CN114491563A - 一种获取信息安全事件的风险等级的方法及相关装置 - Google Patents

一种获取信息安全事件的风险等级的方法及相关装置 Download PDF

Info

Publication number
CN114491563A
CN114491563A CN202210133456.XA CN202210133456A CN114491563A CN 114491563 A CN114491563 A CN 114491563A CN 202210133456 A CN202210133456 A CN 202210133456A CN 114491563 A CN114491563 A CN 114491563A
Authority
CN
China
Prior art keywords
risk
score
target
information security
index
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210133456.XA
Other languages
English (en)
Inventor
施蕾
杨宇晨
胡卫华
孙岩炜
孟祥杰
刘照辉
熊申铎
冯永胜
贺强
古廷阳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Information Technology Security Evaluation Center
Original Assignee
China Information Technology Security Evaluation Center
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Information Technology Security Evaluation Center filed Critical China Information Technology Security Evaluation Center
Priority to CN202210133456.XA priority Critical patent/CN114491563A/zh
Publication of CN114491563A publication Critical patent/CN114491563A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0635Risk analysis of enterprise or organisation activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/10Services
    • G06Q50/26Government or public services
    • G06Q50/265Personal security, identity or safety

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Tourism & Hospitality (AREA)
  • Economics (AREA)
  • General Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Educational Administration (AREA)
  • Software Systems (AREA)
  • Entrepreneurship & Innovation (AREA)
  • General Business, Economics & Management (AREA)
  • Development Economics (AREA)
  • Marketing (AREA)
  • Primary Health Care (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Game Theory and Decision Science (AREA)
  • Operations Research (AREA)
  • Quality & Reliability (AREA)
  • Alarm Systems (AREA)

Abstract

本申请实施例提供了一种获取信息安全事件的风险等级的方法及相关装置,获取信息安全事件的预设的多项风险指标的指标值;依据每一风险指标的指标值,获取每一风险指标的得分值;依据各个风险指标的得分值,获取综合分值;依据综合分值,获取信息安全事件的风险等级。可见,本方法通过获取风险指标的得分值,将信息安全事件风险指标量化也即标准化,由于风险等级是通过多项风险指标的得分值获取的综合分值得到的,因此,风险等级能够表征多个维度的风险指标的指标值,对信息安全事件的安全性影响程度,也即,本方法相对人为定级的现有技术,提供了一种自动化标准化的流程,提高了风险等级的准确性和客观性。

Description

一种获取信息安全事件的风险等级的方法及相关装置
技术领域
本申请涉及网络安全技术领域,尤其涉及一种获取信息安全事件的风险等级的方法、装置、设备及可读存储介质。
背景技术
信息安全事件是由单个或一系列意外或有害的信息安全事态所组成的,极有可能危害业务运行或威胁信息安全。因此准确且客观地获取信息安全事件的风险等级,对提高信息安全性具有重大意义。
发明内容
本申请提供了一种获取信息安全事件的风险等级的方法及相关装置,目的在于提高获取信息安全事件的风险等级的准确性和客观性,如下:
一种获取信息安全事件的风险等级的方法,包括:
获取信息安全事件的预设的多项风险指标的指标值;
依据每一所述风险指标的指标值,获取每一所述风险指标的得分值;
依据各个所述风险指标的得分值,获取综合分值;
依据所述综合分值,获取所述信息安全事件的风险等级。
可选地,信息安全事件包括至少一项告警事件,所述多项风险指标包括:
目标信息系统的安全保护等级、所述告警事件的数量、攻击目标、攻击者属性、以及外部环境参数,所述目标信息系统为所述安全事件所处的信息系统;
可选地,在所述依据每一所述风险指标的指标值,获取每一所述风险指标的得分值之前,还包括:
利用ATT&CK模型,获取所述信息安全事件所属的攻击阶段,作为目标阶段。
可选地,依据目标风险指标的指标值,获取所述目标风险指标的得分值,所述目标风险指标为所述多项风险指标中的任意一项;包括:
获取目标对应关系,所述目标对应关系包括预设范围和预设分值的对应关系;其中,所述预设范围包括指标值取值范围和攻击阶段集合,所述攻击阶段集合包括至少一项攻击阶段;
依据所述目标风险指标的指标值以及所述目标阶段,获取目标范围,所述目标范围包括:所述目标风险指标的指标值所属的指标值取值范围和所述目标阶段所属的攻击阶段集合;
将所述目标范围对应的预设分值作为所述目标风险指标的得分值。
可选地,所述依据各个所述风险指标的得分值,获取综合分值,包括:
依据预设的权重系数,将各个所述风险指标的得分值加权相加;
将所述加权相加的结果进行预设的标准化处理,得到所述综合分值。
可选地,依据所述综合分值,获取所述信息安全事件的风险等级,包括:
获取预设的风险等级对应关系,所述风险等级对应关系包括打分取值范围和预设风险等级的对应关系;
将所述综合分值所属的打分取值范围对应的预设风险等级作为所述信息安全事件的风险等级。
可选地,在所述依据所述综合分值,获取所述信息安全事件的风险等级之后,还包括:
判断所述信息安全事件的风险等级是否超过预设的风险阈值;
若是,生成并发送报警信息。
一种获取信息安全事件的风险等级的装置,包括:
指标获取单元,用于获取信息安全事件的预设的多项风险指标的指标值;
第一分值获取单元,用于依据每一所述风险指标的指标值,获取每一所述风险指标的得分值;
第二分值获取单元,用于依据各个所述风险指标的得分值,获取综合分值;
等级获取单元,用于依据所述综合分值,获取所述信息安全事件的风险等级。
一种电子设备,包括:存储器和处理器;
所述存储器,用于存储程序;
所述处理器,用于执行所述程序,实现获取信息安全事件的风险等级的方法的各个步骤。
一种可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,实现获取信息安全事件的风险等级的方法的各个步骤。
由上述技术方案可以看出,本申请实施例提供的获取信息安全事件的风险等级的方法及相关装置,获取信息安全事件的预设的多项风险指标的指标值;依据每一风险指标的指标值,获取每一风险指标的得分值;依据各个风险指标的得分值,获取综合分值;依据综合分值,获取信息安全事件的风险等级。可见,本方法通过获取风险指标的得分值,将信息安全事件风险指标量化也即标准化,由于风险等级是通过多项风险指标的得分值获取的综合分值得到的,因此,风险等级能够表征多个维度的风险指标的指标值体现信息安全事件对信息系统安全性的影响程度,也即,本方法相对人为定级的现有技术,提供了一种自动化标准化的流程,提高了风险等级的准确性和客观性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种获取信息安全事件的风险等级的具体方法的流程示意图;
图2为本申请实施例提供的一种获取信息安全事件的风险等级的方法的流程示意图;
图3为本申请实施例提供的一种获取信息安全事件的风险等级的装置的结构示意图;
图4为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
在现有的信息安全领域,依据信息安全事件,人为的按照预先设置的划分规定(如下述提及的指南)将信息安全事件划分等级,例如,目前针对信息安全事件分类分级有GB/Z20986—2007《信息安全技术信息安全事件分类分级指南》,该指南对信息安全事件进行了分类以及分级处理的规定。该指南对信息安全事件的分级主要考虑三个要素:信息系统的重要程度、系统损失和社会影响。根据信息安全事件的分级考虑要素,将信息安全事件划分为四个级别:特别重大事件、重大事件、较大事件和一般事件。显然,虽然有规定作为参考,但是这种依据专家经验划分信息安全事件的方法具有以下缺点:
1、主观性极大,且由于影响划分结果的因素众多且复杂,人为划分的方法不可避免地具有准确性低的缺点。
2、非标准化的定性方法,细粒度低,划分结果的可参考性差。
因此,本申请提供了一种获取信息安全事件的风险等级的方法,目的在于通过自动化流程量化信息安全事件的风险,提高获取信息安全事件的风险等级的客观性和准确性。图1为本申请实施例提供的一种获取信息安全事件的风险等级的方法的流程示意图,如图1所示,本方法包括:
S101、获取信息安全事件的多项风险指标的指标值。
本实施例中,多项风险指标依据历史数据预设,具体的,在历史数据(包括历史信息安全事件以及指示历史安全事件对信息安全的威胁程度的历史参数)中查找,指标值变化对信息安全的威胁程度大于预设阈值的指标,作为风险指标。
例如,信息安全事件包括多项告警事件,在历史数据中,其他指标相同的情况下,告警事件数量越大,信息安全事件对信息安全的威胁程度越高,因此,将告警事件的数量作为一项风险指标。需要说明的是,指示历史安全事件对信息安全的威胁程度的历史参数包括但不限于信息泄露的概率(或次数)和信息系统崩溃的概率(或次数)等数据。
需要说明的是,由于每一风险指标通过大量的历史数据获取,因此,风险指标的指标值对信息系统的安全性的具有影响是客观且可通过客观数据追溯求证的。获取每一风险指标的指标值的方法包括多种,具体参见下述实施例。
S102、依据每一风险指标的指标值,获取每一风险指标的得分值。
本实施例中,目标风险指标为任意一项风险指标。目标风险指标的得分值为目标风险指标的指标值的量化值,目标风险指标为任意一项风险指标。目标风险指标的得分值越高,表示目标风险指标的指标值对信息安全的威胁程度越高。
需要说明的是,获取每一风险指标的得分值的具体方法包括多种,例如,
可选地,依据预设的参数对应表和每一风险指标的指标值,获取每一风险指标的得分值。
本实施例中,参数对应表包括风险指标的多个指标值范围和多个分值的对应关系,具体地,获取风险指标的指标值所处的指标值范围,并将该指标值范围对应的数值,作为风险指标的指标值对应的得分值。
本实施例中,参数对应表依据历史数据预先配置,可选地,按照指标值范围对信息安全的威胁程度预设指标值范围对应的数值,威胁程度越高,指标值范围对应的数值越大。
S103、依据各个风险指标的得分值,获取综合分值。
本实施例中,综合分值与每一风险指标的得分值均成正相关。
具体地,依据各个风险指标的得分值,获取综合分值的方法包括多种,例如,将各个风险指标的得分值加权相加得到综合分值,再例如,将各个风险指标的得分值加权平均得到综合分值。
S104、依据综合分值,获取信息安全事件的风险等级。
本实施例中,信息安全事件的风险等级指示信息安全事件对信息安全的威胁程度,信息安全事件的风险等级越高,信息安全事件对信息安全的威胁程度越高。
具体地,风险等级与综合分值成正相关,也即,综合分值越高,风险等级越高。依据综合分值,获取信息安全事件的风险等级的方法包括多种,具体可以参见下述实施例。
由上述技术方案可以看出,本申请实施例提供的一种获取信息安全事件的风险等级的方法,获取信息安全事件的预设的多项风险指标的指标值;依据每一风险指标的指标值,获取每一风险指标的得分值;依据各个风险指标的得分值,获取综合分值;依据综合分值,获取信息安全事件的风险等级。可见,本方法通过获取风险指标的得分值,将信息安全事件风险指标量化也即标准化,由于风险等级是通过多项风险指标的得分值获取的综合分值得到的,因此,风险等级能够表征多个维度的风险指标的指标值,对信息安全事件的安全性影响程度,也即,本方法相对人为定级的现有技术,提供了一种自动化标准化的流程,量化信息安全事件对信息安全的威胁程度,提高了风险等级的准确性和客观性。
需要说明的是,信息安全事件包括至少一项告警事件,告警事件的属性能够表征信息安全事件的攻击性,信息安全事件的所处环境也能够表征信息安全事件的影响范围,接下来,本实施例以多项风险指标项包括环境信息和告警信息为例,对本申请实施例提供的一种获取信息安全事件的风险等级的方法的具体实现方式进行说明,其中,环境信息包括:目标信息系统的安全保护等级和外部环境参数,告警信息包括告警事件的数量、攻击目标、以及攻击者属性。
图2为本申请实施例提供的一种获取信息安全事件的风险等级的具体方法的流程图,如图2所示,本方法具体包括:
S201、获取信息安全事件的预设的多项风险指标的指标值。
本实施例中,多项风险指标包括目标信息系统的安全保护等级、告警事件的数量、攻击目标、攻击者属性、以及外部环境参数。
具体地,获取信息安全事件的预设的多项风险指标的指标值包括:
1、获取目标信息系统的安全保护等级的指标值。
本实施例中,信息系统为安全事件所处的信息系统。
需要说明的是,根据信息系统在国家安全、经济建设、社会生活中的重要程度,以及一旦遭破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素,信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对相关公民、法人和其他组织的合法权益造成一般损害,但不危害国家安全、社会秩序和公共利益;
第二级,信息系统受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害或者特别严重损害,对社会秩序和公共利益造成危害,但不危害国家安全;
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重危害,或对国家安全造成危害;
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重危害,或对国家安全造成严重危害;
第五级,信息系统受到破坏后,会对国家安全造成特别严重危害。
本实施例中,获取目标信息系统的安全保护等级的指标值的方法参见现有技术。
2、获取告警事件的数量的指标值。
具体地,获取在预设时间段内告警事件的数量,具体方法包括多种,例如,依据网络流量监测设备产生的告警事件及其统计数据分析确定,具体参见现有技术,本实施例不做赘述。
3、获取攻击目标的指标值。
本实施例中,攻击目标的指标值依据各个告警事件的发生位置也即所在区域确定。
需要说明的是,告警事件所在区域可理解为告警事件影响的范围,显然事件发生在一个单位内部和发生在多个单位之间影响作用是不同的。告警事件所影响的区域,可以预先划分为单一单位信息安全系统、单一单位多个系统、多个单位、多个单位多个城市等。
需要说明的是,获取攻击目标的指标值具体方法包括多种,例如,依据告警事件和资产信息关联分析确定,具体参见现有技术,本实施例不做赘述。
4、获取攻击者属性的指标值。
本实施例中,攻击者属性依据各个告警事件的攻击者信息确定。
需要说明的是,不同属性的攻击者进行攻击对信息系统安全的影响是不同的,可选地,将攻击者属性按照影响范围由弱到强预先划分为:经济集团、国家级组织以及国际政治联盟。
需要说明的是,获取攻击者属性的指标值的具体方法包括多种,例如,依据威胁情报中或者攻击者画像数据中关于攻击者的描述和分类获取,具体参见现有技术,本实施例不做赘述。
5、外部环境参数的指标值。
具体地,当信息安全事件发生同期或一个时间段内,外部环境发生的事件也可以作为影响风险等级的关键性因素。可选地,外部环境参数具体包括特殊事件级别,特殊事件级别依据特殊事件名称、特殊时间开始时间、特殊时间结束时间、特殊时间级别、特殊事件影响系统、特殊事件影响地域范围确定,具体的获取外部环境参数的指标值的方法包括多种,例如,从背景信息知识库中分析获取外部环境参数的指标值,具体参见现有技术,本实施例不做赘述。
S202、利用ATT&CK模型,获取信息安全事件所属的攻击阶段,作为目标阶段。
本实施例中,ATT&CK模型(Adversarial Tactics,Techniques,and CommonKnowledge,攻击行为知识库和威胁建模模型)用于分析信息安全事件的攻击者行为的威胁分析框架。ATT&CK模型的具体结构参见现有技术,ATT&CK模型的输出为:以作为输入的各个告警事件的属性确定的信息安全事件所属的攻击阶段。
具体地,攻击阶段包括初始化、执行、常驻、提权、防御规避、访问凭证、发现、横向移动、收集、数据获取、命令和控制,这12个攻击阶段能够表征信息安全事件的攻击者从踩点到获取数据以及这一过程中的每一步骤。
需要说明的是,相较于其他模型,ATT&CK模型构建了一套更细粒度、更易共享的知识模型和框架,利用ATT&CK模型,获取信息安全事件所属的攻击阶段的方法具体参见现有技术。
S203、依据预设的第一参数对应表和目标信息系统的安全保护等级的指标值,获取目标信息系统的安全保护等级的得分值。
本实施例中,第一参数对应表包括各个安全保护等级和多个分值的对应关系。可选的一种第一参数对应表参见表1,如下:
表1第一参数对应表
序号 安全保护等级 分值
1 第一级 0
2 第二级 1
3 第三级 1
4 第四级 2
5 第五级 3
具体地,将目标信息系统的安全保护等级的指标值对应的分值,作为目标信息系统的安全保护等级的得分值。
例如,目标信息系统的安全保护等级为第三级,因此,目标信息系统的安全保护等级的得分值为1。
S204、依据预设的第二参数对应表、目标阶段、和告警事件的数量的指标值,获取告警事件的数量的得分值。
本实施例中,获取告警事件的数量的得分值的具体方法包括:
1、获取指示目标对应关系的第二参数对应表。
本实施例中,目标对应关系包括预设范围和预设分值的对应关系。其中,预设范围包括指标值取值范围和攻击阶段集合,攻击阶段集合包括至少一项攻击阶段。
可选的一种第二参数对应表参见表2,如下:
表2第二参数对应表
Figure BDA0003503501760000101
其中,事件数即为告警事件的数量。
2、依据告警事件的数量的指标值以及目标阶段,获取目标范围。
其中,目标范围包括:告警事件的数量的指标值所属的指标值取值范围和目标阶段所属的攻击阶段集合。
3、将目标范围对应的预设分值作为告警事件的数量的得分值。
例如,目标阶段为“横向移动”,所属的攻击阶段集合为表2中第三集合(序号3),事件数为80,所属的指标值取值范围为“10<事件数<=100”,因此,告警事件的数量的得分值为2。
S205、依据预设的第三参数对应表和攻击目标的指标值,获取攻击目标的得分值。
本实施例中,第三参数对应表包括各个攻击目标和多个分值的对应关系。可选的一种第三参数对应表参见表3,如下:
表3第三参数对应表
序号 攻击目标 分值
1 单一单位信息安全系统 1
2 多个单位或单一单位多个系统 2
3 多个单位多个城市 3
具体地,将攻击目标的指标值对应的分值,作为攻击目标的得分值。
例如,攻击目标为多个单位或单一单位多个系统,因此,攻击目标的得分值为2。
S206、依据预设的第四参数对应表和攻击者属性的指标值,获取攻击者属性的得分值。
本实施例中,第四参数对应表包括各个攻击者属性和多个分值的对应关系。可选的一种第四参数对应表参见表4,如下:
表4第四参数对应表
Figure BDA0003503501760000111
Figure BDA0003503501760000121
具体地,将攻击者属性的指标值对应的分值,作为攻击者属性的得分值。
例如,攻击者属性为经济集团,因此,攻击者属性的得分值为1。
S207、依据预设的第五参数对应表和外部环境参数的指标值,获取外部环境参数的得分值。
本实施例中,第五参数对应表包括各个外部环境参数和多个分值的对应关系,其中,外部环境参数具体包括特殊事件级别,可选的一种第五参数对应表参见表5,如下:
表5第五参数对应表
序号 特殊事件级别 分值
1 无事件以及影响较小事件 0
2 较为严重事件 1
3 重大事件 2
4 特别重大事件 3
具体地,将外部环境参数包括的特殊事件级别对应的分值,作为外部环境参数的得分值。
例如,外部环境参数包括的特殊事件级别为无事件以及影响较小事件,因此,外部环境参数的得分值为0。
S208、依据预设的权重系数,将各个风险指标的得分值加权相加。
本实施例中,权重系数依据每一风险指标的指标值变化对信息安全的威胁程度确定,威胁程度越大,权重系数越大。
S209、将加权相加的结果进行预设的标准化,得到综合分值。
需要说明的是,标准化方法包括多种,具体可以参见现有技术。
例如,表6示出了一种具体的多种风险指标的得分值。
表6风险指标打分表
Figure BDA0003503501760000122
Figure BDA0003503501760000131
本实施例中,按照公式1计算综合分值,如下:
Figure BDA0003503501760000132
其中,E为综合分值,ei为第i个风险指标的指标值,αi为第i个风险指标的权重系数,n为风险指标的数量。可选地,风险指标的权重系数依据实际应用预设,可选地,各个风险指标的权重系数相同,也即令
Figure BDA0003503501760000133
如表6,每一风险指标的权重系数相同均为1/5,则综合分值如下:
Figure BDA0003503501760000134
S210、获取预设的风险等级对应关系。
本实施例中,风险等级对应关系包括打分取值范围和预设风险等级的对应关系。
本实施例中,风险等级对应关系参数对应表依据历史数据预先配置,可选地,按照综合分值对信息安全的威胁程度预设打分取值范围对应的数值,打分取值范围对应的数值越大,打分取值范围内的综合分值指示信息安全事件对信息安全的威胁程度越高。
可选的一种风险等级对应关系如表7:
表7风险等级对应关系
Figure BDA0003503501760000135
Figure BDA0003503501760000141
S211、将综合分值所属的打分取值范围对应的预设风险等级作为信息安全事件的风险等级。
例如,综合分值为40,属于打分取值范围“33.3≤分值<66.7”,因此,信息安全事件的风险等级为Level 1,也即,信息安全事件对信息安全的威胁程较大。
S212、判断信息安全事件的风险等级是否超过预设的风险阈值。
S213、若是,生成并发送报警信息。
本实施例中,风险阈值为Level 0,也即当信息安全事件的风险等级大于Level0,则生成并发送报警信息。
需要说明的是,报警信息包括至少一项预设的告警数据项,可选的,告警数据项包括风险等级,还包括:风险指标和对应的指标值。报警信息的生成和发送方法参见现有技术,本实施例不做赘述。
需要说明的是,图2仅为本申请实施例提供的一种可选的获取信息安全事件的风险等级的具体方法,具体方法,本申请实施例还包括其他可选的具体方法。
例如,S202为本申请提供的一种可选的获取信息安全事件所属的攻击阶段的具体方法,可选地,本申请还提供另一种可选的获取信息安全事件所属的攻击阶段的具体方法,包括:利用网络杀链KillChain模型,获取信息安全事件所属的攻击阶段,作为目标阶段。需要说明的是,Kill Chain模型输出的攻击阶段包括:Reconnaissance(侦查)、Weaponization(武器化)、Delivery(传输)、Exploitation(挖掘)、Installation(植入)、C2:Command&Control(命令和控制)、和Actions on Objectives(操作目标)中任意一项。具体的Kill Chain模型参见现有技术。
再例如S203~S207为一种可选的获取各个风险指标的得分值的具体方法,可选地,在其他应用场景下,除了告警事件的数量之外,其他风险指标的得分值的获取方法也可以参见告警事件的数量的得分值的获取方法。
再例如S209仅为一种可选的综合分值的获取方法,还可以将加权求和的结果归一化得到得分结果。
由上述技术方案可以看出,本方法相对人为定级的现有技术,提供了一种自动化标准化的流程,量化信息安全事件对信息安全的威胁程度,提高了风险等级的准确性和客观性。
进一步,本方法中的风险指标为在历史数据(包括历史信息安全事件以及指示历史安全事件对信息安全的威胁程度的历史参数)中查找得到,风险指标的指标值变化对信息安全的威胁程度大于预设阈值的指标。
进一步,告警事件的数量对于信息系统安全的影响是非常关键的指标,告警事件的数量的变化,对信息安全的威胁程度大于预设阈值。进一步相同的告警事件的数量,处于ATT&CK不同初始范围阶段与已经对信息系统安全造成影响了的事件影响显然是不同。因此本方法,告警事件的数量的得分值考虑网络安全事件所处的ATT&CK模型的攻击阶段,在不同的攻击阶段,对告警事件的数量做不同的分值划分,提高告警事件的数量的得分值的准确性。
进一步,对于不同的信息系统或不同的应用场景,风险指标的具体指标项可以不同,也即本方法支持风险指标的定制化和可扩展性。
综上,本发明通过结合ATT&CK模型对信息安全事件的风险等级进行预测,获取得到目标信息系统的安全保护等级、告警事件的数量、告警事件所处的阶段、告警事件所在地域(攻击目标)、攻击者属性、以及外部环境参数等多个维度的风险指标,在《信息安全技术信息信息安全事件分类分级指南》对风险等级划分的基础上,实现信息安全事件的风险指标可量化,解决了指南定级指标较为粗糙,无法量化定级的问题。
图3示出了本申请实施例提供的一种获取信息安全事件的风险等级的装置的结构示意图,如图3所示,该装置可以包括:
指标获取单元301,用于获取信息安全事件的预设的多项风险指标的指标值;
第一分值获取单元302,用于依据每一所述风险指标的指标值,获取每一所述风险指标的得分值;
第二分值获取单元303,用于依据各个所述风险指标的得分值,获取综合分值;
等级获取单元304,用于依据所述综合分值,获取所述信息安全事件的风险等级。
可选地,信息安全事件包括至少一项告警事件,所述多项风险指标包括:
目标信息系统的安全保护等级、所述告警事件的数量、攻击目标、攻击者属性、以及外部环境参数,所述目标信息系统为所述安全事件所处的信息系统;
可选地,还包括阶段获取单元,用于在所述依据每一所述风险指标的指标值,获取每一所述风险指标的得分值之前,利用ATT&CK模型,获取所述信息安全事件所属的攻击阶段,作为目标阶段。
可选地,第一分值获取单元用于依据目标风险指标的指标值,获取所述目标风险指标的得分值,所述目标风险指标为所述多项风险指标中的任意一项;包括:第一分值获取单元具体用于:
获取目标对应关系,所述目标对应关系包括预设范围和预设分值的对应关系;其中,所述预设范围包括指标值取值范围和攻击阶段集合,所述攻击阶段集合包括至少一项攻击阶段;
依据所述目标风险指标的指标值以及所述目标阶段,获取目标范围,所述目标范围包括:所述目标风险指标的指标值所属的指标值取值范围和所述目标阶段所属的攻击阶段集合;
将所述目标范围对应的预设分值作为所述目标风险指标的得分值。
可选地,第二分值获取单元用于依据各个所述风险指标的得分值,获取综合分值,包括:第二分值获取单元具体用于:
依据预设的权重系数,将各个所述风险指标的得分值加权相加;
将所述加权相加的结果进行预设的标准化处理,得到所述综合分值。
可选地,等级获取单元,用于依据所述综合分值,获取所述信息安全事件的风险等级,包括:等级获取单元具体用于:
获取预设的风险等级对应关系,所述风险等级对应关系包括打分取值范围和预设风险等级的对应关系;
将所述综合分值所属的打分取值范围对应的预设风险等级作为所述信息安全事件的风险等级。
可选地,还包括报警单元,用于在所述依据所述综合分值,获取所述信息安全事件的风险等级之后,判断所述信息安全事件的风险等级是否超过预设的风险阈值;若是,生成并发送报警信息。
图4示出了本申请实施例提供的一种电子设备的结构示意图,该设备可以包括:至少一个处理器401,至少一个通信接口402,至少一个存储器403和至少一个通信总线404;
在本申请实施例中,处理器401、通信接口402、存储器403、通信总线404的数量为至少一个,且处理器401、通信接口402、存储器403通过通信总线404完成相互间的通信;
处理器401可能是一个中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路等;
存储器403可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory)等,例如至少一个磁盘存储器;
其中,存储器存储有程序,处理器可执行存储器存储的程序,实现本申请实施例提供的一种获取信息安全事件的风险等级的方法的各个步骤,如下:
一种获取信息安全事件的风险等级的方法,包括:
获取信息安全事件的预设的多项风险指标的指标值;
依据每一所述风险指标的指标值,获取每一所述风险指标的得分值;
依据各个所述风险指标的得分值,获取综合分值;
依据所述综合分值,获取所述信息安全事件的风险等级。
可选地,信息安全事件包括至少一项告警事件,所述多项风险指标包括:
目标信息系统的安全保护等级、所述告警事件的数量、攻击目标、攻击者属性、以及外部环境参数,所述目标信息系统为所述安全事件所处的信息系统;
可选地,在所述依据每一所述风险指标的指标值,获取每一所述风险指标的得分值之前,还包括:
利用ATT&CK模型,获取所述信息安全事件所属的攻击阶段,作为目标阶段。
可选地,依据目标风险指标的指标值,获取所述目标风险指标的得分值,所述目标风险指标为所述多项风险指标中的任意一项;包括:
获取目标对应关系,所述目标对应关系包括预设范围和预设分值的对应关系;其中,所述预设范围包括指标值取值范围和攻击阶段集合,所述攻击阶段集合包括至少一项攻击阶段;
依据所述目标风险指标的指标值以及所述目标阶段,获取目标范围,所述目标范围包括:所述目标风险指标的指标值所属的指标值取值范围和所述目标阶段所属的攻击阶段集合;
将所述目标范围对应的预设分值作为所述目标风险指标的得分值。
可选地,所述依据各个所述风险指标的得分值,获取综合分值,包括:
依据预设的权重系数,将各个所述风险指标的得分值加权相加;
将所述加权相加的结果进行预设的标准化处理,得到所述综合分值。
可选地,依据所述综合分值,获取所述信息安全事件的风险等级,包括:
获取预设的风险等级对应关系,所述风险等级对应关系包括打分取值范围和预设风险等级的对应关系;
将所述综合分值所属的打分取值范围对应的预设风险等级作为所述信息安全事件的风险等级。
可选地,在所述依据所述综合分值,获取所述信息安全事件的风险等级之后,还包括:
判断所述信息安全事件的风险等级是否超过预设的风险阈值;
若是,生成并发送报警信息。
本申请实施例还提供一种可读存储介质,该可读存储介质可存储有适于处理器执行的计算机程序,计算机程序被处理器执行时,实现本申请实施例提供的一种获取信息安全事件的风险等级的方法的各个步骤,如下:
一种获取信息安全事件的风险等级的方法,包括:
获取信息安全事件的预设的多项风险指标的指标值;
依据每一所述风险指标的指标值,获取每一所述风险指标的得分值;
依据各个所述风险指标的得分值,获取综合分值;
依据所述综合分值,获取所述信息安全事件的风险等级。
可选地,信息安全事件包括至少一项告警事件,所述多项风险指标包括:
目标信息系统的安全保护等级、所述告警事件的数量、攻击目标、攻击者属性、以及外部环境参数,所述目标信息系统为所述安全事件所处的信息系统;
可选地,在所述依据每一所述风险指标的指标值,获取每一所述风险指标的得分值之前,还包括:
利用ATT&CK模型,获取所述信息安全事件所属的攻击阶段,作为目标阶段。
可选地,依据目标风险指标的指标值,获取所述目标风险指标的得分值,所述目标风险指标为所述多项风险指标中的任意一项;包括:
获取目标对应关系,所述目标对应关系包括预设范围和预设分值的对应关系;其中,所述预设范围包括指标值取值范围和攻击阶段集合,所述攻击阶段集合包括至少一项攻击阶段;
依据所述目标风险指标的指标值以及所述目标阶段,获取目标范围,所述目标范围包括:所述目标风险指标的指标值所属的指标值取值范围和所述目标阶段所属的攻击阶段集合;
将所述目标范围对应的预设分值作为所述目标风险指标的得分值。
可选地,所述依据各个所述风险指标的得分值,获取综合分值,包括:
依据预设的权重系数,将各个所述风险指标的得分值加权相加;
将所述加权相加的结果进行预设的标准化处理,得到所述综合分值。
可选地,依据所述综合分值,获取所述信息安全事件的风险等级,包括:
获取预设的风险等级对应关系,所述风险等级对应关系包括打分取值范围和预设风险等级的对应关系;
将所述综合分值所属的打分取值范围对应的预设风险等级作为所述信息安全事件的风险等级。
可选地,在所述依据所述综合分值,获取所述信息安全事件的风险等级之后,还包括:
判断所述信息安全事件的风险等级是否超过预设的风险阈值;
若是,生成并发送报警信息。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种获取信息安全事件的风险等级的方法,其特征在于,包括:
获取信息安全事件的预设的多项风险指标的指标值;
依据每一所述风险指标的指标值,获取每一所述风险指标的得分值;
依据各个所述风险指标的得分值,获取综合分值;
依据所述综合分值,获取所述信息安全事件的风险等级。
2.根据权利要求1所述的方法,其特征在于,所述信息安全事件包括至少一项告警事件,所述多项风险指标包括:
目标信息系统的安全保护等级、所述告警事件的数量、攻击目标、攻击者属性、以及外部环境参数,所述目标信息系统为所述安全事件所处的信息系统。
3.根据权利要求2所述的方法,其特征在于,在所述依据每一所述风险指标的指标值,获取每一所述风险指标的得分值之前,还包括:
利用ATT&CK模型,获取所述信息安全事件所属的攻击阶段,作为目标阶段。
4.根据权利要求3所述的方法,其特征在于,依据目标风险指标的指标值,获取所述目标风险指标的得分值,所述目标风险指标为所述多项风险指标中的任意一项;包括:
获取目标对应关系,所述目标对应关系包括预设范围和预设分值的对应关系;其中,所述预设范围包括指标值取值范围和攻击阶段集合,所述攻击阶段集合包括至少一项攻击阶段;
依据所述目标风险指标的指标值以及所述目标阶段,获取目标范围,所述目标范围包括:所述目标风险指标的指标值所属的指标值取值范围和所述目标阶段所属的攻击阶段集合;
将所述目标范围对应的预设分值作为所述目标风险指标的得分值。
5.根据权利要求1所述的方法,其特征在于,所述依据各个所述风险指标的得分值,获取综合分值,包括:
依据预设的权重系数,将各个所述风险指标的得分值加权相加;
将所述加权相加的结果进行预设的标准化处理,得到所述综合分值。
6.根据权利要求1所述的方法,其特征在于,所述依据所述综合分值,获取所述信息安全事件的风险等级,包括:
获取预设的风险等级对应关系,所述风险等级对应关系包括打分取值范围和预设风险等级的对应关系;
将所述综合分值所属的打分取值范围对应的预设风险等级作为所述信息安全事件的风险等级。
7.根据权利要求1~6任一项所述的方法,其特征在于,在所述依据所述综合分值,获取所述信息安全事件的风险等级之后,还包括:
判断所述信息安全事件的风险等级是否超过预设的风险阈值;
若是,生成并发送报警信息。
8.一种获取信息安全事件的风险等级的装置,其特征在于,包括:
指标获取单元,用于获取信息安全事件的预设的多项风险指标的指标值;
第一分值获取单元,用于依据每一所述风险指标的指标值,获取每一所述风险指标的得分值;
第二分值获取单元,用于依据各个所述风险指标的得分值,获取综合分值;
等级获取单元,用于依据所述综合分值,获取所述信息安全事件的风险等级。
9.一种电子设备,其特征在于,包括:存储器和处理器;
所述存储器,用于存储程序;
所述处理器,用于执行所述程序,实现如权利要求1~7中任一项所述的获取信息安全事件的风险等级的方法的各个步骤。
10.一种可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现如权利要求1~7中任一项所述的获取信息安全事件的风险等级的方法的各个步骤。
CN202210133456.XA 2022-02-14 2022-02-14 一种获取信息安全事件的风险等级的方法及相关装置 Pending CN114491563A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210133456.XA CN114491563A (zh) 2022-02-14 2022-02-14 一种获取信息安全事件的风险等级的方法及相关装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210133456.XA CN114491563A (zh) 2022-02-14 2022-02-14 一种获取信息安全事件的风险等级的方法及相关装置

Publications (1)

Publication Number Publication Date
CN114491563A true CN114491563A (zh) 2022-05-13

Family

ID=81481073

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210133456.XA Pending CN114491563A (zh) 2022-02-14 2022-02-14 一种获取信息安全事件的风险等级的方法及相关装置

Country Status (1)

Country Link
CN (1) CN114491563A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117688616A (zh) * 2024-02-04 2024-03-12 广东省计算技术应用研究所 基于大数据的信息安全处理方法、装置、设备及存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117688616A (zh) * 2024-02-04 2024-03-12 广东省计算技术应用研究所 基于大数据的信息安全处理方法、装置、设备及存储介质
CN117688616B (zh) * 2024-02-04 2024-05-28 广东省计算技术应用研究所 基于大数据的信息安全处理方法、装置、设备及存储介质

Similar Documents

Publication Publication Date Title
CN109347801B (zh) 一种基于多源词嵌入和知识图谱的漏洞利用风险评估方法
CN109922069B (zh) 高级持续性威胁的多维关联分析方法及系统
CN112258093B (zh) 风险等级的数据处理方法及装置、存储介质、电子设备
Lin et al. Using machine learning to assist crime prevention
CN108494810A (zh) 面向攻击的网络安全态势预测方法、装置及系统
JP2018538587A (ja) リスク評価方法およびシステム
CN109672674A (zh) 一种网络威胁情报可信度识别方法
CN111460312A (zh) 空壳企业识别方法、装置及计算机设备
CN112132233A (zh) 一种基于有效影响因子的服刑人员危险行为预测方法及系统
CN107895008B (zh) 基于大数据平台的情报信息热点发现方法
CN113360580A (zh) 基于知识图谱的异常事件检测方法、装置、设备及介质
CN116756327B (zh) 基于知识推断的威胁情报关系抽取方法、装置和电子设备
CN113807940B (zh) 信息处理和欺诈行为识别方法、装置、设备及存储介质
CN110855716B (zh) 一种面向仿冒域名的自适应安全威胁分析方法及系统
CN110598959A (zh) 一种资产风险评估方法、装置、电子设备及存储介质
CN114491563A (zh) 一种获取信息安全事件的风险等级的方法及相关装置
CN114124484B (zh) 网络攻击识别方法、系统、装置、终端设备以及存储介质
CN117807245A (zh) 网络资产图谱中节点特征提取方法及相似节点搜索方法
Breier et al. On selecting critical security controls
KR101959213B1 (ko) 침해 사고 예측 방법 및 그 장치
CN102611714B (zh) 基于联系发现技术的网络入侵预测方法
CN114118680A (zh) 一种网络安全态势评估方法及系统
CN113971406A (zh) 网络节点语义信息挖掘方法、装置、存储介质及电子设备
CN112308294A (zh) 违约概率预测方法及装置
Wang et al. A principal component analysis-boosted dynamic Gaussian mixture clustering model for ignition factors of Brazil’s rainforests

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination