一种确定漏洞和情报信息活跃度的方法，装置及介质

技术领域

本发明涉及信息安全技术领域，特别是涉及一种确定漏洞和情报信息活跃度的方法，装置及介质。

背景技术

病毒，木马，蠕虫等网络攻击事件对国家政治、经济和社会造成严重危害，这些威胁大多数都是利用应用软件或操作系统软件中存在的漏洞来达到窃取重要资料和信息，甚至破坏系统等目的。

目前，为了防止漏洞被攻击，主要是对安全设备采取单点统计的手段来获取安全设备被攻击时产生的漏洞相关数据，进而分析安全设备中漏洞被利用的情况。例如，在单台的防火墙、端点安全设备或态势感知平台等安全设备上，利用漏洞攻击安全设备时，会产生相应的漏洞相关数据，进而分析单台设备中漏洞的活跃度，所以采用单点统计的手段只能展示单个安全设备被攻击时的漏洞相关数据，并不能展示全网安全设备被攻击时的所有漏洞相关数据，进而不能展示全网的安全设备的漏洞活跃度。

由此可见，如何获取全网的安全设备的所有漏洞活跃度，是本领域技术人员亟待解决的问题。

发明内容

本发明的目的是提供一种确定漏洞和情报信息活跃度的方法，装置及介质，以统计全网的安全设备被攻击时所产生的漏洞相关数据和情报信息相关数据，并根据该漏洞相关数据和情报信息相关数据分析全网的所有漏洞的漏洞活跃度和情报信息活跃度。

为了解决上述技术问题，本发明提供了一种确定漏洞活跃度的方法，包括：

以第一预设时间间隔为周期，统计各周期内全网的安全设备被攻击情况下产生的漏洞相关数据，其中，所述漏洞相关数据为所述安全设备依据预先设定的漏洞规则所产生；

根据第二预设时间间隔内所有周期对应的所述漏洞相关数据，计算漏洞活跃度，其中，所述第二预设时间间隔大于所述第一预设时间间隔。

优选地，所述根据第二预设时间间隔内所有周期对应的所述漏洞相关数据，计算漏洞活跃度包括：

若一个漏洞对应一个所述漏洞规则，则以所述第一预设时间间隔为周期，统计各周期内所有所述漏洞对应的所述漏洞规则的命中次数；

根据以所述第二预设时间间隔为周期的各周期内所有所述漏洞对应的所述漏洞规则的命中次数，计算全网各所述漏洞的所述漏洞活跃度。

优选地，所述根据第二预设时间间隔内所有周期对应的所述漏洞相关数据，计算漏洞活跃度还包括：

若一个漏洞对应多个所述漏洞规则，则以所述第一预设时间间隔为周期，统计各周期内同属于一个所述漏洞对应的所述漏洞规则的命中次数；

根据以所述第二预设时间间隔为周期的各周期内同属于一个所述漏洞对应的所述漏洞规则的命中次数，计算全网各所述漏洞的所述漏洞活跃度。

优选地，在所述统计各周期内所有所述漏洞对应的所述漏洞规则的命中次数之后还包括：

根据以所述第二预设时间间隔为周期的各周期内所有所述漏洞对应的所述漏洞规则的命中次数，确定所有所述漏洞的漏洞趋势。

优选地，所述确定漏洞活跃度的方法还包括：

按照预设的活跃度等级和所述活跃度的对应关系，将所述漏洞活跃度换算成对应的所述活跃度等级。

优选地，在所述确定所有所述漏洞的漏洞趋势之后，还包括：

根据所述漏洞活跃度和/或所述漏洞趋势和/或所述活跃度等级和/或漏洞趋势的梯度，确定相应的防护措施。

为了解决上述技术问题，本发明还提供了一种确定漏洞活跃度的装置，包括：

第一统计模块，用于以第一预设时间间隔为周期，统计各周期内全网的安全设备被攻击情况下产生的漏洞相关数据，其中，所述漏洞相关数据为所述安全设备依据预先设定的漏洞规则所产生；

第一计算模块，用于根据第二预设时间间隔内所有周期对应的所述漏洞相关数据，计算漏洞活跃度，其中，所述第二预设时间间隔大于所述第一预设时间间隔。

为了解决上述技术问题，本发明还提供了一种确定情报信息活跃度的方法，包括：

以第一预设时间间隔为周期，统计各周期内全网的安全设备被攻击情况下产生的情报信息相关数据，其中，所述情报信息相关数据为所述安全设备依据预先设定的情报信息规则所产生；

根据第二预设时间间隔内所有周期对应的所述情报信息相关数据，计算情报信息活跃度，其中，所述第二预设时间间隔大于所述第一预设时间间隔。

为了解决上述技术问题，本发明还提供了一种确定情报信息活跃度的装置，包括：

第二统计模块，用于以第一预设时间间隔为周期，统计各周期内全网的安全设备被攻击情况下产生的情报信息相关数据，其中，所述情报信息相关数据为所述安全设备依据预先设定的情报信息规则所产生；

第二计算模块，用于根据第二预设时间间隔内所有周期对应的所述情报信息相关数据，计算情报信息活跃度，其中，所述第二预设时间间隔大于所述第一预设时间间隔。

为了解决上述技术问题，本发明还提供了一种设备，包括存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如所述的确定漏洞活跃度的方法，和/或如所述的确定情报信息活跃度的方法的步骤。

为了解决上述技术问题，本发明还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如所述的确定漏洞活跃度的方法，和/或如所述的确定情报信息活跃度的方法的步骤。

本发明所提供的确定漏洞活跃度的方法，包括：以第一预设时间间隔为周期，云端统计各周期内全网的安全设备被攻击情况下产生的漏洞相关数据，其中，漏洞相关数据为安全设备依据预先设定的漏洞规则所产生。云端统计全网的漏洞相关数据后，根据第二预设时间间隔内所有周期对应的漏洞相关数据，计算全网的安全设备的所有漏洞的漏洞活跃度。传统的采用单点统计手段只能展示单个安全设备被攻击时的漏洞相关数据，并不能展示全网安全设备被攻击时的漏洞相关数据，进而无法展示全网所有漏洞的漏洞活跃度。由此可见，本技术方案可以统计全网的安全设备被攻击时产生的所有漏洞相关数据，并根据该漏洞相关数据分析全网的所有漏洞的漏洞活跃度，为采取相应的防护措施提供了数据来源，提高全网安全防护水平。

此外，本发明所提供的确定漏洞活跃度的装置及介质，以及确定情报信息活跃度的方法，装置及介质与上述确定漏洞活跃度的方法对应，效果同上。

附图说明

为了更清楚地说明本发明实施例，下面将对实施例中所需要使用的附图做简单的介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种确定漏洞活跃度的方法的结构图；

图2为发明实施例提供的一种确定漏洞活跃度的方法流程图；

图3为本发明实施例提供的一种确定漏洞活跃度的装置结构图；

图4为本发明实施例提供的确定情报信息活跃度的装置结构图；

图5为本发明另一实施例提供的确定漏洞和情报信息活跃度的装置的结构图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下，所获得的所有其他实施例，都属于本发明保护范围。

本发明的核心是提供一种确定漏洞和情报信息活跃度的方法，装置及介质，以统计全网的安全设备被攻击时所产生的漏洞相关数据和情报信息相关数据，并根据该漏洞相关数据和情报信息相关数据分析全网的所有漏洞活跃度和情报信息活跃度。

为了使本技术领域的人员更好地理解本发明方案，下面结合附图和具体实施方式对本发明作进一步的详细说明。

安全设备包括IP协议密码机、安全路由器、防火墙、态势感知平台等，通常木马、网络监听、病毒等网络攻击事件均是利用安全设备中的漏洞达到实现攻击安全设备以获取重要信息，甚至破坏系统的目的。在具体实施中，以某个时间间隔为周期，检测各周期内某个漏洞被利用以攻击全网的安全设备的频率，若某个漏洞被利用以攻击全网的安全设备的频率呈下降或保持水平的趋势时，则无需发出警告且无需采取防护措施，若有漏洞被利用以攻击安全设备的频率呈缓慢上升或围绕一个固定值上下波动的趋势时，则需要发出警告以警示工作人员可能需要采取相应的防护措施，若有漏洞被利用以攻击安全设备的频率呈急剧上升的趋势，则需要发出警告并采取相应的防护措施。由此可见，了解全网的所有漏洞的漏洞活跃度对提高全网的网络安全水平有着至关重要的作用。

为了获取漏洞的漏洞活跃度，通常通过单点统计的手段获取单台安全设备被攻击时产生的漏洞相关数据以分析单台设备的漏洞活跃度，因此单点统计的手段只能展示单台安全设备的漏洞被利用的情况，并不能展示全网的漏洞相关信息。为了统计全网的所有漏洞的相关数据以了解全网所有漏洞的漏洞活跃度，本发明提供了一种确定漏洞活跃度的方法，为了便于理解，下面对本发明的技术方案所使用的硬件结构进行介绍。图1为本发明实施例提供的一种确定漏洞活跃度的方法的结构图，如图1所示，该结构包括多台安全设备，且多台安全设备与云端1连接，其中，云端1可以是一台服务器，也可以是多台服务器。首先，以第一预设时间间隔为周期，云端1统计各周期内所有安全设备被攻击时所产生的漏洞相关数据，并根据该漏洞相关数据，确定第二预设时间间隔内各周期对应的全网的所有漏洞的漏洞活跃度，为防止全网的安全设备被攻击，采取相应的防护措施提供数据来源。

图2为发明实施例提供的一种确定漏洞活跃度的方法流程图。如图2所示，该方法包括：

S10：以第一预设时间间隔为周期，统计各周期内全网的安全设备被攻击情况下产生的漏洞相关数据。

在具体实施例中，以第一预设时间间隔为周期，云端1统计各周期全网的安全设备被攻击情况下产生的漏洞相关数据，其中，漏洞相关数据为安全设备依据预先设定的漏洞规则所产生。预先设定的漏洞规则可以是云端1根据全网的安全设备的漏洞特征，从国内的各个漏洞共享平台获取相对应的攻击行为规则，且对各攻击行为规则进行编号获取到相对应的漏洞规则ID，然后将各攻击行为规则和与各攻击行为规则相对应的漏洞规则ID整合形成漏洞规则包，并将漏洞规则包推送至全网的安全设备。为了便于理解攻击行为规则，下面举例说明。例如，Microsoft Windows和Windows Server远程代码执行漏洞对应的行为规则为利用该漏洞实现远程代码执行。再例如，Oracle MySQL Server拒绝服务漏洞的攻击行为规则为利用该漏洞导致MySQL服务器挂起或频繁重复崩溃。

在具体实施例中，漏洞规则包可以是从国内的例如国家信息安全漏洞共享平台(CNVD)和国外的例如公共漏洞和暴露(Common Vulnerabilities&Exposures简称，CVE)平台获取符合安全设备的漏洞特征的攻击行为规则，并对各攻击行为规则制定相对应的漏洞规则ID，再将各攻击行为规则和与各攻击行为规则相对应的漏洞规则ID通过列表的形式整合在一起形成漏洞规则包，其中，整合可以是列表的形式，也可以是其他形式，本发明对此不作限定。需要说明的是，获取与安全设备的漏洞特征相符的攻击行为规则，可以是从国内的各个漏洞共享平台获取，也可以是从国外的各个漏洞共享平台获取，当然，也可以是国内外漏洞共享平台相结合以获取与安全设备的漏洞特征相符的攻击行为规则，本发明对此不作限定。此外，需要说明的是，推送至全网的漏洞规则包可以是相同的，也可以是根据所属于各安全设备的漏洞的特征获取不同漏洞规则包，并将不同的漏洞规则包推送至对应的安全设备，本发明对此不作限定，优选推送相同的漏洞规则包。

需要说明的是，对于将各攻击行为规则和与各攻击行为规则对应的漏洞规则ID整合成漏洞规则包，可以是检测到有新的漏洞产生，相对应的地，有新的攻击行为规则和新的漏洞规则ID产生时，重新整合攻击行为规则和与各攻击行为规则对应的漏洞规则ID整合形成漏洞规则包。也可以设定一个固定的周期对漏洞规则包做一次新的整合，例如，一周整合一次新的漏洞规则包。还可以是设定一个固定的周期，在固定周期后先检测是否新的攻击行为规则和新的漏洞规则ID产生，若有则重新整合新的漏洞规则包，否则不整合。本发明对此不作限定。

此外，还需要说明的是，攻击行为规则与漏洞规则ID一一对应，对各攻击行为规则可以是采用阿拉伯数字进行编号形成漏洞规则ID，也可以是采用罗马数字进行编号，当然也可以采用其他的编号形式，本发明对此不作限定。

当然，预先设定的漏洞规则也可以是其他的设定方式，对此本发明不作限定。考虑到云端1若直接获取符合全网安全设备的漏洞特征的攻击行为规则内容，则可能出现需要传输的数据量过大导致传输缓慢的情况，此外，考虑到分析攻击行为规则的内容以分析漏洞的活跃度难度较大，所以云端1获取到符合安全设备的漏洞特征的攻击行为规则后，对各攻击行为规则进行编号形成漏洞规则ID，以便于云端1根据漏洞规则ID确定漏洞活跃度，因此，优选包含攻击行为规则以及与各攻击行为规则对应的漏洞规则ID的漏洞规则包。为了方便理解，下面漏洞规则将以漏洞规则包为例进行说明，在具体实施例中云端1将漏洞规则包推送至与其所连接的所有安全设备中，当全网的安全设备受到攻击产生相应的漏洞相关数据时，以第一预设时间间隔为周期，云端1统计各周期内安全设备的所有漏洞的漏洞相关数据。

需要说明的是，对于云端1推送漏洞规则包至安全设备的时间以及时间间隔不作限定，若通过以往统计的数据显示所有漏洞的活跃度趋于稳定可以选择每隔一个固定时间进行一次推送，例如，一周推送一次，该推送方式可以保证安全设备能定期接收新的漏洞规则包，避免某个安全设备的漏洞规则包丢失或损坏导致无法统计全网所有漏洞的漏洞活跃度。

也可以是在一个固定时间间隔之后，先检测漏洞规则包是否更新攻击行为规则和与各攻击行为规则相对应的漏洞规则ID，即先检测漏洞规则包是否更新，若漏洞规则包更新则推送，否则不推送。在固定时间间隔之后先检测漏洞规则包是否更新的方式，可以避免漏洞规则包没有更新时依旧推送带来的不必要的工作，造成资源浪费。

还可以是一旦检测到漏洞规则包的攻击行为规则和与各攻击行为规则相对应的漏洞规则ID更新时，立即将新的漏洞规则包推送至全网的安全设备。该推送方式，当有新的攻击行为规则以及相对应的漏洞规则ID产生时，可以及时对安全设备的漏洞规则包进行更新，进而可以及时获取全网所有漏洞的漏洞活跃度的相关数据。

此外，还需要说明的是，云端1可以推送相同的漏洞规则包至全网的安全设备，也可以是依据业务的不同需求推送不同的漏洞规则包，对此本发明不做限定，优选推送相同的漏洞规则包。当然，当云端1检测到有新的安全设备连接云端1时，云端1可以单独给新的安全设备推送漏洞规则包，也可以等待到了统一推送时间时再推送漏洞规则包至新连接的安全设备中，对此本发明也不作限定，优选检测到有新的安全设备时就推送漏洞规则包至新的网络设备中。

在具体实施例中，云端1统计全网的安全设备被攻击时所产生的漏洞相关数据包括以下三种情况：

(1)全网的安全设备中一旦有安全设备(一台或多台)受到攻击产生相应的漏洞相关数据时，该安全设备立即主动将相应的漏洞相关数据上传至云端1并记录在安全日志中。

(2)各安全设备在一个预设周期后定时上传各自被攻击时所产生的漏洞相关数据至云端1。例如，距离上一次上传漏洞相关数据后一周的早上八点，全网各安全设备将被攻击时所产生的漏洞相关数据主动上传至云端1记录于安全日志中，需要说明的是，对于上传漏洞相关数据的预设周期本发明不作限定。

(3)当安全设备受到攻击并产生的漏洞相关数据时，发送获取到新的漏洞相关数据的指令给云端1，云端1接收到指令后主动获取全网的漏洞相关数据。需要说明的是，云端1接收到指令后，可以是立即获取漏洞相关数据，也可以是在预设时间间隔后再主动获取，本发明对此不作限定。

S11：根据第二预设时间间隔内所有周期对应的漏洞相关数据，计算漏洞活跃度。

以第一预设时间间隔为周期，在步骤S10统计各周期内全网所有安全设备被攻击时产生的漏洞相关数据之后，依据统计的漏洞相关数据，根据第二预设时间间隔内所有周期对应的漏洞相关数据，计算各周期内所有漏洞的漏洞活跃度。需要注意的是，第二预设时间间隔大于第一预设时间间隔。

在具体实施例中，全网的任意一个安全设备受到攻击时均会产生相对应的漏洞相关数据，云端1获取该漏洞相关数据，并将漏洞相关数据记录于安全日志中。除此以外，云端1还需要在第一预设时间间隔为周期的各周期内，对安全日志中记录的所有的漏洞相关数据进行聚合，并依据第二预设时间间隔内所有周期对应的漏洞相关数据，计算全网所有漏洞的漏洞活跃度。

当漏洞规则为漏洞规则包，其中，漏洞规则包包括各攻击行为规则和与各攻击行为规则相对应的漏洞规则ID时，安全设备依据漏洞规则产生的漏洞相关数据可以包括漏洞规则ID，还可以包括安全设备被攻击时符合漏洞特征的网络流量数据。由于依据漏洞规则ID被命中的次数即可分析全网所有漏洞的活跃度，所以云端1统计全网的安全设备被攻击时产生的漏洞相关数据并上传安全日志中的漏洞相关数据可以只包含漏洞规则ID，。当然，为了能更全面展示漏洞的相关信息，也可以将安全设备被攻击时符合漏洞特征的网络流量数据也上传至安全日志，以便于用户查看，本发明对此不作限定。需要注意的是，云端1在获取安全设备被攻击时所产生的漏洞相关数据时，需要对漏洞相关数据进行压缩、加密处理，保证传输速度的同时保证传输数据的安全性，当然，对于加密的方式本发明不作限定。

在具体实施例中，当一个漏洞对应一个漏洞规则时，则根据漏洞规则的命中次数计算漏洞的活跃度。当一个漏洞对应多个漏洞规则，则根据同属于一个漏洞的漏洞规则的命中次数计算漏洞的活跃度，如何根据漏洞规则ID的命中次数计算漏洞的活跃度，具体参见下文描述。

本发明实施例所提供的确定漏洞活跃度的方法，包括：以第一预设时间间隔为周期，云端统计各周期内全网的安全设备被攻击情况下产生的漏洞相关数据，其中，漏洞相关数据为安全设备依据预先设定的漏洞规则所产生。云端统计全网的漏洞相关数据后，根据第二预设时间间隔内所有周期对应的漏洞相关数据，计算全网的安全设备的所有漏洞的漏洞活跃度。传统的采用单点统计手段只能展示单个安全设备被攻击时的漏洞相关数据，并不能展示全网安全设备被攻击时的漏洞相关数据，进而无法展示全网所有漏洞的漏洞活跃度。由此可见，本技术方案可以统计全网的安全设备被攻击时产生的所有漏洞相关数据，并根据该漏洞相关数据分析全网的所有漏洞的漏洞活跃度，为采取相应的防护措施提供了数据来源，提高全网安全防护水平。

在具体实施例中，云端获取到安全设备被攻击时产生的相对应的漏洞相关数据后，需要对漏洞相关数据进行分析以计算全网的漏洞的活跃度。当一个漏洞对应一个漏洞规则时，则根据漏洞规则的命中次数计算漏洞的活跃度。为了便于理解，以漏洞规则为漏洞规则包为例进行说明，其中，漏洞规则包包括各攻击行为规则和与各攻击行为规则相对应的漏洞规则ID。

当一个漏洞对应一个攻击行为规则和一个漏洞规则ID时，可以直接将漏洞规则ID的命中次数作为漏洞的漏洞活跃度。例如，某漏洞A对应1个攻击行为规则和1个漏洞规则ID1，若漏洞A被利用用于攻击对应的安全设备时，可以将第一预设时间间隔为周期的各周期内漏洞规则ID1被命中的次数直接作为漏洞A的活跃度，例如，第一预设时间间隔为12个小时，12个小时内漏洞规则ID1被命中2次，则漏洞A的活跃度为2。

也可以先统计以第一预设时间间隔为周期的各周期内漏洞规则ID1的命中次数，再根据第二预设时间间隔内所有周期对应的漏洞规则ID1的命中次数的平均值作为漏洞A的活跃度。例如，第一预设时间间隔为1天，第二预设时间间隔为2天，第1天漏洞规则ID1命中1次，第2天漏洞规则ID1命中3次，则2天内漏洞规则ID1一共命中4次，平均每天命中2次，所以漏洞A的活跃度为2次。需要说明的是，第一预设时间间隔可以是1小时，半天，一天，一周等，第二预设时间间隔可以是2天，3天，一周，一个月等，本发明对此不做限定，但需要注意的是，第二预设时间间隔大于第一预设时间间隔。

在具体实施中，随着时代的发展会不断产生新的漏洞，相对应的会产生新的漏洞规则包，所以需要对安全设备的漏洞规则包进行更新。需要说明的是，推送新的漏洞规则包，可以是每隔一个固定的时间推送一次，例如，在距离上一次推送3天后早上8点，准时推送一次新的漏洞规则包至全网的安全设备。也可以是，每隔一个固定时间判断漏洞规则包是否更新内容，若更新则推送新的规则包至全网的安全设备，若未更新，则不推送，例如，在距离上一次更新一周后的早上8点，检测漏洞规则包是否更新，若更新则推送，否则不推送。还可以是，一旦检测到漏洞规则包更新时就推送一次新的漏洞规则包至安全设备。对此本发明不作限定，优选每隔一个固定时间推送一次。

本发明实施例所提供的确定漏洞活跃度的方法，漏洞对应的漏洞规则的个数根据漏洞对应的特征数量确定，所以各漏洞对应的漏洞规则可以是一个也可以是多个。计算漏洞的活跃度时，可以将漏洞规则的命中次数直接作为漏洞的活跃度，也可以先统计第一预设时间间隔为周期的各周期内漏洞规则的命中次数，再根据第二预设时间间隔内所有周期对应的漏洞规则的命中次数的平均值作为漏洞的漏洞活跃度。通过计算漏洞规则的命中次数以确定全网的漏洞的活跃度，计算方式简单便捷，且结果可以很直观的展示漏洞的活跃度，为采取相应的防护措施提供数据来源，进而提高全网的防护水平。

在上述实施例的基础上，当一个漏洞对应多个漏洞规则时，可以将以第一预设时间间隔为周期的各周期内同属一个漏洞的漏洞规则的命中次数之和直接作为该漏洞的活跃度。也可以先统计第一预设时间间隔为周期的各周期内漏洞规则的命中次数，再根据第二预设时间间隔内所有周期对应的同属一个漏洞的漏洞规则的命中次数之和的平均值作为该漏洞的活跃度。同样的，为了便于理解，以漏洞规则为漏洞规则包的情况为例进行说明，其中，漏洞规则包包括各攻击行为规则和与各攻击行为规则相对应的漏洞规则ID。

以第一预设时间间隔为周期，可以以各周期内同属一个漏洞的漏洞规则ID的命中次数之和直接作为该漏洞的活跃度，例如：漏洞B对应2个攻击行为规则和2个漏洞规则ID，2个漏洞规则ID分别为漏洞规则ID2和漏洞规则ID3。当漏洞B被利用，用于攻击对应的安全设备时，在第一预设时间间隔为12个小时内，漏洞规则ID2被命中1次，漏洞规则ID3被命中2次，则第一预设时间间隔12个小时内，漏洞规则ID2和漏洞规则ID3一共被命中3次，则漏洞B的活跃度为3次。同样的，第一预设时间间隔可以是1小时，半天，一天，一周等，本发明对此不做限定。

此外，可以以第一预设时间间隔为周期，统计各周期内漏洞规则的命中次数，再根据第二预设时间间隔内所有周期对应的同属一个漏洞的漏洞规则的命中次数之和的平均值作为该漏洞的活跃度。例如：漏洞C对应2个攻击行为规则和2个漏洞规则ID，2个漏洞规则ID分别为漏洞规则ID4和漏洞规则ID5，第一预设时间间隔为1天，第二预设时间间隔为2天。当漏洞B被利用，用于攻击对应的安全设备时，若第1天漏洞规则ID4被命中1次，漏洞规则ID5被命中2次，第2天漏洞规则ID4被命中2次，漏洞规则ID5被命中3次，则2天内漏洞规则ID4和漏洞规则ID5一共被命中8次，平均每天命中4次，因此漏洞C的活跃度为4次。同样的，第一预设时间间隔可以是1小时，半天，一天，一周等，第二预设时间间隔可以是2天，3天，一周，一个月等，本发明对此不做限定，但需要注意的是，第二预设时间间隔大于第一预设时间间隔。

本发明实施例所提供的确定漏洞活跃度的方法，当一个漏洞对应多个漏洞规则时，以第一预设时间间隔为周期，可以将各周期内同属一个漏洞的漏洞规则的命中次数之和直接作为该漏洞的活跃度。也可以先统计第一预设时间间隔为周期的各周期内漏洞规则的命中次数，再根据第二预设时间间隔内所有周期对应的同属一个漏洞的漏洞规则的命中次数之和的平均值作为该漏洞的活跃度。计算方式简单便捷，且结果可以很直观的展示漏洞的活跃度，为采取相应的防护措施提供数据来源，进而提高全网的防护水平。

在上述实施例的基础上，为了展示全网的漏洞被利用以攻击安全设备的趋势，以第一预设时间间隔为周期，在统计各周期内全网所有漏洞对应的漏洞规则命中次数之后，再根据第二预设时间间隔内所有周期对应的漏洞规则命中次数，计算所有漏洞的漏洞趋势，以便于用户查看并判断是否需要采取相应的防护措施。例如，若某漏洞的漏洞活跃度呈现急剧上升的趋势，则需要用户尽快采取防护措施，若某漏洞的漏洞活跃度呈现缓慢上升或围绕某值趋于稳定的趋势，则用户可以继续监测无需采取防护措施，若某漏洞的漏洞活跃度呈现下降的趋势，则用户可以不再继续监测。需要说明的是，漏洞趋势可以是以曲线图的形式呈现，也可以是以条形图的形式进行呈现，对于漏洞趋势的呈现形式本发明不作限定。

本发明实施例所提供的确定漏洞活跃度的方法，根据全网所有漏洞对应的漏洞规则命中次数以确定漏洞的漏洞趋势，用户可以直观地查看漏洞的活跃程度及趋势，进而可以根据漏洞趋势判断是否采取相应的防护措施，进一步提高全网的防护水平。

在具体实施例中，除了可以根据漏洞对应的漏洞规则命中次数确定全网所有漏洞的漏洞活跃度以便于用户采取相应的防护措施之外，还可以将全网所有的漏洞活跃度换算为漏洞活跃度等级，并将漏洞活跃度等级传输至安全日志以便于用户查看以及采取相应的防护措施。例如，漏洞活跃度等级以五角星进行标志，一颗星标志为低危漏洞，两颗和三颗星标志为中危漏洞，四颗星标志为高危漏洞，五颗星则标志为需要紧急处理的漏洞，根据全网所有漏洞的活跃度换算为漏洞等级后，用户可以根据漏洞等级进行防护措施的选择。需要说明的是，对于漏洞等级的划分以及标志形式，漏洞活跃度换算为漏洞等级的换算方式，本发明不作限定。

本发明实施例所提供的确定漏洞活跃度的方法，根据全网所有漏洞的漏洞活跃度，将漏洞活跃度换算为漏洞等级，用户可以根据漏洞等级直观地观察出漏洞的危险程度，进而可以及时采取相应的防护措施，进一步提升全网的防护水平。

在具体实施例中，云端分析并获取到全网所有漏洞的漏洞活跃度、漏洞趋势、漏洞活跃度等级以及漏洞趋势的梯度。其中，漏洞趋势的梯度为根据漏洞趋势呈现图划分不同梯度等级，用户可以通过漏洞趋势的梯度直观观察到全网各漏洞所在的梯度等级，进而可以采取相应的防护措施。例如，将漏洞趋势的梯度分为三个等级，当漏洞趋势位于第一梯度区域时，无需采取防护措施，当漏洞趋势位于第二梯度区域时，无需立刻采取防护措施但需要时刻关注该区域漏洞的活跃度变化情况，当漏洞趋势位于第三梯度区域时，则需要用户立刻采取防护措施。需要说明的是，对于梯度的划分以及梯度的级别数，本发明不做限定。云端分析并获取到全网所有漏洞的漏洞活跃度、漏洞趋势、漏洞活跃度等级以及漏洞趋势的梯度后，将漏洞活跃度、漏洞趋势、漏洞活跃度等级以及漏洞趋势梯度传输至安全日志，以便于用户直观查看全网所有漏洞的相关数据，进而可以根据这些数据采取相应的防护措施。

本发明实施例所提供的确定漏洞活跃度的方法，用户可以根据已经获取的漏洞活跃度、漏洞趋势、漏洞活跃度等级以及漏洞趋势梯度采取相应的防护措施，进一步提高了全网的防护水平。

在上述实施例中，对于确定漏洞活跃度的方法进行了详细描述，本发明还提供一种确定漏洞活跃度的装置对应的实施例。需要说明的是，本发明从两个角度对装置部分的实施例进行描述，一种是基于功能模块的角度，另一种是基于硬件结构的角度。

图3为本发明实施例提供的一种确定漏洞活跃度的装置结构图。如图3所示，该装置包括：

第一统计模块10，用于以第一预设时间间隔为周期，统计各周期内全网的安全设备被攻击情况下产生的漏洞相关数据，其中，所述漏洞相关数据为所述安全设备依据预先设定的漏洞规则所产生；

第一计算模块11，用于根据第二预设时间间隔内所有周期对应的所述漏洞相关数据，计算漏洞活跃度，其中，所述第二预设时间间隔大于所述第一预设时间间隔。

作为优选的实施方式，该装置还包括换算模块，换算模块用于按照预设的活跃度等级和活跃度的对应关系，将漏洞活跃度换算成对应的活跃度等级。

由于装置部分的实施例与方法部分的实施例相互对应，因此装置部分的实施例请参见方法部分的实施例的描述，这里暂不赘述。

本发明所提供的确定漏洞活跃度的装置，包括：以第一预设时间间隔为周期，云端统计各周期内全网的安全设备被攻击情况下产生的漏洞相关数据，其中，漏洞相关数据为安全设备依据预先设定的漏洞规则所产生。云端统计全网的漏洞相关数据后，根据第二预设时间内所有周期对应的漏洞相关数据，计算全网的安全设备的所有漏洞的漏洞活跃度。传统的采用单点统计手段只能展示单个安全设备被攻击时的漏洞相关数据，并不能展示全网安全设备被攻击时的漏洞相关数据，进而无法展示全网所有漏洞的漏洞活跃度。由此可见，本技术方案可以统计全网的安全设备被攻击时产生的所有漏洞相关数据，并根据该漏洞相关数据分析全网的所有漏洞的漏洞活跃度，为采取相应的防护措施提供了数据来源，提高全网安全防护水平。

上述实施例中具体描述的方法应用于确定漏洞活跃度，本申请还提供一种与该方法对应的，应用于确定情报信息活跃度的实施例，当然也可以应用于其他资源活跃度的确定，本发明对此不作限定，其中，情报信息包括：统一资源定位系统(uniform resourcelocator，简称URL)，域名，域名系统(Domain Name System，简称DNS)等。

由于确定漏洞活跃度的方法的实施例与确定情报信息活跃度的方法的实施例相互对应，只不过所对应的目标对象不同，因此确定情报信息活跃度的方法的实施例请参见确定漏洞活跃度的方法的实施例描述，这里暂不赘述。

本发明所提供的确定情报信息活跃度的方法，包括：以第一预设时间间隔为周期，云端统计各周期内全网的安全设备被攻击情况下产生的情报信息相关数据，其中，情报信息相关数据为安全设备依据预先设定的情报信息规则所产生。云端统计全网的情报信息相关数据后，根据第二预设时间间隔内所有周期对应的情报信息相关数据，计算全网的安全设备的所有情报信息的情报信息活跃度。传统的采用单点统计手段只能展示单个安全设备被攻击时的情报信息相关数据，并不能展示全网安全设备被攻击时的情报信息相关数据，进而无法展示全网所有情报信息的情报信息活跃度。由此可见，本技术方案可以统计全网的安全设备被攻击时产生的所有情报信息相关数据，并根据该情报信息相关数据分析全网的所有情报信息的情报信息活跃度，为采取相应的防护措施提供了数据来源，提高全网安全防护水平。

在上述实施例中，对于确定情报信息活跃度的方法进行了详细描述，本发明还提供一种确定情报信息活跃度的装置对应的实施例。需要说明的是，本发明从两个角度对装置部分的实施例进行描述，一种是基于功能模块的角度，另一种是基于硬件结构的角度。

图4为本发明实施例提供的确定情报信息活跃度的装置结构图。如图4所示，该装置包括：

第二统计模块12，用于以第一预设时间间隔为周期，统计各周期内全网的安全设备被攻击情况下产生的情报信息相关数据，其中，所述情报信息相关数据为所述安全设备依据预先设定的情报信息规则所产生；

第二计算模块13，用于根据第二预设时间间隔内所有周期对应的所述情报信息相关数据，计算情报信息活跃度，其中，所述第二预设时间间隔大于所述第一预设时间间隔。

作为优选的实施方式，该装置还包括换算模块，换算模块用于按照预设的活跃度等级和活跃度的对应关系，将情报信息活跃度换算成对应的活跃度等级。

由于装置部分的实施例与方法部分的实施例相互对应，因此装置部分的实施例请参见方法部分的实施例的描述，这里暂不赘述。

本发明所提供的确定情报信息活跃度的装置，包括：以第一预设时间间隔为周期，云端统计各周期内全网的安全设备被攻击情况下产生的情报信息相关数据，其中，情报信息相关数据为安全设备依据预先设定的情报信息规则所产生。云端统计全网的情报信息相关数据后，根据第二预设时间间隔内所有周期对应的情报信息相关数据，计算全网的安全设备的所有情报信息的情报信息活跃度。传统的采用单点统计手段只能展示单个安全设备被攻击时的情报信息相关数据，并不能展示全网安全设备被攻击时的情报信息相关数据，进而无法展示全网所有情报信息的情报信息活跃度。由此可见，本技术方案可以统计全网的安全设备被攻击时产生的所有情报信息相关数据，并根据该情报信息相关数据分析全网的所有情报信息的情报信息活跃度，为采取相应的防护措施提供了数据来源，提高全网安全防护水平。

图5为本发明另一实施例提供的确定漏洞和情报信息活跃度的装置的结构图，如图5所示，确定漏洞和情报信息活跃度的装置包括：存储器20，用于存储计算机程序；

处理器21，用于执行计算机程序时实现如上述实施例所提到的确定漏洞和情报信息活跃度的方法的步骤。

本实施例提供的确确定漏洞和情报信息活跃度的装置可以包括但不限于智能手机、平板电脑、笔记本电脑或台式电脑等。

其中，处理器21可以包括一个或多个处理核心，比如4核心处理器、8核心处理器等。处理器21可以采用DSP(Digital Signal Processing，数字信号处理)、FPGA(Field－Programmable Gate Array，现场可编程门阵列)、PLA(Programmable Logic Array，可编程逻辑阵列)中的至少一种硬件形式来实现。处理器21也可以包括主处理器和协处理器，主处理器是用于对在唤醒状态下的数据进行处理的处理器，也称CPU(Central ProcessingUnit，中央处理器)；协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中，处理器21可以在集成有GPU(Graphics Processing Unit，图像处理器)，GPU用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中，处理器21还可以包括AI(Artificial Intelligence，人工智能)处理器，该AI处理器用于处理有关机器学习的计算操作。

存储器20可以包括一个或多个计算机可读存储介质，该计算机可读存储介质可以是非暂态的。存储器20还可包括高速随机存取存储器，以及非易失性存储器，比如一个或多个磁盘存储设备、闪存存储设备。本实施例中，存储器20至少用于存储以下计算机程序201，其中，该计算机程序被处理器21加载并执行之后，能够实现前述任一实施例公开的确定漏洞和情报信息活跃度的方法的相关步骤。另外，存储器20所存储的资源还可以包括操作系统202和数据203等，存储方式可以是短暂存储或者永久存储。其中，操作系统202可以包括Windows、Unix、Linux等。数据203可以包括但不限于确定漏洞和情报信息活跃度时所涉及的相关数据等。

在一些实施例中，确定漏洞和情报信息活跃度的装置还可包括有显示屏22、输入输出接口23、通信接口24、电源25以及通信总线26。

本领域技术人员可以理解，图5中示出的结构并不构成对确定漏洞和情报信息活跃度的装置的限定，可以包括比图示更多或更少的组件。

本发明实施例提供的确定漏洞和情报信息活跃度的装置，包括存储器和处理器，处理器在执行存储器存储的程序时，能够实现如下方法：确定漏洞和情报信息活跃度的方法。

本发明实施例所提供的确定漏洞和情报信息活跃度的装置，可以获取全网的安全设备被攻击时产生的漏洞相关数据和情报信息相关数据，并根据该漏洞相关数据和情报信息相关数据分析全网的漏洞活跃度和情报信息活跃度，为采取相应的防护措施提供了数据来源，提高全网安全防护水平。

最后，本发明还提供一种计算机可读存储介质对应的实施例。计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现如上述方法实施例中记载的步骤。

可以理解的是，如果上述实施例中的方法以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上对本发明所提供的一种确定漏洞和情报信息活跃度的方法，装置及介质。进行了详细介绍。说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以对本发明进行若干改进和修饰，这些改进和修饰也落入本发明权利要求的保护范围内。

还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。