功能损害型网络安全威胁识别装置及信息系统

摘要

本发明提供了一种功能损害型网络安全威胁识别装置及信息系统，该装置包括：威胁行为判断定义模块、威胁发起者识别模块、威胁作用的资产识别模块、威胁路径识别模块、威胁能力识别模块、威胁发生频率识别模块和威胁发生时机识别模块。本发明提供的功能损害型网络安全威胁识别装置，能够全面、准确地对功能损害型网络安全威胁进行识别，以准确地分析计算出功能损害型网络安全威胁带来的风险；而本发明提供的信息系统，能够针对不同等级的功能损害型网络安全威胁的风险，准确地采取不同等级的风险防护措施，提高了本发明提供的信息系统的安全防护性能。

说明书

技术领域

本发明涉及信息安全技术领域，尤其涉及一种功能损害型网络安全威胁识别装置及信息系统。

背景技术

近年来，我国云计算、大数据、物联网、工业互联网、人工智能等新技术新应用大规模发展，网络安全风险融合叠加并快速演变。互联网技术应用不断模糊物理世界和虚拟世界的界限，对整个经济社会发展的融合、渗透、驱动作用日益明显，带来的风险挑战也不断增大，网络空间威胁和风险日益增多。

信息安全风险评估是对业务和信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。信息安全风险评估是我国进行信息安全风险管理的核心手段，其包括评估准备、风险识别、风险分析、风险评价等四个主要阶段，而风险识别又包括业务识别、资产识别、威胁识别、脆弱性识别等过程。由此可见，威胁识别是信息安全风险评估中不可或缺的重要环节。

在网络世界中，威胁的种类多种多样，功能损害型网络安全威胁就是其中最为常见的一种，功能损害型网络安全威胁是指造成业务或者系统运行的部分功能不可用或者损害，但是，目前现有技术中缺少一种能够全面、准确地对功能损害型网络安全威胁进行识别，以准确地分析计算出功能损害型网络安全威胁带来的风险的识别装置，也缺少一种能够针对不同等级的功能损害型网络安全威胁的风险，准确地采取不同等级的风险防护措施的信息系统。

发明内容

本发明的发明目的是针对现有技术的缺陷，提供了一种功能损害型网络安全威胁识别装置及信息系统，用于解决现有技术中不能够全面、准确地对功能损害型网络安全威胁进行识别，以准确地分析计算出功能损害型网络安全威胁带来的风险，以及不能够针对不同等级的功能损害型网络安全威胁的风险，准确地采取不同等级的风险防护措施的问题。

根据本发明的一个方面，提供了一种功能损害型网络安全威胁识别装置，包括：威胁行为判断定义模块、威胁发起者识别模块、威胁作用的资产识别模块、威胁路径识别模块、威胁能力识别模块、威胁发生频率识别模块和威胁发生时机识别模块；其中，

威胁行为判断定义模块，用于获取威胁行为数据，判断威胁行为数据是否为功能损害型网络安全威胁行为，生成对应的威胁行为信号，并根据威胁行为信号和预设威胁定义数据，查询威胁行为数据对应的威胁定义，生成威胁定义信号；

威胁发起者识别模块、威胁作用的资产识别模块和威胁路径识别模块分别与威胁行为判断定义模块相连，用于根据威胁行为信号和威胁定义信号，判断威胁发起者、威胁作用的资产和威胁路径，并生成对应的威胁发起者信号、威胁作用的资产信号和威胁路径信号；

威胁能力识别模块分别与威胁行为判断定义模块和威胁发起者识别模块相连，用于根据威胁行为信号，判断威胁能力，并根据威胁能力、威胁发起者信号和预设威胁能力数据，确定威胁能力的等级，并生成威胁能力等级信号；

威胁发生频率识别模块分别与威胁行为判断定义模块和威胁发生时机识别模块相连，用于根据威胁行为信号，判断威胁发生频率，并根据威胁发生频率和预设威胁发生频率数据，确定威胁发生频率的等级，并生成威胁发生频率等级信号，以及根据修正信号，修正威胁发生频率的等级，并重新生成威胁发生频率等级信号；

威胁发生时机识别模块与威胁行为判断定义模块相连，用于根据威胁行为信号，判断威胁发生时机，确定威胁发生时机所处阶段，生成修正信号。

可选地，功能损害型网络安全威胁行为包括：操作失误、维护错误、网络攻击、权限伪造、行为否认、权限滥用和人员可用性破坏；其中，网络攻击包括：服务拒绝攻击、利用型攻击、信息收集型攻击和综合性攻击。

可选地，威胁行为判断定义模块进一步包括：威胁行为判断模块和威胁定义查询模块；其中，

威胁行为判断模块分别与威胁发起者识别模块、威胁作用的资产识别模块、威胁路径识别模块、威胁能力识别模块、威胁发生频率识别模块和威胁发生时机识别模块相连，用于获取威胁行为数据，判断威胁行为数据是否为功能损害型网络安全威胁行为，生成对应的威胁行为信号；

威胁定义查询模块分别与威胁行为判断模块、威胁发起者识别模块、威胁作用的资产识别模块和威胁路径识别模块相连，用于根据威胁行为信号和预设威胁定义数据，查询威胁行为数据对应的威胁定义，生成威胁定义信号。

可选地，威胁发生时机识别模块进一步包括：威胁发生时机模块和威胁发生时机判断模块；其中，

威胁发生时机模块与威胁行为判断定义模块相连，用于根据威胁行为信号，判断威胁发生时机，生成威胁发生时机信号；

威胁发生时机判断模块分别与威胁发生时机模块和威胁发生频率识别模块相连，用于根据威胁发生时机信号，确定威胁发生时机所处阶段，生成修正信号，并将其输出至威胁发生频率识别模块。

可选地，威胁发生时机判断模块又进一步包括：特殊阶段数据库模块和判断比较模块；其中；

特殊阶段数据库模块，用于存储特殊阶段的地址和数据；

判断比较模块分别与威胁发生时机模块、特殊阶段数据库模块和威胁发生频率识别模块相连，用于将威胁发生时机信号与特殊阶段数据库模块中存储的地址进行比较，若相同，根据特殊阶段数据库模块中存储的对应数据查询对应的外部数据库；若外部数据库中存在对应的数据，确定威胁发生时机所处阶段为特殊阶段，生成修正信号，并将其输出至威胁发生频率识别模块；若外部数据库中不存在对应的数据，确定威胁发生时机所处阶段为普通阶段。

可选地，特殊阶段数据库模块包括：10个特殊阶段数据模块；每个特殊阶段数据模块包括：特殊阶段数据地址子模块和特殊阶段数据子模块；其中，每个特殊阶段数据子模块中存储的数据被分别一一对应配置为：

操作失误的特殊阶段为新员工入职上岗期间、经营出现问题期间和/或员工被解雇或者离职期间；

维护错误的特殊阶段为系统运维管理过程期间；

服务拒绝攻击、利用型攻击、信息收集型攻击、综合性攻击或者权限伪造的特殊阶段为组织新产品发布期间；

行为否认的特殊阶段为内部技术员工被解雇或者离职期间和/或事件分析或者溯源期间；

权限滥用的特殊阶段为自然灾害期间、技术失效或者开源组件维护者停止维护期间和/或收入下降期间；

可用性破坏的特殊阶段为自然灾害期间和/或组织业务收入下降期间。

可选地，预设威胁定义数据包括：10个威胁定义数据单元；每个威胁定义数据单元包括：威胁定义数据地址子单元和威胁定义数据子单元；其中，每个威胁定义数据子单元中存储的威胁定义被分别一一对应配置为：

操作失误的威胁定义为由于个人主观故意或者对系统操作不熟练，导致操作步骤或者过程出现错误；

维护错误的威胁定义为由于个人主观故意或者对系统操作不熟练，导致维护对象或者维护的内容不正确，影响系统的正常使用；

服务拒绝攻击的威胁定义为攻击者让目标系统停止提供服务；

利用型攻击的威胁定义为攻击者采用攻击工具或者技术手段获取攻击目标的控制权，或者影响系统指令正常执行；

信息收集型攻击的威胁定义为攻击者采用工具或者技术手段收集信息系统的相关信息；

综合性攻击的威胁定义为攻击者对特定对象展开持续有效的攻击活动；

权限伪造的威胁定义为攻击者利用技术手段伪造权限凭证，以获取系统的对应权限；

行为否认的威胁定义为攻击者、内部工作人员或者系统使用用户否认自己对系统的操作或者数据的读取行为；

权限滥用的威胁定义为攻击者对系统进行不符合自身身份的操作和文件的读取行为；

人员可用性破坏的威胁定义为由于偶然、故意或者所在环境，导致信息系统相关人员无法正常开展工作。

可选地，预设威胁能力数据包括：10个威胁能力数据单元；每个威胁能力数据单元包括：威胁能力数据地址子单元和威胁能力数据子单元；其中，威胁能力数据子单元中存储的数据根据威胁能力的高低由低到高依次被划分为L

和/或，预设威胁发生频率数据包括：10个威胁发生频率数据单元；每个威胁发生频率数据单元包括：威胁发生频率数据地址子单元和威胁发生频率数据子单元；其中，威胁发生频率数据子单元中存储的数据根据威胁发生频率的大小由小到大依次被划分为L

可选地，该装置还包括：风险评估模块；

风险评估模块分别与威胁行为判断定义模块、威胁发起者识别模块、威胁作用的资产识别模块、威胁路径识别模块、威胁能力识别模块、威胁发生频率识别模块和威胁发生时机识别模块相连，用于根据威胁行为信号、威胁定义信号、威胁发起者信号、威胁作用的资产信号、威胁路径信号、威胁能力等级信号、威胁发生频率等级信号和/或威胁发生时机信号，分析计算功能损害型网络安全威胁的风险。

根据本发明的另一个方面，还提供了一种信息系统，该系统包括：上述功能损害型网络安全威胁识别装置，以及信息安全系统模块；其中，

信息安全系统模块与风险评估模块相连，用于根据风险评估模块输出的功能损害型网络安全威胁的风险，采取对应的风险防护措施。

本发明提供的功能损害型网络安全威胁识别装置及信息系统，具有如下有益效果：

（1）本发明提供的功能损害型网络安全威胁识别装置及信息系统，通过识别威胁行为、威胁定义、威胁发起者、威胁作用的资产、威胁路径、威胁能力、威胁发生频率和威胁发生时机，提高了本发明提供的功能损害型网络安全威胁识别装置识别的准确性，同时降低了其识别的难度；

（2）本发明提供的功能损害型网络安全威胁识别装置及信息系统，由于能够全面、准确地对威胁行为、威胁定义、威胁发起者、威胁作用的资产、威胁路径、威胁能力、威胁发生频率和威胁发生时机进行识别，因此，提高了分析计算功能损害型网络安全威胁的风险的准确性；

（3）本发明提供的信息系统，由于能够准确地分析计算出功能损害型网络安全威胁的风险，因此，信息安全系统模块能够针对不同等级的功能损害型网络安全威胁的风险，准确地采取不同等级的风险防护措施，提高了本发明提供的信息系统的安全防护性能，同时，也优化了本发明提供的信息系统的整体内部性能，减少了能源损耗，保护了环境。

附图说明

图1为本发明提供的功能损害型网络安全威胁识别装置的实施例一的一电路模块结构示意图；

图2为本发明提供的功能损害型网络安全威胁识别装置的实施例一的另一电路模块结构示意图；

图3为本发明提供的功能损害型网络安全威胁识别装置的实施例一中的预设威胁定义数据的结构示意图；

图4为本发明提供的功能损害型网络安全威胁识别装置的实施例一中的特殊阶段数据库模块的结构示意图；

图5为本发明提供的功能损害型网络安全威胁识别装置的实施例二的一电路模块结构示意图；

图6为本发明提供的信息系统的一电路模块结构示意图。

具体实施方式

为充分了解本发明之目的、特征及功效，借由下述具体的实施方式，对本发明做详细说明，但本发明并不仅仅限于此。

图1为本发明提供的功能损害型网络安全威胁识别装置的实施例一的一电路模块结构示意图。如图1所示，该装置包括：威胁行为判断定义模块10、威胁发起者识别模块20、威胁作用的资产识别模块30、威胁路径识别模块40、威胁能力识别模块50、威胁发生频率识别模块60和威胁发生时机识别模块70。其中，威胁行为判断定义模块10，用于获取威胁行为数据，判断威胁行为数据是否为功能损害型网络安全威胁行为，生成对应的威胁行为信号，并根据威胁行为信号和预设威胁定义数据，查询威胁行为数据对应的威胁定义，生成威胁定义信号；威胁发起者识别模块20、威胁作用的资产识别模块30和威胁路径识别模块40分别与威胁行为判断定义模块10相连，用于根据威胁行为信号和威胁定义信号，判断威胁发起者、威胁作用的资产和威胁路径，并生成对应的威胁发起者信号、威胁作用的资产信号和威胁路径信号；威胁能力识别模块50分别与威胁行为判断定义模块10和威胁发起者识别模块20相连，用于根据威胁行为信号，判断威胁能力，并根据威胁能力、威胁发起者信号和预设威胁能力数据，确定威胁能力的等级，并生成威胁能力等级信号；威胁发生频率识别模块60分别与威胁行为判断定义模块10和威胁发生时机识别模块70相连，用于根据威胁行为信号，判断威胁发生频率，并根据威胁发生频率和预设威胁发生频率数据，确定威胁发生频率的等级，并生成威胁发生频率等级信号，以及根据修正信号，修正威胁发生频率的等级，并重新生成威胁发生频率等级信号；威胁发生时机识别模块70与威胁行为判断定义模块10相连，用于根据威胁行为信号，判断威胁发生时机，确定威胁发生时机所处阶段，生成修正信号。

在本实施例中，功能损害型网络安全威胁行为包括：操作失误、维护错误、网络攻击、权限伪造、行为否认、权限滥用和人员可用性破坏；其中，网络攻击进一步包括：服务拒绝攻击、利用型攻击、信息收集型攻击和综合性攻击。

在一种可选实施方式中，如图1和图2所示，威胁行为判断定义模块10进一步包括：威胁行为判断模块101和威胁定义查询模块102；其中，威胁行为判断模块101分别与威胁发起者识别模块20、威胁作用的资产识别模块30、威胁路径识别模块40、威胁能力识别模块50、威胁发生频率识别模块60和威胁发生时机识别模块70相连，用于获取威胁行为数据，判断威胁行为数据是否为功能损害型网络安全威胁行为，生成对应的威胁行为信号；威胁定义查询模块102分别与威胁行为判断模块101、威胁发起者识别模块20、威胁作用的资产识别模块30和威胁路径识别模块40相连，用于根据威胁行为信号和预设威胁定义数据，查询威胁行为数据对应的威胁定义，生成威胁定义信号。

其中，威胁行为判断模块101在获取到威胁行为数据后，可根据预设威胁定义数据，判断威胁行为数据是否为功能损害型网络安全威胁行为，若是，则确定其为对应的功能损害型网络安全威胁行为，生成对应的威胁行为信号；若否，则停止识别过程。

以威胁行为判断模块101获取到的威胁行为数据为由于个人对系统操作不熟练，导致操作步骤出现错误为例。威胁行为判断模块101在获取到该威胁行为数据后，会将其与预设威胁定义数据进行比较，若符合，则确定其为对应的功能损害型网络安全威胁行为，生成对应的威胁行为信号；若不符合，则停止识别过程。由于该威胁行为数据与预设威胁定义数据中存储的操作失误的威胁定义相符合，因此，确定该威胁行为数据对应的功能损害型网络安全威胁行为是操作失误。其他情况以此类推，此处不再赘述。

如图3所示，本实施例中的预设威胁定义数据包括：10个威胁定义数据单元1020；每个威胁定义数据单元1020又包括：威胁定义数据地址子单元1021和威胁定义数据子单元1022；其中，每个威胁定义数据子单元1022中存储的威胁定义被分别一一对应配置为：操作失误（Error in use）的威胁定义为由于个人主观故意或者对系统操作不熟练，导致操作步骤或者过程出现错误；维护错误（Maintenance error）的威胁定义为由于个人主观故意或者对系统操作不熟练，导致维护对象或者维护的内容不正确，影响系统的正常使用；服务拒绝攻击（Denial of actions）的威胁定义为攻击者让目标系统停止提供服务；利用型攻击（Exploitative attack）的威胁定义为攻击者采用攻击工具或者技术手段获取攻击目标的控制权，或者影响系统指令正常执行；信息收集型攻击（Information gathering attack）的威胁定义为攻击者采用工具或者技术手段收集信息系统的相关信息；综合性攻击（APTattack）的威胁定义为攻击者对特定对象展开持续有效的攻击活动；权限伪造（Forging ofrights）的威胁定义为攻击者利用技术手段伪造权限凭证，以获取系统的对应权限；行为否认（Denial of actions）的威胁定义为攻击者、内部工作人员或者系统使用用户否认自己对系统的操作或者数据的读取行为；权限滥用（Abuse of rights）的威胁定义为攻击者对系统进行不符合自身身份的操作和文件的读取行为；人员可用性破坏（Breach ofpersonnel availability）的威胁定义为由于偶然、故意或者所在环境，导致信息系统相关人员无法正常开展工作。

应当注意的是，威胁定义数据单元1020的数量与被定义的功能损害型网络安全威胁行为的数量相同，本领域技术人员可以根据实际需要进行选择，此处不做限定。例如：在图3中，被定义的功能损害型网络安全威胁行为的数量为10个，因此，威胁定义数据单元1020的数量也为10，但是，若被定义的功能损害型网络安全威胁行为的数量为5个，则威胁定义数据单元1020的数量也为5。也就是说，本实施例中的预设威胁定义数据可包括：N

具体地，当预设威胁定义数据包括10个威胁定义数据单元1020，且每个威胁定义数据单元1020又包括威胁定义数据地址子单元1021和威胁定义数据子单元1022时，威胁定义查询模块102在接收到威胁行为信号后，会将该威胁行为信号与预设威胁定义数据包括的威胁定义数据地址子单元1021中存储的地址进行比较，若相同，则确定该威胁定义数据子单元1022中存储的威胁定义为该威胁行为数据对应的威胁定义，生成威胁定义信号。此外，应当理解的是，若该威胁行为信号不能直接与威胁定义数据地址子单元1021中存储的地址进行比较，则威胁定义查询模块102还用于将该威胁行为信号进行数据格式转换（即译码）。

威胁发起者识别模块20与威胁行为判断定义模块10相连，用于根据威胁行为信号和威胁定义信号，判断威胁发起者，并生成威胁发起者信号。具体地，在威胁发起者识别模块20接收到威胁行为信号和威胁定义信号后，会根据威胁行为信号和威胁定义信号，查询预设威胁发起者数据，判断威胁发起者，并生成威胁发起者信号。

可选地，预设威胁发起者数据包括：10个威胁发起者数据单元；每个威胁发起者数据单元又包括：威胁发起者数据地址子单元和威胁发起者数据子单元；其中，每个威胁发起者数据子单元中存储的威胁发起者被分别一一对应配置为：操作失误或者维护错误的威胁发起者为内部工作人员或者外部第三方运维人员；服务拒绝攻击、利用型攻击、信息收集型攻击、权限伪造或者权限滥用的威胁发起者为不同等级的恶意网络攻击组织或者不同等级的恶意网络攻击个人；综合性攻击的威胁发起者为恶意网络攻击组织；行为否认的威胁发起者为内部工作人员、不同等级的恶意网络攻击组织或者不同等级的恶意网络攻击个人；人员可用性破坏的威胁发起者为不同等级的恶意网络攻击组织、不同等级的恶意网络攻击个人或者环境原因。

应当注意的是，威胁发起者数据单元的数量与被定义的功能损害型网络安全威胁行为的数量相同，本领域技术人员可以根据实际需要进行选择，此处不做限定。例如：在本实施例中，被定义的功能损害型网络安全威胁行为的数量为10个，因此，威胁发起者数据单元的数量也为10，但是，若被定义的功能损害型网络安全威胁行为的数量为5个，则威胁发起者数据单元的数量也为5。也就是说，本实施例中的预设威胁发起者数据可包括：N

威胁发起者识别模块20根据威胁行为信号和威胁定义信号，判断威胁发起者，并生成威胁发起者信号的方式可有两种。第一种：在威胁发起者识别模块20接收到威胁行为信号和威胁定义信号后，会将威胁行为信号与预设威胁发起者数据包括的威胁发起者数据地址子单元中存储的地址进行比较，若相同，则确定该威胁发起者数据子单元中存储的威胁发起者为该威胁行为数据对应的威胁发起者的范围，再根据威胁定义信号，进一步确定威胁发起者，并生成威胁发起者信号；第二种：在威胁发起者识别模块20接收到威胁行为信号和威胁定义信号后，会将威胁行为信号或者威胁定义信号与预设威胁发起者数据包括的威胁发起者数据地址子单元中存储的地址进行比较，若相同，则确定该威胁发起者数据子单元中存储的威胁发起者为该威胁行为数据对应的威胁发起者，并生成威胁发起者信号。本领域技术人员可以根据实际需要进行选择，此处不做限定。

威胁作用的资产识别模块30与威胁行为判断定义模块10相连，用于根据威胁行为信号和威胁定义信号，判断威胁作用的资产，并生成威胁作用的资产信号。具体地，在威胁作用的资产识别模块30接收到威胁行为信号和威胁定义信号后，会根据威胁行为信号和威胁定义信号，查询预设威胁作用的资产数据，判断威胁作用的资产，并生成威胁作用的资产信号。

可选地，预设威胁作用的资产数据包括：10个威胁作用的资产数据单元；每个威胁作用的资产数据单元又包括：威胁作用的资产数据地址子单元和威胁作用的资产数据子单元；其中，每个威胁作用的资产数据子单元中存储的威胁作用的资产被分别一一对应配置为：操作失误、维护错误、综合性攻击或者权限滥用的威胁作用的资产为各类软硬件或者系统产生的敏感数据；服务拒绝攻击、利用型攻击或者信息收集型攻击的威胁作用的资产为各类软硬件；权限伪造或者行为否认的威胁作用的资产为各类软硬件、信息系统或者系统产生的敏感数据；人员可用性破坏的威胁作用的资产为被评估对象相关人员，如系统管理员、安全管理员、审计员、使用人员等。

应当注意的是，威胁作用的资产数据单元的数量与被定义的功能损害型网络安全威胁行为的数量相同，本领域技术人员可以根据实际需要进行选择，此处不做限定。例如：在本实施例中，被定义的功能损害型网络安全威胁行为的数量为10个，因此，威胁作用的资产数据单元的数量也为10，但是，若被定义的功能损害型网络安全威胁行为的数量为5个，则威胁作用的资产数据单元的数量也为5。也就是说，本实施例中的预设威胁作用的资产数据可包括：N

威胁作用的资产识别模块30根据威胁行为信号和威胁定义信号，判断威胁作用的资产，并生成威胁作用的资产信号的方式可有两种。第一种：在威胁作用的资产识别模块30接收到威胁行为信号和威胁定义信号后，会将威胁行为信号与预设威胁作用的资产数据包括的威胁作用的资产数据地址子单元中存储的地址进行比较，若相同，则确定该威胁作用的资产数据子单元中存储的威胁作用的资产为该威胁行为数据对应的威胁作用的资产的范围，再根据威胁定义信号，进一步确定威胁作用的资产，并生成威胁作用的资产信号；第二种：在威胁作用的资产识别模块30接收到威胁行为信号和威胁定义信号后，会将威胁行为信号或者威胁定义信号与预设威胁作用的资产数据包括的威胁作用的资产数据地址子单元中存储的地址进行比较，若相同，则确定该威胁作用的资产数据子单元中存储的威胁作用的资产为该威胁行为数据对应的威胁作用的资产，并生成威胁作用的资产信号。本领域技术人员可以根据实际需要进行选择，此处不做限定。

威胁路径识别模块40与威胁行为判断定义模块10相连，用于根据威胁行为信号和威胁定义信号，判断威胁路径，并生成威胁路径信号。具体地，在威胁路径识别模块40接收到威胁行为信号和威胁定义信号后，会根据威胁行为信号和威胁定义信号，查询预设威胁路径数据，判断威胁路径，并生成威胁路径信号。

可选地，预设威胁路径数据包括：10个威胁路径数据单元；每个威胁路径数据单元又包括：威胁路径数据地址子单元和威胁路径数据子单元；其中，每个威胁路径数据子单元中存储的威胁路径被分别一一对应配置为：

操作失误的威胁路径为由于个人主观故意或者对系统操作不熟练，导致操作步骤或者过程出现错误，导致配置错误影响系统使用，或者配置出现安全脆弱性易被利用；

维护错误的威胁路径为由于个人主观故意或操作不熟练，导致相关软硬件服务不可用，或者导致系统产生的敏感数据丢失；

服务拒绝攻击的威胁路径包括三个：第一，由于网络流量消耗占比超过信息系统可提供的网络带宽数量，导致网络不可达或者无法响应新的需求；第二，由于应用系统连接数、用户访问数、数据库连接数等超过系统可承受的最大数量，导致新的连接无法响应；第三，利用应用系统、系统组件、中间件等漏洞，导致服务无法响应新的请求；

利用型攻击的威胁路径为使用攻击工具或者手工操作，利用系统漏洞、数据包截取和重放等方式，获取系统信息、控制权或影响系统指令正常执行；

信息收集型攻击的威胁路径为利用端口扫描等工具对目标系统进行扫描探测，以收集目标系统的相关信息，为进一步入侵系统提供基础信息；

综合性攻击的威胁路径为综合采用多种攻击手段，如采用0DAY漏洞利用工具和社会工程学对攻击目标进行持续攻击；

权限伪造的威胁路径为利用技术手段对系统登录凭证进行伪造或者篡改，获得系统使用权限或者更高权限，然后进行不符合原有权限的操作，对系统完整性进行破坏或者窃取数据；

行为否认的威胁路径为利用被评估对象对日常审批流程、审计记录功能缺失等漏洞，导致后期不可追溯相关人员的攻击或者操作行为，影响事件排查、分析、问题定位；

权限滥用的威胁路径为由于管理不善，故意利用自己账户的权限进行破坏性、不合规的操作行为；

人员可用性破坏的威胁路径为由于自然灾害、重大事故、人员离职等，导致被评估对象相关的管理人员、服务人员等角色人员缺少，无法进行管理和使用。

应当注意的是，威胁路径数据单元的数量与被定义的功能损害型网络安全威胁行为的数量相同，本领域技术人员可以根据实际需要进行选择，此处不做限定。例如：在本实施例中，被定义的功能损害型网络安全威胁行为的数量为10个，因此，威胁路径数据单元的数量也为10，但是，若被定义的功能损害型网络安全威胁行为的数量为5个，则威胁路径数据单元的数量也为5。也就是说，本实施例中的预设威胁路径数据可包括：N

威胁路径识别模块40根据威胁行为信号和威胁定义信号，判断威胁路径，并生成威胁路径信号的方式可有两种。第一种：在威胁路径识别模块40接收到威胁行为信号和威胁定义信号后，会将威胁行为信号与预设威胁路径数据包括的威胁路径数据地址子单元中存储的地址进行比较，若相同，则确定该威胁路径数据子单元中存储的威胁路径为该威胁行为数据对应的威胁路径的范围，再根据威胁定义信号，进一步确定威胁路径，并生成威胁路径信号；第二种：在威胁路径识别模块40接收到威胁行为信号和威胁定义信号后，会将威胁行为信号或者威胁定义信号与预设威胁路径数据包括的威胁路径数据地址子单元中存储的地址进行比较，若相同，则确定该威胁路径数据子单元中存储的威胁路径为该威胁行为数据对应的威胁路径，并生成威胁路径信号。本领域技术人员可以根据实际需要进行选择，此处不做限定。

威胁能力识别模块50分别与威胁行为判断定义模块10和威胁发起者识别模块20相连，用于根据威胁行为信号，判断威胁能力，并根据威胁能力、威胁发起者信号和预设威胁能力数据，确定威胁能力的等级，并生成威胁能力等级信号。

可选地，预设威胁能力数据包括：10个威胁能力数据单元；每个威胁能力数据单元又包括：威胁能力数据地址子单元和威胁能力数据子单元；其中，每个威胁能力数据子单元中存储的威胁能力被分别一一对应配置为：操作失误的威胁能力为操作人员拥有权限的能力；维护错误的威胁能力为主观意愿和造成损失的能力；服务拒绝攻击、利用型攻击、信息收集型攻击、综合性攻击、权限伪造、行为否认或者权限滥用的威胁能力为威胁发起者的能力；人员可用性破坏的威胁能力为被评估对象日常维护、使用相关岗位人员不可用比例的能力。

应当注意的是，威胁能力数据单元的数量与被定义的功能损害型网络安全威胁行为的数量相同，本领域技术人员可以根据实际需要进行选择，此处不做限定。例如：在本实施例中，被定义的功能损害型网络安全威胁行为的数量为10个，因此，威胁能力数据单元的数量也为10，但是，若被定义的功能损害型网络安全威胁行为的数量为5个，则威胁能力数据单元的数量也为5。也就是说，本实施例中的预设威胁能力数据可包括：N

其中，威胁能力数据子单元中存储的数据（即威胁能力）根据威胁能力的高低由低到高依次被划分为L

示例一：若威胁能力数据子单元中存储的数据（即威胁能力）为操作人员拥有权限的能力，将其划分为五个等级分别为：第一等级为日常应用使用人员；第二等级为终端操作配置权限人；第三等级为具有软件和应用系统配置操作权限的技术人员；第四等级为具有设备或者软件资产管理员权限的技术人员；第五等级为具有进出机房进行物理设备、环控设备直接操作权限的技术人员。

示例二：若威胁能力数据子单元中存储的数据（即威胁能力）为主观意愿和造成损失的能力，将其划分为五个等级分别为：第一等级为造成轻微损失；第二等级为个人非故意造成一般损失；第三等级为个人故意造成一般损失；第四等级为造成较严重损失；第五等级为造成严重损失。

示例三：若威胁能力数据子单元中存储的数据（即威胁能力）为威胁发起者的能力，将其划分为五个等级分别为：第一等级为个人非故意；第二等级为个人故意；第三等级为小型组织；第四等级为大型的、有组织的团体；第五等级为国家级别的、敌对组织。

示例四：若威胁能力数据子单元中存储的数据（即威胁能力）为被评估对象日常维护、使用相关岗位人员不可用比例的能力，将其划分为五个等级分别为：第一等级为单个岗位人员不可用；第二等级为造成1个以上且20%以下岗位人员不可用；第三等级为造成20%以上岗位人员不可用；第四等级为造成50%以上岗位人员不可用；第五等级为造成70%以上岗位人员不可用。

应当注意的，示例一中的各个等级的操作人员拥有权限的能力范围、示例二中的各个等级的主观意愿和造成损失的能力范围、示例三中的各个等级的威胁发起者的能力范围和示例四中的各个等级的被评估对象日常维护、使用相关岗位人员不可用比例的能力范围，本领域技术人员可以根据实际需要进行选择，此处不做限定。例如：示例三中的第五等级中的造成严重损失的范围为1000万元以上。

其中，威胁能力数据子单元中存储的数据的等级与威胁能力识别模块50输出的威胁能力等级信号一一对应，因此，若威胁能力数据子单元中存储的数据被划分为由低到高的五个等级，那么，威胁能力识别模块50输出的威胁能力等级信号也依次对应为1、2、3、4和5。

具体地，威胁能力识别模块50在接收到威胁行为信号和威胁发起者信号后，会将威胁行为信号与预设威胁能力数据包括的威胁能力数据地址子单元中存储的地址进行比较，若相同，则确定该威胁能力数据子单元中存储的威胁能力为该威胁行为数据对应的威胁能力，再根据该威胁能力、威胁发起者信号和威胁能力数据子单元中存储的数据，进一步确定该威胁行为对应的威胁能力的等级，并生成威胁能力等级信号。

以威胁行为信号对应的功能损害型网络安全威胁行为是人员可用性破坏为且威胁发起者信号对应的威胁发起者数据子单元中存储的威胁发起者是不同等级的恶意网络攻击组织为例。威胁能力识别模块50在接收到该威胁行为信号和该威胁发起者信号后，会将该威胁行为信号与预设威胁能力数据包括的威胁能力数据地址子单元中存储的地址进行比较，找到与该威胁行为信号包含的地址相同的威胁能力数据子单元，确定该威胁行为数据对应的威胁能力为被评估对象日常维护、使用相关岗位人员不可用比例的能力；再根据该威胁发起者信号，查询外部存储有不同等级的恶意网络攻击组织关于被评估对象日常维护、使用相关岗位人员不可用比例的数据库，并将查询得到的结果与威胁能力数据子单元中存储的被评估对象日常维护、使用相关岗位人员不可用比例的威胁能力的等级范围进行比较，若在第三等级20%以上岗位人员不可用的范围内，则确定该威胁行为对应的威胁能力的等级为第三等级，并生成威胁能力等级信号3。其他情况以此类推，此处不再赘述。

威胁发生频率识别模块60分别与威胁行为判断定义模块10和威胁发生时机识别模块70相连，用于根据威胁行为信号，判断威胁发生频率，并根据威胁发生频率和预设威胁发生频率数据，确定威胁发生频率的等级，并生成威胁发生频率等级信号，以及根据修正信号，修正威胁发生频率的等级，并重新生成威胁发生频率等级信号。

可选地，预设威胁发生频率数据包括：10个威胁发生频率数据单元；每个威胁发生频率数据单元又包括：威胁发生频率数据地址子单元和威胁发生频率数据子单元；其中，每个威胁发生频率数据子单元中存储的威胁发生频率被分别一一对应配置为：操作失误的威胁发生频率为人员值班记录的年度操作失误次数；维护错误的威胁发生频率为人员值班记录的年度维护错误次数；服务拒绝攻击的威胁发生频率为外部探测的月度网络攻击次数；利用型攻击的威胁发生频率为边界设备、内部节点网络安全监测或者终端安全系统监测的月度网络攻击次数；信息收集型攻击的威胁发生频率为边界设备或者内部节点网络安全监测的月度网络攻击次数；综合性攻击的威胁发生频率为APT监测系统或者人工定期审计结果的年度攻击次数；权限伪造的威胁发生频率为历史数据中年度出现权限伪造事件次数；行为否认的威胁发生频率为历史数据中年度出现行为否认事件次数；权限滥用的威胁发生频率为历史数据中年度出现权限滥用事件次数；人员可用性破坏的威胁发生频率为历史数据中年度出现人员可用性破坏事件次数。

应当注意的是，威胁发生频率数据单元的数量与被定义的功能损害型网络安全威胁行为的数量相同，本领域技术人员可以根据实际需要进行选择，此处不做限定。例如：在本实施例中，被定义的功能损害型网络安全威胁行为的数量为10个，因此，威胁发生频率数据单元的数量也为10，但是，若被定义的功能损害型网络安全威胁行为的数量为5个，则威胁发生频率数据单元的数量也为5。也就是说，本实施例中的预设威胁发生频率数据可包括：N

其中，威胁发生频率数据子单元中存储的数据（即威胁发生频率）根据威胁发生频率的大小由小到大依次被划分为L

示例一：若威胁发生频率数据子单元中存储的数据（即威胁发生频率）为人员值班记录的年度操作失误次数，将其划分为五个等级分别为：第一等级为0次≤M

示例二：若威胁发生频率数据子单元中存储的数据（即威胁发生频率）为人员值班记录的年度维护错误次数，将其划分为五个等级分别为：第一等级为0次≤M

示例三：若威胁发生频率数据子单元中存储的数据（即威胁发生频率）为外部探测的月度网络攻击次数，将其划分为五个等级分别为：第一等级为0次≤M

示例四：若威胁发生频率数据子单元中存储的数据（即威胁发生频率）为边界设备、内部节点网络安全监测、终端安全系统监测的月度网络攻击次数，将其划分为五个等级分别为：第一等级为0次≤M

示例五：若威胁发生频率数据子单元中存储的数据（即威胁发生频率）为边界设备、内部节点网络安全监测的月度网络攻击次数，将其划分为五个等级分别为：第一等级为0次≤M

示例六：若威胁发生频率数据子单元中存储的数据（即威胁发生频率）为APT监测系统或者人工定期审计结果的年度攻击次数，将其划分为五个等级分别为：第一等级为0次≤M

示例七：若威胁发生频率数据子单元中存储的数据（即威胁发生频率）为历史数据中年度出现权限伪造事件次数，将其划分为五个等级分别为：第一等级为0次≤M

示例八：若威胁发生频率数据子单元中存储的数据（即威胁发生频率）为历史数据中年度出现行为否认事件次数，将其划分为五个等级分别为：第一等级为0次≤M

示例九：若威胁发生频率数据子单元中存储的数据（即威胁发生频率）为历史数据中年度出现权限滥用事件次数，将其划分为五个等级分别为：第一等级为0次≤M

示例十：若威胁发生频率数据子单元中存储的数据（即威胁发生频率）为历史数据中年度出现人员可用性破坏事件次数，将其划分为五个等级分别为：第一等级为0次≤M

应当注意的是，在本实施例中，威胁发生频率数据子单元中存储的数据（即威胁发生频率）划分的五个等级的范围，本领域技术人员还可以根据实际需要进行选择，此处不做限定。

其中，威胁发生频率数据子单元中存储的数据的等级与威胁发生频率识别模块60输出的威胁发生频率等级信号一一对应，因此，若威胁发生频率数据子单元中存储的数据被划分为由小到大的五个等级，那么，威胁发生频率识别模块60输出的威胁发生频率等级信号也依次对应为1、2、3、4和5。

具体地，威胁发生频率识别模块60在接收到威胁行为信号后，会将威胁行为信号与预设威胁发生频率数据包括的威胁发生频率数据地址子单元中存储的地址进行比较，若相同，则确定该威胁发生频率数据子单元中存储的威胁发生频率为该威胁行为数据对应的威胁发生频率，再根据该威胁发生频率和威胁发生频率数据子单元中存储的数据，进一步确定该威胁行为对应的威胁发生频率的等级，并生成威胁发生频率等级信号。

以威胁行为信号对应的功能损害型网络安全威胁行为是维护错误为例。威胁发生频率识别模块60在接收到该威胁行为信号后，会将该威胁行为信号与预设威胁发生频率数据包括的威胁发生频率数据地址子单元中存储的地址进行比较，找到与该威胁行为信号包含的地址相同的威胁发生频率数据子单元，确定该威胁行为数据对应的威胁发生频率为人员值班记录的年度维护错误次数；再根据该威胁发生频率，查询外部存储有人员值班记录的年度维护错误次数的数据库，并将查询得到的结果与威胁发生频率数据子单元中存储的人员值班记录的年度维护错误次数的威胁发生频率的等级范围进行比较，若在第二等级2次≤M

另外，在威胁发生频率识别模块60生成威胁发生频率等级信号后，接收到威胁发生时机识别模块70输出的修正信号，则会根据该修正信号，修正该威胁发生频率的等级，重新生成威胁发生频率等级信号。其中，威胁发生频率识别模块60根据修正信号修正威胁发生频率的等级的方法本领域技术人员可以根据实际需要进行选择，此处不做限定。例如：若威胁发生频率识别模块60生成的威胁发生频率等级信号是2，则在威胁发生频率识别模块60接收到威胁发生时机识别模块70输出的修正信号后，将威胁发生频率等级信号提升一个等级，即威胁发生频率识别模块60生成的威胁发生频率等级信号修正为3；若威胁发生频率识别模块60生成的威胁发生频率等级信号是5，则在威胁发生频率识别模块60接收到威胁发生时机识别模块70输出的修正信号后，由于该威胁发生频率等级信号已经是最高等级，因此，威胁发生频率识别模块60生成的威胁发生频率等级信号经过修正后仍然是5。

威胁发生时机识别模块70与威胁行为判断定义模块10相连，用于根据威胁行为信号，判断威胁发生时机，确定威胁发生时机所处阶段，生成修正信号。

在一种可选实施方式中，如图1和图2所示，威胁发生时机识别模块70进一步包括：威胁发生时机模块701和威胁发生时机判断模块702；其中，威胁发生时机模块701与威胁行为判断定义模块10相连，用于根据威胁行为信号，识别威胁发生时机，生成威胁发生时机信号；威胁发生时机判断模块702分别与威胁发生时机模块701和威胁发生频率识别模块60相连，用于根据威胁发生时机信号，确定威胁发生时机所处阶段，生成修正信号，并将其输出至威胁发生频率识别模块60。

其中，如图1和图2所示，威胁发生时机判断模块702又可进一步包括：特殊阶段数据库模块7021和判断比较模块7022；其中；特殊阶段数据库模块7021，用于存储特殊阶段的地址和数据；判断比较模块7022分别与威胁发生时机模块701、特殊阶段数据库模块7021和威胁发生频率识别模块60相连，用于将威胁发生时机信号与特殊阶段数据库模块7021中存储的地址进行比较，若相同，根据特殊阶段数据库模块7021中存储的对应数据查询对应的外部数据库；若存在，确定威胁发生时机所处阶段为特殊阶段，生成修正信号，并将其输出至威胁发生频率识别模块60；若不存在，确定威胁发生时机所处阶段为普通阶段。

如图4所示，本实施例中的特殊阶段数据库模块7021包括：10个特殊阶段数据单元7022；每个特殊阶段数据单元7022又包括：特殊阶段数据地址子单元7023和特殊阶段数据子单元7024；其中，每个特殊阶段数据子单元7024中存储的数据被分别一一对应配置为：操作失误的特殊阶段为新员工入职上岗期间、经营出现问题期间和/或员工被解雇或者离职期间；维护错误的特殊阶段为系统运维管理过程期间；服务拒绝攻击、利用型攻击、信息收集型攻击、综合性攻击或者权限伪造的特殊阶段为组织新产品发布期间；行为否认的特殊阶段为内部技术员工被解雇或者离职期间和/或事件分析或者溯源期间；权限滥用的特殊阶段为自然灾害期间、技术失效或者开源组件维护者停止维护期间和/或收入下降期间；可用性破坏的特殊阶段为自然灾害期间和/或组织业务收入下降期间。

应当注意的是，威胁发生时机数据单元的数量与被定义的功能损害型网络安全威胁行为的数量相同，本领域技术人员可以根据实际需要进行选择，此处不做限定。例如：在本实施例中，被定义的功能损害型网络安全威胁行为的数量为10个，因此，威胁发生时机数据单元的数量也为10，但是，若被定义的功能损害型网络安全威胁行为的数量为5个，则威胁发生时机数据单元的数量也为5。也就是说，本实施例中的预设威胁发生时机数据可包括：N

本发明提供的实施例一的功能损害型网络安全威胁识别装置，通过识别威胁行为、威胁定义、威胁发起者、威胁作用的资产、威胁路径、威胁能力、威胁发生频率和威胁发生时机，提高了本发明提供的实施例一的功能损害型网络安全威胁识别装置识别的准确性，同时降低了其识别的难度。

图5为本发明提供的功能损害型网络安全威胁识别装置的实施例二的一电路模块结构示意图。如图5所示，实施例二的功能损害型网络安全威胁识别装置与实施例一的功能损害型网络安全威胁识别装置的区别仅在于：实施例二的功能损害型网络安全威胁识别装置还包括：风险评估模块80；该风险评估模块80分别与威胁行为判断定义模块10、威胁发起者识别模块20、威胁作用的资产识别模块30、威胁路径识别模块40、威胁能力识别模块50、威胁发生频率识别模块60和威胁发生时机识别模块70相连，用于根据威胁行为信号、威胁定义信号、威胁发起者信号、威胁作用的资产信号、威胁路径信号、威胁能力等级信号、威胁发生频率等级信号和/或威胁发生时机信号，分析计算功能损害型网络安全威胁的风险。

除了上述不同之外，对实施例二的功能损害型网络安全威胁识别装置的描述均可参照对实施例一的功能损害型网络安全威胁识别装置的描述，此处不再赘述。

其中，对于功能损害型网络安全威胁的风险的分析计算，本领域技术人员可以采用现有技术中其他威胁行为的风险分析计算方法进行，此处不做限定。另外，本领域技术人员可以根据威胁行为信号、威胁定义信号、威胁发起者信号、威胁作用的资产信号、威胁路径信号、威胁能力等级信号、威胁发生频率等级信号、威胁发生时机信号中一种或者多种，分析计算功能损害型网络安全威胁的风险，此处不做限定。例如；可以根据威胁能力等级信号和威胁发生频率等级，分析计算功能损害型网络安全威胁的风险。

应当注意的是，若威胁发生频率的等级需要修正，则分析计算功能损害型网络安全威胁的风险时采用的威胁发生频率等级信号为修正后的威胁发生频率等级信号。

本发明提供的实施例二的功能损害型网络安全威胁识别装置，通过识别威胁行为、威胁定义、威胁发起者、威胁作用的资产、威胁路径、威胁能力、威胁发生频率和威胁发生时机，提高了本发明提供的功能损害型网络安全威胁识别装置识别的准确性，同时降低了其识别的难度；并由于能够全面、准确地对威胁行为、威胁定义、威胁发起者、威胁作用的资产、威胁路径、威胁能力、威胁发生频率和威胁发生时机进行识别，因此，提高了分析计算功能损害型网络安全威胁的风险的准确性。

图6为本发明提供的信息系统的一电路模块结构示意图。如图6所示，本发明还提供了一种信息系统，该信息系统包括：本发明中实施例二的功能损害型网络安全威胁识别装置，以及信息安全系统模块90；其中，信息安全系统模块90与风险评估模块80相连，用于根据风险评估模块80输出的功能损害型网络安全威胁的风险，采取对应的风险防护措施，如根据风险评估模块80输出的功能损害型网络安全威胁的风险，可以启用多级防火墙。

本发明提供的信息系统，通过识别威胁行为、威胁定义、威胁发起者、威胁作用的资产、威胁路径、威胁能力、威胁发生频率和威胁发生时机，提高了其识别的准确性，同时降低了其识别的难度；并由于能够全面、准确地对威胁行为、威胁定义、威胁发起者、威胁作用的资产、威胁路径、威胁能力、威胁发生频率和威胁发生时机进行识别，因此，提高了分析计算功能损害型网络安全威胁的风险的准确性。此外，本发明提供的信息系统，由于能够准确地分析计算出功能损害型网络安全威胁的风险，因此，信息安全系统模块能够针对不同等级的功能损害型网络安全威胁的风险，准确地采取不同等级的风险防护措施，提高了本发明提供的信息系统的安全防护性能，同时，也优化了本发明提供的信息系统的整体内部性能，减少了能源损耗，保护了环境。

应当理解的是，本发明提供的功能损害型网络安全威胁识别装置及信息系统中采用的各个模块和单元都可采用现有技术中的硬件电路模块和单元实现其功能，本领域技术人员可以根据实际需要进行选择，此处不做限定。另外，本发明提供的功能损害型网络安全威胁识别装置及信息系统中涉及到的查询方法等都可以采用现有技术中的方法实现，本领域技术人员可以根据实际需要进行选择，此处不做限定。

最后，需要注意的是：以上列举的仅是本发明的具体实施例子，当然本领域的技术人员可以对本发明进行改动和变型，倘若这些修改和变型属于本发明权利要求及其等同技术的范围之内，均应认为是本发明的保护范围。