CN116155519A - 威胁告警信息处理方法、装置、计算机设备和存储介质 - Google Patents

威胁告警信息处理方法、装置、计算机设备和存储介质 Download PDF

Info

Publication number
CN116155519A
CN116155519A CN202111394895.8A CN202111394895A CN116155519A CN 116155519 A CN116155519 A CN 116155519A CN 202111394895 A CN202111394895 A CN 202111394895A CN 116155519 A CN116155519 A CN 116155519A
Authority
CN
China
Prior art keywords
threat
information
attack
family
behavior
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111394895.8A
Other languages
English (en)
Inventor
罗梦霞
沈江波
邱成
陶龙
杨耀荣
谭昱
程虎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Cyber Tianjin Co Ltd
Original Assignee
Tencent Cyber Tianjin Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Cyber Tianjin Co Ltd filed Critical Tencent Cyber Tianjin Co Ltd
Priority to CN202111394895.8A priority Critical patent/CN116155519A/zh
Publication of CN116155519A publication Critical patent/CN116155519A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • H04L41/064Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis involving time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请涉及一种威胁告警信息处理方法、装置、计算机设备、存储介质和程序产品。所述方法包括:获取与网络威胁关联的威胁告警信息;根据威胁告警信息,进行线索拓线,得到攻击行为画像;根据攻击行为画像,确定威胁家族信息以及威胁解决方案,并获取威胁发生时间节点;根据威胁发生时间节点,进行可疑行为溯源分析,得到可疑行为攻击路径;汇总威胁家族信息、威胁解决方案以及可疑行为攻击路径,得到网络威胁告警分析报告。采用本方法能够提高威胁告警信息处理效率。

Description

威胁告警信息处理方法、装置、计算机设备和存储介质
技术领域
本申请涉及计算机技术领域,特别是涉及一种威胁告警信息处理方法、装置、计算机设备和存储介质。
背景技术
随着计算机技术的发展,出现了安全产品,安全产品是指用于保证用户网络和主机的***和信息安全,使***正常运行的各种软件产品和相关的软、硬件结合的产品。安全产品在守护用户安全过程中会发出威胁告警信息,威胁告警信息是指安全产品在守护用户安全过程中发现可能对用户***有危害的行为时,记录行为信息并触达终端发出的告警信息。
传统技术中,威胁告警信息到达终端后,终端的用户需要通过排查日志等方式获取入侵线索,并分析攻击类型,以实现对威胁告警信息的分析。
然而,传统方法,在存在海量威胁告警信息的情况下,威胁告警信息入侵分析的工作会大量重复,存在威胁告警信息处理效率低的问题。
发明内容
基于此,有必要针对上述技术问题,提供一种能够提高威胁告警信息处理效率的威胁告警信息处理方法、装置、计算机设备、存储介质和程序产品。
一种威胁告警信息处理方法,所述方法包括:
获取与网络威胁关联的威胁告警信息;
根据威胁告警信息,进行线索拓线,得到攻击行为画像;
根据攻击行为画像,确定威胁家族信息以及威胁解决方案,并获取威胁发生时间节点;
根据威胁发生时间节点,进行可疑行为溯源分析,得到可疑行为攻击路径;
汇总威胁家族信息、威胁解决方案以及可疑行为攻击路径,得到网络威胁告警分析报告。
一种威胁告警信息处理装置,所述装置包括:
信息获取模块,用于获取与网络威胁关联的威胁告警信息;
画像构建模块,用于根据威胁告警信息,进行线索拓线,得到攻击行为画像;
家族溯源模块,用于根据攻击行为画像,确定威胁家族信息以及威胁解决方案,并获取威胁发生时间节点;
可疑行为溯源模块,用于根据威胁发生时间节点,进行可疑行为溯源分析,得到可疑行为攻击路径;
处理模块,用于汇总威胁家族信息、威胁解决方案以及可疑行为攻击路径,得到网络威胁告警分析报告。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
获取与网络威胁关联的威胁告警信息;
根据威胁告警信息,进行线索拓线,得到攻击行为画像;
根据攻击行为画像,确定威胁家族信息以及威胁解决方案,并获取威胁发生时间节点;
根据威胁发生时间节点,进行可疑行为溯源分析,得到可疑行为攻击路径;
汇总威胁家族信息、威胁解决方案以及可疑行为攻击路径,得到网络威胁告警分析报告。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
获取与网络威胁关联的威胁告警信息;
根据威胁告警信息,进行线索拓线,得到攻击行为画像;
根据攻击行为画像,确定威胁家族信息以及威胁解决方案,并获取威胁发生时间节点;
根据威胁发生时间节点,进行可疑行为溯源分析,得到可疑行为攻击路径;
汇总威胁家族信息、威胁解决方案以及可疑行为攻击路径,得到网络威胁告警分析报告。
一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现以下步骤:
获取与网络威胁关联的威胁告警信息;
根据威胁告警信息,进行线索拓线,得到攻击行为画像;
根据攻击行为画像,确定威胁家族信息以及威胁解决方案,并获取威胁发生时间节点;
根据威胁发生时间节点,进行可疑行为溯源分析,得到可疑行为攻击路径;
汇总威胁家族信息、威胁解决方案以及可疑行为攻击路径,得到网络威胁告警分析报告。
上述威胁告警信息处理方法、装置、计算机设备、存储介质和程序产品,通过获取与网络威胁关联的威胁告警信息,根据威胁告警信息,进行线索拓线,得到攻击行为画像,能够利用攻击行为画像,确定威胁家族信息以及威胁解决方案,通过获取威胁发生时间节点,能够利用威胁发生时间节点,进行可疑行为溯源分析,得到可疑行为攻击路径,从而可以通过汇总威胁家族信息、威胁解决方案以及可疑行为攻击路径,得到网络威胁告警分析报告,相比于传统方法,提供了丰富的威胁家族信息、入侵分析过程以及威胁解决方案,能够帮助用户定位威胁入侵原因且提供威胁解决方案,避免重复的入侵分析排查流程与威胁定性工作,能够提高威胁告警信息处理效率。
附图说明
图1为一个实施例中威胁告警信息处理方法的应用环境图;
图2为一个实施例中威胁告警信息处理方法的流程示意图;
图3为一个实施例中威胁告警分析报告的示意图;
图4为一个实施例中定位SSH(Secure Shell,安全外壳协议)***类攻击入口的示意图;
图5为一个实施例中定位利用***漏洞的攻击入口的示意图;
图6为一个实施例中威胁告警信息归属于已知家族时家族分析结果的示意图;
图7为一个实施例中威胁告警信息分析结果的示意图;
图8为一个实施例中威胁告警信息归属于未知家族时家族分析结果的示意图;
图9为另一个实施例中威胁告警信息处理方法的流程示意图;
图10为一个实施例中威胁告警信息处理装置的结构框图;
图11为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的威胁告警信息处理方法,可以应用于如图1所示的应用环境中。其中,安装有安全产品的待监控端102通过网络与用于威胁告警信息处理的服务器104进行通信。待监控端102实时上传日志信息至服务器104,服务器104在接收到日志信息后,从日志信息中获取与网络威胁关联的威胁告警信息,根据威胁告警信息,进行线索拓线,得到攻击行为画像,根据攻击行为画像,确定威胁家族信息以及威胁解决方案,并获取威胁发生时间节点,根据威胁发生时间节点,进行可疑行为溯源分析,得到可疑行为攻击路径,汇总威胁家族信息、威胁解决方案以及可疑行为攻击路径,得到网络威胁告警分析报告。其中,待监控端102可以但不限于是云计算平台、终端等,服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现,也可以是区块链上的节点。其中,云计算平台中部署了多种类型的虚拟资源,以使各种应用***能够根据需要获取计算力、存储空间和信息服务,云计算平台如果受到网络攻击,可能造成巨大损失。因此,如何保障云计算平台的安全是现有技术中需要解决的问题。其中,终端可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备。
在一个实施例中,如图2所示,提供了一种威胁告警信息处理方法,以该方法应用于图1中的服务器104为例进行说明,包括以下步骤:
步骤202,获取与网络威胁关联的威胁告警信息。
其中,威胁告警信息是指安全产品在守护用户安全过程中发现可能对用户***有危害的行为时,记录该行为信息并触达终端发出的告警信息。比如,威胁告警信息具体可以是指安全产品在发现网络威胁时所发出的告警信息。举例说明,威胁告警信息具体可以包括威胁线索信息以及威胁发生时间节点,其中的威胁线索信息是指用于对威胁告警信息进行分析的线索。举例说明,威胁线索信息具体可以是指威胁产生的路径。
具体的,服务器会预先采集待监控端侧的日志信息,利用网络威胁感知探针,从日志信息中获取安全产品产生的、与网络威胁关联的威胁告警信息,威胁告警信息包括威胁感知探针信息、探针感知到的威胁线索信息以及威胁发生时间节点,威胁感知探针信息用于定位探测到威胁告警信息的位置。比如,威胁感知探针信息具体可以是指下载执行远程脚本。其中,探针是能够对网络中的数据包进行采集、分析、信息提取的网络流量处理工具,本实施例中的威胁感知探针,其所探测的对象可以是流量、日志以及文件样本等。
步骤204,根据威胁告警信息,进行线索拓线,得到攻击行为画像。
其中,线索拓线是指根据威胁告警信息来进行信息拓展和推理,即利用已有的大数据知识平台对于有限信息进行拓展。举例说明,已有的大数据知识平台具体可以是指威胁知识库,威胁知识库中包括已发现的攻击者(例如病毒、木马等)的攻击者信息,攻击者信息包括攻击者自身的基本信息和与攻击者相关联的信息。其中的基本信息包括攻击者对应的域名、攻击者所在的IP地址、域名解析结果、攻击者所对应域名的子域名等,与攻击者相关联的信息包括攻击者历史攻击的对象、攻击路径等。攻击行为画像是对攻击行为的形象化描述,利用攻击行为画像可实现对不同攻击行为的区分,并辅助定位出对应的攻击者。比如,攻击行为画像具体可以是指与攻击行为对应的知识图谱,其中包括与攻击行为对应的关联信息。
具体的,服务器会从威胁告警信息中提取出威胁告警特征信息,再利用威胁告警特征信息和预先构建的威胁知识库来进行线索拓线,以获取与威胁告警特征信息关联的关联特征信息,利用关联特征信息和威胁告警特征信息进行知识图谱构建,以得到攻击行为画像。其中,威胁告警特征信息是指与网络威胁关联的、可以表征网络威胁特征的信息。比如,比如,威胁告警特征信息具体可以是指IOC(Indicator of Compromise,攻陷指标)数据,举例说明,IOC数据具体可以为IP(网际互连协议,Internet Protocol)数据、网络链接数据、域名数据等中的至少一项。
步骤206,根据攻击行为画像,确定威胁家族信息以及威胁解决方案,并获取威胁发生时间节点。
其中,威胁家族信息是指与威胁告警信息相关联的家族分析信息,用于描述威胁告警信息对应的威胁告警所属的家族。威胁解决方案是指针对威胁告警信息所提供的处理方式。
具体的,服务器会根据攻击行为画像进行溯源,将攻击行为画像作为待识别画像,并获取预设威胁知识库中已知攻击者信息,根据攻击行为画像和已知攻击者信息,进行画像匹配,得到与攻击行为画像对应的家族分析结果,根据家族分析结果,确定与威胁告警信息对应的威胁告警是否归属于已知家族,根据归属情况,确定威胁家族信息以及威胁解决方案。
步骤208,根据威胁发生时间节点,进行可疑行为溯源分析,得到可疑行为攻击路径。
其中,可疑行为是指根据可疑行为规则预先定义的值得怀疑的行为。比如,可疑行为具体可以为文件修改行为、敏感文件读取行为、网络行为等中的至少一项。本实施例中,可疑行为规则可按照需要自行设置。可疑行为攻击路径是指可疑行为进行攻击的攻击链,用于描述可疑行为的攻击全过程。
具体的,服务器会根据威胁发生时间节点,扩展时间窗口,获取指定时间段内的历史日志信息,通过对历史日志信息进行可疑行为规则匹配,得到主机可疑行为数据,再基于主机可疑行为数据进行溯源分析,定位攻击入口并确定主机可疑行为发生顺序,得到可疑行为攻击路径。其中,指定时间段可按照需要自行设置,比如,指定时间段具体可以是指与威胁发生时间节点对应的近两天。
步骤210,汇总威胁家族信息、威胁解决方案以及可疑行为攻击路径,得到网络威胁告警分析报告。
具体的,服务器会汇总可疑行为攻击路径、威胁家族信息以及威胁解决方案,得到威胁告警分析报告,将威胁告警分析报告推送给用户,以使得用户可以根据威胁告警分析报告了解威胁告警信息关联信息以及进行相应处理。其中,这里的用户具体可以是指使用安全产品的客户,也可以是指负责安全产品管理的责任用户。进一步的,在威胁告警分析报告中包括事件概述模块、溯源分析模块以及解决方案模块,在汇总时,服务器会针对不同模块分别对汇总的数据进行展示。举例说明,在事件概述模块会对威胁家族信息进行展示,在溯源分析模块会对可疑行为攻击路径进行展示,在解决方案模块会对威胁解决方案进行展示。
举例说明,威胁告警分析报告可以如图3所示。需要说明的是,图示中的敏感信息用XXX替代。上述威胁告警信息处理方法,通过获取与网络威胁关联的威胁告警信息,根据威胁告警信息,进行线索拓线,得到攻击行为画像,能够利用攻击行为画像,确定威胁家族信息以及威胁解决方案,通过获取威胁发生时间节点,能够利用威胁发生时间节点,进行可疑行为溯源分析,得到可疑行为攻击路径,从而可以通过汇总威胁家族信息、威胁解决方案以及可疑行为攻击路径,得到网络威胁告警分析报告,相比于传统方法,提供了丰富的威胁家族信息、入侵分析过程以及威胁解决方案,能够帮助用户定位威胁入侵原因且提供威胁解决方案,避免重复的入侵分析排查流程与威胁定性工作,能够提高威胁告警信息处理效率。
在一个实施例中,根据威胁发生时间节点,进行可疑行为溯源分析,得到可疑行为攻击路径包括:
根据威胁发生时间节点,从缓存中获取历史日志信息;
对历史日志信息进行可疑行为规则匹配,得到主机可疑行为数据;
根据主机可疑行为数据,得到与威胁告警信息对应的可疑行为攻击路径。
其中,历史日志信息是指待监控端侧上传的运行过程中产生的日志信息。
具体的,服务器会根据威胁发生时间节点,扩展时间窗口,确定数据采集时间窗口,以根据数据采集时间窗口从缓存中获取指定时间段内的历史日志信息,通过预先设置的可疑行为规则对历史日志信息进行可疑行为规则匹配,得到主机可疑行为数据,进而根据主机可疑行为数据进行攻击溯源,定位攻击入口,得到与威胁告警信息对应的可疑行为攻击路径。
其中,数据采集时间窗口是指数据采集的时间节点。在扩展时间窗口时,时间窗口可按需要自行设置,比如,时间窗口具体可以为与威胁发生时间节点对应的近两天内。预先设置的可疑行为规则中预先定义可疑行为,通过利用可疑行为规则对历史日志信息进行可疑行为规则匹配,可以从历史日志信息中提取出主机可疑行为数据。比如,主机可疑行为数据具体可以为文件修改行为、敏感文件读取行为、网络行为等中的至少一项。
需要说明的是,本实施例中,在获取历史日志信息后,服务器只会通过可疑行为规则匹配,从中提取出主机可疑行为数据,并不会记录用户的正常隐私操作。此外,需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据。
本实施例中,通过根据威胁发生时间节点,从缓存中获取历史日志信息,可以通过对历史日志信息进行可疑行为规则匹配,实现对主机可疑行为数据的获取,进而可以利用主机可疑行为数据,得到与威胁告警信息对应的可疑行为攻击路径。
在一个实施例中,根据主机可疑行为数据,得到与威胁告警信息对应的可疑行为攻击路径包括:
对主机可疑行为数据进行攻击入口规则匹配,定位攻击入口,并确定与主机可疑行为数据对应的可疑行为发生时间节点;
根据可疑行为发生时间节点,对主机可疑行为进行排序,确定主机可疑行为发生顺序;
根据攻击入口和主机可疑行为发生顺序,得到可疑行为攻击路径。
其中,攻击入口规则匹配是指利用预先设置的攻击入口规则去匹配主机可疑行为数据,以判断主机可疑行为数据是否为攻击入口,预先设置的攻击入口规则可按照需要自行设置,在攻击入口规则中预先定义了判断可疑行为是否为攻击入口的方式。比如,攻击入口具体可以分为两类,一是SSH***类入口,二是利用***或者应用的组件漏洞的攻击入口。举例说明,定位SSH***类攻击入口可以如图4所示,定位利用***漏洞的攻击入口可以如图5所示,需要说明的是,图示中的敏感信息用XXX替代。可疑行为攻击路径是指可疑行为进行攻击的攻击链,用于描述可疑行为的攻击全过程。
具体的,服务器会利用预先设置的攻击入口规则去匹配主机可疑行为数据,以定位出攻击入口,并确定主机可疑行为数据对应的可疑行为发生时间节点,根据可疑行为发生时间节点,对主机可疑行为进行排序,确定主机可疑行为发生顺序,根据攻击入口和主机可疑行为发生顺序,生成攻击链,得到与威胁告警信息对应的可疑行为攻击路径。
本实施例中,通过对主机可疑行为数据进行攻击入口规则匹配,能够实现对攻击入口的定位,通过确定主机可疑行为数据对应的可疑行为发生时间节点,能够利用攻击入口以及可疑行为发生时间节点,自动判断与威胁告警信息对应的可疑行为攻击路径,实现对攻击行为的溯源。
在一个实施例中,根据威胁告警信息,进行线索拓线,得到攻击行为画像包括:
根据威胁告警信息,提取威胁告警特征信息;
根据威胁告警特征信息,进行线索拓线,得到与威胁告警特征信息关联的关联特征信息;
基于威胁告警特征信息和关联特征信息,构建知识图谱;
根据知识图谱,得到攻击行为画像。
具体的,在获取到威胁告警信息后,服务器会根据威胁告警信息中的威胁线索信息,从日志信息中获取关联可疑信息,再利用正则匹配,从关联可疑信息中提取出威胁告警特征信息。其中,关联可疑信息是指可以从待监控端侧直接获取到的与威胁告警信息相关联的可疑信息,包括***信息、组件信息以及主机历史执行命令等,其中***信息包括主机可疑进程信息、主机上可疑文件信息等,组件信息包括主机上安装的第三方组件、组件版本等,主机历史执行命令包括主机历史可疑命令、历史可疑登录行为等。举例说明,关联可疑信息具体可以为可疑进程的子进程启动的命令行、可疑进程的父进程启动的命令行、可疑进程自身启动使用的命令行、可疑进程所属用户名称、主机唯一标识、公司名称、公司唯一标识、公司等级、可疑行为发生时间等中的至少一项。正则匹配是指通过设置正则表达式来匹配关联可疑信息,以从其中提取出威胁告警特征信息。
具体的,在提取出威胁告警特征信息后,服务器会利用威胁告警特征信息,在预先构建的威胁知识库中进行查询,以获取与威胁告警特征信息关联的关联特征信息,从而可以以关联特征信息和威胁告警特征信息为实体,以关联特征信息之间的第一关系和关联特征信息和威胁告警特征信息之间的第二关系为关联关系,构建知识图谱,将构建得到的知识图谱,作为攻击行为画像,以便利用攻击行为画像进行溯源。其中,关联特征信息是指通过线索拓线所得到的、与威胁告警特征信息相关联的信息。比如,当威胁告警特征信息为攻击者所在的IP地址时,关联特征信息具体可以是指攻击者对应的域名、攻击者历史攻击的对象、攻击路径等。
本实施例中,通过从威胁告警信息中提取出威胁告警特征信息,利用威胁告警特征信息,进行线索拓线,能够得到与威胁告警特征信息关联的关联特征信息,从而可以基于威胁告警特征信息和关联特征信息,构建知识图谱,根据知识图谱,得到攻击行为画像。
在一个实施例中,根据攻击行为画像,确定威胁家族信息以及威胁解决方案包括:
获取预设威胁知识库中已知攻击者信息;
根据攻击行为画像和已知攻击者信息,进行画像匹配,得到与攻击行为画像对应的家族分析结果;
根据家族分析结果,确定威胁家族信息以及威胁解决方案。
具体的,服务器会获取预设威胁知识库中已知攻击者信息,将攻击行为画像和已知攻击者信息,进行画像匹配,来实现对攻击行为画像的溯源,得到与攻击行为画像对应的家族分析结果。其中,进行画像匹配是指计算攻击行为画像与已知攻击者信息之间的相似度,根据相似度,得到家族分析结果。进一步的,计算攻击行为画像与已知攻击者信息之间的相似度的方式可以为:利用预先训练的特征提取网络分别对攻击行为画像和已知攻击者信息进行特征提取,利用提取出来的特征去计算相似度,也可以为其他计算相似度的方式,本实施例在此处,不对计算攻击行为画像与已知攻击者信息之间的相似度的方式进行具体限定。
具体的,在根据相似度,得到家族分析结果时,服务器可以通过设定相似度阈值来对计算出的相似度进行筛选,当存在达到相似度阈值的目标相似度时,表示存在与攻击行为画像对应的目标攻击者信息,服务器会判断威胁告警信息对应的威胁告警归属于已知家族,根据目标相似度确定对应的目标攻击者信息,根据目标攻击者的归属家族,得到包括结果分类为归属于已知家族的家族分析结果。当不存在达到相似度阈值的目标相似度时,表示不存在与攻击行为画像对应的目标攻击者信息,服务器会判断威胁告警信息对应的威胁告警归属于未定性新威胁,得到包括结果分类为归属于未定性新威胁的家族分析结果。其中,相似度阈值可按照需要自行设置。
更进一步的,若存在多个达到相似度阈值的目标相似度,服务器会进一步对目标相似度进行排序,以从中筛选出最匹配的目标相似度,确定与待识别画像相似度对应的目标攻击者画像。
本实施例中,通过获取预设威胁知识库中已知攻击者信息,根据攻击行为画像和已知攻击者信息,进行画像匹配,能够得到与攻击行为画像对应的家族分析结果,从而可以根据家族分析结果,实现对威胁家族信息以及威胁解决方案的确定。
在一个实施例中,根据家族分析结果,确定威胁家族信息以及威胁解决方案包括:
根据家族分析结果,确定威胁告警信息对应的威胁告警是否归属于已知家族;
当威胁告警归属于已知家族时,根据已知家族,确定威胁家族信息,并获取威胁解决方案;
当威胁告警不归属于已知家族时,推送网络威胁告警分析提示,根据反馈的威胁告警信息分析结果,确定威胁家族信息,并获取威胁解决方案。
具体的,服务器会根据家族分析结果中的结果分类,确定威胁告警信息对应的威胁告警是否归属于已知家族,当结果分类为归属于已知家族时,表示威胁告警归属于已知家族,服务器会将已知家族作为威胁家族,得到威胁家族信息,根据威胁家族信息从预设方案库中获取与威胁家族信息对应的威胁解决方案。其中,预设方案库是指预先存储有已知家族与对应处理方案的数据库。
举例说明,当威胁告警信息归属于已知家族时,家族分析结果可以如图6所示,针对每条威胁告警信息,家族分析结果包括定性结果、定性得分、结果分类等信息,其中的定性结果即是指的威胁家族,定性得分即是指计算得到的目标相似度,结果分类用于描述对威胁告警的分类结果,同时,服务器还会同步展示与威胁告警信息相关联的安全等级、探针信息以及线索信息等。需要说明的是,图示中的敏感信息用XXX、YYY或ZZZ替代。
具体的,当结果分类为归属于未定性新威胁时,表示威胁告警不归属于已知家族,服务器会推送网络威胁告警分析提示至责任用户,以提示责任用户进行人工分析,责任用户会在分析完成后,反馈威胁告警信息分析结果至服务器,在威胁告警信息分析结果中包括家族分析结果以及处理方案,服务器根据反馈的威胁告警信息分析结果,即可确定威胁家族信息,并获取威胁解决方案。进一步的,在得到威胁家族信息以及威胁告警信息处理方案后,由于威胁告警信息归属于未知家族,服务器会同步记录威胁家族信息以及威胁告警信息处理方案至威胁知识库,以便在下次可以直接判断。举例说明,责任用户反馈的威胁告警信息分析结果可以如图7所示,包括家族名、家族描述、解决方案以及产品解决方案等内容。
举例说明,当威胁告警信息不归属于已知家族时,家族分析结果可以如图8所示,针对每条威胁告警信息,家族分析结果包括结果分类,其结果分类为未定性新威胁,同时,服务器还会同步展示与威胁告警信息相关联的安全等级、探针信息以及线索信息等。需要说明的是,图示中的敏感信息用XXX、YYY或ZZZ替代。
本实施例中,通过根据家族分析结果,确定威胁告警信息对应的威胁告警是否归属于已知家族,能够根据威胁告警的归属情况,采用不同的方式实现对威胁家族信息以及威胁解决方案的确定。
在一个实施例中,如图9所示,本申请还提供一个流程示意图来说明本申请的威胁告警信息处理方法,该威胁告警信息处理方法具体包括以下步骤:
步骤902,获取与网络威胁关联的威胁告警信息。
具体的,服务器会预先采集待监控端侧的日志信息,利用网络威胁感知探针,从日志信息中探测安全产品产生的、与网络威胁关联的威胁告警信息。其中,待监控端侧具体可以是指云计算平台。
步骤904,根据威胁告警信息,提取威胁告警特征信息。
具体的,在获取到威胁告警信息后,服务器会根据威胁告警信息中的威胁线索信息,确定威胁产生的路径,根据威胁产品的路径,从日志信息中获取关联可疑信息,包括与威胁产生的路径关联的***信息、组件信息以及主机历史执行命令等,再通过预先设置的正则表达式去匹配关联可疑信息,从关联可疑信息中提取出威胁告警特征信息。
步骤906,根据威胁告警特征信息,进行线索拓线,得到与威胁告警特征信息关联的关联特征信息。
具体的,在得到威胁告警特征信息后,服务器会利用威胁告警特征信息在预先构建的威胁知识库中进行查询,以获取与威胁告警特征信息关联的关联特征信息,关联特征信息具体可以是指与威胁告警特征信息对应的域名、历史攻击对象、历史攻击路径等。步骤908,基于威胁告警特征信息和关联特征信息,构建知识图谱。
具体的,得到关联特征信息后,服务器就可以以关联特征信息和威胁告警特征信息为实体,以关联特征信息之间的第一关系和关联特征信息和威胁告警特征信息之间的第二关系为关联关系,构建知识图谱。
步骤910,根据知识图谱,得到攻击行为画像。
具体的,服务器会直接将知识图谱,作为攻击行为画像,以便利用攻击行为画像进行溯源。步骤912,获取预设威胁知识库中已知攻击者信息。
其中,在预设威胁知识库中存储有已知攻击者信息,攻击者信息包括攻击者自身的基本信息和与攻击者相关联的信息。其中的基本信息包括攻击者对应的域名、攻击者所在的IP地址、域名解析结果、攻击者所对应域名的子域名等,与攻击者相关联的信息包括攻击者历史攻击的对象、攻击路径等。攻击者具体可以是指病毒、木马等。
步骤914,根据攻击行为画像和已知攻击者信息,进行画像匹配,得到与攻击行为画像对应的家族分析结果。
具体的,服务器会将攻击行为画像作为待识别画像,计算攻击行为画像和已知攻击者信息之间的相似度,根据相似度,得到家族分析结果。当存在达到相似度阈值的目标相似度时,表示存在与攻击行为画像对应的目标攻击者信息,服务器会确定威胁告警信息对应的威胁告警归属于已知家族,根据目标相似度确定对应的目标攻击者信息,根据目标攻击者的归属家族,得到包括结果分类为归属于已知家族的家族分析结果。当不存在达到相似度阈值的目标相似度时,表示不存在与攻击行为画像对应的目标攻击者信息,服务器会判断威胁告警信息对应的威胁告警归属于未定性新威胁,得到包括结果分类为归属于未定性新威胁的家族分析结果。其中,相似度阈值可按照需要自行设置。步骤916,根据家族分析结果,确定威胁告警信息对应的威胁告警是否归属于已知家族,当威胁告警归属于已知家族时,跳转至步骤918,当威胁告警不归属于已知家族时,跳转至步骤920。具体的,在家族分析结果中已经包括威胁告警的归属结果,服务器根据该归属结果可直接判断威胁告警信息对应的威胁告警是否归属于已知家族,并根据归属结果采用不同的方式进行下一步处理。
步骤918,根据已知家族,确定威胁家族信息,并获取威胁解决方案,跳转至步骤922。
具体的,当威胁告警归属于已知家族时,服务器会将已知家族作为威胁家族,确定威胁家族信息,并根据威胁家族信息从预设方案库中获取与威胁家族信息对应的威胁解决方案。其中,预设方案库是指预先存储有已知家族与对应处理方案的数据库。
步骤920,推送网络威胁告警分析提示,根据反馈的威胁告警信息分析结果,确定威胁家族信息,并获取威胁解决方案,跳转至步骤922。
具体的,当威胁告警不归属于已知家族时,服务器会推送网络威胁告警分析提示至责任用户,以提示责任用户进行人工分析,责任用户会在分析完成后,反馈威胁告警信息分析结果至服务器,在威胁告警信息分析结果中包括家族分析结果以及处理方案,服务器根据反馈的威胁告警信息分析结果,即可确定威胁家族信息,并获取威胁解决方案。
步骤922,获取威胁发生时间节点。
其中,威胁发生时间节点是指威胁发生的时间点,在发生威胁时,待监控端侧会进行记录并写入日志信息中。
步骤924,根据威胁发生时间节点,从缓存中获取历史日志信息。
具体的,服务器会根据威胁发生时间节点,扩展时间窗口,以从缓存中获取指定时间段内的历史日志信息。其中,时间窗口可按照需要自行设置。
步骤926,对历史日志信息进行可疑行为规则匹配,得到主机可疑行为数据。
具体的,服务器会根据预先设置的可疑行为规则对历史日志信息进行可疑行为规则匹配,以从历史日志信息中提取出主机可疑行为数据。其中,预先设置的可疑行为规则中预先定义有可疑行为,主机可疑行为数据具体可以为文件修改行为、敏感文件读取行为、网络行为等中的至少一项。
步骤928,对主机可疑行为数据进行攻击入口规则匹配,定位攻击入口,并确定与主机可疑行为数据对应的可疑行为发生时间节点。
具体的,服务器会利用预先设置的攻击入口规则去匹配主机可疑行为数据,以判断主机可疑行为数据是否为攻击入口,定位出攻击入口,并根据日志信息,确定与主机可疑行为数据对应的可疑行为发生时间节点。其中,在预先设置的攻击入口规则中预先定义了判断可疑行为是否为攻击入口的方式,本实施例中所涉及的攻击入口主要分为两类,一是SSH***类入口,二是利用***或者应用的组件漏洞的攻击入口。
步骤930,根据可疑行为发生时间节点,对主机可疑行为进行排序,确定主机可疑行为发生顺序。
具体的,通过根据可疑行为发生时间节点,对主机可疑行为进行排序,能够确定主机可疑行为发生顺序。
步骤932,根据攻击入口和主机可疑行为发生顺序,得到可疑行为攻击路径。
具体的,通过根据攻击入口和主机可疑行为发生顺序,服务器可生成对应的攻击链,得到可疑行为攻击路径。
步骤934,汇总威胁家族信息、威胁解决方案以及可疑行为攻击路径,得到网络威胁告警分析报告。
具体的,服务器通过汇总威胁家族信息、威胁解决方案以及可疑行为攻击路径,就可以得到威胁告警信息,将威胁告警信息分析报告推送给用户,以使得用户可以根据威胁告警信息分析报告了解威胁告警信息关联信息以及进行相应处理。其中,这里的用户具体可以是指使用安全产品的客户,也可以是指负责安全产品管理的责任用户。进一步的,在威胁告警信息分析报告中包括事件概述模块、溯源分析模块以及解决方案模块,在汇总时,服务器会针对不同模块分别对汇总的数据进行展示。
本申请的威胁告警信息处理方法,针对海量威胁告警信息难以详细分析的困境,创新性地借助威胁归类与入侵分析能力,完成对海量威胁告警信息事件的自动化分析评估,并输出威胁告警分析报告,从安全产品检测到的威胁告警信息出发,通过收集威胁告警信息相关的组件、进程、文件数据,基于收集的数据借助知识图谱从多维度对安全事件展开分析,添加威胁知识库与自动化入侵分析流程,判定是否为已知威胁,如果为已知威胁则自动化生成威胁告警分析报告触达给订阅的用户,如果不是已知威胁则触达人工判定是否为误报或者新威胁类型,所提出的方法相比于传统的直接发送威胁告警信息给用户的方式,提供了丰富的威胁家族信息、入侵分析过程与威胁清理方案,帮助客户定位威胁入侵原因,避免重复的入侵分析排查流程与威胁定性工作。其中,这里的用户具体可以是指使用安全产品的客户,也可以是指负责安全产品管理的责任用户。
应该理解的是,虽然上述实施例涉及的各流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,上述实施例涉及的各流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图10所示,提供了一种威胁告警信息处理装置,该装置可以采用软件模块或硬件模块,或者是二者的结合成为计算机设备的一部分,该装置具体包括:信息获取模块1002、画像构建模块1004、家族溯源模块1006、可疑行为溯源模块1008和处理模块1010模块,其中:
信息获取模块1002,用于获取与网络威胁关联的威胁告警信息;
画像构建模块1004,用于根据威胁告警信息,进行线索拓线,得到攻击行为画像;
家族溯源模块1006,用于根据攻击行为画像,确定威胁家族信息以及威胁解决方案,并获取威胁发生时间节点;
可疑行为溯源模块1008,用于根据威胁发生时间节点,进行可疑行为溯源分析,得到可疑行为攻击路径;
处理模块1010,用于汇总威胁家族信息、威胁解决方案以及可疑行为攻击路径,得到网络威胁告警分析报告。
上述威胁告警信息处理装置,通过获取与网络威胁关联的威胁告警信息,根据威胁告警信息,进行线索拓线,得到攻击行为画像,能够利用攻击行为画像,确定威胁家族信息以及威胁解决方案,通过获取威胁发生时间节点,能够利用威胁发生时间节点,进行可疑行为溯源分析,得到可疑行为攻击路径,从而可以通过汇总威胁家族信息、威胁解决方案以及可疑行为攻击路径,得到网络威胁告警分析报告,相比于传统方法,提供了丰富的威胁家族信息、入侵分析过程以及威胁解决方案,能够帮助用户定位威胁入侵原因且提供威胁解决方案,避免重复的入侵分析排查流程与威胁定性工作,能够提高威胁告警信息处理效率。
在一个实施例中,可疑行为溯源模块还用于根据威胁发生时间节点,从缓存中获取历史日志信息,对历史日志信息进行可疑行为规则匹配,得到主机可疑行为数据,根据主机可疑行为数据,得到与威胁告警信息对应的可疑行为攻击路径。
在一个实施例中,可疑行为溯源模块还用于对主机可疑行为数据进行攻击入口规则匹配,定位攻击入口,并确定与主机可疑行为数据对应的可疑行为发生时间节点,根据可疑行为发生时间节点,对主机可疑行为进行排序,确定主机可疑行为发生顺序,根据攻击入口和主机可疑行为发生顺序,得到可疑行为攻击路径。
在一个实施例中,画像构建模块还用于根据威胁告警信息,提取威胁告警特征信息,根据威胁告警特征信息,进行线索拓线,得到与威胁告警特征信息关联的关联特征信息,基于威胁告警特征信息和关联特征信息,构建知识图谱,根据知识图谱,得到攻击行为画像。
在一个实施例中,家族溯源模块还用于获取预设威胁知识库中已知攻击者信息,根据攻击行为画像和已知攻击者信息,进行画像匹配,得到与攻击行为画像对应的家族分析结果,根据家族分析结果,确定威胁家族信息以及威胁解决方案。
在一个实施例中,家族溯源模块还用于根据家族分析结果,确定威胁告警信息对应的威胁告警是否归属于已知家族,当威胁告警归属于已知家族时,根据已知家族,确定威胁家族信息,并获取威胁解决方案,当威胁告警不归属于已知家族时,推送网络威胁告警分析提示,根据反馈的威胁告警信息分析结果,确定威胁家族信息,并获取威胁解决方案。
关于威胁告警信息处理装置的具体限定可以参见上文中对于威胁告警信息处理方法的限定,在此不再赘述。上述威胁告警信息处理装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图11所示。该计算机设备包括通过***总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作***、计算机程序和数据库。该内存储器为非易失性存储介质中的操作***和计算机程序的运行提供环境。该计算机设备的数据库用于存储威胁知识库、日志信息等数据。该计算机设备的网络接口用于与外部的待监控端通过网络连接通信。该计算机程序被处理器执行时以实现一种威胁告警信息处理方法。
本领域技术人员可以理解,图11中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,还提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,存储有计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述各方法实施例中的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种威胁告警信息处理方法,其特征在于,所述方法包括:
获取与网络威胁关联的威胁告警信息;
根据所述威胁告警信息,进行线索拓线,得到攻击行为画像;
根据所述攻击行为画像,确定威胁家族信息以及威胁解决方案,并获取威胁发生时间节点;
根据所述威胁发生时间节点,进行可疑行为溯源分析,得到可疑行为攻击路径;
汇总所述威胁家族信息、所述威胁解决方案以及所述可疑行为攻击路径,得到网络威胁告警分析报告。
2.根据权利要求1所述的方法,其特征在于,所述根据所述威胁发生时间节点,进行可疑行为溯源分析,得到可疑行为攻击路径包括:
根据所述威胁发生时间节点,从缓存中获取历史日志信息;
对所述历史日志信息进行可疑行为规则匹配,得到主机可疑行为数据;
根据所述主机可疑行为数据,得到与所述威胁告警信息对应的可疑行为攻击路径。
3.根据权利要求2所述的方法,其特征在于,所述根据所述主机可疑行为数据,得到与所述威胁告警信息对应的可疑行为攻击路径包括:
对所述主机可疑行为数据进行攻击入口规则匹配,定位攻击入口,并确定与所述主机可疑行为数据对应的可疑行为发生时间节点;
根据所述可疑行为发生时间节点,对主机可疑行为进行排序,确定主机可疑行为发生顺序;
根据所述攻击入口和所述主机可疑行为发生顺序,得到可疑行为攻击路径。
4.根据权利要求1所述的方法,其特征在于,所述根据所述威胁告警信息,进行线索拓线,得到攻击行为画像包括:
根据所述威胁告警信息,提取威胁告警特征信息;
根据所述威胁告警特征信息,进行线索拓线,得到与所述威胁告警特征信息关联的关联特征信息;
基于所述威胁告警特征信息和所述关联特征信息,构建知识图谱;
根据所述知识图谱,得到攻击行为画像。
5.根据权利要求1所述的方法,其特征在于,所述根据所述攻击行为画像,确定威胁家族信息以及威胁解决方案包括:
获取预设威胁知识库中已知攻击者信息;
根据所述攻击行为画像和所述已知攻击者信息,进行画像匹配,得到与所述攻击行为画像对应的家族分析结果;
根据所述家族分析结果,确定威胁家族信息以及威胁解决方案。
6.根据权利要求5所述的方法,其特征在于,所述根据所述家族分析结果,确定威胁家族信息以及威胁解决方案包括:
根据所述家族分析结果,确定所述威胁告警信息对应的威胁告警是否归属于已知家族;
当所述威胁告警归属于已知家族时,根据所述已知家族,确定威胁家族信息,并获取威胁解决方案;
当所述威胁告警不归属于已知家族时,推送网络威胁告警分析提示,根据反馈的威胁告警信息分析结果,确定威胁家族信息,并获取威胁解决方案。
7.一种威胁告警信息处理装置,其特征在于,所述装置包括:
信息获取模块,用于获取与网络威胁关联的威胁告警信息;
画像构建模块,用于根据所述威胁告警信息,进行线索拓线,得到攻击行为画像;
家族溯源模块,用于根据所述攻击行为画像,确定威胁家族信息以及威胁解决方案,并获取威胁发生时间节点;
可疑行为溯源模块,用于根据所述威胁发生时间节点,进行可疑行为溯源分析,得到可疑行为攻击路径;
处理模块,用于汇总所述威胁家族信息、所述威胁解决方案以及所述可疑行为攻击路径,得到网络威胁告警分析报告。
8.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的方法的步骤。
9.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
10.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6任一项所述方法的步骤。
CN202111394895.8A 2021-11-23 2021-11-23 威胁告警信息处理方法、装置、计算机设备和存储介质 Pending CN116155519A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111394895.8A CN116155519A (zh) 2021-11-23 2021-11-23 威胁告警信息处理方法、装置、计算机设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111394895.8A CN116155519A (zh) 2021-11-23 2021-11-23 威胁告警信息处理方法、装置、计算机设备和存储介质

Publications (1)

Publication Number Publication Date
CN116155519A true CN116155519A (zh) 2023-05-23

Family

ID=86353024

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111394895.8A Pending CN116155519A (zh) 2021-11-23 2021-11-23 威胁告警信息处理方法、装置、计算机设备和存储介质

Country Status (1)

Country Link
CN (1) CN116155519A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116760636A (zh) * 2023-08-16 2023-09-15 国网江苏省电力有限公司信息通信分公司 一种未知威胁的主动防御***和方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116760636A (zh) * 2023-08-16 2023-09-15 国网江苏省电力有限公司信息通信分公司 一种未知威胁的主动防御***和方法

Similar Documents

Publication Publication Date Title
CN111355697B (zh) 僵尸网络域名家族的检测方法、装置、设备及存储介质
NL2002694C2 (en) Method and system for alert classification in a computer network.
CN111274583A (zh) 一种大数据计算机网络安全防护装置及其控制方法
CN112184091B (zh) 工控***安全威胁评估方法、装置和***
CN112003838B (zh) 网络威胁的检测方法、装置、电子装置和存储介质
US10505986B1 (en) Sensor based rules for responding to malicious activity
CN110188538B (zh) 采用沙箱集群检测数据的方法及装置
KR102424014B1 (ko) 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체
CN112131571B (zh) 威胁溯源方法及相关设备
KR20230024184A (ko) 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체
US20230252136A1 (en) Apparatus for processing cyber threat information, method for processing cyber threat information, and medium for storing a program processing cyber threat information
KR20230103275A (ko) 사이버 보안 위협 정보 처리 장치, 사이버 보안 위협 정보 처리 방법 및 사이버 보안 위협 정보 처리하는 프로그램을 저장하는 저장매체
CN116155519A (zh) 威胁告警信息处理方法、装置、计算机设备和存储介质
CN117254950A (zh) 一种针对威胁攻击的检测分析方法及***
US20230252146A1 (en) Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program
CN110224975B (zh) Apt信息的确定方法及装置、存储介质、电子装置
US20230048076A1 (en) Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program
US20230254340A1 (en) Apparatus for processing cyber threat information, method for processing cyber threat information, and medium for storing a program processing cyber threat information
WO2023163842A1 (en) Thumbprinting security incidents via graph embeddings
CN113660223B (zh) 基于告警信息的网络安全数据处理方法、装置及***
CN115827379A (zh) 异常进程检测方法、装置、设备和介质
CN113572781A (zh) 网络安全威胁信息归集方法
Mahmoud et al. A hybrid snort-negative selection network intrusion detection technique
CN107341396A (zh) 入侵检测方法、装置及服务器
CN115098602B (zh) 基于大数据平台的数据处理方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination