CN116055090A - 风险评分模型的训练方法及评分方法、设备和存储介质 - Google Patents
风险评分模型的训练方法及评分方法、设备和存储介质 Download PDFInfo
- Publication number
- CN116055090A CN116055090A CN202211415198.0A CN202211415198A CN116055090A CN 116055090 A CN116055090 A CN 116055090A CN 202211415198 A CN202211415198 A CN 202211415198A CN 116055090 A CN116055090 A CN 116055090A
- Authority
- CN
- China
- Prior art keywords
- security
- data
- network
- uploaded
- risk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012549 training Methods 0.000 title claims abstract description 82
- 238000000034 method Methods 0.000 title claims abstract description 62
- 238000013077 scoring method Methods 0.000 title claims abstract description 13
- 230000004044 response Effects 0.000 claims abstract description 59
- 230000015654 memory Effects 0.000 claims description 24
- 238000004364 calculation method Methods 0.000 claims description 20
- 231100000279 safety data Toxicity 0.000 claims description 5
- 230000000694 effects Effects 0.000 abstract description 12
- 238000010586 diagram Methods 0.000 description 11
- 230000008569 process Effects 0.000 description 9
- 238000012545 processing Methods 0.000 description 8
- 238000004590 computer program Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 7
- 238000012423 maintenance Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 4
- 230000005291 magnetic effect Effects 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000007547 defect Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000008439 repair process Effects 0.000 description 2
- 230000007123 defense Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000005294 ferromagnetic effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0635—Risk analysis of enterprise or organisation activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/20—Administration of product repair or maintenance
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/40—Business processes related to the transportation industry
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Human Resources & Organizations (AREA)
- Computer Security & Cryptography (AREA)
- Strategic Management (AREA)
- Economics (AREA)
- Tourism & Hospitality (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- Physics & Mathematics (AREA)
- Marketing (AREA)
- Entrepreneurship & Innovation (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Operations Research (AREA)
- Quality & Reliability (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Game Theory and Decision Science (AREA)
- Health & Medical Sciences (AREA)
- Educational Administration (AREA)
- Development Economics (AREA)
- General Health & Medical Sciences (AREA)
- Primary Health Care (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种风险评分模型的训练方法及评分方法、设备和存储介质。该方法包括:获取初始评分模型,初始评分模型用于根据网络管理的安全服务信息、部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息,生成结果数据;根据结果数据、运营指标数据和响应能力数据确定网络管理的风险评分;获取训练数据,并根据训练数据训练初始评分模型,得到风险评分模型,风险评分模型用于输出网络管理的风险评分;其中训练数据至少包括网络管理的安全服务信息、部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息、运营指标数据和响应能力数据。本申请的方法可以更全面得对网络安全运营管理进行风险评分,以提高网络安全运营管理的效果。
Description
技术领域
本申请涉及网络运维技术,尤其涉及一种风险评分模型的训练方法及评分方法、设备和存储介质。
背景技术
网络安全运营管理是利用安全产品或安全服务等提升信息安全能力的管理过程,围绕互联网技术(Internet Technology,简称IT)系统资产进行安全防护的一系列操作。
网络安全运营管理存在许多问题,例如在管理方面缺乏整体性,在技术方面缺乏系统性,以及在处置方面缺乏有效性。例如,在管理方面无法将不同类型的安全设备或平台进行联动和规划。在技术方面无法构建系统的运行环节,无法从问题根源上解决网络安全问题。在处置方面能力不足,无法及时有效得应对网络安全问题。因此,需要对网络安全运营管理进行风险评分,帮助运维人员根据风险评分改进网络安全运营管理。
如何对网络安全运营管理进行风险评分,以帮助改善网络安全运营管理存在的问题,以及提高网络安全运营管理的管理效果,仍然是需要解决的。
发明内容
本申请提供一种风险评分模型的训练方法及评分方法、设备和存储介质,用以解决如何对网络安全运营管理进行风险评分,以帮助改善网络安全运营管理存在的问题,以及提高网络安全运营管理的管理效果的问题。
一方面,本申请提供一种风险评分模型的训练方法,包括:
获取初始评分模型,所述初始评分模型用于根据网络管理的安全服务信息、部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息,生成结果数据,还用于根据所述结果数据、运营指标数据和响应能力数据确定网络管理的风险评分;
获取训练数据,并根据所述训练数据训练所述初始评分模型,得到风险评分模型,所述风险评分模型用于输出网络管理的风险评分;
其中所述训练数据至少包括网络管理的安全服务信息、部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息、运营指标数据和响应能力数据。
可选的,所述安全服务信息包括多个安全服务事项的完成度和完成度对应的事项分值;
部署在不同网络侧的安全设备包括主机安全设备、部署在大网侧的安全设备和部署在边界侧的安全设备,所述部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息包括主机安全设备上传的安全事件信息和安全漏洞信息、部署在大网侧的安全设备上传的安全事件信息、部署在边界侧的安全设备上传的安全事件信息;
其中,所述安全事件信息包括发生安全事件的设备地址,还包括发生安全事件的每个设备地址对应的安全事件数量和每个安全事件的风险评分;
所述安全漏洞信息包括发生漏洞的设备地址,还包括发生漏洞的每个设备地址对应的漏洞数量和每个漏洞的风险评分;
所述初始评分模型用于根据网络管理的安全服务信息、部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息,生成结果数据时,具体用于:
根据安全服务事项的完成度和完成度对应的事项分值生成安全服务数据;
根据大网侧的安全设备上传的发生安全事件的每个设备地址对应的安全事件数量和每个安全事件的安全事件风险评分生成大网安全数据;
根据边界侧的安全设备上传的发生安全事件的每个设备地址对应的安全事件数量和每个安全事件的安全事件风险评分生成边界安全数据;
根据主机安全设备上传的发生安全事件的发生安全事件的每个设备地址对应的安全事件数量和每个安全事件的安全事件风险评分,以及发生漏洞的每个设备地址对应的漏洞数量和每个漏洞的漏洞风险评分,生成主机安全数据;
根据所述安全服务数据、所述大网安全数据、所述主机安全数据和所述边界安全数据生成所述结果数据。
可选的,所述初始评分模型用于根据安全服务事项的完成度和完成度对应的事项分值生成安全服务数据时,具体用于:
针对每个安全服务事项,当安全服务事项的完成度为百分之百时,获取完成度对应的事项分值为预设值,当安全服务事项的完成度为零时,获取完成度对应的事项分值为零分;
根据每个安全服务事项的事项分值生成所述安全服务数据。
可选的,所述初始评分模型用于根据大网侧的安全设备上传的发生安全事件的每个设备地址对应的安全事件数量和每个安全事件的风险评分生成大网安全数据时,具体用于:
根据大网侧的安全设备上传的发生安全事件的第一设备地址对应的安全事件数量,以及每个设备地址对应的安全事件数量,确定第一设备地址对应的安全事件的数量占比;
循环执行步骤所述根据大网侧的安全设备上传的发生安全事件的第一设备地址对应的安全事件数量,直到确定大网侧的每个设备地址对应的安全事件的数量占比;
根据大网侧的每个设备地址对应的安全事件风险评分和每个设备地址对应的安全事件的数量占比生成所述大网安全数据。
可选的,所述初始评分模型用于根据边界侧的安全设备上传的发生安全事件的每个设备地址对应的安全事件数量和每个安全事件的风险评分生成边界安全数据时具体用于:
根据边界侧的安全设备上传的发生安全事件的第二设备地址对应的安全事件数量,以及每个设备地址对应的安全事件数量,确定第二设备地址对应的安全事件的数量占比;
循环执行步骤所述根据边界侧的安全设备上传的发生安全事件的第二设备地址对应的安全事件数量,直到确定边界侧的每个设备地址对应的安全事件的数量占比;
根据边界侧的每个设备地址对应的安全事件风险评分和每个设备地址对应的安全事件的数量占比生成所述大网安全数据。
可选的,所述初始评分模型用于根据主机安全设备上传的发生安全事件的发生安全事件的每个设备地址对应的安全事件数量和每个安全事件的风险评分,以及发生漏洞的每个设备地址对应的漏洞数量和每个漏洞的风险评分,生成主机安全数据时具体用于:
根据主机安全设备上传的发生安全事件的第三设备地址对应的安全事件数量,以及每个设备地址对应的安全事件数量,确定第三设备地址对应的安全事件的数量占比;
循环执行步骤所述根据主机安全设备上传的发生安全事件的第三设备地址对应的安全事件数量,直到确定主机安全设备上传的发生安全事件的每个设备地址对应的安全事件的数量占比;
根据主机安全设备上传的发生漏洞的第四设备地址对应的漏洞数量,以及每个设备地址对应的漏洞数量,确定第四设备地址对应的漏洞的数量占比;
循环执行步骤所述根据主机安全设备上传的发生漏洞的第四设备地址对应的漏洞数量,直到确定主机安全设备上传的发生漏洞的每个设备地址对应的漏洞的数量占比;
根据主机安全设备上传的发生安全事件的每个设备地址对应的安全事件风险评分和每个设备地址对应的安全事件的数量占比,以及主机安全设备上传的发生漏洞的每个设备地址对应的漏洞风险评分和每个设备地址对应的漏洞的数量占比,生成所述主机安全数据。
可选的,所述初始评分模型用于根据所述结果数据、运营指标数据和响应能力数据确定网络管理的风险评分时,具体用于:
根据所述结果数据和所述结果数据的计算权重、所述运营指标数据和所述运营指标数据的计算权重、所述响应能力数据和所述响应能力数据的计算权重,确定网络管理的风险评分。
另一方面,本申请提供一种网络管理的风险评分方法,包括:
获取待评分网络管理的安全服务信息、部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息、运营指标数据和响应能力数据;
将待评分网络管理的安全服务信息、部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息、运营指标数据和响应能力数据输入至如权利要求1-7任一项所述的风险评分模型的训练方法训练得到的风险评分模型,以得到待评分网络管理的风险评分。
另一方面,本申请提供一种风险评分模型的训练装置,包括:
获取模块,用于获取初始评分模型,所述初始评分模型用于根据网络管理的安全服务信息、部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息,生成结果数据,还用于根据所述结果数据、运营指标数据和响应能力数据确定网络管理的风险评分;
训练模块,用于获取训练数据,并根据所述训练数据训练所述初始评分模型,得到风险评分模型,所述风险评分模型用于输出网络管理的风险评分;
其中所述训练数据至少包括网络管理的安全服务信息、部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息、运营指标数据和响应能力数据。
另一方面,本申请提供一种网络管理的风险评分装置,包括:
获取模块,用于获取待评分网络管理的安全服务信息、部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息、运营指标数据和响应能力数据;
处理模块,用于将待评分网络管理的安全服务信息、部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息、运营指标数据和响应能力数据输入至如权利要求1-7任一项所述的风险评分模型的训练方法训练得到的风险评分模型,以得到待评分网络管理的风险评分。
另一方面,本申请提供一种电子设备,包括:处理器,以及与所述处理器通信连接的存储器;
所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,以实现如第一方面所述的风险评分模型的训练方法,或,实现如第二方面所述的网络管理的风险评分方法。
另一方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,当所述指令被执行时,使得计算机执行如第一方面所述的风险评分模型的训练方法,或,实现如第二方面所述的网络管理的风险评分方法。
本申请的一个实施例提供一种风险评分模型的训练方法,该方法获取初始评分模型和训练数据,根据该训练数据对该初始评分模型进行训练得到风险评分模型,该风险评分模型用于输出网络管理的风险评分。该初始评分模型用于根据网络管理的安全服务信息、部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息,生成结果数据,还用于根据所述结果数据、运营指标数据和响应能力数据确定网络管理的风险评分。
由此,通过对网络安全运营管理进行风险评分,可以帮助改善网络安全运营管理存在的问题,以及提高网络安全运营管理的管理效果。除此之外,本申请的实施例提供的方法是基于较全面的网络管理的信息进行网络管理的风险评分,得到的风险评分可以全面得反映网络管理的状况,从而进一步帮助提高网络安全运营管理的效果。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
图1为本申请提供的风险评分模型的训练方法的一种应用场景示意图;
图2为本申请的一个实施例提供的风险评分模型的训练方法的流程示意图;
图3为本申请的一个实施例提供的初始评分模型的数据处理流程的示意图;
图4为本申请的一个实施例提供的网络管理的风险评分方法的流程示意图;
图5为本申请的一个实施例提供的风险评分模型的训练装置的示意图;
图6为本申请的一个实施例提供的网络管理的风险评分装置的示意图;
图7为本申请的一个实施例提供的电子设备的示意图。
通过上述附图,已示出本公开明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本公开构思的范围,而是通过参考特定实施例为本领域技术人员说明本公开的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
在本申请的描述中,需要理解的是,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本申请的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
网络安全运营管理是利用安全产品或安全服务等提升信息安全能力的管理过程,围绕互联网技术(Internet Technology,简称IT)系统资产进行安全防护的一系列操作。网络安全运营管理存在许多问题,例如在管理方面缺乏整体性,在技术方面缺乏系统性,以及在处置方面缺乏有效性。
具体的,在管理方面无法将不同类型的安全设备或平台进行联动和规划。在技术方面无法构建系统的运行环节,无法从问题根源上解决网络安全问题。在处置方面能力不足,无法及时有效得应对网络安全问题。因此,需要对网络安全运营管理进行风险评分,帮助运维人员根据风险评分改进网络安全运营管理。
基于此,本申请提供一种风险评分模型的训练方法及评分方法、设备和存储介质。该风险评分模型的训练方法获取初始评分模型和训练数据,根据该训练数据对该初始评分模型进行训练得到风险评分模型,该风险评分模型用于输出网络管理的风险评分。该初始评分模型用于根据网络管理的安全服务信息、部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息,生成结果数据,还用于根据该结果数据、运营指标数据和响应能力数据确定网络管理的风险评分。
由此,通过对网络安全运营管理进行风险评分,可以帮助改善网络安全运营管理存在的问题,以及提高网络安全运营管理的管理效果。除此之外,本申请的实施例提供的方法是基于较全面的网络管理的信息进行网络管理的风险评分,得到的风险评分可以全面得反映网络管理的状况,从而进一步帮助提高网络安全运营管理的效果。
本申请提供的风险评分模型的训练方法应用于电子设备,该电子设备例如计算机、实验室用的服务器等。图1为本申请提供的风险评分模型的训练方法的应用示意图,图中,该电子设备获取初始评分模型,该初始评分模型用于根据网络管理的安全服务信息、部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息,生成结果数据,还用于根据该结果数据、运营指标数据和响应能力数据确定网络管理的风险评分。获取训练数据,并根据该训练数据训练该初始评分模型,得到风险评分模型,该风险评分模型用于输出网络管理的风险评分。该训练数据至少包括网络管理的安全服务信息、部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息、运营指标数据和响应能力数据。
请参见图2,本申请的一个实施例提供一种风险评分模型的训练方法,包括:
S210,获取初始评分模型,该初始评分模型用于根据网络管理的安全服务信息、部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息,生成结果数据,还用于根据该结果数据、运营指标数据和响应能力数据确定网络管理的风险评分。
该初始评分模型的数据处理流程如图3所示,该初始评分模型先根据网络管理的安全服务信息、部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息,生成结果数据。再根据该结果数据、运营指标数据和响应能力数据确定网络管理的风险评分。
以下对如何生成该结果数据进行描述。
网络管理的安全服务信息指的是网络管理所提供的各个安全事项的完成信息,各个安全事项例如包括事件研判、上线检测、渗透测试、攻防演练和应急演练。安全事项的完成信息可以是安全事项的完成度和完成度对应的事项分值。安全事项的完成度可以理解为安全事项的服务内容执行并完成整改,也就是说,安全事项的服务内容执行并完成整改后代表安全事项的完成度为百分之百,安全事项的服务内容未执行或执行后未完成整改代表的是安全事项的完成度为零。
如表1所示,不同安全事项的完成度为百分之百时对应的事项分值可以相同也可以不同,在一个可选的实施例中,不同安全事项的完成度为百分之百时对应的事项分值均为预设分值(例如为16分)。当任意一个安全事项的完成度为零时,对应的事项分值也为零。
表1:
部署在不同网络侧的安全设备包括部署在内网的主机安全设备、部署在大网侧的安全设备和部署在边界侧的安全设备。内网是指企业的内网,大网是指运营商基础网络,边界是指企业的互联网边界。主机安全设备可以是虚拟软件设备或实体设备,虚拟软件设备例如主机安全软件、终端卫士软件等。部署在大网侧的安全设备可以是虚拟软件设备或实体设备,虚拟软件设备例如大网态势、抗D软件等。部署在边界侧的安全设备可以是虚拟软件设备或实体设备,实体设备例如负责网络安全的网关设备。
该部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息包括主机安全设备上传的安全事件信息和安全漏洞信息、部署在大网侧的安全设备上传的安全事件信息、部署在边界侧的安全设备上传的安全事件信息。
如表2所示的例子,主机安全设备上传的安全事件信息包括主机安全设备采集的发生安全事件的设备地址,还包括发生安全事件的每个设备地址对应的安全事件数量和每个安全事件的风险评分,还可以包括每个设备地址对应的安全事件的风险等级。其中,表2中示出了源互联网协议地址IP(Internet Protocol Address)和目的IP,源IP和目的IP组成本实施例所描述的一个设备地址。
表2:
如表3所示的例子,主机安全设备上传的安全漏洞信息包括主机安全设备采集的发生漏洞的设备地址,还包括发生漏洞的每个设备地址对应的漏洞数量和每个漏洞的风险评分,还可以包括每个设备地址对应的漏洞的风险等级。表3中资产IP地址为本实施例所描述的一个设备地址。
表3:
资产IP地址 | 漏洞风险等级 | 分值 | 漏洞数量 |
192.168.1.1 | 高危 | 10 | 7 |
192.168.1.1 | 中危 | 60 | 16 |
192.168.1.2 | 低危 | 80 | 46 |
如表4所示的例子,大网侧的安全设备上传的安全事件信息包括大网侧的安全设备采集的发生安全事件的设备地址,还包括发生安全事件的每个设备地址对应的安全事件数量和每个安全事件的风险评分,还可以包括每个设备地址对应的安全事件的风险等级。表4中源IP和目的IP组成本实施例所描述的一个设备地址。
表4:
如表5所示的例子,边界侧的安全设备上传的安全事件信息包括边界侧的安全设备采集的发生安全事件的设备地址,还包括发生安全事件的每个设备地址对应的安全事件数量和每个安全事件的风险评分,还可以包括每个设备地址对应的安全事件的风险等级。表5中源IP和目的IP组成本实施例所描述的一个设备地址。
表5:
该初始评分模型用于根据网络管理的安全服务信息、部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息,生成结果数据时,具体用于:
1)根据安全服务事项的完成度和完成度对应的事项分值生成安全服务数据。
如以上描述,针对每个安全服务事项,当安全服务事项的完成度为百分之百时,获取完成度对应的事项分值为预设值,当安全服务事项的完成度为零时,获取完成度对应的事项分值为零分。
根据每个安全服务事项的事项分值生成该安全服务数据时,将各安全服务事项的事项分值相加得到安全服务数据。以表1所示的信息为例,则安全服务数据=16+0+16+0+0=32。
2)根据大网侧的安全设备上传的发生安全事件的每个设备地址对应的安全事件数量和每个安全事件的安全事件风险评分生成大网安全数据。
根据大网侧的安全设备上传的发生安全事件的第一设备地址对应的安全事件数量,以及每个设备地址对应的安全事件数量,确定第一设备地址对应的安全事件的数量占比。该第一设备地址例如表4中的192.168.1.2,对应的安全事件数量为3,根据每个设备地址对应的安全事件数量确定的安全事件数量总和为30,则该第一设备地址对应的安全事件的数量占比=3/30=0.1。
循环执行步骤该根据大网侧的安全设备上传的发生安全事件的第一设备地址对应的安全事件数量,直到确定大网侧的每个设备地址对应的安全事件的数量占比,再根据大网侧的每个设备地址对应的安全事件风险评分和每个设备地址对应的安全事件的数量占比生成该大网安全数据。以表4所示的信息为例,该大网安全数据=10*(3/30)+20*(6/30)+50*(9/30)+80*(12/30)=52。
3)根据边界侧的安全设备上传的发生安全事件的每个设备地址对应的安全事件数量和每个安全事件的风险评分生成边界安全数据。
根据边界侧的安全设备上传的发生安全事件的第二设备地址对应的安全事件数量,以及每个设备地址对应的安全事件数量,确定第二设备地址对应的安全事件的数量占比。该第二设备地址例如表5中的192.168.1.8,对应的安全事件数量为10,根据每个设备地址对应的安全事件数量确定的安全事件数量总和为350,则该第二设备地址对应的安全事件的数量占比=10/350=0.0286。
循环执行步骤该根据边界侧的安全设备上传的发生安全事件的第二设备地址对应的安全事件数量,直到确定边界侧的每个设备地址对应的安全事件的数量占比。根据边界侧的每个设备地址对应的安全事件风险评分和每个设备地址对应的安全事件的数量占比生成该大网安全数据。以表5所示的信息为例,该边界安全数据=10*(10/350)+20*(5/350)+50*(23/350)+80*(312/350)=75。
4)根据主机安全设备上传的发生安全事件的发生安全事件的每个设备地址对应的安全事件数量和每个安全事件的安全事件风险评分,以及发生漏洞的每个设备地址对应的漏洞数量和每个漏洞的漏洞风险评分,生成主机安全数据。
第一,根据主机安全设备上传的发生安全事件的第三设备地址对应的安全事件数量,以及每个设备地址对应的安全事件数量,确定第三设备地址对应的安全事件的数量占比。该第三设备地址例如表2中的源IP192.168.0.1和目的IP192.168.0.2,对应的安全事件数量为5,根据每个设备地址对应的安全事件数量确定的安全事件数量总和为48,则该第三设备地址对应的安全事件的数量占比=5/48=0.1。循环执行步骤该根据主机安全设备上传的发生安全事件的第三设备地址对应的安全事件数量,直到确定主机安全设备上传的发生安全事件的每个设备地址对应的安全事件的数量占比。
第二,根据主机安全设备上传的发生漏洞的第四设备地址对应的漏洞数量,以及每个设备地址对应的漏洞数量,确定第四设备地址对应的漏洞的数量占比。例如表3中的第四设备地址为192.168.1.1,对应的漏洞数量为7,每个设备地址对应的漏洞数量确定的漏洞数量总量为69,则该第四设备地址对应的漏洞的数量占比=7/69=0.1。循环执行步骤该根据主机安全设备上传的发生漏洞的第四设备地址对应的漏洞数量,直到确定主机安全设备上传的发生漏洞的每个设备地址对应的漏洞的数量占比。
第三,根据主机安全设备上传的发生安全事件的每个设备地址对应的安全事件风险评分和每个设备地址对应的安全事件的数量占比,以及主机安全设备上传的发生漏洞的每个设备地址对应的漏洞风险评分和每个设备地址对应的漏洞的数量占比,生成该主机安全数据。
首先,根据主机安全设备上传的发生安全事件的每个设备地址对应的安全事件风险评分和每个设备地址对应的安全事件的数量占比,确定安全事件计分。以表2所示,安全事件计分=10*(5/48)+20*(1/48)+50*(19/48)+80*(23/48)=60。再根据发生漏洞的每个设备地址对应的漏洞风险评分和每个设备地址对应的漏洞的数量占比,确定漏洞计分。以表3所示,漏洞计分=10*(7/69)+60*(16/69)+80*(46/69)=68。该主机安全数据=(安全事件计分+漏洞计分)/2=(60+68)/2=64。
5)根据该安全服务数据、该大网安全数据、该主机安全数据和该边界安全数据生成该结果数据。
在一个可选的实施例中,先获取该安全服务数据、该大网安全数据、该主机安全数据和该边界安全数据的计算权重,再基于该安全服务数据、该大网安全数据、该主机安全数据和该边界安全数据的计算权重,以及该安全服务数据、该大网安全数据、该主机安全数据和该边界安全数据,生成该结果数据。该安全服务数据、该大网安全数据、该主机安全数据和该边界安全数据的计算权重可以是预先设置的。
例如,结果数据(满分为80分)=0.375*安全服务数据+0.25*大网安全数据+0.25*主机安全数据+0.125*边界安全数据=0.375*32+0.25*52+0.25*64+0.125*75。安全服务数据的计算权重为0.375,大网安全数据的计算权重为0.25,主机安全数据的计算权重为0.25,边界安全数据的计算权重为0.125。
以上描述该结果数据的生成过程,接下来描述网络管理的风险评分的确定过程。
该初始评分模型用于根据该结果数据、运营指标数据和响应能力数据确定网络管理的风险评分时,具体用于根据该结果数据和该结果数据的计算权重、该运营指标数据和该运营指标数据的计算权重、该响应能力数据和该响应能力数据的计算权重,确定网络管理的风险评分。例如,该风险评分=0.8*结果数据+0.15*运营指标数据+0.05*响应能力数据,其中,结果数据的计算权重为0.8,运营指标数据的计算权重为0.15,响应能力数据的计算权重为0.05。
在一个可选的实施例中,运营指标数据可以是该初始评分模型获取运营指标信息后生成的,该运营指标信息例如表6所示,包含运营指标项、运营指标项的分值、运营指标项的数量。运营指标项例如为安全通报、安全培训、运营报告。运营指标信息可以是网络运维人员根据实际情况编写并上传至该电子设备的。
如表6所示,运营指标数据=10*(3/20)+80*(2/20)+100*(15/20)=84.5,其中,20为运营指标项的总数。
表6:
运营指标项 | 分值 | 数量 |
安全通报 | 10 | 3 |
安全培训 | 80 | 2 |
运营报告 | 100 | 15 |
响应能力数据指的是根据网络管理设备在捕捉到安全事件或漏洞事件后的响应时间确定的响应能力数据,例如响应能力为8分钟,对应的响应能力数据(分值)等于3分。
例如,该风险评分=0.8*结果数据+0.15*运营指标数据+0.05*响应能力数据=0.8*(0.375*32+0.25*52+0.25*64+0.125*75)+0.15*10+0.05*3=41.95。
S220,获取训练数据,并根据该训练数据训练该初始评分模型,得到风险评分模型,该风险评分模型用于输出网络管理的风险评分。其中该训练数据至少包括网络管理的安全服务信息、部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息、运营指标数据和响应能力数据。
如步骤S210中所描述的,该初始评分模型用于根据网络管理的安全服务信息、部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息,生成结果数据,还用于根据该结果数据、运营指标数据和响应能力数据确定网络管理的风险评分。因此,获取训练数据,并根据该训练数据训练该初始评分模型,直到达到训练终止条件时得到风险评分模型。训练终止条件例如是训练时长达标、训练次数达标或其他终止条件。
该风险评分模型用于输出网络管理的风险评分。使用该风险评分模型时,获取待评分网络管理的安全服务信息、部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息、运营指标数据和响应能力数据后,将待评分网络管理的安全服务信息、部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息、运营指标数据和响应能力数据输入至该风险评分模型,可以得到该待评分网络管理的风险评分。
进一步的,还可以根据待评分网络管理的风险评分划分待评分网络管理的风险等级,例如风险评分在(0,25)为严重威胁,[25,45)为高度威胁,[45,65)为中度威胁,[65,100]为轻度威胁,0为健康。当该待评分网络管理的风险评分为41.95时,对应的风险等级为严重威胁。该电子设备可以通知网络运维人员网络管理的风险评分以及风险等级,以帮助网络运维人员修补网络管理的缺陷,提高网络管理的效果。
综上,本实施例提供一种风险评分模型的训练方法,该方法获取初始评分模型和训练数据,根据该训练数据对该初始评分模型进行训练得到风险评分模型,该风险评分模型用于输出网络管理的风险评分。该初始评分模型用于根据网络管理的安全服务信息、部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息,生成结果数据,还用于根据该结果数据、运营指标数据和响应能力数据确定网络管理的风险评分。
由此,通过对网络安全运营管理进行风险评分,可以帮助改善网络安全运营管理存在的问题,以及提高网络安全运营管理的管理效果。除此之外,本申请的实施例提供的方法是基于较全面的网络管理的信息进行网络管理的风险评分,得到的风险评分可以全面得反映网络管理的状况,从而进一步帮助提高网络安全运营管理的效果。请参见图4,本申请的一个实施例还提供一种网络管理的风险评分方法,包括:
S410,获取待评分网络管理的安全服务信息、部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息、运营指标数据和响应能力数据。
该待评分网络管理的安全服务信息、部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息、运营指标数据和响应能力数据可以由网络运维人员整理收集后输入至该电子设备,也可以是各设备(虚拟设备、实体设备等)实时上传后存储至该带评分网络管理对应的存储空间的。
S420,将待评分网络管理的安全服务信息、部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息、运营指标数据和响应能力数据输入至预设的风险评分模型的训练方法训练得到的风险评分模型,以得到待评分网络管理的风险评分。
该预设的风险评分模型的训练方法如以上任一项实施例提供的风险评分模型的训练方法。
如步骤S210中所描述的,该初始评分模型用于根据网络管理的安全服务信息、部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息,生成结果数据,还用于根据该结果数据、运营指标数据和响应能力数据确定网络管理的风险评分。训练该初始评分模型得到的该该风险评分模型用于输出网络管理的风险评分。
使用该风险评分模型时,将待评分网络管理的安全服务信息、部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息、运营指标数据和响应能力数据输入至该风险评分模型,可以得到该待评分网络管理的风险评分。
进一步的,还可以根据待评分网络管理的风险评分划分待评分网络管理的风险等级,例如风险评分在(0,25)为严重威胁,[25,45)为高度威胁,[45,65)为中度威胁,[65,100]为轻度威胁,0为健康。当该待评分网络管理的风险评分为41.95时,对应的风险等级为严重威胁。该电子设备可以通知网络运维人员网络管理的风险评分以及风险等级,以帮助网络运维人员修补网络管理的缺陷,提高网络管理的效果。
综上,本实施例提供一种网络管理的风险评分方法,该方法获取待评分网络管理的安全服务信息、部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息、运营指标数据和响应能力数据。将待评分网络管理的安全服务信息、部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息、运营指标数据和响应能力数据输入至风险评分模型,得到待评分网络管理的风险评分。通过该风险评分模型可以更全面的网络管理的信息进行网络管理的风险评分,得到的风险评分可以更全面得反映网络管理的状况,从而帮助提高网络安全运营管理的效果。
请参见图5,本申请的一个实施例还提供一种风险评分模型的训练装置10,包括:
获取模块11,用于获取初始评分模型,该初始评分模型用于根据网络管理的安全服务信息、部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息,生成结果数据,还用于根据该结果数据、运营指标数据和响应能力数据确定网络管理的风险评分。
训练模块12,用于获取训练数据,并根据该训练数据训练该初始评分模型,得到风险评分模型,该风险评分模型用于输出网络管理的风险评分;其中该训练数据至少包括网络管理的安全服务信息、部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息、运营指标数据和响应能力数据。
该安全服务信息包括多个安全服务事项的完成度和完成度对应的事项分值;部署在不同网络侧的安全设备包括主机安全设备、部署在大网侧的安全设备和部署在边界侧的安全设备,该部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息包括主机安全设备上传的安全事件信息和安全漏洞信息、部署在大网侧的安全设备上传的安全事件信息、部署在边界侧的安全设备上传的安全事件信息;其中,该安全事件信息包括发生安全事件的设备地址,还包括发生安全事件的每个设备地址对应的安全事件数量和每个安全事件的风险评分;该安全漏洞信息包括发生漏洞的设备地址,还包括发生漏洞的每个设备地址对应的漏洞数量和每个漏洞的风险评分;
该初始评分模型用于根据网络管理的安全服务信息、部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息,生成结果数据时,具体用于:根据安全服务事项的完成度和完成度对应的事项分值生成安全服务数据;根据大网侧的安全设备上传的发生安全事件的每个设备地址对应的安全事件数量和每个安全事件的安全事件风险评分生成大网安全数据;根据边界侧的安全设备上传的发生安全事件的每个设备地址对应的安全事件数量和每个安全事件的安全事件风险评分生成边界安全数据;根据主机安全设备上传的发生安全事件的发生安全事件的每个设备地址对应的安全事件数量和每个安全事件的安全事件风险评分,以及发生漏洞的每个设备地址对应的漏洞数量和每个漏洞的漏洞风险评分,生成主机安全数据;根据该安全服务数据、该大网安全数据、该主机安全数据和该边界安全数据生成该结果数据。
该初始评分模型用于根据安全服务事项的完成度和完成度对应的事项分值生成安全服务数据时,具体用于:针对每个安全服务事项,当安全服务事项的完成度为百分之百时,获取完成度对应的事项分值为预设值,当安全服务事项的完成度为零时,获取完成度对应的事项分值为零分;根据每个安全服务事项的事项分值生成该安全服务数据。
该初始评分模型用于根据大网侧的安全设备上传的发生安全事件的每个设备地址对应的安全事件数量和每个安全事件的风险评分生成大网安全数据时,具体用于:根据大网侧的安全设备上传的发生安全事件的第一设备地址对应的安全事件数量,以及每个设备地址对应的安全事件数量,确定第一设备地址对应的安全事件的数量占比;循环执行步骤该根据大网侧的安全设备上传的发生安全事件的第一设备地址对应的安全事件数量,直到确定大网侧的每个设备地址对应的安全事件的数量占比;根据大网侧的每个设备地址对应的安全事件风险评分和每个设备地址对应的安全事件的数量占比生成该大网安全数据。
该初始评分模型用于根据边界侧的安全设备上传的发生安全事件的每个设备地址对应的安全事件数量和每个安全事件的风险评分生成边界安全数据时具体用于:根据边界侧的安全设备上传的发生安全事件的第二设备地址对应的安全事件数量,以及每个设备地址对应的安全事件数量,确定第二设备地址对应的安全事件的数量占比;循环执行步骤该根据边界侧的安全设备上传的发生安全事件的第二设备地址对应的安全事件数量,直到确定边界侧的每个设备地址对应的安全事件的数量占比;根据边界侧的每个设备地址对应的安全事件风险评分和每个设备地址对应的安全事件的数量占比生成该大网安全数据。
该初始评分模型用于根据主机安全设备上传的发生安全事件的发生安全事件的每个设备地址对应的安全事件数量和每个安全事件的风险评分,以及发生漏洞的每个设备地址对应的漏洞数量和每个漏洞的风险评分,生成主机安全数据时具体用于:根据主机安全设备上传的发生安全事件的第三设备地址对应的安全事件数量,以及每个设备地址对应的安全事件数量,确定第三设备地址对应的安全事件的数量占比;循环执行步骤该根据主机安全设备上传的发生安全事件的第三设备地址对应的安全事件数量,直到确定主机安全设备上传的发生安全事件的每个设备地址对应的安全事件的数量占比;根据主机安全设备上传的发生漏洞的第四设备地址对应的漏洞数量,以及每个设备地址对应的漏洞数量,确定第四设备地址对应的漏洞的数量占比;循环执行步骤该根据主机安全设备上传的发生漏洞的第四设备地址对应的漏洞数量,直到确定主机安全设备上传的发生漏洞的每个设备地址对应的漏洞的数量占比;根据主机安全设备上传的发生安全事件的每个设备地址对应的安全事件风险评分和每个设备地址对应的安全事件的数量占比,以及主机安全设备上传的发生漏洞的每个设备地址对应的漏洞风险评分和每个设备地址对应的漏洞的数量占比,生成该主机安全数据。
该初始评分模型用于根据该结果数据、运营指标数据和响应能力数据确定网络管理的风险评分时,具体用于:根据该结果数据和该结果数据的计算权重、该运营指标数据和该运营指标数据的计算权重、该响应能力数据和该响应能力数据的计算权重,确定网络管理的风险评分。
请参见图6,本申请的一个实施例还提供一种网络管理的风险评分装置20,该装置20包括:
获取模块21,用于获取待评分网络管理的安全服务信息、部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息、运营指标数据和响应能力数据。
处理模块22,用于将待评分网络管理的安全服务信息、部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息、运营指标数据和响应能力数据输入至预设的风险评分模型的训练方法训练得到的风险评分模型,以得到待评分网络管理的风险评分。
请参见图7,本申请还提供一种电子设备30,包括处理器31,以及与该处理器31通信连接的存储器32。该存储器32存储计算机执行指令,该处理器31执行该存储器32存储的计算机执行指令,以实现如以上任一项实施例提供的风险评分模型的训练方法,或,实现如以上任一项实施例提供的网络管理的风险评分方法。
本申请还提供一种计算机可读存储介质,该计算机可读存储介质中存储有计算机执行指令,当该指令被执行时,使得计算机执行指令被处理器执行时用于实现如以上任一项实施例提供的风险评分模型的训练方法,或,实现如以上任一项实施例提供的网络管理的风险评分方法。
本申请还提供一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现如以上任一项实施例提供的风险评分模型的训练方法,或,实现如以上任一项实施例提供的网络管理的风险评分方法。
需要说明的是,上述计算机可读存储介质可以是只读存储器(Read Only Memory,ROM)、可编程只读存储器(Programmable Read-Only Memory,PROM)、可擦除可编程只读存储器(Erasable Programmable Read-Only Memory,EPROM)、电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性随机存取存储器(Ferromagnetic Random Access Memory,FRAM)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(Compact Disc Read-Only Memory,CD-ROM)等存储器。也可以是包括上述存储器之一或任意组合的各种电子设备,如移动电话、计算机、平板设备、个人数字助理等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本申请各个实施例所描述的方法。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上仅为本申请的优选实施例,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本申请的专利保护范围内。
Claims (10)
1.一种风险评分模型的训练方法,其特征在于,包括:
获取初始评分模型,所述初始评分模型用于根据网络管理的安全服务信息、部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息,生成结果数据,还用于根据所述结果数据、运营指标数据和响应能力数据确定网络管理的风险评分;
获取训练数据,并根据所述训练数据训练所述初始评分模型,得到风险评分模型,所述风险评分模型用于输出网络管理的风险评分;
其中所述训练数据至少包括网络管理的安全服务信息、部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息、运营指标数据和响应能力数据。
2.根据权利要求1所述的方法,其特征在于,所述安全服务信息包括多个安全服务事项的完成度和完成度对应的事项分值;
部署在不同网络侧的安全设备包括主机安全设备、部署在大网侧的安全设备和部署在边界侧的安全设备,所述部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息包括主机安全设备上传的安全事件信息和安全漏洞信息、部署在大网侧的安全设备上传的安全事件信息、部署在边界侧的安全设备上传的安全事件信息;
其中,所述安全事件信息包括发生安全事件的设备地址,还包括发生安全事件的每个设备地址对应的安全事件数量和每个安全事件的风险评分;
所述安全漏洞信息包括发生漏洞的设备地址,还包括发生漏洞的每个设备地址对应的漏洞数量和每个漏洞的风险评分;
所述初始评分模型用于根据网络管理的安全服务信息、部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息,生成结果数据时,具体用于:
根据安全服务事项的完成度和完成度对应的事项分值生成安全服务数据;
根据大网侧的安全设备上传的发生安全事件的每个设备地址对应的安全事件数量和每个安全事件的安全事件风险评分生成大网安全数据;
根据边界侧的安全设备上传的发生安全事件的每个设备地址对应的安全事件数量和每个安全事件的安全事件风险评分生成边界安全数据;
根据主机安全设备上传的发生安全事件的发生安全事件的每个设备地址对应的安全事件数量和每个安全事件的安全事件风险评分,以及发生漏洞的每个设备地址对应的漏洞数量和每个漏洞的漏洞风险评分,生成主机安全数据;
根据所述安全服务数据、所述大网安全数据、所述主机安全数据和所述边界安全数据生成所述结果数据。
3.根据权利要求2所述的方法,其特征在于,所述初始评分模型用于根据安全服务事项的完成度和完成度对应的事项分值生成安全服务数据时,具体用于:
针对每个安全服务事项,当安全服务事项的完成度为百分之百时,获取完成度对应的事项分值为预设值,当安全服务事项的完成度为零时,获取完成度对应的事项分值为零分;
根据每个安全服务事项的事项分值生成所述安全服务数据。
4.根据权利要求2或3所述的方法,其特征在于,所述初始评分模型用于根据大网侧的安全设备上传的发生安全事件的每个设备地址对应的安全事件数量和每个安全事件的风险评分生成大网安全数据时,具体用于:
根据大网侧的安全设备上传的发生安全事件的第一设备地址对应的安全事件数量,以及每个设备地址对应的安全事件数量,确定第一设备地址对应的安全事件的数量占比;
循环执行步骤所述根据大网侧的安全设备上传的发生安全事件的第一设备地址对应的安全事件数量,直到确定大网侧的每个设备地址对应的安全事件的数量占比;
根据大网侧的每个设备地址对应的安全事件风险评分和每个设备地址对应的安全事件的数量占比生成所述大网安全数据。
5.根据权利要求4所述的方法,其特征在于,所述初始评分模型用于根据边界侧的安全设备上传的发生安全事件的每个设备地址对应的安全事件数量和每个安全事件的风险评分生成边界安全数据时具体用于:
根据边界侧的安全设备上传的发生安全事件的第二设备地址对应的安全事件数量,以及每个设备地址对应的安全事件数量,确定第二设备地址对应的安全事件的数量占比;
循环执行步骤所述根据边界侧的安全设备上传的发生安全事件的第二设备地址对应的安全事件数量,直到确定边界侧的每个设备地址对应的安全事件的数量占比;
根据边界侧的每个设备地址对应的安全事件风险评分和每个设备地址对应的安全事件的数量占比生成所述大网安全数据。
6.根据权利要求5所述的方法,其特征在于,所述初始评分模型用于根据主机安全设备上传的发生安全事件的发生安全事件的每个设备地址对应的安全事件数量和每个安全事件的风险评分,以及发生漏洞的每个设备地址对应的漏洞数量和每个漏洞的风险评分,生成主机安全数据时具体用于:
根据主机安全设备上传的发生安全事件的第三设备地址对应的安全事件数量,以及每个设备地址对应的安全事件数量,确定第三设备地址对应的安全事件的数量占比;
循环执行步骤所述根据主机安全设备上传的发生安全事件的第三设备地址对应的安全事件数量,直到确定主机安全设备上传的发生安全事件的每个设备地址对应的安全事件的数量占比;
根据主机安全设备上传的发生漏洞的第四设备地址对应的漏洞数量,以及每个设备地址对应的漏洞数量,确定第四设备地址对应的漏洞的数量占比;
循环执行步骤所述根据主机安全设备上传的发生漏洞的第四设备地址对应的漏洞数量,直到确定主机安全设备上传的发生漏洞的每个设备地址对应的漏洞的数量占比;
根据主机安全设备上传的发生安全事件的每个设备地址对应的安全事件风险评分和每个设备地址对应的安全事件的数量占比,以及主机安全设备上传的发生漏洞的每个设备地址对应的漏洞风险评分和每个设备地址对应的漏洞的数量占比,生成所述主机安全数据。
7.根据权利要求1所述的方法,其特征在于,所述初始评分模型用于根据所述结果数据、运营指标数据和响应能力数据确定网络管理的风险评分时,具体用于:
根据所述结果数据和所述结果数据的计算权重、所述运营指标数据和所述运营指标数据的计算权重、所述响应能力数据和所述响应能力数据的计算权重,确定网络管理的风险评分。
8.一种网络管理的风险评分方法,其特征在于,包括:
获取待评分网络管理的安全服务信息、部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息、运营指标数据和响应能力数据;
将待评分网络管理的安全服务信息、部署在不同网络侧的安全设备上传的安全事件信息和安全漏洞信息、运营指标数据和响应能力数据输入至如权利要求1-7任一项所述的风险评分模型的训练方法训练得到的风险评分模型,以得到待评分网络管理的风险评分。
9.一种电子设备,其特征在于,包括:处理器,以及与所述处理器通信连接的存储器;
所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,以实现如权利要求1至7中任一项所述的风险评分模型的训练方法,或,实现如权利要求8所述的网络管理的风险评分方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,当所述指令被执行时,使得计算机执行如权利要求1至7中任一项所述的风险评分模型的训练方法,或,实现如权利要求8所述的网络管理的风险评分方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211415198.0A CN116055090B (zh) | 2022-11-11 | 2022-11-11 | 风险评分模型的训练方法及评分方法、设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211415198.0A CN116055090B (zh) | 2022-11-11 | 2022-11-11 | 风险评分模型的训练方法及评分方法、设备和存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116055090A true CN116055090A (zh) | 2023-05-02 |
CN116055090B CN116055090B (zh) | 2024-04-30 |
Family
ID=86117070
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211415198.0A Active CN116055090B (zh) | 2022-11-11 | 2022-11-11 | 风险评分模型的训练方法及评分方法、设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116055090B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109495502A (zh) * | 2018-12-18 | 2019-03-19 | 北京威努特技术有限公司 | 一种工控网络安全健康指数评估方法和装置 |
CN111031014A (zh) * | 2019-11-28 | 2020-04-17 | 北京网思科平科技有限公司 | 网络安全系统主机风险的评估方法、装置及设备 |
US20200162497A1 (en) * | 2018-11-19 | 2020-05-21 | Bmc Software, Inc. | Prioritized remediation of information security vulnerabilities based on service model aware multi-dimensional security risk scoring |
US20210211452A1 (en) * | 2020-01-04 | 2021-07-08 | Jigar N. Patel | Device cybersecurity risk management |
CN113114647A (zh) * | 2021-04-01 | 2021-07-13 | 海尔数字科技(青岛)有限公司 | 网络安全风险的检测方法、装置、电子设备、及存储介质 |
-
2022
- 2022-11-11 CN CN202211415198.0A patent/CN116055090B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20200162497A1 (en) * | 2018-11-19 | 2020-05-21 | Bmc Software, Inc. | Prioritized remediation of information security vulnerabilities based on service model aware multi-dimensional security risk scoring |
CN109495502A (zh) * | 2018-12-18 | 2019-03-19 | 北京威努特技术有限公司 | 一种工控网络安全健康指数评估方法和装置 |
CN111031014A (zh) * | 2019-11-28 | 2020-04-17 | 北京网思科平科技有限公司 | 网络安全系统主机风险的评估方法、装置及设备 |
US20210211452A1 (en) * | 2020-01-04 | 2021-07-08 | Jigar N. Patel | Device cybersecurity risk management |
CN113114647A (zh) * | 2021-04-01 | 2021-07-13 | 海尔数字科技(青岛)有限公司 | 网络安全风险的检测方法、装置、电子设备、及存储介质 |
Non-Patent Citations (3)
Title |
---|
SALMAN, T.: "《Safety score as an evaluation metric for machine learning models of security applications》", 《 IEEE NETWORKING LETTERS》, 8 February 2021 (2021-02-08) * |
刘意先;慕德俊;: "基于CIA属性的网络安全评估方法研究", 计算机技术与发展, no. 04, 4 December 2017 (2017-12-04) * |
曲向华;史雪梅;: "基于层次分析法的网络安全态势评估技术研究", 自动化技术与应用, no. 11, 25 November 2018 (2018-11-25) * |
Also Published As
Publication number | Publication date |
---|---|
CN116055090B (zh) | 2024-04-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111565184A (zh) | 一种网络安全评估装置、方法、设备及介质 | |
EP3343867A1 (en) | Methods and apparatus for processing threat metrics to determine a risk of loss due to the compromise of an organization asset | |
CN106295349A (zh) | 账号被盗的风险识别方法、识别装置及防控系统 | |
CN107547552B (zh) | 一种基于网站特征识别和关系拓扑的网站信誉度评估方法及装置 | |
US20100115601A1 (en) | Method and an apparatus for assessing a security of a component and a corresponding system | |
CN103258165A (zh) | 漏洞测评的处理方法和装置 | |
CN109376537B (zh) | 一种基于多因子融合的资产评分方法及系统 | |
JP2020160611A (ja) | テストシナリオ生成装置、テストシナリオ生成方法、テストシナリオ生成プログラム | |
CN106789233B (zh) | 一种网络攻防实验平台的自动评分方法及装置 | |
CN111209570B (zh) | 基于mitre att&ck创建安全闭环过程的方法 | |
CN112491874A (zh) | 一种网络资产管理方法、装置及相关设备 | |
CN110049028B (zh) | 监控域控管理员的方法、装置、计算机设备及存储介质 | |
Izurieta et al. | Leveraging secdevops to tackle the technical debt associated with cybersecurity attack tactics | |
CN116319099A (zh) | 一种多终端的财务数据管理方法和系统 | |
CN111600897A (zh) | 一种网络安全事件等级评估方法、设备及其相关设备 | |
CN113472800A (zh) | 汽车网络安全风险评估方法、装置、存储介质和电子设备 | |
CN105825130B (zh) | 一种信息安全预警方法及装置 | |
CN113673870B (zh) | 一种企业数据分析方法及相关组件 | |
CN111431910A (zh) | 网络攻击评分计算系统及方法 | |
CN116055090B (zh) | 风险评分模型的训练方法及评分方法、设备和存储介质 | |
CN110598959A (zh) | 一种资产风险评估方法、装置、电子设备及存储介质 | |
CN116436689A (zh) | 漏洞处理方法、装置、存储介质及电子设备 | |
CN105913269A (zh) | 一种社交投诉建议信息交互方法、装置及终端 | |
CN115174278A (zh) | 一种网络威胁等级评估方法及装置 | |
CN115038087A (zh) | 车联网的安全评估方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |