(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210956427.3 (22)申请日 2022.08.10 (71)申请人 重庆电子 工程职业学院 地址 400000 重庆市沙坪坝区陈家桥 镇 (72)发明人 叶坤　李学俊　 (74)专利代理 机构 成都聚蓉众享知识产权代理 有限公司 512 91 专利代理师 孔静 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种网络安全 事件分析装置和方法 (57)摘要 本发明公开了一种网络安全事件分析装置 和方法， 属于网络安全技术领域， 目的在于提供 一种网络安全事件分析装置和方法， 解决现有技 术对网络威胁事件响应不及时、 处理不精准的问 题。 其通过构建网络安全事件分析模型， 基于威 胁分级模块、 威胁定位模块、 威胁预警模块、 威胁 处理模块、 统计模块， 对出现的网络威胁进行快 速响应、 精准定位， 并采取类型识别、 类型检索、 特征扫描的手段， 对出现的网络威胁进行分级， 根据不同的威胁等级进行预警提示和应急处理， 从而实现网络安全事件的快速响应和自适应精 准处理， 并通过云端数据库共享所受网络威胁的 相关信息， 提高后续响应效率和处理精确度。 本 发明适用于网络安全 事件分析装置和方法。 权利要求书1页 说明书4页 附图2页 CN 115314304 A 2022.11.08 CN 115314304 A 1.一种网络安全事件分析装置， 其特征在于， 包括威胁分级模块、 威胁定位模块、 威胁 预警模块、 威胁处 理模块、 统计模块； 所述威胁定位模块， 用于对网络安全系统所受网络威胁位置进行定位； 所述威胁分级模块， 用于对定位到的网络威胁进行类型识别、 检索、 特征扫描， 并基于 识别结果和检索结果， 确定受到的网络威胁最终威胁等级； 所述威胁预警模块， 基于受到的网络威胁最终威胁等级， 用于发出 预警提示； 所述威胁处理模块， 基于网络威胁的最终威胁等级， 用于对 网络威胁进行隔离处理、 备 份处理、 杀毒处 理、 上报预警信息处 理； 所述统计模块， 用于生成基于网络威胁的网络安全 事件分析报告。 2.一种网络安全 事件分析方法， 其特 征在于， 包括以下步骤： (1)构建网络安全事件分析模型， 网络安全事件分析模型包括威胁分级模块、 威胁定位 模块、 威胁预警模块、 威胁处 理模块、 统计模块； (2)构建训练集， 训练网络安全事件分析模型， 基于网络威胁样本数据集， 从网络威胁 样本数据集获取到目标网络威胁样本， 并将目标网络威胁样本 输入到训练集中； (3)威胁定位模块对目标网络威胁样本进行响应， 并对其在网络安全系统中所处位置 进行定位； (4)威胁分级模块对定位到的目标网络威胁样本类型进行识别， 并对训练集进行检索， 若在训练集中检索到相似类型的网络威胁样本， 则将目标网络威胁样本归入检索到的相似 类型的网络威胁样本所 处类别目录中， 目标网络威胁样本根据所 处类别目录获取对应的初 始威胁等级； 若在训练集中未检索到相似类型 的网络威胁样本， 则基于目标网络威胁样本 构建新类别目录， 并标记初始威胁等级为未知； (5)威胁分级模块基于云端大数据威胁扫描模块， 对目标网络威胁样本进行威胁特征 扫描， 对扫描出 的威胁特征与云端数据库进行特征关联， 确定目标网络威胁样本的最终威 胁等级； (6)威胁预警模块 根据目标网络威胁样本的最终威胁等级， 发出 预警提示； (7)威胁处 理模块根据预设条件 对目标网络威胁样本进行处 理； (8)统计模块 生成基于目标网络威胁样本的网络安全 事件分析报告。 3.按照权利要求2所述的一种 网络安全事件分析方法， 其特征在于， 所述步骤(6)中的 预警提示的最终威胁等级分为 一级威胁、 二级威胁、 三级威胁、 中毒威胁。 4.按照权利要求3所述的一种网络安全事件分析方法， 其特征在于， 所述步骤(7)中， 威 胁处理模块的具体处 理步骤为： 对最终威胁等级为一级威胁和二级威胁的目标网络威胁样本添加进网络安全系统中 的隔离区； 对最终威胁等级为 三级威胁的目标网络威胁样本进行 杀毒处理， 并添加进备份区； 对最终威胁等级为中毒威胁的目标网络威胁样本进行杀毒处理， 并上传预警信 息到云 端数据库。 5.按照权利要求2所述的一种网络安全事件分析方法， 其特征在于， 所述步骤(8)中， 网 络安全事件分析报告包括威胁类型报告、 最 终威胁等级报告、 威胁入侵时间报告、 威胁特征 报告、 威胁特 征攻击方式报告。权　利　要　求　书 1/1 页 2 CN 115314304 A 2一种网络安全事件分析装 置和方法 技术领域 [0001]本发明属于网络安全技 术领域， 具体涉及一种网络安全 事件分析装置和方法。 背景技术 [0002]网络安全事件是指影响计算机系统与网络安全的不正当行为， 网络安全事件一般 在很短的时间内产生， 并且常常引起巨大的损失。 因此， 对于网络安全事件的处理需要响应 迅速、 处理精准的特点， 能够针对不同威胁程度的网络威胁事 件启动对应的安全应急预案 。 [0003]目前网络安全事件分析技术， 主要是对受到网络威胁攻击后的设备进行调查， 人 工查看被攻击设备 的日志， 仅能获取网络威胁攻击时间等简单信息， 没有形成系统化的分 析模式， 无法达 到现阶段针对网络安全 事件响应迅速、 处 理精准的需求。 发明内容 [0004]本发明的目的在于： 提供一种网络安全事件分析装置和方法， 解决现有技术对网 络威胁事 件响应不及时、 处 理不精准的问题。 [0005]本发明采用的技 术方案如下： [0006]一种网络安全事件分析装置， 包括威胁分级模块、 威胁定位模块、 威胁预警模块、 威胁处理模块、 统计模块； [0007]所述威胁定位模块， 用于对网络安全系统所受网络威胁位置进行定位； [0008]所述威胁分级模块， 用于对定位到的网络威胁进行类型识别、 检索、 特征扫描， 并 基于识别结果和检索结果， 确定受到的网络威胁最终威胁等级； [0009]所述威胁预警模块， 基于受到的网络威胁最终威胁等级， 用于发出 预警提示； [0010]所述威胁处理模块， 基于网络威胁 的最终威胁等级， 用于对网络威胁进行隔离处 理、 备份处 理、 杀毒处 理、 上报预警信息处 理； [0011]所述统计模块， 用于生成基于网络威胁的网络安全 事件分析报告。 [0012]一种网络安全 事件分析方法， 包括以下步骤： [0013](1)构建网络安全事件分析模型， 网络安全事件分析模型包括威胁分级模块、 威胁 定位模块、 威胁预警模块、 威胁处 理模块、 统计模块； [0014](2)构建训练集， 训练网络安全事件分析模型， 基于网络威胁样本数据集， 从网络 威胁样本数据集获取到目标网络威胁样本， 并将目标网络威胁样本 输入到训练集中； [0015](3)威胁定位模块对 目标网络威胁样本进行响应， 并对其在网络安全系统中所处 位置进行定位； [0016](4)威胁分级模块对定位到的目标网络威胁样本类型进行识别， 并对训练集进行 检索， 若在训练集中检索到相似类型 的网络威胁样本， 则将目标网络威胁样本归入检索到 的相似类型的网络威胁样本所 处类别目录中， 目标网络威胁样本根据所处类别目录获取对 应的初始威胁等级； 若在训练集中未检索到相似类型 的网络威胁样本， 则基于目标网络威 胁样本构建新类别目录， 并标记初始威胁等级为未知；说　明　书 1/4 页 3 CN 115314304 A 3