CN117375985A - 安全风险指数的确定方法及装置、存储介质、电子装置 - Google Patents
安全风险指数的确定方法及装置、存储介质、电子装置 Download PDFInfo
- Publication number
- CN117375985A CN117375985A CN202311476904.7A CN202311476904A CN117375985A CN 117375985 A CN117375985 A CN 117375985A CN 202311476904 A CN202311476904 A CN 202311476904A CN 117375985 A CN117375985 A CN 117375985A
- Authority
- CN
- China
- Prior art keywords
- security
- determining
- information
- log
- threat
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请公开了一种安全风险指数的确定方法及装置、存储介质、电子装置,其中,上述方法包括:对安全设备的原始日志进行处理操作,以获取目标日志;基于网络威胁模型建立关联规则,并按照所述关联规则对所述目标日志进行关联分析,以获取所述目标日志对应的安全事件信息,其中,所述网络威胁模型用于描述威胁网络安全的多种安全事件;根据所述安全事件信息确定所述安全设备的相关资产的安全风险指数。解决了相关技术中,网络安全事件评估机制中的评估手段单一,仅能考虑单一状态下的评估要素,不能反映网络系统的实时风险态势等问题。
Description
技术领域
本申请涉及网络安全领域,具体而言,涉及一种安全风险指数的确定方法及装置、存储介质、电子装置。
背景技术
近年来各种网络的攻击事件频繁发生,攻击所造成的损失也越来越严重,需首先考虑的问题就是涉及其中的风险因素。网络安全风险评估是对特定网络系统目前的安全状况,以及该系统所拥有的信息资产的价值给予定性或定量的评估。它是网络系统安全风险控制的前提和基础。风险评估方法的合理性、准确性直接影响着需求分析结果和安全策略的准确性。没有网络安全风险评估过程,或者没有恰当的风险评估方法,就不可能实现网络安全风险控制的最优化。因此,随着网络信息化进程的发展,网络安全风险评估作为技术应用基础研究课题,在信息安全领域的前列有着越来越重要的意义。
但相关技术中,网络安全风险评估仍然存在如下问题:
1)在大规模网络中,各类设备(系统)产生的安全告警格式不同,风险等级划分标准各异,缺乏海量告警信息的自动、综合的分析手段,无法快速抽取、定位、汇总重要的告警。2)评估手段单一,不能准确地将系统资产的风险状况定量化,不能实时地全面监控网络安全态势。3)以单点防御为主,彼此之间缺乏有效的协作,从而形成了一个个的安全“孤岛”。由于缺乏有效的手段来管理、融合这些异构告警数据,导致其海量、零散的信息无法给决策层面提供支持。4)对每个安全要素风险事件发生的危害程度分析不足,无法准确地反映当前资产的风险态势。
针对相关技术中,网络安全事件评估机制中的评估手段单一,仅能考虑单一状态下的评估要素,不能反映网络系统的实时风险态势等问题,尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种安全风险指数的确定方法及装置、存储介质、电子装置,以至少解决相关技术中,网络安全事件评估机制中的评估手段单一,仅能考虑单一状态下的评估要素,不能反映网络系统的实时风险态势等问题。
根据本申请实施例的一个方面,提供了一种安全风险指数的确定方法,包括:对安全设备的原始日志进行处理操作,以获取目标日志;基于网络威胁模型建立关联规则,并按照所述关联规则对所述目标日志进行关联分析,以获取所述目标日志对应的安全事件信息,其中,所述网络威胁模型用于描述威胁网络安全的多种安全事件;根据所述安全事件信息确定所述安全设备的相关资产的安全风险指数。
在一个示例性实施例中,对安全设备的原始日志进行处理操作,包括:对所述原始日志进行清洗操作,以获取清洗后的日志;按照预设报文格式对所述清洗后的日志进行转换,以获取转换后的日志提取所述转换后的日志的目标字段,其中,所述目标字段至少包括以下之一:攻击类型名称字段、源地址字段、目标地址字段、归属的安全产品的索引信息;按照预设映射关系归并所述转换后的日志,以获取所述目标日志,其中,所述预设映射关系用于指示所述攻击类型名称字段与归一化攻击类型名称的对应关系。
在一个示例性实施例中,基于网络威胁模型建立关联规则,包括:基于所述网络威胁模型确定网络威胁攻击链中包括的多个阶段,以及所述多个阶段分别对应的安全事件;确定所述多个阶段分别对应的场景,其中,所述场景至少包括以下之一:探测扫描场景、网络入侵场景、暴力破解场景、账号异常场景;基于所述场景和所述安全事件建立所述关联规则。
在一个示例性实施例中,按照所述关联规则对所述目标日志进行关联分析,包括:在预设时间间隔内,通过所述关联规则提取所述目标日志中具有相同源地址的提取日志,并确定所述提取日志对应的攻击类型;根据所述关联规则和所述攻击类型确定所述提取日志触发的安全事件;确定所述触发的安全事件被所述提取日志所触发的次数;在所述次数超过预设阈值的情况下,将所述提取日志和所述触发的安全事件确定为所述安全事件信息。
在一个示例性实施例中,确定所述触发的安全事件被所述提取日志所触发的次数之后,所述方法还包括:在所述次数未超过预设阈值的情况下,根据所述提取日志中包括的源地址字段搜索威胁情报库,以确定所述威胁情报库中是否存在所述提取日志,其中,所述威胁情报库记载有威胁网络安全的多种地址字段,以及所述多种地址字段分别对应的威胁信息;在所述威胁情报库中存在所述提取日志的情况下,获取所述威胁情报库中所述提取日志对应的威胁信息,其中,所述威胁信息包括:威胁可信度、威胁级别、威胁类型;将所述提取日志对应的威胁信息和所述提取日志确定为所述安全事件信息。
在一个示例性实施例中,根据所述安全事件信息确定所述安全设备的相关资产的安全风险指数,包括:确定安全风险指数对应的评估指标,并根据预设算法确定所述评估指标对应的指标权重,其中,所述评估指标包括:威胁性评估指标、脆弱性评估指标、资产评估指标;确定所述评估指标分别对应的评估信息;根据所述评估信息和所述指标权重计算所述安全事件信息对应的安全风险;将预设时间窗口内的所有所述安全事件信息对应的所有安全风险的累计值确定为所述安全风险指数。
在一个示例性实施例中,确定所述评估指标分别对应的评估信息,包括:确定所述安全事件信息包括的索引信息,其中,所述索引信息是所述安全设备的索引信息;根据所述索引信息从网络安全数据库中包括的资产库中确定资产信息,以及根据所述索引信息从所述网络安全数据库中包括的漏洞库中确定漏洞信息;将所述安全事件信息确定为所述威胁性评估指标对应的评估信息,将所述漏洞信息确定为所述脆弱性评估指标对应的评估信息,以及将所述资产信息确定为所述资产评估指标对应的评估信息。
根据本申请实施例的另一个方面,还提供了一种安全风险指数的确定装置,包括:处理模块,用于对安全设备的原始日志进行处理操作,以获取目标日志;分析模块,用于基于网络威胁模型建立关联规则,并按照所述关联规则对所述目标日志进行关联分析,以获取所述目标日志对应的安全事件信息,其中,所述网络威胁模型用于描述威胁网络安全的多种安全事件;确定模块,用于根据所述安全事件信息确定所述安全设备的相关资产的安全风险指数。
根据本申请实施例的另一方面,还提供了一种计算机可读的存储介质,其特征在于,所述计算机可读的存储介质包括存储的程序,其中,所述程序运行时运行上述安全风险指数的确定方法。
根据本申请实施例的又一方面,还提供了一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器通过所述计算机程序运行上述安全风险指数的确定方法。
在本申请实施例中,对安全设备的原始日志进行处理操作,以获取目标日志;基于网络威胁模型建立关联规则,并按照所述关联规则对所述目标日志进行关联分析,以获取所述目标日志对应的安全事件信息,其中,所述网络威胁模型用于描述威胁网络安全的多种安全事件;根据所述安全事件信息确定所述安全设备的相关资产的安全风险指数。解决了相关技术中,网络安全事件评估机制中的评估手段单一,仅能考虑单一状态下的评估要素,不能反映网络系统的实时风险态势等问题。通过关联规则对目标日志进行分析,丰富了对网络安全事件的评估机制,进而可以更准确的、定量化的反应网络系统的实时风险态势。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的一种安全风险指数的确定方法的计算机终端的硬件结构框图;
图2是根据本申请实施例的一种安全风险指数的确定方法的流程图;
图3是根据本申请实施例的一种安全风险指数的确定方法的系统架构示意图;
图4是根据本申请实施例的一种安全风险指数的确定方法的另一种流程图;
图5是根据本申请实施例的一种安全风险指数的确定装置的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本申请实施例所提供的方法实施例可以在计算机终端中运行。以运行在计算机终端上为例,图1是根据本申请实施例的一种安全风险指数的确定方法的计算机终端的硬件结构框图。如图1所示,计算机终端可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理系统)和用于存储数据的存储器104,在一个示例性实施例中,上述计算机终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述计算机终端的结构造成限定。例如,摄像设备还可包括比图1中所示更多或者更少的组件,或者具有与图1所示等同功能或比图1所示功能更多的不同的配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本申请实施例中的安全风险指数的确定方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而运行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储系统、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至安全文本。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输设备106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括摄像设备的通信供应商提供的无线网络。在一个实例中,传输系统106包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。
在本实施例中提供了一种安全风险指数的确定方法,包括但不限于应用于上述计算机终端,图2是根据本申请实施例的一种安全风险指数的确定方法的流程图,该流程包括如下步骤:
步骤S202,对安全设备的原始日志进行处理操作,以获取目标日志;
步骤S204,基于网络威胁模型建立关联规则,并按照所述关联规则对所述目标日志进行关联分析,以获取所述目标日志对应的安全事件信息,其中,所述网络威胁模型用于描述威胁网络安全的多种安全事件;
步骤S206,根据所述安全事件信息确定所述安全设备的相关资产的安全风险指数。
通过上述步骤,对安全设备的原始日志进行处理操作,以获取目标日志;基于网络威胁模型建立关联规则,并按照所述关联规则对所述目标日志进行关联分析,以获取所述目标日志对应的安全事件信息,其中,所述网络威胁模型用于描述威胁网络安全的多种安全事件;根据所述安全事件信息确定所述安全设备的相关资产的安全风险指数。解决了相关技术中,网络安全事件评估机制中的评估手段单一,仅能考虑单一状态下的评估要素,不能反映网络系统的实时风险态势等问题。通过关联规则对目标日志进行分析,丰富了对网络安全事件的评估机制,进而可以更准确的、定量化的反应网络系统的实时风险态势。
在一个示例性实施例中,对安全设备的原始日志进行处理操作,包括:对所述原始日志进行清洗操作,以获取清洗后的日志;按照预设报文格式对所述清洗后的日志进行转换,以获取转换后的日志提取所述转换后的日志的目标字段,其中,所述目标字段至少包括以下之一:攻击类型名称字段、源地址字段、目标地址字段、归属的安全产品的索引信息;按照预设映射关系归并所述转换后的日志,以获取所述目标日志,其中,所述预设映射关系用于指示所述攻击类型名称字段与归一化攻击类型名称的对应关系。
需要说明的是,不同安全设备输出的原始日志是不同的,比如同一种攻击类型在不同产品的原始日志中会被记录为不同的名字;同一个源地址IP,不同安全产品的原始日志中对应不同的字段名称,因此,需要对安全产品输出的原始日志进行处理操作之后,才可以获取确定安全风险指数所需要的目标日志。
安全设备的原始日志通常包括:日志名称(即,相当于上述实施例中的索引信息)、时间戳、攻击类型名称字段、互联网协议(Internet Protocol,IP)地址字段等。本申请实施例通过清洗操作对原始日志进行清洗,具体清洗依据可以是将字段结构完整(即,包括上述日志名称、时间戳、攻击类型名称字段、IP地址字段等信息)的原始日志清洗出来,得到清洗后的日志。
将清洗后的日志统一转换为预设的报文格式,得到转换后的日志。从转换后的日志的设定位置范围内提取目标字段,并根据预设映射关系将目标字段中各个安全设备自定义的攻击类型名称字段通过归一化的手段,映射到归一化攻击类型名称中。其中,在预设映射关系中,各个安全设备自定义的攻击类型名称字段与归一化攻击类型名称是多对一的关系。
在一个示例性实施例中,基于网络威胁模型建立关联规则,包括:基于所述网络威胁模型确定网络威胁攻击链中包括的多个阶段,以及所述多个阶段分别对应的安全事件;确定所述多个阶段分别对应的场景,其中,所述场景至少包括以下之一:探测扫描场景、网络入侵场景、暴力破解场景、账号异常场景;基于所述场景和所述安全事件建立所述关联规则。
可选的,网络威胁模型可以参考ATT&CK(Adversarial Tactics,Techniques,andCommon Knowledge)模型,ATT&CK模型可以指示一整条攻击链中包括的各个阶段,用于描述和分类黑客攻击的各种战术、技术和常见知识。本申请实施例基于网络威胁模型中描述的攻击链中包括的多个阶段分别对应的场景,以及多个阶段对应的攻击手段(相当于上述实施例中的安全事件)建立关联规则。其中,场景具体包括:探测扫描场景、网络入侵场景、暴力破解场景、账号异常场景、主机失陷场景、有害程序场景等。
在一个示例性实施例中,按照所述关联规则对所述目标日志进行关联分析,包括:在预设时间间隔内,通过所述关联规则提取所述目标日志中具有相同源地址的提取日志,并确定所述提取日志对应的攻击类型;根据所述关联规则和所述攻击类型确定所述提取日志触发的安全事件;确定所述触发的安全事件被所述提取日志所触发的次数;在所述次数超过预设阈值的情况下,将所述提取日志和所述触发的安全事件确定为所述安全事件信息。
示例性的,如果预设时间间隔5分钟,次数设定为500次,则如果检测到5分内某个源地址攻击某一域名500次以上,则会判定为这个源地址进行了扫描攻击。
需要说明的是,基于上述实施例可知,关联规则是多个场景相关的关联规则,因而本申请实施例中具有相同源地址的提取日志可能在预设时间间隔内同时触发关联规则中的多个场景对应的安全事件,提取日志攻击的目标域名或目标地址字段可能存在不同、提取日志中具体对应的归一化攻击类型名称也可能不同。即,5分钟内,通过关联规则可能同时扫描得到提取日志中的源地址在向不同的目标域名进行扫描攻击、暴力入侵等攻击行为。一个安全事件可能对应多个归一化攻击类型名称,一个安全事件可能对应一个归一化攻击类型名称。
更具体的,在一种实现方案中,如果一段时间内,相同源地址超过设定次数阈值的扫描某一域名,则可以判定为扫描攻击;在另一种实现方案中,由于整个攻击链中包括的各个场景(探测扫描场景、网络入侵场景、暴力破解场景、账号异常场景、主机失陷场景、有害程序场景等)均涉及到关联规则的建立。因此,可以通过整条攻击链包括的多个场景的关联规则共同进行安全事件信息的顺序命中,即分析某告警A之后是否发生了告警B,如果发生告警B,则将A和B共同生成安全事件信息。需要说明的是,A和B可以用攻击类型、安全设备名称、威胁等级等组合进行过滤筛选,例如:攻击类型='命令执行'and数据源='产品名称'and原始级别='高危'。
通过对具有相同源地址的目标日志进行提取并处理,可以提高对安全事件信息的筛选效率。
可选的,为保证对安全事件的提取不发生遗漏,也可以直接通过关联规则扫描所有目标日志,直接对整个目标日志进行攻击情况分析。
在一个示例性实施例中,确定所述触发的安全事件被所述提取日志所触发的次数之后,所述方法还包括:在所述次数未超过预设阈值的情况下,根据所述提取日志中包括的源地址字段搜索威胁情报库,以确定所述威胁情报库中是否存在所述提取日志,其中,所述威胁情报库记载有威胁网络安全的多种地址字段,以及所述多种地址字段分别对应的威胁信息;在所述威胁情报库中存在所述提取日志的情况下,获取所述威胁情报库中所述提取日志对应的威胁信息,其中,所述威胁信息包括:威胁可信度、威胁级别、威胁类型;将所述提取日志对应的威胁信息和所述提取日志确定为所述安全事件信息。
即,如果预设时间间隔内,通过关联规则对提取日志的扫描分析结果是:当前提取日志触发的安全事件次数未达到预设阈值,则为避免预设阈值设定不准确,通过提取日志中的源地址搜索威胁情报库,如果威胁情报库中存在该源地址,则根据该源地址,该源地址对应的威胁情报生成安全事件信息。需要说明的是,威胁情报库中会对IP地址进行画像,给出某几个IP、字段、域名属于有威胁的,威胁可信度是什么,威胁级别是什么的定义。通过搜索威胁情报库的行为可以直接判定一个IP是否存在威胁。
进一步的,安全事件信息生成后,会输入到网络安全数据库中的安全事件库中。安全事件信息会结合网络安全数据库中的资产库与漏洞库共同确定所述安全设备的相关资产的安全风险指数。
进而根据所述安全事件信息确定所述安全设备的相关资产的安全风险指数,包括:确定安全风险指数对应的评估指标,并根据预设算法确定所述评估指标对应的指标权重,其中,所述评估指标包括:威胁性评估指标、脆弱性评估指标、资产评估指标;确定所述评估指标分别对应的评估信息;根据所述评估信息和所述指标权重计算所述安全事件信息对应的安全风险;将预设时间窗口内的所有所述安全事件信息对应的所有安全风险的累计值确定为所述安全风险指数。
可选的,预设算法采用模糊层次分析法,模糊层次分析法是一种用于确定多个因素权重的多准则决策方法,会将决策问题分解为不同的层次,从最高层到最低层逐步处理,以确定每个因素的权重。
进一步的,确定所述评估指标分别对应的评估信息,包括:确定所述安全事件信息包括的索引信息,其中,所述索引信息是所述安全设备的索引信息;根据所述索引信息从网络安全数据库中包括的资产库中确定资产信息,以及根据所述索引信息从所述网络安全数据库中包括的漏洞库中确定漏洞信息;将所述安全事件信息确定为所述威胁性评估指标对应的评估信息,将所述漏洞信息确定为所述脆弱性评估指标对应的评估信息,以及将所述资产信息确定为所述资产评估指标对应的评估信息。
还需要说明的是,威胁性评估指标、脆弱性评估指标、资产评估指标者三个评估指标还各自对应下一层级的评估指标,比如:威胁性评估指标还包括:安全事件的发生频率指标、分类和数目指标、危险等级指标。脆弱性评估指标还包括:漏洞危害级别指标、POC(Proof of Concept)公开程度指标和影响度关注度指标;资产评估指标还包括:部署位置影响度指标、资产的重要程度指标。模糊层次分析法也会为这些下一层级的评估指标分配权重。权重总和是100%。
在确定指标权重以及评估指标对应的评估信息之后,通过所有评估指标(包括下一层级的评估指标)的指标权重与评估信息的乘积之和确定安全事件信息的安全风险。最终的安全风险指数是预设时间窗口内的所有所述安全事件信息对应的所有安全风险的累计值。
可选的,在另一种实现方案中,也可以在原始日志关联分析的过程中不断积累计算时间窗口内的安全事件,更新威胁性评估指标参数值,从而计算出资产的安全风险指数。
为了更好的理解上述安全风险指数的确定方案,在一个可选实施例中,还提供了一种方案,用于对上述方案进行解释说明。
本申请可选实施例设计了一种基于多源数据的资产安全风险评估方法,该方法通过对资产相关安全设备告警、安全漏洞信息进行建模和智能统计分析,结合资产的重要程度,从资产、威胁、漏洞风险角度做出资产维度的风险画像和风险分值评估。为不同角色呈现不同的资产风险态势可视界面,图形化显示安全风险态势,同时支持预警通知和一键采取应急措施等处置功能,为网络安全管理人员提供辅助支持,有效提升信息安全管理的效能。
进一步的,本申请可选实施例采用的系统的架构图如图3所示,包括安全数据采集和处理模块31,告警关联分析模块32,资产安全风险评估模块33,可视化展示与处置模块34。各个模块的具体功能如下:
1)安全数据采集和处理模块。
一般情况下,安全数据采集和处理模块置于底层不可见,主要功能是采集常见安全设备的日志,进行数据归并、清洗和归并,用于后续的告警关联分析。
2)告警关联分析模块。
用于接收来自不同安全设备的数据,针对不同的安全运营需求,进行多层次,全方位的大数据实时威胁分析。利用基于特征的方法检测已知威胁,并利用基于统计和异构数据关联分析的方法,有效识别并理解复杂的攻击模式。例如通过同源地址同目的地址的批量扫描行为聚合统计,并与高准确的命令执行告警关联,结合威胁情报对于源地址的辅助判定,有助于在海量的数据中准确地发现攻击威胁,从而大大地提高了攻击事件的检测准确性。参考ATT&CK模型,从探测扫描、网络入侵、暴力破解、账号异常、主机失陷、有害程序等多个场景构建规则模型,降低网络安全设备的误报率,使告警的效果更加准确可靠。
3)资产安全风险评估模块。
对关联处理后的安全事件信息以及资产状态信息实时的进行分析计算来评估资产的网络安全状态态势。评估依赖于安全态势指标的建立,利用模糊层次分析法计算各个指标的权重,确定组合权重,从威胁度、脆弱性和资产等方面进行推理评估,从而得到数值量化的资产安全态势值。
4)可视化展示与处置模块。
以资产为维度,关联展示安全运营所需的各类信息:安全告警事件信息、资产漏洞信息、风险预警信息等,方便管理员更直观更全面地了解系统目前状况,受威胁的情况,从而更有效地进行威胁检测、分析、响应等动作。
具体地,可视化展示模块提供不同角色的视图展示,细粒度控制展示范围和内容。支持对在预设危险范围内分值的资产进行自动化的风险预警通知。同时还可以支持管理员根据预置的剧本,一键采取应急措施(封禁IP/URL、隔离主机、删除用户权限等)。
进一步的,本申请可选实施例还提供了基于上述系统的资产安全风险评估方法,如图4所示,具体包括如下步骤:
步骤S401:采集告警日志、提取关键信息。
安全数据采集和处理模块采集常用安全产品的日志,提取出日志中的关键信息,同时考虑信息传输的完整性和效率制定统一规范的报文格式,方便下一个模块的处理。
步骤S402:制定关联规则、生成安全事件。
告警关联分析模块对处理后的日志进行实时关联规则分析。参考ATT&CK模型,从探测扫描、网络入侵、暴力破解、账号异常、主机失陷、有害程序等多个场景构建规则模型,降低网络安全设备的误报率,使告警的效果更加准确可靠,生成安全事件。
步骤S403:评估参数计算;
对原始日志进行关联分析的基础上,基于网络安全数据库中的资产库和漏洞库,利用安全风险评估机制对资产、威胁、脆弱性等内容进行评估,计算出反映资产风险的各个参数,并使用安全风险累积机制,在原始日志关联分析的过程中不断地更新参数值,积累计算时间窗口内的安全事件,计算出资产的安全风险指数。
具体地,积累计算时间窗口内的安全事件采用实时安全事件的安全风险累积机制:基于安全事件的发生区域、危险级别、攻击类型等计算每一个安全事件的威胁值,然后以单个事件的威胁值作为基础,通过对时间窗口内目标资产关联事件的监控和威胁值的积累,评估时间窗口内某个资产的风险状况。
步骤S404:安全风险指数显示。
为不同角色呈现不同的资产风险态势界面,用来查看资产相关的安全风险指数,通过仪表盘、折线图、条形图、饼状图、列表等形式图形化地显示安全风险态势。还可以查看原始日志和关联分析后的高风险安全事件,也可以看到资产相关的基础属性和漏洞信息等。
具体地,为不同角色呈现不同的资产风险态势界面可以理解为:以资产为维度,关联展示安全运营所需的各类信息:安全告警事件信息、资产漏洞信息、风险预警信息、安全基线检查信息等,方便管理员更直观更全面地了解系统目前状况,受威胁的情况,从而更有效地进行威胁检测、分析、响应等动作。
步骤S405:预警通知。
支持对于风险评分超出预设分值的资产进行预警通知,自动通知相应的资产管理员,例如,提供自动处置功能,对在预设危险范围内分值的资产进行自动化的风险预警通知,自动匹配资产相关管理员并发送短信;。支持管理员根据预置的剧本,联动SOAR,一键采取应急措施(封禁IP/URL、隔离主机、删除用户权限等)。
需要说明的是,本申请可选实施例中进行安全风险评估需要量化的因子(相当于上述实施例中的评估指标)包括资产评估、威胁性评估、脆弱性评估三个部分。
进一步的,资产评估主要关注部署位置影响度和资产的重要程度;具体地,部署位置包括高和低,其中,“高”表示:部署在互联网或外联网;“低”表示:部署在内网。重要程度包括:一般(0):涉及100万(含100万)客户信息或其他个人信息;重要(1):涉及100-1000万客户信息或其他个人信息;特别重要(2):涉及1000万(含1000万)以上的客户信息或其他信息;
进一步的,脆弱性评估与漏洞威胁度相关,漏洞威胁度包含了漏洞危害级别、POC(Proof of Concept)公开程度和影响度关注度三个方面。威胁性指标与资产相关安全事件发生频率、分类和数目、危险等级有关,指标越大,网络安全状况越不理想。
综上所述,本申请实施例利用关联规则在海量数据中合并冗余数据、提取关键信息,有效地降低了安全事件的误率。生成分析处理后的高级安全告警,使得后面的安全态势评估更准确。进一步的,关联规则结合安全风险累积机制能够动态地评估发生的安全事件带给资产的影响,解决原先只考虑某一状态下的评估要素,不能动态地反映网络系统的实时风险态势的问题,准确地将系统资产的风险状况定量化。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)运行本申请各个实施例的方法。
在本实施例中还提供了一种安全风险指数的确定装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的设备较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图5是根据本申请实施例的一种安全风险指数的确定装置的结构框图;如图5所示,包括:
处理模块52,用于对安全设备的原始日志进行处理操作,以获取目标日志;
分析模块54,用于基于网络威胁模型建立关联规则,并按照所述关联规则对所述目标日志进行关联分析,以获取所述目标日志对应的安全事件信息,其中,所述网络威胁模型用于描述威胁网络安全的多种安全事件;
确定模块56,用于根据所述安全事件信息确定所述安全设备的相关资产的安全风险指数。
通过本申请上述装置,对安全设备的原始日志进行处理操作,以获取目标日志;基于网络威胁模型建立关联规则,并按照所述关联规则对所述目标日志进行关联分析,以获取所述目标日志对应的安全事件信息,其中,所述网络威胁模型用于描述威胁网络安全的多种安全事件;根据所述安全事件信息确定所述安全设备的相关资产的安全风险指数。解决了相关技术中,网络安全事件评估机制中的评估手段单一,仅能考虑单一状态下的评估要素,不能反映网络系统的实时风险态势等问题。通过关联规则对目标日志进行分析,丰富了对网络安全事件的评估机制,进而可以更准确的、定量化的反应网络系统的实时风险态势。
在一个示例性实施例中,处理模块52,还用于对所述原始日志进行清洗操作,以获取清洗后的日志;按照预设报文格式对所述清洗后的日志进行转换,以获取转换后的日志提取所述转换后的日志的目标字段,其中,所述目标字段至少包括以下之一:攻击类型名称字段、源地址字段、目标地址字段、归属的安全产品的索引信息;按照预设映射关系归并所述转换后的日志,以获取所述目标日志,其中,所述预设映射关系用于指示所述攻击类型名称字段与归一化攻击类型名称的对应关系。
在一个示例性实施例中,分析模块54,还用于基于所述网络威胁模型确定网络威胁攻击链中包括的多个阶段,以及所述多个阶段分别对应的安全事件;确定所述多个阶段分别对应的场景,其中,所述场景至少包括以下之一:探测扫描场景、网络入侵场景、暴力破解场景、账号异常场景;基于所述场景和所述安全事件建立所述关联规则。
在一个示例性实施例中,分析模块54,还用于在预设时间间隔内,通过所述关联规则提取所述目标日志中具有相同源地址的提取日志,并确定所述提取日志对应的攻击类型;根据所述关联规则和所述攻击类型确定所述提取日志触发的安全事件;确定所述触发的安全事件被所述提取日志所触发的次数;在所述次数超过预设阈值的情况下,将所述提取日志和所述触发的安全事件确定为所述安全事件信息。
在一个示例性实施例中,分析模块54,还用于在所述次数未超过预设阈值的情况下,根据所述提取日志中包括的源地址字段搜索威胁情报库,以确定所述威胁情报库中是否存在所述提取日志,其中,所述威胁情报库记载有威胁网络安全的多种地址字段,以及所述多种地址字段分别对应的威胁信息;在所述威胁情报库中存在所述提取日志的情况下,获取所述威胁情报库中所述提取日志对应的威胁信息,其中,所述威胁信息包括:威胁可信度、威胁级别、威胁类型;将所述提取日志对应的威胁信息和所述提取日志确定为所述安全事件信息。
在一个示例性实施例中,确定模块56,还用于确定安全风险指数对应的评估指标,并根据预设算法确定所述评估指标对应的指标权重,其中,所述评估指标包括:威胁性评估指标、脆弱性评估指标、资产评估指标;确定所述评估指标分别对应的评估信息;根据所述评估信息和所述指标权重计算所述安全事件信息对应的安全风险;将预设时间窗口内的所有所述安全事件信息对应的所有安全风险的累计值确定为所述安全风险指数。
在一个示例性实施例中,确定模块56,还用于确定所述安全事件信息包括的索引信息,其中,所述索引信息是所述安全设备的索引信息;根据所述索引信息从网络安全数据库中包括的资产库中确定资产信息,以及根据所述索引信息从所述网络安全数据库中包括的漏洞库中确定漏洞信息;将所述安全事件信息确定为所述威胁性评估指标对应的评估信息,将所述漏洞信息确定为所述脆弱性评估指标对应的评估信息,以及将所述资产信息确定为所述资产评估指标对应的评估信息。
本申请的实施例还提供了一种存储介质,该存储介质包括存储的程序,其中,上述程序运行时运行上述任一项的方法。
可选地,在本实施例中,上述存储介质可以被设置为存储用于运行以下步骤的程序代码:
S1,对安全设备的原始日志进行处理操作,以获取目标日志;
S2,基于网络威胁模型建立关联规则,并按照所述关联规则对所述目标日志进行关联分析,以获取所述目标日志对应的安全事件信息,其中,所述网络威胁模型用于描述威胁网络安全的多种安全事件;
S3,根据所述安全事件信息确定所述安全设备的相关资产的安全风险指数。
在一个示例性实施例中,上述计算机可读存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。
本实施例中的具体示例可以参考上述实施例及示例性实施方式中所描述的示例,本实施例在此不再赘述。
本申请的实施例还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以运行上述任一项方法实施例中的步骤。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序运行以下步骤:
S1,对安全设备的原始日志进行处理操作,以获取目标日志;
S2,基于网络威胁模型建立关联规则,并按照所述关联规则对所述目标日志进行关联分析,以获取所述目标日志对应的安全事件信息,其中,所述网络威胁模型用于描述威胁网络安全的多种安全事件;
S3,根据所述安全事件信息确定所述安全设备的相关资产的安全风险指数。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
显然,本领域的技术人员应该明白,上述的本申请的各模块或各步骤可以用通用的计算系统来实现,它们可以集中在单个的计算系统上,或者分布在多个计算系统所组成的网络上,可选地,它们可以用计算系统可运行的程序代码来实现,从而,可以将它们存储在存储系统中由计算系统来运行,并且在某些情况下,可以以不同于此处的顺序运行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本申请不限制于任何特定的硬件和软件结合。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种安全风险指数的确定方法,其特征在于,包括:
对安全设备的原始日志进行处理操作,以获取目标日志;
基于网络威胁模型建立关联规则,并按照所述关联规则对所述目标日志进行关联分析,以获取所述目标日志对应的安全事件信息,其中,所述网络威胁模型用于描述威胁网络安全的多种安全事件;
根据所述安全事件信息确定所述安全设备的相关资产的安全风险指数。
2.根据权利要求1所述的安全风险指数的确定方法,其特征在于,对安全设备的原始日志进行处理操作,包括:
对所述原始日志进行清洗操作,以获取清洗后的日志;
按照预设报文格式对所述清洗后的日志进行转换,以获取转换后的日志
提取所述转换后的日志的目标字段,其中,所述目标字段至少包括以下之一:攻击类型名称字段、源地址字段、目标地址字段、归属的安全产品的索引信息;
按照预设映射关系归并所述转换后的日志,以获取所述目标日志,其中,所述预设映射关系用于指示所述攻击类型名称字段与归一化攻击类型名称的对应关系。
3.根据权利要求1所述的安全风险指数的确定方法,其特征在于,基于网络威胁模型建立关联规则,包括:
基于所述网络威胁模型确定网络威胁攻击链中包括的多个阶段,以及所述多个阶段分别对应的安全事件;
确定所述多个阶段分别对应的场景,其中,所述场景至少包括以下之一:探测扫描场景、网络入侵场景、暴力破解场景、账号异常场景;
基于所述场景和所述安全事件建立所述关联规则。
4.根据权利要求1所述的安全风险指数的确定方法,其特征在于,按照所述关联规则对所述目标日志进行关联分析,包括:
在预设时间间隔内,通过所述关联规则提取所述目标日志中具有相同源地址的提取日志,并确定所述提取日志对应的攻击类型;
根据所述关联规则和所述攻击类型确定所述提取日志触发的安全事件;
确定所述触发的安全事件被所述提取日志所触发的次数;
在所述次数超过预设阈值的情况下,将所述提取日志和所述触发的安全事件确定为所述安全事件信息。
5.根据权利要求4所述的安全风险指数的确定方法,其特征在于,确定所述触发的安全事件被所述提取日志所触发的次数之后,所述方法还包括:
在所述次数未超过预设阈值的情况下,根据所述提取日志中包括的源地址字段搜索威胁情报库,以确定所述威胁情报库中是否存在所述提取日志,其中,所述威胁情报库记载有威胁网络安全的多种地址字段,以及所述多种地址字段分别对应的威胁信息;
在所述威胁情报库中存在所述提取日志的情况下,获取所述威胁情报库中所述提取日志对应的威胁信息,其中,所述威胁信息包括:威胁可信度、威胁级别、威胁类型;
将所述提取日志对应的威胁信息和所述提取日志确定为所述安全事件信息。
6.根据权利要求1所述的安全风险指数的确定方法,其特征在于,根据所述安全事件信息确定所述安全设备的相关资产的安全风险指数,包括:
确定安全风险指数对应的评估指标,并根据预设算法确定所述评估指标对应的指标权重,其中,所述评估指标包括:威胁性评估指标、脆弱性评估指标、资产评估指标;
确定所述评估指标分别对应的评估信息;
根据所述评估信息和所述指标权重计算所述安全事件信息对应的安全风险;
将预设时间窗口内的所有所述安全事件信息对应的所有安全风险的累计值确定为所述安全风险指数。
7.根据权利要求6所述的安全风险指数的确定方法,其特征在于,确定所述评估指标分别对应的评估信息,包括:
确定所述安全事件信息包括的索引信息,其中,所述索引信息是所述安全设备的索引信息;
根据所述索引信息从网络安全数据库中包括的资产库中确定资产信息,以及根据所述索引信息从所述网络安全数据库中包括的漏洞库中确定漏洞信息;
将所述安全事件信息确定为所述威胁性评估指标对应的评估信息,将所述漏洞信息确定为所述脆弱性评估指标对应的评估信息,以及将所述资产信息确定为所述资产评估指标对应的评估信息。
8.一种安全风险指数的确定装置,其特征在于,包括:
处理模块,用于对安全设备的原始日志进行处理操作,以获取目标日志;
分析模块,用于基于网络威胁模型建立关联规则,并按照所述关联规则对所述目标日志进行关联分析,以获取所述目标日志对应的安全事件信息,其中,所述网络威胁模型用于描述威胁网络安全的多种安全事件;
确定模块,用于根据所述安全事件信息确定所述安全设备的相关资产的安全风险指数。
9.一种计算机可读的存储介质,其特征在于,所述计算机可读的存储介质包括存储的程序,其中,所述程序运行时运行上述权利要求1至7任一项中所述的方法。
10.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为通过所述计算机程序运行所述权利要求1至7任一项中所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311476904.7A CN117375985A (zh) | 2023-11-07 | 2023-11-07 | 安全风险指数的确定方法及装置、存储介质、电子装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311476904.7A CN117375985A (zh) | 2023-11-07 | 2023-11-07 | 安全风险指数的确定方法及装置、存储介质、电子装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117375985A true CN117375985A (zh) | 2024-01-09 |
Family
ID=89407671
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311476904.7A Pending CN117375985A (zh) | 2023-11-07 | 2023-11-07 | 安全风险指数的确定方法及装置、存储介质、电子装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117375985A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117792801A (zh) * | 2024-02-28 | 2024-03-29 | 贵州华谊联盛科技有限公司 | 一种基于多元事件分析的网络安全威胁识别方法及系统 |
| CN117973695A (zh) * | 2024-02-28 | 2024-05-03 | 上海吨吨信息技术有限公司 | 一种基于人工智能的网络安全事件评估方法及系统 |
| CN118250105A (zh) * | 2024-05-29 | 2024-06-25 | 北京长亭科技有限公司 | 网络安全防护方法、服务器、安全设备、系统及存储介质 |
| CN118432852A (zh) * | 2024-03-26 | 2024-08-02 | 浙江省人力资源和社会保障信息中心 | 基于深度学习的网络安全保护方法及系统 |
| CN119051979A (zh) * | 2024-10-28 | 2024-11-29 | 山东东方飞扬软件技术有限公司 | 一种基于ai数字档案防侵扰在线识别系统及方法 |
| CN119051933A (zh) * | 2024-08-20 | 2024-11-29 | 无锡涉联科技有限公司 | 一种基于边缘计算的网络安全防护方法 |
-
2023
- 2023-11-07 CN CN202311476904.7A patent/CN117375985A/zh active Pending
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117792801A (zh) * | 2024-02-28 | 2024-03-29 | 贵州华谊联盛科技有限公司 | 一种基于多元事件分析的网络安全威胁识别方法及系统 |
| CN117973695A (zh) * | 2024-02-28 | 2024-05-03 | 上海吨吨信息技术有限公司 | 一种基于人工智能的网络安全事件评估方法及系统 |
| CN117792801B (zh) * | 2024-02-28 | 2024-05-14 | 贵州华谊联盛科技有限公司 | 一种基于多元事件分析的网络安全威胁识别方法及系统 |
| CN118432852A (zh) * | 2024-03-26 | 2024-08-02 | 浙江省人力资源和社会保障信息中心 | 基于深度学习的网络安全保护方法及系统 |
| CN118250105A (zh) * | 2024-05-29 | 2024-06-25 | 北京长亭科技有限公司 | 网络安全防护方法、服务器、安全设备、系统及存储介质 |
| CN119051933A (zh) * | 2024-08-20 | 2024-11-29 | 无锡涉联科技有限公司 | 一种基于边缘计算的网络安全防护方法 |
| CN119051933B (zh) * | 2024-08-20 | 2025-02-18 | 无锡涉联科技有限公司 | 一种基于边缘计算的网络安全防护方法 |
| CN119051979A (zh) * | 2024-10-28 | 2024-11-29 | 山东东方飞扬软件技术有限公司 | 一种基于ai数字档案防侵扰在线识别系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN117375985A (zh) | 安全风险指数的确定方法及装置、存储介质、电子装置 | |
| CN112651006B (zh) | 一种电网安全态势感知系统 | |
| CN112114995B (zh) | 基于进程的终端异常分析方法、装置、设备及存储介质 | |
| CN102340485B (zh) | 基于信息关联的网络安全态势感知系统及其方法 | |
| CN107239707B (zh) | 一种用于信息系统的威胁数据处理方法 | |
| CN108605036A (zh) | 数据流中的异常检测 | |
| CN108040493A (zh) | 利用低置信度安全事件来检测安全事故 | |
| EP2936772B1 (en) | Network security management | |
| CN108833185B (zh) | 一种网络攻击路线还原方法及系统 | |
| CN113381980B (zh) | 信息安全防御方法及系统、电子设备、存储介质 | |
| CN112153047A (zh) | 一种基于区块链的网络安全运维及防御方法及系统 | |
| KR101692982B1 (ko) | 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템 | |
| CN115001934A (zh) | 一种工控安全风险分析系统及方法 | |
| CN113709170A (zh) | 资产安全运营系统、方法和装置 | |
| KR101444250B1 (ko) | 개인정보 접근감시 시스템 및 그 방법 | |
| CN117879961A (zh) | 一种态势感知系统的威胁预警分析模型 | |
| CN116859804A (zh) | 一种面向船舶制造车间的安全态势监测预警系统 | |
| KR101281460B1 (ko) | 통계적 공정 관리도를 이용하여 이상증후를 탐지하는 방법 | |
| KR20080079767A (ko) | 대형 네트워크에서 실시간 사이버 침입에 대한 이벤트유형의 정형화 시스템 및 방법 | |
| CN114553596B (zh) | 适用于网络安全的多维度安全情况实时展现方法及系统 | |
| CN116094817A (zh) | 一种网络安全检测系统和方法 | |
| Elshoush | An innovative framework for collaborative intrusion alert correlation | |
| CN115473675A (zh) | 一种网络安全态势感知方法、装置、电子设备及介质 | |
| CN115481166A (zh) | 一种数据存储方法、装置、电子设备及计算机存储介质 | |
| Kawakani et al. | Discovering attackers past behavior to generate online hyper-alerts |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |