本申请提供了一种安全检测方法、装置和介质,用于降低平均检测时间,节省计算资源,提高安全检测效率。获取受保护资产的安全风险等级,安全风险等级根据受保护资产的业务属性和安全属性确定;按照安全风险等级对应的规则采集待检测数据,并对待检测数据进行安全检测生成安全检测结果,规则包括安全风险等级越低采集的待检测数据越少;根据安全检测结果调整受保护资产的安全风险等级,并按照调整后的安全风险等级执行按照安全风险等级采集待检测数据的步骤。待检测数据的采集量能够根据安全风险等级动态调整,安全风险低时采集少量待检测数据,节省运算资源,加快处理速度;安全风险高时采集大量待检测数据,提高安全检测准确性。提高安全检测准确性。提高安全检测准确性。
【技术实现步骤摘要】
一种安全检测方法、装置和介质
[0001]本申请实施例涉及安全检测领域,具体涉及一种安全检测方法、装置和介质。
技术介绍
[0002]为了应对日益增加的网络攻击行为,安全建设单位普遍采用了多种安全检测响应(DetectionAnd Response)技术类的产品。安全产品主要通过全面检测方式获取到网络资产的原始数据并加以保存。全面检测方式包括流量镜像或流量代理,以及在操作系统上监测主机行为等。网络资产是指服务器、办公终端、物联网设备或网站应用等,网络资产也可以简称资产。安全产品包括网络检测和响应(Network Detection and Response,NDR)、端点检测与响应(Endpoint Detection and Response,EDR)或安全信息与事件管理(Security Information Event Management,SIEM)等。原始数据包括网络流量数据、终端侧行为数据或安全日志数据等。安全产品往往是通过对原始数据进行分析,通过预设的安全能力对原始数据进行分析匹配、以确认当前网络环境中是否存在的特定的网络攻击事件并产生安全告警。
[0003]全面检测方式的安全检测效率十分低下。安全产品为了保障攻击行为都能被识别出来,往往会采集全部的流量数据、终端行为数据并使用全量的/所有的安全能力或规则进行检测,大量的无效数据与安全能力配置消耗了计算资源与存储资源,也导致真实的攻击行为检测需要花费大量的时间,从而增加平均检测时间(Mean
‑
Time
‑
to
‑
Detect,MTTD),安全检测效率十分低下。
技术实现思路
[0004]本申请实施例提供了一种安全检测方法、装置和介质,用于降低平均检测时间(Mean
‑
Time
‑
to
‑
Detect,MTTD),节省计算资源,提高安全检测效率。
[0005]本申请实施例第一方面提供了一种安全检测方法,包括:
[0006]获取受保护资产的安全风险等级,所述安全风险等级根据所述受保护资产的业务属性和安全属性确定;
[0007]按照安全风险等级对应的规则采集待检测数据,并对所述待检测数据进行安全检测生成安全检测结果,所述规则包括安全风险等级越低采集的待检测数据越少;
[0008]根据安全检测结果调整所述受保护资产的安全风险等级,并按照调整后的安全风险等级执行所述按照安全风险等级采集待检测数据的步骤。
[0009]基于本申请实施例第一方面,本申请实施例第一方面的第一种实现方式中,按照安全风险等级对应的规则采集待检测数据,具体包括:
[0010]若安全风险等级低于第一风险阈值,则仅采集数据头作为待检测数据;
[0011]若安全风险等级不低于第一风险阈值,则采集数据头和数据体作为待检测数据。
[0012]基于本申请实施例第一方面或第一方面的第一种实现方式,本申请实施例第一方面的第二种实现方式中,按照安全风险等级对应的规则采集待检测数据,具体包括:
[0013]若安全风险等级低于第二风险阈值,则仅采集数据量小于第一数据量阈值的数据作为待检测数据;
[0014]若安全风险等级不低于第二风险阈值,则采集数据量小于第二数据量阈值的数据作为待检测数据,或者采集数据量不受限的数据作为待检测数据,第二数据量阈值高于第一数据量阈值。
[0015]基于本申请实施例第一方面、第一方面的第一种实现方式和第二种实现方式任一种,本申请实施例第一方面的第三种实现方式中,所述获取受保护资产的安全风险等级,具体包括:
[0016]根据受保护资产的业务属性和安全属性,对受保护资产进行资产属性画像;
[0017]根据资产属性画像的相似性对受保护资产进行资产分组;
[0018]确定各个资产分组的安全风险等级。
[0019]基于本申请实施例第一方面、第一方面的第一种实现方式至第三种实现方式任一种,本申请实施例第一方面的第四种实现方式中,所述进行安全检测前,所述方法还包括:
[0020]根据应对的攻击者手法、攻击阶段或攻击路径协议类型,对安全检测能力软件进行分组,得到安全能力分组。
[0021]基于本申请实施例第一方面、第一方面的第一种实现方式至第四种实现方式任一种,本申请实施例第一方面的第五种实现方式中,所述进行安全检测,具体包括:
[0022]根据受保护资产的业务属性和安全属性,以及待检测数据,从安全能力分组中选择目标安全检测能力软件,所述安全能力分组根据应对的攻击者手法、攻击阶段或协议类型确定;
[0023]使用目标安全检测能力软件对待检测数据进行安全检测。
[0024]基于本申请实施例第一方面、第一方面的第一种实现方式至第五种实现方式任一种,本申请实施例第一方面的第六种实现方式中,根据安全检测结果调整所述受保护资产的安全风险等级,具体包括:
[0025]从安全检测结果的安全告警中获取所述受保护资产的目标安全风险等级;
[0026]将所述受保护资产的安全风险等级更新为所述目标安全风险等级。
[0027]基于本申请实施例第一方面、第一方面的第一种实现方式至第五种实现方式任一种,本申请实施例第一方面的一种实现方式中,根据安全检测结果调整所述受保护资产的安全风险等级,具体包括:
[0028]根据安全检测结果调整所述安全属性;
[0029]根据调整后的安全属性和所述业务属性调整所述受保护资产的安全风险等级。
[0030]基于本申请实施例第一方面、第一方面的第一种实现方式至第六种实现方式任一种,本申请实施例第一方面的第七种实现方式中,所述采集待检测数据,具体包括:使用网络遥测对受保护资产进行数据采集,得到待检测数据。
[0031]基于本申请实施例第一方面、第一方面的第一种实现方式至第七种实现方式任一种,本申请实施例第一方面的第八种实现方式中,所述使用网络遥测对受保护资产进行数据采集,具体包括:
[0032]使用网络检测与响应NDR的流量探针采集受保护资产的网络流量数据;
[0033]使用终端检测与响应EDR的采集器Agent采集受保护资产的行为数据。
[0034]从以上技术方案可以看出,本申请实施例具有以下优点:
[0035]本申请中,依据受保护资产的业务属性和安全属性确定安全风险等级,采用安全风险等级对应的规则采集待检测数据。不同安全风险等级对应不同的规则,安全风险等级越低采集的待检测数据越少。待检测数据的采集量能够根据安全风险等级动态调整,安全风险低时采集少量待检测数据,节省运算资源,加快处理速度;安全风险高时采集大量待检测数据,提高安全检测准确性。划分安全风险等级能够更加灵活地对受保护资产进行有针对性的检测,相比于无差别地全面检测节省了算力和时间,提高了安全检测效率。进一步的,使用安全检测结果调整受保护资产的安全风险等级,并循环进行新一轮的安全检测,实现了动态本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种安全检测方法,其特征在于,包括:获取受保护资产的安全风险等级,所述安全风险等级根据所述受保护资产的业务属性和安全属性确定;按照安全风险等级对应的规则采集待检测数据,并对所述待检测数据进行安全检测生成安全检测结果,所述规则包括安全风险等级越低采集的待检测数据越少;根据安全检测结果调整所述受保护资产的所述安全风险等级,并按照调整后的安全风险等级执行所述按照安全风险等级对应的规则采集待检测数据的步骤。2.根据权利要求1所述的安全检测方法,其特征在于,所述按照安全风险等级对应的规则采集待检测数据,具体包括:若安全风险等级低于第一风险阈值,则仅采集数据头作为待检测数据;若安全风险等级不低于第一风险阈值,则采集数据头和数据体作为待检测数据。3.根据权利要求1所述的安全检测方法,其特征在于,所述按照安全风险等级对应的规则采集待检测数据,具体包括:若所述安全风险等级低于第二风险阈值,则仅采集数据量小于第一数据量阈值的数据作为待检测数据;若所述安全风险等级不低于第二风险阈值,则采集数据量小于第二数据量阈值的数据作为待检测数据,或者采集数据量不受限的数据作为待检测数据,第二数据量阈值高于第一数据量阈值。4.根据权利要求1所述的安全检测方法,其特征在于,所述获取受保护资产的安全风险等级,具体包括:根据受保护资产的业务属性和安全属性,对受保护资产进行资产属性画像;根据资产属性画像的相似性对受保护资产进行资产分组;确定各个资产分组的安全风险等级。5.根据权利要求1所述的安全检测方法,其特征在于,所述对待检测数据进行安全检测,具体包括:根据受保护资产的业务属性和安全属性,以及待检测数据,从安全能力分组中选择目标安全检测能力软件,所述安全能力分组根据应对的攻击者手法、攻击阶段或协议类型确定;使用目标安全检...
【专利技术属性】
技术研发人员:蒲大峰,
申请(专利权)人:深圳市深信服信息安全有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。