CN113691524A - 一种告警信息处理方法、系统、电子设备及存储介质 - Google Patents

一种告警信息处理方法、系统、电子设备及存储介质 Download PDF

Info

Publication number
CN113691524A
CN113691524A CN202110967114.3A CN202110967114A CN113691524A CN 113691524 A CN113691524 A CN 113691524A CN 202110967114 A CN202110967114 A CN 202110967114A CN 113691524 A CN113691524 A CN 113691524A
Authority
CN
China
Prior art keywords
entity
threat
alarm information
index
alarm
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN202110967114.3A
Other languages
English (en)
Inventor
王雪薇
范渊
刘博�
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DBAPPSecurity Co Ltd
Original Assignee
DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DBAPPSecurity Co Ltd filed Critical DBAPPSecurity Co Ltd
Priority to CN202110967114.3A priority Critical patent/CN113691524A/zh
Publication of CN113691524A publication Critical patent/CN113691524A/zh
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Alarm Systems (AREA)

Abstract

本申请公开了一种告警信息处理方法,所述告警信息处理方法包括:识别威胁指标实体,确定所述威胁指标实体对应的告警信息;判断所述威胁指标实体是否在威胁情报平台的威胁情报库中;若是,则将所述威胁指标实体对应的告警信息发送至已关联的安全设备,以便所述安全设备对所述威胁指标实体对应的告警信息进行处理。本申请能够将威胁指标实体的识别与处置有效联动,提高告警信息的处理效率。本申请还公开了一种告警信息处理系统、一种电子设备及一种存储介质,具有以上有益效果。

Description

一种告警信息处理方法、系统、电子设备及存储介质
技术领域
本申请涉及网络安全技术领域,特别涉及一种告警信息处理方法、系统、一种电子设备及一种存储介质。
背景技术
随着互联网的发展,人们面临的网络安全威胁形势日益严峻,低烈度的网络对抗不断加剧。网络威胁情报作为重要的网络安全技术之一,在攻击行为发生之前对网络空间中的相关情报证据进行搜证和关联分析,促进了网络攻防由传统的事后被动响应向事前主动防御转变。
威胁情报是基于证据的知识,包括场景、机制、指标、含义和可操作的建议。针对现存的或新兴的威胁,威胁情报可以为主体响应相关威胁提供决策信息。威胁情报的核心在于包含威胁指标(Indicator of Comprosime,简称IoC);威胁指标是指在特定的网络环境或信息系统中,用来识别或指出一个特定威胁的指征数据,其核心为对网络可观察数据进行组合的指示表达。威胁指标包括文件HASH、IP、域名、攻击策略等。威胁指标实体承载了攻击事件的关键威胁信息,是威胁指标的具体实例。威胁指标实体的准确识别是攻击画像还原的必要条件。
相关技术中,在识别威胁指标实体后通常将威胁指标实体上传至后台,以便后台的工作人员进行分析处理,上述过程周期较长,无法对威胁指标实体所在的威胁日志进行及时处理。
因此,如何将威胁指标实体的识别与处置有效联动,提高告警信息的处理效率是本领域技术人员目前需要解决的技术问题。
发明内容
本申请的目的是提供一种告警信息处理方法、系统、一种电子设备及一种存储介质,能够将威胁指标实体的识别与处置有效联动,提高告警信息的处理效率。
为解决上述技术问题,本申请提供一种告警信息处理方法,该告警信息处理方法包括:
识别威胁指标实体,确定所述威胁指标实体对应的告警信息;
判断所述威胁指标实体是否在威胁情报平台的威胁情报库中;
若是,则将所述威胁指标实体对应的告警信息发送至已关联的安全设备,以便所述安全设备对所述威胁指标实体对应的告警信息进行处理。
可选的,所述识别威胁指标实体,包括:
接收目标数据;其中,所述目标数据包括用户输入文本和/或设备日志;
对所述目标数据进行威胁指标字段类型匹配,得到所述威胁指标实体。
可选的,对所述目标数据进行威胁指标字段类型匹配,得到所述威胁指标实体,包括:
若所述目标数据包括所述用户输入文本,则利用正则表达式对所述用户输入文本与已有威胁指标字段类型进行匹配,得到所述威胁指标;
若所述目标数据包括所述设备日志,则提取所述设备日志的日志字段,将所述日志字段与所述已有威胁指标字段类型进行匹配,得到所述威胁指标。
可选的,在确定所述威胁指标实体对应的告警信息之前,还包括:
判断实体存储队列中是否存在与所述威胁指标实体相同的已有实体;
若是,则将所述威胁指标实体所在的告警信息设置为所述已有实体对应的告警信息;
若否,则将所述威胁指标实体作为新的已有实体添加至所述实体存储队列;
相应的,确定所述威胁指标实体对应的告警信息,包括:
根据所述实体存储队列中已有实体与告警信息的对应关系确定所述威胁指标实体对应的告警信息。
可选的,判断实体存储队列中是否存在与所述威胁指标实体相同的已有实体,包括:
查询所述威胁指标实体的实体信息;其中,所述实体信息包括实体值和/或实体类型;
根据所述实体信息判断所述实体存储队列中是否存在与所述威胁指标实体的相同的已有实体。
可选的,将所述威胁指标实体对应的告警信息发送至已关联的安全设备,包括:
通过工作流的方式将所述威胁指标实体对应的告警信息发送至已关联的安全设备。
可选的,在将所述威胁指标实体对应的告警信息发送至已关联的安全设备之后,还包括:
在所述用户界面可视化展示所述告警信息的发送路径和处理进度。
本申请还提供了一种告警信息处理系统,该系统包括:
实体获取模块,用于识别威胁指标实体,确定所述威胁指标实体对应的告警信息;
威胁检测模块,用于判断所述威胁指标实体是否在威胁情报平台的威胁情报库中;
告警处理模块,用于若所述威胁指标实体在所述威胁情报平台的威胁情报库中,则将所述威胁指标实体对应的告警信息发送至已关联的安全设备,以便所述安全设备对所述威胁指标实体对应的告警信息进行处理。
本申请还提供了一种存储介质,其上存储有计算机程序,所述计算机程序执行时实现上述告警信息处理方法执行的步骤。
本申请还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器调用所述存储器中的计算机程序时实现上述告警信息处理方法执行的步骤。
本申请提供了一种告警信息处理方法,包括:识别威胁指标实体,确定所述威胁指标实体对应的告警信息;判断所述威胁指标实体是否在威胁情报平台的威胁情报库中;若是,则将所述威胁指标实体对应的告警信息发送至已关联的安全设备,以便所述安全设备对所述威胁指标实体对应的告警信息进行处理。
本申请在识别威胁指标实体后确定威胁指标实体对应的告警信息,通过判断威胁指标实体是否在威胁情报平台的威胁情报库中,实现威胁指标实体与威胁情报的碰撞。若威胁指标实体在威胁情报库中,则说明威胁指标实体与威胁情报碰撞成功,需要对该威胁情报实体对应的告警信息处理。本申请将威胁指标实体对应的告警信息发送至已关联的安全设备中,通过安全设备联动对相关的告警信息进行处理。本申请能够将威胁指标实体的识别与处置有效联动,提高告警信息的处理效率。本申请同时还提供了一种告警信息处理系统、一种电子设备和一种存储介质,具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例所提供的一种告警信息处理方法的流程图;
图2为本申请实施例所提供的一种告警信息确定方法的流程图;
图3为本申请实施例所提供的一种基于威胁指标快速关联告警并处置的系统的结构示意图;
图4为本申请实施例所提供的一种威胁指标检测模块的工作原理示意图;
图5为本申请实施例所提供的一种威胁指标运维模块与告警关联模块的工作原理示意图;
图6为本申请实施例所提供的一种告警处置模块的工作原理示意图;
图7为本申请实施例所提供的一种基于威胁指标快速关联告警并处置的系统的工作流程图;
图8为本申请实施例所提供的一种基于威胁指标快速关联告警并处置的系统的架构图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
下面请参见图1,图1为本申请实施例所提供的一种告警信息处理方法的流程图。
具体步骤可以包括:
S101:识别威胁指标实体,确定所述威胁指标实体对应的告警信息;
其中,本实施例可以应用于告警处理平台,告警处理平台可以接收其他威胁情报平台或设备发送的告警信息,进而通过安全联动将告警信息发送至安全设备,以便安全设备对告警信息进行处理。
在本步骤中的告警信息包括外部输入的信息及设备的告警日志。通过对告警相关数据的分析可以识别每一告警信息中存在的威胁指标实体,并根据威胁指标实体出现的位置确定其对应的告警信息。同于可以存在多个告警信息对应的同一种威胁指标实体,本实施例可以基于威胁指标实体对告警信息进行关联,得到威胁指标实体对应的告警信息组,威胁指标实体对应的告警信息为告警信息组中的所有告警信息。
S102:判断威胁指标实体是否在威胁情报平台的威胁情报库中;若是,则进入S103;若否,则结束流程。
其中,本实施例可以通过与第三方的威胁情报平台联动获取威胁请报库,进而判断威胁指标实体是否在威胁情报平台的威胁情报库中。具体的,本步骤可以将所述威胁指标实体与所述威胁情报库中的所有威胁情报进行碰撞;若碰撞成功,则判定所述威胁指标实体在所述威胁情报平台的威胁情报库中;若碰撞失败,则判定所述威胁指标实体不在所述威胁情报平台的威胁情报库中。
为了提高告警信息的处理效率,在本步骤之前可以存在按照预设周期判断是否检测到新的威胁指标实体的操作,若检测到新的威胁指标实体,可以直接执行S102的相关操作。
S103:将所述威胁指标实体对应的告警信息发送至已关联的安全设备,以便所述安全设备对所述威胁指标实体对应的告警信息进行处理。
其中,当判定威胁指标实体在所述威胁情报库时,说明告警信息中存在网络安全威胁;因此本实施例可以确定存在于威胁指标库的威胁指标实体对应的所有告警信息,并将上述告警信息发送至已关联的安全设备(如防火墙、安全网关等),以便安全设备对威胁指标实体对应的告警信息进行处理。本实施例通过威胁指标快速关联告警,并将威胁指标实体的识别与处置进行有效的结合。
作为一种可行的实施方式,本实施例可以通过工作流的方式将所述威胁指标实体对应的告警信息发送至已关联的安全设备。工作流(Workflow),指业务实现过程在计算机应用环境下的自动化。通过工作流的方式发送告警信息具体指:在告警处理平台与安全设备之间按预定规则自动传递告警信息。
本实施例在识别威胁指标实体后确定威胁指标实体对应的告警信息,通过判断威胁指标实体是否在威胁情报平台的威胁情报库中,实现威胁指标实体与威胁情报的碰撞。若威胁指标实体在威胁情报库中,则说明威胁指标实体与威胁情报碰撞成功,需要对该威胁情报实体对应的告警信息处理。本实施例将威胁指标实体对应的告警信息发送至已关联的安全设备中,通过安全设备联动对相关的告警信息进行处理。本实施例能够将威胁指标实体的识别与处置有效联动,提高告警信息的处理效率。
作为对于图1对应实施例的进一步介绍,本实施例可以通过以下方式识别威胁指标实体:接收目标数据;对所述目标数据进行威胁指标字段类型匹配,得到所述威胁指标实体。
上述目标数据可以为用户输入文本,也可以为设备日志,还可以为用户输入文本和设备日志。具体的,若所述目标数据包括所述用户输入文本,则利用正则表达式对所述用户输入文本与已有威胁指标字段类型进行匹配,得到所述威胁指标;若所述目标数据包括所述设备日志,则提取所述设备日志的日志字段,将所述日志字段与所述已有威胁指标字段类型进行匹配,得到所述威胁指标。
威胁指标字段类型匹配的过程包括:按照威胁指标字段类型对应的规则对目标数据的内容进行匹配,将符合上述规则的内容设置为威胁指标实体。通过上述方式能够快速识别目标数据中的威胁指标实体,提高告警信息的处置效率。
作为对于上述实施例的进一步介绍,在将所述威胁指标实体对应的告警信息发送至已关联的安全设备之后,还可以在所述用户界面可视化展示所述告警信息的发送路径和处理进度。上述处理进度可以通过定时向安全设备发送查询请求确定。
作为对于图1对应实施例的进一步介绍,可以使用实体存储队列来存储识别到的威胁指标实体,为了避免存储相同的威胁指标实体,在将威胁指标实体添加至实体存储队列之前,进行重复性检测,并将重复的威胁指标实体所在的威胁日志进行关联。
请参见图2,图2为本申请实施例所提供的一种告警信息确定方法的流程图,可以将本实施例与图1对应的实施例相结合得到进一步的实施方式,本实施例可以包括以下步骤:
S201:判断实体存储队列中是否存在与威胁指标实体相同的已有实体;若是,则进入S202;若否,则进入S203;
具体的,本实施例可以根据威胁指标实体的实体信息判断实体存储队列中是否存在与所述威胁指标实体的相同的已有实体。上述已有实体指:已经添加至实体存储队列的威胁指标实体。进一步的,还可以存在查询所述威胁指标实体的实体信息的操作;上述实体信息包括实体值和/或实体类型。
S202:将威胁指标实体所在的告警信息设置为已有实体对应的告警信息;
在上述过程中,对重复的威胁指标实体所在的告警信息设置已有实体对应的告警信息,即:将威胁指标实体与已有实体的告警信息进行合并。例如威胁指标实体a1所在的告警信息为A1,威胁指标实体a2所在的告警信息为A2,若威胁指标实体a1已经存在以实体存储队列中、且威胁指标实体a1与威胁指标实体a2的实体值和实体类型相同,则设置威胁指标实体a1对应的告警信息包括A1和A2。
S203:将所述威胁指标实体作为新的已有实体添加至所述实体存储队列;
S204:根据所述实体存储队列中已有实体与告警信息的对应关系确定所述威胁指标实体对应的告警信息。
上述过程对重复威胁指标实体与已有实体的告警信息进行合并,将新出现的威胁指标实体添加至实体存储队列,能够提高实体存储队列的精简程度,还能够快速关联同一威胁指标实体对应的多个告警信息。
目前存在基于机器学习、爬虫等算法的识别外网和内网的威胁指标的方案,但是在威胁情报的实际应用中仍然面临着以下问题:(1)SIEM或SOC等威胁情报平台产生的告警量大,无法快速识别其中存在的威胁指标,而且产生告警后无法及时进行快速关联;(2)对于威胁指标的处置不够及时,从威胁指标的发现再到处置往往会经历很长的时间。(3)现有的系统很难将威胁指标的发现与处置有效的结合起来。
针对上述问题,本申请通过在实际应用中的实施例说明一种基于威胁指标快速关联告警并处置的系统,该系统可接入不同安全大数据分析平台的告警数据,可对系统所有接入的告警数据以及内部数据字段进行快速提取,并与威胁指标类型匹配,若匹配成功则立即进行字段值的提取,并记录相关告警数据以及数据来源,通过提取出的威胁指标实体值快速将告警源关联起来。平台支持联动第三方安全设备及其他第三方平台,故对已发现的威胁指标,可支持联动威胁情报平台进行信息碰撞,碰撞结果为恶意指标则可实时联动多方安全设备进行处置,大大缩减指标发现到处置的时间。
请参见图3,图3为本申请实施例所提供的一种基于威胁指标快速关联告警并处置的系统的结构示意图,该系统包括:威胁指标检测模块、威胁指标运维模块、告警关联模块和告警处置模块,上述四个模块相互协作能够快速识别威胁指标实体,还能够快速处置告警信息。本实施例在识别出威胁指标实体后,应充分利用威胁指标,将现有的大量告警进行有效的聚合,使得告警处置有效率大大提升。本实施例在指标发现并关联告警后,能够及时对其进行分析处置,有效缩短处置时间是现在网络攻防手段面临的必要性问题。本实施例提升联动设备的能力,缩短告警处置效率和时间,且减少设备联动沟通成本,实现降本增效的效果。
请参见图4,图4为本申请实施例所提供的一种威胁指标检测模块的工作原理示意图,威胁指标检测模块的输入可以包括以下两种来源:(1)外部输入(即用户动输入的文本),包括指标调查的过程中手动输入的自然语言和直接添加威胁指标实体;(2)日志接入,即本平台支持来自不同安全设备的json、grok格式日志接入。对于以上两种数据接入方式,威胁指标检测方式可以包括基于正则匹配的检测方式以及基于字段提取(如提取IP、URL等)的检测方式。在正则匹配的检测方式中,系统根据多种类型的威胁指标实体正则表达式提取威胁指标实体;在基于字段提取的检测方式中,可以提前对日志进行解析,通过提取日志字段与平台内部已有威胁指标字段类型进行匹配,以便提取威胁指标实体。如图4所示,本申请通过正则匹配的方式提取外部输入数据中的威胁指标实体,通过日志解析、字段匹配的方式提取安全设备日志中的威胁指标实体。
请参见图5,图5为本申请实施例所提供的一种威胁指标运维模块与告警关联模块的工作原理示意图。威胁指标运维模块接收威胁指标检测模块识别的威胁指标实体,并将威胁指标实体添加至威胁指标实体存储队列(即上文的实体存储队列)中。威胁指标运维模块对上述威胁指标实体存储队列的维护过程如下:
步骤一:从威胁指标检测模块中提取新发现的威胁指标实体。
步骤二:对新发现的威胁指标实体的实体值、实体类型、所在告警信息ID信息进行记录。
步骤三:检测威胁指标实体存储队列中已有的威胁指标实体是否与新发现的威胁指标实体相同(实体值和实体类型均相同);若相同,则进入步骤四;若不相同,则进入步骤五。
步骤四:启动告警关联模块对应的工作流程,以便告警关联模块对重复的威胁指标实体所在的告警日志进行关联。
具体的,若威胁指标运维模块判定威胁指标实体存储队列中已存在威胁指标实体,则将新发现的威胁指标实体所在的告警日志ID合并至已有实体的告警日志ID中,形成关联告警日志ID组,从而快速关联同一威胁指标实体的多个告警日志。
步骤五:将新发现的威胁指标实体添加至威胁指标实体存储队列。
威胁指标运维模块支持对系统所发现的威胁指标实体实时更新并进行维护,实现威胁指标实体的信息可查。告警关联模块能够关联多个告警日志,提高了对于告警日志的处理效率。
请参见图6,图6为本申请实施例所提供的一种告警处置模块的工作原理示意图。本系统支持多种安全设备快速接入并进行联动,还支持对接第三方平台并联动。告警处置模块通过与第三方威胁情报平台进行对接,可查询威胁指标实体是否出现在威胁情报库中,实现情报与威胁指标实体的碰撞。在威胁指标实体与威胁情报碰撞成功之后,提取与该威胁指标实体相关的一系列告警日志,通过与第三方设备对接实现告警处置。告警处置模块支持通过工作流的形式,将情报碰撞与设备联动进行整合,可实现在快速发现威胁指标实体后,与威胁情报进行碰撞,通过与告警相关联,进一步提高告警的准确处置率,并支持多种设备联动。本实施例通过提取威胁指标对大量告警进行快速关联,并支持联动大量安全设备,针对不同类型的威胁指标进行快速处置。如图6所示,基于威胁指标快速关联告警并处置的系统中的告警处置模块向威胁情报平台查询威胁情报,根据返回的结果确定碰撞成功的威胁指标实体,将碰撞成功的威胁指标实体的告警日志发送至第三方安全设备,以便实现对告警日志的联动处置。
请参见图7,图7为本申请实施例所提供的一种基于威胁指标快速关联告警并处置的系统的工作流程图,其过程具体如下:通过外部输入和日志接入将告警数据汇聚至威胁指标检测模块,威胁指标检测模块进行威胁指标类型匹配及威胁指标值(即威胁指标实体的实体值)提取,并同步记录威胁指标实体出现时间和相关告警信息。威胁指标运维模块可以持续发现威胁指标实体并将威胁指标实体更新至威胁指标实体队列。在提取威胁指标实体后,告警关联模块将告警信息中具有相同威胁指标实体的告警数据进行关联。在告警聚合后,告警处置模块将关联的威胁指标实体与威胁情报进行碰撞使威胁指标的应用达到最大化,可提高威胁指标发现的准确性,碰撞成功过后可对其进行处置,本系统支持联动各种设备进行告警处置。
请参见图8,图8为本申请实施例所提供的一种基于威胁指标快速关联告警并处置的系统的架构图,该系统的架构包括:设备接入层、数据层、分析层、应用层、视图层、用户终端。设备接入层用于计入联动的安全设备;数据层接入的数据包括指标调查数据、告警日志数据和威胁指标类型数据,数据层可以将接入的数据上送至分析层进行关联分析;分析层通过威胁指标提取和告警日志关联分析对接收到的数据进行分析,分析后的数据在应用层进行具体的展现与应用;视图层为前端交互层,通过用户视图可视化界面实现指标调查与设备联动等用户级操作。
应用层包括威胁指标检测模块、威胁指标运维模块、告警关联模块、告警处置模块,威胁指标检测模块主要负责本系统威胁指标的识别与发现,威胁指标运维模块负责对识别出的威胁指标实体进行持续维护与更新去重,告警关联模块主要基于威胁指标实体对平台接入的告警日志进行关联,告警处置模块包含威胁指标碰撞、告警处置功能,可联动各类安全设备,实现快速调用安全设备进行告警的处置及命令下发。威胁指标检测模块是告警关联模块与威胁指标运维模块的基础,告警关联模块是告警处置模块的前置,各个模块相辅相成。本实施例解决了现有的系统未能充分利用威胁指标关联告警的问题,本系统充分利用威胁指标,将现有的大量告警进行有效的聚合,使得告警处置有效率大大提升。本系统将威胁指标的发现和处置有效的结合起来,在指标发现并关联告警后,及时地对其进行分析处置,有效缩短处置时间。本系统支持联动不同类型的安全设备,大大缩短告警处置效率和时间,且减少设备联动沟通成本,实现降本增效的效果。
本申请实施例所提供的一种告警信息处理系统,该系统可以包括:
实体获取模块,用于识别威胁指标实体,确定所述威胁指标实体对应的告警信息;
威胁检测模块,用于判断所述威胁指标实体是否在威胁情报平台的威胁情报库中;
告警处理模块,用于若所述威胁指标实体在所述威胁情报平台的威胁情报库中,则将所述威胁指标实体对应的告警信息发送至已关联的安全设备,以便所述安全设备对所述威胁指标实体对应的告警信息进行处理。
本实施例在识别威胁指标实体后确定威胁指标实体对应的告警信息,通过判断威胁指标实体是否在威胁情报平台的威胁情报库中,实现威胁指标实体与威胁情报的碰撞。若威胁指标实体在威胁情报库中,则说明威胁指标实体与威胁情报碰撞成功,需要对该威胁情报实体对应的告警信息处理。本实施例将威胁指标实体对应的告警信息发送至已关联的安全设备中,通过安全设备联动对相关的告警信息进行处理。本实施例能够将威胁指标实体的识别与处置有效联动,提高告警信息的处理效率。
进一步的,实体获取模块包括:
数据接收单元,用于接收目标数据;其中,所述目标数据包括用户输入文本和/或设备日志;
匹配单元,用于对所述目标数据进行威胁指标字段类型匹配,得到所述威胁指标实体。
进一步的,匹配单元,用于若所述目标数据包括所述用户输入文本,则利用正则表达式对所述用户输入文本与已有威胁指标字段类型进行匹配,得到所述威胁指标;还用于若所述目标数据包括所述设备日志,则提取所述设备日志的日志字段,将所述日志字段与所述已有威胁指标字段类型进行匹配,得到所述威胁指标。
进一步的,还包括:
实体去重模块,用于在确定所述威胁指标实体对应的告警信息之前,判断实体存储队列中是否存在与所述威胁指标实体相同的已有实体;若是,则将所述威胁指标实体所在的告警信息设置为所述已有实体对应的告警信息;若否,则将所述威胁指标实体作为新的已有实体添加至所述实体存储队列;
相应的,实体获取模块确定所述威胁指标实体对应的告警信息的过程包括:根据所述实体存储队列中已有实体与告警信息的对应关系确定所述威胁指标实体对应的告警信息。
进一步的,实体去重模块判断实体存储队列中是否存在与所述威胁指标实体相同的已有实体的过程包括:查询所述威胁指标实体的实体信息;其中,所述实体信息包括实体值和/或实体类型;根据所述实体信息判断所述实体存储队列中是否存在与所述威胁指标实体的相同的已有实体。
进一步的,告警处理模块,用于通过工作流的方式将所述威胁指标实体对应的告警信息发送至已关联的安全设备。
进一步的,还包括:
显示模块,用于在将所述威胁指标实体对应的告警信息发送至已关联的安全设备之后,在所述用户界面可视化展示所述告警信息的发送路径和处理进度。
由于系统部分的实施例与方法部分的实施例相互对应,因此系统部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
本申请还提供了一种存储介质,其上存有计算机程序,该计算机程序被执行时可以实现上述实施例所提供的步骤。该存储介质可以包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本申请还提供了一种电子设备,可以包括存储器和处理器,所述存储器中存有计算机程序,所述处理器调用所述存储器中的计算机程序时,可以实现上述实施例所提供的步骤。当然所述电子设备还可以包括各种网络接口,电源等组件。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的状况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims (10)

1.一种告警信息处理方法,其特征在于,包括:
识别威胁指标实体,确定所述威胁指标实体对应的告警信息;
判断所述威胁指标实体是否在威胁情报平台的威胁情报库中;
若是,则将所述威胁指标实体对应的告警信息发送至已关联的安全设备,以便所述安全设备对所述威胁指标实体对应的告警信息进行处理。
2.根据权利要求1所述告警信息处理方法,其特征在于,所述识别威胁指标实体,包括:
接收目标数据;其中,所述目标数据包括用户输入文本和/或设备日志;
对所述目标数据进行威胁指标字段类型匹配,得到所述威胁指标实体。
3.根据权利要求2所述告警信息处理方法,其特征在于,对所述目标数据进行威胁指标字段类型匹配,得到所述威胁指标实体,包括:
若所述目标数据包括所述用户输入文本,则利用正则表达式对所述用户输入文本与已有威胁指标字段类型进行匹配,得到所述威胁指标;
若所述目标数据包括所述设备日志,则提取所述设备日志的日志字段,将所述日志字段与所述已有威胁指标字段类型进行匹配,得到所述威胁指标。
4.根据权利要求1所述告警信息处理方法,其特征在于,在确定所述威胁指标实体对应的告警信息之前,还包括:
判断实体存储队列中是否存在与所述威胁指标实体相同的已有实体;
若是,则将所述威胁指标实体所在的告警信息设置为所述已有实体对应的告警信息;
若否,则将所述威胁指标实体作为新的已有实体添加至所述实体存储队列;
相应的,确定所述威胁指标实体对应的告警信息,包括:
根据所述实体存储队列中已有实体与告警信息的对应关系确定所述威胁指标实体对应的告警信息。
5.根据权利要求4所述告警信息处理方法,其特征在于,所述判断实体存储队列中是否存在与所述威胁指标实体相同的已有实体,包括:
查询所述威胁指标实体的实体信息;其中,所述实体信息包括实体值和/或实体类型;
根据所述实体信息判断所述实体存储队列中是否存在与所述威胁指标实体的相同的已有实体。
6.根据权利要求1所述告警信息处理方法,其特征在于,将所述威胁指标实体对应的告警信息发送至已关联的安全设备,包括:
通过工作流的方式将所述威胁指标实体对应的告警信息发送至已关联的安全设备。
7.根据权利要求1至6任一项所述告警信息处理方法,其特征在于,在将所述威胁指标实体对应的告警信息发送至已关联的安全设备之后,还包括:
在所述用户界面可视化展示所述告警信息的发送路径和处理进度。
8.一种告警信息处理系统,其特征在于,包括:
实体获取模块,用于识别威胁指标实体,确定所述威胁指标实体对应的告警信息;
威胁检测模块,用于判断所述威胁指标实体是否在威胁情报平台的威胁情报库中;
告警处理模块,用于若所述威胁指标实体在所述威胁情报平台的威胁情报库中,则将所述威胁指标实体对应的告警信息发送至已关联的安全设备,以便所述安全设备对所述威胁指标实体对应的告警信息进行处理。
9.一种电子设备,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器调用所述存储器中的计算机程序时实现如权利要求1至7任一项所述告警信息处理方法的步骤。
10.一种存储介质,其特征在于,所述存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如权利要求1至7任一项所述告警信息处理方法的步骤。
CN202110967114.3A 2021-08-23 2021-08-23 一种告警信息处理方法、系统、电子设备及存储介质 Withdrawn CN113691524A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110967114.3A CN113691524A (zh) 2021-08-23 2021-08-23 一种告警信息处理方法、系统、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110967114.3A CN113691524A (zh) 2021-08-23 2021-08-23 一种告警信息处理方法、系统、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN113691524A true CN113691524A (zh) 2021-11-23

Family

ID=78581418

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110967114.3A Withdrawn CN113691524A (zh) 2021-08-23 2021-08-23 一种告警信息处理方法、系统、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN113691524A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114760185A (zh) * 2022-03-15 2022-07-15 深信服科技股份有限公司 告警信息处理方法、装置、电子设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108763031A (zh) * 2018-04-08 2018-11-06 北京奇安信科技有限公司 一种基于日志的威胁情报检测方法及装置
CN110572364A (zh) * 2019-08-06 2019-12-13 苏州浪潮智能科技有限公司 一种虚拟化环境中威胁告警的实现方法
CN111800395A (zh) * 2020-06-18 2020-10-20 云南电网有限责任公司信息中心 一种威胁情报防御方法和系统
WO2021017614A1 (zh) * 2019-07-31 2021-02-04 平安科技(深圳)有限公司 威胁情报数据采集处理方法、系统、装置及存储介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108763031A (zh) * 2018-04-08 2018-11-06 北京奇安信科技有限公司 一种基于日志的威胁情报检测方法及装置
WO2021017614A1 (zh) * 2019-07-31 2021-02-04 平安科技(深圳)有限公司 威胁情报数据采集处理方法、系统、装置及存储介质
CN110572364A (zh) * 2019-08-06 2019-12-13 苏州浪潮智能科技有限公司 一种虚拟化环境中威胁告警的实现方法
CN111800395A (zh) * 2020-06-18 2020-10-20 云南电网有限责任公司信息中心 一种威胁情报防御方法和系统

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114760185A (zh) * 2022-03-15 2022-07-15 深信服科技股份有限公司 告警信息处理方法、装置、电子设备及存储介质

Similar Documents

Publication Publication Date Title
CN108471429B (zh) 一种网络攻击告警方法及系统
CN108763031B (zh) 一种基于日志的威胁情报检测方法及装置
CN108683687B (zh) 一种网络攻击识别方法及系统
CN108881263B (zh) 一种网络攻击结果检测方法及系统
CN108881265B (zh) 一种基于人工智能的网络攻击检测方法及系统
CN112114995B (zh) 基于进程的终端异常分析方法、装置、设备及存储介质
CN108833185B (zh) 一种网络攻击路线还原方法及系统
CN111083126A (zh) 一种基于专家知识库的渗透测试风险评估方法以及模型
CN114070629B (zh) 针对apt攻击的安全编排与自动化响应方法、装置及系统
CN112491784A (zh) Web网站的请求处理方法及装置、计算机可读存储介质
WO2019084072A1 (en) GRAPHIC MODEL FOR ALERT INTERPRETATION IN AN ENTERPRISE SECURITY SYSTEM
CN113381980B (zh) 信息安全防御方法及系统、电子设备、存储介质
CN108234426B (zh) Apt攻击告警方法和apt攻击告警装置
CN112487208A (zh) 一种网络安全数据关联分析方法、装置、设备及存储介质
CN110598959A (zh) 一种资产风险评估方法、装置、电子设备及存储介质
CN116032602A (zh) 一种自动识别威胁数据的方法、装置、设备及存储介质
CN113691524A (zh) 一种告警信息处理方法、系统、电子设备及存储介质
CN114461864A (zh) 一种告警溯源方法和装置
CN113901441A (zh) 一种用户异常请求检测方法、装置、设备及存储介质
CN112257546B (zh) 一种事件预警方法、装置、电子设备及存储介质
CN112925805A (zh) 基于网络安全的大数据智能分析应用方法
CN115001954B (zh) 一种网络安全态势感知方法、装置及系统
CN115134159B (zh) 一种安全告警分析优化方法
CN114363002B (zh) 一种网络攻击关系图的生成方法及装置
CN114006719B (zh) 基于态势感知的ai验证方法、装置及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication
WW01 Invention patent application withdrawn after publication

Application publication date: 20211123