攻击者威胁评分方法及相关装置与流程

1.本技术涉及网络安全技术领域，尤其涉及一种攻击者威胁评分方法及相关装置。


背景技术：

2.随着科技的发展，网络威胁越来越频繁，各行各业的用户也越来越重视安全防护，采购了各种安全设备、安全工具，形成了自身的安全防护体系。其中最为常见的包括siem(security information and event management，安全信息和事件管理)和soc(security operation center，安全运营中心)类工具。网络攻击来源的广泛性和攻击工具的自动化导致网络中出现了非常多的攻击告警，即使使用了各种安全工具对告警进行分析、合并、过滤，仍然会有较多的告警需要进行处理。
3.相关技术中，针对告警的处理中，较多使用的方式是对攻击来源进行阻断，但是由于很多用户需要对外部提供服务，此时若因为无法明确攻击来源进行了误阻断，可能会对用户的声誉造成影响，而且在外部访问特别多，告警中的攻击来源也非常多的时候，若不能及时发现真正的攻击者，就不能为客户提供良好的安全防护和反制能力。因此，如何进一步提高攻击者威胁评分的准确性，使得用户可以快速发现高威胁源并进行快速处置，从而提高安全防护能力是一个急需解决的问题。


技术实现要素：

4.本技术提供一种攻击者威胁评分方法及相关装置，用于解决如何进一步提高攻击者威胁评分的准确性，使得用户可以快速发现高威胁源并进行快速处置，从而提高安全防护能力的问题。
5.第一方面，本技术实施例提供了一种攻击者威胁评分方法，包括：
6.基于第一指定周期中的攻击事件，提取出攻击源；
7.基于所述攻击源的攻击事件命中的情报类型，确定所述攻击源的情报威胁评分；以及，
8.基于所述攻击源的攻击事件对蜜罐提供的攻击者告警信息的命中情况，确定所述攻击源的蜜罐威胁评分；
9.基于所述情报威胁评分和所述蜜罐威胁评分，确定所述攻击源的先验知识威胁评分；
10.基于多维度信息，确定所述攻击源的攻击信息威胁评分，所述多维度信息包括以下中的至少两种：攻击事件数量、攻击链阶段数量、攻击链阶段等级、攻击事件威胁等级、攻击事件的置信度、攻击结果、攻击目标的资产状态、攻击指向性，所述攻击指向性与针对攻击目标的攻击事件数量具有正相关关系；
11.基于所述先验知识威胁评分和所述攻击信息威胁评分，确定所述攻击源的攻击者威胁评分。
12.在一种可能的实施方式中，所述基于所述情报威胁评分和所述蜜罐威胁评分，确
定所述攻击源的先验知识威胁评分，具体包括：
13.将所述情报威胁评分和所述蜜罐威胁评分加权求和，确定所述攻击源的先验知识威胁评分。
14.在一种可能的实施方式中，所述基于多维度信息，确定所述攻击源的攻击信息威胁评分，具体包括：
15.基于所述攻击链阶段数量、所述攻击指向性和所述攻击目标的资产状态，确定所述攻击源的攻击目标威胁评分；
16.基于所述攻击链阶段等级、所述攻击事件数量、所述攻击事件威胁等级、所述攻击事件的置信度和所述攻击结果，确定所述攻击源的攻击手段威胁评分；
17.将所述攻击目标威胁评分和所述攻击手段威胁评分加权求和，确定所述攻击源的攻击信息威胁评分。
18.在一种可能的实施方式中，所述基于所述攻击链阶段数量、所述攻击指向性和所述攻击目标的资产状态，确定所述攻击源的攻击目标威胁评分，具体包括：
19.基于所述攻击源中的攻击事件，提取出攻击目标，并将所述攻击源的攻击目标威胁评分设置为初始值；
20.基于所述攻击链阶段数量、所述攻击指向性和所述攻击目标的资产状态，确定所述攻击目标的攻击目标威胁评分；
21.若所述攻击源的攻击目标威胁评分小于所述攻击目标的攻击目标威胁评分，则将所述攻击源的攻击目标威胁评分设置为所述攻击目标的攻击目标威胁评分；
22.若所述攻击源的攻击目标威胁评分大于或等于所述攻击目标的攻击目标威胁评分，则所述攻击源的攻击目标威胁评分不变。
23.在一种可能的实施方式中，所述基于所述攻击链阶段数量、所述攻击指向性和所述攻击目标的资产状态，确定所述攻击目标的攻击目标威胁评分，具体包括：
24.基于针对所述攻击目标的事件所包含的攻击链阶段数量，确定所述攻击目标的攻击链覆盖度威胁评分；
25.基于所述针对攻击目标的攻击事件数量和所述攻击源的攻击事件数量，确定所述针对攻击目标的攻击事件数量和所述攻击源的攻击事件数量的比值；
26.基于所述针对攻击目标的攻击事件数量和所述攻击源的攻击事件数量的比值，确定所述攻击目标的攻击事件指向威胁评分；
27.将所述攻击链覆盖度威胁评分和所述攻击事件指向威胁评分加权求和，确定所述攻击目标的攻击意图威胁评分；
28.基于所述攻击目标的资产状态，确定所述攻击目标的资产状态威胁评分；其中所述攻击目标的资产状态包括所述攻击目标的失陷状态、脆弱性值以及资产价值评分；
29.将所述攻击意图威胁评分和所述资产状态威胁评分加权求和，确定所述攻击目标的攻击目标威胁评分。
30.在一种可能的实施方式中，所述基于所述攻击链阶段等级、所述攻击事件数量、所述攻击事件威胁等级、所述攻击事件的置信度和所述攻击结果，确定所述攻击源的攻击手段威胁评分，具体包括：
31.基于所述攻击源的最高攻击链阶段等级，确定所述攻击源的攻击链阶段威胁评
分；
32.基于所述攻击事件数量确定所述攻击源的攻击事件数量威胁评分；
33.基于所述攻击事件威胁等级、所述攻击事件的置信度和所述攻击结果，确定所述攻击源的攻击事件威胁程度威胁评分；
34.将所述攻击链阶段威胁评分、所述攻击事件数量威胁评分和所述攻击事件威胁程度威胁评分加权求和，确定所述攻击源的攻击手段威胁评分。
35.在一种可能的实施方式中，所述基于所述攻击事件数量确定所述攻击源的攻击事件数量威胁评分，具体包括：
36.基于所述攻击源的攻击事件数量，以及所述第一指定周期中的攻击事件数量，确定所述攻击源的攻击事件数量和所述第一指定周期中的攻击事件数量的比值；
37.基于所述攻击源的攻击事件数量和所述第一指定周期中的攻击事件数量的比值，确定所述攻击源的攻击事件占比威胁评分；
38.基于所述攻击源的攻击事件数量，确定所述攻击源的攻击事件总数威胁评分；
39.将所述攻击事件占比威胁评分和所述攻击事件总数威胁评分加权求和，确定所述攻击源的攻击事件数量威胁评分。
40.在一种可能的实施方式中，所述基于所述攻击事件威胁等级、所述攻击事件的置信度和所述攻击结果，确定所述攻击源的攻击事件威胁程度威胁评分，具体包括：
41.基于所述攻击结果为攻击成功的攻击事件的最高所述攻击事件威胁等级，以及所述攻击结果为攻击成功且所述攻击事件威胁等级最高的攻击事件的置信度评分均值，确定所述攻击源的攻击成功事件威胁评分；
42.基于所述攻击源中攻击事件的最高所述攻击事件威胁等级，以及所述攻击事件威胁等级最高的攻击事件的置信度评分均值，确定所述攻击源的攻击事件威胁评分；
43.将所述攻击成功事件威胁评分和所述攻击事件威胁评分加权求和，确定所述攻击源的攻击事件威胁程度威胁评分。
44.在一种可能的实施方式中，所述基于所述先验知识威胁评分和所述攻击信息威胁评分，确定所述攻击源的攻击者威胁评分，具体包括：
45.若具有先验知识，则将所述先验知识威胁评分和所述攻击信息威胁评分加权求和，确定所述第一指定周期中攻击源的攻击者威胁评分；
46.若不具有先验知识，则将所述第一指定周期中攻击源的攻击者威胁评分设置为所述攻击信息威胁评分；
47.将指定数量个第二指定周期的攻击源的攻击者威胁评分进行加权求和，确定所述攻击源的攻击者威胁评分；其中，所述第二指定周期包括多个第一指定周期；其中，将所述第二指定周期中最后一个所述第一指定周期的攻击源的攻击者威胁评分作为所述第二指定周期的攻击源的攻击者威胁评分。
48.在一种可能的实施方式中，所述基于第一指定周期中的攻击事件，提取出攻击源，具体包括：
49.获取所述第一指定周期中的攻击事件以及所述第一指定周期中的每个攻击事件对应的攻击源标识；
50.基于所述第一指定周期中的每个攻击事件对应的攻击源标识，提取出所述第一指
定周期中的攻击事件对应的多个攻击源，以及每个攻击源包括的攻击事件数量。
51.在一种可能的实施方式中，所述基于所述攻击源中的攻击事件，提取出攻击目标，具体包括：
52.获取所述攻击源中的攻击事件以及所述攻击源中的每个攻击事件对应的攻击目标标识；
53.基于所述攻击源中的每个攻击事件对应的攻击目标标识，提取出所述攻击源中的攻击事件对应的多个攻击目标，以及每个攻击目标包括的攻击事件数量。
54.第二方面，本技术实施例提供了一种攻击者威胁评分装置，所述装置包括：
55.攻击源提取模块，用于基于第一指定周期中的攻击事件，提取出攻击源；
56.情报威胁评分确定模块，用于基于所述攻击源的攻击事件命中的情报类型，确定所述攻击源的情报威胁评分；以及，
57.蜜罐威胁评分确定模块，用于基于所述攻击源的攻击事件对蜜罐提供的攻击者告警信息的命中情况，确定所述攻击源的蜜罐威胁评分；
58.先验知识威胁评分确定模块，用于基于所述情报威胁评分和所述蜜罐威胁评分，确定所述攻击源的先验知识威胁评分；
59.攻击信息威胁评分确定模块，用于基于多维度信息，确定所述攻击源的攻击信息威胁评分，所述多维度信息包括以下中的至少两种：攻击事件数量、攻击链阶段数量、攻击链阶段等级、攻击事件威胁等级、攻击事件的置信度、攻击结果、攻击目标的资产状态、攻击指向性，所述攻击指向性与针对攻击目标的攻击事件数量具有正相关关系；
60.攻击者威胁评分确定模块，用于基于所述先验知识威胁评分和所述攻击信息威胁评分，确定所述攻击源的攻击者威胁评分。
61.在一种可能的实施方式中，执行所述基于所述情报威胁评分和所述蜜罐威胁评分，确定所述攻击源的先验知识威胁评分，所述先验知识威胁评分确定模块具体用于：
62.将所述情报威胁评分和所述蜜罐威胁评分加权求和，确定所述攻击源的先验知识威胁评分。
63.在一种可能的实施方式中，执行所述基于多维度信息，确定所述攻击源的攻击信息威胁评分，所述攻击信息威胁评分确定模块具体包括：
64.攻击目标威胁评分确定单元，用于基于所述攻击链阶段数量、所述攻击指向性和所述攻击目标的资产状态，确定所述攻击源的攻击目标威胁评分；
65.攻击手段威胁评分确定单元，用于基于所述攻击链阶段等级、所述攻击事件数量、所述攻击事件威胁等级、所述攻击事件的置信度和所述攻击结果，确定所述攻击源的攻击手段威胁评分；
66.攻击信息威胁评分确定单元，用于将所述攻击目标威胁评分和所述攻击手段威胁评分加权求和，确定所述攻击源的攻击信息威胁评分。
67.在一种可能的实施方式中，执行所述基于所述攻击链阶段数量、所述攻击指向性和所述攻击目标的资产状态，确定所述攻击源的攻击目标威胁评分，所述攻击目标威胁评分确定单元，具体用于：
68.基于所述攻击源中的攻击事件，提取出攻击目标，并将所述攻击源的攻击目标威胁评分设置为初始值；
69.基于所述攻击链阶段数量、所述攻击指向性和所述攻击目标的资产状态，确定所述攻击目标的攻击目标威胁评分；
70.若所述攻击源的攻击目标威胁评分小于所述攻击目标的攻击目标威胁评分，则将所述攻击源的攻击目标威胁评分设置为所述攻击目标的攻击目标威胁评分；
71.若所述攻击源的攻击目标威胁评分大于或等于所述攻击目标的攻击目标威胁评分，则所述攻击源的攻击目标威胁评分不变。
72.在一种可能的实施方式中，执行所述基于所述攻击链阶段数量、所述攻击指向性和所述攻击目标的资产状态，确定所述攻击目标的攻击目标威胁评分，所述攻击目标威胁评分确定单元，具体用于：
73.基于针对所述攻击目标的事件所包含的攻击链阶段数量，确定所述攻击目标的攻击链覆盖度威胁评分；
74.基于所述针对攻击目标的攻击事件数量和所述攻击源的攻击事件数量，确定所述针对攻击目标的攻击事件数量和所述攻击源的攻击事件数量的比值；
75.基于所述针对攻击目标的攻击事件数量和所述攻击源的攻击事件数量的比值，确定所述攻击目标的攻击事件指向威胁评分；
76.将所述攻击链覆盖度威胁评分和所述攻击事件指向威胁评分加权求和，确定所述攻击目标的攻击意图威胁评分；
77.基于所述攻击目标的资产状态，确定所述攻击目标的资产状态威胁评分；其中所述攻击目标的资产状态包括所述攻击目标的失陷状态、脆弱性值以及资产价值评分；
78.将所述攻击意图威胁评分和所述资产状态威胁评分加权求和，确定所述攻击目标的攻击目标威胁评分。
79.在一种可能的实施方式中，执行所述基于所述攻击链阶段等级、所述攻击事件数量、所述攻击事件威胁等级、所述攻击事件的置信度和所述攻击结果，确定所述攻击源的攻击手段威胁评分，所述攻击手段威胁评分确定单元，具体用于：
80.基于所述攻击源的最高攻击链阶段等级，确定所述攻击源的攻击链阶段威胁评分；
81.基于所述攻击事件数量确定所述攻击源的攻击事件数量威胁评分；
82.基于所述攻击事件威胁等级、所述攻击事件的置信度和所述攻击结果，确定所述攻击源的攻击事件威胁程度威胁评分；
83.将所述攻击链阶段威胁评分、所述攻击事件数量威胁评分和所述攻击事件威胁程度威胁评分加权求和，确定所述攻击源的攻击手段威胁评分。
84.在一种可能的实施方式中，执行所述基于所述攻击事件数量确定所述攻击源的攻击事件数量威胁评分，攻击手段威胁评分确定单元具体用于：
85.基于所述攻击源的攻击事件数量，以及所述第一指定周期中的攻击事件数量，确定所述攻击源的攻击事件数量和所述第一指定周期中的攻击事件数量的比值；
86.基于所述攻击源的攻击事件数量和所述第一指定周期中的攻击事件数量的比值，确定所述攻击源的攻击事件占比威胁评分；
87.基于所述攻击源的攻击事件数量，确定所述攻击源的攻击事件总数威胁评分；
88.将所述攻击事件占比威胁评分和所述攻击事件总数威胁评分加权求和，确定所述
攻击源的攻击事件数量威胁评分。
89.在一种可能的实施方式中，执行所述基于所述攻击事件威胁等级、所述攻击事件的置信度和所述攻击结果，确定所述攻击源的攻击事件威胁程度威胁评分，所述攻击手段威胁评分确定单元，具体用于：
90.基于所述攻击结果为攻击成功的攻击事件的最高所述攻击事件威胁等级，以及所述攻击结果为攻击成功且所述攻击事件威胁等级最高的攻击事件的置信度评分均值，确定所述攻击源的攻击成功事件威胁评分；
91.基于所述攻击源中攻击事件的最高所述攻击事件威胁等级，以及所述攻击事件威胁等级最高的攻击事件的置信度评分均值，确定所述攻击源的攻击事件威胁评分；
92.将所述攻击成功事件威胁评分和所述攻击事件威胁评分加权求和，确定所述攻击源的攻击事件威胁程度威胁评分。
93.在一种可能的实施方式中，执行所述基于所述先验知识威胁评分和所述攻击信息威胁评分，确定所述攻击源的攻击者威胁评分，所述攻击者威胁评分确定模块，具体用于：
94.若具有先验知识，则将所述先验知识威胁评分和所述攻击信息威胁评分加权求和，确定所述第一指定周期中攻击源的攻击者威胁评分；
95.若不具有先验知识，则将所述第一指定周期中攻击源的攻击者威胁评分设置为所述攻击信息威胁评分；
96.将指定数量个第二指定周期的攻击源的攻击者威胁评分进行加权求和，确定所述攻击源的攻击者威胁评分；其中，所述第二指定周期包括多个第一指定周期；其中，将所述第二指定周期中最后一个所述第一指定周期的攻击源的攻击者威胁评分作为所述第二指定周期的攻击源的攻击者威胁评分。
97.在一种可能的实施方式中，执行所述基于第一指定周期中的攻击事件，提取出攻击源，所述攻击源提取模块，具体用于：
98.获取所述第一指定周期中的攻击事件以及所述第一指定周期中的每个攻击事件对应的攻击源标识；
99.基于所述第一指定周期中的每个攻击事件对应的攻击源标识，提取出所述第一指定周期中的攻击事件对应的多个攻击源，以及每个攻击源包括的攻击事件数量。
100.在一种可能的实施方式中，执行所述基于所述攻击源中的攻击事件，提取出攻击目标，所述攻击目标威胁评分确定单元，具体用于：
101.获取所述攻击源中的攻击事件以及所述攻击源中的每个攻击事件对应的攻击目标标识；
102.基于所述攻击源中的每个攻击事件对应的攻击目标标识，提取出所述攻击源中的攻击事件对应的多个攻击目标，以及每个攻击目标包括的攻击事件数量。
103.第三方面，本技术实施例提供了一种电子设备，包括：
104.处理器；
105.用于存储所述处理器可执行指令的存储器；
106.其中，所述处理器被配置为执行所述指令，以实现如上述第一方面中提供的任一攻击者威胁评分方法。
107.第四方面，本技术实施例还提供了一种计算机可读存储介质，当所述计算机可读
存储介质中的指令由电子设备的处理器执行时，使得电子设备能够执行如上述第一方面中提供的任一攻击者威胁评分方法。
108.第五方面，本技术实施例提供了一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行以实现如上述第一方面中提供的任一攻击者威胁评分方法。
109.本技术的实施例提供的技术方案至少带来以下有益效果：
110.本技术实施例提供的攻击者威胁评分方法，通过基于攻击源的攻击事件命中的情报类型，确定攻击源的情报威胁评分；以及基于攻击源的攻击事件对蜜罐提供的攻击者告警信息的命中情况，确定攻击源的蜜罐威胁评分；基于情报威胁评分和蜜罐威胁评分，确定攻击源的先验知识威胁评分；然后基于攻击事件数量、攻击链阶段数量、攻击链阶段等级、攻击事件威胁等级、攻击事件的置信度、攻击结果、攻击目标的资产状态、攻击指向性等多种维度信息确定攻击源的攻击信息威胁评分，最后基于先验知识威胁评分和攻击信息威胁评分，确定攻击源的攻击者威胁评分。本技术通过多种维度信息进行综合评估，从而可以从更多维度准确的评估攻击源的攻击者威胁评分，可以提高攻击者威胁评分的准确性，利用生成的攻击者威胁评分，可以针对众多攻击者进行优先级的排序，确定高威胁攻击者，从而使得用户可以快速发现高威胁源并通过安全防护工具对高威胁源进行快速处置，从而可以提高安全防护能力。
111.本技术的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本技术而了解。本技术的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
112.为了更清楚地说明本技术实施例的技术方案，下面将对本技术实施例中所需要使用的附图作简单地介绍，显而易见地，下面所介绍的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
113.图1为本技术实施例提供的一种攻击者威胁评分方法的流程示意图；
114.图2为本技术实施例提供的一种确定攻击源的先验知识威胁评分方法的流程示意图；
115.图3为本技术实施例提供的一种确定攻击源的攻击信息威胁评分方法的流程示意图；
116.图4为本技术实施例提供的一种确定攻击源的攻击目标威胁评分方法的流程示意图；
117.图5为本技术实施例提供的一种确定攻击目标的攻击目标威胁评分方法的流程示意图；
118.图6为本技术实施例提供的一种确定攻击源的攻击手段威胁评分方法的流程示意图；
119.图7为本技术实施例提供的一种确定攻击源的攻击事件数量威胁评分方法的流程示意图；
120.图8为本技术实施例提供的一种确定攻击源的攻击事件威胁程度威胁评分方法的
流程示意图；
121.图9为本技术实施例提供的一种确定攻击源的攻击者威胁评分方法的流程示意图；
122.图10为本技术实施例提供的攻击者威胁评分装置的结构示意图；
123.图11为本技术实施例提供的电子设备的结构示意图。
具体实施方式
124.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述。
125.以下，对本技术实施例中的部分用语进行解释说明，以便于本领域技术人员理解。
126.(1)本技术实施例中术语“多个”是指两个或两个以上，其它量词与之类似。
127.(2)“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
128.(3)服务器，是为终端服务的，服务的内容诸如向终端提供资源，保存终端数据；服务器是与终端上安装的应用程序相对应的，与终端上的应用程序配合运行。
129.(4)终端，既可以指软件类的app(appl ication，应用程序)，也可以指客户端。它具有可视的显示界面，能与用户进行交互；是与服务器相对应，为客户提供本地服务。针对软件类的应用程序，除了一些只在本地运行的应用程序之外，一般安装在普通的客户终端上，需要与服务端互相配合运行。因特网发展以后，较常用的应用程序包括了如收寄电子邮件时的电子邮件客户端，以及即时通讯的客户端等。对于这一类应用程序，需要网络中有相应的服务器和服务程序来提供相应的服务，如数据库服务，配置参数服务等，这样在客户终端和服务器端，需要建立特定的通信连接，来保证应用程序的正常运行。
130.(5)情报数据：主要包括ioc(indicator of compromise，威胁指标)类型，例如：ip(internet protocol，网络之间互连的协议)、url(uniform resource locators，统一资源定位器)、md5(message-digest algorithm 5，信息-摘要算法)；情报值，例如：211.211.211.211、www.evi l.com、ab12cd34ef56fa78eb90dc81ad72be63等；
131.(6)事件数据：主要包括的信息有攻击源ip、攻击目标ip或url、事件类型、事件威胁等级、事件置信度、攻击次数、事件攻击结果、攻击链阶段等，其中攻击源ip可能命中情报数据，当攻击者使用恶意样本时，可能在事件中会带上使用的恶意样本摘要信息，攻击目标ip可能会命中客户的资产；
132.(7)资产数据：主要包括：资产名称、资产标识、资产ip、资产url、资产价值、资产责任人、资产所属部门等信息；
133.(8)攻击链：美国著名的军工企业洛克希德马丁公司(lockheed martin)提出的“网络攻击链”(cyber kill chain)模型，也译作“网络杀伤链”模型。攻击链模型用不同的步骤来描述网络攻击生命周期的每个阶段，包括：侦察、工具制作、投送、攻击渗透、安装工具、命令控制、恶意活动。
134.附图中的任何元素数量均用于示例而非限制，以及任何命名都仅用于区分，而不具有任何限制含义。
135.随着科技的发展，网络威胁越来越频繁，各行各业的用户也越来越重视安全防护，采购了各种安全设备、安全工具，形成了自身的安全防护体系。其中最为常见的包括siem(security information and event management，安全信息和事件管理)和soc(security operation center，安全运营中心)类工具。网络攻击来源的广泛性和攻击工具的自动化导致网络中出现了非常多的攻击告警，即使使用了各种安全工具对告警进行分析、合并、过滤，仍然会有较多的告警需要进行处理。
136.相关技术中，针对告警的处理中，较多使用的方式是对攻击来源进行阻断，但是由于很多用户需要对外部提供服务，此时若因为无法明确攻击来源进行了误阻断，可能会对用户的声誉造成影响，而且在外部访问特别多，告警中的攻击来源也非常多的时候，若不能及时发现真正的攻击者，就不能为客户提供良好的安全防护和反制能力。因此，如何进一步提高攻击者威胁评分的准确性，使得用户可以快速发现高威胁源并进行快速处置，从而提高安全防护能力是一个急需解决的问题。
137.现有针对攻击者的威胁评估方式包括情报、事件、攻击目标角度进行分析，但是在进行评估时采用的手段比较简单，例如在情报方面仅考虑是否命中，在事件方面主要针对的是事件的数量、威胁等级的属性。相关技术考虑的维度不全面，导致评估分数无法真实反映攻击者的威胁程度，甚至大量的攻击者具有相同的评估分数，使得不能准确识别需要优先处理的目标。
138.有鉴于此，本技术提供了一种攻击者威胁评分方法及相关装置，用于解决如何进一步提高攻击者威胁评分的准确性，使得用户可以快速发现高威胁源并进行快速处置，从而提高安全防护能力的问题。
139.本发明的发明构思为：本技术通过基于攻击源的攻击事件命中的情报类型，确定攻击源的情报威胁评分；以及基于攻击源的攻击事件对蜜罐提供的攻击者告警信息的命中情况，确定攻击源的蜜罐威胁评分；基于情报威胁评分和蜜罐威胁评分，确定攻击源的先验知识威胁评分；然后基于攻击事件数量、攻击链阶段数量、攻击链阶段等级、攻击事件威胁等级、攻击事件的置信度、攻击结果、攻击目标的资产状态、攻击指向性等多种维度信息确定攻击源的攻击信息威胁评分，最后基于先验知识威胁评分和攻击信息威胁评分，确定攻击源的攻击者威胁评分。本技术通过多种维度信息进行综合评估，从而可以从更多维度准确的评估攻击源的攻击者威胁评分，可以提高攻击者威胁评分的准确性，利用生成的攻击者威胁评分，可以针对众多攻击者进行优先级的排序，确定高威胁攻击者，从而使得用户可以快速发现高威胁源并通过安全防护工具对高威胁源进行快速处置，从而可以提高安全防护能力。
140.在介绍完本技术实施例的发明构思之后，为进一步说明本技术实施例提供的技术方案，下面结合附图以及具体实施方式对此进行详细的说明。虽然本技术实施例提供了如下述实施例或附图所示的方法操作步骤，但基于常规或者无需创造性的劳动在所述方法中可以包括更多或者更少的操作步骤。在逻辑上不存在必要因果关系的步骤中，这些步骤的执行顺序不限于本技术实施例提供的执行顺序。
141.参考图1，为本技术实施例提供的一种攻击者威胁评分方法的流程示意图。如图1所示，该方法包括以下步骤：
142.在步骤101中，基于第一指定周期中的攻击事件，提取出攻击源。
143.在一种可能的实施方式中，攻击者威胁评分是持续进行的，可以分成多个第一指定周期，一个第一指定周期中可能有多个攻击事件，多个攻击事件可能被多个攻击源使用，因此本技术实施例可以获取第一指定周期中的攻击事件以及第一指定周期中的每个攻击事件对应的攻击源标识，然后基于第一指定周期中的每个攻击事件对应的攻击源标识，提取出第一指定周期中的攻击事件对应的多个攻击源，以及每个攻击源包括的攻击事件数量。
144.示例性的，攻击源标识为攻击源ip，第一指定周期设置为1小时，将1小时中获取的所有攻击事件根据攻击源ip进行分类统计后，会有多个攻击源，以及每个攻击源包括对应的多个攻击事件，然后对每个攻击源使用本技术提供的攻击者威胁评分方法计算对应的攻击者威胁评分。其中第一指定周期可以根据实际情况进行设置，一般可以设置1小时为一个第一指定周期。
145.在步骤102中，基于攻击源的攻击事件命中的情报类型，确定攻击源的情报威胁评分。
146.在一种可能的实施方式中，本技术实施例中首先给出攻击事件命中的情报类型以及对应的攻击源的情报威胁评分，如表1所示，然后可以根据攻击源的攻击事件命中的情报类型在表1中查找对应的攻击源的情报威胁评分，得到对应的攻击源的情报威胁评分。
147.表1
[0148][0149]
在步骤103中，基于攻击源的攻击事件对蜜罐提供的攻击者告警信息的命中情况，确定攻击源的蜜罐威胁评分。
[0150]
其中，蜜罐是一种安全威胁的主动防御技术，它通过模拟一个或多个易受攻击的主机或服务来吸引攻击者，捕获攻击流量与样本，发现网络威胁、提取威胁特征，蜜罐的价值在于被探测、攻陷，通常也部署在客户网络环境中。
[0151]
在一种可能的实施方式中，本技术实施例中首先给出攻击事件对蜜罐提供的攻击者告警信息的命中情况以及对应的攻击源的蜜罐威胁评分，如表2所示，然后可以根据攻击事件对蜜罐提供的攻击者告警信息的命中情况在表2中查找对应的攻击源的蜜罐威胁评分，得到对应的攻击源的蜜罐威胁评分。
[0152]
表2
[0153][0154]
在步骤104中，基于情报威胁评分和蜜罐威胁评分，确定攻击源的先验知识威胁评
分。
[0155]
在一种可能的实施方式中，本技术实施例中可以将情报威胁评分和蜜罐威胁评分加权求和，确定攻击源的先验知识威胁评分，具体可执行如图2所示的步骤：
[0156]
在步骤201中，判断是否具有情报知识库，若具有情报知识库，则在步骤202中，获取攻击源的情报威胁评分，之后执行步骤203；若不具有情报知识库，则直接执行步骤203。
[0157]
在步骤203中，判断环境中是否部署了蜜罐信息，若部署了蜜罐信息，则在步骤204中，获取攻击源的蜜罐威胁评分，之后执行步骤205，若没有部署蜜罐信息，则直接执行步骤205。
[0158]
在步骤205中，将情报威胁评分和蜜罐威胁评分加权求和，确定攻击源的先验知识威胁评分。
[0159]
示例性的，可以使用s
kn
＝α1*s
ti
α2*sh计算攻击源的先验知识威胁评分，其中s
kn
为攻击源的先验知识威胁评分，取值范围为[0,5]，s
ti
为在步骤102中得到的攻击源的情报威胁评分，sh为在步骤103中得到的攻击源的蜜罐威胁评分。其中α1 α2＝1，α1和α2为加权系数，可以根据经验值确定，例如可以将α1＝0.2、α2＝0.8，也可以根据实际使用情况进行设置，本技术实施例对此不作限定。其中当不具有情报知识库时，设置α1＝0，当没有部署蜜罐信息时，设置α2＝0。
[0160]
在步骤206中，结束确定攻击源的先验知识威胁评分的流程。
[0161]
由此，确定攻击源的先验知识威胁评分时不仅使用了各种威胁情报源提供的信息，还使用了来自于蜜罐类的安全防护产品的信息，由于此类产品一般模拟用户的真实服务，而普通用户很少会对其进行访问，所以其上报的告警信息中的攻击来源有很高的可信程度，从而可以提高攻击源的先验知识威胁评分的准确性。
[0162]
在步骤105中，基于多维度信息，确定攻击源的攻击信息威胁评分，多维度信息包括以下中的至少两种：攻击事件数量、攻击链阶段数量、攻击链阶段等级、攻击事件威胁等级、攻击事件的置信度、攻击结果、攻击目标的资产状态、攻击指向性，攻击指向性与针对攻击目标的攻击事件数量具有正相关关系。
[0163]
其中，攻击目标为网络中各种安全防护设备，例如：nips(network intrusion prevention system，下一代入侵防护系统)、waf(web application firewall，网络应用防火墙)、nf(nsfocus，下一代防火墙)、流量探针、edr(endpoint detection and response，终端防护响应)。
[0164]
使用攻击目标关联的多种信息进行多维度综合评价，可以避免知通过攻击事件数量进行攻击源的攻击信息威胁评分，从而使得计算出的攻击信息威胁评分具有更高的可信度。
[0165]
在一种可能的实施方式中，本技术实施例可以基于多维度信息，确定攻击源的攻击信息威胁评分，具体可执行如图3所示的步骤：
[0166]
在步骤301中，基于攻击链阶段数量、攻击指向性和攻击目标的资产状态，确定攻击源的攻击目标威胁评分。
[0167]
在一种可能的实施方式中，本技术实施例基于攻击链阶段数量、攻击指向性和攻击目标的资产状态，确定攻击源的攻击目标威胁评分，具体可执行如图4所示的步骤：
[0168]
在步骤401中，基于攻击源中的攻击事件，提取出攻击目标，并将攻击源的攻击目
标威胁评分设置为初始值。
[0169]
在一种可能的实施方式中，一个攻击源可能会攻击多个攻击目标，会有多个攻击事件会针对一个攻击目标，因此本技术实施例可以获取攻击源中的攻击事件以及攻击源中的每个攻击事件对应的攻击目标标识；基于攻击源中的每个攻击事件对应的攻击目标标识，提取出攻击源中的攻击事件对应的多个攻击目标，以及每个攻击目标包括的攻击事件数量。同时可以设置攻击源的攻击目标威胁评分设置为初始值。其中，初始值可以为零，也可以是前一第一指定周期计算得到的攻击源的攻击目标威胁评分。
[0170]
示例性的，攻击目标标识为攻击目标ip，将每个攻击源包括的多个攻击事件根据攻击目标ip进行分类统计后，会有多个攻击目标，以及每个攻击目标包括对应的多个攻击事件，然后对每个攻击目标使用本技术提供的攻击者威胁评分方法计算对应的攻击目标威胁评分。
[0171]
本技术实施例中需要对攻击源中的多个攻击目标分别计算攻击目标威胁评分，然后针对所有攻击目标的攻击目标威胁评分确定攻击源的攻击目标威胁评分，因此需要在步骤402中，判断攻击目标是否遍历完成，若完成，则在步骤406中，结束攻击源的攻击目标威胁评分的确定流程，若未完成，则执行步骤403。
[0172]
在步骤403中，基于攻击链阶段数量、攻击指向性和攻击目标的资产状态，确定攻击目标的攻击目标威胁评分。
[0173]
在一种可能的实施方式中，本技术实施例基于攻击链阶段数量、攻击指向性和攻击目标的资产状态，确定攻击目标的攻击目标威胁评分，具体可执行如图5所示的步骤：
[0174]
在步骤501中，基于针对攻击目标的事件所包含的攻击链阶段数量，确定攻击目标的攻击链覆盖度威胁评分。
[0175]
在一种可能的实施方式中，攻击链可以使用七级攻击链进行定义，在事件的属性中需要定义其关联的攻击链阶段，本技术实施例中可以首先给出攻击链阶段数量及其对应的攻击目标的攻击链覆盖度威胁评分，如表3所示，然后可以根据针对攻击目标的所有攻击事件分布的攻击链阶段获取攻击链阶段数量，并在表3中查找对应的攻击链覆盖度威胁评分，得到对应的攻击目标的攻击链覆盖度威胁评分。
[0176]
表3
[0177]
攻击链阶段数量单个阶段两个阶段三个阶段及以上攻击链覆盖度威胁评分135
[0178]
在步骤502中，基于针对攻击目标的攻击事件数量和攻击源的攻击事件数量，确定针对攻击目标的攻击事件数量和攻击源的攻击事件数量的比值。
[0179]
在一种可能的实施方式中，本技术实施例使用在步骤401中提取得到的针对攻击目标的攻击事件数量除以在步骤101中提取得到的攻击源的攻击事件数量，得到针对攻击目标的攻击事件数量和攻击源的攻击事件数量的比值。
[0180]
在步骤503中，基于针对攻击目标的攻击事件数量和攻击源的攻击事件数量的比值，确定攻击目标的攻击事件指向威胁评分。
[0181]
在一种可能的实施方式中，本技术实施例中可以首先给出针对攻击目标的攻击事件数量和攻击源的攻击事件数量的比值的取值范围及其对应的攻击目标的攻击事件指向威胁评分，如表4所示，然后可以根据针对攻击目标的攻击事件数量和攻击源的攻击事件数
量的比值，确定其满足的取值范围，并在表4中查找对应的攻击目标的攻击事件指向威胁评分，得到对应的攻击目标的攻击事件指向威胁评分。
[0182]
表4
[0183][0184]
在步骤504中，将攻击链覆盖度威胁评分和攻击事件指向威胁评分加权求和，确定攻击目标的攻击意图威胁评分。
[0185]
示例性的，可以使用s
in
＝β1*s
td
β2*s
tk
计算攻击目标的攻击意图威胁评分，其中s
in
为攻击目标的攻击意图威胁评分，取值范围为[1,5]，s
td
为在步骤503中得到的攻击事件指向威胁评分，s
tk
为在步骤501中得到的攻击链覆盖度威胁评分。其中β1 β2＝1，β1和β2为加权系数，可以根据经验值确定，例如可以将β1＝0.5、β2＝0.5，也可以根据实际使用情况进行设置，本技术实施例对此不作限定。
[0186]
在步骤505中，基于攻击目标的资产状态，确定攻击目标的资产状态威胁评分；其中攻击目标的资产状态包括攻击目标的失陷状态、脆弱性值以及资产价值评分。
[0187]
在一种可能的实施方式中，本技术实施例中可以首先给出攻击目标的资产价值以及对应的资产价值评分，如表5所示，同时给出攻击目标的资产状态以及对应的攻击目标的资产状态威胁评分，如表6所示，然后可以根据攻击目标的资产价值在表5中查找对应的资产价值评分，然后结合攻击目标的失陷状态和脆弱性值在表6中查找对应的攻击目标的资产状态威胁评分，得到对应的攻击目标的资产状态威胁评分。
[0188]
表5
[0189]
攻击目标的资产价值次要普通重要关键核心资产价值评分12345
[0190]
表6
[0191][0192]
其中，当攻击目标已失陷时，攻击目标的资产状态威胁评分为5，当攻击目标未失陷则通过攻击目标的脆弱性值进行计算，当系统未接入脆弱性信息时可以用攻击目标的资
产价值进行计算。攻击目标的脆弱性评分主要由攻击目标的资产价值和攻击目标的脆弱性信息进行计算，脆弱性信息如：漏洞、弱口令、不合规项等，攻击目标的脆弱性评分的具体计算过程本技术实施例不做限制。
[0193]
在步骤506中，将攻击意图威胁评分和资产状态威胁评分加权求和，确定攻击目标的攻击目标威胁评分。
[0194]
示例性的，可以使用s
stt
＝γ1*s
in
γ2*s
as
计算攻击目标的攻击目标威胁评分，其中s
stt
为攻击目标的攻击目标威胁评分，取值范围为(0,5]，s
in
为在步骤504中得到的攻击目标的攻击意图威胁评分，s
as
为在步骤505中得到的资产状态威胁评分。其中γ1 γ2＝1，γ1和γ2为加权系数，可以根据经验值确定，例如可以将γ1＝0.7、γ2＝0.3，也可以根据实际使用情况进行设置，本技术实施例对此不作限定。
[0195]
一个攻击源中包括多个攻击目标，因此本技术实施例中将所有攻击目标中攻击目标威胁评分最高的攻击目标威胁评分作为攻击源的攻击目标威胁评分，所以在步骤404中，判断攻击源的攻击目标威胁评分是否小于攻击目标的攻击目标威胁评分，若攻击源的攻击目标威胁评分小于攻击目标的攻击目标威胁评分，则在步骤405中，将攻击源的攻击目标威胁评分设置为攻击目标的攻击目标威胁评分，之后执行步骤402；若攻击源的攻击目标威胁评分大于或等于攻击目标的攻击目标威胁评分，则攻击源的攻击目标威胁评分不变，直接执行步骤402。
[0196]
由此，可以通过若攻击目标的攻击目标威胁评分大于攻击源的攻击目标威胁评分的大小，则将攻击目标的攻击目标威胁评分赋值给攻击源的攻击目标威胁评分，若攻击目标的攻击目标威胁评分小于或等于攻击源的攻击目标威胁评分的大小，则攻击源的攻击目标威胁评分保持不变，直至将所有攻击目标遍历完成的方式，最终确定攻击源的攻击目标威胁评分。
[0197]
在步骤302中，基于攻击链阶段等级、攻击事件数量、攻击事件威胁等级、攻击事件的置信度和攻击结果，确定攻击源的攻击手段威胁评分。
[0198]
在一种可能的实施方式中，本技术实施例基于攻击链阶段等级、攻击事件数量、攻击事件威胁等级、攻击事件的置信度和攻击结果，确定攻击源的攻击手段威胁评分，具体可执行如图6所示的步骤：
[0199]
在步骤601中，基于攻击源的最高攻击链阶段等级，确定攻击源的攻击链阶段威胁评分。
[0200]
在一种可能的实施方式中，本技术实施例中可以首先给出攻击链阶段等级以及对应的攻击链阶段威胁评分，如表7所示，然后可以根据攻击源中所有攻击事件分布的攻击链阶段，获取攻击源的最高攻击链阶段等级，并在表7中查找对应的攻击链阶段威胁评分，得到对应的攻击源的攻击链阶段威胁评分。
[0201]
表7
[0202]
[0203]
在步骤602中，基于攻击事件数量确定攻击源的攻击事件数量威胁评分。
[0204]
在一种可能的实施方式中，本技术实施例基于攻击事件数量确定攻击源的攻击事件数量威胁评分，具体可执行如图7所示的步骤：
[0205]
在步骤701中，基于攻击源的攻击事件数量，以及第一指定周期中的攻击事件数量，确定攻击源的攻击事件数量和第一指定周期中的攻击事件数量的比值。
[0206]
在一种可能的实施方式中，本技术实施例使用在步骤101中提取得到的攻击源的攻击事件数量除以第一指定周期中的攻击事件数量，得到攻击源的攻击事件数量和第一指定周期中的攻击事件数量的比值。
[0207]
在步骤702中，基于攻击源的攻击事件数量和第一指定周期中的攻击事件数量的比值，确定攻击源的攻击事件占比威胁评分。
[0208]
在一种可能的实施方式中，本技术实施例中可以首先给出攻击源的攻击事件数量和第一指定周期中的攻击事件数量的比值的取值范围及其对应的攻击事件占比威胁评分，如表8所示，然后可以根据攻击源的攻击事件数量和第一指定周期中的攻击事件数量的比值，确定其满足的取值范围，并在表8中查找对应的攻击事件占比威胁评分，得到对应的攻击源的攻击事件占比威胁评分。
[0209]
表8
[0210][0211]
在步骤703中，基于攻击源的攻击事件数量，确定攻击源的攻击事件总数威胁评分。
[0212]
在一种可能的实施方式中，本技术实施例中可以首先给出攻击源的攻击事件数量的取值范围及其对应的攻击事件总数威胁评分，如表9所示，然后可以根据在步骤101中提取得到的攻击源的攻击事件数量，确定其满足的取值范围，并在表9中查找对应的攻击事件总数威胁评分，得到对应的攻击源的攻击事件总数威胁评分。
[0213]
表9
[0214]
攻击源的攻击事件数量大于128大于64大于32大于16其他攻击事件总数威胁评分54321
[0215]
在步骤704中，将攻击事件占比威胁评分和攻击事件总数威胁评分加权求和，确定攻击源的攻击事件数量威胁评分。
[0216]
示例性的，可以使用s
nc
＝δ1*s
er
δ2*s
en
计算攻击源的攻击事件数量威胁评分，其中s
nc
为攻击源的攻击事件数量威胁评分，取值范围为[1,5]，s
er
为步骤702中得到的攻击事件占比威胁评分，s
en
为步骤703中得到的攻击事件总数威胁评分。其中δ1 δ2＝1，δ1和δ2为加权系数，可以根据经验值确定，例如可以将δ1＝0.7、δ2＝0.3，也可以根据实际使用情况进行设置，本技术实施例对此不作限定。
[0217]
在步骤603中，基于攻击事件威胁等级、攻击事件的置信度和攻击结果，确定攻击源的攻击事件威胁程度威胁评分。
[0218]
在一种可能的实施方式中，本技术实施例基于攻击事件威胁等级、攻击事件的置信度和攻击结果，确定攻击源的攻击事件威胁程度威胁评分，具体可执行如图8所示的步骤：
[0219]
在步骤801中，基于攻击结果为攻击成功的攻击事件的最高攻击事件威胁等级，以及攻击结果为攻击成功且攻击事件威胁等级最高的攻击事件的置信度评分均值，确定攻击源的攻击成功事件威胁评分。
[0220]
在一种可能的实施方式中，本技术实施例中可以首先给出攻击事件威胁等级及其对应的攻击事件威胁等级基准分，如表10所示，以及给出攻击事件的置信度等级及其对应的置信度评分，如表11所示，然后可以根据攻击结果为攻击成功的攻击事件的最高攻击事件威胁等级，在表10中查找对应的攻击事件威胁等级基准分，并在表11中查找每一个攻击结果为攻击成功且攻击事件威胁等级最高的攻击事件的置信度评分，然后计算攻击结果为攻击成功且攻击事件威胁等级最高的所有攻击事件的置信度评分均值，并将攻击结果为攻击成功的攻击事件的最高攻击事件威胁等级的攻击事件威胁等级基准分加上攻击结果为攻击成功且攻击事件威胁等级最高的所有攻击事件的置信度评分均值，得到攻击源的攻击成功事件威胁评分。
[0221]
表10
[0222]
攻击事件威胁等级轻微一般较大重大特别重大攻击事件威胁等级基准分01234
[0223]
表11
[0224]
置信度等级置信度低置信度中置信度高置信度评分0.10.51
[0225]
示例性的，若攻击源中攻击成功的有10个攻击事件，其中有2个攻击事件的威胁等级为一般，5个攻击事件的威胁等级为较大，3个攻击事件的威胁等级为重大，则攻击成功的攻击事件的最高攻击事件威胁等级为重大，在表10中查找得到对应的攻击事件威胁等级基准分为3；这3个攻击事件的置信度等级分别为中、中、高，则在表11中查找得到这3个攻击事件的置信度评分分别为0.5、0.5、1，计算这3个攻击事件的置信度评分均值为2/3，则攻击源的攻击成功事件威胁评分为攻击事件威胁等级基准分加这3个攻击事件的置信度评分均值，即为3 (2/3)。
[0226]
在步骤802中，基于攻击源中攻击事件的最高攻击事件威胁等级，以及攻击事件威胁等级最高的攻击事件的置信度评分均值，确定攻击源的攻击事件威胁评分。
[0227]
在一种可能的实施方式中，本技术实施例中可以根据攻击源中所有的攻击事件的最高攻击事件威胁等级，在表10中查找对应的攻击事件威胁等级基准分，并在表11中查找每一个攻击事件威胁等级最高的攻击事件的置信度评分，然后计算攻击事件威胁等级最高的所有攻击事件的置信度评分均值，并将攻击事件的最高攻击事件威胁等级的攻击事件威胁等级基准分加上攻击事件威胁等级最高的所有攻击事件的置信度评分均值，得到攻击源的攻击事件威胁评分。
[0228]
示例性的，若攻击源中有10个攻击事件，其中有2个攻击事件的威胁等级为一般，5个攻击事件的威胁等级为较大，3个攻击事件的威胁等级为重大，则攻击源中的攻击事件的最高攻击事件威胁等级为重大，在表10中查找得到对应的攻击事件威胁等级基准分为3；这
3个攻击事件的置信度等级分别为中、中、高，则在表11中查找得到这3个攻击事件的置信度评分分别为0.1、0.5、1，计算这3个攻击事件的置信度评分均值为1.6/3，则攻击源的攻击事件威胁评分为攻击事件威胁等级基准分加这3个攻击事件的置信度评分均值，即为3 (1.6/3)。
[0229]
在步骤803中，将攻击成功事件威胁评分和攻击事件威胁评分加权求和，确定攻击源的攻击事件威胁程度威胁评分。
[0230]
示例性的，可以使用s
et
＝ε1*s
set
ε2*s
tet
计算攻击源的攻击事件威胁程度威胁评分，其中s
et
为攻击源的攻击事件威胁程度威胁评分，取值范围为(0,5]，s
set
为步骤801中得到的攻击源的攻击成功事件威胁评分，s
tet
为步骤802中得到的攻击源的攻击事件威胁评分。其中ε1 ε2＝1，ε1和ε2为加权系数，可以根据经验值确定，例如可以将ε1＝0.5、ε2＝0.5，也可以根据实际使用情况进行设置，本技术实施例对此不作限定。
[0231]
在步骤604中，将攻击链阶段威胁评分、攻击事件数量威胁评分和攻击事件威胁程度威胁评分加权求和，确定攻击源的攻击手段威胁评分。
[0232]
示例性的，可以使用sm＝θ1*s
kcs
θ2*s
et
θ3*s
nc
计算攻击源的攻击手段威胁评分，其中sm为攻击源的攻击手段威胁评分，取值范围为(0,5]，s
kcs
为步骤601中得到的攻击链阶段威胁评分，s
et
为步骤803中得到的攻击源的攻击事件威胁程度威胁评分，s
nc
为步骤704中得到的攻击源的攻击事件数量威胁评分。其中θ1 θ2 θ3＝1，θ1、θ2和θ3为加权系数，可以根据经验值确定，例如可以将θ1＝1/3、θ2＝1/3、θ3＝1/3，也可以根据实际使用情况进行设置，本技术实施例对此不作限定。
[0233]
在步骤303中，将攻击目标威胁评分和攻击手段威胁评分加权求和，确定攻击源的攻击信息威胁评分。
[0234]
示例性的，可以使用s
ai
＝μ1*s
tt
μ2*sm计算攻击源的攻击信息威胁评分，其中s
ai
为攻击源的攻击信息威胁评分，取值范围为(0,5]，s
tt
为经过图4所示步骤得到的攻击源的攻击目标威胁评分，sm为步骤803中得到的攻击源的攻击手段威胁评分。其中μ1 μ2＝1，μ1和μ2为加权系数，可以根据经验值确定，例如可以将μ1＝0.5、μ2＝0.5，也可以根据实际使用情况进行设置，本技术实施例对此不作限定。
[0235]
由此，通过多种维度信息进行综合评估，从而确定攻击源的攻击者威胁评分，可以提高攻击者威胁评分的准确性。
[0236]
在步骤106中，基于先验知识威胁评分和攻击信息威胁评分，确定攻击源的攻击者威胁评分。
[0237]
在一种可能的实施方式中，本技术实施例基于先验知识威胁评分和攻击信息威胁评分，确定攻击源的攻击者威胁评分，具体可执行如图9所示的步骤：
[0238]
在步骤901中，判断是否具有先验知识；若具有先验知识，则在步骤902中，将先验知识威胁评分和攻击信息威胁评分加权求和，确定第一指定周期中攻击源的攻击者威胁评分，之后执行步骤904；若不具有先验知识，则在步骤903中，将第一指定周期中攻击源的攻击者威胁评分设置为攻击信息威胁评分，之后执行步骤904。
[0239]
示例性的，将先验知识威胁评分和攻击信息威胁评分加权求和，确定第一指定周期中攻击源的攻击者威胁评分可以使用ts＝σ1*s
kn
σ2*s
ai
计算第一指定周期中攻击源的攻击信息威胁评分，其中ts为第一指定周期中攻击源的攻击信息威胁评分，取值范围为(0,
5]，s
kn
为步骤205中得到的攻击源的先验知识威胁评分，s
ai
为步骤303中得到的攻击源的攻击信息威胁评分。其中σ1 σ2＝1，σ1和σ2为加权系数，可以根据经验值确定，例如可以将σ1＝0.2、σ2＝0.8，也可以根据实际使用情况进行设置，本技术实施例对此不作限定。
[0240]
在步骤904中，将指定数量个第二指定周期的攻击源的攻击者威胁评分进行加权求和，确定攻击源的攻击者威胁评分；其中，第二指定周期包括多个第一指定周期；其中，将第二指定周期中最后一个第一指定周期的攻击源的攻击者威胁评分作为第二指定周期的攻击源的攻击者威胁评分。
[0241]
示例性的，可以使用计算攻击源的攻击者威胁评分，其中n表示n个第二指定周期；i表示第i个第二指定周期；tn表示攻击源的攻击者威胁评分，取值范围为(0,5]；t
di
表示第i个第二指定周期的攻击源的攻击者威胁评分；其中td表示第二指定周期中最后一个使用步骤902或步骤903得到第一指定周期的攻击源的攻击者威胁评分ts。例如n设置为7天，第二指定周期可以表示为1天，第一指定周期可以表示为1小时，因此共有7个第二指定周期，一个第二指定周期包括有24个第一指定周期。在步骤902或步骤903中计算得到的是每1个小时的攻击源的攻击者威胁评分，将每1天最后一个小时计算得到的攻击源的攻击者威胁评分作为当天的攻击源的攻击者威胁评分，如若计算时当天只计算到第5个小时，则将第五个小时的攻击源的攻击者威胁评分作为当天的攻击源的攻击者威胁评分。然后使用计算7天的攻击源的攻击者威胁评分。
[0242]
在步骤905中，结束确定攻击源的攻击者威胁评分。
[0243]
由此，通过先验知识信息和攻击信息计算得到第一指定周期的攻击者威胁评分，并使用第一指定周期的攻击者威胁评分得到第二指定周期的攻击者威胁评分，然后使用多个第二指定周期的攻击者威胁评分进行加权得到攻击源的攻击者威胁评分。
[0244]
基于前文的描述，本技术公开了一种攻击者威胁评分方法，通过基于攻击源的攻击事件命中的情报类型，确定攻击源的情报威胁评分；以及基于攻击源的攻击事件对蜜罐提供的攻击者告警信息的命中情况，确定攻击源的蜜罐威胁评分；基于情报威胁评分和蜜罐威胁评分，确定攻击源的先验知识威胁评分；然后基于攻击事件数量、攻击链阶段数量、攻击链阶段等级、攻击事件威胁等级、攻击事件的置信度、攻击结果、攻击目标的资产状态、攻击指向性等多种维度信息确定攻击源的攻击信息威胁评分，最后基于先验知识威胁评分和攻击信息威胁评分，确定攻击源的攻击者威胁评分。本技术通过多种维度信息进行综合评估，从而可以从更多维度准确的评估攻击源的攻击者威胁评分，可以提高攻击者威胁评分的准确性，利用生成的攻击者威胁评分，可以针对众多攻击者进行优先级的排序，确定高威胁攻击者，从而使得用户可以快速发现高威胁源并通过安全防护工具对高威胁源进行快速处置，从而可以提高安全防护能力。
[0245]
如图10所示，基于与上述攻击者威胁评分方法相同的发明构思，本技术实施例还提供了一种攻击者威胁评分装置，包括：攻击源提取模块1001、情报威胁评分确定模块1002、蜜罐威胁评分确定模块1003、先验知识威胁评分确定模块1004、攻击信息威胁评分确定模块1005、攻击者威胁评分确定模块1006，其中：
[0246]
攻击源提取模块1001，用于基于第一指定周期中的攻击事件，提取出攻击源；
[0247]
情报威胁评分确定模块1002，用于基于所述攻击源的攻击事件命中的情报类型，确定所述攻击源的情报威胁评分；以及，
[0248]
蜜罐威胁评分确定模块1003，用于基于所述攻击源的攻击事件对蜜罐提供的攻击者告警信息的命中情况，确定所述攻击源的蜜罐威胁评分；
[0249]
先验知识威胁评分确定模块1004，用于基于所述情报威胁评分和所述蜜罐威胁评分，确定所述攻击源的先验知识威胁评分；
[0250]
攻击信息威胁评分确定模块1005，用于基于多维度信息，确定所述攻击源的攻击信息威胁评分，所述多维度信息包括以下中的至少两种：攻击事件数量、攻击链阶段数量、攻击链阶段等级、攻击事件威胁等级、攻击事件的置信度、攻击结果、攻击目标的资产状态、攻击指向性，所述攻击指向性与针对攻击目标的攻击事件数量具有正相关关系；
[0251]
攻击者威胁评分确定模块1006，用于基于所述先验知识威胁评分和所述攻击信息威胁评分，确定所述攻击源的攻击者威胁评分。
[0252]
在一种可能的实施方式中，执行所述基于所述情报威胁评分和所述蜜罐威胁评分，确定所述攻击源的先验知识威胁评分，所述先验知识威胁评分确定模块1004具体用于：
[0253]
将所述情报威胁评分和所述蜜罐威胁评分加权求和，确定所述攻击源的先验知识威胁评分。
[0254]
在一种可能的实施方式中，执行所述基于多维度信息，确定所述攻击源的攻击信息威胁评分，所述攻击信息威胁评分确定模块1005具体包括：
[0255]
攻击目标威胁评分确定单元，用于基于所述攻击链阶段数量、所述攻击指向性和所述攻击目标的资产状态，确定所述攻击源的攻击目标威胁评分；
[0256]
攻击手段威胁评分确定单元，用于基于所述攻击链阶段等级、所述攻击事件数量、所述攻击事件威胁等级、所述攻击事件的置信度和所述攻击结果，确定所述攻击源的攻击手段威胁评分；
[0257]
攻击信息威胁评分确定单元，用于将所述攻击目标威胁评分和所述攻击手段威胁评分加权求和，确定所述攻击源的攻击信息威胁评分。
[0258]
在一种可能的实施方式中，执行所述基于所述攻击链阶段数量、所述攻击指向性和所述攻击目标的资产状态，确定所述攻击源的攻击目标威胁评分，所述攻击目标威胁评分确定单元，具体用于：
[0259]
基于所述攻击源中的攻击事件，提取出攻击目标，并将所述攻击源的攻击目标威胁评分设置为初始值；
[0260]
基于所述攻击链阶段数量、所述攻击指向性和所述攻击目标的资产状态，确定所述攻击目标的攻击目标威胁评分；
[0261]
若所述攻击源的攻击目标威胁评分小于所述攻击目标的攻击目标威胁评分，则将所述攻击源的攻击目标威胁评分设置为所述攻击目标的攻击目标威胁评分；
[0262]
若所述攻击源的攻击目标威胁评分大于或等于所述攻击目标的攻击目标威胁评分，则所述攻击源的攻击目标威胁评分不变。
[0263]
在一种可能的实施方式中，执行所述基于所述攻击链阶段数量、所述攻击指向性和所述攻击目标的资产状态，确定所述攻击目标的攻击目标威胁评分，所述攻击目标威胁评分确定单元，具体用于：
[0264]
基于针对所述攻击目标的事件所包含的攻击链阶段数量，确定所述攻击目标的攻击链覆盖度威胁评分；
[0265]
基于所述针对攻击目标的攻击事件数量和所述攻击源的攻击事件数量，确定所述针对攻击目标的攻击事件数量和所述攻击源的攻击事件数量的比值；
[0266]
基于所述针对攻击目标的攻击事件数量和所述攻击源的攻击事件数量的比值，确定所述攻击目标的攻击事件指向威胁评分；
[0267]
将所述攻击链覆盖度威胁评分和所述攻击事件指向威胁评分加权求和，确定所述攻击目标的攻击意图威胁评分；
[0268]
基于所述攻击目标的资产状态，确定所述攻击目标的资产状态威胁评分；其中所述攻击目标的资产状态包括所述攻击目标的失陷状态、脆弱性值以及资产价值评分；
[0269]
将所述攻击意图威胁评分和所述资产状态威胁评分加权求和，确定所述攻击目标的攻击目标威胁评分。
[0270]
在一种可能的实施方式中，执行所述基于所述攻击链阶段等级、所述攻击事件数量、所述攻击事件威胁等级、所述攻击事件的置信度和所述攻击结果，确定所述攻击源的攻击手段威胁评分，所述攻击手段威胁评分确定单元，具体用于：
[0271]
基于所述攻击源的最高攻击链阶段等级，确定所述攻击源的攻击链阶段威胁评分；
[0272]
基于所述攻击事件数量确定所述攻击源的攻击事件数量威胁评分；
[0273]
基于所述攻击事件威胁等级、所述攻击事件的置信度和所述攻击结果，确定所述攻击源的攻击事件威胁程度威胁评分；
[0274]
将所述攻击链阶段威胁评分、所述攻击事件数量威胁评分和所述攻击事件威胁程度威胁评分加权求和，确定所述攻击源的攻击手段威胁评分。
[0275]
在一种可能的实施方式中，执行所述基于所述攻击事件数量确定所述攻击源的攻击事件数量威胁评分，攻击手段威胁评分确定单元具体用于：
[0276]
基于所述攻击源的攻击事件数量，以及所述第一指定周期中的攻击事件数量，确定所述攻击源的攻击事件数量和所述第一指定周期中的攻击事件数量的比值；
[0277]
基于所述攻击源的攻击事件数量和所述第一指定周期中的攻击事件数量的比值，确定所述攻击源的攻击事件占比威胁评分；
[0278]
基于所述攻击源的攻击事件数量，确定所述攻击源的攻击事件总数威胁评分；
[0279]
将所述攻击事件占比威胁评分和所述攻击事件总数威胁评分加权求和，确定所述攻击源的攻击事件数量威胁评分。
[0280]
在一种可能的实施方式中，执行所述基于所述攻击事件威胁等级、所述攻击事件的置信度和所述攻击结果，确定所述攻击源的攻击事件威胁程度威胁评分，所述攻击手段威胁评分确定单元，具体用于：
[0281]
基于所述攻击结果为攻击成功的攻击事件的最高所述攻击事件威胁等级，以及所述攻击结果为攻击成功且所述攻击事件威胁等级最高的攻击事件的置信度评分均值，确定所述攻击源的攻击成功事件威胁评分；
[0282]
基于所述攻击源中攻击事件的最高所述攻击事件威胁等级，以及所述攻击事件威胁等级最高的攻击事件的置信度评分均值，确定所述攻击源的攻击事件威胁评分；
[0283]
将所述攻击成功事件威胁评分和所述攻击事件威胁评分加权求和，确定所述攻击源的攻击事件威胁程度威胁评分。
[0284]
在一种可能的实施方式中，执行所述基于所述先验知识威胁评分和所述攻击信息威胁评分，确定所述攻击源的攻击者威胁评分，所述攻击者威胁评分确定模块1006，具体用于：
[0285]
若具有先验知识，则将所述先验知识威胁评分和所述攻击信息威胁评分加权求和，确定所述第一指定周期中攻击源的攻击者威胁评分；
[0286]
若不具有先验知识，则将所述第一指定周期中攻击源的攻击者威胁评分设置为所述攻击信息威胁评分；
[0287]
将指定数量个第二指定周期的攻击源的攻击者威胁评分进行加权求和，确定所述攻击源的攻击者威胁评分；其中，所述第二指定周期包括多个第一指定周期；其中，将所述第二指定周期中最后一个所述第一指定周期的攻击源的攻击者威胁评分作为所述第二指定周期的攻击源的攻击者威胁评分。
[0288]
在一种可能的实施方式中，执行所述基于第一指定周期中的攻击事件，提取出攻击源，所述攻击源提取模块1001，具体用于：
[0289]
获取所述第一指定周期中的攻击事件以及所述第一指定周期中的每个攻击事件对应的攻击源标识；
[0290]
基于所述第一指定周期中的每个攻击事件对应的攻击源标识，提取出所述第一指定周期中的攻击事件对应的多个攻击源，以及每个攻击源包括的攻击事件数量。
[0291]
在一种可能的实施方式中，执行所述基于所述攻击源中的攻击事件，提取出攻击目标，所述攻击目标威胁评分确定单元，具体用于：
[0292]
获取所述攻击源中的攻击事件以及所述攻击源中的每个攻击事件对应的攻击目标标识；
[0293]
基于所述攻击源中的每个攻击事件对应的攻击目标标识，提取出所述攻击源中的攻击事件对应的多个攻击目标，以及每个攻击目标包括的攻击事件数量。
[0294]
本技术实施例提供的攻击者威胁评分装置与上述攻击者威胁评分方法采用了相同的发明构思，能够取得相同的有益效果，在此不再赘述。
[0295]
基于与上述攻击者威胁评分方法相同的发明构思，本技术实施例还提供了一种电子设备。下面参照图11来描述根据本技术的这种实施方式的电子设备110。图11显示的电子设备110仅仅是一个示例，不应对本技术实施例的功能和使用范围带来任何限制。
[0296]
如图11所示，电子设备110以通用电子设备的形式表现。电子设备110的组件可以包括但不限于：上述至少一个处理器111、上述至少一个存储器112、连接不同系统组件(包括存储器112和处理器111)的总线113。
[0297]
总线113表示几类总线结构中的一种或多种，包括存储器总线或者存储器控制器、外围总线、处理器或者使用多种总线结构中的任意总线结构的局域总线。
[0298]
存储器112可以包括易失性存储器形式的可读介质，例如随机存取存储器(ram)1121和/或高速缓存存储器1122，还可以进一步包括只读存储器(rom)1123。
[0299]
存储器112还可以包括具有一组(至少一个)程序模块1124的程序/实用工具1125，这样的程序模块1124包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及
程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。
[0300]
电子设备110也可以与一个或多个外部设备114(例如键盘、指向设备等)通信，还可与一个或者多个使得用户能与电子设备110交互的设备通信，和/或与使得该电子设备110能与一个或多个其它电子设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口115进行。并且，电子设备110还可以通过网络适配器116与一个或者多个网络(例如局域网(lan)，广域网(wan)和/或公共网络，例如因特网)通信。如图所示，网络适配器116通过总线113与用于电子设备110的其它模块通信。应当理解，尽管图中未示出，可以结合电子设备110使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。
[0301]
在示例性实施例中，还提供了一种包括指令的计算机可读存储介质，例如包括指令的存储器112，上述指令可由处理器111执行以完成上述攻击者威胁评分。可选地，存储介质可以是非临时性计算机可读存储介质，例如，所述非临时性计算机可读存储介质可以是rom、随机存取存储器(ram)、cd-rom、磁带、软盘和光数据存储设备等。
[0302]
在示例性实施例中，还提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器111执行时实现如本技术提供的攻击者威胁评分方法的任一方法。
[0303]
在示例性实施例中，本技术提供的一种攻击者威胁评分方法的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当程序产品在计算机设备上运行时，程序代码用于使计算机设备执行本说明书上述描述的根据本技术各种示例性实施方式的攻击者威胁评分方法中的步骤。
[0304]
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。
[0305]
本技术的实施方式的用于攻击者威胁评分方法的程序产品可以采用便携式紧凑盘只读存储器(cd-rom)并包括程序代码，并可以在电子设备上运行。然而，本技术的程序产品不限于此，在本文件中，可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
[0306]
可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括——但不限于——电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
[0307]
可读介质上包含的程序代码可以用任何适当的介质传输，包括——但不限于——无线、有线、光缆、rf等等，或者上述的任意合适的组合。
[0308]
可以以一种或多种程序设计语言的任意组合来编写用于执行本技术操作的程序代码，程序设计语言包括面向对象的程序设计语言—诸如java、c 等，还包括常规的过程
式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户电子设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户电子设备上部分在远程电子设备上执行、或者完全在远程电子设备或服务端上执行。在涉及远程电子设备的情形中，远程电子设备可以通过任意种类的网络——包括局域网(lan)或广域网(wan)—连接到用户电子设备，或者，可以连接到外部电子设备(例如利用因特网服务提供商来通过因特网连接)。
[0309]
应当注意，尽管在上文详细描述中提及了装置的若干单元或子单元，但是这种划分仅仅是示例性的并非强制性的。实际上，根据本技术的实施方式，上文描述的两个或更多单元的特征和功能可以在一个单元中具体化。反之，上文描述的一个单元的特征和功能可以进一步划分为由多个单元来具体化。
[0310]
此外，尽管在附图中以特定顺序描述了本技术方法的操作，但是，这并非要求或者暗示必须按照该特定顺序来执行这些操作，或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地，可以省略某些步骤，将多个步骤合并为一个步骤执行，和/或将一个步骤分解为多个步骤执行。
[0311]
本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
[0312]
本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程图像缩放设备的处理器以产生一个机器，使得通过计算机或其他可编程图像缩放设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0313]
这些计算机程序指令也可存储在能引导计算机或其他可编程图像缩放设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0314]
这些计算机程序指令也可装载到计算机或其他可编程图像缩放设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0315]
尽管已描述了本技术的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本技术范围的所有变更和修改。
[0316]
显然，本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的精神和范围。这样，倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内，则本技术也意图包含这些改动和变型在内。