[发明专利]网络威胁事件评估方法及装置

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种网络威胁事件评估方法及装置。

背景技术

极光攻击、震网攻击、海莲花攻击等近期重大网络安全事件都展现了一种新型的攻击特征，即攻击手法高级、持续时间长、攻击目标特殊且精准。这类网络攻击称之为APT(Advanced Persistent Threat，高级持续性威胁)攻击。这类攻击不仅使用了传统的病毒、木马作为攻击工具，更是在攻击最先环节中利用了不易察觉的社会工程学，诱使目标系统触发0Day漏洞等。随后，再利用0Day漏洞不断提升目标系统控制权限，并试图长期控制目标系统、收集有价值的信息。最终，假如攻击窃密行为被发现，攻击者将会安全撤离或者破坏系统。

目前，APT攻击检测防御技术已经成为新形势下网络安全防御的研究热点和实现难点。针对这种新型的攻击思想，尤其是长期潜伏、长期控制这类特征，传统防火墙、反病毒软件或者入侵检测系统等一般防御技术手段已显得无法应对，尤其在攻击行为、威胁事件的定性和判定准确性上更凸显其薄弱的一面。目前的攻击检测方法大多都是基于网络数据包或者会话，通过特征库比对方式得出独立的结论，对于流量的分析是脱离了网络环境或者系统环境本身，结论之间也没有建立有效的联系，存在网络威胁事件判定不准确的问题。

发明内容

本发明的主要目的在于提供一种网络威胁事件评估方法及装置，旨在提高网络威胁事件判定的准确性。

为实现上述目的，本发明提供一种网络威胁事件评估方法，所述网络威 胁事件评估方法包括：

获取待评估威胁事件集；

在获取到所述待评估威胁事件集时，基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估；

输出所述待评估威胁事件集的评估结果。

可选的，所述基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估的步骤之前，还包括：

在获取到所述待评估威胁事件集时，对获取的所述待评估威胁事件集进行调优处理；

在完成调优处理之后，执行所述基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估的步骤。

可选的，对获取的所述待评估威胁事件集进行调优处理包括：

提取获取的所述待评估威胁事件集中各单一威胁事件的关键向量；

基于提取的各所述关键向量对获取的所述待评估威胁事件集中的单一威胁事件进行排序、统计以及归并聚类。

可选的，所述关键向量至少包括单一威胁事件的攻击时间、源IP地址及端口、目的IP地址及端口、攻击名称以及攻击后果，所述基于提取的各所述关键向量对所述待评估威胁事件集中的单一威胁事件进行排序包括：

基于提取的各单一威胁事件的攻击后果对所述待评估威胁事件集中的单一威胁事件进行排序。

可选的，所述基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估的步骤包括：

基于所述待评估威胁事件集的排序信息依次选中所述待评估威胁事件集中的单一威胁事件；

在每次选中单一威胁事件时，判定选中的单一威胁事件是否满足所述事件关联因子，是则增加选中的单一威胁事件的置信度，判定选中的单一威胁事件是否满足所述环境影响因子，是则增加选中的单一威胁事件的置信度；

在完成当次选中的单一威胁事件的判定操作之后，继续按顺序选中其它单一威胁事件。

此外，为实现上述目的，本发明还提供了一种网络威胁事件评估装置，所述网络威胁事件评估装置包括：

获取模块，用于获取待评估威胁事件集；

评估模块，用于在获取到所述待评估威胁事件集时，基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估；

输出模块，用于输出所述待评估威胁事件集的评估结果。

可选的，所述网络威胁事件评估装置还包括：

调优模块，用于在所述获取模块获取到所述待评估威胁事件集时，对获取的所述待评估威胁事件集进行调优处理；

所述评估模块还用于在所述调优模块完成调优处理之后，基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估。

可选的，所述调优模块还用于提取获取的所述待评估威胁事件集中各单一威胁事件的关键向量；以及基于提取的各所述关键向量对获取的所述待评估威胁事件集中的单一威胁事件进行排序、统计以及归并聚类。