本申请涉及一种识别网络安全事件的方法,其中,获取到网络安全事件的信息;提取该网络安全信息的五元组信息,在该五元组信息与威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件;在该五元组信息与威胁情报库中的信息验证失败的情况下,提取该安全事件的特征信息;在该特征信息与该威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件,通过本申请,解决了识别网络安全事件成本高和效率低的问题,实现了快速和稳定识别网络安全事件。
【技术实现步骤摘要】
一种识别网络安全事件方法和装置
本申请涉及网络安全领域,特别是涉及一种识别网络安全事件方法和装置。
技术介绍
网络安全事件是人为或者软硬件本身缺陷或故障所导致的,对城域网重点保护单位信息系统构成了潜在的危害,甚至影响到信息系统正常提供服务;网络安全事件是由平台基于安全告警、威胁日志和威胁情报等数据分析生成,会对社会造成十分严重负面影响;另外,网络安全事件可以通过扫描、流量检测、规则分析等数以万计的识别方法进行识别,但是识别出的网络空间威胁、疑似网络安全事件数据量过大,人工无法完成确认工作。在相关技术中,对于安全设备从网络空间中发现的疑似网络安全事件,采用人工识别和算法识别两种方法进行,通过人工识别安全数据,发现的疑似网络安全事件,但是通常数据量巨大,达到百万级的数据量,需要耗费很大的精力和人力;算法识别通过计算百万级的数据量,发现疑似网络安全事件,但是由于数据量太大,疑似安全事件需要多个算法多轮计算才可以确认,耗费的成本非常高。目前针对相关技术中,识别网络安全事件成本高和效率低的问题,尚未提出有效的解决方案。
技术实现思路
本申请实施例提供了一种识别网络安全事件的方法、装置、系统、电子装置和存储介质,以至少解决相关技术中识别网络安全事件的问题。第一方面,本申请实施例提供了一种识别网络安全事件的方法,所述方法包括:获取到网络安全事件的信息;提取所述网络安全信息的五元组信息,在所述五元组信息与威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件;在所述五元组信息与威胁情报库中的信息验证失败的情况下,提取所述安全事件的特征信息;在所述特征信息与所述威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件。在一个实施例中,所述提取所述网络安全信息的五元组信息,在所述五元组信息与威胁情报中的信息验证成功的情况下,得到疑似网络安全事件包括:获取到五元组源IP、源端口、目的IP、目的端口和协议号的情况下,将所述源IP、源端口和威胁情报中的IP进行验证,将所述目的IP、目的端口和威胁情报中的IP进行验证,将所述协议进行验证,在所述五元组信息中任意一项验证成功的情况下,将所述网络安全事件判定为疑似网络安全事件。在一个实施例中,所述在所述特征信息与所述威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件之后:将所述疑似网络安全事件推送至人工进行确认,若人工确认,将所述疑似网络安全事件认定为网络安全事件。在一个实施例中,所述在所述五元组信息与威胁情报库中的信息验证失败的情况下,提取所述安全事件的特征信息;在所述特征信息与所述威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件包括:所述特征信息包括以下至少之一:事件类型、源IP、源端口、目的IP、目的端口、协议号、域名、URL、文件hash、注册表项、请求时间、发送的请求时间、返回信息和返回码,将所述网络安全事件的所述特征信息依次与所述威胁情报库的特征数据进行验证,得到疑似网络安全事件。在一个实施例中,所述在所述特征信息与所述威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件包括:当检测到所述威胁情报库有更新,更新所述威胁情报库,将所述特征信息与所述威胁情报库的特征数据进行验证。第二方面,本申请实施例提供了一种识别网络安全事件的装置,所述装置包括:安全设备模块、威胁情报模块和安全人员分析模块;其中,安全设备模块获取到网络安全事件的信息;提取所述网络安全信息的特征信息,其中,五元组信息包含在特征信息之中;威胁情报模块在所述五元组信息与威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件;在所述五元组信息与威胁情报库中的信息验证失败的情况下,提取所述安全事件的特征信息;在所述特征信息与所述威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件;安全人员分析模块接收到所述疑似网络安全事件,进行人工确认。在一个实施例中,所述威胁情报模块在所述五元组信息与威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件包括:获取到五元组源IP、源端口、目的IP、目的端口和协议号的情况下,将所述源IP源端口和威胁情报中的IP进行验证,将所述目的IP、目的端口进行验证,将所述协议进行验证,在所述五元组信息中任意一项验证成功的情况下,将所述网络安全事件判定为疑似网络安全事件。在一个实施例中,所述在所述五元组信息与威胁情报库中的信息验证失败的情况下,提取所述安全事件的特征信息;在所述特征信息与所述威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件包括:威胁情报模块获取到所述特征信息包括以下至少之一:事件类型、源IP、源端口、目的IP、目的端口、协议号、域名、URL、文件hash、注册表项、请求时间、发送的请求时间、返回信息和返回码,将所述网络安全事件的所述特征信息依次所述威胁情报库的特征数据进行验证,得到疑似网络安全事件。第三方面,本申请实施例提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一方面所述的识别网络安全事件的方法。第四方面,本申请实施例提供了一种计算机系统,包括:安全设备服务器、威胁情报服务器和安全分析人员终端;所述安全设备服务器获取到网络安全事件的信息;提取所述网络安全信息的特征信息,其中,五元组信息包含在特征信息之中;所述威胁情报服务器在所述五元组信息与威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件;在所述五元组信息与威胁情报库中的信息验证失败的情况下,提取所述安全事件的特征信息;在所述特征信息与所述威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件;所述安全分析人员终端,接收到所述疑似网络安全事件,进行人工确认。相比于相关技术,本申请实施例提供的一种识别网络安全事件的方法,获取到网络安全事件的信息;提取该网络安全信息的五元组信息,在该五元组信息与威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件;在该五元组信息与威胁情报库中的信息验证失败的情况下,提取该安全事件的特征信息;在该特征信息与该威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件,解决了识别网络安全事件成本高和效率低的问题,实现了快速和稳定识别网络安全事件。附图说明此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:图1为根据本申请实施例中一种识别网络安全事件的应用场景示意图;图2是根据本申请实施例的一种识别网络安全事件的方法的流程图;图3是根据本申请实施例的一种识别网络安全事件的方法的威胁情报模块的流程图;图4是根据本申请实施例的一种识别网络安全事件的方法的装置的示意图;图5是根据本申请实施例的一种识别网络安全事件的方法的具体实施例的示意图。具体实施方式为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处本文档来自技高网...
【技术保护点】
1.一种识别网络安全事件的方法,其特征在于,包括:/n获取到网络安全事件的信息;/n提取所述网络安全信息的五元组信息,在所述五元组信息与威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件;/n在所述五元组信息与威胁情报库中的信息验证失败的情况下,提取所述安全事件的特征信息;/n在所述特征信息与所述威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件。/n
【技术特征摘要】
1.一种识别网络安全事件的方法,其特征在于,包括:
获取到网络安全事件的信息;
提取所述网络安全信息的五元组信息,在所述五元组信息与威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件;
在所述五元组信息与威胁情报库中的信息验证失败的情况下,提取所述安全事件的特征信息;
在所述特征信息与所述威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件。
2.根据权利要求1所述的方法,其特征在于,所述提取所述网络安全信息的五元组信息,在所述五元组信息与威胁情报中的信息验证成功的情况下,得到疑似网络安全事件包括:获取到五元组源IP、源端口、目的IP、目的端口和协议号的情况下,将所述源IP、源端口和威胁情报中的IP进行验证,将所述目的IP、目的端口和威胁情报中的IP进行验证,将所述协议进行验证,在所述五元组信息中任意一项验证成功的情况下,将所述网络安全事件判定为疑似网络安全事件。
3.根据权利要求1所述的方法,其特征在于,所述在所述特征信息与所述威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件之后:将所述疑似网络安全事件推送至人工进行确认,若人工确认,将所述疑似网络安全事件认定为网络安全事件。
4.根据权利要求1所述的方法,其特征在于,所述在所述五元组信息与威胁情报库中的信息验证失败的情况下,提取所述安全事件的特征信息;在所述特征信息与所述威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件包括:所述特征信息包括以下至少之一:事件类型、源IP、源端口、目的IP、目的端口、协议号、域名、URL、文件hash、注册表项、请求时间、发送的请求时间、返回信息和返回码,将所述网络安全事件的所述特征信息依次与所述威胁情报库的特征数据进行验证,得到疑似网络安全事件。
5.根据权利要求1所述的方法,其特征在于,所述在所述特征信息与所述威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件包括:当检测到所述威胁情报库有更新,更新所述威胁情报库,将所述特征信息与所述威胁情报库的特征数据进行验证。
6.一种识别网络安全事件的装置,其特征在于,所述装置包括:安全设备模块、威胁情报模块和安全人员分析模块;其中,
安全设备模块获取到网络安全事件的信息,提取所述网络安全信息的特征信息,...
【专利技术属性】
技术研发人员:吴绍攀,余杨,莫金友,
申请(专利权)人:浙江军盾信息科技有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。