(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211073004.3 (22)申请日 2022.09.02 (71)申请人 中国电信股份有限公司 地址 100033 北京市西城区金融大街31号 (72)发明人 卢梦予　汪来富　谢泳　邓博仁　 (74)专利代理 机构 北京律智知识产权代理有限 公司 11438 专利代理师 孙宝海 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/142(2022.01) (54)发明名称 网络安全风险评估方法、 装置、 电子设备及 存储介质 (57)摘要 本公开提供了一种网络安全风险评估 方法、 装置、 电子设备及存储介质， 涉及网络安全技术 领域。 该方法包括， 通过获取多个省份安全事件 信息， 确定关键数据， 关键数据包括多个IP地址、 规则信息、 省份信息、 命中次数信息、 响应码信 息； 根据关键数据， 确定各个IP地址对应的规则 信息的集合、 省份信息的集合、 命中次数信息的 集合和响应码信息的集合； 根据预设的排序算法 与各个IP地址对应的规则信息的集合、 省份信息 的集合、 命中次数信息的集合和响应码信息的集 合， 确定IP地址的风险排序树。 本公开根据各个 IP的规则类别、 所属省份、 攻击次数、 攻击响应码 这四个特征， 利用预设的排序算法， 建立IP地址 的风险排序树， 能够准确评估网络安全风险。 权利要求书2页 说明书12页 附图6页 CN 115412358 A 2022.11.29 CN 115412358 A 1.一种网络安全风险评估方法， 其特 征在于， 包括： 获取多个省份安全事件信息， 确定关键数据， 所述关键数据包括多个IP地址、 规则信 息、 省份信息、 命中次数信息、 响应码信息； 根据所述关键数据， 确定各个IP地址对应的规则信 息的集合、 省份信息的集合、 命中次 数信息的集 合和响应码信息的集 合； 根据预设的排序算法与各个IP地址对应的规则信息的集合、 省份信息的集合、 命中次 数信息的集 合和响应码信息的集 合， 确定IP地址的风险排序树。 2.根据权利要求1所述的网络安全风险评估方法， 其特征在于， 根据所述关键数据， 确 定各个IP地址对应的规则信息的集合、 省份信息的集合、 命中次数信息的集合和响应码信 息的集合包括： 根据所述关键数据， 确定各个IP地址对应的规则信 息的集合， 其中， 所述规则信息的集 合包括规则种类信息及所述 规则种类信息对应的数量 值； 根据所述关键数据， 确定各个IP地址对应的省份信 息的集合， 其中， 所述省份信息的集 合包括各个省份数及所述各个省份数对应的数量 值； 根据所述关键数据， 确定各个IP地址对应的命中次数信 息， 其中， 所述命中次数信息包 括事件命中次数； 根据所述关键数据， 确定各个IP地址对应的响应码信息的集合， 其中， 所述响应码信息 的集合包括非成功的响应码的种类数量和各非成功的响应码对应数量 值。 3.根据权利要求1所述的网络安全风险评估方法， 其特征在于， 预设的排序算法采用如 下公式进行计算： Δr＝r1‑r2； Δp＝p1‑p2； Δc＝c1‑c2； ΔC＝C1‑C2； f(D1,D2)＝Δr+(I(Δr)2‑1)(Δp+I(Δp)2‑1)(Δc+(I(Δc)2‑1)ΔC)； 其中， r1表示第一IP地址对应的规则信息的数量值， r2表示第二IP 地址对应的规则信息 的数量值， Δr表示规则信息的数量差值， p1表示第一IP地址对应的省份信息的数量值， p2表 示第二IP地址对应的省份信息的数量值， Δp表示省份信息的数量差值， c1表示第一IP地址 对应的命中次数信息的命中次数， c2表示第二IP地址对应的命中次数信息的命中次数， Δc 表示命中次数信息的命中 次数差值， C1表示第一IP地址对 应的响应码信息的数量值， C2表示 第二IP地址对应的响应码信息的数量值， ΔC表示响应码信 息的数量差值， x表示差值， D1表 示第一IP地址， D2表示第二IP地址， 若f(D1,D2)＞0， 则第一IP地址的第一风险值大于第二IP 地址的第一风险值； 若f(D1,D2)＜0， 则第一IP地址的第一风险值小于第二IP地址的第一风 险值， 若f(D1,D2)＝0， 则第一 IP地址的第一 风险值等于第二 IP地址的第一 风险值。 4.根据权利要求3所述的网络安全风险评估方法， 其特 征在于， 所述方法还 包括：权　利　要　求　书 1/2 页 2 CN 115412358 A 2当第一IP地址的第一风险值等于第二IP地址的第一风险值时， 根据对IP地址对应的规 则信息的集合、 省份信息的集合、 命中次数信息的集合和响应码信息的集合分别预设的权 重信息， 对IP地址进行第二 风险值计算。 5.根据权利要求4所述的网络安全风险评估方法， 其特征在于， 采用如下公式， 对IP地 址进行第二 风险值计算： r1+r2+...+ri＝1； p1+p2+...+pi＝1； C1+C2+...+Ci＝1； s1+s2+s3+s4＝1； C∈N+； 其中， l1表示规则信息的集合， r1表示第一规则的预设权重， r2表示第二规则的预设权 重， ri表示第i规则的预设权重， l2表示省份信息的集合， p1表示第一省份的预设权重， p2表 示第二省份的预设权重， pi表示第i省份的预设权重， l3表示响应码信息的集合， C1表示第 一响应码的预设权重， C2表 示第二响应码的预设权重， Ci表 示第i响应码的预设权重， c表 示 命中次数信息， N +表示正整数， s1表示规则信息的预设权重， s2表示省份信息的预设权重， s3 表示命中次数信息的预设权重， s4表示响应码信息的预设权重， risk_value2表示第二风险 值。 6.根据权利要求 4或5所述的网络安全风险评估方法， 其特 征在于， 所述方法还 包括： 根据各个IP地址的第二 风险值， 确定IP地址的风险排序树。 7.根据权利要求1所述的网络安全风险评估方法， 其特征在于， 在获取多个省份安全事 件信息， 确定关键数据之前， 所述方法还 包括： 根据预设周期， 从多个省份的存 储数据库中， 获取多个省份安全 事件信息。 8.一种网络安全风险评估 装置， 其特 征在于， 包括： 关键数据确定模块， 用于获取多个省份安全事件信息， 确定关键数据， 所述关键数据包 括多个IP地址、 规则 信息、 省份信息、 命中次数信息、 响应码信息； 信息集合确定模块， 用于根据所述关键数据， 确定各个IP地址对应的规则信息的集合、 省份信息的集 合、 命中次数信息的集 合和响应码信息的集 合； 风险排序树确定模块， 用于根据预设的排序算法与各个IP地址对应的规则信息的集 合、 省份信息的集合、 命中次数信息的集合和响应码信息的集合， 确定IP地址的风险排序 树。 9.一种电子设备， 其特 征在于， 包括： 处理器； 以及 存储器， 用于存 储所述处 理器的可 执行指令； 其中， 所述处理器配置为经由执行所述可执行指令来执行权利要求1～7中任意一项所 述网络安全风险评估方法。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序 被处理器执行时实现权利要求1～7中任意 一项所述的网络安全风险评估方法。权　利　要　求　书 2/2 页 3 CN 115412358 A 3