CN114143078B - 互联网资产安全威胁的处理方法、装置、设备及存储介质 - Google Patents
互联网资产安全威胁的处理方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN114143078B CN114143078B CN202111436246.XA CN202111436246A CN114143078B CN 114143078 B CN114143078 B CN 114143078B CN 202111436246 A CN202111436246 A CN 202111436246A CN 114143078 B CN114143078 B CN 114143078B
- Authority
- CN
- China
- Prior art keywords
- threat
- internet
- data
- internet asset
- processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请涉及网络安全技术领域,揭示了一种互联网资产安全威胁的处理方法、装置、设备及存储介质,其中方法包括:将从安全威胁数据中得到的攻击对象数据,在预设的互联网资产关系列表中确定受威胁互联网资产标识集,互联网资产关系列表中包括对访问流量分析数据和互联网探测扫描数据进行实时解析得到的信息;若受威胁互联网资产标识集不为空,根据安全威胁数据,对受威胁互联网资产标识集的每个互联网资产标识分别生成预警信息和威胁处理工单;根据各个威胁处理工单各自对应的单工单处理结果确定互联网资产安全威胁处理结果。从而提高了互联网资产的安全威胁处理的准确性、全面性、及时性和可跟踪性。
Description
技术领域
本申请涉及到网络安全技术领域,特别是涉及到一种互联网资产安全威胁的处理方法、装置、设备及存储介质。
背景技术
随着互联网的高速发展,互联网资产的数量庞大、种类繁多、变化频繁、关系复杂,导致互联网资产的安全威胁的处理的准确性、全面性、及时性和可跟踪性都较差,严重地影响了互联网资产的安全。
发明内容
本申请的主要目的为提供一种互联网资产安全威胁的处理方法、装置、设备及存储介质,旨在解决现有技术的互联网资产的数量庞大、种类繁多、变化频繁、关系复杂,导致互联网资产的安全威胁的处理的准确性、全面性、及时性和可跟踪性都较差的技术问题。
为了实现上述发明目的,本申请提出一种互联网资产安全威胁的处理方法,所述方法包括:
获取安全威胁数据;
从所述安全威胁数据分析出攻击对象数据;
将所述攻击对象数据,在预设的互联网资产关系列表中进行互联网资产标识匹配,得到受威胁互联网资产标识集,其中,所述互联网资产关系列表中包括对访问流量分析数据和互联网探测扫描数据进行实时解析得到的信息;
若所述受威胁互联网资产标识集不为空,根据所述安全威胁数据,对所述受威胁互联网资产标识集的每个所述互联网资产标识生成预警信息;
根据预设的威胁处理人员信息列表、各个所述预警信息,对所述受威胁互联网资产标识集中的每个所述互联网资产标识生成威胁处理工单;
根据获取的各个所述威胁处理工单各自对应的单工单处理结果,确定所述安全威胁数据对应的互联网资产安全威胁处理结果。
进一步的,所述将所述攻击对象数据,在预设的互联网资产关系列表中进行互联网资产标识匹配,得到受威胁互联网资产标识集的步骤,包括:
将所述攻击对象数据中的各个数据进行关联,得到待分析的关联数据;
将所述待分析的关联数据,在所述互联网资产关系列表中进行关联数据匹配,得到受威胁关联数据集;
根据所述攻击对象数据和所述受威胁关联数据集确定所述受威胁互联网资产标识集。
进一步的,所述将所述攻击对象数据,在预设的互联网资产关系列表中进行互联网资产标识匹配,得到受威胁互联网资产标识集的步骤之前,还包括:
获取消息中间件发送的消息更新通知,其中,所述消息中间件用于接收访问流量分析器实时发送的所述访问流量分析数据和互联网探测扫描器实时发送的所述互联网探测扫描数据;
根据所述消息更新通知,从所述消息中间件中获取消息作为待解析的数据;
对所述待解析的数据进行互联网资产关系数据的解析;
采用解析得到的所述互联网资产关系数据对所述互联网资产关系列表进行更新。
进一步的,所述根据预设的威胁处理人员信息列表、各个所述预警信息,对所述受威胁互联网资产标识集中的每个所述互联网资产标识生成威胁处理工单的步骤,包括:
根据所述受威胁互联网资产标识集对应的安全威胁类型,从所述威胁处理人员信息列表中找出威胁处理人员标识,得到候选威胁处理人员标识集;
对所述受威胁互联网资产标识集中的各个所述互联网资产标识按资产安全等级属性进行集合划分,得到多个受威胁互联网资产标识子集;
将任一个所述受威胁互联网资产标识子集作为待处理子集;
根据均衡分配原则和所述候选威胁处理人员标识集,对所述待处理子集中的每个所述互联网资产标识确定目标威胁处理人员标识;
根据同一个所述互联网资产标识对应的所述目标威胁处理人员标识及所述预警信息生成所述威胁处理工单。
进一步的,所述根据获取的各个所述威胁处理工单各自对应的单工单处理结果,确定所述安全威胁数据对应的互联网资产安全威胁处理结果的步骤之前,还包括:
根据每个所述威胁处理工单对应的资产安全等级属性确定单监控配置数据;
根据各个所述单监控配置数据设置定时监控任务;
根据各个所述定时监控任务获取各个所述威胁处理工单各自对应的所述单工单处理结果;
根据各个所述单工单处理结果进行分类统计,得到分类统计结果;
根据所述分类统计结果和各个所述单工单处理结果生成报告,得到所述互联网资产安全威胁处理结果。
进一步的,所述根据各个所述定时监控任务获取各个所述威胁处理工单各自对应的所述单工单处理结果的步骤,还包括:
判断各个所述定时监控任务是否执行完成;
若否,执行未执行完成的所述定时监控任务,获取与所述定时监控任务对应的每个所述威胁处理工单对应的单工单处理结果,得到每个所述威胁处理工单对应的获取结果;
若存在所述获取结果为失败,对为失败的所述获取结果对应的所述单监控配置数据进行更新,根据更新后的所述单监控配置数据设置所述定时监控任务,重复执行所述判断各个所述定时监控任务是否执行完成的步骤,直至各个所述获取结果均为成功;
若各个所述获取结果均为成功,采用预设时间获取各个所述威胁处理工单各自对应的所述单工单处理结果。
进一步的,所述对为失败的所述获取结果对应的所述单监控配置数据进行更新,根据更新后的所述单监控配置数据设置所述定时监控任务的步骤,包括:
将为失败的所述获取结果对应的每个所述威胁处理工单作为异常工单;
将各个所述异常工单发送给进度异常处理端;
获取所述进度异常处理端根据所述异常工单发送的待调整监控配置数据;
将所述待调整监控配置数据更新所述异常工单对应的所述单监控配置数据;
根据所述异常工单对应的所述单监控配置数据设置所述定时监控任务。
本申请还提出了一种互联网资产安全威胁的处理装置,所述装置包括:
数据获取模块,用于获取安全威胁数据;
攻击对象数据确定模块,用于从所述安全威胁数据分析出攻击对象数据;
受威胁互联网资产标识集确定模块,用于将所述攻击对象数据,在预设的互联网资产关系列表中进行互联网资产标识匹配,得到受威胁互联网资产标识集,其中,所述互联网资产关系列表中包括对访问流量分析数据和互联网探测扫描数据进行实时解析得到的信息;
预警信息确定模块,用于若所述受威胁互联网资产标识集不为空,根据所述安全威胁数据,对所述受威胁互联网资产标识集的每个所述互联网资产标识生成预警信息;
威胁处理工单确定模块,用于根据预设的威胁处理人员信息列表、各个所述预警信息,对所述受威胁互联网资产标识集中的每个所述互联网资产标识生成威胁处理工单;
互联网资产安全威胁处理结果确定模块,用于根据获取的各个所述威胁处理工单各自对应的单工单处理结果,确定所述安全威胁数据对应的互联网资产安全威胁处理结果。
本申请还提出了一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述任一项所述方法的步骤。
本申请还提出了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述的方法的步骤。
本申请的互联网资产安全威胁的处理方法、装置、设备及存储介质,其中方法通过根据访问流量分析数据和互联网探测扫描数据实时更新互联网资产关系列表,基于实时更新的互联网资产关系列表实现了对每条安全威胁数据准确的确定受威胁互联网资产标识集,提高了互联网资产的安全威胁处理的准确性和全面性;而且通过对受威胁互联网资产标识集中的每个互联网资产标识生成预警信息和威胁处理工单,提高了互联网资产的安全威胁处理的的及时性和可跟踪性。
附图说明
图1为本申请一实施例的互联网资产安全威胁的处理方法的流程示意图;
图2为本申请一实施例的互联网资产安全威胁的处理装置的结构示意框图;
图3为本申请一实施例的计算机设备的结构示意框图。
本申请目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
参照图1,本申请实施例中提供一种互联网资产安全威胁的处理方法,其所述方法包括:
S1:获取安全威胁数据;
S2:从所述安全威胁数据分析出攻击对象数据;
S3:将所述攻击对象数据,在预设的互联网资产关系列表中进行互联网资产标识匹配,得到受威胁互联网资产标识集,其中,所述互联网资产关系列表中包括对访问流量分析数据和互联网探测扫描数据进行实时解析得到的信息;
S4:若所述受威胁互联网资产标识集不为空,根据所述安全威胁数据,对所述受威胁互联网资产标识集的每个所述互联网资产标识生成预警信息;
S5:根据预设的威胁处理人员信息列表、各个所述预警信息,对所述受威胁互联网资产标识集中的每个所述互联网资产标识生成威胁处理工单;
S6:根据获取的各个所述威胁处理工单各自对应的单工单处理结果,确定所述安全威胁数据对应的互联网资产安全威胁处理结果。
本实施例通过根据访问流量分析数据和互联网探测扫描数据实时更新互联网资产关系列表,基于实时更新的互联网资产关系列表实现了对每条安全威胁数据准确的确定受威胁互联网资产标识集,提高了互联网资产的安全威胁处理的准确性和全面性;而且通过对受威胁互联网资产标识集中的每个互联网资产标识生成预警信息和威胁处理工单,提高了互联网资产的安全威胁处理的的及时性和可跟踪性。
对于S1,可以获取用户输入的安全威胁数据,也可以获取同一机构内的其他应用系统(比如,基于预设安全规则进行监控的监控系统)发送的安全威胁数据,还可以获取第三方应用系统(比如,用于提供威胁情报的威胁情报系统)发送的安全威胁数据。
安全威胁数据,是对互联网资产存在安全威胁的数据。安全威胁数据包括:安全威胁类型和安全威胁描述信息。安全威胁类型的取值范围包括但不限于:漏洞和网络攻击。当安全威胁类型为漏洞时,安全威胁描述信息包括:资产名称、版本和漏洞描述。当安全威胁类型为网络攻击时,安全威胁描述信息包括:攻击源信息和攻击目标信息。
可以理解的是,每个安全威胁数据对应一个安全威胁。
互联网资产,即指在互联网上的投资所形成的积累,一般企事业单位通过此类方式获得营收或提供服务,包括服务器、域名、网站、软件、用户、知名度、访问量、品牌形象等。
对于S2,采用预设规则表达式,从所述安全威胁数据分析出攻击对象数据。
当安全威胁类型为漏洞时,攻击对象数据包括但不限于:存在漏洞的资产名称和存在漏洞的版本,其中,资产名称,是指互联网资产的名称。
当安全威胁类型为网络攻击时,攻击对象数据包括但不限于:易被网络攻击的的资产名称和易被网络攻击的版本,其中,资产名称,是指互联网资产的名称。
对于S3,从预设的互联网资产关系列表中获取与所述攻击对象数据对应的各个互联网资产标识,将获取的各个互联网资产标识作为受威胁互联网资产标识集。
其中,所述互联网资产关系列表中包括对访问流量分析数据和互联网探测扫描数据进行实时解析得到的信息,以及包括配置管理系统发送的资产信息。
互联网资产标识是资产ID,用于唯一标识一个互联网资产。
互联网资产关系列表包括:硬件资产类型信息、硬件资产信息和资产指纹信息。
硬件资产类型信息的取值范围包括但不限于:服务器、安全设备、路由器、防火墙、移动设备和交换机。
硬件资产信息包括但不限于:硬件资产厂商、硬件资产标识、硬件资产IP(网际互连协议)地址和硬件资产配置信息。硬件资产厂商,是生成硬件资产的厂商。硬件标识也是互联网资产标识。
资产指纹信息,是硬件资产中的资产的信息。资产指纹信息包括:资产指纹类型、资产指纹名称、资产指纹标识、资产指纹描述信息和资产安全属性信息。资产指纹类型的取值范围包括但不限于:IP地址/域名、网站框架、操作系统、中间件、开放端口、网站语言、服务类型、网站标题、软件厂商信息、API(应用程序接口)接口、应用服务版本、HTML(超文本标记语言)源码、备案信息和内容词。资产指纹名称是资产指纹的名称,比如,windows(操作系统)。资产指纹描述信息,是资产指纹的描述信息,资产指纹描述信息包括但不限于:版本和厂商信息。资产安全属性信息,是资产指纹所在网络区域的安全等级信息。
硬件资产信息对应的互联网资产标识包括:硬件标识。资产指纹信息中的资产对应的互联网资产标识包括:硬件标识、资产指纹名称及版本和厂商信息。
其中,根据收到的访问流量分析数据或互联网探测扫描数据或配置管理系统发送的资产信息对所述互联网资产关系列表进行实时更新。
对于S4,若所述受威胁互联网资产标识集不为空,意味着存在受所述安全威胁数据对应的威胁的互联网资产,因此,需要根据所述安全威胁数据,对所述受威胁互联网资产标识集的每个所述互联网资产标识生成一个预警信息。
预警信息包括但不限于:互联网资产标识、安全威胁类型、安全威胁描述信息和预警等级。
对于S5,采用预设的工单分配规则,根据预设的威胁处理人员信息列表、各个所述预警信息,对所述受威胁互联网资产标识集中的每个所述互联网资产标识生成一个威胁处理工单,从而针对每个受威胁的所述互联网资产标识对应的互联网资产分配了威胁处理人员和处理工单。
威胁处理人员信息列表包括:安全威胁类型集、威胁处理人员标识和当前正在处理的工单数量。安全威胁类型集中包括一个或多个安全威胁类型。威胁处理人员标识可以是威胁处理人员名称、威胁处理人员ID等唯一标识一个威胁处理人员的数据。当前正在处理的工单数量,是当前时间正在处理的工单数量。
对于S6,获取各个威胁处理人员通过终端发送的所述威胁处理工单对应的威胁处理过程数据和单工单处理结果,然后采用预设的报告生成规则,将获取的各个单工单处理结果生成报告,将生成的报告作为所述互联网资产安全威胁处理结果。从而实现了互联网资产安全威胁的跟进和归档。
在一个实施例中,上述将所述攻击对象数据,在预设的互联网资产关系列表中进行互联网资产标识匹配,得到受威胁互联网资产标识集的步骤,包括:
S311:将所述攻击对象数据中的各个数据进行关联,得到待分析的关联数据;
S312:将所述待分析的关联数据,在所述互联网资产关系列表中进行关联数据匹配,得到受威胁关联数据集;
S313:根据所述攻击对象数据和所述受威胁关联数据集确定所述受威胁互联网资产标识集。
本实施例首先将所述攻击对象数据中的各个数据进行关联,然后将关联得到的数据在所述互联网资产关系列表中进行关联数据匹配,最后根据匹配结果确定受威胁互联网资产标识集,因互联网资产关系列表是根据访问流量分析数据、互联网探测扫描数据和配置管理系统发送的资产信息实时更新的,基于实时更新的互联网资产关系列表实现了对每条安全威胁数据准确的确定受威胁互联网资产标识集,提高了确定的受威胁互联网资产标识集的准确性和全面性,为互联网资产的安全威胁处理的准确性和全面性提供了基础。
对于S311,将所述攻击对象数据中的各个数据进行关联,将关联得到的关联数据作为待分析的关联数据。
对于S312,将所述待分析的关联数据,在所述互联网资产关系列表中进行关联数据匹配,将所述互联网资产关系列表中的包括所述待分析的关联数据的每条记录作为一个受威胁关联数据,将各个受威胁关联数据作为受威胁关联数据集。
对于S313,将所述受威胁关联数据集中的每个受威胁关联数据对应的与所述攻击对象数据相关的每个所述互联网资产标识作为一个受威胁互联网资产标识,将各个受威胁互联网资产标识作为受威胁互联网资产标识集。
比如,所述攻击对象数据为软件A、版本6.0以下,则将软件A、版本6.0以下作为待分析的关联数据,将该待分析的关联数据(软件A和版本6.0以下)互联网资产关系列表中进行关联数据匹配,将在资产名称互联网资产关系列表中匹配到的每个关联数据(比如,软件A和版本5.0)对应的与所述攻击对象数据相关的互联网资产标识(比如,软件A和版本5.0对应的互联网资产标识)作为受威胁互联网资产标识,将各个受威胁互联网资产标识作为所述受威胁互联网资产标识集。
在一个实施例中,上述将所述攻击对象数据,在预设的互联网资产关系列表中进行互联网资产标识匹配,得到受威胁互联网资产标识集的步骤之前,还包括:
S321:获取消息中间件发送的消息更新通知,其中,所述消息中间件用于接收访问流量分析器实时发送的所述访问流量分析数据和互联网探测扫描器实时发送的所述互联网探测扫描数据;
S322:根据所述消息更新通知,从所述消息中间件中获取消息作为待解析的数据;
S323:对所述待解析的数据进行互联网资产关系数据的解析;
S324:采用解析得到的所述互联网资产关系数据对所述互联网资产关系列表进行更新。
本实施例根据所述访问流量分析数据和所述互联网探测扫描数据对所述互联网资产关系列表进行实时更新,为基于实时更新的互联网资产关系列表实现了对每条安全威胁数据准确的确定受威胁互联网资产标识集提供了基础。
对于S321,消息中间件在接收访问流量分析器实时发送的所述访问流量分析数据或互联网探测扫描器实时发送的所述互联网探测扫描数据时,将根据接收到的数据生成消息更新通知;通过与消息中间件的通信连接,获取消息中间件发送的消息更新通知。
流量分析器,用于对互联网资产的流量进行实时监控,采用预设的流量分析方法,对监控到的所有流量进行分析,将分析得到的数据作为所述访问流量分析数据。
互联网探测扫描器,用于对预设范围内的互联网数据进行实时探测,采用预设的互联网数据分析方法,对探测的互联网数据进行分析,将分析得到的数据作为所述互联网探测扫描数据。
对于S322,根据所述消息更新通知携带的参数,从所述消息中间件中获取消息作为待解析的数据。
对于S323,采用预设的互联网资产关系数据解析方法,对所述待解析的数据进行互联网资产关系数据的解析。
所述互联网资产关系数据包括:资产指纹信息和硬件资产信息。
对于S324,采用解析得到的所述互联网资产关系数据对所述互联网资产关系列表进行更新,从而实现了对所述互联网资产关系列表进行实时更新。
在一个实施例中,上述根据预设的威胁处理人员信息列表、各个所述预警信息,对所述受威胁互联网资产标识集中的每个所述互联网资产标识生成威胁处理工单的步骤,包括:
S51:根据所述受威胁互联网资产标识集对应的安全威胁类型,从所述威胁处理人员信息列表中找出威胁处理人员标识,得到候选威胁处理人员标识集;
S52:对所述受威胁互联网资产标识集中的各个所述互联网资产标识按资产安全等级属性进行集合划分,得到多个受威胁互联网资产标识子集;
S53:将任一个所述受威胁互联网资产标识子集作为待处理子集;
S54:根据均衡分配原则和所述候选威胁处理人员标识集,对所述待处理子集中的每个所述互联网资产标识确定目标威胁处理人员标识;
S55:根据同一个所述互联网资产标识对应的所述目标威胁处理人员标识及所述预警信息生成所述威胁处理工单。
本实施例将根据安全威胁类型找出候选威胁处理人员标识集按资产安全等级属性进行集合划分,然后采用均衡分配原则确定划分得到的每个子集中的每个所述互联网资产标识的目标威胁处理人员标识,最后将同一个所述互联网资产标识对应的所述目标威胁处理人员标识及所述预警信息生成所述威胁处理工单,提高了确定的威胁处理人员的准确性,基于采用均衡分配原则确定划分得到的每个子集中的每个所述互联网资产标识的目标威胁处理人员标识,从而实现将同一资产安全等级属性的受威胁互联网资产进行均匀分配,有利于资产安全等级属性高的受威胁互联网资产优先完成进行威胁预防处理。
对于S51,从所述威胁处理人员信息列表中找出与所述受威胁互联网资产标识集对应的安全威胁类型对应的各个威胁处理人员标识,将找出的各个威胁处理人员标识作为候选威胁处理人员标识集。
对于S52,对所述受威胁互联网资产标识集中的各个所述互联网资产标识按资产安全等级属性进行集合划分,将划分得到的每个子集作为所述受威胁互联网资产标识子集。也就是说,受威胁互联网资产标识子集中的各个互联网资产标识对应的资产安全等级属性相同。
对于S54,根据均衡分配原则和所述候选威胁处理人员标识集的当前正在处理的工单数量,对所述待处理子集中的每个所述互联网资产标识确定目标威胁处理人员标识。
对于S55,根据同一个所述互联网资产标识对应的所述目标威胁处理人员标识及所述预警信息生成工单,将生成的工单作为所述威胁处理工单。也就是说,所述威胁处理工单的各个数据对应同一个所述互联网资产标识。
可选的,所述根据同一个所述互联网资产标识对应的所述目标威胁处理人员标识及所述预警信息生成所述威胁处理工单的步骤之后,还包括:根据所述威胁处理工单发送提醒邮件给所述目标威胁处理人员标识对应的终端。
在一个实施例中,上述处理结果,确定所述安全威胁数据对应的互联网资产安全威胁处理结果的步骤之前,还包括:
S611:根据每个所述威胁处理工单对应的资产安全等级属性确定单监控配置数据;
S612:根据各个所述单监控配置数据设置定时监控任务;
S613:根据各个所述定时监控任务获取各个所述威胁处理工单各自对应的所述单工单处理结果;
S614:根据各个所述单工单处理结果进行分类统计,得到分类统计结果;
S615:根据所述分类统计结果和各个所述单工单处理结果生成报告,得到所述互联网资产安全威胁处理结果。
本实施例首先根据每个所述威胁处理工单对应的资产安全等级属性确定单监控配置数据,然后根据各个所述单监控配置数据设置定时监控任务,最后根据定时监控任务进行进度监控和各个所述威胁处理工单各自对应的所述单工单处理结果的获取,实现了自动化进行威胁处理工单的跟踪,提高了互联网资产的安全威胁处理的的及时性和可跟踪性。
对于S611,采用预设的单监控配置数据生成规则,根据每个所述威胁处理工单对应的资产安全等级属性生成单监控配置数据。
单监控配置数据包括:监控时间和工单标识。
对于S612,根据各个所述单监控配置数据对应的每个监控时间,设置一个定时监控任务。
对于S613,根据各个所述定时监控任务获取每个所述威胁处理工单对应的最终处理结果作为所述单工单处理结果。
对于S614,采用预设的分类统计方法,对各个所述单工单处理结果进行分类统计,将分类统计得到的数据作为分类统计结果。
对于S615,采用预设的报告生成规则,将所述分类统计结果和各个所述单工单处理结果生成报告,将生成的报告作为所述互联网资产安全威胁处理结果。
在一个实施例中,上述根据各个所述定时监控任务获取各个所述威胁处理工单各自对应的所述单工单处理结果的步骤,还包括:
S6131:判断各个所述定时监控任务是否执行完成;
S6132:若否,执行未执行完成的所述定时监控任务,获取与所述定时监控任务对应的每个所述威胁处理工单对应的单工单处理结果,得到每个所述威胁处理工单对应的获取结果;
S6133:若存在所述获取结果为失败,对为失败的所述获取结果对应的所述单监控配置数据进行更新,根据更新后的所述单监控配置数据设置所述定时监控任务,重复执行所述判断各个所述定时监控任务是否执行完成的步骤,直至各个所述获取结果均为成功;
S6134:若各个所述获取结果均为成功,采用预设时间获取各个所述威胁处理工单各自对应的所述单工单处理结果。
本实施例实现了通过定时监控任务自动跟踪各个所述威胁处理工单的处理进度,并自动调整跟踪集合,提高了互联网资产的安全威胁处理的的及时性和可跟踪性。
对于S6131,判断未完成定时监控任务集是否为空,若为空则确定各个所述定时监控任务执行完成,若不为空则确定各个所述定时监控任务未执行完成。
未完成定时监控任务集可以包括0个未完成的定时监控任务,也可以包括1个未完成的定时监控任务,还可以包括多个未完成的定时监控任务。
对于S6132,若否,也就是各个所述定时监控任务未执行完成,执行未执行完成的所述定时监控任务,获取与所述定时监控任务对应的每个所述威胁处理工单对应的单工单处理结果,将获取到单工单处理结果的所述威胁处理工单对应的获取结果确定为成功,将未获取到单工单处理结果的所述威胁处理工单对应的获取结果确定为失败。
对于S6133,若存在所述获取结果为失败,意味着为失败的所述获取结果对应的所述威胁处理工单未按预期处理完成,因此对为失败的所述获取结果对应的所述单监控配置数据进行更新,根据更新后的所述单监控配置数据设置所述定时监控任务,以实现对未按预设处理完成的所述威胁处理工单设置定时监控任务,然后重复执行步骤S6131至步骤S6133,直至各个所述获取结果均为成功。
对于S6134,若各个所述获取结果均为成功,意味着所有所述威胁处理工单均处理完成,在预设时间获取各个所述威胁处理工单各自对应的所述单工单处理结果。
在一个实施例中,上述对为失败的所述获取结果对应的所述单监控配置数据进行更新,根据更新后的所述单监控配置数据设置所述定时监控任务的步骤,包括:
S61331:将为失败的所述获取结果对应的每个所述威胁处理工单作为异常工单;
S61332:将各个所述异常工单发送给进度异常处理端;
S61333:获取所述进度异常处理端根据所述异常工单发送的待调整监控配置数据;
S61334:将所述待调整监控配置数据更新所述异常工单对应的所述单监控配置数据;
S61335:根据所述异常工单对应的所述单监控配置数据设置所述定时监控任务。
本实施例自动搜集失败的所述获取结果对应的每个所述威胁处理工单,通过异常处理端获取待调整监控配置数据,然后根据待调整监控配置数据进行单监控配置数据设置的更新及定时监控任务的设置,实现了自动调整跟踪集合,提高了互联网资产的安全威胁处理的的及时性和可跟踪性。
对于S61331,为失败的所述获取结果对应的每个所述威胁处理工单都是未按预期处理完成的工单,因此,将为失败的所述获取结果对应的每个所述威胁处理工单作为异常工单。
对于S61332,通过与异常处理端的通信连接,将各个所述异常工单发送给进度异常处理端。
对于S61333,所述进度异常处理端,采用预设的监控配置数据调整规则,根据所述异常工单进行监控配置数据调整,将调整后的监控配置数据作为待调整监控配置数据。通过与异常处理端的通信连接,获取所述进度异常处理端根据所述异常工单发送的待调整监控配置数据。
对于S61334,将所述待调整监控配置数据更新所述异常工单对应的所述单监控配置数据,为自动重新设置定时监控任务提供了基础。
对于S61335,判断所述异常工单对应的所述单监控配置数据对应的监控时间是否已经存在所述定时监控任务,若存在,则将所述异常工单添加到该所述定时监控任务,若不存在,则根据所述异常工单对应的所述单监控配置数据对应的监控时间新添加一个所述定时监控任务。
参照图2,本申请还提出了一种互联网资产安全威胁的处理装置,所述装置包括:
数据获取模块100,用于获取安全威胁数据;
攻击对象数据确定模块200,用于从所述安全威胁数据分析出攻击对象数据;
受威胁互联网资产标识集确定模块300,用于将所述攻击对象数据,在预设的互联网资产关系列表中进行互联网资产标识匹配,得到受威胁互联网资产标识集,其中,所述互联网资产关系列表中包括对访问流量分析数据和互联网探测扫描数据进行实时解析得到的信息;
预警信息确定模块400,用于若所述受威胁互联网资产标识集不为空,根据所述安全威胁数据,对所述受威胁互联网资产标识集的每个所述互联网资产标识生成预警信息;
威胁处理工单确定模块500,用于根据预设的威胁处理人员信息列表、各个所述预警信息,对所述受威胁互联网资产标识集中的每个所述互联网资产标识生成威胁处理工单;
互联网资产安全威胁处理结果确定模块600,用于根据获取的各个所述威胁处理工单各自对应的单工单处理结果,确定所述安全威胁数据对应的互联网资产安全威胁处理结果。
本实施例通过根据访问流量分析数据和互联网探测扫描数据实时更新互联网资产关系列表,基于实时更新的互联网资产关系列表实现了对每条安全威胁数据准确的确定受威胁互联网资产标识集,提高了互联网资产的安全威胁处理的准确性和全面性;而且通过对受威胁互联网资产标识集中的每个互联网资产标识生成预警信息和威胁处理工单,提高了互联网资产的安全威胁处理的的及时性和可跟踪性。
参照图3,本申请实施例中还提供一种计算机设备,该计算机设备可以是服务器,其内部结构可以如图3所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设计的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于储存互联网资产安全威胁的处理方法等数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种互联网资产安全威胁的处理方法。所述互联网资产安全威胁的处理方法,包括:获取安全威胁数据;从所述安全威胁数据分析出攻击对象数据;将所述攻击对象数据,在预设的互联网资产关系列表中进行互联网资产标识匹配,得到受威胁互联网资产标识集,其中,所述互联网资产关系列表中包括对访问流量分析数据和互联网探测扫描数据进行实时解析得到的信息;若所述受威胁互联网资产标识集不为空,根据所述安全威胁数据,对所述受威胁互联网资产标识集的每个所述互联网资产标识生成预警信息;根据预设的威胁处理人员信息列表、各个所述预警信息,对所述受威胁互联网资产标识集中的每个所述互联网资产标识生成威胁处理工单;根据获取的各个所述威胁处理工单各自对应的单工单处理结果,确定所述安全威胁数据对应的互联网资产安全威胁处理结果。
本实施例通过根据访问流量分析数据和互联网探测扫描数据实时更新互联网资产关系列表,基于实时更新的互联网资产关系列表实现了对每条安全威胁数据准确的确定受威胁互联网资产标识集,提高了互联网资产的安全威胁处理的准确性和全面性;而且通过对受威胁互联网资产标识集中的每个互联网资产标识生成预警信息和威胁处理工单,提高了互联网资产的安全威胁处理的的及时性和可跟踪性。
本申请一实施例还提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现一种互联网资产安全威胁的处理方法,包括步骤:获取安全威胁数据;从所述安全威胁数据分析出攻击对象数据;将所述攻击对象数据,在预设的互联网资产关系列表中进行互联网资产标识匹配,得到受威胁互联网资产标识集,其中,所述互联网资产关系列表中包括对访问流量分析数据和互联网探测扫描数据进行实时解析得到的信息;若所述受威胁互联网资产标识集不为空,根据所述安全威胁数据,对所述受威胁互联网资产标识集的每个所述互联网资产标识生成预警信息;根据预设的威胁处理人员信息列表、各个所述预警信息,对所述受威胁互联网资产标识集中的每个所述互联网资产标识生成威胁处理工单;根据获取的各个所述威胁处理工单各自对应的单工单处理结果,确定所述安全威胁数据对应的互联网资产安全威胁处理结果。
上述执行的互联网资产安全威胁的处理方法,通过根据访问流量分析数据和互联网探测扫描数据实时更新互联网资产关系列表,基于实时更新的互联网资产关系列表实现了对每条安全威胁数据准确的确定受威胁互联网资产标识集,提高了互联网资产的安全威胁处理的准确性和全面性;而且通过对受威胁互联网资产标识集中的每个互联网资产标识生成预警信息和威胁处理工单,提高了互联网资产的安全威胁处理的的及时性和可跟踪性。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的和实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可以包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双速据率SDRAM(SSRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、装置、物品或者方法不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、装置、物品或者方法所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、装置、物品或者方法中还存在另外的相同要素。
以上所述仅为本申请的优选实施例,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本申请的专利保护范围内。
Claims (9)
1.一种互联网资产安全威胁的处理方法,其特征在于,所述方法包括:
获取安全威胁数据;
从所述安全威胁数据分析出攻击对象数据;
将所述攻击对象数据,在预设的互联网资产关系列表中进行互联网资产标识匹配,得到受威胁互联网资产标识集,其中,所述互联网资产关系列表中包括对访问流量分析数据和互联网探测扫描数据进行实时解析得到的信息;
若所述受威胁互联网资产标识集不为空,根据所述安全威胁数据,对所述受威胁互联网资产标识集的每个所述互联网资产标识生成预警信息;
根据预设的威胁处理人员信息列表、各个所述预警信息,对所述受威胁互联网资产标识集中的每个所述互联网资产标识生成威胁处理工单;
根据获取的各个所述威胁处理工单各自对应的单工单处理结果,确定所述安全威胁数据对应的互联网资产安全威胁处理结果;
所述根据预设的威胁处理人员信息列表、各个所述预警信息,对所述受威胁互联网资产标识集中的每个所述互联网资产标识生成威胁处理工单的步骤,包括:
根据所述受威胁互联网资产标识集对应的安全威胁类型,从所述威胁处理人员信息列表中找出威胁处理人员标识,得到候选威胁处理人员标识集;
对所述受威胁互联网资产标识集中的各个所述互联网资产标识按资产安全等级属性进行集合划分,得到多个受威胁互联网资产标识子集;
将任一个所述受威胁互联网资产标识子集作为待处理子集;
根据均衡分配原则和所述候选威胁处理人员标识集,对所述待处理子集中的每个所述互联网资产标识确定目标威胁处理人员标识;
根据同一个所述互联网资产标识对应的所述目标威胁处理人员标识及所述预警信息生成所述威胁处理工单;
其中,采用均衡分配原则确定划分得到的每个子集中的每个所述互联网资产标识的目标威胁处理人员标识,从而实现将同一资产安全等级属性的受威胁互联网资产进行均匀分配。
2.根据权利要求1所述的互联网资产安全威胁的处理方法,其特征在于,所述将所述攻击对象数据,在预设的互联网资产关系列表中进行互联网资产标识匹配,得到受威胁互联网资产标识集的步骤,包括:
将所述攻击对象数据中的各个数据进行关联,得到待分析的关联数据;
将所述待分析的关联数据,在所述互联网资产关系列表中进行关联数据匹配,得到受威胁关联数据集;
根据所述攻击对象数据和所述受威胁关联数据集确定所述受威胁互联网资产标识集。
3.根据权利要求1所述的互联网资产安全威胁的处理方法,其特征在于,所述将所述攻击对象数据,在预设的互联网资产关系列表中进行互联网资产标识匹配,得到受威胁互联网资产标识集的步骤之前,还包括:
获取消息中间件发送的消息更新通知,其中,所述消息中间件用于接收访问流量分析器实时发送的所述访问流量分析数据和互联网探测扫描器实时发送的所述互联网探测扫描数据;
根据所述消息更新通知,从所述消息中间件中获取消息作为待解析的数据;
对所述待解析的数据进行互联网资产关系数据的解析;
采用解析得到的所述互联网资产关系数据对所述互联网资产关系列表进行更新。
4.根据权利要求1所述的互联网资产安全威胁的处理方法,其特征在于,所述根据获取的各个所述威胁处理工单各自对应的单工单处理结果,确定所述安全威胁数据对应的互联网资产安全威胁处理结果的步骤之前,还包括:
根据每个所述威胁处理工单对应的资产安全等级属性确定单监控配置数据;
根据各个所述单监控配置数据设置定时监控任务;
根据各个所述定时监控任务获取各个所述威胁处理工单各自对应的所述单工单处理结果;
根据各个所述单工单处理结果进行分类统计,得到分类统计结果;
根据所述分类统计结果和各个所述单工单处理结果生成报告,得到所述互联网资产安全威胁处理结果。
5.根据权利要求4所述的互联网资产安全威胁的处理方法,其特征在于,所述根据各个所述定时监控任务获取各个所述威胁处理工单各自对应的所述单工单处理结果的步骤,还包括:
判断各个所述定时监控任务是否执行完成;
若否,执行未执行完成的所述定时监控任务,获取与所述定时监控任务对应的每个所述威胁处理工单对应的单工单处理结果,得到每个所述威胁处理工单对应的获取结果;
若存在所述获取结果为失败,对为失败的所述获取结果对应的所述单监控配置数据进行更新,根据更新后的所述单监控配置数据设置所述定时监控任务,重复执行所述判断各个所述定时监控任务是否执行完成的步骤,直至各个所述获取结果均为成功;
若各个所述获取结果均为成功,采用预设时间获取各个所述威胁处理工单各自对应的所述单工单处理结果。
6.根据权利要求5所述的互联网资产安全威胁的处理方法,其特征在于,所述对为失败的所述获取结果对应的所述单监控配置数据进行更新,根据更新后的所述单监控配置数据设置所述定时监控任务的步骤,包括:
将为失败的所述获取结果对应的每个所述威胁处理工单作为异常工单;
将各个所述异常工单发送给进度异常处理端;
获取所述进度异常处理端根据所述异常工单发送的待调整监控配置数据;
将所述待调整监控配置数据更新为所述异常工单对应的所述单监控配置数据;
根据所述异常工单对应的所述单监控配置数据设置所述定时监控任务。
7.一种互联网资产安全威胁的处理装置,用于执行权利要求1-6任意一项所述的方法,其特征在于,所述装置包括:
数据获取模块,用于获取安全威胁数据;
攻击对象数据确定模块,用于从所述安全威胁数据分析出攻击对象数据;
受威胁互联网资产标识集确定模块,用于将所述攻击对象数据,在预设的互联网资产关系列表中进行互联网资产标识匹配,得到受威胁互联网资产标识集,其中,所述互联网资产关系列表中包括对访问流量分析数据和互联网探测扫描数据进行实时解析得到的信息;
预警信息确定模块,用于若所述受威胁互联网资产标识集不为空,根据所述安全威胁数据,对所述受威胁互联网资产标识集的每个所述互联网资产标识生成预警信息;
威胁处理工单确定模块,用于根据预设的威胁处理人员信息列表、各个所述预警信息,对所述受威胁互联网资产标识集中的每个所述互联网资产标识生成威胁处理工单;
互联网资产安全威胁处理结果确定模块,用于根据获取的各个所述威胁处理工单各自对应的单工单处理结果,确定所述安全威胁数据对应的互联网资产安全威胁处理结果。
8.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111436246.XA CN114143078B (zh) | 2021-11-29 | 2021-11-29 | 互联网资产安全威胁的处理方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111436246.XA CN114143078B (zh) | 2021-11-29 | 2021-11-29 | 互联网资产安全威胁的处理方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114143078A CN114143078A (zh) | 2022-03-04 |
| CN114143078B true CN114143078B (zh) | 2023-07-18 |
Family
ID=80389610
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111436246.XA Active CN114143078B (zh) | 2021-11-29 | 2021-11-29 | 互联网资产安全威胁的处理方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114143078B (zh) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113515433A (zh) * | 2021-07-28 | 2021-10-19 | 中移(杭州)信息技术有限公司 | 告警日志处理方法、装置、设备及存储介质 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8201257B1 (en) * | 2004-03-31 | 2012-06-12 | Mcafee, Inc. | System and method of managing network security risks |
| CN108449345B (zh) * | 2018-03-22 | 2022-01-18 | 深信服科技股份有限公司 | 一种网络资产持续安全监控方法、系统、设备及存储介质 |
| CN110535855B (zh) * | 2019-08-28 | 2021-07-30 | 北京安御道合科技有限公司 | 一种网络事件监测分析方法和系统、信息数据处理终端 |
| CN111199042A (zh) * | 2019-12-17 | 2020-05-26 | 中国南方电网有限责任公司超高压输电公司 | 一种安全高效漏洞管理系统 |
-
2021
- 2021-11-29 CN CN202111436246.XA patent/CN114143078B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113515433A (zh) * | 2021-07-28 | 2021-10-19 | 中移(杭州)信息技术有限公司 | 告警日志处理方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114143078A (zh) | 2022-03-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107888574B (zh) | 检测数据库风险的方法、服务器及存储介质 | |
| CN108304704B (zh) | 权限控制方法、装置、计算机设备和存储介质 | |
| US9954886B2 (en) | Method and apparatus for detecting website security | |
| CN112637220A (zh) | 一种工控系统安全防护方法及装置 | |
| CN108156141B (zh) | 一种实时数据识别方法、装置及电子设备 | |
| CN113162953B (zh) | 网络威胁报文检测及溯源取证方法和装置 | |
| US11487882B2 (en) | Vulnerability influence evaluation system | |
| CN113259392B (zh) | 一种网络安全攻防方法、装置及存储介质 | |
| CN111404937B (zh) | 一种服务器漏洞的检测方法和装置 | |
| CN112926942A (zh) | 一种互联网资产暴露信息排查方法 | |
| CN111865997B (zh) | 基于被动流量的web漏洞检测方法、装置、设备及介质 | |
| CN112822147A (zh) | 一种用于分析攻击链的方法、系统及设备 | |
| CN111628961A (zh) | 一种dns异常检测方法 | |
| CN113391990A (zh) | 系统日志的监控方法、装置、设备及存储介质 | |
| CN114143078B (zh) | 互联网资产安全威胁的处理方法、装置、设备及存储介质 | |
| CN113918938A (zh) | 一种持续免疫安全系统的用户实体行为分析方法及系统 | |
| CN112019377B (zh) | 网络用户角色识别的方法、系统、电子装置和存储介质 | |
| CN117254983A (zh) | 涉诈网址检测方法、装置、设备及存储介质 | |
| KR101968633B1 (ko) | 실시간 최신 악성코드 및 침해 진단 서비스 제공 방법 | |
| CN111131236A (zh) | 一种web指纹检测装置、方法、设备及介质 | |
| CN114793171B (zh) | 访问请求的拦截方法、装置、存储介质及电子装置 | |
| CN114363002B (zh) | 一种网络攻击关系图的生成方法及装置 | |
| US20220210180A1 (en) | Automated Detection of Cross Site Scripting Attacks | |
| CN115225636A (zh) | 请求处理方法、装置、计算机设备和存储介质 | |
| CN113326269A (zh) | 一种资产识别方法、设备、装置及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |