CN114884712B - 一种网络资产风险级别信息确定方法、装置、设备及介质 - Google Patents
一种网络资产风险级别信息确定方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN114884712B CN114884712B CN202210446032.9A CN202210446032A CN114884712B CN 114884712 B CN114884712 B CN 114884712B CN 202210446032 A CN202210446032 A CN 202210446032A CN 114884712 B CN114884712 B CN 114884712B
- Authority
- CN
- China
- Prior art keywords
- attack
- information
- network asset
- characteristic information
- stage type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 54
- 239000013598 vector Substances 0.000 claims description 50
- 230000000977 initiatory effect Effects 0.000 claims description 19
- 238000004590 computer program Methods 0.000 claims description 17
- 230000015654 memory Effects 0.000 claims description 17
- 238000012549 training Methods 0.000 claims description 12
- 238000003860 storage Methods 0.000 claims description 8
- 238000003066 decision tree Methods 0.000 description 22
- 230000008569 process Effects 0.000 description 16
- 238000010586 diagram Methods 0.000 description 15
- 238000011835 investigation Methods 0.000 description 15
- 238000004891 communication Methods 0.000 description 9
- 238000004422 calculation algorithm Methods 0.000 description 8
- 238000012545 processing Methods 0.000 description 7
- 238000012423 maintenance Methods 0.000 description 6
- 238000004519 manufacturing process Methods 0.000 description 6
- 238000012360 testing method Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 238000009434 installation Methods 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- 238000007637 random forest analysis Methods 0.000 description 4
- 230000035515 penetration Effects 0.000 description 3
- 238000009825 accumulation Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000007667 floating Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000005070 sampling Methods 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 238000011282 treatment Methods 0.000 description 2
- 230000004931 aggregating effect Effects 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000002790 cross-validation Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005265 energy consumption Methods 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 238000011418 maintenance treatment Methods 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 230000002787 reinforcement Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0635—Risk analysis of enterprise or organisation activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/40—Business processes related to the transportation industry
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Human Resources & Organizations (AREA)
- Computer Security & Cryptography (AREA)
- Strategic Management (AREA)
- Economics (AREA)
- Entrepreneurship & Innovation (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- General Business, Economics & Management (AREA)
- Computer Hardware Design (AREA)
- Marketing (AREA)
- Physics & Mathematics (AREA)
- Tourism & Hospitality (AREA)
- Quality & Reliability (AREA)
- Operations Research (AREA)
- Game Theory and Decision Science (AREA)
- Educational Administration (AREA)
- Development Economics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Primary Health Care (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种网络资产风险级别信息确定方法、装置、设备及介质,用于提高确定网络资产的风险级别信息的准确性。由于本申请可以基于安全攻击事件携带的攻击特征信息以及当前保存的网络资产对应的攻击特征信息,确定网络资产对应的最新攻击特征信息;并可以基于网络资产的目标漏洞特征信息,确定网络资产当前的脆弱性级别特征信息;将最新攻击特征信息和/或脆弱性级别特征信息,输入预先训练完成的资产风险判别模型,获取资产风险判别模型输出的网络资产当前的风险级别信息,从而可以提高确定网络资产的风险级别信息的准确性。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种网络资产风险级别信息确定方法、装置、设备及介质。
背景技术
随着信息技术和互联网的不断发展,网络安全问题也随之日益严重,例如,网络攻击事件的频繁发生等,给企业的网络安全建设造成一定的威胁。同时,随着企业对网络安全建设的重视程度的不断增强,对企业内部的网络资产进行安全防护也越来越受到重视。其中,准确地确定网络资产的风险级别信息,是对网络资产进行安全防护的一个重要环节。
然而,针对如何准确地确定网络资产的风险级别信息,目前尚没有有效的解决方案。因此,亟需一种可以提高确定网络资产的风险级别信息的准确性技术方案。
发明内容
本申请提供了一种网络资产风险级别信息确定方法、装置、设备及介质,用于提高确定网络资产的风险级别信息的准确性。
第一方面,本申请提供了一种网络资产风险级别信息确定方法,所述方法包括:
获取任一网络资产的安全攻击事件;
基于所述安全攻击事件携带的攻击特征信息以及当前保存的所述网络资产对应的攻击特征信息,确定所述网络资产对应的最新攻击特征信息;
根据所述安全攻击事件携带的所述网络资产的标识信息,从保存的网络资产漏洞特征信息中,确定所述标识信息的网络资产对应的目标漏洞特征信息;基于所述目标漏洞特征信息,确定所述网络资产当前的脆弱性级别特征信息;
将所述最新攻击特征信息和/或所述脆弱性级别特征信息,输入预先训练完成的资产风险判别模型,获取所述资产风险判别模型的输出的所述网络资产当前的风险级别信息。
第二方面,本申请提供了一种网络资产风险级别信息确定装置,所述装置包括:
第一获取模块,用于获取任一网络资产的安全攻击事件;
第一确定模块,用于基于所述安全攻击事件携带的攻击特征信息以及当前保存的所述网络资产对应的攻击特征信息,确定所述网络资产对应的最新攻击特征信息;
第二确定模块,用于根据所述安全攻击事件携带的所述网络资产的标识信息,从保存的网络资产漏洞特征信息中,确定所述标识信息的网络资产对应的目标漏洞特征信息;基于所述目标漏洞特征信息,确定所述网络资产当前的脆弱性级别特征信息;
第二获取模块,用于将所述最新攻击特征信息和/或所述脆弱性级别特征信息,输入预先训练完成的资产风险判别模型,获取所述资产风险判别模型的输出的所述网络资产当前的风险级别信息。
第三方面,本申请提供了一种电子设备,所述电子设备至少包括处理器和存储器,所述处理器用于执行存储器中存储的计算机程序时实现上述任一所述网络资产风险级别信息确定方法的步骤。
第四方面,本申请提供了一种计算机可读存储介质,其存储有计算机程序,所述计算机程序被处理器执行时实现上述如上述任一所述网络资产风险级别信息确定方法的步骤。
第五方面,本申请提供了一种计算机程序产品,所述计算机程序产品包括:计算机程序代码,当所述计算机程序代码在计算机上运行时,使得计算机执行如上述任一所述网络资产风险级别信息确定方法的步骤。
由于本申请可以基于安全攻击事件携带的攻击特征信息以及当前保存的网络资产对应的攻击特征信息,确定网络资产对应的最新攻击特征信息;并可以基于网络资产的目标漏洞特征信息,确定网络资产当前的脆弱性级别特征信息;将最新攻击特征信息和/或脆弱性级别特征信息,输入预先训练完成的资产风险判别模型,获取资产风险判别模型输出的网络资产当前的风险级别信息,从而可以提高确定网络资产的风险级别信息的准确性。
附图说明
为了更清楚地说明本申请实施例或相关技术中的实施方式,下面将对实施例或相关技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1示出了一些实施例提供的第一种网络资产风险级别信息确定过程示意图;
图2示出了一些实施例提供的第二种网络资产风险级别信息确定过程示意图;
图3示出了一些实施例提供的第三种网络资产风险级别信息确定过程示意图;
图4示出了一些实施例提供的一种基于随机森林算法对资产风险判别模型进行训练过程示意图;
图5示出了一些实施例提供的单个决策树和多个决策树效果对比图;
图6示出了一些实施例提供的决策树数量与模型准确性关系示意图;
图7示出了一些实施例提供的一种网络资产风险级别信息确定装置示意图;
图8示出了一些实施例提供的一种电子设备结构示意图。
具体实施方式
为了提高确定网络资产的风险级别信息的准确性,本申请提供了一种网络资产风险级别信息确定方法、装置、设备及介质。
为使本申请的目的和实施方式更加清楚,下面将结合本申请示例性实施例中的附图,对本申请示例性实施方式进行清楚、完整地描述,显然,描述的示例性实施例仅是本申请一部分实施例,而不是全部的实施例。
需要说明的是,本申请中对于术语的简要说明,仅是为了方便理解接下来描述的实施方式,而不是意图限定本申请的实施方式。除非另有说明,这些术语应当按照其普通和通常的含义理解。
本申请中说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”等是用于区别类似或同类的对象或实体,而不必然意味着限定特定的顺序或先后次序,除非另外注明。应该理解这样使用的用语在适当情况下可以互换。
术语“包括”和“具有”以及他们的任何变形,意图在于覆盖但不排他的包含,例如,包含了一系列组件的产品或设备不必限于清楚地列出的所有组件,而是可包括没有清楚地列出的或对于这些产品或设备固有的其它组件。
术语“模块”是指任何已知或后来开发的硬件、软件、固件、人工智能、模糊逻辑或硬件或/和软件代码的组合,能够执行与该元件相关的功能。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
为了方便解释,已经结合具体的实施方式进行了上述说明。但是,上述示例性的讨论不是意图穷尽或者将实施方式限定到上述公开的具体形式。根据上述的教导,可以得到多种修改和变形。上述实施方式的选择和描述是为了更好的解释原理以及实际的应用,从而使得本领域技术人员更好的使用所述实施方式以及适于具体使用考虑的各种不同的变形的实施方式。
实施例1:
图1示出了一些实施例提供的第一种网络资产风险级别信息确定过程示意图,该过程包括:
S101:获取任一网络资产的安全攻击事件。
本申请实施例提供的网络资产风险级别信息确定方法应用于电子设备,该电子设备例如可以是PC、移动终端等设备,也可以是服务器等设备。可选的,电子设备中可以安装有网络资产风险级别信息确定平台(软件)等,可以基于该网络资产风险级别信息确定平台(软件),确定内网(局域网)中每个网络资产的风险级别信息。在一种可能的实施方式中,网络资产可以是PC、移动终端、服务器等设备。
在一种可能的实施方式中,当内网中的任一网络资产发生安全攻击事件时,电子设备均可以获取到该安全攻击事件。可选的,可以通过安全设备采集每个网络资产的工作日志,安全设备可以将每个网络资产的工作日志均发送给该电子设备,电子设备可以通过对工作日志进行智能分析(处理),从而获取到每个网络资产的安全攻击事件。示例性的,当外网(广域网)中的设备A攻击内网中的网络资产B、或者内网中的网络资产B攻击内网中的网络资产C、或者内网中的网络资产B攻击外网中的设备D等时,均可以认为发生安全攻击事件。其中,可以采用现有技术对工作日志进行智能分析,从而获取到每个网络资产的安全攻击事件,在此不再赘述。另外,也可以是安全设备通过对工作日志进行智能分析,确定网络资产的安全攻击事件后,将安全攻击事件发送给电子设备,从而使电子设备可以获取到网络资产的安全攻击事件。本申请对电子设备获取网络资产的安全攻击事件的方式不作具体限定,可以根据需求灵活设置。
S102:基于所述安全攻击事件携带的攻击特征信息以及当前保存的所述网络资产对应的攻击特征信息,确定所述网络资产对应的最新攻击特征信息。
在一种可能的实施方式中,安全攻击事件中可以携带与该安全攻击事件相关的攻击特征信息。为了准确地确定网络资产的风险级别信息,可以基于安全攻击事件携带的攻击特征信息以及当前保存的该网络资产对应的攻击特征信息,确定该网络资产对应的最新攻击特征信息(即可以基于流式累积的方式确定网络资产对应的最新攻击特征信息),并可以将当前保存的该网络资产对应的攻击特征信息,更新为该最新攻击特征信息。
其中,安全攻击事件携带的攻击特征信息可以根据需求灵活设置,本申请对此不作具体限定。在一种可能的实施方式中,攻击特征信息可以包括:安全攻击事件相关的攻击链所处的每个攻击阶段类型信息、攻击方向信息、攻击特征信息的置信度信息、威胁等级信息以及发起攻击的网络资产的标识信息中的至少一种。
其中,当安全攻击事件携带的攻击特征信息中包括攻击链所处的每个攻击阶段类型信息时,考虑到攻击链所处的攻击阶段类型信息通常包括:侦查(第一阶段)、工具制作(第二阶段)、投送(第三阶段)、攻击渗透(第四阶段)、安装工具(第五阶段)、命令控制(第六阶段)、恶意活动(第七阶段)等7个阶段,其中第一阶段-第四阶段(侦查、工具制作、投送、攻击渗透)对网络资产的威胁性相对较小,第五阶段-第七阶段(安装工具、命令控制、恶意活动)对网络资产的威胁性相对较大,可以根据不同攻击阶段对网络资产的威胁性的不同,设置不同的攻击阶段类型设定区间。例如,可以将第一阶段-第四阶段设置为属于一个攻击阶段类型设定区间(为方便描述,称为第一区间),将第五阶段-第七阶段设置为属于另一个攻击阶段类型设定区间(为方便描述,称为第二区间)。
当安全攻击事件携带的攻击特征信息中包括攻击链所处的每个攻击阶段类型信息,在基于安全攻击事件携带的攻击特征信息以及当前保存的所述网络资产对应的攻击特征信息,确定网络资产对应的最新攻击特征信息时,可以先针对每个攻击阶段类型信息,确定该攻击阶段类型信息所属的攻击阶段类型设定区间。示例性的,如果安全攻击事件携带的攻击特征信息中包括的攻击链所处的攻击阶段类型信息为侦查时,该攻击阶段类型信息(侦查)所属的攻击阶段类型设定区间为第一区间。如果安全攻击事件携带的攻击特征信息中包括的攻击链所处的攻击阶段类型信息为侦查和工具制作时,侦查所属的攻击阶段类型设定区间为第一区间,工具制作所属的攻击阶段类型区间也为第一区间。如果安全攻击事件携带的攻击特征信息中包括的攻击链所处的攻击阶段类型信息为工具制作和命令控制,则工具制作所属的攻击阶段类型区间为第一区间,命令控制所属的攻击阶段类型区间为第二区间。
确定了每个攻击阶段类型信息所属的攻击阶段类型设定区间后,针对每个攻击阶段类型设定区间,可以确定属于该攻击阶段类型设定区间的攻击阶段类型信息及属于该攻击阶段类型设定区间的攻击阶段类型信息对应的第一数量标识。仍以上述实施例为例,如果安全攻击事件携带的攻击特征信息中包括的攻击链所处的攻击阶段类型信息为侦查,则针对第一区间,属于第一区间的攻击阶段类型信息为侦查,属于第一区间的攻击阶段类型信息的数量为1,对应的数量标识(为方便描述,称为第一数量标识)可以为1。针对第二区间,属于第二区间的攻击阶段类型信息的数量为0,对应的数量标识(第一数量标识)可以为0。
再示例性的,如果安全攻击事件携带的攻击特征信息中包括的攻击链所处的攻击阶段类型信息为侦查和工具制作,则针对第一区间,属于第一区间的攻击阶段类型信息为侦查和工具制作,属于第一区间的攻击阶段类型信息的数量为2,对应的第一数量标识可以为2。针对第二区间,属于第二区间的攻击阶段类型信息的数量为0,对应的第一数量标识可以为0。
再示例性的,如果安全攻击事件携带的攻击特征信息中包括的攻击链所处的攻击阶段类型信息为工具制作和命令控制,则针对第一区间,属于第一区间的攻击阶段类型信息为工具制作,属于第一区间的攻击阶段类型信息的数量为1,对应的第一数量标识可以为1。针对第二区间,属于第二区间的攻击阶段类型信息为命令控制,属于第二区间的攻击阶段类型信息的数量为1,对应的第一数量标识可以为1。
确定了属于每个攻击阶段类型设定区间的攻击阶段类型信息及属于该攻击阶段类型设定区间的攻击阶段类型信息对应的第一数量标识后,针对每个攻击阶段类型设定区间,可以基于属于该攻击阶段类型设定区间的攻击阶段类型信息对应的第一数量标识和对应的攻击阶段类型信息、以及当前保存的网络资产对应的该攻击阶段类型设定区间对应的数量标识(为方便描述,称为第二数量标识)和对应的已有攻击阶段类型信息,确定网络资产对应的该攻击阶段类型设定区间对应的最新攻击阶段类型数量标识。
可选的,针对每个攻击阶段类型设定区间,在基于属于该攻击阶段类型设定区间的攻击阶段类型信息对应的第一数量标识和对应的攻击阶段类型信息、以及当前保存的网络资产对应的该攻击阶段类型设定区间对应的第二数量标识和对应的已有攻击阶段类型信息,确定网络资产对应的该攻击阶段类型设定区间对应的最新攻击阶段类型数量标识时,可以是针对每个攻击阶段类型设定区间,判断属于该攻击阶段类型设定区间的攻击阶段类型信息(第一数量标识对应的攻击阶段类型信息)与当前保存的该攻击阶段类型设定区间对应的已有攻击阶段类型信息(第二数量标识对应的已有攻击阶段类型信息)是否完全相同。如果属于该攻击阶段类型设定区间的攻击阶段类型信息(第一数量标识对应的攻击阶段类型信息)与当前保存的该攻击阶段类型设定区间对应的已有攻击阶段类型信息(第二数量标识对应的已有攻击阶段类型信息)完全相同,则可以认为网络资产对应的攻击链所处的攻击阶段(攻击阶段类型信息)没有发生变化,可以仍将当前保存的第二数量标识,确定为对应的最新攻击阶段类型数量标识。
而如果属于该攻击阶段类型设定区间的攻击阶段类型信息(第一数量标识对应的攻击阶段类型信息)与当前保存的该攻击阶段类型设定区间对应的已有攻击阶段类型信息(第二数量标识对应的已有攻击阶段类型信息)不完全相同或者完全不相同,则可以根据第一数量标识对应的攻击阶段类型信息和已有攻击阶段类型信息中,包含的攻击阶段类型信息的数量,确定该攻击阶段类型设定区间对应的最新攻击阶段类型数量标识。
示例性的,参阅表1,如果安全攻击事件携带的攻击特征信息中包括的攻击链所处的攻击阶段类型信息为工具制作和命令控制,属于第一区间的攻击阶段类型信息为工具制作,属于第一区间的攻击阶段类型信息对应的第一数量标识为1;属于第二区间的攻击阶段类型信息为命令控制,属于第二区间的攻击阶段类型信息对应的第一数量标识为1。当前保存的第一区间对应的已有攻击阶段类型信息为工具制作,对应的第二数量标识为1,当前保存的第二区间对应的已有攻击阶段类型信息为安装工具,对应的第二数量标识为1。
表1
则针对第一区间,由于第一区间对应的攻击阶段类型信息(第一数量标识对应的攻击阶段类型信息)与当前保存的已有攻击阶段类型信息(第二数量标识对应的攻击阶段类型信息)完全相同,则可以仍将第二数量标识(1),确定为第一区间对应的最新攻击阶段类型信息数量标识,即第一区间对应的最新攻击阶段类型信息数量标识仍为1,该最新攻击阶段类型信息数量标识对应的攻击阶段类型信息为工具制作。
针对第二区间,由于第二区间对应的攻击阶段类型信息(第一数量标识对应的攻击阶段类型信息)与当前保存的已有攻击阶段类型信息(第二数量标识对应的攻击阶段类型信息)不相同,且第一数量标识对应的攻击阶段类型信息和第二数量标识对应的已有攻击阶段类型信息中,包含的攻击阶段类型信息的数量为2,则可以确定第二区间对应的最新攻击阶段类型信息数量标识为2,该最新攻击阶段类型信息数量标识对应的攻击阶段类型信息为命令控制、安装工具。
再示例性的,参阅表2,如果安全攻击事件携带的攻击特征信息中包括的攻击链所处的攻击阶段类型信息为侦查和工具制作,属于第一区间的攻击阶段类型信息为侦查和工具制作,属于第一区间的攻击阶段类型信息对应的第一数量标识为2;当前保存的第一区间对应的已有攻击阶段类型信息为工具制作和投送,对应的第二数量标识为2。
表2
| 第一区间 | |
| 第一数量标识 | 2(侦查和工具制作) |
| 第二数量标识 | 2(工具制作和投送) |
| 最新攻击阶段类型信息数量标识 | 3(侦查、工具制作、投送) |
针对第一区间,由于第一区间对应的攻击阶段类型信息(第一数量标识对应的攻击阶段类型信息)与当前保存的已有攻击阶段类型信息(第二数量标识对应的攻击阶段类型信息)不相同,且第一数量标识对应的攻击阶段类型信息和第二数量标识对应的已有攻击阶段类型信息中,包含的攻击阶段类型信息的数量为3,则可以确定第一区间对应的最新攻击阶段类型信息数量标识为3,该最新攻击阶段类型信息数量标识对应的攻击阶段类型信息分别为侦查、工具制作和投送。
另外,当安全攻击事件携带的攻击特征信息中包括攻击方向信息,在基于安全攻击事件携带的攻击特征信息以及当前保存的所述网络资产对应的攻击特征信息,确定网络资产对应的最新攻击特征信息时,可以是基于安全攻击事件携带的攻击方向信息以及当前保存的网络资产对应的已有攻击方向信息,确定网络资产对应的最新攻击方向信息,并可以将当前保存的已有攻击方向信息,更新为该最新攻击方向信息。
在一种可能的实施方式中,在基于安全攻击事件携带的攻击方向信息以及当前保存的网络资产对应的已有攻击方向信息,确定网络资产对应的最新攻击方向信息时,可以是如果安全攻击事件携带的攻击方向信息与当前保存的网络资产对应的已有攻击方向信息相同,则可以仍将当前保存的网络资产对应的已有攻击方向信息,确定为网络资产对应的最新攻击方向信息。而如果安全攻击事件携带的攻击方向信息与当前保存的网络资产对应的已有攻击方向信息不同,则可以根据安全攻击事件携带的攻击方向信息和当前保存的网络资产对应的已有攻击方向信息中,包含的攻击方向信息,确定网络资产对应的最新攻击方向信息。
示例性的,参阅表3,如果安全攻击事件携带的攻击方向信息为外部攻击(攻击者为外网中的设备,受害者为内网中的网络资产),当前保存的网络资产对应的已有攻击方向信息也是外部攻击,则可以仍将外部攻击,确定为网络资产对应的最新攻击方向信息。在一种可能的实施方式中,外部攻击可以用数字、字母等进行标识,例如可以用1等标识外部攻击。
表3
| 安全攻击事件携带的攻击方向信息 | 外部攻击(1) |
| 当前保存的已有攻击方向信息 | 外部攻击(1) |
| 最新攻击方向信息 | 外部攻击(1) |
另外,参阅表4,如果安全攻击事件携带的攻击方向信息为横向攻击(攻击者和受害者均为内网中的网络资产),当前保存的网络资产对应的已有攻击方向信息也是横向攻击,则可以仍将横向攻击,确定为网络资产对应的最新攻击方向信息。在一种可能的实施方式中,横向攻击可以用数字、字母等进行标识,例如可以用2等标识横向攻击。
表4
| 安全攻击事件携带的攻击方向信息 | 横向攻击(2) |
| 当前保存的已有攻击方向信息 | 横向攻击(2) |
| 最新攻击方向信息 | 横向攻击(2) |
另外,参阅表5,如果安全攻击事件携带的攻击方向信息为外连攻击(攻击者为内网中的网络资产,受害者为外网中的设备),当前保存的网络资产对应的已有攻击方向信息也是外连攻击,则可以仍将外连攻击,确定为网络资产对应的最新攻击方向信息。在一种可能的实施方式中,外连攻击可以用数字、字母等进行标识,例如可以用3等标识外连攻击。
表5
| 安全攻击事件携带的攻击方向信息 | 外连攻击(3) |
| 当前保存的已有攻击方向信息 | 外连攻击(3) |
| 最新攻击方向信息 | 外连攻击(3) |
再示例性的,参阅表6,如果安全攻击事件携带的攻击方向信息为外部攻击,而当前保存的网络资产对应的已有攻击方向信息为横向攻击,则可以将外部攻击及横向攻击(为方便描述,称为外部攻击+横向攻击),确定为网络资产对应的最新攻击方向信息。在一种可能的实施方式中,外部攻击+横向攻击可以用数字、字母等进行标识,例如可以用4等标识外部攻击+横向攻击。
表6
| 安全攻击事件携带的攻击方向信息 | 外部攻击(1) |
| 当前保存的已有攻击方向信息 | 横向攻击(2) |
| 最新攻击方向信息 | 外部攻击+横向攻击(4) |
再示例性的,参阅表7,如果安全攻击事件携带的攻击方向信息为外部攻击,而当前保存的网络资产对应的已有攻击方向信息为外连攻击,则可以将外部攻击及外连攻击(为方便描述,称为外部攻击+外连攻击),确定为网络资产对应的最新攻击方向信息。在一种可能的实施方式中,外部攻击+外连攻击可以用数字、字母等进行标识,例如可以用5等标识外部攻击+外连攻击。
表7
| 安全攻击事件携带的攻击方向信息 | 外部攻击(1) |
| 当前保存的已有攻击方向信息 | 外连攻击(3) |
| 最新攻击方向信息 | 外部攻击+外连攻击(5) |
再示例性的,参阅表8,如果安全攻击事件携带的攻击方向信息为横向攻击,而当前保存的网络资产对应的已有攻击方向信息为外连攻击,则可以将横向攻击及外连攻击(为方便描述,称为横向攻击+外连攻击),确定为网络资产对应的最新攻击方向信息。在一种可能的实施方式中,横向攻击+外连攻击可以用数字、字母等进行标识,例如可以用6等标识横向攻击+外连攻击。
表8
| 安全攻击事件携带的攻击方向信息 | 横向攻击(2) |
| 当前保存的已有攻击方向信息 | 外连攻击(3) |
| 最新攻击方向信息 | 横向攻击+外连攻击(6) |
再示例性的,参阅表9,如果安全攻击事件携带的攻击方向信息为横向攻击,而当前保存的网络资产对应的已有攻击方向信息为外部攻击+外连攻击,则可以将外部攻击、横向攻击以及外连攻击(为方便描述,称为外部攻击+横向攻击+外连攻击),确定为网络资产对应的最新攻击方向信息。在一种可能的实施方式中,外部攻击+横向攻击+外连攻击可以用数字、字母等进行标识,例如可以用7等标识外部攻击+横向攻击+外连攻击。
表9
| 安全攻击事件携带的攻击方向信息 | 横向攻击(2) |
| 当前保存的已有攻击方向信息 | 外部攻击+外连攻击(5) |
| 最新攻击方向信息 | 外部攻击+横向攻击+外连攻击(7) |
另外,当安全攻击事件携带的攻击特征信息中包括攻击特征信息的置信度信息,在基于安全攻击事件携带的攻击特征信息以及当前保存的所述网络资产对应的已有攻击特征信息,确定网络资产对应的最新攻击特征信息时,可以是基于安全攻击事件携带的攻击特征信息的置信度信息以及当前保存的网络资产对应的已有置信度信息,确定网络资产对应的最新置信度信息。可以理解的,可以进而将保存的已有置信度信息,更新为该最新置信度信息。其中,置信度信息的置信度越高,可以认为基于该攻击特征信息确定的风险级别信息的准确性越高;置信度信息的置信度越低,可以认为基于该攻击特征信息确定的风险级别信息的准确性越低。
在一种可能的实施方式中,在基于安全攻击事件携带的攻击特征信息的置信度信息以及当前保存的网络资产对应的已有置信度信息,确定网络资产对应的最新置信度信息时,可以是如果安全攻击事件携带的置信度信息与当前保存的网络资产对应的已有置信度信息相同,则可以仍将当前保存的网络资产对应的已有置信度信息,确定为网络资产对应的最新置信度信息。而如果安全攻击事件携带的置信度信息与当前保存的网络资产对应的已有置信度信息不同,则可以根据安全攻击事件携带的置信度信息和当前保存的网络资产对应的已有置信度信息中,包含的置信度信息,确定网络资产对应的最新置信度信息。
示例性的,参阅表10,如果安全攻击事件携带的置信度信息为“置信度高”,当前保存的网络资产对应的已有置信度信息也是“置信度高”,则可以仍将“置信度高”,确定为网络资产对应的最新置信度信息。在一种可能的实施方式中,置信度高可以用数字、字母等进行标识,例如可以用1等标识置信度高。
表10
| 安全攻击事件携带的置信度信息 | 置信度高(1) |
| 当前保存的已有置信度信息 | 置信度高(1) |
| 最新置信度信息 | 置信度高(1) |
可以理解的,参阅表11,如果安全攻击事件携带的置信度信息为“置信度中”,当前保存的网络资产对应的已有置信度信息也是“置信度中”,则可以仍将“置信度中”,确定为网络资产对应的最新置信度信息。在一种可能的实施方式中,置信度中可以用数字、字母等进行标识,例如可以用2等标识置信度中。
表11
| 安全攻击事件携带的置信度信息 | 置信度中(2) |
| 当前保存的已有置信度信息 | 置信度中(2) |
| 最新置信度信息 | 置信度中(2) |
可以理解的,参阅表12,如果安全攻击事件携带的置信度信息为“置信度低”,当前保存的网络资产对应的已有置信度信息也是“置信度低”,则可以仍将“置信度低”,确定为网络资产对应的最新置信度信息。在一种可能的实施方式中,置信度低可以用数字、字母等进行标识,例如可以用3等标识置信度低。
表12
| 安全攻击事件携带的置信度信息 | 置信度低(3) |
| 当前保存的已有置信度信息 | 置信度低(3) |
| 最新置信度信息 | 置信度低(3) |
另外,参阅表13,如果安全攻击事件携带的置信度信息为“置信度高”,当前保存的网络资产对应的已有置信度信息为“置信度中”,则可以将“置信度高和置信度中”(为方便描述,称为置信度高+置信度中),确定为网络资产对应的最新置信度信息。在一种可能的实施方式中,置信度高+置信度中可以用数字、字母等进行标识,例如可以用4等标识置信度高+置信度中。
表13
| 安全攻击事件携带的置信度信息 | 置信度高(1) |
| 当前保存的已有置信度信息 | 置信度中(2) |
| 最新置信度信息 | 置信度高+置信度中(4) |
另外,参阅表14,如果安全攻击事件携带的置信度信息为“置信度高”,当前保存的网络资产对应的已有置信度信息为“置信度低”,则可以将“置信度高和置信度低”(为方便描述,称为置信度高+置信度低),确定为网络资产对应的最新置信度信息。在一种可能的实施方式中,置信度高+置信度低可以用数字、字母等进行标识,例如可以用5等标识置信度高+置信度低。
表14
| 安全攻击事件携带的置信度信息 | 置信度高(1) |
| 当前保存的已有置信度信息 | 置信度低(3) |
| 最新置信度信息 | 置信度高+置信度低(5) |
另外,参阅表15,如果安全攻击事件携带的置信度信息为“置信度低”,当前保存的网络资产对应的已有置信度信息为“置信度中”,则可以将“置信度中和置信度低”(为方便描述,称为置信度中+置信度低),确定为网络资产对应的最新置信度信息。在一种可能的实施方式中,置信度中+置信度低可以用数字、字母等进行标识,例如可以用6等标识置信度中+置信度低。
表15
| 安全攻击事件携带的置信度信息 | 置信度低(3) |
| 当前保存的已有置信度信息 | 置信度中(2) |
| 最新置信度信息 | 置信度中+置信度低(6) |
另外,参阅表16,如果安全攻击事件携带的置信度信息为“置信度低”,当前保存的网络资产对应的已有置信度信息为“置信度高+置信度中”,则可以将“置信度高、置信度中和置信度低”(为方便描述,称为置信度高+置信度中+置信度低),确定为网络资产对应的最新置信度信息。在一种可能的实施方式中,置信度高+置信度中+置信度低可以用数字、字母等进行标识,例如可以用7等标识置信度高+置信度中+置信度低。
表16
| 安全攻击事件携带的置信度信息 | 置信度低(3) |
| 当前保存的已有置信度信息 | 置信度高+置信度中(4) |
| 最新置信度信息 | 置信度高+置信度中+置信度低(7) |
另外,当安全攻击事件携带的攻击特征信息中包括攻击特征信息的威胁等级信息,在基于安全攻击事件携带的威胁等级信息以及当前保存的所述网络资产对应的已有威胁等级信息,确定网络资产对应的最新威胁等级信息时,可以是基于安全攻击事件携带的攻击特征信息的威胁等级信息以及当前保存的网络资产对应的已有威胁等级信息,确定网络资产对应的最新威胁等级信息。同时,可以将保存的已有威胁等级信息,更新为该最新威胁等级信息。其中,威胁等级信息的威胁等级越高,可以认为对应的安全攻击事件对网络资产的威胁程度越高。威胁等级信息的威胁等级越低,可以认为对应的安全攻击事件对网络资产的威胁程度越低。
在一种可能的实施方式中,在基于安全攻击事件携带的攻击特征信息的威胁等级信息以及当前保存的网络资产对应的已有威胁等级信息,确定网络资产对应的最新威胁等级信息时,可以是如果安全攻击事件携带的威胁等级信息与当前保存的网络资产对应的已有威胁等级信息相同,则可以仍将当前保存的网络资产对应的已有威胁等级信息,确定为网络资产对应的最新威胁等级信息。而如果安全攻击事件携带的威胁等级信息与当前保存的网络资产对应的已有威胁等级信息不同,则可以根据安全攻击事件携带的威胁等级信息和当前保存的网络资产对应的已有威胁等级信息中,包含的威胁等级信息,确定网络资产对应的最新威胁等级信息。
示例性的,参阅表17,如果安全攻击事件携带的威胁等级信息为“威胁等级高”,当前保存的网络资产对应的已有威胁等级信息也是“威胁等级高”,则可以仍将“威胁等级高”,确定为网络资产对应的最新威胁等级信息。在一种可能的实施方式中,威胁等级高可以用数字、字母等进行标识,例如可以用1等标识威胁等级高。
表17
| 安全攻击事件携带的威胁等级信息 | 威胁等级高(1) |
| 当前保存的已有威胁等级信息 | 威胁等级高(1) |
| 最新威胁等级信息 | 威胁等级高(1) |
另外,参阅表18,如果安全攻击事件携带的威胁等级信息为“威胁等级中”,当前保存的网络资产对应的已有威胁等级信息也是“威胁等级中”,则可以仍将“威胁等级中”,确定为网络资产对应的最新威胁等级信息。在一种可能的实施方式中,威胁等级中可以用数字、字母等进行标识,例如可以用2等标识威胁等级中。
表18
| 安全攻击事件携带的威胁等级信息 | 威胁等级中(2) |
| 当前保存的已有威胁等级信息 | 威胁等级中(2) |
| 最新威胁等级信息 | 威胁等级中(2) |
另外,参阅表19,如果安全攻击事件携带的威胁等级信息为“威胁等级低”,当前保存的网络资产对应的已有威胁等级信息也是“威胁等级低”,则可以仍将“威胁等级低”,确定为网络资产对应的最新威胁等级信息。在一种可能的实施方式中,威胁等级低可以用数字、字母等进行标识,例如可以用3等标识威胁等级低。
表19
| 安全攻击事件携带的威胁等级信息 | 威胁等级低(3) |
| 当前保存的已有威胁等级信息 | 威胁等级低(3) |
| 最新威胁等级信息 | 威胁等级低(3) |
可以理解的,参阅表20,如果安全攻击事件携带的威胁等级信息为“威胁等级高”,当前保存的网络资产对应的已有威胁等级信息为“威胁等级中”,则可以仍“威胁等级高和威胁等级中”(为方便描述,称为威胁等级高+威胁等级中),确定为网络资产对应的最新威胁等级信息。在一种可能的实施方式中,威胁等级高+威胁等级中可以用数字、字母等进行标识,例如可以用4等标识威胁等级高+威胁等级中。
表20
| 安全攻击事件携带的威胁等级信息 | 威胁等级高(1) |
| 当前保存的已有威胁等级信息 | 威胁等级中(2) |
| 最新威胁等级信息 | 威胁等级高+威胁等级中(4) |
可以理解的,参阅表21,如果安全攻击事件携带的威胁等级信息为“威胁等级高”,当前保存的网络资产对应的已有威胁等级信息为“威胁等级低”,则可以将“威胁等级高和威胁等级低”(为方便描述,称为威胁等级高+威胁等级低),确定为网络资产对应的最新威胁等级信息。在一种可能的实施方式中,威胁等级高+威胁等级低可以用数字、字母等进行标识,例如可以用5等标识威胁等级高+威胁等级低。
表21
| 安全攻击事件携带的威胁等级信息 | 威胁等级高(1) |
| 当前保存的已有威胁等级信息 | 威胁等级低(3) |
| 最新威胁等级信息 | 威胁等级高+威胁等级低(5) |
另外,参阅表22,如果安全攻击事件携带的威胁等级信息为“威胁等级低”,当前保存的网络资产对应的已有威胁等级信息为“威胁等级中”,则可以将“威胁等级中和威胁等级低”(为方便描述,称为威胁等级中+威胁等级低),确定为网络资产对应的最新威胁等级信息。在一种可能的实施方式中,威胁等级中+威胁等级低可以用数字、字母等进行标识,例如可以用6等标识威胁等级中+威胁等级低。
表22
| 安全攻击事件携带的威胁等级信息 | 威胁等级低(3) |
| 当前保存的已有威胁等级信息 | 威胁等级中(2) |
| 最新威胁等级信息 | 威胁等级中+威胁等级低(6) |
另外,参阅表23,如果安全攻击事件携带的威胁等级信息为“威胁等级低”,当前保存的网络资产对应的已有威胁等级信息为“威胁等级高+威胁等级中”,则可以将“威胁等级高、威胁等级中和威胁等级低”(为方便描述,称为威胁等级高+威胁等级中+威胁等级低),确定为网络资产对应的最新威胁等级信息。在一种可能的实施方式中,威胁等级高+威胁等级中+威胁等级低可以用数字、字母等进行标识,例如可以用7等标识威胁等级高+威胁等级中+威胁等级低。
表23
| 安全攻击事件携带的威胁等级信息 | 威胁等级低(3) |
| 当前保存的已有威胁等级信息 | 威胁等级高+威胁等级中(4) |
| 最新威胁等级信息 | 威胁等级高+威胁等级中+威胁等级低(7) |
另外,考虑到如果发起攻击设备为命中威胁情报(黑名单)中的攻击设备,可以认为安全攻击事件对网络资产的威胁风险会增加,为了准确确定网络资产的风险级别信息,安全攻击事件携带的攻击特征信息中可以包括发起攻击设备的标识信息。具体的,如果安全攻击事件携带的攻击特征信息中包括发起攻击设备的标识信息,在基于安全攻击事件携带的攻击特征信息以及当前保存的网络资产对应的攻击特征信息,确定网络资产对应的最新攻击特征信息时,可以先判断安全攻击事件携带的发起攻击设备的标识信息是否命中威胁情报。如果安全攻击事件携带的发起攻击设备的标识信息命中威胁情报,则可以认为该安全攻击事件的发起攻击设备命中威胁情报,可以将设定的命中标识信息,确定为网络资产对应的最新风险特征信息。其中,命中标识信息可以根据需求灵活设置,本申请对此不作具体限定,示例性的,命中标识信息可以为1等。其中,威胁情报(黑名单)可以根据需求灵活设置,本申请对此不作具体限定,例如,威胁情报可以是基于绿盟威胁情报中心(NTI)的情报信息确定的。
而如果安全攻击事件携带的发起攻击设备的标识信息未命中威胁情报,可以进而判断当前保存的网络资产对应的风险特征信息是否为设定的命中标识信息。如果安全攻击事件携带的发起攻击设备的标识信息未命中威胁情报,且当前保存的网络资产对应的风险特征信息为设定的命中标识信息,则可以仍将命中标识信息,确定为网络资产对应的最新风险特征信息。
而如果安全攻击事件携带的发起攻击设备的标识信息未命中威胁情报,且当前保存的所述网络资产对应的风险特征信息为设定的未命中标识信息(非设定的命中标识信息),则可以仍将设定的未命中标识信息,确定为网络资产对应的最新风险特征信息。其中,未命中标识信息可以根据需求灵活设置,本申请对此不作具体限定,示例性的,未命中标识信息可以为0等。
由于本申请可以基于流式累积方式确定网络资产对应的最新攻击特征信息,相比只基于一个安全攻击事件确定网络资产的攻击特征信息而言,可以更准确地确定网络资产对应的最新攻击特征信息,进而可以准确地确定网络资产的风险级别信息。
S103:根据所述安全攻击事件携带的所述网络资产的标识信息,从保存的网络资产漏洞特征信息中,确定所述标识信息的网络资产对应的目标漏洞特征信息;基于所述目标漏洞特征信息,确定所述网络资产当前的脆弱性级别特征信息。
考虑到如果网络资产自身的漏洞较多等时,网络资产通常较脆弱(脆弱性较高),网络资产被攻击的概率较高;而如果网络资产自身的漏洞较少等时,网络资产通常脆弱性较低,网络资产被攻击的概率较低。在一种可能的实施方式中,为了准确确定网络资产的风险级别信息,还可以基于网络资产当前的脆弱性级别特征信息,来确定网络资产的风险级别信息。为了准确确定网络资产当前的脆弱性级别特征信息,可以保存每个网络资产的漏洞特征信息,在接收到安全攻击事件时,可以根据安全攻击事件携带的网络资产的标识信息,从保存的网络资产漏洞特征信息中,确定该标识信息对应的漏洞特征信息(为方便描述,称为目标漏洞特征信息)。同时,基于该目标漏洞特征信息,确定网络资产当前的脆弱性级别特征信息。其中,网络资产当前的脆弱性级别特征信息可以包括:脆弱性高、脆弱性中、脆弱性低、脆弱性未知等。可选的,可以根据目标漏洞特征信息及层次分析(AHP)算法,确定网络资产当前的脆弱性级别特征信息,在此不再赘述。在一种可能的实施方式中,脆弱性高可以用1等进行标识,脆弱性中可以用2等进行标识,脆弱性低可以用3等进行标识,脆弱性未知可以用4等进行标识,其中,脆弱性级别特征信息的标识可以根据需求灵活设置,本申请对此不作具体限定。
S104:将所述最新攻击特征信息和/或所述脆弱性级别特征信息,输入预先训练完成的资产风险判别模型,获取所述资产风险判别模型的输出的所述网络资产当前的风险级别信息。
在一种可能的实施方式中,为了准确确定网络资产当前的风险级别信息,可以将S102中确定的网络资产对应的最新攻击特征信息和/或S103中确定的网络资产当前的脆弱性级别特征信息,输入预先训练完成的资产风险判别模型。例如,可以将S102中确定的网络资产对应的最新攻击特征信息,输入预先训练完成的资产风险判别模型,也可以将S103中确定的网络资产当前的脆弱性级别特征信息,输入预先训练完成的资产风险判别模型,也可以将S102中确定的网络资产对应的最新攻击特征信息以及S103中确定的网络资产当前的脆弱性级别特征信息,同时输入预先训练完成的资产风险判别模型。并可以将资产风险判别模型输出的网络资产的风险级别信息,确定为网络资产当前的风险级别信息。示例性的,网络资产的风险级别信息可以包括低风险网络资产、高风险网络资产、失陷网络资产中的至少一种。
为方便理解,下面以一个具体实施例对本申请提供的确定网络资产对应的最新攻击特征信息以及当前的脆弱性级别特征信息的过程进行举例说明。
参阅表24,假设以标识信息(例如可以是身份证标识号(Identify document,ID))为B的网络资产为例,获取到的第一个安全攻击事件携带的攻击特征信息包括的攻击链所处的攻击阶段类型信息为“攻击渗透”,攻击方向信息为“外部攻击”、攻击特征信息的置信度信息为“置信度高”、威胁等级信息为“威胁等级高”、发起攻击的设备的标识信息命中威胁情报(位于预设的黑名单中)。
表24
/>
另外,确定的网络资产当前的脆弱性级别特征信息为脆弱性高。示例性的,按照第一区间、第二区间、攻击方向信息、置信度信息、威胁等级信息、发起攻击的设备的标识信息是否为命中威胁情报、脆弱性级别特征信息的先后顺序,确定的包含最新攻击特征信息以及脆弱性级别特征信息的特征向量可以为:[1,0,1,1,1,1,1]。可以将该特征向量输入预先训练完成的资产风险判别模型,可以获取网络资产当前的风险级别信息。
如果后续获取到第二个安全攻击事件,参阅表25,该安全攻击事件携带的攻击特征信息包括的攻击链所处的攻击阶段类型信息为“安装工具”,攻击方向信息为“横向攻击”、攻击特征信息的置信度信息为“置信度高”、威胁等级信息为“威胁等级高”、发起攻击的设备的标识信息命中威胁情报。
表25
另外,确定的网络资产当前的脆弱性级别特征信息为脆弱性高。示例性的,按照第一区间、第二区间、攻击方向信息、置信度信息、威胁等级信息、发起攻击的设备的标识信息是否为命中威胁情报、脆弱性级别特征信息的先后顺序,确定的包含最新攻击特征信息以及脆弱性级别特征信息的特征向量可以为:[1,1,4,1,1,1,1]。将该特征向量输入预先训练完成的资产风险判别模型,可以获取网络资产当前的风险级别信息。
采用上述方式,可以实时动态地准确地确定网络资产的风险级别信息。
由于本申请可以基于安全攻击事件携带的攻击特征信息以及当前保存的网络资产对应的攻击特征信息,确定网络资产对应的最新攻击特征信息;并可以基于网络资产的目标漏洞特征信息,确定网络资产当前的脆弱性级别特征信息;将最新攻击特征信息和/或脆弱性级别特征信息,输入预先训练完成的资产风险判别模型,获取资产风险判别模型输出的网络资产当前的风险级别信息,从而可以提高确定网络资产的风险级别信息的准确性。
为方便理解,下面通过一个具体实施例对本申请提供的网络资产风险级别信息确定过程进行解释说明。参阅图2,图2示出了一些实施例提供的第二种网络资产风险级别信息确定过程示意图,如图2所示,安全设备将采集到的网络资产的工作日志发送给电子设备,电子设备基于归一化引擎及攻击识别引擎等,对工作日志进行智能分析,获取网络资产的安全攻击事件。其中,安全攻击事件携带攻击特征信息,攻击特征信息中包括攻击链所处的每个攻击阶段类型信息、攻击方向信息、攻击特征信息的置信度信息、威胁等级信息以及发起攻击的设备(网络资产)的标识信息。
电子设备可以基于安全攻击事件携带的攻击特征信息以及当前保存的网络资产对应的攻击特征信息,确定网络资产对应的最新攻击特征信息。同时,电子设备还可以根据安全攻击事件携带的网络资产的标识信息,从保存的网络资产漏洞特征信息中,确定该标识信息的网络资产对应的目标漏洞特征信息;基于目标漏洞特征信息,确定网络资产当前的脆弱性级别特征信息。
可以将最新攻击特征信息以及脆弱性级别特征信息输入预先训练完成的资产风险判别模型,将资产风险判别模型输出的风险级别信息,确定为网络资产当前的风险级别信息。示例性的,风险级别信息可以包括低风险网络资产、高风险网络资产、失陷网络资产等。
在一种可能的实施方式中,为了可以追溯网络资产在不同时间的风险状态(为方便描述,后续称为可追溯),形成攻击链路时序,使得网络资产从无风险到低风险再到高风险甚至失陷的整个受攻击过程都是可追溯的,便于运维人员等对网络资产进行监管,可以保存安全攻击事件对应的时间信息与安全攻击事件携带的攻击特征信息、确定的网络资产的最新攻击特征信息、网络资产当前的脆弱性级别特征信息、网络资产当前的风险级别信息中的至少一种的对应关系。示例性的,可以保存安全攻击事件对应的时间信息与安全攻击事件携带的攻击特征信息、确定的网络资产的最新攻击特征信息、网络资产当前的脆弱性级别特征信息以及网络资产当前的风险级别信息的对应关系。另外,可以将确定的上述对应关系等进行保存(网络资产数据入库),便于运维人员等查证及管理(监管)。
在一种可能的实施方式中,运维人员等可以根据网络资产当前的风险级别信息及时地对网络资产进行运维处置(运维响应处置动态判定)。例如,可以对已经失陷的网络资产尽快进行运维,隔离该网络资产。另外,还可以对低风险网络资产和高风险网络资产的漏洞进行处理等,及时对网络资产进行安全加固。可选的,运维人员等对网络资产进行安全加固后,可以将当前保存的该网络资产对应的攻击特征信息进行清零(重置为空),即可以重头重新开始基于安全事件中携带的攻击特征信息及当前保存的网络资产对应的攻击特征信息,确定网络资产对应的最新攻击特征信息。
为方便理解,下面再通过一个具体实施例对本申请提供的网络资产风险级别信息确定过程进行解释说明。参阅图3,图3示出了一些实施例提供的第三种网络资产风险级别信息确定过程示意图,如图3所示,电子设备可以从KAFKA数据库等中获取网络资产的安全攻击事件;基于安全攻击事件携带的攻击特征信息以及当前保存的网络资产对应的攻击特征信息,确定网络资产对应的最新攻击特征信息;根据安全攻击事件携带的网络资产的标识信息,从保存的网络资产漏洞特征信息中,确定标识信息的网络资产对应的目标漏洞特征信息;基于目标漏洞特征信息,确定网络资产当前的脆弱性级别特征信息。
可选的,为了提高效率,可以将最新攻击特征息和/或脆弱性级别特征信息作为一个特征向量保存在本地(一级页面置换算法(Least Recently Used,LRU)缓存),将保存在本地的特征向量输入预先完成的资产风险判别模型,可以提高效率。
在一种可能的实施方式中,考虑到保存在本地的特征向量可能会因为电子设备进程异常等丢失,为了防止特征向量丢失,可以同时将特征向量保存在redis缓存(二级页面置换算法(Least Recently Used,LRU)缓存)以及数据库中。
具体的,在需要将某个特征向量输入到资产风险判别模型之前,可以先判断本地一级LRU缓存中是否保存有该特征向量,如果有,则直接从本地一级LRU缓存中获取该特征向量,并将该特征向量输入预先训练完成的资产风险判别模型。
如果本地一级LRU缓存中没有保存该特征向量,则可以进而在二级LRU缓存中查找是否有该特征向量,如果有,则可以从二级LRU缓存中获取该特征向量,并将该特征向量输入预先训练完成的资产风险判别模型。
如果在二级LRU缓存中没有查找到该特征向量,则可以进而在数据库中查找该特征向量,将数据库中保存的该特征向量输入预先训练完成的资产风险判别模型中。
运维人员等可以根据资产风险判别模型的输出结果对网络资产进行处置(风险资产处置),如果对有安全风险的网络资产进行了安全加固,可以基于风险资产通知线程,将当前保存的该网络资产对应的攻击特征信息进行清零(重置为空)等。
为了准确确定网络资产的风险级别信息,在一种可能的实施方式中,训练资产风险判别模型的过程包括:
获取样本集中任一样本特征信息向量;其中,所述特征信息向量中包含攻击特征信息和/或脆弱性级别特征信息,所述特征信息向量对应有样本风险级别信息标签;
通过原始资产风险判别模型,确定所述样本特征信息向量对应的识别风险级别信息标签;
根据所述样本风险级别信息标签和所述识别风险级别信息标签,对原始资产风险判别模型进行训练。
在一种可能的实施方式中,样本集中任一样本特征信息向量都有其对应的样本风险级别信息标签,该样本风险级别信息标签用于标识样本特征信息向量的风险级别信息。其中,特征信息向量可以包括攻击特征信息或者脆弱性级别特征信息,也可以包括攻击特征信息以及脆弱性级别特征信息,可以根据需求灵活设置,样本特征信息向量对应的样本风险级别信息标签也可以根据需求灵活设置,本申请对此不作具体限定。
在对资产风险判别模型进行训练时,可以获取样本集中任一样本特征信息向量,并可以将获取到的样本特征信息向量输入原始资产风险判别模型(未完成训练的资产风险判别模型),通过原始资产风险判别模型,确定样本特征信息向量对应的识别风险级别信息标签。
具体实施中,确定了输入的样本特征信息向量的识别风险级别信息标签后,因为预先保存了该样本特征信息向量的样本风险级别信息标签,因此,可以根据样本风险级别信息标签与识别风险级别信息标签是否一致,确定该资产风险判别模型的识别结果是否准确。具体实施中,若不一致,说明该资产风险判别模型的识别结果不准确,则需要对资产风险判别模型的参数进行调整,从而对资产风险判别模型进行训练。
具体实施中,对资产风险判别模型进行调整时,可以采用梯度下降算法,对资产风险判别模型的参数的梯度进行反向传播,从而对资产风险判别模型进行训练。
在一种可能的实施方式中,可以对样本集中每个样本特征信息向量都进行上述操作,当满足预设的收敛条件时,确定该资产风险判别模型训练完成。
其中,满足预设的收敛条件可以为样本集中的样本特征信息向量通过原始资产风险判别模型,被正确识别的样本特征信息向量的个数大于设定数量,或对资产风险判别模型进行训练的迭代次数达到设置的最大迭代次数等。具体实施中可以灵活进行设置,在此不作具体限定。
在一种可能的实施方式,在对原始资产风险判别模型进行训练时,可以把样本集中的样本特征信息向量分训练样本和测试样本,例如可以将样本集中70%的样本特征信息向量作为训练样本,将样本集中30%的样本特征信息向量作为测试样本,先基于训练样本对原始资产风险判别模型进行训练,再基于测试样本对上述已训练的资产风险判别模型的可靠程度进行验证。其中,本申请对样本集中样本特征信息向量的数量不作具体限定,例如可以是177462个等,可以根据需求灵活设置。
在一种可能的实施方式中,随机森林算法利用自举汇聚法(bootstrapaggregating,简称袋装法(bagging))思想,可以生成多个相互独立的基评估器(决策树),可以基于多棵(多个)决策树对特征信息向量的识别结果(为方便描述,称为候选识别结果),确定资产风险判别模型对特征信息向量的最终的识别结果(目标识别结果)。
参阅图4,图4示出了一些实施例提供的一种基于随机森林算法对资产风险判别模型进行训练过程示意图。以决策树(estimator)有n个为例,n为大于1的正整数,针对每个决策树,基于有放回取样(bootstrap),分别从样本集中抽取样本特征信息向量,将该样本特征信息向量输入对应的决策树,基于该决策树,生成该样本特征信息向量对应的候选识别结果(分类结果)。示例性的,可以将多个决策树生成的多个候选识别结果中,占比最大(数量最多)的候选识别结果,确定(集成)为资产风险判别模型对特征信息向量的识别结果(投票最优分类结果)。
参阅图5,图5示出了一些实施例提供的单个决策树和多个决策树效果对比图,如图5所示,分别经过10次十折交叉验证取均值的情况下,基于单棵决策树(基评估器)确定的网络资产的风险级别信息的准确率基本保持在0.91上下浮动,而基于多棵决策树(随机森林算法)确定的网络资产的风险级别信息的准确率相较于单颗决策树表现更稳定,准确率提升至0.96上下浮动。由此可以看出,相对于单颗决策树,多颗决策树的稳定性和准确性均更好,而且还可以避免模型的过拟合问题。
参阅图6,图6示出了一些实施例提供的决策树数量与模型准确性关系示意图,由图6可以看出,通常情况下,如果每棵决策树的准确性等比较准确的情况下,决策树(基评估器)的数量越多,模型(资产风险判别模型)的准确性(准确率)越高。然而当决策树(基评估器)的个数超过一定数量阈值后,模型的准确性基本保持稳定,而不再升高,但是能耗可能会增加。考虑到兼顾模型的准确性及能耗,在本申请实施例中,决策树(基评估器)的数量可以为40等。
参阅表26和表27可以看出,当实际共有26764个低风险网络资产时,基于训练完成的资产风险判别模型,共确定出26086个低风险网络资产,678个高风险网络资产,0个失陷网络资产。针对识别(确定)低风险网络资产的精准率可以达到97%(0.97),召回率可以达到98%(0.98),方差齐性检验的F值可以达到98%(0.98)。
另外,当实际共有11491个高风险网络资产时,基于训练完成的资产风险判别模型,共确定出658个低风险网络资产,10528个高风险网络资产,305个失陷网络资产。针对识别(确定)高风险网络资产的精准率可以达到92%(0.92),召回率可以达到91%(0.91),方差齐性检验的F值达到92%(0.92)。
另外,当实际共有14983个失陷网络资产时,基于训练完成的资产风险判别模型,共确定出0个低风险网络资产,296个高风险网络资产,14687个失陷网络资产。针对识别(确定)失陷网络资产的精准率可以达到98%(0.98),召回率可以达到98%(0.98),方差齐性检验的F值达到98%(0.98)。
表26
表27
由此也可以看出,用本申请提供的上述方法,确定的网络资产的风险级别信息的准确性较高,误报率较低。
实施例2:
基于相同的技术构思,本申请提供了一种网络资产风险级别信息确定装置。如图7所示,图7示出了一些实施例提供的一种网络资产风险级别信息确定装置示意图,所述装置包括:
第一获取模块71,用于获取任一网络资产的安全攻击事件;
第一确定模块72,用于基于所述安全攻击事件携带的攻击特征信息以及当前保存的所述网络资产对应的攻击特征信息,确定所述网络资产对应的最新攻击特征信息;
第二确定模块73,用于根据所述安全攻击事件携带的所述网络资产的标识信息,从保存的网络资产漏洞特征信息中,确定所述标识信息的网络资产对应的目标漏洞特征信息;基于所述目标漏洞特征信息,确定所述网络资产当前的脆弱性级别特征信息;
第二获取模块74,用于将所述最新攻击特征信息和/或所述脆弱性级别特征信息,输入预先训练完成的资产风险判别模型,获取所述资产风险判别模型的输出的所述网络资产当前的风险级别信息。
在一种可能的实施方式中,所述第一确定模块72,具体用于若所述安全攻击事件携带的攻击特征信息中包括攻击链所处的每个攻击阶段类型信息,针对所述每个攻击阶段类型信息,确定该攻击阶段类型信息所属的攻击阶段类型设定区间;
针对每个攻击阶段类型设定区间,确定属于该攻击阶段类型设定区间的攻击阶段类型信息及属于该攻击阶段类型设定区间的攻击阶段类型信息对应的第一数量标识;基于所述第一数量标识和对应的攻击阶段类型信息、以及当前保存的所述网络资产对应的该攻击阶段类型设定区间对应的第二数量标识和对应的已有攻击阶段类型信息,确定所述网络资产对应的该攻击阶段类型设定区间对应的最新攻击阶段类型数量标识。
在一种可能的实施方式中,所述第一确定模块72,具体用于判断所述第一数量标识对应的攻击阶段类型信息与所述第二数量标识对应的已有攻击阶段类型信息是否完全相同;
若是,则将所述第二数量标识,确定为所述最新攻击阶段类型信息数量标识;
若否,则根据所述第一数量标识对应的攻击阶段类型信息和所述已有攻击阶段类型信息中,包含的攻击阶段类型信息的数量,确定所述最新攻击阶段类型信息数量标识。
在一种可能的实施方式中,所述第一确定模块72,具体用于若所述安全攻击事件携带的攻击特征信息中包括发起攻击设备的标识信息,判断所述标识信息是否命中威胁情报;
若所述标识信息命中威胁情报,则将设定的命中标识信息,确定为所述网络资产对应的最新风险特征信息;
若所述标识信息未命中威胁情报,且当前保存的所述网络资产对应的风险特征信息为设定的命中标识信息,则将所述命中标识信息,确定为所述网络资产对应的最新风险特征信息;
若所述标识信息未命中威胁情报,且当前保存的所述网络资产对应的风险特征信息为设定的未命中标识信息,则将所述未命中标识信息,确定为所述网络资产对应的最新风险特征信息。
在一种可能的实施方式中,所述装置还包括:
保存模块,用于保存所述安全攻击事件对应的时间信息与所述攻击特征信息、所述最新攻击特征信息、所述脆弱性级别特征信息、所述风险级别信息中的至少一种的对应关系。
基于相同的技术构思,在上述各实施例的基础上,本申请还提供了一种电子设备,图8示出了一些实施例提供的一种电子设备结构示意图,如图8所示,包括:处理器81、通信接口82、存储器83和通信总线84,其中,处理器81,通信接口82,存储器83通过通信总线84完成相互间的通信;
所述存储器83中存储有计算机程序,当所述程序被所述处理器81执行时,使得所述处理器81以完成上述网络资产风险级别信息确定方法的步骤。
由于上述电子设备解决问题的原理与上述方法部分提供的网络资产风险级别信息确定方法相似,因此上述电子设备的实施可以参见网络资产风险级别信息确定方法的实施,重复之处不再赘述。
上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口82用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选地,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括中央处理器、网络处理器(NetworkProcessor,NP)等;还可以是数字指令处理器(Digital Signal Processing,DSP)、专用集成电路、现场可编程门陈列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。
基于相同的技术构思,在上述各实施例的基础上,本申请提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有可由电子设备执行的计算机程序,计算机可执行指令用于使计算机执行前述方法部分所执行的流程。
上述计算机可读存储介质可以是电子设备中的处理器能够存取的任何可用介质或数据存储设备,包括但不限于磁性存储器如软盘、硬盘、磁带、磁光盘(MO)等、光学存储器如CD、DVD、BD、HVD等、以及半导体存储器如ROM、EPROM、EEPROM、非易失性存储器(NANDFLASH)、固态硬盘(SSD)等。
基于相同的技术构思,在上述各实施例的基础上,本申请提供了一种计算机程序产品,所述计算机程序产品包括:计算机程序代码,当所述计算机程序代码在计算机上运行时,使得计算机执行如上述任一所述网络资产风险级别信息确定方法的步骤。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (10)
1.一种网络资产风险级别信息确定方法,其特征在于,所述方法包括:
获取任一网络资产的安全攻击事件;
基于所述安全攻击事件携带的攻击特征信息以及当前保存的所述网络资产对应的攻击特征信息,确定所述网络资产对应的最新攻击特征信息;
根据所述安全攻击事件携带的所述网络资产的标识信息,从保存的网络资产漏洞特征信息中,确定所述标识信息的网络资产对应的目标漏洞特征信息;基于所述目标漏洞特征信息,确定所述网络资产当前的脆弱性级别特征信息;
将所述最新攻击特征信息和/或所述脆弱性级别特征信息,输入预先训练完成的资产风险判别模型,获取所述资产风险判别模型输出的所述网络资产当前的风险级别信息。
2.根据权利要求1所述的方法,其特征在于,所述攻击特征信息包括:攻击链所处的每个攻击阶段类型信息、攻击方向信息、攻击特征信息的置信度信息、威胁等级信息及发起攻击的网络资产的标识信息中的至少一种。
3.根据权利要求2所述的方法,其特征在于,所述基于所述安全攻击事件携带的攻击特征信息以及当前保存的所述网络资产对应的攻击特征信息,确定所述网络资产对应的最新攻击特征信息包括:
若所述安全攻击事件携带的攻击特征信息中包括攻击链所处的每个攻击阶段类型信息,针对所述每个攻击阶段类型信息,确定该攻击阶段类型信息所属的攻击阶段类型设定区间;
针对每个攻击阶段类型设定区间,确定属于该攻击阶段类型设定区间的攻击阶段类型信息及属于该攻击阶段类型设定区间的攻击阶段类型信息对应的第一数量标识;基于所述第一数量标识和对应的攻击阶段类型信息、以及当前保存的所述网络资产对应的该攻击阶段类型设定区间对应的第二数量标识和对应的已有攻击阶段类型信息,确定所述网络资产对应的该攻击阶段类型设定区间对应的最新攻击阶段类型数量标识。
4.根据权利要求3所述的方法,其特征在于,所述基于所述第一数量标识和对应的攻击阶段类型信息、以及当前保存的所述网络资产对应的该攻击阶段类型设定区间对应的第二数量标识和对应的已有攻击阶段类型信息,确定所述网络资产对应的该攻击阶段类型设定区间对应的最新攻击阶段类型信息数量标识包括:
判断所述第一数量标识对应的攻击阶段类型信息与所述第二数量标识对应的已有攻击阶段类型信息是否完全相同;
若是,则将所述第二数量标识,确定为所述最新攻击阶段类型信息数量标识;
若否,则根据所述第一数量标识对应的攻击阶段类型信息和所述已有攻击阶段类型信息中,包含的攻击阶段类型信息的数量,确定所述最新攻击阶段类型信息数量标识。
5.根据权利要求2所述的方法,其特征在于,所述基于所述安全攻击事件携带的攻击特征信息以及当前保存的所述网络资产对应的攻击特征信息,确定所述网络资产对应的最新攻击特征信息包括:
若所述安全攻击事件携带的攻击特征信息中包括发起攻击设备的标识信息,判断所述标识信息是否命中威胁情报;
若所述标识信息命中威胁情报,则将设定的命中标识信息,确定为所述网络资产对应的最新风险特征信息;
若所述标识信息未命中威胁情报,且当前保存的所述网络资产对应的风险特征信息为设定的命中标识信息,则将所述命中标识信息,确定为所述网络资产对应的最新风险特征信息;
若所述标识信息未命中威胁情报,且当前保存的所述网络资产对应的风险特征信息为设定的未命中标识信息,则将所述未命中标识信息,确定为所述网络资产对应的最新风险特征信息。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
保存所述安全攻击事件对应的时间信息与所述攻击特征信息、所述最新攻击特征信息、所述脆弱性级别特征信息、所述风险级别信息中的至少一种的对应关系。
7.根据权利要求1所述的方法,其特征在于,训练所述资产风险判别模型的过程包括:
获取样本集中任一样本特征信息向量;其中,所述样本特征信息向量中包含攻击特征信息和/或脆弱性级别特征信息,所述样本特征信息向量对应有样本风险级别信息标签;
通过原始资产风险判别模型,确定所述样本特征信息向量对应的识别风险级别信息标签;
根据所述样本风险级别信息标签和所述识别风险级别信息标签,对原始资产风险判别模型进行训练。
8.一种网络资产风险级别信息确定装置,其特征在于,所述装置包括:
第一获取模块,用于获取任一网络资产的安全攻击事件;
第一确定模块,用于基于所述安全攻击事件携带的攻击特征信息以及当前保存的所述网络资产对应的攻击特征信息,确定所述网络资产对应的最新攻击特征信息;
第二确定模块,用于根据所述安全攻击事件携带的所述网络资产的标识信息,从保存的网络资产漏洞特征信息中,确定所述标识信息的网络资产对应的目标漏洞特征信息;基于所述目标漏洞特征信息,确定所述网络资产当前的脆弱性级别特征信息;
第二获取模块,用于将所述最新攻击特征信息和/或所述脆弱性级别特征信息,输入预先训练完成的资产风险判别模型,获取所述资产风险判别模型的输出的所述网络资产当前的风险级别信息。
9.一种电子设备,其特征在于,所述电子设备至少包括处理器和存储器,所述处理器用于执行存储器中存储的计算机程序时实现如权利要求1-7中任一所述网络资产风险级别信息确定方法的步骤。
10.一种计算机可读存储介质,其特征在于,其存储有计算机程序,所述计算机程序被处理器执行时实现上述如权利要求1-7任一所述网络资产风险级别信息确定方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210446032.9A CN114884712B (zh) | 2022-04-26 | 2022-04-26 | 一种网络资产风险级别信息确定方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210446032.9A CN114884712B (zh) | 2022-04-26 | 2022-04-26 | 一种网络资产风险级别信息确定方法、装置、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114884712A CN114884712A (zh) | 2022-08-09 |
| CN114884712B true CN114884712B (zh) | 2023-11-07 |
Family
ID=82672496
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210446032.9A Active CN114884712B (zh) | 2022-04-26 | 2022-04-26 | 一种网络资产风险级别信息确定方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114884712B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115150202B (zh) * | 2022-09-02 | 2022-11-25 | 北京云科安信科技有限公司 | 一种互联网it信息资产搜集及攻击探测的方法 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3226168A1 (en) * | 2016-03-31 | 2017-10-04 | Nxp B.V. | Electronic device and protection method |
| CN109064018A (zh) * | 2018-07-31 | 2018-12-21 | 郑州向心力通信技术股份有限公司 | 一种信息安全风险评估系统及方法 |
| KR20200055563A (ko) * | 2018-11-13 | 2020-05-21 | 국방과학연구소 | 사이버 훈련 환경에서 위협 발생을 위한 멀티레벨 기반의 시나리오 저작 방법 |
| CN111490970A (zh) * | 2020-02-19 | 2020-08-04 | 西安交大捷普网络科技有限公司 | 一种网络攻击的溯源分析方法 |
| US10754958B1 (en) * | 2016-09-19 | 2020-08-25 | Nopsec Inc. | Vulnerability risk mitigation platform apparatuses, methods and systems |
| CN112070120A (zh) * | 2020-08-12 | 2020-12-11 | 杭州安恒信息技术股份有限公司 | 威胁情报的处理方法、装置、电子装置和存储介质 |
| CN112464249A (zh) * | 2020-12-10 | 2021-03-09 | 北京冠程科技有限公司 | 资产设备攻击漏洞修复方法、装置、设备及存储介质 |
| CN113055407A (zh) * | 2021-04-21 | 2021-06-29 | 深信服科技股份有限公司 | 一种资产的风险信息确定方法、装置、设备及存储介质 |
| CN113159482A (zh) * | 2021-01-05 | 2021-07-23 | 航天信息股份有限公司广州航天软件分公司 | 一种用于评估信息安全风险的方法及系统 |
| CN113872959A (zh) * | 2021-09-24 | 2021-12-31 | 绿盟科技集团股份有限公司 | 一种风险资产等级判定和动态降级方法和装置及设备 |
| WO2022062416A1 (zh) * | 2020-09-22 | 2022-03-31 | 杭州安恒信息技术股份有限公司 | 资产风险评估方法、装置、计算机设备和存储介质 |
| CN114357447A (zh) * | 2021-12-30 | 2022-04-15 | 绿盟科技集团股份有限公司 | 攻击者威胁评分方法及相关装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9197666B2 (en) * | 2013-08-26 | 2015-11-24 | Verizon Patent And Licensing Inc. | Method and apparatus for mitigating distributed denial of service attacks |
| US20190095821A1 (en) * | 2017-09-27 | 2019-03-28 | Johnson Controls Technology Company | Building risk analysis system with expiry time prediction for threats |
| US10977375B2 (en) * | 2018-08-10 | 2021-04-13 | International Business Machines Corporation | Risk assessment of asset leaks in a blockchain |
-
2022
- 2022-04-26 CN CN202210446032.9A patent/CN114884712B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3226168A1 (en) * | 2016-03-31 | 2017-10-04 | Nxp B.V. | Electronic device and protection method |
| US10754958B1 (en) * | 2016-09-19 | 2020-08-25 | Nopsec Inc. | Vulnerability risk mitigation platform apparatuses, methods and systems |
| CN109064018A (zh) * | 2018-07-31 | 2018-12-21 | 郑州向心力通信技术股份有限公司 | 一种信息安全风险评估系统及方法 |
| KR20200055563A (ko) * | 2018-11-13 | 2020-05-21 | 국방과학연구소 | 사이버 훈련 환경에서 위협 발생을 위한 멀티레벨 기반의 시나리오 저작 방법 |
| CN111490970A (zh) * | 2020-02-19 | 2020-08-04 | 西安交大捷普网络科技有限公司 | 一种网络攻击的溯源分析方法 |
| CN112070120A (zh) * | 2020-08-12 | 2020-12-11 | 杭州安恒信息技术股份有限公司 | 威胁情报的处理方法、装置、电子装置和存储介质 |
| WO2022062416A1 (zh) * | 2020-09-22 | 2022-03-31 | 杭州安恒信息技术股份有限公司 | 资产风险评估方法、装置、计算机设备和存储介质 |
| CN112464249A (zh) * | 2020-12-10 | 2021-03-09 | 北京冠程科技有限公司 | 资产设备攻击漏洞修复方法、装置、设备及存储介质 |
| CN113159482A (zh) * | 2021-01-05 | 2021-07-23 | 航天信息股份有限公司广州航天软件分公司 | 一种用于评估信息安全风险的方法及系统 |
| CN113055407A (zh) * | 2021-04-21 | 2021-06-29 | 深信服科技股份有限公司 | 一种资产的风险信息确定方法、装置、设备及存储介质 |
| CN113872959A (zh) * | 2021-09-24 | 2021-12-31 | 绿盟科技集团股份有限公司 | 一种风险资产等级判定和动态降级方法和装置及设备 |
| CN114357447A (zh) * | 2021-12-30 | 2022-04-15 | 绿盟科技集团股份有限公司 | 攻击者威胁评分方法及相关装置 |
Non-Patent Citations (4)
| Title |
|---|
| High Precision Laser Fault Injection using Low-cost Components;Martin S. Kelly et al.;《2020 IEEE International Symposium on Hardware Oriented Security and Trust (HOST)》;全文 * |
| 云环境下虚拟机内恶意行为检测与起源追踪技术研究;谈诚;《中国优秀硕士学位论文全文数据库 信息科技辑》;全文 * |
| 基于攻击检测和节点脆弱性的网络安全风险分析方法;王红凯 等;计算机与现代化(01);全文 * |
| 网络安全态势感知技术研究与应用;宋进 等;通信技术(06);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114884712A (zh) | 2022-08-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109347801B (zh) | 一种基于多源词嵌入和知识图谱的漏洞利用风险评估方法 | |
| CN108306864B (zh) | 网络数据检测方法、装置、计算机设备和存储介质 | |
| CN105471882A (zh) | 一种基于行为特征的网络攻击检测方法及装置 | |
| CN111177714A (zh) | 异常行为检测方法、装置、计算机设备和存储介质 | |
| CN110493181B (zh) | 用户行为检测方法、装置、计算机设备及存储介质 | |
| CN114884712B (zh) | 一种网络资产风险级别信息确定方法、装置、设备及介质 | |
| CN105354494A (zh) | 网页数据篡改的检测方法及装置 | |
| CN113067820A (zh) | 对异常网页和/或app进行预警的方法、装置及设备 | |
| JP2024517124A (ja) | 機械学習、人工知能、および深層学習のユニットを保護するためのデバイス、システム、および方法 | |
| CN114491282B (zh) | 一种基于云计算的异常用户行为分析方法及系统 | |
| CN112765660A (zh) | 一种基于MapReduce并行聚类技术的终端安全性分析方法和系统 | |
| CN111898129A (zh) | 基于Two-Head异常检测模型的恶意代码样本筛选器及方法 | |
| CN110598959A (zh) | 一种资产风险评估方法、装置、电子设备及存储介质 | |
| CN113872959A (zh) | 一种风险资产等级判定和动态降级方法和装置及设备 | |
| CN110166422A (zh) | 域名行为识别方法、装置、可读存储介质和计算机设备 | |
| US20220374524A1 (en) | Method and system for anamoly detection in the banking system with graph neural networks (gnns) | |
| Suthaharan et al. | An approach for automatic selection of relevance features in intrusion detection systems | |
| US11868473B2 (en) | Method for constructing behavioural software signatures | |
| CN116244655A (zh) | 异常检测方法、装置、设备、存储介质及程序产品 | |
| CN115051833B (zh) | 一种基于终端进程的互通网络异常检测方法 | |
| CN117792715A (zh) | 威胁狩猎方法和装置 | |
| CN105429939A (zh) | 一种基于本体论的射频识别系统入侵检测方法 | |
| CN117828588A (zh) | 一种恶意智能合约创建交易识别方法及装置 | |
| CN115567279A (zh) | 异常数据确定方法、装置、计算机设备和存储介质 | |
| CN115567274A (zh) | 名单划分方法、装置、计算机设备、存储介质和产品 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |