系統(tǒng)受攻擊程度的監(jiān)測方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及信息安全領(lǐng)域,具體地��,涉及一種系統(tǒng)受攻擊程度的監(jiān)測方法及裝置�。
【背景技術(shù)】
[0002] 以計(jì)算機(jī)網(wǎng)絡(luò)為主體的網(wǎng)絡(luò)空間正在取代傳統(tǒng)的通信方式�,成為人類社會重要的 通信基礎(chǔ)設(shè)施��,也深刻地影響并改變著人類的通信方式以及生產(chǎn)生活方式���。然而�����,隨著網(wǎng)絡(luò) 信息技術(shù)的不斷發(fā)展����,各種各樣的網(wǎng)絡(luò)攻擊手段層出不窮�,對信息系統(tǒng)的數(shù)據(jù)安全的威脅 越來越嚴(yán)重,同時(shí)也威脅著國家的安全��。因此����,對信息系統(tǒng)數(shù)據(jù)的安全開展監(jiān)測是十分重要 的。
[0003] 對信息系統(tǒng)數(shù)據(jù)的安全開展監(jiān)測的一個(gè)環(huán)節(jié)就是要確定出系統(tǒng)的受攻擊程度��。目 前�����,常見的網(wǎng)絡(luò)攻擊可以分為泄露信息類攻擊、入侵控制類攻擊�����、拒絕服務(wù)類攻擊��、數(shù)據(jù)破 壞類攻擊和對抗能力攻擊這五類��。針對數(shù)據(jù)破壞類攻擊�����,慣常的確定系統(tǒng)受攻擊程度的方 法大都存在計(jì)算量復(fù)雜���、準(zhǔn)確率低的缺陷�,因而不能準(zhǔn)確��、高效地確定出系統(tǒng)的受攻擊程 度�。
【發(fā)明內(nèi)容】
[0004] 本發(fā)明的目的是提供一種系統(tǒng)受攻擊程度的監(jiān)測方法及裝置���,以實(shí)現(xiàn)針對數(shù)據(jù)破 壞類攻擊的系統(tǒng)受攻擊程度的準(zhǔn)確監(jiān)測����。
[0005] 為了實(shí)現(xiàn)上述目的,本發(fā)明提供一種系統(tǒng)受攻擊程度的監(jiān)測方法��,該方法包括:采 集至少一種數(shù)據(jù)破壞類攻擊效果評價(jià)指標(biāo)的數(shù)據(jù)信息�����,其中�����,所述數(shù)據(jù)破壞類攻擊效果評 價(jià)指標(biāo)為:篡改的用戶賬戶信息數(shù)���、刪除的用戶賬戶信息數(shù)����、增加的用戶賬戶信息數(shù)����、篡改 的注冊表鍵值數(shù)、刪除的注冊表鍵值數(shù)���、增加的注冊表鍵值數(shù)���、篡改的文件數(shù)�����、刪除的文件 數(shù)�、增加的文件數(shù)����、終止的進(jìn)程數(shù)或創(chuàng)建的進(jìn)程數(shù);根據(jù)每種數(shù)據(jù)破壞類攻擊效果評價(jià)指標(biāo) 的數(shù)據(jù)信息���,確定每種數(shù)據(jù)破壞類攻擊效果評價(jià)指標(biāo)的攻擊效果值����;以及根據(jù)所述每種數(shù) 據(jù)破壞類攻擊效果評價(jià)指標(biāo)的攻擊效果值和每種數(shù)據(jù)破壞類攻擊效果評價(jià)指標(biāo)的權(quán)重��,確 定所述目標(biāo)系統(tǒng)受攻擊程度����。
[0006] 優(yōu)選地,所述每種數(shù)據(jù)破壞類攻擊效果評價(jià)指標(biāo)的權(quán)重基于序關(guān)系法來被預(yù)先確 定�。
[0007] 優(yōu)選地�����,通過以下方式確定每種數(shù)據(jù)破壞類攻擊效果評價(jià)指標(biāo)的攻擊效果值:
[0009] 其中,H1表示第i種數(shù)據(jù)破壞類攻擊效果評價(jià)指標(biāo)的攻擊效果值���;V i表示第i種 數(shù)據(jù)破壞類攻擊效果評價(jià)指標(biāo)的數(shù)據(jù)信息��;
[0010] 并且���,通過以下方式確定所述目標(biāo)系統(tǒng)受攻擊程度:
[0012] 其中,Q表示所述目標(biāo)系統(tǒng)受攻擊程度���;CO1表示第i種數(shù)據(jù)破壞類攻擊效果評價(jià) 指標(biāo)的權(quán)重��;m表示數(shù)據(jù)破壞類攻擊效果評價(jià)指標(biāo)的總個(gè)數(shù)���,并且I < i < m。
[0013] 優(yōu)選地����,通過采集來自攻擊方的攻擊日志來獲取所述至少一種數(shù)據(jù)破壞類攻擊效 果評價(jià)指標(biāo)的數(shù)據(jù)信息;或者�����,通過采集所述目標(biāo)系統(tǒng)自身的采集點(diǎn)來獲取所述至少一種 數(shù)據(jù)破壞類攻擊效果評價(jià)指標(biāo)的數(shù)據(jù)信息,其中���,所述采集點(diǎn)包括以下中的至少一者:安全 日志�、注冊表��、目錄文件��、運(yùn)行進(jìn)程�����。
[0014] 優(yōu)選地�����,該方法還包括:根據(jù)所述目標(biāo)系統(tǒng)受攻擊程度��,確定所述目標(biāo)系統(tǒng)當(dāng)前的 受攻擊程度等級�;以及根據(jù)所述受攻擊程度等級進(jìn)行告警。
[0015] 本發(fā)明還提供一種系統(tǒng)受攻擊程度的監(jiān)測裝置�,該裝置包括:數(shù)據(jù)采集單元,用于 采集至少一種數(shù)據(jù)破壞類攻擊效果評價(jià)指標(biāo)的數(shù)據(jù)信息�����,其中,所述數(shù)據(jù)破壞類攻擊效果 評價(jià)指標(biāo)為:篡改的用戶賬戶信息數(shù)�、刪除的用戶賬戶信息數(shù)��、增加的用戶賬戶信息數(shù)���、篡 改的注冊表鍵值數(shù)��、刪除的注冊表鍵值數(shù)�����、增加的注冊表鍵值數(shù)�、篡改的文件數(shù)��、刪除的文 件數(shù)�、增加的文件數(shù)、終止的進(jìn)程數(shù)或創(chuàng)建的進(jìn)程數(shù)��;攻擊效果確定單元��,用于根據(jù)每種數(shù) 據(jù)破壞類攻擊效果評價(jià)指標(biāo)的數(shù)據(jù)信息�����,確定每種數(shù)據(jù)破壞類攻擊效果評價(jià)指標(biāo)的攻擊效 果值;以及受攻擊程度確定單元��,用于根據(jù)所述每種數(shù)據(jù)破壞類攻擊效果評價(jià)指標(biāo)的攻擊 效果值和每種數(shù)據(jù)破壞類攻擊效果評價(jià)指標(biāo)的權(quán)重���,確定所述目標(biāo)系統(tǒng)受攻擊程度��。
[0016] 通過上述技術(shù)方案����,可以在目標(biāo)系統(tǒng)遭受到數(shù)據(jù)破壞類攻擊后�,定量且準(zhǔn)確地確 定出目標(biāo)系統(tǒng)受攻擊程度,該受攻擊程度能夠直接并且準(zhǔn)確地反映數(shù)據(jù)破壞類網(wǎng)絡(luò)攻擊對 目標(biāo)系統(tǒng)的攻擊效果��。整個(gè)過程簡單方便�、復(fù)雜性低,并且可以為安全告警�����、以及數(shù)據(jù)修復(fù) 和防護(hù)措施選擇提供及時(shí)��、準(zhǔn)確�、可靠的數(shù)據(jù)支持。
[0017] 本發(fā)明的其他特征和優(yōu)點(diǎn)將在隨后的【具體實(shí)施方式】部分予以詳細(xì)說明�����。
【附圖說明】
[0018] 附圖是用來提供對本發(fā)明的進(jìn)一步理解,并且構(gòu)成說明書的一部分����,與下面的具 體實(shí)施方式一起用于解釋本發(fā)明�,但并不構(gòu)成對本發(fā)明的限制。在附圖中:
[0019] 圖1是根據(jù)本發(fā)明的實(shí)施方式的系統(tǒng)受攻擊程度的監(jiān)測方法的流程圖�����;
[0020] 圖2是根據(jù)本發(fā)明的另一實(shí)施方式的系統(tǒng)受攻擊程度的監(jiān)測方法的流程圖����;
[0021] 圖3是根據(jù)本發(fā)明的實(shí)施方式的系統(tǒng)受攻擊程度的監(jiān)測裝置的框圖;以及
[0022] 圖4是根據(jù)本發(fā)明的另一實(shí)施方式的系統(tǒng)受攻擊程度的監(jiān)測裝置的框圖�����。
【具體實(shí)施方式】
[0023] 以下結(jié)合附圖對本發(fā)明的【具體實(shí)施方式】進(jìn)行詳細(xì)說明�。應(yīng)當(dāng)理解的是,此處所描 述的【具體實(shí)施方式】僅用于說明和解釋本發(fā)明�����,并不用于限制本發(fā)明。
[0024] 圖1示出了根據(jù)本發(fā)明的一種實(shí)施方式的系統(tǒng)受攻擊程度的監(jiān)測方法的流程圖���, 該方法可以由計(jì)算機(jī)實(shí)施����。如圖1所示�����,該方法可以包括:步驟S1��,采集至少一種數(shù)據(jù)破壞 類攻擊效果評價(jià)指標(biāo)的數(shù)據(jù)信息��。例如��,所述數(shù)據(jù)破壞類攻擊效果評價(jià)指標(biāo)可以為:篡改的 用戶賬戶信息數(shù)�����、刪除的用戶賬戶信息數(shù)�、增加的用戶賬戶信息數(shù)、篡改的注冊表鍵值數(shù)�、 刪除的注冊表鍵值數(shù)、增加的注冊表鍵值數(shù)�、篡改的文件數(shù)����、刪除的文件數(shù)�、增加的文件數(shù)、 終止的進(jìn)程數(shù)或創(chuàng)建的進(jìn)程數(shù)���。
[0025] 在本發(fā)明中���,某種數(shù)據(jù)破壞類攻擊效果評價(jià)指標(biāo)的數(shù)據(jù)信息����,是指該數(shù)據(jù)破壞類 攻擊效果評價(jià)指標(biāo)的數(shù)值統(tǒng)計(jì)信息。例如��,篡改的用戶賬戶信息數(shù)的數(shù)據(jù)信息可以指共有 多少個(gè)用戶賬戶信息被篡改����,再例如,刪除的文件數(shù)可以指共有多少個(gè)文件被刪除�,諸如此 類。
[0026] 選取上述11種數(shù)據(jù)破壞類攻擊效果評價(jià)指標(biāo)來確定目標(biāo)系統(tǒng)的受攻擊程度����,是 因?yàn)檫@些指標(biāo)基本上代表了絕大多數(shù)數(shù)據(jù)破壞類攻擊行為的攻擊效果����,并且其數(shù)據(jù)信息容 易采集���,從而使得方法的實(shí)施更為簡單�����、高效���。
[0027] 可以通過多種方式來采集所述數(shù)據(jù)破壞類攻擊效果評價(jià)指標(biāo)的數(shù)據(jù)信息。例如����, 在一種實(shí)施方式中,可以通過采集來自攻擊方的攻擊日志來獲取所述至少一種數(shù)據(jù)破壞類 攻擊效果評價(jià)指標(biāo)的數(shù)據(jù)信息�。其中,所述攻擊日志可以用于記錄攻擊方的攻擊行為��。并 且�,在該攻擊日志中,可以直接記錄有關(guān)數(shù)據(jù)破壞類攻擊效果評價(jià)指標(biāo)的數(shù)據(jù)信息����,例如��, 在該攻擊日志中直接記錄了篡改的用戶賬戶信息數(shù)�、刪除的注冊表鍵值數(shù)等等�。因此,在步 驟Sl中���,可以直接讀取所述攻擊日志來得到這些指標(biāo)的數(shù)據(jù)信息����。
[0028] 可替換地�,在另一實(shí)施方式中,可以通過采集目標(biāo)系統(tǒng)自身的采集點(diǎn)來獲取所述 至少一種數(shù)據(jù)破壞類攻擊效果評價(jià)指標(biāo)的數(shù)據(jù)信息�����。其中���,所述采集點(diǎn)可以包括以下中的 至少一者:安全日志、注冊表���、目錄文件����、運(yùn)行進(jìn)程。例如���,可以通過采集所述目標(biāo)系統(tǒng)的安 全日志來獲取以下數(shù)據(jù)破壞類攻擊效果評價(jià)指標(biāo)中的至少一者的數(shù)據(jù)信息:篡改的用戶賬 戶信息數(shù)�����、刪除的用戶賬戶信息數(shù)��、增加的用戶賬戶信息數(shù)����?����?梢酝ㄟ^采集所述目標(biāo)系統(tǒng)的 注冊表來獲取以下數(shù)據(jù)破壞類攻擊效果評價(jià)指標(biāo)中的至少一者的數(shù)據(jù)信息:篡改的注冊表 鍵值數(shù)����、刪除的注冊表鍵值數(shù)、增加的注冊表鍵值數(shù)���?��?梢酝ㄟ^采集所述目標(biāo)系統(tǒng)的目錄文 件來獲取以下數(shù)據(jù)破壞類攻擊效果評價(jià)指標(biāo)中的至少一者的數(shù)據(jù)信息:篡改的文件數(shù)�����、刪 除的文件