CN116614287A - 一种网络安全事件评估处理方法、装置、设备及介质 - Google Patents
一种网络安全事件评估处理方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN116614287A CN116614287A CN202310619843.9A CN202310619843A CN116614287A CN 116614287 A CN116614287 A CN 116614287A CN 202310619843 A CN202310619843 A CN 202310619843A CN 116614287 A CN116614287 A CN 116614287A
- Authority
- CN
- China
- Prior art keywords
- information security
- evaluation
- security event
- preset
- event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000011156 evaluation Methods 0.000 title claims abstract description 85
- 238000003672 processing method Methods 0.000 title claims abstract description 20
- 238000000034 method Methods 0.000 claims abstract description 33
- 238000012545 processing Methods 0.000 claims abstract description 33
- 238000013210 evaluation model Methods 0.000 claims abstract description 18
- 230000015654 memory Effects 0.000 claims description 21
- 238000004458 analytical method Methods 0.000 claims description 8
- 238000012163 sequencing technique Methods 0.000 claims description 5
- 230000002159 abnormal effect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000004445 quantitative analysis Methods 0.000 description 1
- 238000013139 quantization Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Algebra (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Probability & Statistics with Applications (AREA)
- Pure & Applied Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络安全领域,其目的在于提供一种网络安全事件评估处理方法、装置、设备及介质,该方法包括:获取多个信息安全事件及每个信息安全事件对应的多个告警参数;分别将每个信息安全事件对应的多个告警参数输入预设评估模型得到每个告警参数对应的评估值;根据评估值分析每个信息安全事件的风险等级;通过风险等级对信息安全事件进行排序得到安全威胁序列,并基于安全威胁序列的顺序从风险等级最高的信息安全事件开始处理。本发明通过分析每个信息安全事件的风险等级,优先处理风险更大的信息安全事件,在同一时间面临多个信息安全事件共同攻击时,能够及时判断各攻击的严重程度及安全威胁程度,提高处理效率从而更好的保障工业信息安全。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种网络安全事件评估处理方法、装置、设备及介质。
背景技术
工业控制系统和设备大量暴露在互联网上,也已成为国工业信息安全的重要威胁和软肋。且随着暴露在互联网上工业控制系统数量增加,其中相当大一部分都存在高危安全漏洞。目前,工业互联网平台的安全,工业互联网设备和控制层面的安全,工业大数据安全,工业互联网网络层面的安全等都有待提升。
在工业信息传输过程中,工控系统经常要面临一些各式各样的工业安全问题,例如工业参数篡改,工业网络攻击以及其他安全攻击事件,上述各种工业信息安全事件的发生严重影响了企业的工业信息安全,但是在日常可能同一时间面临多重的工业信息安全事件共同攻击,而在安全事件的处理过程中无法及时判断各攻击的严重程度及安全威胁程度,影响处理效率从而使工业信息安全存在重要威胁。
发明内容
有鉴于此,本发明实施例提供了一种网络安全事件评估处理方法、装置、设备及介质,以解决现有技术中心对工业信息安全事件处理效率低、存在安全威胁的问题。
为达到上述目的,本发明提供如下技术方案:
本发明实施例提供了一种网络安全事件评估处理方法,包括:
获取多个信息安全事件及每个所述信息安全事件对应的多个告警参数;
分别将每个信息安全事件对应的多个告警参数输入预设评估模型得到每个所述告警参数对应的评估值;
根据所述评估值分析每个信息安全事件的风险等级;
通过所述风险等级对所述信息安全事件进行排序得到安全威胁序列,并基于所述安全威胁序列的顺序从风险等级最高的所述信息安全事件开始处理。
可选的,所述根据所述评估值分析每个信息安全事件的风险等级,包括:
根据所述评估值分析每个所述信息安全事件对应的评估有效分值;
将所述评估有效分值与不同风险等级对应的预设安全阈值范围进行对比,得到每个所述信息安全事件对应的风险等级。
可选的,所述根据所述评估值分析每个所述信息安全事件对应的评估有效分值,包括:
获取每个所述告警参数对应的预设权重系数;
根据所述预设权重系数将每个所述信息安全事件对应的多个所述告警参数的评估值进行加权相加得到评估有效分值。
可选的,所述将所述评估有效分值与不同风险等级对应的预设安全阈值范围进行对比之前,所述方法还包括:
获取所述信息安全事件的安全类型;
基于所述安全类型从预设安全数据库中提取对应的风险等级数据,所述风险等级数据包括不同风险等级对应的预设安全阈值范围。
可选的,所述通过所述风险等级对所述信息安全事件进行排序得到安全威胁序列之前,所述方法还包括:
将所述风险等级与预设告警阈值进行对比;
当所述风险等级大于所述预设告警阈值时,基于所述风险等级对应信息安全事件的告警参数生成告警报告。
可选的,所述分别将每个信息安全事件对应的多个告警参数输入预设评估模型得到每个所述告警参数对应的评估值之前,所述方法还包括:
获取所述信息安全事件的IP地址;
将每个所述IP地址与预设安全地址库进行匹配;
若所述预设安全地址库内存在所述IP地址,则将与该所述IP地址对应的所述信息安全事件认定为无风险,不再进行处理。
可选的,所述方法还包括:
若所述预设安全地址库内不存在所述IP地址;
将每个所述IP地址与预设重点地址库进行匹配,并根据匹配结果调整每个所述IP地址对应所述信息安全事件的优先级;
根据所述优先级对所述信息安全事件进行排序,得到评估序列;
按照所述评估序列分别将每个信息安全事件对应的多个告警参数输入预设评估模型得到每个所述告警参数对应的评估值。
本发明实施例还提供了一种网络安全事件评估处理装置,包括:
获取模块,用于获取多个信息安全事件及每个所述信息安全事件对应的多个告警参数;
评估模块,用于分别将每个信息安全事件对应的多个告警参数输入预设评估模型得到每个所述告警参数对应的评估值;
分析模块,用于根据所述评估值分析每个信息安全事件的风险等级;
处理模块,用于通过所述风险等级对所述信息安全事件进行排序得到安全威胁序列,并基于所述安全威胁序列的顺序从风险等级最高的所述信息安全事件开始处理。
本发明实施例还提供了一种电子设备,包括:
存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行本发明实施例提供的网络安全事件评估处理方法。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储计算机指令,所述计算机指令用于使计算机执行本发明实施例提供的网络安全事件评估处理方法。
本发明技术方案,具有如下优点:
本发明提供了一种网络安全事件评估处理方法,通过获取多个信息安全事件及每个信息安全事件对应的多个告警参数;分别将每个信息安全事件对应的多个告警参数输入预设评估模型得到每个告警参数对应的评估值;根据评估值分析每个信息安全事件的风险等级;通过风险等级对信息安全事件进行排序得到安全威胁序列,并基于安全威胁序列的顺序从风险等级最高的信息安全事件开始处理。本发明通过分析每个信息安全事件的风险等级,优先处理风险更大的信息安全事件,在同一时间面临多个工业信息安全事件共同攻击时,能够及时判断各攻击的严重程度及安全威胁程度,提高处理效率从而更好的保障工业信息安全。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中的网络安全事件评估处理方法的流程图;
图2为根据本发明实施例中分析每个信息安全事件的风险等级的流程图;
图3为根据本发明实施例中分析每个信息安全事件对应的评估有效分值的流程图;
图4为根据本发明实施例中获取不同风险等级对应的预设安全阈值范围的流程图;
图5为根据本发明实施例中基于风险等级对应信息安全事件的告警参数生成告警报告的流程图;
图6为根据本发明实施例中对IP地址进行分析的流程图;
图7为根据本发明实施例中分析信息安全事件优先级的流程图;
图8为本发明实施例中的网络安全事件评估处理装置的结构示意图;
图9为本发明实施例中的电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
根据本发明实施例,提供了一种网络安全事件评估处理方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
在本实施例中提供了一种网络安全事件评估处理方法,可用于上述的终端设备,如电脑等,如图1所示,该网络安全事件评估处理方法包括如下步骤:
步骤S1:获取多个信息安全事件及每个信息安全事件对应的多个告警参数。具体的,告警参数包括多个评分参数,具体为当前告警事件的数量、告警攻击目标、攻击者属性参数、以及当前外部环境参数等;外部环境参数包括端口流量参数,流量参数包括流量数据包括源IP地址、目的IP地址、源端口、目的端口、开始时间、结束时间、协议类型、字节数等。
步骤S2:分别将每个信息安全事件对应的多个告警参数输入预设评估模型得到每个告警参数对应的评估值。具体的,预设评估模型内通过对每个告警参数的实际情况进行分析评分,得到每个告警参数对应的评估值;预设评估模型为根据历史安全事件综合分析建立的,内部包含不同数据范围对应的评分,通过预设评估模型可以客观准确的对每个告警参数的情况进行分析,得到对应评估值。
步骤S3:根据评估值分析每个信息安全事件的风险等级。具体的,通过综合量化分析的方式,对每个信息安全事件的风险等级进行分析,从而更加直观的了解到每个信息安全事件的威胁程度,便于后续处理。
步骤S4:通过风险等级对信息安全事件进行排序得到安全威胁序列,并基于安全威胁序列的顺序从风险等级最高的信息安全事件开始处理。具体的,通过根据风险等级对信息安全事件进行排序,将各信息安全事件进行横向对比,从而优先对风险等级更高也是安全威胁更高的安全事件进行处理,从而更好的保障工业信息安全。
通过上述步骤S1至步骤S4,本发明实施例提供的网络安全事件评估处理方法,通过获取多个信息安全事件及每个信息安全事件对应的多个告警参数;分别将每个信息安全事件对应的多个告警参数输入预设评估模型得到每个告警参数对应的评估值;根据评估值分析每个信息安全事件的风险等级;通过风险等级对信息安全事件进行排序得到安全威胁序列,并基于安全威胁序列的顺序从风险等级最高的信息安全事件开始处理。本发明通过分析每个信息安全事件的风险等级,优先处理风险更大的信息安全事件,在同一时间面临多个工业信息安全事件共同攻击时,能够及时判断各攻击的严重程度及安全威胁程度,提高处理效率从而更好的保障工业信息安全。
具体地,在一实施例中,上述的步骤S3,如图2所示,具体包括如下步骤:
步骤S31:根据评估值分析每个信息安全事件对应的评估有效分值。
步骤S32:将评估有效分值与不同风险等级对应的预设安全阈值范围进行对比,得到每个信息安全事件对应的风险等级。
具体的,通过各个评估值计算每个信息安全事件对应的评估有效分值,实现了每个信息安全事件对应的评估有效分值的量化处理,为后续进行横向比较提供了数据支持。
具体地,在一实施例中,上述的步骤S31,如图3所示,具体包括如下步骤:
步骤S311:获取每个告警参数对应的预设权重系数。
步骤S312:根据预设权重系数将每个信息安全事件对应的多个告警参数的评估值进行加权相加得到评估有效分值。
具体的,通过预设权重系数对不同的告警参数进行加权分析,得到更加具有客观性和可靠性的评估有效分值,有效提高风险等级分析的准确性。
具体地,在一实施例中,上述的步骤S32之前,如图4所示,具体还包括如下步骤:
步骤S3201:获取信息安全事件的安全类型。
步骤S3202:基于安全类型从预设安全数据库中提取对应的风险等级数据,风险等级数据包括不同风险等级对应的预设安全阈值范围。
具体的,不同类型的信息安全事件造成的安全威胁程度不同,有部分类型的信息安全事件可能会直接造成较大损失,这种类型的信息安全事件相较于普通信息安全事件,即使评估有效分值相同,但是威胁程度不同,因此通过不同安全类型的信息安全事件采用不同的分析标准,可以更加准确的判断信息安全事件的威胁程度,从而得到更具有参考价值的风险等级。
具体地,在一实施例中,在上述的步骤S4之前,如图5所示,具体还包括如下步骤:
步骤S401:将风险等级与预设告警阈值进行对比。
步骤S402:当风险等级大于预设告警阈值时,基于风险等级对应信息安全事件的告警参数生成告警报告。
具体的,对于风险等级已经超出预设告警阈值的信息安全事件,说明该信息安全事件具有非常严重的威胁,若不能及时处理会造成严重损失,因此将此信息安全事件的告警参数生成告警报告,便于及时传输至技术人员进行告警同时便于技术人员根据告警报告内的信息尽快处理,降低损失。
具体地,在一实施例中,上述的步骤S2之前,如图6所示,具体还包括如下步骤:
步骤S201:获取信息安全事件的IP地址。
步骤S202:将每个IP地址与预设安全地址库进行匹配。
步骤S203:若预设安全地址库内存在IP地址,则将与该IP地址对应的信息安全事件认定为无风险,不再进行处理。
具体的,预设安全地址库内存储有访问内部网络的安全性高的路由设备的IP,针对安全性高的路由设备的IP地址产生的信息安全事件不予评估打分计算处理。通过此方式可以在既保证安全性的情况下,加快处理速度,减少分析数据的冗余。
具体地,在一实施例中,上述的步骤S2之前,如图7所示,具体还包括如下步骤:
步骤S204:若预设安全地址库内不存在IP地址。
步骤S205:将每个IP地址与预设重点地址库进行匹配,并根据匹配结果调整每个IP地址对应信息安全事件的优先级。
步骤S206:根据优先级对信息安全事件进行排序,得到评估序列。
步骤S207:按照评估序列分别将每个信息安全事件对应的多个告警参数输入预设评估模型得到每个告警参数对应的评估值。
具体的,通过分析IP地址是否对应重点异常检测的路由设备,判断每个信息安全事件的来源是否为异常风险较高的路由设备,并根据信息安全事件的来源划分优先级,优先分析风险较高或威胁较大可能性大的信息安全事件,提高后续的数据分析效率,从而更好的保障工业信息安全。
在本实施例中还提供了一种网络安全事件评估处理装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
本实施例提供一种网络安全事件评估处理装置,如图8所示,包括:
获取模块101,用于获取多个信息安全事件及每个信息安全事件对应的多个告警参数,详细内容参见上述方法实施例中步骤S1的相关描述,在此不再进行赘述。
评估模块102,用于分别将每个信息安全事件对应的多个告警参数输入预设评估模型得到每个告警参数对应的评估值,详细内容参见上述方法实施例中步骤S2的相关描述,在此不再进行赘述。
分析模块103,用于根据评估值分析每个信息安全事件的风险等级,详细内容参见上述方法实施例中步骤S3的相关描述,在此不再进行赘述。
处理模块104,用于通过风险等级对信息安全事件进行排序得到安全威胁序列,并基于安全威胁序列的顺序从风险等级最高的信息安全事件开始处理,详细内容参见上述方法实施例中步骤S4的相关描述,在此不再进行赘述。
本实施例中的网络安全事件评估处理装置是以功能单元的形式来呈现,这里的单元是指ASIC电路,执行一个或多个软件或固定程序的处理器和存储器,和/或其他可以提供上述功能的器件。
上述各个模块的更进一步的功能描述与上述对应实施例相同,在此不再赘述。
根据本发明实施例还提供了一种电子设备,如图9所示,该电子设备可以包括处理器901和存储器902,其中处理器901和存储器902可以通过总线或者其他方式连接,图9中以通过总线连接为例。
处理器901可以为中央处理器(Central Processing Unit,CPU)。处理器901还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。
存储器902作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块,如本发明方法实施例中的方法所对应的程序指令/模块。处理器901通过运行存储在存储器902中的非暂态软件程序、指令以及模块,从而执行处理器的各种功能应用以及数据处理,即实现上述方法实施例中的方法。
存储器902可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储处理器901所创建的数据等。此外,存储器902可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器902可选包括相对于处理器901远程设置的存储器,这些远程存储器可以通过网络连接至处理器901。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
一个或者多个模块存储在存储器902中,当被处理器901执行时,执行上述方法实施例中的方法。
上述电子设备具体细节可以对应参阅上述方法实施例中对应的相关描述和效果进行理解,此处不再赘述。
本领域技术人员可以理解,实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成的,程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random Access Memory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-StateDrive,SSD)等;存储介质还可以包括上述种类的存储器的组合。
虽然结合附图描述了本发明的实施例,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。
Claims (10)
1.一种网络安全事件评估处理方法,其特征在于,包括:
获取多个信息安全事件及每个所述信息安全事件对应的多个告警参数;
分别将每个信息安全事件对应的多个告警参数输入预设评估模型得到每个所述告警参数对应的评估值;
根据所述评估值分析每个信息安全事件的风险等级;
通过所述风险等级对所述信息安全事件进行排序得到安全威胁序列,并基于所述安全威胁序列的顺序从风险等级最高的所述信息安全事件开始处理。
2.根据权利要求1所述的网络安全事件评估处理方法,其特征在于,所述根据所述评估值分析每个信息安全事件的风险等级,包括:
根据所述评估值分析每个所述信息安全事件对应的评估有效分值;
将所述评估有效分值与不同风险等级对应的预设安全阈值范围进行对比,得到每个所述信息安全事件对应的风险等级。
3.根据权利要求2所述的网络安全事件评估处理方法,其特征在于,所述根据所述评估值分析每个所述信息安全事件对应的评估有效分值,包括:
获取每个所述告警参数对应的预设权重系数;
根据所述预设权重系数将每个所述信息安全事件对应的多个所述告警参数的评估值进行加权相加得到评估有效分值。
4.根据权利要求2所述的网络安全事件评估处理方法,其特征在于,所述将所述评估有效分值与不同风险等级对应的预设安全阈值范围进行对比之前,所述方法还包括:
获取所述信息安全事件的安全类型;
基于所述安全类型从预设安全数据库中提取对应的风险等级数据,所述风险等级数据包括不同风险等级对应的预设安全阈值范围。
5.根据权利要求1所述的网络安全事件评估处理方法,其特征在于,所述通过所述风险等级对所述信息安全事件进行排序得到安全威胁序列之前,所述方法还包括:
将所述风险等级与预设告警阈值进行对比;
当所述风险等级大于所述预设告警阈值时,基于所述风险等级对应信息安全事件的告警参数生成告警报告。
6.根据权利要求1所述的网络安全事件评估处理方法,其特征在于,所述分别将每个信息安全事件对应的多个告警参数输入预设评估模型得到每个所述告警参数对应的评估值之前,所述方法还包括:
获取所述信息安全事件的IP地址;
将每个所述IP地址与预设安全地址库进行匹配;
若所述预设安全地址库内存在所述IP地址,则将与该所述IP地址对应的所述信息安全事件认定为无风险,不再进行处理。
7.根据权利要求6所述的网络安全事件评估处理方法,其特征在于,所述方法还包括:
若所述预设安全地址库内不存在所述IP地址;
将每个所述IP地址与预设重点地址库进行匹配,并根据匹配结果调整每个所述IP地址对应所述信息安全事件的优先级;
根据所述优先级对所述信息安全事件进行排序,得到评估序列;
按照所述评估序列分别将每个信息安全事件对应的多个告警参数输入预设评估模型得到每个所述告警参数对应的评估值。
8.一种网络安全事件评估处理装置,其特征在于,包括:
获取模块,用于获取多个信息安全事件及每个所述信息安全事件对应的多个告警参数;
评估模块,用于分别将每个信息安全事件对应的多个告警参数输入预设评估模型得到每个所述告警参数对应的评估值;
分析模块,用于根据所述评估值分析每个信息安全事件的风险等级;
处理模块,用于通过所述风险等级对所述信息安全事件进行排序得到安全威胁序列,并基于所述安全威胁序列的顺序从风险等级最高的所述信息安全事件开始处理。
9.一种电子设备,其特征在于,包括:
存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行权利要求1-7中任一项所述的网络安全事件评估处理方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使计算机执行权利要求1-7中任一项所述的网络安全事件评估处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310619843.9A CN116614287A (zh) | 2023-05-29 | 2023-05-29 | 一种网络安全事件评估处理方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310619843.9A CN116614287A (zh) | 2023-05-29 | 2023-05-29 | 一种网络安全事件评估处理方法、装置、设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116614287A true CN116614287A (zh) | 2023-08-18 |
Family
ID=87674447
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310619843.9A Pending CN116614287A (zh) | 2023-05-29 | 2023-05-29 | 一种网络安全事件评估处理方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116614287A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117057618A (zh) * | 2023-10-11 | 2023-11-14 | 成都大公博创信息技术有限公司 | 一种区域电磁安全风险评估方法及系统、设备、介质 |
| CN117579329A (zh) * | 2023-11-15 | 2024-02-20 | 北京源堡科技有限公司 | 组织网络安全暴露风险预测方法、电子设备及存储介质 |
| CN117749448A (zh) * | 2023-12-08 | 2024-03-22 | 广州市融展信息科技有限公司 | 一种网络潜在风险智能预警方法及装置 |
-
2023
- 2023-05-29 CN CN202310619843.9A patent/CN116614287A/zh active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117057618A (zh) * | 2023-10-11 | 2023-11-14 | 成都大公博创信息技术有限公司 | 一种区域电磁安全风险评估方法及系统、设备、介质 |
| CN117057618B (zh) * | 2023-10-11 | 2024-01-30 | 成都大公博创信息技术有限公司 | 一种区域电磁安全风险评估方法及系统、设备、介质 |
| CN117579329A (zh) * | 2023-11-15 | 2024-02-20 | 北京源堡科技有限公司 | 组织网络安全暴露风险预测方法、电子设备及存储介质 |
| CN117749448A (zh) * | 2023-12-08 | 2024-03-22 | 广州市融展信息科技有限公司 | 一种网络潜在风险智能预警方法及装置 |
| CN117749448B (zh) * | 2023-12-08 | 2024-05-17 | 广州市融展信息科技有限公司 | 一种网络潜在风险智能预警方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN116614287A (zh) | 一种网络安全事件评估处理方法、装置、设备及介质 | |
| CN112468488B (zh) | 工业异常监测方法、装置、计算机设备及可读存储介质 | |
| CN110535702B (zh) | 一种告警信息处理方法及装置 | |
| CN110417778B (zh) | 访问请求的处理方法和装置 | |
| CN109889550B (zh) | 一种DDoS攻击确定方法及装置 | |
| CN109194684B (zh) | 一种模拟拒绝服务攻击的方法、装置及计算设备 | |
| CN110855497B (zh) | 一种基于大数据环境的告警排序方法及装置 | |
| CN113660296B (zh) | 一种工控系统防攻击性能的检测方法、装置及计算机设备 | |
| CN109063486B (zh) | 一种基于plc设备指纹识别的安全渗透测试方法与系统 | |
| CN107733725B (zh) | 一种安全预警方法、装置、设备及存储介质 | |
| CN111277561B (zh) | 网络攻击路径预测方法、装置及安全管理平台 | |
| CN110224970B (zh) | 一种工业控制系统的安全监视方法和装置 | |
| CN111049827A (zh) | 一种网络系统安全防护方法、装置及其相关设备 | |
| CN108566392B (zh) | 基于机器学习的防御cc攻击系统与方法 | |
| CN113098827B (zh) | 基于态势感知的网络安全预警方法及装置 | |
| CN115189961B (zh) | 一种故障识别方法、装置、设备及存储介质 | |
| CN111162929B (zh) | 一种分级管理方法和系统 | |
| CN114257403A (zh) | 误报检测方法、设备及可读存储介质 | |
| CN114285639A (zh) | 一种网站安全防护方法及装置 | |
| CN114205146A (zh) | 一种多源异构安全日志的处理方法及装置 | |
| CN113965406A (zh) | 网络阻断方法、装置、电子装置和存储介质 | |
| CN113014601A (zh) | 一种通信检测方法、装置、设备和介质 | |
| CN110572379A (zh) | 面向网络安全的可视化大数据态势感知分析系统关键技术 | |
| CN111147497B (zh) | 一种基于知识不对等的入侵检测方法、装置以及设备 | |
| CN115022082B (zh) | 网络安全检测方法、网络安全检测系统、终端以及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |