CN112597490A - 安全威胁编排响应方法、装置、电子设备及可读存储介质 - Google Patents

安全威胁编排响应方法、装置、电子设备及可读存储介质 Download PDF

Info

Publication number
CN112597490A
CN112597490A CN202011486910.7A CN202011486910A CN112597490A CN 112597490 A CN112597490 A CN 112597490A CN 202011486910 A CN202011486910 A CN 202011486910A CN 112597490 A CN112597490 A CN 112597490A
Authority
CN
China
Prior art keywords
response
information
internal
external
strategy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011486910.7A
Other languages
English (en)
Inventor
郭驰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ping An Consumer Finance Co Ltd
Original Assignee
Ping An Consumer Finance Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ping An Consumer Finance Co Ltd filed Critical Ping An Consumer Finance Co Ltd
Priority to CN202011486910.7A priority Critical patent/CN112597490A/zh
Publication of CN112597490A publication Critical patent/CN112597490A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology

Abstract

本发明涉及安全防护技术,揭露一种安全威胁编排响应方法,包括:获取情报集,从所述情报集中提取威胁情报,对所述威胁情报进行解析和清洗,得到目标情报,利用情报分类模型对所述目标情报进行分类,得到内部情报及外部情报,从预设的响应策略库中匹配所述内部情报及所述外部情报的响应策略,得到内部响应策略和外部响应策略,根据所述内部响应策略和外部响应策略,触发所述内部情报及所述外部情报在预设响应动作库中的响应动作,得到内部响应日志和外部响应日志。本发明还涉及区块链技术,所述响应日志可以存储在区块链节点中。本发明还提出一种安全威胁编排响应装置、电子设备以及存储介质。本发明可以提高安全威胁编排响应的时效性和准确性。

Description

安全威胁编排响应方法、装置、电子设备及可读存储介质
技术领域
本发明涉及安全防护技术领域,尤其涉及一种安全威胁编排响应方法、装置、电子设备及可读存储介质。
背景技术
在企业安全运营工作中,随着企业外部及内部安全威胁事件的频发,安全应急响应变得极其重要。目前企业针对内外部安全威胁的响应方法依靠于安全威胁发生后进行漏洞修补,补充完善企业的安全运营流程,同时安全运营流程的执行是依赖人工操作,这样容易导致安全应急响应的时效性和准确性大大降低,给企业的安全运营工作带来巨大的限制。
发明内容
本发明提供一种安全威胁编排响应方法、装置、电子设备及可读存储介质,其主要目的在于解决安全威胁编排响应的响应时效慢、响应准确性低及响应过程人工依赖性高的问题。
为实现上述目的,本发明提供的一种安全威胁编排响应方法,包括:
获取情报集,从所述情报集中提取威胁情报,对所述威胁情报进行解析和清洗,得到目标情报;
利用预先训练完成的情报分类模型对所述目标情报进行分类,得到内部情报和外部情报;
从预设的响应策略库中匹配所述内部情报及所述外部情报的响应策略,得到内部响应策略和外部响应策略;
根据所述内部响应策略和外部响应策略,触发所述内部情报及所述外部情报在预设响应动作库中的响应动作,得到内部响应日志和外部响应日志;
合并所述内部响应日志和外部响应日志,得到响应日志。
可选地,所述利用预先训练完成的情报分类模型对所述目标情报进行分类之前,还包括:
获取训练情报集;
利用预创建的情报分类模型中的特征提取层对所述训练情报集进行卷积操作,得到特征训练情报集;
利用所述预创建的情报分类模型中的特征激活函数对所述特征训练情报集进行激活计算,得到所述训练情报集的情报类别;
根据所述情报类别,利用所述情报分类模型中的损失函数计算所述训练情报集的损失值;
当所述损失值不小于预设阈值时,调整所述情报分类模型的内部参数,直到所述损失值小于所述预设阈值时,得到训练完成的情报分类模型。
可选地,所述所述从预设的响应策略库中匹配所述内部情报及所述外部情报的响应策略,得到内部响应策略和外部响应策略之前,还包括:
获取历史内部情报和历史外部情报;
配置所述历史内部情报和历史外部情报对应的响应策略,得到历史内部响应策略和历史外部响应策略;
将所述历史内部响应策略和历史外部响应策略保存至所述响应策略库中。
可选地,所述从预设的响应策略库中匹配所述内部情报及所述外部情报的响应策略,得到内部响应策略和外部响应策略,包括:
识别所述内部情报的攻击模式及所述外部情报的攻击模式;
基于所述内部情报的攻击模式,将所述内部情报与所述历史内部情报进行匹配,根据匹配结果,从所述响应策略库中查询对应的历史内部响应策略作为所述内部情报的内部响应策略;
基于所述外部情报的攻击模式,将所述外部情报与所述历史外部情报进行匹配,根据匹配结果,从所述响应策略库中查询对应的历史外部响应策略作为所述外部情报的外部响应策略。
可选地,所述根据所述内部响应策略和外部响应策略,触发所述内部情报及所述外部情报在预设响应动作库中的响应动作之前,还包括:
对所述内部响应策略和外部响应策略进行安全编排,得到内部安全响应策略和外部安全响应策略。
可选地,所述根据所述内部响应策略和外部响应策略,触发所述内部情报及所述外部情报在预设响应动作库中的响应动作,得到内部响应日志和外部响应日志,包括:
根据所述内部安全响应策略调用对应的内部安全响应设备;
利用所述内部安全响应设备中的安全组件在所述预设响应动作库中执行所述内部情报的内部响应动作,生成内部响应日志;
根据所述外部安全响应策略调用对应的外部安全响应设备;
利用所述外部安全响应设备中的安全组件在所述预设响应动作库中执行所述外部情报的外部响应动作,生成外部响应日志。
可选地,所述合并所述内部响应日志和外部响应日志,得到响应日志之后,还包括:
对所述响应日志进行校验,基于校验结果对所述安全编排进行调整。
为了解决上述问题,本发明还提供一种安全威胁编排响应装置,所述装置包括:
情报获取模块,用于获取情报集,从所述情报集中提取威胁情报,对所述威胁情报进行解析和清洗,得到目标情报;
情报划分模块,用于根据利用预先训练完成的情报分类模型对所述目标情报进行分类,得到内部情报及外部情报;
策略匹配模块,用于从预设的响应策略库中匹配所述内部情报及所述外部情报的响应策略,得到内部响应策略和外部响应策略
应急响应模块,用于根据所述内部响应策略和外部响应策略,触发所述内部情报及所述外部情报在预设响应动作库中的响应动作,得到内部响应日志和外部响应日志;
结果输出模块,用于合并所述内部响应日志和外部响应日志,得到响应日志。
为了解决上述问题,本发明还提供一种电子设备,所述电子设备包括:
至少一个处理器:以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够实现上述中任意一项所述的安全威胁编排响应方法。
为了解决上述问题,本发明还提供一种可读存储介质,包括存储数据区和存储程序区,存储数据区存储创建的数据,存储程序区存储有计算机程序;其中,所述计算机程序被处理器执行时实现上述中任意一项所述的安全威胁编排响应方法。
本申请实施例基于神经网络的情报分类模型的情报分类方式,提高了目标情报分类的准确率,因此可以有效提高目标情报应急响应的时效性,同时本发明实施例通过将分类后的目标情报匹配对应的响应策略,并根据所述响应策略触发对应的响应动作,使得应急响应的过程更加自动化,同时提高应急响应的准确性。因此本发明提出的自动编排响应方法、装置及可读存储介质,可以根据分类后的目标情报匹配对应的响应策略,通过所述响应策略被触发对应的响应动作,提高应急响应的时效性和准确性。
附图说明
图1为本发明一实施例提供的安全威胁编排响应方法的流程示意图;
图2为本发明一实施例提供的安全威胁编排响应方法中S2的详细流程示意图;
图3为本发明一实施例提供的安全威胁编排响应方法中S4的详细流程示意图;
图4为本发明一实施例提供的安全威胁编排响应装置的模块示意图;
图5为本发明一实施例提供的实现安全威胁编排响应方法的电子设备的内部结构示意图;
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本申请实施例提供一种安全威胁编排响应方法。所述安全威胁编排响应方法的执行主体包括但不限于服务端、终端等能够被配置为执行本申请实施例提供的该方法的电子设备中的至少一种。换言之,所述安全威胁编排响应方法可以由安装在终端设备或服务端设备的软件或硬件来执行,所述软件可以是区块链平台。所述服务端包括但不限于:单台服务器、服务器集群、云端服务器或云端服务器集群等。
参照图1所示,为本发明一实施例提供的安全威胁编排响应方法的流程示意图。在本实施例中,所述安全威胁编排响应方法包括:
S1、获取情报集,从所述情报集中提取威胁情报,对所述威胁情报进行解析和清洗,得到目标情报。
本发明较佳实施例中,所述威胁情报可以是一种基于数据的,利用公开的可用资源,预测和验证企业潜在安全威胁的信息集合。进一步地,本发明实施例可以获取安全人员提前收集好的情报集,从而从所述情报集中提取威胁情报。如本发明实施例从网络安全组织中获取一段时间内公布的多条情报,并根据预设的关键字从该情报中提取威胁情报,如网络安全组织公布的情报包括病毒哈希情报、域名情报、网络协议情报等,其中,威胁情报包括病毒哈希威胁情报、恶意域名威胁情报、恶意网络协议威胁情报等。
S2、利用预先训练完成的情报分类模型对所述目标情报进行分类,得到内部情报及外部情报。
本发明较佳实施例中,所述情报分类模型包括特征提取层、特征激活函数。详细地,参阅图2所示,所述利用预先训练完成的情报分类模型对所述目标情报进行分类,得到内部情报和外部情报,包括:
S21、获取目标情报的情报特征集;
详细地,本发明较佳实施例采用所述情报分类模型中的特征提取层对所述目标情报进行卷积操作后,得到所述目标情报的目标情报特征集{x1,x2,x3,…,xn}。
S22、根据所述目标情报特征集将所述目标情报进行分类,得到内部情报及外部情报。
详细地,本发明较佳实施例中利用所述情报分类模型中的特征激活函数对目标情报特征集进行激活计算,得到所述目标情报的情报类别,从而将所述目标情报分为内部情报及外部情报。
较佳地,本发明实施例利用如下特征激活函数,对目标情报特征集进行激活计算:
Figure BDA0002839574360000051
其中,F(xn)表示目标情报特征n的情报类别,xn表示所述目标情报特征集中第n个目标情报特征。
本发明其中一个实施例中,所述S2之前还包括:
获取训练情报集;
利用预创建的情报分类模型中的特征提取层对所述训练情报集进行卷积操作,得到特征训练情报集;
利用所述预创建的情报分类模型中的特征激活函数对所述特征训练情报集进行激活计算,得到所述训练情报集的情报类别;
根据所述情报类别,利用所述情报分类模型中的损失函数计算所述训练情报集的损失值;
当所述损失值不小于预设阈值时,调整所述情报分类模型的内部参数,直到所述损失值小于所述预设阈值时,得到训练完成的情报分类模型。
S3、从预设的响应策略库中匹配所述内部情报及所述外部情报的响应策略,得到内部响应策略和外部响应策略。
本发明较佳实施例中,所述响应策略库包括历史内部情报、历史外部情报、历史内部情报对应的历史内部响应策略及历史外部情报对应的历史外部响应策略。
本发明其中一个实施例中,所述S3之前还可以包括:
获取历史内部情报和历史外部情报;
配置所述历史内部情报和历史外部情报对应的响应策略,得到历史内部响应策略和历史外部响应策略;
将所述历史内部响应策略和历史外部响应策略保存至所述响应策略库中。
本发明实施例可以通过安全人员读取安全响应日志定期获取历史内部情报及历史内部情报对应的历史内部响应策略,通过分布式网络爬虫技术从各网络渠道获取历史外部情报及历史外部情报对应的历史外部响应策略,将获取到的历史内部情报、历史内部响应策略、历史外部情报、历史外部响应策略按照结构化储存的方式存储至响应策略库。其中历史内部情报包括行为风险情报、内部漏洞情报等,历史外部情报包括病毒哈希情报、恶意域名情报等,历史内部响应策略包括行为风险响应策略、漏洞修补响应策略等,历史外部响应策略包括病毒哈希响应策略、恶意域名响应策略等。进一步地,所述响应策略库的构建可以借助企业资产配置管理数据库,结合企业资产配置管理库中的配置数据进行poc验证,保证响应策略库中历史内部响应策略和历史外部响应策略的可靠性。
进一步地,本发明实施例可以基于所述内部情报及外部情报的攻击模式在所述响应策略库中分别匹配最相似的历史内部情报及历史外部情报。本发明实施例可以采用相似度匹配算法来匹配与所述内部情报最相似的历史内部情报及所述外部情报最相似的历史外部情报。
详细地,所述从预设的响应策略库中匹配所述内部情报及所述外部情报的响应策略,得到内部响应策略和外部响应策略,包括:
识别所述内部情报的攻击模式及所述外部情报的攻击模式;
基于所述内部情报的攻击模式,将所述内部情报与所述历史内部情报进行匹配,根据匹配结果,从所述响应策略库中查询对应的历史内部响应策略作为所述内部情报的内部响应策略;
基于所述外部情报的攻击模式,将所述外部情报与所述历史外部情报进行匹配,根据匹配结果,从所述响应策略库中查询对应的历史外部响应策略作为所述外部情报的外部响应策略。
本发明其中一个实施例可以采用如下相似度匹配算法计算所述内部情报与历史内部情报之间的相似度及所述外部情报与历史外部情报之间的相似度:
Figure BDA0002839574360000071
其中,在内部情报匹配历史内部情报中,sim(d,t)表示所述内部情报d与历史内部情报t之间的相似度,wdk表示所述内部情报d与所述历史内部情报内历史内部情报t之外的其他历史内部情报k的权重比,wtk表示所述历史内部情报t与所述历史内部情报内其他历史内部情报k的权重比,n为内部情报的数量总数,α、β为偏置系数。
在外部情报匹配历史外部情报中,sim(d,t)表示所述外部情报d与历史外部情报t之间的相似度,wdk表示所述外部情报d与所述历史外部情报内历史内部情报t之外的其他内部情报k的权重比,wtk表示所述历史外部情报t与所述历史外部情报内其他历史外部情报k的权重比,n为外部情报的数量总数,α、β为偏置系数。
进一步地,本发明实施例基于所述历史内部情报与历史内部响应策略的对应关系及所述历史外部情报与历史外部响应策略的对应关系,将所述历史内部响应策略作为内部情报的内部响应策略,所述历史外部响应策略作为外部情报的外部响应策略。
S4、根据所述内部响应策略和外部响应策略,触发所述内部情报及所述外部情报在预设响应动作库中的响应动作,得到内部响应日志和外部响应日志。
本发明较佳实施例中,所述响应动作库包括预警、阻断拦截、引流、隔离等。
较佳地,本发明实施例在步骤S4之前还包括:对所述内部响应策略和外部响应策略进行安全编排,得到内部安全响应策略和外部安全响应策略。
本发明实施例在所述响应策略库中匹配好内部响应策略和外部响应策略后,可以对所述内部响应策略和外部响应策略进行分析和改进,得到内部安全响应策略和外部安全响应策略,根据所述内部安全响应策略和外部安全响应策略触发在预设响应动作库中的响应动作。通过对所述内部响应策略和外部响应策略的安全编排,提高了安全威胁的自动应急响应的准确性。
本发明实施例中,参阅图3所示,所述根据所述内部响应策略和外部响应策略,触发所述内部情报及所述外部情报在预设响应动作库中的响应动作,得到内部响应日志和外部响应日志,具体包括:
S41、根据所述内部安全响应策略调用对应的内部安全响应设备;
S42、利用所述内部安全响应设备中的安全组件在所述预设响应动作库中执行所述内部情报的内部响应动作,生成内部响应日志;
S43、根据所述外部安全响应策略调用对应的外部安全响应设备;
S44、利用所述外部安全响应设备中的安全组件在所述预设响应动作库中执行所述外部情报的外部响应动作,生成外部响应日志。
其中所述内部安全响应设备包括漏洞修补设备、安全隔离闸等,所述外部安全响应设备包括防病毒网关、流量监控设备等。
S5、合并所述内部响应日志和外部响应日志,得到响应日志。
本发明较佳实施例中,可以通过获取内部响应日志及外部响应日志生成的时间,按照时间将所述内部响应日志和外部响应日志进行合并,得到响应日志。
较佳地,本发明实施例在S5步骤后,还包括:对所述对响应日志进行校验,基于校验结果对所述安全编排进行调整。
当安全人员执行校验操作后,可以按照安全人员的校验报告,对应急响应的效果进行评价,并根据评价结果对安全编排进行调整,使得后续的内部安全响应策略和外部安全响应策略更加合理有效。
本发明的另一实施例中,为了保证数据的隐私性,所述响应日志可以存储在区块链的节点中。
本申请实施例基于神经网络的情报分类模型的情报分类方式,提高了目标情报分类的准确率,因此可以有效提高目标情报应急响应的时效性,同时本发明实施例通过将分类后的目标情报匹配对应的响应策略,并根据所述响应策略触发对应的响应动作,使得应急响应的过程更加自动化,同时提高应急响应的准确性。因此本发明提出的自动编排响应方法可以根据分类后的目标情报匹配对应的响应策略,通过所述响应策略被触发对应的响应动作,提高应急响应的时效性和准确性。
如图4所示,是本发明安全威胁编排响应装置的模块示意图。
本发明所述安全威胁编排响应装置100可以安装于电子设备中。根据实现的功能,所述安全威胁编排响应装置可以包括情报获取模块101、情报划分模块102、响应策略匹配模块103、应急响应模块104及结果输出模块105。本发所述模块也可以称之为单元,是指一种能够被电子设备处理器所执行,并且能够完成固定功能的一系列计算机程序段,其存储在电子设备的存储器中。
在本实施例中,关于各模块/单元的功能如下:
所述情报获取模块101,用于获取情报集,从所述情报集中提取威胁情报,对所述威胁情报进行解析和清洗,得到目标情报。
本发明较佳实施例中,所述威胁情报可以是一种基于数据的,利用公开的可用资源,预测和验证企业潜在安全威胁的信息集合。进一步地,可以获取安全人员提前收集好的情报集,从而从所述情报集中提取威胁情报。如安全人员从网络安全组织中获取一段时间内公布的多条情报,并从该情报中提取威胁情报。如网络安全组织公布的情报包括病毒哈希情报、域名情报、网络协议情报等,威胁情报包括病毒哈希威胁情报、恶意域名威胁情报、恶意网络协议威胁情报等。
所述情报划分模块102,用于利用预先训练完成的情报分类模型对所述目标情报进行分类,得到内部情报及外部情报。
本发明较佳实施例中,所述情报分类模型包括特征提取层、特征激活函数。详细地,所述情报划分模块102利用下述手段对所述目标情报进行分类,得到内部情报和外部情报:
获取目标情报的情报特征集;
根据所述目标情报特征集将所述目标情报进行分类,得到内部情报及外部情报。详细地,本发明较佳实施例采用所述情报分类模型中的特征提取层对所述目标情报进行卷积操作后,得到所述目标情报的目标情报特征集{x1,x2,x3,…,xn}。
详细地,本发明较佳实施例中利用所述情报分类模型中的特征激活函数对目标情报特征集进行激活计算,得到所述目标情报的情报类别,从而将所述目标情报分为内部情报及外部情报。
较佳地,本发明实施例利用如下特征激活函数,对目标情报特征集进行激活计算:
Figure BDA0002839574360000101
其中,F(xn)表示目标情报特征n的情报类别,xn表示所述目标情报特征集中第n个目标情报特征。
本发明其中一个实施例中,所述情报划分模块102还用于:
获取训练情报集;
利用预创建的情报分类模型中的特征提取层对所述训练情报集进行卷积操作,得到特征训练情报集;
利用所述预创建的情报分类模型中的特征激活函数对所述特征训练情报集进行激活计算,得到所述训练情报集的情报类别;
根据所述情报类别,利用所述情报分类模型中的损失函数计算所述训练情报集的损失值;
当所述损失值不小于预设阈值时,调整所述情报分类模型的内部参数,直到所述损失值小于所述预设阈值时,得到训练完成的情报分类模型。
所述响应策略匹配模块103,用于从预设的响应策略库中匹配所述内部情报及所述外部情报的响应策略,得到内部响应策略和外部响应策略。
本发明较佳实施例中,所述响应策略库包括历史内部情报、历史外部情报、历史内部情报对应的历史内部响应策略及历史外部情报对应的历史外部响应策略。
本发明其中一个实施例中,所述响应策略匹配模块103还可以用于:
获取历史内部情报和历史外部情报;
配置所述历史内部情报和历史外部情报对应的响应策略,得到历史内部响应策略和历史外部响应策略;
将所述历史内部响应策略和历史外部响应策略保存至所述响应策略库中。
本发明实施例可以通过安全人员读取安全响应日志定期获取历史内部情报及历史内部情报对应的历史内部响应策略,通过分布式网络爬虫技术从各网络渠道获取历史外部情报及历史外部情报对应的历史外部响应策略,将获取到的历史内部情报、历史内部响应策略、历史外部情报、历史外部响应策略按照结构化储存的方式存储至响应策略库。其中历史内部情报包括行为风险情报、内部漏洞情报等,历史外部情报包括病毒哈希情报、恶意域名情报等,历史内部响应策略包括行为风险响应策略、漏洞修补响应策略等,历史外部响应策略包括病毒哈希响应策略、恶意域名响应策略等。进一步地,所述响应策略库的构建可以借助企业资产配置管理数据库,结合企业资产配置管理库中的配置数据进行poc验证,保证响应策略库中历史内部响应策略和历史外部响应策略的可靠性。
进一步地,本发明实施例所述响应策略匹配模块103可以基于所述内部情报及外部情报的攻击模式在所述响应策略库中分别匹配最相似的历史内部情报及历史外部情报。本发明实施例可以采用相似度匹配算法来匹配与所述内部情报最相似的历史内部情报及所述外部情报最相似的历史外部情报。
详细地,在从预设的响应策略库中匹配所述内部情报及所述外部情报的响应策略,得到内部响应策略和外部响应策略时,所述响应策略匹配模块103执行下述操作:
识别所述内部情报的攻击模式及所述外部情报的攻击模式;
基于所述内部情报的攻击模式,将所述内部情报与所述历史内部情报进行匹配,根据匹配结果,从所述响应策略库中查询对应的历史内部响应策略作为所述内部情报的内部响应策略;
基于所述外部情报的攻击模式,将所述外部情报与所述历史外部情报进行匹配,根据匹配结果,从所述响应策略库中查询对应的历史外部响应策略作为所述外部情报的外部响应策略。
本发明其中一个实施例所述响应策略匹配模块103可以采用如下相似度匹配算法计算所述内部情报与历史内部情报之间的相似度及所述外部情报与历史外部情报之间的相似度:
Figure BDA0002839574360000121
其中,在内部情报匹配历史内部情报中,sim(d,t)表示所述内部情报d与历史内部情报t之间的相似度,wdk表示所述内部情报d与所述历史内部情报内历史内部情报t之外的其他历史内部情报k的权重比,wtk表示所述历史内部情报t与所述历史内部情报内其他历史内部情报k的权重比,n为内部情报的数量总数,α、β为偏置系数。
在外部情报匹配历史外部情报中,sim(d,t)表示所述外部情报d与历史外部情报t之间的相似度,wdk表示所述外部情报d与所述历史外部情报内历史内部情报t之外的其他内部情报k的权重比,wtk表示所述历史外部情报t与所述历史外部情报内其他历史外部情报k的权重比,n为外部情报的数量总数,α、β为偏置系数。
进一步地,本发明实施例所述响应策略匹配模块103基于所述历史内部情报与历史内部响应策略的对应关系及所述历史外部情报与历史外部响应策略的对应关系,将所述历史内部响应策略作为内部情报的内部响应策略,所述历史外部响应策略作为外部情报的外部响应策略。
所述应急响应模块104,用于根据所述内部响应策略和外部响应策略,触发所述内部情报及所述外部情报在预设响应动作库中的响应动作,得到内部响应日志和外部响应日志。
本发明较佳实施例中,所述响应动作库包括预警、阻断拦截、引流、隔离等。
较佳地,本发明实施例所述应急响应模块104还可以用于:对所述内部响应策略和外部响应策略进行安全编排,得到内部安全响应策略和外部安全响应策略。
本发明实施例在所述响应策略库中匹配好内部响应策略和外部响应策略后,可以对所述内部响应策略和外部响应策略进行分析和改进,得到内部安全响应策略和外部安全响应策略,根据所述内部安全响应策略和外部安全响应策略触发在预设响应动作库中的响应动作。通过对所述内部响应策略和外部响应策略的安全编排,提高了安全威胁的自动应急响应的准确性。
本发明实施例中,所述应急响应模块104具体用于:
根据所述内部安全响应策略调用对应的内部安全响应设备;
利用所述内部安全响应设备中的安全组件在所述预设响应动作库中执行所述内部情报的内部响应动作,生成内部响应日志;
利用所述外部安全响应设备中的安全组件在所述预设响应动作库中执行所述外部情报的外部响应动作,生成外部响应日志。
其中,所述内部安全响应设备包括漏洞修补设备、安全隔离闸等,所述外部安全响应设备包括防病毒网关、流量监控设备等。
所述结果输出模块105,用于合并所述内部响应日志和外部响应日志,得到响应日志。
本发明较佳实施例中,所述结果输出模块105可以通过获取内部响应日志及外部响应日志生成的时间,按照时间将所述内部响应日志和外部响应日志进行合并,得到响应日志。
较佳地,本发明实施例所述结果输出模块105还可以用于:对所述对响应日志进行校验,基于校验结果对所述安全编排进行调整。
当执行校验操作后,所述结果输出模块105可以按照安全人员的校验报告,对应急响应的效果进行评价,并根据评价结果对安全编排进行调整,使得后续的内部安全响应策略和外部安全响应策略更加合理有效。
如图5所示,是本发明实现安全威胁编排响应方法的电子设备的结构示意图。
所述电子设备1可以包括处理器10、存储器11和总线,还可以包括存储在所述存储器11中并可在所述处理器10上运行的计算机程序,如安全威胁编排响应程序12。
其中,所述存储器11至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、移动硬盘、多媒体卡、卡型存储器(例如:SD或DX存储器等)、磁性存储器、磁盘、光盘等。所述存储器11在一些实施例中可以是电子设备1的内部存储单元,例如该电子设备1的移动硬盘。所述存储器11在另一些实施例中也可以是电子设备1的外部存储设备,例如电子设备1上配备的插接式移动硬盘、智能存储卡(Smart Media Card,SMC)、安全数字(SecureDigital,SD)卡、闪存卡(Flash Card)等。进一步地,所述存储器11还可以既包括电子设备1的内部存储单元也包括外部存储设备。所述存储器11不仅可以用于存储安装于电子设备1的应用软件及各类数据,例如安全威胁编排响应程序12的代码等,还可以用于暂时地存储已经输出或者将要输出的数据。
所述处理器10在一些实施例中可以由集成电路组成,例如可以由单个封装的集成电路所组成,也可以是由多个相同功能或不同功能封装的集成电路所组成,包括一个或者多个中央处理器(Central Processing unit,CPU)、微处理器、数字处理芯片、图形处理器及各种控制芯片的组合等。所述处理器10是所述电子设备的控制核心(Control Unit),利用各种接口和线路连接整个电子设备的各个部件,通过运行或执行存储在所述存储器11内的程序或者模块(例如执行安全威胁编排响应程序等),以及调用存储在所述存储器11内的数据,以执行电子设备1的各种功能和处理数据。
所述总线可以是外设部件互连标准(peripheral component interconnect,简称PCI)总线或扩展工业标准结构(extended industry standard architecture,简称EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。所述总线被设置为实现所述存储器11以及至少一个处理器10等之间的连接通信。
图5仅示出了具有部件的电子设备,本领域技术人员可以理解的是,图5示出的结构并不构成对所述电子设备1的限定,可以包括比图示更少或者更多的部件,或者组合某些部件,或者不同的部件布置。
例如,尽管未示出,所述电子设备1还可以包括给各个部件供电的电源(比如电池),优选地,电源可以通过电源管理装置与所述至少一个处理器10逻辑相连,从而通过电源管理装置实现充电管理、放电管理、以及功耗管理等功能。电源还可以包括一个或一个以上的直流或交流电源、再充电装置、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。所述电子设备1还可以包括多种传感器、蓝牙模块、Wi-Fi模块等,在此不再赘述。
进一步地,所述电子设备1还可以包括网络接口,可选地,所述网络接口可以包括有线接口和/或无线接口(如WI-FI接口、蓝牙接口等),通常用于在该电子设备1与其他电子设备之间建立通信连接。
可选地,该电子设备1还可以包括用户接口,用户接口可以是显示器(Display)、输入单元(比如键盘(Keyboard)),可选地,用户接口还可以是标准的有线接口、无线接口。可选地,在一些实施例中,显示器可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode,有机发光二极管)触摸器等。其中,显示器也可以适当的称为显示屏或显示单元,用于显示在电子设备1中处理的信息以及用于显示可视化的用户界面。
应该了解,所述实施例仅为说明之用,在专利申请范围上并不受此结构的限制。
所述电子设备1中的所述存储器11存储的安全威胁编排响应程序12是多个指令的组合,在所述处理器10中运行时,可以实现:
获取情报集,从所述情报集中提取威胁情报,对所述威胁情报进行解析和清洗,得到目标情报;
利用预先训练完成的情报分类模型对所述目标情报进行分类,得到内部情报及外部情报;
从预设的响应策略库中匹配所述内部情报及所述外部情报的响应策略,得到内部响应策略和外部响应策略;
根据所述内部响应策略和外部响应策略,触发所述内部情报及所述外部情报在预设响应动作库中的响应动作,得到内部响应日志和外部响应日志;
合并所述内部响应日志和外部响应日志,得到响应日志。
进一步地,所述电子设备1集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)。
进一步地,所述计算机可用存储介质可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等;存储数据区可存储根据区块链节点的使用所创建的数据等。
在本发明所提供的几个实施例中,应该理解到,所揭露的设备,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能模块的形式实现。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。
因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附关联图表记视为限制所涉及的权利要求。
本发明所指区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层等。
此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。系统权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第二等词语用来表示名称,而并不表示任何特定的顺序。
最后应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或等同替换,而不脱离本发明技术方案的精神和范围。

Claims (10)

1.一种安全威胁编排响应方法,其特征在于,所述方法包括:
获取情报集,从所述情报集中提取威胁情报,对所述威胁情报进行解析和清洗,得到目标情报;
利用预先训练完成的情报分类模型对所述目标情报进行分类,得到内部情报及外部情报;
从预设的响应策略库中匹配所述内部情报及所述外部情报的响应策略,得到内部响应策略和外部响应策略;
根据所述内部响应策略和外部响应策略,触发所述内部情报及所述外部情报在预设响应动作库中的响应动作,得到内部响应日志和外部响应日志;
合并所述内部响应日志和外部响应日志,得到响应日志。
2.如权利要求1所述的安全威胁编排响应方法,其特征在于,所述利用预先训练完成的情报分类模型对所述目标情报进行分类之前,还包括:
获取训练情报集;
利用预创建的情报分类模型中的特征提取层对所述训练情报集进行卷积操作,得到特征训练情报集;
利用所述预创建的情报分类模型中的特征激活函数对所述特征训练情报集进行激活计算,得到所述训练情报集的情报类别;
根据所述情报类别,利用所述情报分类模型中的损失函数计算所述训练情报集的损失值;
当所述损失值不小于预设阈值时,调整所述情报分类模型的内部参数,直到所述损失值小于所述预设阈值时,得到训练完成的情报分类模型。
3.如权利要求1所述的安全威胁编排响应方法,其特征在于,所述从预设的响应策略库中匹配所述内部情报及所述外部情报的响应策略,得到内部响应策略和外部响应策略之前,还包括:
获取历史内部情报和历史外部情报;
配置所述历史内部情报和历史外部情报对应的响应策略,得到历史内部响应策略和历史外部响应策略;
将所述历史内部响应策略和历史外部响应策略保存至所述响应策略库中。
4.如权利要求3所述的安全威胁编排响应方法,其特征在于,所述从预设的响应策略库中匹配所述内部情报及所述外部情报的响应策略,得到内部响应策略和外部响应策略,包括:
识别所述内部情报的攻击模式及所述外部情报的攻击模式;
基于所述内部情报的攻击模式,将所述内部情报与所述历史内部情报进行匹配,根据匹配结果,从所述响应策略库中查询对应的历史内部响应策略作为所述内部情报的内部响应策略;
基于所述外部情报的攻击模式,将所述外部情报与所述历史外部情报进行匹配,根据匹配结果,从所述响应策略库中查询对应的历史外部响应策略作为所述外部情报的外部响应策略。
5.如权利要求1所述的安全威胁编排响应方法,其特征在于,所述根据所述内部响应策略和外部响应策略,触发所述内部情报及所述外部情报在预设响应动作库中的响应动作之前,还包括:
对所述内部响应策略和外部响应策略进行安全编排,得到内部安全响应策略和外部安全响应策略。
6.如权利要求5所述的安全威胁编排响应方法,其特征在于,所述根据所述内部响应策略和外部响应策略,触发所述内部情报及所述外部情报在预设响应动作库中的响应动作,得到内部响应日志和外部响应日志,包括:
根据所述内部安全响应策略调用对应的内部安全响应设备;
利用所述内部安全响应设备中的安全组件在所述预设响应动作库中执行所述内部情报的内部响应动作,生成内部响应日志;
根据所述外部安全响应策略调用对应的外部安全响应设备;
利用所述外部安全响应设备中的安全组件在所述预设响应动作库中执行所述外部情报的外部响应动作,生成外部响应日志。
7.如权利要求1至6中任意一项所述的安全威胁编排响应方法,其特征在于,所述合并所述内部响应日志和外部响应日志,得到响应日志之后,还包括:
对所述响应日志进行校验,基于校验结果对所述安全编排进行调整。
8.一种安全威胁编排响应装置,其特征在于,所述装置包括:
情报获取模块,用于获取情报集,从所述情报集中提取威胁情报,对所述威胁情报进行解析和清洗,得到目标情报;
情报划分模块,用于根据利用预先训练完成的情报分类模型对所述目标情报进行分类,得到内部情报及外部情报;
策略匹配模块,用于从预设的响应策略库中匹配所述内部情报及所述外部情报的响应策略,得到内部响应策略和外部响应策略
应急响应模块,用于根据所述内部响应策略和外部响应策略,触发所述内部情报及所述外部情报在预设响应动作库中的响应动作,得到内部响应日志和外部响应日志;
结果输出模块,用于合并所述内部响应日志和外部响应日志,得到响应日志。
9.一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1至7中任一项所述的安全威胁编排响应方法。
10.一种可读存储介质,包括存储数据区和存储程序区,其特征在于,所述存储数据区存储创建的数据,所述存储程序区存储有计算机程序;其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述的安全威胁编排响应方法。
CN202011486910.7A 2020-12-16 2020-12-16 安全威胁编排响应方法、装置、电子设备及可读存储介质 Pending CN112597490A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011486910.7A CN112597490A (zh) 2020-12-16 2020-12-16 安全威胁编排响应方法、装置、电子设备及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011486910.7A CN112597490A (zh) 2020-12-16 2020-12-16 安全威胁编排响应方法、装置、电子设备及可读存储介质

Publications (1)

Publication Number Publication Date
CN112597490A true CN112597490A (zh) 2021-04-02

Family

ID=75196327

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011486910.7A Pending CN112597490A (zh) 2020-12-16 2020-12-16 安全威胁编排响应方法、装置、电子设备及可读存储介质

Country Status (1)

Country Link
CN (1) CN112597490A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113904920A (zh) * 2021-09-14 2022-01-07 上海纽盾科技股份有限公司 基于失陷设备的网络安全防御方法、装置及系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113904920A (zh) * 2021-09-14 2022-01-07 上海纽盾科技股份有限公司 基于失陷设备的网络安全防御方法、装置及系统
CN113904920B (zh) * 2021-09-14 2023-10-03 上海纽盾科技股份有限公司 基于失陷设备的网络安全防御方法、装置及系统

Similar Documents

Publication Publication Date Title
CN111475804A (zh) 一种告警预测方法及系统
US8108931B1 (en) Method and apparatus for identifying invariants to detect software tampering
CN111949708B (zh) 基于时序特征提取的多任务预测方法、装置、设备及介质
WO2020168756A1 (zh) 集群日志特征提取方法、装置、设备及存储介质
CN113792089B (zh) 基于人工智能的非法行为检测方法、装置、设备及介质
CN114238959A (zh) 基于零信任安全系统的用户访问行为评估方法及系统
CN112015663A (zh) 测试数据录制方法、装置、设备及介质
CN112084486A (zh) 用户信息验证方法、装置、电子设备及存储介质
CN111696663A (zh) 疾病风险的分析方法、装置、电子设备及计算机存储介质
CN112948275A (zh) 测试数据生成方法、装置、设备及存储介质
Eldos et al. On the KDD'99 Dataset: Statistical Analysis for Feature Selection
CN114550076A (zh) 区域异常行为监控方法、装置、设备及存储介质
CN112597490A (zh) 安全威胁编排响应方法、装置、电子设备及可读存储介质
CN113282920A (zh) 日志异常检测方法、装置、计算机设备和存储介质
CN111985545A (zh) 基于人工智能的目标数据检测方法、装置、设备及介质
Sudha et al. Analysis and evaluation of integrated cyber crime offences
CN115099339A (zh) 欺诈行为识别方法、装置、电子设备及存储介质
CN111651652B (zh) 基于人工智能的情感倾向识别方法、装置、设备及介质
CN115550077A (zh) 一种实时在线检测危险源数据并触发自动防御方法
CN115766215A (zh) 一种异常流量检测方法及装置
CN114662095A (zh) 基于操作数据的安全监测方法、装置、设备及存储介质
CN114676430A (zh) 恶意软件识别方法、装置、设备及计算机可读存储介质
CN114722146A (zh) 基于人工智能的供应链资产校验方法、装置、设备及介质
CN113657546B (zh) 信息分类方法、装置、电子设备及可读存储介质
CN114282215A (zh) 恶意软件检测方法、装置、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination