CN116471131B - 逻辑链信息资产的处理方法及处理装置 - Google Patents
逻辑链信息资产的处理方法及处理装置 Download PDFInfo
- Publication number
- CN116471131B CN116471131B CN202310734063.9A CN202310734063A CN116471131B CN 116471131 B CN116471131 B CN 116471131B CN 202310734063 A CN202310734063 A CN 202310734063A CN 116471131 B CN116471131 B CN 116471131B
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- logic
- information asset
- logical
- determining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012545 processing Methods 0.000 title claims abstract description 21
- 238000003672 processing method Methods 0.000 title abstract description 11
- 238000000034 method Methods 0.000 claims description 35
- 238000012986 modification Methods 0.000 claims description 21
- 230000004048 modification Effects 0.000 claims description 21
- 238000012163 sequencing technique Methods 0.000 claims description 6
- 239000000758 substrate Substances 0.000 claims 1
- 230000009286 beneficial effect Effects 0.000 abstract description 5
- 230000006870 function Effects 0.000 description 12
- 230000008569 process Effects 0.000 description 9
- 238000004590 computer program Methods 0.000 description 8
- 230000000694 effects Effects 0.000 description 8
- 238000004891 communication Methods 0.000 description 5
- 238000004458 analytical method Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000009193 crawling Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 230000001680 brushing effect Effects 0.000 description 1
- 238000009960 carding Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请公开了一种逻辑链信息资产的处理方法及处理装置。该逻辑链信息资产的处理方法包括:识别获取信息系统中的逻辑链信息资产;对所述逻辑链信息资产中的统一资源定位系统信息按照业务逻辑功能进行分类,得到分类结果;基于所述分类结果确定所述逻辑链信息资产的脆弱程度;获取所述逻辑链信息资产的逻辑漏洞威胁程度;根据所述脆弱程度和所述逻辑漏洞威胁程度,确定所述逻辑链信息资产的可利用程度。本申请实施例提供的逻辑链信息资产的处理方法,能够准确确定逻辑链资产的可利用程度,有利于逻辑链信息资产的有效管理和充分利用。
Description
技术领域
本申请涉及计算机技术领域,具体涉及一种逻辑链信息资产的处理方法及处理装置。
背景技术
随着互联网的发展,逻辑链信息资产的管理越来越引起人们的重视。互联网安全设备广泛应用于互联网安全防护,用于发现和拦截网络漏洞。但是相关技术中对逻辑链信息资产的逻辑漏洞的利用程度有限,对逻辑链信息资产的可利用程度确定准确率不高,不利于逻辑链信息资产的有效管理和充分利用。
上述的陈述仅用于提供与本申请有关的背景技术信息,而不必然地构成现有技术。
发明内容
本申请的目的是提供一种逻辑链信息资产的处理方法及处理装置,以改善相关技术中存在的以下状况:对逻辑链信息资产的逻辑漏洞的利用程度有限,对逻辑链信息资产的可利用程度确定准确率不高,不利于逻辑链信息资产的有效管理和充分利用。为了对披露的实施例的一些方面有一个基本的理解,下面给出了简单的概括。该概括部分不是泛泛评述,也不是要确定关键/重要组成元素或描绘这些实施例的保护范围。其唯一目的是用简单的形式呈现一些概念,以此作为后面的详细说明的序言。
根据本申请实施例的一个方面,提供一种逻辑链信息资产的处理方法,包括:
识别获取信息系统中的逻辑链信息资产;
对所述逻辑链信息资产中的统一资源定位系统信息按照业务逻辑功能进行分类,得到分类结果;
基于所述分类结果确定所述逻辑链信息资产的脆弱程度;
获取所述逻辑链信息资产的逻辑漏洞威胁程度;
根据所述脆弱程度和所述逻辑漏洞威胁程度,确定所述逻辑链信息资产的可利用程度。
在本申请的一些实施例中,所述基于所述分类结果确定所述逻辑链信息资产的脆弱程度,包括:
对所述分类结果中的统一资源定位系统参数和统一资源定位系统按照逻辑链信息资产价值由高到低排序;
基于排序结果确定所述逻辑链信息资产的脆弱程度。
在本申请的一些实施例中,所述获取所述逻辑链信息资产的逻辑漏洞威胁程度,包括:
获取所述逻辑链信息资产的逻辑漏洞信息;
依据预设逻辑漏洞威胁程度判定参考标准对所述逻辑漏洞信息进行等级划分,得到所述逻辑链信息资产的逻辑漏洞威胁程度。
在本申请的一些实施例中,所述根据所述脆弱程度和所述逻辑漏洞威胁程度,确定所述逻辑链信息资产的可利用程度,包括:
根据所述脆弱程度和所述逻辑漏洞威胁程度计算得到所述逻辑链信息资产的风险值;
根据所述风险值进行风险等级划分;
根据风险等级划分结果确定所述逻辑链信息资产的可利用程度。
在本申请的一些实施例中,所述根据所述脆弱程度和所述逻辑漏洞威胁程度计算得到所述逻辑链信息资产的风险值,包括:
根据所述逻辑链信息资产的价值和所述脆弱程度确定安全事件损失值;
根据所述脆弱程度和所述逻辑漏洞威胁程度确定安全事件发生可能性;
根据所述安全事件发生可能性和所述安全事件损失值确定所述风险值。
在本申请的一些实施例中,所述根据所述脆弱程度和所述逻辑漏洞威胁程度计算得到所述逻辑链信息资产的风险值,包括采用以下公式确定所述逻辑链信息资产的风险值:
风险值;
其中,;
。
在本申请的一些实施例中,采用以下公式确定风险值:
风险值=R(A,T,V)= R(L(T,V),F(Ia,Va ))
R代表风险值、A代表信息资产、T代表威胁程度、V脆弱性程度、la代表信息资产价值、Va代表安全事件发生后的损失。
在本申请的一些实施例中,通过以下公式计算用于表示可利用程度的可利用值:
。
在本申请的一些实施例中,基于分类结果确定逻辑链信息资产的脆弱程度,包括:
(1)参数修改:根据统一资源定位系统参数由高到低排序,并依次进行参数的替换;
(2)统一资源定位系统地址替换:从逻辑分类中提取统一资源定位系统地址,与其他分类中的统一资源定位系统地址进行交替验证,查看返回包结果,根据返回包结果验证是否成功替换;
(3)返回包结果修改:从逻辑分类中提取统一资源定位系统地址查看返回包结果,针对TURE和FLASE参数进行修改,并查看结果是否存在逻辑类漏洞;
(4)脆弱性赋值:根据参数修改、统一资源定位系统地址替换、返回包修改的结果进行赋值,并对赋值结果由高到低排序。
根据本申请实施例的另一个方面,提供一种逻辑链信息资产的处理装置,包括:
识别模块,用于识别获取信息系统中的逻辑链信息资产;
分类模块,用于对所述逻辑链信息资产中的统一资源定位系统信息按照业务逻辑功能进行分类,得到分类结果;
脆弱程度确定模块,用于基于所述分类结果确定所述逻辑链信息资产的脆弱程度;
威胁程度获取模块,用于获取所述逻辑链信息资产的逻辑漏洞威胁程度;
可利用程度确定模块,用于根据所述脆弱程度和所述逻辑漏洞威胁程度,确定所述逻辑链信息资产的可利用程度。
根据本申请实施例的另一个方面,提供一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序,以实现本申请任一实施例所述的逻辑链信息资产的处理方法。
根据本申请实施例的另一个方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行,以实现本申请任一实施例所述的逻辑链信息资产的处理方法。
本申请实施例的其中一个方面提供的技术方案可以包括以下有益效果:
本申请实施例提供的逻辑链信息资产的处理方法,识别获取信息系统中的逻辑链信息资产,对逻辑链信息资产中的统一资源定位系统信息按照业务逻辑功能进行分类,得到分类结果,基于分类结果确定逻辑链信息资产的脆弱程度,获取逻辑链信息资产的逻辑漏洞威胁程度,根据脆弱程度和逻辑漏洞威胁程度,确定逻辑链信息资产的可利用程度,能够准确确定逻辑链资产的可利用程度,有利于逻辑链信息资产的有效管理和充分利用,大大改善了相关技术中存在的以下状况:对逻辑链信息资产的逻辑漏洞的利用程度有限,对逻辑链信息资产的可利用程度确定准确率不高,不利于逻辑链信息资产的有效管理和充分利用。
上述说明仅是本申请实施例技术方案的概述,为了能够更清楚了解本申请的实施例的技术手段,而可依照说明书的内容予以实施,并且为了让本申请实施例的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了本申请一个实施例的逻辑链信息资产的处理方法流程图。
图2示出了图1中步骤S50的流程图。
图3示出了本申请一个实施例的逻辑链信息资产的处理装置结构框图。
图4示出了本申请一个具体示例的逻辑链信息资产的处理方法流程图。
图5示出了本申请一个实施例的电子设备结构框图。
图6示出了本申请一个实施例的计算机可读存储介质示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,下面结合附图和具体实施例对本申请做进一步说明。应当理解,此处所描述的具体实施例仅用以解释本申请,并不用于限定本申请。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语),具有与本申请所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样被特定定义,否则不会用理想化或过于正式的含义来解释。
信息系统(Information system)是由计算机硬件、网络和通信设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统,主要有五个基本功能,即对信息的输入、存储、处理、输出和控制。信息资产是一个知识体系,作为一个单一的实体来组织和管理。逻辑链是指针对业务/功能上的设计缺陷存在的问题持续进行检测及利用的过程。逻辑链信息资产指的是信息系统所包含的网址以及网址URL涉及的参数。逻辑类漏洞是指攻击者利用业务/功能上的设计缺陷,获取敏感信息或破坏业务的完整性,一般容易出现在密码修改、确权访问、密码找回、交易支付金额等过程中。
针对相关技术中存在的对逻辑链信息资产的逻辑漏洞的利用程度有限,对逻辑链信息资产的可利用程度确定准确率不高,不利于逻辑链信息资产的有效管理和充分利用的状况,本申请的一个实施例提供了一种逻辑链信息资产的处理方法,参考图1所示,该处理方法可以包括步骤S10至S50:
S10、识别获取信息系统中的逻辑链信息资产。
在一些实施例中,登录信息系统,通过逻辑链信息资产识别,识别出信息系统的统一资源定位系统信息(例如网址信息)。统一资源定位系统(uniform resource locator,URL)是因特网的万维网服务程序上用于指定信息位置的表示方法。
示例性地,识别获取信息系统中的逻辑链信息资产,可以包括:爬取信息系统中的统一资源定位系统信息。
在逻辑类信息资产识别过程中,主要针对信息系统统一资源定位系统进行爬取,识别出所有统一资源定位系统,并对识别出的统一资源定位系统按照业务逻辑进行分类,类别可分为账户类、业务活动类、订单类、用户信息类。
例如,账户类可以包括:用户注册类、登录类、密码找回类、账户权限类;业务活动类包括:福利重复提交领取类、刷优惠卷;订单类包括:价格修改、越权查看订单;用户信息类包括:水平越权查看/修改、垂直越权查看/修改。
统一资源定位系统参数类型例如可以包括:ID参数、NAME参数、Mobile参数、USER参数、PASSWORD参数、Address参数、email参数、token参数、UID参数、IPhone参数。
示例性地,对信息系统进行逻辑链信息资产识别,得到逻辑链信息资产的统一资源定位系统信息。
信息资产识别过程主要包括对信息资产进行登记及梳理,并对信息资产进行分类、赋值等重要流程,其具体的信息资产分类标准和赋值标准如表1所示。
根据信息资产的保密性、可用性和完整性,对信息资产进行分析并赋值,具体分析和赋值标准如表2所示。
逻辑类信息资产持续更新的过程,例如可以包括:持续性对信息系统进行统一资源定位系统识别、参数识别,及时发现最新的逻辑类信息资产。
S20、对逻辑链信息资产中的统一资源定位系统信息按照业务逻辑功能进行分类,得到分类结果。
例如,统一资源定位系统信息的类别包括账户类、业务活动类、订单类和用户信息类。
示例性地,对统一资源定位系统信息按照业务逻辑功能进行分类,得到分类结果。
对识别出的统一资源定位系统信息按照业务逻辑功能(登录认证模块、业务办理模块、业务流程乱序、验证码模块、业务数据安全模块、找回密码模块)进行分类,得到分类结果。
S30、基于分类结果确定逻辑链信息资产的脆弱程度。
脆弱性也可称为弱点或漏洞,是资产或资产组中存在的可能被威胁利用造成损害的薄弱环节。脆弱性一旦被威胁成功利用就可能对资产造成损害。脆弱性可能存在于物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各个方面。
示例性地,基于分类结果确定逻辑链信息资产的脆弱程度,可以包括:对分类结果中的统一资源定位系统参数和统一资源定位系统按照逻辑链信息资产价值由高到低排序;基于排序结果确定逻辑链信息资产的脆弱程度。
识别出分类结果所对应的参数和统一资源定位系统地址,并对参数和统一资源定位系统地址按照信息资产价值由高到低排序,信息资产识别的过程是持续性收集过程。
通过以上对信息资产面临的脆弱性进行了识别,得出了相应脆弱性清单,根据对信息资产的损害程度、技术实现的难易程度、弱点的流行程度,采用等级方式对已识别的脆弱性的严重程度进行分析。由于很多弱点反映的是同一方面的问题,或可能造成相似的后果,分析时采用综合考虑这些弱点,以确定这一方面脆弱性的严重程度。并结合技术管理和组织管理脆弱性的严重程度,对脆弱性严重程度进行赋值,并将赋值结果进行等级划分为五级,不同的等级分别代表信息资产脆弱性严重程度的高低。等级数值越大,脆弱性严重程度越高。其脆弱性严重程度分析参照表3的标准进行分析。
表3
在一些示例中,基于分类结果确定逻辑链信息资产的脆弱程度,可以包括参数修改、统一资源定位系统地址替换、返回包结果修改和脆弱性赋值等步骤:
(1)参数修改。
根据统一资源定位系统参数由高到低排序,并依次进行参数的替换,例如IPhone参数为15××××232替换其他手机号,提交参数并查看返回包结果,根据返回包结果验证是否成功替换。
(2)统一资源定位系统地址替换。
从逻辑分类中提取统一资源定位系统地址,与其他分类中的统一资源定位系统地址进行交替验证,查看返回包结果,根据返回包结果验证是否成功替换。
(3)返回包结果修改。
从逻辑分类中提取统一资源定位系统地址查看返回包结果,针对TURE和FLASE等参数进行修改,并查看结果是否存在逻辑类漏洞。
(4)脆弱性赋值。
根据参数修改、统一资源定位系统地址替换、返回包修改的结果进行赋值,并对赋值结果由高到低排序。
S40、获取逻辑链信息资产的逻辑漏洞威胁程度。
示例性地,获取逻辑链信息资产的逻辑漏洞威胁程度,可以包括:获取逻辑链信息资产的逻辑漏洞信息;依据预设逻辑漏洞威胁程度判定参考标准对逻辑漏洞信息进行等级划分,得到逻辑链信息资产的逻辑漏洞威胁程度。
在一些实施例中,可以在威胁调研中采用调查问卷的方式实现威胁识别,将得到信息系统所面临威胁的描述依据经验和通用威胁参考标准进行赋值和等级划分,最终得到信息系统所面临的威胁值。
在一个具体的示例中,不同资产类别可能遭受的威胁参考表4所示。
威胁可能性分析就是综合了威胁来源和种类后得到的威胁列表,并对列表中的威胁发生可能性的进行赋值分析。最终威胁的赋值采用定性的相对等级的方式。威胁的等级划分为五级,从1到5分别代表五个级别的威胁发生可能性。等级数值越大,威胁发生的可能性越大。具体每一级别的威胁可能性定义参考表5所示。
S50、根据脆弱程度和逻辑漏洞威胁程度,确定逻辑链信息资产的可利用程度。
示例性地,参考图2所示,根据脆弱程度和逻辑漏洞威胁程度,确定逻辑链信息资产的可利用程度,可以包括步骤S501至S503:
S501、根据脆弱程度和逻辑漏洞威胁程度计算得到逻辑链信息资产的风险值。
具体地,根据脆弱程度和逻辑漏洞威胁程度计算得到逻辑链信息资产的风险值,可以包括:根据逻辑链信息资产的价值和脆弱程度确定安全事件损失值;根据脆弱程度和逻辑漏洞威胁程度确定安全事件发生可能性;根据安全事件发生可能性和安全事件损失值确定风险值。
S502、根据风险值进行风险等级划分。
S503、根据风险等级划分结果确定逻辑链信息资产的可利用程度。
示例性地,根据识别出的信息资产价值,通过修改参数、替换统一资源定位系统、修改数据返回包等操作,查看脆弱性状态,并进行赋值,根据赋值的情况,计算出逻辑攻击的可利用程度。
在一些实施例中,根据脆弱程度和逻辑漏洞威胁程度计算得到逻辑链信息资产的风险值,包括采用以下公式确定逻辑链信息资产的风险值:
风险值;
;
。
在一些实施例中,可以采用以下公式确定风险值:
风险值=R(A,T,V)= R(L(T,V),F(Ia,Va ));
R代表风险值、A代表信息资产、T代表威胁程度、V脆弱性程度、la代表信息资产价值、Va代表安全事件发生后的损失。
风险等级划分,可以根据风险计算的结果,采取矩阵取值方法,得出信息系统面临安全风险值,根据风险值的大小,将存在的风险划分为5个等级,其具体等级划分方法如表6所示。
表6
在一些实施例中,可以通过以下公式计算用于表示可利用程度的可利用值:;
;
。
具体地,脆弱性值用于表示逻辑链信息资产的脆弱程度,脆弱性值越高,代表逻辑链信息资产的脆弱程度越高,即越脆弱;威胁值用于表示逻辑链信息资产的逻辑漏洞威胁程度,威胁值越高,表示逻辑链信息资产的逻辑漏洞威胁程度越高;可利用值越高,表示逻辑链信息资产的可利用程度越高。
在一个具体的示例中,获得的可利用程度风险值如表7所示。
表7中,可利用程度很高代表逻辑漏洞利用简单,能获取到信息系统重要数据;可利用程度高代表逻辑漏洞利用有一定难度,能获取信息系统重要数据;可利用程度中代表逻辑漏洞利用有难度,能获取信息系统重要数据;可利用程度低代表逻辑漏洞利用有难度,能获取信息系统普通数据;可利用程度很低代表逻辑漏洞利用非常有难度,能获取信息系统普通数据。
参考图3所示,在一个具体的示例中,逻辑链信息资产识别,识别系统URL链接,执行业务逻辑分类,其中,分类结果例如可以包括账户类、业务活动类、订单类和用户信息类,然后对分类结果中的账户类和业务活动类进行参数赋值识别,对订单类和用户信息类进行URL赋值识别,根据参数赋值和URL赋值的赋值情况由高到低进行排序,得到排序结果;其中逻辑链资产识别可以持续进行;得到排序结果后,执行脆弱性识别,执行参数值修改、URL替换和返回包结果修改的操作,然后执行脆弱性赋值;脆弱性赋值结果可以持续利用;根据逻辑链信息资产(包括账户类、业务活动类、订单类和用户信息类等类型)的可利用程度,得到可利用难度数值。
本申请实施例提供的逻辑链信息资产的处理方法,识别获取信息系统中的逻辑链信息资产,对逻辑链信息资产中的统一资源定位系统信息按照业务逻辑功能进行分类,得到分类结果,基于分类结果确定逻辑链信息资产的脆弱程度,获取逻辑链信息资产的逻辑漏洞威胁程度,根据脆弱程度和逻辑漏洞威胁程度,确定逻辑链信息资产的可利用程度,能够准确确定逻辑链资产的可利用程度,有利于逻辑链信息资产的有效管理和充分利用,大大改善了相关技术中存在的以下状况:对逻辑链信息资产的逻辑漏洞的利用程度有限,对逻辑链信息资产的可利用程度确定准确率不高,不利于逻辑链信息资产的有效管理和充分利用。
参考图4所示,本申请的另一个实施例提供了一种逻辑链信息资产的处理装置,包括:
识别模块,用于识别获取信息系统中的逻辑链信息资产;
分类模块,用于对逻辑链信息资产中的统一资源定位系统信息按照业务逻辑功能进行分类,得到分类结果;
脆弱程度确定模块,用于基于分类结果确定逻辑链信息资产的脆弱程度;
威胁程度获取模块,用于获取逻辑链信息资产的逻辑漏洞威胁程度;
可利用程度确定模块,用于根据脆弱程度和逻辑漏洞威胁程度,确定逻辑链信息资产的可利用程度。
示例性地,脆弱程度确定模块包括:排序单元,用于对分类结果中的统一资源定位系统参数和统一资源定位系统按照逻辑链信息资产价值由高到低排序;确定单元,用于基于排序结果确定逻辑链信息资产的脆弱程度。
示例性地,威胁程度获取模块包括:逻辑漏洞信息获取单元,用于获取逻辑链信息资产的逻辑漏洞信息;等级划分单元,用于依据预设逻辑漏洞威胁程度判定参考标准对逻辑漏洞信息进行等级划分,得到逻辑链信息资产的逻辑漏洞威胁程度。
示例性地,可利用程度确定模块包括:风险值计算单元,用于根据脆弱程度和逻辑漏洞威胁程度计算得到逻辑链信息资产的风险值;风险等级划分单元,用于根据风险值进行风险等级划分;可利用程度确定单元,用于根据风险等级划分结果确定逻辑链信息资产的可利用程度。
示例性地,风险值计算单元所执行的根据脆弱程度和逻辑漏洞威胁程度计算得到逻辑链信息资产的风险值,可以包括:根据逻辑链信息资产的价值和脆弱程度确定安全事件损失值;根据脆弱程度和逻辑漏洞威胁程度确定安全事件发生可能性;根据安全事件发生可能性和安全事件损失值确定风险值。
示例性地,识别模块所执行的识别获取信息系统中的逻辑链信息资产,可以包括:爬取信息系统中的统一资源定位系统信息。
示例性地,统一资源定位系统信息的类别包括账户类、业务活动类、订单类和用户信息类。
本申请实施例提供的逻辑链信息资产的处理装置,识别获取信息系统中的逻辑链信息资产,对逻辑链信息资产中的统一资源定位系统信息按照业务逻辑功能进行分类,得到分类结果,基于分类结果确定逻辑链信息资产的脆弱程度,获取逻辑链信息资产的逻辑漏洞威胁程度,根据脆弱程度和逻辑漏洞威胁程度,确定逻辑链信息资产的可利用程度,能够准确确定逻辑链资产的可利用程度,有利于逻辑链信息资产的有效管理和充分利用,大大改善了相关技术中存在的以下状况:对逻辑链信息资产的逻辑漏洞的利用程度有限,对逻辑链信息资产的可利用程度确定准确率不高,不利于逻辑链信息资产的有效管理和充分利用。
本申请另一个实施例提供了一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序,以实现上述任一实施方式所述的方法。
参考图5所示,电子设备10可以包括:处理器100,存储器101,总线102和通信接口103,处理器100、通信接口103和存储器101通过总线102连接;存储器101中存储有可在处理器100上运行的计算机程序,处理器100运行该计算机程序时执行本申请前述任一实施方式所提供的方法。
其中,存储器101可能包含高速随机存取存储器(RAM:Random Access Memory),也可能还可以包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口103(可以是有线或者无线)实现该装置网元与至少一个其他网元之间的通信连接,可以使用互联网、广域网、本地网、城域网等。
总线102可以是ISA总线、PCI总线或EISA总线等。总线可以分为地址总线、数据总线、控制总线等。其中,存储器101用于存储程序,处理器100在接收到执行指令后,执行该程序,前述本申请实施例任一实施方式揭示的方法可以应用于处理器100中,或者由处理器100实现。
处理器100可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器100中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器100可以是通用处理器,可以包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器101,处理器100读取存储器101中的信息,结合其硬件完成上述方法的步骤。
本申请实施例提供的电子设备与本申请实施例提供的方法出于相同的发明构思,具有与其采用、运行或实现的方法相同的有益效果。
本申请另一个实施例提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行,以实现上述任一实施方式所述的方法。参考图6所示,其示出的计算机可读存储介质为光盘20,其上存储有计算机程序(即程序产品),该计算机程序在被处理器运行时,会执行前述任意实施方式所提供的方法。
需要说明的是,计算机可读存储介质的例子还可以包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他光学、磁性存储介质,在此不再一一赘述。
本申请的上述实施例提供的计算机可读存储介质与本申请实施例提供的方法出于相同的发明构思,具有与其存储的应用程序所采用、运行或实现的方法相同的有益效果。
需要说明的是:术语“模块”并非意图受限于特定物理形式。取决于具体应用,模块可以实现为硬件、固件、软件和/或其组合。此外,不同的模块可以共享公共组件或甚至由相同组件实现。不同模块之间可以存在或不存在清楚的界限。
在此提供的算法和显示不与任何特定计算机、虚拟装置或者其它设备固有相关。各种通用装置也可以与基于在此的示例一起使用。根据上面的描述,构造这类装置所要求的结构是显而易见的。此外,本申请也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本申请的内容,并且上面对特定语言所做的描述是为了披露本申请的最佳实施方式。
应该理解的是,虽然附图的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,其可以以其他的顺序执行。而且,附图的流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,其执行顺序也不必然是依次进行,而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
以上实施例仅表达了本申请的实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (6)
1.一种逻辑链信息资产的处理方法,其特征在于,包括:
识别获取信息系统中的逻辑链信息资产;
对所述逻辑链信息资产中的统一资源定位系统信息按照业务逻辑功能进行分类,得到分类结果;
基于所述分类结果确定所述逻辑链信息资产的脆弱程度;
获取所述逻辑链信息资产的逻辑漏洞威胁程度;
根据所述脆弱程度和所述逻辑漏洞威胁程度,确定所述逻辑链信息资产的可利用程度;
所述基于所述分类结果确定所述逻辑链信息资产的脆弱程度,包括:
对所述分类结果中的统一资源定位系统参数和统一资源定位系统按照逻辑链信息资产价值由高到低排序;
基于排序结果确定所述逻辑链信息资产的脆弱程度;
所述获取所述逻辑链信息资产的逻辑漏洞威胁程度,包括:
获取所述逻辑链信息资产的逻辑漏洞信息;
依据预设逻辑漏洞威胁程度判定参考标准对所述逻辑漏洞信息进行等级划分,得到所述逻辑链信息资产的逻辑漏洞威胁程度。
2.根据权利要求1所述的方法,其特征在于,所述根据所述脆弱程度和所述逻辑漏洞威胁程度,确定所述逻辑链信息资产的可利用程度,包括:
根据所述脆弱程度和所述逻辑漏洞威胁程度计算得到所述逻辑链信息资产的风险值;
根据所述风险值进行风险等级划分;
根据风险等级划分结果确定所述逻辑链信息资产的可利用程度。
3.根据权利要求2所述的方法,其特征在于,所述根据所述脆弱程度和所述逻辑漏洞威胁程度计算得到所述逻辑链信息资产的风险值,包括:
根据所述逻辑链信息资产的价值和所述脆弱程度确定安全事件损失值;
根据所述脆弱程度和所述逻辑漏洞威胁程度确定安全事件发生可能性;
根据所述安全事件发生可能性和所述安全事件损失值确定所述风险值。
4.根据权利要求2所述的方法,其特征在于,所述根据所述脆弱程度和所述逻辑漏洞威胁程度计算得到所述逻辑链信息资产的风险值,包括采用以下公式确定所述逻辑链信息资产的风险值:
风险值;
其中,;
。
5.根据权利要求1所述的方法,其特征在于,
基于分类结果确定逻辑链信息资产的脆弱程度,包括:
(1)参数修改:根据统一资源定位系统参数由高到低排序,并依次进行参数的替换;
(2)统一资源定位系统地址替换:从逻辑分类中提取统一资源定位系统地址,与其他分类中的统一资源定位系统地址进行交替验证,查看返回包结果,根据返回包结果验证是否成功替换;
(3)返回包结果修改:从逻辑分类中提取统一资源定位系统地址查看返回包结果,针对TURE和FLASE参数进行修改,并查看结果是否存在逻辑类漏洞;
(4)脆弱性赋值:根据参数修改、统一资源定位系统地址替换、返回包修改的结果进行赋值,并对赋值结果由高到低排序。
6.一种逻辑链信息资产的处理装置,其特征在于,包括:
识别模块,用于识别获取信息系统中的逻辑链信息资产;
分类模块,用于对所述逻辑链信息资产中的统一资源定位系统信息按照业务逻辑功能进行分类,得到分类结果;
脆弱程度确定模块,用于基于所述分类结果确定所述逻辑链信息资产的脆弱程度;
威胁程度获取模块,用于获取所述逻辑链信息资产的逻辑漏洞威胁程度;
可利用程度确定模块,用于根据所述脆弱程度和所述逻辑漏洞威胁程度,确定所述逻辑链信息资产的可利用程度;
所述脆弱程度确定模块包括:排序单元,用于对分类结果中的统一资源定位系统参数和统一资源定位系统按照逻辑链信息资产价值由高到低排序;确定单元,用于基于排序结果确定逻辑链信息资产的脆弱程度;
所述威胁程度获取模块包括:逻辑漏洞信息获取单元,用于获取逻辑链信息资产的逻辑漏洞信息;等级划分单元,用于依据预设逻辑漏洞威胁程度判定参考标准对逻辑漏洞信息进行等级划分,得到逻辑链信息资产的逻辑漏洞威胁程度。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310734063.9A CN116471131B (zh) | 2023-06-20 | 2023-06-20 | 逻辑链信息资产的处理方法及处理装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310734063.9A CN116471131B (zh) | 2023-06-20 | 2023-06-20 | 逻辑链信息资产的处理方法及处理装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116471131A CN116471131A (zh) | 2023-07-21 |
| CN116471131B true CN116471131B (zh) | 2023-09-08 |
Family
ID=87179301
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310734063.9A Active CN116471131B (zh) | 2023-06-20 | 2023-06-20 | 逻辑链信息资产的处理方法及处理装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116471131B (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103023889A (zh) * | 2012-11-29 | 2013-04-03 | 武汉华中电力电网技术有限公司 | 一种安全域风险量化方法 |
| KR20160004791A (ko) * | 2014-07-04 | 2016-01-13 | (주)비트러스트 | 정보자산의 위험평가시스템 및 그 방법 |
| CN106027528A (zh) * | 2016-05-24 | 2016-10-12 | 微梦创科网络科技(中国)有限公司 | 一种web水平权限自动化识别的方法及装置 |
| CN107819771A (zh) * | 2017-11-16 | 2018-03-20 | 国网湖南省电力有限公司 | 一种基于资产依赖关系的信息安全风险评估方法及系统 |
| CN110191120A (zh) * | 2019-05-28 | 2019-08-30 | 中国科学院信息工程研究所 | 一种网络系统漏洞风险评估方法及装置 |
| CN112508435A (zh) * | 2020-12-17 | 2021-03-16 | 国家工业信息安全发展研究中心 | 信息系统安全风险评估方法、装置、设备及存储介质 |
| CN113326508A (zh) * | 2021-06-04 | 2021-08-31 | 中国电子信息产业集团有限公司第六研究所 | 一种平台安全风险的评估方法及评估装置 |
| CN113392409A (zh) * | 2021-08-17 | 2021-09-14 | 深圳市位元领航科技有限公司 | 一种风险自动化评估预测方法及终端 |
| CN113839817A (zh) * | 2021-09-23 | 2021-12-24 | 北京天融信网络安全技术有限公司 | 一种网络资产风险评估方法、装置及系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20090037538A (ko) * | 2007-10-12 | 2009-04-16 | 한국정보보호진흥원 | 정보자산 모델링을 이용한 위험 평가 방법 |
| US20130247205A1 (en) * | 2010-07-14 | 2013-09-19 | Mcafee, Inc. | Calculating quantitative asset risk |
-
2023
- 2023-06-20 CN CN202310734063.9A patent/CN116471131B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103023889A (zh) * | 2012-11-29 | 2013-04-03 | 武汉华中电力电网技术有限公司 | 一种安全域风险量化方法 |
| KR20160004791A (ko) * | 2014-07-04 | 2016-01-13 | (주)비트러스트 | 정보자산의 위험평가시스템 및 그 방법 |
| CN106027528A (zh) * | 2016-05-24 | 2016-10-12 | 微梦创科网络科技(中国)有限公司 | 一种web水平权限自动化识别的方法及装置 |
| CN107819771A (zh) * | 2017-11-16 | 2018-03-20 | 国网湖南省电力有限公司 | 一种基于资产依赖关系的信息安全风险评估方法及系统 |
| CN110191120A (zh) * | 2019-05-28 | 2019-08-30 | 中国科学院信息工程研究所 | 一种网络系统漏洞风险评估方法及装置 |
| CN112508435A (zh) * | 2020-12-17 | 2021-03-16 | 国家工业信息安全发展研究中心 | 信息系统安全风险评估方法、装置、设备及存储介质 |
| CN113326508A (zh) * | 2021-06-04 | 2021-08-31 | 中国电子信息产业集团有限公司第六研究所 | 一种平台安全风险的评估方法及评估装置 |
| CN113392409A (zh) * | 2021-08-17 | 2021-09-14 | 深圳市位元领航科技有限公司 | 一种风险自动化评估预测方法及终端 |
| CN113839817A (zh) * | 2021-09-23 | 2021-12-24 | 北京天融信网络安全技术有限公司 | 一种网络资产风险评估方法、装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116471131A (zh) | 2023-07-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2022204197B2 (en) | Security weakness and infiltration detection and repair in obfuscated website content | |
| US9900337B2 (en) | Selective website vulnerability and infection testing | |
| US20220232040A1 (en) | Advanced cybersecurity threat mitigation using software supply chain analysis | |
| ES2808954T3 (es) | Procedimiento y dispositivo para su uso en la gestión de riesgos de información de aplicación | |
| RU2607229C2 (ru) | Системы и способы динамического агрегирования показателей для обнаружения сетевого мошенничества | |
| US9813450B1 (en) | Metadata-based verification of artifact quality policy compliance | |
| CN112003838B (zh) | 网络威胁的检测方法、装置、电子装置和存储介质 | |
| US20210112101A1 (en) | Data set and algorithm validation, bias characterization, and valuation | |
| CN108446559B (zh) | 一种apt组织的识别方法及装置 | |
| US20210136120A1 (en) | Universal computing asset registry | |
| CN102077201A (zh) | 用于网页的动态及实时归类的系统及方法 | |
| CN110474900B (zh) | 一种游戏协议测试方法及装置 | |
| CN113489713A (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
| CN109542764B (zh) | 网页自动化测试方法、装置、计算机设备和存储介质 | |
| CN113111359A (zh) | 基于信息安防的大数据资源共享方法及资源共享系统 | |
| CN113535577B (zh) | 基于知识图谱的应用测试方法、装置、电子设备和介质 | |
| CN113609493A (zh) | 钓鱼网站的识别方法、装置、设备及介质 | |
| CN116471131B (zh) | 逻辑链信息资产的处理方法及处理装置 | |
| CN113765850A (zh) | 物联网异常检测方法、装置、计算设备及计算机存储介质 | |
| US20220237289A1 (en) | Automated malware classification with human-readable explanations | |
| US11816501B2 (en) | System and methods for managing high volumes of alerts | |
| Ban et al. | A Survey on IoT Vulnerability Discovery | |
| CN117272308A (zh) | 软件安全测试方法、装置、设备、存储介质及程序产品 | |
| CN114598509B (zh) | 一种确定脆弱性结果的方法及装置 | |
| CN118018396A (zh) | 物联网设备异常识别方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |