[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

CN110598404A - 安全风险监控方法、监控装置、服务器和存储介质 - Google Patents

安全风险监控方法、监控装置、服务器和存储介质 Download PDF

Info

Publication number
CN110598404A
CN110598404A CN201910877016.3A CN201910877016A CN110598404A CN 110598404 A CN110598404 A CN 110598404A CN 201910877016 A CN201910877016 A CN 201910877016A CN 110598404 A CN110598404 A CN 110598404A
Authority
CN
China
Prior art keywords
event
level
risk
asset
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910877016.3A
Other languages
English (en)
Inventor
许艾斯
杨勇
甘祥
郑兴
唐文韬
申军利
范宇河
常优
华珊珊
苗霖
何澍
王悦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN201910877016.3A priority Critical patent/CN110598404A/zh
Publication of CN110598404A publication Critical patent/CN110598404A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/18File system types
    • G06F16/1805Append-only file systems, e.g. using logs or journals to store data
    • G06F16/1815Journaling file systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请提供的一种安全风险监控方法、监控装置、服务器和存储介质,该方法包括获取资产设备的基础配置数据,该基础配置数据至少包括与资产设备相关联的至少一个IP地址;获取每个IP地址的告警日志数据,该告警日志数据包括至少一种安全事件的监测数据;针对每个IP地址,基于该IP的至少一种安全事件的监测数据计算该IP地址的风险等级,该风险等级表征安全风险程度;根据每个IP地址的风险等级计算资产设备的风险等级。本申请以资产设备为维度,关联与该资产设备相关的基础配置数据和告警日志数据来全面监控资产设备的风险情况,用于指导安全部防。

Description

安全风险监控方法、监控装置、服务器和存储介质
技术领域
本发明涉及网络安全技术领域,更具体地说,涉及一种安全风险监控方法、监控装置、服务器和存储介质。
背景技术
随着互联网技术的不断发展,企业等大型系统中的计算机等物理的资产设备也日益庞大,网络安全问题越来越得到用户的重视。
因此,如何监控资产设备所面临的安全风险,是本领域技术人员亟需解决的问题。
发明内容
有鉴于此,本发明提供一种安全风险监控方法、监控装置、服务器和存储介质,以监控资产设备的安全风险。
为实现上述目的,一方面,本申请提供了一种安全风险监控方法,所述方法包括:
获取资产设备的基础配置数据,所述基础配置数据至少包括与所述资产设备关联的至少一个IP地址;
获取每个所述IP地址的告警日志数据,所述告警日志数据包括至少一种安全事件的监测数据;
针对每个所述IP地址,基于该IP的至少一种安全事件的监测数据计算该IP地址的风险等级,所述风险等级表征安全风险程度;
根据每个所述IP地址的风险等级计算所述资产设备的风险等级。
在一种可能的实现方式中,所述基础配置数据还包括所述资产设备所属的组织机构,所述基于该IP的至少一种安全事件的监测数据计算该IP地址的风险等级,包括:
确定与所述组织机构相匹配的资产重要等级,所述资产重要等级表征所述资产设备的重要程度;
针对该IP地址的每种安全事件,分析该种安全事件的监测数据至少确定该种安全事件的事件等级和事件权重,所述事件等级表征该种安全事件发生后对所述资产设备的影响程度;
基于所述资产重要等级、每种安全事件的事件等级和事件权重计算该IP地址的风险等级。
在又一种可能的实现方式中,所述至少一种安全事件包括攻击事件,所述分析该种安全事件的监测数据至少确定该种安全事件的事件等级和事件权重,包括:
确定所述攻击事件针对该IP地址的攻击频率;
在所述攻击频率满足预设的攻击条件的情况下,分析所述攻击事件的监测数据确定所述攻击事件的事件等级和事件权重;
所述基于所述资产重要等级、每种安全事件的事件等级和事件权重计算该IP地址的风险等级,包括:
基于所述资产重要等级、所述攻击频率、所述攻击事件的事件等级和事件权重计算该IP地址的第一风险等级。
在又一种可能的实现方式中,所述至少一种安全事件包括漏洞事件,所述分析该种安全事件的监测数据至少确定该种安全事件的事件等级和事件权重,包括:
确定该IP地址的网络位置,并分析所述漏洞事件的监测数据确定所述漏洞事件的传播等级、事件等级和事件权重,所述传播等级表征所述漏洞事件的传播程度;
所述基于所述资产重要等级、每种安全事件的事件等级和事件权重计算该IP地址的风险等级,包括:
基于所述资产重要等级、所述网络位置、所述漏洞事件的传播等级、事件等级和事件权重计算该IP地址的第二风险等级。
在又一种可能的实现方式中,所述至少一种安全事件包括入侵事件,所述分析该种安全事件的监测数据至少确定该种安全事件的事件等级和事件权重,包括:
分析所述入侵事件的监测数据确定所述入侵事件的入侵等级、事件等级和事件权重,所述入侵等级表征所述入侵事件的入侵程度;
所述基于所述资产重要等级、每种安全事件的事件等级和事件权重计算该IP地址的风险等级,包括:
基于所述资产重要等级、所述入侵事件的入侵等级、事件等级和事件权重计算该IP地址的第三风险等级。在又一种可能的实现方式中,所述风险等级包括风险分数,所述根据每个所述IP地址的风险等级计算所述资产设备的风险等级,包括:
将每个所述IP地址的风险分数叠加和作为所述资产设备的风险分数。
在又一种可能的实现方式中,所述方法还包括:
输出所述资产设备的风险分数。
又一方面,本申请还提供了一种安全风险监控装置,所述装置包括:
第一数据获取模块,用于获取资产设备的基础配置数据,所述基础配置数据至少包括与所述资产设备关联的至少一个IP地址;
第二数据获取模块,用于获取每个所述IP地址的告警日志数据,所述告警日志数据包括至少一种安全事件的监测数据;
第一风险计算模块,用于针对每个所述IP地址,基于该IP的至少一种安全事件的监测数据计算该IP地址的风险等级,所述风险等级表征安全风险程度;
第二风险计算模块,用于根据每个所述IP地址的风险等级计算所述资产设备的风险等级。
又一方面,本申请还提供了一种服务器,包括:至少一个存储器和至少一个处理器;所述存储器存储有程序,所述处理器调用所述存储器存储的程序,所述程序用于实现所述的安全风险监控方法。
又一方面,本申请还提供了一种存储介质,所述存储介质中存储有计算机可执行指令,所述计算机可执行指令用于执行所述的安全风险监控方法。
本申请提供的一种安全风险监控方法、监控装置、服务器和存储介质,该方法包括获取资产设备的基础配置数据,该基础配置数据至少包括与资产设备相关联的至少一个IP地址;获取每个IP地址的告警日志数据,该告警日志数据包括至少一种安全事件的监测数据;针对每个IP地址,基于该IP的至少一种安全事件的监测数据计算该IP地址的风险等级,该风险等级表征安全风险程度;根据每个IP地址的风险等级计算资产设备的风险等级。本申请以资产设备为维度,关联与该资产设备相关的基础配置数据和告警日志数据来全面监控资产设备的风险情况,用于指导安全部防。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的一种服务器的硬件结构框图;
图2为本申请实施例提供的一种安全风险监控方法的方法流程图;
图3为本申请实施例提供的一种安全风险监控方法的应用场景图;
图4为本申请实施例提供的一种安全风险监控方法的信令流程图;
图5为本申请实施例提供的一种安全风险监控装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
现阶段,为监控资产设备的安全风险,大多数仅通过一项或同一类型的几项安全指标来评估,这往往容易造成风险监控的盲点,对于资产设备整体风险情况无法把控。
当然,增加评估的安全指标必定能够减少风险监控的盲点,但是在资产设备诸如内存、带宽等物理资源有限的前提下,如何兼顾风险监控全面性确定有效安全指标是需要本领域技术人员深入研究的。
本申请的申请人经过大量试验发现,以资产设备为维度,关联与该资产设备相关的基础配置数据和告警日志数据可以全面监控资产设备的风险情况,用于指导安全部防。
本申请实施例提供的一种安全风险监控方法可以应用于服务器(如安全风险监控服务器或者其他专门设置的服务器)。
图1为本申请实施例提供的一种服务器的硬件结构框图,参照图1,服务器的硬件结构可以包括:至少一个存储器11,至少一个通信接口12,至少一个存储器13和至少一个通信总线14;
在本发明实施例中,处理器11、通信接口12、存储器13、通信总线14的数量为至少一个,且处理器11、通信接口12、存储器13通过通信总线14完成相互间的通信;
处理器11可能是一个中央处理器CPU、GPU(Graphics Processing Unit,图形处理器),或者是特定集成电路ASIC(Application Specific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路等;
存储器13可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatilememory)等,例如至少一个磁盘存储器;
其中,存储器存储有程序,处理器可以调用存储器存储的程序,程序用于:
获取资产设备的基础配置数据,基础配置数据至少包括与资产设备关联的至少一个IP地址;
获取每个IP地址的告警日志数据,告警日志数据包括至少一种安全事件的监测数据;
针对每个IP地址,基于该IP的至少一种安全事件的监测数据计算该IP地址的风险等级,风险等级表征安全风险程度;
根据每个IP地址的风险等级计算资产设备的风险等级。
可选的,程序的细化功能和扩展功能可参照下文描述。
图2为本申请实施例提供的一种安全风险监控方法的方法流程图。参照图2,该方法包括如下步骤:
步骤S101:获取资产设备的基础配置数据,基础配置数据至少包括与资产设备关联的至少一个IP地址。
本申请实施例中,资产设备以机器ID为维度进行定义,即一个资产设备为一台机器。而由于一个资产设备的IP地址可能会发生变化,即一个资产设备可能有多个IP地址,因此综合分析与该资产设备相关联的所有IP地址的安全风险才可以全面监控该资产设备的安全风险。
具体的,可以从资产设备的资源管理池中获取该资产设备的基础配置数据。当然,除与该资产设备相关联的至少一个IP地址外,还可以从基础配置数据中获得该资产设备其他的属性信息,比如所属的组织机构,设备的所有人等,本申请实施例对此不做限定。
步骤S102:获取每个IP地址的告警日志数据,告警日志数据包括至少一种安全事件的监测数据。
本申请实施例中,针对每个IP地址,可以从该IP地址的运行日志中抓取一定时间的告警日志数据,而告警日志数据可以按照安全事件的种类具体划分为攻击事件的资产攻击数据、漏洞事件的资产脆弱数据和入侵事件的资产入侵数据。
具体的,资产攻击数据是指外部威胁对于资产设备在web应用层面上的攻击尝试数据;资产脆弱数据一方面包含资产设备上web应用漏洞数据、主机软件漏洞数据、配置缺陷数据和人为违规操作所带来的漏洞数据,另一方面还包括外部威胁情报数据(实时最新在互联网上曝光的漏洞信息,可以通过匹配软件版本、漏洞分析来确定);资产入侵数据则是指外部威胁成功利用资产设备的脆弱性入侵,并在资产设备上开设后门、放置木马、病毒、拖取敏感数据等。
其中,对于资产攻击数据,这是在未发现后门与漏洞的情况下,资产设备不存在黑客已攻击成功的危险或潜在被黑客攻击的风险,此时资产设备所面对的是一些黑客的探测行为,攻击情况可以通过攻击拦截设备所发现。
对于资产脆弱数据,这是在未发现后门、却发现漏洞的情况下,资产不存在黑客已攻击成功的危险、但存在潜在被黑客攻击的风险,此时资产设备的漏洞可以通过漏洞检测软件和外部威胁情报所发现。
对于资产入侵数据,这是在发现后门的情况下,资产设备已经被黑客攻击成功,存在数据泄露、网站瘫痪、页面篡改等风险,此时资产设备的入侵情况可以通过跟踪出入流量、攻击链等方式发现。
步骤S103:针对每个IP地址,基于该IP的至少一种安全事件的监测数据计算该IP地址的风险等级,风险等级表征安全风险程度。
本申请实施例中,针对一个IP地址的不同种类安全事件的监测数据(即上述资产攻击数据、资产脆弱数据和资产入侵数据),由于其代表的风险程度不同,因此可以采用不同的计算体系进行计算。
具体的,资产攻击数据可以进入日常计算体系计算攻击事件的风险等级,资产脆弱数据可以进入脆弱性计算体系计算漏洞事件的风险等级,资产入侵数据则可以进入事件计算体系计算入侵事件的风险等级。
最后,综合一个IP地址的不同安全事件的风险等级,来确定该IP地址的风险等级。
需要说明的是,上述日常计算体系、脆弱性计算体系和入侵计算体系中各自涉及的安全事件的计算指标,本实施例并不限定。而风险等级可以为一个阶梯性级别,比如一级、二级和三级,还可以为风险分数,本实施例对此不做限定。
以风险等级为阶梯性级别为例,继续对确定一个IP地址的风险等级的过程进行说明:
如果监测到该IP地址的安全事件为攻击事件、漏洞事件和入侵事件中的任意一种,则可以将该安全事件的风险等级确定为该IP地址的风险等级;
如果监测到该IP地址的安全事件为攻击事件、漏洞事件和入侵事件中的多种,则可以将多个安全事件的风险等级中的最高等级作为该IP地址的风险等级。
再以风险等级为风险分数为例,继续对确定一个IP地址的风险等级的过程进行说明:
如果监测到该IP地址的安全事件为攻击事件、漏洞事件和入侵事件中的任意一种,则可以将该安全事件的风险分数确定为该IP地址的风险分数;
如果监测到该IP地址的安全事件为攻击事件、漏洞事件和入侵事件中的多种,则可以将多个安全事件的风险分数叠加和作为该IP地址的风险分数。为方便理解,以下以风险分数为例说明计算IP地址的风险等级的过程。
在其他一些实施例中,为准确评估IP地址的风险等级,基础配置数据还包括资产设备所属的组织机构,步骤S103中“基于该IP的至少一种安全事件的监测数据计算该IP地址的风险等级”可以采用如下步骤:
确定与组织机构相匹配的资产重要等级,资产重要等级表征资产设备的重要程度;针对该IP地址的每种安全事件,分析该种安全事件的监测数据至少确定该种安全事件的事件等级和事件权重,事件等级表征该种安全事件发生后对资产设备的影响程度;基于资产重要等级、每种安全事件的事件等级和事件权重计算该IP地址的风险等级。
本申请实施例中,由于不同组织机构在资产设备上所部署的业务和数据不同,因此可以依据业务和数据的重要程度、以及业务和数据造成损失后的严重程度对资产设备进行等级划分,具体可以包含核心、重点和普通三个等级。当然,本实施例中对于资产设备的等级划分规则并不限定,可以根据实际需要进行设置。
此外,对于攻击事件、漏洞事件和入侵事件中的任意一种安全事件,可以分析该安全事件的监测数据来确定该安全事件发生后对资产设备的影响程度。具体的,通过分析该安全事件的类型、手段和事件发生后对资产设备造成的影响,为该安全事件匹配相应的事件等级。当然,本实施例中对于事件等级匹配规则并不限定,可以根据时间需要进行设置。
最后,对于攻击事件、漏洞事件和入侵事件中的任意一种安全事件,可以根据资产重要等级、该安全事件的事件等级、该安全事件的事件权重来计算该IP地址在该安全事件下的风险等级,再综合IP地址在所有安全事件的风险等级计算该IP地址的风险等级。
继续以风险等级为风险分数为例,继续对确定一个IP地址的风险等级的过程进行说明:
资产重要等级中核心、重点和普通三个等级分别对应等级分数a1、a2和a3;
攻击事件的事件等级中高、中和低三个等级分别对应等级分数b1、b2和b3,其事件权重为e1;
漏洞事件的事件等级中高、中和低三个等级分别对应等级分数c1、c2和c3,其事件权重为e2;
入侵事件的事件等级中高、中和低三个等级分别对应等级分数d1、d2和d3,其事件权重为e3。
假设监测到IP地址的安全事件包括攻击事件、漏洞事件和入侵事件,则此时IP地址的风险分数=资产重要等级(核心:a1,重点:a2,普通:a3)*攻击事件的事件等级(高:b1,中:b2,低:b3)*攻击事件的事件权重e1+资产重要等级(核心:a1,重点:a2,普通:a3)*漏洞事件的事件等级(高:c1,中:c2,低:c3)*漏洞事件的事件权重e2+资产重要等级(核心:a1,重点:a2,普通:a3)*入侵事件的事件等级(高:d1,中:d2,低:d3)*入侵事件的事件权重e3。
在其他一些实施例中,在精确计算IP地址在攻击事件下的风险等级,“分析该种安全事件的监测数据至少确定该种安全事件的事件等级和事件权重”包括如下步骤:
确定攻击事件针对该IP地址的攻击频率;在攻击频率满足预设的攻击条件的情况下,分析攻击事件的监测数据确定攻击事件的事件等级和事件权重;
此时,“基于资产重要等级、每种安全事件的事件等级和事件权重计算该IP地址的风险等级”包括如下步骤:
基于资产重要等级、攻击频率、攻击事件的事件等级和事件权重计算该IP地址的第一风险等级。
本申请实施例中,为确定攻击频率,可以统计web攻击事件对该IP地址最近一定时间内的攻击次数。如果攻击频率大于预设的频率阈值,则通过匹配的方式确定攻击事件的事件等级和事件权重。此时该IP地址在攻击事件下的风险分数(即第一风险分数)=资产重要等级(核心:a1,重点:a2,普通:a3)*攻击频率f*攻击事件的事件等级(高:b1,中:b2,低:b3)*攻击事件的事件权重e1。
当然,如果攻击频率不大于预设的频率阈值,则认为IP地址在攻击事件下的风险分数(即第一风险分数)=0。当然,还可以具体为不同攻击频率设置相应的第一风险分数,本实施例对此不做限定。
在其他一些实施例中,为精确计算IP地址在漏洞事件下的风险等级,“分析该种安全事件的监测数据至少确定该种安全事件的事件等级和事件权重”包括如下步骤:
确定该IP地址的网络位置,并分析漏洞事件的监测数据确定漏洞事件的传播等级、事件等级和事件权重,传播等级表征漏洞事件的传播程度;
此时,“基于资产重要等级、每种安全事件的事件等级和事件权重计算该IP地址的风险等级”包括如下步骤:
基于资产重要等级、网络位置、漏洞事件的传播等级、事件等级和事件权重计算该IP地址的第二风险等级。
本申请实施例中,网络位置分为内网和外网,相应的外网漏洞是指通过外部网络可以探测到的漏洞,比如外网可以探测到的0day/1day漏洞、web应用漏洞、主机软件漏洞和人为违规操作所带来的漏洞等;内网漏洞是指外部网络无法探测到的漏洞,比如0day/1day漏洞、主机软件漏洞等。
此外,在确定漏洞事件的传播等级时,可以通过对管理区域内所有资产设备进行内部扫描获得该漏洞事件的传播范围,比如超过50%的资产设备具有该漏洞事件,则认为是大范围传播,反之则认为是小范围传播。
网络位置中内网和外网分别对应等级分数g1和g2;
传播等级中大范围传播和小范围传播分别对应等级分数h1和h2;
此时该IP地址在漏洞事件下的风险分数(即第二风险分数)=资产重要等级(核心:a1,重点:a2,普通:a3)*网络位置(内网:g1,外网:g2)*漏洞事件的传播等级(大范围传播:h1,小范围传播:h2)*漏洞事件的事件等级(高:c1,中:c2,低:c3)*漏洞事件的事件权重e2。
在其他一些实施例中,为精确计算IP地址在入侵事件下的风险等级,“分析该种安全事件的监测数据至少确定该种安全事件的事件等级和事件权重”包括如下步骤:
分析入侵事件的监测数据确定入侵事件的入侵等级、事件等级和事件权重,入侵等级表征入侵事件的入侵程度;
此时,“基于资产重要等级、每种安全事件的事件等级和事件权重计算该IP地址的风险等级”包括如下步骤:
基于资产重要等级、入侵事件的入侵等级、事件等级和事件权重计算该IP地址的第三风险等级。
本申请实施例中,入侵事件的入侵等级分为已确认的造成损失(比如数据泄露、网站瘫痪、页面被篡改)和入侵成功但未造成损失(比如黑客入侵、DDoS、CC)。
入侵等级中造成损失和未造成损失分别对应等级分数i1和i2;
此时,该IP地址在入侵事件下的风险分数(即第三风险分数)=资产重要等级(核心:a1,重点:a2,普通:a3)*入侵事件的入侵等级(造成损失:i1,未造成损失i2)*入侵事件的事件等级(高:d1,中:d2,低:d3)*入侵事件的事件权重e3。
步骤S104:根据每个IP地址的风险等级计算资产设备的风险等级。
本申请实施例中,综合与资产设备关联的所有IP地址的风险等级确定该资产设备的风险等级。
以风险等级为阶梯性级别为例,对确定资产设备的风险等级的过程进行说明:
如果资产设备关联的IP地址为一个,则可以将该IP地址的风险等级确定为该资产设备的风险等级;
如果资产设备关联的IP地址为多个,则可以将多个IP地址的风险等级中的最高等级作为该资产设备的风险等级,还可以将多个IP地址的风险等级中出现次数最多的等级作为该资产设备的风险等级,本实施例对此不做限定。
再以风险等级为风险分数为例,继续对确定资产设备的风险等级的过程进行说明:
如果资产设备关联的IP地址为一个,则可以将该IP地址的风险分数确定为该资产设备的风险分数;
如果资产设备关联的IP地址为多个,则可以将多个IP地址的风险分数的叠加和作为该资产设备的风险分数。
进一步,可以将该资产设备的风险分数输出至用户端,使用户基于该风险分数对资产设备制定相应的安全部防策略。
图3为本申请实施例提供的应用场景图,在该应用场景中服务器与多个资产设备通信连接,对于每个资产设备来说,服务器通过监测该资产设备的安全事件来监控资产设备的安全风险。为方便本领域的技术人员可以清楚明白的了解本申请实施例的内容,现基于图3的应用场景图,本申请实施例通过以下监控一个资产设备的场景实例进行进一步说明,该场景实例的信令流程图如图4所示,包括如下步骤:
步骤S201:服务器获取与资产设备关联的至少一个IP地址和资产设备所属的组织机构。
步骤S202:服务器获取IP地址的告警日志数据,告警日志数据包括至少一种安全事件的监测数据。
步骤S203:服务器确定与组织机构相匹配的资产重要等级。
步骤S204:服务器确定攻击事件针对IP地址的攻击频率;在攻击频率满足预设的攻击条件的情况下,分析攻击事件的监测数据确定攻击事件的事件等级和事件权重;基于资产重要等级、攻击频率、攻击事件的事件等级和事件权重计算IP地址的第一风险分数。
步骤S205:服务器确定IP地址的网络位置,并分析漏洞事件的监测数据确定漏洞事件的传播等级、事件等级和事件权重,传播等级表征漏洞事件的传播程度;基于资产重要等级、网络位置、漏洞事件的传播等级、事件等级和事件权重计算该IP地址的第二风险分数。
步骤S206:服务器分析入侵事件的监测数据确定入侵事件的入侵等级、事件等级和事件权重,入侵等级表征入侵事件的入侵程度;基于资产重要等级、入侵事件的入侵等级、事件等级和事件权重计算IP地址的第三风险分数。
步骤S207:服务器将IP地址的第一风险分数、第二风险分数和第三风险分数的叠加和作为IP地址的风险分数。
步骤S208:服务器将每个IP地址的风险分数叠加和作为资产设备的风险分数。
步骤S209:服务器输出资产设备的风险分数至用户端。
步骤S210:用户端显示资产设备的风险分数,以使用户基于该风险分数对资产设备制定相应的安全部防策略。
下面对本申请实施例提供的安全风险监控装置进行介绍,下文描述的安全风险监控装置可认为是,服务器为实现本申请实施例提供的安全风险监控方法所需设置的程序模块。下文描述的安全风险监控装置内容,可与上文描述的安全风险监控方法内容相互参照。
图5为本申请实施例提供的安全风险监控装置的结构示意图。参照图5,该装置包括:
第一数据获取模块101,用于获取资产设备的基础配置数据,基础配置数据至少包括与资产设备关联的至少一个IP地址;
第二数据获取模块102,用于获取每个IP地址的告警日志数据,告警日志数据包括至少一种安全事件的监测数据;
第一风险计算模块103,用于针对每个IP地址,基于该IP的至少一种安全事件的监测数据计算该IP地址的风险等级,风险等级表征安全风险程度;
第二风险计算模块104,用于根据每个IP地址的风险等级计算资产设备的风险等级。
在本申请实施例提供的一种安全风险监控装置中,优选的,基础配置数据还包括资产设备所属的组织机构,用于基于该IP的至少一种安全事件的监测数据计算该IP地址的风险等级的第一风险计算模块103具体用于:
确定与组织机构相匹配的资产重要等级,资产重要等级表征资产设备的重要程度;针对该IP地址的每种安全事件,分析该种安全事件的监测数据至少确定该种安全事件的事件等级和事件权重,事件等级表征该种安全事件发生后对资产设备的影响程度;基于资产重要等级、每种安全事件的事件等级和事件权重计算该IP地址的风险等级。
在本申请实施例提供的一种安全风险监控装置中,优选的,至少一种安全事件包括攻击事件,用于分析该种安全事件的监测数据至少确定该种安全事件的事件等级和事件权重的第一风险计算模块103具体用于:
确定攻击事件针对该IP地址的攻击频率;在攻击频率满足预设的攻击条件的情况下,分析攻击事件的监测数据确定攻击事件的事件等级和事件权重;
用于基于资产重要等级、每种安全事件的事件等级和事件权重计算该IP地址的风险等级的第一风险计算模块103具体用于:
基于资产重要等级、攻击频率、攻击事件的事件等级和事件权重计算该IP地址的第一风险等级。
在本申请实施例提供的一种安全风险监控装置中,优选的,至少一种安全事件包括漏洞事件,用于分析该种安全事件的监测数据至少确定该种安全事件的事件等级和事件权重的第一风险计算模块103具体用于:
确定该IP地址的网络位置,并分析漏洞事件的监测数据确定漏洞事件的传播等级、事件等级和事件权重,传播等级表征漏洞事件的传播程度;
用于基于资产重要等级、每种安全事件的事件等级和事件权重计算该IP地址的风险等级的第一风险计算模块103具体用于:
基于资产重要等级、网络位置、漏洞事件的传播等级、事件等级和事件权重计算该IP地址的第二风险等级。
在本申请实施例提供的一种安全风险监控装置中,优选的,至少一种安全事件包括入侵事件,用于分析该种安全事件的监测数据至少确定该种安全事件的事件等级和事件权重的第一风险计算模块103具体用于:
分析入侵事件的监测数据确定入侵事件的入侵等级、事件等级和事件权重,入侵等级表征入侵事件的入侵程度;
用于基于资产重要等级、每种安全事件的事件等级和事件权重计算该IP地址的风险等级的第一风险计算模块103具体用于:
基于资产重要等级、入侵事件的入侵等级、事件等级和事件权重计算该IP地址的第三风险等级。
在本申请实施例提供的一种安全风险监控装置中,优选的,风险等级包括风险分数,第二风险计算模块104具体用于:
将每个IP地址的风险分数叠加和作为资产设备的风险分数。
在本申请实施例提供的一种安全风险监控装置中,优选的,第二风险计算模块104还用于:
输出资产设备的风险分数。
本发明实施例还提供一种存储介质,该存储介质中存储有计算机可执行指令,所述计算机可执行指令用于执行所述的安全风险监控方法。
可选的,指令的细化功能和扩展功能可参照上文描述。
本申请实施例提供的一种安全风险监控方法、监控装置、服务器和存储介质,该方法包括获取资产设备的基础配置数据,该基础配置数据至少包括与资产设备相关联的至少一个IP地址;获取每个IP地址的告警日志数据,该告警日志数据包括至少一种安全事件的监测数据;针对每个IP地址,基于该IP的至少一种安全事件的监测数据计算该IP地址的风险等级,该风险等级表征安全风险程度;根据每个IP地址的风险等级计算资产设备的风险等级。本申请以资产设备为维度,关联与该资产设备相关的基础配置数据和告警日志数据来全面监控资产设备的风险情况,用于指导安全部防。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的核心思想或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种安全风险监控方法,其特征在于,所述方法包括:
获取资产设备的基础配置数据,所述基础配置数据至少包括与所述资产设备关联的至少一个IP地址;
获取每个所述IP地址的告警日志数据,所述告警日志数据包括至少一种安全事件的监测数据;
针对每个所述IP地址,基于该IP的至少一种安全事件的监测数据计算该IP地址的风险等级,所述风险等级表征安全风险程度;
根据每个所述IP地址的风险等级计算所述资产设备的风险等级。
2.根据权利要求1所述的方法,其特征在于,所述基础配置数据还包括所述资产设备所属的组织机构,所述基于该IP的至少一种安全事件的监测数据计算该IP地址的风险等级,包括:
确定与所述组织机构相匹配的资产重要等级,所述资产重要等级表征所述资产设备的重要程度;
针对该IP地址的每种安全事件,分析该种安全事件的监测数据至少确定该种安全事件的事件等级和事件权重,所述事件等级表征该种安全事件发生后对所述资产设备的影响程度;
基于所述资产重要等级、每种安全事件的事件等级和事件权重计算该IP地址的风险等级。
3.根据权利要求2所述的方法,其特征在于,所述至少一种安全事件包括攻击事件,所述分析该种安全事件的监测数据至少确定该种安全事件的事件等级和事件权重,包括:
确定所述攻击事件针对该IP地址的攻击频率;
在所述攻击频率满足预设的攻击条件的情况下,分析所述攻击事件的监测数据确定所述攻击事件的事件等级和事件权重;
所述基于所述资产重要等级、每种安全事件的事件等级和事件权重计算该IP地址的风险等级,包括:
基于所述资产重要等级、所述攻击频率、所述攻击事件的事件等级和事件权重计算该IP地址的第一风险等级。
4.根据权利要求2所述的方法,其特征在于,所述至少一种安全事件包括漏洞事件,所述分析该种安全事件的监测数据至少确定该种安全事件的事件等级和事件权重,包括:
确定该IP地址的网络位置,并分析所述漏洞事件的监测数据确定所述漏洞事件的传播等级、事件等级和事件权重,所述传播等级表征所述漏洞事件的传播程度;
所述基于所述资产重要等级、每种安全事件的事件等级和事件权重计算该IP地址的风险等级,包括:
基于所述资产重要等级、所述网络位置、所述漏洞事件的传播等级、事件等级和事件权重计算该IP地址的第二风险等级。
5.根据权利要求2所述的方法,其特征在于,所述至少一种安全事件包括入侵事件,所述分析该种安全事件的监测数据至少确定该种安全事件的事件等级和事件权重,包括:
分析所述入侵事件的监测数据确定所述入侵事件的入侵等级、事件等级和事件权重,所述入侵等级表征所述入侵事件的入侵程度;
所述基于所述资产重要等级、每种安全事件的事件等级和事件权重计算该IP地址的风险等级,包括:
基于所述资产重要等级、所述入侵事件的入侵等级、事件等级和事件权重计算该IP地址的第三风险等级。
6.根据权利要求1所述的方法,其特征在于,所述风险等级包括风险分数,所述根据每个所述IP地址的风险等级计算所述资产设备的风险等级,包括:
将每个所述IP地址的风险分数叠加和作为所述资产设备的风险分数。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
输出所述资产设备的风险分数。
8.一种安全风险监控装置,其特征在于,所述装置包括:
第一数据获取模块,用于获取资产设备的基础配置数据,所述基础配置数据至少包括与所述资产设备关联的至少一个IP地址;
第二数据获取模块,用于获取每个所述IP地址的告警日志数据,所述告警日志数据包括至少一种安全事件的监测数据;
第一风险计算模块,用于针对每个所述IP地址,基于该IP的至少一种安全事件的监测数据计算该IP地址的风险等级,所述风险等级表征安全风险程度;
第二风险计算模块,用于根据每个所述IP地址的风险等级计算所述资产设备的风险等级。
9.一种服务器,其特征在于,包括:至少一个存储器和至少一个处理器;所述存储器存储有程序,所述处理器调用所述存储器存储的程序,所述程序用于实现如权利要求1-7任意一项所述的安全风险监控方法。
10.一种存储介质,其特征在于,所述存储介质中存储有计算机可执行指令,所述计算机可执行指令用于执行如权利要求1-7任意一项所述的安全风险监控方法。
CN201910877016.3A 2019-09-17 2019-09-17 安全风险监控方法、监控装置、服务器和存储介质 Pending CN110598404A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910877016.3A CN110598404A (zh) 2019-09-17 2019-09-17 安全风险监控方法、监控装置、服务器和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910877016.3A CN110598404A (zh) 2019-09-17 2019-09-17 安全风险监控方法、监控装置、服务器和存储介质

Publications (1)

Publication Number Publication Date
CN110598404A true CN110598404A (zh) 2019-12-20

Family

ID=68860181

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910877016.3A Pending CN110598404A (zh) 2019-09-17 2019-09-17 安全风险监控方法、监控装置、服务器和存储介质

Country Status (1)

Country Link
CN (1) CN110598404A (zh)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111404903A (zh) * 2020-03-09 2020-07-10 深信服科技股份有限公司 一种日志处理方法、装置、设备及存储介质
CN112163753A (zh) * 2020-09-22 2021-01-01 杭州安恒信息技术股份有限公司 资产风险评估方法、装置、计算机设备和存储介质
CN112333288A (zh) * 2021-01-04 2021-02-05 三盟科技股份有限公司 一种智慧学堂数据安全防护方法、系统及可读存储介质
CN112365161A (zh) * 2020-11-12 2021-02-12 北京中电普华信息技术有限公司 风险监测方法及装置
CN112491805A (zh) * 2020-11-04 2021-03-12 深圳供电局有限公司 一种应用于云平台的网络安全设备管理系统
CN112784281A (zh) * 2021-01-21 2021-05-11 恒安嘉新(北京)科技股份公司 一种工业互联网的安全评估方法、装置、设备及存储介质
CN113159638A (zh) * 2021-05-17 2021-07-23 国网山东省电力公司电力科学研究院 一种智能变电站分层健康度指数评估方法及装置
CN113965356A (zh) * 2021-09-28 2022-01-21 新华三信息安全技术有限公司 一种安全事件分析方法、装置、设备及机器可读存储介质
CN114866299A (zh) * 2022-04-22 2022-08-05 南方电网数字电网研究院有限公司 网络数据转发方法、装置、计算机设备和存储介质
CN117319077A (zh) * 2023-11-09 2023-12-29 青海秦楚信息科技有限公司 一种网络安全应急联动系统及方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101610174A (zh) * 2009-07-24 2009-12-23 深圳市永达电子股份有限公司 一种日志关联分析系统与方法
CN105471623A (zh) * 2015-11-16 2016-04-06 中国烟草总公司江苏省公司 一种基于模糊场景的关键ip地址安全报警关联分析方法
CN108234435A (zh) * 2016-12-22 2018-06-29 上海行邑信息科技有限公司 一种基于ip分类的自动检测方法
CN108667828A (zh) * 2018-04-25 2018-10-16 咪咕文化科技有限公司 一种风险控制方法、装置及存储介质
CN109831465A (zh) * 2019-04-12 2019-05-31 重庆天蓬网络有限公司 一种基于大数据日志分析的网站入侵检测方法
CN109861985A (zh) * 2019-01-02 2019-06-07 平安科技(深圳)有限公司 基于风险等级划分的ip风控方法、装置、设备和存储介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101610174A (zh) * 2009-07-24 2009-12-23 深圳市永达电子股份有限公司 一种日志关联分析系统与方法
CN105471623A (zh) * 2015-11-16 2016-04-06 中国烟草总公司江苏省公司 一种基于模糊场景的关键ip地址安全报警关联分析方法
CN108234435A (zh) * 2016-12-22 2018-06-29 上海行邑信息科技有限公司 一种基于ip分类的自动检测方法
CN108667828A (zh) * 2018-04-25 2018-10-16 咪咕文化科技有限公司 一种风险控制方法、装置及存储介质
CN109861985A (zh) * 2019-01-02 2019-06-07 平安科技(深圳)有限公司 基于风险等级划分的ip风控方法、装置、设备和存储介质
CN109831465A (zh) * 2019-04-12 2019-05-31 重庆天蓬网络有限公司 一种基于大数据日志分析的网站入侵检测方法

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111404903A (zh) * 2020-03-09 2020-07-10 深信服科技股份有限公司 一种日志处理方法、装置、设备及存储介质
CN111404903B (zh) * 2020-03-09 2022-08-09 深信服科技股份有限公司 一种日志处理方法、装置、设备及存储介质
WO2022062416A1 (zh) * 2020-09-22 2022-03-31 杭州安恒信息技术股份有限公司 资产风险评估方法、装置、计算机设备和存储介质
CN112163753A (zh) * 2020-09-22 2021-01-01 杭州安恒信息技术股份有限公司 资产风险评估方法、装置、计算机设备和存储介质
CN112491805A (zh) * 2020-11-04 2021-03-12 深圳供电局有限公司 一种应用于云平台的网络安全设备管理系统
CN112365161A (zh) * 2020-11-12 2021-02-12 北京中电普华信息技术有限公司 风险监测方法及装置
CN112333288A (zh) * 2021-01-04 2021-02-05 三盟科技股份有限公司 一种智慧学堂数据安全防护方法、系统及可读存储介质
CN112333288B (zh) * 2021-01-04 2021-04-27 三盟科技股份有限公司 一种智慧学堂数据安全防护方法、系统及可读存储介质
CN112784281A (zh) * 2021-01-21 2021-05-11 恒安嘉新(北京)科技股份公司 一种工业互联网的安全评估方法、装置、设备及存储介质
CN113159638B (zh) * 2021-05-17 2023-04-18 国网山东省电力公司电力科学研究院 一种智能变电站分层健康度指数评估方法及装置
CN113159638A (zh) * 2021-05-17 2021-07-23 国网山东省电力公司电力科学研究院 一种智能变电站分层健康度指数评估方法及装置
CN113965356A (zh) * 2021-09-28 2022-01-21 新华三信息安全技术有限公司 一种安全事件分析方法、装置、设备及机器可读存储介质
CN113965356B (zh) * 2021-09-28 2023-12-26 新华三信息安全技术有限公司 一种安全事件分析方法、装置、设备及机器可读存储介质
CN114866299A (zh) * 2022-04-22 2022-08-05 南方电网数字电网研究院有限公司 网络数据转发方法、装置、计算机设备和存储介质
CN114866299B (zh) * 2022-04-22 2024-03-26 南方电网数字电网研究院有限公司 网络数据转发方法、装置、计算机设备和存储介质
CN117319077A (zh) * 2023-11-09 2023-12-29 青海秦楚信息科技有限公司 一种网络安全应急联动系统及方法
CN117319077B (zh) * 2023-11-09 2024-04-16 青海秦楚信息科技有限公司 一种网络安全应急联动系统及方法

Similar Documents

Publication Publication Date Title
CN110598404A (zh) 安全风险监控方法、监控装置、服务器和存储介质
US12047396B2 (en) System and method for monitoring security attack chains
CN109922075B (zh) 网络安全知识图谱构建方法和装置、计算机设备
Hoque et al. An implementation of intrusion detection system using genetic algorithm
US10587640B2 (en) System and method for attribution of actors to indicators of threats to a computer system and prediction of future threat actions
US10708290B2 (en) System and method for prediction of future threat actions
CN113542279B (zh) 一种网络安全风险评估方法、系统及装置
CN105009132A (zh) 基于置信因子的事件关联
Alazab et al. Using response action with intelligent intrusion detection and prevention system against web application malware
CN107733725B (zh) 一种安全预警方法、装置、设备及存储介质
CN112532631A (zh) 一种设备安全风险评估方法、装置、设备及介质
CN110868403B (zh) 一种识别高级持续性攻击apt的方法及设备
KR101692982B1 (ko) 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템
US20210194915A1 (en) Identification of potential network vulnerability and security responses in light of real-time network risk assessment
CN109245944A (zh) 网络安全评估方法及系统
CN105141573A (zh) 一种基于web访问合规性审计的安全防护方法和系统
JP5656266B2 (ja) ブラックリスト抽出装置、抽出方法および抽出プログラム
CN113411297A (zh) 基于属性访问控制的态势感知防御方法及系统
Le et al. A threat computation model using a Markov Chain and common vulnerability scoring system and its application to cloud security
US10367835B1 (en) Methods and apparatus for detecting suspicious network activity by new devices
CN115766235A (zh) 一种网络安全预警系统及预警方法
Stiawan et al. Characterizing network intrusion prevention system
JP2023550270A (ja) リソース制約のあるデバイスのための適応型セキュリティ
JP2005316779A (ja) 不正アクセス検出装置ならびに検知ルール生成装置、検知ルール生成方法および検知ルール生成プログラム
Yermalovich et al. Formalization of attack prediction problem

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40019364

Country of ref document: HK

SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination