CN116436659A - 一种网络安全威胁的量化分析方法及装置 - Google Patents
一种网络安全威胁的量化分析方法及装置 Download PDFInfo
- Publication number
- CN116436659A CN116436659A CN202310353823.1A CN202310353823A CN116436659A CN 116436659 A CN116436659 A CN 116436659A CN 202310353823 A CN202310353823 A CN 202310353823A CN 116436659 A CN116436659 A CN 116436659A
- Authority
- CN
- China
- Prior art keywords
- threat
- module
- security
- security threats
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004445 quantitative analysis Methods 0.000 title claims abstract description 32
- 238000000034 method Methods 0.000 title claims abstract description 31
- 238000011156 evaluation Methods 0.000 claims abstract description 14
- 238000005065 mining Methods 0.000 claims description 16
- 238000012098 association analyses Methods 0.000 claims description 11
- 238000007781 pre-processing Methods 0.000 claims description 11
- 238000006243 chemical reaction Methods 0.000 claims description 7
- 238000010276 construction Methods 0.000 claims description 7
- 238000011002 quantification Methods 0.000 claims description 7
- 230000002159 abnormal effect Effects 0.000 claims description 6
- 238000004140 cleaning Methods 0.000 claims description 6
- 238000004364 calculation method Methods 0.000 claims description 4
- 230000008447 perception Effects 0.000 claims description 4
- 238000012800 visualization Methods 0.000 claims description 4
- 238000004458 analytical method Methods 0.000 description 14
- 238000005516 engineering process Methods 0.000 description 4
- 238000002347 injection Methods 0.000 description 4
- 239000007924 injection Substances 0.000 description 4
- 238000007405 data analysis Methods 0.000 description 3
- 230000008450 motivation Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- YHVACWACSOJLSJ-UHFFFAOYSA-N n-methyl-n-(1-oxo-1-phenylpropan-2-yl)nitrous amide Chemical compound O=NN(C)C(C)C(=O)C1=CC=CC=C1 YHVACWACSOJLSJ-UHFFFAOYSA-N 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012502 risk assessment Methods 0.000 description 2
- PCTMTFRHKVHKIS-BMFZQQSSSA-N (1s,3r,4e,6e,8e,10e,12e,14e,16e,18s,19r,20r,21s,25r,27r,30r,31r,33s,35r,37s,38r)-3-[(2r,3s,4s,5s,6r)-4-amino-3,5-dihydroxy-6-methyloxan-2-yl]oxy-19,25,27,30,31,33,35,37-octahydroxy-18,20,21-trimethyl-23-oxo-22,39-dioxabicyclo[33.3.1]nonatriaconta-4,6,8,10 Chemical compound C1C=C2C[C@@H](OS(O)(=O)=O)CC[C@]2(C)[C@@H]2[C@@H]1[C@@H]1CC[C@H]([C@H](C)CCCC(C)C)[C@@]1(C)CC2.O[C@H]1[C@@H](N)[C@H](O)[C@@H](C)O[C@H]1O[C@H]1/C=C/C=C/C=C/C=C/C=C/C=C/C=C/[C@H](C)[C@@H](O)[C@@H](C)[C@H](C)OC(=O)C[C@H](O)C[C@H](O)CC[C@@H](O)[C@H](O)C[C@H](O)C[C@](O)(C[C@H](O)[C@H]2C(O)=O)O[C@H]2C1 PCTMTFRHKVHKIS-BMFZQQSSSA-N 0.000 description 1
- 238000009825 accumulation Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 238000010219 correlation analysis Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000035755 proliferation Effects 0.000 description 1
- 238000013139 quantization Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000001502 supplementing effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/22—Indexing; Data structures therefor; Storage structures
- G06F16/2228—Indexing structures
- G06F16/2246—Trees, e.g. B+trees
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/26—Visual data mining; Browsing structured data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种网络安全威胁的量化分析方法及装置,量化分析方法包括:采集威胁数据并对威胁数据进行预处理;对预处理后的威胁数据进行分析,获得同一个来源IP的所有安全威胁之间的关联关系;利用关联关系计算来源IP的威胁风险值,作为对来源IP的评估结果;输出评估结果。本申请对同一个来源IP的安全威胁进行分析,获得该来源IP的威胁风险值,将安全威胁的风险进行量化,以准确评估威胁的风险程度。
Description
技术领域
本申请涉及网络安全技术领域,更具体地,涉及一种网络安全威胁的量化分析方法及装置。
背景技术
随着信息技术的发展以及业务规模的持续增长,随之而来的网络安全风险和安全威胁呈现急速增长态势。由于业务系统的复杂度和关联性也越来越强,网络安全威胁的形态和种类也同步上升,特别是一些新型的攻击方式和手段层出不穷,高级持续性威胁对于当前的网络安全形成了非常严重的影响。当前的网络安全防护工作面临前所未有的困难和挑战,在现有的网络安全防护体系当中有许多设备(如防火墙、入侵监测系统、IPS(Intrusion Prevention System,入侵防御系统)和WAF(Web Application Firewall,Web应用防护系统)等)都会产生海量的告警日志,记录了设备上和网络中的网络安全事件,可以通过对这些日志的查询和统计来了解当前网络的安全威胁状况。
但是所有这些告警都存在一个严重的问题,简而言之就是只有结果没有原因,甚至这些结果存在大量的冗余以及误报。而所有网络安全事件的根源在于安全威胁,没有深层的威胁分析的安全告警是没有实际使用价值的。尤其在当前的安全环境中,存在孤证不立的客观情况,没有交叉验证和完整的证据链,基本上是对于单一、孤立安全事件的响应与分析,因此具有极大的局限性,同时由于是单一事件分析,会导致海量数据累积,从而将真正的威胁隐没于洪流之中,而网络安全管理人员很难从中挖掘出有价值的信息,使得当前网络安全威胁分析遇到很大的困难。
网络安全威胁随着数据驱动技术的激增而增长,在不中断运营和增长的情况下防范常规和有针对性的威胁已成为越来越重要的业务需求。为了更好地为相关管理人员提供他们做出有影响力和影响深远的战略决策所需的信息,必须清楚地了解所有剩余和不断发展的业务威胁。现在网络安全风险评估领域,国内的安全风险管理基本上是以脆弱性评估为主,国外则是以整体安全风险管理的角度进行安全评估与治理。但是无论是国内还是国外,当前安全风险管理,特别是针对威胁管理基本上还是以定性的方式在实施的,无法对威胁风险进行量化,因此无法对威胁的风险程度进行准确地评估。
发明内容
本申请提供一种网络安全威胁的量化分析方法及装置,对同一个来源IP的安全威胁进行分析,获得该来源IP的威胁风险值,将安全威胁的风险进行量化,以准确评估威胁的风险程度。
本申请提供了一种网络安全威胁的量化分析方法,包括:
采集威胁数据并对威胁数据进行预处理;
对预处理后的威胁数据进行分析,获得同一个来源IP的所有安全威胁之间的关联关系;
利用关联关系计算来源IP的威胁风险值,作为对来源IP的评估结果;
输出评估结果。
优选地,输出数据为来源IP的威胁攻击链路的可视化结果。
优选地,采用频繁模式树获得同一个来源IP的所有安全威胁之间的关联关系。
优选地,对预处理后的威胁数据进行分析,获得同一个来源IP的所有安全威胁之间的关联关系,具体包括:
对预处理后的威胁数据进行数据清洗,将安全威胁转换成事务数据库,每个安全威胁作为事务数据库中的一个项,将安全威胁发生的时间和空间作为安全威胁的属性,将不同安全威胁的属性值组合成一个项集;
基于事务数据库构建频繁模式树,其中,依据最小支持度和最小置信度筛选对每个安全威胁的频繁项集;
在频繁模式树上,利用频繁模式增长算法挖掘来自同一来源IP的安全威胁的频繁项集;
依据频繁项集的挖掘结果,对同一来源IP的所有安全威胁进行关联分析,获得同一来源IP的不同安全威胁之间的关联和异常情况。
优选地,利用关联关系计算来源IP的威胁风险值,具体包括:
依据关联关系统计同一来源IP的威胁定量分析指标;
依据威胁定量分析指标计算来源IP的威胁风险值。
本申请还提供一种网络安全威胁的量化分析装置,包括数据采集和预处理模块、威胁感知模块、威胁量化模块以及输出模块;
数据采集和预处理模块用于采集威胁数据并对威胁数据进行预处理;
威胁感知模块用于对预处理后的威胁数据进行分析,获得同一个来源IP的所有安全威胁之间的关联关系;
威胁量化模块用于利用关联关系计算来源IP的威胁风险值,作为对来源IP的评估结果;
输出模块用于输出评估结果。
优选地,输出模块的输出数据为来源IP的威胁攻击链路的可视化结果。
优选地,威胁感知模块用于采用频繁模式树获得同一个来源IP的所有安全威胁之间的关联关系。
优选地,威胁感知模块包括转换模块、构建模块、挖掘模块以及关联分析模块;
转换模块用于对预处理后的威胁数据进行数据清洗,将安全威胁转换成事务数据库,每个安全威胁作为事务数据库中的一个项,将安全威胁发生的时间和空间作为安全威胁的属性,将不同安全威胁的属性值组合成一个项集;
构建模块用于基于事务数据库构建频繁模式树,其中,依据最小支持度和最小置信度筛选对每个安全威胁的频繁项集;
挖掘模块用于在频繁模式树上,利用频繁模式增长算法挖掘来自同一来源IP的安全威胁的频繁项集;
关联分析模块用于依据频繁项集的挖掘结果,对同一来源IP的所有安全威胁进行关联分析,获得同一来源IP的不同安全威胁之间的关联和异常情况。
优选地,威胁量化模块包括统计模块以及计算模块;
统计模块用于依据关联关系统计同一来源IP的威胁攻击总时长、威胁攻击的目标数量、威胁攻击手段的数量以及威胁攻击的总次数;
计算模块用于依据威胁攻击总时长、威胁攻击的目标数量、威胁攻击手段的数量以及威胁攻击的总次数计算来源IP的威胁风险值。
通过以下参照附图对本申请的示例性实施例的详细描述,本申请的其它特征及其优点将会变得清楚。
附图说明
被结合在说明书中并构成说明书的一部分的附图示出了本申请的实施例,并且连同其说明一起用于解释本申请的原理。
图1为本申请提供的网络安全威胁的量化分析方法的流程图;
图2为本申请提供的FP-tree的一个示例;
图3为本申请提供的网络安全威胁的量化分析装置的结构图。
具体实施方式
现在将参照附图来详细描述本申请的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本申请的范围。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本申请及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,技术、方法和设备应当被视为说明书的一部分。
在这里示出和讨论的所有例子中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它例子可以具有不同的值。
本申请提供一种网络安全威胁的量化分析方法及装置,对同一个来源IP的安全威胁进行分析,获得该来源IP的威胁风险值,将安全威胁的风险进行量化,以准确评估威胁的风险程度。另外,本申请采用频繁模式树(Frequent Pattern tree,FP-tree)的方式对同一来源IP的安全威胁进行关联及统计,FP-tree的压缩性大大了减少挖掘频繁项集的时间和空间复杂度,从而提高了数据分析的效率。并且,本申请在计算威胁攻击的总次数时考虑了被攻击的信息资产的重要程度,能够实现对于核心信息资产的重点保护,同时能够对于网络安全噪音数据进行有效收敛,并实现事前预防安全风险,事中监控分析及事后回溯取证,从而助力企业满足安全合规要求、提升网络安全治理水平,切实保障网络的安全运行,提升运营效率,提高安全管理水平。
实施例一
如图1所示,本申请提供的网络安全威胁的量化分析方法包括:
S110:采集威胁数据并对威胁数据进行预处理。
具体地,对网络设备、安全设备、操作系统、数据库、中间件、业务系统所产生的外发日志数据和安全告警数据进行高速采集,实现威胁数据的全生命周期管理。
威胁数据的采集任务包括离线采集、实时采集、增量采集、全量采集。
威胁数据内容可以为Log,Metric,TraceID、Flow、镜像流量。
威胁数据采集方式包括syslog、Snmp-Trap、文本文件采集、Agent采集、Kafka采集、数据库读操作。
本申请支持UTF-8\UTF-16\GB2312\GBK\ASCII\CP936编码解析,并支持以上编码字段的识别,还支持嵌套编码的独立识别与解析。
获得威胁数据后,对威胁数据的预处理包括:
1)数据格式的标准化通过自动或手动配置数据解析规则,实现数据的格式化解析和标准化存储。
2)数据内容的标准化
对于同一类安全威胁(即威胁数据的内容),不同的设备厂商可能会将其分类到不同的威胁类型中,这导致无法统一后续数据分析的标准。因此,在预处理阶段,需要利用统一的解析规则,将威胁数据的分类进行格式化和集中存储。
如果威胁数据的格式是标准化的,则通过Keypairs解析、json格式解析、csv格式解析等方式实现威胁内容的解析与识别。本申请支持针对数据内容的数据类型自定义扩展。
通过编写正则(包括子正则嵌套)方式的识别规则,对威胁数据进行流水线式的逐级精准匹配,并可实现转码、语义转换等复杂场景的处理,实现数据内容的标准化。
S120:对预处理后的威胁数据进行分析,获得同一个来源IP的所有安全威胁之间的关联关系,用于对整体的网络运行状态、信息资产和安全设备进行威胁感知。
作为一个实施例,采用频繁模式树(FP-tree)获得同一个来源IP的所有安全威胁之间的关联关系。其中,频繁模式增长(Frequent Pattern Growth,FP-Growth)算法是一种在不使用候选生成的情况下查找频繁项集的替代方法,从而提高了性能,其通过递归地寻找短模式然后将它们连接成长频繁模式来降低搜索成本。该方法的核心是使用一种特殊的数据结构,即FP-tree,它保留了项集关联信息。频繁模式树(FP-tree)是一种紧凑的数据结构,用于存储数据库中有关频繁模式的定量信息。用数据库的初始项集创建频繁模式树。FP-tree的目的是挖掘最频繁的模式。FP-tree的每个节点代表项目集中的一个项目。
在该实施例中,对预处理后的威胁数据进行分析,获得同一个来源IP的所有安全威胁之间的关联关系,具体包括:
S1201:对预处理后的威胁数据进行数据清洗,将安全威胁转换成事务数据库的形式,每个安全威胁作为一个事务。将威胁数据转化为FP-tree的形式。具体操作为将每个安全威胁作为事务数据库中的一个项,将安全威胁发生的时间和空间作为安全威胁的属性,将不同安全威胁的属性值组合成一个项集。
S1202:基于事务数据库构建频繁模式树FP-tree。在构建过程中,依据最小支持度和最小置信度筛选对每个安全威胁具有一定支持度和置信度的频繁项集。
S1203:在频繁模式树FP-tree上,利用频繁模式增长FP-growth算法挖掘来自同一来源IP的安全威胁的频繁项集。
S1204:依据频繁项集的挖掘结果,对同一来源IP的所有安全威胁进行关联分析,获得同一来源IP的不同安全威胁之间的关联和异常情况。
图2示出了FP-tree的一个示例,其中,根节点代表空(null),表示没有检测到安全威胁,而其他的节点表示安全威胁的不同要素。在威胁树中进行频繁项的挖掘,从而建立威胁之间的逻辑关系,然后进行归并。
作为示例,图中标记的含义如下:
A:5代表同一个来源IP的攻击为5次;
B:2代表对某个重要资产攻击了2次;
C:3代表高级别攻击为3次;
C:2代表高级别的攻击为2次;
D:1代表SQL(Structured Query Language,结构化查询语言)注入攻击1次;
D:2代表SQL注入攻击2次;
E:1代表攻击持续时间为1天;
路径ABC代表某个攻击来源对某个重要资产的高风险攻击;
路径ABCD代表某个攻击来源对某个重要资产的高风险的SQL注入攻击;
路径AC代表某个攻击来源对非重要资产发起的高风险攻击;
路径ACD代表某个攻击来源对非重要资产发起的高风险的SQL注入攻击;
路径ACE代表某个攻击来源对非重要资产发起的高风险攻击的持续时间。
S130:利用关联关系计算来源IP的威胁风险值,作为对来源IP的评估结果,进而对威胁进行分类,确定威胁的危害等级和应对措施。
具体地,对于关联的威胁数据通过模型算法实现定量化分析,根据对威胁发生的可能性和威胁发生对系统机密性、可用性和完整性造成损害的严重程度进行定量分析。
与威胁要素有关的风险分析原理包括3条,具体如下:
1)利用威胁来源、种类、动机等,并结合威胁相关安全事件、日志等历史统计数据,确定威胁的能力和频率,该项与下述的威胁攻击手段的数量w相关;
其中,威胁来源包括环境、意外和人为。威胁种类包括物理损害、自然灾害、信息损害、技术失效、未授权行为、功能损害、供应链失效。威胁动机包括恶意和非恶意,本申请只针对恶意威胁动机进行描述和定量化。如下表1为一个威胁统计表的示例。
表1
2)利用脆弱性被威胁利用导致安全事件后对资产造成的影响程度,该项与下述的威胁攻击的目标数量t相关;
3)根据威胁的能力和频率,结合脆弱性被利用的难易程度,确定安全事件发生的可能性,该项与下述的威胁攻击总时长d和威胁攻击的目标数量t相关。
作为一个实施例,利用关联关系计算来源IP的威胁风险值,具体包括:
S1301:依据关联关系统计同一来源IP的威胁定量分析指标。
作为一个实施例,采用“4W3H”原则获得威胁定量分析指标。“4W3H”原则如下表2:
表2
作为一个实施例,威胁定量分析指标包括同一来源IP的威胁攻击总时长d、威胁攻击的目标数量t、威胁攻击手段的数量w以及威胁攻击的总次数f(n)。
其中,威胁攻击的总次数f(n)取决于各种威胁攻击手段的权重Vw及其攻击次数Timesw,即
其中,威胁攻击手段的权重Vw与被攻击的业务系统的安全价值V呈正线性关系,被攻击的业务系统的安全价值V越大,威胁攻击手段的权重Vw越大。其中,业务系统包括为实现同一业务目标的一组信息资产,将它们作为一个单位进行管理与维护。
其中,确定业务系统的安全价值V包括如下步骤:
P1:信息资产的采集
采集方式包括主动和被动两种。
主动方式采集:主动采集通过端口扫描的方式来收集网络当中存活的信息资产,为了解决大型网络海量资产问题,本申请采用Masscan+NMAP+内置指纹库,并行工作的模式,Masscan(极速扫描器)进行快速的设备定位和端口收集,NMAP(Network Mapper,网络映射器)用于进行精细扫描和资产类型识别,内置指纹库用于专用设备的补充与结果的纠偏。
被动方式采集:被动采集模式通过镜像流量的方式,进行网络流量的被动收集,并且通过DPI深度包解析技术,识别网络通信中的信息资产。
P2:信息资产的安全赋值
需要说明的是业务系统的安全价值不同于业务系统本身的价值,其安全价值是在网络环境下随着网络安全威胁的变化而不断变化的,其主要取决于业务系统内所有信息资产的机密性Ci、完整性Ii和可用性Ai。例如,若攻击方从信息资产上获取到了重要信息,则信息资产的机密性减弱。若攻击方对信息资产中的管理规则等进行了修改,导致信息资产的功能与预设不同,则信息资产的完整性减弱。若攻击方损坏了信息资产的正常功能,则信息资产的可用性减弱。
具体地,通过如下公式计算业务系统的安全价值V:
其中,Ci、Ii、Ai分别代表第i个信息资产的机密性、完整性和可用性,N代表业务系统内信息资产的数量。
S1302:依据威胁定量分析指标计算来源IP的威胁风险值T:
T=f(d, t, w, f(n)) (3)
本实施例不仅考虑到了网络安全威胁的时间(攻击时长、次数)、空间维度(攻击路径、来源、目标),而且考虑到其关联的其它安全属性,从而大幅度提升了分析的精准度和实用性,可以答复提升网络安全管理人员的工作效率,有效提升网络安全风险管理水平。
S140:输出评估结果,用于展示当前安全威胁在网络空间攻击的方式和扩散的路径。
攻击路径是攻击方利用攻击期间发生的持续流程的可视化表示。攻击路径强调“连接点”并查看所施加风险的整个上下文。这包括从相关资产的网络暴露开始,继续到其访问权限被附加的风险角色和权限提升的资产,一直到如果攻击是被利用或影响的敏感资产被攻击者成功执行。
作为一个实施例,输出数据为来源IP的威胁攻击链路的可视化结果,即威胁攻击链路图,威胁攻击链路图是一种可视化的攻击图,其通过一种简洁的方式来显示恶意用户可以执行的所有攻击序列,以获得所需的目标。
实施例二
基于上述量化分析方法,本申请还提供一种网络安全威胁的量化分析装置。如图3所示,量化分析装置包括数据采集和预处理模块310、威胁感知模块320、威胁量化模块330以及输出模块340。
数据采集和预处理模块310用于采集威胁数据并对威胁数据进行预处理。
威胁感知模块320用于对预处理后的威胁数据进行分析,获得同一个来源IP的所有安全威胁之间的关联关系。
威胁量化模块330用于利用关联关系计算来源IP的威胁风险值,作为对来源IP的评估结果。
输出模块340用于输出评估结果。
优选地,输出模块340的输出数据为来源IP的威胁攻击链路的可视化结果。
优选地,威胁感知模块320用于采用频繁模式树获得同一个来源IP的所有安全威胁之间的关联关系。
优选地,威胁感知模块320包括转换模块3201、构建模块3202、挖掘模块3203以及关联分析模块3204。
转换模块3201用于对预处理后的威胁数据进行数据清洗,将安全威胁转换成事务数据库,每个安全威胁作为事务数据库中的一个项,将安全威胁发生的时间和空间作为安全威胁的属性,将不同安全威胁的属性值组合成一个项集。
构建模块3202用于基于事务数据库构建频繁模式树,其中,依据最小支持度和最小置信度筛选对每个安全威胁的频繁项集。
挖掘模块3203用于在频繁模式树上,利用频繁模式增长算法挖掘来自同一来源IP的安全威胁的频繁项集。
关联分析模块3204用于依据频繁项集的挖掘结果,对同一来源IP的所有安全威胁进行关联分析,获得同一来源IP的不同安全威胁之间的关联和异常情况。
优选地,威胁量化模块330包括统计模块3301以及计算模块3302。
统计模块3301用于依据关联关系统计同一来源IP的威胁攻击总时长、威胁攻击的目标数量、威胁攻击手段的数量以及威胁攻击的总次数。
计算模块3302用于依据威胁攻击总时长、威胁攻击的目标数量、威胁攻击手段的数量以及威胁攻击的总次数计算来源IP的威胁风险值。
综上,本申请不仅可以精准感知当前网络真实的风险与威胁,有效提高网络安全管理人员对于风险的感知以及应对能力,系统还有助于提升整体安全治理水平。
虽然已经通过例子对本申请的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上例子仅是为了进行说明,而不是为了限制本申请的范围。本领域的技术人员应该理解,可在不脱离本申请的范围和精神的情况下,对以上实施例进行修改。本申请的范围由所附权利要求来限定。
Claims (10)
1.一种网络安全威胁的量化分析方法,其特征在于,包括:
采集威胁数据并对所述威胁数据进行预处理;
对预处理后的威胁数据进行分析,获得同一个来源IP的所有安全威胁之间的关联关系;
利用所述关联关系计算所述来源IP的威胁风险值,作为对所述来源IP的评估结果;
输出所述评估结果。
2.根据权利要求1所述的网络安全威胁的量化分析方法,其特征在于,输出数据为所述来源IP的威胁攻击链路的可视化结果。
3.根据权利要求1所述的网络安全威胁的量化分析方法,其特征在于,采用频繁模式树获得同一个来源IP的所有安全威胁之间的关联关系。
4.根据权利要求3所述的网络安全威胁的量化分析方法,其特征在于,对预处理后的威胁数据进行分析,获得同一个来源IP的所有安全威胁之间的关联关系,具体包括:
对所述预处理后的威胁数据进行数据清洗,将安全威胁转换成事务数据库,每个安全威胁作为所述事务数据库中的一个项,将安全威胁发生的时间和空间作为安全威胁的属性,将不同安全威胁的属性值组合成一个项集;
基于所述事务数据库构建频繁模式树,其中,依据最小支持度和最小置信度筛选对每个安全威胁的频繁项集;
在频繁模式树上,利用频繁模式增长算法挖掘来自同一来源IP的安全威胁的频繁项集;
依据频繁项集的挖掘结果,对同一来源IP的所有安全威胁进行关联分析,获得同一来源IP的不同安全威胁之间的关联和异常情况。
5.根据权利要求1或4所述的网络安全威胁的量化分析方法,其特征在于,利用所述关联关系计算所述来源IP的威胁风险值,具体包括:
依据所述关联关系统计同一来源IP的威胁定量分析指标;
依据所述威胁定量分析指标计算所述来源IP的威胁风险值。
6.一种网络安全威胁的量化分析装置,其特征在于,包括数据采集和预处理模块、威胁感知模块、威胁量化模块以及输出模块;
所述数据采集和预处理模块用于采集威胁数据并对所述威胁数据进行预处理;
所述威胁感知模块用于对预处理后的威胁数据进行分析,获得同一个来源IP的所有安全威胁之间的关联关系;
所述威胁量化模块用于利用所述关联关系计算所述来源IP的威胁风险值,作为对所述来源IP的评估结果;
所述输出模块用于输出所述评估结果。
7.根据权利要求6所述的网络安全威胁的量化分析装置,其特征在于,所述输出模块的输出数据为所述来源IP的威胁攻击链路的可视化结果。
8.根据权利要求6所述的网络安全威胁的量化分析装置,其特征在于,所述威胁感知模块用于采用频繁模式树获得同一个来源IP的所有安全威胁之间的关联关系。
9.根据权利要求8所述的网络安全威胁的量化分析装置,其特征在于,所述威胁感知模块包括转换模块、构建模块、挖掘模块以及关联分析模块;
所述转换模块用于对所述预处理后的威胁数据进行数据清洗,将安全威胁转换成事务数据库,每个安全威胁作为所述事务数据库中的一个项,将安全威胁发生的时间和空间作为安全威胁的属性,将不同安全威胁的属性值组合成一个项集;
所述构建模块用于基于所述事务数据库构建频繁模式树,其中,依据最小支持度和最小置信度筛选对每个安全威胁的频繁项集;
所述挖掘模块用于在频繁模式树上,利用频繁模式增长算法挖掘来自同一来源IP的安全威胁的频繁项集;
所述关联分析模块用于依据频繁项集的挖掘结果,对同一来源IP的所有安全威胁进行关联分析,获得同一来源IP的不同安全威胁之间的关联和异常情况。
10.根据权利要求6或9所述的网络安全威胁的量化分析装置,其特征在于,所述威胁量化模块包括统计模块以及计算模块;
所述统计模块用于依据所述关联关系统计同一来源IP的威胁攻击总时长、威胁攻击的目标数量、威胁攻击手段的数量以及威胁攻击的总次数;
所述计算模块用于依据所述威胁攻击总时长、所述威胁攻击的目标数量、所述威胁攻击手段的数量以及所述威胁攻击的总次数计算所述来源IP的威胁风险值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310353823.1A CN116436659A (zh) | 2023-04-04 | 2023-04-04 | 一种网络安全威胁的量化分析方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310353823.1A CN116436659A (zh) | 2023-04-04 | 2023-04-04 | 一种网络安全威胁的量化分析方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116436659A true CN116436659A (zh) | 2023-07-14 |
Family
ID=87079110
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310353823.1A Pending CN116436659A (zh) | 2023-04-04 | 2023-04-04 | 一种网络安全威胁的量化分析方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116436659A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117473571A (zh) * | 2023-11-10 | 2024-01-30 | 青岛中企英才集团商业管理有限公司 | 一种数据信息安全处理方法及系统 |
| CN117675523A (zh) * | 2024-02-03 | 2024-03-08 | 北京中科网芯科技有限公司 | 基于风险预测的网络通信管理方法及系统 |
-
2023
- 2023-04-04 CN CN202310353823.1A patent/CN116436659A/zh active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117473571A (zh) * | 2023-11-10 | 2024-01-30 | 青岛中企英才集团商业管理有限公司 | 一种数据信息安全处理方法及系统 |
| CN117473571B (zh) * | 2023-11-10 | 2024-05-14 | 广东深技信息科技有限公司 | 一种数据信息安全处理方法及系统 |
| CN117675523A (zh) * | 2024-02-03 | 2024-03-08 | 北京中科网芯科技有限公司 | 基于风险预测的网络通信管理方法及系统 |
| CN117675523B (zh) * | 2024-02-03 | 2024-05-03 | 北京中科网芯科技有限公司 | 基于风险预测的网络通信管理方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6697802B2 (en) | Systems and methods for pairwise analysis of event data | |
| CN116436659A (zh) | 一种网络安全威胁的量化分析方法及装置 | |
| CN117473571B (zh) | 一种数据信息安全处理方法及系统 | |
| Sadoddin et al. | An incremental frequent structure mining framework for real-time alert correlation | |
| CN114915479B (zh) | 一种基于Web日志的Web攻击阶段分析方法及系统 | |
| Santos et al. | Approaches and challenges in database intrusion detection | |
| CN116226894B (zh) | 一种基于元仓的数据安全治理系统及方法 | |
| Chen et al. | Log analytics for dependable enterprise telephony | |
| CN113904881A (zh) | 一种入侵检测规则误报处理方法和装置 | |
| Vavilis et al. | An anomaly analysis framework for database systems | |
| Kotenko et al. | Data analytics for security management of complex heterogeneous systems: event correlation and security assessment tasks | |
| Lambert II | Security analytics: Using deep learning to detect cyber attacks | |
| Suresh et al. | Insider attack: Internal cyber attack detection using machine learning | |
| CN114826638B (zh) | 基于状态特征相似性的拟态路由器异常检测方法及系统 | |
| KR101810860B1 (ko) | 개인정보 보안제품 통합관제 시스템 | |
| Spathoulas et al. | Methods for post-processing of alerts in intrusion detection: A survey | |
| Pavlov et al. | Analysis of IDS alert correlation techniques for attacker group recognition in distributed systems | |
| Sallam et al. | Detection of temporal data Ex-filtration threats to relational databases | |
| US20230396640A1 (en) | Security event management system and associated method | |
| Zhu et al. | Business process mining based insider threat detection system | |
| CN107623677B (zh) | 数据安全性的确定方法和装置 | |
| Hu et al. | Design and analysis of techniques for detection of malicious activities in database systems | |
| Karthika et al. | Behavioral profile generation for 9/11 terrorist network using efficient selection strategies | |
| Zhu et al. | SPYRAPTOR: A Stream-based Smart Query System for Real-Time Threat Hunting within Enterprise | |
| Vennila et al. | Correlated alerts and non-intrusive alerts |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |