网络威胁的检测方法、装置、电子装置和存储介质制造方法及图纸

本申请涉及一种网络威胁的检测方法、装置、电子装置和存储介质，其中，该网络威胁的检测方法包括：从多个数据源中获取网络安全数据；将网络安全数据输入到已训练的安全分析模型，得到已训练的安全分析模型输出的待测威胁数据，其中，已训练的安全分析模型是被训练为根据网络安全数据的特征信息评估网络安全数据是否属于待测威胁数据的机器学习模型；将待测威胁数据输入到第一研判平台，判断在第一研判平台中是否发生对应于待测威胁数据的威胁事件；在第一研判平台中发生对应于待测威胁数据的威胁事件的情况下，标记待测威胁数据为第一威胁数据。解决了相关技术中对网络威胁的检测存在误报的问题，实现了提高网络威胁的检测准确率的技术效果。

【技术实现步骤摘要】
网络威胁的检测方法、装置、电子装置和存储介质
本申请涉及信息安全
，特别是涉及一种网络威胁的检测方法、装置、电子装置和存储介质。
技术介绍
随着以APT、恶意挖矿、勒索病毒等为主的新型威胁和网络攻击的不断出现，数量不断上升，网络威胁正迅速恶性演变，与此同时，网络攻击的手段和渠道亦多元化发展，对于网络安全人员的分析与处理能力提出了更高的要求，而企业和组织在防范外部的攻击过程中越发需要依靠充分、高效、精准的安全威胁信息作为支撑，以帮助其更好的发现和应对这些新型威胁。威胁信息可以帮助用户明确其在线信息资产和安全状况，根据自身资产的重要程度和影响面，进行相关的漏洞修补和风险管理。威胁信息还可以帮助用户了解其所在行业的威胁环境，有哪些攻击者，攻击者使用的战术技术等。相关技术中的网络威胁检测技术往往采用特征匹配等技术来发现各种已知和未知的网络威胁信息，例如通过重点系统或网站安全监测、城域网分光流量检测、重要行业日志采集、网络资产普查、工控系统探测等安全设备通过特征匹配等技术直接检测威胁、隐患和事件信息。这些威胁信息一旦被检测出来，将由监管单位针对网站或系统所存在的威胁信息通报其相关被监管单位，由被监管单位对这些存在威胁的网站或系统进行整改，消除其存在的风险信息。然而，由于网络问题、设备异常等不可控因素会导致检测出来的网络威胁信息存在误报等情况。通报不存在或不实的威胁信息不仅造成通报过程中人力、物力等资源的浪费，还会影响监管方的权威性，从而影响监管工作的正常推进。。目前针对相关技术中对网络威胁的检测存在误报的问题，尚未提出有效的解决方案。
技术实现思路
本申请实施例提供了一种网络威胁的检测方法、装置、电子装置和存储介质，以至少解决相关技术中对网络威胁的检测存在误报的问题。第一方面，本申请实施例提供了一种网络威胁的检测方法，包括：从多个数据源中获取网络安全数据；将所述网络安全数据输入到已训练的安全分析模型，得到所述已训练的安全分析模型输出的待测威胁数据，其中，所述已训练的安全分析模型是被训练为根据网络安全数据的特征信息评估网络安全数据是否属于待测威胁数据的机器学习模型；将所述待测威胁数据输入到第一研判平台，判断在所述第一研判平台中是否发生对应于所述待测威胁数据的威胁事件；在所述第一研判平台中发生对应于所述待测威胁数据的威胁事件的情况下，标记所述待测威胁数据为第一威胁数据。在其中一些实施例中，所述待测威胁数据包括以下至少之一：安全隐患数据、威胁攻击数据、安全事件数据。在其中一些实施例中，在所述第一研判平台中发生对应于所述待测威胁数据的威胁事件的情况下，标记所述待测威胁数据为第一威胁数据包括：在所述第一研判平台中发生对应于所述待测威胁数据的威胁事件的情况下，获取发生对应于所述待测威胁数据的威胁事件的第一凭证信息，并在所述第一研判平台中存储所述第一凭证信息；标记所述待测威胁数据为第一威胁数据。在其中一些实施例中，在将所述待测威胁数据输入到第一研判平台，判断在所述第一研判平台中是否发生对应于所述待测威胁数据的威胁事件之后，所述方法还包括：在所述第一研判平台中未发生对应于所述待测威胁数据的威胁事件的情况下，标记所述待测威胁数据为待测安全数据；将所述待测安全数据输入到第二研判平台，判断在所述第二研判平台中是否存在对应于与所述待测安全数据类型相同的威胁数据的威胁事件；在所述第二研判平台中存在对应于与所述待测安全数据类型相同的威胁数据的威胁事件的情况下，向所述第一研判平台发送报错信息。在其中一些实施例中，在所述第一研判平台中未发生对应于所述待测威胁数据的威胁事件的情况下，标记所述待测威胁数据为待测安全数据包括：在所述第一研判平台中未发生对应于所述待测威胁数据的威胁事件的情况下，获取未发生对应于所述待测威胁数据的威胁事件的第二凭证信息，并在所述第一研判平台中存储所述第二凭证信息；标记所述待测威胁数据为待测安全数据。在其中一些实施例中，在所述第二研判平台中存在对应于与所述待测安全数据类型相同的威胁数据的威胁事件的情况下，向所述第一研判平台发送报错信息之后，所述方法还包括：将对应于所述待测安全数据的第二凭证信息发送给所述第二研判平台；在所述第二凭证信息有效的情况下，标记所述待测安全数据为第一安全数据；或者将所述待测安全数据输入到所述第一研判平台，重新判断在所述第一研判平台中是否发生对应于所述待测安全数据的威胁事件；在所述第一研判平台中未发生对应于所述待测安全数据的威胁事件的情况下，标记所述待测安全数据为第一安全数据。在其中一些实施例中，在从多个数据源中获取网络安全数据之后，所述方法还包括：对所述网络安全数据进行预处理，得到预处理后的所述网络安全数据。第二方面，本申请实施例提供了一种网络威胁的检测装置，包括：获取模块，用于从多个数据源中获取网络安全数据；评估模块，用于将所述网络安全数据输入到已训练的安全分析模型，得到所述已训练的安全分析模型输出的待测威胁数据，其中，所述已训练的安全分析模型是被训练为根据网络安全数据的特征信息评估网络安全数据是否属于待测威胁数据的机器学习模型；判断模块，用于将所述待测威胁数据输入到第一研判平台，判断在所述第一研判平台中是否发生对应于所述待测威胁数据的威胁事件；标记模块，用于在所述第一研判平台中发生对应于所述待测威胁数据的威胁事件的情况下，标记所述待测威胁数据为第一威胁数据。第三方面，本申请实施例提供了一种电子装置，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上述第一方面所述的网络威胁的检测方法。第四方面，本申请实施例提供了一种存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上述第一方面所述的网络威胁的检测方法。相比于相关技术，本申请实施例提供的网络威胁的检测方法、装置、电子装置和存储介质，解决了相关技术中对网络威胁的检测存在误报的问题，实现了提高网络威胁的检测准确率的技术效果。本申请的一个或多个实施例的细节在以下附图和描述中提出，以使本申请的其他特征、目的和优点更加简明易懂。附图说明此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：图1是根据本申请实施例的网络威胁的检测方法的流程图；图2是根据本申请实施例的已训练的安全分析模型用于SMB远程溢出风险检测的流程图；图3是根据本申请优选实施例的网络威胁的检测方法的流程图；图4是根据本申请实施例的网络威胁的检测装置的结构框图；图5是根据本申请实施例的电子装置的硬件结构示意图。具体实施方式为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行描述和说明。应当理解，此处所描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。基于本申请提供的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，本文档来自技高网...

【技术保护点】
1.一种网络威胁的检测方法，其特征在于包括：/n从多个数据源中获取网络安全数据；/n将所述网络安全数据输入到已训练的安全分析模型，得到所述已训练的安全分析模型输出的待测威胁数据，其中，所述已训练的安全分析模型是被训练为根据网络安全数据的特征信息评估网络安全数据是否属于待测威胁数据的机器学习模型；/n将所述待测威胁数据输入到第一研判平台，判断在所述第一研判平台中是否发生对应于所述待测威胁数据的威胁事件；/n在所述第一研判平台中发生对应于所述待测威胁数据的威胁事件的情况下，标记所述待测威胁数据为第一威胁数据。/n

【技术特征摘要】
1.一种网络威胁的检测方法，其特征在于包括：
从多个数据源中获取网络安全数据；
将所述网络安全数据输入到已训练的安全分析模型，得到所述已训练的安全分析模型输出的待测威胁数据，其中，所述已训练的安全分析模型是被训练为根据网络安全数据的特征信息评估网络安全数据是否属于待测威胁数据的机器学习模型；
将所述待测威胁数据输入到第一研判平台，判断在所述第一研判平台中是否发生对应于所述待测威胁数据的威胁事件；
在所述第一研判平台中发生对应于所述待测威胁数据的威胁事件的情况下，标记所述待测威胁数据为第一威胁数据。


2.根据权利要求1所述的网络威胁的检测方法，其特征在于，所述待测威胁数据包括以下至少之一：安全隐患数据、威胁攻击数据、安全事件数据。


3.根据权利要求1所述的网络威胁的检测方法，其特征在于，在所述第一研判平台中发生对应于所述待测威胁数据的威胁事件的情况下，标记所述待测威胁数据为第一威胁数据包括：
在所述第一研判平台中发生对应于所述待测威胁数据的威胁事件的情况下，获取发生对应于所述待测威胁数据的威胁事件的第一凭证信息，并在所述第一研判平台中存储所述第一凭证信息；
标记所述待测威胁数据为第一威胁数据。


4.根据权利要求1所述的网络威胁的检测方法，其特征在于，在将所述待测威胁数据输入到第一研判平台，判断在所述第一研判平台中是否发生对应于所述待测威胁数据的威胁事件之后，所述方法还包括：
在所述第一研判平台中未发生对应于所述待测威胁数据的威胁事件的情况下，标记所述待测威胁数据为待测安全数据；
将所述待测安全数据输入到第二研判平台，判断在所述第二研判平台中是否存在对应于与所述待测安全数据类型相同的威胁数据的威胁事件；
在所述第二研判平台中存在对应于与所述待测安全数据类型相同的威胁数据的威胁事件的情况下，向所述第一研判平台发送报错信息。


5.根据权利要求4所述的网络威胁的检测方法，其特征在于，在所述第一研判平台中未发生对应于所述待测威胁数据的威胁事件的情况下，标记所述待测威胁数据为待测安全数据包括：
在所述第一研判平台中未发生对应于所述待测威胁数据的威胁事件的情况下，获取未...

【专利技术属性】
技术研发人员：左婵娟，范渊，刘博，
申请(专利权)人：杭州安恒信息技术股份有限公司，
类型：发明
国别省市：浙江;33