一种网络安全预警方法、装置、存储介质和计算机设备与流程

一种网络安全预警方法、装置、存储介质和计算机设备
【技术领域】
1.本发明涉及安全技术领域，尤其涉及一种网络安全预警方法、装置、存储介质和计算机设备。


背景技术：

2.随着计算机和通信技术的迅速发展，计算机网络的应用越来越广泛，其规模越来越庞大，多层面的网络安全威胁和安全风险也在不断增加，网络病毒、dos/ddos攻击等构成的威胁和损失越来越大，网络攻击行为向着分布化、规模化、复杂化等趋势发展，仅仅依靠防火墙、入侵检测、防病毒、访问控制等单一的网络安全防护技术，已不能满足网络安全的需求，使得安全预警的及时性和准确性较低。


技术实现要素：

3.有鉴于此，本发明实施例提供了一种网络安全预警方法、装置、存储介质和计算机设备，用以提高安全预警的及时性和准确性。
4.一方面，本发明实施例提供了一种网络安全预警方法，包括：
5.根据获取的网络中各节点的节点类型和各节点在预设时间段内的硬件信息，确定网络的资产态势；
6.根据所述节点类型和获取的各节点在预设时间段内的流量信息，确定网络的威胁态势；
7.根据所述节点类型和所述各节点在预设时间段内的流量信息，确定网络的脆弱性态势；
8.根据所述资产态势、所述威胁态势和所述脆弱性态势，确定网络的安全态势；
9.根据所述安全态势进行安全预警。
10.可选地，所述各节点在预设时间段内的硬件信息包括cpu使用率、内存使用率和各节点类型对应的漏洞数，所述根据获取的网络中各节点的节点类型和各节点在预设时间段内的硬件信息，确定网络的资产态势，包括：
11.根据所述节点类型、所述cpu使用率、内存使用率和各节点类型对应的漏洞数，确定各节点的资产值；
12.根据设置的各节点的权重和所述各节点的资产值，确定所述网络的资产态势。
13.可选地，所述各节点在预设时间段内的流量信息包括上行流量数据和下行流量数据，所述根据所述节点类型和获取的各节点在预设时间段内的流量信息，确定网络的威胁态势，包括：
14.对所述上行流量数据进行聚类，获取上行流量数据最大类包括的元素数量和上行流量数据总量；
15.对所述下行流量数据进行聚类，获取下行流量数据最大类包括的元素数量和下行流量数据总量；
16.根据所述上行流量数据最大类包括的元素数量、所述上行流量数据总量、所述下行流量数据最大类包括的元素数量和所述下行流量数据总量，生成各节点的威胁值；
17.根据设置的各节点的权重和所述各节点的威胁值，确定所述网络的威胁态势。
18.可选地，所述各节点在预设时间段内的流量信息包括丢包率、同一时间的最大连接数和流量态势，所述根据所述节点类型和所述各节点在预设时间段内的流量信息，确定网络的脆弱性态势，包括：
19.根据所述丢包率、所述同一时间的最大连接数和所述流量态势，确定各节点的脆弱值；
20.根据设置的各节点的权重和所述各节点的脆弱值，确定所述网络的脆弱性态势。
21.可选地，所述根据所述资产态势、所述威胁态势和所述脆弱性态势，确定网络的安全态势，包括：
22.将所述资产态势、所述威胁态势和所述脆弱性态势相乘，确定网络的安全态势。
23.可选地，所述根据所述节点类型、所述cpu使用率、内存使用率和各节点类型对应的漏洞数，确定各节点的资产值，包括：
24.根据预设时间段内的cpu使用率的最大值、预设时间段内的cpu使用率的均值、预设时间段内的cpu使用率的最小值、预设时间段内的内存使用率的最大值、预设时间段内的内存使用率的均值、预设时间段内的内存使用率的最小值、各节点类型对应的漏洞数中不同节点类型的漏洞数和相同节点类型的漏洞数，确定各节点的资产值。
25.可选地，所述根据所述安全态势进行安全预警，包括：
26.若所述安全态势大于预警阈值，则进行安全预警。
27.另一方面，本发明实施例提供了一种网络安全预警装置，包括：
28.第一确定模块，用于根据获取的网络中各节点的节点类型和各节点在预设时间段内的硬件信息，确定网络的资产态势；
29.第二确定模块，用于根据所述节点类型和获取的各节点在预设时间段内的流量信息，确定网络的威胁态势；
30.第三确定模块，用于根据所述节点类型和所述各节点在预设时间段内的流量信息，确定网络的脆弱性态势；
31.第四确定模块，用于根据所述资产态势、所述威胁态势和所述脆弱性态势，确定网络的安全态势；
32.安全预警模块，用于根据所述安全态势进行安全预警。
33.另一方面，本发明实施例提供了一种存储介质，所述存储介质包括存储的程序，其中，在所述程序运行时控制所述存储介质所在设备执行上述网络安全预警方法。
34.另一方面，本发明实施例提供了一种计算机设备，包括存储器和处理器，所述存储器用于存储包括程序指令的信息，所述处理器用于控制程序指令的执行，其特征在于，所述程序指令被处理器加载并执行时实现上述网络安全预警方法的步骤。
35.本发明实施例提供的网络安全预警方法的技术方案中，根据获取的网络中各节点的节点类型和各节点在预设时间段内的硬件信息，确定网络的资产态势；根据节点类型和获取的各节点在预设时间段内的流量信息，确定网络的威胁态势；根据节点类型和各节点在预设时间段内的流量信息，确定网络的脆弱性态势；根据资产态势、威胁态势和脆弱性态
势，确定网络的安全态势；根据安全态势进行安全预警。本发明实施例提供的技术方案中，通过对网络中各节点的资产态势、威胁态势和脆弱性态势评估安全态势，通过三个维度进行安全预警，提升了安全态势的评估准确性，进而保证了安全预警的及时性及准确性。
【附图说明】
36.为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。
37.图1为本发明实施例提供的一种网络安全预警方法的流程图；
38.图2为图1中根据获取的网络中各节点的节点类型和各节点在预设时间段内的硬件信息，确定网络的资产态势的流程图；
39.图3为图1中根据节点类型和获取的各节点在预设时间段内的流量信息，确定网络的威胁态势的流程图；
40.图4为图1中根据节点类型和各节点在预设时间段内的流量信息，确定网络的脆弱性态势的流程图；
41.图5为本发明实施例提供的一种网络安全预警装置的结构示意图；
42.图6为本发明实施例提供的一种计算机设备的示意图。
【具体实施方式】
43.为了更好的理解本发明的技术方案，下面结合附图对本发明实施例进行详细描述。
44.应当明确，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。
45.在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。
46.应当理解，本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，甲和/或乙，可以表示：单独存在甲，同时存在甲和乙，单独存在乙这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。
47.相关技术中提供了一种网络安全预警方法，该方法包括：获取依赖于网络的活动的安全场景信息，通过处理器对安全场景信息进行分析，确定安全保障值；从网络日志中提取各个设备的网络信息，网络信息包括：设备的标识、设备受到的攻击数量及历史运行数据；针对于网络拓扑中的每一个节点，根据该节点的度以及该节点处的设备的网络信息，确定该节点的安全态势；根据各个节点的安全态势确定网络是否安全，若不安全则进行安全预警。该方法在确定安全态势时仅考虑到了节点数据的情况，如收攻击数量、历史运行数据等，但是不同的节点在收到攻击时的后果是不同的，如脆弱程度高的，即比较脆弱的节点会瘫痪，脆弱程度低的，即安全程度高的节点可能不受影响，其安全态势的评估较为片面，使
得安全预警的及时性和准确性较低。
48.为解决相关技术中的技术问题，本发明实施例提供了一种网络安全预警方法，图1为本发明实施例提供的一种网络安全预警方法的流程图，如图1所示，该方法包括：
49.步骤102、根据获取的网络中各节点的节点类型和各节点在预设时间段内的硬件信息，确定网络的资产态势。
50.本发明实施例中，各步骤由计算机设备执行。
51.本发明实施例中，步骤102之前包括：
52.步骤s1、获取网络中各节点的节点类型。
53.本发明实施例中，网络中各节点的节点类型包括：终端、服务器或交换机等。网络中各节点的节点类型是在网络节点部署时确定的。
54.步骤s2、获取网络中各节点在预设时间段内的硬件信息和各节点在预设时间段内的流量信息。
55.本发明实施例中，硬件信息为各节点的硬件对应的相关内容，例如，硬件信息包括：端口数量、各端口的状态、中央处理器(central processing unit，简称cpu)使用率、内存使用率和/或漏洞列表。
56.其中，各端口的状态，对于当前的硬件信息为各端口当前的状态，如果某一个端口当前是开放的，则当前状态为1；如果某一个端口当前是关闭的，则当前状态为0。
57.对于预设时间段内的硬件信息为，只要该端口在预设时间段内出现过1的情况，那么其状态就是1。也就是说对于任一端口，只要它在预设时间段内开放过，那么该端口在预设时间段内的状态就是1。
58.漏洞列表为该节点当前操作系统，或者硬件配置等方面造成的端口漏洞，该漏洞是节点设备客观存在的，与该漏洞是否受到攻击无关。漏洞列表包括各节点类型对应的漏洞数、漏洞类型和/或漏洞类型对应的端口号。该漏洞列表可以通过操作系统等官方发布的漏洞信息得到。
59.流量信息为该节点数据传输的相关内容，如：数据包信息和网络信息。其中，数据包信息描述了每一个数据包的相关信息，如数据包标识，数据方向(下行，或上行)，涉及的端口、源网际互连协议(internet protocol，简称ip)地址(仅针对下行数据，上行数据无此指标)/目的ip地址(仅针对上行数据，下行数据无此指标)。网络信息描述了数据传输过程中的整体情况，如：丢包率、同一时间的最大连接数和/或流量态势。
60.本发明实施例中，各节点在预设时间段内的流量信息包括上行流量数据和下行流量数据。
61.图2为图1中根据获取的网络中各节点的节点类型和各节点在预设时间段内的硬件信息，确定网络的资产态势的流程图，如图2所示，步骤102包括：
62.步骤1022、根据节点类型、cpu使用率、内存使用率和各节点类型对应的漏洞数，确定各节点的资产值。
63.具体地，根据预设时间段内的cpu使用率的最大值预设时间段内的cpu使用率的均值预设时间段内的cpu使用率的最小值预设时间段内的内存使用率的最大值预设时间段内的内存使用率的均值预设时间段内的内存使用
率的最小值各节点类型对应的漏洞数中不同节点类型的漏洞数和相同节点类型的漏洞数确定各节点的资产值。
64.其中，因为漏洞列表中记明了漏洞类型(如ddos攻击)、对应的端口号，可能出现同一种漏洞类型对应多个端口的情况，也可能出现同一个端口对应多个漏洞类型的情况。因此，为漏洞列表中记录的数据总数量。为对于同一个漏洞类型，其对应的端口数量的最大值。
65.通过公式通过公式对预设时间段内的cpu使用率的最大值、预设时间段内的cpu使用率的均值、预设时间段内的cpu使用率的最小值、预设时间段内的内存使用率的最大值、预设时间段内的内存使用率的均值、预设时间段内的内存使用率的最小值、各节点类型对应的漏洞数中不同节点类型的漏洞数和相同节点类型的漏洞数进行计算，生成各节点的资产值。
66.其中，为预设时间段内的cpu使用率的最大值，为预设时间段内的cpu使用率的均值，为预设时间段内的cpu使用率的最小值，为预设时间段内的内存使用率的最大值，为预设时间段内的内存使用率的均值，为预设时间段内的内存使用率的最小值，为各节点类型对应的漏洞数中不同节点类型的漏洞数，为各节点类型对应的漏洞数中相同节点类型的漏洞数，为端口数量，为状态为1的端口数量，ai为各节点的资产值。
67.步骤1024、根据设置的各节点的权重和各节点的资产值，确定网络的资产态势。
68.具体地，通过公式a＝∑iwi*ai对设置的各节点的权重和各节点的资产值进行计算，生成网络的资产态势。其中，i为各节点的节点标识，wi为第i个节点的权重，ai为第i个节点的资产值，a为资产态势。
69.本发明实施例中，wi是与第i个节点类型对应的，可以为预先设置好的，例如，终端的权重为2，服务器的权重为4等。
70.步骤104、根据节点类型和获取的各节点在预设时间段内的流量信息，确定网络的威胁态势。
71.图3为图1中根据节点类型和获取的各节点在预设时间段内的流量信息，确定网络的威胁态势的流程图，如图3所示，步骤104包括：
72.步骤1042、对上行流量数据进行聚类，获取上行流量数据最大类包括的元素数量和上行流量数据总量。
73.具体地，步骤1042包括：
74.步骤a1、将上行数据包按到达时间从早至晚进行排序，得到上行数据序列。计算上行数据序列中每个上行数据与其前面的上行数据之间的到达时间差
75.步骤a2、将上行流量数据形成集合
76.步骤a3、从中任选一个元素作为一个类的中心，将该元素标注为已归类。
77.步骤a4、依次选择一个未归类的中的一个元素，例如元素x，计算(未归类)元素x与(已归类)的各类元素y之间的归属度
[0078][0079]
若元素x对应的端口与元素y对应的端口相同，则其中，为元素x对应的端口在漏洞列表中对应的漏洞类型数量。
[0080]
若漏洞列表元素x对应的端口与元素y对应的端口不相同，则若漏洞列表元素x对应的端口与元素y对应的端口不相同，则其中，为元素y对应的端口在漏洞列表中对应的漏洞类型数量。
[0081]
为元素x与元素y之间的源地址相似度，其计算方法如下：
[0082]
ip地址分为4个十进制数。例如，120.244.110.131。
[0083]
从源地址最左的一个十进制数开始依次比较元素x与元素y在该位的数值是否相同，寻找第一个不同的十进制数所在的位置。
[0084]
例如元素x的源ip为120.244.110.131，元素y的源ip为120.244.110.100，那么第一个不同的十进制数在最右。
[0085]
以aaa.bbb.ccc.ddd为例。
[0086]
如果第一个不同的十进制数在最右(即ddd的位置)，则如果第一个不同的十进制数在最右(即ddd的位置)，则
[0087]
如果第一个不同的十进制数在右数第二(即ccc的位置)，则如果第一个不同的十进制数在右数第二(即ccc的位置)，则
[0088]
如果第一个不同的十进制数在左数第二(即bbb的位置)，则如果第一个不同的十进制数在左数第二(即bbb的位置)，则
[0089]
如果第一个不同的十进制数在最左(即aaa的位置)，则如果第一个不同的十进制数在最左(即aaa的位置)，则
[0090]
执行至此，会计算中每一个未归类的元素与每一个已归类元素之间的归属度。
[0091]
步骤a5、找到所有的归属度中最大的归属度，将最大归属度中，未归类的元素归入相对应的已归类元素所在类。
[0092]
步骤a6、找到所有归属度中最小的归属度，将最小归属度中，未归类的元素确定为一个新类，并将其标注为已归类。
[0093]
步骤a7、重复执行步骤a4-a6直至中所有元素均归类。
[0094]
步骤1044、对下行流量数据进行聚类，获取下行流量数据最大类包括的元素数量和下行流量数据总量。
[0095]
本发明实施例中，对下行流量数据进行聚类方式与上述步骤a1-步骤a7相同，仅是将源ip变更为目的ip，此处不再赘述。
[0096]
步骤1046、根据上行流量数据最大类包括的元素数量、上行流量数据总量、下行流量数据最大类包括的元素数量和下行流量数据总量，生成各节点的威胁值。
[0097]
具体地，通过公式ri＝上行流量数据最大类包括的元素数量/上行流量数据总量+下行流量数据最大类包括的元素数量/下行流量数据总量对上行流量数据最大类包括的元素数量、上行流量数据总量、下行流量数据最大类包括的元素数量和下行流量数据总量进行计算，生成各节点的威胁值。其中，ri为各节点的威胁值。
[0098]
步骤1048、根据设置的各节点的权重和各节点的威胁值，确定网络的威胁态势。
[0099]
具体地，通过公式r＝∑iwi*ri对设置的各节点的权重和各节点的威胁值进行计算，确定网络的威胁态势。其中，i为各节点的节点标识，wi为第i个节点的权重，ri为第i个节点的威胁值，r为威胁态势。
[0100]
步骤106、根据节点类型和各节点在预设时间段内的流量信息，确定网络的脆弱性态势。
[0101]
图4为图1中根据节点类型和各节点在预设时间段内的流量信息，确定网络的脆弱性态势的流程图，如图4所示，步骤106包括：
[0102]
步骤1062、根据丢包率、同一时间的最大连接数和流量态势，确定各节点的脆弱值。
[0103]
具体地，通过公式li＝丢包率*同一时间的最大连接数*流量态势的平均值*e^每个状态为1的端口发生相应漏洞类型攻击所造成的损失最大值的积对丢包率、同一时间的最大连接数和流量态势进行计算，生成各节点的脆弱值。其中。li为各节点的脆弱值。
[0104]
步骤1064、根据设置的各节点的权重和各节点的脆弱值，确定网络的脆弱性态势。
[0105]
具体地，通过公式l＝∑iwi*li对设置的各节点的权重和各节点的脆弱值进行计算，生成网络的脆弱性态势。其中，i为各节点的节点标识，wi为第i个节点的权重，li为第i个节点的脆弱值，l为脆弱性态势。
[0106]
步骤108、根据资产态势、威胁态势和脆弱性态势，确定网络的安全态势。
[0107]
具体地，将资产态势、威胁态势和脆弱性态势相乘，确定网络的安全态势。
[0108]
通过公式s＝a*r*l将资产态势、威胁态势和脆弱性态势相乘，确定网络的安全态势。其中，a为资产态势，r为威胁态势、l为脆弱性态势，s为安全态势。
[0109]
步骤110、根据安全态势进行安全预警。
[0110]
作为一种可选方案，若安全态势大于预警阈值，则进行安全预警。
[0111]
本发明实施例提供的技术方案中，根据获取的网络中各节点的节点类型和各节点在预设时间段内的硬件信息，确定网络的资产态势；根据节点类型和获取的各节点在预设时间段内的流量信息，确定网络的威胁态势；根据节点类型和各节点在预设时间段内的流量信息，确定网络的脆弱性态势；根据资产态势、威胁态势和脆弱性态势，确定网络的安全态势；根据安全态势进行安全预警。本发明实施例提供的技术方案中，通过对网络中各节点的资产态势、威胁态势和脆弱性态势评估安全态势，通过三个维度进行安全预警，提升了安全态势的评估准确性，进而保证了安全预警的及时性及准确性。
[0112]
本发明实施例提供了一种网络安全预警装置。图5为本发明实施例提供的一种网络安全预警装置的结构示意图，如图5所示，该装置包括：第一确定模块11、第二确定模块12、第三确定模块13、第四确定模块14和安全预警模块15。
[0113]
第一确定模块11用于根据获取的网络中各节点的节点类型和各节点在预设时间段内的硬件信息，确定网络的资产态势；
[0114]
第二确定模块12用于根据所述节点类型和获取的各节点在预设时间段内的流量信息，确定网络的威胁态势；
[0115]
第三确定模块13用于根据所述节点类型和所述各节点在预设时间段内的流量信息，确定网络的脆弱性态势；
[0116]
第四确定模块14用于根据所述资产态势、所述威胁态势和所述脆弱性态势，确定网络的安全态势；
[0117]
安全预警模块15用于根据所述安全态势进行安全预警。
[0118]
本发明实施例中，第一确定模块11具体用于根据所述节点类型、所述cpu使用率、内存使用率和各节点类型对应的漏洞数，确定各节点的资产值；根据设置的各节点的权重和所述各节点的资产值，确定所述网络的资产态势。
[0119]
本发明实施例中，第二确定模块12具体用于对所述上行流量数据进行聚类，获取上行流量数据最大类包括的元素数量和上行流量数据总量；对所述下行流量数据进行聚类，获取下行流量数据最大类包括的元素数量和下行流量数据总量；根据所述上行流量数据最大类包括的元素数量、所述上行流量数据总量、所述下行流量数据最大类包括的元素数量和所述下行流量数据总量，生成各节点的威胁值；根据设置的各节点的权重和所述各节点的威胁值，确定所述网络的威胁态势。
[0120]
本发明实施例中，第三确定模块13具体用于根据所述丢包率、所述同一时间的最大连接数和所述流量态势，确定各节点的脆弱值；根据设置的各节点的权重和所述各节点的脆弱值，确定所述网络的脆弱性态势。
[0121]
本发明实施例中，第四确定模块14具体用于将所述资产态势、所述威胁态势和所述脆弱性态势相乘，确定网络的安全态势。
[0122]
本发明实施例中，安全预警模块15具体用于若所述安全态势大于预警阈值，则进行安全预警。
[0123]
本发明实施例提供的技术方案中，根据获取的网络中各节点的节点类型和各节点在预设时间段内的硬件信息，确定网络的资产态势；根据节点类型和获取的各节点在预设时间段内的流量信息，确定网络的威胁态势；根据节点类型和各节点在预设时间段内的流量信息，确定网络的脆弱性态势；根据资产态势、威胁态势和脆弱性态势，确定网络的安全
态势；根据安全态势进行安全预警。本发明实施例提供的技术方案中，通过对网络中各节点的资产态势、威胁态势和脆弱性态势评估安全态势，通过三个维度进行安全预警，提升了安全态势的评估准确性，进而保证了安全预警的及时性及准确性。
[0124]
本实施例提供的网络安全预警装置可用于实现上述图1、图2、图3和图4中的网络安全预警方法，具体描述可参见上述网络安全预警方法的实施例，此处不再重复描述。
[0125]
本发明实施例提供了一种存储介质，存储介质包括存储的程序，其中，在程序运行时控制存储介质所在设备执行上述网络安全预警方法的实施例的各步骤，具体描述可参见上述网络安全预警方法的实施例。
[0126]
本发明实施例提供了一种计算机设备，包括存储器和处理器，存储器用于存储包括程序指令的信息，处理器用于控制程序指令的执行，程序指令被处理器加载并执行时实现上述网络安全预警方法的实施例的各步骤，具体描述可参见上述网络安全预警方法的实施例。
[0127]
图6为本发明实施例提供的一种计算机设备的示意图。如图6所示，该实施例的计算机设备20包括：处理器21、存储器22以及存储在存储器22中并可在处理器21上运行的计算机程序23，该计算机程序23被处理器21执行时实现实施例中的应用于网络安全预警方法，为避免重复，此处不一一赘述。或者，该计算机程序被处理器21执行时实现实施例中应用于网络安全预警装置中各模型/单元的功能，为避免重复，此处不一一赘述。
[0128]
计算机设备20包括，但不仅限于，处理器21、存储器22。本领域技术人员可以理解，图6仅仅是计算机设备20的示例，并不构成对计算机设备20的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如计算机设备还可以包括输入输出设备、网络接入设备、总线等。
[0129]
所称处理器21可以是中央处理单元(central processing unit，cpu)，还可以是其他通用处理器、数字信号处理器(digital signal processor，dsp)、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列(field-programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
[0130]
存储器22可以是计算机设备20的内部存储单元，例如计算机设备20的硬盘或内存。存储器22也可以是计算机设备20的外部存储设备，例如计算机设备20上配备的插接式硬盘，智能存储卡(smart media card,smc)，安全数字(secure digital,sd)卡，闪存卡(flash card)等。进一步地，存储器22还可以既包括计算机设备20的内部存储单元也包括外部存储设备。存储器22用于存储计算机程序以及计算机设备所需的其他程序和数据。存储器22还可以用于暂时地存储已经输出或者将要输出的数据。
[0131]
所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
[0132]
在本发明所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示
或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
[0133]
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0134]
另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。
[0135]
上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机装置(可以是个人计算机，服务器，或者网络装置等)或处理器(processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。
[0136]
以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。

技术特征：
1.一种网络安全预警方法，其特征在于，包括：根据获取的网络中各节点的节点类型和各节点在预设时间段内的硬件信息，确定网络的资产态势；根据所述节点类型和获取的各节点在预设时间段内的流量信息，确定网络的威胁态势；根据所述节点类型和所述各节点在预设时间段内的流量信息，确定网络的脆弱性态势；根据所述资产态势、所述威胁态势和所述脆弱性态势，确定网络的安全态势；根据所述安全态势进行安全预警。2.根据权利要求1所述的方法，其特征在于，所述各节点在预设时间段内的硬件信息包括cpu使用率、内存使用率和各节点类型对应的漏洞数，所述根据获取的网络中各节点的节点类型和各节点在预设时间段内的硬件信息，确定网络的资产态势，包括：根据所述节点类型、所述cpu使用率、内存使用率和各节点类型对应的漏洞数，确定各节点的资产值；根据设置的各节点的权重和所述各节点的资产值，确定所述网络的资产态势。3.根据权利要求1所述的方法，其特征在于，所述各节点在预设时间段内的流量信息包括上行流量数据和下行流量数据，所述根据所述节点类型和获取的各节点在预设时间段内的流量信息，确定网络的威胁态势，包括：对所述上行流量数据进行聚类，获取上行流量数据最大类包括的元素数量和上行流量数据总量；对所述下行流量数据进行聚类，获取下行流量数据最大类包括的元素数量和下行流量数据总量；根据所述上行流量数据最大类包括的元素数量、所述上行流量数据总量、所述下行流量数据最大类包括的元素数量和所述下行流量数据总量，生成各节点的威胁值；根据设置的各节点的权重和所述各节点的威胁值，确定所述网络的威胁态势。4.根据权利要求1所述的方法，其特征在于，所述各节点在预设时间段内的流量信息包括丢包率、同一时间的最大连接数和流量态势，所述根据所述节点类型和所述各节点在预设时间段内的流量信息，确定网络的脆弱性态势，包括：根据所述丢包率、所述同一时间的最大连接数和所述流量态势，确定各节点的脆弱值；根据设置的各节点的权重和所述各节点的脆弱值，确定所述网络的脆弱性态势。5.根据权利要求1所述的方法，其特征在于，所述根据所述资产态势、所述威胁态势和所述脆弱性态势，确定网络的安全态势，包括：将所述资产态势、所述威胁态势和所述脆弱性态势相乘，确定网络的安全态势。6.根据权利要求2所述的方法，其特征在于，所述根据所述节点类型、所述cpu使用率、内存使用率和各节点类型对应的漏洞数，确定各节点的资产值，包括：根据预设时间段内的cpu使用率的最大值、预设时间段内的cpu使用率的均值、预设时间段内的cpu使用率的最小值、预设时间段内的内存使用率的最大值、预设时间段内的内存使用率的均值、预设时间段内的内存使用率的最小值、各节点类型对应的漏洞数中不同节点类型的漏洞数和相同节点类型的漏洞数，确定各节点的资产值。
7.根据权利要求1所述的方法，其特征在于，所述根据所述安全态势进行安全预警，包括：若所述安全态势大于预警阈值，则进行安全预警。8.一种网络安全预警装置，其特征在于，包括：第一确定模块，用于根据获取的网络中各节点的节点类型和各节点在预设时间段内的硬件信息，确定网络的资产态势；第二确定模块，用于根据所述节点类型和获取的各节点在预设时间段内的流量信息，确定网络的威胁态势；第三确定模块，用于根据所述节点类型和所述各节点在预设时间段内的流量信息，确定网络的脆弱性态势；第四确定模块，用于根据所述资产态势、所述威胁态势和所述脆弱性态势，确定网络的安全态势；安全预警模块，用于根据所述安全态势进行安全预警。9.一种存储介质，其特征在于，所述存储介质包括存储的程序，其中，在所述程序运行时控制所述存储介质所在设备执行权利要求1至7中任意一项所述的网络安全预警方法。10.一种计算机设备，包括存储器和处理器，所述存储器用于存储包括程序指令的信息，所述处理器用于控制程序指令的执行，其特征在于，所述程序指令被处理器加载并执行时实现权利要求1至7任意一项所述的网络安全预警方法的步骤。

技术总结
本发明实施例提供了一种网络安全预警方法、装置、存储介质和计算机设备。该方法包括：根据获取的网络中各节点的节点类型和各节点在预设时间段内的硬件信息，确定网络的资产态势；根据节点类型和获取的各节点在预设时间段内的流量信息，确定网络的威胁态势；根据节点类型和各节点在预设时间段内的流量信息，确定网络的脆弱性态势；根据资产态势、威胁态势和脆弱性态势，确定网络的安全态势；根据安全态势进行安全预警。本发明实施例提供的技术方案中，通过对网络中各节点的资产态势、威胁态势和脆弱性态势评估安全态势，通过三个维度进行安全预警，提升了安全态势的评估准确性，进而保证了安全预警的及时性及准确性。保证了安全预警的及时性及准确性。保证了安全预警的及时性及准确性。


技术研发人员：张鲁男
受保护的技术使用者：中国移动通信集团有限公司
技术研发日：2022.03.04
技术公布日：2023/9/13