CN107689956B - 一种异常事件的威胁评估方法及装置 - Google Patents
一种异常事件的威胁评估方法及装置 Download PDFInfo
- Publication number
- CN107689956B CN107689956B CN201710773065.3A CN201710773065A CN107689956B CN 107689956 B CN107689956 B CN 107689956B CN 201710773065 A CN201710773065 A CN 201710773065A CN 107689956 B CN107689956 B CN 107689956B
- Authority
- CN
- China
- Prior art keywords
- abnormal event
- threat assessment
- threat
- target
- assessment value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明实施例公开了一种异常事件的威胁评估方法及装置,方法包括:获取目标异常事件,根据状态分值对应表和所述目标异常事件的异常状态确定所述目标异常事件的基础威胁分值;根据所述目标异常事件的异常程度,得到所述目标异常事件的可信度系数;获取所述目标异常事件的出现概率,根据所述基础威胁分值、所述可信度系数和所述出现概率计算得到所述目标异常事件的威胁评估值。本发明实施例通过获取基础威胁分值、可信度系数和目标异常事件的出现概率来计算得到目标异常事件的威胁评估值,客观公正,快速便捷,大大降低人为工作量。
Description
技术领域
本发明实施例涉及网络安全技术领域,具体涉及一种异常事件的威胁评估方法及装置。
背景技术
随着网络的发展和普及,网络安全成为所有人关注的重点。在网络安全领域,异常事件的评估是一项非常重要的内容,只有对异常事件的正确评估,才能提前预判,采取相应的保护措施,避免造成更大的危害。
现有的方法中通过各种规则抓获异常事件后,在对异常事件进行威胁评估时,主要采用人为判断的方式。
在实现本发明实施例的过程中,发明人发现现有的方法采用人为判断异常事件的威胁评估,主观性太大,工作任务重且效率低下。
发明内容
由于现有方法存在上述问题,本发明实施例提出一种异常事件的威胁评估方法及装置。
第一方面,本发明实施例提出一种异常事件的威胁评估方法,包括:
获取目标异常事件,根据状态分值对应表和所述目标异常事件的异常状态确定所述目标异常事件的基础威胁分值;
根据所述目标异常事件的异常程度,得到所述目标异常事件的可信度系数;
获取所述目标异常事件的出现概率,根据所述基础威胁分值、所述可信度系数和所述出现概率计算得到所述目标异常事件的威胁评估值。
可选地,所述方法还包括:
获取目标用户在第一预设时间段的所有异常事件,将各异常事件的威胁评估值进行加权计算,得到所述目标用户的威胁评估值。
可选地,所述方法还包括:
获取内网或云服务器中第二预设时间段的所有用户的威胁评估值,将各用户的威胁评估值进行加权计算,得到所述内网或云服务器的威胁评估值。
可选地,所述方法还包括:
将各异常事件的威胁评估值显示在界面上;
接收用户的反馈,根据所述反馈更新对应的异常事件的威胁评估值,得到更新后威胁评估值;
根据所述更新后威胁评估值更新对应用户的威胁评估值和所述内网或云服务器的威胁评估值。
可选地,所述根据所述目标异常事件的异常程度,得到所述目标异常事件的可信度系数,具体包括:
根据所述目标异常事件的偏离分数,得到所述目标异常事件所属的偏离区间。
根据所述偏离区间,得到所述目标异常事件的可信度系数。可选地,所述方法还包括:
存储所述目标异常事件的威胁评估值、所述目标用户的威胁评估值、所述内网或云服务器的威胁评估值和所述更新后威胁评估值。
第二方面,本发明实施例还提出一种异常事件的威胁评估装置,包括:
威胁分值获取模块,用于获取目标异常事件,根据状态分值对应表和所述目标异常事件的异常状态确定所述目标异常事件的基础威胁分值;
可信度系数获取模块,用于根据所述目标异常事件的异常程度,得到所述目标异常事件的可信度系数;
事件威胁评估模块,用于获取所述目标异常事件的出现概率,根据所述基础威胁分值、所述可信度系数和所述出现概率计算得到所述目标异常事件的威胁评估值。
可选地,所述装置还包括:
用户威胁评估模块,用于获取目标用户在第一预设时间段的所有异常事件,将各异常事件的威胁评估值进行加权计算,得到所述目标用户的威胁评估值。
可选地,所述装置还包括:
整体威胁评估模块,用于获取内网或云服务器中第二预设时间段的所有用户的威胁评估值,将各用户的威胁评估值进行加权计算,得到所述内网或云服务器的威胁评估值。
可选地,所述装置还包括:
事件威胁显示模块,用于将各异常事件的威胁评估值显示在界面上;
事件威胁反馈模块,用于接收用户的反馈,根据所述反馈更新对应的异常事件的威胁评估值,得到更新后威胁评估值;
威胁更新模块,用于根据所述更新后威胁评估值更新对应用户的威胁评估值和所述内网或云服务器的威胁评估值。
可选地,所述可信度系数获取模块具体包括:
异常程度计算单元,用于根据所述目标异常事件的偏离分数,得到所述目标异常事件所属的偏离区间;
可信度系数计算单元,用于根据所述偏离区间,得到所述目标异常事件的可信度系数。
可选地,所述装置还包括:
存储模块,用于存储所述目标异常事件的威胁评估值、所述目标用户的威胁评估值、所述内网或云服务器的威胁评估值和所述更新后威胁评估值。
第三方面,本发明实施例还提出一种电子设备,包括:
至少一个处理器;以及
与所述处理器通信连接的至少一个存储器,其中:
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行上述方法。
第四方面,本发明实施例还提出一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机程序,所述计算机程序使所述计算机执行上述方法。
由上述技术方案可知,本发明实施例通过获取基础威胁分值、可信度系数和目标异常事件的出现概率来计算得到目标异常事件的威胁评估值,客观公正,快速便捷,大大减小人为工作量。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些图获得其他的附图。
图1为本发明一实施例提供的一种异常事件的威胁评估方法的流程示意图;
图2为本发明另一实施例提供的一种异常事件的威胁评估方法的流程示意图;
图3为本发明一实施例提供的一种异常事件的威胁评估装置的结构示意图;
图4为本发明一实施例提供的电子设备的逻辑框图。
具体实施方式
下面结合附图,对本发明的具体实施方式作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
图1示出了本实施例提供的一种异常事件的威胁评估方法的流程示意图,包括:
S101、获取目标异常事件,根据状态分值对应表和所述目标异常事件的异常状态确定所述目标异常事件的基础威胁分值。
其中,所述目标异常事件为当前捕捉到的出现异常的事件。
所述状态分值对应表为异常事件的状态和基础威胁分值的对应表。
所述异常状态为终端或服务器捕捉到的异常的状态,例如登录地址短时间内发送不可达变化,或非常用时间段访问云服务等等。
所述基础威胁分值为预先设定的不同的异常状态对应的有威胁风险的分值。
举例来说,对某一个异常事件(目标异常事件)来说,根据异常事件本身的威胁程度,对各个异常事件赋一个基础威胁分值。
比如,异常事件1:登录地址短时间内发生不可达变化,基础威胁分值15;异常事件2:在非常用时间段访问云服务,基础威胁分值10。
S102、根据所述目标异常事件的异常程度,得到所述目标异常事件的可信度系数。
其中,所述异常程度是指这次异常事件与历史正常基线或正常事件的偏差度。所述可信度系数为用于表示登录时间是否正常的系数。
异常事件的可信度系数为0到1的一个概率,即该异常事件的可信度。可信度可以根据上下文,判断该异常事件为异常的概率,同时也会结合同组其他用户的行为来判断可信度。比如,用户A在非常用时间段登录,采用聚合算法得出本次异常事件的偏离分数,进一步得到该异常事件所属的偏离区间:本次登录时间离常用时间段的偏差值很大,因此异常可信度是很高的,可信度可为1,若发现同组用户这个时间段最近也在登录,则可能是该组用户在加班等,可信度系数降为0.5。
S103、获取所述目标异常事件的出现概率,根据所述基础威胁分值、所述可信度系数和所述出现概率计算得到所述目标异常事件的威胁评估值。
所述出现概率为当前类异常事件在一段时间内出现的次数与该段时间内出现的所有异常事件的比值。
所述威胁评估值为用于表征某个异常事件、某个用户、整个内网或整个云服务器可能遭受安全威胁的评估值。
异常事件的出现概率,为在同样的情况下,可能产生正常事件,也可能产生异常事件,其中异常事件的次数占所有事件次数的比例,即为异常事件出现的概率。比如用户A进行了200次云服务会话。其中会话的开始及结束时间段异常的为2次,则在非常用时间段访问云服务出现的概率为1%。
具体地,根据可信度、该异常事件在该用户的出现频率,对一个具体异常事件进行实际打分。这样可以根据具体情况,尽量描述一个用户异常事件的威胁值。
一个异常事件的威胁评估值=基础威胁分值×可信度系数×(1-异常事件的出现概率)。
举例来说,当前的异常事件为在非常用时间段访问云服务,因此基础威胁分值为10,在非常用时间段访问云服务的出现概率为1%,本次登录时间离常用时间段的偏差值很大,因此异常可信度是很高的,可信度可为1,但发现同组用户这个时间段最近也在登录,则可能是该组用户在加班,可信度系数降为0.5。则当前的异常事件在本次非常用时间段的登录云服务的异常事件的威胁评估值为10×0.5×(1-1%)=4.95。
具体地,一个异常事件的实际分数结合了专家知识及现网实际情况,同时根据用户反馈做进一步的自适应,忽略掉误报的异常事件。若一个用户触发某异常事件的频率过高,则也会适当降低此异常事件对此用户的威胁分数。(通过概率系数来体现的)比如某用户频繁触发了非常用地点登录,则可能最近这个用户在出差等。也会结合同组其他用户的情况进行可信度打分,尽量减少误判。异常事件评估时,结合了专家知识及具体异常事件的上下文环境,给一个新触发的异常事件打分。具体为通过专家知识,系统内建异常事件,赋予一个基本基础威胁分值,同时根据该事件的可信度及该账号出现的该异常事件的频率进行基础威胁分值调整。
本实施例通过获取基础威胁分值、可信度系数和目标异常事件的出现概率来计算得到目标异常事件的威胁评估值,客观公正,快速便捷,大大减小人为工作量。
进一步地,在上述方法实施例的基础上,所述方法还包括:
S104、获取目标用户在第一预设时间段的所有异常事件,将各异常事件的威胁评估值进行加权计算,得到所述目标用户的威胁评估值。
其中,所述目标用户为当前需要计算威胁评估值的用户。
加权计算时,当各个权重系数为1即为加和计算。可以根据异常事件等级,类型进行系数权重处理,也可以根据不同用户的重要性进行加权处理。
所述第一预设时间段为预先设置的记录目标用户发生的异常事件的时间段。
具体地,一个目标用户的威胁评估值默认为从该用户有异常事件到当前的一个总的威胁分数,但是也可以通过配置选择时间段,计算一个用户的威胁评估值。由于时间段可选,因此可以排除历史的因素,来反应一个用户近期的威胁情况,直接计算管理员关心的时间段内各个用户的威胁分数。
比如,计算用户A最近一个月的威胁评估值。用户A最近一个月,产生了两条异常事件,异常事件1:在非常用时间段访问云服务基础威胁分值4.95分,异常事件2:登录地址短时间内发生不可达变化,基础威胁分值11.2分,则用户A最近一个月的威胁评估值为4.95+11.2=16.15。
本实施例可以根据一个时间段内,用户触发的异常事件进行累计评分。随着选取的时间段的不同,用户的威胁评分也会不同,反映了所关心时间段的该用户的基础威胁分值,便于查看。
进一步地,在上述方法实施例的基础上,所述方法还包括:
S105、获取内网或云服务器中第二预设时间段的所有用户的威胁评估值,将各用户的威胁评估值进行加权计算,得到所述内网或云服务器的威胁评估值。
其中,所述第二预设时间段为预先设置的记录内网或云服务器整体发生的异常事件的时间段。
具体地,内网或云服务的威胁评估值即为指定时间范围内,各个用户的威胁分数加权。反映了该内网或云服务受到的整体异常威胁严重程度。
对整个云或内网的安全评分,可以基于某个时间段内,所有内网中的用户或所有访问该云的用户所触发的异常威胁分数来计算,方便了解整体的异常事件威胁情况。
进一步地,在上述方法实施例的基础上,所述方法还包括:
S106、将各异常事件的威胁评估值显示在界面上;
S107、接收用户的反馈,根据所述反馈更新对应的异常事件的威胁评估值,得到更新后威胁评估值;
S108、根据所述更新后威胁评估值更新对应用户的威胁评估值和所述内网或云服务器的威胁评估值。
具体地,管理员可以登录界面,对产生的异常事件进行确认,以便对威胁评估值进行进一步自适应。如果属于误报,则把此事件归为误报,并入库。从数据库读取信息,发现此异常事件为误报,则在威胁计分时会忽略掉此异常事件。从而,重新计算用户的威胁评估值和所述内网或云服务器的威胁评估值。
通过界面反馈机制,对威胁评估值做进一步的指导,排除掉误报事件对计分的干扰,同时调整每个用户、内网或云服务器的威胁评估值。
具体地,如图2所示,本实施例通过建立一套威胁评分机制及设定的用户反馈机制,给用户行为分析建立一套正向反馈和负向反馈的自适应机制,对用户行为分析细粒度到发现、检测及响应流程。此威胁评估系统流程分为一个异常事件基本分数赋值,结合上下文、历史数据及同组用户信息的实际分数计算,每用户的威胁分数及整个云或内网的威胁分数计算,界面管理员反馈处理,以及数据的存储,方便用户查看各种层面的异常事件的威胁评估值。
进一步地,在上述方法实施例的基础上,S102具体包括:
S1021、根据所述目标异常事件的偏离分数,得到所述目标异常事件所属的偏离区间;
S1022、根据所述偏离区间,得到所述目标异常事件的可信度系数。
具体地,每个具体的异常事件都有一个偏离分数,偏离分数会落在对应的区间,每个区间对应一个可信度系数。比如一个异常时间登录的异常事件的偏离分数为50,假如区间分布为[0,10]对应可信度系数0.2,[11,20]为0.3,[21,30]为0.4,[41,50]为0.5,…,>90为1,则偏离分数为50时,可信度系数为0.5。每一个异常时间都有一个偏离分数区间与可信度系数的对应表。
异常事件偏离分数的产生细节如下:
异常事件有的是通过机器学习产生的,比如聚合算法;有的是通过前后两次原始日志的逻辑分析产生的,比如物理地址不可达异常事件。需要说明的是,不同的异常事件都有一个偏离分数,即异常程度。如果通过聚合算法得到的异常事件,则偏离分数即为聚合算法自动生成的偏离分数。如果是通过逻辑分析得到的异常事件,则偏离分数跟具体的逻辑有关。逻辑分析得到的异常事件偏离分数举例:物理地址不可达异常事件。如果用户A在10:00中,在纽约访问了云服务,5分钟后,在莫斯科访问了云服务,则会触发物理地址不可达异常事件。账号存在被盗或者共享的可能。此次异常事件的偏离分数计算为:通过上面两城市的举例及出现时间间隔,可计算得到速度A km/h,客机平均速度在700km/h,因此偏离分数可以为A-700。同样的,针对这类异常时间有一个偏离分数与可信度系数的对应关系。
进一步地,在上述方法实施例的基础上,所述方法还包括:
S109、存储所述目标异常事件的威胁评估值、所述目标用户的威胁评估值、所述内网或云服务器的威胁评估值和所述更新后威胁评估值。
通过对各威胁评估值进行存储,便于后续的查看和处理。
图3示出了本实施例提供的一种异常事件的威胁评估装置的结构示意图,所述装置包括:威胁分值获取模块301、可信度系数获取模块302和事件威胁评估模块303,其中:
所述威胁分值获取模块301用于获取目标异常事件,根据状态分值对应表和所述目标异常事件的异常状态确定所述目标异常事件的基础威胁分值;
所述可信度系数获取模块302用于根据所述目标异常事件的异常程度,得到所述目标异常事件的可信度系数;
所述事件威胁评估模块303用于获取所述目标异常事件的出现概率,根据所述基础威胁分值、所述可信度系数和所述出现概率计算得到所述目标异常事件的威胁评估值。
具体地,所述基础威胁分值获取模块301获取目标异常事件,根据状态分值对应表和所述目标异常事件的异常状态确定所述目标异常事件的基础威胁分值;所述可信度系数获取模块302根据所述目标异常事件的异常程度,得到所述目标异常事件的可信度系数;所述事件威胁评估模块303获取所述目标异常事件的出现概率,根据所述基础威胁分值、所述可信度系数和所述出现概率计算得到所述目标异常事件的威胁评估值。
本实施例通过获取基础威胁分值、可信度系数和目标异常事件的出现概率来计算得到目标异常事件的威胁评估值,客观公正,快速便捷,大大减小人为工作量。
进一步地,在上述装置实施例的基础上,所述装置还包括:
用户威胁评估模块,用于获取目标用户在第一预设时间段的所有异常事件,将各异常事件的威胁评估值进行加权计算,得到所述目标用户的威胁评估值。
进一步地,在上述装置实施例的基础上,所述装置还包括:
整体威胁评估模块,用于获取内网或云服务器中第二预设时间段的所有用户的威胁评估值,将各用户的威胁评估值进行加权计算,得到所述内网或云服务器的威胁评估值。
进一步地,在上述装置实施例的基础上,所述装置还包括:
事件威胁显示模块,用于将各异常事件的威胁评估值显示在界面上;
事件威胁反馈模块,用于接收用户的反馈,根据所述反馈更新对应的异常事件的威胁评估值,得到更新后威胁评估值;
威胁更新模块,用于根据所述更新后威胁评估值更新对应用户的威胁评估值和所述内网或云服务器的威胁评估值。
进一步地,在上述装置实施例的基础上,所述可信度系数获取模块302具体包括:
异常程度计算单元,用于根据所述目标异常事件的偏离分数,得到所述目标异常事件所属的偏离区间;
可信度系数计算单元,用于根据所述偏离区间,得到所述目标异常事件的可信度系数。
进一步地,在上述装置实施例的基础上,所述装置还包括:
存储模块,用于存储所述目标异常事件的威胁评估值、所述目标用户的威胁评估值、所述内网或云服务器的威胁评估值和所述更新后威胁评估值。
本实施例所述的异常事件的威胁评估装置可以用于执行上述方法实施例,其原理和技术效果类似,此处不再赘述。
参照图4,所述电子设备,包括:处理器(processor)401、存储器(memory)402和总线403;
其中,
所述处理器401和存储器402通过所述总线403完成相互间的通信;
所述处理器401用于调用所述存储器402中的程序指令,以执行上述各方法实施例所提供的方法。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法。
本实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (8)
1.一种异常事件的威胁评估方法,其特征在于,包括:
获取目标异常事件,根据状态分值对应表和所述目标异常事件的异常状态确定所述目标异常事件的基础威胁分值;
根据所述目标异常事件的异常程度,得到所述目标异常事件的可信度系数;其中,所述可信度系数为用于表示登录时间是否正常的系数;
获取所述目标异常事件的出现概率,根据所述基础威胁分值、所述可信度系数和所述出现概率计算得到所述目标异常事件的威胁评估值;
获取目标用户在第一预设时间段的所有异常事件,将各异常事件的威胁评估值进行加权计算,得到所述目标用户的威胁评估值;
获取内网或云服务器中第二预设时间段的所有用户的威胁评估值,将各用户的威胁评估值进行加权计算,得到所述内网或云服务器的威胁评估值;
将各异常事件的威胁评估值显示在界面上;
接收用户的反馈,根据所述反馈更新对应的异常事件的威胁评估值,得到更新后威胁评估值;
根据所述更新后威胁评估值更新对应用户的威胁评估值和内网或云服务器的威胁评估值;
其中,一个异常事件的实际分数结合了专家知识及现网实际情况,同时根据用户反馈做进一步的自适应,忽略掉误报的异常事件。
2.根据权利要求1所述的方法,其特征在于,所述根据所述目标异常事件的异常程度,得到所述目标异常事件的可信度系数,具体包括:
根据所述目标异常事件的偏离分数,得到所述目标异常事件所属的偏离区间;
根据所述偏离区间,得到所述目标异常事件的可信度系数。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
存储所述目标异常事件的威胁评估值、所述目标用户的威胁评估值、所述内网或云服务器的威胁评估值和所述更新后威胁评估值。
4.一种异常事件的威胁评估装置,其特征在于,包括:
威胁分值获取模块,用于获取目标异常事件,根据状态分值对应表和所述目标异常事件的异常状态确定所述目标异常事件的基础威胁分值;
可信度系数获取模块,用于根据所述目标异常事件的异常程度,得到所述目标异常事件的可信度系数;其中,所述可信度系数为用于表示登录时间是否正常的系数;
事件威胁评估模块,用于获取所述目标异常事件的出现概率,根据所述基础威胁分值、所述可信度系数和所述出现概率计算得到所述目标异常事件的威胁评估值;
用户威胁评估模块,用于获取目标用户在第一预设时间段的所有异常事件,将各异常事件的威胁评估值进行加权计算,得到所述目标用户的威胁评估值;
整体威胁评估模块,用于获取内网或云服务器中第二预设时间段的所有用户的威胁评估值,将各用户的威胁评估值进行加权计算,得到所述内网或云服务器的威胁评估值;
事件威胁显示模块,用于将各异常事件的威胁评估值显示在界面上;
事件威胁反馈模块,用于接收用户的反馈,根据所述反馈更新对应的异常事件的威胁评估值,得到更新后威胁评估值;
威胁更新模块,用于根据所述更新后威胁评估值更新对应用户的威胁评估值和内网或云服务器的威胁评估值;
其中,一个异常事件的实际分数结合了专家知识及现网实际情况,同时根据用户反馈做进一步的自适应,忽略掉误报的异常事件。
5.根据权利要求4所述的装置,其特征在于,所述可信度系数获取模块具体包括:
异常程度计算单元,用于根据所述目标异常事件的偏离分数,得到所述目标异常事件所属的偏离区间;
可信度系数计算单元,用于根据所述偏离区间,得到所述目标异常事件的可信度系数。
6.根据权利要求4所述的装置,其特征在于,所述装置还包括:
存储模块,用于存储所述目标异常事件的威胁评估值、所述目标用户的威胁评估值、所述内网或云服务器的威胁评估值和所述更新后威胁评估值。
7.一种电子设备,其特征在于,包括:
至少一个处理器;以及
与所述处理器通信连接的至少一个存储器,其中:
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1至3任一所述的方法。
8.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机程序,所述计算机程序使所述计算机执行如权利要求1至3任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710773065.3A CN107689956B (zh) | 2017-08-31 | 2017-08-31 | 一种异常事件的威胁评估方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710773065.3A CN107689956B (zh) | 2017-08-31 | 2017-08-31 | 一种异常事件的威胁评估方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107689956A CN107689956A (zh) | 2018-02-13 |
| CN107689956B true CN107689956B (zh) | 2020-12-01 |
Family
ID=61155911
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710773065.3A Active CN107689956B (zh) | 2017-08-31 | 2017-08-31 | 一种异常事件的威胁评估方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107689956B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108881283B (zh) * | 2018-07-13 | 2021-08-20 | 杭州安恒信息技术股份有限公司 | 评估网络攻击的模型训练方法、装置及储存介质 |
| CN110351307B (zh) * | 2019-08-14 | 2022-01-28 | 杭州安恒信息技术股份有限公司 | 基于集成学习的异常用户检测方法及系统 |
| CN110958274A (zh) * | 2019-12-31 | 2020-04-03 | 深信服科技股份有限公司 | 服务器安全状态的检测方法、装置、电子设备及存储介质 |
| CN112087451A (zh) * | 2020-09-09 | 2020-12-15 | 杭州安恒信息技术股份有限公司 | 一种网络安全防护方法、装置、设备及可读存储介质 |
| CN112235312B (zh) * | 2020-10-22 | 2022-04-26 | 新华三信息安全技术有限公司 | 一种安全事件的可信度确定方法、装置及电子设备 |
| CN114019942B (zh) * | 2021-11-04 | 2023-08-29 | 哈尔滨工业大学 | 一种基于分时频率的工业机器人系统安全威胁评价方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102281163A (zh) * | 2011-09-19 | 2011-12-14 | 南京大学 | 一种网络入侵检测报警的方法 |
| CN102663240A (zh) * | 2012-03-23 | 2012-09-12 | 广东省电力调度中心 | 电力通信业务风险分析系统及评估方法 |
| CN104125217A (zh) * | 2014-06-30 | 2014-10-29 | 复旦大学 | 一种基于主机日志分析的云数据中心实时风险评估方法 |
| CN105184386A (zh) * | 2015-07-22 | 2015-12-23 | 中国寰球工程公司 | 一种结合专家经验和历史数据建立异常事件预警系统的方法 |
| CN105282131A (zh) * | 2015-02-10 | 2016-01-27 | 中国移动通信集团广东有限公司 | 基于风险项扫描的信息安全评估方法、装置及系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10318886B2 (en) * | 2015-10-30 | 2019-06-11 | Citrix Systems, Inc. | Anomaly detection with K-means clustering and artificial outlier injection |
| US10387445B2 (en) * | 2016-01-06 | 2019-08-20 | International Business Machines Corporation | Hybrid method for anomaly classification |
-
2017
- 2017-08-31 CN CN201710773065.3A patent/CN107689956B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102281163A (zh) * | 2011-09-19 | 2011-12-14 | 南京大学 | 一种网络入侵检测报警的方法 |
| CN102663240A (zh) * | 2012-03-23 | 2012-09-12 | 广东省电力调度中心 | 电力通信业务风险分析系统及评估方法 |
| CN104125217A (zh) * | 2014-06-30 | 2014-10-29 | 复旦大学 | 一种基于主机日志分析的云数据中心实时风险评估方法 |
| CN105282131A (zh) * | 2015-02-10 | 2016-01-27 | 中国移动通信集团广东有限公司 | 基于风险项扫描的信息安全评估方法、装置及系统 |
| CN105184386A (zh) * | 2015-07-22 | 2015-12-23 | 中国寰球工程公司 | 一种结合专家经验和历史数据建立异常事件预警系统的方法 |
Non-Patent Citations (1)
| Title |
|---|
| 可视化密度场模型及其在入侵检测中的应用;郭陟;《小型微型计算机系统》;20050630;第26卷(第6期);第1-4页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107689956A (zh) | 2018-02-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107689956B (zh) | 一种异常事件的威胁评估方法及装置 | |
| CN105590055B (zh) | 用于在网络交互系统中识别用户可信行为的方法及装置 | |
| CN110535702B (zh) | 一种告警信息处理方法及装置 | |
| CN108306846B (zh) | 一种网络访问异常检测方法及系统 | |
| CN107426231B (zh) | 一种识别用户行为的方法及装置 | |
| CN107682345B (zh) | Ip地址的检测方法、检测装置及电子设备 | |
| CN105824805B (zh) | 一种识别方法及装置 | |
| CN110932901B (zh) | 一种告警等级调整方法及系统 | |
| CN110188015B (zh) | 一种主机访问关系异常行为自适应检测装置及其监测方法 | |
| WO2022033396A1 (zh) | 信用阈值的训练方法及装置、ip地址的检测方法及装置 | |
| CN106878316B (zh) | 一种风险量化方法及装置 | |
| CN109597800B (zh) | 一种日志分发方法及装置 | |
| CN111754241A (zh) | 一种用户行为感知方法、装置、设备及介质 | |
| CN111860568B (zh) | 数据样本的均衡分布方法、装置及存储介质 | |
| CN116701130A (zh) | 基于指标画像的动态基线优化方法、装置及电子设备 | |
| CN110532485B (zh) | 基于多源数据融合的用户行为检测方法及装置 | |
| CN110519266B (zh) | 一种基于统计学方法的cc攻击检测的方法 | |
| CN110363381B (zh) | 一种信息处理方法和装置 | |
| CN108959047B (zh) | 一种基于业务场景的压力测试方法及装置 | |
| US10021013B2 (en) | Optimizing the monitoring of an enterprise server environment | |
| CN116471174B (zh) | 一种日志数据监测系统、方法、装置和存储介质 | |
| CN112839005B (zh) | Dns域名异常访问监控方法及装置 | |
| CN112035570A (zh) | 一种商户的评价方法及系统 | |
| CN112035569A (zh) | 一种商户评分方法及系统 | |
| CN115134386B (zh) | 一种物联网态势感知系统、方法、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 100088 Building 3 332, 102, 28 Xinjiekouwai Street, Xicheng District, Beijing Applicant after: Qianxin Technology Group Co.,Ltd. Address before: 100015 Jiuxianqiao Chaoyang District Beijing Road No. 10, building 15, floor 17, layer 1701-26, 3 Applicant before: Beijing Qi'anxin Technology Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |