[发明专利]一种内网资产风险评估方法、装置、设备及介质

权利要求书

1.一种内网资产风险评估方法，其特征在于，包括：

获取内网环境中主机发送的DNS访问请求，并解析所述DNS访问请求以得到DNS流量数据；

利用预先创建的威胁情报库从所述DNS流量数据中确定出异常流量数据，并对所述异常流量数据添加域名特征标识；

对所述异常流量数据进行特征提取，得到主机的行为特征参数；

基于域名自身风险系数，以及根据所述行为特征参数确定的不同域名攻击的攻击时间和攻击活跃度，确定出主机风险系数，并根据所述域名特征标识和所述主机风险系数确定出每个主机的资产风险等级。

2.根据权利要求1所述的内网资产风险评估方法，其特征在于，所述威胁情报库的创建过程，包括：

利用现有情报库、爬虫技术和蜜罐技术获取恶意域名数据；

对所述恶意域名数据进行对比、清洗和筛选，以得到所述威胁情报库。

3.根据权利要求1所述的内网资产风险评估方法，其特征在于，所述域名特征标识包括置信度标识和类型标识。

4.根据权利要求1所述的内网资产风险评估方法，其特征在于，所述行为特征参数包括恶意域名访问数量和恶意域名访问次数。

5.根据权利要求1所述的内网资产风险评估方法，其特征在于，所述对所述异常流量数据进行特征提取之前，还包括：

将含有所述异常流量数据的所述DNS流量数据保存至数据仓库工具；

利用分布式发布订阅消息系统，定期从所述数据仓库工具获取所述DNS流量数据并分发到大数据平台，以便根据所述域名特征标识提取出异常流量数据并存储到搜索服务器。

6.一种内网资产风险评估装置，其特征在于，包括：

解析模块，用于获取内网环境发送的DNS访问请求，并解析所述DNS访问请求以得到DNS流量数据；

异常流量确定模块，用于利用预先创建的威胁情报库从所述DNS流量数据中确定出异常流量数据，并对所述异常流量数据添加域名特征标识；

特征提取模块，用于对所述异常流量数据进行特征提取，得到每个主机的行为特征参数；

风险评估模块，用于基于域名自身风险系数，以及根据所述行为特征参数确定的不同域名攻击的攻击时间和攻击活跃度，确定出主机风险系数，并根据所述域名特征标识和所述主机风险系数确定出每个主机的资产风险等级。

7.根据权利要求6所述的内网资产风险评估装置，其特征在于，所述内网资产风险评估装置，包括：

威胁情报库构建模块，用于利用现有情报库、爬虫技术和蜜罐技术获取恶意域名数据；对所述恶意域名数据进行对比、清洗和筛选，以得到所述威胁情报库。

8.根据权利要求6所述的内网资产风险评估装置，其特征在于，所述内网资产风险评估装置，包括：

DNS流量数据存储模块，用于将含有所述异常流量数据的所述DNS流量数据保存至数据仓库工具；利用分布式发布订阅消息系统，定期从所述数据仓库工具获取所述DNS流量数据并分发到大数据平台，以便根据所述域名特征标识提取出异常流量数据并存储到搜索服务器。

9.一种电子设备，其特征在于，包括：

存储器，用于保存计算机程序；

处理器，用于执行所述计算机程序，以实现如权利要求1至5任一项所述的内网资产风险评估方法。

10.一种计算机可读存储介质，其特征在于，用于存储计算机程序；其中计算机程序被处理器执行时实现如权利要求1至5任一项所述的内网资产风险评估方法。