(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111433818.9 (22)申请日 2021.11.29 (71)申请人 恒安嘉新(北京)科技股份公司 地址 100086 北京市海淀区北三环西路25 号27号楼五层5 002室 (72)发明人 王朋　宋苑　吴崇斌　尚程　高华　 张友俊　刘永昌　梁彧　傅强　 蔡琳　杨满智　田野　王杰　金红　 陈晓光　 (74)专利代理 机构 北京品源专利代理有限公司 11332 代理人 李礼 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种网络攻击的威胁等级获取方法、 装置和 存储介质 (57)摘要 本发明实施例公开了一种网络攻击的威胁 等级获取方法及装置， 该方法包括： 获取网络安 全设备的日志信息， 并通过解析日志信息， 获取 网络攻击事件； 根据网络攻击事件的危险度参数 以及危险度分值表， 获取网络攻击事件的危险度 分值； 其中， 危险度参数包括字段完整度、 攻击链 阶段以及 告警级别中的至少一个； 根据网络攻击 事件的危险度分值， 获取网络攻击事件的威胁等 级。 本发明实施例提供的技术方案， 准确的反映 出不同的网络安全设备中各个网络攻击事件的 威胁等级， 防止不同的评定标准下， 对网络攻击 威胁等级的评定产生偏差， 避免了对高危网络攻 击行为的遗漏。 权利要求书2页 说明书11页 附图3页 CN 114124552 A 2022.03.01 CN 114124552 A 1.一种网络攻击的威胁等级获取 方法， 其特 征在于， 包括： 获取网络安全设备的日志信息， 并通过解析 所述日志信息， 获取网络攻击事 件； 根据所述网络攻击事件的危险度参数以及危险度分值表， 获取所述网络攻击事件的危 险度分值； 其中， 所述危险度参数包括字段完整度、 攻击链阶段以及告警级别中的至少一 个； 根据所述网络攻击事 件的危险度分值， 获取 所述网络攻击事 件的威胁等级。 2.根据权利要求1所述的方法， 其特 征在于， 在获取网络攻击事 件后， 还包括： 根据当前网络攻击事件的第 一属性特征， 获取第 一预设时间内的第一关联数值； 其中， 所述第一属性特征包括源IP地址、 目的IP地址和事件类型； 所述第一关联数值是与所述当 前网络攻击事 件， 具有相同第一属性特 征的网络攻击事 件的数量； 所述根据所述网络攻击事 件的危险度分值， 获取 所述网络攻击事 件的威胁等级， 包括： 根据当前网络攻击事件的危险度分值， 以及所述第一关联数值， 获取所述当前网络攻 击事件的威胁等级。 3.根据权利要求1或2所述的方法， 其特 征在于， 在获取网络攻击事 件后， 还包括： 根据当前网络攻击事件的第 二属性特征， 获取第 二预设时间内的第二关联数值； 其中， 所述第二属性特征包括源IP地址和目的IP地址； 所述第二关联数值是与所述当前网络攻击 事件， 具有相同第二属性特 征的网络攻击事 件的数量； 所述根据所述网络攻击事 件的危险度分值， 获取 所述网络攻击事 件的威胁等级， 包括： 根据当前网络攻击事件的危险度分值， 以及所述第二关联数值， 获取所述当前网络攻 击事件的威胁等级。 4.根据权利要求1所述的方法， 其特征在于， 在获取网络攻击事件后， 还包括如下至少 一项： 根据当前网络攻击事件的源IP地址， 获取第二预设时间内的第 三关联数值； 其中， 所述 第三关联 数值是所述源IP地址攻击业 务系统的IP地址的数量； 根据当前网络攻击事件的目的IP地址， 获取第二预设时间内的第四关联数值； 其中， 所 述第四关联 数值是所述目的IP地址对应的不同源IP地址的数量； 所述根据所述网络攻击事 件的危险度分值， 获取 所述网络攻击事 件的威胁等级， 包括： 根据所述第三关联数值和/或所述第 四关联数值， 以及当前网络攻击事件的危险度分 值， 获取所述当前网络攻击事 件的威胁等级。 5.根据权利要求1所述的方法， 其特征在于， 在获取网络攻击事件后， 还包括如下至少 一项： 根据当前网络攻击事件的源IP地址的归属区域， 获取所述当前网络攻击事件的区域特 征数值； 根据恶意 IP地址库， 获取当前网络攻击事 件的源IP地址的恶意属性数值； 所述根据所述网络攻击事 件的危险度分值， 获取 所述网络攻击事 件的威胁等级， 包括： 根据当前网络攻击事件的所述区域特征数值和/或所述恶意属性数值， 以及危险度分 值， 获取所述当前网络攻击事 件的威胁等级。 6.根据权利要求1所述的方法， 其特 征在于， 在获取网络攻击事 件后， 还包括： 根据当前网络攻击事件的源IP地址， 获取第三预设时间内的第五关联数值； 其中， 所述权　利　要　求　书 1/2 页 2 CN 114124552 A 2第五关联 数值是网络攻击事 件包括所述源IP地址的网络安全设备的数量； 所述根据所述网络攻击事 件的危险度分值， 获取 所述网络攻击事 件的威胁等级， 包括： 根据当前网络攻击事件的危险度分值， 以及所述第五关联数值， 获取所述当前网络攻 击事件的威胁等级。 7.根据权利要求1 ‑6任一所述的方法， 其特征在于， 所述通过解析所述日志信息， 获取 网络攻击事 件， 包括如下至少一项： 根据保留地址列表， 对所述日志信息进行无效数据清洗， 以过滤所述日志信息中的无 效数据； 根据源IP地址、 目的IP地址、 事 件类型以及攻击时间， 对所述日志信息进行去重处 理； 根据白名单IP地址库， 对所述日志信息进行正常数据清洗， 以过滤所述日志信息中的 正常数据。 8.一种网络攻击的威胁等级获取装置， 其特 征在于， 包括： 网络攻击事件获取模块， 用于获取网络安全设备的日志信息， 并通过解析所述日志信 息， 获取网络攻击事 件； 危险度分值获取模块， 用于根据所述网络攻击事件的危险度参数以及危险度分值表， 获取所述网络攻击事件的危险度分值； 其中， 所述危险度参数包括字段完整度、 攻击链阶段 以及告警级别中的至少一个； 威胁等级获取模块， 用于根据所述网络攻击事件的危险度分值， 获取所述网络攻击事 件的威胁等级。 9.一种服 务器， 其特 征在于， 所述 服务器包括： 一个或多个处 理器； 存储装置， 用于存 储一个或多个程序； 当所述一个或多个程序被所述一个或多个处理器执行， 使得所述一个或多个处理器实 现如权利要求1 ‑7中任一所述的网络攻击的威胁等级获取 方法。 10.一种包含计算机可执行指令的存储介质， 所述计算机可执行指令在由计算机处理 器执行时用于执 行如权利要求1 ‑7中任一所述的网络攻击的威胁等级获取 方法。权　利　要　求　书 2/2 页 3 CN 114124552 A 3