发明内容
针对上述问题,本申请提供一种网络安全信息的处理方法、装置、电子设备及储存介质,通过采集网络安全事件数据并处理形成网络安全事件流,并与规则库匹配生成网络安全警告信息,经筛选后再确定目标网络安全警告信息的可信度进而确定网络安全事件是否真实发生,并消除错误的网络安全警告信息,避免误报警。
第一方面,本申请实施例提供了一种网络安全信息的处理方法,包括:
采集网络安全事件数据并处理形成网络安全事件流;将网络安全事件流与规则库进行模式匹配生成网络安全警告信息,其中,所述规则库包括:网络安全事件流与网络安全警告信息的对应关系;基于所述网络安全警告信息筛选目标网络安全警告信息;计算所述目标网络安全警告信息的可信度;在所述可信度小于可信度阈值的情况下,消除所述目标网络安全警告信息。
进一步地,网络安全信息的处理方法,还包括:
在所述可信度大于可信度阈值的情况下,发送告警信号。
进一步地,网络安全信息的处理方法,还包括:
基于所述目标网络安全警告信息,确定对应的防护规则;
基于所述防护规则,处理所述目标网络安全警告信息对应的网络安全事件数据。
进一步地,所述防护规则包括以下至少之一:基于防火墙、完善网络结构、加强网络安全入场管理、构建网络安全管理体系。
进一步地,所述基于所述网络安全警告信息筛选目标网络安全警告信息,包括:
排除所述网络安全警告信息的冗余安全警告信息得到第一目标安全警告信息;
基于第一目标安全警告信息中各个目标安全警告信息的共性确定第二目标安全警告信息;
基于所述第二目标安全警告信息中各个目标安全警告信息的攻击行为确定目标网络安全警告信息。
进一步地,所述采集网络安全事件数据并处理形成网络安全事件流,包括:
基于网络中探针采集所述网络安全事件数据;
获取所述网络安全事件数据并进行整理、并统一格式形成得到所述网络安全事件数据对应的网络安全事件流。
进一步地,所述将网络安全事件流与规则库进行模式匹配生成网络安全警告信息,包括:
获取所述网络安全事件流与所述规则库关联的匹配数据;
当所述网络安全事件流基于所述规则库无法获取匹配数据时,根据所述网络安全事件流生成所述网络安全警告信息。
第二方面,本申请实施例提供一种网络安全信息的处置装置,包括:
处理模块,用于采集网络安全事件数据并处理形成网络安全事件流。匹配模块,用于将网络安全事件流与规则库进行模式匹配生成网络安全警告信息,其中,所述规则库包括:网络安全事件流与网络安全警告信息的对应关系。筛选模块,用于基于所述网络安全警告信息筛选目标网络安全警告信息。计算模块,用于计算所述目标网络安全警告信息的可信度。消除模块,用于在所述可信度小于可信度阈值的情况下,消除所述目标网络安全警告信息。
第三方面,本申请实施例提供一种电子设备,该设备包括:
至少一个处理器和存储器;
处理器用于执行存储器中储存的计算机程序,以实现如第一方面任一项实施方式所介绍的一种网络安全信息的处理方法。
第四方面,本申请实施例提供一种计算机储存介质,该计算机储存介质储存有一个或多个程序,一个或者多个程序可被如第三方面介绍的电子设备执行,以实现如第一方面任一项实施方式所介绍的一种网络安全信息的处理方法。
本申请实施例提供的一种网络安全信息的处理方法、装置、电子设备及储存介质,通过采集网络安全事件数据并处理形成网络安全事件流,再将网络安全事件流与规则库进行模式匹配生成网络安全警告信息,规则库建立有网络安全事件流与网络安全警告信息的对应关系,基于所述网络安全警告信息筛选目标网络安全警告信息,以维护网络安全运行,通过计算所述目标网络安全警告信息的可信度,进而确定网络安全事件是否真实发生,在所述可信度小于可信度阈值的情况下,消除所述目标网络安全警告信息,避免了误报警。
应当理解,本部分所描述的内容并非旨在标识本申请的实施例的关键或重要特征,也不用于限制本申请的范围。本申请的其它特征将通过以下的说明书而变得容易理解。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下面结合实施例和附图,对本发明作进一步的详细说明,本发明的示意性实施方式及其说明仅用于解释本发明,并不作为对本发明的限定。
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清除、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
网络安全是保障信息处理和传输的安全,防止因偶然的或者恶意的原因导致硬件、软件及其系统无法连续稳定运行,防止网络服务中断以及系统信息遭到破坏、泄露和更改。
在相关技术中,针对网络安全运行需要对网络事件进行监测获取警告信息,针对网络中的网络安全警告,对于该信息准确性的确定是迫切需要的,在确认网络安全警告信息的准确度后便于及时清理安全警告避免网络服务的中断,避免误报警。
针对以上存在的问题,申请人提出了一种网络安全信息的处理方法、装置、电子设备及储存介质,通过采集聚合网络安全事件数据并处理形成网络安全事件流,再将网络安全事件流与规则库进行模式匹配生成网络安全警告信息来维护网络的安全运行,并与规则库匹配生成网络安全警告信息,基于所述网络安全警告信息筛选目标网络安全警告信息,经筛选后再确定目标网络安全警告信息的可信度,进而确定网络安全事件是否真实发生,并消除错误的目标网络安全警告信息,避免误报警。
下面针对本申请实施例提供的网络安全分析及处置方法的应用场景介绍:
请参阅图1,图1为本申请实施例提供的一种网络安全信息的处理方法流程示意图,在具体的实施例中,所述网络安全信息的处理方法应用于如图7所示的网络安全信息的处理装置700以及配置有所述网络安全信息的处理装置700的电子设备100(图8)。下面将以电子设备100为例,说明本实施例的具体流程,当然,可以理解的,本实施例应用的电子设备可以为电脑、智能手机、平板电脑等终端设备,在此不做限定。下面将针对图1所示的流程进行详细的阐述,所述网络安全信息的处理方法具体可以包括步骤S110至步骤S150。
步骤S110:采集网络安全事件数据并处理形成网络安全事件流。
在本申请实施例中,电子设备可以通过网络搜索收集网络安全事件数据并将该网络安全事件数据进行聚合处理并存储于电子设备中的服务器或存储器中进行记录,通过电子设备携带的软件对记录的数据进行处理,电子设备可以提取网络安全事件数据,并通过软件处理对各类网络安全事件数据进行处理得到对应的网络安全事件流,作为一种方式,采集网络安全事件数据可以通过云服务器进行采集,云服务器可以聚合网络安全事件数据并整理为网络安全事件流发送至用户终端设备,网络安全事件流根据云服务器实时采集的数据做更新处理。具体地,电子设备在获取到网页诈骗信息、拷贝文件病毒等信息时,本地服务器内存储的软件设备会实时检测该网页或文件的信息并将该信息并生成网络安全事件流存储于本地服务器,或通过云服务器生成网络安全事件流储存于本地服务器或者云服务器。
步骤S120:将网络安全事件流与规则库进行模式匹配生成网络安全警告信息,其中,所述规则库包括:网络安全事件流与网络安全警告信息的对应关系。
在本申请实施例中,电子设备可以通过在本地服务器或云服务器建立规则库来与网络安全事件流进行模式匹配,其中,规则库可以是预先建立在云服务器和/或通过软件下载安装到本地服务器,规则库内包括由汇总网络数据得到的各类网络安全中的窃听、重传、伪造、篡改、非授权访问、拒绝服务攻击、行为否认、旁路控制和电磁/射频截获等信息,通过将网络安全事件流与规则库中的信息进行模式匹配来对比得到电子设备在获取到网页诈骗信息、拷贝文件病毒等信息时,确定采集得到的网络安全事件数据是否存在安全问题,并生成网络安全警告信息,其中,网络安全警告信息与网络安全事件流设置了对应关系,其中,对应关系可以是网络安全警告信息的严重程度、网络安全警告信息的类别等。
步骤S130:基于所述网络安全警告信息筛选目标网络安全警告信息。
在本申请实施例中,电子设备可以设置有分类模型,分类模型可以通过预先在本地服务器或云服务器建立,通过分类模型获取网络安全事件数据对应的目标网络安全警告信息进行分类,根据网络安全警告信息的类别生成对应网络安全事件数据的目标网络安全警告信息,其中,目标网络安全警告信息可以包括网络病毒、黑客攻击、网络欺诈和恶意软件等信息。
具体地,避免网络病毒造成局域网办公瘫痪,对科技情报单位日常业务造成破坏;避免黑客攻击利用系统漏洞,侵入系统、破坏系统,使得服务器系统崩溃,威胁科技情报信息安全;避免网络欺诈使信息安全攻防失衡,使网络安全技术失效;恶意软件极易造成信息破坏或者丢失,造成极大的损失。
步骤S140:计算所述目标网络安全警告信息的可信度。
在本申请实施例中,电子设备在获取到网络安全警告信息后可以对网络安全警告信息的可信度进行计算,作为一种方式,电子设备可以根据捕获的网络安全事件数据处理形成网络事件流后对其进行过滤分析处理,在得到网络安全事件流与目标网络安全警告信息的多个对应关系后,对每个对应关系进行分析,根据每个对应关系来确定目标网络安全警告信息的可信度。
步骤S150:在所述可信度小于可信度阈值的情况下,消除所述目标网络安全警告信息。
在本申请实施例中,电子设备可以设置有预测模型,该预测模型可以根据上传至服务器的数据来判断采集的网络安全事件数据形成的网络安全事件流的可信度,在预测模型根据网络安全事件流判断网络安全事件是否真实发生,在可信度较低的情况下,即网络安全事件未发生的情况下,将消除目标层级对应的目标网络安全警告信息,其中,目标层级可以包括多层,其具体根据用户的使用需求将网络安全事件建立关联来进行设置。
本实施例中,电子设备通过聚合网络安全事件,用于确定安全事件是否真实发生,判断攻击是否成功,以消除误报警,计算告警可信度来识别误报警,有效识别高风险告警,用户确定网络安全警告后并将其消除,做好全面防护,以确保数据信息安全。
需要说明的是,本地服务器、云服务器、分类模型和预测模型都是预先存储在电子设备的存储器上的,在需要进行验证和确认使用时,根据处理器接受的指令调取对应的服务器和模型来处理使用。
请参阅图2,图2为本申请实施例提供的另一种网络安全信息的处理方法流程示意图,所述网络安全信息的处理方法应用于电子设备。
步骤S160:在所述可信度大于可信度阈值的情况下,发送告警信号。
在本申请实施例中,电子设备可以通过预测模型来判断可信度大小,在预测模型确定可信度大于可信度阈值的情况下,电子设备接收到该网络安全警告信息关联的详细告警信息。
请参阅图3,图3为本申请实施例提供的又一种网络安全信息的处理方法流程示意图,所述网络安全信息的处理方法应用于电子设备。该方法可以包括步骤S210至步骤S220。
步骤S210:基于所述目标网络安全警告信息,确定对应的防护规则。
在本申请实施例中,电子设备可以根据目标网络安全警告信息确定网络安全危害、阻断方式和运行规律来找到对应的防护规则。
步骤S220:基于所述防护规则,处理所述目标网络安全警告信息对应的网络安全事件数据。
在本申请实施例中,在电子设备根据目标网络安全警告信息,确认对应的防护规则后,对网络安全实际数据进行处理,具体地,处理手段包括但不限于阻隔、除去该网络安全警告信息的文件、阻止该网络安全警告信息的扩散等。
在一个可能的实施方式中,所述防护规则包括以下至少之一:基于防火墙、完善网络结构、加强网络安全入场管理、构建网络安全管理体系。
在本申请实施例中,电子设备应用防火墙技术利用软硬件,在网络环境中形成保护屏障,抵御不安全因素;完善网络结构能够保障信息传输的安全性;加强网络安全入场管理可以明确网络安全管理职责,调动相关人员的积极性,使得人员能够参与到网络安全管理工作中来,做好网络安全管理工作;构建网络安全管理体系可以明确网络安全威胁,及时发出警告快速响应网络安全防御方案;其中,完善网络结构包括:电子设备通过接入层的安全防御,利用局端设备具有认证能力,能够按照安全策划分析,对接入端设备的身份分析,阻止非法端接入,可以应用PKI技术,确保身份认证的安全性与可靠性,具体的,加工用户信息,实时发送到认证服务器,进行身份认证,判断是否满足要求,若符合,进行后续的解密操作,通过认证。电子设备通过内容层安全防御,利用数字签名进行安全保护,对发送的信息进行加密,利用接收方的公钥,对信息进行加工,使其成为数字信封,再将信息发送至用户,能过保证信息传输的安全性。加强网络安全入场管理:做好设备安全管理制度,包括网络使用制度与机房管理制度,明确往往安全管理职责,调动相关人员积极性,相互协作。
请参阅图4,图4为本申请实施例步骤S130提供的一种网络安全信息的处理方法流程示意图,所述活体验证方法应用于电子设备。该方法可以包括步骤S310至步骤S330。
步骤S310:排除所述网络安全警告信息的冗余安全警告信息得到第一目标安全警告信息。
在本申请实施例中,电子设备可以对网络安全事件流逐步处理,其中,冗余安全警告信息可以包括用户特别关心和特别不关心的信息,通过筛选用户关系的信息来排除冗余信息得到第一目标安全警告信息,进而减少服务器的初步输入数据量,提高采集的网络安全实际数据的处理速度。
步骤S320:基于第一目标安全警告信息中各个目标安全警告信息的共性确定第二目标安全警告信息。
在本申请实施例中,电子设备可以根据得到的第一目标安全警告信息中各个目标安全警告信息的共性来进一步筛选数据,其中,各个目标安全警告信息的共性为网络安全事件流共同具备的特点,如根据病毒的类型确定各个目标安全警告信息的共性,进而得到第二目标安全警告信息。
步骤S330:基于所述第二目标安全警告信息中各个目标安全警告信息的攻击行为确定目标网络安全警告信息。
在本申请实施例中,电子设备根据得到第二将目标安全警告信息将网络安全事件流中的攻击破坏过程行为进行关联,进而确定准确的目标网络安全警告信息。
在本实施例中,将网络安全警告信息进行分层处理,将重要性关联与资产在第一层子模块采用步骤S310进行处理,它们可将用户特别关心以及特别不关心的信息筛选出来,为事件与事件关联排除掉大量信息,为了进一步提高系统性能,将事件与事件关联分为粗、细粒度两层,具体分别为系统的第二层子模块采用步骤S320进行处理和第三层子模块采用步骤S330进行处理,第二层子模块是对攻击破坏过程行为进行整理后,总结出行为的共性进行关联,第三层子模块则是对攻击的破坏过程具体行为关联。每一层根据需要建立对应的统计项,并根据统计值及已有知识判断是否进入下一层,层数越底层,统计项越详细,这样在上层时可以不用过多考虑不确定因素,保证上层的效率,另一方面,由于上层过滤掉了多余的信息,这样使得大量的底层详细规则不用面对过多的信息,提高底层的效率。
请参阅图5,图5为本申请实施例步骤S110提供的一种网络安全信息的处理方法流程示意图,所述活体验证方法应用于电子设备。该方法可以包括步骤S410至步骤S420。
步骤S410:基于网络中探针采集所述网络安全事件数据。
在本申请实施例中,电子设备可以通过在服务器中建立网络中探针来对以太网中的网络安全事件数据进行捕获,再进行预选过滤处理得到较为准确的数据。
步骤S420:获取所述网络安全事件数据并进行整理、并统一格式形成得到所述网络安全事件数据对应的网络安全事件流。
在本申请实施例中,电子设备将网络中探针捕获、过滤得到的数据进行标记分析处理,并将同一类的网络安全事件数据通过云服务器进行初步整理、并统一格式,便于减少后期录入服务器进行可信度处理数据的工作量。
请参阅图6,图6为本申请实施例步骤S120提供的一种网络安全信息的处理方法流程示意图,所述网络安全信息的处理方法应用于电子设备。该方法可以包括步骤S510至步骤S520。
步骤S510:获取所述网络安全事件流与所述规则库关联的匹配数据。
在本实施例中,电子设备在规则库中预先建立有与网络安全事件流关联的匹配数据,匹配数据可以将网络安全事件流明显异常的数据进行标记或剔除,便于生成网络安全警告信息。
步骤S520:当所述网络安全事件流基于所述规则库无法获取匹配数据时,根据所述网络安全事件流生成所述网络安全警告信息。
在本实施例中,电子设备可以根据规则库与网络安全事件流获取匹配关系,在匹配关系不对应时,即将该网络安全事件流视为新的攻击信息,并生成网络安全警告信息,其中,该网络安全警告信息标记为未能识别的警告信息。
具体地,本申请实施例在实际应用时,电子设备通过知识库、规则库、推理机、工作存储器数据库(包括用户数据库、知识数据库、事件数据库等)、知识获取机制、用户解释界面组成部分,server控制端将各探针采集到的数据进行整理、同一数据格式,形成网络安全事件流,提交给推理机,插入到工作存储器中,推理机的调度器根据工作存储器中的事件、当前状态及有关信息,在规则库中进行匹配,窃听:网络中传输的敏感信息被窃听。重传:攻击者事先获得部分或全部信息,以后将此信息发送给接收者。伪造:攻击者将伪造的信息发送给接收者。篡改:攻击者对合法用户之间的通讯信息进行修改、删除、插入,再发送给接收者。非授权访问:通过假冒、身份攻击、系统漏洞等手段,获取系统访问权,从而使非法用户进入网络系统读取、删除、修改、插入信息等。拒绝服务攻击:攻击者使系统响应减慢甚至瘫痪,阻止合法用户获得服务。行为否认:通讯实体否认已经发生的行为。旁路控制:攻击者发掘系统的缺陷或安全脆弱性。电磁/射频截获:攻击者从电子或机电设备所发出的无线射频或其它电磁辐射中提取信息。上述窃听、重传、伪造、篡改、非授权访问、拒绝服务攻击、行为否认、旁路控制、电磁/射频截获至少一个出现异常判断网络处于高风险,则生成网络安全警告,用户通过防火墙/杀毒软件对上述网络安全警告进行消除,当消除完成后,根据缓存中记录的已发现的网络安全警告出没位置再次回溯消除。并通过冲突解决策略管理可能冲突的规则的执行顺序,规则的执行会修改工作存储器的状态,推理机再根据这种新的状态驱动新的查找,如此反复,直到没有事件可以匹配规则,则生成网络安全告警,并写入数据库中,用户界面通过调用数据库,可以生成告警解释说明报告,用户消除上述网络安全告警,来抵挡不安全因素。
请参阅图7,图7为本申请实施例提供的一种网络安全信息的处理装置结构框图,该警告信息的处理装置600包括:
处理模块610,用于采集网络安全事件数据并处理形成网络安全事件流。
匹配模块620,用于将网络安全事件流与规则库进行模式匹配生成网络安全警告信息,其中,所述规则库包括:网络安全事件流与网络安全警告信息的对应关系。
筛选模块630,用于基于所述网络安全警告信息筛选目标网络安全警告信息。
计算模块640,用于计算所述目标网络安全警告信息的可信度。
消除模块650,用于在所述可信度小于可信度阈值的情况下,消除所述目标网络安全警告信息。
需要说明的是,本申请中装置还包括其他模块与前述各个方法的步骤实施例相互对应,这里不再详细赘述。本申请中装置实施例与前述方法实施例相互对应,装置实施例中具体的原理可以参见前述方法实施例中的内容,此处不再赘述。
请参阅图8,图8为本申请实施例提供的一种可以执行上述网络安全信息的处理方法的电子设备100,该电子设备100可以是智能手机、平板电脑、计算机或者便携式计算机等设备。
电子设备100还包括处理器102和存储器104。其中,该存储器104中存储有可以执行前述实施例中内容的程序,而处理器102可以执行该存储器104中存储的程序。
其中,处理器102可以包括一个或者多个用于处理数据的核以及消息矩阵单元。处理器102利用各种借口和线路连接整个电子设备100内的各个部分,通过运行或执行储存在存储器104内的指令、程序、代码集或指令集,以及调用存储在存储器104内的数据,执行电子设备100的各种功能和处理数据。可选地,处理器102可以采用数字信号处理(DigitalSignal Processing,DSP)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)、可编辑逻辑阵列(Programmable Logic Array,PLA)中的至少一种硬件形式来实现。处理器102可集成中央处理器(Central Processing Unit,CPU)、图像处理器(GraphicsProcessing Unit,GPU)和调制解码器等中的一种或几种的组合。其中,CPU主要处理操作系统、用户界面和应用程序等;GPU用于负责显示内容的渲染和绘制;调制解调器用于处理无线通信。可以理解的是,上述调制解码器也可以不集成到处理器中,单独通过一块通信芯片进行实现。
存储器104可以包括随机存储器(Random Access Memory,RAM),也可以包括只读存储器(Read-Only Memory)。存储器104可用于储存指令、程序、代码、代码集或指令集。存储器104可包括存储程序区和存储数据区,其中存储程序区可存储用于实现操作系统的指令、用于实现至少一个功能的指令(如,用户获取随机数的指令)、用于实现下述各个方法实施例的指令等。存储数据区还可以存储终端在使用中所创建的数据(如,随机数)等。
电子设备100还可以包括网络模块以及屏幕,网络模块用于接受以及发送电磁波,实现电磁波与电信号的互相转换,从而与通讯网络或者其他设备进行通讯,例如和音频播放设备进行通讯。网络模块可包括各种现有的用于执行这些功能的电路元件,例如,天线、射频收发器、数字信号处理器、加密/解密芯片、用户身份模块(SIM)卡、存储器等等。网络模块可与各种网络如互联网、企业内部网、无线网络进行通讯或者通过无线网络与其他设备进行通讯。上述的无线网络可包括蜂窝式电话网、无线局域网或者城域网。屏幕可以进行界面内容的显示以及进行数据交互。
请参考图9,其示出了本申请实施例提供的一种计算机可读存储介质的结构框图。该计算机可读介质700中存储有程序代码,程序代码710可被处理器调用执行上述方法实施例中所描述的方法。
计算机可读存储介质可以是诸如闪存、EEPROM(电可擦除可编程只读存储器)、EPROM、硬盘或者ROM之类的电子存储器。可选地,计算机可读储存介质包括非易失性计算机可读介质(non-transitory computer-readable storage medium)。计算机可读存储介质具有执行上述方法中的任意方法步骤的程序代码的存储空间。这些程序代码可以从一个或者多个计算机程序产品中读出或者写入到这一个或者多个计算机程序产品中。程序代码710可以例如以适当形式进行压缩。
本申请实施例还提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述各种可选实现方式中描述的网络安全信息的处理方法。
以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不驱使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。