CN114826685A - 一种信息分析方法、设备和计算机可读存储介质 - Google Patents

一种信息分析方法、设备和计算机可读存储介质 Download PDF

Info

Publication number
CN114826685A
CN114826685A CN202210332608.9A CN202210332608A CN114826685A CN 114826685 A CN114826685 A CN 114826685A CN 202210332608 A CN202210332608 A CN 202210332608A CN 114826685 A CN114826685 A CN 114826685A
Authority
CN
China
Prior art keywords
target
alarm information
alarm
node
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210332608.9A
Other languages
English (en)
Other versions
CN114826685B (zh
Inventor
蒲大峰
许茂林
刘嘉怡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN202210332608.9A priority Critical patent/CN114826685B/zh
Publication of CN114826685A publication Critical patent/CN114826685A/zh
Application granted granted Critical
Publication of CN114826685B publication Critical patent/CN114826685B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • H04L41/064Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis involving time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • H04L41/065Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis involving logical or physical relationship, e.g. grouping and hierarchies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例公开了一种信息分析方法,所述方法包括:获取目标资产的目标告警事件;其中,目标告警事件包括多个目标告警信息;基于每一目标告警事件的目标标识和目标告警信息,确定目标资产的被攻击过程;其中,目标标识表征发出目标告警信息的对象。本申请实施例还公开了一种信息分析设备和计算机可读存储介质。

Description

一种信息分析方法、设备和计算机可读存储介质
技术领域
本申请涉及计算机技术领域,尤其涉及一种信息分析方法、设备和计算机可读存储介质。
背景技术
网络安全事件频繁发生。一般,企业会通过安全设备对企业系统进行安全检测,以获知企业系统是否遭到外部攻击,并在遭到外部攻击的情况下发出告警。然而,不同设备产生的告警类型不同,企业维护人员在接收到大量告警信息的情况下,无法对这些告警信息进行有效辨别并及时处理,会导致企业系统遭到攻击,数据外泄。
发明内容
为解决上述技术问题,本申请实施例期望提供一种信息分析方法、设备和计算机可读存储介质,解决了相关技术中的维护人员无法快速对这些告警信息进行研判和处理的问题。
本申请的技术方案是这样实现的:
一种信息分析方法,所述方法包括:
获取目标资产的目标告警事件;其中,所述目标告警事件包括多个目标告警信息;
基于每一所述目标告警事件的目标标识和目标告警信息,确定所述目标资产的被攻击过程;其中,所述目标标识表征发出所述目标告警信息的对象。
上述方案中,所述获取目标资产的目标告警事件,包括:
获取待处理资产的初始告警信息;其中,所述初始告警信息包括来自网络层、日志层和终端层的告警信息;
基于预设关联维度对所述初始告警信息进行处理,得到所述待处理资产的告警事件;其中,所述告警事件包括每一所述待处理资产的资产标识和每一所述待处理资产对应的告警信息;
基于所述目标资产的目标资产标识,从所述告警事件中确定所述目标告警事件。
上述方案中,所述基于预设关联维度对所述初始告警信息进行处理,得到所述待处理资产的告警事件,包括:
确定所述初始告警信息之间的时序关联;其中,所述预设关联维度包括所述时序关联;
基于所述时序关联,对所述初始告警信息进行划分得到所述告警事件。
上述方案中,所述基于预设关联维度对所述初始告警信息进行处理,得到所述告警事件,包括:
确定所述待处理资产的攻击场景;其中,所述预设关联维度包括所述攻击场景;
基于攻击场景列表,获取所述攻击场景对应的攻击告警信息;
基于所述攻击告警信息,对所述初始告警信息进行筛选得到所述告警事件。
上述方案中,所述基于预设关联维度对所述初始告警信息进行处理,得到所述告警事件,包括:
确定所述初始告警信息之间的因果关联;其中,所述预设关联维度包括所述因果关联;
基于所述因果关联,对所述初始告警信息进行划分得到所述告警事件。
上述方案中,所述基于预设关联维度对所述初始告警信息进行处理,得到所述告警事件,包括:
确定所述初始告警信息之间的进程链关联;其中,所述预设关联维度包括所述进程链关联;
基于所述进程链关联,对所述初始告警信息进行划分得到所述告警事件。
上述方案中,所述基于每一所述目标告警事件的目标标识和目标告警信息,确定所述目标资产的被攻击过程,包括:
针对每一所述目标告警事件,确定所述目标告警信息之间的关联性;
以所述目标标识为节点,并基于所述关联性设置节点之间的连接关系,得到图结构;其中,所述图结构表征所述目标资产的被攻击过程。
上述方案中,所述以所述目标标识为节点,并基于所述关联性设置节点之间的连接关系,得到图结构,包括:
以所述目标标识为节点,并基于所述目标告警信息之间的关联程度和所述目标告警信息发生时间的关联度,设置所述节点之间的连接关系得到所述图结构;其中,所述关联程度表征所述目标告警信息之间的逻辑关系。
上述方案中,所述以所述目标标识为节点,并基于所述目标告警信息之间的关联程度和所述目标告警信息发生时间的关联度,设置所述节点之间的连接关系得到所述图结构,包括:
从所述目标告警信息中确定发生时间最早的第一告警信息,并确定所述第一告警信息对应的目标标识为初始节点;其中,所述初始节点为第一层级的节点;
基于与所述第一告警信息的关联程度,从所述目标告警信息中确定第二告警信息,并确定所述第二告警信息对应的目标标识为第二层级的节点;
基于所述第二告警信息发生时间的关联度,从所述第二层级的节点中确定第二个节点;
基于与所述第二个节点对应的第二告警信息的关联程度,从所述目标告警信息中确定第三告警信息,并确定所述第三告警信息对应的目标标识为第三层级的节点,直至得到第i层级的节点和所述第i层级的第i个节点;其中,所述第i个节点不存在相关联的下一级节点;其中,i为正整数;
确定与第i层级之间的层级数最少、且具有未确定相关联的下一级节点的第n层级的节点,并基于所述第n层级的节点对应的告警信息发生时间的关联度,从所述第n层级的节点中确定第n+1个节点,直至遍历完所述目标告警信息,得到所述图结构。
上述方案中,所述方法还包括:
基于所述目标告警信息,确定所述图结构中每个节点的风险等级;
基于所述目标告警信息的来源,确定所述每个节点的节点类型;
基于所述风险等级和所述节点类型,对所述图结构进行优化,得到所述目标图结构。
上述方案中,所述基于所述风险等级和所述节点类型,对所述图结构进行优化,得到所述目标图结构,包括:
基于所述节点类型,确定所述每一节点对应的目标告警信息的告警详情信息;
基于所述风险等级,确定所述每一节点的表现形式;
以所述表现形式,将所述告警详情信息和所述风险等级标注在所述图结构中,得到所述目标图结构。
上述方案中,所述方法还包括:
基于所述目标告警事件的关联性,对所述目标告警事件对应的目标图结构进行聚合得到聚合图结构。
上述方案中,所述方法还包括:
展示所述被攻击过程。
一种信息分析设备,所述设备包括:处理器、存储器和通信总线;
所述通信总线用于实现所述处理器和所述存储器之间的通信连接;
所述处理器用于执行所述存储器中的信息分析程序,以实现上述的信息分析方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现上述的信息分析方法的步骤。
本申请实施例所提供的信息分析方法、设备和计算机可读存储介质,可以获取目标资产的目标告警事件,基于每一目标告警事件的目标标识和目标告警信息确定目标资产的被攻击过程,如此,通过基于每一目标告警时间的目标标识和目标告警信息确定目标资产的被攻击过程之后,可以快速获知目标对象的被攻击情况,及时对目标告警事件进行研判和处理,减少目标资产的损伤,解决了相关技术中的维护人员无法快速对这些告警信息进行研判和处理,提高了处理速率。
附图说明
图1为本申请实施例提供的一种信息分析方法的流程示意图;
图2为本申请实施例提供的另一种信息分析方法的流程示意图;
图3为本申请实施例提供的又一种信息分析方法的流程示意图;
图4为本申请实施例提供的一种信息分析方法对应的网络活动的图结构的示意图;
图5为本申请实施例提供的一种信息分析设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。
应理解,说明书通篇中提到的“本申请实施例”或“前述实施例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此,在整个说明书各处出现的“本申请实施例中”或“在前述实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在未做特殊说明的情况下,电子设备执行本申请实施例中的任一步骤,可以是电子设备的处理器执行该步骤。还值得注意的是,本申请实施例并不限定电子设备执行下述步骤的先后顺序。另外,不同实施例中对数据进行处理所采用的方式可以是相同的方法或不同的方法。还需说明的是,本申请实施例中的任一步骤是电子设备可以独立执行的,即电子设备执行下述实施例中的任一步骤时,可以不依赖于其它步骤的执行。
应当理解,此处所描述的具体实施例仅用以解释本申请,并不用于限定本申请。
本申请实施例提供一种信息分析方法,该方法可以应用于信息分析设备中,参照图1所示,该方法包括以下步骤:
步骤101、获取目标资产的目标告警事件。
其中,目标告警事件包括多个目标告警信息。
在本申请实施例中,目标资产是当前遭受到外部攻击的资产,目标资产可以为服务器、数据库、网站和软件应用等。目标告警事件可以为一个告警事件,也可以为多个告警事件,一个告警事件可以为当前目标资产遭受到的一次攻击;目标告警事件可以为蠕虫攻击、木马攻击等;安全检测在检测到目标告警事件时,还可以获取目标告警事件的发生时间、类型、攻击阶段、受害者资产、威胁描述、风险等级、网络五元组等。一个告警事件可以包括多个告警信息,也即是,一次攻击可以引发多处异常而产生多个告警信息,并且这多个告警信息之间是有一定关联的。
在一种可行的方式中,每个目标资产都有一个唯一的资产标识,该资产标识可以为目标资产的网际互连协议(Internet Protocol,IP)地址、介质访问控制(Media AccessControl Address,Mac)地址、对象名称等;信息分析设备可以基于目标资产的唯一标识从告警事件清单中获取目标告警事件,告警事件清单包括多个资产以及每个资产对应的告警事件。
步骤102、基于每一目标告警事件的目标标识和目标告警信息,确定目标资产的被攻击过程。
其中,目标标识表征发出目标告警信息的对象。
在本申请实施例中,发出目标告警信息的对象可以为目标资产中的进程、文件、注册表、IP端口、用户等实体;目标标识可以为IP地址、网址、对象名称等;在一种可行的方式中,如果发出目标告警信息的对象为网站,那么此时的目标标识可以为网址或IP地址;如果发出目标告警信息的对象为进程,那么此时的目标标识为进程名称或进程身份标识号(Process Identity document,PID)。
在本申请实施例中,一个目标告警事件包括的多个目标告警信息是有关联性的,因此可以基于这个目标告警事件包括的目标告警信息之间的关联性和每一目标告警信息对应的目标标识来形成描述这个目标告警事件的故事线,以确定目标资产的被攻击过程,便于维护人员获知目标资产的被攻击过程,进而快速有效地对目标告警事件进行研判和处理,减少目标资产的损伤。
本申请实施例所提供的信息分析方法,获取目标资产的目标告警事件,基于每一目标告警事件的目标标识和目标告警信息确定目标资产的被攻击过程,如此,通过基于每一目标告警时间的目标标识和目标告警信息确定目标资产的被攻击过程之后,可以快速获知目标对象的被攻击情况,及时对目标告警事件进行研判和处理,减少目标资产的损伤,解决了相关技术中的维护人员无法快速对这些告警信息进行研判和处理,提高了处理速率。
基于前述实施例,本申请实施例提供一种信息分析方法,参照图2所示,该方法包括以下步骤:
步骤201、信息分析设备获取待处理资产的初始告警信息。
其中,初始告警信息包括来自网络层、日志层和终端层的告警信息。
在本申请实施例中,待处理资产可以为企业系统的一个或多个资产,该待处理资产可以包括服务器、数据库、网站以及各种软件应用等。在一种可行的方式中,针对每个待处理资产,企业系统可以给这个待处理资产部署一个安全检测设备来对网络层、日志层和终端层的信息进行安全检测,获取来自网络层、日志层和终端层等多个维度上的初始告警信息;针对每个待处理资产,企业系统也可以分别在网络层、日志层和终端层上部署一个安全检测设备以分别对网络层、日志层和终端层的信息进行安全检测,获取来自网络日志层和终端层等多个维度上的初始告警信息,本申请实施例不作限定初始告警信息的获取方式,只要能够获取多个待处理资产的初始告警信息即可。
在本申请实施例中,初始告警信息之间存在一致性,也即两条初始告警信息可能来源于同一个发出告警信息的对象,初始告警信息的类型主要有网络层和终端层,来自网络层的初始告警信息可以包括网络五元组信息:源IP地址、源端口、目的地址、目的端口和通信协议;来自终端层的初始告警信息可以包括可疑的进程、主机的IP地址、执行的命令行、异常的网络链接等信息。
步骤202、信息分析设备基于预设关联维度对初始告警信息进行处理,得到待处理资产的告警事件。
其中,告警事件包括每一待处理资产的资产标识和每一待处理资产对应的告警信息。
在本申请实施例中,预设关联维度可以预先设置,预设关联维度用于对初始告警信息进行处理以得到每个待处理资产对应的告警事件以及每个告警事件包括的告警信息。
步骤203、信息分析设备基于目标资产的目标资产标识,从告警事件中确定目标告警事件。
其中,目标告警事件包括多个目标告警信息。
在本申请实施例中,目标资产标识用于标识目标资产。在一种可行的方式中,信息分析设备在获取每个资产的告警事件和每个告警事件包括的告警信息之后,可以将每个资产的资产标识和告警事件对应存储至告警事件清单中,以便基于目标资产标识从告警事件清单中获取到目标资产的目标告警事件。
步骤204、信息分析设备针对每一目标告警事件,确定目标告警信息之间的关联性。
在本申请实施例中,由于一个告警事件的多个告警信息可以形成一个故事线来共同描述这个告警事件,因此一个告警事件包括的多个告警信息是有一定关联性的。那么在获取到目标告警事件之后,可以基于目标告警事件包括的多个目标告警信息之间的关联性确定目标资产的被攻击过程。
在一种可行的方式中,关联性可以包括时序关联、因果关联和进程链关联,这种情况下,信息分析设备针对每一目标告警事件,确定目标告警信息之间的时序关联、因果关联和进程链关联等关联关系,当然还可以确认目标告警信息之间的主被动关联等其余关联关系,只要能体现目标告警信息之间的逻辑关系即可,本申请实施例对此不作限定。
步骤205、信息分析设备以目标标识为节点,并基于关联性设置节点之间的连接关系,得到图结构。
其中,图结构表征目标资产的被攻击过程,目标标识表征发出目标告警信息的对象。
在本申请实施例中,节点之间的连接关系,也即是节点之间的边。由于关联性是目标告警信息之间的关联性,因此可以基于该关联性来设置节点之间的连接关系。在一种可行的方式中,如果一个进程发生的目标告警信息会拉起另一个进程的目标告警信息,则这两个目标告警信息之间的连接关系可以为拉起。当前,目标告警信息之间的连接关系还可以为攻击、释放、运行和删除等。需要说明的是,一个进程的目标告警信息可能会同时拉起多个进程的告警信息,本申请实施例对此不作限定。
在本申请实施例中,信息分析设备可以以产生目标告警信息的进程、文件、注册表、IP端口、用户等对象的标识为节点,基于这些对象发出的目标告警信息之间的关联性设置节点之间的连接关系,从而构建表征目标资产的被攻击情况的图结构。需要说明的是,目标资产的被攻击情况不仅可以通过图结构进行展示,还可以通过其它方式进行展示,只要维护人员能够清晰明了的获知目标资产的被攻击情况即可。
需要说明的是,本实施例中与其它实施例中相同步骤和相同内容的说明,可以参照其它实施例中的描述,此处不再赘述。
本申请实施例所提供的信息分析方法,通过基于每一目标告警时间的目标标识和目标告警信息确定目标资产的被攻击过程之后,可以快速获知目标对象的被攻击情况,及时对目标告警事件进行研判和处理,减少目标资产的损伤,解决了相关技术中的维护人员无法快速对这些告警信息进行研判和处理,提高了处理速率。
基于前述实施例,本申请实施例提供一种信息分析方法,参照图3所示,该方法包括以下步骤:
步骤301、信息分析设备获取待处理资产的初始告警信息。
其中,初始告警信息包括来自网络层、日志层和终端层的告警信息。
在本申请实施例中,可以在通过步骤301获取初始告警信息之后,可以执行步骤302~303、步骤304~306、步骤307~308、步骤309~310中的任意一组步骤来获取告警事件,并在这组步骤执行完之后,执行步骤311;当然,也可以在通过步骤301获取初始告警信息之后,依次执行步骤302~303、步骤304~306、步骤307~308,以及步骤309~310来获取告警事件,并在步骤310之后执行步骤311。
需要说明的是,图3仅示出了执行完步骤301后依次执行步骤302~303、步骤304~306、步骤307~308,以及步骤309~310的操作;但是参照本申请实施例提供的步骤以及说明本领域技术人员可以获知其实现过程,本申请实施例对此不再赘述。
步骤302、信息分析设备确定初始告警信息之间的时序关联。
其中,预设关联维度包括时序关联。
在本申请实施例中,时序关联是指告警信息的发出时间顺序,一个告警事件的多个初始告警信息之间可以是同时发出,也可以先后发出,是具有一定时序关联的,因此信息分析设备可以基于初始告警信息的发出时间,对初始告警信息进行排序,以确定初始告警信息之间的时序关联。
步骤303、信息分析设备基于时序关联,对初始告警信息进行划分得到告警事件。
其中,告警事件包括每一待处理资产的资产标识和每一待处理资产对应的告警信息。
在本申请实施例中,多个告警事件可以是先后发生,其中每个告警事件的多个初始告警信息之间也可以是按照时间先后顺序发出的,那么就可以基于多个初始告警信息之间的时序关联对初始告警信息进行划分得到告警事件。如果通过步骤302~303已经可以能够得到告警事件,则可以直接执行步骤311。
步骤304、信息分析设备确定目标资产的攻击场景。
其中,预设关联维度包括攻击场景。
在本申请实施例中,某些攻击在攻击时会产生特定的初始告警信息,因此可以基于这些特定的初始告警信息确定待处理资产的攻击场景。
步骤305、信息分析设备基于攻击场景列表,获取攻击场景对应的攻击告警信息。
在本申请实施例中,攻击场景可以包括初始攻击、横向移动、持久化、凭证窃取等多个攻击阶段,可以基于攻击阶段将同一时间内发出的告警信息进行划分,已将同一告警阶段的初始告警信息划分到不同的告警事件中。在一种可行的方式中,信息分析设备可以预先设置有攻击场景列表,攻击场景列表包括多个攻击场景以及每个攻击场景的每个攻击阶段对应的告警信息,因此在确定待处理资产的攻击场景之后,可以基于该攻击场景对应的攻击告警信息。
步骤306、信息分析设备基于攻击告警信息,对初始告警信息进行筛选得到告警事件。
其中,告警事件包括每一待处理资产的资产标识和每一待处理资产对应的告警信息。
在本申请实施例中,信息分析设备在获取到每个攻击场景对应的攻击告警信息之后,可以将与攻击告警信息符合的初始告警信息筛选出来,得到多个攻击场景下的告警事件。需要说明的是,如果通过步骤304~306或步骤302~306已经可以能够得到告警事件,则可以直接执行步骤311。
步骤307、信息分析设备确定初始告警信息之间的因果关联。
其中,预设关联维度包括因果关联。
在本申请实施例中,一个初始告警信息的产生很可能会导致另一个初始告警信息的产生,此时这两个初始告警信息就存在因果关联。
步骤308、信息分析设备基于因果关联,对初始告警信息进行划分得到告警事件。
其中,告警事件包括每一待处理资产的资产标识和每一待处理资产对应的告警信息。
在本申请实施例中,信息分析设备在确定初始告警信息之间的因果关联之后,可以基于因果关联对初始告警信息进行划分得到多个告警事件。需要说明的是,如果通过步骤307~308或步骤302~308已经可以能够得到告警事件,则可以直接执行步骤311。
步骤309、信息分析设备确定初始告警信息之间的进程链关联。
其中,预设关联维度包括进程链关联。
在本申请实施例中,一个进程链上的多个初始告警信息会随着进程的进展而依次发出,因此初始告警信息之间会存在进程链关联。
步骤310、信息分析设备基于进程链关联,对初始告警信息进行划分得到告警事件。
其中,告警事件包括每一待处理资产的资产标识和每一待处理资产对应的告警信息。
在本申请实施例中,不同进程链的初始告警信息是不同的,因此可以基于进程链关联对初始告警信息进行划分得到多个告警事件。需要说明的是,如果通过步骤309~310已经可以能够得到告警事件,则可以直接执行步骤311。
在一种可行的方式中,信息分析设备在获取到初始告警信息之后,可以确定初始告警信息之间的时序关联,也即是,基于初始告警信息的发出时间对初始告警信息进行排序,然后确定待处理资产的攻击场景,获取攻击场景对应的攻击告警信息,并基于攻击告警信息对排序后的初始告警信息进行划分,并基于攻击场景筛选出符合攻击场景对应的初始告警信息,接着确定初始告警信息的因果关联和进程链关联对符合的初始告警信息进行排序,得到多个告警事件。
步骤311、信息分析设备基于目标资产的目标资产标识,从告警事件中确定目标告警事件。
其中,目标告警事件包括多个目标告警信息。
步骤312、信息分析设备针对每一目标告警事件,确定目标告警信息之间的关联性。
步骤313、信息分析设备以目标标识为节点,并基于目标告警信息之间的关联程度和目标告警信息发生时间的关联度,设置节点之间的连接关系得到图结构。
其中,关联程度表征目标告警信息之间的逻辑关系,图结构表征目标资产的被攻击过程,目标标识表征发出目标告警信息的对象。
在本申请实施例中,发出告警信息的对象可以为进程、文件、注册表、IP端口、用户等;其中,进程的标识可以为PID,文件的标识可以为文件名,注册表的标识可以为注册表的表名,IP端口的标识可以为源IP地址、目的地IP地址,用户可以为用户ID。
在本申请实施例中,如果两个目标告警信息之间的关联程度越高,说明目标告警信息之间的联系越紧密;如果两个目标告警信息发生时间的关联度越高说明这两个目标告警信息最可能是先后发生的。因此,可以基于目标告警信息之间的关联程度和目标告警信息发生时间的关联度设置节点之间的连接关系得到图结构。
其中,步骤313可以通过以下步骤来实现:
步骤313a、信息分析设备从目标告警信息中确定发生时间最早的第一告警信息,并确定第一告警信息对应的目标标识为初始节点。
其中,初始节点为第一层级的节点。
在本申请实施例中,发生时间最早的第一告警信息说明第一告警信息是目标资产被攻击时发出的第一个目标告警信息,初始节点为发出第一告警信息的对象的目标标识。信息分析设备以发生时间最早的第一告警信息作为图结构的起点,也即第一层级的节点。
步骤313b、信息分析设备基于与第一告警信息的关联程度,从目标告警信息中确定第二告警信息,并确定第二告警信息对应的目标标识为第二层级的节点。
在本申请实施例中,第二告警信息是与第一告警信息相关联的多个目标告警信息。基于与第一告警信息的关联程度从目标告警信息中确定第二告警信息,也即说明第二告警信息是按照关联程度依次确定出来的。确定第二告警信息对应的目标标识为第二层级的节点,也即是将发出第二告警信息的对象的目标标识作为第二层级的节点,也即是将与第一告警信息相关联的目标告警信息对应的目标标识都作为第二层级的节点。
步骤313c、信息分析设备基于第二告警信息发生时间的关联度,从第二层级的节点中确定第二个节点。
在本申请实施例中,如果基于第一告警信息的关联程度已经能够确定出关联程度最高的目标告警信息只有一个,则直接将关联程度最高的目标告警信息确定为第二个节点;如果基于第一告警信息的关联程度确定出的关联程度最高的目标告警信息有多个,则在确定出第二告警信息之后,将发生时间的关联度最高的第二告警信息确定为第二个节点,也即是将发生时间最早的第二告警信息作为第二个节点。
步骤313d、信息分析设备基于与第二个节点对应的第二告警信息的关联程度,从目标告警信息中确定第三告警信息,并确定第三告警信息对应的目标标识为第三层级的节点,直至得到第i层级的节点和第i层级的第i个节点。
其中,第i个节点不存在相关联的下一级节点,i为正整数。
在本申请实施例中,第三告警信息是按照与第二个节点对应的第二告警信息的关联程度确定出来的目标告警信息,并将发生时间最早的第三告警信息作为第三个节点,继续确定与第三个节点对应的第三告警信息相关联的第四告警信息,将发生时间最早的第四告警信息作为第四个节点,以此循环,直至确定出的节点不存在相关联的下一个节点。
步骤313e、信息分析设备确定与第i层级之间的层级数最少、且具有未确定相关联的下一级节点的第n层级的节点,并基于第n层级的节点对应的告警信息发生时间的关联度,从第n层级的节点中确定第n+1个节点,直至遍历完目标告警信息,得到图结构。
在本申请实施例中,在确定出第i层级的第i节点之后,如果第i层级还有未确定相关联的下一级节点的情况下,从第i层级的节点中确定除第i个节点之外的其余节点中发生时间最早的节点,然后依次确定下一层级的节点,在确定出的节点没有相关联的节点的情况下,返回与当前节点所在层级的层级数最少、且存在未确定相关联的下一级节点,继续确定下一层级的节点,以此循环,直至遍历完目标告警信息,在遍历的过程中会基于相邻两个节点的关联性设置这两个节点之间的连接关系,从而得到图结构。
基于前述实施例,在本申请其他实施例中,该信息分析方法还可以包括以下步骤:
步骤314、信息分析设备基于目标告警信息,确定图结构中每个节点的风险等级。
在本申请实施例中,每个节点对应的实体的重要程度会有所不同,那么发出告警信息时的风险等级就会不同,重要程度越高的节点发出告警信息时的风险等级会越高。
步骤315、信息分析设备基于目标告警信息的来源,确定每个节点的节点类型。
在本申请实施例中,目标告警信息的来源可能是网站、端口等网络侧的对象,也可能是终端侧的进程,因此节点类型可以包括网络侧节点和终端侧节点。
步骤316、信息分析设备基于风险等级和节点类型,对图结构进行优化,得到目标图结构。
其中,步骤316可以通过以下步骤来实现:
步骤316a、信息分析设备基于节点类型,确定每一节点对应的目标告警信息的告警详情信息。
在本申请实施例中,网络侧对应的告警详情信息可以预先设置,可以设置为攻击源IP、源端口、目的IP、目的端口、攻击类型、次数、HTTP数据包等内容;终端侧的告警详情信息可以设置为进程命令行、PID信息、进程树等内容。
步骤316b、信息分析设备基于风险等级,确定每一节点的表现形式。
在本申请实施例中,信息分析设备可以设置不同的风险等级,每个风险等级的节点对应不同的颜色,以通过不同的颜色体现不同的对象的风险程度,便于维护人员基于节点颜色对风险程度较高的对象进行处理,减少财力损失。
步骤316c、信息分析设备以表现形式,将告警详情信息和风险等级标注在图结构中,得到目标图结构。
在本申请实施例中,可以将风险等级以不同的颜色体现在节点上,还可以将告警详情信息以隐藏的形式标注在节点上,在维护人员需要查看相关信息的时候进行显示。
步骤317、信息分析设备基于目标告警事件的关联性,对目标告警事件对应的目标图结构进行聚合得到聚合图结构。
在本申请实施例中,信息分析设备可以基于目标资产的资产标识将目标资产包括的目标告警事件对应的目标图结构进行聚合得到聚合图结构。
步骤318、信息分析设备展示被攻击过程。
在本申请实施例中,信息分析设备在得到目标资产的被攻击过程之后,也即在得到目标资产的图结构、或目标图结构或聚合图结构之后,可以将在获取到维护人员点击或查询某个节点时,将整个目标告警事件以图结构的形式进行展示,以便于维护人员对整个目标告警事件进行整体分析,进而及时处理。
如图4所示,以主机办公自动化(Office Automation,OA)系统存在BlueHero僵尸网络活动为例对本申请实施例的信息分析方法进行说明。其中,僵尸网络活动的图结构可以包括当前告警事件的编号0001,处置状态:待处置,影响主机:ASDQFV(200.200.12.11),发现事件为2021-11-23 12:23,检测来源:纳米颗粒跟踪分析(Nanoparticle TrackingAnalysis,NTA),危险等级为高危。僵尸网络告警事件的攻击故事线中所示的四棱锥是攻击点,发生时间最早的告警信息对应的进程weblogic.exe为图结构的初始节点,进程weblogic.exe的发生会拉起进程sertutil.exe发起恶意文件下载的任务引发告警信息,因此将进程sertutil.exe作为第二节点,由于进程sertutil.exe会通过http链接下载恶意文件,因此可将http网址作为第三个节点;进程sertutil.exe下载恶意文件之后会拉起程序母体download.exe,程序母体download.exe作为第四个节点;程序母体download.exe释放并运行远控进程cnmbd.exe,将远控进程cnmbd.exe作为第五个节点;远控进程cnmbd.exe会拉起传播模块进程lanmktmrm.exe发起可以http请求下载,将传播模块进程lanmktmrm.exe作为第六个节点,并将下载链接作为第七个节点;传播模块进程lanmktmrm.exe释放并运行进程mimikatz.exe和进程xmrige.exe,由于进程xmrige.exe的关联程度更大,因此将进程xmrige.exe作为第八个节点,且进程xmrige.exe会向主机发起挖矿链接以进行挖矿,占用主机资源,将挖矿链接作为第九个节点,将进程mimikatz.exe作为第十个节点,得到挖矿攻击的图结构。在得到图结构之后,可以将风险等级最高的进程xmrige.exe、进程mimikatz.exe、传播模块进程lanmktmrm.exe对应的节点标为红色,将风险等级较高的程序母体download.exe对应的节点标为橙色,将风险等级较低的进程weblogic.exe和进程sertutil.exe对应的节点标为灰色,如此就可以区分风险等级不同的节点,也即区分风险等级不同的进程。此外,还可以在展示图结构时,将对应的处置建议和处置方式标注在图结构中,便于维护人员操作,以快速处理告警事件。
需要说明的是,本实施例中与其它实施例中相同步骤和相同内容的说明,可以参照其它实施例中的描述,此处不再赘述。
本申请实施例所提供的信息分析方法,通过基于每一目标告警时间的目标标识和目标告警信息确定目标资产的被攻击过程之后,可以快速获知目标对象的被攻击情况,及时对目标告警事件进行研判和处理,减少目标资产的损伤,解决了相关技术中的维护人员无法快速对这些告警信息进行研判和处理,提高了处理速率。
基于前述实施例,本申请的实施例提供一种信息分析设备,该信息分析设备可以应用于图1~3对应的实施例提供的信息分析方法中,参照图5所示,该信息分析设备4可以包括:处理器41、存储器42和通信总线43,其中:
通信总线43用于实现处理器41和存储器42之间的通信连接;
处理器41用于执行存储器42中的信息分析程序,以实现以下步骤:
获取目标资产的目标告警事件;其中,目标告警事件包括多个目标告警信息;
基于每一目标告警事件的目标标识和目标告警信息,确定目标资产的被攻击过程;其中,目标标识表征发出目标告警信息的对象。
在本申请的其他实施例中,处理器41用于执行存储器42中的信息分析程序的获取目标资产的目标告警事件,以实现以下步骤:
获取待处理资产的初始告警信息;其中,初始告警信息包括来自网络层、日志层和终端层的告警信息;
基于预设关联维度对初始告警信息进行处理,得到待处理资产的告警事件;其中,告警事件包括每一待处理资产的资产标识和每一待处理资产对应的告警信息;
基于目标资产的目标资产标识,从告警事件中确定目标告警事件。
在本申请的其他实施例中,处理器41用于执行存储器42中的信息分析程序的基于预设关联维度对初始告警信息进行处理,得到资产的告警事件,以实现以下步骤:
确定初始告警信息之间的时序关联;其中,预设关联维度包括时序关联;
基于时序关联,对初始告警信息进行划分得到告警事件。
在本申请的其他实施例中,处理器41用于执行存储器42中的信息分析程序的基于预设关联维度对初始告警信息进行处理,得到告警事件,以实现以下步骤:
确定资产的攻击场景;其中,预设关联维度包括攻击场景;
基于攻击场景列表,获取攻击场景对应的攻击告警信息;
基于攻击告警信息,对初始告警信息进行筛选得到告警事件。
在本申请的其他实施例中,处理器41用于执行存储器42中的信息分析程序的基于预设关联维度对初始告警信息进行处理,得到告警事件,还可以实现以下步骤:
确定初始告警信息之间的因果关联;其中,预设关联维度包括因果关联;
基于因果关联,对初始告警信息进行划分得到告警事件。
在本申请的其他实施例中,处理器41用于执行存储器42中的信息分析程序的基于预设关联维度对初始告警信息进行处理,得到告警事件,以实现以下步骤:
确定初始告警信息之间的进程链关联;其中,预设关联维度包括进程链关联;
基于进程链关联,对初始告警信息进行划分得到告警事件。
在本申请的其他实施例中,处理器41用于执行存储器42中的信息分析程序的基于每一目标告警事件的目标标识和目标告警信息,确定目标资产的被攻击过程,以实现以下步骤:
针对每一目标告警事件,确定目标告警信息之间的关联性;
以目标标识为节点,并基于关联性设置节点之间的连接关系,得到图结构;其中,图结构表征目标资产的被攻击过程。
在本申请的其他实施例中,处理器41用于执行存储器42中的信息分析程序的以目标标识为节点,并基于关联性设置节点之间的连接关系,得到图结构,以实现以下步骤:
以目标标识为节点,并基于目标告警信息之间的关联程度和目标告警信息发生时间的关联度,设置节点之间的连接关系得到图结构;其中,关联程度表征目标告警信息之间的逻辑关系。
在本申请的其他实施例中,处理器41用于执行存储器42中的信息分析程序的以目标标识为节点,并基于目标告警信息之间的关联程度和目标告警信息发生时间的关联度,设置节点之间的连接关系得到图结构,以实现以下步骤:
从目标告警信息中确定发生时间最早的第一告警信息,并确定第一告警信息对应的目标标识为初始节点;其中,初始节点为第一层级的节点;
基于与第一告警信息的关联程度,从目标告警信息中确定第二告警信息,并确定第二告警信息对应的目标标识为第二层级的节点;
基于第二告警信息发生时间的关联度,从第二层级的节点中确定第二个节点;
基于与第二个节点对应的第二告警信息的关联程度,从目标告警信息中确定第三告警信息,并确定第三告警信息对应的目标标识为第三层级的节点,直至得到第i层级的节点和第i层级的第i个节点;其中,第i个节点不存在相关联的下一级节点;其中,i为正整数;
确定与第i层级之间的层级数最少、且具有未确定相关联的下一级节点的第n层级的节点,并基于第n层级的节点对应的告警信息发生时间的关联度,从第n层级的节点中确定第n+1个节点,直至遍历完目标告警信息,得到图结构。
在本申请的其他实施例中,处理器41用于执行存储器42中的信息分析程序还可以实现以下步骤:
基于目标告警信息,确定图结构中每个节点的风险等级;
基于目标告警信息的来源,确定每个节点的节点类型;
基于风险等级和节点类型,对图结构进行优化,得到目标图结构。
在本申请的其他实施例中,处理器41用于执行存储器42中的信息分析程序的基于风险等级和节点类型,对图结构进行优化,得到目标图结构,以实现以下步骤:
基于节点类型,确定每一节点对应的目标告警信息的告警详情信息;
基于风险等级,确定每一节点的表现形式;
以表现形式,将告警详情信息和风险等级标注在图结构中,得到目标图结构。
在本申请的其他实施例中,处理器41用于执行存储器42中的信息分析程序还可以实现以下步骤:
基于目标告警事件的关联性,对目标告警事件对应的目标图结构进行聚合得到聚合图结构。
在本申请的其他实施例中,处理器41用于执行存储器42中的信息分析程序的基于风险等级和节点类型,对图结构进行优化,得到目标图结构,还可以实现以下步骤:
展示被攻击过程。
需要说明的是,处理器所执行的步骤的具体说明可以参照图1~3对应的实施例提供的信息分析方法中,此处不再赘述。
本申请实施例所提供的信息分析设备,通过基于每一目标告警时间的目标标识和目标告警信息确定目标资产的被攻击过程之后,可以快速获知目标对象的被攻击情况,及时对目标告警事件进行研判和处理,减少目标资产的损伤,解决了相关技术中的维护人员无法快速对这些告警信息进行研判和处理,提高了处理速率。
基于前述实施例,本申请的实施例提供一种计算机可读存储介质,该计算机可读存储介质存储有一个或者多个程序,该一个或者多个程序可被一个或者多个处理器执行,以实现图1~3对应的实施例提供的信息分析方法的步骤。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述,仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。

Claims (15)

1.一种信息分析方法,其特征在于,所述方法包括:
获取目标资产的目标告警事件;其中,所述目标告警事件包括多个目标告警信息;
基于每一所述目标告警事件的目标标识和目标告警信息,确定所述目标资产的被攻击过程;其中,所述目标标识表征发出所述目标告警信息的对象。
2.根据权利要求1所述的方法,其特征在于,所述获取目标资产的目标告警事件,包括:
获取待处理资产的初始告警信息;其中,所述初始告警信息包括来自网络层、日志层和终端层的告警信息;
基于预设关联维度对所述初始告警信息进行处理,得到所述待处理资产的告警事件;其中,所述告警事件包括每一所述待处理资产的资产标识和每一所述待处理资产对应的告警信息;
基于所述目标资产的目标资产标识,从所述告警事件中确定所述目标告警事件。
3.根据权利要求2所述的方法,其特征在于,所述基于预设关联维度对所述初始告警信息进行处理,得到所述待处理资产的告警事件,包括:
确定所述初始告警信息之间的时序关联;其中,所述预设关联维度包括所述时序关联;
基于所述时序关联,对所述初始告警信息进行划分得到所述待处理资产的告警事件。
4.根据权利要求2所述的方法,其特征在于,所述基于预设关联维度对所述初始告警信息进行处理,得到所述待处理资产的告警事件,包括:
确定所述待处理资产的攻击场景;其中,所述预设关联维度包括所述攻击场景;
基于攻击场景列表,获取所述攻击场景对应的攻击告警信息;
基于所述攻击告警信息,对所述初始告警信息进行筛选得到所述待处理资产的告警事件。
5.根据权利要求2所述的方法,其特征在于,所述基于预设关联维度对所述初始告警信息进行处理,得到所述待处理资产的告警事件,包括:
确定所述初始告警信息之间的因果关联;其中,所述预设关联维度包括所述因果关联;
基于所述因果关联,对所述初始告警信息进行划分得到所述待处理资产的告警事件。
6.根据权利要求2所述的方法,其特征在于,所述基于预设关联维度对所述初始告警信息进行处理,得到所述待处理资产的告警事件,包括:
确定所述初始告警信息之间的进程链关联;其中,所述预设关联维度包括所述进程链关联;
基于所述进程链关联,对所述初始告警信息进行划分得到所述待处理资产的告警事件。
7.根据权利要求1所述的方法,其特征在于,所述基于每一所述目标告警事件的目标标识和目标告警信息,确定所述目标资产的被攻击过程,包括:
确定所述告警信息之间的关联性;
以所述目标标识为节点,并基于所述关联性设置节点之间的连接关系,得到图结构;其中,所述图结构表征所述目标资产的被攻击过程。
8.根据权利要求7所述的方法,其特征在于,所述以所述目标标识为节点,并基于所述关联性设置节点之间的连接关系,得到图结构,包括:
以所述目标标识为节点,并基于所述目标告警信息之间的关联程度和所述目标告警信息发生时间的关联度,设置所述节点之间的连接关系得到所述图结构;其中,所述关联程度表征所述目标告警信息之间的逻辑关系。
9.根据权利要求8所述的方法,其特征在于,所述以所述目标标识为节点,并基于所述目标告警信息之间的关联程度和所述目标告警信息发生时间的关联度,设置所述节点之间的连接关系得到所述图结构,包括:
从所述目标告警信息中确定发生时间最早的第一告警信息,并确定所述第一告警信息对应的目标标识为初始节点;其中,所述初始节点为第一层级的节点;
基于与所述第一告警信息的关联程度,从所述目标告警信息中确定第二告警信息,并确定所述第二告警信息对应的目标标识为第二层级的节点;
基于所述第二告警信息发生时间的关联度,从所述第二层级的节点中确定第二个节点;
基于与所述第二个节点对应的第二告警信息的关联程度,从所述目标告警信息中确定第三告警信息,并确定所述第三告警信息对应的目标标识为第三层级的节点,直至得到第i层级的节点和所述第i层级的第i个节点;其中,所述第i个节点不存在相关联的下一级节点;其中,i为正整数;
确定与第i层级之间的层级数最少、且具有未确定相关联的下一级节点的第n层级的节点,并基于所述第n层级的节点对应的告警信息发生时间的关联度,从所述第n层级的节点中确定第n+1个节点,直至遍历完所述目标告警信息,得到所述图结构。
10.根据权利要求7所述的方法,其特征在于,所述方法还包括:
基于所述目标告警信息,确定所述图结构中每个节点的风险等级;
基于所述目标告警信息的来源,确定所述每个节点的节点类型;
基于所述风险等级和所述节点类型,对所述图结构进行优化,得到所述目标图结构。
11.根据权利要求7所述的方法,其特征在于,所述基于所述风险等级和所述节点类型,对所述图结构进行优化,得到所述目标图结构,包括:
基于所述节点类型,确定所述每一节点对应的目标告警信息的告警详情信息;
基于所述风险等级,确定所述每一节点的表现形式;
以所述表现形式,将所述告警详情信息和所述风险等级标注在所述图结构中,得到所述目标图结构。
12.根据权利要求11所述的方法,其特征在于,所述方法还包括:
基于所述目标告警事件的关联性,对所述目标告警事件对应的目标图结构进行聚合得到聚合图结构。
13.根据权利要求1所述的方法,其特征在于,所述方法还包括:
展示所述被攻击过程。
14.一种信息分析设备,其特征在于,所述设备包括:处理器、存储器和通信总线;
所述通信总线用于实现所述处理器和所述存储器之间的通信连接;
所述处理器用于执行所述存储器中的信息分析程序,以实现如权利要求1~13任一项所述的信息分析方法的步骤。
15.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如权利要求1~13中任一项所述的信息分析方法的步骤。
CN202210332608.9A 2022-03-30 2022-03-30 一种信息分析方法、设备和计算机可读存储介质 Active CN114826685B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210332608.9A CN114826685B (zh) 2022-03-30 2022-03-30 一种信息分析方法、设备和计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210332608.9A CN114826685B (zh) 2022-03-30 2022-03-30 一种信息分析方法、设备和计算机可读存储介质

Publications (2)

Publication Number Publication Date
CN114826685A true CN114826685A (zh) 2022-07-29
CN114826685B CN114826685B (zh) 2024-10-18

Family

ID=82533528

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210332608.9A Active CN114826685B (zh) 2022-03-30 2022-03-30 一种信息分析方法、设备和计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN114826685B (zh)

Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170171240A1 (en) * 2015-12-09 2017-06-15 Check Point Software Technologies Ltd. Method and system for identifying uncorrelated suspicious events during an attack
CN109286511A (zh) * 2017-07-19 2019-01-29 东软集团股份有限公司 数据处理的方法及装置
CN110609759A (zh) * 2018-06-15 2019-12-24 华为技术有限公司 一种故障根因分析的方法及装置
CN110839019A (zh) * 2019-10-24 2020-02-25 国网福建省电力有限公司 一种面向电力监控系统的网络安全威胁溯源方法
US20200065481A1 (en) * 2018-08-22 2020-02-27 CyCarrier Technology Co., Ltd. Suspicious event analysis device and related computer program product for generating suspicious event sequence diagram
CN111628964A (zh) * 2020-04-03 2020-09-04 北京奇艺世纪科技有限公司 网络攻击溯源方法及装置
CN111786964A (zh) * 2020-06-12 2020-10-16 深信服科技股份有限公司 网络安全检测方法、终端及网络安全设备
CN111818089A (zh) * 2020-07-31 2020-10-23 北京微步在线科技有限公司 一种网络攻击事件的展示方法及存储介质
CN111858482A (zh) * 2020-07-15 2020-10-30 北京市燃气集团有限责任公司 一种攻击事件追踪溯源方法、系统、终端及存储介质
CN113179241A (zh) * 2021-03-01 2021-07-27 西安理工大学 一种基于时序关联性分析的多步攻击表征方法
CN113315775A (zh) * 2021-06-01 2021-08-27 深信服科技股份有限公司 恶意事件的定位方法、系统、存储介质和终端
CN113676484A (zh) * 2021-08-27 2021-11-19 绿盟科技集团股份有限公司 一种攻击溯源方法、装置和电子设备

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170171240A1 (en) * 2015-12-09 2017-06-15 Check Point Software Technologies Ltd. Method and system for identifying uncorrelated suspicious events during an attack
CN109286511A (zh) * 2017-07-19 2019-01-29 东软集团股份有限公司 数据处理的方法及装置
CN110609759A (zh) * 2018-06-15 2019-12-24 华为技术有限公司 一种故障根因分析的方法及装置
US20200065481A1 (en) * 2018-08-22 2020-02-27 CyCarrier Technology Co., Ltd. Suspicious event analysis device and related computer program product for generating suspicious event sequence diagram
CN110839019A (zh) * 2019-10-24 2020-02-25 国网福建省电力有限公司 一种面向电力监控系统的网络安全威胁溯源方法
CN111628964A (zh) * 2020-04-03 2020-09-04 北京奇艺世纪科技有限公司 网络攻击溯源方法及装置
CN111786964A (zh) * 2020-06-12 2020-10-16 深信服科技股份有限公司 网络安全检测方法、终端及网络安全设备
CN111858482A (zh) * 2020-07-15 2020-10-30 北京市燃气集团有限责任公司 一种攻击事件追踪溯源方法、系统、终端及存储介质
CN111818089A (zh) * 2020-07-31 2020-10-23 北京微步在线科技有限公司 一种网络攻击事件的展示方法及存储介质
CN113179241A (zh) * 2021-03-01 2021-07-27 西安理工大学 一种基于时序关联性分析的多步攻击表征方法
CN113315775A (zh) * 2021-06-01 2021-08-27 深信服科技股份有限公司 恶意事件的定位方法、系统、存储介质和终端
CN113676484A (zh) * 2021-08-27 2021-11-19 绿盟科技集团股份有限公司 一种攻击溯源方法、装置和电子设备

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
谭彬;梁业裕;李伟渊;: "基于流量的攻击溯源分析和防护方法研究", 电信工程技术与标准化, no. 12, pages 62 - 69 *

Also Published As

Publication number Publication date
CN114826685B (zh) 2024-10-18

Similar Documents

Publication Publication Date Title
EP3152869B1 (en) Real-time model of states of monitored devices
CN106790186B (zh) 基于多源异常事件关联分析的多步攻击检测方法
CN110933101B (zh) 安全事件日志处理方法、装置及存储介质
CN107122221B (zh) 用于正则表达式的编译器
WO2021133479A1 (en) Framework for investigating events
US8997236B2 (en) System, method and computer readable medium for evaluating a security characteristic
CN110719291A (zh) 一种基于威胁情报的网络威胁识别方法及识别系统
EP3399455B1 (en) Parametric behavioral pattern definition
EP3772004B1 (en) Malicious incident visualization
RU2757597C1 (ru) Системы и способы сообщения об инцидентах компьютерной безопасности
JP2021060987A (ja) コンピュータネットワークにおけるデータ効率のよい脅威検出の方法
JP5739034B1 (ja) 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム
EP3531328B1 (en) Cardinality based activity pattern detection
CN111049827A (zh) 一种网络系统安全防护方法、装置及其相关设备
CN112073437A (zh) 多维度的安全威胁事件分析方法、装置、设备及存储介质
AU2017202071A1 (en) Correlation-based detection of exploit activity
JP2023550974A (ja) イメージ基盤悪性コード検知方法および装置とこれを利用する人工知能基盤エンドポイント脅威検知および対応システム
Cao et al. Learning state machines to monitor and detect anomalies on a kubernetes cluster
EP4272377A1 (en) Network adaptive alert prioritization system
CN111988322B (zh) 一种攻击事件展示系统
Zammit A machine learning based approach for intrusion prevention using honeypot interaction patterns as training data
CN110460558B (zh) 一种基于可视化的攻击模型发现的方法及系统
CN114826685A (zh) 一种信息分析方法、设备和计算机可读存储介质
CN113709153A (zh) 一种日志归并的方法、装置及电子设备
US11763004B1 (en) System and method for bootkit detection

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant