(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111569497.5 (22)申请日 2021.12.21 (71)申请人 北京永信至诚科技股份有限公司 地址 100094 北京市海淀区丰豪东路9号院 6号楼103 (72)发明人 蔡晶晶　陈俊　张凯　程磊　 (74)专利代理 机构 北京天方智力知识产权代理 事务所(普通 合伙) 11719 代理人 路远 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种网络安全蜜罐系统指标的评估方法及 装置 (57)摘要 本发明提供了一种网络安全蜜罐系统指标 的评估方法及装置， 其中方法包括： 获取入侵者 的攻击数据， 其中， 攻击数据包括： 入侵者IP、 入 侵时间、 行为类别、 危害等级和详情， 入侵时间包 括监测到入侵者IP的攻击 行为的时间点， 以及攻 击行为间隔的时间区间， 危害等级按攻击行为类 别分为低危、 中危和高危； 根据入侵者的攻击数 据， 计算攻击者吸引程度指数、 捕获行为程度指 数、 攻击者停滞时间指数、 攻击风险程度指数； 根 据攻击者吸引程度指数、 捕获行为程度指数、 攻 击者停滞时间指数、 攻击风险程度指数， 生成评 估结果， 并展示评估结果。 权利要求书3页 说明书9页 附图2页 CN 114285623 A 2022.04.05 CN 114285623 A 1.一种网络安全蜜罐系统指标的评估方法， 其特 征在于， 包括： 获取入侵者的攻击数据， 其中， 所述攻击数据包括： 入侵者IP、 入侵时间、 行为类别、 危 害等级和详情， 所述入侵时间包括监测到所述入侵者IP的攻击行为的时间点， 以及攻击行 为间隔的时间区间， 所述 危害等级 按攻击行为类别分为低危、 中危和高危； 根据所述入侵者的攻击数据， 计算攻击者吸引程度指数、 捕获行为程度指数、 攻击者停 滞时间指数、 攻击风险程度指数； 根据所述攻击者吸引程度指数、 捕 获行为程度指数、 攻击者停滞时间指数、 攻击风险程 度指数， 生成评估结果， 并展示所述评估结果。 2.根据权利要求1所述的方法， 其特 征在于， 所述计算 攻击者吸引程度指数包括： 通过如下计算公式计算所述 攻击者吸引程度指数： 其中， M表示统计周期 内IP访问总量， N表示统计周期 内重复出现的IP访问总量， Ft为重复访问因子； xtmax表示在保证有值的情况下统计 日期取最 大值时的重复访问IP量， μ为均值， σ 为标准差， t为时间周期长度， ki为重复i天时的IP访问 量， 其中， i≥2， i∈N。 3.根据权利要求1所述的方法， 其特 征在于， 所述计算捕获行为 程度指数包括： 所述捕获行为程度指数包括： 攻击行为平均类别、 攻击行为平均总量、 攻击行为集中程 度、 高危攻击行为频率； 计算所述 攻击行为平均类别包括： 计算 监测到的攻击行为类别量均值； 计算所述 攻击行为平均总量包括： 计算 监测到的攻击行为总量均值； 计算所述攻击行为集中程度包括： 确定监测到的不同危险等级类别下频数最高的攻击 行为类， 计算各攻击行为在该等级 下的集中程度， 计算 公式为： 其中， Pj 为单日某一危害等级下某一攻击行为量， 该类危害等级下共n类攻击行为指标， Pmax， Pmin分 别为发生 量最高值和最低值； 计算所述高危攻击行为频率包括： 计算周期内风险等级确定为高危等级的攻击类总频 率占攻击总量的比率； 通过如下公式计算所述捕获行为 程度指数： 其中， A， P分别为预设时间段内攻击类别统计量和攻 击频数总量， 分别为统计周期内攻击类别及攻击频 数均值。 4.根据权利要求1所述的方法， 其特 征在于， 所述计算 攻击者停滞时间指数包括： 所述攻击者停滞时间指数包括： 预设时长的IP被滞留时间， 其中， 所述预设时长包括一 天或者连续多天， 同一IP滞留时间为首次攻击行为时间点和最后一次攻击行为记录点之间 滞留时间之和；权　利　要　求　书 1/3 页 2 CN 114285623 A 2计算所有IP被滞留时间总量， 其中， 连续多天被滞留时间为所有连续多天访 问蜜罐的 IP在连续时长内被滞留时间总量。 5.根据权利要求1所述的方法， 其特 征在于， 所述计算所述 攻击风险程度指数包括： 所述攻击风险程度指数包括： 风险级别总量、 高危 风险量； 计算所述 风险级别总量包括： 获取统计周期内发生的所有攻击行为类别风险级别统计值， 通过如下方式计算风险级 别总量指数： 其中 为统计周期内第i天时攻击类别j的发生量， q为对应危险等 级权重， P为统计周期内攻击行为发生总量； 计算所述高危风险量包括： 计算统计周期内发生高危攻击数量占攻击类别总量的比 率。 6.一种网络安全蜜罐系统指标的评估 装置， 其特 征在于， 包括： 数据采集模块， 用于获取入侵者的攻击数据， 其中， 所述攻击数据包括： 入侵者IP、 入侵 时间、 行为类别、 危害等级和详情， 所述入侵时间包括监测到所述入侵者IP的攻击行为的时 间点， 以及攻击行为间隔的时间区间， 所述危害等级按攻击行为类别分为低危、 中危和高 危； 数据分析模块， 用于根据 所述入侵者的攻击数据， 计算攻击者吸引程度指数、 捕获行为 程度指数、 攻击者停滞时间指数、 攻击风险程度指数； 数据展示模块， 用于根据 所述攻击者吸引程度指数、 捕 获行为程度指数、 攻击者停滞时 间指数、 攻击风险程度指数， 生成评估结果， 并展示所述评估结果。 7.根据权利要求6所述的装置， 其特征在于， 所述数据分析模块通过如下方式计算攻击 者吸引程度指数： 通过如下计算公式计算所述 攻击者吸引程度指数： 其中， M表示统计周期内IP访问总量， N表示统计周期 内重复出现的IP访问总量， Ft为重复访问因子； xtmax表示在保证有值的情况下统计 日期取最 大值时的重复访问IP量， μ为均值， σ 为标准差， t为时间周期长度， ki为重复i天时的IP访问 量， 其中， i≥2， i∈N。 8.根据权利要求6所述的装置， 其特征在于， 所述数据分析模块通过如下方式计算捕 获 行为程度指数： 所述捕获行为程度指数包括： 攻击行为平均类别、 攻击行为平均总量、 攻击行为集中程 度、 高危攻击行为频率； 计算所述 攻击行为平均类别包括： 计算 监测到的攻击行为类别量均值； 计算所述 攻击行为平均总量包括： 计算 监测到的攻击行为总量均值； 计算所述攻击行为集中程度包括： 确定监测到的不同危险等级类别下频数最高的攻击权　利　要　求　书 2/3 页 3 CN 114285623 A 3