CN111880884A - 一种告警显示系统及显示方法 - Google Patents
一种告警显示系统及显示方法 Download PDFInfo
- Publication number
- CN111880884A CN111880884A CN202010751162.4A CN202010751162A CN111880884A CN 111880884 A CN111880884 A CN 111880884A CN 202010751162 A CN202010751162 A CN 202010751162A CN 111880884 A CN111880884 A CN 111880884A
- Authority
- CN
- China
- Prior art keywords
- threat
- alarm
- display
- displaying
- displayed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/451—Execution arrangements for user interfaces
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/26—Visual data mining; Browsing structured data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/28—Databases characterised by their database models, e.g. relational or object models
- G06F16/284—Relational databases
- G06F16/285—Clustering or classification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/01—Input arrangements or combined input and output arrangements for interaction between user and computer
- G06F3/048—Interaction techniques based on graphical user interfaces [GUI]
- G06F3/0487—Interaction techniques based on graphical user interfaces [GUI] using specific features provided by the input device, e.g. functions controlled by the rotation of a mouse with dual sensing arrangements, or of the nature of the input device, e.g. tap gestures based on pressure sensed by a digitiser
- G06F3/0488—Interaction techniques based on graphical user interfaces [GUI] using specific features provided by the input device, e.g. functions controlled by the rotation of a mouse with dual sensing arrangements, or of the nature of the input device, e.g. tap gestures based on pressure sensed by a digitiser using a touch-screen or digitiser, e.g. input of commands through traced gestures
- G06F3/04886—Interaction techniques based on graphical user interfaces [GUI] using specific features provided by the input device, e.g. functions controlled by the rotation of a mouse with dual sensing arrangements, or of the nature of the input device, e.g. tap gestures based on pressure sensed by a digitiser using a touch-screen or digitiser, e.g. input of commands through traced gestures by partitioning the display area of the touch-screen or the surface of the digitising tablet into independently controllable areas, e.g. virtual keyboards or menus
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Data Mining & Analysis (AREA)
- Human Computer Interaction (AREA)
- Alarm Systems (AREA)
Abstract
本申请提供一种告警显示系统及显示方法,显示系统包括:威胁阶段显示模块,其用于显示入侵目标在被攻击过程中产生的不同威胁阶段;威胁类型显示模块,其用于显示入侵目标在被选中的威胁阶段下面临的安全威胁的威胁类型;威胁趋势显示模块,其用于显示入侵目标在被选中的威胁阶段下受到的安全威胁数量随时间的变化趋势;告警主机显示模块,其用于显示在被选中的威胁阶段下处于告警状态的告警主机;威胁事件显示模块,其用于显示入侵目标在被选中的威胁阶段下所遭受的威胁事件;其中,所述的多个显示模块均基于同一显示界面显示。本申请的告警显示系统能够直观地显示入侵目标的各类告警数据。
Description
技术领域
本申请实施例涉及数据显示领域,特别涉及一种告警显示系统及其显示方法。
背景技术
目前展示“告警主机”信息和“威胁事件”信息的通常做法,是直接将后台数据以表格的形式展现。通过表格展示“告警主机”信息和“威胁事件”信息的做法并不直观,需要管理者从海量的告警信息中去寻找相应的信息,然后自行梳理,整理,效率较低。因此,目前告警信息的显示方式并没有从业务角度去思考管理者真正需要看到的数据,不能为管理者提供便利。其中,告警数据涉及:
告警主机:黑客入侵相关主机时,主机上的安全检测响应系统会产生告警,用于通知管理者当前主机的情况,此时产生报警的主机即为告警主机。
威胁事件:黑客入侵相关主机时,一般的安全检测响应系统会产生多条告警日志。将多条告警日志进行聚合,统一展示一个安全事故来龙去脉的形式叫作“威胁事件”
威胁阶段:黑客入侵相关网络或者主机,有固定的方法和阶段,每个阶段被建模成多个攻击阶段,这些攻击阶段被称为威胁阶段。
威胁类型:泛指计算机安全威胁的分类,通常理解为在每个威胁阶段下计算机面临的不同种类的安全威胁。比如木马、挖矿软件、反弹shell等。
发明内容
本申请提供了一种能够直观地显示入侵目标的各类告警数据的告警显示系统及该系统的显示方法。
为了解决上述技术问题,本申请实施例提供了一种告警显示系统,包括:
威胁阶段显示模块,其用于显示入侵目标在被攻击过程中产生的不同威胁阶段;
威胁类型显示模块,其用于显示入侵目标在被选中的威胁阶段下面临的安全威胁的威胁类型;
威胁趋势显示模块,其用于显示入侵目标在被选中的威胁阶段下受到的安全威胁数量随时间的变化趋势;
告警主机显示模块,其用于显示在被选中的威胁阶段下处于告警状态的告警主机,入侵目标包括至少一个告警主机;
威胁事件显示模块,其用于显示入侵目标在被选中的威胁阶段下所遭受的威胁事件;
其中,威胁阶段显示模块、威胁类型显示模块、威胁趋势显示模块、告警主机显示模块,以及威胁事件显示模块均基于同一显示界面显示。
作为优选,威胁阶段显示模块显示的威胁阶段包括攻击链涉及的全部流程,威胁阶段显示模块显示的威胁阶段包括初始入侵、巩固阵地、提权横移、建立外连、破坏窃取、掩盖痕迹。
作为优选,每个威胁阶段均由独立地显示框进行显示,显示框内同时显示对应的威胁阶段名称、在威胁阶段下告警主机的数量以及告警主机所经受的威胁事件的数量。
作为优选,入侵目标在被选中的威胁阶段下面临的安全威胁的威胁类型与入侵目标在被选中的威胁阶段下受到的安全威胁随时间的变化趋势均以统计图形式进行显示。
作为优选,告警主机模块以第一列表形式显示告警主机,第一列表的每一栏包括告警主机名称、告警主机IP、告警主机所用操作系统、告警主机所经受的威胁事件名称、经受威胁事件时对应的威胁阶段,其中第一列表的每一栏的部分内容处于隐藏状态,处于隐藏状态的内容基于用户指令展开。
作为优选,威胁事件显示模块以第二列表形式显示威胁事件,第二列表的每一栏包括威胁事件的名称、威胁等级、威胁类型、承受威胁事件的主机名称、主机的IP、威胁事件、威胁事件的处理状态,当承受威胁事件的主机为多个时,隐藏显示部分主机的主机名称,隐藏显示的主机名称基于用户指令展开。
本发明另一实施例同时提供一种告警显示系统的显示方法,包括:
在显示界面的第一区域显示多个分别指示不同威胁阶段的标签,多个标签分别与多组告警数据关联;
在显示界面的第二区域显示入侵目标在不同威胁阶段下面临的安全威胁的威胁类型,威胁类型基于被选中的标签所关联的告警数据确定;
在显示界面的第三区域显示入侵目标在不同威胁阶段下受到的安全威胁数量随时间的变化趋势,安全威胁数量基于被选中的标签所关联的告警数据确定;
在显示界面的第四区域显示入侵目标中在不同威胁阶段下处于告警状态的告警主机,告警主机基于被选中的标签所关联的告警数据确定;
在显示界面的第五区域显示入侵目标在不同威胁阶段下所遭受的威胁事件,威胁事件基于被选中的标签所关联的告警数据确定。
作为优选,标签以第一形式显示,还包括:
基于用户指令确定被选中的标签;
控制被选中的标签以不同于第一形式的第二形式进行显示;
基于被选中的标签确定对应关联的告警数据;
基于对应关联的告警数据调整第二区域、第三区域、第四区域以及第五区域的显示内容;
方法还包括:
确定未关联有告警数据的标签;
控制未关联有告警数据的标签以不同于第一形式、第二形式的第三形式进行显示,基于第三形式显示的标签无法响应用户指令。
作为优选,还包括:
分别以统计图的形式在第二显示区域显示威胁类型,并在第三显示区域显示安全威胁数量随时间的变化趋势;
确定指示标识位于统计图上的第一位置时,以浮框形式显示对应第一位置的第一隐藏数据,第一隐藏数据包括威胁事件数量及对应的时间中的一个或多个,或第一隐藏数据包括威胁类型名称、该威胁类型的数量、该威胁类型的总占比中的一个或多个。
作为优选,还包括:
基于由受侵程度预设置的第二优先级以及第一列表显示告警主机;
基于由威胁等级预设置的第一优先级以及第二列表显示威胁事件;
确定指示标识位于第一列表或第二列表的第二位置时,以浮框形式显示对应第二位置的第二隐藏数据,第二隐藏数据包括威胁事件名称、受到威胁事件威胁时所对应的威胁阶段,或第二隐藏数据包括对应同一威胁事件的告警主机名称。
基于上述实施例的公开可以获知,本申请实施例具备的有益效果包括通过将网络安全中的各个威胁阶段及其相关的告警数据进行整合,使所有与告警紧密相连的告警数据能够均基于同一显示界面进行展示,保证管理者基于该显示界面能够了解入侵目标在不同的威胁阶段所遭受的威胁事件、威胁类型、威胁事件数量随时间的变化趋势、收到威胁的告警主机,无需管理者再自行搜集告警数据,为管理者提供了便利,提高了处理告警事件的效率。而且,显示界面能够与用户进行交互,能够基于用户的指令而显示更为详细的告警数据,满足用户的不同查看需求。
附图说明
图1为本发明实施例中的告警显示系统的结构示意图。
图2为本发明实施例中的显示界面的结构示意图。
图3为本发明实施例中的告警显示系统的显示方法的流程图。
图4为本发明实施例中对应告警主机的第一列表的结构示意图。
图5为本发明另一实施例中的显示界面中对应告警主机的界面部分示意图。
图6为本发明实施例中对应威胁事件的第二列表的结构示意图。
图7为本发明另一实施例中的显示界面中对应威胁事件的界面部分示意图。
具体实施方式
下面,结合附图对本申请的具体实施例进行详细的描述,但不作为本申请的限定。
应理解的是,可以对此处公开的实施例做出各种修改。因此,下述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本公开的范围和精神内的其他修改。
包含在说明书中并构成说明书的一部分的附图示出了本公开的实施例,并且与上面给出的对本公开的大致描述以及下面给出的对实施例的详细描述一起用于解释本公开的原理。
通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本申请的这些和其它特性将会变得显而易见。
还应当理解,尽管已经参照一些具体实例对本申请进行了描述,但本领域技术人员能够确定地实现本申请的很多其它等效形式,它们具有如权利要求的特征并因此都位于借此所限定的保护范围内。
当结合附图时,鉴于以下详细说明,本公开的上述和其他方面、特征和优势将变得更为显而易见。
此后参照附图描述本公开的具体实施例;然而,应当理解,所公开的实施例仅仅是本公开的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本公开模糊不清。因此,本文所公开的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本公开。
本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”,其均可指代根据本公开的相同或不同实施例中的一个或多个。
下面,结合附图详细的说明本申请实施例。
如图所示,本发明提供一种告警显示系统,包括:
威胁阶段显示模块,其用于显示入侵目标在被攻击过程中产生的不同威胁阶段;
威胁类型显示模块,其用于显示入侵目标在被选中的威胁阶段下面临的安全威胁的威胁类型;
威胁趋势显示模块,其用于显示入侵目标在被选中的威胁阶段下受到的安全威胁数量随时间的变化趋势;
告警主机显示模块,其用于显示在被选中的威胁阶段下处于告警状态的告警主机,入侵目标包括至少一个告警主机;
威胁事件显示模块,其用于显示入侵目标在被选中的威胁阶段下所遭受的威胁事件;
其中,威胁阶段显示模块、威胁类型显示模块、威胁趋势显示模块、告警主机显示模块,以及威胁事件显示模块均基于同一显示界面显示。
例如,如图1所示,本实施例中的显示界面具有五个不同的区域,第一区域位于显示界面的顶层,第二区域和第三区域并列位于顶层下方,第四区域和第五区域并列位于第二区域和第三区域下方。其中,威胁阶段显示模块位于第一区域内,威胁类型显示模块与威胁趋势显示模块分别位于第二区域和第三区域,告警主机显示模块与威胁事件显示模块分别位于第四区域和第五区域。其中,威胁阶段显示模块用于显示入侵目标,如电子设备系统,在被攻击过程中产生的不同威胁阶段,不同威胁阶段对应的威胁类型、威胁趋势、威胁事件、告警主机均可不同,当然也可相同,故,对应不同的威胁阶段,其他区域显示的具体内容会随之变化。各区域具体显示的内容基于用户选中的威胁阶段而定,用户单次可选择一个威胁阶段,也可同时选择多个威胁阶段,当为多个威胁阶段时,各区域显示的内容则包含分别与各个威胁阶段对应的告警数据。
基于上述实施例的公开可以获知,本申请实施例具备的有益效果包括通过将网络安全中的各个威胁阶段及其相关的告警数据进行整合,使所有与告警紧密相连的告警数据能够均基于同一显示界面进行展示,保证管理者基于该显示界面能够了解入侵目标在不同的威胁阶段所遭受的威胁事件、威胁类型、威胁事件数量随时间的变化趋势、收到威胁的告警主机,无需管理者再自行搜集告警数据,为管理者提供了便利,提高了处理告警事件的效率。而且,显示界面能够与用户进行交互,能够基于用户的指令而显示更为详细的告警数据,满足用户的不同查看需求。
具体地,如图2所示,本实施例中的威胁阶段显示模块显示的威胁阶段包括攻击链涉及的全部流程,攻击链为由威胁阶段组成的“威胁阶段链条”,其概括了攻击链的全部流程,每个不同的攻击链下方显示有对应的多种威胁类型,本实施例中的攻击链和威胁类型的种类和数量,可以基于ATT&CK矩阵计算获得。进一步地,本实施例中的威胁阶段显示模块显示的威胁阶段包括初始入侵、巩固阵地、提权横移、建立外连、破坏窃取、掩盖痕迹。
继续结合图2所示,本实施例中的每个威胁阶段均由独立地显示框进行显示,显示框内同时显示对应的威胁阶段名称、在威胁阶段下告警主机的数量以及告警主机所经受的威胁事件的数量。
进一步地,本实施例中入侵目标在被用户选中的威胁阶段下面临的安全威胁的威胁类型与入侵目标在被用户选中的威胁阶段下受到的安全威胁随时间的变化趋势均以统计图形式进行显示。
例如,威胁类型以环形统计图进行显示,用于统计当前威胁类型的种类数量、种类名称、各种类的威胁类型的总占比等。威胁事件趋势图以折线统计图的形式展示,该统计图可展示对应不同威胁阶段的时间段内,威胁事件数量随时间变化的趋势。基于该统计图,管理者可直接确定哪个时间点上威胁事件数量较多,哪个时间点上威胁事件数量较少。
进一步地,本实施例中的告警主机模块以第一列表形式显示告警主机,第一列表的每一栏包括告警主机名称、告警主机IP、告警主机所用操作系统、告警主机所经受的威胁事件名称、经受威胁事件时对应的威胁阶段,其中第一列表的每一栏的部分内容处于隐藏状态,处于隐藏状态的内容基于用户指令展开。
而本实施例中的威胁事件显示模块与告警主机显示模块的显示形式相似,本实施例中的威胁事件显示模块以第二列表形式显示威胁事件,第二列表的每一栏包括威胁事件的名称、威胁等级、威胁类型、承受威胁事件的主机名称、主机的IP、威胁事件、威胁事件的处理状态,当承受威胁事件的主机为多个时,隐藏显示部分主机的主机名称,隐藏显示的主机名称基于用户指令展开。
基于本实施例的显示系统,可以对由入侵目标所包含的主机产生的每一条告警日志进行处理,并增加威胁阶段和威胁类型的告警信息,即显示系统会判断该日志行为是因为触发某个威胁阶段的规则而产生,或者该日志行为涉及的操作属于某一个威胁类型,从而对生成的该条日志进行告警,并带上相应的告警信息,例如包括威胁阶段和威胁类型。又由于威胁事件是由多条告警日志聚合生成,所以某个威胁事件会有一个或多个威胁阶段,也会有一个或多个在各威胁阶段下所对应的威胁类型,而告警日志是从主机上产生的,一台主机会产生多个告警。所以某台主机也会有一个或多个威胁阶段,也会在各个威胁阶段下对应有一个或多个威胁类型。因此,本实施例的显示系统将威胁事件和告警主机中其所属的威胁阶段和对应各威胁阶段的威胁类型的种类、数量一同在显示界面上进行显示,能够更好的展示当前入侵目标的安全问题现状,使管理者基于本实施例的显示界面对该安全问题现状一目了然,帮助管理者快速获得告警数据,确定安全漏洞。
如图3所示,本发明同时提供一种告警显示系统的显示方法,包括:
在显示界面的第一区域显示多个分别指示不同威胁阶段的标签,多个标签分别与多组告警数据关联;
在显示界面的第二区域显示入侵目标在不同威胁阶段下面临的安全威胁的威胁类型,威胁类型基于被选中的标签所关联的告警数据确定;
在显示界面的第三区域显示入侵目标在不同威胁阶段下受到的安全威胁数量随时间的变化趋势,安全威胁数量基于被选中的标签所关联的告警数据确定;
在显示界面的第四区域显示入侵目标中在不同威胁阶段下处于告警状态的告警主机,告警主机基于被选中的标签所关联的告警数据确定;
在显示界面的第五区域显示入侵目标在不同威胁阶段下所遭受的威胁事件,威胁事件基于被选中的标签所关联的告警数据确定。
其中,不同威胁阶段关联的多组告警数据可基于各个主机产生的告警日志,经统筹、处理而得到,并实时将处理得到的告警数据与对应的威胁阶段进行关联,也即,各个威胁阶段关联的告警数据是可以实时动态更新的,以使显示系统的显示界面显示的告警数据能够体现出当前设备系统或网络架构所面临的安全问题。
基于上述实施例的公开可以获知,本申请实施例具备的有益效果包括通过将网络安全中的各个威胁阶段及其相关的告警数据进行整合,使所有与告警紧密相连的告警数据能够均基于同一显示界面进行展示,保证管理者基于该显示界面能够了解入侵目标在不同的威胁阶段所遭受的威胁事件、威胁类型、威胁事件数量随时间的变化趋势、收到威胁的告警主机,无需管理者再自行搜集告警数据,为管理者提供了便利,提高了处理告警事件的效率。而且,显示界面能够与用户进行交互,能够基于用户的指令而显示更为详细的告警数据,满足用户的不同查看需求。
具体地,本实施例中的标签以第一形式显示,还包括:
基于用户指令确定被选中的标签;
控制被选中的标签以不同于第一形式的第二形式进行显示;
基于被选中的标签确定对应关联的告警数据;
基于对应关联的告警数据调整第二区域、第三区域、第四区域以及第五区域的显示内容;
方法还包括:
确定未关联有告警数据的标签;
控制未关联有告警数据的标签以不同于第一形式、第二形式的第三形式进行显示,基于第三形式显示的标签无法响应用户指令。
例如,用户点选目标标签,以通过目标标签点选威胁阶段,该目标标签可为一个,也可为多个,即用户可同时点选多个目标标签,以实现同时点选多个威胁阶段。该多个标签在未选中时,可整齐排列,且显示形式相同,而被选中的标签则可以改变位置,如向上移动,使凸出其他未被选中的标签,或者改变显示形式,如改变标签的背景颜色、在标签上叠加显示其他形状的图标等。当选择多个“威胁阶段”后,下方四个区域呈现的数据均包含所选择的各个威胁阶段的数据。当然,被选中的威胁阶段之间也可以是“或”的关系,即单次只能选择一个标签,不支持多选。或者,还可以在显示界面内增加特定的虚拟按键,该虚拟按键用于在持续的点击过程中控制除第一区域外的其余四个区域单次仅显示一个威胁阶段的数据。进一步地,若某个威胁阶段的不具有关联的告警数据,如某个威胁阶段不具有威胁事件,也不具有告警主机,那么显示系统可将该威胁阶段对应本标签置灰,使其不响应用户的点击操作。
另外,第二区域至第四区域中,各个区域的显示内容是否展示可由用户自定义,具体可在各个区域内的各个不同种类的显示内容前设置选择框,默认状态下,该选择框为空选状态,空选状态下,对应种类的数据则进行显示,而若用户不想某个种类的数据进行显示,则可以选中该数据前的选择框,此时,该数据就不会在显示界面上进行显示。例如,用户可选择不显示威胁趋势,或不显示某个时间段内的威胁趋势等等。而若用户将显示界面上的全部选择框都进行选择后,显示系统默认用户是误操作,此时显示系统会控制显示界面显示对应被选中的威胁阶段对应的全部告警数据。优选地,显示界面上还可以显示重置按键,用于使所有选择框重回默认状态,即,重回空选状态。
进一步地,本实施例的方法还包括:
分别以统计图的形式在第二显示区域显示威胁类型,并在第三显示区域显示安全威胁数量随时间的变化趋势;
确定指示标识位于统计图上的第一位置时,以浮框形式显示对应第一位置的第一隐藏数据,第一隐藏数据包括威胁事件数量及对应的时间中的一个或多个,或第一隐藏数据包括威胁类型名称、该威胁类型的数量、该威胁类型的总占比中的一个或多个。
例如,控制威胁类型在第二区域以环形图的形式显示,并在环形图旁依次显示威胁类型名称,及对应的该威胁类型的数量,环形图上显示对应选中的威胁阶段下所具有全部威胁类型的总数量。当指示标识,如鼠标的指针落在环形图的任意位置,或落在任一标注的威胁类型名称上时(标注的威胁类型名称属于统计图的一部分),则可以浮框的形式具体显示对应该位置的第一隐藏数据,例如显示威胁类型名称、该威胁类型的数量、该威胁类型的总占比中的一个或多个。当用户改变威胁阶段时,第二区域的内容可以动画的形式进行改变。而对于在第三区域显示的安全威胁数量随时间的变化趋势,具体可以折线图的形式进行显示,其中折线图的横轴对应的为时间,纵轴对应威胁事件的数量。当鼠标的指针落到折现图的某一位置上时,显示系统则控制以浮框的形式展示该位置的第一隐藏内容,例如为对应该点的时间、威胁事件数量,甚至威胁事件名称,具体显示时间的格式例如为2020/02/22 16:00:00。
进一步地,本实施例的方法还包括:
基于由受侵程度预设置的第二优先级以及第一列表显示告警主机;
基于由威胁等级预设置的第一优先级以及第二列表显示威胁事件;
确定指示标识位于第一列表或第二列表的第二位置时,以浮框形式显示对应第二位置的第二隐藏数据,第二隐藏数据包括威胁事件名称、受到威胁事件威胁时所对应的威胁阶段,或第二隐藏数据包括对应同一威胁事件的告警主机名称。
例如,如图2和图4、图5所示,本实施例中的告警主机以第一列表形式显示,第一列表的每一栏包括告警主机名称、告警主机IP、告警主机所用操作系统、告警主机所经受的威胁事件名称、经受威胁事件时对应的威胁阶段,其中第一列表的每一栏的部分内容处于隐藏状态,处于隐藏状态的内容基于用户指令以浮框的形式展开显示。该处于隐藏的内容不唯一,例如为威胁事件名称、受到威胁事件威胁时所对应的威胁阶段。其中,多个告警主机在第一列表中以受侵程度的严重性降序显示,例如根据涉及的威胁事件的数量按照降序显示。
继续结合图2和图6、图7所示,本实施例中的威胁事件显示模块与告警主机显示模块的显示形式相似,本实施例中的威胁事件以第二列表形式显示,第二列表的每一栏包括威胁事件的名称、威胁等级、威胁类型、承受威胁事件的主机名称、主机的IP、威胁事件、威胁事件的处理状态,当承受威胁事件的主机为多个时,隐藏显示部分主机的主机名称,隐藏显示的主机名称基于用户指令以浮框形式展开显示。其中,多个威胁事件在第二列表中以威胁严重性等级降序显示,而威胁的严重性等级可以根据历史大数据预先确定,也可根据基于该事件导致告警主机产生的不良影响实时确定。
另外,倘若在同一威胁阶段下,告警主机及告警事件数量均较少时,也可将告警主机与告警事件进行串联,即,进行融合,合并显示。
本实施例中的告警系统及其显示方法所带来的有益效果,分别体现在:
数据方面:将网络安全中的威胁阶段、威胁类型、告警主机、威胁事件、威胁趋势多个重要概念统一整合在同一显示界面进行呈现,通过威胁阶段进行统筹梳理,使数据层面逻辑严密。该显示系统的整体结构性能稳定,软件运行时无明显卡顿,查询QPS可达到3000,latency≤500ms。
业务方面:汇总管理员在网络安全方面关注的问题,包括:当前所有告警主机处在哪个威胁阶段?当前整个被攻击的设备系统或网络系统所遇到的威胁事件有哪些?当前整个网络架构处于哪个威胁阶段?本实施例中的显示系统及其方法所提出的告警数据展现形式,以威胁阶段作为各个告警数据显示模块的连接线,建立起系统的展示结构,将收集的大量告警日志做出整合和处理,使管理员可以系统地、可溯源地了解整个网络架构中的安全问题,辅助管理员尽快了解网络架构的当前安全状态,及时发现安全漏洞。
可视化设计方面:本实施例中的显示界面同时结合了数据、图表,使多角度、多方向地展示了设备系统或网络架构整体的安全状态,为管理者更直观的呈现当前网络架构所面临的安全问题。其中,本实施例使用了环形图展示威胁类型,符合管理者欲快速获得威胁类型种类和数量比例的诉求;使用折线图展示威胁事件的变化趋势,符合管理者欲快速获得威胁事件数量变化整体趋势的诉求,同时二者均可以根据用户所选择的威胁阶段进行变化,给予了管理者更多的灵活性,可以自由地根据实际面临的安全问题对不同的告警数据进行筛选和查看,最大程度地满足了管理者更直观地查看多种安全问题及其数据的需求。
以上实施例仅为本申请的示例性实施例,不用于限制本申请,本申请的保护范围由权利要求书限定。本领域技术人员可以在本申请的实质和保护范围内,对本申请做出各种修改或等同替换,这种修改或等同替换也应视为落在本申请的保护范围内。
Claims (10)
1.一种告警显示系统,包括:
威胁阶段显示模块,其用于显示入侵目标在被攻击过程中产生的不同威胁阶段;
威胁类型显示模块,其用于显示入侵目标在被选中的威胁阶段下面临的安全威胁的威胁类型;
威胁趋势显示模块,其用于显示入侵目标在被选中的威胁阶段下受到的安全威胁数量随时间的变化趋势;
告警主机显示模块,其用于显示在被选中的威胁阶段下处于告警状态的告警主机,入侵目标包括至少一个告警主机;
威胁事件显示模块,其用于显示入侵目标在被选中的威胁阶段下所遭受的威胁事件;
其中,威胁阶段显示模块、威胁类型显示模块、威胁趋势显示模块、告警主机显示模块,以及威胁事件显示模块均基于同一显示界面显示。
2.根据权利要求1的告警显示系统,其中,威胁阶段显示模块显示的威胁阶段包括攻击链涉及的全部流程,威胁阶段显示模块显示的威胁阶段包括初始入侵、巩固阵地、提权横移、建立外连、破坏窃取、掩盖痕迹。
3.根据权利要求2的告警显示系统,其中,每个威胁阶段均由独立地显示框进行显示,显示框内同时显示对应的威胁阶段名称、在威胁阶段下告警主机的数量以及告警主机所经受的威胁事件的数量。
4.根据权利要求1的告警显示系统,其中,入侵目标在被选中的威胁阶段下面临的安全威胁的威胁类型与入侵目标在被选中的威胁阶段下受到的安全威胁随时间的变化趋势均以统计图形式进行显示。
5.根据权利要求1的告警显示系统,其中,告警主机模块以第一列表形式显示告警主机,第一列表的每一栏包括告警主机名称、告警主机IP、告警主机所用操作系统、告警主机所经受的威胁事件名称、经受威胁事件时对应的威胁阶段,其中第一列表的每一栏的部分内容处于隐藏状态,处于隐藏状态的内容基于用户指令展开。
6.根据权利要求1的告警显示系统,其中,威胁事件显示模块以第二列表形式显示威胁事件,第二列表的每一栏包括威胁事件的名称、威胁等级、威胁类型、承受威胁事件的主机名称、主机的IP、威胁事件、威胁事件的处理状态,当承受威胁事件的主机为多个时,隐藏显示部分主机的主机名称,隐藏显示的主机名称基于用户指令展开。
7.一种告警显示系统的显示方法,包括:
在显示界面的第一区域显示多个分别指示不同威胁阶段的标签,多个标签分别与多组告警数据关联;
在显示界面的第二区域显示入侵目标在不同威胁阶段下面临的安全威胁的威胁类型,威胁类型基于被选中的标签所关联的告警数据确定;
在显示界面的第三区域显示入侵目标在不同威胁阶段下受到的安全威胁数量随时间的变化趋势,安全威胁数量基于被选中的标签所关联的告警数据确定;
在显示界面的第四区域显示入侵目标中在不同威胁阶段下处于告警状态的告警主机,告警主机基于被选中的标签所关联的告警数据确定;
在显示界面的第五区域显示入侵目标在不同威胁阶段下所遭受的威胁事件,威胁事件基于被选中的标签所关联的告警数据确定。
8.根据权利要求7的方法,其中,标签以第一形式显示,还包括:
基于用户指令确定被选中的标签;
控制被选中的标签以不同于第一形式的第二形式进行显示;
基于被选中的标签确定对应关联的告警数据;
基于对应关联的告警数据调整第二区域、第三区域、第四区域以及第五区域的显示内容;
方法还包括:
确定未关联有告警数据的标签;
控制未关联有告警数据的标签以不同于第一形式、第二形式的第三形式进行显示,基于第三形式显示的标签无法响应用户指令。
9.根据权利要求7的方法,其中,还包括:
分别以统计图的形式在第二显示区域显示威胁类型,并在第三显示区域显示安全威胁数量随时间的变化趋势;
确定指示标识位于统计图上的第一位置时,以浮框形式显示对应第一位置的第一隐藏数据,第一隐藏数据包括威胁事件数量及对应的时间中的一个或多个,或第一隐藏数据包括威胁类型名称、该威胁类型的数量、该威胁类型的总占比中的一个或多个。
10.根据权利要求7的方法,其中,还包括:
基于由受侵程度预设置的第二优先级以及第一列表显示告警主机;
基于由威胁等级预设置的第一优先级以及第二列表显示威胁事件;
确定指示标识位于第一列表或第二列表的第二位置时,以浮框形式显示对应第二位置的第二隐藏数据,第二隐藏数据包括威胁事件名称、受到威胁事件威胁时所对应的威胁阶段,或第二隐藏数据包括对应同一威胁事件的告警主机名称。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010751162.4A CN111880884A (zh) | 2020-07-30 | 2020-07-30 | 一种告警显示系统及显示方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010751162.4A CN111880884A (zh) | 2020-07-30 | 2020-07-30 | 一种告警显示系统及显示方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111880884A true CN111880884A (zh) | 2020-11-03 |
Family
ID=73205714
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010751162.4A Pending CN111880884A (zh) | 2020-07-30 | 2020-07-30 | 一种告警显示系统及显示方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111880884A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114743433A (zh) * | 2021-12-23 | 2022-07-12 | 中国科学院软件研究所 | 模拟飞行训练环境下威胁的多通道告警呈现方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107483425A (zh) * | 2017-08-08 | 2017-12-15 | 北京盛华安信息技术有限公司 | 基于攻击链的复合攻击检测方法 |
| CN108259449A (zh) * | 2017-03-27 | 2018-07-06 | 新华三技术有限公司 | 一种防御apt攻击的方法和系统 |
| CN108833185A (zh) * | 2018-06-29 | 2018-11-16 | 北京奇虎科技有限公司 | 一种网络攻击路线还原方法及系统 |
| CN110929187A (zh) * | 2018-09-18 | 2020-03-27 | 北京数安鑫云信息技术有限公司 | 威胁事件可视化展现方法、装置、存储装置及计算机设备 |
| CN111404879A (zh) * | 2020-02-26 | 2020-07-10 | 亚信科技(成都)有限公司 | 一种网络威胁的可视化方法及装置 |
-
2020
- 2020-07-30 CN CN202010751162.4A patent/CN111880884A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108259449A (zh) * | 2017-03-27 | 2018-07-06 | 新华三技术有限公司 | 一种防御apt攻击的方法和系统 |
| CN107483425A (zh) * | 2017-08-08 | 2017-12-15 | 北京盛华安信息技术有限公司 | 基于攻击链的复合攻击检测方法 |
| CN108833185A (zh) * | 2018-06-29 | 2018-11-16 | 北京奇虎科技有限公司 | 一种网络攻击路线还原方法及系统 |
| CN110929187A (zh) * | 2018-09-18 | 2020-03-27 | 北京数安鑫云信息技术有限公司 | 威胁事件可视化展现方法、装置、存储装置及计算机设备 |
| CN111404879A (zh) * | 2020-02-26 | 2020-07-10 | 亚信科技(成都)有限公司 | 一种网络威胁的可视化方法及装置 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114743433A (zh) * | 2021-12-23 | 2022-07-12 | 中国科学院软件研究所 | 模拟飞行训练环境下威胁的多通道告警呈现方法及装置 |
| CN114743433B (zh) * | 2021-12-23 | 2023-03-24 | 中国科学院软件研究所 | 模拟飞行训练环境下威胁的多通道告警呈现方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11868404B1 (en) | Monitoring service-level performance using defined searches of machine data | |
| EP3772005B1 (en) | Visualization and control of remotely monitored hosts | |
| US7646294B2 (en) | Alarm maps to facilitate root cause analysis through spatial and pattern recognition | |
| US10038708B2 (en) | Geo-mapping system security events | |
| US8601371B2 (en) | System and method for event-based rendering of visual effects | |
| Koike et al. | Visualizing cyber attacks using IP matrix | |
| US6597957B1 (en) | System and method for consolidating and sorting event data | |
| US7917864B2 (en) | Automatically scaling the information and controls in navigation tabs per available window area | |
| US7593013B2 (en) | Systems and methods for displaying and querying heterogeneous sets of data | |
| US6289380B1 (en) | Network management system using virtual reality techniques to display and simulate navigation to network components | |
| CN102326142B (zh) | 警报趋势汇总显示系统和方法 | |
| US20070118909A1 (en) | Method for the detection and visualization of anomalous behaviors in a computer network | |
| EP2915031B1 (en) | Apparatus and method for dynamic actions based on context | |
| US20070006315A1 (en) | Network asset security risk surface assessment apparatus and method | |
| US11663500B2 (en) | Visualizing cybersecurity incidents using knowledge graph data | |
| CN100585555C (zh) | 用于标识和移去潜在地不需要的软件的方法 | |
| CN102947767A (zh) | 显示具有优先级的过程图形示图的实况缩略图的方法和系统 | |
| CN111880884A (zh) | 一种告警显示系统及显示方法 | |
| JP7178574B2 (ja) | 監視カメラ管理装置、監視カメラ管理システム、監視カメラ管理方法及びプログラム | |
| US11675477B2 (en) | Systems and methods for managing security events using a graphical user interface | |
| KR101942190B1 (ko) | 데이터 표시 장치 및 방법 | |
| JP2023086395A (ja) | 管理プログラム、装置、及び方法 | |
| JP2009037449A (ja) | 防災表示装置及び表示制御方法 | |
| JP2014126948A (ja) | 管理対象の状態に基づいて管理情報を出力する装置、方法およびプログラム | |
| Khor et al. | Efficient Information Visualization for Intrusion Detection in Web Applications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201103 |
|
| RJ01 | Rejection of invention patent application after publication |