(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111346994.9 (22)申请日 2021.11.15 (71)申请人 中国电信股份有限公司 地址 100033 北京市西城区金融大街31号 (72)发明人 刘东鑫　秦悦　黄冬梅　史国水　 汪来富　 (74)专利代理 机构 中国贸促会专利商标事务所 有限公司 1 1038 代理人 肖靖 (51)Int.Cl. H04L 9/40(2022.01) G06K 9/62(2022.01) (54)发明名称 安全风险评估方法、 装置及存 储介质 (57)摘要 本公开涉及安全风险评估 方法、 装置及存储 介质。 安全风险评估方法包括： 采集包括多个安 全域的对象系统的安全告警日志和资产信息， 并 对采集到的安全告警日志和资产信息进行预处 理； 将预处理后的安全告警日志和资产信息的文 本信息转换成欧式空间向量， 基于安全告警日志 向量和资产信息向量的余弦相关性进行过滤； 基 于表示安全域的安全等级的安全 标记信息， 针对 每个安全域分配安全等级权重； 以预定时间周 期， 根据每个安全域的安全告警日志， 生成每个 安全域的典型特征向量； 针对每个安全域， 分别 根据典型特征向量与预定的多个基准向量来计 算夹角余弦相关值； 以及将所有安全域的安全等 级权重和夹角余弦相关值加权求和， 求出安全风 险评估结果。 权利要求书2页 说明书7页 附图3页 CN 114095225 A 2022.02.25 CN 114095225 A 1.一种安全风险评估方法， 包括： 采集包括多个安全域的对象系统 的安全告警日志和资产信 息， 并对采集到的安全告警 日志和资产信息进行 预处理以去除无用信息； 将预处理后的安全告警日志和资产信息的文本信息转换成欧式空间向量以在向量空 间中进行建模， 基于安全告警日志向量和资产信息 向量的余弦相关性， 对安全告警日志和 资产信息进行 过滤； 基于表示 安全域的安全等级的安全标记信息， 针对每 个安全域分配安全等级权 重； 以预定时间周期， 根据每 个安全域的安全告警日志， 生成每 个安全域的典型 特征向量； 针对每个安全域， 分别根据典型特征向量与预定的多个基准向量来计算夹角余弦相关 值； 以及 将所有安全域的安全等级权 重和夹角余弦相关值加权求和， 求出安全风险评估结果。 2.根据权利要求1所述的方法， 其中， 所述预处理包括根据资产版本信 息过滤安全告警日志和/或根据停用词表对安全告警 日志和资产数据过 滤无关的关键词。 3.根据权利要求1所述的方法， 其中， 基于安全告警日志向量和资产信息向量的余弦相关性对安全告警日志和资产信息进 行过滤包括在所述余弦相关性小于规定的阈值时判定为安全告警日志的相关性低而将其 去除。 4.根据权利要求1所述的方法， 其中， 所述安全等级包括关键、 重要、 普通这三个等级， 关键、 重要、 普通各自的权重值满足以 下条件， Key‑Important＝Important–Common＝alpha， alpha∈[0.2,0.3]， 其中， Key表示关键的权重值， Important表示重要的权重值， Common表示普通的权重 值， alpha表示各等级间的差值。 5.根据权利要求3所述的方法， 其中， 根据 求得Key、 I mportant、 Common的数值， 从而得到 各安全域的权重 数值， N为安全域的总数。 6.根据权利要求1所述的方法， 其中， 在生成典型特征向量时， 安全域i的典型特征向量构成为由事前扫描的低危事件的有 无、 事前扫描的中危事件的有无、 事前扫描的高危事件的有无、 事中检测的低危事件的有 无、 事中检测的中危事件的有无、 事中检测的高危事件的有无、 事后审计的低危事件的有 无、 事后审计的中危事件的有无、 事后审计的高危事件的有无构成的向量， 其中， 在有的时 候用1表示， 在无的时候用0表示， i 为安全域的编号， i 为自然数， i≤N， N 为安全域的总数。 7.根据权利要求1所述的方法， 其中， 根据典型特征向量与预定的多个基准向量来计算夹角余弦相关值可以分别对典型特 征向量与多个基准向量进 行余弦相关计算而得到多个余弦相关值， 选择其中最大的余弦相 关值作为夹角余弦相关值权　利　要　求　书 1/2 页 2 CN 114095225 A 28.根据权利要求1所述的方法， 其中， 根据典型特征向量与预定的多个基准向量来计算夹角余弦相关值还可以分别对典型 特征向量与多个基准向量进行余弦相关计算而得到多个余弦相关值， 将其中最大的余弦相 关值乘以其对应的权 重得到的值作为夹角余弦相关值。 9.一种安全风险评估 装置， 包括： 存储器， 其上存 储有指令； 以及 处理器， 被配置为执行存储在所述存储器上的指令， 以执行根据权利要求1至8中的任 一项所述的方法。 10.一种计算机可读存储介质， 包括计算机可执行指令， 所述计算机可执行指令在由一 个或多个处理器执行时， 使得所述一个或多个处理器执行根据权利要求 1至8中的任意一项 所述的方法。权　利　要　求　书 2/2 页 3 CN 114095225 A 3