攻击者威胁评分方法及相关装置制造方法及图纸

本申请涉及网络安全技术领域，公开了一种攻击者威胁评分方法及相关装置。本申请通过使用攻击事件命中的情报类型确定的攻击源的情报威胁评分以及使用蜜罐提供的攻击者告警信息的命中情况确定的攻击源的蜜罐威胁评分，确定攻击源的先验知识威胁评分；然后基于攻击事件数量、攻击链阶段数量、攻击链阶段等级、攻击事件威胁等级、攻击事件的置信度、攻击结果、攻击目标的资产状态、攻击指向性等多种维度信息确定攻击源的攻击信息威胁评分，最后基于先验知识威胁评分和攻击信息威胁评分，确定攻击源的攻击者威胁评分，从更多维度准确的评估攻击者，可以提高攻击者威胁评分的准确性，使得用户可以快速发现高威胁源并进行快速处置，提高安全防护能力。安全防护能力。安全防护能力。

【技术实现步骤摘要】
攻击者威胁评分方法及相关装置


[0001]本申请涉及网络安全
，尤其涉及一种攻击者威胁评分方法及相关装置。

技术介绍

[0002]随着科技的发展，网络威胁越来越频繁，各行各业的用户也越来越重视安全防护，采购了各种安全设备、安全工具，形成了自身的安全防护体系。其中最为常见的包括SIEM(Security Information and Event Management，安全信息和事件管理)和SOC(security operation center，安全运营中心)类工具。网络攻击来源的广泛性和攻击工具的自动化导致网络中出现了非常多的攻击告警，即使使用了各种安全工具对告警进行分析、合并、过滤，仍然会有较多的告警需要进行处理。
[0003]相关技术中，针对告警的处理中，较多使用的方式是对攻击来源进行阻断，但是由于很多用户需要对外部提供服务，此时若因为无法明确攻击来源进行了误阻断，可能会对用户的声誉造成影响，而且在外部访问特别多，告警中的攻击来源也非常多的时候，若不能及时发现真正的攻击者，就不能为客户提供良好的安全防护和反制能力。因此，如何进一步提高攻击者威胁评分的准确性，使得用户可以快速发现高威胁源并进行快速处置，从而提高安全防护能力是一个急需解决的问题。

技术实现思路

[0004]本申请提供一种攻击者威胁评分方法及相关装置，用于解决如何进一步提高攻击者威胁评分的准确性，使得用户可以快速发现高威胁源并进行快速处置，从而提高安全防护能力的问题。
[0005]第一方面，本申请实施例提供了一种攻击者威胁评分方法，包括：
[0006]基于第一指定周期中的攻击事件，提取出攻击源；
[0007]基于所述攻击源的攻击事件命中的情报类型，确定所述攻击源的情报威胁评分；以及，
[0008]基于所述攻击源的攻击事件对蜜罐提供的攻击者告警信息的命中情况，确定所述攻击源的蜜罐威胁评分；
[0009]基于所述情报威胁评分和所述蜜罐威胁评分，确定所述攻击源的先验知识威胁评分；
[0010]基于多维度信息，确定所述攻击源的攻击信息威胁评分，所述多维度信息包括以下中的至少两种：攻击事件数量、攻击链阶段数量、攻击链阶段等级、攻击事件威胁等级、攻击事件的置信度、攻击结果、攻击目标的资产状态、攻击指向性，所述攻击指向性与针对攻击目标的攻击事件数量具有正相关关系；
[0011]基于所述先验知识威胁评分和所述攻击信息威胁评分，确定所述攻击源的攻击者威胁评分。
[0012]在一种可能的实施方式中，所述基于所述情报威胁评分和所述蜜罐威胁评分，确
定所述攻击源的先验知识威胁评分，具体包括：
[0013]将所述情报威胁评分和所述蜜罐威胁评分加权求和，确定所述攻击源的先验知识威胁评分。
[0014]在一种可能的实施方式中，所述基于多维度信息，确定所述攻击源的攻击信息威胁评分，具体包括：
[0015]基于所述攻击链阶段数量、所述攻击指向性和所述攻击目标的资产状态，确定所述攻击源的攻击目标威胁评分；
[0016]基于所述攻击链阶段等级、所述攻击事件数量、所述攻击事件威胁等级、所述攻击事件的置信度和所述攻击结果，确定所述攻击源的攻击手段威胁评分；
[0017]将所述攻击目标威胁评分和所述攻击手段威胁评分加权求和，确定所述攻击源的攻击信息威胁评分。
[0018]在一种可能的实施方式中，所述基于所述攻击链阶段数量、所述攻击指向性和所述攻击目标的资产状态，确定所述攻击源的攻击目标威胁评分，具体包括：
[0019]基于所述攻击源中的攻击事件，提取出攻击目标，并将所述攻击源的攻击目标威胁评分设置为初始值；
[0020]基于所述攻击链阶段数量、所述攻击指向性和所述攻击目标的资产状态，确定所述攻击目标的攻击目标威胁评分；
[0021]若所述攻击源的攻击目标威胁评分小于所述攻击目标的攻击目标威胁评分，则将所述攻击源的攻击目标威胁评分设置为所述攻击目标的攻击目标威胁评分；
[0022]若所述攻击源的攻击目标威胁评分大于或等于所述攻击目标的攻击目标威胁评分，则所述攻击源的攻击目标威胁评分不变。
[0023]在一种可能的实施方式中，所述基于所述攻击链阶段数量、所述攻击指向性和所述攻击目标的资产状态，确定所述攻击目标的攻击目标威胁评分，具体包括：
[0024]基于针对所述攻击目标的事件所包含的攻击链阶段数量，确定所述攻击目标的攻击链覆盖度威胁评分；
[0025]基于所述针对攻击目标的攻击事件数量和所述攻击源的攻击事件数量，确定所述针对攻击目标的攻击事件数量和所述攻击源的攻击事件数量的比值；
[0026]基于所述针对攻击目标的攻击事件数量和所述攻击源的攻击事件数量的比值，确定所述攻击目标的攻击事件指向威胁评分；
[0027]将所述攻击链覆盖度威胁评分和所述攻击事件指向威胁评分加权求和，确定所述攻击目标的攻击意图威胁评分；
[0028]基于所述攻击目标的资产状态，确定所述攻击目标的资产状态威胁评分；其中所述攻击目标的资产状态包括所述攻击目标的失陷状态、脆弱性值以及资产价值评分；
[0029]将所述攻击意图威胁评分和所述资产状态威胁评分加权求和，确定所述攻击目标的攻击目标威胁评分。
[0030]在一种可能的实施方式中，所述基于所述攻击链阶段等级、所述攻击事件数量、所述攻击事件威胁等级、所述攻击事件的置信度和所述攻击结果，确定所述攻击源的攻击手段威胁评分，具体包括：
[0031]基于所述攻击源的最高攻击链阶段等级，确定所述攻击源的攻击链阶段威胁评
分；
[0032]基于所述攻击事件数量确定所述攻击源的攻击事件数量威胁评分；
[0033]基于所述攻击事件威胁等级、所述攻击事件的置信度和所述攻击结果，确定所述攻击源的攻击事件威胁程度威胁评分；
[0034]将所述攻击链阶段威胁评分、所述攻击事件数量威胁评分和所述攻击事件威胁程度威胁评分加权求和，确定所述攻击源的攻击手段威胁评分。
[0035]在一种可能的实施方式中，所述基于所述攻击事件数量确定所述攻击源的攻击事件数量威胁评分，具体包括：
[0036]基于所述攻击源的攻击事件数量，以及所述第一指定周期中的攻击事件数量，确定所述攻击源的攻击事件数量和所述第一指定周期中的攻击事件数量的比值；
[0037]基于所述攻击源的攻击事件数量和所述第一指定周期中的攻击事件数量的比值，确定所述攻击源的攻击事件占比威胁评分；
[0038]基于所述攻击源的攻击事件数量，确定所述攻击源的攻击事件总数威胁评分；
[0039]将所述攻击事件占比威胁评分和所述攻击事件总数威胁评分加权求和，确定所述攻击源的攻击事件数量威胁评分。
[0040]在一种可能的实施方式中，所述基于所述攻击事件威胁等级、所述攻击事件的置信度和所述攻击结果，确定所述攻击源的攻击事件威胁程度威胁评分，具体包括：
[0041本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种攻击者威胁评分方法，其特征在于，所述方法包括：基于第一指定周期中的攻击事件，提取出攻击源；基于所述攻击源的攻击事件命中的情报类型，确定所述攻击源的情报威胁评分；以及，基于所述攻击源的攻击事件对蜜罐提供的攻击者告警信息的命中情况，确定所述攻击源的蜜罐威胁评分；基于所述情报威胁评分和所述蜜罐威胁评分，确定所述攻击源的先验知识威胁评分；基于多维度信息，确定所述攻击源的攻击信息威胁评分，所述多维度信息包括以下中的至少两种：攻击事件数量、攻击链阶段数量、攻击链阶段等级、攻击事件威胁等级、攻击事件的置信度、攻击结果、攻击目标的资产状态、攻击指向性，所述攻击指向性与针对攻击目标的攻击事件数量具有正相关关系；基于所述先验知识威胁评分和所述攻击信息威胁评分，确定所述攻击源的攻击者威胁评分。2.根据权利要求1所述的方法，其特征在于，所述基于所述情报威胁评分和所述蜜罐威胁评分，确定所述攻击源的先验知识威胁评分，具体包括：将所述情报威胁评分和所述蜜罐威胁评分加权求和，确定所述攻击源的先验知识威胁评分。3.根据权利要求1所述的方法，其特征在于，所述基于多维度信息，确定所述攻击源的攻击信息威胁评分，具体包括：基于所述攻击链阶段数量、所述攻击指向性和所述攻击目标的资产状态，确定所述攻击源的攻击目标威胁评分；基于所述攻击链阶段等级、所述攻击事件数量、所述攻击事件威胁等级、所述攻击事件的置信度和所述攻击结果，确定所述攻击源的攻击手段威胁评分；将所述攻击目标威胁评分和所述攻击手段威胁评分加权求和，确定所述攻击源的攻击信息威胁评分。4.根据权利要求3所述的方法，其特征在于，所述基于所述攻击链阶段数量、所述攻击指向性和所述攻击目标的资产状态，确定所述攻击源的攻击目标威胁评分，具体包括：基于所述攻击源中的攻击事件，提取出攻击目标，并将所述攻击源的攻击目标威胁评分设置为初始值；基于所述攻击链阶段数量、所述攻击指向性和所述攻击目标的资产状态，确定所述攻击目标的攻击目标威胁评分；若所述攻击源的攻击目标威胁评分小于所述攻击目标的攻击目标威胁评分，则将所述攻击源的攻击目标威胁评分设置为所述攻击目标的攻击目标威胁评分；若所述攻击源的攻击目标威胁评分大于或等于所述攻击目标的攻击目标威胁评分，则所述攻击源的攻击目标威胁评分不变。5.根据权利要求4所述的方法，其特征在于，所述基于所述攻击链阶段数量、所述攻击指向性和所述攻击目标的资产状态，确定所述攻击目标的攻击目标威胁评分，具体包括：基于针对所述攻击目标的事件所包含的攻击链阶段数量，确定所述攻击目标的攻击链覆盖度威胁评分；基于所述针对攻击目标的攻击事件数量和所述攻击源的攻击事件数量，确定所述针对
攻击目标的攻击事件数量和所述攻击源的攻击事件数量的比值；基于所述针对攻击目标的攻击事件数量和所述攻击源的攻击事件数量的比值，确定所述攻击目标的攻击事件指向威胁评分；将所述攻击链覆盖度威胁评分和所述攻击事件指向威胁评分加权求和，确定所述攻击目标的攻击意图威胁评分；基于所述攻击目标的资产状态，确定所述攻击目标的资产状态威胁评分；其中所述攻击目标的资产状态包括所述攻击目标的失陷状态、脆弱性值以及资产价值评分；将所述攻击意图威胁评分和所述资产状态威胁评分加权求和，确定所述攻击目标的攻击目标威胁评分。6.根据权利要求3所述的方法，其特征在于，所述基于所述攻击链阶段等级、所述攻击事件数量、所述攻击事件威胁等级、所述攻击事件的置信度和所述攻击结果，确定所述攻击源的攻击手段威胁评分，具体包括：基于所述攻击源的最高攻击链阶段等级，确定所述攻击源的攻击链阶段威胁评分；基于所述攻击事件数量确定所述攻击源的攻击事件数量威胁评分；基于所述攻击事件威胁等级、所述攻击事件的置信度和所述攻击结果，确定所述攻击源的攻击事件威胁程度威胁评分；将所述攻击链阶段威胁评分、所述攻击事件数量威胁评分和所述攻击事件威胁程度威胁评分加权求和，确定所述攻击源的攻击手段威胁评分。7.根据权利要求6所述的方法，其特征在于，所述基于所述攻击事件数量确定所述攻击源的攻击事件数量威胁评分，具体包括：基于所述攻击源的攻击事件数量，以及所述第一指定周期中的攻击事件数量，确...

【专利技术属性】
技术研发人员：邹昊，张德宝，肖根胜，潘登，叶建伟，
申请(专利权)人：北京神州绿盟科技有限公司，
类型：发明
国别省市：