本技术属于安全,尤其涉及一种网络态势评估的方法、装置、设备、存储介质及程序产品。
背景技术:
1、网络态势感知是一种基于网络安全因素,评估网络安全状况的技术。通常利用各种检测工具对影响系统安全性的网络安全因素进行采集,例如,网络安全因素可以包括漏洞数据、威胁与入侵数据和用户异常行为数据等。然后对采集到的网络安全因素进行归类分析等,得到网络整体安全状态。
2、目前,现有的网络安全保障方法通常会对采集到流量数据进行特征分析,然后和预设的特征进行特征比对,根据特征比对结果进行网络态势分析。如此,当攻击行为的流量数据发生变化后,预设的特征中可能不包含变化后的攻击行为的特征,因此无法准确的评估网络态势。
技术实现思路
1、本技术实施例提供一种网络态势评估的方法、装置、设备、存储介质及程序产品,以解决无法准确评估网络态势的问题。
2、第一方面,本技术实施例提供一种网络态势评估的方法,所述方法包括:
3、获取诱捕网络中各诱捕点的镜像数据,所述镜像数据包括诱捕点标识和目标ip地址的攻击行为数据,所述镜像数据以数据链表的方式存储;
4、针对每个数据链表头节点中的相同诱捕点标识对应的诱捕点,对所述诱捕点的镜像数据进行聚类,得到所述诱捕点的镜像数据包括的攻击行为数据类别;
5、针对每个数据链表头节点中的相同诱捕点标识对应的诱捕点,利用所述诱捕点对应的网络节点的漏洞评分和所述数据链表,计算所述诱捕点对应的风险值;
6、基于所有诱捕点的风险值,计算得到网络态势值;
7、在所述诱捕点的风险值大于预设诱捕点阈值,或者所述网络态势值大于预设态势阈值的情况下,确定网络存在安全问题。
8、在一种可能的实现方式中,在所述获取诱捕网络中各诱捕点的镜像数据之前,所述方法还包括:
9、针对所述诱捕网络中每个诱捕点,获取各ip地址的扫描行为数据;
10、判断各ip地址的扫描行为数据是否为攻击行为数据;
11、针对每个ip地址,在所述ip地址的扫描行为数据为攻击行为数据的情况下,将所述ip地址作为所述目标ip地址,将所述目标ip地址的第一攻击行为数据存储在所述数据链表的头节点中;
12、将所述目标ip地址同步给与所述诱捕点存在连接关系的其他诱捕点;
13、接收所述其他诱捕点发送的所述目标ip地址的第二攻击行为数据;
14、将所述第二攻击行为数据存储在所述数据链表中的次节点中;
15、在所述ip地址的扫描行为数据为非攻击行为数据的情况下,在所述数据链表中建立一个空节点。
16、在一种可能的实现方式中,所述镜像数据还包括目的ip地址;对所述诱捕点的镜像数据进行聚类,得到所述诱捕点的镜像数据包括的攻击行为数据类别,包括:
17、按照目标ip地址对所述镜像数据进行聚类,得到第一聚类镜像数据;
18、计算所述第一聚类镜像数据中各目标ip地址的攻击行为数据的相似度;
19、将相似度最大的聚类镜像数据进行聚类,得到第二聚类镜像数据,所述第二聚类镜像包括所述诱捕点的镜像数据包括的攻击行为数据类别。
20、在一种可能的实现方式中,所述利用所述诱捕点对应的网络节点的漏洞评分和所述数据链表,计算所述诱捕点对应的风险值,包括:
21、利用通用漏洞评分系统对每个诱捕点的漏洞的严重程度进行评分,得到每个诱捕点对应的漏洞评分;
22、获取每一类别的攻击行为数据对应的预设影响值。所述预设影响值用于表示所述预设影响值对应的攻击行为发生后对网络造成的影响;
23、利用每个诱捕点对应的漏洞评分、所述预设影响值和所述数据链表,所述相同起始诱捕点对应的风险值。
24、在一种可能的实现方式中,所述利用每个诱捕点对应的漏洞评分、所述预设影响值和所述数据链表,所述相同起始诱捕点对应的风险值,包括:
25、按照如下公式计算得到所述相同起始诱捕点对应的风险值:
26、
27、其中,shoi表示诱捕点i的风险值,sx表示x类别的攻击行为数据对应的预设影响值,nsx表示所述x类别的攻击行为数据涉及的数据链表总数,nti是以所述诱捕点i为起始诱捕点的链表总数,ni为所有数据链表中包括所述诱捕点i的标识的节点总数,y为x类别的攻击行为数据中包括的链表标识,z为x类别的攻击行为数据中第y个数据链表中第z个节点涉及的诱捕点,cvssxyz(max)为x类别的攻击行为数据中第y个数据链表中第z个节点涉及诱捕点所对应网络节点漏洞的最大分值范围内的最大值,cvssxy(min)为x类别的攻击行为数据中第y个链表中各诱捕点对应的网络节点的漏洞的最大分值范围中的最小值,cvssxy(max)为x类别的攻击行为数据中第y个链表中各诱捕点对应的网络节点漏洞的最大分值范围的最大值。z为x类别的攻击行为数据中第y个链表中节点总数,y为x类别的攻击行为数据中的链表总数量。
28、在一种可能的实现方式中,所述基于所有诱捕点的风险值,计算得到网络态势值,包括:
29、针对每个诱捕点,计算所述诱捕点的风险值和所述诱捕点对应的网络节点存在连接关系的网络节点数量的乘积,得到所述诱捕点的第一安全性度量值,所述第一安全性度量值用于表示所述诱捕点的安全系数;
30、每个诱捕点的安全性度量值进行求和,得到所述网络的第二安全性度量值,所述第二安全性度量值用于表示所述网络的安全系数;
31、将所述第二安全性度量值作为自然指数的幂指数,计算得到所述网络态势值。
32、第二方面,本技术实施例提供一种网络态势评估的装置,所述装置包括:
33、获取模块,用于获取诱捕网络中各诱捕点的镜像数据,所述镜像数据包括诱捕点标识和目标ip地址的攻击行为数据,所述镜像数据以数据链表的方式存储;
34、聚类模块,用于针对每个数据链表头节点中的相同诱捕点标识对应的诱捕点,对所述诱捕点的镜像数据进行聚类,得到所述诱捕点的镜像数据包括的攻击行为数据类别;
35、计算模块,用于针对每个数据链表头节点中的相同诱捕点标识对应的诱捕点,利用所述诱捕点对应的网络节点的漏洞评分和所述数据链表,计算所述诱捕点对应的风险值;
36、所述计算模块,还用于基于所有诱捕点的风险值,计算得到网络态势值;
37、判断模块,用于在所述诱捕点的风险值大于预设诱捕点阈值,或者所述网络态势值大于预设态势阈值的情况下,确定网络存在安全问题。
38、第三方面,本技术实施例提供了一种电子设备,所述设备包括:处理器以及存储有计算机程序指令的存储器;
39、所述处理器执行所述计算机程序指令时实现如第一方面任意一项所述的网络态势评估的方法。
40、第四方面,本技术实施例提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现如第一方面任意一项所述的网络态势评估的方法。
41、第五方面,本技术实施例提供了一种计算机程序产品,计算机产品包括计算机程序,所述计算机程序被处理器执行时实现如第一方面任意一项所述的网络态势评估的方法。
42、本技术实施例提供了一种网络态势评估的方法、装置、设备、存储介质及计算机程序产品,获取诱捕网络中各诱捕点的镜像数据,其中镜像数据中包括诱捕点标识、存在攻击行为的目的ip地址以及目的ip的攻击行为数据。利用诱捕点标识区分不同诱捕点,对每个诱捕点的镜像数据进行聚类,从而对诱捕点对应的攻击行为数据进行聚类,得到诱捕点对应的各类攻击行为的类别。进而利用漏洞评分和数据链表计算每个诱捕点的风险值。其中,数据链表可以反应各诱捕点之间的连接关系,进而同时考虑每个诱捕点的漏洞评分和各诱捕点之间的连接关系,可以更加准确的计算每个诱捕点的风险。在此基础上,利用各诱捕点的风险值计算网络态势值,得到的网络态势值更加准确,利用各诱捕点的风险值和网络态势值评估网络安全,可以提高评估结果的准确性。
1.一种网络态势评估的方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,在所述获取诱捕网络中各诱捕点的镜像数据之前,所述方法还包括:
3.根据权利要求1所述的方法,其特征在于,所述镜像数据还包括目的ip地址;所述对所述诱捕点的镜像数据进行聚类,得到所述诱捕点的镜像数据包括的攻击行为数据类别,包括:
4.根据权利要求1或2所述的方法,其特征在于,所述利用所述诱捕点对应的网络节点的漏洞评分和所述数据链表,计算所述诱捕点对应的风险值,包括:
5.根据权利要求4所述的方法,其特征在于,所述利用每个诱捕点对应的漏洞评分、所述预设影响值和所述数据链表,所述相同起始诱捕点对应的风险值,包括:
6.根据权利要求1所述的方法,其特征在于,所述基于所有诱捕点的风险值,计算得到网络态势值,包括:
7.一种网络态势评估的装置,其特征在于,所述装置包括:
8.一种电子设备,其特征在于,所述设备包括:处理器以及存储有计算机程序指令的存储器;
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现如权利要求1-6任意一项所述的网络态势评估的方法。
10.一种计算机程序产品,其特征在于,计算机产品包括计算机程序,所述计算机程序被处理器执行时实现如权利要求1-6任意一项所述的网络态势评估的方法。
