CN112738107B - 一种网络安全的评价方法、装置、设备及存储介质 - Google Patents
一种网络安全的评价方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN112738107B CN112738107B CN202011608309.0A CN202011608309A CN112738107B CN 112738107 B CN112738107 B CN 112738107B CN 202011608309 A CN202011608309 A CN 202011608309A CN 112738107 B CN112738107 B CN 112738107B
- Authority
- CN
- China
- Prior art keywords
- internet protocol
- security
- protocol address
- event
- safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种网络安全的评价方法、装置、设备及存储介质,该方法包括:获取第一预设时间内至少一个网际协议地址的安全事件数据;根据至少一个网际协议地址的安全事件数据,以及至少一个网际协议地址在第一预设时间内,各安全事件的最大出现次数,确定至少一个网际协议地址在各安全事件下的安全量化数据;并根据至少一个网际协议地址的安全事件数据和行业信息,确定至少一个网际协议地址在各安全事件下的安全权重值;根据至少一个网际协议地址在各安全事件下的安全量化数据和安全权重值,确定至少一个网际协议地址的安全评分,实现了网络安全的准确评价,同时根据安全事件确定对应的安全权重值,可适应不断变化的网络安全需求。
Description
技术领域
本发明实施例涉及网络技术领域,尤其涉及一种网络安全的评价方法、装置、设备及存储介质。
背景技术
随着信息技术的快速发展,网络已经成为企业生产、运营及管理的重要支撑平台;但随之而来的是各类安全事件(例如,僵木蠕、恶意程序等)的频发,给企业和社会造成严重损失,因此对企业网络安全进行量化评估,实现安全事件的及时预警具有重要意义。
现有的网络安全评估方法,通常是为各类安全事件设置固定预设权重,计算各类安全事件的健康指数,进而通过再次加权获取企业或区域的网络安全指数;而不同类型的安全事件对于所属不同行业的各企业影响存在较大差异,这种情况下,现有网络安全评估方法无法实现网络安全的准确评估,且随着时间发展,新型安全事件不断涌现,现有网络安全评估方法无法适应不断变化的网络安全需求。
发明内容
本发明实施例提供了一种网络安全的评价方法、装置、设备及存储介质,以实现网络安全的准确评价。
第一方面,本发明实施例提供了一种网络安全的评价方法,包括:
获取第一预设时间内至少一个网际协议地址的安全事件数据;其中,所述安全事件数据包括安全事件的出现次数;
根据所述至少一个网际协议地址的历史安全事件数据,确定所述至少一个网际协议地址在所述第一预设时间内,各所述安全事件的最大出现次数;
根据所述至少一个网际协议地址的安全事件数据,以及所述至少一个网际协议地址在所述第一预设时间内,各所述安全事件的最大出现次数,确定所述至少一个网际协议地址在各所述安全事件下的安全量化数据;
根据网际协议地址、企业名称和行业信息的映射关系,获取与所述至少一个网际协议地址对应的行业信息,并根据所述至少一个网际协议地址的安全事件数据和行业信息,确定所述至少一个网际协议地址在各所述安全事件下的安全权重值;
根据所述至少一个网际协议地址在各所述安全事件下的安全量化数据和安全权重值,确定至少一个所述网际协议地址的安全评分。
第二方面,本发明实施例提供了一种网络安全的评价装置,包括:
安全事件数据获取模块,用于获取第一预设时间内至少一个网际协议地址的安全事件数据;其中,所述安全事件数据包括安全事件的出现次数;
最大出现次数确定模块,用于根据所述至少一个网际协议地址的历史安全事件数据,确定所述至少一个网际协议地址在所述第一预设时间内,各所述安全事件的最大出现次数;
安全量化数据获取模块,用于根据所述至少一个网际协议地址的安全事件数据,以及所述至少一个网际协议地址在所述第一预设时间内,各所述安全事件的最大出现次数,确定所述至少一个网际协议地址在各所述安全事件下的安全量化数据;
第一安全权重值确定模块,用于根据网际协议地址、企业名称和行业信息的映射关系,获取与所述至少一个网际协议地址对应的行业信息,并根据所述至少一个网际协议地址的安全事件数据和行业信息,确定所述至少一个网际协议地址在各所述安全事件下的安全权重值;
安全评分确定模块,用于根据所述至少一个网际协议地址在各所述安全事件下的安全量化数据和安全权重值,确定至少一个所述网际协议地址的安全评分。
第三方面,本发明实施例还提供了一种电子设备,所述电子设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现本发明任意实施例所述的网络安全的评价方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本发明任意实施例所述的网络安全的评价方法。
本发明实施例中公开的技术方案,通过获取第一预设时间内至少一个网际协议地址的安全事件数据;并根据至少一个网际协议地址的历史安全事件数据,确定至少一个网际协议地址在第一预设时间内,各安全事件的最大出现次数;以及根据至少一个网际协议地址的安全事件数据,以及至少一个网际协议地址在第一预设时间内,各安全事件的最大出现次数,确定至少一个网际协议地址在各安全事件下的安全量化数据;同时根据网际协议地址、企业名称和行业信息的映射关系,获取与至少一个网际协议地址对应的行业信息,并根据至少一个网际协议地址的安全事件数据和行业信息,确定至少一个网际协议地址在各安全事件下的安全权重值;最终根据至少一个网际协议地址在各安全事件下的安全量化数据和安全权重值,确定至少一个网际协议地址的安全评分,实现了网络安全的准确评价,同时根据安全事件确定对应的安全权重值,可适应不断变化的网络安全需求。
附图说明
图1是本发明实施例一提供的一种网络安全的评价方法的流程图;
图2是本发明实施例二提供的一种网络安全的评价方法的流程图;
图3是本发明实施例三提供的一种网络安全的评价方法的流程图;
图4是本发明实施例四提供的一种网络安全的评价方法的流程图;
图5是本发明实施例五提供的一种网络安全的评价装置的结构框图;
图6是本发明实施例六提供的一种电子设备的结构框图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
实施例一
图1为本发明实施例一提供的一种网络安全的评价方法的流程图,本实施例可适用于通过获取对应网际协议地址的安全评分,以实现网络安全的评价,该方法可以由本发明实施例五提供的网络安全的评价装置来执行,该装置可以通过软件和/或硬件实现,并集成在电子设备上,该方法具体包括如下步骤:
S110、获取第一预设时间内至少一个网际协议地址的安全事件数据;其中,所述安全事件数据包括安全事件的出现次数。
第一预设时间,为针对需要进行安全评价的网际协议地址,设置的获取对应安全事件数据的时间段,例如,一天,即获取一天内各网际协议地址对应的各种安全事件数据;其中,网际协议(Internet Protocol,IP)地址,即各网络在互联网中的逻辑地址,用于标识各网络的身份信息。本发明实施例中,第一预设时间内的每一个IP地址可能对应多种安全事件,也可能只对应单种安全事件,且每种安全事件发生的次数可以为多次,也可以为只有一次;安全事件数据,包括第一预设时间内每一个IP地址匹配的安全事件的类型和各类型安全事件发生的次数;其中,安全事件,是指网络中发生的可严重影响网络安全的网络异常情况,包括网络中的攻击行为和网络漏洞。通过获取预设时间内各IP地址对应的安全事件数据,并对获取的安全事件数据进行分析,可准确获取各IP地址对应的网络安全评分,同时通过综合考虑各IP地址对应的网络安全评分,可实现对各IP地址所属行业或所属区域的网络安全的评价。
可选的,在本发明实施例中,所述安全事件包括僵木蠕、两防事件、分布式拒绝服务攻击、域名生成算法攻击和/或安全漏洞。其中,僵木蠕,是僵尸网络、木马和蠕虫的统称,僵尸网络是指采用一种或多种传播手段,使大量主机感染僵尸程序病毒,从而使攻击者可对多台被感染主机进行控制;木马,是指隐藏在正常程序中的一段具有特殊功能的恶意代码,具备破坏和删除文件、发送密码和记录键盘等特殊功能;蠕虫,是指一种通过网络中存在的安全漏洞,不断获取计算机上的部分或全部控制权以进行传播的计算机病毒;两防事件,是指针对防病毒软件和防火墙的网络攻击,可破坏网络的防护系统,严重影响网络安全;分布式拒绝服务(Distribution Denial of Service,DDOS)攻击,是指处于不同位置的多个攻击者同时攻击当前网络,或者通过一个攻击者控制的位于不同位置的多台机器的同时攻击当前网络,使用户难以防范;域名生成算法(Domain Generation Algorithm,DGA)攻击,是指攻击者利用随机字符来生成C&C域名,以逃避域名黑名单检测,使得传统的基于域名黑名单的防护手段失效;安全漏洞,是指硬件、软件或协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统,导致严重影响网络安全。上述安全事件均为网络攻击中,攻击者常用的攻击方式,对应的每种安全事件包括许多具体的实现方式,不同的安全事件对于不同类型的网络所造成的影响也不尽相同,同一种安全事件对于不同类型的网络所造成的影响也可能存在较大差别;本发明实施例中,可实现对网络中发生的所有类型的安全事件进行综合评价,以获取当前IP地址对应的网络安全评分,对于安全事件的类型不做限制。
S120、根据所述至少一个网际协议地址的历史安全事件数据,确定所述至少一个网际协议地址在所述第一预设时间内,各所述安全事件的最大出现次数。
具体的,历史安全事件数据,是指各IP地址对应的各种安全事件的历史数据,包括多组安全事件类型和发生次数的对应关系;获取历史安全事件数据,包括获取预设数量的历史安全事件的类型和各安全事件对应发生的次数,以及设定时间段内的历史安全事件的类型和各安全事件对应发生的次数;具体的,以第一预设时间统计一次各安全事件的次数,作为一个安全事件数据,设定时间段包括的第一预设时间的数量,即为每种安全事件对应的安全事件数据的数量。在获取到历史安全事件数据后,可以对所有历史安全事件数据进行分析,确定所有历史安全事件数据中,各安全事件在第一预设时间内对应的出现最大次数;也可以在获取的所有历史安全事件数据中,随机选取一定数量的历史各安全事件数据,例如,5个,则只在选取的5个历史各安全事件数据中确定各安全事件的最大出现次数;也可以根据随机选取的一定数量的历史安全事件数据,确定其对应的企业所属行业,在所有历史安全事件数据中,选取同行业中各IP地址对应的相同安全事件的最大出现次数,以获取更加准确的各安全事件对应的最大出现次数。
可选的,在本发明实施例中,所述根据所述至少一个网际协议地址的历史安全事件数据,确定所述至少一个网际协议地址在所述第一预设时间内,各所述安全事件的最大出现次数,包括:根据所述至少一个网际协议地址的历史安全事件数据,确定所述至少一个网际协议地址在所述第一预设时间内,各所述安全事件的最大出现次数和最小出现次数。具体的,在根据当前历史安全事件数据确定个IP地址在第一预设时间内,各安全事件的最大出现次数的同时,获取各安全事件的最小出现次数,由于各IP地址对应的安全事件类型存在差别,故最小出现次数可能为零,获取各安全事件的最小出现次数的方法,可采用获取各安全事件的最大出现次数的对应方法。
S130、根据所述至少一个网际协议地址的安全事件数据,以及所述至少一个网际协议地址在所述第一预设时间内,各所述安全事件的最大出现次数,确定所述至少一个网际协议地址在各所述安全事件下的安全量化数据。
具体的,由于第一预设时间内,各安全事件的出现次数可能存在较大差别,如果直接采用获取的第一预设时间内的安全事件数据进行安全评分的计算,可能存在某一类型安全事件的出现次数过大,导致其它安全事件数据对最后计算结果的影响可以忽略,进而使得最终的安全评分结果无法综合考虑所有安全事件的影响;故采用各IP地址的安全事件数据与第一预设时间内各安全事件的最大出现次数的比值,作为各安全事件对应的安全量化数据,即将各安全事件的出现次数变换为0到1之间的数值,避免了某种类型安全事件出现次数过高等极端数值出现导致的无法对安全评分结果进行准确评价。
可选的,在本发明实施例中,所述根据所述至少一个网际协议地址的安全事件数据,以及所述至少一个网际协议地址在所述第一预设时间内,各所述安全事件的最大出现次数,确定所述至少一个网际协议地址在各所述安全事件下的安全量化数据,包括:根据所述至少一个网际协议地址的安全事件数据,以及所述至少一个网际协议地址在所述第一预设时间内,各所述安全事件的最大出现次数和最小出现次数,确定所述至少一个网际协议地址在各所述安全事件下的安全量化数据。具体的,获取各IP地址在各安全事件下的安全量化数据,还可以通过第一预设时间内,各安全事件的最大出现次数和最小次数进行计算,即将安全事件数据和各安全事件的最大出现次数分别减去各安全事件的最小出现次数,并将两者的比值作为最终的安全量化数据;以一个IP地址的一个安全事件为例,当前安全事件对应的安全量化数据可基于如下公式获取,p=(X-Xmin)/(Xmax-Xmin),其中,p为当前安全事件对应的安全量化数据,X为当前安全事件的出现次数,Xmin为第一预设时间内,当前安全事件的历史最小出现次数,Xmax为第一预设时间内,当前安全事件的历史最大出现次数;此外,本发明实施例中,最终获取的各IP地址的安全评分为0到100的数值,故可为安全量化数据乘以100,以获取预设范围内的安全评分;通过对原始安全事件数据进行量化,可综合考虑各IP地址对应的所有安全事件数据的影响,避免了某一安全事件出现次数过大导致的最终安全评分计算不准确。
S140、根据网际协议地址、企业名称和行业信息的映射关系,获取与所述至少一个网际协议地址对应的行业信息,并根据所述至少一个网际协议地址的安全事件数据和行业信息,确定所述至少一个网际协议地址在各所述安全事件下的安全权重值。
安全权重值,是指表示各安全事件对当前IP地址对应企业的影响程度的数值,通过为各安全事件设置对应的安全权重值,可获取各安全事件对应的安全评分,以实现对安全事件的量化评价。具体的,由于同一类型安全事件对于不同行业的企业所造成的影响存在较大差别,故在为各安全事件设置安全权重值时,必须考虑当前IP对应企业的所属行业信息,从而为各IP地址下的各安全事件赋予准确的安全权重值;其中,可根据各IP地址的安全事件数据和行业信息,为各安全事件设置一个整体安全权重值,也可综合考虑安全事件的行业影响系数、安全事件的等级和判断准确度,对应设置多个子安全权重值。此外,还可根据网络安全形势的变化,及时调整各安全事件的安全权重值,例如,某一阶段,僵木蠕攻击频发,故可适当调整当前阶段该类安全事件的安全权重值,以适应不断变化的网络安全形势。
可选的,在本发明实施例中,根据至少一个IP地址的安全事件数据和行业信息,确定至少一个网际协议地址在各安全事件下的安全权重值,包括:基于随机森林算法构建初始安全权重值的赋值模型,并获取已有的安全事件数据和行业信息,以及标注完成的正确安全权重值,作为训练样本;采用获取的训练样本对构建完成的初始随机森林赋值模型进行训练,获取训练完成的随机森林赋值模型;将获取的第一预设时间内的各IP地址的安全事件数据和行业信息输入随机森林赋值模型,获取各IP地址在各安全事件下的安全权重值;此外,在获取当前的安全权重值后,将当前获取的第一预设时间内的安全事件数据和行业信息,以及对应的安全权重值作为新的训练样本加入到原始训练样本中,对当前随机森林模型进行再次的训练,以实现安全权重值的自动更新,进而实现了更加准确的安全权重值的获取。其中,随机森林,是一个由多个决策树组成的分类器,最终输出的事件类别由各决策树的输出投票决定,通过随机森林算法建立安全权重赋值模型,可以同时输入大量安全事件数据,并可以评估各安全事件的重要性,以实现安全权重值的准确赋值。根据至少一个IP地址的安全事件数据和行业信息,确定至少一个网际协议地址在各安全事件下的安全权重值,还包括:预先建立IP地址、安全事件数据、行业信息和安全权重值的对照表;当获取到第一预设时间内各IP地址的安全事件数据和行业信息后,在预先建立的对照表中进行查找,获取匹配的安全权重值。通过获取各IP地址的各安全事件对应的安全权重值,可获取更加准确的安全评分,进而提升网络安全评价的准确度。
S150、根据所述至少一个网际协议地址在各所述安全事件下的安全量化数据和安全权重值,确定至少一个所述网际协议地址的安全评分。
具体的,在获取到各IP地址在各安全事件下的安全量化数据和安全权重值后,将各安全事件的安全量化数据与对应的安全权重值相乘,以获取加权安全量化数据,并将属于同一IP地址下各安全事件对应的加权安全量化数据进行对应相加,最终通过采用总的安全评分减去各IP地址的求和加权安全量化数据,以获取各IP地址分别对应的安全评分;通过安全评分与预设阈值进行对比,以实现对各IP地址对应的网络安全的评价;可选的,在当前IP地址对应的安全评分低于预设安全阈值时,采用短信和/或邮件的方式发送告警信息。以一个IP地址为例,其安全评分可基于如下公式获取:
其中,z为当前IP地址的安全评分,100为当前IP地址无安全事件发生对应的最高安全评分,i=1,2…k,为安全事件的种类,k为当前IP地址对应的安全事件的类型数量,pi为第i种安全事件对应的安全量化数据,ni为第i种安全事件对应的安全权重值;此外,还可在上述公式的基础上,添加修正值项,以实现对计算偏差过大情况的修正。可选的,在本发明实施例中,在获取各IP地址的安全评分后,还包括,获取各IP地址对应的安全权重值,同时确定属于同一行业的IP地址,将属于同一行业的IP地址的安全评分与对应的安全权重值进行相乘,并将加权后的安全评分进行相加,以获取该行业的安全评分;可选的,在获取各IP地址的安全评分后,还包括:获取各IP地址对应的安全权重值,并确定属于同一区域的IP地址,将属于同一区域的IP地址的安全评分与对应的安全权重值进行相乘,并将加权后的安全评分进行相加,以获取该区域的安全评分。通过将获取的各IP地址的安全评分,进行再次的加权求和,以获取某一行业或某一区域的安全评分,以实现对更大范围的网络安全的评价。
本发明实施例中公开的技术方案,通过获取第一预设时间内至少一个网际协议地址的安全事件数据;并根据至少一个网际协议地址的历史安全事件数据,确定至少一个网际协议地址在第一预设时间内,各安全事件的最大出现次数;以及根据至少一个网际协议地址的安全事件数据,以及至少一个网际协议地址在第一预设时间内,各安全事件的最大出现次数,确定至少一个网际协议地址在各安全事件下的安全量化数据;同时根据网际协议地址、企业名称和行业信息的映射关系,获取与至少一个网际协议地址对应的行业信息,并根据至少一个网际协议地址的安全事件数据和行业信息,确定至少一个网际协议地址在各安全事件下的安全权重值;最终根据至少一个网际协议地址在各安全事件下的安全量化数据和安全权重值,确定至少一个网际协议地址的安全评分,实现了网络安全的准确评价,同时根据安全事件确定对应的安全权重值,可适应不断变化的网络安全需求。
实施例二
图2为本发明实施例二提供的另一种网络安全的评价方法的流程图,本实施例在上述实施例的基础上进行具体化,在本实施例中,根据网际协议地址在各安全事件下的行业影响系数和危害程度系数,确定网际协议地址的安全权重值,该方法具体包括:
S210、获取第一预设时间内至少一个网际协议地址的安全事件数据;其中,所述安全事件数据包括安全事件的出现次数。
S220、根据所述至少一个网际协议地址的历史安全事件数据,确定所述至少一个网际协议地址在所述第一预设时间内,各所述安全事件的最大出现次数。
S230、根据所述至少一个网际协议地址的安全事件数据,以及所述至少一个网际协议地址在所述第一预设时间内,各所述安全事件的最大出现次数,确定所述至少一个网际协议地址在各所述安全事件下的安全量化数据。
S240、根据所述至少一个网际协议地址的安全事件数据和行业信息,确定所述至少一个网际协议地址在各所述安全事件下的行业影响系数。
行业影响系数,用于表示各IP地址下的各种安全事件对于各IP地址所属行业的影响程度;具体的,不同安全事件对于属于不同行业的IP地址的网络安全的影响存在较大区别,例如,资产漏洞事件,对于金融行业的IP地址的网络安全影响非常严重,故必须赋予较大的安全权重值;故在确定安全事件在当前IP地址中的安全权重值时,必须考虑各安全事件对各IP地址所在行业的影响,以获取更加准确的安全权重值。可选的,在本发明实施例中,所述根据所述至少一个网际协议地址的安全事件数据和行业信息,确定所述至少一个网际协议地址在各所述安全事件下的行业影响系数,包括:根据所述至少一个网际协议地址的安全事件数据和行业信息,通过预先训练完成的第一随机森林模型,获取所述至少一个网际协议地址在各所述安全事件下的行业影响系数。具体的,获取预先训练完成的第一随机森林模型,将各IP地址的安全事件数据和行业信息作为输入,将输出得到各IP地址在各安全事件下的行业影响系数,其中,第一随机森林模型基于随机森林算法构建,并采用预先标注的训练样本训练得到。此外,还可以采用对照表查找的方式,预先建立行业信息、安全事件和行业影响系数的对照关系表,在获取到安全事件数据和行业信息时,在对照表中进行查找,以获取对应的行业影响系数。通过获取各IP地址在各安全事件下的行业影响系数,可实现更加准确安全权重值的获取。
S250、根据安全事件类型与危害程度的对应关系,获取各所述安全事件类型的危害程度,并根据各所述安全事件类型的危害程度,以及所述至少一个网际协议地址的安全事件数据,获取所述至少一个网际协议地址在各所述安全事件下的危害程度系数。
危害程度系数,用于表示同一类型安全事件对网络安全的影响程度,以蠕虫病毒为例,其包含很多实现方式,不同的实现方式所造成的网络安全的影响并不相同;因此,针对同一类型安全事件,可将其划分为预设数量的危害等级,进而赋予不同的危害程度系数,可进一步提升安全权重值的准确度。可选的,获取至少一个IP地址在各安全事件下的危害程度系数,包括:建立安全事件类型、危害程度和危害程度系数的对照关系表,在获取到各IP地址的安全事件数据后,根据安全事件数据中的安全事件类型,在对照关系表中进行查找,以获取对应的危害程度系数。
S260、根据所述至少一个网际协议地址在各所述安全事件下的行业影响系数和危害程度系数,确定所述至少一个网际协议地址的安全权重值。
具体的,在获取到各IP地址在各安全事件下的行业影响系数和危害程度系数后,将行业影响系数和对应的危害程度系数进行相乘,以获取各IP地址下的各安全事件对应的安全权重值。可选的,在确定至少一个网际协议地址的安全权重值后,还包括:根据至少一个网际协议地址在各安全事件下的安全量化数据和安全权重值,确定至少一个网际协议地址的安全评分。通过综合考虑各IP地址在各安全事件下的行业影响系数和危害程度系数,以获取各IP地址的安全权重值,可进一步提升安全权重值的准确度,进而提升网络安全评价的准确度。
S270、根据所述至少一个网际协议地址在各所述安全事件下的安全量化数据和安全权重值,确定至少一个所述网际协议地址的安全评分。
本发明实施例中公开的技术方案,通过根据至少一个网际协议地址的安全事件数据和行业信息,确定至少一个网际协议地址在各安全事件下的行业影响系数,同时根据安全事件类型与危害程度的对应关系,获取各安全事件类型的危害程度,并根据各安全事件类型的危害程度,以及至少一个网际协议地址的安全事件数据,获取至少一个网际协议地址在各安全事件下的危害程度系数;并根据至少一个网际协议地址在各安全事件下的行业影响系数和危害程度系数,确定至少一个网际协议地址的安全权重值,实现了更加准确的安全权重值的获取。
实施例三
图3为本发明实施例三提供的另一种网络安全的评价方法的流程图,本实施例在实施例一的基础上进行具体化,在本实施例中,根据网际协议地址在各安全事件下的行业影响系数,以及网际协议地址的网际协议类型影响系数,确定网际协议地址的安全权重值,该方法具体包括:
S310、获取第一预设时间内至少一个网际协议地址的安全事件数据;其中,所述安全事件数据包括安全事件的出现次数。
S320、根据所述至少一个网际协议地址的历史安全事件数据,确定所述至少一个网际协议地址在所述第一预设时间内,各所述安全事件的最大出现次数。
S330、根据所述至少一个网际协议地址的安全事件数据,以及所述至少一个网际协议地址在所述第一预设时间内,各所述安全事件的最大出现次数,确定所述至少一个网际协议地址在各所述安全事件下的安全量化数据。
S340、根据所述至少一个网际协议地址的安全事件数据和行业信息,确定所述至少一个网际协议地址在各所述安全事件下的行业影响系数。
S350、根据网际协议地址、网际协议类型和网际协议类型影响系数的对应关系,获取所述至少一个网际协议地址的网际协议类型影响系数。
类型影响系数,用于表示各安全事件对当前IP地址的网络安全的影响程度;具体的,不同的IP类型受不同安全事件的影响程度存在较大区别,故在确定安全权重值时,需考虑IP类型的影响;可选的,获取至少一个IP地址的IP类型影响系数,包括:预先建立IP地址、IP类型和IP类型影响系数的对照关系表,在获取到安全事件数据后,根据其中包含的IP地址,在对照关系表中进行查找,以获取匹配的IP类型影响系数;其中,IP地址类型,包括开放WEB重点IP、未开发WEB重点IP、开放WEB重点IP和未开放WEB非重点IP,对于不同类型的IP地址,设置不同的IP类型影响系数;通过在确定安全权重值时,考虑IP类型影响系数的影响,可进一步提升安全权重值的准确度。
S360、根据所述至少一个网际协议地址在各所述安全事件下的行业影响系数,以及所述至少一个网际协议地址的网际协议类型影响系数,确定所述至少一个网际协议地址的安全权重值。
具体的,确定安全权重值时,考虑行业影响系数和IP类型影响系数,将同一IP地址下各安全事件对应的行业影响系数和IP类型影响系数进行相乘,以获取当前IP地址下个安全事件对应的安全权重值。可选的,在本发明实施例中,在获取所述至少一个网际协议地址的网际协议类型影响系数后,还包括:根据所述至少一个网际协议地址在各所述安全事件下的行业影响系数和危害程度系数,以及所述至少一个网际协议地址的网际协议类型影响系数,确定所述至少一个网际协议地址的安全权重值。即在确定安全权重值时,综合考虑各安全事件下的行业影响系数和危害程度系数,以及IP类型影响系数,可进一步提升安全权重值的准确度。
S370、根据所述至少一个网际协议地址在各所述安全事件下的安全量化数据和安全权重值,确定至少一个所述网际协议地址的安全评分。
本发明实施例中公开的技术方案,通过根据至少一个网际协议地址的安全事件数据和行业信息,确定至少一个网际协议地址在各安全事件下的行业影响系数,同时根据网际协议地址、网际协议类型和网际协议类型影响系数的对应关系,获取至少一个网际协议地址的网际协议类型影响系数,并根据至少一个网际协议地址在各安全事件下的行业影响系数,以及至少一个网际协议地址的网际协议类型影响系数,确定至少一个网际协议地址的安全权重值,实现了更加准确的安全权重值的获取。
实施例四
图4为本发明实施例四提供的另一种网络安全的评价方法的流程图,本实施例在实施例一的基础上进行具体化,在本实施例中,根据网际协议地址在各安全事件下的行业影响系数和事件准确系数,确定网际协议地址的安全权重值,该方法具体包括:
S410、获取第一预设时间内至少一个网际协议地址的安全事件数据;其中,所述安全事件数据包括安全事件的出现次数。
S420、根据所述至少一个网际协议地址的历史安全事件数据,确定所述至少一个网际协议地址在所述第一预设时间内,各所述安全事件的最大出现次数。
S430、根据所述至少一个网际协议地址的安全事件数据,以及所述至少一个网际协议地址在所述第一预设时间内,各所述安全事件的最大出现次数,确定所述至少一个网际协议地址在各所述安全事件下的安全量化数据。
S440、根据所述至少一个网际协议地址的安全事件数据和行业信息,确定所述至少一个网际协议地址在各所述安全事件下的行业影响系数。
S450、根据安全事件类型与事件准确度的对应关系,获取各所述安全事件类型的事件准确度,并根据各所述安全事件类型的事件准确度,以及所述至少一个网际协议地址的安全事件数据,获取所述至少一个网际协议地址在各所述安全事件下的事件准确系数。
事件准确度,是指对于安全事件判断的准确度,对于安全事件的判断,主要通过深度包检测(Deep Packet Inspection,DPI)技术对流量数据包中的各种要素,例如,包头、字节,进行检测,当发现某些流量数据特征与某种安全事件匹配,则判断当前流量数据为该类安全事件,但这种判断方式无法实现完全准确的安全事件判断,即存在误判的情况;故在确定安全权重值时,需考虑安全事件准确度的影响。具体的,可获取一段时间内的历史安全事件数据,并获取正确判断的安全事件数量,以确定安全事件判断的平均准确率,以作为各IP地址下个对应安全事件的时间准确系数。
可选的,在本发明实施例中,所述根据各所述安全事件类型的事件准确度,以及所述至少一个网际协议地址的安全事件数据,获取所述至少一个网际协议地址在各所述安全事件下的事件准确系数,包括:根据各所述安全事件类型的事件准确度,以及所述至少一个网际协议地址的安全事件数据,通过预先训练完成的第二随机森林模型,获取所述至少一个网际协议地址在各所述安全事件下的事件准确系数。其中,第二随机森林模型,为基于随机算法构建的,用于进行安全事件类型准确度判断的分类模型;将各安全事件的准确度和各IP地址的安全事件数据作为第二随机森林模型的输入,以获取对应的各安全事件下的事件准确系数。
S460、根据所述至少一个网际协议地址在各所述安全事件下的行业影响系数和事件准确系数,确定所述至少一个网际协议地址的安全权重值。
具体的,考虑各安全事件的行业影响系数和事件准确度,确定的安全权重值;即通过各IP地址在各安全事件下的行业影响系数和时间准确系数进行相乘,以获取各安全事件下的安全权重值。可选的,在本发明实施例中,在获取所述至少一个网际协议地址在各所述安全事件下的事件准确系数后,还包括:根据所述至少一个网际协议地址在各所述安全事件下的行业影响系数、危害程度系数和事件准确系数,确定所述至少一个网际协议地址的安全权重值。即考虑安全事件下的行业影响系数、危害程度系数和事件准确系数三个系数,以确定安全权重值,以进一步提升安全权重的准确度。
可选的,在本发明实施例中,在获取所述至少一个网际协议地址在各所述安全事件下的事件准确系数后,还包括:根据所述至少一个网际协议地址在各所述安全事件下的行业影响系数、危害程度系数和事件准确系数,以及所述至少一个网际协议地址的网际协议类型影响系数,确定所述至少一个网际协议地址的安全权重值。即将各安全事件下的行业影响系数、危害程度系数和事件准确系数,以及各IP地址的网际协议类型影响系数四个系数,以确定安全事件下的安全权重值,获取了更加准确的安全权重值;具体的,以一个IP地址下的一个安全事件为例,其安全权重值可基于如下公式获取,n=L*K*J*N,其中,n为当前安全事件对应的安全权重值,L为当前IP地址在该安全事件下的行业影响系数,K为当前IP地址在该安全事件下的危害程度系数,J为当前IP地址在该安全事件下的事件准确系数,N为当前IP地址的IP类型影响系数。
S470、根据所述至少一个网际协议地址在各所述安全事件下的安全量化数据和安全权重值,确定至少一个所述网际协议地址的安全评分。
本发明实施例中公开的技术方案,根据至少一个网际协议地址的安全事件数据和行业信息,确定至少一个网际协议地址在各安全事件下的行业影响系数;同时根据安全事件类型与事件准确度的对应关系,获取各安全事件类型的事件准确度,并根据各安全事件类型的事件准确度,以及至少一个网际协议地址的安全事件数据,获取至少一个网际协议地址在各安全事件下的事件准确系数;最终根据至少一个网际协议地址在各安全事件下的行业影响系数和事件准确系数,确定至少一个网际协议地址的安全权重值,实现了更加准确安全权重值的获取。
实施例五
图5是本发明实施例五所提供的一种网络安全的评价装置的结构框图,该装置具体包括:安全事件数据获取模块510、最大出现次数确定模块520、安全量化数据获取模块530、第一安全权重值确定模块540和安全评分确定模块550;
安全事件数据获取模块510,用于获取第一预设时间内至少一个网际协议地址的安全事件数据;其中,所述安全事件数据包括安全事件的出现次数;
最大出现次数确定模块520,用于根据所述至少一个网际协议地址的历史安全事件数据,确定所述至少一个网际协议地址在所述第一预设时间内,各所述安全事件的最大出现次数;
安全量化数据获取模块530,用于根据所述至少一个网际协议地址的安全事件数据,以及所述至少一个网际协议地址在所述第一预设时间内,各所述安全事件的最大出现次数,确定所述至少一个网际协议地址在各所述安全事件下的安全量化数据;
第一安全权重值确定模块540,用于根据网际协议地址、企业名称和行业信息的映射关系,获取与所述至少一个网际协议地址对应的行业信息,并根据所述至少一个网际协议地址的安全事件数据和行业信息,确定所述至少一个网际协议地址在各所述安全事件下的安全权重值;
安全评分确定模块550,用于根据所述至少一个网际协议地址在各所述安全事件下的安全量化数据和安全权重值,确定至少一个所述网际协议地址的安全评分。
本发明实施例中公开的技术方案,通过获取第一预设时间内至少一个网际协议地址的安全事件数据;并根据至少一个网际协议地址的历史安全事件数据,确定至少一个网际协议地址在第一预设时间内,各安全事件的最大出现次数;以及根据至少一个网际协议地址的安全事件数据,以及至少一个网际协议地址在第一预设时间内,各安全事件的最大出现次数,确定至少一个网际协议地址在各安全事件下的安全量化数据;同时根据网际协议地址、企业名称和行业信息的映射关系,获取与至少一个网际协议地址对应的行业信息,并根据至少一个网际协议地址的安全事件数据和行业信息,确定至少一个网际协议地址在各安全事件下的安全权重值;最终根据至少一个网际协议地址在各安全事件下的安全量化数据和安全权重值,确定至少一个网际协议地址的安全评分,实现了网络安全的准确评价,同时根据安全事件确定对应的安全权重值,可适应不断变化的网络安全需求。
可选的,在上述技术方案的基础上,第一安全权重值确定模块540,包括:
行业影响系数确定单元,用于根据所述至少一个网际协议地址的安全事件数据和行业信息,确定所述至少一个网际协议地址在各所述安全事件下的行业影响系数;
危害程度系数获取单元,用于根据安全事件类型与危害程度的对应关系,获取各所述安全事件类型的危害程度,并根据各所述安全事件类型的危害程度,以及所述至少一个网际协议地址的安全事件数据,获取所述至少一个网际协议地址在各所述安全事件下的危害程度系数;
安全权重值确定单元,用于根据所述至少一个网际协议地址在各所述安全事件下的行业影响系数和危害程度系数,确定所述至少一个网际协议地址的安全权重值。
可选的,在上述技术方案的基础上,网络安全的评价装置,还包括:
影响系数获取模块,用于根据网际协议地址、网际协议类型和网际协议类型影响系数的对应关系,获取所述至少一个网际协议地址的网际协议类型影响系数;
第二安全权重值确定模块,用于根据所述至少一个网际协议地址在各所述安全事件下的行业影响系数,以及所述至少一个网际协议地址的网际协议类型影响系数,确定所述至少一个网际协议地址的安全权重值;或根据所述至少一个网际协议地址在各所述安全事件下的行业影响系数和危害程度系数,以及所述至少一个网际协议地址的网际协议类型影响系数,确定所述至少一个网际协议地址的安全权重值。
可选的,在上述技术方案的基础上,网络安全的评价装置,还包括:
事件准确系数确定模块,用于根据安全事件类型与事件准确度的对应关系,获取各所述安全事件类型的事件准确度,并根据各所述安全事件类型的事件准确度,以及所述至少一个网际协议地址的安全事件数据,获取所述至少一个网际协议地址在各所述安全事件下的事件准确系数;
第三安全权重值确定模块,用于根据所述至少一个网际协议地址在各所述安全事件下的行业影响系数和事件准确系数,确定所述至少一个网际协议地址的安全权重值;或根据所述至少一个网际协议地址在各所述安全事件下的行业影响系数、危害程度系数和事件准确系数,确定所述至少一个网际协议地址的安全权重值;或根据所述至少一个网际协议地址在各所述安全事件下的行业影响系数、危害程度系数和事件准确系数,以及所述至少一个网际协议地址的网际协议类型影响系数,确定所述至少一个网际协议地址的安全权重值。
可选的,在上述技术方案的基础上,行业影响系数确定单元,具体用于根据所述至少一个网际协议地址的安全事件数据和行业信息,通过预先训练完成的第一随机森林模型,获取所述至少一个网际协议地址在各所述安全事件下的行业影响系数。
可选的,在上述技术方案的基础上,事件准确系数确定模块,具体用于根据各所述安全事件类型的事件准确度,以及所述至少一个网际协议地址的安全事件数据,通过预先训练完成的第二随机森林模型,获取所述至少一个网际协议地址在各所述安全事件下的事件准确系数。
可选的,在上述技术方案的基础上,最大出现次数确定模块520,具体用于根据所述至少一个网际协议地址的历史安全事件数据,确定所述至少一个网际协议地址在所述第一预设时间内,各所述安全事件的最大出现次数和最小出现次数。
可选的,在上述技术方案的基础上,安全量化数据获取模块530,具体用于根据所述至少一个网际协议地址的安全事件数据,以及所述至少一个网际协议地址在所述第一预设时间内,各所述安全事件的最大出现次数和最小出现次数,确定所述至少一个网际协议地址在各所述安全事件下的安全量化数据。
可选的,在上述技术方案的基础上,所述安全事件包括僵木蠕、两防事件、分布式拒绝服务攻击、域名生成算法攻击和/或安全漏洞。
上述装置可执行本发明任意实施例所提供的网络安全的评价方法,具备执行方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节,可参见本发明任意实施例提供的方法。
实施例六
图6为本发明实施例六提供的一种电子设备的结构示意图。图6示出了适于用来实现本发明实施方式的示例性电子设备12的框图。图6显示的电子设备12仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图6所示,电子设备12以通用计算设备的形式表现。电子设备12的组件可以包括但不限于:一个或者多个处理器或者处理单元16,存储器28,连接不同系统组件(包括存储器28和处理单元16)的总线18。
总线18表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(ISA)总线,微通道体系结构(MAC)总线,增强型ISA总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。
电子设备12典型地包括多种计算机系统可读介质。这些介质可以是任何能够被电子设备12访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
存储器28可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(RAM)30和/或高速缓存存储器32。电子设备12可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统34可以用于读写不可移动的、非易失性磁介质(图6未显示,通常称为“硬盘驱动器”)。尽管图6中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如CD-ROM,DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线18相连。存储器28可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明各实施例的功能。
具有一组(至少一个)程序模块42的程序/实用工具40,可以存储在例如存储器28中,这样的程序模块42包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块42通常执行本发明所描述的实施例中的功能和/或方法。
电子设备12也可以与一个或多个外部设备14(例如键盘、指向设备、显示器24等)通信,还可与一个或者多个使得用户能与该电子设备12交互的设备通信,和/或与使得该电子设备12能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口22进行。并且,电子设备12还可以通过网络适配器20与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器20通过总线18与电子设备12的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备12使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
处理单元16通过运行存储在存储器28中的程序,从而执行各种功能应用以及数据处理,例如实现本发明任意实施例提供的网络安全的评价方法。也即:获取第一预设时间内至少一个网际协议地址的安全事件数据;其中,所述安全事件数据包括安全事件的出现次数;根据所述至少一个网际协议地址的历史安全事件数据,确定所述至少一个网际协议地址在所述第一预设时间内,各所述安全事件的最大出现次数;根据所述至少一个网际协议地址的安全事件数据,以及所述至少一个网际协议地址在所述第一预设时间内,各所述安全事件的最大出现次数,确定所述至少一个网际协议地址在各所述安全事件下的安全量化数据;根据网际协议地址、企业名称和行业信息的映射关系,获取与所述至少一个网际协议地址对应的行业信息,并根据所述至少一个网际协议地址的安全事件数据和行业信息,确定所述至少一个网际协议地址在各所述安全事件下的安全权重值;根据所述至少一个网际协议地址在各所述安全事件下的安全量化数据和安全权重值,确定至少一个所述网际协议地址的安全评分。
实施例七
本发明实施例七还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本发明任意实施例所述的网络安全的评价方法;该方法包括:
获取第一预设时间内至少一个网际协议地址的安全事件数据;其中,所述安全事件数据包括安全事件的出现次数;
根据所述至少一个网际协议地址的历史安全事件数据,确定所述至少一个网际协议地址在所述第一预设时间内,各所述安全事件的最大出现次数;
根据所述至少一个网际协议地址的安全事件数据,以及所述至少一个网际协议地址在所述第一预设时间内,各所述安全事件的最大出现次数,确定所述至少一个网际协议地址在各所述安全事件下的安全量化数据;
根据网际协议地址、企业名称和行业信息的映射关系,获取与所述至少一个网际协议地址对应的行业信息,并根据所述至少一个网际协议地址的安全事件数据和行业信息,确定所述至少一个网际协议地址在各所述安全事件下的安全权重值;
根据所述至少一个网际协议地址在各所述安全事件下的安全量化数据和安全权重值,确定至少一个所述网际协议地址的安全评分。
本发明实施例的计算机存储介质,可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (10)
1.一种网络安全的评价方法,其特征在于,包括:
获取第一预设时间内至少一个网际协议地址的安全事件数据;其中,所述安全事件数据包括安全事件的出现次数;
根据所述至少一个网际协议地址的历史安全事件数据,确定所述至少一个网际协议地址在所述第一预设时间内,各所述安全事件的最大出现次数;
根据所述至少一个网际协议地址的安全事件数据,以及所述至少一个网际协议地址在所述第一预设时间内,各所述安全事件的最大出现次数,确定所述至少一个网际协议地址在各所述安全事件下的安全量化数据;
根据网际协议地址、企业名称和行业信息的映射关系,获取与所述至少一个网际协议地址对应的行业信息,并根据所述至少一个网际协议地址的安全事件数据和行业信息,确定所述至少一个网际协议地址在各所述安全事件下的安全权重值;
根据所述至少一个网际协议地址在各所述安全事件下的安全量化数据和安全权重值,确定至少一个所述网际协议地址的安全评分。
2.根据权利要求1所述的方法,其特征在于,所述根据所述至少一个网际协议地址的安全事件数据和行业信息,确定所述至少一个网际协议地址在各所述安全事件下的安全权重值,包括:
根据所述至少一个网际协议地址的安全事件数据和行业信息,确定所述至少一个网际协议地址在各所述安全事件下的行业影响系数;
根据安全事件类型与危害程度的对应关系,获取各所述安全事件类型的危害程度,并根据各所述安全事件类型的危害程度,以及所述至少一个网际协议地址的安全事件数据,获取所述至少一个网际协议地址在各所述安全事件下的危害程度系数;
根据所述至少一个网际协议地址在各所述安全事件下的行业影响系数和危害程度系数,确定所述至少一个网际协议地址的安全权重值。
3.根据权利要求2所述的方法,其特征在于,在根据所述至少一个网际协议地址的安全事件数据和行业信息,确定所述至少一个网际协议地址在各所述安全事件下的行业影响系数后,还包括:
根据网际协议地址、网际协议类型和网际协议类型影响系数的对应关系,获取所述至少一个网际协议地址的网际协议类型影响系数;
根据所述至少一个网际协议地址在各所述安全事件下的行业影响系数,以及所述至少一个网际协议地址的网际协议类型影响系数,确定所述至少一个网际协议地址的安全权重值;
或根据所述至少一个网际协议地址在各所述安全事件下的行业影响系数和危害程度系数,以及所述至少一个网际协议地址的网际协议类型影响系数,确定所述至少一个网际协议地址的安全权重值。
4.根据权利要求3所述的方法,其特征在于,在根据所述至少一个网际协议地址的安全事件数据和行业信息,确定所述至少一个网际协议地址在各所述安全事件下的行业影响系数后,还包括:
根据安全事件类型与事件准确度的对应关系,获取各所述安全事件类型的事件准确度,并根据各所述安全事件类型的事件准确度,以及所述至少一个网际协议地址的安全事件数据,获取所述至少一个网际协议地址在各所述安全事件下的事件准确系数;
根据所述至少一个网际协议地址在各所述安全事件下的行业影响系数和事件准确系数,确定所述至少一个网际协议地址的安全权重值;
或根据所述至少一个网际协议地址在各所述安全事件下的行业影响系数、危害程度系数和事件准确系数,确定所述至少一个网际协议地址的安全权重值;
或根据所述至少一个网际协议地址在各所述安全事件下的行业影响系数、危害程度系数和事件准确系数,以及所述至少一个网际协议地址的网际协议类型影响系数,确定所述至少一个网际协议地址的安全权重值。
5.根据权利要求4所述的方法,其特征在于,所述根据所述至少一个网际协议地址的安全事件数据和行业信息,确定所述至少一个网际协议地址在各所述安全事件下的行业影响系数,包括:
根据所述至少一个网际协议地址的安全事件数据和行业信息,通过预先训练完成的第一随机森林模型,获取所述至少一个网际协议地址在各所述安全事件下的行业影响系数;
或所述根据各所述安全事件类型的事件准确度,以及所述至少一个网际协议地址的安全事件数据,获取所述至少一个网际协议地址在各所述安全事件下的事件准确系数,包括:
根据各所述安全事件类型的事件准确度,以及所述至少一个网际协议地址的安全事件数据,通过预先训练完成的第二随机森林模型,获取所述至少一个网际协议地址在各所述安全事件下的事件准确系数。
6.根据权利要求1所述的方法,其特征在于,所述根据所述至少一个网际协议地址的历史安全事件数据,确定所述至少一个网际协议地址在所述第一预设时间内,各所述安全事件的最大出现次数,包括:
根据所述至少一个网际协议地址的历史安全事件数据,确定所述至少一个网际协议地址在所述第一预设时间内,各所述安全事件的最大出现次数和最小出现次数;
所述根据所述至少一个网际协议地址的安全事件数据,以及所述至少一个网际协议地址在所述第一预设时间内,各所述安全事件的最大出现次数,确定所述至少一个网际协议地址在各所述安全事件下的安全量化数据,包括:
根据所述至少一个网际协议地址的安全事件数据,以及所述至少一个网际协议地址在所述第一预设时间内,各所述安全事件的最大出现次数和最小出现次数,确定所述至少一个网际协议地址在各所述安全事件下的安全量化数据。
7.根据权利要求1-6任一所述的方法,其特征在于,所述安全事件包括僵木蠕、两防事件、分布式拒绝服务攻击、域名生成算法攻击和/或安全漏洞。
8.一种网络安全的评价装置,其特征在于,包括:
安全事件数据获取模块,用于获取第一预设时间内至少一个网际协议地址的安全事件数据;其中,所述安全事件数据包括安全事件的出现次数;
最大出现次数确定模块,用于根据所述至少一个网际协议地址的历史安全事件数据,确定所述至少一个网际协议地址在所述第一预设时间内,各所述安全事件的最大出现次数;
安全量化数据获取模块,用于根据所述至少一个网际协议地址的安全事件数据,以及所述至少一个网际协议地址在所述第一预设时间内,各所述安全事件的最大出现次数,确定所述至少一个网际协议地址在各所述安全事件下的安全量化数据;
第一安全权重值确定模块,用于根据网际协议地址、企业名称和行业信息的映射关系,获取与所述至少一个网际协议地址对应的行业信息,并根据所述至少一个网际协议地址的安全事件数据和行业信息,确定所述至少一个网际协议地址在各所述安全事件下的安全权重值;
安全评分确定模块,用于根据所述至少一个网际协议地址在各所述安全事件下的安全量化数据和安全权重值,确定至少一个所述网际协议地址的安全评分。
9.一种电子设备,其特征在于,所述电子设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-7中任一所述的网络安全的评价方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-7中任一所述的网络安全的评价方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011608309.0A CN112738107B (zh) | 2020-12-30 | 2020-12-30 | 一种网络安全的评价方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011608309.0A CN112738107B (zh) | 2020-12-30 | 2020-12-30 | 一种网络安全的评价方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112738107A CN112738107A (zh) | 2021-04-30 |
| CN112738107B true CN112738107B (zh) | 2022-08-05 |
Family
ID=75610920
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011608309.0A Active CN112738107B (zh) | 2020-12-30 | 2020-12-30 | 一种网络安全的评价方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112738107B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113364742B (zh) * | 2021-05-17 | 2022-10-11 | 北京邮电大学 | 一种网络安全威胁定量弹性计算方法及装置 |
| CN115150202B (zh) * | 2022-09-02 | 2022-11-25 | 北京云科安信科技有限公司 | 一种互联网it信息资产搜集及攻击探测的方法 |
| CN115497295B (zh) * | 2022-09-21 | 2024-06-11 | 联通智网科技股份有限公司 | 安全预警方法和装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104579782A (zh) * | 2015-01-12 | 2015-04-29 | 国家电网公司 | 一种热点安全事件的识别方法及系统 |
| CN108632081A (zh) * | 2018-03-26 | 2018-10-09 | 中国科学院计算机网络信息中心 | 网络态势评估方法、装置及存储介质 |
| CN110008311A (zh) * | 2019-04-04 | 2019-07-12 | 北京邮电大学 | 一种基于语义分析的产品信息安全风险监测方法 |
| CN110620759A (zh) * | 2019-07-15 | 2019-12-27 | 公安部第一研究所 | 基于多维关联的网络安全事件危害指数评估方法及其系统 |
| CN111786950A (zh) * | 2020-05-28 | 2020-10-16 | 中国平安财产保险股份有限公司 | 基于态势感知的网络安全监控方法、装置、设备及介质 |
-
2020
- 2020-12-30 CN CN202011608309.0A patent/CN112738107B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104579782A (zh) * | 2015-01-12 | 2015-04-29 | 国家电网公司 | 一种热点安全事件的识别方法及系统 |
| CN108632081A (zh) * | 2018-03-26 | 2018-10-09 | 中国科学院计算机网络信息中心 | 网络态势评估方法、装置及存储介质 |
| CN110008311A (zh) * | 2019-04-04 | 2019-07-12 | 北京邮电大学 | 一种基于语义分析的产品信息安全风险监测方法 |
| CN110620759A (zh) * | 2019-07-15 | 2019-12-27 | 公安部第一研究所 | 基于多维关联的网络安全事件危害指数评估方法及其系统 |
| CN111786950A (zh) * | 2020-05-28 | 2020-10-16 | 中国平安财产保险股份有限公司 | 基于态势感知的网络安全监控方法、装置、设备及介质 |
Non-Patent Citations (2)
| Title |
|---|
| 大规模网络安全态势评估系统;赵鹏宇等;《计算机工程与应用》;20081121(第33期);第15-16,47页 * |
| 网络安全事件关联分析与态势评测技术研究;吴国强;《信息安全与技术》;20141210(第12期);第122-124,127页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112738107A (zh) | 2021-04-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11405359B2 (en) | Network firewall for mitigating against persistent low volume attacks | |
| US11503044B2 (en) | Method computing device for detecting malicious domain names in network traffic | |
| US8549645B2 (en) | System and method for detection of denial of service attacks | |
| US10735439B2 (en) | System and method for attack sequence matching | |
| CN112738107B (zh) | 一种网络安全的评价方法、装置、设备及存储介质 | |
| US9311476B2 (en) | Methods, systems, and media for masquerade attack detection by monitoring computer user behavior | |
| US8239948B1 (en) | Selecting malware signatures to reduce false-positive detections | |
| JP2018530066A (ja) | 低信頼度のセキュリティイベントによるセキュリティインシデントの検出 | |
| US20120174227A1 (en) | System and Method for Detecting Unknown Malware | |
| CN113660224B (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
| US20230185915A1 (en) | Detecting microsoft windows installer malware using text classification models | |
| US10979446B1 (en) | Automated vulnerability chaining | |
| US8402537B2 (en) | Detection accuracy tuning for security | |
| CN117478433B (zh) | 一种网络与信息安全动态预警系统 | |
| CN116938600B (zh) | 威胁事件的分析方法、电子设备及存储介质 | |
| US10757029B2 (en) | Network traffic pattern based machine readable instruction identification | |
| CN112784281A (zh) | 一种工业互联网的安全评估方法、装置、设备及存储介质 | |
| Baich et al. | Machine Learning for IoT based networks intrusion detection: a comparative study | |
| US11431748B2 (en) | Predictive crowdsourcing-based endpoint protection system | |
| CN113055362B (zh) | 异常行为的预防方法、装置、设备及存储介质 | |
| CN116319085B (zh) | 一种安全告警处理方法以及装置 | |
| CN117692200A (zh) | 基于自适应异常行为分析的互联网威胁检测与回溯方法 | |
| CN117354024A (zh) | 基于大数据的dns恶意域名检测系统及方法 | |
| US20230156019A1 (en) | Method and system for scoring severity of cyber attacks | |
| US11743287B2 (en) | Denial-of-service detection system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |