威胁告警信息处理方法、装置、计算机设备和存储介质制造方法及图纸

本申请涉及一种威胁告警信息处理方法、装置、计算机设备、存储介质和程序产品。所述方法包括：获取与网络威胁关联的威胁告警信息；根据威胁告警信息，进行线索拓线，得到攻击行为画像；根据攻击行为画像，确定威胁家族信息以及威胁解决方案，并获取威胁发生时间节点；根据威胁发生时间节点，进行可疑行为溯源分析，得到可疑行为攻击路径；汇总威胁家族信息、威胁解决方案以及可疑行为攻击路径，得到网络威胁告警分析报告。采用本方法能够提高威胁告警信息处理效率。信息处理效率。信息处理效率。

【技术实现步骤摘要】
威胁告警信息处理方法、装置、计算机设备和存储介质


[0001]本申请涉及计算机
，特别是涉及一种威胁告警信息处理方法、装置、计算机设备和存储介质。

技术介绍

[0002]随着计算机技术的发展，出现了安全产品，安全产品是指用于保证用户网络和主机的系统和信息安全，使系统正常运行的各种软件产品和相关的软、硬件结合的产品。安全产品在守护用户安全过程中会发出威胁告警信息，威胁告警信息是指安全产品在守护用户安全过程中发现可能对用户系统有危害的行为时，记录行为信息并触达终端发出的告警信息。
[0003]传统技术中，威胁告警信息到达终端后，终端的用户需要通过排查日志等方式获取入侵线索，并分析攻击类型，以实现对威胁告警信息的分析。
[0004]然而，传统方法，在存在海量威胁告警信息的情况下，威胁告警信息入侵分析的工作会大量重复，存在威胁告警信息处理效率低的问题。

技术实现思路

[0005]基于此，有必要针对上述技术问题，提供一种能够提高威胁告警信息处理效率的威胁告警信息处理方法、装置、计算机设备、存储介质和程序产品。
[0006]一种威胁告警信息处理方法，所述方法包括：
[0007]获取与网络威胁关联的威胁告警信息；
[0008]根据威胁告警信息，进行线索拓线，得到攻击行为画像；
[0009]根据攻击行为画像，确定威胁家族信息以及威胁解决方案，并获取威胁发生时间节点；
[0010]根据威胁发生时间节点，进行可疑行为溯源分析，得到可疑行为攻击路径；
[0011]汇总威胁家族信息、威胁解决方案以及可疑行为攻击路径，得到网络威胁告警分析报告。
[0012]一种威胁告警信息处理装置，所述装置包括：
[0013]信息获取模块，用于获取与网络威胁关联的威胁告警信息；
[0014]画像构建模块，用于根据威胁告警信息，进行线索拓线，得到攻击行为画像；
[0015]家族溯源模块，用于根据攻击行为画像，确定威胁家族信息以及威胁解决方案，并获取威胁发生时间节点；
[0016]可疑行为溯源模块，用于根据威胁发生时间节点，进行可疑行为溯源分析，得到可疑行为攻击路径；
[0017]处理模块，用于汇总威胁家族信息、威胁解决方案以及可疑行为攻击路径，得到网络威胁告警分析报告。
[0018]一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理
器执行所述计算机程序时实现以下步骤：
[0019]获取与网络威胁关联的威胁告警信息；
[0020]根据威胁告警信息，进行线索拓线，得到攻击行为画像；
[0021]根据攻击行为画像，确定威胁家族信息以及威胁解决方案，并获取威胁发生时间节点；
[0022]根据威胁发生时间节点，进行可疑行为溯源分析，得到可疑行为攻击路径；
[0023]汇总威胁家族信息、威胁解决方案以及可疑行为攻击路径，得到网络威胁告警分析报告。
[0024]一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：
[0025]获取与网络威胁关联的威胁告警信息；
[0026]根据威胁告警信息，进行线索拓线，得到攻击行为画像；
[0027]根据攻击行为画像，确定威胁家族信息以及威胁解决方案，并获取威胁发生时间节点；
[0028]根据威胁发生时间节点，进行可疑行为溯源分析，得到可疑行为攻击路径；
[0029]汇总威胁家族信息、威胁解决方案以及可疑行为攻击路径，得到网络威胁告警分析报告。
[0030]一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现以下步骤：
[0031]获取与网络威胁关联的威胁告警信息；
[0032]根据威胁告警信息，进行线索拓线，得到攻击行为画像；
[0033]根据攻击行为画像，确定威胁家族信息以及威胁解决方案，并获取威胁发生时间节点；
[0034]根据威胁发生时间节点，进行可疑行为溯源分析，得到可疑行为攻击路径；
[0035]汇总威胁家族信息、威胁解决方案以及可疑行为攻击路径，得到网络威胁告警分析报告。
[0036]上述威胁告警信息处理方法、装置、计算机设备、存储介质和程序产品，通过获取与网络威胁关联的威胁告警信息，根据威胁告警信息，进行线索拓线，得到攻击行为画像，能够利用攻击行为画像，确定威胁家族信息以及威胁解决方案，通过获取威胁发生时间节点，能够利用威胁发生时间节点，进行可疑行为溯源分析，得到可疑行为攻击路径，从而可以通过汇总威胁家族信息、威胁解决方案以及可疑行为攻击路径，得到网络威胁告警分析报告，相比于传统方法，提供了丰富的威胁家族信息、入侵分析过程以及威胁解决方案，能够帮助用户定位威胁入侵原因且提供威胁解决方案，避免重复的入侵分析排查流程与威胁定性工作，能够提高威胁告警信息处理效率。
附图说明
[0037]图1为一个实施例中威胁告警信息处理方法的应用环境图；
[0038]图2为一个实施例中威胁告警信息处理方法的流程示意图；
[0039]图3为一个实施例中威胁告警分析报告的示意图；
[0040]图4为一个实施例中定位SSH(Secure Shell，安全外壳协议)爆破类攻击入口的示意图；
[0041]图5为一个实施例中定位利用系统漏洞的攻击入口的示意图；
[0042]图6为一个实施例中威胁告警信息归属于已知家族时家族分析结果的示意图；
[0043]图7为一个实施例中威胁告警信息分析结果的示意图；
[0044]图8为一个实施例中威胁告警信息归属于未知家族时家族分析结果的示意图；
[0045]图9为另一个实施例中威胁告警信息处理方法的流程示意图；
[0046]图10为一个实施例中威胁告警信息处理装置的结构框图；
[0047]图11为一个实施例中计算机设备的内部结构图。
具体实施方式
[0048]为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。
[0049]本申请提供的威胁告警信息处理方法，可以应用于如图1所示的应用环境中。其中，安装有安全产品的待监控端102通过网络与用于威胁告警信息处理的服务器104进行通信。待监控端102实时上传日志信息至服务器104，服务器104在接收到日志信息后，从日志信息中获取与网络威胁关联的威胁告警信息，根据威胁告警信息，进行线索拓线，得到攻击行为画像，根据攻击行为画像，确定威胁家族信息以及威胁解决方案，并获取威胁发生时间节点，根据威胁发生时间节点，进行可疑行为溯源分析，得到可疑行为攻击路径，汇总威胁家族信息、威胁解决方案以及可疑行为攻击路径，得到网络威胁告警分析报告。其中，待监控端102可以但不限于是云计算平台、终端等，服务器104可以用独立的服务器或者是多本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种威胁告警信息处理方法，其特征在于，所述方法包括：获取与网络威胁关联的威胁告警信息；根据所述威胁告警信息，进行线索拓线，得到攻击行为画像；根据所述攻击行为画像，确定威胁家族信息以及威胁解决方案，并获取威胁发生时间节点；根据所述威胁发生时间节点，进行可疑行为溯源分析，得到可疑行为攻击路径；汇总所述威胁家族信息、所述威胁解决方案以及所述可疑行为攻击路径，得到网络威胁告警分析报告。2.根据权利要求1所述的方法，其特征在于，所述根据所述威胁发生时间节点，进行可疑行为溯源分析，得到可疑行为攻击路径包括：根据所述威胁发生时间节点，从缓存中获取历史日志信息；对所述历史日志信息进行可疑行为规则匹配，得到主机可疑行为数据；根据所述主机可疑行为数据，得到与所述威胁告警信息对应的可疑行为攻击路径。3.根据权利要求2所述的方法，其特征在于，所述根据所述主机可疑行为数据，得到与所述威胁告警信息对应的可疑行为攻击路径包括：对所述主机可疑行为数据进行攻击入口规则匹配，定位攻击入口，并确定与所述主机可疑行为数据对应的可疑行为发生时间节点；根据所述可疑行为发生时间节点，对主机可疑行为进行排序，确定主机可疑行为发生顺序；根据所述攻击入口和所述主机可疑行为发生顺序，得到可疑行为攻击路径。4.根据权利要求1所述的方法，其特征在于，所述根据所述威胁告警信息，进行线索拓线，得到攻击行为画像包括：根据所述威胁告警信息，提取威胁告警特征信息；根据所述威胁告警特征信息，进行线索拓线，得到与所述威胁告警特征信息关联的关联特征信息；基于所述威胁告警特征信息和所述关联特征信息，构建知识图谱；根据所述知识图谱，得到攻击行为画像。5.根据权利要求1所述的方法，其特征在于，所述根据所述攻击行为画像，确定威胁家族信息以及威胁解决方案包...

【专利技术属性】
技术研发人员：罗梦霞，沈江波，邱成，陶龙，杨耀荣，谭昱，程虎，
申请(专利权)人：腾讯数码天津有限公司，
类型：发明
国别省市：