(19)国家知识产权局(12)发明专利申请(10)申请公布号CN114915491A(43)申请公布日2022.08.16(21)申请号202210696289.X(22)申请日2022.06.20(71)申请人北京猎鹰安全科技有限公司地址100041北京市石景山区实兴大街30号院3号楼2层A-0003房间(72)发明人关成雷(74)专利代理机构北京康盛知识产权代理有限公司11331专利代理师李欣芮(51)Int.Cl.H04L9/40(2022.01)权利要求书2页说明书4页附图2页(54)发明名称一种网络终端安全状态的评估方法、装置及存储介质(57)摘要本发明提出一种网络终端安全状态的评估方法、装置及存储介质，统计一段时间范围内已知和未知文件发生的相关行为，与全网文件的相关行为中位数进行对比，以此来判断该事件是单次偶发还是相关偶发事件，并根据时间权重算法，对相关终端安全状态进行评估，能够有效对长期潜伏的未知文件进行安全评估，有效降低了企业网络安全风险。本发明同时还提供一种网络终端安全状态的评估装置和计算机可读存储介质，均具有上述有益效果。CN114915491ACN114915491A权利要求书1/2页1.一种网络终端安全状态的评估方法，其特征在于，包括以下步骤：采集第一时间段内网络终端已知文件、未知文件的数量及所述文件相关行为数据，并分类存储；根据所述行为发生时间的远近对所述行为赋予时间权重；结合所述时间权重，计算终端m中总文件行为评分Am与所述未知文件的行为评分xm比值的中位数Med：xm＝at1pt1+at2pt2+…+atwptwAm＝(at1pt1+at2pt2+…+atwptw)+(bt1pt1+bt2pt2+…+btwptw)式中：a为所述终端发生的未知行为数量；b为所述终端发生的已知行为数量；median()表示求中位数，下标1‑n表示所述终端编号，t1‑tw表示所述行为发生的时间点编号；计算所述终端总文件行为评分Am与未知文件行为评分xm的比值，与所述中位数Med进行比较：式中：Em为终端的健康指标；当Em小于第一阈值时，所述终端判断为健康状态；当Em大于第一阈值时，则计算危险指数Fm：式中：max()表示求最大值；当Fm大于等于第二阈值时，则所述终端判定为危险状态；当Fm小于第二阈值但大于第三阈值时，则所述终端判定为潜在风险状态；当Fm小于等于第三阈值时，则所述终端判定为较健康状态。2.根据权利要求1所述的网络终端安全状态的评估方法，其特征在于，所述行为包括：端口访问行为、文件读取行为、外联行为、文件下载行为、终止进程行为。3.根据权利要求1所述的网络终端安全状态的评估方法，其特征在于，所述权重取值在0至1之间，距离所述行为发生时间越近，所述权重越大。4.根据权利要求3所述的企业全网终端安全状态的评估方法，其特征在于，所述权重根据牛顿冷却定律确定：式中：w(t)为单台终端当前时间的行为数量，Q为上一时间点的行为数量。5.根据权利要求1所述的网络终端安全状态的评估方法，其特征在于，所述第一时间段的范围可根据评估具体需要进行配置。2CN114915491A权利要求书2/2页6.根据权利要求1所述的网络终端安全状态的评估方法，其特征在于，所述第一阈值为0。7.根据权利要求1所述的网络终端安全状态的评估方法，其特征在于，所述第二阈值为80％。8.根据权利要求1所述的网络终端安全状态的评估方法，其特征在于，所述第三阈值为60％。9.一种网络终端安全状态的评估装置，其特征在于，包括：数据采集及存储模块，用于采集网络终端已知文件、未知文件的数量及所述文件相关行为数据，并分类存储；数据统计模块，基于所述数据，统计所述网络终端中所述文件的端口访问行为、文件读取行为、外联行为、文件下载行为、终止进程行为等，并按时间权重，计算出全网相关行为中位数；终端健康指标计算模块，基于所述中位数，计算所述网络终端健康指标；危险指数评估模块，基于所述健康指标，计算评估所述网络终端危险指数。10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时，实现如权利要求1‑8任意一项所述网络终端安全状态的评估方法。3CN114915491A说明书1/4页一种网络终端安全状态的评估方法、装置及存储介质技术领域[0001]本发明涉及计算机系统安全技术领域，具体地说，涉及一种网络终端安全状态的评估方法、装置及存储介质。背景技术[0002]企业内部网络通常存在的安全风险一般为单次安全事件和长期潜伏的高级威胁事件。传统的安全态势评估往往只是针对单次安全事件进行评估，对于长期潜伏的未知文件缺乏有效的评估方法。单次安全事件可能为单次偶发事件，也有可能为相关偶发事件。相关偶发事件可能是长期潜伏的高级威胁事件，