CN113382015A - 一种网络威胁的处置方法、装置、设备及存储介质 - Google Patents
一种网络威胁的处置方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN113382015A CN113382015A CN202110704920.1A CN202110704920A CN113382015A CN 113382015 A CN113382015 A CN 113382015A CN 202110704920 A CN202110704920 A CN 202110704920A CN 113382015 A CN113382015 A CN 113382015A
- Authority
- CN
- China
- Prior art keywords
- network security
- security threat
- threat information
- threat
- handling
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 238000003860 storage Methods 0.000 title claims abstract description 16
- 238000004458 analytical method Methods 0.000 claims abstract description 25
- 238000001514 detection method Methods 0.000 claims description 16
- 238000004590 computer program Methods 0.000 claims description 6
- 230000004044 response Effects 0.000 claims description 5
- 230000000007 visual effect Effects 0.000 claims description 5
- 239000002023 wood Substances 0.000 claims description 5
- 238000011160 research Methods 0.000 description 21
- 238000012545 processing Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 5
- 230000008439 repair process Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000008676 import Effects 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 238000007499 fusion processing Methods 0.000 description 3
- 238000007781 pre-processing Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000010365 information processing Effects 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 208000033748 Device issues Diseases 0.000 description 1
- 241000261585 Hadrobregmus pertinax Species 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000009193 crawling Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000005553 drilling Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008707 rearrangement Effects 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001502 supplementing effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种网络威胁的处置方法、装置、设备及存储介质,包括:接收多个网络安全威胁信息共享业务单位上报的网络安全威胁信息;根据各网络安全威胁信息,对与各网络安全威胁信息匹配的威胁攻击链进行还原,得到与各网络安全威胁信息匹配的威胁证据链;根据与各网络安全威胁信息匹配的威胁证据链,确定与各网络安全威胁信息对应的处置方式,以使威胁处置单位根据处置方式对各网络安全威胁信息进行处置。本发明实施例的技术方案可以提高网络威胁的处置效率,便于对多个网络安全威胁信息进行全局监管及总体态势分析、呈现。
Description
技术领域
本发明实施例涉及网络安全技术领域,尤其涉及一种网络威胁的处置方法、装置、设备及存储介质。
背景技术
目前,随着互联网的迅速发展,网络面临的威胁日益增多。一般来说,网络面临的威胁主要包括僵尸木马、拒绝服务、计算机病毒、移动恶意程序等等,这些威胁给网络用户的隐私信息带来较大的安全隐患。
现有的网络威胁的处置方法主要为:各基础电信企业建立僵木蠕和移动恶意程序的监测处置***。对于电信运营商所属的各业务单位而言,监测处置***中的网络安全平台通常采取两级建设模式,网络安全平台通过对固网流量进行抽样采集、分析和处置,并采用规则碰撞、事件和样本上报分析等手段完成对僵木蠕和移动恶意程序信息的处置。
但是,现有的网络威胁的处置方法存在如下技术缺陷:各种网络安全平台均各自工作,缺乏统一的网络威胁协同处置的手段,无法进行全局监管及总体态势分析;其次,当前网络安全平台虽然能够上报事件,但事件大多采用规则碰撞,容易存在很多安全事件虚警,在这种情况下,需要耗费大量人力在海量的事件中剔除安全事件,导致网络威胁的处置效率较低。
发明内容
本发明实施例提供了一种网络威胁的处置方法、装置、设备及存储介质,可以提高网络威胁的处置效率,便于对多个网络安全威胁信息进行全局监管及总体态势分析。
第一方面,本发明实施例提供了一种网络威胁的处置方法,所述方法包括:
接收多个网络安全威胁信息共享业务单位上报的网络安全威胁信息;
根据各所述网络安全威胁信息,对与各网络安全威胁信息匹配的威胁攻击链进行还原,得到与各网络安全威胁信息匹配的威胁证据链;
根据与各网络安全威胁信息匹配的威胁证据链,确定与各网络安全威胁信息对应的处置方式,以使威胁处置单位根据所述处置方式对各网络安全威胁信息进行处置。
第二方面,本发明实施例还提供了一种网络威胁的处置装置,该装置包括:
信息获取模块,用于接收多个网络安全威胁信息共享业务单位上报的网络安全威胁信息;
证据链生成模块,用于根据各所述网络安全威胁信息,对与各网络安全威胁信息匹配的威胁攻击链进行还原,得到与各网络安全威胁信息匹配的威胁证据链;
处置模块,用于根据与各网络安全威胁信息匹配的威胁证据链,确定与各网络安全威胁信息对应的处置方式,以使威胁处置单位根据所述处置方式对各网络安全威胁信息进行处置。
第三方面,本发明实施例还提供了一种计算机设备,该计算机设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器执行本发明任意实施例提供的网络威胁的处置方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,该存储介质上存储有计算机程序,该程序被处理器执行时实现本发明任意实施例提供的网络威胁的处置方法。
本发明实施例的技术方案通过接收多个网络安全威胁信息共享业务单位上报的网络安全威胁信息,根据各网络安全威胁信息,对与各网络安全威胁信息匹配的威胁攻击链进行还原,得到与各网络安全威胁信息匹配的威胁证据链,根据与各网络安全威胁信息匹配的威胁证据链,确定与各网络安全威胁信息对应的处置方式,以使威胁处置单位根据处置方式对各网络安全威胁信息进行处置的技术手段,可以准确获取各网络安全威胁信息涉及的攻击事件,提高网络威胁的处置效率,便于对多个网络安全威胁信息进行全局监管及总体态势分析和展示。
附图说明
图1是本发明实施例一中的一种网络威胁的处置方法的流程图;
图2是本发明实施例二中的一种网络威胁的处置方法的流程图;
图3a是本发明实施例三中的一种网络威胁的处置方法的流程图;
图3b是本发明实施例三中的一种网络威胁的处置方法的实施方式的示意图;
图4是本发明实施例四中的一种网络威胁的处置装置的结构图;
图5是本发明实施例五中的一种计算机设备的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
实施例一
图1为本发明实施例一提供的一种网络威胁的处置方法的流程图,本实施例可适用于对网络面临的威胁信息进行处置的情形,该方法可以由网络威胁的处置装置来执行,该装置可以由软件和/或硬件来实现,并一般可以集成在计算机以及所有包含程序运行功能的智能设备(例如,终端设备或者服务器)中,具体包括如下步骤:
步骤110、接收多个网络安全威胁信息共享业务单位上报的网络安全威胁信息。
在本实施例中,网络安全威胁信息共享业务单位可以为涉及网络业务的工作单位,例如网络安全企业、互联网企业、以及电信运营商等。其中,各网络安全威胁信息共享业务单位可以按照预设的信息输入渠道,将采集到的网络安全威胁信息导入计算机设备中的威胁众研子***中。所述威胁众研子***用于对接收到的多个网络安全威胁信息进行数据融合处理,得到符合预设格式要求的待处理数据。
在一个具体的实施例中,威胁研判单位也可以将采集到的网络安全威胁信息导入威胁众研子***中,所述威胁研判单位可以为多个网络安全威胁信息共享业务单位中的一个或者多个目标网络业务单位。其中,各网络安全威胁信息共享业务单位可以按照预设的数据接口将采集到的网络安全威胁信息导入威胁众研子***中,或者可以采用人工填报以及离线导入等多种渠道方式,将采集到的网络安全威胁信息导入威胁众研子***中。
在本实施例中,网络安全威胁信息具体可以包括恶意样本、安全事件以及威胁情报等。
步骤120、根据各所述网络安全威胁信息,对与各网络安全威胁信息匹配的威胁攻击链进行还原,得到与各网络安全威胁信息匹配的威胁证据链。
在本实施例中,威胁众研子***对接收到的多个网络安全威胁信息进行数据融合处理后,将得到待处理数据导入计算机设备中的威胁研判子***中,威胁研判子***根据上述待处理数据,对待处理数据中包括的各网络安全威胁信息匹配的威胁攻击链进行还原,得到与各网络安全威胁信息匹配的威胁证据链。
在一个具体的实施例中,假设威胁研判子***检测到某一网络安全威胁信息中包括具体的扫描信息以及漏洞利用信息,则可以根据预存的多种类型的攻击链,还原出与该网络安全威胁信息匹配的的威胁攻击链应该为“探测-捕捉攻击目标-扫描-漏洞利用-达到攻击效果”,然后根据该威胁攻击链,得到与各网络安全威胁信息匹配的威胁证据链,所述威胁证据链中包括与该网络安全威胁信息匹配的具体攻击事件,例如攻击主体、攻击对象、攻击类型以及攻击结果等。
由此,通过根据各网络安全威胁信息,对与各网络安全威胁信息匹配的威胁攻击链进行还原,得到与各网络安全威胁信息匹配的威胁证据链,可以准确获取各网络安全威胁信息涉及的攻击事件,降低安全事件的虚警率,增强安全威胁的处置实效。
步骤130、根据与各网络安全威胁信息匹配的威胁证据链,确定与各网络安全威胁信息对应的处置方式,以使威胁处置单位根据所述处置方式对各网络安全威胁信息进行处置。
在本实施例中,通过威胁研判子***得到与各网络安全威胁信息匹配的威胁证据链之后,可以确定与各网络安全威胁信息对应的处置方式,并由计算机设备中的威胁处置子***将处置任务下发给威胁处置单位,威胁处置单位可以根据所述处置任务,对网络安全威胁信息关联的涉事单位下发处置手段,以使涉事单位对关联的网络安全威胁信息进行处置响应。其中,威胁处置单位为对各网络安全威胁信息进行处置的业务单位;涉事单位为与网络安全威胁信息关联的,且网络受到威胁攻击的业务单位。
在一个具体的实施例中,假设网络安全威胁信息涉及的攻击事件为漏洞攻击、域名攻击、页面篡改、应用程序(Application,App)涉及信息盗取(例如采集用户隐私信息)时,对应的,涉事单位对关联的网络安全威胁信息进行处置响应的方式可以为漏洞修复、恶意域名和网际互连协议(Internet Protocol,IP)封堵、篡改页面修复、App应用下架等。
在本实施例中,提供了一种统一的网络威胁协同处置的手段,即通过威胁众研子***、威胁研判子***以及威胁处置子***,对接收到的多个网络安全威胁信息进行处理,便于对多个网络安全威胁信息进行全局监管及总体态势分析,并且各子***集成与计算机设备中,可以实现网络安全威胁信息处置过程的自动化,提高网络威胁的处置效率。
本发明实施例的技术方案通过接收多个网络安全威胁信息共享业务单位上报的网络安全威胁信息,根据各网络安全威胁信息,对与各网络安全威胁信息匹配的威胁攻击链进行还原,得到与各网络安全威胁信息匹配的威胁证据链,根据与各网络安全威胁信息匹配的威胁证据链,确定与各网络安全威胁信息对应的处置方式,以使威胁处置单位根据处置方式对各网络安全威胁信息进行处置的技术手段,可以准确获取各网络安全威胁信息涉及的攻击事件,提高网络威胁的处置效率,便于对多个网络安全威胁信息进行全局监管及总体态势分析和展示。
实施例二
本实施例是对上述实施例一的进一步细化,与上述实施例相同或相应的术语解释,本实施例不再赘述。图2为本发明实施例二提供的一种网络威胁的处置方法的流程图,在本实施例中,本实施例的技术方案可以与上述实施例的方案中的一种或者多种方法进行组合,在本实施例中,如图2所示,本发明实施例提供的方法还可以包括:
步骤210、接收多个网络安全威胁信息共享业务单位上报的网络安全威胁信息。
步骤220、通过预设的威胁研判引擎,根据各所述网络安全威胁信息,对与各网络安全威胁信息匹配的威胁攻击链进行还原,得到与各网络安全威胁信息匹配的威胁证据链。
其中,所述威胁研判引擎,包括漏洞检测引擎、App应用程序研判引擎、僵木蠕样本分析引擎、网页篡改检测引擎、以及威胁情报研判引擎中的至少一种。
在本实施例中,多种威胁研判引擎集成于威胁研判子***中,所述威胁研判子***也可称为众引擎威胁研判子***。所述众引擎威胁研判子***可以根据网络安全威胁信息所属的攻击类型(例如APP攻击、病毒攻击、页面攻击等),采用匹配的威胁研判引擎,对与网络安全威胁信息匹配的威胁攻击链进行还原,得到与所述网络安全威胁信息匹配的威胁证据链。
在本发明实施例的一个实施方式中,众引擎威胁研判子***可以同时包括漏洞检测引擎、App全景研判引擎、僵木蠕样本分析引擎、篡改检测引擎以及威胁情报研判引擎等。这样设置的好处在于,可以避免研判引擎单一造成证据链结果出现错误的情形,可以提高对各网络安全威胁信息处理结果的准确性;其次,通过多种威胁研判引擎对多个网络安全威胁信息进行协同处理,便于对多个网络安全威胁信息进行全局监管及总体态势分析。
在本实施例中,如果网络安全威胁信息所属的攻击类型比较复杂,上述多种威胁研判引擎很难对该网络安全威胁信息进行处理时,还可以通过视频会议等即时沟通方式与研判专家进行在线研判和协商,以提高对各网络安全威胁信息处理结果的准确性。
在一个具体的实施例中,通过漏洞检测引擎可以实现对通用漏洞的自动化研判分析,保留漏洞验证成功截图,完善威胁证据链;通过僵木蠕样本分析引擎可以实现对僵尸、木马、蠕虫类样本数据研判,固化威胁证据链,输出恶意IP和统一资源定位***(UniformResource Locator,URL),补齐证据链,支撑主管单位开展僵木蠕处置业务;通过篡改检测引擎可以实现对篡改类安全事件进行研判、分析,保留篡改后的证据截图,固化证据链,支撑主管单位开展重要网站或信息***防篡改处置业务;通过App全景研判引擎可以实现对App恶意样本类数据研判,固化证据链,输出恶意IP和URL,支撑主管单位开展App恶意和有害行为检测和处置业务;通过威胁情报研判引擎,可以基于威胁情报数据资源开展基于IP、域名、样本威胁情报等研判支撑;以上业务通过应用程序编程接口(ApplicationProgramming Interface,API)实现对各引擎的灵活调度和协同工作,并可以通过可视化界面呈现各引擎的工作状态、数据负载、性能指标,方便运维和管理。
步骤230、根据与各网络安全威胁信息匹配的威胁证据链,确定与各网络安全威胁信息对应的处置方式,以使威胁处置单位根据所述处置方式对各网络安全威胁信息进行处置。
在本发明实施例的一个实施方式中,在根据与各网络安全威胁信息匹配的威胁证据链,确定与各网络安全威胁信息对应的处置方式的同时,还包括:
向与各网络安全威胁信息关联的涉事单位通报威胁信息,以使各涉事单位在获取到所述威胁信息后,及时根据威胁处置单位下发的处置手段,对关联的网络安全威胁信息进行处置响应。
其中,威胁处置子***可以通过威胁通报模板采取线上线下相结合的方式通报威胁信息,具体可以将威胁信息通过在线即时告警、离线电话或短信方式告知涉事单位,并接收涉事单位的反馈结果。
其中,在向与各网络安全威胁信息关联的涉事单位通报威胁信息之后,还包括:接收各涉事单位反馈的与各网络安全威胁信息对应的处置结果信息;将与各网络安全威胁信息对应的处置手段,以及所述处置结果信息,通过可视化界面进行展示,以使网络安全威胁业务参与单位对各网络安全威胁信息的处置情况进行查看。
在本实施例中,各涉事单位在对关联的网络安全威胁信息进行处置响应之后,可以根据网络安全威胁信息涉及的具体业务数据、IP域名等活跃资源以及威胁情报等数据,回填处置时间、源/目的IP、业务主体等字段,生成完整的处置日志(也即处置结果信息),并通过预设的接口格式反馈到威胁处置子***。
步骤240、对各网络安全威胁信息、与各网络安全威胁信息对应的处置手段,以及所述处置结果信息进行整合,得到威胁事件处置数据,以使网络安全威胁业务参与单位根据所述威胁事件处置数据,开展网络安全保障业务。
在本实施例中,威胁处置单位根据处置方式对各网络安全威胁信息进行处置之后,威胁处置子***可以对各网络安全威胁信息的处置业务进行归纳和复盘,得到威胁事件处置数据。网络安全威胁业务参与单位可以根据威胁事件处置数据,开展设定时间段内的网络安全保障业务、针对网络威胁的应急指挥业务、以及针对网络威胁的应急演练业务等。
本发明实施例的技术方案通过接收多个网络安全威胁信息共享业务单位上报的网络安全威胁信息,通过预设的威胁研判引擎,根据各网络安全威胁信息,对与各网络安全威胁信息匹配的威胁攻击链进行还原,得到与各网络安全威胁信息匹配的威胁证据链,根据与各网络安全威胁信息匹配的威胁证据链,然后确定与各网络安全威胁信息对应的处置方式,以使威胁处置单位根据处置方式对各网络安全威胁信息进行处置,最后对各网络安全威胁信息、与各网络安全威胁信息对应的处置手段,以及处置结果信息进行整合,得到威胁事件处置数据,以使网络安全威胁业务参与单位根据威胁事件处置数据,开展网络安全保障业务的技术手段,可以准确获取各网络安全威胁信息涉及的攻击事件,提高网络威胁的处置效率,便于对多个网络安全威胁信息进行全局监管及总体态势分析和展示。
实施例三
本实施例是对上述实施例二的进一步细化,与上述实施例相同或相应的术语解释,本实施例不再赘述。图3a为本发明实施例三提供的一种网络威胁的处置方法的流程图,在本实施例中,本实施例的技术方案可以与上述实施例的方案中的一种或者多种方法进行组合,在本实施例中,如图3a所示,本发明实施例提供的方法还可以包括:
步骤310、接收多个网络安全威胁信息共享业务单位上报的网络安全威胁信息。
步骤320、根据各所述网络安全威胁信息,对与各网络安全威胁信息匹配的威胁攻击链进行还原,得到与各网络安全威胁信息匹配的威胁证据链。
步骤330、根据与各网络安全威胁信息匹配的威胁证据链,以及与各网络安全威胁信息匹配的影响范围,确定与各网络安全威胁信息对应的事件类型。
在本实施例中,所述威胁证据链中包括与该网络安全威胁信息匹配的具体攻击事件,可以根据攻击事件的影响程度,以及攻击事件涉及的业务单位的数量,确定与各网络安全威胁信息匹配的影响范围,然后根据与各网络安全威胁信息匹配的威胁证据链,以及与各网络安全威胁信息匹配的影响范围,确定与各网络安全威胁信息对应的事件类型。
在一个具体的实施例中,如果与网络安全威胁信息匹配的影响范围较小,则确定与各网络安全威胁信息对应的事件类型为普通威胁事件;如果与网络安全威胁信息匹配的影响范围较大,则确定与各网络安全威胁信息对应的事件类型为重大威胁事件。
步骤340、根据与各网络安全威胁信息对应的事件类型,确定与各网络安全威胁信息对应的处置方式,以使威胁处置单位根据所述处置方式对各网络安全威胁信息进行处置。
在本发明实施例的一个实施方式中,根据与各网络安全威胁信息对应的事件类型,确定与各网络安全威胁信息对应的处置方式,包括:如果确定与目标网络安全威胁信息对应的事件类型为普通威胁事件,则确定处置方式为由威胁处置单位进行单一处置;如果确定与目标网络安全威胁信息对应的事件类型为重大威胁事件,则确定处置方式为,由威胁处置单位、目标网络安全威胁信息关联的目标涉事单位,以及与目标涉事单位对应的主管单位进行协同处置。
在一个具体的实施例中,如果确定与目标网络安全威胁信息对应的事件类型为普通威胁事件(例如漏洞攻击),则威胁处置单位可以对网络安全威胁信息关联的涉事单位下发处置手段,以使涉事单位进行处置响应(例如漏洞修复);如果确定与目标网络安全威胁信息对应的事件类型为重大威胁事件,则由威胁处置单位协同涉事单位以及主管单位执行重大威胁事件的处置响应工作。
本发明实施例的技术方案通过接收多个网络安全威胁信息共享业务单位上报的网络安全威胁信息,根据各网络安全威胁信息,对与各网络安全威胁信息匹配的威胁攻击链进行还原,得到与各网络安全威胁信息匹配的威胁证据链,然后根据与各网络安全威胁信息匹配的威胁证据链,以及与各网络安全威胁信息匹配的影响范围,确定与各网络安全威胁信息对应的事件类型,最后根据与各网络安全威胁信息对应的事件类型,确定与各网络安全威胁信息对应的处置方式,以使威胁处置单位根据处置方式对各网络安全威胁信息进行处置的技术手段,可以准确获取各网络安全威胁信息涉及的攻击事件,提高网络威胁的处置效率,便于对多个网络安全威胁信息进行全局监管及总体态势分析和展示。
为了更好的对本发明实施例提供的技术方案进行介绍,本发明实施例可以参考下述的实施方式,如图3b所示:
在本实施例的一个实施方式中,首先通过计算机设备中的数据汇集子***以接口、批量导入和人工填报等方式实现对多个网络安全威胁信息(安全事件、恶意样本和威胁情报)的汇集,然后将这些网络安全威胁信息导入至威胁众研子***中。
其中,威胁众判子***包括数据预处理模块和数据存储模块,具备多源异构数据归一化处理能力,导入和存储恶意样本库、安全事件库和威胁情报库,准备为下一步各威胁研判引擎***协同开展研判业务。集成各业务单位的数据资源,实现对汇集数据的预处理,存储恶意样本、安全事件和威胁情报,为后续各引擎威胁研判统一语法规则、基础信息和业务场景。该子***进行规则语法的统一解析和维护,对各业务单位汇集数据进行清洗和校验,结合基础资源信息,存储网络威胁处置基准库。通过威胁众判子***接收到的多个网络安全威胁信息进行数据融合处理,得到符合预设格式要求的待处理数据,然后将该待处理数据导入众引擎威胁研判子***中。
其中,众引擎威胁研判子***集成多种业务分析引擎,包括App全景研判引擎、僵木蠕样本分析引擎、篡改检测分析引擎、漏洞检测分析引擎和威胁情报研判分析引擎,实现对恶意App样本、僵尸/木马/蠕虫恶意软件样本、篡改页面、脆弱性漏洞和相关网络安全事件的研判分析,可面向App安全检测、网站或云平台防篡改检测、重要信息***漏洞检测等具体场景,采用单引擎分别工作或多引擎协同研判等方式,检测僵尸、木马、蠕虫攻击、恶意程序、非法入侵、网络攻击等安全事件,进行样本分析和恶意行为研判,生成可定性、可处置、可复盘、可通报的网络安全事件,针对面向不同涉事单位的各类事件及攻击行为,得到处置建议。
然后,通过威胁处置子***,根据众引擎威胁研判子***得到的网络安全威胁处置建议,通过指令交互方式,按照接口字段约定信息,实现僵尸、木马、蠕虫攻击、恶意程序、非法入侵、网络攻击等安全事件的处理和效果反馈,旨在消除、制止、减轻或控制网络安全威胁。本子***可面向恶意IP、恶意域名、恶意URL、恶意电子邮件账号或恶意手机号码,支持相关业务单位采取停止服务或屏蔽等处置措施;本子***可面向网络服务提供者、网络关键信息基础设施拥有或运营者,告知其清除本单位网络设备或信息***中存在的恶意程序;本***可面向漏洞、后门等脆弱性风险,督促各接入单位的网络服务和产品提供商,修复漏洞、封堵后门,消除安全隐患;同时,本子***还支持其它可通过类似API接口自定义的相关处置措施,支持诸如篡改页面修复、App应用下架处置业务的达成。***通过接口设定的字段信息,接收业务处置单位的反馈,确认以上网络安全事件的处理结果和处置时效。***可通过***工单、在线公文导入和发放、即时视频会议、短信邮件告知等方式,支持个业务单位对各类网络安全事件进行处理、反馈。
最后通过业务展示子***对网络安全威胁信息的处置结果进行展示。其中,业务展示子***作为人机交互界面,面向网络威胁数据汇集、业务研判、处置反馈操作和界面展示要求,提供数据采集、数据预处理、数据分析、业务实效实时展示的可视化界面,呈现主要业务处理流程,支持对众研众判业务的自定义展示。
本发明实施例提供的方法可以准确获取各网络安全威胁信息涉及的攻击事件,提高网络威胁的处置效率,便于对多个网络安全威胁信息进行全局监管及总体态势分析。
实施例四
图4为本发明实施例四提供的一种网络威胁的处置装置的结构图,该装置包括:信息接收模块410、证据链生成模块420和处置模块430。
其中,信息接收模块410,用于接收多个网络安全威胁信息共享业务单位上报的网络安全威胁信息;
证据链生成模块420,用于根据各所述网络安全威胁信息,对与各网络安全威胁信息匹配的威胁攻击链进行还原,得到与各网络安全威胁信息匹配的威胁证据链;
处置模块430,用于根据与各网络安全威胁信息匹配的威胁证据链,确定与各网络安全威胁信息对应的处置方式,以使威胁处置单位根据所述处置方式对各网络安全威胁信息进行处置。
本发明实施例的技术方案通过接收多个网络安全威胁信息共享业务单位上报的网络安全威胁信息,根据各网络安全威胁信息,对与各网络安全威胁信息匹配的威胁攻击链进行还原,得到与各网络安全威胁信息匹配的威胁证据链,根据与各网络安全威胁信息匹配的威胁证据链,确定与各网络安全威胁信息对应的处置方式,以使威胁处置单位根据处置方式对各网络安全威胁信息进行处置的技术手段,可以准确获取各网络安全威胁信息涉及的攻击事件,提高网络威胁的处置效率,便于对多个网络安全威胁信息进行全局监管及总体态势分析和展示。
在上述各实施例的基础上,证据链生成模块420,可以包括:
研判引擎处理单元,用于通过预设的威胁研判引擎,根据各所述网络安全威胁信息,对与各网络安全威胁信息匹配的威胁攻击链进行还原,得到与各网络安全威胁信息匹配的威胁证据链;
其中,所述威胁研判引擎,包括漏洞检测引擎、App应用程序研判引擎、僵木蠕样本分析引擎、网页篡改检测引擎、以及威胁情报研判引擎中的至少一种。
处置模块430,可以包括:
类型确定单元,用于根据与各网络安全威胁信息匹配的威胁证据链,以及与各网络安全威胁信息匹配的影响范围,确定与各网络安全威胁信息对应的事件类型;
方式确定单元,用于根据与各网络安全威胁信息对应的事件类型,确定与各网络安全威胁信息对应的处置方式;
单一处置单元,用于如果确定与目标网络安全威胁信息对应的事件类型为普通威胁事件,则确定处置方式为由威胁处置单位进行单一处置;
协同处置单元,用于如果确定与目标网络安全威胁信息对应的事件类型为重大威胁事件,则确定处置方式为,由威胁处置单位、目标网络安全威胁信息关联的目标涉事单位,以及与目标涉事单位对应的主管单位进行协同处置;
信息通报单元,用于向与各网络安全威胁信息关联的涉事单位通报威胁信息,以使各涉事单位在获取到所述威胁信息后,及时根据威胁处置单位下发的处置手段,对关联的网络安全威胁信息进行处置响应;
信息接收单元,用于接收各涉事单位反馈的与各网络安全威胁信息对应的处置结果信息;
界面展示单元,用于将与各网络安全威胁信息对应的处置手段,以及所述处置结果信息,通过可视化界面进行展示,以使网络安全威胁业务参与单位对各网络安全威胁信息的处置情况进行查看;
信息整合单元,用于对各网络安全威胁信息、与各网络安全威胁信息对应的处置手段,以及所述处置结果信息进行整合,得到威胁事件处置数据,以使网络安全威胁业务参与单位根据所述威胁事件处置数据,开展网络安全保障业务。
本发明实施例所提供的网络威胁的处置装置可执行本发明任意实施例所提供的网络威胁的处置方法,具备执行方法相应的功能模块和有益效果。
实施例五
图5为本发明实施例五提供的一种计算机设备的结构示意图,如图5所示,该计算机设备包括处理器510、存储器520、输入装置530和输出装置540;计算机设备中处理器510的数量可以是一个或多个,图5中以一个处理器510为例;计算机设备中的处理器510、存储器520、输入装置530和输出装置540可以通过总线或其他方式连接,图5中以通过总线连接为例。存储器520作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明任意实施例中的一种网络威胁的处置方法对应的程序指令/模块(例如,一种网络威胁的处置装置中的信息接收模块410、证据链生成模块420和处置模块430)。处理器510通过运行存储在存储器520中的软件程序、指令以及模块,从而执行计算机设备的各种功能应用以及数据处理,即实现上述的一种网络威胁的处置方法。也即,该程序被处理器执行时实现:
接收多个网络安全威胁信息共享业务单位上报的网络安全威胁信息;
根据各所述网络安全威胁信息,对与各网络安全威胁信息匹配的威胁攻击链进行还原,得到与各网络安全威胁信息匹配的威胁证据链;
根据与各网络安全威胁信息匹配的威胁证据链,确定与各网络安全威胁信息对应的处置方式,以使威胁处置单位根据所述处置方式对各网络安全威胁信息进行处置。
存储器520可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器520可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器520可进一步包括相对于处理器510远程设置的存储器,这些远程存储器可以通过网络连接至计算机设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。输入装置530可用于接收输入的数字或字符信息,以及产生与计算机设备的用户设置以及功能控制有关的键信号输入,可以包括键盘和鼠标等。输出装置540可包括显示屏等显示设备。
实施例六
本发明实施例六还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本发明任意实施例所述方法。当然,本发明实施例所提供的一种计算机可读存储介质,其可以执行本发明任意实施例所提供的一种网络威胁的处置方法中的相关操作。也即,该程序被处理器执行时实现:
接收多个网络安全威胁信息共享业务单位上报的网络安全威胁信息;
根据各所述网络安全威胁信息,对与各网络安全威胁信息匹配的威胁攻击链进行还原,得到与各网络安全威胁信息匹配的威胁证据链;
根据与各网络安全威胁信息匹配的威胁证据链,确定与各网络安全威胁信息对应的处置方式,以使威胁处置单位根据所述处置方式对各网络安全威胁信息进行处置。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
值得注意的是,上述一种网络威胁的处置装置的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (10)
1.一种网络威胁的处置方法,其特征在于,包括:
接收多个网络安全威胁信息共享业务单位上报的网络安全威胁信息;
根据各所述网络安全威胁信息,对与各网络安全威胁信息匹配的威胁攻击链进行还原,得到与各网络安全威胁信息匹配的威胁证据链;
根据与各网络安全威胁信息匹配的威胁证据链,确定与各网络安全威胁信息对应的处置方式,以使威胁处置单位根据所述处置方式对各网络安全威胁信息进行处置。
2.根据权利要求1所述的方法,其特征在于,根据各所述网络安全威胁信息,对与各网络安全威胁信息匹配的威胁攻击链进行还原,得到与各网络安全威胁信息匹配的威胁证据链,包括:
通过预设的威胁研判引擎,根据各所述网络安全威胁信息,对与各网络安全威胁信息匹配的威胁攻击链进行还原,得到与各网络安全威胁信息匹配的威胁证据链;
其中,所述威胁研判引擎,包括漏洞检测引擎、App应用程序研判引擎、僵木蠕样本分析引擎、网页篡改检测引擎、以及威胁情报研判引擎中的至少一种。
3.根据权利要求1所述的方法,其特征在于,根据与各网络安全威胁信息匹配的威胁证据链,确定与各网络安全威胁信息对应的处置方式,包括:
根据与各网络安全威胁信息匹配的威胁证据链,以及与各网络安全威胁信息匹配的影响范围,确定与各网络安全威胁信息对应的事件类型;
根据与各网络安全威胁信息对应的事件类型,确定与各网络安全威胁信息对应的处置方式。
4.根据权利要求3所述的方法,其特征在于,根据与各网络安全威胁信息对应的事件类型,确定与各网络安全威胁信息对应的处置方式,包括:
如果确定与目标网络安全威胁信息对应的事件类型为普通威胁事件,则确定处置方式为由威胁处置单位进行单一处置;
如果确定与目标网络安全威胁信息对应的事件类型为重大威胁事件,则确定处置方式为,由威胁处置单位、目标网络安全威胁信息关联的目标涉事单位,以及与目标涉事单位对应的主管单位进行协同处置。
5.根据权利要求1所述的方法,其特征在于,在根据与各网络安全威胁信息匹配的威胁证据链,确定与各网络安全威胁信息对应的处置方式的同时,还包括:
向与各网络安全威胁信息关联的涉事单位通报威胁信息,以使各涉事单位在获取到所述威胁信息后,及时根据威胁处置单位下发的处置手段,对关联的网络安全威胁信息进行处置响应。
6.根据权利要求5所述的方法,其特征在于,在向与各网络安全威胁信息关联的涉事单位通报威胁信息之后,还包括:
接收各涉事单位反馈的与各网络安全威胁信息对应的处置结果信息;
将与各网络安全威胁信息对应的处置手段,以及所述处置结果信息,通过可视化界面进行展示,以使网络安全威胁业务参与单位对各网络安全威胁信息的处置情况进行查看。
7.根据权利要求6所述的方法,其特征在于,在根据与各网络安全威胁信息匹配的威胁证据链,确定与各网络安全威胁信息对应的处置方式,以使威胁处置单位根据所述处置方式对各网络安全威胁信息进行处置之后,还包括:
对各网络安全威胁信息、与各网络安全威胁信息对应的处置手段,以及所述处置结果信息进行整合,得到威胁事件处置数据,以使网络安全威胁业务参与单位根据所述威胁事件处置数据,开展网络安全保障业务。
8.一种网络威胁的处置装置,其特征在于,所述装置包括:
信息接收模块,用于接收多个网络安全威胁信息共享业务单位上报的网络安全威胁信息;
证据链生成模块,用于根据各所述网络安全威胁信息,对与各网络安全威胁信息匹配的威胁攻击链进行还原,得到与各网络安全威胁信息匹配的威胁证据链;
处置模块,用于根据与各网络安全威胁信息匹配的威胁证据链,确定与各网络安全威胁信息对应的处置方式,以使威胁处置单位根据所述处置方式对各网络安全威胁信息进行处置。
9.一种计算机设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器执行所述程序时实现如权利要求1-7中任一所述的网络威胁的处置方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-7中任一所述的网络威胁的处置方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110704920.1A CN113382015A (zh) | 2021-06-24 | 2021-06-24 | 一种网络威胁的处置方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110704920.1A CN113382015A (zh) | 2021-06-24 | 2021-06-24 | 一种网络威胁的处置方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113382015A true CN113382015A (zh) | 2021-09-10 |
Family
ID=77578938
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110704920.1A Pending CN113382015A (zh) | 2021-06-24 | 2021-06-24 | 一种网络威胁的处置方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113382015A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113904920A (zh) * | 2021-09-14 | 2022-01-07 | 上海纽盾科技股份有限公司 | 基于失陷设备的网络安全防御方法、装置及*** |
| CN116566729A (zh) * | 2023-06-15 | 2023-08-08 | 广州谦益科技有限公司 | 基于安全云的网络安全运营分析方法、装置、电子设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109688105A (zh) * | 2018-11-19 | 2019-04-26 | 中国科学院信息工程研究所 | 一种威胁报警信息生成方法及*** |
| CN109698819A (zh) * | 2018-11-19 | 2019-04-30 | 中国科学院信息工程研究所 | 一种网络中的威胁处置管理方法及*** |
| CN110545276A (zh) * | 2019-09-03 | 2019-12-06 | 新华三信息安全技术有限公司 | 威胁事件告警方法、装置、告警设备及机器可读存储介质 |
| US20200153843A1 (en) * | 2018-11-14 | 2020-05-14 | F-Secure Corporation | Threat Control Method and System |
| CN112003838A (zh) * | 2020-08-06 | 2020-11-27 | 杭州安恒信息技术股份有限公司 | 网络威胁的检测方法、装置、电子装置和存储介质 |
-
2021
- 2021-06-24 CN CN202110704920.1A patent/CN113382015A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20200153843A1 (en) * | 2018-11-14 | 2020-05-14 | F-Secure Corporation | Threat Control Method and System |
| CN109688105A (zh) * | 2018-11-19 | 2019-04-26 | 中国科学院信息工程研究所 | 一种威胁报警信息生成方法及*** |
| CN109698819A (zh) * | 2018-11-19 | 2019-04-30 | 中国科学院信息工程研究所 | 一种网络中的威胁处置管理方法及*** |
| CN110545276A (zh) * | 2019-09-03 | 2019-12-06 | 新华三信息安全技术有限公司 | 威胁事件告警方法、装置、告警设备及机器可读存储介质 |
| CN112003838A (zh) * | 2020-08-06 | 2020-11-27 | 杭州安恒信息技术股份有限公司 | 网络威胁的检测方法、装置、电子装置和存储介质 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113904920A (zh) * | 2021-09-14 | 2022-01-07 | 上海纽盾科技股份有限公司 | 基于失陷设备的网络安全防御方法、装置及*** |
| CN113904920B (zh) * | 2021-09-14 | 2023-10-03 | 上海纽盾科技股份有限公司 | 基于失陷设备的网络安全防御方法、装置及*** |
| CN116566729A (zh) * | 2023-06-15 | 2023-08-08 | 广州谦益科技有限公司 | 基于安全云的网络安全运营分析方法、装置、电子设备及存储介质 |
| CN116566729B (zh) * | 2023-06-15 | 2024-02-13 | 广州谦益科技有限公司 | 基于安全云的网络安全运营分析方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110740141A (zh) | 一体化网络安全态势感知方法、装置及计算机设备 | |
| CN107547526A (zh) | 一种云地结合的数据处理方法及装置 | |
| CN108111487B (zh) | 一种安全监控方法及*** | |
| US20100325685A1 (en) | Security Integration System and Device | |
| CN114070629B (zh) | 针对apt攻击的安全编排与自动化响应方法、装置及*** | |
| CN102790706A (zh) | 海量事件安全分析方法及装置 | |
| CN204669399U (zh) | 基于Hadoop架构的网络病毒和威胁监测*** | |
| CN113382015A (zh) | 一种网络威胁的处置方法、装置、设备及存储介质 | |
| Hatada et al. | Empowering anti-malware research in Japan by sharing the MWS datasets | |
| CN113177205B (zh) | 一种恶意应用检测***及方法 | |
| CN112822147A (zh) | 一种用于分析攻击链的方法、***及设备 | |
| CN112738138B (zh) | 云安全托管方法、装置、设备及存储介质 | |
| CN113810408A (zh) | 网络攻击组织的探测方法、装置、设备及可读存储介质 | |
| WO2019018829A1 (en) | MITIGATING IMPROVED CYBERSECURITY THREATS USING DEEP AND BEHAVIORAL ANALYTICS | |
| CN110650126A (zh) | 一种防网站流量攻击方法、装置以及智能终端、存储介质 | |
| CN108737332B (zh) | 一种基于机器学习的中间人攻击预测方法 | |
| Hemdan et al. | Spark-based log data analysis for reconstruction of cybercrime events in cloud environment | |
| CN116208415A (zh) | 一种对api资产进行管理方法、装置及设备 | |
| Lee et al. | A study on efficient log visualization using d3 component against apt: How to visualize security logs efficiently? | |
| CN114666101A (zh) | 一种攻击溯源检测***、方法、设备及介质 | |
| CN112596984A (zh) | 业务弱隔离环境下的数据安全态势感知*** | |
| CN116668051A (zh) | 攻击行为的告警信息处理方法、装置、程序、电子及介质 | |
| Suciu et al. | Mobile devices forensic platform for malware detection | |
| CN113518067A (zh) | 一种基于原始报文的安全分析方法 | |
| CN114338175B (zh) | 数据收集管理***及数据收集管理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210910 |