【技术实现步骤摘要】
本专利技术属于信息安全领域,涉及数据融合技术,具体是一种基于多源数据的安全威胁研判方法、系统以及装置。
技术介绍
1、安全威胁研判是指通过对安全事件和数据进行分析和评估,以识别和理解潜在的安全威胁,在网络安全领域,基于多源数据的安全威胁研判方法旨在通过整合来自不同数据源的信息,提高对网络安全威胁的感知和应对能力;
2、现有的安全威胁研判方法存在以下缺陷:
3、1、在网络安全系统,进行安全威胁研判时依靠单一的安全防控软件,往往安全防控软件的更新和应用难以及时适应新型安全威胁,存在一定的安全研判滞后性;
4、2、当前针对网络安全系统的安全威胁研判通常只关注与网络数据源和网络类型的安全事件,忽视了应用终端的硬件安全研判,缺乏全局视角,难以全面把握网络安全系统的整体安全态势;
5、为此,我们提出一种基于多源数据的安全威胁研判方法、系统以及装置。
技术实现思路
1、针对现有技术存在的不足,本专利技术目的是提供一种基于多源数据的安全威胁研判方法、系统以及装置,本专利技术基于获取分别获取终端基础数据和网络基础数据,得到威胁研判基础数据,根据终端基础数据计算每个终端监测周期对应的终端初步威胁系数,对终端初步威胁系数进行分析,获取终端设备对应的终端安全威胁比值,根据网络基础数据计算得到网络初步威胁系数,通过对网络初步威胁系数进行分析,获取网络安全威胁比值,获取网络安全系统对应的系统安全监测数据,将网络安全威胁比值、终端安全威胁比值系统安全监测数据通过计
2、为了实现上述目的,本专利技术采用了如下技术方案进行实现,第一方面,本申请提供一种基于多源数据的安全威胁研判方法,所述安全威胁研判方法包括以下步骤:
3、步骤s1:获取威胁研判基础数据;
4、步骤s2:根据终端基础数据进行终端安全初步研判,得到终端安全威胁比值;
5、步骤s3:根据网络基础数据进行网络安全初次研判,得到网络安全威胁比值;
6、步骤s4:根据网络安全威胁比值和终端安全威胁比值进行二次安全研判。
7、进一步地,所述步骤s1中,对威胁研判基础数据进行获取具体步骤如下:
8、步骤s11:获取终端基础数据;
9、步骤s12:获取网络基础数据;
10、步骤s13:将终端基础数据和网络基础数据定义为威胁研判基础数据。
11、进一步地,数据库中存储的数据包括标定内存占用率、标定cpu负载率、额定内存占用率和额定cpu负载率;
12、所述步骤s2中,根据终端基础数据进行终端安全初步研判,对终端安全威胁比值进行获取具体步骤如下:
13、步骤s21:根据威胁研判基础数据获取终端基础数据;
14、步骤s22:根据终端基础数据分别获取任一个终端监测周期对应的周期数据处理量、平均内存占用率以及平均cpu负载率,将周期数据处理量、平均内存占用率和平均cpu负载率通过计算得到终端初步威胁系数;
15、步骤s23:分别获取第一终端初步威胁系数阈值和第二终端初步威胁系数阈值;
16、步骤s24:将终端初步威胁系数与第一终端初步威胁系数阈值、第二终端初步威胁系数阈值进行数值比对,并进行初步安全威胁报警;
17、步骤s25:分别获取多个终端监测周期对应的监测威胁区间;
18、步骤s26:若终端设备存在任意一个终端监测周期处于第三监测威胁区间,则发布安全威胁预警;
19、步骤s27:若终端设备对应的多个个终端监测周期均未处于第三监测威胁区间,则获取终端设备处于第二监测威胁区间的终端监测周期数量值和终端监测周期总体数量值;
20、步骤s28:计算处于第二监测威胁区间的终端监测周期数量值和终端监测周期总体数量值的比值,得到终端安全威胁比值;
21、所述步骤s3中,根据网络基础数据进行网络安全初次研判,对网络安全威胁比值进行获取具体步骤如下:
22、步骤s31:根据威胁研判基础数据获取网络基础数据;
23、步骤s32:根据网络基础数据获取任意一个网络监测周期对应的平均网络延迟时长、平均网络带宽利用率以及平均网络数据丢包率;
24、步骤s33:将平均网络延迟时长、平均网络带宽利用率以及平均网络数据丢包率通过计算得到网络初步威胁系数;
25、步骤s34:分别获取第一网络初步威胁系数阈值和第二网络初步威胁系数阈值;
26、步骤s35:将网络初步威胁系数与第一网络初步威胁系数阈值、第二网络初步威胁阈值进行数值比对,并根据比对结果进行网络初步威胁分析;
27、步骤s36:分别获取对个网络监测周期对应的网络威胁区间;
28、步骤s37:若网络链路中存在任意一个网络监测周期处于第三网络威胁区间,则发布安全威胁预警;
29、步骤s38:若网络链路对应的多个网络监测周期均未处于第三网络威胁区间,则获取处于第二网络威胁区间的网络监测周期数量值和网络监测周期总体数量值;
30、步骤s39:计算处于第二网络威胁区间的网络监测周期数量值和网络监测周期总体数量值的比值,得到网络安全威胁比值;
31、进一步地,所述步骤s4中,根据网络安全威胁比值和终端安全威胁比值进行二次安全研判具体步骤如下:
32、步骤s41:对网络安全系统进行安全监控,得到系统安全监测数据;
33、步骤s42:根据系统安全监测数据、网络安全威胁比值以及终端安全威胁比值进行二次研判;
34、第二方面,本申请包括一种基于多源数据的安全威胁研判系统,包括数据获取模块、终端研判模块、网络研判模块以及二次研判模块;
35、数据获取模块获取威胁研判基础数据;
36、数据获取模块包括终端设备单元和网络链路单元;
37、终端设备单元获取终端基础数据,具体如下:
38、在终端设备运行过程中标记为若干个连续的终端监测周期,且每个终端监测周期间隔单位时间片段;
39、在终端设备运行的每个终端监测周期划分m特征监测时间点;
40、通过系统任务管理器,实时获取每一个特征监测时间点对应的cpu负载率,待获取完毕,分别将m个特征监测时间点对应的cpu负载率分别标记为第一监测负载率和第m监测负载率;
41、将第一监测负载率和第m监测负载率通过计算得到当前监测周期对应的平均cpu负载率;
42、通过系统监视器,实时获取每一个特征监测时间点对应的系统内存占用率,待获取完毕,分别将m个特征监测时间点对应的系统内存占用率分别标记为第一内存占用率和第m内存占用率;
43、将第一内存占用率和第m内存占用率通过计算得到当前终端监测周期对应的平均内存占用率;
44、通过系统监视器,获取当前终端监测周期累计处理本文档来自技高网...
【技术保护点】
1.一种基于多源数据的安全威胁研判方法,其特征在于,包括:
2.根据权利要求1所述的一种基于多源数据的安全威胁研判方法,其特征在于,所述步骤S1中,对威胁研判基础数据进行获取具体步骤如下:
3.根据权利要求2所述的一种基于多源数据的安全威胁研判方法,其特征在于,所述步骤S11中,对终端基础数据进行获取具体步骤如下:
4.根据权利要求2所述的一种基于多源数据的安全威胁研判方法,其特征在于,所述步骤S12中,对网络基础数据进行获取具体步骤如下:
5.根据权利要求1所述的一种基于多源数据的安全威胁研判方法,其特征在于,还包括数据库,数据库中存储的数据包括标定内存占用率、标定CPU负载率、额定内存占用率和额定CPU负载率;
6.根据权利要求1所述的一种基于多源数据的安全威胁研判方法,其特征在于,还包括数据库,数据库中存储的数据包括标定网络延迟时长、标定网络带宽利用率、标定网络数据丢包率、额定网络延迟时长、额定网络带宽利用率以及额定网络数据丢包率;
7.根据权利要求1所述的一种基于多源数据的安全威胁研判方法,其特征在于
8.根据权利要求7所述的一种基于多源数据的安全威胁研判方法,其特征在于,还包括数据库,数据库存储的数据还包括网络安全威胁比阈值、终端安全威胁比阈值以及连接请求异常率阈值;
9.一种基于多源数据的安全威胁研判系统,适用于权利要求1-8任意一项所述的一种基于多源数据的安全威胁研判方法,其特征在于,所述安全威胁研判系统包括数据获取模块、终端研判模块、网络研判模块以及二次研判模块;
10.一种基于多源数据的安全威胁研判装置,其特征在于,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如权利要求1-8任一项所述方法中的步骤。
...【技术特征摘要】
1.一种基于多源数据的安全威胁研判方法,其特征在于,包括:
2.根据权利要求1所述的一种基于多源数据的安全威胁研判方法,其特征在于,所述步骤s1中,对威胁研判基础数据进行获取具体步骤如下:
3.根据权利要求2所述的一种基于多源数据的安全威胁研判方法,其特征在于,所述步骤s11中,对终端基础数据进行获取具体步骤如下:
4.根据权利要求2所述的一种基于多源数据的安全威胁研判方法,其特征在于,所述步骤s12中,对网络基础数据进行获取具体步骤如下:
5.根据权利要求1所述的一种基于多源数据的安全威胁研判方法,其特征在于,还包括数据库,数据库中存储的数据包括标定内存占用率、标定cpu负载率、额定内存占用率和额定cpu负载率;
6.根据权利要求1所述的一种基于多源数据的安全威胁研判方法,其特征在于,还包括数据库,数据库中存储的数据包括标定网络延迟时长、标定网络带宽利用率、标定网络数据丢包...
【专利技术属性】
技术研发人员:顾海群,吴军,王康,
申请(专利权)人:南京汇荣信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。