威胁事件的分析方法、电子设备及存储介质技术

本申请提供了一种威胁事件的分析方法、电子设备及存储介质，涉及网络安全领域。该方法包括：基于多个分析维度构建事件分析模型；对n条网络告警日志聚合处理，形成m个威胁事件的事件信息；事件分析模型基于多个分析维度中至少部分分析维度对当前获取的事件信息进行分析，得到该事件信息在至少部分分析维度中各分析维度下的子分析结果，基于该子分析结果得到该事件信息的目标分析结果；按目标事件评分从大到小的顺序对m个威胁事件的事件信息中至少部分事件信息进行排序；输出排序中靠前的指定数量个事件信息和对应的目标分析结果。本申请可以从海量威胁事件中筛选出有效威胁事件，精准发现高质量威胁事件，提升后续研判和事件处置效率。置效率。置效率。

【技术实现步骤摘要】
威胁事件的分析方法、电子设备及存储介质


[0001]本申请涉及网络安全领域，尤其涉及一种威胁事件的分析方法、电子设备及存储介质。

技术介绍

[0002]随着网络对抗形势的加剧，网络攻击呈现多元化的趋势，在多元化的攻击场景中通常会产生海量的威胁事件，对海量的威胁事件的分析是提高网络安全的重要一环，目前的威胁事件分析技术无法从海量的威胁事件中筛选出有效威胁事件，无法精准发现高质量威胁事件，制约了网络安全防护能力的进一步提升。

技术实现思路

[0003]有鉴于此，本申请提供一种威胁事件的威胁度方法、电子设备及存储介质，以解决现有技术中存在的无法从海量的威胁事件中筛选出有效威胁事件、无法精准发现高质量威胁事件的技术问题。
[0004]第一方面，本申请实施例提供了一种威胁事件的威胁度确定方法，包括：基于多个分析维度构建事件分析模型；所述多个分析维度包括危害维度、持续性维度、活跃性维度、资产维度、检测依据维度和行为异常维度；获取多个检测引擎所检测到的n条网络告警日志；根据预设的聚合策略，对n条网络告警日志进行聚合处理，形成m个威胁事件的事件信息；事件分析模型获取每个威胁事件的事件信息，基于多个分析维度中的至少部分分析维度对当前获取的事件信息进行分析，得到当前获取的事件信息在至少部分分析维度中的各分析维度下的子分析结果，基于该子分析结果得到当前获取的事件信息在至少部分分析维度下的目标分析结果；子分析结果包括子事件评分和子事件标签，子事件评分和子事件标签共同用于标记当前获取的事件信息在对应的分析维度下的安全业务属性，目标分析结果包括目标事件评分和目标事件标签，目标事件评分和目标事件标签共同用于标记当前获取的事件信息在至少部分分析维度下的安全业务属性；按目标事件评分从大到小的顺序对m个威胁事件的事件信息中的至少部分事件信息进行排序；输出排序中靠前的指定数量个事件信息和该指定数量个事件信息对应的目标分析结果。
[0005]可选的，在上述威胁事件的分析方法中，每个威胁事件具有唯一的事件标识。
[0006]可选的，在上述威胁事件的分析方法中，基于所述多个分析维度中的至少部分分析维度分别对当前获取的事件信息进行分析，得到当前获取的事件信息在所述至少部分分析维度中的各分析维度下的子分析结果，包括：确定当前获取的事件信息的攻击次数，根据当前获取的事件信息中的攻击类型和
所述攻击次数得到当前获取的事件信息在所述危害维度下的子分析结果；确定当前获取的事件信息的持续度、平均传播度和持续时间，根据所述持续度、所述平均传播度和所述持续时间得到当前获取的事件信息在所述持续性维度下的子分析结果；确定当前获取的事件信息的活跃度，根据所述活跃度得到当前获取的事件信息在所述活跃性维度下的子分析结果；确定当前获取的事件信息的重点资产覆盖度，根据所述重点资产覆盖度得到当前获取的事件信息在所述资产维度下的子分析结果；根据当前获取的事件信息中的检测依据得到当前获取的事件信息在所述检测依据维度下的子分析结果；确定当前获取的事件信息的事件发生时间异常度和事件位置异常度，根据当前获取的事件信息中的事件发生时间、事件发生时间异常度、当前获取的事件信息中的事件发生地理位置和所述事件位置异常度得到当前获取的事件信息在所述行为异常维度下的子分析结果。
[0007]可选的，在上述威胁事件的分析方法中，确定当前获取的事件信息的攻击次数，根据当前获取的事件信息中的攻击类型和所述攻击次数得到当前获取的事件信息在所述危害维度下的子分析结果，包括：S201，根据当前获取的事件信息中的攻击类型，在数据库中匹配出具有相同攻击类型的威胁事件信息列表作为目标威胁事件信息列表，并将当前获取的事件信息对应的事件标识确定为目标标识；数据库内存储有多个威胁事件信息列表，每个威胁事件信息列表中包括相同攻击类型的多个威胁事件的事件信息，威胁事件信息列表中的每个威胁事件的事件信息包括对应的事件标识和事件发生时间，每个威胁事件信息列表中的各事件信息按事件发生时间的先后顺序排列；S202，设置数量标记参数N=1；S203，获取信息数量X；X为目标威胁事件信息列表内的当前的事件信息的数量；S204，获取目标威胁事件信息列表中第X个威胁事件的事件信息，作为候选事件信息；S205，若候选事件信息对应的事件标识与目标标识相同，则执行步骤S206，否则执行步骤S210；S206，若N等于目标数量，则执行步骤S207，否则，执行步骤S209；目标数量与预设的攻击次数阈值相等；S207，获取候选事件信息对应的事件发生时间T1；S208，若T2‑ꢀ
T1＜ΔT，则执行步骤S211，否则结束当前流程；其中，T2为当前时间，ΔT为预设的时间段阈值；S209，获取N=N+1，并执行步骤S210；S210，获取X=X
‑
1，并执行步骤S204；S211，根据当前获取的事件信息中的攻击类型，从危害维度下的多个维度指标中确定出目标维度指标；S212，将目标维度指标对应的预设子分析结果，确定为当前获取的事件信息在危
害维度下对应的子分析结果。
[0008]可选的，在上述威胁事件的分析方法中，基于多个分析维度中的至少部分分析维度对当前获取的事件信息进行分析，得到当前获取的事件信息在所述至少部分分析维度中的各分析维度下的子分析结果，基于该子分析结果得到当前获取的事件信息在所述至少部分分析维度下的目标分析结果，包括：S310，获取目标工作时长内能够处理的事件信息的总数量；其中，NUM1为当前的安全分析人员的数量NUM1，NUM2为每个安全分析人员在目标工作时长内能够处理的事件信息的数量；S320，获取由所述m个威胁事件的事件信息形成的事件信息集A=(A1,A2,...,A
i
,...,A
m
)；其中，i=1,2,...,m，A
i
为所述m个威胁事件的事件信息中第i个威胁事件的事件信息；S330，基于多个第一类维度指标对A中的每个事件信息进行分析，得到A中每个事件信息在每个第一类维度指标下的子事件评分，基于该子事件评分得到第一事件评分列表B=(B1,B2,...,B
i
,...,B
m
)；其中，B
i
为A
i
对应的第一事件评分；所述第一类维度指标为多个分析维度包含的所有维度指标中，所关联的子事件评分大于预设评分阈值的维度指标和不依赖于统计数据的维度指标；S340，将B中大于所述预设评分阈值的第一事件评分确定为关键事件评分；S350，若确定出的关键事件评分的数量GNUM大于或等于MN，则将每一关键事件评分确定为指定事件评分，并进入步骤S360；否则，按第一事件评分从大到小的顺序对B中的第一事件评分进行排列，得到排列后评分列表B
’
，并将B
’
中前个第一事件评分确定为指定事件评分，并进入步骤S360；S360，基于多个第二类维度指标对每一指定事件评分对应的事件信息进行分析，得到每个指定事件评分对应的事件信息在每个第二类维度指标下的子事件评分，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种威胁事件的分析方法，其特征在于，包括：基于多个分析维度构建事件分析模型；所述多个分析维度包括危害维度、持续性维度、活跃性维度、资产维度、检测依据维度和行为异常维度；获取多个检测引擎所检测到的n条网络告警日志；根据预设的聚合策略，对所述n条网络告警日志进行聚合处理，形成m个威胁事件的事件信息；所述事件分析模型获取每个威胁事件的事件信息，基于所述多个分析维度中的至少部分分析维度对当前获取的事件信息进行分析，得到当前获取的事件信息在所述至少部分分析维度中的各分析维度下的子分析结果，基于该子分析结果得到当前获取的事件信息在所述至少部分分析维度下的目标分析结果；所述子分析结果包括子事件评分和子事件标签，所述子事件评分和所述子事件标签共同用于标记当前获取的事件信息在对应的分析维度下的安全业务属性，所述目标分析结果包括目标事件评分和目标事件标签，所述目标事件评分和所述目标事件标签共同用于标记当前获取的事件信息在所述至少部分分析维度下的安全业务属性；按目标事件评分从大到小的顺序对所述m个威胁事件的事件信息中的至少部分事件信息进行排序；输出排序中靠前的指定数量个事件信息和该指定数量个事件信息对应的目标分析结果。2.根据权利要求1所述的威胁事件的分析方法，其特征在于，每个威胁事件具有唯一的事件标识。3.根据权利要求1或2所述的威胁事件的分析方法，其特征在于，基于所述多个分析维度中的至少部分分析维度对当前获取的事件信息进行分析，得到当前获取的事件信息在所述至少部分分析维度中的各分析维度下的子分析结果，包括：确定当前获取的事件信息的攻击次数，根据当前获取的事件信息中的攻击类型和所述攻击次数得到当前获取的事件信息在所述危害维度下的子分析结果；确定当前获取的事件信息的持续度、平均传播度和持续时间，根据所述持续度、所述平均传播度和所述持续时间得到当前获取的事件信息在所述持续性维度下的子分析结果；确定当前获取的事件信息的活跃度，根据所述活跃度得到当前获取的事件信息在所述活跃性维度下的子分析结果；确定当前获取的事件信息的重点资产覆盖度，根据所述重点资产覆盖度得到当前获取的事件信息在所述资产维度下的子分析结果；根据当前获取的事件信息中的检测依据得到当前获取的事件信息在所述检测依据维度下的子分析结果；确定当前获取的事件信息的事件发生时间异常度和事件位置异常度，根据当前获取的事件信息中的事件发生时间、所述事件发生时间异常度、当前获取的事件信息中的事件发生地理位置和所述事件位置异常度得到当前获取的事件信息在所述行为异常维度下的子分析结果。4.根据权利要求3所述的威胁事件的分析方法，其特征在于，确定当前获取的事件信息的攻击次数，根据当前获取的事件信息中的攻击类型和所述攻击次数得到当前获取的事件
信息在所述危害维度下的子分析结果，包括：S201，根据当前获取的事件信息中的攻击类型，在数据库中匹配出具有相同攻击类型的威胁事件信息列表作为目标威胁事件信息列表，并将当前获取的事件信息对应的事件标识确定为目标标识；所述数据库内存储有多个威胁事件信息列表，每个威胁事件信息列表中包括相同攻击类型的多个威胁事件的事件信息，威胁事件信息列表中的每个威胁事件的事件信息包括对应的事件标识和事件发生时间，每个威胁事件信息列表中的各事件信息按事件发生时间的先后顺序排列；S202，设置数量标记参数N=1；S203，获取信息数量X；X为所述目标威胁事件信息列表内的当前的事件信息数量；S204，获取所述目标威胁事件信息列表中第X个威胁事件的事件信息，作为候选事件信息；S205，若所述候选事件信息对应的事件标识与所述目标标识相同，则执行步骤S206，否则执行步骤S210；S206，若N等于目标数量，则执行步骤S207，否则，执行步骤S209；所述目标数量与预设的攻击次数阈值相等；S207，获取候选事件信息对应的事件发生时间T1；S208，若T2‑
T1＜ΔT，则执行步骤S211，否则结束当前流程；其中，T2为当前时间，ΔT为预设的时间段阈值；S209，获取N=N+1，并执行步骤S210；S210，获取X=X
‑
1，并执行步骤S204；S211，根据当前获取的事件信息中的攻击类型，从危害维度下的多个维度指标中确定出目标维度指标；S212，将所述目标维度指标对应的子分析结果，确定为当前获取的事件信息在所述危害维度下对应的子分析结果。5.根据权利要求1或2所述的威胁事件的分析方法，其特征在于，基于所述多个分析维度中的至少部分分析维度对当前获取的事件信息进行分析，得到当前获取的事件信息在所述至少部分分析维度中的各分析维度下的子分析结果，基于该子分析结果得到当前获取的事件信息在所述至少部分分析维度下的目标分析结果，包括：S3...

【专利技术属性】
技术研发人员：徐蕾，肖新光，
申请(专利权)人：北京安天网络安全技术有限公司，
类型：发明
国别省市：