CN114416492A - 联网设备安全监控方法、装置、电子设备及存储介质 - Google Patents

联网设备安全监控方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN114416492A
CN114416492A CN202210097779.8A CN202210097779A CN114416492A CN 114416492 A CN114416492 A CN 114416492A CN 202210097779 A CN202210097779 A CN 202210097779A CN 114416492 A CN114416492 A CN 114416492A
Authority
CN
China
Prior art keywords
attack
target
risk value
networking equipment
level
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210097779.8A
Other languages
English (en)
Inventor
李荣津
邹初建
王涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou DPTech Technologies Co Ltd
Original Assignee
Hangzhou DPTech Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou DPTech Technologies Co Ltd filed Critical Hangzhou DPTech Technologies Co Ltd
Priority to CN202210097779.8A priority Critical patent/CN114416492A/zh
Publication of CN114416492A publication Critical patent/CN114416492A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3006Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Mathematical Physics (AREA)
  • Quality & Reliability (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开涉及一种联网设备安全监控方法、装置与电子设备。联网设备安全监控方法包括:根据目标联网设备的唯一识别符获取预设时段内所述目标联网设备发起攻击和遭受攻击的攻击次数以及攻击等级;根据所述攻击次数和所述攻击等级确定所述目标联网设备的当前风险值;获取所述目标联网设备的历史风险值,根据所述当前风险值和所述历史风险值标记所述目标联网设备的安全等级。本公开实施例可以提高评估联网设备被网络攻击的风险的准确性,提升运维效率。

Description

联网设备安全监控方法、装置、电子设备及存储介质
技术领域
本公开涉及信息技术领域,具体而言,涉及一种联网设备安全监控方法、装置与电子设备。
背景技术
联网设备是指具有网络通讯功能的硬件设备。一般而言,联网设备较容易遭受网络攻击,或者,被木马植入后,主动攻击其他设备。
目前,关于联网设备被网络攻击的风险的计算,通常是针对网络系统建立联网设备关联图,将关联图中源节点向目标节点发起的攻击算作一次威胁,通过威胁发生概率与造成的损失相乘得到联网设备的风险值,然后,将联网设备的风险值逐一相加可以得到主机设备级风险值以及系统级风险值。
但是,这种方法不能保证联网设备的唯一性,容易出现错误数据导致风险值计算出错。此外,这种方法将联网设备发起一次攻击算作一次威胁,无法保证联网设备风险值的准确。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开的目的在于提供一种联网设备安全监控方法、装置与电子设备,用于至少在一定程度上克服由于相关技术的限制和缺陷而导致的联网设备被攻击的风险值计算不准确的问题。
根据本公开实施例的第一方面,提供一种联网设备安全监控方法,包括:根据目标联网设备的唯一识别符获取预设时段内所述目标联网设备发起攻击和遭受攻击的攻击次数以及攻击等级;根据所述攻击次数和所述攻击等级确定所述目标联网设备的当前风险值;获取所述目标联网设备的历史风险值,根据所述当前风险值和所述历史风险值标记所述目标联网设备的安全等级。
在本公开的一个示例性实施例中,所述根据所述攻击次数和所述攻击等级确定所述目标联网设备的当前风险值包括:
根据所述目标联网设备在所述预设时段内对应的每个攻击的攻击等级,获取所述目标联网设备在所述预设时段内对应的各攻击等级的攻击数量;
根据所述各攻击等级的攻击数量以及所述目标联网设备在所述预设时段内对应的攻击总数量,确定所述目标联网设备的所述当前风险值。
在本公开的一个示例性实施例中,所述根据所述各攻击等级的攻击数量以及所述目标联网设备在所述预设时段内对应的攻击总数量,确定所述目标联网设备的所述当前风险值包括:
获取所述所述各攻击等级的攻击数量的加权和;
获取所述加权和与所述攻击总数量的比值;
将预设值与所述比值的差设置为所述目标联网设备的所述当前风险值。
在本公开的一个示例性实施例中,所述获取所述目标联网设备的历史风险值,根据所述当前风险值和所述历史风险值标记所述目标联网设备的安全等级包括:
根据所述历史风险值和所述当前风险值获取所述目标联网设备的风险值环比增长率和/或风险值同比增长率;
在所述环比增长率或所述同比增长率大于等于第一预设值时,降低所述目标联网设备的安全等级;
在所述环比增长率或所述同比增长率小于等于第二预设值时,调高所述目标联网设备的安全等级。
在本公开的一个示例性实施例中,还包括:
获取目标种类的联网设备在所述预设时段内对应的攻击次数和攻击等级;
获取所述目标种类联网设备的设备数量;
根据所述攻击次数、所述攻击等级和所述设备数量,确定所述目标种类联网设备的安全等级。
在本公开的一个示例性实施例中,还包括:
通过缓存的订阅发布功能,订阅联网设备遭受攻击或发起攻击消息;
响应所述联网设备遭受或发起攻击消息,按照遭受攻击或发起攻击的联网设备的唯一识别符更新所述联网设备发起攻击和遭受攻击的攻击次数以及攻击等级。
在本公开的一个示例性实施例中,所述唯一识别符通过对所述目标联网设备的设备识别符和网络地址进行哈希运算得到。
根据本公开实施例的第二方面,提供一种联网设备安全监控装置,包括:
攻击数据获取模块,设置为根据目标联网设备的唯一识别符获取预设时段内所述目标联网设备发起攻击和遭受攻击的攻击次数以及攻击等级;
风险值获取模块,设置为根据所述攻击次数和所述攻击等级确定所述目标联网设备的当前风险值;
安全等级识别模块,设置为获取所述目标联网设备的历史风险值,根据所述当前风险值和所述历史风险值标记所述目标联网设备的安全等级。
根据本公开的第三方面,提供一种电子设备,包括:存储器;以及耦合到所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行如上述任意一项所述的方法。
根据本公开的第四方面,提供一种计算机可读存储介质,其上存储有程序,该程序被处理器执行时实现如上述任意一项所述的联网设备安全监控方法。
本公开实施例通过为联网设备设置唯一识别符,能够基于联网设备统计攻击次数和攻击等级,提高对联网设备进行安全等级评估的针对性和准确性;此外,由于同时计算了目标联网设备发起攻击和遭受攻击的攻击次数和攻击等级,可以更准确地评估目标联网设备被攻击的真实情况;最后,通过将当前风险值与历史风险值进行比对以确定目标联网设备的安全等级,可以基于目标联网设备自身的情况评估安全等级,避免相关技术中对所处环境不同的联网设备使用同一套安全评估方法导致的评估不准确性,从而,通过提高对联网设备被网络攻击的风险的评估准确性,提高联网设备的运维效率。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本公开示例性实施例中联网设备安全监控方法的流程图。
图2是本公开一个实施例中步骤S2的子流程图。
图3是本公开一个实施例中步骤S3的子流程图。
图4是本公开一个实施例中根据设备种类进行联网设备安全监控的流程图。
图5是本公开一个实施例中联网设备安全监控方法的流程图。
图6是本公开示例性实施例中一种联网设备安全监控装置的方框图。
图7是本公开示例性实施例中一种电子设备的方框图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中,提供许多具体细节从而给出对本公开的实施方式的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而省略所述特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知技术方案以避免喧宾夺主而使得本公开的各方面变得模糊。
此外,附图仅为本公开的示意性图解,图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
下面结合附图对本公开示例实施方式进行详细说明。
图1是本公开示例性实施例中联网设备安全监控方法的流程图。
参考图1,联网设备安全监控方法100可以包括:
步骤S1,根据目标联网设备的唯一识别符获取预设时段内所述目标联网设备发起攻击和遭受攻击的攻击次数以及攻击等级;
步骤S2,根据所述攻击次数和所述攻击等级确定所述目标联网设备的当前风险值;
步骤S3,获取所述目标联网设备的历史风险值,根据所述当前风险值和所述历史风险值标记所述目标联网设备的安全等级。
本公开实施例通过为联网设备设置唯一识别符,能够基于联网设备统计攻击次数和攻击等级,提高对联网设备进行安全等级评估的针对性和准确性;此外,由于同时计算了目标联网设备发起攻击和遭受攻击的攻击次数和攻击等级,可以更准确地评估目标联网设备被攻击的真实情况;最后,通过将当前风险值与历史风险值进行比对以确定目标联网设备的安全等级,可以基于目标联网设备自身的情况评估安全等级,避免相关技术中对所处环境不同的联网设备使用同一套安全评估方法导致的评估不准确性,从而,通过提高对联网设备被网络攻击的风险的评估准确性,提高联网设备的运维效率。
下面,对联网设备安全监控方法100的各步骤进行详细说明。
在步骤S1,根据目标联网设备的唯一识别符获取预设时段内所述目标联网设备发起攻击和遭受攻击的攻击次数以及攻击等级。
本公开实施例中,目标联网设备例如可以为服务器、台式计算机、笔记本计算机、路由器、交换机等等。
在本公开的一个示例性实施例中,所述唯一识别符通过对所述目标联网设备的设备识别符和网络地址进行哈希运算得到。网络地址例如为IP地址和/或MAC地址,设备识别符例如为设备自带的设备ID,或者人工设置的设备识别符。哈希计算的公式可以有多种,本公开不以此为限。
通过使用唯一识别符管理联网设备,可以基于独立的联网设备评估网络安全风险,避免不同情况的联网设备被混合计算导致的网络安全风险评估不准确,或者无法定位到威胁的真实目的。
在本公开的一个示例性实施例中,可以通过缓存的订阅发布功能,订阅联网设备遭受攻击或发起攻击消息,然后响应所述联网设备遭受或发起攻击消息,按照遭受攻击或发起攻击的联网设备的唯一识别符更新所述联网设备发起攻击和遭受攻击的攻击次数以及攻击等级。
例如,可以在网络平台中运用Redis缓存的订阅发布功能实时统计联网设备遭受威胁的次数。在联网设备遭受到威胁的时候,网络平台对Redis发送消息,使Redis在接收到消息后发布该消息,订阅该消息的节点在接收到消息后对联网设备遭受威胁的数量进行修改,实现对网络威胁的实时统计。上述消息例如为网络攻击消息,消息的内容包括但不限于攻击涉及的联网设备、攻击种类(例如发起或者遭受)、攻击等级(例如高危攻击、中危攻击、低危攻击)、攻击时间等等。
在一些场景下,网络平台监控到平台内的一个联网设备对另一个联网设备发起攻击时,发送两条网络攻击消息。一条网络攻击消息指示发起攻击的联网设备、攻击等级、攻击时间等,另一条网络攻击消息指示遭受攻击的联网设备、攻击等级、攻击时间等。如果网络平台仅监控到平台内的一个联网设备对外发起攻击,或者,遭受外部网络攻击,则仅发送一条网络攻击消息即可。
在确定目标联网设备的攻击情况时,可以从Redis中读取目标联网设备在预设时段内的网络攻击消息,进而进行统计;也可以通过向Redis订阅消息,根据消息实时更新目标联网设备在预设时段内的攻击信息。
在一个实施例中,预设时段例如可以为最近一天、最近一周、最近一个月等等。可以同时获取多个预设时段对应的攻击信息。例如,可以设置预设时段为最近一小时、最近一天、最近一周,如果当前时间为0点,可以获取昨天一天的攻击信息、前天一天的攻击信息以及之前八天的攻击信息;如果当前时间是在1点到23点之间,可以获取最近一小时的攻击信息、昨天一天的攻击信息以及前七天的攻击信息等等。
在步骤S2,根据所述攻击次数和所述攻击等级确定所述目标联网设备的当前风险值。
图2是本公开一个实施例中步骤S2的子流程图。
参考图2,在一个实施例中,步骤S2可以包括:
步骤S21,根据所述目标联网设备在所述预设时段内对应的每个攻击的攻击等级,获取所述目标联网设备在所述预设时段内对应的各攻击等级的攻击数量;
步骤S22,根据所述各攻击等级的攻击数量以及所述目标联网设备在所述预设时段内对应的攻击总数量,确定所述目标联网设备的所述当前风险值。
例如,设攻击等级分为三等:高危攻击、中危攻击、低危攻击,预设时段为最近一天,在步骤S21可以得到目标联网设备在最近一天内的遭受和发起的高危攻击数量为x,中危攻击数量为y,低危攻击数量为z。
在一个实施例中,步骤S22例如为获取所述所述各攻击等级的攻击数量的加权和,获取所述加权和与所述攻击总数量的比值,然后将预设值与所述比值的差设置为所述目标联网设备的所述当前风险值。
接上例,可以设置当前风险值为A,设置预设值为100,攻击总数量为x+y+z,则有:A=100-(ax+by+cz)/(x+y+z)。其中,a、b、c分别是高危攻击、中危攻击、低危攻击的权值,为了凸显高位攻击的重要性,可以设置a>b>c。
上述的x、y、z既可以包括目标联网设备发起攻击的攻击次数,也可以包括遭受攻击的攻击次数。如果目标联网设备在最近一天内仅发起攻击,则x、y、z仅指代发起对应等级攻击的攻击次数;如果目标联网设备在最近一天内仅遭受攻击,则x、y、z仅指代遭受对应等级攻击的攻击次数;如果目标联网设备在最近一天内既遭受攻击又发起攻击,则x、y、z均指代遭受对应等级攻击和发起对应等级攻击的总次数。
在预设时段有多个时,可以同时根据获取的攻击信息按照预设时段的不同,分别计算每个预设时段对应的当前风险值,例如,可以在步骤S2顺次计算目标联网设备在最近一天的当前风险值A、最近一周的当前风险值B、最近一个月的当前风险值C。
计算当前风险值后,可以将该当前风险值保存在数据库中,作为未来计算和本次计算的可用数据。
在步骤S3,获取所述目标联网设备的历史风险值,根据所述当前风险值和所述历史风险值标记所述目标联网设备的安全等级。
图3是本公开一个实施例中步骤S3的子流程图。
参考图3,在一个实施例中,步骤S3可以包括:
步骤S31,根据所述历史风险值和所述当前风险值获取所述目标联网设备的风险值环比增长率和/或风险值同比增长率;
步骤S32,在所述环比增长率或所述同比增长率大于等于第一预设值时,降低所述目标联网设备的安全等级;
步骤S33,在所述环比增长率或所述同比增长率小于等于第二预设值时,调高所述目标联网设备的安全等级。
其中,环比增长率=(本期数-上期数)/上期数*100%,用于反映本期比上期增长了多少。
同比增长率=(本期数-同期数)/同期数*100%指和去年同期相比较的增长率。
同比增长率可以反映当期水平与上年同期水平对比的相对发展速度,环比增长率可以反映当期水平与前一时期水平相比的逐期发展速度。
可以根据预设时段,获取对应时段(上期或去年同期)的历史风险值。例如,预设时段为最近一天,则今天计算的当前风险值为最近一天的风险值,可以获取昨天同一时间计算的最近一天的当前风险值作为历史风险值,将今天计算的当前风险值与昨天计算的当前风险值进行对比,以获取目标联网设备的风险值环比增长率。或者,可以获取去年的今天计算的当前风险值作为历史风险值,将今天计算的当前风险值与去年今天计算的当前风险值进行对比,以获取目标联网设备的风险值同比增长率。
通过获取目标联网设备的风险值环比增长率和/或风险值同比增长率,可以针对目标联网设备的实际情况进行有针对性的统计,避免对不同种类的联网设备使用同一个标准进行判断导致风险的变动情况评估不准确。例如,有些联网设备的属性导致其遭受攻击次数较多(例如网关设备),有些联网设备的属性导致其遭受攻击次数较少(例如智能手表),如果使用同一套评价标准,则要么网关设备的安全等级永远处于最低位,要么智能手表的安全等级永远处于最高位,这并不能实时、真实地反应联网设备的威胁变动情况,也无助于及时发现被集中攻击的联网设备。
本公开实施例在确定目标联网设备的风险变动(环比增长率/同比增长率)情况后,可以根据风险变动情况,而非风险值的绝对值,调整目标联网设备的安全等级。在一个实施例中,可以为全部联网设备设置初始的安全等级。后续根据各当前风险值和历史风险值,调整各联网设备的风险值。
调整目标网络设备的安全等级的方法,例如为在环比增长率或同比增长率大于等于第一预设值时,降低目标联网设备的安全等级;在环比增长率或同比增长率小于等于第二预设值时,调高目标联网设备的安全等级。上述第一预设值例如可以为正数,例如大于20%;第二预设值例如可以为较小的值,在必要时可以为零或负数,例如-5%。第一预设值和第二预设值可以根据目标联网设备的设备种类而定,本公开对此不作特殊限制。
在本公开的一个实施例中,可以在显示界面上将不同安全等级的联网设备使用不同的显示效果标记出来,尤其,可以将安全等级被下调的联网设备重点标记出来,例如标记为闪烁的红色。
除了按照安全等级进行联网设备安全监控,还可以按照联网设备的设备种类进行联网设备安全监控。
图4是本公开一个实施例中根据设备种类进行联网设备安全监控的流程图。
参考图4,在本公开的一个示例性实施例中,联网设备安全监控方法还包括:
步骤S41,获取目标种类的联网设备在所述预设时段内对应的攻击次数和攻击等级;
步骤S42,获取所述目标种类联网设备的设备数量;
步骤S43,根据所述攻击次数、所述攻击等级和所述设备数量,确定所述目标种类联网设备的安全等级。
联网设备的种类可以根据设备类型分类,也可以根据设备用途或者设备所属网络分类,本公开对联网设备的分类不作特殊限制。
在图4所示实施例中,可以获取目标种类的多个联网设备在预设时段内对应的攻击信息,进而得到攻击总次数,以及每个攻击等级的攻击次数,确定目标种类的联网设备的整体当前风险值,具体计算方法例如与图2所示实施例相同。
接下来,可以根据目标种类的联网设备的设备数量,确定整体当前风险值分配到目标种类的每个联网设备上的平均风险值,进而根据目标种类的联网设备对应的历史平均风险值,确定目标种类的联网设备的整体安全等级。确定的方法例如为图3所示实施例中计算风险值同比增长率或风险值环比增长率。
之所以计算平均风险值,是由于目标种类的联网设备的设备数量在不同时期可能不同,如果使用绝对风险值进行安全等级确定,会存在不准确的问题。因此,本公开实施例通过使用目标种类的联网设备的平均风险值设置目标种类的联网设备的安全等级,可以及时更准确地标记出可能遭受重点攻击的联网设备的种类。
除了按照目标种类确定联网设备的安全等级,还可以根据图4所示实施例确定全部联网设备的安全等级,仅需将图4中的目标种类修改为全部种类即可,本公开于此不再赘述。
图5是本公开一个实施例中联网设备安全监控方法的流程图。
参考图5,在一个实施例中,联网设备安全监控的过程可以包括:
步骤S51,获取联网设备的清单以及各联网设备的唯一标识符;
步骤S52,从Redis中获取各联网设备在当前预设时段和早前预设时段的攻击信息,攻击信息包括攻击次数;
步骤S53,根据攻击信息计算各联网设备的当前风险值,并将当前风险值与历史风险值进行对比;
步骤S54,获取各联网设备的风险值环比增长率和风险值同比增长率;
步骤S55,判断各联网设备的风险值是否发生变化,如果是,进入步骤S56,如果否,进入步骤是57;
步骤S56,将风险值发生变化的联网设备存入设备风险值变化表;
步骤S57,进行各种类联网设备以及全部联网设备的风险值计算。
在图5所示实施例中,在计算联网设备风险值的时候,首先从hbase(分布式、面向列的开源数据库)中获取联网设备列表、源/目的协议以及攻击类型、攻击等级、攻击数量。之后获取当前时间以及当前时间前一小时的时间,如果当前时间为0点,那么就获取昨天一整天的时间、前天一整天的时间以及前八天的时间;如果当前时间是在1点到23点之间,那么就获取当前一小时时间、昨天一天时间以及前7天的时间。之后对从hbase中获取的联网设备列表进行数据分析,先获取对应的probe_id(探针ID)+asset_id(设备ID)的协议,之后再从Redis数据库中获取联网设备遭受或是发起的攻击次数。
再从hbase中根据前面获取到的时间获取不同时间段的风险值和风险值变化率,依据获取到的数据,针对不同风险等级计算得到现在的联网设备风险值。例如:联网设备风险值=100-(发起的高危攻击数量*20+发起的中危攻击数*10+发起的低危攻击数*5)/发起的攻击总次数。
上式根据发起攻击数量计算,同理根据遭受攻击数量计算也可。如果同时存在发起攻击和遭受攻击,一起计算即可。同时不同等级所占的比例也是可以自己定义的。如果前一天的风险值也存在,就与现在风险值比较,获得最新的联网设备风险值。
之后将之前一小时、一天、一周的联网设备风险值与最新的风险值作进行环比同比计算,得到联网设备风险值的环比同比增长率。
判断联网设备风险是否发生变化,若是发生了变化,那么就在hbase中的asset_risk_change(设备风险变化表)中添加一条数据,并将最新的联网设备数据写入数据库中保存。之后根据不同分组,统计各联网设备等级的联网设备数量,并合并到一起得到所有联网设备等级的联网设备数量。将得到的联网设备类型数量与风险值进行合并计算得到整体的风险值,与之前一小时的风险值进行对比得到整体的联网设备风险值的环比同比增长率。最后再进行其他联网设备的聚合(按照某一字段重新对数据进行整理整合,或是对数据进行处理,得到想要的数据结果),例如分组的、整体的。最后得到联网设备风险计算结果。
综上所述,本公开实施例通过根据联网设备来源的设备ID和联网设备IP的哈希值确定联网设备的唯一识别符,可以保证联网设备的唯一性,避免出现对联网设备的误操作。通过实时获取到联网设备遭受的威胁,定时进行联网设备的风险值计算,可以及时监控到联网设备的安全变动情况。通过根据历史风险值确定联网设备的安全等级,可以保证风险值计算的准确性。
对应于上述方法实施例,本公开还提供一种联网设备安全监控装置,可以用于执行上述方法实施例。
图6是本公开示例性实施例中一种联网设备安全监控装置的方框图。
参考图6,联网设备安全监控装置600可以包括:
攻击数据获取模块61,设置为根据目标联网设备的唯一识别符获取预设时段内所述目标联网设备发起攻击和遭受攻击的攻击次数以及攻击等级;
风险值获取模块62,设置为根据所述攻击次数和所述攻击等级确定所述目标联网设备的当前风险值;
安全等级识别模块63,设置为获取所述目标联网设备的历史风险值,根据所述当前风险值和所述历史风险值标记所述目标联网设备的安全等级。
在本公开的一个示例性实施例中,风险值获取模块62设置为:根据所述目标联网设备在所述预设时段内对应的每个攻击的攻击等级,获取所述目标联网设备在所述预设时段内对应的各攻击等级的攻击数量;根据所述各攻击等级的攻击数量以及所述目标联网设备在所述预设时段内对应的攻击总数量,确定所述目标联网设备的所述当前风险值。
在本公开的一个示例性实施例中,风险值获取模块62设置为:获取所述所述各攻击等级的攻击数量的加权和;获取所述加权和与所述攻击总数量的比值;将预设值与所述比值的差设置为所述目标联网设备的所述当前风险值。
在本公开的一个示例性实施例中,安全等级识别模块63设置为:根据所述历史风险值和所述当前风险值获取所述目标联网设备的风险值环比增长率和/或风险值同比增长率;在所述环比增长率或所述同比增长率大于等于第一预设值时,降低所述目标联网设备的安全等级;在所述环比增长率或所述同比增长率小于等于第二预设值时,调高所述目标联网设备的安全等级。
在本公开的一个示例性实施例中,还包括分类计算模块64,设置为:获取目标种类的联网设备在所述预设时段内对应的攻击次数和攻击等级;获取所述目标种类联网设备的设备数量;根据所述攻击次数、所述攻击等级和所述设备数量,确定所述目标种类联网设备的安全等级。
在本公开的一个示例性实施例中,攻击数据获取模块61还设置为:通过缓存的订阅发布功能,订阅联网设备遭受攻击或发起攻击消息;响应所述联网设备遭受或发起攻击消息,按照遭受攻击或发起攻击的联网设备的唯一识别符更新所述联网设备发起攻击和遭受攻击的攻击次数以及攻击等级。
在本公开的一个示例性实施例中,所述唯一识别符通过对所述目标联网设备的设备识别符和网络地址进行哈希运算得到。
由于装置600的各功能已在其对应的方法实施例中予以详细说明,本公开于此不再赘述。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
在本公开的示例性实施例中,还提供了一种能够实现上述方法的电子设备。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
下面参照图7来描述根据本发明的这种实施方式的电子设备700。图7显示的电子设备700仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图7所示,电子设备700以通用计算设备的形式表现。电子设备700的组件可以包括但不限于:上述至少一个处理单元710、上述至少一个存储单元720、连接不同系统组件(包括存储单元720和处理单元710)的总线730。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元710执行,使得所述处理单元710执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。例如,所述处理单元710可以执行如本公开实施例所示的方法。
存储单元720可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)7201和/或高速缓存存储单元7202,还可以进一步包括只读存储单元(ROM)7203。
存储单元720还可以包括具有一组(至少一个)程序模块7205的程序/实用工具7204,这样的程序模块7205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线730可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备700也可以与一个或多个外部设备800(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备700交互的设备通信,和/或与使得该电子设备700能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口750进行。并且,电子设备700还可以通过网络适配器760与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器760通过总线730与电子设备700的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备700使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
总体而言,本公开试图通过添加资产ID,实时获取资产所遭受的威胁,根据资产风险的计算算法对资产风险值进行周期性的计算,实现资产风险值的定时更新。具体而言,
首先对资产赋值唯一ID,之后利用平台redis进行对资产威胁的实时统计,并定时进行资产风险值的计算,记录下来并更新数据库中风险值。资产在存入数据库的时候会被赋值一个唯一ID,这里的ID是根据设备ID和资产IP获取到的哈希值,把这个哈希值当作对该资产的唯一识别,这样可以实现资产唯一性。当进行资产风险计算的时候,会根据资产ID进行资产的相关操作,防止因为资产IP或是资产名称重复而出现错误操作。在平台中运用到redis的订阅发布功能进行实时统计资产遭受威胁的次数。在资产遭受到威胁的时候,平台会给redis发送消息,此时redis接收到消息,会进行消息的发布,订阅该消息的节点会在接收到消息后对资产的遭受威胁数量进行修改,实现实时统计威胁的功能。在计算资产风险值的时候,首先获取到hbase中的资产列表、源、目的协议以及威胁类型、威胁等级、威胁数量。之后获取当前时间以及当前时间前一小时的时间,如果当前时间为0点,那么就获取昨天一整天的时间、前天一整天的时间以及前八天的时间;如果当前时间是在1点到23点之间,那么就获取当前一小时时间、昨天一天时间以及前7天的时间。之后对从hbase中获取的资产列表进行数据分析,先获取对应的probe_id+asset_id的协议,之后再从redis数据库中获取资产遭受或是发起的攻击次数。再从hbase中根据前面获取到的时间获取不用时间段的风险值和变化率,依据获取到的数据,针对不同风险等级计算得到现在的资产风险值。根据发起攻击数量计算,同理根据遭受攻击数量计算也可。如果同时存在发起攻击和遭受攻击,一起计算即可。同时不同等级所占的比例也是可以自己定义的。如果前一天的风险值也存在,就与现在风险值比较,获得最新的资产风险值。之后将之前一小时、一天、一周的资产风险值与最新的风险值作进行环比同比计算,得到资产风险值的环比同比增长率。判断资产风险是否发生变化,若是发生了变化,那么就在hbase中的asset_risk_change中添加一条数据,并将最新的资产数据写入数据库中保存。之后根据不同分组,统计各资产等级的资产数量,并合并到一起得到所有资产等级的资产数量。将得到的资产类型数量与风险值进行合并计算得到整体的风险值,与之前一小时的风险值进行对比得到整体的资产风险值的环比同比增长率。最后再进行其他资产的聚合,例如分组的,整体的。最后得到资产风险计算结果。这样,可以保证资产的唯一性,避免出现对资产的误操作。可以实时获取到资产遭受的威胁,保证定时的进行资产的风险值计算。并且在资产计算风险值的过程中依赖于之前的风险值结果,更加有利于保证风险值计算的准确性。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
根据本发明的实施方式的用于实现上述方法的程序产品可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
此外,上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和构思由权利要求指出。

Claims (10)

1.一种联网设备安全监控方法,其特征在于,包括:
根据目标联网设备的唯一识别符获取预设时段内所述目标联网设备发起攻击和遭受攻击的攻击次数以及攻击等级;
根据所述攻击次数和所述攻击等级确定所述目标联网设备的当前风险值;
获取所述目标联网设备的历史风险值,根据所述当前风险值和所述历史风险值标记所述目标联网设备的安全等级。
2.如权利要求1所述的联网设备安全监控方法,其特征在于,所述根据所述攻击次数和所述攻击等级确定所述目标联网设备的当前风险值包括:
根据所述目标联网设备在所述预设时段内对应的每个攻击的攻击等级,获取所述目标联网设备在所述预设时段内对应的各攻击等级的攻击数量;
根据所述各攻击等级的攻击数量以及所述目标联网设备在所述预设时段内对应的攻击总数量,确定所述目标联网设备的所述当前风险值。
3.如权利要求2所述的联网设备安全监控方法,其特征在于,所述根据所述各攻击等级的攻击数量以及所述目标联网设备在所述预设时段内对应的攻击总数量,确定所述目标联网设备的所述当前风险值包括:
获取所述所述各攻击等级的攻击数量的加权和;
获取所述加权和与所述攻击总数量的比值;
将预设值与所述比值的差设置为所述目标联网设备的所述当前风险值。
4.如权利要求1所述的联网设备安全监控方法,其特征在于,所述获取所述目标联网设备的历史风险值,根据所述当前风险值和所述历史风险值标记所述目标联网设备的安全等级包括:
根据所述历史风险值和所述当前风险值获取所述目标联网设备的风险值环比增长率和/或风险值同比增长率;
在所述环比增长率或所述同比增长率大于等于第一预设值时,降低所述目标联网设备的安全等级;
在所述环比增长率或所述同比增长率小于等于第二预设值时,调高所述目标联网设备的安全等级。
5.如权利要求1所述的联网设备安全监控方法,其特征在于,还包括:
获取目标种类的联网设备在所述预设时段内对应的攻击次数和攻击等级;
获取所述目标种类联网设备的设备数量;
根据所述攻击次数、所述攻击等级和所述设备数量,确定所述目标种类联网设备的安全等级。
6.如权利要求1所述的联网设备安全监控方法,其特征在于,还包括:
通过缓存的订阅发布功能,订阅联网设备遭受攻击或发起攻击消息;
响应所述联网设备遭受或发起攻击消息,按照遭受攻击或发起攻击的联网设备的唯一识别符更新所述联网设备发起攻击和遭受攻击的攻击次数以及攻击等级。
7.如权利要求1所述的联网设备安全监控方法,其特征在于,所述唯一识别符通过对所述目标联网设备的设备识别符和网络地址进行哈希运算得到。
8.一种联网设备安全监控装置,其特征在于,包括:
攻击数据获取模块,设置为根据目标联网设备的唯一识别符获取预设时段内所述目标联网设备发起攻击和遭受攻击的攻击次数以及攻击等级;
风险值获取模块,设置为根据所述攻击次数和所述攻击等级确定所述目标联网设备的当前风险值;
安全等级识别模块,设置为获取所述目标联网设备的历史风险值,根据所述当前风险值和所述历史风险值标记所述目标联网设备的安全等级。
9.一种电子设备,其特征在于,包括:
存储器;以及
耦合到所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行如权利要求1-7任一项所述的联网设备安全监控方法。
10.一种计算机可读存储介质,其上存储有程序,该程序被处理器执行时实现如权利要求1-7任一项所述的联网设备安全监控方法。
CN202210097779.8A 2022-01-27 2022-01-27 联网设备安全监控方法、装置、电子设备及存储介质 Pending CN114416492A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210097779.8A CN114416492A (zh) 2022-01-27 2022-01-27 联网设备安全监控方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210097779.8A CN114416492A (zh) 2022-01-27 2022-01-27 联网设备安全监控方法、装置、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN114416492A true CN114416492A (zh) 2022-04-29

Family

ID=81279040

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210097779.8A Pending CN114416492A (zh) 2022-01-27 2022-01-27 联网设备安全监控方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN114416492A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115987672A (zh) * 2022-12-28 2023-04-18 北京天融信网络安全技术有限公司 网络设备的风险确定方法、装置、设备及介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115987672A (zh) * 2022-12-28 2023-04-18 北京天融信网络安全技术有限公司 网络设备的风险确定方法、装置、设备及介质
CN115987672B (zh) * 2022-12-28 2023-09-26 北京天融信网络安全技术有限公司 网络设备的风险确定方法、装置、设备及介质

Similar Documents

Publication Publication Date Title
CN109194661B (zh) 网络攻击告警阈值配置方法、介质、装置和计算设备
CN113328872B (zh) 故障修复方法、装置和存储介质
WO2022142013A1 (zh) 基于人工智能的ab测试方法、装置、计算机设备及介质
WO2023071761A1 (zh) 一种异常定位方法及装置
US20200379670A1 (en) Method, apparatus, and computer program product for determining usage change rate of storage system
US11736363B2 (en) Techniques for analyzing a network and increasing network availability
KR20230031889A (ko) 네트워크 토폴로지에서의 이상 탐지
CN116757447B (zh) 一种智能快检装置的测试任务分配方法及系统
CN114416492A (zh) 联网设备安全监控方法、装置、电子设备及存储介质
CN111147300B (zh) 一种网络安全告警置信度评估方法及装置
US20180052602A1 (en) Selecting a primary storage device
CN113656315B (zh) 数据测试方法、装置、电子设备和存储介质
US20210200739A1 (en) Method, electronic device and computer program product for data management
US10958718B2 (en) Optimizing receive side scaling key selection using flow data
CN110855484A (zh) 自动检测业务量变化的方法、系统、电子设备和存储介质
WO2020000724A1 (zh) 云平台主机间通信负载的处理方法、电子装置及介质
CN113839948B (zh) 一种dns隧道流量检测方法、装置、电子设备和存储介质
CN112148551B (zh) 用于确定存储系统的使用变化率的方法、设备和计算机程序产品
CN114266288A (zh) 一种网元检测方法及相关装置
US11503048B2 (en) Prioritizing assets using security metrics
WO2020261621A1 (ja) 監視システム、監視方法及びプログラム
CN113779335A (zh) 信息生成方法、装置、电子设备和计算机可读介质
CN111258845A (zh) 事件风暴的检测
CN112988455A (zh) 用于数据备份的方法、设备和计算机程序产品
CN115514613B (zh) 告警策略获得方法、装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination