[发明专利]功能损害型网络安全威胁识别装置及信息系统

权利要求书

1.一种功能损害型网络安全威胁识别装置，其特征在于，包括：威胁行为判断定义模块、威胁发起者识别模块、威胁作用的资产识别模块、威胁路径识别模块、威胁能力识别模块、威胁发生频率识别模块和威胁发生时机识别模块；其中，

所述威胁行为判断定义模块，用于获取威胁行为数据，判断所述威胁行为数据是否为功能损害型网络安全威胁行为，生成对应的威胁行为信号，并根据所述威胁行为信号和预设威胁定义数据，查询所述威胁行为数据对应的威胁定义，生成威胁定义信号；

所述威胁发起者识别模块、所述威胁作用的资产识别模块和所述威胁路径识别模块分别与所述威胁行为判断定义模块相连，用于根据所述威胁行为信号和所述威胁定义信号，判断威胁发起者、威胁作用的资产和威胁路径，并生成对应的威胁发起者信号、威胁作用的资产信号和威胁路径信号；

所述威胁能力识别模块分别与所述威胁行为判断定义模块和所述威胁发起者识别模块相连，用于根据所述威胁行为信号，判断威胁能力，并根据所述威胁能力、所述威胁发起者信号和预设威胁能力数据，确定所述威胁能力的等级，并生成威胁能力等级信号；

所述威胁发生频率识别模块分别与所述威胁行为判断定义模块和所述威胁发生时机识别模块相连，用于根据所述威胁行为信号，判断威胁发生频率，并根据所述威胁发生频率和预设威胁发生频率数据，确定所述威胁发生频率的等级，并生成威胁发生频率等级信号，以及根据修正信号，修正所述威胁发生频率的等级，并重新生成威胁发生频率等级信号；

所述威胁发生时机识别模块与所述威胁行为判断定义模块相连，用于根据所述威胁行为信号，判断威胁发生时机，确定所述威胁发生时机所处阶段，生成所述修正信号。

2.根据权利要求1所述的功能损害型网络安全威胁识别装置，其特征在于，所述功能损害型网络安全威胁行为包括：操作失误、维护错误、网络攻击、权限伪造、行为否认、权限滥用和人员可用性破坏；其中，所述网络攻击包括：服务拒绝攻击、利用型攻击、信息收集型攻击和综合性攻击。

3.根据权利要求1所述的功能损害型网络安全威胁识别装置，其特征在于，所述威胁行为判断定义模块进一步包括：威胁行为判断模块和威胁定义查询模块；其中，

所述威胁行为判断模块分别与所述威胁发起者识别模块、所述威胁作用的资产识别模块、所述威胁路径识别模块、所述威胁能力识别模块、所述威胁发生频率识别模块和所述威胁发生时机识别模块相连，用于获取威胁行为数据，判断所述威胁行为数据是否为功能损害型网络安全威胁行为，生成对应的威胁行为信号；

所述威胁定义查询模块分别与所述威胁行为判断模块、所述威胁发起者识别模块、所述威胁作用的资产识别模块和所述威胁路径识别模块相连，用于根据所述威胁行为信号和预设威胁定义数据，查询所述威胁行为数据对应的威胁定义，生成威胁定义信号。

4.根据权利要求1所述的功能损害型网络安全威胁识别装置，其特征在于，所述威胁发生时机识别模块进一步包括：威胁发生时机模块和威胁发生时机判断模块；其中，

所述威胁发生时机模块与所述威胁行为判断定义模块相连，用于根据所述威胁行为信号，判断威胁发生时机，生成威胁发生时机信号；

所述威胁发生时机判断模块分别与所述威胁发生时机模块和所述威胁发生频率识别模块相连，用于根据所述威胁发生时机信号，确定所述威胁发生时机所处阶段，生成所述修正信号，并将其输出至所述威胁发生频率识别模块。

5.根据权利要求4所述的功能损害型网络安全威胁识别装置，其特征在于，所述威胁发生时机判断模块又进一步包括：特殊阶段数据库模块和判断比较模块；其中；

所述特殊阶段数据库模块，用于存储特殊阶段的地址和数据；

所述判断比较模块分别与所述威胁发生时机模块、所述特殊阶段数据库模块和所述威胁发生频率识别模块相连，用于将所述威胁发生时机信号与所述特殊阶段数据库模块中存储的地址进行比较，若相同，根据所述特殊阶段数据库模块中存储的对应数据查询对应的外部数据库；若所述外部数据库中存在对应的数据，确定威胁发生时机所处阶段为特殊阶段，生成所述修正信号，并将其输出至所述威胁发生频率识别模块；若所述外部数据库中不存在对应的数据，确定威胁发生时机所处阶段为普通阶段。