CN110535866B - 系统画像的生成方法、装置及服务器 - Google Patents
系统画像的生成方法、装置及服务器 Download PDFInfo
- Publication number
- CN110535866B CN110535866B CN201910825032.8A CN201910825032A CN110535866B CN 110535866 B CN110535866 B CN 110535866B CN 201910825032 A CN201910825032 A CN 201910825032A CN 110535866 B CN110535866 B CN 110535866B
- Authority
- CN
- China
- Prior art keywords
- information
- target system
- basic
- threat
- portrait
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
Abstract
本发明提供了一种系统画像的生成方法、装置及服务器,该方法包括:采集目标系统的基础信息,并基于所述基础信息构建所述目标系统的基础画像;接收威胁情报信息,判断接收到的所述威胁情报信息是否与所述目标系统相关;如果是,关联所述威胁情报信息与所述基础画像,得到所述目标系统的系统画像。本发明可以有效缓解现有技术生成的画像存在较大局限性的问题。
Description
技术领域
本发明涉及互联网技术领域,尤其是涉及一种系统画像的生成方法、装置及服务器。
背景技术
随着网络安全发展日新月异,相关部门逐步提出了对于网络安全的监管要求,为便于监测诸如信息系统等被观测对象是否达到监管要求,通常采用画像方法对被观测对象的各项信息进行描述。但是目前在生成被观测对象的画像时,由于仅基于手动录入的被观测对象的各项数据生成画像,导致数据量受限,致使生成的画像结构较为简单,进而导致生成的画像存在较大的局限性,无法满足监管需求。
发明内容
有鉴于此,本发明的目的在于提供一种系统画像的生成方法、装置及服务器,可以有效缓解现有技术生成的画像存在较大局限性的问题。
第一方面,本发明实施例提供了一种系统画像的生成方法,包括:采集目标系统的基础信息,并基于所述基础信息构建所述目标系统的基础画像;接收威胁情报信息,判断接收到的所述威胁情报信息是否与所述目标系统相关;如果是,关联所述威胁情报信息与所述基础画像,得到所述目标系统的系统画像。
结合第一方面,本发明实施例提供了第一方面的第一种可能的实施方式,其中,所述基础信息包括所述目标系统的描述信息和安全信息;所述采集目标系统的基础信息的步骤,包括:通过预设页面展示目标系统的待填报信息,以使用户基于所述待填报信息填写所述目标系统的描述信息;获取所述用户填写的所述目标系统的描述信息;监测所述目标系统的隐患信息、流量告警数据和系统日志信息中的一种或多种;基于监测结果得到所述目标系统的安全信息。
结合第一方面,本发明实施例提供了第一方面的第二种可能的实施方式,其中,基于所述基础信息构建所述目标系统的基础画像的步骤,包括:基于所述基础信息,采用预设的第一列表形式构建所述目标系统的基础画像。
结合第一方面,本发明实施例提供了第一方面的第三种可能的实施方式,其中,所述接收威胁情报信息的步骤,包括:按照预设周期接收威胁情报源发送的威胁情报信息;或,向威胁情报源发送指令,接收所述威胁情报源针对所述指令反馈的所述威胁情报信息。
结合第一方面,本发明实施例提供了第一方面的第四种可能的实施方式,其中,所述判断接收到的所述威胁情报信息是否与所述目标系统相关的步骤,包括:提取所述基础信息中的第一共性字段和接收到的所述威胁情报信息中的第二共性字段;其中,所述第一共性字段的类型和所述第二共性字段的类型均包括IP字段、域名字段或名称字段中的一种或多种;判断同一类型的所述第一共性字段和所述第二共性字段是否相同;如果是,确定接收到的所述威胁情报信息与所述目标系统相关。
结合第一方面,本发明实施例提供了第一方面的第五种可能的实施方式,其中,所述威胁情报信息包括IP情报信息、域名情报信息和黑客情报信息中的一种或多种;所述关联所述威胁情报信息与所述基础画像,得到所述目标系统的系统画像的步骤,包括:基于所述第一共性字段和所述第二共性字段,关联所述威胁情报信息与所述基础画像;基于所述基础画像和与所述基础画像关联的威胁情报信息,采用预设的第二列表形式构建所述目标系统的系统画像。
结合第一方面,本发明实施例提供了第一方面的第六种可能的实施方式,其中,所述方法还包括:判断所述基础信息和所述威胁情报信息是否更新;如果是,基于更新后的基础信息和威胁情报信息更新所述系统画像。
第二方面,本发明实施例还提供一种系统画像的生成装置,包括:采集模块,用于采集目标系统的基础信息,并基于所述基础信息构建所述目标系统的基础画像;判断模块,用于接收威胁情报信息,判断接收到的所述威胁情报信息是否与所述目标系统相关;关联模块,用于在所述判断模块的判断结果为是时,关联所述威胁情报信息与所述基础画像,得到所述目标系统的系统画像。
第三方面,本发明实施例还提供一种服务器,包括处理器和存储器;所述存储器上存储有计算机程序,所述计算机程序在被所述处理器运行时执行如第一方面任一项所述的方法。
第四方面,本发明实施例还提供一种计算机存储介质,用于储存为第一方面任一项所述方法所用的计算机软件指令。
本发明实施例提供的一种系统画像的生成方法、装置及服务器,基于采集到的目标系统的基础信息构建目标系统的基础画像,并在接收到的威胁情报信息与目标系统相关时,关联威胁情报信息和基础画像,得到目标系统的系统画像。本发明实施例通过将与目标系统相关的威胁情报信息和目标系统的基础画像相关联,利用威胁情报信息具有的数据量大、数据全面等优点,丰富了基础画像的结构,使得到的系统画像描述的目标系统的信息更为全面,有效缓解了现有技术生成的系统画像存在较大局限性的问题。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种系统画像的生成方法的流程示意图;
图2为本发明实施例提供的一种信息获取的示意图;
图3为本发明实施例提供的一种系统画像的示意图;
图4为本发明实施例提供的一种系统画像的生成装置的结构示意图;
图5为本发明实施例提供的一种服务器的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合实施例对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
考虑到现有技术生成的画像存在较大的局限性,导致生成的画像无法满足监管要求,基于此,本发明实施提供的一种系统画像的生成方法、装置及服务器,可以有效缓解现有技术生成的画像存在较大局限性的问题。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种系统画像的生成方法进行详细介绍,参见图1所示的一种系统画像的生成方法的流程示意图,该方法可以包括以下步骤S102至步骤S106:
步骤S102,采集目标系统的基础信息,并基于基础信息构建目标系统的基础画像。
其中,目标系统可以包括信息系统(Information system),信息系统是由计算机硬件、网络和通信设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统。信息主要具有五个基本功能,即对信息的输入、存储、处理、输出和控制。本发明实施例所指的信息系统可以包括通过互联网IP(Internet Protocol,网协)地址或域名可以访问的在网信息系统,也是网络安全监管业务下常见的观测对象。基础信息可以包括目标系统自身层面的各种数据,诸如系统名称、服务器IP或受攻击信息等;基础画像可以理解为用于展示目标系统的基础信息的画像。
在一些实施方式中,可以将目标系统的各项基础信息预先保存至数据库中,以便于在生成系统画像时获取目标系统的基础信息,也可以手动录入或填报目标系统的基础数据,在具体实现时,可以先从数据库中获取预存的基础信息,在数据库中存储的基础信息错误或不全面时,再手动录入或填报部分基础数据,用以完善目标系统的基础信息。另外,在基于基础信息构建目标系统的基础画像时,可以按照预设的格式排布基础信息,以得到目标系统的基础画像。
步骤S104,接收威胁情报信息,判断接收到的威胁情报信息是否与目标系统相关。
其中,威胁情报信息可以包括为面临威胁的目标系统提供全面的、准确的并且能够执行和决策的知识和信息,例如,威胁情报信息可以包括IP情报信息、域名情报信息和黑客情报信息中的一种或多种。在一种实施方式中,可以判断威胁情报信息和目标系统的基础信息中具有相同的字段,如IP字段或域名字段,如果有,则确定威胁情报信息与目标系统相关。
步骤S106,如果是,关联威胁情报信息与基础画像,得到目标系统的系统画像。
系统画像可以理解为从不同的角度描述信息系统的基础情况以及安全状态,用以是监管者基于系统画像了解信息系统的运营使用状况与安全状况,在一种实施方式中,系统画像可以包括上述威胁情报信息、基础画像和威胁情报信息与基础画像之间的关联关系,其中,基础画像可以便于监管者了解信息系统的运营使用状况,威胁情报信息和上述关联关系可以便于监管者了解信息系统的安全状态。
本发明实施例提供的上述系统画像的生成方法,基于采集到的目标系统的基础信息构建目标系统的基础画像,并在接收到的威胁情报信息与目标系统相关时,关联威胁情报信息和基础画像,得到目标系统的系统画像。本发明实施例通过将与目标系统相关的威胁情报信息和目标系统的基础画像相关联,利用威胁情报信息具有的数据量大、数据全面等优点,丰富了基础画像的结构,使得到的系统画像描述的目标系统的信息更为全面,有效缓解了现有技术生成的系统画像存在较大局限性的问题。
在具体实现时,上述基础信息包括目标系统的描述信息和安全信息,其中,描述信息可以包括系统名称、访问连接、等级保护级别、服务器IP、负责人及联系方式和位置信息等,安全信息可以包括受攻击信息、对外攻击信息、存在的安全隐患以及已发生的安全事件等。为便于对上述步骤S102进行理解,本发明实施例提供了一种步骤S102的具体实现方法,参见如下步骤1至步骤5:
步骤1,通过预设页面展示目标系统的待填报信息,以使用户基于待填报信息填写目标系统的描述信息。其中,待填报信息用于提示用户填写和上传目标系统相应的描述信息。
步骤2,获取用户填写的目标系统的描述信息。在具体实现时,可以通过录入或信息系统填报的方式获取目标系统的描述信息。
步骤3,监测目标系统的隐患信息、流量告警数据和系统日志信息中的一种或多种。在一种实施方式中,可以通过漏洞检测相关设备监测目标系统的隐患信息,通过流量监测相关设备监测目标系统的流量告警数据,通过日志采集相关设备监测目标系统的原始日志信息(也即,前述系统日志信息)。
步骤4,基于监测结果得到目标系统的安全信息。通过对监测到的隐患信息、流量告警数据和原始日志信息进行分析处理,得到目标系统的受攻击信息、对外攻击信息、存在的安全隐患以及已发生的安全事件等安全信息。
步骤5,基于基础信息,采用预设的第一列表形式构建目标系统的基础画像。基于上述基础信息,可以生成信息系统在自身层面的基础画像,在具体实现时,可以按照预设的第一列表将各项基础信息添加至对应的位置,从而得到目标系统的基础画像。
本发明实施例进一步提供一种上述步骤S104的具体实现方式,参见如下步骤1至步骤4:
步骤1,按照预设周期接收威胁情报源发送的威胁情报信息;或,向威胁情报源发送指令,接收威胁情报源针对指令反馈的威胁情报信息。威胁情报信息的来源有多种情况,例如,开源社区、商业情报以及自建威胁情报中心等方式。威胁情报信息可以按照监管对象(也即,前述目标系统)的范围(明确的信息系统或按照行政地域)进行数据订阅查询或推送。在具体实现时,可以接入威胁情报源,并基于实际需求同时设置两种威胁情报数据的获取方法以从威胁情报源中获取威胁情报数据。其中,威胁情报源可以理解为存储有大量威胁情报信息的数据库或存储区,且威胁情报源中存储的威胁情报信息可能是从网页文件中获取的威胁情报信息或从信息系统产生的日志、实时的网络流量分析采集得到的威胁情报信息。
威胁情报信息可以包括IP情报信息、域名情报信息和黑客情报信息中的一种或多种。其中,IP情报信息主要记录有IP的运营商信息、地理位置、关联的域名、开放的端口及服务以及该IP是否发生过攻击行为等情报信息,也即IP情报信息可以包括IP基本信息、IP攻击行为信息、IP威胁信息等,IP基本信息描述了IP地址、威胁标签、注册信息、指纹信息(开放的端口、协议及指纹详情)、历史使用情况以及关联的域名等信息,IP攻击行为信息描述了该IP过去一定时间段内对外发起过的攻击动作、攻击时间以及攻击方式等信息,IP威胁信息描述了该IP是否属于某个黑客组织、开源情报社区中监控获得的情报状态、IP对外的攻击关系图以及与之相关的文章或报道等信息。
域名情报信息主要距离有域名的注册信息、ICP(Internet Content Provider,网络内容服务商)备案信息、域名的使用记录、与该域名相关的其他域名以及是否发生过恶意行为等情报信息,也即域名情报信息可以包括域名基本信息和域名威胁信息等,其中,域名基本信息中包括域名链接、威胁标签、注册信息(whois信息)、备案信息、DNS(Domain NameSystem,域名系统)解析记录以及关联域名等信息,且备案信息有可以包括ICP(InternetContent Provider,网络内容服务器商)备案和公安备案等信息,DNS解析记录又可以包括域名及对应IP地址变化的记录,关联域名又可以包括相关的其他域名或其子域名。域名威胁信息可以包括开源情报社区中监控获得的情报状态、域名关系图以及与之相关的文章或报道等情报信息。
黑客情报信息主要包括黑客组织基本信息和黑客活动信息,其中,黑客组织基本信息可以包括组织名称、概述、技能、特长、拥有的攻击资源等情报信息。
步骤2,提取基础信息中的第一共性字段和接收到的威胁情报信息中的第二共性字段。其中,第一共性字段和第二共性字段可以理解为基础信息与威胁情报数据中均包含的字段,例如,第一共性字段的类型和第二共性字段的类型均包括IP字段、域名字段或名称字段中的一种或多种。
步骤3,判断同一类型的第一共性字段和第二共性字段是否相同。如果是,执行步骤4,如果否,结束。例如,在第一共性字段的类型和第二共性字段的类型均为IP字段时,判断第一共性字段的IP字段与第二共性字段的IP字段是否相同,如果是,确定威胁情报信息与目标系统相关。
步骤4,如果是,确定接收到的威胁情报信息与目标系统相关。
为便于对前述步骤S102至步骤S104进行理解,本发明实施例提供了一种基础信息采集与威胁情报信息接收的方法,该方法由监管平台执行,参见图2所示的一种信息获取的示意图,具体的,监管平台通过互联网接收威胁情报源发送的威胁情报数据,并对各个信息系统进行观测以采集到各个信息系统的基础信息。另外,在通过互联网接收威胁情报源发送的威胁情报数据时,可以获取与监管平台或信息系统所在的区域对应的威胁情报数据。
另外,本发明实施例提供了一种上述步骤S106的具体实现方式,主要包括:(1)基于第一共性字段和第二共性字段,关联威胁情报信息与基础画像。通过名称字段或IP字段关联威胁情报信息和基础画像时需要注意,名称字段可能存在录入不规范、命名不准确等问题,进而导致威胁情报信息与基础画像无法关联,IP字段则需要区分公网IP字段与局域网IP字段。(2)基于基础画像和与基础画像关联的威胁情报信息,采用预设的第二列表形式构建目标系统的系统画像。在具体实现时,可以在预设的第二列表形式的基础上,将上述威胁情报信息填写至对应区域,并通过连线形式或其他形式标注威胁情报信息与基础画像之间的关联关系,从而得到目标系统的系统画像。
为便于对本发明提供的系统画像进行理解,本发明实施例提供了一种信息系统多维画像(也即,前述系统画像),参见图3所示的一种系统画像的示意图,图3中将系统画像划分为三级,如下表1所示,其中,一级分类包括基础信息和威胁情报信息,二级分类包括描述信息、安全信息、IP情报信息、域名情报信息和黑客情报信息,三级分类包括系统名称、受攻击信息、黑色组织信息、IP基本信息、域名基本信息等。另外,图3中的虚线表示威胁情报信息与系统基本信息(也即,前述基础画像)之间的关联关系。
表1
本发明实施例提供了另一种系统画像的生成方法,参见如下步骤1至步骤6:
步骤1,组建信息系统的基础画像。基于信息系统的基础信息,组建信息系统的基础画像。
步骤2,从黑客情报信息中提取IP字段,基于IP字段匹配信息系统的IP字段。在黑客情报信息中,可以提供该黑客组织拥有的部分IP字段(也可称之为IP资源、失陷资产或失陷主机等),提取该IP字段与信息系统在互联网上使用的服务器IP地址做匹配,分析该信息系统是否已被入侵控制。如果判定存在与IP资源对应的服务器IP地址,则将该黑客组织信息与信息系统做关联,将其作为信息系统需要防范和处置的重点对象,并将该黑客组织的所有信息补全到信息系统画像。
步骤3,以IP情报信息中的IP字段,匹配信息系统的服务器IP。IP情报信息中,有明确的互联网IP地址,可以与信息系统服务器的IP地址进行匹配,如果匹配成功,则将相关IP情报信息补全到信息系统的系统画像。
步骤4,以域名情报信息中的域名字段,匹配信息系统的域名字段或访问链接。域名情报信息中,有明确的域名信息,可以与信息系统服务器的域名或访问链接进行匹配,如果匹配成功,则将相关域名情报信息补全到信息系统的系统画像。
步骤5,构建信息系统的系统画像。
步骤6,系统画像的维护。在具体实现时,可以判断基础信息和威胁情报信息是否更新,并基于更新后的基础信息和威胁情报信息更新系统画像。信息系统多维画像中,数据的第三级分类(参考表1)中根据数据的时效性,在信息维护时需要有所区分。其中,系统名称、访问链接、等级保护级别、服务器IP、负责人及联系方式、位置信息、存在的安全隐患、黑客组织信息、IP基本信息、域名基本信息由于具有时效要求(数据变更后无效),在信息维护时需要做替换性操作,当其中共性数据(域名及IP)发生变化时,画像需重新建立。而其他非时效性数据,则以增量形式进行补充。
综上所述,本发明实施例通过将与目标系统相关的威胁情报信息和目标系统的基础画像相关联,利用威胁情报信息具有的数据量大、数据全面等优点,丰富了基础画像的结构,使得到的系统画像描述的目标系统的信息更为全面,有效缓解了现有技术生成的系统画像存在较大局限性的问题。另外,本发明实施例可以有效的描绘信息系统的整体状态,为网络安全监管工作提供依据,使监管人员能够对信息系统有快速、全面的理解,加强网络安全监管能力和水平,可以充分满足监管需求。
对于前述实施例提供的系统画像的生成方法,本发明实施例还提供了一种系统画像的生成装置,参见图4所示的一种系统画像的生成装置的结构示意图,该装置可以包括以下部分:
采集模块402,用于采集目标系统的基础信息,并基于基础信息构建目标系统的基础画像。
判断模块404,用于接收威胁情报信息,判断接收到的威胁情报信息是否与目标系统相关。
关联模块406,用于在判断模块的判断结果为是时,关联威胁情报信息与基础画像,得到目标系统的系统画像。
本发明实施例通过将与目标系统相关的威胁情报信息和目标系统的基础画像相关联,利用威胁情报信息具有的数据量大、数据全面等优点,丰富了基础画像的结构,使得到的系统画像描述的目标系统的信息更为全面,有效缓解了现有技术生成的系统画像存在较大局限性的问题。
在一种实施方式中,上述基础信息包括目标系统的描述信息和安全信息。上述采集模块402还用于:通过预设页面展示目标系统的待填报信息,以使用户基于待填报信息填写目标系统的描述信息;获取用户填写的目标系统的描述信息;监测目标系统的隐患信息、流量告警数据和系统日志信息中的一种或多种;基于监测结果得到目标系统的安全信息。
在一种实施方式中,上述采集模块402还用于:基于基础信息,采用预设的第一列表形式构建目标系统的基础画像。
在一种实施方式中,上述判断模块404还用于:按照预设周期接收威胁情报源发送的威胁情报信息;或,向威胁情报源发送指令,接收威胁情报源针对指令反馈的威胁情报信息。
在一种实施方式中,上述判断模块404还用于:提取基础信息中的第一共性字段和接收到的威胁情报信息中的第二共性字段;其中,第一共性字段的类型和第二共性字段的类型均包括IP字段、域名字段或名称字段中的一种或多种;判断同一类型的第一共性字段和第二共性字段是否相同;如果是,确定接收到的威胁情报信息与目标系统相关。
在一种实施方式中,上述威胁情报信息包括IP情报信息、域名情报信息和黑客情报信息中的一种或多种。上述关联模块406还用于:基于第一共性字段和第二共性字段,关联威胁情报信息与基础画像;基于基础画像和与基础画像关联的威胁情报信息,采用预设的第二列表形式构建目标系统的系统画像。
在一种实施方式中,上述系统画像的生成装置还包括更新模块,用于:判断基础信息和威胁情报信息是否更新;如果是,基于更新后的基础信息和威胁情报信息更新系统画像。
本发明实施例所提供的装置,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
该设备为一种服务器,具体的,该服务器包括处理器和存储装置;存储装置上存储有计算机程序,计算机程序在被所述处理器运行时执行如上所述实施方式的任一项所述的方法。
图5为本发明实施例提供的一种服务器的结构示意图,该服务器100包括:处理器50,存储器51,总线52和通信接口53,所述处理器50、通信接口53和存储器51通过总线52连接;处理器50用于执行存储器51中存储的可执行模块,例如计算机程序。
其中,存储器51可能包含高速随机存取存储器(RAM,Random Access Memory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口53(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。
总线52可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图5中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器51用于存储程序,所述处理器50在接收到执行指令后,执行所述程序,前述本发明实施例任一实施例揭示的流过程定义的装置所执行的方法可以应用于处理器50中,或者由处理器50实现。
处理器50可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器50中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器50可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital SignalProcessing,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器51,处理器50读取存储器51中的信息,结合其硬件完成上述方法的步骤。
本发明实施例所提供的可读存储介质的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见前述方法实施例,在此不再赘述。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (9)
1.一种系统画像的生成方法,其特征在于,包括:
采集目标系统的基础信息,并基于所述基础信息构建所述目标系统的基础画像;
接收威胁情报信息,判断接收到的所述威胁情报信息是否与所述目标系统相关;
如果是,关联所述威胁情报信息与所述基础画像,得到所述目标系统的系统画像;
所述判断接收到的所述威胁情报信息是否与所述目标系统相关的步骤,包括:
提取所述基础信息中的第一共性字段和接收到的所述威胁情报信息中的第二共性字段;其中,所述第一共性字段的类型和所述第二共性字段的类型均包括IP字段、域名字段或名称字段中的一种或多种;
判断同一类型的所述第一共性字段和所述第二共性字段是否相同;
如果是,确定接收到的所述威胁情报信息与所述目标系统相关。
2.根据权利要求1所述的方法,其特征在于,所述基础信息包括所述目标系统的描述信息和安全信息;
所述采集目标系统的基础信息的步骤,包括:
通过预设页面展示目标系统的待填报信息,以使用户基于所述待填报信息填写所述目标系统的描述信息;
获取所述用户填写的所述目标系统的描述信息;
监测所述目标系统的隐患信息、流量告警数据和系统日志信息中的一种或多种;
基于监测结果得到所述目标系统的安全信息。
3.根据权利要求1所述的方法,其特征在于,基于所述基础信息构建所述目标系统的基础画像的步骤,包括:
基于所述基础信息,采用预设的第一列表形式构建所述目标系统的基础画像。
4.根据权利要求1所述的方法,其特征在于,所述接收威胁情报信息的步骤,包括:
按照预设周期接收威胁情报源发送的威胁情报信息;
或,
向威胁情报源发送指令,接收所述威胁情报源针对所述指令反馈的所述威胁情报信息。
5.根据权利要求1所述的方法,其特征在于,所述威胁情报信息包括IP情报信息、域名情报信息和黑客情报信息中的一种或多种;
所述关联所述威胁情报信息与所述基础画像,得到所述目标系统的系统画像的步骤,包括:
基于所述第一共性字段和所述第二共性字段,关联所述威胁情报信息与所述基础画像;
基于所述基础画像和与所述基础画像关联的威胁情报信息,采用预设的第二列表形式构建所述目标系统的系统画像。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
判断所述基础信息和所述威胁情报信息是否更新;
如果是,基于更新后的基础信息和威胁情报信息更新所述系统画像。
7.一种系统画像的生成装置,其特征在于,包括:
采集模块,用于采集目标系统的基础信息,并基于所述基础信息构建所述目标系统的基础画像;
判断模块,用于接收威胁情报信息,判断接收到的所述威胁情报信息是否与所述目标系统相关;
关联模块,用于在所述判断模块的判断结果为是时,关联所述威胁情报信息与所述基础画像,得到所述目标系统的系统画像;
所述判断模块还用于:
提取所述基础信息中的第一共性字段和接收到的所述威胁情报信息中的第二共性字段;其中,所述第一共性字段的类型和所述第二共性字段的类型均包括IP字段、域名字段或名称字段中的一种或多种;
判断同一类型的所述第一共性字段和所述第二共性字段是否相同;
如果是,确定接收到的所述威胁情报信息与所述目标系统相关。
8.一种服务器,其特征在于,包括处理器和存储器;
所述存储器上存储有计算机程序,所述计算机程序在被所述处理器运行时执行如权利要求1至6任一项所述的方法。
9.一种计算机存储介质,其特征在于,其上存储有计算机程序,所述计算机程序在被处理器运行时执行如权利要求1至6任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910825032.8A CN110535866B (zh) | 2019-09-02 | 2019-09-02 | 系统画像的生成方法、装置及服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910825032.8A CN110535866B (zh) | 2019-09-02 | 2019-09-02 | 系统画像的生成方法、装置及服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110535866A CN110535866A (zh) | 2019-12-03 |
| CN110535866B true CN110535866B (zh) | 2022-01-28 |
Family
ID=68666164
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910825032.8A Active CN110535866B (zh) | 2019-09-02 | 2019-09-02 | 系统画像的生成方法、装置及服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110535866B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111147305A (zh) * | 2019-12-30 | 2020-05-12 | 成都科来软件有限公司 | 一种网络资产画像提取方法 |
| CN111224981B (zh) * | 2019-12-31 | 2022-05-17 | 北京天融信网络安全技术有限公司 | 一种数据处理方法、装置、电子设备及存储介质 |
| CN113496179B (zh) * | 2020-04-08 | 2023-12-26 | 中国电信股份有限公司 | 攻击者分析方法和装置 |
| CN111611483B (zh) * | 2020-05-11 | 2022-07-22 | 腾讯科技(深圳)有限公司 | 一种对象画像构建方法、装置、设备及存储介质 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012013011A1 (zh) * | 2010-07-30 | 2012-02-02 | 天维讯达无线电设备检测(北京)有限责任公司 | 一种适合可信连接架构的平台鉴别策略管理方法及设备 |
| CN103746961A (zh) * | 2013-12-12 | 2014-04-23 | 中国人民解放军63928部队 | 一种网络攻击场景的因果知识挖掘方法、装置及服务器 |
| CN107404495A (zh) * | 2017-09-01 | 2017-11-28 | 北京亚鸿世纪科技发展有限公司 | 一种基于ip地址画像的装置 |
| CN107566376A (zh) * | 2017-09-11 | 2018-01-09 | 中国信息安全测评中心 | 一种威胁情报生成方法、装置及系统 |
| CN108809959A (zh) * | 2018-05-23 | 2018-11-13 | 郑州信大天瑞信息技术有限公司 | 一种网络攻击行为画像方法 |
| CN108881294A (zh) * | 2018-07-23 | 2018-11-23 | 杭州安恒信息技术股份有限公司 | 基于网络攻击行为的攻击源ip画像生成方法以及装置 |
| CN108924163A (zh) * | 2018-08-14 | 2018-11-30 | 成都信息工程大学 | 基于无监督学习的攻击者画像方法及系统 |
| CN108933793A (zh) * | 2018-07-24 | 2018-12-04 | 中国人民解放军战略支援部队信息工程大学 | 基于知识图谱的攻击图生成方法及其装置 |
| CN109660557A (zh) * | 2019-01-16 | 2019-04-19 | 光通天下网络科技股份有限公司 | 攻击ip画像生成方法、攻击ip画像生成装置和电子设备 |
| CN109922075A (zh) * | 2019-03-22 | 2019-06-21 | 中国南方电网有限责任公司 | 网络安全知识图谱构建方法和装置、计算机设备 |
-
2019
- 2019-09-02 CN CN201910825032.8A patent/CN110535866B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012013011A1 (zh) * | 2010-07-30 | 2012-02-02 | 天维讯达无线电设备检测(北京)有限责任公司 | 一种适合可信连接架构的平台鉴别策略管理方法及设备 |
| CN103746961A (zh) * | 2013-12-12 | 2014-04-23 | 中国人民解放军63928部队 | 一种网络攻击场景的因果知识挖掘方法、装置及服务器 |
| CN107404495A (zh) * | 2017-09-01 | 2017-11-28 | 北京亚鸿世纪科技发展有限公司 | 一种基于ip地址画像的装置 |
| CN107566376A (zh) * | 2017-09-11 | 2018-01-09 | 中国信息安全测评中心 | 一种威胁情报生成方法、装置及系统 |
| CN108809959A (zh) * | 2018-05-23 | 2018-11-13 | 郑州信大天瑞信息技术有限公司 | 一种网络攻击行为画像方法 |
| CN108881294A (zh) * | 2018-07-23 | 2018-11-23 | 杭州安恒信息技术股份有限公司 | 基于网络攻击行为的攻击源ip画像生成方法以及装置 |
| CN108933793A (zh) * | 2018-07-24 | 2018-12-04 | 中国人民解放军战略支援部队信息工程大学 | 基于知识图谱的攻击图生成方法及其装置 |
| CN108924163A (zh) * | 2018-08-14 | 2018-11-30 | 成都信息工程大学 | 基于无监督学习的攻击者画像方法及系统 |
| CN109660557A (zh) * | 2019-01-16 | 2019-04-19 | 光通天下网络科技股份有限公司 | 攻击ip画像生成方法、攻击ip画像生成装置和电子设备 |
| CN109922075A (zh) * | 2019-03-22 | 2019-06-21 | 中国南方电网有限责任公司 | 网络安全知识图谱构建方法和装置、计算机设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110535866A (zh) | 2019-12-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110535866B (zh) | 系统画像的生成方法、装置及服务器 | |
| US11171970B2 (en) | System and method for reducing false positive security events | |
| CN107835149B (zh) | 基于dns流量分析的网络窃密行为检测方法以及装置 | |
| CN106992994B (zh) | 一种云服务的自动化监控方法和系统 | |
| CN107438079B (zh) | 一种网站未知异常行为的检测方法 | |
| CN107370763B (zh) | 基于外部威胁情报分析的资产安全预警方法及装置 | |
| CN108471429B (zh) | 一种网络攻击告警方法及系统 | |
| JP6723267B2 (ja) | スペースおよび時間効率のよい脅威検知 | |
| CN103026345B (zh) | 用于事件监测优先级的动态多维模式 | |
| US20130042306A1 (en) | Determining machine behavior | |
| CN112003838B (zh) | 网络威胁的检测方法、装置、电子装置和存储介质 | |
| CN108833185B (zh) | 一种网络攻击路线还原方法及系统 | |
| CN104579773A (zh) | 域名系统分析方法及装置 | |
| CN113162953B (zh) | 网络威胁报文检测及溯源取证方法和装置 | |
| CN107682345B (zh) | Ip地址的检测方法、检测装置及电子设备 | |
| US9871826B1 (en) | Sensor based rules for responding to malicious activity | |
| CN111104579A (zh) | 一种公网资产的识别方法、装置及存储介质 | |
| CN112231271A (zh) | 数据迁移完整性校验方法、装置、设备及计算机可读介质 | |
| CN110677287A (zh) | 基于体系化攻击的威胁告警生成方法和装置 | |
| CN108809928B (zh) | 一种网络资产风险画像方法及装置 | |
| CN110716973A (zh) | 基于大数据的安全事件上报平台及方法 | |
| CN111181978A (zh) | 异常网络流量的检测方法、装置、电子设备及存储介质 | |
| CN114445088A (zh) | 一种欺诈行为的判定方法、装置、电子设备和存储介质 | |
| CN114666101A (zh) | 一种攻击溯源检测系统、方法、设备及介质 | |
| CN112650180A (zh) | 安全告警方法、装置、终端设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |