CN115022152B - 一种用于判定事件威胁度的方法、装置及电子设备 - Google Patents
一种用于判定事件威胁度的方法、装置及电子设备 Download PDFInfo
- Publication number
- CN115022152B CN115022152B CN202210625050.3A CN202210625050A CN115022152B CN 115022152 B CN115022152 B CN 115022152B CN 202210625050 A CN202210625050 A CN 202210625050A CN 115022152 B CN115022152 B CN 115022152B
- Authority
- CN
- China
- Prior art keywords
- threat
- target
- alarm event
- event
- alarm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 98
- 238000011269 treatment regimen Methods 0.000 claims abstract description 13
- 230000006399 behavior Effects 0.000 claims description 51
- 230000008569 process Effects 0.000 claims description 27
- 238000004590 computer program Methods 0.000 claims description 13
- 238000004458 analytical method Methods 0.000 claims description 12
- 238000010586 diagram Methods 0.000 claims description 12
- 238000012216 screening Methods 0.000 claims description 12
- 238000001514 detection method Methods 0.000 claims description 11
- 230000036961 partial effect Effects 0.000 claims description 8
- 244000035744 Hura crepitans Species 0.000 claims description 7
- 238000011282 treatment Methods 0.000 claims description 5
- 238000004364 calculation method Methods 0.000 claims description 2
- 230000002159 abnormal effect Effects 0.000 description 7
- 238000012795 verification Methods 0.000 description 6
- 102100026278 Cysteine sulfinic acid decarboxylase Human genes 0.000 description 5
- 108010064775 protein C activator peptide Proteins 0.000 description 5
- 206010000117 Abnormal behaviour Diseases 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000005856 abnormality Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002829 reductive effect Effects 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 210000001503 joint Anatomy 0.000 description 1
- 230000000670 limiting effect Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000010408 sweeping Methods 0.000 description 1
- 238000012549 training Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Alarm Systems (AREA)
Abstract
本申请的一些实施例提供了一种用于判定事件威胁度的方法、装置及电子设备,该方法包括获取至少一个告警事件中各告警事件的初始威胁度;根据所述各告警事件的初始威胁度,从所述至少一个告警事件中获取至少部分告警事件作为目标告警事件;获取所述目标告警事件的目标威胁度判定结果;根据所述目标威胁度判定结果确定对相应告警事件的处置策略,其中,所述处置策略包括将所述相应告警事件添加至本地威胁情报库或不处置。本申请一些实施例提供的方法可以实现对告警事件的威胁度进行综合性判定,获取准确度较高的目标威胁度判定结果。
Description
技术领域
本申请涉及信息安全技术领域,具体而言,涉及一种用于判定事件威胁度的方法、装置及电子设备。
背景技术
随着互联网规模的不断扩大,网络安全变得尤为重要。
目前,通常采用设定的规则对告警事件进行威胁度判定。然而,真实的网络环境较复杂,告警事件类型较多,由于固有模型可以提供的威胁线索有限,当采用固有模型内部设置的威胁度判定规则对告警事件进行威胁度判定时,得到的威胁度判定结果较单一且准确度较低。
因此,如何提供一种精准度较高的判定事件威胁度的方法的技术方案成为亟需解决的技术问题。
发明内容
本申请的一些实施例的目的在于提供一种用于判定事件威胁度的方法、装置及电子设备,通过本申请的实施例的技术方案可以实现对告警事件的威胁度进行综合性判定,获取准确度较高的目标威胁度判定结果,实用性较高,并且通过本申请的一些实施例还可以实现维护网络安全避免恶意攻击事件发生的技术效果。
第一方面,本申请的一些实施例提供了一种用于判定事件威胁度的方法,包括:获取至少一个告警事件中各告警事件的初始威胁度;根据所述各告警事件的初始威胁度,从所述至少一个告警事件中获取至少部分告警事件作为目标告警事件;获取所述目标告警事件的目标威胁度判定结果;根据所述目标威胁度判定结果确定对相应告警事件的处置策略,其中,所述处置策略包括将所述相应告警事件添加至本地威胁情报库或不处置。
本申请的一些实施例通过对部分告警事件(即目标告警事件)进行再次评估的方式,可以有效提升对这部分告警事件的威胁度判定结果的准确性,且有效避免直接根据一次威胁度判定结果(即初始威胁度)确定对告警事件的处置方式导致的安全风险较高的问题。
在一些实施例,所述获取至少一个告警事件中各告警事件的初始威胁度,包括:根据预设判定规则,获取所述各告警事件的初始威胁度。
本申请的一些实施例通过预设判定规则得到各告警事件的初始威胁度,可以为后续筛选目标告警事件提供判定依据,提升对告警事件的威胁度判定准确度。
在一些实施例,所述根据所述各告警事件的初始威胁度,从所述至少一个告警事件中获取至少部分告警事件作为目标告警事件,包括:从所述各告警事件的初始威胁度中筛选出符合设定条件的判定结果;将所述符合设定条件的判定结果对应的告警事件作为所述至少部分告警事件。
本申请的一些实施例通过将符合设定条件的判定结果对应的告警事件作为至少部分告警事件,可以对筛选出的无法直接得到判定结果的至少部分告警事件进行二次核实,一方面保障了获得目标威胁度判定结果的准确度,另一方面不需要对所有告警事件均进行二次核实,提升了判定准确度。
在一些实施例,所述初始威胁度用初始分值表征,所述设定条件用分值区间表征,其中,所述从所述各告警事件的初始威胁度中筛选出符合设定条件的判定结果,包括:从所述各告警事件的初始分值中筛选出处于所述分值区间内的分值;所述将所述符合设定条件的判定结果对应的告警事件作为所述至少部分告警事件,包括:将处于所述分值区间内的分值对应的告警事件作为所述至少部分告警事件。
本申请的一些实施例通过将初始分值在分值区间内的告警事件作为至少部分告警事件,可以快速筛选出需要进行二次核实的至少部分告警事件,提升了对告警事件威胁度判定的准确率。
在一些实施例,所述获取所述目标告警事件的目标威胁度判定结果,包括:提取所述目标告警事件的状态信息,其中,所述状态信息至少包括:告警事件源地址、告警事件目的地址和威胁行为信息,所述威胁行为信息是通过所述告警事件源地址和所述告警事件目的地址查询得到的;对所述目标告警事件进行检测,生成提示信息;基于所述提示信息,获取所述目标威胁度判定结果。
本申请的一些实施例通过生成与目标告警事件对应的提示信息,可以示出目标告警事件存在的风险,为后续用户选择目标威胁度研判工具提供正确的指引,提升威胁度判定的精准度。
在一些实施例,所述根据所述提示信息,获取所述目标威胁度判定结果,包括:接收用户针对所述提示信息在威胁度判定数据库中的操作指令,获取所述至少一个目标威胁度判定工具;利用所述至少一个目标威胁度判定工具对所述威胁行为信息进行判定,生成对所述目标告警事件的目标威胁度判定结果,其中,所述目标威胁度判定结果用于表征所述威胁行为信息对所述目标告警事件的安全威胁程度。
本申请的一些实施例通过提示信息,指导用户选择对应的目标威胁度判定工具,进而可以对目标告警事件中的威胁行为信息进行判定得到目标威胁度判定结果,本实施例采用人机交互的方式对威胁行为信息进行威胁度判定,可以提升目标威胁度判定结果的准确率,进而为本地威胁情报库提供可靠的数据支撑。
在一些实施例,所述利用所述至少一个目标威胁度判定工具对所述威胁行为信息进行判定,生成对所述目标告警事件的目标威胁度判定结果,包括:利用所述至少一个目标威胁度判定工具中的各目标威胁度判定工具,从多个维度对所述威胁行为信息进行判定,生成与所述多个维度中各维度对应的各威胁值,其中,所述各威胁值用于表征所述威胁行为信息在所述各维度上对所述目标告警事件的威胁影响程度;对所述各威胁值进行加权求和,得到所述目标威胁度判定结果。
本申请的一些实施例通过至少一个目标威胁度判定工具从多个维度对威胁行为信息进行判定并打分,得到各威胁值,实现了对目标告警事件的多方面多维度的判定分析,进而得到综合性较强的目标威胁度判定结果。
在一些实施例,所述目标威胁度判定工具为i个,所述i为大于1的整数,其中,所述利用所述至少一个目标威胁度判定工具对所述威胁行为信息进行判定,生成对所述目标告警事件的目标威胁度判定结果,包括:利用第i目标威胁度判定工具对所述威胁行为信息进行判定后,更新第i-1威胁度判定结果,获取第i威胁度判定结果,并将所述第i威胁度判定结果作为所述目标威胁度判定结果,其中,所述第i-1威胁度判定结果是通过第i-1目标威胁度判定工具对所述威胁行为信息进行判定得到的。
本申请的一些实施例通过不同的目标威胁度判定工具,对目标告警事件进行多方面的威胁度判定,并不断更新每次的威胁度判定结果,可以得到综合性较强且准确度较高的目标威胁度判定结果。
在一些实施例,所述根据所述目标威胁度判定结果确定对相应告警事件的处置策略,包括:若确定所述目标威胁度判定结果满足第一预设条件,则对相应告警事件不处置;若确定所述目标威胁度判定结果满足第二预设条件,则将所述相应告警事件添加至本地威胁情报库,以避免所述相应告警事件的发生;若确定所述目标威胁度判定结果满足第三预设条件,则重新对相应告警事件进行威胁度判定,直至所述目标威胁度判定结果满足所述第一预设条件或所述第二预设条件。
本申请的一些实施例通过预先设置的预设条件,确定对目标威胁度判定结果对应的告警事件的处置策略,可以有效避免威胁性事件的发生。
在一些实施例,在所述生成对所述目标告警事件的目标威胁度判定结果之后,所述方法还包括:根据所述目标威胁度判定结果,生成与所述各维度对应的态势展示图,所述态势展示图用于表征所述各维度对所述目标告警事件的影响程度。
本申请的一些实施例可以自动生成态势展示图,便于清晰地看出各维度对目标告警事件的影响程度,以使得相关用户获取详细的判定结果。
在一些实施例,所述威胁度判定数据库中至少包括:沙箱检测工具、数据包文件检测工具、流量分析工具、漏扫工具、资产管理工具。
本申请的一些实施例通过将多种工具集成在威胁度判定数据库中,可以快速实现对各种类型的威胁行为信息的综合性的威胁度判定。
在一些实施例,所述方法还包括:采集对所述至少一个告警事件中各告警事件进行初始威胁度判定至获取所述目标威胁度判定结果过程中的判定数据信息;根据所述判定数据信息生成判定过程报告。
本申请的一些实施例通过对告警事件的整个威胁度判定的过程进行监测,可以实时获取该过程中的判定状态和数据,实现了判定数据信息的实时更新,同时生成的判定过程报告还可供用户下载查看。
第二方面,本申请的一些实施例提供了一种用于判定事件威胁度的装置,包括:初始判定模块,被配置为获取至少一个告警事件中各告警事件的初始威胁度;事件筛选模块,被配置为根据所述各告警事件的初始威胁度,从所述至少一个告警事件中获取至少部分告警事件作为目标告警事件;目标结果获取模块,被配置为获取所述目标告警事件的目标威胁度判定结果;结果处置模块,被配置为根据所述目标威胁度判定结果确定对相应告警事件的处置策略,其中,所述处置策略包括将所述相应告警事件添加至本地威胁情报库或不处置。
第三方面,本申请的一些实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时可实现如第一方面任一实施例所述的方法。
第四方面,本申请的一些实施例提供一种电子设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其中,所述处理器执行所述程序时可实现如第一方面任一实施例所述的方法。
第五方面,本申请的一些实施例提供一种计算机程序产品,所述的计算机程序产品包括计算机程序,其中,所述的计算机程序被处理器执行时可实现如第一方面任一实施例所述的方法。
附图说明
为了更清楚地说明本申请的一些实施例的技术方案,下面将对本申请的一些实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请的一些实施例提供的一种用于判定事件威胁度的系统图;
图2为本申请的一些实施例提供的用于判定事件威胁度的方法流程图之一;
图3为本申请的一些实施例提供的用于判定事件威胁度的方法流程图之二;
图4为本申请的一些实施例提供的用于判定事件威胁度的装置组成框图;
图5为本申请的一些实施例提供的一种电子设备结构示意图。
具体实施方式
下面将结合本申请的一些实施例中的附图,对本申请的一些实施例中的技术方案进行描述。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
相关技术中对告警事件的威胁度判定时,一般会线上利用历史采集的威胁信息线索或固有模型得到威胁度判定结果,而且根据威胁度判定结果需要手动调整告警事件的威胁等级。由上述相关技术可知,面对复杂的真实网络,现有的对告警事件的威胁度判定方法不具备综合性威胁度判定的能力,而且得到的威胁度判定结果的准确度难以保证,可能会漏检威胁性很高的告警事件进而导致威胁事件的发生,对网络安全造成威胁。同时现有的方法无法自动生成威胁情况报告,进而使得相关用户无法及时获取判定过程中的数据信息。
鉴于此,本申请的一些实施例提供了一种用于判定事件威胁度的方法、装置及电子设备,该方法通过对各告警事件的初始威胁度进行筛选得到目标告警事件,之后对目标告警事件进行是否具有威胁度的二次性核实,得到目标威胁度判定结果,进而根据目标威胁度判定结果确定针对相应告警事件的处置策略。可以理解的是,本申请一些实施例的方法可以提升对告警事件威胁度判定的准确度,还实现对目标告警事件的威胁度进行综合性的精准判定,有效保证了网络安全。
如图1所示,本申请的一些实施例提供了一种用于判定事件威胁度的系统,该系统可以包括第一终端101、第二终端102、第三终端103、第四终端104和威胁度判定服务器105,其中,第一终端101、第二终端102、第三终端103以及第四终端104均通过有线或无线网络实现与威胁度判定服务器105的通信。其中,第一终端101、第二终端102、第三终端103和第四终端104均用于用于获取至少一个告警事件并将该至少一个告警事件发送至威胁度判定服务器105,还可以将用户在各终端(也就是第一终端101、第二终端102、第三终端103或第四终端104)针对系统提示信息输入的操作发送至威胁度判定服务器105,并接收和展示威胁度判定服务器105发送的目标威胁度判定结果。威胁度判定服务器105用于:首先对至少一个告警事件进行威胁度判定,得到初始威胁度,其次在初始威胁度中筛选出对应的目标告警事件,然后接收用户在各终端输入的操作指令,对目标告警事件进行威胁度判定得到目标威胁度判定结果并返回给各终端,最后根据目标威胁度判定结果确定对相应告警事件的处置策略。另外,该系统中还可以包括多个终端与威胁度判定服务器105连接通信,终端的数量可以根据实际的情况具体设定。
需要说明的是,在本申请的另一些实施例中,各终端同时具有获取至少一个告警事件以及对至少一个告警事件进行威胁度判定得到目标威胁度判定结果的功能,此时可以不设置威胁度判定服务器105。
在本申请的一些实施例中,各终端或威胁度判定服务器105既可以部署在移动终端设备上,也可以部署在非便携的电脑终端。应理解,本申请可以根据实际的应用场景选择对应的设备,在此不具体限定设备类型。
另外,在本申请另一些实施例中,也可以设置有事件接收服务器,用于从各终端获取至少一个告警事件并将该至少一个告警事件发送至威胁度判定服务器105。
下面结合附图2具体阐述由图1的威胁度判定服务器105执行的一种用于判定事件威胁度的方法。
请参见附图2,图2为本申请的一些实施例提供的用于判定事件威胁度的方法流程图,该方法包括:S210,获取至少一个告警事件中各告警事件的初始威胁度。S220,根据所述各告警事件的初始威胁度,从所述至少一个告警事件中获取至少部分告警事件作为目标告警事件。S230,获取所述目标告警事件的目标威胁度判定结果。S240,根据所述目标威胁度判定结果确定对相应告警事件的处置策略,其中,所述处置策略包括将所述相应告警事件添加至本地威胁情报库或不处置。
在本申请的一些实施例中,在S210之前(图中未示出),用于判定事件威胁度的方法还包括:获取至少一个告警事件。其中,各终端中设置的大数据支撑平台对接各终端内部部署的各种类型的系统,获取至少一个告警事件,并将至少一个告警事件发送至威胁度判定服务器105。
下面示例性阐述上述过程。
在本申请的一些实施例中,S210可以包括:根据预设判定规则,获取所述各告警事件的初始威胁度。
例如,在本申请的一些实施例中,威胁度判定服务器105内部可以设置有预置的判定模型,将至少一个告警事件输入至预置的判定模型得到各告警事件的初始威胁度,其中,预置的判定模型是通过在模型当中配置模型规则(也就是预设判定规则)得到的,配置的要素包括威胁线索置信度、设备置信度以及规则置信度,其中威胁线索信息、设备类型以及规则的计算方法是内置的,威胁线索置信度、设备置信度以及规则置信度是根据历史长期积累的数据运算出来的,通过将三者置信度进行加权计算,得出初始置信度分值(也就是初始威胁度)。
为了提升判定事件威胁度的准确度,在本申请的一些实施例中,S210可以包括:S211,从所述各告警事件的初始威胁度中筛选出符合设定条件的判定结果;S222,将所述符合设定条件的判定结果对应的告警事件作为所述至少部分告警事件。
由于告警事件的种类较多,告警事件的可信度也不相同,对于根据预设判定条件可以直接得出告警事件是否属于威胁性事件的情况以及威胁度等级情况,则不需要再次核实该类告警事件威胁度判定结果。
因此,在本申请的一些实施例中,针对告警事件的威胁度情况,可以根据初始威胁度分为三种类型的告警事件。第一种为轻微型告警事件,该告警事件主要是在利用预设判定规则对告警事件进行威胁度判定时,可能出现误判的情况或者该告警事件的威胁性很弱。第二种为高风险型告警事件,该种告警事件的威胁性很强,不需要进行再次核实可以直接采取对应的处置策略。第三种是待核实告警事件,此种告警事件无法得出目标威胁度判定结果,因此需要对此种告警事件进行进一步的核实。因此,只需要将各告警事件的初始威胁度进行筛选,得出属于第三种情况的待核实告警事件进行再次核实,可以提升后续获取的目标威胁度判定结果的准确度。
在本申请的一些实施例中,所述初始威胁度用初始分值表征,所述设定条件用分值区间表征,其中,S211可以包括:从所述各告警事件的初始分值中筛选出处于所述分值区间内的分值;S222可以包括:将处于所述分值区间内的分值对应的告警事件作为所述至少部分告警事件。
例如,作为本申请的一个示例,可以设置第一种的轻微型告警事件的分值区间为[0,30],第二种的待核实告警事件的分值区间为[31,70],第三种的高风险型告警事件的分值区间为[71,100]。从各告警事件的初始分值中筛选出处于[31,70]中的分值,并将在[31,70]中的分值对应的告警事件作为目标告警事件(也就是至少部分告警事件)。应理解,在实际的应用场景中,分值区间可以根据具体的情况进行灵活设定,以有效保障网络安全。
为了提升判定事件威胁度的准确率,在本申请的一些实施例中,S230可以包括:S231,提取所述目标告警事件的状态信息,其中,所述状态信息至少包括:告警事件源地址、告警事件目的地址和威胁行为信息,所述威胁行为信息是通过所述告警事件源地址和所述告警事件目的地址查询得到的;S232,对所述目标告警事件进行检测,生成提示信息;S233,基于所述提示信息,获取所述目标威胁度判定结果。
在本申请的一些实施例中,S233可以包括:接收用户针对所述提示信息在威胁度判定数据库中的操作指令,获取所述至少一个目标威胁度判定工具;利用所述至少一个目标威胁度判定工具对所述威胁行为信息进行判定,生成对所述目标告警事件的目标威胁度判定结果,其中,所述目标威胁度判定结果用于表征所述威胁行为信息对所述目标告警事件的安全威胁程度。
例如,在本申请的一些实施例中采用交互式的判定方法对目标告警事件进行判定。其中,目标告警事件的状态信息用于表征该目标告警事件的整个事件过程中涉及到的信息。首先威胁度判定服务器105会查询到目标告警事件的告警事件源地址和告警事件目的地址,之后基于告警事件源地址和告警事件目的地址提取到对应的威胁行为信息。例如,威胁行为信息可以是告警事件源地址存在用户在凌晨多次登录告警事件目的地址的情况或者是检测到通过告警事件源地址向告警事件目的地址发送异常文件等等行为。之后,在对目标告警事件进行自动检测时,会根据上述威胁行为信息生成对应的系统提示信息(也就是提示信息)发送给第一终端101。然后,第一终端101的系统会将系统提示信息显示给用户,例如“登录异常,建议进行判定”或“文件异常,建议进行判定”等系统提示信息。最后,用户看到这些系统提示信息后,会在威胁度判定数据库中选择对应的目标威胁度判定工具对威胁行为信息进行判定,得到目标威胁度判定结果。
本申请的一些实施例提供的用户根据提示信息选择对应目标威胁度判定工具的方法,可以避免由于用户经验不同出现选择错误导致威胁度判定结果错误的问题。
例如,基于系统提示信息发现本地环境,如服务器或邮件等存在异常样本文件(也就是威胁行为信息),则用户可以选择利用沙箱检测工具进行威胁度判定。若系统提示信息显示本地环境存在基于漏扫发现的漏洞数据,则用户可以选择漏洞工具对漏洞数据进行判定。
在本申请的一些实施例中,威胁度判定数据库中至少包括:沙箱检测工具、数据包文件检测工具、流量分析工具、漏扫工具、资产管理工具、事件分析工具以及日志分析工具。需要说明的是,除上述五种工具之外,威胁度判定数据库还可以包括其他类型的具有威胁度判定功能的工具,本申请在此不作具体限定。
在本申请的一些实施例中,S233可以包括:利用所述至少一个目标威胁度判定工具中的各目标威胁度判定工具,从多个维度对所述威胁行为信息进行判定,生成与所述多个维度中各维度对应的各威胁值,其中,所述各威胁值用于表征所述威胁行为信息在所述各维度上对所述目标告警事件的威胁影响程度;对所述各威胁值进行加权求和,得到所述目标威胁度判定结果。
例如,在本申请的一些实施例中,至少一个目标威胁度判定工具中的每个目标威胁度研判工具都对告警事件的以下六个维度进行判定。六个维度分别为:告警事件分为告警事件源地址的脆弱性和威胁性、告警事件目的地址的脆弱性和失陷性以及告警事件发生的准确性和相关性(也就是该告警事件与告警事件源地址或告警事件目的地址的关联情况)。目标威胁度判定工具可以从上述六个维度对告警事件中的威胁行为信息进行判定,得到六个威胁值,最后将这六个威胁值进行加权得到目标威胁度判定分值(也就是目标威胁度判定结果)。
在本申请的一些实施例中,所述目标威胁度判定工具为i个,所述i为大于1的整数,其中,S233可以包括:利用第i目标威胁度判定工具对所述威胁行为信息进行判定后,更新第i-1威胁度判定结果,获取第i威胁度判定结果,并将所述第i威胁度判定结果作为所述目标威胁度判定结果,其中,所述第i-1威胁度判定结果是通过第i-1目标威胁度判定工具对所述威胁行为信息进行判定得到的。
由于在告警事件中可以包含的威胁行为信息的种类很多(例如,一个告警事件中可以包括登录行为异常信息和可疑文件发送行为信息等等),复杂度也不相同,因此在对威胁行为信息进行判定时需要采用多种威胁度判定工具进行协同判定。需要说明的是,在本申请一些实施例中,针对不同类型的告警信息(也就是告警事件),威胁度判定服务器105内置有对威胁度判定工具的选择和使用顺序的建议性系统提示信息,通过提示用户在不熟悉告警信息与威胁度判定工具的对应关系的情况下进行决策使用,以降低只依赖于用户经验选择威胁度判定工具对告警信息进行判定的误判概率。
不难理解的是,上述建议性系统提示信息是通过对大量的告警事件判定案例进行学习、训练以及归纳,之后提取出有效的威胁度判定工具组合,并将威胁度判定工具组合与建议性系统提示信息进行匹配预先存储在威胁度判定服务器105内,用户在对告警事件进行威胁度判定时,可以为用户推荐合适的威胁度判定工具,提供合理的建议,进而提升最终得到的目标威胁度判定结果的精准度,有效保障网络安全。例如,在本申请一些实施例中,根据告警事件的实际情况,可以选择如表1所示的威胁度判定工具组合。
表1
由表1可知,当告警事件的类型为异常操作(例如,登录账号异常)时,可以根据系统的提示信息先采用PCAP判定工具对告警事件进行判定分析得到第一判定结果,再采用事件分析工具对告警事件进行判定分析并更新第一判定结果,得到第二判定结果,最后采用日志分析工具对告警事件进行判定分析并更新第二判定结果,得到第三判定结果(也就是目标威胁度判定结果)。为了避免重复描述,在对计算机病毒、基线违规或WEB攻击类的告警事件进行威胁度判定时,可以根据系统提示信息选择对应的威胁度判定组合依次对告警事件进行多步判定,得到目标威胁度判定结果。其中,基线违规可以是账号存在低低安全度密码(例如123456),网页异常可以是登录次数异常(例如,凌晨多次登录)。
例如,在本申请的一些实施例中,i的取值为3,也就是对某个告警事件中的威胁行为信息需要三步才能得到最终的目标威胁度判定结果。其中,由于某个告警事件中存在不同类型的威胁行为信息,因此每一步采用不同的目标威胁度判定工具对不同类型的威胁行为信息进行判定。此时,对威胁行为信息进行判定的过程如下:
第一步(也就是当i=1时),采用PCAP(Packet capture)判定工具(也就是数据包文件检测工具)对目标告警事件中的威胁行为信息进行威胁度判定。
PCAP判定工具对第一类威胁行为信息进行分析,PCAP判定工具内部检测到存在线索B(例如,B为存在异常的域名信息,www.23sf.com.cn),且线索可信度为b%,此时第一步威胁度判定结果Q1=a+(100-a)*b%,其中,a为初始威胁度判定分数,此处用初始分值表征,其中a的取值范围属于待核实告警事件的分值区间[31,70]。
第二步(也就是当i=2时),采用漏扫工具对目标告警事件中的威胁行为信息进行威胁度判定。
漏扫工具对第二类威胁行为信息进行分析,漏扫工具内部检测到存在线索C(例如,告警源地址的服务器存在web漏洞),且线索可信度为c%,此时第二步威胁度判定结果Q2=Q1+(100-Q1)*c%。
第三步(也就是当i=3时),采用沙箱检测工具。
沙箱检测工具对第三类威胁行为信息进行分析,沙箱检测工具内部检测到存在线索D(例如,恶意样本文件),且线索可信度为d%,此时第三步威胁度判定结果Q3=Q2+(100-Q2)*d%。此时,第三步威胁度判定结果Q3即为目标威胁度判定结果。
在本申请的一些实施例中,S240可以包括:若确定所述目标威胁度判定结果满足第一预设条件,则对相应告警事件不处置;若确定所述目标威胁度判定结果满足第二预设条件,则将所述相应告警事件添加至本地威胁情报库,以避免所述相应告警事件的发生;若确定所述目标威胁度判定结果满足第三预设条件,则重新对相应告警事件进行威胁度判定,直至所述目标威胁度判定结果满足所述第一预设条件或所述第二预设条件。
例如,在本申请的一些实施例中,针对目标威胁度判定结果所属的类型,对相应的告警事件采取对应的处置措施。其中,第一预设条件代表的是轻微型告警事件可以不做任何处置。第二预设条件代表的是高风险型告警事件,将此类告警事件定义为威胁性事件,并添加至本地威胁情报库,可以为后续的告警事件判定提供数据依据。第三预设条件代表的是待核实告警事件,此类告警事件需要继续进行核实,直到此类告警事件的目标威胁度判定结果满足第一预设条件或第二预设条件,实现对告警事件的威胁度的精准判定和采取准确的处置策略,降低威胁性事件的发生概率。
在本申请的一些实施例中,目标威胁度判定结果可以用目标分值进行表征,第一预设条件、第二预设条件和第三预设条件分别可以用第一预设区间、第二预设区间和第三预设区间进行表征。可以理解的是,根据某个目标告警事件的目标分值所属的预设区间,对相应的告警事件采取对应的处置策略。
为了便于观察到告警事件的威胁度等级,在本申请的一些实施例中,在S230之后,用于判定事件威胁度的方法还包括:根据所述目标威胁度判定结果,生成与所述各维度对应的态势展示图,所述态势展示图用于表征所述各维度对所述目标告警事件的影响程度。
例如,在本申请的一些实施例中,将告警事件源地址的脆弱性和威胁度、告警事件目的地址的脆弱性和失陷性以及告警事件发生的准确性和相关性对应的威胁值采用六边形态势图的方式展现出各维度对目标告警事件的影响程度。同时,还可以采用颜色渐变的形式表征各维度对目标告警事件的影响程度,威胁值越高,颜色越深。
在本申请的一些实施例中用于判定事件威胁度的方法还包括:采集对所述至少一个告警事件中各告警事件进行初始威胁度判定至获取所述目标威胁度判定结果过程中的判定数据信息;根据所述判定数据信息生成判定过程报告。
例如,在本申请的一些实施例中可以通过将采集的各告警事件进行初始威胁度判定至获取所述目标威胁度判定结果过程中的判定数据信息,通过内置模板或自定义模板自动生成判定过程报告,该判定过程报告包括整个判定过程中的所有判定数据信息和判定过程信息(例如,采用了哪些模板威胁度判定工具),使得用户可以及时获取相关判定信息。
下面以用于判定事件威胁度的系统中的第一终端101与威胁度判定服务器105为例,结合附图3示例性阐述本申请的一些实施例提供的用于判定事件威胁度的方法的实现过程。
请参见附图3,图3为本申请的一些实施例提供的由威胁度判定服务器105执行的用于判定事件威胁度的方法流程图。下面示例性阐述用于判定事件威胁度的方法的实现过程。
S310,获取至少一个告警事件。
作为本申请的一个示例,第一终端101将部署的某系统产生的三个告警事件发送至威胁度判定服务器105。
S320,获取至少一个告警事件中各告警事件的初始威胁度。
作为本申请的一个示例,威胁度判定服务器105部署有预置的判定模型,通过将三个告警事件输入至预置的判定模型,得到预置的判定模型输出的五个初始分值。假设,预置的判定模型根据这三个告警事件涉及的设备置信度、威胁线索置信度以及规则置信度,得到这三个告警事件的初始分值分别为:第一告警事件为15分、第二告警事件为49分、第三告警事件为80分。
S330,从所述各告警事件的初始威胁度中筛选出符合设定条件的判定结果,得到目标告警事件。
作为本申请的一个示例,设定轻微型告警事件的分值区间为[0,30],待核实告警事件的分值区间为[31,70],高风险型告警事件的分值区间为[71,100],其中,待核实告警事件为需要进一步核实的事件,通过筛选在[31,70]内的事件得到待核实告警事件。由上述三个告警事件的初始分值可知,第一告警事件属于轻微型告警事件,第二告警事件属于待核实告警事件,第三告警事件属于高风险型告警事件。因此,第二告警事件为目标告警事件。
S340,提取所述目标告警事件的状态信息,并生成提示信息。
作为本申请的一个示例,对第二告警事件进行提取得到过程信息(也就是状态信息),如第二告警事件的事件源地址、事件目的地址以及威胁行为信息。例如,通过查看事件源地址发现,在凌晨存在多次异常登录的情况。威胁度判定服务器105针对上述查找到的信息生成系统提示信息发送给第一终端101。此时第一终端101的系统会接收并显示系统提示信息:事件源地址存在异常登录行为(作为威胁行为信息的一个具体示例),建议进行异常行为流量数据判定。
S350,接收用户针对所述提示信息在威胁度判定数据库中的操作指令,获取所述至少一个目标威胁度判定工具。
作为本申请的一个示例,用户在看到第一终端101的系统提示信息之后,可以选择威胁度判定数据库中的对应的判定工具,此时,威胁度判定服务器105会接收到用户选中该判定工具的操作指令。
S360,利用所述至少一个目标威胁度判定工具对所述威胁行为信息进行判定,生成对所述目标告警事件的目标威胁度判定结果。
下面结合一个示例阐述S360。
首先,第一终端101的系统提示信息为:流量数据异常。利用用户选择的PCAP流量判定工具对异常行为流量数据从多个维度进行分析,得出该异常行为流量数据中存在可疑域名访问,此时将该可疑域名访问发送给用户确认,用户确认该可疑域名访问为恶意域名,并将该恶意域名添加至本地威胁情报库,然后对初始分值进行更新,得到第一分值为70分。
其次,第一终端101的系统提示信息为:发现恶意域名,建议对域名服务进行排查。此时,用户选择可疑文件判定工具(属于威胁度判定数据库中的一种工具)对恶意域名进行排查分析,并更新第一分值,得到第二分值为80分。
然后,第一终端101的系统仍然发布提示信息:发现木马病毒,建议对主机进行漏洞扫描。此时,用户对主机进行漏洞扫描,扫描发现两个安全漏洞,利用选择漏扫工具对这两个安全漏洞进行分析,生成漏洞扫描报告,并更新第二分值得到第三分值为95分,此时95分为目标威胁度判定结果。此时,第一终端101的系统在显示界面实时更新当前的判定数据信息。
S370,判断所述目标威胁度判定结果是否满足第一预设条件,若是则执行S371,即对相应告警事件不处置,否则执行S372;
S372,判断所述目标威胁度判定结果是否满足第二预设条件,若是则执行S373,否则返回S340。
S373,将所述相应告警事件添加至本地威胁情报库。
作为本申请的一个示例,首先设定第一预设条件对应的分值区间为[0,30],第二预设条件对应的分值区间为[71,100],第三预设条件对应的分值区间为[31,70],上述对威胁行为信息判定后得到95分,可知属于第二预设条件。此时,将第二告警事件的全部信息(例如,事件源地址、事件目的地址和威胁行为信息)添加至本地威胁情报库。
S380,根据所述目标威胁度判定结果,生成与所述各维度对应的态势展示图。
作为本申请的一个示例,根据S360对第二告警事件中的异常行为流量数据的多个维度的结果,自动在第一终端101的系统显示各维度对该第二告警事件影响程度的态势图。
S390,生成判定过程报告。
作为本申请的一个示例,通过对S310-S380的整个实现过程的监控,得到所有的判定数据信息以及判定过程信息,通过自定义模板生成对应的判定过程报告,以供相关用户下载。
请参考图4,图4示出了本申请的一些实施例提供的用于判定事件威胁度的装置的组成框图。应理解,该用于判定事件威胁度的装置与上述方法实施例对应,能够执行上述方法实施例涉及的各个步骤,该用于判定事件威胁度的装置的具体功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。
图4的用于判定事件威胁度的装置包括至少一个能以软件或固件的形式存储于存储器中或固化在用于判定事件威胁度的装置中的软件功能模块,该用于判定事件威胁度的装置包括:初始判定模块410,至少被配置为获取至少一个告警事件中各告警事件的初始威胁度;事件筛选模块420,至少被配置为根据所述各告警事件的初始威胁度,从所述至少一个告警事件中获取至少部分告警事件作为目标告警事件;目标结果获取模块430,至少被配置为获取所述目标告警事件的目标威胁度判定结果;结果处置模块440,至少被配置为根据所述目标威胁度判定结果确定对相应告警事件的处置策略,其中,所述处置策略包括将所述相应告警事件添加至本地威胁情报库或不处置。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置的具体工作过程,可以参考前述方法中的对应过程,在此不再过多赘述。
本申请的一些实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时可实现如上述实施例提供的用于判定事件威胁度的方法中的任意实施例所对应方法的操作。
本申请的一些实施例还提供了一种计算机程序产品,所述的计算机程序产品包括计算机程序,其中,所述的计算机程序被处理器执行时可实现如上述实施例提供的用于判定事件威胁度的方法中的任意实施例所对应方法的操作。
如图5所示,本申请的一些实施例提供一种电子设备500,该电子设备500包括:存储器510、处理器520以及存储在存储器510上并可在处理器520上运行的计算机程序,其中,处理器520通过总线530从存储器510读取程序并执行所述程序时可实现如上述用于判定事件威胁度的方法包括的任意实施例的方法。
处理器520可以处理数字信号,可以包括各种计算结构。例如复杂指令集计算机结构、结构精简指令集计算机结构或者一种实行多种指令集组合的结构。在一些示例中,处理器520可以是微处理器。
存储器510可以用于存储由处理器520执行的指令或指令执行过程中相关的数据。这些指令和/或数据可以包括代码,用于实现本申请实施例描述的一个或多个模块的一些功能或者全部功能。本公开实施例的处理器520可以用于执行存储器510中的指令以实现上述所示的方法。存储器510包括动态随机存取存储器、静态随机存取存储器、闪存、光存储器或其它本领域技术人员所熟知的存储器。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (13)
1.一种用于判定事件威胁度的方法,其特征在于,包括:
获取至少一个告警事件中各告警事件的初始威胁度;
根据所述各告警事件的初始威胁度,从所述至少一个告警事件中获取至少部分告警事件作为目标告警事件;
获取所述目标告警事件的目标威胁度判定结果;
根据所述目标威胁度判定结果确定对相应告警事件的处置策略,其中,所述处置策略包括将所述相应告警事件添加至本地威胁情报库或不处置;
其中,所述目标威胁度判定结果是由多个目标威胁度判定工具中各个目标威胁度判定工具按使用顺序从多个维度对所述目标告警事件的威胁行为信息进行分析得到的;
所述多个目标威胁度判定工具为N个,i∈(1,N],所述i为大于1的整数;所述第i威胁度判定结果是利用第i目标威胁度判定工具对所述威胁行为信息进行判定后,通过计算更新第i-1威胁度判定结果后得到的;其中,所述第i-1威胁度判定结果是通过第i-1目标威胁度判定工具对所述威胁行为信息进行判定得到的;所述第N威胁度判定结果作为所述目标威胁度判定结果;
所述多个目标威胁度判定工具是将所述目标告警事件的提示信息与预先存储在威胁度判定服务器内的威胁度判定工具组合匹配得到的;所述提示信息包括:威胁度判定工具的选择和使用顺序。
2.如权利要求1所述的方法,其特征在于,所述获取至少一个告警事件中各告警事件的初始威胁度,包括:
根据预设判定规则,获取所述各告警事件的初始威胁度。
3.如权利要求2所述的方法,其特征在于,所述根据所述各告警事件的初始威胁度,从所述至少一个告警事件中获取至少部分告警事件作为目标告警事件,包括:
从所述各告警事件的初始威胁度中筛选出符合设定条件的判定结果;
将所述符合设定条件的判定结果对应的告警事件作为所述至少部分告警事件。
4.如权利要求3所述的方法,其特征在于,所述初始威胁度用初始分值表征,所述设定条件用分值区间表征,其中,
所述从所述各告警事件的初始威胁度中筛选出符合设定条件的判定结果,包括:
从所述各告警事件的初始分值中筛选出处于所述分值区间内的分值;
所述将所述符合设定条件的判定结果对应的告警事件作为所述至少部分告警事件,包括:
将处于所述分值区间内的分值对应的告警事件作为所述至少部分告警事件。
5.如权利要求4所述的方法,其特征在于,所述获取所述目标告警事件的目标威胁度判定结果,包括:
提取所述目标告警事件的状态信息,其中,所述状态信息至少包括:告警事件源地址、告警事件目的地址和威胁行为信息,所述威胁行为信息是通过所述告警事件源地址和所述告警事件目的地址查询得到的;
对所述目标告警事件进行检测,生成所述提示信息;
基于所述提示信息,获取所述目标威胁度判定结果。
6.如权利要求5所述的方法,其特征在于,所述根据所述提示信息,获取所述目标威胁度判定结果,包括:
接收用户针对所述提示信息在威胁度判定数据库中的操作指令,获取所述多个目标威胁度判定工具;
利用所述多个目标威胁度判定工具对所述威胁行为信息进行判定,生成对所述目标告警事件的目标威胁度判定结果,其中,所述目标威胁度判定结果用于表征所述威胁行为信息对所述目标告警事件的安全威胁程度。
7.如权利要求1-6任一项所述的方法,其特征在于,所述根据所述目标威胁度判定结果确定对相应告警事件的处置策略,包括:
若确定所述目标威胁度判定结果满足第一预设条件,则对相应告警事件不处置;
若确定所述目标威胁度判定结果满足第二预设条件,则将所述相应告警事件添加至本地威胁情报库,以避免所述相应告警事件的发生;
若确定所述目标威胁度判定结果满足第三预设条件,则重新对相应告警事件进行威胁度判定,直至所述目标威胁度判定结果满足所述第一预设条件或所述第二预设条件。
8.如权利要求7所述的方法,其特征在于,在所述生成对所述目标告警事件的目标威胁度判定结果之后,所述方法还包括:
根据所述目标威胁度判定结果,生成与所述多个维度中各维度对应的态势展示图,所述态势展示图用于表征所述各维度对所述目标告警事件的影响程度。
9.如权利要求6所述的方法,其特征在于,所述威胁度判定数据库中至少包括:沙箱检测工具、数据包文件检测工具、流量分析工具、漏扫工具、资产管理工具。
10.如权利要求9所述的方法,其特征在于,所述方法还包括:
采集对所述至少一个告警事件中各告警事件进行初始威胁度判定至获取所述目标威胁度判定结果过程中的判定数据信息;
根据所述判定数据信息生成判定过程报告。
11.一种用于判定事件威胁度的装置,其特征在于,所述装置用于执行如权利要求1所述的方法,所述装置包括:
初始判定模块,被配置为获取至少一个告警事件中各告警事件的初始威胁度;
事件筛选模块,被配置为根据所述各告警事件的初始威胁度,从所述至少一个告警事件中获取至少部分告警事件作为目标告警事件;
目标结果获取模块,被配置为获取所述目标告警事件的目标威胁度判定结果;
结果处置模块,被配置为根据所述目标威胁度判定结果确定对相应告警事件的处置策略,其中,所述处置策略包括将所述相应告警事件添加至本地威胁情报库或不处置。
12.一种电子设备,其特征在于,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其中,所述处理器执行所述程序时可实现权利要求1-10中任意一项权利要求所述的方法。
13.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,其特征在于,所述程序被处理器执行时可实现权利要求1-10中任意一项权利要求所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210625050.3A CN115022152B (zh) | 2022-06-02 | 2022-06-02 | 一种用于判定事件威胁度的方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210625050.3A CN115022152B (zh) | 2022-06-02 | 2022-06-02 | 一种用于判定事件威胁度的方法、装置及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115022152A CN115022152A (zh) | 2022-09-06 |
| CN115022152B true CN115022152B (zh) | 2024-04-23 |
Family
ID=83072159
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210625050.3A Active CN115022152B (zh) | 2022-06-02 | 2022-06-02 | 一种用于判定事件威胁度的方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115022152B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116346904B (zh) * | 2023-05-19 | 2023-09-22 | 北京奇虎科技有限公司 | 信息推送方法、装置、设备及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20130053008A (ko) * | 2011-11-14 | 2013-05-23 | 주식회사 잉카인터넷 | 고유식별자 기반 인증 관제 시스템 및 방법 |
| CN105844425A (zh) * | 2016-04-11 | 2016-08-10 | 全球能源互联网研究院 | 一种用于电力信息物理系统的安全威胁态势综合评判方法 |
| CN110149327A (zh) * | 2019-05-20 | 2019-08-20 | 中国南方电网有限责任公司 | 网络安全威胁的告警方法、装置、计算机设备和存储介质 |
| CN110545276A (zh) * | 2019-09-03 | 2019-12-06 | 新华三信息安全技术有限公司 | 威胁事件告警方法、装置、告警设备及机器可读存储介质 |
| CN112019523A (zh) * | 2020-08-07 | 2020-12-01 | 贵州黔源电力股份有限公司 | 一种工控系统的网络审计方法和装置 |
| CN113515433A (zh) * | 2021-07-28 | 2021-10-19 | 中移(杭州)信息技术有限公司 | 告警日志处理方法、装置、设备及存储介质 |
| WO2022000430A1 (zh) * | 2020-07-02 | 2022-01-06 | 深圳市欢太科技有限公司 | 服务器威胁评定方法及相关产品 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9338181B1 (en) * | 2014-03-05 | 2016-05-10 | Netflix, Inc. | Network security system with remediation based on value of attacked assets |
-
2022
- 2022-06-02 CN CN202210625050.3A patent/CN115022152B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20130053008A (ko) * | 2011-11-14 | 2013-05-23 | 주식회사 잉카인터넷 | 고유식별자 기반 인증 관제 시스템 및 방법 |
| CN105844425A (zh) * | 2016-04-11 | 2016-08-10 | 全球能源互联网研究院 | 一种用于电力信息物理系统的安全威胁态势综合评判方法 |
| CN110149327A (zh) * | 2019-05-20 | 2019-08-20 | 中国南方电网有限责任公司 | 网络安全威胁的告警方法、装置、计算机设备和存储介质 |
| CN110545276A (zh) * | 2019-09-03 | 2019-12-06 | 新华三信息安全技术有限公司 | 威胁事件告警方法、装置、告警设备及机器可读存储介质 |
| WO2022000430A1 (zh) * | 2020-07-02 | 2022-01-06 | 深圳市欢太科技有限公司 | 服务器威胁评定方法及相关产品 |
| CN112019523A (zh) * | 2020-08-07 | 2020-12-01 | 贵州黔源电力股份有限公司 | 一种工控系统的网络审计方法和装置 |
| CN113515433A (zh) * | 2021-07-28 | 2021-10-19 | 中移(杭州)信息技术有限公司 | 告警日志处理方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115022152A (zh) | 2022-09-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110719291B (zh) | 一种基于威胁情报的网络威胁识别方法及识别系统 | |
| US6907430B2 (en) | Method and system for assessing attacks on computer networks using Bayesian networks | |
| EP3789896B1 (en) | Method and system for managing security vulnerability in host system using artificial neural network | |
| US11663500B2 (en) | Visualizing cybersecurity incidents using knowledge graph data | |
| CN113259392B (zh) | 一种网络安全攻防方法、装置及存储介质 | |
| KR102296215B1 (ko) | 지능형 지속 위협 방어를 위한 온톨로지 지식 베이스 기반 보안 요구사항 추천 방법, 이를 수행하는 장치 및 시스템 | |
| CN114866358B (zh) | 一种基于知识图谱的自动化渗透测试方法及系统 | |
| CN113704328B (zh) | 基于人工智能的用户行为大数据挖掘方法及系统 | |
| CN115733646A (zh) | 网络安全威胁评估方法、装置、设备及可读存储介质 | |
| CN115022152B (zh) | 一种用于判定事件威胁度的方法、装置及电子设备 | |
| CN111786974A (zh) | 一种网络安全评估方法、装置、计算机设备和存储介质 | |
| CN116016198B (zh) | 一种工控网络拓扑安全评估方法、装置及计算机设备 | |
| CN116566674A (zh) | 自动化渗透测试方法、系统、电子设备及存储介质 | |
| CN116055102A (zh) | 必修漏洞更新方法、必修漏洞扫描方法及相关设备 | |
| CN114301659A (zh) | 网络攻击预警方法、系统、设备及存储介质 | |
| CN113918938A (zh) | 一种持续免疫安全系统的用户实体行为分析方法及系统 | |
| Desmet et al. | Premadoma: An operational solution to prevent malicious domain name registrations in the. eu tld | |
| CN117478358A (zh) | 一种决策推荐方法及装置 | |
| CN111291378A (zh) | 威胁情报判研方法及装置 | |
| CN113987516B (zh) | 一种漏洞扫描方法、装置、存储介质和电子设备 | |
| US20130247179A1 (en) | System, method, and computer program product for sending data associated with content to a server for analysis | |
| CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
| CN114003914A (zh) | 一种文件的安全性检测方法、装置、电子设备及存储介质 | |
| CN113923037A (zh) | 一种基于可信计算的异常检测优化装置、方法及系统 | |
| CN112804192A (zh) | 暗网泄露监测方法、装置、电子设备、程序和介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |