[发明专利]一种网络安全事件的关联分析方法、装置及存储介质

权利要求书

1.一种网络安全事件的关联分析方法，其特征在于，包括：

获取网络安全队列，其中，所述网络安全队列包括多条网络安全事件；

根据每条网络安全事件的基础信息，计算该条网络安全事件的权重值，其中，所述基础信息包括所述网络安全事件对应的目标主机的漏洞信息和主机信息；

将所述多条网络安全事件的权重值按照预设顺序进行排列。

2.根据权利要求1所述的网络安全事件的关联分析方法，其特征在于，对于任一条网络安全事件，所述计算该条网络安全事件的权重值，包括：

分别计算所述网络安全事件的第一参数Reliability、第二参数Asset和第三参数Priority，所述第一参数Reliability用于指示所述网络安全事件的告警成功概率，所述第二参数Asset用于指示所述网络安全事件对应的目标主机的资产关键度，所述第三参数Priority用于指示所述网络安全事件的用户关心度和攻击类型的严重度；

根据所述第一参数Reliability、所述第二参数Asset和所述第三参数Priority，按照预设算法，计算所述网络安全事件的权重值Alert_weight。

3.根据权利要求2所述的网络安全事件的关联分析方法，其特征在于，所述主机信息包括当前主机的操作系统Os、开发的端口Port、开放的服务Service、运行的软件Application、操作系统的版本Version和资产值；

所述计算所述网络安全事件的第一参数Reliability，包括：

将所述漏洞信息，所述操作系统Os，所述开发的端口Port，所述开放的服务Service，所述运行的软件Application，所述操作系统的版本Version和所述资产值输入到贝叶斯网络中，得到所述第一参数Reliability。

4.根据权利要求2所述的网络安全事件的关联分析方法，其特征在于，所述计算所述网络安全事件的第三参数Priority，包括：

根据所述网络安全事件的告警严重性，确定初始参数值；

根据漏洞知识库中存储的漏洞与告警的对应关系，修正所述初始参数值，得到修正参数值；

根据预设的安全规则和所述修正参数值，确定所述第三参数Priority。

5.根据权利要求4所述的网络安全事件的关联分析方法，其特征在于，所述根据漏洞知识库中存储的漏洞与告警的对应关系，修正所述初始参数值，得到修正参数值，包括：

判断所述漏洞知识库中是否存在与所述网络安全事件的告警对应的漏洞；

若存在与所述网络安全事件的告警对应的漏洞、且漏洞的Priority值大于所述初始参数值，则将所述漏洞的Priority值设为所述修正参数值。

6.根据权利要求2所述的网络安全事件的关联分析方法，其特征在于，所述第一参数Reliability的取值在0-1的范围内；所述第二参数Asset的取值为0-10之间的整数；所述第三参数Priority的取值为0-10之间的整数。

7.根据权利要求2所述的网络安全事件的关联分析方法，其特征在于，所述按照预设算法，计算所述网络安全事件的权重值Alert_weight，包括：

按照公式

，

计算所述网络安全事件的权重值Alert_weight；

其中，δ1为所述第一参数Reliability的权重值，δ2为所述第二参数Asset的权重值，δ3为所述第三参数Priority的权重值，δ4=δ1+δ2+δ3。

8.根据权利要求1所述的网络安全事件的关联分析方法，其特征在于，所述多条网络安全事件的权重值按照从大到小的顺序进行排列；或者，所述多条网络安全事件的权重值按照从小到大的顺序进行排列。

9.一种网络安全事件的关联分析装置，其特征在于，包括：处理器，所述处理器用于在执行计算机程序时实现如权利要求1-8中任一所述的网络安全事件的关联分析方法。

10.一种计算机可读存储介质，存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1-8中任一所述的网络安全事件的关联分析方法。