CN114091042A - 风险预警方法 - Google Patents

风险预警方法 Download PDF

Info

Publication number
CN114091042A
CN114091042A CN202210067716.8A CN202210067716A CN114091042A CN 114091042 A CN114091042 A CN 114091042A CN 202210067716 A CN202210067716 A CN 202210067716A CN 114091042 A CN114091042 A CN 114091042A
Authority
CN
China
Prior art keywords
user
information
risk
terminal equipment
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210067716.8A
Other languages
English (en)
Inventor
张智
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Zhuyun Technology Co ltd
Original Assignee
Shenzhen Zhuyun Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Zhuyun Technology Co ltd filed Critical Shenzhen Zhuyun Technology Co ltd
Priority to CN202210067716.8A priority Critical patent/CN114091042A/zh
Publication of CN114091042A publication Critical patent/CN114091042A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明实施例涉及复杂环境下的系统风险预警技术领域,公开了一种风险预警方法,该方法包括:读取用户岗位、职位信息,得到用户等级信息;判断用户访问行为是否违反访问策略,并得到用户当前使用的用户终端设备信息;对用户当前使用的终端设备安全状态进行检测,得到终端设备安全状态信息;对用户当前所处网络安全性进行检测,得到网络安全信息;读取用户登录方式以及身份鉴别方式信息得到用户登录凭证信息;将用户等级信息、是否违反访问策略信息、终端设备安全状态信息、网络安全信息、用户登录凭证信息,代入动态风险评估模型,得出最终的风险评估值;确定风险等级,执行预警操作。本发明实施例可以有效进行风险预警,提高系统安全性。

Description

风险预警方法
技术领域
本发明实施例涉及复杂环境下的系统风险试验技术领域,具体涉及一种风险预警方法。
背景技术
在用户在登录系统、访问系统功能时,一般除了验证本次用户的凭证是否有效以外,一般还会引入一些风险检测机制进行用户行为的可信验证,证明其行为是可信的,这个可信结果具体体现的形式就是一个风险评分。
现有技术方案大致有以下几种风险评估类型:(1)按等级评分,每个风险模型都有一个默认的风险等级,在进行风险检测时会返回违反风险模型中,风险等级最高的那一个,当风险等级包含特定级别则认为不可信。优点:评分规则简单易懂,不会产生歧义。缺点:需要安全专家对风险模型,按当前企业情况进行风险评级。不能应对复杂的组合情况。(2)按风险值评分,每个风险模型都有一个的风险值,在进行风险检测时,会将风险违反风险模型的风险值进行累加,当风险累加值超过指定阈值则认为不可信。优点:可将多种风险模型组合成一种新组合模型,适应复杂场景。缺点:需要安全专家对风险模型,按当前企业情况进行风险评分定值。需要对较多场景进行分值组合。(3)算法评分,一般使用分类算法来实现,并通过"Sigmoid函数"或"Logistic函数"来返回一个无限接近0或无限接近1的值,表达是风险的可能性,一般最终返回值会乘以100,来形成0-100的区间评分,并设置超过特定阈值认为是风险。优点:评分根据数据进行动态变化,不需要人为设置。缺点:评分规则不容易被理解和认可,特别依赖于数据质量。
而目前并没有一种应对复杂环境下的,容易被人理解的风险评估模型。因此本发明特提出一种风险预警方法以解决上述背景技术中所提出的问题。
发明内容
本发明的主要目的是解决在一种可针对复杂场景下,如何构建一种可被常人容易理解的、具备参考依据、动态评分的风险评估模型,而提出的一种风险预警方法、风险预警装置、终端登录设备及计算机可读存储介质。
为了实现上述目的,本发明采用了如下技术方案:
本发明一个方面,提供一种风险预警方法,所述方法包括:
读取用户岗位、职位信息,得到用户等级信息;
监测用户访问行为,判断所述用户访问行为是否违反访问策略,并得到所述用户当前使用的用户终端设备信息;
基于所述用户终端设备信息,对所述用户当前使用的终端设备安全状态进行检测,得到所述用户当前使用的终端设备安全状态信息;
基于所述终端设备安全状态信息,对所述用户当前所处网络安全性进行检测,得到所述用户当前所处位置的网络安全信息;
基于所述用户的登录行为,对用户登录方式以及身份鉴别方式信息进行读取,得到用户登录凭证信息;
将所述用户等级信息、是否违反访问策略信息、终端设备安全状态信息、网络安全信息、用户登录凭证信息,代入到事先建立的动态风险评估模型,得出最终的风险评估值;
根据所述风险评估值,确定风险等级,执行相应的预警操作。
一种实施方式中,所述读取用户岗位、职位信息,得到用户等级信息之前,所述方法还包括:
根据所述用户岗位、职位信息对用户进行身份价值定义,其中,所述身份价值通过风险引擎中的用户标签功能进行定义;根据用户岗位、职位、用户行为对所述身份价值进行等级设定。
一种实施方式中,所述将所述用户等级信息、是否违反访问策略信息、终端设备安全状态信息、网络安全信息、用户登录凭证信息,代入到事先建立的所述动态风险评估模型,得出最终的风险评估值之前,所述方法还包括:建立风险评估模型,所述风险评估模型的表达式如下:风险值=R(A,T,V)=R(L(T,V),F(la,Va));其中R为风险计算函数,A为资产,T为威胁频率,V为脆弱性,la为资产价值,Va为脆弱性严重程度,L为安全事件触发可能性,F为安全事件发生后的损失。
一种实施方式中,所述建立风险评估模型,包括:获取访问策略信息;确定各种访问行为对所述访问策略信息的威胁程度,所述威胁程度包括:未违反任何策略;无响应;未生成交互策略;四级为主客体交互策略违反;身份活动策略违反。
一种实施方式中,所述建立风险评估模型,包括:建立各种终端设备安全状态对应的终端脆弱性,所述终端脆弱性是指当前用户使用的电脑或手机的安全状态;所述安全状态包括终端状态未失陷、无漏洞、无病毒;无响应;终端状态未知;终端状态包含漏洞;终端状态包含病毒。
一种实施方式中,所述安全事件触发可能性包括认证置信度;所述建立风险评估模型,包括:
确定用户登录方式以及身份鉴别方式对应的认证置信度,其中不同的用户登录方式以及身份鉴别方式对应不同的认证置信度;所述用户登录方式以及身份鉴别方式包括:双因素包含指纹、实名、证书认证;双因素包含短信认证;短信、扫码认证、OTP;口令登录;无鉴别凭证。
一种实施方式中,所述访问威胁定义是对其行为的威胁程度进行定义,分为五个等级,一级为未违反任何策略,如字面意思;二级无响应;三级为未生成交互策略:指用户与被访问资源之间的行为特征交集没有数据的情况;四级为主客体交互策略违反:指用户本次的访问行为特征与应用被使用的特征的行为特征交集;五级为身份活动策略违反:指用户本次的访问行为特征与他历史的活动行为特征不一致。
优选地,所述终端脆弱性定义是指当前用户使用的电脑或手机的安全状态,分为五个等级,一级为终端状态未失陷、无漏洞、无病毒,二级无响应、三级终端状态未知、四级终端状态包含漏洞、五级终端状态包含病毒。
优选地,所述网络脆弱性定义是指当前用户所处的网络划分,根据IP对应的内外网位置而定,分为五个等级,一级为办公终端网络到办公有线网、二级为受控网络到办公无线网、三级无响应、四级为国内网络、五级为国外网络/非受控网络/核心网段。
优选地,所述认证置信度定义是指用户在访问之前使用了哪些认证方式进行身份鉴别,分为五个等级,一级为双因素包含指纹、实名、证书认证、二级为双因素包含短信认证、三级为短信、扫码认证、OTP、四级为口令登录、五级为无鉴别凭证。
本发明另一个方面,提供一种风险预警装置,包括:
标签定位模块,用于读取用户岗位、职位信息,得到用户等级信息;
行为监测模块,用于监测用户访问行为,判断所述用户访问行为是否违反访问策略,并得到所述用户当前使用的用户终端设备信息;
网络监测模块,用于基于所述用户终端设备信息,对所述用户当前使用的终端设备安全状态进行检测,得到所述用户当前使用的终端设备安全状态信息;
身份认证模块,用于基于所述终端设备安全状态信息,对所述用户当前所处网络安全性进行检测,得到所述用户当前所处位置的网络安全信息;
登录检测模块,用于基于所述用户的登录行为,对用户登录方式以及身份鉴别方式信息进行读取,得到用户登录凭证信息;
风险评估模块,用于将所述用户等级信息、是否违反访问策略信息、终端设备安全状态信息、网络安全信息、用户登录凭证信息,代入到事先建立的动态风险评估模型,得出最终的风险评估值;
预警模块,用于根据所述风险评估值,确定风险等级,执行相应的预警操作。
一种实施方式中,所述行为监测模块包括:行为分析子模块,用于用户访问行为的分析,比较以往访问记录;行为定义子模块,用于用户访问行为的定义,综合分析并判定其行为威胁程度:监测预警子模块,用于违规访问行为信息传递与预警操作。
本发明另一个方面,提供一种终端登录设备,包括处理器和存储器,所述存储器中存储有终端设备可读指令,所述终端设备通过所述处理器执行可读指令时实现如所述的风险预警方法的步骤。
本发明另一个方面,提供一种计算机可读存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令在计算设备上运行时,使得计算设备执行所述的风险预警方法的操作。
相比现有技术,本发明的有益效果为:
本发明实施例通过读取用户岗位、职位信息,得到用户等级信息;判断用户访问行为是否违反访问策略,并得到用户当前使用的用户终端设备信息;对用户当前使用的终端设备安全状态进行检测,得到终端设备安全状态信息;对用户当前所处网络安全性进行检测,得到网络安全信息;读取用户登录方式以及身份鉴别方式信息得到用户登录凭证信息;将用户等级信息、是否违反访问策略信息、终端设备安全状态信息、网络安全信息、用户登录凭证信息,代入动态风险评估模型,得出最终的风险评估值;确定风险等级,执行预警操作,可以针对复杂系统进行有效的风险预警,提高系统安全性。本发明实施例相比“按等级评分”它可应对更复杂场景组合,相比“按风险值评分”不需要去定义复杂场景组合,相比“算法评分”它更容易理解,是一种可针对复杂场景下,容易被常人理解的、具备参考依据的动态评分风险评估模型。
上述说明仅是本发明实施例技术方案的概述,为了能够更清楚了解本发明实施例的技术手段,而可依照说明书的内容予以实施,并且为了让本发明实施例的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
附图仅用于示出实施方式,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
附图仅用于示出实施方式,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为本发明提出的一种风险预警方法的流程示意图;
图2为本发明提出的一种风险预警方法的风险评估模型结构示意图;
图3为本发明提出的一种风险预警方法的整体过程结构示意图;
图4为本发明提出的一种风险预警方法的总体流程结构示意图;
图5为本发明提出的一种风险预警方法中环境、身份综合置信度的趋势图;
图6为本发明提出的一种风险预警方法中威胁可能性的趋势图。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。
首先,对本发明实施例中出现的技术术语进行解释:
多因素:指账号本身价值、账号登录所使用的设备安全状态、网络位置、认证方式、是否违反访问策略。
统一身份管理系统:为用户提供统一集中的帐号管理,支持管理的资源包括主流的操作系统、网络设备和应用系统;不仅能够实现被管理资源帐号的创建、删除及同步等帐号管理生命周期所包含的基本功能,而且也可以通过平台进行帐号密码策略,密码强度、生存周期的设定。
风险引擎:是统一身份管理系统的增强组件,主要通过收集被统一身份管理用户的用户行为,以及被其管理的用户、组织岗位等数据,进行行为与用户的映射,用户行为的分析等。
用户标签:既根据用户的静态属性(比如年龄、入职时间)或用户行为,按设定好的规则(比如在21点-23点登录),而这个规则就是标签。在进行计算为符合这个规则的用户添加这个属性。
实施例一
如图1所示,提供一种风险预警方法,该方法应用于计算设备中,包括以下步骤:
S110:读取用户岗位、职位信息,得到用户等级信息。
其中,如下表所述,预先根据所述用户岗位、职位信息对用户进行身份价值定义,所述身份价值定义在风险引擎中通过用户标签功能进行设置,根据用户岗位、职位、用户行为为用户价值进行定级。
Figure 840293DEST_PATH_IMAGE001
本发明实施例中,根据读取到的用户岗位、职位信息获取用户价值等级,也即用户等级信息。
S120:监测用户访问行为,判断所述用户访问行为是否违反访问策略,并得到所述用户当前使用的用户终端设备信息。
其中,本发明实施例中预先设置了多种访问策略,该访问策略用于限定用户的访问行为。根据所述用户行为确定用户行为威胁程度,用获取用户当前使用的用户终端设备信息,所述威胁程度包括:未违反任何策略;无响应;未生成交互策略;四级为主客体交互策略违反(指用户本次的访问行为特征与应用被使用的特征的行为特征交集);身份活动策略违反(指用户本次的访问行为特征与他历史的活动行为特征不一致(比如以前都在白天访问,现在突然在夜间访问))。
其中,访问策略违反与威胁程度等级的对应关系如下表所示:
Figure 568077DEST_PATH_IMAGE002
S130:基于所述用户终端设备信息,对所述用户当前使用的终端设备安全状态进行检测,得到所述用户当前使用的终端设备安全状态信息。
其中,本发明实施例还获取用户当前使用的用户终端设备信息。根据用户设备信息可以确定终端脆弱性等级,该终端脆弱性等级指当前用户使用的电脑或手机的安全状态,如下表所示。
终端脆弱性等级 标识 描述
5 很高 终端状态包含病毒
4 终端状态包含漏洞
3 终端状态未知
2
1 很低 终端状态未失陷、无漏洞、无病毒
S140:基于所述用户终端设备的安全状态信息,对所述用户当前所处网络安全性进行检测,得到所述用户当前所处位置的网络安全性信息。
本发明实施例中,还获取用户终端设备的安全状态信息,对用户的终端设备所处网络的安全性进行检测,从而得到网络安全性信息,该网络安全性信息对应了网络脆弱性等级。
Figure 56827DEST_PATH_IMAGE003
S150:基于所述用户的登录行为,对用户登录方式以及身份鉴别方式信息进行读取,得到用户登录凭证信息。
其中,用户登录凭证信息对应了用户的认证置信度,表示用户在访问资源之前使用了哪些认证方式进行身份鉴别,如下表所示。其中,认证置信度为5时,表示置信度很高。
认证置信度等级 标识 描述
5 很高
4 口令登录
3 短信、扫码认证、OTP
2 双因素(包含短信认证)
1 很低 双因素(包含指纹、实名、证书认证)
S160:将所述用户等级信息、是否违反访问策略信息、终端设备安全状态信息、网络安全信息、用户登录凭证信息,代入到事先建立的所述动态风险评估模型,得出最终的风险评估值。
其中,风险评估模型的表达式如下:
风险值=R(A,T,V)=R(L(T,V),F(la,Va));
其中,R为风险计算函数,A为资产,T为威胁频率,V为脆弱性,la为资产价值,Va为脆弱性严重程度,L为安全事件触发可能性,F为安全事件发生后的损失。
其中,脆弱性V包括网络脆弱性、终端脆弱性及身份安全性,脆弱性严重程度包括网络脆弱性、终端脆弱性的严重程度和身份安全性程度,安全事件触发可能性可通过认证置信度来表征。资产价值la可通过用户等级信息来表征。资产A通过用户身份表征,资产价值la通过用户身份价值来表征。威胁频率通过违反访问策略的频率及资产违反风险规则的频率表征。安全事件发生后的损失F为根据具体场景预先设置的。
本发明实施例中,根据事先设定的样本建立动态风险评估模型,其中预先设定的样本包括样本用户等级信息、访问策略信息、终端状态信息、网络安全状态信息、鉴别凭证信息等信息。
通过将样本输入该动态风险评估模型中训练,得到训练后的动态风险评估模型。
S170:根据所述风险评估值,确定风险等级,执行相应的预警操作。
在得到风险评估值后,根据风险评估值对应的风险等级表,确定风险等级,并执行对应的预警操作。
本发明实施例通过读取用户岗位、职位信息,得到用户等级信息;判断用户访问行为是否违反访问策略,并得到用户当前使用的用户终端设备信息;对用户当前使用的终端设备安全状态进行检测,得到终端设备安全状态信息;对用户当前所处网络安全性进行检测,得到网络安全信息;读取用户登录方式以及身份鉴别方式信息得到用户登录凭证信息;将用户等级信息、是否违反访问策略信息、终端设备安全状态信息、网络安全信息、用户登录凭证信息,代入动态风险评估模型,得出最终的风险评估值;确定风险等级,执行预警操作,可以针对复杂系统进行有效的风险预警,提高系统安全性。本发明实施例相比“按等级评分”它可应对更复杂场景组合,相比“按风险值评分”不需要去定义复杂场景组合,相比“算法评分”它更容易理解,是一种可针对复杂场景下,容易被常人理解的、具备参考依据的动态评分风险评估模型。
实施例二
参照图2-6,本发明实施例提供一种风险预警方法,包括如下步骤:
步骤一:基于用户登录系统过程中产生的多因素风险,根据事先设定所述用户等级信息、是否违反访问策略信息、终端状态信息、网络安全状态信息、鉴别凭证信息作为参考依据,建立风险评估模型,该多因素风险包括用户标签、设备安全状态、用户行为、网络位置、认证方式。
步骤二:基于用户标签功能,对用户岗位、职位信息进行读取,根据用户岗位、职位,对用户进行身份价值定义,定义分为五个等级,一级为普通用户、二级为中层管理用户、三级为高层管理用户、四级一级管理员、五级为超级管理员。
步骤三:基于用户行为,对用户访问行为进行监测,对用户行为威胁程度进行访问威胁定义,并判断其行为是否违反访问策略,定义分为五个等级,一级为未违反任何策略:如字面意思;二级无响应;三级为未生成交互策略:指用户与被访问资源之间的行为特征交集没有数据的情况;四级为主客体交互策略违反:指用户本次的访问行为特征与应用被使用的特征的行为特征交集;五级为身份活动策略违反:指用户本次的访问行为特征与他历史的活动行为特征不一致(比如以前都在白天访问,现在突然在夜间访问)。
步骤四:基于用户设备安全状态,对用户当前使用的终端设备安全状态进行检测,对用户当前使用终端(手机或电脑)安全状态进行终端脆弱性定义,其设备安全状态由终端安全产品提供,定义分为五个等级,一级为终端状态未失陷、无漏洞、无病毒,二级无响应、三级终端状态未知、四级终端状态包含漏洞、五级终端状态包含病毒。
步骤五:基于用户网络位置,对用户当前所处网络安全性进行检测,对用户当前所处网络进行网络脆弱性定义,网络划分根据IP对应内外网位置确定,定义分为五个等级,一级为办公终端网络到办公有线网、二级为受控网络到办公无线网、三级无响应、四级为国内网络、五级国外网络/非受控网络/核心网段。
步骤六:基于用户登录时的认证方式,对用户登录以及身份鉴别方式信息进行读取,对用户进行认证置信度定义,并确定其身份鉴别方式,认证置信度定义是指用户在访问之前使用了哪些认证方式进行身份鉴别,分为五个等级,一级为双因素(包含指纹、实名、证书认证)、二级为双因素(包含短信认证)、三级为短信、扫码认证、OTP、四级为口令登录、五级为无鉴别凭证。
步骤七:综合以上的多因素风险,进行特征提取,代入到事先建立的动态风险评估模型,得出最终的风险评估值,确定风险等级,按照最初设定的风险预案,当满足预警条件时,执行相应的预警操作,反之则不执行,风险评估模型风险值=R(A,T,V)=R(L(T,V),F(la,Va))。
其中R为风险计算函数,A为资产,T为威胁频率,V为脆弱性,la为资产价值,Va为脆弱性严重程度,L为安全事件触发可能性,F为安全事件发生后的损失。
安全事件触发可能性包括资产吸引力、脆弱性被利用难易度、攻击者技术能力,安全事件发生后的损失包括缺少资产影响的关联性(比如某个资产损坏了会影响业务连续性)。
进一步的是,其中步骤七中综合多因素的风险评分基本步骤为:
S1:建立因素集,因素集是一影响评估对象各种因素所组成的一个普通集合:
Figure 528260DEST_PATH_IMAGE004
其中,
Figure 786066DEST_PATH_IMAGE005
分别为各影响因素,本发明实施例中因素集也就是系统测试风险的指标体系;
S2:建立权重集:
Figure 950331DEST_PATH_IMAGE006
,要求
Figure 191957DEST_PATH_IMAGE007
满足非负性和归一性,即由权重集模糊层次分析法得到:
Figure 450768DEST_PATH_IMAGE008
S3:建立评价集,令
Figure 828660DEST_PATH_IMAGE009
为模型评语集,n为具体评语,如N={很高(5),高(4),中(3),低(2),很低(1)}。
S4:单因素模糊评价,建立一个从U到N的模糊关系,从而导出隶属度矩阵
Figure 898247DEST_PATH_IMAGE010
其中
Figure 361590DEST_PATH_IMAGE011
表示评价因素
Figure 174825DEST_PATH_IMAGE012
对评语n的隶属度,按照德尔菲法确定评价因素对评语集隶属度
Figure 407223DEST_PATH_IMAGE013
,其中每个因素的评价可通过专家评价得到。假如评价集
Figure 178870DEST_PATH_IMAGE014
对于评价因素
Figure 863929DEST_PATH_IMAGE012
Figure 480855DEST_PATH_IMAGE015
个评语n,则
Figure 811168DEST_PATH_IMAGE016
对于评语集的隶属度向量
Figure 488137DEST_PATH_IMAGE017
,其中:
Figure 660493DEST_PATH_IMAGE018
对风险评估模型测试并进行打分,测试结果如下表。
表 1 用户价值很高(5)时的验算过程:
Figure 81110DEST_PATH_IMAGE019
表 2 用户价值高(4)时的验算过程:
Figure 288100DEST_PATH_IMAGE020
表 3 用户价值一般(3)时的验算过程:
Figure 135970DEST_PATH_IMAGE021
由图表评分验算结论,得到如图5及图6的趋势图。
更进一步的是,从验算过程可以看出:身份价值越高,对使用账号所处的设备、网络安全要求越高;身份价值越低,对使用账号所处的设备、网络安全要求越低。
本发明实施例通过读取用户岗位、职位信息,得到用户等级信息;判断用户访问行为是否违反访问策略,并得到用户当前使用的用户终端设备信息;对用户当前使用的终端设备安全状态进行检测,得到终端设备安全状态信息;对用户当前所处网络安全性进行检测,得到网络安全信息;读取用户登录方式以及身份鉴别方式信息得到用户登录凭证信息;将用户等级信息、是否违反访问策略信息、终端设备安全状态信息、网络安全信息、用户登录凭证信息,代入动态风险评估模型,得出最终的风险评估值;确定风险等级,执行预警操作,可以针对复杂系统进行有效的风险预警,提高系统安全性。本发明实施例相比“按等级评分”它可应对更复杂场景组合,相比“按风险值评分”不需要去定义复杂场景组合,相比“算法评分”它更容易理解,是一种可针对复杂场景下,容易被常人理解的、具备参考依据的动态评分风险评估模型。
实施例三
本发明实施例提供一种风险预警装置,包括:
标签定位模块,用于读取用户岗位、职位信息,得到用户等级信息;
行为监测模块,用于监测用户访问行为,判断所述用户访问行为是否违反访问策略,并得到所述用户当前使用的用户终端设备信息;
网络监测模块,用于基于所述用户终端设备信息,对所述用户当前使用的终端设备安全状态进行检测,得到所述用户当前使用的终端设备安全状态信息;
身份认证模块,用于基于所述终端设备安全状态信息,对所述用户当前所处网络安全性进行检测,得到所述用户当前所处位置的网络安全信息;
登录检测模块,用于基于所述用户的登录行为,对用户登录方式以及身份鉴别方式信息进行读取,得到用户登录凭证信息;
风险评估模块,用于将所述用户等级信息、是否违反访问策略信息、终端设备安全状态信息、网络安全信息、用户登录凭证信息,代入到事先建立的所述动态风险评估模型,得出最终的风险评估值;
预警模块,用于根据所述风险评估值,确定风险等级,执行相应的预警操作。
本发明实施例中,行为监测模块包括:行为分析子模块,用于用户访问行为的分析,比较以往访问记录;行为定义子模块,用于用户访问行为的定义,综合分析并判定用户访问行为威胁程度;监测预警子模块,用于违规访问行为信息传递与预警操作。
本发明实施例的风险预警装置的具体工作过程与上述方法实施例的具体执行步骤大体一致,此处不再赘述。
进一步的是,本发明实施例还提供一种终端登录设备,包括处理器和存储器,存储器中存储有终端设备可读指令,终端设备通过处理器执行可读指令时实现上述实施例一中风险预警方法的步骤。
更进一步的是,本发明实施例还提供一种计算机可读存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令在计算设备上运行时,使得计算设备执行如上述实施例一所述的风险预警方法的操作。
在此提供的算法或显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明实施例也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本发明并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明实施例的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。上述实施例中的步骤,除有特殊说明外,不应理解为对执行顺序的限定。

Claims (10)

1.一种风险预警方法,其特征在于,所述方法包括:
读取用户岗位、职位信息,得到用户等级信息;
监测用户访问行为,判断所述用户访问行为是否违反访问策略,并得到所述用户当前使用的用户终端设备信息;
基于所述用户终端设备信息,对所述用户当前使用的终端设备安全状态进行检测,得到所述用户当前使用的终端设备安全状态信息;
基于所述终端设备安全状态信息,对所述用户当前所处网络安全性进行检测,得到所述用户当前所处位置的网络安全信息;
基于所述用户的登录行为,对用户登录方式以及身份鉴别方式信息进行读取,得到用户登录凭证信息;
将所述用户等级信息、是否违反访问策略信息、终端设备安全状态信息、网络安全信息、用户登录凭证信息,代入到事先建立的动态风险评估模型,得出最终的风险评估值;
根据所述风险评估值,确定风险等级,执行相应的预警操作。
2.根据权利要求1所述的方法,其特征在于,所述读取用户岗位、职位信息,得到用户等级信息之前,所述方法还包括:
根据所述用户岗位、职位信息对用户进行身份价值定义,其中,所述身份价值通过风险引擎中的用户标签功能进行定义;
根据用户岗位、职位、用户行为对所述身份价值进行等级设定。
3.根据权利要求1所述的方法,其特征在于,所述将所述用户等级信息、是否违反访问策略信息、终端设备安全状态信息、网络安全信息、用户登录凭证信息,代入到事先建立的所述动态风险评估模型,得出最终的风险评估值之前,所述方法还包括:
建立风险评估模型,所述风险评估模型的表达式如下:
风险值=R(A,T,V)=R(L(T,V),F(la,Va));
其中R为风险计算函数,A为资产,T为威胁频率,V为脆弱性,la为资产价值,Va为脆弱性严重程度,L为安全事件触发可能性,F为安全事件发生后的损失。
4.根据权利要求3所述的方法,其特征在于,所述建立风险评估模型,包括:
获取访问策略信息;
确定各种访问行为对所述访问策略信息的威胁程度,所述威胁程度包括:未违反任何策略;无响应;未生成交互策略;四级为主客体交互策略违反;身份活动策略违反。
5.根据权利要求3所述的方法,其特征在于,所述建立风险评估模型,包括:
建立各种终端设备安全状态对应的终端脆弱性,所述终端脆弱性是指当前用户使用的电脑或手机的安全状态;所述安全状态包括终端状态未失陷、无漏洞、无病毒;无响应;终端状态未知;终端状态包含漏洞;终端状态包含病毒。
6.根据权利要求3所述的方法,其特征在于,所述安全事件触发可能性包括认证置信度;所述建立风险评估模型,包括:
确定用户登录方式以及身份鉴别方式对应的认证置信度,其中不同的用户登录方式以及身份鉴别方式对应不同的认证置信度;所述用户登录方式以及身份鉴别方式包括:双因素包含指纹、实名、证书认证;双因素包含短信认证;短信、扫码认证、OTP;口令登录;无鉴别凭证。
7.一种风险预警装置,其特征在于,包括:
标签定位模块,用于读取用户岗位、职位信息,得到用户等级信息;
行为监测模块,用于监测用户访问行为,判断所述用户访问行为是否违反访问策略,并得到所述用户当前使用的用户终端设备信息;
网络监测模块,用于基于所述用户终端设备信息,对所述用户当前使用的终端设备安全状态进行检测,得到所述用户当前使用的终端设备安全状态信息;
身份认证模块,用于基于所述终端设备安全状态信息,对所述用户当前所处网络安全性进行检测,得到所述用户当前所处位置的网络安全信息;
登录检测模块,用于基于所述用户的登录行为,对用户登录方式以及身份鉴别方式信息进行读取,得到用户登录凭证信息;
风险评估模块,用于将所述用户等级信息、是否违反访问策略信息、终端设备安全状态信息、网络安全信息、用户登录凭证信息,代入到事先建立的动态风险评估模型,得出最终的风险评估值;
预警模块,用于根据所述风险评估值,确定风险等级,执行相应的预警操作。
8.根据权利要求7所述的装置,其特征在于,所述行为监测模块包括:
行为分析子模块,用于用户访问行为的分析,比较以往访问记录;
行为定义子模块,用于用户访问行为的定义,综合分析并判定用户访问行为威胁程度;
监测预警子模块,用于违规访问行为信息传递与预警操作。
9.一种终端登录设备,包括处理器和存储器,其特征在于,所述存储器中存储有终端设备可读指令,所述终端设备通过所述处理器执行可读指令时实现如权利要求1至6中任一项所述的风险预警方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一可执行指令,所述可执行指令在计算设备上运行时,使得计算设备执行如权利要求1-6任意一项所述的风险预警方法的操作。
CN202210067716.8A 2022-01-20 2022-01-20 风险预警方法 Pending CN114091042A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210067716.8A CN114091042A (zh) 2022-01-20 2022-01-20 风险预警方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210067716.8A CN114091042A (zh) 2022-01-20 2022-01-20 风险预警方法

Publications (1)

Publication Number Publication Date
CN114091042A true CN114091042A (zh) 2022-02-25

Family

ID=80308917

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210067716.8A Pending CN114091042A (zh) 2022-01-20 2022-01-20 风险预警方法

Country Status (1)

Country Link
CN (1) CN114091042A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115085980A (zh) * 2022-05-31 2022-09-20 北京融讯智晖技术有限公司 一种基于融合视频云的网络准入管理系统
CN117235797A (zh) * 2023-09-28 2023-12-15 广州工程技术职业学院 大数据资源访问智能管理方法及装置、设备、系统
CN117857225A (zh) * 2024-03-07 2024-04-09 国网江西省电力有限公司电力科学研究院 一种新能源电站采集终端用的身份认证系统及方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102799954A (zh) * 2012-07-18 2012-11-28 中国信息安全测评中心 一种适用于风险评估的多目标优化方法及系统
CN112165488A (zh) * 2020-09-28 2021-01-01 杭州安恒信息安全技术有限公司 一种风险评估方法、装置、设备及可读存储介质
CN113542279A (zh) * 2021-07-16 2021-10-22 北京源堡科技有限公司 一种网络安全风险评估方法、系统及装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102799954A (zh) * 2012-07-18 2012-11-28 中国信息安全测评中心 一种适用于风险评估的多目标优化方法及系统
CN112165488A (zh) * 2020-09-28 2021-01-01 杭州安恒信息安全技术有限公司 一种风险评估方法、装置、设备及可读存储介质
CN113542279A (zh) * 2021-07-16 2021-10-22 北京源堡科技有限公司 一种网络安全风险评估方法、系统及装置

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115085980A (zh) * 2022-05-31 2022-09-20 北京融讯智晖技术有限公司 一种基于融合视频云的网络准入管理系统
CN115085980B (zh) * 2022-05-31 2024-02-27 北京融讯智晖技术有限公司 一种基于融合视频云的网络准入管理系统
CN117235797A (zh) * 2023-09-28 2023-12-15 广州工程技术职业学院 大数据资源访问智能管理方法及装置、设备、系统
CN117857225A (zh) * 2024-03-07 2024-04-09 国网江西省电力有限公司电力科学研究院 一种新能源电站采集终端用的身份认证系统及方法

Similar Documents

Publication Publication Date Title
CN110958220B (zh) 一种基于异构图嵌入的网络空间安全威胁检测方法及系统
Ganin et al. Multicriteria decision framework for cybersecurity risk assessment and management
US10924514B1 (en) Machine learning detection of fraudulent validation of financial institution credentials
US20210328969A1 (en) Systems and methods to secure api platforms
CN109831459B (zh) 安全访问的方法、装置、存储介质和终端设备
RU2017141988A (ru) Метод и устройство для управления безопасностью в компьютерной сети
CN109446817A (zh) 一种大数据检测与审计系统
US20210234877A1 (en) Proactively protecting service endpoints based on deep learning of user location and access patterns
CN113132311B (zh) 异常访问检测方法、装置和设备
CN114091042A (zh) 风险预警方法
CN106156151A (zh) 互联网操作事件的风险识别方法及装置
CN107273752B (zh) 基于词频统计和朴素贝叶斯融合模型的漏洞自动分类方法
Al-Khateeb et al. Awareness model for minimizing the effects of social engineering attacks in web applications
CN112839014A (zh) 建立识别异常访问者模型的方法、系统、设备及介质
CN110674498B (zh) 一种基于多维度文件活动的内部威胁检测方法及系统
Alhassan et al. A fuzzy classifier-based penetration testing for web applications
CN116996286A (zh) 一种基于大数据分析的网络攻击和安全漏洞治理框架平台
Kumar et al. Performance evaluation of machine learning techniques for detecting cross-site scripting attacks
Nebbione et al. A Methodological Framework for AI-Assisted Security Assessments of Active Directory Environments
Datta et al. Real-time threat detection in ueba using unsupervised learning algorithms
CN107194259B (zh) 一种基于攻击过程的漏洞严重度综合评估方法和系统
CN115987544A (zh) 一种基于威胁情报的网络安全威胁预测方法及系统
WO2022239030A1 (en) Method and system for anomaly detection in the banking system with graph neural networks (gnns)
Bumiller et al. Towards a Better Understanding of Impersonation Risks
Haidar et al. E-banking Information Security Risks Analysis Based on Ontology

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20220225

RJ01 Rejection of invention patent application after publication