CN114157494B - 一种ip资源状态确定方法及相关装置 - Google Patents
一种ip资源状态确定方法及相关装置 Download PDFInfo
- Publication number
- CN114157494B CN114157494B CN202111480361.7A CN202111480361A CN114157494B CN 114157494 B CN114157494 B CN 114157494B CN 202111480361 A CN202111480361 A CN 202111480361A CN 114157494 B CN114157494 B CN 114157494B
- Authority
- CN
- China
- Prior art keywords
- information
- hidden danger
- vulnerability
- resource
- risk level
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 56
- 238000003860 storage Methods 0.000 claims abstract description 10
- 238000004590 computer program Methods 0.000 claims description 9
- 238000013507 mapping Methods 0.000 claims description 8
- 230000008569 process Effects 0.000 claims description 8
- 238000004364 calculation method Methods 0.000 claims description 6
- 230000009286 beneficial effect Effects 0.000 abstract description 2
- 230000002776 aggregation Effects 0.000 description 4
- 238000004220 aggregation Methods 0.000 description 4
- 238000012550 audit Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 238000011156 evaluation Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 230000006978 adaptation Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000005336 cracking Methods 0.000 description 2
- 238000002347 injection Methods 0.000 description 2
- 239000007924 injection Substances 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000035515 penetration Effects 0.000 description 2
- 238000013515 script Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000013499 data model Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 230000008595 infiltration Effects 0.000 description 1
- 238000001764 infiltration Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
- 235000019354 vermiculite Nutrition 0.000 description 1
- 239000002023 wood Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种IP资源状态确定方法,包括获取待审核的IP资源;调用预设的隐患漏洞模型对IP资源进行计算,生成对应的隐患漏洞信息;调用预设的网络攻击模型对IP资源进行计算,生成对应的网络攻击信息;将对应同一IP资源的第一风险等级与第二风险等级中,等级高的风险等级作为IP资源的状态等级。结合对IP资源可能存在的隐患漏洞,以及该IP资源被网络攻击后的状态,结合两者各自对应的第一风险等级以及第二风险等级,可以得到全面的可以提现IP资源安全性能的状态等级,从而实现对IP资源状态的确定,实现对IP资产状态的评估。本发明还提供了一种装置、设备以及存储介质,同样具有上述有益效果。
Description
技术领域
本发明涉及网络技术领域,特别是涉及一种IP资源状态确定方法、一种IP资源状态确定装置、一种IP资源状态确定设备以及一种计算机可读存储介质。
背景技术
根据现存产品的市场反馈和市场调研,单位之间的多级互联,多级上下级单位的树状结构,监管与被监管,已经是社会普遍存在的管理形式,此时IP(Internet Protocol,网际互连协议)资产稳定性非常重要,并且随着计算机技术本身的发展和普及,IPV6等越来越普遍,需要综合治理IPV4,IPV6等描述的网络空间异构资产,针对web(World Wide Web,全球广域网)业务系统也需要提供系统异构定义的统一治理,对于单位监管和被监管视角,行业视角,区域视角等,所以基于现有版本对网络资产IP进行有效准确评级迫在迫在眉睫,为了提高资产IP稳定性,需要对资产进行升级和重新设计以更好的满足市场普遍需求,进一步提升客户价值,助力客户成功。所以如何提供一种对IP资产进行评级,对IP资源状态进行确定的方法是本领域技术人员继续解决的问题。
发明内容
本发明的目的是提供一种IP资源状态确定方法,可以实现对IP资源状态的确定,实现对IP资产状态的评估;本发明的另一目的在于提供一种IP资源状态确定装置、一种IP资源状态确定设备以及一种计算机可读存储介质,可以实现对IP资源状态的确定,实现对IP资产状态的评估。
为解决上述技术问题,本发明提供一种IP资源状态确定方法,包括:
获取待审核的IP资源;
调用预设的隐患漏洞模型对所述IP资源进行计算,生成对应的隐患漏洞信息;所述隐患漏洞信息包括所述IP资源对应隐患漏洞的第一风险等级;
调用预设的网络攻击模型对所述IP资源进行计算,生成对应的网络攻击信息;所述网络攻击信息包括所述IP资源被网络攻击时的第二风险等级;
结合所述隐患漏洞信息与所述网络攻击信息,将对应同一IP资源的所述第一风险等级与所述第二风险等级中,等级高的风险等级作为所述IP资源的状态等级。
可选的,所述获取待审核的IP资源包括:
获取IP审核请求;所述IP审核请求包括待解析IP参数;
根据所述待审核IP参数获取对应的IP资产详情信息列表。
可选的,所述IP资产详情信息列表包括待审核IP地址、所述待审核IP地址对应的单位信息、以及所述待审核IP地址对应的网站系统信息;
所述调用预设的隐患漏洞模型对所述IP资源进行计算,生成对应的隐患漏洞信息包括:
调用预设的隐患漏洞模型,结合所述单位信息以及所述IP地址生成第一隐患漏洞信息;
调用预设的隐患漏洞模型,根据所述单位信息以及所述网站系统信息生成第二隐患漏洞信息;
结合所述第一隐患漏洞信息与所述第二隐患漏洞信息确定对应的第一风险等级。
可选的,所述IP资产详情信息列表包括待审核IP地址和对应的标识信息;
在所述调用预设的网络攻击模型对所述IP资源进行计算,生成对应的网络攻击信息之前,还包括:
根据所述待审核IP地址为键对所述IP资产详情信息列表MAP化,得到第一MAP;
根据所述标识信息为键对所述IP资产详情信息列表MAP化,得到第二MAP;
根据所述第一MAP与所述第二MAP进行去重。
可选的,所述调用预设的网络攻击模型对所述IP资源进行计算,生成对应的网络攻击信息包括:
调用预设的网络攻击模型对所述IP资源进行计算,结合计算过程中的多个影响因子确定对应的第二风险等级。
可选的,所述影响因子包括以下任意一项或任意组合:
攻击意图、攻击策略、攻击方法、攻击次数、攻击时间、处置状态。
本发明还提供了一种IP资源状态确定装置,包括:
获取模块,用于获取待审核的IP资源;
隐患漏洞模块,用于调用预设的隐患漏洞模型对所述IP资源进行计算,生成对应的隐患漏洞信息;所述隐患漏洞信息包括所述IP资源对应隐患漏洞的第一风险等级;
网络攻击模块,用于调用预设的网络攻击模型对所述IP资源进行计算,生成对应的网络攻击信息;所述网络攻击信息包括所述IP资源被网络攻击时的第二风险等级;
状态等级模块,用于结合所述隐患漏洞信息与所述网络攻击信息,将对应同一IP资源的所述第一风险等级与所述第二风险等级中,等级高的风险等级作为所述IP资源的状态等级。
可选的,所述获取模块包括:
第一获取单元,用于获取IP审核请求;所述IP审核请求包括待解析IP参数;
第二获取单元,用于根据所述待审核IP参数获取对应的IP资产详情信息列表。
本发明还提供了一种IP资源状态确定设备,所述设备包括:
存储器:用于存储计算机程序;
处理器:用于执行所述计算机程序时实现如上述任一项所述IP资源状态确定方法的步骤。
本发明还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述任一项所述IP资源状态确定方法的步骤。
本发明所提供的一种IP资源状态确定方法,包括:获取待审核的IP资源;调用预设的隐患漏洞模型对IP资源进行计算,生成对应的隐患漏洞信息;隐患漏洞信息包括IP资源对应隐患漏洞的第一风险等级;调用预设的网络攻击模型对IP资源进行计算,生成对应的网络攻击信息;网络攻击信息包括IP资源被网络攻击时的第二风险等级;结合隐患漏洞信息与网络攻击信息,将对应同一IP资源的第一风险等级与第二风险等级中,等级高的风险等级作为IP资源的状态等级。
结合对IP资源可能存在的隐患漏洞,以及该IP资源被网络攻击后的状态,结合两者各自对应的第一风险等级以及第二风险等级,可以得到全面的可以提现IP资源安全性能的状态等级,从而实现对IP资源状态的确定,实现对IP资产状态的评估。
本发明还提供了一种IP资源状态确定装置、一种IP资源状态确定设备以及一种计算机可读存储介质,同样具有上述有益效果,在此不再进行赘述。
附图说明
为了更清楚的说明本发明实施例或现有技术的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例所提供的一种IP资源状态确定方法的流程图;
图2为本发明实施例所提供的一种具体的IP资源状态确定方法的流程图;
图3为本发明实施例所提供的一种IP资源状态确定装置的结构框图;
图4为本发明实施例所提供的一种IP资源状态确定设备的结构框图。
具体实施方式
本发明的核心是提供一种IP资源状态确定方法。在现有技术中,基于现有版本对网络资产IP进行有效准确评级迫在迫在眉睫,为了提高资产IP稳定性,需要对资产进行升级和重新设计以更好的满足市场普遍需求,进一步提升客户价值,助力客户成功。
而本发明所提供的一种IP资源状态确定方法,包括:获取待审核的IP资源;调用预设的隐患漏洞模型对IP资源进行计算,生成对应的隐患漏洞信息;隐患漏洞信息包括IP资源对应隐患漏洞的第一风险等级;调用预设的网络攻击模型对IP资源进行计算,生成对应的网络攻击信息;网络攻击信息包括IP资源被网络攻击时的第二风险等级;结合隐患漏洞信息与网络攻击信息,将对应同一IP资源的第一风险等级与第二风险等级中,等级高的风险等级作为IP资源的状态等级。
结合对IP资源可能存在的隐患漏洞,以及该IP资源被网络攻击后的状态,结合两者各自对应的第一风险等级以及第二风险等级,可以得到全面的可以提现IP资源安全性能的状态等级,从而实现对IP资源状态的确定,实现对IP资产状态的评估。
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参考图1,图1为本发明实施例所提供的一种IP资源状态确定方法的流程图。
参见图1,在本发明实施例中,IP资源状态确定方法包括:
S101:获取待审核的IP资源。
上述IP资源主要是以待审核的IP地址作为核心,以及与该IP地址相关联的信息作为IP资源。有关IP资源的具体内容将在下述发明实施例中做详细介绍,在此不再进行赘述。
S102:调用预设的隐患漏洞模型对IP资源进行计算,生成对应的隐患漏洞信息。
在本发明实施例中,所述隐患漏洞信息包括所述IP资源对应隐患漏洞的第一风险等级。
在本发明实施例中,通常设置有实时计算引擎,该实时计算引擎中预先设置有隐患漏洞模型,该隐患漏洞模型用于对IP资源所存在的隐患漏洞进行检查计算。而在本步骤中,会调用该隐患漏洞模型对IP资源进行计算,生成该IP资源对应的隐患漏洞信息。具体的,该隐患漏洞信息包括上述IP资源对应隐患漏洞的第一风险等级,该第一风险等级表征该IP资源所存在的隐患漏洞使得该IP资源所具有的风险等级。有关该风险等级的具体内容将在下述发明实施例中做详细介绍,在此不再进行赘述。
具体的,在本发明实施例中隐患漏洞信息一般来源是通过接收web扫描器数据来进行存储和计算。web扫描器可以定时有规律对网站系统进行隐患漏洞进行监测。发现有漏洞将通过消息方式发送给隐患漏洞计算系统。隐患漏洞系统接收到该数据时,会启动异步处理器进行实时计算以及数据规整,隐患漏洞基本属性为漏洞隐患类型,漏洞隐患隐患等级,隐患url(Uniform Resource Locator,统一资源定位器)。隐患类型包括HTTP报头追踪漏洞,跨站请求伪造,弱口令漏洞,敏感信息泄露漏洞,资源管理错误,权限许可和访问控制,跨站脚本漏洞,SQL(Structured Query Language,结构化查询语言)注入漏洞,框架钓鱼漏洞,文件上传漏洞,代码注入等类型。
S103:调用预设的网络攻击模型对IP资源进行计算,生成对应的网络攻击信息。
在本发明实施例中,所述网络攻击信息包括所述IP资源被网络攻击时的第二风险等级。上述实时计算引擎通常还需要设置网络攻击模型,该网络攻击模型可以自动收集上述IP资源被网络攻击时的信息并监测该网络攻击的结果,也可以为IP资源在被网络攻击后的状态,从而实现对IP资源进行计算,生成对应的网络攻击信息。具体的,该网络攻击信息包括上述IP资源被网络攻击后第二风险等级,该第二风险等级表征该IP资源在被网络攻击时所具有的风险等级。有关该风险等级的具体内容将在下述发明实施例中做详细介绍,在此不再进行赘述。
具体的,上述实时计算引擎可以一直收集网络攻击,流量及日志等数据,并通过一定的数据模型挖掘出有价值的数据,生成网络攻击信息。计算的结果准确与否与几个参数有关,第一数据量要大,第二数据来源要非常丰富集各家所长,第三要有一个有价值意义规则算法计算。攻击数据有几个重要属性,包括攻击类型,攻击目标IP(ipv4,ipv6),目标url等。
需要说明的是,上述S102与S103还可以并行的执行或以任意顺序先后执行均可,视具体情况,在此不做具体限定。
S104:结合隐患漏洞信息与网络攻击信息,将对应同一IP资源的第一风险等级与第二风险等级中,等级高的风险等级作为IP资源的状态等级。
在本步骤中,会结合上述隐患漏洞信息与网络攻击信息,作为该IP资源当前的状态信息,并将上述第一风险等级与第二风险等级中,等级高的风险等级作为该IP资源的状态等级,从而保证该状态等级可以准确,有效的反应IP资源的安全状态。
本发明实施例所提供的一种IP资源状态确定方法,包括:获取待审核的IP资源;调用预设的隐患漏洞模型对IP资源进行计算,生成对应的隐患漏洞信息;隐患漏洞信息包括IP资源对应隐患漏洞的第一风险等级;调用预设的网络攻击模型对IP资源进行计算,生成对应的网络攻击信息;网络攻击信息包括IP资源被网络攻击时的第二风险等级;结合隐患漏洞信息与网络攻击信息,将对应同一IP资源的第一风险等级与第二风险等级中,等级高的风险等级作为IP资源的状态等级。
结合对IP资源可能存在的隐患漏洞,以及该IP资源被网络攻击后的状态,结合两者各自对应的第一风险等级以及第二风险等级,可以得到全面的可以提现IP资源安全性能的状态等级,从而实现对IP资源状态的确定,实现对IP资产状态的评估。
有关本发明所提供的一种IP资源状态确定方法的具体内容将在下述发明实施例中做详细介绍。
请参考图2,图2为本发明实施例所提供的一种具体的IP资源状态确定方法的流程图。
参见图2,在本发明实施例中,IP资源状态确定方法包括:
S201:获取IP审核请求。
在本发明实施例中,所述IP审核请求包括待解析IP参数。
在本步骤中,首先获取的是IP审核请求,该IP审核请求中包括了待解析IP参数。
S202:根据待审核IP参数获取对应的IP资产详情信息列表。
在本步骤中,会对上述待审核IP参数进行解析,具体可以是根据解析结果查询预先建立的IP资产库,从而获取IP资产详情信息列表。在本发明实施例中,该IP资产详情信息列表通常包括待审核IP地址、所述待审核IP地址对应的单位信息、以及所述待审核IP地址对应的网站系统信息。
首先需要说明的是,上述IP资产详情信息列表通常可以包括多个IP地址,该IP地址的数量通常不超过50个。在本发明实施例中,IP是Internet Protocol的缩写,是TCP/IP体系中的网络层协议。设计IP的目的是提高网络的可扩展性:一是解决互联网问题,实现大规模、异构网络的互联互通;二是分割顶层网络应用和底层网络技术之间的耦合关系,以利于两者的独立发展。根据端到端的设计原则,IP只为主机提供一种无连接、不可靠的、尽力而为的数据包传输服务。IP规定网络上所有的设备都必须有一个独一无二的IP地址,就好比是邮件上都必须注明收件人地址,邮递员才能将邮件送到。同理,每个IP信息包都必须包含有目的设备的IP地址,信息包才可以正确地送到目的地。同一设备不可以拥有多个IP地址,所有使用IP的网络设备至少有一个唯一的IP地址。目前有两种IP:分别为IPv4和IPv6(Internet working Protocol version6);IPv4是TCP/IP协议使用的数据报传输机制。数据报是一个可变长分组,有两部分组成,头部和数据。头部长度可由20至60个字节组成,该部分包括有与路由选择和传输有关的重要信息;IPv6每个分组由必须的基本头部和其后的有效载荷组成。有效载荷由可选的扩展头部和来自上层的数据组成。基本头部占用40字节,有效载荷可以包含65535字节数据。
相应的,上述单位信息对应管理企业或者政府部门的信息的子系统,该子系统可以手工录入和自动导入信息以及接收第三方平台单位信息资产推送,推送的形式有基于http请求资产推送接口和有基于kafka主题推送,主要看第三方选择推送方式。单位信息资产主要包括单位或公司名称、经营范围、所属行业、成立时间、统一社会信用代码、组织机构代码、企业地址等属性值。
相应的,上述网站系统信息对应网站系统资产,系统网站资产来源于政府单位、事业单位、高校门户及企业等网站系统。网站系统基本属性包括网站名称、所属单位信息资产、所属服务器、网站地址、域名、网站ipv4和ipv6、网站端口、网站域名、网站备案信息等。服务器资产是部署在政府单位,事业单位和高校计算机服务器,里面部署了对应网站系统,服务基本信息,包括服务名称,所属单位信息,服务器IP,操作系统类型,硬件配置,开放端口情况等。
而在本步骤中获取到的IP资产详情信息列表可以包括上述信息,还可以进一步包括其他信息,只要上述信息可以基于IP地址相互关联即可,在此不做具体限定。
S203:根据待审核IP地址为键对IP资产详情信息列表MAP化,得到第一MAP。
在本步骤中,所述IP资产详情信息列表需要至少包括待审核IP地址和对应的标识信息。
S204:根据标识信息为键对IP资产详情信息列表MAP化,得到第二MAP。
本步骤与上述S203可以并行的执行或以任一先后顺序执行均可,视具体情况而定,在此不做具体限定。
S205:根据第一MAP与第二MAP进行去重。
因为MAP键具有唯一性,根据键查询速度快,因此在本发明实施例中可以分别以IP地址为键,以及以唯一标识信息为键,分别对IP资产详情信息列表进行MAP,从而进行去重以便于后续的快速检索。
在本步骤之后,若上述IP资源还另行划分有普通资产以及特殊资产,通常情况下特殊资产具有对应的标识信息。相应的在此处可以对特殊资产进行特别的标识或者去除,以变在后续步骤中对特殊资产进行单独的计算,或去除特殊资产,仅对普通资产进行计算均可,视具体情况而定,在此不做具体限定。
S206:调用预设的隐患漏洞模型,结合单位信息以及IP地址生成第一隐患漏洞信息。
本步骤计算第一隐患漏洞信息的规则如下:
${资产-风险隐患}=${单位-风险隐患}AND(assetId==资产ID OR assetIpv4in[资产ipv4]OR assetIpv6 in[资产ipv6]);
即在本步骤中,会结合上述单位信息以及IP地址来计算得到第一隐患漏洞信息。
S207:调用预设的隐患漏洞模型,根据单位信息以及网站系统信息生成第二隐患漏洞信息。
本步骤计算第二隐患漏洞信息的规则如下:
${系统-风险隐患}=${单位-风险隐患}AND(assetId==系统ID OR assetIpv4in[系统ipv4]OR assetIpv6 in[系统ipv6]OR assetDomain in[系统domain]);
即在本步骤中,会结合上述单位信息以及网站系统信息来计算得到第二隐患漏洞信息。
S208:结合第一隐患漏洞信息与第二隐患漏洞信息确定对应的第一风险等级。
在本步骤中,会根据上述第一隐患漏洞信息与第二隐患漏洞信息进行归并处理形成一个集合,最后根据这个归并集合评级出第一风险等级,例如高风险资产或低风险资产,并将结果返回。
S209:调用预设的网络攻击模型对IP资源进行计算,结合计算过程中的多个影响因子确定对应的第二风险等级。
在本发明实施例中,上述影响因子包括以下任意一项或任意组合:攻击意图、攻击策略、攻击方法、攻击次数、攻击时间、处置状态。通常情况下,在本发明实施例中,会建立已失陷子模型、高风险子模型、低风险子模型作为网络攻击模型。而上述三种子模型均会参考上述各个影响因子在对应的条件下进行判断。
上述已失陷子模型的规则为:
chineseModelName contains暴力破解成功,目标IP地址;
告警类型为:恶意程序/webshell后门,恶意程序/僵木蠕,恶意程序/挖矿软件,恶意程序/勒索软件,可疑通信/远程控制,web攻击/网页篡改且告警威胁等级为高危,srcAddress。
告警类型为:横向渗透/内网扫描,横向渗透/内网漏洞利用,主机异常/主机对外扫描,主机异常/主机对外攻击,且攻击链种类>4,srcAddress。
告警类型为:漏洞利用/SMB漏洞,且数据方向为00,,原始IP地址。
已失陷标签:victim。
已失陷子模型编码为:
destAddress:chineseModelName:*暴力破解成功*
srcAddress:subCategory:("/Malware/Webshell"OR"/Malware/BotTrojWorm"OR"/Malware/Miner"OR"/Malware/Ransomware"OR"/SuspTraffic/RemoteCtrl"OR"/WebAttack/WebTempering")andthreatSeverity:"High";
srcAddress:subCategory:("/LateralMov/InternalScan"OR"/LateralMov/InternalExp"OR"/SuspEndpoint/ExternalScan"OR"/SuspEndpoint/Attack")aggregation distinct:killChain>4;
srcAddress:subCategory:"/Exploit/SMB"AND direction:"00";
victim:alarmTag:"已失陷"。
上述高风险子模型的规则:
规则描述:告警类型为:漏洞利用,web攻击,账号异常,横向渗透/内网漏洞利用,横向渗透/内网扫描,告警种类>=3,告警次数>20,目标IP地址;
告警类型为:恶意程序/可疑文件,恶意程序/可疑脚本,恶意程序/恶意邮件,可疑通信,主机异常/可疑进程,告警威胁等级为高,原始IP地址;
攻击链覆盖>=3,目标IP地址;
高风险子模型编码:
destAddress:(category:("/Exploit"OR"/WebAttack"OR"/AccountRisk")ORsubCategory:("/LateralMov/InternalExp"OR"/LateralMov/InternalScan"))aggregation distinct:alarmName>=3AND count:destAddress>20;
srcAddress:subCategory:("/Malware/SuspFile"OR"/Malware/SuspScript"OR"/Malware/MaliciousMail"OR"/SuspEndpoint/SuspProcess")OR category:"/SuspTraffic";
destAddress:aggregation distinct:killChain>=3。
上述低风险子模型的规则:
规则描述:告警类型为:扫描行为,横向渗透/内网扫描。告警类型>3,告警次数>20目标IP地址;
威胁等级为中、低,种类>=5,目的IP地址;
威胁等级为中、低,种类>=5,源IP地址;
低风险子模型编码:
destAddress:(category:"/Scan"ORsubCategory:"/LateralMov/InternalScan")aggregation distinct:alarmName>3AND count:destAddress>20;
destAddress:threatSeverity:("Low"OR"Medium")aggregationdistinct:subCategory>=5;
srcAddress:threatSeverity:("Low"OR"Medium")aggregationdistinct:subCategory>=5。
上述第二风险等级包括已失陷、高风险、低风险,分别对应上述三种子模型。在本步骤中,会依次使用已失陷子模型、高风险子模型、低风险子模型对IP资产详情信息列表中的每一条信息进行判断,直至每一条信息均确定有对应的第二风险等级。例如当某一条信息先经过已失陷子模型判断处于已失陷状态时,则不会再使用高风险子模型以及低风险子模型对其进行判断;当经过已失陷子模型判断不属于已失陷状态时,会再经过高风险子模型判断其是否处于高风险状态;当其还不属于高风险状态时,会再经过低风险子模型判断其是否处于低风险状态,已确定该信息对应的第二风险等级。
S210:结合隐患漏洞信息与网络攻击信息,将对应同一IP资源的第一风险等级与第二风险等级中,等级高的风险等级作为IP资源的状态等级。
本步骤与上述发明实施例中S104基本一致,详细内容请参考上述发明实施例,在此不再进行赘述。
本发明实施例所提供的一种IP资源状态确定方法,结合对IP资源可能存在的隐患漏洞,以及该IP资源被网络攻击后的状态,结合两者各自对应的第一风险等级以及第二风险等级,可以得到全面的可以提现IP资源安全性能的状态等级,从而实现对IP资源状态的确定,实现对IP资产状态的评估。
下面对本发明实施例所提供的一种IP资源状态确定装置进行介绍,下文描述的IP资源状态确定装置与上文描述的IP资源状态确定方法可相互对应参照。
请参考图3,图3为本发明实施例所提供的一种IP资源状态确定装置的结构框图。参照图3,IP资源状态确定装置可以包括:
获取模块100,用于获取待审核的IP资源。
隐患漏洞模块200,用于调用预设的隐患漏洞模型对所述IP资源进行计算,生成对应的隐患漏洞信息;所述隐患漏洞信息包括所述IP资源对应隐患漏洞的第一风险等级。
网络攻击模块300,用于调用预设的网络攻击模型对所述IP资源进行计算,生成对应的网络攻击信息;所述网络攻击信息包括所述IP资源被网络攻击时的第二风险等级。
状态等级模块400,用于结合所述隐患漏洞信息与所述网络攻击信息,将对应同一IP资源的所述第一风险等级与所述第二风险等级中,等级高的风险等级作为所述IP资源的状态等级。
作为优选的,在本发明实施例中,所述获取模块包括:
第一获取单元,用于获取IP审核请求;所述IP审核请求包括待解析IP参数。
第二获取单元,用于根据所述待审核IP参数获取对应的IP资产详情信息列表。
作为优选的,在本发明实施例中,所述IP资产详情信息列表包括待审核IP地址、所述待审核IP地址对应的单位信息、以及所述待审核IP地址对应的网站系统信息。
所述隐患漏洞模块200包括:
第一隐患漏洞信息单元,用于调用预设的隐患漏洞模型,结合所述单位信息以及所述IP地址生成第一隐患漏洞信息。
第二隐患漏洞信息单元,用于调用预设的隐患漏洞模型,根据所述单位信息以及所述网站系统信息生成第二隐患漏洞信息。
结合单元,用于结合所述第一隐患漏洞信息与所述第二隐患漏洞信息确定对应的第一风险等级。
作为优选的,在本发明实施例中,所述IP资产详情信息列表包括待审核IP地址和对应的标识信息。
还包括:
第一MAP模块,用于根据所述待审核IP地址为键对所述IP资产详情信息列表MAP化,得到第一MAP。
第二MAP模块,用于根据所述标识信息为键对所述IP资产详情信息列表MAP化,得到第二MAP。
去重模块,用于根据所述第一MAP与所述第二MAP进行去重。
作为优选的,在本发明实施例中,网络攻击模块300具体用于:
调用预设的网络攻击模型对所述IP资源进行计算,结合计算过程中的多个影响因子确定对应的第二风险等级。
作为优选的,在本发明实施例中,所述影响因子包括以下任意一项或任意组合:
攻击意图、攻击策略、攻击方法、攻击次数、攻击时间、处置状态。
本实施例的IP资源状态确定装置用于实现前述的IP资源状态确定方法,因此IP资源状态确定装置中的具体实施方式可见前文中的IP资源状态确定方法的实施例部分,例如,获取模块100,隐患漏洞模块200,网络攻击模块300,状态等级模块400,分别用于实现上述IP资源状态确定方法中步骤S 101至S104,所以,其具体实施方式可以参照相应的各个部分实施例的描述,在此不再赘述。
下面对本发明实施例提供的一种IP资源状态确定设备进行介绍,下文描述的IP资源状态确定设备与上文描述的IP资源状态确定方法以及IP资源状态确定装置可相互对应参照。
请参考图4,图4为本发明实施例所提供的一种IP资源状态确定设备的结构框图。
参照图4,该IP资源状态确定设备可以包括处理器11和存储器12。
所述存储器12用于存储计算机程序;所述处理器11用于执行所述计算机程序时实现上述发明实施例中所述的IP资源状态确定方法的具体内容。
本实施例的IP资源状态确定设备中处理器11用于安装上述发明实施例中所述的IP资源状态确定装置,同时处理器11与存储器12相结合可以实现上述任一发明实施例中所述的IP资源状态确定方法。因此IP资源状态确定设备中的具体实施方式可见前文中的IP资源状态确定方法的实施例部分,其具体实施方式可以参照相应的各个部分实施例的描述,在此不再赘述。
本发明还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一发明实施例中所介绍的一种IP资源状态确定方法。其余内容可以参照现有技术,在此不再进行展开描述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本发明所提供的一种IP资源状态确定方法、一种IP资源状态确定装置、一种IP资源状态确定设备以及一种计算机可读存储介质进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
Claims (6)
1.一种IP资源状态确定方法,其特征在于,包括:
获取待审核的IP资源;
调用预设的隐患漏洞模型对所述IP资源进行计算,生成对应的隐患漏洞信息;所述隐患漏洞信息包括所述IP资源对应隐患漏洞的第一风险等级;
调用预设的网络攻击模型对所述IP资源进行计算,生成对应的网络攻击信息;所述网络攻击信息包括所述IP资源被网络攻击时的第二风险等级;
结合所述隐患漏洞信息与所述网络攻击信息,将对应同一IP资源的所述第一风险等级与所述第二风险等级中,等级高的风险等级作为所述IP资源的状态等级;
所述获取待审核的IP资源包括:
获取IP审核请求;所述IP审核请求包括待解析IP参数;
根据所述待解析IP参数获取对应的IP资产详情信息列表;
所述IP资产详情信息列表包括待审核IP地址、所述待审核IP地址对应的单位信息、以及所述待审核IP地址对应的网站系统信息;
所述调用预设的隐患漏洞模型对所述IP资源进行计算,生成对应的隐患漏洞信息包括:
调用预设的隐患漏洞模型,结合所述单位信息以及所述IP地址生成第一隐患漏洞信息;
调用预设的隐患漏洞模型,根据所述单位信息以及所述网站系统信息生成第二隐患漏洞信息;
结合所述第一隐患漏洞信息与所述第二隐患漏洞信息确定对应的第一风险等级。
2.根据权利要求1所述的方法,其特征在于,所述IP资产详情信息列表包括待审核IP地址和对应的标识信息;
在所述调用预设的网络攻击模型对所述IP资源进行计算,生成对应的网络攻击信息之前,还包括:
以所述待审核IP地址为键对所述IP资产详情信息列表MAP化,得到第一MAP;
以所述标识信息为键对所述IP资产详情信息列表MAP化,得到第二MAP;
根据所述第一MAP与所述第二MAP进行去重。
3.根据权利要求1所述的方法,其特征在于,所述调用预设的网络攻击模型对所述IP资源进行计算,生成对应的网络攻击信息包括:
调用预设的网络攻击模型对所述IP资源进行计算,结合计算过程中的多个影响因子确定对应的第二风险等级;
所述影响因子包括以下任意一项或任意组合:
攻击意图、攻击策略、攻击方法、攻击次数、攻击时间、处置状态。
4.一种IP资源状态确定装置,其特征在于,包括:
获取模块,用于获取待审核的IP资源;
隐患漏洞模块,用于调用预设的隐患漏洞模型对所述IP资源进行计算,生成对应的隐患漏洞信息;所述隐患漏洞信息包括所述IP资源对应隐患漏洞的第一风险等级;
网络攻击模块,用于调用预设的网络攻击模型对所述IP资源进行计算,生成对应的网络攻击信息;所述网络攻击信息包括所述IP资源被网络攻击时的第二风险等级;
状态等级模块,用于结合所述隐患漏洞信息与所述网络攻击信息,将对应同一IP资源的所述第一风险等级与所述第二风险等级中,等级高的风险等级作为所述IP资源的状态等级;
所述获取模块包括:
第一获取单元,用于获取IP审核请求;所述IP审核请求包括待解析IP参数;
第二获取单元,用于根据所述待解析IP参数获取对应的IP资产详情信息列表;
所述IP资产详情信息列表包括待审核IP地址、所述待审核IP地址对应的单位信息、以及所述待审核IP地址对应的网站系统信息;
所述隐患漏洞模块包括:
第一隐患漏洞信息单元,用于调用预设的隐患漏洞模型,结合所述单位信息以及所述IP地址生成第一隐患漏洞信息;
第二隐患漏洞信息单元,用于调用预设的隐患漏洞模型,根据所述单位信息以及所述网站系统信息生成第二隐患漏洞信息;
结合单元,用于结合所述第一隐患漏洞信息与所述第二隐患漏洞信息确定对应的第一风险等级。
5.一种IP资源状态确定设备,其特征在于,所述设备包括:
存储器:用于存储计算机程序;
处理器:用于执行所述计算机程序时实现如权利要求1至3任一项所述IP资源状态确定方法的步骤。
6.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至3任一项所述IP资源状态确定方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111480361.7A CN114157494B (zh) | 2021-12-06 | 2021-12-06 | 一种ip资源状态确定方法及相关装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111480361.7A CN114157494B (zh) | 2021-12-06 | 2021-12-06 | 一种ip资源状态确定方法及相关装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114157494A CN114157494A (zh) | 2022-03-08 |
CN114157494B true CN114157494B (zh) | 2024-04-26 |
Family
ID=80453205
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111480361.7A Active CN114157494B (zh) | 2021-12-06 | 2021-12-06 | 一种ip资源状态确定方法及相关装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114157494B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115643119A (zh) * | 2022-12-26 | 2023-01-24 | 北京微步在线科技有限公司 | 一种网络攻击检测方法及装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103023889A (zh) * | 2012-11-29 | 2013-04-03 | 武汉华中电力电网技术有限公司 | 一种安全域风险量化方法 |
CN110852641A (zh) * | 2019-11-15 | 2020-02-28 | 杭州安恒信息技术股份有限公司 | 一种资产数据的监控方法、系统及相关装置 |
CN111565184A (zh) * | 2020-04-29 | 2020-08-21 | 杭州安恒信息技术股份有限公司 | 一种网络安全评估装置、方法、设备及介质 |
CN113468542A (zh) * | 2021-07-07 | 2021-10-01 | 国家计算机网络与信息安全管理中心江苏分中心 | 一种暴露面资产风险评估方法、装置、设备及介质 |
CN113472803A (zh) * | 2021-07-13 | 2021-10-01 | 杭州安恒信息技术股份有限公司 | 漏洞攻击状态检测方法、装置、计算机设备和存储介质 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10185832B2 (en) * | 2015-08-12 | 2019-01-22 | The United States Of America As Represented By The Secretary Of The Army | Methods and systems for defending cyber attack in real-time |
-
2021
- 2021-12-06 CN CN202111480361.7A patent/CN114157494B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103023889A (zh) * | 2012-11-29 | 2013-04-03 | 武汉华中电力电网技术有限公司 | 一种安全域风险量化方法 |
CN110852641A (zh) * | 2019-11-15 | 2020-02-28 | 杭州安恒信息技术股份有限公司 | 一种资产数据的监控方法、系统及相关装置 |
CN111565184A (zh) * | 2020-04-29 | 2020-08-21 | 杭州安恒信息技术股份有限公司 | 一种网络安全评估装置、方法、设备及介质 |
CN113468542A (zh) * | 2021-07-07 | 2021-10-01 | 国家计算机网络与信息安全管理中心江苏分中心 | 一种暴露面资产风险评估方法、装置、设备及介质 |
CN113472803A (zh) * | 2021-07-13 | 2021-10-01 | 杭州安恒信息技术股份有限公司 | 漏洞攻击状态检测方法、装置、计算机设备和存储介质 |
Non-Patent Citations (1)
Title |
---|
攻击图和HMM结合的网络安全风险评估方法研究;刘仁山;孟祥宏;;信阳师范学院学报(自然科学版);20150110(01);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN114157494A (zh) | 2022-03-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11005779B2 (en) | Method of and server for detecting associated web resources | |
US11924251B2 (en) | System and method for cybersecurity reconnaissance, analysis, and score generation using distributed systems | |
US11757945B2 (en) | Collaborative database and reputation management in adversarial information environments | |
US11750659B2 (en) | Cybersecurity profiling and rating using active and passive external reconnaissance | |
CN108183916B (zh) | 一种基于日志分析的网络攻击检测方法及装置 | |
CN110730175B (zh) | 一种基于威胁情报的僵尸网络检测方法及检测系统 | |
US9569471B2 (en) | Asset model import connector | |
US20220014561A1 (en) | System and methods for automated internet-scale web application vulnerability scanning and enhanced security profiling | |
CN111835777B (zh) | 一种异常流量检测方法、装置、设备及介质 | |
US11968239B2 (en) | System and method for detection and mitigation of data source compromises in adversarial information environments | |
CN112822147B (zh) | 一种用于分析攻击链的方法、系统及设备 | |
CN111431753A (zh) | 一种资产信息更新方法、装置、设备及存储介质 | |
CN111104579A (zh) | 一种公网资产的识别方法、装置及存储介质 | |
US20230283641A1 (en) | Dynamic cybersecurity scoring using traffic fingerprinting and risk score improvement | |
Sommestad et al. | Variables influencing the effectiveness of signature-based network intrusion detection systems | |
WO2021243321A1 (en) | A system and methods for score cybersecurity | |
CN114157494B (zh) | 一种ip资源状态确定方法及相关装置 | |
CN114024773B (zh) | 一种webshell文件检测方法及系统 | |
US11874933B2 (en) | Security event modeling and threat detection using behavioral, analytical, and threat intelligence attributes | |
CN113132316A (zh) | 一种Web攻击检测方法、装置、电子设备及存储介质 | |
CN114500122B (zh) | 一种基于多源数据融合的特定网络行为分析方法和系统 | |
CN113992371B (zh) | 一种流量日志的威胁标签生成方法、装置及电子设备 | |
CN113904843B (zh) | 一种终端异常dns行为的分析方法和装置 | |
CN113852625B (zh) | 一种弱口令监测方法、装置、设备及存储介质 | |
Hong et al. | Scalable command and control detection in log data through UF-ICF analysis |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |