CN111131294A - 威胁监测方法、装置、设备和存储介质 - Google Patents
威胁监测方法、装置、设备和存储介质 Download PDFInfo
- Publication number
- CN111131294A CN111131294A CN201911402353.3A CN201911402353A CN111131294A CN 111131294 A CN111131294 A CN 111131294A CN 201911402353 A CN201911402353 A CN 201911402353A CN 111131294 A CN111131294 A CN 111131294A
- Authority
- CN
- China
- Prior art keywords
- threat
- data
- information
- network
- network data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种威胁监测方法,包括:获取多个网络设备在设定时间段内的历史网络数据;从所述历史网络数据中提取威胁事件信息;其中,所述威胁事件信息具有多个属性维度;按照多个所述属性维度对所述威胁事件信息进行分类,获得多个维度的信息子集;根据所述信息子集,生成多组威胁态势数据;将生成的威胁态势数据进行展示。本发明还公开了一种威胁监测装置、设备和存储介质。本发明实现了网络安全的全局监测,威胁监测能力强。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种威胁监测方法、装置、设备和存储介质。
背景技术
随着网络的迅速发展,网络安全问题不容忽视。目前的安全防御体系一般是在各网络节点分别部署单独的网络威胁监测***,各网络威胁检测***只能够监测单独的网络节点的威胁信息,无法综合监测多个不同的网络节点,使得有些在某一网络节点被监测到的威胁信息,却成功攻破了另一网络节点。因此,目前的网络威胁监测技术存在监测全局性不强、监测能力弱的问题。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种威胁监测方法、装置、设备和存储介质,旨在解决目前的网络威胁监测技术的监测全局性不强、监测能力弱的技术问题。
为实现上述目的,本发明提供一种威胁监测方法,包括:获取多个网络设备在设定时间段内的历史网络数据;从所述历史网络数据中提取威胁事件信息;其中,所述威胁事件信息具有多个属性维度;按照多个所述属性维度对所述威胁事件信息进行分类,获得多个维度的信息子集;根据所述信息子集,生成多组威胁态势数据;将生成的威胁态势数据进行展示。
可选地,所述获取多个网络设备在设定时间段内的历史网络数据的步骤,具体包括:采集并存储多个网络设备的当前网络数据;获取本地存储的设定时间段内的历史网络数据;其中,所述历史网络数据包括所述当前网络数据。
可选地,所述网络设备包括接入网络的计算机设备,所述历史网络数据包括计算机设备的历史网络日志;所述从所述历史网络数据中提取威胁事件信息的步骤,具体包括:根据所述历史网络数据进行网络行为的分析,生成网络行为数据;根据所述网络行为数据,按照预定安全规则进行安全分析;根据所述安全分析的结果确定所述历史网络数据中的威胁事件信息。
可选地,所述属性维度包括威胁事件的起始时间;所述根据所述信息子集,生成多组威胁态势数据的步骤,具体包括:遍历多个所述信息子集,获取遍历到的当前信息子集;若所述当前信息子集对应的属性维度为威胁事件的起始时间,则根据所述当前信息子集的时间戳,将所述当前信息子集内的各威胁事件信息按时序进行排序,生成时序威胁态势数据。
可选地,所述属性维度包括威胁事件的攻击目的IP;所述根据所述信息子集,生成多组威胁态势数据的步骤,具体包括:遍历多个所述信息子集,获取遍历到的当前信息子集;若所述当前信息子集对应的属性维度为威胁事件的攻击目的IP,则提取所述当前信息子集内的多个攻击目的IP;获取各攻击目的IP所属的攻击目的地区的经纬度信息;根据所述攻击目的地区的经纬度信息,将所述当前信息子集内的各威胁事件信息添加至目标地图,生成威胁态势地图。
可选地,所述将生成的威胁态势数据进行展示的步骤之后,所述威胁监测方法还包括:在接收到文件检测指令时,解析所述文件检测指令所携带的检测关键词;获取所述检测关键词对应的目标网络数据;从所述目标网络数据中提取文件数据;对所述文件数据进行安全检测,获得所述文件数据的安全检测结果;将所述安全检测结果进行展示。
可选地,所述将生成的威胁态势数据进行展示的步骤之后,所述威胁监测方法还包括:根据所述威胁态势数据生成威胁情报库。
此外,为实现上述目的,本发明还提供一种威胁监测装置,所述威胁监测装置包括:获取模块,用于获取多个网络设备在设定时间段内的历史网络数据;提取模块,用于从所述历史网络数据中提取威胁事件信息;其中,所述威胁事件信息具有多个属性维度;分类模块,用于按照多个所述属性维度对所述威胁事件信息进行分类,获得多个维度的信息子集;数据生成模块,用于根据所述信息子集,生成多组威胁态势数据;展示模块,用于将生成的威胁态势数据进行展示。
此外,为实现上述目的,本发明还提供一种威胁监测设备,所述威胁监测设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的威胁监测程序,所述威胁监测程序被所述处理器执行时实现如上述的威胁监测方法的步骤。
此外,为实现上述目的,本发明还提供一种存储介质,所述存储介质上存储有威胁监测程序,所述威胁监测程序被处理器执行时实现如上述的威胁监测方法的步骤。
本发明实施例提出的一种威胁监测方法、装置、设备和存储介质,通过获取多个网络设备在设定时间段内的历史网络数据,从历史网络数据中提取威胁事件信息,按照多个属性维度对威胁事件信息进行分类,获得多个维度的信息子集,并根据信息子集,生成多组威胁态势数据,然后将生成的威胁态势数据进行展示,能够将不同的多个网络设备的威胁信息进行综合分析和展示,从而实现了对多个网络设备的网络安全的全局监测,威胁监测能力强。
附图说明
图1为本发明实施例方案涉及的硬件运行环境的终端结构示意图;
图2为本发明威胁监测方法实施例的流程示意图;
图3为图2中本发明威胁监测方法实施例的步骤S204的细化流程示意图;
图4为图2中本发明威胁监测方法实施例的步骤S208的细化流程示意图;
图5为图2中本发明威胁监测方法实施例的步骤S208的另一细化流程示意图;
图6为图2中本发明威胁监测方法实施例的步骤S210之后的步骤流程示意图;
图7为本发明威胁监测装置实施例的结构框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示,图1是本发明实施例方案涉及的硬件运行环境的终端结构示意图。
本发明实施例终端可以是PC,也可以是智能手机、平板电脑、电子书阅读器、MP3(Moving Picture Experts Group Audio Layer III,动态影像专家压缩标准音频层面3)播放器、MP4(Moving Picture Experts Group Audio Layer IV,动态影像专家压缩标准音频层面4)播放器、便携计算机等具有显示功能的可移动式终端设备。
如图1所示,该终端可以包括:处理器1001,例如CPU,网络接口1004,用户接口1003,存储器1005,通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
可选地,终端还可以包括摄像头、RF(Radio Frequency,射频)电路,传感器、音频电路、WiFi模块等等。其中,传感器比如光传感器、运动传感器以及其他传感器。具体地,光传感器可包括环境光传感器及接近传感器,其中,环境光传感器可根据环境光线的明暗来调节显示屏的亮度,接近传感器可在移动终端移动到耳边时,关闭显示屏和/或背光。作为运动传感器的一种,重力加速度传感器可检测各个方向上(一般为三轴)加速度的大小,静止时可检测出重力的大小及方向,可用于识别移动终端姿态的应用(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等;当然,移动终端还可配置陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器,在此不再赘述。
本领域技术人员可以理解,图1中示出的终端结构并不构成对终端的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作***、网络通信模块、用户接口模块以及威胁监测程序。
在图1所示的终端中,网络接口1004主要用于连接后台服务器,与后台服务器进行数据通信;用户接口1003主要用于连接客户端(用户端),与客户端进行数据通信;而处理器1001可以用于调用存储器1005中存储的威胁监测程序,并执行以下操作:获取多个网络设备在设定时间段内的历史网络数据;从所述历史网络数据中提取威胁事件信息;其中,所述威胁事件信息具有多个属性维度;按照多个所述属性维度对所述威胁事件信息进行分类,获得多个维度的信息子集;根据所述信息子集,生成多组威胁态势数据;将生成的威胁态势数据进行展示。
可选地,处理器1001可以调用存储器1005中存储的威胁监测程序,还执行以下操作:所述获取多个网络设备在设定时间段内的历史网络数据的步骤,具体包括:采集并存储多个网络设备的当前网络数据;获取本地存储的设定时间段内的历史网络数据;其中,所述历史网络数据包括所述当前网络数据。
可选地,处理器1001可以调用存储器1005中存储的威胁监测程序,还执行以下操作:所述网络设备包括接入网络的计算机设备,所述历史网络数据包括计算机设备的历史网络日志;所述从所述历史网络数据中提取威胁事件信息的步骤,具体包括:根据所述历史网络数据进行网络行为的分析,生成网络行为数据;根据所述网络行为数据,按照预定安全规则进行安全分析;根据所述安全分析的结果确定所述历史网络数据中的威胁事件信息。
可选地,处理器1001可以调用存储器1005中存储的威胁监测程序,还执行以下操作:所述属性维度包括威胁事件的起始时间;所述根据所述信息子集,生成多组威胁态势数据的步骤,具体包括:遍历多个所述信息子集,获取遍历到的当前信息子集;若所述当前信息子集对应的属性维度为威胁事件的起始时间,则根据所述当前信息子集的时间戳,将所述当前信息子集内的各威胁事件信息按时序进行排序,生成时序威胁态势数据。
可选地,处理器1001可以调用存储器1005中存储的威胁监测程序,还执行以下操作:所述属性维度包括威胁事件的攻击目的IP;所述根据所述信息子集,生成多组威胁态势数据的步骤,具体包括:遍历多个所述信息子集,获取遍历到的当前信息子集;若所述当前信息子集对应的属性维度为威胁事件的攻击目的IP,则提取所述当前信息子集内的多个攻击目的IP;获取各攻击目的IP所属的攻击目的地区的经纬度信息;根据所述攻击目的地区的经纬度信息,将所述当前信息子集内的各威胁事件信息添加至目标地图,生成威胁态势地图。
可选地,处理器1001可以调用存储器1005中存储的威胁监测程序,还执行以下操作:所述将生成的威胁态势数据进行展示的步骤之后,所述威胁监测方法还包括:在接收到文件检测指令时,解析所述文件检测指令所携带的检测关键词;获取所述检测关键词对应的目标网络数据;从所述目标网络数据中提取文件数据;对所述文件数据进行安全检测,获得所述文件数据的安全检测结果;将所述安全检测结果进行展示。
可选地,处理器1001可以调用存储器1005中存储的威胁监测程序,还执行以下操作:所述将生成的威胁态势数据进行展示的步骤之后,所述威胁监测方法还包括:根据所述威胁态势数据生成威胁情报库。
参照图2,一种威胁监测方法实施例,所述威胁监测方法包括:
步骤S202,获取多个网络设备在设定时间段内的历史网络数据;
需要说明的是,网络设备包括但不限于是接入网络的计算机设备,还可以是安全设备。安全设备包括但不限于WAF(Web Application Firewall),网站应用级入侵防御***、IDS(Intrusion Detection Systems,入侵检测***)、IPS(Intrusion PreventionSystem,入侵防御***)和防火墙等。本实施例的方法可以作为独立设备部署在网络出口处,还可以独立部署于网络设备内。本实施例中,以部署于终端内进行说明。
应当说明的是,设定时间段为用户自定义。终端根据用户自定义的预定时间段,采集获取多个网络设备的历史网络数据。其中,历史网络数据包括但不限于计算机设备的历史网络日志和安全设备的历史告警日志中的至少一种。
在其中一个实施例中,所述步骤S202,具体包括:采集并存储多个网络设备的当前网络数据;获取本地存储的设定时间段内的历史网络数据;其中,所述历史网络数据包括所述当前网络数据。
本实施例中,终端实时采集并存储多个网络设备的当前网络数据。需要说明的是,终端监测各网络设备的网络数据,当网络通数据发生变化时,获取变化的网络数据作为当前网络数据。在其中一个实施例中,终端监测各网络设备的网络数据,在设定周期到来时,采集各网络设备在设定周期内产生的网络数据,作为当前网络数据。
应当理解的是,在本方法开始后,终端在本地持续存储多个网络设备的网络数据。可选地,终端根据网络数据的时间戳,获取本地存储的设定时间段内的历史网络数据。
步骤S204,从所述历史网络数据中提取威胁事件信息;其中,所述威胁事件信息具有多个属性维度;
需要说明的是,终端通过分析历史网络数据,从历史网络数据中提取威胁事件信息。具体地,当历史网络数据包括计算机设备的网络日志时,该网络日志包括计算机设备访问网络的网络流量,终端则分析该网络流量的网络行为,判断网络行为是否异常,获取网络行为异常的异常网络数据,作为威胁事件信息。当历史网络数据包括安全设备的告警日志时,终端则从告警日志中直接提取出告警信息对应的威胁事件信息。
应当说明的是,威胁事件信息具有多个属性维度,属性维度包括但不限于威胁事件的起始时间、威胁事件的攻击目的IP、威胁事件的攻击源IP、以及威胁事件发生的次数中的至少一种。
步骤S206,按照多个所述属性维度对所述威胁事件信息进行分类,获得多个维度的信息子集;
需要说明的是,本实施例中,终端按照威胁事件信息的属性维度进行分类,将提取的威胁事件信息分类为多个维度的信息子集。例如,终端按照攻击目的IP将威胁事件信息分类为多个目的IP子集,多个目的IP子集则构成按照攻击目的IP进行分类得到的一个维度的信息子集,同一目的IP子集内的各威胁事件信息具有相同的攻击目的IP。终端还可以同时根据威胁事件的起始时间,按照威胁事件的发生时间,将威胁事件信息分类为多个时间子集,各事件子集则作为按照威胁事件的发生时间进行分类得到的一个维度的信息子集,同一时间子集内的威胁事件信息具有相同的威胁事件的发生时间。
易于理解的是,终端按照多个属性维度对威胁事件信息进行分类后,得到多个维度的信息子集,同一维度对应的信息子集包括该维度下的多个维度子集。例如若属性维度包括威胁事件的发生时间和威胁事件的攻击目的IP,则终端通过分类得到的多个维度的信息子集包括多个时间子集和多个目的IP子集。其中,时间子集则为发生时间维度对应的信息子集下的维度子集,目的IP子集为攻击目的IP维度对应的信息子集下的维度子集。
步骤S208,根据所述信息子集,生成多组威胁态势数据;
需要说明的是,终端分别根据各维度对应的信息子集,生成多组威胁态势数据。其中,威胁态势数据为根据各维度下的维度规则进行排序的数据,其表征各维度对应的信息子集内的威胁事件信息在该维度下的发展态势。例如,对于威胁事件的发生时间的维度,其对应的信息子集所生成的威胁态势数据则表征信息子集内的各威胁事件信息的发生时间的发展态势。
步骤S210,将生成的威胁态势数据进行展示。
本实施例中,终端将生成的威胁态势数据进行可视化展示。例如,对于威胁事件的发生时间的维度,终端以威胁事件的发生时间为横轴,以威胁事件的发生次数为纵轴建立坐标系,将该维度对应的信息子集在该坐标系内进行展示,得到威胁事件的发生时间维度的威胁态势数据。对于威胁事件的攻击目的IP的维度,终端则可以各攻击目的IP对应的多个目的IP子集进行集合展示,例如可以建立攻击目的IP与目的IP子集的映射表,攻击目的IP维度下的信息子集以映射表的形式进行可视化展示。
在其中一个实施例中,所述步骤S210之后,所述威胁监测方法还包括:根据所述威胁态势数据生成威胁情报库。
需要说明的是,本实施例中,终端将监测得到的威胁态势数据进行存储,并利用单独的威胁情报库来对其进行管理,能够为网络安全威胁的监测提供数据支持。
本实施例中,通过获取多个网络设备在设定时间段内的历史网络数据,从历史网络数据中提取威胁事件信息,按照多个属性维度对威胁事件信息进行分类,获得多个维度的信息子集,并根据信息子集,生成多组威胁态势数据,然后将生成的威胁态势数据进行展示,能够将不同的多个网络设备的威胁信息进行综合分析和展示,从而实现了对多个网络设备的网络安全的全局监测,威胁监测能力强。
参照图3,在其中一个实施例中,所述网络设备包括接入网络的计算机设备,所述历史网络数据包括计算机设备的历史网络日志;所述步骤204,具体包括:
步骤302,根据所述历史网络数据进行网络行为的分析,生成网络行为数据;
需要说明的是,计算机设备的历史网络日志包括计算机设备访问网络的历史网络流量,该历史网络日志并不检测威胁事件信息,其包含了正常的网络流量和具有威胁的异常网络流量,而异常网络流量则为本实施例需要提取的威胁事件信息。终端在对从计算机设备内采集的历史网络日志进行威胁事件信息的提取时,需要对历史网络日志内记录的历史网络流量进行行为分析,从而进一步提取出行为异常的异常网络流量,作为威胁事件信息。
本实施例中,终端对历史网络数据进行网络行为的分析,得到网络行为数据。具体地,终端根据一定的行为规则进行网络行为的分析,例如终端根据同一IP的对同一网站的访问频率进行网络行为分析,若终端检测到历史网络数据中,某一源IP在短时间内,例如10分钟内,多次登录和退出登录同一网站,例如10分钟内发起20次对网站A的连续登录和退出登录操作,则“某一源IP在10分钟内发起20次对网站A的连续登录和退出登录操作”为终端获取的一条网络行为数据。
步骤304,根据所述网络行为数据,按照预定安全规则进行安全分析;
需要说明的是,终端进一步根据获取的网络行为数据,按照预定安全规则对获取的网络行为数据进行安全分析。例如对于“某一源IP在10分钟内发起20次对网站A的连续登录和退出登录操作”这一网络行为数据,终端根据登录频率的安全规则对该条网络行为数据进行安全分析,若登录频率的安全规则为同一源IP对网站A在10分钟内不超过10次的连续登录行为表征为安全,则终端将上述网络行为数据与该登录频率的安全规则进行比对分析。
步骤306,根据所述安全分析的结果确定所述历史网络数据中的威胁事件信息。
需要说明的是,终端在将网络行为数据与预定安全规则进行安全分析后,得到安全分析的结果。例如对于“某一源IP在10分钟内发起20次对网站A的连续登录和退出登录操作”这一网络行为数据,终端安全分析的结果则为网络行为数据超出登录频率的安全规则的安全范围,则终端将该网络行为数据鉴定为威胁事件信息。
本实施例中,终端在对计算机设备内的历史网络日志进行威胁事件信息的提取时,通过根据历史网络数据进行网络行为的分析,生成网络行为数据,根据网络行为数据,按照预定安全规则进行安全分析,然后根据所安全分析的结果确定历史网络数据中的威胁事件信息,能够准确提取出历史网络日志内的威胁事件信息。
参照图4,在其中一个实施例中,所述属性维度包括威胁事件的起始时间;所述步骤208,具体包括:
步骤402,遍历多个所述信息子集,获取遍历到的当前信息子集;
需要说明的是,终端根据信息子集的存储顺序进行遍历,获得遍历到的当前信息子集。本实施例一个信息子集对应一个属性维度,一个信息子集包括一个属性维度内的多个维度子集。
步骤404,若所述当前信息子集对应的属性维度为威胁事件的起始时间,则根据所述当前信息子集的时间戳,将所述当前信息子集内的各威胁事件信息按时序进行排序,生成时序威胁态势数据。
需要说明的是,若终端遍历到的当前信息子集对应的属性维度为威胁事件的起始时间,则该当前信息子集对应的维度子集为时间子集。具体地,终端根据时间子集的时间戳,获取各时间子集内的威胁事件信息的起始时间,按照威胁事件信息的发生时间进行时序的排序,生成时序威胁态势数据。具体地,本实施例中,终端以威胁事件的发生时间为横轴,以威胁事件的发生次数为纵轴建立坐标系,根据该属性维度对应的信息子集内的各威胁事件信息的起始时间,将各威胁事件信息添加至该坐标系内,得到时序威胁态势数据。
本实施例中,通过遍历多个信息子集,获取遍历到的当前信息子集,若当前信息子集对应的属性维度为威胁事件的起始时间,则根据当前信息子集的时间戳,将当前信息子集内的各威胁事件信息按时序进行排序,生成时序威胁态势数据,本实施例提供了对威胁事件的起始时间维度的威胁态势数据的具体生成方法,且该方法能够清晰明了的为用户展示出威胁事件信息在时间维度的发展态势。
参照图5,在其中一个实施例中,所述属性维度包括威胁事件的攻击目的IP;所述步骤208,具体包括:
步骤502,遍历多个所述信息子集,获取遍历到的当前信息子集;
步骤504,若所述当前信息子集对应的属性维度为威胁事件的攻击目的IP,则提取所述当前信息子集内的多个攻击目的IP;
需要说明的是,若终端遍历到的当前信息子集对应的属性维度为威胁事件的攻击目的IP,则该当前信息子集对应的维度子集为目的IP子集。具体地,终端从目的IP子集内提取多个攻击目的IP。本实施例中,同一目的IP子集对应同一个攻击目的IP,不同的目的IP子集分别对应不同的攻击目的IP。
步骤506,获取各攻击目的IP所属的攻击目的地区的经纬度信息;
应当理解的是,终端进一步根据攻击目的IP查找出攻击目的IP所述的攻击目的地区,并进一步获取攻击目的地区的经纬度信息。
步骤508,根据所述攻击目的地区的经纬度信息,将所述目的IP子集内的各威胁事件信息添加至目标地图,生成威胁态势地图。
需要说明的是,目标地图为世界地图,包含有世界各国家和地区的地理信息。终端根据获取的攻击目的IP对应的经纬度信息,将目的IP子集内的各威胁事件信息根据其所在的目的IP子集对应的攻击目的IP添加至目标地图内相对应的经纬度处,并显示出威胁事件信息的基本信息,例如威胁事件信息的发生次数和威胁等级,从而生成威胁态势地图,以展示威胁事件信息在地理上的发展态势。
本实施例中,通过遍历多个信息子集,获取遍历到的当前信息子集,若当前信息子集对应的属性维度为威胁事件的攻击目的IP,则提取当前信息子集内的多个攻击目的IP,获取各攻击目的IP所属的攻击目的地区的经纬度信息,并根据攻击目的地区的经纬度信息,将当前信息子集内的各威胁事件信息添加至目标地图,生成威胁态势地图,本实施例提供了对威胁事件的攻击目的IP维度的威胁态势数据的具体生成方法,且该方法能够清晰明了的为用户展示出威胁事件信息在攻击目的IP维度的发展态势。
参照图6,在其中一个实施例中,所述步骤S210之后,所述威胁监测方法还包括:
步骤602,在接收到文件检测指令时,解析所述文件检测指令所携带的检测关键词;
需要说明的是,本实施例还为用户提供了检索功能,用户可以在终端的检索界面发出检测指令,在发出检测指令之前,用户还可以输入检测关键词,用户发出的检测指令则携带有该检测关键词。其中,检测关键词包括但不限于有目标时间段、文件名、文件MD5(Message-Digest Algorithm 5,摘要信息算法5)、攻击源地址、攻击源国家、威胁等级以及文件类型等。
步骤604,获取所述检测关键词对应的目标网络数据;
需要说明的是,终端根据检测关键词,查找本地存储的所有网络数据,得到与该检测关键词对应的目标网络数据。
步骤606,从所述目标网络数据中提取文件数据;
应当理解的是,终端从目标网络数据中提取与文件相关联的所有文件数据,该文件数据包括有文件参与的所有行为数据,例如对文件B的读取数据、对文件B的执行数据等。
步骤608,对所述文件数据进行安全检测,获得所述文件数据的安全检测结果;
需要说明的是,终端根据预定的安全规则对该文件数据进行安全检测,得到文件数据的安全检测结果。具体地,预定的安全规则可以包括多个属性维度,例如攻击源IP、攻击目的IP、攻击源国家、攻击目的国家、文件来源地址等。终端从文件数据中提取出多个属性维度的威胁事件信息,作为安全检测结果。
步骤610,将所述安全检测结果进行展示。
应当理解的是,终端将检测得到的安全检测结果,即文件数据对应的多个属性维度的威胁事件信息,进行多个属性维度的展示。例如将一条威胁事件信息的源IP、攻击源国家、攻击目的IP、攻击目的国家等属性维度的维度信息进行展示,以供用户浏览文件检测的结果。
在其他实施例中,还提供了漏洞攻击的检测功能、WEB检测功能、异常行为检测功能、失陷主机检测功能,分别根据不同的威胁事件类型的行为特征进行检测,并将检测得到的威胁事件信息根据多个属性维度进行展示。
本实施例中,在接收到文件检测指令时,解析文件检测指令所携带的检测关键词,获取检测关键词对应的目标网络数据,从目标网络数据中提取文件数据,对文件数据进行安全检测,获得文件数据的安全检测结果,并将所述安全检测结果进行展示,为用户提供了自主检测功能模块,能够针对性的进行文件检测,得到文件的威胁检测结果,从而能够对各网络设备的文件安全进行有效掌控。
参照图7,一种威胁监测装置实施例,所述威胁监测装置包括:
获取模块710,用于获取多个网络设备在设定时间段内的历史网络数据;
提取模块720,用于从所述历史网络数据中提取威胁事件信息;其中,所述威胁事件信息具有多个属性维度;
分类模块730,用于按照多个所述属性维度对所述威胁事件信息进行分类,获得多个维度的信息子集;
数据生成模块740,用于根据所述信息子集,生成多组威胁态势数据;
展示模块750,用于将生成的威胁态势数据进行展示。
本实施例中,通过获取多个网络设备在设定时间段内的历史网络数据,从历史网络数据中提取威胁事件信息,按照多个属性维度对威胁事件信息进行分类,获得多个维度的信息子集,并根据信息子集,生成多组威胁态势数据,然后将生成的威胁态势数据进行展示,能够将不同的多个网络设备的威胁信息进行综合分析和展示,从而实现了对多个网络设备的网络安全的全局监测,威胁监测能力强。
可选地,所述获取模块710,还用于采集并存储多个网络设备的当前网络数据;获取本地存储的设定时间段内的历史网络数据;其中,所述历史网络数据包括所述当前网络数据。
可选地,所述网络设备包括接入网络的计算机设备,所述历史网络数据包括计算机设备的历史网络日志;所述提取模块720,还用于根据所述历史网络数据进行网络行为的分析,生成网络行为数据;根据所述网络行为数据,按照预定安全规则进行安全分析;根据所述安全分析的结果确定所述历史网络数据中的威胁事件信息。
可选地,所述属性维度包括威胁事件的起始时间;所述数据生成模块740,还用于遍历多个所述信息子集,获取遍历到的当前信息子集;若所述当前信息子集对应的属性维度为威胁事件的起始时间,则根据所述当前信息子集的时间戳,将所述当前信息子集内的各威胁事件信息按时序进行排序,生成时序威胁态势数据。
可选地,所述属性维度包括威胁事件的攻击目的IP;所述数据生成模块740,还用于遍历多个所述信息子集,获取遍历到的当前信息子集;若所述当前信息子集对应的属性维度为威胁事件的攻击目的IP,则提取所述当前信息子集内的多个攻击目的IP;获取各攻击目的IP所属的攻击目的地区的经纬度信息;根据所述攻击目的地区的经纬度信息,将所述当前信息子集内的各威胁事件信息添加至目标地图,生成威胁态势地图。
可选地,所述威胁监测装置还包括:检测模块,用于在接收到文件检测指令时,解析所述文件检测指令所携带的检测关键词;获取所述检测关键词对应的目标网络数据;从所述目标网络数据中提取文件数据;对所述文件数据进行安全检测,获得所述文件数据的安全检测结果;将所述安全检测结果进行展示。
可选地,所述威胁监测装置还包括:情报库生成模块,用于根据所述威胁态势数据生成威胁情报库。
此外,本发明实施例还提出一种威胁监测设备,所述威胁监测设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的威胁监测程序,所述威胁监测程序被所述处理器执行时实现如上述的威胁监测方法实施例的步骤。
此外,本发明实施例还提出一种存储介质,所述存储介质上存储有威胁监测程序,所述威胁监测程序被处理器执行时实现如上述的威胁监测方法实施例的步骤。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者***不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者***所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者***中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种威胁监测方法,其特征在于,所述威胁监测方法包括以下步骤:
获取多个网络设备在设定时间段内的历史网络数据;
从所述历史网络数据中提取威胁事件信息;其中,所述威胁事件信息具有多个属性维度;
按照多个所述属性维度对所述威胁事件信息进行分类,获得多个维度的信息子集;
根据所述信息子集,生成多组威胁态势数据;
将生成的威胁态势数据进行展示。
2.如权利要求1所述的威胁监测方法,其特征在于,所述获取多个网络设备在设定时间段内的历史网络数据的步骤,具体包括:
采集并存储多个网络设备的当前网络数据;
获取本地存储的设定时间段内的历史网络数据;其中,所述历史网络数据包括所述当前网络数据。
3.如权利要求1所述的威胁监测方法,其特征在于,所述网络设备包括接入网络的计算机设备,所述历史网络数据包括计算机设备的历史网络日志;
所述从所述历史网络数据中提取威胁事件信息的步骤,具体包括:
根据所述历史网络数据进行网络行为的分析,生成网络行为数据;
根据所述网络行为数据,按照预定安全规则进行安全分析;
根据所述安全分析的结果确定所述历史网络数据中的威胁事件信息。
4.如权利要求1所述的威胁监测方法,其特征在于,所述属性维度包括威胁事件的起始时间;
所述根据所述信息子集,生成多组威胁态势数据的步骤,具体包括:
遍历多个所述信息子集,获取遍历到的当前信息子集;
若所述当前信息子集对应的属性维度为威胁事件的起始时间,则根据所述当前信息子集的时间戳,将所述当前信息子集内的各威胁事件信息按时序进行排序,生成时序威胁态势数据。
5.如权利要求1所述的威胁监测方法,其特征在于,所述属性维度包括威胁事件的攻击目的IP;
所述根据所述信息子集,生成多组威胁态势数据的步骤,具体包括:
遍历多个所述信息子集,获取遍历到的当前信息子集;
若所述当前信息子集对应的属性维度为威胁事件的攻击目的IP,则提取所述当前信息子集内的多个攻击目的IP;
获取各攻击目的IP所属的攻击目的地区的经纬度信息;
根据所述攻击目的地区的经纬度信息,将所述当前信息子集内的各威胁事件信息添加至目标地图,生成威胁态势地图。
6.如权利要求1所述的威胁监测方法,其特征在于,所述将生成的威胁态势数据进行展示的步骤之后,所述威胁监测方法还包括:
在接收到文件检测指令时,解析所述文件检测指令所携带的检测关键词;
获取所述检测关键词对应的目标网络数据;
从所述目标网络数据中提取文件数据;
对所述文件数据进行安全检测,获得所述文件数据的安全检测结果;
将所述安全检测结果进行展示。
7.如权利要求1所述的威胁监测方法,其特征在于,所述将生成的威胁态势数据进行展示的步骤之后,所述威胁监测方法还包括:
根据所述威胁态势数据生成威胁情报库。
8.一种威胁监测装置,其特征在于,所述威胁监测装置包括:
获取模块,用于获取多个网络设备在设定时间段内的历史网络数据;
提取模块,用于从所述历史网络数据中提取威胁事件信息;其中,所述威胁事件信息具有多个属性维度;
分类模块,用于按照多个所述属性维度对所述威胁事件信息进行分类,获得多个维度的信息子集;
数据生成模块,用于根据所述信息子集,生成多组威胁态势数据;
展示模块,用于将生成的威胁态势数据进行展示。
9.一种威胁监测设备,其特征在于,所述威胁监测设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的威胁监测程序,所述威胁监测程序被所述处理器执行时实现如权利要求1至7中任一项所述的威胁监测方法的步骤。
10.一种存储介质,其特征在于,所述存储介质上存储有威胁监测程序,所述威胁监测程序被处理器执行时实现如权利要求1至7中任一项所述的威胁监测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911402353.3A CN111131294A (zh) | 2019-12-30 | 2019-12-30 | 威胁监测方法、装置、设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911402353.3A CN111131294A (zh) | 2019-12-30 | 2019-12-30 | 威胁监测方法、装置、设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111131294A true CN111131294A (zh) | 2020-05-08 |
Family
ID=70505864
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911402353.3A Pending CN111131294A (zh) | 2019-12-30 | 2019-12-30 | 威胁监测方法、装置、设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111131294A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112269990A (zh) * | 2020-10-15 | 2021-01-26 | 深信服科技股份有限公司 | 一种安全事件类型确定方法、设备、***及存储介质 |
| CN112637215A (zh) * | 2020-12-22 | 2021-04-09 | 北京天融信网络安全技术有限公司 | 网络安全检测方法、装置、电子设备及可读存储介质 |
| CN113472788A (zh) * | 2021-06-30 | 2021-10-01 | 深信服科技股份有限公司 | 一种威胁感知方法、***、设备及计算机可读存储介质 |
| CN113794727A (zh) * | 2021-09-16 | 2021-12-14 | 山石网科通信技术股份有限公司 | 威胁情报特征库的生成方法、装置、存储介质及处理器 |
| CN114006722A (zh) * | 2021-09-14 | 2022-02-01 | 上海纽盾科技股份有限公司 | 发现威胁的态势感知验证方法、装置及*** |
| CN114268481A (zh) * | 2021-12-15 | 2022-04-01 | 南方电网数字电网研究院有限公司 | 内网终端违规外联信息处理方法、装置、设备和介质 |
| CN115118464A (zh) * | 2022-06-10 | 2022-09-27 | 深信服科技股份有限公司 | 一种失陷主机检测方法、装置、电子设备及存储介质 |
| WO2024098699A1 (zh) * | 2022-11-11 | 2024-05-16 | 上海派拉软件股份有限公司 | 实体对象的威胁检测方法、装置、设备及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105407103A (zh) * | 2015-12-19 | 2016-03-16 | 中国人民解放军信息工程大学 | 一种基于多粒度异常检测的网络威胁评估方法 |
| US20160173446A1 (en) * | 2014-12-12 | 2016-06-16 | Fortinet, Inc. | Presentation of threat history associated with network activity |
| CN106656991A (zh) * | 2016-10-28 | 2017-05-10 | 上海百太信息科技有限公司 | 一种网络威胁检测***及检测方法 |
| CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测***、方法及部署架构 |
| CN107995162A (zh) * | 2017-10-27 | 2018-05-04 | 深信服科技股份有限公司 | 网络安全感知***、方法及可读存储介质 |
| CN109962891A (zh) * | 2017-12-25 | 2019-07-02 | ***通信集团安徽有限公司 | 监测云安全的方法、装置、设备和计算机存储介质 |
| CN110535855A (zh) * | 2019-08-28 | 2019-12-03 | 北京安御道合科技有限公司 | 一种网络事件监测分析方法和***、信息数据处理终端 |
-
2019
- 2019-12-30 CN CN201911402353.3A patent/CN111131294A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160173446A1 (en) * | 2014-12-12 | 2016-06-16 | Fortinet, Inc. | Presentation of threat history associated with network activity |
| CN105407103A (zh) * | 2015-12-19 | 2016-03-16 | 中国人民解放军信息工程大学 | 一种基于多粒度异常检测的网络威胁评估方法 |
| CN106656991A (zh) * | 2016-10-28 | 2017-05-10 | 上海百太信息科技有限公司 | 一种网络威胁检测***及检测方法 |
| CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测***、方法及部署架构 |
| CN107995162A (zh) * | 2017-10-27 | 2018-05-04 | 深信服科技股份有限公司 | 网络安全感知***、方法及可读存储介质 |
| CN109962891A (zh) * | 2017-12-25 | 2019-07-02 | ***通信集团安徽有限公司 | 监测云安全的方法、装置、设备和计算机存储介质 |
| CN110535855A (zh) * | 2019-08-28 | 2019-12-03 | 北京安御道合科技有限公司 | 一种网络事件监测分析方法和***、信息数据处理终端 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112269990A (zh) * | 2020-10-15 | 2021-01-26 | 深信服科技股份有限公司 | 一种安全事件类型确定方法、设备、***及存储介质 |
| CN112269990B (zh) * | 2020-10-15 | 2024-07-12 | 深信服科技股份有限公司 | 一种安全事件类型确定方法、设备、***及存储介质 |
| CN112637215A (zh) * | 2020-12-22 | 2021-04-09 | 北京天融信网络安全技术有限公司 | 网络安全检测方法、装置、电子设备及可读存储介质 |
| CN113472788A (zh) * | 2021-06-30 | 2021-10-01 | 深信服科技股份有限公司 | 一种威胁感知方法、***、设备及计算机可读存储介质 |
| CN113472788B (zh) * | 2021-06-30 | 2023-09-08 | 深信服科技股份有限公司 | 一种威胁感知方法、***、设备及计算机可读存储介质 |
| CN114006722A (zh) * | 2021-09-14 | 2022-02-01 | 上海纽盾科技股份有限公司 | 发现威胁的态势感知验证方法、装置及*** |
| CN114006722B (zh) * | 2021-09-14 | 2023-10-03 | 上海纽盾科技股份有限公司 | 发现威胁的态势感知验证方法、装置及*** |
| CN113794727A (zh) * | 2021-09-16 | 2021-12-14 | 山石网科通信技术股份有限公司 | 威胁情报特征库的生成方法、装置、存储介质及处理器 |
| CN114268481A (zh) * | 2021-12-15 | 2022-04-01 | 南方电网数字电网研究院有限公司 | 内网终端违规外联信息处理方法、装置、设备和介质 |
| CN115118464A (zh) * | 2022-06-10 | 2022-09-27 | 深信服科技股份有限公司 | 一种失陷主机检测方法、装置、电子设备及存储介质 |
| WO2024098699A1 (zh) * | 2022-11-11 | 2024-05-16 | 上海派拉软件股份有限公司 | 实体对象的威胁检测方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111131294A (zh) | 威胁监测方法、装置、设备和存储介质 | |
| CN111147504B (zh) | 威胁检测方法、装置、设备和存储介质 | |
| CN109862003B (zh) | 本地威胁情报库的生成方法、装置、***及存储介质 | |
| CN107908619B (zh) | 基于舆情监控的处理方法、装置、终端及计算机存储介质 | |
| US20190260778A1 (en) | Unsupervised spoofing detection from traffic data in mobile networks | |
| US9215240B2 (en) | Investigative and dynamic detection of potential security-threat indicators from events in big data | |
| CN112100545A (zh) | 网络资产的可视化方法、装置、设备和可读存储介质 | |
| JP2022526382A (ja) | 行動分析方法、装置、電子機器、記憶媒体およびコンピュータプログラム | |
| US9854208B2 (en) | System and method for detecting an object of interest | |
| CN110198303A (zh) | 威胁情报的生成方法及装置、存储介质、电子装置 | |
| CN105204825B (zh) | 终端***安全监控的方法和装置 | |
| KR20120068611A (ko) | 공간 연동을 통한 보안 상황 인지와 상황 정보 생성 장치 및 방법 | |
| CN111930588A (zh) | 进程监测方法、装置、设备和存储介质 | |
| US20150089043A1 (en) | User Device Monitoring | |
| CN112801359A (zh) | 工业互联网安全态势预测方法、装置、电子设备及介质 | |
| CN113381980A (zh) | 信息安全防御方法及***、电子设备、存储介质 | |
| CN109598120A (zh) | 移动终端的安全态势智能分析方法、装置及存储介质 | |
| US20130322686A1 (en) | Profiling Activity Through Video Surveillance | |
| CN110825893A (zh) | 一种目标查找方法、装置、***及存储介质 | |
| CN110795980A (zh) | 基于网络视频的逃犯识别方法、设备、存储介质及装置 | |
| CN114445088A (zh) | 一种欺诈行为的判定方法、装置、电子设备和存储介质 | |
| CN108287873B (zh) | 数据处理方法及相关产品 | |
| CN112667875A (zh) | 一种数据获取、数据分析方法、装置、设备及存储介质 | |
| CN110224975B (zh) | Apt信息的确定方法及装置、存储介质、电子装置 | |
| KR101602480B1 (ko) | 불법 사이트 차단 시스템 및 방법, 이를 수행하기 위한 기록매체 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200508 |