CN116827697B - 网络攻击事件的推送方法、电子设备及存储介质 - Google Patents
网络攻击事件的推送方法、电子设备及存储介质 Download PDFInfo
- Publication number
- CN116827697B CN116827697B CN202311103659.5A CN202311103659A CN116827697B CN 116827697 B CN116827697 B CN 116827697B CN 202311103659 A CN202311103659 A CN 202311103659A CN 116827697 B CN116827697 B CN 116827697B
- Authority
- CN
- China
- Prior art keywords
- event
- network attack
- dimension
- pushing
- result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 54
- 230000002776 aggregation Effects 0.000 claims abstract description 69
- 238000004220 aggregation Methods 0.000 claims abstract description 69
- 238000012545 processing Methods 0.000 claims abstract description 31
- 238000001514 detection method Methods 0.000 claims description 118
- 230000002688 persistence Effects 0.000 claims description 28
- 230000005856 abnormality Effects 0.000 claims description 18
- 230000000694 effects Effects 0.000 claims description 13
- 230000006870 function Effects 0.000 claims description 6
- 230000000007 visual effect Effects 0.000 claims 1
- 230000007123 defense Effects 0.000 description 10
- 238000004458 analytical method Methods 0.000 description 9
- 230000006399 behavior Effects 0.000 description 8
- 230000002829 reductive effect Effects 0.000 description 8
- 238000011156 evaluation Methods 0.000 description 7
- 238000004364 calculation method Methods 0.000 description 6
- 230000002085 persistent effect Effects 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 4
- 241000700605 Viruses Species 0.000 description 3
- 230000007547 defect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000012216 screening Methods 0.000 description 3
- 230000001360 synchronised effect Effects 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 239000002131 composite material Substances 0.000 description 2
- 230000001010 compromised effect Effects 0.000 description 2
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 230000002411 adverse Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000007418 data mining Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000036961 partial effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种网络攻击事件的推送方法、电子设备及存储介质,涉及网络安全领域,推送方法包括:分别根据m个聚合视角对n个网络攻击事件的事件信息进行聚合处理,得到每一聚合视角对应的多个事件集合;利用预设的推送模型对每个网络攻击事件的事件信息和每个事件集合进行处理,得到每个网络攻击事件的第一事件推送结果和每个事件集合的第一集合推送结果;对于每个网络攻击事件,根据该网络攻击事件的第一事件推送结果和该网络攻击事件所属的m个事件集合的第一集合推送结果,确定第二事件推送结果;输出n个网络攻击事件中至少部分网络攻击事件的事件信息和第二事件推送结果。本申请的技术方案,可以提高网络攻击事件推送的准确性。
Description
技术领域
本申请涉及网络安全领域,尤其涉及一种网络攻击事件的推送方法、电子设备及存储介质。
背景技术
现今互联网大量的数据传输,使得网络安全问题更加凸显。骇客们利用各种方式对信息系统进行攻击,在被攻击的企业、个人或国家中造成了巨大的损失,因此,确保网络安全变得愈发重要。在网络安全领域中,一直存在着评估网络攻击事件威胁程度的需求,威胁程度是决定网络安全事件的关键因素,尽管许多现有的技术可以检测网络攻击事件并记录攻击事件的详细信息,但很难对其威胁程度进行明确的评估,进而也无法准确地分析网络安全事件对资产、组织或个人的真实威胁程度,进而无法准确地推送网络攻击事件。
发明内容
有鉴于此,本申请提供一种网络攻击事件的推送方法、电子设备及存储介质,以解决现有技术中存在的无法准确地检测和推送网络攻击事件问题。
第一方面,本申请实施例提供了一种网络攻击事件的推送方法,包括:
获取n个网络攻击事件的事件信息;
分别根据m个聚合视角对n个网络攻击事件的事件信息进行聚合处理,得到每一聚合视角对应的多个事件集合;同一聚合视角对应的任意两个事件集合之间不存在重复的网络攻击事件,且同一聚合视角对应的各事件集合所包含的网络攻击事件的数量之和为n;
利用预设的推送模型对每个网络攻击事件的事件信息和每个事件集合进行处理,得到每个网络攻击事件的第一事件推送结果和每个事件集合的第一集合推送结果;
对于每个网络攻击事件,根据该网络攻击事件的第一事件推送结果和该网络攻击事件所属的m个事件集合的第一集合推送结果,确定该网络攻击事件的第二事件推送结果;
输出n个网络攻击事件中至少部分网络攻击事件的事件信息和至少部分网络攻击事件的第二事件推送结果;第二事件推送结果用于表征网络攻击事件的威胁程度。
可选的,对于每个网络攻击事件,根据该网络攻击事件的第一事件推送结果和该网络攻击事件所属的m个事件集合的第一集合推送结果,确定该网络攻击事件的第二事件推送结果,包括:
获取集合推送列表T=(T1,T2,…,Tj,…,Tm);其中,Tj=(Tj,1, Tj,2,…,Tj,x,…,Tj,h(j)),j=1,2,…,m,Tj为第j个聚合视角对应的集合推送列表,x=1,2,…,h(j),Tj,x表示第j个聚合视角对应的第x个事件集合的第一集合推送结果;
根据集合推送列表T获取第i个网络攻击事件对应的第一系数列表Ci=(Ci,1,…,Ci,j,…,Ci,m);其中,Ci,j为第i个网络攻击事件在第j个聚合视角对应的第一系数,Ci,j=Tj,G(i)/MAX(Tj),Tj,G(i)表示第j个聚合视角对应的各事件集合中包含第i个网络攻击事件的事件集合的第一集合推送结果,MAX()为预设的最大值确定函数,MAX(Tj)表示在第j个聚合视角对应的集合推送列表Tj中确定数值最大的第一集合推送结果;
在第一系数列表Ci中选取k个第一系数作为第二系数,形成第二系数列表CKi=(CKi,1,…,CKi,y,…,CKi,k);其中,k小于或等于m,y=1,2,…,k;CKi,y为选取出的第k个第二系数;
获取第i个网络攻击事件的第二事件推送结果;其中,Fi为第i个网络攻击事件的第一事件推送结果,MFi为第i个网络攻击事件的第二事件推送结果。
可选的,在第一系数列表Ci中选取k个第一系数作为第二系数,形成第二系数列表CKi=(CKi,1,…,CKi,y,…,CKi,k),包括:
根据预设的系数阈值Y遍历Ci,若Ci,j≥Y,则将Ci,j确定为第二系数,以得到第二系数列表CKi=(CKi,1,…,CKi,y,…,CKi,k)。
可选的,输出n个网络攻击事件中的至少部分网络攻击事件的事件信息和至少部分网络攻击事件的第二事件推送结果,包括:
对n个网络攻击事件的第二事件推送结果从大到小进行排序;
输出排序靠前的指定数量个网络攻击事件的事件信息和该指定数量个网络攻击事件的第二事件推送结果。
可选的,输出n个网络攻击事件中的至少部分网络攻击事件的事件信息和至少部分网络攻击事件的第二事件推送结果,包括:
对于每个事件集合,将该事件集合中的各网络攻击事件的第二事件推送结果进行累加,得到该事件集合的第二集合推送结果;
在每个聚合视角下的多个事件集合中,确定出第二集合推送结果最大的一个事件集合作为该聚合视角下的目标事件集合;
在m个聚合视角对应的m个目标事件集合中存在重复的网络攻击事件的情况下,对m个目标事件集合进行去重处理,输出去重处理后的目标事件集合中所有网络攻击事件的事件信息和对应的第二事件推送结果。
可选的,推送模型基于检测维度构建出,检测维度包括:威胁等级维度、持续性维度、活跃性维度、重要性维度、真实性维度、情报信誉维度和异常维度;
第一事件推送结果基于威胁等级维度、持续性维度、活跃性维度、真实性维度和情报信誉维度得出,第一集合推送结果基于威胁等级维度、持续性维度、活跃性维度、情报信誉维度、重要性维度和异常维度得出。
可选的,每个检测维度下对应设置有多个维度指标、多个判定条件和多个子推送结果;
每个维度指标分别与一个判定条件、一个子推送结果相关联;
利用预设的推送模型对每个网络攻击事件的事件信息和每个事件集合进行处理,得到每个网络攻击事件的第一事件推送结果和每个事件集合的第一集合推送结果,包括:
对于每个检测对象,根据多个检测维度对应的判定条件,判定该检测对象在各检测维度下对应的维度指标;
根据维度指标和子推送结果的关联关系,确定该检测对象在各检测维度下对应的维度指标所关联的子推送结果,作为该检测对象在各检测维度下的目标子推送结果;
根据该检测对象在各检测维度下的目标子推送结果确定该检测对象的总推送结果;在该检测对象为网络攻击事件的事件信息时,总推送结果为第一事件推送结果,在该检测对象为事件集合时,总推送结果为第一集合推送结果。
可选的,威胁等级维度对应的判定条件是基于检测对象的威胁类型和攻击次数设置的;
持续性维度对应的判定条件是基于检测对象的持续度、平均传播度和持续时间设置的;
活跃性维度对应的判定条件是基于检测对象的活跃度设置的;
重要性维度对应的判定条件是基于检测对象的重点资产覆盖度设置的;
真实性维度对应的判定条件是基于检测对象的不一致度和不一致事件威胁指标数设置的;
情报信誉维度对应的判定条件是基于检测对象的情报来源和情报信誉度设置的;
异常维度对应的判定条件是基于检测对象的异常度设置的。
第二方面,本申请实施例提供了一种电子设备,包括:存储器和处理器,存储器中存储有程序代码,该程序代码由处理器加载并执行,以实现本申请实施例第一方面提供的方法。
第三方面,本申请实施例提供了计算机可读存储介质,存储有程序代码,该程序代码被处理器执行时实现本申请实施例第一方面提供的方法。
本申请提供的网络攻击事件的推送方案至少可以实现如下有益效果:
可以将网络攻击事件按设定的聚合视角自动聚合,便于对网络攻击事件进行分类检测和分析,例如对以攻击源为聚合视角聚合得到的事件集合进行分析,可以了解该攻击源在哪些时间活跃、主要采取的攻击行为是哪些,针对的目标和范围是什么。在自动聚合的基础上自动对网络攻击事件的威胁程度进行评估,有效提高了威胁检测效率,减少安全分析的人力成本。
在对网络攻击事件的威胁程度进行评估时,可以利用推送模型从单个网络攻击事件和事件集合两个角度进行评估,可以实现对某个网络攻击事件的多维、全面、准确的评估;基于这种多维、全面、准确的评估和输出相应的事件信息和第二事件推送结果,可以更精准地向安全分析人员推送网络攻击事件,减少误报率,进而提高安全分析人员后面防御处理的针对性和准确性,例如可使安全分析人员准确地判断网络攻击是否为真实事件,判断何时采取防御措施以响应网络威胁。第二事件推送结果可以体现网络攻击事件的真实威胁程度,使得工作人员可以根据安全需求确定需要优先处理的网络攻击事件,针对需要优先处理的网络攻击事件优先采取相应的防御措施,快速消除关键威胁,从而进一步辅助安全分析人员提高后续的处理效率,快速发现安全隐患,提前制定安全防御策略以及反制措施,从而可有效减少网络攻击带来的风险损失,提高网络安全防护水平,具有良好的经济效益和社会效益。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本申请实施例提供的一种网络攻击事件的推送方法的流程示意图;
图2为本申请实施例提供的另一种网络攻击事件的推送方法的部分流示意图。
具体实施方式
下面结合附图对本申请实施例进行详细描述。
需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合;并且,基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见,本文中所描述的方面可体现于广泛多种形式中,且本文中所描述的任何特定结构及/或功能仅为说明性的。基于本申请实施例,所属领域的技术人员应了解,本文中所描述的一个方面可与任何其它方面独立地实施,且可以各种方式组合这些方面中的两者或两者以上。举例来说,可使用本文中所阐述的任何数目个方面来实施设备及/或实践方法。另外,可使用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或实践此方法。
本申请提供一种网络攻击事件的推送方法,如图1所示,该方法可以包括以下步骤S101-S105:
S101,获取n个网络攻击事件的事件信息。
其中,n为大于1的整数,通常是一个较大的数值,从而可以获取到大量网络攻击事件的事件信息,为后续的威胁程度的检测提高较为丰富的情报数据基础。
在本申请实施例中,对网络攻击事件定义如下:通过网络或其它技术手段,利用信息系统的配置缺陷、协议缺陷或程序缺陷对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。
网络攻击事件的事件信息可以包括攻击源的IP地址、攻击目标的IP地址、攻击者使用的工具和技术、攻击时间等信息。
S102,分别根据m个聚合视角对n个网络攻击事件的事件信息进行聚合处理,得到每一聚合视角对应的多个事件集合。
本申请实施例中的“多个”表示两个以上,同一聚合视角对应的任意两个事件集合之间不存在重复的网络攻击事件,且同一聚合视角对应的各事件集合所包含的网络攻击事件的数量之和为n。
其中,聚合视角可以是攻击源、攻击行为(或称威胁类型)、攻击目标等任意一种属性,m个聚合视角可以包括m种属性,以攻击源这个聚合视角为例,在聚合时,可将同一个攻击源或同一类攻击源的网络攻击事件的事件信息合并为一个事件集合。
每个聚合视角可以包括至少一个子视角,子视角为属性相同(例如均为攻击源)但具体信息不同(例如具体为攻击源A)的视角,可以理解为划分更精细的特殊聚合视角,每个事件集合可以是基于一个子视角取出的。例如,对于攻击源这个聚合视角来说,其子视角可以是某个具体的攻击源或某类攻击源,例如可以包括A攻击源、B攻击源和C攻击源三个子视角,或者,可以包括境内攻击源和境外攻击源两个子视角。聚合视角和聚合视角下的子视角可以根据实际需求灵活设置。
S103,利用预设的推送模型对每个网络攻击事件的事件信息和每个事件集合进行处理,得到每个网络攻击事件的第一事件推送结果和每个事件集合的第一集合推送结果。
第一事件推送结果可以表征单个网络攻击事件的威胁程度,第一集合推送结果可以表征由多个网络攻击事件形成的事件集合的威胁程度。在一个示例中,第一事件推送结果和第一集合推送结果均可以以分值的形式表示,例如80分、100分等分值,推送结果的分值越高,对应的单个网络攻击事件或事件集合的威胁程度越高。
S104,对于每个网络攻击事件,根据该网络攻击事件的第一事件推送结果和该网络攻击事件所属的m个事件集合的第一集合推送结果,确定该网络攻击事件的第二事件推送结果。
S105,输出n个网络攻击事件中至少部分网络攻击事件的事件信息和至少部分网络攻击事件的第二事件推送结果。
第二事件推送结果可以用于表征网络攻击事件的威胁程度。与第一事件推送结果和第一集合推送结果类似的,第二事件推送结果可以以分值的形式表示,第二事件推送结果的分值越高,对应的网络攻击事件的威胁程度越高,后续处理的优先级越高,以第二事件推送结果为依据进行推送时,推送的准确性较高。
本申请实施例提供的上述网络攻击事件的推送方法,可以将网络攻击事件按设定的聚合视角自动聚合,便于对网络攻击事件进行分类检测和分析,例如对以攻击源为聚合视角聚合得到的事件集合进行分析,可以了解该攻击源在哪些时间活跃、主要采取的攻击行为是哪些,针对的目标和范围是什么。在自动聚合的基础上自动对网络攻击事件的威胁程度进行评估,有效提高了威胁检测效率,减少安全分析的人力成本。
在对网络攻击事件的威胁程度进行评估时,可以利用推送模型从单个网络攻击事件和事件集合两个角度进行评估,可以实现对某个网络攻击事件的多维、全面、准确的评估;基于这种多维、全面、准确的评估和输出相应的事件信息和第二事件推送结果,可以更精准地向安全分析人员推送网络攻击事件,减少误报率,进而提高安全分析人员后面防御处理的针对性和准确性,例如可使安全分析人员准确地判断网络攻击是否为真实事件,判断何时采取防御措施以响应网络威胁。第二事件推送结果可以体现网络攻击事件的真实威胁程度,使得工作人员可以根据安全需求确定需要优先处理的网络攻击事件,针对需要优先处理的网络攻击事件优先采取相应的防御措施,快速消除关键威胁,从而进一步辅助安全分析人员提高后续的处理效率,快速发现安全隐患,提前制定安全防御策略以及反制措施,从而可有效减少网络攻击带来的风险损失,提高网络安全防护水平,具有良好的经济效益和社会效益。威胁程度较高时,安全分析人员可以采取封堵攻击源的IP地址、升级防火墙规则等主动防御措施,威胁程度较低时,安全分析人员可以采取监控、隔离等被动防御措施。
在一种可选的实施方式中,上述网络攻击事件可以是通过如下方式确定出的:获取网络流量数据;基于预先收集的威胁情报从网络流量数据中筛选出告警数据;基于告警数据确定具有威胁的网络攻击事件。
其中,获取的网络流量数据可以包括所有进出网络的流量,例如请求、响应、协议层数据等,在一个示例中,所采集的网络流量数据可以包括:攻击源的IP地址、攻击目标的IP地址、协议类型、端口信息、转发路径、数据大小等多种要素,网络流量数据可以用于后续的流量检测和分析。
威胁情报是一种基于证据的知识,包括了情境、机制、指标、影响和操作建议等内容,其可用于描述现存的、或者是即将出现的针对资产、网络等威胁或危险,威胁情报可以丰富网络流量数据的上下文信息,有助于提高后续检测的准确度。在一个示例中,威胁情报可以包括IOC(Indicator of Compromise,威胁指标或失陷指标),IOC可以理解为指向某个结论(攻击或失陷)的任何信息,例如域名、IP地址、URL(Uniform Resource Locator,统一资源定位系统)等。基于上述情报技术可辅助安全分析人员在系统或网络流量日志中寻找某类特征数据来发现已被入侵的目标或自动化的预测存在潜在威胁的目标,解决网络安全防护中的“盲点”。
在一个示例中,基于威胁情报从网络流量数据中筛选出告警数据,可以通过如下方式实现:确定每一条网络流量数据与预先收集的威胁情报的匹配度,若匹配度大于设定的匹配度阈值,则将该条网络流量数据作为告警数据。其中,匹配度阈值可以根据实际需求设置。其中,匹配度阈值可以根据实际情况设置,在其它示例中,在从网络流量数据中筛选出告警数据时,在威胁情报的基础上,还可以增加其它的筛选条件,以过滤掉一些不必要的噪声日志,以减少噪声日志对后续检测的不良影响。
在一个示例中,基于告警数据确定具有威胁的网络攻击事件,可以通过如下方式实现:将具有相同要素的告警数据进行合并,形成一个网络攻击事件。其中,要素可以包括攻击源、攻击行为(或称威胁类型)和攻击目标三个要素,一个网络攻击事件的事件信息可以包括具有相同攻击源、相同攻击行为和相同攻击目标的多条告警数据,即一个网络攻击事件的事件信息可以包括一个攻击源到一个攻击目标的多次攻击行为的信息。
在一个示例中,可以从历史记录的大量网络攻击事件的事件信息中提取用于识别威胁的关键特征,作为IOC即作为威胁情报,这些关键特征可以包括攻击源的IP地址、攻击目标的IP地址、位置信息、协议、检测依据、重点资产等特征,这些关键特征可以存储到事件特征库中,在需要筛选告警数据时调用。本申请实施例采集的威肋情报还可以包括黑客攻击技术、漏洞利用方式、网络攻击工具等,通过对这些信息的分析和比对,可以识别出多络攻击事件的关键威胁。利用大量网络攻击事件的数据来提取威胁情报,可以提高网络攻击事件的威胁程度评估的精度。
在一个示例中,可以对历史记录的网络攻击事件进行特征提取,形成攻击序列、攻击行为特征库、攻击目标特征库等,基于这些信息可自动化地对同类事件做出攻击预测。
在一种可选的实施方式中,在上述步骤S103中,推送模型基于检测维度构建,检测维度包括:威胁等级维度、持续性维度、活跃性维度、重要性维度、真实性维度、信誉维度和异常维度。其中,威胁等级维度、持续性维度、活跃性维度和情报信誉维度可以用于对网络攻击事件和事件集合进行处理,真实性维度可以用于网络攻击事件进行处理,重要性维度和异常维度可以用于对事件集合进行处理。对应的,第一事件推送结果可以基于威胁等级维度、持续性维度、活跃性维度、真实性维度和情报信誉维度得出,第一集合推送结果可以基于威胁等级维度、持续性维度、活跃性维度、情报信誉维度、重要性维度和异常维度得出。
威胁等级维度可以用于检测单个网络攻击事件和事件集合的威胁等级,持续性维度可以用于检测单个网络攻击事件和事件集合的持续性,活跃性维度可以用于检测单个网络事件和事件集合的活跃性,重要性维度可以用于检测事件集合的重点资产覆盖情况,真实性维度可以用于检测单个网络攻击事件的真实性,情报信誉维度可以用于检测单个网络攻击事件和事件集合的情报依据,异常维度可以用于检测事件集合的异常程度。
基于上述方式构建出的检测模型可以从多个检测维度出发,对网络攻击事件和事件集合进行综合检测,有效提高威胁程度检测的精度。
在一种可选的实施方式中,每个检测维度下可以对应设置有多个维度指标、多个判定条件和多个子推送结果,每个维度指标分别与一个判定条件、一个子推送结果相关联。判定条件可以用于判定检测对象在当前所属的检测维度下对应的维度指标是否为所关联的维度指标,子推送结果可以用于表征检测对象在当前所属的检测维度下的威胁程度,其中检测对象可以是网络攻击事件的事件信息或事件集合,即在一次检测中,检测对象可以是一个网络攻击事件的事件信息,也可以是一个事件集合。
在检测维度下设置多个维度指标以及多个维度指标对应的判定条件和子推送结果,有利于在单个检测维度下进行更精细的威胁程度检测,得到更准确的子推送结果,进而得到更准确的第一事件推送结果和第一集合推送结果。
在设置有上述维度指标、判定条件和子推送结果的基础上,在上述步骤S103中,利用预设的推送模型对每个网络攻击事件的事件信息和每个事件集合进行处理,得到每个网络攻击事件的第一事件推送结果和每个事件集合的第一集合推送结果,可以包括:对于每个检测对象,根据多个检测维度对应的判定条件,判定该检测对象在各检测维度下对应的维度指标;根据维度指标和子推送结果的关联关系,确定该检测对象在各检测维度下对应的维度指标所关联的子推送结果,作为该检测对象在各检测维度下的目标子推送结果;根据该检测对象在各检测维度下的目标子推送结果确定该检测对象的总推送结果。
其中,在检测对象为网络攻击事件的事件信息时,用于处理事件信息的多个检测维度可以包括威胁等级维度、持续性维度、活跃性维度、情报信誉维度和真实性维度,对应的总推送结果可以是第一事件推送结果。在检测对象为事件集合时,用于处理事件集合的多个检测维度可以包括威胁等级维度、持续性维度、活跃性维度、情报信誉维度、重要性维度和异常维度,对应的总推送结果可以是第一集合推送结果。
上述子推送结果可以以分值的形式表示,根据该检测对象在各检测维度下的子推送结果确定该检测对象的总推送结果可以通过以下任意一种方式来实现:方式一,将检测对象在各检测维度下的子推送结果直接相加,得到该检测对象的总推送结果;方式二,根据针对各检测维度预先设置的权重系数,对检测对象在各检测维度下的子推送结果进行加权求和,得到该检测对象的总推送结果。其中,各检测维度对应的权重系数可以根据实际需求设置,可以对重要的维度设置较高的权重系数,对次要的维度设置较低的权重系数。
基于上述方式,可以根据判定条件判定检测对象在各检测维度下对应的维度指标,进而基于维度指标快速确定出对应的子推送结果,即在每个检测维度下均可以评价一个检测对象的威胁程度,进而可以在综合考虑各检测维度下的威胁程度的情况下,快速确定出检测对象的总推送结果,即总的威胁程度,可以提高检测对象的总的威胁程度的全面性、准确性和计算效率。
在一种可选的实施方式中,威胁等级维度对应的判定条件是基于检测对象的威胁类型和攻击次数设置的,持续性维度对应的判定条件是基于检测对象的持续度、平均传播度和持续时间设置的,活跃性维度对应的判定条件是基于检测对象的活跃度设置的,重要性维度对应的判定条件是基于检测对象的重点资产覆盖度设置的,真实性维度对应的判定条件是基于检测对象的不一致度和不一致事件威胁指标数设置的,情报信誉维度对应的判定条件是基于检测对象的情报来源和情报信誉度设置的,异常维度对应的判定条件是基于检测对象的异常度设置的。
表1
参照表1,威胁等级维度下可以包括涉及全国范围的网络安全、危害公共安全和一般威胁三个威胁等级(作为三个维度指标),在其它示例中,根据实际需求,可以划分出其它威胁等级作为维度指标。针对不同的威胁等级可以设置不同的判定条件,例如针对涉及全国范围的网络安全这个威胁等级,可以设置判定条件为“威胁类型:[APT(AdvancedPersistent Threat,定向威胁攻击)],攻击次数:≥5”,即在检测对象(单个网络攻击事件或事件集合)的威胁类型为APT、且该检测对象的攻击次数大于或等于5次时,确定该检测对象的威胁等级为“涉及全国范围的网络安全”,综合评分为+80分;针对“危害公共安全”这个威胁等级,可以设置判定条件为“威胁类型:[远控、勒索、僵尸网络],攻击次数:≥5”,即在检测对象的威胁类型为远控、勒索和僵尸网络中的至少一个且该检测对象的攻击次数在大于或等于5次时,确定该检测对象的威胁等级为“危害公共安全”,综合评分为+40;针对“一般威胁”这个威胁等级,可以设置判定条件为“威胁类型:[特洛伊木马、计算机病毒、网络窃听、后门],攻击次数:≥5”,即在检测对象的威胁类型为特洛伊木马、计算机病毒、网络窃听和后门中的至少一个、且该检测对象的攻击次数大于或等于5次时,确定该检测对象的威胁等级为“一般威胁”。
在表1中,远控指远程控制;勒索指网络勒索,网络勒索是对企业造成攻击事实或攻击威胁,同时向企业提出金钱要求来避免或停止攻击的勒索行为,可以通过勒索软件实现;僵尸网络指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络;后门指后门攻击,具体指黑客利用电脑系统中存在的漏洞或特定的系统功能,将非法代码插入到目标系统中,以便其在未来能够利用漏洞或特定的指令进行控制。
表2
参照表2,在持续性维度下可以包括“持续强力传播”和“持续传播”两个维度指标,在其它示例中,根据实际需求,可以划分出其它维度指标。针对不同的维度指标可以设置不同的判定条件,例如针对“持续强力传播”这个维度指标,可以设置判定条件为“持续度:≥80%,平均传播度:≥100,持续时间:≥30”,即在检测对象(单个网络攻击事件或事件集合)的持续度大于或等于80%、平均传播度大于或等于100次/天、且持续时间大于或等于30天时,确定检测对象的维度指标为“持续强力传播”,综合评分为+10;针对“持续传播”这个维度指标,可以设置判定条件为“持续度:≥50%,平均传播度:≥10,持续时间:≥7”,即在检测对象(单个网络攻击事件或事件集合)的持续度大于或等于50%、平均传播度大于或等于10次/天、且持续时间大于或等于7天时,确定检测对象的维度指标为“持续传播”,综合评分为+5。
在表2中,持续时间为检测对象(单个网络攻击事件或事件集合)的总周期,时间单位可以是天,例如某个事件集合共聚合了100天的网络攻击事件,则该事件集合的持续时间为100天,某个事件聚合了10天的告警数据,则该事件的持续时间为10天。
在表2中,持续度可以通过如下方式计算:持续度=检测对象的攻击时间/检测对象的持续时间,可以转换为百分比。其中,检测对象的攻击时间可以以“天”为单位计算,若有50天都发生了攻击行为,则检测对象的攻击时间为50天。在一个示例中,以单个网络攻击事件为例,若该网络攻击事件的持续时间为100天,其中发生攻击行为的天数为50天,则该网络攻击事件的持续度为50%。
在表2中,平均传播度可以通过如下方式计算:平均传播度=检测对象对应的攻击次数/检测对象的持续时间。其中,检测对象为事件集合时,该事件集合对应的攻击次数可以由该事件集合中各网络攻击事件对应的攻击次数之和来表征,例如若一个事件集合中包括两个网络攻击事件,前者的攻击次数为50次,后者的攻击次数为100次,则该事件集合对应的攻击次数为150次,若该事件集合的持续时间为100天,则该事件集合的平均传播度为1.5次/天。
表3
参照表3,在活跃性维度下可以包括“非常活跃”、“一般活跃”和“不活跃”三个维度指标,在其它示例中,根据实际需求,可以划分出其它维度指标。针对不同的维度指标可以设置不同的判定条件,例如针对“非常活跃”这个维度指标,可以设置判定条件为“活跃度:≤1(单位为天,表示在24小时内活跃)”,即在检测对象(单个网络攻击事件或事件集合)的活跃度小于或等于1时,确定检测对象的维度指标为“非常活跃”,综合评分为+5;针对“一般活跃”这个维度指标,可以设置判定条件为“活跃度:≤7(单位为天,表示在一周内活跃)”,即在检测对象的活跃度小于或等于7时,确定检测对象的维度指标为“一般活跃”,综合评分为+3;针对“不活跃”这个维度指标,可设置判定条件为“活跃度:≥30(单位为天,表示一个月内不活跃)”,即在检测对象一个月内不活跃时,确定检测对象的维度指标为“不活跃,综合评分为-5。
在表3中,活跃度可以通过如下计算方式计算得出:最近一次网络攻击事件的结束时间到当前时间的时间差。计算结果可以转换为天,并可保留到小数点后2位。
表4
参照表4,在重要性维度下可以包括“攻击重点资产”和“包含重点资产”两个维度指标,在其它示例中,根据实际需求,可以划分出其它维度指标。针对不同的维度指标可以设置不同的判定条件,例如针对“攻击重点资产”这个维度指标,可以设置判定条件为“重点资产覆盖度:≥50%”,即在检测对象(事件集合)的重点资产覆盖度大于或等于50%时,确定检测对象的维度指标为攻击重点资产,综合评分为+5;针对“包含重点资产”这个维度指标,可以设置判定条件为“重点资产覆盖度:>0”,即在检测对象(事件集合)的重点资产覆盖度大于0时,确定检测对象的维度指标为包含重点资产,综合评分为+3。
在表4中,重点资产覆盖度表示检测对象所覆盖的资产中重点资产的百分比,“攻击重点资产”表示攻击者针对性地攻击重点资产,“包含重点资产”表示攻击者没有针对性地攻击重点资产,而是大范围的攻击,攻击范围中包含重点资产。在一个示例中,若一个事件集合中的网络攻击事件攻击了100个IP地址,其中10个IP地址属于重点资产,则该事件集合的重点资产覆盖度为10%。
表5
参照表5,在真实性维度下可以包括“高度真实事件”和“真实事件”两个维度指标,在其它示例中,根据实际需求,可以划分出其它维度指标。针对不同的维度指标可以设置不同的判定条件,例如针对“高度真实事件”这个维度指标,可以设置判定条件为“不一致度:≥80%,不一致事件IOC数:≥2”,即在检测对象(单个网络攻击事件)的不一致度大于或等于80%且不一致事件IOC数大于或等于2时,确定检测对象为“高度真实事件”,综合评分为+5;针对“真实事件”这个维度指标,可以设置判定条件为“不一致度:>0,不一致事件IOC数:>0”,即在检测对象的不一致度大于0且不一致事件IOC数大于0时,确定检测对象为“真实事件”,综合评分为+3。
在表5中,事件IOC数表示某个网络攻击事件的IOC数量,不一致事件IOC数表示某个网络攻击事件的IOC中与该网络攻击事件所关联的检测依据不一致的IOC的数量。不一致度可以通过如下方式计算:不一致度=不一致事件IOC数/事件IOC数。当某个网络攻击事件存在重复的IOC时,可进行IOC的去重处理,删除重复的IOC后再对IOC计数。
表6
参照表6,在情报信誉维度下可以包括“专家情报”和“精准情报”两个维度指标,在其它示例中,根据实际需求,可以划分出其它维度指标。针对不同的维度指标可以设置不同的判定条件,例如针对“专家情报”这个维度指标,可以设置判定条件为“情报来源:人工提取,情报信誉度:≥85”,即在检测对象(单个网络攻击事件或事件集合)对应的情报来源为人工提取且情报信誉度大于或等于85时,确定检测对象的维度指标为“专家情报”;针对“精准情报”这个维度指标,可以设置判定条件为“情报信誉度:≥80”,即在检测对象(单个网络攻击事件或事件集合)对应的情报信誉度大于或等于80时,检测对象的维度指标为“精准情报”。
在表6中,情报来源指威胁情报的来源,情报信誉度可以是从多个维度综合评估计算后的结果,多个维度包括情报的可靠性、客观性、一致性、专业性等。
表7
参照表7,在异常维度下可以包括“高度异常”和“一般异常”两个维度指标,在其它示例中,根据实际需求,可以划分出其它维度指标。针对不同的维度指标可以设置不同的判定条件,例如针对“高度异常”这个维度指标,可以设置判定条件为“异常度:≥80%”,即在检测对象(事件集合)的异常度大于或等于80%时,确定检测对象的维度指标为“高度异常”,综合评分为+5,;针对“一般异常”这个维度指标,可以设置判定条件为“异常度:≥10%”,即在检测对象(事件集合)的异常度大于或等于10%时,确定检测对象的维度指标为“一般异常”。
在表7中,异常度可以通过如下方式计算:异常度=(NUM1+NUM2)/NUM总。
其中,NUM1为事件集合中发生时间异常的网络攻击事件的数量,NUM2事件集合中发生位置异常的网络攻击事件的数量,NUM总为事件集合中网络攻击事件的总数量。时间异常的判断方式可以是,若某次攻击的时间发生在指定时间段,则认为发生了时间异常,指定时间段可以根据实际情况设置,例如可以设置为北京时间晚20点至早7点,这个时间段通常为非工作时间段,在这个时间段内出现攻击可认为发生了时间异常。位置异常的判断方式可以是,若某次攻击的攻击源在攻击目标所处区域之外的指定区域,则认为发生了位置异常,例如若攻击目标所处的区域为国家C,攻击源在国家C之外的其它国家的区域,则认为发生了位置异常,若攻击目标所处区域为地区D,攻击源在地区D之外的另一部分地区,也可以认为发生了位置异常,攻击目标所处区域和攻击目标所处区域之外的指定区域的划分方式可根据实际情况确定。
表1至表7中的综合评分即可作为子推送结果,在表1至表7的示例中,第一事件推送结果可以包括威胁等级维度、持续性维度、活跃性维度、真实性维度和情报信誉维度下得到的综合评分的直接求和结果或加权求和结果,还可以包括事件相关的检测维度下判定出的维度指标的信息。第一集合推送结果可以包括威胁等级维度、持续性维度、活跃性维度、情报信誉维度、重要性维度和异常维度下得到的综合评分的直接求和结果或加权求和结果,还可以包括事件集合相关的检测维度下判定出的维度指标的信息。
上述表1至表7中的各项判定条件阈值,例如80%、50%等阈值,以及每个维度指标所对应的综合评分,可以根据经验值设置,也可以通过机器学习算法,基于历史的网络攻击事件的事件信息进行训练得出,训练过程中可以不断优化各项阈值和综合评分,提供较优的安全策略以及流程规范,可以为网络安全防护提供有效的技术支持。
在一种可选的实施方式中,如图2所示,在上述步骤S104中,对于每个网络攻击事件,根据该网络攻击事件的第一事件推送结果和该网络攻击事件所属的m个事件集合的第一集合推送结果,确定该网络攻击事件的第二事件推送结果,可以包括以下步骤S201-S204:
S201,获取集合推送列表T=(T1,T2,…,Tj,…,Tm)。
其中,集合推送列表Tj=(Tj,1, Tj,2,…,Tj,x,…,Tj,h(j)),j=1,2,…,m,Tj为第j个聚合视角对应的集合推送列表,x=1,2,…,h(j),Tj,x表示第j个聚合视角对应的集合推送列表中的第x个第一集合推送结果,也是第j个聚合视角对应的第x个事件集合的第一集合推送结果。
S202,根据集合推送列表T获取第i个网络攻击事件对应的第一系数列表Ci=(Ci,1,…,Ci,j,…,Ci,m)。
例如,可以根据集合推送列表Tj获取第i个网络攻击事件在第j个聚合视角下对应的第一系数Ci,j。
其中,Ci,j为第i个网络攻击事件在第j个聚合视角对应的第一系数,Ci,j=Tj,G(i)/MAX(Tj),Tj,G(i)为集合推送列表Tj中的第G(i)个第一集合推送结果,也是第j个聚合视角对应的各事件集合中包含第i个网络攻击事件的事件集合的第一集合推送结果,MAX()为预设的最大值确定函数,MAX(Tj)表示在第j个聚合视角对应的集合推送列表Tj中确定数值最大的第一集合推送结果;
S203,在第一系数列表Ci中选取k个第一系数作为第二系数,形成第二系数列表CKi=(CKi,1,…,CKi,y,…,CKi,k)。
其中,k小于或等于m,y=1,2,…,k,CKi,y为选取出的第k个第二系数。
S204,获取第i个网络攻击事件的第二事件推送结果。
其中,Fi为第i个网络攻击事件的第一事件推送结果,MFi为第i个网络攻击事件的第二事件推送结果。
由于同一聚合视角对应的任意两个事件集合之间不存在重复的网络攻击事件,且同一聚合视角对应的各事件集合所包含的网络攻击事件的数量之和为n,对于某个网络攻击事件 ,在经历了基于m个聚合视角的聚合后,在每个聚合视角下的多个事件集合中,必然有一个事件集合中包含该网络攻击事件,从而网络攻击事件可分布于m个聚合视角对应的m个事件集合中。
参照上述步骤S103,每个网络攻击事件的事件信息经推送模型处理后会得到一个第一事件推送结果,每个事件集合的事件信息经推送模型处理后会得到一个第一集合推送结果,从而一个网络攻击事件的事件信息经推送模型处理后会得到一个第一事件推送结果和m个第一集合推送结果,对于某个网络攻击事件,可以通过上述步骤S201-S204,在综合考虑单个网络攻击事件的推送结果(即第一事件推送结果)和网络攻击事件所属的事件集合的推送结果(即第一集合推送结果)的基础上,对单个网络攻击事件做更全面和准确的检测,得到该网络攻击事件的第二事件推送结果。
下面以j=1为例介绍上述第一系数Ci,j的计算方式,当j=1时,Ci,1为第i个网络攻击事件在第一个聚合视角下对应的第一系数,若第一个聚合视角下存在4个事件集合,对应的4个第一集合推送结果分别为30分、40分、50分、10分,且第i个网络攻击事件在第一个聚合视角下所属的事件集合为第一个事件集合,则其对应的第一集合推送结果为Tj,1=30,Max(Tj)=50,Ci,1=30/50=0.6。基于第i个网络攻击事件对应的m个第一集合推送结果可以确定第i个网络攻击事件对应的m个第一系数,进而基于m个第一系数可以对第一事件推送结果进行调整,得到调整后的第二事件推送结果。
在一种可选的实施方式中,在第i个网络攻击事件对应的m个第一集合推送结果数值均较大的情况下,表达式(2)中的k可以等于m,即m个第一系数均参与计算。
在另一种可选的实施方式中,在上述步骤S203中,在第一系数列表Ci中选取k个第一系数作为第二系数,形成第二系数列表CKi=(CKi,1,…,CKi,y,…,CKi,k),可以包括:根据预设的系数阈值Y遍历Ci,若Ci,j≥Y,则将该Ci,j确定为第二系数,以得到第二系数列表CKi=(CKi,1,…,CKi,y,…,CKi,k)。其中,系数阈值Y可根据实际需求设置。在第i个网络攻击事件对应的m个第一系数存在数值较小的第一系数时,通过该种方式可以过滤掉部分数值较小的第一系数,以减少数值较小的第一系数对第一事件推送结果的影响,保留数值较大(优先级更高)的第二系数对第一事件推送结果的影响,在不影响对网络攻击事件进行威胁程度评估的全面性和准确性的情况下,该种方式有助于减少计算量,提高计算效率。
在一种可选的实施方式中,在上述步骤S105中,输出n个网络攻击事件中的至少部分网络攻击事件的事件信息和至少部分网络攻击事件的第二事件推送结果,可以包括:对n个网络攻击事件的第二事件推送结果从大到小进行排序; 输出排序靠前的指定数量个网络攻击事件的事件信息和该指定数量的网络攻击事件的第二事件推送结果。其中,指定数量可以根据实际需求设置。网络攻击事件的第二事件推送结果可以表征网络攻击事件的威胁程度,数值越大,表示威胁程度越高,上述排序输出的方式可以优先向安全分析人员推送大量网络攻击事件中威胁程度较高的网络攻击事件,使安全分析人员可以及时发现关键威胁并进行快速处置。例如若n为10000、指定数量为2000,获取到10000个网络攻击事件的事件信息,最终可以仅输出排序靠前的2000个网络攻击事件的事件信息和该2000个网络攻击事件的第二事件推送结果。
在一种可选的实施方式中,在上述步骤S105中,输出n个网络攻击事件中的至少部分网络攻击事件的事件信息,可以包括:对于每个事件集合,将该事件集合中的各网络攻击事件的第二事件推送结果进行累加,得到该事件集合的第二集合推送结果;在每个聚合视角下的多个事件集合中,确定出第二集合推送结果最大的一个事件集合作为该聚合视角下的目标事件集合;在m个聚合视角对应的m个目标事件集合中存在重复的网络攻击事件的情况下,对m个目标事件集合进行去重处理,输出去重处理后的目标事件集合中所有网络攻击事件的事件信息。基于该种方式,可以根据第二集合推送结果的大小关系筛选需要输出推送的网络攻击事件,既可以输出威胁程度较高的网络攻击事件,也有利于安全分析人员对某一事件集合中的网络攻击事件进行集中处理。
在第i个网络攻击事件的事件信息同时存在于p个目标事件集合中的情况下,p为小于或等于m的正整数,可以通过以下任意一种方式实现去重处理:方式一,保留p个目标事件集合中任意一个目标事件集合中的第i个网络攻击事件的事件信息,删除其它目标事件集合中的该网络攻击事件的事件信息;方式二,将p个目标事件集合按照第二集合推送结果从大到小的顺序进行遍历,在遍历到第pi个目标事件集合时,删除该第pi个目标事件集合中的第i个网络攻击事件的事件信息,pi为大于1的整数,也即在方式二中,仅保留第二集合推送结果最大的一个目标事件集合中的重复事件,删除其它目标事件集合中的重复事件。在同一网络攻击事件在某个聚合视角下威胁程度较高,方式二可以在该聚合视角下保留该网络攻击事件,以充分考虑该网络攻击事件的威胁情况。
在另一种可选的实施方式中,在确定各聚合视角下的目标事件集合时,第二集合推送结果也可以用第一集合推送结果代替。
基于上述内容,本申请实施例提供的技术方案可以采用多种技术手段相结合的方式,建立起完整的网络攻击事件分析体系,多种技术手段包括情报分析技术、模型分析技术、数据挖掘技术等。
尽管在附图中以特定顺序描述了本申请中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
基于同一技术构思,本申请实施例还提供了一种电子设备,该设备包括:存储器和处理器。存储器中存储有程序代码,该程序代码由处理器加载并执行,以实现本申请实施例提供的任意一种网络攻击事件的推送方法。存储器和处理器的数据可以为一个或多个。
上述存储器可以包括非易失性存储器和易失性存储器中的至少一种。非易失性存储器可以包括以下至少一种:只读存储器(Read-Only Memory,ROM)、可编程只读存储器(ProgrammableROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、电可擦除可编程只读存储器(ElectricallyEPROM,EEPROM)、闪存等。易失性存储器可以包括随机存取存储器(Random Access Memory,RAM),其用作外部高速缓存,通过示例性但不是限制性说明,许多形式的RAM可用,例如,静态随机存取存储器(Static RAM,SRAM)、动态随机存取存储器(Dynamic Random Access Memory,DRAM)、同步动态随机存取存储器(SynchronousDRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(DoubleData Date SDRAM,DDRSDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(Sync Link DRAM,SLDRAM)、直接内存总线随机存取存储器(DirectRambus RAM,DR RAM)等。
上述存储器还可以包括具有一组(至少一个)程序模块的程序/实用工具,这样的程序模块包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。上述存储器也可以称为存储介质或者存储设备,本申请实施例对此不做限制。
上述处理器可以是中央处理器(Central Processing Unit,CPU),还可以是其它通用处理器、数字信号处理器(Digital Signal Processing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(FieldProgrammable Gate Array,FPGA)或者其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者是任何常规的处理器等。值得说明的是,上述处理器可以是支持进阶精简指令集机器(Advanced RISC Machines,ARM)架构的处理器。
可选的,如果存储器和处理器独立实现,则存储器和处理器可以通过总线相互连接并完成相互间的通信。该总线可以是工业标准体系结构(Industry StandardArchitecture,ISA)总线、外部设备互连(Peripheral Component Interconnect ,PCI)总线或扩展工业标准体系结构(ExtendedIndustry Standard Architecture ,EISA)总线等。总线可以为表示几类总线结构中的一种或多种,包括储存器总线或者储存器控制器、外围总线、图形加速端口、处理器或者使用多种总线结构中的任意总线结构的局域总线。
可选的,在具体实现上,如果存储器和处理器集成在一块芯片上,则存储器和处理器可以通过内部接口完成相互间的通信。
上述电子设备可以与一个或多个外部设备(例如键盘、指向设备、蓝牙设备等)通信,还可以与一个或者多个使得用户能与该电子设备交互的设备通信,和/或与使得该电子设备能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(Input/Output ,I/O)接口进行。并且,上述电子设备还可以通过网络适配器与一个或者多个网络通信,例如局域网(Local Area Network ,LAN)、广域网(WideArea Network ,WAN)、公共网络(例如因特网)等,网络适配器通过总线与电子设备的其它模块通信。应当理解的是,可以结合电子设备使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、磁盘阵列(RedundantArrays of Independent Disks,RAID)系统、磁带驱动器以及数据备份存储系统等。
根据本申请的这种实施方式的电子设备,电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
基于同一技术构思,本申请实施例还提供了一种计算机可读存储介质,其存储有程序代码,该程序代码被处理器执行时实现本申请实施例提供的任意一种网络攻击事件的推送方法。
在本申请的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本申请的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当该程序代码在终端设备上运行时,该程序代码用于使终端设备执行本说明书上述“示例性方法”部分中描述的根据本申请各种示例性实施方式的步骤。
上述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。
可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、紧凑型光盘只读存储器(Compact Disc Read-Only Memory ,CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本申请实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本申请实施方式的方法。
所属技术领域的技术人员能够理解,本申请的各个方面可以实现为系统、方法或程序产品。因此,本申请的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种网络攻击事件的推送方法,其特征在于,包括:
获取n个网络攻击事件的事件信息;
分别根据m个聚合视角对所述n个网络攻击事件的事件信息进行聚合处理,得到每一聚合视角对应的多个事件集合;同一聚合视角对应的任意两个事件集合之间不存在重复的网络攻击事件,且同一聚合视角对应的各事件集合所包含的网络攻击事件的数量之和为n;
利用预设的推送模型对每个网络攻击事件的事件信息和每个事件集合进行处理,得到每个网络攻击事件的第一事件推送结果和每个事件集合的第一集合推送结果;
对于每个网络攻击事件,根据该网络攻击事件的第一事件推送结果和该网络攻击事件所属的m个事件集合的第一集合推送结果,确定该网络攻击事件的第二事件推送结果;
输出所述n个网络攻击事件中至少部分网络攻击事件的事件信息和所述至少部分网络攻击事件的第二事件推送结果;所述第二事件推送结果用于表征所述网络攻击事件的威胁程度。
2.根据权利要求1所述的网络攻击事件的推送方法,其特征在于,对于每个网络攻击事件,根据该网络攻击事件的第一事件推送结果和该网络攻击事件所属的m个事件集合的第一集合推送结果,确定该网络攻击事件的第二事件推送结果,包括:
获取集合推送列表T=(T1,T2,…,Tj,…,Tm);其中,Tj=(Tj,1, Tj,2,… ,Tj,x,…,Tj,h(j)),j=1,2, …,m,Tj为第j个聚合视角对应的集合推送列表,x=1,2, …,h(j),Tj,x表示第j个聚合视角对应的第x个事件集合的第一集合推送结果;
根据所述集合推送列表T获取第i个网络攻击事件对应的第一系数列表Ci=(Ci,1,…,Ci,j,…,Ci,m);其中,Ci,j为第i个网络攻击事件在第j个聚合视角对应的第一系数,Ci,j=Tj,G(i)/MAX(Tj),Tj,G(i)表示第j个聚合视角对应的各事件集合中包含第i个网络攻击事件的事件集合的第一集合推送结果,MAX()为预设的最大值确定函数,MAX(Tj)表示在第j个聚合视角对应的集合推送列表Tj中确定数值最大的第一集合推送结果;
在所述第一系数列表Ci中选取k个第一系数作为第二系数,形成第二系数列表CKi=(CKi,1,…,CKi,y,…,CKi,k);其中,k小于或等于m,y=1,2,…,k;CKi,y为选取出的第k个第二系数;
获取第i个网络攻击事件的第二事件推送结果;其中,Fi为第i个网络攻击事件的第一事件推送结果,MFi为第i个网络攻击事件的第二事件推送结果。
3.根据权利要求2所述的网络攻击事件的推送方法,其特征在于,所述在所述第一系数列表Ci中选取k个第一系数作为第二系数,形成第二系数列表CKi=(CKi,1,…,CKi,y,…,CKi,k),包括:
根据预设的系数阈值Y遍历Ci,若Ci,j≥Y,则将Ci,j确定为第二系数,以得到第二系数列表CKi=(CKi,1,...,CKi,y,...,CKi,k)。
4.根据权利要求1-3中任一项所述的网络攻击事件的推送方法,其特征在于,输出所述n个网络攻击事件中的至少部分网络攻击事件的事件信息和所述至少部分网络攻击事件的第二事件推送结果,包括:
对所述n个网络攻击事件的第二事件推送结果从大到小进行排序;
输出排序靠前的指定数量个网络攻击事件的事件信息和该指定数量个网络攻击事件的第二事件推送结果。
5.根据权利要求1-3中任一项所述的网络攻击事件的推送方法,其特征在于,输出所述n个网络攻击事件中的至少部分网络攻击事件的事件信息和所述至少部分网络攻击事件的第二事件推送结果,包括:
对于每个事件集合,将该事件集合中的各网络攻击事件的第二事件推送结果进行累加,得到该事件集合的第二集合推送结果;
在每个聚合视角下的多个事件集合中,确定出第二集合推送结果最大的一个事件集合作为该聚合视角下的目标事件集合;
在m个聚合视角对应的m个目标事件集合中存在重复的网络攻击事件的情况下,对m个目标事件集合进行去重处理,输出去重处理后的目标事件集合中所有网络攻击事件的事件信息和对应的第二事件推送结果。
6.根据权利要求1-3中任一项所述的网络攻击事件的推送方法,其特征在于,所述推送模型基于检测维度构建,所述检测维度包括:威胁等级维度、持续性维度、活跃性维度、重要性维度、真实性维度、情报信誉维度和异常维度;
所述第一事件推送结果基于威胁等级维度、持续性维度、活跃性维度、真实性维度和情报信誉维度得出,所述第一集合推送结果基于威胁等级维度、持续性维度、活跃性维度、情报信誉维度、重要性维度和异常维度得出。
7.根据权利要求6所述的网络攻击事件的推送方法,其特征在于,每个检测维度下对应设置有多个维度指标、多个判定条件和多个子推送结果;
每个维度指标分别与一个判定条件、一个子推送结果相关联;
利用预设的推送模型对每个网络攻击事件的事件信息和每个事件集合进行处理,得到每个网络攻击事件的第一事件推送结果和每个事件集合的第一集合推送结果,包括:
对于每个检测对象,根据多个检测维度对应的判定条件,判定该检测对象在各检测维度下对应的维度指标;
根据维度指标和子推送结果的关联关系,确定该检测对象在各检测维度下对应的维度指标所关联的子推送结果,作为该检测对象在各检测维度下的目标子推送结果;
根据该检测对象在各检测维度下的目标子推送结果确定该检测对象的总推送结果;在该检测对象为网络攻击事件的事件信息时,所述总推送结果为第一事件推送结果,在该检测对象为事件集合时,所述总推送结果为第一集合推送结果。
8.根据权利要求7所述的网络攻击事件的推送方法,其特征在于,所述威胁等级维度对应的判定条件是基于检测对象的威胁类型和攻击次数设置的;
所述持续性维度对应的判定条件是基于所述检测对象的持续度、平均传播度和持续时间设置的;
所述活跃性维度对应的判定条件是基于所述检测对象的活跃度设置的;
所述重要性维度对应的判定条件是基于所述检测对象的重点资产覆盖度设置的;
所述真实性维度对应的判定条件是基于所述检测对象的不一致度和不一致事件威胁指标数设置的;
所述情报信誉维度对应的判定条件是基于所述检测对象的情报来源和情报信誉度设置的;
所述异常维度对应的判定条件是基于所述检测对象的异常度设置的。
9.一种电子设备,其特征在于,包括:存储器和处理器,所述存储器中存储有程序代码,所述程序代码由所述处理器加载并执行,以实现如权利要求1-8中任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,存储有程序代码,所述程序代码被处理器执行时实现如权利要求1-8中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311103659.5A CN116827697B (zh) | 2023-08-30 | 2023-08-30 | 网络攻击事件的推送方法、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311103659.5A CN116827697B (zh) | 2023-08-30 | 2023-08-30 | 网络攻击事件的推送方法、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116827697A CN116827697A (zh) | 2023-09-29 |
CN116827697B true CN116827697B (zh) | 2023-11-03 |
Family
ID=88117024
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311103659.5A Active CN116827697B (zh) | 2023-08-30 | 2023-08-30 | 网络攻击事件的推送方法、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116827697B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116938600B (zh) * | 2023-09-14 | 2023-11-24 | 北京安天网络安全技术有限公司 | 威胁事件的分析方法、电子设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112583847A (zh) * | 2020-12-25 | 2021-03-30 | 南京联成科技发展股份有限公司 | 一种面向中小企业网络安全事件复杂分析的方法 |
CN112738016A (zh) * | 2020-11-16 | 2021-04-30 | 中国南方电网有限责任公司 | 一种面向威胁场景的智能化安全事件关联分析系统 |
CN114095270A (zh) * | 2021-11-29 | 2022-02-25 | 北京天融信网络安全技术有限公司 | 一种网络攻击预测方法及装置 |
CN115987615A (zh) * | 2022-12-19 | 2023-04-18 | 深圳市星火电子工程公司 | 一种网络行为安全预警方法及系统 |
CN116389297A (zh) * | 2023-03-22 | 2023-07-04 | 中国电子科技集团公司第五十四研究所 | 一种网络安全事件处置与评估系统 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7930256B2 (en) * | 2006-05-23 | 2011-04-19 | Charles River Analytics, Inc. | Security system for and method of detecting and responding to cyber attacks on large network systems |
CN108259449B (zh) * | 2017-03-27 | 2020-03-06 | 新华三技术有限公司 | 一种防御apt攻击的方法和系统 |
US11190538B2 (en) * | 2018-01-18 | 2021-11-30 | Risksense, Inc. | Complex application attack quantification, testing, detection and prevention |
-
2023
- 2023-08-30 CN CN202311103659.5A patent/CN116827697B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112738016A (zh) * | 2020-11-16 | 2021-04-30 | 中国南方电网有限责任公司 | 一种面向威胁场景的智能化安全事件关联分析系统 |
CN112583847A (zh) * | 2020-12-25 | 2021-03-30 | 南京联成科技发展股份有限公司 | 一种面向中小企业网络安全事件复杂分析的方法 |
CN114095270A (zh) * | 2021-11-29 | 2022-02-25 | 北京天融信网络安全技术有限公司 | 一种网络攻击预测方法及装置 |
CN115987615A (zh) * | 2022-12-19 | 2023-04-18 | 深圳市星火电子工程公司 | 一种网络行为安全预警方法及系统 |
CN116389297A (zh) * | 2023-03-22 | 2023-07-04 | 中国电子科技集团公司第五十四研究所 | 一种网络安全事件处置与评估系统 |
Also Published As
Publication number | Publication date |
---|---|
CN116827697A (zh) | 2023-09-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11750659B2 (en) | Cybersecurity profiling and rating using active and passive external reconnaissance | |
US20220210200A1 (en) | Ai-driven defensive cybersecurity strategy analysis and recommendation system | |
US20220014560A1 (en) | Correlating network event anomalies using active and passive external reconnaissance to identify attack information | |
US20220224723A1 (en) | Ai-driven defensive cybersecurity strategy analysis and recommendation system | |
US10805321B2 (en) | System and method for evaluating network threats and usage | |
EP3343867B1 (en) | Methods and apparatus for processing threat metrics to determine a risk of loss due to the compromise of an organization asset | |
CN111859400B (zh) | 风险评估方法、装置、计算机系统和介质 | |
US10691796B1 (en) | Prioritizing security risks for a computer system based on historical events collected from the computer system environment | |
US12058177B2 (en) | Cybersecurity risk analysis and anomaly detection using active and passive external reconnaissance | |
US8191149B2 (en) | System and method for predicting cyber threat | |
US11050777B2 (en) | Method and system for remediating cybersecurity vulnerabilities based on utilization | |
US20200195672A1 (en) | Analyzing user behavior patterns to detect compromised nodes in an enterprise network | |
CN116827697B (zh) | 网络攻击事件的推送方法、电子设备及存储介质 | |
CN110868403B (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
CN116938600B (zh) | 威胁事件的分析方法、电子设备及存储介质 | |
US20240070267A1 (en) | Detecting malicious behavior in a network using security analytics by analyzing process interaction ratios | |
CN112784281A (zh) | 一种工业互联网的安全评估方法、装置、设备及存储介质 | |
CN111104670B (zh) | 一种apt攻击的识别和防护方法 | |
CN113596044A (zh) | 一种网络防护方法、装置、电子设备及存储介质 | |
CN108351940B (zh) | 用于信息安全事件的高频启发式数据获取与分析的系统和方法 | |
CN113037689A (zh) | 基于日志的病毒发现方法、装置、计算设备及存储介质 | |
CN112839029B (zh) | 一种僵尸网络活跃度的分析方法与系统 | |
JP6857627B2 (ja) | ホワイトリスト管理システム | |
US20240195841A1 (en) | System and method for manipulation of secure data | |
WO2021154460A1 (en) | Cybersecurity profiling and rating using active and passive external reconnaissance |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |