CN113542200B - 风险控制方法、装置和存储介质 - Google Patents

风险控制方法、装置和存储介质 Download PDF

Info

Publication number
CN113542200B
CN113542200B CN202010309591.6A CN202010309591A CN113542200B CN 113542200 B CN113542200 B CN 113542200B CN 202010309591 A CN202010309591 A CN 202010309591A CN 113542200 B CN113542200 B CN 113542200B
Authority
CN
China
Prior art keywords
risk
attack
attacker
risk value
determining
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010309591.6A
Other languages
English (en)
Other versions
CN113542200A (zh
Inventor
马浩翔
陆晨晖
秦博
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN202010309591.6A priority Critical patent/CN113542200B/zh
Publication of CN113542200A publication Critical patent/CN113542200A/zh
Application granted granted Critical
Publication of CN113542200B publication Critical patent/CN113542200B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Alarm Systems (AREA)

Abstract

本公开提出一种风险控制方法、装置和存储介质,涉及网络与信息安全技术领域。本公开的一种风险控制方法包括:获取告警日志信息;根据告警日志信息,基于多个预定特征类型分别确定每个攻击者的单特征风险值;根据多个单特征风险值,确定攻击者的综合风险值;根据综合风险值对攻击者排序,以便按照综合风险值从高到低的顺序处理进行安全防控。通过这样的方法,能够基于告警日志,从多个维度对攻击者进行风险估计,进而综合各个维度的风险估计结果得到综合评价,从而便于对于攻击者进行排序,使得高风险日志能够优先得到处理,提高运维响应的效率和准确度。

Description

风险控制方法、装置和存储介质
技术领域
本公开涉及网络与信息安全技术领域,特别是一种风险控制方法、装置和存储介质。
背景技术
现有网络入侵检测/防护系统的告警日志每天数量众多,如果由运维人员逐条检查每一条告警日志,则工作量巨大;且逐条处理告警信息时,先后顺序的不合理会增加安全隐患。
相关技术中,告警日志可以提供日志风险等级,运维人员优先处理高危以及以上的威胁。然而,当前的日志风险等级均只基于单一攻击类型,在日志基数大的情况下,高危及以上告警类型比例很容易过高,逐个处理依旧需要很长的时间,难以做到精准防护。
发明内容
本公开的一个目的在于提高风险处理的精准度,降低安全隐患。
根据本公开的一些实施例的一个方面,提出一种风险控制方法,包括:获取告警日志信息;根据告警日志信息,基于多个预定特征类型分别确定每个攻击者的单特征风险值;根据多个单特征风险值,确定攻击者的综合风险值;根据综合风险值对攻击者排序,以便按照综合风险值从高到低的顺序处理进行安全防控。
在一些实施例中,风险控制方法还包括:采集网络流量数据;根据流量行为特征生成告警日志信息,告警日志信息包括攻击源地址、攻击目的地址、告警类型或攻击次数中的一项或多项。
在一些实施例中,预定特征类型包括:不同告警类型风险、专注靶向攻击风险、跨天持续攻击风险和攻击者时间间隔分散度;单特征风险值包括基于不同告警类型风险的风险值、基于专注靶向攻击风险的风险值、基于跨天持续攻击风险的风险值和基于攻击者时间间隔分散度的风险值。
在一些实施例中,获取告警日志信息包括:获取指定时间窗口内的告警日志信息,其中,指定时间窗口随着时间迁移更新。
在一些实施例中,指定窗口以最新的告警日志信息的时刻为截止时刻,窗口宽度为预定时间长度。
在一些实施例中,确定基于不同告警类型风险的风险值包括:根据攻击者采用热门告警类型的攻击次数确定攻击者的基于不同告警类型风险的风险值。
在一些实施例中,确定基于专注靶向攻击风险的风险值包括:根据攻击者攻击目标的集中度和攻击目标的预定重要度确定基于专注靶向攻击风险的风险值。
在一些实施例中,确定基于跨天持续攻击风险的风险值包括:根据攻击者的攻击行为是否跨天、在不同天的攻击行为确定基于跨天持续攻击风险的风险值。
在一些实施例中,确定基于攻击者时间间隔分散度的风险值包括:根据攻击者攻击行为的频率和时间规律确定跨天持续攻击风险的风险值。
在一些实施例中,确定攻击者的综合风险值包括:根据z-score标准化与sigmoid函数对每个单特征风险值做标准化转换,确定综合风险值。
通过这样的方法,能够基于告警日志,从多个维度对攻击者进行风险估计,进而综合各个维度的风险估计结果得到综合评分,从而便于对于攻击者进行排序,使得高风险日志能够优先得到处理,提高运维响应的效率和准确度。
根据本公开的一些实施例的一个方面,提出一种风险控制装置,包括:日志信息获取单元,被配置为获取告警日志信息;单特征风险确定单元,被配置为根据告警日志信息,基于多个预定特征类型分别确定每个攻击者的单特征风险值;综合风险确定单元,被配置为根据多个单特征风险值,确定攻击者的综合风险值;排序单元,被配置为根据综合风险值对攻击者排序,以便按照综合风险值从高到低的顺序处理进行安全防控。
在一些实施例中,风险控制装置还包括:数据采集单元,被配置为采集网络流量数据;日志生成单元,被配置为根据流量行为特征生成告警日志信息,告警日志信息包括攻击源地址、攻击目的地址、告警类型或攻击次数中的一项或多项。
根据本公开的一些实施例的一个方面,提出一种风险控制装置,包括:存储器;以及耦接至存储器的处理器,处理器被配置为基于存储在存储器的指令执行上文中任意一种风险控制方法。
这样的风险控制装置能够基于告警日志,从多个维度对攻击者进行风险估计,进而综合各个维度的风险估计结果得到综合评分,从而便于对于攻击者进行排序,使得高风险日志能够优先得到处理,提高运维响应的效率和准确度。
根据本公开的一些实施例的一个方面,提出一种计算机可读存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现上文中任意一种风险控制方法的步骤。
通过执行这样的计算机可读存储介质上的指令,能够基于告警日志,从多个维度对攻击者进行风险估计,进而综合各个维度的风险估计结果得到综合评价,从而便于对于攻击者进行排序,使得高风险日志能够优先得到处理,提高运维响应的效率和准确度。
附图说明
此处所说明的附图用来提供对本公开的进一步理解,构成本公开的一部分,本公开的示意性实施例及其说明用于解释本公开,并不构成对本公开的不当限定。在附图中:
图1为本公开的风险控制方法的一些实施例的流程图。
图2为本公开的风险控制方法的另一些实施例的流程图。
图3为本公开的风险控制方法的又一些实施例的流程图。
图4为本公开的风险控制装置的一些实施例的示意图。
图5为本公开的风险控制装置的另一些实施例的示意图。
图6为本公开的风险控制装置的又一些实施例的示意图。
具体实施方式
下面通过附图和实施例,对本公开的技术方案做进一步的详细描述。
发明人发现,相关的对于告警日志排序的方案中,在现有网络入侵检测以及防护系统基数众多的告警日志下,高危及以上告警类型比例过高,无法做到对高危及以上威胁逐个处理;另一方面,仅仅从告警类型的角度判定威胁程度无法准确地抓取真正危险的攻击者,从而无法做到精准的防护。
本公开的风险控制方法的一些实施例的流程图如图1所示。
在步骤101中,获取告警日志信息。在一些实施例中,获取的告警日志信息可以是指定时间窗口内的,例如最近一周内的告警日志。在一些实施例中,指定时间窗口可以随着时间迁移更新,例如每天或每周做一次而迁移,指定窗口以最新的告警日志信息的时刻为截止时刻,窗口宽度(如一周)为预定时间长度。
在一些实施例中,可以在日常运行过程中采集网络流量数据,并根据流量行为特征生成告警日志信息,告警日志信息包括攻击源地址、攻击目的地址、告警类型或攻击次数中的一项或多项,从而生成较为完备的告警日志信息,作为提取分析的数据基础。
在步骤102中,根据告警日志信息,基于多个预定特征类型分别确定每个攻击者的单特征风险值。单特征风险值的数量与预定特征分类的数量相匹配。
在步骤103中,根据多个单特征风险值,确定攻击者的综合风险值。在一些实施例中,可以对每个单特征风险值归一化后做加权平均计算,得到综合风险值。
在步骤104中,根据综合风险值对攻击者排序,以便按照综合风险值从高到低的顺序处理进行安全防控。
通过这样的方法,能够基于告警日志,从多个维度对攻击者进行风险估计,进而综合各个维度的风险估计结果得到综合评价,从而便于对于攻击者进行排序,使得高风险日志能够优先得到处理,提高运维响应的效率和准确度。
在一些实施例中,预定特征类型可以包括:不同告警类型风险、专注靶向攻击风险、跨天持续攻击风险和攻击者时间间隔分散度,则对应的单特征风险值分别为:基于不同告警类型风险的风险值、基于专注靶向攻击风险的风险值、基于跨天持续攻击风险的风险值和基于攻击者时间间隔分散度的风险值。通过这样的方法,能够从类型、专注度、持续度以及分散度各个角度进行分析,得到较为全面的分析结果,从而提高综合风险值的准确度。
本公开的风险控制方法的另一些实施例的流程图如图2所示。
在步骤201中,根据日常采集的网络流量数据生成初始告警日志。初始告警日志信息可以包括攻击源地址、攻击目的地址、告警类型或攻击次数中的一项或多项,从而生成较为完备的告警日志信息,作为提取分析的数据基础。
在步骤202中,确定当前要进行分析的时间窗口,如以当前为截止的之前的7*24小时。
在步骤203中,从初始告警日志信息中提取时间窗口内的数据。在一些实施例中,可以将窗口内属于相同攻击(攻击源地址相同)的告警日志构成一个数据簇Datai,其中,i为数据簇标识,也为攻击者IP地址标识。每个数据簇中包括多个Datai (j),j为告警类型标识。
在步骤204中,计算基于不同告警类型风险的风险值。在一些实施例中,可以检测每个攻击者是否采用了热门告警类型的次数超过预定次数。在一些实施例中,热门告警类型可以根据告警日志中各个告警类型发生的次数确定;在另一些实施例中,可以为预先设定,并随着时间的推移根据告警日志更新热门告警次数。
根据Datai (j)中,攻击者i采用的热门的告警类型的次数确定基于不同告警类型风险的风险值Zi,1 (j),发生的次数越多则风险值越大;在一些实施例中,还可以对热门程度分等级,进而不同等级热门程度的告警类型对风险值增加的量不同。在一些实施例中,可以采用次数*告警类型对应的风险值增加量的方式计算基于不同告警类型风险的风险值Zi,1 (j)
在步骤205中,计算基于专注靶向攻击风险的风险值Zi,2 (j)。在一些实施例中,可以根据Datai (j)确定攻击者的目标是否集中在一个或几个目标地址、目标类型。攻击者的目标集中度越高、目标的重要性越高则风险值越大。
在步骤206中,计算基于跨天持续攻击风险的风险值Zi,3 (j)。在一些实施例中,可以先筛选出跨天的攻击,进而对发生一段时间的事件做指数衰减,累计跨天攻击每次发生时的权重,得到基于跨天持续攻击风险的风险值Zi,3 (j)
在步骤207中,计算基于攻击者时间间隔分散度的风险值Zi,4 (j)。在一些实施例中,可以检测攻击的频率是否高于预定频率,以及分析攻击时间上的规律性。频率高、且规律性攻击的风险值高。
在步骤208中,将得到的不同特征维度下的风险值分别配合对应特征维度的权重ω1、ω2、ω3和ω4,得到簇Datai (j)的风险值Zi (j)。在一些实施例中,可以先对不同的单特征风险值进行标准化后,再进行簇风险值的计算操作。
在步骤209中,将不同告警类型对应的Zi (j)进行汇总计算,得到相同攻击IP数据簇Datai对应的综合风险值Zi。在一些实施例中,可以根据如下公式:
Figure BDA0002457137970000061
确定综合风险值Zi,其中,Ci代表在窗口内攻击者i所使用过的IOC(Indicators ofCompromise,威胁指示器)种类数。
在一些实施例中,可以修改窗口,继而执行步骤202。
在步骤210中,基于风险值Zi对告警日志中的攻击者对应的告警数据进行排序呈现,例如从高到低显示,从而便于运维人员优先处理综合风险值高的攻击。
通过这样的方法,能够对大量数据进行分类、分簇处理,在逐步得到每类告警类型在每个特征维度下的风险值后,进一步汇总得到每个攻击者的每个告警类型对应的综合风险值,更进一步得到每个攻击者的综合风险值,提高了风险分析的严密性、准确度和运算效率。
本公开的风险控制方法中,在得到每个特征维度的初始单特征风险值Zi,1、Zi,2、Zi,3和Zi,4后的一些实施例的流程图如图3所示。
在步骤301中,对
Figure BDA0002457137970000071
和/>
Figure BDA0002457137970000072
分别进行标准化处理,其中,j为告警类型标识,在告警类型有多种的情况下,生成的初始单特征风险值Zi,1、Zi,2、Zi,3和Zi,4为针对每个告警类型的初始单特征风险值/>
Figure BDA0002457137970000073
和/>
Figure BDA0002457137970000074
在标准化处理后,得到单特征风险值σ(Zi,1 (j))、σ(Zi,2 (j))、σ(Zi.3 (j))和σ(Zi,4 (j))。在一些实施例中,可以结合z-score标准化与sigmoid函数对特征发散的评分做标准化转换,如图3的步骤301中公式所示,其中,/>
Figure BDA0002457137970000075
为所有Datai (j)的风险值的均值,SD(Zd)为所有Datai (j)的风险值的标准差。
在步骤302中,根据单特征风险值σ(Zi,1 (j))、σ(Zi,2 (j))、σ(Zi,3 (j))和σ(Zi,4 (j))计算每种告警类型的综合特征风险值Zi (j)。在一些实施例中,可以根据图3步骤302中的公式计算,其中,
Figure BDA0002457137970000076
d取值1、2、3和4,ω1、ω2、ω3和ω4分别为σ(Zi,1 (j))、σ(Zi,2 (j))、σ(Zi,3 (j))和σ(Zi,4 (j))的权重。
在步骤303中,根据每种告警类型的综合特征风险值Zi (j)确定综合风险值Zi。在一些实施例中,计算公式可以如图步骤303中所示。
在步骤304中,基于风险值Zi对告警日志中的攻击者对应的告警数据进行排序呈现,例如从高到低显示,从而便于运维人员优先处理综合风险值高的攻击。
通过这样的方法,能够对数量巨大的,如每日数万数量级的告警日志按照指定时间的动态窗口执行风险评估排序,从而将告警日志归纳为运维人员可响应的数量级,降低了安全运维需要处理的告警日志数量,提升运维响应的效率;同时能够更加客观的确定攻击的威胁性,便于优先处理威胁大的攻击,提高了安全性。
本公开的风险控制装置的一些实施例的流程图如图4所示。
日志信息获取单元401能够获取告警日志信息。在一些实施例中,获取的告警日志信息可以是指定时间窗口内的,例如最近一周内的告警日志。在一些实施例中,指定时间窗口可以随着时间迁移更新,例如每天或每周做一次而迁移,指定窗口以最新的告警日志信息的时刻为截止时刻,窗口宽度(如一周)为预定时间长度。
单特征风险确定单元402能够根据告警日志信息,基于多个预定特征类型分别确定每个攻击者的单特征风险值。单特征风险值的数量与预定特征分类的数量相匹配。
综合风险确定单元403能够根据多个单特征风险值,确定攻击者的综合风险值。在一些实施例中,可以对每个单特征风险值归一化后做加权平均计算,得到综合风险值。
排序单元404能够根据综合风险值对攻击者排序,以便按照综合风险值从高到低的顺序处理进行安全防控。
这样的装置能够基于告警日志,从多个维度对攻击者进行风险估计,进而综合各个维度的风险估计结果得到综合评价,从而便于对于攻击者进行排序,使得高风险日志能够优先得到处理,提高运维响应的效率和准确度。
在一些实施例中,如图4所示,风险控制装置还可以包括数据采集单元405和日志生成单元406。数据采集单元405能够在日常运行过程中采集网络流量数据,日志生成单元406能够根据流量行为特征生成告警日志信息,告警日志信息包括攻击源地址、攻击目的地址、告警类型或攻击次数中的一项或多项,从而生成较为完备的告警日志信息,作为提取分析的数据基础。
在一些实施例中,单特征风险确定单元402可以先确定每类告警类型在每个特征维度下的风险值,综合风险确定单元403可以根据单特征风险确定单元402的输出结果汇总得到每个攻击者的每个告警类型对应的综合风险值,更进一步得到每个攻击者的综合风险值,从而提高了风险分析的严密性、准确度和运算效率。
本公开风险控制装置的一个实施例的结构示意图如图5所示。风险控制装置包括存储器501和处理器502。其中:存储器501可以是磁盘、闪存或其它任何非易失性存储介质。存储器用于存储上文中风险控制方法的对应实施例中的指令。处理器502耦接至存储器501,可以作为一个或多个集成电路来实施,例如微处理器或微控制器。该处理器502用于执行存储器中存储的指令,能够使得高风险日志能够优先得到处理,提高运维响应的效率和准确度。
在一个实施例中,还可以如图6所示,风险控制装置600包括存储器601和处理器602。处理器602通过BUS总线603耦合至存储器601。该风险控制装置600还可以通过存储接口604连接至外部存储装置605以便调用外部数据,还可以通过网络接口606连接至网络或者另外一台计算机系统(未标出)。此处不再进行详细介绍。
在该实施例中,通过存储器存储数据指令,再通过处理器处理上述指令,能够使得高风险日志能够优先得到处理,提高运维响应的效率和准确度。
在另一个实施例中,一种计算机可读存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现风险控制方法对应实施例中的方法的步骤。本领域内的技术人员应明白,本公开的实施例可提供为方法、装置、或计算机程序产品。因此,本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本公开是参照根据本公开实施例的方法、设备(系统)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
至此,已经详细描述了本公开。为了避免遮蔽本公开的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
可能以许多方式来实现本公开的方法以及装置。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本公开的方法以及装置。用于所述方法的步骤的上述顺序仅是为了进行说明,本公开的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本公开实施为记录在记录介质中的程序,这些程序包括用于实现根据本公开的方法的机器可读指令。因而,本公开还覆盖存储用于执行根据本公开的方法的程序的记录介质。
最后应当说明的是:以上实施例仅用以说明本公开的技术方案而非对其限制;尽管参照较佳实施例对本公开进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本公开的具体实施方式进行修改或者对部分技术特征进行等同替换;而不脱离本公开技术方案的精神,其均应涵盖在本公开请求保护的技术方案范围当中。

Claims (10)

1.一种风险控制方法,包括:
获取告警日志信息;
根据所述告警日志信息,基于多个预定特征类型分别确定每个攻击者的单特征风险值,包括:
基于不同告警类型风险确定每个攻击者的基于不同告警类型风险的风险值;基于专注靶向攻击风险确定每个攻击者的基于专注靶向攻击风险的风险值;基于跨天持续攻击风险确定每个攻击者的基于跨天持续攻击风险的风险值;和基于攻击者时间间隔分散度确定每个攻击者的基于攻击者时间间隔分散度的风险值,
其中,所述多个预定特征类型包括不同告警类型风险、专注靶向攻击风险、跨天持续攻击风险和攻击者时间间隔分散度;
根据多个所述单特征风险值,确定攻击者的综合风险值;
根据所述综合风险值对攻击者排序,以便按照所述综合风险值从高到低的顺序处理进行安全防控,
其中,所述方法符合以下至少一项:
确定基于专注靶向攻击风险的风险值包括:根据攻击者攻击目标的集中度和攻击目标的预定重要度确定所述基于专注靶向攻击风险的风险值;
确定基于跨天持续攻击风险的风险值包括:根据攻击者的攻击行为是否跨天、在不同天的攻击行为确定所述基于跨天持续攻击风险的风险值。
2.根据权利要求1所述的方法,还包括:
采集网络流量数据;
根据流量行为特征生成告警日志信息,所述告警日志信息包括攻击源地址、攻击目的地址、告警类型或攻击次数中的一项或多项。
3.根据权利要求1所述的方法,其中,
所述获取告警日志信息包括:获取指定时间窗口内的告警日志信息,其中,所述指定时间窗口随着时间迁移更新。
4.根据权利要求3所述的方法,其中,所述指定时间窗口以最新的告警日志信息的时刻为截止时刻,窗口宽度为预定时间长度。
5.根据权利要求1所述的方法,其中,还符合以下至少一项:
确定基于不同告警类型风险的风险值包括:根据攻击者采用热门告警类型的攻击次数确定攻击者的基于不同告警类型风险的风险值;
确定基于攻击者时间间隔分散度的风险值包括:根据所述攻击者攻击行为的频率和时间规律确定所述基于攻击者时间间隔分散度的风险值。
6.根据权利要求1~5任意一项所述的方法,其中,所述确定攻击者的综合风险值包括:
根据z-score标准化与sigmoid函数对每个所述单特征风险值做标准化转换,确定所述综合风险值。
7.一种风险控制装置,包括:
日志信息获取单元,被配置为获取告警日志信息;
单特征风险确定单元,被配置为根据所述告警日志信息,基于多个预定特征类型分别确定每个攻击者的单特征风险值,包括:
基于不同告警类型风险确定每个攻击者的基于不同告警类型风险的风险值;基于专注靶向攻击风险确定每个攻击者的基于专注靶向攻击风险的风险值;基于跨天持续攻击风险确定每个攻击者的基于跨天持续攻击风险的风险值;和基于攻击者时间间隔分散度确定每个攻击者的基于攻击者时间间隔分散度的风险值,
其中,所述多个预定特征类型包括不同告警类型风险、专注靶向攻击风险、跨天持续攻击风险和攻击者时间间隔分散度;
综合风险确定单元,被配置为根据多个所述单特征风险值,确定攻击者的综合风险值;
排序单元,被配置为根据所述综合风险值对攻击者排序,以便按照所述综合风险值从高到低的顺序处理进行安全防控,
其中,所述单特征风险确定单元被配置为执行以下至少一项:
根据攻击者攻击目标的集中度和攻击目标的预定重要度确定所述基于专注靶向攻击风险的风险值;
根据攻击者的攻击行为是否跨天、在不同天的攻击行为确定所述基于跨天持续攻击风险的风险值。
8.根据权利要求7所述的装置,还包括:
数据采集单元,被配置为采集网络流量数据;
日志生成单元,被配置为根据流量行为特征生成告警日志信息,所述告警日志信息包括攻击源地址、攻击目的地址、告警类型或攻击次数中的一项或多项。
9.一种风险控制装置,包括:
存储器;以及耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器的指令执行如权利要求1至6任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现权利要求1至6任意一项所述的方法的步骤。
CN202010309591.6A 2020-04-20 2020-04-20 风险控制方法、装置和存储介质 Active CN113542200B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010309591.6A CN113542200B (zh) 2020-04-20 2020-04-20 风险控制方法、装置和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010309591.6A CN113542200B (zh) 2020-04-20 2020-04-20 风险控制方法、装置和存储介质

Publications (2)

Publication Number Publication Date
CN113542200A CN113542200A (zh) 2021-10-22
CN113542200B true CN113542200B (zh) 2023-03-24

Family

ID=78093600

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010309591.6A Active CN113542200B (zh) 2020-04-20 2020-04-20 风险控制方法、装置和存储介质

Country Status (1)

Country Link
CN (1) CN113542200B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113986843A (zh) * 2021-11-02 2022-01-28 青岛海尔工业智能研究院有限公司 数据风险预警处理方法、装置及电子设备

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108229176A (zh) * 2017-12-29 2018-06-29 北京神州绿盟信息安全科技股份有限公司 一种确定Web应用防护效果的方法及装置
US10122748B1 (en) * 2015-08-21 2018-11-06 InsCyt, LLC Network protection system and threat correlation engine
CN109257329A (zh) * 2017-07-13 2019-01-22 国网浙江省电力公司电力科学研究院 一种基于海量Web日志的网站风险指数计算系统及方法
CN109831465A (zh) * 2019-04-12 2019-05-31 重庆天蓬网络有限公司 一种基于大数据日志分析的网站入侵检测方法
CN110535702A (zh) * 2019-08-30 2019-12-03 北京神州绿盟信息安全科技股份有限公司 一种告警信息处理方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050240781A1 (en) * 2004-04-22 2005-10-27 Gassoway Paul A Prioritizing intrusion detection logs

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10122748B1 (en) * 2015-08-21 2018-11-06 InsCyt, LLC Network protection system and threat correlation engine
CN109257329A (zh) * 2017-07-13 2019-01-22 国网浙江省电力公司电力科学研究院 一种基于海量Web日志的网站风险指数计算系统及方法
CN108229176A (zh) * 2017-12-29 2018-06-29 北京神州绿盟信息安全科技股份有限公司 一种确定Web应用防护效果的方法及装置
CN109831465A (zh) * 2019-04-12 2019-05-31 重庆天蓬网络有限公司 一种基于大数据日志分析的网站入侵检测方法
CN110535702A (zh) * 2019-08-30 2019-12-03 北京神州绿盟信息安全科技股份有限公司 一种告警信息处理方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
一种安全监控事件风险评级度量模型;吴江等;《信息安全与通信保密》;20091210(第12期);全文 *

Also Published As

Publication number Publication date
CN113542200A (zh) 2021-10-22

Similar Documents

Publication Publication Date Title
CN110380896B (zh) 基于攻击图的网络安全态势感知系统和方法
CN110535702B (zh) 一种告警信息处理方法及装置
CN106657057B (zh) 反爬虫系统及方法
CN109063969B (zh) 一种账户风险评估的方法及装置
CN107231382B (zh) 一种网络威胁态势评估方法及设备
CN110493179B (zh) 基于时间序列的网络安全态势感知系统和方法
CN112819336B (zh) 一种基于电力监控系统网络威胁的量化方法及系统
CN109088869B (zh) Apt攻击检测方法及装置
CN112114995A (zh) 基于进程的终端异常分析方法、装置、设备及存储介质
CN110598180B (zh) 一种基于统计分析的事件检测方法、装置及系统
CN113098828B (zh) 网络安全报警方法及装置
CN117081858B (zh) 一种基于多决策树入侵行为检测方法、系统、设备及介质
CN109726737B (zh) 基于轨迹的异常行为检测方法及装置
US20170339171A1 (en) Malware infected terminal detecting apparatus, malware infected terminal detecting method, and malware infected terminal detecting program
CN112671767A (zh) 一种基于告警数据分析的安全事件预警方法及装置
CN106301979B (zh) 检测异常渠道的方法和系统
CN113542200B (zh) 风险控制方法、装置和存储介质
CN110598959A (zh) 一种资产风险评估方法、装置、电子设备及存储介质
CN111835781B (zh) 一种基于失陷主机发现同源攻击的主机的方法及系统
CN110991241B (zh) 异常识别方法、设备及计算机可读介质
CN115484112B (zh) 支付大数据安全防护方法、系统及云平台
CN116846612A (zh) 攻击链补全方法、装置、电子设备及存储介质
CN109409091B (zh) 检测Web页面的方法、装置、设备以及计算机存储介质
CN107085544B (zh) 一种系统错误定位方法及装置
Malviya et al. An Efficient Network Intrusion Detection Based on Decision Tree Classifier & Simple K-Mean Clustering using Dimensionality Reduction-A Review

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant