一种网络中的威胁处置效果的确定方法及系统与流程

本发明实施例涉及网络安全技术领域，尤其涉及一种网络中的威胁处置效果的确定方法及系统。

背景技术：

异构网络规模互联，各网络的技术体制差异，网络中不同类型、厂商的安全设备防护能力差异，使得不同网络的防护能力不同，因此针对单一网络、单一防御点的单一防护难以应对日益严重的网络威胁，需要威胁处置指挥中心围绕某一安全目标，根据威胁情况、设备防护能力等生成相应威胁处置策略，经分解后分发到相应的多类、多个处置对象，实现不同对象间的协同合作与不同区域间协同防护，从而对网络威胁进行联动处置。

为了实现对威胁的有效联动处置，需要将不同威胁处置策略分发到防护能力差异的不同安全设备，然后确定威胁联动处置效果，从而合理调整威胁处置策略。然而，现有威胁处置技术未对威胁进行联动处置，只实现了局部防护；现有处置效果确定技术也未综合考虑各联动处置对象的威胁处置效果，未从全局角度对威胁处置效果进行综合评估，难以确定威胁联动处置效果，无法准确评估大规模网络的实际安全状态。

技术实现要素：

针对现有技术中存在的技术问题，本发明实施例提供一种网络中的威胁处置效果的确定方法及系统。

第一方面，本发明实施例提供一种网络中的威胁处置效果的确定方法，包括：

对于网络中的任一个被攻击对象，从所述被攻击对象的执行威胁处置策略的对象中，选取若干个对象以组成所述被攻击对象的处置结果验证对象集合；

若所述被攻击对象的处置结果验证对象集合中至少存在一个对象的处置结果为成功，则基于所述被攻击对象的指标贡献度表，确定贡献度满足指标选取条件的指标，以组成所述被攻击对象的目标指标集合；其中，对象的处置结果为成功指对象成功执行威胁处置策略；

根据所述网络中被攻击对象的目标指标集合，确定所述威胁处置策略的威胁处置效果。

第二方面，本发明实施例提供一种网络中的威胁处置效果的确定系统，包括：

处置结果验证对象集合获取模块，用于对于网络中的任一个被攻击对象，从所述被攻击对象的执行威胁处置策略的对象中，选取若干个对象以组成所述被攻击对象的处置结果验证对象集合；

目标指标集合获取模块，用于若所述被攻击对象的处置结果验证对象集合中至少存在一个对象的处置结果为成功，则基于所述被攻击对象的指标贡献度表，确定贡献度满足指标选取条件的指标，以组成所述被攻击对象的目标指标集合；其中，对象的处置结果为成功指对象成功执行威胁处置策略；

效果确定模块，用于根据所述网络中被攻击对象的目标指标集合，确定所述威胁处置策略的威胁处置效果。

第三方面，本发明实施例提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如第一方面所提供的方法的步骤。

第四方面，本发明实施例提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如第一方面所提供的方法的步骤。

本发明实施例提供的一种网络中的威胁处置效果的确定方法及系统，通过在安全设备执行威胁处置策略后，根据威胁情况、处置对象、处置策略的不同，动态选取不同的验证手段，从全局角度对联动对象的处置效果进行综合确定，从而确定威胁联动处置效果，可实现对威胁处置效果的有效确定，准确评估大规模网络的实际安全状态。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种网络中的威胁处置效果的确定方法流程图；

图2为本发明实施例提供的一种网络结构拓扑图；

图3为本发明实施例提供的一种网络中的威胁处置效果的确定系统的结构示意图；

图4为本发明实施例提供的一种网络中的威胁处置效果的确定系统的模块关系图；

图5为本发明实施例提供的一种电子设备的实体结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1为本发明实施例提供的一种网络中的威胁处置效果的确定方法流程图，如图1所示，该方法包括：

步骤101，对于网络中的任一个被攻击对象，从所述被攻击对象的执行威胁处置策略的对象中，选取若干个对象以组成所述被攻击对象的处置结果验证对象集合。

将本发明实施例提供的方法应用在复杂网络环境中进行说明，其中，复杂网络环境通常指的是专用网络、天地一体化网络、物联网、各类服务服务系统(如：电子凭据服务系统、电子商务系统、电子政务系统)所在的网络等大规模异构网络。复杂网络环境通常由多个设备和/或系统构成。为了描述方便，将复杂网络环境简称为目标网络，将设备和系统均称为对象。

设备包括但不限于：终端(固定终端、移动终端、卫星终端)、服务器、路由器、接入网关、互联网关、内容过滤设备、防火墙、密码设备、认证设备、vpn、蜜罐、交换机、调制解调器、集线器和桥接器中的任意一种或多种；系统包括但不限于：入侵防御系统、入侵检测系统、入侵响应系统、认证系统、鉴权系统、设备管理系统、威胁分析系统中的任意一种或多种。需要说明的是，此处的设备可以是物理设备，也可以是利用虚拟化技术得到的虚拟设备。对象的具体指代依据不同应用领域而不同。

在专用网络中，除了通用类设备，对象还包括一些非通用类设备，设备包括但不限于：工控网关、流量过滤监测设备、流转管控设备等设备中的任意一种或多种；系统包括但不限于：存储系统、办公系统、文件交换系统、监管系统等系统中的任意一种或多种。

在天地一体化网络中，设备包括但不限于：各类卫星，高速航天器终端、天基骨干网地面终端、ka大容量宽带便携/固定终端、高轨卫星移动军用手持/民用车载终端、低轨星座手持/车载终端、ku(fdma)便携/固定终端、ku(tdma)便携/固定终端等安全终端，天基骨干卫星安全接入网关、宽带卫星安全接入网关、卫星移动安全接入网关、异构网间安全互联网关、地面网间安全互联网关等网关中的任意一种或多种；系统包括但不限于：身份认证管理系统、接入鉴权系统、网间互联安全控制系统、密码资源管理系统、威胁融合分析与态势预警系统、全网安全设备统一管理系统等系统中的任意一种或多种。

在物联网中，设备包括但不限于：物联网防火墙、物联网综合安全接入网关、网间互联网关、异构数据汇集网关、单向/双向数据隔离设备等设备中的任意一种或多种；系统包括但不限于：数据交换应用代理软件、数据流转监测系统、可编排应用防护系统、物联网拓扑测绘系统、安全服务需求与资源管理系统、数据存储调度管理系统、物联网安全管控中心管理系统、设备发现与识别系统等系统中的任意一种或多种。

在各类服务系统所在的网络中，设备包括但不限于：电子凭据高速核准服务设备、统一认证服务设备等设备中的任意一种或多种；系统包括但不限于：电子凭据核准服务管理系统、电子凭据状态管理与控制系统、统一认证服务管理系统、电子凭据查验服务系统、多业务电子凭据协同开具系统、海量电子凭据数据存储系统、身份鉴别系统、密码服务支撑系统、数据存储系统等系统中的任意一种或多种。

攻击者向目标网络发起攻击通常会使目标网络中的一个或若干个对象遭受攻击，将遭受攻击的对象称为被攻击对象。对于目标网络中的被攻击对象，可通过威胁处置指挥中心生成和/或分解得到的威胁处置策略得知该被攻击对象的执行威胁处置策略的对象，从这些对象中选取若干个对象以组成被攻击对象的处置结果验证对象集合。

步骤102，若所述被攻击对象的处置结果验证对象集合中至少存在一个对象的处置结果为成功，则基于所述被攻击对象的指标贡献度表，确定贡献度满足指标选取条件的指标，以组成所述被攻击对象的目标指标集合；其中，对象的处置结果为成功指对象成功执行威胁处置策略。

所述指标贡献度表指指标与该指标对某一被攻击对象的处置结果成功验证的贡献度的映射关系。

所述指标贡献度表中指标的贡献度可预先静态设定，也可动态赋予和调整，本发明实施例对此不作具体限定。

所述指标包括但不限于：网络接口状态相关指标、网络状态相关指标、tcp连接相关指标、卫星节点端口相关指标、卫星节点端口相关指标、操作系统相关指标、文件系统相关指标、进程信息相关指标中的任意一种或多种。其中，

网络接口状态相关指标，如，无线收发信号强度(传输速率、带宽)、接入点、接入波束、频点、接收包数、接收字节数、接收错误包数、丢包数、fifo缓冲区错误、分组帧错误数、发送包数、发送字节数、发送错误包数、网络是否可用、wifi是否可用、wifi感知是否可用、连接速度；

网络状态相关指标，如，tcpestablished状态数、tcpsynsent状态数、tcpsynrecv状态数、tcpfinwait1状态数、tcpfinwait2状态数、tcptimewait状态数、tcpclosed状态数、tcpclosewait状态数、tcplastack状态数、tcplisten状态数、tcpclosing状态数、tcpidle状态数、入境tcp连接数、出境tcp连接数；

tcp连接相关指标，如，主动建立的tcp连接数、被动建立的tcp连接数、尝试建立连接失败次数、重置连接数、当前连接数、进入实体的tcp报文段、离开实体的tcp报文段、重传次数、接收错误数、发送重传数；

链路状态相关指标，如，链路起始处、链路终点处、链路带宽、链路利用率、链路连通性、链路传播时延、链路保持时间；

卫星节点端口相关指标，如，卫星节点端口索引、卫星节点端口类型、卫星节点端口最大速率、卫星节点端口所对应的天线、卫星节点端口收到的字节数、卫星节点端口发送的字节数、卫星节点端口丢弃的输入字节数、卫星节点端口丢弃的输出字节数；

操作系统相关指标，如，系统用户数、系统现进程数、上电时间、进程信息、统计信息等。其中，进程信息采集项包括但不限于：进程id、进程名、进程状态、父进程id、进程优先级、进程nice值、进程cpu利用率、进程下的线程数、文件描述符总数、驻留内存大小、进程起始时间、cpu占比。

文件系统相关指标，如，文件系统已使用比例、inode节点数、可用inode节点数、静态文件系统信息(硬盘设备名、路径、总共空间)、动态文件系统信息(使用空间、可用空间、使用百分比)；

进程信息相关指标，如，进程总数、sleeping进程数、running进程数、zombie进程数、stopped进程数、idle进程数、线程总数等。

此外，部分评估指标根据应用领域的不同而不同。例如，在天地一体化网络中，指标还可包括但不限于异常卫星终端入网信息、密码资源异常使用信息、联动控制效果反馈信息；在电子凭据服务系统中，指标还可还可包括但不限于电子凭据异常行为信息相关指标，所述电子凭据异常行为信息相关指标包括但不限于超限额/种类开具、重复/假发票报销、假系统连接、多次尝试口令；在专用网络中，办公系统相关指标包括但不限于相关设备和系统的违规文件操作、违规流转、违规发布、异常通信、违规存储、违规介质接入操作、审计日志。

具体地，处置结果验证对象集合中的对象用于执行威胁处置策略，但对于每一个对象，可能存在执行成功或执行失败两种执行结果。可以理解的是，若处置结果验证对象集合中的所有对象对威胁处置策略均执行失败，即可判定该威胁处置策略未能用于对该威胁进行处置，因此，无需继续后续的操作；若处置结果验证对象集合中至少存在一个对威胁处置策略执行成功的对象，则可判定该威胁处置策略已被用于对该威胁进行处置，因此，继续后续的操作，以确定该威胁处置策略的威胁处置效果。

例如，若处置结果验证对象集合中仅包括防火墙fw1和防火墙fw2，且，仅防火墙fw1对威胁处置策略执行成功，或者仅防火墙fw2对威胁处置策略执行成功，或者防火墙fw1和防火墙fw2均对威胁处置策略执行成功，则判定处置结果验证对象集合中至少存在一个对象的处置结果为成功，并继续后续的操作，以确定该威胁处置策略的威胁处置效果。

进一步地，若处置结果验证对象集合中至少存在一个对象的处置结果为成功，则基于所述被攻击对象的指标贡献度表，确定贡献度满足指标选取条件的指标，以组成目标指标集合。其中，指标贡献度表用于记录可以判定对象是否异常的指标以及该指标对于对象异常性判定的贡献度，需要说明的是，若某一指标的贡献度越高，则该指标被选择用来判定对象的异常性的可能性也越高。

进一步地，基于指标贡献度表，确定贡献度满足指标选取条件的指标，以组成目标指标集合。其中，指标选取条件包括但不限于：贡献度由高到低排名前几、贡献度为特定值、贡献度高于特定值等，本发明实施例对此不作具体限定。

步骤103，根据所述网络中被攻击对象的目标指标集合，确定所述威胁处置策略的威胁处置效果。

具体地，威胁处置效果指的是威胁处置策略对于处置网络威胁的有效程度，反映了威胁处置策略被执行完毕前后，网络的安全状态的变化。当网络的安全状态越好时，相应地，威胁处置效果越好，反之，威胁处置效果越差。

本发明实施例提供的一种网络中的威胁处置效果的确定方法，通过在安全设备执行威胁处置策略后，根据威胁情况、处置对象、处置策略的不同，动态选取不同的验证手段，从全局角度对联动对象的处置效果进行综合确定，从而确定威胁联动处置效果，可实现对威胁处置效果的有效确定，准确评估大规模网络的实际安全状态。

在上述各实施例的基础上，本发明实施例对上述实施例的步骤101进行具体说明，也即，对处置结果验证对象集合的获取进行说明。对于网络中的任一个被攻击对象，从所述被攻击对象的执行威胁处置策略的对象中，选取若干个对象以组成所述被攻击对象的处置结果验证对象集合，进一步包括：

确定所述被攻击对象到攻击者和/或外部网络的路径，以组成路径集合。

具体地，攻击者指的是向目标网络发起攻击的攻击方，被攻击对象指的是目标网络中遭受攻击的受攻击方，被攻击对象对应有一个可信区，将可信区以外的网络称为该被攻击对象的外部网络。

对于目标网络中的被攻击对象，确定该被攻击对象到攻击者和/或外部网络的路径，以组成路径集合。举个例子，图2为本发明实施例提供的一种网络结构拓扑图，如图2所示，网络中包括目标网络(域1与dmz区)、攻击者和外部网络(域2)。目标网络中的被攻击对象为web服务1与数据库服务器，web服务1到攻击者只有一条路径：web服务1经由web服务1所在服务器、防火墙fw2、网关到达攻击者，为了方便描述，将其称为路径1；web服务1到外部网络只有一条路径：web服务1经由web服务1所在服务器、防火墙fw1、交换机、隔离设备2到达域2，为了方便描述，将其称为路径2；数据库服务到攻击者只有一条路径：数据库服务所在服务器、隔离设备1、防火墙fw1、防火墙fw2、网关到达攻击者，为了方便描述，将其称为路径3；数据库服务到外部网络只有一条路径：数据库服务所在服务器、隔离设备1、防火墙fw1、隔离设备2到达域2，为了方便描述，将其称为路径4。因此，路径集合为{路径1，路径2，路径3，路径4}。

判定所述路径集合中各路径所经由的对象中是否包含用于执行威胁处置策略的对象，并将不包含用于执行威胁处置策略的对象的路径从所述路径集合中剔除后，生成目标路径集合。

具体地，对于目标网络中的被攻击对象，可通过威胁处置指挥中心生成的威胁处置策略得知该被攻击对象的执行威胁处置策略的对象。因此，可判定路径集合中的各路径所经由的对象中是否包含用于执行威胁处置策略的对象。

举个例子，如图2所示，若web服务1和数据库服务遭两类拒绝服务攻击：synflood和cc(challengecollapsar)攻击，威胁处置策略是：

防火墙tcp连接数/syn片段阈值设定：在防火墙fw2上设置在早8点到晚12点之间web服务1的tcp连接上限，并设定每秒通过指定对象(在本例中即为web服务1所在服务器)的syn片段数的阈值；

服务定时关闭：设定web服务1在晚12点到次日早8点之间停止对外服务；

服务定时禁止访问：在防火墙fw1上设定在晚12点到次日早8点之间禁止web服务1访问数据库服务。

因此，根据威胁处置策略可以得知，执行威胁处置策略的对象为：web服务1所在的服务器、防火墙fw1和防火墙fw2。

对于路径集合中的路径1，其经由的对象为web服务1所在服务器、防火墙fw2、网关；对于路径2，其经由的对象为web服务1所在服务器、防火墙fw1、隔离设备2；对于路径3，其经由的对象为防火墙fw1、交换机、防火墙fw2、网关；对于路径4，其经由的对象为数据库服务所在服务器、隔离设备1、防火墙fw1、防火墙fw2、网关。其中，路径1经由了用于执行威胁处置策略的web服务1所在服务器和防火墙fw1；路径2经由了执行威胁处置策略的web服务1所在的服务器；路径3经由了用于执行威胁处置策略的防火墙fw1；路径4经由了用于执行威胁处置策略的防火墙fw1；但是，由于在路径2和路径4中，执行威胁处置策略的设备的策略与相应路径上的其他设备无关，因此将该两条路径剔除，因此得到目标路径集合为{路径1，路径3}，被剔除路径集合为{路径2，路径4}。

对于所述目标路径集合中的路径，从所述路径所经由的用于执行威胁处置策略的对象中选取若干个对象作为所述路径的处置结果验证对象。

具体地，对于路径1，将路径1所经由的web服务1所在的服务器和防火墙fw2中的若干个作为路径1的处置结果验证对象；对于路径3，将路径3所经由的防火墙fw1和防火墙fw2中的若干个作为路径3的处置结果验证对象。

将所述目标路径集合中各路径的处置结果验证对象进行组合，生成所述被攻击对象的处置结果验证对象集合。

具体地，假如将路径1所经由的防火墙fw2作为路径1的处置结果验证对象；假如将路径3所经由的防火墙fw1作为路径3的处置结果验证对象，那么，处置结果验证对象集合为{fw1，fw2}。

在上述各实施例的基础上，本发明实施例对处置结果验证对象的选取进行说明。即，从所述路径所经由的用于执行威胁处置策略的对象中选取若干个对象作为所述路径的处置结果验证对象，进一步包括：

对于所述路径所经由的用于执行威胁处置策略的对象，根据对象的运行状态及对应的第一权重、负载情况及对应的第二权重、可信度及对应的第三权重中的任意一个或多个，选取若干个对象作为处置结果验证对象。

具体地，对象的运行状态包括但不限于关闭、静默、异常和正常；对象的负载情况包括但不限于cpu、存储和网络带宽资源的使用情况，可以使用百分比表示；对象的可信度指候选对象的可信程度，可以用离散型的数据表示，可根据设备是否曾经遭受入侵等进行赋值。

进一步地，根据对象的运行状态及对应的第一权重、负载情况及对应的第二权重、可信度及对应的第三权重中的任意一个或多个，选取若干个对象作为处置结果验证对象的方法包括但不限于以下方法：

对于目标路径集合中的路径所经由的用于执行威胁处置策略的对象，将对象的运行状态、负载情况和可信度进行数值化。其中，将对象的运行状态、负载情况和可信度进行数值化是指：根据对象的运行状态的好坏，将对象的运行状态数值化为0～1之间的数值；根据对象的负载情况的好坏，将对象的负载情况数值化为0～1之间的数值；根据对象的可信度的好坏，将对象的可信度数值化为0～1之间的数值。

对于任一个对象，将该对象的数值化后的运行状态与对应的第一权重进行相乘，得到第一结果，将该对象的数值化后的负载情况与对应的第二权重进行相乘，得到第二结果，将该对象的数值化后的可信度与对应的第三权重进行相乘，得到第三结果。根据第一结果、第二结果和第三结果进行计算，得到该对象的计算结果值。

获取所有对象中对象的计算结果值，将对象的计算结果值进行比较，将满足对象选取条件的对象作为处置结果验证对象。需要说明的是，对象选取条件包括但不限于：计算结果值最大、计算结果值次大、计算结果值为特定值、计算结果值高于特定值等。

举个例子，以从路径3所经由的用于执行威胁处置策略的对象中选取若干个对象作为处置结果验证对象进行说明。路径3所经由的用于执行威胁处置策略的对象为web服务1所在的服务器、防火墙fw1和防火墙fw2，其中：

web服务1所在的服务器的运行状态、负载情况和可信度分别为：

运行状态：正常运行，数值化后的运行状态均为1；

负载情况：70％负荷运行，数值化后的负载情况为70％；

可信度：70％可信，数值化后的可信度为70％；

运行状态所占权重为0.2，负载情况所占权重为0.2，可信度所占权重为0.6。

防火墙fw1所在的服务器的运行状态、负载情况和可信度分别为：

运行状态：正常运行，数值化后的运行状态均为1；

负载情况：75％负荷运行，数值化后的负载情况为75％；

可信度：90％可信，数值化后的可信度为90％；

运行状态所占权重为0.2，负载情况所占权重为0.2，可信度所占权重为0.6。

防火墙fw2所在的服务器的运行状态、负载情况和可信度分别为：

运行状态：正常运行，数值化后的运行状态均为1；

负载情况：100％负荷运行，数值化后的负载情况为100％；

可信度：99％可信，数值化后的可信度为99％；

运行状态所占权重为0.2，负载情况所占权重为0.2，可信度所占权重为0.6。

那么，路径3所经由的用于执行威胁处置策略的对象中对象的加权平均值为：

web服务1所在服务器的加权平均值a(web1)＝1*0.2+(-70％)*0.2+(70％)*0.6＝0.48；

fw1的加权平均值a(fw1)＝1*0.2+(-75％)*0.2+(90％)*0.6＝0.49；

fw2的加权平均值a(fw3)＝1*0.2+(-100％)*0.2+(-99％)*0.6＝0.594。

若对象选取条件是加权平均值最大，那么，将防火墙fw2作为路径3的处置结果验证对象。

在上述各实施例的基础上，若所述被攻击对象的处置结果验证对象集合中至少存在一个对象的处置结果为成功，则基于所述被攻击对象的指标贡献度表，确定贡献度满足指标选取条件的指标，之前还包括：

对于所述被攻击对象的处置结果验证对象集合中的对象，确定对所述对象的处置结果的目标验证方式。

具体地，若路径1的处置结果验证对象为防火墙fw2，路径3的处置结果验证对象为防火墙fw1，则处置结果验证对象集合为{fw1，fw2}，对于处置结果验证对象集合中的对象，确定对该对象的处置结果的目标验证方式。

需要说明的是，验证方式有多种，例如直接验证方式和/或间接验证方式，本实施例需要从多种验证方式中选取一种作为对象的处置结果的目标验证方式。其中，直接验证方式指验证方对攻击进行重现，但攻击强度低于真实攻击，持续时间短于真实攻击，并根据被攻击对象或执行威胁处置策略的对象对重现攻击的反馈情况进行结果判定的方式。间接验证方式指通过验证方发送常规类型但具验证能力的数据包(例如：验证网络可达性时，发送ping包)，并根据被攻击对象或执行威胁处置策略的对象对验证数据包的反馈情况进行结果判定的方式。本发明实施例可从直接验证方式和/或间接验证方式中选择一种，作为对对象的处置结果的目标验证方式。所述攻击强度内容包括但不限于：攻击频率、攻击源数量、攻击流量大小中的任意一种或多种。

根据所述目标验证方式对所述对象的处置结果进行验证，以确定所述对象的处置结果为成功或失败。

具体地，对象的处置结果为成功指对象成功执行威胁处置策略，对象的处置结果为失败指对象执行威胁处置策略失败。

在上述各实施例的基础上，确定对所述对象的处置结果的目标验证方式，进一步包括：

确定对所述对象的处置结果进行验证的候选验证方式集合。

具体地，对象的候选验证方式集合通常为{直接验证方式，间接验证方式}，两种候选验证方式在上述实施例中已作详细说明，此处不再赘述。

对于所述候选验证方式集合中的候选验证方式，根据用户验证需求、所述候选验证方式对所述对象的处置结果进行验证时对网络所造成的潜在损失、所述候选验证方式的验证成本和所述候选验证方式的历史有效性中的任意一个或多个，确定所述候选验证方式的评分。

具体地，用户验证需求包括但不限于：验证成功的可能性。

候选验证方式对象的处置结果进行验证时对网络所造成的潜在损失为：指若处置失败，采取该验证方式进行验证时给网络中对象所造成的损失(例如：当被攻击对象遭受synflood攻击，但威胁处置策略无效，而验证方式为重现synflood攻击使得被攻击对象“受损”)。

候选验证方式的验证成本包括但不限于利用该验证方式进行验证时所需要的计算、存储和/或网络带宽资源开销，直接验证方式验证成本的影响因素包括：重现攻击的类型、强度和持续时间；间接验证方式验证成本的影响因素为验证方式的具体类型。

候选验证方式的历史有效性为：在历史验证中，利用该验证方式对处置结果进行成功验证的次数与使用该验证方式进行验证的总验证次数的比例。

当候选验证方式有多种时，可以采取成本权衡的方式，即同时考虑采取某一候选验证方式所带来的正向收益(用户需求满足度)和负向收益(同时考虑处置失败带来的潜在损失、采取某一候选验证方式所带来的验证成本)，选取正向收益高于负向收益的候选验证方式，当有多种候选验证方式的正向收益都高于负向收益时，选取正向收益减去负向收益的差值最大的一个。不同候选验证方式的正向收益和负向收益可以预先静态赋予，也可根据对象的资源负载情况、验证方式的资源消耗等动态计算，对此不作限定。

举个例子，以处置结果验证对象集合{fw1，fw2}中的防火墙fw1进行举例说明。对于防火墙fw1：

用户验证需求为：80％；

直接验证方式中：造成的潜在损失为0.9，验证成本为0.7，历史有效性为85％；

间接验证方式中：造成的潜在损失为0.2，验证成本为0.1，历史有效性为90％。

那么，对于防火墙fw1：

直接验证方式的正向收益＝历史有效性÷验证需求＝85％÷80％＝1.0625；

直接验证方式的负向收益为＝0.8*造成的潜在损失+0.2*验证成本＝0.8*0.9+0.2*0.7＝0.86；

直接验证方式的正向收益和负向收益的差值＝1.0625-0.86＝0.2025；

间接验证方式的正向收益＝历史有效性÷验证需求＝90％÷80％＝1.125；

间接验证方式的负向收益为＝0.8*造成的潜在损失+0.2*验证成本＝0.8*0.2+0.2*0.1＝0.18；

间接验证方式的正向收益和负向收益的差值＝1.125-0.18＝0.945；

因此，将0.2025作为直接验证方式的评分，将0.945作为间接验证方式的评分。

将所述选验证方式集合中候选验证方式的评分进行比较，将满足评分选取条件的候选验证方式，作为对所述对象的处置结果的目标验证方式。所述目标验证方式可以是直接验证方式，可以是间接验证方式，也可以是直接验证方式与间接验证方式的结合。

具体地，评分选取条件可以为评分最大的、评分次大等，本发明实施例对此不作具体限定。若评分选取条件为评分最大，则将候选验证方式集合中的候选验证方式的评分进行比较，将最大的评分对应的候选验证方式作为对防火墙fw1的处置结果的目标验证方式。

具体地，由于0.945大于0.2025，因此，将间接验证方式作为对防火墙fw1进行验证的目标验证方式。

进一步地，通过目标验证方式对防火墙fw1的处置结果进行验证，以确定所述对象的处置结果为成功或失败。具体过程如下：

通过目标验证方式对防火墙fw1进行判定，得到一个实际结果，将实际结果与预期结果进行对比，若实际结果与预期结果一致，则确定处置结果为成功，反之为处置失败。比如说发ping包的时候，预期结果是“ping的返回结果为目的主机不可达”，就看实际结果是不是真的返回了不可达的信息，还是可以ping通。如果ping不通(即返回目标主机不可达信息)，说明处置结果为成功，继续后续的操作；若可以ping通，就说明处置失败。

在上述各实施例的基础上，本发明实施例说明如何根据所述网络中被攻击对象的目标指标集合，确定所述威胁处置策略的威胁处置效果：

对于所述网络中的被攻击对象，从候选效果计算方法集合中，选取一个候选效果计算方法，作为所述被攻击对象的目标效果计算方法。

具体地，候选效果计算方法集合可以包括：加权平均法、层次分析法、模糊综合评价法、模糊层次分析法、贝叶斯网络、马尔可夫过程、petri网、攻击图、d-s证据理论、灰关联分析、粗集理论、聚类分析等。

基于所述目标效果计算方法，根据所述被攻击对象的目标指标集合，确定所述威胁处置策略对所述被攻击对象的威胁处置效果。

举个例子，若目标效果计算方法为加权平均法，被攻击对象的目标指标集合包括：cpu利用率、网络带宽占用率、tcp连接数、服务响应时间和响应成功率，则确定目标指标的取值。

若cpu利用率的取值为40％、网络带宽占用率的取值为35％、tcp连接数的取值为1300、服务响应时间的取值为0.1s、响应成功率的取值为95％，且cpu利用率取值为40％的评分为3，网络带宽占用率取值为35％的评分为3，tcp连接数的取值1300的评分为2，服务响应时间的取值0.1s的评分为4，响应成功率的取值的评分为4，各目标指标的权重均为0.2，则威胁处置效果值＝0.2*(3+3+2+4+4)＝3.2。根据评分，确定该威胁处置策略对该被攻击对象的威胁处置效果。

根据所述威胁处置策略对所述网络中被攻击对象的威胁处置效果和/或重要程度，确定所述威胁处置策略的威胁处置效果。

在上述各实施例的基础上，本发明实施例说明如何从候选效果计算方法集合中，选取一个候选效果计算方法，作为所述被攻击对象的目标效果计算方法：

根据所述候选效果计算方法集合中候选效果计算方法的时间复杂度、空间复杂度、有效性中的任意一种或多种，选取满足效果计算方法选取条件的效果计算方法，作为所述被攻击对象的目标效果计算方法。

具体地，效果计算方法选取条件可以为：时间复杂度最小、时间复杂度小于第一预设阈值、空间复杂度最小、空间复杂度小于第二预设阈值、有效性最高、有效性高于第三预设阈值、时间复杂度/空间复杂度/有效性三者中的任意多个的加权平均和最小或最大、在满足有效性预设值的前提下时间复杂度和/或空间复杂度尽可能小等。具体的选取方法可以通过直接比较法、多目标规划法等方式实现，对此不作限定。

在上述各实施例的基础上，根据所述威胁处置策略对所述网络中被攻击对象的威胁处置效果和/或重要程度，确定所述威胁处置策略的威胁处置效果，进一步包括：

对于网络中的任一个被攻击对象，将所述被攻击对象的威胁处置效果数值化，并将所述被攻击对象的重要程度数值化；

根据数值化后的威胁处置效果和/或数值化后的重要程度，得到所述被攻击对象的相对处置效果值；所述得到所述被攻击对象处置效果值的方式包括但不限于：直接将所述数值化后的威胁处置效果作为被攻击对象的相对处置效果值、将所述数值化后的威胁处置效果与所述数值化后的重要程度相乘得到所述被攻击对象的相对处置效果值等。

根据所述网络中被攻击对象的相对处置效果值，得到所述威胁处置策略的威胁处置效果值；所述得到威胁处置策略的威胁处置效果值的方式包括但不限于：将所述网络中被攻击对象的相对处置效果值相加。

将所述威胁处置效果值与预设效果值等级进行匹配，以得到所述威胁处置策略的威胁处置效果。

在上述各实施例的基础上，将所述威胁处置效果值与预设效果值等级进行匹配，以得到所述威胁处置策略的威胁处置效果，进一步包括：

根据匹配结果，对威胁处置策略进行调整；

和/或，

在调整后的处置策略执行结束后，再次对威胁处置效果进行确定。

具体地，若所述威胁处置效果满足预设条件，则保持威胁处置策略不变；若所述威胁处置效果不满足预设条件，则判断所述被剔除路径集合是否为空；若所述被剔除路径集合为空，则认为威胁处置策略未发挥作用，对威胁处置策略进行调整，和/或，更换或升级路径上的安全设备或系统；若所述被剔除路径集合非空，则认为未部署足够的威胁处置策略，在所述被剔除路径集合的路径上进一步部署威胁处置策略。所述预设条件包括但不限于：不低于预设效果值、高于预设效果值。

可选地，在调整后的处置策略执行结束后，再次对威胁处置效果进行确定。

图3为本发明实施例提供的一种网络中的威胁处置效果的确定系统的结构示意图，如图3所示，该系统包括：

处置结果验证对象集合获取模块301，用于对于网络中的任一个被攻击对象，从所述被攻击对象的执行威胁处置策略的对象中，选取若干个对象以组成所述被攻击对象的处置结果验证对象集合；目标指标集合获取模块302，用于若所述被攻击对象的处置结果验证对象集合中至少存在一个对象的处置结果为成功，则基于所述被攻击对象的指标贡献度表，确定贡献度满足指标选取条件的指标，以组成所述被攻击对象的目标指标集合；其中，对象的处置结果为成功指对象成功执行威胁处置策略；效果确定模块303，用于根据所述网络中被攻击对象的目标指标集合，确定所述威胁处置策略的威胁处置效果。

具体地，攻击者向目标网络发起攻击通常会使目标网络中的若干个对象遭受攻击，将遭受攻击的对象称为被攻击对象。对于目标网络中的被攻击对象，处置结果验证对象集合获取模块301可通过威胁处置指挥中心生成的威胁处置策略得知该被攻击对象的执行威胁处置策略的对象，从这些对象中选取若干个对象以组成被攻击对象的处置结果验证对象集合。目标指标集合获取模块302在当所述被攻击对象的处置结果验证对象集合中至少存在一个对象的处置结果为成功时，基于所述被攻击对象的指标贡献度表，确定贡献度满足指标选取条件的指标，以组成所述被攻击对象的目标指标集合；其中，对象的处置结果为成功指对象成功执行威胁处置策略。效果确定模块303根据所述网络中被攻击对象的目标指标集合，确定所述威胁处置策略的威胁处置效果。具体地，威胁处置效果指的是威胁处置策略对于处置网络威胁的有效程度，反映了威胁处置策略被执行完毕前后，网络的安全状态的变化。当网络的安全状态越好时，相应地，威胁处置效果越好，反之，威胁处置效果越差。

本发明实施例提供的一种网络中的威胁处置效果的确定系统，通过在安全设备执行威胁处置策略后，根据威胁情况、处置对象、处置策略的不同，动态选取不同的验证手段，从全局角度对联动对象的处置效果进行综合确定，从而确定威胁联动处置效果，可实现对威胁处置效果的有效确定，准确评估大规模网络的实际安全状态。

图4为本发明实施例提供的一种网络中的威胁处置效果的确定系统的模块关系图，如图4所示，该系统包括：处置结果验证对象集合获取模块、处置结果验证方式确定模块、处置结果验证模块、目标指标集合获取模块、效果计算方法确定模块、效果确定模块，以及存储单元；

其中，所述处置结果验证对象集合获取模块，用于接收被攻击对象及处置策略，并根据所述报警信息和/或处置策略，从所述存储单元获取被攻击对象到攻击者和/或外部网络的路径、执行处置策略的对象，从而确定处置结果验证对象集合；

所述处置结果验证方式确定模块，用于接收来自所述处置结果验证对象集合获取模块的所述处置结果验证对象集合，并根据所述处置结果验证对象集合，从所述存储单元中获取所述处置结果验证对象集合中对象的候选验证方式集合，从而确定所述处置结果验证对象集合中对象的目标验证方式，并将其发送给处置结果验证模块；

所述处置结果验证模块，用于接收来自处置结果验证方式确定模块的所述处置结果验证对象集合中对象的目标验证方式，并根据所述目标验证方式对相应对象进行处置结果验证，并将处置结果发送给目标指标集合获取模块；

所述目标指标集合获取模块，用于接收来自处置结果验证模块的处置结果，并根据所述处置结果从所述存储单元中获取指标贡献度，从而确定目标指标集合，并将所述目标指标集合发送给效果确定模块；

所述效果计算方法确定模块，用于从存储单元获取候选效果计算方法集合，并根据所述候选效果计算方法集合确定目标效果计算方法，并将所述目标效果计算方法发送给效果确定模块；

所述效果确定模块，用于接收来自目标指标集合获取模块的目标指标集合，和来自效果计算方法确定模块的目标效果计算方法，并根据所述目标指标集合和所述目标效果计算方法确定威胁处置效果；

所述存储单元，用于存储包括但不限于：被攻击对象到攻击者和/或外部网络的路径信息库、执行威胁处置策略的对象信息库、验证方式信息库、效果指标信息库、效果计算方法信息库中的任意一种或多种。

图5为本发明实施例提供的一种电子设备的实体结构示意图，如图5所示，该电子设备可以包括：处理器(processor)501、通信接口(communicationsinterface)502、存储器(memory)503和通信总线504，其中，处理器501，通信接口502，存储器503通过通信总线504完成相互间的通信。处理器501可以调用存储在存储器503上并可在处理器501上运行的计算机程序，以执行上述各实施例提供的方法，例如包括：对于网络中的任一个被攻击对象，从所述被攻击对象的执行威胁处置策略的对象中，选取若干个对象以组成所述被攻击对象的处置结果验证对象集合；若所述被攻击对象的处置结果验证对象集合中至少存在一个对象的处置结果为成功，则基于所述被攻击对象的指标贡献度表，确定贡献度满足指标选取条件的指标，以组成所述被攻击对象的目标指标集合；其中，对象的处置结果为成功指对象成功执行威胁处置策略；根据所述网络中被攻击对象的目标指标集合，确定所述威胁处置策略的威胁处置效果。

此外，上述的存储器503中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

本发明实施例还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各实施例提供的传输方法，例如包括：对于网络中的任一个被攻击对象，从所述被攻击对象的执行威胁处置策略的对象中，选取若干个对象以组成所述被攻击对象的处置结果验证对象集合；若所述被攻击对象的处置结果验证对象集合中至少存在一个对象的处置结果为成功，则基于所述被攻击对象的指标贡献度表，确定贡献度满足指标选取条件的指标，以组成所述被攻击对象的目标指标集合；其中，对象的处置结果为成功指对象成功执行威胁处置策略；根据所述网络中被攻击对象的目标指标集合，确定所述威胁处置策略的威胁处置效果。

以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。