[发明专利]一种网络安全评估方法、装置、网络安全设备及存储介质

权利要求书

1.一种网络安全评估方法，其特征在于，应用于网络安全设备，所述方法包括：

获取网络安全事件集合；其中，所述网络安全事件集合中的各个网络安全事件是在各个具有独立IP的实体设备的数据传输过程中获得的，所述网络安全设备和各个所述实体设备处于同一网络环境；

针对每个所述网络安全事件，确定所述网络安全事件的攻击参数；其中，所述攻击参数包括所述网络安全事件的网络资产、各个所述网络资产之间的攻击关系和攻击次数；其中，各个所述网络资产为符合预设条件的具有独立IP地址的实体设备；

基于预先设定的网络资产与资产组的隶属关系，以及各个网络安全事件的攻击参数，确定各个资产组之间的攻击关系和攻击次数；其中，每个资产组中包括至少一个网络资产；

根据各个资产组之间的攻击关系和攻击次数，确定具有攻击关系的每两个资产组之间的攻击关系对值；

基于各个所述攻击关系对值和预设资产组数量阈值，确定目标资产组集合、所述目标资产组集合中的具有攻击关系的每两个资产组之间的目标攻击关系和目标攻击次数；其中，所述目标资产组集合、所述目标攻击关系和所述目标攻击次数用于评估所述网络环境的安全性能。

2.根据权利要求1所述的方法，其特征在于，所述根据各个资产组之间的攻击关系和攻击次数，确定具有攻击关系的每两个资产组之间的攻击关系对值，包括：

根据各个资产组之间的攻击关系和攻击次数，确定每个资产组对应的攻击次数总和；

根据各个资产组之间的攻击关系和各个所述资产组对应的攻击次数总和，确定具有攻击关系的两个资产组之间的攻击关系对值。

3.根据权利要求1所述的方法，其特征在于，所述针对每个所述网络安全事件，确定所述网络安全事件的攻击参数，包括：

确定所述网络安全事件的类型；其中，所述网络安全事件的类型为一对一安全事件、一对多安全事件、多对一安全事件和多对多安全事件中的任意一个；

若所述网络安全事件的类型为非一对一安全事件，则根据所述网络安全事件中的源地址字段和目的地址字段，将所述网络安全事件拆分为至少两个一对一安全事件；

针对每个一对一安全事件，确定所述一对一安全事件中的网络资产、攻击关系和攻击次数；

汇总各个所述一对一安全事件中的网络资产、攻击关系和攻击次数，得到所述网络安全事件中的网络资产，各个网络资产间的攻击关系和每组攻击关系对应的攻击次数。

4.根据权利要求1所述的方法，其特征在于，所述基于预先设定的网络资产与资产组的隶属关系，以及各个网络安全事件的攻击参数，确定各个资产组之间的攻击关系和攻击次数，包括：

针对每个网络安全事件，基于预先设定的网络资产与资产组的隶属关系，确定所述网络安全事件中的网络资产所属的资产组；

针对任意具有攻击关系的两个资产组，将所述两个资产组中的各个网络资产之间的攻击次数按照相应的攻击关系取和，作为所述两个资产组之间的攻击次数；并根据所述两个资产组中的各个网络资产的攻击关系确定所述两个资产组之间的攻击关系。

5.根据权利要求1~4任一项所述的方法，其特征在于，所述基于各个所述攻击关系对值和预设资产组数量阈值，确定目标资产组集合包括：

按照攻击关系对值从大到小的顺序，依次确定出每个攻击关系对值对应的资产组；

若前N个攻击关系对值确定的资产组的数量为M，则确定所述M个资产组构成所述目标资产组集合；其中，所述预设资产组数量阈值为M，且M为不小于2的整数，N为大于或等于1的整数；

若所述前N个攻击关系对值确定的资产组的数量为M-1，则根据通过第N+1个攻击关系对值确定的两个资产组与所述M-1个资产组的关系，确定所述目标资产组集合；

若所述前N个攻击关系对值确定的资产组的数量为M-2，则根据通过所述第N+1个攻击关系对值确定的两个资产组与所述M-2个资产组的关系，确定所述目标资产组集合。