[发明专利]一种基于网络安全态势感知的网络风险评估方法

权利要求书

1.一种基于网络安全态势感知的网络风险评估方法，其特征在于，包括：

数据采集平台基于威胁潜伏探针、EDR进行数据的收集；

大数据分析平台采用用户和实体行为分析、威胁建模及机器学习技术，将特征检测和行为检测相结合，对所述数据进行分析并接收威胁情报；

大数据分析平台根据对所述数据的分析结果以及接收到的威胁情报进行网络风险评估，并将网络风险评估结果发送至告警及控制中心；

其中，大数据分析平台根据对所述数据的分析结果以及接收到的威胁情报进行网络风险评估，包括：从网络性能指标中，选取指标进行实验；通过贝叶斯网络进行分析，确定各指标之间的依赖关系，画出贝叶斯网络拓扑结构图；对所述数据的分析结果以及接收到的威胁情报行归一化处理，得到对应指标某一时间段的时间序列图，然后进行统计分析，计算出各指标的先验概率和各指标的后验概率；通过上述计算结果，结合评估系数公式，求出各指标的某个风险因素的概率变化的最大允许量并进行排序，最后计算网络风险率，结合风险等级表查看当前时刻的网络风险等级。

2.根据权利要求1所述的一种基于网络安全态势感知的网络风险评估方法，其特征在于，数据采集平台基于威胁潜伏探针、EDR进行数据的收集的步骤中，所述数据包括网络中的网络设备、网络服务、URL、IP地址、端口号、会话重组、资产识别信息、应用解析信息、访问历史信息、协议解析信息、攻击记录以及系统信息；在市级网络的重要汇聚结点和区县网络核心交换旁路部署潜伏威胁探针；

所述威胁潜伏探针通过软件设计将网络层和应用层的数据处理进行分离，在底层以应用识别模块为基础，对所有网卡接收到的数据进行识别，再通过抓包驱动把需要处理的应用数据报文抓取到应用层；若应用层发生数据处理失败的情况，不会影响到网络层数据的转发；

所述威胁潜伏探针构筑在64位多核并发高速硬件平台之上，将转发平面、安全平面并行运行在多核平台上，多平面并发处理，在计算指令设计上采用无锁并行处理技术，实现多流水线同时处理。

3.根据权利要求1所述的一种基于网络安全态势感知的网络风险评估方法，其特征在于，数据采集平台基于威胁潜伏探针、EDR进行数据的收集的步骤中，所述威胁潜伏探针采用单次解析架构实现报文的一次解析一次匹配，提升应用层效率，所述威胁潜伏探针通过软件架构设计实现网络层、应用层的平面分离，将数据通过“0”拷贝技术提取到应用平面上实现威胁特征的统一解析和统一检测；

所述威胁潜伏探针利用应用识别技术，在内核驱动层面通过私有协议将所有经过探针的数据包都打上应用的标签，当数据包被提取到内容检测平面进行检测时，设备会找到对应的应用威胁特征，通过使用跳跃式扫描技术跳过无关的应用威胁检测特征；

所述威胁潜伏探针用于对网络通信行为进行还原和记录，以供安全人员进行取证分析，还原内容包括：TCP会话记录、Web访问记录、SQL访问记录、DNS解析记录、文件传输行为、LDAP登录行为；

所述威胁潜伏探针用于实现IP碎片重组、TCP流重组、应用层协议识别与解析，具备多种的入侵攻击模式或恶意URL监测模式，完成模式匹配并生成事件，提取URL记录和域名记录，在特征事件触发时基于五元组和二元组进行原始报文的录制；所述所述威胁潜伏探针采用正则引擎提高正则表达式的匹配速度。

4.根据权利要求1所述的一种基于网络安全态势感知的网络风险评估方法，其特征在于，大数据分析平台采用用户和实体行为分析、威胁建模及机器学习技术，将特征检测和行为检测相结合，对所述数据进行分析并接收威胁情报的步骤中，大数据分析平台采用上下文关联分析、异常协议分析、特征检测、非法访问分析、异常行为分析、异常行为检测、访问关联分析、智能联动分析、资产检测、安全态势分析、全网流量分析以及攻击检测对所述数据进行分析；所述威胁情报的来源包括千里目威胁情报、CNVD、CNCERT、Virus-Total、CNNVD、ANVA、Exploit DB、MAPP、CVE。