一种安全事件发生频率量化方法、装置、设备及介质与流程

本发明涉及计算机网络信息安全
技术领域：
，尤其是一种安全事件发生频率量化方法、装置、设备及介质。
背景技术：
：信息安全部门的日常工作，可以分为响应已发生的安全事件，以及预防可能发生的安全事件，即控制安全风险，这其中又以预防可能发生的安全事件更为重要。然而风险控制措施的实施需要人员、资金等各种资源的支持，但资源又是有限的，因此信息安全部门必须对风险大小进行分析评估，确定优先级后着重处理优先级高的安全事件。当前，主流的信息安全风险分析方式是“风险矩阵”。该方式将风险的发生率划分为多个等级，其可能造成的影响也分为多个等级，从低到高依次以相应序号表示。某具体事件的风险的等级判定，由代表发生率的序号，与代表可能造成影响大小的序号的乘积给出，形式同样是(如低、中、高等)多个等级。但是风险矩阵存在很多问题：包括不同人对事件的影响程度和较为抽象的低、中、高等等级的理解不同，影响沟通效果以及对风险事件的判定；理论上序号型数值不能进行运算，且在实际操作中也会导致错误。风险矩阵的诸多问题，导致其对风险的分析结果是不可靠的。由此所得到的风险控制措施的选择，自然也不能保证合理。此外，风险控制措施的效果好坏，依赖于对实施前后的风险分析结果的对比。而既然二者都无法量化，自然也就无法量化差别。这导致无法对控制效果做出明确评估，从而无法基于评估做出改进。技术实现要素：有鉴于此，本发明实施例提供一种安全事件发生频率量化方法、装置、设备及介质，以对信息安全事件的风险进行清晰准确的量化。根据本发明的第一方面的实施例，提供了一种安全事件发生频率量化方法，包括：获取原始数据，所述原始数据包括输入数据和/或事件数据；根据所述原始数据进行第一计算，得到目标计数数据；并根据所述原始数据中的输入数据进行第二计算，得到先验概率参数；根据所述目标计数数据和所述先验概率参数计算后验概率参数；根据所述后验概率参数得到事件发生频率分布。根据本发明的一些实施例，所述获取原始数据，包括：通过滑动窗口的方式接收事件的数据信息作为事件数据；根据用户输入的目标事件，确定所述目标事件的输入数据；其中，所述目标事件为待确定发生概率的事件。根据本发明的一些实施例，所述根据所述原始数据进行第一计算，得到目标计数数据，包括：当不存在所述原始数据的事件数据时，根据所述原始数据的输入数据读取事件计数数据库，并得到所述目标计数数据。根据本发明的一些实施例，所述根据所述原始数据进行第一计算，得到目标计数数据，包括：当存在所述原始数据的事件数据时，根据所述原始数据的事件数据，通过滑动窗口方式进行事件计数，得到事件计数数据；根据所述事件计数数据写入事件计数数据库；根据所述原始数据的输入数据读取事件计数数据库，并得到所述目标计数数据。根据本发明的一些实施例，所述根据所述原始数据中的输入数据进行第二计算，得到先验概率参数，包括：当所述原始数据的输入数据与概率参数库数据匹配时，从概率参数库中读取得到所述先验概率参数。根据本发明的一些实施例，所述根据所述原始数据中的输入数据进行第二计算，得到先验概率参数，包括：当所述原始数据的输入数据与概率参数库数据不匹配时，从先验知识数据库获取所述输入数据相关的先验知识数据；根据所述先验知识数据计算得到所述先验概率参数，并将所述先验概率参数写入所述概率参数库，或，根据所述先验概率参数对所述概率参数进行更新。根据本发明的一些实施例，所述后验概率参数的计算公式为：a＝a0+a1,b＝b0+b1，其中，a0、b0为所述先验概率参数的第一参数和第二参数，a1、b1为所述目标计数数据中的记录时间区域中发生事件的天数和未发生事件的天数；所述后验概率分布的计算公式为：其中，pbeta(x；a,b)表示事件发生概率为x的概率，a、b为所述后验概率参数的第一参数和第二参数，为gamma函数，该公式通过所述后验概率参数描述的beta分布来描述的一个概率分布。根据本发明的第二方面，提供了一种安全事件发生频率量化装置，包括：获取模块，用于获取原始数据，所述原始数据包括输入数据和/或事件数据；第一计算模块，用于根据所述原始数据进行第一计算，得到目标计数数据；并根据所述原始数据中的输入数据进行第二计算，得到先验概率参数；第二计算模块，用于根据所述计数数据和所述先验概率参数计算后验概率参数；确定模块，用于根据后验概率参数计算事件发生频率分布。根据本发明的第三方面，提供了一种电子设备，包括处理器以及存储器；所述存储器用于存储程序；所述处理器执行所述程序实现第一方面所述的方法。根据本发明的第四方面，提供了一种计算机可读存储介质，所述存储介质存储有程序，所述程序被处理器执行实现本发明第一方面所述的方法。本发明实施例还公开了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器可以从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行前面的方法。本发明的实施例通过获取原始数据，所述原始数据包括输入数据和/或事件数据；根据所述原始数据进行第一计算，得到计数数据；并根据所述原始数据中的输入数据进行第二计算，得到先验概率参数；根据所述计数数据和所述先验概率参数计算后验概率参数；根据所述后验概率参数得到事件发生频率分布。其中，概率分布用来描述事件发生频率，由于频率满足一定的概率分布，因此通过概率分布来描述事件发生频率，为安全事件发生概率、进而为信息安全风险的量化，提供了科学基础。相比常见的风险矩阵这种非量化(或称半量化)方法，本发明所使用的量化方法使得风险控制决策可以建立在更加明确和透明的依据之上。附图说明为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本发明实施例提供的整体步骤流程图；图2为本发明实施例提供的滑动窗口记录事件计数数据的流程图；图3为本发明实施例提供的先验概率参数计算过程的流程图；图4为本法明实施例提供的整体步骤详细流程图。具体实施方式为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。针对现有技术存在的问题，本发明实施例提供了一种安全事件发生频率量化方法，如图1所示，该方法包括以下步骤：获取原始数据，所述原始数据包括输入数据和/或事件数据；根据所述原始数据进行第一计算，得到目标计数数据；并根据所述原始数据中的输入数据进行第二计算，得到先验概率参数；根据所述目标计数数据和所述先验概率参数计算后验概率参数；根据所述后验概率参数得到事件发生频率分布。具体地，输入数据可以例如是起身未锁屏导致数据泄露，事件数据可以例如是计算机日志。进一步作为优选的实施方案，所述获取原始数据，包括：通过滑动窗口的方式接收事件的数据信息作为事件数据；根据用户输入的目标事件，确定所述目标事件的输入数据；其中，所述目标事件为待确定发生概率的事件。具体地，滑动窗口计数，是指计数窗口随时间平移，常用于实时数据统计。例如，使用一个步长为1分钟，宽度为5分钟的滑动窗口对实时数据进行计数。则每过一分钟会得到一个新数据点，记录的是过去五分钟的计数。进一步作为优选的实施方案，所述根据所述原始数据进行第一计算，得到目标计数数据，包括：当不存在所述原始数据的事件数据时，根据所述原始数据的输入数据读取事件计数数据库，并得到所述目标计数数据。需要说明的是，本发明实施例中的事件计数数据库用于存储事件计数数据。进一步作为优选的实施方案，所述根据所述原始数据进行第一计算，得到目标计数数据，包括：当存在所述原始数据的事件数据时，根据所述原始数据的事件数据，通过滑动窗口方式进行事件计数，得到事件计数数据；根据所述事件计数数据写入事件计数数据库；根据所述原始数据的输入数据读取事件计数数据库，并得到所述目标计数数据。参照图2，滑动窗口记录实时事件数据并写入事件计数数据库，其中，滑动窗口计数的时间窗口为1天，滑动步长也为1天(24小时)，滑动窗口统计事件发生次数，并写入数据库步骤如下：第一步：在每天的固定时刻，统计过去一天(24小时)内是否有事件发生，有则计1，无则计0；第二步：将滑动窗口统计的事件数据存入事件计数数据库，如表1所示，为事件计数数据库部分案例数据存储表格，其中，event_id为事件种类编号，time_window为记录时间，has_happened为发生情况。表1进一步作为优选的实施方案，所述根据所述原始数据中的输入数据进行第二计算，得到先验概率参数，包括：当所述原始数据的输入数据与概率参数库数据匹配时，从概率参数库中读取得到所述先验概率参数。进一步作为优选的实施方案，所述根据所述原始数据中的输入数据进行第二计算，得到先验概率参数，包括：当所述原始数据的输入数据与概率参数库数据不匹配时，如图3所示，从先验知识数据库获取所述输入数据相关的先验知识数据；根据所述先验知识数据计算得到所述先验概率参数，并将所述先验概率参数写入所述概率参数库，或，根据所述先验概率参数对所述概率参数进行更新。其中，在本发明的描述中，需要理解的是，先验知识是先验知识数据库中的来自于对业界或媒体所见的其他公司发生的安全事件历史汇集的数据，可能有多个数据源。存储格式为发生天数的90％置信区间；该区间的最小值和最大值均可以小于1，表示在超过一年的时间内才会发生一例；例如0.5表示两年的时间内，才会有一天会发生此类事件。此外，最大值不超过365(同一天内多次发生的同一类型事件，通常存在高相关性，应计为1次)。同一事件对应多个数据来源时，须对最小值和最大值分别取平均。由此我们可以得到一年内该事件发生天数的置信区间平均值为(m,m)。计算先验概率参数步骤如下：第一步：将年发生率置信区间(m,m)转换为日发送率置信区间，即为(m/365,m/365)；第二步：计算下述概率密度表达式中的参数a，b：其中，pbeta(x；a,b)表示“事件发生概率为x的概率”，具体计算方式如下：已知x落在x落在(m/365,m/365)之间的可能性是90％，可知x<m/365和x>m/365的可能性都是5％：由这两个方程可以求解出a和b的值，假设为(a0,b0)。第三步：将先验概率参数(a0,b0)存储到概率参数库，如表2所示，为概率参数库部分案例数据存储表格，其中，event_id为事件种类编号，time_window为记录时间，alpha_prior为先验概率第一参数，beta_prior为第二参数。表2event_idtime_addalpha_priorbeta_prior22020/10/011.5100.332020/10/013.150.142020/10/022.8101.352020/10/0110.2308.5进一步作为优选的实施方案，所述后验概率参数的计算公式为：a＝a0+a1,b＝b0+b1，其中，a0、b0为所述先验概率参数的第一参数和第二参数，a1、b1为所述目标计数数据中的记录时间区域中发生事件的天数和未发生事件的天数,具体定义为：过去t(＝min(h,w)；h为历史数据的时间跨度，w为时间窗口的宽度，min(h,w)表示取h和w中的较小值，如果全部历史数据也没有占满时间窗口，则只统计已有数据)天内，有a1天发生了该事件，有b1＝t-a1天未发生；所述后验概率分布的计算公式为：其中，pbeta(x；a,b)表示事件发生概率为x的概率，a、b为所述后验概率参数的第一参数和第二参数，为gamma函数，该公式为通过所述后验概率参数描述的beta分布来描述的一个概率分布；其中，本发明实施例提供的后验概率参数计算原理如下：假设事件发生与否符合二项分布，即一个发生概率为x的事件，在t天观测中，发生事件的天数为a，未发生的天数为b的概率为：其中通过观测结果(a1,a1)来更新x的分布，由贝叶斯公式：p(x|a1,b1；a0,b0)＝l(a1,b1|x)p(x；a0,b0)/p(a1,b1)其中，p(x|a1,b1；a0,b0)为后验分布；l(a1,b1|x)为似然函数，符合二项分布；p(x；a0,b0)为先验分布，符合beta分布；因二项分布与beta分布互为共轭分布，由共轭分布的性质，后验分布也将满足beta分布，因此可由后验概率分布公式计算p(x|a1,b1；a0,b0)。参照图4，下面结合说明书附图，对本发明的安全事件发生频率量化方法的实现过程进行详细描述，具体地，当需要获取具体事件的发生频率时，程序启动并执行以下步骤：第一步：获取用户希望获取事件发生频率数据时的输入数据，系统检查概率参数库，是否存在该事件的记录；第二步：如果概率参数库不存在该事件的记录，或数据信息已过期(比较写入时间和当前时间，如果差值超过提前设置的有效期，则表示数据需要更新)，则进入第三步；如果概率参数库存在该事件的记录且未过期，则进入第四步；第三步：从先验知识数据库获取该事件相应的先验知识，并计算先验概率参数，存入概率参数库(写入或更新先验概率参数部分)；第四步：(与第一至第三步并行执行)滑动窗口计数器接收事件信息(如日志)，以滑动窗口方式进行事件计数，写入事件计数数据库；第五步：从概率参数库获取先验概率参数，从事件计数数据库获取目标计数数据，并计算后验概率参数；第六步：根据后验概率参数确定事件发生频率分布。综上所述，通过本发明实施例所提供的安全事件发生频率量化方法，以概率分布来描述事件发生频率，由于频率满足一定的概率分布，因此通过概率分布来描述事件发生频率，为安全事件发生概率、进而为信息安全风险的量化，提供了科学基础。相比常见的风险矩阵这种非量化(或称半量化)方法，本发明所使用的量化方法使得风险控制决策可以建立在更加明确和透明的依据之上。本发明实施例还提供了一种安全事件发生频率量化装置，包括：获取模块，用于获取原始数据，所述原始数据包括输入数据和/或事件数据；第一计算模块，用于根据所述原始数据进行第一计算，得到计数数据；并根据所述原始数据中的输入数据进行第二计算，得到先验概率参数；第二计算模块，用于根据所述计数数据和所述先验概率参数计算后验概率参数；确定模块，用于根据后验概率参数计算事件发生频率分布。本发明实施例还提供了一种电子设备，包括处理器以及存储器；所述存储器用于存储程序；所述处理器执行所述程序实现如前面所述的方法。本发明实施例还提供了一种计算机可读存储介质，所述存储介质存储有程序，所述程序被处理器执行实现如前面所述的方法。本发明实施例还公开了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器可以从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行图1所示的方法。在一些可选择的实施例中，在方框图中提到的功能/操作可以不按照操作示图提到的顺序发生。例如，取决于所涉及的功能/操作，连续示出的两个方框实际上可以被大体上同时地执行或所述方框有时能以相反顺序被执行。此外，在本发明的流程图中所呈现和描述的实施例以示例的方式被提供，目的在于提供对技术更全面的理解。所公开的方法不限于本文所呈现的操作和逻辑流程。可选择的实施例是可预期的，其中各种操作的顺序被改变以及其中被描述为较大操作的一部分的子操作被独立地执行。此外，虽然在功能性模块的背景下描述了本发明，但应当理解的是，除非另有相反说明，所述的功能和/或特征中的一个或多个可以被集成在单个物理装置和/或软件模块中，或者一个或多个功能和/或特征可以在单独的物理装置或软件模块中被实现。还可以理解的是，有关每个模块的实际实现的详细讨论对于理解本发明是不必要的。更确切地说，考虑到在本文中公开的装置中各种功能模块的属性、功能和内部关系的情况下，在工程师的常规技术内将会了解该模块的实际实现。因此，本领域技术人员运用普通技术就能够在无需过度试验的情况下实现在权利要求书中所阐明的本发明。还可以理解的是，所公开的特定概念仅仅是说明性的，并不意在限制本发明的范围，本发明的范围由所附权利要求书及其等同方案的全部范围来决定。所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用，或结合这些指令执行系统、装置或设备而使用。就本说明书而言，“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下：具有一个或多个布线的电连接部(电子装置)，便携式计算机盘盒(磁装置)，随机存取存储器(ram)，只读存储器(rom)，可擦除可编辑只读存储器(eprom或闪速存储器)，光纤装置，以及便携式光盘只读存储器(cdrom)。另外，计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质，因为可以例如通过对纸或其他介质进行光学扫描，接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序，然后将其存储在计算机存储器中。应当理解，本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如，如果用硬件来实现，和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列(pga)，现场可编程门阵列(fpga)等。在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。尽管已经示出和描述了本发明的实施例，本领域的普通技术人员可以理解：在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由权利要求及其等同物限定。以上是对本发明的较佳实施进行了具体说明，但本发明并不限于所述实施例，熟悉本领域的技术人员在不违背本发明精神的前提下还可做出种种的等同变形或替换，这些等同的变形或替换均包含在本申请权利要求所限定的范围内。当前第1页12