系统受攻击程度的监测方法及装置的制造方法
【技术领域】
[0001] 本发明涉及信息安全领域,具体地,涉及一种系统受攻击程度的监测方法及装置。
【背景技术】
[0002] 以计算机网络为主体的网络空间正在取代传统的通信方式,成为人类社会重要的 通信基础设施,也深刻地影响并改变着人类的通信方式以及生产生活方式。然而,随着网络 信息技术的不断发展,各种各样的网络攻击手段层出不穷,对信息系统的数据安全的威胁 越来越严重,同时也威胁着国家的安全。因此,对信息系统数据的安全开展监测是十分重要 的。
[0003] 对信息系统数据的安全开展监测的一个环节就是要确定出系统的受攻击程度。目 前,常见的网络攻击可以分为泄露信息类攻击、入侵控制类攻击、拒绝服务类攻击、数据破 坏类攻击和对抗能力攻击这五类。针对数据破坏类攻击,惯常的确定系统受攻击程度的方 法大都存在计算量复杂、准确率低的缺陷,因而不能准确、高效地确定出系统的受攻击程 度。
【发明内容】
[0004] 本发明的目的是提供一种系统受攻击程度的监测方法及装置,以实现针对数据破 坏类攻击的系统受攻击程度的准确监测。
[0005] 为了实现上述目的,本发明提供一种系统受攻击程度的监测方法,该方法包括:采 集至少一种数据破坏类攻击效果评价指标的数据信息,其中,所述数据破坏类攻击效果评 价指标为:篡改的用户账户信息数、删除的用户账户信息数、增加的用户账户信息数、篡改 的注册表键值数、删除的注册表键值数、增加的注册表键值数、篡改的文件数、删除的文件 数、增加的文件数、终止的进程数或创建的进程数;根据每种数据破坏类攻击效果评价指标 的数据信息,确定每种数据破坏类攻击效果评价指标的攻击效果值;以及根据所述每种数 据破坏类攻击效果评价指标的攻击效果值和每种数据破坏类攻击效果评价指标的权重,确 定所述目标系统受攻击程度。
[0006] 优选地,所述每种数据破坏类攻击效果评价指标的权重基于序关系法来被预先确 定。
[0007] 优选地,通过以下方式确定每种数据破坏类攻击效果评价指标的攻击效果值:
[0009] 其中,H1表示第i种数据破坏类攻击效果评价指标的攻击效果值;V i表示第i种 数据破坏类攻击效果评价指标的数据信息;
[0010] 并且,通过以下方式确定所述目标系统受攻击程度:
[0012] 其中,Q表示所述目标系统受攻击程度;CO1表示第i种数据破坏类攻击效果评价 指标的权重;m表示数据破坏类攻击效果评价指标的总个数,并且I < i < m。
[0013] 优选地,通过采集来自攻击方的攻击日志来获取所述至少一种数据破坏类攻击效 果评价指标的数据信息;或者,通过采集所述目标系统自身的采集点来获取所述至少一种 数据破坏类攻击效果评价指标的数据信息,其中,所述采集点包括以下中的至少一者:安全 日志、注册表、目录文件、运行进程。
[0014] 优选地,该方法还包括:根据所述目标系统受攻击程度,确定所述目标系统当前的 受攻击程度等级;以及根据所述受攻击程度等级进行告警。
[0015] 本发明还提供一种系统受攻击程度的监测装置,该装置包括:数据采集单元,用于 采集至少一种数据破坏类攻击效果评价指标的数据信息,其中,所述数据破坏类攻击效果 评价指标为:篡改的用户账户信息数、删除的用户账户信息数、增加的用户账户信息数、篡 改的注册表键值数、删除的注册表键值数、增加的注册表键值数、篡改的文件数、删除的文 件数、增加的文件数、终止的进程数或创建的进程数;攻击效果确定单元,用于根据每种数 据破坏类攻击效果评价指标的数据信息,确定每种数据破坏类攻击效果评价指标的攻击效 果值;以及受攻击程度确定单元,用于根据所述每种数据破坏类攻击效果评价指标的攻击 效果值和每种数据破坏类攻击效果评价指标的权重,确定所述目标系统受攻击程度。
[0016] 通过上述技术方案,可以在目标系统遭受到数据破坏类攻击后,定量且准确地确 定出目标系统受攻击程度,该受攻击程度能够直接并且准确地反映数据破坏类网络攻击对 目标系统的攻击效果。整个过程简单方便、复杂性低,并且可以为安全告警、以及数据修复 和防护措施选择提供及时、准确、可靠的数据支持。
[0017] 本发明的其他特征和优点将在随后的【具体实施方式】部分予以详细说明。
【附图说明】
[0018] 附图是用来提供对本发明的进一步理解,并且构成说明书的一部分,与下面的具 体实施方式一起用于解释本发明,但并不构成对本发明的限制。在附图中:
[0019] 图1是根据本发明的实施方式的系统受攻击程度的监测方法的流程图;
[0020] 图2是根据本发明的另一实施方式的系统受攻击程度的监测方法的流程图;
[0021] 图3是根据本发明的实施方式的系统受攻击程度的监测装置的框图;以及
[0022] 图4是根据本发明的另一实施方式的系统受攻击程度的监测装置的框图。
【具体实施方式】
[0023] 以下结合附图对本发明的【具体实施方式】进行详细说明。应当理解的是,此处所描 述的【具体实施方式】仅用于说明和解释本发明,并不用于限制本发明。
[0024] 图1示出了根据本发明的一种实施方式的系统受攻击程度的监测方法的流程图, 该方法可以由计算机实施。如图1所示,该方法可以包括:步骤S1,采集至少一种数据破坏 类攻击效果评价指标的数据信息。例如,所述数据破坏类攻击效果评价指标可以为:篡改的 用户账户信息数、删除的用户账户信息数、增加的用户账户信息数、篡改的注册表键值数、 删除的注册表键值数、增加的注册表键值数、篡改的文件数、删除的文件数、增加的文件数、 终止的进程数或创建的进程数。
[0025] 在本发明中,某种数据破坏类攻击效果评价指标的数据信息,是指该数据破坏类 攻击效果评价指标的数值统计信息。例如,篡改的用户账户信息数的数据信息可以指共有 多少个用户账户信息被篡改,再例如,删除的文件数可以指共有多少个文件被删除,诸如此 类。
[0026] 选取上述11种数据破坏类攻击效果评价指标来确定目标系统的受攻击程度,是 因为这些指标基本上代表了绝大多数数据破坏类攻击行为的攻击效果,并且其数据信息容 易采集,从而使得方法的实施更为简单、高效。
[0027] 可以通过多种方式来采集所述数据破坏类攻击效果评价指标的数据信息。例如, 在一种实施方式中,可以通过采集来自攻击方的攻击日志来获取所述至少一种数据破坏类 攻击效果评价指标的数据信息。其中,所述攻击日志可以用于记录攻击方的攻击行为。并 且,在该攻击日志中,可以直接记录有关数据破坏类攻击效果评价指标的数据信息,例如, 在该攻击日志中直接记录了篡改的用户账户信息数、删除的注册表键值数等等。因此,在步 骤Sl中,可以直接读取所述攻击日志来得到这些指标的数据信息。
[0028] 可替换地,在另一实施方式中,可以通过采集目标系统自身的采集点来获取所述 至少一种数据破坏类攻击效果评价指标的数据信息。其中,所述采集点可以包括以下中的 至少一者:安全日志、注册表、目录文件、运行进程。例如,可以通过采集所述目标系统的安 全日志来获取以下数据破坏类攻击效果评价指标中的至少一者的数据信息:篡改的用户账 户信息数、删除的用户账户信息数、增加的用户账户信息数。可以通过采集所述目标系统的 注册表来获取以下数据破坏类攻击效果评价指标中的至少一者的数据信息:篡改的注册表 键值数、删除的注册表键值数、增加的注册表键值数。可以通过采集所述目标系统的目录文 件来获取以下数据破坏类攻击效果评价指标中的至少一者的数据信息:篡改的文件数、删 除的文件