本发明专利技术提供一种提升网络攻击风险评估效率的方法,包括接收监控设备发送的若干告警信息,每条告警信息中均包括IP地址;提取所有告警信息中的IP地址,根据预先设置在NAT设备中的IP地址映射表判断每个告警信息中的IP地址是否存在关联关系;将所有具有关联关系的IP地址对应的告警信息归并为同一告警事件;根据预设风险评估模型对告警事件进行风险评估,得到风险评估结果。本发明专利技术提供一种提升网络攻击风险评估效率的方法,打破了同一连接请求终端不同网络区域构成的“信息孤岛”,迅速形成完整的网络攻击链,可以及时有效的发现潜在的攻击征兆,进而准确评估整个安全事件的风险和网络安全态势。
【技术实现步骤摘要】
一种提升网络攻击风险评估效率的方法、设备及介质
本专利技术涉及网络风险攻击评估
,尤其涉及一种提升网络攻击风险评估效率的方法、设备及介质。
技术介绍
现有市场上的网络安全管理平台,在IP地址分析时,主要针对相同的源地址、目的地址、源端口、目的端口等字段进行归并、统计。但是金融行业由于其行业特殊性,涉及大量客户信息等敏感信息和资金交易业务,所以数据传输要求安全和稳定,需要专网专用,并且对外隐藏真实地址,内部网络区域间及网络边界处通常都使用NAT(网络地址转换协议)设备对连接请求终端的IP地址进行转换。但是目前的网络安全管理平台不具备对转换前、后IP地址的关联分析能力,对于内外网间、内部区域间的地址转换未形成立体的关联关系,导致同一连接请求终端的一个攻击行为,在网络的不同区域,产生大量互相独立的安全事件,形成一个个“信息孤岛”,并产生大量重复的告警,导致分析效率较为低下,难以迅速还原完整的攻击链,对整个攻击事件难以形成全面的风险评估等问题。
技术实现思路
为了克服现有技术的不足,本专利技术的目的之一在于提供一种提升网络攻击风险评估效率的方法,其能解决目前的网络安全管理平台不具备对转换前、后IP地址的关联分析能力,对于内外网间、内部区域间的地址转换未形成立体的关联关系,导致同一连接请求终端的一个攻击行为,在网络的不同区域,产生大量互相独立的安全事件,形成一个个“信息孤岛”,并产生大量重复的告警,导致分析效率较为低下的问题。本专利技术的目的之二在于提供一种电子设备,其能解决目前的网络安全管理平台不具备对转换前、后IP地址的关联分析能力,对于内外网间、内部区域间的地址转换未形成立体的关联关系,导致同一连接请求终端的一个攻击行为,在网络的不同区域,产生大量互相独立的安全事件,形成一个个“信息孤岛”,并产生大量重复的告警,导致分析效率较为低下的问题。本专利技术的目的之三在于提供一种计算机可读存储介质,其能解决目前的网络安全管理平台不具备对转换前、后IP地址的关联分析能力,对于内外网间、内部区域间的地址转换未形成立体的关联关系,导致同一连接请求终端的一个攻击行为,在网络的不同区域,产生大量互相独立的安全事件,形成一个个“信息孤岛”,并产生大量重复的告警,导致分析效率较为低下的问题。本专利技术的目的之一采用以下技术方案实现:一种提升网络攻击风险评估效率的方法,包括以下步骤:S1、接收告警信息,接收监控设备发送的若干告警信息,每条告警信息中包括IP地址;S2、设置IP地址映射表,通过NAT设备中记录的IP转换信息设置含有关联关系以及IP地址的IP地址映射表;S3、IP地址匹配,提取所有告警信息中的IP地址,根据预先设置在NAT设备中的IP地址映射表判断每个告警信息中的IP地址是否存在关联关系;S4、划分告警信息,将所有具有关联关系的IP地址对应的告警信息归并为同一告警事件;S5、风险评估,根据预设风险评估模型对告警事件进行风险评估,得到风险评估结果。本专利技术的目的之二采用以下技术方案实现:一种电子设备,包括处理器、存储器及存储在存储器上并可在处理器上运行的计算机程序,计算机程序被处理器执行时实现如本专利技术所述的一种提升网络攻击风险评估效率的方法的步骤。本专利技术的目的之三采用以下技术方案实现:一种计算机可读存储介质,计算机可读存储介质上存储计算机程序,计算机程序被处理器执行时实现如本专利技术所述的一种提升网络攻击风险评估效率的方法的步骤。本专利技术与现有技术相比,具有如下优点和有益效果:本专利技术一种提升网络攻击风险评估效率的方法,包括接收监控设备发送的若干告警信息,每条所述告警信息中均包括IP地址;提取所有告警信息中的IP地址,根据预先设置在NAT设备中的IP地址映射表判断每个告警信息中的IP地址是否存在关联关系;将所有具有关联关系的IP地址对应的告警信息归并为同一告警事件;根据预设风险评估模型对告警事件进行风险评估,得到风险评估结果;通过设置的IP地址映射表判断每个告警信息对应的IP地址的关联关系,可以迅速判断出属于同一连接请求终端的告警信息,将同一连接请求终端对应的若干告警信息归并为同一告警事件,打破了同一连接请求终端不同网络区域构成“信息孤岛”,迅速形成完整的网络攻击链,无需对每一个单独的网络区域的告警信息都进行评估分析,可以及时有效的发现潜在的攻击征兆,进而准确评估整个安全事件的风险和网络安全态势。附图说明此处所说明的附图用来提供对本专利技术的进一步理解,构成本专利技术的一部分,本专利技术的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。在附图中:图1为本专利技术方法的流程图。具体实施方式下面,结合附图以及具体实施方式,对本专利技术做进一步描述,需要说明的是,在不相冲突的前提下,以下描述的各实施例之间或各技术特征之间可以任意组合形成新的实施例。如图1所示,本实施例中提供一种提升网络攻击风险评估效率的方法,所述方法应用于连接请求终端、目标设备以及NAT设备之间,连接请求终端与目标设备之间进行数据传输需要NAT设备进行IP地址转换,NAT设备设置在目标设备网络边界处,监控设备用于监控连接请求终端与目标设备之间进行数据传输时的数据安全性,并发出即时的告警信息。上述方法包括以下步骤:S1、接收告警信息,接收监控设备发送的若干告警信息,每条告警信息中均包括IP地址。在本实施例中,按照是否经过NAT设备转换可以将IP地址分为经过NAT设备转换的已转换IP地址和未经NAT设备转换的未转换IP地址,按照数据源划分,IP地址包括源IP地址和目标IP地址,源IP地址为连接请求终端的地址,目标IP地址为目标设备的IP地址。源IP地址在连接请求终端与目标设备连接之间会经过NAT设备单次或多次的转换,同样目标IP地址在连接请求终端与目标设备连接之间会经过NAT设备单次或多次的转换。S2、设置IP地址映射表,通过NAT设备中记录的IP转换信息设置含有关联关系以及IP地址的IP地址映射表。在本实施例中,NAT设备对于IP地址的转换分为静态转换或动态转换,若为静态转换,即NAT设备将未转换IP地址转换为唯一的已转换IP地址,若为动态转换,即NAT设备将未转换IP地址转换为不唯一的已转换IP地址,随机选取预先设置多个动态转换IP地址中的一个作为已转换IP地址,例如,当IP地址未转换IP地址时,令源IP地址为A1,若为静态转换时,则NAT设备将A1转换为唯一对应的A2,A2为已转换的源IP地址;若为动态转换时,则NAT设备将A1转换为A2或A3或A4……或An,A2或A3或A4……或An为已转换的源IP地址,具体数量根据实际情况而定。因此根据NAT设备对于IP地址的转换方式将IP地址之间的关联关系划分为静态关系和动态关系,当关联关系为静态关系,IP地址映射表中IP地址之间为一对一的映射关系,IP转换信息为同一未转换IP地址对应唯一的已转换IP地址。当关联关系为动态关系,IP地址映射表本文档来自技高网...
【技术保护点】
1.一种提升网络攻击风险评估效率的方法,其特征在于,包括以下步骤:/nS1、接收告警信息,接收监控设备发送的若干告警信息,每条告警信息中包括IP地址;/nS2、设置IP地址映射表,通过NAT设备中记录的IP转换信息设置含有关联关系以及IP地址的IP地址映射表;/nS3、IP地址匹配,提取所有告警信息中的IP地址,根据预先设置在NAT设备中的IP地址映射表判断每个告警信息中的IP地址是否存在关联关系;/nS4、划分告警信息,将所有具有关联关系的IP地址对应的告警信息归并为同一告警事件;/nS5、风险评估,根据预设风险评估模型对告警事件进行风险评估,得到风险评估结果。/n
【技术特征摘要】
1.一种提升网络攻击风险评估效率的方法,其特征在于,包括以下步骤:
S1、接收告警信息,接收监控设备发送的若干告警信息,每条告警信息中包括IP地址;
S2、设置IP地址映射表,通过NAT设备中记录的IP转换信息设置含有关联关系以及IP地址的IP地址映射表;
S3、IP地址匹配,提取所有告警信息中的IP地址,根据预先设置在NAT设备中的IP地址映射表判断每个告警信息中的IP地址是否存在关联关系;
S4、划分告警信息,将所有具有关联关系的IP地址对应的告警信息归并为同一告警事件;
S5、风险评估,根据预设风险评估模型对告警事件进行风险评估,得到风险评估结果。
2.如权利要求1所述的一种提升网络攻击风险评估效率的方法,其特征在于,IP地址包括经过NAT设备转换的已转换IP地址和未经NAT设备转换的未转换IP地址。
3.如权利要求1所述的一种提升网络攻击风险评估效率的方法,其特征在于,NAT设备对于IP地址的转换包括静态转换和动态转换,若为静态转换,NAT设备将未转换IP地址转换为唯一的已转换IP地址,若为动态转换,NAT设备将未转换IP地址转换为不唯一的已转换IP地址,随机选取预先设置多个动态转换IP地址中的一个作为已转换IP地址。
4.如权利要求3所述的一种提升网络攻击风险评估效率的方法,其特征在于,NAT设备对于IP地址的转换方式将IP地址之间的关联关系划分为静态关系和动态关系,当关联关系为静态关系,IP地址映射表中IP地址之间为一对一的映射关系,IP转换信息为同一未转换IP地址对应唯一的已转换IP地址;当关联关系为动态关系,IP地址映射表中IP地址之间为多对一的映射关系,IP转换信息为同一未转换IP地址对应若干个的已转换IP地址。
5.如权利要求1所述的一种提升网络攻击风险评估效率的方法,其特征在于,已转换IP地址包括已转换源IP地址和已转换目标IP地址,未转换IP地址包括未转换源IP地址和未转换目标IP地址,将已转换源IP地址和未转换源IP地址作为源IP地址,将已转换目标IP地址和未转换目标IP地址作为目标IP地址。
6.如权利要求5所述的一种提升网络攻击风险评估效率的方法,其特...
【专利技术属性】
技术研发人员:文贵华,李燕,
申请(专利权)人:华南理工大学,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。