CN114257391B - 风险评估方法、装置及计算机可读存储介质 - Google Patents

风险评估方法、装置及计算机可读存储介质 Download PDF

Info

Publication number
CN114257391B
CN114257391B CN202011016242.1A CN202011016242A CN114257391B CN 114257391 B CN114257391 B CN 114257391B CN 202011016242 A CN202011016242 A CN 202011016242A CN 114257391 B CN114257391 B CN 114257391B
Authority
CN
China
Prior art keywords
address
attack
risk
evaluated
score
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011016242.1A
Other languages
English (en)
Other versions
CN114257391A (zh
Inventor
马浩翔
黄少琪
陆晨晖
秦博
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN202011016242.1A priority Critical patent/CN114257391B/zh
Publication of CN114257391A publication Critical patent/CN114257391A/zh
Application granted granted Critical
Publication of CN114257391B publication Critical patent/CN114257391B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开提供了一种风险评估方法、装置及计算机可读存储介质,涉及网络安全技术领域,所述方法包括:对采集的流量进行分析,以得到在预定时间内攻击多个待评估IP地址中的每个待评估IP地址的至少一个攻击IP地址;根据每个攻击IP地址在所述预定时间内攻击每个待评估IP地址的攻击信息,确定每个待评估IP地址的第一风险评分,所述攻击信息包括攻击手段;根据每个待评估IP地址的至少一个漏洞中的每个漏洞在所述预定时间内是否被利用来攻击每个待评估IP地址,确定每个待评估IP地址的第二风险评分;根据所述第一风险评分和所述第二风险评分,确定每个待评估IP地址的风险评分。

Description

风险评估方法、装置及计算机可读存储介质
技术领域
本公开涉及网络安全技术领域,尤其是一种风险评估方法、装置及计算机可读存储介质。
背景技术
随着互联网技术的发展,网络安全越来越重要。利用网络入侵检测/防护系统的告警日志可以确定IP地址的风险。但是,由于告警日志数量众多,如果由运维人员逐条检查每条告警日志来判断IP地址所面临的风险,工作量十分巨大且很容易出错。
相关技术中,对不同IP地址的风险进行评估时,一旦确定每个IP地址的风险,该IP地址的风险即不再变化,即,IP地址的风险是静态评估的。
发明内容
发明人注意到,相关技术中的方式对于IP地址的风险评估不准确,可能会导致IP地址的安全受到威胁。
为了解决上述问题,本公开实施例提出了如下解决方案。
根据本公开实施例的一方面,提供一种风险评估方法,包括:对采集的流量进行分析,以得到在预定时间内攻击多个待评估IP地址中的每个待评估IP地址的至少一个攻击IP地址;根据每个攻击IP地址在所述预定时间内攻击每个待评估IP地址的攻击信息,确定每个待评估IP地址的第一风险评分,所述攻击信息包括攻击手段;根据每个待评估IP地址的至少一个漏洞中的每个漏洞在所述预定时间内是否被利用来攻击每个待评估IP地址,确定每个待评估IP地址的第二风险评分;根据所述第一风险评分和所述第二风险评分,确定每个待评估IP地址的风险评分。
在一些实施例中,所述至少一个攻击IP地址包括多个攻击IP地址;所述根据每个攻击IP地址在所述预定时间内攻击每个待评估IP地址的攻击信息,确定每个待评估IP地址的第一风险评分包括:根据每个攻击IP地址在所述预定时间内攻击每个待评估IP地址的攻击信息,确定每个攻击IP地址的第一风险子评分,以得到多个第一风险子评分;根据所述多个第一风险子评分中的最大值和中位值、以及所述多个攻击IP地址的数量,确定所述第一风险评分。
在一些实施例中,所述根据所述多个第一风险子评分中的最大值和中位值、以及所述多个攻击IP地址的数量,确定所述第一风险评分包括:根据所述多个第一风险子评分中的最大值和中位值得到第一值;根据所述多个攻击IP地址的数量得到第二值;计算所述第一值和所述第二值的乘积,以得到所述第一风险评分。
在一些实施例中,所述最大值和所述中位值越大,所述第一值越大;所述多个攻击IP地址的数量越大,所述第二值越大。
在一些实施例中,根据以下公式计算待评估IP地址IPa的第一风险评分 其中:a为所述预定时间内待评估IP地址的种类;Na为所述预定时间内攻击待评估IP地址IPa的攻击IP地址的数量,Na为大于1的整数;/>为所述预定时间内攻击待评估IP地址IPa的攻击IP地址IPi的第一风险子评分/>中的最大值,i∈[1,Na];/>为所述预定时间内攻击待评估IP地址IPa的攻击IP地址IPi的第一风险子评分/>中的中位值;θ为所述最大值和所述中位值之间的权重;λ为大于1的常量。
在一些实施例中,所述根据每个待评估IP地址的至少一个漏洞中的每个漏洞在所述预定时间内是否被利用来攻击每个待评估IP地址,确定每个待评估IP地址的第二风险评分包括:获取每个漏洞的通用安全漏洞评分系统CVSS评分;根据每个漏洞在所述预定时间内是否被利用攻击所述待评估IP地址,确定每个漏洞的动态漏洞评分;根据每个漏洞的CVSS评分和动态漏洞评分,确定每个漏洞的第二风险子评分;根据每个漏洞的第二风险子评分,确定所述第二风险评分。
在一些实施例中,所述至少一个漏洞包括多个漏洞;所述根据每个漏洞的第二风险子评分,确定所述第二风险评分包括:根据每个漏洞的第二风险子评分,确定所述多个漏洞的多个第二风险子评分中的最大值;根据每个漏洞的第二风险子评分与所述多个第二风险子评分中的最大值的比值、以及所述多个第二风险子评分中的最大值,确定所述第二风险评分。
在一些实施例中,根据以下公式计算漏洞b的动态漏洞评分 其中,b为在所述预定时间内待评估IP地址IPa的漏洞的标识,b∈[1,Ma],i为在所述预定时间内利用漏洞b攻击待评估IP地址IPa的攻击IP地址的种类数,/> 为在所述预定时间内攻击IP地址IPi利用漏洞b攻击待评估IP地址IPa的总攻击次数;根据以下公式确定漏洞b的第二风险子评分/> 其中,VSb为漏洞b的CVSS评分,μ为漏洞b的漏洞评分/>相对于漏洞bCVSS的评分的权重;根据以下公式计算待评估IP地址IPa的第二风险评分/> 其中,/>为待评估IP地址IPa的漏洞b的第二风险评分/>中的最大值,bmax表示第bmax个漏洞,ρ为常量。
在一些实施例中,所述方法还包括:获取每个待评估IP地址的第三风险评分,所述第三风险评分为反映每个待评估IP地址重要性的固定值;所述根据所述第一风险评分和所述第二风险评分,确定每个待评估IP地址的风险评分包括:所述根据所述第一风险评分、所述第二风险评分和所述第三风险评分,确定每个待评估IP地址的风险评分。
根据本公开实施例的另一方面,提供一种风险评估装置,包括:分析模块,被配置为对采集的流量进行分析,以得到在预定时间内攻击多个待评估IP地址中的每个待评估IP地址的至少一个攻击IP地址;第一确定模块,被配置为根据每个攻击IP地址在所述预定时间内攻击每个待评估IP地址的攻击信息,确定每个待评估IP地址的第一风险评分,所述攻击信息包括攻击手段;第二确定模块,被配置为根据每个待评估IP地址的至少一个漏洞中的每个漏洞在所述预定时间内是否被利用来攻击每个待评估IP地址,确定每个待评估IP地址的第二风险评分;第三确定模块,被配置为根据所述第一风险评分和所述第二风险评分,确定每个待评估IP地址的风险评分。
根据本公开实施例的又一方面,提供一种风险评估装置,包括:存储器;以及耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器的指令执行上述任意一个实施例所述的方法。
根据本公开实施例的还一方面,提供一种计算机可读存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现上述任意一个实施例所述的方法。
本公开实施例中,每个待评估IP地址的风险评分既考虑了攻击该待评估IP地址的攻击IP地址的攻击手段,又考虑了该待评估IP地址的漏洞被利用的情况。这样的方式下,待评估IP地址的风险评分随着攻击手段的变化和漏洞被利用情况而动态变化,可以更准确地反映待评估IP地址的风险,从而使得对待评估IP地址的风险评估更为准确。
下面通过附图和实施例,对本公开的技术方案做进一步的详细描述。
附图说明
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本公开一些实施例的风险评估方法的流程示意图;
图2是根据本公开一些实现方式的确定每个待评估IP地址的第一风险评分的流程示意图;
图3是根据本公开一些实现方式的确定每个待评估IP地址的第二风险评分的流程示意图;
图4是根据本公开一些实施例的风险评估装置的结构示意图;
图5是根据本公开另一些实施例的风险评估装置的结构示意图。
具体实施方式
下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本公开保护的范围。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图1是根据本公开一些实施例的风险评估方法的流程示意图。
在步骤102,对采集的流量进行分析,以得到在预定时间内攻击多个待评估IP地址中的每个待评估IP地址的至少一个攻击IP地址。
例如,可以利用WAF(网站应用级入侵防御系统)或IDPS(入侵检测和防御系统)从网络中采集流量。采集的流量可以包括各种网络数据。通过对采集的流量进行分析,可以得到每个待评估IP地址被攻击的情况,从而可以得到在预定时间内攻击每个待评估IP地址的攻击IP地址。
例如,可以将攻击某个待评估IP地址的每个攻击IP地址的告警日志归类为数据簇,进而对数据簇进行分析。
应理解,可以根据实际应用确定预定时间的时间长度。例如,预定时间可以是一周,例如过去的一周。还应理解,待评估IP地址例如可以是企业内部的IP地址。
在步骤104,根据每个攻击IP地址在预定时间内攻击每个待评估IP地址的攻击信息,确定每个待评估IP地址的第一风险评分。
这里,攻击信息至少包括攻击手段。攻击手段例如可以包括SQL(StructuredQuery Language,结构化查询语言)注入、代码执行、XSS(Cross Site Scripting,跨站脚本)攻击、命令执行、弱口令等。命令执行例如可以包括Shell(外壳)命令执行,弱口令例如可以包括Web(网络)弱口令登录。
例如,可以根据某个待评估IP地址被攻击的全部攻击手段的总数量、每个攻击手段被采用来攻击该待评估IP地址或其他待评估IP地址的次数(即热门程度)等,确定该待评估IP地址的第一风险评分。例如,全部攻击手段的总数量越多,该待评估IP地址的第一风险评分越高。又例如,每个攻击手段的热门程度越高,该待评估IP地址的第一风险评分越高。
在一些实施例中,攻击信息还可以包括攻击次数、攻击时间的均匀性等。例如,攻击次数越多,攻击时间越均匀,待评估IP地址的第一风险评分越高。
在步骤106,根据每个待评估IP地址的至少一个漏洞中的每个漏洞在预定时间内是否被利用来攻击每个待评估IP地址,确定每个待评估IP地址的第二风险评分。
例如,每个待评估IP地址的漏洞被利用的越多,该待评估IP地址的第二风险评分越高。
在步骤108,根据第一风险评分和第二风险评分,确定每个待评估IP地址的风险评分。
例如,每个待评估IP地址的风险评分为每个待评估IP地址的第一风险评分和第二风险评分之和。在一些实施例中,在确定每个待评估IP地址的风险评分后可以显示。
上述实施例中,每个待评估IP地址的风险评分既考虑了攻击该待评估IP地址的攻击IP地址的攻击手段,又考虑了该待评估IP地址的漏洞被利用的情况。这样的方式下,待评估IP地址的风险评分随着攻击手段的变化和漏洞被利用情况而动态变化,可以更准确地反映待评估IP地址的风险,从而使得对待评估IP地址的风险评估更为准确。
在一些实施例中,还可以获取每个待评估IP地址的第三风险评分,进而根据第一风险评分、第二风险评分和第三风险评分,确定每个待评估IP地址的风险评分。这里,第三风险评分为反映每个待评估IP地址重要性的固定值,即确定后不再变化。例如,每个待评估IP地址的风险评分为第一风险评分、第二风险评分和第三风险评分之和。
上述实施例中,通过结合动态评分和静态评分,可以更准确对待评估IP地址的风险评估,从而可以及时对风险大的IP地址进行维护。
在一些实施例中,攻击每个IP地址的至少一个攻击IP地址包括多个攻击IP地址。下面结合图2介绍确定每个攻击IP地址的第一风险评分的一些具体实现方式。
图2是根据本公开一些实现方式的确定每个待评估IP地址的第一风险评分的流程示意图。
在步骤114,根据每个攻击IP地址在预定时间内攻击每个待评估IP地址的攻击信息,确定每个攻击IP地址的第一风险子评分,以得到多个第一风险子评分。
对于某个待评估IP地址来说,根据攻击该待评估IP地址的多个攻击IP地址中的每个攻击IP地址的攻击信息,可以确定每个攻击IP地址的第一风险子评分,从而可以得到多个攻击IP地址的多个第一风险子评分。
在步骤124,根据多个第一风险子评分中的最大值和中位值、以及多个攻击IP地址的数量,确定第一风险评分。
作为一些实现方式,根据多个第一风险子评分中的最大值和中位值得到第一值;根据多个攻击IP地址的数量得到第二值;计算第一值和第二值的乘积,以得到第一风险评分。例如,多个第一风险子评分中的最大值和多个第一风险子评分中的中位值越大,上述第一值越大;多个攻击IP地址的数量越大,上述第二值越大。
上述实施例中,先确定每个攻击IP地址的第一风险子评分,进而根据多个第一风险子评分中的最大值和中位值、以及多个攻击IP地址的数量确定每个攻击IP地址的第一风险评分。这样的方式下,可以综合考虑每个攻击IP地址的风险,每个攻击IP地址的第一风险评分更为准确。
下面介绍待评估IP地址IPa的第一风险评分一些具体实现方式。
例如,可以根据以下公式计算待评估IP地址IPa的第一风险评分
在以上公式中,a为预定时间内待评估IP地址的种类,IPa表示某个待评估IP地址。Na为预定时间内攻击待评估IP地址IPa的攻击IP地址的数量,Na为大于1的整数。为预定时间内攻击待评估IP地址IPa的攻击IP地址IPi的第一风险子评分/>中的最大值,i∈[1,Na]。/>为预定时间内攻击待评估IP地址IPa的攻击IP地址IPi的第一风险子评分/>中的中位值。θ为最大值和中位值之间的权重,例如为1。λ为大于1的常量。例如,如果更关注第一风险子评分/>中的最大值,则可以将θ设置为小于1的值。
例如,攻击IP地址IPa的攻击IP地址IPi包括攻击IP1、IP2…IPNa分别为攻击IP1、IP2…IPNa的第一风险子评分,/>为/> 中的最大值,为/>中的中位值。
根据以上方式,综合考虑了攻击待评估IP地址IPa的每个攻击IP地址的第一风险子评分,最终得到了待评估IP地址IPa的第一风险评分按照类似的方式,可以得到其他待评估IP地址的第一风险评分,从而可以得到每个待评估IP地址的第一风险评分。
图3是根据本公开一些实现方式的确定每个待评估IP地址的第二风险评分的流程示意图。
在步骤116,获取每个漏洞的通用安全漏洞评分系统(CVSS)评分。
例如,从漏扫报告和威胁日志中可以提取到每个待评估IP地址的漏洞。每个漏洞的CVSS是一个固定值。
在步骤126,根据每个漏洞在预定时间内是否被利用攻击待评估IP地址,确定每个漏洞的动态漏洞评分。
例如,可以根据以下公式计算漏洞b的动态漏洞评分
在以上公式中,b为在预定时间内待评估IP地址IPa的漏洞的标识,b∈[1,Ma]。例如,待评估IP地址IPa的漏洞包括漏洞1
i为在预定时间内利用漏洞b攻击待评估IP地址IPa的攻击IP地址的种类数, 为在预定时间内攻击IP地址IPi利用漏洞b攻击待评估IP地址IPa的总攻击次数。
在步骤136,根据每个漏洞的CVSS评分和动态漏洞评分,确定每个漏洞的第二风险子评分。
例如,可以根据以下公式确定漏洞b的第二风险子评分
在以上公式中,VSb为漏洞b的CVSS评分。例如,VSb∈[0,10]。μ为漏洞b的漏洞评分相对于漏洞b的CVSS评分的权重。例如,μ可以为1。
在步骤146,根据每个漏洞的第二风险子评分,确定第二风险评分。
在一些实施例中,在每个待评估IP地址的至少一个漏洞包括多个漏洞的情况下,可以根据如下方式确定第二风险评分:根据每个漏洞的第二风险子评分,确定多个漏洞的多个第二风险子评分中的最大值;根据每个漏洞的第二风险子评分与多个第二风险子评分中的最大值的比值、以及多个第二风险子评分中的最大值,确定第二风险评分。
例如,根据以下公式计算待评估IP地址IPa的第二风险评分
在以上公式中,为待评估IP地址IPa的漏洞b的第二风险评分中的最大值,bmax表示第bmax个漏洞,ρ为常量。
例如,漏洞1的第二风险子评分/>分别为/> 为/>中的最大值。
根据以上方式,即可得到每个待评估IP地址的第二风险评分。
本说明书中各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似的部分相互参见即可。对于装置实施例而言,由于其与方法实施例基本对应,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
图4是根据本公开一些实施例的风险评估装置的结构示意图。
如图4所示,风险评估装置包括分析模块401,第一确定模块402,第二确定模块403和第三确定模块404。
分析模块401被配置为对采集的流量进行分析,以得到在预定时间内攻击多个待评估IP地址中的每个待评估IP地址的至少一个攻击IP地址。
第一确定模块402被配置为根据每个攻击IP地址在预定时间内攻击每个待评估IP地址的攻击信息,确定每个待评估IP地址的第一风险评分,攻击信息包括攻击手段。
第二确定模块403被配置为根据每个待评估IP地址的至少一个漏洞中的每个漏洞在预定时间内是否被利用来攻击每个待评估IP地址,确定每个待评估IP地址的第二风险评分;
第三确定模块404被配置为根据第一风险评分和第二风险评分,确定每个待评估IP地址的风险评分。
上述实施例中,每个待评估IP地址的风险评分既考虑了攻击该待评估IP地址的攻击IP地址的攻击手段,又考虑了该待评估IP地址的漏洞被利用的情况。这样的方式下,待评估IP地址的风险评分随着攻击手段的变化和漏洞被利用情况而动态变化,可以更准确地反映待评估IP地址的风险,从而使得对待评估IP地址的风险评估更为准确。
图5是根据本公开另一些实施例的风险评估装置的结构示意图。
如图5所示,风险评估装置500包括存储器501以及耦接至该存储器501的处理器502,处理器502被配置为基于存储在存储器501中的指令,执行前述任意一个实施例的方法。
存储器501例如可以包括系统存储器、固定非易失性存储介质等。系统存储器例如可以存储有操作系统、应用程序、引导装载程序(Boot Loader)以及其他程序等。
风险评估装置500还可以包括输入输出接口503、网络接口504、存储接口505等。这些接口503、504、505之间、以及存储器501与处理器502之间例如可以通过总线506连接。输入输出接口503为显示器、鼠标、键盘、触摸屏等输入输出设备提供连接接口。网络接口504为各种联网设备提供连接接口。存储接口505为SD卡、U盘等外置存储设备提供连接接口。
本公开实施例的方案具有良好的动态扩展性,例如在静态评分的基础上增加动态评分
本公开实施例还提供了一种计算机可读存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现上述任意一个实施例的方法。
至此,已经详细描述了本公开的各实施例。为了避免遮蔽本公开的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
本领域内的技术人员应当明白,本公开的实施例可提供为方法、系统、或计算机程序产品。因此,本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本公开是参照根据本公开实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解,可由计算机程序指令实现流程图中一个流程或多个流程和/或方框图中一个方框或多个方框中指定的功能。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
虽然已经通过示例对本公开的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本公开的范围。本领域的技术人员应该理解,可在不脱离本公开的范围和精神的情况下,对以上实施例进行修改或者对部分技术特征进行等同替换。本公开的范围由所附权利要求来限定。

Claims (11)

1.一种风险评估方法,包括:
对采集的流量进行分析,以得到在预定时间内攻击多个待评估IP地址中的每个待评估IP地址的至少一个攻击IP地址;
根据每个攻击IP地址在所述预定时间内攻击每个待评估IP地址的攻击信息,确定每个待评估IP地址的第一风险评分,所述攻击信息包括攻击手段;
根据每个待评估IP地址的至少一个漏洞中的每个漏洞在所述预定时间内是否被利用来攻击每个待评估IP地址,确定每个漏洞的动态漏洞评分;
根据每个漏洞的通用安全漏洞评分系统CVSS评分和动态漏洞评分,确定每个漏洞的第二风险子评分;
根据每个漏洞的第二风险子评分,确定每个待评估IP地址的第二风险评分;
根据所述第一风险评分和所述第二风险评分,确定每个待评估IP地址的风险评分。
2.根据权利要求1所述的方法,其中,所述至少一个攻击IP地址包括多个攻击IP地址;
所述根据每个攻击IP地址在所述预定时间内攻击每个待评估IP地址的攻击信息,确定每个待评估IP地址的第一风险评分包括:
根据每个攻击IP地址在所述预定时间内攻击每个待评估IP地址的攻击信息,确定每个攻击IP地址的第一风险子评分,以得到多个第一风险子评分;
根据所述多个第一风险子评分中的最大值和中位值、以及所述多个攻击IP地址的数量,确定所述第一风险评分。
3.根据权利要求2所述的方法,其中,所述根据所述多个第一风险子评分中的最大值和中位值、以及所述多个攻击IP地址的数量,确定所述第一风险评分包括:
根据所述多个第一风险子评分中的最大值和中位值得到第一值;
根据所述多个攻击IP地址的数量得到第二值;
计算所述第一值和所述第二值的乘积,以得到所述第一风险评分。
4.根据权利要求3所述的方法,其中:
所述最大值和所述中位值越大,所述第一值越大;
所述多个攻击IP地址的数量越大,所述第二值越大。
5.根据权利要求4所述的方法,其中:
根据以下公式计算待评估IP地址IPa的第一风险评分
其中:
a为所述预定时间内待评估IP地址的种类;
Na为所述预定时间内攻击待评估IP地址IPa的攻击IP地址的数量,Na为大于1的整数;
为所述预定时间内攻击待评估IP地址IPa的攻击IP地址IPi的第一风险子评分/>中的最大值,i∈[1,Na];
为所述预定时间内攻击待评估IP地址IPa的攻击IP地址IPi的第一风险子评分/>中的中位值;
θ为所述最大值和所述中位值之间的权重;
λ为大于1的常量。
6.根据权利要求1-5任意一项所述的方法,其中,所述至少一个漏洞包括多个漏洞;
所述根据每个漏洞的第二风险子评分,确定每个待评估IP地址的第二风险评分包括:
根据每个漏洞的第二风险子评分,确定所述多个漏洞的多个第二风险子评分中的最大值;
根据每个漏洞的第二风险子评分与所述多个第二风险子评分中的最大值的比值、以及所述多个第二风险子评分中的最大值,确定所述第二风险评分。
7.根据权利要求6所述的方法,其中:
根据以下公式计算漏洞b的动态漏洞评分
其中,b为在所述预定时间内待评估IP地址IPa的漏洞的标识,b∈[1,Ma],i为在所述预定时间内利用漏洞b攻击待评估IP地址IPa的攻击IP地址的种类数,为在所述预定时间内攻击IP地址IPi利用漏洞b攻击待评估IP地址IPa的总攻击次数;
根据以下公式确定漏洞b的第二风险子评分
其中,VSb为漏洞b的CVSS评分,μ为漏洞b的漏洞评分相对于漏洞bCVSS的评分的权重;
根据以下公式计算待评估IP地址IPa的第二风险评分
其中,为待评估IP地址IPa的漏洞b的第二风险子评分/>(b∈[1,Ma])中的最大值,bmax表示第bmax个漏洞,ρ为常量。
8.根据权利要求1所述的方法,还包括:
获取每个待评估IP地址的第三风险评分,所述第三风险评分为反映每个待评估IP地址重要性的固定值;
所述根据所述第一风险评分和所述第二风险评分,确定每个待评估IP地址的风险评分包括:
根据所述第一风险评分、所述第二风险评分和所述第三风险评分,确定每个待评估IP地址的风险评分。
9.一种风险评估装置,包括:
分析模块,被配置为对采集的流量进行分析,以得到在预定时间内攻击多个待评估IP地址中的每个待评估IP地址的至少一个攻击IP地址;
第一确定模块,被配置为根据每个攻击IP地址在所述预定时间内攻击每个待评估IP地址的攻击信息,确定每个待评估IP地址的第一风险评分,所述攻击信息包括攻击手段;
第二确定模块,被配置为根据每个待评估IP地址的至少一个漏洞中的每个漏洞在所述预定时间内是否被利用来攻击每个待评估IP地址,确定每个漏洞的动态漏洞评分;根据每个漏洞的通用安全漏洞评分系统CVSS评分和动态漏洞评分,确定每个漏洞的第二风险子评分;根据每个漏洞的第二风险子评分,确定每个待评估IP地址的第二风险评分;
第三确定模块,被配置为根据所述第一风险评分和所述第二风险评分,确定每个待评估IP地址的风险评分。
10.一种风险评估装置,包括:
存储器;以及
耦接至所述存储器的处理器,被配置为基于存储在所述存储器中的指令,执行权利要求1-8任意一项所述的方法。
11.一种计算机可读存储介质,其上存储有计算机程序指令,其中,该指令被处理器执行时实现权利要求1-8任意一项所述的方法。
CN202011016242.1A 2020-09-24 2020-09-24 风险评估方法、装置及计算机可读存储介质 Active CN114257391B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011016242.1A CN114257391B (zh) 2020-09-24 2020-09-24 风险评估方法、装置及计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011016242.1A CN114257391B (zh) 2020-09-24 2020-09-24 风险评估方法、装置及计算机可读存储介质

Publications (2)

Publication Number Publication Date
CN114257391A CN114257391A (zh) 2022-03-29
CN114257391B true CN114257391B (zh) 2024-01-26

Family

ID=80790011

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011016242.1A Active CN114257391B (zh) 2020-09-24 2020-09-24 风险评估方法、装置及计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN114257391B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230328083A1 (en) * 2022-04-08 2023-10-12 Securitymetrics, Inc. Network vulnerability assessment

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018177210A1 (zh) * 2017-03-27 2018-10-04 新华三技术有限公司 防御apt攻击
CN110011955A (zh) * 2018-12-06 2019-07-12 阿里巴巴集团控股有限公司 一种ssrf漏洞或攻击确定、处理方法、装置、设备及介质
CN110445766A (zh) * 2019-07-17 2019-11-12 海南大学 DDoS攻击态势评估方法及装置
CN110855722A (zh) * 2020-01-16 2020-02-28 北京安博通科技股份有限公司 一种主机风险评估方法及装置
CN111193728A (zh) * 2019-12-23 2020-05-22 成都烽创科技有限公司 网络安全评估方法、装置、设备及存储介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018177210A1 (zh) * 2017-03-27 2018-10-04 新华三技术有限公司 防御apt攻击
CN110011955A (zh) * 2018-12-06 2019-07-12 阿里巴巴集团控股有限公司 一种ssrf漏洞或攻击确定、处理方法、装置、设备及介质
CN110445766A (zh) * 2019-07-17 2019-11-12 海南大学 DDoS攻击态势评估方法及装置
CN111193728A (zh) * 2019-12-23 2020-05-22 成都烽创科技有限公司 网络安全评估方法、装置、设备及存储介质
CN110855722A (zh) * 2020-01-16 2020-02-28 北京安博通科技股份有限公司 一种主机风险评估方法及装置

Also Published As

Publication number Publication date
CN114257391A (zh) 2022-03-29

Similar Documents

Publication Publication Date Title
Zhang et al. Crawlphish: Large-scale analysis of client-side cloaking techniques in phishing
US11570211B1 (en) Detection of phishing attacks using similarity analysis
Holm et al. An expert-based investigation of the common vulnerability scoring system
Rathnayaka et al. An efficient approach for advanced malware analysis using memory forensic technique
Hurier et al. On the lack of consensus in anti-virus decisions: Metrics and insights on building ground truths of android malware
Tu et al. Webshell detection techniques in web applications
JP6042541B2 (ja) セキュリティ情報管理システム、セキュリティ情報管理方法及びセキュリティ情報管理プログラム
Asmitha et al. A machine learning approach for linux malware detection
CN109558207B (zh) 在虚拟机中形成用于进行文件的防病毒扫描的日志的系统和方法
US9398032B1 (en) Apparatus and methods for detecting malicious scripts in web pages
Bhatt et al. Exploitability prediction of software vulnerabilities
Yang et al. Droidward: an effective dynamic analysis method for vetting android applications
Muñoz et al. Analyzing the traffic of penetration testing tools with an IDS
US20200007559A1 (en) Web Threat Investigation Using Advanced Web Crawling
Li et al. Large-scale third-party library detection in android markets
CN114257391B (zh) 风险评估方法、装置及计算机可读存储介质
Satrya et al. The detection of 8 type malware botnet using hybrid malware analysis in executable file windows operating systems
US11423099B2 (en) Classification apparatus, classification method, and classification program
Criscione et al. ZARATHUSTRA: Extracting Webinject signatures from banking trojans
Gupta et al. Alleviating the proliferation of JavaScript worms from online social network in cloud platforms
Magdacy Jerjes et al. Detect malicious web pages using naive bayesian algorithm to detect cyber threats
Peng et al. Micro-architectural features for malware detection
Pillai et al. A modified framework to detect keyloggers using machine learning algorithm
US9444831B1 (en) Malicious script detection using context-dependent script emulation
Bhatt et al. Categorization of vulnerabilities in a software

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant