本發明涉及網絡安全,尤其涉及一種網絡安全態勢預警方法、裝置、設備、存儲介質及產品。
背景技術:
1、隨著計算機、通信技術的迅速發展,網絡安全威脅的種類和危害性也在不斷增加,網絡攻擊行為向著分布化、規模化、復雜化等趨勢發展,防火墻、入侵檢測、防病毒、訪問控制等單一的防護手段已經難以勝任現實需求。目前,網絡安全態勢感知技術以及相關應用平臺應運而生,能夠實時、全面掌握網絡安全狀況,及時發現甚至提前預測網絡中的攻擊行為,主動采取網絡安全防護措施,提高網絡安全防護能力,降低網絡安全風險。
2、網絡安全態勢預警方案是以安全大數據為基礎,通過持續的網絡數據監控,從而發現各種攻擊威脅與異常流量,具備威脅調查分析、威脅程度評估、以及整體防護水平可視化能力。
3、現有的預警方案是以網絡異常流量為基礎實現的,然而,現有方案以單一節點為出發點,根據各節點的流量進行評估,評估維度不全面,影響預警效果。
技術實現思路
1、針對上述問題,本發明提供一種網絡安全態勢預警方法,所述方法包括:
2、確定網絡中設備的安全情況量化指標、設備間的數據交互情況量化指標、設備的漏洞情況量化指標以及網絡攻擊再次發生概率;
3、基于所述設備的安全情況量化指標、所述設備間的數據交互情況量化指標、所述設備的漏洞情況量化指標以及所述網絡攻擊再次發生概率進行網絡安全態勢評估,確定網絡安全態勢預警指標;
4、若所述預警指標大于預警閾值,則進行網絡安全態勢預警。
5、根據本發明提供的一種網絡安全態勢預警方法,所述網絡攻擊再次發生概率通過以下方式確定:
6、根據網絡的攻擊日志,確定各類攻擊的攻擊時間和攻擊次數;
7、根據每類攻擊的攻擊時間和攻擊次數,確定每類攻擊再次發生的概率;
8、將各類攻擊再次發生的概率中的最大值確定為網絡攻擊再次發生概率。
9、根據本發明提供的一種網絡安全態勢預警方法,所述根據每類攻擊的攻擊時間和攻擊次數,確定每類攻擊再次發生的概率,包括:
10、根據總攻擊次數和每類攻擊的攻擊次數,計算每類攻擊的攻擊頻率;
11、根據每類攻擊的相鄰兩次攻擊的平均攻擊時間差、當前時間與上次攻擊時間差、所述每類攻擊的攻擊頻率,確定每類攻擊再次發生的概率。
12、根據本發明提供的一種網絡安全態勢預警方法,所述設備的安全情況量化指標通過以下方式確定:
13、獲取網絡拓撲圖;
14、確定所述網絡拓撲圖中的節點對應設備的設備類型和安全值;
15、根據所述設備的設備類型與易受攻擊程度之間的關系,確定所述設備的易受攻擊程度;
16、根據所述設備的易受攻擊程度和安全值,確定所述設備的安全情況量化指標。
17、根據本發明提供的一種網絡安全態勢預警方法,所述設備間的數據交互情況量化指標通過以下方式確定:
18、獲取網絡拓撲圖,確定所述網絡拓撲圖中邊連接的第一節點和第二節點;所述第一節點對應第一設備,所述第二節點對應第二設備;
19、根據所述第一節點和所述第二節點的數據流量日志,確定目標ip為第二節點的數據總量在所述第一節點的上行數據總量中的第一占比、源ip為第一節點的數據總量在所述第二節點的下行數據總量中的第二占比、源ip為第二節點的數據總量在所述第一節點的下行數據總量中的第三占比,以及目標ip為第一節點的數據總量在所述第二節點的上行數據總量中的第四占比;
20、根據所述第一占比與所述第二占比中的最大值、所述第三占比與所述第四占比中的最大值,確定設備間的數據交互情況量化指標。
21、根據本發明提供的一種網絡安全態勢預警方法,所述設備的漏洞情況量化指標通過以下方式確定:
22、獲取所述設備的各個漏洞的嚴重程度評分;
23、將所述各個漏洞的嚴重程度評分中的最大值確定為所述設備的漏洞情況量化指標。
24、根據本發明提供的一種網絡安全態勢預警方法,所述基于所述設備的安全情況量化指標、所述設備間的數據交互情況量化指標、所述設備的漏洞情況量化指標以及所述網絡攻擊再次發生概率進行網絡安全態勢評估,確定網絡安全態勢預警指標,包括:
25、基于每個設備的安全情況量化指標、每個設備與相連接的所有設備間的數據交互情況量化指標、每個設備的度、每個設備的漏洞情況量化指標進行設備安全態勢評估,確定每個設備的設備安全態勢預警指標;
26、根據各個設備的設備安全態勢預警指標和所述網絡攻擊再次發生概率進行網絡安全態勢評估,確定網絡安全態勢預警指標。
27、本發明還提供一種網絡安全態勢預警裝置,包括:
28、確定模塊,用于確定網絡中設備的安全情況量化指標、設備間的數據交互情況量化指標、設備的漏洞情況量化指標以及網絡攻擊再次發生概率;
29、評估模塊,用于基于所述設備的安全情況量化指標、所述設備間的數據交互情況量化指標、所述設備的漏洞情況量化指標以及所述網絡攻擊再次發生概率進行網絡安全態勢評估,確定網絡安全態勢預警指標;
30、預警模塊,用于若所述預警指標大于預警閾值,則進行網絡安全態勢預警。
31、本發明還提供一種電子設備,包括存儲器、處理器及存儲在所述存儲器上并可在所述處理器上運行的計算機程序,所述處理器執行所述程序時實現如上述任一項所述的網絡安全態勢預警方法的步驟。
32、本發明還提供一種非暫態計算機可讀存儲介質,其上存儲有計算機程序,所述計算機程序被處理器執行時實現如上述任一項所述的網絡安全態勢預警方法的步驟。
33、本發明還提供一種計算機程序產品,包括計算機程序,所述計算機程序被處理器執行時實現如上述任一種所述網絡安全態勢預警方法的步驟。
34、本發明提供的網絡安全態勢預警方法、裝置、設備、存儲介質及產品,通過確定網絡中設備的安全情況量化指標、設備間的數據交互情況量化指標、設備的漏洞情況量化指標以及網絡攻擊再次發生概率,確定網絡安全態勢預警指標,在預警指標大于預警閾值的時進行網絡安全態勢預警,從而不僅考慮到設備本身的安全情況、網絡本身的情況,還考慮到網絡中設備之間的數據流動情況進行網絡安全態勢預警,有利于提升預警效果,以提高網絡的安全性,減少潛在安全威脅,提升網絡風險響應效率。
1.一種網絡安全態勢預警方法,其特征在于,所述方法包括:
2.根據權利要求1所述的方法,其特征在于,所述網絡攻擊再次發生概率通過以下方式確定:
3.根據權利要求2所述的方法,其特征在于,所述根據每類攻擊的攻擊時間和攻擊次數,確定每類攻擊再次發生的概率,包括:
4.根據權利要求1所述的方法,其特征在于,所述設備的安全情況量化指標通過以下方式確定:
5.根據權利要求1所述的方法,其特征在于,所述設備間的數據交互情況量化指標通過以下方式確定:
6.根據權利要求1所述的方法,其特征在于,所述設備的漏洞情況量化指標通過以下方式確定:
7.根據權利要求1所述的方法,其特征在于,所述基于所述設備的安全情況量化指標、所述設備間的數據交互情況量化指標、所述設備的漏洞情況量化指標以及所述網絡攻擊再次發生概率進行網絡安全態勢評估,確定網絡安全態勢預警指標,包括:
8.一種網絡安全態勢預警裝置,其特征在于,包括:
9.一種電子設備,包括存儲器、處理器及存儲在所述存儲器上并可在所述處理器上運行的計算機程序,其特征在于,所述處理器執行所述程序時實現如權利要求1至7任一項所述的網絡安全態勢預警方法。
10.一種非暫態計算機可讀存儲介質,其上存儲有計算機程序,其特征在于,所述計算機程序被處理器執行時實現如權利要求1至7任一項所述的網絡安全態勢預警方法。
11.一種計算機程序產品,包括計算機程序,其特征在于,所述計算機程序被處理器執行時實現如權利要求1至7任一項所述網絡安全態勢預警方法。