CN105184156A - 一种安全威胁管理方法和系统 - Google Patents

Abstract

本发明公开了一安全威胁管理方法和系统，以解决现有的对威胁事件的检测不准确的问题。该方法为，根据用户的配置策略获取待监测对象的风险标识，通过检索预存的安全威胁模板库，获取对应该风险标识设置威胁事件标识集合；根据预设的威胁事件检测策略，通过检索预存的威胁事件库，获取对应该威胁事件标识集合中的每一个威胁事件标识设置的威胁事件检测算法标识和相应的固化参数值；在预存的安全威胁算法库中调用对应的威胁事件检测算法执行对应的威胁事件检测，这样通过层次化的威胁组织，将算法和参数从中分离，从识别角度量化威胁事件，不仅使威胁的检测更加准确，而且便于威胁的量化管理和产品威胁事件及检测规则的扩展和定制。

Description

一种安全威胁管理方法和系统

技术领域

本发明涉及网络安全技术领域，尤其涉及一种安全威胁管理方法和系统。

背景技术

安全领域中，安全漏洞是理论上的缺陷或问题，由外部组织发布，而安全威胁代表潜在的安全风险。例如安全漏洞的标识一般采用公共漏洞和暴露(CommonVulnerabilities&Exposures，CVE)来统一描述和分类，以便于对具体资产(即评估对象或目标)的风险定量评估，CVE就好像是一个字典表，为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。在现实中由于扫描目标的实现方式、组网、防护部署(如Web应用防护系统(WebApplicationFirewall，WAF))等情况复杂，安全类产品在对于安全威胁(如CVE漏洞问题)的检测或识别过程中，需要使用一定的检测方法，每个方法可能具有若干可配置项参数，通过指定算法，调整算法的参数，可以指定检测的威胁(或集合)。被指定的威胁可以作为安全产品的一次具体配置，例如某次扫描的配置、或某次防护的过滤配置。例如：网页篡改可以通过静态比对检测算法，通过配置基准页面参数、相似度参数、结构变更检测开关、内容变更检测开关参数来描述一个具体的篡改威胁事件。

由此可知，现有技术对于安全威胁的管理上，多数是使用标准的理论安全漏洞定义，或不明确指定使用某种算法，隐含使用默认检测识别算法，通过直接配置任务参数的方式保存和重复使用，由于使用标准的理论安全漏洞定义，不适应变化的外部环境，由于未明确算法与参数的配套关系，不利于算法扩展，而且，对于检测算法参数的管理上，没有组织层次，对于威胁事件的描述不够准确和快捷。

其次，现有技术未明确安全漏洞与检测事件的对应关系，默认使用检测事件来代表安全漏洞，采用原始请求应答或者未指定算法的不全面参数来代表检测事件，对于采用何种检测方式来发现安全漏洞不明确，易造成检测结果的不准确和前后不一致。

发明内容

本发明的目的是提供一种安全威胁管理方法和系统，以解决现有的对威胁事件的检测不准确的问题。

本发明的目的是通过以下技术方案实现的：

一种安全威胁管理方法，包括：

根据用户的配置策略获取待监测对象的风险标识，通过检索预存的安全威胁模板库，获取对应所述风险标识设置的单一威胁模板标识集合、以及对应所述单一威胁模板标识集合中每一个威胁模板标识设置的威胁事件标识集合，其中，威胁事件用于描述针对安全威胁的检测算法及固化参数，单一威胁模板用于描述针对特定类型安全威胁的检测算法及参数取值集合；

根据预设的威胁事件检测策略，通过检索预存的威胁事件库，获取对应所述威胁事件标识集合中的每一个威胁事件标识设置的威胁事件检测算法标识和相应的固化参数值；

基于每一个威胁事件标识对应的威胁事件检测算法标识，在预存的安全威胁算法库中调用对应的威胁事件检测算法，并基于所述威胁事件检测算法和所述相应的固化参数值执行对应的威胁事件检测，所述安全威胁算法库中记录有各种威胁事件算法的实现方式。

这样，通过层次化的威胁组织，将算法和参数从中分离，设计了一套量化的威胁描述方法，从识别角度量化威胁事件，有利于区分理论漏洞和检测漏洞，不仅使威胁的检测更加准确，而且便于威胁的量化管理和产品威胁事件及检测规则的扩展和定制，从而快速满足市场需求，并且支持建立威胁管理库。并在架构上支持威胁识别的扩展，能够快速响应市场和客户需求。

可选的，所述风险标识为复合威胁模板标识或安全漏洞标识，其中，复合威胁模板为至少一个单一威胁模板的组合。

可选的，根据预设的威胁事件检测策略，通过检索预存的威胁事件库，获取对应所述威胁事件标识集合中的每一个威胁事件标识设置的威胁事件检测算法标识和相应的固化参数值，具体包括：

若所述威胁事件检测策略为按照系统默认的顺序检测，则按照威胁事件标识在威胁事件库中从先到后的存储顺序，依次获取对应每一个威胁事件标识设置的威胁事件检测算法标识和相应的固化参数值；或，

若所述威胁事件检测策略为按照指定的优先级顺序检测，则按照预设的威胁事件的优先级排列顺序，依次获取对应每一个威胁事件标识设置的威胁事件检测算法标识和相应的固化参数值。

可选的，通过检索预存的威胁事件库，获取对应所述威胁事件标识集合中的每一个威胁事件标识设置的威胁事件检测算法标识和相应的固化参数值，具体包括：

通过检索预存的威胁事件库，直接依次获取对应每一个威胁事件标识设置的威胁事件检测算法标识和相应的固化参数值；或，

通过检索预存的威胁事件库，依次获取对应每一个威胁事件标识设置的威胁事件类型，以及基于每一个威胁事件类型检索预存的安全威胁算法库，获取对应每一个威胁事件类型设置的威胁事件检测算法标识和相应的固化参数值。

可选的，基于每一个威胁事件标识对应的威胁事件检测算法标识，在预存的安全威胁算法库中调用对应的威胁事件检测算法，并基于所述威胁事件检测算法和所述相应的固化参数值执行对应的威胁事件检测之后，进一步包括：

获取每一个威胁事件的检测结果，并进行输出；

若所述风险标识为复合威胁模板标识，则根据每一个威胁事件的检测结果和安全威胁模板库中记录的威胁模板和威胁事件的映射关系，获取各威胁模板的检测结果，并进行输出，其中威胁模板包括单一威胁模板和复合威胁模板；

若所述风险标识为安全漏洞标识，则根据每一个威胁事件的检测结果和威胁事件库中记录的安全漏洞和威胁事件的映射关系，获取各安全漏洞的检测结果，并进行输出。

一种安全威胁管理系统，包括：

威胁模板管理单元，用于根据用户的配置策略获取待监测对象的风险标识，通过检索预存的安全威胁模板库，获取对应所述风险标识设置的单一威胁模板标识集合、以及对应所述单一威胁模板标识集合中每一个威胁模板标识设置的威胁事件标识集合，其中，威胁事件用于描述针对安全威胁的检测算法及固化参数，单一威胁模板用于描述针对特定类型安全威胁的检测算法及参数取值集合；

威胁事件管理单元，用于根据预设的威胁事件检测策略，通过检索预存的威胁事件库，获取对应所述威胁事件标识集合中的每一个威胁事件标识设置的威胁事件检测算法标识和相应的固化参数值；

威胁算法管理单元，用于基于每一个威胁事件标识对应的威胁事件检测算法标识，在预存的安全威胁算法库中调用对应的威胁事件检测算法，并基于所述威胁事件检测算法和所述相应的固化参数值执行对应的威胁事件检测，所述安全威胁算法库中记录有各种威胁事件算法的实现方式。

这样，通过层次化的威胁组织，将算法和参数从中分离，设计了一套量化的威胁描述方法，从识别角度量化威胁事件，有利于区分理论漏洞和检测漏洞，不仅使威胁的检测更加准确，而且便于威胁的量化管理和产品威胁事件及检测规则的扩展和定制，从而快速满足市场需求，并且支持建立威胁管理库。并在架构上支持威胁识别的扩展，能够快速响应市场和客户需求。

可选的，所述风险标识为复合威胁模板标识或安全漏洞标识，其中，复合威胁模板为至少一个单一威胁模板的组合。

可选的，根据预设的威胁事件检测策略，通过检索预存的威胁事件库，获取对应所述威胁事件标识集合中的每一个威胁事件标识设置的威胁事件检测算法标识和相应的固化参数值时，所述威胁事件管理单元具体用于：

若所述威胁事件检测策略为按照系统默认的顺序检测，则按照威胁事件标识在威胁事件库中从先到后的存储顺序，依次获取对应每一个威胁事件标识设置的威胁事件检测算法标识和相应的固化参数值；或，

若所述威胁事件检测策略为按照指定的优先级顺序检测，则按照预设的威胁事件的优先级排列顺序，依次获取对应每一个威胁事件标识设置的威胁事件检测算法标识和相应的固化参数值。

可选的，通过检索预存的威胁事件库，获取对应所述威胁事件标识集合中的每一个威胁事件标识设置的威胁事件检测算法标识和相应的固化参数值时，所述威胁事件管理单元具体用于：

通过检索预存的威胁事件库，直接依次获取对应每一个威胁事件标识设置的威胁事件检测算法标识和相应的固化参数值；或，

通过检索预存的威胁事件库，依次获取对应每一个威胁事件标识设置的威胁事件类型，以及基于每一个威胁事件类型检索预存的安全威胁算法库，获取对应每一个威胁事件类型设置的威胁事件检测算法标识和相应的固化参数值。

可选的，基于每一个威胁事件标识对应的威胁事件检测算法标识，在预存的安全威胁算法库中调用对应的威胁事件检测算法，并基于所述威胁事件检测算法和所述相应的固化参数值执行对应的威胁事件检测之后，所述威胁模板管理单元进一步用于：

获取每一个威胁事件的检测结果，并进行输出；

若所述风险标识为复合威胁模板标识，则根据每一个威胁事件的检测结果和安全威胁模板库中记录的威胁模板和威胁事件的映射关系，获取各威胁模板的检测结果，并进行输出，其中威胁模板包括单一威胁模板和复合威胁模板；

若所述风险标识为安全漏洞标识，则根据每一个威胁事件的检测结果和威胁事件库中记录的安全漏洞和威胁事件的映射关系，获取各安全漏洞的检测结果，并进行输出。

附图说明

图1为本发明实施中的安全威胁管理系统架构示意图；

图2为本发明实施中的安全威胁管理方法流程示意图；

图3和图4为本发明实施中具体应用场景下的安全威胁管理方法流程示意图；

图5为本发明实施中的安全威胁管理装置结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，并不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

下面针对本发明中涉及到的专业名词进行详细解释，如安全漏洞、威胁事件、单一威胁模板、复合威胁模板等。

安全漏洞是理论上的缺陷或问题，由外部组织发布。威胁代表潜在的安全风险，对安全漏洞的具体检测可由威胁事件描述，威胁事件通过检测来识别，可以用检测算法及其参数的具体取值(或取值范围)来限定。例如：某网站具有数据库注入(SQLInjection)漏洞(缺陷)，但是该网站前置部署了WAF，因此常规的检测无法识别出。但是通过某个特殊检测算法及其参数取值，绕过WAF发现此漏洞，那么此检测算法及其参数具体取值构成一次威胁事件，并且该威胁事件对应一个SQLInjection漏洞，这种情况下，安全漏洞与威胁事件可以是一对多的关系，即一个安全漏洞可以通过多个威胁事件来检测并发现。此外，威胁事件与安全漏洞也有一对多的情况，即一个威胁事件能够检测到多个安全漏洞，这适用于采用特定参数取值的一次检测识别出多个安全漏洞。

针对威胁事件向下细分：对于威胁事件的检测具有特定的资产对象(即检测目标)，例如某个域名统一资源定位器(UniformResourceLocator，URL)，在具体的资产上检测出威胁事件，称为威胁事件发生，相对于威胁事件的描述，事件发生描述增加了具体资产对象的特定位置(例如参数、DOM树偏移等)。检测到某次威胁事件发生，一般称为发现一个漏洞或过滤一个风险，在具体检测的报文中，还有一些随机可变字段，例如用户代理浏览器(UA)/身份识别码(COOKIE)等，攻击详情作为不可抵赖的证据记录，是最细粒度的威胁事件检测数据，用于漏洞/风险验证，带有时间戳，唯一标识了一次检测事件发生。

针对威胁事件向上归类：威胁事件自身具有类别属性，前述可知威胁事件由检测算法及其参数的具体取值限定，那么不同算法可以划分为不同的威胁检测类型(例如篡改的静态检测、动态识别；web漏洞的动态精确检测、内容管理系统的指纹对比等)，不同算法分类可以划为不同的威胁类型(例如web漏洞、系统漏洞、敏感词、篡改、挂马等)，同一个算法具有多个参数的，可按参数取值(范围)的组合来分类，例如平稳度事件检测，算法为请求应答检测，参数有超文本传输协议检测(HTTP)/IP连通性检测(PING)/路由跟踪检测(TRACEROUTE)，请求包大小/检测周期/单次超时/是否应答/应答时间，可以按照参数取值分类，例如网站服务检测类别可为HTTP协议检测，其他参数限制离散取值范围。再如大包检测类别可设置包大小为1024字节，其他参数限制离散取值范围。将这种检测算法固定，参数变化的类别称为“单一威胁模板”。不同算法的单一威胁模板可以组合为“复合威胁分类模板”。

以上所述”威胁事件”、“单一威胁模板”、“复合威胁模板”均可作为用户任务的配置参数，独立保存，并可在任务下发和数据分析时引用，量化了安全威胁的描述，方便了安全威胁的管理。

本发明实施中提供的安全威胁管理系统架构可参阅图1所示，通过图1可以看出，安全威胁管理系统架构由层次化模型或单元构成，每层分为数据存储部分和功能操作单元。

数据存储部分包括：安全威胁算法库、安全威胁事件库和安全威胁模板库，其中：

安全威胁模板库：通过威胁模板标识(identity，ID)构成的集合，具体存储内容见表1所示。

表1

安全威胁事件库：通过检测算法索引、配置参数取值(范围)组合封装的各个安全威胁事件全集及对应的安全漏洞集合，具体存储内容见表2所示。

表2

数据项	说明
		EventID	威胁事件ID
VulIDLst	威胁事件对应的安全漏洞ID列表
		ThreatType	威胁事件对应的威胁类型，如web漏洞、篡改、敏感词、挂马
AlgoID	威胁事件对应的识别算法ID
		Param-value Dict	使用指定检测算法的参数和对应取值字典
数据项	说明
		vulID	安全漏洞ID
eventIDLst	安全漏洞对应的威胁事件ID列表

安全威胁算法库：包括抽象出配置参数的各种威胁检测算法的具体实现，具体存储内容见表3所示。

表3

下面通过数学的方式来描述上述数据存储部分的内部封装。

添加到系统中的威胁检测算法，均抽象封装处理，对外提供了一些可配置参数及取值范围组合，

如某算法A有N个参数，其参数的取值范围组合P＝{C₁,C₂,…,C_M},

其中一个取值范围组合 $C_i=\{p_1:\[v_{i_{B1}},v_{i_{E1}}\],p_2:\[v_{i_{B2}},v_{i_{E2}}\],...,p_N:\[v_{i_{BN}},v_{i_{EN}}\]\};$

该组合对应的漏洞范围为：V＝{C₁:V₁,C₂:V₂,…,C_M:V_M}，

其中在A的C_i情况下对应Q_i个安全漏洞。

一个威胁事件定义为：e＝A:eC_i,其中参数具体取值为

${\mathrm{eC}}_i=\{p_1:\[{\mathrm{ev}}_{i_{B1}},{\mathrm{ev}}_{i_{E1}}\],p_2:\[{\mathrm{ev}}_{i_{B2}},{\mathrm{ev}}_{i_{E2}}\],...,p_N:\[{\mathrm{ev}}_{i_{BN}},{\mathrm{ev}}_{i_{EN}}\]\},$ 其中对k∈{1，2，…,N}， $\[{\mathrm{ev}}_{i_{Bk}},{\mathrm{ev}}_{i_{Ek}}\]\∈\[v_{i_{Bk}},v_{i_{Ek}}\];$

威胁事件e对应的漏洞范围其中O_i≤Q_i；

通过如上定义方式，亦可通过反向索引到对应的威胁事件e。

系统出厂提供安全漏洞/威胁事件检测能力默认值，具体如下所示：

安全威胁算法库：提供D个识别算法A_d＝{A₁,A₂,…,A_D},及其对应参数取值组合P_d、扫描的漏洞组合V_d

威胁事件库中：对应威胁事件EA_d＝{EA₁,EA₂,…,EA_D}，其中为对A_i算法默认封装参数的取值范围组合个数，S_j为第j个取值范围中封装的威胁事件个数；

对应的安全漏洞VA_d＝{VA₁,VA₂,…,VA_D}，其中其中为A_i算法第j个取值范围中第k个威胁事件对应的安全漏洞集合。

安全威胁模板库中：def_temp_lib＝{sigTP,cpdTP}，其中

sigTP＝{sigTP₁,sigTP₂,…,sigTP_R},包含R个单一威胁模板，其中 ${\mathrm{EA}}_{d_i}\∈{\mathrm{EA}}_d.$

cpdTP＝{cpdTP₁,cpdTP₂,…,cpdTP_T},包含T个复合威胁模板，其中cpdTP_j＝sigTPSub_j,sigTPSub_j∈sigTP；

功能操作单元包括：算法库扩展接口单元、威胁事件管理单元和威胁模板管理单元，其中：

算法库扩展接口单元：按照安全威胁算法库的格式要求，可快速实现增加新算法、删除旧算法，导入导出算法、调整算法属性等功能，此外，通过该单元可以快速扩展安全核心的攻防能力，不影响产品整体架构。

威胁事件管理单元：包括实现威胁事件的定义、威胁事件与安全漏洞的映射、威胁事件的释放、修改、查询、导入导出等管理功能。

威胁模板管理单元：包括实现威胁模板的定义、释放、修改、查询、导入导出等管理功能。

利用上述安全威胁管理系统能够实现web的安全监测，即持续监测目标网站上的安全漏洞、安全事件、可用状态。上层安全应用通过威胁模板驱动资产监测、风险分析、以及报表输出等，威胁模板经过与具体的目标资产结合，产生资产风险事件及相关的风险评估、分析等数据和功能。

此外，通过算法扩展接口模块，可以快速扩展安全核心的攻防能力，不影响产品整体架构。

基于上述安全威胁管理系统，参阅图2所示，本发明实施例中提供一种安全威胁管理方法，具体流程如下：

步骤200：根据用户的配置策略获取待监测对象的风险标识，通过检索预存的安全威胁模板库，获取对应该风险标识设置的单一威胁模板标识集合、以及对应该单一威胁模板标识集合中每一个威胁模板标识设置的威胁事件标识集合，其中，威胁事件用于描述针对安全威胁的检测算法及固化参数，单一威胁模板用于描述针对特定类型安全威胁的检测算法及参数取值集合。

风险标识为复合威胁模板标识或安全漏洞标识，其中，复合威胁模板为至少一个单一威胁模板的组合。

步骤201：根据预设的威胁事件检测策略，通过检索预存的威胁事件库，获取对应该威胁事件标识集合中的每一个威胁事件标识设置的威胁事件检测算法标识和相应的固化参数值。

具体的，根据预设的威胁事件检测策略，通过检索预存的威胁事件库，获取对应该威胁事件标识集合中的每一个威胁事件标识设置的威胁事件检测算法标识和相应的固化参数值，具体包括以下两种情形：

第一种情形为：若该威胁事件检测策略为按照系统默认的顺序检测，则按照威胁事件标识在威胁事件库中从先到后的存储顺序，依次获取对应每一个威胁事件标识设置的威胁事件检测算法标识和相应的固化参数值。

第二种情形为：若该威胁事件检测策略为按照指定的优先级顺序检测，则按照预设的威胁事件的优先级排列顺序，依次获取对应每一个威胁事件标识设置的威胁事件检测算法标识和相应的固化参数值。

具体的，通过检索预存的威胁事件库，获取对应该威胁事件标识集合中的每一个威胁事件标识设置的威胁事件检测算法标识和相应的固化参数值，具体包括以下两种实现方式：

第一种实现方式为：通过检索预存的威胁事件库，直接依次获取对应每一个威胁事件标识设置的威胁事件检测算法标识和相应的固化参数值。

第二种实现方式为：通过检索预存的威胁事件库，依次获取对应每一个威胁事件标识设置的威胁事件类型，以及基于每一个威胁事件类型检索预存的安全威胁算法库，获取对应每一个威胁事件类型设置的威胁事件检测算法标识和相应的固化参数值。

步骤202：基于每一个威胁事件标识对应的威胁事件检测算法标识，在预存的安全威胁算法库中调用对应的威胁事件检测算法，并基于该威胁事件检测算法和该相应的固化参数值执行对应的威胁事件检测，该安全威胁算法库中记录有各种威胁事件算法的实现方式。

进一步的，基于每一个威胁事件标识对应的威胁事件检测算法标识，在预存的安全威胁算法库中调用对应的威胁事件检测算法，并基于该威胁事件检测算法和该相应的固化参数值执行对应的威胁事件检测之后，获取每一个威胁事件的检测结果，并进行输出；若上述风险标识为复合威胁模板标识，则根据每一个威胁事件的检测结果和安全威胁模板库中记录的威胁模板和威胁事件的映射关系，获取各威胁模板的检测结果，并进行输出，其中威胁模板包括单一威胁模板和复合威胁模板；若上述风险标识为安全漏洞标识，则根据每一个威胁事件的检测结果和威胁事件库中记录的安全漏洞和威胁事件的映射关系，获取各安全漏洞的检测结果，并进行输出。

基于上述实施例，下面通过两个具体的威胁事件检测场景来进一步说明安全威胁管理方法。

参阅图3所示，用户选定具体的资产(即监测对象)、调度时间后，开始执行安全威胁监测：

步骤301：根据用户的配置策略，获取用户配置的复合威胁模板ID。

步骤302：基于复合威胁模板ID，检索安全威胁模板库，将复合威胁模板拆解为单一威胁模板，得到单一威胁模板ID集合。

步骤303：判断用户配置的所有类型的复合威胁模板是否均已处理，若是，则执行步骤304，否则，执行步骤302，继续将未处理的复合威胁模板拆解为单一威胁模板。

步骤304：基于单一威胁模板ID集合中的每一个单一威胁模板ID，检索安全威胁模板库，获取每一个单一安全威胁模板映射的威胁事件集合，得到本次监测的威胁事件集合。

步骤305：获取本次威胁事件检测策略，假设本次威胁事件检测策略为系统默认的顺序检测。

步骤306：按照各威胁事件ID在威胁事件库中的从先到后的存储顺序，将威胁事件ID依次输入威胁事件库中。

步骤307：检索输入的威胁事件ID对应的威胁事件检测算法ID，以及该威胁事件检测算法中涉及的固化参数值。

步骤308：将上述威胁事件检测算法ID输入安全威胁算法库中调用对应的威胁事件检测算法，并基于该威胁事件检测算法和相应的固化参数值执行对应的威胁事件检测。

步骤309：输出该威胁事件是否发生的检测结论。

步骤310：判断本次监测的威胁事件集合中是否存在未被处理的威胁事件，若是，则执行步骤311，否则，执行步骤312。

步骤311：将未被处理的威胁事件ID输入到威胁事件库中，然后执行步骤307。

步骤312：根据每一个威胁事件的检测结果和安全威胁模板库中记录的威胁模板和威胁事件的映射关系，获取各威胁模板的检测结果，并进行输出。

需要说明的是，若用户当前配置的风险标识为安全漏洞ID时，则基于配置的安全漏洞ID，检索安全威胁模板库，得到与安全漏洞匹配的单一威胁模板ID集合，然后继续执行上述步骤304～步骤311，最后根据每一个威胁事件的检测结果和威胁事件库中记录的安全漏洞和威胁事件的映射关系，获取各安全漏洞的检测结果，并进行输出。

参阅图4所示，用户选定具体的资产(即监测对象)、调度时间后，开始执行安全威胁监测：

步骤401：根据用户的配置策略，获取用户配置的复合威胁模板ID。

步骤402：基于复合威胁模板ID，检索安全威胁模板库，将复合威胁模板拆解为单一威胁模板，得到单一威胁模板ID集合。

步骤403：判断用户配置的所有类型的复合威胁模板是否均已处理，若是，则执行步骤404，否则，执行步骤402，继续将未处理的复合威胁模板拆解为单一威胁模板。

步骤404：基于单一威胁模板ID集合中的每一个单一威胁模板ID，检索安全威胁模板库，获取每一个单一安全威胁模板映射的威胁事件集合，得到本次监测的威胁事件集合。

步骤405：获取本次威胁事件检测策略，假设本次威胁事件检测策略为系统默认的顺序检测。

步骤406：按照各威胁事件ID在威胁事件库中的从先到后的存储顺序，将威胁事件ID依次输入威胁事件库中。

步骤407：检索输入的威胁事件ID对应的威胁类型。

步骤408：将上述威胁事件ID对应的威胁类型输入安全威胁算法库中检索对应的威胁事件检测算法ID，以及该威胁事件检测算法中涉及的固化参数值。

步骤409：将上述威胁事件检测算法ID输入安全威胁算法库中调用对应的威胁事件检测算法，并基于该威胁事件检测算法和相应的固化参数值执行对应的威胁事件检测。

步骤410：输出该威胁事件是否发生的检测结论。

步骤411：判断本次监测的威胁事件集合中是否存在未被处理的威胁事件，若是，则执行步骤412，否则，执行步骤413。

步骤412：将未被处理的威胁事件ID输入到威胁事件库中，然后执行步骤407。

步骤413：根据每一个威胁事件的检测结果和安全威胁模板库中记录的威胁模板和威胁事件的映射关系，获取各威胁模板的检测结果并进行输出。

需要说明的是，若用户当前配置的风险标识为安全漏洞ID时，则基于配置的安全漏洞ID，检索安全威胁模板库，得到与安全漏洞匹配的单一威胁模板ID集合，然后继续执行上述步骤404～步骤412，最后根据每一个威胁事件的检测结果和威胁事件库中记录的安全漏洞和威胁事件的映射关系，获取各安全漏洞的检测结果，并进行输出。

基于上述技术方案，参阅图5所述，本发明实施例还提供一种安全威胁管理系统，包括：威胁模板管理单元50、威胁事件管理单元51和威胁算法管理单元52，其中：

威胁模板管理单元50，用于根据用户的配置策略获取待监测对象的风险标识，通过检索预存的安全威胁模板库，获取对应所述风险标识设置的单一威胁模板标识集合、以及对应所述单一威胁模板标识集合中每一个威胁模板标识设置的威胁事件标识集合，其中，威胁事件用于描述针对安全威胁的检测算法及固化参数，单一威胁模板用于描述针对特定类型安全威胁的检测算法及参数取值集合；

威胁事件管理单元51，用于根据预设的威胁事件检测策略，通过检索预存的威胁事件库，获取对应所述威胁事件标识集合中的每一个威胁事件标识设置的威胁事件检测算法标识和相应的固化参数值；

威胁算法管理单元52，用于基于每一个威胁事件标识对应的威胁事件检测算法标识，在预存的安全威胁算法库中调用对应的威胁事件检测算法，并基于所述威胁事件检测算法和所述相应的固化参数值执行对应的威胁事件检测，所述安全威胁算法库中记录有各种威胁事件算法的实现方式。

可选的，所述风险标识为复合威胁模板标识或安全漏洞标识，其中，复合威胁模板为至少一个单一威胁模板的组合。

可选的，根据预设的威胁事件检测策略，通过检索预存的威胁事件库，获取对应所述威胁事件标识集合中的每一个威胁事件标识设置的威胁事件检测算法标识和相应的固化参数值时，所述威胁事件管理单元51具体用于：

若所述威胁事件检测策略为按照系统默认的顺序检测，则按照威胁事件标识在威胁事件库中从先到后的存储顺序，依次获取对应每一个威胁事件标识设置的威胁事件检测算法标识和相应的固化参数值；或，

若所述威胁事件检测策略为按照指定的优先级顺序检测，则按照预设的威胁事件的优先级排列顺序，依次获取对应每一个威胁事件标识设置的威胁事件检测算法标识和相应的固化参数值。

可选的，通过检索预存的威胁事件库，获取对应所述威胁事件标识集合中的每一个威胁事件标识设置的威胁事件检测算法标识和相应的固化参数值时，所述威胁事件管理单元51具体用于：

通过检索预存的威胁事件库，直接依次获取对应每一个威胁事件标识设置的威胁事件检测算法标识和相应的固化参数值；或，

通过检索预存的威胁事件库，依次获取对应每一个威胁事件标识设置的威胁事件类型，以及基于每一个威胁事件类型检索预存的安全威胁算法库，获取对应每一个威胁事件类型设置的威胁事件检测算法标识和相应的固化参数值。

可选的，基于每一个威胁事件标识对应的威胁事件检测算法标识，在预存的安全威胁算法库中调用对应的威胁事件检测算法，并基于所述威胁事件检测算法和所述相应的固化参数值执行对应的威胁事件检测之后，所述威胁模板管理单元50进一步用于：

获取每一个威胁事件的检测结果，并进行输出；

若所述风险标识为复合威胁模板标识，则根据每一个威胁事件的检测结果和安全威胁模板库中记录的威胁模板和威胁事件的映射关系，获取各威胁模板的检测结果，并进行输出，其中威胁模板包括单一威胁模板和复合威胁模板；

若所述风险标识为安全漏洞标识，则根据每一个威胁事件的检测结果和威胁事件库中记录的安全漏洞和威胁事件的映射关系，获取各安全漏洞的检测结果，并进行输出。

综上所述，本发明实施例中根据用户的配置策略获取待监测对象的风险标识，通过检索预存的安全威胁模板库，获取对应该风险标识设置的单一威胁模板标识集合、以及对应该单一威胁模板标识集合中每一个威胁模板标识设置的威胁事件标识集合，其中，威胁事件用于描述针对安全威胁的检测算法及固化参数，单一威胁模板用于描述针对特定类型安全威胁的检测算法及参数取值集合；根据预设的威胁事件检测策略，通过检索预存的威胁事件库，获取对应该威胁事件标识集合中的每一个威胁事件标识设置的威胁事件检测算法标识和相应的固化参数值；基于每一个威胁事件标识对应的威胁事件检测算法标识，在预存的安全威胁算法库中调用对应的威胁事件检测算法，并基于该威胁事件检测算法和该相应的固化参数值执行对应的威胁事件检测，该安全威胁算法库中记录有各种威胁事件算法的实现方式，这样，通过层次化的威胁组织，将算法和参数从中分离，设计了一套量化的威胁描述方法，从识别角度量化威胁事件，有利于区分理论漏洞和检测漏洞，不仅使威胁的检测更加准确，而且便于威胁的量化管理和产品威胁事件及检测规则的扩展和定制，从而快速满足市场需求，并且支持建立威胁管理库。并在架构上支持威胁识别的扩展，能够快速响应市场和客户需求。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样，倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims (10)

1.一种安全威胁管理方法，其特征在于，包括：

根据用户的配置策略获取待监测对象的风险标识，通过检索预存的安全威胁模板库，获取对应所述风险标识设置的单一威胁模板标识集合、以及对应所述单一威胁模板标识集合中每一个威胁模板标识设置的威胁事件标识集合，其中，威胁事件用于描述针对安全威胁的检测算法及固化参数，单一威胁模板用于描述针对特定类型安全威胁的检测算法及参数取值集合；

根据预设的威胁事件检测策略，通过检索预存的威胁事件库，获取对应所述威胁事件标识集合中的每一个威胁事件标识设置的威胁事件检测算法标识和相应的固化参数值；

基于每一个威胁事件标识对应的威胁事件检测算法标识，在预存的安全威胁算法库中调用对应的威胁事件检测算法，并基于所述威胁事件检测算法和所述相应的固化参数值执行对应的威胁事件检测，所述安全威胁算法库中记录有各种威胁事件算法的实现方式。

2.如权利要求1所述的方法，其特征在于，所述风险标识为复合威胁模板标识或安全漏洞标识，其中，复合威胁模板为至少一个单一威胁模板的组合。

3.如权利要求1所述的方法，其特征在于，根据预设的威胁事件检测策略，通过检索预存的威胁事件库，获取对应所述威胁事件标识集合中的每一个威胁事件标识设置的威胁事件检测算法标识和相应的固化参数值，具体包括：

若所述威胁事件检测策略为按照系统默认的顺序检测，则按照威胁事件标识在威胁事件库中从先到后的存储顺序，依次获取对应每一个威胁事件标识设置的威胁事件检测算法标识和相应的固化参数值；或，

若所述威胁事件检测策略为按照指定的优先级顺序检测，则按照预设的威胁事件的优先级排列顺序，依次获取对应每一个威胁事件标识设置的威胁事件检测算法标识和相应的固化参数值。

4.如权利要求1所述的方法，其特征在于，通过检索预存的威胁事件库，获取对应所述威胁事件标识集合中的每一个威胁事件标识设置的威胁事件检测算法标识和相应的固化参数值，具体包括：

通过检索预存的威胁事件库，直接依次获取对应每一个威胁事件标识设置的威胁事件检测算法标识和相应的固化参数值；或，

通过检索预存的威胁事件库，依次获取对应每一个威胁事件标识设置的威胁事件类型，以及基于每一个威胁事件类型检索预存的安全威胁算法库，获取对应每一个威胁事件类型设置的威胁事件检测算法标识和相应的固化参数值。

5.如权利要求1-4任一项所述的方法，其特征在于，基于每一个威胁事件标识对应的威胁事件检测算法标识，在预存的安全威胁算法库中调用对应的威胁事件检测算法，并基于所述威胁事件检测算法和所述相应的固化参数值执行对应的威胁事件检测之后，进一步包括：

获取每一个威胁事件的检测结果，并进行输出；

若所述风险标识为复合威胁模板标识，则根据每一个威胁事件的检测结果和安全威胁模板库中记录的威胁模板和威胁事件的映射关系，获取各威胁模板的检测结果，并进行输出，其中威胁模板包括单一威胁模板和复合威胁模板；

若所述风险标识为安全漏洞标识，则根据每一个威胁事件的检测结果和威胁事件库中记录的安全漏洞和威胁事件的映射关系，获取各安全漏洞的检测结果，并进行输出。

6.一种安全威胁管理系统，其特征在于，包括：

威胁模板管理单元，用于根据用户的配置策略获取待监测对象的风险标识，通过检索预存的安全威胁模板库，获取对应所述风险标识设置的单一威胁模板标识集合、以及对应所述单一威胁模板标识集合中每一个威胁模板标识设置的威胁事件标识集合，其中，威胁事件用于描述针对安全威胁的检测算法及固化参数，单一威胁模板用于描述针对特定类型安全威胁的检测算法及参数取值集合；

威胁事件管理单元，用于根据预设的威胁事件检测策略，通过检索预存的威胁事件库，获取对应所述威胁事件标识集合中的每一个威胁事件标识设置的威胁事件检测算法标识和相应的固化参数值；

威胁算法管理单元，用于基于每一个威胁事件标识对应的威胁事件检测算法标识，在预存的安全威胁算法库中调用对应的威胁事件检测算法，并基于所述威胁事件检测算法和所述相应的固化参数值执行对应的威胁事件检测，所述安全威胁算法库中记录有各种威胁事件算法的实现方式。

7.如权利要求6所述的系统，其特征在于，所述风险标识为复合威胁模板标识或安全漏洞标识，其中，复合威胁模板为至少一个单一威胁模板的组合。

8.如权利要求6所述的系统，其特征在于，根据预设的威胁事件检测策略，通过检索预存的威胁事件库，获取对应所述威胁事件标识集合中的每一个威胁事件标识设置的威胁事件检测算法标识和相应的固化参数值时，所述威胁事件管理单元具体用于：

若所述威胁事件检测策略为按照系统默认的顺序检测，则按照威胁事件标识在威胁事件库中从先到后的存储顺序，依次获取对应每一个威胁事件标识设置的威胁事件检测算法标识和相应的固化参数值；或，

若所述威胁事件检测策略为按照指定的优先级顺序检测，则按照预设的威胁事件的优先级排列顺序，依次获取对应每一个威胁事件标识设置的威胁事件检测算法标识和相应的固化参数值。

9.如权利要求6所述的系统，其特征在于，通过检索预存的威胁事件库，获取对应所述威胁事件标识集合中的每一个威胁事件标识设置的威胁事件检测算法标识和相应的固化参数值时，所述威胁事件管理单元具体用于：

通过检索预存的威胁事件库，直接依次获取对应每一个威胁事件标识设置的威胁事件检测算法标识和相应的固化参数值；或，

通过检索预存的威胁事件库，依次获取对应每一个威胁事件标识设置的威胁事件类型，以及基于每一个威胁事件类型检索预存的安全威胁算法库，获取对应每一个威胁事件类型设置的威胁事件检测算法标识和相应的固化参数值。

10.如权利要求6-9任一项所述的系统，其特征在于，基于每一个威胁事件标识对应的威胁事件检测算法标识，在预存的安全威胁算法库中调用对应的威胁事件检测算法，并基于所述威胁事件检测算法和所述相应的固化参数值执行对应的威胁事件检测之后，所述威胁模板管理单元进一步用于：

获取每一个威胁事件的检测结果，并进行输出；

若所述风险标识为复合威胁模板标识，则根据每一个威胁事件的检测结果和安全威胁模板库中记录的威胁模板和威胁事件的映射关系，获取各威胁模板的检测结果，并进行输出，其中威胁模板包括单一威胁模板和复合威胁模板；若所述风险标识为安全漏洞标识，则根据每一个威胁事件的检测结果和威胁事件库中记录的安全漏洞和威胁事件的映射关系，获取各安全漏洞的检测结果，并进行输出。