一种企业网络安全评估方法、装置、移动终端及存储介质与流程

1.本发明涉及数据处理领域，尤其涉及一种企业网络安全评估方法、装置、移动终端及存储介质。


背景技术：

2.网络是信息时代的产物，目前几乎覆盖了世界上所有重要领域。随着网络规模不断扩大，网络攻击和破坏行为日益频繁，网络安全形势日趋严峻。为形成网络安全主动防护能力，首先需要了解网络的内外部威胁和整体安全状态，然后通过网络安全态势评估技术对网络中影响安全的因素进行深层次综合处理分析，对网络整体安全状况进行实时评估，为网络安全管理指挥、决策提供指导。
3.但是，现有技术中的对于企业的网络安全评估的方法所参考的因素不够全面，评估结果的精度不高。


技术实现要素：

4.本发明实施例提供一种企业网络安全评估方法、装置、移动终端及存储介质，提高了企业网络安全评估结果的精度。
5.本技术实施例的第一方面提供了一种企业网络安全评估方法，包括：
6.获取待评估企业的基础数据；
7.根据基础数据，结合深度学习单元进行流量态势评估、资产态势评估、内部威胁风险评估和外部威胁风险评估后，分别生成流量风险指标、资产态势指标、内部威胁风险指标和外部威胁风险指标；
8.根据流量风险指标、资产态势指标、内部威胁风险指标和外部威胁风险指标对待评估企业进行网络安全评估。
9.在第一方面的一种可能的实现方式中，进行流量态势评估，具体为：
10.获取待评估企业的流量包数据；其中，基础数据包括流量包数据；
11.当根据流量包数据判定第一预设时段内、归属于同一源地址的流量包的个数大于第一预设阈值时，确认源地址为恶意地址、流量包为恶意流量包；其中，第一预设时段包括：第一时段和第二时段；
12.计算第一时段和第二时段内恶意流量包的总数后，分别记为第一总数和第二总数；
13.计算第二时段内恶意地址出现的概率，记为第一概率；
14.将第一总数、第二总数和第一概率输入至深度学习单元中，以使深度学习单元进行流量态势评估，生成流量风险指标。
15.在第一方面的一种可能的实现方式中，进行资产态势评估，具体为：
16.获取待评估企业的资产数据；其中，基础数据包括资产数据；
17.根据资产数据进行安全性等级划分和重要性等级划分后，根据划分结果得到告警
事件数量和漏洞数量；
18.将告警事件数量和漏洞数量输入至深度学习单元中，以使深度学习单元进行资产态势评估，生成资产态势指标。
19.在第一方面的一种可能的实现方式中，进行内部威胁风险评估，具体为：
20.获取待评估企业的内网数据；其中，基础数据包括内网数据；
21.根据内网数据，获取第二预设时段内的异常情况数据；其中异常情况数据包括：非法设备接入次数、内网非法wifi热点数量、非法用户接入数次数、内部恶意请求次数情况、漏洞数量情况和感染病毒数量；
22.将异常情况数据输入至深度学习单元中，以使深度学习单元进行内部威胁风险评估，生成内部威胁风险指标。
23.在第一方面的一种可能的实现方式中，进行外部威胁风险评估，具体为：
24.获取第三预设时段内的待评估企业的外部威胁情况数据；其中，基础数据包括外部威胁情况数据，外部威胁情况数据包括：外部攻击次数、外部攻击频率、入侵成功次数和入侵拦截次数信息；
25.将外部威胁情况数据输入至深度学习单元中，以使深度学习单元进行外部威胁风险评估，生成外部威胁风险指标。
26.在第一方面的一种可能的实现方式中，根据流量风险指标、资产态势指标、内部威胁风险指标和外部威胁风险指标对待评估企业进行网络安全评估，具体为：
27.采用层次分析法计算流量风险指标、资产态势指标、内部威胁风险指标和外部威胁风险指标的主观权重；
28.采用熵权法计算流量风险指标、资产态势指标、内部威胁风险指标和外部威胁风险指标的客观权重；
29.根据主观权重和客观权重，计算综合权重；
30.根据综合权重、流量风险指标、资产态势指标、内部威胁风险指标和外部威胁风险指标，计算得到待评估企业的整体网络风险评分，根据整体网络风险评分进行网络安全评估。
31.在第一方面的一种可能的实现方式中，获取待评估企业的基础数据，具体为：
32.根据待评估企业的安全设备数据、系统日志数据、网络流量数据、终端流量数据和业务流量数据，获取基础数据。
33.本技术实施例的第二方面提供了一种企业网络安全评估装置，包括：获取模块、生成模块和评估模块；
34.其中，获取模块用于获取待评估企业的基础数据；
35.生成模块用于根据基础数据，结合深度学习单元进行流量态势评估、资产态势评估、内部威胁风险评估和外部威胁风险评估后，分别生成流量风险指标、资产态势指标、内部威胁风险指标和外部威胁风险指标；
36.评估模块用于根据流量风险指标、资产态势指标、内部威胁风险指标和外部威胁风险指标对待评估企业进行网络安全评估。
37.本技术实施例的第三方面提供了一种移动终端，包括处理器和存储器，存储器存储有计算机可读程序代码，处理器执行计算机可读程序代码时实现上述的一种企业网络安
全评估方法的步骤。
38.本技术实施例的第四方面提供了一种存储介质，存储介质存储计算机可读程序代码，当计算机可读程序代码被执行时实现上述的一种企业网络安全评估方法的步骤。
39.相比于现有技术，本发明实施例提供的一种企业网络安全评估方法、装置、移动终端及存储介质，所述方法包括：获取待评估企业的基础数据；根据基础数据，结合深度学习单元进行流量态势评估、资产态势评估、内部威胁风险评估和外部威胁风险评估后，分别生成流量风险指标、资产态势指标、内部威胁风险指标和外部威胁风险指标；根据流量风险指标、资产态势指标、内部威胁风险指标和外部威胁风险指标对待评估企业进行网络安全评估。
40.其有益效果在于：本发明实施例通过企业的基础数据进行流量态势评估、资产态势评估、内部威胁风险评估和外部威胁风险评估且分别生成流量风险指标、资产态势指标、内部威胁风险指标和外部威胁风险指标后，根据流量风险指标、资产态势指标、内部威胁风险指标和外部威胁风险指标对待评估企业进行网络安全评估，能够多方面考虑待评估企业的网络风险，对待评估企业进行全方位的网络安全评估，从而提高网络安全评估结果的精度。此外，本发明实施例通过深度学习单元进行流量风险指标、资产态势指标、内部威胁风险指标和外部威胁风险指标的计算，能够提高指标计算的精度和效率，从而进一步提高了网络安全评估结果的精度和评估效率。
41.再者，本发明实施例提高态势展示层对应用服务层以及大数据分析层的结果进行可视化展示，能够直观地、动态地体现网络安全评估结果；用户还可通过应用服务层所建立的各项应用门户进行查看，提高用户的观感和体验感，操作简单快捷，保证用户能便捷地得到网络安全评估结果。
附图说明
42.图1是本发明一实施例提供的一种企业网络安全评估方法的流程示意图；
43.图2是本发明一实施例提供的一种企业网络安全评估装置的结构示意图；
44.图3是本发明一实施例提供的一种企业网络安全评估系统的结构示意图。
具体实施方式
45.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
46.参照图1，是本发明一实施例提供的一种企业网络安全评估方法的流程示意图，包括s101-s103：
47.s101：获取待评估企业的基础数据。
48.在本实施例中，所述获取待评估企业的基础数据，具体为：
49.根据所述待评估企业的安全设备数据、系统日志数据、网络流量数据、终端流量数据和业务流量数据，获取所述基础数据。
50.s102：根据基础数据，结合深度学习单元进行流量态势评估、资产态势评估、内部
威胁风险评估和外部威胁风险评估后，分别生成流量风险指标、资产态势指标、内部威胁风险指标和外部威胁风险指标。
51.在本实施例中，所述进行流量态势评估，具体为：
52.获取所述待评估企业的流量包数据；其中，所述基础数据包括所述流量包数据；
53.当根据所述流量包数据判定第一预设时段内、归属于同一源地址的流量包的个数大于第一预设阈值时，确认所述源地址为恶意地址、所述流量包为恶意流量包；其中，所述第一预设时段包括：第一时段和第二时段；
54.计算所述第一时段和第二时段内所述恶意流量包的总数后，分别记为第一总数和第二总数；
55.计算所述第二时段内所述恶意地址出现的概率，记为第一概率；
56.将所述第一总数、所述第二总数和所述第一概率输入至所述深度学习单元中，以使所述深度学习单元进行流量态势评估，生成所述流量风险指标。
57.在一具体实施例中，还包括：
58.在第一时段内，基于流量包数据中的流量包源地址对流量包进行分类聚合，得到聚合结果；其中，所述聚合结果即为流量包及其归属的源地址。
59.在本实施例中，所述进行资产态势评估，具体为：
60.获取所述待评估企业的资产数据；其中，所述基础数据包括所述资产数据；
61.根据所述资产数据进行安全性等级划分和重要性等级划分后，根据划分结果得到告警事件数量和漏洞数量；
62.将所述告警事件数量和所述漏洞数量输入至所述深度学习单元中，以使所述深度学习单元进行资产态势评估，生成所述资产态势指标。
63.在一具体实施例中，资产数据包括硬件资产与软件资产，根据专家打分法对每种硬件资产或软件资产进行重要性/安全性的评价打分，并根据打分结果对资产数据进行划分，划分结果即为不同安全性等级/不同重要性等级的资产数据，则不同告警事件数量包括：不同重要性等级的资产数据中的告警事件数量和不同安全性等级的资产数据中的告警事件数量；漏洞数量包括：不同重要性等级的资产数据中的漏洞数量和不同安全性等级的资产数据中的漏洞数量。
64.在本实施例中，所述进行内部威胁风险评估，具体为：
65.获取所述待评估企业的内网数据；其中，所述基础数据包括所述内网数据；
66.根据所述内网数据，获取第二预设时段内的异常情况数据；其中所述异常情况数据包括：非法设备接入次数、内网非法wifi热点数量、非法用户接入数次数、内部恶意请求次数情况、漏洞数量情况和感染病毒数量；
67.将所述异常情况数据输入至所述深度学习单元中，以使所述深度学习单元进行内部威胁风险评估，生成所述内部威胁风险指标。
68.在本实施例中，所述进行外部威胁风险评估，具体为：
69.获取第三预设时段内的所述待评估企业的外部威胁情况数据；其中，所述基础数据包括所述外部威胁情况数据，所述外部威胁情况数据包括：外部攻击次数、外部攻击频率、入侵成功次数和入侵拦截次数信息；
70.将所述外部威胁情况数据输入至所述深度学习单元中，以使所述深度学习单元进
行外部威胁风险评估，生成所述外部威胁风险指标。
71.优选地，所述深度学习单元即为基于长短期记忆人工智能网络的深度学习单元，所述深度学习单元包括：第一深度学习单元、第二深度学习单元、第三深度学习单元和第四深度学习单元。
72.当进行流量态势评估时，通过第一深度学习单元进行流量态势评估，生成流量风险指标；当进行资产态势评估时，通过第二深度学习单元进行资产态势评估，生成资产态势指标；当进行内部威胁风险评估时，通过深度学习单元进行内部威胁风险评估，生成内部威胁风险指标；当进行外部威胁风险评估时，通过深度学习单元进行外部威胁风险评估，生成外部威胁风险指标。
73.s103：根据流量风险指标、资产态势指标、内部威胁风险指标和外部威胁风险指标对待评估企业进行网络安全评估。
74.在本实施例中，所述根据所述流量风险指标、所述资产态势指标、所述内部威胁风险指标和所述外部威胁风险指标对所述待评估企业进行网络安全评估，具体为：
75.采用层次分析法计算所述流量风险指标、所述资产态势指标、所述内部威胁风险指标和所述外部威胁风险指标的主观权重；
76.采用熵权法计算所述流量风险指标、所述资产态势指标、所述内部威胁风险指标和所述外部威胁风险指标的客观权重；
77.根据所述主观权重和所述客观权重，计算综合权重；
78.根据所述综合权重、所述流量风险指标、所述资产态势指标、所述内部威胁风险指标和所述外部威胁风险指标，计算得到所述待评估企业的整体网络风险评分，根据所述整体网络风险评分进行网络安全评估。
79.在一具体实施例中，综合权重的计算过程可由以下公式表示：
80.w＝α*w1 β*w2；
81.其中，w为综合权重，w1为主观权重，w2为客观权重，α为层次分析法的相对重要程度，β为熵权法的相对重要程度。
82.在一具体实施例中，待评估企业的整体网络风险评分的计算过程可由以下公式表示：
83.b＝a1*w a2*w a3*w a4*w
84.其中，b为待评估企业的整体网络风险评分，a1为流量风险指标，a2为资产态势指标，a3为内部威胁风险指标，a4为外部威胁风险指标。
85.在一具体实施例中，采用层次分析法计算主观权重w1，具体为：
86.建立评价指标，其中，评价指标包括：流量风险指标、资产态势指标、内部威胁风险指标和外部威胁风险指标。
87.建立判断矩阵，通过对评价指标的两两比较，对同一层次中各评价指标的相对重要性进行判断，列出判断矩阵a如下：
[0088]vi
：vj＝a
ij
；
[0089]
a＝(a
ij
)
n*m
；
[0090]
式中，vi为一个评价指标，vj为另一个评价指标，a
ij
为标度。
[0091]
当标度为1时，表示两指标具有同等重要性；当标度为3时，表示vi比vj稍微重要；当
标度为5时，表示vi比vj明显重要；当标度为7时，表示vi比vj强烈重要；当标度为9时，表示vi比vj极端重要。
[0092]
计算判断矩阵a的最大特征根的特征向量，即为权重向量w1，代入基础数据值计算可获得：
[0093]
w1＝[0.4659 0.2009 0.1555 0.0598]
t
。
[0094]
在一具体实施例中，采用层熵权法计算客观权重w2，具体为：
[0095]
建立评价指标，其中，评价指标包括：流量风险指标、资产态势指标、内部威胁风险指标和外部威胁风险指标。
[0096]
计算第i个因素下第j个评价指标的比重p
ij
：
[0097][0098]
其中，r
ij
为归一化矩阵的特征值，n为单个评价指标下的数值。
[0099]
计算第i个因素的熵值ei：
[0100][0101][0102]
其中，k为常数。
[0103]
计算第i个因素的差异系数gi：对于给定的熵值ei越大，因素评价值的差异性越小，则因素在综合评价中所起到的作用越小，因此，可定义差异系数gi＝1-ei，则当因素gi越大时，因素在综合评价中所起到的作用越大；
[0104]
定义权数w
ij
：
[0105][0106]
其中，w
ij
就是熵权法确定的客观权重，即权重向量w2，经计算可得：
[0107]
w2＝[0.3581 0.2463 0.2149 0.0421]
t
。
[0108]
在一具体实施例中，综合权重的计算过程可由以下公式表示：
[0109]
w＝α*w1 β*w2；
[0110]
其中，α为层次分析法的相对重要程度，可取值0.5；β为熵权法的相对重要程度，可取值0.5，则可得到：
[0111]
w＝[0.1796 0.10045 0.1834 0.0691]
t
。
[0112]
进一步地，待评估企业的整体网络风险评分b如下所示：
[0113]
b＝a1*0.1796 a2*0.10045 a3*0.1834 a4*0.0691。
[0114]
得到待评估企业的整体网络风险评分后，便能够根据待评估企业的整体网络风险
评分对待评估企业进行网络安全评估。
[0115]
为了进一步说明企业网络安全评估装置，请参照图2，图2是本发明一实施例提供的一种企业网络安全评估装置的结构示意图，包括：获取模块201、生成模块202和评估模块203；
[0116]
其中，所述获取模块201用于获取待评估企业的基础数据；
[0117]
所述生成模块202用于根据所述基础数据，结合深度学习单元进行流量态势评估、资产态势评估、内部威胁风险评估和外部威胁风险评估后，分别生成流量风险指标、资产态势指标、内部威胁风险指标和外部威胁风险指标；
[0118]
所述评估模块203用于根据所述流量风险指标、所述资产态势指标、所述内部威胁风险指标和所述外部威胁风险指标对所述待评估企业进行网络安全评估。
[0119]
本发明一具体实施例提供了一种移动终端，包括处理器和存储器，所述存储器存储有计算机可读程序代码，所述处理器执行所述计算机可读程序代码时实现上述的一种企业网络安全评估方法的步骤。
[0120]
本发明一具体实施例提供了一种存储介质，所述存储介质存储计算机可读程序代码，当所述计算机可读程序代码被执行时实现上述的一种企业网络安全评估方法的步骤。
[0121]
为了进一步说明企业网络安全评估的整体流程，请参照图3，图3是本发明一实施例提供的一种企业网络安全评估系统的结构示意图，包括：数据采集层301、大数据分析层302、应用服务层303和态势展示层304。
[0122]
其中，数据采集层301用于采集企业用户的基础数据，基础数据来源于待评估企业的安全设备数据、系统日志数据、网络流量数据、终端流量数据和业务流量数据。
[0123]
具体地，数据采集层301具备以下功能：
[0124]
(1)发现企业用户的网络上的硬件资产并归类汇总，包括服务器、存储、网络设备、安全设备、虚拟化平台、备份设备、终端主机等。
[0125]
(2)发现企业用户的网络上的软件资产并归类汇总，包括主机操作系统及版本、中间件、web服务、数据库及版本等。
[0126]
(3)收集资产信息，所述资产包括ip地址、名称、品牌、型号、类别、描述、位置、责任人、责任部门。
[0127]
(4)日志采集。支持对各种安全设备、网络设备的syslog和flow日志进行采集，支持linux和windows双平台，对系统日志、数据库日志、中间件日志、其他文本日志提供全方位的采集。并考虑与现有思福迪日志审计系统对接的方案。
[0128]
(5)流量采集。使用专用的流量采集设备对网络流量中的会话行为、事务、应用动作进行还原并形成相关日志进入存储和分析环节，并可以完整地还原所有流量行为。支持采集网络中https协议的流量并能自动解密分析。
[0129]
(6)终端行为采集。对各种终端行为日志进行采集，包括终端进程、流量行为、终端文件行为、u盘文件传输、邮件文件传输、im文件传输等行为日志，为整个威胁的发现、回溯过程提供支持。
[0130]
大数据分析层302用于根据基础数据进行评估分析，获得多个子项目的风险指标后，基于所述子项目的风险指标，计算得到企业的整体网络风险评分。
[0131]
具体地，子项目的风险指标包括：流量风险指标、资产态势指标、内部威胁风险指
标和外部威胁风险指标。
[0132]
应用服务层303用于建设统一的安全监测业务门户，提供资产管理、安全分析、预警处置、威胁管理、态势呈现等应用，实现高效的安全监测和响应。
[0133]
态势展示层304是应用服务层的扩展，用于对应用服务层以及大数据分析层的结果进行可视化展示，并进行网络安全评估。
[0134]
本发明实施例先通过获取模块获取待评估企业的基础数据；再通过生成模块根据基础数据，结合深度学习单元进行流量态势评估、资产态势评估、内部威胁风险评估和外部威胁风险评估后，分别生成流量风险指标、资产态势指标、内部威胁风险指标和外部威胁风险指标；最后通过评估模块根据流量风险指标、资产态势指标、内部威胁风险指标和外部威胁风险指标对待评估企业进行网络安全评估。
[0135]
本发明实施例通过企业的基础数据进行流量态势评估、资产态势评估、内部威胁风险评估和外部威胁风险评估且分别生成流量风险指标、资产态势指标、内部威胁风险指标和外部威胁风险指标后，根据流量风险指标、资产态势指标、内部威胁风险指标和外部威胁风险指标对待评估企业进行网络安全评估，能够多方面考虑待评估企业的网络风险，对待评估企业进行全方位的网络安全评估，从而提高网络安全评估结果的精度。此外，本发明实施例通过深度学习单元进行流量风险指标、资产态势指标、内部威胁风险指标和外部威胁风险指标的计算，能够提高指标计算的精度和效率，从而进一步提高了网络安全评估结果的精度和评估效率。
[0136]
再者，本发明实施例提高态势展示层对应用服务层以及大数据分析层的结果进行可视化展示，能够直观地、动态地体现网络安全评估结果；用户还可通过应用服务层所建立的各项应用门户进行查看，提高用户的观感和体验感，操作简单快捷，保证用户能便捷地得到网络安全评估结果。
[0137]
以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也视为本发明的保护范围。