【技术实现步骤摘要】
威胁事件的分析方法、电子设备及存储介质
[0001]本申请涉及网络安全领域,尤其涉及一种威胁事件的分析方法、电子设备及存储介质。
技术介绍
[0002]随着网络对抗形势的加剧,网络攻击呈现多元化的趋势,在多元化的攻击场景中通常会产生海量的威胁事件,对海量的威胁事件的分析是提高网络安全的重要一环,目前的威胁事件分析技术无法从海量的威胁事件中筛选出有效威胁事件,无法精准发现高质量威胁事件,制约了网络安全防护能力的进一步提升。
技术实现思路
[0003]有鉴于此,本申请提供一种威胁事件的威胁度方法、电子设备及存储介质,以解决现有技术中存在的无法从海量的威胁事件中筛选出有效威胁事件、无法精准发现高质量威胁事件的技术问题。
[0004]第一方面,本申请实施例提供了一种威胁事件的威胁度确定方法,包括:基于多个分析维度构建事件分析模型;所述多个分析维度包括危害维度、持续性维度、活跃性维度、资产维度、检测依据维度和行为异常维度;获取多个检测引擎所检测到的n条网络告警日志;根据预设的聚合策略,对n条网络告警日志进行聚合处理,形成m个威胁事件的事件信息;事件分析模型获取每个威胁事件的事件信息,基于多个分析维度中的至少部分分析维度对当前获取的事件信息进行分析,得到当前获取的事件信息在至少部分分析维度中的各分析维度下的子分析结果,基于该子分析结果得到当前获取的事件信息在至少部分分析维度下的目标分析结果;子分析结果包括子事件评分和子事件标签,子事件评分和子事件标签共同用于标记当前获取的事件信息在对应的分析维度下的安全业 ...
【技术保护点】
【技术特征摘要】
1.一种威胁事件的分析方法,其特征在于,包括:基于多个分析维度构建事件分析模型;所述多个分析维度包括危害维度、持续性维度、活跃性维度、资产维度、检测依据维度和行为异常维度;获取多个检测引擎所检测到的n条网络告警日志;根据预设的聚合策略,对所述n条网络告警日志进行聚合处理,形成m个威胁事件的事件信息;所述事件分析模型获取每个威胁事件的事件信息,基于所述多个分析维度中的至少部分分析维度对当前获取的事件信息进行分析,得到当前获取的事件信息在所述至少部分分析维度中的各分析维度下的子分析结果,基于该子分析结果得到当前获取的事件信息在所述至少部分分析维度下的目标分析结果;所述子分析结果包括子事件评分和子事件标签,所述子事件评分和所述子事件标签共同用于标记当前获取的事件信息在对应的分析维度下的安全业务属性,所述目标分析结果包括目标事件评分和目标事件标签,所述目标事件评分和所述目标事件标签共同用于标记当前获取的事件信息在所述至少部分分析维度下的安全业务属性;按目标事件评分从大到小的顺序对所述m个威胁事件的事件信息中的至少部分事件信息进行排序;输出排序中靠前的指定数量个事件信息和该指定数量个事件信息对应的目标分析结果。2.根据权利要求1所述的威胁事件的分析方法,其特征在于,每个威胁事件具有唯一的事件标识。3.根据权利要求1或2所述的威胁事件的分析方法,其特征在于,基于所述多个分析维度中的至少部分分析维度对当前获取的事件信息进行分析,得到当前获取的事件信息在所述至少部分分析维度中的各分析维度下的子分析结果,包括:确定当前获取的事件信息的攻击次数,根据当前获取的事件信息中的攻击类型和所述攻击次数得到当前获取的事件信息在所述危害维度下的子分析结果;确定当前获取的事件信息的持续度、平均传播度和持续时间,根据所述持续度、所述平均传播度和所述持续时间得到当前获取的事件信息在所述持续性维度下的子分析结果;确定当前获取的事件信息的活跃度,根据所述活跃度得到当前获取的事件信息在所述活跃性维度下的子分析结果;确定当前获取的事件信息的重点资产覆盖度,根据所述重点资产覆盖度得到当前获取的事件信息在所述资产维度下的子分析结果;根据当前获取的事件信息中的检测依据得到当前获取的事件信息在所述检测依据维度下的子分析结果;确定当前获取的事件信息的事件发生时间异常度和事件位置异常度,根据当前获取的事件信息中的事件发生时间、所述事件发生时间异常度、当前获取的事件信息中的事件发生地理位置和所述事件位置异常度得到当前获取的事件信息在所述行为异常维度下的子分析结果。4.根据权利要求3所述的威胁事件的分析方法,其特征在于,确定当前获取的事件信息的攻击次数,根据当前获取的事件信息中的攻击类型和所述攻击次数得到当前获取的事件
信息在所述危害维度下的子分析结果,包括:S201,根据当前获取的事件信息中的攻击类型,在数据库中匹配出具有相同攻击类型的威胁事件信息列表作为目标威胁事件信息列表,并将当前获取的事件信息对应的事件标识确定为目标标识;所述数据库内存储有多个威胁事件信息列表,每个威胁事件信息列表中包括相同攻击类型的多个威胁事件的事件信息,威胁事件信息列表中的每个威胁事件的事件信息包括对应的事件标识和事件发生时间,每个威胁事件信息列表中的各事件信息按事件发生时间的先后顺序排列;S202,设置数量标记参数N=1;S203,获取信息数量X;X为所述目标威胁事件信息列表内的当前的事件信息数量;S204,获取所述目标威胁事件信息列表中第X个威胁事件的事件信息,作为候选事件信息;S205,若所述候选事件信息对应的事件标识与所述目标标识相同,则执行步骤S206,否则执行步骤S210;S206,若N等于目标数量,则执行步骤S207,否则,执行步骤S209;所述目标数量与预设的攻击次数阈值相等;S207,获取候选事件信息对应的事件发生时间T1;S208,若T2‑
T1<ΔT,则执行步骤S211,否则结束当前流程;其中,T2为当前时间,ΔT为预设的时间段阈值;S209,获取N=N+1,并执行步骤S210;S210,获取X=X
‑
1,并执行步骤S204;S211,根据当前获取的事件信息中的攻击类型,从危害维度下的多个维度指标中确定出目标维度指标;S212,将所述目标维度指标对应的子分析结果,确定为当前获取的事件信息在所述危害维度下对应的子分析结果。5.根据权利要求1或2所述的威胁事件的分析方法,其特征在于,基于所述多个分析维度中的至少部分分析维度对当前获取的事件信息进行分析,得到当前获取的事件信息在所述至少部分分析维度中的各分析维度下的子分析结果,基于该子分析结果得到当前获取的事件信息在所述至少部分分析维度下的目标分析结果,包括:S3...
【专利技术属性】
技术研发人员:徐蕾,肖新光,
申请(专利权)人:北京安天网络安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。