[发明专利]网络安全评估方法、装置、设备及存储介质

说明书

本申请适用于网络安全技术领域，提供了一种网络安全评估方法、装置、设备及存储介质。方法包括获取目标网络在多个连续时间窗口上的网络攻击数据集；其中，每个网络攻击数据集包括多种用于描述攻击事件的攻击信息；对多个网络攻击数据集进行处理，生成每一种攻击信息的攻击趋势图，根据多种攻击趋势图对目标网络的安全性进行评估。本申请提供的网络安全评估方法，一方面可以根据攻击趋势图对攻击事件的各攻击信息的变化趋势进行预判，提高了网络安全评估的时效性；另一方面，基于多种攻击信息的攻击趋势图，可以完整的描述网络攻击过程，相比于现有技术中基于孤立的告警信息进行评估的方法，提高了网络安全评估的准确性。

技术领域

本申请属于网络安全技术领域，尤其涉及一种网络安全评估方法、装置、设备及存储介质。

背景技术

工业控制系统(Industrial Control System，以下简称ICS)控制现在工业基础设施(例如电力系统、石油与天然气系统、化工业系统、水利系统、交通控制系统以及工业制造系统等)的运行。随着现代工业基础设施的发展，ICS由封闭孤立式的系统向开放互联式的系统转变，导致ICS面临大量的网络攻击，给ICS的信息安全带来风险，及时、准确的识别ICS的网络中的网络攻击事件对提高ICS的网络安全性至关重要。

现有技术中，通过在网络设备，例如入侵防护系统(Intrusion PreventionSystem,以下简称IPS)设备上配置网络攻击黑名单，以使得网络设备通过该黑名单监测网络攻击，并进行告警。

只有在目标设备受到网络攻击后，才可以获取到该网络攻击事件的攻击信息，网络安全评估存在一定的滞后，导致网络安全评估的时效性较差；且当前的网络攻击多通过孤立的告警信息进行展示，无法从整体上描述网络攻击过程，导致网络安全评估的准确性较差。

发明内容

有鉴于此，本申请实施例提供了一种网络安全评估方法、装置、设备及存储介质，以解决现有技术中网络安全评估时效性以及准确性较差的技术问题。

第一方面，本申请实施例提供了一种网络安全评估方法，包括：

获取目标网络在多个连续时间窗口上的网络攻击数据集；其中，每个网络攻击数据集包括多种用于描述攻击事件的攻击信息；

对多个网络攻击数据集进行处理，生成每一种攻击信息的攻击趋势图；

根据多种攻击趋势图对目标网络的安全性进行评估。

在第一方面的一种可能的实现方式中，获取目标网络在多个连续时间窗口上的网络攻击数据集，包括：

接收各网络监测设备在多个连续时间窗口上采集的攻击信息；其中，攻击信息包括各个攻击事件的源IP地址、目标IP地址、目标网络协议以及攻击数据包；

根据预设规则对各攻击事件的攻击数据包进行分析，确定每个攻击事件的攻击等级；

按照预先得到的源IP地址与攻击组织之间的对应关系，确定每个攻击事件的源IP地址对应的攻击组织；

针对每个时间窗口，根据该时间窗口上的所有攻击事件的源IP地址、目标IP地址、目标网络协议、攻击等级以及攻击组织生成目标网络在该时间窗口的网络攻击数据集。

在第一方面的一种可能的实现方式中，对多个网络攻击数据集进行处理，生成每一种攻击信息的攻击趋势图，包括：

根据各个攻击事件的源IP地址，对各个攻击事件的攻击源进行分组，生成多个攻击源区；

针对每个攻击源区，根据多个网络攻击数据集，确定该攻击源区在各个时间窗口上发起攻击事件的频次，并生成该攻击源区的攻击事件变化图；

或，

根据各个攻击事件的目标IP地址，将各个攻击事件的攻击目标进行分组，生成多个攻击目标区；