一种网络威胁管理方法、装置、计算机设备及存储介质与流程

本申请涉及网络安全
技术领域：
，尤其涉及一种网络威胁管理方法、装置、计算机设备及存储介质。
背景技术：
：随着网络技术的发展，网络面临的威胁日益增多。一般来说，网络面临的威胁主要包括木马、拒绝服务、病毒、钓鱼网站等等。这些威胁给网络用户的财产以及隐私信息等均带来较大的安全隐患。为了提高网络的安全性，普通的网络用户可以在手机、电脑等终端中安装各种安全软件进行防御，譬如，360杀毒软件等。云平台的网络用户可以在云平台上部署anti-ddos(anti-distributeddenialofservice)、流量清洗服务、云安全系统等进行防御。然而，上述网络安全处理方式均为被动地防御式，无法主动地从根源上阻止网络威胁行为，网络的安全性得不到很好的保障。技术实现要素：本申请提供了一种网络威胁管理方法、装置、计算机设备及存储介质，可以提高网络的安全性。第一方面，本申请提供了一种网络威胁管理方法，应用于网络威胁管理系统，所述网络威胁管理系统包括监测子系统、数据处理子系统和网管子系统，其包括：将预设时间段内接收到的威胁数据及对应的威胁来源信息统计在威胁记录数据库中，其中，所述威胁数据及对应的威胁来源信息为所述监测子系统在监测到网络访问行为存在威胁时向所述数据处理子系统上报的数据；获取所述威胁记录数据库中所述威胁来源信息对应的至少一个所述威胁数据；根据预设计算规则计算每个所述威胁数据对应的评分分数；根据所有所述威胁数据对应的评分分数计算所述威胁来源信息对应的总分数；以及将所述威胁来源信息及对应的总分数发送至所述网管子系统，以使得所述网管子系统根据所述总分数对所述威胁来源信息进行预设处理。第二方面，本申请提供了一种网络威胁管理装置，应用于网络威胁管理系统，所述网络威胁管理系统包括监测子系统、数据处理子系统和网管子系统，其包括：威胁统计单元，用于将预设时间段内接收到的威胁数据及对应的威胁来源信息统计在威胁记录数据库中，其中，所述威胁数据及对应的威胁来源信息为所述监测子系统在监测到网络访问行为存在威胁时向所述数据处理子系统上报的数据；威胁数据获取单元，用于获取所述威胁记录数据库中所述威胁来源信息对应的至少一个所述威胁数据；第一计算单元，用于根据预设计算规则计算每个所述威胁数据对应的评分分数；第二计算单元，用于根据所有所述威胁数据对应的评分分数计算所述威胁来源信息对应的总分数；以及发送单元，用于将所述威胁来源信息及对应的总分数发送至所述网管子系统，以使得所述网管子系统根据所述总分数对所述威胁来源信息进行预设处理。第三方面，本申请还提供了一种计算机设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现本申请提供的任一项所述的网络威胁管理方法。第四方面，本申请还提供了一种存储介质，其中所述存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被处理器执行时使所述处理器执行本申请提供的任一项所述的网络威胁管理方法。本申请提供一种网络威胁管理方法、装置、计算机设备及存储介质。该方法对预设时间段内的威胁数据及威胁来源信息进行统计，并计算威胁来源信息对应的每个威胁数据的评分分数，再根据每个威胁数据对应的评分分数计算威胁来源信息的总评分，然后将威胁来源信息及总评分发送至网管子系统，以使得网管子系统根据总评分对威胁来源信息进行ip封杀等预设处理，从而从网络威胁的源头上主动地阻击网络威胁，提高网络安全防护的有效性，提高网络的安全性。附图说明为了更清楚地说明本申请实施例技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本申请一实施例提供的网络威胁管理系统的示意性框图；图2为本申请一实施例提供的网络威胁管理方法的流程示意图；图3为图2所示网络威胁管理方法的具体流程示意图；图4为图3所示网络威胁管理方法的具体流程示意图；图5为图2所示网络威胁管理方法的具体流程示意图；图6为本申请一实施例提供的一种网络威胁管理装置的一示意性框图；图7为本申请一实施例提供的一种网络威胁管理装置的另一示意性框图；图8为本申请一实施例提供的一种计算机设备的一示意性框图。具体实施方式下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。还应当理解，在此本申请说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本申请。如在本申请说明书和所附权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。还应当进一步理解，在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。请参阅图1，图1为本申请实施例中网络威胁管理系统的示意性框图。该网络威胁管理系统100包括监测子系统10、数据处理子系统20和网管子系统30。其中，该监测子系统10包括云安全系统和客户端安全系统。该云安全系统一般可以部署在云平台中。该云平台可以包括提供云计算等云服务的平台。譬如，该云安全系统可以部署在“阿里云”、“腾讯云”、“新浪云”等平台上。该客户端安全系统一般部署在终端中。该终端可以为手机、台式电脑、手提电脑、平板电脑、个人数字助理(pda)等设备。该客户端安全系统可例如为“360杀毒软件”、“百度杀毒软件”、“卡巴斯基”等各类安全软件。该数据处理子系统20部署在一个独立的服务器中。该网管子系统30可以部署在网络运营商平台上。譬如，该网管子系统30部署在“电信网络运营平台”等。需要说明的是，在其他实施例中，该数据处理子系统20也可以不部署在一个独立的服务器中。譬如，该数据处理子系统20与网管子系统30均部署在网络运营商平台上，在此不做具体限制。在本实施例中，该监测子系统10用于监测网络访问行为是否存在威胁。若监测到网络访问行为存在威胁，将威胁数据及对应的威胁来源信息发送至数据处理子系统20。数据处理子系统20将预设时间段内接收到的威胁数据及对应的威胁来源信息统计在威胁记录数据库中；获取所述威胁记录数据库中所述威胁来源信息对应的至少一个所述威胁数据；根据预设计算规则计算每个所述威胁数据对应的评分分数；根据所有所述威胁数据对应的评分分数计算所述威胁来源信息对应的总分数；以及将所述威胁来源信息及对应的总分数发送至网管子系统30。网管子系统30根据总分数对威胁来源信息进行ip封杀、警告等预设处理，从而可以从网络威胁的源头上主动地阻击网络威胁行为，提高网络安全防护的有效性，提高网络的安全性。以下将以数据处理子系统20的角度详细地介绍该网络威胁管理方法的各个步骤。请参阅图2，图2是本申请实施例提供的一种网络威胁管理方法的示意流程图。该网络威胁管理方法应用于图1所示的网络威胁管理系统。具体地，应用于该数据处理子系统20中。如图2所示，该网络威胁管理方法包括步骤s10～s50。s10、将预设时间段内接收到的威胁数据及对应的威胁来源信息统计在威胁记录数据库中，其中，所述威胁数据及对应的威胁来源信息为所述监测子系统在监测到网络访问行为存在威胁时向所述数据处理子系统上报的数据。在本实施例中，该数据处理子系统20在预设时间段内实时接收威胁数据及对应的威胁来源信息，并将这些威胁数据及对应的威胁来源信息统计在威胁记录数据库中。其中，该威胁记录数据库用于记录威胁来源信息、威胁数据以及两者之间的对应关系。在该威胁记录数据库中，每个威胁来源信息可以对应多个不同的威胁数据，同一个威胁数据也可以对应不同的威胁来源信息。在一实施例中，该威胁来源信息可以包括网络访问行为对应的互联网协议地址。当威胁数据为客户端安全系统上报的数据时，如，该客户端将一些含有病毒的资料上传至网络等情况下，该威胁来源信息可以为该客户端的互联网协议地址。又如，该客户端正在访问钓鱼网站等情况下，该威胁来源信息可以为该钓鱼网站的互联网协议地址等。当威胁数据为云安全系统上报的数据时，该威胁来源信息可以为云平台中某个app服务器的互联网协议地址。当然，该威胁来源信息还可以包括其他信息，在此不做具体限制。具体地，在一实施例中，如图3所示，图3为图2所示网络威胁管理方法的具体流程示意图。该步骤s10可以包括步骤s11至s13。s11、在预设时间段内接收威胁数据及对应的威胁来源信息。数据处理子系统20在预设时间段内实时接收监测子系统10发送的威胁数据及对应的威胁来源信息。其中，该预设时间段可以为一天，也可以为六个小时等等，可以根据需求进行设置，在此不做具体限制。s12、获取所述威胁数据对应的威胁参数。在接收到威胁数据后，将对威胁数据进行处理以获取到威胁数据对应的威胁参数。具体地，在一实施例中，如图4所示，图4为图3所示网络威胁管理方法的具体流程示意图。该步骤s12可以包括步骤s121至s122。s121、获取所述威胁数据对应的威胁类型。在该实施例中，该威胁参数可以包括威胁类型。其中，该威胁类型可以包括分布式拒绝服务(distributeddenialofservice，简称ddos)攻击类型、木马注入类型、病毒软件类型、钓鱼网站类型等，在此不做具体限制。在一实施例中，监测子系统10在监测到网络访问行为存在威胁时，若监测子系统10无法判断出该威胁对应的威胁类型，此时监测子系统10上报的威胁数据中将会携带该威胁对应的威胁特征。数据处理子系统20在接收到该威胁数据后，将基于威胁特征数据库获取所述威胁特征对应的威胁类型。其中，该威胁特征数据库中预先存储了大量的预设威胁类型及每个预设威胁类型对应的预设威胁特征。该数据处理子系统20根据威胁数据中携带的威胁特征在威胁特征数据库中进行特征匹配。若数据处理子系统20在该威胁特征数据库中匹配到与该威胁特征相同或相似的预设威胁特征，获取该预设威胁特征对应的预设威胁类型作为该威胁特征对应的威胁类型，也即该威胁数据对应的威胁类型。若数据处理子系统20在威胁特征数据库中未匹配到与该威胁特征相同或相似的预设威胁特征，说明该威胁特征对应的威胁可能不是数据处理子系统20认可的威胁，此时数据处理子系统20可以忽略该威胁数据，即该威胁数据为无效威胁数据，这样该威胁数据及对应的威胁来源信息也不会被记录在威胁记录数据库中。譬如，该威胁特征对应的威胁是比较老套的威胁，对网络造成的影响很小，或者该威胁特征对应的威胁是假的威胁等等，此时数据处理子系统20就可以忽略该威胁数据。在一实施例中，该监测子系统10在监测到网络访问行为存在威胁时，若该监测子系统10可以判断出该威胁对应的威胁类型，那么监测子系统10上报的威胁数据中将会携带该威胁类型。此时该数据处理子系统20可以获取所述威胁数据中携带的威胁类型即可。进一步地，在一实施例中，当数据处理子系统20获取所述威胁数据中携带的威胁类型之后，还包括：根据所述威胁特征数据库判断所述威胁类型是否为有效威胁类型。具体地，判断所述威胁特征数据库中是否存在与所述威胁类型匹配的预设威胁类型。若所述威胁特征数据库中存在与所述威胁类型匹配的预设威胁类型，说明该威胁数据中携带的威胁类型是数据处理子系统20所认可的类型，即该威胁类型为有效威胁类型，此时该数据处理子系统20可以执行步骤s122。相反地，若所述威胁特征数据库中不存在与所述威胁类型匹配的预设威胁类型，说明该威胁数据中携带的威胁类型不是该数据处理子系统20认可的类型，此时该数据处理子系统20将忽略该威胁数据及对应的威胁来源信息，从而避免这些老套的威胁等无效威胁类型占用该数据处理子系统20的资源。s122、基于预设关系表获取所述威胁类型对应的威胁程度，其中，所述预设关系表用于存储所述威胁类型与威胁程度的对应关系，所述威胁程度用于表征所述威胁类型对应的威胁结果的严重程度。在一实施例中，该威胁参数还包括威胁程度。该威胁程度是与威胁类型相关的参数。该威胁程度可以表征威胁类型对应的威胁结果的严重程度。譬如，以威胁类型为ddos攻击类型和钓鱼网站类型为例。由于ddos攻击类型可能会导致服务器瘫痪，无法向成千上万的客户端提供正常服务，ddos攻击类型的威胁所产生的后果较严重，也即该ddos攻击类型对应的威胁程度为较严重。而对于钓鱼网站类型来说，更多地是真对部分访问某网站的用户，相比于ddos攻击类型来说，其产生的结果相对较轻，也即该钓鱼网站类型对应的威胁程度为较轻。在一实施例中，该威胁程度可以包括多个等级。等级越高，说明威胁类型对应的威胁结果越严重。譬如，当威胁程度包括三个等级时，可以将ddos攻击类型对应的威胁程度设置为最高级，即三级，而钓鱼网站类型对应的威胁程度设置为最低级，即一级。可以理解的是，预设关系表中，威胁类型与威胁程度的对应关系可以由开发人员等根据实际情况预先设置。譬如，当开发人员认为钓鱼网站类型和ddos攻击类型对应的威胁结果均很严重时，可将钓鱼网站类型和ddos攻击类型均设置成三级。当然，也可以通过机器学习的方式对大数据进行学习得到威胁类型与威胁程度的对应关系，在此不做具体限制。在一实施例中，该威胁参数除了可以包括威胁类型和威胁程度外，还可以包括其他参数。譬如，该威胁参数还可以包括威胁范围和威胁次数等等。当威胁参数包括威胁范围和威胁次数时，该步骤s12还包括：基于所述威胁记录数据库，统计所述威胁数据对应的威胁次数和威胁范围，其中，所述威胁范围用于表征所述威胁记录数据库中所述威胁数据对应的威胁来源信息的数量，所述威胁次数用于表征所述威胁来源信息对应的所述威胁数据出现的次数。在该威胁记录数据库中，会记载预设时间段内接收到的威胁数据及其对应的威胁来源信息，因此，可以在威胁记录数据库中统计该威胁数据对应的威胁次数和威胁范围。具体地，对于威胁范围来说，可以在威胁记录数据库中查找该威胁数据对应的威胁来源信息的数量，然后根据该数量的多少来界定对应的威胁范围。譬如，假设当前数据处理子系统20接收到的威胁数据为a。在威胁记录数据库中，统计到该威胁数据a与10个不同的威胁来源信息均建立对应关系。假设划分规则为：小于等于5个威胁来源信息的威胁范围为一级范围，5至20个威胁来源信息的威胁范围为二级范围，大于等于20个威胁来源信息的威胁范围为三级范围。此时将会界定当前数据处理子系统20接收到的威胁数据a的威胁范围为二级范围。具体地，对于威胁次数来说，该威胁次数是针对当前接收到的威胁数据对应的威胁来源信息而言的。譬如，假设当前数据处理子系统20接收到的威胁数据为a，对应的威胁来源信息为a。假设在威胁记录数据库中查找到该威胁来源信息a对应的威胁数据a出现的次数为2，说明以前该威胁来源信息a就已经上报过两次威胁数据a，那么此次基于威胁记录数据库获取的威胁数据a对应的威胁次数即为3。s13、将所述威胁数据、所述威胁数据对应的威胁参数及所述威胁来源信息统计在威胁记录数据库中。在获取到威胁数据对应的威胁参数后，将威胁数据、威胁数据对应的威胁参数及对应的威胁来源信息统计在威胁记录数据库中。其中，该威胁参数可以理解为该威胁数据的属性。在一实施例中，数据处理子系统20可以每接收到一个威胁数据及对应的威胁来源信息就执行步骤s12至s13，即实时接收威胁数据及对应的威胁来源信息并对其进行处理，可以提高数据处理子系统20的处理效率。在数据处理子系统20将预设时间段内接收到的全部威胁数据及对应的威胁来源信息统计在威胁记录数据库之后，数据处理子系统20将对威胁记录数据库中的每个威胁来源信息及其对应的全部威胁数据执行步骤s20至步骤s50。s20、获取所述威胁记录数据库中所述威胁来源信息对应的至少一个所述威胁数据。在一实施例中，由于该威胁记录数据库中每个威胁数据均对应有威胁参数，该威胁参数相当于威胁数据的属性，所以，数据处理子系统20在获取威胁来源信息对应的威胁数据时，也同时获取到每个威胁数据对应的威胁参数。譬如，假设威胁记录数据库中威胁来源信息a对应了4个威胁数据，那么数据处理子系统20将获取威胁来源信息a对应的4个威胁数据及每个威胁数据对应的威胁参数，并执行步骤s30。s30、根据预设计算规则计算每个所述威胁数据对应的评分分数。具体地，在一实施例中，如图5所示，图5为图2所示网络威胁管理方法的具体流程示意图。该步骤s30包括步骤s31至s32。s31、计算每个所述威胁数据对应的威胁等级。在本实施例中，该数据处理子系统20中预先存储有威胁参数与威胁等级之间的关系表达式。该威胁参数与威胁等级之间的关系表达式可以通过大数据学习方法预先获得。譬如，有1000份样本数据，每份样本数据都有a，b，c，d四个参数，其中，a表示威胁次数，b表示威胁类型对应的编号，c表示威胁程度，d表示威胁范围。通过线性回归统计分析方法，对1000份样本数据进行学习就可以得到线性回归表达式，该线性回归表达式即为威胁参数与威胁等级之间的关系表达式。该关系表达式可以根据样本数据的不断更新而定期进行更新。需要说明的是，威胁参数与威胁等级之间的关系表达式可以采用其他方法学习获得，在此不做具体限制。该数据处理子系统20计算每个所述威胁数据对应的威胁等级时，可以根据所述威胁数据对应的威胁参数计算所述威胁数据对应的威胁等级。具体地，将每个威胁数据对应的威胁参数带入到预先存储的威胁参数与威胁等级之间的关系表达式，从而计算得到每个威胁数据对应的威胁等级。譬如，威胁来源信息a对应了4个威胁数据，那么经过步骤s31之后，就可以获得分别与4个威胁数据对应的4个威胁等级。s32、根据所述威胁等级获取所述威胁数据对应的评分分数。在获取到每个威胁数据对应的威胁等级后，可以根据威胁等级与评分分数之间的预设对应关系来获取每个威胁等级对应的评分分数，这样就可以获取到每个威胁数据对应的评分分数。譬如，威胁等级分为三级，分别为level1、level2、level3。威胁等级越高，说明威胁的后果越严重。在预设对应关系中，上述三个威胁等级对应的评分分数分别为-10、-20、-30。当威胁数据对应的威胁等级为level1时，该威胁数据对应的评分分数为-10分。又或者，在预设对应关系中，上述三个威胁等级对应的评分分数分别为10、20、30。当威胁数据对应的威胁等级为level1时，该威胁数据对应的评分分数为10分。可以理解的是，该预设对应关系中，威胁等级与评分分数的对应关系不局限于上述对应关系，还可以为其他种对应关系，在此不做具体限制。s40、根据所有所述威胁数据对应的评分分数计算所述威胁来源信息对应的总分数。譬如，威胁来源信息a对应有4个不同的威胁数据，那么经过步骤s30之后，会分别得到4个对应的评分分数，然后根据这4个评分分数计算该威胁来源信息a对应的总分数。具体地，当评分分数为负数分数时，譬如，4个评分分数分别为-10分、-10分、-20和-30分。该威胁来源信息a对应的总分数可以为在100的基础上逐一加上4个评分分数，如：100+(-10)+(-10)+(-20)+(-30)＝30，即威胁来源信息a对应的总分数为30分。此种计算方式下，总分数越低，说明该威胁来源信息a对网络产生的威胁越严重，需要进行ip封杀等严重处理。具体地，当评分分数为正数分数时，譬如，4个评分分数分别为10分、10、20分和30分时。该威胁来源信息a对应的总分数为4个评分分数之和，如：10+10+20+30＝70分，即威胁来源信息a对应的总分数为70分。此种计算方式下，总分数越高，说明该威胁来源信息a对网络产生的威胁越严重，需要进行ip封杀等严重处理。s50、将所述威胁来源信息及对应的总分数发送至所述网管子系统，以使得所述网管子系统根据所述总分数对所述威胁来源信息进行预设处理。在一实施例中，数据处理子系统20根据步骤s20至s40计算出威胁记录数据库中每个威胁来源信息对应的总分数后，将每个威胁来源信息以及对应的总分数一起发送至网管子系统30。一次性发送的方式可以减少数据处理子系统20与网管子系统30之间的交互次数，使得数据处理子系统20与网管子系统30的资源得到合理利用。在另一实施例中，数据处理子系统20在根据步骤s20至s40每计算出一个威胁来源信息及其对应的总分数后，就将该威胁来源信息及对应的总分数发送至网管子系统30。然后数据处理子系统20再对威胁记录数据库中下一个威胁来源信息进行步骤s20至s50，以此类推，直至将威胁记录数据库中每个威胁来源信息对应的总分数发送至网管子系统30为止。网管子系统30可以根据接收到的总分数对威胁来源信息进行预设处理。其中，该预设处理可以包括ip封杀、提示警告信息、提示警告信息并推送杀毒软件、推送网络安全常识等等。具体地，该网管子系统30中预先存储有总分数与预设处理的对应关系表，根据该对应关系表即可以查找到每个总分数对应的预设处理，也即每个威胁来源信息对应的预设处理。譬如，当评分分数为负数分数时，该对应关系表可以如表1所示。表1总分数预设处理总分数≤30分ip封杀30＜总分数≤60分提示警告信息60＜总分数≤80分提示警告信息并推送杀毒软件80＜总分数＜100分推送网络安全常识又譬如，当评分分数为正数分数时，该对应关系表可以如表2所示。表2总分数预设处理80＜总分数＜100分ip封杀60＜总分数≤80分提示警告信息30＜总分数≤60分提示警告信息并推送杀毒软件总分数≤30分推送网络安全常识需要说明的是，表1和表2所示的预设处理以及总分数与预设处理之间的对应关系仅仅是起到示范说明的作用，在实际使用过程中，可以根据需求进行相关更改设置，在此不做限制。譬如，当网管子系统30根据表1查找到威胁信息来源a对应的预设处理为ip封杀时，该网管子系统30可以对该威胁信息来源进行ip封杀，使得该ip地址在一定的时间内或者永久性地不能连接网络，从而从威胁源头上阻击网络威胁，提高网络安全防护的有效性，进而提高网络的安全性。又譬如，当网管子系统30根据表1查找到威胁信息来源a对应的预设处理为提示警告信息并推送杀毒软件时，说明该威胁来源信息对应的用户可能是无意中对网络造成威胁，如，无意中将带有病毒的软件上传至网络等等.此时网管子系统30可以向该威胁来源信息对应的用户发送提示警告信息以警告用户不能再次发送带有病毒的某软件至网络，同时，可以向该用户推送一些杀毒软件，以使得一些无意中对网络造成威胁的用户可以安装更好的杀毒软件来进行安全上网，从而避免非法人员利用这部分用户进行病毒传播等非法行为。在一实施例中，在数据处理子系统20执行完步骤s50之后，数据处理子系统20将删除所述威胁记录数据库中的数据信息以进行下一个周期的威胁数据的统计。这样就可以记录下一个周期中所获取到的新的威胁数据及对应的威胁来源信息，避免威胁记录数据库中历史数据占用过多的内存。在本实施例中，该网络威胁管理方法通过对预设时间段内的威胁数据及威胁来源信息进行统计，并计算威胁记录数据库中每个威胁来源信息对应的每个威胁数据的评分分数，再根据每个威胁数据对应的评分分数计算对应的威胁来源信息的总评分，然后将威胁来源信息及总评分发送至网管子系统30，以使得网管子系统30根据总评分对威胁来源信息进行ip封杀等预设处理，从而从网络威胁的源头上主动地阻击网络威胁，提高网络安全防护的有效性，提高网络的安全性。本申请实施例还提供一种网络威胁管理装置，该网络威胁管理装置用于执行前述任一项网络威胁管理方法。具体地，请参阅图6，图6是本申请实施例提供的一种网络威胁管理装置的示意性框图。网络威胁管理装置300可以应用于网络威胁管理系统100，具体应用于该网络威胁管理系统100中的数据处理子系统20所在的服务器中。如图6所示，网络威胁管理装置300包括威胁统计单元310、威胁数据获取单元320、第一计算单元330、第二计算单元340和发送单元350。威胁统计单元310，用于将预设时间段内接收到的威胁数据及对应的威胁来源信息统计在威胁记录数据库中，其中，所述威胁数据及对应的威胁来源信息为所述监测子系统在监测到网络访问行为存在威胁时向所述数据处理子系统上报的数据。在本实施例中，该威胁统计单元310在预设时间段内实时接收威胁数据及对应的威胁来源信息，并将这些威胁数据及对应的威胁来源信息统计在威胁记录数据库中。其中，该威胁记录数据库用于记录威胁来源信息、威胁数据以及两者之间的对应关系。在该威胁记录数据库中，每个威胁来源信息可以对应多个不同的威胁数据，同一个威胁数据也可以对应不同的威胁来源信息。在一实施例中，该威胁来源信息可以包括网络访问行为对应的互联网协议地址。当然，该威胁来源信息还可以包括其他信息，在此不做具体限制。具体地，在一实施例中，如图7所示，图7为是本申请实施例提供的一种网络威胁管理装置的另一示意性框图。该威胁统计单元310包括接收子单元311、参数获取子单元312和统计子单元313。接收子单元311，用于在预设时间段内接收威胁数据及对应的威胁来源信息。接收子单元311在预设时间段内实时接收监测子系统10发送的威胁数据及对应的威胁来源信息。接收子单元311将接收到的威胁数据及对应的威胁来源信息发送至参数获取子单元312。参数获取子单元312，用于获取所述威胁数据对应的威胁参数。参数获取子单元312在接收到威胁数据后，将对威胁数据进行处理以获取到威胁数据对应的威胁参数。具体地，该参数获取子单元312具体用于：获取所述威胁数据对应的威胁类型；以及基于预设关系表获取所述威胁类型对应的威胁程度，其中，所述预设关系表用于存储所述威胁类型与威胁程度的对应关系，所述威胁程度用于表征所述威胁类型对应的威胁结果的严重程度。在一实施例中，当威胁数据中携带威胁特征时，该参数获取子单元312获取所述威胁数据对应的威胁类型时，具体用于：将基于威胁特征数据库获取所述威胁特征对应的威胁类型。其中，该威胁特征数据库中预先存储了大量的预设威胁类型及每个预设威胁类型对应的预设威胁特征。在一实施例中，当威胁数据中携带威胁类型时，该参数获取子单元312获取所述威胁数据对应的威胁类型时，具体用于：获取所述威胁数据中携带的威胁类型。进一步地，在一实施例中，该威胁统计单元310还包括判断子单元，该判断子单元用于根据所述威胁特征数据库判断所述威胁类型是否为有效威胁类型。当判断子单元判断出该威胁类型为有效威胁类型时，该判断子单元向该参数获取子单元312发送第一控制信号，以使得该参数获取子单元312基于预设关系表获取所述威胁类型对应的威胁程度。在一实施例中，该威胁类型可以包括分布式拒绝服务(distributeddenialofservice，简称ddos)攻击类型、木马注入类型、病毒软件类型、钓鱼网站类型等，在此不做具体限制。该威胁程度是与威胁类型相关的参数。该威胁程度可以表征威胁类型对应的威胁结果的严重程度。预设关系表中，威胁类型与威胁程度的对应关系可以由开发人员等根据实际情况预先设置。当然，也可以通过机器学习的方式对大数据进行学习得到威胁类型与威胁程度的对应关系，在此不做具体限制。在一实施例中，该威胁参数除了可以包括上述的威胁类型和威胁程度外，还可以包括其他参数。譬如，该威胁参数还可以包括威胁范围和威胁次数等等。当威胁参数包括威胁范围和威胁次数时，该参数获取子单元312还用于：基于所述威胁记录数据库，统计所述威胁数据对应的威胁次数和威胁范围，其中，所述威胁范围用于表征所述威胁记录数据库中所述威胁数据对应的威胁来源信息的数量，所述威胁次数用于表征所述威胁来源信息对应的所述威胁数据出现的次数。统计子单元313，用于将所述威胁数据、所述威胁数据对应的威胁参数及所述威胁来源信息统计在威胁记录数据库中。在参数获取子单元312获取到威胁数据对应的威胁参数后，统计子单元313将威胁数据、威胁数据对应的威胁参数及对应的威胁来源信息统计在威胁记录数据库中。该威胁参数可以理解为威胁数据的属性。在一实施例中，接收子单元311可以每接收到一个威胁数据及对应的威胁来源信息，参数获取子单元312和统计子单元313就对该威胁数据进行相应处理，并将该威胁数据、威胁数据对应的威胁参数及威胁来源信息存储在威胁记录数据库中，从而提高网络威胁管理装置300的处理效率。在威胁统计单元310将预设时间段内接收到的全部威胁数据及对应的威胁来源信息统计在威胁记录数据库之后，威胁数据获取单元320、第一计算单元330、第二计算单元340和发送单元350将对威胁记录数据库中的每个威胁来源信息及其对应的全部威胁数据进行相处理。威胁数据获取单元320，用于获取所述威胁记录数据库中所述威胁来源信息对应的至少一个所述威胁数据。在一实施例中，由于该威胁记录数据库中每个威胁数据均对应有威胁参数，该威胁参数相当于威胁数据的属性，所以，威胁数据获取单元320在获取威胁来源信息对应的威胁数据时，也同时获取到每个威胁数据对应的威胁参数。譬如，假设威胁记录数据库中威胁来源信息a对应了4个威胁数据，那么威胁数据获取单元320将获取威胁来源信息a对应的4个威胁数据及每个威胁数据对应的威胁参数，并将威胁来源信息a及其对应的4个威胁数据和相关威胁参数发送至第一计算单元330。第一计算单元330，用于根据预设计算规则计算每个所述威胁数据对应的评分分数。具体地，在一实施例中，该第一计算单元330具体用于：计算每个所述威胁数据对应的威胁等级；以及根据所述威胁等级获取所述威胁数据对应的评分分数。在该实施例中，该网络威胁管理装置300中预先存储有威胁参数与威胁等级之间的关系表达式。该威胁参数与威胁等级之间的关系表达式可以通过大数据学习方法获得。第一计算单元330具体可以根据所述威胁数据对应的威胁参数计算所述威胁数据对应的威胁等级。譬如，第一计算单元330通过线性回归统计分析方法，根据所述威胁数据对应的威胁参数计算所述威胁数据对应的威胁等级。第一计算单元330将每个威胁数据对应的威胁参数带入到预先存储的威胁参数与威胁等级之间的关系表达式，即可以计算得到每个威胁数据对应的威胁等级。然后，第一计算单元330根据威胁等级与评分分数之间的预设对应关系来获取每个威胁等级对应的评分分数，这样就可以获取到每个威胁数据对应的评分分数。第二计算单元340，用于根据所有所述威胁数据对应的评分分数计算所述威胁来源信息对应的总分数。譬如，威胁来源信息a对应有4个不同的威胁数据，那么第一计算单元330将会计算得到4个对应的评分分数，然后第二计算单元340根据这4个评分分数计算该威胁来源信息a对应的总分数。发送单元350，用于将所述威胁来源信息及对应的总分数发送至所述网管子系统，以使得所述网管子系统根据所述总分数对所述威胁来源信息进行预设处理。在一实施例中，当第二计算单元340计算出威胁记录数据库中每个威胁来源信息对应的总分数后，发送单元350将每个威胁来源信息以及对应的总分数一起发送至网管子系统30。在另一实施例中，第二计算单元340每计算出一个威胁来源信息对应的总分数后，发送单元350就将该威胁来源信息及对应的总分数发送至网管子系统30。然后网络威胁关系装置300再对威胁记录数据库中下一个威胁来源信息进行相应处理，以此类推，直至将威胁记录数据库中每个威胁来源信息对应的总分数发送至网管子系统30为止。网管子系统30可以根据接收到的总分数对威胁来源信息进行预设处理。其中，该预设处理可以包括ip封杀、提示警告信息、提示警告信息并推送杀毒软件、推送网络安全常识等等。在一实施例中，如图7所示，网络威胁管理装置300还包括删除单元360。该删除单元360用于删除所述威胁记录数据库中的数据信息以进行下一个周期的威胁数据的统计。这样就可以记录下一个周期中所获取到的威胁数据及对应的威胁来源信息，避免威胁记录数据库中历史数据占用过多的内存。所属领域的技术人员可以清楚地了解到，为了说明书的简洁性，上述描述的网络威胁管理装置300和各个单元的具体工作过程，可以参考前述网络威胁管理方法的实施例中的对应过程，在此不再赘述。本实施例中的网络威胁管理装置300，通过威胁统计单元310对预设时间段内的威胁数据及威胁来源信息进行统计，并由第一计算单元330计算威胁来源信息对应的每个威胁数据的评分分数，第二计算单元340再根据每个威胁数据对应的评分分数计算对应的威胁来源信息的总评分，然后发送单元350将威胁来源信息及总评分发送至网管子系统30，以使得网管子系统30根据总评分对威胁来源信息进行ip封杀等预设处理，从而从网络威胁的源头上主动地阻击网络威胁，提高网络安全防护的有效性，提高网络的安全性。上述网络威胁管理装置可以实现为一种计算机程序的形式，计算机程序可以在如图8所示的计算机设备上运行。请参阅图8，图8是本申请实施例提供的一种计算机设备的示意性框图。该计算机设备400设备可以是服务器。该服务器上可以搭载数据处理子系统。参阅图8，该计算机设备400包括通过系统总线410连接的处理器420、存储器和网络接口450，其中，存储器可以包括非易失性存储介质430和内存储器440。该非易失性存储介质430可存储操作系统4301和计算机程序4302。该计算机程序4302包括程序指令，该程序指令被执行时，可使得处理器420执行一种网络威胁管理方法。该处理器420用于提供计算和控制能力，支撑整个计算机设备400的运行。该内存储器440为非易失性存储介质430中的计算机程序4302的运行提供环境，该计算机程序4302被处理器420执行时，可使得处理器420执行一种网络威胁管理方法。该网络接口450用于进行网络通信，如发送分配的任务等。本领域技术人员可以理解，图8中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备400的限定，具体的计算机设备400可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。其中，所述处理器420用于运行存储在存储器中的计算机程序4302，以实现如下功能：将预设时间段内接收到的威胁数据及对应的威胁来源信息统计在威胁记录数据库中，其中，所述威胁数据及对应的威胁来源信息为所述监测子系统在监测到网络访问行为存在威胁时向所述数据处理子系统上报的数据；获取所述威胁记录数据库中所述威胁来源信息对应的至少一个所述威胁数据；根据预设计算规则计算每个所述威胁数据对应的评分分数；根据所有所述威胁数据对应的评分分数计算所述威胁来源信息对应的总分数；以及将所述威胁来源信息及对应的总分数发送至所述网管子系统，以使得所述网管子系统根据所述总分数对所述威胁来源信息进行预设处理。在一实施例中，处理器420在执行将预设时间段内接收到的威胁数据及对应的威胁来源信息统计在威胁记录数据库中时，具体执行如下程序：在预设时间段内接收威胁数据及对应的威胁来源信息；获取所述威胁数据对应的威胁参数；以及将所述威胁数据、所述威胁数据对应的威胁参数及所述威胁来源信息统计在威胁记录数据库中。在一实施例中，处理器420在执行获取所述威胁数据对应的威胁参数时，具体执行如下程序：获取所述威胁数据对应的威胁类型；以及基于预设关系表获取所述威胁类型对应的威胁程度，其中，所述预设关系表用于存储所述威胁类型与威胁程度的对应关系，所述威胁程度用于表征所述威胁类型对应的威胁结果的严重程度。在一实施例中，处理器420在执行获取所述威胁数据对应的威胁类型时，具体执行如下程序：获取所述威胁数据中携带的威胁类型；或者若所述威胁数据中携带威胁特征，基于威胁特征数据库获取所述威胁特征对应的威胁类型。在一实施例中，处理器420在执行获取所述威胁数据中携带的威胁类型之后，还执行如下程序：根据所述威胁特征数据库判断所述威胁类型是否为有效威胁类型；以及若所述威胁类型为有效威胁类型，执行基于预设关系表获取所述威胁类型对应的威胁程度的步骤。在一实施例中，处理器420在执行获取所述威胁数据对应的威胁参数时，还执行如下程序：基于所述威胁记录数据库，统计所述威胁数据对应的威胁次数和威胁范围，其中，所述威胁范围用于表征所述威胁记录数据库中所述威胁数据对应的威胁来源信息的数量，所述威胁次数用于表征所述威胁来源信息对应的所述威胁数据出现的次数。在一实施例中，处理器420在执行根据预设计算规则计算每个所述威胁数据对应的评分分数时，具体执行如下程序：计算每个所述威胁数据对应的威胁等级；以及根据所述威胁等级获取所述威胁数据对应的评分分数。应当理解，在本申请实施例中，处理器420可以是中央处理单元(centralprocessingunit，cpu)，该处理器420还可以是其他通用处理器、数字信号处理器(digitalsignalprocessor，dsp)、专用集成电路(applicationspecificintegratedcircuit，asic)、现成可编程门阵列(field-programmablegatearray，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中，通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。在本申请的另一实施例中提供一种存储介质。该存储介质可以为计算机可读存储介质。该存储介质存储有计算机程序，其中计算机程序包括程序指令。该程序指令被处理器执行时实现：将预设时间段内接收到的威胁数据及对应的威胁来源信息统计在威胁记录数据库中，其中，所述威胁数据及对应的威胁来源信息为所述监测子系统在监测到网络访问行为存在威胁时向所述数据处理子系统上报的数据；获取所述威胁记录数据库中所述威胁来源信息对应的至少一个所述威胁数据；根据预设计算规则计算每个所述威胁数据对应的评分分数；根据所有所述威胁数据对应的评分分数计算所述威胁来源信息对应的总分数；以及将所述威胁来源信息及对应的总分数发送至所述网管子系统，以使得所述网管子系统根据所述总分数对所述威胁来源信息进行预设处理。在一实施例中，该程序指令被处理器执行将预设时间段内接收到的威胁数据及对应的威胁来源信息统计在威胁记录数据库中时，具体实现：在预设时间段内接收威胁数据及对应的威胁来源信息；获取所述威胁数据对应的威胁参数；以及将所述威胁数据、所述威胁数据对应的威胁参数及所述威胁来源信息统计在威胁记录数据库中。在一实施例中，该程序指令被处理器执行获取所述威胁数据对应的威胁参数时，具体实现：获取所述威胁数据对应的威胁类型；以及基于预设关系表获取所述威胁类型对应的威胁程度，其中，所述预设关系表用于存储所述威胁类型与威胁程度的对应关系，所述威胁程度用于表征所述威胁类型对应的威胁结果的严重程度。在一实施例中，该程序指令被处理器执行获取所述威胁数据对应的威胁类型时，具体实现：获取所述威胁数据中携带的威胁类型；或者若所述威胁数据中携带威胁特征，基于威胁特征数据库获取所述威胁特征对应的威胁类型。在一实施例中，该程序指令被处理器执行获取所述威胁数据中携带的威胁类型之后，还实现：根据所述威胁特征数据库判断所述威胁类型是否为有效威胁类型；以及若所述威胁类型为有效威胁类型，执行基于预设关系表获取所述威胁类型对应的威胁程度的步骤。在一实施例中，该程序指令被处理器执行获取所述威胁数据对应的威胁参数时，还实现：基于所述威胁记录数据库，统计所述威胁数据对应的威胁次数和威胁范围，其中，所述威胁范围用于表征所述威胁记录数据库中所述威胁数据对应的威胁来源信息的数量，所述威胁次数用于表征所述威胁来源信息对应的所述威胁数据出现的次数。在一实施例中，该程序指令被处理器执行根据预设计算规则计算每个所述威胁数据对应的评分分数时，具体实现：计算每个所述威胁数据对应的威胁等级；以及根据所述威胁等级获取所述威胁数据对应的评分分数。该存储介质可以是u盘、移动硬盘、只读存储器(rom，read-onlymemory)、磁碟或者光盘等各种可以存储程序代码的介质。本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的。例如，各个单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。本申请实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。本申请实施例装置中的单元可以根据实际需要进行合并、划分和删减。另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，终端，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本
技术领域：
的技术人员在本申请揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以权利要求的保护范围为准。当前第1页12