一种针对网络威胁进行评估的方法、装置及系统

摘要

本发明公开了一种针对网络威胁进行评估的方法，包括：监测正在威胁预划分网络的网络威胁事件和所述预划分网络中网络设备的重要性等级，当监测到所述正在威胁预划分网络的网络威胁事件的状态和所述网络设备的重要性等级中的至少一个发生变化时，对所述正在威胁预划分网络的网络威胁事件进行威胁评估，得到所述预划分网络的威胁参数，所述预划分网络的威胁参数用于描述所述预划分网络当前被所述正在威胁预划分网络的网络威胁事件威胁的紧急程度，展示所述预划分网络的威胁参数。本发明实施例还提供针对网络威胁进行评估的方法，可以实时动态的反应当前的网络威胁情况。

说明书

技术领域

本发明涉及网络安全技术领域，具体涉及一种针对网络威胁进行评估的方 法、装置及系统。

背景技术

随着网络技术的发展和黑客攻击技术的普及，网络面临的威胁日益增多。 虽然网络设备都会部署防火墙、入侵检测系统等安全防护设施，但还是会有一 些网络威胁事件躲过安全防护设施威胁网络。针对这些躲过安全防护设施的网 络威胁事件，用户无法及时发现，也不能及时的进行处理，从而导致用户的网 络威胁度很高，存在极大的安全隐患，网络威胁事件就是影响网络安全的事件， 例如：拒绝服务、蠕虫爆发、服务器渗透、暴力破解等都属于网络威胁事件。

现有技术中可以通过风险评估系统对网络中的防护设施进行定时扫描，然 后根据扫描结果做出风险评估结果，并将风险评估结果展示给用户。无法实时 动态的反映出网络目前的威胁情况。

发明内容

为解决现有技术中无法实时动态的反映出网络目前的威胁情况，本发明实 施例提供一种针对网络威胁进行评估的方法，可以实时动态的反应当前的网络 威胁情况。本发明实施例还提供了相应的装置及系统。

本发明实施例提供一种针对网络威胁进行评估的方法，包括：

监测正在威胁预划分网络的网络威胁事件和所述预划分网络中网络设备 的重要性等级；

当监测到所述正在威胁预划分网络的网络威胁事件的状态和所述网络设 备的重要性等级中的至少一个发生变化时，对所述正在威胁预划分网络的网络 威胁事件进行威胁评估，得到所述预划分网络的威胁参数，所述预划分网络的 威胁参数用于描述所述预划分网络当前被所述正在威胁预划分网络的网络威 胁事件威胁的紧急程度；

展示所述预划分网络的威胁参数。

结合第一方面，在第一种可能的实现方式中，所述当监测到所述正在威胁 预划分网络的网络威胁事件的状态和所述网络设备的重要性等级中的至少一 个发生变化时，对所述正在威胁预划分网络的网络威胁事件进行威胁评估，得 到所述预划分网络的威胁参数，包括：

当监测到所述正在威胁预划分网络的网络威胁事件中增加了新的网络威 胁事件时，解析出所述新的网络威胁事件中所携带的目的地址和源地址；

在所述目的地址有对应的目的网络设备时，将所述新的网络威胁事件与所 述目的地址对应的目的网络设备建立对应关系；

在所述目的地址无对应的目的网络设备，但有对应的目的网络设备区域 时，将所述新的网络威胁事件与所述目的地址所属的目的网络设备区域建立对 应关系；

在所述目的地址无对应的目的网络设备区域，但所述源地址有对应的源网 络设备时，将所述新的网络威胁事件与所述源地址对应的源网络设备建立对应 关系；

在所述源地址无对应的源网络设备，但有对应的源网络设备区域时，将所 述新的网络威胁事件与所述源地址所属的源网络设备区域建立对应关系；

在所述源地址无对应的源网络设备区域时，将所述新的网络威胁事件与预 先指定的区域建立对应关系；

根据所述新的网络威胁事件和与所述新的网络威胁事件有对应关系的网 络设备或网络设备区域的重要性等级，对所述正在威胁预划分网络的网络威胁 事件进行威胁评估，得到所述预划分网络的威胁参数。

结合第一方面第一种可能的实现方式，在第二种可能的实现方式中，所述 解析出所述新的网络威胁事件中所携带的目的地址和源地址时，所述方法还包 括：

解析出所述新的网络威胁事件的事件级别；

所述根据所述新的网络威胁事件和与所述新的网络威胁事件有对应关系 的网络设备或网络设备区域的重要性等级，对所述正在威胁预划分网络的网络 威胁事件进行威胁评估，得到所述预划分网络的威胁参数，包括：

将与所述新的网络威胁事件对应的网络设备或网络设备区域的重要性等 级、所述新的网络威胁事件的事件级别和所述新的网络威胁事件的处理状态的 乘积开平方取整，得到所述新的网络威胁事件的事件威胁等级ETL；

根据所述新的网络威胁事件的事件威胁等级ETL和除所述新的网络威胁 事件之外的威胁事件的ETL，计算所述网络设备的设备威胁等级ATL，所述设 备威胁等级为与所述网络设备对应的网络威胁事件的最大ETL；

根据所述网络设备的ATL，计算所述预划分网络的网络威胁等级；

所述展示所述预划分网络的威胁参数，包括：

展示所述预划分网络的网络威胁等级。

结合第一方面第二种可能的实现方式，在第三种可能的实现方式中，所述 计算所述网络设备的设备威胁等级ATL之后，所述方法还包括：

根据所述网络设备的ATL和预置的第一公式，计算所述网络设备的设备威 胁度；

所述计算所述预划分网络的网络威胁等级之后，所述方法还包括：

根据所述网络威胁等级、所述设备威胁等级、设备威胁度和预置的第二公 式，计算所述预划分网络的网络威胁度；

所述展示所述预划分网络的网络威胁等级时，所述方法还包括：

展示所述预划分网络的网络威胁度。

结合第一方面第三种可能的实现方式，在第四种可能的实现方式中，当所 述预划分网络为多层级的预划分网络时，所述根据所述网络设备的ATL，计算 所述预划分网络的网络威胁等级，包括：

根据所述网络设备的ATL，分别计算所述多层级中各层级的网络威胁等 级；

所述根据所述网络威胁等级、所述设备威胁等级、设备威胁度和预置的第 二公式，计算所述预划分网络的网络威胁度，包括：

根据所述各层级的网络威胁等级、所述设备威胁等级、设备威胁度和预置 的对应各层级的所述第二公式，计算各层级的网络威胁度；

所述展示所述预划分网络的威胁参数，包括：

展示所述多层级中各层级的网络威胁等级和网络威胁度。

本发明第二方面提供一种针对网络威胁进行评估的装置，包括：

监测单元，用于监测正在威胁预划分网络的网络威胁事件和所述预划分网 络中网络设备的重要性等级；

评估单元，用于当所述监测单元监测到所述正在威胁预划分网络的网络威 胁事件的状态和所述网络设备的重要性等级中的至少一个发生变化时，对所述 正在威胁预划分网络的网络威胁事件进行威胁评估，得到所述预划分网络的威 胁参数，所述预划分网络的威胁参数用于描述所述预划分网络当前被所述正在 威胁预划分网络的网络威胁事件威胁的紧急程度；

展示单元，用于展示所述评估单元评估出的所述预划分网络的威胁参数。

结合第二方面，在第一种可能的实现方式中，所述评估单元包括：

解析子单元，用于当所述监测单元监测到所述正在威胁预划分网络的网络 威胁事件中增加了新的网络威胁事件时，解析出所述新的网络威胁事件中所携 带的目的地址和源地址；

对应关系建立子单元，用于在所述解析子单元解析出的所述目的地址有对 应的目的网络设备时，将所述新的网络威胁事件与所述目的地址对应的目的网 络设备建立对应关系；

所述对应关系建立子单元，用于在所述解析子单元解析出的所述目的地址 无对应的目的网络设备，但有对应的目的网络设备区域时，将所述新的网络威 胁事件与所述目的地址所属的目的网络设备区域建立对应关系；

所述对应关系建立子单元，用于在所述解析子单元解析出的所述目的地址 无对应的目的网络设备区域，但所述解析子单元解析出的所述源地址有对应的 源网络设备时，将所述新的网络威胁事件与所述源地址对应的源网络设备建立 对应关系；

所述对应关系建立子单元，用于在所述解析子单元解析出的所述源地址无 对应的源网络设备，但有对应的源网络设备区域时，将所述新的网络威胁事件 与所述源地址所属的源网络设备区域建立对应关系；

所述对应关系建立子单元，用于在所述解析子单元解析出的所述源地址无 对应的源网络设备区域时，将所述新的网络威胁事件与预先指定的区域建立对 应关系；

评估子单元，用于根据所述新的网络威胁事件和所述对应关系建立子单元 建立的与新的网络威胁事件有对应关系的网络设备或网络设备区域的重要性 等级，对所述正在威胁预划分网络的网络威胁事件进行威胁评估，得到所述预 划分网络的威胁参数。

结合第二方面第一种可能的实现方式，在第二种可能的实现方式中，

所述解析子单元，还用于在解析出所述新的网络威胁事件中所携带的目的 地址和源地址时，解析出所述新的网络威胁事件的事件级别；

所述评估子单元，包括：

第一计算子单元，用于将所述对应关系建立子单元建立的与所述新的网络 威胁事件对应的网络设备或网络设备区域的重要性等级、所述解析子单元解析 出的所述新的网络威胁事件的事件级别和所述新的网络威胁事件的处理状态 的乘积开平方取整，得到所述新的网络威胁事件的事件威胁等级ETL；

第二计算子单元，用于根据所述第一计算子单元计算得到的所述新的网络 威胁事件的事件威胁等级ETL和除所述新的网络威胁事件之外的威胁事件的 ETL，计算所述网络设备的设备威胁等级ATL，所述设备威胁等级为与所述网 络设备对应的网络威胁事件的最大ETL；

第三计算子单元，用于根据所述第二计算子单元计算得到的所述网络设备 的ATL，计算所述预划分网络的网络威胁等级；

所述展示单元，用于展示所述第三计算子单元计算出的所述预划分网络的 网络威胁等级。

结合第二方面第二种可能的实现方式，在第三种可能的实现方式中，

所述第二计算子单元，还用于在计算所述网络设备的设备威胁等级ATL之 后，根据所述网络设备的ATL和预置的第一公式，计算所述网络设备的设备威 胁度；

所述第三计算子单元，还用于在计算所述预划分网络的网络威胁等级之 后，根据所述网络威胁等级、所述设备威胁等级、设备威胁度和预置的第二公 式，计算所述预划分网络的网络威胁度；

所述展示单元，还用于在展示所述预划分网络的网络威胁等级时，展示所 述预划分网络的网络威胁度。

结合第二方面第三种可能的实现方式，在第四种可能的实现方式中，当所 述预划分网络为多层级的预划分网络时，

所述第三计算子单元，用于根据所述网络设备的ATL，分别计算所述多层 级中各层级的网络威胁等级，并根据所述各层级的网络威胁等级、所述设备威 胁等级、设备威胁度和预置的对应各层级的所述第二公式，计算各层级的网络 威胁度；

所述展示单元，用于展示所述第三计算子单元计算出的所述多层级中各层 级的网络威胁等级和网络威胁度。

本发明第三方面提供一种针对网络威胁进行评估的系统，包括：网络设备 和针对网络威胁进行评估的装置，所述网络设备和针对网络威胁进行评估的装 置通信连接，所述针对网络威胁进行评估的装置为上述第二方面所提供的装置 中的任意一种。

本发明实施例采用监测正在威胁预划分网络的网络威胁事件和所述预划 分网络中网络设备的重要性等级；当监测到所述正在威胁预划分网络的网络威 胁事件的状态和所述网络设备的重要性等级中的至少一个发生变化时，对所述 正在威胁预划分网络的网络威胁事件进行威胁评估，得到所述预划分网络的威 胁参数，所述预划分网络的威胁参数用于描述所述预划分网络当前被所述正在 威胁预划分网络的网络威胁事件威胁的紧急程度；展示所述预划分网络的威胁 参数。与现有技术中，无法实时动态的反映出网络目前的威胁情况相比，本发 明实施例提供的针对网络威胁进行评估的方法，当正在威胁预划分网络的网络 威胁事件的状态或者网络设备的重要性等级发生变化时，都会对网络威胁进行 评估并展示，可以实时动态的反应当前的网络威胁情况。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施 例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述 中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付 出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例中针对网络威胁进行评估的方法的一实施例示意图；

图2是本发明实施例中针对网络威胁进行评估的方法的另一实施例示意 图；

图3是本发明实施例中针对网络威胁进行评估的方法的另一实施例示意 图；

图4是本发明实施例中针对网络威胁进行评估的装置的一实施例示意图；

图5是本发明实施例中针对网络威胁进行评估的装置的另一实施例示意 图；

图6是本发明实施例中针对网络威胁进行评估的装置的另一实施例示意 图；

图7是本发明实施例中针对网络威胁进行评估的装置的另一实施例示意 图；

图8是本发明实施例中针对网络威胁进行评估的系统的一实施例示意图。

具体实施方式

本发明实施例提供本发明实施例提供一种针对网络威胁进行评估的方法， 可以实时动态的反应当前的网络威胁情况。本发明实施例还提供了相应的装置 及系统。以下分别进行详细说明。

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施 例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所 描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发 明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所 有其他实施例，都应当属于本发明保护的范围。

参阅图1，本发明实施例提供的针对网络威胁进行评估的方法的一实施例 包括：

101、监测正在威胁预划分网络的网络威胁事件和所述预划分网络中网络 设备的重要性等级。

例如：拒绝服务、蠕虫爆发、服务器渗透、暴力破解等都属于网络威胁事 件。

预划分网络中可以只有一个网络设备，也可以有多个网络设备，当网络设 备有多个时，该预划分网络可以是分层级的，例如：对于一个大中型企业的网 络来说，可以有多个层级，从单独的网络设备到网络设备小组，再到网络设备 区域，再到该企业的整个网络。

预划分网络中有一台或多台网络设备，网络设备的重要性等级是不同的， 网络设备的重要性等级可以由管理人员根据具体使用情况进行设置，当网络设 备的重要性等级被管理人员调高或者调低时，都会影响到网络威胁的评估结 果，所以在网络设备的重要性等级发生变化时，要重新评估预划分网络的威胁 情况。

102、当监测到所述正在威胁预划分网络的网络威胁事件的状态和所述网 络设备的重要性等级中的至少一个发生变化时，对所述正在威胁预划分网络的 网络威胁事件进行威胁评估，得到所述预划分网络的威胁参数，所述预划分网 络的威胁参数用于描述所述预划分网络当前被所述正在威胁预划分网络的网 络威胁事件威胁的紧急程度。

正在威胁预划分网络的网络威胁事件的状态发生变化是指监测到有新的 网络威胁事件增加，或者，监测到有之前获取到的但未消除的网络威胁事件被 消除。

当监测到有新的网络威胁事件增加之前，还会获取新的网络威胁事件增 加，获取新的威胁预划分网络的网络威胁事件的方式可以是接收网络设备发送 的，也可以是主动到网络设备处获取的。

当预划分网络有多个层级时，各个层级都会有对应的网络的威胁参数。

103、展示所述预划分网络的威胁参数。

本发明实施例采用监测正在威胁预划分网络的网络威胁事件和所述预划 分网络中网络设备的重要性等级；当监测到所述正在威胁预划分网络的网络威 胁事件的状态和所述网络设备的重要性等级中的至少一个发生变化时，对所述 正在威胁预划分网络的网络威胁事件进行威胁评估，得到所述预划分网络的威 胁参数，所述预划分网络的威胁参数用于描述所述预划分网络当前被所述正在 威胁预划分网络的网络威胁事件威胁的紧急程度；展示所述预划分网络的威胁 参数。与现有技术中漏洞扫描，无法实时动态的反映出网络目前的威胁情况相 比，本发明实施例提供的针对网络威胁进行评估的方法，当正在威胁预划分网 络的网络威胁事件的状态或者网络设备的重要性等级发生变化时，都会对网络 威胁进行评估并展示，可以实时动态的反应当前的网络威胁情况。

可选地，在上述图1对应的实施例的基础上，本发明实施例提供的针对网 络威胁进行评估的方法的第一个可选实施例中，所述当监测到所述正在威胁预 划分网络的网络威胁事件的状态和所述网络设备的重要性等级中的至少一个 发生变化时，对所述正在威胁预划分网络的网络威胁事件进行威胁评估，得到 所述预划分网络的威胁参数，包括：

当监测到所述正在威胁预划分网络的网络威胁事件中增加了新的网络威 胁事件时，解析出所述新的网络威胁事件中所携带的目的地址和源地址；

在所述目的地址有对应的目的网络设备时，将所述新的网络威胁事件与所 述目的地址对应的目的网络设备建立对应关系；

在所述目的地址无对应的目的网络设备，但有对应的目的网络设备区域 时，将所述新的网络威胁事件与所述目的地址所属的目的网络设备区域建立对 应关系；

在所述目的地址无对应的目的网络设备区域，但所述源地址有对应的源网 络设备时，将所述新的网络威胁事件与所述源地址对应的源网络设备建立对应 关系；

在所述源地址无对应的源网络设备，但有对应的源网络设备区域时，将所 述新的网络威胁事件与所述源地址所属的源网络设备区域建立对应关系；

在所述源地址无对应的源网络设备区域时，将所述新的网络威胁事件与预 先指定的区域建立对应关系；

根据所述新的网络威胁事件和与所述新的网络威胁事件有对应关系的网 络设备或网络设备区域的重要性等级，对所述正在威胁预划分网络的网络威胁 事件进行威胁评估，得到所述预划分网络的威胁参数。

本发明实施例的过程可以参阅图2进行理解，图2所描述的过程为：

S200、解析出所述新的网络威胁事件中所携带的目的地址和源地址。

S205、检查目的地址是否有对应的目的网络设备，当是时执行步骤S210， 当否是，执行步骤S215。

检查目的地址是否有对应的目的网络设备的过程可以是：在网络设备地址 与网络设备的映射表中查找，当查找到与该目的地址相匹配的网络设备地址 后，即可确定该目的地址有对应的目的网络设备。如果没有查找到与该目的地 址相匹配的网络设备地址，则可以确定该目的地址没有对应的目的网络设备。

S210、在所述目的地址有对应的目的网络设备时，将所述新的网络威胁事 件与所述目的地址对应的目的网络设备建立对应关系。

将所述新的网络威胁事件与所述目的地址对应的目的网络设备建立对应 关系是指该新的网络威胁事件威胁该目的网络设备。

S215、在所述目的地址无对应的目的网络设备时，检查目的地址是否有对 应的目的网络设备区域，如果是执行步骤S220，如果否执行步骤S225。

检查目的地址是否有对应的目的网络设备区域是指该目的地址是否落在 该目的网络设备区域的地址范围内，如果落在了目的网络设备区域的地址范围 内，则可以确定该目的地址有对应的目的网络设备区域，如果没落在目的网络 设备区域的地址范围内，则可以确定该目的地址无对应的目的网络设备区域。

S220、将所述新的网络威胁事件与所述目的地址所属的目的网络设备区域 建立对应关系。

将所述新的网络威胁事件与所述目的地址对应的目的网络设备区域建立 对应关系是指该新的网络威胁事件威胁该目的网络设备区域。

S225、在所述目的地址无对应的目的网络设备区域，检查源地址是否有对 应的源网络设备，当是时执行步骤S230，当否时执行步骤S235。

检查源地址地否有对应的源网络设备的过程可以是在网络设备地址与网 络设备的映射表中查找，当查找到与该源地址相匹配的网络设备地址后，即可 确定该源地址有对应的源网络设备。如果没有查找到与该源地址相匹配的网络 设备地址，则可以确定该源地址没有对应的源网络设备。

S230、将所述新的网络威胁事件与所述源地址对应的源网络设备建立对应 关系。

将所述新的网络威胁事件与所述源地址对应的源网络设备建立对应关系 是指该新的网络威胁事件是由该源网络设备发出的，可能该源网络设备是最初 被威胁的网络设备。

S235、在所述源地址无对应的源网络设备时，检查源地址是否有对应的源 网络设备区域，当是时执行步骤S240，当否时执行步骤S245。

检查源地址是否有对应的源网络设备区域是指该源地址是否落在该源网 络设备区域的地址范围内，如果落在了源网络设备区域的地址范围内，则可以 确定该源地址有对应的源网络设备区域，如果没落在源网络设备区域的地址范 围内，则可以确定该源地址无对应的源网络设备区域。

S240、将所述新的网络威胁事件与所述源地址所属的源网络设备区域建立 对应关系。

将所述新的网络威胁事件与所述源地址对应的源网络设备区域建立对应 关系是指该新的网络威胁事件是由该源网络设备区域发出的，可能该源网络设 备区域是最初被威胁的网络设备区域。

S245、在所述源地址无对应的源网络设备区域时，将所述新的网络威胁事 件与预先指定的区域建立对应关系。

预先指定的区域可以是用于评估网络威胁的网管服务器所在的区域。

本发明实施例中只描述了新的网络威胁事件与网络设备或网络设备区域 建立对应关系的过程，实际上，原始的网络威胁事件已经在该原始的网络威胁 事件初始被获取时就被建立了与网络设备或网络设备区域的对应关系。

在以上S200至S245建立对应关系后，就可以根据所述新的网络威胁事件和 与所述新的网络威胁事件有对应关系的网络设备或网络设备区域的重要性等 级，对所述正在威胁预划分网络的网络威胁事件进行威胁评估，得到所述预划 分网络的威胁参数。

可选地，在上述第一个可选实施例的基础上，本发明实施例提供的针对网 络威胁进行评估的方法的第二个可选实施例中，所述解析出所述新的网络威胁 事件中所携带的目的地址和源地址时，所述方法还可以包括：

解析出所述新的网络威胁事件的事件级别；

所述根据所述新的网络威胁事件和与所述新的网络威胁事件有对应关系 的网络设备或网络设备区域的重要性等级，对所述正在威胁预划分网络的网络 威胁事件进行威胁评估，得到所述预划分网络的威胁参数，可以包括：

将与所述新的网络威胁事件对应的网络设备或网络设备区域的重要性等 级、所述新的网络威胁事件的事件级别和所述新的网络威胁事件的处理状态的 乘积开平方取整，得到所述新的网络威胁事件的事件威胁等级ETL；

根据所述新的网络威胁事件的事件威胁等级ETL和除所述新的网络威胁 事件之外的威胁事件的ETL，计算所述网络设备的设备威胁等级ATL，所述设 备威胁等级为与所述网络设备对应的网络威胁事件的最大ETL；

根据所述网络设备的ATL，计算所述预划分网络的网络威胁等级；

所述展示所述预划分网络的威胁参数，可以包括：

展示所述预划分网络的网络威胁等级。

本发明实施例中，新的网络威胁事件的事件威胁等级(ETL，EventThreat Level)的计算过程可以参阅如下公式进行理解：

ETL＝Round(SQRT(EP*(EL*AV)),0)

其中，AV(AssetValue)表示网络设备或网络设备区域的重要性等级，例如： 可以分为5级：很高、高、中等、低和很低，对应权值为5、4、3、2、1。

EL(EventLevel)表示网络威胁事件的事件级别，例如：可以分为5级：很 高、高、中等、低和很低，每级对应一个加权系数，默认为5、4、3、2、1。

EP(EventProcess)为事件处理属性，1为未解决，0为已解决。

ETL就等于EP*(EL*AV)的乘积开平方取整。

本发明实施例中，ATL＝Max(ETLn)，预划分网络的网络威胁等级＝ Max(ATLn)。

可选地，在上述第二个可选实施例的基础上，本发明实施例提供的针对网 络威胁进行评估的方法的第三个可选实施例中，所述计算所述网络设备的设备 威胁等级ATL之后，所述方法还可以包括：

根据所述网络设备的ATL和预置的第一公式，计算所述网络设备的设备威 胁度；

所述计算所述预划分网络的网络威胁等级之后，所述方法还可以包括：

根据所述网络威胁等级、所述设备威胁等级、设备威胁度和预置的第二公 式，计算所述预划分网络的网络威胁度；

所述展示所述预划分网络的网络威胁等级时，所述方法还可以包括：

展示所述预划分网络的网络威胁度。

本发明实施例中，网络设备的设备威胁度ATS(AssetThreatSeverity)＝网 络设备威胁等级对应的威胁基准值+网络设备威胁次数加权值，用第一公式 可以表示为：

ATS＝20*(ATL-1)+min(20,(∑(0.1^(5-i)*ECi)*TWF)

其中,i为事件级别，1<＝i<＝5，ECi为事件级别为i的事件发生次数，TWF (ThreatWeightFactor)为威胁加权系数，0<＝TWF<＝10

公式展开例如：

最高威胁等级为5的网络设备的设备威胁度＝80+min(20,(1*EC5+ 0.1¹*EC4+0.1²*EC3+0.1³*EC2+0.1⁴*EC1)*10)

最高威胁等级为4的网络设备的设备威胁度＝60+min(20,(1*EC5+ 0.1¹*EC4+0.1²*EC3+0.1³*EC2+0.1⁴*EC1)*10)。

预划分网络的网络威胁度的第二公式可以表示为：

网络威胁度＝20*(网络威胁等级-1)+(∑0.1(网络威胁等级 -ATL(j))*(ATS(i)-20*(ATL(j)-1))))/n。

1<＝j<＝n,n为网络设备个数。

在展示预划分网络的网络等级时，展示预划分网络的网络威胁度，例如： 预划分网络的网络等级为5级，网络威胁度为85，则会同时展示网络等级为5 级，网络威胁度为85这两个威胁参数。

可选地，在上述第三个可选实施例的基础上，本发明实施例提供的针对网 络威胁进行评估的方法的第四个可选实施例中，当所述预划分网络为多层级的 预划分网络时，所述根据所述网络设备的ATL，计算所述预划分网络的网络威 胁等级，可以包括：

根据所述网络设备的ATL，分别计算所述多层级中各层级的网络威胁等 级；

所述根据所述网络威胁等级、所述设备威胁等级、设备威胁度和预置的第 二公式，计算所述预划分网络的网络威胁度，可以包括：

根据所述各层级的网络威胁等级、所述设备威胁等级、设备威胁度和预置 的对应各层级的所述第二公式，计算各层级的网络威胁度；

所述展示所述预划分网络的威胁参数，可以包括：

展示所述多层级中各层级的网络威胁等级和网络威胁度。

参阅图3，介绍本发明当预划分网络有多个层级时对网络威胁进行评估的 过程，以一个企业网为例，该企业网分为4个层级，分别为网络设备层级、网 络设备组层级、网络设备区域层级和整个企业网层级。

在第一层级的网络设备的设备威胁等级ATL计算出后，可以根据ATL分别 计算：

网络设备组的威胁等级(AGTL：AssetGroupThreatLevel)由该网络设备组 中的网络设备的设备最高威胁等级决定，即AGTL＝Max(ATLn)。

网络设备区域的威胁等级(ZTL：ZoneThreatLevel)由网络设备区域中网络 设备的设备最高威胁等级决定，即ZTL＝Max(ATLn)。

整个企业网的威胁等级(GTL：GlobalThreatLevel)由整个企业网中网络设 备的设备最高威胁等级决定，即GTL＝Max(ATLn)。

对应的，再根据网络威胁度的公式，可以分别计算出对应层级的网络威胁 度。

网络设备组的威胁度为：

AGTS＝20*(AGTL-1)+(∑0.1(AGTL-ATL(j))*(ATS(j)-20*(ATL(j)-1))))/n

网络设备区域的威胁度为：

ZTS＝20*(ZTL-1)+(∑0.1(ZTL-ATL(j))*(ATS(j)-20*(ATL(j)-1)))/n

整个企业网的威胁度为：

GTS＝20*(GTL-1)+(∑0.1(GTL-ATL(j))*(ATS(j)-20*(ATL(j)-1)))/n

其中：1<＝j<＝n,n为网络设备个数。例如：

网络设备组有2个网络设备，网络设备1的威胁等级为5，威胁度为90，网 络设备2的威胁等级为3，威胁度60，则区域的威胁度公式展开如下：

组的威胁等级AGTL＝Max(5,3)＝5

AGTS＝20*(5–1)+((0.1(5-5)*(90–20*(5-1))+0.1(5-3)*(60– 20*(3-1)))/2)

＝80+((1*10+0.01*20)/2)

＝85.1

则，可以确定该网络设备组的威胁等级为5，组的威胁度为85.1。

本发明实施例中，可以通过网络拓扑图分层级展示实时的网络威胁情况， 这样，网络管理员就可以及时了解整个企业网的安全状况，以及各个层级的安 全状况，而且方便管理员聚焦高危事件对网络设备的威胁状况。

可选地，在上述图1对应的实施例或第一至第四个可选实施例中任一实施 例的基础上，本发明实施例提供的第五个可选实施例中，所述方法还可以包括：

将所述当前网络的威胁参数，生成威胁评估报告。

本发明实施例中，在威胁评估结果实时刷新后，管理员可以手工或定时生 成威胁评估报告，便于做存档分析。

参阅图4，本发明实施例提供的一种针对网络威胁进行评估的装置20的一 实施例包括：

监测单元201，用于监测正在威胁预划分网络的网络威胁事件和所述预划 分网络中网络设备的重要性等级；

评估单元202，用于当所述监测单元201监测到所述正在威胁预划分网络的 网络威胁事件的状态和所述网络设备的重要性等级中的至少一个发生变化时， 对所述正在威胁预划分网络的网络威胁事件进行威胁评估，得到所述预划分网 络的威胁参数，所述预划分网络的威胁参数用于描述所述预划分网络当前被所 述正在威胁预划分网络的网络威胁事件威胁的紧急程度；

展示单元203，用于展示所述评估单元202评估出的所述预划分网络的威胁 参数。

本发明实施例中，监测单元201监测正在威胁预划分网络的网络威胁事件 和所述预划分网络中网络设备的重要性等级；评估单元202当所述监测单元201 监测到所述正在威胁预划分网络的网络威胁事件的状态和所述网络设备的重 要性等级中的至少一个发生变化时，对所述正在威胁预划分网络的网络威胁事 件进行威胁评估，得到所述预划分网络的威胁参数，所述预划分网络的威胁参 数用于描述所述预划分网络当前被所述正在威胁预划分网络的网络威胁事件 威胁的紧急程度；展示单元203展示所述评估单元202评估出的所述预划分网络 的威胁参数。与现有技术中漏洞扫描，无法实时动态的反映出网络目前的威胁 情况相比，本发明实施例提供的针对网络威胁进行评估的装置，当正在威胁预 划分网络的网络威胁事件的状态或者网络设备的重要性等级发生变化时，都会 对网络威胁进行评估并展示，可以实时动态的反应当前的网络威胁情况。

可选地，在上述图4对应的实施例的基础上，参阅图5，本发明实施例提供 的提供的一种针对网络威胁进行评估的装置20的第一个可选实施例中，所述评 估单元202包括：

解析子单元2021，用于当所述监测单元201监测到所述正在威胁预划分网 络的网络威胁事件中增加了新的网络威胁事件时，解析出所述新的网络威胁事 件中所携带的目的地址和源地址；

对应关系建立子单元2022，用于在所述解析子单元2021解析出的所述目的 地址有对应的目的网络设备时，将所述新的网络威胁事件与所述目的地址对应 的目的网络设备建立对应关系；

所述对应关系建立子单元2022，用于在所述解析子单元2021解析出的所述 目的地址无对应的目的网络设备，但有对应的目的网络设备区域时，将所述新 的网络威胁事件与所述目的地址所属的目的网络设备区域建立对应关系；

所述对应关系建立子单元2022，用于在所述解析子单元2021解析出的所述 目的地址无对应的目的网络设备区域，但所述解析子单元解析出的所述源地址 有对应的源网络设备时，将所述新的网络威胁事件与所述源地址对应的源网络 设备建立对应关系；

所述对应关系建立子单元2022，用于在所述解析子单元2021解析出的所述 源地址无对应的源网络设备，但有对应的源网络设备区域时，将所述新的网络 威胁事件与所述源地址所属的源网络设备区域建立对应关系；

所述对应关系建立子单元2022，用于在所述解析子单元2021解析出的所述 源地址无对应的源网络设备区域时，将所述新的网络威胁事件与预先指定的区 域建立对应关系；

评估子单元2023，用于根据所述新的网络威胁事件和所述对应关系建立子 单元2022建立的与新的网络威胁事件有对应关系的网络设备或网络设备区域 的重要性等级，对所述正在威胁预划分网络的网络威胁事件进行威胁评估，得 到所述预划分网络的威胁参数。

可选地，在上述图5对应的实施例的基础上，参阅图6，本发明实施例提供 的提供的一种针对网络威胁进行评估的装置20的第二个可选实施例中，

所述解析子单元2021，还用于在解析出所述新的网络威胁事件中所携带的 目的地址和源地址时，解析出所述新的网络威胁事件的事件级别；

所述评估子单元2023，包括：

第一计算子单元20231，用于将所述对应关系建立子单元2022建立的与所 述新的网络威胁事件对应的网络设备或网络设备区域的重要性等级、所述解析 子单元解析出的所述新的网络威胁事件的事件级别和所述新的网络威胁事件 的处理状态的乘积开平方取整，得到所述新的网络威胁事件的事件威胁等级 ETL；

第二计算子单元20232，用于根据所述第一计算子单元20231计算得到的所 述新的网络威胁事件的事件威胁等级ETL和除所述新的网络威胁事件之外的 威胁事件的ETL，计算所述网络设备的设备威胁等级ATL，所述设备威胁等级 为与所述网络设备对应的网络威胁事件的最大ETL；

第三计算子单元20233，用于根据所述第二计算子单元20232计算得到的所 述网络设备的ATL，计算所述预划分网络的网络威胁等级；

所述展示单元203，用于展示所述第三计算子单元20233计算出的所述预划 分网络的网络威胁等级。

可选地，在上述图6对应的第二个可选实施例的基础上，本发明实施例提 供的提供的一种针对网络威胁进行评估的装置20的第三个可选实施例中，

所述第二计算子单元20232，还用于在计算所述网络设备的设备威胁等级 ATL之后，根据所述网络设备的ATL和预置的第一公式，计算所述网络设备的 设备威胁度；

所述第三计算子单元20233，还用于在计算所述预划分网络的网络威胁等 级之后，根据所述网络威胁等级、所述设备威胁等级、设备威胁度和预置的第 二公式，计算所述预划分网络的网络威胁度；

所述展示单元203，还用于在展示所述预划分网络的网络威胁等级时，展 示所述第三计算子单元20233计算出的所述预划分网络的网络威胁度。

可选地，在上述图6对应的第三个可选实施例的基础上，本发明实施例提 供的提供的一种针对网络威胁进行评估的装置20的第四个可选实施例中，当所 述预划分网络为多层级的预划分网络时，

所述第三计算子单元20233，用于根据所述网络设备的ATL，分别计算所 述多层级中各层级的网络威胁等级，并根据所述各层级的网络威胁等级、所述 设备威胁等级、设备威胁度和预置的对应各层级的所述第二公式，计算各层级 的网络威胁度；

所述展示单元203，用于展示所述第三计算子单元20233计算出的所述多层 级中各层级的网络威胁等级和网络威胁度。

图7是本发明实施例针对网络威胁进行评估的装置20的结构示意图。针对 网络威胁进行评估的装置20可包括输入设备210、输出设备220、处理器230和 存储器240。

存储器240可以包括只读存储器和随机存取存储器，并向处理器230提供指 令和数据。存储器240的一部分还可以包括非易失性随机存取存储器 (NVRAM)。

存储器240存储了如下的元素，可执行模块或者数据结构，或者它们的子 集，或者它们的扩展集:

操作指令：包括各种操作指令，用于实现各种操作。

操作系统：包括各种系统程序，用于实现各种基础业务以及处理基于硬件 的任务。

在本发明实施例中，处理器230通过调用存储器240存储的操作指令(该操 作指令可存储在操作系统中)，执行如下操作：

监测正在威胁预划分网络的网络威胁事件和所述预划分网络中网络设备 的重要性等级；

当监测到所述正在威胁预划分网络的网络威胁事件的状态和所述网络设 备的重要性等级中的至少一个发生变化时，对所述正在威胁预划分网络的网络 威胁事件进行威胁评估，得到所述预划分网络的威胁参数，所述预划分网络的 威胁参数用于描述所述预划分网络当前被所述正在威胁预划分网络的网络威 胁事件威胁的紧急程度；

通过输出设备220展示所述预划分网络的威胁参数。

本发明实施例中，针对网络威胁进行评估的装置20当正在威胁预划分网络 的网络威胁事件的状态或者网络设备的重要性等级发生变化时，都会对网络威 胁进行评估并展示，可以实时动态的反应当前的网络威胁情况。

处理器230控制针对网络威胁进行评估的装置20的操作，处理器230还可以 称为CPU(CentralProcessingUnit，中央处理单元)。存储器240可以包括只读 存储器和随机存取存储器，并向处理器230提供指令和数据。存储器240的一部 分还可以包括非易失性随机存取存储器(NVRAM)。具体的应用中，针对网 络威胁进行评估的装置20的各个组件通过总线系统250耦合在一起，其中总线 系统250除包括数据总线之外，还可以包括电源总线、控制总线和状态信号总 线等。但是为了清楚说明起见，在图中将各种总线都标为总线系统250。

上述本发明实施例揭示的方法可以应用于处理器230中，或者由处理器230 实现。处理器230可能是一种集成电路芯片，具有信号的处理能力。在实现过 程中，上述方法的各步骤可以通过处理器230中的硬件的集成逻辑电路或者软 件形式的指令完成。上述的处理器230可以是通用处理器、数字信号处理器 (DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编 程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行 本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理 器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方 法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬 件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储 器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存 储介质中。该存储介质位于存储器240，处理器230读取存储器240中的信息， 结合其硬件完成上述方法的步骤。

可选地，处理器230具体可：当监测到所述正在威胁预划分网络的网络威 胁事件中增加了新的网络威胁事件时，解析出所述新的网络威胁事件中所携带 的目的地址和源地址；

在所述目的地址有对应的目的网络设备时，将所述新的网络威胁事件与所 述目的地址对应的目的网络设备建立对应关系；

在所述目的地址无对应的目的网络设备，但有对应的目的网络设备区域 时，将所述新的网络威胁事件与所述目的地址所属的目的网络设备区域建立对 应关系；

在所述目的地址无对应的目的网络设备区域，但所述源地址有对应的源网 络设备时，将所述新的网络威胁事件与所述源地址对应的源网络设备建立对应 关系；

在所述源地址无对应的源网络设备，但有对应的源网络设备区域时，将所 述新的网络威胁事件与所述源地址所属的源网络设备区域建立对应关系；

在所述源地址无对应的源网络设备区域时，将所述新的网络威胁事件与预 先指定的区域建立对应关系；

根据所述新的网络威胁事件和与所述新的网络威胁事件有对应关系的网 络设备或网络设备区域的重要性等级，对所述正在威胁预划分网络的网络威胁 事件进行威胁评估，得到所述预划分网络的威胁参数。

可选地，处理器230还可以：解析出所述新的网络威胁事件中所携带的目 的地址和源地址时，解析出所述新的网络威胁事件的事件级别；

处理器230具体可：将与所述新的网络威胁事件对应的网络设备或网络设 备区域的重要性等级、所述新的网络威胁事件的事件级别和所述新的网络威胁 事件的处理状态的乘积开平方取整，得到所述新的网络威胁事件的事件威胁等 级ETL；

根据所述新的网络威胁事件的事件威胁等级ETL和除所述新的网络威胁 事件之外的威胁事件的ETL，计算所述网络设备的设备威胁等级ATL，所述设 备威胁等级为与所述网络设备对应的网络威胁事件的最大ETL；

根据所述网络设备的ATL，计算所述预划分网络的网络威胁等级；

所述输出设备220具体可：展示所述预划分网络的网络威胁等级。

可选地，处理器230还可以：在计算所述网络设备的设备威胁等级ATL之 后，根据所述网络设备的ATL和预置的第一公式，计算所述网络设备的设备威 胁度；

在计算所述预划分网络的网络威胁等级之后，根据所述网络威胁等级、所 述设备威胁等级、设备威胁度和预置的第二公式，计算所述预划分网络的网络 威胁度；

所述输出设备220还可在展示所述预划分网络的网络威胁等级时，展示所 述预划分网络的网络威胁度。

可选地，处理器230具体可以：当所述预划分网络为多层级的预划分网络 时，根据所述网络设备的ATL，分别计算所述多层级中各层级的网络威胁等级； 根据所述各层级的网络威胁等级、所述设备威胁等级、设备威胁度和预置的对 应各层级的所述第二公式，计算各层级的网络威胁度；

所述输出设备220具体可展示所述多层级中各层级的网络威胁等级和网络 威胁度。

参阅图8，本发明实施例提供的针对网络威胁进行评估的系统的一实施例 包括：网络设备30和针对网络威胁进行评估的装置20，所述网络设备可以有多 个，所述网络设备可以被划分在不同层级的预划分网络中；

本发明实施例中以所述预划分网络有四个层级为例，第一层级的预划分网 络为网络设备30，第二层级的预划分网络为包含3个网络设备30，第三层级的 预划分网络中包含两个第二层级的预划分网络，第四层级的预划分网络包含两 个第三层级的预划分网络，所述针对网络威胁进行评估的装置20与每个网络设 备30通信连接；

所述针对网络威胁进行评估的装置20，用于监测正在威胁预划分网络的网 络威胁事件和所述预划分网络中网络设备的重要性等级；当监测到所述正在威 胁预划分网络的网络威胁事件的状态和所述网络设备的重要性等级中的至少 一个发生变化时，对所述正在威胁预划分网络的网络威胁事件进行威胁评估， 得到所述预划分网络的威胁参数，所述预划分网络的威胁参数用于描述所述预 划分网络当前被所述正在威胁预划分网络的网络威胁事件威胁的紧急程度；展 示所述预划分网络的威胁参数。

本发明实施例中，会展示每个层级的预划分网络的威胁参数。

本发明实施例提供的针对网络威胁进行评估的系统，当正在威胁预划分网 络的网络威胁事件的状态或者网络设备的重要性等级发生变化时，都会对网络 威胁进行评估并展示，可以实时动态的反应当前的网络威胁情况。

本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步 骤是可以通过程序来指令相关的硬件(例如处理器)来完成，该程序可以存储 于一计算机可读存储介质中，存储介质可以包括：ROM、RAM、磁盘或光盘 等。

以上对本发明实施例所提供的针对网络威胁进行评估的方法、装置以及系 统进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了 阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时， 对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围 上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。