【技术实现步骤摘要】
主机安全威胁程度的告警方法、装置、设备及存储介质
本申请涉及计算机
,特别是涉及主机安全威胁程度的告警方法、装置、设备及存储介质。
技术介绍
安全管理平台,例如态势感知、SIEM(securityinformationandeventmanagement安全信息和事件管理)、SOC(SecurityOperationsCenter,安全运营中心)等,的一个核心功能就是度量保护范围内主机的安全威胁程度。主机的安全威胁程度的排序,在帮助客户进行关注分析以及消除客户面临的安全威胁等方面具有重要意思,因此希望针对主机的安全威胁程度进行告警。
技术实现思路
本申请实施例的目的在于提供一种主机安全威胁程度的告警方法、装置、设备及存储介质,以实现针对主机的安全威胁程度进行告警。具体技术方案如下:第一方面,本申请实施例提供了一种主机安全威胁程度的告警方法,所述方法包括:获取待检测主机中各规则事件的事件发生次数、事件威胁等级、事件确信度及事件影响主机数;根据各所述规则事件的事件发生次数、事件威胁等级及...
【技术保护点】
1.一种主机安全威胁程度的告警方法,其特征在于,所述方法包括:/n获取待检测主机中各规则事件的事件发生次数、事件威胁等级、事件确信度及事件影响主机数;/n根据各所述规则事件的事件发生次数、事件威胁等级及事件确信度,确定所述待检测主机的主机维度指标;/n针对每一规则事件,根据该规则事件的事件发生次数、事件威胁等级、事件确信度及事件影响主机数,计算得到该规则事件的事件维度得分;/n根据各所述规则事件的事件维度得分,确定所述待检测主机的事件维度指标;/n根据所述待检测主机的事件维度指标及主机维度指标,确定所述待检测主机的威胁概率;/n根据所述威胁概率生成所述待检测主机的安全威胁程度告警信息。/n
【技术特征摘要】
1.一种主机安全威胁程度的告警方法,其特征在于,所述方法包括:
获取待检测主机中各规则事件的事件发生次数、事件威胁等级、事件确信度及事件影响主机数;
根据各所述规则事件的事件发生次数、事件威胁等级及事件确信度,确定所述待检测主机的主机维度指标;
针对每一规则事件,根据该规则事件的事件发生次数、事件威胁等级、事件确信度及事件影响主机数,计算得到该规则事件的事件维度得分;
根据各所述规则事件的事件维度得分,确定所述待检测主机的事件维度指标;
根据所述待检测主机的事件维度指标及主机维度指标,确定所述待检测主机的威胁概率;
根据所述威胁概率生成所述待检测主机的安全威胁程度告警信息。
2.根据权利要求1所述的方法,其特征在于,所述根据各所述规则事件的事件发生次数、事件威胁等级及事件确信度,确定所述待检测主机的主机维度指标,包括:
根据各所述规则事件的事件发生次数、事件威胁等级及事件确信度,计算得到所述待检测主机的主机维度得分;
通过预设的第一映射关系,将所述待检测主机的主机维度得分转换为所述待检测主机的主机维度指标,其中,所述第一映射关系为主机维度得分与主机维度指标的映射关系。
3.根据权利要求1所述的方法,其特征在于,所述针对每一规则事件,根据该规则事件的事件发生次数、事件威胁等级、事件确信度及事件影响主机数,计算得到该规则事件的事件维度得分,包括:
针对每一规则事件,根据该规则事件的事件威胁等级、事件确信度及事件影响主机数,计算得到该规则事件的事件关注度得分;
针对每一规则事件,根据该规则事件的事件发生次数,计算得到该规则事件的事件威胁得分;
针对每一规则事件,根据该规则事件的事件关注度得分及事件威胁得分,计算得到该规则事件的事件维度得分。
4.根据权利要求1所述的方法,其特征在于,所述根据各所述规则事件的事件维度得分,确定所述待检测主机的事件维度指标,包括:
在各所述规则事件的事件维度得分中选取最大的事件维度得分;
通过预设的第二映射关系,将所述最大的事件维度得分转换为所述待检测主机的事件维度指标,其中,所述第二映射关系为事件维度得分与事件维度指标的映射关系。
5.根据权利要求1所述的方法,其特征在于,所述根据所述待检测主机的事件维度指标及主机维度指标,确定所述待检测主机的威胁概率,包括:
根据所述待检测主机的事件维度指标及主机维度指标,计算得到所述待检测主机的综合威胁得分;
将所述待检测主机的综合威胁得分归一化,得到所述待检测主机的威胁概率。
6.一种主机安全威胁程度的告警装置,其特征在于,所述装置包括:
规则事件参数获取模块,用于获取待检测主机中各规则事件的事件发生次数、事...
【专利技术属性】
技术研发人员:顾涛,赵志伟,
申请(专利权)人:新华三信息安全技术有限公司,
类型:发明
国别省市:安徽;34
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。