The invention provides a quantitative evaluation method based on the accuracy of threat detection, which constructs an attack chain based on the abnormal traffic in the assets to be detected; evaluates the threat events contained in the attack chain and the associated information of the threat assets to determine the detection accuracy of the threat events and the associated information of the threat assets; and determines the detection assets according to the comprehensive score of the detection accuracy The accuracy level of threat; the above scheme combines the self-correlation accuracy evaluation of threat detection abnormal traffic with the accuracy evaluation of association vulnerability, regional boundary and communication network, and asset environment threat detection to determine the accuracy of threat detection results, so that users can quickly obtain the most valuable abnormal traffic in the sea data.
【技术实现步骤摘要】
一种基于威胁检测准确度的量化评估方法
本专利技术属于网络安全检测
,具体涉及一种基于威胁检测准确度的量化评估方法。
技术介绍
随着我国互联网脚步的加快,威胁不断加剧,网络安全隐患越来越多。对网络和设备的攻击,可能破坏企业重要装置的正常测控,由此引发的后果是灾难性的。国家对网络的安全越来越重视。但是当前仍然缺乏一种可量化的威胁准确度评估方法,可以直观、量化的评定一个网络威胁的准确度。现有威胁检测往往会产生大量异常流量信息,单纯的列出异常流量信息,难以发掘其中具有风险或者有价值的威胁信息。其中,专利技术专利CN101309179B一种基于主机活跃性和通信模式分析实时异常流量检测方法,通过知识库与检测出的流量进行对比,对比一致的归为异常流量。这种方式检测方法单一,对异常流量评估准确度较低。而专利技术专利CN109617888A一种基于神经网络的异常流量检测方法及系统,通过神经网络模型进行训练提高异常流量检测的准确性。但该方法需要大量训练,且训练的模型对环境依赖较大。
技术实现思路
为了解决现有技术的问题,本专利技术提供一种基于威胁检测准确度的量化评估方法,通过对异常流量的多个指标进行量化计算,关联威胁检测结果,评估威胁检测结果的准确度,以便用户在海量数据中快速获取到价值最高的异常流量。为了实现上述专利技术目的,本专利技术采取如下技术方案:一种基于威胁检测准确度的量化评估方法,所述方法包括:基于待检测资产中的异常流量构建攻击链;对所述攻击链包含的威胁事 ...
【技术保护点】
1.一种基于威胁检测准确度的量化评估方法,其特征在于,所述方法包括:/n基于待检测资产中的异常流量构建攻击链;/n对所述攻击链包含的威胁事件,以及威胁资产的关联信息进行评估,确定所述威胁事件和威胁资产关联信息的检测准确度;/n根据所述检测准确度的综合评分,确定检测资产威胁的准确度等级。/n
【技术特征摘要】
1.一种基于威胁检测准确度的量化评估方法,其特征在于,所述方法包括:
基于待检测资产中的异常流量构建攻击链;
对所述攻击链包含的威胁事件,以及威胁资产的关联信息进行评估,确定所述威胁事件和威胁资产关联信息的检测准确度;
根据所述检测准确度的综合评分,确定检测资产威胁的准确度等级。
2.根据权利要求1所述的方法,其特征在于,所述基于待检测资产中的异常流量构建攻击链包括:
通过扫描工具获取待检测资产在单位时间段内的异常流量;
将所述异常流量输入安全分析器,输出攻击链G;其中,
所述攻击链G包含n个威胁事件L1、L2,……,Ln。
3.根据权利要求1所述的方法,其特征在于,所述对攻击链包含的威胁事件,以及威胁资产的关联信息进行评估,确定所述威胁事件和威胁资产关联信息的检测准确度包括:
根据预先定义的威胁事件攻击阶段,划分攻击链中的威胁事件;
对处于不同攻击阶段的威胁事件进行评估,确定威胁事件的检测准确度;
逐一计算资产威胁关联的漏洞检测准确度、区域边界和通信网络、资产环境的检测准确度;
其中,所述攻击阶段包括:渗透入侵,C&C通信,横向移动,数据收集和数据外发。
4.根据权利要求3所述的方法,其特征在于,通过下式确定威胁事件的检测准确度:
WX=Max(xi)
其中,WX表示威胁事件的检测准确度评分,xi表示第i个威胁事件Li的检测准确度。
5.根据权利要求3所述的方法,其特征在于,所述逐一计算资产威胁关联的漏洞检测准确度包括:
通过检测威胁事件的相关信息,获得资产威胁关联的漏洞;
根据所述漏洞严重程度的最大值,确定漏洞的检测准确度;
其中,所述威胁事件相关信息包括:引发威胁事件的相关组件、端口和服务信息。
6.根据权利要求5所述的方法,其特征在于,通...
【专利技术属性】
技术研发人员:吴鹏,陆立业,陈燕斌,杨然,刘一兵,邵将,
申请(专利权)人:北京华赛在线科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。