[发明专利]一种基于情报分析的资产安全评估方法及系统

说明书

本发明提供一种基于情报分析的资产安全评估方法及系统，通过边缘层、汇总设备信息、监听信道数据虚拟化得到数字资产，计算数字资产的指纹信息，并采集多种途径的数据信息，得到情报数据流，检测情报数据流的特征向量和形态分析，根据数字资产的指纹信息进行溯源，从而评估网络内的数字资产，方便管理员部署防御策略。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种基于情报分析的资产安全评估的方法及系统。

背景技术

以往数字资产是指企业拥有的、以电子数据形式存在的非实体资产，然而随着网络技术的发展，实体资产也可以虚拟化成电子形式，在用户看来操作界面上一个个虚拟化的设备，与操作一个实体设备一样简单方便。

现有的资产数字化管理存在登记成本高、更新速度慢、无法有效评估数字资产的安全状态等问题。同时，传统的安全检测只能抵御来自某个方面的安全威胁，会形成安全防御的孤岛，缺乏对海量信息的安全数据的关联分析，无法产生协同效应。

急需一种针对性的基于情报分析的资产安全评估的方法及系统。

发明内容

本发明的目的在于提供一种基于情报分析的资产安全评估的方法及系统，通过边缘层、汇总设备信息、监听信道数据虚拟化得到数字资产，计算数字资产的指纹信息，并采集多种途径的数据信息，得到情报数据流，检测情报数据流的特征向量和形态分析，根据数字资产的指纹信息进行溯源，从而评估网络内的数字资产，方便管理员部署防御策略。

第一方面，本申请提供一种基于情报分析的资产安全评估方法，所述方法包括：

边缘层采集设备资产数据，包括各网络节点存储的文件、数据库保存的密钥、数据库保存的映射关系表、局域网的电子邮箱、各网络节点的IP地址，将所述文件、密钥、映射关系表、电子邮箱、IP地址分别逐个虚拟化为单件第二类数字资产，分别使用文件名、密钥摘要、表名、邮箱地址、IP地址作为所述第二类数字资产的标识信息；

汇总各网络节点的设备类型和设备标识，根据所述设备类型和设备标识将各网络节点虚拟化为单件第一类数字资产，使用所述设备标识作为所述第一类数字资产的标识信息；所述第一类数字资产下属若干个所述第二类数字资产，所述第一类数字资产之间保留网络层级信息，将所述网络层级信息插入到所述设备标识中；

通过网关设备或中继设备监听信道传输的业务数据包，通过解析所述业务数据包获取数据加密信息，将业务数据包、数据加密信息分别虚拟化为单件第三类数字资产，分别使用业务名、加密算法名作为所述第三类数字资产的标识信息；

根据资产的隶属关系和连接关系，将所述第一类数字资产、第二类数字资产和第三类数字资产构建树形拓扑结构，并用各自的标识信息进行标记，所述连接关系包括传输方向；

使用哈希算法对各自三类数字资产的数据信息进行哈希运算，生成各自三类数字资产的指纹信息，所述资产的数据信息包括标识信息、描述信息、摘要、使用者、时间戳、树形拓扑结构位置，将所述指纹信息携带在数字资产的交互动作中、或传输的数据流中；

通过数据采集器收集交换机的镜像流量、网络流量日志、安全设备日志以及传输文件的原始数据，以及从多方不同数据源接收漏洞信息、病毒库信息、网络攻击行为特征的情报数据，进行实时的预处理后，得到标准化的情报数据流；

从所述情报数据流中提取要素，发现要素中包括的行为动作、访问对象、来源者地址、瞬时流量大小中的一种或若干种，从中发掘高频项目组，根据高频项目组对应的信息生成高频关联规则，加大其对应的权重，将更新权重后的数据进行数据融合，组成树状结构；

将所述情报数据流送入第一机器学习模型，检测是否包括第一攻击向量；