CN114666148B - 风险评估方法、装置及相关设备 - Google Patents
风险评估方法、装置及相关设备 Download PDFInfo
- Publication number
- CN114666148B CN114666148B CN202210335029.XA CN202210335029A CN114666148B CN 114666148 B CN114666148 B CN 114666148B CN 202210335029 A CN202210335029 A CN 202210335029A CN 114666148 B CN114666148 B CN 114666148B
- Authority
- CN
- China
- Prior art keywords
- event
- attack
- weight
- security
- evaluation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012502 risk assessment Methods 0.000 title claims abstract description 87
- 238000000034 method Methods 0.000 title claims abstract description 58
- 238000011156 evaluation Methods 0.000 claims abstract description 248
- 238000001514 detection method Methods 0.000 claims description 26
- 238000000605 extraction Methods 0.000 claims description 12
- 238000013507 mapping Methods 0.000 claims description 12
- 238000001914 filtration Methods 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 9
- 238000004364 calculation method Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 7
- 230000006399 behavior Effects 0.000 description 6
- 238000009792 diffusion process Methods 0.000 description 5
- 238000004422 calculation algorithm Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 239000000243 solution Substances 0.000 description 4
- 230000009385 viral infection Effects 0.000 description 4
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002411 adverse Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000009154 spontaneous behavior Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了风险评估方法、装置、设备、介质,应用于计算机安全领域,包括:在目标服务器发生安全事件的情况下,提取安全事件的事件特征;其中,事件特征包括第一事件特征和第二事件特征;基于第一事件特征,确定初始评估值;基于第二事件特征,确定评估权重值;基于评估权重值调节初始评估值,得到目标服务器的风险评估信息。应用本申请所提供的技术方案,能够综合安全事件本身和与安全事件相关的其他情况等多维度信息对安全事件的风险进行评估,而非仅将安全事件的威胁等级作为安全事件的风险等级,大大提高了风险评估结果的准确性。
Description
技术领域
本申请涉及计算机安全技术领域,特别涉及风险评估方法,还涉及风险评估装置、设备及计算机可读存储介质。
背景技术
目前市面上针对服务器的安全风险等级,都是简单的根据其对应发生的安全事件的危险等级来定义的,即服务器安全风险等级=发生的安全事件的最高等级。但是,这样的定义方法有着很大的局限性。首先,当发生的安全事件本身的风险等级定义存在失误时,会直接造成服务器风险状态评估结果的偏差;其次,不同安全事件发生在不同的攻击阶段也代表着完全不同的风险等级,例如,扫描类的安全事件本身危害有限(即低危级别),但若是出现在内网横向扩散阶段,则表示发起扫描的服务器已经存在一定程度的权限丢失,这类服务器被定义为低危风险是不合理的;最后,单个安全事件有很大的不确定性,若由于第三方原因(如误报场景等)影响安全事件的真实性,则对应服务器的风险状态也处于不可信状态。显然,单纯地将安全事件的风险等级作为服务器的风险等级,存在较大的不准确性。
因此,如何实现更为准确的风险评估是本领域技术人员亟待解决的问题。
发明内容
本申请的目的是提供风险评估方法,该风险评估方法可以实现更为准确的风险评估;本申请的另一目的是提供风险评估装置、设备及计算机可读存储介质,均具有上述有益效果。
第一方面,本申请提供了一种风险评估方法,包括:
在目标服务器发生安全事件的情况下,提取所述安全事件的事件特征;其中,所述事件特征包括第一事件特征和第二事件特征;
基于所述第一事件特征,确定初始评估值;
基于所述第二事件特征,确定评估权重值;
基于所述评估权重值调节所述初始评估值,得到所述目标服务器的风险评估信息。
可选地,所述第一事件特征包括所述安全事件的攻击阶段,所述基于所述第一事件特征,确定初始评估值,包括:
根据所述攻击阶段的攻击危害程度,确定所述安全事件的所述初始评估值。
可选地,所述第二事件特征包括所述安全事件的攻击来源,所述基于所述第二事件特征,确定评估权重值,包括:
确定初始权重;
根据所述攻击来源判断所述安全事件是否由所述目标服务器发起;
若所述攻击来源表明所述安全事件由所述目标服务器发起,则对所述初始权重进行加权,得到所述评估权重值;
若所述攻击来源表明所述安全事件不由所述目标服务器发起,则将所述初始权重确定为所述评估权重值。
可选地,所述第二事件特征包括所述安全事件的攻击结果,所述基于所述第二事件特征,确定评估权重值,包括:
确定初始权重;
根据所述攻击结果判断所述安全事件是否攻击成功;
若所述攻击结果表明攻击成功,则对所述初始权重进行加权,得到所述评估权重值;
若所述攻击结果表明攻击未成功,则将所述初始权重确定为所述评估权重值。
可选地,所述第二事件特征包括所述安全事件的攻击结果和攻击来源,所述基于所述第二事件特征,确定评估权重值,包括:
确定初始权重;
根据所述攻击来源判断所述安全事件是否由所述目标服务器发起;若所述攻击来源表明所述安全事件由所述目标服务器发起,则对所述初始权重进行加权,获得第一权重;若所述攻击来源表明所述安全事件不由所述目标服务器发起,则将所述初始权重确定为所述第一权重;
根据所述攻击结果判断所述安全事件是否攻击成功;若所述攻击结果表明攻击成功,则对所述第一权重进行加权,获得第二权重;若所述攻击结果表明攻击未成功,则将所述第一权重确定为所述第二权重;其中,所述第二权重为所述评估权重值。
可选地,还包括:
根据预先创建的评估信息与安全状态的映射关系,查询获得所述风险评估信息对应的安全状态。
第二方面,本申请还提供了一种风险评估方法,包括:
在目标服务器发生安全事件的情况下,提取所述安全事件的事件特征;其中,所述事件特征包括第一事件特征和第二事件特征;
基于所述目标服务器的历史安全检测数据,利用所述事件特征判断是否过滤所述安全事件;
若不过滤所述安全事件,则基于所述第一事件特征,确定初始评估值,并基于所述第二事件特征,确定评估权重值;
基于所述评估权重值调节所述初始评估值,得到所述目标服务器的风险评估信息。
可选地,所述事件特征包括攻击类型;
所述基于所述目标服务器的历史安全检测数据,利用所述事件特征判断是否过滤所述安全事件,包括:
基于历史安全检测数据,判断是否发生过相同攻击类型的历史安全事件;
若未发生过所述相同攻击类型的历史安全事件,则确定不过滤所述安全事件。
可选地,所述事件特征包括攻击类型和攻击阶段;
所述基于所述目标服务器的历史安全检测数据,利用所述事件特征判断是否过滤所述安全事件,包括:
基于所述历史安全检测数据,统计所述攻击阶段内历史安全事件对应的攻击类型的数量;
若所述数量未超出预设数量,则确定不过滤所述安全事件。
可选地,还包括:
获取所述目标服务器的历史评估信息;
根据所述历史评估信息和所述风险评估信息确定获得当前评估信息;
根据所述当前评估信息确定所述目标服务器的安全状态。
第三方面,本申请还提供了一种风险评估装置,包括:
特征提取模块,用于在所述目标服务器发生安全事件的情况下,提取所述安全事件的事件特征;其中,所述事件特征包括第一事件特征和第二事件特征;
初始确定模块,用于基于所述第一事件特征,确定初始评估值;
权重确定模块,用于基于所述第二事件特征,确定评估权重值;
信息生成模块,用于基于所述评估权重值调节所述初始评估值,得到所述目标服务器的风险评估信息。
第四方面,本申请还提供了一种风险评估装置,包括:
特征提取模块,用于在所述目标服务器发生安全事件的情况下,提取所述安全事件的事件特征;其中,所述事件特征包括第一事件特征和第二事件特征;
过滤判断模块,用于基于所述目标服务器的历史安全检测数据,利用所述事件特征判断是否过滤所述安全事件;
确定模块,用于若不过滤所述安全事件,则基于所述第一事件特征,确定初始评估值,并基于所述第二事件特征,确定评估权重值;
信息生成模块,用于基于所述评估权重值调节所述初始评估值,得到所述目标服务器的风险评估信息。
第五方面,本申请还提供了一种风险评估设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现上述的风险评估方法的步骤。
第六方面,本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述的风险评估方法的步骤。
本申请所提供的一种风险评估方法,包括:在目标服务器发生安全事件的情况下,提取安全事件的事件特征;其中,事件特征包括第一事件特征和第二事件特征;基于第一事件特征,确定初始评估值;基于第二事件特征,确定评估权重值;基于评估权重值调节初始评估值,得到目标服务器的风险评估信息。
可见,本申请所提供的风险评估方法,当目标服务器发生安全事件时,对该安全事件进行特征提取,得到事件特征,事件特征中包括第一时间特征和第二事件特征,第一事件特征能够表征安全事件本身的威胁,第二事件特征能够表征与安全事件相关的其他情况对安全事件的威胁大小的影响。因此,可以基于第一事件特征得到初始评估值,并基于第二事件特征确定评估权重值,进而利用评估权重值调节初始评估值,得到风险评估信息。可见,该实施方式能够综合安全事件本身和与安全事件相关的其他情况等多维度信息对安全事件的风险进行评估,而非仅将安全事件的威胁等级作为安全事件的风险等级,大大提高了风险评估结果的准确性。
本申请所提供的一种风险评估装置、设备及计算机可读存储介质,均具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明现有技术和本申请实施例中的技术方案,下面将对现有技术和本申请实施例描述中需要使用的附图作简要的介绍。当然,下面有关本申请实施例的附图描述的仅仅是本申请中的一部分实施例,对于本领域普通技术人员来说,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图,所获得的其他附图也属于本申请的保护范围。
图1为本申请所提供的一种风险评估方法的流程示意图;
图2为本申请所提供的一种安全事件风险评估方法的流程示意图;
图3为本申请所提供的另一种风险评估方法的流程示意图;
图4为本申请所提供的一种风险评估装置的结构示意图;
图5为本申请所提供的另一种风险评估装置的结构示意图;
图6为本申请所提供的一种风险评估设备的结构示意图。
具体实施方式
本申请的核心是提供一种风险评估方法,该风险评估方法可以实现更为准确的风险评估;本申请的另一核心是提供一种风险评估装置、设备及计算机可读存储介质,也具有上述有益效果。
为了对本申请实施例中的技术方案进行更加清楚、完整地描述,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行介绍。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供了一种风险评估方法。
请参考图1,图1为本申请所提供的一种风险评估方法的流程示意图,该风险评估方法可包括:
S101:在目标服务器发生安全事件的情况下,提取安全事件的事件特征;
本步骤旨在实现安全事件的特征提取,该安全事件即为发生于目标服务器中的网络攻击事件,目标服务器则为需要进行状态评估的服务器。
需要说明的是,本申请实施例中实现风险评估的执行主体可以为与目标服务器相连接的评估设备,用于对目标服务器中发生的安全事件进行监控和探测,以便基于该安全事件对目标服务器进行状态评估。
在实际场景下,评估设备可以对目标服务器进行定时或实时或根据接收到的评估指令对目标服务器进行监测,以确定其中是否发生有安全事件;进一步,当确定目标服务器中发生有安全事件时,则可以对该安全事件进行特征提取,以获得相应的事件特征。其中,特征提取过程可以通过相应的特征提取算法或特征匹配算法等实现,本申请在此不再赘述。
需要说明的是,本申请中的事件特征包括第一事件特征和第二事件特征,第一时间特征,是指能够表征安全事件中的网络攻击本身的威胁程度的特征,第二事件特征,是指能够表征与安全事件相关的其他能够对网络攻击的威胁程度造成影响的特征。第一事件特征和第二事件特征的具体内容不做限定。例如在一种可行的实施方式中,安全事件的攻击阶段特征、和/或,攻击类型特征,能够作为第一事件特征,因为网络攻击所属的攻击阶段的不同,网络攻击的威胁程度不同;或者,不同类型的攻击手段带来的威胁程度不同;或者,同一类型的攻击手段在不同的攻击阶段发起攻击,带来的威胁程度不同。因此,可以根据需要灵活设定第一事件特征的内容。
此外,能够对网络攻击的威胁程度造成影响的其他特征也可能存在多种,例如攻击是否成功(即攻击结果),与网络攻击本身带来的威胁不同,即便攻击不成功,该安全事件中的网络攻击同样对目标服务器造成了威胁,但是如果攻击成功,则威胁必然更大;或者,攻击的发起端(即攻击来源)是服务器内部还是外部,无论是哪一个,网络攻击本身都具有一定的威胁,但是来自服务器内部的网络攻击的威胁相对更大,因为其表明服务器的权限在一定程度上的丢失。
由此可见,在一种实施方式中,事件特征可以包括攻击阶段、攻击来源以及攻击结果这三种特征。
其中,攻击阶段属于第一事件特征,其是指当前安全事件所处的阶段,通常的,业界根据网络攻击发生的先后顺序和攻击链的流程将攻击分为:信息收集、攻击利用、权限控制、横向扩散、目的达成和感染病毒六个阶段,每个阶段分别代表不同目的的攻击,在各个阶段中,可以采用多种不同类型的攻击手段以实现其攻击目的。
攻击来源和攻击结果属于第二事件特征,其中,攻击来源是指发起当前安全事件的主体设备,安全事件的攻击来源分为内部攻击和外部攻击,即由服务器自身发起的针对自身的网络攻击,和来自于服务器之外的其它设备的网络攻击,显然,服务器自发的行为影响会更大,因为服务器自身发起的攻击行为要比其被动遭受的攻击更有风险,这代表着服务器的权限在一定程度上的丢失。
攻击结果是指当前安全事件发起后所产生的结果,攻击失败或攻击成功,可以理解的是,成功的攻击行为一定比失败的攻击行为造成的影响和风险更大。
当然,在此基础上,还可以根据实际需求增设其他类型的事件特征作为第一事件特征或第二事件特征,以进一步提高风险评估结果的准确性,本申请对此不做限定。
S102:基于第一事件特征,确定初始评估值。
S103:基于第二事件特征,确定评估权重值。
为了便于说明,对S102和S103两个步骤进行整体说明。
初始评估值,是指用于表征安全事件本身的威胁程度的评估值;评估权重值,是指用于基于安全事件本身以外的其他因素对安全事件的威胁程度进行调节的权重。本实施例并不限定初始评估值和评估权重值的具体确定方式,在一种实施方式中,可以按照预设特征评估规则实现对第一事件特征和/或第二事件特征的处理。其中,预设特征评估规则为技术人员根据实际需求预先设定的评估规则,可预存于相应的存储空间,以便直接调用。此外,预设特征评估规则的具体内容并不唯一,可以为利用相关计算公式实现初始评估值和/或评估权重值的计算,也可以利用预先建立的网络模型实现对初始评估值和/或评估权重值的评估,还可以是对于第一事件特征和/或第二事件特征的特征值的判断规则,本申请对此不做限定。
可以理解的是,根据第一事件特征和/或第二时间特征的具体内容不同,确定初始评估值和/或评估权重值的方式可以不同。例如在一种实施方式中,第一事件特征包括安全事件的评估阶段,则确定初始评估值的过程可以为:
步骤11:根据攻击阶段的攻击危害程度,确定安全事件的初始评估值。
可以理解的是,不同攻击阶段的攻击目的不同,为了而不同的攻击目的对目标服务器的威胁程序不同,例如信息收集阶段的攻击并不能对目标服务器进行实质上的威胁,仅造成了一定的风险,而感染病毒阶段的攻击能够直接对目标服务器造成威胁,很可能直接导致其被攻击者破坏或控制。因此,不同攻击阶段的网络攻击实质威胁程度不同,在确定安全事件的本申请的威胁程度,即初始评估值时,可以根据攻击阶段所要实现的攻击目的的危害程度,即攻击危害程度进行确定。
在一种实施方式中,由于不同的攻击阶段(信息收集、攻击利用、权限控制、横向扩散、目的达成和感染病毒)在整个攻击流程中具有先后顺序,前一个攻击阶段的目的达到才能够开始执行下一个攻击阶段,因此可以理解的是,随着攻击阶段的不断深入,攻击者的攻击流程趋于完成,对于目标服务器来说,攻击的危害程度也就越来越大,即收到的威胁越来越大。在这种情况下,攻击阶段的攻击危害程度可以与攻击阶段的先后顺序相关,即越靠前的攻击阶段的攻击危害程度越小,越靠后则越大。在另一种实施方式中,各个攻击阶段的威胁程度并不一定是逐渐增加的,例如在权限控制之后,横向扩散的网络攻击不会对目标服务器造成较大威胁,因此该阶段的危害程度可能更小,具体可以根据需要设定各个攻击阶段的攻击危害程序。
本实施例并不限定基于攻击危害程度得到初始评估值的具体方式,在一种实施方式中,攻击危害程度本身即为数值形式,可以直接确定为初始评估值。在另一种实施方式中,可以通过查表等形式,确定攻击危害程度对应的初始评估值。在另一种实施方式中,同一个攻击危害程度对应的候选评估值的数量可以为多个,各个候选评估值对应于不同的其他事件特征,例如攻击类型特征等,在确定候选评估值后,利用其他的事件特征对其进行筛选,从中选择得到初始评估值。
对于第二事件特征来说,根据其内容不同,确定评估权重值的方式也不同,当存在多个第二事件特征时,评估权重值的确定需要综合考虑其中的每一个。具体的,在一种实施方式中,若第二事件特征包括安全事件的攻击来源,则确定评估权重值的过程可以包括:
步骤21:确定初始权重。
步骤22:根据攻击来源判断安全事件是否由目标服务器发起。
步骤23:若攻击来源表明安全事件由目标服务器发起,则对初始权重进行加权,得到评估权重值。
步骤24:若攻击来源表明安全事件不由目标服务器发起,则将初始权重确定为评估权重值。
其中,初始权重,是评估权重值生成的基础,具体大小不做限定,例如可以为1。需要说明的是,初始权重的大小可以不固定,例如在一种实施方式中,初始权重可以与某个或某些事件特征相对应,例如可以与攻击阶段相对应,即不同的攻击阶段对应的初始权重不同。本申请中,可以基于第二事件特征对初始权重进行调节,进而得到评估权重值。本实施方式中,若攻击来源表明有目标服务器自身发起,则该安全事件要比其被动遭受的攻击更有威胁,因此,对于服务器主动发起的安全事件的权重应当有所增加,即对初始权重进行加权,得到评估权重值。否则,可以直接将初始权重值确定为评估权重值。
在另一种实施方式中,第二事件特征包括安全事件的攻击结果,此时确定评估权重值的过程可以包括:
步骤31:确定初始权重。
步骤32:根据攻击结果判断安全事件是否攻击成功。
步骤33:若攻击结果表明攻击成功,则对初始权重进行加权,得到评估权重值。
步骤34:若攻击结果表明攻击未成功,则将初始权重确定为评估权重值。
由于成功的攻击行为一定比失败的攻击行为造成的影响和风险更大,因此,对于攻击成功的安全事件造成的影响应该被进一步加权,即在攻击结果表明攻击成功是对初始权重进一步增大,得到评估权重值。
在另一种实施方式中,第二事件特征包括安全事件的攻击结果和攻击来源,在这种情况下,需要综合考虑攻击结果和攻击来源两个方面,确定评估权重值,整个过程可以包括:
步骤41:确定初始权重。
步骤42:根据攻击来源判断安全事件是否由目标服务器发起;若攻击来源表明安全事件由目标服务器发起,则对初始权重进行加权,获得第一权重;若攻击来源表明安全事件不由目标服务器发起,则将初始权重确定为第一权重。
步骤43:根据攻击结果判断安全事件是否攻击成功;若攻击结果表明攻击成功,则对第一权重进行加权,获得第二权重;若攻击结果表明攻击未成功,则将第一权重确定为第二权重。
其中,第二权重即为评估权重值。需要说明的是,加权处理可以为固定比例增加或固定数值增加的处理,固定比例和固定数值的大小具体不做限定。
此外,S102步骤和S103步骤可以串行执行或并行执行,具体执行顺序不做限定。
S104:基于评估权重值调节初始评估值,得到目标服务器的风险评估信息。
在得到评估权重值和初始评估值后,可以基于评估权重值对初始评估值进行调节,具体的,调节操作可以为二者相乘的操作,或者可以为二者相加的操作。在调节完毕后,即可得到风险评估信息,该信息能够表征安全事件对目标服务器的威胁程度,风险评估信息可以为数字形式。
此外,在需要时,还可以根据预先创建的评估信息与安全状态的映射关系,查询获得风险评估信息对应的安全状态。其中,安全状态具体可以为风险等级,如可以分为低风险、中风险以及高风险,当然,还可以根据实际情况进行更为细化的划分。在具体实现过程中,可以预先创建风险评估值与风险等级的映射关系,由此,在基于预设特征评估规则获得风险评估值之后,即可从该映射关系中查询到该风险评估值对应的风险等级,从而实现目标服务器当前安全状态的确定。其中,风险评估值与风险等级之间的映射关系由技术人员根据历史经验预先创建,可预存于相应的存储空间,在使用时直接调取即可。
更进一步地,对于目标服务器中所发生的每一个安全事件,可以对其相关信息进行记录,如每一个安全事件提取到的事件特征、计算得到的风险评估值、评估得到的安全状态等,以便后续进行问题溯源。
此外,在确定目标服务器的安全状态处于危险状态或高风险状态时,还可以输出告警提示,以及时提醒技术人员目标服务器当前存在较高风险,便于技术人员及时进行安全防护。其中,告警提示具体可以为指示灯提示、蜂鸣器提示、页面弹窗提示等,本申请对此不做限定。
可见,本申请所提供的风险评估方法,当目标服务器发生安全事件时,对该安全事件进行特征提取,得到事件特征,事件特征中包括第一时间特征和第二事件特征,第一事件特征能够表征安全事件本身的威胁,第二事件特征能够表征与安全事件相关的其他情况对安全事件的威胁大小的影响。因此,可以基于第一事件特征得到初始评估值,并基于第二事件特征确定评估权重值,进而利用评估权重值调节初始评估值,得到风险评估信息。可见,该实施方式能够综合安全事件本身和与安全事件相关的其他情况等多维度信息对安全事件的风险进行评估,而非仅将安全事件的威胁等级作为安全事件的风险等级,大大提高了风险评估结果的准确性。
请参考图2,图2为本申请所提供的一种安全事件风险评估方法的流程示意图。
当检测到安全事件发生并提取获得事件特征之后,首先根据该安全事件所处的攻击阶段确定安全事件的初始评估值,可以理解的是,由于不同攻击阶段的攻击对服务器可能造成的危害程度是不同的,因此,各个攻击阶段的安全事件在对服务器风险状态评估中的参考权重是不同的,对于处于高风险阶段的攻击应该有所偏重,对于低风险阶段的攻击则应该弱化其在整体风险评估中的参考权重,如图2所示:信息搜集阶段初始评估值为1,攻击利用阶段初始评估值为1.5,权限控制阶段初始评估值为2.5,横向扩散阶段初始评估值为2,目的达成阶段初初始评估值为3,感染病毒阶段初始评估值为5。
然后根据攻击来源判断安全事件是否由目标服务器主动发起,由于服务器自身发起的攻击行为要比其被动遭受的攻击更有风险,因此,对于服务器主动发起的安全事件的权重应当有所增加,因此,当安全事件由目标服务器主动发起时,可以在原本的分值基础上加权50%,得到第一评估值,第一评估值即为第一权重与初始评估值的乘积,否则,保持分值不变,初始评估值即为第一评估值,即表示未对初始权重值1进行任何处理,将其直接确定为第一权重值。
进一步,根据攻击结果判断安全事件是否攻击成功,由于成功的攻击行为一定比失败的攻击行为造成的影响和风险更大,因此,对于攻击成功的安全事件造成的影响应该被进一步加权,这样可以更客观的反应出服务器的风险特征,因此,当安全事件攻击成功时,在分值基础上再加权100%,获得第二评估值,第二评估值即为第二权重与初始评估值的乘积,本实施例中,第二权重即为第一权重的2倍,第一权重为初始权重的1.5倍。否则,保持第一权重不变,将第一权重确定为第二权重,并将第二权重与初始评估值相乘,得到评估权重值。
基于上述实施例,在实际应用中,安全事件可能会被连续触发,但是安全事件较多并不一定代表着服务器的安全形势糟糕,其中有很多无效或重复的安全事件。在这种情况下,为了节省计算资源,同时准确表征服务器的安全状态,可以对安全事件进行过滤处理。具体的,请参考图3,图3为本申请所提供的另一种风险评估方法的流程示意图,包括:
S301:在目标服务器发生安全事件的情况下,提取安全事件的事件特征。
S302:基于目标服务器的历史安全检测数据,利用事件特征判断是否过滤安全事件。
S303:若不过滤安全事件,则基于第一事件特征,确定初始评估值,并基于第二事件特征,确定评估权重值。
S304:基于评估权重值调节初始评估值,得到目标服务器的风险评估信息。
其中,S302步骤中,历史安全检测数据,是指记录了本次检测到安全事件之前其他历史安全事件的信息的数据,该信息具体可以为检出时间、历史安全事件的事件特征、历史安全事件的历史评估信息等。历史安全检测数据可以按照预设周期进行清空更新,预设周期的大小不做限定。
值得注意的是,服务器根据部署方式的不同,可能发生的安全事件的类型是有所偏重的。例如,部署在边界的服务器更容易遭受互联网的攻击,也就是易于发生信息搜集和攻击利用阶段的安全事件;如果服务器部署在内网,则更多的会产生横向扩散阶段的安全事件。单一攻击阶段的攻击类型是相似的,重复的触发对准确评估目标服务器的安全状态有着较大的不利影响。因此,在一种实施方式中,事件特征包括攻击类型,攻击类型用于表征具体的攻击手段,例如SQL(Structured Query Language)注入攻击、命令执行攻击等。此时基于目标服务器的历史安全检测数据,利用事件特征判断是否过滤安全事件的过程可以包括:
步骤51:基于历史安全检测数据,判断是否发生过相同攻击类型的历史安全事件。
步骤52:若未发生过相同攻击类型的历史安全事件,则确定不过滤安全事件。
在实际实现场景中,在检测到目标服务器发生安全事件,并提取获得事件特征之后,对该事件特征进行风险评估信息计算之前,可以先确定当前安全事件的攻击类型,以判定该攻击类型的安全事件是否已经发生过,若已经发生过,则将其过滤,不再对其进行处理,继续检测下一个安全事件即可,如若未发生过,则不对齐记性过滤,进入S303步骤。
在另一种实施方式中,事件特征包括攻击类型和攻击阶段,此时基于目标服务器的历史安全检测数据,利用事件特征判断是否过滤安全事件的过程可以包括:
步骤61:基于历史安全检测数据,统计攻击阶段内历史安全事件对应的攻击类型的数量。
步骤62:若数量未超出预设数量,则确定不过滤安全事件。
值得注意的是,由于服务器的部署方式会造成产生的安全事件属性往一个方向偏重,因此,同一个阶段的纳入风险评估的因素应是有限的,同一阶段发生过多安全事件应弱化和消除其中的权重占比。
在实际实现场景中,在计算风险评估信息之前,还可以进一步统计该攻击阶段内已发生安全事件的攻击类型的数量,如若该数量未超出预设数量,则不进行过滤,可以继续按照预设特征评估规则对事件特征进行处理,即生成风险评估信息。否则,说明该阶段的安全事件已经较多,再多的不同攻击类型的安全时间也不会对服务器的安全状态造成明显影响,因此可以对其进行过滤,不再对其进行处理,继续检测下一个安全事件即可。其中,预设数量的具体取值并不影响本技术方案的实施,由技术人员根据实际需求和历史经验进行设定即可,本申请对此不做限定。
需要说明的是,上述的两种过滤方式可以同时使用,两种过滤方式的具体先后执行顺序不做限定。
在一种可行的实施方式中,在确定目标服务器的安全状态时,还可以考虑到历史安全事件。具体的,可以获取目标服务器的历史评估信息,并根据历史评估信息和风险评估信息确定获得当前评估信息,进而根据当前评估信息确定目标服务器的安全状态。
在利用安全事件的风险评估信息实现目标服务器安全状态的确定的基础上,还可以结合目标服务器的历史评估值对目标服务器进行进一步评估,以有效提高风险评估结果的准确性。
具体而言,在得到风险评估信息之后,可进一步调取目标服务器的历史评估信息,具体可以从历史安全检测数据中得到,该历史评估信息即为当前安全事件发生之前的评估信息,也即最新、最接近的评估信息;然后,结合该历史评估信息和风险评估信息计算获得当前评估信息,如加和计算、加权计算等;最后,根据该当前评估信息确定目标服务器的安全状态即可。
其中,历史评估信息可以为目标服务器在一个评估周期内所记录的评估信息,也就是说,从一个评估周期开始时,可以对目标服务器在该评估周期内所发生的所有安全事件进行评估累计,得到每次安全事件发生后累计的评估信息作为新的历史评估信息。进一步,在一个时钟周期结束后,可将历史评估信息自动归零,开始下一个评估周期的记录,当然,在历史评估信息归零之前,可以对本评估周期的评估结果,也即本评估周期的风险评估结果进行记录,以便于进行问题溯源。其中,评估周期的具体取值并不影响本技术方案的实施,例如,可以为一天,也可以为一周,由技术人员根据实际需求进行设定即可,本申请对此不做限定。
在本申请的一个实施例中,上述根据当前评估信息确定目标服务器的安全状态,可以包括:根据预先创建的评估信息与安全状态的映射关系,查询获得当前评估信息对应的安全状态。
本申请实施例提供一种根据当前评估信息确定目标服务器安全状态的评估方法,同样的,可以预先创建评估信息与安全状态之间的映射关系,在计算获得当前评估信息之后,即可在映射关系中查询获得当前评估信息对应的安全状态。其中,评估信息与安全状态的映射关系由技术人员根据历史经验预先创建,可预存于相应的存储空间,在使用时直接调取即可。
在本申请的一个实施例中,该风险评估方法还可以包括:保存当前评估信息,并将历史评估信息删除。
本申请实施例所提供的风险评估方法可以实现评估信息的更新,在基于目标服务器中当前新发生的安全事件评估得到当前评估信息时,即可将该当前评估信息作为历史评估信息进行保存,并将原始的历史评估信息删除,以避免不必要的资源占用,由此,当目标服务器发生新的安全事件时,则可以结合该新的历史评估信息对目标服务器进行状态评估。其中,历史评估信息的存储位置并不影响本技术方案的实施,可与上述映射关系、预设特征评估规则等一同存储,本申请对此不做限定。
本申请还提供了一种风险评估装置,请参考图4,图4为本申请所提供的一种风险评估装置的结构示意图,该风险评估装置可包括:
特征提取模块110,用于在目标服务器发生安全事件的情况下,提取安全事件的事件特征;其中,事件特征包括第一事件特征和第二事件特征;
初始确定模块120,用于基于第一事件特征,确定初始评估值;
权重确定模块130,用于基于第二事件特征,确定评估权重值;
信息生成模块140,用于基于评估权重值调节初始评估值,得到目标服务器的风险评估信息。
可选地,第一事件特征包括安全事件的攻击阶段,初始确定模块120,包括:
初始评估值确定单元,用于根据攻击阶段的攻击危害程度,确定安全事件的初始评估值。
可选地,第二事件特征包括安全事件的攻击来源,权重确定模块130,包括:
初始权重确定单元,用于确定初始权重;
发起判断单元,用于根据攻击来源判断安全事件是否由目标服务器发起;
第一调节单元,用于若攻击来源表明安全事件由目标服务器发起,则对初始权重进行加权,得到评估权重值;
第一确定单元,用于若攻击来源表明安全事件不由目标服务器发起,则将初始权重确定为评估权重值。
可选地,第二事件特征包括安全事件的攻击结果,权重确定模块130,包括:
初始权重确定单元,用于确定初始权重;
攻击成功判断单元,用于根据攻击结果判断安全事件是否攻击成功;
第二调节单元,用于若攻击结果表明攻击成功,则对初始权重进行加权,得到评估权重值;
第二确定单元,用于若攻击结果表明攻击未成功,则将初始权重确定为评估权重值。
可选地,第二事件特征包括安全事件的攻击结果和攻击来源,权重确定模块130,包括:
初始权重确定单元,用于确定初始权重;
第三调节单元,用于根据攻击来源判断安全事件是否由目标服务器发起;若攻击来源表明安全事件由目标服务器发起,则对初始权重进行加权,获得第一权重;若攻击来源表明安全事件不由目标服务器发起,则将初始权重确定为第一权重;
第四调节单元,用于根据攻击结果判断安全事件是否攻击成功;若攻击结果表明攻击成功,则对第一权重进行加权,获得第二权重;若攻击结果表明攻击未成功,则将第一权重确定为第二权重;其中,第二权重为评估权重值。
可选地,还包括:
安全状态确定单元,用于根据预先创建的评估信息与安全状态的映射关系,查询获得风险评估信息对应的安全状态。
本申请还提供了一种风险评估装置,请参考图5,图5为本申请所提供的另一种风险评估装置的结构示意图,该风险评估装置可包括:
特征提取模块210,用于在目标服务器发生安全事件的情况下,提取安全事件的事件特征;其中,事件特征包括第一事件特征和第二事件特征;
过滤判断模块220,用于基于目标服务器的历史安全检测数据,利用事件特征判断是否过滤安全事件;
确定模块230,用于若不过滤安全事件,则基于第一事件特征,确定初始评估值,并基于第二事件特征,确定评估权重值;
信息生成模块240,用于基于评估权重值调节初始评估值,得到目标服务器的风险评估信息。
可选地,事件特征包括攻击类型;
过滤判断模块220,包括:
攻击类型判断单元,用于基于历史安全检测数据,判断是否发生过相同攻击类型的历史安全事件;
第一不过滤单元,用于若未发生过相同攻击类型的历史安全事件,则确定不过滤安全事件。
可选地,事件特征包括攻击类型和攻击阶段;
过滤判断模块220,包括:
攻击类型统计单元,用于基于历史安全检测数据,统计攻击阶段内历史安全事件对应的攻击类型的数量;
第二不过滤单元,用于若数量未超出预设数量,则确定不过滤安全事件。
可选地,还包括:
历史信息获取模块,用于获取目标服务器的历史评估信息;
当前信息生成模块,用于根据历史评估信息和风险评估信息确定获得当前评估信息;
安全状态确定模块,用于根据当前评估信息确定目标服务器的安全状态。
本申请还提供了一种风险评估设备,请参考图6,图6为本申请所提供的一种风险评估设备的结构示意图,该风险评估设备可包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时可实现如上述任意一种风险评估方法的步骤。
如图4所示,为风险评估设备的组成结构示意图,风险评估设备可以包括:处理器10、存储器11、通信接口12和通信总线13。处理器10、存储器11、通信接口12均通过通信总线13完成相互间的通信。
在本申请实施例中,处理器10可以为中央处理器(Central Processing Unit,CPU)、特定应用集成电路、数字信号处理器、现场可编程门阵列或者其他可编程逻辑器件等。
处理器10可以调用存储器11中存储的程序,具体的,处理器10可以执行风险评估方法的实施例中的操作。
存储器11中用于存放一个或者一个以上程序,程序可以包括程序代码,程序代码包括计算机操作指令,在本申请实施例中,存储器11中至少存储有用于实现以下功能的程序:
在目标服务器发生安全事件的情况下,提取安全事件的事件特征;其中,事件特征包括第一事件特征和第二事件特征;
基于第一事件特征,确定初始评估值;
基于第二事件特征,确定评估权重值;
基于评估权重值调节初始评估值,得到目标服务器的风险评估信息。
和/或,
在目标服务器发生安全事件的情况下,提取安全事件的事件特征;其中,事件特征包括第一事件特征和第二事件特征;
基于目标服务器的历史安全检测数据,利用事件特征判断是否过滤安全事件;
若不过滤安全事件,则基于第一事件特征,确定初始评估值,并基于第二事件特征,确定评估权重值;
基于评估权重值调节初始评估值,得到目标服务器的风险评估信息。
此外,存储器11可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件或其他易失性固态存储器件。
通信接口12可以为通信模块的接口,用于与其他设备或者系统连接。
当然,需要说明的是,图4所示的结构并不构成对本申请实施例中风险评估设备的限定,在实际应用中风险评估设备可以包括比图4所示的更多或更少的部件,或者组合某些部件。
本申请还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时可实现如上述任意一种风险评估方法的步骤。
该计算机可读存储介质可以包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
对于本申请提供的计算机可读存储介质的介绍请参照上述方法实施例,本申请在此不做赘述。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM或技术领域内所公知的任意其它形式的存储介质中。
以上对本申请所提供的技术方案进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请的保护范围内。
Claims (13)
1.一种风险评估方法,其特征在于,包括:
在目标服务器发生安全事件的情况下,提取所述安全事件的事件特征;其中,所述事件特征包括第一事件特征和第二事件特征;所述第二事件特征包括所述安全事件的攻击结果和攻击来源;
基于所述第一事件特征,确定初始评估值;
基于所述第二事件特征,确定评估权重值;
基于所述评估权重值调节所述初始评估值,得到所述目标服务器的风险评估信息;
其中,所述基于所述第二事件特征,确定评估权重值,包括:确定初始权重;根据所述攻击来源判断所述安全事件是否由所述目标服务器发起;若所述攻击来源表明所述安全事件由所述目标服务器发起,则对所述初始权重进行加权,获得第一权重;若所述攻击来源表明所述安全事件不由所述目标服务器发起,则将所述初始权重确定为所述第一权重;根据所述攻击结果判断所述安全事件是否攻击成功;若所述攻击结果表明攻击成功,则对所述第一权重进行加权,获得第二权重;若所述攻击结果表明攻击未成功,则将所述第一权重确定为所述第二权重;其中,所述第二权重为所述评估权重值。
2.根据权利要求1所述的风险评估方法,其特征在于,所述第一事件特征包括所述安全事件的攻击阶段,所述基于所述第一事件特征,确定初始评估值,包括:
根据所述攻击阶段的攻击危害程度,确定所述安全事件的所述初始评估值。
3.根据权利要求1所述的风险评估方法,其特征在于,所述第二事件特征包括所述安全事件的攻击来源,所述基于所述第二事件特征,确定评估权重值,包括:
确定初始权重;
根据所述攻击来源判断所述安全事件是否由所述目标服务器发起;
若所述攻击来源表明所述安全事件由所述目标服务器发起,则对所述初始权重进行加权,得到所述评估权重值;
若所述攻击来源表明所述安全事件不由所述目标服务器发起,则将所述初始权重确定为所述评估权重值。
4.根据权利要求1所述的风险评估方法,其特征在于,所述第二事件特征包括所述安全事件的攻击结果,所述基于所述第二事件特征,确定评估权重值,包括:
确定初始权重;
根据所述攻击结果判断所述安全事件是否攻击成功;
若所述攻击结果表明攻击成功,则对所述初始权重进行加权,得到所述评估权重值;
若所述攻击结果表明攻击未成功,则将所述初始权重确定为所述评估权重值。
5.根据权利要求1所述的风险评估方法,其特征在于,还包括:
根据预先创建的评估信息与安全状态的映射关系,查询获得所述风险评估信息对应的安全状态。
6.一种风险评估方法,其特征在于,包括:
在目标服务器发生安全事件的情况下,提取所述安全事件的事件特征;其中,所述事件特征包括第一事件特征和第二事件特征;所述第二事件特征包括所述安全事件的攻击结果和攻击来源;
基于所述目标服务器的历史安全检测数据,利用所述事件特征判断是否过滤所述安全事件;
若不过滤所述安全事件,则基于所述第一事件特征,确定初始评估值,并基于所述第二事件特征,确定评估权重值;
基于所述评估权重值调节所述初始评估值,得到所述目标服务器的风险评估信息;
其中,所述基于所述第二事件特征,确定评估权重值,包括:确定初始权重;根据所述攻击来源判断所述安全事件是否由所述目标服务器发起;若所述攻击来源表明所述安全事件由所述目标服务器发起,则对所述初始权重进行加权,获得第一权重;若所述攻击来源表明所述安全事件不由所述目标服务器发起,则将所述初始权重确定为所述第一权重;根据所述攻击结果判断所述安全事件是否攻击成功;若所述攻击结果表明攻击成功,则对所述第一权重进行加权,获得第二权重;若所述攻击结果表明攻击未成功,则将所述第一权重确定为所述第二权重;其中,所述第二权重为所述评估权重值。
7.根据权利要求6所述的风险评估方法,其特征在于,所述事件特征包括攻击类型;
所述基于所述目标服务器的历史安全检测数据,利用所述事件特征判断是否过滤所述安全事件,包括:
基于历史安全检测数据,判断是否发生过相同攻击类型的历史安全事件;
若未发生过所述相同攻击类型的历史安全事件,则确定不过滤所述安全事件。
8.根据权利要求6所述的风险评估方法,其特征在于,所述事件特征包括攻击类型和攻击阶段;
所述基于所述目标服务器的历史安全检测数据,利用所述事件特征判断是否过滤所述安全事件,包括:
基于所述历史安全检测数据,统计所述攻击阶段内历史安全事件对应的攻击类型的数量;
若所述数量未超出预设数量,则确定不过滤所述安全事件。
9.根据权利要求6所述的风险评估方法,其特征在于,还包括:
获取所述目标服务器的历史评估信息;
根据所述历史评估信息和所述风险评估信息确定获得当前评估信息;
根据所述当前评估信息确定所述目标服务器的安全状态。
10.一种风险评估装置,其特征在于,包括:
特征提取模块,用于在目标服务器发生安全事件的情况下,提取所述安全事件的事件特征;其中,所述事件特征包括第一事件特征和第二事件特征;所述第二事件特征包括所述安全事件的攻击结果和攻击来源;
初始确定模块,用于基于所述第一事件特征,确定初始评估值;
权重确定模块,用于基于所述第二事件特征,确定评估权重值;
信息生成模块,用于基于所述评估权重值调节所述初始评估值,得到所述目标服务器的风险评估信息;
其中,所述权重确定模块,具体用于确定初始权重;根据所述攻击来源判断所述安全事件是否由所述目标服务器发起;若所述攻击来源表明所述安全事件由所述目标服务器发起,则对所述初始权重进行加权,获得第一权重;若所述攻击来源表明所述安全事件不由所述目标服务器发起,则将所述初始权重确定为所述第一权重;根据所述攻击结果判断所述安全事件是否攻击成功;若所述攻击结果表明攻击成功,则对所述第一权重进行加权,获得第二权重;若所述攻击结果表明攻击未成功,则将所述第一权重确定为所述第二权重;其中,所述第二权重为所述评估权重值。
11.一种风险评估装置,其特征在于,包括:
特征提取模块,用于在目标服务器发生安全事件的情况下,提取所述安全事件的事件特征;其中,所述事件特征包括第一事件特征和第二事件特征;所述第二事件特征包括所述安全事件的攻击结果和攻击来源;
过滤判断模块,用于基于所述目标服务器的历史安全检测数据,利用所述事件特征判断是否过滤所述安全事件;
确定模块,用于若不过滤所述安全事件,则基于所述第一事件特征,确定初始评估值,并基于所述第二事件特征,确定评估权重值;
信息生成模块,用于基于所述评估权重值调节所述初始评估值,得到所述目标服务器的风险评估信息;
其中,所述确定模块,具体用于确定初始权重;根据所述攻击来源判断所述安全事件是否由所述目标服务器发起;若所述攻击来源表明所述安全事件由所述目标服务器发起,则对所述初始权重进行加权,获得第一权重;若所述攻击来源表明所述安全事件不由所述目标服务器发起,则将所述初始权重确定为所述第一权重;根据所述攻击结果判断所述安全事件是否攻击成功;若所述攻击结果表明攻击成功,则对所述第一权重进行加权,获得第二权重;若所述攻击结果表明攻击未成功,则将所述第一权重确定为所述第二权重;其中,所述第二权重为所述评估权重值。
12.一种风险评估设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至9任一项所述的风险评估方法的步骤。
13.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至9任一项所述的风险评估方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210335029.XA CN114666148B (zh) | 2022-03-31 | 2022-03-31 | 风险评估方法、装置及相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210335029.XA CN114666148B (zh) | 2022-03-31 | 2022-03-31 | 风险评估方法、装置及相关设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114666148A CN114666148A (zh) | 2022-06-24 |
| CN114666148B true CN114666148B (zh) | 2024-02-23 |
Family
ID=82032664
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210335029.XA Active CN114666148B (zh) | 2022-03-31 | 2022-03-31 | 风险评估方法、装置及相关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114666148B (zh) |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7890869B1 (en) * | 2006-06-12 | 2011-02-15 | Redseal Systems, Inc. | Network security visualization methods, apparatus and graphical user interfaces |
| CN105024976A (zh) * | 2014-04-24 | 2015-11-04 | 中国移动通信集团山西有限公司 | 一种高级持续威胁攻击识别方法及装置 |
| CN105282131A (zh) * | 2015-02-10 | 2016-01-27 | 中国移动通信集团广东有限公司 | 基于风险项扫描的信息安全评估方法、装置及系统 |
| CN110912884A (zh) * | 2019-11-20 | 2020-03-24 | 深信服科技股份有限公司 | 一种检测方法、设备及计算机存储介质 |
| CN111556037A (zh) * | 2020-04-21 | 2020-08-18 | 杭州安恒信息技术股份有限公司 | 网站系统安全指数评估的方法和装置 |
| CN111770106A (zh) * | 2020-07-07 | 2020-10-13 | 杭州安恒信息技术股份有限公司 | 数据威胁分析的方法、装置、系统、电子装置和存储介质 |
| CN112532631A (zh) * | 2020-11-30 | 2021-03-19 | 深信服科技股份有限公司 | 一种设备安全风险评估方法、装置、设备及介质 |
| CN113055407A (zh) * | 2021-04-21 | 2021-06-29 | 深信服科技股份有限公司 | 一种资产的风险信息确定方法、装置、设备及存储介质 |
| CN113127878A (zh) * | 2019-12-31 | 2021-07-16 | 苏州三六零智能安全科技有限公司 | 威胁事件的风险评估方法及装置 |
| CN113691566A (zh) * | 2021-10-26 | 2021-11-23 | 成都数默科技有限公司 | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 |
| CN113839817A (zh) * | 2021-09-23 | 2021-12-24 | 北京天融信网络安全技术有限公司 | 一种网络资产风险评估方法、装置及系统 |
| CN114124552A (zh) * | 2021-11-29 | 2022-03-01 | 恒安嘉新(北京)科技股份公司 | 一种网络攻击的威胁等级获取方法、装置和存储介质 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180270265A1 (en) * | 2016-05-13 | 2018-09-20 | Ola Sage | System and Method For Assessing Network Security Risks |
| JP6724749B2 (ja) * | 2016-12-01 | 2020-07-15 | 富士通株式会社 | リスク評価装置、リスク評価方法及びリスク評価プログラム |
| US11747799B2 (en) * | 2017-05-31 | 2023-09-05 | Siemens Aktiengesellschaft | Industrial control system and network security monitoring method therefor |
| JP6818957B2 (ja) * | 2018-09-28 | 2021-01-27 | 三菱電機株式会社 | セキュリティ評価装置、セキュリティ評価方法およびセキュリティ評価プログラム |
-
2022
- 2022-03-31 CN CN202210335029.XA patent/CN114666148B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7890869B1 (en) * | 2006-06-12 | 2011-02-15 | Redseal Systems, Inc. | Network security visualization methods, apparatus and graphical user interfaces |
| CN105024976A (zh) * | 2014-04-24 | 2015-11-04 | 中国移动通信集团山西有限公司 | 一种高级持续威胁攻击识别方法及装置 |
| CN105282131A (zh) * | 2015-02-10 | 2016-01-27 | 中国移动通信集团广东有限公司 | 基于风险项扫描的信息安全评估方法、装置及系统 |
| CN110912884A (zh) * | 2019-11-20 | 2020-03-24 | 深信服科技股份有限公司 | 一种检测方法、设备及计算机存储介质 |
| CN113127878A (zh) * | 2019-12-31 | 2021-07-16 | 苏州三六零智能安全科技有限公司 | 威胁事件的风险评估方法及装置 |
| CN111556037A (zh) * | 2020-04-21 | 2020-08-18 | 杭州安恒信息技术股份有限公司 | 网站系统安全指数评估的方法和装置 |
| CN111770106A (zh) * | 2020-07-07 | 2020-10-13 | 杭州安恒信息技术股份有限公司 | 数据威胁分析的方法、装置、系统、电子装置和存储介质 |
| CN112532631A (zh) * | 2020-11-30 | 2021-03-19 | 深信服科技股份有限公司 | 一种设备安全风险评估方法、装置、设备及介质 |
| CN113055407A (zh) * | 2021-04-21 | 2021-06-29 | 深信服科技股份有限公司 | 一种资产的风险信息确定方法、装置、设备及存储介质 |
| CN113839817A (zh) * | 2021-09-23 | 2021-12-24 | 北京天融信网络安全技术有限公司 | 一种网络资产风险评估方法、装置及系统 |
| CN113691566A (zh) * | 2021-10-26 | 2021-11-23 | 成都数默科技有限公司 | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 |
| CN114124552A (zh) * | 2021-11-29 | 2022-03-01 | 恒安嘉新(北京)科技股份公司 | 一种网络攻击的威胁等级获取方法、装置和存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 基于加权均值的多源安全事件评估算法研究;杨新锋;;南阳理工学院学报(06);第31-34页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114666148A (zh) | 2022-06-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110851839B (zh) | 基于风险的资产评分方法和系统 | |
| CN106657057B (zh) | 反爬虫系统及方法 | |
| CN110474871B (zh) | 一种异常账号检测方法、装置、计算机设备及存储介质 | |
| CN113765881A (zh) | 异常网络安全行为的检测方法、装置、电子设备及存储介质 | |
| CN108881283B (zh) | 评估网络攻击的模型训练方法、装置及储存介质 | |
| CN109327449B (zh) | 一种攻击路径还原方法、电子装置和计算机可读存储介质 | |
| CN108306846B (zh) | 一种网络访问异常检测方法及系统 | |
| CN113992340B (zh) | 用户异常行为识别方法、装置、设备和存储介质 | |
| CN106790041B (zh) | 一种网际协议ip信誉库生成方法及装置 | |
| CN115239090A (zh) | 基于工业互联网标识解析的企业碳效评价方法 | |
| CN112953938B (zh) | 网络攻击防御方法、装置、电子设备及可读存储介质 | |
| CN110598180A (zh) | 一种基于统计分析的事件检测方法、装置及系统 | |
| CN110519266B (zh) | 一种基于统计学方法的cc攻击检测的方法 | |
| CN109005181B (zh) | 一种dns放大攻击的检测方法、系统及相关组件 | |
| CN110889597A (zh) | 业务时序指标异常检测方法及装置 | |
| CN114666148B (zh) | 风险评估方法、装置及相关设备 | |
| CN112333168B (zh) | 一种攻击识别方法、装置、设备及计算机可读存储介质 | |
| CN114329452A (zh) | 一种异常行为检测方法、装置及相关设备 | |
| US20220046039A1 (en) | Method, device, and computer program product for abnormality detection | |
| CN116248381A (zh) | 一种告警聚合方法、装置、电子设备及存储介质 | |
| CN117596049B (zh) | 一种DDoS攻击检测方法及装置 | |
| CN114915491B (zh) | 一种网络终端安全状态的评估方法、装置及存储介质 | |
| CN112073402B (zh) | 一种流量攻击检测方法及装置 | |
| CN113872978B (zh) | 一种dns劫持的监测方法、装置及电子设备 | |
| CN114707579A (zh) | 企业网络安全评估方法、系统、存储介质和电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |