CN115080554A - 一种基于多维数据碰撞分析的告警方法及系统 - Google Patents
一种基于多维数据碰撞分析的告警方法及系统 Download PDFInfo
- Publication number
- CN115080554A CN115080554A CN202210861023.6A CN202210861023A CN115080554A CN 115080554 A CN115080554 A CN 115080554A CN 202210861023 A CN202210861023 A CN 202210861023A CN 115080554 A CN115080554 A CN 115080554A
- Authority
- CN
- China
- Prior art keywords
- threat
- asset
- value
- data
- unit time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/21—Design, administration or maintenance of databases
- G06F16/215—Improving data quality; Data cleansing, e.g. de-duplication, removing invalid entries or correcting typographical errors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2458—Special types of queries, e.g. statistical queries, fuzzy queries or distributed queries
- G06F16/2462—Approximate or statistical queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/25—Integrating or interfacing systems involving database management systems
- G06F16/258—Data format conversion from or to a database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Data Mining & Analysis (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Probability & Statistics with Applications (AREA)
- Fuzzy Systems (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Computational Linguistics (AREA)
- Quality & Reliability (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Alarm Systems (AREA)
Abstract
本发明提供一种基于多维数据碰撞分析的告警方法及系统,方法包括:采集流量日志、漏洞数据、安全事件、威胁情报数据,对采集后的数据进行统一的标准范式化处理;系统根据单位时间内流量日志数据,对资产进行活跃值计算;系统根据单位时间内漏洞数据,对资产进行漏洞威胁值计算;系统根据单位时间内安全事件数据,对资产进行事件威胁值计算;系统根据威胁情报数据,对资产进行情报威胁值计算;系统计算得出单位时间内每一个资产的威胁值信息,计算得出平均资产威胁值以及资产威胁值中位数,以计算低中高危告警级别判定阈值;判断异常威胁资产以及告警级别,并产生相关告警。解决了告警效果差、误报率高、方式单一以及依赖威胁情报库的技术问题。
Description
技术领域
本发明涉及一种网络安全以及大数据领域,具体涉及一种基于多维数据碰撞分析的告警方法及系统。
背景技术
随着互联网以及移动互联网的快速发展,政府、企业越来越多的通过互联网信息系统向公众和用户提供服务,这些互联网信息系统为政府、企业、公众和用户带来便利的同时也成为了国际国内各种黑客组织实施攻击的目标。信息安全风险日益增加,各类网络攻击越来越频繁,互联网信息系统一旦被黑客攻陷并加以利用将会给政府、企业、公众和用户都带来不利影响,其包括:业务收入损失、形象品牌损失、数据与财产损失、秘密及隐私泄露,更甚者会影响到国家安全。
近几年大规模网络安全社会热点事件中显现的攻击越来越规模化和组织化,事件特征也越来越多样、攻击方式趋于新颖,造成的损失也越来越大。从各个方面说明了传统网络安全防护体系存在的各种不足,无法对网络实现实时全面的监控,导致无法发现威胁、产生告警。
告警是整个网络安全防御工作的核心环节,只有发现威胁、产生告警才能快速响应,从而提升网络安全的防御能力。目前现有告警相关技术大都基于规则匹配的方式,存在大量误报的情况。
公开号为CN113743058A的中国发明专利申请文献公开了《一种情报告警方法》,所述方法通过获取各情报源中包含的情报信息,将所述平台数据输入至所述情报告警模型中,并按照所述情报告警模型输出的情报告警信息实现相应的告警。该方法仅仅只考虑了威胁情报层面,通过简单的情报碰撞匹配来实现告警,方式单一且对威胁情报库有较大的依赖性,一旦系统部署于内网环境无法实时更新威胁情报库,则告警效果将大大降低。
公开号为CN111600898A的中国发明专利申请文献公开了《一种基于规则引擎的安全告警生成方法》,所述方法将经过预处理后的数据与规则库内的预设规则进行关联分析,响应于所述预设规则中的告警条件,生成安全告警。该方法主要基于预设规则,而实际应用场景复杂多变,预设规则有较大的使用限制,同时该方法仅仅提出了四个规则类型,并未对规则细节做进一步披露。
综上,现有技术存在告警效果差、误报率高、方式单一以及依赖威胁情报库的技术问题。
发明内容
本发明所要解决的技术问题在于如何解决现有技术中告警效果差、误报率高、方式单一以及依赖威胁情报库的技术问题。
本发明是采用以下技术方案解决上述技术问题的:一种基于多维数据碰撞分析的告警方法包括:
S1、采集获取网络中的差异类别探针数据,其中,差异类别探针数据包括:流量日志数据、漏洞数据、安全事件数据、威胁情报数据,对差异类别探针数据进行统一的标准范式化处理,以得到范式化探针数据;
S2、对范式化探针数据进行多维数据碰撞分析,以评估获取被分析资产的单位时间内资产威胁值,其中,步骤S2还包括:
S21、以预置活跃值处理逻辑处理预置单位时间内的流量日志数据,据以得到被分析资产的活跃值Ass;
S22、以预置漏洞威胁处理逻辑处理预置单位时间内的漏洞数据,据以得到被分析资产的漏洞威胁值Vul;
S23、以预置事件威胁处理逻辑处理预置单位时间内的安全事件数据,据以得到被分析资产的事件威胁值Event;
S24、以预置情报威胁处理逻辑处理威胁情报数据及安全事件数据,据以得到被分析资产的情报威胁值Intel;
S25、根据预置处理逻辑及预设权重系数处理活跃值、漏洞威胁值、事件威胁值、情报威胁值,据以得出单位时间内资产威胁值;
S3、根据单位时间内资产威胁值计算得到单位时间资产平均威胁值,并计算得到资产威胁值中位数;
S4、处理单位时间资产平均威胁值以及资产威胁值中位数,据以得到不少于2个等级的告警级别判定阈值,根据告警级别判定阈值判定获取异常威胁资产告警数据及其告警级别,以生成并发出告警信息。
本发明针对现有技术中的不足,提供了一种基于多维数据碰撞分析的告警模型。通过对多源异构数据进行多维碰撞分析,针对内网进行威胁评估,进一步产生精准告警事件,其中,多源异构数据包括:安全事件、流量日志、漏洞数据以及威胁情报。本发明不依赖现有的告警规则,同时降低了传统告警规则的设置复杂度。
在更具体的技术方案中,步骤S1包括:
S11、获取差异类别探针数据的统一唯一标识符;
S12、根据统一唯一标识符处理得到被分析资产与流量日志数据、漏洞数据、安全事件数据以及威胁情报数据之间的关联关系。
在更具体的技术方案中,步骤S21包括:
S211、统计流量日志数据中的资产与IP的通联关系数据;
S212、利用下述逻辑计算通联关系数据,据以得到活跃值Ass:
在更具体的技术方案中,步骤S22包括:
S221、获取CVSS国际漏洞评分标准,据以匹配被分析资产的漏洞数据与CVSS漏洞编号,以得到漏洞级别评分;
S222、根据下述逻辑处理漏洞级别评分,以得到漏洞威胁值Vul:
在更具体的技术方案中,步骤S23包括:
S231、处理安全事件数据中的中高危数据,据以获取安全数据源目的地址匹配关系;
S232、以下述逻辑处理安全数据源目的地址匹配关系,据以得到事件威胁值Event:
在更具体的技术方案中,步骤S24包括:
在更具体的技术方案中,步骤S25包括:
S251、根据用户关注数据适应调整预设权重系数;
S252、利用下述逻辑及预设权重系数处理活跃值、漏洞威胁值、事件威胁值、情报威胁值,据以得出单位时间内资产威胁值:
其中,为权重系数,且,代表被分析资产i在单位时间内的资产威胁值,代表被分析资产i在单位时间内的活跃值,代表被分析资产i在单位时间内的漏洞威胁值,代表被分析资产i在单位时间内的实际威胁值,代表被分析资产i在单位时间内的情报威胁值。
本发明中的权重系数可根据用户需求进行自定义设置,对于用户关注的方面可将其权重系统调高,得出的结果能够直观的反映出资产的漏洞威胁情况。本发明通过自定义权重系数,可实现威胁告警的灵活调整,并且操作简单。
本发明提出了新的资产威胁值的评估策略,对单位时间内资产活跃值、漏洞威胁值、事件威胁值以及情报威胁值进行多维度全面威胁评估,并且通过自定义权重系数设置的方式,实现了威胁评估的透明灵活设置。
在更具体的技术方案中,步骤S3包括:
S31、采用下述逻辑处理单位时间内资产威胁值,以得到单位时间资产平均威胁值:
S32、利用下述逻辑处理单位时间资产平均威胁值,以得到资产威胁值中位数:
在更具体的技术方案中,步骤S4包括:
S41、以下述逻辑处理被分析资产的活跃值Ass,以得到第一告警级别阈值:
S44、若单位时间资产平均威胁值等于资产威胁值中位数时,则设置第二告警级别判定阈值及第三告警级别判定阈值为:
S45、比对单位时间内资产威胁值与第一告警级别阈值、第二告警级别判定阈值及第三告警级别判定阈值,以得到异常威胁资产告警数据及告警级别。
本发明针对因资产活跃度的计算涵盖了正常会话连接情况导致即使资产没有漏洞及安全事件,但在访问量过大的场景下,仍会导致资产威胁值过大,从而产生误报的问题设置了低级告警、中级告警以及高级告警级别阈值。尽可能减少了误报的产生。
本发明不依赖传统的告警规则,降低了规则设置的操作复杂度及其操作的技术门槛,同时本发明取消了系统默认的告警规则,防止了误报太多的情况,提高了系统使用体验。本发明能够更加全面、高效的实现快速告警、精准告警的能力。
在更具体的技术方案中,一种基于多维数据碰撞分析的告警系统包括:
探针数据采集范式化模块,用以采集获取网络中的差异类别探针数据,其中,差异类别探针数据包括:流量日志数据、漏洞数据、安全事件数据、威胁情报数据,对差异类别探针数据进行统一的标准范式化处理,以得到范式化探针数据;
多维数据碰撞分析模块,用以对范式化探针数据进行多维数据碰撞分析,以评估获取被分析资产的单位时间内资产威胁值,多维数据碰撞分析模块与探针数据采集范式化模块连接,其中,多维数据碰撞分析模块还包括:
活跃值处理模块,用于以预置活跃值处理逻辑处理预置单位时间内的流量日志数据,据以得到被分析资产的活跃值Ass;
漏洞威胁值处理模块,用于以预置漏洞威胁处理逻辑处理预置单位时间内的漏洞数据,据以得到被分析资产的漏洞威胁值Vul;
事件威胁值处理模块,用于以预置事件威胁处理逻辑处理预置单位时间内的安全事件数据,据以得到被分析资产的事件威胁值Event;
情报威胁值处理模块,用于以预置情报威胁处理逻辑处理威胁情报数据及安全事件数据,据以得到被分析资产的情报威胁值Intel;
资产威胁值获取模块,用以根据预置处理逻辑及预设权重系数处理活跃值、漏洞威胁值、事件威胁值、情报威胁值,据以得出单位时间内资产威胁值,资产威胁值获取模块与活跃值处理模块、漏洞威胁值处理模块、事件威胁值处理模块以及情报威胁值处理模块连接;
平均威胁值获取模块,用以根据单位时间内资产威胁值计算得到单位时间资产平均威胁值,并计算得到资产威胁值中位数,平均威胁值获取模块与多维数据碰撞分析模块连接;
判断告警模块,用以处理单位时间资产平均威胁值以及资产威胁值中位数,据以得到不少于2个等级的告警级别判定阈值,根据告警级别判定阈值判定获取异常威胁资产告警数据及其告警级别,据以生成并发出告警信息,判断告警模块与平均威胁值获取模块连接。
本发明相比现有技术具有以下优点:本发明针对现有技术中的不足,提供了一种基于多维数据碰撞分析的告警模型。通过对多源异构数据进行多维碰撞分析,针对内网进行威胁评估,进一步产生精准告警事件,其中,多源异构数据包括安全事件、流量日志、漏洞数据以及威胁情报。本发明不依赖现有的告警规则,同时降低摆脱了传统告警规则的设置复杂度。
本发明中的权重系数可根据用户需求进行自定义设置,对于用户关注的方面可将其权重系统调高,得出的结果能够直观的反映出资产的漏洞威胁情况。本发明通过自定义权重系数,可实现威胁告警的灵活调整,并且操作简单。
本发明提出了新的资产威胁值的评估策略,对单位时间内资产活跃值、漏洞威胁值、事件威胁值以及情报威胁值进行多维度全面威胁评估,并且通过自定义权重系数设置的方式,实现了威胁评估的透明灵活设置。
本发明针对因资产活跃度的计算涵盖了正常会话连接情况导致即使资产没有漏洞及安全事件,但在访问量过大的场景下,仍会导致资产威胁值过大,从而产生误报的问题设置了低级告警、中级告警以及高级告警级别阈值。尽可能减少了误报的产生。
本发明不依赖传统的告警规则,降低了规则设置的操作复杂度及其操作的技术门槛,同时本发明取消了系统默认的告警规则,防止了误报太多的情况,提高了系统使用体验。本发明能够更加全面、高效的实现快速告警、精准告警的能力。本发明解决了现有技术中存在的告警效果差、误报率高、方式单一以及依赖威胁情报库的技术问题。
附图说明
图1为本发明实施例1的基于多维数据的告警碰撞模型示意图
图2为本发明实施例1的基于多维数据的告警碰撞模型威胁评估数据流处理示意图
图3为本发明实施例1的一种基于多维数据碰撞分析的告警方法流程示意图;
图4为本发明实施例1中的多维时间碰撞分析步骤的具体流程示意图;
图5为本发明实施例1中的低中高危告警级别阈值设置及异常威胁资产判定告警流程示意图;
图6为本发明实施例2中的一种基于多维数据碰撞分析的告警系统模块示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
如图1及图2所示,本发明的基于多维数据的告警碰撞模型,按如下步骤进行:
资产威胁评估主要基于流量活跃程度、漏洞、安全事件以及威胁情报四个维度,因此针对资产的威胁值:
如图3所示,本实施例中的一种基于多维数据碰撞分析的告警方法包括以下步骤:
步骤S1’、系统采集数据并对数据进行范式化处理;
从网络中采集获取流量数据、安全事件、漏洞数据以及威胁情报数据,对流量数据、安全事件、漏洞数据以及威胁情报数据进行范式化处理,形成标准的流量、漏洞、安全事件以及威胁情报数据,并通过统一且唯一的标识符,实现资产与四者之间的关联关系。
步骤S2’、通过多维数据碰撞分析,针对资产进行威胁值评估;
如图4所示,资产威胁评估主要基于活跃值、漏洞威胁值、事件威胁值以及情报威胁值四个维度,在单位时间内对资产进行威胁评估,具体评估方法如下:
步骤S21’、通过统计单位时间内流量日志中资产与各IP之间的通联关系,计算资产在单位时间的活跃程度;在本实施例中,资产的活跃值计算主要基于流量日志,其具体计算方式为:
步骤S22’、通过对资产自身漏洞信息与CVSS漏洞编号相匹配,得出漏洞对应的级别评分;在本实施例中,资产的漏洞值计算主要基于CVSS国际漏洞评分标准,根据漏洞评分进行资产漏洞值的计算,其具体计算方式为:
步骤S23’、根据安全事件技术资产的事件威胁值;在本实施例中,资产的事件威胁值计算主要基于安全事件,考虑到包括大量流量审计的信息类日志均会被定义为低危级别日志,因此资产事件威胁值的计算只考虑中高危事件。根据安全事件源目的地址的匹配关系,单位时间内被分析资产i被攻击的事件威胁值为:
步骤S24’、根据威胁情报数据及安全事件计算资产的情报威胁值;在本实施例中,资产的情报威胁值计算主要基于威胁情报数据和安全事件两个维度,单位时间内与被分析资产i相关联的安全事件源目的地址集合为,系统威胁情报IP集合为。
步骤S25’、根据用户关注数据设置权重系数,以获取单位时间内的资产威胁值;
在本实施例中,单位时间内被分析资产i的威胁值为:
,其中为权重系数,且,代表被分析资产i在单位时间内资产威胁值,代表被分析资产i在单位时间内的活跃值,代表被分析资产i在单位时间内的漏洞威胁值,代表被分析资产i在单位时间内的实际威胁值,代表被分析资产i在单位时间内的情报威胁值。此权重系数可根据用户需求进行自定义设置,对于比较关注的方面可将其权重系统调高,例如用户比较关注资产漏洞,那么可以将漏洞威胁值权重系统调高,整体的威胁值计算将以漏洞为主要因素,得出的结果能够直观的反映出资产的漏洞威胁情况。通过自定义权重系数,可实现威胁告警的灵活调整,并且操作简单。
步骤S3’、计算单位时间资产平均威胁值与威胁值中位数;
根据步骤S2’计算出单位时间内各资产的威胁值,可计算得出单位时间内资产的平均威胁值,其具体计算方式为:,其中n代表被分析资产i的总数量,其中,代表单位时间资产平均威胁值,代表被分析资产i在单位时间内的资产威胁值;
单位时间内资产威胁值的中位数为:
在本实施例中,设现存5个资产,那么资产威胁值中位数就是第3个资产的威胁值。设现存6个资产,则前述表达式就是第3个资产的威胁值,前述表达式就是第4个资产的威胁值,此时的资产威胁值中位数就是第3个资产的威胁值和第4个资产的威胁值的平均值。
步骤S4’、根据单位时间平均威胁值、威胁值中位数,计算告警级别判定阈值,从而判断异常威胁资产,并产生相关告警;
如图5所示,步骤S4’还包括以下具体步骤:
步骤 S41’、设定最低阈值;在本实施例中,由于资产活跃度的计算涵盖了正常会话连接情况,则会导致即使资产没有任何漏洞以及安全事件,但如果访问量过大,仍会导致资产威胁值过大,从而产生误报。为了尽可能减少这类告警的产生,则需设定告警产生的最低阈值,定义为低危级别,其值为,其中α为步骤S25’中的权重系数,表示被分析资产i在单位时间内的活跃度,n表示资产的总数量,代表低危级别告警级别阈值;
步骤S42’、根据资产平均威胁值及威胁值中位数设置中危级别判定阈值及高危级别判定阈值;在本实施例中,若平均威胁值大于威胁值中位数,则中危级别判定阈值为,高危级别判定阈值为;若平均威胁值小于威胁值中位数,则中危级别判定阈值为,高危级别判定阈值为;若平均威胁值等于威胁值中位数,则中高危判定阈值为,其中,代表中危级别告警级别判定阈值,代表高危级别告警级别判定阈值;
步骤S43’、根据最低阈值、中危级别判定阈值及高危级别判定阈值判定获取异常威胁资产及其告警级别,并且发出相应告警信息;在本实施例中,判断资产威胁值与告警级别阈值关系,若单位时间内资产威胁值大于等于低危阈值且小于中危阈值,则输出低危告警;若单位时间内资产威胁值大于等于中危阈值且小于等于高危阈值,则输出中危告警;若单位时间内资产威胁值大于高危阈值,则输出高危告警。
实施例2
本实例基于网络安全大数据分析产品,阐述使用本发明提出的一种基于多维数据碰撞的告警模型。通过对多源异构数据,例如安全事件、流量日志、漏洞数据以及威胁情报进行碰撞分析,针对内网进行威胁评估,进一步产生精准告警事件。具体的流程如下:
如图6所示,一种基于多维数据碰撞分析的告警系统包括:
探针数据采集范式化模块1,用以采集获取网络中的差异类别探针数据,其中,差异类别探针数据包括:流量日志数据、漏洞数据、安全事件数据、威胁情报数据,对差异类别探针数据进行统一的标准范式化处理,以得到范式化探针数据;
多维数据碰撞分析模块2,用以对范式化探针数据进行多维数据碰撞分析,以评估获取被分析资产的单位时间内资产威胁值,多维数据碰撞分析模块2与探针数据采集范式化模块1连接,其中,多维数据碰撞分析模块2还包括:
活跃值处理模块21,用于以预置活跃值处理逻辑处理预置单位时间内的流量日志数据,据以得到被分析资产的活跃值Ass;
漏洞威胁值处理模块22,用于以预置漏洞威胁处理逻辑处理预置单位时间内的漏洞数据,据以得到被分析资产的漏洞威胁值Vul;
事件威胁值处理模块23,用于以预置事件威胁处理逻辑处理预置单位时间内的安全事件数据,据以得到被分析资产的事件威胁值Event;
情报威胁值处理模块24,用于以预置情报威胁处理逻辑处理威胁情报数据及安全事件数据,据以得到被分析资产的情报威胁值Intel;
资产威胁值获取模块25,用以根据预置处理逻辑及预设权重系数处理活跃值、漏洞威胁值、事件威胁值、情报威胁值,据以得出单位时间内资产威胁值,资产威胁值获取模块25与活跃值处理模块21、漏洞威胁值处理模块22、事件威胁值处理模块23以及情报威胁值处理模块24连接;
平均威胁值获取模块3,用以根据单位时间内资产威胁值计算得到单位时间资产平均威胁值,并计算得到资产威胁值中位数,平均威胁值获取模块3与多维数据碰撞分析模块2连接;
判断告警模块4,用以处理单位时间资产平均威胁值以及资产威胁值中位数,据以得到不少于2个等级的告警级别判定阈值,根据告警级别判定阈值判定获取异常威胁资产告警数据及其告警级别,据以生成并发出告警信息,判断告警模块4与平均威胁值获取模块3连接。
综上,本发明针对现有技术中的不足,提供了一种基于多维数据碰撞分析的告警模型。通过对多远异构数据例如安全事件、流量日志、漏洞数据以及威胁情报进行多维碰撞分析,针对内网进行威胁评估,进一步产生精准告警事件。本发明不依赖现有的告警规则,同时降低了传统告警规则的设置复杂度。
本发明中的权重系数可根据用户需求进行自定义设置,对于用户关注的方面可将其权重系统调高,得出的结果能够直观的反映出资产的漏洞威胁情况。本发明通过自定义权重系数,可实现威胁告警的灵活调整,并且操作简单。
本发明提出了新的资产威胁值的评估策略,对单位时间内资产活跃值、漏洞威胁值、事件威胁值以及情报威胁值进行多维度全面威胁评估,并且通过自定义权重系数设置的方式,实现了威胁评估的透明灵活设置。
本发明针对因资产活跃度的计算涵盖了正常会话连接情况导致即使资产没有漏洞及安全事件,但在访问量过大的场景下,仍会导致资产威胁值过大,从而产生误报的问题设置了低级告警、中级告警以及高级告警级别阈值。尽可能减少了误报的产生。
本发明不依赖传统的告警规则,降低了规则设置的操作复杂度及其操作的技术门槛,同时本发明取消了系统默认的告警规则,防止了误报太多的情况,提高了系统使用体验。本发明能够更加全面、高效的实现快速告警、精准告警的能力。本发明解决了现有技术中存在的告警效果差、误报率高、方式单一以及依赖威胁情报库的技术问题。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种基于多维数据碰撞分析的告警方法,其特征在于,所述方法包括:
S1、采集获取网络中的差异类别探针数据,其中,所述差异类别探针数据包括:流量日志数据、漏洞数据、安全事件数据、威胁情报数据,对所述差异类别探针数据进行统一的标准范式化处理,以得到范式化探针数据;
S2、对所述范式化探针数据进行多维数据碰撞分析,以评估获取被分析资产的单位时间内资产威胁值,其中,所述步骤S2还包括:
S21、以预置活跃值处理逻辑处理预置单位时间内的所述流量日志数据,据以得到被分析资产的活跃值Ass;
S22、以预置漏洞威胁处理逻辑处理所述预置单位时间内的所述漏洞数据,据以得到所述被分析资产的漏洞威胁值Vul;
S23、以预置事件威胁处理逻辑处理所述预置单位时间内的所述安全事件数据,据以得到所述被分析资产的事件威胁值Event;
S24、以预置情报威胁处理逻辑处理所述威胁情报数据及所述安全事件数据,据以得到所述被分析资产的情报威胁值Intel;
S25、根据预置处理逻辑及预设权重系数处理所述活跃值、所述漏洞威胁值、所述事件威胁值、所述情报威胁值,据以得出所述单位时间内资产威胁值;
S3、根据所述单位时间内资产威胁值计算得到单位时间资产平均威胁值,并计算得到资产威胁值中位数;
S4、处理所述单位时间资产平均威胁值以及所述资产威胁值中位数,据以得到不少于2个等级的告警级别判定阈值,根据所述告警级别判定阈值判定获取异常威胁资产告警数据及其告警级别,以生成并发出告警信息。
2.根据权利要求1所述的一种基于多维数据碰撞分析的告警方法,其特征在于,所述步骤S1包括:
S11、获取所述差异类别探针数据的统一唯一标识符;
S12、根据所述统一唯一标识符处理得到所述被分析资产与所述流量日志数据、所述漏洞数据、所述安全事件数据以及所述威胁情报数据之间的关联关系。
9.根据权利要求1所述的一种基于多维数据碰撞分析的告警方法,其特征在于,所述步骤S4包括:
S41、以下述逻辑处理所述被分析资产的所述活跃值Ass,以得到第一告警级别阈值:
S44、若所述单位时间资产平均威胁值等于所述资产威胁值中位数时,则设置所述第二告警级别判定阈值及所述第三告警级别判定阈值为:
S45、比对所述单位时间内资产威胁值与所述第一告警级别阈值、所述第二告警级别判定阈值及所述第三告警级别判定阈值,以得到所述异常威胁资产告警数据及所述告警级别。
10.一种基于多维数据碰撞分析的告警系统,其特征在于,所述系统包括:
探针数据采集范式化模块,用以采集获取网络中的差异类别探针数据,其中,所述差异类别探针数据包括:流量日志数据、漏洞数据、安全事件数据、威胁情报数据,对所述差异类别探针数据进行统一的标准范式化处理,以得到范式化探针数据;
多维数据碰撞分析模块,用以对所述范式化探针数据进行多维数据碰撞分析,以评估获取被分析资产的单位时间内资产威胁值,所述多维数据碰撞分析模块与所述探针数据采集范式化模块连接,其中,所述多维数据碰撞分析模块还包括:
活跃值处理模块,用于以预置活跃值处理逻辑处理预置单位时间内的所述流量日志数据,据以得到被分析资产的活跃值Ass;
漏洞威胁值处理模块,用于以预置漏洞威胁处理逻辑处理所述预置单位时间内的所述漏洞数据,据以得到所述被分析资产的漏洞威胁值Vul;
事件威胁值处理模块,用于以预置事件威胁处理逻辑处理所述预置单位时间内的所述安全事件数据,据以得到所述被分析资产的事件威胁值Event;
情报威胁值处理模块,用于以预置情报威胁处理逻辑处理所述威胁情报数据及所述安全事件数据,据以得到所述被分析资产的情报威胁值Intel;
资产威胁值获取模块,用以根据预置处理逻辑及预设权重系数处理所述活跃值、所述漏洞威胁值、所述事件威胁值、所述情报威胁值,据以得出所述单位时间内资产威胁值,所述资产威胁值获取模块与所述活跃值处理模块、所述漏洞威胁值处理模块、所述事件威胁值处理模块以及所述情报威胁值处理模块连接;
平均威胁值获取模块,用以根据所述单位时间内资产威胁值计算得到单位时间资产平均威胁值,并计算得到资产威胁值中位数,所述平均威胁值获取模块与所述多维数据碰撞分析模块连接;
判断告警模块,用以处理所述单位时间资产平均威胁值以及所述资产威胁值中位数,据以得到不少于2个等级的告警级别判定阈值,根据所述告警级别判定阈值判定获取异常威胁资产告警数据及其告警级别,以生成并发出告警信息,所述判断告警模块与所述平均威胁值获取模块连接。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210861023.6A CN115080554B (zh) | 2022-07-22 | 2022-07-22 | 一种基于多维数据碰撞分析的告警方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210861023.6A CN115080554B (zh) | 2022-07-22 | 2022-07-22 | 一种基于多维数据碰撞分析的告警方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115080554A true CN115080554A (zh) | 2022-09-20 |
CN115080554B CN115080554B (zh) | 2022-11-11 |
Family
ID=83243622
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210861023.6A Active CN115080554B (zh) | 2022-07-22 | 2022-07-22 | 一种基于多维数据碰撞分析的告警方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115080554B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116010999A (zh) * | 2023-03-24 | 2023-04-25 | 云南馥茛互联网科技有限公司 | 基于人工智能算法的互联网数据安全保护方法及系统 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180139227A1 (en) * | 2016-10-31 | 2018-05-17 | Jask Labs Inc. | Method for predicting security risks of assets on a computer network |
CN108494727A (zh) * | 2018-02-06 | 2018-09-04 | 成都清华永新网络科技有限公司 | 一种用于网络安全管理的安全事件闭环处理方法 |
US10250619B1 (en) * | 2015-06-17 | 2019-04-02 | Mission Secure, Inc. | Overlay cyber security networked system and method |
CN110620696A (zh) * | 2019-09-29 | 2019-12-27 | 杭州安恒信息技术股份有限公司 | 针对企业网络安全态势感知的评分方法和装置 |
CN112737101A (zh) * | 2020-12-07 | 2021-04-30 | 国家计算机网络与信息安全管理中心 | 一种面向多监测域的网络安全风险评估方法及系统 |
US11201890B1 (en) * | 2019-03-29 | 2021-12-14 | Mandiant, Inc. | System and method for adaptive graphical depiction and selective remediation of cybersecurity threats |
-
2022
- 2022-07-22 CN CN202210861023.6A patent/CN115080554B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10250619B1 (en) * | 2015-06-17 | 2019-04-02 | Mission Secure, Inc. | Overlay cyber security networked system and method |
US20180139227A1 (en) * | 2016-10-31 | 2018-05-17 | Jask Labs Inc. | Method for predicting security risks of assets on a computer network |
CN108494727A (zh) * | 2018-02-06 | 2018-09-04 | 成都清华永新网络科技有限公司 | 一种用于网络安全管理的安全事件闭环处理方法 |
US11201890B1 (en) * | 2019-03-29 | 2021-12-14 | Mandiant, Inc. | System and method for adaptive graphical depiction and selective remediation of cybersecurity threats |
CN110620696A (zh) * | 2019-09-29 | 2019-12-27 | 杭州安恒信息技术股份有限公司 | 针对企业网络安全态势感知的评分方法和装置 |
CN112737101A (zh) * | 2020-12-07 | 2021-04-30 | 国家计算机网络与信息安全管理中心 | 一种面向多监测域的网络安全风险评估方法及系统 |
Non-Patent Citations (1)
Title |
---|
李大玮: "基于大数据的网络安全态势感知系统在网络安全管理中的应用", 《中国新通信》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116010999A (zh) * | 2023-03-24 | 2023-04-25 | 云南馥茛互联网科技有限公司 | 基于人工智能算法的互联网数据安全保护方法及系统 |
CN116010999B (zh) * | 2023-03-24 | 2024-02-06 | 天翼安全科技有限公司 | 基于人工智能算法的互联网数据安全保护方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN115080554B (zh) | 2022-11-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107623697B (zh) | 一种基于攻防随机博弈模型的网络安全态势评估方法 | |
CN112738015B (zh) | 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法 | |
Hsu et al. | A deep reinforcement learning approach for anomaly network intrusion detection system | |
US7752665B1 (en) | Detecting probes and scans over high-bandwidth, long-term, incomplete network traffic information using limited memory | |
Chen et al. | An efficient network intrusion detection | |
Li et al. | A network behavior-based botnet detection mechanism using PSO and K-means | |
CN114679338A (zh) | 一种基于网络安全态势感知的网络风险评估方法 | |
CN111431939A (zh) | 基于cti的sdn恶意流量防御方法及系统 | |
CN109218321A (zh) | 一种网络入侵检测方法及系统 | |
CN112422513B (zh) | 一种基于网络流量报文的异常检测和攻击发起者分析系统 | |
CN113904881B (zh) | 一种入侵检测规则误报处理方法和装置 | |
Hammad et al. | Intrusion detection system using feature selection with clustering and classification machine learning algorithms on the unsw-nb15 dataset | |
CN115080554B (zh) | 一种基于多维数据碰撞分析的告警方法及系统 | |
CN113938401A (zh) | 一种舰艇网络安全可视化系统 | |
CN115766235A (zh) | 一种网络安全预警系统及预警方法 | |
CN112866278B (zh) | 一种基于大数据的计算机网络信息安全防护系统 | |
CN117478433A (zh) | 一种网络与信息安全动态预警系统 | |
CN111709021A (zh) | 一种基于海量告警的攻击事件识别方法及电子装置 | |
Limsaiprom et al. | Social network anomaly and attack patterns analysis | |
CN112671800B (zh) | 一种威胁量化企业风险值的方法 | |
Bozorov | DDoS Attack Detection via IDS: Open Challenges and Problems | |
CN113343231A (zh) | 一种基于集中管控的威胁情报的数据采集系统 | |
Leslie | Using semi-supervised learning for flow-based network intrusion detection | |
Voronov et al. | A Framework for Anomaly Detection in Blockchain Networks With Sketches | |
CN114978777B (zh) | 一种基于网络对象的多领域场景威胁融合评估方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |