CN113992386A - 一种防御能力的评估方法、装置、存储介质及电子设备 - Google Patents
一种防御能力的评估方法、装置、存储介质及电子设备 Download PDFInfo
- Publication number
- CN113992386A CN113992386A CN202111239722.9A CN202111239722A CN113992386A CN 113992386 A CN113992386 A CN 113992386A CN 202111239722 A CN202111239722 A CN 202111239722A CN 113992386 A CN113992386 A CN 113992386A
- Authority
- CN
- China
- Prior art keywords
- attack
- defense
- information
- security device
- response information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Abstract
本公开提供了一种防御能力的评估方法、装置、存储介质及电子设备,评估方法包括:生成攻击指令对安全设备进行攻击;获取所述安全设备针对所述攻击的第一响应信息;基于所述第一响应信息确定所述安全设备的防御能力;在所述防御能力不满足预设条件的情况下,生成用于优化所述安全设备的防御能力的优化信息。本公开通过攻击指令对安全设备进行攻击,并基于安全设备对攻击的响应评估该安全设备的防御能力,进而在防御能力不满足预设条件的情况下,利用预先生成的攻击指令对应的防御信息生成用于优化安全设备的防御能力的优化信息,不仅能够清楚地知晓安全设备的防御能力,还能够对安全设备进行有效地优化以达到更好地防御效果。
Description
技术领域
本公开涉及设备安全技术领域,特别涉及一种防御能力的评估方法、装置、存储介质及电子设备。
背景技术
应对当前复杂的网络安全国际态势,各种重大的0day漏洞利用,CVE漏洞利用、不合规策略等导致的安全隐患不断出现,现有技术中存在以下解决方式:方式一是构建一个独立安全的网络环境,让恶意样本在沙箱的节点上进行运行时,观察恶意样本的静态行为和动态行为(模拟运行)进行分析进而输出情报同样对这个过程中的安全分析工具、依赖注入等进行持续完善和升级。方式二是通过机器学习的算法对攻防对抗中网络安全态势收集到的日志进行处理分析归纳出较多的特征,利用cnn卷积神经网络进行分类,对网络流量的安全态势进行监测。方式三是构建各种对抗的虚拟机,类似CTF演练,进行攻击过程的演练,其中使用虚拟机部署各种各样的靶场不同的用户登录后选择不同的漏洞虚拟机进行攻击演练。
但无法知晓上述方式中安全设备的防御能力,也即无法对安全设备进行有效优化以达到更好地防御效果。
发明内容
有鉴于此,本公开实施例的目的在于提供一种防御能力的评估方法、装置、存储介质及电子设备,用于解决现有技术中无法有效知晓安全设备的防御能力的问题。
第一方面,本公开实施例提供了一种防御能力的评估方法,其中,包括:
生成攻击指令对安全设备进行攻击;
获取所述安全设备针对所述攻击的第一响应信息;
基于所述第一响应信息确定所述安全设备的防御能力;
在所述防御能力不满足预设条件的情况下,生成用于优化所述安全设备的防御能力的优化信息。
在一种可能的实施方式中,所述生成攻击指令对安全设备进行攻击,包括:
从攻击数据库中获取攻击脚本;其中,所述攻击数据库中包括多个攻击脚本;
基于所述攻击脚本生成攻击指令。
在一种可能的实施方式中,所述获取所述安全设备针对所述攻击的第一响应信息,包括:
获取所述安全设备在受到所述攻击后生成的审计日志;
从所述审计日志中提取所述第一响应信息,其中,所述第一响应信息至少包括所述安全设备上的文件信息、进程信息、网络信息、注册表、数据持久化、防火墙信息、执行命令中的一种或多种。
在一种可能的实施方式中,还包括:
确定所述第一响应信息中是否存在所述攻击指令对应的第二响应信息;
若存在,确定所述防御能力不满足所述预设条件;
若不存在,确定所述防御能力满足所述预设条件。
在一种可能的实施方式中,所述生成用于优化所述安全设备的防御能力的优化信息,包括:
查找所述攻击指令对应防御信息,其中,所述防御信息包括防御规则和防御进程;
将所述攻击指令以及所述防御信息生成优化信息。
在一种可能的实施方式中,还包括:
利用攻击数据库中的每个攻击脚本对预设设备进行攻击,以得到每个攻击脚本对应的防御信息。
在一种可能的实施方式中,还包括:
按照预设标准将所述优化信息进行标准化;
将标准化的优化信息发送给所述安全设备所属的厂商。
第二方面,本公开实施例还提供了一种防御能力的评估装置,其中,包括:
攻击模块,其配置为生成攻击指令对安全设备进行攻击;
获取模块,其配置为获取所述安全设备针对所述攻击的第一响应信息;
第一确定模块,其配置为基于所述第一响应信息确定所述安全设备的防御能力;
生成模块,其配置为在所述防御能力不满足预设条件的情况下,生成用于优化所述安全设备的防御能力的优化信息。
第三方面,本公开实施例还提供了一种存储介质,其中,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如下步骤:
生成攻击指令对安全设备进行攻击;
获取所述安全设备针对所述攻击的第一响应信息;
基于所述第一响应信息确定所述安全设备的防御能力;
在所述防御能力不满足预设条件的情况下,生成用于优化所述安全设备的防御能力的优化信息。
第四方面,本公开实施例还提供了一种电子设备,其中,包括:处理器和存储器,所述存储器存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行如下步骤:
生成攻击指令对安全设备进行攻击;
获取所述安全设备针对所述攻击的第一响应信息;
基于所述第一响应信息确定所述安全设备的防御能力;
在所述防御能力不满足预设条件的情况下,生成用于优化所述安全设备的防御能力的优化信息。
本公开实施例通过攻击指令对安全设备进行攻击,并基于安全设备对攻击的响应评估该安全设备的防御能力,进而在防御能力不满足预设条件的情况下,利用预先生成的攻击指令对应的防御信息生成用于优化安全设备的防御能力的优化信息,不仅能够清楚地知晓安全设备的防御能力,还能够对安全设备进行有效地优化以达到更好地防御效果。
为使本公开的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本公开或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1示出了本公开所提供的防御能力的评估方法的流程图;
图2示出了本公开所提供的防御能力的评估方法中确定防御能力是否满足预设条件的流程图;
图3示出了本公开所提供的防御能力的评估方法中生成用于优化安全设备的防御能力的优化信息的流程图;
图4示出了本公开所提供的防御能力的评估装置的结构示意图;
图5示出了本公开所提供的电子设备的结构示意图。
具体实施方式
此处参考附图描述本公开的各种方案以及特征。
应理解的是,可以对此处申请的实施例做出各种修改。因此,上述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本公开的范围和精神内的其他修改。
包含在说明书中并构成说明书的一部分的附图示出了本公开的实施例,并且与上面给出的对本公开的大致描述以及下面给出的对实施例的详细描述一起用于解释本公开的原理。
通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本公开的这些和其它特性将会变得显而易见。
还应当理解,尽管已经参照一些具体实例对本公开进行了描述,但本领域技术人员能够确定地实现本公开的很多其它等效形式,它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。
当结合附图时,鉴于以下详细说明,本公开的上述和其他方面、特征和优势将变得更为显而易见。
此后参照附图描述本公开的具体实施例;然而,应当理解,所申请的实施例仅仅是本公开的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本公开模糊不清。因此,本文所申请的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本公开。
本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”,其均可指代根据本公开的相同或不同实施例中的一个或多个。
第一方面,为便于对本公开进行理解,首先对本公开所提供的一种防御能力的评估方法进行详细介绍。如图1所示,为本公开实施例提供的防御能力的评估方法的流程图,具体步骤包括S101-S104。
S101,生成攻击指令对安全设备进行攻击。
这里,攻击指令包括攻击脚本、攻击的设备等。具体地,从攻击数据库中获取攻击脚本,基于攻击脚本生成攻击指令。例如,选取SQL攻击模糊测试集,此时,SQL注入包括基于时间的盲注,基于Union的盲注,基于宽字节的注入,基于错误的注入等一系列的攻击方式。
其中,攻击数据库中包括多个攻击脚本。在具体实施中,可以预先设定一个攻击模块,该攻击模块通过定期任务收集开源的poc/exp集合以及exploitdb等仓库的脚本工具,例如一些模糊攻击测试的工具和paylaod知识库以及一些自研的关于0day漏洞的poc/exp等,也就是说,该攻击模块能够收集、更新攻击脚本;并且,攻击模块还可以对其包含的数据进行管理,例如,对包含的数据进行解耦得到漏洞库、攻击库、解决方案库等,以便根据实际需求进行保留或删除。
值得说明的是,安全设备可以是安全网关的入侵检测和防御系统,也可以是终端的检测与响应系统等,只要是具备漏洞检测、病毒防御的功能的电子设备均可作为安全设备。
S102,获取安全设备针对攻击的第一响应信息。
在具体实施中,对安全设备进行攻击之后,在一定时长后,获取安全设备针对攻击的第一响应信息,其中,第一响应信息至少包括安全设备上的文件信息、进程信息、网络信息、注册表、数据持久化、防火墙信息、执行命令中的一种或多种。具体地,获取安全设备在受到攻击后生成的审计日志,从审计日志中提取第一响应信息。
S103,基于第一响应信息确定安全设备的防御能力。
在具体实施中,获取到第一响应信息之后,对文件信息、进程信息、网络信息、注册表、数据持久化、防火墙信息、执行命令等进行分析,例如通过指标的关联聚类、统计分析、指标集合下的分类算法等进行分析,以得到安全设备的防御能力。其中,文件信息分析是文件的二进制分析,网络信息分析是对网络信息中的报文提取,以确定网络信息中是否存在不合规的攻击载荷,在响应包中分析是否有信息泄露等问题,其他信息的分析不再进行一一列举。
可选地,安全设备的防御能力可以基于其漏报率和误报率来确定,例如在对10亿多条的模糊攻击进行测试,对50000条防御规则进行测试,漏报率低于5%,误报率低于10%,此时可以确定安全设备的防御能力为中等。
S104,在防御能力不满足预设条件的情况下,生成用于优化安全设备的防御能力的优化信息。
在具体实施中,预设条件为第一响应信息中不存在攻击指令对应的第二响应信息。具体地,参照图2示出的方法流程图来确定防御能力是否满足预设条件,其中,具体步骤包括S201-S203。
S201,确定第一响应信息中是否存在攻击指令对应的第二响应信息。
S202,若存在,确定防御能力不满足预设条件。
S203,若不存在,确定防御能力满足预设条件。
本公开实施例中,通过安全网关,防病毒等相关的通用引擎对安全设备进行测试评估,进一步地,通过插件化对攻击模块对应的各个攻击插件进行管理,在利用选择的poc/exp脚本对安全设备进行攻击之后,若第一响应信息中存在攻击指令对应的第二响应信息,说明攻击脚本对应的漏洞存在,则确定安全设备的防御能力不满足预设条件;若第一响应信息中不存在攻击指令对应的第二响应信息,例如其包括被阻截403等状态码或者其他非正常输出等,说明攻击脚本对应的漏洞不存在,则确定安全设备的防御能力满足预设条件。
在具体实施中,攻击通过安全网关之后,安全网关可以对网络流量进行的payload提取、文件hash比对,合规检验等操作来研判是否是恶意攻击,例如安全网关上的流量探针为入侵防御系统(Intrusion Prevention System,IPS)模式,其便可以对规则集进行管理(包括攻击脚本以及防御策略等),如果攻击源的payload被IPS的规则集碰撞到就会阻断该攻击,恶意请求将不会到达真实的生产环境;如果是恶意文件通过加密流量(tls/ssl+tcp)传输到达了生产环境的机器,终端部署了杀毒的相关引擎,如果对文件进行二进制提取,二进制内容中涵盖了非法函数、C2节点信息、和已知病毒文本特诊相似那么就进行查杀(自动删除或者通过安全压缩后转移到安全文件目录)。值得说明的是,该处理方式同样适用于应用层防火墙例如http/stmp等管理模式。
在防御能力不满足预设条件的情况下,也即安全设备中存在漏洞,此时,生成用于优化安全设备的防御能力的优化信息。具体地,参照图3示出的方法流程图来生成用于优化安全设备的防御能力的优化信息,具体步骤包括S301和S302。
S301,查找攻击指令对应防御信息,其中,防御信息包括防御规则和防御进程。
S302,将攻击指令以及防御信息生成优化信息。
在具体实施中,预先设置每个攻击脚本对应的防御规则,如上述提到的本公开实施例中预先设置了5000条防御规则,其中,5000条防御规则中部分为通过开源信息暴露后进行验证有效的,部分为在评估过程中验证有效的。当然,一个攻击脚本可以对应一个或多个防御规则,只要确保能够对攻击进行有效防御即可。
其中,在对安全设备进行攻击之前,通过攻击数据库中收集到的cve/0day等安全漏洞构建一个软件集装箱化平台,或一个容器,其可以包括qemu-kvm/vmware/virtulbox等虚拟机环境、用户自定义上传的镜像数据,ova文件等,其中,镜像数据为虚拟设备模拟安全设备对攻击脚本进行防御产生的数据;也可以说是,建立一个测试环境,以便于对安全设备进行测试进而达到评估的目的。本公开实施例的测试环境涵盖了预设时间段内3000多种漏洞利用的安全场景来建立测试环境,例如smb协议漏洞、apache2/gitlab服务漏洞、sql注入的应用漏洞、fastjson不安全组件漏洞等,覆盖了客户端漏洞(提权\持久化等)、系统漏洞、数据库漏洞、操作系统漏洞等,在一定程度上能够对安全设备的防御能力进行较为全面的评估。
利用预先建立的测试环境对预设设备进行评估,也即利用攻击数据库中的每个攻击脚本对预设设备进行攻击,以得到预设设备针对每个攻击进行防御后得到的防御信息,并将该攻击与防御信息进行关联并存储,其中,防御信息包括防御规则和防御进程。
在实际应用中,在防御能力不满足预设条件的情况下,也即安全设备中存在漏洞,查找攻击指令对应防御信息,并将攻击指令以及防御信息生成优化信息。
按照预设标准将优化信息进行标准化,将标准化的优化信息发送给安全设备所属的厂商,以使厂商能够基于优化信息对安全设备的防御进行优化。
值得说明的是,在利用本申请的评估方法评估网络区域边界的安全网关时,对所有的安全协议的服务端和客户端安全都具备评估能力,并且能够输出通用的snort/suricata+zeek的相关规则内容;在利用本申请的评估方法评估终端安全产品,防病毒产品时,能够生成通用的yara规则集来应对未知安全的病毒文件威胁,并且,同样针对静态文件的hash类型也具备检测能力。
另外,针对http安全事件威胁,对owasp top 10覆盖的各种类型都具有检测和拦截的能力并提供防护建议,供安全分析从业者进行参考和学习;同时,针对邮件协议的pop3/stmp/imap4等安全事件威胁,在应用层(代理加密协议)和网络层上都可以对相关安全威胁进行检测和拦截、基于协议规范的字段输出lua检测脚本的处置方案。
当然,在防御能力满足预设条件的情况下,也即安全设备检测到攻击并且成功阻截,此时基于安全设备的审计日志进行研判,产生了SQL UNION注入的告警,响应状态403,于是研判为拦截成功,进而产生一条威胁情报的记录,如10.27.106.188为扫描类型的IP,则将该IP添加到威胁情报知识库,一段时间内出现该IP的攻击均进行阻截。其中,通过威胁情报共享,以及开源、付费等的威胁情报进行收集以得到威胁情报的知识库,还可以将自定义的漏洞靶场、进行攻防演练过程中完善防御端的规则集作为威胁情报的信息,另外这里对威胁情报的指示器不限于mail/文件hash/域名domain/IP/URL等静态情报信息。
本公开实施例通过攻击指令对安全设备进行攻击,并基于安全设备对攻击的响应评估该安全设备的防御能力,进而在防御能力不满足预设条件的情况下,利用预先生成的攻击指令对应的防御信息生成用于优化安全设备的防御能力的优化信息,不仅能够清楚地知晓安全设备的防御能力,还能够对安全设备进行有效地优化以达到更好地防御效果。
基于同一发明构思,本公开的第二方面还提供了一种与防御能力的评估方法对应的防御能力的评估装置,由于本公开中的装置解决问题的原理与本公开上述防御能力的评估方法相似,因此装置的实施可以参见方法的实施,重复之处不再赘述。
参见图4所示,防御能力的评估装置包括:
攻击模块401,其配置为生成攻击指令对安全设备进行攻击;
获取模块402,其配置为获取所述安全设备针对所述攻击的第一响应信息;
第一确定模块403,其配置为基于所述第一响应信息确定所述安全设备的防御能力;
生成模块404,其配置为在所述防御能力不满足预设条件的情况下,生成用于优化所述安全设备的防御能力的优化信息。
在另一实施例中,所述攻击模块401具体配置为:
所述生成攻击指令对安全设备进行攻击,包括:
从攻击数据库中获取攻击脚本;其中,所述攻击数据库中包括多个攻击脚本;
基于所述攻击脚本生成攻击指令。
在另一实施例中,所述获取模块402具体配置为:
获取所述安全设备在受到所述攻击后生成的审计日志;
从所述审计日志中提取所述第一响应信息,其中,所述第一响应信息至少包括所述安全设备上的文件信息、进程信息、网络信息、注册表、数据持久化、防火墙信息、执行命令中的一种或多种。
在另一实施例中,还包括第二确定模块405,其配置为:
确定所述第一响应信息中是否存在所述攻击指令对应的第二响应信息;
若存在,确定所述防御能力不满足所述预设条件;
若不存在,确定所述防御能力满足所述预设条件。
在另一实施例中,所述生成模块404具体配置为:
查找所述攻击指令对应防御信息,其中,所述防御信息包括防御规则和防御进程;
将所述攻击指令以及所述防御信息生成优化信息。
在另一实施例中,还包括管理模块406,其配置为:
利用攻击数据库中的每个攻击脚本对预设设备进行攻击,以得到每个攻击脚本对应的防御信息。
在另一实施例中,还包括标准化模块407,其配置为:
按照预设标准将所述优化信息进行标准化;
将标准化的优化信息发送给所述安全设备所属的厂商。
本公开实施例通过攻击指令对安全设备进行攻击,并基于安全设备对攻击的响应评估该安全设备的防御能力,进而在防御能力不满足预设条件的情况下,利用预先生成的攻击指令对应的防御信息生成用于优化安全设备的防御能力的优化信息,不仅能够清楚地知晓安全设备的防御能力,还能够对安全设备进行有效地优化以达到更好地防御效果。
本公开实施例将传统的知识库解耦为多个关联的知识库,每个知识库都是对应组件模块的核心,其优点是可以多对多进行联合使用,大幅度减轻了传统安全运营中心的分析负担,增强了安全分析事件的分类精度。并且,本公开实施例拆解的模块都能进行管理和审计,其拆解思路是基于攻防对抗的性质拆解,由攻击方、防御方、脆弱性隐患方、安全审计方、行为特征检测方等的职能进行划分。因此对每个模块的对象(攻击对象、防御对象、漏洞隐患对象、审计规范对象、高级检测能力对象)按照职能和能力进行拆解,有了当前的知识库体系(攻击知识库、防御知识库、漏洞环境知识库、统一知识库),进而方便进行模块化管理和工作职能划分。
并且,本公开实施例中的每个模块均可以单独作为一个知识库的维护平台以作为一个安全产品,并且支撑其核心的检测能力提升,例如攻击模块对应的攻击知识库可以作为一个漏洞探测工具,生成模块对应的防御知识库可以延申到防病毒网关、终端应急响应平台,入侵检测/防御系统等。同样管理模块可以只采用几种特定的组合,例如只有攻击模块、获取模块、第一确定模块三个的组合,此时可以组合为一个算法挖掘、知识库储备、攻击演练的系统;例如针对本装置作为漏洞验证的系统时候采用脆弱性隐患知识库和攻击验证的知识库来对指定的漏洞进行复现和利用。如果作为一个防御能力评估的系统时候,就在作为漏洞验证系统的基础上添加第二确定模块,如果作为一个企业运营的防御系统时候,就在防御能力评估系统上添加了管理模块。也就是说说,本公开实施例的评估装置涵盖了安全面上攻击、防御、隐患、行为检测算法、事件要素特征提取等多个方面的模块和知识库,在不同的业务场景可以进行按需添加、管理和部署。
本公开的第三方面还提供了一种存储介质,该存储介质为计算机可读介质,存储有计算机程序,该计算机程序被处理器执行时实现本公开任意实施例提供的方法,包括如下步骤:
S11,生成攻击指令对安全设备进行攻击;
S12,获取所述安全设备针对所述攻击的第一响应信息;
S13,基于所述第一响应信息确定所述安全设备的防御能力;
S14,在所述防御能力不满足预设条件的情况下,生成用于优化所述安全设备的防御能力的优化信息。
计算机程序被处理器执行生成攻击指令对安全设备进行攻击时,还具体被处理器执行如下步骤:从攻击数据库中获取攻击脚本;其中,所述攻击数据库中包括多个攻击脚本;基于所述攻击脚本生成攻击指令。
计算机程序被处理器执行获取所述安全设备针对所述攻击的第一响应信息时,具体被处理器执行如下步骤:获取所述安全设备在受到所述攻击后生成的审计日志;从所述审计日志中提取所述第一响应信息,其中,所述第一响应信息至少包括所述安全设备上的文件信息、进程信息、网络信息、注册表、数据持久化、防火墙信息、执行命令中的一种或多种。
计算机程序被处理器执行评估方法时,还被处理器执行如下步骤:确定所述第一响应信息中是否存在所述攻击指令对应的第二响应信息;若存在,确定所述防御能力不满足所述预设条件;若不存在,确定所述防御能力满足所述预设条件。
计算机程序被处理器执行生成用于优化所述安全设备的防御能力的优化信息时,还被处理器执行如下步骤:查找所述攻击指令对应防御信息,其中,所述防御信息包括防御规则和防御进程;将所述攻击指令以及所述防御信息生成优化信息。
计算机程序被处理器执行评估方法时,还被处理器执行如下步骤:利用攻击数据库中的每个攻击脚本对预设设备进行攻击,以得到每个攻击脚本对应的防御信息。
计算机程序被处理器执行评估方法时,还被处理器执行如下步骤:按照预设标准将所述优化信息进行标准化;将标准化的优化信息发送给所述安全设备所属的厂商。
本公开实施例通过攻击指令对安全设备进行攻击,并基于安全设备对攻击的响应评估该安全设备的防御能力,进而在防御能力不满足预设条件的情况下,利用预先生成的攻击指令对应的防御信息生成用于优化安全设备的防御能力的优化信息,不仅能够清楚地知晓安全设备的防御能力,还能够对安全设备进行有效地优化以达到更好地防御效果。
需要说明的是,本公开上述的存储介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何存储介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
本公开的第四方面还提供了一种电子设备,如图5所示,该电子设备至少包括存储器501和处理器502,存储器501上存储有计算机程序,处理器502在执行存储器501上的计算机程序时实现本公开任意实施例提供的方法。示例性的,电子设备计算机程序执行的方法如下:
S21,生成攻击指令对安全设备进行攻击;
S22,获取所述安全设备针对所述攻击的第一响应信息;
S23,基于所述第一响应信息确定所述安全设备的防御能力;
S24,在所述防御能力不满足预设条件的情况下,生成用于优化所述安全设备的防御能力的优化信息。
处理器在执行存储器上存储的生成攻击指令对安全设备进行攻击时,还执行如下计算机程序:从攻击数据库中获取攻击脚本;其中,所述攻击数据库中包括多个攻击脚本;基于所述攻击脚本生成攻击指令。
处理器在执行存储器上存储的获取所述安全设备针对所述攻击的第一响应信息时,还执行如下计算机程序:获取所述安全设备在受到所述攻击后生成的审计日志;从所述审计日志中提取所述第一响应信息,其中,所述第一响应信息至少包括所述安全设备上的文件信息、进程信息、网络信息、注册表、数据持久化、防火墙信息、执行命令中的一种或多种。
处理器在执行存储器上存储的通信方法时,还执行如下计算机程序:确定所述第一响应信息中是否存在所述攻击指令对应的第二响应信息;若存在,确定所述防御能力不满足所述预设条件;若不存在,确定所述防御能力满足所述预设条件。
处理器在执行存储器上存储的生成用于优化所述安全设备的防御能力的优化信息时,还执行如下计算机程序:查找所述攻击指令对应防御信息,其中,所述防御信息包括防御规则和防御进程;将所述攻击指令以及所述防御信息生成优化信息。
处理器在执行存储器上存储的评估方法时,还执行如下计算机程序:利用攻击数据库中的每个攻击脚本对预设设备进行攻击,以得到每个攻击脚本对应的防御信息。
处理器在执行存储器上存储的评估方法时,还执行如下计算机程序:按照预设标准将所述优化信息进行标准化;将标准化的优化信息发送给所述安全设备所属的厂商。
本公开实施例通过攻击指令对安全设备进行攻击,并基于安全设备对攻击的响应评估该安全设备的防御能力,进而在防御能力不满足预设条件的情况下,利用预先生成的攻击指令对应的防御信息生成用于优化安全设备的防御能力的优化信息,不仅能够清楚地知晓安全设备的防御能力,还能够对安全设备进行有效地优化以达到更好地防御效果。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本邻域技术人员应当理解,本公开中所涉及的公开范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述公开构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
此外,虽然采用特定次序描绘了各操作,但是这不应当理解为要求这些操作以所示出的特定次序或以顺序次序执行来执行。在一定环境下,多任务和并行处理可能是有利的。同样地,虽然在上面论述中包含了若干具体实现细节,但是这些不应当被解释为对本公开的范围的限制。在单独的实施例的上下文中描述的某些特征还可以组合地实现在单个实施例中。相反地,在单个实施例的上下文中描述的各种特征也可以单独地或以任何合适的子组合的方式实现在多个实施例中。
尽管已经采用特定于结构特征和/或方法逻辑动作的语言描述了本主题,但是应当理解所附权利要求书中所限定的主题未必局限于上面描述的特定特征或动作。相反,上面所描述的特定特征和动作仅仅是实现权利要求书的示例形式。
以上对本公开多个实施例进行了详细说明,但本公开不限于这些具体的实施例,本邻域技术人员在本公开构思的基础上,能够做出多种变型和修改实施例,这些变型和修改都应落入本公开所要求保护的范围之内。
Claims (10)
1.一种防御能力的评估方法,其特征在于,包括:
生成攻击指令对安全设备进行攻击;
获取所述安全设备针对所述攻击的第一响应信息;
基于所述第一响应信息确定所述安全设备的防御能力;
在所述防御能力不满足预设条件的情况下,生成用于优化所述安全设备的防御能力的优化信息。
2.根据权利要求1所述的评估方法,其特征在于,所述生成攻击指令对安全设备进行攻击,包括:
从攻击数据库中获取攻击脚本;其中,所述攻击数据库中包括多个攻击脚本;
基于所述攻击脚本生成攻击指令。
3.根据权利要求2所述的评估方法,其特征在于,所述获取所述安全设备针对所述攻击的第一响应信息,包括:
获取所述安全设备在受到所述攻击后生成的审计日志;
从所述审计日志中提取所述第一响应信息,其中,所述第一响应信息至少包括所述安全设备上的文件信息、进程信息、网络信息、注册表、数据持久化、防火墙信息、执行命令中的一种或多种。
4.根据权利要求2所述的评估方法,其特征在于,还包括:
确定所述第一响应信息中是否存在所述攻击指令对应的第二响应信息;
若存在,确定所述防御能力不满足所述预设条件;
若不存在,确定所述防御能力满足所述预设条件。
5.根据权利要求1或4所述的评估方法,其特征在于,所述生成用于优化所述安全设备的防御能力的优化信息,包括:
查找所述攻击指令对应防御信息,其中,所述防御信息包括防御规则和防御进程;
将所述攻击指令以及所述防御信息生成优化信息。
6.根据权利要求5所述的评估方法,其特征在于,还包括:
利用攻击数据库中的每个攻击脚本对预设设备进行攻击,以得到每个攻击脚本对应的防御信息。
7.根据权利要求5所述的评估方法,其特征在于,还包括:
按照预设标准将所述优化信息进行标准化;
将标准化的优化信息发送给所述安全设备所属的厂商。
8.一种防御能力的评估装置,其特征在于,包括:
攻击模块,其配置为生成攻击指令对安全设备进行攻击;
获取模块,其配置为获取所述安全设备针对所述攻击的第一响应信息;
第一确定模块,其配置为基于所述第一响应信息确定所述安全设备的防御能力;
生成模块,其配置为在所述防御能力不满足预设条件的情况下,生成用于优化所述安全设备的防御能力的优化信息。
9.一种存储介质,其特征在于,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如下步骤:
生成攻击指令对安全设备进行攻击;
获取所述安全设备针对所述攻击的第一响应信息;
基于所述第一响应信息确定所述安全设备的防御能力;
在所述防御能力不满足预设条件的情况下,生成用于优化所述安全设备的防御能力的优化信息。
10.一种电子设备,其特征在于,包括:处理器和存储器,所述存储器存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行如下步骤:
生成攻击指令对安全设备进行攻击;
获取所述安全设备针对所述攻击的第一响应信息;
基于所述第一响应信息确定所述安全设备的防御能力;
在所述防御能力不满足预设条件的情况下,生成用于优化所述安全设备的防御能力的优化信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111239722.9A CN113992386A (zh) | 2021-10-25 | 2021-10-25 | 一种防御能力的评估方法、装置、存储介质及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111239722.9A CN113992386A (zh) | 2021-10-25 | 2021-10-25 | 一种防御能力的评估方法、装置、存储介质及电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113992386A true CN113992386A (zh) | 2022-01-28 |
Family
ID=79740841
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111239722.9A Pending CN113992386A (zh) | 2021-10-25 | 2021-10-25 | 一种防御能力的评估方法、装置、存储介质及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113992386A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114531297A (zh) * | 2022-03-08 | 2022-05-24 | 四川中电启明星信息技术有限公司 | 一种面向边缘计算的容器安全风险评估方法 |
| CN115580452A (zh) * | 2022-09-26 | 2023-01-06 | 北京永信至诚科技股份有限公司 | 一种攻防演练方法、装置、电子设备及计算机存储介质 |
| CN116074114A (zh) * | 2023-03-06 | 2023-05-05 | 鹏城实验室 | 网络靶场防御效能评测方法、装置、设备及存储介质 |
| CN115186268B (zh) * | 2022-07-12 | 2023-10-20 | 国网江苏省电力有限公司信息通信分公司 | 面向内生安全架构的安全性度量方法、装置及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101447991A (zh) * | 2008-11-19 | 2009-06-03 | 中国人民解放军信息安全测评认证中心 | 用于测试入侵检测系统的测试装置及测试方法 |
| CN105243328A (zh) * | 2015-09-24 | 2016-01-13 | 哈尔滨工程大学 | 一种基于行为特征的摆渡木马防御方法 |
| CN105305436A (zh) * | 2015-11-16 | 2016-02-03 | 国家电网公司 | 一种多能跨区互联输电的防御能力快速评估与决策方法 |
| EP3145149A1 (en) * | 2015-09-16 | 2017-03-22 | Mastercard International Incorporated | Cyber defence and network traffic management using emulation of network resources |
| CN107454105A (zh) * | 2017-09-15 | 2017-12-08 | 北京理工大学 | 一种基于ahp与灰色关联的多维网络安全评估方法 |
| CN109660561A (zh) * | 2019-01-24 | 2019-04-19 | 西安电子科技大学 | 一种网络安全防御体系量化评估方法、网络安全评估平台 |
| CN110191083A (zh) * | 2019-03-20 | 2019-08-30 | 中国科学院信息工程研究所 | 面向高级持续性威胁的安全防御方法、装置与电子设备 |
-
2021
- 2021-10-25 CN CN202111239722.9A patent/CN113992386A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101447991A (zh) * | 2008-11-19 | 2009-06-03 | 中国人民解放军信息安全测评认证中心 | 用于测试入侵检测系统的测试装置及测试方法 |
| EP3145149A1 (en) * | 2015-09-16 | 2017-03-22 | Mastercard International Incorporated | Cyber defence and network traffic management using emulation of network resources |
| CN105243328A (zh) * | 2015-09-24 | 2016-01-13 | 哈尔滨工程大学 | 一种基于行为特征的摆渡木马防御方法 |
| CN105305436A (zh) * | 2015-11-16 | 2016-02-03 | 国家电网公司 | 一种多能跨区互联输电的防御能力快速评估与决策方法 |
| CN107454105A (zh) * | 2017-09-15 | 2017-12-08 | 北京理工大学 | 一种基于ahp与灰色关联的多维网络安全评估方法 |
| CN109660561A (zh) * | 2019-01-24 | 2019-04-19 | 西安电子科技大学 | 一种网络安全防御体系量化评估方法、网络安全评估平台 |
| CN110191083A (zh) * | 2019-03-20 | 2019-08-30 | 中国科学院信息工程研究所 | 面向高级持续性威胁的安全防御方法、装置与电子设备 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114531297A (zh) * | 2022-03-08 | 2022-05-24 | 四川中电启明星信息技术有限公司 | 一种面向边缘计算的容器安全风险评估方法 |
| CN115186268B (zh) * | 2022-07-12 | 2023-10-20 | 国网江苏省电力有限公司信息通信分公司 | 面向内生安全架构的安全性度量方法、装置及存储介质 |
| CN115580452A (zh) * | 2022-09-26 | 2023-01-06 | 北京永信至诚科技股份有限公司 | 一种攻防演练方法、装置、电子设备及计算机存储介质 |
| CN115580452B (zh) * | 2022-09-26 | 2024-04-09 | 永信至诚科技集团股份有限公司 | 一种攻防演练方法、装置、电子设备及计算机存储介质 |
| CN116074114A (zh) * | 2023-03-06 | 2023-05-05 | 鹏城实验室 | 网络靶场防御效能评测方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113992386A (zh) | 一种防御能力的评估方法、装置、存储介质及电子设备 | |
| Ghafir et al. | Malicious ssl certificate detection: A step towards advanced persistent threat defence | |
| Yaacoub et al. | Advanced digital forensics and anti-digital forensics for IoT systems: Techniques, limitations and recommendations | |
| Dahbul et al. | Enhancing honeypot deception capability through network service fingerprinting | |
| CA2996966A1 (en) | Process launch, monitoring and execution control | |
| CN110868403B (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
| CN108200095B (zh) | 互联网边界安全策略脆弱性确定方法及装置 | |
| Al-Mohannadi et al. | Analysis of adversary activities using cloud-based web services to enhance cyber threat intelligence | |
| Djanali et al. | SQL injection detection and prevention system with raspberry Pi honeypot cluster for trapping attacker | |
| Caesarano et al. | Network forensics for detecting SQL injection attacks using NIST method | |
| Aljurayban et al. | Framework for cloud intrusion detection system service | |
| CN113923021B (zh) | 基于沙箱的加密流量处理方法、系统、设备及介质 | |
| Georgina et al. | Deception Based Techniques Against Ransomwares: a Systematic Review | |
| Doshi et al. | SQL FILTER–SQL Injection prevention and logging using dynamic network filter | |
| Mariconti et al. | What's your major threat? On the differences between the network behavior of targeted and commodity malware | |
| CN111740976A (zh) | 一种网络安全甄别研判系统及方法 | |
| Imran et al. | Provintsec: a provenance cognition blueprint ensuring integrity and security for real life open source cloud | |
| Alashjaee et al. | A efficient method to detect DDos attack in cloud computing | |
| Ozturk et al. | Dynamic behavioural analysis of privacy-breaching and data theft ransomware | |
| Alalloush et al. | API Malware Analysis: Exploring Detection And Forensics Strategies For Secure Software Development | |
| US11811823B2 (en) | Complete data exfiltration profile and model (CODAEX) | |
| KR102616603B1 (ko) | 네트워크 보안 지원 방법 및 이를 이용하는 보안 지원 장치 | |
| Brison et al. | Botnet intrusion detection: A modern architecture to defend a virtual private cloud. | |
| Banerjee | Detection and behavioral analysis of botnets using honeynets and classification techniques | |
| Fu et al. | A Study of Evaluation Methods of WEB Security Threats Based on Multi-stage Attack |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |