[发明专利]一种用于信息系统的威胁数据处理方法

权利要求书

1.一种用于信息系统的威胁数据处理方法，其特征在于，包括：

将获取的信息安全事件映射为潜在威胁指标和既有威胁指标；

对所述既有威胁指标进行威胁频率计算，并将频率计算的结果赋值到与所述信息安全事件关联的安全域威胁指标中；

按照预设的周期，根据预设的威胁源对所述潜在威胁指标进行信息采集、范式化并关联为威胁多元组；

对目标信息系统的日志中的各所述威胁要素进行索引，将所述威胁多元组按照指数化计算方法计算出各元组的发生概率，并赋值映射为威胁值；

根据所述安全域威胁指标和所述威胁值生成相应的数据模型，以对所述信息系统的安全进行评估；

所述根据所述安全域威胁指标和所述威胁值生成相应的数据模型，以对所述信息系统的安全进行评估，包括：

计算所述信息系统的威胁指数，所述威胁指数为所述威胁多元组的各所述元组的威胁值的算术平均值；

建立仪表图模型，表示所述算术平均值和所述安全域威胁指标，以对所述信息系统的安全进行评估；

所述对所述既有威胁指标进行威胁频率计算，并将频率计算的结果赋值到与所述信息安全事件关联的安全域威胁指标中，包括：

获取所述既有威胁指标的威胁种类；

根据所述既有威胁指标对应的各类威胁的频率计算相应的安全威胁指数；

计算各所述安全威胁指数的算术平均值，记为与所述信息安全事件关联的安全域威胁指数；

其中，对潜在威胁指标的赋值要参考4条威胁要素，具体包括国家权威机构发布的热点威胁预警报告；权威、公认的威胁情报来源；集团公司发布的重大事故情报；第三方机构的风险评估、渗透测试报告；

在对潜在威胁指标的赋值之前还要进行威胁要素提取，具体的，威胁要素的提取过程包括：

将威胁要素提取并格式化为威胁因子；

将威胁因子与信息安全事件分别进行索引；

通过威胁建模，采集信息安全事件影响度、结合因子爆发频率，计算出各因子的威胁度；

以安全域为单位，对域中各地址威胁值进行算术平均值计算，获得安全域的威胁指标值。

2.根据权利要求1所述的方法，其特征在于，所述按照预设的周期，根据预设的威胁源对所述潜在威胁指标进行信息采集、范式化并关联为威胁多元组，包括：

按照预设的周期，根据预设的国家标准、行业标准、集团制度、业界威胁情报和风险评估对所述潜在威胁指标进行信息采集和范式化；

对所有的威胁要素进行梳理和分类并形成符合所述目标信息系统当前状态的威胁多元组。

3.根据权利要求2所述的方法，其特征在于，所述对所有的威胁要素进行梳理、分类、裁剪并形成符合所述目标信息系统当前状态的威胁多元组，包括：

对所有的威胁要素进行梳理，并将所述威胁要素分为合规审计类、威胁攻击类、木马病毒类、阈值告警类、故障告警类、骨干链路告警类和异常检测类。

4.根据权利要求3所述的方法，其特征在于，所述对目标信息系统的日志中的各所述威胁要素进行索引，将所述威胁多元组按照指数化计算方法计算出各元组的发生概率，并赋值映射为威胁值，包括：

对所述威胁因子进行索引，获取所述威胁因子所属的元组；

通过反正切函数算法计算各所述元组的威胁度；

对各所述威胁度进行赋值，将各所述威胁度映射为对应的威胁值。

5.根据权利要求1所述的方法，其特征在于，所述将获取的信息安全事件映射为潜在威胁指标和既有威胁指标，包括：

在所述目标信息系统经过范式化后的日志中获取若干事件；

对各所述事件进行审核，判断各所述事件是否为威胁指标事件；

将审核通过的威胁指标事件判定为信息安全事件；

建立事件到威胁的映射，将所述信息安全事件映射为潜在威胁指标和既有威胁指标。

6.根据权利要求1所述的方法，其特征在于，所述根据所述安全域威胁指标和所述威胁值生成相应的数据模型，以对所述信息系统的安全进行评估，还包括：

建立雷达图模型，展示所述威胁多元组的各所述元组的威胁值，以对所述信息系统的安全进行评估。

7.根据权利要求6所述的方法，其特征在于，根据所述安全域威胁指标和所述威胁值生成相应的数据模型，以对所述信息系统的安全进行评估，还包括：

建立帕累托图模型，展示所述威胁多元组的各所述元组的威胁值，以对所述信息系统的安全进行评估。