风险评估方法、装置、设备、存储介质和程序产品与流程

1.本技术涉及网络安全技术领域，特别是涉及一种风险评估方法、装置、设备、存储介质和程序产品。


背景技术：

2.随着网络设备和防护设备的日益增多，通过分析这些设备产生的海量安全事件来评估设备的风险成为越来越热门的有效手段，因此更准确更全面的风险评估方法显得尤为重要。
3.目前，风险评估一般都是根据设备的安全事件的危险等级直接定义，但是这种风险评估方法不够准确。


技术实现要素：

4.基于此，有必要针对上述技术问题，提供一种风险评估更准确的风险评估方法、装置、设备、存储介质和程序产品。
5.第一方面，本技术提供了一种风险评估方法。该方法包括：获取待评估的目标主机对应的目标安全事件集合，目标安全事件集合包括与目标主机相关的多个安全事件；根据目标安全事件集合中各安全事件的威胁等级以及在不同时段的发生频次确定目标主机的第一安全评估结果；在第一安全评估结果指示目标主机处于安全可疑状态的情况下，根据目标安全事件集合确定访问特征信息，并根据访问特征信息确定目标主机的第二安全评估结果，其中，访问特征信息用于表征目标主机的安全事件所涉及到的业务访问的特征；根据第二安全评估结果确定目标主机是否为高风险主机。
6.在其中一个实施例中，获取待评估的目标主机对应的目标安全事件集合，包括：获取初始安全事件集合，初始安全事件集合包括目标主机对应的多个安全事件；从初始安全事件集合中筛选重要程度大于预设阈值的安全事件，以得到目标安全事件集合。
7.在其中一个实施例中，从初始安全事件集合中筛选重要程度大于预设阈值的安全事件，包括：按照初始安全事件集合中各类型的安全事件的数量由大至小的顺序，对初始安全事件集合包括的安全事件类型进行排序；将排序前n个安全事件类型对应的安全事件作为重要程度大于预设阈值的安全事件，n为大于或等于1的正整数。
8.在其中一个实施例中，按照初始安全事件集合中各类型的安全事件的数量由大至小的顺序，对初始安全事件集合包括的安全事件类型进行排序，包括：若不同类型的安全事件的数量一致，则根据不同类型的安全事件对应的威胁等级确定排列顺序。
9.在其中一个实施例中，按照初始安全事件集合中各类型的安全事件的数量由大至小的顺序，对初始安全事件集合包括的安全事件类型进行排序，包括：若确定初始安全事件集合中的安全事件类型大于n，则执行按照初始安全事件集合中各类型的安全事件的数量由大至小的顺序，对初始安全事件集合包括的安全事件类型进行排序的步骤。
10.在其中一个实施例中，方法还包括：若确定初始安全事件集合中的安全事件类型
小于等于n，则将初始安全事件集合作为目标安全事件集合。
11.在其中一个实施例中，第一安全评估结果包括第一安全评估值，不同时段的发生频次包括工作时段的第一发生频次以及非工作时段的第二发生频次，根据目标安全事件集合中各安全事件的威胁等级以及在不同时段的发生频次确定目标主机的第一安全评估结果，包括：对于各安全事件，根据安全事件的威胁等级、第一发生频次以及第二发生频次确定安全事件的安全评估子值；根据各安全事件的安全评估子值的平均值，得到第一安全评估值。
12.在其中一个实施例中，根据各安全事件的安全评估子值的平均值，得到第一安全评估值，包括：根据目标主机是否为资产，对各安全事件的安全评估子值的平均值进行修正处理，以得到第一安全评估值。
13.在其中一个实施例中，根据目标安全事件集合确定访问特征信息，包括：基于目标安全事件集合确定在目标主机为发起访问的角色时的第一访问特征信息；基于目标安全事件集合确定在目标主机为被访问的角色时的第二访问特征信息；将第一访问信息和第二访问信息作为访问特征信息。
14.在其中一个实施例中，基于目标安全事件集合确定在目标主机为发起访问的角色时的第一访问特征信息，包括：从目标安全事件集合中筛选得到包括的源ip地址与目标主机的ip地址相同的第一安全事件；将第一安全事件的数量m1和第一安全事件包括的目的ip地址的数量n1作为第一访问特征信息。
15.在其中一个实施例中，基于目标安全事件集合确定在目标主机为被访问的角色时的第二访问特征信息，包括：从目标安全事件集合中筛选得到包括的目的ip地址与目标主机的ip地址相同的第二安全事件；将第二安全事件的数量m2和第二安全事件包括的源ip地址的数量n2作为第二访问特征信息。
16.在其中一个实施例中，根据访问特征信息确定目标主机的第二安全评估结果，包括：根据第一安全事件的数量m1、第一安全事件包括的目的ip地址的数量n1、第二安全事件的数量m2以及第二安全事件包括的源ip地址的数量n2计算加权和；根据加权和以及第一安全评估结果，确定第二安全评估结果。
17.第二方面，本技术还提供了一种风险评估装置。该装置包括：
18.获取模块，用于获取待评估的目标主机对应的目标安全事件集合，目标安全事件集合包括与目标主机相关的多个安全事件；
19.第一确定模块，用于根据目标安全事件集合中各安全事件的威胁等级以及在不同时段的发生频次确定目标主机的第一安全评估结果；
20.第二确定模块，用于在第一安全评估结果指示目标主机处于安全可疑状态的情况下，根据目标安全事件集合确定访问特征信息，并根据访问特征信息确定目标主机的第二安全评估结果，其中，访问特征信息用于表征目标主机的安全事件所涉及到的业务访问的特征；
21.第三确定模块，用于根据第二安全评估结果确定目标主机是否为高风险主机。
22.在其中一个实施例中，获取模块，具体用于获取初始安全事件集合，初始安全事件集合包括目标主机对应的多个安全事件；从初始安全事件集合中筛选重要程度大于预设阈值的安全事件，以得到目标安全事件集合。
23.在其中一个实施例中，获取模块，具体用于按照初始安全事件集合中各类型的安全事件的数量由大至小的顺序，对初始安全事件集合包括的安全事件类型进行排序；将排序前n个安全事件类型对应的安全事件作为重要程度大于预设阈值的安全事件，n为大于或等于1的正整数。
24.在其中一个实施例中，获取模块，具体用于若不同类型的安全事件的数量一致，则根据不同类型的安全事件对应的威胁等级确定排列顺序。
25.在其中一个实施例中，获取模块，具体用于若确定初始安全事件集合中的安全事件类型大于n，则执行按照初始安全事件集合中各类型的安全事件的数量由大至小的顺序，对初始安全事件集合包括的安全事件类型进行排序的步骤。
26.在其中一个实施例中，获取模块，还用于若确定初始安全事件集合中的安全事件类型小于等于n，则将初始安全事件集合作为目标安全事件集合。
27.在其中一个实施例中，第一安全评估结果包括第一安全评估值，不同时段的发生频次包括工作时段的第一发生频次以及非工作时段的第二发生频次，第一确定模块，具体用于对于各安全事件，根据安全事件的威胁等级、第一发生频次以及第二发生频次确定安全事件的安全评估子值；根据各安全事件的安全评估子值的平均值，得到第一安全评估值。
28.在其中一个实施例中，第一确定模块，具体用于根据目标主机是否为资产，对各安全事件的安全评估子值的平均值进行修正处理，以得到第一安全评估值。
29.在其中一个实施例中，第二确定模块，具体用于基于目标安全事件集合确定在目标主机为发起访问的角色时的第一访问特征信息；基于目标安全事件集合确定在目标主机为被访问的角色时的第二访问特征信息；将第一访问信息和第二访问信息作为访问特征信息。
30.在其中一个实施例中，第二确定模块，具体用于从目标安全事件集合中筛选得到包括的源ip地址与目标主机的ip地址相同的第一安全事件；将第一安全事件的数量m1和第一安全事件包括的目的ip地址的数量n1作为第一访问特征信息。
31.在其中一个实施例中，第二确定模块，具体用于从目标安全事件集合中筛选得到包括的目的ip地址与目标主机的ip地址相同的第二安全事件；将第二安全事件的数量m2和第二安全事件包括的源ip地址的数量n2作为第二访问特征信息。
32.在其中一个实施例中，第二确定模块，具体用于根据第一安全事件的数量m1、第一安全事件包括的目的ip地址的数量n1、第二安全事件的数量m2以及第二安全事件包括的源ip地址的数量n2计算加权和；根据加权和以及第一安全评估结果，确定第二安全评估结果。
33.第三方面，本技术还提供了一种计算机设备。所述计算机设备包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现上述第一方面任一所述的风险评估方法。
34.第四方面，本技术还提供了一种计算机可读存储介质。所述计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述第一方面任一所述的风险评估方法。
35.第五方面，本技术还提供了一种计算机程序产品。所述计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现上述第一方面任一所述的风险评估方法。
36.上述风险评估方法、装置、设备、存储介质和程序产品，首先，获取待评估的目标主
机对应的包括与目标主机相关的多个安全事件的目标安全事件集合，然后，根据目标安全事件集合中各安全事件的威胁等级以及在不同时段的发生频次确定目标主机的第一安全评估结果，接着，在第一安全评估结果指示目标主机处于安全可疑状态的情况下，根据目标安全事件集合确定用于表征目标主机的安全事件所涉及到的业务访问的特征访问特征信息，然后根据访问特征信息确定目标主机的第二安全评估结果，最后，根据第二安全评估结果确定目标主机是否为高风险主机。通过这种方式，在对目标主机进行风险评估时，通过第一安全评估结果先进行第一次筛选，然后在第一安全评估结果指示目标主机可能存在风险时在根据第二安全评估结果进行第二次筛选，最终确定目标主机是否为高风险主机，通过两次判断，同时判断过程中综合考虑了安全事件的威胁等级、不同时段的发生频次以及访问特征，因此提高了风险评估的准确性。
附图说明
37.图1为一个实施例中风险评估方法的流程示意图；
38.图2为另一个实施例中风险评估方法的流程示意图；
39.图3为另一个实施例中风险评估方法的流程示意图；
40.图4为另一个实施例中初始安全事件集合排序筛选的流程图；
41.图5为另一个实施例中第一安全评估确定步骤的流程示意图；
42.图6为另一个实施例中访问特征信息确定步骤的流程示意图；
43.图7为另一个实施例中访问特征信息确定步骤的流程示意图；
44.图8为另一个实施例中访问特征信息确定步骤的流程示意图；
45.图9为另一个实施例中第二安全评估结果确定步骤的流程示意图；
46.图10为另一个实施例中风险评估方法的流程示意图；
47.图11为另一个实施例中风险评估方法的流程图；
48.图12为一个实施例中风险评估装置的结构框图；
49.图13为一个实施例中计算机设备的内部结构图。
具体实施方式
50.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。
51.在一个实施例中，如图1所示，提供了一种风险评估方法，以该方法应用于终端为例进行说明，可以理解的是，该方法也可以应用于服务器，还可以应用于包括终端和服务器的系统，并通过终端和服务器的交互实现。该方法包括以下步骤：
52.步骤101，获取待评估的目标主机对应的目标安全事件集合。
53.其中，目标安全事件集合包括与目标主机相关的多个安全事件。目标主机为待进行安全风险评估的设备。可选的，从预设数据库中能够获取一段时间的包括多个设备的所有安全事件，从其中可以筛选与目标主机相关的多个安全事件，也即为目标安全事件集合。
54.步骤102，根据目标安全事件集合中各安全事件的威胁等级以及在不同时段的发生频次确定目标主机的第一安全评估结果。
55.不同的安全事件对应不同的威胁等级，由于不同时间发生的安全事件的重要程度不同，可选的，不同时段的发生频次可以包括工作日的发生频次和非工作日的发生频次。可选的，可以通过对各安全事件的威胁等级以及不同时段的发生频次进行加权求和的方式确定第一安全评估结果，权值根据重要性的不同而进行不同的设置。
56.步骤103，在第一安全评估结果指示目标主机处于安全可疑状态的情况下，根据目标安全事件集合确定访问特征信息，并根据访问特征信息确定目标主机的第二安全评估结果。
57.其中，访问特征信息用于表征目标主机的安全事件所涉及到的业务访问的特征。可选的，访问特征信息可以包括目标主机主动访问时的特征信息和目标主机为被访问对象时的特征信息。通过对访问特征信息进行加权计算的方式确定目标主机的第二安全评估结果。
58.第一安全评估结果指示目标主机处于安全可疑状态，也即目标主机可能是高风险主机，可选的，可以根据第一安全评估结果和第一预设阈值进行判断，确定目标主机是否处于安全可疑状态。当第一安全评估结果的值大于第一预设阈值时，确定目标主机可能是高风险主机，在这种情况下，对目标主机进行进一步判断，根据访问特征信息确定目标主机的第二安全评估结果。可选的，当第一安全评估结果的值不大于第一预设阈值时，说明目标主机不处于安全可疑状态。
59.步骤104，根据第二安全评估结果确定目标主机是否为高风险主机。
60.可选的，高风险主机为存在安全风险的主机，可以根据第二安全评估结果和第二预设阈值的判断结果确定目标主机是否为高风险主机。例如，当第二安全评估结果的值大于第二预设阈值时，可以确定目标主机为高风险主机。可选的，当第二评估结果的值不大于第二预设阈值时，可以确定目标主机不是高风险主机，可以继续根据数据库中获取的安全事件评估下一台主机。
61.上述实施例中，首先，获取待评估的目标主机对应的包括与目标主机相关的多个安全事件的目标安全事件集合，然后，根据目标安全事件集合中各安全事件的威胁等级以及在不同时段的发生频次确定目标主机的第一安全评估结果，接着，在第一安全评估结果指示目标主机处于安全可疑状态的情况下，根据目标安全事件集合确定用于表征目标主机的安全事件所涉及到的业务访问的特征访问特征信息，然后根据访问特征信息确定目标主机的第二安全评估结果，最后，根据第二安全评估结果确定目标主机是否为高风险主机。通过这种方式，在对目标主机进行风险评估时，通过第一安全评估结果先进行第一次筛选，然后在第一安全评估结果指示目标主机可能存在风险时在根据第二安全评估结果进行第二次筛选，最终确定目标主机是否为高风险主机，通过两次判断，同时判断过程中综合考虑了安全事件的威胁等级、不同时段的发生频次以及访问特征，因此提高了风险评估的准确性。
62.在一个实施例中，如图2所示，获取待评估的目标主机对应的目标安全事件集合的步骤包括：
63.步骤201，获取初始安全事件集合。
64.初始安全事件集合包括目标主机对应的多个安全事件。
65.步骤202，从初始安全事件集合中筛选重要程度大于预设阈值的安全事件，以得到目标安全事件集合。
66.由于初始安全事件集合中的安全事件可能数目较多，为了提高效率，可以对初始安全事件集合进行筛选，通过筛选重要类型的安全事件，来得到目标安全事件集合，进一步通过目标安全事件集合确定目标主机的风险评估结果。
67.可选的，对初始安全事件集合进行筛选的步骤如图3所示，包括：
68.步骤301，按照初始安全事件集合中各类型的安全事件的数量由大至小的顺序，对初始安全事件集合包括的安全事件类型进行排序。
69.可选的，统计初始安全事件集合中各类型的安全事件的数量，然后将各类型安全事件的数量由大至小进行排序。
70.可选的，若不同类型的安全事件的数量一致，则根据不同类型的安全事件对应的威胁等级确定排列顺序。即根据威胁等级由高到低调整排列顺序。可选的，如果威胁等级也相同，则随机进行排序。
71.步骤302，将排序前n个安全事件类型对应的安全事件作为重要程度大于预设阈值的安全事件。
72.n为大于或等于1的正整数。在根据上述对初始安全事件进行排序后，顺序中的前n个安全事件类型对应的安全事件即为重要程度大于预设阈值的安全事件，也即重要类型的安全事件，将这些安全事件作为目标安全事件集合。
73.可选的，在对初始安全事件集合进行排序前，还需要先确定初始安全事件集合中的安全事件类型是否大于n。
74.若确定初始安全事件集合中的安全事件类型大于n，则执行按照初始安全事件集合中各类型的安全事件的数量由大至小的顺序，对初始安全事件集合包括的安全事件类型进行排序的步骤。
75.若确定初始安全事件集合中的安全事件类型小于等于n，则将初始安全事件集合作为目标安全事件集合。具体的初始安全事件的筛选流程如图4所示。
76.上述实施例中，通过对初始安全事件集合进行筛选确定目标安全事件集合，通过类型对安全事件进行筛选，重点关注安全事件数量多且威胁等级高的安全事件，同时避免对重复和类似安全事件的处理，能够提高分析的效率。
77.在本技术的实施例中，第一安全评估结果包括第一安全评估值，不同时段的发生频次包括工作时段的第一发生频次以及非工作时段的第二发生频次，第一安全评估的结果的确定过程如图5所示，包括：
78.步骤501，对于各安全事件，根据安全事件的威胁等级、第一发生频次以及第二发生频次确定安全事件的安全评估子值。
79.不同的类型的安全事件可能出自于不同的物理层次，可能出自于不同的安全分析阶段，不同类型的安全事件具有不同的威胁等级。根据目标安全事件集合中的各安全事件，确定每一类安全事件的威胁等级记为k，该类安全事件发生在工作时段也即工作日的第一发生频次记为f1，该类安全事件发生在非工作时段也即非工作日的第二发生频次记为f2，根据k、f1以及f2可以计算该类安全事件的安全评估子值。
80.步骤502，根据各安全事件的安全评估子值的平均值，得到第一安全评估值。
81.将各类型的安全事件的安全评估子值的平均值，作为第一安全评估值。可选的，根据目标主机是否为资产，对各安全事件的安全评估子值的平均值进行修正处理，以得到第
一安全评估值。目标主机是否为资产代表目标主机的重要性，可以根据实际需求进行标记。具体计算公式如下所示：
[0082][0083]
其中，n为安全事件子集的安全事件类型数目；l当目标主机为资产时为1，目标主机不为资产时为0；g为常数，是安全事件最高威胁等级；ki为各类安全事件的威胁等级；fi1为各类安全事件的第一发生频次；fi2为各类安全事件的第二发生频次。
[0084]
上述实施例中，第一安全评估结果考虑了安全事件的威胁等级，同时结合工作时间发生频次和非工作时间发生频次进行修正，能够快速判断出风险性高的主机，提高风险评估的效率。
[0085]
在一个实施例中，根据目标安全事件集合确定访问特征信息的步骤如图6所示，包括：
[0086]
步骤601，基于目标安全事件集合确定在目标主机为发起访问的角色时的第一访问特征信息。
[0087]
安全事件中包括了安全事件涉及的源ip地址以及目的ip地址。目标主机为发起访问的角色也即安全事件中目标主机为源ip的情况，可选的，第一访问特征信息的确定过程如图7所示，包括：
[0088]
步骤701，从目标安全事件集合中筛选得到包括的源ip地址与目标主机的ip地址相同的第一安全事件。
[0089]
第一安全事件也即目标安全事件集合中的源ip地址与目标主机的ip地址相同的安全事件。
[0090]
步骤702，将第一安全事件的数量m1和第一安全事件包括的目的ip地址的数量n1作为第一访问特征信息。
[0091]
统计目标安全事件集合中的第一安全事件的数量，以及第一安全事件中涉及的目的ip地址的数量，将以上信息作为第一访问特征信息。
[0092]
步骤602，基于目标安全事件集合确定在目标主机为被访问的角色时的第二访问特征信息。
[0093]
目标主机为被访问的角色时也即在安全事件中目标主机的ip地址为目的ip的情况，可选的，第二访问特征信息的确定步骤如图8所示，包括：
[0094]
步骤801，从目标安全事件集合中筛选得到包括的目的ip地址与目标主机的ip地址相同的第二安全事件。
[0095]
第二安全事件也即目标安全事件集合中的目的ip地址与目标主机的ip地址相同的安全事件。
[0096]
步骤802，将第二安全事件的数量m2和第二安全事件包括的源ip地址的数量n2作为第二访问特征信息。
[0097]
统计第二安全事件的数量，以及第二安全事件中涉及的源ip地址的数量，作为第二访问特征信息。
[0098]
步骤603，将第一访问信息和第二访问信息作为访问特征信息。
[0099]
可选的，在确定访问特征信息后，根据访问特征信息确定目标主机的第二安全评估结果的步骤如图9所示，包括：
[0100]
步骤901，根据第一安全事件的数量m1、第一安全事件包括的目的ip地址的数量n1、第二安全事件的数量m2以及第二安全事件包括的源ip地址的数量n2计算加权和。
[0101]
步骤902，根据加权和以及第一安全评估结果，确定第二安全评估结果。
[0102]
可选的，第二安全评估结果包括第二安全评估值，第二安全评估值的计算公式如下所示：
[0103][0104]
其中，score1为第一安全评估值。
[0105]
上述实施例中，在第一安全评估结果的基础上，结合目标主机的访问特性，即访问的主动性不同得到的访问特征信息，确定第二安全评估结果，最终筛选出高风险主机，这种方式提高了风险评估的准确性，避免误报。
[0106]
在本技术的实施例中，请参考图10，其示出了本技术实施例提供的风险评估方法的流程图，该风险评估方法包括以下步骤：
[0107]
步骤1001，获取初始安全事件集合。
[0108]
步骤1002，从初始安全事件集合中筛选重要程度大于预设阈值的安全事件，以得到目标安全事件集合。
[0109]
按照初始安全事件集合中各类型的安全事件的数量由大至小的顺序，对初始安全事件集合包括的安全事件类型进行排序。将排序前n个安全事件类型对应的安全事件作为重要程度大于预设阈值的安全事件。若确定初始安全事件集合中的安全事件类型小于等于n，则将初始安全事件集合作为目标安全事件集合。
[0110]
步骤1003，对于各安全事件，根据安全事件的威胁等级、第一发生频次以及第二发生频次确定安全事件的安全评估子值。
[0111]
步骤1004，根据各安全事件的安全评估子值的平均值，得到第一安全评估值。
[0112]
步骤1005，在第一安全评估结果指示目标主机处于安全可疑状态的情况下，根据目标安全事件集合确定访问特征信息，并根据访问特征信息确定目标主机的第二安全评估结果。
[0113]
其中，基于目标安全事件集合确定在目标主机为发起访问的角色时的第一访问特征信息。基于目标安全事件集合确定在目标主机为被访问的角色时的第二访问特征信息。将第一访问信息和第二访问信息作为访问特征信息。
[0114]
步骤1006，根据第二安全评估结果确定目标主机是否为高风险主机。
[0115]
为了方便读者理解本技术实施例提供的技术方案，对本技术的风险评估算法进行举例说明，请参考图11，图11为风险评估方法的流程图，具体步骤如下：
[0116]
(1)从数据库中获取时间周期t内产生的所有安全事件，作为原始安全事件集合，记为x0，此处时间周期t可以设置为24h。
[0117]
(2)针对要评估的目标主机，从原始安全事件集合中筛选，确定初始安全事件集合x1，对初始安全事件集合根据上述实施例中介绍的方法进行排序，如下表1所示。
[0118]
表1初始安全事件集合
[0119]
rule_id(数据库的安全事件类型编号)事件数目威胁等级100157100256.5100555100855100746101123102012100912
[0120]
设置n为6，表中安全事件类型数量大于6，因此选择前6类的安全事件，得到目标安全事件集合x2。
[0121]
(3)根据目标安全事件集合x2，统计在工作时间08:00-18:00和非工作时间18:00-08:00(第二天)所发生的安全事件的数目，并且假设最高危险等级g＝10，得到表2：
[0122]
表2工作时间和非工作时间的安全事件统计表
[0123]
安全事件类型编号工作时间数目非工作时间数目威胁等级10012371002326.51005415100722610081451011023
[0124]
同时，当前目标主机为资产，即l为1，因此，根据上述实施例中的第一安全评估值的计算公式可以计算得到score1＝2.218，设置第一预设阈值为2，此时第一安全风险评估结果大于第一预设阈值，指示目标主机处于安全可疑状态的情况下，继续确定第二安全风险评估结果。可选的，如果第一安全评估结果不大于第一预设阈值，则表明该目标主机不存在风险，重新返回步骤(2)评估下一台主机的安全风险。
[0125]
(4)根据目标安全事件集合x2，统计目标主机分别为源ip和目的ip时访问特征信息，如下表3所示：
[0126]
表3访问特征信息统计表
[0127] 涉及到的安全事件类型数目m关联到的对端ip数量n当主机为源ip33当主机为目的ip55
[0128]
根据第二风险评估值的计算公式得到score＝5.05，设置第二预设阈值为3.8，此时第二风险评估结果大于第二预设阈值，则确定目标主机为高风险主机。可选的，如果第二风险评估结果不大于第二预设阈值，则确定该目标主机风险性评估不是高风险主机，重新返回步骤(2)评估下一台主机的安全风险。
[0129]
(5)根据上述两次评估过程确定高风险主机，将高风险主机所关联的评估数据进行存储到磁盘文件或其他存储设备中，可选的，可以将上述风险评估结果进行展示，可以设
置醒目标识高风险主机ip，同时给出处置建议。
[0130]
上述实施例中，对最终筛选出的高风险主机的重要信息进行展示和给出处理建议，能够提高风险评估分析的效率。
[0131]
应该理解的是，虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
[0132]
基于同样的发明构思，本技术实施例还提供了一种用于实现上述所涉及的风险评估方法的风险评估装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似，故下面所提供的一个或多个风险评估装置实施例中的具体限定可以参见上文中对于风险评估方法的限定，在此不再赘述。
[0133]
在一个实施例中，如图12所示，提供了一种风险评估装置1200，包括：获取模块1201、第一确定模块1202、第二确定模块1203和第三确定模块1204，其中：
[0134]
该获取模块1201，用于获取待评估的目标主机对应的目标安全事件集合，目标安全事件集合包括与目标主机相关的多个安全事件；
[0135]
该第一确定模块1202，用于根据目标安全事件集合中各安全事件的威胁等级以及在不同时段的发生频次确定目标主机的第一安全评估结果；
[0136]
该第二确定模块1203，用于在第一安全评估结果指示目标主机处于安全可疑状态的情况下，根据目标安全事件集合确定访问特征信息，并根据访问特征信息确定目标主机的第二安全评估结果，其中，访问特征信息用于表征目标主机的安全事件所涉及到的业务访问的特征；
[0137]
该第三确定模块1204，用于根据第二安全评估结果确定目标主机是否为高风险主机。
[0138]
在一个实施例中，该获取模块1201，具体用于获取初始安全事件集合，初始安全事件集合包括目标主机对应的多个安全事件；从初始安全事件集合中筛选重要程度大于预设阈值的安全事件，以得到目标安全事件集合。
[0139]
在一个实施例中，该获取模块1201，具体用于按照初始安全事件集合中各类型的安全事件的数量由大至小的顺序，对初始安全事件集合包括的安全事件类型进行排序；将排序前n个安全事件类型对应的安全事件作为重要程度大于预设阈值的安全事件，n为大于或等于1的正整数。
[0140]
在一个实施例中，该获取模块1201，具体用于若不同类型的安全事件的数量一致，则根据不同类型的安全事件对应的威胁等级确定排列顺序。
[0141]
在一个实施例中，该获取模块1201，具体用于若确定初始安全事件集合中的安全事件类型大于n，则执行按照初始安全事件集合中各类型的安全事件的数量由大至小的顺序，对初始安全事件集合包括的安全事件类型进行排序的步骤。
[0142]
在一个实施例中，该获取模块1201，还用于若确定初始安全事件集合中的安全事
件类型小于等于n，则将初始安全事件集合作为目标安全事件集合。
[0143]
在一个实施例中，第一安全评估结果包括第一安全评估值，不同时段的发生频次包括工作时段的第一发生频次以及非工作时段的第二发生频次，该第一确定模块1202，具体用于对于各安全事件，根据安全事件的威胁等级、第一发生频次以及第二发生频次确定安全事件的安全评估子值；根据各安全事件的安全评估子值的平均值，得到第一安全评估值。
[0144]
在一个实施例中，该第一确定模块1202，具体用于根据目标主机是否为资产，对各安全事件的安全评估子值的平均值进行修正处理，以得到第一安全评估值。
[0145]
在一个实施例中，该第二确定模块1203，具体用于基于目标安全事件集合确定在目标主机为发起访问的角色时的第一访问特征信息；基于目标安全事件集合确定在目标主机为被访问的角色时的第二访问特征信息；将第一访问信息和第二访问信息作为访问特征信息。
[0146]
在一个实施例中，该第二确定模块1203，具体用于从目标安全事件集合中筛选得到包括的源ip地址与目标主机的ip地址相同的第一安全事件；将第一安全事件的数量m1和第一安全事件包括的目的ip地址的数量n1作为第一访问特征信息。
[0147]
在一个实施例中，该第二确定模块1203，具体用于从目标安全事件集合中筛选得到包括的目的ip地址与目标主机的ip地址相同的第二安全事件；将第二安全事件的数量m2和第二安全事件包括的源ip地址的数量n2作为第二访问特征信息。
[0148]
在一个实施例中，该第二确定模块1203，具体用于根据第一安全事件的数量m1、第一安全事件包括的目的ip地址的数量n1、第二安全事件的数量m2以及第二安全事件包括的源ip地址的数量n2计算加权和；根据加权和以及第一安全评估结果，确定第二安全评估结果。
[0149]
上述风险评估装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
[0150]
在一个实施例中，提供了一种计算机设备，该计算机设备可以是终端，其内部结构图可以如图13所示。该计算机设备包括处理器、存储器、输入/输出接口、通信接口、显示单元和输入装置。其中，处理器、存储器和输入/输出接口通过系统总线连接，通信接口、显示单元和输入装置通过输入/输出接口连接到系统总线。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的输入/输出接口用于处理器与外部设备之间交换信息。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信，无线方式可通过wifi、移动蜂窝网络、nfc(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种风险评估方法。该计算机设备的显示单元用于形成视觉可见的画面，可以是显示屏、投影装置或虚拟现实成像装置。显示屏可以是液晶显示屏或者电子墨水显示屏，该计算机设备的输入装置可以是显示屏上覆盖的触摸层，也可以是计算机设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。
[0151]
本领域技术人员可以理解，图13中示出的结构，仅仅是与本技术方案相关的部分
结构的框图，并不构成对本技术方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
[0152]
在一个实施例中，提供了一种计算机设备，包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现以下步骤：获取待评估的目标主机对应的目标安全事件集合，目标安全事件集合包括与目标主机相关的多个安全事件；根据目标安全事件集合中各安全事件的威胁等级以及在不同时段的发生频次确定目标主机的第一安全评估结果；在第一安全评估结果指示目标主机处于安全可疑状态的情况下，根据目标安全事件集合确定访问特征信息，并根据访问特征信息确定目标主机的第二安全评估结果，其中，访问特征信息用于表征目标主机的安全事件所涉及到的业务访问的特征；根据第二安全评估结果确定目标主机是否为高风险主机。
[0153]
在一个实施例中，处理器执行计算机程序时还实现以下步骤：获取初始安全事件集合，初始安全事件集合包括目标主机对应的多个安全事件；从初始安全事件集合中筛选重要程度大于预设阈值的安全事件，以得到目标安全事件集合。
[0154]
在一个实施例中，处理器执行计算机程序时还实现以下步骤：按照初始安全事件集合中各类型的安全事件的数量由大至小的顺序，对初始安全事件集合包括的安全事件类型进行排序；将排序前n个安全事件类型对应的安全事件作为重要程度大于预设阈值的安全事件，n为大于或等于1的正整数。
[0155]
在一个实施例中，处理器执行计算机程序时还实现以下步骤：若不同类型的安全事件的数量一致，则根据不同类型的安全事件对应的威胁等级确定排列顺序。
[0156]
在一个实施例中，处理器执行计算机程序时还实现以下步骤：若确定初始安全事件集合中的安全事件类型大于n，则执行按照初始安全事件集合中各类型的安全事件的数量由大至小的顺序，对初始安全事件集合包括的安全事件类型进行排序的步骤。
[0157]
在一个实施例中，处理器执行计算机程序时还实现以下步骤：若确定初始安全事件集合中的安全事件类型小于等于n，则将初始安全事件集合作为目标安全事件集合。
[0158]
在一个实施例中，第一安全评估结果包括第一安全评估值，不同时段的发生频次包括工作时段的第一发生频次以及非工作时段的第二发生频次，处理器执行计算机程序时还实现以下步骤：对于各安全事件，根据安全事件的威胁等级、第一发生频次以及第二发生频次确定安全事件的安全评估子值；根据各安全事件的安全评估子值的平均值，得到第一安全评估值。
[0159]
在一个实施例中，处理器执行计算机程序时还实现以下步骤：根据目标主机是否为资产，对各安全事件的安全评估子值的平均值进行修正处理，以得到第一安全评估值。
[0160]
在一个实施例中，处理器执行计算机程序时还实现以下步骤：基于目标安全事件集合确定在目标主机为发起访问的角色时的第一访问特征信息；基于目标安全事件集合确定在目标主机为被访问的角色时的第二访问特征信息；将第一访问信息和第二访问信息作为访问特征信息。
[0161]
在一个实施例中，处理器执行计算机程序时还实现以下步骤：从目标安全事件集合中筛选得到包括的源ip地址与目标主机的ip地址相同的第一安全事件；将第一安全事件的数量m1和第一安全事件包括的目的ip地址的数量n1作为第一访问特征信息。
[0162]
在一个实施例中，处理器执行计算机程序时还实现以下步骤：从目标安全事件集
合中筛选得到包括的目的ip地址与目标主机的ip地址相同的第二安全事件；将第二安全事件的数量m2和第二安全事件包括的源ip地址的数量n2作为第二访问特征信息。
[0163]
在一个实施例中，处理器执行计算机程序时还实现以下步骤：根据第一安全事件的数量m1、第一安全事件包括的目的ip地址的数量n1、第二安全事件的数量m2以及第二安全事件包括的源ip地址的数量n2计算加权和；根据加权和以及第一安全评估结果，确定第二安全评估结果。
[0164]
在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现以下步骤：获取待评估的目标主机对应的目标安全事件集合，目标安全事件集合包括与目标主机相关的多个安全事件；根据目标安全事件集合中各安全事件的威胁等级以及在不同时段的发生频次确定目标主机的第一安全评估结果；在第一安全评估结果指示目标主机处于安全可疑状态的情况下，根据目标安全事件集合确定访问特征信息，并根据访问特征信息确定目标主机的第二安全评估结果，其中，访问特征信息用于表征目标主机的安全事件所涉及到的业务访问的特征；根据第二安全评估结果确定目标主机是否为高风险主机。
[0165]
在一个实施例中，计算机程序被处理器执行时还实现以下步骤：获取初始安全事件集合，初始安全事件集合包括目标主机对应的多个安全事件；从初始安全事件集合中筛选重要程度大于预设阈值的安全事件，以得到目标安全事件集合。
[0166]
在一个实施例中，计算机程序被处理器执行时还实现以下步骤：按照初始安全事件集合中各类型的安全事件的数量由大至小的顺序，对初始安全事件集合包括的安全事件类型进行排序；将排序前n个安全事件类型对应的安全事件作为重要程度大于预设阈值的安全事件，n为大于或等于1的正整数。
[0167]
在一个实施例中，计算机程序被处理器执行时还实现以下步骤：若不同类型的安全事件的数量一致，则根据不同类型的安全事件对应的威胁等级确定排列顺序。
[0168]
在一个实施例中，计算机程序被处理器执行时还实现以下步骤：若确定初始安全事件集合中的安全事件类型大于n，则执行按照初始安全事件集合中各类型的安全事件的数量由大至小的顺序，对初始安全事件集合包括的安全事件类型进行排序的步骤。
[0169]
在一个实施例中，计算机程序被处理器执行时还实现以下步骤：若确定初始安全事件集合中的安全事件类型小于等于n，则将初始安全事件集合作为目标安全事件集合。
[0170]
在一个实施例中，第一安全评估结果包括第一安全评估值，不同时段的发生频次包括工作时段的第一发生频次以及非工作时段的第二发生频次，计算机程序被处理器执行时还实现以下步骤：对于各安全事件，根据安全事件的威胁等级、第一发生频次以及第二发生频次确定安全事件的安全评估子值；根据各安全事件的安全评估子值的平均值，得到第一安全评估值。
[0171]
在一个实施例中，计算机程序被处理器执行时还实现以下步骤：根据目标主机是否为资产，对各安全事件的安全评估子值的平均值进行修正处理，以得到第一安全评估值。
[0172]
在一个实施例中，计算机程序被处理器执行时还实现以下步骤：基于目标安全事件集合确定在目标主机为发起访问的角色时的第一访问特征信息；基于目标安全事件集合确定在目标主机为被访问的角色时的第二访问特征信息；将第一访问信息和第二访问信息作为访问特征信息。
[0173]
在一个实施例中，计算机程序被处理器执行时还实现以下步骤：从目标安全事件集合中筛选得到包括的源ip地址与目标主机的ip地址相同的第一安全事件；将第一安全事件的数量m1和第一安全事件包括的目的ip地址的数量n1作为第一访问特征信息。
[0174]
在一个实施例中，计算机程序被处理器执行时还实现以下步骤：从目标安全事件集合中筛选得到包括的目的ip地址与目标主机的ip地址相同的第二安全事件；将第二安全事件的数量m2和第二安全事件包括的源ip地址的数量n2作为第二访问特征信息。
[0175]
在一个实施例中，计算机程序被处理器执行时还实现以下步骤：根据第一安全事件的数量m1、第一安全事件包括的目的ip地址的数量n1、第二安全事件的数量m2以及第二安全事件包括的源ip地址的数量n2计算加权和；根据加权和以及第一安全评估结果，确定第二安全评估结果。
[0176]
在一个实施例中，提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现以下步骤：获取待评估的目标主机对应的目标安全事件集合，目标安全事件集合包括与目标主机相关的多个安全事件；根据目标安全事件集合中各安全事件的威胁等级以及在不同时段的发生频次确定目标主机的第一安全评估结果；在第一安全评估结果指示目标主机处于安全可疑状态的情况下，根据目标安全事件集合确定访问特征信息，并根据访问特征信息确定目标主机的第二安全评估结果，其中，访问特征信息用于表征目标主机的安全事件所涉及到的业务访问的特征；根据第二安全评估结果确定目标主机是否为高风险主机。
[0177]
在一个实施例中，计算机程序被处理器执行时还实现以下步骤：获取初始安全事件集合，初始安全事件集合包括目标主机对应的多个安全事件；从初始安全事件集合中筛选重要程度大于预设阈值的安全事件，以得到目标安全事件集合。
[0178]
在一个实施例中，计算机程序被处理器执行时还实现以下步骤：按照初始安全事件集合中各类型的安全事件的数量由大至小的顺序，对初始安全事件集合包括的安全事件类型进行排序；将排序前n个安全事件类型对应的安全事件作为重要程度大于预设阈值的安全事件，n为大于或等于1的正整数。
[0179]
在一个实施例中，计算机程序被处理器执行时还实现以下步骤：若不同类型的安全事件的数量一致，则根据不同类型的安全事件对应的威胁等级确定排列顺序。
[0180]
在一个实施例中，计算机程序被处理器执行时还实现以下步骤：若确定初始安全事件集合中的安全事件类型大于n，则执行按照初始安全事件集合中各类型的安全事件的数量由大至小的顺序，对初始安全事件集合包括的安全事件类型进行排序的步骤。
[0181]
在一个实施例中，计算机程序被处理器执行时还实现以下步骤：若确定初始安全事件集合中的安全事件类型小于等于n，则将初始安全事件集合作为目标安全事件集合。
[0182]
在一个实施例中，第一安全评估结果包括第一安全评估值，不同时段的发生频次包括工作时段的第一发生频次以及非工作时段的第二发生频次，计算机程序被处理器执行时还实现以下步骤：对于各安全事件，根据安全事件的威胁等级、第一发生频次以及第二发生频次确定安全事件的安全评估子值；根据各安全事件的安全评估子值的平均值，得到第一安全评估值。
[0183]
在一个实施例中，计算机程序被处理器执行时还实现以下步骤：根据目标主机是否为资产，对各安全事件的安全评估子值的平均值进行修正处理，以得到第一安全评估值。
[0184]
在一个实施例中，计算机程序被处理器执行时还实现以下步骤：基于目标安全事件集合确定在目标主机为发起访问的角色时的第一访问特征信息；基于目标安全事件集合确定在目标主机为被访问的角色时的第二访问特征信息；将第一访问信息和第二访问信息作为访问特征信息。
[0185]
在一个实施例中，计算机程序被处理器执行时还实现以下步骤：从目标安全事件集合中筛选得到包括的源ip地址与目标主机的ip地址相同的第一安全事件；将第一安全事件的数量m1和第一安全事件包括的目的ip地址的数量n1作为第一访问特征信息。
[0186]
在一个实施例中，计算机程序被处理器执行时还实现以下步骤：从目标安全事件集合中筛选得到包括的目的ip地址与目标主机的ip地址相同的第二安全事件；将第二安全事件的数量m2和第二安全事件包括的源ip地址的数量n2作为第二访问特征信息。
[0187]
在一个实施例中，计算机程序被处理器执行时还实现以下步骤：根据第一安全事件的数量m1、第一安全事件包括的目的ip地址的数量n1、第二安全事件的数量m2以及第二安全事件包括的源ip地址的数量n2计算加权和；根据加权和以及第一安全评估结果，确定第二安全评估结果。
[0188]
需要说明的是，本技术所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等)，均为经用户授权或者经过各方充分授权的信息和数据，且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准。
[0189]
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(read-only memory，rom)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(reram)、磁变存储器(magnetoresistive random access memory，mram)、铁电存储器(ferroelectric random access memory，fram)、相变存储器(phase change memory，pcm)、石墨烯存储器等。易失性存储器可包括随机存取存储器(random access memory，ram)或外部高速缓冲存储器等。作为说明而非局限，ram可以是多种形式，比如静态随机存取存储器(static random access memory，sram)或动态随机存取存储器(dynamic random access memory，dram)等。本技术所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等，不限于此。本技术所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等，不限于此。
[0190]
以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
[0191]
以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本技术专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保
护范围。因此，本技术的保护范围应以所附权利要求为准。

技术特征：
1.一种风险评估方法，其特征在于，所述方法包括：获取待评估的目标主机对应的目标安全事件集合，所述目标安全事件集合包括与所述目标主机相关的多个安全事件；根据所述目标安全事件集合中各安全事件的威胁等级以及在不同时段的发生频次确定所述目标主机的第一安全评估结果；在所述第一安全评估结果指示所述目标主机处于安全可疑状态的情况下，根据所述目标安全事件集合确定访问特征信息，并根据所述访问特征信息确定所述目标主机的第二安全评估结果，其中，所述访问特征信息用于表征所述目标主机的安全事件所涉及到的业务访问的特征；根据所述第二安全评估结果确定所述目标主机是否为高风险主机。2.根据权利要求1所述的方法，其特征在于，所述获取待评估的目标主机对应的目标安全事件集合，包括：获取初始安全事件集合，所述初始安全事件集合包括所述目标主机对应的多个安全事件；从所述初始安全事件集合中筛选重要程度大于预设阈值的安全事件，以得到所述目标安全事件集合。3.根据权利要求2所述的方法，其特征在于，所述从所述初始安全事件集合中筛选重要程度大于预设阈值的安全事件，包括：按照所述初始安全事件集合中各类型的安全事件的数量由大至小的顺序，对所述初始安全事件集合包括的安全事件类型进行排序；将排序前n个安全事件类型对应的安全事件作为重要程度大于预设阈值的安全事件，n为大于或等于1的正整数。4.根据权利要求3所述的方法，其特征在于，所述按照所述初始安全事件集合中各类型的安全事件的数量由大至小的顺序，对所述初始安全事件集合包括的安全事件类型进行排序，包括：若不同类型的安全事件的数量一致，则根据所述不同类型的安全事件对应的威胁等级确定排列顺序。5.根据权利要求3所述的方法，其特征在于，所述按照所述初始安全事件集合中各类型的安全事件的数量由大至小的顺序，对所述初始安全事件集合包括的安全事件类型进行排序，包括：若确定所述初始安全事件集合中的安全事件类型大于n，则执行按照所述初始安全事件集合中各类型的安全事件的数量由大至小的顺序，对所述初始安全事件集合包括的安全事件类型进行排序的步骤。6.根据权利要求3所述的方法，其特征在于，所述方法还包括：若确定所述初始安全事件集合中的安全事件类型小于等于n，则将所述初始安全事件集合作为所述目标安全事件集合。7.根据权利要求1所述的方法，其特征在于，所述第一安全评估结果包括第一安全评估值，所述不同时段的发生频次包括工作时段的第一发生频次以及非工作时段的第二发生频次，所述根据所述目标安全事件集合中各安全事件的威胁等级以及在不同时段的发生频次
确定所述目标主机的第一安全评估结果，包括：对于各所述安全事件，根据所述安全事件的威胁等级、所述第一发生频次以及所述第二发生频次确定所述安全事件的安全评估子值；根据各所述安全事件的安全评估子值的平均值，得到所述第一安全评估值。8.根据权利要求7所述的方法，其特征在于，所述根据各所述安全事件的安全评估子值的平均值，得到所述第一安全评估值，包括：根据所述目标主机是否为资产，对各所述安全事件的安全评估子值的平均值进行修正处理，以得到所述第一安全评估值。9.根据权利要求1所述的方法，其特征在于，所述根据所述目标安全事件集合确定访问特征信息，包括：基于所述目标安全事件集合确定在所述目标主机为发起访问的角色时的第一访问特征信息；基于所述目标安全事件集合确定在所述目标主机为被访问的角色时的第二访问特征信息；将所述第一访问信息和所述第二访问信息作为所述访问特征信息。10.根据权利要求9所述的方法，其特征在于，所述基于所述目标安全事件集合确定在所述目标主机为发起访问的角色时的第一访问特征信息，包括：从所述目标安全事件集合中筛选得到包括的源ip地址与所述目标主机的ip地址相同的第一安全事件；将所述第一安全事件的数量m1和所述第一安全事件包括的目的ip地址的数量n1作为所述第一访问特征信息。11.根据权利要求10所述的方法，其特征在于，所述基于所述目标安全事件集合确定在所述目标主机为被访问的角色时的第二访问特征信息，包括：从所述目标安全事件集合中筛选得到包括的目的ip地址与所述目标主机的ip地址相同的第二安全事件；将所述第二安全事件的数量m2和所述第二安全事件包括的源ip地址的数量n2作为所述第二访问特征信息。12.根据权利要求11所述的方法，其特征在于，所述根据所述访问特征信息确定所述目标主机的第二安全评估结果，包括：根据所述第一安全事件的数量m1、所述第一安全事件包括的目的ip地址的数量n1、所述第二安全事件的数量m2以及所述第二安全事件包括的源ip地址的数量n2计算加权和；根据所述加权和以及所述第一安全评估结果，确定所述第二安全评估结果。13.一种风险评估装置，其特征在于，所述装置包括：获取模块，用于获取待评估的目标主机对应的目标安全事件集合，所述目标安全事件集合包括与所述目标主机相关的多个安全事件；第一确定模块，用于根据所述目标安全事件集合中各安全事件的威胁等级以及在不同时段的发生频次确定所述目标主机的第一安全评估结果；第二确定模块，用于在所述第一安全评估结果指示所述目标主机处于安全可疑状态的情况下，根据所述目标安全事件集合确定访问特征信息，并根据所述访问特征信息确定所
述目标主机的第二安全评估结果，其中，所述访问特征信息用于表征所述目标主机的安全事件所涉及到的业务访问的特征；第三确定模块，用于根据所述第二安全评估结果确定所述目标主机是否为高风险主机。14.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至12中任一项所述的方法的步骤。15.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至12中任一项所述的方法的步骤。16.一种计算机程序产品，包括计算机程序，其特征在于，该计算机程序被处理器执行时实现权利要求1至12中任一项所述的方法的步骤。

技术总结
本申请涉及一种风险评估方法、装置、设备、存储介质和程序产品。所述方法包括：首先，获取待评估的目标主机对应的包括与目标主机相关的多个安全事件的目标安全事件集合，然后，根据目标安全事件集合中各安全事件的威胁等级以及在不同时段的发生频次确定目标主机的第一安全评估结果，接着，在第一安全评估结果指示目标主机处于安全可疑状态的情况下，根据目标安全事件集合确定用于表征目标主机的安全事件所涉及到的业务访问的特征访问特征信息，然后根据访问特征信息确定目标主机的第二安全评估结果，最后，根据第二安全评估结果确定目标主机是否为高风险主机。采用本方法能够提高目标主机风险评估的准确性。高目标主机风险评估的准确性。高目标主机风险评估的准确性。


技术研发人员：朱周平
受保护的技术使用者：中国电信股份有限公司
技术研发日：2023.07.07
技术公布日：2023/9/20