[发明专利]一种内网资产风险评估方法、装置、设备及介质

说明书

本申请公开了一种内网资产风险评估方法、装置、设备及介质。该方法包括：获取内网环境中主机发送的DNS访问请求，并解析DNS访问请求以得到DNS流量数据；利用预先创建的威胁情报库从DNS流量数据中确定出异常流量数据，并对异常流量数据添加域名特征标识；对异常流量数据进行特征提取，得到主机的行为特征参数；基于域名自身风险系数，以及根据行为特征参数确定的不同域名攻击的攻击时间和攻击活跃度，确定出主机风险系数，并根据域名特征标识和主机风险系数确定出每个主机的资产风险等级。本申请充分考虑到资产被受攻击的情况，然后再结合域名特征确定出主机的资产风险等级，提高了对内网资产风险评估的能力。

技术领域

本发明涉及风险评估领域，特别涉及一种内网资产风险评估方法、装置、设备及介质。

背景技术

当前，企业用户或个人用户在访问网页时存在因访问恶意域名导致被CC远控服务器(Command and Control Server)控制、植入后门程序或下载勒索软件的问题。威胁到企业内部信息及个人隐私的安全性，重要文件被恶意加密，资源被占用，从而造成经济损失。现有技术中，通过检测网络攻击的方式检测网络的安全问题，但是无法了解内网的整体安全状况，忽略了已经存在的失陷资产和安全风险，对风险的评估不够全面，降低了内网资产风险评估的能力。

发明内容

有鉴于此，本发明的目的在于提供一种内网资产风险评估方法、装置、设备及介质，能够提高内网资产风险评估的能力。其具体方案如下：

第一方面，本申请公开了一种内网资产风险评估方法，包括：

获取内网环境中主机发送的DNS访问请求，并解析所述DNS访问请求以得到DNS流量数据；

利用预先创建的威胁情报库从所述DNS流量数据中确定出异常流量数据，并对所述异常流量数据添加域名特征标识；

对所述异常流量数据进行特征提取，得到主机的行为特征参数；

基于域名自身风险系数，以及根据所述行为特征参数确定的不同域名攻击的攻击时间和攻击活跃度，确定出主机风险系数，并根据所述域名特征标识和所述主机风险系数确定出每个主机的资产风险等级。

可选的，所述威胁情报库的创建过程，包括：

利用现有情报库、爬虫技术和蜜罐技术获取恶意域名数据；

对所述恶意域名数据进行对比、清洗和筛选，以得到所述威胁情报库。

可选的，所述域名特征标识包括置信度标识和类型标识。

可选的，所述行为特征参数包括恶意域名访问数量和恶意域名访问次数。

可选的，所述对所述异常流量数据进行特征提取之前，还包括：

将含有所述异常流量数据的所述DNS流量数据保存至数据仓库工具；

利用分布式发布订阅消息系统，定期从所述数据仓库工具获取所述DNS流量数据并分发到大数据平台，以便根据所述域名特征标识提取出异常流量数据并存储到搜索服务器。

第二方面，本申请公开了一种内网资产风险评估装置，包括：

解析模块，用于获取内网环境发送的DNS访问请求，并解析所述DNS访问请求以得到DNS流量数据；

异常流量确定模块，用于利用预先创建的威胁情报库从所述DNS流量数据中确定出异常流量数据，并对所述异常流量数据添加域名特征标识；

特征提取模块，用于对所述异常流量数据进行特征提取，得到每个主机的行为特征参数；