[发明专利]一种提升网络攻击风险评估效率的方法、设备及介质

说明书

本发明提供一种提升网络攻击风险评估效率的方法，包括接收监控设备发送的若干告警信息，每条告警信息中均包括IP地址；提取所有告警信息中的IP地址，根据预先设置在NAT设备中的IP地址映射表判断每个告警信息中的IP地址是否存在关联关系；将所有具有关联关系的IP地址对应的告警信息归并为同一告警事件；根据预设风险评估模型对告警事件进行风险评估，得到风险评估结果。本发明提供一种提升网络攻击风险评估效率的方法，打破了同一连接请求终端不同网络区域构成的“信息孤岛”，迅速形成完整的网络攻击链，可以及时有效的发现潜在的攻击征兆，进而准确评估整个安全事件的风险和网络安全态势。

技术领域

本发明涉及网络风险攻击评估技术领域，尤其涉及一种提升网络攻击风险评估效率的方法、设备及介质。

背景技术

现有市场上的网络安全管理平台，在IP地址分析时，主要针对相同的源地址、目的地址、源端口、目的端口等字段进行归并、统计。

但是金融行业由于其行业特殊性，涉及大量客户信息等敏感信息和资金交易业务，所以数据传输要求安全和稳定，需要专网专用，并且对外隐藏真实地址，内部网络区域间及网络边界处通常都使用NAT(网络地址转换协议)设备对连接请求终端的IP地址进行转换。

但是目前的网络安全管理平台不具备对转换前、后IP地址的关联分析能力，对于内外网间、内部区域间的地址转换未形成立体的关联关系，导致同一连接请求终端的一个攻击行为，在网络的不同区域，产生大量互相独立的安全事件，形成一个个“信息孤岛”，并产生大量重复的告警，导致分析效率较为低下，难以迅速还原完整的攻击链，对整个攻击事件难以形成全面的风险评估等问题。

发明内容

为了克服现有技术的不足，本发明的目的之一在于提供一种提升网络攻击风险评估效率的方法，其能解决目前的网络安全管理平台不具备对转换前、后IP地址的关联分析能力，对于内外网间、内部区域间的地址转换未形成立体的关联关系，导致同一连接请求终端的一个攻击行为，在网络的不同区域，产生大量互相独立的安全事件，形成一个个“信息孤岛”，并产生大量重复的告警，导致分析效率较为低下的问题。

本发明的目的之二在于提供一种电子设备，其能解决目前的网络安全管理平台不具备对转换前、后IP地址的关联分析能力，对于内外网间、内部区域间的地址转换未形成立体的关联关系，导致同一连接请求终端的一个攻击行为，在网络的不同区域，产生大量互相独立的安全事件，形成一个个“信息孤岛”，并产生大量重复的告警，导致分析效率较为低下的问题。

本发明的目的之三在于提供一种计算机可读存储介质，其能解决目前的网络安全管理平台不具备对转换前、后IP地址的关联分析能力，对于内外网间、内部区域间的地址转换未形成立体的关联关系，导致同一连接请求终端的一个攻击行为，在网络的不同区域，产生大量互相独立的安全事件，形成一个个“信息孤岛”，并产生大量重复的告警，导致分析效率较为低下的问题。

本发明的目的之一采用以下技术方案实现：

一种提升网络攻击风险评估效率的方法，包括以下步骤：

S1、接收告警信息，接收监控设备发送的若干告警信息，每条告警信息中包括IP地址；

S2、设置IP地址映射表，通过NAT设备中记录的IP转换信息设置含有关联关系以及IP地址的IP地址映射表；

S3、IP地址匹配，提取所有告警信息中的IP地址，根据预先设置在NAT设备中的IP地址映射表判断每个告警信息中的IP地址是否存在关联关系；

S4、划分告警信息，将所有具有关联关系的IP地址对应的告警信息归并为同一告警事件；

S5、风险评估，根据预设风险评估模型对告警事件进行风险评估，得到风险评估结果。

本发明的目的之二采用以下技术方案实现：