CN115225533A - 安全分析方法及相关装置 - Google Patents
安全分析方法及相关装置 Download PDFInfo
- Publication number
- CN115225533A CN115225533A CN202210881836.1A CN202210881836A CN115225533A CN 115225533 A CN115225533 A CN 115225533A CN 202210881836 A CN202210881836 A CN 202210881836A CN 115225533 A CN115225533 A CN 115225533A
- Authority
- CN
- China
- Prior art keywords
- target
- security detection
- detection model
- session
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请实施例提供一种安全分析方法及相关装置,所述方法包括:接收目标系统的防火墙的会话日志,以及获取所述目标系统的脆弱性报告;根据所述会话日志和所述脆弱性报告确定目标安全检测模型;根据所述目标安全检测模型对所述目标系统的当前会话日志进行安全检测,以得到所述目标系统的当前安全检测结果,能够提升对系统进行安全分析时的准确性。
Description
技术领域
本申请涉及数据处理技术领域,具体涉及一种安全分析方法及相关装置。
背景技术
随对于企业内部IT(信息技术)系统的安全保障,防火墙是安全防御第一道的屏障。往来于内外部安全域的网络流量都需要经过跨安全域防火墙,并会在防火墙上留下会话记录。对于防火墙会话的安全分析,常规做法是通过对比防火墙的源地址与安全情报,分析维度较单一,导致了对系统进行安全分析时的准确性较低。
发明内容
本申请实施例提供一种安全分析方法及相关装置,能够提升对系统进行安全分析时的准确性。
本申请实施例的第一方面提供了一种一种安全分析方法,所述方法包括:
接收目标系统的防火墙的会话日志,以及获取所述目标系统的脆弱性报告;
根据所述会话日志和所述脆弱性报告确定目标安全检测模型;
根据所述目标安全检测模型对所述目标系统的当前会话日志进行安全检测,以得到所述目标系统的当前安全检测结果。
在一个可能的实现方式中,所述根据所述会话日志和所述脆弱性报告确定目标安全检测模型,包括:
根据所述防火墙的属性信息对所述会话日志进行特征提取,以得到第一特征数据;
根据所述目标系统的接口信息对所述第一特征数据和所述脆弱性报告中的元素进行关联处理,以得到初始样本数据;
根据所述目标系统的属性信息对所述初始样本数据进行过滤处理,以得到目标样本数据;
根据所述目标样本数据对第一初始安全检测模型进行调整,以得到所述目标安全检测模型。
在一个可能的实现方式中,所述根据所述会话日志和所述脆弱性报告确定目标安全检测模型,包括:
根据所述防火墙的属性信息对所述会话日志进行特征提取,以得到第二特征数据;
根据所述第二特征数据确定的第一样本数据对第二初始安全检测模型进行调整,以得到中间安全检测模型;
根据所述脆弱性报告确定第二样本数据对所述中间安全检测模型进行调整,以得到所述目标安全检测模型。
在一个可能的实现方式中,所述方法还包括:
根据所述安全检测结果对所述目标系统进行安全评分处理,以得到目标安全评分值;
若所述目标安全评分值低于预设安全评分值,则提取所述当前会话的属性信息;
根据所述当前会话的属性信息和历史会话集合中的历史会话的属性信息,确定当前会话和历史会话集合中的历史会话制之间的关联度;
根据所述当前会话和历史会话集合中的历史会话制之间的关联度和预设关联度,确定与所述当前会话对应的关联历史会话集合;
根据所述关联历史会话集合中的关联历史会话的安全检测结果和所述当前安全检测结果对所述目标系统进行安全性分析,以得到安全分析结果。
在一个可能的实现方式中,所述方法还包括:
根据所述当前安全检测结果,确定安全性分析仪表板;
展示所述安全性分析仪表板。
本申请实施例的第二方面提供一种安全分析装置,所述装置包括:
接收模块,用于接收目标系统的防火墙的会话日志,以及获取所述目标系统的脆弱性报告;
确定模块,用于根据所述会话日志和所述脆弱性报告确定目标安全检测模型;
检测模块,用于根据所述目标安全检测模型对所述目标系统的当前会话日志进行安全检测,以得到所述目标系统的当前安全检测结果。
在一个可能的实现方式中,所述确定模块用于:
根据所述防火墙的属性信息对所述会话日志进行特征提取,以得到第一特征数据;
根据所述目标系统的接口信息对所述第一特征数据和所述脆弱性报告中的元素进行关联处理,以得到初始样本数据;
根据所述目标系统的属性信息对所述初始样本数据进行过滤处理,以得到目标样本数据;
根据所述目标样本数据对第一初始安全检测模型进行调整,以得到所述目标安全检测模型。
在一个可能的实现方式中,所述确定模块用于:
根据所述防火墙的属性信息对所述会话日志进行特征提取,以得到第二特征数据;
根据所述第二特征数据确定的第一样本数据对第二初始安全检测模型进行调整,以得到中间安全检测模型;
根据所述脆弱性报告确定第二样本数据对所述中间安全检测模型进行调整,以得到所述目标安全检测模型。
在一个可能的实现方式中,所述装置还用于:
根据所述安全检测结果对所述目标系统进行安全评分处理,以得到目标安全评分值;
若所述目标安全评分值低于预设安全评分值,则提取所述当前会话的属性信息;
根据所述当前会话的属性信息和历史会话集合中的历史会话的属性信息,确定当前会话和历史会话集合中的历史会话制之间的关联度;
根据所述当前会话和历史会话集合中的历史会话制之间的关联度和预设关联度,确定与所述当前会话对应的关联历史会话集合;
根据所述关联历史会话集合中的关联历史会话的安全检测结果和所述当前安全检测结果对所述目标系统进行安全性分析,以得到安全分析结果。
在一个可能的实现方式中,所述装置还用于:
根据所述当前安全检测结果,确定安全性分析仪表板;
展示所述安全性分析仪表板。
本申请实施例的第三方面提供一种服务器,包括处理器、输入设备、输出设备和存储器,所述处理器、输入设备、输出设备和存储器相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行如本申请实施例第一方面中的步骤指令。
本申请实施例的第四方面提供了一种计算机可读存储介质,其中,上述计算机可读存储介质存储用于电子数据交换的计算机程序,其中,上述计算机程序使得计算机执行如本申请实施例第一方面中所描述的部分或全部步骤。
本申请实施例的第五方面提供了一种计算机程序产品,其中,上述计算机程序产品包括存储了计算机程序的非瞬时性计算机可读存储介质,上述计算机程序可操作来使计算机执行如本申请实施例第一方面中所描述的部分或全部步骤。该计算机程序产品可以为一个软件安装包。
实施本申请实施例,至少具有如下有益效果:
通过接收目标系统的防火墙的会话日志,以及获取所述目标系统的脆弱性报告,根据所述会话日志和所述脆弱性报告确定目标安全检测模型,根据所述目标安全检测模型对所述目标系统的当前会话日志进行安全检测,以得到所述目标系统的当前安全检测结果,因此,可以通过防火墙的会话日志和系统的脆弱性报告确定的目标安全检测模型对目标系统进行安全检测,提升了安全检测时的准确性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供了一种安全分析方法的流程示意图;
图2为本申请实施例提供了另一种安全分析方法的流程示意图;
图3为本申请实施例提供的一种服务器的结构示意图;
图4为本申请实施例提供了一种安全分析装置的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其他步骤或单元。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本申请所描述的实施例可以与其它实施例相结合。
请参阅图1,图1为本申请实施例提供了一种安全分析方法的流程图。如图1所述,该方法包括:
101、接收目标系统的防火墙的会话日志,以及获取所述目标系统的脆弱性报告。
其中,目标系统可以是企业内部的信息技术系统,该系统中包括有防火墙,防火墙用于对外来的会话进行安全防护,可以记录会话的会话日志,该会话日志可以反映出会话的状态等,用于进行安全防护。
目标系统的脆弱性报告可以理解为用于对目标系统的安全隐患、非安全因素进行表征的报告。
102、根据所述会话日志和所述脆弱性报告确定目标安全检测模型。
可以基于防火墙的属性信息等对会话日志进行特征提取,以得到特征数据,并基于该特征数据和脆弱性报告得到样本数据,基于该样本数据进行训练得到目标安全检测模型。
也可以是根据会话日志提取到的特征数据确定的样本训练得到一个中间模型,并基于脆弱性报告得到的样本对中间模型进行训练,从而得到目标安全检测模型。
当然目标安全检测模型还可以进行更新处理,例如,可以是基于不同时间段的会话日志和脆弱性报告进行更新,例如,基于新的会话日志和脆弱性报告确定的样本进行再次训练,从而得到更新后的目标安全检测模型。
103、根据所述目标安全检测模型对所述目标系统的当前会话日志进行安全检测,以得到所述目标系统的当前安全检测结果。
可以将当前会话日志输入到目标安全检测模型中进行运算,以得到当前安全检测结果。当前安全检测结果用于表征当前会话的安全性,当前会话是与当前会话日志相对应的会话。
本示例中,通过接收目标系统的防火墙的会话日志,以及获取所述目标系统的脆弱性报告,根据所述会话日志和所述脆弱性报告确定目标安全检测模型,根据所述目标安全检测模型对所述目标系统的当前会话日志进行安全检测,以得到所述目标系统的当前安全检测结果,因此,可以通过防火墙的会话日志和系统的脆弱性报告确定的目标安全检测模型对目标系统进行安全检测,提升了安全检测时的准确性。
在一个可能的实现方式中,一种可能的根据所述会话日志和所述脆弱性报告确定目标安全检测模型的方法,包括:
A1、根据所述防火墙的属性信息对所述会话日志进行特征提取,以得到第一特征数据;
A2、根据所述目标系统的接口信息对所述第一特征数据和所述脆弱性报告中的元素进行关联处理,以得到初始样本数据;
A3、根据所述目标系统的属性信息对所述初始样本数据进行过滤处理,以得到目标样本数据;
A4、根据所述目标样本数据对第一初始安全检测模型进行调整,以得到所述目标安全检测模型。
其中,防火墙的属性信息可以包括有防火墙的品牌型号,从而可以根据防火墙的品牌型号来识别提取对应的syslog中的特征字段,从而得到第一特征数据。Syslog为会话日志中的一个字段。第一特征数据可以包括有:源地址、源端口、目的地址、目的端口、源区域、目的区域、协议类型、发送字节数、发送包数、接收字节数、接收包数、会话发起时间、会话持续时长、会话频率。
当然在提取得到第一特征数据后,还可以对第一特征数据进行指标化处理,具体可以是,将源地址、源端口、目的地址、目的端口、源区域、目的区域、协议类型、发送字节数、发送包数、接收字节数、接收包数、会话发起时间、会话持续时长、会话频率依次提取为src_addr、src_port、dst_addr、dst_port、src_zone、dst_zone、protocol_name、SendPkts、SendBytes、RcvPkts、RcvBytes,在提取之后,可以将上述字段以key=value形式保存至数据指标专用索引。
目标系统的接口信息可以包括有主机、端口等。从而可以基于主机、端口将脆弱性报告中的元素与第一特征数据进行指标关联,从而得到初始样本数据。
目标系统的属性信息可以包括有目标系统的算力资源、模型训练效率等。从而可以根据算力资源、模型训练效率对初始样本数据进行过滤处理,以得到目标样本数据,具体例如可以是:选择K-best模式,将值个数设为8作为过滤条件进行过滤,得到目标样本数据。
第一初始安全检测模型是未训练前,用于进行模型训练的初始模型。可以基于目标样本数据对第一初始安全检测模型进行训练,直至收敛后,得到目标安全检测模型。
本示例中,通过防火墙的属性信息对会话日志进行特征提取以得到特征数据,并将特征数据和脆弱性报告中的元素进行关联处理,得到初始样本数据,并对初始样本数据进行过滤处理得到目标样本数据,并基于目标样本数据进行训练得到目标安全检测模型,从而提升了目标安全模型确定时的准确性。
在一个可能的实现方式中,另一种可能的根据所述会话日志和所述脆弱性报告确定目标安全检测模型的方法,包括:
B1、根据所述防火墙的属性信息对所述会话日志进行特征提取,以得到第二特征数据;
B2、根据所述第二特征数据确定第一样本数据的对第二初始安全检测模型进行调整,以得到中间安全检测模型;
B3、根据所述脆弱性报告确定第二样本数据对所述中间安全检测模型进行调整,以得到所述目标安全检测模型。
其中,提取得到第二特征数据的方法可以参照获取第一特征数据获取的方法,此处不再赘述。
可以基于第二特征数据来确定第一样本数据,例如,可以通过人工标注的方法来得到第一样本数据,并基于第一样本数据进行训练,得到中间安全检测模型。
可以对脆弱性报告中的元素进行人工标记,从而得到第二样本数据,并基于第二样本数据进行训练,得到目标安全检测模型,从而可以通过两次叠加训练的方式来得到目标安全检测模型,提升了目标安全检测模型确定时的准确性。
在一个可能的实现方式中,还可以对安全检测结果进行分析处理,以得到安全分析结果,该方法具体如下:
C1、根据所述安全检测结果对所述目标系统进行安全评分处理,以得到目标安全评分值;
C2、若所述目标安全评分值低于预设安全评分值,则提取所述当前会话的属性信息;
C3、根据所述当前会话的属性信息和历史会话集合中的历史会话的属性信息,确定当前会话和历史会话集合中的历史会话制之间的关联度;
C4、根据所述当前会话和历史会话集合中的历史会话制之间的关联度和预设关联度,确定与所述当前会话对应的关联历史会话集合;
C5、根据所述关联历史会话集合中的关联历史会话的安全检测结果和所述当前安全检测结果对所述目标系统进行安全性分析,以得到安全分析结果。
可以根据预设的安全评分规则进行评分处理,以得到目标安全评分值,例如,可以是根据特征提取的方式,具体可以是,对安全检测结果进行关键字提取,得到关键字,根据关键字来确定出目标安全评分值,不同的关键字对应有不同的评分值,从而可以确定出目标安全评分值。
预设安全评分值通过经验值或历史数据设定。当前会话的属性信息可以包括有会话的源地址、源端口、目的地址、目的端口等。从而可以根据属性信息进行相似度比对,以得到当前会话与历史会话之间的相似度,将该相似度确定为关联度。预设关联度通过经验值或历史数据设定。若关联度大于预设关联度,则将历史会话确定为关联历史会话集合中的元素。
可以基于关联历史会话的安全检测结果确定的安全系数对当前安全检测结确定的安全系数进行校正处理,以得到校正后的安全系数,从而得到安全分析结果。安全系数可以表征安全性,安全系数越高,则安全性越好,安全系数越低,则安全性越差。安全检测结果指示的风险度,来确定安全系数,风险度越高,则安全系数越小。
本示例中,通过当前会话的关联历史会话确定的安全系数对当前会话的安全系数进行校正处理,从而得到安全分析结果,提升了安全分析结果确定的准确性。
在一个可能的实现方式中,还可以对安全结果进行展示,具体如下:
D1、根据所述当前安全检测结果,确定安全性分析仪表板;
D2、展示所述安全性分析仪表板。
可以根据安全性分析仪表板的模板来确定当前安全检测结。安全性分析仪表板的模板是预先设定的模板。
在一个具体的实施例中,还提供了一种具体的安全分析方法,具体如下:
1、利用大数据平台实时接收并将防火墙会话日志做指标化改造:根据防火墙品牌型号,识别和提取syslog中的特征字段,将特征信息:源地址、源端口、目的地址、目的端口、源区域、目的区域、协议类型、发送字节数、、发送包数、接收字节数、接收包数、会话发起时间、会话持续时长、会话频率,提取为src_addr、src_port、dst_addr、dst_port、src_zone、dst_zone、protocol_name、SendPkts、SendBytes、RcvPkts、RcvBytes。并将上述字段以key=value形式保存至数据平指标专用索引;
2、将nessus系统扫描产生的服务器脆弱性报告,通过主机(host)和端口(dst_port)与历史防火墙会话指标关联,形成“初始指标”。
3、利用GenericUnivariateSelect算法对“初始指标”进行预处理,综合考虑算力资源和训练效率,选择K-best模式,将值个数设为8,从“初始指标”中自动选取最佳特征形成“训练特征库”
4、利用RandomForestClassifier算法对“训练指标”进行机器训练,得到检测模型;
5、将实时指标输入检测模块,利用检测模型预测防火墙会话威胁可能性;
6、生成防火墙会话安全性分析仪表板,主要内容包括参数筛选、会话时序图、会话数统计(按威胁级别);
7、上述步骤3和步骤4按月度周期执行以确保检测模型时效性;
请参阅图2,图2为本申请实施例提供了一种安全分析方法的流程图。如图2所述,该方法包括:
201、接收目标系统的防火墙的会话日志,以及获取所述目标系统的脆弱性报告;
202、根据所述防火墙的属性信息对所述会话日志进行特征提取,以得到第一特征数据;
203、根据所述目标系统的接口信息对所述第一特征数据和所述脆弱性报告中的元素进行关联处理,以得到初始样本数据;
204、根据所述目标系统的属性信息对所述初始样本数据进行过滤处理,以得到目标样本数据;
205、根据所述目标样本数据对第一初始安全检测模型进行调整,以得到所述目标安全检测模型;
206、根据所述目标安全检测模型对所述目标系统的当前会话日志进行安全检测,以得到所述目标系统的当前安全检测结果。
本示例中,通过防火墙的属性信息对会话日志进行特征提取以得到特征数据,并将特征数据和脆弱性报告中的元素进行关联处理,得到初始样本数据,并对初始样本数据进行过滤处理得到目标样本数据,并基于目标样本数据进行训练得到目标安全检测模型,从而提升了目标安全模型确定时的准确性。
与上述实施例一致的,请参阅图3,图3为本申请实施例提供的一种服务器的结构示意图,如图所示,包括处理器、输入设备、输出设备和存储器,处理器、输入设备、输出设备和存储器相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,上述程序包括用于执行以下步骤的指令;
接收目标系统的防火墙的会话日志,以及获取所述目标系统的脆弱性报告;
根据所述会话日志和所述脆弱性报告确定目标安全检测模型;
根据所述目标安全检测模型对所述目标系统的当前会话日志进行安全检测,以得到所述目标系统的当前安全检测结果。
上述主要从方法侧执行过程的角度对本申请实施例的方案进行了介绍。可以理解的是,终端为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所提供的实施例描述的各示例的单元及算法步骤,本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本申请实施例可以根据上述方法示例对终端进行功能单元的划分,例如,可以对应各个功能划分各个功能单元,也可以将两个或两个以上的功能集成在一个处理单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。需要说明的是,本申请实施例中对单元的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
与上述一致的,请参阅图4,图4为本申请实施例提供了一种安全分析装置的结构示意图。如图4所示,所述装置包括:
接收模块401,用于接收目标系统的防火墙的会话日志,以及获取所述目标系统的脆弱性报告;
确定模块402,用于根据所述会话日志和所述脆弱性报告确定目标安全检测模型;
检测模块403,用于根据所述目标安全检测模型对所述目标系统的当前会话日志进行安全检测,以得到所述目标系统的当前安全检测结果。
在一个可能的实现方式中,所述确定模块402用于:
根据所述防火墙的属性信息对所述会话日志进行特征提取,以得到第一特征数据;
根据所述目标系统的接口信息对所述第一特征数据和所述脆弱性报告中的元素进行关联处理,以得到初始样本数据;
根据所述目标系统的属性信息对所述初始样本数据进行过滤处理,以得到目标样本数据;
根据所述目标样本数据对第一初始安全检测模型进行调整,以得到所述目标安全检测模型。
在一个可能的实现方式中,所述确定模块402用于:
根据所述防火墙的属性信息对所述会话日志进行特征提取,以得到第二特征数据;
根据所述第二特征数据确定的第一样本数据对第二初始安全检测模型进行调整,以得到中间安全检测模型;
根据所述脆弱性报告确定第二样本数据对所述中间安全检测模型进行调整,以得到所述目标安全检测模型。
在一个可能的实现方式中,所述装置还用于:
根据所述安全检测结果对所述目标系统进行安全评分处理,以得到目标安全评分值;
若所述目标安全评分值低于预设安全评分值,则提取所述当前会话的属性信息;
根据所述当前会话的属性信息和历史会话集合中的历史会话的属性信息,确定当前会话和历史会话集合中的历史会话制之间的关联度;
根据所述当前会话和历史会话集合中的历史会话制之间的关联度和预设关联度,确定与所述当前会话对应的关联历史会话集合;
根据所述关联历史会话集合中的关联历史会话的安全检测结果和所述当前安全检测结果对所述目标系统进行安全性分析,以得到安全分析结果。
在一个可能的实现方式中,所述装置还用于:
根据所述当前安全检测结果,确定安全性分析仪表板;
展示所述安全性分析仪表板。
本申请实施例还提供一种计算机存储介质,其中,该计算机存储介质存储用于电子数据交换的计算机程序,该计算机程序使得计算机执行如上述方法实施例中记载的任何一种安全分析方法的部分或全部步骤。
本申请实施例还提供一种计算机程序产品,所述计算机程序产品包括存储了计算机程序的非瞬时性计算机可读存储介质,该计算机程序使得计算机执行如上述方法实施例中记载的任何一种安全分析方法的部分或全部步骤。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置,可通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在申请明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件程序模块的形式实现。
所述集成的单元如果以软件程序模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储器中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储器中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储器包括:U盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储器中,存储器可以包括:闪存盘、只读存储器、随机存取器、磁盘或光盘等。
以上对本申请实施例进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (10)
1.一种安全分析方法,其特征在于,所述方法包括:
接收目标系统的防火墙的会话日志,以及获取所述目标系统的脆弱性报告;
根据所述会话日志和所述脆弱性报告确定目标安全检测模型;
根据所述目标安全检测模型对所述目标系统的当前会话日志进行安全检测,以得到所述目标系统的当前安全检测结果。
2.根据权利要求1所述的方法,其特征在于,所述根据所述会话日志和所述脆弱性报告确定目标安全检测模型,包括:
根据所述防火墙的属性信息对所述会话日志进行特征提取,以得到第一特征数据;
根据所述目标系统的接口信息对所述第一特征数据和所述脆弱性报告中的元素进行关联处理,以得到初始样本数据;
根据所述目标系统的属性信息对所述初始样本数据进行过滤处理,以得到目标样本数据;
根据所述目标样本数据对第一初始安全检测模型进行调整,以得到所述目标安全检测模型。
3.根据权利要求1所述的方法,其特征在于,所述根据所述会话日志和所述脆弱性报告确定目标安全检测模型,包括:
根据所述防火墙的属性信息对所述会话日志进行特征提取,以得到第二特征数据;
根据所述第二特征数据确定的第一样本数据对第二初始安全检测模型进行调整,以得到中间安全检测模型;
根据所述脆弱性报告确定第二样本数据对所述中间安全检测模型进行调整,以得到所述目标安全检测模型。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述方法还包括:
根据所述安全检测结果对所述目标系统进行安全评分处理,以得到目标安全评分值;
若所述目标安全评分值低于预设安全评分值,则提取所述当前会话的属性信息;
根据所述当前会话的属性信息和历史会话集合中的历史会话的属性信息,确定当前会话和历史会话集合中的历史会话制之间的关联度;
根据所述当前会话和历史会话集合中的历史会话制之间的关联度和预设关联度,确定与所述当前会话对应的关联历史会话集合;
根据所述关联历史会话集合中的关联历史会话的安全检测结果和所述当前安全检测结果对所述目标系统进行安全性分析,以得到安全分析结果。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
根据所述当前安全检测结果,确定安全性分析仪表板;
展示所述安全性分析仪表板。
6.一种安全分析装置,其特征在于,所述装置包括:
接收模块,用于接收目标系统的防火墙的会话日志,以及获取所述目标系统的脆弱性报告;
确定模块,用于根据所述会话日志和所述脆弱性报告确定目标安全检测模型;
检测模块,用于根据所述目标安全检测模型对所述目标系统的当前会话日志进行安全检测,以得到所述目标系统的当前安全检测结果。
7.根据权利要求6所述的装置,其特征在于,所述确定模块用于:
根据所述防火墙的属性信息对所述会话日志进行特征提取,以得到第一特征数据;
根据所述目标系统的接口信息对所述第一特征数据和所述脆弱性报告中的元素进行关联处理,以得到初始样本数据;
根据所述目标系统的属性信息对所述初始样本数据进行过滤处理,以得到目标样本数据;
根据所述目标样本数据对第一初始安全检测模型进行调整,以得到所述目标安全检测模型。
8.根据权利要求6所述的装置,其特征在于,所述确定模块用于:
根据所述防火墙的属性信息对所述会话日志进行特征提取,以得到第二特征数据;
根据所述第二特征数据确定的第一样本数据对第二初始安全检测模型进行调整,以得到中间安全检测模型;
根据所述脆弱性报告确定第二样本数据对所述中间安全检测模型进行调整,以得到所述目标安全检测模型。
9.一种终端,其特征在于,包括处理器、输入设备、输出设备和存储器,所述处理器、输入设备、输出设备和存储器相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行如权利要求1-5任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被处理器执行时使所述处理器执行如权利要求1-5任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210881836.1A CN115225533B (zh) | 2022-07-26 | 2022-07-26 | 安全分析方法及相关装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210881836.1A CN115225533B (zh) | 2022-07-26 | 2022-07-26 | 安全分析方法及相关装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115225533A true CN115225533A (zh) | 2022-10-21 |
| CN115225533B CN115225533B (zh) | 2023-09-19 |
Family
ID=83613775
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210881836.1A Active CN115225533B (zh) | 2022-07-26 | 2022-07-26 | 安全分析方法及相关装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115225533B (zh) |
Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101436967A (zh) * | 2008-12-23 | 2009-05-20 | 北京邮电大学 | 一种网络安全态势评估方法及其系统 |
| CN103563302A (zh) * | 2011-06-01 | 2014-02-05 | 惠普发展公司,有限责任合伙企业 | 网络资产信息管理 |
| JP2015121968A (ja) * | 2013-12-24 | 2015-07-02 | 三菱電機株式会社 | ログ分析装置及びログ分析方法及びログ分析プログラム |
| US20160173446A1 (en) * | 2014-12-12 | 2016-06-16 | Fortinet, Inc. | Presentation of threat history associated with network activity |
| CN107277039A (zh) * | 2017-07-18 | 2017-10-20 | 河北省科学院应用数学研究所 | 一种网络攻击数据分析及智能处理方法 |
| US20180018465A1 (en) * | 2016-07-18 | 2018-01-18 | vThreat, Inc. | System and method for identifying network security threats and assessing network security |
| CN108574691A (zh) * | 2017-03-09 | 2018-09-25 | 通用电气公司 | 用于保护电力网控制系统的系统、方法以及计算机可读介质 |
| US20200210590A1 (en) * | 2018-12-28 | 2020-07-02 | Tenable, Inc. | Threat score prediction model |
| CN111723377A (zh) * | 2020-06-17 | 2020-09-29 | 中国电子信息产业集团有限公司第六研究所 | 一种平台脆弱性的评估方法、装置、电子设备及存储介质 |
| WO2021082966A1 (zh) * | 2019-10-31 | 2021-05-06 | 中兴通讯股份有限公司 | 资产脆弱性的计算方法、装置、存储介质及服务器 |
| CN112866051A (zh) * | 2020-12-31 | 2021-05-28 | 深信服科技股份有限公司 | 一种脆弱性处理方法、装置、服务器和介质 |
| CN113037745A (zh) * | 2021-03-06 | 2021-06-25 | 国网河北省电力有限公司信息通信分公司 | 一种基于安全态势感知的智能变电站风险预警系统及方法 |
| CN113965389A (zh) * | 2021-10-26 | 2022-01-21 | 天元大数据信用管理有限公司 | 一种基于防火墙日志的网络安全管理方法、设备及介质 |
| CN114205143A (zh) * | 2021-12-09 | 2022-03-18 | 国家电网有限公司信息通信分公司 | 一种面向异构安全设备的智能化协同防御的方法及系统 |
| US20220188411A1 (en) * | 2020-12-10 | 2022-06-16 | Abnormal Security Corporation | Deriving and surfacing insights regarding security threats |
-
2022
- 2022-07-26 CN CN202210881836.1A patent/CN115225533B/zh active Active
Patent Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101436967A (zh) * | 2008-12-23 | 2009-05-20 | 北京邮电大学 | 一种网络安全态势评估方法及其系统 |
| CN103563302A (zh) * | 2011-06-01 | 2014-02-05 | 惠普发展公司,有限责任合伙企业 | 网络资产信息管理 |
| JP2015121968A (ja) * | 2013-12-24 | 2015-07-02 | 三菱電機株式会社 | ログ分析装置及びログ分析方法及びログ分析プログラム |
| US20160173446A1 (en) * | 2014-12-12 | 2016-06-16 | Fortinet, Inc. | Presentation of threat history associated with network activity |
| US20180018465A1 (en) * | 2016-07-18 | 2018-01-18 | vThreat, Inc. | System and method for identifying network security threats and assessing network security |
| CN108574691A (zh) * | 2017-03-09 | 2018-09-25 | 通用电气公司 | 用于保护电力网控制系统的系统、方法以及计算机可读介质 |
| CN107277039A (zh) * | 2017-07-18 | 2017-10-20 | 河北省科学院应用数学研究所 | 一种网络攻击数据分析及智能处理方法 |
| US20200210590A1 (en) * | 2018-12-28 | 2020-07-02 | Tenable, Inc. | Threat score prediction model |
| WO2021082966A1 (zh) * | 2019-10-31 | 2021-05-06 | 中兴通讯股份有限公司 | 资产脆弱性的计算方法、装置、存储介质及服务器 |
| CN111723377A (zh) * | 2020-06-17 | 2020-09-29 | 中国电子信息产业集团有限公司第六研究所 | 一种平台脆弱性的评估方法、装置、电子设备及存储介质 |
| US20220188411A1 (en) * | 2020-12-10 | 2022-06-16 | Abnormal Security Corporation | Deriving and surfacing insights regarding security threats |
| CN112866051A (zh) * | 2020-12-31 | 2021-05-28 | 深信服科技股份有限公司 | 一种脆弱性处理方法、装置、服务器和介质 |
| CN113037745A (zh) * | 2021-03-06 | 2021-06-25 | 国网河北省电力有限公司信息通信分公司 | 一种基于安全态势感知的智能变电站风险预警系统及方法 |
| CN113965389A (zh) * | 2021-10-26 | 2022-01-21 | 天元大数据信用管理有限公司 | 一种基于防火墙日志的网络安全管理方法、设备及介质 |
| CN114205143A (zh) * | 2021-12-09 | 2022-03-18 | 国家电网有限公司信息通信分公司 | 一种面向异构安全设备的智能化协同防御的方法及系统 |
Non-Patent Citations (4)
| Title |
|---|
| CHEN ZHI ET AL.: "A Preliminary Study on Sensitive Information Exposure Through Logging", 2020 7TH ASIA-PACIFIC SOFTWARE ENGINEERING CONFERENCE * |
| 罗毅: "网络安全评估研究", 《中国优秀硕士学位论文全文数据库》 * |
| 贺赛娜 等: "运营平台安全检测方法简介及典型问题剖析", 《广东通信技术》, vol. 40, no. 9 * |
| 郝宁: "安全策略中心与NP架构防火墙的设计与实现", 《优秀硕士学位论文全文数据库》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115225533B (zh) | 2023-09-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10216848B2 (en) | Method and system for recommending cloud websites based on terminal access statistics | |
| CN109598124A (zh) | 一种webshell检测方法以及装置 | |
| CN111177779B (zh) | 数据库审计方法、其装置、电子设备及计算机存储介质 | |
| CN109104421B (zh) | 一种网站内容篡改检测方法、装置、设备及可读存储介质 | |
| CN110474900B (zh) | 一种游戏协议测试方法及装置 | |
| CN107341399A (zh) | 评估代码文件安全性的方法及装置 | |
| CN110768875A (zh) | 一种基于dns学习的应用识别方法及系统 | |
| CN112511561A (zh) | 网络攻击路径确定方法、设备、存储介质及装置 | |
| CN104618132A (zh) | 一种应用程序识别规则生成方法和装置 | |
| CN114760106A (zh) | 网络攻击的确定方法、系统、电子设备及存储介质 | |
| CN114244564A (zh) | 攻击防御方法、装置、设备及可读存储介质 | |
| CN116346456A (zh) | 业务逻辑漏洞攻击检测模型训练方法及装置 | |
| CN113472798B (zh) | 一种网络数据包的回溯解析方法、装置、设备及介质 | |
| CN109672586A (zh) | 一种dpi业务流量识别方法、装置与计算机可读存储介质 | |
| CN111125704B (zh) | 一种网页挂马识别方法及系统 | |
| CN114676231A (zh) | 一种目标信息检测方法、设备和介质 | |
| CN114697066A (zh) | 网络威胁检测方法和装置 | |
| CN115766258B (zh) | 一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质 | |
| CN115225533A (zh) | 安全分析方法及相关装置 | |
| CN115865525A (zh) | 日志数据处理方法、装置、电子设备和存储介质 | |
| CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
| CN106055571A (zh) | 网站识别方法及系统 | |
| CN111404903B (zh) | 一种日志处理方法、装置、设备及存储介质 | |
| CN107229865B (zh) | 一种解析Webshell入侵原因的方法及装置 | |
| CN115242436A (zh) | 一种基于命令行特征的恶意流量检测方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |