本发明专利技术提供的单台在网设备风险评估方法及系统,该方法中,设置多个检查项、以及每个检查项的风险等级;根据检查项对待测单台在网设备进行实时检测,得到检测结果;存储预设的评估时间内得到的检测结果,包括检测结果中出现告警的检查项、该检查项的风险等级、以及待测单台在网设备出现告警的次数;根据预设的评估模型对存储的检测结果进行分析,得到设备行为损失值;根据设备行为损失值计算待测单台在网设备的风险分值。该方法抛弃现有技术中取所有检查项中的最高告警分值的思路,定时对网络设备进行检测,对某时间段内所有的检测结果进行统计,能够加入告警次数进行分析,评估方法更有效。
【技术实现步骤摘要】
单台在网设备风险评估方法及系统
本专利技术属于互联网
,具体涉及单台在网设备风险评估方法及系统。
技术介绍
现有技术中,单台在网设备风险评价主要有以下几种方式:1.设定检测规则,设定多条检测项,根据检测项对网络设备进行检测,通过每条检测项的威胁程度人为确定风险等级,作为网络设备风险衡量指标;2.设定设备检查项目,所有检查项目设定分值,单一检测项的告警无法直观的展现设备风险总体状况。以上两种方法的评价粒度太粗疏,而且一般网络风险评价均是在某个时间段内的风险状态,但是设备可能在某时段内,若干危险检测会频繁告警,但风险等级或扣分相同,无法将告警次数合理地加入考察,无法综合考虑多种告警的结果,于是无法对网络安全管理员提供有效的参考。
技术实现思路
针对现有技术中的缺陷,本专利技术提供单台在网设备风险评估方法及系统,能够加入告警次数进行分析,能够综合考虑多种告警的类型,评估方法更有效。第一方面,一种单台在网设备风险评估方法,包括以下步骤:设置多个检查项、以及每个检查项的风险等级;根据检查项对待测单台在网设备进行实时检测,得到检测结果;存储预设的评估时间内得到的检测结果,包括检测结果中出现告警的检查项、该检查项的风险等级、以及待测单台在网设备出现告警的次数;根据预设的评估模型对存储的检测结果进行分析,得到设备行为损失值;根据设备行为损失值计算待测单台在网设备的风险分值。进一步地,所述根据检查项对待测单台在网设备进行实时检测,得到检测结果具体包括;根据检查项对待测单台在网设备进行实时检测;对出现告警的检查项的风险等级进行评分,得到告警分值;记录告警分值;所述检测结果包括所述告警分值。进一步地,所述根据预设的评估模型对所有的检测结果进行分析,得到设备行为损失值具体包括:设置分析时间;当分析时间到达时,通过下式计算设备行为损失值:behavior_loss=(max_level+sum_level×0.1)×max_level×tanh(check_count);其中,behavior_loss为待测单台在网设备的设备行为损失值,max_level为待测单台在网设备的检测结果中最高的告警分值,sum_level为待测单台在网设备的检测结果中所有告警分值之和,check_count为待测单台在网设备出现告警的累计次数,进一步地,所述根据设备行为损失值计算待测单台在网设备的风险分值具体包括:设置满分分值;采用扣分法,在满分分值的基础上,减去待测单台在网设备的设备行为损失值,得到所述风险分值。第二方面,一种单台在网设备风险评估系统,包括:设置单元:用于设置多个检查项、以及每个检查项的风险等级;检测单元:用于根据检查项对待测单台在网设备进行实时检测,得到检测结果;统计单元:用于存储预设的评估时间内得到的检测结果,包括检测结果中出现告警的检查项、该检查项的风险等级、以及待测单台在网设备出现告警的次数;评估单元:用于根据预设的评估模型对存储的检测结果进行分析,得到设备行为损失值;还用于根据设备行为损失值计算待测单台在网设备的风险分值。进一步地,所述根据检查项对待测单台在网设备进行实时检测,得到检测结果具体包括;根据检查项对待测单台在网设备进行实时检测;对出现告警的检查项的风险等级进行评分,得到告警分值;记录告警分值;所述检测结果包括所述告警分值。进一步地,所述根据预设的评估模型对所有的检测结果进行分析,得到设备行为损失值具体包括:设置分析时间;当分析时间到达时,通过下式计算设备行为损失值:behavior_loss=(max_level+sum_level×0.1)×max_level×tanh(check_count);其中,behavior_loss为待测单台在网设备的设备行为损失值,max_level为待测单台在网设备的检测结果中最高的告警分值,sum_level为待测单台在网设备的检测结果中所有告警分值之和,check_count为待测单台在网设备出现告警的累计次数,进一步地,所述根据设备行为损失值计算待测单台在网设备的风险分值具体包括:设置满分分值;采用扣分法,在满分分值的基础上,减去待测单台在网设备的设备行为损失值,得到所述风险分值。由上述技术方案可知,本专利技术提供的单台在网设备风险评估方法及系统,抛弃现有技术中取所有检查项中的最高告警分值的思路,定时对网络设备进行检测,对某时间段内所有的检测结果进行统计,能够加入告警次数进行分析,评估方法更有效。附图说明为了更清楚地说明本专利技术具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中,类似的元件或部分一般由类似的附图标记标识。附图中,各元件或部分并不一定按照实际的比例绘制。图1为实施例一提供的评估方法的流程图。图2为实施例四提供的评估系统的模块框图。具体实施方式下面将结合附图对本专利技术技术方案的实施例进行详细的描述。以下实施例仅用于更加清楚地说明本专利技术的技术方案,因此只作为示例,而不能以此来限制本专利技术的保护范围。需要注意的是,除非另有说明,本申请使用的技术术语或者科学术语应当为本专利技术所属领域技术人员所理解的通常意义。应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。如在本说明书和所附权利要求书中所使用的那样,术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地,短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。实施例一:参见图1,一种单台在网设备风险评估方法,包括以下步骤:S1:设置多个检查项、以及每个检查项的风险等级;具体地,检查项出现告警包括“不合规行为”、“异常行为”、“危险行为”三个方面。例如如果检测到网络设备的IP/MAC地址变化、设备名发生变化、操作系统发生变化等,则认为出现异常行为。不同的检查项根据其威胁程度定义风险等级,对于威胁程度低的检查项,其风险等级低。对于威胁程度高的检查项,其风险等级高。单台在网设备包含PC设备、网络设备、移动设备、IoT设备、ICS设备等。S2:根据检查项对待测单台在网设备进行实时检测,得到检测结果;具体地,待测单台在网设备在进行检测时,需要对所有的检查项进行检测。检测结果中包含了所有合规行为、不合规行为、异常行为、危险行为的检查项,还记录了告警行为的检查项的风险等级。在根据检查项进行检测时,是实时进行检测,这样能实时检测网络设备的安全性。S3:存储预设的评估时间内得到的检测结果,包括检测结果中出现告警的检查项、该检查项的风险等级、以及待测单台在网设备出现告警的次数;具体地,统计告警的检查项,方便后续进行风险评估。单台在网设备出现告警的次数即所有检测报告中出现告警的检查项的累计数量。S4:根据预设的评估模型对存储的检测结果进行分析,得到设备行为损失值;具体地,可以定时对检测结果进行分析。例如:例如设置分析时间,分析时间可以为一个小时、本文档来自技高网...
【技术保护点】
1.一种单台在网设备风险评估方法,其特征在于,包括以下步骤:设置多个检查项、以及每个检查项的风险等级;根据检查项对待测单台在网设备进行实时检测,得到检测结果;存储预设的评估时间内得到的检测结果,包括检测结果中出现告警的检查项、该检查项的风险等级、以及待测单台在网设备出现告警的次数;根据预设的评估模型对存储的检测结果进行分析,得到设备行为损失值;根据设备行为损失值计算待测单台在网设备的风险分值。
【技术特征摘要】
1.一种单台在网设备风险评估方法,其特征在于,包括以下步骤:设置多个检查项、以及每个检查项的风险等级;根据检查项对待测单台在网设备进行实时检测,得到检测结果;存储预设的评估时间内得到的检测结果,包括检测结果中出现告警的检查项、该检查项的风险等级、以及待测单台在网设备出现告警的次数;根据预设的评估模型对存储的检测结果进行分析,得到设备行为损失值;根据设备行为损失值计算待测单台在网设备的风险分值。2.根据权利要求1所述单台在网设备风险评估方法,其特征在于,所述根据检查项对待测单台在网设备进行实时检测,得到检测结果具体包括;根据检查项对待测单台在网设备进行实时检测;对出现告警的检查项的风险等级进行评分,得到告警分值;记录告警分值;所述检测结果包括所述告警分值。3.根据权利要求2所述单台在网设备风险评估方法,其特征在于,所述根据预设的评估模型对所有的检测结果进行分析,得到设备行为损失值具体包括:设置分析时间;当分析时间到达时,通过下式计算设备行为损失值:behavior_loss=(max_level+sum_level×0.1)×max_level×tanh(check_count);其中,behavior_loss为待测单台在网设备的设备行为损失值,max_level为待测单台在网设备的检测结果中最高的告警分值,sum_level为待测单台在网设备的检测结果中所有告警分值之和,check_count为待测单台在网设备出现告警的累计次数,4.根据权利要求1-3中任一权利要求所述单台在网设备风险评估方法,其特征在于,所述根据设备行为损失值计算待测单台在网设备的风险分值具体包括:设置满分分值;采用扣分法,在满分分值的基础上,减去待测单台在网设备的设备行为损失值,得到所述风险分值。5.一种单台在网设备风险评...
【专利技术属性】
技术研发人员:涂大志,郭景楠,王新成,王志,
申请(专利权)人:深圳市联软科技股份有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。