本申请涉及一种风险评估方法、装置、设备、存储介质和程序产品。所述方法包括:首先,获取待评估的目标主机对应的包括与目标主机相关的多个安全事件的目标安全事件集合,然后,根据目标安全事件集合中各安全事件的威胁等级以及在不同时段的发生频次确定目标主机的第一安全评估结果,接着,在第一安全评估结果指示目标主机处于安全可疑状态的情况下,根据目标安全事件集合确定用于表征目标主机的安全事件所涉及到的业务访问的特征访问特征信息,然后根据访问特征信息确定目标主机的第二安全评估结果,最后,根据第二安全评估结果确定目标主机是否为高风险主机。采用本方法能够提高目标主机风险评估的准确性。高目标主机风险评估的准确性。高目标主机风险评估的准确性。
【技术实现步骤摘要】
风险评估方法、装置、设备、存储介质和程序产品
[0001]本申请涉及网络安全
,特别是涉及一种风险评估方法、装置、设备、存储介质和程序产品。
技术介绍
[0002]随着网络设备和防护设备的日益增多,通过分析这些设备产生的海量安全事件来评估设备的风险成为越来越热门的有效手段,因此更准确更全面的风险评估方法显得尤为重要。
[0003]目前,风险评估一般都是根据设备的安全事件的危险等级直接定义,但是这种风险评估方法不够准确。
技术实现思路
[0004]基于此,有必要针对上述技术问题,提供一种风险评估更准确的风险评估方法、装置、设备、存储介质和程序产品。
[0005]第一方面,本申请提供了一种风险评估方法。该方法包括:获取待评估的目标主机对应的目标安全事件集合,目标安全事件集合包括与目标主机相关的多个安全事件;根据目标安全事件集合中各安全事件的威胁等级以及在不同时段的发生频次确定目标主机的第一安全评估结果;在第一安全评估结果指示目标主机处于安全可疑状态的情况下,根据目标安全事件集合确定访问特征信息,并根据访问特征信息确定目标主机的第二安全评估结果,其中,访问特征信息用于表征目标主机的安全事件所涉及到的业务访问的特征;根据第二安全评估结果确定目标主机是否为高风险主机。
[0006]在其中一个实施例中,获取待评估的目标主机对应的目标安全事件集合,包括:获取初始安全事件集合,初始安全事件集合包括目标主机对应的多个安全事件;从初始安全事件集合中筛选重要程度大于预设阈值的安全事件,以得到目标安全事件集合。
[0007]在其中一个实施例中,从初始安全事件集合中筛选重要程度大于预设阈值的安全事件,包括:按照初始安全事件集合中各类型的安全事件的数量由大至小的顺序,对初始安全事件集合包括的安全事件类型进行排序;将排序前N个安全事件类型对应的安全事件作为重要程度大于预设阈值的安全事件,N为大于或等于1的正整数。
[0008]在其中一个实施例中,按照初始安全事件集合中各类型的安全事件的数量由大至小的顺序,对初始安全事件集合包括的安全事件类型进行排序,包括:若不同类型的安全事件的数量一致,则根据不同类型的安全事件对应的威胁等级确定排列顺序。
[0009]在其中一个实施例中,按照初始安全事件集合中各类型的安全事件的数量由大至小的顺序,对初始安全事件集合包括的安全事件类型进行排序,包括:若确定初始安全事件集合中的安全事件类型大于N,则执行按照初始安全事件集合中各类型的安全事件的数量由大至小的顺序,对初始安全事件集合包括的安全事件类型进行排序的步骤。
[0010]在其中一个实施例中,方法还包括:若确定初始安全事件集合中的安全事件类型
小于等于N,则将初始安全事件集合作为目标安全事件集合。
[0011]在其中一个实施例中,第一安全评估结果包括第一安全评估值,不同时段的发生频次包括工作时段的第一发生频次以及非工作时段的第二发生频次,根据目标安全事件集合中各安全事件的威胁等级以及在不同时段的发生频次确定目标主机的第一安全评估结果,包括:对于各安全事件,根据安全事件的威胁等级、第一发生频次以及第二发生频次确定安全事件的安全评估子值;根据各安全事件的安全评估子值的平均值,得到第一安全评估值。
[0012]在其中一个实施例中,根据各安全事件的安全评估子值的平均值,得到第一安全评估值,包括:根据目标主机是否为资产,对各安全事件的安全评估子值的平均值进行修正处理,以得到第一安全评估值。
[0013]在其中一个实施例中,根据目标安全事件集合确定访问特征信息,包括:基于目标安全事件集合确定在目标主机为发起访问的角色时的第一访问特征信息;基于目标安全事件集合确定在目标主机为被访问的角色时的第二访问特征信息;将第一访问信息和第二访问信息作为访问特征信息。
[0014]在其中一个实施例中,基于目标安全事件集合确定在目标主机为发起访问的角色时的第一访问特征信息,包括:从目标安全事件集合中筛选得到包括的源IP地址与目标主机的IP地址相同的第一安全事件;将第一安全事件的数量m1和第一安全事件包括的目的IP地址的数量n1作为第一访问特征信息。
[0015]在其中一个实施例中,基于目标安全事件集合确定在目标主机为被访问的角色时的第二访问特征信息,包括:从目标安全事件集合中筛选得到包括的目的IP地址与目标主机的IP地址相同的第二安全事件;将第二安全事件的数量m2和第二安全事件包括的源IP地址的数量n2作为第二访问特征信息。
[0016]在其中一个实施例中,根据访问特征信息确定目标主机的第二安全评估结果,包括:根据第一安全事件的数量m1、第一安全事件包括的目的IP地址的数量n1、第二安全事件的数量m2以及第二安全事件包括的源IP地址的数量n2计算加权和;根据加权和以及第一安全评估结果,确定第二安全评估结果。
[0017]第二方面,本申请还提供了一种风险评估装置。该装置包括:
[0018]获取模块,用于获取待评估的目标主机对应的目标安全事件集合,目标安全事件集合包括与目标主机相关的多个安全事件;
[0019]第一确定模块,用于根据目标安全事件集合中各安全事件的威胁等级以及在不同时段的发生频次确定目标主机的第一安全评估结果;
[0020]第二确定模块,用于在第一安全评估结果指示目标主机处于安全可疑状态的情况下,根据目标安全事件集合确定访问特征信息,并根据访问特征信息确定目标主机的第二安全评估结果,其中,访问特征信息用于表征目标主机的安全事件所涉及到的业务访问的特征;
[0021]第三确定模块,用于根据第二安全评估结果确定目标主机是否为高风险主机。
[0022]在其中一个实施例中,获取模块,具体用于获取初始安全事件集合,初始安全事件集合包括目标主机对应的多个安全事件;从初始安全事件集合中筛选重要程度大于预设阈值的安全事件,以得到目标安全事件集合。
[0023]在其中一个实施例中,获取模块,具体用于按照初始安全事件集合中各类型的安全事件的数量由大至小的顺序,对初始安全事件集合包括的安全事件类型进行排序;将排序前N个安全事件类型对应的安全事件作为重要程度大于预设阈值的安全事件,N为大于或等于1的正整数。
[0024]在其中一个实施例中,获取模块,具体用于若不同类型的安全事件的数量一致,则根据不同类型的安全事件对应的威胁等级确定排列顺序。
[0025]在其中一个实施例中,获取模块,具体用于若确定初始安全事件集合中的安全事件类型大于N,则执行按照初始安全事件集合中各类型的安全事件的数量由大至小的顺序,对初始安全事件集合包括的安全事件类型进行排序的步骤。
[0026]在其中一个实施例中,获取模块,还用于若确定初始安全事件集合中的安全事件类型小于等于N,则将初始安全事件集合作为目标安全事件集合。
[0027]在其中一个实施例中,第一安全评估结果包括第一安全评估值,不同时段的发生频次包括工作时段的第一发生频次以及非工作时段的第本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种风险评估方法,其特征在于,所述方法包括:获取待评估的目标主机对应的目标安全事件集合,所述目标安全事件集合包括与所述目标主机相关的多个安全事件;根据所述目标安全事件集合中各安全事件的威胁等级以及在不同时段的发生频次确定所述目标主机的第一安全评估结果;在所述第一安全评估结果指示所述目标主机处于安全可疑状态的情况下,根据所述目标安全事件集合确定访问特征信息,并根据所述访问特征信息确定所述目标主机的第二安全评估结果,其中,所述访问特征信息用于表征所述目标主机的安全事件所涉及到的业务访问的特征;根据所述第二安全评估结果确定所述目标主机是否为高风险主机。2.根据权利要求1所述的方法,其特征在于,所述获取待评估的目标主机对应的目标安全事件集合,包括:获取初始安全事件集合,所述初始安全事件集合包括所述目标主机对应的多个安全事件;从所述初始安全事件集合中筛选重要程度大于预设阈值的安全事件,以得到所述目标安全事件集合。3.根据权利要求2所述的方法,其特征在于,所述从所述初始安全事件集合中筛选重要程度大于预设阈值的安全事件,包括:按照所述初始安全事件集合中各类型的安全事件的数量由大至小的顺序,对所述初始安全事件集合包括的安全事件类型进行排序;将排序前N个安全事件类型对应的安全事件作为重要程度大于预设阈值的安全事件,N为大于或等于1的正整数。4.根据权利要求3所述的方法,其特征在于,所述按照所述初始安全事件集合中各类型的安全事件的数量由大至小的顺序,对所述初始安全事件集合包括的安全事件类型进行排序,包括:若不同类型的安全事件的数量一致,则根据所述不同类型的安全事件对应的威胁等级确定排列顺序。5.根据权利要求3所述的方法,其特征在于,所述按照所述初始安全事件集合中各类型的安全事件的数量由大至小的顺序,对所述初始安全事件集合包括的安全事件类型进行排序,包括:若确定所述初始安全事件集合中的安全事件类型大于N,则执行按照所述初始安全事件集合中各类型的安全事件的数量由大至小的顺序,对所述初始安全事件集合包括的安全事件类型进行排序的步骤。6.根据权利要求3所述的方法,其特征在于,所述方法还包括:若确定所述初始安全事件集合中的安全事件类型小于等于N,则将所述初始安全事件集合作为所述目标安全事件集合。7.根据权利要求1所述的方法,其特征在于,所述第一安全评估结果包括第一安全评估值,所述不同时段的发生频次包括工作时段的第一发生频次以及非工作时段的第二发生频次,所述根据所述目标安全事件集合中各安全事件的威胁等级以及在不同时段的发生频次
确定所述目标主机的第一安全评估结果,包括:对于各所述安全事件,根据所述安全事件的威胁等级、所述第一发生频次以及所述第二发生频次确定所述安全事件的安全评估子值;根据各所述安全事件的安全评估子值的平均值,得到所述第一安全评估值。8.根据权利要求7所述的方法,其特征在于,所述根据各所述安全事件的安全评估子值的平均值,得到所述第一安全评估值,包...
【专利技术属性】
技术研发人员:朱周平,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。