WO2017152877A1 - 网络威胁事件评估方法及装置 - Google Patents

Abstract

本公开公开了一种网络威胁事件评估方法，所述网络威胁事件评估方法包括：获取待评估威胁事件集；在获取到所述待评估威胁事件集时，基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估；输出所述待评估威胁事件集的评估结果。本公开还公开了一种网络威胁事件评估装置。本公开能够提高网络威胁事件判定的准确性。

Description

网络威胁事件评估方法及装置 技术领域

本公开涉及网络安全技术领域，尤其涉及一种网络威胁事件评估方法及装置。

背景技术

极光攻击、震网攻击、海莲花攻击等近期重大网络安全事件都展现了一种新型的攻击特征，即攻击手法高级、持续时间长、攻击目标特殊且精准。这类网络攻击称之为APT(Advanced Persistent Threat，高级持续性威胁)攻击。这类攻击不仅使用了传统的病毒、木马作为攻击工具，更是在攻击最先环节中利用了不易察觉的社会工程学，诱使目标***触发0Day漏洞等。随后，再利用0Day漏洞不断提升目标***控制权限，并试图长期控制目标***、收集有价值的信息。最终，假如攻击窃密行为被发现，攻击者将会安全撤离或者破坏***。

目前，APT攻击检测防御技术已经成为新形势下网络安全防御的研究热点和实现难点。针对这种新型的攻击思想，尤其是长期潜伏、长期控制这类特征，传统防火墙、反病毒软件或者入侵检测***等一般防御技术手段已显得无法应对，尤其在攻击行为、威胁事件的定性和判定准确性上更凸显其薄弱的一面。目前的攻击检测方法大多都是基于网络数据包或者会话，通过特征库比对方式得出独立的结论，对于流量的分析是脱离了网络环境或者***环境本身，结论之间也没有建立有效的联系，存在网络威胁事件判定不准确的问题。

发明内容

本公开的主要目的在于提供一种网络威胁事件评估方法及装置，旨在提高网络威胁事件判定的准确性。

为实现上述目的，本公开的实施例提供一种网络威胁事件评估方法，所述网络威胁事件评估方法包括：

获取待评估威胁事件集；

在获取到所述待评估威胁事件集时，基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估；

输出所述待评估威胁事件集的评估结果。

可选的，所述基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估的步骤之前，所述方法还包括：

在获取到所述待评估威胁事件集时，对获取的所述待评估威胁事件集进行调优处理；

在完成调优处理之后，执行所述基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估的步骤。

可选的，对获取的所述待评估威胁事件集进行调优处理包括：

提取获取的所述待评估威胁事件集中各单一威胁事件的关键向量；

基于提取的各所述关键向量对获取的所述待评估威胁事件集中的单一威胁事件进行排序、统计以及归并聚类。

可选的，所述关键向量至少包括单一威胁事件的攻击时间、源IP地址及端口、目的IP地址及端口、攻击名称以及攻击后果，所述基于提取的各所述关键向量对所述待评估威胁事件集中的单一威胁事件进行排序包括：

基于提取的各单一威胁事件的攻击后果对所述待评估威胁事件集中的单一威胁事件进行排序。

可选的，所述基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估的步骤包括：

基于所述待评估威胁事件集的排序信息依次选中所述待评估威胁事件集中的单一威胁事件；

在每次选中单一威胁事件时，判定选中的单一威胁事件是否满足所述事件关联因子，是则增加选中的单一威胁事件的置信度，判定选中的单一威胁事件是否满足所述环境影响因子，是则增加选中的单一威胁事件的置信度；

在完成当次选中的单一威胁事件的判定操作之后，继续按顺序选中其它单一威胁事件。

此外，为实现上述目的，本公开的实施例还提供了一种网络威胁事件评估装置，所述网络威胁事件评估装置包括：

获取模块，设置为获取待评估威胁事件集；

评估模块，设置为在获取到所述待评估威胁事件集时，基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估；

输出模块，设置为输出所述待评估威胁事件集的评估结果。

可选的，所述网络威胁事件评估装置还包括：

调优模块，设置为在所述获取模块获取到所述待评估威胁事件集时，对获取的所述待评估威胁事件集进行调优处理；

所述评估模块还设置为在所述调优模块完成调优处理之后，基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估。

可选的，所述调优模块还设置为提取获取的所述待评估威胁事件集中各单一威胁事件的关键向量；以及基于提取的各所述关键向量对获取的所述待评估威胁事件集中的单一威胁事件进行排序、统计以及归并聚类。

可选的，所述关键向量至少包括单一威胁事件的攻击时间、源IP地址及端口、 目的IP地址及端口、攻击名称以及攻击后果，所述调优模块还设置为基于提取的各单一威胁事件的攻击后果对所述待评估威胁事件集中的单一威胁事件进行排序。

可选的，所述评估模块还设置为基于所述待评估威胁事件集的排序信息依次选中所述待评估威胁事件集中的单一威胁事件；以及在每次选中单一威胁事件时，判定选中的单一威胁事件是否满足所述事件关联因子，是则增加选中的单一威胁事件的置信度，判定选中的单一威胁事件是否满足所述环境影响因子，是则增加选中的单一威胁事件的置信度；以及在完成当次选中的单一威胁事件的判定操作之后，继续按顺序选中其它单一威胁事件。

本公开提出的网络威胁事件评估方法及装置，首先获取到待评估威胁事件集，然后基于预设的事件关联因子和环境影响因子对获取到的待评估威胁事件集中各单一威胁事件进行评估，得到威胁事件之间的关联，以及威胁事件与环境之间的关联，最后输出待评估威胁事件的评估结果，相较于相关技术，屏蔽了威胁事件的独立性所造成的不准确性，本公开能够提升网络威胁事件判定的准确性。

附图说明

图1为本公开网络威胁事件评估方法第一实施例的流程示意图；

图2为本公开网络威胁事件评估方法第二实施例的流程示意图；

图3为图1中基于预设的事件关联因子和环境影响因子对待评估威胁事件集中的各单一威胁事件进行评估的细化流程示意图；

图4为本公开网络威胁事件评估装置第一实施例的功能模块示意图；

图5为本公开网络威胁事件评估装置第二实施例的功能模块示意图。

本公开目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本公开，并不用于限定本公开。

本公开的实施例提供一种网络威胁事件评估方法，参照图1，在本公开网络威胁事件评估方法的第一实施例中，所述网络威胁事件评估方法包括：

步骤S10，获取待评估威胁事件集；

需要说明的是，本公开实施例提供的网络威胁事件评估方法由网络威胁事件评估装置执行，该网络威胁事件评估装置部署在网络***中运行，可对本网络***的网络威胁事件进行评估，也可对其它网络***的网络威胁事件进行评估。

下面对本公开涉及的专业名词进行解释，如安全漏洞和威胁事件等。

威胁的防御包括三个方面，分别是基于技术脆弱性的威胁防御、基于实际风险的威胁防御和基于攻击动机的威胁防御。其中，基于技术脆弱性的威胁是指由安全漏洞引起的风险，如***漏洞、防火墙过滤规则的漏洞，安全防护软件的病毒样本的量级 或者检测规则的缺陷等；基于实际风险的威胁是指在实际使用时疏忽引起的风险，如弱口令等；基于攻击动机的威胁是指***本身的社会价值引起的风险，可以用该***的攻击效益来衡量。

防御的安全漏洞是长期客观存在的，而且修补这些漏洞是一个永无休止的过程。目前在几乎所有的防护***中均存在这样的关系。已知漏洞可以理解为0day漏洞，是被某个安全技术爱好者/组织或者白帽子发现并在相关论坛或者网站公布的漏洞，或者是潜在的安全缺失，也包括管理领域的漏洞。未知漏洞是指未被防御者发现，正在被攻击者利用或者作为后备攻击资源的漏洞。未知漏洞长期的存在也就从另一个技术侧面解释了APT攻击持续时间长的特性。

对于安全漏洞的检测可以用威胁事件描述，威胁事件通过检测进行识别，具体可用检测算法及其参数的取值来限定。例如，某网站存在数据库注入漏洞，但是该网站前置部署了WAF(Web Application Firewall，网站应用防火墙)，因此常规的检测算法无法识别出该数据库注入漏洞。但是，采用某个特殊检测算法及其参数值，绕过WAF识别出该数据库注入漏洞，那么此检测算法及其参数具体取值构成一次威胁事件。

本实施例中，网络威胁事件评估装置首先获取基于目标***的威胁事件集，将获取的威胁事件集作为待评估威胁事件集。其中，该目标***可以是网络威胁事件评估装置部署的网络***，也可以是其它网络***。具体的，网络威胁事件评估装置在通过目标***的前置检测引擎获取到基于目标***的威胁事件集时，丢弃威胁事件集中不符合目标***约束的单一威胁事件，其中，网络威胁事件评估装置可以被动接收前置检测引擎推送的待评估威胁事件集，也可以主动从前置检测引擎拉取待评估威胁事件集；约束条件基于目标***设置，本实施例不作限定。

此外，本实施例并不限制前置检测引擎如何识别威胁事件，例如，前置检测引擎可基于其所在网络***的网络数据包或者会话，通过特征库比对方式识别威胁事件。

步骤S20，在获取到所述待评估威胁事件集时，基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估；

本实施例中，在获取到待评估威胁事件集时，网络威胁事件评估装置基于预设的事件关联因子和环境影响因子对待评估威胁事件集中的各单一威胁事件进行评估，得到待评估事件集中各单一威胁事件的评估结果。

本领域技术人员可以理解的是，攻击者的入侵行为并不是独立的，而都是有所关联的。从攻击的角度出发，威胁事件之间的关联是指它们是同一个威胁事件行为所产生的，这种攻击行为包括单个简单攻击行为或由一系列攻击步骤组成的复杂攻击行为。事件关联技术是将各种数据来源进行综合分析，把分散的单一威胁事件关联起来，以给出完整的事件描述。

设威胁事件模型用E表示，则有:E＝(Attack-Id，Attack-Name，Attack-Precond， Attack-Postcond，Attack-Specif，Attack-Time，Attack-Respose)

其中，字段Attack-Id为攻击标志，表明攻击类型；Attack-Name为攻击名称；Attack-Precond为攻击前提，即攻击实施前所应该满足的条件集合；Attack-Postcond为攻击后果，即攻击实施后对网络***造成的所有可能影响的集合；Attack-Specif为攻击特征，即攻击报文的特征描述；Attack-Time为检测到攻击所发生时的时间；Attack-Respose为攻击响应，针对某个攻击，***所应采取的相应对策。由于Attack-Specif字段的数据来源主要是侦听到的网络攻击报文，因而可以进一步用一个六元组将其特征化。设一个报文用P表示，则有P＝(detect-id，source-ip，dest-ip，source-port，dest-port，payload)

其中，detect-id表示数据采集器的标识符；source-ip，dest-ip分别表示源、目的IP地址；source-port，dest-port分别表示源、目的端口号；payload表示有效载荷。在本实施例中，将“AttackPrecond”，“Attack-Postcond”和“Attack-Specif”字段作为威胁事件关联分析的依据。由于Attack-Precond和Attack-Postcond字段实质上描述了整个网络***的状态，因而很难用类似于N元组这类描述方法来将其特征化。在具体实施时，可以考虑采用XML语言和多元逻辑断言(Predicate)作为形式化描述的基础，并相应地进行扩展。例如，<Cond-Scenario>script(Action，‘winnuke$TargetAddress’)</Cond-Scenario>表示winnuke攻击发生的情景，及在这种情景下攻击者企图发动攻击的运行命令。

通常的，威胁事件的关联包括冗余关系关联和因果关系关联。

其中，冗余关系关联的分析方法主要是依据威胁事件Attack-Specif字段中相关属性之间的相似度，相似度采用概率统计的方法进行计算。

因果关系关联的分析方法主要基于威胁事件模型E的三个字段:Attack-Precond、Attack-Postcond和Attack-Specif。基本思想是:寻找一个威胁事件的前因(Attack-Precond)和另一个威胁事件的后果(Attack-Postcond)之间是否存在逻辑联系，如果存在联系，就表明这两个威胁事件是关联的。

基于前述事件关联的主旨思想，构建本实施例的事件关联因子，包括事件逻辑关联模型和关联条件等分析要素和分析方法。

此外，在本实施例中，还构建有环境影响因子，包括网络***内的主机环境模型以及网络环境模型和影响条件等分析要素和分析方法。

在本实施例中，对单一威胁事件进行评估即判断单一威胁事件是否满足事件关联因子和/或环境影响因子，例如，网络威胁事件评估装置基于单一威胁事件的Attack-Specif中的4个有意义的属性加上Attack-Id字段属性判断该单一威胁事件是否符合事件逻辑关联模型，是则判定该单一威胁事件符合事件关联因子；网络威胁事件评估装置判定单一威胁事件的Attack-Postcond(攻击后果)是否符合网络***的主机环境模型和/或网络环境模型，是则判定该威胁事件符合环境影响因子。

本实施例中在进行事件关联因子的判定时，网络威胁事件评估装置可先进行冗余关系的分析,将重复的多个威胁事件归并聚类为一个威胁事件,再进行因果关系的分析,以减少不必要的重复计算，提升评估效率。

步骤S30，输出所述待评估威胁事件集的评估结果。

本实施例中，在完成待评估威胁事件集中各单一威胁事件的评估之后，网络威胁事件评估装置输出评估结果。容易理解的是，基于前述关于评估的描述，由于存在评估时归并聚类的情况，输出的评估结果数量可能与待评估威胁事件集中单一威胁事件的数量不同。

本实施例中，由于待评估威胁事件集可来自网络威胁事件评估装置部署的网络***，也可来自其它网络***，网络威胁事件评估装置在输出评估结果时，可基于待评估威胁事件集的来源网络***进行输出，例如，若待评估威胁事件集来自本网络***，网络威胁事件评估装置则将评估结果输出至本网络***平台进行展示；若待评估威胁事件集来自其它网络***，网络威胁事件评估装置则将评估结果输出至来源网络***平台进行展示；或者，网络威胁事件评估装置将评估结果输出至预设的其它认可评估结果的输入接口。

本实施例提出的网络威胁事件评估方法，首先获取到待评估威胁事件集，然后基于预设的事件关联因子和环境影响因子对获取到的待评估威胁事件集中各单一威胁事件进行评估，得到威胁事件之间的关联，以及威胁事件与环境之间的关联，最后输出待评估威胁事件的评估结果，相较于相关技术，屏蔽了威胁事件的独立性所造成的不准确性，本公开的实施例能够提升网络威胁事件判定的准确性。

基于第一实施例，提出本公开网络威胁事件评估方法的第二实施例，参照图2，在本实施例中，步骤S20之前所述方法还包括：

步骤S40，在获取到所述待评估威胁事件集时，对获取的所述待评估威胁事件集进行调优处理；

在完成调优处理之后，转入执行步骤S20；

本实施例中，为提升评估效率，网络威胁事件评估装置对获取的待评估威胁事件集(即基于目标***之约束过滤后的威胁事件集)进行调优处理，包括：

提取获取的待评估威胁事件集中各单一威胁事件的关键向量；

基于提取的各关键向量对获取的待评估威胁事件集中的单一威胁事件进行排序、统计以及归并聚类。

在本实施例中，网络威胁事件评估装置提取的关键向量至少包括Attack-Time(攻击时间，即检测到威胁事件所发生时的时间)、Attack-Name(攻击名称)、Attack-Specif(攻击特征)中的source-ip(源IP地址)，dest-ip(目的IP地址)，source-port(源端口)，dest-port(目的端口)以及Attack-Postcond(攻击后果)。在进行调优处理时，可依据一个或多个关键向量进行排序与统计，如按照单一威胁事件的Attack- Time排序，按照单一威胁事件的Attack-Postcond排序，同一dest-ip的单一威胁事件的统计，同一Attack-Name的单一威胁事件的统计等。

在完成统计操作之后，网络威胁事件评估装置基于统计信息进行单一威胁事件的归并聚类，例如，将针对同一dest-ip的多次相同Attack-Name的单一威胁事件归并聚类处理为一条威胁事件，并记录重复次数。

可以理解的是，通过排序、统计以及归并聚类等调优处理，能够减少不必要重复计算，提升评估效率。

在本实施例中，网络威胁事件评估装置在排序时，基于提取的各单一威胁事件的攻击后果对所述待评估威胁事件集中的单一威胁事件进行排序。例如，按照攻击后果的程度降序排列各单一威胁事件。

本领域技术人员可以理解的是，网络威胁事件评估装置进行的排序操作可在完成归并聚类操作之后进行，以避免重复排序。

基于第二实施例，提出本公开网络威胁事件评估方法的第三实施例，参照图3，在本实施例中，步骤S20包括：

步骤S201，基于所述待评估威胁事件集的排序信息依次选中所述待评估威胁事件集中的单一威胁事件；

步骤S202，在每次选中单一威胁事件时，判定选中的单一威胁事件是否满足所述事件关联因子，是则增加选中的单一威胁事件的置信度，判定选中的单一威胁事件是否满足所述环境影响因子，是则增加选中的单一威胁事件的置信度；

步骤S203，在完成当次选中的单一威胁事件的判定操作之后，继续按顺序选中其它单一威胁事件。

在本实施例中，为高效的完成待评估威胁事件集中各单一威胁事件的评估，网络威胁事件评估装置基于调优处理的排序信息有序的对待评估威胁事件集中各单一威胁事件进行评估。

在一个示例性实施例中，网络威胁事件评估装置基于所述待评估威胁事件集的排序信息依次选中所述待评估威胁事件集中的单一威胁事件，例如，网络威胁事件评估装置在调优处理时按照各单一威胁事件攻击后果的程度降序排序，则网络威胁事件评估装置将首先选中待评估威胁事件集中攻击后果程度最大的单一威胁事件进行评估。

在每次选中单一威胁事件时，网络威胁事件评估装置判定选中的单一威胁事件是否满足所述事件关联因子，是则增加选中的单一威胁事件的置信度，否则不增加，例如，网络威胁事件评估装置可先进行冗余关系的分析,将重复的多个威胁事件归并聚类为一个威胁事件,再进行因果关系的分析，具体可参照第一实施例，此处不再赘述。需要说明的是，网络威胁事件评估装置在获取到待评估威胁事件集时，为待评估威胁事件集中各单一威胁事件分配有初始置信度，具体可基于待评估威胁事件集的来源前置检测引擎的检测性能进行初始置信度的分配，例如，若来源前置检测引擎的检测性 能较高，则为对应该来源前置检测引擎的待评估威胁事件集分配较高的初始置信度；若来源前置检测引擎的检测性能较低，则为对应该来源前置检测引擎的待评估威胁事件集分配较低的初始置信度。此外，网络威胁事件评估装置还判定选中的单一威胁事件是否满足所述环境影响因子，是则增加选中的单一威胁事件的置信度，否则不增加，例如，在选中单一威胁事件时，网络威胁事件评估装置判定选中的单一威胁事件的Attack-Postcond(攻击后果)是否符合目标***的主机环境模型和/或网络环境模型，是则判定该选中的单一威胁事件符合环境影响因子，并增加其置信度。

在本实施例中，步骤S30包括：

输出对待评估威胁事件集中各单一威胁事件进行评估后的置信度。

本公开的实施例还提供一种网络威胁事件评估装置，参照图4,在本公开网络威胁事件评估装置的第一实施例中，所述网络威胁事件评估装置包括：

获取模块10，设置为获取待评估威胁事件集；

需要说明的是，本公开实施例提供的网络威胁事件评估装置部署在网络***中运行，可对本网络***的网络威胁事件进行评估，也可对其它网络***的网络威胁事件进行评估。

本实施例中，获取模块10首先获取基于目标***的威胁事件集，将获取的威胁事件集作为待评估威胁事件集。其中，该目标***可以是网络威胁事件评估装置部署的网络***，也可以是其它网络***。具体的，获取模块10在通过目标***的前置检测引擎获取到基于目标***的威胁事件集时，丢弃威胁事件集中不符合目标***约束的单一威胁事件，其中，获取模块10可以被动接收前置检测引擎推送的待评估威胁事件集，也可以主动从前置检测引擎拉取待评估威胁事件集；约束条件基于目标***设置，本实施例不作限定。

此外，本实施例并不限制前置检测引擎如何识别威胁事件，例如，前置检测引擎可基于其所在网络***的网络数据包或者会话，通过特征库比对方式识别威胁事件。

评估模块20，设置为在获取到所述待评估威胁事件集时，基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估；

本实施例中，在获取模块10获取到待评估威胁事件集时，评估模块20基于预设的事件关联因子和环境影响因子对待评估威胁事件集中的各单一威胁事件进行评估，得到待评估事件集中各单一威胁事件的评估结果。

本领域技术人员可以理解的是，攻击者的入侵行为并不是独立的，而都是有所关联的。从攻击的角度出发，威胁事件之间的关联是指它们是同一个威胁事件行为所产生的，这种攻击行为包括单个简单攻击行为或由一系列攻击步骤组成的复杂攻击行为。事件关联技术是将各种数据来源进行综合分析，把分散的单一威胁事件关联起来，以给出完整的事件描述。

设威胁事件模型用E表示，则有:E＝(Attack-Id，Attack-Name，Attack-Precond， Attack-Postcond，Attack-Specif，Attack-Time，Attack-Respose)

其中，字段Attack-Id为攻击标志，表明攻击类型；Attack-Name为攻击名称；Attack-Precond为攻击前提，即攻击实施前所应该满足的条件集合；Attack-Postcond为攻击后果，即攻击实施后对网络***造成的所有可能影响的集合；Attack-Specif为攻击特征，即攻击报文的特征描述；Attack-Time为检测到攻击所发生时的时间；Attack-Respose为攻击响应，针对某个攻击，***所应采取的相应对策。由于Attack-Specif字段的数据来源主要是侦听到的网络攻击报文，因而可以进一步用一个六元组将其特征化。设一个报文用P表示，则有P＝(detect-id，source-ip，dest-ip，source-port，dest-port，payload)

其中，detect-id表示数据采集器的标识符；source-ip，dest-ip分别表示源、目的IP地址；source-port，dest-port分别表示源、目的端口号；payload表示有效载荷。在本实施例中，将“AttackPrecond”，“Attack-Postcond”和“Attack-Specif”字段作为威胁事件关联分析的依据。由于Attack-Precond和Attack-Postcond字段实质上描述了整个网络***的状态，因而很难用类似于N元组这类描述方法来将其特征化。在具体实施时，可以考虑采用XML语言和多元逻辑断言(Predicate)作为形式化描述的基础，并相应地进行扩展。例如，<Cond-Scenario>script(Action，‘winnuke$TargetAddress’)</Cond-Scenario>表示winnuke攻击发生的情景，及在这种情景下攻击者企图发动攻击的运行命令。

通常的，威胁事件的关联包括冗余关系关联和因果关系关联。

其中，冗余关系关联的分析方法主要是依据威胁事件Attack-Specif字段中相关属性之间的相似度，相似度采用概率统计的方法进行计算。

因果关系关联的分析方法主要基于威胁事件模型E的三个字段:Attack-Precond、Attack-Postcond和Attack-Specif。基本思想是:寻找一个威胁事件的前因(Attack-Precond)和另一个威胁事件的后果(Attack-Postcond)之间是否存在逻辑联系，如果存在联系，就表明这两个威胁事件是关联的。

基于前述事件关联的主旨思想，构建本实施例的事件关联因子，包括事件逻辑关联模型和关联条件等分析要素和分析方法。

此外，在本实施例中，还构建有环境影响因子，包括网络***内的主机环境模型以及网络环境模型和影响条件等分析要素和分析方法。

在本实施例中，评估模块20对单一威胁事件进行评估即判断单一威胁事件是否满足事件关联因子和/或环境影响因子，例如，评估模块20基于单一威胁事件的Attack-Specif中的4个有意义的属性加上Attack-Id字段属性判断该单一威胁事件是否符合事件逻辑关联模型，是则判定该单一威胁事件符合事件关联因子；评估模块20判断单一威胁事件的Attack-Postcond(攻击后果)是否符合网络***的主机环境模型和/或网络环境模型，是则判定该单一威胁事件符合环境影响因子。

本实施例中在进行事件关联因子的判定时，评估模块20可先进行冗余关系的分析,将重复的多个威胁事件归并聚类为一个威胁事件,再进行因果关系的分析,以减少不必要的重复计算，提升评估效率。

输出模块30，设置为输出所述待评估威胁事件集的评估结果。

本实施例中，在完成待评估威胁事件集中各单一威胁事件的评估之后，网络威胁事件评估装置输出评估结果。容易理解的是，基于前述关于评估的描述，由于存在评估时归并聚类的情况，输出的评估结果数量可能与待评估威胁事件集中单一威胁事件的数量不同。

本实施例中，由于待评估威胁事件集可来自网络威胁事件评估装置部署的网络***，也可来自其它网络***，输出模块30在输出评估结果时，可基于待评估威胁事件集的来源网络***进行输出，例如，若待评估威胁事件集来自本网络***，输出模块30则将评估结果输出至本网络***平台进行展示；若待评估威胁事件集来自其它网络***，输出模块30则将评估结果输出至来源网络***平台进行展示；或者，输出模块30将评估结果输出至预设的其它认可评估结果的输入接口。

本实施例提出的网络威胁事件评估装置，首先获取到待评估威胁事件集，然后基于预设的事件关联因子和环境影响因子对获取到的待评估威胁事件集中各单一威胁事件进行评估，得到威胁事件之间的关联，以及威胁事件与环境之间的关联，最后输出待评估威胁事件的评估结果，相较于相关技术，屏蔽了威胁事件的独立性所造成的不准确性，本公开的实施例能够提升网络威胁事件判定的准确性。

基于第一实施例，提出本公开网络威胁事件评估装置的第二实施例，参照图5，在本实施例中，所述网络威胁事件评估装置还包括：

调优模块40，设置为在所述获取模块10获取到所述待评估威胁事件集时，对获取的所述待评估威胁事件集进行调优处理；

所述评估模块20还设置为在所述调优模块40完成调优处理之后，基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估。

本实施例中，为提升评估效率，调优模块40对获取模块10获取的待评估威胁事件集(即获取模块10基于目标***之约束过滤后的威胁事件集)进行调优处理，具体的，调优模块40提取获取的待评估威胁事件集中各单一威胁事件的关键向量；以及基于提取的各关键向量对获取的待评估威胁事件集中的单一威胁事件进行排序、统计以及归并聚类。

在本实施例中，调优模块40提取的关键向量至少包括Attack-Time(攻击时间，即检测到威胁事件所发生时的时间)、Attack-Name(攻击名称)、Attack-Specif(攻击特征)中的source-ip(源IP地址)，dest-ip(目的IP地址)，source-port(源端口)，dest-port(目的端口)以及Attack-Postcond(攻击后果)。在进行调优处理时，调优模块40可依据一个或多个关键向量进行排序与统计，如按照单一威胁事件的Attack- Time排序，按照单一威胁事件的Attack-Postcond排序，同一dest-ip的单一威胁事件的统计，同一Attack-Name的单一威胁事件的统计等。

在完成统计操作之后，调优模块40基于统计信息进行单一威胁事件的归并聚类，例如，将针对同一dest-ip的多次相同Attack-Name的单一威胁事件归并聚类处理为一条威胁事件，并记录重复次数。

可以理解的是，通过排序、统计以及归并聚类等调优处理，能够减少不必要重复计算，提升评估效率。

在本实施例中，调优模块40在排序时，基于提取的各单一威胁事件的攻击后果对所述待评估威胁事件集中的单一威胁事件进行排序。例如，调优模块40按照攻击后果的程度降序排列各单一威胁事件。

本领域技术人员可以理解的是，调优模块40进行的排序操作可在完成归并聚类操作之后进行，以避免重复排序。

基于第二实施例，提出本公开网络威胁事件评估装置的第三实施例，在本实施例中，所述评估模块20还设置为基于所述待评估威胁事件集的排序信息依次选中所述待评估威胁事件集中的单一威胁事件；以及在每次选中单一威胁事件时，判定选中的单一威胁事件是否满足所述事件关联因子，是则增加选中的单一威胁事件的置信度，判定选中的单一威胁事件是否满足所述环境影响因子，是则增加选中的单一威胁事件的置信度；以及在完成当次选中的单一威胁事件的判定操作之后，继续按顺序选中其它单一威胁事件。

在本实施例中，为高效的完成待评估威胁事件集中各单一威胁事件的评估，评估模块20基于调优处理的排序信息有序的对待评估威胁事件集中各单一威胁事件进行评估。

在一个示例性实施例中，评估模块20基于所述待评估威胁事件集的排序信息依次选中所述待评估威胁事件集中的单一威胁事件，例如，调优模块40在调优处理时按照各单一威胁事件攻击后果的程度降序排序，则评估模块20将首先选中待评估威胁事件集中攻击后果程度最大的单一威胁事件进行评估。

在每次选中单一威胁事件时，评估模块20判定选中的单一威胁事件是否满足所述事件关联因子，是则增加选中的单一威胁事件的置信度，否则不增加，例如，评估模块20可先进行冗余关系的分析,将重复的多个威胁事件归并聚类为一个威胁事件,再进行因果关系的分析，具体可参照第一实施例，此处不再赘述。需要说明的是，获取模块10在获取到待评估威胁事件集时，为待评估威胁事件集中各单一威胁事件分配有初始置信度，具体可基于待评估威胁事件集的来源前置检测引擎的检测性能进行初始置信度的分配，例如，若来源前置检测引擎的检测性能较高，则为对应该来源前置检测引擎的待评估威胁事件集分配较高的初始置信度；若来源前置检测引擎的检测性能较低，则为对应该来源前置检测引擎的待评估威胁事件集分配较低的初始置信 度。此外，评估模块20还判定选中的单一威胁事件是否满足所述环境影响因子，是则增加选中的单一威胁事件的置信度，否则不增加，例如，在选中单一威胁事件时，评估模块20判定选中的单一威胁事件的Attack-Postcond(攻击后果)是否符合目标***的主机环境模型和/或网络环境模型，是则判定该选中的单一威胁事件符合环境影响因子，并增加其置信度。

在本实施例中，输出模块30还设置为输出对待评估威胁事件集中各单一威胁事件进行评估后的置信度。

本领域内的技术人员应明白，本公开的实施例可提供为方法、***、或计算机程序产品。因此，本公开实施例可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且，本公开实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。

本公开是参照本公开实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

例如，本公开的实施例还提供一种非临时性计算机可读存储介质，其中存储有指令，当一种网络威胁事件评估装置的一个或多个处理器执行所述指令时，所述网络威胁事件评估装置执行一种控制方法，所述方法包括：获取待评估威胁事件集；在获取到所述待评估威胁事件集时，基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估；输出所述待评估威胁事件集的评估结果。

本公开实施例还提供一种网络威胁事件评估装置，包括：

处理器；

用于存储处理器的可执行指令的存储器；

其中，所述处理器被设置为：

获取待评估威胁事件集；

在获取到所述待评估威胁事件集时，基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估；

输出所述待评估威胁事件集的评估结果。

工业实用性

本公开涉及网络安全技术领域，相较于相关技术，屏蔽了威胁事件的独立性所造成的不准确性，本公开能够提升网络威胁事件判定的准确性。

以上仅为本公开的优选实施例，并非因此限制本公开的专利范围，凡是利用本公开说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本公开的专利保护范围内。

Claims (10)

1. 一种网络威胁事件评估方法，包括：

   获取待评估威胁事件集；

   在获取到所述待评估威胁事件集时，基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估；

   输出所述待评估威胁事件集的评估结果。
2. 根据权利要求1所述的网络威胁事件评估方法，其中，所述基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估的步骤之前，所述方法还包括：

   在获取到所述待评估威胁事件集时，对获取的所述待评估威胁事件集进行调优处理；

   在完成调优处理之后，执行所述基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估的步骤。
3. 根据权利要求2所述的网络威胁事件评估方法，其中，对获取的所述待评估威胁事件集进行调优处理包括：

   提取获取的所述待评估威胁事件集中各单一威胁事件的关键向量；

   基于提取的各所述关键向量对获取的所述待评估威胁事件集中的单一威胁事件进行排序、统计以及归并聚类。
4. 根据权利要求3所述的网络威胁事件评估方法，其中，所述关键向量至少包括单一威胁事件的攻击时间、源IP地址及端口、目的IP地址及端口、攻击名称以及攻击后果，所述基于提取的各所述关键向量对所述待评估威胁事件集中的单一威胁事件进行排序包括：

   基于提取的各单一威胁事件的攻击后果对所述待评估威胁事件集中的单一威胁事件进行排序。
5. 根据权利要求3所述的网络威胁事件评估方法，其中，所述基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估的步骤包括：

   基于所述待评估威胁事件集的排序信息依次选中所述待评估威胁事件集中的单一威胁事件；

   在每次选中单一威胁事件时，判定选中的单一威胁事件是否满足所述事件关联因子，是则增加选中的单一威胁事件的置信度，判定选中的单一威胁事件是否满足所述环境影响因子，是则增加选中的单一威胁事件的置信度；

   在完成当次选中的单一威胁事件的判定操作之后，继续按顺序选中其它单一威胁事件。
6. 一种网络威胁事件评估装置，包括：

   获取模块，设置为获取待评估威胁事件集；

   评估模块，设置为在获取到所述待评估威胁事件集时，基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估；

   输出模块，设置为输出所述待评估威胁事件集的评估结果。
7. 根据权利要求6所述的网络威胁事件评估装置，还包括：

   调优模块，设置为在所述获取模块获取到所述待评估威胁事件集时，对获取的所述待评估威胁事件集进行调优处理；

   所述评估模块还设置为在所述调优模块完成调优处理之后，基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估。
8. 根据权利要求7所述的网络威胁事件评估装置，其中，所述调优模块还设置为提取获取的所述待评估威胁事件集中各单一威胁事件的关键向量；以及基于提取的各所述关键向量对获取的所述待评估威胁事件集中的单一威胁事件进行排序、统计以及归并聚类。
9. 根据权利要求8所述的网络威胁事件评估装置，其中，所述关键向量至少包括单一威胁事件的攻击时间、源IP地址及端口、目的IP地址及端口、攻击名称以及攻击后果，所述调优模块还设置为基于提取的各单一威胁事件的攻击后果对所述待评估威胁事件集中的单一威胁事件进行排序。
10. 根据权利要求8所述的网络威胁事件评估装置，其中，所述评估模块还设置为基于所述待评估威胁事件集的排序信息依次选中所述待评估威胁事件集中的单一威胁事件；以及在每次选中单一威胁事件时，判定选中的单一威胁事件是否满足所述事件关联因子，是则增加选中的单一威胁事件的置信度，判定选中的单一威胁事件是否满足所述环境影响因子，是则增加选中的单一威胁事件的置信度；以及在完成当次选中的单一威胁事件的判定操作之后，继续按顺序选中其它单一威胁事件。

Images