[发明专利]一种信息系统安全风险评估的方法和装置

权利要求书

1.一种信息系统安全风险评估的方法，其特征在于，该方法包括：

构造威胁行为模式库，将信息系统记录的调用行为与威胁行为模式库中的威胁行为进行匹配，获取匹配上的各调用行为的判定值，根据匹配上的各调用行为的判定值确定威胁行为权值；

将威胁行为权值结合脆弱性的权值、弥补措施的权值获得风险等级；

其中，所述获取匹配上的各调用行为的判定值为：统计匹配上的各调用行为的出现均值，根据各调用行为的出现均值获得各调用行为的判定值；

其中，所述将威胁行为权值结合脆弱性的权值、弥补措施的权值获得风险等级为：按照包括威胁行为权值、脆弱性的权值、弥补措施的权值的风险等级公式，获得风险等级；

风险等级(V)＝＝Round1{Log2[(A×2^The+B×2^Vul+C×2^Con)/3]}×Asset(value)

其中，The代表威胁行为权值；Vul代表脆弱性的权值；Con代表弥补措施的权值；Round函数是按制定位数，对数值四舍五入的函数，Round1表示保留1位小数；Asset(value)代表资产价值；A为威胁行为权值的系数；B为脆弱性的权值的系数；C为弥补措施的权值的系数。

2.根据权利要求1所述的方法，其特征在于，所述构造威胁行为模式库为：以具体的威胁行为作为分类原则，每一类型的威胁行为映射一个系统函数调用集，每个系统函数调用集都包括一个以上由三元组<模块号，函数号，细则号>来表示的系统应用程序编程接口API函数的调用行为，所有威胁行为组成威胁行为模式库。

3.根据权利要求2所述的方法，其特征在于，所述将信息系统记录的调用行为与威胁行为模式库中的威胁行为进行匹配为：转换信息系统记录的调用行为的格式为三元组<模块号，函数号，细则号>的格式，将转换后的调用行为与威胁行为模式库中的威胁行为进行匹配。

4.一种信息系统安全风险评估的装置，其特征在于，该装置包括：构造模块、匹配模块、判定值获取模块、确定模块、风险等级获取模块；其中，

所述构造模块，用于构造威胁行为模式库；

所述匹配模块，用于将信息系统记录的调用行为与威胁行为模式库中的威胁行为进行匹配，并将匹配上的各调用行为发送给判定值获取模块；

所述判定值获取模块，用于获取匹配上的各调用行为的判定值；

所述确定模块，用于根据所述判定值确定威胁行为权值；

所述风险等级获取模块，用于将威胁行为权值结合脆弱性的权值、弥补措施的权值获得风险等级；

其中，所述判定值获取模块，具体用于统计匹配上的各调用行为的出现均值，根据各调用行为的出现均值获得各调用行为的判定值；

其中，所述风险等级获取模块，具体用于按照包括威胁行为权值、脆弱性的权值、弥补措施的权值的风险等级公式，获得风险等级；

风险等级(V)＝＝Round1{Log2[(A×2^The+B×2^Vul+C×2^Con)/3]}×Asset(value)

其中，The代表威胁行为权值；Vul代表脆弱性的权值；Con代表弥补措施的权值；Round函数是按制定位数，对数值四舍五入的函数，Round1表示保留1位小数；Asset(value)代表资产价值；A为威胁行为权值的系数；B为脆弱性的权值的系数；C为弥补措施的权值的系数。

5.根据权利要求4所述的装置，其特征在于，所述构造模块，具体用于以具体的威胁行为作为分类原则，每一类型的威胁行为映射一个系统函数调用集，每个系统函数调用集都包括一个以上由三元组<模块号，函数号，细则号>来表示的系统API函数的调用行为，所有威胁行为组成威胁行为模式库。

6.根据权利要求5所述的装置，其特征在于，所述匹配模块，具体用于转换信息系统记录的调用行为的格式为三元组<模块号，函数号，细则号>的格式，将转换后的调用行为与威胁行为模式库中的威胁行为进行匹配。