CN113364742A - 一种网络安全威胁定量弹性计算方法及装置 - Google Patents

一种网络安全威胁定量弹性计算方法及装置 Download PDF

Info

Publication number
CN113364742A
CN113364742A CN202110534914.6A CN202110534914A CN113364742A CN 113364742 A CN113364742 A CN 113364742A CN 202110534914 A CN202110534914 A CN 202110534914A CN 113364742 A CN113364742 A CN 113364742A
Authority
CN
China
Prior art keywords
numerical
threat
characteristic
type
feature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110534914.6A
Other languages
English (en)
Other versions
CN113364742B (zh
Inventor
张华�
李文敏
郭晶
严寒冰
朱天
吕志泉
任婧
傅茂喜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing University of Posts and Telecommunications
National Computer Network and Information Security Management Center
Original Assignee
Beijing University of Posts and Telecommunications
National Computer Network and Information Security Management Center
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing University of Posts and Telecommunications, National Computer Network and Information Security Management Center filed Critical Beijing University of Posts and Telecommunications
Priority to CN202110534914.6A priority Critical patent/CN113364742B/zh
Publication of CN113364742A publication Critical patent/CN113364742A/zh
Application granted granted Critical
Publication of CN113364742B publication Critical patent/CN113364742B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Algebra (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本说明书一个或多个实施例提供一种网络安全威胁定量弹性计算方法及装置,包括:从原始威胁数据中提取威胁特征;按照所述威胁特征的类型,将所述威胁特征划分为单数值型特征、非数值型特征和组合型特征;分别对所述单数值型特征、非数值型特征和组合型特征分配相应的权重值和重要性系数;根据所述单数值型特征、非数值型特征和组合型特征分别对应的权重值和重要性系数,确定所述威胁特征的威胁等级;根据所述威胁等级,输出预警信息。本实施例能够准确评估网络安全威胁程度并进行相应预警。

Description

一种网络安全威胁定量弹性计算方法及装置
技术领域
本说明书一个或多个实施例涉及信息安全技术领域,尤其涉及一种网络安全威胁定量弹性计算方法及装置。
背景技术
网络安全威胁对网络安全造成极大的损害,正确的评估网络安全威胁程度,能够为网络安全管理提供重要依据。目前,对网络安全威胁进行评估一般依靠专家知识和经验,自动化程度低,而且,网络安全威胁内容日益复杂多样,网络安全威胁数据种类繁多、数量庞大,如何根据大量数据准确评估威胁程度并进行相应的预警,是网络安全领域所需解决的关键问题。
发明内容
有鉴于此,本说明书一个或多个实施例的目的在于提出一种网络安全威胁定量弹性计算方法及装置,能够准确评估威胁程度并进行预警。
基于上述目的,本说明书一个或多个实施例提供了一种网络安全威胁定量弹性计算方法,包括:
从原始威胁数据中提取威胁特征;
按照所述威胁特征的类型,将所述威胁特征划分为单数值型特征、非数值型特征和组合型特征;
分别对所述单数值型特征、非数值型特征和组合型特征分配相应的权重值和重要性系数;
根据所述单数值型特征、非数值型特征和组合型特征分别对应的权重值和重要性系数,确定所述威胁特征的威胁等级;
根据所述威胁等级,输出预警信息。
可选的,对所述单数值型特征分配权重值,包括:
若所述单数值型特征的特征值大于等于预设的上限值,所述单数值型特征的权重值为1;
若所述单数值型特征的特征值小于等于预设的下限值,所述单数值型特征的权重值为0;
若所述单数值型特征的特征值小于所述上限值且大于所述下限值,根据所述特征值、所述上限值和所述下限值,确定所述单数值型特征的权重值。
可选的,对所述非数值型特征分配权重值,包括:
按照所述非数值型特征的量化等级,对所述非数值型特征进行量化处理,得到量化后的非数值型特征;
根据所述量化后的非数值型特征及所述量化等级,计算所述非数值型特征的权重值。
可选的,计算所述非数值型特征的权重值的方法是:
Figure BDA0003069427350000021
其中,nj为非数值型特征j的量化等级,Dj为量化后的非数值型特征j。
可选的,所述组合型特征包括多个单数值型特征或者多个非数值型特征;对所述组合型特征分配权重值,包括:
若所述组合型特征包含多个单数值型特征,分别为每个单数值型特征分配对应的权重值,从中选取出最大权重值作为所述组合型特征的权重值;
若所述组合型特征包含多个非数值型特征,分别为每个非数值型特征分配对应的权重值,从中选取出最大权重值作为所述组合型特征的权重值。
可选的,所述单数值型特征的特征值与所分配的权重值正相关;
所述量化后的非数值型特征与所分配的权重值负相关。
可选的,分别对所述单数值型特征、非数值型特征和组合型特征分配相应的重要性系数,包括:
根据专家经验,分别设置所述单数值型特征、非数值型特征和组合型特征的初始重要性系数;
根据所述威胁等级与预设的危害等级,调整所述初始重要性系数。
可选的,根据所述单数值型特征、非数值型特征和组合型特征分别对应的权重值和重要性系数,确定所述威胁特征的威胁等级,包括:
根据所述单数值型特征、非数值型特征和组合型特征分别对应的权重值和重要性系数,计算综合威胁评估数值;
根据所述综合威胁评估数值,确定所述威胁特征的威胁等级。
可选的,所述计算综合威胁评估数值,包括:
计算所述单数值型特征的权重值与重要性系数的第一乘积;
计算所述非数值型特征的权重值与重要性系数的第二乘积;
计算所述组合型特征的权重值与重要性系数的第三乘积;
计算所述第一乘积、第二乘积与第三乘积之和。
本说明书实施例还提供一种网络安全威胁定量弹性计算装置,包括:
特征提取模块,用于从原始威胁数据中提取威胁特征;
特征分类模块,用于按照所述威胁特征的类型,将所述威胁特征划分为单数值型特征、非数值型特征和组合型特征;
分配模块,用于分别对所述单数值型特征、非数值型特征和组合型特征分配相应的权重值和重要性系数;
等级确定模块,根据所述单数值型特征、非数值型特征和组合型特征分别对应的权重值和重要性系数,确定所述威胁特征的威胁等级;
预警模块,用于根据所述威胁等级,输出预警信息。
从上面所述可以看出,本说明书一个或多个实施例提供的网络安全威胁预警方法及装置,通过从原始威胁数据中提取威胁特征,按照威胁特征的类型,将威胁特征划分为单数值型特征、非数值型特征和组合型特征,分别对单数值型特征、非数值型特征和组合型特征分配相应的权重值和重要性系数,根据单数值型特征、非数值型特征和组合型特征分别对应的权重值和重要性系数,确定威胁特征的威胁等级,根据威胁等级,输出预警信息。本说明书能够准确评估网络安全威胁程度并输出相应预警信息。
附图说明
为了更清楚地说明本说明书一个或多个实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书一个或多个实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本说明书一个或多个实施例的方法流程示意图;
图2为本说明书另一个实施例的方法流程示意图;
图3为本说明书一个或多个实施例的装置结构框图;
图4为本说明书一个或多个实施例的电子设备结构框图。
具体实施方式
为使本公开的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本公开进一步详细说明。
需要说明的是,除非另外定义,本说明书一个或多个实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本说明书一个或多个实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系,当被描述对象的绝对位置改变后,则该相对位置关系也可能相应地改变。
如背景技术部分所述,现有的网络安全威胁评估主要依靠专家知识与经验,无法适用于日益复杂的网络环境。有些方法中,根据被攻击次数等原始威胁数据建立数据库,基于数据库建立评估模型,再根据攻击态势设定模型参数,但未结合原始威胁数据中的威胁特征进行分析,未能考虑不同威胁特征的威胁程度。
申请人在实现本公开的过程中发现,原始威胁数据中存在多种威胁特征,有些威胁特征对于网络安全威胁程度具有重要影响,通过从威胁特征进行分析与处理,能够准确评估网络安全威胁程度,通过相应的预警,能够合理有效的进行网络安全管理。
以下,通过具体的实施例进一步详细说明本公开的技术方案。
如图1、2所示,本说明书实施例提供一种网络安全威胁定量弹性计算方法,包括:
S101:从原始威胁数据中提取威胁特征;
本实施例中,首先从获取的原始威胁数据中提取出威胁特征。其中,原始威胁数据可从网络安全设备和/或网络安全防护软件中获取,可获取的原始威胁数据包括但不限于恶意域名数量、伪造IP来源、仿冒网站的服务范围、漏洞利用位置(利用漏洞进行攻击的攻击端的位置)、攻击流量、攻击持续时间、恶意代码标识、恶意代码首次活跃时间、恶意代码末次活跃时间、控制端IP地址数量、控制端(被攻击端控制的终端)平均活跃时间、被攻击的网络实体的域名服务范围、被攻击的网络实体的最大攻击流量等等。
一些实施例中,从原始威胁数据中提取出可用于网络安全威胁评估的威胁特征,包括:恶意域名数量、伪造IP来源、仿冒网站的服务范围、漏洞利用位置、攻击流量、攻击持续时间、控制端IP地址数量、控制端平均活跃时间、被攻击的网络实体的域名服务范围、被攻击的网络实体的最大攻击流量等,这些威胁特征可用于量化评估网络安全威胁程度。一些方式中,对于恶意代码标识、控制端标识、攻击端标识之类的特征属性,由于无法通过量化评估威胁程度,在特征提取及评估阶段暂不处理,可用于在确定威胁等级之后,进行数据统计分类、分析、展示等处理,具体不做限定。
S102:将威胁特征划分为单数值型特征、非数值型特征和组合型特征;
本实施例中,按照威胁特征的类型,将威胁特征划分为单一数值形式的单数值型特征、非数值形式的非数值型特征以及组合型特征,该组合型特征可以包含多个单数值型特征或者多个非数值型特征。
一些方式中,单数值型特征包括但不限于:恶意域名数量,攻击流量、攻击持续时间、控制端IP地址数量、控制端平均活跃时间等,这些特征均为单一数值形式的特征,能够以数值形式量化评估网络安全威胁程度。例如,恶意域名数量越大,威胁程度越高;攻击持续时间越长,威胁程度越高;攻击流量越大,威胁程度越高等。
一些方式中,非数值型特征包括但不限于:伪造IP来源、仿冒网站的服务范围、漏洞利用位置等,这些特征均为非数值型特征,能够以赋值形式量化评估网络安全威胁程度。例如,对于伪造IP来源,可以分为已知或者未知两种情况,因而,伪造IP来源的量化等级为2,若伪造IP来源为未知,可将该伪造IP来源量化为0,若伪造IP来源为已知,可将该伪造IP来源量化为1。对于仿冒网站的服务范围,可以分为全国、省、市、乡镇或未知五种情况,因而,仿冒网站的服务范围的量化等级为5,若仿冒网站的服务范围是全国,可将该仿冒网站的服务范围量化为1,若仿冒网站的服务范围是省,可将该仿冒网站的服务范围量化为2,若仿冒网站的服务范围是市,可将该仿冒网站的服务范围量化为3,若仿冒网站的服务范围是乡镇,可将该仿冒网站的服务范围量化为4,若仿冒网站的服务范围未知,可将该仿冒网站的服务范围量化为0。对于漏洞利用位置,可以分为远端、本地或未知三种情况,因而,漏洞利用位置的量化等级为3,若漏洞利用位置为远端,可将该漏洞利用位置量化为1,若漏洞利用位置为本地,可将该漏洞利用位置量化为2,若漏洞利用位置为未知,可将该漏洞利用位置量化为0。
一些方式中,组合型特征包括但不限于:被攻击的网络实体的域名服务范围、被攻击的网络实体的最大攻击流量等,这类特征包括多个单数值特征或者多个非数值型特征,通过对多个单数值型特征或多个非数值型特征进行量化评估网络安全威胁程度。例如,对于被攻击的网络实体的域名服务范围,被攻击的网络实体包含n个域名,每个域名具有对应的服务范围,各域名的服务范围均属于非数值型特征,根据域名的服务范围的量化等级(例如,可按照服务范围为全国、省、市、乡镇或未知五种情况,量化等级为5),对每个域名的服务范围进行量化,得到与n个域名相对应的n个量化数值,由这n个量化数值构成组合型特征。对于被攻击的网络实体的最大攻击流量,被攻击的网络实体包含m个域名,每个域名具有对应的最大攻击流量,各域名的最大攻击流量均属于单数值特征,由m个域名的最大攻击流量构成组合型特征。
S103:分别对单数值型特征、非数值型特征和组合型特征分配相应的权重值和重要性系数;
本实施例中,对于单数值型特征,特征值不同威胁程度不同,可根据取值分配相应的权重值和重要性系数;对于非数值型特征,量化值不同威胁程度不同,可根据量化后的非数值型特征分配相应的权重值和重要性系数;对于组合型特征,可根据所包含的单数值型特征或非数值型特征所对应的威胁程度,分配相应的权重值和重要性系数。这样,通过对威胁特征进行分析,综合考虑不同类型的特征对网络安全威胁所造成的威胁程度,分配相应的权重值和重要性系数,能够准确评估网络安全威胁程度。
S104:根据单数值型特征、非数值型特征和组合型特征分别对应的权重值和重要性系数,确定威胁特征的威胁等级;
S105:根据威胁等级,输出预警信息。
本实施例中,确定单数值型特征及其对应的权重值和重要性系数、非数值型特征及其对应的权重值和重要性系数、组合型特征及其对应的权重值和重要性系数之和,根据各类特征的权重值和重要性系数,计算威胁特征的威胁等级,并输出与威胁等级相对应的预警信息。
本实施例提供一种网络安全威胁定量弹性计算方法,包括从原始威胁数据中提取威胁特征,将威胁特征划分为单数值型特征、非数值型特征和组合型特征,分别对单数值型特征、非数值型特征和组合型特征分配相应的权重值和重要性系数,根据单数值型特征、非数值型特征和组合型特征分别对应的权重值和重要性系数,确定威胁特征的威胁等级,根据威胁等级,输出预警信息。本实施例的方法,可利用威胁等级评估威胁特征对网络安全的威胁程度,通过输出相应的预警信息,提示网络安全威胁程度,能够为网络安全管理提供依据。
一些实施例中,对单数值型特征分配权重值,包括:
若单数值型特征的特征值大于等于预设的上限值,单数值型特征的权重值为1;
若单数值型特征的特征值小于等于预设的下限值,单数值型特征的权重值为0;
若单数值型特征的特征值小于上限值且大于下限值,根据特征值、上限值和下限值,确定单数值型特征的权重值。
一些方式中,对于单数值型特征,分配权重值的方法可表示为:
Figure BDA0003069427350000071
其中,topi为单数值型特征i的上限值,taili为单数值型特征i的下限值,且topi>taili;Ii为单数值型特征i的特征值,当特征值大于等于上限值时,权重值取值为1,当特征值小于下限值时,权重值取值为0。可以理解的是,单数值型特征的特征值与权重值正相关,即单数值型特征的特征值越大,所取权重值越大,对网络安全威胁程度越大。
一些实施例中,对非数值型特征分配权重值,包括:
按照非数值型特征的量化等级,对非数值型特征进行量化处理,得到量化后的非数值型特征;
根据量化后的非数值型特征及量化等级,计算非数值型特征的权重值。
本实施例中,对于非数值型特征,先按照对应的量化等级进行量化处理,得到量化后的非数值型特征,再根据量化后的非数值型特征及量化等级,计算该非数值型特征的权重值。例如,对于伪造IP来源,其量化等级为2,若伪造IP来源为未知则量化值为0,若已知则量化值为1,再根据量化后的非数值型特征(0或1)以及量化等级(2)计算该非数值型特征的权重值。
一些方式中,计算非数值型特征的权重值的方法为:
Figure BDA0003069427350000081
其中,nj为非数值型特征j的量化等级,Dj为量化后的非数值型特征j。一些方式中,量化后的非数值型特征与权重值负相关,即量化后的非数值型特征Dj(Dj≠0)越小,权重值越大,例如,对于仿冒网站的服务范围,服务范围为全国,量化值Dj=1,仿冒网站的威胁程度最大,而服务范围为未知,量化值Dj=0,仿冒网站因无法判断其威胁程度,将其权重值设为0。
一些实施例中,对组合型特征分配权重值,包括:
若组合型特征包含多个单数值型特征,分别为每个单数值型特征分配对应的权重值,从中选取出最大权重值作为组合型特征的权重值;
若组合型特征包含多个非数值型特征,分别为每个非数值型特征分配权重值,从中选取出最大权重值作为组合型特征的权重值。
本实施例中,对于组合型特征,首先判断其是由多个单数值特征组成还是由多个非数值型特征组成。若由多个单数值特征组成,为每个单数值型特征分配对应的权重值,并将最大权重值作为组合型特征的权重值,若由多个非数值型特征组成,为每个非数值型特征分配对应的权重值,将最大权重值作为组合型特征的权重值。
一些方式中,计算组合型特征的权重值的方法为:
Mi=max(Warr|Larr) (3)
其中,Warr为所有非数值型特征的权重值构成的权重集合,Larr为所有单数值型特征的权重值构成的权重集合,Warr|Larr表示根据组合性特征包含的特征为非数值型特征或单数值型特征选择不同的权重分配方法。
一些实施例中,分别对单数值型特征、非数值型特征和组合型特征分配相应的重要性系数,包括:
根据专家经验,分别设置单数值型特征、非数值型特征和组合型特征的初始重要性系数;
根据威胁等级与预设的危害等级,调整初始重要性系数。
本实施例中,对于单数值型特征、非数值型特征和组合型特征的重要性系数,初始时,按照专家经验设置三种特征对应的初始重要性系数,按照初始重要性系数进行计算之后所得到的威胁等级,与根据实际的威胁危害程度所设定的危害等级进行对比,根据对比结果调整初始重要性系数,得到调整后的重要性系数,使得按照调整后的重要性系数所计算得到的威胁等级属于预设的危害等级,利用调整后的重要性系数准确评估各自特征对网络安全的威胁程度。
一些实施例中,根据单数值型特征、非数值型特征和组合型特征分别对应的权重值和重要性系数,确定威胁特征的威胁等级,包括:
根据单数值型特征、非数值型特征和组合型特征分别对应的权重值和重要性系数,计算综合威胁评估数值;
根据综合威胁评估数值,确定威胁特征的威胁等级。
本实施例中,在确定单数值型特征所对应的权重值和重要性系数、非数值型特征所对应的权重值和重要性系数、组合型特征所对应的权重值和重要性系数之和,综合各特征的权重值和重要性系数,计算用于综合评价网络安全威胁程度的综合威胁评估数值,根据得到的综合威胁评估数值,确定威胁特征的威胁等级。
一些方式中,若综合威胁评估数值大于预设的第一威胁程度阈值,则威胁等级为严重威胁,若综合威胁评估数值小于第一威胁程度阈值且大于第二威胁程度阈值,则威胁等级为中等威胁,若综合威胁评估数值小于第二威胁程度阈值,则威胁等级为轻度威胁。在此基础之上,对于不同的威胁等级,可输出相应级别的预警信息,例如,对于严重威胁输出一级预警信息,对于中等威胁输出二级预警信息,对于轻度威胁输出三级预警信息。以上仅为示例性说明,具体的威胁等级评定方法、预警方法不做具体限定,可根据实际应用场景和需要进行具体设置。
一些实施例中,计算综合威胁评估数值,包括:
计算单数值型特征的权重值与重要性系数的第一乘积;
计算非数值型特征的权重值与重要性系数的第二乘积;
计算组合型特征的权重值与重要性系数的第三乘积;
计算第一乘积、第二乘积与第三乘积之和。
本实施例中,综合计算每种特征的权重值与重要性系数的乘积再求和,从而得到综合威胁评估数值,计算公式为:
Figure BDA0003069427350000101
其中,N为威胁特征的总数,k为整数,Wk为非数值型特征的权重值,Lk为单数值型特征的权重值,Mk为组合型特征的权重值,weightk为非数值型特征或单数值型特征或组合型特征的重要性系数,“|”为或运算。
本实施例提供的网络安全威胁定量弹性计算方法,从原始网络威胁数据中提取威胁特征,按照威胁特征的类型,划分为单数值型特征、非数值型特征和组合型特征,各类特征均可通过量化方式评估威胁程度;对于每种特征,分别分配对应的权重值和重要性系数,用于确定各类特征的威胁等级;在特征提取、量化处理及分配权重值和重要性系数等处理过程中,均可根据原始威胁数据的数据量,得到相适应的威胁评估结果,由此,本实施例的方法,能够适应威胁特征的增减以及不同类型的威胁特征,实现网络安全威胁程度的弹性评估计算。
需要说明的是,本说明书一个或多个实施例的方法可以由单个设备执行,例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下,由多台设备相互配合来完成。在这种分布式场景的情况下,这多台设备中的一台设备可以只执行本说明书一个或多个实施例的方法中的某一个或多个步骤,这多台设备相互之间会进行交互以完成所述的方法。
需要说明的是,上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
如图3所示,本说明书实施例还提供一种网络安全威胁定量弹性计算装置,包括:
特征提取模块,用于从原始威胁数据中提取威胁特征;
特征分类模块,用于按照威胁特征的类型,将威胁特征划分为单数值型特征、非数值型特征和组合型特征;
分配模块,用于分别对单数值型特征、非数值型特征和组合型特征分配相应的权重值和重要性系数;
等级确定模块,根据单数值型特征、非数值型特征和组合型特征分别对应的权重值和重要性系数,确定威胁特征的威胁等级;
预警模块,用于根据威胁等级,输出预警信息。
为了描述的方便,描述以上装置时以功能分为各种模块分别描述。当然,在实施本说明书一个或多个实施例时可以把各模块的功能在同一个或多个软件和/或硬件中实现。
上述实施例的装置用于实现前述实施例中相应的方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
图4示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图,该设备可以包括:处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
处理器1010可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本说明书实施例所提供的技术方案。
存储器1020可以采用ROM(Read Only Memory,只读存储器)、RAM(Random AccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器1020中,并由处理器1010来调用执行。
输入/输出接口1030用于连接输入/输出模块,以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口1040用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。
总线1050包括一通路,在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本说明书实施例方案所必需的组件,而不必包含图中所示的全部组件。
上述实施例的电子设备用于实现前述实施例中相应的方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
本实施例的计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本公开的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本说明书一个或多个实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本说明书一个或多个实施例难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本说明书一个或多个实施例难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本说明书一个或多个实施例的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本公开的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本说明书一个或多个实施例。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本公开的具体实施例对本公开进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本说明书一个或多个实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本说明书一个或多个实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本公开的保护范围之内。

Claims (10)

1.一种网络安全威胁定量弹性计算方法,其特征在于,包括:
从原始威胁数据中提取威胁特征;
按照所述威胁特征的类型,将所述威胁特征划分为单数值型特征、非数值型特征和组合型特征;
分别对所述单数值型特征、非数值型特征和组合型特征分配相应的权重值和重要性系数;
根据所述单数值型特征、非数值型特征和组合型特征分别对应的权重值和重要性系数,确定所述威胁特征的威胁等级;
根据所述威胁等级,输出预警信息。
2.根据权利要求1所述的方法,其特征在于,对所述单数值型特征分配权重值,包括:
若所述单数值型特征的特征值大于等于预设的上限值,所述单数值型特征的权重值为1;
若所述单数值型特征的特征值小于等于预设的下限值,所述单数值型特征的权重值为0;
若所述单数值型特征的特征值小于所述上限值且大于所述下限值,根据所述特征值、所述上限值和所述下限值,确定所述单数值型特征的权重值。
3.根据权利要求1所述的方法,其特征在于,对所述非数值型特征分配权重值,包括:
按照所述非数值型特征的量化等级,对所述非数值型特征进行量化处理,得到量化后的非数值型特征;
根据所述量化后的非数值型特征及所述量化等级,计算所述非数值型特征的权重值。
4.根据权利要求3所述的方法,其特征在于,计算所述非数值型特征的权重值的方法是:
Figure FDA0003069427340000021
其中,nj为非数值型特征j的量化等级,Dj为量化后的非数值型特征j。
5.根据权利要求1所述的方法,其特征在于,所述组合型特征包括多个单数值型特征或者多个非数值型特征;对所述组合型特征分配权重值,包括:
若所述组合型特征包含多个单数值型特征,分别为每个单数值型特征分配对应的权重值,从中选取出最大权重值作为所述组合型特征的权重值;
若所述组合型特征包含多个非数值型特征,分别为每个非数值型特征分配对应的权重值,从中选取出最大权重值作为所述组合型特征的权重值。
6.根据权利要求3所述的方法,其特征在于,
所述单数值型特征的特征值与所分配的权重值正相关;
所述量化后的非数值型特征与所分配的权重值负相关。
7.根据权利要求1所述的方法,其特征在于,分别对所述单数值型特征、非数值型特征和组合型特征分配相应的重要性系数,包括:
根据专家经验,分别设置所述单数值型特征、非数值型特征和组合型特征的初始重要性系数;
根据所述威胁等级与预设的危害等级,调整所述初始重要性系数。
8.根据权利要求1所述的方法,其特征在于,根据所述单数值型特征、非数值型特征和组合型特征分别对应的权重值和重要性系数,确定所述威胁特征的威胁等级,包括:
根据所述单数值型特征、非数值型特征和组合型特征分别对应的权重值和重要性系数,计算综合威胁评估数值;
根据所述综合威胁评估数值,确定所述威胁特征的威胁等级。
9.根据权利要求8所述的方法,其特征在于,所述计算综合威胁评估数值,包括:
计算所述单数值型特征的权重值与重要性系数的第一乘积;
计算所述非数值型特征的权重值与重要性系数的第二乘积;
计算所述组合型特征的权重值与重要性系数的第三乘积;
计算所述第一乘积、第二乘积与第三乘积之和。
10.一种网络安全威胁定量弹性计算装置,其特征在于,包括:
特征提取模块,用于从原始威胁数据中提取威胁特征;
特征分类模块,用于按照所述威胁特征的类型,将所述威胁特征划分为单数值型特征、非数值型特征和组合型特征;
分配模块,用于分别对所述单数值型特征、非数值型特征和组合型特征分配相应的权重值和重要性系数;
等级确定模块,根据所述单数值型特征、非数值型特征和组合型特征分别对应的权重值和重要性系数,确定所述威胁特征的威胁等级;
预警模块,用于根据所述威胁等级,输出预警信息。
CN202110534914.6A 2021-05-17 2021-05-17 一种网络安全威胁定量弹性计算方法及装置 Active CN113364742B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110534914.6A CN113364742B (zh) 2021-05-17 2021-05-17 一种网络安全威胁定量弹性计算方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110534914.6A CN113364742B (zh) 2021-05-17 2021-05-17 一种网络安全威胁定量弹性计算方法及装置

Publications (2)

Publication Number Publication Date
CN113364742A true CN113364742A (zh) 2021-09-07
CN113364742B CN113364742B (zh) 2022-10-11

Family

ID=77526749

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110534914.6A Active CN113364742B (zh) 2021-05-17 2021-05-17 一种网络安全威胁定量弹性计算方法及装置

Country Status (1)

Country Link
CN (1) CN113364742B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105072119A (zh) * 2015-08-14 2015-11-18 中国传媒大学 基于域名解析会话模式分析的恶意域名检测方法及装置
CN108076060A (zh) * 2017-12-18 2018-05-25 西安邮电大学 基于动态k-means聚类的神经网络态势预测方法
CN108234419A (zh) * 2016-12-21 2018-06-29 江苏神州信源系统工程有限公司 一种基于大数据的网络攻击监测方法和装置
US10122748B1 (en) * 2015-08-21 2018-11-06 InsCyt, LLC Network protection system and threat correlation engine
CN109302396A (zh) * 2018-10-10 2019-02-01 西安邮电大学 一种基于风险评估的网络安全态势感知方法
CN109873811A (zh) * 2019-01-16 2019-06-11 光通天下网络科技股份有限公司 基于攻击ip画像的网络安全防护方法及其网络安全防护系统
CN112738107A (zh) * 2020-12-30 2021-04-30 恒安嘉新(北京)科技股份公司 一种网络安全的评价方法、装置、设备及存储介质

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105072119A (zh) * 2015-08-14 2015-11-18 中国传媒大学 基于域名解析会话模式分析的恶意域名检测方法及装置
US10122748B1 (en) * 2015-08-21 2018-11-06 InsCyt, LLC Network protection system and threat correlation engine
CN108234419A (zh) * 2016-12-21 2018-06-29 江苏神州信源系统工程有限公司 一种基于大数据的网络攻击监测方法和装置
CN108076060A (zh) * 2017-12-18 2018-05-25 西安邮电大学 基于动态k-means聚类的神经网络态势预测方法
CN109302396A (zh) * 2018-10-10 2019-02-01 西安邮电大学 一种基于风险评估的网络安全态势感知方法
CN109873811A (zh) * 2019-01-16 2019-06-11 光通天下网络科技股份有限公司 基于攻击ip画像的网络安全防护方法及其网络安全防护系统
CN112738107A (zh) * 2020-12-30 2021-04-30 恒安嘉新(北京)科技股份公司 一种网络安全的评价方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN113364742B (zh) 2022-10-11

Similar Documents

Publication Publication Date Title
US10547618B2 (en) Method and apparatus for setting access privilege, server and storage medium
CN109543373B (zh) 一种基于用户行为的信息识别方法及装置
CN107305611B (zh) 恶意账号对应的模型建立方法和装置、恶意账号识别的方法和装置
CN110474903B (zh) 可信数据获取方法、装置及区块链节点
CN103259778A (zh) 安全监视系统以及安全监视方法
CN112132676B (zh) 联合训练目标模型的贡献度的确定方法、装置和终端设备
CN112702342B (zh) 网络事件处理方法、装置、电子设备及可读存储介质
CN111698303A (zh) 数据处理方法、装置、电子设备及存储介质
Wang et al. A posterior evaluation algorithm of steganalysis accuracy inspired by residual co-occurrence probability
CN110995681A (zh) 用户识别方法、装置、电子设备及存储介质
CN109684837A (zh) 一种面向电力企业的移动应用恶意软件检测方法及系统
CN113364742B (zh) 一种网络安全威胁定量弹性计算方法及装置
CN111062490B (zh) 一种包含隐私数据的网络数据的处理、识别方法及装置
CN112491816A (zh) 业务数据处理方法及装置
CN112307477A (zh) 代码检测方法、装置、存储介质以及终端
CN112487021A (zh) 业务数据的关联分析方法、装置及设备
CN111460448A (zh) 一种恶意软件家族检测方法及装置
WO2016127858A1 (zh) 网页入侵脚本特征的识别方法及设备
CN116070382A (zh) 网络的风险预测方法及装置、处理器和电子设备
CN115314239A (zh) 基于多模型融合的隐匿恶意行为的分析方法和相关设备
CN111078877B (zh) 数据处理、文本分类模型的训练、文本分类方法和装置
CN112307475A (zh) 一种系统检测方法及装置
CN112861014A (zh) 功能的推荐方法、装置、电子设备及计算机可读存储介质
CN112085369A (zh) 规则模型的安全性检测方法、装置、设备及系统
CN114070581B (zh) 域名系统隐藏信道的检测方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant