【技术实现步骤摘要】
一种用户风险评估方法与装置
[0001]本专利技术属于网络用户安全风险评估
,尤其是涉及一种利用攻击事件的统计分析量化评估用户风险的方法以及应用该方法的评估装置。
技术介绍
[0002]随着信息技术的日新月异和网络信息系统应用的发展,以互联网为代表的信息技术革命冲击和改变着社会生产生活的各个领域,然而高效率创造巨大价值的同时也带来诸多安全风险。如技术资料和商业机密随意传输的泄密风险,带宽资源占用不合理的业务稳定性风险等,长期影响企业或组织的正常运行,甚至可能导致无法挽回的损失。
[0003]为了保障业务系统和网络信息数据不受攻击,特别是避免攻击事件影响范围的扩大,需要运用各种技术手段实时监控本地网络以及用户主机环境。
[0004]目前的网络监控以及风险评估相关技术,偏重行为方面的记录和控制,对于同时基于行为日志与事件统计的风险评估尚缺乏完善的解决方案。特别是对于以窃取信息资产为目标的高级网络攻击,其造成的恶性破坏或重大损失往往发生在目标主机失陷之后,而失陷主机从被侵入、到受控、再到发起恶意访问行为,则发...
【技术保护点】
【技术特征摘要】
1.一种用户风险评估方法,其特征在于,包括:根据攻击类型对事件进行威胁性评分,并根据所述威胁性评分得到威胁级别;对符合预设条件的攻击事件进行确定性评分,并根据所述确定性评分得到确定性级别;根据所述威胁级别与确定性级别,得到风险级别;根据攻击类型确定所处阶段,根据所述风险级别确定初始处置状态;将所述风险级别、所处阶段、初始处置状态,输出为风险汇总结果。2.根据权利要求1所述的风险评估方法,其特征在于,所述根据攻击类型对事件进行威胁性评分,包括按照木马远控、恶意链接或钓鱼邮件、僵尸网络或异常流量、恶意软件、未知威胁的顺序从高到低分别赋分值;其中,所述未知威胁包括未知URL、未知文件与未知DNS。3.根据权利要求2所述的风险评估方法,其特征在于,根据所述威胁性评分得到威胁级别,包括:根据威胁性评分高低,将威胁级别依次划分为严重、高危、中危与低危。4.根据权利要求2所述的风险评估方法,其特征在于,所述根据攻击类型确定所处阶段,包括:将未知URL、未知文件与未知DNS判断为进入点阶段,将恶意软件、僵尸网络、异常流量、恶意链接判断为C&C通信阶段,将木马远控横向移动阶段、将钓鱼邮件判断为黑产牟利阶段。5.根据权利要求1所述的风险评估方法,其特征在于,对符合预设条件的攻击事件进行确定性评分,所述符合预设条件包括符合预设攻击频率、符合预设威胁级别、符合夜间发起、符合恶意外连;其中,所述攻击频率为规定时长内的攻击次数,所述夜间发起为晚8时至次日8时发生占比大于规定阈值,所述恶意外连为目的IP在境外。6.根据权利要求1
‑
5任一所述的风险评估方法,其特征在于,风险级别的确定过程,具体包括:根据攻击类型为事件进行威胁性评分,依次为木马远控,恶意链接或钓鱼邮件,僵尸网络或异常流量,恶意软件,未知URL、未知文件或未知DNS,赋分6、5、4、3、1;根据所述威胁性评分划分事件的威胁级别,0<分值≦2为低危级别,2<分值≦5为中危级别,5<分值≦7为高危级别,7<分值≦10为严重级别;根据预设条件为事件进行确定性评分,攻击次数<10、10≦攻击次数<100、10≦攻击次数<100、100≦攻击次数<1000、攻击次数≧1000分别赋分1、2、3、4,威胁级别>5赋分3,夜间攻击占比>80%赋分2,恶意外连赋分5;根据所述确定性评分划分确定性级别,0<分值≦2为低可疑级别,2<分值≦5为中可疑级别,5<分值≦7为高可疑级别,7<分值≦10为已确...
【专利技术属性】
技术研发人员:李昱辉,孙继奎,
申请(专利权)人:西安捷润数码科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。