CN114285623B - 一种网络安全蜜罐系统指标的评估方法及装置 - Google Patents

一种网络安全蜜罐系统指标的评估方法及装置 Download PDF

Info

Publication number
CN114285623B
CN114285623B CN202111569497.5A CN202111569497A CN114285623B CN 114285623 B CN114285623 B CN 114285623B CN 202111569497 A CN202111569497 A CN 202111569497A CN 114285623 B CN114285623 B CN 114285623B
Authority
CN
China
Prior art keywords
attack
calculating
risk
behavior
total
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111569497.5A
Other languages
English (en)
Other versions
CN114285623A (zh
Inventor
蔡晶晶
陈俊
张凯
程磊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yongxin Zhicheng Technology Group Co ltd
Original Assignee
Beijing Yongxin Zhicheng Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Yongxin Zhicheng Technology Co Ltd filed Critical Beijing Yongxin Zhicheng Technology Co Ltd
Priority to CN202111569497.5A priority Critical patent/CN114285623B/zh
Publication of CN114285623A publication Critical patent/CN114285623A/zh
Application granted granted Critical
Publication of CN114285623B publication Critical patent/CN114285623B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种网络安全蜜罐系统指标的评估方法及装置,其中方法包括:获取入侵者的攻击数据,其中,攻击数据包括:入侵者IP、入侵时间、行为类别、危害等级和详情,入侵时间包括监测到入侵者IP的攻击行为的时间点,以及攻击行为间隔的时间区间,危害等级按攻击行为类别分为低危、中危和高危;根据入侵者的攻击数据,计算攻击者吸引程度指数、捕获行为程度指数、攻击者停滞时间指数、攻击风险程度指数;根据攻击者吸引程度指数、捕获行为程度指数、攻击者停滞时间指数、攻击风险程度指数,生成评估结果,并展示评估结果。

Description

一种网络安全蜜罐系统指标的评估方法及装置
技术领域
本发明涉及网络安全技术领域,尤其涉及一种网络安全蜜罐系统指标的评估方法及装置。
背景技术
蜜罐技术是一种欺骗性防御技术,它通过诱骗入侵者进行攻击,从而监视和跟踪入侵者的行为并已日志形式记录,然后借助一定的工具进行分析,知晓入侵者的工具、策略和方法,从而相应的采取措施进行防御,实现防御能力的提升。
一般会通过提供拟定的业务场景的蜜罐系统来满足不同客户的需求,客户会根据实际的情况要求蜜罐系统进行定制开发来满足需求,而实际的业务安全需求可能存在描述不清晰,表述不明白,重点不突出等问题,导致定制开发这种方式效率低下,最终的成效不明显,客户评价不高等问题。
因此,现有蜜罐技术具有如下问题:
1、蜜罐技术在当前客户业务场景的适用性无有效评估;
2、监控指标的评估方法缺失;
3、当前场景或改进的方向无准确的表述,定制开发方向不明确。
发明内容
本发明旨在提供一种克服上述问题或者至少部分地解决上述问题的网络安全蜜罐系统指标的评估方法及装置。
为达到上述目的,本发明的技术方案具体是这样实现的:
本发明的一个方面提供了一种网络安全蜜罐系统指标的评估方法,包括:获取入侵者的攻击数据,其中,所述攻击数据包括:入侵者IP、入侵时间、行为类别、危害等级和详情,所述入侵时间包括监测到所述入侵者IP的攻击行为的时间点,以及攻击行为间隔的时间区间,所述危害等级按攻击行为类别分为低危、中危和高危;根据所述入侵者的攻击数据,计算攻击者吸引程度指数、捕获行为程度指数、攻击者停滞时间指数、攻击风险程度指数;根据所述攻击者吸引程度指数、捕获行为程度指数、攻击者停滞时间指数、攻击风险程度指数,生成评估结果,并展示所述评估结果。
其中,所述计算攻击者吸引程度指数包括:通过如下计算公式计算所述攻击者吸引程度指数:
Figure GDA0003928898160000021
其中,M表示统计周期内IP访问总量,N表示统计周期内重复出现的IP访问总量,Ft为重复访问因子;
Figure GDA0003928898160000022
xtmax表示在保证有值的情况下统计日期取最大值时的重复访问IP量,μ为均值,σ为标准差,t为时间周期长度,ki为重复i天时的IP访问量,其中,i≥2,i∈N。
其中,所述计算捕获行为程度指数包括:所述捕获行为程度指数包括:攻击行为平均类别、攻击行为平均总量、攻击行为集中程度、高危攻击行为频率;计算所述攻击行为平均类别包括:计算监测到的攻击行为类别量均值;计算所述攻击行为平均总量包括:计算监测到的攻击行为总量均值;计算所述攻击行为集中程度包括:确定监测到的不同危险等级类别下频数最高的攻击行为类,计算各攻击行为在该等级下的集中程度,计算公式为:
Figure GDA0003928898160000023
其中,Pj为单日某一危害等级下某一攻击行为量,该类危害等级下共n类攻击行为指标,Pmax,Pmin分别为发生量最高值和最低值;计算所述高危攻击行为频率包括:计算周期内风险等级确定为高危等级的攻击类总频率占攻击总量的比率;通过如下公式计算所述捕获行为程度指数:
Figure GDA0003928898160000024
其中,A,P分别为预设时间段内攻击类别统计量和攻击频数总量,
Figure GDA0003928898160000025
分别为统计周期内攻击类别及攻击频数均值。
其中,所述计算攻击者停滞时间指数包括:所述攻击者停滞时间指数包括:预设时长的IP被滞留时间,其中,所述预设时长包括一天或者连续多天,同一IP滞留时间为首次攻击行为时间点和最后一次攻击行为记录点之间滞留时间之和;计算所有IP被滞留时间总量,其中,连续多天被滞留时间为所有连续多天访问蜜罐的IP在连续时长内被滞留时间总量。
其中,所述计算所述攻击风险程度指数包括:所述攻击风险程度指数包括:风险级别总量、高危风险量;计算所述风险级别总量包括:获取统计周期内发生的所有攻击行为类别风险级别统计值,通过如下方式计算风险级别总量指数:
Figure GDA0003928898160000031
其中Pij为统计周期内第i天时攻击类别j的发生量,q为对应危险等级权重,P为统计周期内攻击行为发生总量;
计算所述高危风险量包括:计算统计周期内发生高危攻击数量占攻击类别总量的比率。
本发明另一方面提供了一种网络安全蜜罐系统指标的评估装置,包括:数据采集模块,用于获取入侵者的攻击数据,其中,所述攻击数据包括:入侵者IP、入侵时间、行为类别、危害等级和详情,所述入侵时间包括监测到所述入侵者IP的攻击行为的时间点,以及攻击行为间隔的时间区间,所述危害等级按攻击行为类别分为低危、中危和高危;数据分析模块,用于根据所述入侵者的攻击数据,计算攻击者吸引程度指数、捕获行为程度指数、攻击者停滞时间指数、攻击风险程度指数;数据展示模块,用于根据所述攻击者吸引程度指数、捕获行为程度指数、攻击者停滞时间指数、攻击风险程度指数,生成评估结果,并展示所述评估结果。
其中,所述数据分析模块通过如下方式计算攻击者吸引程度指数:通过如下计算公式计算所述攻击者吸引程度指数:
Figure GDA0003928898160000032
其中,M表示统计周期内IP访问总量,N表示统计周期内重复出现的IP访问总量,Ft为重复访问因子;
Figure GDA0003928898160000033
xtmax表示在保证有值的情况下统计日期取最大值时的重复访问IP量,μ为均值,σ为标准差,t为时间周期长度,ki为重复i天时的IP访问量,其中,i≥2,i∈N。
其中,所述数据分析模块通过如下方式计算捕获行为程度指数:所述捕获行为程度指数包括:攻击行为平均类别、攻击行为平均总量、攻击行为集中程度、高危攻击行为频率;计算所述攻击行为平均类别包括:计算监测到的攻击行为类别量均值;计算所述攻击行为平均总量包括:计算监测到的攻击行为总量均值;计算所述攻击行为集中程度包括:确定监测到的不同危险等级类别下频数最高的攻击行为类,计算各攻击行为在该等级下的集中程度,计算公式为:
Figure GDA0003928898160000034
其中,Pj为单日某一危害等级下某一攻击行为量,该类危害等级下共n类攻击行为指标,Pmax,Pmin分别为发生量最高值和最低值;计算所述高危攻击行为频率包括:计算周期内风险等级确定为高危等级的攻击类总频率占攻击总量的比率;通过如下公式计算所述捕获行为程度指数:
Figure GDA0003928898160000041
其中,A,P分别为预设时间段内攻击类别统计量和攻击频数总量,
Figure GDA0003928898160000042
分别为统计周期内攻击类别及攻击频数均值。
其中,所述数据分析模块通过如下方式计算攻击者停滞时间指数:所述攻击者停滞时间指数包括:预设时长的IP被滞留时间,其中,所述预设时长包括一天或者连续多天,同一IP滞留时间为首次攻击行为时间点和最后一次攻击行为记录点之间滞留时间之和;计算所有IP被滞留时间总量,其中,连续多天被滞留时间为所有连续多天访问蜜罐的IP在连续时长内被滞留时间总量。
其中,所述数据分析模块通过如下方式计算所述攻击风险程度指数:所述攻击风险程度指数包括:风险级别总量、高危风险量;计算所述风险级别总量包括:获取统计周期内发生的所有攻击行为类别风险级别统计值,通过如下方式计算风险级别总量指数:
Figure GDA0003928898160000043
其中Pij为统计周期内第i天时攻击类别j的发生量,q为对应危险等级权重,P为统计周期内攻击行为发生总量;计算所述高危风险量包括:计算统计周期内发生高危攻击数量占攻击类别总量的比率。
由此可见,通过本发明提供的网络安全蜜罐系统指标的评估方法及装置,通过在标准的业务场景中对攻击者的操作行为上进行触发点采集,根据触发点行为类型、触发成功失败情况等进行综合研判分析,得出适合当前客户场景下的安全指数以及筛选出关键监控指标,并推荐给客户,让客户知道当前面临的主要威胁,并可规划下一步的安全措施。如果和客户当前面临的威胁认知偏差较大,可由此知道当前蜜罐指标体系的不足,当前标准的业务场景的改进方向会明晰,便于后续场景的改进,最终形成能反映当前客户实际情况的蜜罐技术落地。解决了现有技术中蜜罐业务场景和实际客户环境有效对接的问题,使蜜罐技术更加能简单、直接、有效的反馈当前客户(通过蜜罐环境)面临的威胁情况,并给出最优化的威胁分析,同时为客户进一步提升蜜罐技术在实际环境的落地,取得更多成效,指明了需求方向,有利于形成蜜罐的正向循环。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他附图。
图1为本发明实施例提供的网络安全蜜罐系统指标的评估方法的流程图;
图2为本发明实施例提供的网络安全蜜罐系统指标的评估方法的一个具体流程图;
图3为本发明实施例提供的网络安全蜜罐系统指标的评估装置的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明从标准化的业务场景(不做客户所述的定制开发)出发,通过对业务场景中的监控行为进行定义,根据实际应用情况产生的监测数据进行分析,并进行权重分析和模型建立,得出适合当前客户场景中适用的重点监控行为,得出当前的安全性评估模型和全局的安全措施建议,便于客户了解当前需要重点关注的方向和内容,快速决策开展下一步的安全部署工作。如果评估方向有偏差或不足的地方,可针对性给出反馈意见,用于业务场景的定制开发。
图1示出了本发明实施例提供的网络安全蜜罐系统指标的评估方法的流程图,图2示出了本发明实施例提供的网络安全蜜罐系统指标的评估方法的一个具体流程图,参见图1和图2,本发明实施例提供的网络安全蜜罐系统指标的评估方法,包括:
S1,获取入侵者的攻击数据,其中,攻击数据包括:入侵者IP、入侵时间、行为类别、危害等级和详情,入侵时间包括监测到入侵者IP的攻击行为的时间点,以及攻击行为间隔的时间区间,危害等级按攻击行为类别分为低危、中危和高危。
具体地,将蜜罐主机初始化并部署在客户环境,投入在实际环境中运行一段时间。蜜罐主机(蜜罐场景)会监测入侵者的攻击数据,获取入侵者的攻击数据。
其中,攻击数据包括入侵者IP、入侵时间、行为类别、危害等级、详情等信息。入侵时间包括监测到入侵IP的攻击行为的时间点,以及攻击行为间隔的时间区间;危害等级按攻击行为类别分为低危、中危、高危三类。
S2,根据入侵者的攻击数据,计算攻击者吸引程度指数、捕获行为程度指数、攻击者停滞时间指数、攻击风险程度指数。
具体地,本发明通过引入蜜罐的场景评估,提出攻击者吸引程度指数、捕获行为程度指数、攻击者停滞时间指数、攻击风险程度指数。
作为本发明实施例的一个可选实施方式,计算攻击者吸引程度指数包括:通过如下计算公式计算攻击者吸引程度指数:
Figure GDA0003928898160000061
其中,M表示统计周期内IP访问总量,N表示统计周期内重复出现的IP访问总量,Ft为重复访问因子;
Figure GDA0003928898160000062
xtmax表示在保证有值的情况下统计日期取最大值时的重复访问IP量,μ为均值,σ为标准差,t为时间周期长度,ki为重复i天时的IP访问量,其中,i≥2,i∈N。
具体地,攻击者吸引程度指数,指场景受攻击者欢迎的程度,是衡量一个蜜罐有效性的重要标准。
Figure GDA0003928898160000063
M表示统计周期内IP访问总量,N表示统计周期内重复出现的IP访问总量,Ft为重复访问因子。
Figure GDA0003928898160000064
xtmax表示在保证有值的情况下统计日期取最大值时的重复访问IP量。μ为均值,σ为标准差。t为时间周期长度,ki为重复i天时的IP访问量(i≥2,i∈N),以7天为一个周期计算。
作为本发明实施例的一个可选实施方式,计算捕获行为程度指数包括:捕获行为程度指数包括:攻击行为平均类别、攻击行为平均总量、攻击行为集中程度、高危攻击行为频率;计算攻击行为平均类别包括:计算监测到的攻击行为类别量均值;计算攻击行为平均总量包括:计算监测到的攻击行为总量均值;计算攻击行为集中程度包括:确定监测到的不同危险等级类别下频数最高的攻击行为类,计算各攻击行为在该等级下的集中程度,计算公式为:
Figure GDA0003928898160000065
其中,Pj为单日某一危害等级下某一攻击行为量,该类危害等级下共n类攻击行为指标,Pmax,Pmin分别为发生量最高值和最低值;计算高危攻击行为频率包括:计算周期内风险等级确定为高危等级的攻击类总频率占攻击总量的比率;通过如下公式计算捕获行为程度指数:
Figure GDA0003928898160000066
其中,A,P分别为预设时间段内攻击类别统计量和攻击频数总量,
Figure GDA0003928898160000071
分别为统计周期内攻击类别及攻击频数均值。
具体地,捕获行为程度指数,以场景受到的攻击行为类别为主要参考数据,是衡量一个蜜罐是否能够捕获到有效攻击行为的重要指标。该衡量指数包括攻击行为平均类别、攻击行为平均总量、攻击行为集中程度、高危攻击行为频率。
攻击行为平均类别:监测到的攻击行为类别量均值,反映统计周期内蜜罐捕获攻击类别统计;
攻击行为平均总量:监测到的攻击行为总量均值,反映统计周期内总共发生攻击行为频数统计;
攻击行为集中程度:提供两类描述:一、统计监测到的不同危险等级类别下频数最高的攻击行为类,二、以集中程度指数描述各攻击行为在该等级下的集中程度,计算公式为:
Figure GDA0003928898160000072
Pj为单日某一危害等级下某一攻击行为量,该类危害等级下共n类攻击行为指标。Pmax,Pmin分别为发生量最高值和最低值,以7天为一个周期计算。
高危攻击行为频率:统计周期内风险等级确定为高危等级的攻击类总频率占攻击总量的比率。
捕获行为程度指数为描述蜜罐整体捕获能力的综合指标,计算公式为:
Figure GDA0003928898160000073
其中A,P分别为最近统计日期的攻击类别统计量和攻击频数总量,
Figure GDA0003928898160000074
分别为统计周期内攻击类别及攻击频数均值。以7天为一个周期计算。
作为本发明实施例的一个可选实施方式,计算攻击者停滞时间指数包括:攻击者停滞时间指数包括:预设时长的IP被滞留时间,其中,预设时长包括一天或者连续多天,同一IP滞留时间为首次攻击行为时间点和最后一次攻击行为记录点之间滞留时间之和;计算所有IP被滞留时间总量,其中,连续多天被滞留时间为所有连续多天访问蜜罐的IP在连续时长内被滞留时间总量。
具体地,攻击者停滞时间指数,指场景有效困住攻击者的程度,是衡量一个蜜罐的诱骗能力的重要指标。该衡量指数包括:单日IP被滞留时间、连续2天被滞留时间、连续3天被滞留时间、连续5天被滞留时间,滞留时间,表示从监测攻击者进行攻击行为的时间点算起,观测时间区间长度为5分钟,观测区间内若再发生同IP的攻击行为,则以两次记录点之间时长记录为滞留时间;若观测区间内未发生攻击行为,则放弃上一攻击点时间记录。同一IP滞留时间为首次攻击行为时间点和最后一次攻击行为记录点之间滞留时间之和。衡量指数计算所有IP被滞留时间总量。
连续多天被滞留时间为所有连续多天访问蜜罐的IP在连续时长内被滞留时间总量,以7天为一个统计周期计算。
作为本发明实施例的一个可选实施方式,计算攻击风险程度指数包括:攻击风险程度指数包括:风险级别总量、高危风险量;计算风险级别总量包括:获取统计周期内发生的所有攻击行为类别风险级别统计值,通过如下方式计算风险级别总量指数:
Figure GDA0003928898160000081
其中Pij为统计周期内第i天时攻击类别j的发生量,q为对应危险等级权重,P为统计周期内攻击行为发生总量;计算高危风险量包括:计算统计周期内发生高危攻击数量占攻击类别总量的比率。
具体地,攻击风险程度指数,指场景内置漏洞的被成功利用的程度,是衡量一个蜜罐的漏洞被攻击者引爆的重要指标。该衡量指数包括:风险级别总量、高危风险量;
风险级别总量展示两方面数据:一、统计周期内发生的所有攻击行为类别风险级别统计值,二、风险级别总量指数计算公式为
Figure GDA0003928898160000082
其中Pij为统计周期内第i天时攻击类别j的发生量,q为对应危险等级权重,P为统计周期内攻击行为发生总量。
高危风险量为统计周期内发生高危攻击数量占攻击类别总量的比率,用于描述该统计周期内高危风险发生情况。以7天为一个统计周期计算。
S3,根据攻击者吸引程度指数、捕获行为程度指数、攻击者停滞时间指数、攻击风险程度指数,生成评估结果,并展示评估结果。
由此可见,本发明实施例提供的网络安全蜜罐系统指标的评估方法,通过在标准的业务场景中对攻击者的操作行为上进行触发点采集,根据触发点行为类型、触发成功失败情况等进行综合研判分析,得出适合当前客户场景下的安全指数以及筛选出关键监控指标,并推荐给客户,让客户知道当前面临的主要威胁,并可规划下一步的安全措施。如果和客户当前面临的威胁认知偏差较大,可由此知道当前蜜罐指标体系的不足,当前标准的业务场景的改进方向会明晰,便于后续场景的改进,最终形成能反映当前客户实际情况的蜜罐技术落地。解决了现有技术中蜜罐业务场景和实际客户环境有效对接的问题,使蜜罐技术更加能简单、直接、有效的反馈当前客户(通过蜜罐环境)面临的威胁情况,并给出最优化的威胁分析,同时为客户进一步提升蜜罐技术在实际环境的落地,取得更多成效,指明了需求方向,有利于形成蜜罐的正向循环。
图3示出了本发明实施例提供的网络安全蜜罐系统指标的评估装置的结构示意图,该网络安全蜜罐系统指标的评估装置应用上述方法,以下仅对网络安全蜜罐系统指标的评估装置的结构进行简单说明,其他未尽事宜,请参照上述网络安全蜜罐系统指标的评估方法中的相关描述,参见图3,本发明实施例提供的网络安全蜜罐系统指标的评估装置,包括:
数据采集模块,用于获取入侵者的攻击数据,其中,攻击数据包括:入侵者IP、入侵时间、行为类别、危害等级和详情,入侵时间包括监测到入侵者IP的攻击行为的时间点,以及攻击行为间隔的时间区间,危害等级按攻击行为类别分为低危、中危和高危;
数据分析模块,用于根据入侵者的攻击数据,计算攻击者吸引程度指数、捕获行为程度指数、攻击者停滞时间指数、攻击风险程度指数;
数据展示模块,用于根据攻击者吸引程度指数、捕获行为程度指数、攻击者停滞时间指数、攻击风险程度指数,生成评估结果,并展示评估结果。
具体地,本发明提供一种蜜罐指标的实现系统,包含如下几个模块:数据采集模块、数据分析模块、数据展示模块;其中:
数据采集模块,通过部署在蜜罐主机上,采集入侵者在整个攻击过程中的监控数据点行为,发送给蜜罐管理系统进行解析和分析
数据分析模块,部署在蜜罐管理系统上,通过内置的算法和模型进行监控数据的分析,给出基于客户环境的数据分析结果
数据展示模块,将分析结果以可视化的界面进行展示,提供人性化的报告界面,实现人机交互。
作为本发明实施例的一个可选实施方式,数据分析模块通过如下方式计算攻击者吸引程度指数:通过如下计算公式计算攻击者吸引程度指数:
Figure GDA0003928898160000091
其中,M表示统计周期内IP访问总量,N表示统计周期内重复出现的IP访问总量,Ft为重复访问因子;
Figure GDA0003928898160000092
xtmax表示在保证有值的情况下统计日期取最大值时的重复访问IP量,μ为均值,σ为标准差,t为时间周期长度,ki为重复i天时的IP访问量,其中,i≥2,i∈N。
作为本发明实施例的一个可选实施方式,数据分析模块通过如下方式计算捕获行为程度指数:捕获行为程度指数包括:攻击行为平均类别、攻击行为平均总量、攻击行为集中程度、高危攻击行为频率;计算攻击行为平均类别包括:计算监测到的攻击行为类别量均值;计算攻击行为平均总量包括:计算监测到的攻击行为总量均值;计算攻击行为集中程度包括:确定监测到的不同危险等级类别下频数最高的攻击行为类,计算各攻击行为在该等级下的集中程度,计算公式为:
Figure GDA0003928898160000101
其中,Pj为单日某一危害等级下某一攻击行为量,该类危害等级下共n类攻击行为指标,Pmax,Pmin分别为发生量最高值和最低值;计算高危攻击行为频率包括:计算周期内风险等级确定为高危等级的攻击类总频率占攻击总量的比率;通过如下公式计算捕获行为程度指数:
Figure GDA0003928898160000102
其中,A,P分别为预设时间段内攻击类别统计量和攻击频数总量,
Figure GDA0003928898160000103
分别为统计周期内攻击类别及攻击频数均值。
作为本发明实施例的一个可选实施方式,数据分析模块通过如下方式计算攻击者停滞时间指数:攻击者停滞时间指数包括:预设时长的IP被滞留时间,其中,预设时长包括一天或者连续多天,同一IP滞留时间为首次攻击行为时间点和最后一次攻击行为记录点之间滞留时间之和;计算所有IP被滞留时间总量,其中,连续多天被滞留时间为所有连续多天访问蜜罐的IP在连续时长内被滞留时间总量。
作为本发明实施例的一个可选实施方式,数据分析模块通过如下方式计算攻击风险程度指数:攻击风险程度指数包括:风险级别总量、高危风险量;计算风险级别总量包括:获取统计周期内发生的所有攻击行为类别风险级别统计值,通过如下方式计算风险级别总量指数:
Figure GDA0003928898160000104
其中Pij为统计周期内第i天时攻击类别j的发生量,q为对应危险等级权重,P为统计周期内攻击行为发生总量;计算高危风险量包括:计算统计周期内发生高危攻击数量占攻击类别总量的比率。
由此可见,本发明实施例提供的网络安全蜜罐系统指标的评估装置,通过在标准的业务场景中对攻击者的操作行为上进行触发点采集,根据触发点行为类型、触发成功失败情况等进行综合研判分析,得出适合当前客户场景下的安全指数以及筛选出关键监控指标,并推荐给客户,让客户知道当前面临的主要威胁,并可规划下一步的安全措施。如果和客户当前面临的威胁认知偏差较大,可由此知道当前蜜罐指标体系的不足,当前标准的业务场景的改进方向会明晰,便于后续场景的改进,最终形成能反映当前客户实际情况的蜜罐技术落地。解决了现有技术中蜜罐业务场景和实际客户环境有效对接的问题,使蜜罐技术更加能简单、直接、有效的反馈当前客户(通过蜜罐环境)面临的威胁情况,并给出最优化的威胁分析,同时为客户进一步提升蜜罐技术在实际环境的落地,取得更多成效,指明了需求方向,有利于形成蜜罐的正向循环。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。

Claims (2)

1.一种网络安全蜜罐系统指标的评估方法,其特征在于,包括:
获取入侵者的攻击数据,其中,所述攻击数据包括:入侵者IP、入侵时间、行为类别、危害等级和详情,所述入侵时间包括监测到所述入侵者IP的攻击行为的时间点,以及攻击行为间隔的时间区间,所述危害等级按攻击行为类别分为低危、中危和高危;
根据所述入侵者的攻击数据,计算攻击者吸引程度指数、捕获行为程度指数、攻击者停滞时间指数、攻击风险程度指数;
根据所述攻击者吸引程度指数、捕获行为程度指数、攻击者停滞时间指数、攻击风险程度指数,生成评估结果,并展示所述评估结果;其中:
所述计算攻击者吸引程度指数包括:
通过如下计算公式计算所述攻击者吸引程度指数:
Figure FDA0003840473450000011
其中,M表示统计周期内IP访问总量,N表示统计周期内重复出现的IP访问总量,Ft为重复访问因子;
Figure FDA0003840473450000012
xtmax表示在保证有值的情况下统计日期取最大值时的重复访问IP量,μ为均值,σ为标准差,t为时间周期长度,ki为重复i天时的IP访问量,其中,i≥2,i∈N;
所述计算捕获行为程度指数包括:
所述捕获行为程度指数包括:攻击行为平均类别、攻击行为平均总量、攻击行为集中程度、高危攻击行为频率;
计算所述攻击行为平均类别包括:计算监测到的攻击行为类别量均值;
计算所述攻击行为平均总量包括:计算监测到的攻击行为总量均值;
计算所述攻击行为集中程度包括:确定监测到的不同危险等级类别下频数最高的攻击行为类,计算各攻击行为在该等级下的集中程度,计算公式为:
Figure FDA0003840473450000013
其中,Pj为单日某一危害等级下某一攻击行为量,该类危害等级下共n类攻击行为指标,Pmax,Pmin分别为发生量最高值和最低值;
计算所述高危攻击行为频率包括:计算周期内风险等级确定为高危等级的攻击类总频率占攻击总量的比率;
通过如下公式计算所述捕获行为程度指数:
Figure FDA0003840473450000021
其中,A,P分别为预设时间段内攻击类别统计量和攻击频数总量,
Figure FDA0003840473450000022
分别为统计周期内攻击类别及攻击频数均值;
所述计算攻击者停滞时间指数包括:
所述攻击者停滞时间指数包括:预设时长的IP被滞留时间,其中,所述预设时长包括一天或者连续多天,同一IP滞留时间为首次攻击行为时间点和最后一次攻击行为记录点之间滞留时间之和;
计算所有IP被滞留时间总量,其中,连续多天被滞留时间为所有连续多天访问蜜罐的IP在连续时长内被滞留时间总量;
所述计算所述攻击风险程度指数包括:
所述攻击风险程度指数包括:风险级别总量、高危风险量;
计算所述风险级别总量包括:
获取统计周期内发生的所有攻击行为类别风险级别统计值,通过如下方式计算风险级别总量指数:
Figure FDA0003840473450000023
其中Pij为统计周期内第i天时攻击类别j的发生量,q为对应危险等级权重,P为统计周期内攻击行为发生总量;
计算所述高危风险量包括:计算统计周期内发生高危攻击数量占攻击类别总量的比率。
2.一种网络安全蜜罐系统指标的评估装置,其特征在于,包括:
数据采集模块,用于获取入侵者的攻击数据,其中,所述攻击数据包括:入侵者IP、入侵时间、行为类别、危害等级和详情,所述入侵时间包括监测到所述入侵者IP的攻击行为的时间点,以及攻击行为间隔的时间区间,所述危害等级按攻击行为类别分为低危、中危和高危;
数据分析模块,用于根据所述入侵者的攻击数据,计算攻击者吸引程度指数、捕获行为程度指数、攻击者停滞时间指数、攻击风险程度指数;
数据展示模块,用于根据所述攻击者吸引程度指数、捕获行为程度指数、攻击者停滞时间指数、攻击风险程度指数,生成评估结果,并展示所述评估结果;其中:
所述数据分析模块通过如下方式计算攻击者吸引程度指数:
通过如下计算公式计算所述攻击者吸引程度指数:
Figure FDA0003840473450000031
其中,M表示统计周期内IP访问总量,N表示统计周期内重复出现的IP访问总量,Ft为重复访问因子;
Figure FDA0003840473450000032
xtmax表示在保证有值的情况下统计日期取最大值时的重复访问IP量,μ为均值,σ为标准差,t为时间周期长度,ki为重复i天时的IP访问量,其中,i≥2,i∈N;
所述数据分析模块通过如下方式计算捕获行为程度指数:
所述捕获行为程度指数包括:攻击行为平均类别、攻击行为平均总量、攻击行为集中程度、高危攻击行为频率;
计算所述攻击行为平均类别包括:计算监测到的攻击行为类别量均值;
计算所述攻击行为平均总量包括:计算监测到的攻击行为总量均值;
计算所述攻击行为集中程度包括:确定监测到的不同危险等级类别下频数最高的攻击行为类,计算各攻击行为在该等级下的集中程度,计算公式为:
Figure FDA0003840473450000033
其中,Pj为单日某一危害等级下某一攻击行为量,该类危害等级下共n类攻击行为指标,Pmax,Pmin分别为发生量最高值和最低值;
计算所述高危攻击行为频率包括:计算周期内风险等级确定为高危等级的攻击类总频率占攻击总量的比率;
通过如下公式计算所述捕获行为程度指数:
Figure FDA0003840473450000034
其中,A,P分别为预设时间段内攻击类别统计量和攻击频数总量,
Figure FDA0003840473450000035
分别为统计周期内攻击类别及攻击频数均值;
所述数据分析模块通过如下方式计算攻击者停滞时间指数:
所述攻击者停滞时间指数包括:预设时长的IP被滞留时间,其中,所述预设时长包括一天或者连续多天,同一IP滞留时间为首次攻击行为时间点和最后一次攻击行为记录点之间滞留时间之和;
计算所有IP被滞留时间总量,其中,连续多天被滞留时间为所有连续多天访问蜜罐的IP在连续时长内被滞留时间总量;
所述数据分析模块通过如下方式计算所述攻击风险程度指数:
所述攻击风险程度指数包括:风险级别总量、高危风险量;
计算所述风险级别总量包括:
获取统计周期内发生的所有攻击行为类别风险级别统计值,通过如下方式计算风险级别总量指数:
Figure FDA0003840473450000041
其中Pij为统计周期内第i天时攻击类别j的发生量,q为对应危险等级权重,P为统计周期内攻击行为发生总量;
计算所述高危风险量包括:计算统计周期内发生高危攻击数量占攻击类别总量的比率。
CN202111569497.5A 2021-12-21 2021-12-21 一种网络安全蜜罐系统指标的评估方法及装置 Active CN114285623B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111569497.5A CN114285623B (zh) 2021-12-21 2021-12-21 一种网络安全蜜罐系统指标的评估方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111569497.5A CN114285623B (zh) 2021-12-21 2021-12-21 一种网络安全蜜罐系统指标的评估方法及装置

Publications (2)

Publication Number Publication Date
CN114285623A CN114285623A (zh) 2022-04-05
CN114285623B true CN114285623B (zh) 2023-01-20

Family

ID=80873452

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111569497.5A Active CN114285623B (zh) 2021-12-21 2021-12-21 一种网络安全蜜罐系统指标的评估方法及装置

Country Status (1)

Country Link
CN (1) CN114285623B (zh)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10462181B2 (en) * 2016-05-10 2019-10-29 Quadrant Information Security Method, system, and apparatus to identify and study advanced threat tactics, techniques and procedures
CN106534195B (zh) * 2016-12-19 2019-10-08 杭州信雅达数码科技有限公司 一种基于攻击图的网络攻击者行为分析方法
CN110677438A (zh) * 2019-11-15 2020-01-10 杭州安恒信息技术股份有限公司 一种攻击链构建方法、装置、设备、介质
CN111147513B (zh) * 2019-12-31 2020-08-14 广州锦行网络科技有限公司 基于攻击行为分析的蜜网内横向移动攻击路径确定方法
CN112333166B (zh) * 2020-10-27 2023-04-18 国网重庆市电力公司电力科学研究院 一种基于物联网的攻击方式自动识别系统

Also Published As

Publication number Publication date
CN114285623A (zh) 2022-04-05

Similar Documents

Publication Publication Date Title
CN105357063B (zh) 一种网络空间安全态势实时检测方法
Lee et al. Information-theoretic measures for anomaly detection
CN111859393B (zh) 基于态势感知告警的风险评估系统及方法
CN109889476A (zh) 一种网络安全防护方法和网络安全防护系统
CN110149343A (zh) 一种基于流的异常通联行为检测方法和系统
CN110620759A (zh) 基于多维关联的网络安全事件危害指数评估方法及其系统
CN101436967A (zh) 一种网络安全态势评估方法及其系统
CN110474878B (zh) 基于动态阈值的DDoS攻击态势预警方法和服务器
CN111818102B (zh) 一种应用于网络靶场的防御效能评估方法
CN108494802A (zh) 基于人工智能的关键信息基础设施安全威胁主动防御系统
Liao et al. Feature extraction and construction of application layer DDoS attack based on user behavior
CN110620696A (zh) 针对企业网络安全态势感知的评分方法和装置
CN112422537A (zh) 基于蜜罐实战生成的网络攻击知识图谱的行为预测方法
CN111865982A (zh) 基于态势感知告警的威胁评估系统及方法
CN113381980B (zh) 信息安全防御方法及系统、电子设备、存储介质
CN115225384B (zh) 一种网络威胁度评估方法、装置、电子设备及存储介质
CN116389297A (zh) 一种网络安全事件处置与评估系统
US20080072321A1 (en) System and method for automating network intrusion training
CN110430158A (zh) 采集代理部署方法及装置
CN109696892A (zh) 一种安全自动化系统及其控制方法
CN114285623B (zh) 一种网络安全蜜罐系统指标的评估方法及装置
CN110708296B (zh) 一种基于长时间行为分析的vpn账号失陷智能检测模型
Elshoush An innovative framework for collaborative intrusion alert correlation
CN115277472A (zh) 一种多维工控系统网络安全风险预警系统及方法
CN113806753A (zh) 一种基于标签计算的内网主机威胁预测方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder

Address after: 100094 103, building 6, yard 9, FengHao East Road, Haidian District, Beijing

Patentee after: Yongxin Zhicheng Technology Group Co.,Ltd.

Address before: 100094 103, building 6, yard 9, FengHao East Road, Haidian District, Beijing

Patentee before: BEIJING YONGXIN ZHICHENG TECHNOLOGY CO.,LTD.

CP01 Change in the name or title of a patent holder