[发明专利]一种网络安全蜜罐系统指标的评估方法及装置有效
| 申请号: | 202111569497.5 | 申请日: | 2021-12-21 |
| 公开(公告)号: | CN114285623B | 公开(公告)日: | 2023-01-20 |
| 发明(设计)人: | 蔡晶晶;陈俊;张凯;程磊 | 申请(专利权)人: | 北京永信至诚科技股份有限公司 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40 |
| 代理公司: | 北京天方智力知识产权代理事务所(普通合伙) 11719 | 代理人: | 路远 |
| 地址: | 100094 北京市*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 网络安全 蜜罐 系统 指标 评估 方法 装置 | ||
1.一种网络安全蜜罐系统指标的评估方法,其特征在于,包括:
获取入侵者的攻击数据,其中,所述攻击数据包括:入侵者IP、入侵时间、行为类别、危害等级和详情,所述入侵时间包括监测到所述入侵者IP的攻击行为的时间点,以及攻击行为间隔的时间区间,所述危害等级按攻击行为类别分为低危、中危和高危;
根据所述入侵者的攻击数据,计算攻击者吸引程度指数、捕获行为程度指数、攻击者停滞时间指数、攻击风险程度指数;
根据所述攻击者吸引程度指数、捕获行为程度指数、攻击者停滞时间指数、攻击风险程度指数,生成评估结果,并展示所述评估结果;其中:
所述计算攻击者吸引程度指数包括:
通过如下计算公式计算所述攻击者吸引程度指数:
其中,M表示统计周期内IP访问总量,N表示统计周期内重复出现的IP访问总量,Ft为重复访问因子;xtmax表示在保证有值的情况下统计日期取最大值时的重复访问IP量,μ为均值,σ为标准差,t为时间周期长度,ki为重复i天时的IP访问量,其中,i≥2,i∈N;
所述计算捕获行为程度指数包括:
所述捕获行为程度指数包括:攻击行为平均类别、攻击行为平均总量、攻击行为集中程度、高危攻击行为频率;
计算所述攻击行为平均类别包括:计算监测到的攻击行为类别量均值;
计算所述攻击行为平均总量包括:计算监测到的攻击行为总量均值;
计算所述攻击行为集中程度包括:确定监测到的不同危险等级类别下频数最高的攻击行为类,计算各攻击行为在该等级下的集中程度,计算公式为:其中,Pj为单日某一危害等级下某一攻击行为量,该类危害等级下共n类攻击行为指标,Pmax,Pmin分别为发生量最高值和最低值;
计算所述高危攻击行为频率包括:计算周期内风险等级确定为高危等级的攻击类总频率占攻击总量的比率;
通过如下公式计算所述捕获行为程度指数:
其中,A,P分别为预设时间段内攻击类别统计量和攻击频数总量,分别为统计周期内攻击类别及攻击频数均值;
所述计算攻击者停滞时间指数包括:
所述攻击者停滞时间指数包括:预设时长的IP被滞留时间,其中,所述预设时长包括一天或者连续多天,同一IP滞留时间为首次攻击行为时间点和最后一次攻击行为记录点之间滞留时间之和;
计算所有IP被滞留时间总量,其中,连续多天被滞留时间为所有连续多天访问蜜罐的IP在连续时长内被滞留时间总量;
所述计算所述攻击风险程度指数包括:
所述攻击风险程度指数包括:风险级别总量、高危风险量;
计算所述风险级别总量包括:
获取统计周期内发生的所有攻击行为类别风险级别统计值,通过如下方式计算风险级别总量指数:其中Pij为统计周期内第i天时攻击类别j的发生量,q为对应危险等级权重,P为统计周期内攻击行为发生总量;
计算所述高危风险量包括:计算统计周期内发生高危攻击数量占攻击类别总量的比率。
2.一种网络安全蜜罐系统指标的评估装置,其特征在于,包括:
数据采集模块,用于获取入侵者的攻击数据,其中,所述攻击数据包括:入侵者IP、入侵时间、行为类别、危害等级和详情,所述入侵时间包括监测到所述入侵者IP的攻击行为的时间点,以及攻击行为间隔的时间区间,所述危害等级按攻击行为类别分为低危、中危和高危;
数据分析模块,用于根据所述入侵者的攻击数据,计算攻击者吸引程度指数、捕获行为程度指数、攻击者停滞时间指数、攻击风险程度指数;
数据展示模块,用于根据所述攻击者吸引程度指数、捕获行为程度指数、攻击者停滞时间指数、攻击风险程度指数,生成评估结果,并展示所述评估结果;其中:
所述数据分析模块通过如下方式计算攻击者吸引程度指数:
通过如下计算公式计算所述攻击者吸引程度指数:
其中,M表示统计周期内IP访问总量,N表示统计周期内重复出现的IP访问总量,Ft为重复访问因子;xtmax表示在保证有值的情况下统计日期取最大值时的重复访问IP量,μ为均值,σ为标准差,t为时间周期长度,ki为重复i天时的IP访问量,其中,i≥2,i∈N;
所述数据分析模块通过如下方式计算捕获行为程度指数:
所述捕获行为程度指数包括:攻击行为平均类别、攻击行为平均总量、攻击行为集中程度、高危攻击行为频率;
计算所述攻击行为平均类别包括:计算监测到的攻击行为类别量均值;
计算所述攻击行为平均总量包括:计算监测到的攻击行为总量均值;
计算所述攻击行为集中程度包括:确定监测到的不同危险等级类别下频数最高的攻击行为类,计算各攻击行为在该等级下的集中程度,计算公式为:其中,Pj为单日某一危害等级下某一攻击行为量,该类危害等级下共n类攻击行为指标,Pmax,Pmin分别为发生量最高值和最低值;
计算所述高危攻击行为频率包括:计算周期内风险等级确定为高危等级的攻击类总频率占攻击总量的比率;
通过如下公式计算所述捕获行为程度指数:
其中,A,P分别为预设时间段内攻击类别统计量和攻击频数总量,分别为统计周期内攻击类别及攻击频数均值;
所述数据分析模块通过如下方式计算攻击者停滞时间指数:
所述攻击者停滞时间指数包括:预设时长的IP被滞留时间,其中,所述预设时长包括一天或者连续多天,同一IP滞留时间为首次攻击行为时间点和最后一次攻击行为记录点之间滞留时间之和;
计算所有IP被滞留时间总量,其中,连续多天被滞留时间为所有连续多天访问蜜罐的IP在连续时长内被滞留时间总量;
所述数据分析模块通过如下方式计算所述攻击风险程度指数:
所述攻击风险程度指数包括:风险级别总量、高危风险量;
计算所述风险级别总量包括:
获取统计周期内发生的所有攻击行为类别风险级别统计值,通过如下方式计算风险级别总量指数:其中Pij为统计周期内第i天时攻击类别j的发生量,q为对应危险等级权重,P为统计周期内攻击行为发生总量;
计算所述高危风险量包括:计算统计周期内发生高危攻击数量占攻击类别总量的比率。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京永信至诚科技股份有限公司,未经北京永信至诚科技股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202111569497.5/1.html,转载请声明来源钻瓜专利网。
