本发明涉及网络安全技术领域,具体涉及一种网络设备安全评估方法及装置。
背景技术
信息技术的发展和互联网应用的普及,让网络面临着前所未有的潜在威胁和信息安全风险。2017年,全球有高达86%的公司曾经历至少一次以上的网络攻击,企业网络资源遭窃风险首度超越有形资产。2016年,英国五分之一的企业遭受网络攻击。网络攻击已成为企业损失的主要原因之一。而网络设备安全评估是该领域的最基础的工作,能够帮助我们对于网络设备的安全运行状况有一个大致的了解,从而为改进网络设备安全机制、提升全网安全防御能力提供有益的参考。
目前,关于安全风险评估的方法主要分为两类:一类是传统风险评估方法,比如故障树分析、故障模式影响与危害度分析、马尔科夫分析法等;另一类是现代风险评估方法,比如共有目标风险分析系统等。但是,这两类方法都属于“静态”风险评估方法,而现代网络具有极强的时效性和不断增强的互动性,上述安全风险评估方法由于响应速度较慢,且,仅适用于“静态”评估,无法实现对现代网络环境中网络设备的实时变化的运行状态进行评估,从而不能满足网络设备安全状态监控的要求。
技术实现要素:
有鉴于此,本发明实施例提供了一种网络设备安全评估方法及装置,以解决现有技术不能快速及时的全面监控网络设备的安全状态的问题,利用随时间变化的各类告警数据随时动态计算网络设备的安全指数,进而利用安全指数监测网络设备是否处于安全运行状态,改变了现有“静态”评估响应速度较慢的情况。
根据第一方面,本发明实施例提供了一种网络设备安全评估方法,包括:获取各个网络设备的原始告警数据;根据所述原始告警数据分别计算每个所述网络设备对应的每一类告警的风险指数;根据各所述网络设备的各类告警的风险指数计算各所述网络设备的安全指数;判断各所述网络设备的安全指数是否低于第二预设阈值;当所述网络设备的风险指数低于所述第二预设阈值时,输出低于第二预设阈值的安全指数对应的网络设备信息。
本发明实施例提供的网络设备安全评估方法,利用网络设备的原始告警数据计算每个网络设备对应的每一类告警的风险指数,进而根据每个网络设备对应的每一类告警的风险指数计算每个网络设备的安全指数,并通过安全指数对网络设备进行实时监控,不但能够及时发现异常网络设备,通过合理设置第二预设阈值,还能够排查未出现异常但运行欠佳的网络设备,从而避免潜在的网络设备风险,实现快速、及时、全面的网络设备安全状态监控。
结合第一方面,在本发明第一方面第一实施方式中,根据所述告警数据分别计算每个所述网络设备对应的每一类告警的风险指数,包括:根据所述原始告警数据生成评估数据,所述评估数据包括设备识别信息和告警类型信息;根据所述评估数据构建二维矩阵;根据所述二维矩阵计算每个所述网络设备对应的每一类告警的风险指数。
本发明实施例提供的网络设备安全评估方法,首先对原始告警数据进行预处理以生成评估数据,进而根据评估数据计算每个网络设备对应的每一类告警的风险指数,能够避免因直接使用原始告警数据而进入较大误差,提高了对风险指数计算的准确性,进而提高了对网络设备进行安全评估的准确性。
结合第一方面第一实施方式,在本发明第一方面第二实施方式中,根据以下公式构建所述二维矩阵:
其中,二维矩阵mat中的每一个元素mat[i][j]=diaj,diaj表示第i个网络设备di发生第j类告警aj的次数。
本发明实施例提供的网络设备安全评估方法,给出了具体公式以构建用于计算每个网络设备对应的每一类告警的风险指数的二维矩阵,有利于提高计算效率,进而提高对网络设备进行安全评估的工作效率。
结合第一方面第二实施方式,在本发明第一方面第三实施方式中,根据以下公式计算每个所述网络设备对应的每一类告警的风险指数:
其中,threati(j)表示第i个网络设备di对应第j类告警aj的风险指数;mat[i][j]=diaj表示第i个网络设备di发生第j类告警aj的次数;
本发明实施例提供的网络设备安全评估方法,给出了具体公式以计算每个网络设备对应的每一类告警的风险指数,有利于提高计算效率,进而提高对网络设备进行安全评估的工作效率。
结合第一方面第三实施方式,在本发明第一方面第四实施方式中,根据以下公式计算每个所述网络设备的安全指数:
其中,threat(i)表示第i个网络设备di的风险指数;threati(j)表示第i个网络设备di对应第j类告警aj的风险指数;p(j)表示第j类告警aj的惩罚系数;m表示告警类型的总数。
本发明实施例提供的网络设备安全评估方法,给出了具体公式以计算每个网络设备的安全指数,有利于提高计算效率,进而提高对网络设备进行安全评估的工作效率。
结合第一方面,在本发明第一方面第五实施方式中,在根据所述原始告警数据分别计算每个所述网络设备对应的每一类告警的风险指数的步骤之后,所述网络设备安全评估方法还包括:判断所述告警对于所述网络设备的风险指数是否高于第一预设阈值;当所述网络设备的风险指数高于所述第一预设阈值时,输出高于第一预设阈值的风险指数对应的网络设备信息和告警信息。
本发明实施例提供的网络设备安全评估方法,在计算出每个网络设备对应的每一类告警的风险指数后,可以使用风险指数及第一预设阈值对网络设备进行初步的安全评估,以尽早发现异常或潜在风险,一方面有利于提高网络设备安全评估的工作效率,另一方面有利于及时排查潜在险情,进而提高网络设备的运行稳定性,保障通信安全。
结合第一方面第五实施方式,在本发明第一方面第六实施方式中,在输出高于第一预设阈值的风险指数对应的网络设备信息和告警信息的步骤之后,所述网络设备安全评估方法还包括:根据所述网络设备信息和告警信息对所述网络设备采取对应的安全防护措施。
本发明实施例提供的网络设备安全评估方法,可以针对具体的网络设备信息和告警信息对网络设备采取对应的安全防护措施,有利于及时排查险情或潜在险情,进而提高网络设备的运行稳定性,保障通信安全。
结合第一方面或第一方面第一至第六实施方式中的任一种实施方式,在本发明第一方面第七实施方式中,在输出低于第二预设阈值的安全指数对应的网络设备信息的步骤之后,还包括:对低于第二预设阈值的安全指数对应的网络设备进行安全分析以识别安全风险原因,根据所述安全风险原因对所述网络设备采取对应的安全防护措施。
本发明实施例提供的网络设备安全评估方法,可以针对安全指数较低的具体的网络设备信息进行安全分析以识别安全风险原因,并采取对应的安全防护措施,有利于及时排查险情或潜在险情,进而提高网络设备的运行稳定性,保障通信安全。
根据第二方面,本发明实施例提供了一种网络设备安全评估装置,包括:输入单元,用于获取各个网络设备的原始告警数据;风险指数计算单元,用于根据所述原始告警数据分别计算每个所述网络设备对应的每一类告警的风险指数;安全指数计算单元,用于根据各所述网络设备的各类告警的风险指数计算各所述网络设备的安全指数;判断单元,用于判断各所述网络设备的安全指数是否低于第二预设阈值;输出单元,当所述网络设备的风险指数低于所述第二预设阈值时,所述输出单元输出低于第二预设阈值的安全指数对应的网络设备信息。
根据第三方面,本发明实施例提供了一种服务器,包括:存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行如第一方面或者第一方面的任意一种实施方式中所述的网络设备安全评估方法。
根据第四方面,本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行第一方面或者第一方面的任意一种实施方式中所述的网络设备安全评估方法。
附图说明
通过参考附图会更加清楚的理解本发明的特征和优点,附图是示意性的而不应理解为对本发明进行任何限制,在附图中:
图1示出了本发明实施例中的一种网络设备安全评估方法的一个具体示例的流程图;
图2示出了本发明实施例中一种网络设备安全评估方法中实现步骤s102根据原始告警数据分别计算每个网络设备对应的每一类告警的风险指数的一个具体示例的流程图;
图3示出了本发明实施例中的一种网络设备安全评估装置的一个具体示例的结构示意图;
图4示出了本发明实施例中的一种服务器的一个具体示例的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供了一种网络设备安全评估方法,如图1所示,该网络设备安全评估方法可以包括以下步骤:
步骤s101:获取各个网络设备的原始告警数据。在一具体实施方式中,原始告警数据可以是各个网络设备的告警日志。为了控制后续计算的数据量,可以设定一个时间范围,仅获取对应时间范围内各个网络设备的原始告警数据即可。例如,设定的时间范围可以是距当前时刻最近的24小时。
步骤s102:根据原始告警数据分别计算每个网络设备对应的每一类告警的风险指数。在一具体实施方式中,如图2所示,可以利用以下几个子步骤实现步骤s102根据原始告警数据分别计算每个网络设备对应的每一类告警的风险指数:
步骤s1021:根据原始告警数据生成评估数据。为了避免将原始告警数据中存在的误差引入后续计算,需要对原始告警数据进行预处理,以统一数据格式并滤除无效数据。在一具体实施方式中,可以首先构建告警编号表<alertid,content>以存储告警编号和告警类型。其中,alertid表示告警编号,为固定长度的数字串;content表示具体的告警类型,例如告警编号表<001,web应用攻击>表示告警类型“web应用攻击”的告警编号为“001”。其次,构建统一格式的告警数据表<time、deviceid、alertid>,其中,time表示时间并且格式统一,例如2016/03/07-23:33:29;deviceid表示唯一标识设备的编号,即设备识别信息,例如mac地址、ip地址或者企业内部编号;alertid为告警数据表中存储的与具体的告警类型对应的告警编号。最后,滤除告警数据表中重复的和字段不全的告警数据。重复的告警数据是指在相同时刻的相同的日志记录,如果某条告警记录<timei、deviceidi、alertidi>和前一条告警记录<timei-1、deviceidi-1、alertidi-1>的字段完全一致,即timei=timei-1、deviceidi=deviceidi-1、alertidi=alertidi-1,则将该告警记录删除。字段不全的告警数据是指缺少time(时间)、deviceid(设备识别信息)或alertid(告警编号)的告警数据。告警数据表即评估数据,其中包括设备识别信息和告警类型信息。
步骤s1022:根据评估数据构建二维矩阵。具体的,可以根据以下公式(1)构建所述二维矩阵:
其中,二维矩阵mat中的每一个元素mat[i][j]=diaj,diaj表示第i个网络设备di发生第j类告警aj的次数。
步骤s1023:根据二维矩阵计算每个网络设备对应的每一类告警的风险指数。具体的,可以根据以下公式计算每个网络设备对应的每一类告警的风险指数:
其中,threati(j)表示第i个网络设备di对应第j类告警aj的风险指数;mat[i][j]=diaj表示第i个网络设备di发生第j类告警aj的次数;
本发明实施例提供的网络设备安全评估方法,首先对原始告警数据进行预处理以生成评估数据,进而根据评估数据计算每个网络设备对应的每一类告警的风险指数,能够避免因直接使用原始告警数据而进入较大误差,提高了对风险指数计算的准确性,进而提高了对网络设备进行安全评估的准确性。
可选的,在步骤s102根据原始告警数据分别计算每个网络设备对应的每一类告警的风险指数的步骤之后,如图2所示,还可以增设以下步骤:
步骤s1024:判断告警对于网络设备的风险指数是否高于第一预设阈值。当网络设备的风险指数高于第一预设阈值时,执行步骤s1025;当网络设备的风险指数不高于第一预设阈值时,不执行任何操作或执行步骤s103。
步骤s1025:输出高于第一预设阈值的风险指数对应的网络设备信息和告警信息。
步骤s1026:根据网络设备信息和告警信息对网络设备采取对应的安全防护措施。
本发明实施例提供的网络设备安全评估方法,在计算出每个网络设备对应的每一类告警的风险指数后,可以使用风险指数及第一预设阈值对网络设备进行初步的安全评估,以尽早发现异常或潜在风险,一方面有利于提高网络设备安全评估的工作效率,另一方面有利于及时排查潜在险情,进而提高网络设备的运行稳定性,保障通信安全。
步骤s103:根据各网络设备的各类告警的风险指数计算各网络设备的安全指数。具体的,可以根据以下公式计算每个网络设备的安全指数:
其中,threat(i)表示第i个网络设备di的风险指数;threati(j)表示第i个网络设备di对应第j类告警aj的风险指数;p(j)表示第j类告警aj的惩罚系数;m表示告警类型的总数。
步骤s104:判断各网络设备的安全指数是否低于第二预设阈值。当网络设备的风险指数低于第二预设阈值时,执行步骤s105;当网络设备的风险指数不低于第二预设阈值时,不执行任何操作。
步骤s105:输出低于第二预设阈值的安全指数对应的网络设备信息。当网络设备的风险指数低于第二预设阈值时,说明该网络设备可能已经出现异常,或当前的运行状态不佳,即将出现异常,网管人员在获知该网络设备的运行现状后,应当尽快采集措施以避免通信故障。
可选的,如图1或图2所示,本发明实施例的网络设备安全评估方法,在步骤s105后,还可以增设以下步骤:
步骤s106:对低于第二预设阈值的安全指数对应的网络设备进行安全分析以识别安全风险原因,根据安全风险原因对网络设备采取对应的安全防护措施。
经过分析,如果网络中的数据服务器安全指数较低,可能被入侵,存在数据泄露的威胁,可以采取的防护包括重新设置数据服务器中数据库的访问规则等;如果是个人设备安全指数低,可以根据告警日志进行分析,如果个人设备中的网络设备被恶意控制,需立即断开该个人设备在网络中的连接,同时了解该个人设备的责任管理情况。
本发明实施例提供的网络设备安全评估方法,利用网络设备的原始告警数据计算每个网络设备对应的每一类告警的风险指数,进而根据每个网络设备对应的每一类告警的风险指数计算每个网络设备的安全指数,并通过安全指数对网络设备进行实时监控,不但能够及时发现异常网络设备,通过合理设置第二预设阈值,还能够排查未出现异常但运行欠佳的网络设备,从而避免潜在的网络设备风险,实现快速、及时、全面的网络设备安全状态监控。
本发明实施例还提供了一种网络设备安全评估装置,如图3所示,该网络设备安全评估装置可以包括:输入单元301、风险指数计算单元302、安全指数计算单元303、判断单元304和输出单元305。
其中,输入单元301用于获取各个网络设备的原始告警数据;详细内容参考上述方法实施例中步骤s101所述。
风险指数计算单元302用于根据原始告警数据分别计算每个网络设备对应的每一类告警的风险指数;详细内容参考上述方法实施例中步骤s102及步骤s1021至步骤s1023所述.
安全指数计算单元303用于根据各网络设备的各类告警的风险指数计算各网络设备的安全指数;详细内容参考上述方法实施例中步骤s103所述。
判断单元304用于判断各网络设备的安全指数是否低于第二预设阈值;详细内容参考上述方法实施例中步骤s104所述。
输出单元305,当网络设备的风险指数低于第二预设阈值时,用于输出低于第二预设阈值的安全指数对应的网络设备信息;详细内容参考上述方法实施例中步骤s105所述。
本发明实施例还提供了一种服务器,如图4所示,该服务器可以包括处理器401和存储器402,其中处理器401和存储器402可以通过总线或者其他方式连接,图4中以通过总线连接为例。
处理器401可以为中央处理器(centralprocessingunit,cpu)。处理器401还可以为其他通用处理器、数字信号处理器(digitalsignalprocessor,dsp)、专用集成电路(applicationspecificintegratedcircuit,asic)、现场可编程门阵列(field-programmablegatearray,fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。
存储器402作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块,如本发明实施例中的网络设备安全评估方法对应的程序指令/模块(例如,图3所示的输入单元301、风险指数计算单元302、安全指数计算单元303、判断单元304和输出单元305)。处理器401通过运行存储在存储器402中的非暂态软件程序、指令以及模块,从而执行处理器的各种功能应用以及数据处理,即实现上述方法实施例中的网络设备安全评估方法。
存储器402可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储处理器401所创建的数据等。此外,存储器402可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器402可选包括相对于处理器401远程设置的存储器,这些远程存储器可以通过网络连接至处理器401。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
所述一个或者多个模块存储在所述存储器402中,当被所述处理器401执行时,执行如图1至2所示实施例中的网络设备安全评估方法。
上述服务器具体细节可以对应参阅图1至图2所示的实施例中对应的相关描述和效果进行理解,此处不再赘述。
本领域技术人员可以理解,实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述存储介质可为磁碟、光盘、只读存储记忆体(read-onlymemory,rom)、随机存储记忆体(randomaccessmemory,ram)、快闪存储器(flashmemory)、硬盘(harddiskdrive,缩写:hdd)或固态硬盘(solid-statedrive,ssd)等;所述存储介质还可以包括上述种类的存储器的组合。
虽然结合附图描述了本发明的实施例,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下作出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。