CN115150202A - 一种互联网it信息资产搜集及攻击面探测的方法 - Google Patents
一种互联网it信息资产搜集及攻击面探测的方法 Download PDFInfo
- Publication number
- CN115150202A CN115150202A CN202211068714.7A CN202211068714A CN115150202A CN 115150202 A CN115150202 A CN 115150202A CN 202211068714 A CN202211068714 A CN 202211068714A CN 115150202 A CN115150202 A CN 115150202A
- Authority
- CN
- China
- Prior art keywords
- information
- asset
- attacked
- attack
- asset information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及互联网安全领域,尤其涉及一种互联网IT信息资产搜集及攻击面探测的方法,该方法包括:接收用户端资产搜集信息,根据预设关键词表将资产搜集信息进行分类并生成资产搜集指令;根据资产搜集指令进行资产信息搜集存储到数据库;根据数据库中存储的第一资产信息生成模拟攻击指令;根据模拟攻击指令对数据库进行模拟攻击;对模拟攻击后被攻击的第一资产信息进行攻击手段的分析判断攻击手段的防御重要程度;根据攻击手段的防御重要程度和预设攻击探测规则对数据库进行攻击探测,通过将搜集到的资产进行模拟攻击,得出每个攻击手段的攻击程度和危害性,对危害性高的攻击手段重点进行攻击探测,提高攻击面探测的准确性和效率。
Description
技术领域
本发明涉及互联网安全领域,尤其涉及一种互联网IT信息资产搜集及攻击面探测的方法。
背景技术
随着互联网的发展,互联网的信息资产复杂多样,所以在对信息资产进行搜集和管理时,防护能力较差,容易遭到病毒或人为攻击,造成经济损失,因此对信息资产进行安全管理和防护,是解决网络安全的关键。
申请号为202111436246.X的文献公开的互联网资产安全威胁的处理方法包括:获取安全威胁数据;从所述安全威胁数据分析出攻击对象数据;将所述攻击对象数据,在预设的互联网资产关系列表中进行互联网资产标识匹配,得到受威胁互联网资产标识集,其中,所述互联网资产关系列表中包括对访问流量分析数据和互联网探测扫描数据进行实时解析得到的信息;若所述受威胁互联网资产标识集不为空,根据所述安全威胁数据,对所述受威胁互联网资产标识集的每个所述互联网资产标识生成预警信息;根据预设的威胁处理人员信息列表、各个所述预警信息,对所述受威胁互联网资产标识集中的每个所述互联网资产标识生成威胁处理工单;根据获取的各个所述威胁处理工单各自对应的单工单处理结果,确定所述安全威胁数据对应的互联网资产安全威胁处理结果。
现有技术通过对信息资产进行分析,识别出受威胁互联网资产标识,进而对受威胁互联网资产进行工单处理,但其在信息资产分析和处理时,分析和处理的是已存在安全威胁的数据,进而确定威胁数据类型和处理方法,因此其未对信息资产数据被攻击时进行攻击探测,导致信息资产不安全,攻击探测效率低。
发明内容
为此,本发明提供一种互联网IT信息资产搜集及攻击面探测的方法,可以解决未对信息资产数据进行安全探测,导致信息资产不安全,攻击探测效率低的问题。
为实现上述目的,本发明提供一种互联网IT信息资产搜集及攻击面探测的方法,包括:
接收用户端资产搜集信息,根据预设关键词表将资产搜集信息进行分类,将分类后的资产搜集信息生成资产搜集指令;
根据所述资产搜集指令进行资产信息搜集,得到第一资产信息,将所述第一资产信息存储到数据库;
根据数据库中存储的资产信息生成模拟攻击指令;
根据所述模拟攻击指令对数据库中的所述第一资产信息进行模拟攻击;
对模拟攻击后被攻击的第一资产信息进行攻击手段的分析,判断攻击手段的防御重要程度;
根据所述攻击手段的防御重要程度和预设攻击探测规则对数据库进行攻击探测。
进一步地,在存储第一资产信息后和生成所述模拟攻击指令前,判断所述第一资产信息的价值等级,获取第一资产信息的实际域名,对所述实际域名进行解析,得到网络地址信息,对所述网络地址信息进行权重计算,得到实际权重W,将实际权重分别与第一预设权重W1和第二预设权重W2进行比较,根据比较结果判断所述网络地址信息的等级,
若W>W2,则判断所述网络地址信息等级为Ⅰ级;
若W1≤W≤W2,则判断所述网络地址信息等级为Ⅱ级;
若W<W1,则判断所述网络地址信息等级为Ⅲ级;
其中,所述网络地址信息等级大小为Ⅰ级>Ⅱ级>Ⅲ级,所述网络地址信息等级为所述第一资产信息的价值等级。
进一步地,在计算所述网络地址信息的实际权重时,获取网络地址信息的日访问量U,根据网络地址信息的访问量得出网络地址信息的实际权重W,设置有若干预设访问量范围,每个预设访问量范围对应一个实际权重W,将网络地址信息的日访问量U与若干预设访问量范围进行匹配,根据网络地址信息的日访问量U匹配的预设访问量范围给网络地址信息配置实际权重W。
进一步地,在对数据库进行模拟攻击时,记录所述第一资产信息的基本信息,所述基本信息包括第一资产信息名称、第一资产信息存储量和第一资产信息存储形式,对数据库中的所述第一资产信息进行监控,在预设时间T时,获取第一资产信息的实际基本信息,将第一资产信息的实际基本信息与基本信息进行对比,计算实际基本信息与基本信息不同的个数N,若N≥2,则判定第一资产信息被严重攻击,若N<2,则判定第一资产信息被轻度攻击。
进一步地,在判断出第一资产信息被攻击后,根据被攻击的第一资产信息对应的实际基本信息分析第一资产信息的被攻击的攻击手段,生成探测攻击手段白名单,监控被攻击的第一资产信息的存储位置,根据被攻击的第一资产信息的价值等级和被攻击的第一资产信息的存储位置判断被攻击的第一资产信息被安全防御的价值级别,根据被攻击的第一资产信息被安全防御的价值级别将对应的攻击手段进行防御重要程度判断。
进一步地,在判定所述第一资产信息被攻击时,监控被攻击的第一资产信息的存储位置,判断第一资产信息被攻击的位置深度,将该存储位置与预设安全攻击存储位置表进行匹配,若该存储位置属于预设安全攻击存储表,则判定第一资产信息被攻击的位置深,若该存储位置不属于预设安全攻击存储表,则判定第一资产信息被攻击的位置浅;
将被攻击的第一资产信息进行排序,若第一资产信息被严重攻击且被攻击的位置深,则将被攻击的第一资产信息排在第一;
若第一资产信息被严重攻击且被攻击的位置浅,则将被攻击的第一资产信息排在第二;
若第一资产信息被轻度攻击且被攻击的位置深,则将被攻击的第一资产信息排在第三;
若第一资产信息被轻度攻击且被攻击的位置浅,则将被攻击的第一资产信息排在第四;
其中,排在第一和第二的被攻击的第一资产信息被防御的紧急度为特急,排在第三和第四的被攻击的第一资产信息被防御的紧急度为紧急。
进一步地,在所述第一资产信息被攻击后,获取被攻击的第一资产信息的价值等级,判断被攻击的第一资产信息被安全防御的价值级别,
若被攻击的第一资产信息的被防御的紧急度为特急且对应的价值等级为Ⅰ级,则判定被攻击的第一资产信息被安全防御的价值级别为A级;
若被攻击的第一资产信息的被防御的紧急度为特急且对应的价值等级为Ⅱ级,则判定被攻击的第一资产信息被安全防御的价值级别为B级;
若被攻击的第一资产信息的被防御的紧急度为紧急且对应的价值等级为Ⅰ级,则判定被攻击的第一资产信息被安全防御的价值级别为C级;
若被攻击的第一资产信息的被防御的紧急度为紧急且对应的价值等级为Ⅱ级,则判定被攻击的第一资产信息被安全防御的价值级别为D级;
若被攻击的第一资产信息的被防御的紧急度为特急且对应的价值等级为Ⅲ级,则判定被攻击的第一资产信息被安全防御的价值级别为E级;
若被攻击的第一资产信息的被防御的紧急度为紧急且对应的价值等级为Ⅲ级,则判定被攻击的第一资产信息被安全防御的价值级别为F级;
其中,被攻击的第一资产信息被安全防御的价值级别大小为A级>B级>C级>D级>E级>F级。
进一步地,在判断出被攻击的第一资产信息被安全防御的价值级别后,判断对应的被攻击的第一资产信息的攻击手段的重要程度,攻击手段的重要程度为被攻击的第一资产信息被安全防御的价值级别,根据被攻击的第一资产信息被安全防御的价值级别将所述探测攻击手段白名单中对应的攻击手段进行排序,在对第一资产信息进行攻击探测时,根据探测攻击手段白名单中攻击手段的排序和预设攻击探测规则进行不同程度的攻击探测,攻击手段的排序越高,则攻击探测的程度越高。
进一步地,所述第一资产信息的获取是在进行资产信息搜集时,所述资产搜集指令为若干种类资产搜集指令,任意种类资产搜集指令包括资产搜集名称、资产搜集标识和资产搜集时间,将所述资产搜集标识与预设域名表进行匹配,将与所述资产搜集标识匹配到的域名生成实际域名,根据所述资产搜集名称和所述资产搜集时间在对应的实际域名的网站进行资产信息搜集,得到第一资产信息。
进一步地,在生成所述模拟攻击指令时,获取历史攻击方式,将所述历史攻击方式进行分类,生成若干种类历史攻击方式,将任意种类的历史攻击方式生成模拟攻击指令。
与现有技术相比,本发明的有益效果在于,通过接收用户端资产搜集信息,根据预设关键词表将资产搜集信息进行分类,将分类后的资产搜集信息生成资产搜集指令,接着根据所述资产搜集指令进行资产信息搜集,得到第一资产信息,将所述第一资产信息存储到数据库,实现了对互联网IT信息资产的搜集,然后根据数据库中存储的第一资产信息生成模拟攻击指令,根据所述模拟攻击指令对数据库中的所述第一资产信息进行模拟攻击,对模拟攻击后被攻击的第一资产信息进行攻击手段的分析,判断攻击手段的防御重要程度,最后根据所述攻击手段的防御重要程度和预设攻击探测规则对数据库进行攻击探测,通过将搜集到的资产进行模拟攻击,得出每个攻击手段的攻击程度和危害性,对危害性高的攻击手段重点进行攻击探测,根据每个攻击手段的危害性提高攻击面探测的准确性和效率。
尤其,通过在生成所述模拟攻击指令前,判断所述第一资产信息的价值等级,获取第一资产信息的实际域名,对所述实际域名进行解析,得到网络地址信息,对所述网络地址信息进行权重计算,根据权重判断所述网络地址信息等级,进而得到所述第一资产信息的价值等级,进而根据所述第一资产信息的价值等级判断攻击手段的危害性,对危害性高的攻击手段重点进行攻击探测,提高攻击探测的准确性和效率。
尤其,通过获取网络地址信息的日访问量U,将网络地址信息的访问量与若干预设访问量范围进行匹配,根据匹配的范围区间给网络地址信息配置实际权重W,进而获取所述第一资产信息的价值等级,进而根据所述第一资产信息的价值等级判断攻击手段的危害性,对危害性高的攻击手段重点进行攻击探测,提高攻击探测的准确性和效率。
尤其,通过在对数据库进行模拟攻击时,记录所述第一资产信息的基本信息,对数据库中的所述第一资产信息进行监控,在预设时间T时,获取第一资产信息的实际基本信息,将第一资产信息的实际基本信息与基本信息进行对比,判定第一资产信息被攻击的程度,进而判断攻击手段的危害性,对危害性高的攻击手段重点进行攻击探测,提高攻击探测的准确性和效率。
尤其,在判断出第一资产信息被攻击后,根据被攻击的第一资产信息对应的实际基本信息分析第一资产信息的被攻击的攻击手段,生成探测攻击手段白名单,监控被攻击的第一资产信息的存储位置,根据被攻击的第一资产信息的价值等级和被攻击的第一资产信息的存储位置判断被攻击的第一资产信息被安全防御的价值级别,根据被攻击的第一资产信息被安全防御的价值级别将对应的攻击手段进行防御重要程度判断,进而判断攻击手段的危害性,对危害性高的攻击手段重点进行攻击探测,提高攻击探测的准确性和效率。
尤其,在判定所述第一资产信息被攻击时,监控被攻击的第一资产信息的存储位置,判断第一资产信息被攻击的位置深度,将该存储位置与预设安全攻击存储位置表进行匹配,判定第一资产信息被攻击的位置深浅,并对被攻击的第一资产信息进行排序,得出被攻击的第一资产信息被防御的紧急度,进而判断攻击手段的危害性,对危害性高的攻击手段重点进行攻击探测,提高攻击探测的准确性和效率。
尤其,在所述第一资产信息被攻击后,获取被攻击的第一资产信息的价值等级,判断被攻击的第一资产信息被安全防御的价值级别,进而判断被攻击的第一资产信息对应的攻击手段的危害性,对危害性高的攻击手段重点进行攻击探测,提高攻击探测的准确性和效率。
尤其,通过在判断出被攻击的第一资产信息被安全防御的价值级别后,判断对应的被攻击的第一资产信息的攻击手段的重要程度即被攻击的第一资产信息被安全防御的价值级别,将所述探测攻击手段白名单中对应的攻击手段进行排序,通过被攻击的第一资产信息对应的攻击手段的危害性,对危害性高的攻击手段重点进行攻击探测,攻击手段危害性大的,对其攻击探测的要求越高,进而提高攻击探测的准确性和效率。
尤其,在进行资产信息搜集时,将任意种类资产搜集指令中的所述资产搜集标识与预设域名表进行匹配,将与所述资产搜集标识匹配到的域名生成实际域名,根据任意种类资产搜集指令中的所述资产搜集名称和所述资产搜集时间在对应的实际域名的网站进行资产信息搜集,实现资产信息的搜集,使搜集更加准确。
尤其,根据历史攻击方式生成模拟攻击指令,进而对所述第一资产信息进行模拟攻击,进而得到攻击手段的攻击程度和危害性,进而提高攻击探测的准确性和效率。
附图说明
图1为本发明实施例提供的互联网IT信息资产搜集及攻击面探测的方法的流程示意图。
具体实施方式
为了使本发明的目的和优点更加清楚明白,下面结合实施例对本发明作进一步描述;应当理解,此处所描述的具体实施例仅仅用于解释本发明,并不用于限定本发明。
下面参照附图来描述本发明的优选实施方式。本领域技术人员应当理解的是,这些实施方式仅仅用于解释本发明的技术原理,并非在限制本发明的保护范围。
需要说明的是,在本发明的描述中,术语“上”、“下”、“左”、“右”、“内”、“外”等指示的方向或位置关系的术语是基于附图所示的方向或位置关系,这仅仅是为了便于描述,而不是指示或暗示所述装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
此外,还需要说明的是,在本发明的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域技术人员而言,可根据具体情况理解上述术语在本发明中的具体含义。
请参阅图1所示,本发明实施例提供的互联网IT信息资产搜集及攻击面探测的方法包括:
步骤S110,接收用户端资产搜集信息,根据预设关键词表将资产搜集信息进行分类,将分类后的资产搜集信息生成资产搜集指令;
步骤S120,根据所述资产搜集指令进行资产信息搜集,得到第一资产信息,将所述第一资产信息存储到数据库;
步骤S130,根据数据库中存储的第一资产信息生成模拟攻击指令;
步骤S140,根据所述模拟攻击指令对数据库中的所述第一资产信息进行模拟攻击;
步骤S150,对模拟攻击后被攻击的第一资产信息进行攻击手段的分析,判断攻击手段的防御重要程度;
步骤S160,根据所述攻击手段的防御重要程度和预设攻击探测规则对数据库进行攻击探测。
具体而言,所述用户资产搜集信息根据预设关键词表进行分类,可以分为数据文件资产、软件资产、实物资产、人员资产和服务资产等。
具体而言,本发明实施例通过接收用户端资产搜集信息,根据预设关键词表将资产搜集信息进行分类,将分类后的资产搜集信息生成资产搜集指令,接着根据所述资产搜集指令进行资产信息搜集,得到第一资产信息,将所述第一资产信息存储到数据库,实现了对互联网IT信息资产的搜集,然后根据数据库中存储的第一资产信息生成模拟攻击指令,根据所述模拟攻击指令对数据库中的所述第一资产信息进行模拟攻击,对模拟攻击后被攻击的第一资产信息进行攻击手段的分析,判断攻击手段的防御重要程度,最后根据所述攻击手段的防御重要程度和预设攻击探测规则对数据库进行攻击面探测,通过将搜集到的资产进行模拟攻击,得出每个攻击手段的攻击程度和危害性,对危害性高的攻击手段重点进行攻击探测,根据每个攻击手段的危害性提高攻击面探测的准确性和效率。
具体而言,在进行资产信息搜集时,所述资产搜集指令为若干种类资产搜集指令,任意种类资产搜集指令包括资产搜集名称、资产搜集标识和资产搜集时间,将所述资产搜集标识与预设域名表进行匹配,将与所述资产搜集标识匹配到的域名生成实际域名,根据所述资产搜集名称和所述资产搜集时间在对应的实际域名的网站进行资产信息搜集,得到第一资产信息。
具体而言,所述预设域名表为企业登记的域名表,每个域名包括一个资产搜集标识。
具体而言,本发明实施例在进行资产信息搜集时,将任意种类资产搜集指令中的所述资产搜集标识与预设域名表进行匹配,将与所述资产搜集标识匹配到的域名生成实际域名,根据任意种类资产搜集指令中的所述资产搜集名称和所述资产搜集时间在对应的实际域名的网站进行资产信息搜集,实现资产信息的搜集,使搜集更加准确。
具体而言,在生成所述模拟攻击指令时,获取历史攻击方式,将所述历史攻击方式进行分类,生成若干种类历史攻击方式,将任意种类的历史攻击方式生成模拟攻击指令。
具体而言,所述历史攻击方法为现有攻击方式,历史攻击方式种类可以为文件后缀和增删数据等。
具体而言,本发明实施例根据历史攻击方式生成模拟攻击指令,进而对所述第一资产信息进行模拟攻击,进而得到攻击手段的攻击程度和危害性,进而提高攻击探测的准确性和效率。
具体而言,在存储第一资产信息后和生成所述模拟攻击指令前,判断所述第一资产信息的价值等级,获取第一资产信息的实际域名,对所述实际域名进行解析,得到网络地址信息,对所述网络地址信息进行权重计算,得到实际权重W,将实际权重分别与第一预设权重W1和第二预设权重W2进行比较,根据比较结果判断所述网络地址信息的等级,
若W>W2,则判断所述网络地址信息等级为Ⅰ级;
若W1≤W≤W2,则判断所述网络地址信息等级为Ⅱ级;
若W<W1,则判断所述网络地址信息等级为Ⅲ级;
其中,所述网络地址信息等级大小为Ⅰ级>Ⅱ级>Ⅲ级,所述网络地址信息等级为所述第一资产信息的价值等级。
具体而言,通过DNS服务器对实际域名进行解析。
具体而言,本发明实施例通过在存储第一资产信息后和生成所述模拟攻击指令前,判断所述第一资产信息的价值等级,获取第一资产信息的实际域名,对所述实际域名进行解析,得到网络地址信息,对所述网络地址信息进行权重计算,根据权重判断所述网络地址信息等级,进而得到所述第一资产信息的价值等级,进而根据所述第一资产信息的价值等级判断攻击手段的危害性,对危害性高的攻击手段重点进行攻击探测,提高攻击探测的准确性和效率。
具体而言,在计算所述网络地址信息的实际权重时,获取网络地址信息的日访问量U,根据网络地址信息的访问量得出网络地址信息的实际权重W,设置有若干预设访问量范围,每个预设访问量范围对应一个实际权重W,将网络地址信息的日访问量U与若干预设访问量范围进行匹配,根据网络地址信息的日访问量U匹配的预设访问量范围给网络地址信息配置实际权重W。
具体而言,每个预设访问量范围和每个预设访问量范围对应的实际权重W可根据需要自由设置。
具体而言,本发明实施例通过获取网络地址信息的日访问量U,将网络地址信息的访问量与若干预设访问量范围进行匹配,根据匹配的范围区间给网络地址信息配置实际权重W,进而获取所述第一资产信息的价值等级,进而根据所述第一资产信息的价值等级判断攻击手段的危害性,对危害性高的攻击手段重点进行攻击探测,提高攻击探测的准确性和效率。
具体而言,在对数据库进行模拟攻击时,记录所述第一资产信息的基本信息,所述基本信息包括第一资产信息名称、第一资产信息存储量和第一资产信息存储形式,对数据库中的所述第一资产信息进行监控,在预设时间T时,获取第一资产信息的实际基本信息,将第一资产信息的实际基本信息与基本信息进行对比,计算实际基本信息与基本信息不同的个数N,若N≥2,则判定第一资产信息被严重攻击,若N<2,则判定第一资产信息被轻度攻击。
具体而言,在对数据库进行攻击时,停止企业内部对数据库信息的操作,以在模拟攻击时减少操作行为的分析和筛选。
具体而言,本发明实施例通过在对数据库进行模拟攻击时,记录所述第一资产信息的基本信息,对数据库中的所述第一资产信息进行监控,在预设时间T时,获取第一资产信息的实际基本信息,将第一资产信息的实际基本信息与基本信息进行对比,判定第一资产信息被攻击的程度,进而判断攻击手段的危害性,对危害性高的攻击手段重点进行攻击探测,提高攻击探测的准确性和效率。
具体而言,在判断出第一资产信息被攻击后,根据被攻击的第一资产信息对应的实际基本信息分析第一资产信息的被攻击的攻击手段,生成探测攻击手段白名单,监控被攻击的第一资产信息的存储位置,根据被攻击的第一资产信息的价值等级和被攻击的第一资产信息的存储位置判断被攻击的第一资产信息被安全防御的价值级别,根据被攻击的第一资产信息被安全防御的价值级别将对应的攻击手段进行防御重要程度判断。
具体而言,攻击手段根据被攻击的第一资产信息对应的实际基本信息中的第一资产信息名称、第一资产信息存储量和第一资产信息存储形式具体分析。
具体而言,本发明实施例在判断出第一资产信息被攻击后,根据被攻击的第一资产信息对应的实际基本信息分析第一资产信息的被攻击的攻击手段,生成探测攻击手段白名单,监控被攻击的第一资产信息的存储位置,根据被攻击的第一资产信息的价值等级和被攻击的第一资产信息的存储位置判断被攻击的第一资产信息被安全防御的价值级别,根据被攻击的第一资产信息被安全防御的价值级别将对应的攻击手段进行防御重要程度判断,进而判断攻击手段的危害性,对危害性高的攻击手段重点进行攻击探测,提高攻击探测的准确性和效率。
具体而言,在判定所述第一资产信息被攻击时,监控被攻击的第一资产信息的存储位置,判断第一资产信息被攻击的位置深度,将该存储位置与预设安全攻击存储位置表进行匹配,若该存储位置属于预设安全攻击存储表,则判定第一资产信息被攻击的位置深,若该存储位置不属于预设安全攻击存储表,则判定第一资产信息被攻击的位置浅;
将被攻击的第一资产信息进行排序,若第一资产信息被严重攻击且被攻击的位置深,则将被攻击的第一资产信息排在第一;
若第一资产信息被严重攻击且被攻击的位置浅,则将被攻击的第一资产信息排在第二;
若第一资产信息被轻度攻击且被攻击的位置深,则将被攻击的第一资产信息排在第三;
若第一资产信息被轻度攻击且被攻击的位置浅,则将被攻击的第一资产信息排在第四;
其中,排在第一和第二的被攻击的第一资产信息被防御的紧急度为特急,排在第三和第四的被攻击的第一资产信息被防御的紧急度为紧急。
具体而言,本发明实施例在判定所述第一资产信息被攻击时,监控被攻击的第一资产信息的存储位置,判断第一资产信息被攻击的位置深度,将该存储位置与预设安全攻击存储位置表进行匹配,判定第一资产信息被攻击的位置深浅,并对被攻击的第一资产信息进行排序,得出被攻击的第一资产信息被防御的紧急度,进而判断攻击手段的危害性,对危害性高的攻击手段重点进行攻击探测,提高攻击探测的准确性和效率。
具体而言,在所述第一资产信息被攻击后,获取被攻击的第一资产信息的价值等级,判断被攻击的第一资产信息被安全防御的价值级别,
若被攻击的第一资产信息的被防御的紧急度为特急且对应的价值等级为Ⅰ级,则判定被攻击的第一资产信息被安全防御的价值级别为A级;
若被攻击的第一资产信息的被防御的紧急度为特急且对应的价值等级为Ⅱ级,则判定被攻击的第一资产信息被安全防御的价值级别为B级;
若被攻击的第一资产信息的被防御的紧急度为紧急且对应的价值等级为Ⅰ级,则判定被攻击的第一资产信息被安全防御的价值级别为C级;
若被攻击的第一资产信息的被防御的紧急度为紧急且对应的价值等级为Ⅱ级,则判定被攻击的第一资产信息被安全防御的价值级别为D级;
若被攻击的第一资产信息的被防御的紧急度为特急且对应的价值等级为Ⅲ级,则判定被攻击的第一资产信息被安全防御的价值级别为E级;
若被攻击的第一资产信息的被防御的紧急度为紧急且对应的价值等级为Ⅲ级,则判定被攻击的第一资产信息被安全防御的价值级别为F级;
其中,被攻击的第一资产信息被安全防御的价值级别大小为A级>B级>C级>D级>E级>F级。
具体而言,本发明实施例在所述第一资产信息被攻击后,获取被攻击的第一资产信息的价值等级,判断被攻击的第一资产信息被安全防御的价值级别,进而判断被攻击的第一资产信息对应的攻击手段的危害性,对危害性高的攻击手段重点进行攻击探测,提高攻击探测的准确性和效率。
具体而言,在判断出被攻击的第一资产信息被安全防御的价值级别后,判断对应的被攻击的第一资产信息的攻击手段的重要程度,攻击手段的重要程度为被攻击的第一资产信息被安全防御的价值级别,根据被攻击的第一资产信息被安全防御的价值级别将所述探测攻击手段白名单中对应的攻击手段进行排序,在对第一资产信息进行攻击探测时,根据探测攻击手段白名单中攻击手段的排序和预设攻击探测规则进行不同程度的攻击探测,攻击手段的排序越高,则攻击探测的程度越高。
具体而言,所述预设攻击探测规则为不同排序级别的攻击手段的攻击探测方式。
具体而言,本发明实施例通过在判断出被攻击的第一资产信息被安全防御的价值级别后,判断对应的被攻击的第一资产信息的攻击手段的重要程度即被攻击的第一资产信息被安全防御的价值级别,将所述探测攻击手段白名单中对应的攻击手段进行排序,通过被攻击的第一资产信息对应的攻击手段的危害性,对危害性高的攻击手段重点进行攻击探测,攻击手段危害性大的,对其攻击探测的要求越高,进而提高攻击探测的准确性和效率。
至此,已经结合附图所示的优选实施方式描述了本发明的技术方案,但是,本领域技术人员容易理解的是,本发明的保护范围显然不局限于这些具体实施方式。在不偏离本发明的原理的前提下,本领域技术人员可以对相关技术特征做出等同的更改或替换,这些更改或替换之后的技术方案都将落入本发明的保护范围之内。
以上所述仅为本发明的优选实施例,并不用于限制本发明;对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种互联网IT信息资产搜集及攻击面探测的方法,其特征在于,包括:
接收用户端资产搜集信息,根据预设关键词表将资产搜集信息进行分类,将分类后的资产搜集信息生成资产搜集指令;
根据所述资产搜集指令进行资产信息搜集,得到第一资产信息,将所述第一资产信息存储到数据库;
根据数据库中存储的第一资产信息生成模拟攻击指令;
根据所述模拟攻击指令对数据库中的所述第一资产信息进行模拟攻击;
对模拟攻击后被攻击的第一资产信息进行攻击手段的分析,判断攻击手段的防御重要程度;
根据所述攻击手段的防御重要程度和预设攻击探测规则对数据库进行攻击探测。
2.根据权利要求1所述的互联网IT信息资产搜集及攻击面探测的方法,其特征在于,在存储第一资产信息后和生成所述模拟攻击指令前,判断所述第一资产信息的价值等级,获取第一资产信息的实际域名,对所述实际域名进行解析,得到网络地址信息,对所述网络地址信息进行权重计算,得到实际权重W,将实际权重分别与第一预设权重W1和第二预设权重W2进行比较,根据比较结果判断所述网络地址信息的等级,
若W>W2,则判断所述网络地址信息等级为Ⅰ级;
若W1≤W≤W2,则判断所述网络地址信息等级为Ⅱ级;
若W<W1,则判断所述网络地址信息等级为Ⅲ级;
其中,所述网络地址信息等级大小为Ⅰ级>Ⅱ级>Ⅲ级,所述网络地址信息等级为所述第一资产信息的价值等级。
3.根据权利要求2所述的互联网IT信息资产搜集及攻击面探测的方法,其特征在于,在计算所述网络地址信息的实际权重时,获取网络地址信息的日访问量U,根据网络地址信息的访问量得出网络地址信息的实际权重W,设置有若干预设访问量范围,每个预设访问量范围对应一个实际权重W,将网络地址信息的日访问量U与若干预设访问量范围进行匹配,根据网络地址信息的日访问量U匹配的预设访问量范围给网络地址信息配置实际权重W。
4.根据权利要求3所述的互联网IT信息资产搜集及攻击面探测的方法,其特征在于,在对数据库进行模拟攻击时,记录所述第一资产信息的基本信息,所述基本信息包括第一资产信息名称、第一资产信息存储量和第一资产信息存储形式,对数据库中的所述第一资产信息进行监控,在预设时间T时,获取第一资产信息的实际基本信息,将第一资产信息的实际基本信息与基本信息进行对比,计算实际基本信息与基本信息不同的个数N,若N≥2,则判定第一资产信息被严重攻击,若N<2,则判定第一资产信息被轻度攻击。
5.根据权利要求4所述的互联网IT信息资产搜集及攻击面探测的方法,其特征在于,在判断出第一资产信息被攻击后,根据被攻击的第一资产信息对应的实际基本信息分析第一资产信息的被攻击的攻击手段,生成探测攻击手段白名单,监控被攻击的第一资产信息的存储位置,根据被攻击的第一资产信息的价值等级和被攻击的第一资产信息的存储位置判断被攻击的第一资产信息被安全防御的价值级别,根据被攻击的第一资产信息被安全防御的价值级别将对应的攻击手段进行防御重要程度判断。
6.根据权利要求5所述的互联网IT信息资产搜集及攻击面探测的方法,其特征在于,在判定所述第一资产信息被攻击时,监控被攻击的第一资产信息的存储位置,判断第一资产信息被攻击的位置深度,将该存储位置与预设安全攻击存储位置表进行匹配,若该存储位置属于预设安全攻击存储表,则判定第一资产信息被攻击的位置深,若该存储位置不属于预设安全攻击存储表,则判定第一资产信息被攻击的位置浅;
将被攻击的第一资产信息进行排序,若第一资产信息被严重攻击且被攻击的位置深,则将被攻击的第一资产信息排在第一;
若第一资产信息被严重攻击且被攻击的位置浅,则将被攻击的第一资产信息排在第二;
若第一资产信息被轻度攻击且被攻击的位置深,则将被攻击的第一资产信息排在第三;
若第一资产信息被轻度攻击且被攻击的位置浅,则将被攻击的第一资产信息排在第四;
其中,排在第一和第二的被攻击的第一资产信息被防御的紧急度为特急,排在第三和第四的被攻击的第一资产信息被防御的紧急度为紧急。
7.根据权利要求6所述的互联网IT信息资产搜集及攻击面探测的方法,其特征在于,在所述第一资产信息被攻击后,获取被攻击的第一资产信息的价值等级,判断被攻击的第一资产信息被安全防御的价值级别,
若被攻击的第一资产信息的被防御的紧急度为特急且对应的价值等级为Ⅰ级,则判定被攻击的第一资产信息被安全防御的价值级别为A级;
若被攻击的第一资产信息的被防御的紧急度为特急且对应的价值等级为Ⅱ级,则判定被攻击的第一资产信息被安全防御的价值级别为B级;
若被攻击的第一资产信息的被防御的紧急度为紧急且对应的价值等级为Ⅰ级,则判定被攻击的第一资产信息被安全防御的价值级别为C级;
若被攻击的第一资产信息的被防御的紧急度为紧急且对应的价值等级为Ⅱ级,则判定被攻击的第一资产信息被安全防御的价值级别为D级;
若被攻击的第一资产信息的被防御的紧急度为特急且对应的价值等级为Ⅲ级,则判定被攻击的第一资产信息被安全防御的价值级别为E级;
若被攻击的第一资产信息的被防御的紧急度为紧急且对应的价值等级为Ⅲ级,则判定被攻击的第一资产信息被安全防御的价值级别为F级;
其中,被攻击的第一资产信息被安全防御的价值级别大小为A级>B级>C级>D级>E级>F级。
8.根据权利要求7所述的互联网IT信息资产搜集及攻击面探测的方法,其特征在于,在判断出被攻击的第一资产信息被安全防御的价值级别后,判断对应的被攻击的第一资产信息的攻击手段的重要程度,攻击手段的重要程度为被攻击的第一资产信息被安全防御的价值级别,根据被攻击的第一资产信息被安全防御的价值级别将所述探测攻击手段白名单中对应的攻击手段进行排序,在对第一资产信息进行攻击探测时,根据探测攻击手段白名单中攻击手段的排序和预设攻击探测规则进行不同程度的攻击探测,攻击手段的排序越高,则攻击探测的程度越高。
9.根据权利要求8所述的互联网IT信息资产搜集及攻击面探测的方法,其特征在于,所述第一资产信息的获取是在进行资产信息搜集时,所述资产搜集指令为若干种类资产搜集指令,任意种类资产搜集指令包括资产搜集名称、资产搜集标识和资产搜集时间,将所述资产搜集标识与预设域名表进行匹配,将与所述资产搜集标识匹配到的域名生成实际域名,根据所述资产搜集名称和所述资产搜集时间在对应的实际域名的网站进行资产信息搜集,得到第一资产信息。
10.根据权利要求9所述的互联网IT信息资产搜集及攻击面探测的方法,其特征在于,在生成所述模拟攻击指令时,获取历史攻击方式,将所述历史攻击方式进行分类,生成若干种类历史攻击方式,将任意种类的历史攻击方式生成模拟攻击指令。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211068714.7A CN115150202B (zh) | 2022-09-02 | 2022-09-02 | 一种互联网it信息资产搜集及攻击探测的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211068714.7A CN115150202B (zh) | 2022-09-02 | 2022-09-02 | 一种互联网it信息资产搜集及攻击探测的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115150202A true CN115150202A (zh) | 2022-10-04 |
| CN115150202B CN115150202B (zh) | 2022-11-25 |
Family
ID=83415836
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211068714.7A Active CN115150202B (zh) | 2022-09-02 | 2022-09-02 | 一种互联网it信息资产搜集及攻击探测的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115150202B (zh) |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170187745A1 (en) * | 2014-12-29 | 2017-06-29 | Cyence Inc. | Cyber Vulnerability Scan Analyses with Actionable Feedback |
| CN108769064A (zh) * | 2018-06-26 | 2018-11-06 | 广东电网有限责任公司信息中心 | 实现漏洞治理的分布式资产识别及变更感知方法与系统 |
| CN109327461A (zh) * | 2018-11-12 | 2019-02-12 | 广东省信息安全测评中心 | 分布式资产识别及变更感知方法与系统 |
| CN109361534A (zh) * | 2018-09-20 | 2019-02-19 | 中国航天系统科学与工程研究院 | 一种网络安全模拟系统 |
| CN111866027A (zh) * | 2020-08-10 | 2020-10-30 | 武汉思普崚技术有限公司 | 一种基于情报分析的资产安全评估方法及系统 |
| CN112738107A (zh) * | 2020-12-30 | 2021-04-30 | 恒安嘉新(北京)科技股份公司 | 一种网络安全的评价方法、装置、设备及存储介质 |
| US11032298B1 (en) * | 2020-04-23 | 2021-06-08 | Specter Ops, Inc. | System and method for continuous collection, analysis and reporting of attack paths in a directory services environment |
| CN114003794A (zh) * | 2021-11-03 | 2022-02-01 | 中国工商银行股份有限公司 | 资产收集方法、装置、电子设备和介质 |
| CN114143052A (zh) * | 2021-11-19 | 2022-03-04 | 北京灰度科技有限公司 | 基于可控入侵模拟的网络防御体系风险评估方法 |
| WO2022062416A1 (zh) * | 2020-09-22 | 2022-03-31 | 杭州安恒信息技术股份有限公司 | 资产风险评估方法、装置、计算机设备和存储介质 |
| CN114547415A (zh) * | 2022-02-23 | 2022-05-27 | 中原工学院 | 工业物联网中基于网络威胁情报的攻击模拟方法 |
| CN114884712A (zh) * | 2022-04-26 | 2022-08-09 | 绿盟科技集团股份有限公司 | 一种网络资产风险级别信息确定方法、装置、设备及介质 |
-
2022
- 2022-09-02 CN CN202211068714.7A patent/CN115150202B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170187745A1 (en) * | 2014-12-29 | 2017-06-29 | Cyence Inc. | Cyber Vulnerability Scan Analyses with Actionable Feedback |
| CN108769064A (zh) * | 2018-06-26 | 2018-11-06 | 广东电网有限责任公司信息中心 | 实现漏洞治理的分布式资产识别及变更感知方法与系统 |
| CN109361534A (zh) * | 2018-09-20 | 2019-02-19 | 中国航天系统科学与工程研究院 | 一种网络安全模拟系统 |
| CN109327461A (zh) * | 2018-11-12 | 2019-02-12 | 广东省信息安全测评中心 | 分布式资产识别及变更感知方法与系统 |
| US11032298B1 (en) * | 2020-04-23 | 2021-06-08 | Specter Ops, Inc. | System and method for continuous collection, analysis and reporting of attack paths in a directory services environment |
| CN111866027A (zh) * | 2020-08-10 | 2020-10-30 | 武汉思普崚技术有限公司 | 一种基于情报分析的资产安全评估方法及系统 |
| WO2022062416A1 (zh) * | 2020-09-22 | 2022-03-31 | 杭州安恒信息技术股份有限公司 | 资产风险评估方法、装置、计算机设备和存储介质 |
| CN112738107A (zh) * | 2020-12-30 | 2021-04-30 | 恒安嘉新(北京)科技股份公司 | 一种网络安全的评价方法、装置、设备及存储介质 |
| CN114003794A (zh) * | 2021-11-03 | 2022-02-01 | 中国工商银行股份有限公司 | 资产收集方法、装置、电子设备和介质 |
| CN114143052A (zh) * | 2021-11-19 | 2022-03-04 | 北京灰度科技有限公司 | 基于可控入侵模拟的网络防御体系风险评估方法 |
| CN114547415A (zh) * | 2022-02-23 | 2022-05-27 | 中原工学院 | 工业物联网中基于网络威胁情报的攻击模拟方法 |
| CN114884712A (zh) * | 2022-04-26 | 2022-08-09 | 绿盟科技集团股份有限公司 | 一种网络资产风险级别信息确定方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115150202B (zh) | 2022-11-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107784067B (zh) | 监察信息处理方法、装置、服务器和存储介质 | |
| KR100955281B1 (ko) | 위협 관리를 위한 보안 위험도 평가 방법 | |
| CN103026345B (zh) | 用于事件监测优先级的动态多维模式 | |
| CN111083126A (zh) | 一种基于专家知识库的渗透测试风险评估方法以及模型 | |
| CN112039862B (zh) | 一种面向多维立体网络的安全事件预警方法 | |
| CN102594783B (zh) | 一种网络安全应急响应方法 | |
| CN106295349A (zh) | 账号被盗的风险识别方法、识别装置及防控系统 | |
| CN110620696A (zh) | 针对企业网络安全态势感知的评分方法和装置 | |
| US11343267B2 (en) | Threat monitor, threat monitoring method, and recording medium therefore | |
| KR101692982B1 (ko) | 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템 | |
| KR20070061009A (ko) | 보안 위험 관리 시스템 및 방법 | |
| CN102663503A (zh) | 一种信息安全评估方法 | |
| CN111898647A (zh) | 一种基于聚类分析的低压配电设备误告警识别方法 | |
| CN116305168A (zh) | 一种多维度信息安全风险评估方法、系统及存储介质 | |
| CN116366374A (zh) | 基于大数据的电网网络管理的安全评估方法、系统及介质 | |
| CN112351028A (zh) | 一种基于网络安全风险评估系统 | |
| CN106446720B (zh) | Ids规则的优化系统及优化方法 | |
| KR100524649B1 (ko) | 정보 자산의 위험 분석 시스템 | |
| CN115150202B (zh) | 一种互联网it信息资产搜集及攻击探测的方法 | |
| CN110233848B (zh) | 一种资产态势分析方法及装置 | |
| CN110401625B (zh) | 基于关联分析的风险评估方法和系统 | |
| CN111885011A (zh) | 一种业务数据网络安全分析挖掘的方法及系统 | |
| US20230156043A1 (en) | System and method of supporting decision-making for security management | |
| CN107623677B (zh) | 数据安全性的确定方法和装置 | |
| CN113660227B (zh) | 网络安全脆弱性评估定量计算方法及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |