CN117478433B - 一种网络与信息安全动态预警系统 - Google Patents
一种网络与信息安全动态预警系统 Download PDFInfo
- Publication number
- CN117478433B CN117478433B CN202311815755.2A CN202311815755A CN117478433B CN 117478433 B CN117478433 B CN 117478433B CN 202311815755 A CN202311815755 A CN 202311815755A CN 117478433 B CN117478433 B CN 117478433B
- Authority
- CN
- China
- Prior art keywords
- threat
- information
- event
- network
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004458 analytical method Methods 0.000 claims abstract description 42
- 230000004044 response Effects 0.000 claims abstract description 38
- 230000002159 abnormal effect Effects 0.000 claims abstract description 33
- 238000010276 construction Methods 0.000 claims abstract description 15
- 238000012549 training Methods 0.000 claims abstract description 14
- 230000010354 integration Effects 0.000 claims abstract description 7
- 230000006399 behavior Effects 0.000 claims description 36
- 239000013598 vector Substances 0.000 claims description 20
- 238000012545 processing Methods 0.000 claims description 14
- 238000013507 mapping Methods 0.000 claims description 10
- 238000004364 calculation method Methods 0.000 claims description 9
- 230000007246 mechanism Effects 0.000 claims description 9
- 230000035945 sensitivity Effects 0.000 claims description 9
- 238000010606 normalization Methods 0.000 claims description 8
- 238000000605 extraction Methods 0.000 claims description 3
- 238000011156 evaluation Methods 0.000 claims description 2
- 230000007123 defense Effects 0.000 abstract description 9
- 239000000523 sample Substances 0.000 description 28
- 230000009286 beneficial effect Effects 0.000 description 12
- 230000006870 function Effects 0.000 description 11
- 238000000034 method Methods 0.000 description 8
- 230000008520 organization Effects 0.000 description 8
- 238000000638 solvent extraction Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 5
- 230000009471 action Effects 0.000 description 3
- 238000009792 diffusion process Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000002547 anomalous effect Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000002790 cross-validation Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000003066 decision tree Methods 0.000 description 1
- 238000013136 deep learning model Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 238000007637 random forest analysis Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012706 support-vector machine Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种网络与信息安全动态预警系统,属于动态预警技术领域,其系统包括威胁情报集成模块、模型构建模块、异常分析模块与预警模块,通过获取历史威胁情报并进行分析,并提取有效样本,根据有效样本进行样本训练构建网络信息模型,对当下发生事件基于网络信息模型进行异常分析,对异常访问行为进行溯源与锁定,对异常访问行为进行及时威胁响应与预警处理,实现当前威胁和漏洞关键信息的及时获取,有助于系统的对网络与信息进行保护,收集、分析与利用威胁信息,提高网络的安全防御和响应能力。
Description
技术领域
本发明涉及动态预警技术领域,特别涉及一种网络与信息安全动态预警系统。
背景技术
网络与信息安全动态预警系统的研究现状不断发展,以适应不断变化的网络威胁和技术环境。这些系统越来越依赖于先进的技术,如机器学习和大数据分析,以提供更快速、准确和自动化的预警和响应能力,以保护组织的网络和信息资产,其中,威胁情报信息对网络安全的影响巨大,威胁信息对于网络与信息安全至关重要,它提供了有关当前威胁和漏洞的关键信息,帮助组织更好地保护其网络和信息资产,安全团队应积极收集、分析和利用威胁信息,以提高其安全防御和响应能力。
因此,本发明提供一种网络与信息安全动态预警系统。
发明内容
本发明提供一种网络与信息安全动态预警系统,用以通过获取历史威胁情报并进行分析,并提取有效样本,根据有效样本进行样本训练构建网络信息模型,对当下发生事件基于网络信息模型进行异常分析,对异常访问行为进行溯源与锁定,对异常访问行为进行及时威胁响应与预警处理,实现当前威胁和漏洞关键信息的及时获取,有助于系统的对网络与信息进行保护,收集、分析与利用威胁信息,提高网络的安全防御和响应能力。
本发明提供一种网络与信息安全动态预警系统,包括:
威胁情报集成模块:获取历史威胁情报并进行分析,来向每条历史威胁情报标记威胁等级与潜在风险权重;
模型构建模块:从历史威胁情报中提取有效样本,并对所述有效样本的样本参数进行样本训练,构建得到网络信息模型;
异常分析模块:根据网络信息模型对当下发生事件进行异常分析,同时,溯源当下发生事件的网络访问话题与访问IP并进行异常访问行为的确定;
预警模块:基于异常分析结果以及异常访问行为的确定结果,对所述当下发生事件进行威胁响应与预警处理。
本发明提供一种网络与信息安全动态预警系统,威胁情报集成模块,包括:
事件确定单元:捕捉每条历史威胁情报的所有安全事件,并按照第一分析函数G1(w1,w2,w3,w4,wt)确定每个安全事件的分类等级,并按照第二分析函数G2(dw1,dw2,dw3,dw4,dwt)向每个安全事件配置潜在风险,其中,w1为事件威胁严重性;w2为事件威胁紧急程度;w3为事件威胁可信度;w4为事件潜在影响范围;wt为事件威胁处理时间;dw1表示基于潜在损害程度对w1的严重性划分参数;dw2表示基于威胁处理时限对w2的紧急程度划分参数;dw3表示基于实际威胁的可能性对w3的可信度划分参数;dw4表示基于威胁影响扩散程度对w4的影响范围划分参数;dwt表示基于时间响应对wt的响应长短划分参数;
第一标定单元:根据每条历史威胁情报所存在的所有安全事件的分类等级向对应历史威胁情报进行威胁等级的第一标定;
第二标定单元:根据同个历史威胁情报的所有潜在风险,向对应历史威胁情报进行潜在风险权重的第二标定。
本发明提供一种网络与信息安全动态预警系统,第一标定单元,包括:
相似度确定块:确定每个安全事件的内源威胁以及外源威胁,并进行基础属性的相似度计算,进而根据所述相似度与预设阈值的差值,对相应安全事件的分类等级进行调整;
等级确定块:基于调整后的分类等级,确定得到对应历史威胁情报的威胁等级,并进行标定。
本发明提供一种网络与信息安全动态预警系统,所述第二标定单元,包括:
真实度确定块:根据对应历史威胁情报涉及到的所有安全事件,从事件-信标映射表中匹配得到特征信标,并计算对应历史威胁情报中每项特征信标基于所有安全事件的综合潜在威胁真实度以及基于每个安全事件的单独威胁真实度;
潜在风险权重块:计算对应历史威胁情报涉及到的每个潜在威胁被安全网络防火墙监测到的有效系数:
;其中,/>表示第/>个潜在威胁被安全网络防火墙监测到的有效系数;/>表示与第/>个潜在威胁所匹配的第i个特征信标的综合潜在威胁真实度;/>表示第/>个潜在威胁被安全网络防火墙检测到的预设概率;/>表示第/>个潜在威胁在同个历史威胁情报涉及到的所有安全事件中的出现频次;/>表示与第/>个潜在威胁所匹配的第i个特征信标所涉及到所有单独威胁真实度的平均真实度;/>表示同个历史威胁情报涉及到的所有安全事件的所有潜在威胁的出现总频次;/>表示与第/>个潜在威胁所匹配的特征信标的总个数;/>表示所匹配的所有单独威胁真实度中大于/>的总个数;/>表示指数函数符号;ln表示对数函数符号;/>表示与第/>个潜在威胁所匹配的第i个特征信标所涉及到所有单独威胁真实度中的最大值;
根据同个历史威胁情报中的所有潜在威胁的有效系数,确定对应历史威胁情报的潜在风险权重;
;其中,/>表示对应历史威胁情报中所存在的m个有效系数中的最大系数;/>表示基于历史威胁信息的每条历史威胁情报的总风险系数;/>表示对应历史威胁情报的潜在风险权重。
本发明提供一种网络与信息安全动态预警系统,模型构建模块,包括:
样本提取单元:从历史威胁信息中提取囊括不同威胁类型以及不同威胁等级的有效样本;
模型构建单元:设定对所有威胁等级以及威胁类型的划分条件,并从所述有效样本中提取满足每个划分条件的第二样本,分析所述第二样本的共有特征以及特有特征,进而构建全面威胁数据集,对所述全面威胁数据集进行训练,构建威胁识别模型;
向量构建单元:基于满足每个划分条件的第二样本的潜在风险权重,构建得到对应划分条件的权重向量;
模型优化单元:基于所述权重向量对所述威胁识别模型进行优化,得到网络信息模型。
本发明提供一种网络与信息安全动态预警系统,异常分析模块,包括:
溯源单元:溯源所述当下发生事件的事件源头;
行为确定单元:根据所述事件源头的访问IP的IP威胁敏感度以及所述当下发生事件涉及到的网络访问话题的话题威胁敏感度,从当下发生事件中确定异常访问行为。
本发明提供一种网络与信息安全动态预警系统,预警模块,包括:
标准化单元:对异常分析结果以及异常访问行为的确定结果进行结果标准化;
值确定单元:基于标准化结果,确定当下发生事件的威胁值;
等级确定单元:根据所述威胁值与预设值的差异,确定威胁响应等级;
预警单元:基于等级-预警映射表,确定与所述威胁响应等级一致的预警报告。
本发明提供一种网络与信息安全动态预警系统,所述标准化单元,包括:
第一获取块:从标准化数据库中获取针对网络信息模型的第一标准化机制,并对异常分析结果进行第一标准化;
第二获取块:从标准化数据库中获取针对事件溯源的第二标准化机制,并对异常访问行为的确定结果进行第二标准化。
本发明提供一种网络与信息安全动态预警系统,值确定单元,包括:
值获取块:从第一标准化结果中获取每个发生指标的第一标准值,同时,从第二标准化结果中获取每个发生指标的第二标准值;
计算块:根据第一标准值以及第二标准值,来计算当下发生事件的威胁值。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1为本发明实施例中一种网络与信息安全动态预警系统的结构图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
实施例1:
本发明实施例提供一种网络与信息安全动态预警系统,如图1所示,包括:
威胁情报集成模块:获取历史威胁情报并进行分析,来向每条历史威胁情报标记威胁等级与潜在风险权重;
模型构建模块:从历史威胁情报中提取有效样本,并对所述有效样本的样本参数进行样本训练,构建得到网络信息模型;
异常分析模块:根据网络信息模型对当下发生事件进行异常分析,同时,溯源当下发生事件的网络访问话题与访问IP并进行异常访问行为的确定;
预警模块:基于异常分析结果以及异常访问行为的确定结果,对所述当下发生事件进行威胁响应与预警处理。
该实施例中,历史威胁信息的来源包括威胁情报提供者、网络日志、安全事件日志、电子邮件警报、外部安全通告等,这些数据需要以结构化或半结构化的形式收集和存储。
该实施例中,通过对每条历史威胁情报的对应安全事件设定不同函数的等级标定。
该实施例中,威胁等级通常分为多个级别,例如低、中、高或数字评分,以表示威胁的严重性。
该实施例中,潜在风险权重通常基于多个因素,如攻击的目标、攻击者的可信度、攻击的影响程度等,对每个因素分配不同权重,并根据情报信息的特征计算潜在风险权重。
该实施例中,由于威胁情报和威胁风险不断变化,因此需要定期更新威胁等级和潜在风险权重。
该实施例中,有效样本是根据威胁情报的特征和相关信息,标记哪些事件是有效的样本,这些样本通常是已知的威胁或攻击事件,这些样本将被用于训练和评估模型。
该实施例中,样本训练是使用训练集数据来训练所选模型,训练的目标是使模型能够学习威胁情报样本的特征和模式,以便进行预测和分类,其中,根据任务的性质,选择适合的机器学习或深度学习模型。常见的模型包括决策树、随机森林、支持向量机、神经网络等。
该实施例中,网络信息模型是根据威胁等级构建的全面威胁数据集经过训练之后,结合潜在风险权重对训练后模型进行优化得出的,其中,威胁情报和网络威胁不断演变,因此模型需要定期更新和改进。监测模型的性能,收集新的威胁情报数据,并进行重新训练以保持模型的有效。
该实施例中,异常分析是通过将日常网络访问事件的访问数据输入网络信息模型,然后输出异常分析结果,指出网络访问事件可能是异常的,其中,异常可以是未知的攻击模式、未经授权的访问、异常的数据流量等。
该实施例中,溯源是指对于被标识为异常的事件,进行溯源以确定其来源和根本原因。这包括跟踪事件的源IP地址、查看相关的日志和流量数据、分析攻击模式等。
该实施例中,异常访问行为是通过分析网络访问事件的源IP地址、访问话题、协议、数据流量等,确定事件中的异常访问行为,包括异常的端口扫描、大量登录尝试、异常数据传输等。
该实施例中,当下发生事件的网络访问话题是哥和扭矩网络监控工具、安全信息和事件管理系统、流量分析工具以及日常数据获得的。
该实施例中,威胁响应与预警处理是基于标准化结果确定当下事件的威胁值,根据威胁值与预设值确定威胁响应等级,匹配与等级一致的预警报告。
该实施例中,预警处理是根据当下拥有的处理方式对异常访问行为进行制止并判断是否能够处理,若处理不了或者异常访问行为又演变成更大规模威胁的趋势,则需向合适的部门或合作伙伴发送预警信息,以协助防止潜在的攻击扩散。
上述技术方案的工作原理及有益效果是:通过获取历史威胁情报并进行分析,并提取有效样本,根据有效样本进行样本训练构建网络信息模型,对当下发生事件基于网络信息模型进行异常分析,对异常访问行为进行溯源与锁定,对异常访问行为进行及时威胁响应与预警处理,实现当前威胁和漏洞关键信息的及时获取,有助于系统的对网络与信息进行保护,收集、分析与利用威胁信息,提高网络的安全防御和响应能力。
实施例2:
本发明实施例提供一种网络与信息安全动态预警系统,威胁情报集成模块,包括:
事件确定单元:捕捉每条历史威胁情报的所有安全事件,并按照第一分析函数G1(w1,w2,w3,w4,wt)确定每个安全事件的分类等级,并按照第二分析函数G2(dw1,dw2,dw3,dw4,dwt)向每个安全事件配置潜在风险,其中,w1为事件威胁严重性;w2为事件威胁紧急程度;w3为事件威胁可信度;w4为事件潜在影响范围;wt为事件威胁处理时间;dw1表示基于潜在损害程度对w1的严重性划分参数;dw2表示基于威胁处理时限对w2的紧急程度划分参数;dw3表示基于实际威胁的可能性对w3的可信度划分参数;dw4表示基于威胁影响扩散程度对w4的影响范围划分参数;dwt表示基于时间响应对wt的响应长短划分参数;
第一标定单元:根据每条历史威胁情报所存在的所有安全事件的分类等级向对应历史威胁情报进行威胁等级的第一标定;
第二标定单元:根据同个历史威胁情报的所有潜在风险,向对应历史威胁情报进行潜在风险权重的第二标定。
该实施例中,对每个历史威胁情报的安全事件分析,包括事件威胁严重性、事件威胁紧急程度、事件威胁可信度、事件潜在影响范围与事件威胁处理时间。
该实施例中,配置潜在风险是对每条历史威胁情报的所有安全事件碱性事件分析,得出可能风险因素,根据风险因素的可能性和影响进行评估,基于评估结果为每个安全事件分配风险等级。
该实施例中,第一标定是收集历史威胁情报并设定威胁等级,例如收到了多个网络入侵的警报,攻击者成功获得了一台服务器的访问权限,威胁等级为高,因为攻击者已经成功入侵服务器,这可能导致数据泄露或其他严重后果。
该实施例中,事件威胁严重性是一个安全事件对组织、系统、数据或业务的潜在影响程度,其中包括数据丢失或泄露、业务中断与网络可用性等
该实施例中,事件威胁紧急程度是在处理安全事件时,事件需要迅速采取行动的程度,包括攻击活动的进展速度、潜在影响的速度、攻击的性质、攻击的性质与合规性要求。
该实施例中,事件威胁可信度是评估一个安全事件或威胁信息的可信程度的指标,包括来源可信度、信息完整性一致性、历史记录与威胁情境等
该实施例中,严重性划分与程度划分为低、中、高、紧急的等级划分,可信度验证划分为低、中、高的验证等级划分,影响扩散程度划分为局部、部分、全面的影响等级划分,响应速度划分是慢、较快、快的速度等级划分;
该实施例中,第二标定是将历史威胁情报涉及的所有安全事件匹配得出特征信标,根据特征信标计算每个安全事件的单独威胁真实度,通过真实度结合潜在风险的有效系数确定的潜在风险权重,比如收到了来自内部员工的报告,称他们收到了一封看似来自高管的电子邮件,要求点击附件以查看关键信息,影响严重性:该事件可能导致敏感数据泄露、潜在的财务损失和声誉风险,权重:高(分配10个权重单位)攻击的可能性:电子邮件看似来自高管,可能会欺骗员工点击附件,权重:中(分配5个权重单位),攻击者的复杂性:攻击者需要伪装成高管并发送逼真的电子邮件,但这并不需要极高的技能,权重:低(分配2个权重单位,攻击者的意图:攻击者可能试图获取敏感数据或传播恶意软件,权重:高(分配10个权重单位),现在,将这些权重相加以计算总潜在风险权重:影响严重性(高)+攻击的可能性(中)+攻击者的复杂性(低)+攻击者的意图(高)=10+5+2+10=27,总潜在风险权重:27,根据总潜在风险权重,历史威胁情报分配给潜在风险等级,例如:潜在风险等级:高。
该实施例中,事件潜在影响范围是一个安全事件可能对组织、系统、数据、人员或业务造成的广泛影响范围。
该实施例中,事件威胁处理时间是指从安全事件被检测到采取适当措施以应对该事件的时间间隔,这个时间间隔对于减轻事件可能的影响和损失非常重要。
上述技术方案的工作原理及有益效果是:通过捕捉每条历史威胁情报的所有安全事件,按照第一分析函数确定每个安全事件的分类等级,按照第二分析函数向每个安全事件配置潜在风险,根据第一标定单元与第二标定单元确定安全事件的威胁等级与潜在风险权重,以实现当前威胁和漏洞关键信息的及时获取,有助于系统的对网络与信息进行保护。
实施例3:
本发明实施例提供一种网络与信息安全动态预警系统,第一标定单元,包括:
相似度确定块:确定每个安全事件的内源威胁以及外源威胁,并进行基础属性的相似度计算,进而根据所述相似度与预设阈值的差值,对相应安全事件的分类等级进行调整;
等级确定块:基于调整后的分类等级,确定得到对应历史威胁情报的威胁等级,并进行标定。
该实施例中,内源威胁常来自组织内部,可能包括员工、承包商或其他内部人员的恶意行为、失误或泄密。内源威胁的特征可能包括异常的员工行为、访问模式或数据操作
该实施例中,外源威胁常来自组织外部,包括恶意软件、网络攻击、钓鱼攻击等外部威胁。外源威胁的特征可能包括恶意IP地址、病毒签名、异常的网络流量等。
该实施例中,确定内源威胁和外源威胁的基础属性或特征,以便进行相似度计算,这些属性可能包括事件类型、受影响系统、攻击矢量、受害者等,使用余弦相似度计算方法来比较事件之间的基础属性,产生一组相似度分数,反映了事件之间的相似程度。
该实施例中,比较每对事件的相似度分数与预设阈值,如果相似度分数高于阈值,说明这两个事件相似,根据相似度与阈值的差异,调整事件的分类等级,例如,如果两个事件非常相似,则可以将它们都升级为更高的威胁等级,因为可能存在更广泛的威胁。
该实施例中,预设阈值是定义一个阈值,该阈值将用于确定何时将相似度分数视为足够高,以将两个事件视为相似,阈值的选择通常基于组织的安全政策和需求。
上述技术方案的工作原理及有益效果是:通过确定安全事件的内源威胁与外源威胁进行基础属性的相似度计算,根据相似度与预设阈值的差值对分类等级进行调整,并标定威胁等级,以实现对威胁的全方位了解,实现当前威胁和漏洞关键信息的及时获取,有助于系统的对网络与信息进行保护。
实施例4:
本发明实施例提供一种网络与信息安全动态预警系统,所述第二标定单元,包括:
真实度确定块:根据对应历史威胁情报涉及到的所有安全事件,从事件-信标映射表中匹配得到特征信标,并计算对应历史威胁情报中每项特征信标基于所有安全事件的综合潜在威胁真实度以及基于每个安全事件的单独威胁真实度;
潜在风险权重块:计算对应历史威胁情报涉及到的每个潜在威胁被安全网络防火墙监测到的有效系数:
;其中,/>表示第个潜在威胁被安全网络防火墙监测到的有效系数;/>表示与第/>个潜在威胁所匹配的第i个特征信标的综合潜在威胁真实度;/>表示第/>个潜在威胁被安全网络防火墙检测到的预设概率;/>表示第/>个潜在威胁在同个历史威胁情报涉及到的所有安全事件中的出现频次;/>表示与第/>个潜在威胁所匹配的第i个特征信标所涉及到所有单独威胁真实度的平均真实度;/>表示同个历史威胁情报涉及到的所有安全事件的所有潜在威胁的出现总频次;/>表示与第/>个潜在威胁所匹配的特征信标的总个数;/>表示所匹配的所有单独威胁真实度中大于/>的总个数;/>表示指数函数符号;ln表示对数函数符号;/>表示与第/>个潜在威胁所匹配的第i个特征信标所涉及到所有单独威胁真实度中的最大值;
根据同个历史威胁情报中的所有潜在威胁的有效系数,确定对应历史威胁情报的潜在风险权重;
;其中,/>表示对应历史威胁情报中所存在的m个有效系数中的最大系数;/>表示基于历史威胁信息的每条历史威胁情报的总风险系数;/>表示对应历史威胁情报的潜在风险权重。
该实施例中,事件-信标映射表包含事件和与之相关的信标,这些信标是各种安全事件特征,例如攻击者的IP地址、恶意文件的哈希值、攻击矢量等。
该实施例中,使用事件-信标映射表匹配与该威胁情报相关的信标,确定哪些安全事件受到该威胁情报的影响。
该实施例中,综合潜在威胁真实度是用于衡量一项特征信标基于所有安全事件的威胁情况,取值范围为0到1。
该实施例中,单独威胁真实度是基于特征信标对一个安全事件的威胁情况,取值范围为0到1,比如,特征信标1基于安全事件1的威胁真实度为0.3,特征信标1基于安全事件2的威胁真实度为0.4,那么,特征信标1的综合潜在威胁真实度为0.3与0.4的平均值。
该实施例中,特征信标是指用于识别和描述安全事件或威胁情报中的特定特征或标记的信息元素,特征信标包括IP地址、URL或域名、文件哈希值、攻击矢量、恶意软件家族、端口号等。
该实施例中,有效系数是通过历史威胁情报的数据和安全网络防火墙监测时间的数据进行计算的,是一个介于0到1之间的值,表示潜在威胁被监测到的程度,有效系数越高,表示威胁被更有效地监测到。
上述技术方案的工作原理及有益效果是:通过从事件-信标映射表获取安全事件的特征信标,确定综合潜在威胁真实度与单独威胁真实度,计算威胁被安全网络防火墙监测到的有效系数,根据有效系数计算历史威胁情报的潜在风险权重,实现对威胁的全方位了解,实现当前威胁和漏洞关键信息的及时获取,有助于系统的对网络与信息进行保护。
实施例5:
本发明实施例提供一种网络与信息安全动态预警系统,模型构建模块,包括:
样本提取单元:从历史威胁信息中提取囊括不同威胁类型以及不同威胁等级的有效样本;
模型构建单元:设定对所有威胁等级以及威胁类型的划分条件,并从所述有效样本中提取满足每个划分条件的第二样本,分析所述第二样本的共有特征以及特有特征,进而构建全面威胁数据集,对所述全面威胁数据集进行训练,构建威胁识别模型;
向量构建单元:基于满足每个划分条件的第二样本的潜在风险权重,构建得到对应划分条件的权重向量;
模型优化单元:基于所述权重向量对所述威胁识别模型进行优化,得到网络信息模型。
该实施例中,划分条件是基于威胁的严重性、攻击矢量、影响范围、攻击者的可信度等因素进行划分,比如,定义三个威胁等级:低、中、高,并根据攻击矢量将威胁分为恶意软件、网络入侵、社会工程等威胁类型。
该实施例中,第二样本代表满足对应划分条件的样本,是包含不同威胁等级与威胁类型的情报在内。
该实施例中,共有特征包括攻击者的IP地址与受影响的系统。
该实施例中,特有特征中低风险威胁的特有特征:可能包括较小的数据泄露、病毒检测等;中等风险威胁的特有特征:可能包括中等程度的服务中断、网络入侵特征等;高风险威胁的特有特征:可能包括大规模数据泄露、攻击者的高级工具等;不同威胁类型的特有特征:恶意软件样本可能包括特定的恶意代码签名,而社会工程攻击可能包括欺骗性文本或链接。
该实施例中,全面威胁数据集是根据威胁等级将所有第二样本的共有特征与特有特征在相应每个有效样本上进行合理标注得到的集合,方便后续进行模型训练。
该实施例中,威胁识别模型是通过全面威胁数据集进行训练,输入数据为日常数据,输出数据为日常数据中含有的威胁数据的相关信息,训练次数为20000。
该实施例中,优化过程是使用权重向量对模型的输入特征进行加权,对于模型中的每个特征,将其与权重相乘以反映其在潜在风险计算中的相对重要性,根据权重向量的信息,调整威胁识别模型的阈值,以平衡假阳性和假阴性的权衡,使用权重向量来指导交叉验证的过程,以确保模型在各种权重下都能表现良好。
该实施例中,,且通过设置权重,便于在模型构建过程中有其的侧重点。
上述技术方案的工作原理及有益效果是:通过获取对应威胁等级与威胁类型的有效样本,确定划分条件提取第二样本的共有特征与特有特征构建全面威胁数据集,以此构建威胁识别模型,确定对应划分条件的权重向量,根据权重向量对威胁识别模型进行优化,得出网络信息模型,以实现日常数据中对威胁信息的识别,有助于系统的对网络与信息进行保护,收集、分析与利用威胁信息,提高网络的安全防御和响应能力。
实施例6:
本发明实施例提供一种网络与信息安全动态预警系统,异常分析模块,包括:
溯源单元:溯源所述当下发生事件的事件源头;
行为确定单元:根据所述事件源头的访问IP的IP威胁敏感度以及所述当下发生事件涉及到的网络访问话题的话题威胁敏感度,从当下发生事件中确定异常访问行为。
该实施例中,IP威胁敏感度是对事件源头的访问IP进行评估,如果源IP地址被标识为高风险或异常,要更加密切地监测其活动。
该实施例中,话题威胁敏感度是根据话题与威胁相关性、敏感信息泄露、社会工程风险、网络入侵迹象、合规性问题、情报分享与攻击向量确定的。
该实施例中,对网络和系统进行实时监测,记录访问行为和相关的访问IP,通过使用入侵检测系统(IDS)、日志分析工具、防火墙等技术来实现。
该实施例中,基于历史数据或安全策略,定义正常的网络访问行为模式,包括特定的IP地址或用户的正常行为、典型的访问模式等,整合实时的威胁情报,以检查源IP地址是否与已知的威胁或攻击者有关,威胁情报来自各种来源,包括公共情报源、安全信息与事件管理系统(SIEM)等。
上述技术方案的工作原理及有益效果是:通过溯源当下事件发生的源头数据确定话题威胁敏感度,从而确定异常访问行为,实现对异常访问行为追踪,有助于系统的对网络与信息进行保护,收集、分析与利用威胁信息,提高网络的安全防御和响应能力。
实施例7:
本发明实施例提供一种网络与信息安全动态预警系统,预警模块,包括:
标准化单元:对异常分析结果以及异常访问行为的确定结果进行结果标准化;
值确定单元:基于标准化结果,确定当下发生事件的威胁值;
等级确定单元:根据所述威胁值与预设值的差异,确定威胁响应等级;
预警单元:基于等级-预警映射表,确定与所述威胁响应等级一致的预警报告。
该实施例中,标准化公式是,其中/>表示原始数据,/>表示标准化后的数据,/>表示原始数据均值;/>表示标准差。
该实施例中,威胁值的计算公式是权重和标准化结果,计算威胁值的总和或平均值。
该实施例中,威胁响应等级是根据威胁值与阈值的差异,将事件分配到相应的响应等级,通常如果威胁值小于或等于低级别的阈值,则分配为低响应等级;如果威胁值在中间范围内,则分配为中等响应等级;如果威胁值大于或等于高级别的阈值,则分配为高响应等级。
该实施例中,等级-预警映射表是用于将威胁响应等级映射到相应的预警级别或措施的工具。
该实施例中,预警报告是根据组织的特定需求、安全策略和威胁情境而有所不同与威胁响应等级一致,比如低威胁响应等级的预警报告内容:报告标题: 低级别威胁通知;内容:概要:提供威胁的概述和背景信息;威胁描述:描述威胁的性质和来源;影响评估:初步评估威胁对组织的潜在影响;推荐措施:建议保持警惕,定期监控情况,可能需要采取一些预防措施;建议行动: 维持正常操作,但保持警惕。
上述技术方案的工作原理及有益效果是:通过对确定结果标准化,确定当下发生事件的威胁值,根据威胁值与预设值的差异确定威胁响应等级,得出预警报告,实现对异常访问行为追踪并生成对应处理方式,有助于系统的对网络与信息进行保护,收集、分析与利用威胁信息,提高网络的安全防御和响应能力。
实施例8:
本发明实施例提供一种网络与信息安全动态预警系统,所述标准化单元,包括:
第一获取块:从标准化数据库中获取针对网络信息模型的第一标准化机制,并对异常分析结果进行第一标准化;
第二获取块:从标准化数据库中获取针对事件溯源的第二标准化机制,并对异常访问行为的确定结果进行第二标准化。
该实施例中,第一标准化机制通过将异常分析结果的原始格式转换为同一格式,确保相同类型数据的数据范围一致性。
该实施例中,标准化数据库中包含针对模型以及溯源的各种标准化机制,方便后续进行异常标准化,方便进行计算,且目的是为了进行格式以及量纲的统一;
比如,异常分析结果为:存在攻击异常,此时,基于第一标准化机制将其中涉及到的指标的异常信息转化为十进制标准值,且第二标准化与第一标准化的原理类似。
上述技术方案的工作原理及有益效果是:通过对异常分析结果与确定结果的标准化,实现事件溯源和对异常访问行为的确定,确保异常分析结果的数据质量和一致性,从而为网络信息模型的构建提供可靠的数据基础,以支持事件追踪和异常行为分析,提高网络的安全防御和响应能力。
实施例9:
本发明实施例提供一种网络与信息安全动态预警系统,值确定单元,包括:
值获取块:从第一标准化结果中获取每个发生指标的第一标准值,同时,从第二标准化结果中获取每个发生指标的第二标准值;
计算块:根据第一标准值以及第二标准值,来计算当下发生事件的威胁值。
该实施例中,第一标准值与第二标准值是通过访问第一标准化结果与第二标准化结果,根据每个发生指标,检索相关的标准化数值。
该实施例中,威胁值是同个指标下的标准值的平均值与指标权重相乘后进行累加得到的。
上述技术方案的工作原理及有益效果是:通过获取第一标准值与第二标准值,计算当下发生时间的威胁值,为网络信息模型的构建提供可靠的数据基础,以支持事件追踪和异常行为分析,提高网络的安全防御和响应能力。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (7)
1.一种网络与信息安全动态预警系统,其特征在于,包括:
威胁情报集成模块:获取历史威胁情报并进行分析,来向每条历史威胁情报标记威胁等级与潜在风险权重;
模型构建模块:从历史威胁情报中提取有效样本,并对所述有效样本的样本参数进行样本训练,构建得到网络信息模型;
异常分析模块:根据网络信息模型对当下发生事件进行异常分析,输出异常分析结果,溯源被标识为异常的事件的网络访问话题与访问IP进行异常访问行为的确定;
预警模块:基于异常分析结果以及异常访问行为的确定结果,对所述当下发生事件进行威胁响应与预警处理;
其中,威胁情报集成模块,包括:
事件确定单元:捕捉每条历史威胁情报的所有安全事件,并按照第一分析函数G1(w1,w2,w3,w4,wt)确定每个安全事件的分类等级,并向每个安全事件配置潜在风险,其中,w1为事件威胁严重性;w2为事件威胁紧急程度;w3为事件威胁可信度;w4为事件潜在影响范围;wt为事件威胁处理时间,其中,配置潜在风险是对每条历史威胁情报的所有安全事件进行分析,得出可能风险因素,根据风险因素的可能性和影响进行评估,基于评估结果为每个安全事件分配风险等级;
第一标定单元:根据每条历史威胁情报所存在的所有安全事件的分类等级向对应历史威胁情报进行威胁等级的第一标定;
第二标定单元:根据同个历史威胁情报的所有潜在风险,向对应历史威胁情报进行潜在风险权重的第二标定;
其中,所述第二标定单元,包括:
真实度确定块:根据对应历史威胁情报涉及到的所有安全事件,从事件-信标映射表中匹配得到特征信标,并计算对应历史威胁情报中每项特征信标基于所有安全事件的综合潜在威胁真实度以及基于每个安全事件的单独威胁真实度,其中,信标是各种安全事件特征;
潜在风险权重块:计算对应历史威胁情报涉及到的每个潜在威胁被安全网络防火墙监测到的有效系数:
;其中,/>表示第/>个潜在威胁被安全网络防火墙监测到的有效系数;/>表示与第/>个潜在威胁所匹配的第i个特征信标的综合潜在威胁真实度;/>表示第/>个潜在威胁被安全网络防火墙检测到的预设概率;/>表示第/>个潜在威胁在同个历史威胁情报涉及到的所有安全事件中的出现频次;/>表示与第/>个潜在威胁所匹配的第i个特征信标所涉及到所有单独威胁真实度的平均真实度;/>表示同个历史威胁情报涉及到的所有安全事件的所有潜在威胁的出现总频次;/>表示与第/>个潜在威胁所匹配的特征信标的总个数;/>表示所匹配的所有单独威胁真实度中大于/>的总个数;/>表示指数函数符号;ln表示对数函数符号;/>表示与第/>个潜在威胁所匹配的第i个特征信标所涉及到所有单独威胁真实度中的最大值;
根据同个历史威胁情报中的所有潜在威胁的有效系数,确定对应历史威胁情报的潜在风险权重;
;其中,/>表示对应历史威胁情报中所存在的m个有效系数中的最大系数;/>表示基于历史威胁信息的每条历史威胁情报的总风险系数;/>表示对应历史威胁情报的潜在风险权重。
2.根据权利要求1所述的一种网络与信息安全动态预警系统,其特征在于,第一标定单元,包括:
相似度确定块:确定每个安全事件的内源威胁以及外源威胁,并进行基础属性的相似度计算,进而根据所述相似度与预设阈值的差值,对相应安全事件的分类等级进行调整;
等级确定块:基于调整后的分类等级,确定得到对应历史威胁情报的威胁等级,并进行标定。
3.根据权利要求1所述的一种网络与信息安全动态预警系统,其特征在于,模型构建模块,包括:
样本提取单元:从历史威胁信息中提取囊括不同威胁类型以及不同威胁等级的有效样本;
模型构建单元:设定对所有威胁等级以及威胁类型的划分条件,并从所述有效样本中提取满足每个划分条件的第二样本,分析所述第二样本的共有特征以及特有特征,进而构建全面威胁数据集,对所述全面威胁数据集进行训练,构建威胁识别模型;
向量构建单元:基于满足每个划分条件的第二样本的潜在风险权重,构建得到对应划分条件的权重向量;
模型优化单元:基于所述权重向量对所述威胁识别模型进行优化,得到网络信息模型。
4.根据权利要求1所述的一种网络与信息安全动态预警系统,其特征在于,异常分析模块,包括:
溯源单元:溯源所述当下发生事件的事件源头;
行为确定单元:根据所述事件源头的访问IP的IP威胁敏感度以及所述当下发生事件涉及到的网络访问话题的话题威胁敏感度,从当下发生事件中确定异常访问行为。
5.根据权利要求1所述的一种网络与信息安全动态预警系统,其特征在于,预警模块,包括:
标准化单元:对异常分析结果以及异常访问行为的确定结果进行结果标准化;
值确定单元:基于标准化结果,确定当下发生事件的威胁值;
等级确定单元:根据所述威胁值与预设值的差异,确定威胁响应等级;
预警单元:基于等级-预警映射表,确定与所述威胁响应等级一致的预警报告。
6.根据权利要求5所述的一种网络与信息安全动态预警系统,其特征在于,所述标准化单元,包括:
第一获取块:从标准化数据库中获取针对网络信息模型的第一标准化机制,并对异常分析结果进行第一标准化;
第二获取块:从标准化数据库中获取针对事件溯源的第二标准化机制,并对异常访问行为的确定结果进行第二标准化。
7.根据权利要求5所述的一种网络与信息安全动态预警系统,其特征在于,值确定单元,包括:
值获取块:从第一标准化结果中获取每个发生指标的第一标准值,同时,从第二标准化结果中获取每个发生指标的第二标准值;
计算块:根据第一标准值以及第二标准值,来计算当下发生事件的威胁值。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311815755.2A CN117478433B (zh) | 2023-12-27 | 2023-12-27 | 一种网络与信息安全动态预警系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311815755.2A CN117478433B (zh) | 2023-12-27 | 2023-12-27 | 一种网络与信息安全动态预警系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117478433A CN117478433A (zh) | 2024-01-30 |
CN117478433B true CN117478433B (zh) | 2024-04-19 |
Family
ID=89635132
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311815755.2A Active CN117478433B (zh) | 2023-12-27 | 2023-12-27 | 一种网络与信息安全动态预警系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117478433B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117669594B (zh) * | 2024-02-02 | 2024-04-16 | 智器云南京信息科技有限公司 | 针对异常信息的大数据关系网络分析方法及系统 |
CN118410485B (zh) * | 2024-06-28 | 2024-09-24 | 南京苏逸实业有限公司 | 用于开源操作系统环境的多系统协同安全测试方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111800395A (zh) * | 2020-06-18 | 2020-10-20 | 云南电网有限责任公司信息中心 | 一种威胁情报防御方法和系统 |
CN111859400A (zh) * | 2020-07-29 | 2020-10-30 | 中国工商银行股份有限公司 | 风险评估方法、装置、计算机系统和介质 |
CN114143036A (zh) * | 2021-11-04 | 2022-03-04 | 湖南天云软件技术有限公司 | 告警方法、装置、设备及计算机存储介质 |
CN116564516A (zh) * | 2023-04-21 | 2023-08-08 | 深圳市嘀嘟科技有限公司 | 一种手表动态健康分析系统及分析方法 |
CN116827675A (zh) * | 2023-08-15 | 2023-09-29 | 罗富财 | 一种网络信息安全分析系统 |
CN117240526A (zh) * | 2023-09-06 | 2023-12-15 | 上海理工大学 | 基于人工智能的网络攻击自动化防御系统 |
-
2023
- 2023-12-27 CN CN202311815755.2A patent/CN117478433B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111800395A (zh) * | 2020-06-18 | 2020-10-20 | 云南电网有限责任公司信息中心 | 一种威胁情报防御方法和系统 |
CN111859400A (zh) * | 2020-07-29 | 2020-10-30 | 中国工商银行股份有限公司 | 风险评估方法、装置、计算机系统和介质 |
CN114143036A (zh) * | 2021-11-04 | 2022-03-04 | 湖南天云软件技术有限公司 | 告警方法、装置、设备及计算机存储介质 |
CN116564516A (zh) * | 2023-04-21 | 2023-08-08 | 深圳市嘀嘟科技有限公司 | 一种手表动态健康分析系统及分析方法 |
CN116827675A (zh) * | 2023-08-15 | 2023-09-29 | 罗富财 | 一种网络信息安全分析系统 |
CN117240526A (zh) * | 2023-09-06 | 2023-12-15 | 上海理工大学 | 基于人工智能的网络攻击自动化防御系统 |
Also Published As
Publication number | Publication date |
---|---|
CN117478433A (zh) | 2024-01-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US12047396B2 (en) | System and method for monitoring security attack chains | |
US11012472B2 (en) | Security rule generation based on cognitive and industry analysis | |
CN110620759B (zh) | 基于多维关联的网络安全事件危害指数评估方法及其系统 | |
CN110431817B (zh) | 识别恶意网络设备 | |
US10587640B2 (en) | System and method for attribution of actors to indicators of threats to a computer system and prediction of future threat actions | |
US20230012220A1 (en) | Method for determining likely malicious behavior based on abnormal behavior pattern comparison | |
US11709944B2 (en) | Intelligent adversary simulator | |
EP2892197B1 (en) | Determination of a threat score for an IP address | |
CN117478433B (zh) | 一种网络与信息安全动态预警系统 | |
US20170208085A1 (en) | System and Method for Prediction of Future Threat Actions | |
JP2018530066A (ja) | 低信頼度のセキュリティイベントによるセキュリティインシデントの検出 | |
CN111865982B (zh) | 基于态势感知告警的威胁评估系统及方法 | |
CN110620696A (zh) | 针对企业网络安全态势感知的评分方法和装置 | |
KR20210109292A (ko) | 다기능 측정기를 통해 산업현장 설비 관리하는 빅데이터 서버 시스템 | |
CN114615016A (zh) | 一种企业网络安全评估方法、装置、移动终端及存储介质 | |
CN112738107A (zh) | 一种网络安全的评价方法、装置、设备及存储介质 | |
CN115987544A (zh) | 一种基于威胁情报的网络安全威胁预测方法及系统 | |
CN115378712A (zh) | 一种基于政务区块链底座的威胁情报共享方法 | |
Khan et al. | Towards augmented proactive cyberthreat intelligence | |
CN113055362B (zh) | 异常行为的预防方法、装置、设备及存储介质 | |
Majidpour et al. | Application of deep learning to enhance the accuracy of intrusion detection in modern computer networks | |
Qassim et al. | Strategy to Reduce False Alarms in Intrusion Detection and Prevention Systems. | |
Kuswara et al. | Intrusion Detection System Using Incremental Learning Method | |
CN113378159A (zh) | 一种基于集中管控的威胁情报的评估方法 | |
KR20210141198A (ko) | 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |