[发明专利]针对企业网络安全态势感知的评分方法和装置

权利要求书

1.一种针对企业网络安全态势感知的评分方法，其特征在于，所述方法包括：

获取安全元数据，所述安全元数据包括多个安全元子数据，每个所述安全元子数据包括多个指标；

计算所述每个指标对应的信息价值；

根据所述每个指标对应的信息价值，选取满足预测条件的多个指标；

将所述满足预测条件的多个指标通过逻辑回归模型，得到所述每个指标对应的权重系数；

根据所述满足预测条件的每个指标和所述每个指标对应的权重系数，计算当前综合评分；

其中，所述预测条件是所述每个指标对应的信息价值大于或等于预设信息价值，所述多个安全元子数据包括流量数据、资产数据、告警数据、漏洞数据和事件数据。

2.根据权利要求1所述的针对企业网络安全态势感知的评分方法，其特征在于，所述计算所述每个指标对应的信息价值包括，重复执行以下处理，直至每个指标均被遍历：

获取当前指标对应的多个观测值；

将所述多个观测值采用无监督分箱方法中的等频分箱法，并按照从小到大的顺序进行排列，得到排列后的观测值；

根据所述多个观测值的个数，将所述排列后的观测值进行等分得到多个分箱组；

根据每个所述分箱组统计糟糕情况的数量、糟糕情况的总数、正常情况的数量和正常情况的总数；

根据所述糟糕情况的数量、所述糟糕情况的总数、所述正常情况的数量和所述正常情况的总数，计算所述当前指标对应的信息价值。

3.根据权利要求2所述的针对企业网络安全态势感知的评分方法，其特征在于，所述根据所述糟糕情况的数量、所述糟糕情况的总数、所述正常情况的数量和所述正常情况的总数，计算所述当前指标对应的信息价值，包括：

根据下式计算所述当前指标对应的信息价值，包括：

其中，IV为所述当前指标对应的信息价值，B_T为所述糟糕情况的总数，G_T为所述正常情况的总数，B_i为所述糟糕情况的数量，G_i为所述正常情况的数量，i∈[1,k]，k为所述分箱组的个数，WOE_i为证据权重，是对分箱后的每组中的指标取某个值的时候对目标评分的一种影响，bad占比为所述糟糕情况的数量占所述糟糕情况的总数的比例，good占比为所述正常情况的数量占所述正常情况的总数的比例。

4.根据权利要求1所述的针对企业网络安全态势感知的评分方法，其特征在于，所述根据所述满足预测条件的每个指标和所述每个指标对应的权重系数，计算当前综合评分，包括：

根据下式计算所述当前综合评分：

其中，Score为所述当前综合评分，A和B均为常数，w₀为初始权重系数，w_i为所述每个指标对应的权重系数，x_i为所述满足预测条件的每个指标，A+Bw₀为基础得分，z为所述指标的个数。

5.一种针对企业网络安全态势感知的评分装置，其特征在于，所述装置包括：

获取单元，用于获取安全元数据，所述安全元数据包括多个安全元子数据，每个安全元子数据包括多个指标；

处理单元，用于计算所述每个指标对应的信息价值；

选取单元，用于根据所述每个指标对应的信息价值，选取满足预测条件的多个指标；

权重系数计算单元，用于将所述满足预测条件的多个指标通过逻辑回归模型，得到所述每个指标对应的权重系数；

综合评分计算单元，用于根据所述满足预测条件的每个指标和所述每个指标对应的权重系数，计算当前综合评分；

其中，所述预测条件是所述每个指标对应的信息价值大于或等于预设信息价值，所述多个安全元子数据包括流量数据、资产数据、告警数据、漏洞数据和事件数据。