CN113489680B - 网络攻击威胁等级评估模型、评估方法、终端及介质 - Google Patents

网络攻击威胁等级评估模型、评估方法、终端及介质 Download PDF

Info

Publication number
CN113489680B
CN113489680B CN202110630162.3A CN202110630162A CN113489680B CN 113489680 B CN113489680 B CN 113489680B CN 202110630162 A CN202110630162 A CN 202110630162A CN 113489680 B CN113489680 B CN 113489680B
Authority
CN
China
Prior art keywords
scoring
threat level
module
security
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110630162.3A
Other languages
English (en)
Other versions
CN113489680A (zh
Inventor
吴基科
侯荣晖
姚佳淼
谭奇烽
严文彬
肖鸣
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Guangfa Bank Co Ltd
Original Assignee
China Guangfa Bank Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Guangfa Bank Co Ltd filed Critical China Guangfa Bank Co Ltd
Priority to CN202110630162.3A priority Critical patent/CN113489680B/zh
Publication of CN113489680A publication Critical patent/CN113489680A/zh
Application granted granted Critical
Publication of CN113489680B publication Critical patent/CN113489680B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种网络攻击威胁等级评估模型、评估方法、终端及介质,该模型包括单一安全设备聚合模块,用于汇聚安全设备的告警类型;单一安全设备评分模块,用于根据告警类型从攻击类型维度进行评分并汇总成评分清单;第一威胁等级评分模块,用于根据评分清单,从设备类型及网络区域维度对第一预设时段中出现的源IP进行第二预设时段内的威胁等级评分。本发明针对不同安全设备实现安全告警的统一化及标准化,通过临近时间和历史时间的威胁等级评估,实现攻击类型评分专业化,并能识别出有威胁的攻击并快速响应,实现历史安全告警自动回忆、记录和威胁积分,减少人工判断的遗漏出错率,提高了网络攻击行为的分析效率,确保了系统安全稳定的运行。

Description

网络攻击威胁等级评估模型、评估方法、终端及介质
技术领域
本发明涉及网络安全分析技术领域,具体涉及一种网络攻击威胁等级评估模型、评估方法、终端及介质。
背景技术
目前,金融业有各种网络安全检测和防护设备,如WEB应用防火墙、入侵检测、DDoS防护、漏洞扫描等,安全运营人员通过人工分析安全设备出现的告警,研判攻击行为并对攻击源进行封禁和阻断。然而,在排除误报的情况下,安全告警中90%以上为攻击特征明显的行为。但现有的安全运营人员通常只是对简单、重复的攻击告警进行分析,没有统一研判标准,分析结果难以保证;其次,现有的分析方法缺乏针对性,对所有的攻击一视同仁,这样以来就会造成对有威胁的攻击不够敏感、而对风险小的攻击却要反复花费大量时间去分析。对于公司来说,这样的分析方法不仅会浪费大量人力成本,同时也会增加误操作风险。
发明内容
本发明的目的在于提供一种网络攻击威胁等级评估模型、评估方法、终端及介质,以解决现有的网络攻击分析方法缺乏针对性、成本高、误操作风险大的技术问题。
为了克服上述现有技术中的缺陷,本发明提供了一种网络攻击威胁等级评估模型,包括:
单一安全设备聚合模块,用于汇聚安全设备的告警类型;
单一安全设备评分模块,用于根据所述告警类型,从攻击类型维度进行评分并汇总成评分清单;
第一威胁等级评分模块,用于根据所述评分清单,从设备类型及网络区域维度对第一预设时段中出现的源IP进行第二预设时段内的威胁等级评分。
进一步地,所述第一预设时段为距离当前评分时间在5分钟以内的时间;所述第二预设时段为距离当前评分时间在24小时以内的时间。
进一步地,所述告警类型包括:WAF安全告警、IDS安全告警、邮件网关安全告警及其他安全告警。
进一步地,所述网络攻击威胁等级评估模型,还包括第二威胁等级评分模块,用于对第一预设时段中出现的源IP进行第三预设时段内的威胁等级评分。
进一步地,所述第三预设时段为距离当前评分时间大于24小时以上的时间。
进一步地,所述网络攻击威胁等级评估模型,还包括总威胁等级评分模块,用于将所述第一威胁等级评分模块、所述第二威胁等级评分模块的评分结果进行汇总,得到单一安全设备的总威胁等级结果。
本发明还提供了一种网络攻击威胁等级评估方法,包括:
利用单一安全设备聚合模块汇聚安全设备的告警类型;
利用单一安全设备评分模块,并根据所述告警类型,从攻击类型维度进行评分并汇总成评分清单;
利用第一威胁等级评分模块,并根据所述评分清单,从设备类型及网络区域维度对第一预设时段中出现的源IP进行第二预设时段内的威胁等级评分。
进一步地,所述网络攻击威胁等级评估方法,还包括:
利用第二威胁等级评分模块,对第一预设时段中出现的源IP进行第三预设时段内的威胁等级评分;
利用总威胁等级评分模块,将所述第一威胁等级评分模块、所述第二威胁等级评分模块的评分结果进行汇总,得到单一安全设备的总威胁等级结果。
本发明还提供了一种终端设备,包括:
一个或多个处理器;
存储器,与所述处理器耦接,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如上任一项所述的网络攻击威胁等级评估方法。
本发明还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行实现如上任一项所述的网络攻击威胁等级评估方法。
相对于现有技术,本发明的有益效果在于:
1)针对不同安全设备的安全告警统一化、标准化,实现了安全告警的融合统一;
2)在安全设备的安全告警统一化后,实现攻击类型评分专业化,识别有威胁的攻击并快速响应;
3)实现了历史安全告警自动回忆、记录和威胁积分,避免人工判断时出现的历史攻击告警忽略;
4)实现了网络安全攻击分析一致性和处理自动化,避免分析标准不统一,自动处理90%以上重复简单的安全告警。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施方式中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明某一实施例提供的网络攻击威胁等级评估模型的结构示意图;
图2是本发明某一实施例提供的网络攻击威胁等级评估方法的工作原理图;
图3是本发明又一实施例提供的网络攻击威胁等级评估模型的结构示意图;
图4是本发明某一实施例提供的网络攻击威胁等级评估方法的流程示意图;
图5是本发明又一实施例提供的网络攻击威胁等级评估方法的流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应当理解,文中所使用的步骤编号仅是为了方便描述,不作为对步骤执行先后顺序的限定。
应当理解,在本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
请参阅图1,本发明某一实施例提供了一种网络攻击威胁等级评估模型,包括:
单一安全设备聚合模块,用于汇聚安全设备的告警类型;
单一安全设备评分模块,用于根据所述告警类型,从攻击类型维度进行评分并汇总成评分清单;
第一威胁等级评分模块,用于根据所述评分清单,从设备类型及网络区域维度对第一预设时段中出现的源IP进行第二预设时段内的威胁等级评分。
需要说明的是,在本实施例中,所述第一预设时段为距离当前评分时间在5分钟以内的时间;所述第二预设时段为距离当前评分时间在24小时以内的时间。
在某一实施例中,所述告警类型包括WAF安全告警、IDS安全告警、邮件网关安全告警及其他安全告警,如图2所示。
在某一实施例中,所述网络攻击威胁等级评估模型,还包括第二威胁等级评分模块,用于对第一预设时段中出现的源IP进行第三预设时段内的威胁等级评分。如图3所示,其中,所述第三预设时段为距离当前评分时间大于24小时以上的时间。
在某一实施例中,所述网络攻击威胁等级评估模型,还包括总威胁等级评分模块,用于将所述第一威胁等级评分模块、所述第二威胁等级评分模块的评分结果进行汇总,得到单一安全设备的总威胁等级结果。
本发明实施例提供的评估模型,能够针对不同安全设备的安全告警统一化、标准化,实现安全告警融合统一;在安全设备的安全告警统一化后,实现攻击类型评分专业化,识别有威胁的攻击并快速响应;同时,本发明实施例实现了历史安全告警自动回忆、记录和威胁积分,避免人工判断时出现的历史攻击告警忽略;并实现网络安全攻击分析一致性和处理自动化,避免分析标准不统一,自动处理90%以上重复简单的安全告警。
在某一实施例中,还提供了一种网络攻击威胁等级评估方法,如图4所示,包括:
S10、利用单一安全设备聚合模块汇聚安全设备的告警类型;
S20、利用单一安全设备评分模块,并根据所述告警类型,从攻击类型维度进行评分并汇总成评分清单;
S30、利用第一威胁等级评分模块,并根据所述评分清单,从设备类型及网络区域维度对第一预设时段中出现的源IP进行第二预设时段内的威胁等级评分。
在本实施例中,结合图2对该网络攻击威胁等级评估方法进行说明,首先单一安全设备聚合模块对安全设备的告警类型进行汇聚,并发送给单一安全设备评分模块,单一安全设备评分模块会根据所述告警类型,从攻击类型维度进行评分并汇总成评分清单,并将清单发送至第一威胁等级评分模块,第一威胁等级评分模块根据所述评分清单,从设备类型及网络区域维度对第一预设时段中出现的源IP进行第二预设时段内的威胁等级评分;其中,所述第一预设时段为距离当前评分时间在5分钟以内的时间;所述第二预设时段为距离当前评分时间在24小时以内的时间。
在某一实施例中,所述网络攻击威胁等级评估方法,还包括步骤S40和S50,如图5所示,具体地:
S40、利用第二威胁等级评分模块,对第一预设时段中出现的源IP进行第三预设时段内的威胁等级评分;
S50、利用总威胁等级评分模块,将所述第一威胁等级评分模块、所述第二威胁等级评分模块的评分结果进行汇总,得到单一安全设备的总威胁等级结果。
需要说明的是,本实施例中执行完步骤S20后,会将评分清单发送给第二威胁等级评分模块,然后第二威胁等级评分模块对第一预设时段中出现的源IP进行第三预设时段内的威胁等级评分,得到告警历史记录,然后将这些结果发送至总威胁等级评分模块,由总威胁等级评分模块对第一威胁等级评分模块、第二威胁等级评分模块的评分结果进行汇总,最终得到单一安全设备的总威胁等级结果。其中,第三预设时段为距离当前评分时间大于24小时以上的时间。告警历史记录包含30天内不存在的同一攻击类型和目标。
此外,还需要指出的是,在本实施例中,当最终的威胁等级评分达到一个预设阀值时,就会自动对该攻击源实施封禁。这样以来就可以对网络攻击行为标准化,把攻击特征明显的行为交给网络安全感知大脑基于威胁评分进行自动分析和研判,提高金融业安全态势防护的效率,降低安全运营人力成本。
本发明实施例提供的评估方法,能够针对不同安全设备的安全告警统一化、标准化,实现安全告警融合统一;在安全设备的安全告警统一化后,实现攻击类型评分专业化,识别有威胁的攻击并快速响应;同时,本发明实施例实现了历史安全告警自动回忆、记录和威胁积分,避免人工判断时出现的历史攻击告警忽略;并实现网络安全攻击分析一致性和处理自动化,避免分析标准不统一,自动处理90%以上重复简单的安全告警。
在某一实施例中,还提供了一种终端设备,包括:
一个或多个处理器;
存储器,与所述处理器耦接,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如上所述的网络攻击威胁等级评估方法。
处理器用于控制该终端设备的整体操作,以完成上述的网络攻击威胁等级评估方法的全部或部分步骤。存储器用于存储各种类型的数据以支持在该终端设备的操作,这些数据例如可以包括用于在该终端设备上操作的任何应用程序或方法的指令,以及应用程序相关的数据。该存储器可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,例如静态随机存取存储器(Static Random Access Memory,简称SRAM),电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,简称EEPROM),可擦除可编程只读存储器(Erasable Programmable Read-Only Memory,简称EPROM),可编程只读存储器(Programmable Read-Only Memory,简称PROM),只读存储器(Read-OnlyMemory,简称ROM),磁存储器,快闪存储器,磁盘或光盘。
终端设备可以被一个或多个应用专用集成电路(ApplicationSpecific1ntegrated Circuit,简称AS1C)、数字信号处理器(Digital Signal Processor,简称DSP)、数字信号处理设备(Digital Signal Processing Device,简称DSPD)、可编程逻辑器件(Programmable Logic Device,简称PLD)、现场可编程门阵列(Field ProgrammableGate Array,简称FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行如上述任一项实施例所述的网络攻击威胁等级评估方法,并达到如上述方法一致的技术效果。
在某一实施例中,还提供了一种包括程序指令的计算机可读存储介质,该程序指令被处理器执行时实现如上述任一项实施例所述的网络攻击威胁等级评估方法的步骤。例如,该计算机可读存储介质可以为上述包括程序指令的存储器,上述程序指令可由终端设备的处理器执行以完成如上述任一项实施例所述的网络攻击威胁等级评估方法,并达到如上述方法一致的技术效果。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围。

Claims (5)

1.一种网络攻击威胁等级评估模型,其特征在于,包括:
单一安全设备聚合模块,用于汇聚安全设备的告警类型;
单一安全设备评分模块,用于根据所述告警类型,从攻击类型维度进行评分并汇总成评分清单;
第一威胁等级评分模块,用于根据所述评分清单,从设备类型及网络区域维度对第一预设时段中出现的源IP进行第二预设时段内的威胁等级评分,所述第一预设时段为距离当前评分时间在5分钟以内的时间;所述第二预设时段为距离当前评分时间在24小时以内的时间;
第二威胁等级评分模块,用于对第一预设时段中出现的源IP进行第三预设时段内的威胁等级评分,所述第三预设时段为距离当前评分时间大于24小时以上的时间;
总威胁等级评分模块,用于将所述第一威胁等级评分模块、所述第二威胁等级评分模块的评分结果进行汇总,得到单一安全设备的总威胁等级结果。
2.根据权利要求1所述的网络攻击威胁等级评估模型,其特征在于,所述告警类型包括:WAF安全告警、IDS安全告警、邮件网关安全告警及其他安全告警。
3.一种网络攻击威胁等级评估方法,其特征在于,包括:
利用单一安全设备聚合模块汇聚安全设备的告警类型;
利用单一安全设备评分模块,并根据所述告警类型,从攻击类型维度进行评分并汇总成评分清单;
利用第一威胁等级评分模块,并根据所述评分清单,从设备类型及网络区域维度对第一预设时段中出现的源IP进行第二预设时段内的威胁等级评分;
还包括:
利用第二威胁等级评分模块,对第一预设时段中出现的源IP进行第三预设时段内的威胁等级评分;
利用总威胁等级评分模块,将所述第一威胁等级评分模块、所述第二威胁等级评分模块的评分结果进行汇总,得到单一安全设备的总威胁等级结果。
4.一种终端设备,其特征在于,包括:
一个或多个处理器;
存储器,与所述处理器耦接,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求3所述的网络攻击威胁等级评估方法。
5.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行实现如权利要求3所述的网络攻击威胁等级评估方法。
CN202110630162.3A 2021-06-07 2021-06-07 网络攻击威胁等级评估模型、评估方法、终端及介质 Active CN113489680B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110630162.3A CN113489680B (zh) 2021-06-07 2021-06-07 网络攻击威胁等级评估模型、评估方法、终端及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110630162.3A CN113489680B (zh) 2021-06-07 2021-06-07 网络攻击威胁等级评估模型、评估方法、终端及介质

Publications (2)

Publication Number Publication Date
CN113489680A CN113489680A (zh) 2021-10-08
CN113489680B true CN113489680B (zh) 2023-10-24

Family

ID=77934311

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110630162.3A Active CN113489680B (zh) 2021-06-07 2021-06-07 网络攻击威胁等级评估模型、评估方法、终端及介质

Country Status (1)

Country Link
CN (1) CN113489680B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115189912B (zh) * 2022-06-07 2024-01-12 广西双正工程监理服务有限公司 多重警报信息系统安全管理系统
CN117527399B (zh) * 2023-11-28 2024-05-17 广州视声智能股份有限公司 用于智能家居的信息安全加密方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105681274A (zh) * 2015-12-18 2016-06-15 北京神州绿盟信息安全科技股份有限公司 一种原始告警信息处理的方法及装置
CN107204876A (zh) * 2017-05-22 2017-09-26 成都网络空间安全技术有限公司 一种网络安全风险评估方法
CN111565184A (zh) * 2020-04-29 2020-08-21 杭州安恒信息技术股份有限公司 一种网络安全评估装置、方法、设备及介质
CN112751883A (zh) * 2021-01-19 2021-05-04 光通天下网络科技股份有限公司 Ip威胁分值判定方法、装置、设备及介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105681274A (zh) * 2015-12-18 2016-06-15 北京神州绿盟信息安全科技股份有限公司 一种原始告警信息处理的方法及装置
CN107204876A (zh) * 2017-05-22 2017-09-26 成都网络空间安全技术有限公司 一种网络安全风险评估方法
CN111565184A (zh) * 2020-04-29 2020-08-21 杭州安恒信息技术股份有限公司 一种网络安全评估装置、方法、设备及介质
CN112751883A (zh) * 2021-01-19 2021-05-04 光通天下网络科技股份有限公司 Ip威胁分值判定方法、装置、设备及介质

Also Published As

Publication number Publication date
CN113489680A (zh) 2021-10-08

Similar Documents

Publication Publication Date Title
CN113489680B (zh) 网络攻击威胁等级评估模型、评估方法、终端及介质
CN110472414B (zh) 系统漏洞的检测方法、装置、终端设备及介质
US20160352771A1 (en) Automated penetration testing device, method and system
CN110708315A (zh) 资产漏洞的识别方法、装置和系统
CN112351035B (zh) 一种工控安全态势感知方法、装置及介质
CN114143064B (zh) 一种多源网络安全告警事件溯源与自动处置方法及装置
CN112000719A (zh) 数据安全态势感知系统、方法、设备及存储介质
CN108537043B (zh) 移动终端的风险控制方法及系统
CN116614287A (zh) 一种网络安全事件评估处理方法、装置、设备及介质
CN114050937B (zh) 邮箱服务不可用的处理方法、装置、电子设备及存储介质
CN113468530A (zh) 基于云计算的风险管理安全实时监控方法
CN114598506B (zh) 工控网络安全风险溯源方法、装置、电子设备及存储介质
CN117294517A (zh) 解决异常流量的网络安全保护方法及系统
CN117201273A (zh) 安全告警自动化分析降噪方法、装置及服务器
CN117061368A (zh) 绕行堡垒机行为的自动识别方法、装置、设备与介质
CN106899977B (zh) 异常流量检验方法和装置
CN113452707B (zh) Scanner网络扫描攻击行为检测方法、介质及终端
CN115834345A (zh) 一种告警数据的处理方法、装置、设备及介质
CN113986843A (zh) 数据风险预警处理方法、装置及电子设备
CN113704749B (zh) 一种恶意挖矿检测处理方法和装置
CN114629723A (zh) 一种攻击检测方法、装置及相关设备
CN114629696A (zh) 一种安全检测方法、装置、电子设备及存储介质
CN114584391A (zh) 异常流量处理策略的生成方法、装置、设备及存储介质
CN109257389B (zh) 一种攻击处理方法、装置及电子设备
CN113127856A (zh) 网络安全运维管理方法、装置、计算设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant