后可获取系统控制权限,如:命令执行攻击、反序列化攻击、提权攻击等;中危攻击类型具体指:攻击成功后可获取系统敏感数据,如:SQL注入攻击、XXE攻击、任意文件下载攻击等;低危攻击类型具体指:未造成系统权限被控制和敏感数据被获取的其他攻击类型,如:未授权访问、SSRF攻击等。
步骤S120,根据攻击特征的维度,获取网络资产的同维度的指纹特征。如上所述,可分别解析提取操作系统、中间件、数据库、开发语言、开发框架和第三方组件六个维度的攻击特征和指纹特征。
步骤S130,按维度对攻击特征和指纹特征进行比对,获得攻击特征与指纹特征之间基于维度的匹配关系。如上所述,匹配关系具体包括相匹配、疑似匹配和不匹配,基于维度进行特征比对后可输出攻击特征与指纹特征之间相匹配的维度数量、疑似匹配的维度数量和不匹配的维度数量。
S140’,根据匹配关系和风险类型,获得网络攻击的风险评估结果。
在一个实施例中,高危型、中危型和低危型三种风险类型的风险值依次降低。获得风险评估结果,具体包括:根据攻击特征与指纹特征之间相匹配的维度数量、疑似匹配的维度数量和不匹配的维度数量以及风险类型的风险值,计算网络攻击的风险评估结果,使风险评估结果与相匹配的维度数量、疑似匹配的维度数量和风险类型的风险值正相关并与不匹配的维度数量负相关。进一步地,风险评估结果与风险类型的风险值的正相关系数、风险评估结果与相匹配的维度数量的正相关系数及风险评估结果与疑似匹配的维度数量的正相关系数依次降低。
在一个实施例中,计算网络攻击的风险评估结果时,使用如下公式:
其中,result为风险评估结果,x为相匹配的维度数量,y为不匹配的维度数量,z为疑似匹配的维度数量,type为风险类型,f(type)为风险类型的风险值。风险类型反映网络攻击的危害程度,f(高危型)、f(中危型)和f(低危型)的取值可分别为:100、80和60。
上述的安全告警风险评估方法,相比于特征不符合直接过滤的分析策略,通过精细维度进行攻击特征和指纹特征比对,结合多维度特征和网络攻击的危害程度,运用数学概率知识综合计算风险评估结果,能够客观地反映告警信息的风险情况,具备更强的容错性,提供更低的漏报率。
下面结合一具体示例,对安全告警风险评估方法进行说明。
当发生安全告警时,首先进行特征信息提取,包括自告警日志中解析提取出系统维度和应用维度的攻击特征,以及自资产数据库/网络流量中解析提取出系统维度和应用维度的指纹特征。
本示例中安全告警的告警日志样例如下表:
对告警日志进行解析提取出攻击特征如下表:
| 操作系统 | 中间件 | 数据库 | 开发语言 | 开发框架 | 第三方组件 |
| [Linux,windows] | * | * | C语言 | * | openssl |
表中的*号代表该维度特征未能定义,即未能从告警日志中解析出该维度特征。
资产数据库包括tcp.payload库、udp.payload库、http.resp_body库、http.resp_header库、特有protocol库等,网络流量包括https流量、http流量、其他流量等,对资产数据库/网络流量进行解析提取出指纹特征如下表:
| 操作系统 | 中间件 | 数据库 | 开发语言 | 开发框架 | 第三方组件 |
| Linux | apache | - | [C,JAVA] | struts | [openssl,shiro] |
表中的-号代表未能从流量等数据中分析出该维度特征,或者无该维度特征。
接着,进行攻击特征与指纹特征的比对映射,输出相匹配的维度数量、不匹配的维度数量和疑似匹配的维度数量如下表:
| 相匹配的维度数量 | 不匹配的维度数量 | 疑似匹配的维度数量 |
| 5 | 0 | 1 |
另外,还根据网络攻击的攻击目标,分析其危害程度,将其风险类型确定为高危型、中危型或低危型。本实施例中Openssl心脏滴血攻击的攻击目标是系统敏感数据,因此将其归类为中危攻击类型。
最后,根据攻击特征与指纹特征之间基于维度的匹配关系以及网络攻击的风险类型,综合计算其风险评估结果result:
获得风险评估结果后,可进一步根据风险评估结果与风险阈值的关系,推送风险评估结果高于风险阈值的高风险的告警日志,过滤掉风险评估结果不超过风险阈值的低风险的告警日志。
综上,上述的安全告警风险评估方法,能够从操作系统、中间件、数据库、开发语言、开发框架、第三方组件等精细特征维度,解析提取出与攻击针对的系统和应用,以及资产属性强关联的特征信息;进而通过特征比对从攻击本身和资产属性角度,并结合网络攻击的危害程度,综合计算网络攻击的风险评估结果,以精细准确地评估网络攻击的风险,客观地反映告警信息的风险情况,具备更强的容错性,提供更低的漏报率,利于发掘高价值告警信息,过滤掉海量的无效告警,为安全响应与处置提供依据,提升效率。
本发明实施例还提供一种安全告警风险评估装置,可用于实现上述任意实施例描述的安全告警风险评估方法。上述任意实施例描述的安全告警风险评估方法的特征和原理均可应用至下面的安全告警风险评估装置实施例。在下面的安全告警风险评估装置实施例中,对已经阐明的关于安全告警风险评估的特征和原理不再重复说明。
图5示出一实施例中安全告警风险评估装置的主要模块,参照图5所示,本实施例中安全告警风险评估装置500包括:攻击特征获取模块510,用于响应于安全告警,自告警信息中提取网络攻击的攻击特征;指纹特征获取模块520,用于根据攻击特征的维度,获取网络资产的同维度的指纹特征;同维特征比对模块530,用于按维度对攻击特征和指纹特征进行比对,获得攻击特征与指纹特征之间基于维度的匹配关系;风险结果计算模块540,用于至少根据匹配关系,获得网络攻击的风险评估结果。
进一步地,安全告警风险评估装置500还可包括实现上述各安全告警风险评估方法实施例的其他流程步骤的模块,或者各个模块还能实现上述各安全告警风险评估方法实施例的其他流程步骤,例如攻击特征获取模块510还能根据网络攻击的攻击目标确定网络攻击的风险类型,风险结果计算模块540还能根据匹配关系和风险类型综合计算网络攻击的风险评估结果,等等。各个模块的具体原理可参照上述各合安全告警风险评估方法实施例的描述,此处不再重复说明。
如上所述,本发明的安全告警风险评估装置,能够从操作系统、中间件、数据库、开发语言、开发框架、第三方组件等精细特征维度,解析提取出与攻击针对的系统和应用,以及资产属性强关联的特征信息;进而通过特征比对从攻击本身和资产属性角度,并结合网络攻击的危害程度,综合计算网络攻击的风险评估结果,以精细准确地评估网络攻击的风险,客观地反映告警信息的风险情况,具备更强的容错性,提供更低的漏报率,利于发掘高价值告警信息,过滤掉海量的无效告警,为安全响应与处置提供依据,提升效率。
本发明实施例还提供一种电子设备,包括处理器和存储器,存储器中存储有可执行指令,可执行指令被处理器执行时,实现上述任意实施例描述的安全告警风险评估方法。
如上所述,本发明的电子设备能够从操作系统、中间件、数据库、开发语言、开发框架、第三方组件等精细特征维度,解析提取出与攻击针对的系统和应用,以及资产属性强关联的特征信息;进而通过特征比对从攻击本身和资产属性角度,并结合网络攻击的危害程度,综合计算网络攻击的风险评估结果,以精细准确地评估网络攻击的风险,客观地反映告警信息的风险情况,具备更强的容错性,提供更低的漏报率,利于发掘高价值告警信息,过滤掉海量的无效告警,为安全响应与处置提供依据,提升效率。
图6是本发明实施例中电子设备的结构示意图,应当理解的是,图6仅仅是示意性地示出各个模块,这些模块可以是虚拟的软件模块或实际的硬件模块,这些模块的合并、拆分及其余模块的增加都在本发明的保护范围之内。
如图6所示,电子设备600以通用计算设备的形式表现。电子设备600的组件包括但不限于:至少一个处理单元610、至少一个存储单元620、连接不同平台组件(包括存储单元620和处理单元610)的总线630、显示单元640等。
其中,存储单元存储有程序代码,程序代码可以被处理单元610执行,使得处理单元610执行上述任意实施例描述的安全告警风险评估方法的步骤。例如,处理单元610可以执行如图1和图3所示的步骤。
存储单元620可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)6201和/或高速缓存存储单元6202,还可以进一步包括只读存储单元(ROM)6203。
存储单元620还可以包括具有一个或多个程序模块6205的程序/实用工具6204,这样的程序模块6205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线630可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备600也可以与一个或多个外部设备700通信,外部设备700可以是键盘、指向设备、蓝牙设备等设备中的一种或多种。这些外部设备700使得用户能与该电子设备600进行交互通信。电子设备600也能与一个或多个其它计算设备进行通信,所示计算机设备包括路由器、调制解调器。这种通信可以通过输入/输出(I/O)接口650进行。并且,电子设备600还可以通过网络适配器660与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器660可以通过总线630与电子设备600的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备600使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储平台等。
本发明实施例还提供一种计算机可读的存储介质,用于存储程序,程序被执行时实现上述任意实施例描述的安全告警风险评估方法。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在终端设备上运行时,程序代码用于使终端设备执行上述任意实施例描述的安全告警风险评估方法。
如上所述,本发明的计算机可读的存储介质能够从操作系统、中间件、数据库、开发语言、开发框架、第三方组件等精细特征维度,解析提取出与攻击针对的系统和应用,以及资产属性强关联的特征信息;进而通过特征比对从攻击本身和资产属性角度,并结合网络攻击的危害程度,综合计算网络攻击的风险评估结果,以精细准确地评估网络攻击的风险,客观地反映告警信息的风险情况,具备更强的容错性,提供更低的漏报率,利于发掘高价值告警信息,过滤掉海量的无效告警,为安全响应与处置提供依据,提升效率。
程序产品可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,其可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子包括但不限于:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备,例如利用因特网服务提供商来通过因特网连接。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
Claims (13)
1.一种安全告警风险评估方法,其特征在于,包括:
响应于安全告警,自告警信息中提取网络攻击的攻击特征;
根据所述攻击特征的维度,获取网络资产的同维度的指纹特征;
按所述维度对所述攻击特征和所述指纹特征进行比对,获得所述攻击特征与所述指纹特征之间基于所述维度的匹配关系;
至少根据所述匹配关系,获得所述网络攻击的风险评估结果。
2.如权利要求1所述的安全告警风险评估方法,其特征在于,所述维度包括系统维度和应用维度。
3.如权利要求2所述的安全告警风险评估方法,其特征在于,所述系统维度包括:操作系统维度、中间件维度和数据库维度;
所述应用维度包括:开发语言维度、开发框架维度和第三方组件维度。
4.如权利要求1-3任一项所述的安全告警风险评估方法,其特征在于,所述获得所述攻击特征与所述指纹特征之间基于所述维度的匹配关系,包括:
于一维度下所述攻击特征包含或被包含于所述指纹特征且所述攻击特征与所述指纹特征不均为空,获得该维度下所述攻击特征与所述指纹特征相匹配的匹配关系;
于一维度下所述攻击特征和所述指纹特征均为空,获得该维度下所述攻击特征与所述指纹特征疑似匹配的匹配关系;
于一维度下所述攻击特征不包含且不被包含于所述指纹特征,获得该维度下所述攻击特征与所述指纹特征不匹配的匹配关系。
5.如权利要求1所述的安全告警风险评估方法,其特征在于,所述自告警信息中提取网络攻击的攻击特征后,还包括:
根据所述网络攻击的攻击目标,确定所述网络攻击的风险类型;
所述获得所述网络攻击的风险评估结果,包括:
根据所述匹配关系和所述风险类型,获得所述风险评估结果。
6.如权利要求5所述的安全告警风险评估方法,其特征在于,所述确定所述网络攻击的风险类型,包括:
当所述攻击目标为系统控制权限,确定所述风险类型为高危型;
当所述攻击目标为系统敏感数据,确定所述风险类型为中危型;
当所述攻击目标不为所述系统控制权限和所述系统敏感数据,确定所述风险类型为低危型。
7.如权利要求5所述的安全告警风险评估方法,其特征在于,所述匹配关系包括相匹配、疑似匹配和不匹配;
所述风险类型包括风险值依次降低的高危型、中危型和低危型;
所述获得所述风险评估结果,包括:
根据所述攻击特征与所述指纹特征之间相匹配的维度数量、疑似匹配的维度数量和不匹配的维度数量以及所述风险类型的风险值,计算所述风险评估结果,使所述风险评估结果与所述相匹配的维度数量、所述疑似匹配的维度数量和所述风险类型的风险值正相关并与所述不匹配的维度数量负相关。
8.如权利要求7所述的安全告警风险评估方法,其特征在于,所述风险评估结果与所述风险类型的风险值的正相关系数、所述风险评估结果与所述相匹配的维度数量的正相关系数及所述风险评估结果与所述疑似匹配的维度数量的正相关系数依次降低。
9.如权利要求8所述的安全告警风险评估方法,其特征在于,所述计算所述风险评估结果时,使用如下公式:
其中,result为所述风险评估结果,x为所述相匹配的维度数量,y为所述不匹配的维度数量,z为所述疑似匹配的维度数量,type为所述风险类型,f(type)为所述风险类型的风险值。
10.如权利要求1所述的安全告警风险评估方法,其特征在于,所述告警信息为告警日志,所述指纹特征获取自网络流量和/或资产数据库。
11.一种安全告警风险评估装置,其特征在于,包括:
攻击特征获取模块,用于响应于安全告警,自告警信息中提取网络攻击的攻击特征;
指纹特征获取模块,用于根据所述攻击特征的维度,获取网络资产的同维度的指纹特征;
同维特征比对模块,用于按所述维度对所述攻击特征和所述指纹特征进行比对,获得所述攻击特征与所述指纹特征之间基于所述维度的匹配关系;
风险结果计算模块,用于至少根据所述匹配关系,获得所述网络攻击的风险评估结果。
12.一种电子设备,其特征在于,包括:
一处理器;
一存储器,所述存储器中存储有可执行指令;
其中,所述可执行指令被所述处理器执行时,实现如权利要求1-10任一项所述的安全告警风险评估方法。
13.一种计算机可读的存储介质,用于存储程序,其特征在于,所述程序被处理器执行时实现如权利要求1-10任一项所述的安全告警风险评估方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110960777.2A CN113672935A (zh) | 2021-08-20 | 2021-08-20 | 安全告警风险评估方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110960777.2A CN113672935A (zh) | 2021-08-20 | 2021-08-20 | 安全告警风险评估方法、装置、电子设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113672935A true CN113672935A (zh) | 2021-11-19 |
Family
ID=78544528
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110960777.2A Pending CN113672935A (zh) | 2021-08-20 | 2021-08-20 | 安全告警风险评估方法、装置、电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113672935A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114567482A (zh) * | 2022-02-28 | 2022-05-31 | 天翼安全科技有限公司 | 一种告警分类方法、装置、电子设备及存储介质 |
| CN114598504A (zh) * | 2022-02-21 | 2022-06-07 | 烽台科技(北京)有限公司 | 一种风险评估方法、装置、电子设备及可读存储介质 |
| CN115065509A (zh) * | 2022-05-27 | 2022-09-16 | 中电长城网际系统应用有限公司 | 基于偏离函数的统计推断攻击的风险识别方法和装置 |
| CN115412358A (zh) * | 2022-09-02 | 2022-11-29 | 中国电信股份有限公司 | 网络安全风险评估方法、装置、电子设备及存储介质 |
| CN115664744A (zh) * | 2022-10-17 | 2023-01-31 | 国网湖南省电力有限公司 | 电力物联网网络安全风险评估方法及评估系统 |
-
2021
- 2021-08-20 CN CN202110960777.2A patent/CN113672935A/zh active Pending
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114598504A (zh) * | 2022-02-21 | 2022-06-07 | 烽台科技(北京)有限公司 | 一种风险评估方法、装置、电子设备及可读存储介质 |
| CN114598504B (zh) * | 2022-02-21 | 2023-11-03 | 烽台科技(北京)有限公司 | 一种风险评估方法、装置、电子设备及可读存储介质 |
| CN114567482A (zh) * | 2022-02-28 | 2022-05-31 | 天翼安全科技有限公司 | 一种告警分类方法、装置、电子设备及存储介质 |
| CN115065509A (zh) * | 2022-05-27 | 2022-09-16 | 中电长城网际系统应用有限公司 | 基于偏离函数的统计推断攻击的风险识别方法和装置 |
| CN115065509B (zh) * | 2022-05-27 | 2024-04-02 | 中电长城网际系统应用有限公司 | 基于偏离函数的统计推断攻击的风险识别方法和装置 |
| CN115412358A (zh) * | 2022-09-02 | 2022-11-29 | 中国电信股份有限公司 | 网络安全风险评估方法、装置、电子设备及存储介质 |
| CN115412358B (zh) * | 2022-09-02 | 2024-01-30 | 中国电信股份有限公司 | 网络安全风险评估方法、装置、电子设备及存储介质 |
| CN115664744A (zh) * | 2022-10-17 | 2023-01-31 | 国网湖南省电力有限公司 | 电力物联网网络安全风险评估方法及评估系统 |
| CN115664744B (zh) * | 2022-10-17 | 2024-08-13 | 国网湖南省电力有限公司 | 电力物联网网络安全风险评估方法及评估系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113672935A (zh) | 安全告警风险评估方法、装置、电子设备和存储介质 | |
| US10505986B1 (en) | Sensor based rules for responding to malicious activity | |
| CN109347801B (zh) | 一种基于多源词嵌入和知识图谱的漏洞利用风险评估方法 | |
| US10915625B2 (en) | Graph model for alert interpretation in enterprise security system | |
| CN111786950A (zh) | 基于态势感知的网络安全监控方法、装置、设备及介质 | |
| CN111931048B (zh) | 基于人工智能的黑产账号检测方法及相关装置 | |
| CN113162794B (zh) | 下一步攻击事件预测方法及相关设备 | |
| CN112637108B (zh) | 一种基于异常检测和情感分析的内部威胁分析方法及系统 | |
| CN114760106B (zh) | 网络攻击的确定方法、系统、电子设备及存储介质 | |
| CN114070642A (zh) | 网络安全检测方法、系统、设备及存储介质 | |
| CN112784281A (zh) | 一种工业互联网的安全评估方法、装置、设备及存储介质 | |
| CN113901484A (zh) | 一种基于风险的漏洞管理方法和装置 | |
| US10587629B1 (en) | Reducing false positives in bot detection | |
| CN110598397A (zh) | 一种基于深度学习的Unix系统用户恶意操作检测方法 | |
| CN115473675B (zh) | 一种网络安全态势感知方法、装置、电子设备及介质 | |
| CN113132393A (zh) | 异常检测方法、装置、电子设备以及存储介质 | |
| CN115361182B (zh) | 一种僵尸网络行为分析方法、装置、电子设备及介质 | |
| CN115589339B (zh) | 网络攻击类型识别方法、装置、设备以及存储介质 | |
| CN115481166B (zh) | 一种数据存储方法、装置、电子设备及计算机存储介质 | |
| CN116032527A (zh) | 一种基于云计算的数据安全漏洞感知系统及方法 | |
| CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
| Han | Detection of web application attacks with request length module and regex pattern analysis | |
| CN113868641A (zh) | 一种基于零信任模型的主机的安全检测方法、系统 | |
| CN115378670B (zh) | 一种apt攻击识别方法、装置、电子设备及介质 | |
| KR101725450B1 (ko) | 웹 페이지에 안전성을 제공하기 위한 평판관리 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |