CN113709097A - 网络风险感知方法及防御方法 - Google Patents

Abstract

本说明书实施例提供一种网络风险感知方法及防御方法；所述网络风险感知方法包括：对IDS收集的告警数据进行聚合，得到精简告警集；对精简告警集进行关联分析，得到已完成攻击链；将已完成攻击链与匹配攻击模式知识库中的完整攻击链进行匹配，计算已完成攻击链的威胁度；对主机进行漏洞扫描，查询主机的CVSS漏洞评分；对所述主机进行开放端口扫描，计算开放端口攻击利用率；所述网络风险防御方法包括：根据CVSS漏洞评分，结合已完成攻击链的威胁度与开放端口攻击利用率，对所述主机进行防御。本说明书提供的方法，将多维数据进行融合来进行威胁感知，并结合上述评分结果进行状态评估，确保了防御实施的准确性，并且可实现自动完成防御，无需人工决策。

Description

网络风险感知方法及防御方法

技术领域

本说明书一个或多个实施例涉及网络安全技术领域，尤其涉及一种网络风险感知方法及防御方法。

背景技术

近年来，互联网安全面临严峻挑战，网络威胁愈演愈烈。网络威胁是指可以破坏网络系统环境安全的目标或事件，威胁是潜在的攻击。网络威胁涵盖范围相当广阔，包括但不限于恶意软件、网页攻击、网络应用程序攻击、网络钓鱼、拒绝服务、垃圾邮件、僵尸网络、数据泄露、内部威胁、信息泄露、身份盗用、网络间谍等。

传统的网络防御技术是一种静态的、被动的防御技术，通常在遭受损害后进行恢复和溯源，具有一定的被动性和滞后性。为了改变防守方的被动性，网络威胁感知技术应运而生。

网络威胁感知是一种通过单一维度，或者多维度安全信息关联融合识别威胁事件意图的方法；目前的网络威胁感知方法难以有效利用多种设备产生的安全情报信息，且感知结果无法对自主防御进行有效建议。

基于此，需要一种能够通过多种安全信息进行网络威胁感知并采取自动化防御的主动防御方案。

发明内容

有鉴于此，本说明书一个或多个实施例的目的在于提出一种网络风险感知方法及防御方法，以克服现有技术中的不足。

基于上述目的，本说明书一个或多个实施例提供了一种网络风险感知方法，包括：

根据对告警消息预设的相似度计算方法，对入侵检测系统收集的告警数据进行聚合，得到精简告警集；

对精简告警集进行关联分析，得到已完成攻击链；

将已完成攻击链与预先储备的完整攻击链进行匹配，并利用预设的威胁度算法计算已完成攻击链的威胁度；

对主机进行漏洞扫描，以查询主机的CVSS漏洞评分，并对主机进行开放端口扫描，以计算开放端口攻击利用率；

利用预设的评估办法，对威胁度、CVSS漏洞评分和开放端口攻击利用率分别进行评估，并将评估结果作为网络风险的指标，以得到对网络风险的感知。

基于同一发明构思，本说明书一个或多个实施例还提供了一种网络风险防御方法，包括：

根据权利要求1的网络风险感知方法所感知的指标：威胁度、CVSS漏洞评分和开放端口攻击利用率；

响应于确定CVSS漏洞评分为较高，执行固定周期的IP地址跳变；

响应于确定漏洞评分为较低，并且已完成攻击链的威胁度与该主机的开放端口攻击利用率为低攻击威胁，不执行防御措施；

响应于确定CVSS漏洞评分为较低，并且已完成攻击链的威胁度与该主机的开放端口攻击利用率为高攻击威胁，执行以下操作：

响应于确定已完成攻击链和其后续攻击链中的任意一步攻击与该主机的操作系统能够匹配，启动一个等价异构体进行替换；其中，后续攻击链为已完成攻击链根据匹配的完整攻击链所预测的后续攻击链；

响应于确定该主机存在后续攻击链能够利用的漏洞，对该主机进行IP地址跳变；以及

响应于确定该主机存在后续攻击链能够利用的开放端口及服务，更改服务端口。

基于同一发明构思，本说明书一个或多个实施例还提供了一种网络风险感知及防御装置，包括：

告警聚合模块301，被配置为根据对告警消息预设的相似度计算方法，对入侵检测系统收集的告警数据进行聚合，得到精简告警集；

关联分析模块302，被配置为对所述精简告警集进行关联分析，得到已完成攻击链；

攻击链匹配模块303，被配置为将所述已完成攻击链与预先储备的完整攻击链进行匹配，并利用预设的威胁度算法计算所述已完成攻击链的威胁度；

扫描模块304，被配置为对主机进行漏洞扫描，以查询所述主机的CVSS漏洞评分；并对所述主机进行开放端口扫描，以计算开放端口攻击利用率；

风险评估感知模块305，被配置为：利用预设的评估办法，对所述威胁度、所述漏洞评分和所述开放端口攻击利用率分别进行评估，并将评估结果作为网络风险的指标，以得到对所述网络风险的感知。

防御决策部署模块306，被配置为根据所述CVSS漏洞评分，结合所述已完成攻击链的威胁度与所述开放端口攻击利用率，对所述主机进行主动防御。

从上面所述可以看出，本说明书一个或多个实施例提供的适用于主动防御的网络威胁感知方法及电子设备，利用关联分析技术进行已完成攻击链的构建，通过与攻击模式知识库匹配来预测后续攻击的发展方向，同时结合CVSS漏洞评分、已完成攻击链的威胁度、开放端口攻击利用率，进行防御的决策与部署，确保了防御实施的准确性，并且可自动进行防御的决策部署，无需依赖于网络管理员的经验来进行最终的决策。

附图说明

为了更清楚地说明本说明书一个或多个实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本说明书一个或多个实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本说明书一个或多个实施例的网络风险感知方法构思示意图；

图2为本说明书一个或多个实施例的网络风险感知方法流程图；

图3为本说明书一个或多个实施例的网络风险防御方法流程图；

图4为本说明书一个或多个实施例的网络风险感知及防御装置示意图。

具体实施方式

为使本公开的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本公开进一步详细说明。

需要说明的是，除非另外定义，本说明书一个或多个实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本说明书一个或多个实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同，而不排除其他元件或者物件。

如背景技术部分所述，针对当前防御技术的被动性和滞后性，许多研究者对能够自主感知威胁并进行主动防御的技术展开了研究，但未能达到较好的效果。

申请人在实现本公开的过程中发现，现有的针对于威胁感知系统的研究，缺乏后续的自动防御决策能力，需要依赖于网络管理员的经验来进行最终的决策。而现有的基于威胁感知的主动防御技术研究中，一部分研究面向网络攻击的起始阶段——网络扫描，以网络扫描的不同策略作为威胁的评估。然而，网络扫描是进行网络管理的重要手段，以其作为威胁评估并进行防御，难免给正常的网络分析及管理带来影响，且以扫描策略作为威胁评估过于单一且笼统。另一部分研究面向特定的威胁场景进行攻防博弈模型的构建，从而着重进行防御策略的选取。然而，攻防博弈模型仅对特定的威胁场景具有较好效果，针对性过强，难以依靠现有安全体系构建，且对从网络及网络行为中提取威胁信息并进行威胁感知方面有所欠缺。

有鉴于此，本说明书一个或多个实施例提供了一种网络风险感知方法，具体的，参考图1，为本公开网络风险感知方法构思示意图。首先，对网络节点进行威胁性评估，包括：利用IDS(入侵检测系统)收集告警数据，并将告警数据进行聚合得到精简告警集；利用关联分析技术对精简告警集进一步分析处理，并构建当前阶段攻击链；将当前阶段攻击链与匹配攻击模式知识库中的完整攻击链进行匹配，得到当前阶段攻击链属于哪个完整攻击链来进行后续攻击的发展预测，并计算当前阶段攻击链的威胁度。其次，对网络节点进行脆弱性评估，包括：采用漏洞扫描工具对主机进行漏洞扫描，查询CVSS漏洞评分；采用端口扫描工具对主机进行开放端口扫描，计算开放端口攻击利用率。进一步的，结合网络节点的威胁性评估结果和脆弱性评估结果，作为网络节点的威胁状态评估结果。进一步的，基于网络风险感知方法得到的威胁状态评估结果对网络节点进行防御策略的部署：当CVSS漏洞评分大于等于第一阈值时采用固定周期的IP地址跳变；当CVSS漏洞评分小于等于第二阈值时结合当前阶段攻击链的威胁度与开放端口攻击利用率，对不同情况采取不同防御措施。

可见，本说明书一个或多个实施例的网络风险感知方法及防御方法，将多维数据进行融合进行威胁状态评估，确保了防御实施的准确性，并且可自动进行防御的决策部署，无需依赖于网络管理员的经验来进行针对网络风险的决策。

以下，通过具体的实施例进一步详细说明本公开的技术方案。

参考图2，本说明书一个实施例的网络风险感知方法，包括以下步骤：

步骤S101、根据对告警消息预设的相似度计算方法，对入侵检测系统收集的告警数据进行聚合，得到精简告警集。

具体的，首先，利用入侵检测系统(IDS)收集告警数据，并将告警数据存放至告警数据库中。其中，IDS是一种依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果的网络安全设备，它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。

进一步的，从所述告警数据库中，提取每一条告警数据的相应字段，包括：每一条告警数据的标识号(id)、时间戳(timestamp)、告警消息(msg)、目地IP(dstIP)、网络协议(proto)；由此构建每一条告警数据的元组：a_i＝[id，timestamp，msg，dstIP，proto]，1≤i≤n，得到若干条告警数据的元组；再将若干条告警数据的元组根据其元组内的时间戳，按照时间的先后进行排列，组成原始告警集合：RA＝{a₁,a₂,a₃,…,a_n}。

进一步的，根据时间戳，将原始告警集合以固定的时间窗口进行划分；对每个时间窗口内的符合以下聚合条件的元组进行告警聚合：a_i[dstIP]＝＝a_j[dstIP]&&a_i[proto]＝＝a_j[proto]&&sim(a_i[msg],a_j[msg])＜δ，其中，a_i、a_j∈RA、“＝＝”代表“相同”、“&&”代表“且”，即：元组a_i与a_j的目地IP相同且网络协议相同且告警消息的相似度小于δ(此处，不对δ的大小作具体限定，根据具体情况而定)，由此得到聚合后的精简告警集，记作HA。其中，元组a_i与a_j的告警消息的相似度计算方法为：对元组a_i与a_j的告警消息进行文本相似度计算(例如利用余弦相似度计算方法)，得到相似度s_t；提取元组a_i与a_j的告警消息中涉及网络协议的词语；对所述涉及网络协议的词语进行文本相似度计算，得到相似度s_p；根据相似度公式：sim＝12(s_p+s_t)，得到整体告警信息相似度值。

本步骤中的告警聚合是用于对大量原始告警信息进行数据处理，降低漏报、误报，实现告警精简的方法，可以有效解决IDS在实际应用中存在大量重复告警和高误报率的不足，并为告警关联提供告警数据支撑。

步骤S102、对所述精简告警集进行关联分析，得到已完成攻击链。

告警关联分析通过对告警聚合结果进一步分析处理，目的是挖掘攻击意图，重建攻击场景。告警关联一般需要先验知识的支持，通常分为对先验知识依赖性较强的建模方法研究：例如基于Petri建模的关联方法和基于隐马尔可夫模型(HMM)的关联方法，和对先验知识依赖性较弱的关联分析算法研究：例如Apriori、FP-growth算法等。

具体的，首先，设定一个长度为ω的滑动窗口从所述精简告警集HA中进行事务提取，得到事务集。

进一步的，利用关联分析算法计算事务集中的若干个频繁二项集的支持度，删除支持度较低的频繁二项集。

进一步的，扫描剩余的频繁二项集，对于任意两个频繁二项集，若一个频繁二项集的首项与另一个频繁二项集的尾项相同，则将其连接成为攻击链，由此得到攻击链集合AC。例如：剩余的频繁二项集有：(a，b)、(b，c)、(c，d)、(c，e)、(f，g)，则得到的攻击链集合为：{(a，b)(b，c)(c，d)，(a，b)(b，c)(c，e)}；

进一步的，计算攻击链集合AC中的每一条攻击链的置信度，每一条攻击链的置信度计算方法为：利用关联分析算法计算该攻击链中每一个频繁二项集的置信度；将所述攻击链中每一个频繁二项集的置信度相乘，得到该攻击链的置信度。

进一步的，选择置信度最高的一条攻击链作为已完成攻击链，所述已完成攻击链也为当前阶段攻击链。

步骤S103、将所述已完成攻击链与预先储备的完整攻击链进行匹配，并利用预设的威胁度算法计算所述已完成攻击链的威胁度。

具体的，将已完成攻击链与攻击模式知识库中的完整攻击链进行匹配，得到与已完成攻击链匹配的完整攻击链；然后，利用如下的威胁度算法计算已完成攻击链的威胁度：

本步骤中，可根据与已完成攻击链匹配的完整攻击链来预测所述已完成攻击链的后续攻击发展，将已完成攻击链的威胁度及后续攻击发展作为威胁性评估指标。

步骤S104、对主机进行漏洞扫描，以查询所述主机的CVSS漏洞评分，并对所述主机进行开放端口扫描，以计算开放端口攻击利用率。

具体的，对于处于威胁环境(威胁环境也可以理解为任意环境，因为任意环境中都可能存在网络威胁)中的每一台主机，采用漏洞扫描工具对该主机进行漏洞扫描，记录该主机存在的所有漏洞的信息；通过漏洞信息中漏洞的CVE编号查询(可在NVD国家漏洞库中查询)所有漏洞的CVSS漏洞评分，对所有漏洞的CVSS漏洞评分求平均值获得该主机的CVSS漏洞评分，将所述CVSS漏洞评分作为一项脆弱性评估指标。

在本公开的实施例中，对于处于威胁环境中的每一台主机，采用端口扫描工具对该主机进行开放端口扫描，记录该主机开放端口信息，并记录该主机的开放端口数量n_opn；以及，将该主机的所有开放端口组成开放端口集合P_opn。

进一步的，扫描告警数据库，在所有告警数据中，将该主机对应的告警端口组成被攻击端口集合P_att。

进一步的，计算开放端口集合与被攻击端口集合的交集：P_opn∩P_att，用以得到被攻击开放端口集合,并将该攻击开放端口集合中的端口作为被攻击开放端口，将其数量记为n_ato。

进一步的，利用如下预设的开放端口攻击利用率算法，计算该主机的开放端口攻击利用率：

在本公开的实施例中，可以将开放端口攻击利用率作为另一项脆弱性评估指标。

步骤S105、利用预设的评估办法，对所述威胁度、所述CVSS漏洞评分和所述开放端口攻击利用率分别进行评估，并将评估结果作为网络风险的指标，以得到对所述网络风险的感知。

在本公开的实施例中，在对网络风险进行感知时，将上述获得的CVSS漏洞评分，威胁度和开放端口攻击利用率的结果作为感知指标进行评估。

具体的，对于CVSS漏洞评分一般在0-10.0分之间，进一步的，可以将7.0-10.0分设为评分较高，将0.1-3.9分设为评分较低，进一步的，可以将7.0分预设为第一阈值，可以将3.9分预设为第二阈值。

进一步的，将CVSS漏洞评分大于等于第一阈值，评估为较高；将CVSS漏洞评分小于等于第二阈值，评估为较低。

进一步的，将威胁度和开放端口攻击利用率在一定时间内的均持续增长，评估为高攻击威胁；若威胁度和开放端口攻击利用率在一定时间内的不持续增长，则评估为低攻击威胁。

基于同一发明构思，与上述风险感知方法的实施例相对应的，本说明书一个或多个实施例还提供了一种网络风险防御方法。

参考图3，本实施例中的网络风险防御方法，包括以下步骤：

步骤S201、基于每一台主机的CVSS漏洞评分的高低；对于CVSS漏洞评分为较高的每一台主机，进入步骤S202；对于CVSS漏洞评分为较低的每一台主机，进入步骤S203。

步骤S202、，对该主机进行固定周期的IP地址跳变，并进入步骤S211。

步骤S203、基于已完成攻击链的威胁度和该主机的开放端口攻击利用率的评估结果；若评估为高攻击威胁，则进入步骤S204；若评估为低攻击威胁，则进入步骤S210。

步骤S204、判断所述已完成攻击链和其后续攻击链中的任意一步攻击与该主机的操作系统(OS)是否能够匹配；若是，则进入步骤S205；若否，则进入步骤S206；其中，所述后续攻击链为所述已完成攻击链根据匹配的完整攻击链所预测的后续攻击链，例如：匹配的完整攻击链有6步攻击，已完成攻击链进行了4步攻击，那么剩下2步攻击就是后续攻击链所要进行的攻击。

步骤S205、启动一个等价异构体进行替换，并进入步骤S211。

本步骤中，若攻击与主机的OS匹配了，就说明这个攻击有可能会对此OS中运行的程序生效，所以需要启动一个等价异构体(例如：可实现功能相同的不同程序)来进行防御。

步骤S206、判断该主机是否存在后续攻击链中的任意一步攻击能够利用的漏洞，即判断主机存在的漏洞对后续攻击链中的一步或多步攻击是否敏感；若是，则进入步骤S207；若否，则进入步骤S208。

步骤S207、对该主机进行IP地址跳变(此处的IP地址跳变是即时的，不是固定周期的)，并进入步骤S211。

步骤S208、判断该主机是否存在后续攻击链中的任意一步攻击能够利用的开放端口及服务；若是，则进入步骤S209；若否，则进入步骤S210。

步骤S209、更改该主机的服务端口。

步骤S210、进入静默状态，不执行防御措施。

步骤S211、开始下一轮监测。

可见，本说明书实施例提供的网络风险感知方法及防御方法，结合威胁感知技术的技术的思想，首先进行威胁性评估：利用关联分析技术进行当前阶段已完成攻击链的构建并计算威胁度；通过与攻击模式知识库匹配来预测后续攻击的发展方向；其次进行脆弱性评估：对主机漏洞及开放端口进行扫描；然后结合威胁性评估结果与脆弱性评估结果作为威胁状态评估结果，根据威胁状态评估结果对是否进行防御进行决策；最后，结合后续攻击的发展方向以及主机存在后续攻击可利用的漏洞、开放端口等脆弱性信息进行防御的部署。将多维数据进行融合来进行威胁状态评估，确保了防御实施的准确性，提高了安全防御能力；并且可自动进行防御的决策部署，无需依赖于网络管理员的经验来进行最终的决策。

可以理解，该方法可以通过任何具有计算、处理能力的装置、设备、平台、设备集群来执行。

需要说明的是，本说明书一个或多个实施例的方法可以由单个设备执行，例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下，由多台设备相互配合来完成。在这种分布式场景的情况下，这多台设备中的一台设备可以只执行本说明书一个或多个实施例的方法中的某一个或多个步骤，这多台设备相互之间会进行交互以完成所述的方法。

需要说明的是，上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

基于同一发明构思，与上述任意实施例方法相对应的，本说明书一个或多个实施例还提供了一种网络风险感知及防御装置。参考图4，所述的网络风险感知及防御装置，包括：

告警聚合模块301，被配置为根据对告警消息预设的相似度计算方法，对入侵检测系统收集的告警数据进行聚合，得到精简告警集；

关联分析模块302，被配置为对所述精简告警集进行关联分析，得到已完成攻击链；

攻击链匹配模块303，被配置为将所述已完成攻击链与预先储备的完整攻击链进行匹配，并利用预设的威胁度算法计算所述已完成攻击链的威胁度；

扫描模块304，被配置为对主机进行漏洞扫描，以查询所述主机的CVSS漏洞评分；并对所述主机进行开放端口扫描，以计算开放端口攻击利用率；

风险评估感知模块305，被配置为：利用预设的评估办法，对所述威胁度、所述漏洞评分和所述开放端口攻击利用率分别进行评估，并将评估结果作为网络风险的指标，以得到对所述网络风险的感知。

防御决策部署模块306，被配置为根据所述CVSS漏洞评分，结合所述已完成攻击链的威胁度与所述开放端口攻击利用率，对所述主机进行主动防御。

作为一个可选的实施例，所述防御决策部署模块306，具体被配置为对于CVSS漏洞评分大于等于第一阈值的每一台主机，进行固定周期的IP地址跳变；对于CVSS漏洞评分小于等于第二阈值的每一台主机，同时所述已完成攻击链的威胁度与该主机的开放端口攻击利用率持续上升时，进行以下操作：若所述已完成攻击链和其后续攻击链中的任意一步攻击与该主机的操作系统能够匹配，则启动一个等价异构体进行替换；其中，所述后续攻击链为所述已完成攻击链根据匹配的完整攻击链所预测的后续攻击链；若该主机存在后续攻击链能够利用的漏洞，则对该主机进行IP地址跳变；若该主机存在后续攻击链能够利用的开放端口及服务，则更改服务端口。

为了描述的方便，描述以上装置时以功能分为各种模块分别描述。当然，在实施本说明书一个或多个实施例时可以把各模块的功能在同一个或多个软件和/或硬件中实现。

上述实施例的装置用于实现前述实施例中相应的方法，并且具有相应的方法实施例的有益效果，在此不再赘述。

所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本公开的范围(包括权利要求)被限于这些例子；在本公开的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，步骤可以以任意顺序实现，并存在如上所述的本说明书一个或多个实施例的不同方面的许多其它变化，为了简明它们没有在细节中提供。

另外，为简化说明和讨论，并且为了不会使本说明书一个或多个实施例难以理解，在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外，可以以框图的形式示出装置，以便避免使本说明书一个或多个实施例难以理解，并且这也考虑了以下事实，即关于这些框图装置的实施方式的细节是高度取决于将要实施本说明书一个或多个实施例的平台的(即，这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如，电路)以描述本公开的示例性实施例的情况下，对本领域技术人员来说显而易见的是，可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本说明书一个或多个实施例。因此，这些描述应被认为是说明性的而不是限制性的。

尽管已经结合了本公开的具体实施例对本公开进行了描述，但是根据前面的描述，这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如，其它存储器架构(例如，动态RAM(DRAM))可以使用所讨论的实施例。

本说明书一个或多个实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此，凡在本说明书一个或多个实施例的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本公开的保护范围之内。

Claims (10)

1.一种网络风险感知方法，其特征在于，包括：

根据对告警消息预设的相似度计算方法，对入侵检测系统收集的告警数据进行聚合，得到精简告警集；

对所述精简告警集进行关联分析，得到已完成攻击链；

将所述已完成攻击链与预先储备的完整攻击链进行匹配，并利用预设的威胁度算法计算所述已完成攻击链的威胁度；

对主机进行漏洞扫描，以查询所述主机的CVSS漏洞评分，并对所述主机进行开放端口扫描，以计算开放端口攻击利用率；

利用预设的评估办法，对所述威胁度、所述CVSS漏洞评分和所述开放端口攻击利用率分别进行评估，并将评估结果作为网络风险的指标，以得到对所述网络风险的感知。

2.根据权利要求1所述的方法，其特征在于，所述对入侵检测系统收集的告警数据进行聚合，得到精简告警集，具体包括：

对所述入侵检测系统收集到的多条告警数据中的每一条，提取其中的相应字段，包括：标识号、时间戳、告警消息、目地IP和网络协议；并利用所述字段，构建所述告警数据的元组：a_i＝[id，timestamp，msg，dstIP，proto]，1≤i≤n，其中，id为标识号、timestamp为时间戳、msg为告警消息、dstIP为目地IP、proto为网络协议；

将多条所述告警数据的元组根据其时间戳，按照时间的先后进行排列，组成原始告警集合：RA＝{a₁，a₂，a₃，…，a_n}，再将所述原始告警集合以固定的时间窗口进行划分；

对每个时间窗口内的符合聚合条件的所述元组进行聚合，得到所述精简告警集。

3.根据权利要求2所述的方法，其特征在于，所述聚合条件为：元组a_i与a_j的目地IP相同且网络协议相同且所述告警消息的所述相似度小于δ；其中，a_i、a_j∈RA；

所述相似度计算方法为：

对所述元组a_i与a_j的告警消息进行文本相似度计算，得到相似度s_t；

提取所述元组a_i与a_j的告警消息中涉及网络协议的词语；

对所述涉及网络协议的词语进行文本相似度计算，得到相似度s_p；

根据相似度公式：

得到所述告警消息的所述相似度。

4.根据权利要求1所述的方法，其特征在于，对所述精简告警集进行关联分析，得到已完成攻击链，具体包括：

设定长度为ω的滑动窗口，并从所述精简告警集中进行事务提取，得到事务集；

利用关联分析算法计算所述事务集中的若干个频繁二项集的支持度；

删除支持度较低的频繁二项集；

扫描剩余的频繁二项集，得到攻击链集合；其中，对于任意两个所述频繁二项集，若一个所述频繁二项集的首项与另一所述频繁二项集的尾项相同，则将其连接成为攻击链；

计算攻击链集合中的每一条所述攻击链的置信度；

选择置信度最高的一条所述攻击链作为所述已完成攻击链。

5.根据权利要求4所述的方法，其特征在于，所述攻击链集合中的每一条攻击链的置信度的计算方法为：

计算攻击链中每一个频繁二项集的置信度；

将所述攻击链中每一个频繁二项集的置信度相乘，得到该攻击链的置信度。

6.根据权利要求1所述的方法，其特征在于，所述已完成攻击链与匹预先储备的完整攻击链进行匹配，包括：

将所述已完成攻击链与在攻击模式知识库中预先储备的完整攻击链进行匹配，得到与所述已完成攻击链匹配的完整攻击链；

所述利用预设的威胁度算法计算所述已完成攻击链的威胁度，包括：

将所述已完成攻击链的步长与所述匹配的完整攻击链的步长做比值，并将得到的所述比值作为所述已完成攻击链的威胁度。

7.根据权利要求1所述的方法，其特征在于，所述对主机进行漏洞扫描，查询所述主机的CVSS漏洞评分，具体包括：

对于处于威胁环境中的每一台主机，采用漏洞扫描工具对该主机进行漏洞扫描，记录该主机存在的漏洞信息；

通过所述漏洞信息中漏洞的CVE编号查询漏洞的CVSS漏洞评分。

8.根据权利要求1所述的方法，其特征在于，对所述主机进行开放端口扫描，计算开放端口攻击利用率，具体包括：

采用端口扫描工具，对于处于威胁环境中的主机进行开放端口扫描，得到开放端口数量，并将所述开放端口组成开放端口集合；

将全部所述告警数据中该主机对应的告警端口组成被攻击端口集合；

对所述被攻击端口集合与所述端口集合取交集，得到被攻击开放端口和被攻击开放端口集合，并将被攻击开放端口数量与所述开放端口数量的比值，作为该主机的所述开放端口攻击利用率。

9.根据权利要求1所述的方法，其特征在于，利用预设的评估办法，对所述威胁度、所述CVSS漏洞评分和所述开放端口攻击利用率分别进行评估，包括：

响应于所述CVSS漏洞评分大于等于第一阈值，确定评估为较高；响应于所述CVSS漏洞评分小于等于第二阈值，确定评估为较低；

响应于所述威胁度和所述开放端口攻击利用率在一定时间内均持续增长，确定评估为高攻击威胁；响应于所述威胁度和所述开放端口攻击利用率在一定时间内不持续增长，确定评估为低攻击威胁。

10.一种网络风险防御方法，其特征在于，包括：

根据权利要求1所述的网络风险感知方法所感知的指标：威胁度、CVSS漏洞评分和开放端口攻击利用率；

响应于确定所述CVSS漏洞评分为较高，执行固定周期的IP地址跳变；

响应于确定所述漏洞评分为较低，并且所述已完成攻击链的威胁度与该主机的开放端口攻击利用率为低攻击威胁，不执行防御操作；

响应于确定所述CVSS漏洞评分为较低，并且所述已完成攻击链的威胁度与该主机的开放端口攻击利用率为高攻击威胁，执行以下操作：

响应于确定已完成攻击链和其后续攻击链中的任意一步攻击与该主机的操作系统能够匹配，启动一个等价异构体进行替换；其中，所述后续攻击链为所述已完成攻击链根据匹配的完整攻击链所预测的后续攻击链；

响应于确定该主机存在后续攻击链能够利用的漏洞，对该主机进行IP地址跳变；以及

响应于确定该主机存在后续攻击链能够利用的开放端口及服务，更改服务端口。

Images