[发明专利]一种网络安全蜜罐系统指标的评估方法及装置

说明书

本发明提供了一种网络安全蜜罐系统指标的评估方法及装置，其中方法包括：获取入侵者的攻击数据，其中，攻击数据包括：入侵者IP、入侵时间、行为类别、危害等级和详情，入侵时间包括监测到入侵者IP的攻击行为的时间点，以及攻击行为间隔的时间区间，危害等级按攻击行为类别分为低危、中危和高危；根据入侵者的攻击数据，计算攻击者吸引程度指数、捕获行为程度指数、攻击者停滞时间指数、攻击风险程度指数；根据攻击者吸引程度指数、捕获行为程度指数、攻击者停滞时间指数、攻击风险程度指数，生成评估结果，并展示评估结果。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种网络安全蜜罐系统指标的评估方法及装置。

背景技术

蜜罐技术是一种欺骗性防御技术，它通过诱骗入侵者进行攻击，从而监视和跟踪入侵者的行为并已日志形式记录，然后借助一定的工具进行分析，知晓入侵者的工具、策略和方法，从而相应的采取措施进行防御，实现防御能力的提升。

一般会通过提供拟定的业务场景的蜜罐系统来满足不同客户的需求，客户会根据实际的情况要求蜜罐系统进行定制开发来满足需求，而实际的业务安全需求可能存在描述不清晰，表述不明白，重点不突出等问题，导致定制开发这种方式效率低下，最终的成效不明显，客户评价不高等问题。

因此，现有蜜罐技术具有如下问题：

1、蜜罐技术在当前客户业务场景的适用性无有效评估；

2、监控指标的评估方法缺失；

3、当前场景或改进的方向无准确的表述，定制开发方向不明确。

发明内容

本发明旨在提供一种克服上述问题或者至少部分地解决上述问题的网络安全蜜罐系统指标的评估方法及装置。

为达到上述目的，本发明的技术方案具体是这样实现的：

本发明的一个方面提供了一种网络安全蜜罐系统指标的评估方法，包括：获取入侵者的攻击数据，其中，所述攻击数据包括：入侵者IP、入侵时间、行为类别、危害等级和详情，所述入侵时间包括监测到所述入侵者IP的攻击行为的时间点，以及攻击行为间隔的时间区间，所述危害等级按攻击行为类别分为低危、中危和高危；根据所述入侵者的攻击数据，计算攻击者吸引程度指数、捕获行为程度指数、攻击者停滞时间指数、攻击风险程度指数；根据所述攻击者吸引程度指数、捕获行为程度指数、攻击者停滞时间指数、攻击风险程度指数，生成评估结果，并展示所述评估结果。

其中，所述计算攻击者吸引程度指数包括：通过如下计算公式计算所述攻击者吸引程度指数：其中，M表示统计周期内IP访问总量，N表示统计周期内重复出现的IP访问总量，F_t为重复访问因子；x_tmax表示在保证有值的情况下统计日期取最大值时的重复访问IP量，μ为均值，σ为标准差，t为时间周期长度，k_i为重复i天时的IP访问量，其中，i≥2，i∈N。

其中，所述计算捕获行为程度指数包括：所述捕获行为程度指数包括：攻击行为平均类别、攻击行为平均总量、攻击行为集中程度、高危攻击行为频率；计算所述攻击行为平均类别包括：计算监测到的攻击行为类别量均值；计算所述攻击行为平均总量包括：计算监测到的攻击行为总量均值；计算所述攻击行为集中程度包括：确定监测到的不同危险等级类别下频数最高的攻击行为类，计算各攻击行为在该等级下的集中程度，计算公式为：其中，P_j为单日某一危害等级下某一攻击行为量，该类危害等级下共n类攻击行为指标，P_max，P_min分别为发生量最高值和最低值；计算所述高危攻击行为频率包括：计算周期内风险等级确定为高危等级的攻击类总频率占攻击总量的比率；通过如下公式计算所述捕获行为程度指数：其中，A，P分别为预设时间段内攻击类别统计量和攻击频数总量，分别为统计周期内攻击类别及攻击频数均值。