一种设备安全风险评估方法、装置、设备及介质

摘要

本申请公开了一种设备安全风险评估方法、装置、设备、介质，该方法：获取目标设备在过去预设时长之内的安全事件；基于所述安全事件确定所述目标设备在所述过去预设时长之内的安全信息，其中，所述安全信息包括攻击阶段深度信息和攻击阶段完整性信息，所述攻击阶段深度信息表示所述目标设备受到的最高攻击阶段，所述攻击阶段完整性信息表示所述目标设备受到的攻击阶段的完整性；基于所述安全信息对所述目标设备进行安全风险评估。这样通过安全事件的关联分析评估当前设备的安全风险，有利于针对攻击者进行溯源分析和关联分析，且理解性较强，由此也降低了误报率。

说明书

技术领域

本申请涉及网络安全技术领域，特别涉及一种设备安全风险评估方法、装置、设备、介质。

背景技术

在信息化时代，连接网络的各种设备都可能会被攻击，导致设备存在风险，所以需要对设备的风险进行评估，这样可以根据评估之后的风险对设备进行防护和维护等，避免造成相应的损失。

目前，检测设备通常认为检测到攻击时产生的各个安全事件是相互独立的，并基于相互独立的各个安全事件进行被攻击设备的安全风险的评估。在上述评估方法中，由于将安全事件独立开来进行设备的安全风险评估，所以使得误报率较高。且不利于针对攻击者进行溯源分析和关联分析，且理解性较差。

发明内容

有鉴于此，本申请的目的在于提供一种设备安全风险评估方法、装置、设备、介质，通过安全事件的关联分析评估当前设备的安全风险，有利于针对攻击者进行溯源分析和关联分析，且理解性较强，由此也降低了误报率。其具体方案如下：

第一方面，本申请公开了一种设备安全风险评估方法，包括：

获取目标设备在过去预设时长之内的安全事件；

基于所述安全事件确定所述目标设备在所述过去预设时长之内的安全信息，其中，所述安全信息包括攻击阶段深度信息和攻击阶段完整性信息，所述攻击阶段深度信息表示所述目标设备受到的最高攻击阶段，所述攻击阶段完整性信息表示所述目标设备受到的攻击阶段的完整性；

基于所述安全信息对所述目标设备进行安全风险评估。

可选地，所述基于所述安全事件确定所述目标设备在所述过去预设时长之内的安全信息，包括：

对所述安全事件中的攻击阶段字段进行统计，以确定出所述安全事件中的最高攻击阶段；

根据预先设置的攻击阶段与攻击阶段深度信息对应关系确定所述最高攻击阶段对应的攻击阶段深度信息，得到所述目标设备在所述过去预设时长之内的攻击阶段深度信息。

可选地，所述根据预先设置的攻击阶段与攻击阶段深度信息对应关系确定所述最高攻击阶段对应的攻击阶段深度信息之前，还包括：

获取预先划分的攻击阶段，其中，所述攻击阶段为基于被攻击者资产情况和攻击者的攻击顺序划分的，且所述攻击阶段从低到高依次为存在风险、遭受攻击、成功攻击、主机失陷、扩散、目的达成以及权限维持；

获取各个所述攻击阶段对应的攻击阶段深度信息，得到所述攻击阶段与攻击阶段深度信息对应关系。

可选地，所述基于所述安全事件确定所述目标设备在所述过去预设时长之内的安全信息的过程中，还包括：

基于所述安全事件确定出所述目标设备在所述过去预设时长之内的目标危害性信息，其中，所述目标危害性信息表示所述目标设备面临的威胁级别；

将所述目标危害性信息确定为所述安全信息的组成部分。

可选地，所述基于所述安全事件确定出所述目标设备在所述过去预设时长之内的目标危害性信息，包括：

判断所述目标设备当前的受攻击状态是否为攻击成功；

如果是，则将所述安全事件中的第一类安全事件的危害性参数累加值作为所述目标设备在所述过去预设时长之内的目标危害性信息，其中，所述第一类安全事件为攻击状态字段为攻击成功的安全事件；

如果否，则将所述安全事件中的第二类安全事件的危害性参数累加值作为所述目标设备在所述过去预设时长之内的目标危害性信息，其中，所述第二类安全事件为攻击状态字段为攻击失败的安全事件。

可选地，所述基于所述安全信息对所述目标设备进行安全风险评估，包括：

根据所述目标危害性信息和所述攻击阶段深度信息确定过度参数；

根据所述过度参数与所述攻击阶段完整性信息确定所述目标设备的安全风险参数。

可选地，所述基于所述安全事件确定所述目标设备在所述过去预设时长之内的安全信息，包括：

基于所述安全事件中的攻击阶段字段确定出所述目标设备对应的攻击阶段序列，其中，所述攻击阶段序列表示所述目标设备在所述过去预设时长之内受到的攻击阶段的高低顺序；

基于所述攻击阶段序列确定所述目标设备在所述过去预设时长之内的攻击阶段完整性信息。

可选地，所述基于所述攻击阶段序列确定所述目标设备在所述过去预设时长之内的攻击阶段完整性信息，包括：

基于所述攻击阶段序列、预设攻击阶段序列以及编辑距离算法确定所述目标设备在所述过去预设时长之内的攻击阶段完整性信息。

第二方面，本申请公开了一种设备安全风险评估装置，包括：

安全事件获取模块，用于获取目标设备在过去预设时长之内的安全事件；

信息确定模块，用于基于所述安全事件确定所述目标设备在所述过去预设时长之内的安全信息，其中，所述安全信息包括攻击阶段深度信息和攻击阶段完整性信息，所述攻击阶段深度信息表示所述目标设备受到的最高攻击阶段，所述攻击阶段完整性信息表示所述目标设备受到的攻击阶段的完整性；

风险评估模块，用于基于所述安全信息对所述目标设备进行安全风险评估。

第三方面，本申请公开了一种电子设备，包括：

存储器和处理器；

其中，所述存储器，用于存储计算机程序；

所述处理器，用于执行所述计算机程序，以实现前述公开的设备安全风险评估方法。

第四方面，本申请公开了一种计算机可读存储介质，用于保存计算机程序，其中，所述计算机程序被处理器执行时实现前述公开的设备安全风险评估方法。

可见，本申请先获取目标设备在过去预设时长之内的安全事件，然后基于所述安全事件确定所述目标设备在所述过去预设时长之内的安全信息，其中，所述安全信息包括攻击阶段深度信息和攻击阶段完整性信息，所述攻击阶段深度信息表示所述目标设备受到的最高攻击阶段，所述攻击阶段完整性信息表示所述目标设备受到的攻击阶段的完整性，接着便可以基于所述安全信息对所述目标设备进行安全风险评估。有鉴于此，本申请在需要进行设备安全风险评估时，先获取目标设备在过去预设时长之内的所有安全事件，然后先基于所述安全事件确定所述目标设备在所述过去预设时长之内的安全信息，再基于所述安全信息对所述目标设备进行安全风险评估，这样相比于现有技术中基于单个安全事件相互独立的进行风险评估，本申请先获取到的设备在过去预设时长之内的所有安全事件，然后对这些安全事件联合分析，得到目标设备的安全信息，便可以根据所述安全信息对所述目标设备进行安全风险评估，通过安全事件的关联分析评估当前设备的安全风险，有利于针对攻击者进行溯源分析和关联分析，且理解性较强。且由于选取了攻击阶段深度信息和攻击阶段完整性信息联合进行设备的安全风险评估，由此也降低了误报率。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本申请公开的一种设备安全风险评估方法流程图；

图2为本申请公开的一种攻击者进行攻击流程图；

图3为本申请公开的一种安全事件字段图；

图4为本申请公开的一种具体的设备安全风险评估方法流程图；

图5为本申请公开的一种安全风险评估方法流程图；

图6为本申请公开的一种设备安全风险评估装置结构示意图；

图7为本申请公开的一种电子设备结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

参见图1所示，本申请实施例公开了一种设备安全风险评估方法，该方法包括：

步骤S11：获取目标设备在过去预设时长之内的安全事件。

在具体的实施过程中，需要先获取目标设备在过去预设时长之内的所有安全事件，其中，所述目标设备为需要进行安全风险评估的设备，所述预设时长可以根据具体情况确定，在此不做具体限定，例如，可以是过去一个月之内的所有安全事件。安全事件(cybersecuirty alert/event)为传统安全设备识别恶意攻击者行为后产生的一种提示性报警。也即，获取目标设备对应的过去预设时长之内的所有安全事件。

参见图2所示，为攻击者进行攻击的过程图。恶意攻击者将攻击的数据流借助互联网发送出去，数据量首先经过流量层安全设备，如果流量层安全设备识别到攻击行为，则会发起相应的安全事件，然后数据流还可以经过交换机或网络设备到达受害者资产，在受害者资产上可能由终端安全设备检测出攻击行为，并发起安全事件，也可能由其他安全设备发起安全事件。

也即，攻击者往往通过互联网或者内网网络(入侵成功、内网攻击)等方式攻击者受害者资产，可以使用流量层安全设备如防火墙、UTM(Unified Threat Management，统一威胁管理)、安全网关等进行保护，在受害者资产的操作系统安装基于终端行为、日志检测的安全设备如EDR(Endpoint Detection and Response，终端检测与响应)、杀毒软件、终端网关等设备进行防御。

由于现有技术中上述的各个设备在发起安全事件时，都是针对自己已有的规则会产生特定格式的安全事件用于描述当前的情况，不同设备拥有自己的格式，所以会导致对不同设备发起的安全事件进行分析时，需要采用不同的字段，不便于统一分析，所以可以采用一套安全事件格式的标准用于规范安全事件的各个字段的定义。

具体的，不同设备的安全事件应至少包含不局限于发生时间、攻击者IP、受害者IP(Internet Protocol，网际互连协议)、网络信息五元组、攻击次数、攻击类型、详细描述、特征字符或者数据包举证信息、危害级别、可信度、攻击阶段、攻击状态。其中，发生时间主要记录当前安全事件发生的时间、第一次发生的事件、以及每次攻击数据包的时间。攻击者、受害者IP、网络五元组主要涉及到当前安全时间包含的网络信息。攻击次数主要分为单次攻击的累加。数据包字段为当前安全事件报警提示的信息，包括不局限HTTP(Hyper TextTransfer Protocol，超文本传输协议)字段、原始流量数据包、行为特征总结信息等。详细描述用于描述当前安全事件主要发生的原理，具体是什么原因导致该安全事件的发生。威胁级别用于描述当前威胁事件的紧急性，用于评估资产遭成的危害攻击状态确定当前攻击是成功还是失败，或者状态未知。攻击类型主要用于体现当前攻击者行为的类型、常见的如web攻击、命令执行、数据库攻击、暴力破解、漏洞利用等。

对各个安全设备的发起的安全事件的字段进行统一定义，可以使得不同的安全设备发起的安全事件都包括相同的字段，便于对不同安全设备发起的安全事件进行统一分析。

参见图3所示，为安全事件的字段图。IP地址为1.2.3.4的恶意攻击者对IP地址为1.2.3.5的受害者资产发起进行攻击之后，发起的安全事件中包括的发生时间为2020年8月29日，攻击IP为1.2.3.4，受害者IP为1.2.3.5，攻击状态为攻击成功，详细描述为S2-命令执行攻击，攻击次数为15次，举证信息为数据包字段，攻击类型为web命令执行等。

步骤S12：基于所述安全事件确定所述目标设备在所述过去预设时长之内的安全信息，其中，所述安全信息包括攻击阶段深度信息和攻击阶段完整性信息，所述攻击阶段深度信息表示所述目标设备受到的最高攻击阶段，所述攻击阶段完整性信息表示所述目标设备受到的攻击阶段的完整性。

获取到所述安全事件之后，还需要基于所述安全事件确定出所述目标设备在所述过去预设时长之内的安全信息。也即，基于所述安全事件确定出所述目标设备在所述过去预设时长之内的攻击阶段深度信息和攻击阶段完整性信息，其中，所述攻击阶段深度信息表示所述目标设备受到的最高攻击阶段，所述攻击阶段完整性信息表示所述目标设备受到的攻击阶段的完整性。

在本申请中，主要结合了被攻击者资产情况与攻击者的攻击顺序划分当前攻击者在渗透测试或实际攻击场景下，入侵的阶段方便用户更加清楚的理解当前安全事件的危害性，更好的决策处置。可以将攻击阶段划分成了7个攻击阶段主要为：存在风险、遭受攻击、成功攻击、主机失陷、扩散、目的达成、权限维持。

其中，存在风险：此阶段主要处于部分资产还未处于真实的攻击场景，通过被动的流量感知或者主动的漏洞扫描发现的安全事件，比如某资产存在445端口开放或者存在MS17-010L漏洞未修复一类，覆盖资产的配置风险、弱密码、漏洞未修复、网站漏洞等场景下识别到的安全事件，都属于此攻击阶段。

遭受攻击：恶意攻击者使用一定的攻击手法，对当前受害者资产发起了不同的类型的攻击且都未成功的安全事件都划分为此阶段。常规的攻击者往往在收集了信息了，会使用各种攻击手法进行尝试的行为被安全设备发现后所产生的安全事件就归属到阶段。常见的如遭受web攻击、遭受暴力破解、收到钓鱼邮件等场景。

成功攻击：攻击者在遭受攻击阶段进行尝试的阶段，出现攻击成功的安全事件都属于成功攻击阶段。

主机失陷：在经历成功攻击的阶段后，恶意攻击者往往会进行一些内网的扫描、收集当前主机的敏感信息、提升当前用户的权限，或者从互联网下载更多的病毒、木马一类的程序。为后续攻击进行铺垫的行为，被安全设备检出后一般划分为当前阶段。

扩散：在成功攻击阶段之后往往攻击者为了获取更多的权限，会开始尝试攻击其他主机以控制更多的资产的行为被识别后即定义为扩散阶段。常见的攻击方式如利用当前受害者资产，暴力破解其他主机、漏洞攻击其他主机等安全事件。

目的达成：此阶段主要包含一些恶意攻击者针对当前资产进行恶意目的已经达成，比如常见的数据泄露、勒索、挖矿、组建僵尸网络、发起DDOS等行为别识别。

权限维持：此阶段主要为恶意攻击者完成攻击后为了更好的控制该主机在资产留下后门的过程被识别的安全事件，主要包括添加恶意账号、创建服务、修改注册表、植入后门木马或者rootkit等场景。

根据被攻击者资产情况和攻击者的攻击顺序对攻击阶段进行划分，相比现有技术中的只是从攻击者的攻击顺序进行攻击阶段的划分来说，可以更好地支持攻击溯源，更直观地展示当前受害者资产的风险，有助于使用者研判处理。

上述7个攻击阶段中，最低的攻击阶段为存在风险，最高的攻击阶段为权限维持。根据以上划分的7个阶段，可以为每个攻击阶段配置攻击阶段深度信息，例如，存在风险对应的攻击阶段深度信息为1，遭受攻击对应的攻击阶段深度信息为2，成功攻击对应的攻击阶段深度信息为3，主机失陷对应的攻击阶段深度信息为4，扩散对应的攻击阶段深度信息为5，目的达成对应的攻击阶段深度信息为6，权限维持对应的攻击阶段深度信息为7，则当过去预设时长之内的安全事件中的最高攻击阶段为第7个阶段的权限维持时，对应的攻击阶段深度信息为7。所述攻击阶段完整性信息可以根据所述安全事件中包括的攻击阶段的完整性确定。

步骤S13:基于所述安全信息对所述目标设备进行安全风险评估。

确定出所述安全信息之后，便可以基于所述安全信息对所述目标设备进行安全风险评估。

由于所述攻击阶段深度信息只是表明所述安全事件中最高的攻击阶段，所以单独根据所述攻击阶段深度信息对所述目标设备进行安全风险评估可能误差较大，所以综合所述攻击阶段深度信息和所述攻击阶段完整性信息进行安全风险评估，可以提高评估的准确性。

可见，本申请先获取目标设备在过去预设时长之内的安全事件，然后基于所述安全事件确定所述目标设备在所述过去预设时长之内的安全信息，其中，所述安全信息包括攻击阶段深度信息和攻击阶段完整性信息，所述攻击阶段深度信息表示所述目标设备受到的最高攻击阶段，所述攻击阶段完整性信息表示所述目标设备受到的攻击阶段的完整性，接着便可以基于所述安全信息对所述目标设备进行安全风险评估。有鉴于此，本申请在需要进行设备安全风险评估时，先获取目标设备在过去预设时长之内的所有安全事件，然后先基于所述安全事件确定所述目标设备在所述过去预设时长之内的安全信息，再基于所述安全信息对所述目标设备进行安全风险评估，这样相比于现有技术中基于单个安全事件相互独立的进行风险评估，本申请先获取到的设备在过去预设时长之内的所有安全事件，然后对这些安全事件联合分析，得到目标设备的安全信息，便可以根据所述安全信息对所述目标设备进行安全风险评估，通过安全事件的关联分析评估当前设备的安全风险，有利于针对攻击者进行溯源分析和关联分析，且理解性较强。且由于选取了攻击阶段深度信息和攻击阶段完整性信息联合进行设备的安全风险评估，由此也降低了误报率。

参见图4所示，本申请实施例公开了一种具体的设备安全风险评估方法，应，该方法包括：

步骤S21：获取目标设备在过去预设时长之内的安全事件。

步骤S22：基于所述安全事件确定所述目标设备在所述过去预设时长之内的攻击阶段深度信息。

在获取到所述安全事件之后，还需要根据基于所述安全事件确定所述目标设备在所述过去预设时长之内的攻击阶段深度信息。具体的，可以先对所述安全事件中的攻击阶段字段进行统计，以确定出所述安全事件中的最高攻击阶段；根据预先设置的攻击阶段与攻击阶段深度信息对应关系确定所述最高攻击阶段对应的攻击阶段深度信息，得到所述目标设备在所述过去预设时长之内的攻击阶段深度信息。

也即，可以先获取预先划分的攻击阶段，其中，所述攻击阶段为基于被攻击者资产情况和攻击者的攻击顺序划分的，且所述攻击阶段从低到高依次为存在风险、遭受攻击、成功攻击、主机失陷、扩散、目的达成以及权限维持；获取各个所述攻击阶段对应的攻击阶段深度信息，得到所述攻击阶段与攻击阶段深度信息对应关系。例如，第一个攻击阶段(存在风险)对应的攻击阶段深度信息为1，第二个攻击阶段(遭受攻击)对应的攻击阶段深度信息为2，第三个攻击阶段(成功攻击)对应的攻击阶段深度信息为3，第四个攻击阶段(主机失陷)对应的攻击阶段深度信息为4，第五个攻击阶段(扩散)对应的攻击阶段深度信息为5，第六个攻击阶段(目的达成)对应的攻击阶段深度信息为6，第七个攻击阶段(权限维持)对应的攻击阶段深度信息为7。这样便可以在确定出所述安全事件中的最高攻击阶段之后，然后根据预先设置的攻击阶段与攻击阶段深度信息对应关系确定所述最高攻击阶段对应的攻击阶段深度信息，得到所述目标设备在所述过去预设时长之内的攻击阶段深度信息。

步骤S23：基于所述安全事件确定所述目标设备在所述过去预设时长之内的攻击阶段完整性信息。

由于攻击者往往也是按照步骤逐步入侵，若只出现最后一个攻击阶段未出现中间攻击阶段的安全事件举证则风险值相对不高，阶段完整性越高、风险值越高。所以还需要基于所述安全事件确定出所述目标设备在所述过去预设时长之内的攻击阶段完整性信息。

具体的，可以先基于所述安全事件中的攻击阶段字段确定出所述目标设备对应的攻击阶段序列，其中，所述攻击阶段序列表示所述目标设备在所述过去预设时长之内受到的攻击阶段的高低顺序；基于所述攻击阶段序列确定所述目标设备在所述过去预设时长之内的攻击阶段完整性信息。

其中，基于所述攻击阶段序列确定所述目标设备在所述过去预设时长之内的攻击阶段完整性信息，包括：基于所述攻击阶段序列、预设攻击阶段序列以及编辑距离算法确定所述目标设备在所述过去预设时长之内的攻击阶段完整性信息。编辑距离，也叫莱文斯坦距离(Levenshtein)，是针对二个字符串(例如英文字)的差异程度的量化量测，量测方式是看至少需要多少次的处理才能将一个字符串变成另一个字符串。所述预设攻击阶段序列表示完整的攻击阶段序列。

例如，可以用1到7分别表示上述由低到高的7个攻击阶段，则所有攻击阶段可以表示为一个已知的数组序列[1，2，3，4，5，6，7]，最理想的状态攻击者是按照1到7每个阶段都有的步骤进行入侵且都能被识别出来；但是实际情况由于流量不全、检测能力缺少等情况导致多数场景不会出现此类场景，此处引入编辑距离算法用于确认当前攻击阶段的完整性，将记录到的所有安全事件根据阶段产生一个攻击阶段序列，如[1，3，5，6]或者[1，4，5，6，7]，将得到的实际攻击阶段序列与预设攻击阶段序列[1，2，3，4，5，6，7]计算编辑距离，用于确认当前攻击阶段的完整性，编辑距离越小说明当前攻击序列越完整。

步骤S24：基于所述安全事件确定所述目标设备在所述过去预设时长之内的目标危害性信息，其中，所述目标危害性信息表示所述目标设备面临的威胁级别。

在实际应用中，所述安全信息还可以包括目标危害性信息，其中，所述目标危害性信息表示所述目标设备面临的威胁级别。

具体的，可以先判断所述目标设备当前的受攻击状态是否为攻击成功；如果是，则将所述安全事件中的第一类安全事件的危害性参数累加值作为所述目标设备在所述过去预设时长之内的目标危害性信息，其中，所述第一类安全事件为攻击状态字段为攻击成功的安全事件；如果否，则将所述安全事件中的第二类安全事件的危害性参数累加值作为所述目标设备在所述过去预设时长之内的目标危害性信息，其中，所述第二类安全事件为攻击状态字段为攻击失败的安全事件。

也即，先确定所述目标设备是否被成功攻击，如果是，则将所述安全事件中攻击状态为成功的各个安全事件的危害性参数的累加值作为所述目标设备在所述过去预设时长之内的目标危害性信息，如果否，则将所述安全事件中攻击状态为失败的各个安全事件的危害性参数的累加值作为所述目标设备在所述过去预设时长之内的目标危害性信息。

步骤S25：根据所述目标危害性信息和所述攻击阶段深度信息确定过度参数。

步骤S26：根据所述过度参数与所述攻击阶段完整性信息确定所述目标设备的安全风险参数。

确定出所述攻击阶段深度信息、所述攻击阶段完整性信息以及所述目标危害性信息之后，便可以基于所述攻击阶段深度信息、所述攻击阶段完整性信息以及所述目标危害性信息对所述目标设备的安全风险进行评估。

具体的，所述根据所述目标危害性信息和所述攻击阶段深度信息确定过度参数，可以为将目标危害性参数和攻击阶段深度参数的乘积确定为过度参数。所述根据所述过度参数与所述攻击阶段完整性信息确定所述目标设备的安全风险参数，可以为将所述过度参数与攻击阶段完整性参数的比值作为所述目标设备的安全风险参数。其中，所述目标危害性参数为所述目标危害性信息中表示目标危害性的数值，所述攻击阶段深度参数为所述攻击阶段深度信息中包括攻击阶段深度的数值，所述攻击阶段完整性参数为所述攻击阶段完整性信息中包括攻击阶段完整性的数值。

将上述过程用公式可以表示为

基于攻击阶段深度信息、攻击阶段完整性信息以及目标危害性信息三个维度对目标设备的安全风险进行综合评估，可以提高风险评估的准确性。

参见图5所示，获取目标设备在过去预设市场之内的多个安全事件，每个安全事件包括发生时间、攻击IP、受害者IP、攻击状态、详细描述、攻击次数、举证信息以及攻击类型等字段，例如，IP地址为1.2.3.4的恶意攻击者对IP地址为1.2.3.5的受害者资产发起进行攻击之后，发起的安全事件中包括的发生时间为2020年8月29日11:51:41，攻击IP为1.2.3.4，受害者IP为1.2.3.5，攻击状态为攻击成功，详细描述为S2-命令执行攻击，攻击次数为15次，举证信息为数据包字段，攻击类型为web命令执行等。然后便可以基于过去预设时长之内的多个安全事件集合中各个安全事件的攻击阶段以及危害性参数对目标设备的安全风险进行评估。

参见图6所示，本申请实施例公开了一种设备安全风险评估装置，包括：

安全事件获取模块11，用于获取目标设备在过去预设时长之内的安全事件；

信息确定模块12，用于基于所述安全事件确定所述目标设备在所述过去预设时长之内的安全信息，其中，所述安全信息包括攻击阶段深度信息和攻击阶段完整性信息，所述攻击阶段深度信息表示所述目标设备受到的最高攻击阶段，所述攻击阶段完整性信息表示所述目标设备受到的攻击阶段的完整性；

风险评估模块13，用于基于所述安全信息对所述目标设备进行安全风险评估。

可见，本申请先获取目标设备在过去预设时长之内的安全事件，然后基于所述安全事件确定所述目标设备在所述过去预设时长之内的安全信息，其中，所述安全信息包括攻击阶段深度信息和攻击阶段完整性信息，所述攻击阶段深度信息表示所述目标设备受到的最高攻击阶段，所述攻击阶段完整性信息表示所述目标设备受到的攻击阶段的完整性，接着便可以基于所述安全信息对所述目标设备进行安全风险评估。有鉴于此，本申请在需要进行设备安全风险评估时，先获取目标设备在过去预设时长之内的所有安全事件，然后先基于所述安全事件确定所述目标设备在所述过去预设时长之内的安全信息，再基于所述安全信息对所述目标设备进行安全风险评估，这样相比于现有技术中基于单个安全事件相互独立的进行风险评估，本申请先获取到的设备在过去预设时长之内的所有安全事件，然后对这些安全事件联合分析，得到目标设备的安全信息，便可以根据所述安全信息对所述目标设备进行安全风险评估，通过安全事件的关联分析评估当前设备的安全风险，有利于针对攻击者进行溯源分析和关联分析，且理解性较强。且由于选取了攻击阶段深度信息和攻击阶段完整性信息联合进行设备的安全风险评估，由此也降低了误报率。

在一些具体的实施过程中，所述信息确定模块12，用于：对所述安全事件中的攻击阶段字段进行统计，以确定出所述安全事件中的最高攻击阶段；根据预先设置的攻击阶段与攻击阶段深度信息对应关系确定所述最高攻击阶段对应的攻击阶段深度信息，得到所述目标设备在所述过去预设时长之内的攻击阶段深度信息。

在一些具体的实施过程中，所述信息确定模块12，用于：获取预先划分的攻击阶段，其中，所述攻击阶段为基于被攻击者资产情况和攻击者的攻击顺序划分的，且所述攻击阶段从低到高依次为存在风险、遭受攻击、成功攻击、主机失陷、扩散、目的达成以及权限维持；获取各个所述攻击阶段对应的攻击阶段深度信息，得到所述攻击阶段与攻击阶段深度信息对应关系。

在一些具体的实施过程中，所述信息确定模块12，还用于：基于所述安全事件确定出所述目标设备在所述过去预设时长之内的目标危害性信息，其中，所述目标危害性信息表示所述目标设备面临的威胁级别；将所述目标危害性信息确定为所述安全信息的组成部分。

在一些具体的实施过程中，所述信息确定模块12，用于：判断所述目标设备当前的受攻击状态是否为攻击成功；如果是，则将所述安全事件中的第一类安全事件的危害性参数累加值作为所述目标设备在所述过去预设时长之内的目标危害性信息，其中，所述第一类安全事件为攻击状态字段为攻击成功的安全事件；如果否，则将所述安全事件中的第二类安全事件的危害性参数累加值作为所述目标设备在所述过去预设时长之内的目标危害性信息，其中，所述第二类安全事件为攻击状态字段为攻击失败的安全事件。

在一些具体的实施过程中，所述风险评估模块13，用于：根据所述目标危害性信息和所述攻击阶段深度信息确定过度参数；根据所述过度参数与所述攻击阶段完整性信息确定所述目标设备的安全风险参数。

在一些具体的实施过程中，所述信息确定模块12，用于：基于所述安全事件中的攻击阶段字段确定出所述目标设备对应的攻击阶段序列，其中，所述攻击阶段序列表示所述目标设备在所述过去预设时长之内受到的攻击阶段的高低顺序；基于所述攻击阶段序列确定所述目标设备在所述过去预设时长之内的攻击阶段完整性信息。

在一些具体的实施过程中，所述信息确定模块12，用于：基于所述攻击阶段序列、预设攻击阶段序列以及编辑距离算法确定所述目标设备在所述过去预设时长之内的攻击阶段完整性信息。

图7所示，为本申请实施例提供的一种电子设备20的结构示意图，该电子设备20具体可以实现前述实施例中公开的设备安全风险评估方法步骤。

通常，本实施例中的电子设备20包括：处理器21和存储器22。

其中，处理器21可以包括一个或多个处理核心，比如四核心处理器、八核心处理器等。处理器21可以采用DSP(digital signal processing,数字信号处理)、FPGA(field-programmable gate array，现场可编程们阵列)、PLA(programmable logic array,可编程逻辑阵列)中的至少一种硬件来实现。处理器21也可以包括主处理器和协处理器，主处理器是用于对在唤醒状态下的数据进行处理的处理器，也称CPU(central processing unit，中央处理器)；协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中，处理器21可以集成有GPU(graphics processing unit，图像处理器)，GPU用于负责显示屏所需要显示的图像的渲染和绘制。一些实施例中，处理器21可以包括AI(artificialintelligence，人工智能)处理器，该AI处理器用于处理有关机器学习的计算操作。

存储器22可以包括一个或多个计算机可读存储介质，计算机可读存储介质可以是非暂态的。存储器22还可以包括高速随机存取存储器，以及非易失性存储器，比如一个或多个磁盘存储设备、闪存存储设备。本实施例中，存储器22至少用于存储以下计算机程序221，其中，该计算机程序被处理器21加载并执行之后，能够实现前述任一实施例中公开的设备安全风险评估方法步骤。

在一些实施例中，电子设备20还可包括有显示屏23、输入输出接口24、通信接口25、传感器26、电源27以及通信总线28。

本技术领域人员可以理解，图7中示出的结构并不构成对电子设备20的限定，可以包括比图示更多或更少的组件。

进一步的，本申请实施例还公开了一种计算机可读存储介质，用于保存计算机程序，其中，所述计算机程序被处理器执行时实现前述任一实施例中公开的设备安全风险评估方法。

其中，关于上述设备安全风险评估方法的具体过程可以参考前述实施例中公开的相应内容，在此不再进行赘述。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。

最后，还需要说明的是，在本文中，诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或者操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得一系列包含其他要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上对本申请所提供的一种设备安全风险评估方法、装置、设备、介质进行了详细介绍，本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想；同时，对于本领域的一般技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本申请的限制。