[发明专利]网络威胁事件评估方法及装置

权利要求书

1.一种网络威胁事件评估方法，其特征在于，所述网络威胁事件评估方法包括：

获取待评估威胁事件集；

在获取到所述待评估威胁事件集时，基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估；

输出所述待评估威胁事件集的评估结果。

2.根据权利要求1所述的网络威胁事件评估方法，其特征在于，所述基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估的步骤之前，还包括：

在获取到所述待评估威胁事件集时，对获取的所述待评估威胁事件集进行调优处理；

在完成调优处理之后，执行所述基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估的步骤。

3.根据权利要求2所述的网络威胁事件评估方法，其特征在于，对获取的所述待评估威胁事件集进行调优处理包括：

提取获取的所述待评估威胁事件集中各单一威胁事件的关键向量；

基于提取的各所述关键向量对获取的所述待评估威胁事件集中的单一威胁事件进行排序、统计以及归并聚类。

4.根据权利要求3所述的网络威胁事件评估方法，其特征在于，所述关键向量至少包括单一威胁事件的攻击时间、源IP地址及端口、目的IP地址及端口、攻击名称以及攻击后果，所述基于提取的各所述关键向量对所述待评估威胁事件集中的单一威胁事件进行排序包括：

基于提取的各单一威胁事件的攻击后果对所述待评估威胁事件集中的单一威胁事件进行排序。

5.根据权利要求3所述的网络威胁事件评估方法，其特征在于，所述基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估的步骤包括：

基于所述待评估威胁事件集的排序信息依次选中所述待评估威胁事件集中的单一威胁事件；

在每次选中单一威胁事件时，判定选中的单一威胁事件是否满足所述事件关联因子，是则增加选中的单一威胁事件的置信度，判定选中的单一威胁事件是否满足所述环境影响因子，是则增加选中的单一威胁事件的置信度；

在完成当次选中的单一威胁事件的判定操作之后，继续按顺序选中其它单一威胁事件。

6.一种网络威胁事件评估装置，其特征在于，所述网络威胁事件评估装置包括：

获取模块，用于获取待评估威胁事件集；

评估模块，用于在获取到所述待评估威胁事件集时，基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估；

输出模块，用于输出所述待评估威胁事件集的评估结果。

7.根据权利要求6所述的网络威胁事件评估装置，其特征在于，所述网络威胁事件评估装置还包括：

调优模块，用于在所述获取模块获取到所述待评估威胁事件集时，对获取的所述待评估威胁事件集进行调优处理；

所述评估模块还用于在所述调优模块完成调优处理之后，基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估。

8.根据权利要求7所述的网络威胁事件评估装置，其特征在于，所述调优模块还用于提取获取的所述待评估威胁事件集中各单一威胁事件的关键向量；以及基于提取的各所述关键向量对获取的所述待评估威胁事件集中的单 一威胁事件进行排序、统计以及归并聚类。

9.根据权利要求8所述的网络威胁事件评估装置，其特征在于，所述关键向量至少包括单一威胁事件的攻击时间、源IP地址及端口、目的IP地址及端口、攻击名称以及攻击后果，所述调优模块还用于基于提取的各单一威胁事件的攻击后果对所述待评估威胁事件集中的单一威胁事件进行排序。

10.根据权利要求8所述的网络威胁事件评估装置，其特征在于，所述评估模块还用于基于所述待评估威胁事件集的排序信息依次选中所述待评估威胁事件集中的单一威胁事件；以及在每次选中单一威胁事件时，判定选中的单一威胁事件是否满足所述事件关联因子，是则增加选中的单一威胁事件的置信度，判定选中的单一威胁事件是否满足所述环境影响因子，是则增加选中的单一威胁事件的置信度；以及在完成当次选中的单一威胁事件的判定操作之后，继续按顺序选中其它单一威胁事件。