[发明专利]网络风险感知方法及防御方法

权利要求书

1.一种网络风险感知方法，其特征在于，包括：

根据对告警消息预设的相似度计算方法，对入侵检测系统收集的告警数据进行聚合，得到精简告警集；

对所述精简告警集进行关联分析，得到已完成攻击链；

将所述已完成攻击链与预先储备的完整攻击链进行匹配，并利用预设的威胁度算法计算所述已完成攻击链的威胁度；

对主机进行漏洞扫描，以查询所述主机的CVSS漏洞评分，并对所述主机进行开放端口扫描，以计算开放端口攻击利用率；

利用预设的评估办法，对所述威胁度、所述CVSS漏洞评分和所述开放端口攻击利用率分别进行评估，并将评估结果作为网络风险的指标，以得到对所述网络风险的感知；

其中，所述利用预设的评估办法，对所述威胁度、所述CVSS漏洞评分和所述开放端口攻击利用率分别进行评估，包括，

对于所述CVSS漏洞评分，将7.0-10.0分设为评分较高，将0.1-3.9分设为评分较低，将7.0分预设为第一阈值，将3.9分预设为第二阈值；

将CVSS漏洞评分大于等于第一阈值，评估为较高；将CVSS漏洞评分小于等于第二阈值，评估为较低；

响应于所述威胁度和所述开放端口攻击利用率在一定时间内均持续增长，确定评估为高攻击威胁；响应于所述威胁度和所述开放端口攻击利用率在一定时间内不持续增长，确定评估为低攻击威胁。

2.根据权利要求1所述的方法，其特征在于，所述对入侵检测系统收集的告警数据进行聚合，得到精简告警集，具体包括：

对所述入侵检测系统收集到的多条告警数据中的每一条，提取其中的相应字段，包括：标识号、时间戳、告警消息、目地IP和网络协议；并利用所述字段，构建所述告警数据的元组：a_i＝[id，timestamp，msg，dstIP，proto]，1≤i≤n，其中，id为标识号、timestamp为时间戳、msg为告警消息、dstIP为目地IP、proto为网络协议；

将多条所述告警数据的元组根据其时间戳，按照时间的先后进行排列，组成原始告警集合：RA＝{a₁,a₂,a₃,…,a_n}，再将所述原始告警集合以固定的时间窗口进行划分；

对每个时间窗口内的符合聚合条件的所述元组进行聚合，得到所述精简告警集。

3.根据权利要求2所述的方法，其特征在于，所述聚合条件为：元组a_i与a_j的目地IP相同且网络协议相同且所述告警消息的所述相似度小于δ；其中，a_i、a_j∈RA；

所述相似度计算方法为：

对所述元组a_i与a_j的告警消息进行文本相似度计算，得到相似度s_t；

提取所述元组a_i与a_j的告警消息中涉及网络协议的词语；

对所述涉及网络协议的词语进行文本相似度计算，得到相似度s_p；

根据相似度公式：得到所述告警消息的所述相似度。

4.根据权利要求1所述的方法，其特征在于，对所述精简告警集进行关联分析，得到已完成攻击链，具体包括：

设定长度为ω的滑动窗口，并从所述精简告警集中进行事务提取，得到事务集；

利用关联分析算法计算所述事务集中的若干个频繁二项集的支持度；

删除支持度较低的频繁二项集；

扫描剩余的频繁二项集，得到攻击链集合；其中，对于任意两个所述频繁二项集，若一个所述频繁二项集的首项与另一所述频繁二项集的尾项相同，则将其连接成为攻击链；

计算攻击链集合中的每一条所述攻击链的置信度；

选择置信度最高的一条所述攻击链作为所述已完成攻击链。

5.根据权利要求4所述的方法，其特征在于，所述攻击链集合中的每一条攻击链的置信度的计算方法为：

计算攻击链中每一个频繁二项集的置信度；

将所述攻击链中每一个频繁二项集的置信度相乘，得到该攻击链的置信度。