CN114915491B - 一种网络终端安全状态的评估方法、装置及存储介质 - Google Patents
一种网络终端安全状态的评估方法、装置及存储介质 Download PDFInfo
- Publication number
- CN114915491B CN114915491B CN202210696289.XA CN202210696289A CN114915491B CN 114915491 B CN114915491 B CN 114915491B CN 202210696289 A CN202210696289 A CN 202210696289A CN 114915491 B CN114915491 B CN 114915491B
- Authority
- CN
- China
- Prior art keywords
- terminal
- behavior
- threshold value
- evaluating
- files
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000011156 evaluation Methods 0.000 title claims abstract description 17
- 230000006399 behavior Effects 0.000 claims abstract description 96
- 238000000034 method Methods 0.000 claims abstract description 27
- 230000036541 health Effects 0.000 claims description 14
- 238000004590 computer program Methods 0.000 claims description 6
- 230000008569 process Effects 0.000 claims description 6
- 238000004364 calculation method Methods 0.000 claims description 4
- 238000001816 cooling Methods 0.000 claims description 3
- 238000004422 calculation algorithm Methods 0.000 abstract description 4
- 230000009286 beneficial effect Effects 0.000 abstract 1
- 230000007774 longterm Effects 0.000 description 6
- 238000004458 analytical method Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提出一种网络终端安全状态的评估方法、装置及存储介质,统计一段时间范围内已知和未知文件发生的相关行为,与全网文件的相关行为中位数进行对比,以此来判断该事件是单次偶发还是相关偶发事件,并根据时间权重算法,对相关终端安全状态进行评估,能够有效对长期潜伏的未知文件进行安全评估,有效降低了企业网络安全风险。本发明同时还提供一种网络终端安全状态的评估装置和计算机可读存储介质,均具有上述有益效果。
Description
技术领域
本发明涉及计算机系统安全技术领域,具体地说,涉及一种网络终端安全状态的评估方法、装置及存储介质。
背景技术
企业内部网络通常存在的安全风险一般为单次安全事件和长期潜伏的高级威胁事件。传统的安全态势评估往往只是针对单次安全事件进行评估,对于长期潜伏的未知文件缺乏有效的评估方法。单次安全事件可能为单次偶发事件,也有可能为相关偶发事件。相关偶发事件可能是长期潜伏的高级威胁事件,对于企业内网的安全造成难以控制的威胁。因此,判断单次安全事件是否为相关偶发事件,对相关终端安全状态进行评估,对于企业网络安全具有重要意义。
发明内容
本发明提出一种网络终端安全状态的评估方法、装置及存储介质,结合单次安全事件与长期潜伏的未知文件,统计一段时间范围内已知和未知文件发生的相关行为,与全网文件的相关行为中位数进行对比,以此来判断该事件是单次偶发还是相关偶发事件,并根据时间权重算法,对相关终端安全状态进行评估。
本发明的内容如下:
本发明提出一种网络终端安全状态的评估方法,包括以下步骤:
采集第一时间段内网络终端已知文件、未知文件的数量及所述文件相关行为数据,并分类存储;
根据所述行为发生时间的远近对所述行为赋予时间权重;
结合所述时间权重,计算终端m中总文件行为评分Am与所述未知文件的行为评分xm比值的中位数Med:
xm=at1pt1+at2pt2+…+atwptw
Am=(at1pt1+at2pt2+…+atwptw)+(bt1pt1+bt2pt2+…+btwptw)
式中:a为所述终端发生的未知行为数量;b为所述终端发生的已知行为数量;median()表示求中位数,下标1-n表示所述终端编号,t1-tw表示所述行为发生的时间点编号;
计算所述终端总文件行为评分Am与未知文件行为评分xm的比值,与所述中位数Med进行比较:
式中:Em为终端的健康指标;
当Em小于第一阈值时,所述终端判断为健康状态;当Em大于第一阈值时,则计算危险指数Fm:
式中:max()表示求最大值;
当Fm大于等于第二阈值时,则所述终端判定为危险状态;当Fm小于第二阈值但大于第三阈值时,则所述终端判定为潜在风险状态;当Fm小于等于第三阈值时,则所述终端判定为较健康状态。
进一步地,相关文件行为包括:端口访问行为、文件读取行为、外联行为、文件下载行为、终止进程行为。
进一步地,权重取值在0至1之间,距离行为发生时间越近,权重越大。
进一步地,权重根据牛顿冷却定律确定:
式中:w(t)为单台终端当前时间的行为数量,Q为上一时间点的行为数量。
进一步地,所述第一时间段的范围可根据评估具体需要进行配置。
进一步地,所述第一阈值为0,所述第二阈值为80%,所述第三阈值为60%。
本发明提出与上述评估方法对应的网络终端安全状态的评估装置,包括:
数据采集及存储模块,用于采集网络终端已知文件、未知文件的数量及文件相关行为数据,并分类存储;
数据统计模块,基于所述数据,统计网络终端中文件的端口访问行为、文件读取行为、外联行为、文件下载行为、终止进程行为等,并按时间权重,计算出全网相关行为中位数;
终端健康指标计算模块,基于所述中位数,计算网络终端健康指标;
危险指数评估模块,基于所述健康指标,计算评估网络终端危险指数。
本发明提出与上述评估方法对应的一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时,实现上述任意一项网络终端安全状态的评估方法。
本发明提出的网络终端安全状态的评估方法、装置和存储介质,结合单次安全事件与长期潜伏的未知文件,统计一段时间范围内已知和未知文件发生的相关行为,与全网文件的相关行为中位数进行对比,以此来判断该事件是单次偶发还是相关偶发事件,并根据时间权重算法,对相关终端安全状态进行评估,能够有效对长期潜伏的未知文件进行的安全评估,有效降低了企业网络安全风险。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1本发明实施例中网络终端安全状态的评估方法流程图;
图2本发明实施例中网络终端安全状态的评估装置示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
根据本发明的实施例,提供了一种网络终端安全状态的评估方法,图1为网络终端安全状态的评估方法流程图,包括以下步骤:采集第一时间段内网络终端已知文件、未知文件的数量及所述文件相关行为数据,并分类存储;根据所述行为发生时间的远近对所述行为赋予时间权重;结合所述时间权重,计算终端m中总文件行为评分Am与所述未知文件的行为评分xm比值的中位数Med:
xm=at1pt1+at2pt2+…+atwptw
Am=(at1pt1+at2pt2+…+atwptw)+(bt1pt1+bt2pt2+…+btwptw)
式中:a为所述终端发生的未知行为数量;b为所述终端发生的已知行为数量;median()表示求中位数,下标1-n表示所述终端编号,t1-tw表示所述行为发生的时间点编号;
计算所述终端总文件行为评分Am与未知文件行为评分xm的比值,与所述中位数Med进行比较:
式中:Em为终端的健康指标;
当Em小于第一阈值时,所述终端判断为健康状态;当Em大于第一阈值时,则计算危险指数Fm:
式中:max()表示求最大值;
当Fm大于等于第二阈值时,则所述终端判定为危险状态;当Fm小于第二阈值但大于第三阈值时,则所述终端判定为潜在风险状态;当Fm小于等于第三阈值时,则所述终端判定为较健康状态。
通过上述方法,统计一段时间范围内已知和未知文件发生的相关行为,与全网文件的相关行为中位数进行对比,以此来判断该事件是单次偶发还是相关偶发事件,并根据时间权重算法,对相关终端安全状态进行评估,可以解决判断事件是单次偶发还是相关偶发事件,从而评估终端是否处于安全状态的问题,增强了企业内网的安全性。
本发明的一优选实施例中,采集一段时间内全网带有终端标识的已知文件、未知文件的数量及文件相关行为数据,相关行为包括端口访问行为、文件读取行为、外联行为、文件下载行为、终止进程行为等,上述时间范围可以按需要进行配置。采集的数据上报至管理中心,管理中心对于数据进行分类存储,并创建终端文件行为信息库,对数量进行统计。
本发明的一优选实施例中,根据时间权重,对单台终端一段时间内已知和未知文件发生的相关行为进行计算,距离采集时间越远的行为权重越低,距离采集时间越近的行为权重越高,步骤如下:
设t0为采集时间点,t1~t2为采集时间点前后的一段时间,该时间段可配置;在t0时,采集t1~t2时间范围内,该文件所有相关行为;行为发生时间距离采集时间点t0越远权重p越小(最小值为0),越近权重p越大(即采集时间点时最大,值为1);
时间权重p基于牛顿冷却定律进行计算:
w(t)为单台终端当前时间的行为数量,Q为上一时间点的行为数量。
本发明的一优选实施例中,第一阈值设为0,第二阈值设为80%,第三阈值设为60%。经过分析,这样的阈值设置,既能保证网络终端的安全性,又没有过度消耗网络及计算资源,是一组已知较优的取值。
根据本发明的实施例,提供了一种与上述网络终端安全状态的评估方法对应的网络终端安全状态的评估装置,包括:数据采集及存储模块,用于采集网络终端已知文件、未知文件的数量及文件相关行为数据,并分类存储;数据统计模块,基于所述数据,统计网络终端中文件的端口访问行为、文件读取行为、外联行为、文件下载行为、终止进程行为等,并按时间权重,计算出全网相关行为中位数;终端健康指标计算模块,基于所述中位数,计算网络终端健康指标;危险指数评估模块,基于所述健康指标,计算评估网络终端危险指数。
根据本发明的实施例,提供了一种计算机可读存储介质,包括光盘、U盘、硬盘、随机存储器(RAM)、只读存储器(ROM)、可编程ROM以及技术领域内所公知的任意其他形式的存储介质。该计算机可读存储介质用于存储计算机程序,该计算机程序被处理器执行时,实现上述任意一项本发明提出的网络终端安全状态的评估方法。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种网络终端安全状态的评估方法,其特征在于,包括以下步骤:
采集第一时间段内网络终端已知文件、未知文件的数量及所述文件相关行为数据,并分类存储;
根据所述行为发生时间的远近对所述行为赋予时间权重p,所述权重p取值在0至1之间;
结合所述时间权重p,所述未知文件的行为评分xm与计算终端m中总文件行为评分Am比值的中位数Med:
xm=at1pt1+at2pt2+...+atwptw
Am=(at1pt1+at2pt2+...+atwptw)+(bt1pt1+bt2pt2+...+btwptw)
式中:a为所述终端发生的未知行为数量;b为所述终端发生的已知行为数量;median()表示求中位数,下标1-n表示所述终端编号,t1-tw表示所述行为发生的时间点编号;
计算所述未知文件行为评分xm与终端总文件行为评分Am的比值,与所述中位数Med进行比较:
式中:Em为终端的健康指标;
当Em小于第一阈值时,所述终端判断为健康状态;当Em大于第一阈值时,则计算危险指数Fm:
式中:max()表示求最大值;
当Fm大于等于第二阈值时,则所述终端判定为危险状态;当Fm小于第二阈值但大于第三阈值时,则所述终端判定为潜在风险状态;当Fm小于等于第三阈值时,则所述终端判定为较健康状态。
2.根据权利要求1所述的网络终端安全状态的评估方法,其特征在于,所述行为包括:端口访问行为、文件读取行为、外联行为、文件下载行为、终止进程行为。
3.根据权利要求1所述的网络终端安全状态的评估方法,其特征在于,距离所述行为发生时间越近,所述权重越大。
4.根据权利要求3所述的网络终端安全状态的评估方法,其特征在于,所述权重根据牛顿冷却定律确定:
式中:w(t)为单台终端当前时间的行为数量,Q为上一时间点的行为数量。
5.根据权利要求1所述的网络终端安全状态的评估方法,其特征在于,所述第一时间段的范围可根据评估具体需要进行配置。
6.根据权利要求1所述的网络终端安全状态的评估方法,其特征在于,所述第一阈值为0。
7.根据权利要求1所述的网络终端安全状态的评估方法,其特征在于,所述第二阈值为80%。
8.根据权利要求1所述的网络终端安全状态的评估方法,其特征在于,所述第三阈值为60%。
9.一种网络终端安全状态的评估装置,其特征在于,包括:
数据采集及存储模块,用于采集网络终端已知文件、未知文件的数量及所述文件相关行为数据,并分类存储;
数据统计模块,基于所述数据,统计所述网络终端中所述文件的端口访问行为、文件读取行为、外联行为、文件下载行为、终止进程行为等,并按时间权重,计算出全网相关行为中位数,具体方式为:根据所述行为发生时间的远近对所述行为赋予时间权重p,所述权重p取值在0至1之间;结合所述时间权重p,所述未知文件的行为评分xm与计算终端m中总文件行为评分Am比值的中位数Med:
xm=at1pt1+at2pt2+...+atwptw
Am=(at1pt1+at2pt2+...+atwptw)+(bt1pt1+bt2pt2+...+btwptw)
式中:a为所述终端发生的未知行为数量;b为所述终端发生的已知行为数量;median()表示求中位数,下标1-n表示所述终端编号,t1-tw表示所述行为发生的时间点编号;
终端健康指标计算模块,基于所述中位数,计算所述网络终端健康指标,具体方式为:计算所述未知文件行为评分xm与终端总文件行为评分Am的比值,与所述中位数Med进行比较:
式中:Em为终端的健康指标;
危险指数评估模块,基于所述健康指标,计算评估所述网络终端危险指数,具体方式为:当Em小于第一阈值时,所述终端判断为健康状态;当Em大于第一阈值时,则计算危险指数Fm:
式中:max()表示求最大值;
当Fm大于等于第二阈值时,则所述终端判定为危险状态;当Em小于第二阈值但大于第三阈值时,则所述终端判定为潜在风险状态;当Fm小于等于第三阈值时,则所述终端判定为较健康状态。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现如权利要求1-8任意一项所述网络终端安全状态的评估方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210696289.XA CN114915491B (zh) | 2022-06-20 | 2022-06-20 | 一种网络终端安全状态的评估方法、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210696289.XA CN114915491B (zh) | 2022-06-20 | 2022-06-20 | 一种网络终端安全状态的评估方法、装置及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114915491A CN114915491A (zh) | 2022-08-16 |
| CN114915491B true CN114915491B (zh) | 2023-12-26 |
Family
ID=82772248
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210696289.XA Active CN114915491B (zh) | 2022-06-20 | 2022-06-20 | 一种网络终端安全状态的评估方法、装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114915491B (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20150133368A (ko) * | 2014-05-19 | 2015-11-30 | 주식회사 케이티 | 지능형 지속 위협 탐지 방법 및 장치 |
| CN107347074A (zh) * | 2017-08-09 | 2017-11-14 | 中国信息通信研究院 | 一种确定网络设备安全性的方法 |
| CN108875364A (zh) * | 2017-12-29 | 2018-11-23 | 北京安天网络安全技术有限公司 | 未知文件的威胁性判定方法、装置、电子设备及存储介质 |
| CN109889476A (zh) * | 2018-12-05 | 2019-06-14 | 国网冀北电力有限公司信息通信分公司 | 一种网络安全防护方法和网络安全防护系统 |
| CN111245807A (zh) * | 2020-01-07 | 2020-06-05 | 北京工业大学 | 基于攻击链因子的网络态势量化评估方法 |
| CN111885040A (zh) * | 2020-07-17 | 2020-11-03 | 中国人民解放军战略支援部队信息工程大学 | 分布式网络态势感知方法、系统、服务器及节点设备 |
| CN112039862A (zh) * | 2020-08-21 | 2020-12-04 | 公安部第一研究所 | 一种面向多维立体网络的安全事件预警方法 |
| CN114386514A (zh) * | 2022-01-13 | 2022-04-22 | 中国人民解放军国防科技大学 | 基于动态网络环境下的未知流量数据识别方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5862811B1 (ja) * | 2015-02-02 | 2016-02-16 | 日本電信電話株式会社 | 評価装置、評価方法、及びプログラム |
-
2022
- 2022-06-20 CN CN202210696289.XA patent/CN114915491B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20150133368A (ko) * | 2014-05-19 | 2015-11-30 | 주식회사 케이티 | 지능형 지속 위협 탐지 방법 및 장치 |
| CN107347074A (zh) * | 2017-08-09 | 2017-11-14 | 中国信息通信研究院 | 一种确定网络设备安全性的方法 |
| CN108875364A (zh) * | 2017-12-29 | 2018-11-23 | 北京安天网络安全技术有限公司 | 未知文件的威胁性判定方法、装置、电子设备及存储介质 |
| CN109889476A (zh) * | 2018-12-05 | 2019-06-14 | 国网冀北电力有限公司信息通信分公司 | 一种网络安全防护方法和网络安全防护系统 |
| CN111245807A (zh) * | 2020-01-07 | 2020-06-05 | 北京工业大学 | 基于攻击链因子的网络态势量化评估方法 |
| CN111885040A (zh) * | 2020-07-17 | 2020-11-03 | 中国人民解放军战略支援部队信息工程大学 | 分布式网络态势感知方法、系统、服务器及节点设备 |
| CN112039862A (zh) * | 2020-08-21 | 2020-12-04 | 公安部第一研究所 | 一种面向多维立体网络的安全事件预警方法 |
| CN114386514A (zh) * | 2022-01-13 | 2022-04-22 | 中国人民解放军国防科技大学 | 基于动态网络环境下的未知流量数据识别方法及装置 |
Non-Patent Citations (2)
| Title |
|---|
| 基于多源数据融合的网络风险评估;梁智学;郭俊颖;;舰船电子工程(第04期);全文 * |
| 网络安全风险评估分析方法研究综述;张炳;任家东;王苧;;燕山大学学报(第03期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114915491A (zh) | 2022-08-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6771751B2 (ja) | リスク評価方法およびシステム | |
| US20210044614A1 (en) | Risk control method, risk control apparatus, electronic device, and storage medium | |
| CN110705996B (zh) | 基于特征掩码的用户行为识别方法、系统、及装置 | |
| WO2019136850A1 (zh) | 风险行为识别方法、存储介质、设备及系统 | |
| CN113177839A (zh) | 一种信用风险评估方法、装置、存储介质和设备 | |
| CN112035519B (zh) | 用户画像方法、装置、计算机可读存储介质及终端设备 | |
| CN111931047B (zh) | 基于人工智能的黑产账号检测方法及相关装置 | |
| CN115796708B (zh) | 一种工程建设用的大数据智能质检方法、系统和介质 | |
| CN111784160A (zh) | 一种河流水文情势变化的评估方法及系统 | |
| CN110147493B (zh) | 活跃因子的确定方法、装置、计算机设备及存储介质 | |
| CN114915491B (zh) | 一种网络终端安全状态的评估方法、装置及存储介质 | |
| TW201807623A (zh) | 模型中關鍵變量的探測方法及裝置 | |
| CN110827036A (zh) | 一种欺诈交易的检测方法、装置、设备及存储介质 | |
| CN107871213B (zh) | 一种交易行为评价方法、装置、服务器以及存储介质 | |
| CN115987594A (zh) | 一种网络安全日志的异常检测方法、装置及设备 | |
| CN110458707B (zh) | 基于分类模型的行为评估方法、装置及终端设备 | |
| CN112398226A (zh) | 一种供电系统反窃电方法、系统、终端及存储介质 | |
| CN112330141A (zh) | 船舶网络安全评估方法、系统、存储介质及终端 | |
| CN112288581A (zh) | 一种风险评估方法、装置、电子设备以及存储介质 | |
| CN111737555A (zh) | 热点关键词的选取方法、设备和存储介质 | |
| CN115774816B (zh) | 基于用户价值的内容淘汰方法、系统、设备及存储介质 | |
| CN113905400B (zh) | 网络优化处理方法、装置、电子设备及存储介质 | |
| CN113743532B (zh) | 异常检测方法、装置、设备及计算机存储介质 | |
| CN111625720B (zh) | 数据决策项目执行策略的确定方法、装置、设备和介质 | |
| CN112651559A (zh) | 一种基于盈利性水平的保单分组方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |