一种基于威胁检测准确度的量化评估方法技术

本发明专利技术提供一种基于威胁检测准确度的量化评估方法，基于待检测资产中的异常流量构建攻击链；对攻击链包含的威胁事件，以及威胁资产的关联信息进行评估，确定所述威胁事件和威胁资产关联信息的检测准确度；根据所述检测准确度的综合评分，确定检测资产威胁的准确度等级；上述方案将威胁检测异常流量的自关联准确度评估与关联漏洞、区域边界和通信网络、资产环境威胁检测的准确度评估相结合，以确定威胁检测结果的准确度，以便用户在海量数据中快速获取价值最高的异常流量。

A quantitative evaluation method based on the accuracy of threat detection

The invention provides a quantitative evaluation method based on the accuracy of threat detection, which constructs an attack chain based on the abnormal traffic in the assets to be detected; evaluates the threat events contained in the attack chain and the associated information of the threat assets to determine the detection accuracy of the threat events and the associated information of the threat assets; and determines the detection assets according to the comprehensive score of the detection accuracy The accuracy level of threat; the above scheme combines the self-correlation accuracy evaluation of threat detection abnormal traffic with the accuracy evaluation of association vulnerability, regional boundary and communication network, and asset environment threat detection to determine the accuracy of threat detection results, so that users can quickly obtain the most valuable abnormal traffic in the sea data.

【技术实现步骤摘要】
一种基于威胁检测准确度的量化评估方法
本专利技术属于网络安全检测
，具体涉及一种基于威胁检测准确度的量化评估方法。
技术介绍
随着我国互联网脚步的加快，威胁不断加剧，网络安全隐患越来越多。对网络和设备的攻击，可能破坏企业重要装置的正常测控，由此引发的后果是灾难性的。国家对网络的安全越来越重视。但是当前仍然缺乏一种可量化的威胁准确度评估方法，可以直观、量化的评定一个网络威胁的准确度。现有威胁检测往往会产生大量异常流量信息，单纯的列出异常流量信息，难以发掘其中具有风险或者有价值的威胁信息。其中，专利技术专利CN101309179B一种基于主机活跃性和通信模式分析实时异常流量检测方法，通过知识库与检测出的流量进行对比，对比一致的归为异常流量。这种方式检测方法单一，对异常流量评估准确度较低。而专利技术专利CN109617888A一种基于神经网络的异常流量检测方法及系统，通过神经网络模型进行训练提高异常流量检测的准确性。但该方法需要大量训练，且训练的模型对环境依赖较大。
技术实现思路
为了解决现有技术的问题，本专利技术提供一种基于威胁检测准确度的量化评估方法，通过对异常流量的多个指标进行量化计算，关联威胁检测结果，评估威胁检测结果的准确度，以便用户在海量数据中快速获取到价值最高的异常流量。为了实现上述专利技术目的，本专利技术采取如下技术方案：一种基于威胁检测准确度的量化评估方法，所述方法包括：基于待检测资产中的异常流量构建攻击链；对所述攻击链包含的威胁事件，以及威胁资产的关联信息进行评估，确定所述威胁事件和威胁资产关联信息的检测准确度；根据所述检测准确度的综合评分，确定检测资产威胁的准确度等级。优选的，所述基于待检测资产中的异常流量构建攻击链包括：通过扫描工具获取待检测资产在单位时间段内的异常流量；将所述异常流量输入安全分析器，输出攻击链G；其中，所述攻击链G包含n个威胁事件L1、L2，……，Ln。优选的，所述对攻击链包含的威胁事件，以及威胁资产的关联信息进行评估，确定所述威胁事件和威胁资产关联信息的检测准确度包括：根据预先定义的威胁事件攻击阶段，划分攻击链中的威胁事件；对处于不同攻击阶段的威胁事件进行评估，确定威胁事件的检测准确度；逐一计算资产威胁关联的漏洞检测准确度、区域边界和通信网络、资产环境的检测准确度；其中，所述攻击阶段包括：渗透入侵，C&C通信，横向移动，数据收集和数据外发。进一步地，通过下式确定威胁事件的检测准确度：WX＝Max(xi)其中，WX表示威胁事件的检测准确度评分，xi表示第i个威胁事件Li的检测准确度。进一步地，所述逐一计算资产威胁关联的漏洞检测准确度包括：通过检测威胁事件的相关信息，获得资产威胁关联的漏洞；根据所述漏洞严重程度的最大值，确定漏洞的检测准确度；其中，所述威胁事件相关信息包括：引发威胁事件的相关组件、端口和服务信息。进一步地，通过下式确定漏洞的检测准确度：LD＝10Max(yi)其中，yi为第i个关联漏洞的严重程度，LD为漏洞的检测准确度评分。进一步地，所述逐一计算资产威胁关联的区域边界和通信网络的检测准确度包括：将资产威胁关联的区域边界和通信网络定义为资产的第一计算要素；根据所述资产的第一计算要素均值，确定第一计算要素的检测准确度，以实现资产威胁关联的区域边界和通信网络的检测准确度评估；其中，所述区域边界和通信网络的检测包括：非法外联控制、非法内联控制和隔离装置的检测。进一步地，通过下式确定第一计算要素的检测准确度：其中，WL为资产威胁关联的区域边界和通信网络的检测准确度评分，zi表示资产的第i个第一计算要素，m表示第一计算要素数量。进一步地，所述逐一计算资产威胁关联的资产环境的检测准确度包括：将资产威胁关联的资产环境定义为资产的第二计算要素；根据所述资产的第二计算要素均值，确定第二计算要素的检测准确度，以实现资产威胁关联的资产环境的检测准确度评估；其中，所述资产威胁关联的资产环境包括：服务配置、组件配置、违规外设和系统配置。进一步地，通过下式确定第二计算要素的检测准确度：其中，HJ为资产威胁关联的资产环境检测准确度评分，vi表示资产的第i个第二计算要素，k表示第二计算要素数量。优选的，通过下式确定检测准确度的综合评分：P＝αWX+βLD+γWL+δHJ其中，P为检测准确度的综合评分，α为威胁事件自身的权重，β为资产威胁关联的漏洞权重，γ为资产威胁关联的区域边界和通信网络的权重，δ资产威胁关联的资产环境权重。与最接近的现有技术相比，本专利技术具有的有益效果：本专利技术提出的一种基于威胁检测准确度的量化评估方法，首先基于待检测资产中的异常流量构建攻击链；通过威胁检测出的流量在一定时间内进行分析，得到威胁事件的攻击链，根据所处攻击链的攻击阶段，可判断威胁检测的准确度；通过这种方式可以过滤掉大量无关联或是误报的威胁信息。针对通过威胁本身判断其准确度的局限性，其次对攻击链包含的威胁事件以及威胁资产的关联信息进行评估，确定威胁事件和威胁资产关联信息的检测准确度。通过威胁事件，关联可能威胁的资产的漏洞、区域边界和通信网络、资产环境的相关信息，进一步判断威胁是否真正的构成攻击，可以大大提高检测威胁信息的准确度。最后根据检测准确度的综合评分，确定检测资产威胁的准确度等级，以便用户在海量数据中快速获取价值最高的异常流量，有利于技术人员对于整个信息安全的发展态势的掌控，在一定程度上确保了网络资产的安全性和网络的正常运行。附图说明为了更清楚地说明本专利技术具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中，类似的元件或部分一般由类似的附图标记标识。附图中，各元件或部分并不一定按照实际的比例绘制。图1为本专利技术具体实施方式提供的基于威胁检测准确度的量化评估方法流程图；图2为本专利技术具体实施方式提供的攻击链示意图。具体实施方式下面结合附图对本专利技术的具体实施方式做进一步的详细说明。为了具体了解本专利技术提供的技术方案，将在下面的实施例中对本专利技术的技术方案做出详细的描述和说明。显然，本专利技术提供的实施例并不限定于本领域的技术人员所熟习的特殊细节。本专利技术的较佳实施例详细描述如下，除这些描述外，本专利技术还可以具有其他实施方式。如图1所示，本专利技术具体实施方式涉及一种基于威胁检测准确度的量化评估方法，该方法具体包括以下步骤：S1基于待检测资产中的异常流量构建攻击链；S2对攻击链包含的威胁事件，以及威胁资产的关联信息进行评估，确定所述威胁事件和威胁资产关联信息的检测准确度；S3根据所述检测准确度的综合评分，确定检测资产威胁的准确度等级。本文档来自技高网...

【技术保护点】
1.一种基于威胁检测准确度的量化评估方法，其特征在于，所述方法包括：/n基于待检测资产中的异常流量构建攻击链；/n对所述攻击链包含的威胁事件，以及威胁资产的关联信息进行评估，确定所述威胁事件和威胁资产关联信息的检测准确度；/n根据所述检测准确度的综合评分，确定检测资产威胁的准确度等级。/n

【技术特征摘要】
1.一种基于威胁检测准确度的量化评估方法，其特征在于，所述方法包括：
基于待检测资产中的异常流量构建攻击链；
对所述攻击链包含的威胁事件，以及威胁资产的关联信息进行评估，确定所述威胁事件和威胁资产关联信息的检测准确度；
根据所述检测准确度的综合评分，确定检测资产威胁的准确度等级。


2.根据权利要求1所述的方法，其特征在于，所述基于待检测资产中的异常流量构建攻击链包括：
通过扫描工具获取待检测资产在单位时间段内的异常流量；
将所述异常流量输入安全分析器，输出攻击链G；其中，
所述攻击链G包含n个威胁事件L1、L2，……，Ln。


3.根据权利要求1所述的方法，其特征在于，所述对攻击链包含的威胁事件，以及威胁资产的关联信息进行评估，确定所述威胁事件和威胁资产关联信息的检测准确度包括：
根据预先定义的威胁事件攻击阶段，划分攻击链中的威胁事件；
对处于不同攻击阶段的威胁事件进行评估，确定威胁事件的检测准确度；
逐一计算资产威胁关联的漏洞检测准确度、区域边界和通信网络、资产环境的检测准确度；
其中，所述攻击阶段包括：渗透入侵，C&C通信，横向移动，数据收集和数据外发。


4.根据权利要求3所述的方法，其特征在于，通过下式确定威胁事件的检测准确度：
WX＝Max(xi)
其中，WX表示威胁事件的检测准确度评分，xi表示第i个威胁事件Li的检测准确度。


5.根据权利要求3所述的方法，其特征在于，所述逐一计算资产威胁关联的漏洞检测准确度包括：
通过检测威胁事件的相关信息，获得资产威胁关联的漏洞；
根据所述漏洞严重程度的最大值，确定漏洞的检测准确度；
其中，所述威胁事件相关信息包括：引发威胁事件的相关组件、端口和服务信息。


6.根据权利要求5所述的方法，其特征在于，通...

【专利技术属性】
技术研发人员：吴鹏，陆立业，陈燕斌，杨然，刘一兵，邵将，
申请(专利权)人：北京华赛在线科技有限公司，
类型：发明
国别省市：北京;11