【技术实现步骤摘要】
一种识别网络安全事件方法和装置
本申请涉及网络安全领域,特别是涉及一种识别网络安全事件方法和装置。
技术介绍
网络安全事件是人为或者软硬件本身缺陷或故障所导致的,对城域网重点保护单位信息系统构成了潜在的危害,甚至影响到信息系统正常提供服务;网络安全事件是由平台基于安全告警、威胁日志和威胁情报等数据分析生成,会对社会造成十分严重负面影响;另外,网络安全事件可以通过扫描、流量检测、规则分析等数以万计的识别方法进行识别,但是识别出的网络空间威胁、疑似网络安全事件数据量过大,人工无法完成确认工作。在相关技术中,对于安全设备从网络空间中发现的疑似网络安全事件,采用人工识别和算法识别两种方法进行,通过人工识别安全数据,发现的疑似网络安全事件,但是通常数据量巨大,达到百万级的数据量,需要耗费很大的精力和人力;算法识别通过计算百万级的数据量,发现疑似网络安全事件,但是由于数据量太大,疑似安全事件需要多个算法多轮计算才可以确认,耗费的成本非常高。目前针对相关技术中,识别网络安全事件成本高和效率低的问题,尚未提出有效的解决方案。...
【技术保护点】
1.一种识别网络安全事件的方法,其特征在于,包括:/n获取到网络安全事件的信息;/n提取所述网络安全信息的五元组信息,在所述五元组信息与威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件;/n在所述五元组信息与威胁情报库中的信息验证失败的情况下,提取所述安全事件的特征信息;/n在所述特征信息与所述威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件。/n
【技术特征摘要】
1.一种识别网络安全事件的方法,其特征在于,包括:
获取到网络安全事件的信息;
提取所述网络安全信息的五元组信息,在所述五元组信息与威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件;
在所述五元组信息与威胁情报库中的信息验证失败的情况下,提取所述安全事件的特征信息;
在所述特征信息与所述威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件。
2.根据权利要求1所述的方法,其特征在于,所述提取所述网络安全信息的五元组信息,在所述五元组信息与威胁情报中的信息验证成功的情况下,得到疑似网络安全事件包括:获取到五元组源IP、源端口、目的IP、目的端口和协议号的情况下,将所述源IP、源端口和威胁情报中的IP进行验证,将所述目的IP、目的端口和威胁情报中的IP进行验证,将所述协议进行验证,在所述五元组信息中任意一项验证成功的情况下,将所述网络安全事件判定为疑似网络安全事件。
3.根据权利要求1所述的方法,其特征在于,所述在所述特征信息与所述威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件之后:将所述疑似网络安全事件推送至人工进行确认,若人工确认,将所述疑似网络安全事件认定为网络安全事件。
4.根据权利要求1所述的方法,其特征在于,所述在所述五元组信息与威胁情报库中的信息验证失败的情况下,提取所述安全事件的特征信息;在所述特征信息与所述威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件包括:所述特征信息包括以下至少之一:事件类型、源IP、源端口、目的IP、目的端口、协议号、域名、URL、文件hash、注册表项、请求时间、发送的请求时间、返回信息和返回码,将所述网络安全事件的所述特征信息依次与所述威胁情报库的特征数据进行验证,得到疑似网络安全事件。
5.根据权利要求1所述的方法,其特征在于,所述在所述特征信息与所述威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件包括:当检测到所述威胁情报库有更新,更新所述威胁情报库,将所述特征信息与所述威胁情报库的特征数据进行验证。
6.一种识别网络安全事件的装置,其特征在于,所述装置包括:安全设备模块、威胁情报模块和安全人员分析模块;其中,
安全设备模块获取到网络安全事件的信息,提取所述网络安全信息的特征信息,...
【专利技术属性】
技术研发人员:吴绍攀,余杨,莫金友,
申请(专利权)人:浙江军盾信息科技有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。