[发明专利]一种基于情报分析的资产安全评估方法及系统

权利要求书

1.一种基于情报分析的资产安全评估方法，其特征在于，所述方法包括：

边缘层采集设备资产数据，包括各网络节点存储的文件、数据库保存的密钥、数据库保存的映射关系表、局域网的电子邮箱、各网络节点的IP地址，将所述文件、密钥、映射关系表、电子邮箱、IP地址分别逐个虚拟化为单件第二类数字资产，分别使用文件名、密钥摘要、表名、邮箱地址、IP地址作为所述第二类数字资产的标识信息；

汇总各网络节点的设备类型和设备标识，根据所述设备类型和设备标识将各网络节点虚拟化为单件第一类数字资产，使用所述设备标识作为所述第一类数字资产的标识信息；所述第一类数字资产下属若干个所述第二类数字资产，所述第一类数字资产之间保留网络层级信息，将所述网络层级信息插入到所述设备标识中；

通过网关设备或中继设备监听信道传输的业务数据包，通过解析所述业务数据包获取数据加密信息，将业务数据包、数据加密信息分别虚拟化为单件第三类数字资产，分别使用业务名、加密算法名作为所述第三类数字资产的标识信息；

根据资产的隶属关系和连接关系，将所述第一类数字资产、第二类数字资产和第三类数字资产构建树形拓扑结构，并用各自的标识信息进行标记，所述连接关系包括传输方向；

使用哈希算法对各自三类数字资产的数据信息进行哈希运算，生成各自三类数字资产的指纹信息，所述资产的数据信息包括标识信息、描述信息、摘要、使用者、时间戳、树形拓扑结构位置，将所述指纹信息携带在数字资产的交互动作中、或传输的数据流中；

通过数据采集器收集交换机的镜像流量、网络流量日志、安全设备日志以及传输文件的原始数据，以及从多方不同数据源接收漏洞信息、病毒库信息、网络攻击行为特征的情报数据，进行实时的预处理后，得到标准化的情报数据流；

从所述情报数据流中提取要素，发现要素中包括的行为动作、访问对象、来源者地址、瞬时流量大小中的一种或若干种，从中发掘高频项目组，根据高频项目组对应的信息生成高频关联规则，加大其对应的权重，将更新权重后的数据进行数据融合，组成树状结构；

将所述情报数据流送入第一机器学习模型，检测是否包括第一攻击向量；

将所述树状结构的图形数据送入第二机器学习模型，进行形态分析，根据图形的树状结构，找出其中的关键节点，所述关键节点包括源点、分裂出并行的轨迹的节点、分裂出分支的节点、或者跨网的节点，比较所述树状结构的形状和覆盖范围与数据库中历史攻击面的形态数据的相似度，当相似度数值落入预设的区间内时，则认定当前所述树状结构与历史某一次攻击面形态吻合，调取所述历史某一次攻击面的攻击向量作为第二攻击向量；

将所述情报数据流再次送入第一机器学习模型，检测是否包括第二攻击向量；

当所述第一机器学习模型检测出所述情报数据流中包括所述第一攻击向量或第二攻击向量时，标记所述第一攻击向量或第二攻击向量所在的节点为异常，开始根据数字资产的指纹信息对所述第一攻击向量和第二攻击向量分别进行并行溯源，通过查找异常节点包括的指纹信息，直接找到对应的数字资产，将其状态标记为不安全；

汇总网络内的各项数字资产的安全状态，不安全的数字资产的分布情况，评估网络内数字资产是否需要使用防御策略。

2.根据权利要求1所述的方法，其特征在于：所述防御策略包括：完全隔离单个设备或用户、完全禁止单项业务、仅拒绝单个设备或用户开展指定的单项业务、仅拒绝单个设备或用户修改数据中的一种或若干种；

根据网络节点的负载情况自动部署防御策略，若关键节点负载小于预设的阈值，则直接在关键节点部署，否则，为关键节点选择负载小于阈值的邻近网络节点部署，切断关键节点向外传输的路径；

当所述邻近网络节点的负载上升大于阈值时，先判断关键节点负载是否还大于阈值，如果是，为关键节点切换到第二邻近网络节点部署策略，所述第二邻近网络节点是在关键节点潜在的传播路径上；

定期检测关键节点的负载情况，当负载稳定小于阈值时，则将部署切换回关键节点。

3.根据权利要求1-2任一项所述的方法，其特征在于：指定的企业人员能够根据管理权限手动登记所述数字资产。