[发明专利]网络攻击威胁等级评估模型、评估方法、终端及介质

说明书

本发明公开了一种网络攻击威胁等级评估模型、评估方法、终端及介质，该模型包括单一安全设备聚合模块，用于汇聚安全设备的告警类型；单一安全设备评分模块，用于根据告警类型从攻击类型维度进行评分并汇总成评分清单；第一威胁等级评分模块，用于根据评分清单，从设备类型及网络区域维度对第一预设时段中出现的源IP进行第二预设时段内的威胁等级评分。本发明针对不同安全设备实现安全告警的统一化及标准化，通过临近时间和历史时间的威胁等级评估，实现攻击类型评分专业化，并能识别出有威胁的攻击并快速响应，实现历史安全告警自动回忆、记录和威胁积分，减少人工判断的遗漏出错率，提高了网络攻击行为的分析效率，确保了系统安全稳定的运行。

技术领域

本发明涉及网络安全分析技术领域，具体涉及一种网络攻击威胁等级评估模型、评估方法、终端及介质。

背景技术

目前,金融业有各种网络安全检测和防护设备，如WEB应用防火墙、入侵检测、DDoS防护、漏洞扫描等，安全运营人员通过人工分析安全设备出现的告警，研判攻击行为并对攻击源进行封禁和阻断。然而，在排除误报的情况下，安全告警中90％以上为攻击特征明显的行为。但现有的安全运营人员通常只是对简单、重复的攻击告警进行分析，没有统一研判标准，分析结果难以保证；其次，现有的分析方法缺乏针对性，对所有的攻击一视同仁，这样以来就会造成对有威胁的攻击不够敏感、而对风险小的攻击却要反复花费大量时间去分析。对于公司来说，这样的分析方法不仅会浪费大量人力成本，同时也会增加误操作风险。

发明内容

本发明的目的在于提供一种网络攻击威胁等级评估模型、评估方法、终端及介质，以解决现有的网络攻击分析方法缺乏针对性、成本高、误操作风险大的技术问题。

为了克服上述现有技术中的缺陷，本发明提供了一种网络攻击威胁等级评估模型，包括：

单一安全设备聚合模块，用于汇聚安全设备的告警类型；

单一安全设备评分模块，用于根据所述告警类型，从攻击类型维度进行评分并汇总成评分清单；

第一威胁等级评分模块，用于根据所述评分清单，从设备类型及网络区域维度对第一预设时段中出现的源IP进行第二预设时段内的威胁等级评分。

进一步地，所述第一预设时段为距离当前评分时间在5分钟以内的时间；所述第二预设时段为距离当前评分时间在24小时以内的时间。

进一步地，所述告警类型包括：WAF安全告警、IDS安全告警、邮件网关安全告警及其他安全告警。

进一步地，所述网络攻击威胁等级评估模型，还包括第二威胁等级评分模块，用于对第一预设时段中出现的源IP进行第三预设时段内的威胁等级评分。

进一步地，所述第三预设时段为距离当前评分时间大于24小时以上的时间。

进一步地，所述网络攻击威胁等级评估模型，还包括总威胁等级评分模块，用于将所述第一威胁等级评分模块、所述第二威胁等级评分模块的评分结果进行汇总，得到单一安全设备的总威胁等级结果。

本发明还提供了一种网络攻击威胁等级评估方法，包括：

利用单一安全设备聚合模块汇聚安全设备的告警类型；

利用单一安全设备评分模块，并根据所述告警类型，从攻击类型维度进行评分并汇总成评分清单；

利用第一威胁等级评分模块，并根据所述评分清单，从设备类型及网络区域维度对第一预设时段中出现的源IP进行第二预设时段内的威胁等级评分。

进一步地，所述网络攻击威胁等级评估方法，还包括：

利用第二威胁等级评分模块，对第一预设时段中出现的源IP进行第三预设时段内的威胁等级评分；