CN112087465B - 一种基于聚合信息确定威胁事件的方法及装置 - Google Patents

一种基于聚合信息确定威胁事件的方法及装置 Download PDF

Info

Publication number
CN112087465B
CN112087465B CN202010982922.2A CN202010982922A CN112087465B CN 112087465 B CN112087465 B CN 112087465B CN 202010982922 A CN202010982922 A CN 202010982922A CN 112087465 B CN112087465 B CN 112087465B
Authority
CN
China
Prior art keywords
alarm information
information
alarm
determining
aggregating
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010982922.2A
Other languages
English (en)
Other versions
CN112087465A (zh
Inventor
陈杰
王蕴澎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing ThreatBook Technology Co Ltd
Original Assignee
Beijing ThreatBook Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing ThreatBook Technology Co Ltd filed Critical Beijing ThreatBook Technology Co Ltd
Priority to CN202010982922.2A priority Critical patent/CN112087465B/zh
Publication of CN112087465A publication Critical patent/CN112087465A/zh
Application granted granted Critical
Publication of CN112087465B publication Critical patent/CN112087465B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/25Fusion techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Health & Medical Sciences (AREA)
  • Evolutionary Biology (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种基于聚合信息确定威胁事件的方法及装置,所述方法包括:接收聚合告警信息的触发事件;通过告警信息的预设指标对告警信息进行聚合;通过聚合后的告警信息确定与告警信息相关的威胁事件。采用本申请所提供的方案,能够通过告警信息的预设指标对告警信息进行聚合,进而可以根据聚合后的告警信息确定与告警信息相关的威胁事件,由于该威胁事件是基于多条告警信息聚合后的聚合信息确定的,因此,能够确定一相对完整的威胁事件,进而能够基于确定的威胁事件进行针对性处理,提升了安全性。

Description

一种基于聚合信息确定威胁事件的方法及装置
技术领域
本申请涉及网络安全领域,特别涉及一种基于聚合信息确定威胁事件的方法及装置。
背景技术
入侵检测已经成为网络及信息安全领域一个重要环节,入侵检测是指黑客入侵主机时,通过对网络传输进行即时监视,如入侵检测系统,其是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。这类系统只能展示出会产生多条告警日志,告警日志之间并无关联,不能非常详细地展示一个威胁事故的来龙去脉,这样,就无法判断具体的威胁事件,设备也就无法针对具体的威胁事件进行针对性处理。
有鉴于此,提供一种告警信息聚合的方案,并基于聚合信息确定一个完整的威胁事件,进而能够对确定的威胁事件进行针对性处理,提升安全性,是一亟待解决的技术问题。
发明内容
本申请实施例的目的在于提供一种基于聚合信息确定威胁事件的方法,包括:
接收聚合告警信息的触发事件;
通过告警信息的预设指标对告警信息进行聚合;
通过聚合后的告警信息确定与告警信息相关的威胁事件。
本申请的有益效果在于:能够通过告警信息的预设指标对告警信息进行聚合,进而可以根据聚合后的告警信息确定与告警信息相关的威胁事件,由于该威胁事件是基于多条告警信息聚合后的聚合信息确定的,因此,能够确定一相对完整的威胁事件,进而能够基于确定的威胁事件进行针对性处理,提升了安全性。
在一个实施例中,还包括:
获取告警信息的以下至少一条预设指标:
所述告警信息的基础信息、所述告警信息的安全外壳协议、所述告警信息对应木马文件的MD5值以及告警信息对应进程的父进程。
在一个实施例中,所述通过告警信息的预设指标对告警信息进行聚合,包括:
获取威胁情报中记录的各个告警信息的基础信息;
确定具有至少一项相同基础信息的告警信息之间存在关联关系,其中,所述基础信息包括以下至少一项信息:
告警信息对应的告警名称、告警信息对应的病毒家族以及告警信息对应的黑客组织;
将存在关联关系的告警信息进行聚合。
在一个实施例中,所述通过告警信息的预设指标对告警信息进行聚合,包括:
获取临时内存中记录的各个告警信息的安全外壳协议;
确定具有相同安全外壳协议的告警信息之间存在关联关系;
将存在关联关系的告警信息进行聚合。
在一个实施例中,所述通过告警信息的预设指标对告警信息进行聚合,包括:
获取告警信息对应的木马文件中的MD5值;
通过对各告警信息对应的木马文件中的MD5值进行匹配以确定由同一木马文件引起的告警信息;
将由同一木马文件引起的告警信息进行聚合。
在一个实施例中,所述通过告警信息的预设指标对告警信息进行聚合,包括:
获取每条告警信息对应的进程;
对每条告警信息对应的进程进行至少一次回溯操作,以确定每条告警信息对应的进程所指向的父进程;
将指向同一父进程的进程所对应的告警信息进行聚合。
本申请还提供一种基于聚合信息确定威胁事件的装置,包括:
接收模块,用于接收聚合告警信息的触发事件;
聚合模块,用于通过告警信息的预设指标对告警信息进行聚合;
确定模块,用于通过聚合后的告警信息确定与告警信息相关的威胁事件。
在一个实施例中,还包括:
获取模块,用于获取告警信息的以下至少一条预设指标:
所述告警信息的基础信息、所述告警信息的安全外壳协议、所述告警信息对应木马文件的MD5值以及告警信息对应进程的父进程。
在一个实施例中,所述聚合模块,包括:
第一获取子模块,用于获取威胁情报中记录的各个告警信息的基础信息;
第一确定子模块,用于确定具有至少一项相同基础信息的告警信息之间存在关联关系,其中,所述基础信息包括以下至少一项信息:
告警信息对应的告警名称、告警信息对应的病毒家族以及告警信息对应的黑客组织;
第一聚合子模块,用于将存在关联关系的告警信息进行聚合。
在一个实施例中,所述聚合模块,包括:
第二获取子模块,用于获取临时内存中记录的各个告警信息的安全外壳协议;
第二确定子模块,用于确定具有相同安全外壳协议的告警信息之间存在关联关系;
第二聚合子模块,用于将存在关联关系的告警信息进行聚合。
附图说明
图1为本申请一实施例中一种基于聚合信息确定威胁事件的方法的流程图;
图2为本申请另一实施例中一种基于聚合信息确定威胁事件的方法的流程图;
图3为本申请一实施例中一种基于聚合信息确定威胁事件的装置的框图;
图4为本申请另一实施例中一种基于聚合信息确定威胁事件的装置的框图;
图5为本申请又一实施例中一种基于聚合信息确定威胁事件的装置的框图。
具体实施方式
此处参考附图描述本申请的各种方案以及特征。
应理解的是,可以对此处申请的实施例做出各种修改。因此,上述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本申请的范围和精神内的其他修改。
包含在说明书中并构成说明书的一部分的附图示出了本申请的实施例,并且与上面给出的对本申请的大致描述以及下面给出的对实施例的详细描述一起用于解释本申请的原理。
通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本申请的这些和其它特性将会变得显而易见。
还应当理解,尽管已经参照一些具体实例对本申请进行了描述,但本领域技术人员能够确定地实现本申请的很多其它等效形式,它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。
当结合附图时,鉴于以下详细说明,本申请的上述和其他方面、特征和优势将变得更为显而易见。
此后参照附图描述本申请的具体实施例;然而,应当理解,所申请的实施例仅仅是本申请的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本申请模糊不清。因此,本文所申请的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本申请。
本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”,其均可指代根据本申请的相同或不同实施例中的一个或多个。
图1为本申请实施例的一种基于聚合信息确定威胁事件的方法的流程图,该方法包括以下步骤S11-S13:
在步骤S11中,接收聚合告警信息的触发事件;
在步骤S12中,通过告警信息的预设指标对告警信息进行聚合;
在步骤S13中,通过聚合后的告警信息确定与告警信息相关的威胁事件。
黑客入侵设备时,一般的安全检测响应系统会产生多条告警信息(也可以称之为警告日志)。如果可以将这些警告信息进行聚合,那么,就可以根据这些警告信息的聚合还原出一个安全事故的来龙去脉,将多条告警信息进行聚合,统一展示一个安全事故来龙去脉的形式叫作“威胁事件”。
本实施例中,接收聚合告警信息的触发事件;该触发事件可以是设备收到告警信息的条数大于预设值时,即是设备收到告警信息的条数达到一定数量的事件。
通过告警信息的预设指标对告警信息进行聚合;
具体的,该告警信息的指标可以包括:告警信息的基础信息、所述告警信息的安全外壳协议、所述告警信息对应木马文件的MD5值、告警信息对应进程的父进程等。而该告警信息的基础信息是指告警信息对应的告警名称、告警信息对应的病毒家族、告警信息对应的黑客组织等。
具体的,通过该告警信息的预设指标对告警信息进行聚合可以是指基于上述所列举的指标或者其他用于表征告警信息的指标来对告警信息进行聚合,例如,当多条告警信息的一项或多项指标相同时,可以确定这些告警信息是具备关联关系的,甚至可以直接认为这些告警信息通常是来自同一个威胁事件。
通过聚合后的告警信息确定与告警信息相关的威胁事件,例如,告警信息A、告警信息B和告警信息C中所记录的黑客组织都为a,那么,该威胁事件为黑客组织a对本地进行入侵的事件;又例如,告警信息A、告警信息B和告警信息C中所记录的黑客组织都为a,告警信息A、告警信息B和告警信息C中所记录病毒家族名称为b,那么,该威胁事件为黑客组织a通过病毒b对本地进行入侵的事件,或者本地感染黑客组织a所制作的病毒b的事件。
本申请的有益效果在于:能够通过告警信息的预设指标对告警信息进行聚合,进而可以根据聚合后的告警信息确定与告警信息相关的威胁事件,由于该威胁事件是基于多条告警信息聚合后的聚合信息确定的,因此,能够确定一相对完整的威胁事件,进而能够基于确定的威胁事件进行针对性处理,提升了安全性。
在一个实施例中,方法还可被实施为如下步骤:
获取告警信息的以下至少一条预设指标:
所述告警信息的基础信息、所述告警信息的安全外壳协议、所述告警信息对应木马文件的MD5值以及告警信息对应进程的父进程。
在一个实施例中,上述步骤S12可被实施为如下步骤A1-A3:
在步骤A1中,获取威胁情报中记录的各个告警信息的基础信息;
在步骤A2中,确定具有至少一项相同基础信息的告警信息之间存在关联关系,其中,所述基础信息包括以下至少一项信息:
告警信息对应的告警名称、告警信息对应的病毒家族以及告警信息对应的黑客组织;
在步骤A3中,将存在关联关系的告警信息进行聚合。
具体的,威胁情报:也称作安全威胁情报,网络安全行业中大多数所说的威胁情报主要为用于识别和检测威胁的失陷标识,如文件HASH,IP,域名,程序运行路径,注册表项等,以及相关的归属标签。
IOC:IOC全称是Indicators ofCompromise,失陷指标。一旦主机行为匹配上了失陷指标,就表明这台主机已失陷。失陷指标包括很多种,比如:域名,ip,ur1,木马文件的hash,注册表的键值,木马运行时所用信号量的名称等等。
威胁情报中有很多IOC信息,安全检测软件中集成了威胁情报,可以产出每条告警信息的告警名称,病毒家族、黑客组织等告警信息的基础信息。具有相同或者相似的告警名称的告警信息、来自同一个病毒家族的告警信息以及来自同一个黑客组织的告警信息可以看做存在关联关系告警信息,这些存在关联关系的告警信息可以进行聚合。
因此,本实施例可以获取威胁情报中记录的各个告警信息的基础信息;通过威胁情报碰撞,确定具有相同或者相似的告警名称、相同病毒家族、相同黑客组织等相同基础信息的告警信息,确定具有至少一项相同基础信息的告警信息之间存在关联关系;将存在关联关系的告警信息进行聚合。
在一个实施例中,上述步骤S12可被实施为如下步骤B1-B4:
在步骤B1中,获取具备相同安全外壳协议的告警信息;
在步骤B2中,获取具备相同安全外壳协议的告警信息所对应的临时内存信息;
在步骤B3中,具备相同安全外壳协议的告警信息所对应的临时内存信息进行比对,并确定具有相同临时内存的告警信息之间存在关联关系;
在步骤B4中,将存在关联关系的告警信息进行聚合。
本实施例中,获取临时内存中记录的各个告警信息的安全外壳协议;具体的,该临时内存是指session:当访问服务器否个网页的时候,会在服务器端的内存里开辟一块内存,这块内存就叫做session,而这个内存是跟浏览器关联在一起的。这个浏览器指的是浏览器窗口,或者是浏览器的子窗口,意思就是,只允许当前这个session对应的浏览器访问,就算是在同一个机器上新启的浏览器也是无法访问的。而另外一个浏览器也需要记录session的话,就会再启一个属于自己的session。因此,本申请将session称为临时内存,当然,基于session的特性,其也可以称为会话控制器、会话存储器等。
SSH(Secure Shell,安全外壳协议)是一种网络协议,用于计算机之间的加密登录。如果一个用户从本地计算机,使用SSH协议登录另一台远程计算机,我们就可以认为,这种登录是安全的,即使被中途截获,密码也不会泄露。一次SSH登录,计算机的信息通信和上下文信息都保存在Session中。SSH登录到一台主机后,该SSH账户会在主机上创建一个ssesion,本次SSH登录与主机连接的状态和上下文信息都会收集在ssesion中。因此,只要ssesion信息相同的告警,都会有一定关联。
因此,本实施例中,可以获取具备相同安全外壳协议的告警信息;获取具备相同安全外壳协议的告警信息所对应的临时内存信息;具备相同安全外壳协议的告警信息所对应的临时内存信息进行比对,并确定具有相同临时内存的告警信息之间存在关联关系;将存在关联关系的告警信息进行聚合。
也就是说,本申请中,相当于基于告警信息的安全外壳协议、告警信息的临时内存信息两种指标对告警信息进行聚合。
在一个实施例中,如图2所示,上述步骤S12可被实施为如下步骤S21-S23:
在步骤S21中,获取告警信息对应的木马文件中的MD5值;
在步骤S22中,通过对各告警信息对应的木马文件中的MD5值进行匹配以确定由同一木马文件引起的告警信息;
在步骤S23中,将由同一木马文件引起的告警信息进行聚合。
MD5(MD5 Message-Digest Algorithm,信息摘要算法)是一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致。其在生成时,MD5码以512位分组来处理输入的信息,且每一分组又被划分为16个32位子分组,经过了一系列的处理后,算法的输出由四个32位分组组成,将这四个32位分组级联后将生成一个128位散列值。很多告警都是由同一个木马文件引起的,识别同一个木马文件通常可以通过MD5来识别,所以如果多条告警信息中的文件MD5相同,可以进行聚合。因此,本实施例中,获取告警信息对应的木马文件中的MD5值;通过对各告警信息对应的木马文件中的MD5值进行匹配以确定由同一木马文件引起的告警信息;将由同一木马文件引起的告警信息进行聚合。
在一个实施例中,上述步骤S12可被实施为如下步骤C1-C3::
在步骤C1中,获取每条告警信息对应的进程;
在步骤C2中,对每条告警信息对应的进程进行至少一次回溯操作,以确定每条告警信息对应的进程所指向的父进程;
在步骤C3中,将指向同一父进程的进程所对应的告警信息进行聚合。
进程是计算机中的程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是操作系统结构的基础。而父进程是指已创建一个或多个子进程的进程。在UNIX里,除了进程0以外的所有进程都是由其他进程使用系统调用fork(派生或分支)函数创建的,这里调用fork函数创建新进程的进程即为父进程,而相对应的为其创建出的进程则为子进程,因而除了进程0以外的进程都只有一个父进程,但一个进程可以有多个子进程。
一般来说,每一个进程都有一个父进程,由父进程产生了子进程。所以可以对告警信息中的进程进行回溯,每一个进程都可以向上回溯,查看父进程,以及父进程的父进程,父进程的父进程的父进程等,通常,向上回溯三级基本上可以确定多条告警信息是否来自同一个的父进程,如果回溯过程中发现多条告警信息来自同一个的父进程,那就说明这些告警信息有一定关联,可以聚合。因此,本实施例中,获取每条告警信息对应的进程;对每条告警信息对应的进程进行至少一次回溯操作,以确定每条告警信息对应的进程所指向的父进程;将指向同一父进程的进程所对应的告警信息进行聚合。
图3为本申请实施例的一种基于聚合信息确定威胁事件的装置的框图,该装置包括以下模块:
接收模块31,用于接收聚合告警信息的触发事件;
聚合模块32,用于通过告警信息的预设指标对告警信息进行聚合;
确定模块33,用于通过聚合后的告警信息确定与告警信息相关的威胁事件。
在一个实施例中,如图4所示,装置还包括:
获取模块41,用于获取告警信息的以下至少一条预设指标:
所述告警信息的基础信息、所述告警信息的安全外壳协议、所述告警信息对应木马文件的MD5值以及告警信息对应进程的父进程。
在一个实施例中,如图5所示,所述聚合模块32,包括:
第一获取子模块51,用于获取威胁情报中记录的各个告警信息的基础信息;
第一确定子模块52,用于确定具有至少一项相同基础信息的告警信息之间存在关联关系,其中,所述基础信息包括以下至少一项信息:
告警信息对应的告警名称、告警信息对应的病毒家族以及告警信息对应的黑客组织;
第一聚合子模块53,用于将存在关联关系的告警信息进行聚合。
在一个实施例中,所述聚合模块,包括:
第二获取子模块,用于获取临时内存中记录的各个告警信息的安全外壳协议;
第二确定子模块,用于确定具有相同安全外壳协议的告警信息之间存在关联关系;
第二聚合子模块,用于将存在关联关系的告警信息进行聚合。
以上实施例仅为本申请的示例性实施例,不用于限制本申请,本申请的保护范围由权利要求书限定。本领域技术人员可以在本申请的实质和保护范围内,对本申请做出各种修改或等同替换,这种修改或等同替换也应视为落在本申请的保护范围内。

Claims (8)

1.一种基于聚合信息确定威胁事件的方法,其特征在于,包括:
接收聚合告警信息的触发事件;其中,所述触发事件包括设备收到告警信息的条数大于预设阈值;
通过告警信息的预设指标对告警信息进行聚合;
通过聚合后的告警信息确定与告警信息相关的威胁事件;
其中,所述通过告警信息的预设指标对告警信息进行聚合,包括:
获取具备相同安全外壳协议的告警信息;
获取具备相同安全外壳协议的告警信息所对应的临时内存信息;
具备相同安全外壳协议的告警信息所对应的临时内存信息进行比对,并确定具有相同临时内存的告警信息之间存在关联关系;
将存在关联关系的告警信息进行聚合。
2.如权利要求1所述的方法,其特征在于,还包括:
获取告警信息的以下至少一条预设指标:
所述告警信息的基础信息、所述告警信息的安全外壳协议、所述告警信息对应木马文件的MD5值以及告警信息对应进程的父进程。
3.如权利要求1或2所述的方法,其特征在于,所述通过告警信息的预设指标对告警信息进行聚合,包括:
获取威胁情报中记录的各个告警信息的基础信息;
确定具有至少一项相同基础信息的告警信息之间存在关联关系,其中,所述基础信息包括以下至少一项信息:
告警信息对应的告警名称、告警信息对应的病毒家族以及告警信息对应的黑客组织;
将存在关联关系的告警信息进行聚合。
4.如权利要求1或2所述的方法,其特征在于,所述通过告警信息的预设指标对告警信息进行聚合,包括:
获取告警信息对应的木马文件中的MD5值;
通过对各告警信息对应的木马文件中的MD5值进行匹配以确定由同一木马文件引起的告警信息;
将由同一木马文件引起的告警信息进行聚合。
5.如权利要求1或2所述的方法,其特征在于,所述通过告警信息的预设指标对告警信息进行聚合,包括:
获取每条告警信息对应的进程;
对每条告警信息对应的进程进行至少一次回溯操作,以确定每条告警信息对应的进程所指向的父进程;
将指向同一父进程的进程所对应的告警信息进行聚合。
6.一种基于聚合信息确定威胁事件的装置,其特征在于,包括:
接收模块,用于接收聚合告警信息的触发事件;其中,所述触发事件包括设备收到告警信息的条数大于预设阈值;
聚合模块,用于通过告警信息的预设指标对告警信息进行聚合;
确定模块,用于通过聚合后的告警信息确定与告警信息相关的威胁事件;
其中,所述通过告警信息的预设指标对告警信息进行聚合,包括:
获取具备相同安全外壳协议的告警信息;
获取具备相同安全外壳协议的告警信息所对应的临时内存信息;
具备相同安全外壳协议的告警信息所对应的临时内存信息进行比对,并确定具有相同临时内存的告警信息之间存在关联关系;
将存在关联关系的告警信息进行聚合。
7.如权利要求6所述的装置,其特征在于,还包括:
获取模块,用于获取告警信息的以下至少一条预设指标:
所述告警信息的基础信息、所述告警信息的安全外壳协议、所述告警信息对应木马文件的MD5值以及告警信息对应进程的父进程。
8.如权利要求6或7所述的装置,其特征在于,所述聚合模块,包括:
第一获取子模块,用于获取威胁情报中记录的各个告警信息的基础信息;
第一确定子模块,用于确定具有至少一项相同基础信息的告警信息之间存在关联关系,其中,所述基础信息包括以下至少一项信息:
告警信息对应的告警名称、告警信息对应的病毒家族以及告警信息对应的黑客组织;
第一聚合子模块,用于将存在关联关系的告警信息进行聚合。
CN202010982922.2A 2020-09-17 2020-09-17 一种基于聚合信息确定威胁事件的方法及装置 Active CN112087465B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010982922.2A CN112087465B (zh) 2020-09-17 2020-09-17 一种基于聚合信息确定威胁事件的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010982922.2A CN112087465B (zh) 2020-09-17 2020-09-17 一种基于聚合信息确定威胁事件的方法及装置

Publications (2)

Publication Number Publication Date
CN112087465A CN112087465A (zh) 2020-12-15
CN112087465B true CN112087465B (zh) 2021-11-02

Family

ID=73737397

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010982922.2A Active CN112087465B (zh) 2020-09-17 2020-09-17 一种基于聚合信息确定威胁事件的方法及装置

Country Status (1)

Country Link
CN (1) CN112087465B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109587179A (zh) * 2019-01-28 2019-04-05 南京云利来软件科技有限公司 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法
CN110535682A (zh) * 2019-07-19 2019-12-03 浪潮思科网络科技有限公司 一种sdn网络中设备告警信息的分析装置及方法
CN111147300A (zh) * 2019-12-26 2020-05-12 北京神州绿盟信息安全科技股份有限公司 一种网络安全告警置信度评估方法及装置

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104009870B (zh) * 2014-05-30 2017-03-15 浙江大学城市学院 Wlan无线入侵告警聚合方法
CN107453882B (zh) * 2016-05-30 2020-06-30 北京京东尚科信息技术有限公司 一种集群中告警信息聚合系统及方法
CN107124298A (zh) * 2017-03-31 2017-09-01 北京奇艺世纪科技有限公司 告警聚合方法及系统
CN110198303A (zh) * 2019-04-26 2019-09-03 北京奇安信科技有限公司 威胁情报的生成方法及装置、存储介质、电子装置
CN110768955B (zh) * 2019-09-19 2022-03-18 杭州安恒信息技术股份有限公司 基于多源情报主动采集与聚合数据的方法
CN110719291B (zh) * 2019-10-16 2022-10-14 杭州安恒信息技术股份有限公司 一种基于威胁情报的网络威胁识别方法及识别系统
CN111628964B (zh) * 2020-04-03 2022-09-30 北京奇艺世纪科技有限公司 网络攻击溯源方法及装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109587179A (zh) * 2019-01-28 2019-04-05 南京云利来软件科技有限公司 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法
CN110535682A (zh) * 2019-07-19 2019-12-03 浪潮思科网络科技有限公司 一种sdn网络中设备告警信息的分析装置及方法
CN111147300A (zh) * 2019-12-26 2020-05-12 北京神州绿盟信息安全科技股份有限公司 一种网络安全告警置信度评估方法及装置

Also Published As

Publication number Publication date
CN112087465A (zh) 2020-12-15

Similar Documents

Publication Publication Date Title
JP6863969B2 (ja) 低信頼度のセキュリティイベントによるセキュリティインシデントの検出
JP6104149B2 (ja) ログ分析装置及びログ分析方法及びログ分析プログラム
US6775657B1 (en) Multilayered intrusion detection system and method
CN110545276B (zh) 威胁事件告警方法、装置、告警设备及机器可读存储介质
CN108664793B (zh) 一种检测漏洞的方法和装置
US20170142133A1 (en) Ineffective network equipment identification
EP3646218A1 (en) Cyber-security system and method for weak indicator detection and correlation to generate strong indicators
US20100325685A1 (en) Security Integration System and Device
WO2001084270A2 (en) Method and system for intrusion detection in a computer network
US20160232349A1 (en) Mobile malware detection and user notification
WO2015009296A1 (en) Event management system
EP1685458A2 (en) Method and system for addressing intrusion attacks on a computer system
US11128649B1 (en) Systems and methods for detecting and responding to anomalous messaging and compromised accounts
CN111726342B (zh) 一种提升蜜罐系统告警输出精准性的方法及系统
Avritzer et al. Monitoring for security intrusion using performance signatures
CN112769833B (zh) 命令注入攻击的检测方法、装置、计算机设备和存储介质
CN114268452A (zh) 一种网络安全防护方法及系统
CN113411297A (zh) 基于属性访问控制的态势感知防御方法及系统
Beigh et al. Intrusion detection and prevention system: issues and challenges
US7467201B2 (en) Methods, systems and computer program products for providing status information to a device attached to an information infrastructure
CN112087465B (zh) 一种基于聚合信息确定威胁事件的方法及装置
CN115225531B (zh) 数据库防火墙测试方法、装置、电子设备及介质
CN113055362B (zh) 异常行为的预防方法、装置、设备及存储介质
CN114024709A (zh) 防御方法、xss漏洞的查寻方法、流量检测设备及存储介质
CN112350864B (zh) 域控终端的保护方法、装置、设备和计算机可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant