CN117579389A - 基于风险暴露面的网络安全评估方法、系统、设备及介质 - Google Patents

基于风险暴露面的网络安全评估方法、系统、设备及介质 Download PDF

Info

Publication number
CN117579389A
CN117579389A CN202410057885.2A CN202410057885A CN117579389A CN 117579389 A CN117579389 A CN 117579389A CN 202410057885 A CN202410057885 A CN 202410057885A CN 117579389 A CN117579389 A CN 117579389A
Authority
CN
China
Prior art keywords
index
core
enterprise
core index
score
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202410057885.2A
Other languages
English (en)
Other versions
CN117579389B (zh
Inventor
丁媛媛
陈洁如
陈幼雷
杨君正
李昆
胡维
梁露露
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Yuanbao Technology Co ltd
Original Assignee
Beijing Yuanbao Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Yuanbao Technology Co ltd filed Critical Beijing Yuanbao Technology Co ltd
Priority to CN202410057885.2A priority Critical patent/CN117579389B/zh
Publication of CN117579389A publication Critical patent/CN117579389A/zh
Application granted granted Critical
Publication of CN117579389B publication Critical patent/CN117579389B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Mining & Analysis (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明属于网络安全技术领域,提供了一种基于风险暴露面的网络安全评估方法、系统、设备及介质,所述方法包括:依据渗透扫描得到的样本数据对预设指标体系降维得到包括多个核心指标的核心指标体系;依据样本数据和核心指标在其所属的严重度层中的严重度为核心指标赋予计算权重;计算得到待评估企业的每个核心指标的单指标得分;定义第一惩罚系数,使用计算权重、单指标得分和第一惩罚系数,进行加权计算得到待评估企业的网络安全评估总分。上述方法可以解决由于没有考虑资产数和端口数增加后带来的风险暴露面扩大的潜在影响,以及权重分配不合理和过度依赖专家经验而导致的评估结果不准确的技术问题。

Description

基于风险暴露面的网络安全评估方法、系统、设备及介质
技术领域
本发明涉及网络安全技术领域,具体涉及一种基于风险暴露面的网络安全评估方法、系统、设备及介质。
背景技术
在网络安全行业蓬勃发展的背景下,其商业化分支之一是网络安全保险的出现,网络安全保险行业中,安全服务供应商需要同时向保险公司和投保企业提供服务,投保企业的整体安全水平的评估与量化是重要基础。当前现有的主流评估方法步骤为:在给定的范畴内对待投保企业进行渗透测试,在风险暴露面反馈的漏洞种类及数量分布的基础上,使用计算模型来映射得到关键节点分数以及最终分数。
目前渗透测试的分类与实施已经相对成熟,而如何对风险暴露面进行组织以描述企业的安全水平则是现在需要解决的问题,随着行业发展,网络态势变化,已有的评估方法逐渐出现了稳定性低、一致性弱、可解释性差、层级复杂、相关性模糊等缺点,使得不能准确的对企业网络安全进行评估。例如中国专利CN114553517A公开了一种非线性加权的网络安全评估方法、装置、设备和存储介质,评估方法包括:给每个指标结合其实际严重程度以及实际扫描的数量赋予数量累积因子,计算得到单个指标的扣分。对于给定安全场景和严重度形成的45个二元组,根据其单个指标扣分,通过对指标进行加权计算,分别得到45个二元组的打分;通过对45个二元组分别赋予权重,对于每个安全场景,基于其对应的5个二元组,通过权重加权,计算得到该网络场景分数;对于每个严重程度,基于其对应的9个二元组,通过权重加权,计算得到每个严重程度的分数;通过每个网络场景的分数,结合对五个严重程度赋予的权重,计算得到该企业的最终分数。该评估方法的先进之处在于能够同时考虑严重性和安全场景两个方面,可以全方位、多维度地对企业安全水平进行描述,同时数百个指标覆盖到了网络安全水平涉及到的方方面面,可以一定程度上如实反馈企业的网络安全建设能力,但是该评估方法还存在以下弊端:
1.基于安全经验选取安全指标,通过非线性加权的方式来反映企业的网络安全水平,其只考虑了企业存在的具体风险,没有考虑资产数和端口数增加带来的风险暴露面扩大的潜在影响。
2.在设计时主要从安全角度出发选择安全指标和设计参数,没有考虑实际样本中包含的更多信息,使得评估结果不够准确。
3.45个二元组中每一个二元组都具有与之对应的权重,权重的大小与该二元组的指标数量成正比,即拥有越多细分指标的二元组的权重越高,这会导致二元组的权重和严重程度相左的现象,例如网络安全高危指标数远少于网络安全中危指标数,那么网络安全高危的权重就会低于网络安全中危的权重,这种权重分配方式显然不合理。
4.该方法具有过于主观的问题,在计算层级中权重的确定多是依靠专家经验,在指标数较少的时候主观打分较为合理,但当指标体系扩充,未能背靠一个客观方法的指标赋权会出现矛盾,且缺失调整的依据。
发明内容
为了解决在对企业网络安全进行评估时,现有方法没有考虑资产数和端口数增加后带来的风险暴露面扩大的潜在影响,以及权重分配不合理和过度依赖专家经验而导致的评估结果不准确的技术问题,本发明公开了一种基于风险暴露面的网络安全评估方法、系统、设备及介质。
实现发明目的的技术方案如下:
本发明实施例提供了一种基于风险暴露面的网络安全评估方法,包括:
S100、使用统计分析方法,依据渗透扫描得到的样本数据,对预设指标体系降维得到核心指标体系,其中,所述样本数据包括多个企业样本的风险暴露面,所述风险暴露面包括所述预设指标体系中每个基础指标的问题扫出数,所述核心指标体系包括多个核心指标;
S200、依据每个所述企业样本中每个所述核心指标的问题扫出数和每个所述核心指标在其所属的严重度层中的严重度,为所述核心指标体系中每个所述核心指标赋予计算权重;
S300、通过所述核心指标体系中每个所述核心指标的严重度和待评估企业的风险暴露面,采用负面累积函数计算得到所述待评估企业的每个所述核心指标的单指标得分,其中,所述待评估企业的风险暴露面包括每个所述核心指标的问题实际扫出数和每个所述核心指标在每个子域名的问题实际扫出数;
S400、依据所述待评估企业的所述风险暴露面中端口实际扫出数、子域名实际扫出数和每个所述核心指标的问题实际扫出数给定第一惩罚系数,使用所述计算权重、所述单指标得分和所述第一惩罚系数,进行加权计算得到所述待评估企业的网络安全评估总分。
在一个改进的实施例中,上述基于风险暴露面的网络安全评估方法还包括:
S500、根据所述待评估企业的所述风险暴露面中端口实际扫出数、子域名实际扫出数和每个安全维度中每个所述核心指标的问题实际扫出数,给定第二惩罚系数;
根据所述计算权重和所述单指标得分,计算每个安全维度中每个严重度层的分数,对每个安全维度中所有严重度层的分数进行加权计算,得到每个安全维度的加权分数;
使用每个安全维度的加权分数和所述第二惩罚系数,进行加权计算得到所述待评估企业的每个安全维度的得分,其中,所述安全维度包括网络安全、域名安全、IP声誉、应用安全、端口安全、资产暴露、数据安全和补丁漏洞。
本发明实施例还提供了一种基于风险暴露面的网络安全评估系统,包括:
核心指标体系建立模块,用于使用统计分析方法,依据渗透扫描得到的样本数据,对预设指标体系降维得到核心指标体系;
计算权重获取模块,用于依据每个所述企业样本中每个所述核心指标的问题扫出数和每个所述核心指标在其所属的严重度层中的严重度,为所述核心指标体系中每个所述核心指标赋予计算权重;
单指标得分计算模块,用于通过所述核心指标体系中每个所述核心指标的严重度和待评估企业的风险暴露面,采用负面累积函数计算得到所述待评估企业的每个所述核心指标的单指标得分,其中,所述待评估企业的风险暴露面包括每个所述核心指标的问题实际扫出数和每个所述核心指标在每个子域名的问题实际扫出数;
总分计算模块,用于依据所述待评估企业的所述风险暴露面中端口实际扫出数、子域名实际扫出数和每个所述核心指标的问题实际扫出数给定第一惩罚系数,使用所述计算权重、所述单指标得分和所述第一惩罚系数,进行加权计算得到所述待评估企业的网络安全评估总分。
在一个改进的实施例中,上述基于风险暴露面的网络安全评估系统还包括:
安全维度得分计算模块,用于根据所述待评估企业的所述风险暴露面中端口实际扫出数、子域名实际扫出数和每个安全维度中每个所述核心指标的问题实际扫出数,给定第二惩罚系数;根据所述计算权重和所述单指标得分,计算每个安全维度中每个严重度层的分数,对每个安全维度中所有严重度层的分数进行加权计算,得到每个安全维度的加权分数;使用每个安全维度的加权分数和所述第二惩罚系数,进行加权计算得到所述待评估企业的每个安全维度的得分,其中,所述安全维度包括网络安全、域名安全、IP声誉、应用安全、端口安全、资产暴露、数据安全和补丁漏洞。
本发明实施例还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述任意的基于风险暴露面的网络安全评估方法,以解决由于没有考虑资产数和端口数增加后带来的风险暴露面扩大的潜在影响,以及权重分配不合理和过度依赖专家经验而导致的评估结果不准确的技术问题。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述任意的基于风险暴露面的网络安全评估方法的计算机程序,以解决由于没有考虑资产数和端口数增加后带来的风险暴露面扩大的潜在影响,以及权重分配不合理和过度依赖专家经验而导致的评估结果不准确的技术问题。
与现有技术相比,本说明书实施例采用的上述至少一个技术方案能够达到的有益效果至少包括:本发明的网络安全评估方法,首先,以对大量企业样本进行渗透测试扫描得到的大样本风险暴露面数据为基础,采用统计学方法对预设的预设指标体系中的基础指标进行降维,得到包括多个核心指标的核心指标体系;其次,通过该大数据样本,以及每个核心指标所在严重度层中的严重度,对每个核心指标赋予计算权重;然后,使用每个核心指标的计算权重和待评估企业风险暴露面中每个核心指标的问题实际扫出数,计算该核心指标的单指标得分;最后,使用待评估企业的风险暴露面的端口实际扫出数和子域名实际扫出数,以及每个核心指标的单指标得分,进行加权计算得到该待测企业的网络安全评估总分。本发明的方法,一方面以大量的数量样本对预设指标体系(例如包括134个基础指标)进行降维得到核心指标体系(例如包括90个左右的核心指标)并得到每个核心指标的计算权重,可以与现实情况具有更好的贴合度;另一方面,网络安全评估总分计算时考虑了因待评估企业的端口数量和子域名数量带来的风险暴露面扩大的潜在风险,使得最终计算的待评估企业的评估总分更准确。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明基于风险暴露面的网络安全评估方法的流程图;
图2为本发明基于风险暴露面的网络安全评估方法的算法框架图;
图3为本发明计算机设备的示意图;
图4为本发明基于风险暴露面的网络安全评估系统的示意图;
其中,301、存储器;302、处理器;401、核心指标体系建立模块;402、计算权重获取模块;403、单指标得分计算模块;404、总分计算模块;405、安全维度得分计算模块。
具体实施方式
下面结合附图对本申请实施例进行详细描述。
以下通过特定的具体实例说明本申请的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本申请的其他优点与功效。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。本申请还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本申请的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例的特征可以相互组合。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本发明对下述实施例中涉及的部分算法和概念进行说明:
基础指标和核心指标,是一类用于概括、描述某个特定的网络安全水平表征的概念。
K-means聚类算法,又称K平均算法,是一种在数据挖掘领域应用广泛的聚类算法。给定一个数据集,其中每个数据都是一个多维向量,K-means通过迭代式的算法把该数据集划分为给定的多个集合中,使得每个集合中的样本最相似。
方差分析算法,通过对数据误差来源的分解来判断不同总体的均值是否相等,进而判断分类型自变量对数值型因变量是否有显著影响的一种统计方法。在方差分析中,数据的误差可以分解为组间误差与组内误差,组内误差只包含随机误差,而组间误差既包含随机误差,也包括系统误差。如果组间误差只包含随机误差而没有系统误差,那么组间误差和组内误差经过平均后的数值的比值应该接近1,否则就会大于1,当这个比值大到一定程度时,就认为分类型自变量对数值型因变量有显著影响。
PCA主成分分析算法,主成分分析是一种在多元变量分析中简化数据集的方法,是一种降维的算法。多变量大数据集在提供丰富信息的同时,也增大了分析难度。多变量之间往往具有相关性,独立分析会损失信息。主成分分析是一种在尽量减少信息损失量的基础上减少纳入分析对象的指标的方法。主成分分析是利用降维的思想,在损失很小信息的前提下,将原来较多的指标简化为少数几个新的综合指标的多元统计方法,是把各变量之间互相关联的复杂关系进行简化分析的方法。主成分分析试图在力保数据信息丢失最小的原则下,对多变量的截面数据进行最佳综合简化,即对高维空间进行降维处理。
熵权法,是一种根据指标变异性的大小来确定客观权重的方法,用来给筛选出的每个指标赋予权重。
德尔菲法,是一种结构化的决策支持技术。在设计一个需要结合数学原理和技术生态现状的方案时,为了不使最终的设计结果只满足原理上的良好性质而脱离了实际应用实际,需要在完成了初步的模型设计后征询专家与技术人员的意见,进行相关调整,以使得关于模型的考虑更加全面。
本发明实施例提供了一种基于风险暴露面的网络安全评估方法,参见图1和图2所示,网络安全评估方法包括以下步骤:
S100、使用统计分析方法,依据渗透扫描得到的样本数据,对预设指标体系降维得到核心指标体系,其中,所述样本数据包括多个企业样本的风险暴露面,所述风险暴露面包括所述预设指标体系中每个基础指标的问题扫出数,所述核心指标体系包括多个核心指标;
S200、依据每个所述企业样本中每个所述核心指标的问题扫出数和每个所述核心指标在其所属的严重度层中的严重度,为所述核心指标体系中每个所述核心指标赋予计算权重;
S300、通过所述核心指标体系中每个所述核心指标的严重度和待评估企业的风险暴露面,采用负面累积函数计算得到所述待评估企业的每个所述核心指标的单指标得分,其中,所述待评估企业的风险暴露面包括每个所述核心指标的问题实际扫出数和每个所述核心指标在每个子域名的问题实际扫出数;
S400、依据所述待评估企业的所述风险暴露面中端口实际扫出数、子域名实际扫出数和每个所述核心指标的问题实际扫出数给定第一惩罚系数,使用所述计算权重、所述单指标得分和所述第一惩罚系数,进行加权计算得到所述待评估企业的网络安全评估总分。
上述步骤S100中的预设指标体系,是指针对不同攻击面、安全漏洞,由安全人员预先根据网络安全攻防体系以及当下的主流网络安全生态系统给出了134个左右可以衡量特定主体安全能力的基础指标。通过对企业样本进行渗透测试,其风险暴露面包括每个基础指标对应的问题扫出数,故每个企业样本的风险暴露面可以描述为一个134元组。此13万134维元组构成了该评估方案的基础样本。样本数据是由多个企业样本,例如13万个企业样本的风险暴露面形成的基础样本。
上述步骤S100主要是通过使用两种统计方法对预设指标体系中的基础指标进行筛选降维,得到核心指标体系,具体包括:
S101、通过K-means聚类算法,依据每个所述企业样本的每个所述基础指标的问题扫出数,对所有的所述企业样本进行聚类操作得到多个类。
具体实施时,通过K-means聚类算法,将N个企业样本划分到多个类中,使每个企业样本都属于距离不同的类的均值最小的一个类,进而得到多个类。在实际操作时,需要定义距离和启动的K值。
进行距离定义时可以选用欧氏距离、曼哈顿距离和切比雪夫距离中的任意一种定义方式,本发明实施例中,使用根据对欧氏距离、曼哈顿距离和切比雪夫距离等方式定义的距离,对13万个企业样本进行聚类分析的结果进行分析,择优选择使用欧式距离作为13万个企业样本分类的依据。具体来说,任意两个企业样本的距离,定义它们的距离为:
, 其中,为第个企业样本和第个企业样本间的距离;表示第个企业样本的第j个基础指标的问题扫出数,表示第个企业样本的第j个基础指标的问题扫出数,J为预设指标体系中基础指标的数量;
本发明实施例中在确定启动的K值时,通过肘部法则或者轮廓系数确定K值。
通过肘部法则确定K值的方法为:由于随着聚类数的增加,企业样本划分会更加精细,每个类的聚合程度会逐渐提高,误差平方和SSE(即所有类中一个企业样本的每一个基础指标的问题扫出数与该类中所有企业样本的该基础指标的平均问题扫出数的距离平方和)会逐渐变小。当聚类数小于真实聚类数时,K值增大时会增加每个类的聚合程度,SSE的下降幅度会很大;当K值达到真实聚类数时,再增加所得到的聚合程度的回报速度会变小,SSE的下降幅度也会骤降并逐渐趋于平缓,因此此时可以选择SSE斜率最小点对应的值作为最终聚类数,即启动的K值,计算公式为:
,其中,为第k个类的企业样本的数量,是第i个企业样本的第j个基础指标的问题扫出数;为第k个类中所有企业样本的第j个基础指标的平均问题扫出数,;J为预设指标体系中基础指标的数量。
通过轮廓系数确定K值时,轮廓系数是衡量类的密集与分散程度的评价指标。对于一个聚类任务希望得到的类中,每一个类内尽量紧密,类与类之间尽量远离,轮廓系数便是类的密集与分散程度的评价指标,公式为
,其中,为类中企业样本之间距离的均值,为企业样本除自身所在类外的最近类的企业样本的均值,s一般取值为[-1,1]之间,此时当s取值最大时对应的K即为确定启动的K值。
在给定距离定义和确定启动的K值后,通过以下步骤:(1)将13万个企业样本分为K类;(2)计算K类中每一类的均值,即找到聚类中心;(3)计算所有数据点的距离所有类的聚类中心的距离,将该点调整到距离最小值对应的类;(4)重复(2)和(3)直到满足聚类结束条件后,完成迭代计算。在理想情况下,聚类结果应该是使得所有的企业样本都属于距离所有聚类中心距离最小的一个类。在实际应用中,当迭代次数达到10000次时,聚类操作停止,此时可以认为13万个企业样本已经根据风险暴露面分为了有鲜明区分度的几类。
S102、通过方差分析算法,依据每一个类中每个所述基础指标的问题扫出数,对所述预设指标体系中每个所述基础指标进行方差分析,将方差分析结果中概率P值<0.001时对应的所述基础指标定义为核心指标,建立包括多个所述核心指标的第一核心指标体系。
具体实施时,方差分析能够对样本数据的误差进行分解,其根本原理是小概率事件原理。假设各组的平均水平相当,小概率事件在一次抽样中几乎不可能发生;如果发生了则认为不是小概率事件,原假设不成立,接受备择假设,即认为各组平均水平不相等,各簇有区分度。对每个基础指标都进行方差分析,具体步骤如下:
(1)对第j个基础指标,建立原假设和备择假设:
不完全相等;
其中,表示第j个指标在第k类中的平均扫出数。
(2)选择显著性水平为0.001,用于和F检验值分布的p值对比,判断是否接受原假设,需要说明的是:方差分析也可以称之为F检验, F就是计算出来的F检验值,用来评估组间差异,F检验越大,则表示越显著,拟合程度也就越好;p值是衡量控制组与实验组差异大小的指标,当p值小于0.05时,表示两组存在显著差异,当p值小于0.01,表示两组的差异极其显著。
(3)计算总误差、组内误差、组间误差、组内均方和组间均方,即:
总误差:
其中,表示第j个指标在所有公司中的平均扫出数。I为所有公司数。
组内误差:
组间误差:
组内均方:,其中,
组间均方:
组间均方相当于每一类对于总体的方差,组内均方是每个分布自身的方差。
(4)计算F检验值和对应的p值,其中,,p值为查F分布表所得。
(5)如果p值小于0.001时,则有99.9%的把握拒绝原假设,接受备择假设,则该基础指标在不同的类之间的表现不同,至少能够区分出一个类的企业样本,将该基础指标确定为核心指标,加入核心指标体系。否则认为该基础指标无法区分不同的类的企业样本,剔除该基础指标。
(6)对所有基础指标通过重复(1)至(5),最终得到通过K-means聚类算法和方差分析算法筛选得到第一核心指标体系。
S103、通过PCA主成分分析算法,依据所述样本数据中每个所述企业样本的每个所述基础指标的问题扫出数,对所述预设指标体系进行主成分分析,将主成分分析结果中主成分系数大于阈值的基础指标定义为核心指标,建立包括多个所述核心指标的第二核心指标体系,此时阈值可以选择为0.2。
PCA主成分分析算法可以将关系紧密的原始变量线性组合成尽可能少的、两两不相关的新变量,这些新变量可以代表原始变量中的各类重要信息,噪声和不重要的特征被剔除。在本步骤中,通过PCA主成分分析算法对预设指标体系中的基础指标进行降维,具体实施时,采用主成分分析算法进行降维包括以下步骤:
(1)根据初始变量特性判断由协方差矩阵求主成分还是由相关阵求主成分,如果原始变量的度量或取值范围相同,则后续使用协方差阵进行分析,否则在标准化处理后使用相关系数矩阵,本发明在分析样本特性后选择使用相关系数矩阵。
把样本数据视为一个I行乘以J列的矩阵,将每个指标在大样本中的扫出数转化为矩阵中的一列,对于每一列数据进行数据标准化,标准化公式为:
其中,分别表示变量的期望和方差,即对于第i个企业样本,第j个基础指标在所有样本中的计算结果,为对应基础指标的问题扫出数减去该基础指标在13万个企业样本中的平均问题扫出数,再除以该基础指标的问题扫出数的标准差。
(2)对标准化后的数据进行Bartlett球形检验和KMO检验,判断数据之间的相关性强弱,相关性较强的指标才有进行主成分分析的意义,通过两项检验后可以进行主成分分析。
(3)计算相关系数矩阵。相关系数矩阵是一个J行乘以J列的方阵,其中表示第个基础指标和第个基础指标之间的相关系数。
对于每对基础指标,计算它们之间的协方差的公式为:
其中分别表示第个基础指标和第个基础指标在13万个企业样本中的平均问题扫出数。
根据协方差计算第个基础指标和第个基础指标之间的相关系数的公式为;
其中构成的方阵即为相关系数矩阵R。
(3)计算相关系数矩阵的特征值和特征向量。这A个向量即为A个主成分,顺序按照特征值的相对大小降序排列。
(4)记为第个主成分的方差贡献度,称为主成分的累积贡献率。当累积贡献率达到85%时,不再考虑仍未计算的特征向量,选择前5个作为主成分,这些主成分对应方差较大的维度。
(5)将原来的方阵投影到选出的主成分上,从每个主成分中选择系数最大的多个基础指标,例如从每个主成分中选择10个基础指标作为最终的核心指标,50个基础指标构成第二核心指标体系。
S104、对所述第一核心指标体系和所述第二核心指标体系进行合并,将得到的并集作为第三核心指标体系,将所述第三核心指标体系定义为所述核心指标体系。
使用K-means聚类算法和方差分析算法得到的第一核心指标体系,和使用PCA主成分分析算法得到第二核心指标体系是两种不同的方式,两种方式可以互补以弥补对方的不足,因此,本发明中将两种方式的结果进行合并后的第三核心指标体系确定为核心指标体系。
在对上述核心指标体系确定方法的一个改进的实施例中,还可以通过专家经验对第三核心指标体系修正,以补充现实应用角度认为重要的基础指标,剔除冗余的基础指标。还包括:
S105、采用德尔菲法对所述第三核心指标体系中的核心指标进行调整,得到第四核心指标体系,将所述第四核心指标体系定义为所述核心指标体系。
在具体实施时,通过和网络安全一线技术人员进行讨论,获取从技术角度提出的建议,对指标体系进行微调。如存在一个在统计意义上贡献度低导致未被筛出的基础指标,在实际应用中却对评估企业的安全能力具有重要参考价值,则把它加入参与算分的核心指标内;又或者存在一个基础指标,在统计意义上有较大区分度,但在现实应用中是普遍存在的问题,不能很好地反应网络安全水平,则将其删去。通过该步骤,可以给该评分方案补充技术方面的视角,使最终的核心指标体系能更全面地覆盖企业的安全能力维度。
例如:在实际操作中,如检测到资产IP被列为黑名单这一指标,考虑到IP声誉维度原本仅有一个指标,为了增加该维度分数的参考依据,这一指标又被认为客观上可以帮助判断企业的安全水平,因此也加入了核心指标体系。
又如WEB服务应用信息泄露,这一指标虽然在判断企业的安全水平中具有区分度,但一线安全人员认为它的含义与其他若干指标具有相关性,较为模糊,因此剔除出了核心指标体系。
此外,信息项类指标对企业的区分度普遍较低,在前期筛选中并未筛选出来。但安全人员指出,信息项类指标有助于给企业提出整改建议,在应用方面具有重要意义,因此可以引入安全人员提供的少量的信息项类指标,如6个信息项类指标作为核心指标,对通过统计分析方法得到的核心指标体系进行补充。最终综合三种方法,可以从基础指标体系中筛选出的核心指标构成了核心指标体系。
具体实施时,上述步骤S200,依据每个所述企业样本中每个所述核心指标的问题扫出数和每个所述核心指标在其所属的严重度层中的严重度,为所述核心指标体系中每个所述核心指标赋予计算权重,包括:
S201、根据贡献程度,按照严重度由大到小的顺序将所述核心指标体系的每个所述核心指标分别放入高危层、中危层、低危层、信息项层和加分项层共五个所述严重度层内。
其中,高危层、中危层、低危层中的核心指标均为负面指标。信息项层中的核心指标较为中立,其对企业评分有一定的负面影响。加分项层内的核心指标为正向指标,问题扫出情况和分数成正相关。在每一个严重度层内部,还可以根据威胁程度由小到大进行细分成1~5层。
S202、采用熵权法,依据每个所述企业样本中每个所述核心指标的问题扫出数,计算每个所述核心指标的熵权权重,其中,每个所述严重度层内所有的所述核心指标的熵权权重之和为1。
采用熵权法提取大样本中的数据信息,熵权法是利用指标变异性大小来进行客观赋权的方法。熵是对系统无序程度的度量,因此若某个核心指标的信息熵越小,表明事件发生的概率越小,信息的不确定性越大,该核心指标对应的权重也越大。由于样本中核心指标的问题扫出数量纲差异过大,先利用指数函数负面累积把扫出数的范围变小后再进行熵权法处理。每个核心指标的熵权权重确定的具体操作过程如下:
(1)数据预处理:通过以下公式对每个核心指标进行正向化处理,并利用min-max法进行归一化:
正向指标:
负向指标:
即对于第i个企业样本的数据点,计算第j个核心指标的问题扫出数和该核心指标在企业样本中所有指标的最小问题扫出数之差,与该核心指标在企业样本中的最大问题扫出数和最小问题扫出数之差的比值,为正向化因子,范围在0至1之间。
(2)根据每一个核心指标预处理后的正向指标和负向指标,求每个核心指标的信息熵,信息熵公式为:
其中,为第i个企业样本中,第j个核心指标在13万个样本中纵向比较所占的比重,
(3)通过每个核心指标的信息熵,根据下述公式计算各核心指标在对应严重度层级内的权重,公式为:
其中,为第j个核心指标的在对应严重度层级中的权重,也即熵权权重,考虑到五个严重度内指标对企业安全能力建设水平的反应程度不同,这里的计算是在各层内归一化加权。即在高危、中危、低危、信息项、加分项五层内,每一层的所有核心指标的之和为1。
S203、依据每个所述企业样本中每个所述核心指标的问题扫出数,采用公式计算每个所述核心指标的扫出率,其中,为第j个所述核心指标的扫出率,为第j个所述核心指标扫出的企业样本的数量,I为企业样本的总数。
S204、按照严重度,对每个所述严重度层给定一级权重,本步骤中,一级权重也可以称之为严重层权重。
S205、按照严重度对每个所述严重度层内的所述核心指标排序,依据排序结果对每个所述严重度层内的每个所述核心指标给定二级权重。
具体实施时,核心指标的一级权重可以参考其所在的严重度层进行赋值,例如,高危层赋值为8,中危层赋值为4,低危层赋值为2,信息项层赋值为1,加分项层赋值为4。
具体实施时,安全人员可以给定每一个严重度层内的核心指标的严重程度排序赋予二级权重,赋值范围为1-5,也即步骤S201中对每个严重度层内核心指标细分的1-5层,第1层的核心指标的二级权重赋值为1,第五层的核心指标的二级权重赋值最大为5。
S206、依据每个所述核心指标的所述熵权权重、所述扫出率、所述一级权重和所述二级权重,得到每个所述核心指标的未归一化权重。
具体实施时,未归一化权重的公式为:
其中,为未归一化权重,为一级权重,为二级权重,为熵权权重,为扫出率,为常数。
S207、对每个所述核心指标的未归一化权重进行归一化处理,得到每个核心指标的所述计算权重,具体实施时,第j个核心指标的计算权重为:
上述步骤S300在实施时,通过所述核心指标体系中每个所述核心指标的严重度和待评估企业的风险暴露面,采用负面累积函数计算得到所述待评估企业的每个所述核心指标的单指标得分,其中,所述待评估企业的风险暴露面包括每个所述核心指标的问题实际扫出数和每个所述核心指标在每个子域名的问题实际扫出数,包括:
使用负面累积函数,将待评估企业的每个核心指标的问题实际扫出数转化为得分,通过以下公式计算每个核心指标加分项和非加分项:
加分项公式:
非加分项公式:
其中,是待评估企业i的第j个核心指标的单指标得分,范围在0~100之间。是待评估企业的第j个核心指标的斜率,根据该核心指标的严重度和该核心指标在任意一个子域名上的问题扫出数的范围进行赋值,是待评估企业i的第j个核心指标的问题实际扫出数。
上述步骤S400在实施时,依据所述待评估企业的所述风险暴露面中端口实际扫出数、子域名实际扫出数和每个所述核心指标的问题实际扫出数给定第一惩罚系数,使用所述计算权重、所述单指标得分和所述第一惩罚系数,进行加权计算得到所述待评估企业的网络安全评估总分,具体包括:
S401、使用每个所述核心指标的所述计算权重和所述单指标得分,进行加权计算得到所述待评估企业的指标加权分数,待评估企业的指标加权分数可以表示为:
S402、所述第一惩罚系数包括指标数惩罚系数、子域名惩罚系数和端口惩罚系数;依据所述严重度层中每个所述核心指标的所述问题实际扫出数,定义指标数惩罚系数,其中,参与定义所述指标数惩罚系数的所述严重度层包括高危层、中危层和低危层。
指标数惩罚系数是用来区分待评估企业中核心指标的单指标加权结果相同,但不同严重度的核心指标的问题实际扫出数不同的情况,通过指标数惩罚系数可以使得扫出更高危问题数更多的企业的得分更低。指标数惩罚系数的计算公式为:
其中,分别为参与总分计算的高危层、中危层和低危层的核心指标的问题实际扫出数。
S403、根据所述子域名实际扫出数,定义子域名惩罚系数。
子域名惩罚系数用于表示因子域名实际扫出数量增加对待评估企业网络安全水平的负向作用,计算公式为:
S404、根据所述端口实际扫出数,定义端口惩罚系数;
端口惩罚系数用于表示因端口实际扫出数量增加对待评估企业网络安全水平的负向作用,计算公式为:
S405、将计算的所述指标加权分数、所述指标数惩罚系数、所述子域名惩罚系数和所述端口惩罚系数的乘积作为所述待评估企业的网络安全评估总分。
待评估企业的网络安全评估总分的计算公式为:
其中,为归一化系数,使总分的最大值为100。
在上述基于风险暴露面的网络安全评估方法的另一个实施例中,所述方法还包括:
S500、根据所述待评估企业的所述风险暴露面中端口实际扫出数、子域名实际扫出数和每个安全维度中每个所述核心指标的问题实际扫出数,给定第二惩罚系数;其中,第二惩罚系数也包括指标数惩罚系数、子域名惩罚系数和端口惩罚系数。
根据所述计算权重和所述单指标得分,计算每个安全维度中每个严重度层的分数,对每个安全维度中所有严重度层的分数进行加权计算,得到每个安全维度的加权分数;
使用每个安全维度的加权分数和所述第二惩罚系数,进行加权计算得到所述待评估企业的每个安全维度的得分,其中,所述安全维度包括网络安全、域名安全、IP声誉、应用安全、端口安全、资产暴露、数据安全和补丁漏洞。
其中,网络安全维度包括检测到数字证书已吊销、检测到DDoS防御服务等;
端口安全维度包括检测到SSH服务、检测到未授权访问等;
应用安全维度包括检测到弱密码、网站未强制应用HTTPS等;
资产暴露维度包括VPN登陆地址暴露、代码管理后台暴露等;
IP声誉维度包括检测到P2P网络活动等;
补丁漏洞维度包括产品生命周期结束等;
数据安全维度包括检测到SVN或GIT信息泄露等;
域名安全维度包括检测到开放的DNS解析服务等。
具体实施时,对任意一个安全维度,计算每一个严重度层内核心指标的分数加权,再对五个严重度层的分数进行加权后,利用子域名扫出数和端口数实际扫出数的惩罚系数对分数调整后再归一化,作为该安全维度的分数,用于避免指标过少的维度的分数受到单一指标分数变动影响大的情况。
本发明以网络安全维度为例,通过以下步骤说明如何计算九大维度分数:
首先,分别计算网络安全维度、五大严重度的分数,以高危层为例,该层的计算公式为:
其中,是属于网络安全维度、高危的全体指标个数,是单指标得分。
其次,根据总分计算得到五个严重度层的分数后,根据严重度权重加权计算得到该网络安全维度得分,公式为:
其中,为网络安全的原始分数,计算公式为:
其中,分别为高危、中危、低危、信息项和加分项权重,与总分中保持一致,由专家经验给出;为网络安全维度下高危、中危和低危问题的实际扫出数;分别为网络安全维度下高危、中危、低危、信息项和加分项的分数;为网络安全维度的归一化系数。
本发明以某企业为例,详细说明该企业网络安全评估总分和每个安全维度的得分的计算的过程。
假设某企业的风险暴露面中,134个基础指标经降维后剩余93个核心指标,其中资产暴露维度共有9个核心指标,其中5个属于高危,2个属于中危,1个属于信息项,1个属于加分项。假设企业传入的输入为一个9维向量,记为,其它8个安全维度情况可类比,剩余84个核心指标的问题扫出数可以记为,该企业的子域名扫出数和端口扫出数分别为20和30。
第一步,对于每个核心指标,根据衰减因子、扫出数和单指标计算权重,计算单指标得分,单指标得分公式为:
,其中,为每个核心指标的问题实际扫出数,为每个核心指标的衰减因子。
第二步,对93个指标进行加权求和,得到原始总分,公式为:
第三步,分别计算问题数的修正系数、子域名扫出数和端口扫出数的修正系数,也即第二惩罚系数,用于网络安全评估总分的修正系数的计算公式如下所示:
第四步,根据原始总分和修正因子,得到该企业的网络安全评估总分。
第五步,计算九大安全维度分数,以资产暴露维度为例,该维度对应的五个严重度的分数分别为:
需要说明的是,安全维度得分的第二惩罚系数与网络安全评估总分计算时使用的第一惩罚系数略有不同,用于资产暴露维度的得分计算的修正系数的计算公式如下所示:
其中,资产泄露维度的得分为:
其它八个安全维度分数的计算,与资产暴露维度分数计算过程近似,本发明不再对其一一列举。
本发明的网络安全评估方法,首先,利用扫描工具对信息系统进行探测, 扫描到的问题类型及数量,反映了信息系统中对外的暴露面。以反映大量企业样本风险暴露面的大样本数据为基础,采用统计学方法对预设的预设指标体系中的基础指标进行降维,得到包括多个核心指标的核心指标体系;其次,通过该大数据样本,以及每个核心指标所在严重度层中的严重度,对每个核心指标赋予计算权重;然后,使用每个核心指标的计算权重和待评估企业的风险暴露面中每个核心指标的问题实际扫出数,计算该核心指标的单指标得分;最后,使用待评估企业的风险暴露面中的端口实际扫出数、子域名实际扫出数和每个核心指标的问题实际扫出数给定第一惩罚系数,结合每个核心指标的单指标得分和计算权重,进行加权计算得到该待测企业的网络安全评估总分。本发明的方法一方面以大量的数量样本对预设指标体系(例如包括134个基础指标)进行降维得到核心指标体系(例如包括90个左右的核心指标)并得到每个核心指标的计算权重,可以与现实情况具有更好的贴合度;另一方面,网络安全评估总分计算时考虑了由待评估企业的端口数量和子域名数量带来的风险暴露面扩大的潜在风险,使得最终计算的待评估企业的评估总分更准确。
在本实施例中,提供了一种计算机设备,如图3所示,包括存储器301、处理器302及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述任意的基于风险暴露面的网络安全评估方法。
具体的,该计算机设备可以是计算机终端、服务器或者类似的运算装置。
在本实施例中,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述任意的基于风险暴露面的网络安全评估方法的计算机程序。
具体的,计算机可读存储介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机可读存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读存储介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
基于同一发明构思,本发明实施例中还提供了一种基于风险暴露面的网络安全评估系统,如下面的实施例所述。由于基于风险暴露面的网络安全评估系统解决问题的原理与上述实施例中基于风险暴露面的网络安全评估方法相似,因此所述网络安全评估系统的实施可以参见上述网络安全评估方法的实施,重复之处不再赘述。以下所使用的,术语“单元”或者“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图4是本发明实施例的基于风险暴露面的网络安全评估系统的一种结构框图,如图4所示,所述网络安全评估系统包括:核心指标体系建立模块401、计算权重获取模块402、单指标得分计算模块403、总分计算模块404、安全维度得分计算模块405,下面对该结构进行说明。
核心指标体系建立模块401,用于使用统计分析方法,依据渗透扫描得到的样本数据,对预设指标体系降维得到核心指标体系;其中,核心指标体系建立模块401包括K-means聚类算法模块、方差分析算法模块、PCA主成分分析算法模块和德尔菲法修正模块。
计算权重获取模块402,用于依据每个所述企业样本中每个所述核心指标的问题扫出数和每个所述核心指标在其所属的严重度层中的严重度,为所述核心指标体系中每个所述核心指标赋予计算权重。
单指标得分计算模块403,用于通过所述核心指标体系中每个所述核心指标的严重度和待评估企业的风险暴露面,采用负面累积函数计算得到所述待评估企业的每个所述核心指标的单指标得分,其中,所述待评估企业的风险暴露面包括每个所述核心指标的问题实际扫出数和每个所述核心指标在每个子域名的问题实际扫出数。
总分计算模块404,用于依据所述待评估企业的所述风险暴露面中端口实际扫出数、子域名实际扫出数和每个所述核心指标的问题实际扫出数给定第一惩罚系数,使用所述计算权重、所述单指标得分和所述第一惩罚系数,进行加权计算得到所述待评估企业的网络安全评估总分。
在一个改进的实施例中,如图4所示,上述基于风险暴露面的网络安全评估系统还包括:
安全维度得分计算模块405,用于根据所述待评估企业的所述风险暴露面中端口实际扫出数、子域名实际扫出数和每个安全维度中每个所述核心指标的问题实际扫出数,给定第二惩罚系数;根据所述计算权重和所述单指标得分,计算每个安全维度中每个严重度层的分数,对每个安全维度中所有严重度层的分数进行加权计算,得到每个安全维度的加权分数;使用每个安全维度的加权分数和所述第二惩罚系数,进行加权计算得到所述待评估企业的每个安全维度的得分,其中,所述安全维度包括网络安全、域名安全、IP声誉、应用安全、端口安全、资产暴露、数据安全和补丁漏洞。
本发明实施例实现了如下技术效果:首先,以对大量企业样本进行渗透测试扫描得到的大样本风险暴露面数据为基础,采用统计学方法对预设的预设指标体系中的基础指标进行降维,得到包括多个核心指标的核心指标体系;其次,通过该大数据样本,以及每个核心指标所在严重度层中的严重度,对每个核心指标赋予计算权重;然后,使用每个核心指标的计算权重和待评估企业风险暴露面中每个核心指标的问题实际扫出数,计算该核心指标的单指标得分;最后,使用待评估企业的风险暴露面的端口实际扫出数和子域名实际扫出数,以及每个核心指标的单指标得分,进行加权计算得到该待测企业的网络安全评估总分。本发明的方法,一方面以大量的数量样本对预设指标体系(例如包括134个基础指标)进行降维得到核心指标体系(例如包括90个左右的核心指标)并得到每个核心指标的计算权重,可以与现实情况具有更好的贴合度;另一方面,网络安全评估总分计算时考虑了由待评估企业的端口数量和子域名数量带来的风险暴露面扩大的潜在风险,使得最终计算的待评估企业的评估总分更准确。
显然,本领域的技术人员应该明白,上述的本发明实施例的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明实施例不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明实施例可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种基于风险暴露面的网络安全评估方法,其特征在于,包括:
使用统计分析方法,依据渗透扫描得到的样本数据,对预设指标体系降维得到核心指标体系,其中,所述样本数据包括多个企业样本的风险暴露面,所述风险暴露面包括所述预设指标体系中每个基础指标的问题扫出数,所述核心指标体系包括多个核心指标;
依据每个所述企业样本中每个所述核心指标的问题扫出数和每个所述核心指标在其所属的严重度层中的严重度,为所述核心指标体系中每个所述核心指标赋予计算权重;
通过所述核心指标体系中每个所述核心指标的严重度和待评估企业的风险暴露面,采用负面累积函数计算得到所述待评估企业的每个所述核心指标的单指标得分,其中,所述待评估企业的风险暴露面包括每个所述核心指标的问题实际扫出数和每个所述核心指标在每个子域名的问题实际扫出数;
依据所述待评估企业的所述风险暴露面中端口实际扫出数、子域名实际扫出数和每个所述核心指标的问题实际扫出数给定第一惩罚系数,使用所述计算权重、所述单指标得分和所述第一惩罚系数,进行加权计算得到所述待评估企业的网络安全评估总分。
2.根据权利要求1所述的基于风险暴露面的网络安全评估方法,其特征在于,所述使用统计分析方法,依据渗透扫描得到的样本数据,对预设指标体系降维得到核心指标体系,包括:
通过K-means聚类算法,依据每个所述企业样本的每个所述基础指标的问题扫出数,对所有的所述企业样本进行聚类操作得到多个类;
通过方差分析算法,依据每一个类中每个所述基础指标的问题扫出数,对所述预设指标体系中每个所述基础指标进行方差分析,将方差分析结果中概率P值<0.001时对应的所述基础指标定义为核心指标,建立包括多个所述核心指标的第一核心指标体系;
通过PCA主成分分析算法,依据所述样本数据中每个所述企业样本的每个所述基础指标的问题扫出数,对所述预设指标体系进行主成分分析,将主成分分析结果中主成分系数大于阈值的基础指标定义为核心指标,建立包括多个所述核心指标的第二核心指标体系;
对所述第一核心指标体系和所述第二核心指标体系进行合并,将得到的并集作为第三核心指标体系,将所述第三核心指标体系定义为所述核心指标体系。
3.根据权利要求2所述的基于风险暴露面的网络安全评估方法,其特征在于,还包括:
采用德尔菲法对所述第三核心指标体系中的核心指标进行调整,得到第四核心指标体系,将所述第四核心指标体系定义为所述核心指标体系。
4.根据权利要求1所述的基于风险暴露面的网络安全评估方法,其特征在于,所述依据每个所述企业样本中每个所述核心指标的问题扫出数和每个所述核心指标在其所属的严重度层中的严重度,为所述核心指标体系中每个所述核心指标赋予计算权重,包括:
根据贡献程度,按照严重度由大到小的顺序将所述核心指标体系的每个所述核心指标分别放入高危层、中危层、低危层、信息项层和加分项层共五个所述严重度层内;
采用熵权法,依据每个所述企业样本中每个所述核心指标的问题扫出数,计算每个所述核心指标的熵权权重,其中,每个所述严重度层内所有的所述核心指标的熵权权重之和为1;
依据每个所述企业样本中每个所述核心指标的问题扫出数,采用公式计算每个所述核心指标的扫出率,其中,为第j个所述核心指标的扫出率,为第j个所述核心指标扫出的企业样本的数量,I为企业样本的总数;
按照严重度,对每个所述严重度层给定一级权重;
按照严重度对每个所述严重度层内的所述核心指标排序,依据排序结果对每个所述严重度层内的每个所述核心指标给定二级权重;
依据每个所述核心指标的所述熵权权重、所述扫出率、所述一级权重和所述二级权重,得到每个所述核心指标的未归一化权重;
对每个所述核心指标的未归一化权重进行归一化处理,得到每个核心指标的所述计算权重。
5.根据权利要求4所述的基于风险暴露面的网络安全评估方法,其特征在于,依据每个所述核心指标的所述熵权权重、所述扫出率、所述一级权重和所述二级权重,采用如下公式计算得到每个所述核心指标的未归一化权重:
采用如下公式对每个所述核心指标的未归一化权重进行归一化处理,得到每个核心指标的所述计算权重:
其中,为未归一化权重,为一级权重,为二级权重,为熵权权重,为扫出率,为常数。
6.根据权利要求1所述的基于风险暴露面的网络安全评估方法,其特征在于,所述依据所述待评估企业的所述风险暴露面中端口实际扫出数、子域名实际扫出数和每个所述核心指标的问题实际扫出数给定第一惩罚系数,使用所述计算权重、所述单指标得分和所述第一惩罚系数,进行加权计算得到所述待评估企业的网络安全评估总分,包括:
使用每个所述核心指标的所述计算权重和所述单指标得分,进行加权计算得到所述待评估企业的指标加权分数;
所述第一惩罚系数包括指标数惩罚系数、子域名惩罚系数和端口惩罚系数;依据所述严重度层中每个所述核心指标的所述问题实际扫出数,定义所述指标数惩罚系数,其中,参与定义所述指标数惩罚系数的所述严重度层包括高危层、中危层和低危层;
根据所述子域名实际扫出数,定义所述子域名惩罚系数;
根据所述端口实际扫出数,定义所述端口惩罚系数;
将所述指标加权分数、所述指标数惩罚系数、所述子域名惩罚系数和所述端口惩罚系数的乘积作为所述待评估企业的网络安全评估总分。
7.根据权利要求1所述的基于风险暴露面的网络安全评估方法,其特征在于,还包括:
根据所述待评估企业的所述风险暴露面中端口实际扫出数、子域名实际扫出数和每个安全维度中每个所述核心指标的问题实际扫出数,给定第二惩罚系数;
根据所述计算权重和所述单指标得分,计算每个安全维度中每个严重度层的分数,对每个安全维度中所有严重度层的分数进行加权计算,得到每个安全维度的加权分数;
使用每个安全维度的加权分数和所述第二惩罚系数,进行加权计算得到所述待评估企业的每个安全维度的得分,其中,所述安全维度包括网络安全、域名安全、IP声誉、应用安全、端口安全、资产暴露、数据安全和补丁漏洞。
8.一种基于风险暴露面的网络安全评估系统,其特征在于,包括:
核心指标体系建立模块,用于使用统计分析方法,依据渗透扫描得到的样本数据,对预设指标体系降维得到核心指标体系;
计算权重获取模块,用于依据每个所述企业样本中每个所述核心指标的问题扫出数和每个所述核心指标在其所属的严重度层中的严重度,为所述核心指标体系中每个所述核心指标赋予计算权重;
单指标得分计算模块,用于通过所述核心指标体系中每个所述核心指标的严重度和待评估企业的风险暴露面,采用负面累积函数计算得到所述待评估企业的每个所述核心指标的单指标得分,其中,所述待评估企业的风险暴露面包括每个所述核心指标的问题实际扫出数和每个所述核心指标在每个子域名的问题实际扫出数;
总分计算模块,用于依据所述待评估企业的所述风险暴露面中端口实际扫出数、子域名实际扫出数和每个所述核心指标的问题实际扫出数给定第一惩罚系数,使用所述计算权重、所述单指标得分和所述第一惩罚系数,进行加权计算得到所述待评估企业的网络安全评估总分。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的基于风险暴露面的网络安全评估方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行权利要求1至7中任一项所述的基于风险暴露面的网络安全评估方法的计算机程序。
CN202410057885.2A 2024-01-16 2024-01-16 基于风险暴露面的网络安全评估方法、系统、设备及介质 Active CN117579389B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410057885.2A CN117579389B (zh) 2024-01-16 2024-01-16 基于风险暴露面的网络安全评估方法、系统、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410057885.2A CN117579389B (zh) 2024-01-16 2024-01-16 基于风险暴露面的网络安全评估方法、系统、设备及介质

Publications (2)

Publication Number Publication Date
CN117579389A true CN117579389A (zh) 2024-02-20
CN117579389B CN117579389B (zh) 2024-04-05

Family

ID=89862816

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410057885.2A Active CN117579389B (zh) 2024-01-16 2024-01-16 基于风险暴露面的网络安全评估方法、系统、设备及介质

Country Status (1)

Country Link
CN (1) CN117579389B (zh)

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160050241A (ko) * 2014-10-29 2016-05-11 (주)타파크로스 학습형 룰베이스 방식의 부정적 이슈 감지 방법 및 시스템
US20170302679A1 (en) * 2016-02-15 2017-10-19 Luigius Caramico Methods and systems of dual-layer computer-system security
US20180124091A1 (en) * 2016-10-27 2018-05-03 Src, Inc. Method for the Continuous Calculation of a Cyber Security Risk Index
US20200358807A1 (en) * 2019-05-10 2020-11-12 Cybeta, LLC System and method for cyber security threat assessment
US20220058266A1 (en) * 2018-12-04 2022-02-24 Saket Modi Methods and systems of a cybersecurity scoring model
CN114553517A (zh) * 2022-02-14 2022-05-27 北京源堡科技有限公司 非线性加权的网络安全评估方法、装置、设备和存储介质
CN115643107A (zh) * 2022-12-13 2023-01-24 北京源堡科技有限公司 网络安全风险评估方法、装置、计算机设备及存储介质
WO2023019986A1 (zh) * 2021-08-19 2023-02-23 北京邮电大学 基于组合赋权与模糊灰色聚类的科技服务质量评估方法和装置
WO2023098571A1 (zh) * 2021-11-30 2023-06-08 阿里云计算有限公司 一种企业数字中台的成熟状态评估方法和装置
US20230370491A1 (en) * 2015-10-28 2023-11-16 Qomplx, Inc. System and method for cyber exploitation path analysis and response using federated networks

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160050241A (ko) * 2014-10-29 2016-05-11 (주)타파크로스 학습형 룰베이스 방식의 부정적 이슈 감지 방법 및 시스템
US20230370491A1 (en) * 2015-10-28 2023-11-16 Qomplx, Inc. System and method for cyber exploitation path analysis and response using federated networks
US20170302679A1 (en) * 2016-02-15 2017-10-19 Luigius Caramico Methods and systems of dual-layer computer-system security
US20180124091A1 (en) * 2016-10-27 2018-05-03 Src, Inc. Method for the Continuous Calculation of a Cyber Security Risk Index
US20220058266A1 (en) * 2018-12-04 2022-02-24 Saket Modi Methods and systems of a cybersecurity scoring model
US20200358807A1 (en) * 2019-05-10 2020-11-12 Cybeta, LLC System and method for cyber security threat assessment
WO2023019986A1 (zh) * 2021-08-19 2023-02-23 北京邮电大学 基于组合赋权与模糊灰色聚类的科技服务质量评估方法和装置
WO2023098571A1 (zh) * 2021-11-30 2023-06-08 阿里云计算有限公司 一种企业数字中台的成熟状态评估方法和装置
CN114553517A (zh) * 2022-02-14 2022-05-27 北京源堡科技有限公司 非线性加权的网络安全评估方法、装置、设备和存储介质
CN115643107A (zh) * 2022-12-13 2023-01-24 北京源堡科技有限公司 网络安全风险评估方法、装置、计算机设备及存储介质

Also Published As

Publication number Publication date
CN117579389B (zh) 2024-04-05

Similar Documents

Publication Publication Date Title
CN104539484B (zh) 一种动态评估网络连接可信度的方法及系统
Edwards et al. The analysis of contingency tables by graphical models
Wise et al. Regionalisation tools for the exploratory spatial analysis of health data
CN109034562B (zh) 一种社交网络节点重要性评估方法及系统
CN107168995B (zh) 一种数据处理方法及服务器
Lengyel et al. Assessing the relative importance of methodological decisions in classifications of vegetation data
CN115413026A (zh) 基于聚类算法的基站选择方法、系统、设备及存储介质
CN115329338A (zh) 基于云计算服务的信息安全风险分析方法及分析系统
US20190377670A1 (en) Tester and method for testing a device under test using relevance scores
CN117579389B (zh) 基于风险暴露面的网络安全评估方法、系统、设备及介质
Ying et al. A spectrum-based framework for quantifying randomness of social networks
CN112528505B (zh) 一种指数分布型产品可靠性评估方法
CN106713322B (zh) 一种面向网络设备信息安全评估的模糊度量方法
CN117614664A (zh) 基于攻击警告权重聚类的多阶段攻击预测方法
US20050060331A1 (en) Systems and methods for mining model accuracy display for multiple state prediction
Zhao et al. Outlier detection for partially labeled categorical data based on conditional information entropy
CN112217838B (zh) 一种基于云模型理论的网络攻击面评估方法
CN111652733B (zh) 基于云计算和区块链的金融信息管理系统
CN114092216A (zh) 企业信贷评级方法、装置、计算机设备和存储介质
Quinlan et al. Bayesian design of experiments for logistic regression to evaluate multiple nuclear forensic algorithms
CN113238874B (zh) 资源匹配方法及系统
CN116699243B (zh) 一种防静电产品性能智能分析方法及系统
CN114742479B (zh) 账号识别方法、装置、服务器及存储介质
CN113538020B (zh) 获取客群特征关联度方法、装置、存储介质和电子装置
CN115174417B (zh) 联合训练方案的评估方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant