CN112181781B - 主机安全威胁程度的告警方法、装置、设备及存储介质 - Google Patents
主机安全威胁程度的告警方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN112181781B CN112181781B CN202011104761.3A CN202011104761A CN112181781B CN 112181781 B CN112181781 B CN 112181781B CN 202011104761 A CN202011104761 A CN 202011104761A CN 112181781 B CN112181781 B CN 112181781B
- Authority
- CN
- China
- Prior art keywords
- event
- host
- score
- dimension
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3051—Monitoring arrangements for monitoring the configuration of the computing system or of the computing system component, e.g. monitoring the presence of processing resources, peripherals, I/O links, software programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/32—Monitoring with visual or acoustical indication of the functioning of the machine
- G06F11/324—Display of status information
- G06F11/327—Alarm or error message display
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Alarm Systems (AREA)
Abstract
本申请实施例提供了主机安全威胁程度的告警方法、装置、设备及存储介质,实现了针对主机的安全威胁程度进行告警,并且在计算待检测主机的威胁概率时,综合考虑了主机维度指标和事件维度指标,得到的威胁概率更加全面;在确定事件维度指标时,引入了事件影响主机数,考虑了规则事件对场景中所有主机的影响,确定的事件维度指标更加全面。
Description
技术领域
本申请涉及计算机技术领域,特别是涉及主机安全威胁程度的告警方法、装置、设备及存储介质。
背景技术
安全管理平台,例如态势感知、SIEM(security information and eventmanagement安全信息和事件管理)、SOC(Security Operations Center,安全运营中心)等,的一个核心功能就是度量保护范围内主机的安全威胁程度。主机的安全威胁程度的排序,在帮助客户进行关注分析以及消除客户面临的安全威胁等方面具有重要意思,因此希望针对主机的安全威胁程度进行告警。
发明内容
本申请实施例的目的在于提供一种主机安全威胁程度的告警方法、装置、设备及存储介质,以实现针对主机的安全威胁程度进行告警。具体技术方案如下:
第一方面,本申请实施例提供了一种主机安全威胁程度的告警方法,所述方法包括:
获取待检测主机中各规则事件的事件发生次数、事件威胁等级、事件确信度及事件影响主机数;
根据各所述规则事件的事件发生次数、事件威胁等级及事件确信度,确定所述待检测主机的主机维度指标;
针对每一规则事件,根据该规则事件的事件发生次数、事件威胁等级、事件确信度及事件影响主机数,计算得到该规则事件的事件维度得分;
根据各所述规则事件的事件维度得分,确定所述待检测主机的事件维度指标;
根据所述待检测主机的事件维度指标及主机维度指标,确定所述待检测主机的威胁概率;
根据所述威胁概率生成所述待检测主机的安全威胁程度告警信息。
在一种可能的实施方式中,所述根据各所述规则事件的事件发生次数、事件威胁等级及事件确信度,确定所述待检测主机的主机维度指标,包括:
根据各所述规则事件的事件发生次数、事件威胁等级及事件确信度,计算得到所述待检测主机的主机维度得分;
通过预设的第一映射关系,将所述待检测主机的主机维度得分转换为所述待检测主机的主机维度指标,其中,所述第一映射关系为主机维度得分与主机维度指标的映射关系。
在一种可能的实施方式中,所述针对每一规则事件,根据该规则事件的事件发生次数、事件威胁等级、事件确信度及事件影响主机数,计算得到该规则事件的事件维度得分,包括:
针对每一规则事件,根据该规则事件的事件威胁等级、事件确信度及事件影响主机数,计算得到该规则事件的事件关注度得分;
针对每一规则事件,根据该规则事件的事件发生次数,计算得到该规则事件的事件威胁得分;
针对每一规则事件,根据该规则事件的事件关注度得分及事件威胁得分,计算得到该规则事件的事件维度得分。
在一种可能的实施方式中,所述根据各所述规则事件的事件维度得分,确定所述待检测主机的事件维度指标,包括:
在各所述规则事件的事件维度得分中选取最大的事件维度得分;
通过预设的第二映射关系,将所述最大的事件维度得分转换为所述待检测主机的事件维度指标,其中,所述第二映射关系为事件维度得分与事件维度指标的映射关系。
在一种可能的实施方式中,所述根据所述待检测主机的事件维度指标及主机维度指标,确定所述待检测主机的威胁概率,包括:
根据所述待检测主机的事件维度指标及主机维度指标,计算得到所述待检测主机的综合威胁得分;
将所述待检测主机的综合威胁得分归一化,得到所述待检测主机的威胁概率。
第二方面,本申请实施例提供了一种主机安全威胁程度的告警装置,所述装置包括:
规则事件参数获取模块,用于获取待检测主机中各规则事件的事件发生次数、事件威胁等级、事件确信度及事件影响主机数;
主机维度指标确定模块,用于根据各所述规则事件的事件发生次数、事件威胁等级及事件确信度,确定所述待检测主机的主机维度指标;
事件维度得分计算模块,用于针对每一规则事件,根据该规则事件的事件发生次数、事件威胁等级、事件确信度及事件影响主机数,计算得到该规则事件的事件维度得分;
事件维度指标确定模块,用于根据各所述规则事件的事件维度得分,确定所述待检测主机的事件维度指标;
威胁概率确定模块,用于根据所述待检测主机的事件维度指标及主机维度指标,确定所述待检测主机的威胁概率;
告警信息生成模块,用于根据所述威胁概率生成所述待检测主机的安全威胁程度告警信息。
在一种可能的实施方式中,所述主机维度指标确定模块,具体用于:
根据各所述规则事件的事件发生次数、事件威胁等级及事件确信度,计算得到所述待检测主机的主机维度得分;
通过预设的第一映射关系,将所述待检测主机的主机维度得分转换为所述待检测主机的主机维度指标,其中,所述第一映射关系为主机维度得分与主机维度指标的映射关系。
在一种可能的实施方式中,所述事件维度得分计算模块,具体用于:
针对每一规则事件,根据该规则事件的事件威胁等级、事件确信度及事件影响主机数,计算得到该规则事件的事件关注度得分;
针对每一规则事件,根据该规则事件的事件发生次数,计算得到该规则事件的事件威胁得分;
针对每一规则事件,根据该规则事件的事件关注度得分及事件威胁得分,计算得到该规则事件的事件维度得分。
在一种可能的实施方式中,所述事件维度指标确定模块,具体用于:
在各所述规则事件的事件维度得分中选取最大的事件维度得分;
通过预设的第二映射关系,将所述最大的事件维度得分转换为所述待检测主机的事件维度指标,其中,所述第二映射关系为事件维度得分与事件维度指标的映射关系。
在一种可能的实施方式中,所述威胁概率确定模块,具体用于:
根据所述待检测主机的事件维度指标及主机维度指标,计算得到所述待检测主机的综合威胁得分;
将所述待检测主机的综合威胁得分归一化,得到所述待检测主机的威胁概率。
第三方面,本申请实施例提供了一种电子设备,包括处理器及存储器;
所述存储器,用于存放计算机程序;
所述处理器,用于执行所述存储器上所存放的程序时,实现任一所述的主机安全威胁程度的告警方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现任一所述的主机安全威胁程度的告警方法。
本申请实施例提供的主机安全威胁程度的告警方法、装置、设备及存储介质,获取待检测主机中各规则事件的事件发生次数、事件威胁等级、事件确信度及事件影响主机数;根据各规则事件的事件发生次数、事件威胁等级及事件确信度,确定待检测主机的主机维度指标;针对每一规则事件,根据该规则事件的事件发生次数、事件威胁等级、事件确信度及事件影响主机数,计算得到该规则事件的事件维度得分;根据各规则事件的事件维度得分,确定待检测主机的事件维度指标;根据待检测主机的事件维度指标及主机维度指标,确定待检测主机的威胁概率;根据威胁概率生成待检测主机的安全威胁程度告警信息。实现了针对主机的安全威胁程度进行告警,并且在计算待检测主机的威胁概率时,综合考虑了主机维度指标和事件维度指标,得到的威胁概率更加全面;在确定事件维度指标时,引入了事件影响主机数,考虑了规则事件对场景中所有主机的影响,确定的事件维度指标更加全面。当然,实施本申请的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例的主机安全威胁程度的告警方法的一种示意图;
图2为本申请实施例中步骤S12的具体实现方式的一种示意图;
图3为本申请实施例的第一映射关系的一种示意图;
图4为本申请实施例中步骤S13的具体实现方式的一种示意图;
图5为本申请实施例中步骤S14的具体实现方式的一种示意图;
图6为本申请实施例的第二映射关系的一种示意图;
图7为本申请实施例中步骤S15的具体实现方式的一种示意图;
图8为本申请实施例的主机安全威胁程度的告警装置的一种示意图;
图9为本申请实施例的电子设备的一种示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
为了实现针对主机的安全威胁程度进行告警,本申请实施例提供了一种主机安全威胁程度的告警方法,参见图1,该方法包括:
S11,获取待检测主机中各规则事件的事件发生次数、事件威胁等级、事件确信度及事件影响主机数。
本申请实施例中的机安全威胁程度的告警方法可以通过电子设备实现,具体的,该电子设备可以为待检测主机本身,也可以为例如,态势感知、SIEM、SOC等安全管理平台中的服务器。待检测主机可以为任一需要进行主机安全威胁程度的告警的主机。
规则事件为预先规定的需要统计的事件,规则事件可以根据实际情况自定义设置,例如,可以包括恶意域名通信、C&C(Command and Control,指挥与控制)主机通信、挖矿程序通信、木马程序通信、僵尸网络通信等。
一种可能的实施方式中,规则事件包括规则和事件两部分,一个规则可以对应多个事件,一个事件也可以对应多种规则。规则与事件的对应关系可以根据实际情况进行设置,例如,规则“内部发起恶意通信”可以对应事件:恶意域名通信、C&C主机通信、挖矿程序通信、木马程序通信、僵尸网络通信等;事件“木马程序通信”可以对应规则:内部恶意通信、恶意通信成功、外部发起恶意通信尝试等。可选的,各主机的相关规则事件的属性信息可以采用表格的形式进行记录,一种可能的主机规则事件的表格可以如表1所示。
表1
关注点:规则事件的关注方向,可能是源IP地址对应的主机,也可能是目的IP地址对应的主机。
源IP地址:规则事件对应的源IP地址,例如,僵尸网络通信的源IP地址。
目的IP地址:规则事件对应的目的IP地址,例如,木马程序通信的目的IP地址。
规则名:即规则的名称,一个规则下可以有多种不同的事件。
事件名:即事件的名称,一个事件可以属于多个不同的规则。
事件威胁等级:具体规则下事件的威胁等级,包括:严重,高危,中危,低危。
事件确信度:具体规则下事件的确信度,包括:已失陷,高可疑,低可疑。
事件发生次数:指定周期里,具体规则下事件的发生次数。
规则事件的事件威胁等级可以根据实际情况自定义设置,例如,外部恶意通信下的木马程序通信对主机安全的威胁程度非常高,则其威胁等级可以设置为严重;例如外部恶意通信下的僵尸网络通信对主机安全的威胁程度一般,则其威胁等级可以设置为中危。
规则事件的事件确信度为已失陷,表示已发生了该规则事件;规则事件的事件确信度为高可疑,表示大概率发生了该规则事件;规则事件的事件确信度为低可疑,表示小概率发生了该规则事件。其中,规则事件已发生、大概率发生或小概率发生的判别方式为现有技术,此处不再赘述。
规则事件的事件影响主机数表示与该规则事件关联的主机的数量,可以统计应用场景中所有发生该规则事件的主机,从而得到该规则事件的事件影响主机数。
S12,根据各上述规则事件的事件发生次数、事件威胁等级及事件确信度,确定上述待检测主机的主机维度指标。
利用待检测主机的各规则事件的事件发生次数、事件威胁等级及事件确信度,计算得到待检测主机的主机维度指标。
可以为不同规则事件的事件发生次数、事件威胁等级及事件确信度设置不同的权重,然后利用规则事件的各权重,计算得到待检测主机的主机维度指标。
可选的,权重可以采用如下方式进行设置。
事件威胁等级的权重={N11:严重,N12:高危,N13:中危,N14:低危};
事件确信度的权重={L11:已失陷,L12:高可疑,L13:低可疑};
事件发生次数的权重=log(1+事件发生次数);
其中,N11、N12、N13、N14、L11、L12、L13,均为预设设置的数值,可以根据实际情况进行设置。具体的,可以为经验值或者通过多次试验测得。一般情况下,N11>N12>N13>N14,L11>L12>L13。
可以通过权重分别计算各规则事件的得分。例如,针对一规则事件,可以对该规则事件的各权重求和得到该规则事件的得分;例如,针对一规则事件,可以计算该规则事件的各权重的乘积得到该规则事件的得分等。
在得到各规则事件的得分后,根据各规则事件的得分计算得到待检测主机的主机维度指标。例如,可以事件发生次数为系数,对各规则事件的得分进程加权平均,得到待检测主机的主机维度指标;例如,可以对各规则事件的得分求和,得到待检测主机的主机维度指标。
下面通过举例的方式给出两种可能的待检测主机的主机维度指标的计算方式,本领域技术人员可以理解的是此处仅为举例,凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
方式1:待检测主机的主机维度指标=该待检测主机中各规则事件的得分的和,其中,规则事件的得分=该规则事件的事件威胁等级的权重×该规则事件的事件确信度的权重×该规则事件的事件发生次数的权重。
方式2:
其中,n表示待检测主机中规则事件的数量,Xi表示第i个规则事件的事件发生次数的权重,Yi表示第i个规则事件的得分,规则事件的得分=该规则事件的事件威胁等级的权重+该规则事件的事件确信度的权重。
S13,针对每一规则事件,根据该规则事件的事件发生次数、事件威胁等级、事件确信度及事件影响主机数,计算得到该规则事件的事件维度得分。
可选的,可以通过简单相加、加权平均、相乘等方式,根据规则事件的事件发生次数、事件威胁等级、事件确信度及事件影响主机数,计算得到规则事件的事件维度得分。
事件影响主机数的权重可以根据实际情况进行设置,例如,事件影响主机数的权重=事件影响主机数×S,其中,S为预设数值;例如,事件影响主机数的权重=log(1+事件影响主机数)等。
下面通过举例的方式给出两种可能的规则事件的事件维度得分的计算方式,本领域技术人员可以理解的是此处仅为举例,凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
方式1:规则事件的事件维度得分=该规则事件的事件发生次数的权重×事件威胁等级的权重×事件确信度的权重×事件影响主机数的权重。
方式2:规则事件的事件维度得分=该规则事件的事件影响主机数的权重×(事件发生次数+事件威胁等级+事件确信度)。
S14,根据各上述规则事件的事件维度得分,确定上述待检测主机的事件维度指标。
例如,可以对待检测主机的各事件维度得分求平均值,作为待检测主机的事件维度指标;还可以选取待检测主机的各事件维度得分的中值或最大值,作为待检测主机的事件维度指标。
S15,根据上述待检测主机的事件维度指标及主机维度指标,确定上述待检测主机的威胁概率。
可选的,可以通过简单相加、加权平均、相乘等方式,根据待检测主机的事件维度指标及主机维度指标,计算得到规则事件的威胁概率。
S16,根据上述威胁概率生成上述待检测主机的安全威胁程度告警信息。
可以预先划分不同的概率区间,根据威胁概率所在的概率区间,来生成对应的安全威胁程度告警信息,一般情况下,威胁概率越大,对应的安全威胁程度告警信息的告警等级越高。
在本申请实施例中,实现了针对主机的安全威胁程度进行告警,并且在计算待检测主机的威胁概率时,综合考虑了主机维度指标和事件维度指标,得到的威胁概率更加全面;在确定事件维度指标时,引入了事件影响主机数,考虑了规则事件对场景中所有主机的影响,确定的事件维度指标更加全面。
在一种可能的实施方式中,参见图2,上述根据各上述规则事件的事件发生次数、事件威胁等级及事件确信度,确定上述待检测主机的主机维度指标,包括:
S121,根据各上述规则事件的事件发生次数、事件威胁等级及事件确信度,计算得到上述待检测主机的主机维度得分。
在得到待检测主机维度指标下的各规则事件的得分后,可以根据各规则事件的得分计算得到待检测主机的主机维度得分。例如,可以事件发生次数为系数,对各规则事件的得分进程加权平均,得到待检测主机的主机维度得分;例如,可以对各规则事件的得分求和,得到待检测主机的主机维度得分。
下面通过举例的方式给出两种可能的待检测主机的主机维度得分的计算方式,本领域技术人员可以理解的是此处仅为举例,凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
方式1:待检测主机的主机维度得分=该待检测主机中各规则事件的得分的和,其中,规则事件的得分=该规则事件的事件威胁等级的权重×该规则事件的事件确信度的权重×该规则事件的事件发生次数的权重。
方式2:
其中,n表示待检测主机中规则事件的数量,Xi表示第i个规则事件的事件发生次数的权重,Yi表示第i个规则事件的得分,规则事件的得分=该规则事件的事件威胁等级的权重+该规则事件的事件确信度的权重。
S122,通过预设的第一映射关系,将上述待检测主机的主机维度得分转换为上述待检测主机的主机维度指标,其中,上述第一映射关系为主机维度得分与主机维度指标的映射关系。
得到待检测主机的主机维度得分后,可以通过预设的第一映射关系将待检测主机的主机维度得分转换为上述待检测主机的主机维度指标。
第一映射关系为主机维度得分与主机维度指标的映射关系,第一映射关系可以根据实际情况自定义设置,一般情况下,第一映射关系中主机维度得分与主机维度指标正相关,即主机维度得分越大,主机维度指标也就越大。
下面以举例的方式给出一种可能的第一映射关系的建立方式。
计算主机维度(已失陷--高可疑)的临界打分:计算一规则事件(事件确信度:已失陷,事件威胁等级:严重,事件发生次数:1次)的主机维度得分,即可得到已失陷的最低得分。
计算主机维度(高可疑--低可疑)的临界打分:计算一规则事件(事件确信度:高可疑,事件威胁等级:高危,事件发生次数:1次)的主机维度得分,即可得到高可疑的最低得分。
最终,得到值域为(0~无穷大)的所有主机在主机维度的打分,以及主机维度的已失陷状态和高可疑状态的临界打分。例如图3所示,将主机维度打分为已失陷的临界值K12映射到90分,将主机维度打分为高可疑的临界值K11映射到60分,将主机维度的实际得分缩放,缩放后的得分即为主机维度指标,从而将主机维度指标和事件维度指标转换到同一量级下。
在一种可能的实施方式中,参见图4,上述针对每一规则事件,根据该规则事件的事件发生次数、事件威胁等级、事件确信度及事件影响主机数,计算得到该规则事件的事件维度得分,包括:
S131,针对每一规则事件,根据该规则事件的事件威胁等级、事件确信度及事件影响主机数,计算得到该规则事件的事件关注度得分。
可选的,可以通过简单相加、加权平均、相乘等方式,根据规则事件的事件威胁等级、事件确信度及事件影响主机数,计算得到该规则事件的事件关注度得分。例如,规则事件的事件关注度得分=该规则事件的事件威胁等级的权重×该规则事件的事件确信度的权重×该规则事件的事件发生次数的权重
S132,针对每一规则事件,根据该规则事件的事件发生次数,计算得到该规则事件的事件威胁得分。
例如,规则事件的事件威胁得分=事件发生次数×S,其中,S为预设数值;例如,规则事件的事件威胁得分=log(1+事件发生次数)等。
S133,针对每一规则事件,根据该规则事件的事件关注度得分及事件威胁得分,计算得到该规则事件的事件维度得分。
可选的,可以通过简单相加、加权平均、相乘等方式,根据规则事件的事件关注度得分及事件威胁得分,计算得到该规则事件的事件维度得分。例如,规则事件的事件维度得分=该规则事件的事件威胁得分×该规则事件的事件关注度得分。
在一种可能的实施方式中,参见图5,根据各上述规则事件的事件维度得分,确定上述待检测主机的事件维度指标,包括:
S141,在各上述规则事件的事件维度得分中选取最大的事件维度得分。
S142,通过预设的第二映射关系,将上述最大的事件维度得分转换为上述待检测主机的事件维度指标,其中,上述第二映射关系为事件维度得分与事件维度指标的映射关系。
得到待检测主机的最大的事件维度得分后,可以通过预设的第二映射关系将最大的事件维度得分转换为上述待检测主机的事件维度指标。
第二映射关系为事件维度得分与事件维度指标的映射关系,第二映射关系可以根据实际情况自定义设置,一般情况下,第二映射关系中事件维度得分与事件维度指标正相关,即事件维度得分越大,事件维度指标也就越大。
下面以举例的方式给出一种可能的第二映射关系的建立方式。
计算事件维度(已失陷--高可疑)的临界打分:计算一规则事件(事件确信度:已失陷,事件威胁等级:严重,事件发生次数:1次)的事件维度得分,即可得到已失陷的最低得分。可选的,计算事件维度得分时的已失陷、严重等对应的权重和计算主机维度得分时的权重不同。
计算事件维度(高可疑--低可疑)的临界打分:计算一规则事件(事件确信度:高可疑,事件威胁等级:高危,事件发生次数:1次)的事件维度得分,即可得到高可疑的最低得分。可选的,计算事件维度得分时的高可疑、高危对应的权重和计算主机维度得分时的权重不同。
最终,得到值域为(0~无穷大)的主机在事件维度的得分,以及事件维度的已失陷状态和高可疑状态的临界打分。例如图6所示,将事件维度打分为已失陷的临界值K21映射到90分将事件维度打分为高可疑的临界值K22映射到60分,将事件维度得分缩放,即得到事件维度指标,从而将事件维度指标和主机维度指标转换到同一量级下。
在一种可能的实施方式中,参见图7,上述根据上述待检测主机的事件维度指标及主机维度指标,确定上述待检测主机的威胁概率,包括:
S151,根据上述待检测主机的事件维度指标及主机维度指标,计算得到上述待检测主机的综合威胁得分。
可选的,可以通过简单相加、加权平均、相乘等方式,根据待检测主机的事件维度指标及主机维度指标,计算得到待检测主机的综合威胁得分。例如,待检测主机的综合威胁得分=M×待检测主机的事件维度指标+(1-M)×待检测主机的主机维度指标。其中M为偏重系统,且0<M<1。
根据主机维度得分和事件维度得分,最终得到主机的综合威胁得分、已失陷状态的临界得分、高可疑状态的临界得分。主机威胁状态的定量、定性分析:当主机的综合威胁得分,大于已失陷状态的临界打分(90分),则主机状态为已失陷。当主机的综合威胁得分,小于已失陷状态的临界打分(90分),大于高可疑状态的临界打分(60分),则主机的状态为高可疑。当主机的综合威胁得分,小于高可疑状态的的临界打分(60分),则主机的状态为低可疑。
S152,将上述待检测主机的综合威胁得分归一化,得到上述待检测主机的威胁概率。
由于综合威胁得分的高低,不容易看懂威胁程度,因此通过预设归一化函数,将综合威胁得分转化为威胁概率。归一化函数可以根据实际情况自定义设置,一种可能的归一化函数可以为:
其中,x为综合威胁得分,当x>90时,x归属已失陷;x≤90时,x归属高可疑及低可疑。
在得到待检测主机的威胁概率及归属后,便可以生成相应的安全威胁程度告警信息。例如,在威胁概率W大于90%时,安全威胁程度告警信息可以为待检测主机已失陷,威胁概率为W;在威胁概率60%<W≤90%时,安全威胁程度告警信息可以为待检测主机高可疑,威胁概率为W;在威胁概率0<W≤60%时,安全威胁程度告警信息可以为待检测主机低可疑,威胁概率为W;在威胁概率W=0时,安全威胁程度告警信息可以为待检测主机正常,威胁概率为0。在同一个威胁等级中,威胁概率越大,威胁程度越高。
在本申请实施例中,将待检测主机的综合威胁得分归一化为威胁概率,能够便于直观的感受到待检测主机的安全威胁程度。
本申请实施例还提供了一种主机安全威胁程度的告警装置,参见图8,该装置包括:
规则事件参数获取模块801,用于获取待检测主机中各规则事件的事件发生次数、事件威胁等级、事件确信度及事件影响主机数;
主机维度指标确定模块802,用于根据各上述规则事件的事件发生次数、事件威胁等级及事件确信度,确定上述待检测主机的主机维度指标;
事件维度得分计算模块803,用于针对每一规则事件,根据该规则事件的事件发生次数、事件威胁等级、事件确信度及事件影响主机数,计算得到该规则事件的事件维度得分;
事件维度指标确定模块804,用于根据各上述规则事件的事件维度得分,确定上述待检测主机的事件维度指标;
威胁概率确定模块805,用于根据上述待检测主机的事件维度指标及主机维度指标,确定上述待检测主机的威胁概率;
告警信息生成模块806,用于根据上述威胁概率生成上述待检测主机的安全威胁程度告警信息。
在一种可能的实施方式中,上述主机维度指标确定模块,具体用于:
根据各上述规则事件的事件发生次数、事件威胁等级及事件确信度,计算得到上述待检测主机的主机维度得分;
通过预设的第一映射关系,将上述待检测主机的主机维度得分转换为上述待检测主机的主机维度指标,其中,上述第一映射关系为主机维度得分与主机维度指标的映射关系。
在一种可能的实施方式中,上述事件维度得分计算模块,具体用于:
针对每一规则事件,根据该规则事件的事件威胁等级、事件确信度及事件影响主机数,计算得到该规则事件的事件关注度得分;
针对每一规则事件,根据该规则事件的事件发生次数,计算得到该规则事件的事件威胁得分;
针对每一规则事件,根据该规则事件的事件关注度得分及事件威胁得分,计算得到该规则事件的事件维度得分。
在一种可能的实施方式中,上述事件维度指标确定模块,具体用于:
在各上述规则事件的事件维度得分中选取最大的事件维度得分;
通过预设的第二映射关系,将上述最大的事件维度得分转换为上述待检测主机的事件维度指标,其中,上述第二映射关系为事件维度得分与事件维度指标的映射关系。
在一种可能的实施方式中,上述威胁概率确定模块,具体用于:
根据上述待检测主机的事件维度指标及主机维度指标,计算得到上述待检测主机的综合威胁得分;
将上述待检测主机的综合威胁得分归一化,得到上述待检测主机的威胁概率。
本申请实施例还提供了一种电子设备,包括:处理器及存储器;
上述存储器,用于存放计算机程序;
上述处理器用于执行上述存储器存放的计算机程序时,实现上述任一主机安全威胁程度的告警方法。
可选的,参见图9,本申请实施例的电子设备还包括通信接口902和通信总线904,其中,处理器901,通信接口902,存储器903通过通信总线904完成相互间的通信。
上述电子设备提到的通信总线可以是PCI(Peripheral ComponentInterconnect,外设部件互连标准)总线或EISA(Extended Industry StandardArchitecture,扩展工业标准结构)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括RAM(Random Access Memory,随机存取存储器),也可以包括NVM(Non-Volatile Memory,非易失性存储器),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital Signal Processing,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本申请实施例还提供了一种计算机可读存储介质,上述计算机可读存储介质内存储有计算机程序,上述计算机程序被处理器执行时实现上述任一主机安全威胁程度的告警方法。
在本申请提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述任一主机安全威胁程度的告警方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘SolidState Disk(SSD))等。
需要说明的是,在本文中,各个可选方案中的技术特征只要不矛盾均可组合来形成方案,这些方案均在本申请公开的范围内。诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、电子设备、计算机程序产品及存储介质的实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
Claims (12)
1.一种主机安全威胁程度的告警方法,其特征在于,所述方法包括:
获取待检测主机中各规则事件的事件发生次数、事件威胁等级、事件确信度及事件影响主机数;
根据各所述规则事件的事件发生次数、事件威胁等级及事件确信度,确定所述待检测主机的主机维度指标;
针对每一规则事件,根据该规则事件的事件发生次数、事件威胁等级、事件确信度及事件影响主机数,计算得到该规则事件的事件维度得分;
根据各所述规则事件的事件维度得分,确定所述待检测主机的事件维度指标;
根据所述待检测主机的事件维度指标及主机维度指标,确定所述待检测主机的威胁概率;
根据所述威胁概率生成所述待检测主机的安全威胁程度告警信息。
2.根据权利要求1所述的方法,其特征在于,所述根据各所述规则事件的事件发生次数、事件威胁等级及事件确信度,确定所述待检测主机的主机维度指标,包括:
根据各所述规则事件的事件发生次数、事件威胁等级及事件确信度,计算得到所述待检测主机的主机维度得分;
通过预设的第一映射关系,将所述待检测主机的主机维度得分转换为所述待检测主机的主机维度指标,其中,所述第一映射关系为主机维度得分与主机维度指标的映射关系。
3.根据权利要求1所述的方法,其特征在于,所述针对每一规则事件,根据该规则事件的事件发生次数、事件威胁等级、事件确信度及事件影响主机数,计算得到该规则事件的事件维度得分,包括:
针对每一规则事件,根据该规则事件的事件威胁等级、事件确信度及事件影响主机数,计算得到该规则事件的事件关注度得分;
针对每一规则事件,根据该规则事件的事件发生次数,计算得到该规则事件的事件威胁得分;
针对每一规则事件,根据该规则事件的事件关注度得分及事件威胁得分,计算得到该规则事件的事件维度得分。
4.根据权利要求1所述的方法,其特征在于,所述根据各所述规则事件的事件维度得分,确定所述待检测主机的事件维度指标,包括:
在各所述规则事件的事件维度得分中选取最大的事件维度得分;
通过预设的第二映射关系,将所述最大的事件维度得分转换为所述待检测主机的事件维度指标,其中,所述第二映射关系为事件维度得分与事件维度指标的映射关系。
5.根据权利要求1所述的方法,其特征在于,所述根据所述待检测主机的事件维度指标及主机维度指标,确定所述待检测主机的威胁概率,包括:
根据所述待检测主机的事件维度指标及主机维度指标,计算得到所述待检测主机的综合威胁得分;
将所述待检测主机的综合威胁得分归一化,得到所述待检测主机的威胁概率。
6.一种主机安全威胁程度的告警装置,其特征在于,所述装置包括:
规则事件参数获取模块,用于获取待检测主机中各规则事件的事件发生次数、事件威胁等级、事件确信度及事件影响主机数;
主机维度指标确定模块,用于根据各所述规则事件的事件发生次数、事件威胁等级及事件确信度,确定所述待检测主机的主机维度指标;
事件维度得分计算模块,用于针对每一规则事件,根据该规则事件的事件发生次数、事件威胁等级、事件确信度及事件影响主机数,计算得到该规则事件的事件维度得分;
事件维度指标确定模块,用于根据各所述规则事件的事件维度得分,确定所述待检测主机的事件维度指标;
威胁概率确定模块,用于根据所述待检测主机的事件维度指标及主机维度指标,确定所述待检测主机的威胁概率;
告警信息生成模块,用于根据所述威胁概率生成所述待检测主机的安全威胁程度告警信息。
7.根据权利要求6所述的装置,其特征在于,所述主机维度指标确定模块,具体用于:
根据各所述规则事件的事件发生次数、事件威胁等级及事件确信度,计算得到所述待检测主机的主机维度得分;
通过预设的第一映射关系,将所述待检测主机的主机维度得分转换为所述待检测主机的主机维度指标,其中,所述第一映射关系为主机维度得分与主机维度指标的映射关系。
8.根据权利要求6所述的装置,其特征在于,所述事件维度得分计算模块,具体用于:
针对每一规则事件,根据该规则事件的事件威胁等级、事件确信度及事件影响主机数,计算得到该规则事件的事件关注度得分;
针对每一规则事件,根据该规则事件的事件发生次数,计算得到该规则事件的事件威胁得分;
针对每一规则事件,根据该规则事件的事件关注度得分及事件威胁得分,计算得到该规则事件的事件维度得分。
9.根据权利要求6所述的装置,其特征在于,所述事件维度指标确定模块,具体用于:
在各所述规则事件的事件维度得分中选取最大的事件维度得分;
通过预设的第二映射关系,将所述最大的事件维度得分转换为所述待检测主机的事件维度指标,其中,所述第二映射关系为事件维度得分与事件维度指标的映射关系。
10.根据权利要求6所述的装置,其特征在于,所述威胁概率确定模块,具体用于:
根据所述待检测主机的事件维度指标及主机维度指标,计算得到所述待检测主机的综合威胁得分;
将所述待检测主机的综合威胁得分归一化,得到所述待检测主机的威胁概率。
11.一种电子设备,其特征在于,包括处理器及存储器;
所述存储器,用于存放计算机程序;
所述处理器,用于执行所述存储器上所存放的程序时,实现权利要求1-5任一所述的主机安全威胁程度的告警方法。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-5任一所述的主机安全威胁程度的告警方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011104761.3A CN112181781B (zh) | 2020-10-15 | 2020-10-15 | 主机安全威胁程度的告警方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011104761.3A CN112181781B (zh) | 2020-10-15 | 2020-10-15 | 主机安全威胁程度的告警方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112181781A CN112181781A (zh) | 2021-01-05 |
| CN112181781B true CN112181781B (zh) | 2022-09-20 |
Family
ID=73950385
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011104761.3A Active CN112181781B (zh) | 2020-10-15 | 2020-10-15 | 主机安全威胁程度的告警方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112181781B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114285630B (zh) * | 2021-12-22 | 2024-03-22 | 杭州安恒信息技术股份有限公司 | 一种安全域风险告警方法、系统、装置及可读存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107181726A (zh) * | 2016-03-11 | 2017-09-19 | 中兴通讯股份有限公司 | 网络威胁事件评估方法及装置 |
| CN107911231A (zh) * | 2017-10-25 | 2018-04-13 | 北京神州绿盟信息安全科技股份有限公司 | 一种威胁数据的评估方法及装置 |
| CN109246153A (zh) * | 2018-11-09 | 2019-01-18 | 中国银行股份有限公司 | 网络安全态势分析模型和网络安全评估方法 |
| CN110149327A (zh) * | 2019-05-20 | 2019-08-20 | 中国南方电网有限责任公司 | 网络安全威胁的告警方法、装置、计算机设备和存储介质 |
| CN110719291A (zh) * | 2019-10-16 | 2020-01-21 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的网络威胁识别方法及识别系统 |
| CN110881016A (zh) * | 2018-09-05 | 2020-03-13 | 华为技术有限公司 | 一种网络安全威胁评估方法及装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7089428B2 (en) * | 2000-04-28 | 2006-08-08 | Internet Security Systems, Inc. | Method and system for managing computer security information |
| ATE540505T1 (de) * | 2002-08-26 | 2012-01-15 | Ibm | Bestimmung des mit einer netzwerkaktivität assoziierten bedrohungsgrades |
| US10303873B2 (en) * | 2015-03-18 | 2019-05-28 | Nippon Telegraph And Telephone Corporation | Device for detecting malware infected terminal, system for detecting malware infected terminal, method for detecting malware infected terminal, and program for detecting malware infected terminal |
| US20180255076A1 (en) * | 2017-03-02 | 2018-09-06 | ResponSight Pty Ltd | System and Method for Cyber Security Threat Detection |
-
2020
- 2020-10-15 CN CN202011104761.3A patent/CN112181781B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107181726A (zh) * | 2016-03-11 | 2017-09-19 | 中兴通讯股份有限公司 | 网络威胁事件评估方法及装置 |
| CN107911231A (zh) * | 2017-10-25 | 2018-04-13 | 北京神州绿盟信息安全科技股份有限公司 | 一种威胁数据的评估方法及装置 |
| CN110881016A (zh) * | 2018-09-05 | 2020-03-13 | 华为技术有限公司 | 一种网络安全威胁评估方法及装置 |
| CN109246153A (zh) * | 2018-11-09 | 2019-01-18 | 中国银行股份有限公司 | 网络安全态势分析模型和网络安全评估方法 |
| CN110149327A (zh) * | 2019-05-20 | 2019-08-20 | 中国南方电网有限责任公司 | 网络安全威胁的告警方法、装置、计算机设备和存储介质 |
| CN110719291A (zh) * | 2019-10-16 | 2020-01-21 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的网络威胁识别方法及识别系统 |
Non-Patent Citations (3)
| Title |
|---|
| 一种层次化的内部威胁态势评估模型;陈亚辉等;《企业技术开发》;20080401(第04期);全文 * |
| 基于攻击链的威胁感知系统;孙建坡;《邮电设计技术》;20160120(第01期);全文 * |
| 大规模网络安全事件威胁量化分析;吴华等;《微计算机信息》;20080325(第09期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112181781A (zh) | 2021-01-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10404737B1 (en) | Method for the continuous calculation of a cyber security risk index | |
| CN112822143B (zh) | 一种ip地址的评估方法、系统及设备 | |
| US20170126704A1 (en) | Method And Devices For Non-Intrusive Malware Detection For The Internet Of Things (IOT) | |
| US20060119486A1 (en) | Apparatus and method of detecting network attack situation | |
| WO2021012509A1 (zh) | 一种异常账号检测方法、装置及计算机存储介质 | |
| CN109936475B (zh) | 一种异常检测方法及装置 | |
| US9871826B1 (en) | Sensor based rules for responding to malicious activity | |
| CN114598504B (zh) | 一种风险评估方法、装置、电子设备及可读存储介质 | |
| CN111224928B (zh) | 网络攻击行为的预测方法、装置、设备及存储介质 | |
| CA2710614A1 (en) | Intrusion detection systems and methods | |
| CN112181781B (zh) | 主机安全威胁程度的告警方法、装置、设备及存储介质 | |
| CN114338372B (zh) | 网络信息安全监控方法及系统 | |
| CN112637215A (zh) | 网络安全检测方法、装置、电子设备及可读存储介质 | |
| CN114866296A (zh) | 入侵检测方法、装置、设备及可读存储介质 | |
| CN108683662B (zh) | 单台在网设备风险评估方法及系统 | |
| CN112085588B (zh) | 规则模型的安全性的确定方法、装置和数据处理方法 | |
| CN116542520A (zh) | 漏洞的处理方法及装置、存储介质和电子设备 | |
| EP4369227A1 (en) | Information management system, information management method, and information sharing system | |
| CN114925365A (zh) | 一种文件处理方法、装置、电子设备及存储介质 | |
| CN114285630A (zh) | 一种安全域风险告警方法、系统、装置及可读存储介质 | |
| CN113783891B (zh) | 一种事件识别方法及装置 | |
| CN111258899A (zh) | 用例生成方法、装置、电子设备和计算机可读存储介质 | |
| CN115987672A (zh) | 网络设备的风险确定方法、装置、设备及介质 | |
| CN117574135B (zh) | 一种电网攻击事件检测方法、装置、设备及存储介质 | |
| CN111147497B (zh) | 一种基于知识不对等的入侵检测方法、装置以及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |