[发明专利]一种资产状态判别方法及装置

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种资产状态判别方法及装置。

背景技术

随着网络技术的不断发展及信息化进程的日渐深入，计算机网络已成为企业等大型系统高效运营的重要支撑手段，稳定、高效、安全的网络环境逐渐成为企业等各大型系统的重要需求。与此同时，随着各种网络攻击技术的先进化与普及化，企业等大型系统面临着随时被攻击的危险，经常遭受不同程度的入侵和破坏，严重干扰了系统网络的正常运行。为了应对不断变化的各类威胁，企业等大型系统开始逐步引入防病毒、防火墙、IDS（Intrusion DetectionSystems，入侵检测系统）、VPN（Virtual Private Network，虚拟专用网络）等各类安全防御产品和技术。同时，为了在这些安全产品间建立有效地协作，以避免安全“孤岛”，SOC（SecurityOperations Center，安全运营中心）应运而生，所述SOC为一集中安全管理系统，其以资产为核心，以安全事件管理为关键流程，采用安全域划分的思想，建立一套实时的资产风险模型，协助系统管理员进行事件分析、风险分析、预警管理以及应急响应处理等。

具体地，所述SOC可以采用完全基于先验知识的关联方法、部分先验知识的关联方法以及不基于先验知识的关联方法等关联方法来建立安全产品之间的协作，其中，所述完全基于先验知识的关联方法可以为开放源码的报警关联和风险评估软件OSSIM（Open Source Security Information Management，开源安全信息管理系统）等，所述部分先验知识的关联方法可以为Hyper-Alert（综合报警）检测模型等，所述不基于先验知识的关联方法可以为SRI国际组织开发的EMERALD等。

但是，无论SOC采用何种关联方法，资产管理均是SOC正常运行的基石，各类安全信息以此为基础进行汇总和分析。一般而言，SOC中的资产信息通常可以有以下来源：一是资产管理人员直接提供的资产信息，如通过手工录入或者从其他资产管理软件中导入的资产信息；一是漏洞扫描设备产生的报告信息，包括资产IP（网络协议）地址、系统版本、开启服务等，但是漏洞扫描设备所产生的报告信息并不能够包括资产的管理类信息，如责任人、用途、物理位置等；另外一种来源是各类安全防护设备产生的报警和日志信息，如IDS、防火墙、防病毒软件、内网监控系统等产生的报警和日志信息等，其主要体现威胁事件。通常情况下，上述多种来源的资产信息是彼此符合、相互印证的，但是，在某些情况下仍会产生资产信息不一致的问题，如人工登记资产信息时发生错误或是资产信息更新不及时，分配的地址、用途被擅自修改等；或者，设备由于自身原因或遭到攻击无法正常运行；再或，进入系统内部的人员非恶意或是恶意地接入自带设备；又或，出现针对完整网段的蠕虫传播、自动化扫描或攻击从而产生大量没有真实目标的攻击报警等。

由于SOC的一切汇总和分析工作都是以资产为基础进行的，因此，当出现上述资产信息不一致问题时，会导致所确定的各资产的状态并不准确，进而会显著影响SOC汇总和分析结果的准确度。

发明内容

本发明实施例提供了一种资产状态判别方法及装置，用以解决现有技术中存在的资产信息不一致所导致的所确定的资产状态并不准确的问题。

一种资产状态判别方法，包括：

预先为系统中的各资产配置包括多个状态分向量的初始状态向量，其中，各状态分向量分别与资产的各潜在状态一一对应，且各状态分向量具备相同的初始状态系数值，所述资产为系统中的物理设备资产或虚拟设备资产；

获取各资产的资产记录信息，并针对任一资产，判断该资产的资产记录信息中是否存在资产登记记录信息；

若是，则将该资产的初始状态向量中与资产的恶意接入状态、违规接入状态、疑似状态分别对应的状态分向量的状态系数值进行乘零处理，并判断该资产的资产记录信息中是否存在资产扫描记录信息，若是，则保持该资产当前状态向量中的各状态分向量的状态系数值不变，并对该资产依次进行存活度判别、伤害度判别以及受控度判别，以及，

根据得到的该资产的存活概率、伤害概率以及受控概率依次对该资产的当前状态向量中的各状态分向量的状态系数值进行修正，并根据修正后的各状态系数值，确定该资产的当前状态。

一种资产状态判别装置，包括：

初始状态设置模块，用于预先为系统中的各资产配置包括多个状态分向量的初始状态向量，其中，各状态分向量分别与资产的各潜在状态一一对应，且各状态分向量具备相同的初始状态系数值，所述资产为系统中的物理设备资产或虚拟设备资产；