CN117692169A - 风险识别方法、装置、电子设备及存储介质 - Google Patents

风险识别方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN117692169A
CN117692169A CN202311544046.5A CN202311544046A CN117692169A CN 117692169 A CN117692169 A CN 117692169A CN 202311544046 A CN202311544046 A CN 202311544046A CN 117692169 A CN117692169 A CN 117692169A
Authority
CN
China
Prior art keywords
risk
zero
risk identification
identification information
entities
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311544046.5A
Other languages
English (en)
Inventor
熊嵩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Suzhou Software Technology Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Suzhou Software Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Suzhou Software Technology Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN202311544046.5A priority Critical patent/CN117692169A/zh
Publication of CN117692169A publication Critical patent/CN117692169A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/02Knowledge representation; Symbolic representation
    • G06N5/022Knowledge engineering; Knowledge acquisition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/04Inference or reasoning models
    • G06N5/041Abduction
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Evolutionary Computation (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Computational Linguistics (AREA)
  • Artificial Intelligence (AREA)
  • Power Engineering (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供了风险识别方法、装置、电子设备及存储介质,该方法包括:获取零信任终端的目标数据,所述目标数据包括所述零信任终端的网络地址数据和预设程序的版本信息,所述预设程序为安装于所述零信任终端中的程序;基于预先构建的知识图谱和所述目标数据,生成第一风险识别信息;基于所述第一风险识别信息对所述零信任终端进行风险识别,得到所述零信任终端的风险等级。可以根据不断变化的安全威胁以及不同的应用场景生成对应的生成第一风险识别信息,以对零信任终端进行风险识别,得到零信任终端的风险等级。提升了风险识别的全面性,减少安全隐患。

Description

风险识别方法、装置、电子设备及存储介质
技术领域
本发明涉及安全技术领域,尤其涉及一种风险识别方法、装置、电子设备及存储介质。
背景技术
网络安全旨在确保网络的保密性、完整性和可用性,以防止未经授权的访问、恶意软件、数据泄露、网络攻击和其他安全威胁对网络和其相关资源的损害。零信任是一种网络安全策略,用于验证每个用户、设备、应用程序和交易。零信任意味着,任何用户或流程都不应该被信任。其中,零信任终端是用户接入零信任网络安全的必要途径,在零信任网络架构中评估终端安全至关重要,需要高效、快速、专业地评估终端的安全运行环境,做到实时隔离危险终端的接入,防止用户数据泄露、服务不被攻击。
然而,由于安全威胁的不断变化、应用场景的不同,现有的风险识别方法存在一定局限性,识别结果不够全面,容易出现安全隐患。
发明内容
本发明实施例提供了一种风险识别方法、装置、电子设备及存储介质,以解决现有的风险识别方法的风险识别结果不够全面,容易出现安全隐患的问题。
为解决上述技术问题,本发明是这样实现的:
第一方面,本发明实施例提供了一种风险识别方法,包括:
获取零信任终端的目标数据,所述目标数据包括所述零信任终端的网络地址数据和预设程序的版本信息,所述预设程序为安装于所述零信任终端中的程序;
基于预先构建的知识图谱和所述目标数据,生成第一风险识别信息,其中,所述第一风险识别信息包括:所述零信任终端发生多种第一风险事件中每种第一风险事件的概率值,以及,所述多种第一风险事件中每种第一风险事件对应的损失值,所述损失值用于表征所对应的第一风险事件发生的情况下,在所述零信任终端访问目标资产平台时,对所述目标资产平台中的资产的威胁等级,所述知识图谱为风险-资产漏洞威胁R-AVT模型基于目标数据库中的数据构建的知识图谱,所述目标数据库包括与所述第一风险识别信息对应的数据;
基于所述第一风险识别信息对所述零信任终端进行风险识别,得到所述零信任终端的风险等级。
可选地,在获取零信任终端的目标数据之前,所述方法还包括:
获取与所述第一风险识别信息对应的数据,其中,所述与所述第一风险识别信息对应的数据包括零信任终端安全领域中的多个实体,所述多个实体包括至少一个资产、至少一个漏洞和至少一个威胁;
确定所述多个实体中,每个实体对应的属性信息,其中,所述资产的属性信息至少包括网络地址数据、版本信息和安全等级,所述漏洞的属性信息至少包括通用漏洞披露CVE编号、通用漏洞评分系统CVSS评分和漏洞描述,所述威胁的属性信息至少包括攻击方式、攻击目标和攻击者;
基于所述多个实体的属性值利用R-AVT模型构建知识图谱,其中,所述知识图谱包括所述多个实体之间的关联关系,所述关联关系包括直接关联关系和隐藏关联关系。
可选地,所述基于所述多个实体的属性值利用R-AVT模型构建知识图谱,包括:
将所述多个实体中每一个实体作为一个网络节点,并将所述多个实体中具有关联属性信息的实体对应的网络节点关联,以确定各实体之间的直接关联关系;
根据所述各实体之间的直接关联关系,确定各实体之间存在的多种间接关联关系,将具有间接关联关系的实体对应的网络节点关联;
计算所述具有间接关联关系的实体对应的网络节点之间的关系值;
根据所述关系值,从所述多种间接关联关系中确定所述多个实体之间的隐藏关联关系,存在所述隐藏关联关系的实体对应的网络节点之间的关系值大于目标阈值;
基于各实体之间的直接关联关系、各实体之间的隐藏关联关系,利用R-AVT模型构建所述知识图谱。
可选地,所述基于各实体之间的直接关联关系、各实体之间的隐藏关联关系,利用R-AVT模型构建所述知识图谱,包括:
将具有关联关系的实体输入至R-AVT模型进行预测,得到发生第二风险事件时的第二风险识别信息,所述第二风险事件为所述威胁利用所述漏洞作用在所述资产时发生的风险事件;
将所述具有关联关系的实体和所述具有关联关系的实体对应的第二风险识别信息关联存储,得到所述知识图谱。
可选地,所述基于预先构建的知识图谱和所述目标数据,生成第一风险识别信息,包括:
根据所述网络地址数据和所述预设程序的版本信息,在所述知识图谱的多个实体中,匹配与所述目标数据对应的第一实体;
在所述知识图谱的所述多个实体中,确定与所述第一实体存在关联关系的第二实体;
在所述知识图谱中,根据具有关联关系的所述第一实体和所述第二实体,确定所述目标数据对应的目标第二风险识别信息,所述目标第二风险识别信息为所述第一风险识别信息。
可选地,所述在所述知识图谱中,根据具有关联关系的所述第一实体和所述第二实体,确定所述目标数据对应的目标第二风险识别信息,包括:
在所述知识图谱中,获取所述第一实体对应的第二风险识别信息,以及所述第二实体对应的第二风险识别信息,所述第一实体对应的第二风险识别信息包括所述零信任终端发生多种第二风险事件中每种第二风险事件的概率值,所述第二实体对应的第二风险识别信息包括所述多种第二风险事件中每种第二风险事件对应的损失值;
根据第一实体对应的第二风险识别信息和所述第二实体对应的第二风险识别信息,确定所述目标数据对应的目标第二风险识别信息。
可选地,所述基于预先构建的知识图谱和所述目标数据,生成第一风险识别信息,包括:
计算所述目标资产平台中的资产所在的物理环境因素与概率损失值的乘积,得到所述零信任终端的风险值,所述零信任终端的风险值用于表征所述第一风险识别信息,所述概率损失值为所述零信任终端发生多种第一风险事件中第i种第一风险事件的概率值与所述第i种第一风险事件对应的损失值之和,其中,i为正整数。
第二方面,本发明实施例还提供了一种风险识别装置,所述装置包括:
第一获取模块,用于获取零信任终端的目标数据,所述目标数据包括所述零信任终端的网络地址数据和预设程序的版本信息,所述预设程序为安装于所述零信任终端中的程序;
生成模块,用于基于预先构建的知识图谱和所述目标数据,生成第一风险识别信息,其中,所述第一风险识别信息包括:所述零信任终端发生多种第一风险事件中每种第一风险事件的概率值,以及,所述多种第一风险事件中每种第一风险事件对应的损失值,所述损失值用于表征所对应的第一风险事件发生的情况下,在所述零信任终端访问目标资产平台时,对所述目标资产平台中的资产的威胁等级,所述知识图谱为风险-资产漏洞威胁R-AVT模型基于目标数据库中的数据构建的知识图谱,所述目标数据库包括与所述第一风险识别信息对应的数据;
第一确定模块,用于基于所述第一风险识别信息对所述零信任终端进行风险识别,得到所述零信任终端的风险等级。
第三方面,本发明实施例还提供了一种电子设备,包括收发机和处理器,
所述收发机,用于获取零信任终端的目标数据,所述目标数据包括所述零信任终端的网络地址数据和预设程序的版本信息,所述预设程序为安装于所述零信任终端中的程序;
所述处理器,用于基于预先构建的知识图谱和所述目标数据,生成第一风险识别信息,其中,所述第一风险识别信息包括:所述零信任终端发生多种第一风险事件中每种第一风险事件的概率值,以及,所述多种第一风险事件中每种第一风险事件对应的损失值,所述损失值用于表征所对应的第一风险事件发生的情况下,在所述零信任终端访问目标资产平台时,对所述目标资产平台中的资产的威胁等级,所述知识图谱为风险-资产漏洞威胁R-AVT模型基于目标数据库中的数据构建的知识图谱,所述目标数据库包括与所述第一风险识别信息对应的数据;
所述处理器,还用于基于所述第一风险识别信息对所述零信任终端进行风险识别,得到所述零信任终端的风险等级。
第四方面,本发明实施例还提供了一种电子设备,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现如第一方面所述的风险识别方法的步骤。
第五方面,本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面所述的风险识别方法的步骤。
本发明实施例中,在零信任终端向目标资产平台发起访问请求时,获取零信任终端上报的目标数据,在预先基于R-AVT模型使用零信任安全领域数据构建的知识图谱中包括多个实体,每个实体都具有对应的风险、资产、漏洞或威胁属性。这样根据知识图谱中关联存储的漏洞、资产、威胁以及风险,确定零信任终端发生多种第一风险事件中每种第一风险事件的概率值,以及,多种第一风险事件中每种第一风险事件对应的损失值,可以根据不断变化的安全威胁以及不同的应用场景生成对应的生成第一风险识别信息,以对零信任终端进行风险识别,得到零信任终端的风险等级。提升了风险识别的全面性,减少安全隐患。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种风险识别方法的流程图之一;
图2是本发明实施例提供的一种风险识别方法的流程图之二,;
图3是本发明实施例提供的R-AVT模型的结构示意图;
图4是本发明实施例提供的实体关联关系示意图;
图5是本发明实施例提供的一种风险识别装置的结构示意图;
图6是本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见图1,图1是本发明实施例提供的一种风险识别方法的流程图之一,如图1所示,所述方法包括以下步骤:
步骤101、获取零信任终端的目标数据,所述目标数据包括所述零信任终端的网络地址数据和预设程序的版本信息,所述预设程序为安装于所述零信任终端中的程序;
本实施例提供的风险识别方法可以由目标资产平台执行,目标资产平台为零信任终端访问的平台。零信任作为一种网络安全策略,用于验证每个用户、设备、应用程序和交易。零信任的基本原则包括:所有网络流量都不该被信任,所以用户需要遵循“验证和加密所有资源,限制并严格执行访问控制,监测并记录所有网络流量”。用户可以通过零信任终端接入目标资产平台,目标资产平台对零信任终端进行安全评估。零信任终端可以包括个人电脑(Personal Computer,PC)、笔记本、智能手机、平板电脑等。
零信任终端的网络地址数据可以是互联网协议(Internet Protocol,IP)地址,不同的IP地址对应的风险不同。例如,区域A经常受到网络攻击,而区域B较少受到网络攻击,则区域A对应的IP地址的风险高于区域B对应的IP地址的风险。
预设程序包括安装于零信任终端中的系统程序和软件程序,系统程序可以包括windows、linux、mac、android和ios等操作系统中的至少一种,软件程序可以是安装在零信任终端的某种操作系统中的一种或多种应用程序(Application,APP)。预设程序的版本信息,即系统程序的版本信息以及软件程序的版本信息。例如,系统程序以windows为例,windows的版本信息可以是windows xp、windows 7或windows 10等;软件程序版本信息可以是APP 1.1、APP 1.3、APP 2.2或APP 3.0等。
如图2所示,目标资产平台中的评估中心在获取到零信任终端上报的目标数据后,进一步通过步骤102在评估中心中结合预先构建的知识图谱,确定零信任终端的第一风险识别信息。
步骤102、基于预先构建的知识图谱和所述目标数据,生成第一风险识别信息,其中,所述第一风险识别信息包括:所述零信任终端发生多种第一风险事件中每种第一风险事件的概率值,以及,所述多种第一风险事件中每种第一风险事件对应的损失值,所述损失值用于表征所对应的第一风险事件发生的情况下,在所述零信任终端访问目标资产平台时,对所述目标资产平台中的资产的威胁等级,所述知识图谱为风险-资产漏洞威胁R-AVT模型基于目标数据库中的数据构建的知识图谱,所述目标数据库包括与所述第一风险识别信息对应的数据;
本示例中,基于R-AVT模型使用目标数据库中的数据构建的知识图谱,目标数据库包括与所述第一风险识别信息对应的数据,换言之,目标数据库中的数据为零信任安全领域的数据。通过接入云安全大数据平台,能够获得安全类可靠数据,可构建出专业的安全知识图谱。R-AVT模型,即风险(R)-资产(A)漏洞(V)威胁(T),可以理解为威胁(T)是产生风险的内因,漏洞(V)是产生风险的外因,两者共同作用在资产(A)上,从而产生的风险(R)。针对每一种漏洞,在不同的区域具有的威胁不一定相同。只有在某个区域存在对应威胁时,漏洞才会导致风险。在知识图谱中可以将预设程序的所以漏洞、资产、威胁以及风险关联管理。
根据网络地址数据和预设程序的版本信息,在知识图谱中匹配与目标数据对应的实体。预先构建的知识图谱中包括多个实体,每个实体都具有对应的风险、资产、漏洞或威胁属性。在一示例中,预设程序的版本信息包括系统程序windows的版本信息为windows10,以及软件程序的版本信息为APP 3.0。在知识图谱中根据系统程序的版本信息可以获取到零信任终端当前系统的漏洞,以及根据软件程序的版本信息可以获取到零信任终端当前软件程序的漏洞;然后结合网络地址数据确定零信任终端当前所在的区域,从而根据知识图谱中关联存储的漏洞、资产、威胁以及风险,确定零信任终端发生多种第一风险事件中每种第一风险事件的概率值,以及,多种第一风险事件中每种第一风险事件对应的损失值,生成第一风险识别信息。进一步根据步骤103确定零信任终端的风险等级。
步骤103、基于所述第一风险识别信息对所述零信任终端进行风险识别,得到所述零信任终端的风险等级。
为实现对风险的控制与管理,可以零信任终端进行风险识别结果进行等级划分,得到零信任终端的风险等级。其中,等级越高,风险越高。示例性的,风险等级划分表可以如下表1所示:
在评估中心基于第一风险识别信息对零信任终端进行风险识别,得到零信任终端的风险等级后,可以根据风险等级对零信任终端的访问进行控制。
在一示例中,若风险等级为极高危,则直接禁止该零信任终端发起的所有访问;若风险等级为高危,则可以禁止该零信任终端范围某些重要应用或地址;若风险等级为中危,则可以进一步降低该零信任终端访问权限;若风险等级为低危,则可以允许该零信任终端的访问,并进行访问告警;若风险等级为极低危,则可以直接允许该零信任终端的访问。这样,按照知识图谱识别出的第一风险识别信息推断出零信任终端运行环境的风险等级。若零信任终端安全则终端还能访问业务,若零信任终端达到一定的危险程度,则自动禁止该零信任终端发起的访问,最终起到保护目标资产平台安全的作用。
本发明实施例中,在零信任终端向目标资产平台发起访问请求时,获取零信任终端上报的目标数据,在预先基于R-AVT模型使用零信任安全领域数据构建的知识图谱中包括多个实体,每个实体都具有对应的风险、资产、漏洞或威胁属性。这样根据知识图谱中关联存储的漏洞、资产、威胁以及风险,确定零信任终端发生多种第一风险事件中每种第一风险事件的概率值,以及,多种第一风险事件中每种第一风险事件对应的损失值,可以根据不断变化的安全威胁以及不同的应用场景生成对应的生成第一风险识别信息,以对零信任终端进行风险识别,得到零信任终端的风险等级。提升了风险识别的全面性,减少安全隐患。
可选地,在获取零信任终端的目标数据之前,所述方法还包括:
获取与所述第一风险识别信息对应的数据,其中,所述与所述第一风险识别信息对应的数据包括零信任终端安全领域中的多个实体,所述多个实体包括至少一个资产、至少一个漏洞和至少一个威胁;
确定所述多个实体中,每个实体对应的属性信息,其中,所述资产的属性信息至少包括网络地址数据、版本信息和安全等级,所述漏洞的属性信息至少包括通用漏洞披露CVE编号、通用漏洞评分系统CVSS评分和漏洞描述,所述威胁的属性信息至少包括攻击方式、攻击目标和攻击者;
基于所述多个实体的属性值利用R-AVT模型构建知识图谱,其中,所述知识图谱包括所述多个实体之间的关联关系,所述关联关系包括直接关联关系和隐藏关联关系。
本实施方式中,在构建知识图谱时使用的R-AVT模型的结构可以如图3所示。首先,获取零信任终端安全领域中的多个实体,多个实体包括至少一个资产、至少一个漏洞和至少一个威胁;然后,确定多个实体中,每个实体对应的属性信息,例如,资产的基本信息、漏洞类型和危险等级、威胁情报的来源和分类等内容。根据每个实体对应的属性信息将各个实体进行关联存储,例如,一实体可以是系统程序W,根据系统程序W的版本信息可以确认系统程序W存在的漏洞为Lw,因此另一实体可以是漏洞Lw,并且系统程序W中安装有软件程序R,因此又一实体可以是软件程序R,根据软件程序R的版本信息可以确认软件程序R存在的漏洞为LR,因此又一实体可以是漏洞LR。这样,可以将存在直接关联关系的系统程序W、软件程序R、漏洞Lw以及漏洞LR关联存储,并将在不同区域针对漏洞Lw以及漏洞LR进行网络攻击的风险同样作为一个实体与系统程序W、软件程序R、漏洞Lw以及漏洞LR关联存储。并且,不同的系统程序、不同的软件程序以及对应的不同的漏洞之间可以存在隐藏关联关系,将存在隐藏关联关系的实体对应的风险同样作为一个实体相互之间关联存储。这样基于多个实体的属性值并利用R-AVT模型构建知识图谱,同时考虑了各实体之间的关联关系,提升了风险识别的准确性和全面性。
具体的,所述基于所述多个实体的属性值利用R-AVT模型构建知识图谱,包括:
将所述多个实体中每一个实体作为一个网络节点,并将所述多个实体中具有关联属性信息的实体对应的网络节点关联,以确定各实体之间的直接关联关系;
根据所述各实体之间的直接关联关系,确定各实体之间存在的多种间接关联关系,将具有间接关联关系的实体对应的网络节点关联;
计算所述具有间接关联关系的实体对应的网络节点之间的关系值;
根据所述关系值,从所述多种间接关联关系中确定所述多个实体之间的隐藏关联关系,存在所述隐藏关联关系的实体对应的网络节点之间的关系值大于目标阈值;
基于各实体之间的直接关联关系、各实体之间的隐藏关联关系,利用R-AVT模型构建所述知识图谱。
如图4所示,将多个实体中每一个实体作为一个网络节点,实体m可以是系统程序W,根据系统程序W的版本信息可以确认系统程序W存在的漏洞为Lw,因此与实体m关联的一实体q1可以是漏洞Lw,并且系统程序W中安装有软件程序R,因此与实体m关联的另一实体q2可以是软件程序R。根据软件程序R的版本信息可以确认软件程序R存在的漏洞为LR,因此实体q2关联的一实体n1可以是漏洞LR。而在区域A经常出现针对漏洞LR和漏洞LR的网络攻击,因此与实体q1以及实体q2关联的一实体n2可以是区域A。这样,将多个实体中具有关联属性信息的实体对应的网络节点关联,以确定各实体之间的直接关联关系(即图4中实线连接)。其中,直接关联是最简单的实体关系建立方式,它可以通过共同的属性或标识,将两个或多个实体之间建立起直接关系。
然后,可以是通过排列组合的方式,将不存在直接关联关系的实体进行关联,以得到各实体之间存在的多种隐藏关联关系,将具有隐藏关联关系的实体对应的网络节点关联(即图4中虚线连接)。其中,隐藏关联可以是通过语义关系建立是一种基于本体和语义的方式,它通过定义语义关系和规则模型,实现实体之间关系的建立。或者,可以是通过网络关系建立是一种基于网络结构的方式,它是通过网络结构、节点之间的距离和路径等方法建立实体关系。这种方式建立的关系更加灵活和复杂,但需要更多的计算和分析,会增加一定的计算复杂度,具体可以计算具有间接关联关系的实体对应的网络节点之间的关系值。计算具有间接关联关系的实体对应的网络节点之间的关系值可以通过如下公式得到:
其中,R(n,m)为实体n对应的网络节点到实体m对应的网络节点的关系值,P为实体n对应的网络节点到实体m对应的网络节点的可达途径,length(P)表示实体n对应的网络节点到实体m对应的网络节点的可达途径的长度。其中,length(p)≤σ表示实体n对实体m存在影响,length(p)>σ表示实体n对实体m的影响可以忽略不计,σ为预设值,可以根据实际情况进行调整,ωp为实体n对实体m的风险,Q为各实体排列组合后的总数量。
根据关系值从多种间接关联关系中确定所述多个实体之间的隐藏关联关系,存在所述隐藏关联关系的实体对应的网络节点之间的关系值大于目标阈值(即R(n,m)大于目标阈值)。最后,基于各实体之间的直接关联关系、各实体之间的隐藏关联关系,利用R-AVT模型构建所述知识图谱。这样,考虑了各实体之间的直接关联关系以及隐藏关联关系,提升了风险识别的准确性和全面性。并且,在确定各实体之间隐藏关联关系时,通过关系值的计算,筛除了实体之间相互影响程度较小的间接关联关系,优化了知识图谱的数据结构,提升了使用知识图谱匹配与目标数据对应的实体时的效率。
可选地,所述基于各实体之间的直接关联关系、各实体之间的隐藏关联关系,利用R-AVT模型构建所述知识图谱,包括:
将具有关联关系的实体输入至R-AVT模型进行预测,得到发生第二风险事件时的第二风险识别信息,所述第二风险事件为所述威胁利用所述漏洞作用在所述资产时发生的风险事件;
将所述具有关联关系的实体和所述具有关联关系的实体对应的第二风险识别信息关联存储,得到所述知识图谱。
本实施方式中,可以根据各实体的属性构建属性矩阵,例如,m个实体的集合可以记为{A1,A2,A3,...Am},其中,m个实体中第i个实体可以包括n个属性值,n和m均为正整数。m个实体中第i个实体对应的属性矩阵可以表示为:
其中,Ai表示m个实体中第i个实体对应的属性矩阵,表示n个属性值中第n个属性值。
设定待构建的知识图谱中m个实体关联关系排列组合总数目为Q,根据各实体属性之间的直接关联关系,可以确定具有直接关联关系的实体构成的三元组的数量为Q1,则具有直接关联关系的实体构成的三元组在m个实体关联关系排列组合总数目中的概率为P′=Q1/Q2,那么具有间接关联关系的实体构成的三元组在m个实体关联关系排列组合总数目中的概率为P″=1-P′,得到正确的三元组链接先验概率W′=P′/P″=Q1/Q-Q1。添加注释信息后对存在间接关联关系的正确预测概率可以是:
进一步,由贝叶斯公式:
可知,W'与W″存在如下关系:
其中,P′1(A1,A2,...,Am)和P″1(A1,A2,...,Am)分别是以先验概率为条件的注释信息条件概率值。令:
其中,ω(A1,A2,...,Am)为m个实体的集合对应的风险。根据预测率信息得出知识图谱基于贝叶斯网络推理补全模型的知识推理结果。所有三元组都完成判定则标志三元组处理完毕,对于没有判定成功的项进行舍弃。将具有关联关系的实体和具有关联关系的实体对应的第二风险识别信息关联存储,得到知识图谱。
进一步的,对判定后的三元组合理性进行评估。可以将处理好的三元组进行空间划分,分别定义实体空间Rk和关系空间Rd,对各实体之间的关联关系r定义其投影矩阵为Mr∈Rk*d,将实体映射到关系空间的公式如下:hr=hMr和tr=tMr。此时hr和tr为关系空间的向量。要保证这些实体在实体空间里的嵌入能满足不同关系空间的要求,评估三元组的合理性,建立了如下评分函数:
其中h,t,hr,tr,r的嵌入长度都要小于1。
可选地,所述基于预先构建的知识图谱和所述目标数据,生成第一风险识别信息,包括:
根据所述网络地址数据和所述预设程序的版本信息,在所述知识图谱的多个实体中,匹配与所述目标数据对应的第一实体;
在所述知识图谱的所述多个实体中,确定与所述第一实体存在关联关系的第二实体;
在所述知识图谱中,根据具有关联关系的所述第一实体和所述第二实体,确定所述目标数据对应的目标第二风险识别信息,所述目标第二风险识别信息为所述第一风险识别信息。
其中,所述在所述知识图谱中,根据具有关联关系的所述第一实体和所述第二实体,确定所述目标数据对应的目标第二风险识别信息,包括:
在所述知识图谱中,获取所述第一实体对应的第二风险识别信息,以及所述第二实体对应的第二风险识别信息,所述第一实体对应的第二风险识别信息包括所述零信任终端发生多种第二风险事件中每种第二风险事件的概率值,所述第二实体对应的第二风险识别信息包括所述多种第二风险事件中每种第二风险事件对应的损失值;
根据第一实体对应的第二风险识别信息和所述第二实体对应的第二风险识别信息,确定所述目标数据对应的目标第二风险识别信息。
本实施方式中,在完成了知识图谱的构建之后,基于预先构建的知识图谱和目标数据,生成第一风险识别信息可以根据如下公式:
风险值=R(A,V,T,E)=R(L(V,T),F(Ia,Va),E);
其中,风险值用于表征第一风险识别信息,R表示风险计算函数,A表示资产,V表示漏洞,T表示威胁,Ia表示风险事件所作用的资产价值,Va表示漏洞严重程度,E表示资产所在的物理环境因素,L表示威胁利用资产的漏洞严重程度导致风险事件发生的可能性,即零信任终端发生多种风险事件中每种风险事件的概率值,F表示风险事件发生后产生的损失,即每种风险事件对应的损失值。
一示例中,可以根据威胁出现的频率、漏洞的状况以及资产所在的物理环境,计算威胁利用漏洞导致风险事件发生的可能性,即:
风险事件发生的可能性=L(威胁出现的频率,漏洞)=L(V,T)。
另一示例中,可以根据资产价值及脆弱性严重程度,计算风险事件一旦发生后的损失,即:
风险事件对应的损失值=F(资产价值,漏洞严重程度)=F(Ia,Va)。
这样,风险值=R(风险事件发生的可能性,风险事件对应的损失值,资产所在物理环境)=R(L(V,T),F(Ia,Va),E)。根据知识图谱中关联存储的漏洞、资产、威胁以及风险,确定零信任终端发生多种第一风险事件中每种第一风险事件的概率值,以及,多种第一风险事件中每种第一风险事件对应的损失值,可以根据不断变化的安全威胁以及不同的应用场景生成对应的生成第一风险识别信息,以对零信任终端进行风险识别,得到零信任终端的风险等级。提升了风险识别的全面性,减少安全隐患。
进一步的,可以采用加权二维矩阵法来计算风险值,根据风险事件发生的可能性与风险事件发生后的损失构建二维关系,如下构建X、Y两个集合:
X={x1,x2,...,xi,...,xm},其中1≤i≤m,xi为正整数;
Y={y1,y2,...,yj,...,yn},其中1≤j≤n,yj为正整数;
其中,所述基于预先构建的知识图谱和所述目标数据,生成第一风险识别信息,包括:
计算所述零信任终端的风险值,根据如下公式:
Zij=(a·xi+b·yj) *ωe
Zij为根据所述目标数据确定的所述零信任终端的风险值,a和b均为常数,ωe为资产所在的物理环境因素,xi为所述零信任终端发生多种第一风险事件中第i种第一风险事件的概率值,yj为所述多种第一风险事件中第i种第一风险事件对应的损失值,i和j均为正整数,所述零信任终端的风险值用于表征所述第一风险识别信息。
这样,在零信任终端向目标资产平台发起访问请求时,获取零信任终端上报的目标数据,在预先基于R-AVT模型使用零信任安全领域数据构建的知识图谱中包括多个实体,每个实体都具有对应的风险、资产、漏洞或威胁属性。根据知识图谱中关联存储的漏洞、资产、威胁以及风险,确定零信任终端发生多种第一风险事件中每种第一风险事件的概率值,以及,多种第一风险事件中每种第一风险事件对应的损失值,可以根据不断变化的安全威胁以及不同的应用场景生成对应的生成第一风险识别信息,以对零信任终端进行风险识别,得到零信任终端的风险等级。提升了风险识别的全面性,减少安全隐患。
参见图5,图5是本发明实施例提供的一种风险识别装置的结构示意图,如图5所示,风险识别装置500包括:
第一获取模块501,用于获取零信任终端的目标数据,所述目标数据包括所述零信任终端的网络地址数据和预设程序的版本信息,所述预设程序为安装于所述零信任终端中的程序;
生成模块502,用于基于预先构建的知识图谱和所述目标数据,生成第一风险识别信息,其中,所述第一风险识别信息包括:所述零信任终端发生多种第一风险事件中每种第一风险事件的概率值,以及,所述多种第一风险事件中每种第一风险事件对应的损失值,所述损失值用于表征所对应的第一风险事件发生的情况下,在所述零信任终端访问目标资产平台时,对所述目标资产平台中的资产的威胁等级,所述知识图谱为风险-资产漏洞威胁R-AVT模型基于目标数据库中的数据构建的知识图谱,所述目标数据库包括与所述第一风险识别信息对应的数据;
第一确定模块503,用于基于所述第一风险识别信息对所述零信任终端进行风险识别,得到所述零信任终端的风险等级。
可选地,风险识别装置500还包括:
第二获取模块,用于获取与所述第一风险识别信息对应的数据,其中,所述与所述第一风险识别信息对应的数据包括零信任终端安全领域中的多个实体,所述多个实体包括至少一个资产、至少一个漏洞和至少一个威胁;
第二确定模块,用于确定所述多个实体中,每个实体对应的属性信息,其中,所述资产的属性信息至少包括网络地址数据、版本信息和安全等级,所述漏洞的属性信息至少包括通用漏洞披露CVE编号、通用漏洞评分系统CVSS评分和漏洞描述,所述威胁的属性信息至少包括攻击方式、攻击目标和攻击者;
构建模块,用于基于所述多个实体的属性值利用R-AVT模型构建知识图谱,其中,所述知识图谱包括所述多个实体之间的关联关系,所述关联关系包括直接关联关系和隐藏关联关系。
可选地,所述构建模块包括:
第一确定子模块,用于将所述多个实体中每一个实体作为一个网络节点,并将所述多个实体中具有关联属性信息的实体对应的网络节点关联,以确定各实体之间的直接关联关系;
第二确定子模块,用于根据所述各实体之间的直接关联关系,确定各实体之间存在的多种间接关联关系,将具有间接关联关系的实体对应的网络节点关联;
第一计算子模块,用于计算所述具有间接关联关系的实体对应的网络节点之间的关系值;
第三确定子模块,用于根据所述关系值,从所述多种间接关联关系中确定所述多个实体之间的隐藏关联关系,存在所述隐藏关联关系的实体对应的网络节点之间的关系值大于目标阈值;
构建子模块,用于基于各实体之间的直接关联关系、各实体之间的隐藏关联关系,利用R-AVT模型构建所述知识图谱。
可选地,所述构建子模块包括:
输入单元,用于将具有关联关系的实体输入至R-AVT模型进行预测,得到发生第二风险事件时的第二风险识别信息,所述第二风险事件为所述威胁利用所述漏洞作用在所述资产时发生的风险事件;
存储单元,用于将所述具有关联关系的实体和所述具有关联关系的实体对应的第二风险识别信息关联存储,得到所述知识图谱。
可选地,生成模块502包括:
匹配子模块,用于根据所述网络地址数据和所述预设程序的版本信息,在所述知识图谱的多个实体中,匹配与所述目标数据对应的第一实体;
第四确定子模块,用于在所述知识图谱的所述多个实体中,确定与所述第一实体存在关联关系的第二实体;
第五确定子模块,用于在所述知识图谱中,根据具有关联关系的所述第一实体和所述第二实体,确定所述目标数据对应的目标第二风险识别信息,所述目标第二风险识别信息为所述第一风险识别信息。
可选地,所述第五确定子模块包括:
获取单元,用于在所述知识图谱中,获取所述第一实体对应的第二风险识别信息,以及所述第二实体对应的第二风险识别信息,所述第一实体对应的第二风险识别信息包括所述零信任终端发生多种第二风险事件中每种第二风险事件的概率值,所述第二实体对应的第二风险识别信息包括所述多种第二风险事件中每种第二风险事件对应的损失值;
确定单元,用于根据第一实体对应的第二风险识别信息和所述第二实体对应的第二风险识别信息,确定所述目标数据对应的目标第二风险识别信息。
可选地,生成模块502包括:
第二计算子模块,用于计算所述目标资产平台中的资产所在的物理环境因素与概率损失值的乘积,得到所述零信任终端的风险值,所述零信任终端的风险值用于表征所述第一风险识别信息,所述概率损失值为所述零信任终端发生多种第一风险事件中第i种第一风险事件的概率值与所述第i种第一风险事件对应的损失值之和,其中,i为正整数。
风险识别装置500为能实现上述风险识别方法的各实施例的各个过程,技术特征一一对应,且能达到相同的技术效果,为避免重复,这里不再赘述。
本发明实施例还提供了一种电子设备,包括:处理器、存储器及存储在存储器上并可在处理器上运行的程序,程序被处理器执行时实现上述风险识别方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
具体的,参见图6,本发明实施例还提供了一种电子设备,包括总线601、收发机602、天线603、总线接口604、处理器605和存储器606。
其中,所述收发机602,用于获取零信任终端的目标数据,所述目标数据包括所述零信任终端的网络地址数据和预设程序的版本信息,所述预设程序为安装于所述零信任终端中的程序;
处理器605,用于基于预先构建的知识图谱和所述目标数据,生成第一风险识别信息,其中,所述第一风险识别信息包括:所述零信任终端发生多种第一风险事件中每种第一风险事件的概率值,以及,所述多种第一风险事件中每种第一风险事件对应的损失值,所述损失值用于表征所对应的第一风险事件发生的情况下,在所述零信任终端访问目标资产平台时,对所述目标资产平台中的资产的威胁等级,所述知识图谱为风险-资产漏洞威胁R-AVT模型基于目标数据库中的数据构建的知识图谱,所述目标数据库包括与所述第一风险识别信息对应的数据;
处理器605,还用于基于所述第一风险识别信息对所述零信任终端进行风险识别,得到所述零信任终端的风险等级。
可选地,收发机602,还用于获取与所述第一风险识别信息对应的数据,其中,所述与所述第一风险识别信息对应的数据包括零信任终端安全领域中的多个实体,所述多个实体包括至少一个资产、至少一个漏洞和至少一个威胁;
处理器605,还用于确定所述多个实体中,每个实体对应的属性信息,其中,所述资产的属性信息至少包括网络地址数据、版本信息和安全等级,所述漏洞的属性信息至少包括通用漏洞披露CVE编号、通用漏洞评分系统CVSS评分和漏洞描述,所述威胁的属性信息至少包括攻击方式、攻击目标和攻击者;
处理器605,还用于基于所述多个实体的属性值利用R-AVT模型构建知识图谱,其中,所述知识图谱包括所述多个实体之间的关联关系,所述关联关系包括直接关联关系和隐藏关联关系。
可选地,所述基于所述多个实体的属性值利用R-AVT模型构建知识图谱,包括:
将所述多个实体中每一个实体作为一个网络节点,并将所述多个实体中具有关联属性信息的实体对应的网络节点关联,以确定各实体之间的直接关联关系;
根据所述各实体之间的直接关联关系,确定各实体之间存在的多种间接关联关系,将具有间接关联关系的实体对应的网络节点关联;
计算所述具有间接关联关系的实体对应的网络节点之间的关系值;
根据所述关系值,从所述多种间接关联关系中确定所述多个实体之间的隐藏关联关系,存在所述隐藏关联关系的实体对应的网络节点之间的关系值大于目标阈值;
基于各实体之间的直接关联关系、各实体之间的隐藏关联关系,利用R-AVT模型构建所述知识图谱。
可选地,所述基于各实体之间的直接关联关系、各实体之间的隐藏关联关系,利用R-AVT模型构建所述知识图谱,包括:
将具有关联关系的实体输入至R-AVT模型进行预测,得到发生第二风险事件时的第二风险识别信息,所述第二风险事件为所述威胁利用所述漏洞作用在所述资产时发生的风险事件;
将所述具有关联关系的实体和所述具有关联关系的实体对应的第二风险识别信息关联存储,得到所述知识图谱。
可选地,所述基于预先构建的知识图谱和所述目标数据,生成第一风险识别信息,包括:
根据所述网络地址数据和所述预设程序的版本信息,在所述知识图谱的多个实体中,匹配与所述目标数据对应的第一实体;
在所述知识图谱的所述多个实体中,确定与所述第一实体存在关联关系的第二实体;
在所述知识图谱中,根据具有关联关系的所述第一实体和所述第二实体,确定所述目标数据对应的目标第二风险识别信息,所述目标第二风险识别信息为所述第一风险识别信息。
可选地,所述在所述知识图谱中,根据具有关联关系的所述第一实体和所述第二实体,确定所述目标数据对应的目标第二风险识别信息,包括:
在所述知识图谱中,获取所述第一实体对应的第二风险识别信息,以及所述第二实体对应的第二风险识别信息,所述第一实体对应的第二风险识别信息包括所述零信任终端发生多种第二风险事件中每种第二风险事件的概率值,所述第二实体对应的第二风险识别信息包括所述多种第二风险事件中每种第二风险事件对应的损失值;
根据第一实体对应的第二风险识别信息和所述第二实体对应的第二风险识别信息,确定所述目标数据对应的目标第二风险识别信息。
可选地,所述基于预先构建的知识图谱和所述目标数据,生成第一风险识别信息,包括:
计算所述目标资产平台中的资产所在的物理环境因素与概率损失值的乘积,得到所述零信任终端的风险值,所述零信任终端的风险值用于表征所述第一风险识别信息,所述概率损失值为所述零信任终端发生多种第一风险事件中第i种第一风险事件的概率值与所述第i种第一风险事件对应的损失值之和,其中,i为正整数。
在图6中,总线架构(用总线601来代表),总线601可以包括任意数量的互联的总线和桥,总线601将包括由处理器605代表的一个或多个处理器和存储器606代表的存储器的各种电路链接在一起。总线601还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口604在总线601和收发机602之间提供接口。收发机602可以是一个元件,也可以是多个元件,比如多个接收器和发送器,提供用于在传输介质上与各种其他装置通信的单元。经处理器605处理的数据通过天线603在无线介质上进行传输,进一步,天线603还接收数据并将数据传送给处理器605。
处理器605负责管理总线601和通常的处理,还可以提供各种功能,包括定时,外围接口,电压调节、电源管理以及其他控制功能。而存储器606可以被用于存储处理器605在执行操作时所使用的数据。
可选的,处理器605可以是中央处理器(Central Processing Unit,CPU)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程逻辑门阵列(Field Programmable Gate Array,FPGA)或复杂可编程逻辑器件(Complex ProgrammableLogic Device,CPLD)。
本发明实施例还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述风险识别方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。其中,所述的计算机可读存储介质,如只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。此外,需要指出的是,本发明实施方式中的方法和装置的范围不限于按所讨论的顺序来执行功能,还可包括根据所涉及的功能按基本同时的方式或按相反的顺序来执行功能,例如,可以按不同于所描述的次序来执行所描述的方法,并且还可以添加、省去、或组合各种步骤。另外,参照某些示例所描述的特征可在其他示例中被组合。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,均属于本发明的保护之内。

Claims (11)

1.一种风险识别方法,其特征在于,包括:
获取零信任终端的目标数据,所述目标数据包括所述零信任终端的网络地址数据和预设程序的版本信息,所述预设程序为安装于所述零信任终端中的程序;
基于预先构建的知识图谱和所述目标数据,生成第一风险识别信息,其中,所述第一风险识别信息包括:所述零信任终端发生多种第一风险事件中每种第一风险事件的概率值,以及,所述多种第一风险事件中每种第一风险事件对应的损失值,所述损失值用于表征所对应的第一风险事件发生的情况下,在所述零信任终端访问目标资产平台时,对所述目标资产平台中的资产的威胁等级,所述知识图谱为风险-资产漏洞威胁R-AVT模型基于目标数据库中的数据构建的知识图谱,所述目标数据库包括与所述第一风险识别信息对应的数据;
基于所述第一风险识别信息对所述零信任终端进行风险识别,得到所述零信任终端的风险等级。
2.根据权利要求1所述的方法,其特征在于,在获取零信任终端的目标数据之前,所述方法还包括:
获取与所述第一风险识别信息对应的数据,其中,所述与所述第一风险识别信息对应的数据包括零信任终端安全领域中的多个实体,所述多个实体包括至少一个资产、至少一个漏洞和至少一个威胁;
确定所述多个实体中,每个实体对应的属性信息,其中,所述资产的属性信息至少包括网络地址数据、版本信息和安全等级,所述漏洞的属性信息至少包括通用漏洞披露CVE编号、通用漏洞评分系统CVSS评分和漏洞描述,所述威胁的属性信息至少包括攻击方式、攻击目标和攻击者;
基于所述多个实体的属性值利用R-AVT模型构建知识图谱,其中,所述知识图谱包括所述多个实体之间的关联关系,所述关联关系包括直接关联关系和隐藏关联关系。
3.根据权利要求2所述的方法,其特征在于,所述基于所述多个实体的属性值利用R-AVT模型构建知识图谱,包括:
将所述多个实体中每一个实体作为一个网络节点,并将所述多个实体中具有关联属性信息的实体对应的网络节点关联,以确定各实体之间的直接关联关系;
根据所述各实体之间的直接关联关系,确定各实体之间存在的多种间接关联关系,将具有间接关联关系的实体对应的网络节点关联;
计算所述具有间接关联关系的实体对应的网络节点之间的关系值;
根据所述关系值,从所述多种间接关联关系中确定所述多个实体之间的隐藏关联关系,存在所述隐藏关联关系的实体对应的网络节点之间的关系值大于目标阈值;
基于各实体之间的直接关联关系、各实体之间的隐藏关联关系,利用R-AVT模型构建所述知识图谱。
4.根据权利要求3所述的方法,其特征在于,所述基于各实体之间的直接关联关系、各实体之间的隐藏关联关系,利用R-AVT模型构建所述知识图谱,包括:
将具有关联关系的实体输入至R-AVT模型进行预测,得到发生第二风险事件时的第二风险识别信息,所述第二风险事件为所述威胁利用所述漏洞作用在所述资产时发生的风险事件;
将所述具有关联关系的实体和所述具有关联关系的实体对应的第二风险识别信息关联存储,得到所述知识图谱。
5.根据权利要求4所述的方法,其特征在于,所述基于预先构建的知识图谱和所述目标数据,生成第一风险识别信息,包括:
根据所述网络地址数据和所述预设程序的版本信息,在所述知识图谱的多个实体中,匹配与所述目标数据对应的第一实体;
在所述知识图谱的所述多个实体中,确定与所述第一实体存在关联关系的第二实体;
在所述知识图谱中,根据具有关联关系的所述第一实体和所述第二实体,确定所述目标数据对应的目标第二风险识别信息,所述目标第二风险识别信息为所述第一风险识别信息。
6.根据权利要求5所述的方法,其特征在于,所述在所述知识图谱中,根据具有关联关系的所述第一实体和所述第二实体,确定所述目标数据对应的目标第二风险识别信息,包括:
在所述知识图谱中,获取所述第一实体对应的第二风险识别信息,以及所述第二实体对应的第二风险识别信息,所述第一实体对应的第二风险识别信息包括所述零信任终端发生多种第二风险事件中每种第二风险事件的概率值,所述第二实体对应的第二风险识别信息包括所述多种第二风险事件中每种第二风险事件对应的损失值;
根据第一实体对应的第二风险识别信息和所述第二实体对应的第二风险识别信息,确定所述目标数据对应的目标第二风险识别信息。
7.根据权利要求1所述的方法,其特征在于,所述基于预先构建的知识图谱和所述目标数据,生成第一风险识别信息,包括:
计算所述目标资产平台中的资产所在的物理环境因素与概率损失值的乘积,得到所述零信任终端的风险值,所述零信任终端的风险值用于表征所述第一风险识别信息,所述概率损失值为所述零信任终端发生多种第一风险事件中第i种第一风险事件的概率值与所述第i种第一风险事件对应的损失值之和,其中,i为正整数。
8.一种风险识别装置,其特征在于,所述装置包括:
第一获取模块,用于获取零信任终端的目标数据,所述目标数据包括所述零信任终端的网络地址数据和预设程序的版本信息,所述预设程序为安装于所述零信任终端中的程序;
生成模块,用于基于预先构建的知识图谱和所述目标数据,生成第一风险识别信息,其中,所述第一风险识别信息包括:所述零信任终端发生多种第一风险事件中每种第一风险事件的概率值,以及,所述多种第一风险事件中每种第一风险事件对应的损失值,所述损失值用于表征所对应的第一风险事件发生的情况下,在所述零信任终端访问目标资产平台时,对所述目标资产平台中的资产的威胁等级,所述知识图谱为风险-资产漏洞威胁R-AVT模型基于目标数据库中的数据构建的知识图谱,所述目标数据库包括与所述第一风险识别信息对应的数据;
第一确定模块,用于基于所述第一风险识别信息对所述零信任终端进行风险识别,得到所述零信任终端的风险等级。
9.一种电子设备,其特征在于,包括收发机和处理器,
所述收发机,用于获取零信任终端的目标数据,所述目标数据包括所述零信任终端的网络地址数据和预设程序的版本信息,所述预设程序为安装于所述零信任终端中的程序;
所述处理器,用于基于预先构建的知识图谱和所述目标数据,生成第一风险识别信息,其中,所述第一风险识别信息包括:所述零信任终端发生多种第一风险事件中每种第一风险事件的概率值,以及,所述多种第一风险事件中每种第一风险事件对应的损失值,所述损失值用于表征所对应的第一风险事件发生的情况下,在所述零信任终端访问目标资产平台时,对所述目标资产平台中的资产的威胁等级,所述知识图谱为风险-资产漏洞威胁R-AVT模型基于目标数据库中的数据构建的知识图谱,所述目标数据库包括与所述第一风险识别信息对应的数据;
所述处理器,还用于基于所述第一风险识别信息对所述零信任终端进行风险识别,得到所述零信任终端的风险等级。
10.一种电子设备,其特征在于,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现如权利要求1至7中任一项所述的风险识别方法的步骤。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述的风险识别方法的步骤。
CN202311544046.5A 2023-11-20 2023-11-20 风险识别方法、装置、电子设备及存储介质 Pending CN117692169A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311544046.5A CN117692169A (zh) 2023-11-20 2023-11-20 风险识别方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311544046.5A CN117692169A (zh) 2023-11-20 2023-11-20 风险识别方法、装置、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN117692169A true CN117692169A (zh) 2024-03-12

Family

ID=90127539

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311544046.5A Pending CN117692169A (zh) 2023-11-20 2023-11-20 风险识别方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN117692169A (zh)

Similar Documents

Publication Publication Date Title
US12047396B2 (en) System and method for monitoring security attack chains
US10587640B2 (en) System and method for attribution of actors to indicators of threats to a computer system and prediction of future threat actions
US9853983B2 (en) Preventing phishing attacks based on reputation of user locations
US10708290B2 (en) System and method for prediction of future threat actions
CN109698819B (zh) 一种网络中的威胁处置管理方法及系统
US20180285797A1 (en) Cognitive scoring of asset risk based on predictive propagation of security-related events
US10104112B2 (en) Rating threat submitter
US20230262077A1 (en) Cybersecurity systems and methods for protecting, detecting, and remediating critical application security attacks
Zahra et al. A generic and lightweight security mechanism for detecting malicious behavior in the uncertain Internet of Things using fuzzy logic-and fog-based approach
An et al. A Novel Differential Game Model‐Based Intrusion Response Strategy in Fog Computing
Mathew et al. Integration of blockchain and collaborative intrusion detection for secure data transactions in industrial IoT: a survey
CN115065512B (zh) 一种账号登录方法、系统、装置、电子设备以及存储介质
Ferreira Malicious URL detection using machine learning algorithms
Jethava et al. Exploring security and trust mechanisms in online social networks: An extensive review
Kumar et al. Detection and prevention of profile cloning in online social networks
Wang et al. Refining cvss-based network security metrics by examining the base scores
Khan A stride model based threat modelling using unified and-or fuzzy operator for computer network security
Palekar et al. IoT authentication model with optimized deep Q network for attack detection and mitigation
Azizpour et al. Nada: new architecture for detecting dos and ddos attacks in fog computing
Chejara et al. Vulnerability analysis in attack graphs using conditional probability
CN117692169A (zh) 风险识别方法、装置、电子设备及存储介质
Chang et al. Information security modeling for the operation of a novel highly trusted network in a virtualization environment
Vutukuru et al. SecureIoT: Novel Machine Learning Algorithms for Detecting and Preventing Attacks on IoT Devices.
Yang et al. Vulnerability ranking based on exploitation and defense graph
Rathi et al. Rule based trust evaluation using fuzzy logic in cloud computing

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination