一种网络安全评估方法、装置、网络安全设备及存储介质制造方法及图纸

本申请实施例公开了一种网络安全评估方法、装置、网络安全设备及存储介质，该方法中：获取网络安全事件集合；各个网络安全事件是在各个网络资产的数据传输过程中获得的，各个网络资产为具有独立IP的实体设备；针对每个网络安全事件，确定包括网络资产、攻击关系和攻击系数的攻击参数；再确定各个资产组之间的攻击关系和攻击次数；根据各个资产组之间的攻击关系和攻击次数，确定具有攻击关系的每两个资产组之间的攻击关系对值；基于各个攻击关系对值和预设资产组数量阈值，确定目标资产组集合和其中具有攻击关系的每两个资产组之间的目标攻击关系和目标攻击次数。以便评估网络环境的安全性能，并定位网络威胁对应的资产组，进一步分析网络威胁。步分析网络威胁。步分析网络威胁。

【技术实现步骤摘要】
一种网络安全评估方法、装置、网络安全设备及存储介质


[0001]本申请涉及网络安全
，尤其涉及一种网络安全评估方法、装置、网络安全设备及存储介质。

技术介绍

[0002]网络资产，是安全管理平台中重要的管理对象，是具备独立IP地址(Internet Protocol Address，互联网协议地址)的实体设备，比如计算机、智能终端和服务器等。各个网络资产所处的网络内部的威胁主要包括僵木蠕、扫描探测、弱口令登录等。
[0003]相关技术中，面对上述威胁造成的安全事件，通常是运维人员根据自己的理解去响应并处理，比如对日志事件进行分析等。但是，一方面，耗费了人力物力，另一方面，由于人为主观因素的存在，造成对安全事件的分析结果存在偏差、不准确，进而无法准确定外威胁来源和威胁类型等。

技术实现思路

[0004]本申请实施例提供一种网络安全评估方法、装置、网络安全设备及存储介质，用以准确评估网络安全，并定位网络威胁对应的资产组，以便进一步分析相应资产组的网络威胁的情况。
[0005]第一方面，本申请一实施例提供了一种网络安全评估方法，应用于网络安全设备，包括：
[0006]获取网络安全事件集合；其中，所述网络安全事件集合中的各个网络安全事件是在各个具有独立IP的实体设备的数据传输过程中获得的，所述网络安全设备和各个所述实体设备处于同一网络环境；
[0007]针对每个所述网络安全事件，确定所述网络安全事件的攻击参数；其中，所述攻击参数包括所述网络安全事件的网络资产、各个所述网络资产之间的攻击关系和攻击次数；其中，各个所述网络资产为符合预设条件的具有独立IP地址的实体设备；
[0008]根据各个资产组之间的攻击关系和攻击次数，确定具有攻击关系的每两个资产组之间的攻击关系对值；
[0009]基于各个所述攻击关系对值和预设资产组数量阈值，确定目标资产组集合、所述目标资产组集合中的具有攻击关系的每两个资产组之间的目标攻击关系和目标攻击次数；其中，所述目标资产组集合、所述目标攻击关系和所述目标攻击次数用于评估所述网络环境的安全性能。
[0010]本申请实施例，由于网络安全事件通常是潜在的网络威胁导致的，而各个具有独立IP的实体设备的数据传输过程中可以得到网络安全事件，因此，针对每个网络安全事件，确定网络安全事件的网络资产(符合预设条件的具有独立IP地址的实体设备)、各个网络资产之间的攻击关系和攻击次数这些攻击参数。由于每个资产组中的各个网络资产通常具有共性，因此，基于预先设定的网络资产与资产组的隶属关系，以及各个网络安全事件的攻击
参数，确定各个资产组之间的攻击关系和攻击次数。而如果按照资产组的攻击次数来筛选威胁较高的资产组，则选取的资产组中，可能存在没有攻击关系的情况。因此，引入攻击关系对值的概念，根据各个资产组之间的攻击关系和攻击次数，确定具有攻击关系的每两个资产组之间的攻击关系对值。再基于各个攻击关系对值和预设资产组数量阈值，确定目标资产组集合、目标资产组集合中的具有攻击关系的每两个资产组之间的目标攻击关系和目标攻击次数，以便进行网络环境的安全性能的评估，准确定位网络威胁对应的资产组。以便进一步分析相应资产组的网络威胁的情况。
[0011]第二方面，本申请一实施例提供了一种网络安全评估装置，包括：
[0012]事件获取模块，用于获取网络安全事件集合；其中，所述网络安全事件集合中的各个网络安全事件是在各个具有独立IP的实体设备的数据传输过程中获得的，所述网络安全设备和各个所述实体设备处于同一网络环境；
[0013]攻击参数确定模块，用于针对每个所述网络安全事件，确定所述网络安全事件的攻击参数；其中，所述攻击参数包括所述网络安全事件的网络资产、各个所述网络资产之间的攻击关系和攻击次数；其中，各个所述网络资产为符合预设条件的具有独立IP地址的实体设备；
[0014]资产组确定模块，用于基于预先设定的网络资产与资产组的隶属关系，以及各个网络安全事件的攻击参数，确定各个资产组之间的攻击关系和攻击次数；其中，每个资产组中包括至少一个网络资产；
[0015]攻击关系对值确定模块，用于根据各个资产组之间的攻击关系和攻击次数，确定具有攻击关系的每两个资产组之间的攻击关系对值；
[0016]目标资产组集合确定模块，用于基于各个所述攻击关系对值和预设资产组数量阈值，确定目标资产组集合、所述目标资产组集合中的具有攻击关系的每两个资产组之间的目标攻击关系和目标攻击次数；其中，所述目标资产组集合、所述目标攻击关系和所述目标攻击次数用于评估所述网络环境的安全性能。
[0017]第三方面，本申请一实施例提供了一种网络安全设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其中，处理器执行计算机程序时实现上述任一种方法的步骤。
[0018]第四方面，本申请一实施例提供了一种计算机可读存储介质，其上存储有计算机程序指令，该计算机程序指令被处理器执行时实现上述任一种方法的步骤。
附图说明
[0019]为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使用的附图作简单地介绍，显而易见地，下面所介绍的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0020]图1为本申请一实施例提供的一种网络安全评估方法的应用场景示意图；
[0021]图2为本申请一实施例提供的一种网络安全评估方法的流程示意图；
[0022]图3为本申请一实施例提供的另一种网络安全评估方法的流程示意图；
[0023]图4为本申请一实施例提供的另一种网络安全评估方法的流程示意图；
[0024]图5为本申请一实施例提供的一种网络安全评估装置的结构示意图；
[0025]图6为本申请一实施例提供的一种网络安全设备的结构示意图。
具体实施方式
[0026]为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述。
[0027]附图中的任何元素数量均用于示例而非限制，以及任何命名都仅用于区分，而不具有任何限制含义。
[0028]在具体实践过程中，各个网络资产所处的网络内部的威胁主要包括僵木蠕、扫描探测、弱口令登录等。相关技术中，面对上述威胁造成的安全事件时，通常是运维人员根据自己的理解去响应并处理，比如对日志事件进行分析等。但是，一方面，耗费了人力物力，另一方面，由于人为主观因素的存在，造成对安全事件的分析结果存在偏差、不准确，进而无法准确定外威胁来源和威胁类型等。
[0029]为此，本申请提供了一种网络安全评估方法，该方法应用于网络安全设备，各个网络资产和网络安全设备处于同一网络环境。具体的，各个网络资产在数据传输过程中(比如是访问某网站、发送文件)，网络安全设备获取该过程中产生的各个网络安全事件，确定各个网络安全事件构成本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络安全评估方法，其特征在于，应用于网络安全设备，所述方法包括：获取网络安全事件集合；其中，所述网络安全事件集合中的各个网络安全事件是在各个具有独立IP的实体设备的数据传输过程中获得的，所述网络安全设备和各个所述实体设备处于同一网络环境；针对每个所述网络安全事件，确定所述网络安全事件的攻击参数；其中，所述攻击参数包括所述网络安全事件的网络资产、各个所述网络资产之间的攻击关系和攻击次数；其中，各个所述网络资产为符合预设条件的具有独立IP地址的实体设备；基于预先设定的网络资产与资产组的隶属关系，以及各个网络安全事件的攻击参数，确定各个资产组之间的攻击关系和攻击次数；其中，每个资产组中包括至少一个网络资产；根据各个资产组之间的攻击关系和攻击次数，确定具有攻击关系的每两个资产组之间的攻击关系对值；基于各个所述攻击关系对值和预设资产组数量阈值，确定目标资产组集合、所述目标资产组集合中的具有攻击关系的每两个资产组之间的目标攻击关系和目标攻击次数；其中，所述目标资产组集合、所述目标攻击关系和所述目标攻击次数用于评估所述网络环境的安全性能。2.根据权利要求1所述的方法，其特征在于，所述根据各个资产组之间的攻击关系和攻击次数，确定具有攻击关系的每两个资产组之间的攻击关系对值，包括：根据各个资产组之间的攻击关系和攻击次数，确定每个资产组对应的攻击次数总和；根据各个资产组之间的攻击关系和各个所述资产组对应的攻击次数总和，确定具有攻击关系的两个资产组之间的攻击关系对值。3.根据权利要求1所述的方法，其特征在于，所述针对每个所述网络安全事件，确定所述网络安全事件的攻击参数，包括：确定所述网络安全事件的类型；其中，所述网络安全事件的类型为一对一安全事件、一对多安全事件、多对一安全事件和多对多安全事件中的任意一个；若所述网络安全事件的类型为非一对一安全事件，则根据所述网络安全事件中的源地址字段和目的地址字段，将所述网络安全事件拆分为至少两个一对一安全事件；针对每个一对一安全事件，确定所述一对一安全事件中的网络资产、攻击关系和攻击次数；汇总各个所述一对一安全事件中的网络资产、攻击关系和攻击次数，得到所述网络安全事件中的网络资产，各个网络资产间的攻击关系和每组攻击关系对应的攻击次数。4.根据权利要求1所述的方法，其特征在于，所述基于预先设定的网络资产与资产组的隶属关系，以及各个网络安全事件的攻击参数，确定各个资产组之间的攻击关系和攻击次数，包括：针对每个网络安全事件，基于预先设定的网络资产与资产组的隶属关系，确定所述网络安全事件中的网络资产所属的资产组；针对任意具有攻击关系的两个资产组，将所述两个资产组中的各个网络资产之间的攻击次数按照相应的攻击关系取和，作为所述两个资产组之间的攻击次数；并根据所述两个资产组中的各个网络资产的攻击关系确定所述两个资产组之间的攻击关系。5.根据权利要求1～4任一项所述的方法，其特征在于，所述基于各个所述攻击关系对
值和预设资产组数量阈值，确定目标资产组集合包括：按照攻击关系对值从大到小的顺序，依次确定出每个攻击关系对值对应的资产组；若前N个攻击关系对值确定的资产组的数量为M，则确定所述M个资产组构成所述目标资产组集合；其中，所述预设资产组数量阈值为M，且M为不小于2的整数，N为大于或等于1的整数；若所述前N个攻击关系对值确定的资产组的数量为M
‑
1，则根据通过第N+1个攻击关系对值确定的两个资产组与所述M
‑
1个资产组的关系，确定所述目标资产组集合；若所述前N个攻击关系对值确定的资产组的数量为M
‑
2，则根据通过所述第N+1个攻击关系对值确定的两个资产组与所述M
‑
2个资产组的关系，确定所述目标资产组集合。6.根据...

【专利技术属性】
技术研发人员：程晓妮，杨逸斐，高辉力，潘登，黄俊，
申请(专利权)人：北京神州绿盟科技有限公司，
类型：发明
国别省市：