2. 专利查询
  3. 一种网络安全态势对比分析方法、装置、电子设备及介质与流程

一种网络安全态势对比分析方法、装置、电子设备及介质与流程

专利查询27天前  11


1.本公开涉及网络安全技术领域,尤其涉及一种网络安全态势对比分析方法、装置、电子设备及存储介质。


背景技术:

2.随着互联网安全事件的日益增加,网络安全态势感知成为了网络安全领域一个重要研究方向。
3.网络安全态势感知是指通过对海量安全日志或事件的威胁分析及告警,及时发现并评估当前网络安全态势状况。网络安全态势感知中一项重要事项是开展态势评估分析,其中,态势评估分析是指通过汇总、过滤和关联分析设备等产生的安全事件,在构建安全指标的基础上建立合适的数学模型,对网络系统整体上所遭受的安全威胁程度进行评估。通常各类网络安全态势评估结果以量化指数的形式呈现,具体的,通过一系列的特征量化或聚合统计、层次化聚合等方法计算得到一些态势指数,可通过这些态势指数反映特定时段内网络的安全状况。例如,当业务人员看到这些态势指数时,会根据态势指数中涉及的威胁指标、风险指标等数值判断当前网络安全态势状况。
4.然而,在面对多区域联合的网络安全态势情况,特别是监管单位或监管行业中的网络安全态势,单个态势指标值无法对下属监管区域或单位进行有效的对比分析,进而无法获得某个区域相比于其它区域的相对态势情况。


技术实现要素:

5.为了解决上述技术问题或者至少部分地解决上述技术问题,本公开提供了一种网络安全态势对比分析方法,能够获取每个区域标识对应的横向态势对比指标值,提高了多区域联合的网络安全态势的对比分析的效果。
6.第一方面,本公开实施例提供了一种网络安全态势对比分析方法,包括:
7.获取目标时间段内的安全数据信息;其中,所述安全数据信息包括区域标识、时间段和事件类型;
8.基于所述时间段,获取每个所述事件类别对应的权重;
9.通过预设公式基于区域总数、事件类型个数、每个所述事件类别对应的权重、每个区域对应的每个事件的数量在所有区域中的排名值进行计算,得到每个所述区域标识对应的横向态势对比指标值。
10.一种可选的实施方式中,所述获取目标时间段内的安全数据信息,包括:
11.获取所述目标时间段内的安全事件;
12.基于所述安全事件按照所述区域标识、所述时间段和所述事件类型进行分组统计,得到所述安全数据信息。
13.一种可选的实施方式中,还包括:
14.获取每个所述区域标识对应的每个所述事件类型的概率修正系数;
15.基于所述概率修正系数对所述每个所述区域标识对应的横向态势对比指标值进行修正计算,得到每个所述区域标识对应的目标态势对比结果。
16.一种可选的实施方式中,所述获取每个所述区域标识对应的每个所述事件类型的概率修正系数,包括:
17.获取所述区域标识对应的历史安全数据信息;
18.基于所述历史安全数据信息,获取所述区域标识对应的每个事件类型的历史事件数量;
19.对所述每个事件类型的历史事件数量进行转换,得到每个事件类型的当前分数值;
20.基于所述每个事件类型的当前分数值和预设正态分布表,得到每个事件类型的概率修正系数。
21.一种可选的实施方式中,所述对所述每个事件类型的历史事件数量进行转换,得到每个事件类型的当前分数值,包括:
22.基于所述历史事件数量获取预设时间段内每个事件类型的平均事件数量值和事件标准差,以及获取每个事件类型的当前事件数量;
23.通过预设公式基于所述平均事件数量值、所述事件标准差和所述当前事件数量进行计算,得到每个事件类型的当前分数值。
24.一种可选的实施方式中,所述基于所述每个事件类型的当前分数值和预设正态分布表,得到每个事件类型的概率修正系数,包括:
25.获取每个事件类型的标准分数值;
26.基于所述预设正态分布表获取所述当前分数值大于所述标准分数值的概率值;
27.计算目标数值和所述概率值的差值作为所述每个事件类型的概率修正系数。
28.一种可选的实施方式中,还包括:
29.从多个所述区域标识确定目标数量的目标区域标识;
30.将所述目标区域标识对应的目标态势对比结果发送至显示设备,以使所述显示设备按照所述目标态势对比结果的大小值进行显示。
31.第二方面,本公开实施例提供了一种网络安全态势对比分析装置,包括:
32.第一获取模块,用于获取目标时间段内的安全数据信息;其中,所述安全数据信息包括区域标识、时间段和事件类型;
33.第二获取模块,用于基于所述时间段,获取每个所述事件类别对应的权重;
34.计算模块,用于通过预设公式基于区域总数、事件类型个数、每个所述事件类别对应的权重、每个区域对应的每个事件的数量在所有区域中的排名值进行计算,得到每个所述区域标识对应的横向态势对比指标值。
35.第三方面,本公开实施例提供了一种电子设备,所述电子设备包括:
36.处理器;
37.用于存储所述处理器可执行指令的存储器;
38.所述处理器,用于从所述存储器中读取所述可执行指令,并执行所述指令以实现上述网络安全态势对比分析方法。
39.第四方面,本公开实施例提供了一种计算机可读存储介质,所述存储介质存储有
计算机程序,所述计算机程序用于执行上述网络安全态势对比分析方法。
40.本公开实施例提供的技术方案与现有技术相比至少具有如下优点:
41.首先,获取目标时间段内的安全数据信息;其中,安全数据信息包括区域标识、时间段和事件类型;基于时间段,获取每个事件类别对应的权重;然后,通过预设公式基于区域总数、事件类型个数、每个事件类别对应的权重、每个区域对应的每个事件的数量在所有区域中的排名值进行计算,得到每个区域标识对应的横向态势对比指标值。可见,本公开实施例通过获取每个区域标识对应的横向态势对比指标值,可以得到区域间的态势状况的威胁对比情况,对评价多区域联合的网络安全态势中的威胁指数、风险指数等态势指数具有定量评价意义,提高了多区域联合的网络安全态势的对比分析的效果。
附图说明
42.此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
43.为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
44.图1为本公开实施例提供的一种网络安全态势对比分析方法的流程示意图:
45.图2为本公开实施例提供的另一种网络安全态势对比分析方法的流程示意图:
46.图3为本公开实施例提供的一种网络安全态势对比分析装置的结构示意图;
47.图4为本公开实施例提供的一种电子设备的结构示意图。
具体实施方式
48.为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
49.在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
50.目前,一种相关技术中,通过某一节点或某一区域的各项指标来评估当前的网络安全态势,具体的,利用网络中的各项指标作为依据,利用节点收集的指标信息与链路收集的指标信息,根据节点中受到的攻击威胁度、攻击威胁发生率与节点损失价值以及链路上的延迟、拥塞度、丢包率,分别计算网络中的节点态势和链路态势,然后将两者融合得到最终全网的安全态势。但是这样的方式只是根据某一节点或某一区域的各项指标来评估当前的网络安全态势,不是针对多区域联合的网络安全态势情况,不涉及获得多区域对比态势分析,更不涉及如何获得每个区域对应的横向态势对比指标值。
51.另一种相关技术中,通过多维度综合考量应对网络攻击的安全保障能力,能够实时反映外部网络攻击状况。具体的,第三层级中各个一级评价指标的安全态势总分基于该一级评价指标对应的各个二级评价指标以及各个二级评价指标的权重计算得到,第二层级中各个维度的安全态势总分基于该维度对应的各个一级评价指标以及各个一级评价指标
的权重计算得到,第一层级中各个监测领域的安全态势总分基于该监测领域对应的各个维度以及各个维度的权重计算得到。网络安全态势分析模型的总体安全态势得分基于各个监测领域以及各个监测领域的权重计算得到。虽然,这种方式提供了多维度进行态势评估的模型和方法,但是没有说明如何跨区域获得多区域对比态势分析,更没有说明如何获得每个区域对应的横向态势对比指标值。
52.可见,相关技术中并不能解决针对多区域联合的网络安全态势情况,如何获得每个区域对应的横向态势对比指标值的技术问题。
53.为此,本公开实施例提供了一种网络安全态势对比分析方法,首先,获取目标时间段内的安全数据信息;其中,安全数据信息包括区域标识、时间段和事件类型;基于时间段,获取每个事件类别对应的权重;然后,通过预设公式基于区域总数、事件类型个数、每个事件类别对应的权重、每个区域对应的每个事件的数量在所有区域中的排名值进行计算,得到每个区域标识对应的横向态势对比指标值。可见,本公开实施例通过获取每个区域标识对应的横向态势对比指标值,可以得到区域间的态势状况的威胁对比情况,对评价多区域联合的网络安全态势中的威胁指数、风险指数等态势指数具有定量评价意义,提高了多区域联合的网络安全态势的对比分析的效果。
54.基于此,本公开实施例提供了一种网络安全态势对比分析方法,图1为本公开实施例提供的一种网络安全态势对比分析方法的流程示意图,该方法包括:
55.s101、获取目标时间段内的安全数据信息;其中,安全数据信息包括区域标识、时间段和事件类型。
56.在本公开实施例中,安全数据信息指的是通过对安全事件进行分析处理获取的时间、区域标识、事件类型和事件数量等安全数据。
57.本公开实施例中,区域标识用于唯一标识区域。例如,区域标识a1用于标识区域1,区域标识a2用于标识区域2,区域标识a3用于标识区域3。
58.本公开实施例中,目标时间段可以根据应用场景需要设置,可以是一天,一周,还可以是一个月。本公开实施例中并不限定目标时间段具体指示的时间。
59.本公开实施例中,事件类型可以包括木马、挂马、后门、sql(structured query language,结构化查询语言)注入、xss攻击(cross site scripting,跨站脚本攻击)等。
60.在一些实施方式中,通过获取目标时间段内的安全事件,基于安全事件按照区域标识、时间段和事件类型进行分组统计,得到安全数据信息;在另一些实施例中,获取目标时间段内的安全事件,并获取安全事件对应的事件信息(比如事件名称、协议、时间等),基于预设关键词与事件信息进行匹配,得到安全数据信息。以上两种方式仅为示例,本公开实施例对于获取目标时间段内的安全数据信息的具体方式不作限制。
61.s102、基于时间段,获取每个事件类别对应的权重。
62.在本公开实施例中,基于时间段获取每个事件类别对应的权重可以理解为以时间段为固定时间,获取与时间段对应的所有地域的事件类型进行分析,设置每个事件类别对应的权重。
63.举例而言,时间段为1月1日,区域标识a1、区域标识a2和区域标识a3产生的事件类型可以为木马、挂马、sql注入、xss,可预先设置不同事件类型的权重,具体的不同事件类型的权重的设置方式在此不做过多介绍。
64.一种可选的实施方式中,假设设置的权重w
木马
=0.4、w
挂马
=0.3、w
sql
=0.2、w
xss
=0.1。具体的权重设置可根据现场实际情况进行调整,其中,各个事件类型的权重加和等于1。
65.s103、通过预设公式基于区域总数、事件类型个数、每个事件类别对应的权重、每个区域对应的每个事件的数量在所有区域中的排名值进行计算,得到每个区域标识对应的横向态势对比指标值。
66.在本公开实施例中,在获取每个事件类别对应的权重后,通过安全数据信息可以获取到区域总数、事件类型个数,每个区域对应的每个事件的数量在所有区域中的排名值等,进一步通过预设方式进行计算,可以得到每个区域标识对应的横向态势对比指标值。
67.在实际应用中,预设公式可以为公式(1)
[0068][0069]
其中,tj表示事件类型,例如,可假设t1为木马,t2为挂马,t3为sql,t4为xss。
[0070]wtj
为上述确定的各事件类型的权重值。
[0071]
m表示事件类型个数,假设获取的安全数据信息中包括的事件类型为木马、挂马、sql注入和xss时,则m为4。
[0072]
n表示区域总数,假设获取的安全数据信息包括的区域标识为a1、a2和a3时,则n为3。
[0073]rai,
表示区域ai的事件类型tj的数量在所有区域中降序排列后得到的排名值。假设区域标识a1中木马数量在所有区域中的降序排列后,其对应的排名值为1,则r
a1,木马
=1。
[0074]
ai
表示每个区域标识对应的横向态势对比指标值,根据上述计算公式(1),得到所有区域的横向对比指标值f
a1
,f
a2

…fan
,其中n可以是任意正整数。例如,f
an
表示区域标识an对应的横向态势对比指标值。
[0075]
本公开实施例提供了一种网络安全态势对比分析方法,首先,获取目标时间段内的安全数据信息;其中,安全数据信息包括区域标识、时间段和事件类型;基于时间段,获取每个事件类别对应的权重;然后,通过预设公式基于区域总数、事件类型个数、每个事件类别对应的权重、每个区域对应的每个事件的数量在所有区域中的排名值进行计算,得到每个区域标识对应的横向态势对比指标值。可见,本公开实施例通过获取每个区域标识对应的横向态势对比指标值,可以得到区域间的态势状况的威胁对比情况,对评价多区域联合的网络安全态势中的威胁指数、风险指数等态势指数具有定量评价意义,提高了多区域联合的网络安全态势的对比分析的效果。
[0076]
由于获取的各个区域的历史安全数据信息不同,例如,可能在事件类型、事件数量、攻击活跃度方面等有差异,有的区域相对活跃,攻击事件数量显著高于其它区域,这样可能会由于历史安全数据信息的不同对横向态势对比指标值产生较大的影响。为了减少历史安全数据信息对每个区域标识对应的横向态势对比指标值的影响,可获取每个区域标识对应的每个事件类型的概率修正系数;基于概率修正系数对该横向态势对比指标值进行修正计算,提高了对比分析的效果。
[0077]
基于此,本公开实施例提供了另一种网络安全态势对比分析方法,图2为本公开实施例提供的另一种网络安全态势对比分析方法的流程示意图,该方法包括:
[0078]
s201、获取目标时间段内的安全事件,基于安全事件按照区域标识、时间段和事件类型进行分组统计,得到安全数据信息。
[0079]
本公开实施例中的获取目标时间段内的安全事件,比如是防火墙、ids(intrusion detection systems,入侵检测系统)和waf(web application firewall,网站应用级入侵防御系统)等上报的不同时间段以及不同区域产生的安全事件。其中,安全事件中包括多个不同事件类型,例如木马、后门等、以及事件发生时间、地点等。
[0080]
例如,可假设获取时间段为1月1日的区域标识a1、区域标识a2和区域标识a3产生的各个事件类型。如表1所示,1月1日,区域标识a1内产生的事件类型为木马,事件数量是10,事件类型为挂马,事件数量是20。其它区域标识内产生的事件类型、事件数量等信息的描述可参考区域标识a1的描述进行理解,在此不再赘述。
[0081]
表1
[0082][0083][0084]
s202、基于时间段,获取每个事件类别对应的权重。
[0085]
s203、通过预设公式基于区域总数、事件类型个数、每个事件类别对应的权重、每个区域对应的每个事件的数量在所有区域中的排名值进行计算,得到每个区域标识对应的横向态势对比指标值。
[0086]
需要说明的是,s202-s203与上述s102-s103相同,具体s202-s203的描述参见对s102-s103的描述进行理解,在此不再赘述。
[0087]
s204、获取每个区域标识对应的每个事件类型的概率修正系数。
[0088]
本公开实施例中,可基于每个事件类型的当前分数值和预设正态分布表,得到每个事件类型的概率修正系数。
[0089]
一种可选的实施方式中,在得到每个事件类型的概率修正系数之前,先计算每个事件类型的当前分数值。具体的,获取区域标识对应的历史安全数据信息,基于历史安全数据信息,获取区域标识对应的每个事件类型的历史事件数量,由于每个事件类型在数量或分布上有差异,可基于历史事件数量获取预设时间段内每个事件类型的平均事件数量值和事件标准差,以及获取每个事件类型的当前事件数量。对每个事件类型的历史事件数量进行转换,得到每个事件类型的当前分数值;具体的,通过预设公式基于平均事件数量值、事件标准差和当前事件数量进行计算,得到每个事件类型的当前分数值。
[0090]
实际应用中,对每个事件类型的历史事件数量进行转换,得到每个事件类型的当
前分数值;可通过公式(2)计算每个事件类型的当前分数值。
[0091]
z=(x-μ)/σ
ꢀꢀ
(2)
[0092]
其中,x表示当前事件数量,μ表示平均事件数量值,σ表示事件标准差,z表示每个事件类型的当前分数值。
[0093]
假设以获取区域标识a1在目标时间前1个月的木马事件类型为例,得到区域标识a1对应的木马事件类型的历史事件数量;通过上述公式(2)基于平均事件数量值、事件标准差和当前事件数量进行计算,得到每个事件类型的当前分数值。
[0094]
假设区域标识a1在近一个月的木马事件的平均事件数量值为μ
t1
,事件标准差为σ
t1
,当前事件数量(当前进行态势评估的木马事件数量)为x,则按上述公式(2)计算区域标识a1的木马事件的当前分数值z
t1
=(x-μ
t1
)/σ
t1

[0095]
一种可选的实施方式中,基于每个事件类型的当前分数值和预设正态分布表,得到每个事件类型的概率修正系数,包括:获取每个事件类型的标准分数值,基于预设正态分布表获取当前分数值大于标准分数值的概率值,计算目标数值和概率值的差值作为每个事件类型的概率修正系数。
[0096]
上述在对每个事件类型的历史事件数量进行转换后,所有历史事件数量则满足均值为0、标准差为1的标准正态分布的条件。可根据如下公式(3)获得每个事件类型的概率修正系数。
[0097]
p
tj
=1-p(z》z
t
)
ꢀꢀ
(3)
[0098]
其中,z为满足均值为0,标准差为1的标准正态分布条件下,每个事件类型的标准分数值。z
t
表示每个事件类型的当前分数值,z
t
可以是z
t1
、z
t2
…ztn
。p(z》z
t
)为当前分数值大于标准分数值的概率值。目标数值为1,p
tj
为每个事件类型的概率修正系数,其中,p可以根据正态分布表得到,具体的p的计算方式在此不做过多介绍。
[0099]
假设获得区域标识a1的木马事件的当前分数值z
t1
,基于当前分数值z
t1
和预设正态分布表,得到的当前木马事件类型的概率修正系数为p
t1
=1-p(z》z
t1
)。计算其它事件类型的概率修正系数p
t2
,p
t3


p
tm
的方式可参考p
t1
的计算方式,在此不再赘述。
[0100]
s205、基于概率修正系数对每个所述区域标识对应的横向态势对比指标值进行修正计算,得到每个区域标识对应的目标态势对比结果。
[0101]
一种可选的实施方式中,可基于上述公式(3)获得的每个事件类型的概率修正系数p
tj
对上述公式(1)获得的每个区域标识对应的横向态势对比指标值f
ai
进行修正计算,得到每个区域标识对应的目标态势对比结果。具体的,可通过公式(4)计算每个区域标识对应的目标态势对比结果。
[0102][0103]
其中,为每个区域标识对应的横向态势对比指标值f
ai
,p
tj
为每个事件类型的概率修正系数,f

ai
为每个区域标识对应的目标态势对比结果。
[0104]
本公开实施例中,由于基于横向态势对比指标值和历史安全数据信息两个维度的数据获得该目标态势对比结果,可见,本公开实施例可以获得较准确的网络安全态势评估结果,对评价多区域联合的网络安全态势中的威胁指数、风险指数等具有定量评价意义。
[0105]
一种可选的实施方式中,得到每个区域标识对应的目标态势对比结果,可从多个
区域标识确定目标数量的目标区域标识;将目标区域标识对应的目标态势对比结果发送至显示设备,以使显示设备按照目标态势对比结果的大小值进行显示。具体的,显示设备可显示各个区域的目标态势结果,其目标态势对比结果的大小值反映当前多个区域的威胁指数、风险指数等态势指数的定量评价效果。
[0106]
本公开实施例提供了一种网络安全态势对比分析方法,首先,获取目标时间段内的安全事件;基于安全事件按照区域标识、时间段和事件类型进行分组统计,得到安全数据信息;基于时间段,获取每个事件类别对应的权重;通过预设公式基于区域总数、事件类型个数、每个事件类别对应的权重、每个区域对应的每个事件的数量在所有区域中的排名值进行计算,得到每个区域标识对应的横向态势对比指标值。然后,基于每个事件类型的历史安全数据信息获得该事件类型的概率修正系数;并基于该概率修正系数对每个区域标识对应的横向态势对比指标值进行修正计算,得到每个区域标识对应的目标态势对比结果。本公开实施例中,由于基于横向态势对比指标值和历史安全数据信息两个维度的数据获得该目标态势对比结果,可见,本公开实施例可以得到区域间的态势状况的威胁对比情况,对评价多区域联合的网络安全态势中的威胁指数、风险指数等态势指数具有定量评价意义,且在计算过程中,消除了由于不同区域、历史安全数据信息差异对横向态势对比指标值的影响,因而提高了对比分析的效果。
[0107]
基于上述方法实施例,本公开还提供了一种网络安全态势对比分析装置,参考图3,为本公开实施例提供的一种网络安全态势对比分析装置的结构示意图,所述装置包括:
[0108]
第一获取模块301,用于获取目标时间段内的安全数据信息;其中,安全数据信息包括区域标识、时间段和事件类型;
[0109]
第二获取模块302,用于基于时间段,获取每个事件类别对应的权重;
[0110]
计算模块303,用于通过预设公式基于区域总数、事件类型个数、每个事件类别对应的权重、每个区域对应的每个事件的数量在所有区域中的排名值进行计算,得到每个区域标识对应的横向态势对比指标值。
[0111]
一种可选的实施方式,第一获取模块,具体用于:
[0112]
获取目标时间段内的安全事件;
[0113]
基于安全事件按照所述区域标识、时间段和事件类型进行分组统计,得到安全数据信息。
[0114]
一种可选的实施方式,装置还包括:
[0115]
第三获取模块,用于获取每个区域标识对应的每个事件类型的概率修正系数;
[0116]
计算子模块,用于基于概率修正系数对每个区域标识对应的横向态势对比指标值进行修正计算,得到每个区域标识对应的目标态势对比结果。
[0117]
一种可选的实施方式,第三获取模块,包括:
[0118]
第一获取单元,用于获取区域标识对应的历史安全数据信息;
[0119]
第二获取单元,用于基于历史安全数据信息,获取区域标识对应的每个事件类型的历史事件数量;
[0120]
转换单元,用于对每个事件类型的历史事件数量进行转换,得到每个事件类型的当前分数值;
[0121]
第三获取单元,用于基于每个事件类型的当前分数值和预设正态分布表,得到每
个事件类型的概率修正系数。
[0122]
一种可选的实施方式中,转换单元,具体用于:
[0123]
基于历史事件数量获取预设时间段内每个事件类型的平均事件数量值和事件标准差,以及获取每个事件类型的当前事件数量;
[0124]
通过预设公式基于平均事件数量值、事件标准差和当前事件数量进行计算,得到每个事件类型的当前分数值。
[0125]
一种可选的实施方式中,第三获取单元,具体用于:
[0126]
获取每个事件类型的标准分数值;
[0127]
基于预设正态分布表获取当前分数值大于所述标准分数值的概率值;
[0128]
计算目标数值和概率值的差值作为每个事件类型的概率修正系数。
[0129]
一种可选的实施方式中,装置还包括:
[0130]
确定模块,用于从多个区域标识确定目标数量的目标区域标识;
[0131]
发送模块,用于将目标区域标识对应的目标态势对比结果发送至显示设备,以使显示设备按照目标态势对比结果的大小值进行显示。
[0132]
本公开涉及一种网络安全态势对比分析装置,首先,获取目标时间段内的安全数据信息;其中,安全数据信息包括区域标识、时间段和事件类型;基于时间段,获取每个事件类别对应的权重;然后,通过预设公式基于区域总数、事件类型个数、每个事件类别对应的权重、每个区域对应的每个事件的数量在所有区域中的排名值进行计算,得到每个区域标识对应的横向态势对比指标值。可见,本公开实施例通过获取每个区域标识对应的横向态势对比指标值,可以得到区域间的态势状况的威胁对比情况,对评价多区域联合的网络安全态势中的威胁指数、风险指数等态势指数具有定量评价意义,提高了多区域联合的网络安全态势的对比分析的效果。
[0133]
图4为本公开实施例提供的一种电子设备的结构示意图。
[0134]
下面具体参考图4,其示出了适于用来实现本公开实施例中的电子设备400的结构示意图。本公开实施例中的电子设备400可以包括但不限于诸如移动电话、笔记本电脑、数字广播接收器、pda(个人数字助理)、pad(平板电脑)、pmp(便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字tv、台式计算机等等的固定终端。图4示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
[0135]
如图4所示,电子设备400可以包括处理装置(例如中央处理器、图形处理器等)401,其可以根据存储在只读存储器(rom)402中的程序或者从存储装置408加载到随机访问存储器(ram)403中的程序而执行各种适当的动作和处理。在ram 403中,还存储有电子设备400操作所需的各种程序和数据。处理装置401、rom 402以及ram 403通过总线404彼此相连。输入/输出(i/o)接口405也连接至总线404。
[0136]
通常,以下装置可以连接至i/o接口405:包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置406;包括例如液晶显示器(lcd)、扬声器、振动器等的输出装置407;包括例如磁带、硬盘等的存储装置408;以及通信装置409。通信装置409可以允许电子设备400与其他设备进行无线或有线通信以交换数据。虽然图4示出了具有各种装置的电子设备400,但是应理解的是,并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。
[0137]
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在非暂态计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信装置409从网络上被下载和安装,或者从存储装置408被安装,或者从rom402被安装。在该计算机程序被处理装置401执行时,执行本公开实施例的网络安全态势对比分析方法中限定的上述功能。
[0138]
需要说明的是,本公开上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、rf(射频)等等,或者上述的任意合适的组合。
[0139]
在一些实施方式中,客户端、服务器可以利用诸如http之类的任何当前已知或未来研发的网络协议进行通信,并且可以与任意形式或介质的数字数据通信(例如,通信网络)互连。通信网络的示例包括局域网(“lan”),广域网(“wan”),网际网(例如,互联网)以及端对端网络(例如,ad hoc端对端网络),以及任何当前已知或未来研发的网络。
[0140]
上述计算机可读介质可以是上述电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。
[0141]
上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备:获取目标时间段内的安全数据信息;其中,安全数据信息包括区域标识、时间段和事件;基于时间段,获取每个事件类别对应的权重;通过预设公式基于区域总数、事件类型个数、每个事件类别对应的权重、每个区域对应的每个事件的数量在所有区域中的排名值进行计算,得到每个区域标识对应的横向态势对比指标值。
[0142]
可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码,上述程序设计语言包括但不限于面向对象的程序设计语言—诸如java、smalltalk、c++,还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(lan)或广域网(wan)—连接到用户计算机,或者,可以连接到外部计算机(例如利
用因特网服务提供商来通过因特网连接)。
[0143]
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个
……”
限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0144]
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

技术特征:
1.一种网络安全态势对比分析方法,其特征在于,包括:获取目标时间段内的安全数据信息;其中,所述安全数据信息包括区域标识、时间段和事件;基于所述时间段,获取每个所述事件类别对应的权重;通过预设公式基于区域总数、事件类型个数、每个所述事件类别对应的权重、每个区域对应的每个事件的数量在所有区域中的排名值进行计算,得到每个所述区域标识对应的横向态势对比指标值。2.根据权利要求1所述的网络安全态势对比分析方法,其特征在于,所述获取目标时间段内的安全数据信息,包括:获取所述目标时间段内的安全事件;基于所述安全事件按照所述区域标识、所述时间段和所述事件类型进行分组统计,得到所述安全数据信息。3.根据权利要求1所述的网络安全态势对比分析方法,其特征在于,还包括:获取每个所述区域标识对应的每个所述事件类型的概率修正系数;基于所述概率修正系数对所述每个所述区域标识对应的横向态势对比指标值进行修正计算,得到每个所述区域标识对应的目标态势对比结果。4.根据权利要求3所述的网络安全态势对比分析方法,其特征在于,所述获取每个所述区域标识对应的每个所述事件类型的概率修正系数,包括:获取所述区域标识对应的历史安全数据信息;基于所述历史安全数据信息,获取所述区域标识对应的每个事件类型的历史事件数量;对所述每个事件类型的历史事件数量进行转换,得到每个事件类型的当前分数值;基于所述每个事件类型的当前分数值和预设正态分布表,得到每个事件类型的概率修正系数。5.根据权利要求4所述的网络安全态势对比分析方法,其特征在于,所述对所述每个事件类型的历史事件数量进行转换,得到每个事件类型的当前分数值,包括:基于所述历史事件数量获取预设时间段内每个事件类型的平均事件数量值和事件标准差,以及获取每个事件类型的当前事件数量;通过预设公式基于所述平均事件数量值、所述事件标准差和所述当前事件数量进行计算,得到每个事件类型的当前分数值。6.根据权利要求4所述的网络安全态势对比分析方法,其特征在于,所述基于所述每个事件类型的当前分数值和预设正态分布表,得到每个事件类型的概率修正系数,包括:获取每个事件类型的标准分数值;基于所述预设正态分布表获取所述当前分数值大于所述标准分数值的概率值;计算目标数值和所述概率值的差值作为所述每个事件类型的概率修正系数。7.根据权利要求3所述的网络安全态势对比分析方法,其特征在于,还包括:从多个所述区域标识确定目标数量的目标区域标识;将所述目标区域标识对应的目标态势对比结果发送至显示设备,以使所述显示设备按照所述目标态势对比结果的大小值进行显示。
8.一种网络安全态势对比分析装置,其特征在于,包括:第一获取模块,用于获取目标时间段内的安全数据信息;其中,所述安全数据信息包括区域标识、时间段和事件类型;第二获取模块,用于基于所述时间段,获取每个所述事件类别对应的权重;计算模块,用于通过预设公式基于区域总数、事件类型个数、每个所述事件类别对应的权重、每个区域对应的每个事件的数量在所有区域中的排名值进行计算,得到每个所述区域标识对应的横向态势对比指标值。9.一种电子设备,其特征在于,所述电子设备包括:处理器;用于存储所述处理器可执行指令的存储器;所述处理器,用于从所述存储器中读取所述可执行指令,并执行所述指令以实现上述权利要求1-7中任一项所述的网络安全态势对比分析方法。10.一种计算机可读存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序用于执行上述权利要求1-7中任一项所述的网络安全态势对比分析方法。

技术总结
本公开涉及一种网络安全态势对比分析方法、装置、电子设备及存储介质,首先,获取目标时间段内的安全数据信息;其中,安全数据信息包括区域标识、时间段和事件类型;基于时间段,获取每个事件类别对应的权重;然后,通过预设公式基于区域总数、事件类型个数、每个事件类别对应的权重、每个区域对应的每个事件的数量在所有区域中的排名值进行计算,得到每个区域标识对应的横向态势对比指标值。可见,本公开实施例通过获取每个区域标识对应的横向态势对比指标值,可以得到区域间的态势状况的威胁对比情况,对评价多区域联合的网络安全态势中的威胁指数、风险指数等态势指数具有定量评价意义,提高了多区域联合的网络安全态势的对比分析的效果。分析的效果。分析的效果。


技术研发人员:鲍青波 周晓阳
受保护的技术使用者:北京天融信科技有限公司 北京天融信软件有限公司
技术研发日:2021.11.22
技术公布日:2022/3/7

专利

最新回复(0)