【技术实现步骤摘要】
一种安全风险评估方法、装置、电子设备及存储介质
[0001]本申请涉及计算机的
,具体而言,涉及一种安全风险评估方法、装置、电子设备及存储介质。
技术介绍
[0002]正常的信息技术、信息系统等产品在设计、运行之中往往会有意无意地出现系统缺陷。这些系统缺陷一旦被他人恶意利用,就有可能对系统的正常服务产生严重的影响,严重威胁到了系统信息的保密性、可用性和完整性。漏洞利用是指,攻击者从目标系统中找到容易攻击的系统缺陷,即漏洞,然后利用该漏洞获取目标系统的权限,从而使攻击者能够在未经授权的情况下实现对目标系统的访问、控制、甚至破坏等恶意行为。但现有技术难以针对漏洞利用方面,对目标系统进行安全风险评估。
技术实现思路
[0003]本申请提供一种安全风险评估方法、装置、电子设备及存储介质,以解决现有技术中难以针对漏洞利用方面,对目标系统进行安全风险评估的问题。
[0004]第一方面,本申请提供一种安全风险评估方法,包括:获取靶机中的目标漏洞的全量漏洞数据列表,以及获取所述目标漏洞的漏洞利用原始数据,所述漏...
【技术保护点】
【技术特征摘要】
1.一种安全风险评估方法,其特征在于,包括:获取靶机中的目标漏洞的全量漏洞数据列表,以及获取所述目标漏洞的漏洞利用原始数据,所述漏洞利用原始数据为所述目标漏洞被攻击时所述靶机所产生的数据以及攻击机攻击所述目标漏洞时所得到的数据,所述全量漏洞数据列表中的各个漏洞均为所述目标漏洞下的子漏洞;基于所述全量漏洞数据列表和所述漏洞利用原始数据,得到表征所述目标漏洞的漏洞利用效果的结果数据;基于所述结果数据,得到该目标漏洞的漏洞利用风险值。2.根据权利要求1所述的方法,其特征在于,所述漏洞利用原始数据包括:所述攻击机得到的第一特征数据、所述靶机产生的第二特征数据、漏洞入侵开始时间、漏洞入侵结束时间、漏洞挖掘开始时间、漏洞挖掘结束时间、攻击机得到的成功入侵的漏洞列表、攻击机得到的成功挖掘的漏洞列表;所述基于所述全量漏洞数据列表和所述漏洞利用原始数据,得到表征所述目标漏洞的利用效果的结果数据,包括:基于所述第一特征数据和所述第二特征数据,得到所述目标漏洞的漏洞入侵有效度;基于所述漏洞入侵开始时间、所述漏洞入侵结束时间,得到所述目标漏洞的入侵时间;基于所述漏洞挖掘开始时间、所述漏洞挖掘结束时间,得到所述目标漏洞的挖掘时间;基于所述攻击机得到的成功入侵的漏洞列表、所述全量漏洞数据列表,得到漏洞入侵数量;基于所述攻击机得到的成功挖掘的漏洞列表、所述全量漏洞数据列表,得到漏洞挖掘正确数量;基于所述攻击机得到的成功挖掘的漏洞列表、所述全量漏洞数据列表,得到漏洞全集数量;其中,所述结果数据包括所述目标漏洞的漏洞入侵有效度、所述目标漏洞的入侵时间、所述目标漏洞的挖掘时间、所述漏洞入侵数量、所述漏洞挖掘正确数量、所述漏洞全集数量。3.根据权利要求1所述的方法,其特征在于,所述结果数据包括所述目标漏洞的漏洞入侵有效度、所述目标漏洞的入侵时间、所述目标漏洞的挖掘时间、漏洞入侵数量、漏洞挖掘正确数量、漏洞全集数量,所述基于所述结果数据,得到该目标漏洞的漏洞利用风险值,包括:基于所述漏洞全集数量、所述漏洞挖掘正确数量,得到所述目标漏洞的漏洞挖掘广度;基于所述漏洞挖掘时间、所述漏洞挖掘正确数量,得到所述目标漏洞的漏洞挖掘速度;基于所述漏洞入侵时间、所述漏洞入侵数量、所述漏洞入侵有效度,得到所述目标漏洞的漏洞入侵程度;基于所述漏洞挖掘广度、所述漏洞挖掘速度、所述漏洞入侵程度,得到所述漏洞利用风险值。4.根据权利要求1所述的方法,其特征在于,所述结果数据包括所述目标漏洞的漏洞入侵有效度、所述目标漏洞的入侵时间、所述目标漏洞的挖掘时间、漏洞入侵数量、漏洞挖掘正确数量、漏洞全集数量,所述基于所述结果数据,得到该目标漏洞的漏洞利用风险值,包括:
基于所述漏洞入侵有效度、所述入侵时间、所述挖掘时...
【专利技术属性】
技术研发人员:高梓晟,薛继东,曾超宇,卢凯,史铮铮,董伟,于增明,李正,魏利卓,刘鑫,李维皓,刘桐菊,秦媛媛,贾召鹏,
申请(专利权)人:中国电子信息产业集团有限公司第六研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。