[0117]可选地,在上述第一个可选实施例的基础上,本发明实施例提供的针对网络威胁进行评估的方法的第二个可选实施例中,所述解析出所述新的网络威胁事件中所携带的目的地址和源地址时,所述方法还可以包括:
[0118]解析出所述新的网络威胁事件的事件级别;
[0119]所述根据所述新的网络威胁事件和与所述新的网络威胁事件有对应关系的网络设备或网络设备区域的重要性等级,对所述正在威胁预划分网络的网络威胁事件进行威胁评估,得到所述预划分网络的威胁参数,可以包括:
[0120]将与所述新的网络威胁事件对应的网络设备或网络设备区域的重要性等级、所述新的网络威胁事件的事件级别和所述新的网络威胁事件的处理状态的乘积开平方取整,得到所述新的网络威胁事件的事件威胁等级ETL ;
[0121]根据所述新的网络威胁事件的事件威胁等级ETL和除所述新的网络威胁事件之外的威胁事件的ETL,计算所述网络设备的设备威胁等级ATL,所述设备威胁等级为与所述网络设备对应的网络威胁事件的最大ETL ;
[0122]根据所述网络设备的ATL,计算所述预划分网络的网络威胁等级;
[0123]所述展示所述预划分网络的威胁参数,可以包括:
[0124]展示所述预划分网络的网络威胁等级。
[0125]本发明实施例中,新的网络威胁事件的事件威胁等级(ETL,Event Threat Level)的计算过程可以参阅如下公式进行理解:
[0126]ETL = Round (SQRT (EP* (EL*AV)),O)
[0127]其中,AV(Asset Value)表示网络设备或网络设备区域的重要性等级,例如:可以分为5级:很高、高、中等、低和很低,对应权值为5、4、3、2、1。
[0128]EL(Event Level)表示网络威胁事件的事件级别,例如:可以分为5级:很高、高、中等、低和很低,每级对应一个加权系数,默认为5、4、3、2、I。
[0129]EP (Event Process)为事件处理属性,I为未解决,O为已解决。
[0130]ETL就等于EP* (EL*AV)的乘积开平方取整。
[0131]本发明实施例中,ATL = Max(ETLn),预划分网络的网络威胁等级=Max(ATLn)。
[0132]可选地,在上述第二个可选实施例的基础上,本发明实施例提供的针对网络威胁进行评估的方法的第三个可选实施例中,所述计算所述网络设备的设备威胁等级ATL之后,所述方法还可以包括:
[0133]根据所述网络设备的ATL和预置的第一公式,计算所述网络设备的设备威胁度;
[0134]所述计算所述预划分网络的网络威胁等级之后,所述方法还可以包括:
[0135]根据所述网络威胁等级、所述设备威胁等级、设备威胁度和预置的第二公式,计算所述预划分网络的网络威胁度;
[0136]所述展示所述预划分网络的网络威胁等级时,所述方法还可以包括:
[0137]展示所述预划分网络的网络威胁度。
[0138]本发明实施例中,网络设备的设备威胁度ATS (Asset Threat Severity)=网络设备威胁等级对应的威胁基准值+网络设备威胁次数加权值,用第一公式可以表示为:
[0139]ATS = 20* (ATL-1)+min (20,( Σ (0.1(5 1^ECiRTWF)
[0140]其中,i为事件级别,1〈 = i〈 = 5,ECi为事件级别为i的事件发生次数,TffF (Threat Weight Factor)为威胁加权系数,0〈 = TffF< = 10
[0141]公式展开例如:
[0142]最高威胁等级为5的网络设备的设备威胁度=80+min(20, (l*EC5+0.1'¢04+0.12*EC3+0.l3*EC2+0.14*EC1)*10)
[0143]最高威胁等级为4的网络设备的设备威胁度=60+min(20, (l*EC5+0.1'¢04+0.12*EC3+0.l3*EC2+0.14*EC1)*10)。
[0144]预划分网络的网络威胁度的第二公式可以表示为:
[0145]网络威胁度=20* (网络威胁等级-1) + ( Σ 0.1(网络威胁等级-ATL (j))* (ATS⑴-20*(ATL(j)-l))))/no
[0146]1〈 = j〈 = η, η为网络设备个数。
[0147]在展示预划分网络的网络等级时,展示预划分网络的网络威胁度,例如:预划分网络的网络等级为5级,网络威胁度为85,则会同时展示网络等级为5级,网络威胁度为85这两个威胁参数。
[0148]可选地,在上述第三个可选实施例的基础上,本发明实施例提供的针对网络威胁进行评估的方法的第四个可选实施例中,当所述预划分网络为多层级的预划分网络时,所述根据所述网络设备的ATL,计算所述预划分网络的网络威胁等级,可以包括:
[0149]根据所述网络设备的ATL,分别计算所述多层级中各层级的网络威胁等级;
[0150]所述根据所述网络威胁等级、所述设备威胁等级、设备威胁度和预置的第二公式,计算所述预划分网络的网络威胁度,可以包括:
[0151]根据所述各层级的网络威胁等级、所述设备威胁等级、设备威胁度和预置的对应各层级的所述第二公式,计算各层级的网络威胁度;
[0152]所述展示所述预划分网络的威胁参数,可以包括:
[0153]展示所述多层级中各层级的网络威胁等级和网络威胁度。
[0154]参阅图3,介绍本发明当预划分网络有多个层级时对网络威胁进行评估的过程,以一个企业网为例,该企业网分为4个层级,分别为网络设备层级、网络设备组层级、网络设备区域层级和整个企业网层级。
[0155]在第一层级的网络设备的设备威胁等级ATL计算出后,可以根据ATL分别计算:
[0156]网络设备组的威胁等级(AGTL:Asset Group Threat Level)由该网络设备组中的网络设备的设备最高威胁等级决定,即AGTL = Max(ATLn)。
[0157]网络设备区域的威胁等级(ZTL:Zone Threat Level)由网络设备区域中网络设备的设备最高威胁等级决定,即ZTL = Max(ATLn)。
[0158]整个企业网的威胁等级(GTL:Global Threat Level)由整个企业网中网络设备的设备最高威胁等级决定,即GTL = Max(ATLn)。
[0159]对应的,再根据网络威胁度的公式,可以分别计算出对应层级的网络威胁度。
[0160]网络设备组的威胁度为:
[0161 ] AGTS = 20* (AGTL-1) + ( Σ 0.1 (AGTL-ATL (j)) * (ATS (j) -20* (ATL (j)-1)))) /n
[0162]网络设备区域的威胁度为:
[0163]ZTS = 20* (ZTL-1) + ( Σ 0.1 (ZTL-ATL (j)) * (ATS (j) -20* (ATL (j)-1))) /n
[0164]整个企业网的威胁度为:
[0165]GTS = 20* (GTL-1) + ( Σ 0.1 (GTL-ATL (j)) * (ATS (j) -20* (ATL (j)-1))) /n
[0166]其中:1〈 = j< = n,n为网络设备个数。例如:
[0167]网络设备组有2个网络设备,网络设备I的威胁等级为5,威胁度为90,网络设备2的威胁等级为3,威胁度60,则区域的威胁度公式展开如下:
[0168]组的威胁等级AGTL = Max (5, 3) = 5
[0169]AGTS = 20* (5-1) + ( (0.1 (5-5) * (90 - 20* (5-1)) +0.1 (5-3) * (60 - 20* (3-1))) /2)
[0170]= 80+ ((1*10+0.01*20) /2)
[0171]= 85.1
[0172]则,可以确定该网络设备组的威胁等级为5,组的威胁度为85.1。
[0173]本发明实施例中,可以通过网络拓扑图分层级展示实时的网络威胁情况,这样,网络管理员就可以及时了解整个企业网的安全状况,以及各个层级的安全状况,而且方便管理员聚焦高危事件对网络设备的威胁状况。
[0174]可选地,在上述图1对应的实施例或第一至第四个可选实施例中任一实施例的基础上,本发明实施例提供的第五个可选实施例中,所述方法还可以包括:
[0175]将所述当前网络的威胁参数,生成威胁评估报告。
[0176]本发明实施例中,在威胁评估结果实时刷新后,管理员可以手工或定时生成威胁评估报告,便于做存档分析。
[0177]参阅图4,本发明实施例提供的一种针对网络威胁进行评估的装置20的一实施例包括:
[0178]监测单元201,用于监测正在威胁预划分网络的网络威胁事件和所述预划分网络中网络设备的重要性等级;
[0179]评估单元202,用于当所述监测单元201监测到所述正在威胁预划分网络的网络威胁事件的状态和所述网络设备的重要性等级中的至少一个发生变化时,对所述正在威胁预划分网络的网络威胁事件进行威胁评估,得到所述预划分网络的威胁参数,所述预划分网络的威胁参数用于描述所述预划分网络当前被所述正在威胁预划分网络的网络威胁事件威胁的紧急程度;
[0180]展示单元203,用于展示所述评估单元202评估出的所述预划分网络的威胁参数。
[0181]本发明实施例中,监测单元201监测正在威胁预划分网络的网络威胁事件和所述预划分网络中网络设备的重要性等级;评估单元202当所述监测单元201监测到所述正在威胁预划分网络的网络威胁事件的状态和所述网络设备的重要性等级中的至少一个发生变化时,对所述正在威胁预划分网络的网络威胁事件进行威胁评估,得到所述预划分网络的威胁参数,所述预划分网络的威胁参数用于描述所述预划分网络当前被所述正在威胁预划分网络的网络威胁事件威胁的紧急程度;展示单元203展示所述评估单元202评估出的所述预划分网络的威胁参数。与现有技术中漏洞扫描,无法实时动态的反映出网络目前的威胁情况相比,本发明实施例提供的针对网络威胁进行评估的装置,当正在威胁预划分网络的网络威胁事件的状态或者网络设备的重要性等级发生变化时,都会对网络威胁进行评估并展示,可以实时动态的反应当前的网络威胁情况。
[0182]可选地,在上述图4对应的实施例的基础上,参阅图5,本发明实施例提供的提供的一种针对网络威胁进行评估的装置20的第一个可选实施例中,所述评估单元202包括:
[0183]解析子单元2021,用于当所述监测单元201监测到所述正在威胁预划分网络的网络威胁事件中增加了新的网络威胁事件时,解析出所述新的网络威胁事件中所携带的目的地址和源地址;
[0184]对应关系建立子单元2022,用于在所述解析子单元2021解析出的所述目的地址有对应的目的网络设备时,将所述新的网络威胁事件与所述目的地