CN115664868B - 安全等级确定方法、装置、电子设备和存储介质 - Google Patents
安全等级确定方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN115664868B CN115664868B CN202211687984.6A CN202211687984A CN115664868B CN 115664868 B CN115664868 B CN 115664868B CN 202211687984 A CN202211687984 A CN 202211687984A CN 115664868 B CN115664868 B CN 115664868B
- Authority
- CN
- China
- Prior art keywords
- field
- data
- attack
- security level
- determining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种安全等级确定方法、装置、电子设备和存储介质,其中,安全等级确定方法包括:基于数据库获取预设评估时间范围内的告警数据,其中,数据库中的告警数据由报警系统分析网络流量而得到;基于预设评估时间范围内的告警数据,获取第一字段的数据、第二字段的数据、第三字段的数据和第四字段的数据,其中,第一字段表示威胁类型,第二字段表示攻击是否为APT攻击,第三字段表示是否存在0day攻击,第四字段表示攻击结果;基于第一字段的数据、第二字段的数据、第三字段的数据和第四字段的数据,确定安全等级。本申请能够基于攻击结果确定安全等级,进而能够提高安全等级的评估准确性。
Description
技术领域
本申请涉及计算机技术领域,具体而言,涉及一种安全等级确定方法、装置、电子设备和存储介质。
背景技术
在信息安全领域中,如何更好的保护企业或组织安全是一个重要课题。组织为了应对各种信息安全威胁,一般会引入各种安全威胁感知或检测产品,这些产品应用各种检测方法,每天产生一定量的告警给组织安全运维人员,安全运维人员运用专业知识,对这些告警进行甄别和相应的处置,一般处置完成后,将告警标记为已处理。当每天面对大量的告警时,如果问这些组织安全运维人员,当前的整个组织安全的状况怎么样时,这些安全运维人员很难给出比较准确的回答。而准确的了解整个组织的整体安全状态是非常重要的,对接下来的决策和行动有非常重要的指导意义。因此,研究一种准确的、高效的组织信息安全等级评估方法具有重要意义。
现有技术提供了一种网络系统安全评估方法,其包括如下步骤:获取待处理数据,并基于所述待处理数据计算各个安全参量的评分,所述安全参量包括安全防护、安全威胁、资产脆弱性、安全管理、安全响应;结合各个所述安全参量的评分和权重计算安全评分,记为当前安全评分;基于各个所述安全参量的评分确定所述网络系统所属的安全等级,记为当前安全等级,其中,所述安全等级与评分区间相对应;判断所述当前安全评分是否落于与所述当前安全等级对应的评分区间内,若是,则将所述当前安全评分作为评估结果。
该技术方案基于几个安全参量本身评分与该参量权重相乘,再将所以乘积加在一起,作为总评分的方式,该方式存在以下两个缺陷,一是对于安全事件,没有考虑该攻击的攻击结果,其中,成功和不成功的安全事件,对事件评估的结果影响很大;二是针对安全事件,没有做有针对性的分析,只给安全事件相对应的攻击等级来做区分,现实中,有些特殊攻击如APT,0day攻击,对事件评估结果影响很大,只设置比较高的攻击等级有可能不能体现对应的价值,按公式来看有可能多个低级别的攻击最终得分和比较少的高级攻击差不多,综合来说,使用这种一般公式来做评估在有些情况下准确性有问题。另外这种评分的可解释性差,同样是60分,可能是10个高等级的攻击产生,或100个中等级的攻击产生,又或者是两个等级攻击的混合,没有可解释性,对后续的处置操作带来困难。
发明内容
本申请实施例的目的在于提供一种安全等级确定方法、装置、电子设备和存储介质,用以基于攻击结果确定安全等级,以提高安全等级的评估准确性。
第一方面,本发明提供一种安全等级确定方法,所述方法包括:
基于数据库获取预设评估时间范围内的告警数据,其中,所述数据库中的告警数据由报警系统分析网络流量而得到;
基于所述预设评估时间范围内的告警数据,获取第一字段的数据、第二字段的数据、第三字段的数据和第四字段的数据,其中,所述第一字段表示威胁类型,所述第二字段表示攻击是否为APT攻击,所述第三字段表示是否存在0day攻击,所述第四字段表示攻击结果;
基于所述第一字段的数据、所述第二字段的数据、所述第三字段的数据和所述第四字段的数据,确定安全等级。
在本申请第一方面中,基于数据库能够获取预设评估时间范围内的告警数据,其中,所述数据库中的告警数据由报警系统分析网络流量而得到,进而基于所述预设评估时间范围内的告警数据,能够获取第一字段的数据、第二字段的数据、第三字段的数据和第四字段的数据,其中,所述第一字段表示威胁类型,所述第二字段表示攻击是否为APT攻击,所述第三字段表示是否存在0day攻击,所述第四字段表示攻击结果,进而基于所述第一字段的数据、所述第二字段的数据、所述第三字段的数据和所述第四字段的数据,能够确定安全等级。
与现有技术相比,本申请的安全等级参考了攻击结果,即结合了攻击结果确定安全等级,从而能够使安全等级的评估更加准确。
在本申请第一方面中,作为一种可选的实施方式,所述基于所述第一字段的数据、所述第二字段的数据、所述第三字段的数据和所述第四字段的数据,确定安全等级,包括:
基于所述第一字段的数据和所述第四字段的数据确定失陷主机;
统计所述失陷主机的数量;
基于所述失陷主机的数量、所述第二字段的数据和所述第三字段的数据、所述第一字段和所述第四字段的数据,确定所述安全等级。
在上述可选的实施方式中,基于所述第一字段的数据和所述第四字段的数据能够确定失陷主机,进而通过统计所述失陷主机的数量,能够基于所述失陷主机的数量、所述第二字段的数据和所述第三字段的数据、所述第一字段和所述第四字段的数据,确定所述安全等级。
在本申请第一方面中,作为一种可选的实施方式,所述基于所述失陷主机的数量、所述第二字段的数据和所述第三字段的数据、所述第一字段和所述第四字段的数据,确定所述安全等级,包括:
当所述失陷主机的数量大于第一预设阈值,或者所述第二字段的数据表示攻击为APT攻击,或者所述第三字段表示攻击为0day攻击时,则所述安全等级为严重。
在上述可选的实施方式中,当所述失陷主机的数量大于第一预设阈值,或者所述第二字段的数据表示攻击为APT攻击,或者所述第三字段表示攻击为0day攻击时,可将所述安全等级确定为严重。与现有技术相比,严重安全等级的评估具由更优的可解释性,并且具有更优的准确性。
在本申请第一方面中,作为一种可选的实施方式,所述基于所述失陷主机的数量、所述第二字段的数据和所述第三字段的数据、所述第一字段和所述第四字段的数据,确定所述安全等级,还包括:
当所述失陷主机的数量小于等于所述第一预设阈值,大于第二预设阈值,则所述安全等级为高危;
当所述第一字段的数据表示攻击类型为Webshell攻击类型,且所述第四字段的数据表示攻击成功时,则所述安全等级为高危;
当所述第一字段的数据表示攻击类型为勒索攻击类型,且所述第四字段的数据表示攻击成功时,则所述安全等级为高危。
在上述可选的实施方式,当所述失陷主机的数量小于等于所述第一预设阈值,大于第二预设阈值时,能够将所述安全等级确定为高危。另一方面,当所述第一字段的数据表示攻击类型为Webshell攻击类型,且所述第四字段的数据表示攻击成功时,能够将所述安全等级确定为高危。再一方面,当所述第一字段的数据表示攻击类型为勒索攻击类型,且所述第四字段的数据表示攻击成功时,能够将所述安全等级确定为高危。与现有技术相比,高危安全等级的评估具由更优的可解释性,并且具有更优的准确性。
在本申请第一方面中,作为一种可选的实施方式,所述基于所述失陷主机的数量、所述第二字段的数据和所述第三字段的数据、所述第一字段和所述第四字段的数据,确定所述安全等级,还包括:
当所述当所述失陷主机的数量小于等于所述第二预设阈值,大于第三预设阈值时,则所述安全等级为中危;
当所述第一字段的数据表示攻击类型为挖矿攻击类型,且所述第四字段的数据表示攻击成功时,则所述安全等级为中危。
在上述可选的实施方式,当所述当所述失陷主机的数量小于等于所述第二预设阈值,大于第三预设阈值时,能够将所述安全等级确定为中危。另一方面,当所述第一字段的数据表示攻击类型为挖矿攻击类型,且所述第四字段的数据表示攻击成功时,能够将所述安全等级确定为中危。与现有技术相比,中危安全等级的评估具由更优的可解释性,并且具有更优的准确性。
在本申请第一方面中,作为一种可选的实施方式,所述基于所述失陷主机的数量、所述第二字段的数据和所述第三字段的数据、所述第一字段和所述第四字段的数据,确定所述安全等级,还包括:
当所述当所述失陷主机的数量小于等于所述第三预设阈值,大于第四预设阈值时,则所述安全等级为低危;
当所述安全等级不是严重、高危、中危、低危中的一种时,则所述安全等级为安全。
在上述可选的实施方式中,当所述当所述失陷主机的数量小于等于所述第三预设阈值,大于第四预设阈值时,能够将所述安全等级确定为低危。另一方面,当所述安全等级不是严重、高危、中危、低危中的一种时,能够所述安全等级确定为安全。与现有技术相比,安全、低危安全等级的评估具由更优的可解释性,并且具有更优的准确性。
在本申请第一方面中,作为一种可选的实施方式,所述统计所述失陷主机的数量,包括:
确定所述失陷主机的处理状态;
当所述失陷主机的处理状态表示所述失陷主机已处理时,将已处理的所述失陷主机排除,以统计未处理的所述失陷主机。
在上述可选的方式中,可将已处理的失陷主机排除,以避免已处理的失陷主机排除对安全等级评估造成影响,从而提高对安全等级评估的准确性。
第二方面,本发明提供一种安全等级确定装置,所述装置包括:
数据获取模块,用于基于数据库获取预设评估时间范围内的告警数据,其中,所述数据库中的告警数据由报警系统分析网络流量而得到;
数据处理模块,用于基于所述预设评估时间范围内的告警数据,获取第一字段的数据、第二字段的数据、第三字段的数据和第四字段的数据,其中,所述第一字段表示威胁类型,所述第二字段表示攻击是否为APT攻击,所述第三字段表示是否存在0day攻击,所述第四字段表示攻击结果;
确定模块,用于基于所述第一字段的数据、所述第二字段的数据、所述第三字段的数据和所述第四字段的数据,确定安全等级。
本申请第二方面的装置通过执行安全等级确定方法,能够基于数据库获取预设评估时间范围内的告警数据,其中,所述数据库中的告警数据由报警系统分析网络流量而得到,进而基于所述预设评估时间范围内的告警数据,能够获取第一字段的数据、第二字段的数据、第三字段的数据和第四字段的数据,其中,所述第一字段表示威胁类型,所述第二字段表示攻击是否为APT攻击,所述第三字段表示是否存在0day攻击,所述第四字段表示攻击结果,进而基于所述第一字段的数据、所述第二字段的数据、所述第三字段的数据和所述第四字段的数据,能够确定安全等级。
与现有技术相比,本申请的安全等级参考了攻击结果,即结合了攻击结果确定安全等级,从而能够使安全等级的评估更加准确。
第三方面,本发明提供一种电子设备,包括:
处理器;以及
存储器,配置用于存储机器可读指令,所述指令在由所述处理器执行时,执行如前述实施方式任一项所述的安全等级确定方法。
本申请第三方面的电子设备通过执行安全等级确定方法,能够基于数据库获取预设评估时间范围内的告警数据,其中,所述数据库中的告警数据由报警系统分析网络流量而得到,进而基于所述预设评估时间范围内的告警数据,能够获取第一字段的数据、第二字段的数据、第三字段的数据和第四字段的数据,其中,所述第一字段表示威胁类型,所述第二字段表示攻击是否为APT攻击,所述第三字段表示是否存在0day攻击,所述第四字段表示攻击结果,进而基于所述第一字段的数据、所述第二字段的数据、所述第三字段的数据和所述第四字段的数据,能够确定安全等级。
与现有技术相比,本申请的安全等级参考了攻击结果,即结合了攻击结果确定安全等级,从而能够使安全等级的评估更加准确。
第四方面,本发明提供一种存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行如前述实施方式任一项所述的安全等级确定方法。
本申请第四方面的存储介质通过执行安全等级确定方法,能够基于数据库获取预设评估时间范围内的告警数据,其中,所述数据库中的告警数据由报警系统分析网络流量而得到,进而基于所述预设评估时间范围内的告警数据,能够获取第一字段的数据、第二字段的数据、第三字段的数据和第四字段的数据,其中,所述第一字段表示威胁类型,所述第二字段表示攻击是否为APT攻击,所述第三字段表示是否存在0day攻击,所述第四字段表示攻击结果,进而基于所述第一字段的数据、所述第二字段的数据、所述第三字段的数据和所述第四字段的数据,能够确定安全等级。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1是本申请实施例公开的一种安全等级确定方法的流程示意图;
图2是本申请实施例公开的一种安全等级确定装置的结构示意图;
图3是本申请实施例公开的一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
实施例一
请参阅图1,图1是本申请实施例公开的一种安全等级确定方法的流程示意图,如图1所示,本申请实施例的方法包括以下步骤:
101、基于数据库获取预设评估时间范围内的告警数据,其中,数据库中的告警数据由报警系统分析网络流量而得到;
102、基于预设评估时间范围内的告警数据,获取第一字段的数据、第二字段的数据、第三字段的数据和第四字段的数据,其中,第一字段表示威胁类型,第二字段表示攻击是否为APT攻击,第三字段表示是否存在0day攻击,第四字段表示攻击结果;
103、基于第一字段的数据、第二字段的数据、第三字段的数据和第四字段的数据,确定安全等级。
在本申请实施例中,基于数据库能够获取预设评估时间范围内的告警数据,其中,数据库中的告警数据由报警系统分析网络流量而得到,进而基于预设评估时间范围内的告警数据,能够获取第一字段的数据、第二字段的数据、第三字段的数据和第四字段的数据,其中,第一字段表示威胁类型,第二字段表示攻击是否为APT攻击,第三字段表示是否存在0day攻击,第四字段表示攻击结果,进而基于第一字段的数据、第二字段的数据、第三字段的数据和第四字段的数据,能够确定安全等级。
与现有技术相比,本申请实施例的安全等级参考了攻击结果,即结合了攻击结果确定安全等级,从而能够使安全等级的评估更加准确。
在本申请实施例中,第一字段的数据是指第一字段的字段值,第二字段的数据是指第二字段的字段值,第三字段的数据是指第三字段的字段值,第四字段的数据是指第四字段的字段值。
在本申请实施例中,作为一种实例,第一字段可以是“threat.type”,第二字段可以是“threat.is_apt”,第三字段可以是“threat.vul_0day”,第四字段可以是“threat.result”,其中,第一字段的字段值可是“c2、mining、webshell、ransom”中的一种,其中,c2表示连接远控地址攻击,mining表示挖矿攻击,webshell表示Webshell攻击,ransom表示勒索软件攻击。需要说明的是,第一字段的字段值还可以是表示其他攻击类型,本申请实施例对此不作限定。
在本申请实施例中,第二字段的字段值可以是0或1,例如,threat.is_apt=0,或threat.is_apt=1,其中,threat.is_apt=0表示,攻击不是APT攻击,而threat.is_apt=1表示攻击为APT攻击。
在本申请实施例中,第三字段的字段值可以是“not null”,或者“null”,例如,threat.vul_0dayis not null、threat.vul_0day is null,其中,threat.vul_0dayisnull表示不存在0day攻击,而threat.vul_0day is notnull表示存在0day攻击。
在本申请实施例中,第三字段的字段值可以是success,或者failure,例如,threat.result=success,其中,threat.result =success表示攻击成功。
需要说明的是,APT攻击是指高级可持续威胁攻击,也称为定向威胁攻击。另一方面,0day通常是指还没有补丁的漏洞,而0day攻击则是指利用0day漏洞进行的攻击。
在本申请实施例中,作为一种可选的实施方式,步骤:基于第一字段的数据、第二字段的数据、第三字段的数据和第四字段的数据,确定安全等级,包括以下子步骤:
基于第一字段的数据和第四字段的数据确定失陷主机;
统计失陷主机的数量;
基于失陷主机的数量、第二字段的数据和第三字段的数据、第一字段和第四字段的数据,确定安全等级。
在上述可选的实施方式中,基于第一字段的数据和第四字段的数据能够确定失陷主机,进而通过统计失陷主机的数量,能够基于失陷主机的数量、第二字段的数据和第三字段的数据、第一字段和第四字段的数据,确定安全等级。
在本申请实施例中,作为一种可选的实施方式,基于失陷主机的数量、第二字段的数据和第三字段的数据、第一字段和第四字段的数据,确定安全等级,包括:
当失陷主机的数量大于第一预设阈值,或者第二字段的数据表示攻击为APT攻击,或者第三字段表示攻击为0day攻击时,则安全等级为严重。
在上述可选的实施方式中,当失陷主机的数量大于第一预设阈值,或者第二字段的数据表示攻击为APT攻击,或者第三字段表示攻击为0day攻击时,可将安全等级确定为严重。与现有技术相比,严重安全等级的评估具由更优的可解释性,并且具有更优的准确性。
在本申请实施例中,作为一种可选的实施方式,步骤:基于失陷主机的数量、第二字段的数据和第三字段的数据、第一字段和第四字段的数据,确定安全等级,还包括以下子步骤:
当失陷主机的数量小于等于第一预设阈值,大于第二预设阈值,则安全等级为高危;
当第一字段的数据表示攻击类型为Webshell攻击类型,且第四字段的数据表示攻击成功时,则安全等级为高危;
当第一字段的数据表示攻击类型为勒索攻击类型,且第四字段的数据表示攻击成功时,则安全等级为高危。
在上述可选的实施方式,当失陷主机的数量小于等于第一预设阈值,大于第二预设阈值时,能够将安全等级确定为高危。另一方面,当第一字段的数据表示攻击类型为Webshell攻击类型,且第四字段的数据表示攻击成功时,能够将安全等级确定为高危。再一方面,当第一字段的数据表示攻击类型为勒索攻击类型,且第四字段的数据表示攻击成功时,能够将安全等级确定为高危。与现有技术相比,高危安全等级的评估具由更优的可解释性,并且具有更优的准确性。
在本申请实施例中,作为一种可选的实施方式,步骤:基于失陷主机的数量、第二字段的数据和第三字段的数据、第一字段和第四字段的数据,确定安全等级,还包括以下子步骤:
当失陷主机的数量小于等于第二预设阈值,大于第三预设阈值时,则安全等级为中危;
当第一字段的数据表示攻击类型为挖矿攻击类型,且第四字段的数据表示攻击成功时,则安全等级为中危。
在上述可选的实施方式,当失陷主机的数量小于等于第二预设阈值,大于第三预设阈值时,能够将安全等级确定为中危。另一方面,。
在本申请实施例中,作为一种可选的实施方式,步骤:基于失陷主机的数量、第二字段的数据和第三字段的数据、第一字段和第四字段的数据,确定安全等级,还包括以下子步骤:
当失陷主机的数量小于等于第三预设阈值,大于第四预设阈值时,则安全等级为低危;
当安全等级不是严重、高危、中危、低危中的一种时,则安全等级为安全。
在上述可选的实施方式中,当失陷主机的数量小于等于第三预设阈值,大于第四预设阈值时,能够将安全等级确定为低危。另一方面,当安全等级不是严重、高危、中危、低危中的一种时,能够安全等级确定为安全。与现有技术相比,安全、低危安全等级的评估具由更优的可解释性,并且具有更优的准确性。
在本申请实施例中,作为一种可选的实施方式,步骤:统计失陷主机的数量,包括以下子步骤:
确定失陷主机的处理状态;
当失陷主机的处理状态表示失陷主机已处理时,将已处理的失陷主机排除,以统计未处理的失陷主机。
在上述可选的方式中,可将已处理的失陷主机排除,以避免已处理的失陷主机排除对安全等级评估造成影响,从而提高对安全等级评估的准确性。
需要说明的是,本申请实施例涉及第一预设阈值、第二预设阈值、第三预设阈值和第四预设阈值均可以由用户指定。
综上,本申请实施例能够基于不同的攻击类型,分析攻击类型的特点与造成的破坏程度,对应到相应的安全等级中,从而使评估结果具有可解释性,例如评估结果为严重,就可以确定存在APT或0day攻击,或者是可以确定一部分主机存在一些稍低级别的攻击成功的威胁,这个可解释性,可指导接下来的处置工作,针对上面的条件找到对应主机进行处置即可,而现有技术中使用攻击等级、攻击次数加权重的公式算法得到的结果,很难有这种可解释性,同样是60分,可能是10个高等级的攻击产生,或100个中等级的攻击产生,又或者是两个等级攻击的混合,也比较难确定是什么类型的攻击。另一方面,弥补现有公式算法技术中的一些不足,比如公式算法加入了攻击次数参数,那么很难将少次的特别严重的攻击做成最高的分数,这样会影响一些场景下的评估准确性,因此,本申请实施例具有更优的评估准确性。
实施例二
请参阅图2,图2是本申请实施例公开的一种安全等级确定装置的结构示意图,如图2所示,本申请实施例的装置包括以下功能模块:
数据获取模块201,用于基于数据库获取预设评估时间范围内的告警数据,其中,数据库中的告警数据由报警系统分析网络流量而得到;
数据处理模块202,用于基于预设评估时间范围内的告警数据,获取第一字段的数据、第二字段的数据、第三字段的数据和第四字段的数据,其中,第一字段表示威胁类型,第二字段表示攻击是否为APT攻击,第三字段表示是否存在0day攻击,第四字段表示攻击结果;
确定模块203,用于基于第一字段的数据、第二字段的数据、第三字段的数据和第四字段的数据,确定安全等级。
本申请实施例的装置通过执行安全等级确定方法,能够基于数据库获取预设评估时间范围内的告警数据,其中,数据库中的告警数据由报警系统分析网络流量而得到,进而基于预设评估时间范围内的告警数据,能够获取第一字段的数据、第二字段的数据、第三字段的数据和第四字段的数据,其中,第一字段表示威胁类型,第二字段表示攻击是否为APT攻击,第三字段表示是否存在0day攻击,第四字段表示攻击结果,进而基于第一字段的数据、第二字段的数据、第三字段的数据和第四字段的数据,能够确定安全等级。
与现有技术相比,本申请的安全等级参考了攻击结果,即结合了攻击结果确定安全等级,从而能够使安全等级的评估更加准确。
需要说明的是,关于本申请实施例的装置的其他详细说明,请参阅本申请实施例一的相关说明,本申请实施例对此不作赘述。
实施例三
请参阅图3,图3是本申请实施例公开的一种电子设备的结构示意图,如图3所示,本申请实施例的电子设备包括:
处理器301;以及
存储器302,配置用于存储机器可读指令,指令在由处理器执行时,执行如前述实施方式任一项的安全等级确定方法。
本申请实施例的电子设备通过执行安全等级确定方法,能够基于数据库获取预设评估时间范围内的告警数据,其中,数据库中的告警数据由报警系统分析网络流量而得到,进而基于预设评估时间范围内的告警数据,能够获取第一字段的数据、第二字段的数据、第三字段的数据和第四字段的数据,其中,第一字段表示威胁类型,第二字段表示攻击是否为APT攻击,第三字段表示是否存在0day攻击,第四字段表示攻击结果,进而基于第一字段的数据、第二字段的数据、第三字段的数据和第四字段的数据,能够确定安全等级。
与现有技术相比,本申请实施例的安全等级参考了攻击结果,即结合了攻击结果确定安全等级,从而能够使安全等级的评估更加准确。
实施例四
本申请实施例提供的一种存储介质,存储介质存储有计算机程序,计算机程序被处理器执行如前述实施方式任一项的安全等级确定方法。
本申请实施例的存储介质通过执行安全等级确定方法,能够基于数据库获取预设评估时间范围内的告警数据,其中,数据库中的告警数据由报警系统分析网络流量而得到,进而基于预设评估时间范围内的告警数据,能够获取第一字段的数据、第二字段的数据、第三字段的数据和第四字段的数据,其中,第一字段表示威胁类型,第二字段表示攻击是否为APT攻击,第三字段表示是否存在0day攻击,第四字段表示攻击结果,进而基于第一字段的数据、第二字段的数据、第三字段的数据和第四字段的数据,能够确定安全等级。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
需要说明的是,功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (8)
1.一种安全等级确定方法,其特征在于,所述方法包括:
基于数据库获取预设评估时间范围内的告警数据,其中,所述数据库中的告警数据由报警系统分析网络流量而得到;
基于所述预设评估时间范围内的告警数据,获取第一字段的数据、第二字段的数据、第三字段的数据和第四字段的数据,其中,所述第一字段表示威胁类型,所述第二字段表示攻击是否为APT攻击,所述第三字段表示是否存在0day攻击,所述第四字段表示攻击结果;
基于所述第一字段的数据、所述第二字段的数据、所述第三字段的数据和所述第四字段的数据,确定安全等级;
所述基于所述第一字段的数据、所述第二字段的数据、所述第三字段的数据和所述第四字段的数据,确定安全等级,包括:
基于所述第一字段的数据和所述第四字段的数据确定失陷主机;
统计所述失陷主机的数量;
基于所述失陷主机的数量、所述第二字段的数据和所述第三字段的数据、所述第一字段和所述第四字段的数据,确定所述安全等级;
所述基于所述失陷主机的数量、所述第二字段的数据和所述第三字段的数据、所述第一字段和所述第四字段的数据,确定所述安全等级,包括:
当所述失陷主机的数量大于第一预设阈值,或者所述第二字段的数据表示攻击为APT攻击,或者所述第三字段表示攻击为0day攻击时,则所述安全等级为严重。
2.如权利要求1所述的方法,其特征在于,所述基于所述失陷主机的数量、所述第二字段的数据和所述第三字段的数据、所述第一字段和所述第四字段的数据,确定所述安全等级,还包括:
当所述失陷主机的数量小于等于所述第一预设阈值,大于第二预设阈值,则所述安全等级为高危;
当所述第一字段的数据表示攻击类型为Webshell攻击类型,且所述第四字段的数据表示攻击成功时,则所述安全等级为高危;
当所述第一字段的数据表示攻击类型为勒索攻击类型,且所述第四字段的数据表示攻击成功时,则所述安全等级为高危。
3.如权利要求2所述的方法,其特征在于,所述基于所述失陷主机的数量、所述第二字段的数据和所述第三字段的数据、所述第一字段和所述第四字段的数据,确定所述安全等级,还包括:
当所述失陷主机的数量小于等于所述第二预设阈值,大于第三预设阈值时,则所述安全等级为中危;
当所述第一字段的数据表示攻击类型为挖矿攻击类型,且所述第四字段的数据表示攻击成功时,则所述安全等级为中危。
4.如权利要求3所述的方法,其特征在于,所述基于所述失陷主机的数量、所述第二字段的数据和所述第三字段的数据、所述第一字段和所述第四字段的数据,确定所述安全等级,还包括:
当所述失陷主机的数量小于等于所述第三预设阈值,大于第四预设阈值时,则所述安全等级为低危;
当所述安全等级不是严重、高危、中危、低危中的一种时,则所述安全等级为安全。
5.如权利要求1-4任一项所述的方法,其特征在于,所述统计所述失陷主机的数量,包括:
确定所述失陷主机的处理状态;
当所述失陷主机的处理状态表示所述失陷主机已处理时,将已处理的所述失陷主机排除,以统计未处理的所述失陷主机。
6.一种安全等级确定装置,其特征在于,所述装置包括:
数据获取模块,用于基于数据库获取预设评估时间范围内的告警数据,其中,所述数据库中的告警数据由报警系统分析网络流量而得到;
数据处理模块,用于基于所述预设评估时间范围内的告警数据,获取第一字段的数据、第二字段的数据、第三字段的数据和第四字段的数据,其中,所述第一字段表示威胁类型,所述第二字段表示攻击是否为APT攻击,所述第三字段表示是否存在0day攻击,所述第四字段表示攻击结果;确定模块,用于基于所述第一字段的数据、所述第二字段的数据、所述第三字段的数据和所述第四字段的数据,确定安全等级;
所述确定模块还用于:
基于所述第一字段的数据、所述第二字段的数据、所述第三字段的数据和所述第四字段的数据,确定安全等级,包括:
基于所述第一字段的数据和所述第四字段的数据确定失陷主机;
统计所述失陷主机的数量;
基于所述失陷主机的数量、所述第二字段的数据和所述第三字段的数据、所述第一字段和所述第四字段的数据,确定所述安全等级;
进一步地,确定模块还用于:
基于所述失陷主机的数量、所述第二字段的数据和所述第三字段的数据、所述第一字段和所述第四字段的数据,确定所述安全等级,包括:
当所述失陷主机的数量大于第一预设阈值,或者所述第二字段的数据表示攻击为APT攻击,或者所述第三字段表示攻击为0day攻击时,则所述安全等级为严重。
7.一种电子设备,其特征在于,包括:
处理器;以及
存储器,配置用于存储机器可读指令,所述指令在由所述处理器执行时,执行如权利要求1-5任一项所述的安全等级确定方法。
8.一种存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序被处理器执行如权利要求1-5任一项所述的安全等级确定方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211687984.6A CN115664868B (zh) | 2022-12-28 | 2022-12-28 | 安全等级确定方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211687984.6A CN115664868B (zh) | 2022-12-28 | 2022-12-28 | 安全等级确定方法、装置、电子设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115664868A CN115664868A (zh) | 2023-01-31 |
| CN115664868B true CN115664868B (zh) | 2023-04-21 |
Family
ID=85022319
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211687984.6A Active CN115664868B (zh) | 2022-12-28 | 2022-12-28 | 安全等级确定方法、装置、电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115664868B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116032660B (zh) * | 2023-02-21 | 2023-06-20 | 北京微步在线科技有限公司 | Ad域威胁识别方法、装置、电子设备和存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013055807A1 (en) * | 2011-10-10 | 2013-04-18 | Global Dataguard, Inc | Detecting emergent behavior in communications networks |
| CN107426049A (zh) * | 2017-05-16 | 2017-12-01 | 国家计算机网络与信息安全管理中心 | 一种网络流量精确检测方法、设备及存储介质 |
| CN114124552A (zh) * | 2021-11-29 | 2022-03-01 | 恒安嘉新(北京)科技股份公司 | 一种网络攻击的威胁等级获取方法、装置和存储介质 |
| CN114143060A (zh) * | 2021-11-25 | 2022-03-04 | 潍坊安芯智能科技有限公司 | 基于人工智能预测的信息安全预测方法及大数据安全系统 |
| CN114357447A (zh) * | 2021-12-30 | 2022-04-15 | 绿盟科技集团股份有限公司 | 攻击者威胁评分方法及相关装置 |
| CN114726623A (zh) * | 2022-04-08 | 2022-07-08 | 北京天融信网络安全技术有限公司 | 一种高级威胁攻击评估方法、装置、电子设备及存储介质 |
-
2022
- 2022-12-28 CN CN202211687984.6A patent/CN115664868B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013055807A1 (en) * | 2011-10-10 | 2013-04-18 | Global Dataguard, Inc | Detecting emergent behavior in communications networks |
| CN107426049A (zh) * | 2017-05-16 | 2017-12-01 | 国家计算机网络与信息安全管理中心 | 一种网络流量精确检测方法、设备及存储介质 |
| CN114143060A (zh) * | 2021-11-25 | 2022-03-04 | 潍坊安芯智能科技有限公司 | 基于人工智能预测的信息安全预测方法及大数据安全系统 |
| CN114124552A (zh) * | 2021-11-29 | 2022-03-01 | 恒安嘉新(北京)科技股份公司 | 一种网络攻击的威胁等级获取方法、装置和存储介质 |
| CN114357447A (zh) * | 2021-12-30 | 2022-04-15 | 绿盟科技集团股份有限公司 | 攻击者威胁评分方法及相关装置 |
| CN114726623A (zh) * | 2022-04-08 | 2022-07-08 | 北京天融信网络安全技术有限公司 | 一种高级威胁攻击评估方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115664868A (zh) | 2023-01-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108616545B (zh) | 一种网络内部威胁的检测方法、系统及电子设备 | |
| TWI595375B (zh) | 使用適應性行爲輪廓之異常檢測技術 | |
| TWI573036B (zh) | 針對威脅評估之風險評分技術 | |
| CN112819336B (zh) | 一种基于电力监控系统网络威胁的量化方法及系统 | |
| KR20180013998A (ko) | 계정 도난 위험 식별 방법, 식별 장치, 예방 및 통제 시스템 | |
| US20040250169A1 (en) | IDS log analysis support apparatus, IDS log analysis support method and IDS log analysis support program | |
| CN113542279B (zh) | 一种网络安全风险评估方法、系统及装置 | |
| CN110912884A (zh) | 一种检测方法、设备及计算机存储介质 | |
| CN109376537B (zh) | 一种基于多因子融合的资产评分方法及系统 | |
| CN110581827A (zh) | 一种针对于暴力破解的检测方法及装置 | |
| CN115664868B (zh) | 安全等级确定方法、装置、电子设备和存储介质 | |
| CN110598959A (zh) | 一种资产风险评估方法、装置、电子设备及存储介质 | |
| CN111787002B (zh) | 一种业务数据网络安全分析的方法及系统 | |
| CN113132311A (zh) | 异常访问检测方法、装置和设备 | |
| CN116094817A (zh) | 一种网络安全检测系统和方法 | |
| CN110674498B (zh) | 一种基于多维度文件活动的内部威胁检测方法及系统 | |
| CN117478433B (zh) | 一种网络与信息安全动态预警系统 | |
| CN117435523B (zh) | 基于数据敏感级识别的存储介质自动销毁方法 | |
| CN112153062B (zh) | 基于多维度的可疑终端设备检测方法及系统 | |
| CN110598397A (zh) | 一种基于深度学习的Unix系统用户恶意操作检测方法 | |
| CN107172033B (zh) | 一种waf误判识别方法以及装置 | |
| CN111885011A (zh) | 一种业务数据网络安全分析挖掘的方法及系统 | |
| CN114726623A (zh) | 一种高级威胁攻击评估方法、装置、电子设备及存储介质 | |
| Siraj et al. | Analyzing ANOVA F-test and Sequential Feature Selection for Intrusion Detection Systems. | |
| CN116663021B (zh) | 机器请求行为识别方法、装置、电子设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |