本申请适用于网络安全技术领域,提供了一种网络安全评估方法、装置、设备及存储介质。方法包括获取目标网络在多个连续时间窗口上的网络攻击数据集;其中,每个网络攻击数据集包括多种用于描述攻击事件的攻击信息;对多个网络攻击数据集进行处理,生成每一种攻击信息的攻击趋势图,根据多种攻击趋势图对目标网络的安全性进行评估。本申请提供的网络安全评估方法,一方面可以根据攻击趋势图对攻击事件的各攻击信息的变化趋势进行预判,提高了网络安全评估的时效性;另一方面,基于多种攻击信息的攻击趋势图,可以完整的描述网络攻击过程,相比于现有技术中基于孤立的告警信息进行评估的方法,提高了网络安全评估的准确性。
Network security assessment methods, devices, equipment and storage media
【技术实现步骤摘要】
网络安全评估方法、装置、设备及存储介质
本申请属于网络安全
,尤其涉及一种网络安全评估方法、装置、设备及存储介质。
技术介绍
工业控制系统(IndustrialControlSystem,以下简称ICS)控制现在工业基础设施(例如电力系统、石油与天然气系统、化工业系统、水利系统、交通控制系统以及工业制造系统等)的运行。随着现代工业基础设施的发展,ICS由封闭孤立式的系统向开放互联式的系统转变,导致ICS面临大量的网络攻击,给ICS的信息安全带来风险,及时、准确的识别ICS的网络中的网络攻击事件对提高ICS的网络安全性至关重要。现有技术中,通过在网络设备,例如入侵防护系统(IntrusionPreventionSystem,以下简称IPS)设备上配置网络攻击黑名单,以使得网络设备通过该黑名单监测网络攻击,并进行告警。只有在目标设备受到网络攻击后,才可以获取到该网络攻击事件的攻击信息,网络安全评估存在一定的滞后,导致网络安全评估的时效性较差;且当前的网络攻击多通过孤立的告警信息进行展示,无法从整体上描述网络攻击过程,导致网络安全评估的准确性较差。
技术实现思路
有鉴于此,本申请实施例提供了一种网络安全评估方法、装置、设备及存储介质,以解决现有技术中网络安全评估时效性以及准确性较差的技术问题。第一方面,本申请实施例提供了一种网络安全评估方法,包括:获取目标网络在多个连续时间窗口上的网络攻击数据集;其中,每个网络攻击数据集包括多种用于描述攻击事件的攻击信息;<br>对多个网络攻击数据集进行处理,生成每一种攻击信息的攻击趋势图;根据多种攻击趋势图对目标网络的安全性进行评估。在第一方面的一种可能的实现方式中,获取目标网络在多个连续时间窗口上的网络攻击数据集,包括:接收各网络监测设备在多个连续时间窗口上采集的攻击信息;其中,攻击信息包括各个攻击事件的源IP地址、目标IP地址、目标网络协议以及攻击数据包;根据预设规则对各攻击事件的攻击数据包进行分析,确定每个攻击事件的攻击等级;按照预先得到的源IP地址与攻击组织之间的对应关系,确定每个攻击事件的源IP地址对应的攻击组织;针对每个时间窗口,根据该时间窗口上的所有攻击事件的源IP地址、目标IP地址、目标网络协议、攻击等级以及攻击组织生成目标网络在该时间窗口的网络攻击数据集。在第一方面的一种可能的实现方式中,对多个网络攻击数据集进行处理,生成每一种攻击信息的攻击趋势图,包括:根据各个攻击事件的源IP地址,对各个攻击事件的攻击源进行分组,生成多个攻击源区;针对每个攻击源区,根据多个网络攻击数据集,确定该攻击源区在各个时间窗口上发起攻击事件的频次,并生成该攻击源区的攻击事件变化图;或,根据各个攻击事件的目标IP地址,将各个攻击事件的攻击目标进行分组,生成多个攻击目标区;针对每个攻击目标区,根据多个网络攻击数据集,确定该攻击目标区在各个时间窗口上遭受攻击事件的频次,并生成攻击目标区的攻击事件变化图。在第一方面的一种可能的实现方式中,对多个网络攻击数据集进行处理,生成每一种攻击信息的攻击趋势图,包括:根据各个攻击事件的源IP地址,对各个攻击事件的攻击源进行分组,生成多个攻击源区;针对每个攻击源区,根据多个网络攻击数据集,确定该攻击源区在每个时间窗口上发起的所有攻击事件中所包含的源IP地址的数目;根据各个攻击源区在每个时间窗口上发起的所有攻击事件中所包含的源IP地址的数目,生成每个攻击源区的攻击者变化图。在第一方面的一种可能的实现方式中,根据各个攻击事件的源IP地址,对各个攻击事件的攻击源进行分组,生成多个攻击源区之后,方法还包括:针对每个网络攻击数据集,按照攻击事件的发生频次对多个攻击源区进行排名,按照攻击等级的发生频次对多个攻击等级进行排名,并根据每个攻击源区的排名以及每个攻击等级的排名,生成多个攻击源区的旭日图;其中,所述旭日图用于对不同攻击源区发起攻击事件的严重程度进行评估;旭日图的第一层为按照排名布置的多个攻击源区,旭日图的第二层为按照排名布置的所述多个攻击等级。在第一方面的一种可能的实现方式中,对多个网络攻击数据集进行处理,生成每一种攻击信息的攻击趋势图,包括:根据多个网络攻击数据集,确定各攻击等级在每个时间窗口上的发生频次;根据各攻击等级在每个时间窗口上的发生频次,生成各攻击等级的攻击趋势图;或,根据多个网络攻击数据集,确定各目标网络协议在每个时间窗口上遭受攻击的频次;根据各目标网络协议在每个时间窗口上遭受攻击的频次,生成各目标网络协议的攻击趋势图;或,根据多个网络攻击数据集,确定各攻击组织在每个时间窗口上发起攻击的频次;根据各攻击组织在每个时间窗口上发起攻击的频次,生成各攻击组织的攻击趋势图。第二方面,本申请实施例提供了一种网络安全评估装置,包括:获取模块,用于获取目标网络在多个连续时间窗口上的网络攻击数据集;其中,每个网络攻击数据集包括多种用于描述攻击事件的攻击信息;处理模块,用于对多个网络攻击数据集进行处理,生成每一种攻击信息的攻击趋势图;评估模块,用于根据多种攻击趋势图对目标网络的安全性进行评估。第三方面,本申请实施例提供了一种网络安全评估设备,包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述第一方面任一项方法的步骤。第四方面,本申请实施例提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时实现上述第一方面任一项方法的步骤。第五方面,本申请实施例提供了一种计算机程序产品,当计算机程序产品在终端设备上运行时,使得终端设备执行上述第一方面中任一项的方法。本申请实施例提供的网络安全评估方法,获取目标网络在多个连续时间窗口上的网络攻击数据集;其中,每个网络攻击数据集包括多种用于描述攻击事件的攻击信息;对多个网络攻击数据集进行处理,生成每一种攻击信息的攻击趋势图,然后根据多种攻击趋势图对目标网络的安全性进行评估。基于此,可以根据当前的网络攻击数据集获得攻击事件的攻击趋势图,具体表现为每一种攻击信息的攻击趋势图;一方面可以根据攻击趋势图对攻击事件各攻击信息的变化趋势进行预判,提高了网络安全评估的时效性;另一方面,通过多种攻击信息的攻击趋势图,可以完整的描述网络攻击过程,相比于现有技术中基于孤立的告警信息进行评估的方法,提高了网络安全评估的准确性。可以理解的是,上述第二方面至第五方面的有益效果可以参见上述第一方面中的相关描述,在此不再赘述。附图说明为了更清楚地说明本申请实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据本文档来自技高网...
【技术保护点】
1.一种网络安全评估方法,其特征在于,包括:/n获取目标网络在多个连续时间窗口上的网络攻击数据集;其中,每个网络攻击数据集包括多种用于描述攻击事件的攻击信息;/n对所述多个网络攻击数据集进行处理,生成每一种攻击信息的攻击趋势图;/n根据所述多种攻击趋势图对目标网络的安全性进行评估。/n
【技术特征摘要】
1.一种网络安全评估方法,其特征在于,包括:
获取目标网络在多个连续时间窗口上的网络攻击数据集;其中,每个网络攻击数据集包括多种用于描述攻击事件的攻击信息;
对所述多个网络攻击数据集进行处理,生成每一种攻击信息的攻击趋势图;
根据所述多种攻击趋势图对目标网络的安全性进行评估。
2.如权利要求1所述的网络安全评估方法,其特征在于,所述获取目标网络在多个连续时间窗口上的网络攻击数据集,包括:
接收各网络监测设备在所述多个连续时间窗口上采集的攻击信息;其中,所述攻击信息包括各个攻击事件的源IP地址、目标IP地址、目标网络协议以及攻击数据包;
根据预设规则对各攻击事件的攻击数据包进行分析,确定每个攻击事件的攻击等级;
按照预先得到的源IP地址与攻击组织之间的对应关系,确定每个攻击事件的源IP地址对应的攻击组织;
针对每个时间窗口,根据该时间窗口上的所有攻击事件的源IP地址、目标IP地址、目标网络协议、攻击等级以及攻击组织生成目标网络在所述时间窗口的网络攻击数据集。
3.如权利要求2所述的网络安全评估方法,其特征在于,所述对所述多个网络攻击数据集进行处理,生成每一种攻击信息的攻击趋势图,包括:
根据各个攻击事件的源IP地址,对各个攻击事件的攻击源进行分组,生成多个攻击源区;
针对每个攻击源区,根据所述多个网络攻击数据集,确定该攻击源区在各个时间窗口上发起攻击事件的频次,并生成所述攻击源区的攻击事件变化图;
或,
根据各个攻击事件的目标IP地址,将各个攻击事件的攻击目标进行分组,生成多个攻击目标区;
针对每个攻击目标区,根据所述多个网络攻击数据集,确定该攻击目标区在各个时间窗口上遭受攻击事件的频次,并生成所述攻击目标区的攻击事件变化图。
4.如权利要求2所述的网络安全评估方法,其特征在于,所述对所述多个网络攻击数据集进行处理,生成每一种攻击信息的攻击趋势图,包括:
根据各个攻击事件的源IP地址,对各个攻击事件的攻击源进行分组,生成多个攻击源区;
针对每个攻击源区,根据所述多个网络攻击数据集,确定该攻击源区在每个时间窗口上发起的所有攻击事件中所包含的源IP地址的数目;
根据各个攻击源区在每个时间窗口上发起的所有攻击事件中所包含的源IP地址的数目,生成每个攻击源区的攻击者变化图。
5.如权利要求4所述的网络安全评估方法,其特征在于,所述根据各个攻击事件的源IP地址,对各个攻击事件的攻击源进行分组,生成多个攻击源区之后,所述方法还包括:
针对每个网络攻击数据集,按照攻击事件的发生频次对所述多...
【专利技术属性】
技术研发人员:雷承霖,赵重浩,
申请(专利权)人:成都烽创科技有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。