本申请公开了一种基于聚合信息确定威胁事件的方法及装置,所述方法包括:接收聚合告警信息的触发事件;通过告警信息的预设指标对告警信息进行聚合;通过聚合后的告警信息确定与告警信息相关的威胁事件。采用本申请所提供的方案,能够通过告警信息的预设指标对告警信息进行聚合,进而可以根据聚合后的告警信息确定与告警信息相关的威胁事件,由于该威胁事件是基于多条告警信息聚合后的聚合信息确定的,因此,能够确定一相对完整的威胁事件,进而能够基于确定的威胁事件进行针对性处理,提升了安全性。
【技术实现步骤摘要】
一种基于聚合信息确定威胁事件的方法及装置
本申请涉及网络安全领域,特别涉及一种基于聚合信息确定威胁事件的方法及装置。
技术介绍
入侵检测已经成为网络及信息安全领域一个重要环节,入侵检测是指黑客入侵主机时,通过对网络传输进行即时监视,如入侵检测系统,其是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。这类系统只能展示出会产生多条告警日志,告警日志之间并无关联,不能非常详细地展示一个威胁事故的来龙去脉,这样,就无法判断具体的威胁事件,设备也就无法针对具体的威胁事件进行针对性处理。有鉴于此,提供一种告警信息聚合的方案,并基于聚合信息确定一个完整的威胁事件,进而能够对确定的威胁事件进行针对性处理,提升安全性,是一亟待解决的技术问题。
技术实现思路
本申请实施例的目的在于提供一种基于聚合信息确定威胁事件的方法,包括:接收聚合告警信息的触发事件;通过告警信息的预设指标对告警信息进行聚合;通过聚合后的告警信息确定与告警信息相关的威胁事件。本申请的有益效果在于:能够通过告警信息的预设指标对告警信息进行聚合,进而可以根据聚合后的告警信息确定与告警信息相关的威胁事件,由于该威胁事件是基于多条告警信息聚合后的聚合信息确定的,因此,能够确定一相对完整的威胁事件,进而能够基于确定的威胁事件进行针对性处理,提升了安全性。在一个实施例中,还包括:获取告警信息的以下至少一条预设指标:所述告警信息的基础信息、所述告警信息的安全外壳协议、所述告警信息对应木马文件的MD5值以及告警信息对应进程的父进程。在一个实施例中,所述通过告警信息的预设指标对告警信息进行聚合,包括:获取威胁情报中记录的各个告警信息的基础信息;确定具有至少一项相同基础信息的告警信息之间存在关联关系,其中,所述基础信息包括以下至少一项信息:告警信息对应的告警名称、告警信息对应的病毒家族以及告警信息对应的黑客组织;将存在关联关系的告警信息进行聚合。在一个实施例中,所述通过告警信息的预设指标对告警信息进行聚合,包括:获取临时内存中记录的各个告警信息的安全外壳协议;确定具有相同安全外壳协议的告警信息之间存在关联关系;将存在关联关系的告警信息进行聚合。在一个实施例中,所述通过告警信息的预设指标对告警信息进行聚合,包括:获取告警信息对应的木马文件中的MD5值;通过对各告警信息对应的木马文件中的MD5值进行匹配以确定由同一木马文件引起的告警信息;将由同一木马文件引起的告警信息进行聚合。在一个实施例中,所述通过告警信息的预设指标对告警信息进行聚合,包括:获取每条告警信息对应的进程;对每条告警信息对应的进程进行至少一次回溯操作,以确定每条告警信息对应的进程所指向的父进程;将指向同一父进程的进程所对应的告警信息进行聚合。本申请还提供一种基于聚合信息确定威胁事件的装置,包括:接收模块,用于接收聚合告警信息的触发事件;聚合模块,用于通过告警信息的预设指标对告警信息进行聚合;确定模块,用于通过聚合后的告警信息确定与告警信息相关的威胁事件。在一个实施例中,还包括:获取模块,用于获取告警信息的以下至少一条预设指标:所述告警信息的基础信息、所述告警信息的安全外壳协议、所述告警信息对应木马文件的MD5值以及告警信息对应进程的父进程。在一个实施例中,所述聚合模块,包括:第一获取子模块,用于获取威胁情报中记录的各个告警信息的基础信息;第一确定子模块,用于确定具有至少一项相同基础信息的告警信息之间存在关联关系,其中,所述基础信息包括以下至少一项信息:告警信息对应的告警名称、告警信息对应的病毒家族以及告警信息对应的黑客组织;第一聚合子模块,用于将存在关联关系的告警信息进行聚合。在一个实施例中,所述聚合模块,包括:第二获取子模块,用于获取临时内存中记录的各个告警信息的安全外壳协议;第二确定子模块,用于确定具有相同安全外壳协议的告警信息之间存在关联关系;第二聚合子模块,用于将存在关联关系的告警信息进行聚合。附图说明图1为本申请一实施例中一种基于聚合信息确定威胁事件的方法的流程图;图2为本申请另一实施例中一种基于聚合信息确定威胁事件的方法的流程图;图3为本申请一实施例中一种基于聚合信息确定威胁事件的装置的框图;图4为本申请另一实施例中一种基于聚合信息确定威胁事件的装置的框图;图5为本申请又一实施例中一种基于聚合信息确定威胁事件的装置的框图。具体实施方式此处参考附图描述本申请的各种方案以及特征。应理解的是,可以对此处申请的实施例做出各种修改。因此,上述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本申请的范围和精神内的其他修改。包含在说明书中并构成说明书的一部分的附图示出了本申请的实施例,并且与上面给出的对本申请的大致描述以及下面给出的对实施例的详细描述一起用于解释本申请的原理。通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本申请的这些和其它特性将会变得显而易见。还应当理解,尽管已经参照一些具体实例对本申请进行了描述,但本领域技术人员能够确定地实现本申请的很多其它等效形式,它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。当结合附图时,鉴于以下详细说明,本申请的上述和其他方面、特征和优势将变得更为显而易见。此后参照附图描述本申请的具体实施例;然而,应当理解,所申请的实施例仅仅是本申请的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本申请模糊不清。因此,本文所申请的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本申请。本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”,其均可指代根据本申请的相同或不同实施例中的一个或多个。图1为本申请实施例的一种基于聚合信息确定威胁事件的方法的流程图,该方法包括以下步骤S11-S13:在步骤S11中,接收聚合告警信息的触发事件;在步骤S12中,通过告警信息的预设指标对告警信息进行聚合;在步骤S13中,通过聚合后的告警信息确定与告警信息相关的威胁事件。黑客入侵设备时,一般的安全检测响应系统会产生多条告警信息(也可以称之为警告日志)。如果可以将这些警告信息进行聚合,那么,就可以根据这些警告信息的聚合还原出一个安全事故的来龙去脉,将多条告警信息进行聚合,统一展示一个安全事故来龙去脉的形式叫作“威胁事件”。本实施例中,接收聚合告警信息的触发事件;该本文档来自技高网...
【技术保护点】
1.一种基于聚合信息确定威胁事件的方法,其特征在于,包括:/n接收聚合告警信息的触发事件;/n通过告警信息的预设指标对告警信息进行聚合;/n通过聚合后的告警信息确定与告警信息相关的威胁事件。/n
【技术特征摘要】
1.一种基于聚合信息确定威胁事件的方法,其特征在于,包括:
接收聚合告警信息的触发事件;
通过告警信息的预设指标对告警信息进行聚合;
通过聚合后的告警信息确定与告警信息相关的威胁事件。
2.如权利要求1所述的方法,其特征在于,还包括:
获取告警信息的以下至少一条预设指标:
所述告警信息的基础信息、所述告警信息的安全外壳协议、所述告警信息对应木马文件的MD5值以及告警信息对应进程的父进程。
3.如权利要求1或2所述的方法,其特征在于,所述通过告警信息的预设指标对告警信息进行聚合,包括:
获取威胁情报中记录的各个告警信息的基础信息;
确定具有至少一项相同基础信息的告警信息之间存在关联关系,其中,所述基础信息包括以下至少一项信息:
告警信息对应的告警名称、告警信息对应的病毒家族以及告警信息对应的黑客组织;
将存在关联关系的告警信息进行聚合。
4.如权利要求1或2所述的方法,其特征在于,所述通过告警信息的预设指标对告警信息进行聚合,包括:
获取具备相同安全外壳协议的告警信息;
获取具备相同安全外壳协议的告警信息所对应的临时内存信息;
具备相同安全外壳协议的告警信息所对应的临时内存信息进行比对,并确定具有相同临时内存的告警信息之间存在关联关系;
将存在关联关系的告警信息进行聚合。
5.如权利要求1或2所述的方法,其特征在于,所述通过告警信息的预设指标对告警信息进行聚合,包括:
获取告警信息对应的木马文件中的MD5值;
通过对各告警信息对应的木马文件中的MD5值进行匹配以确定由同一木马文件引起的告警信息;
将由同一木马文件引起的告警信息进行聚合。
【专利技术属性】
技术研发人员:陈杰,王蕴澎,
申请(专利权)人:北京微步在线科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。