(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN114301716A(43)申请公布日2022.04.08(21)申请号202210161116.8(22)申请日2022.02.22(71)申请人绿盟科技集团股份有限公司地址100089北京市海淀区北洼路4号益泰大厦5层申请人北京神州绿盟科技有限公司(72)发明人程晓妮杨逸斐高辉力潘登黄俊(74)专利代理机构北京同达信恒知识产权代理有限公司11291代理人李静(51)Int.Cl.H04L9/40(2022.01)权利要求书3页说明书13页附图5页(54)发明名称一种网络安全评估方法、装置、网络安全设备及存储介质(57)摘要本申请实施例公开了一种网络安全评估方法、装置、网络安全设备及存储介质，该方法中：获取网络安全事件集合；各个网络安全事件是在各个网络资产的数据传输过程中获得的，各个网络资产为具有独立IP的实体设备；针对每个网络安全事件，确定包括网络资产、攻击关系和攻击系数的攻击参数；再确定各个资产组之间的攻击关系和攻击次数；根据各个资产组之间的攻击关系和攻击次数，确定具有攻击关系的每两个资产组之间的攻击关系对值；基于各个攻击关系对值和预设资产组数量阈值，确定目标资产组集合和其中具有攻击关系的每两个资产组之间的目标攻击关系和目标攻击次数。以便评估网络环境的安全性能，并定位网络威胁对应的资产组，进一步分析网络威胁。CN114301716ACN114301716A权利要求书1/3页1.一种网络安全评估方法，其特征在于，应用于网络安全设备，所述方法包括：获取网络安全事件集合；其中，所述网络安全事件集合中的各个网络安全事件是在各个具有独立IP的实体设备的数据传输过程中获得的，所述网络安全设备和各个所述实体设备处于同一网络环境；针对每个所述网络安全事件，确定所述网络安全事件的攻击参数；其中，所述攻击参数包括所述网络安全事件的网络资产、各个所述网络资产之间的攻击关系和攻击次数；其中，各个所述网络资产为符合预设条件的具有独立IP地址的实体设备；基于预先设定的网络资产与资产组的隶属关系，以及各个网络安全事件的攻击参数，确定各个资产组之间的攻击关系和攻击次数；其中，每个资产组中包括至少一个网络资产；根据各个资产组之间的攻击关系和攻击次数，确定具有攻击关系的每两个资产组之间的攻击关系对值；基于各个所述攻击关系对值和预设资产组数量阈值，确定目标资产组集合、所述目标资产组集合中的具有攻击关系的每两个资产组之间的目标攻击关系和目标攻击次数；其中，所述目标资产组集合、所述目标攻击关系和所述目标攻击次数用于评估所述网络环境的安全性能。2.根据权利要求1所述的方法，其特征在于，所述根据各个资产组之间的攻击关系和攻击次数，确定具有攻击关系的每两个资产组之间的攻击关系对值，包括：根据各个资产组之间的攻击关系和攻击次数，确定每个资产组对应的攻击次数总和；根据各个资产组之间的攻击关系和各个所述资产组对应的攻击次数总和，确定具有攻击关系的两个资产组之间的攻击关系对值。3.根据权利要求1所述的方法，其特征在于，所述针对每个所述网络安全事件，确定所述网络安全事件的攻击参数，包括：确定所述网络安全事件的类型；其中，所述网络安全事件的类型为一对一安全事件、一对多安全事件、多对一安全事件和多对多安全事件中的任意一个；若所述网络安全事件的类型为非一对一安全事件，则根据所述网络安全事件中的源地址字段和目的地址字段，将所述网络安全事件拆分为至少两个一对一安全事件；针对每个一对一安全事件，确定所述一对一安全事件中的网络资产、攻击关系和攻击次数；汇总各个所述一对一安全事件中的网络资产、攻击关系和攻击次数，得到所述网络安全事件中的网络资产，各个网络资产间的攻击关系和每组攻击关系对应的攻击次数。4.根据权利要求1所述的方法，其特征在于，所述基于预先设定的网络资产与资产组的隶属关系，以及各个网络安全事件的攻击参数，确定各个资产组之间的攻击关系和攻击次数，包括：针对每个网络安全事件，基于预先设定的网络资产与资产组的隶属关系，确定所述网络安全事件中的网络资产所属的资产组；针对任意具有攻击关系的两个资产组，将所述两个资产组中的各个网络资产之间的攻击次数按照相应的攻击关系取和，作为所述两个资产组之间的攻击次数；并根据所述两个资产组中的各个网络资产的攻击关系确定所述两个资产组之间的攻击关系。5.根据权利要求1～4任一项所述的方法，其特征在于，所述基于各个所述攻击关系对2CN114301716A权利要求书2/3页值和预设资产组数量阈值，确定目标资产组集合包括：按照攻击关系对值从大到小的顺序，依次确定出每个攻击关系对值对应的资产组；若前N个攻击关系对值确定的资产组的数量为M，则确定所述M个资产组构成所述目标资产组集合；其中，所述