CN115174278B - 一种网络威胁等级评估方法及装置 - Google Patents
一种网络威胁等级评估方法及装置 Download PDFInfo
- Publication number
- CN115174278B CN115174278B CN202211092260.7A CN202211092260A CN115174278B CN 115174278 B CN115174278 B CN 115174278B CN 202211092260 A CN202211092260 A CN 202211092260A CN 115174278 B CN115174278 B CN 115174278B
- Authority
- CN
- China
- Prior art keywords
- attack
- index
- evaluation
- factor
- threat level
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 66
- 238000011156 evaluation Methods 0.000 claims abstract description 161
- 230000006399 behavior Effects 0.000 claims abstract description 96
- 238000013210 evaluation model Methods 0.000 claims abstract description 45
- 230000000694 effects Effects 0.000 claims description 28
- 230000008569 process Effects 0.000 claims description 20
- 230000000903 blocking effect Effects 0.000 claims description 14
- 238000010276 construction Methods 0.000 claims description 7
- 238000004458 analytical method Methods 0.000 claims description 5
- 238000004088 simulation Methods 0.000 claims description 5
- 238000013475 authorization Methods 0.000 claims description 4
- 238000001308 synthesis method Methods 0.000 claims description 4
- 238000011160 research Methods 0.000 abstract description 5
- 230000008859 change Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 8
- 230000004044 response Effects 0.000 description 7
- 238000003860 storage Methods 0.000 description 7
- 230000004083 survival effect Effects 0.000 description 5
- 230000008485 antagonism Effects 0.000 description 4
- 230000001066 destructive effect Effects 0.000 description 4
- 230000006378 damage Effects 0.000 description 3
- 238000002360 preparation method Methods 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000012911 target assessment Methods 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000005520 cutting process Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000005484 gravity Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000011112 process operation Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种网络威胁等级评估方法及装置,还公开了一种可读介质及一种电子设备,属于网络攻击行为研究的技术领域,所述方法可以构建评估指标体系;接着,根据各个所述指标因素与各个所述指标评估值的关系,构建评估模型;再接着,利用所述评估模型对攻击行为进行分析,得到第一威胁等级数据;然后,根据所述第一威胁等级数据确定威胁等级结果。本申请根据指标因素与指标评估值的关系构建评估模型,以获得客观的评估结果,且指标因素和指标评估值可调整,能够针对多变的网络攻击行为进行调整,使得威胁等级结果更加客观。
Description
技术领域
本申请属于网络攻击行为研究的技术领域,特别涉及一种网络威胁等级评估方法及网络威胁等级评估装置。
背景技术
在互联网时代,网络安全是热门的话题,由于网络安全关乎每个人,信息数据安全一直是社会关注的重点。网络攻击行为在不断地变化,如何做好网络安全也是人们一直研究的客题。同时,对网络攻击行为进行网络威胁等级评估,可给网络安全研究提供参考数据,使得网络安全研究能够有真实可靠的数据依据。
然而,传统的网络安全评估方法和网络攻击效能评估方法更偏向于其对目标系统的毁伤程度的评估,并包含对威胁手段与其自身指标符合的期望值的评测。传统的网络安全评估方法和网络攻击效能评估方法无法针对如今多变的网络攻击行为进行调整,且无法给出客观的网络威胁等级评估结果。针对网络威胁等级评估的需求,有必要构建一种网络威胁等级评估方法。
发明内容
为了解决所述现有技术的不足,本申请提供了一种网络威胁等级评估方法,所述方法可以构建评估指标体系;接着,根据各个所述指标因素与各个所述指标评估值的关系,构建评估模型;再接着,利用所述评估模型对攻击行为进行分析,得到第一威胁等级数据;然后,根据所述第一威胁等级数据确定威胁等级结果。本申请根据指标因素与指标评估值的关系构建评估模型,以获得客观的评估结果,且指标因素和指标评估值可调整,能够针对多变的网络攻击行为进行调整,使得威胁等级结果更加客观。
本申请所要达到的技术效果通过以下方案实现:
第一方面,本申请提供一种网络威胁等级评估方法,应用于网络安全防护,所述方法包括:
构建评估指标体系;其中,所述评估指标体系包括各个指标因素和对应的指标评估值,所述指标因素作为评价威胁等级的因素,所述指标评估值为所述指标因素在评价威胁等级时所占的权重;
根据各个所述指标因素与各个所述指标评估值的关系,构建评估模型;其中,所述评估模型包括用所述指标因素与所述指标评估值计算威胁等级的算法;
利用所述评估模型对攻击行为进行分析,得到第一威胁等级数据;
根据所述第一威胁等级数据确定威胁等级结果。
可选地,所述构建评估指标体系,包括:
获取攻击行为特征;
根据攻击行为特征确认攻击意图和攻击手段;
根据所述攻击意图和所述攻击手段确定攻击分类;
根据所述攻击分类确定所述评估指标体系。
可选地,所述攻击分类包括信息获取型、阻塞型、欺骗型以及提权控制型;相应地,所述评估指标体系包括信息获取体系、阻塞类体系、欺骗类体系以及提权控制体系;
所述信息获取体系为根据网络攻击行为获取目标数据信息过程中的第一攻击消耗因素、以及第一攻击效果因素建立的第一架构,所述信息获取体系包括赋予所述第一攻击消耗因素和所述第一攻击效果因素的第一指标评估值;
所述阻塞类体系为根据网络攻击行为使目标设备崩溃的过程的第二攻击消耗因素、以及第二攻击效果因素建立的第二架构,所述阻塞类体系包括赋予所述第二攻击消耗因素和所述第二攻击消耗因素的第二指标评估值;
所述欺骗类体系为根据网络攻击行为对目标数据信息进行编辑操作过程中的第三攻击消耗因素、以及第三攻击效果因素建立的第三架构,所述欺骗类体系包括赋予所述第三攻击消耗因素和所述第三攻击消耗因素的第三指标评估值;
所述提权控制体系为根据网络攻击行为提升对目标系统的控制权限的过程中的第四攻击消耗因素、以及第四攻击效果因素建立的第四架构,所述欺骗类体系包括赋予所述第四攻击消耗因素和所述第四攻击消耗因素的第四指标评估值。
可选地,所述根据各个所述指标因素与各个所述指标评估值的关系,构建评估模型,包括:
对所述评估指标体系对应的攻击分类进行分析获得各个所述指标因素;
获取所述攻击分类的攻击后果;
根据所述攻击后果确定所述指标评估值的值;
获取所述指标因素与所述指标评估值计算威胁等级的算法;
根据所述算法建立所述评估模型;其中,所述算法为加权求和法、乘积法以及模糊综合法。
可选地,所述攻击后果包括毁灭性和非毁灭性,所述攻击后果为毁灭性的所述指标评估值大于所述攻击后果为非毁灭性的所述指标评估值。
可选地,所述攻击行为包括模拟攻击行为,所述利用所述评估模型对攻击行为进行分析,得到第一威胁等级数据,包括:
利用所述模拟攻击行为对目标设备和/或目标系统进行攻击;
获取所述模拟攻击行为的所述攻击行为特征;
将所述攻击行为特征输入所述评估模型,以得到第一威胁等级数据。
可选地,所述根据所述第一威胁等级数据确定威胁等级结果,包括:
获取目标设备和/或目标系统在模拟环境下正常运行时的第二威胁等级数据;
根据所述第一威胁等级数据与所述第二威胁等级数据得到所述威胁等级结果。
第二方面,本申请提供一种网络威胁等级评估装置,所述装置包括:
第一构建模块,用于构建评估指标体系;其中,所述评估指标体系包括各个指标因素和对应的指标评估值,所述指标因素作为评价威胁等级的因素,所述指标评估值为所述指标因素在评价威胁等级时所占的权重;
第二构建模块,用于根据各个所述指标因素与各个所述指标评估值的关系,构建评估模型;
分析模块,用于利用所述评估模型对攻击行为进行分析,得到第一威胁等级数据;
确定模块,用于根据所述第一威胁等级数据确定威胁等级结果。
第三方面,本申请提供一种可读介质,所述可读介质包括执行指令,当电子设备的处理器执行所述执行指令时,所述电子设备执行如第一方面所述的方法。
第四方面,本申请提供一种电子设备,所述电子设备包括处理器以及存储有执行指令的存储器,当所述处理器执行所述存储器存储的所述执行指令时,所述处理器执行如第一方面所述的方法。
本申请具有以下优点:
本申请提供了一种网络威胁等级评估方法,所述方法可以构建评估指标体系;接着,根据各个所述指标因素与各个所述指标评估值的关系,构建评估模型;再接着,利用所述评估模型对攻击行为进行分析,得到第一威胁等级数据;然后,根据所述第一威胁等级数据确定威胁等级结果。本申请根据指标因素与指标评估值的关系构建评估模型,以获得客观的评估结果,且指标因素和指标评估值可调整,能够针对多变的网络攻击行为进行调整,使得威胁等级结果更加客观。
附图说明
为了更清楚地说明本申请实施例或现有的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请一实施例中所述网络威胁等级评估方法的流程图;
图2为本申请一实施例中信息获取体系的架构图;
图3为本申请一实施例中阻塞类体系的架构图;
图4为本申请一实施例中欺骗类体系的架构图;
图5为本申请一实施例中提权控制体系的架构图;
图6为本申请一实施例中所述网络威胁等级评估装置的结构示意图;
图7为本申请一实施例中所述电子设备的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合具体实施例及相应的附图对本申请的技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
传统的网络安全评估方法和网络攻击效能评估方法更偏向于其对目标系统的毁伤程度的评估,并包含对威胁手段与其自身指标符合的期望值的评测。传统的网络安全评估方法和网络攻击效能评估方法无法针对如今多变的网络攻击行为进行调整,且无法给出客观的网络威胁等级评估结果。针对网络威胁等级评估的需求,本申请提出一种网络威胁等级评估方法,所述方法可以构建评估指标体系;接着,根据各个所述指标因素与各个所述指标评估值的关系,构建评估模型;再接着,利用所述评估模型对攻击行为进行分析,得到第一威胁等级数据;然后,根据所述第一威胁等级数据确定威胁等级结果。本申请根据指标因素与指标评估值的关系构建评估模型,以获得客观的评估结果,且指标因素和指标评估值可调整,能够针对多变的网络攻击行为进行调整,使得威胁等级结果更加客观。
下面结合附图,详细地说明本申请非限制性的实施方案。
如附图1,示出了本申请一示例中网络威胁等级评估方法,所述方法包括:
S101:构建评估指标体系。其中,所述评估指标体系包括各个指标因素和对应的指标评估值,所述指标因素作为评价威胁等级的因素,所述指标评估值为所述指标因素在评价威胁等级时所占的权重。
在评估网络威胁等级前,先梳理各个影响威胁等级的指标因素,以及体现所述指标因素的比重的指标评估值,根据所述各指标因素和所述指标评估值对攻击行为进行评分,得到威胁等级分数。评价指标体系给威胁等级评估奠定基础,使攻击行为的评估有基本的框架和依据。
在一示例中,所述构建评估指标体系,可以获取攻击行为特征。所述攻击行为特征包括攻击路径、攻击目标以及攻击手段等,例如攻击路径可以是从网络系统的界面,然后到储存空间,再到储存的目标文件。攻击目标可以是存储空间或是目标文件,攻击手段可以是复制、剪切、替换以及删除等,可以从攻击路径、攻击目标以及攻击手段判断攻击行为的攻击意图和攻击手段。接着,根据攻击行为特征确认攻击意图和攻击手段。攻击意图和攻击手段便于连接安全防护的难易程度,从而影响威胁等级的大小。例如安全防护难,那么威胁等级较高。再接着,根据所述攻击意图和所述攻击手段确定攻击分类。每一个攻击分类的指标因素和每一指标因素的指标评估值不相同,且每个攻击分类具有多个指标因素。为了评估指标体系有个清晰的架构,将攻击行为划分攻击分类,便于后续的威胁等级评估。然后,根据所述攻击分类确定所述评估指标体系。将所有攻击分类关联起来,组成一个评估指标架构,所述评估指标架构即为所述评估指标体系,所述评估指标体系包括各个指标因素和对应的指标评估值,包括且各个指标因素的等级关系。一个所述攻击分类下的各个所述指标评估值的和为100,或是1,也可以是其他值,便于后续划分威胁评估等级。
在一示例中,所述攻击分类包括信息获取型、阻塞型、欺骗型以及提权控制型;相应地,所述评估指标体系包括信息获取体系、阻塞类体系、欺骗类体系以及提权控制体系。所述攻击分类与所述评估指标体系是对应的,所述评估指标体系是根据攻击分类中影响威胁等级评估的因素而建立的框架。
在一示例中,如附图2所示,所述信息获取体系为根据网络攻击行为获取目标数据信息过程中的第一攻击消耗因素、以及第一攻击效果因素建立的第一架构,所述信息获取体系包括赋予所述第一攻击消耗因素和所述第一攻击效果因素的第一指标评估值。所述第一攻击效果因素包括机密性因素、对抗性因素,所述机密性因素包括业务系统因素、以及主机和网络设备因素,所述业务系统因素包括核心文件窃取概率因素、重要文件窃取概率因素以及一般文件窃取概率因素等。所述主机和网络设备因素包括敏感文件窃取概率因素、一般文件窃取概率因素等。所述对抗性因素包括绕过的安全措施数量因素、攻击响应时间因素等,所述攻击消耗因素包括资源成本因素、人员成本因素、攻击攻击种类因素等。将最底层的层级的指标因素赋予指标评估值。当网络攻击行为攻击目标设备或是目标系统时,会分析有哪些指标因素,将这些指标因素的指标评估值进行计算得到威胁等级数据。所述指标因素可根据其在网络设备中的重要性和安全防范的难易度给指标评估值赋值。
在一示例中,如附图3所示,所述阻塞类体系为根据网络攻击行为使目标设备崩溃的过程的第二攻击消耗因素、以及第二攻击效果因素建立的第二架构,所述阻塞类体系包括赋予所述第二攻击消耗因素和所述第二攻击消耗因素的第二指标评估值。所述第二攻击效果因素包括可用性因素和对抗性因素,所述可用性因素包括业务系统因素和主机和网络设备因素,所述业务系统因素包括核心服务响应时间变化率因素、重要服务响应时间变化率因素、一般服务响应时间变化率因素、核心服务存活率因素、重要服务存活率因素、一般服务存活率因素、核心服务正常服务率因素、以及一般服务正常服务率因素等。所述主机和网络设备因素包括主机存活率因素、主机丢包变化率因素、主机响应时间变化率因素、主机CPU消耗变化率因素、主机内存消耗变化率因素、主机连接消耗变化率因素、设备存活率因素、设备响应时间变化率因素以及网络带宽消耗变化率因素等。所述对抗性因素包括绕过去的安全措施数量因素、攻击被响应延长因素以及目标恢复时间因素等。所述第一攻击消耗因素包括攻击准备时间因素、攻击完成时间因素、攻击工具种类因素、人员成本因素以及资源成本因素等。当网络攻击行为攻击目标设备或是目标系统时,会分析有哪些指标因素,将这些指标因素的指标评估值进行计算得到威胁等级数据。所述指标因素可根据其在网络设备中的重要性和安全防范的难易度给指标评估值赋值。
在一示例中,如附图4所示,所述欺骗类体系为根据网络攻击行为对目标数据信息进行编辑操作过程中的第三攻击消耗因素、以及第三攻击效果因素建立的第三架构,所述欺骗类体系包括赋予所述第三攻击消耗因素和所述第三攻击消耗因素的第三指标评估值。所述攻击效果因素包括可用性因素和对抗性因素,所述可用性因素包括业务系统因素、以及主机和网络设备因素,所述业务系统因素包括核心文件被篡改概率因素、重要文件被篡改概率因素、一般文件被篡改概率因素、口令被篡改概率因素、以及被窃取口令复杂度因素等。所述主机和网络设备因素包括敏感文件被篡改概率因素、一般文件被篡改概率因素以及口令被窃取率因素等。所述对抗性因素包括绕过的安全措施数量因素以及攻击被响应延长因素等。所述攻击消耗包括攻击准备时间因素、攻击完成时间因素、攻击工具种类因素、人员成本因素以及资源成本因素等。当网络攻击行为攻击目标设备或是目标系统时,会分析有哪些指标因素,将这些指标因素的指标评估值进行计算得到威胁等级数据。所述指标因素可根据其在网络设备中的重要性和安全防范的难易度给指标评估值赋值。
在一示例中,如附图5所示,所述提权控制体系为根据网络攻击行为提升对目标系统的控制权限的过程中的第四攻击消耗因素、以及第四攻击效果因素建立的第四架构,所述欺骗类体系包括赋予所述第四攻击消耗因素和所述第四攻击消耗因素的第四指标评估值。所述攻击效果因素包括可靠性因素和对抗性因素,所述可靠性因素包括业务系统因素、以及主机和网络设备因素,所述业务系统因素包括核心业务非授权登录率因素、重要业务非授权登录率因素、以及一般业务非授权登录率因素等。所述主机和网络设备因素包括主机系统非授权登录率以及网络设备非授权登录率等。所述对抗性因素包括绕过的安全措施数量因素、以及攻击被响应延伸因素等。所述攻击消耗因素包括攻击准备时间因素、攻击完成时间因素、攻击工具种类因素、人员成本因素以及资源成本因素等。当网络攻击行为攻击目标设备或是目标系统时,会分析有哪些指标因素,将这些指标因素的指标评估值进行计算得到威胁等级数据。所述指标因素可根据其在网络设备中的重要性和安全防范的难易度给指标评估值赋值。
S102:根据各个所述指标因素与各个所述指标评估值的关系,构建评估模型。其中,所述评估模型包括用所述指标因素与所述指标评估值计算威胁等级的算法。
各个攻击类型的指标因素和指标评估值确定后,可根据各个指标因素和各个指标评估值的关系,预设用所述指标因素与所述指标评估值计算威胁等级的算法。根据算法的逻辑构建所述评估模型,即从所述评估指标体系输出各个所述指标因素及其对应的指标评估值,将所述各个所述指标因素及其对应的指标评估值输入评估模型,评估模型对各个所述指标因素及其对应的指标评估值进行运算处理以得到威胁等级数据。
在一示例中,所述根据各个所述指标因素与各个所述指标评估值的关系,构建评估模型,可以对所述评估指标体系对应的攻击分类进行分析获得各个所述指标因素;用所述攻击分类的攻击行为攻击目标设备或目标系统,在攻击过程中,获取攻击行为特征。在攻击结束后的目标设备或目标系统的运行数据,对攻击行为特征和运行数据进行分析得到各个指标因素。接着,获取所述攻击分类的攻击后果;在攻击结束后,根据运行数据确定攻击后果。再接着,根据所述攻击后果确定所述指标评估值的值。如果网络攻击行为对目标设备或目标系统的运行造成较多的BUG,或者对目标设备或目标系统的运行造成较难修复的BUG等都是攻击的后果,可划分这些攻击后果的严重程度,根据攻击后果的严重程度给指标评估值赋值。如果后果严重,那么赋予指标因素较大的权重和/或赋予其指标评估值较大的值。然后,获取所述指标因素与所述指标评估值计算威胁等级的算法。每个评估指标体系可以预设不同的算法,具体根据每个评估指标体系的实际情况去设定,本申请不限定预设的算法。再然后,根据所述算法建立所述评估模型;其中,所述算法为加权求和法、乘积法以及模糊综合法。威胁等级评分可以设置满分为100或者是满分为1。若威胁等级评分可以设置满分为100,则各个指标因素的指标评估值之和为100,或是各个指标因素的指标评估值与指标比重的乘积之和为100。例如加权求和法根据每个指标因素的重要性计算威胁等级评分。威胁等级评分越高,说明该网络攻击行为对目标设备或目标系统的危害越大。根据威胁等级评分可以针对评分较高的攻击行为设计预防手段,可减低网络安全事故的发生概率。
在一示例中,所述攻击后果包括毁灭性和非毁灭性,所述攻击后果为毁灭性的所述指标评估值大于所述攻击后果为非毁灭性的所述指标评估值。所述毁灭性是指在经历所述网络攻击后,目标设备或目标系统的数据信息或架构不可恢复。相反地,所述非毁灭性是指在经历所述网络攻击后,目标设备或目标系统的数据信息或架构可以修复。很明显地,毁灭性的攻击后果比非毁灭性的攻击后果严重,那么需要给于可能造成毁灭性的攻击后果的指标因素赋予较高的指标评估值,以突出其的威胁性。
S103:利用所述评估模型对攻击行为进行分析,得到第一威胁等级数据。
所述评估模型对所述攻击行为进行分析后,会输出第一威胁等级数据,便于对攻击行为的威胁等级进行评估,用所述评估模型对所述攻击行为进行分析,快速、过程操作简单,且分析后输出的数据较为客观。
在一示例中,所述攻击行为包括模拟攻击行为,所述利用所述评估模型对攻击行为进行分析,得到第一威胁等级数据,可以利用所述模拟攻击行为对目标设备和/或目标系统进行攻击;接着,获取所述模拟攻击行为的所述攻击行为特征;然后,将所述攻击行为特征输入所述评估模型,以得到第一威胁等级数据。为了得到网路攻击行为对目标设备或目标系统进行攻击的威胁等级,可利用模拟攻击行为对目标设备和/或目标系统进行攻击,一方面可针对模拟的结果对目标设备和/或目标系统的安全系统进行升级,针对防护弱点进行加强;另一方面,能够避免目标设备和/或目标系统在真实的网络攻击行为中受损。所述第一威胁等级数据即可体现每次网络攻击行为在攻击目标设备和/或目标系统时体现的破坏性。
S104:根据所述第一威胁等级数据确定威胁等级结果。
所述第一威胁数据包括大量单次网络攻击行为在攻击目标设备和/或目标系统时体现的评估分数,并未经过梳理。因此,需要对多次或大量的评估分数进行划分等级。例如,将评估分数为50以下的评估为低等级的威胁,评估分数为50-70分评估为中等级的威胁,高于70分评估为高等级的威胁。那么需要对各等级威胁的攻击行为进行分析,以开发预防攻击行为的安全系统。
在一示例中,所述根据所述第一威胁等级数据确定威胁等级结果,可以获取目标设备和/或目标系统在模拟环境下正常运行时的第二威胁等级数据;然后,根据所述第一威胁等级数据与所述第二威胁等级数据得到所述威胁等级结果。为了提高网络威胁等级评估的准确性,可根据所述第二威胁等级数据调整所述第一威胁等级数据。即评估模型在目标设备和/或目标系统在模拟环境下正常运行时获取的第二威胁等级数据中的威胁评估分数不为零,那么需要将第一威胁等级数据中的威胁评估分数减去第二威胁等级数据中的威胁评估分数,以作为真实的威胁评估分数。
如附图6,示出了本申请网络威胁等级评估装置的结构示意图,所述装置包括:
第一构建模块,用于构建评估指标体系;其中,所述评估指标体系包括各个指标因素和对应的指标评估值,所述指标因素作为评价威胁等级的因素,所述指标评估值为所述指标因素在评价威胁等级时所占的权重;
第二构建模块,用于根据各个所述指标因素与各个所述指标评估值的关系,构建评估模型;
分析模块,用于利用所述评估模型对攻击行为进行分析,得到第一威胁等级数据;
确定模块,用于根据所述第一威胁等级数据确定威胁等级结果。
可选地,所述第一构建模块,用于:
获取攻击行为特征;
根据攻击行为特征确认攻击意图和攻击手段;
根据所述攻击意图和所述攻击手段确定攻击分类;
根据所述攻击分类确定所述评估指标体系。
可选地,所述第二构建模块,用于:
对所述攻击分类进行分析获得各个所述指标因素;
获取所述攻击分类的攻击后果;
根据所述攻击后果确定所述指标评估值的值;
获取所述指标因素与所述指标评估值计算威胁等级的算法;
根据所述算法建立所述评估模型;其中,所述算法为加权求和法、乘积法以及模糊综合法。
可选地,所述攻击后果包括毁灭性和非毁灭性,所述攻击后果为毁灭性的所述指标评估值大于所述攻击后果为非毁灭性的所述指标评估值。
可选地,所述分析模块,用于:
利用所述模拟攻击行为对目标设备和/或目标系统进行攻击;
获取所述模拟攻击行为的所述攻击行为特征;
将所述攻击行为特征输入所述评估模型,以得到第一威胁等级数据。
可选地,所述确定模块,用于:
获取目标设备和/或目标系统在模拟环境下正常运行时的第二威胁等级数据;
根据所述第一威胁等级数据与所述第二威胁等级数据得到所述威胁等级结果。
图7是本申请实施例提供的一种电子设备的结构示意图。在硬件层面,该电子设备包括处理器,可选地还包括内部总线、网络接口、存储器。其中,存储器可能包含内存,例如高速随机存取存储器(Random-Access Memory,RAM),也可能还包括非易失性存储器(non-volatile memory),例如至少1个磁盘存储器等。当然,该电子设备还可能包括其他业务所需要的硬件。
处理器、网络接口和存储器可以通过内部总线相互连接,该内部总线可以是ISA(Industry Standard Architecture,工业标准体系结构)总线、PCI(PeripheralComponent Interconnect,外设部件互连标准)总线或EISA(Extended Industry StandardArchitecture,扩展工业标准结构)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图7中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
存储器,用于存放执行指令。具体地,执行指令即可被执行的计算机程序。存储器可以包括内存和非易失性存储器,并向处理器提供执行指令和数据。
在一种可能实现的方式中,处理器从非易失性存储器中读取对应的执行指令到内存中然后运行,也可从其它设备上获取相应的执行指令,以在逻辑层面上形成网络威胁等级评估方法。处理器执行存储器所存放的执行指令,以通过执行的执行指令实现本申请任一实施例中提供的网络威胁等级评估方法。
上述如本申请图1所示实施例提供的网络威胁等级评估方法执行的方法可以应用于处理器中,或者由处理器实现。处理器可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器,包括中央处理器(Central ProcessingUnit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(DigitalSignal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。
本申请实施例还提出了一种可读介质,该可读存储介质存储有执行指令,存储的执行指令被电子设备的处理器执行时,能够使该电子设备执行本申请任一实施例中提供的网络威胁等级评估方法,并具体用于执行上述网络威胁等级评估方法。
前述各个实施例中所述的电子设备可以为计算机。
本领域内的技术人员应明白,本申请的实施例可提供为方法或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例,或软件和硬件相结合的形式。
本申请中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (8)
1.一种网络威胁等级评估方法,应用于网络安全防护,其特征在于,所述方法包括:
构建评估指标体系;其中,所述评估指标体系包括各个指标因素和对应的指标评估值,所述指标因素作为评价威胁等级的因素,所述指标评估值为所述指标因素在评价威胁等级时所占的权重;
根据各个所述指标因素与各个所述指标评估值的关系,构建评估模型;其中,所述评估模型包括用所述指标因素与所述指标评估值计算威胁等级的算法;
利用所述评估模型对攻击行为进行分析,得到第一威胁等级数据;
根据所述第一威胁等级数据确定威胁等级结果;
所述构建评估指标体系,包括:
获取攻击行为特征;
根据攻击行为特征确认攻击意图和攻击手段;
根据所述攻击意图和所述攻击手段确定攻击分类;
根据所述攻击分类确定所述评估指标体系;
所述攻击分类包括信息获取型、阻塞型、欺骗型以及提权控制型;相应地,所述评估指标体系包括信息获取体系、阻塞类体系、欺骗类体系以及提权控制体系;
所述信息获取体系为根据网络攻击行为获取目标数据信息过程中的第一攻击消耗因素、以及第一攻击效果因素建立的第一架构,所述信息获取体系包括赋予所述第一攻击消耗因素和所述第一攻击效果因素的第一指标评估值;
所述阻塞类体系为根据网络攻击行为使目标设备崩溃的过程的第二攻击消耗因素、以及第二攻击效果因素建立的第二架构,所述阻塞类体系包括赋予所述第二攻击消耗因素和所述第二攻击消耗因素的第二指标评估值;
所述欺骗类体系为根据网络攻击行为对目标数据信息进行编辑操作过程中的第三攻击消耗因素、以及第三攻击效果因素建立的第三架构,所述欺骗类体系包括赋予所述第三攻击消耗因素和所述第三攻击消耗因素的第三指标评估值;
所述提权控制体系为根据网络攻击行为提升对目标系统的控制权限的过程中的第四攻击消耗因素、以及第四攻击效果因素建立的第四架构,所述欺骗类体系包括赋予所述第四攻击消耗因素和所述第四攻击消耗因素的第四指标评估值。
2.如权利要求1所述的网络威胁等级评估方法,其特征在于,所述根据各个所述指标因素与各个所述指标评估值的关系,构建评估模型,包括:
对所述攻击分类进行分析获得各个所述指标因素;
获取所述攻击分类的攻击后果;
根据所述攻击后果确定所述指标评估值的值;
获取所述指标因素与所述指标评估值计算威胁等级的算法;
根据所述算法建立所述评估模型;其中,所述算法为加权求和法、乘积法以及模糊综合法。
3.如权利要求2所述的网络威胁等级评估方法,其特征在于,所述攻击后果包括毁灭性和非毁灭性,所述攻击后果为毁灭性的所述指标评估值大于所述攻击后果为非毁灭性的所述指标评估值。
4.如权利要求1所述的网络威胁等级评估方法,其特征在于,所述攻击行为包括模拟攻击行为,所述利用所述评估模型对攻击行为进行分析,得到第一威胁等级数据,包括:
利用所述模拟攻击行为对目标设备和/或目标系统进行攻击;
获取所述模拟攻击行为的所述攻击行为特征;
将所述攻击行为特征输入所述评估模型,以得到第一威胁等级数据。
5.如权利要求4所述的网络威胁等级评估方法,其特征在于,所述根据所述第一威胁等级数据确定威胁等级结果,包括:
获取目标设备和/或目标系统在模拟环境下正常运行时的第二威胁等级数据;
根据所述第一威胁等级数据与所述第二威胁等级数据得到所述威胁等级结果。
6.一种网络威胁等级评估装置,其特征在于,所述装置包括:
第一构建模块,用于构建评估指标体系;其中,所述评估指标体系包括各个指标因素和对应的指标评估值,所述指标因素作为评价威胁等级的因素,所述指标评估值为所述指标因素在评价威胁等级时所占的权重;
所述第一构建模块,用于:
获取攻击行为特征;
根据攻击行为特征确认攻击意图和攻击手段;
根据所述攻击意图和所述攻击手段确定攻击分类;
根据所述攻击分类确定所述评估指标体系;
所述攻击分类包括信息获取型、阻塞型、欺骗型以及提权控制型;相应地,所述评估指标体系包括信息获取体系、阻塞类体系、欺骗类体系以及提权控制体系;
所述信息获取体系为根据网络攻击行为获取目标数据信息过程中的第一攻击消耗因素、以及第一攻击效果因素建立的第一架构,所述信息获取体系包括赋予所述第一攻击消耗因素和所述第一攻击效果因素的第一指标评估值;
所述阻塞类体系为根据网络攻击行为使目标设备崩溃的过程的第二攻击消耗因素、以及第二攻击效果因素建立的第二架构,所述阻塞类体系包括赋予所述第二攻击消耗因素和所述第二攻击消耗因素的第二指标评估值;
所述欺骗类体系为根据网络攻击行为对目标数据信息进行编辑操作过程中的第三攻击消耗因素、以及第三攻击效果因素建立的第三架构,所述欺骗类体系包括赋予所述第三攻击消耗因素和所述第三攻击消耗因素的第三指标评估值;
所述提权控制体系为根据网络攻击行为提升对目标系统的控制权限的过程中的第四攻击消耗因素、以及第四攻击效果因素建立的第四架构,所述欺骗类体系包括赋予所述第四攻击消耗因素和所述第四攻击消耗因素的第四指标评估值;
第二构建模块,用于根据各个所述指标因素与各个所述指标评估值的关系,构建评估模型;
分析模块,用于利用所述评估模型对攻击行为进行分析,得到第一威胁等级数据;
确定模块,用于根据所述第一威胁等级数据确定威胁等级结果。
7.一种可读介质,其特征在于,所述可读介质包括执行指令,当电子设备的处理器执行所述执行指令时,所述电子设备执行如权利要求1-5中任一所述的方法。
8.一种电子设备,其特征在于,所述电子设备包括处理器以及存储有执行指令的存储器,当所述处理器执行所述存储器存储的所述执行指令时,所述处理器执行如权利要求1-5中任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211092260.7A CN115174278B (zh) | 2022-09-08 | 2022-09-08 | 一种网络威胁等级评估方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211092260.7A CN115174278B (zh) | 2022-09-08 | 2022-09-08 | 一种网络威胁等级评估方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115174278A CN115174278A (zh) | 2022-10-11 |
CN115174278B true CN115174278B (zh) | 2022-12-13 |
Family
ID=83481111
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211092260.7A Expired - Fee Related CN115174278B (zh) | 2022-09-08 | 2022-09-08 | 一种网络威胁等级评估方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115174278B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN118101337B (zh) * | 2024-04-22 | 2024-07-16 | 北京鼎兴达信息科技股份有限公司 | 一种基于情报协同的铁路网络空间智能防御方法及系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103581186A (zh) * | 2013-11-05 | 2014-02-12 | 中国科学院计算技术研究所 | 一种网络安全态势感知方法及系统 |
CN105871882A (zh) * | 2016-05-10 | 2016-08-17 | 国家电网公司 | 基于网络节点脆弱性和攻击信息的网络安全风险分析方法 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9680855B2 (en) * | 2014-06-30 | 2017-06-13 | Neo Prime, LLC | Probabilistic model for cyber risk forecasting |
CN105407103B (zh) * | 2015-12-19 | 2018-06-29 | 中国人民解放军信息工程大学 | 一种基于多粒度异常检测的网络威胁评估方法 |
CN109302408B (zh) * | 2018-10-31 | 2020-07-28 | 西安交通大学 | 一种网络安全态势评估方法 |
CN111245807B (zh) * | 2020-01-07 | 2022-05-17 | 北京工业大学 | 基于攻击链因子的网络态势量化评估方法 |
-
2022
- 2022-09-08 CN CN202211092260.7A patent/CN115174278B/zh not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103581186A (zh) * | 2013-11-05 | 2014-02-12 | 中国科学院计算技术研究所 | 一种网络安全态势感知方法及系统 |
CN105871882A (zh) * | 2016-05-10 | 2016-08-17 | 国家电网公司 | 基于网络节点脆弱性和攻击信息的网络安全风险分析方法 |
Also Published As
Publication number | Publication date |
---|---|
CN115174278A (zh) | 2022-10-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20230231875A1 (en) | Detecting and mitigating poison attacks using data provenance | |
CN111859400B (zh) | 风险评估方法、装置、计算机系统和介质 | |
CN112019521B (zh) | 一种资产评分方法、装置、计算机设备及存储介质 | |
Joh et al. | Defining and assessing quantitative security risk measures using vulnerability lifecycle and cvss metrics | |
CN106326742A (zh) | 确定修改的网页的系统和方法 | |
EP3789896A1 (en) | Method and system for managing security vulnerability in host system using artificial neural network | |
CN111786950A (zh) | 基于态势感知的网络安全监控方法、装置、设备及介质 | |
US12013951B2 (en) | Cross-site scripting (XSS) risk analysis method and apparatus based on bayesian network and stride model | |
CN106611126A (zh) | 一种漏洞严重性评估及修补方法 | |
CN111786974B (zh) | 一种网络安全评估方法、装置、计算机设备和存储介质 | |
CN111107096A (zh) | 一种Web站点安全防护方法及装置 | |
CN111669365B (zh) | 网络安全测试方法及装置 | |
CN110011976B (zh) | 一种网络攻击破坏能力量化评估方法及系统 | |
CN115174278B (zh) | 一种网络威胁等级评估方法及装置 | |
CN108108624A (zh) | 基于产品和服务的信息安全质量评估方法及装置 | |
CN109684878B (zh) | 一种基于区块链技术隐私信息防篡改方法及系统 | |
Zalewski et al. | Threat modeling for security assessment in cyberphysical systems | |
CN116628705A (zh) | 一种数据安全处理方法、系统、电子设备及存储介质 | |
CN113987509A (zh) | 一种信息系统安全漏洞的风险评级方法、装置、设备及存储介质 | |
CN110011964B (zh) | 一种网页环境检测方法和装置 | |
Keramati | Dynamic risk assessment system for the vulnerability scoring | |
CN113032787A (zh) | 一种系统漏洞检测方法及装置 | |
JP6271971B2 (ja) | リスク分析装置及びリスク分析プログラム | |
CN115348109B (zh) | 工业生产威胁预警方法、系统、电子设备及存储介质 | |
CN117290823B (zh) | 一种app智能检测与安全防护方法、计算机设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20221213 |