基于态势感知告警的威胁评估系统及方法.pdf
《基于态势感知告警的威胁评估系统及方法.pdf》由会员分享,可在线阅读,更多相关《基于态势感知告警的威胁评估系统及方法.pdf(24页完成版)》请在专利查询网上搜索。
1、(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 202010700800.X (22)申请日 2020.07.20 (71)申请人 交通运输信息安全中心有限公司 地址 101300 北京市顺义区临空经济核心 区融慧园6号楼4-89 (72)发明人 戴明杜渐邢宏伟 (74)专利代理机构 深圳舍穆专利代理事务所 (特殊普通合伙) 44398 代理人 黄贤炬 (51)Int.Cl. H04L 29/06(2006.01) (54)发明名称 基于态势感知告警的威胁评估系统及方法 (57)摘要 本公开描述了一种基于态势感知告警的威 胁评。
2、估系统, 是基于态势感知产生的告警信息对 目标信息系统的目标资产面临的威胁进行威胁 评估的系统, 其包括: 资产评估模块, 其对目标信 息系统包含的资产进行识别; 威胁评估模块, 其 基于态势感知告警对资产中的目标资产面临的 威胁进行识别, 获得目标资产面临威胁的种类、 威胁发生次数、 威胁影响等级和每一个影响等级 威胁的数量, 通过威胁发生次数基于泊松过程获 得目标威胁发生次数, 从而基于目标威胁发生次 数获得威胁发生频度, 并且威胁评估模块基于威 胁影响等级、 每一个影响等级威胁的数量和威胁 发生频度获得威胁严重性评分。 由此能够对目标 信息系统的目标资产进行较为准确的威胁评估。 权利要求。
3、书2页 说明书18页 附图3页 CN 111865982 A 2020.10.30 CN 111865982 A 1.一种基于态势感知告警的威胁评估系统, 是基于态势感知产生的告警信息对目标信 息系统的目标资产面临的威胁进行威胁评估的系统, 其特征在于, 包括: 资产评估模块, 其 对所述目标信息系统包含的资产进行识别; 威胁评估模块, 其基于所述态势感知告警对所 述资产中的目标资产面临的威胁进行识别, 获得所述目标资产面临威胁的种类、 威胁发生 次数、 威胁影响等级和每一个影响等级威胁的数量, 通过所述威胁发生次数基于泊松过程 获得目标威胁发生次数, 从而基于所述目标威胁发生次数获得威胁发生。
4、频度, 并且所述威 胁评估模块基于所述威胁影响等级、 所述每一个影响等级威胁的数量和所述威胁发生频度 获得威胁严重性评分。 2.如权利要求1所述的威胁评估系统, 其特征在于, 所述目标资产涉及多类威胁, 所述威胁评估模块针对所述多类威胁依次对所述目标资 产进行威胁评估, 分别获得所述目标资产面临各类威胁时对应的威胁严重性评分, 所述威 胁评估模块基于多个威胁严重性评分获得所述目标资产的目标威胁严重性评分。 3.如权利要求1或2所述的威胁评估系统, 其特征在于, 所述目标信息系统包括多个资产, 所述威胁评估系统依次将多个资产作为目标资产进 行威胁评估, 获得各个资产对应的威胁严重性评分或目标威胁。
5、严重性评分。 4.如权利要求1所述的威胁评估系统, 其特征在于, 所述威胁严重性评分满足:其中, N表示为目标资产面临的威胁总 数, Impact表示为威胁影响等级, Ni为第i个影响等级威胁的数量, f表示为威胁发生频度, 所述威胁发生频度满足:其中, c表示为目标威胁发生次数。 5.如权利要求1所述的威胁评估系统, 其特征在于, 所述资产评估模块通过部署资产探针对所述目标信息系统中的资产进行识别。 6.一种基于态势感知告警的威胁评估方法, 是基于态势感知产生的告警信息对目标信 息系统的目标资产面临的威胁进行威胁评估的方法, 其特征在于, 包括: 对所述目标信息系 统包含的资产进行识别; 基。
6、于所述态势感知告警对所述资产中的目标资产面临的威胁进行 识别, 获得所述目标资产面临威胁的种类、 威胁发生次数、 威胁影响等级和每一个影响等级 威胁的数量, 通过所述威胁发生次数基于泊松过程获得目标威胁发生次数, 从而基于所述 目标威胁发生次数获得威胁发生频度, 并且基于所述威胁影响等级、 所述每一个影响等级 威胁的数量和所述威胁发生频度获得威胁严重性评分。 7.如权利要求6所述的威胁评估方法, 其特征在于, 所述目标资产涉及多类威胁, 针对所述多类威胁依次对所述目标资产进行威胁评估, 分别获得所述目标资产面临各类威胁时对应的威胁严重性评分, 基于多个威胁严重性评分 获得所述目标资产的目标威胁。
7、严重性评分。 8.如权利要求6或7所述的威胁评估方法, 其特征在于, 所述目标信息系统包括多个资产, 依次将多个资产作为目标资产进行威胁评估, 获得 各个资产对应的威胁严重性评分或目标威胁严重性评分。 9.如权利要求6所述的威胁评估方法, 其特征在于, 权利要求书 1/2 页 2 CN 111865982 A 2 所述威胁严重性评分满足:其中, N表示为目标资产的威胁总数, Impact表示为威胁影响等级, Ni为第i个影响等级威胁的数量, f表示为威胁发生频度, 所述 威胁发生频度满足:其中, c表示为目标威胁发生次数。 10.如权利要求6所述的威胁评估方法, 其特征在于, 通过部署资产探针。
8、对所述目标信息系统中的资产进行识别。 权利要求书 2/2 页 3 CN 111865982 A 3 基于态势感知告警的威胁评估系统及方法 技术领域 0001 本公开具体涉及一种基于态势感知告警的威胁评估系统及方法。 背景技术 0002 随着政府部门、 企事业单位以及各行各业对信息系统依赖程度的日益增强, 信息 安全问题受到普遍关注。 运用风险评估去识别安全风险、 解决信息安全问题得到了广泛的 认识和应用。 0003 信息安全的风险评估就是从风险管理角度, 运用科学的方法和手段, 系统地分析 信息系统所面临的威胁及其存在的脆弱性, 评估安全事件一旦发生可能造成的危害程度。 信息系统的风险评估可以。
9、在很大程度上防范信息安全风险产生, 或将风险控制在可接受的 水平, 最大限度地保障信息系统的安全, 是提升信息系统整体安全防护水平的重要科学方 法之一。 0004 目前针对信息安全的风险评估中的威胁评估, 已经出现了很多评估方法。 然而, 这 些已有的威胁评估方法通常在分析信息系统所面临的威胁时往往存在考虑不全面的问题, 会导致对信息系统进行威胁评估的评估结果不够准确。 发明内容 0005 本公开是有鉴于上述的状况而提出的, 其目的在于提供一种较为准确的基于态势 感知告警的威胁评估系统及方法。 0006 为此, 本公开的第一方面提供了一种基于态势感知告警的威胁评估系统, 是基于 态势感知产生的。
10、告警信息对目标信息系统的目标资产面临的威胁进行威胁评估的系统, 其 特征在于, 包括: 资产评估模块, 其对所述目标信息系统包含的资产进行识别; 威胁评估模 块, 其基于所述态势感知告警对所述资产中的目标资产面临的威胁进行识别, 获得所述目 标资产面临威胁的种类、 威胁发生次数、 威胁影响等级和每一个影响等级威胁的数量, 通过 所述威胁发生次数基于泊松过程获得目标威胁发生次数, 从而基于所述目标威胁发生次数 获得威胁发生频度, 并且所述威胁评估模块基于所述威胁影响等级、 所述每一个影响等级 威胁的数量和所述威胁发生频度获得威胁严重性评分。 0007 在本公开中, 通过资产评估模块对目标信息系统。
11、中的资产进行识别, 通过威胁评 估模块获得资产中的目标资产对应的威胁严重性评分。 由此能够对目标信息系统的目标资 产进行较为准确的威胁评估。 0008 本公开的第一方面所涉及威胁评估系统中, 可选地, 所述目标资产涉及多类威胁, 所述威胁评估模块针对所述多类威胁依次对所述目标资产进行威胁评估, 分别获得所述目 标资产面临各类威胁时对应的威胁严重性评分, 所述威胁评估模块基于多个威胁严重性评 分获得所述目标资产的目标威胁严重性评分。 由此能够获得目标资产的目标威胁严重性评 分。 0009 本公开的第一方面所涉及威胁评估系统中, 可选地, 所述目标信息系统包括多个 说明书 1/18 页 4 CN 。
12、111865982 A 4 资产, 所述威胁评估系统依次将多个资产作为目标资产进行威胁评估, 获得各个资产对应 的威胁严重性评分或目标威胁严重性评分。 由此能够目标信息系统中的各个资产进行威胁 评估。 0010 本公开的第一方面所涉及威胁评估系统中, 可选地, 所述威胁严重性评分满足: 其中, N表示为目标资产面临的威胁总数, Impact表示为威胁影响等 级, Ni为第i个影响等级威胁的数量, f表示为威胁发生频度, 所述威胁发生频度满足: 其中, c表示为目标威胁发生次数。 由此能够获得威胁严重性评分。 0011 本公开的第一方面所涉及威胁评估方法中, 可选地, 所述资产评估模块通过部署 。
13、资产探针对所述目标信息系统中的资产进行识别。 在这种情况下, 能够通过资产探针识别 出目标信息系统中包含的资产。 0012 本公开的第二方面提供了一种基于态势感知告警的威胁评估方法, 是基于态势感 知产生的告警信息对目标信息系统的目标资产面临的威胁进行威胁评估的方法, 其特征在 于, 包括: 对所述目标信息系统包含的资产进行识别; 基于所述态势感知告警对所述资产中 的目标资产面临的威胁进行识别, 获得所述目标资产面临威胁的种类、 威胁发生次数、 威胁 影响等级和每一个影响等级威胁的数量, 通过所述威胁发生次数基于泊松过程获得目标威 胁发生次数, 从而基于所述目标威胁发生次数获得威胁发生频度, 。
14、并且基于所述威胁影响 等级、 所述每一个影响等级威胁的数量和所述威胁发生频度获得威胁严重性评分。 0013 在本公开中, 对目标信息系统中的资产进行识别, 通过威胁评估获得资产中的目 标资产对应的威胁严重性评分。 由此能够对目标信息系统的目标资产进行较为准确的威胁 评估。 0014 本公开的第二方面所涉及威胁评估方法中, 可选地, 所述目标资产涉及多类威胁, 针对所述多类威胁依次对所述目标资产进行威胁评估, 分别获得所述目标资产面临各类威 胁时对应的威胁严重性评分, 基于多个威胁严重性评分获得所述目标资产的目标威胁严重 性评分。 由此能够获得目标资产的目标威胁严重性评分。 0015 本公开的第。
15、二方面所涉及威胁评估方法中, 可选地, 所述目标信息系统包括多个 资产, 所述威胁评估系统依次将多个资产作为目标资产进行威胁评估, 获得各个资产对应 的威胁严重性评分或目标威胁严重性评分。 由此能够目标信息系统中的各个资产进行威胁 评估。 0016 本公开的第二方面所涉及威胁评估方法中, 可选地, 所述威胁严重性评分满足: 其中, N表示为目标资产的威胁总数, Impact表示为威胁影响等级, Ni 为第i个影响等级威胁的数量 , f表示为威胁发生频度, 所述威胁发生频度满足 : 其中, c表示为目标威胁发生次数。 由此能够获得威胁严重性评分。 0017 本公开的第二方面所涉及威胁评估方法中,。
16、 可选地, 通过部署资产探针对所述目 标信息系统中的资产进行识别。 在这种情况下, 能够通过资产探针识别出目标信息系统中 包含的资产。 0018 根据本公开, 能够提供较为准确对目标信息系统中的目标资产进行威胁评估的基 说明书 2/18 页 5 CN 111865982 A 5 于态势感知告警的威胁评估系统及方法。 附图说明 0019 现在将仅通过参考附图的例子进一步详细地解释本公开的实施示例, 其中: 0020 图1示出了本公开的示例所涉及的基于态势感知告警的威胁评估系统的应用场景 图。 0021 图2示出了本公开的示例所涉及的目标信息系统的结构框图。 0022 图3示出了本公开的示例所涉及。
17、的目标资产面临的威胁的结构框图。 0023 图4示出了本公开的示例所涉及的风险评估系统的应用场景图。 0024 图5示出了本公开的示例所涉及的风险评估系统的应用流程框图。 0025 图6示出了本公开的另一示例所涉及的风险评估系统的结构框图。 0026 图7示出了本公开的示例所涉及的基于态势感知告警的威胁评估方法的流程图。 0027 图8示出了本公开的示例所涉及的风险评估方法的流程图。 具体实施方式 0028 以下, 参考附图, 详细地说明本公开的优选实施方式。 在下面的说明中, 对于相同 的部件赋予相同的符号, 省略重复的说明。 另外, 附图只是示意性的图, 部件相互之间的尺 寸的比例或者部件。
18、的形状等可以与实际的不同。 0029 随着各行各业对信息系统依赖程度的日益增强, 往往需要对信息系统进行风险评 估去识别安全风险和解决信息安全问题等。 本公开提供了一种能够较为高效且较为准确的 对目标信息系统的目标资产进行威胁评估的基于态势感知告警的威胁评估系统及方法。 0030 图1示出了本公开的示例所涉及的威胁评估系统的应用场景图。 0031 本实施方式的示例所涉及的威胁评估系统10(参见图1)是基于态势感知告警的威 胁评估系统10。 具体而言, 威胁评估系统10是基于态势感知告警(即基于态势感知产生的告 警信息)对目标信息系统200的目标资产进行威胁评估的威胁评估系统。 在一些示例中, 。
19、威 胁评估系统10可以包括资产评估模块110和威胁评估模块130。 0032 在本实施方式的示例所涉及的威胁评估系统10中, 如图1所示, 威胁评估系统10可 以包括资产评估模块110。 在一些示例中, 资产评估模块110可以对目标信息系统200中的资 产进行识别。 也就是说, 资产评估模块110可以识别出目标信息系统200中包含的资产。 0033 图2示出了本公开的示例所涉及的目标信息系统的结构框图。 0034 在一些示例中, 目标信息系统200可以是需要进行威胁评估的信息系统。 例如, 目 标信息系统200可以是网络信息系统、 云服务信息系统、 特定应用领域的信息系统等。 对于 特定应用领。
20、域的目标信息系统200而言, 目标信息系统200例如可以为交通运输信息系统。 0035 在一些示例中, 资产可以是对目标信息系统200具有价值的资源且作为安全策略 保护的对象。 由此能够便于后续识别资产。 在一些示例中, 根据资产的表现形式, 可以将目 标信息系统200中的资产分为数据、 软件、 硬件、 服务、 人员等类型。 0036 在一些示例中, 目标信息系统200可以包括一个或多个资产。 例如, 如图2所示, 目 标信息系统200可以包括资产210、 资产220、 资产230、 资产240、 资产250等, 这里, 图2仅代表 性地示出5个资产, 但本实施方式不限于此, 目标信息系统20。
21、0还可以包括其他更多资产。 在 说明书 3/18 页 6 CN 111865982 A 6 一些示例中, 资产210可以为数据资产, 资产220可以为软件资产, 资产230可以为硬件资产, 资产240可以为服务资产, 资产250可以为人员资产。 但本实施方式不限于此, 资产210、 资产 220、 资产230、 资产240和资产250也可以分别为其他资产。 0037 在一些示例中, 目标资产可以是目标信息系统200包含的资产中的任一个(例如, 资产210)。 在一些示例中, 目标资产可以由威胁评估系统10从多个资产中选取一个。 在另一 些示例中, 目标资产可以由相关技术人员自行确定。 0038。
22、 在一些示例中, 目标信息系统200可以包括若干个资产。 在这种情况下, 威胁评估 系统10可以依次将各个资产作为目标资产进行评估。 例如, 如图2所示, 威胁评估系统10可 以依次将资产210、 资产220、 资产230资产240和资产250作为目标资产分别进行评估。 威胁 评估系统10可以获得各个资产对应的威胁严重性评分或目标威胁严重性评分(稍后描述)。 由此能够对目标信息系统200的各个资产进行威胁评估。 0039 在一些示例中, 资产评估模块110可以通过多种资产识别方法对目标信息系统200 的资产进行识别。 其中, 资产评估模块110所采用的资产识别方法可以为主动采集、 被动采 集或。
23、基于搜索引擎非入侵式识别等。 在一些示例中, 资产评估模块110可以采用被动采集的 识别方式对目标信息系统200中的资产进行识别, 例如稍后描述的部署资产探针。 0040 在一些示例中, 被动采集的识别方式可以是通过分析采集的网络流量得到目标信 息系统中资产的信息。 在这种情况下, 通过被动采集的识别方式能够有效抑制对网络运行 的影响, 并且可以无额外网络流量插入; 被动采集的识别方式也可以对安全设备保护的网 络资产进行探测识别; 被动采集的识别方式可以有利于对长期的历史数据进行积累。 由此, 能够有利于掌握网络资产发展变化的过程。 0041 在一些示例中, 被动采集的识别方式可以依托目标信息。
24、系统200关联的产生态势 感知告警的系统(例如稍后描述的态势感知系统20), 可以将大量的网络流量数据作为数据 源来支撑对资产的识别。 由此能够保证资产识别过程的全面性和高效性。 0042 在一些示例中, 资产评估模块110可以通过部署资产探针对目标信息系统200中的 资产进行识别。 在这种情况下, 能够通过资产探针识别出目标信息系统中包含的资产。 具体 而言, 资产探针可以被部署在目标信息系统200所处的网络环境中, 可以通过采集网络环境 中的协议类型、 流量内容等进行综合分析从而对目标信息系统200的资产进行识别。 0043 在一些示例中, 资产探针在网络环境中的采集对象可以包括流量中应用。
25、层HTTP、 FTP、 SMTP等协议数据包中的特殊字段banner; 资产探针的采集对象还可以包括IP、 TCP三次 握手、 DHCP等协议数据包的指纹特征等。 在一些示例中, 部分应用层协议数据包中可以包含 网络资产信息, 例如HTTP协议的User-Agent字段中包含了操作系统、 浏览器版本等信息, 资 产探针可以对其包含的资产进行识别。 在这种情况下, 通过资产探针能够实现对主机、 端 口、 操作系统、 应用等资产的识别。 0044 在一些示例中, 资产评估模块110除了如上所述通过部署资产探针对目标信息系 统200中的资产进行识别之外, 还可以对目标信息系统200中包含的资产的种类。
26、和数量等进 行统计。 也就是说, 资产评估模块110可以利用资产探针对识别出的资产的种类进行确认, 并统计资产的数量等信息。 0045 在一些示例中, 资产评估模块110可以从资产中选出目标资产, 资产评估模块110 可以确认目标资产在不同安全属性方面的价值, 即资产评估模块110可以对目标资产的不 说明书 4/18 页 7 CN 111865982 A 7 同安全属性方面进行赋值。 具体而言, 资产评估模块110可以根据目标资产的种类和预设的 资产评分标准(稍后描述)对目标资产的在保密性、 完整性和可用性这三个安全属性方面进 行赋值。 在这种情况下, 通过能够对目标资产的不同安全属性方面进行。
27、赋值能够在一定程 度上确认目标资产的价值。 0046 在一些示例中, 相关技术人员可以基于各类信息系统的价值基准(稍后具体描述) 来确认该信息系统包含的各个资产的资产评分, 从而获得该类信息系统的资产评分标准并 存储在资产评估模块110。 在一些示例中, 各类信息系统的价值基准可以由该信息系统的作 用和种类来决定。 0047 在一些示例中, 相关技术人员可以预先确认目标信息系统200所相关的行业(简称 “相关行业” ), 将相关行业内可能含有的信息系统进行分类。 在一些示例中, 可以根据信息 系统的作用将相关行业内的信息系统进行分类。 例如, 交通运输行业的信息系统(简称 “交 通运输信息系统。
28、” )可以根据信息系统作用分为生产服务类系统、 行政管理类系统以及基础 支撑类系统。 其中, 生产服务类系统可以是支撑各交通运输服务部门提供对货物、 旅客等运 输服务活动的信息服务、 生产保障类系统, 如轨道交通信号系统、 道路交通监控系统、 智能 闸口系统、 各组织机构的门户网站、 公路水路出行服务系统和国家交通运输物流公共信息 平台等; 行政管理类系统可以是支撑各级交通运输管理部门和运输服务单位为了维持自身 组织活动或者进行交通运输行业行政管理事务而建设的信息系统, 如各组织机构的办公系 统、 船舶产品检验管理系统及网约车监管信息交互平台等; 基础支撑类系统可以是支撑交 通运输行业各类系统。
29、在计算、 操作或通信等方面的运行环境, 如各组织机构的数据中心、 云 计算平台、 高速公路光纤网和地理信息平台等。 0048 在一些示例中, 信息系统的种类(或作用)不同, 信息系统在不同安全属性的要求 也可能存在差异。 也即不同种类的信息系统可以在保密性、 完整性和可用性这三个安全属 性的要求存在差异。 例如, 生产服务类系统和基础支撑类系统在可用性方面要求较高, 行政 管理类系统在保密性方面要求较高。 0049 在一些示例中, 可以根据划分的信息系统的种类确认相关行业的信息系统在不同 安全属性方面的价值基准。 在一些示例中, 价值基准可以是基于业务管理和服务保障重要 性水平, 对该相关行业。
30、内不同类别的信息系统在保密性、 完整性和可用性这三个安全属性 的最小要求程度。 0050 在一些示例中, 信息系统的价值基准可以通过对该信息系统在保密性、 完整性和 可用性这三个安全属性的赋值来体现。 具体而言, 若某一安全属性的赋值越大对应该类信 息系统在该安全属性的要求越高(也即该类信息系统在该安全属性方面的价值越大)。 价值 基准可以是该信息系统在保密性、 完整性和可用性这三个安全属性的最小赋值。 在这种情 况下, 对目标资产进行评估赋值时可以不小于该目标资产对应的价值基准。 0051 作为一个示例, 例如对于交通运输行业的信息系统而言, 根据信息系统的种类以 及在不同安全属性的要求对各。
31、类信息系统在保密性、 完整性和可用性这三个安全属性进行 赋值, 其中, 赋值越大说明该类信息系统在该安全属性的要求越高, 如生活服务类系统在保 密性、 完整性和可用性的赋值可以为2、 3和4, 说明生活服务类系统对于可用性方面的要求 较高(参见表1)。 在一些示例中, 价值基准可以由相关技术人员确定, 也可以由相关行业共 同确定。 说明书 5/18 页 8 CN 111865982 A 8 0052 表1交通运输行业三类信息系统的价值基准示例 0053 信息系统类别保密性完整性可用性 生产服务类234 行政管理类322 基础支撑类223 0054 在一些示例中, 可以基于价值基准获得该类信息系。
32、统的资产评分标准。 在一些示 例中, 资产评分标准可以包括该类信息系统所可能涉及的各类资产以及各类资产在不同安 全属性方面的赋值。 例如, 相关技术人员可以统计该类信息系统所可能包含的资产的种类, 并可以基于价值基准对该类目标系统所可能包含的各类资产类别分别进行评分, 从而获得 资产评分标准。 在一些示例中, 资产评分标准在各个安全属性的赋值可以不小于对应的价 值基准在该安全属性的赋值。 也即, 对目标信息系统所可能包含的各类资产进行评分时, 可 以使该类资产在不同安全属性方面的评分不小于目标信息系统对应的价值基准。 在一些示 例中, 资产评分标准可以是预先设定在资产评估模块110中。 具体而。
33、言, 可以预先确认目标 信息系统200的种类及其对应的价值标准, 相关技术人员可以基于价值标准预先对该类信 息系统可能包含的各类资产在不同安全属性方面进行评分或赋值, 从而可以获得该类信息 系统的资产评分标准, 并可以预先将资产评分标准存储在资产评估模块。 0055 在一些示例中, 资产评估模块110可以基于目标资产的种类以及资产评分标准对 目标资产在不同安全属性方面进行赋值。 具体而言, 资产评估模块110可以获得目标资产的 种类, 并可以根据目标资产的种类确认该目标资产对应的资产评分标准。 由此能够对目标 资产进行对应的赋值。 0056 在一些示例中, 资产评估模块110可以基于目标资产在。
34、不同安全属性方面(例如保 密性、 完整性和可用性)的赋值确认目标资产的价值评分。 目标资产的价值评分可以满足: 其中, Ai是目标资产的价值评分, si分别为目标资产在保密性(s1)、 完整性 (s2)和可用性(s3)方面的价值基准, ai是目标资产在保密性(a1)、 完整性(a2)和可用性(a3) 方面的赋值。 由此能够获得目标资产的价值评分。 在本实施方式所涉及的示例中, si和ai的 赋值范围可以是1,5, 最小粒度是0.01。 0057 在一些示例中, 资产评估模块110可以配置在态势感知系统20中。 在这种情况下, 态势感知系统20可以采用被动采集的识别方式(例如, 部署资产探针)在。
35、目标信息系统200 的网络流量中进行采集和分析, 从中识别出目标信息系统200包含的资产。 0058 在一些示例中, 如图1所示, 威胁评估系统10还可以包括威胁评估模块130。 在一些 示例中, 威胁可以是指可能对资产或组织造成损害事故的潜在原因。 在一些示例中, 威胁评 估模块130可以基于态势感知告警对目标信息系统200面临的威胁进行监测和识别。 例如, 威胁评估模块130可以从中获得目标资产面临的威胁的发生次数(也即威胁发生次数)。 0059 在一些示例中, 态势感知告警可以基于目标信息系统200关联的例如态势感知系 统20产生。 具体而言, 态势感知系统20可以在目标信息系统200的。
36、网络环境(也称 “目标网 络” )中部署多个探针, 对目标信息系统200的出口流量数据进行监测并生成态势感知告警 (或称 “告警信息” )。 作为一个示例, 例如对于交通信息系统而言, 态势感知系统20在交通行 业多家单位部署了探针, 对交通信息系统出口流量数据进行全镜像采集获得告警信息。 在 说明书 6/18 页 9 CN 111865982 A 9 这种情况下, 能够获取目标网络的大量流量数据作为告警分析的基础, 能够保证威胁检测 的全面性与高效性。 在一些示例中, 态势感知系统20还可以支持溯源功能。 态势感知系统20 可以对过去发生的安全事件及告警均有记录, 并可以查询。 在一些示例中。
37、, 安全事件可以是 指信息系统由于存在自身脆弱性, 在遭受人为原因、 软硬件缺陷或故障、 自然灾害等外部的 威胁时, 信息系统的网络、 数据等资产出现负面影响的事件。 在一些示例中, 态势感知告警 可以包括被监测系统(目标信息系统200)面临的威胁, 例如可以包括威胁的种类及数量、 特 定时间段内各类攻击发生的时间和影响程度等。 0060 在一些示例中, 态势感知系统20的监测范围可以包括恶意代码的网络传播、 木马 后门等恶意程序的网络通信活动、 恶意地址的访问、 扫描侦听攻击、 漏洞探测攻击、 高级持 续性攻击、 DDos攻击、 DNS劫持攻击以及僵尸网络等。 在这种情况下, 能够最大程度上。
38、监测到 针对目标资产遭受到的攻击情况, 从而获得较为准确的单位时间内的威胁发生次数。 0061 在一些示例中, 为了弥补基于态势感知产生的态势感知告警中可能存在的误报与 漏报问题, 可以采用随机过程对威胁发生次数进行进一步完善。 例如, 威胁评估模块130可 以对告警得出的威胁发生次数采用泊松过程进行优化得到优化后的威胁发生次数(即目标 威胁发生次数)。 在这种情况下, 能够便于获得较为准确的目标威胁发生次数。 0062 图3示出了本公开的示例所涉及的目标资产面临的威胁的结构框图。 0063 在一些示例中, 威胁评估模块130可以从态势感知告警中获得目标资产涉及的一 类或多类威胁。 例如, 如。
39、图3所示, 目标资产面临的威胁可以包括威胁T1、 威胁T2、 威胁T3、 威 胁T4和威胁T5等, 这里, 图3仅代表性地示出5类威胁, 但本实施方式不限于此, 目标资产还 可以面临其他更多威胁(具体可以参见下表2)。 0064 在一些示例中, 威胁评估模块130可以从一类或多类威胁中选出任一类威胁(例如 威胁T1)作为目标威胁对目标资产进行威胁评估获得威胁严重性评分。 在一些示例中, 目标 威胁中可以包括一个或多个威胁。 0065 在一些示例中, 威胁评估模块130可以从态势感知告警获得目标信息系统200面临 的威胁等相关信息, 例如可以包括威胁的种类、 数量及影响程度、 特定时间段内各类攻。
40、击发 生的时间等信息。 在一些示例中, 威胁评估模块130也可以对过去发生的安全事件及告警等 记录进行查询和统计获得目标信息系统200面临的威胁的相关信息。 在一些示例中, 威胁评 估模块130也可以从中筛选出目标资产面临的威胁等相关信息。 0066 在一些示例中, 可以基于威胁的表现形式进行分类。 例如, 可以参考威胁分类表将 目标信息系统200面临的威胁进行分类。 威胁分类表可以参见下表2。 0067 表2威胁分类表 说明书 7/18 页 10 CN 111865982 A 10 0068 0069 0070 在一些示例中, 如上所述, 威胁评估模块130可以从态势感知告警(即基于态势感 。
41、知产生的告警信息)中获得目标资产面临的威胁。 在一些示例中, 威胁评估模块130可以从 目标资产面临的威胁中选取任一类作为目标威胁。 在一些示例中, 威胁评估模块130可以基 于态势感知告警确定目标威胁的相关信息。 例如, 威胁评估模块130可以获得目标威胁的种 类、 威胁发生次数(即目标威胁对应的威胁发生次数)、 威胁影响等级(也称 “影响等级” )和 每一个影响等级威胁的数量。 0071 通常而言, 任一信息系统涉及的任一类威胁在不同的时间段内威胁发生次数可以 说明书 8/18 页 11 CN 111865982 A 11 没有必然的联系, 可以是相互独立的且不存在明显差异, 可以是服从统。
42、一分布的随机变量, 由此可以认为威胁发生次数满足泊松分布。 在一些示例中, 威胁发生次数可以符合泊松分 布, 由此可以采用泊松过程对威胁发生次数进行优化, 获得目标威胁发生次数。 0072 在一些示例中, 为了弥补基于态势感知产生的态势感知告警中可能存在的误报与 漏报问题, 威胁评估模块130可以对基于告警信息得出的威胁发生次数采用泊松过程进行 优化, 可以基于优化后的威胁发生次数(即目标威胁发生次数)获得目标信息系统面临威胁 的威胁发生频度。 具体而言, 可以根据泊松分布的定义, 可以假设威胁发生次数在充分小的 时间间隔(t0)内发生一次的概率为 t, 而发生两次或两次以上的概率非常小, 可。
43、以 忽略不记, 因此可以基于泊松过程对威胁发生次数进行优化。 在一些示例中, 泊松分布的概 率分布满足:k0,1,2, 其中, 可以为泊松分布中的常数, 可 以根据态势感知产生的告警信息获得, 即获得目标威胁在单位时间内发生的次数(即频 率), 也就是说, 该频率可以作为泊松分布中的常数 。 0073 在一些示例中, 若 较大时, 可以用参数为( , )的正态分布例如XN( , )来对该 部分的威胁发生次数进行优化。 0074 在一些示例中, 威胁评估模块130可以获得目标资产涉及的目标威胁T的威胁发生 次数, 目标威胁T可以服从参数为 t的泊松分布。 在一些示例中, 威胁评估模块130可以根。
44、 据相关行业的整体情况获得目标威胁对应的置信水平, 该目标威胁满足: Pro(TROTc) 1- , 该公式表示为在一定时间t内, 目标威胁T的威胁发生次数不大于c的概率为1- , 。 其 中, TROT表示为在一定时间t内目标威胁T的威胁发生次数, 1- 表示为目标威胁T对应的置 信水平。 在一些示例中, 置信度 的值可以由相关技术人员根据相关行业的整体情况预先设 定好并存储在威胁评估模块130中。 在一些示例中, 威胁评估模块130可以从满足泊松分布 的目标威胁T对应的泊松分布表中获得c(即目标威胁发生次数)的值。 0075 在一些示例中, 威胁评估模块130可以将目标威胁发生次数转化为威。
45、胁发生频度。 例如, 威胁评估模块130可以采用基于双曲正切函数法将目标威胁发生次数转化为威胁发 生 频 度 , 即 将 c 转 化 为 位 于 0 - 1 之 间 的 数 值 f , 转 化 的 计 算 公 式 可 以 满 足 : 其中, /4表示为平衡因子。 0076 在一些示例中, 威胁评估模块130可以对目标信息系统200面临的威胁进行威胁识 别和评估。 在一些示例中, 威胁评估模块130可以根据 “国标GB/T 20984-2007信息安全风险 评估规范” 中的威胁等级划分来获得目标信息系统200面临的威胁的影响等级(也即威胁影 响等级)。 其中,“国标GB/T 20984-2007。
46、信息安全风险评估规范” 对所有的安全事件类型(包 括威胁)进行影响评级, 且将影响等级划分为1至5级, 详见下表3: 0077 表3威胁影响等级划分 说明书 9/18 页 12 CN 111865982 A 12 0078 0079 在一些示例中, 威胁评估模块130可以参照上表对威胁进行评估, 获得各威胁对应 的威胁影响等级。 由此, 威胁评估模块130能够获得目标威胁中各个威胁对应的威胁影响等 级。 在一些示例中, 威胁评估模块130可以基于威胁影响等级获得目标威胁中各个威胁影响 等级对应的威胁数量(即每一个影响等级威胁的数量)。 0080 在一些示例中, 威胁评估模块130可以根据威胁影。
47、响等级、 每一个影响等级威胁的 数量和威胁发生频度获得威胁严重性评分。 具体而言, 威胁评估模块130可以基于目标威胁 中各个威胁对应的威胁影响等级、 每一个影响等级威胁的数量、 威胁发生频度f和威胁数量 获得威胁严重性评分。 威胁严重性评分可以满足:其中, N表示为目标 资产的威胁总数(即目标资产所面临的威胁的总数量), Impact表示为威胁影响等级, Ni表 示为第i个影响等级威胁的数量(即目标威胁中对应的影响等级为i的数量)。 在本实施方式 所涉及的示例中, Impact的取值可以参考 “国标GB/T 20984-2007信息安全风险评估规范” 中的影响等级划分, 取值范围可以是1,5。
48、。 0081 在一些示例中, 若目标资产面临多类威胁, 威胁评估模块130可以针对多类威胁依 次获得各类威胁对应的威胁严重性评分。 例如, 如图3所示, 威胁评估模块130可以依次获得 威胁T1、 威胁T2、 威胁T3、 威胁T4和威胁T5各自对应的威胁严重性评分。 0082 在一些示例中, 若目标资产面临多类威胁, 威胁评估模块130可以获得多个威胁严 重性评分, 并可以基于多个威胁严重性评分获得该目标资产的目标威胁严重性评分。 具体 而言, 威胁评估模块130可以对多个威胁严重性评分进行加权求和或求平均获得该目标资 产的目标威胁严重性评分。 在一些示例中, 若威胁评估模块130对多个威胁严。
49、重性评分进行 加权求和获得目标威胁严重性评分, 则各个威胁严重性评分对应的权重可以根据该威胁严 重性评分对应的威胁种类在相关行业的影响大小确定。 在一些示例中, 相关技术人员可以 确认相关行业所可能包含的各类威胁以及各类威胁所占的权重并预先存储在威胁评估模 块130中。 在一些示例中, 相关技术人员可以确认相关行业所可能包含的各类威胁以及各类 说明书 10/18 页 13 CN 111865982 A 13 威胁所占的权重并预先存储在威胁评估模块130中。 在本实施方式所涉及的示例中, 威胁严 重性评分和目标威胁严重性评分的取值范围可以是0,5。 0083 在一些示例中, 威胁评估系统10可以。
50、根据目标资产对应的威胁严重性评分或目标 威胁严重性评分来评估目标资产面临威胁的威胁严重程度。 在一些示例中, 威胁评估系统 10可以预先设定多个阈值区间, 各个阈值区间可以分别对应不同的等级。 威胁评估系统10 可以判断目标资产对应的威胁严重性评分或目标威胁严重性评分所处于的阈值区间以及 对应的等级。 在一些示例中, 阈值区间可以根据威胁严重性评分和目标威胁严重性评分的 取值范围来确认。 例如, 阈值区间为01、 12、 23、 34和45五个区间, 并分别对应极 低、 低、 中、 高和极高等五个评判威胁严重程度的等级。 在一些示例中, 在获取威胁严重程度 或之后描述的综合威胁严重性评分可以优。
- 内容关键字: 基于 态势 感知 告警 威胁 评估 系统 方法
活性炭吸附印刷废气净化设备.pdf
园林绿化植物可调式保护支架.pdf
烟气脱硫塔的除尘装置.pdf
石材仿形切割装置.pdf
茶叶加工用上料装置.pdf
藻类培养容器的自动清洗装置.pdf
轨道车用液压马达与扇叶的连接装置.pdf
布卷抽布装置.pdf
双电源切换装置.pdf
应用于综合配电箱风冷却的降温装置.pdf
电力电缆安装用张紧装置.pdf
用于兽药残留检测的样品预处理装置.pdf
矿用可移动终端的模块电路.pdf
净水剂检测用取样装置.pdf
汽车双发电机双蓄电池并联电路.pdf
防火型电气控制柜.pdf
便携式食品样品取样装置.pdf
电缆铺设夹持组件.pdf
柜体装配检验装置.pdf
用于按摩椅的柔性按摩机构.pdf
硬炭及其制备方法、二次电池.pdf
汽车左悬置支架焊接设备.pdf
路面摊铺器.pdf
滤波器腔体生产装置.pdf
带漏电的保护插线板.pdf
电动轮椅安全阈值控制方法.pdf
重点管控一般工业固体废物筛查方法及系统.pdf
用于小型渠道整型施工装置及施工方法.pdf
miRNA标志物组合在制备预测年龄产品中的应用.pdf
水质检测方法及其系统.pdf
防误插的圆形电连接器.pdf
用于新能源汽车零件的皮碗压装装置.pdf
一种隔垫物、显示面板及显示装置.pdf
防滴漏水表.pdf
新型菱形斜拉帆叶式发电机组.pdf
浏览器应用加载方法和装置及浏览器.pdf
一种特殊螺旋线圈无线电源充电装置.pdf
一种基于国产磁盘阵列的盘符检测方法.pdf
气压天然气自动安全阀.pdf
一种基于静脉识别的控制计算机操作的系统.pdf
含两系稀土的高强耐热镁合金及其制备加工方法.pdf
一种使通讯机房内温度降低的精确送风技术.pdf
一种LED灯散热外壳.pdf
一种远程监控水暖网路运行参数的系统.pdf
移动终端和基于用户输入控制所述移动终端的方法.pdf
基于当前网页列表进行推荐的方法和系统.pdf
含氮功能化稀土间规聚苯乙烯及其制备方法.pdf
灯具.pdf
一种组装塑胶齿轮.pdf
高效节能型炉灶.pdf
液压石油自动安全阀.pdf