CN115085955B - 网络安全处理方法及装置、存储介质、电子设备 - Google Patents

Abstract

本公开提供了一种网络安全处理方法、网络安全处理装置、计算机可读存储介质和电子设备，涉及网络安全技术领域。该网络安全处理方法包括：确定一威胁节点和被控制节点集合，其中，被控制节点集合包含威胁节点控制的一个或多个被控制节点；分别确定出威胁节点的威胁特征、各被控制节点的被控制特征，以及威胁节点与各被控制节点之间的关联特征；基于威胁特征、被控制特征和关联特征，对威胁节点进行评估。本公开可以对威胁节点进行评估，提升威胁节点评估的自动化程度。

Description

网络安全处理方法及装置、存储介质、电子设备

技术领域

本公开涉及网络安全技术领域，具体而言，涉及一种网络安全处理方法、网络安全处理装置、计算机可读存储介质和电子设备。

背景技术

随着网络技术的快速发展和黑客技术的普及，使得网络面临的威胁日益增多。及时了解并评估网络的动态、安全威胁等情况成为网络安全分析人员重点关注的内容。

网络安全分析人员在对网络安全威胁进行评估时，通常以威胁事件(例如暴力破解、蠕虫爆发)为目标，首先对网络中产生的数据进行情报消费确定出威胁事件发生的频率、脆弱点被利用的概率以及危险指数等评估信息，然后依据评估信息来判断威胁事件的有效性，进而评估出网络的威胁情况。然而，上述方案并未考虑威胁节点方面的安全威胁评估，更未涉及威胁节点情况的自动化评估。

需要说明的是，在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

发明内容

本公开的目的在于提供一种网络安全处理方法、网络安全处理装置、计算机可读存储介质和电子设备，进而至少在一定程度上克服由于相关技术的限制和缺陷而导致无法对威胁节点进行评估、威胁节点评估的自动化程度低的问题。

根据本公开的第一个方面，提供一种网络安全处理方法，包括：确定一威胁节点和被控制节点集合，其中，被控制节点集合包含威胁节点控制的一个或多个被控制节点；分别确定出威胁节点的威胁特征、各被控制节点的被控制特征，以及威胁节点与各被控制节点之间的关联特征；基于威胁特征、被控制特征和关联特征，对威胁节点进行评估。

根据本公开的第二个方面，提供一种网络安全处理装置，包括：节点确定模块，用于确定一威胁节点和被控制节点集合，其中，被控制节点集合包含威胁节点控制的一个或多个被控制节点；特征确定模块，用于分别确定出威胁节点的威胁特征、各被控制节点的被控制特征，以及威胁节点与各被控制节点之间的关联特征；节点评估模块，用于基于威胁特征、被控制特征和关联特征，对威胁节点进行评估。

可选地，节点评估模块可以包括：评分值获取单元，用于获取威胁特征的评分值、被控制特征的评分值和关联特征的评分值；节点评估单元，用于基于威胁特征的评分值、被控制特征的评分值和关联特征的评分值，对威胁节点进行评估。

可选地，节点评估单元可以被配置为执行：分别对威胁特征的评分值、被控制特征的评分值和关联特征的评分值进行算术平均处理，得出威胁特征的第一平均特征值、被控制特征的第二平均特征值，以及关联特征的第三平均特征值；利用第一平均特征值、第二平均特征值和第三平均特征值，对威胁节点进行评估。

可选地，节点评估单元可以包括：集合确定子单元，用于确定一历史威胁节点集合，其中，历史威胁节点集合包含一个或多个与威胁节点威胁类型相同的威胁节点；节点确定子单元，用于确定各威胁节点控制的一个或多个被控制节点；权重值计算子单元，用于基于各威胁节点的威胁特征、各被控制节点的被控制特征以及各威胁节点与对应的各被控制节点之间的关联特征，得出与威胁节点关联的评估权重值；威胁评估子单元，用于基于威胁特征的评分值、被控制特征的评分值、关联特征的评分值和评估权重值，对威胁节点进行评估。

可选地，评分值获取单元可以包括：历史评分值获取子单元，用于确定威胁特征的历史评分值、被控制特征的历史评分值、关联特征的历史评分值；评分标准获取子单元，用于分别对威胁特征的历史评分值、被控制特征的历史评分值、关联特征的历史评分值进行加权平均处理，得出特征评分标准；评分值确定子单元，用于基于特征评分标准，确定出威胁特征的评分值、被控制特征的评分值和关联特征的评分值。

可选地，节点确定模块可以被配置为执行：获取待处理的威胁节点集合；利用安全节点数据库对威胁节点集合进行过滤，得到过滤后的威胁节点集合；从过滤后的威胁节点集合中确定一威胁节点。

可选地，节点确定模块可以被配置为执行：确定一威胁节点以及威胁节点对应的控制时长，其中，控制时长包含威胁节点被控制的时长；在控制时长大于时长阈值的情况下，确定被控制节点集合；在控制时长小于时长阈值的情况下，对威胁节点进行过滤。

根据本公开的第三个方面，提供一种计算机可读存储介质，其上存储有计算机程序，程序被处理器执行时实现如上所述的网络安全处理方法。

根据本公开的第四个方面，提供一种电子设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当一个或多个程序被一个或多个处理器执行时，使得一个或多个处理器实现如上所述的网络安全处理方法。

本公开的示例性实施例具有以下有益效果：

在本公开的一些实施例所提供的技术方案中，首先，确定一威胁节点和被控制节点集合；然后，分别确定出威胁节点的威胁特征、各被控制节点的被控制特征，以及威胁节点与各被控制节点之间的关联特征；随后，基于威胁特征、被控制特征和关联特征，对威胁节点进行评估。一方面，本公开利用威胁节点的威胁特征、各被控制节点的被控制特征以及威胁节点与各被控制节点之间的关联特征，实现对威胁节点的威胁情况进行评估，提高针对威胁节点的评估自动化程度。另一方面，本公开利用威胁节点的威胁特征与各被控制节点的被控制特征来评估威胁节点，避免仅考虑威胁事件而导致评估不准确的问题，提高威胁节点评估的准确性。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。在附图中：

图1示意性示出了根据本公开的示例性实施方式的网络安全处理方法的流程图；

图2示意性示出了根据本公开的另一示例性实施方式的网络安全处理方法的流程图；

图3示意性示出了根据本公开的示例性实施方式的网络安全处理装置的方框图；

图4示意性示出了根据本公开的示例性实施方式的节点评估模块的方框图；

图5示意性示出了根据本公开的示例性实施方式的节点评估单元的方框图；

图6示意性示出了根据本公开的示例性实施方式的评分值获取单元的方框图；

图7示意性示出了根据本公开的示例性实施方式中的电子设备的方框图。

具体实施方式

现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的范例；相反，提供这些实施方式使得本公开将更加全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中，提供许多具体细节从而给出对本公开的实施方式的充分理解。然而，本领域技术人员将意识到，可以实践本公开的技术方案而省略特定细节中的一个或更多，或者可以采用其它的方法、组元、装置、步骤等。在其它情况下，不详细示出或描述公知技术方案以避免喧宾夺主而使得本公开的各方面变得模糊。

此外，附图仅为本公开的示意性图解，并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分，因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体，不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。

需要说明的是，本公开中，用语“包括”、“包含”用以表示开放式的包括在内的意思，并且是指除了列出的要素/组成部分/等之外还可存在另外的要素/组成部分/等。另外，本公开所用的术语“第一”、“第二”仅是为了区分的目的，不应当作为本公开内容的限制。

附图中所示的流程图仅是示例性说明，不是必须包括所有的步骤。例如，有的步骤还可以分解，而有的步骤可以合并或部分合并，因此实际执行的顺序有可能根据实际情况改变。

随着信息科技的高速发展，网络黑客的攻击方式也越来越多，使得网络威胁事件频繁发生。虽然网络设备设置了安全防御设施，然而，仍有一些网络威胁事件穿过安全防御设施，导致较大的网络安全隐患。

针对这些网络安全隐患，网络安全分析人员常常会采用两种方案，第一种方案是：首先定时对网络中的防护设施进行扫描，然后根据扫描结果做出网络威胁评估；第二种方案是：针对威胁事件，首先将网路中产生的数据进行情报处理，确定出威胁事件发生的频率、脆弱点被利用的概率以及危险指数等评估信息，然后，基于评估信息对威胁事件的有效性进行判断，随后，根据威胁事件的有效性得出威胁事件的评估结果。

然而，本方案并未涉及网络中的威胁节点，未根据网络日志获取黑客控制的威胁节点以及通过威胁节点控制的各被控制节点，导致威胁节点的威胁评估缺失的问题。

针对该问题，本公开提出了一种网络安全处理方法。

需要说明的是，在本公开的示例性实施方式中，网络安全处理方法可以由终端设备(如，手机、平板、个人计算机等)来实现，也就是说，可以由终端设备执行网络安全处理方法的各个步骤，在这种情况下，网络安全处理装置可以配置在该终端设备中。

下面，将结合附图及实施例对本示例实施方式中的网络安全处理方法的各个步骤进行更详细的说明。

图1示意性示出了本公开的示例性实施方式的网络安全处理方法的流程图。在下面的举例说明中，以终端设备为执行主体进行示例说明。

参考图1，网络安全处理方法具体可以包括以下步骤：

S102.确定一威胁节点和被控制节点集合。

在本公开的示例性实施方式中，威胁节点可以是网络中黑客控制的网络地址。被控制节点集合可以包含威胁节点控制的一个或多个被控制节点。终端设备可以通过网络日志数据库，查询出威胁节点控制的一个或多个被控制节点。

在确定一威胁节点前，终端设备可以首先获取待处理的威胁节点集合；然后，可以利用安全节点数据库对威胁节点集合进行过滤，得到过滤后的威胁节点集合；随后，从过滤后的威胁节点集合中确定一威胁节点。

其中，待处理的威胁节点集合可以包含终端设备基于僵尸网络家族(例如XorDDoS僵尸网络家族等)或高级持续性威胁(Advanced Persistent Threat，APT)组织攻击报告而获取的多个威胁节点。

例如，终端设备可以多源采集黑客控制的威胁节点。终端设备可以利用自动化爬虫脚本获取待处理的威胁节点集合。终端设备也可以利用僵尸网络家族或APT组织专用木马通信特征过在境内的通信流量中进行监测筛选。

安全节点数据库可以包括多个可信任的节点，例如可以是针对网络安全的白名单。终端设备可以从计算机网络中获取白名单，并利用白名单对待处理威胁节点集合进行自动化过滤。

本示例实施例在确定威胁节点之前，终端设备通过多源采集黑客控制的威胁节点确定出待处理威胁节点集合，并利用白名单对待处理威胁节点集合进行清洗和过滤，以得到清洗后的威胁节点集合。

根据本公开的另一个实施例，终端设备可以确定一威胁节点以及所述威胁节点对应的控制时长，然后，在控制时长大于时长阈值的情况下，确定所述被控制节点集合；在控制时长小于时长阈值的情况下，对威胁节点进行过滤。

其中，控制时长可以包含威胁节点被控制的时长，也就是说，黑客控制威胁节点的时长。

时长阈值可以根据网络中节点正常使用的时长进行配置。

本公开通过设置时长阈值，可以避免对设置有黑客控制威胁节点时长阈值的节点的错误评估。也就是说，在超过时长阈值后，黑客不能控制威胁节点，该威胁节点没有被黑客控制，是安全节点。本公开提高了对威胁节点评估的准确性。

S104.分别确定出威胁节点的威胁特征、各被控制节点的被控制特征，以及威胁节点与各被控制节点之间的关联特征。

在本公开的示例性实施方式中，威胁节点的威胁特征可以包括但不限于：黑客控制威胁节点的有效控制时长、24小时内威胁节点发起的攻击次数、24小时内威胁节点达到的最高攻击峰值流量、威胁节点的来源。其中，威胁节点的来源可以包括国内和国外。

各被控制节点的被控制特征可以包括但不限于：木马病毒的性质等级、被控制节点对应的终端设备的设备保护等级、被控制节点的归属地、被控制节点对应的行业。其中，木马病毒的性质等级可以包括低危险、中危险以及高危险。被控制节点对应的终端设备的设备保护等级可以包括低级、中级以及高级。被控制节点的归属地可以包括国外、国内重点省份以及其他归属地等。被控制节点对应的行业可以包括党政军相关、金融教育、医疗以及其他行业等。

威胁节点与各被控制节点之间的关联特征可以包括但不限于：威胁节点控制的被控制节点的数量，威胁节点与各被控制节点的平均连接时长、威胁节点与各被控制节点的平均连接次数。

终端设备可以基于威胁节点和被控制节点集合中各被控制节点，从威胁信息库中分别确定出威胁节点的威胁特征、各被控制节点的被控制特征，以及威胁节点与各被控制节点之间的关联特征。

S106.基于威胁特征、被控制特征和关联特征，对威胁节点进行评估。

在确定出威胁节点的威胁特征、各被控制节点的被控制特征，以及威胁节点与各被控制节点之间的关联特征之后，终端设备可以获取威胁特征的评分值、被控制特征的评分值和关联特征的评分值；然后，基于威胁特征的评分值、被控制特征的评分值和关联特征的评分值，对威胁节点进行评估。

具体地，终端设备可以首先确定威胁特征的历史评分值、被控制特征的历史评分值、关联特征的历史评分值；然后，可以分别对威胁特征的历史评分值、被控制特征的历史评分值、关联特征的历史评分值进行加权平均处理，得出特征评分标准；随后，基于特征评分标准，终端设备可以确定出威胁特征的评分值、被控制特征的评分值和关联特征的评分值。

其中，特征评分标准可以包含威胁节点的威胁特征、各被控制节点的被控制特征，以及威胁节点与各被控制节点之间的关联特征，在不同阈值范围内对应的评分值。如表1所示。

表1特征评分标准表

其中，表1中的阈值范围可以基于威胁特征、被控制特征以及关联特征历史统计数据计算确定出。各特征在各阈值范围的评分值可以基于历史评分值进行加权平均处理得到。各特征在各阈值范围的评分值可以是整数，也可以是小数。具体根据不同威胁类型的历史评分值计算得出，本公开的示例性实施方式以表1中的特征评分标准为例进行示例说明。

本公开根据威胁节点的威胁特征、各被控制节点的被控制特征以及威胁节点与各被控制节点之间的关联特征，实现对威胁节点的威胁情况进行评估，提高针对威胁节点的评估自动化程度。

例如，一威胁节点的威胁特征：黑客控制威胁节点的有效控制时长为5天，24小时内威胁节点发起的攻击次数为6，24小时内威胁节点达到的最高攻击峰值流量是300Gbps，威胁节点的来源是国内。

终端设备可以根据表1的特征评分标准得出：威胁特征的评分值分别为：黑客控制威胁节点的有效控制时长为5天<7，评分值为1，24小时内威胁节点发起的攻击次数为6>5，评分值为10，24小时内威胁节点达到的最高攻击峰值流量是300Gbps>200Gbps，评分值为10，威胁节点的来源是国内，评分值为5。

根据本公开的示例性实施例，终端设备可以分别对威胁特征的评分值、被控制特征的评分值和关联特征的评分值进行算术平均处理，得出威胁特征的第一平均特征值、被控制特征的第二平均特征值，以及关联特征的第三平均特征值；然后，利用第一平均特征值、第二平均特征值和第三平均特征值，对威胁节点进行评估。

其中，第一平均特征值可以是对威胁特征的评分值进行算术平均处理后确定的数值。第二平均特征值可以是对被控制特征的评分值进行算术平均处理后确定的数值。第三平均特征值可以是对关联特征的评分值进行算术平均处理后确定的数值。

在本公开的示例性实施方式中，终端设备利用威胁节点的威胁特征与各被控制节点的被控制特征来评估威胁节点，避免仅考虑威胁事件而导致评估不准确的问题，提高威胁节点评估的准确性。

例如，终端设备确定出XorDDoS僵尸网络家族中一威胁节点以及被控制节点集合。被控制节点集合包含被控制节点A、被控制节点B和被控制节点C。

其中，一威胁节点的威胁特征：黑客控制威胁节点的有效控制时长为5天，24小时内威胁节点发起的攻击次数为6，24小时内威胁节点达到的最高攻击峰值流量是300Gbps，威胁节点的来源是国内。被控制节点A的被控制特征：木马病毒的性质等级为低危险，被控制节点A对应的终端设备的设备保护等级为中级，被控制节点A的归属地为国外，被控制节点A对应的行业为教育行业。被控制节点B的被控制特征：木马病毒的性质等级为低危险，被控制节点B对应的终端设备的设备保护等级为低级，被控制节点B的归属地为国外，被控制节点B对应的行业为党政军相关行业。被控制节点C的被控制特征：木马病毒的性质等级为中危险，被控制节点C对应的终端设备的设备保护等级为中级，被控制节点C的归属地为国内重点省份北京，被控制节点C对应的行业为医疗行业。威胁节点与被控制节点A、B、C的关联特征：威胁节点控制的被控制节点的数量3，威胁节点与各被控制节点的平均连接时长10天，威胁节点与各被控制节点的平均连接次数50次。

终端设备首先根据表1的特征评分标准得出：威胁特征的评分值分别为：黑客控制威胁节点的有效控制时长为5天<7，评分值为1；24小时内威胁节点发起的攻击次数为6>5，评分值为10；24小时内威胁节点达到的最高攻击峰值流量是300Gbps>200Gbps，评分值为10；威胁节点的来源是国内，评分值为5。

被控制节点A的被控制特征：木马病毒的性质等级为低危险且评分值为2，被控制节点A对应的终端设备的设备保护等级为中级且评分值为4，被控制节点A的归属地为国外且评分值为5，被控制节点A对应的行业为教育行业且评分值为6。被控制节点B的被控制特征：木马病毒的性质等级为低危险且评分值为2，被控制节点B对应的终端设备的设备保护等级为低级且评分值为2，被控制节点B的归属地为国外且评分值为5，被控制节点B对应的行业为党政军相关行业且评分值为8。被控制节点C的被控制特征：木马病毒的性质等级为中危险且评分值为4，被控制节点C对应的终端设备的设备保护等级为中级且评分值为4，被控制节点C的归属地为国内重点省份北京且评分值为8，被控制节点C对应的行业为医疗行业且评分值为6。

威胁节点与被控制节点A、B、C的关联特征：威胁节点控制的被控制节点的数量3<7，评分值为3；威胁节点与各被控制节点的平均连接时长10天>7，评分值为8；威胁节点与各被控制节点的平均连接次数50次>10，评分值为8。

然后，终端设备对威胁特征的评分值进行算术平均处理，得出第一平均特征值为(1+10+10+5)/4＝6.5；对被控制特征的评分值进行算术平均处理，得出第二平均特征值为[(2+4+5+6)/4+(2+2+5+8)/4+(4+4+8+6)/4]/3＝4.7；对关联特征的评分值进行算术平均处理，得出第三平均特征值为(3+8+8)/3＝6.3。

根据本公开的示例性实施例，终端设备可以首先确定一历史威胁节点集合，然后，可以确定各威胁节点控制的一个或多个被控制节点；接着，可以基于各威胁节点的威胁特征、各被控制节点的被控制特征以及各威胁节点与对应的各被控制节点之间的关联特征，得出与威胁节点关联的评估权重值；随后，基于威胁特征的评分值、被控制特征的评分值、关联特征的评分值和评估权重值，对威胁节点进行评估。

其中，历史威胁节点集合包含一个或多个与威胁节点的威胁类型相同的威胁节点。评估权重值可以用于表示针对威胁节点的评估过程，威胁特征、被控制特征以及关联特征分别占有的权重值。在本公开的示例性实施方式中，终端设备可以基于各威胁节点的威胁特征、各被控制节点的被控制特征以及各威胁节点与对应的各被控制节点之间的关联特征，利用最小二乘算法计算出评估权重值。

在本公开的示例性实施方式中，终端设备可以根据公式1计算威胁节点的评估值。

威胁节点评估值＝α*f(x)+β*g(y)+γ*h(z) (公式1)

其中，f(x)可以表示对威胁特征的评分值进行算术平均处理后确定的威胁特征的第一平均特征值，g(y)可以表示对被控制特征的评分值进行算术平均处理后确定的被控制特征的第二平均特征值，h(z)可以表示对关联特征的评分值进行算术平均处理后确定的关联特征的第三平均特征值。α可以表示在对威胁节点进行评估时，威胁特征的第一平均特征值占有的评估权重值。β可以表示在对威胁节点进行评估时，被控制特征的第二平均特征值占有的评估权重值。γ可以表示在对威胁节点进行评估时，关联特征的第三平均特征值占有的评估权重值。需要注意的是，评估权重值α+β+γ＝1。本示例实施例基于历史威胁节点集合中各威胁节点的威胁特征、各威胁节点控制的多个被控制节点的被控制特征，以及各威胁节点与多个被控制节点的关联特征计算出评估权重值，使威胁节点的评估过程精准度得到提升。

以XorDDoS僵尸网络家族中为例，终端设备首先可以确定出XorDDoS僵尸网络家族中针对一攻击事件的威胁节点集合，然后分别将各威胁节点的威胁特征：24小时内威胁节点达到的最高攻击峰值流量的评分值，确定为各威胁节点的威胁节点评估值，其次，从网络日志数据库中确定出各威胁节点控制的各被控制节点，再次，基于各威胁节点和各被控制节点，从威胁信息库中确定出威胁特征、被控制特征以及关联特征，随后，基于24小时内威胁节点达到的最高攻击峰值流量的评分值、威胁特征的评分值、被控制特征评分值以及关联特征的评分值得出三个权重值α、β、γ。

例如，终端设备确定出XorDDoS僵尸网络家族中一威胁节点g以及被控制节点集合。其中，被控制节点集合包含被控制节点A、被控制节点B和被控制节点C。终端设备基于XorDDoS僵尸网络家族中与威胁节点g的威胁类型相同的历史威胁节点集合，确定出评估权重值α＝0.4、β＝0.3、γ＝0.3。终端设备可以参考表1确定威胁节点g的威胁特征的评分值，被控制节点集合中各被控制节点地被控制特征评分值，以及威胁节点g与各被控制节点的关联特征。

终端设备首先确定出威胁特征的评分值分别为：黑客控制威胁节点的有效控制时长为5天<7，评分值为1；24小时内威胁节点发起的攻击次数为6>5，评分值为10；24小时内威胁节点达到的最高攻击峰值流量是300Gbps>200Gbps，评分值为10；威胁节点的来源是国内，评分值为5。

被控制节点A的被控制特征：木马病毒的性质等级为低危险且评分值为2，被控制节点A对应的终端设备的设备保护等级为中级且评分值为4，被控制节点A的归属地为国外且评分值为5，被控制节点A对应的行业为教育行业且评分值为6。被控制节点B的被控制特征：木马病毒的性质等级为低危险且评分值为2，被控制节点B对应的终端设备的设备保护等级为低级且评分值为2，被控制节点B的归属地为国外且评分值为5，被控制节点B对应的行业为党政军相关行业且评分值为8。被控制节点C的被控制特征：木马病毒的性质等级为中危险且评分值为4，被控制节点C对应的终端设备的设备保护等级为中级且评分值为4，被控制节点C的归属地为国内重点省份北京且评分值为8，被控制节点C对应的行业为医疗行业且评分值为6。

威胁节点与被控制节点A、B、C的关联特征：威胁节点控制的被控制节点的数量3<7，评分值为3；威胁节点与各被控制节点的平均连接时长10天>7，评分值为8；威胁节点与各被控制节点的平均连接次数50次>10，评分值为8。

然后，分别对威胁特征的评分值、被控制特征的评分值和关联特征的评分值进行算术平均处理，得出威胁特征的第一平均特征值为6.5、被控制特征的第二平均特征值为4.7，以及关联特征的第三平均特征值为6.3；

随后，终端设备个根据第一平均特征值、第二平均特征值、第三平均特征值以及评估权重值，对威胁节点进行评估得出：威胁节点评估值为5.9。

在本公开的示例性实施方式中，终端设备对威胁节点进行评估，得出威胁节点评估值，在威胁节点评估值大于等于威胁阈值的情况下，可以发出告警信息，以便网络安全分析人员对威胁节点进行业务禁止，避免网络威胁事件发生。

根据本公开的另一个实施例，图2示意性示出了本公开的另一示例性实施方式的网络安全处理方法的流程图。具体可以包括以下步骤：

在步骤S201中，终端设备可以多源采集待处理的威胁节点集合；在步骤S203中，可以利用白名单对待处理的威胁节点集合进行自动化过滤；在步骤S205中，可以自动化计算过滤后的威胁节点集合中一威胁节点的威胁特征的评分值；在步骤S207中，通过网络日志数据库查询出威胁节点控制的一个或多个被控制节点；在步骤S209中，可以自动化计算一个或者多个被控制节点的被控制特征的评分值；在步骤S211中，可以自动化计算威胁节点与各被控制节点的关联特征的评分值；在步骤S213中，可以基于威胁特征的评分值、被控制特征的评分值以及关联特征的评分值，对威胁节点进行评估。

终端设备可以从威胁信息库中确定出威胁节点的威胁特征、各被控制节点的被控制特征以及威胁节点与各被控制节点的关联特征。

在步骤S201中，具体的，终端设备也可以利用僵尸网络家族或APT组织专用木马通信特征过在境内的通信流量中进行监测筛选，可以自动化搜索僵尸网络家族或者APT组织的攻击报告。终端设备可以利用自动化爬虫脚本获取待处理的威胁节点集合。

应当注意，尽管在附图中以特定顺序描述了本公开中方法的各个步骤，但是，这并非要求或者暗示必须按照该特定顺序来执行这些步骤，或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的，可以省略某些步骤，将多个步骤合并为一个步骤执行，以及/或者将一个步骤分解为多个步骤执行等。

进一步的，在本公开的示例性实施例中，还提供了一种网络安全处理装置。

图3示意性示出了根据本公开的示例性实施方式的网络安全处理装置的方框图。参考图3，根据本公开的示例性实施方式的网络安全处理装置300，可以包括：节点确定模块302、特征确定模块304以及节点评估模块306。

其中，节点确定模块302，用于确定一威胁节点和被控制节点集合，其中，被控制节点集合包含威胁节点控制的一个或多个被控制节点；特征确定模块304，用于分别确定出威胁节点的威胁特征、各被控制节点的被控制特征，以及威胁节点与各被控制节点之间的关联特征；节点评估模块306，用于基于威胁特征、被控制特征和关联特征，对威胁节点进行评估。

根据本公开的另一个实施例，参考图4，节点评估模块306可以包括：评分值获取单元401和节点评估单元403。

其中，评分值获取单元401，用于获取威胁特征的评分值、被控制特征的评分值和关联特征的评分值；节点评估单元403，用于基于威胁特征的评分值、被控制特征的评分值和关联特征的评分值，对威胁节点进行评估。

根据本公开的另一个实施例，节点评估单元403可以被配置为执行：分别对威胁特征的评分值、被控制特征的评分值和关联特征的评分值进行算术平均处理，得出威胁特征的第一平均特征值、被控制特征的第二平均特征值，以及关联特征的第三平均特征值；利用第一平均特征值、第二平均特征值和第三平均特征值，对威胁节点进行评估。

根据本公开的另一个实施例，参考图5，节点评估单元403可以包括：集合确定子单元502、节点确定子单元504、权重值计算子单元506以及威胁评估子单元508。

其中，集合确定子单元502，用于确定一历史威胁节点集合，其中，历史威胁节点集合包含一个或多个与威胁节点威胁类型相同的威胁节点；节点确定子单元504，用于确定各威胁节点控制的一个或多个被控制节点；权重值计算子单元506，用于基于各威胁节点的威胁特征、各被控制节点的被控制特征以及各威胁节点与对应的各被控制节点之间的关联特征，得出与威胁节点关联的评估权重值；威胁评估子单元508，用于基于威胁特征的评分值、被控制特征的评分值、关联特征的评分值和评估权重值，对威胁节点进行评估。

根据本公开的另一个实施例，参考图6，评分值获取单元401可以包括：历史评分值获取子单元601、评分标准获取子单元603以及评分值确定子单元605。

其中，历史评分值获取子单元601，用于确定威胁特征的历史评分值、被控制特征的历史评分值、关联特征的历史评分值；评分标准获取子单元603，用于分别对威胁特征的历史评分值、被控制特征的历史评分值、关联特征的历史评分值进行加权平均处理，得出特征评分标准；评分值确定子单元605，用于基于特征评分标准，确定出威胁特征的评分值、被控制特征的评分值和关联特征的评分值。

根据本公开的另一个实施例，节点确定模块被配置为执行：获取待处理的威胁节点集合；利用安全节点数据库对威胁节点集合进行过滤，得到过滤后的威胁节点集合；从过滤后的威胁节点集合中确定一威胁节点。

根据本公开的另一个实施例，节点确定模块302可以被配置为执行：确定一威胁节点以及威胁节点对应的控制时长，其中，控制时长包含威胁节点被控制的时长；在控制时长大于时长阈值的情况下，确定被控制节点集合；在控制时长小于时长阈值的情况下，对威胁节点进行过滤。

上述装置中各模块/单元的具体细节在方法部分的实施例中已经详细说明，因此不再赘述。

在本公开的示例性实施例中，还提供了一种计算机可读存储介质，其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中，本发明的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当程序产品在终端设备上运行时，程序代码用于使终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。

在本公开的示例性实施例中，还提供了一种能够实现上述方法的电子设备。

所属技术领域的技术人员能够理解，本发明的各个方面可以实现为系统、方法或程序产品。因此，本发明的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等)，或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“系统”。

下面参照图7来描述根据本发明的这种实施方式的电子设备700。图7显示的电子设备700仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

如图7所示，电子设备700以通用计算设备的形式表现。电子设备700的组件可以包括但不限于：上述至少一个处理单元710、上述至少一个存储单元720、连接不同系统组件(包括存储单元720和处理单元710)的总线730、显示单元740。

其中，所述存储单元存储有程序代码，所述程序代码可以被所述处理单元710执行，使得所述处理单元710执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。例如，所述处理单元710可以执行如图1所示的步骤S102至步骤S106。

存储单元720可以包括易失性存储单元形式的可读介质，例如随机存取存储单元(RAM)7201和/或高速缓存存储单元7202，还可以进一步包括只读存储单元(ROM)7203。

存储单元720还可以包括具有一组(至少一个)程序模块7205的程序/实用工具7204，这样的程序模块7205包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。

总线730可以为表示几类总线结构中的一种或多种，包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。

电子设备700也可以与一个或多个外部设备800(例如键盘、指向设备、蓝牙设备等)通信，还可与一个或者多个使得用户能与该电子设备700的设备通信，和/或与使得该电子设备700能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口750进行。并且，电子设备700还可以通过网络适配器760与一个或者多个网络(例如局域网(LAN)，广域网(WAN)和/或公共网络，例如因特网)通信。如图所示，网络适配器760通过总线730与电子设备700的其它模块通信。应当明白，尽管图中未示出，可以结合电子设备700使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。

通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本公开实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。

此外，上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明，而不是限制目的。易于理解，上述附图所示的处理并不表明或限制这些处理的时间顺序。另外，也易于理解，这些处理可以是例如在多个模块中同步或异步执行的。

应当注意，尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本公开的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本公开的其他实施例。本申请旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由权利要求指出。

应当理解的是，本公开并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限。

Claims (10)

1.一种网络安全处理方法，其特征在于，包括：

确定一威胁节点和被控制节点集合，其中，所述被控制节点集合包含所述威胁节点控制的一个或多个被控制节点；

分别确定出所述威胁节点的威胁特征、各所述被控制节点的被控制特征，以及所述威胁节点与各所述被控制节点之间的关联特征；

基于所述威胁特征、所述被控制特征和所述关联特征，对所述威胁节点进行评估。

2.根据权利要求1所述的网络安全处理方法，其特征在于，基于所述威胁特征、所述被控制特征和所述关联特征，对所述威胁节点进行评估包括：

获取所述威胁特征的评分值、所述被控制特征的评分值和所述关联特征的评分值；

基于所述威胁特征的评分值、所述被控制特征的评分值和所述关联特征的评分值，对所述威胁节点进行评估。

3.根据权利要求2所述的网络安全处理方法，其特征在于，基于所述威胁特征的评分值、所述被控制特征的评分值和所述关联特征的评分值，对所述威胁节点进行评估包括：

分别对所述威胁特征的评分值、所述被控制特征的评分值和所述关联特征的评分值进行算术平均处理，得出所述威胁特征的第一平均特征值、所述被控制特征的第二平均特征值，以及所述关联特征的第三平均特征值；

利用所述第一平均特征值、所述第二平均特征值和所述第三平均特征值，对所述威胁节点进行评估。

4.根据权利要求2所述的网络安全处理方法，其特征在于，基于所述威胁特征的评分值、所述被控制特征的评分值和所述关联特征的评分值，对所述威胁节点进行评估包括：

确定一历史威胁节点集合，其中，所述历史威胁节点集合包含一个或多个与所述威胁节点威胁类型相同的威胁节点；

确定各所述威胁节点控制的一个或多个被控制节点；

基于各所述威胁节点的威胁特征、各所述被控制节点的被控制特征以及各所述威胁节点与对应的各所述被控制节点之间的关联特征，得出与所述威胁节点关联的评估权重值；

基于所述威胁特征的评分值、所述被控制特征的评分值、所述关联特征的评分值和所述评估权重值，对所述威胁节点进行评估。

5.根据权利要求2至4任一项所述的网络安全处理方法，其特征在于，获取所述威胁特征的评分值、所述被控制特征的评分值和所述关联特征的评分值包括：

确定所述威胁特征的历史评分值、所述被控制特征的历史评分值、所述关联特征的历史评分值；

分别对所述威胁特征的历史评分值、所述被控制特征的历史评分值、所述关联特征的历史评分值进行加权平均处理，得出特征评分标准；

基于所述特征评分标准，确定出所述威胁特征的评分值、所述被控制特征的评分值和所述关联特征的评分值。

6.根据权利要求1至4任一项所述的网络安全处理方法，其特征在于，确定一威胁节点包括：

获取待处理的威胁节点集合；

利用安全节点数据库对所述威胁节点集合进行过滤，得到过滤后的所述威胁节点集合；

从过滤后的所述威胁节点集合中确定一威胁节点。

7.根据权利要求1至4任一项所述的网络安全处理方法，其特征在于，确定一威胁节点和被控制节点集合包括：

确定一威胁节点以及所述威胁节点对应的控制时长，其中，所述控制时长包含所述威胁节点被控制的时长；

在所述控制时长大于时长阈值的情况下，确定所述被控制节点集合；

在所述控制时长小于所述时长阈值的情况下，对所述威胁节点进行过滤。

8.一种网络安全处理装置，其特征在于，包括：

节点确定模块，用于确定一威胁节点和被控制节点集合，其中，所述被控制节点集合包含所述威胁节点控制的一个或多个被控制节点；

特征确定模块，用于分别确定出所述威胁节点的威胁特征、各所述被控制节点的被控制特征，以及所述威胁节点与各所述被控制节点之间的关联特征；

节点评估模块，用于基于所述威胁特征的、所述被控制特征和所述关联特征，对所述威胁节点进行评估。

9.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述程序被处理器执行时实现如权利要求1至7中任一项所述的网络安全处理方法。

10.一种电子设备，其特征在于，包括：

一个或多个处理器；

存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现如权利要求1至7中任一项所述的网络安全处理方法。