[发明专利]基于暗网威胁情报分析的网络资产风险评估方法及系统

说明书

本发明公开了基于暗网威胁情报分析的网络资产风险评估方法及系统，涉及网络资产风险预警技术领域，其中包括以下步骤：获取用于评估网络资产风险的暗网威胁情报数据，得到威胁情报数据集，利用WCA‑WSA算法对威胁情报数据集进行中文文本分词，并进行NLP分析，获取威胁情报数据的内部特征；利用ITAA‑SE算法，获取威胁情报数据的时效性；并利用NARA‑DW算法，分别计算暗网威胁情报关联资产价值A、暗网威胁情报威胁发生概率T，将威胁情报数据的时效性作为暗网威胁情报关联脆弱性严重程度V，计算威胁情报关联资产的风险值，进行待评定资产的网络资产风险评估。本发明利用暗网威胁数据，实现了攻击者角度资产风险的判定。

技术领域

本发明涉及网络资产风险预警技术领域，具体为基于暗网威胁情报分析的网络资产风险评估方法及系统。

背景技术

随着世界信息化的普及与网络技术的持续发展，网络空间成为继陆、海、空、天之后的“第五空间”，网络空间安全建设刻不容缓。然而，网络攻击方式逐渐成熟，传统的网络安全被动防御技术难以应对当下层出不穷的攻击形式，网络资产风险评估预警等主动防御手段成为了研究热点。

网络资产风险评估预警，使用获得的威胁情报数据对待评估资产进行分析，通过资产脆弱性、资产相关威胁、资产价值发现其安全隐患，并完成风险评估预警。风险评估预警可评定出风险程度与优先级，在攻击到来前充分利用有限的资源完成资产主动防御。作为强力的网络资产安全管理手段，相关领域已对其风险评估标准进行了深入研究。其中，风险计算函数一般为关于资产、威胁与脆弱性的函数，表示为：

Risk＝R(A,T,V)

然而，当下网络资产风险评估方法研究主要集中于对评估过程与风险判定的创新，未充分考虑评估情报数据的合理性。传统的风险评估情报数据存在数据分散难以统一，来源分散，时效性与信息价值较低，难以预测实际黑客攻击倾向，且导致指标评估时具有主观性的问题。

情报具有时效性，威胁情报数据蕴含的问题更是要求对其搜集分析时必须准确、全面、及时，使得防御方在时间维度上占据主动。现有的情报提取过程被批评为对已知威胁的内在反应，为了解决这类问题，CTI专家建议积极调查庞大的国际在线黑客社区中新出现的威胁。2018年IntSights在报告中指出，暗网中的威胁情报可以更客观全面地感知网络威胁的发展态势，更加准确、尽早地帮助决策者积极进行主动防御部署。据统计，总Web占比大约96％由深网组成，暗网处于深网最深处，由于独有的隐蔽性、匿名性、难监管特点，其成为不法分子、网络攻击发起者交流、交易的天然平台。从信息角度来说，暗网包含信息量为表网的40多倍，高价值信息为表网的1000-2000倍。暗网网站服务类别与其所占比例如图1所示

由Cybersixgill与Dark Reading合作，通过调研大型企业106位网络安全主管后发布的《2021年威胁情报发展报告》表明，暗网威胁情报在整个网络安全行业中越来越受重视。因此，基于暗网的威胁情报数据具有重要的研究价值和挖掘意义，可为网络资产风险评估预警提供评估数据支持。目前，关于暗网威胁情报领域的研究主要针对其内部特征进行分析，缺乏以威胁情报为基础的后续任务分析，且未考虑事件级情报时效性。

发明内容

本发明提出了基于暗网威胁情报分析的网络资产风险评估方法及系统，以具有时效性的暗网威胁情报分析为基础的，提出了面向攻击者角度的网络资产风险评估预警方法。

本发明提供了基于暗网威胁情报分析的网络资产风险评估方法，包括以下步骤：

获取用于评估网络资产风险的暗网威胁情报数据，得到威胁情报数据集；

获得专业词语分词词典，并通过自适应调整消除威胁情报数据集中的词语细粒度，得到威胁情报数据的分词文本，并对其进行NLP分析，获取威胁情报数据的内部特征；