CN115080554A - 一种基于多维数据碰撞分析的告警方法及系统 - Google Patents

一种基于多维数据碰撞分析的告警方法及系统 Download PDF

Info

Publication number
CN115080554A
CN115080554A CN202210861023.6A CN202210861023A CN115080554A CN 115080554 A CN115080554 A CN 115080554A CN 202210861023 A CN202210861023 A CN 202210861023A CN 115080554 A CN115080554 A CN 115080554A
Authority
CN
China
Prior art keywords
threat
asset
value
data
unit time
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210861023.6A
Other languages
English (en)
Other versions
CN115080554B (zh
Inventor
朱典
陶峰
杨阳
姚远
宋康
姚杰
柏光华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Anhui Big Data Center
Original Assignee
Anhui Big Data Center
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Anhui Big Data Center filed Critical Anhui Big Data Center
Priority to CN202210861023.6A priority Critical patent/CN115080554B/zh
Publication of CN115080554A publication Critical patent/CN115080554A/zh
Application granted granted Critical
Publication of CN115080554B publication Critical patent/CN115080554B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/21Design, administration or maintenance of databases
    • G06F16/215Improving data quality; Data cleansing, e.g. de-duplication, removing invalid entries or correcting typographical errors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • G06F16/2458Special types of queries, e.g. statistical queries, fuzzy queries or distributed queries
    • G06F16/2462Approximate or statistical queries
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/25Integrating or interfacing systems involving database management systems
    • G06F16/258Data format conversion from or to a database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Probability & Statistics with Applications (AREA)
  • Fuzzy Systems (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Computational Linguistics (AREA)
  • Quality & Reliability (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Alarm Systems (AREA)

Abstract

本发明提供一种基于多维数据碰撞分析的告警方法及系统,方法包括:采集流量日志、漏洞数据、安全事件、威胁情报数据,对采集后的数据进行统一的标准范式化处理;系统根据单位时间内流量日志数据,对资产进行活跃值计算;系统根据单位时间内漏洞数据,对资产进行漏洞威胁值计算;系统根据单位时间内安全事件数据,对资产进行事件威胁值计算;系统根据威胁情报数据,对资产进行情报威胁值计算;系统计算得出单位时间内每一个资产的威胁值信息,计算得出平均资产威胁值以及资产威胁值中位数,以计算低中高危告警级别判定阈值;判断异常威胁资产以及告警级别,并产生相关告警。解决了告警效果差、误报率高、方式单一以及依赖威胁情报库的技术问题。

Description

一种基于多维数据碰撞分析的告警方法及系统
技术领域
本发明涉及一种网络安全以及大数据领域,具体涉及一种基于多维数据碰撞分析的告警方法及系统。
背景技术
随着互联网以及移动互联网的快速发展,政府、企业越来越多的通过互联网信息系统向公众和用户提供服务,这些互联网信息系统为政府、企业、公众和用户带来便利的同时也成为了国际国内各种黑客组织实施攻击的目标。信息安全风险日益增加,各类网络攻击越来越频繁,互联网信息系统一旦被黑客攻陷并加以利用将会给政府、企业、公众和用户都带来不利影响,其包括:业务收入损失、形象品牌损失、数据与财产损失、秘密及隐私泄露,更甚者会影响到国家安全。
近几年大规模网络安全社会热点事件中显现的攻击越来越规模化和组织化,事件特征也越来越多样、攻击方式趋于新颖,造成的损失也越来越大。从各个方面说明了传统网络安全防护体系存在的各种不足,无法对网络实现实时全面的监控,导致无法发现威胁、产生告警。
告警是整个网络安全防御工作的核心环节,只有发现威胁、产生告警才能快速响应,从而提升网络安全的防御能力。目前现有告警相关技术大都基于规则匹配的方式,存在大量误报的情况。
公开号为CN113743058A的中国发明专利申请文献公开了《一种情报告警方法》,所述方法通过获取各情报源中包含的情报信息,将所述平台数据输入至所述情报告警模型中,并按照所述情报告警模型输出的情报告警信息实现相应的告警。该方法仅仅只考虑了威胁情报层面,通过简单的情报碰撞匹配来实现告警,方式单一且对威胁情报库有较大的依赖性,一旦系统部署于内网环境无法实时更新威胁情报库,则告警效果将大大降低。
公开号为CN111600898A的中国发明专利申请文献公开了《一种基于规则引擎的安全告警生成方法》,所述方法将经过预处理后的数据与规则库内的预设规则进行关联分析,响应于所述预设规则中的告警条件,生成安全告警。该方法主要基于预设规则,而实际应用场景复杂多变,预设规则有较大的使用限制,同时该方法仅仅提出了四个规则类型,并未对规则细节做进一步披露。
综上,现有技术存在告警效果差、误报率高、方式单一以及依赖威胁情报库的技术问题。
发明内容
本发明所要解决的技术问题在于如何解决现有技术中告警效果差、误报率高、方式单一以及依赖威胁情报库的技术问题。
本发明是采用以下技术方案解决上述技术问题的:一种基于多维数据碰撞分析的告警方法包括:
S1、采集获取网络中的差异类别探针数据,其中,差异类别探针数据包括:流量日志数据、漏洞数据、安全事件数据、威胁情报数据,对差异类别探针数据进行统一的标准范式化处理,以得到范式化探针数据;
S2、对范式化探针数据进行多维数据碰撞分析,以评估获取被分析资产的单位时间内资产威胁值,其中,步骤S2还包括:
S21、以预置活跃值处理逻辑处理预置单位时间内的流量日志数据,据以得到被分析资产的活跃值Ass
S22、以预置漏洞威胁处理逻辑处理预置单位时间内的漏洞数据,据以得到被分析资产的漏洞威胁值Vul
S23、以预置事件威胁处理逻辑处理预置单位时间内的安全事件数据,据以得到被分析资产的事件威胁值Event
S24、以预置情报威胁处理逻辑处理威胁情报数据及安全事件数据,据以得到被分析资产的情报威胁值Intel
S25、根据预置处理逻辑及预设权重系数处理活跃值、漏洞威胁值、事件威胁值、情报威胁值,据以得出单位时间内资产威胁值;
S3、根据单位时间内资产威胁值计算得到单位时间资产平均威胁值,并计算得到资产威胁值中位数;
S4、处理单位时间资产平均威胁值以及资产威胁值中位数,据以得到不少于2个等级的告警级别判定阈值,根据告警级别判定阈值判定获取异常威胁资产告警数据及其告警级别,以生成并发出告警信息。
本发明针对现有技术中的不足,提供了一种基于多维数据碰撞分析的告警模型。通过对多源异构数据进行多维碰撞分析,针对内网进行威胁评估,进一步产生精准告警事件,其中,多源异构数据包括:安全事件、流量日志、漏洞数据以及威胁情报。本发明不依赖现有的告警规则,同时降低了传统告警规则的设置复杂度。
在更具体的技术方案中,步骤S1包括:
S11、获取差异类别探针数据的统一唯一标识符;
S12、根据统一唯一标识符处理得到被分析资产与流量日志数据、漏洞数据、安全事件数据以及威胁情报数据之间的关联关系。
在更具体的技术方案中,步骤S21包括:
S211、统计流量日志数据中的资产与IP的通联关系数据;
S212、利用下述逻辑计算通联关系数据,据以得到活跃值Ass
Figure 705011DEST_PATH_IMAGE001
其中,
Figure 29814DEST_PATH_IMAGE002
代表被分析资产i在单位时间内资产会话连接数,
Figure 399615DEST_PATH_IMAGE003
代表资产j在单位时间内资产会话连接数,n代表内网中被分析资产i的总数量,Ass代表被分析资产的活跃值。
在更具体的技术方案中,步骤S22包括:
S221、获取CVSS国际漏洞评分标准,据以匹配被分析资产的漏洞数据与CVSS漏洞编号,以得到漏洞级别评分;
S222、根据下述逻辑处理漏洞级别评分,以得到漏洞威胁值Vul
Figure 290211DEST_PATH_IMAGE004
其中m代表资产存在的漏洞数量,
Figure 523484DEST_PATH_IMAGE005
代表漏洞v按照CVSS漏洞评分标准输出的具体漏洞评分,其中,
Figure 132320DEST_PATH_IMAGE006
在更具体的技术方案中,步骤S23包括:
S231、处理安全事件数据中的中高危数据,据以获取安全数据源目的地址匹配关系;
S232、以下述逻辑处理安全数据源目的地址匹配关系,据以得到事件威胁值Event
Figure 305812DEST_PATH_IMAGE007
其中,E代表单位时间内安全事件总量集合,
Figure 316493DEST_PATH_IMAGE008
代表事件级别中高危事件对应的量化数值,
Figure 222132DEST_PATH_IMAGE009
代表和被分析资产i相关联的安全事件级别对应的量化数值。
在更具体的技术方案中,步骤S24包括:
S241、获取预置单位时间内的与被分析资产i相关联的安全事件源目的地址集合
Figure 318264DEST_PATH_IMAGE010
以及系统威胁情报IP集合
Figure 29868DEST_PATH_IMAGE011
S242、以下述逻辑处理安全事件源目的地址集合
Figure 832739DEST_PATH_IMAGE012
以及系统威胁情报IP集合
Figure 971597DEST_PATH_IMAGE011
,据以得到情报威胁值Intel
Figure 555025DEST_PATH_IMAGE013
其中,
Figure 742424DEST_PATH_IMAGE014
代表威胁情报碰撞后IP集合的个数。
在更具体的技术方案中,步骤S25包括:
S251、根据用户关注数据适应调整预设权重系数;
S252、利用下述逻辑及预设权重系数处理活跃值、漏洞威胁值、事件威胁值、情报威胁值,据以得出单位时间内资产威胁值:
Figure 727697DEST_PATH_IMAGE015
其中,
Figure 37456DEST_PATH_IMAGE016
为权重系数,且
Figure 544398DEST_PATH_IMAGE017
Figure 597805DEST_PATH_IMAGE018
代表被分析资产i在单位时间内的资产威胁值,
Figure 437585DEST_PATH_IMAGE019
代表被分析资产i在单位时间内的活跃值,
Figure 855928DEST_PATH_IMAGE020
代表被分析资产i在单位时间内的漏洞威胁值,
Figure 148369DEST_PATH_IMAGE021
代表被分析资产i在单位时间内的实际威胁值,
Figure 5466DEST_PATH_IMAGE022
代表被分析资产i在单位时间内的情报威胁值。
本发明中的权重系数可根据用户需求进行自定义设置,对于用户关注的方面可将其权重系统调高,得出的结果能够直观的反映出资产的漏洞威胁情况。本发明通过自定义权重系数,可实现威胁告警的灵活调整,并且操作简单。
本发明提出了新的资产威胁值的评估策略,对单位时间内资产活跃值、漏洞威胁值、事件威胁值以及情报威胁值进行多维度全面威胁评估,并且通过自定义权重系数设置的方式,实现了威胁评估的透明灵活设置。
在更具体的技术方案中,步骤S3包括:
S31、采用下述逻辑处理单位时间内资产威胁值,以得到单位时间资产平均威胁值:
Figure 637436DEST_PATH_IMAGE023
其中,n代表被分析资产i的总数量,其中,
Figure 288997DEST_PATH_IMAGE024
代表单位时间资产平均威胁值,
Figure 334314DEST_PATH_IMAGE018
代表被分析资产i在单位时间内的资产威胁值;
S32、利用下述逻辑处理单位时间资产平均威胁值,以得到资产威胁值中位数:
Figure 667206DEST_PATH_IMAGE025
其中,n代表资产的总数量,
Figure 215999DEST_PATH_IMAGE026
代表资产威胁值中位数,
Figure 304041DEST_PATH_IMAGE027
代表资产是奇数时的资产威胁中位数,
Figure 7292DEST_PATH_IMAGE028
代表资产是偶数时,n/2资产的威胁值,
Figure 206192DEST_PATH_IMAGE029
代表资产是偶数时,n/2+1资产的威胁值。
在更具体的技术方案中,步骤S4包括:
S41、以下述逻辑处理被分析资产的活跃值Ass,以得到第一告警级别阈值:
Figure 609492DEST_PATH_IMAGE030
其中α为权重系数,
Figure 806118DEST_PATH_IMAGE031
表示被分析资产i在单位时间内的活跃度,n表示被分析资产i的总数量,
Figure 560448DEST_PATH_IMAGE032
代表第一告警级别阈值;
S42、在单位时间资产平均威胁值大于资产威胁值中位数时,则设置第二告警级别判定阈值为
Figure 297459DEST_PATH_IMAGE033
,设置第三告警级别判定阈值为
Figure 758528DEST_PATH_IMAGE034
,其中,
Figure 188372DEST_PATH_IMAGE035
代表第二告警级别判定阈值,
Figure 164418DEST_PATH_IMAGE036
代表第三告警级别判定阈值;
S43、在单位时间资产平均威胁值小于资产威胁值中位数时,则设置第二告警级别判定阈值为
Figure 642804DEST_PATH_IMAGE037
,设置第三告警级别判定阈值为
Figure 286275DEST_PATH_IMAGE038
S44、若单位时间资产平均威胁值等于资产威胁值中位数时,则设置第二告警级别判定阈值及第三告警级别判定阈值为:
Figure 621441DEST_PATH_IMAGE039
S45、比对单位时间内资产威胁值与第一告警级别阈值、第二告警级别判定阈值及第三告警级别判定阈值,以得到异常威胁资产告警数据及告警级别。
本发明针对因资产活跃度的计算涵盖了正常会话连接情况导致即使资产没有漏洞及安全事件,但在访问量过大的场景下,仍会导致资产威胁值过大,从而产生误报的问题设置了低级告警、中级告警以及高级告警级别阈值。尽可能减少了误报的产生。
本发明不依赖传统的告警规则,降低了规则设置的操作复杂度及其操作的技术门槛,同时本发明取消了系统默认的告警规则,防止了误报太多的情况,提高了系统使用体验。本发明能够更加全面、高效的实现快速告警、精准告警的能力。
在更具体的技术方案中,一种基于多维数据碰撞分析的告警系统包括:
探针数据采集范式化模块,用以采集获取网络中的差异类别探针数据,其中,差异类别探针数据包括:流量日志数据、漏洞数据、安全事件数据、威胁情报数据,对差异类别探针数据进行统一的标准范式化处理,以得到范式化探针数据;
多维数据碰撞分析模块,用以对范式化探针数据进行多维数据碰撞分析,以评估获取被分析资产的单位时间内资产威胁值,多维数据碰撞分析模块与探针数据采集范式化模块连接,其中,多维数据碰撞分析模块还包括:
活跃值处理模块,用于以预置活跃值处理逻辑处理预置单位时间内的流量日志数据,据以得到被分析资产的活跃值Ass
漏洞威胁值处理模块,用于以预置漏洞威胁处理逻辑处理预置单位时间内的漏洞数据,据以得到被分析资产的漏洞威胁值Vul
事件威胁值处理模块,用于以预置事件威胁处理逻辑处理预置单位时间内的安全事件数据,据以得到被分析资产的事件威胁值Event
情报威胁值处理模块,用于以预置情报威胁处理逻辑处理威胁情报数据及安全事件数据,据以得到被分析资产的情报威胁值Intel
资产威胁值获取模块,用以根据预置处理逻辑及预设权重系数处理活跃值、漏洞威胁值、事件威胁值、情报威胁值,据以得出单位时间内资产威胁值,资产威胁值获取模块与活跃值处理模块、漏洞威胁值处理模块、事件威胁值处理模块以及情报威胁值处理模块连接;
平均威胁值获取模块,用以根据单位时间内资产威胁值计算得到单位时间资产平均威胁值,并计算得到资产威胁值中位数,平均威胁值获取模块与多维数据碰撞分析模块连接;
判断告警模块,用以处理单位时间资产平均威胁值以及资产威胁值中位数,据以得到不少于2个等级的告警级别判定阈值,根据告警级别判定阈值判定获取异常威胁资产告警数据及其告警级别,据以生成并发出告警信息,判断告警模块与平均威胁值获取模块连接。
本发明相比现有技术具有以下优点:本发明针对现有技术中的不足,提供了一种基于多维数据碰撞分析的告警模型。通过对多源异构数据进行多维碰撞分析,针对内网进行威胁评估,进一步产生精准告警事件,其中,多源异构数据包括安全事件、流量日志、漏洞数据以及威胁情报。本发明不依赖现有的告警规则,同时降低摆脱了传统告警规则的设置复杂度。
本发明中的权重系数可根据用户需求进行自定义设置,对于用户关注的方面可将其权重系统调高,得出的结果能够直观的反映出资产的漏洞威胁情况。本发明通过自定义权重系数,可实现威胁告警的灵活调整,并且操作简单。
本发明提出了新的资产威胁值的评估策略,对单位时间内资产活跃值、漏洞威胁值、事件威胁值以及情报威胁值进行多维度全面威胁评估,并且通过自定义权重系数设置的方式,实现了威胁评估的透明灵活设置。
本发明针对因资产活跃度的计算涵盖了正常会话连接情况导致即使资产没有漏洞及安全事件,但在访问量过大的场景下,仍会导致资产威胁值过大,从而产生误报的问题设置了低级告警、中级告警以及高级告警级别阈值。尽可能减少了误报的产生。
本发明不依赖传统的告警规则,降低了规则设置的操作复杂度及其操作的技术门槛,同时本发明取消了系统默认的告警规则,防止了误报太多的情况,提高了系统使用体验。本发明能够更加全面、高效的实现快速告警、精准告警的能力。本发明解决了现有技术中存在的告警效果差、误报率高、方式单一以及依赖威胁情报库的技术问题。
附图说明
图1为本发明实施例1的基于多维数据的告警碰撞模型示意图
图2为本发明实施例1的基于多维数据的告警碰撞模型威胁评估数据流处理示意图
图3为本发明实施例1的一种基于多维数据碰撞分析的告警方法流程示意图;
图4为本发明实施例1中的多维时间碰撞分析步骤的具体流程示意图;
图5为本发明实施例1中的低中高危告警级别阈值设置及异常威胁资产判定告警流程示意图;
图6为本发明实施例2中的一种基于多维数据碰撞分析的告警系统模块示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
如图1及图2所示,本发明的基于多维数据的告警碰撞模型,按如下步骤进行:
资产威胁评估主要基于流量活跃程度、漏洞、安全事件以及威胁情报四个维度,因此针对资产的威胁值:
定义资产i的各个维度威胁值用集合
Figure 350363DEST_PATH_IMAGE040
表示,其中
Figure 859536DEST_PATH_IMAGE031
表示被分析资产i的活跃值,
Figure 357514DEST_PATH_IMAGE020
表示被分析资产i在单位时间内的漏洞威胁值,
Figure 863582DEST_PATH_IMAGE041
表示被分析资产i在单位时间内的的事件威胁值,
Figure 17482DEST_PATH_IMAGE042
表示被分析资产i在单位时间内的的情报威胁值。
如图3所示,本实施例中的一种基于多维数据碰撞分析的告警方法包括以下步骤:
步骤S1’、系统采集数据并对数据进行范式化处理;
从网络中采集获取流量数据、安全事件、漏洞数据以及威胁情报数据,对流量数据、安全事件、漏洞数据以及威胁情报数据进行范式化处理,形成标准的流量、漏洞、安全事件以及威胁情报数据,并通过统一且唯一的标识符,实现资产与四者之间的关联关系。
步骤S2’、通过多维数据碰撞分析,针对资产进行威胁值评估;
如图4所示,资产威胁评估主要基于活跃值、漏洞威胁值、事件威胁值以及情报威胁值四个维度,在单位时间内对资产进行威胁评估,具体评估方法如下:
步骤S21’、通过统计单位时间内流量日志中资产与各IP之间的通联关系,计算资产在单位时间的活跃程度;在本实施例中,资产的活跃值计算主要基于流量日志,其具体计算方式为:
Figure 899988DEST_PATH_IMAGE001
其中,
Figure 252472DEST_PATH_IMAGE002
代表被分析资产i在单位时间内资产会话连接数,
Figure 132703DEST_PATH_IMAGE003
代表资产j在单位时间内资产会话连接数,n代表内网中资产总数。Ass代表被分析资产的活跃值;
步骤S22’、通过对资产自身漏洞信息与CVSS漏洞编号相匹配,得出漏洞对应的级别评分;在本实施例中,资产的漏洞值计算主要基于CVSS国际漏洞评分标准,根据漏洞评分进行资产漏洞值的计算,其具体计算方式为:
Figure 570638DEST_PATH_IMAGE004
其中m代表资产存在的漏洞数量,
Figure 991255DEST_PATH_IMAGE005
代表漏洞v按照CVSS漏洞评分标准输出的具体漏洞评分,其中,
Figure 401507DEST_PATH_IMAGE006
步骤S23’、根据安全事件技术资产的事件威胁值;在本实施例中,资产的事件威胁值计算主要基于安全事件,考虑到包括大量流量审计的信息类日志均会被定义为低危级别日志,因此资产事件威胁值的计算只考虑中高危事件。根据安全事件源目的地址的匹配关系,单位时间内被分析资产i被攻击的事件威胁值为:
Figure 249378DEST_PATH_IMAGE007
其中,E代表单位时间内安全事件总量集合,
Figure 174608DEST_PATH_IMAGE008
代表事件级别中高危事件对应的量化数值,
Figure 835135DEST_PATH_IMAGE009
代表和被分析资产i相关联的安全事件级别对应的量化数值;
步骤S24’、根据威胁情报数据及安全事件计算资产的情报威胁值;在本实施例中,资产的情报威胁值计算主要基于威胁情报数据和安全事件两个维度,单位时间内与被分析资产i相关联的安全事件源目的地址集合为
Figure 162211DEST_PATH_IMAGE043
,系统威胁情报IP集合为
Figure 446561DEST_PATH_IMAGE044
单位时间内被分析资产i的情报威胁值为
Figure 796771DEST_PATH_IMAGE045
Figure 559191DEST_PATH_IMAGE046
代表威胁情报碰撞后IP集合的个数;
步骤S25’、根据用户关注数据设置权重系数,以获取单位时间内的资产威胁值;
在本实施例中,单位时间内被分析资产i的威胁值为:
Figure 740774DEST_PATH_IMAGE047
,其中
Figure 133709DEST_PATH_IMAGE048
为权重系数,且
Figure 33532DEST_PATH_IMAGE049
Figure 599642DEST_PATH_IMAGE018
代表被分析资产i在单位时间内资产威胁值,
Figure 635731DEST_PATH_IMAGE050
代表被分析资产i在单位时间内的活跃值,
Figure 199568DEST_PATH_IMAGE020
代表被分析资产i在单位时间内的漏洞威胁值,
Figure 586687DEST_PATH_IMAGE041
代表被分析资产i在单位时间内的实际威胁值,
Figure 690909DEST_PATH_IMAGE022
代表被分析资产i在单位时间内的情报威胁值。此权重系数可根据用户需求进行自定义设置,对于比较关注的方面可将其权重系统调高,例如用户比较关注资产漏洞,那么可以将漏洞威胁值权重系统调高,整体的威胁值计算将以漏洞为主要因素,得出的结果能够直观的反映出资产的漏洞威胁情况。通过自定义权重系数,可实现威胁告警的灵活调整,并且操作简单。
步骤S3’、计算单位时间资产平均威胁值与威胁值中位数;
根据步骤S2’计算出单位时间内各资产的威胁值,可计算得出单位时间内资产的平均威胁值,其具体计算方式为:
Figure 283302DEST_PATH_IMAGE051
,其中n代表被分析资产i的总数量,其中,
Figure 80357DEST_PATH_IMAGE024
代表单位时间资产平均威胁值,
Figure 689193DEST_PATH_IMAGE018
代表被分析资产i在单位时间内的资产威胁值;
单位时间内资产威胁值的中位数为:
Figure 800368DEST_PATH_IMAGE025
,其中n代表被分析资产i的总数量,
Figure 811050DEST_PATH_IMAGE052
代表资产威胁值中位数,
Figure 779006DEST_PATH_IMAGE027
代表资产是奇数时的资产威胁中位数,
Figure 812821DEST_PATH_IMAGE028
代表资产是偶数时,n/2资产的威胁值,
Figure 258846DEST_PATH_IMAGE053
代表资产是偶数时,n/2+1资产的威胁值。
在本实施例中,设现存5个资产,那么资产威胁值中位数
Figure 389613DEST_PATH_IMAGE054
就是第3个资产的威胁值。设现存6个资产,则前述表达式
Figure 466153DEST_PATH_IMAGE055
就是第3个资产的威胁值,前述表达式
Figure 49581DEST_PATH_IMAGE056
就是第4个资产的威胁值,此时的资产威胁值中位数就是第3个资产的威胁值和第4个资产的威胁值的平均值。
步骤S4’、根据单位时间平均威胁值、威胁值中位数,计算告警级别判定阈值,从而判断异常威胁资产,并产生相关告警;
如图5所示,步骤S4’还包括以下具体步骤:
步骤 S41’、设定最低阈值;在本实施例中,由于资产活跃度的计算涵盖了正常会话连接情况,则会导致即使资产没有任何漏洞以及安全事件,但如果访问量过大,仍会导致资产威胁值过大,从而产生误报。为了尽可能减少这类告警的产生,则需设定告警产生的最低阈值,定义为低危级别,其值为
Figure 299297DEST_PATH_IMAGE030
,其中α为步骤S25’中的权重系数,
Figure 720789DEST_PATH_IMAGE057
表示被分析资产i在单位时间内的活跃度,n表示资产的总数量,
Figure 30547DEST_PATH_IMAGE032
代表低危级别告警级别阈值;
步骤S42’、根据资产平均威胁值及威胁值中位数设置中危级别判定阈值及高危级别判定阈值;在本实施例中,若平均威胁值大于威胁值中位数,则中危级别判定阈值为
Figure 38955DEST_PATH_IMAGE033
,高危级别判定阈值为
Figure 92361DEST_PATH_IMAGE058
;若平均威胁值小于威胁值中位数,则中危级别判定阈值为
Figure 932141DEST_PATH_IMAGE059
,高危级别判定阈值为
Figure 350484DEST_PATH_IMAGE038
;若平均威胁值等于威胁值中位数,则中高危判定阈值为
Figure 642925DEST_PATH_IMAGE060
,其中,
Figure 500023DEST_PATH_IMAGE061
代表中危级别告警级别判定阈值,
Figure 131993DEST_PATH_IMAGE036
代表高危级别告警级别判定阈值;
步骤S43’、根据最低阈值、中危级别判定阈值及高危级别判定阈值判定获取异常威胁资产及其告警级别,并且发出相应告警信息;在本实施例中,判断资产威胁值与告警级别阈值关系,若单位时间内资产威胁值大于等于低危阈值且小于中危阈值,则输出低危告警;若单位时间内资产威胁值大于等于中危阈值且小于等于高危阈值,则输出中危告警;若单位时间内资产威胁值大于高危阈值,则输出高危告警。
实施例2
本实例基于网络安全大数据分析产品,阐述使用本发明提出的一种基于多维数据碰撞的告警模型。通过对多源异构数据,例如安全事件、流量日志、漏洞数据以及威胁情报进行碰撞分析,针对内网进行威胁评估,进一步产生精准告警事件。具体的流程如下:
如图6所示,一种基于多维数据碰撞分析的告警系统包括:
探针数据采集范式化模块1,用以采集获取网络中的差异类别探针数据,其中,差异类别探针数据包括:流量日志数据、漏洞数据、安全事件数据、威胁情报数据,对差异类别探针数据进行统一的标准范式化处理,以得到范式化探针数据;
多维数据碰撞分析模块2,用以对范式化探针数据进行多维数据碰撞分析,以评估获取被分析资产的单位时间内资产威胁值,多维数据碰撞分析模块2与探针数据采集范式化模块1连接,其中,多维数据碰撞分析模块2还包括:
活跃值处理模块21,用于以预置活跃值处理逻辑处理预置单位时间内的流量日志数据,据以得到被分析资产的活跃值Ass
漏洞威胁值处理模块22,用于以预置漏洞威胁处理逻辑处理预置单位时间内的漏洞数据,据以得到被分析资产的漏洞威胁值Vul
事件威胁值处理模块23,用于以预置事件威胁处理逻辑处理预置单位时间内的安全事件数据,据以得到被分析资产的事件威胁值Event
情报威胁值处理模块24,用于以预置情报威胁处理逻辑处理威胁情报数据及安全事件数据,据以得到被分析资产的情报威胁值Intel
资产威胁值获取模块25,用以根据预置处理逻辑及预设权重系数处理活跃值、漏洞威胁值、事件威胁值、情报威胁值,据以得出单位时间内资产威胁值,资产威胁值获取模块25与活跃值处理模块21、漏洞威胁值处理模块22、事件威胁值处理模块23以及情报威胁值处理模块24连接;
平均威胁值获取模块3,用以根据单位时间内资产威胁值计算得到单位时间资产平均威胁值,并计算得到资产威胁值中位数,平均威胁值获取模块3与多维数据碰撞分析模块2连接;
判断告警模块4,用以处理单位时间资产平均威胁值以及资产威胁值中位数,据以得到不少于2个等级的告警级别判定阈值,根据告警级别判定阈值判定获取异常威胁资产告警数据及其告警级别,据以生成并发出告警信息,判断告警模块4与平均威胁值获取模块3连接。
综上,本发明针对现有技术中的不足,提供了一种基于多维数据碰撞分析的告警模型。通过对多远异构数据例如安全事件、流量日志、漏洞数据以及威胁情报进行多维碰撞分析,针对内网进行威胁评估,进一步产生精准告警事件。本发明不依赖现有的告警规则,同时降低了传统告警规则的设置复杂度。
本发明中的权重系数可根据用户需求进行自定义设置,对于用户关注的方面可将其权重系统调高,得出的结果能够直观的反映出资产的漏洞威胁情况。本发明通过自定义权重系数,可实现威胁告警的灵活调整,并且操作简单。
本发明提出了新的资产威胁值的评估策略,对单位时间内资产活跃值、漏洞威胁值、事件威胁值以及情报威胁值进行多维度全面威胁评估,并且通过自定义权重系数设置的方式,实现了威胁评估的透明灵活设置。
本发明针对因资产活跃度的计算涵盖了正常会话连接情况导致即使资产没有漏洞及安全事件,但在访问量过大的场景下,仍会导致资产威胁值过大,从而产生误报的问题设置了低级告警、中级告警以及高级告警级别阈值。尽可能减少了误报的产生。
本发明不依赖传统的告警规则,降低了规则设置的操作复杂度及其操作的技术门槛,同时本发明取消了系统默认的告警规则,防止了误报太多的情况,提高了系统使用体验。本发明能够更加全面、高效的实现快速告警、精准告警的能力。本发明解决了现有技术中存在的告警效果差、误报率高、方式单一以及依赖威胁情报库的技术问题。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种基于多维数据碰撞分析的告警方法,其特征在于,所述方法包括:
S1、采集获取网络中的差异类别探针数据,其中,所述差异类别探针数据包括:流量日志数据、漏洞数据、安全事件数据、威胁情报数据,对所述差异类别探针数据进行统一的标准范式化处理,以得到范式化探针数据;
S2、对所述范式化探针数据进行多维数据碰撞分析,以评估获取被分析资产的单位时间内资产威胁值,其中,所述步骤S2还包括:
S21、以预置活跃值处理逻辑处理预置单位时间内的所述流量日志数据,据以得到被分析资产的活跃值Ass
S22、以预置漏洞威胁处理逻辑处理所述预置单位时间内的所述漏洞数据,据以得到所述被分析资产的漏洞威胁值Vul
S23、以预置事件威胁处理逻辑处理所述预置单位时间内的所述安全事件数据,据以得到所述被分析资产的事件威胁值Event
S24、以预置情报威胁处理逻辑处理所述威胁情报数据及所述安全事件数据,据以得到所述被分析资产的情报威胁值Intel
S25、根据预置处理逻辑及预设权重系数处理所述活跃值、所述漏洞威胁值、所述事件威胁值、所述情报威胁值,据以得出所述单位时间内资产威胁值;
S3、根据所述单位时间内资产威胁值计算得到单位时间资产平均威胁值,并计算得到资产威胁值中位数;
S4、处理所述单位时间资产平均威胁值以及所述资产威胁值中位数,据以得到不少于2个等级的告警级别判定阈值,根据所述告警级别判定阈值判定获取异常威胁资产告警数据及其告警级别,以生成并发出告警信息。
2.根据权利要求1所述的一种基于多维数据碰撞分析的告警方法,其特征在于,所述步骤S1包括:
S11、获取所述差异类别探针数据的统一唯一标识符;
S12、根据所述统一唯一标识符处理得到所述被分析资产与所述流量日志数据、所述漏洞数据、所述安全事件数据以及所述威胁情报数据之间的关联关系。
3.根据权利要求1所述的一种基于多维数据碰撞分析的告警方法,其特征在于,所述步骤S21包括:
S211、统计所述流量日志数据中的资产与IP的通联关系数据;
S212、利用下述逻辑计算所述通联关系数据,据以得到所述活跃值Ass
Figure 772335DEST_PATH_IMAGE001
其中,
Figure 689476DEST_PATH_IMAGE002
代表所述被分析资产i在单位时间内资产会话连接数,
Figure 406896DEST_PATH_IMAGE003
代表资产j在单位时间内资产会话连接数,n代表内网中所述被分析资产i的总数量,Ass代表所述被分析资产的所述活跃值。
4.根据权利要求1所述的一种基于多维数据碰撞分析的告警方法,其特征在于,所述步骤S22包括:
S221、获取CVSS国际漏洞评分标准,据以匹配所述被分析资产的所述漏洞数据与CVSS漏洞编号,以得到漏洞级别评分;
S222、根据下述逻辑处理所述漏洞级别评分,以得到所述漏洞威胁值Vul
Figure 802105DEST_PATH_IMAGE004
其中m代表资产存在的漏洞数量,
Figure 616477DEST_PATH_IMAGE005
代表漏洞v按照CVSS漏洞评分标准输出的具体漏洞评分,所述
Figure 438940DEST_PATH_IMAGE006
5.根据权利要求1所述的一种基于多维数据碰撞分析的告警方法,其特征在于,所述步骤S23包括:
S231、处理所述安全事件数据中的中高危数据,据以获取安全数据源目的地址匹配关系;
S232、以下述逻辑处理所述安全数据源目的地址匹配关系,据以得到所述事件威胁值Event
Figure 643656DEST_PATH_IMAGE007
其中,E代表单位时间内安全事件总量集合,
Figure 842556DEST_PATH_IMAGE008
代表事件级别中高危事件对应的量化数值,
Figure 511435DEST_PATH_IMAGE009
代表和所述被分析资产i相关联的安全事件级别对应的量化数值。
6.根据权利要求1所述的一种基于多维数据碰撞分析的告警方法,其特征在于,所述步骤S24包括:
S241、获取所述预置单位时间内的与所述被分析资产i相关联的安全事件源目的地址集合
Figure 442482DEST_PATH_IMAGE010
以及系统威胁情报IP集合
Figure 196811DEST_PATH_IMAGE011
S242、以下述逻辑处理所述安全事件源目的地址集合
Figure 933823DEST_PATH_IMAGE012
以及所述系统威胁情报IP集合
Figure 893427DEST_PATH_IMAGE011
,据以得到所述情报威胁值Intel
Figure 323271DEST_PATH_IMAGE013
其中,
Figure 564897DEST_PATH_IMAGE014
代表威胁情报碰撞后IP集合的个数。
7.根据权利要求1所述的一种基于多维数据碰撞分析的告警方法,其特征在于,所述步骤S25包括:
S251、根据用户关注数据适应调整所述预设权重系数;
S252、利用下述逻辑及所述预设权重系数处理所述活跃值、所述漏洞威胁值、所述事件威胁值、所述情报威胁值,据以得出所述单位时间内资产威胁值:
Figure 777703DEST_PATH_IMAGE015
其中,
Figure 421174DEST_PATH_IMAGE016
为权重系数,且
Figure 756341DEST_PATH_IMAGE017
Figure 422945DEST_PATH_IMAGE018
代表所述被分析资产i的所述单位时间内资产威胁值,
Figure 501760DEST_PATH_IMAGE019
代表所述被分析资产i在单位时间内的所述活跃值,
Figure 999737DEST_PATH_IMAGE020
代表所述被分析资产i在单位时间内的所述漏洞威胁值,
Figure 709067DEST_PATH_IMAGE021
代表所述被分析资产i在单位时间内的所述实际威胁值,
Figure 659706DEST_PATH_IMAGE022
代表所述被分析资产i在单位时间内的所述情报威胁值。
8.根据权利要求1所述的一种基于多维数据碰撞分析的告警方法,其特征在于,所述步骤S3包括:
S31、采用下述逻辑处理所述单位时间内资产威胁值,以得到所述单位时间资产平均威胁值:
Figure 542211DEST_PATH_IMAGE023
其中,n代表所述被分析资产i的总数量,其中,
Figure 330913DEST_PATH_IMAGE024
代表所述单位时间资产平均威胁值,
Figure 273461DEST_PATH_IMAGE018
代表所述被分析资产i在单位时间内的资产威胁值;
S32、利用下述逻辑处理所述单位时间资产平均威胁值,以得到所述资产威胁值中位数:
Figure 711396DEST_PATH_IMAGE025
其中,n代表所述被分析资产i的总数量,
Figure 69696DEST_PATH_IMAGE026
代表资产威胁值中位数,
Figure 542266DEST_PATH_IMAGE027
代表资产是奇数时的资产威胁中位数,
Figure 655715DEST_PATH_IMAGE028
代表资产是偶数时,n/2资产的威胁值,
Figure 518629DEST_PATH_IMAGE029
代表资产是偶数时,n/2+1资产的威胁值。
9.根据权利要求1所述的一种基于多维数据碰撞分析的告警方法,其特征在于,所述步骤S4包括:
S41、以下述逻辑处理所述被分析资产的所述活跃值Ass,以得到第一告警级别阈值:
Figure 742937DEST_PATH_IMAGE030
其中,α为权重系数,
Figure 804434DEST_PATH_IMAGE031
表示被分析资产i在单位时间内的活跃度,n表示资产的总数量,
Figure 26468DEST_PATH_IMAGE032
代表第一告警级别阈值;
S42、在所述单位时间资产平均威胁值大于所述资产威胁值中位数时,则设置第二告警级别判定阈值为
Figure 438995DEST_PATH_IMAGE033
,设置第三告警级别判定阈值为
Figure 466994DEST_PATH_IMAGE034
,其中,
Figure 84794DEST_PATH_IMAGE035
代表第二告警级别判定阈值,
Figure 274467DEST_PATH_IMAGE036
代表第三告警级别判定阈值;
S43、在所述单位时间资产平均威胁值小于所述资产威胁值中位数时,则设置所述第二告警级别判定阈值为
Figure 174290DEST_PATH_IMAGE037
,设置所述第三告警级别判定阈值为
Figure 678084DEST_PATH_IMAGE038
S44、若所述单位时间资产平均威胁值等于所述资产威胁值中位数时,则设置所述第二告警级别判定阈值及所述第三告警级别判定阈值为:
Figure 979752DEST_PATH_IMAGE039
S45、比对所述单位时间内资产威胁值与所述第一告警级别阈值、所述第二告警级别判定阈值及所述第三告警级别判定阈值,以得到所述异常威胁资产告警数据及所述告警级别。
10.一种基于多维数据碰撞分析的告警系统,其特征在于,所述系统包括:
探针数据采集范式化模块,用以采集获取网络中的差异类别探针数据,其中,所述差异类别探针数据包括:流量日志数据、漏洞数据、安全事件数据、威胁情报数据,对所述差异类别探针数据进行统一的标准范式化处理,以得到范式化探针数据;
多维数据碰撞分析模块,用以对所述范式化探针数据进行多维数据碰撞分析,以评估获取被分析资产的单位时间内资产威胁值,所述多维数据碰撞分析模块与所述探针数据采集范式化模块连接,其中,所述多维数据碰撞分析模块还包括:
活跃值处理模块,用于以预置活跃值处理逻辑处理预置单位时间内的所述流量日志数据,据以得到被分析资产的活跃值Ass
漏洞威胁值处理模块,用于以预置漏洞威胁处理逻辑处理所述预置单位时间内的所述漏洞数据,据以得到所述被分析资产的漏洞威胁值Vul
事件威胁值处理模块,用于以预置事件威胁处理逻辑处理所述预置单位时间内的所述安全事件数据,据以得到所述被分析资产的事件威胁值Event
情报威胁值处理模块,用于以预置情报威胁处理逻辑处理所述威胁情报数据及所述安全事件数据,据以得到所述被分析资产的情报威胁值Intel
资产威胁值获取模块,用以根据预置处理逻辑及预设权重系数处理所述活跃值、所述漏洞威胁值、所述事件威胁值、所述情报威胁值,据以得出所述单位时间内资产威胁值,所述资产威胁值获取模块与所述活跃值处理模块、所述漏洞威胁值处理模块、所述事件威胁值处理模块以及所述情报威胁值处理模块连接;
平均威胁值获取模块,用以根据所述单位时间内资产威胁值计算得到单位时间资产平均威胁值,并计算得到资产威胁值中位数,所述平均威胁值获取模块与所述多维数据碰撞分析模块连接;
判断告警模块,用以处理所述单位时间资产平均威胁值以及所述资产威胁值中位数,据以得到不少于2个等级的告警级别判定阈值,根据所述告警级别判定阈值判定获取异常威胁资产告警数据及其告警级别,以生成并发出告警信息,所述判断告警模块与所述平均威胁值获取模块连接。
CN202210861023.6A 2022-07-22 2022-07-22 一种基于多维数据碰撞分析的告警方法及系统 Active CN115080554B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210861023.6A CN115080554B (zh) 2022-07-22 2022-07-22 一种基于多维数据碰撞分析的告警方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210861023.6A CN115080554B (zh) 2022-07-22 2022-07-22 一种基于多维数据碰撞分析的告警方法及系统

Publications (2)

Publication Number Publication Date
CN115080554A true CN115080554A (zh) 2022-09-20
CN115080554B CN115080554B (zh) 2022-11-11

Family

ID=83243622

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210861023.6A Active CN115080554B (zh) 2022-07-22 2022-07-22 一种基于多维数据碰撞分析的告警方法及系统

Country Status (1)

Country Link
CN (1) CN115080554B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116010999A (zh) * 2023-03-24 2023-04-25 云南馥茛互联网科技有限公司 基于人工智能算法的互联网数据安全保护方法及系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180139227A1 (en) * 2016-10-31 2018-05-17 Jask Labs Inc. Method for predicting security risks of assets on a computer network
CN108494727A (zh) * 2018-02-06 2018-09-04 成都清华永新网络科技有限公司 一种用于网络安全管理的安全事件闭环处理方法
US10250619B1 (en) * 2015-06-17 2019-04-02 Mission Secure, Inc. Overlay cyber security networked system and method
CN110620696A (zh) * 2019-09-29 2019-12-27 杭州安恒信息技术股份有限公司 针对企业网络安全态势感知的评分方法和装置
CN112737101A (zh) * 2020-12-07 2021-04-30 国家计算机网络与信息安全管理中心 一种面向多监测域的网络安全风险评估方法及系统
US11201890B1 (en) * 2019-03-29 2021-12-14 Mandiant, Inc. System and method for adaptive graphical depiction and selective remediation of cybersecurity threats

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10250619B1 (en) * 2015-06-17 2019-04-02 Mission Secure, Inc. Overlay cyber security networked system and method
US20180139227A1 (en) * 2016-10-31 2018-05-17 Jask Labs Inc. Method for predicting security risks of assets on a computer network
CN108494727A (zh) * 2018-02-06 2018-09-04 成都清华永新网络科技有限公司 一种用于网络安全管理的安全事件闭环处理方法
US11201890B1 (en) * 2019-03-29 2021-12-14 Mandiant, Inc. System and method for adaptive graphical depiction and selective remediation of cybersecurity threats
CN110620696A (zh) * 2019-09-29 2019-12-27 杭州安恒信息技术股份有限公司 针对企业网络安全态势感知的评分方法和装置
CN112737101A (zh) * 2020-12-07 2021-04-30 国家计算机网络与信息安全管理中心 一种面向多监测域的网络安全风险评估方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
李大玮: "基于大数据的网络安全态势感知系统在网络安全管理中的应用", 《中国新通信》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116010999A (zh) * 2023-03-24 2023-04-25 云南馥茛互联网科技有限公司 基于人工智能算法的互联网数据安全保护方法及系统
CN116010999B (zh) * 2023-03-24 2024-02-06 天翼安全科技有限公司 基于人工智能算法的互联网数据安全保护方法及系统

Also Published As

Publication number Publication date
CN115080554B (zh) 2022-11-11

Similar Documents

Publication Publication Date Title
CN107623697B (zh) 一种基于攻防随机博弈模型的网络安全态势评估方法
CN112738015B (zh) 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法
Hsu et al. A deep reinforcement learning approach for anomaly network intrusion detection system
US7752665B1 (en) Detecting probes and scans over high-bandwidth, long-term, incomplete network traffic information using limited memory
Chen et al. An efficient network intrusion detection
Li et al. A network behavior-based botnet detection mechanism using PSO and K-means
CN114679338A (zh) 一种基于网络安全态势感知的网络风险评估方法
CN111431939A (zh) 基于cti的sdn恶意流量防御方法及系统
CN109218321A (zh) 一种网络入侵检测方法及系统
CN112422513B (zh) 一种基于网络流量报文的异常检测和攻击发起者分析系统
CN113904881B (zh) 一种入侵检测规则误报处理方法和装置
Hammad et al. Intrusion detection system using feature selection with clustering and classification machine learning algorithms on the unsw-nb15 dataset
CN115080554B (zh) 一种基于多维数据碰撞分析的告警方法及系统
CN113938401A (zh) 一种舰艇网络安全可视化系统
CN115766235A (zh) 一种网络安全预警系统及预警方法
CN112866278B (zh) 一种基于大数据的计算机网络信息安全防护系统
CN117478433A (zh) 一种网络与信息安全动态预警系统
CN111709021A (zh) 一种基于海量告警的攻击事件识别方法及电子装置
Limsaiprom et al. Social network anomaly and attack patterns analysis
CN112671800B (zh) 一种威胁量化企业风险值的方法
Bozorov DDoS Attack Detection via IDS: Open Challenges and Problems
CN113343231A (zh) 一种基于集中管控的威胁情报的数据采集系统
Leslie Using semi-supervised learning for flow-based network intrusion detection
Voronov et al. A Framework for Anomaly Detection in Blockchain Networks With Sketches
CN114978777B (zh) 一种基于网络对象的多领域场景威胁融合评估方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant