[发明专利]一种威胁量化企业风险值的方法

说明书

本发明公开了一种威胁量化企业风险值的方法，该方法使用基于网络的威胁检测引擎与基于主机的入侵检测系统相结合的方式进行关联测试威胁，所述网络威胁检测引擎部署在中央管理器上，在检测到网络威胁之后，将这些威胁情报汇总到主机检测的引擎中，通过AI引擎分析威胁，得到风险检测结果，最后通过公式运算，得到威胁风险值。本发明有机结合了基于网络的威胁检测与基于主机的入侵检测，可操作性强，能够有效维护网络安全、企业业务安全和稳定性，通过威胁风险值可以更直观地看到企业的威胁风险，为中小型企业部署伪装代理提供了便利。

技术领域

本发明涉及一种计算机信息安全检测领域，具体涉及一种威胁量化企业风险值的方法。

背景技术

现有技术中，已有计算机检测企业威胁的方法，一般的检测威胁的方式都是单独的基于主机的威胁检测，或者是单独的基于网络的威胁检测，不存在同时检测主机和网络方面的威胁，并且更精准的量化企业威胁量化值的方法，使用者难以对威胁的严重程度有一个比较直观了解。所以，本技术方案要解决的技术问题是如何将两者结合起来，既能检测主机方面的威胁，又能检测网络方面的威胁。

发明内容

发明目的：本发明的目的在于针对现有技术的不足，提供一种威胁量化企业风险值的方法，相较于现有技术，结合了基于主机的检测方式和基于网络的检测方式，此两种方式并非两个独立的框架，而是在检测到网络威胁之后，将这些威胁情报汇总到主机检测的引擎中，通过AI引擎分析威胁，得到风险检测结果。

一种威胁量化企业风险值的方法，其特征在于：该方法使用网络威胁检测引擎与基于主机的入侵检测系统相结合的方式进行关联测试威胁，所述网络威胁检测引擎部署在中央管理器上，包括以下步骤：

步骤1：基于网络威胁检测，使用一种 AI Engine网络威胁检测引擎，进行网络层方面的检测，能够实时进行入侵检测、入侵防御、网络安全监控和离线pcap数据包文件处理，使用广泛且完整的签名语言来匹配已知的威胁、策略违反以及恶意行为和异常行为，从而发现来自各个端口上的异常流量，网络威胁检测系统收集异常行为数据后转发给网络威胁检测引擎进行分析，并将分析结果转发给中央管理器；

步骤2：基于主机的入侵检测，使用一种基于主机的入侵检测系统，所述基于主机的入侵检测系统含有一个中央管理器(manager)以及若干个代理服务器（agent），所述代理服务器会通过一种安全且经过身份验证的通道收集系统数据，所述主机入侵检测系统对收集到的数据进行分析，并将分析结果转发给中央管理器；

步骤3：中央管理器分别接收网络威胁检测引擎的分析和基于主机的入侵检测系统的分析，综合二者，中央管理器进行AI Engine分析，最后，产生安全警报发送给管理员。

所述步骤1中，基于网络威胁检测，在网络层确定网络威胁来源的IP地址和端口、网络流量通过的传输协议以及去向的主机IP地址和端口，并且记录下检测到该网络流量的时间，以及对该网络流量的特征进行分析。

所述步骤2中，基于主机的入侵检测系统支持检测Rootkit、恶意软件和系统异常，并可以对系统配置文件进行基本安全检查，对指定文件的完整性、内容和其他属性进行监视，对注册表项进行监视。

所述的步骤2中，基于主机的入侵检测主要针对主机的威胁来源的IP地址与端口，检测该威胁对基于主机的入侵检测系统中被威胁的主机进行的威胁操作，以及检测威胁的信息，包括威胁的具体时间、涉及的相关网络协议和数据包具体特征等。

所述步骤2中，通过主机的入侵检测系统对检测到的威胁事件进行等级划分，威胁等级以数字标明，威胁事件主要分为探测事件和入侵事件，对特定事件的加权取值进行计算，使用指数函数计算出探测事件与入侵事件相互作用下的风险值K，公式如下：

，