CN114760189A - 一种信息确定方法、设备和计算机可读存储介质 - Google Patents
一种信息确定方法、设备和计算机可读存储介质 Download PDFInfo
- Publication number
- CN114760189A CN114760189A CN202210334009.0A CN202210334009A CN114760189A CN 114760189 A CN114760189 A CN 114760189A CN 202210334009 A CN202210334009 A CN 202210334009A CN 114760189 A CN114760189 A CN 114760189A
- Authority
- CN
- China
- Prior art keywords
- alarm information
- information
- processed
- extended
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 61
- 230000008569 process Effects 0.000 claims description 23
- 238000004891 communication Methods 0.000 claims description 9
- 230000006399 behavior Effects 0.000 claims description 6
- 238000012545 processing Methods 0.000 description 18
- 238000010586 diagram Methods 0.000 description 9
- 238000004590 computer program Methods 0.000 description 7
- 239000000284 extract Substances 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 244000035744 Hura crepitans Species 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000001364 causal effect Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 239000002105 nanoparticle Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例公开了一种信息确定方法,该方法包括:获取当前待处理资产的告警信息,并从告警信息中提取关键告警信息;对关键告警信息进行分析,得到待处理资产的扩展告警信息;其中,扩展告警信息用于描述待处理资产被攻击的情况。本申请实施例还公开了一种信息确定设备和计算机可读存储介质。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种信息确定方法、设备和计算机可读存储介质。
背景技术
网络安全事件频繁发生。一般,企业会通过安全设备对企业系统进行安全检测,以获知企业系统是否遭到外部攻击,并在遭到外部攻击的情况下发出告警。然而,安全设备产生的告警信息会存在一定程度的误报导致无法对当前系统被攻击的情况进行有效辨别和及时处理,导致数据外泄。
发明内容
为解决上述技术问题,本申请实施例期望提供一种信息确定方法、设备和计算机可读存储介质,解决了相关技术中的安全设备产生的告警信息会存在一定程度的误报导致无法对当前系统被攻击的情况进行有效辨别并及时处理的问题,避免了数据外泄,且提高了处理准确率。
本申请的技术方案是这样实现的:
一种信息确定方法,所述方法包括:
获取当前待处理资产的告警信息,并从所述告警信息中提取关键告警信息;
对所述关键告警信息进行分析,得到所述待处理资产的扩展告警信息;其中,所述扩展告警信息用于描述所述待处理资产被攻击的情况。
上述方案中,所述获取当前待处理资产的告警信息,并从所述告警信息中提取关键告警信息,包括:
获取来自网络层、日志层和终端层的所述告警信息;
确定所述告警信息的来源;
基于所述来源,从所述告警信息中提取所述关键告警信息。
上述方案中,所述对所述关键告警信息进行分析,得到所述待处理资产的扩展告警信息,包括:
基于攻击属性,从所述关键告警信息中确定所述待处理资产的目标指标;其中,所述攻击属性表征所述待处理资产被攻击的类型;
基于所述目标指标,确定所述扩展告警信息。
上述方案中,所述基于所述目标指标,确定所述扩展告警信息,包括:
基于所述目标指标的标识和威胁数据库,确定所述扩展告警信息;其中,所述扩展告警信息表征攻击者的属性信息。
上述方案中,所述基于所述目标指标,确定所述扩展告警信息,包括:
在所述目标指标为目标文件的情况下,基于目标应用执行所述目标指标得到所述扩展告警信息;其中,所述扩展信息表征所述待处理资产被成功攻击后的情况和攻击者的属性信息。
上述方案中,所述基于所述目标指标,确定所述扩展告警信息,包括:
在所述目标指标为目标文件的情况下,获取所述目标指标的签名情况,并确定所述签名情况为所述扩展告警信息;其中,所述扩展告警信息表征所述目标指标的安全情况。
上述方案中,所述对所述关键告警信息进行分析,得到所述待处理资产的扩展告警信息,包括:
从所述关键告警信息中获取第一目标告警内容;
基于所述第一目标告警内容获取所述待处理资产的历史告警信息,并确定与所述待处理资产匹配的目标告警信息;
基于所述历史告警信息和所述目标告警信息,获取针对所述待处理资产的统计信息,并确定所述统计信息为所述扩展告警信息;其中,所述扩展告警信息表征攻击者的活跃趋势和所述待处理资产的被攻击程度。
上述方案中,所述对所述关键告警信息进行分析,得到所述待处理资产的扩展告警信息,包括:
从所述关键告警信息中获取第二目标告警内容;
基于所述第二目标告警内容和目标数据集,确定所述扩展告警信息;其中,所述扩展告警信息表征所述待处理资产被攻击的情况和所述待处理资产被攻击后的行为趋势。
上述方案中,所述方法还包括:
基于所述告警信息构建图结构;其中,所述图结构表征所述待处理资产被攻击的过程;
将所述扩展告警信息标注在所述图结构中。
上述方案中,所述方法还包括:
展示所述扩展告警信息。
一种信息确定设备,所述设备包括:处理器、存储器和通信总线;
所述通信总线用于实现所述处理器和所述存储器之间的通信连接;
所述处理器用于执行所述存储器中的信息确定程序,以实现上述的信息确定方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现上述的信息确定方法的步骤。
本申请的实施例所提供的信息确定方法、设备和计算机可读存储介质,可以获取当前待处理资产的告警信息并从告警信息中提取关键告警信息,接着对关键告警信息进行分析得到待处理资产的扩展告警信息,如此,在告警信息的基础上结合待处理资产的扩展告警信息可以对待处理资产被攻击的情况进行更快速且更准确地研判和处理,解决了相关技术中的安全设备产生的告警信息会存在一定程度的误报导致无法对当前系统被攻击的情况进行有效辨别并及时处理的问题,提高了处理准确率,避免了待处理资产的数据外泄。
附图说明
图1为本申请实施例提供的一种信息确定方法的流程示意图;
图2为本申请实施例提供的另一种信息确定方法的流程示意图;
图3为本申请实施例提供的一种信息确定设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。
应理解,说明书通篇中提到的“本申请实施例”或“前述实施例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此,在整个说明书各处出现的“本申请实施例中”或“在前述实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在未做特殊说明的情况下,电子设备执行本申请实施例中的任一步骤,可以是电子设备的处理器执行该步骤。还值得注意的是,本申请实施例并不限定电子设备执行下述步骤的先后顺序。另外,不同实施例中对数据进行处理所采用的方式可以是相同的方法或不同的方法。还需说明的是,本申请实施例中的任一步骤是电子设备可以独立执行的,即电子设备执行下述实施例中的任一步骤时,可以不依赖于其它步骤的执行。
应当理解,此处所描述的具体实施例仅用以解释本申请,并不用于限定本申请。
本申请实施例提供一种信息确定方法,该方法可以应用于信息确定设备中,参照图1所示,该方法包括以下步骤:
步骤101、获取当前待处理资产的告警信息,并从告警信息中提取关键告警信息。
在本申请实施例中,待处理资产可以包括一个或多个资产,告警信息是当前环境下的所有资产产生的告警信息。关键告警信息是从告警信息中提取出的能够用于判断待处理资产被攻击情况的信息,也即去除了告警信息中的不能用于判断待处理资产被攻击情况的非关键信息(即冗余信息),只保留了告警信息中的关键信息。一般,告警信息中会包含很多冗余信息,这些冗余信息会影响告警事件处理的效率,且与告警事件的研判结果没有关系,因此可以从告警信息中提取关键告警信息,以去除冗余信息,节省处理时间,提高处理效率。
在一种可行的方式中,信息确定设备可以按照IP地址、发生时间、攻击类型和告警编号等维度对当前环境中的待处理资产的告警信息进行遍历,以获取当前环境中的所有告警信息,还可以将获取到的所有告警信息存放至一个任务队列中,以进行下一步处理;还可以在获取到当前环境中的所有告警信息之后,继续对环境中的资产进行检测,在检测到有新增的告警信息的情况下,将新增的告警信息添加至任务队列中。需要说明的是,可以周期性处理任务队列中的告警信息;在一种可行的方式中,可以每隔3分钟处理一次任务队列中的告警信息,也即每隔3分钟从任务队列中的告警信息中提取关键告警信息。
步骤102、对关键告警信息进行分析,得到待处理资产的扩展告警信息。
其中,扩展告警信息用于描述待处理资产被攻击的情况。
在本申请实施例中,信息确定设备可以基于关键告警信息自身的属性信息对关键告警信息进行分析,以进一步获取表征待处理资产被攻击的情况的扩展告警信息,从而能够更快速且更准确地对告警信息进行研判和处理,节省了处理时间,提高了处理效率,减少了待处理资产的数据外泄。
本申请实施例所提供的信息确定方法,获取当前待处理资产的告警信息并从告警信息中提取关键告警信息,接着对关键告警信息进行分析得到待处理资产的扩展告警信息,如此,基于待处理资产的扩展告警信息结合告警信息就可以对待处理资产被攻击的情况进行更快速且更准确地研判和处理,解决了相关技术中的安全设备产生的告警信息会存在一定程度的误报导致无法对当前系统被攻击的情况进行有效辨别并及时处理的问题,提高了处理准确率,避免了待处理资产的数据外泄。
基于前述实施例,本申请实施例提供一种信息确定方法,参照图2所示,该方法包括以下步骤:
步骤201、信息确定设备获取来自网络层、日志层和终端层的告警信息。
在本申请实施例中,如果需要对某一企业的待处理资产进行检测,企业可以在网络层、日志层和终端层分别部署不同的安全设备,以对网络层、日志层和终端层等多个维度上的数据进行分析,从而获取到网络层、日志层和终端层等多个维度的告警信息;具体地,企业可以在网络层部署纳米颗粒跟踪分析(Nanoparticle Tracking Analysis,NTA)、防火墙(Firewall)、入侵检测系统(Intrusion Detection Systems,IDS)等安全设备;在终端层部署杀毒软件、终端检测响应平台(Endpoint Detection and Resopnse,EDR)等安全设备;日志层通过分析日志获取告警信息。当然企业还可以通过其它方式获取告警信息,本申请实施例对此不作限定。需要说明的是,不同的安全设备获取的告警信息的类型存在较大的差异性,通过从告警信息中提取关键告警信息还可以去除告警信息之间的差异性。
步骤202、信息确定设备确定告警信息的来源。
在本申请实施例中,告警信息的来源可以包括网络层、日志层和终端层。在一种可行的方式中,如果在网络层、日志层和终端层分别部署了一个安全设备,那么可以基于告警信息是从哪个安全设备中获取的来确定告警信息的来源,也即如果确定安全设备是针对网络层的,那么告警信息的来源就是网络层;如果确定安全设备是针对日志层的,那么告警信息的来源就是日志层;如果确定安全设备是针对终端层的,那么告警信息的来源就是终端层。
步骤203、信息确定设备基于来源,从告警信息中提取关键告警信息。
在本申请实施例中,可以预先设置好来源与关键告警信息之间的对应关系,如此就可以基于某一来源,从来源与关键告警信息之间的对应关系中获取到这个来源对应的关键告警信息。在一种可行的方式中,网络层的关键告警信息可以包括攻击者源网际互连协议(Internet Protocol,IP)地址、源端口、目的IP地址、目的端口、漏洞编号、攻击有效载荷(payload)中的控制反转(Inversion of Control,IOC)、远控IP地址、攻击次数、攻击成功状态、最新发生时间、第一次发生时间等信息;终端层的关键告警信息可以包括进程名称、进程身份标识号(Process Identity document,PID)、文件信息摘要算法(Message-DigestAlgorithm 5,MD5)、网络链接的目的地址、目的端口、攻击类型、当前进程的父进程、当前进程的子进程等信息;日志层的关键告警信息可以包括账号名、攻击类型、发生时间、源IP地址、源端口、网络协议等信息。
在本申请实施例中,在执行完步骤203获取关键告警信息之后,可以执行步骤204~205a、步骤204~205b、步骤204~205c、步骤206~208、步骤209~210中的任意一组步骤来获取扩展告警信息;在执行完步骤203获取关键告警信息之后,还可以执行依次执行步骤204~205(依次执行步骤205a~205c)、步骤206~208以及步骤209~210来获取扩展告警信息。
需要说明的是,图2仅示出了执行完步骤203后依次执行步骤204~205(依次执行步骤205a~205c)、步骤205b、205c、步骤206~208、步骤209~210的操作;但是参照本申请实施例提供的步骤以及说明,本领域技术人员可以获知其它情况的实现过程,本申请实施例对此不再赘述。
步骤204、信息确定设备基于攻击属性,从关键告警信息中确定待处理资产的目标指标。
其中,攻击属性表征待处理资产被攻击的类型。
在本申请实施例中,攻击属性可以包括但不限于攻击类型、攻击方向和特征字符中的至少一个,这种情况下,可以通过攻击类型、攻击方向和特征字符等多个维度来确定目标指标。其中,特征字符能表征待处理资产被攻击,特征字符可以为payload;目标指标可以为恶意指标。在一种可行的方式中,如果告警信息的攻击类型为遭受攻击事件,那么可以将对应的源IP(即攻击者IP)确定为目标指标;其中,遭受攻击事件是指待处理资产被攻击者攻击。如果告警信息的攻击类型为失陷类告警,那么可以将对应的目的IP确定为目标指标;其中,失陷类告警是指当前待处理资产已被攻击后主动发起下载链接至互联网。如果告警信息的攻击类型为下载恶意文件类型,那么可以将对应文件的md5确定为目标指标;其中,下载任意文件类型是指当前待处理资产有问题。
步骤205、信息确定设备基于目标指标,确定扩展告警信息。
其中,步骤205可以通过以下步骤205a、步骤205b、步骤205c中的任意一个步骤来实现,也可以依次执行步骤205a、步骤205b和步骤205c来实现:
需要说明的是,图2仅示出了步骤204之后,依次执行步骤205a、步骤205b、步骤205c的操作;但是参照本申请实施例提供的步骤以及说明,本领域技术人员可以获知其它情况的实现过程,本申请实施例对此不再赘述。
步骤205a、信息确定设备基于目标指标的标识和威胁数据库,确定扩展告警信息。
其中,扩展告警信息表征攻击者的属性信息。
在本申请实施例中,威胁数据库可以为威胁服务中心,目标指标的标识可以为IP地址、统一资源定位符(Uniform Resource Location,URL)、文件md5、文件安全三列算法(Secure Hash Algorithm,sha)256、域名等。
信息确定设备可以基于目标指标的标识,从威胁数据库中进行查找,以获取到目标指标的标识对应的扩展告警信息。在一种可行的方式中,威胁数据库存储有目标指标的标识和扩展告警信息之间的对应关系,如此信息确定设备在获取目标指标之后,可以通过系统应用程序编程接口(Application Programming Interface,API)或者发送携带目标指标的标识的信息获取请求的方式,从威胁数据库中查询到目标指标的标识对应的扩展告警信息,此时获取到的扩展告警信息包括当前是否为恶意告警、特定的家族类型、活跃状态、流行程度、是否为攻击团队、地址位置等信息
步骤205b、在目标指标为目标文件的情况下,信息确定设备基于目标应用执行目标指标得到扩展告警信息。
其中,扩展信息表征待处理资产被成功攻击后的情况和攻击者的属性信息。
在本申请实施例中,目标文件可以为可执行(Portable Executable,PE)文件、可执行可关联(Executable Linkable Format,ELF)文件、office文件等。目标应用可以为云端沙箱。在一种可行的方式中,信息确定设备可以通过系统API或者发送请求的方式将目标文件传输至云端沙箱,云端沙箱对目标文件进行虚拟执行,以获取扩展告警信息,此时的扩展告警信息可以为当前告警信息的威胁定性(是否为恶意)、恶意行为清单、动态执行报告、行为标签、家族名称、风险程度、安全评分等信息。
步骤205c、在目标指标为目标文件的情况下,信息确定设备获取目标指标的签名情况,并确定签名情况为扩展告警信息。
其中,扩展告警信息表征目标指标的安全情况。
在本申请实施例中,目标文件可以为可执行(Portable Executable,PE)文件、可执行可关联(Executable Linkable Format,ELF)文件、office文件等。扩展告警信息表征目标指标的安全情况,也即表征待处理资产的安全情况。在目标指标为目标文件的情况下,信息确定设备可以检测目标文件的签名情况,此时获取的扩展告警信息可以包括目标文件是否签名、签名厂商名称、签名时间等信息。
步骤206、信息确定设备从关键告警信息中获取第一目标告警内容。
在本申请实施例中,第一目标告警内容可以是预先设置好的;其中,第一目标告警内容可以包括攻击者IP、攻击类型、远控IP地址、文件md5等信息。在一种可行的方式中,信息确定设备可以从关键告警信息中抽取出第一目标告警内容。
步骤207、信息确定设备基于第一目标告警内容获取待处理资产的历史告警信息,并确定与待处理资产匹配的目标告警信息。
在本申请实施例中,历史告警信息是待处理资产之前发出的告警信息,历史告警信息可以包括历史的告警数量、攻击时间等信息。目标告警信息是指与待处理资产匹配的告警信息,目标告警信息可以为在当前网络环境中遭受到同一个攻击者IP攻击的其他受害者IP地址的清单、数量等信息。
步骤208、信息确定设备基于历史告警信息和目标告警信息,获取针对待处理资产的统计信息,并确定统计信息为扩展告警信息。
其中,扩展告警信息表征攻击者的活跃趋势和待处理资产的被攻击程度。
在本申请实施例中,统计信息是通过对历史告警信息和目标告警信息中的信息进行统计后得到的。信息确定设备可以对历史告警信息和目标告警信息的数量、类型、被攻击次数等信息进行统计,得到统计信息,然后基于统计信息得到扩展告警信息,得到的扩展告警信息可以为当前攻击者IP的活跃趋势、受害者资产数量等信息。
步骤209、信息确定设备获取第二目标告警内容。
在本申请实施例中,第二目标告警内容可以是预先设置好的;其中,第二目标告警内容可以设置为告警类型、告警描述和攻击阶段等内容。在一种可行的方式中,信息确定设备可以从关键告警信息中抽取出第二目标告警内容。
步骤210、信息确定设备基于第二目标告警内容和目标数据集,确定扩展告警信息。
其中,扩展告警信息表征待处理资产被攻击的情况和待处理资产被攻击后的行为趋势。
在本申请实施例中,目标数据集可以是预先设置的;其中,目标数据集用于表征告警属性,目标数据集可以包括告警类型、告警描述和攻击阶段等。在一种可行的方式中,可以预先设置好每一告警类型对应的数据采集清单、每一告警描述对应的数据采集清单、每一攻击阶段对应的数据采集清单;如此,在确定告警类型、告警描述和攻击阶段等第二目标告警内容之后,就可以基于数据采集清单,获取到对应的扩展告警信息。
在一种可行的方式中,如果告警类型为挖矿,此时扩展告警信息可以包括根据当前告警信息的发生时间获取对应资产在响应时间点附近区间的中央处理器(CentralProcessing Unit,CPU)、图像处理器(Graphic Processing Unit,GPU)的资源利用率趋势,以及对应的进程文件、进程PID、对应的进程文件签名等信息;如果高进类型为遭受RDP暴力破解攻击,此时的扩展告警信息可以包括基于告警信息发生的时间与源IP地址获取的对应的资产的远程数据处理机(Remote Data Processor,RDP)系统日志、源IP的登陆日志、登陆状态等信息。
基于前述实施例,在本申请其他实施例中,该信息确定方法还可以包括以下步骤:
步骤211、信息确定设备基于告警信息构建图结构。
其中,图结构表征待处理资产被攻击的过程。
在本申请实施例中,可以基于告警信息之间的时序关联、因果关联和进程链关联等关联关系,对告警信息进行聚合得到多个告警事件,然后针对每个告警事件,确定这个告警事件包括的告警信息之间的关联性,以发生告警信息的实体的标识为节点,基于这个告警事件包括的告警信息之间的关联程度和发生时间的关联度设置节点之间的连接关系得到图结构。在一种可行的方式中,基于每一资产的单个告警事件构建图结构后,还可以基于这个资产包括的告警事件之间的关联性对每一告警事件的图结构进行聚合得到第一聚合图结构,然后再基于多个资产之间的关联性对每一资产的第一聚合图结构进行再次聚合,得到多个相关资产的大型图结构。
步骤212、信息确定设备将扩展告警信息标注在图结构中。
在本申请实施例中,可以将图结构中每个节点对应的扩展告警信息标注在图结构中,还可以基于某一告警事件的告警信息得到的扩展告警信息进行排序后并添加至这个告警事件中,以进行组合举证,如此将扩展告警信息添加至安全告警的描述中,并通过前端的方法进行展示,可以辅助维护人员对告警事件进行研判和处理。
基于前述实施例,在本申请其他实施例中,该信息确定方法还可以包括以下步骤:
步骤213、信息确定设备展示扩展告警信息。
在本申请实施例中,信息确定设备在得到扩展告警信息之后,可以在获取到维护人员点击或查询某个告警信息时,将这个告警信息对应的扩展告警信息进行展示,以便于维护人员对这个告警信息进行全面分析,进而准确处理。
需要说明的是,本实施例中与其它实施例中相同步骤和相同内容的说明,可以参照其它实施例中的描述,此处不再赘述。
本申请实施例所提供的信息确定方法,在告警信息的基础上结合待处理资产的扩展告警信息可以对待处理资产被攻击的情况进行更快速且更准确地研判和处理,解决了相关技术中的安全设备产生的告警信息会存在一定程度的误报导致无法对当前系统被攻击的情况进行有效辨别并及时处理的问题,提高了处理准确率,避免了待处理资产的数据外泄。
基于前述实施例,本申请的实施例提供一种信息确定设备,该信息确定设备可以应用于图1~2对应的实施例提供的信息确定方法中,参照图3所示,该信息确定设备3可以包括:处理器31、存储器32和通信总线33,其中:
通信总线33用于实现处理器31和存储器32之间的通信连接;
处理器31用于执行存储器32中的信息确定程序,以实现以下步骤:
获取当前待处理资产的告警信息,并从所述告警信息中提取关键告警信息;
对所述关键告警信息进行分析,得到所述待处理资产的扩展告警信息;其中,所述扩展告警信息用于描述所述待处理资产被攻击的情况。
在本申请的其他实施例中,处理器31用于执行存储器32中的信息确定程序的获取当前待处理资产的告警信息,并从所述告警信息中提取关键告警信息,以实现以下步骤:
获取来自网络层、日志层和终端层的所述告警信息;
确定所述告警信息的来源;
基于所述来源,从所述告警信息中提取所述关键告警信息。
在本申请的其他实施例中,处理器31用于执行存储器32中的信息确定程序的对所述关键告警信息进行分析,得到所述待处理资产的扩展告警信息,以实现以下步骤:
基于攻击属性,从所述关键告警信息中确定所述待处理资产的目标指标;其中,攻击属性表征待处理资产被攻击的类型;
基于所述目标指标,确定所述扩展告警信息。
在本申请的其他实施例中,处理器31用于执行存储器32中的信息确定程序的基于所述目标指标,确定所述扩展告警信息,以实现以下步骤:
基于所述目标指标的标识和威胁数据库,确定所述扩展告警信息;其中,所述扩展告警信息表征攻击者的属性信息。
在本申请的其他实施例中,处理器31用于执行存储器32中的信息确定程序的基于所述目标指标,确定所述扩展告警信息,以实现以下步骤:
在所述目标指标为目标文件的情况下,基于目标应用执行所述目标指标得到所述扩展告警信息;其中,所述扩展信息表征所述待处理资产被成功攻击后的情况和攻击者的属性信息。
在本申请的其他实施例中,处理器31用于执行存储器32中的信息确定程序的基于所述目标指标,确定所述扩展告警信息,以实现以下步骤:
在所述目标指标为目标文件的情况下,获取所述目标指标的签名情况,并确定所述签名情况为所述扩展告警信息;其中,所述扩展告警信息表征所述目标指标的安全情况。
在本申请的其他实施例中,处理器31用于执行存储器32中的信息确定程序的对所述关键告警信息进行分析,得到所述待处理资产的扩展告警信息,以实现以下步骤:
从所述关键告警信息中获取第一目标告警内容;
基于所述第一目标告警内容获取所述待处理资产的历史告警信息,并确定与所述待处理资产匹配的目标告警信息;
基于所述历史告警信息和所述目标告警信息,获取针对所述待处理资产的统计信息,并确定所述统计信息为所述扩展告警信息;其中,所述扩展告警信息表征攻击者的活跃趋势和所述待处理资产的被攻击程度。
在本申请的其他实施例中,处理器31用于执行存储器32中的信息确定程序的对所述关键告警信息进行分析,得到所述待处理资产的扩展告警信息,以实现以下步骤:
从所述关键告警信息中获取第二目标告警内容;
基于所述第二目标告警内容和目标数据集,确定所述扩展告警信息;其中,所述扩展告警信息表征所述待处理资产被攻击的情况和所述待处理资产被攻击后的行为趋势。
在本申请的其他实施例中,处理器31用于执行存储器32中的信息确定程序还可以实现以下步骤:
基于所述告警信息构建图结构;其中,所述图结构表征所述待处理资产被攻击的过程;
将所述扩展告警信息标注在所述图结构中。
在本申请的其他实施例中,处理器31用于执行存储器32中的信息确定程序的还可以实现以下步骤:
展示所述扩展告警信息。
需要说明的是,处理器所执行的步骤的具体说明可以参照图1~2对应的实施例提供的信息确定方法中,此处不再赘述。
本申请实施例所提供的信息确定设备,在告警信息的基础上结合待处理资产的扩展告警信息可以对待处理资产被攻击的情况进行更快速且更准确地研判和处理,解决了相关技术中的安全设备产生的告警信息会存在一定程度的误报导致无法对当前系统被攻击的情况进行有效辨别并及时处理的问题,提高了处理准确率,避免了待处理资产的数据外泄。
基于前述实施例,本申请的实施例提供一种计算机可读存储介质,该计算机可读存储介质存储有一个或者多个程序,该一个或者多个程序可被一个或者多个处理器执行,以实现图1~2对应的实施例提供的信息确定方法的步骤。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述,仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。
Claims (10)
1.一种信息确定方法,其特征在于,所述方法包括:
获取当前待处理资产的告警信息,并从所述告警信息中提取关键告警信息;
对所述关键告警信息进行分析,得到所述待处理资产的扩展告警信息;其中,所述扩展告警信息用于描述所述待处理资产被攻击的情况。
2.根据权利要求1所述的方法,其特征在于,所述获取当前待处理资产的告警信息,并从所述告警信息中提取关键告警信息,包括:
获取来自网络层、日志层和终端层的所述告警信息;
确定所述告警信息的来源;
基于所述来源,从所述告警信息中提取所述关键告警信息。
3.根据权利要求1所述的方法,其特征在于,所述对所述关键告警信息进行分析,得到所述待处理资产的扩展告警信息,包括:
基于攻击属性,从所述关键告警信息中确定所述待处理资产的目标指标;其中,所述攻击属性表征所述待处理资产被攻击的类型;
基于所述目标指标,确定所述扩展告警信息。
4.根据权利要求3所述的方法,其特征在于,所述基于所述目标指标,确定所述扩展告警信息,包括:
在所述目标指标为目标文件的情况下,基于目标应用执行所述目标指标得到所述扩展告警信息;其中,所述扩展信息表征所述待处理资产被成功攻击后的情况和攻击者的属性信息。
5.根据权利要求1所述的方法,其特征在于,所述对所述关键告警信息进行分析,得到所述待处理资产的扩展告警信息,包括:
从所述关键告警信息中获取第一目标告警内容;
基于所述第一目标告警内容获取所述待处理资产的历史告警信息,并确定与所述待处理资产匹配的目标告警信息;
基于所述历史告警信息和所述目标告警信息,获取针对所述待处理资产的统计信息,并确定所述统计信息为所述扩展告警信息;其中,所述扩展告警信息表征攻击者的活跃趋势和所述待处理资产的被攻击程度。
6.根据权利要求1所述的方法,其特征在于,所述对所述关键告警信息进行分析,得到所述待处理资产的扩展告警信息,包括:
从所述关键告警信息中获取第二目标告警内容;
基于所述第二目标告警内容和目标数据集,确定所述扩展告警信息;其中,所述扩展告警信息表征所述待处理资产被攻击的情况和所述待处理资产被攻击后的行为趋势。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
基于所述告警信息构建图结构;其中,所述图结构表征所述待处理资产被攻击的过程;
将所述扩展告警信息标注在所述图结构中。
8.根据权利要求1所述的方法,其特征在于,所述方法还包括:
展示所述扩展告警信息。
9.一种信息确定设备,其特征在于,所述设备包括:处理器、存储器和通信总线;
所述通信总线用于实现所述处理器和所述存储器之间的通信连接;
所述处理器用于执行所述存储器中的信息确定程序,以实现如权利要求1~8中任一项所述的信息确定方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如权利要求1~8中任一项所述的信息确定方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210334009.0A CN114760189A (zh) | 2022-03-30 | 2022-03-30 | 一种信息确定方法、设备和计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210334009.0A CN114760189A (zh) | 2022-03-30 | 2022-03-30 | 一种信息确定方法、设备和计算机可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114760189A true CN114760189A (zh) | 2022-07-15 |
Family
ID=82328672
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210334009.0A Pending CN114760189A (zh) | 2022-03-30 | 2022-03-30 | 一种信息确定方法、设备和计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114760189A (zh) |
Citations (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101499928A (zh) * | 2009-03-18 | 2009-08-05 | 苏州盛世阳科技有限公司 | 一种基于聚类分析的网络入侵场景图生成方法 |
| CN105207826A (zh) * | 2015-10-26 | 2015-12-30 | 南京联成科技发展有限公司 | 一种基于Tachyou的Spark大数据平台的安全攻击告警定位系统 |
| CN109286511A (zh) * | 2017-07-19 | 2019-01-29 | 东软集团股份有限公司 | 数据处理的方法及装置 |
| CN109729095A (zh) * | 2019-02-13 | 2019-05-07 | 北京奇安信科技有限公司 | 数据处理方法、装置和计算设备及介质 |
| CN109922075A (zh) * | 2019-03-22 | 2019-06-21 | 中国南方电网有限责任公司 | 网络安全知识图谱构建方法和装置、计算机设备 |
| CN110213077A (zh) * | 2019-04-18 | 2019-09-06 | 国家电网有限公司 | 一种确定电力监控系统安全事件的方法、装置及系统 |
| CN111277561A (zh) * | 2019-12-27 | 2020-06-12 | 北京威努特技术有限公司 | 网络攻击路径预测方法、装置及安全管理平台 |
| CN111490970A (zh) * | 2020-02-19 | 2020-08-04 | 西安交大捷普网络科技有限公司 | 一种网络攻击的溯源分析方法 |
| CN111800395A (zh) * | 2020-06-18 | 2020-10-20 | 云南电网有限责任公司信息中心 | 一种威胁情报防御方法和系统 |
| CN111818089A (zh) * | 2020-07-31 | 2020-10-23 | 北京微步在线科技有限公司 | 一种网络攻击事件的展示方法及存储介质 |
| CN112153002A (zh) * | 2020-08-24 | 2020-12-29 | 杭州安恒信息技术股份有限公司 | 告警信息分析方法、装置、计算机设备和存储介质 |
| CN112163753A (zh) * | 2020-09-22 | 2021-01-01 | 杭州安恒信息技术股份有限公司 | 资产风险评估方法、装置、计算机设备和存储介质 |
| CN112351008A (zh) * | 2020-10-27 | 2021-02-09 | 杭州安恒信息技术股份有限公司 | 网络攻击分析方法、装置、可读存储介质及计算机设备 |
| CN112738071A (zh) * | 2020-12-25 | 2021-04-30 | 中能融合智慧科技有限公司 | 一种攻击链拓扑的构建方法及装置 |
| CN113259176A (zh) * | 2021-06-11 | 2021-08-13 | 长扬科技(北京)有限公司 | 一种告警事件分析方法和装置 |
| CN113315785A (zh) * | 2021-06-23 | 2021-08-27 | 深信服科技股份有限公司 | 一种告警消减方法、装置、设备和计算机可读存储介质 |
| CN113472803A (zh) * | 2021-07-13 | 2021-10-01 | 杭州安恒信息技术股份有限公司 | 漏洞攻击状态检测方法、装置、计算机设备和存储介质 |
-
2022
- 2022-03-30 CN CN202210334009.0A patent/CN114760189A/zh active Pending
Patent Citations (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101499928A (zh) * | 2009-03-18 | 2009-08-05 | 苏州盛世阳科技有限公司 | 一种基于聚类分析的网络入侵场景图生成方法 |
| CN105207826A (zh) * | 2015-10-26 | 2015-12-30 | 南京联成科技发展有限公司 | 一种基于Tachyou的Spark大数据平台的安全攻击告警定位系统 |
| CN109286511A (zh) * | 2017-07-19 | 2019-01-29 | 东软集团股份有限公司 | 数据处理的方法及装置 |
| CN109729095A (zh) * | 2019-02-13 | 2019-05-07 | 北京奇安信科技有限公司 | 数据处理方法、装置和计算设备及介质 |
| CN109922075A (zh) * | 2019-03-22 | 2019-06-21 | 中国南方电网有限责任公司 | 网络安全知识图谱构建方法和装置、计算机设备 |
| CN110213077A (zh) * | 2019-04-18 | 2019-09-06 | 国家电网有限公司 | 一种确定电力监控系统安全事件的方法、装置及系统 |
| CN111277561A (zh) * | 2019-12-27 | 2020-06-12 | 北京威努特技术有限公司 | 网络攻击路径预测方法、装置及安全管理平台 |
| CN111490970A (zh) * | 2020-02-19 | 2020-08-04 | 西安交大捷普网络科技有限公司 | 一种网络攻击的溯源分析方法 |
| CN111800395A (zh) * | 2020-06-18 | 2020-10-20 | 云南电网有限责任公司信息中心 | 一种威胁情报防御方法和系统 |
| CN111818089A (zh) * | 2020-07-31 | 2020-10-23 | 北京微步在线科技有限公司 | 一种网络攻击事件的展示方法及存储介质 |
| CN112153002A (zh) * | 2020-08-24 | 2020-12-29 | 杭州安恒信息技术股份有限公司 | 告警信息分析方法、装置、计算机设备和存储介质 |
| CN112163753A (zh) * | 2020-09-22 | 2021-01-01 | 杭州安恒信息技术股份有限公司 | 资产风险评估方法、装置、计算机设备和存储介质 |
| CN112351008A (zh) * | 2020-10-27 | 2021-02-09 | 杭州安恒信息技术股份有限公司 | 网络攻击分析方法、装置、可读存储介质及计算机设备 |
| CN112738071A (zh) * | 2020-12-25 | 2021-04-30 | 中能融合智慧科技有限公司 | 一种攻击链拓扑的构建方法及装置 |
| CN113259176A (zh) * | 2021-06-11 | 2021-08-13 | 长扬科技(北京)有限公司 | 一种告警事件分析方法和装置 |
| CN113315785A (zh) * | 2021-06-23 | 2021-08-27 | 深信服科技股份有限公司 | 一种告警消减方法、装置、设备和计算机可读存储介质 |
| CN113472803A (zh) * | 2021-07-13 | 2021-10-01 | 杭州安恒信息技术股份有限公司 | 漏洞攻击状态检测方法、装置、计算机设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109922075B (zh) | 网络安全知识图谱构建方法和装置、计算机设备 | |
| CN110933101B (zh) | 安全事件日志处理方法、装置及存储介质 | |
| US10303873B2 (en) | Device for detecting malware infected terminal, system for detecting malware infected terminal, method for detecting malware infected terminal, and program for detecting malware infected terminal | |
| CN110719291A (zh) | 一种基于威胁情报的网络威胁识别方法及识别系统 | |
| CN112685682B (zh) | 一种攻击事件的封禁对象识别方法、装置、设备及介质 | |
| US10601847B2 (en) | Detecting user behavior activities of interest in a network | |
| CN112134897B (zh) | 网络攻击数据的处理方法和装置 | |
| CN110837640A (zh) | 恶意文件的查杀方法、查杀设备、存储介质及装置 | |
| CN113051573B (zh) | 一种基于大数据的主机安全实时监控警报系统 | |
| CN112073437A (zh) | 多维度的安全威胁事件分析方法、装置、设备及存储介质 | |
| CN114172703A (zh) | 一种恶意软件识别方法、装置、介质 | |
| JP2023550974A (ja) | イメージ基盤悪性コード検知方法および装置とこれを利用する人工知能基盤エンドポイント脅威検知および対応システム | |
| WO2019181005A1 (ja) | 脅威分析システム、脅威分析方法および脅威分析プログラム | |
| US10454959B2 (en) | Importance-level calculation device, output device, and recording medium in which computer program is stored | |
| CN111212055A (zh) | 非侵入式网站远程检测系统及检测方法 | |
| JP2010250607A (ja) | 不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラム | |
| CN114760189A (zh) | 一种信息确定方法、设备和计算机可读存储介质 | |
| US20170054742A1 (en) | Information processing apparatus, information processing method, and computer readable medium | |
| CN112948831B (zh) | 应用程序风险识别的方法和装置 | |
| US8291494B1 (en) | System, method, and computer program product for detecting unwanted activity associated with an object, based on an attribute associated with the object | |
| CN112953895B (zh) | 一种攻击行为检测方法、装置、设备及可读存储介质 | |
| CN115118504A (zh) | 知识库更新方法、装置、电子设备及存储介质 | |
| JP2019028948A (ja) | フロー生成プログラム、フロー生成装置及びフロー生成方法 | |
| CN112989355A (zh) | 一种漏洞威胁感知方法、装置、存储介质和设备 | |
| CN112487419A (zh) | 一种计算机网络信息安全事件处理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |