【技术实现步骤摘要】
本申请涉及网络安全领域,具体涉及基于攻击面的网络安全风险评估方法、装置以及处理设备。
技术介绍
1、资产发现是一种网络安全技术,通过扫描整个网络寻找连接到企业网络的设备、主机、服务器、移动设备、应用程序和服务等类型的资产,提取其相关信息,如ip地址、操作系统类型、应用程序版本、补丁状态等信息来帮助企业管理者了解其网络拓扑和资产情况,识别网络风险,并选择适当的安全策略来保护这些资产。
2、在现有技术中一般包采用以下几种方式进行资产发现:1)基于资产清单的方法,通过对网络拓扑进行分析,包括网络结构、交换机、路由器、防火墙等网络设备,可以确定网络中的设备,并建立资产清单;2)基于主动扫描的方法,通过主动探测网络中的服务设备和服务,进而确定网络中的所有资产,如利用web扫描器、主机扫描器、漏洞扫描器等;3)基于被动识别的方法,通过监测网络流量和设备日志来进行资产识别,利用设备的行为特征和日志的协议信息等来进行资产的识别,如利用ip地址、mac地址、网络端口和协议以及设备的访问行为等。
3、然而本申请发现,上述现有技术中的资产发现方法,处理效果仍存在欠缺的问题,普遍存在处理成本较高、处理效率较低和处理精度较低的问题。
技术实现思路
1、本申请提供了基于攻击面的网络安全风险评估方法、装置以及处理设备,用于结合了基于业务应用场景的流量日志分析和深度优先算法来进行资产发现,在这过程中,一方面相比于基于ip地址或者主机名等信息从流量日志中进行资产发现,基于业务应用场景的流量日
2、第一方面,本申请提供了一种基于攻击面的网络安全风险评估方法,方法包括:
3、获取所处网络架构内预设时间段的流量日志;
4、在流量日志的基础上,从中识别预设业务应用场景的对应资产,以及识别预设业务应用场景的对应资产的流量描述信息,得到资产流量描述信息;
5、基于不同业务和不同应用之间的对应关系,利用深度优先算法将资产流量描述信息转化为对应的有向无环图,其中,在有向无环图中,每个业务闭环由包括业务起始应用和业务终止应用的网络途径构成,每个应用包含起始端点和终止端点,起始端点和终止端点之间具有连接线,每个端点聚合的子资产流量描述信息对应至少一个可疑资产;
6、基于每个端点的子资产流量描述信息,计算每个网络途径的综合评分值,并将超过综合评分阈值的网络途径确定为资产发现链路;
7、在资产发现链路所涉及的可疑资产中,确定活跃资产;
8、以活跃资产的被攻击风险为基础,计算因为活跃资产导致的其他资产的被攻击风险,并将活跃资产的被攻击风险和其他资产的被攻击风险融合为整体的被攻击风险,完成整体攻击面的安全风险评估。
9、第二方面,本申请提供了一种基于攻击面的网络安全风险评估装置,装置包括:
10、获取单元,用于获取所处网络架构内预设时间段的流量日志;
11、识别单元,用于在流量日志的基础上,从中识别预设业务应用场景的对应资产,以及识别预设业务应用场景的对应资产的流量描述信息,得到资产流量描述信息;
12、转化单元,用于基于不同业务和不同应用之间的对应关系,利用深度优先算法将资产流量描述信息转化为对应的有向无环图,其中,在有向无环图中,每个业务闭环由包括业务起始应用和业务终止应用的网络途径构成,每个应用包含起始端点和终止端点,起始端点和终止端点之间具有连接线,每个端点聚合的子资产流量描述信息对应至少一个可疑资产;
13、计算单元,用于基于每个端点的子资产流量描述信息,计算每个网络途径的综合评分值,并将超过综合评分阈值的网络途径确定为资产发现链路;
14、确定单元,用于在资产发现链路所涉及的可疑资产中,确定活跃资产;
15、计算单元,还用于以活跃资产的被攻击风险为基础,计算因为活跃资产导致的其他资产的被攻击风险,并将活跃资产的被攻击风险和其他资产的被攻击风险融合为整体的被攻击风险,完成整体攻击面的安全风险评估。
16、第三方面,本申请提供了一种处理设备,包括处理器和存储器,存储器中存储有计算机程序,处理器调用存储器中的计算机程序时执行本申请第一方面或者本申请第一方面任一种可能的实现方式提供的方法。
17、第四方面,本申请提供了一种计算机可读存储介质,计算机可读存储介质存储有多条指令,指令适于处理器进行加载,以执行本申请第一方面或者本申请第一方面任一种可能的实现方式提供的方法。
18、从以上内容可得出,本申请具有以下的有益效果:
19、针对于基于资产发现的网络安全风险评估目标,本申请结合了基于业务应用场景的流量日志分析和深度优先算法来进行资产发现,在这过程中,一方面相比于基于ip地址或者主机名等信息从流量日志中进行资产发现,基于业务应用场景的流量日志分析方式能够更准确地反映实际业务场景,提升资产发现的可信度和效率,另一方面采用深度优先算法方法进行业务应用资产拓扑图的搜索,以生成资产发现链路,有助于遍历整个业务应用上相关联的整个网络拓扑结构,从而全面识别所有资产,建立资产清单,避免了手动进行网络拓扑分析和设备识别资产带来的繁琐和错误分享,由此以兼顾较低的处理成本、较高的处理效率和较高的处理精度的特点确定可疑资产中的活跃资产,进而可疑高效、高质量地推进活跃资产相应的安全风险评估。
本文档来自技高网...【技术保护点】
1.一种基于攻击面的网络安全风险评估方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述资产流量描述信息包括以下几个类型的内容:
3.根据权利要求1所述的方法,其特征在于,所述子资产流量描述信息包括以下几个类型的内容:
4.根据权利要求1所述的方法,其特征在于,所述基于所述每个端点的所述子资产流量描述信息,计算所述每个所述网络途径的综合评分值,包括:
5.根据权利要求1所述的方法,其特征在于,所述在所述资产发现链路所涉及的所述可疑资产中,确定活跃资产,包括:
6.根据权利要求1所述的方法,其特征在于,所述被攻击风险具体通过基础架构风险、安全事件和应用风险三个方面进行风险评估值的量化;
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
8.一种基于攻击面的网络安全风险评估装置,其特征在于,所述装置包括:
9.一种处理设备,其特征在于,包括处理器和存储器,所述存储器中存储有计算机程序,所述处理器调用所述存储器中的计算机程序时执行如权利要求1至7任一项所
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有多条指令,所述指令适于处理器进行加载,以执行权利要求1至7任一项所述的方法。
...【技术特征摘要】
1.一种基于攻击面的网络安全风险评估方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述资产流量描述信息包括以下几个类型的内容:
3.根据权利要求1所述的方法,其特征在于,所述子资产流量描述信息包括以下几个类型的内容:
4.根据权利要求1所述的方法,其特征在于,所述基于所述每个端点的所述子资产流量描述信息,计算所述每个所述网络途径的综合评分值,包括:
5.根据权利要求1所述的方法,其特征在于,所述在所述资产发现链路所涉及的所述可疑资产中,确定活跃资产,包括:
6.根据权利要求1所述的方法,...
【专利技术属性】
技术研发人员:刘杰,
申请(专利权)人:武汉思普崚技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。