网络安全事件评估处理方法、装置、设备及介质.pdf

《网络安全事件评估处理方法、装置、设备及介质.pdf》由会员分享，可在线阅读，更多相关《网络安全事件评估处理方法、装置、设备及介质.pdf（14页完成版）》请在专利查询网上搜索。

1、(19)国家知识产权局(12)发明专利申请(10)申请公布号 (43)申请公布日 (21)申请号 202310619843.9(22)申请日 2023.05.29(71)申请人 华能国际电力股份有限公司地址 100031 北京市西城区复兴门内大街6号华能大厦 申请人 西安热工研究院有限公司(72)发明人 刘迪肖力炀燕前杨东刘超飞刘骁白发琪朱博迪刘鹏飞南瑾崔逸群王文庆毕玉冰邓楠轶王艺杰崔鑫朱召鹏(74)专利代理机构 北京三聚阳光知识产权代理有限公司 11250专利代理师 穆瑞丹(51)Int.Cl.H04L 9/40(2022.01)H04L 41/142(2022.01)(54)发明名称一种网。

2、络安全事件评估处理方法、装置、设备及介质(57)摘要本发明涉及网络安全领域，其目的在于提供一种网络安全事件评估处理方法、装置、设备及介质，该方法包括：获取多个信息安全事件及每个信息安全事件对应的多个告警参数；分别将每个信息安全事件对应的多个告警参数输入预设评估模型得到每个告警参数对应的评估值；根据评估值分析每个信息安全事件的风险等级；通过风险等级对信息安全事件进行排序得到安全威胁序列，并基于安全威胁序列的顺序从风险等级最高的信息安全事件开始处理。本发明通过分析每个信息安全事件的风险等级，优先处理风险更大的信息安全事件，在同一时间面临多个信息安全事件共同攻击时，能够及时判断各攻击的严重程度及安全。

3、威胁程度，提高处理效率从而更好的保障工业信息安全。权利要求书2页 说明书7页 附图4页CN 116614287 A2023.08.18CN 116614287 A1.一种网络安全事件评估处理方法，其特征在于，包括：获取多个信息安全事件及每个所述信息安全事件对应的多个告警参数；分别将每个信息安全事件对应的多个告警参数输入预设评估模型得到每个所述告警参数对应的评估值；根据所述评估值分析每个信息安全事件的风险等级；通过所述风险等级对所述信息安全事件进行排序得到安全威胁序列，并基于所述安全威胁序列的顺序从风险等级最高的所述信息安全事件开始处理。2.根据权利要求1所述的网络安全事件评估处理方法，其特征在。

4、于，所述根据所述评估值分析每个信息安全事件的风险等级，包括：根据所述评估值分析每个所述信息安全事件对应的评估有效分值；将所述评估有效分值与不同风险等级对应的预设安全阈值范围进行对比，得到每个所述信息安全事件对应的风险等级。3.根据权利要求2所述的网络安全事件评估处理方法，其特征在于，所述根据所述评估值分析每个所述信息安全事件对应的评估有效分值，包括：获取每个所述告警参数对应的预设权重系数；根据所述预设权重系数将每个所述信息安全事件对应的多个所述告警参数的评估值进行加权相加得到评估有效分值。4.根据权利要求2所述的网络安全事件评估处理方法，其特征在于，所述将所述评估有效分值与不同风险等级对应的预。

5、设安全阈值范围进行对比之前，所述方法还包括：获取所述信息安全事件的安全类型；基于所述安全类型从预设安全数据库中提取对应的风险等级数据，所述风险等级数据包括不同风险等级对应的预设安全阈值范围。5.根据权利要求1所述的网络安全事件评估处理方法，其特征在于，所述通过所述风险等级对所述信息安全事件进行排序得到安全威胁序列之前，所述方法还包括：将所述风险等级与预设告警阈值进行对比；当所述风险等级大于所述预设告警阈值时，基于所述风险等级对应信息安全事件的告警参数生成告警报告。6.根据权利要求1所述的网络安全事件评估处理方法，其特征在于，所述分别将每个信息安全事件对应的多个告警参数输入预设评估模型得到每个所。

6、述告警参数对应的评估值之前，所述方法还包括：获取所述信息安全事件的IP地址；将每个所述IP地址与预设安全地址库进行匹配；若所述预设安全地址库内存在所述IP地址，则将与该所述IP地址对应的所述信息安全事件认定为无风险，不再进行处理。7.根据权利要求6所述的网络安全事件评估处理方法，其特征在于，所述方法还包括：若所述预设安全地址库内不存在所述IP地址；将每个所述IP地址与预设重点地址库进行匹配，并根据匹配结果调整每个所述IP地址对应所述信息安全事件的优先级；根据所述优先级对所述信息安全事件进行排序，得到评估序列；权利要求书1/2 页2CN 116614287 A2按照所述评估序列分别将每个信息安全。

7、事件对应的多个告警参数输入预设评估模型得到每个所述告警参数对应的评估值。8.一种网络安全事件评估处理装置，其特征在于，包括：获取模块，用于获取多个信息安全事件及每个所述信息安全事件对应的多个告警参数；评估模块，用于分别将每个信息安全事件对应的多个告警参数输入预设评估模型得到每个所述告警参数对应的评估值；分析模块，用于根据所述评估值分析每个信息安全事件的风险等级；处理模块，用于通过所述风险等级对所述信息安全事件进行排序得到安全威胁序列，并基于所述安全威胁序列的顺序从风险等级最高的所述信息安全事件开始处理。9.一种电子设备，其特征在于，包括：存储器和处理器，所述存储器和所述处理器之间互相通信连接，。

8、所述存储器中存储有计算机指令，所述处理器通过执行所述计算机指令，从而执行权利要求17中任一项所述的网络安全事件评估处理方法。10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使计算机执行权利要求17中任一项所述的网络安全事件评估处理方法。权利要求书2/2 页3CN 116614287 A3一种网络安全事件评估处理方法、装置、设备及介质技术领域0001本发明涉及网络安全技术领域，具体涉及一种网络安全事件评估处理方法、装置、设备及介质。背景技术0002工业控制系统和设备大量暴露在互联网上，也已成为国工业信息安全的重要威胁和软肋。且随着暴露在互联网上。

9、工业控制系统数量增加，其中相当大一部分都存在高危安全漏洞。目前，工业互联网平台的安全，工业互联网设备和控制层面的安全，工业大数据安全，工业互联网网络层面的安全等都有待提升。0003在工业信息传输过程中，工控系统经常要面临一些各式各样的工业安全问题，例如工业参数篡改，工业网络攻击以及其他安全攻击事件，上述各种工业信息安全事件的发生严重影响了企业的工业信息安全，但是在日常可能同一时间面临多重的工业信息安全事件共同攻击，而在安全事件的处理过程中无法及时判断各攻击的严重程度及安全威胁程度，影响处理效率从而使工业信息安全存在重要威胁。发明内容0004有鉴于此，本发明实施例提供了一种网络安全事件评估处理方。

10、法、装置、设备及介质，以解决现有技术中心对工业信息安全事件处理效率低、存在安全威胁的问题。0005为达到上述目的，本发明提供如下技术方案：0006本发明实施例提供了一种网络安全事件评估处理方法，包括：0007获取多个信息安全事件及每个所述信息安全事件对应的多个告警参数；0008分别将每个信息安全事件对应的多个告警参数输入预设评估模型得到每个所述告警参数对应的评估值；0009根据所述评估值分析每个信息安全事件的风险等级；0010通过所述风险等级对所述信息安全事件进行排序得到安全威胁序列，并基于所述安全威胁序列的顺序从风险等级最高的所述信息安全事件开始处理。0011可选的，所述根据所述评估值分析每。

11、个信息安全事件的风险等级，包括：0012根据所述评估值分析每个所述信息安全事件对应的评估有效分值；0013将所述评估有效分值与不同风险等级对应的预设安全阈值范围进行对比，得到每个所述信息安全事件对应的风险等级。0014可选的，所述根据所述评估值分析每个所述信息安全事件对应的评估有效分值，包括：0015获取每个所述告警参数对应的预设权重系数；0016根据所述预设权重系数将每个所述信息安全事件对应的多个所述告警参数的评估值进行加权相加得到评估有效分值。0017可选的，所述将所述评估有效分值与不同风险等级对应的预设安全阈值范围进行说明书1/7 页4CN 116614287 A4对比之前，所述方法还包。

12、括：0018获取所述信息安全事件的安全类型；0019基于所述安全类型从预设安全数据库中提取对应的风险等级数据，所述风险等级数据包括不同风险等级对应的预设安全阈值范围。0020可选的，所述通过所述风险等级对所述信息安全事件进行排序得到安全威胁序列之前，所述方法还包括：0021将所述风险等级与预设告警阈值进行对比；0022当所述风险等级大于所述预设告警阈值时，基于所述风险等级对应信息安全事件的告警参数生成告警报告。0023可选的，所述分别将每个信息安全事件对应的多个告警参数输入预设评估模型得到每个所述告警参数对应的评估值之前，所述方法还包括：0024获取所述信息安全事件的IP地址；0025将每个所。

13、述IP地址与预设安全地址库进行匹配；0026若所述预设安全地址库内存在所述IP地址，则将与该所述IP地址对应的所述信息安全事件认定为无风险，不再进行处理。0027可选的，所述方法还包括：0028若所述预设安全地址库内不存在所述IP地址；0029将每个所述IP地址与预设重点地址库进行匹配，并根据匹配结果调整每个所述IP地址对应所述信息安全事件的优先级；0030根据所述优先级对所述信息安全事件进行排序，得到评估序列；0031按照所述评估序列分别将每个信息安全事件对应的多个告警参数输入预设评估模型得到每个所述告警参数对应的评估值。0032本发明实施例还提供了一种网络安全事件评估处理装置，包括：003。

14、3获取模块，用于获取多个信息安全事件及每个所述信息安全事件对应的多个告警参数；0034评估模块，用于分别将每个信息安全事件对应的多个告警参数输入预设评估模型得到每个所述告警参数对应的评估值；0035分析模块，用于根据所述评估值分析每个信息安全事件的风险等级；0036处理模块，用于通过所述风险等级对所述信息安全事件进行排序得到安全威胁序列，并基于所述安全威胁序列的顺序从风险等级最高的所述信息安全事件开始处理。0037本发明实施例还提供了一种电子设备，包括：0038存储器和处理器，所述存储器和所述处理器之间互相通信连接，所述存储器中存储有计算机指令，所述处理器通过执行所述计算机指令，从而执行本发明。

15、实施例提供的网络安全事件评估处理方法。0039本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质存储计算机指令，所述计算机指令用于使计算机执行本发明实施例提供的网络安全事件评估处理方法。0040本发明技术方案，具有如下优点：0041本发明提供了一种网络安全事件评估处理方法，通过获取多个信息安全事件及每说明书2/7 页5CN 116614287 A5个信息安全事件对应的多个告警参数；分别将每个信息安全事件对应的多个告警参数输入预设评估模型得到每个告警参数对应的评估值；根据评估值分析每个信息安全事件的风险等级；通过风险等级对信息安全事件进行排序得到安全威胁序列，并基于安全威胁序列的。

16、顺序从风险等级最高的信息安全事件开始处理。本发明通过分析每个信息安全事件的风险等级，优先处理风险更大的信息安全事件，在同一时间面临多个工业信息安全事件共同攻击时，能够及时判断各攻击的严重程度及安全威胁程度，提高处理效率从而更好的保障工业信息安全。附图说明0042为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。0043图1为本发明实施例中的网络安全事件评估处理方法的流程图；0044。

17、图2为根据本发明实施例中分析每个信息安全事件的风险等级的流程图；0045图3为根据本发明实施例中分析每个信息安全事件对应的评估有效分值的流程图；0046图4为根据本发明实施例中获取不同风险等级对应的预设安全阈值范围的流程图；0047图5为根据本发明实施例中基于风险等级对应信息安全事件的告警参数生成告警报告的流程图；0048图6为根据本发明实施例中对IP地址进行分析的流程图；0049图7为根据本发明实施例中分析信息安全事件优先级的流程图；0050图8为本发明实施例中的网络安全事件评估处理装置的结构示意图；0051图9为本发明实施例中的电子设备的结构示意图。具体实施方式0052为使本发明实施例的目。

18、的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。0053根据本发明实施例，提供了一种网络安全事件评估处理方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。0054在本实施例中提供了一种网络安全事件评估处理方法，可用于上。

19、述的终端设备，如电脑等，如图1所示，该网络安全事件评估处理方法包括如下步骤：0055步骤S1：获取多个信息安全事件及每个信息安全事件对应的多个告警参数。具体的，告警参数包括多个评分参数，具体为当前告警事件的数量、告警攻击目标、攻击者属性说明书3/7 页6CN 116614287 A6参数、以及当前外部环境参数等；外部环境参数包括端口流量参数，流量参数包括流量数据包括源IP地址、目的IP地址、源端口、目的端口、开始时间、结束时间、协议类型、字节数等。0056步骤S2：分别将每个信息安全事件对应的多个告警参数输入预设评估模型得到每个告警参数对应的评估值。具体的，预设评估模型内通过对每个告警参数的实。

20、际情况进行分析评分，得到每个告警参数对应的评估值；预设评估模型为根据历史安全事件综合分析建立的，内部包含不同数据范围对应的评分，通过预设评估模型可以客观准确的对每个告警参数的情况进行分析，得到对应评估值。0057步骤S3：根据评估值分析每个信息安全事件的风险等级。具体的，通过综合量化分析的方式，对每个信息安全事件的风险等级进行分析，从而更加直观的了解到每个信息安全事件的威胁程度，便于后续处理。0058步骤S4：通过风险等级对信息安全事件进行排序得到安全威胁序列，并基于安全威胁序列的顺序从风险等级最高的信息安全事件开始处理。具体的，通过根据风险等级对信息安全事件进行排序，将各信息安全事件进行横向。

21、对比，从而优先对风险等级更高也是安全威胁更高的安全事件进行处理，从而更好的保障工业信息安全。0059通过上述步骤S1至步骤S4，本发明实施例提供的网络安全事件评估处理方法，通过获取多个信息安全事件及每个信息安全事件对应的多个告警参数；分别将每个信息安全事件对应的多个告警参数输入预设评估模型得到每个告警参数对应的评估值；根据评估值分析每个信息安全事件的风险等级；通过风险等级对信息安全事件进行排序得到安全威胁序列，并基于安全威胁序列的顺序从风险等级最高的信息安全事件开始处理。本发明通过分析每个信息安全事件的风险等级，优先处理风险更大的信息安全事件，在同一时间面临多个工业信息安全事件共同攻击时，能够。

22、及时判断各攻击的严重程度及安全威胁程度，提高处理效率从而更好的保障工业信息安全。0060具体地，在一实施例中，上述的步骤S3，如图2所示，具体包括如下步骤：0061步骤S31：根据评估值分析每个信息安全事件对应的评估有效分值。0062步骤S32：将评估有效分值与不同风险等级对应的预设安全阈值范围进行对比，得到每个信息安全事件对应的风险等级。0063具体的，通过各个评估值计算每个信息安全事件对应的评估有效分值，实现了每个信息安全事件对应的评估有效分值的量化处理，为后续进行横向比较提供了数据支持。0064具体地，在一实施例中，上述的步骤S31，如图3所示，具体包括如下步骤：0065步骤S311：获。

23、取每个告警参数对应的预设权重系数。0066步骤S312：根据预设权重系数将每个信息安全事件对应的多个告警参数的评估值进行加权相加得到评估有效分值。0067具体的，通过预设权重系数对不同的告警参数进行加权分析，得到更加具有客观性和可靠性的评估有效分值，有效提高风险等级分析的准确性。0068具体地，在一实施例中，上述的步骤S32之前，如图4所示，具体还包括如下步骤：0069步骤S3201：获取信息安全事件的安全类型。0070步骤S3202：基于安全类型从预设安全数据库中提取对应的风险等级数据，风险等级数据包括不同风险等级对应的预设安全阈值范围。0071具体的，不同类型的信息安全事件造成的安全威胁程。

24、度不同，有部分类型的信息说明书4/7 页7CN 116614287 A7安全事件可能会直接造成较大损失，这种类型的信息安全事件相较于普通信息安全事件，即使评估有效分值相同，但是威胁程度不同，因此通过不同安全类型的信息安全事件采用不同的分析标准，可以更加准确的判断信息安全事件的威胁程度，从而得到更具有参考价值的风险等级。0072具体地，在一实施例中，在上述的步骤S4之前，如图5所示，具体还包括如下步骤：0073步骤S401：将风险等级与预设告警阈值进行对比。0074步骤S402：当风险等级大于预设告警阈值时，基于风险等级对应信息安全事件的告警参数生成告警报告。0075具体的，对于风险等级已经超出。

25、预设告警阈值的信息安全事件，说明该信息安全事件具有非常严重的威胁，若不能及时处理会造成严重损失，因此将此信息安全事件的告警参数生成告警报告，便于及时传输至技术人员进行告警同时便于技术人员根据告警报告内的信息尽快处理，降低损失。0076具体地，在一实施例中，上述的步骤S2之前，如图6所示，具体还包括如下步骤：0077步骤S201：获取信息安全事件的IP地址。0078步骤S202：将每个IP地址与预设安全地址库进行匹配。0079步骤S203：若预设安全地址库内存在IP地址，则将与该IP地址对应的信息安全事件认定为无风险，不再进行处理。0080具体的，预设安全地址库内存储有访问内部网络的安全性高的路。

26、由设备的IP，针对安全性高的路由设备的IP地址产生的信息安全事件不予评估打分计算处理。通过此方式可以在既保证安全性的情况下，加快处理速度，减少分析数据的冗余。0081具体地，在一实施例中，上述的步骤S2之前，如图7所示，具体还包括如下步骤：0082步骤S204：若预设安全地址库内不存在IP地址。0083步骤S205：将每个IP地址与预设重点地址库进行匹配，并根据匹配结果调整每个IP地址对应信息安全事件的优先级。0084步骤S206：根据优先级对信息安全事件进行排序，得到评估序列。0085步骤S207：按照评估序列分别将每个信息安全事件对应的多个告警参数输入预设评估模型得到每个告警参数对应的评估。

27、值。0086具体的，通过分析IP地址是否对应重点异常检测的路由设备，判断每个信息安全事件的来源是否为异常风险较高的路由设备，并根据信息安全事件的来源划分优先级，优先分析风险较高或威胁较大可能性大的信息安全事件，提高后续的数据分析效率，从而更好的保障工业信息安全。0087在本实施例中还提供了一种网络安全事件评估处理装置，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。0088本实施例提供一种网络安全事件评估处理。

28、装置，如图8所示，包括：0089获取模块101，用于获取多个信息安全事件及每个信息安全事件对应的多个告警参数，详细内容参见上述方法实施例中步骤S1的相关描述，在此不再进行赘述。0090评估模块102，用于分别将每个信息安全事件对应的多个告警参数输入预设评估说明书5/7 页8CN 116614287 A8模型得到每个告警参数对应的评估值，详细内容参见上述方法实施例中步骤S2的相关描述，在此不再进行赘述。0091分析模块103，用于根据评估值分析每个信息安全事件的风险等级，详细内容参见上述方法实施例中步骤S3的相关描述，在此不再进行赘述。0092处理模块104，用于通过风险等级对信息安全事件进行排。

29、序得到安全威胁序列，并基于安全威胁序列的顺序从风险等级最高的信息安全事件开始处理，详细内容参见上述方法实施例中步骤S4的相关描述，在此不再进行赘述。0093本实施例中的网络安全事件评估处理装置是以功能单元的形式来呈现，这里的单元是指ASIC电路，执行一个或多个软件或固定程序的处理器和存储器，和/或其他可以提供上述功能的器件。0094上述各个模块的更进一步的功能描述与上述对应实施例相同，在此不再赘述。0095根据本发明实施例还提供了一种电子设备，如图9所示，该电子设备可以包括处理器901和存储器902，其中处理器901和存储器902可以通过总线或者其他方式连接，图9中以通过总线连接为例。0096。

30、处理器901可以为中央处理器(Central Processing Unit，CPU)。处理器901还可以为其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(FieldProgrammable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片，或者上述各类芯片的组合。0097存储器902作为一种非暂态计算机可读存储介质，可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块，如。

31、本发明方法实施例中的方法所对应的程序指令/模块。处理器901通过运行存储在存储器902中的非暂态软件程序、指令以及模块，从而执行处理器的各种功能应用以及数据处理，即实现上述方法实施例中的方法。0098存储器902可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储处理器901所创建的数据等。此外，存储器902可以包括高速随机存取存储器，还可以包括非暂态存储器，例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中，存储器902可选包括相对于处理器901远程设置的存储器，这些远程存储器可以通过网络连接至处理器901。。

32、上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。0099一个或者多个模块存储在存储器902中，当被处理器901执行时，执行上述方法实施例中的方法。0100上述电子设备具体细节可以对应参阅上述方法实施例中对应的相关描述和效果进行理解，此处不再赘述。0101本领域技术人员可以理解，实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成的，程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，存储介质可为磁碟、光盘、只读存储记忆体(ReadOnly Memory，ROM)、随机存储记忆体(Random Acc。

33、ess Memory，RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive，缩写：HDD)或固态硬盘(SolidState Drive，SSD)等；存储介质还可以包括上述种类的存储器的组合。说明书6/7 页9CN 116614287 A90102虽然结合附图描述了本发明的实施例，但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型，这样的修改和变型均落入由所附权利要求所限定的范围之内。说明书7/7 页10CN 116614287 A10图1图2图3说明书附图1/4 页11CN 116614287 A11图4图5图6说明书附图2/4 页12CN 116614287 A12图7图8说明书附图3/4 页13CN 116614287 A13图9说明书附图4/4 页14CN 116614287 A14。